-------------------------------------------------------------------------------------
별칭 : Trojan-GameThief.Win32.OnLineGames.xuar
분류 : 트로이목마
활동범위 : Win32
증상 : 레지스트리 변경, 개인정보유출, 악성코드 설치, cpu부하
-------------------------------------------------------------------------------------
최초 네이트온이 악성코드 감염으로 인하여 접속이 되지 않는다는 접수를 받고 확인결과,
계정 유출을 목적으로 하는 악성코드가 발견 됨.
파일명 : winweng.exe
해당 악성코드가 실행되면 추가적으로 악성파일을 생성하며 자동실행 되도록 레지스트리에 등록이 된다.
[생성파일]
C:\Windows\system\winpingying.ime
C:\Windows\system\Lins.log
C:\Documents and Settings\Administrator\Local Settings\Temp\del6b9d9d.bat (해당 파일명은 랜덤으로 생성)
[시작프로그램 등록]
HKLM\SOFTWARE\Micrisoft\Windows\CurrentVersion\Run
기본값 : C:\Windows\system\winweng.exe
del~*.bat 내용은 다음과 같다.
|
:Repeat |
comment :
내용을 보시면 winweng.exe 를 삭제하도록 되어 있고
삭제를 했는데도 파일이 존재하면 다시 삭제하는 동작을 합니다.
여기서 이상한 점은 del 명령어에서 숨김파일 삭제 옵션이 없기 때문에 삭제가 되지 않습니다.
한마디로 무한반복 시키겠다는 얘기죠..
winweng.exe는 실행 시 cmd.exe를 통해 del~*.bat 파일을 실행시키며
배치파일의 내용을 무한반복시켜 cpu의 부하를 준다.
winpingying.ime 는 모든 프로세스에 Injection 되어 있으며, 특정 사이트에 접속할 경우
개인정보가 유출되도록 하는 동작을 한다.
해당 파일 분석 결과 특정사이트는 다음과 같다.
1. 메이플스토리
2. 던전앤파이트
3. 피망
4. 한게임
5. 테라
6. 아이온
7. 리니지1
8. 네이트온
9. 페이스북
[악성코드 분석]
winweng.exe 파일을 분석하기 위해 툴을 이용하여 파일구조를 확인 해 보았다.
악성코드는 UPX로 패킹이 되어 있으며 툴을 이용하여 언패킹을 할 수 있다.
언패킹한 결과, 해당 파일은 Visual C++ 6.0 컴파일러를 이용하여 컴파일 된 것을 확인할 수 있다.
이제 언패킹을 했으니 내용을 한 번 살펴 보도록 하자.
악성파일이 실행이 되면 특정 백신을 무력화 하는 AV Killer 기능이 있는 것을 확인할 수 있다.
또한 업데이트를 차단하여 악성코드를 탐지하지 못하도록 하고 있다.(지금은 백신에서 탐지 됨)
대표적으로 알약, 안랩, kaspersky, 바이러스 체이서 등이 눈에 띈다.
또한, 해당 악성파일이 삭제가 될 경우 재설치하는 기능도 있다.
[예방 조치 방법]
|
1. 악성코드가 감염이 되었다면 치료 후 비번을 꼭 변경한다. |
끝.
'할롬::컴터 > 악성코드분석' 카테고리의 다른 글
| [악성코드분석] 변조된 사이트 접속시 악성코드 감염주의 (0) | 2011.08.04 |
|---|---|
| [악성코드분석] 정상적인 lpk.dll 시스템 파일 변조하는 악성코드 (0) | 2011.06.29 |
| [악성코드분석] 키로거 형태 악성코드 TeUpdate.dll, Crypt2.dll (2) | 2011.06.27 |
| [악성코드분석] 광고성 악성코드 분석 (0) | 2011.06.21 |
| [악성코드분석] ws2help.dll 악성파일 분석 (10) | 2011.06.21 |