네이버 지식인을 둘러보던 중 어떤 질문자가 네이트온 쪽지 악성코드 다운로드 URL을 링크 시켜놨길래 언능 받아 분석을 해보았다.
VirusTotal로 보니 벌써 일부 백신에서는 감지를 하고 있는 파일이었다.
그래도 오랜만에 분석도 해볼겸 VM에 구축해놓은 환경으로 옴긴 뒤 분석을 시도 하였다.
Ghost Security라는 보안회사로 속이고 있다. 어이가 없을 뿐.
파일에 행동과, 코드를 보기 위해 Filemon, OllyDBG를 켜놓은 상태에서 해당 악성코드 파일을 실행했을 때 아래와 같은 이미지에 경고 문구가 등장하면서 실행이 되지 않는다.
안티 코드가 들어있는 듯!
파일이 원하는대로 모두 종료하고 파일을 실행시키면 특정 서비스를 레지스트리에 등록시킨 후 해당 파일을 제거 된다.
VirusTotal로 보니 벌써 일부 백신에서는 감지를 하고 있는 파일이었다.
그래도 오랜만에 분석도 해볼겸 VM에 구축해놓은 환경으로 옴긴 뒤 분석을 시도 하였다.
악성코드 파일에 기본 정보
Ghost Security라는 보안회사로 속이고 있다. 어이가 없을 뿐.
파일에 행동과, 코드를 보기 위해 Filemon, OllyDBG를 켜놓은 상태에서 해당 악성코드 파일을 실행했을 때 아래와 같은 이미지에 경고 문구가 등장하면서 실행이 되지 않는다.
OllyDBG 켜놓았을 때
FileMon 켜놓았을 때
대부분의 글씨가 깨져서 알아볼수는 없지만(어차피 중국어니까 못알아보는) 대충 이해했을 때 FileMon/RegMon, OllyDBG가 켜져있다고 화를 내는거 같다.안티 코드가 들어있는 듯!
파일이 원하는대로 모두 종료하고 파일을 실행시키면 특정 서비스를 레지스트리에 등록시킨 후 해당 파일을 제거 된다.
서비스 등록된 화면
Process Explorer로 보면 아래와 같이 위 이미지에 이상한 문자열로 서비스를 등록시켜 아래와 같은 svchosts.exe 파일로 실행시킨다.
해당 서비스가 어떠한 네트워크 동작을 하고 있는지 TCPView로 확인환 결과 204.45.118.114:6464에 연결되어있다.
와이어샤크로 어떠한 패킷이 오고가는지 확인한 결과 Gh0st 라는 문자열이 보내어지는데 왜 보내지고 받는지는 알 수 없었다.
서비스 구동 화면
해당 서비스가 어떠한 네트워크 동작을 하고 있는지 TCPView로 확인환 결과 204.45.118.114:6464에 연결되어있다.
특정서버에 연결 확인 화면
와이어샤크로 어떠한 패킷이 오고가는지 확인한 결과 Gh0st 라는 문자열이 보내어지는데 왜 보내지고 받는지는 알 수 없었다.
보내어지는 패킷 내용
* 해당 악성코드 수동 치료 방법!
1. 아래 이미지와 같이 등록되어 있는 서비스를 '사용안함'으로 설정!
2. 위 Path 수동 삭제!
3. 악성코드가 생성한 레지스트리 수동 삭제!(아래는 악성코드가 생성한 레지스트리)
4. 변경된 기존 레지스트리를 다시 원상복구하기 위해 수정!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess
변경 전 : Start = 4
변경 후 : Start = 3
변경 전 : Type = 20
변경 후 : Type = 110
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip
변경 전 : %SystemRoot%\System32\iprtrmgr.dll
변경 후 : C:\XXXXXXXX.dll
※ XXXXX : 랜덤한 숫자.
5. 완전한 치료를 위해 각 컴퓨터에 사용중인 백신으로 정밀검사 실시!
오랜만에 재밌는 분석해서 기분이 좋다!
악성코드 샘플을 많이 얻을 수 있다면 얼마나 좋을까~
'[+] Security > [-] Analysis' 카테고리의 다른 글
| 악성코드(word.vbe) 분석(2011. 12. 14 수정) (0) | 2011.12.13 |
|---|---|
| 스팸메일을 뜯어보자! (0) | 2011.11.16 |
| 데이터넷 웹페이지에 심어진 악성코드. (4) | 2009.03.17 |
| 39개의 백신으로 바이러스 감염 파일인지 확인 해주는 사이트. (2) | 2009.03.15 |
