티스토리 뷰





-------------------------------------------------------------------------------------
별칭 : Trojan-GameThief.Win32.OnLineGames.xuar
분류 : 트로이목마
활동범위 : Win32
증상 : 레지스트리 변경, 개인정보유출, 악성코드 설치, cpu부하
-------------------------------------------------------------------------------------

최초 네이트온이 악성코드 감염으로 인하여 접속이 되지 않는다는 접수를 받고 확인결과,
계정 유출을 목적으로 하는 악성코드가 발견 됨.

파일명 : winweng.exe

해당 악성코드가 실행되면 추가적으로 악성파일을 생성하며 자동실행 되도록 레지스트리에 등록이 된다.

[생성파일]
C:\Windows\system\winpingying.ime
C:\Windows\system\Lins.log
C:\Documents and Settings\Administrator\Local Settings\Temp\del6b9d9d.bat (해당 파일명은 랜덤으로 생성)

[시작프로그램 등록]
HKLM\SOFTWARE\Micrisoft\Windows\CurrentVersion\Run
기본값 : C:\Windows\system\winweng.exe

2011-05-19 오후 3-23-07.png


del~*.bat 내용은 다음과 같다.

:Repeat
del "C:\WINDOWS\system\winweng.exe"
if exist "C:\WINDOWS\system\winweng.exe" goto Repeat
del "C:\DOCUME~1\ADMIN~1\LOCALS~1\Temp\del6b9b9b.bat"


comment :
내용을 보시면 winweng.exe 를 삭제하도록 되어 있고
삭제를 했는데도 파일이 존재하면 다시 삭제하는 동작을 합니다.
여기서 이상한 점은 del 명령어에서 숨김파일 삭제 옵션이 없기 때문에 삭제가 되지 않습니다.
한마디로 무한반복 시키겠다는 얘기죠..

winweng.exe는 실행 시 cmd.exe를 통해 del~*.bat 파일을 실행시키며
배치파일의 내용을 무한반복시켜 cpu의 부하를 준다.

cpu.png


winpingying.ime 는 모든 프로세스에 Injection 되어 있으며, 특정 사이트에 접속할 경우
개인정보가 유출되도록 하는 동작을 한다.

2011-05-19 오후 4-19-14.png

해당 파일 분석 결과 특정사이트는 다음과 같다.

1. 메이플스토리
2. 던전앤파이트
3. 피망
4. 한게임
5. 테라
6. 아이온
7. 리니지1
8. 네이트온
9. 페이스북

[악성코드 분석]
winweng.exe 파일을 분석하기 위해 툴을 이용하여 파일구조를 확인 해 보았다.

2011-05-19 오후 4-29-02.png

악성코드는 UPX로 패킹이 되어 있으며 툴을 이용하여 언패킹을 할 수 있다.
언패킹한 결과, 해당 파일은 Visual C++ 6.0 컴파일러를 이용하여 컴파일 된 것을 확인할 수 있다.

upx.png


이제 언패킹을 했으니 내용을 한 번 살펴 보도록 하자.
악성파일이 실행이 되면 특정 백신을 무력화 하는 AV Killer 기능이 있는 것을 확인할 수 있다.
또한 업데이트를 차단하여 악성코드를 탐지하지 못하도록 하고 있다.(지금은 백신에서 탐지 됨)

virus.png

대표적으로 알약, 안랩, kaspersky, 바이러스 체이서 등이 눈에 띈다.
또한, 해당 악성파일이 삭제가 될 경우 재설치하는 기능도 있다.

[예방 조치 방법]

1. 악성코드가 감염이 되었다면 치료 후 비번을 꼭 변경한다.

2. 백신 실시간 기능이 활성화 되어 있는지 확인하자.

3. 백신 엔진을 최신으로 업데이트 한다.

4. 주기적으로 점검을 하여 예방하자.


끝.

댓글
댓글쓰기 폼