악성코드 분석 썸네일형 리스트형 Android Tigerbot-Spyera Analysis 이번에 분석해 볼 앱은 정말 최근(2012. 4.11)에 발견된 원격 스마트폰을 SMS로 컨트롤하는 앱이다. 클래스파일이 너무 많아 line by line는 안되고 악성 행위를 하는 부분에 대해서만 설명하도록 하겠다. 일단 GPS 업데이트 부분을 한번 살펴보자. 해당 앱은 감염된 스마트폰의 GPS 정보를 전송하는 기능이 있는데 해당 기능은 [그림1]과 같은 소스코드가 수행하며 클래스 파일의 이름은 CdmaCellLocation이다. [그림 1 - GPS 위치 전송 데이터 설정] 이번에는 전화통화를 강제로 종료하는 부분이다. 스마트폰의 스크린이 켜지면 그 이벤트를 감지하여 전화통화 상태일시 전화통화를 종료해버린다. [그림 2 - 전화통화 강제종료] 이번에는 감염 스마트폰의 이미지 전송 부분이다. 사용자가 .. 더보기 악성코드(word.vbe) 간단한 추가 분석 너무너무 궁금해서 결국 분석환경에서 간단히 어떠한 동작을 하는지 보았다. 온라인 게임 계정탈취 악성코드는 아닌듯 하고, 200~으로 시작하는 파일이 Alcrm32.exe파일을 Drop해 실행시킨다. 또, logo09.exe파일은 레지스트리 중 Ahnlab Tray 레지스트리에 자신을 등록하게 삭제 된다. 나머지 파일 하나는 그냥 백도어 프로그램 이다.. 그리고 나서 200~ 파일은 인터넷 접속을 시도 하고, site/main/b.txt를 받으려고 하나 해당 사이트에서 조치가 취해졌는지 파일이 없어 다운받지 못하고 404 페이지만 서버로부터 받는다. [그림 1 - 패킷 스트림 모습] 해당 사이트는 현재 공사중이라고 표시되고 b.txt 파일은 다운로드 되지 않으므로 주소를 공개한다. 과연 저 b.txt파일에.. 더보기 악성코드(word.vbe) 분석(2011. 12. 14 수정) 네이버 지식인 모니터링 중 어떤 질문자가 다급하게 링크를 올리며 질문을 했던 적이 있었다(SIS 공부 기간에) 네이트온 쪽지로 이상한 URL이 왔다고 알아봐 달라는 질문 이었다. 바로 URL로 들어가니 어떠한 파일을 다운받는 링크가 나왔고 다운 받으니 word.vbe라는 VB Script 파일이었다. 네이트온 쪽지로 왔으니 악성코드가 맞는 것은 100% 일 것!! 하지만, 그때는 공부중이어서 분석을 하지 못했고, 오늘에서야 분석을 하게 되었다. 분석시간이 너무 걸려 중간에 그만 뒀지만 그래도 공부는 됬을거라 생각 된다. 바이러스 토탈로 검사 해 본 결과로는 많은 AV에서 탐지하지 못하고 있다는 것이다. 바이러스 토탈에서 이 악성코드를 탐지하는 AV는 4개정도밖에 없었다. 인증샷을 보여주고 싶지만, 현재 .. 더보기 이전 1 다음
