'카드 위장 악성코드'에 해당되는 글 1건

  1. 2010.08.24 [Malware Analysis] 친구에게서 온 카드를 위장한 악성코드

악성코드 배포 사이트 접속시 아래와 같은 문구를 볼 수 있다.
친구에게서 온 카드를 보기 위해 free software를 설치하라는 문구와 함께 링크가 제공되고 있다. 링크를 클릭시 아래와 같이 e-greetings.exe라는 파일을 다운 받는 것을 볼 수 있다.
※ 파일 정보
File name : e-greetings.exe
MD5   :
cf62fa37a175ae7e6d04f6a5cc82c3d4
SHA1  : 286deeabf988a39f9d7d3ca0ec46cb2402b435bb
SHA256: bb1422ab915ead9fa2fa49b5fb9c9e20dd309f823d04cbec7b8e6c4cdcf11d3f
ssdeep: 24576:TwT9mZ4Nj9KRpRoUWmmKKR+Pz3VZcwZ60PX0wS7fLIF+fnJwDv+O:TwTkSNj4fWm/KUPD
VZnZfPtELRvnO
File size : 966584 bytes


e-greetings.exe 실행시 아래와 같이 위장을 위해 카드와 비슷한 화면을 사용자에게 보여준다.

또한 아래와 같은 파일을 생성한다.
- C:\WINDOWS\Temp\spoolsv\spoolsv.exe
- C:\WINDOWS\Temp\spoolsv\a.reg
- C:\WINDOWS\Temp\spoolsv\aliases.ini
- C:\WINDOWS\Temp\spoolsv\control.ini
- C:\WINDOWS\Temp\spoolsv\mirc.ico
- C:\WINDOWS\Temp\spoolsv\mirc.ini
- C:\WINDOWS\Temp\spoolsv\remote.ini
- C:\WINDOWS\Temp\spoolsv\run.bat
- C:\WINDOWS\Temp\spoolsv\servers.ini

a.reg 파일은 다음과 같은 내용을 포함하고 있으며, 악성코드를 서비스와 Run 값에 등록하는 것을 볼 수 있다.

 Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\svchost\Parameters]
"Application"="\"C:\\Windows\\temp\\spoolsv\\spoolsv.exe\""
"AppDirectory"="\"C:\\Windows\\temp\\spoolsv\\spoolsv.exe\""

[HKEY_CURRENT_USER\Software\mIRC]

[HKEY_CURRENT_USER\Software\mIRC\Channels]

[HKEY_CURRENT_USER\Software\mIRC\License]
@="5662-546732"

[HKEY_CURRENT_USER\Software\mIRC\LockOptions]
@="0,4096"

[HKEY_CURRENT_USER\Software\mIRC\UserName]
@="WhiteHat"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="\"C:\\Windows\\temp\\spoolsv\\spoolsv.exe\""


또한 server.ini 파일에는 접속 대상 서버 목록이 저장되어 있으며, 특정 IRC 서버에 접속하여 특정 명령 전송을 받는 것으로 추정할 수 있다.

바이러스 토탈 결과는 다음과 같다.
 
Antivirus Version Last Update Result
AhnLab-V3 2010.08.24.00 2010.08.23 Dropper/Malware.966584
AntiVir 8.2.4.38 2010.08.23 BDS/Agent.1260.A
Antiy-AVL 2.0.3.7 2010.08.23 Backdoor/IRC.Zapchast
Authentium 5.2.0.5 2010.08.24 REG/Zapchast.H
Avast 4.8.1351.0 2010.08.23 VBS:Malware-gen
Avast5 5.0.332.0 2010.08.23 VBS:Malware-gen
AVG 9.0.0.851 2010.08.24 Zapchast
BitDefender 7.2 2010.08.24 Dropped:Backdoor.Zapchast.PI
CAT-QuickHeal 11.00 2010.08.23 -
ClamAV 0.96.2.0-git 2010.08.24 Trojan.IRC.Zapchast-16
Comodo 5836 2010.08.24 UnclassifiedMalware
DrWeb 5.0.2.03300 2010.08.24 IRC.Diemen.1
Emsisoft 5.0.0.37 2010.08.24 Backdoor.IRC.Zapchast!IK
eSafe 7.0.17.0 2010.08.23 Win32.mIRC-based
eTrust-Vet 36.1.7810 2010.08.23 -
F-Prot 4.6.1.107 2010.08.24 REG/Zapchast.H
F-Secure 9.0.15370.0 2010.08.24 Backdoor.Zapchast.PF
Fortinet 4.1.143.0 2010.08.23 -
GData 21 2010.08.24 Dropped:Backdoor.Zapchast.PI
Ikarus T3.1.1.88.0 2010.08.23 Backdoor.IRC.Zapchast
Jiangmin 13.0.900 2010.08.23 -
Kaspersky 7.0.0.125 2010.08.23 Backdoor.IRC.Zapchast.zwrc
McAfee 5.400.0.1158 2010.08.24 Reg/IRCSpoolsv
Microsoft 1.6103 2010.08.23 Backdoor:Win32/IRCFlood
NOD32 5391 2010.08.24 REG/RunKeys.NAA
Norman 6.05.11 2010.08.23 BAT/Zapchast.O.dropper
nProtect 2010-08-23.01 2010.08.23 Dropped:Backdoor.Zapchast.PI
Panda 10.0.2.7 2010.08.23 Bck/MIRCBased.BI
PCTools 7.0.3.5 2010.08.24 Trojan.Dropper
Prevx 3.0 2010.08.24 Medium Risk Malware
Rising 22.62.00.04 2010.08.23 Trojan.Win32.ZBot.bi
Sophos 4.56.0 2010.08.24 Mal/Zapchas-C
Sunbelt 6782 2010.08.24 Backdoor.IRC.Zapchast.zwrc (v)
SUPERAntiSpyware 4.40.0.1006 2010.08.24 -
Symantec 20101.1.1.7 2010.08.23 IRC.Backdoor.Trojan
TheHacker 6.5.2.1.355 2010.08.23 -
TrendMicro 9.120.0.1004 2010.08.23 REG_ZAPCHAST.ED
TrendMicro-HouseCall 9.120.0.1004 2010.08.24 Mal_Zap
VBA32 3.12.14.0 2010.08.23 Backdoor.IRC.Zapchast.zwrc
ViRobot 2010.8.23.4003 2010.08.23 -
VirusBuster 5.0.27.0 2010.08.23 Trojan.mIRC-Based.AM

기존에도 비슷한 종류의 악성코드가 계속적으로 배포되고 있었으며, 스팸메일이나 특정 사이트를 통한 파일 다운로드 시 사용자의 주의가 필요하다.

                                                                                                    +---------------------------------+
                                                                                                    | Infinite Flow..                              |

                                                                                                    | mail : geekspark@gmail.com         |
                                                                                                    | Blog : http://sinun.tistory.com       |
                                                                                                    | twitter : @unpacker                      |
                                                                                                    | CISSP                                        |
                                                                                                    +----------------------------------+
저작자 표시 비영리 변경 금지
신고
Posted by By. PHR34K