블로그 이미지
쿠들릭
전자기기 사용기와 함께 악성코드 관련글과 일상을 업로드 하는 블로그 입니다.^^

calendar

      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31  

Notice

'2014/01'에 해당되는 글 1

  1. 2014.01.19 피파온라인3 이적시장 매크로를 사칭한 악성코드 주의!!(1)
2014. 1. 19. 02:29 악성코드분석

최근 인기가 높아진 게임, 피파 온라인3에 관하여 부득이한 방법으로 이득을 취하기 위해 생겨진 

매크로를 이용하는 사용자가 많이 늘었는데 이를 이용하여 각 커뮤니티나 카페에서 

정상파일이 아닌 악성파일을 끼워넣어 원격 조종을 이용한 계정 탈취를 노린 악성코드가 발생하였습니다.


완성된 날짜는 14.01.19. PM 3시쯤으로 만들어진지 별로 안된 파일입니다.


해당 샘플에 관한 현재 백신 탐지율은 31/48로 대다수 백신에서 탐지하고 있는 실정입니다.


https://www.virustotal.com/ko/file/e8602f2db95a1746c20c572d13ab87da27809dbb0e0f0fea7b058e36eb08aba3/analysis/ <해당 악성코드 탐지 현황 링크>


※우리나라에 잘 알려진 백신으로는 V3, 알약, Avast, Avira, 카스퍼스키, nProtect으로 탐지및 치료 가능합니다.


해당파일을 실행시 netsh.exe라는 파일을 외부로부터 불러와 svhost.exe라는 이름을 가진 파일을 프로세스상에 상주시킵니다.

svhost.exe라는 파일은 MD5값이 be43ed7d7767f6a1b4174728f3e114ee 으로 원본실행파일과 값이 같고 단지 이름만 다르게 바뀌기만 할뿐입니다. 


좀 더 자세히 분석하기 위해 직접 실행해보았습니다.





위와 같이 svhost.exe라는 이름으로 실행되는데 

대부분의 악성코드가 사용하는 교묘한 이름쓰기 수법을 이용하여 

svchost.exe라는 정상파일을 위장하여 만든 악성코드임을 알 수 있습니다.




해당 파일에 관한 정보입니다. 

주 드라이브에 ProgramData라는 폴더 안에 생성됩니다.

특별히 적혀있는 Build, Version이나 Company명이 없는것으로 보아


단순 아마추어 개인제작자가 만든 것 또는 

마치 예를 들자면 Zeus Tool같은 악성코드 생성기를 이용하여 만든 악성코드일 가능성이 높습니다.






네트워크 쪽을 보시면 아시겠지만 Send Bytes, Send 시도 횟수를 보아

외부로 개인정보를 유출하는 악성코드임을 확실히 알 수 있습니다.





마지막으로 해당 악성코드의 데이터가 도착되는 중계지 IP주소입니다. 

[221.158.46.232:1212] 위 아이피는 통신사 서버와 연결되어 있기만 할 뿐, 

직접적인 거주지 같은건 전혀 알 수가 없습니다.



항상 주의하실점은 인터넷에서 검증받지 않은 파일은 반드시 백신으로 검사하시고

실행하는 것이 안전합니다. 





posted by 쿠들릭

댓글을 달아 주세요

  1. C:\Programdata\이라.... 참 꼼꼼하게 숨겨놨네요

prev 1 next