개요
Trojan-Ransom.Win32.Seftad.a 악성코드는 랜섬웨어 악성코드이다. 시스템 부팅 화면을 잠그고 금액을 요구하는 형태의 악성코드이다.
상세 분석
https://www.virustotal.com/file/7ac4b82026bc8da4b78bd3694069bb107801520f1b87a6ccd189e5a027e098f2/analysis/
| Antivirus | Result | Update |
|---|---|---|
| Agnitum | Trojan.Seftad!+WmSfnLYKGo | 20121216 |
| AhnLab-V3 | Win-Trojan/Seftad.49664 | 20121216 |
| AntiVir | BOO/Seftad.A | 20121216 |
| Antiy-AVL | - | 20121216 |
| Avast | MBR:Seftad [Trj] | 20121217 |
| AVG | Generic20.ZJL | 20121216 |
| BitDefender | Trojan.Generic.5153379 | 20121216 |
| ByteHero | - | 20121212 |
| CAT-QuickHeal | TrojanRansom.Seftad.a | 20121214 |
| ClamAV | - | 20121216 |
| Commtouch | W32/MalwareF.RQPA | 20121216 |
| Comodo | TrojWare.Win32.Ransom.Seftad.a | 20121217 |
| DrWeb | Trojan.MBRlock.1 | 20121217 |
| Emsisoft | Trojan-Ransom.Win32.Seftad (A) | 20121217 |
| eSafe | - | 20121216 |
| ESET-NOD32 | Win32/MBRlock.A | 20121216 |
| F-Prot | W32/MalwareF.RQPA | 20121216 |
| F-Secure | Trojan.Generic.5153379 | 20121216 |
| Fortinet | W32/RBNEncrypt.A!tr | 20121217 |
| GData | Trojan.Generic.5153379 | 20121217 |
| Ikarus | Trojan-Ransom.Win32.Seftad | 20121216 |
| Jiangmin | Trojan/Seftad.a | 20121216 |
| K7AntiVirus | Riskware | 20121214 |
| Kaspersky | Trojan-Ransom.Win32.Seftad.a | 20121216 |
| Kingsoft | Win32.Troj.Undef.(kcloud) | 20121210 |
| Malwarebytes | Trojan.Ransom | 20121216 |
| McAfee | Ransom!hf | 20121217 |
| McAfee-GW-Edition | Ransom!hf | 20121216 |
| Microsoft | Trojan:Win32/Seftad.A | 20121216 |
| MicroWorld-eScan | - | 20121216 |
| NANO-Antivirus | Trojan.Win32.Seftad.bsiwp | 20121216 |
| Norman | W32/Seftad.A | 20121216 |
| nProtect | Trojan/W32.Seftad.49664 | 20121214 |
| Panda | Trj/SeftadMBR.A.Crypt | 20121216 |
| PCTools | Trojan.Bootlock | 20121216 |
| Rising | Trojan.Win32.Generic.1261C4F0 | 20121214 |
| Sophos | Troj/RnsmDrop-A | 20121217 |
| SUPERAntiSpyware | - | 20121216 |
| Symantec | Trojan.Bootlock | 20121217 |
| TheHacker | Trojan/Seftad.a | 20121216 |
| TotalDefense | Win32/RansomSeftad.A | 20121216 |
| TrendMicro | TROJ_GEN.RC8C7HJ | 20121217 |
| TrendMicro-HouseCall | TROJ_GEN.RC8C7HJ | 20121217 |
| VBA32 | Trojan-Ransom.Win32.Seftad.a | 20121215 |
| VIPRE | Trojan.Win32.Generic!BT | 20121216 |
| ViRobot | Trojan.Win32.S.Ransom.49664 | 20121216 |
<virustotal 결과>
<패킹 결과>
패킹 여부를 판단하기 위해서 PEID로 확인 결과 패킹은 하지 않은 Microsoft Visual C++ 2010 로 작성된 악성코드로 나온다.
악성코드를 실행하면 재부팅을 실행하고 부팅 하지 못하도록 MBR 영역을 변경하고 금액을 요구하는 메세지가 보이게 된다.
MBR 변조를 수행하기 위해서 물리디스크 직접 접근을 위해 PHYSICALDRIVE0에 대한 핸들을 얻어온다. 그리고 PHYSICALDRIVE0에 대하여 파일 포인터를 가장 앞으로 이동시킨다. 이제 파일 포인터는 첫번째 섹터부분을 가르키게 된다. MBR 영역을 기록 하기 위해서 512바이트를 읽어 메모리 상에 저장한다.
그리고 다시 파일 포인터를 가장 앞으로 이동시킨다. 그 후 악성행위를 하기 위해서 악성코드가 담고 있는 데이터를 MBR 영역을 포함해서 쓰기를 시작한다.
파일 포인터를 다시 변경해서 특정한 공간에 정상 MBR 영역을 저장한다. 악성코드 감염 후 돈을 지불하면 정상적으로 복구 시켜주기 위해서 정상 MBR을 기록하는 것이라고 생각이 들기도 한다.
빨간 박스는 윈도우즈 NT 계열 운영체제 강제 종료를 위해서 권한을 가져온다. ExitWindowsEx 호출로 강제로 시스템을 종료 시킨다.
<정상 MBR>
<감염 MBR>
참고 URL 및 도서
- http://asec.ahnlab.com/652 [참고]
'연구문서 > 악성코드 분석' 카테고리의 다른 글
| [악성코드 분석] Backdoor/Win32.Delf (0) | 2013.01.14 |
|---|
