[악성코드분석] 윈도우 시스템 파일을 위장한 악성코드 분석

윈도우 시스템 파일로 위장한 악성코드가 발견되었으며 지속적으로 외부 해커 서버로 접속을 시도하여 악의적인 행위를 하는 악성코드에 대하여 살펴보겠습니다. 카스퍼스키 보안 제품에서 Backdoor.Win32.agent.cfax 로 진단하고 있으며 최종 파일을 살펴보면 윈도우 업데이트 파일로 위장하고 있는 것을 확인할 수 있습니다.

imgs.exe 라는 파일명으로 되어 있으며, 해당 파일이 실행되면 KB(영문+숫자8자리랜덤).dll 파일명으로 생성이 되고 svchost.exe, rundll32.exe 프로세스를 실행하여 dll 파일을 Injection 하고 있습니다.

생성파일 정보

C:\Documents and Settings\All Users\KB(영문+숫자8자리랜덤).dll

레지스트리 생성 정보

HKLM\SYSTEM\CurrentControlSet\Services\WMIHelper HKLM\SYSTEM\CurrentControlSet\Services\WMIHelper\Enum HKLM\SYSTEM\CurrentControlSet\Services\WMIHelper\Security HKLM\SYSTEM\CurrentControlSet\Services\WMIHelper\Parameters HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMIHELPER HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMIHELPER\0000 HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMIHELPER\0000\Control HKLM\SYSTEM\ControlSet001\Services\WMIHelper HKLM\SYSTEM\ControlSet001\Services\WMIHelper\Enum HKLM\SYSTEM\ControlSet001\Services\WMIHelper\Security HKLM\SYSTEM\ControlSet001\Services\WMIHelper\Parameters HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMIHELPER HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMIHELPER\0000 HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMIHELPER\0000\Control HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

WMIHelper(Microsoft Windows WMIHelper) 라는 서비스명으로 레지스트리에 등록이 되어 OS 재시작 시에도 자동 실행 되도록 동작하고 있습니다.

svchost.exe와 rundll32.exe 프로세스에 로드되어 외부의 특정 서버로 접속을 시도 하고 있습니다.

외부의 특정 서버(imgs.micnike.com)로 DNS 쿼리를 보내어 서버에 80포트로 접속을 시도 하고 있으며, IP는 주기적으로 변경이 되고 있습니다.

제거 방법

1. 악성파일이 어떤 프로세스에 로드 되어 있는지 확인한다.      2. PID를 확인 후 작업관리자에서 해당 프로세스를 죽인다. (PID확인은 보기 --> 열선택 --> PID(프로세스식별자) 를 체크하면 된다.)     3. 악성파일 위치로 이동하여 해당 악성파일을 제거 한다. 4. 레지스트리를 실행하여 WMIHelper로 검색 후 등록된 모든 키를 제거한다.