안녕하십니까? 잉카인터넷 nProtect 입니다.

 

2017년 03월 07일자 첫번째 업데이트 안내문입니다.

 

금일 정기 업데이트에서는 총 1005개 악성코드에 대한 진단/치료가 안티 바이러스에 업데이트 되었습니다.

 

 

1. 안티 바이러스 업데이트 안내

 

1-1. 안티 바이러스 업데이트 버전 : 2017-03-07.01

 

1-2. 다음 1005개 악성코드에 대한 진단/치료가 자사 엔진에 업데이트 되었습니다.

 

Abuse-Worry/W32.Ardamax.804478

Backdoor/W32.Agent.105472.AL

Backdoor/W32.Agent.1097861

Backdoor/W32.Agent.1098297

Backdoor/W32.Agent.1098644

Backdoor/W32.Agent.1098903

Backdoor/W32.Agent.11496

Backdoor/W32.Agent.119138

Backdoor/W32.Agent.12154

Backdoor/W32.Agent.1259520.D

Backdoor/W32.Agent.1284578

Backdoor/W32.Agent.1391586

Backdoor/W32.Agent.1480030

Backdoor/W32.Agent.1482079

Backdoor/W32.Agent.1483365

Backdoor/W32.Agent.1564138

Backdoor/W32.Agent.1566391

Backdoor/W32.Agent.1570284

Backdoor/W32.Agent.1572332

Backdoor/W32.Agent.159744.ED

Backdoor/W32.Agent.159813

Backdoor/W32.Agent.159832

Backdoor/W32.Agent.1633013

Backdoor/W32.Agent.1660928.B

Backdoor/W32.Agent.1706140

Backdoor/W32.Agent.1715129

Backdoor/W32.Agent.1725440.B

Backdoor/W32.Agent.1729240

Backdoor/W32.Agent.1729716

Backdoor/W32.Agent.1731705

Backdoor/W32.Agent.1732660

Backdoor/W32.Agent.1761280.C

Backdoor/W32.Agent.1762901

Backdoor/W32.Agent.1770259

Backdoor/W32.Agent.1777181

Backdoor/W32.Agent.1784928

Backdoor/W32.Agent.1784943

Backdoor/W32.Agent.1786441

Backdoor/W32.Agent.180652

Backdoor/W32.Agent.1819582

Backdoor/W32.Agent.184660.B

Backdoor/W32.Agent.184711

Backdoor/W32.Agent.184785

Backdoor/W32.Agent.184808

Backdoor/W32.Agent.184832.W

Backdoor/W32.Agent.1863680.F

Backdoor/W32.Agent.1883180

Backdoor/W32.Agent.1883810

Backdoor/W32.Agent.1885616

Backdoor/W32.Agent.1887492

Backdoor/W32.Agent.1887570

Backdoor/W32.Agent.1888334

Backdoor/W32.Agent.1888658

Backdoor/W32.Agent.1888800

Backdoor/W32.Agent.1889869

Backdoor/W32.Agent.1953577

Backdoor/W32.Agent.1964798

Backdoor/W32.Agent.1965401

Backdoor/W32.Agent.1968472

Backdoor/W32.Agent.1971457

Backdoor/W32.Agent.1971464

Backdoor/W32.Agent.1971547

Backdoor/W32.Agent.1971557

Backdoor/W32.Agent.1972627

Backdoor/W32.Agent.1972896

Backdoor/W32.Agent.1973595

Backdoor/W32.Agent.1973678

Backdoor/W32.Agent.1980195

Backdoor/W32.Agent.201100

Backdoor/W32.Agent.2039265

Backdoor/W32.Agent.2040010

Backdoor/W32.Agent.2052305

Backdoor/W32.Agent.2054253

Backdoor/W32.Agent.2056302

Backdoor/W32.Agent.2057425

Backdoor/W32.Agent.2065320

Backdoor/W32.Agent.2065414

Backdoor/W32.Agent.2093449

Backdoor/W32.Agent.238506

Backdoor/W32.Agent.262144.CJ

Backdoor/W32.Agent.2866688

Backdoor/W32.Agent.292352.O

Backdoor/W32.Agent.307200.CC

Backdoor/W32.Agent.307679

Backdoor/W32.Agent.32768.FS

Backdoor/W32.Agent.329216.P

Backdoor/W32.Agent.332175

Backdoor/W32.Agent.3509376

Backdoor/W32.Agent.3510996

Backdoor/W32.Agent.364973

Backdoor/W32.Agent.394195

Backdoor/W32.Agent.405864

Backdoor/W32.Agent.409993

Backdoor/W32.Agent.4103168

Backdoor/W32.Agent.463383

Backdoor/W32.Agent.503808.AK

Backdoor/W32.Agent.621618

Backdoor/W32.Agent.633889

Backdoor/W32.Agent.647168.AU

Backdoor/W32.Agent.716800.AC

Backdoor/W32.Agent.719872.J

Backdoor/W32.Agent.723456.I

Backdoor/W32.Agent.794975.B

Backdoor/W32.Agent.815104.Z

Backdoor/W32.Agent.839680.R

Backdoor/W32.Agent.93402.B

Backdoor/W32.Agent.985600.D

Backdoor/W32.Agobot.12800.B

Backdoor/W32.Androm.106496.AU

Backdoor/W32.Androm.2071552

Backdoor/W32.Androm.2351104

Backdoor/W32.Androm.353280.H

Backdoor/W32.Androm.45056.I

Backdoor/W32.Bifrose.50261

Backdoor/W32.DarkKomet.5152256

Backdoor/W32.Death.95994

Backdoor/W32.Farfli.1021439

Backdoor/W32.Farfli.215925

Backdoor/W32.MiniDuke.4096

Backdoor/W32.Poison.4477440

Backdoor/W32.RBot.5513216

Backdoor/W32.RemoteManipulator.4042664

Backdoor/W32.WootBot.1892864

Backdoor/W32.Xtreme.161280.D

Banker/W32.Agent.1105

Banker/W32.Agent.123904

Banker/W32.Agent.138378.B

Banker/W32.Agent.144218

Banker/W32.Agent.155898.B

Banker/W32.Agent.160243

Banker/W32.Agent.16384

Banker/W32.Agent.180718.B

Banker/W32.Agent.265363

Banker/W32.Agent.290816

Banker/W32.Agent.307200.B

Banker/W32.Agent.330933

Banker/W32.Agent.335872.B

Banker/W32.Agent.57344

Banker/W32.Agent.68315.B

Banker/W32.Agent.709120

Banker/W32.Agent.71218.B

Banker/W32.Banbra.431337

Banker/W32.BestaFera.910336

Banker/W32.ChePro.810496

Banker/W32.Metel.1625088

Banker/W32.Metel.264704

Banker/W32.Neverquest.404554

Downloader/W32.Agent.1134592

Downloader/W32.Agent.581632

Ransom/W32.Agent.243386

Ransom/W32.Agent.513141

Ransom/W32.Agent.522960

Ransom/W32.Agent.526060

Ransom/W32.Agent.804971

Ransom/W32.Blocker.1120768

Ransom/W32.Blocker.12288

Ransom/W32.Blocker.24576.B

Ransom/W32.Blocker.467442

Ransom/W32.Blocker.638464

Ransom/W32.Blocker.967445

Ransom/W32.Cerber.149812

Ransom/W32.Cerber.240825

Ransom/W32.Cerber.242873

Ransom/W32.Cerber.243385

Ransom/W32.Cerber.243386

Ransom/W32.Cerber.254138.D

Ransom/W32.Cerber.265913.C

Ransom/W32.Cerber.270010.D

Ransom/W32.Cerber.270522.C

Ransom/W32.Cerber.274290

Ransom/W32.Cerber.276461

Ransom/W32.Cerber.308857

Ransom/W32.Cerber.385706

Ransom/W32.Crusis.252416

Ransom/W32.Crusis.338432

Ransom/W32.Cryptor.1069056

Ransom/W32.Dorifel.1649176

Ransom/W32.Foreign.10666

Ransom/W32.Foreign.20242

Ransom/W32.Foreign.297544

Ransom/W32.Gimemo.19852800

Ransom/W32.Rack.360448

Ransom/W32.SageCrypt.307968

Ransom/W32.Spora.67072.B

Ransom/W32.Spora.67072.C

Ransom/W32.Spora.67584.C

Ransom/W32.Spora.69632.J

Ransom/W32.Xorist.16384

Trojan-Downloader/W32.AdLoad.218614.F

Trojan-Downloader/W32.Agent.1085379

Trojan-Downloader/W32.Agent.23010

Trojan-Downloader/W32.Agent.296792

Trojan-Downloader/W32.Agent.3339302

Trojan-Downloader/W32.Agent.428394

Trojan-Downloader/W32.Agent.428530

Trojan-Downloader/W32.Agent.587007

Trojan-Downloader/W32.Agent.774391

Trojan-Downloader/W32.Agent.849920.D

Trojan-Downloader/W32.Banload.454656.N

Trojan-Downloader/W32.Paph.67117

Trojan-Downloader/W32.Upatre.112256.D

Trojan-Downloader/W32.Upatre.112802

Trojan-Downloader/W32.Upatre.112938

Trojan-Downloader/W32.Upatre.113328

Trojan-Downloader/W32.Upatre.113464

Trojan-Downloader/W32.Upatre.123588

Trojan-Downloader/W32.Upatre.23616

Trojan-Downloader/W32.Upatre.251336

Trojan-Downloader/W32.Upatre.256296

Trojan-Downloader/W32.Upatre.256432

Trojan-Downloader/W32.Upatre.256612

Trojan-Downloader/W32.Upatre.257908

Trojan-Downloader/W32.Upatre.361892

Trojan-Downloader/W32.Upatre.362476

Trojan-Downloader/W32.Upatre.362612

Trojan-Downloader/W32.Upatre.367532

Trojan-Downloader/W32.Upatre.37952.X

Trojan-Downloader/W32.Upatre.38048.D

Trojan-Downloader/W32.Upatre.38080.D

Trojan-Downloader/W32.Upatre.38088.D

Trojan-Downloader/W32.Upatre.38098.E

Trojan-Downloader/W32.Upatre.38228.B

Trojan-Downloader/W32.Upatre.38356

Trojan-Downloader/W32.Upatre.38492

Trojan-Downloader/W32.Upatre.38960.C

Trojan-Downloader/W32.Upatre.39776.D

Trojan-Downloader/W32.Upatre.40150

Trojan-Downloader/W32.Upatre.40286

Trojan-Downloader/W32.Upatre.40608.C

Trojan-Downloader/W32.Upatre.40664.C

Trojan-Downloader/W32.Upatre.40744.E

Trojan-Downloader/W32.Upatre.40744.F

Trojan-Downloader/W32.Upatre.40764.B

Trojan-Downloader/W32.Upatre.40800.D

Trojan-Downloader/W32.Upatre.40880.C

Trojan-Downloader/W32.Upatre.40900.B

Trojan-Downloader/W32.Upatre.41036

Trojan-Downloader/W32.Upatre.41464.C

Trojan-Downloader/W32.Upatre.41500

Trojan-Downloader/W32.Upatre.41528.B

Trojan-Downloader/W32.Upatre.41600.C

Trojan-Downloader/W32.Upatre.41674

Trojan-Downloader/W32.Upatre.41824

Trojan-Downloader/W32.Upatre.43274

Trojan-Downloader/W32.Upatre.43770.B

Trojan-Downloader/W32.Upatre.43906

Trojan-Downloader/W32.Upatre.44762

Trojan-Downloader/W32.Upatre.44898

Trojan-Downloader/W32.Upatre.45034

Trojan-Downloader/W32.Upatre.49745

Trojan-Downloader/W32.Upatre.49881

Trojan-Downloader/W32.Upatre.50017

Trojan-Downloader/W32.Upatre.50624

Trojan-Downloader/W32.Upatre.51312

Trojan-Downloader/W32.Upatre.68416

Trojan-Downloader/W32.Upatre.68552

Trojan-Downloader/W32.Upatre.71812

Trojan-Downloader/W32.Upatre.76858

Trojan-Downloader/W32.Upatre.98304.B

Trojan-Downloader/W32.Xunleihd.609766

Trojan-Dropper/W32.Agent.1083410

Trojan-Dropper/W32.Agent.12288.DA

Trojan-Dropper/W32.Agent.1605120.C

Trojan-Dropper/W32.Agent.17779735

Trojan-Dropper/W32.Agent.2203

Trojan-Dropper/W32.Agent.28067

Trojan-Dropper/W32.Agent.3129344.B

Trojan-Dropper/W32.Agent.342574

Trojan-Dropper/W32.Agent.3609

Trojan-Dropper/W32.Agent.405504.BJ

Trojan-Dropper/W32.Agent.4111

Trojan-Dropper/W32.Agent.4128

Trojan-Dropper/W32.Agent.4828

Trojan-Dropper/W32.Agent.4914703

Trojan-Dropper/W32.Agent.724499

Trojan-Dropper/W32.Agent.725184

Trojan-Dropper/W32.Agent.744409

Trojan-Dropper/W32.Agent.7792057

Trojan-Dropper/W32.Agent.9216.AX

Trojan-Dropper/W32.Bodor.753936

Trojan-Dropper/W32.Bodor.835048

Trojan-Dropper/W32.Dapato.528896.FB

Trojan-Dropper/W32.Daws.153673

Trojan-Dropper/W32.Daws.153933

Trojan-Dropper/W32.Daws.154193

Trojan-Dropper/W32.Daws.155648.B

Trojan-Dropper/W32.Daws.56832.C

Trojan-Dropper/W32.Daws.64757

Trojan-Dropper/W32.Dinwod.1603407

Trojan-Dropper/W32.Dinwod.2758304

Trojan-Dropper/W32.Dycler.114688.C

Trojan-Dropper/W32.FrauDrop.299520.D

Trojan-Dropper/W32.Inegery.405504

Trojan-Dropper/W32.Inject.16384

Trojan-Dropper/W32.Inject.429056.B

Trojan-Dropper/W32.Inject.499712

Trojan-Dropper/W32.Inject.507904

Trojan-Dropper/W32.Keylogger.1594785

Trojan-Dropper/W32.Necurs.131072.C

Trojan-Dropper/W32.Pincher.19785

Trojan-PWS/W32.Agent.2402449

Trojan-PWS/W32.Fareit.1181696

Trojan-PWS/W32.Fareit.290816.I

Trojan-PWS/W32.Fareit.348672.D

Trojan-PWS/W32.Kykymber.55108.B

Trojan-PWS/W32.Kykymber.67392

Trojan-PWS/W32.LdPinch.32256.IV

Trojan-PWS/W32.LdPinch.512

Trojan-PWS/W32.LdPinch.6569

Trojan-PWS/W32.OnLineGames.699248

Trojan-PWS/W32.Tepfer.13960

Trojan-PWS/W32.Tepfer.14192

Trojan-PWS/W32.Tepfer.2000000

Trojan-PWS/W32.Tepfer.226304.B

Trojan-PWS/W32.Tmp636.329842

Trojan-Spy/W32.Agent.1141248

Trojan-Spy/W32.Agent.17052953

Trojan-Spy/W32.Agent.17052955

Trojan-Spy/W32.Agent.1847808

Trojan-Spy/W32.Agent.2280960

Trojan-Spy/W32.Agent.4391243

Trojan-Spy/W32.Agent.4391244

Trojan-Spy/W32.Agent.4391245

Trojan-Spy/W32.Agent.512267

Trojan-Spy/W32.Agent.8611808

Trojan-Spy/W32.Agent.8611810

Trojan-Spy/W32.Agent.8611811

Trojan-Spy/W32.Agent.8611812

Trojan-Spy/W32.Agent.8611813

Trojan-Spy/W32.Agent.8611814

Trojan-Spy/W32.Agent.8611815

Trojan-Spy/W32.Agent.8611817

Trojan-Spy/W32.ZBot.18468.B

Trojan-Spy/W32.ZBot.19286

Trojan-Spy/W32.ZBot.19424.B

Trojan-Spy/W32.ZBot.19528.C

Trojan-Spy/W32.ZBot.19562

Trojan-Spy/W32.ZBot.19590.C

Trojan-Spy/W32.ZBot.20152.C

Trojan-Spy/W32.ZBot.20436.D

Trojan-Spy/W32.ZBot.20500.C

Trojan-Spy/W32.ZBot.20572.B

Trojan-Spy/W32.ZBot.2060288

Trojan-Spy/W32.ZBot.20636.C

Trojan-Spy/W32.ZBot.20772.D

Trojan-Spy/W32.ZBot.24940.B

Trojan-Spy/W32.ZBot.25078.B

Trojan-Spy/W32.ZBot.25146.B

Trojan-Spy/W32.ZBot.25422

Trojan-Spy/W32.ZBot.25560

Trojan-Spy/W32.ZBot.25698.B

Trojan-Spy/W32.ZBot.25752

Trojan-Spy/W32.ZBot.25820

Trojan-Spy/W32.ZBot.25890.B

Trojan-Spy/W32.ZBot.26028.C

Trojan-Spy/W32.ZBot.26166.B

Trojan-Spy/W32.ZBot.26304

Trojan-Spy/W32.ZBot.26816.B

Trojan-Spy/W32.ZBot.26954

Trojan-Spy/W32.ZBot.29706.B

Trojan-Spy/W32.ZBot.29982.C

Trojan-Spy/W32.ZBot.30120.B

Trojan-Spy/W32.ZBot.30330

Trojan-Spy/W32.ZBot.30468

Trojan-Spy/W32.ZBot.30606.B

Trojan-Spy/W32.ZBot.30744

Trojan-Spy/W32.ZBot.33654

Trojan-Spy/W32.ZBot.33790

Trojan-Spy/W32.ZBot.33926.B

Trojan-Spy/W32.ZBot.44780

Trojan-Spy/W32.ZBot.44918

Trojan-Spy/W32.ZBot.45056.BP

Trojan-Spy/W32.ZBot.45194

Trojan-Spy/W32.ZBot.825856.I

Trojan-Spy/W32.ZBot.834064.F

Trojan/W32.Agent.1024.S

Trojan/W32.Agent.102400.ERZ

Trojan/W32.Agent.103936.AAA

Trojan/W32.Agent.104448.XB

Trojan/W32.Agent.1071467

Trojan/W32.Agent.1081344.FY

Trojan/W32.Agent.1081629.B

Trojan/W32.Agent.11017095

Trojan/W32.Agent.110592.DCS

Trojan/W32.Agent.111104.VZ

Trojan/W32.Agent.111616.VN

Trojan/W32.Agent.11216115

Trojan/W32.Agent.1134080.AB

Trojan/W32.Agent.114282.B

Trojan/W32.Agent.11571403

Trojan/W32.Agent.1187840.CR

Trojan/W32.Agent.1212416.EJ

Trojan/W32.Agent.1212416.EK

Trojan/W32.Agent.1223420

Trojan/W32.Agent.12420.D

Trojan/W32.Agent.1261568.CM

Trojan/W32.Agent.129601.B

Trojan/W32.Agent.130149.C

Trojan/W32.Agent.130152.B

Trojan/W32.Agent.130179

Trojan/W32.Agent.1302226

Trojan/W32.Agent.131072.DCS

Trojan/W32.Agent.1318912.DI

Trojan/W32.Agent.1328640.X

Trojan/W32.Agent.1343488.DS

Trojan/W32.Agent.1359872.CK

Trojan/W32.Agent.137212.F

Trojan/W32.Agent.1425408.CY

Trojan/W32.Agent.145188.B

Trojan/W32.Agent.1464136.B

Trojan/W32.Agent.1509572

Trojan/W32.Agent.1550721

Trojan/W32.Agent.1583482

Trojan/W32.Agent.158720.SP

Trojan/W32.Agent.1593502

Trojan/W32.Agent.159432.G

Trojan/W32.Agent.1613824.CQ

Trojan/W32.Agent.1637662.B

Trojan/W32.Agent.163840.CPI

Trojan/W32.Agent.163840.CPJ

Trojan/W32.Agent.16403.D

Trojan/W32.Agent.1657344.N

Trojan/W32.Agent.1668021

Trojan/W32.Agent.1692861

Trojan/W32.Agent.170544

Trojan/W32.Agent.1720259

Trojan/W32.Agent.1810944.L

Trojan/W32.Agent.184320.BJH

Trojan/W32.Agent.1888821

Trojan/W32.Agent.1992199

Trojan/W32.Agent.2022400.S

Trojan/W32.Agent.20363776

Trojan/W32.Agent.2048.HX

Trojan/W32.Agent.2049536.Q

Trojan/W32.Agent.2057393

Trojan/W32.Agent.2062702

Trojan/W32.Agent.2088921

Trojan/W32.Agent.208896.AVW

Trojan/W32.Agent.212992.BST

Trojan/W32.Agent.212992.BSU

Trojan/W32.Agent.2202624.E

Trojan/W32.Agent.221352.C

Trojan/W32.Agent.228864.HT

Trojan/W32.Agent.229376.BBN

Trojan/W32.Agent.232976.C

Trojan/W32.Agent.233472.APW

Trojan/W32.Agent.233472.APX

Trojan/W32.Agent.237568.AQG

Trojan/W32.Agent.243897.B

Trojan/W32.Agent.24576.FNT

Trojan/W32.Agent.250432.B

Trojan/W32.Agent.2510848.AN

Trojan/W32.Agent.2549846

Trojan/W32.Agent.2558424

Trojan/W32.Agent.2560.QX

Trojan/W32.Agent.256512.LG

Trojan/W32.Agent.256521

Trojan/W32.Agent.258680.B

Trojan/W32.Agent.2653342

Trojan/W32.Agent.276696

Trojan/W32.Agent.2784256.P

Trojan/W32.Agent.27908.B

Trojan/W32.Agent.28008.B

Trojan/W32.Agent.280340.B

Trojan/W32.Agent.2818048.AE

Trojan/W32.Agent.289792.IH

Trojan/W32.Agent.292352.JJ

Trojan/W32.Agent.29244.C

Trojan/W32.Agent.29382.D

Trojan/W32.Agent.29412.NF

Trojan/W32.Agent.299008.AIK

Trojan/W32.Agent.299286.B

Trojan/W32.Agent.301287

Trojan/W32.Agent.30300.B

Trojan/W32.Agent.303104.AFJ

Trojan/W32.Agent.303104.AFK

Trojan/W32.Agent.30375.C

Trojan/W32.Agent.3039232.AE

Trojan/W32.Agent.30438.C

Trojan/W32.Agent.306176.MF

Trojan/W32.Agent.30782.B

Trojan/W32.Agent.30784.C

Trojan/W32.Agent.30828.B

Trojan/W32.Agent.3104768.P

Trojan/W32.Agent.31762.F

Trojan/W32.Agent.31900.B

Trojan/W32.Agent.32290.B

Trojan/W32.Agent.32380

Trojan/W32.Agent.32426.B

Trojan/W32.Agent.32768.EBM

Trojan/W32.Agent.3347486

Trojan/W32.Agent.33508.QL

Trojan/W32.Agent.33753.B

Trojan/W32.Agent.33788.C

Trojan/W32.Agent.346588

Trojan/W32.Agent.35290.B

Trojan/W32.Agent.35328.UN

Trojan/W32.Agent.360448.AHX

Trojan/W32.Agent.36408.E

Trojan/W32.Agent.36816.B

Trojan/W32.Agent.368640.ACV

Trojan/W32.Agent.36880.O

Trojan/W32.Agent.375808.HT

Trojan/W32.Agent.376341

Trojan/W32.Agent.376345.B

Trojan/W32.Agent.381952.HD

Trojan/W32.Agent.393819

Trojan/W32.Agent.395638

Trojan/W32.Agent.401920.JA

Trojan/W32.Agent.404832

Trojan/W32.Agent.40960.DNM

Trojan/W32.Agent.40960.DNN

Trojan/W32.Agent.4194045.N

Trojan/W32.Agent.4309200

Trojan/W32.Agent.431104.EX

Trojan/W32.Agent.4313088.H

Trojan/W32.Agent.436920

Trojan/W32.Agent.437792.E

Trojan/W32.Agent.443232

Trojan/W32.Agent.470140

Trojan/W32.Agent.483328.PN

Trojan/W32.Agent.483328.PO

Trojan/W32.Agent.4839936.B

Trojan/W32.Agent.4878336.E

Trojan/W32.Agent.491008.CU

Trojan/W32.Agent.49693.B

Trojan/W32.Agent.504320.CR

Trojan/W32.Agent.5120.ST

Trojan/W32.Agent.516608.CM

Trojan/W32.Agent.520768.B

Trojan/W32.Agent.52736.ANK

Trojan/W32.Agent.528384.OW

Trojan/W32.Agent.534914

Trojan/W32.Agent.534916

Trojan/W32.Agent.536064.CZ

Trojan/W32.Agent.548864.MN

Trojan/W32.Agent.5508181

Trojan/W32.Agent.557056.QH

Trojan/W32.Agent.5582142

Trojan/W32.Agent.561152.PM

Trojan/W32.Agent.57344.FCV

Trojan/W32.Agent.57344.FCW

Trojan/W32.Agent.575488.CV

Trojan/W32.Agent.577536.OR

Trojan/W32.Agent.58368.AFV

Trojan/W32.Agent.589858.B

Trojan/W32.Agent.5937424

Trojan/W32.Agent.606232

Trojan/W32.Agent.606234.B

Trojan/W32.Agent.6121632

Trojan/W32.Agent.623104.BX

Trojan/W32.Agent.626688.NL

Trojan/W32.Agent.630874.B

Trojan/W32.Agent.645658.B

Trojan/W32.Agent.65528.C

Trojan/W32.Agent.6630.E

Trojan/W32.Agent.66756.C

Trojan/W32.Agent.692954.B

Trojan/W32.Agent.7108.B

Trojan/W32.Agent.71168.AEI

Trojan/W32.Agent.7182529

Trojan/W32.Agent.72192.ACB

Trojan/W32.Agent.753664.MK

Trojan/W32.Agent.753664.ML

Trojan/W32.Agent.786432.OZ

Trojan/W32.Agent.78693.D

Trojan/W32.Agent.827392.JJ

Trojan/W32.Agent.828416.BH

Trojan/W32.Agent.843118

Trojan/W32.Agent.8476416

Trojan/W32.Agent.847872.JF

Trojan/W32.Agent.847872.JG

Trojan/W32.Agent.8500

Trojan/W32.Agent.857600.AW

Trojan/W32.Agent.8650248

Trojan/W32.Agent.8810496

Trojan/W32.Agent.8976227

Trojan/W32.Agent.90166.F

Trojan/W32.Agent.913408.GV

Trojan/W32.Agent.917504.IG

Trojan/W32.Agent.942080.GQ

Trojan/W32.Agent.946176.FQ

Trojan/W32.Agent.94675.C

Trojan/W32.Agent.950272.FZ

Trojan/W32.Agent.95139.D

Trojan/W32.Agent.95194

Trojan/W32.Agent.96773.E

Trojan/W32.Agent.96819.B

Trojan/W32.Agent2.6652.X

Trojan/W32.Bcex.1717885

Trojan/W32.Bcex.551806

Trojan/W32.Bcex.796683

Trojan/W32.Betabot.1573888

Trojan/W32.BetKrypt.262656

Trojan/W32.Binder.15074917

Trojan/W32.BitCoinMiner.2277000

Trojan/W32.BitCoinMiner.8136192

Trojan/W32.Bublik.108996

Trojan/W32.Bublik.125348

Trojan/W32.Bublik.172032.K

Trojan/W32.Bublik.20364

Trojan/W32.Bublik.20502.B

Trojan/W32.Bublik.20640.B

Trojan/W32.Bublik.20778.C

Trojan/W32.Bublik.20916.B

Trojan/W32.Bublik.20948.C

Trojan/W32.Bublik.22476

Trojan/W32.Bublik.23052

Trojan/W32.Bublik.29376

Trojan/W32.Bublik.384512

Trojan/W32.Bublik.64330

Trojan/W32.Bublik.661472

Trojan/W32.Bublik.95940

Trojan/W32.Bublik.95972

Trojan/W32.Bublik.96490

Trojan/W32.Bublik.974048

Trojan/W32.Bublik.974208

Trojan/W32.Bublik.975136

Trojan/W32.Bublik.975200

Trojan/W32.Bublik.975328

Trojan/W32.Bublik.975584

Trojan/W32.Bublik.975840

Trojan/W32.Bublik.976192

Trojan/W32.Bublik.976256

Trojan/W32.Bublik.976352

Trojan/W32.Bublik.976576

Trojan/W32.Bublik.976640

Trojan/W32.Bublik.977376

Trojan/W32.Bublik.978464

Trojan/W32.Bublik.981920

Trojan/W32.Bublik.98378

Trojan/W32.Bublik.98442

Trojan/W32.Buzus.21696

Trojan/W32.Buzus.22080

Trojan/W32.Buzus.25892.B

Trojan/W32.Capwin.14848

Trojan/W32.Crypt.23649792

Trojan/W32.Crypt.560680

Trojan/W32.Csfrsys.176767

Trojan/W32.DarkHotel.327544

Trojan/W32.Diple.5148672

Trojan/W32.Diztakun.1017856.B

Trojan/W32.Diztakun.1919015

Trojan/W32.Fakeoff.850456

Trojan/W32.FakePDF.1372228

Trojan/W32.Fsysna.1167360.B

Trojan/W32.Fsysna.1311232

Trojan/W32.Fsysna.1387205

Trojan/W32.Fsysna.77821

Trojan/W32.Gofot.2187264

Trojan/W32.Hosts2.53248

Trojan/W32.Inject.102345

Trojan/W32.Inject.102373

Trojan/W32.Inject.10696370

Trojan/W32.Inject.111578

Trojan/W32.Inject.11751531

Trojan/W32.Inject.13513510

Trojan/W32.Inject.1395200.B

Trojan/W32.Inject.1551872

Trojan/W32.Inject.18944.V

Trojan/W32.Inject.191466

Trojan/W32.Inject.19456.Y

Trojan/W32.Inject.208896.AC

Trojan/W32.Inject.27648.OCY

Trojan/W32.Inject.2884608

Trojan/W32.Inject.3309568.C

Trojan/W32.Inject.3681792

Trojan/W32.Inject.410250

Trojan/W32.Inject.565440

Trojan/W32.Inject.6344192

Trojan/W32.Inject.66560.GXM

Trojan/W32.Inject.66560.GXN

Trojan/W32.Inject.66560.GXO

Trojan/W32.Inject.66560.GXP

Trojan/W32.Inject.66560.GXQ

Trojan/W32.Inject.66560.GXR

Trojan/W32.Inject.66560.GXS

Trojan/W32.Inject.66560.GXT

Trojan/W32.Inject.66560.GXU

Trojan/W32.Inject.66560.GXV

Trojan/W32.Inject.66560.GXW

Trojan/W32.Inject.66560.GXX

Trojan/W32.Inject.66560.GXY

Trojan/W32.Inject.66560.GXZ

Trojan/W32.Inject.66560.GYA

Trojan/W32.Inject.66560.GYB

Trojan/W32.Inject.66560.GYC

Trojan/W32.Inject.66560.GYD

Trojan/W32.Inject.66560.GYE

Trojan/W32.Inject.66560.GYF

Trojan/W32.Inject.66560.GYG

Trojan/W32.Inject.66560.GYH

Trojan/W32.Inject.66560.GYI

Trojan/W32.Inject.66560.GYJ

Trojan/W32.Inject.66560.GYK

Trojan/W32.Inject.66560.GYL

Trojan/W32.Inject.66560.GYM

Trojan/W32.Inject.66560.GYN

Trojan/W32.Inject.66560.GYO

Trojan/W32.Inject.66560.GYP

Trojan/W32.Inject.66560.GYQ

Trojan/W32.Inject.66560.GYR

Trojan/W32.Inject.66560.GYS

Trojan/W32.Inject.66560.GYT

Trojan/W32.Inject.66560.GYU

Trojan/W32.Inject.66560.GYV

Trojan/W32.Inject.66560.GYW

Trojan/W32.Inject.66560.GYX

Trojan/W32.Inject.66560.GYY

Trojan/W32.Inject.66560.GYZ

Trojan/W32.Inject.66560.GZA

Trojan/W32.Inject.66560.GZB

Trojan/W32.Inject.66560.GZC

Trojan/W32.Inject.66560.GZD

Trojan/W32.Inject.66560.GZE

Trojan/W32.Inject.66560.GZF

Trojan/W32.Inject.66560.GZG

Trojan/W32.Inject.66560.GZH

Trojan/W32.Inject.66560.GZI

Trojan/W32.Inject.66560.GZJ

Trojan/W32.Inject.66560.GZK

Trojan/W32.Inject.66560.GZL

Trojan/W32.Inject.66560.GZM

Trojan/W32.Inject.66560.GZN

Trojan/W32.Inject.66560.GZO

Trojan/W32.Inject.66560.GZP

Trojan/W32.Inject.66560.GZQ

Trojan/W32.Inject.66560.GZR

Trojan/W32.Inject.66560.GZS

Trojan/W32.Inject.66560.GZT

Trojan/W32.Inject.66560.GZU

Trojan/W32.Inject.66560.GZV

Trojan/W32.Inject.66560.GZW

Trojan/W32.Inject.66560.GZX

Trojan/W32.Inject.66560.GZY

Trojan/W32.Inject.66560.GZZ

Trojan/W32.Inject.66560.HAA

Trojan/W32.Inject.66560.HAB

Trojan/W32.Inject.66560.HAC

Trojan/W32.Inject.66560.HAD

Trojan/W32.Inject.66560.HAE

Trojan/W32.Inject.66560.HAF

Trojan/W32.Inject.66560.HAG

Trojan/W32.Inject.66560.HAH

Trojan/W32.Inject.66560.HAI

Trojan/W32.Inject.66560.HAJ

Trojan/W32.Inject.66560.HAK

Trojan/W32.Inject.66560.HAL

Trojan/W32.Inject.66560.HAM

Trojan/W32.Inject.66560.HAN

Trojan/W32.Inject.66560.HAO

Trojan/W32.Inject.66560.HAP

Trojan/W32.Inject.66560.HAQ

Trojan/W32.Inject.66560.HAR

Trojan/W32.Inject.66560.HAS

Trojan/W32.Inject.66560.HAT

Trojan/W32.Inject.66560.HAU

Trojan/W32.Inject.66560.HAV

Trojan/W32.Inject.66560.HAW

Trojan/W32.Inject.66560.HAX

Trojan/W32.Inject.66560.HAY

Trojan/W32.Inject.66560.HAZ

Trojan/W32.Inject.66560.HBA

Trojan/W32.Inject.66560.HBB

Trojan/W32.Inject.66560.HBC

Trojan/W32.Inject.66560.HBD

Trojan/W32.Inject.66560.HBE

Trojan/W32.Inject.66560.HBF

Trojan/W32.Inject.66560.HBG

Trojan/W32.Inject.66560.HBH

Trojan/W32.Inject.66560.HBI

Trojan/W32.Inject.66560.HBJ

Trojan/W32.Inject.66560.HBK

Trojan/W32.Inject.66560.HBL

Trojan/W32.Inject.66560.HBM

Trojan/W32.Inject.66560.HBN

Trojan/W32.Inject.66560.HBO

Trojan/W32.Inject.66560.HBP

Trojan/W32.Inject.66560.HBQ

Trojan/W32.Inject.66560.HBR

Trojan/W32.Inject.66560.HBS

Trojan/W32.Inject.66560.HBT

Trojan/W32.Inject.66560.HBU

Trojan/W32.Inject.66560.HBV

Trojan/W32.Inject.66560.HBW

Trojan/W32.Inject.66560.HBX

Trojan/W32.Inject.66560.HBY

Trojan/W32.Inject.66560.HBZ

Trojan/W32.Inject.66560.HCA

Trojan/W32.Inject.66560.HCB

Trojan/W32.Inject.66560.HCC

Trojan/W32.Inject.66560.HCD

Trojan/W32.Inject.66560.HCE

Trojan/W32.Inject.66560.HCF

Trojan/W32.Inject.66560.HCG

Trojan/W32.Inject.66560.HCH

Trojan/W32.Inject.66560.HCI

Trojan/W32.Inject.66560.HCJ

Trojan/W32.Inject.66560.HCK

Trojan/W32.Inject.66560.HCL

Trojan/W32.Inject.66560.HCM

Trojan/W32.Inject.66560.HCN

Trojan/W32.Inject.66560.HCO

Trojan/W32.Inject.66560.HCP

Trojan/W32.Inject.66560.HCQ

Trojan/W32.Inject.66560.HCR

Trojan/W32.Inject.66560.HCS

Trojan/W32.Inject.66560.HCT

Trojan/W32.Inject.6917632

Trojan/W32.Inject.880699

Trojan/W32.Inject.9216.BI

Trojan/W32.Inject.970752.C

Trojan/W32.Jorik.45056.FX

Trojan/W32.KeyLogger.57736

Trojan/W32.Kovter.315834

Trojan/W32.Kovter.410369

Trojan/W32.Lunam.4369715

Trojan/W32.MicroFake.279040.B

Trojan/W32.MicroFake.49808

Trojan/W32.Miner.1046338

Trojan/W32.Miner.135704

Trojan/W32.Miner.144877

Trojan/W32.Miner.269588

Trojan/W32.Miner.58127

Trojan/W32.Miner.624677

Trojan/W32.Miner.9947

Trojan/W32.Monder.28672.H

Trojan/W32.naKocTb.1162752

Trojan/W32.Nymaim.498176

Trojan/W32.Nymaim.660480

Trojan/W32.Nymaim.801792

Trojan/W32.OnlineGameHack.20846

Trojan/W32.OnlineGameHack.75571

Trojan/W32.Paneidix.152047

Trojan/W32.Perkiler.20523

Trojan/W32.Perkiler.22383

Trojan/W32.Razy.508169

Trojan/W32.Reconyc.100443

Trojan/W32.Reconyc.1032192

Trojan/W32.Reconyc.1070592

Trojan/W32.Reconyc.1391593

Trojan/W32.Refroso.68031

Trojan/W32.Refroso.68658

Trojan/W32.Refroso.69506.B

Trojan/W32.Scarsi.1639936

Trojan/W32.Scarsi.385024

Trojan/W32.Scarsi.706560

Trojan/W32.Sennoma.210432

Trojan/W32.Sennoma.671010

Trojan/W32.ServStart.100864

Trojan/W32.ShipUp.181776.J

Trojan/W32.ShipUp.199576

Trojan/W32.ShipUp.199760.B

Trojan/W32.ShipUp.217208

Trojan/W32.ShipUp.217224.B

Trojan/W32.ShipUp.225032

Trojan/W32.ShipUp.244368.B

Trojan/W32.ShipUp.275240

Trojan/W32.ShipUp.275248

Trojan/W32.StrongPity.475136.B

Trojan/W32.Swisyn.11845632

Trojan/W32.Swisyn.14430720

Trojan/W32.Swizzor.667648.GP

Trojan/W32.Swizzor.700416.MA

Trojan/W32.TDSS.106496.BQL

Trojan/W32.Valcaryx.1073152

Trojan/W32.VBKryjetor.331776.I

Trojan/W32.VBKryjetor.5148672.L

Trojan/W32.VBKrypt.1077248.D

Trojan/W32.VBKrypt.458425

Trojan/W32.VBKrypt.98304.HY

Trojan/W32.Vilsel.28277

Trojan/W32.Vilsel.30717

Trojan/W32.Waldek.2097152

Trojan/W32.Waldek.5561472

Trojan/W32.Waldek.5638560

Trojan/W32.Waldek.5965056

Trojan/W32.Waldek.6552192

Trojan/W32.Waldek.6627456

Trojan/W32.Waldek.6876000

Trojan/W32.Waldek.7229568

Trojan/W32.Waldek.7330176

Trojan/W32.Waldek.7596864.B

Trojan/W32.Waldek.7641984

Trojan/W32.Waldek.7746528

Trojan/W32.Waldek.7968288

Trojan/W32.Waldek.8079072

Trojan/W32.Wauchos.16112128

Trojan/W32.Wauchos.19739136

Trojan/W32.ZBot.48300

Trojan/W64.Agent.4158792.B

Trojan/W64.Agent.516096

Trojan/W64.Agent.739051

Trojan/W64.Shelma.6144.BD

Trojan/W64.Shelma.8192.O

Worm/W32.Agent.1018332

Worm/W32.Agent.102400.DT

Worm/W32.Agent.1217024

Worm/W32.Agent.2147758

Worm/W32.Agent.257024.G

Worm/W32.Agent.355339

Worm/W32.Agent.390144.O

Worm/W32.Ardurk.13312.ALY

Worm/W32.Ardurk.13312.ALZ

Worm/W32.Ardurk.13312.AMA

Worm/W32.AutoRun.201728.D

Worm/W32.AutoRun.262144.G

Worm/W32.AutoRun.356352.E

Worm/W32.AutoRun.551424

Worm/W32.AutoRun.690688.B

Worm/W32.Bagle.3192

Worm/W32.Dunco.61440.L

Worm/W32.Fasong.495409

Worm/W32.Fasong.501090

Worm/W32.Fasong.502493

Worm/W32.Fasong.508033

Worm/W32.Fasong.508686

Worm/W32.Fasong.509056

Worm/W32.Fasong.509228

Worm/W32.Fasong.509435

Worm/W32.Fasong.510023

Worm/W32.Fasong.542729

Worm/W32.Fasong.542974

Worm/W32.Fasong.543031

Worm/W32.Fasong.543043

Worm/W32.Fasong.578798

Worm/W32.Fasong.581043

Worm/W32.Fasong.581389

Worm/W32.Fasong.581431

Worm/W32.Fasong.581662

Worm/W32.Fasong.581808

Worm/W32.Fasong.581907

Worm/W32.Fasong.582161

Worm/W32.Fasong.582379

Worm/W32.Fasong.582477

Worm/W32.Fasong.582508

Worm/W32.Fasong.582797

Worm/W32.Fasong.582934

Worm/W32.Fasong.583140

Worm/W32.Fasong.602983

Worm/W32.Fasong.621176

Worm/W32.Fasong.621292

Worm/W32.Fasong.629383

Worm/W32.Fasong.629539

Worm/W32.Fasong.630062

Worm/W32.Fasong.630247

Worm/W32.Fasong.630387

Worm/W32.Fasong.630496

Worm/W32.Fasong.630672

Worm/W32.Fasong.630893

Worm/W32.Fasong.630943

Worm/W32.Fasong.631235

Worm/W32.Fasong.631260

Worm/W32.Fasong.631359

Worm/W32.Fasong.631678

Worm/W32.Fasong.631933

Worm/W32.Fasong.632122

Worm/W32.Fasong.632184

Worm/W32.Fasong.632266

Worm/W32.Fasong.661154

Worm/W32.Fasong.662367

Worm/W32.Fasong.662383

Worm/W32.Fasong.662859

Worm/W32.Fasong.664279

Worm/W32.Fasong.689346

Worm/W32.Fasong.689959

Worm/W32.Fasong.690866

Worm/W32.Fasong.722817

Worm/W32.Fasong.762476

Worm/W32.Fasong.763014

Worm/W32.Fasong.763478

Worm/W32.Fasong.763527

Worm/W32.Fasong.763648

Worm/W32.Fasong.763764

Worm/W32.Fasong.764275

Worm/W32.Fasong.765533

Worm/W32.Fasong.797092

Worm/W32.Fasong.797989

Worm/W32.Fasong.798179

Worm/W32.Fasong.798398

Worm/W32.Fesber.1259808

Worm/W32.Kapucen.102400.B

Worm/W32.Kido.167936.B

Worm/W32.Kido.170118

Worm/W32.Kido.94368

Worm/W32.NgrBot.215350

Worm/W32.Nuwar.9858

Worm/W32.Palevo.116224.S

Worm/W32.Socks.255446

Worm/W32.Socks.266860

Worm/W32.Socks.278274

Worm/W32.Socks.5105195

Worm/W32.Socks.8666125

Worm/W32.Vebad.1406114

Worm/W32.Vobfus.98304.X

Worm/W32.WBNA.3563520

Worm/W32.WBNA.57600

Worm/W32.WBNA.61440.CB

Worm/W32.WBNA.69632.AQ

Worm/W32.WBNA.69632.AR

Worm/W32.WBNA.69632.AS

Worm/W32.WBNA.69632.AT

Worm/W32.WBNA.69632.AU

Worm/W32.WBNA.913408

Worm/W32.WhiteIce.204800 


--------------------------------------------------------------------------------------

       Copyright ⓒ, () 잉카인터넷, 2000-2017, All rights reserved.

--------------------------------------------------------------------------------------

저작자 표시 비영리 변경 금지
신고
Posted by Erteam

금융정보 탈취 악성코드 분석 




1. 개요 


분석한 악성코드는 추가로 드롭한 악성 DLL을 로드하도록 윈도우 시스템 DLL 을 변조하여, 금융 정보 탈취와 변조를 시도 한다. 또한, 온라인 금융거래 시에 MITB(Man-In-The-Browser) 공격을 수행하여 목적을 달성한다. 


MITB 공격이란, 금융거래 시 사용자와 제공자 사이에서 거래 문서의 무결성(특히, JavaScript 코드의 무결성 검사)을 확인하지 않아 문서가 변조 됐어도 거래가 가능한 취약점을 노려 거래 과정에서 암호화되지 않은 구간의 민감한 정보를 탈취, 변조하는 공격이다.


이번 보고서에서는 MITB 공격을 수행하는 금융 정보 탈취 악성코드를 상세 분석하였다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

PrimePC.exe

파일크기

777,479 Bytes

진단명

Banker/W32.Agent.777479

악성동작

드롭퍼 (숙주파일)

 

구분

내용

파일명

[RANDOM_01].dll

파일크기

45,056 Bytes

진단명

Banker/W32.Agent.45056.D

주요 악성동작

보안 프로세스 동작 방해

 

구분

내용

파일명

[RANDOM_02].dll

파일크기

301,316 Bytes

진단명

Banker/W32.Agent.301316

주요 악성동작

금융 정보 탈취 및 변조

 

구분

내용

파일명

[RANDOM_03].dll

파일크기

28,672 Bytes

진단명

Banker/W32.Agent.28672.B

주요 악성동작

보안 프로세스 동작 방해

 

구분

내용

파일명

wshtcpip.dll (변조)

파일크기

19,456 Bytes

진단명

Virus/W32.Patched.Gen

악성동작

악성 DLL 로딩

 

구분

내용

파일명

midimap.dll (변조)

파일크기

18,944 Bytes

진단명

Virus/W32.Patched.Gen

악성동작

악성 DLL 로딩

 


2-2. 실행 과정

숙주 악성코드는 여러 파일을 드롭하고 다양한 동작을 수행한다. 세세한 동작을 제외한 주요 동작에 관한 큰 흐름은 아래 그림과 같다. 아래의 흐름도에서 [Random_c].dll[Random_d].dll변조 된 wshtcpip.dllmdidimap.dll 을 통해 로드 되어 악성행위를 수행한다.


[그림 1] 주요 동작 흐름[그림 1] 주요 동작 흐름


해당 악성코드는 일명 ‘메모리 해킹 악성코드’ 로 불린다. 이는 금융 거래 시에 암호화 되어 있어야 하는 민감한 정보들이 일시적으로 메모리 상에 복호화 되어 적재 되어 있는 데이터를 탈취/변조 하기 때문이다. 또한, 공격자는 금융 거래 시에 사용 되는 보안 모듈을 분석하여 해당 보안 모듈에서의 유의미한 데이터를 탈취하도록 했다.





3. 악성 동작


3-1. 파일 드롭

숙주 파일(본 보고서에서 PrimePC.exe) 실행 시 %TEMP% 경로 하위에 임의의 이름([tickCount].tmp)으로 생성한 임시 파일을 생성한다. 해당 임시 파일은 숙주 파일과 동일 한 파일로, 생성 이후 숙주 파일로 의해 다시 실행된다. 새로운 프로세스로 동작하는 임시파일은 숙주 파일의 내용을 변경하고, 또 다른 임의의 파일명을 가진 파일([tickCount].exe)을 %TEMP% 폴더 하위에 생성한다.


해당 파일은 다시 여러 파일을 드롭한다. 또한, 정상 wshtcpip.dll midimap.dll 을 변조하며, 특정 보안 모듈의 동작을 방해한다. 해당 파일이 드롭 하는 주요 파일은 아래와 같다. 


경로

파일 명

파일 크기

비고

%TEMP%

ahnmove.bat

-

자가 삭제 batch 파일

%TEMP%

[RANDOM_01].dll

45,056 Bytes

백신 프로세스에 DLL 인젝션,

코드 패칭

프로세스 종료

%TEMP%

%SYSTEM%

[RANDOM_02].dll

301,316 Bytes

변조 wshtcpip.dll 에 의해 로드

추가 모듈 다운로드

백신 동작 방해

온라인 뱅킹 관련 정보 탈취

%TEMP%

%SYSTEM%

[RANDOM_03].dll

28,672 Bytes

변조 midimap.dll 에 의해 로드
추가 파일 다운로드 및 실행

백신 동작 방해

%SYSTEM%

wshtcpip.dll

19,456 Bytes

변조 된 wshtcpip.dll

%SYSTEM%

midimap.dll

18,944 Bytes

변조 된 midimap.dll

(※ “%SYSTEMROOT%” 환경변수 경로를 편의상 줄여 “%SYSTEM%” 로 한다.)




3-2. 시스템 DLL 변조

윈도우 정상 DLL인 wshtcpip.dllmidimap.dll 을 악성 DLL로 변조한다. 변조 된 DLL 은 LoadLibrary 을 사용하여 각각 “[RANDOM_02].dll(295KB)” 과 “[RANDOM_03].dll(28KB)” 을 로딩 하는 역할을 한다. 그 외 나머지 부분은 정상 시스템 파일과 동일 하다. 로드 되는 특정 악성 DLL은 숙주파일로 부터 %SYSTEM% 폴더 하위에 이미 드롭 되어 있기 때문에 로드 될 수 있다.


이로 인해 wshtcpip.dll midimap.dll 을 기본적으로 로드하는 프로세스는 모두 추가적으로 “[RANDOM_02].dll” 과 “[RANDOM_03].dll” 까지 로드하게 된다.


[그림 2] 변조 된 wshtcpip.dll 에서 악성 DLL을 로드하는 과정[그림 2] 변조 된 wshtcpip.dll 에서 악성 DLL을 로드하는 과정




3-3. 백신 무력화

특정 보안 업체의 제품 설치 유무를 검사 한 뒤 존재하면 백신 프로그램 서비스를 중지시키고, 특정 보안 파일을 언로드 및 제거 한다.


[그림 3] 서비스 중지 및 드라이브 파일 제거[그림 3] 서비스 중지 및 드라이브 파일 제거




3-4. 프로세스 종료

변조된 wshtcpi.dll 에 의해 [RANDOM_02].dll 이 “iexplore.exe”에 로드 된 경우 특정 백신 업체의 제품 프로세스를 조회하여 종료시킨다. 또한 윈도우 타이틀의 이름이 특정 문자열과 맞을 경우 종료 메시지를 전달한다. 검사하는 윈도우 타이틀은 아래와 같다. 


검사하는 윈도우 타이틀

바람의 나라 – 고대 고구려

리니지 :: 보안&편의 서비스

액션쾌감!!! 던전앤파이터

메이플스토리

바람의나라

월드 오브 워크래프트

Dungeon & Fighter

Elsword

LineageWindows Client

 




3-5. 추가 파일 다운로드 및 실행

위와 마찬가지로 [RANDOM_02].dll 이 “iexplore.exe” 에 로드 된 경우, 추가 파일을 다운로드 및 실행한다. 다운로드 주소는 특정 알고리즘으로 인코딩 되어 있으며, 복호화 시 분석중인 샘플의 경우 “http://w**b.l***x.com:89/up4/jpg.rar” 과 같다. 해당 파일이 다운로드에 성공하면 실행된다.


[그림 4] 추가 파일 다운로드 시도 URL[그림 4] 추가 파일 다운로드 시도 URL


[그림 5] 추가 파일 다운로드[그림 5] 추가 파일 다운로드





3-6. 사용자 PC 정보 탈취

현재 PC의 정보를 수집하여 특정 URL로 전송한다. 수집하는 정보는 하기와 같으며, 분석 샘플의 대상 원격지는 http://a**f.8*****6.com:85 이다. 


수집 정보

해쉬화 된 PC 정보 (mac)

OS 정보 (os)

설치 된 보안 프로그램 명 (avs)

던전 앤 파이터 설치 여부 (ps)

실행 중인 프로세스 개수 (pnum)

 

 






3-7. 금융 정보 탈취

[RANDOM_02.dll] 이 “explorer.exe” 또는 “iexplore.exe” 에 로드되면 %TEMP% 폴더 하위에 nx1.dat 파일이 존재하는지 확인한다. 존재할 경우 해당 파일의 내용을 읽어 특정 원격지로 전송한다. nx1.dat 파일은 추후 NPKI 를 포함한 탈취 정보가 저장 된다.


[그림 7] 해당 프로세스에 로드 된 경우 특정 정보를 전송[그림 7] 해당 프로세스에 로드 된 경우 특정 정보를 전송



또한, 현재 로드 된 호스트 프로세스가 “dllhost.exe”, “I3GEX.exe” 가 아닌지 확인 한 뒤 금융정보 탈취 과정으로 진입한다. 탈취 과정은 새로운 스레드를 생성하여 동작한다.


[그림 8] 현재 인젝션 된 프로세스를 확인한 뒤 금융정보를 탈취 과정으로 진입[그림 8] 현재 인젝션 된 프로세스를 확인한 뒤 금융정보를 탈취 과정으로 진입



URL 주소에 “w*******k.com”, “b*****g.n******p.com” 문자열이 존재 할 경우, NPKI 탈취 동작과 특정 보안 업체의 DLL 을 후킹한다. 

NPKI 탈취 동작의 경우 여러 경로로 탐색을 시도하여 SignCert.der 과 SignPri.key 파일의 경로를 얻어온다.


[그림 9] 각 경로 별로 NPKI 관련 파일 탐색[그림 9] 각 경로 별로 NPKI 관련 파일 탐색




후킹의 경우 해당 모듈을 패치한 코드에서 이체 정보, 금융 정보 등을 탈취하며, 수집한 정보들을 조합하여 특정 원격지로 전송한다. 수집 할 수 있는 정보는 다음과 같다. 


수집 할 수 있는 정보

고유 해쉬 값 (zmac)

인증서 비밀번호 (zsp)

계좌 비밀 번호 (yhp)

이체 비밀 번호 (yhsp)

보안 카드 번호 (mbi)

보안 카드 값 (mbp)

NPKI 정보

프록시 IP 정보

 

 





4. 결론

해당 악성코드는 윈도우 정상 DLL 을 변조하여 금융 정보 탈취를 시도한다. 변조 대상이 되는 wshtcpip.dll 과 midimap.dll 은 일반적으로 사용되는 파일이므로 변조 시 더 큰 위협이 될 수 있다. 금융 정보 탈취로 인해 사용자는 금전적인 피해를 입을 수도 있다. 뿐만 아니라 추가적인 파일을 다운로드 할 수 있으므로 더욱 주의하여야 한다.

악성코드에 의한 피해를 방지하기 위해서는 출처가 불분명한 파일을 함부로 실행해서는 안된다. 또한 백신 제품을 최신 업데이트하여 PC 를 보호하여야 한다.


조그만 관심을 가지면 많은 피해를 예방할 수 있다. 위 악성코드는 모두 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림 11] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 11] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면




저작자 표시 비영리 변경 금지
신고
Posted by nProtect