네이버 지식인을 둘러보던 중 어떤 질문자가 네이트온 쪽지 악성코드 다운로드 URL을 링크 시켜놨길래 언능 받아 분석을 해보았다.

 VirusTotal로 보니 벌써 일부 백신에서는 감지를 하고 있는 파일이었다.

 
그래도 오랜만에 분석도 해볼겸 VM에 구축해놓은 환경으로 옴긴 뒤 분석을 시도 하였다.

악성코드 파일에 기본 정보

 
Ghost Security라는 보안회사로 속이고 있다. 어이가 없을 뿐.

파일에 행동과, 코드를 보기 위해 Filemon, OllyDBG를 켜놓은 상태에서 해당 악성코드 파일을 실행했을 때 아래와 같은 이미지에 경고 문구가 등장하면서 실행이 되지 않는다.

OllyDBG 켜놓았을 때
 

 FileMon 켜놓았을 때
 
대부분의 글씨가 깨져서 알아볼수는 없지만(어차피 중국어니까 못알아보는) 대충 이해했을 때 FileMon/RegMon, OllyDBG가 켜져있다고 화를 내는거 같다.

안티 코드가 들어있는 듯!

파일이 원하는대로 모두 종료하고 파일을 실행시키면 특정 서비스를 레지스트리에 등록시킨 후 해당 파일을 제거 된다.


서비스 등록된 화면

 Process Explorer로 보면 아래와 같이 위 이미지에 이상한 문자열로 서비스를 등록시켜 아래와 같은 svchosts.exe 파일로 실행시킨다.

 서비스 구동 화면
 
 해당 서비스가 어떠한 네트워크 동작을 하고 있는지 TCPView로 확인환 결과 
 204.45.118.114:6464에 연결되어있다.
 

특정서버에 연결 확인 화면
 
와이어샤크로 어떠한 패킷이 오고가는지 확인한 결과 
Gh0st 라는 문자열이 보내어지는데 왜 보내지고 받는지는 알 수 없었다.

 

보내어지는 패킷 내용
 

* 해당 악성코드 수동 치료 방법!

1. 아래 이미지와 같이 등록되어 있는 서비스를 '사용안함'으로 설정!



2. 위 Path 수동 삭제!

3. 악성코드가 생성한 레지스트리 수동 삭제!(아래는 악성코드가 생성한 레지스트리) 



4. 변경된 기존 레지스트리를 다시 원상복구하기 위해 수정!
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess

   변경 전 : Start = 4
   변경 후 : Start = 3 
   
변경 전 : Type = 20

   변경 후 : Type = 110


   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip

   변경 전 : %SystemRoot%\System32\iprtrmgr.dll

   변경 후 : C:\XXXXXXXX.dll
   ※ XXXXX : 랜덤한 숫자.

5. 완전한 치료를 위해 각 컴퓨터에 사용중인 백신으로 정밀검사 실시! 


오랜만에 재밌는 분석해서 기분이 좋다!

악성코드 샘플을 많이 얻을 수 있다면 얼마나 좋을까~

  1. Favicon of http://blog.naver.com/taiga800 BlogIcon 타이가 2011.12.01 02:14

    뭔가 많이 흥미롭군요.

  2. Favicon of http://0xffffffff.tistory.com BlogIcon Z1ke 2012.01.18 14:56 신고

    짱개산 RAT 한종류네여 ^^ 와샥에서 패킷 내보내는것은 감염을 알리는 health check 의 일종일듯 싶네요 ^^

    • Favicon of https://maj3sty.tistory.com BlogIcon MaJ3stY 2012.01.18 19:31 신고

      아 감염을 알리는... 그럴수도 있겠네요 ㅎㅎ

      엄청난 고수시군요 :)

+ Recent posts