'rat'에 해당되는 글 1건

  1. 2010.11.11 [Malware Analysis] 파일명이 Facebook.exe인 악성코드 (3)

오늘 악성코드 샘플들을 수집하는 중에 의심이 되는 URL이 있길래 한 번 분석해 보았습니다.
- URL 주소 : http://stashbox.org/xxxxxxx/Facebook.rar

다운 받은 Facebook.rar 압축해제시 [그림 1]과 같이 Facebook.exe 파일을 생성하였습니다.

 Facebook.exe(MD5 : 0CAFF5955A87041092E819725B493124) 실행시 아래와 같은 경고창이 발생합니다.
메시지 내용을 통해서 유추하건대 해당 파일은 "Private exe Protector"에 의해 실행압축 되어 있으며, 생성시에 Unregistered version으로 생성한 듯 합니다. http://setisoft.com을 방문해 보니 실제로 "Private exe Protector"라는 Protector를 만들어 파는 회사 홈페이지 였습니다. 데모 버젼도 다운 받을 수 있더군요. 나중에 한 번 사용해 봐야 겠습니다.

이후 Facebook.exe는 아래와 같이 %system%에 server.exe라는 파일명으로 자기 자신을 복사한 뒤 melt.bat 파일을 생성하여 Facebook.exe 파일과 melt.bat 파일을 삭제하는 것을 볼 수 있습니다.

또한 재부팅 후 자동 실행을 위해 레지스트리에 server.exe를 등록하는 것을 볼 수 있습니다.

생성된 server.exe는 프로세스로 동작하면서 %system%keylog.dat에 특정 값을 기록하는 것을 볼 수 있으며, keylog.dat 파일 확인시 사용자가 사용하는 프로그램명과 키보드 입력값이 저장되는 확인할 수 있습니다.

또한 특정 서버에 접속을 시도합니다. 현재 접속 시도 서버의 경우 죽어 있는 것으로 보입니다.
○ 접속 서버 리스트
- bunica.no-ip.xxx
- deaflove.no-ip.xxx
아마도 사용자 입력을 저장한 keylog.dat 파일을 전송하기 위해 접속을 시도하는 듯 합니다.

server.exe 파일의 메모리 덤프를 보면 "This is Schwarze Sonne RAT 0.7 by Slayer616! and counterstrikewi :)"이라는 문구를 확인할 수 있습니다. 해당 악성코드는 RAT(Remote Administration Tool)을 이용하여 제작된 것임을 확인할 수 있습니다.

크게 확산되었거나 신종인 악성코드는 아니지만 스팸메일을 통해 전파를 하거나, 다운로드 유도 등을 통해 감염을 유도할 수 있으므로, 사용자의 주의가 필요해 보입니다.

                                                                                                    +---------------------------------+
                                                                                                    | Infinite Flow..                              |

                                                                                                    | mail : geekspark@gmail.com         |
                                                                                                    | Blog : http://sinun.tistory.com       |
                                                                                                    | twitter : @unpacker                      |
                                                                                                    | CISSP                                        |
                                                                                                    +----------------------------------+
저작자 표시 비영리 변경 금지
신고
Posted by By. PHR34K

티스토리 툴바