다운로더 악성동작 Tufik 바이러스 분석




1. 개요 


바이러스(Virus) 형태의 악성코드는 실행 파일에 코드나 파일 형태로 기생하므로 감염된 파일을 치료하기 위해선 감염 형태 분석이 필요하다. 본 보고서에서는 바이러스 형태 다운로더 악성코드인 ‘Tufik’을 분석하여, 바이러스들의 다양한 감염 형태 중 하나를 파악하고 파일 감염 진행 방식에 대해 다루었다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

tufik.exe

파일크기

41,472 Bytes

진단명

Virus/W32.Tufik

악성동작

파일 바이러스

다운로더

 



2-2. 유포 경로

해당 악성코드는 네트워크 활동을 통한 감염 시도가 발견되지 않았으므로, 감염된 컴퓨터에서 옮겨간 파일의 실행을 통하여 유포되었을 확률이 크다.




2-3. 실행 과정

실행된 악성코드는 자신을 %SystemRoot%\system\alg.exe로 복사하여 재실행 후 다운로드 및 파일 감염 등 악성 동작을 수행한다.




3. 악성 동작


3-1. 파일 감염

해당 악성코드의 감염 형태는 섹션 스펙에 따라, 아래 그림과 같이 악성 섹션을 추가하는 Type1-1과 기존 섹션을 늘려 악성 코드를 추가하는 Type 1-2, 악성 파일 뒤에 원본 파일을 그대로 붙이는 Type 2로 나뉜다.


[그림 1] 감염 형태[그림 1] 감염 형태




Type 1-1은 PE 스펙 상 파일 크기가 실제 파일 크기와 같으며, 섹션 헤더를 추가할 공간이 있으면 아래 그림처럼 섹션을 추가해준다.


[그림 2] Type 1-1 생성[그림 2] Type 1-1 생성



Type 1-2는 PE 스펙 상 파일 크기가 실제 파일 크기와 같으며, 섹션 헤더를 추가할 공간이 없으면 조건에 맞는 섹션을 선택하여 아래 그림처럼 섹션 크기를 늘린 후 악성 코드를 복사한다.


[그림 3] Type 1-2 생성[그림 3] Type 1-2 생성



Type 2는 PE 스펙 상 파일 크기가 실제와 같지않으면 대상 파일 원본을 보존하기 위해 아래 그림처럼 악성코드 전체를 원본 파일 앞부분에 기록한다. 이 후 원본 파일의 리소스에서 아이콘을 추출하여 원본 파일과 같이 위장한다.


[그림 3] Type 2 생성[그림 3] Type 2 생성





4. 결론


이와 같은 바이러스는 원본을 거의 훼손하지 않아 파일 대부분을 복구할 수 있지만, 다운로더 악성동작으로 다운로드 및 실행될 파일에 의한 피해가 확산될 수 있어 사용자의 주의가 필요하다. 이를 예방하기 위해선, 수시로 OS와 응용 프로그램들을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않는 등 미리 감염을 예방할 필요가 있다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면




[그림 5] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 5] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면







저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

웜(Worm) 악성코드 Allaple 상세 분석




1. 개요 


컴퓨터에서 웜(worm)의 정의는 ‘자신을 복제하는 컴퓨터 프로그램’이다. 웜은 네트워크상에서 전파되며 바이러스(Virus)보다 일반적으로 전파속도가 빠르고 과도한 트래픽을 유발하여 대역폭을 잠식할 수 있다. 또한 다른 파일에 기생하여 실행되는 바이러스와 달리 웜은 독립적으로 실행될 수 있다. 본 보고서에서는 C&C(Command & Control) 서버의 명령 없이 무조건 특정 IP에 DoS(Denial of Service) 공격을 수행하는 기능을 수반한 웜 형태 악성코드인 ‘Allaple’(또는 Starman)을 분석하여 웜이 어떤 방식으로 증식하는지 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

allaple.exe

파일크기

57,856 bytes

진단명

Worm/W32.Allaple.Gen

악성동작

Worm, DoS

 



2-2. 유포 경로

주요 유포 경로는 웜의 특성상 공유 폴더, E-mail 등 네트워크를 통하여 유포되며, 다른 악성코드와 마찬가지로 운영체제 보안 취약점을 통해 직접적으로 감염될 수 있다.




2-3. 실행 과정

해당 악성코드는 아래 그림과 같이 실제 악성 행위를 수행하는 코드까지 4단계로 인코딩 되어 있으며, 4번째 단계를 제외하고 각 단계 모두 복제될 때마다 폴리 모르픽(Polymorphic) 기법이 적용되어 코드가 생성된다.


[그림 1] 내부 동작 과정[그림 1] 내부 동작 과정


이러한 폴리 모르픽 기법이 적용되어 전파, 감염 웜이나 바이러스는 감염될 때마다 코드가 변경되어 안티-바이러스 제품이 탐지 및 치료하기 어렵도록 만든다.




3. 악성 동작


3-1. 네트워크 웜(worm) - 공유 자원

해당 악성코드는 임의의 IP를 대상으로 파일 공유 서비스 139(NetBIOS), 445(SMB) 포트에 Brute-force(무차별 대입공격)을 통하여 접근 권한 획득을 시도한다.


[그림 2] 공유 자원 접근 시도[그림 2] 공유 자원 접근 시도


[그림 3] 무차별 대입공격에 사용되는 패스워드[그림 3] 무차별 대입공격에 사용되는 패스워드



접근 성공 시 자신을 복사하여 전송한다.


[그림 4] 파일 전송[그림 4] 파일 전송





3-2. 네트워크 웜2 - 웹 서버

로컬 드라이브 중 모든 DRIVE_FIXED(hard disk drive or flash drive) 타입 드라이브를 대상으로 확장자 htm, html 파일을 탐색한다.

[그림 5] .htm과 .html 탐색[그림 5] .htm과 .html 탐색



htm, html 발견 시 아래 그림과 같은 OBJECT 태그를 삽입한다.

[그림 6] .htm과 .html 변조[그림 6] .htm과 .html 변조


자신을 드라이브 루트에 복사하고 관련 레지스트리를 생성한다.

[그림 7] 레지스트리 생성[그림 7] 레지스트리 생성


위의 동작을 완수함으로써 변조된 htm, html 파일을 브라우징 시 클라이언트에서 자동으로 복사된 Allaple 악성코드가 실행된다.





4. 결론


이러한 악성코드 피해를 예방하기 위해 필요 없는 공유 폴더 및 디스크를 최소한으로 줄이고, 접근 계정의 ID, 패스워드를 쉽게 예측할 수 없게 설정해야 하며, 공유 자원이 필요 없는 경우는 포트를 닫아 놓아야 한다. 또한 수시로 OS와 응용 프로그램들을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않는 등 미리 감염을 예방할 필요가 있다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면





저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

금융 정보 파밍형 악성코드 doubi.exe




1. 개요 


국내 금융 기관의 웹 서버를 가장하여 사용자의 금융 정보를 파밍하는 악성 코드는 아직까지 꾸준하게 유포되고있다. 이런 유형의 파밍형 악성코드 또한 다른 악성코드들과 마찬가지로 안티-바이러스(Anti-Virus)의 탐지를 피하기 위해 계속해서 다른 형태의 바이너리로 유포된다. 

본 보고서에서는 앞서 설명한 금융 정보 파밍형 악성코드의 최근 유포 바이너리를 분석하여 금융 정보 파밍형 악성코드의 최근 동향을 다루었다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

doubi.exe

파일크기

264,792 byte

진단명

Banker/W32.Agent.264792

악성동작

금융 정보 파밍, 공인 인증서 탈취

해쉬(MD5)

C199F621BE7040C7C2D0466E15A706D6

 



2-2. 유포 경로

해당 악성코드의 수집 경로는 국내의 한 중소기업 웹 서버이지만 현재는 삭제된 상태이다. 바이너리만 업로드된 상태였기 때문에 유포지라고 불 수 없어 정확한 유포 경로는 명확하지 않다.




2-3. 실행 과정

해당 악성코드 doubi.exe는 실행 시 실행된 디렉토리에 임의의 문자 5자리의 디렉토리를 생성하고 임의의 이름을 가진 악성 DLL을 생성한다. doubi.exe는 생성한 dll을 rundll32.exe를 이용해 실행시키고 자가 삭제된다. 악성 동작들은 모두 상기의 DLL에서 실행된다.





3. 악성 동작


3-1. 시작 프로그램 등록

생성된 악성 DLL을 HKCU\Software\Microsoft\Windows\CurrentVersion\Run 레지스트리 키에 rundll32.exe의 인자로 등록하여 부팅 시 자동 실행 되도록 한다.


[그림 1] 시작 프로그램 등록 레지스트리[그림 1] 시작 프로그램 등록 레지스트리




3-2. 프록시 자동 구성(Proxy Auto-Config, PAC) 설정

정상적인 은행 URL을 공격자가 준비한 파밍용 가짜 웹 서버로 자동으로 연결시키도록 PAC를 설정한다. 구성된 프록시 스크립트에는 이전의 금융 정보 파밍형 악성코드와 동일하게 주요 은행들의 URL이 포함되어있다.

[그림 2] PAC 설정[그림 2] PAC 설정



3-3. 공인 인증서 탈취

PC의 모든 드라이브에서 NPKI 디렉토리를 탐색하여 아래와 같이 PC의 네트워크 카드 정보와 함께 전송한다.

[그림 3] 수집 정보[그림 3] 수집 정보




4. 결론


단순히 프로세스로만 실행되던 이전의 동작 방식과 달리 악성 DLL을 생성하고, rundll32.exe를 통해 악성 행위를 수행하기 때문에 프로세스 목록에서 악성 프로세스를 쉽게 찾을 수 없다. 전체적인 악성 행위 자체에는 변함이 없지만 그 동작을 이루는 과정이 이전보다 조금 복잡해졌다고 볼 수 있다. 그렇기 때문에 인터넷 상에서 금융 정보나 개인 정보를 과도하게 요구하는 경우 항상 감염 상황을 의심하여 피해를 예방할 수 있도록 해야한다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림 5] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 5] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면








저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

파일 바이러스 Bloored 





1. 개요 


대부분 사용자들이 일반적으로 악성코드하면 ‘바이러스(Virus)’를 떠오르기 마련이다. 바이러스는 사전적으로 ‘프로그램을 통해 감염되는 악성 소프트웨어’를 말하는데 보통 바이러스 감염 후에 공격자에게 실질적인 이득을 주는 기능이나, 기능 확장을 위한 추가 모듈 다운로드 및 실행 기능을 포함한다. 본 보고서에서 다루게 될 악성코드 Bloored는 앞서 설명한 바이러스 형태의 악성코드이며, 구조가 다른 바이러스들에 비해 비교적 단순하다. 본 보고서를 통해 바이러스가 다른 파일을 감염하는 방식과 공격자가 이를 이용해 불법적으로 이득을 취하는 방법을 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Bloored.exe

파일크기

259,072 byte

진단명

Worm/W32.Bloored.Gen

악성동작

파일 바이러스, 드롭퍼, 다운로더, 이메일 웜

네트워크

www.k***a.com

 


2-2. 유포 경로

바이러스는 주로 감염 파일의 실행으로 유포되므로, 대체로 감염된 컴퓨터에 연결되었던 USB 등의 보조기억매체를 통해 유포되었을 확률이 높다. 게다가 Bloored는 이메일 웜(Email-worm) 기능을 포함하기 때문에 이메일을 통해 유포 되었을 확률도 있다.



2-3. 실행 과정


해당 악성코드 실행 시, Bloored가 기록해 놓은 시그니처(Signature)를 확인하여 감염 여부를 판단한다. 감염 파일일 경우 시그니처에 포함된 정보로 감염 대상인 파일의 원래 크기를 이용하여 %TEMP%에 정상 파일을 복원 후 실행 시키고, 악성 동작을 수행한다. 감염되지 않은 파일일 경우 위 동작을 건너뛰고, 악성 동작을 수행한다.





3. 악성 동작


3-1. 파일 감염

경로 ‘C:\’를 루트로 이하의 파일과 디렉토리 내부를 감염하며, [그림 1]과 같이 루트에서 15회 이상 깊게 들어가지 않는다. C 드라이브 외에는 감염하지 않는다.


[그림 1] 깊이 제한[그림 1] 깊이 제한



[그림 2]와 같이 임시 파일을 생성하여 ‘악성PE - 감염 대상 PE - Signature’ 순서로 입력한 뒤 감염 대상 경로 파일 명으로 복사하여 파일 감염을 수행한다.


[그림 2] 파일 감염 루틴[그림 2] 파일 감염 루틴


여기서 Bloored는 실행 된 파일의 감염 여부를 고려하지 않기 때문에, 이미 감염된 파일이 다른 정상 파일을 감염 시키면 계속해서 파일이 뒤로 붙는 구조이다.




3-2. 파일 다운로드 및 실행

[그림 3]과 같은 루틴으로 파일을 다운로드 및 실행시킨다

[그림 3] 파일 다운로드 및 실행 루틴[그림 3] 파일 다운로드 및 실행 루틴




3-3. 이메일 웜

레지스트리 키 ‘HKCU\Software\Microsoft\WAB\WAB4\Wab File Name’을 참조하여, Outlook에서 사용하는 주소록 파일 ‘.wab(Windows Address Book)’의 내용을 파싱해 아래 그림들과 같은 내용을 임의로 선택하여 전송한다.

[그림 4] 전송하는 계정 명[그림 4] 전송하는 계정 명


[그림 5] 메일 내용[그림 5] 메일 내용


[그림 6] 첨부 파일 명[그림 6] 첨부 파일 명


[그림 7] 첨부 파일 확장자[그림 7] 첨부 파일 확장자



첨부 파일은 확장자가 .zip일 경우 압축된 Bloored.exe를, 이외의 확장자일 경우는 압축되지 않은 Bloored.exe가 첨부된다.




3-4. 파일 드롭

C ~ X 드라이브 중 DRIVE_FIXED 또는 DRIVE_RAMDISK 타입인 드라이브를 탐색하여, 문자열 “shar” 또는 “mus”를 디렉토리 명에 포함하는 디렉토리 발견 시 bloored.exe 파일을 아래 [그림 8]의 파일 이름으로 복사한다.

[그림 8] 드롭 파일 명[그림 8] 드롭 파일 명



드라이브 탐색 중 아래와 같은 확장자 파일 발견 시, 이메일 주소를 파싱하여 ‘3-3. 이메일 웜’ 항목과 같이 메일을 전송한다.

[그림 9] 파싱 대상 파일[그림 9] 파싱 대상 파일





4. 결론


Bloored와 같은 바이러스는 정상 파일을 악성 파일로 만들기 때문에, 일반적인 악성코드의 치료방법인 ‘삭제’보다 치료 방법이 까다롭다. 그렇기 때문에, 감염 시 치료가 불가능한 파일이 비교적 많이 발생할 수 있어, 원본 파일을 삭제할 수 밖에 없는 상황이 생길 수 있다. 이런 바이러스에 감염되지 않도록 수시로 OS와 응용 프로그램들을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않는 등 미리 감염을 예방할 필요가 있다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면




[그림 11] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 11] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면







저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

악성코드 접근을 숨겨주는 포트 루트킷 




1. 개요 


루트킷(Rootkit)의 의미는 본래 Unix 계열의 관리자 계정인 루트(Root) 권한을 획득하기 위한 코드와 프로그램의 집합으로 사용되었다. 하지만 최근에 루트킷이 단순히 특정 악성코드가 시스템에서 탐지되지 않도록 악용되면서 이제 개인 PC에서 루트킷의 역할은 악성코드 은닉이 주가 되었다. 본 보고서에서는 악성코드가 통신하는 포트 또는 통신 대상의 IP를 기준으로 연결 정보를 숨겨주는 루트킷을 분석하여 포트 루트킷이 동작 방식을 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

SynDrives.sys

파일크기

3,840 byte

진단명

Trojan/W32.KRDDoS.3840

악성동작

포트 루트킷

 




2-2. 유포 경로

SynDrives.sys는 이전에 분석된 악성코드 Trojan/W32.jorik.90624.Z 가 드롭하는 부속 모듈이었다. 주로 앞의 상황과 같이 다른 악성코드의 라이프 사이클 연장을 위한 보조적인 목적으로 악성코드와 함께 유포된다.




2-3. 실행 과정

SynDrives.sys가 숙주 파일에 의해 시스템에 설치되면, SSDT 후킹(Hooking)을 통하여 포트를 은닉할 준비를 해놓고 은닉할 대상의 IP 또는 포트 정보 와 명령을 기다린다. 이후 netstat.exe 등의 프로그램에서 네트워크 연결 정보 조회를 시도하면, 네트워크 연결 정보 테이블에서 악성코드가 지정한 IP 또는 포트에 해당되는 정보를 제외한 나머지 정보를 반환하여 악성코드가 지정한 특정 IP 또는 포트에 대한 정보 은닉을 수행한다.





3. 악성 동작


3-1. SSDT 후킹(Hooking)

SynDrives.sys는 [그림 1]과 같이 네트워크 정보 은닉을 위한 자신의 함수(SynDrives+0x70D)를 ZwDeviceIoControlFile 함수가 호출하는 SSDT의 인덱스(NtDeviceIoControlFile)의 주소에 입력하여 이후 ZwDeviceIoControlFile 호출 시 SynDrives+0x70D가 호출 되도록 한다.


[그림 1] ZwDeviceIoControlFile 후킹[그림 1] ZwDeviceIoControlFile 후킹




3-2. 네트워크 정보 은닉

SynDrives.sys 의 드라이버 객체에 등록된 함수는 숙주 파일로부터 IRP(I/O Request Packet)를 받는다. [그림 2]의 우측에 나타낸 것은 숙주 파일로부터 받은 IRP로 IoControlCode 가 0x222004 인 것을 확인할 수 있다. SynDrives.sys 는 이 값을 기준으로 은닉하고자 하는 데이터가 IP인지 Port인지 결정한다.

[그림 2] IRP 버퍼 데이터[그림 2] IRP 버퍼 데이터



위에서 은닉하고자 하는 데이터의 타입(IP or Port)을 확인한 뒤, IRP 구조체의 SystemBuffer에 있는 값을 확인한다. 이 값은 은닉하고자 하는 데이터(0xdec8c8c8)의 값을 나타낸다.


[그림 3] 은닉시킬 데이터 값 확인 (IRP->AssociatedIrp.SystemBuffer)[그림 3] 은닉시킬 데이터 값 확인 (IRP->AssociatedIrp.SystemBuffer)



SynDrives.sys는 IP 및 Port 정보가 있는 구조체 체인에서 은닉하고자 하는 데이터(0xdec8c8c8)를 찾는다. 그리고 해당 데이터가 속한 구조체(그림 4의 표시된 부분)를 덮어씌운다. 이를 통해 결과적으로 은닉시키고자 하는 정보가 조회되지 않도록 한다.


[그림 4] 조회 된 내용이 있는 버퍼 조작[그림 4] 조회 된 내용이 있는 버퍼 조작





4. 결론


앞서 말한 포트 루트킷은 윈도우 XP의 netstat.exe의 네트워크 상태 조회 방식에 맞춰 제작된 것으로 보이며 윈도우 XP 이후의 OS에서는 공격자의 의도대로 동작하지 않는다. 하지만 다른 OS에서도 정확히 동작을 수행하는 포트 루트킷이 존재하기 때문에 수상한 포트가 열려있지 않더라도 백도어(Backdoor) 및 봇(Bot)으로부터 안전한 상태는 아닐 수 있다. 그러므로 수시로 OS와 응용 프로그램들을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않는 등 미리 악성코드 감염을 예방할 필요가 있다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 6] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면




저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

사용자 PC를 감염시켜 봇으로 만드는 악성코드 jorik 




1. 개요 


해커가 마음대로 제어할 수 있는 감염된 다수의 컴퓨터로 형성된 네트워크를 봇넷(Botnet)이라 한다. 이 봇넷을 구성하는 감염된 컴퓨터 봇(Bot)은 C&C(Command and Control) 서버의 명령을 수행한다. C&C 서버의 명령은 주로 봇넷 확장을 위한 악성코드 유포 또는 DDoS(Distributed Denial of Service) 공격을 이루기 위한 DoS(Denial of Service) 공격 등이다. 본 보고서에선 사용자 컴퓨터를 감염시켜 봇으로 만드는 C&C 악성코드의 주요 기능을 분석하여 봇의 동작 방식을 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

server.exe

파일크기

90,624 byte

진단명

Trojan/W32.jorik.90624.Z

악성동작

파일 드롭, 다운로드 및 실행, 포트 루트킷, DoS 공격

네트워크

116.***.***.150:8692 - 유포지

v******l.c***s.com:8080 - 공격자 서버

 


2-2. 유포 경로

유포 경로는 정확히 알려진 바가 없지만 개인 서버에서 수집된 것으로 보아, 다른 악성코드에서 추가로 다운로드되어 실행되었을 가능성이 커 보인다.




2-3. 실행 과정

server.exe는 자신의 리소스로부터 SynDrives.sys 바이너리를 가져와 생성하고, 임의의 문자 6자리 파일명으로 자신을 복사한다. 각 파일의 경로는 아래와 같으며, 두 파일 모두 서비스로 생성 및 시작 시킨 뒤 server.exe는 자가 삭제 후 종료된다.


구 분

포트 루트킷

자가 복제

파일명

SynDrives.sys

[Random_06].exe

경로

%SystemRoot%\system32\dirvers\

%SystemRoot%\system32\

서비스명

SynDrives

National Instruments Domain Service

[1] 드롭 파일


자가 복제된 파일인 [random_06].exe가 실질적으로 공격자 서버와 통신하며 공격자의 명령을 수행하며, SynDrives.sys는 공격자 서버와의 통신을 은닉하기 위한 포트 루트킷 기능을 수행한다.



3. 악성 동작


3-1. 타 서버 DoS(Denical of Service) 공격

공격자 서버로부터 명령을 받아 대상이 된 서버에 아래 그림과 같은 의미 없는 요청을 반복하여 대상 서버에 부하를 일으킨다.


[그림 1] 패킷 내용 중 일부[그림 1] 패킷 내용 중 일부


[그림 2] 패킷 전송 스레드 반복 생성[그림 2] 패킷 전송 스레드 반복 생성





SYN Flood 기능 및 다양한 소켓 옵션, 패킷 내용 등이 존재하며, 패킷 내용 대부분이 HTTP GET 요청 메소드인 것으로 미루어 보아 공격 대상은 주로 웹 서버일 것으로 추측된다.




3-2. 파일 다운로드 및 실행

공격자가 특정하는 URL을 통해 아래 그림과 같이 웹 서버에서 파일을 다운로드 받고, 실행시킨다. 이 후 server.exe가 등록했던 서비스들을 삭제한다.

[그림 3] 파일 다운로드 및 실행[그림 3] 파일 다운로드 및 실행




등록했던 2개의 서비스를 모두 제거하는 것으로 보아, 추가로 다운로드 된 모듈 또한 같은 서비스명을 가질 가능성이 높아 보인다.





4. 결론


해당 악성코드는 서비스로 돌아가며, 포트 또한 감춰져 있어 일반 사용자가 감염 사실을 알아차리기 어렵다. 악성코드 감염을 막기 위해선, 주기적으로 바이러스 검사를 해 감염 상태를 확인해야 하며, 운영체제와 응용 소프트웨어들을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 내려받지 않아야 한다.


위 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 5] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 5] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면








저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

금융정보 탈취하는 KRBanker 분석 보고서 



1. 개요 


최근 악성코드 제작자는 현금을 목적으로 하는 악성코드를 주로 만들고 있다. 랜섬웨어와 같이 사용자 파일을 인질로 하여 현금을 요구하거나, 사용자의 직접적인 금융 정보를 탈취하여 이를 악용하기도 한다. 이번 분석 보고서에서는 자동 구성 프록시(PAC) 설정으로 사용자를 파밍 사이트로 유도하여 금융정보 탈취를 시도하는 KRBanker 에 대하여 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

adinstall.exe

파일크기

478,208 byte

진단명

Banker/W32.Agent.478208.B

악성동작

파밍, 금융정보 탈취

네트워크

103.***.***.86 – 공격자 서버

 


2-2. 유포 경로

해당 악성코드의 정확한 유포 방식은 밝혀지지 않았지만, 현재 운영이 되고 있지 않은 국내 사이트 h*****rm.co.kr 에 악성코드가 업로드 되어있다.




2-3. 실행 과정

악성코드는 hosts 파일 등을 수정하지 않고 자동 구성 프록시(PAC)를 통해 사용자를 파밍 사이트로 유도한다. 실행 시 아래와 같이 UAC 경고창이 나타나는 것을 확인할 수 있다. 그 다음 인터넷 브라우저의 시작 페이지를 국내 N 포털 사이트로 변경하고, 특정 페이지 접속 시 파밍 사이트로 유도한다.

[그림] Windows 방화벽 보안 경고[그림] Windows 방화벽 보안 경고





3. 악성 동작


3-1. 자동 실행 등록 및 인증서 유출

해당 악성코드는 PC 를 재부팅 한 후에도 다시 실행되도록 자동 실행 레지스트리에 자신을 등록한다. 자동 실행에 등록할 때의 이름은 아래(“000C29AF13B8”)와 같이 임의의 8 자리 문자를 사용한다.


[그림] 자동 실행 등록[그림] 자동 실행 등록




감염된 사용자의 PC 에 공인인증서가 있다면 이를 탈취하기 위해 임시 폴더 하위에 복사해 놓는다. 복사 된 파일이 포함 된 폴더는 .zip 파일로 압축한다.


[그림] 복사된 인증서와 압축 파일[그림] 복사된 인증서와 압축 파일




3-2. 자동 구성 프록시 (Proxy Auto-Config, PAC)

악성코드가 동작하면 자동 구성 프록시(PAC) 를 설정한다. PAC 란 별도의 프록시 서버 설정 없이 특정 URL 에 대해 자동으로 프록시 서버 설정을 해주는 스크립트다. 아래 그림과 같이 PAC 가 ‘127.0.0.1:1171’ 로 설정되어 있는 것을 확인할 수 있다. 이는 URL 정보에 대해 사용자 PC 의 1171번 포트로 질의하게 된다.

[그림] 자동 구성 프록시 설정[그림] 자동 구성 프록시 설정



1171번 포트에는 해당 악성코드가 대기하고 있다. 이를 통해 사용자가 웹 브라우저 서핑 등으로 URL 을 접속하고자 할 때, 악성코드는 공격자가 지정해 놓은 주소를 반환하여 파밍 사이트로 접속을 유도한다.


[그림] 프록시 포트와 연결[그림] 프록시 포트와 연결





3-3. 시작 페이지 변경 및 파밍 사이트 연결

인터넷 브라우저의 시작 페이지가 N 포털 사이트로 변경된 것을 확인할 수 있다.

[그림] 시작 페이지 변경[그림] 시작 페이지 변경



현재 공격자의 파밍 사이트와 연결이 제대로 이루어지지 않아 금융권 등의 사이트에 접속을 시도하면 페이지에 접속할 수 없다고 나타난다. 하지만 공격자의 서버와 연결이 성공적으로 이루어진다면 실제 금융권 사이트와 유사한 파밍 사이트로 접속 된다.





4. 결론


해당 악성코드와 같은 파밍 악성코드는 공인인증서를 탈취하며, 파밍 사이트 접속을 유도하여 사용자의 보안 카드 정보를 탈취한다. 따라서 접속한 금융, 공공기관 사이트에서 과도하게 금융 정보 입력을 요구한다면 파밍 사이트라 의심하고 입력을 중지해야 한다. 또한 PAC 방식으로 인해 Windows 보안 경고창이 나타나므로 이를 무심코 넘기지 말아야 한다.


만약 앞서 말한 것과 같이 하나라도 의심되는 증상이 있다면 백신 프로그램을 설치하여 정기적으로 악성코드 검사를 해야 한다. 해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면




[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면








저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

CDSpace 업데이트 서버를 통해 유포된 악성코드 



1. 개요 


금융 기관을 사칭한 가짜 웹 사이트로 사용자의 접속을 유도하여 계좌번호, 비밀번호, 보안카드와 같은 금융 정보를 빼앗아 악용하는 파밍(Pharming)은 과거 hosts 파일을 직접 변조하는 방식이 대다수였다. 이에따라 파밍을 막기위해 hosts 파일을 보호하는 제품이 계속해서 출시됐고, 공격자들은 최근 이를 우회하기 위해 프록시 자동 구성(Proxy auto-config, PAC) 스크립트를 이용한 파밍 악성코드를 사용하고 있다. PAC는 hosts 파일을 변조하지 않고 스크립트를 작성하여 특정 URL을 자동으로 다른 웹 서버에 연결 시켜줄 수 있다.


본 보고서는 2016년 9월 10일 시디 스페이스(CDSpace) 프로그램의 업데이트 서버를 통해 유포되어 금융정보를 탈취하는 파밍 악성코드를 분석하여 최근 유포되고 있는 파밍 악성코드의 특징을 알아보고자 한다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

CDSpace8.exe

파일크기

454,144 byte

진단명

Banker/W32.Agent.454144

악성동작

파밍, 공인 인증서 탈취

 




2-2. 유포 경로

해당 악성코드는 시디 스페이스 프로그램의 업데이트 서버가 공격당하여 업데이트 서버를 통해 유포된것으로 알려졌다. 또한, 정상적인 시디 스페이스 프로그램이 설치된 위치에 원본 시디 스페이스 파일과 같은 이름으로 악성코드가 다운로드되기 때문에 사용자가 의심없이 악성코드의 작동을 허용할 가능성이 있다. 

(기본 경로 - %ProgramFiles%\CDSpace\CDSpace8\)





2-3. 실행 과정

악성코드 실행 시 특성상 Windows 방화벽 설정을 변경하기 때문에 아래 그림과 같은 UAC 경고창이 발생한다. 하지만 사용자가 직접 다운받은 프로그램이 아닌 프로그램 업데이트 서버를 통해 다운받아진 점과 프로그램의 이름, 경로 등이 정상 시디 스페이스 프로그램과 유사하여 사용자가 무심코 허용할 가능성이 크다.

[그림 1] Windows 방화벽 보안 경고[그림 1] Windows 방화벽 보안 경고




그 다음 레지스트리 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run에 키를 등록하여 악성코드가 부팅 시 자동으로 실행되게 설정하고, HKCU\Software\Microsoft\Internet Explorer\Main의 Start Page 키를 이용하여 Internet Explorer의 시작 페이지를 포털 사이트 네이버로 위장한 파밍 사이트로 변경한다.






3. 악성 동작


3-1. 프록시 자동 구성(Proxy Auto-Config, PAC) 설정

해당 악성코드는 정상적인 은행 웹 서버 URL을 공격자가 준비한 파밍용 가짜 웹 서버로 연결시키기 위해 아래 그림과 같이 PAC를 설정한다.


[그림 2] 자동 구성 스크립트 설정[그림 2] 자동 구성 스크립트 설정




스크립트에는 PAC 구성에 필요한 함수와 해시 값들이 난독화 되어있으며 국민은행, 농협, 신한은행, 우리은행, 씨티은행, 우체국 은행, 기업은행, 하나은행, 새마을금고, SC제일은행, 수협, 신협, 부산은행, 광주은행, 경남은행 총 15개의 은행 URL이 포함되어있다.


[그림 3] 난독화 해제된 PAC 스크립트[그림 3] 난독화 해제된 PAC 스크립트






3-2. 공인 인증서 수집

감염된 사용자 컴퓨터 내의 모든 드라이브에서 공인 인증서 폴더 NPKI를 검색하여 %TEMP% 디렉토리에 복사한 후 공격자의 서버로 전송한다.

[그림 4] 복사된 공인인증서[그림 4] 복사된 공인인증서






4. 결론


해당 악성코드와 같은 금융정보 파밍 악성코드는 공인인증서, 보안카드 정보와 같이 인터넷 뱅킹에 필요한 정보를 탈취하기 때문에 사용자에게 직접적인 피해를 준다. 또한, 실제 포털 사이트와 은행 웹 사이트 소스를 이용하여 만든 파밍 사이트에 접속을 유도하고, PAC를 이용하여 파밍 사이트의 URL을 속이기 때문에 사용자의 각별한 주의가 필요하다. 무엇보다 은행, 공공기관에서 운영하는 웹 사이트가 과도하게 개인 정보나 금융 정보를 요구하는 경우, 정보를 입력하지 말고 파밍인지 의심해볼 필요가 있다.


[그림 5] 변조된 시작 페이지[그림 5] 변조된 시작 페이지



해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면








저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

백도어 악성코드 분석





1. 개요 


백도어(Backdoor)의 본래 의미는 시스템 개발이나 유지 보수를 편리하게 수행하기 위해, 시스템 인증과정 없이 원격 접속을 보장하여 운영체제나 프로그램 등에 접근할 수 있도록 만든 통로였다. 하지만, 최근에는 사용자 모르게 시스템에 무단으로 접근하고, 추가적인 악성코드를 설치하거나 개인 정보를 수집하는 악성코드 종류를 뜻하는 경우가 많아졌다. 

본 보고서에서는 백도어 형태의 악성코드를 분석하여 백도어의 일반적인 기능과 동작 방식 등을 알아본다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

1.exe

파일크기

135,185 byte

진단명

Backdoor/W32.Farfli.135185

악성동작

백도어

네트워크

http://www.h*****r.com - 유포지

49.**.*.84:81 - 공격자 서버

103.*.**.86:80 - 공격자 서버





2-2. 유포 경로

해당 악성코드는 중국의 중고차 매매 사이트 http://www.h*****r.com/1.exe 를 통하여 유포되었다. 이는 해당 악성코드가 또 다른 악성코드나, Exploit Kit 등을 통해 다운로드 될 수 있음을 보인다. 해당 페이지는 현재 접속이 불가능하다.





2-3. 실행 과정

해당 악성코드는 아래 그림과 같이 MS 워드 파일 아이콘으로 위장하고 있으며 파일 실행 시 자신을 %ProgramFiles%\Google\google.com으로 복사하고, 서비스 명이 “Cnykvi Ugrdoalw Jugrdoal Xjug” 인 서비스를 생성한 뒤 자가 삭제된다. 이 후 악성 행위는 모두 google.com 프로세스에서 이루어진다.


[그림 1] 워드 파일 아이콘으로 위장한 악성코드[그림 1] 워드 파일 아이콘으로 위장한 악성코드







3. 악성 동작


3-1. 실행 파일 다운로드

악성코드는 추가 모듈이나 실행 파일을 공격자가 지정한 웹 서버에서 다운로드 후, 감염 PC의 특정한 경로 및 파일명으로 생성한다.


[그림 2] 추가 파일 다운로드[그림 2] 추가 파일 다운로드





3-2. PC 정보 수집

사용자 PC의 메모리 사용량과 OS 버전 정보, 동작중인 백신 프로세스 등 컴퓨터 정보를 수집한다.


[그림 3] 백신 프로세스 조회 대상[그림 3] 백신 프로세스 조회 대상





3-3. MBR 파괴 및 시스템 종료

공격자의 명령에 따라 MBR (0~512Byte) 영역을 임의의 데이터로 덮어 씌운다. 이후 시스템을 재부팅 시키지만 비정상적인 MBR로 인해 부팅이 정상적으로 이루어지지 않는다.


[그림 4] MBR 파괴 코드 부분[그림 4] MBR 파괴 코드 부분


[그림 5] 시스템 재부팅 명령[그림 5] 시스템 재부팅 명령







4. 결론


이와 같은 백도어 악성코드들은 해당 악성코드 하나만 보았을 때는 피해가 크지 않지만, 감염 된 후 공격자에 의해 추가로 다운로드 될 수 있는 악성코드 및 모듈로 피해가 확대될 수 있어 사용자의 주의가 필요하다. 


백도어 악성코드 피해를 막기 위해선 수시로 OS와 응용 프로그램들을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않는 등 미리 감염을 예방할 필요가 있다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면







저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

사용자 자원을 무단으로 이용하는 가상 화폐 채굴 악성코드 





1. 개요 


비트코인과 같이 가상 화폐의 이용이 많아짐에 따라 가상 화폐 채굴 악성코드가 출현하고 있어 사용자의 주의가 필요하다. 가상 화폐 채굴 동작은 과도한 연산이 필요하기에 채굴 전용 GPU, 주문형 반도체(ASIC) 등을 동원해도 수익을 내기 어렵다. 이 때문에 해커들은 적은 비용으로 많은 가상 화폐를 채굴하기 위해, 소유자의 동의 없이 불특정 다수의 자원을 무단으로 이용하는 악성코드를 사용하고 있다.


본 보고서에서 다루게 될 Photo.scr 또한 가상 화폐의 한 종류인 모네로 코인(Monero Coin)을 채굴하여 사용자 모르게 해커의 가상 화폐 지갑에 전송하는 프로그램을 설치 및 실행시킨다. 게다가 이 악성코드는 취약한 웹 서버들을 자동으로 공격해 웹을 통해 제2, 3의 감염자가 발생할 수 있기에 주의가 요구된다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Photo.scr

파일크기

1,578,496 byte

진단명

Trojan/W32.BitCoinMiner.1578496

악성동작

시작 프로그램 등록

자가 복제

Monero 코인 채굴기 실행

임의의 서버 공격

네트워크

http://s****t**t.ru

http://h****ts.ru

http://p****t**t.ru

http://t****sy.ru

http://p****ts.ru

http://q****t.ru

http://pr****s.ru

http://j****s*s.ru

http://i****ti.ru

 




2-2. 유포 경로

최초의 유포 경로는 불분명하다. 해당 바이너리의 동작 특성상 사용자가 감염된 서버의 웹 페이지를 방문하여 Photo.scr을 다운받고, 부주의에 의해 이를 실행하여 제2, 3의 감염자를 발생 시킨 것으로 보인다.

[그림] 감염된 서버의 웹 페이지[그림] 감염된 서버의 웹 페이지





2-3. 실행 과정

Photo.scr은 %TEMP%에 Monero 코인 채굴 프로그램 NsCpuCNMiner32.exe를 생성하고, 채굴한 코인을 자신의 Monero 코인 지갑에 전송하도록 실행시킨다. 그 후 Photo.scr 자신을 시작프로그램으로 등록하고, 모든 드라이브 루트 디렉토리에 주기적으로 자신을 복사하는 등 로컬에서 추가로 감염 활동을 한다. 또한, 임의 서버의 FTP 서비스를 대상으로 사전 대입 공격을 실행하며, 공격에 성공하면 Photo.scr을 업로드하고, php, html과 같은 웹 페이지 파일에 해커의 코드를 삽입하여 해당 페이지를 방문하는 사용자가 Photo.scr을 받게끔 유도한다.


[그림] 동작 개념도[그림] 동작 개념도





3. 악성 동작


3-1. 비트코인 채굴 프로그램 생성 및 실행

Photo.scr은 %TEMP% 위치에 자신의 리소스에서 가져온 내용으로 NsCpuCNMiner32.exe을 생성한다.


[그림] NsCpuCNMiner32.exe 생성[그림] NsCpuCNMiner32.exe 생성



NsCpuCNMiner32.exe은 Claymore CryptoNote CPU miner라는 Monero코인 채굴 프로그램이며, 아래와 같은 인자를 주어 NsCpuCNMiner32.exe를 실행시킨다.


[그림] NsCpuCNMiner32.exe 실행[그림] NsCpuCNMiner32.exe 실행



인자로 들어가는 문자열은 아래 웹 서버들의 /test.html 페이지에서 받아온 암호화 된 문자열이다.


[그림] 공격자 서버 리스트[그림] 공격자 서버 리스트


[그림] 복호화된 문자열[그림] 복호화된 문자열



NsCpuCNMiner32.exe의 인자로써의 각각 의미는 아래와 같다.


옵션

설명

-dbg

로그 파일과 디버그 매세지를 생성하지 않는다.

-o

mining pool(채굴 집단 개념)을 지정, httpStratum 프로토콜 모두 지원한다,

-t

쓰레드 수

-u

비트코인 지갑

-p

패스워드, x를 패스워드로 사용

[표] 옵션 설명



3-2. 로컬에서의 추가 감염

주기적으로 쉘에 아래와 같은 명령을 내려 A~Z드라이브에 Photo.scr을 복사한다.

[그림] Photo.scr 복사 명령[그림] Photo.scr 복사 명령



복사된 Photo.scr은 아래 그림과 같은 폴더 아이콘을 띄우고 있어 사용자가 착각하기 쉽다.

[그림] 복사된 Photo.scr[그림] 복사된 Photo.scr




3-3. 임의 서버 공격

Photo.scr은 무작위 IP 주소로 FTP 서비스에 사전 대입 공격을 시도한다.

[그림] FTP 서비스 연결[그림] FTP 서비스 연결



사전 대입 공격은 아래 그림과 같이 5개의 사용자 이름과 29개의 패스워드 조합으로 이루어진다.

[그림] 사용자이름, 패스워드[그림] 사용자이름, 패스워드



공격에 성공하여 서버와 연결이 이루어지면 웹 페이지 변조를 위해 확장자가 아래 그림과 같은 파일을 찾아 다운받고, 자신의 코드를 삽입한 뒤 다시 업로드한다. 코드에 쓰인 <iframe> 태그는 페이지 내에서 다른 페이지를 보여주고자 할 때 쓰이며, 페이지의 크기를 가로 세로 1로 주어 감염 페이지에 시각적으로 보이지는 않지만 브라우저는 이를 인식하여 악성코드 Photo.scr 를 다운로드하는 창을 띄운게 된다.

[그림] 공격 대상 확장자[그림] 공격 대상 확장자


[그림] 웹페이지에 삽입되는 HTML 코드[그림] 웹페이지에 삽입되는 HTML 코드



이와 같은 방식으로 FTP 서버에 존재하는 모든 웹 페이지를 감염시킨 뒤 악성코드 Photo.scr 도 업로드된다.


[그림] Photo.scr 업로드[그림] Photo.scr 업로드



그 다음 3-1. 부문에서 연결했던 해커 서버의 S.php 페이지에 http GET 방식으로 페이지 요청을 하여 아래 그림과 같은 감염 정보를 송신하며, 각각 의미는 아래와 같다.


[그림] 감염 정보 전송[그림] 감염 정보 전송


항목

설명

pc

감염시킨 서버 IP

user

감염시킨 서버 사용자 계정

sys

감염시킨 서버 패스워드

cmd

사용자 로컬 %AppData% 경로

startup

감염시킨 페이지 경로

[표] 항목 설명





4. 결론


해당 악성코드로 감염된 웹 페이지는 드라이브 바이 다운로드(Drive by Download) 방식과는 다르게, 단순히 악성 코드를 다운로드 시키려고 하므로, 사용자가 다운로드를 허용하지 않거나 다운로드 되었더라도 실행시키지 않으면 악성코드에 감염될 일이 없다. 하지만 컴퓨터에 대해 잘 모르거나 부주의한 사용자들은 무심코 다운로드를 허용하고, 폴더 이미지의 아이콘과 확장자가 .scr인 파일인 점에 속아 실행할 수 있으므로 주의해야 한다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect