※ 주의사항
아래 공격 코드는 연구 목적으로 작성된 것이며, 허가 받지 않은 공간에서는 테스트를 절대 금지합니다.
악의 적인 목적으로 이용할 시 발생할 수 있는 법적 책임은 자신한테 있습니다. 이는 해당 글을 열람할 때 동의하였다는 것을 의미합니다.
해당 문서의 저작권은 해당 프로젝트 참여 저자들에게 모두 있습니다. 외부에 공개시 법적 조치가 가해질 수 있습니다.
KoreaMalware님이 분석하신 내용입니다.
악성코드 개요
Backdoor/Win32.Delf 악성코드는 내부에 있는 리소스를 통해서 zxarps 생성 하고 사용 한다. zxarps 툴은 여러가지 네트워크 공격을 가지고 있으며 iframe 삽입 공격을 통해서 같은 네트워크 존재 하는 PC들에 대해서 추가 감염 시킨다. 감염 PC 정보를 유출하고 다운로드 리스트에서 특정 조건( 게임 프로세스명)에 따라서 파일을 다운로드 한다.
MD5:49dc91ef8a4782b2652e2e039448a740
VirusTotal 점검 내역
https://www.virustotal.com/file/49dc91ef8a4782b2652e2e039448a740/analysis/
name | result | date | version |
Agnitum | Packed/FSG | 20130113 | 5.5.1.3 |
AhnLab-V3 | Backdoor/Win32.Delf | 20130113 | 2013.01.14.00 |
AntiVir | TR/Drop.Spy.Pca.A.1 | 20130107 | 7.11.56.52 |
Antiy-AVL | - | 20130113 | 2.0.3.7 |
Avast | Win32:Trojan-gen | 20130113 | 6.0.1289.0 |
AVG | Small.ND | 20130113 | 10.0.0.1190 |
BitDefender | Gen:Trojan.Heur.SFM.kmGfa00rzXjb | 20130111 | 7.2 |
ByteHero | - | 20130110 | 1.0.0.1 |
CAT-QuickHeal | Trojan.Meredrop | 20130112 | 12 |
ClamAV | - | 20130113 | 0.97.3.0 |
Commtouch | W32/Busky.B.gen!Eldorado | 20130112 | 5.3.2.6 |
Comodo | TrojWare.Win32.AntiAV.nhr | 20130113 | 14899 |
DrWeb | Trojan.Sniff | 20130113 | 7.0.4.09250 |
Emsisoft | Trojan.Win32.AMN (A) | 20130113 | 3.0.0.569 |
eSafe | Win32.Trojan | 20130113 | 7.0.17.0 |
ESET-NOD32 | a variant of Win32/Agent.TRU | 20130113 | 7888 |
F-Prot | W32/Busky.B.gen!Eldorado | 20130112 | 4.6.5.141 |
F-Secure | Gen:Trojan.Heur.SFM.kmGfa00rzXjb | 20130113 | 9.0.17090.0 |
Fortinet | W32/Agent.GYRX!tr.dldr | 20130113 | 5.0.26.0 |
GData | Gen:Trojan.Heur.SFM.kmGfa00rzXjb | 20130113 | 22 |
Ikarus | Trojan.Small | 20130113 | T3.1.3.5.0 |
Jiangmin | Trojan/Generic.afguy | 20121221 | 13.0.900 |
K7AntiVirus | Riskware | 20130111 | 9.158.8102 |
Kaspersky | HEUR:Trojan.Win32.Generic | 20130113 | 9.0.0.837 |
Kingsoft | Win32.Hack.Undef.(kcloud) | 20130107 | 2012.12.21.213 |
Malwarebytes | Trojan.Agent | 20130113 | 1.62.0.140 |
McAfee | Artemis!49DC91EF8A47 | 20130113 | 5.400.0.1158 |
McAfee-GW-Edition | Artemis!49DC91EF8A47 | 20130113 | 2012.1 |
Microsoft | Trojan:Win32/Meredrop | 20130113 | 1.9002 |
MicroWorld-eScan | Gen:Trojan.Heur.SFM.kmGfa00rzXjb | 20130113 | 12.0.250.0 |
NANO-Antivirus | Trojan.Win32.HRS.qslr | 20130113 | 0.22.6.49175 |
Norman | W32/Troj_Generic.ERBAX | 20130113 | 6.08.06 |
nProtect | - | 20130113 | 2013-01-13.01 |
Panda | Trj/CI.A | 20130113 | 10.0.3.5 |
PCTools | Trojan.Gen | 20130113 | 8.0.0.5 |
Rising | Trojan.Win32.Generic.133138BD | 20130110 | 24.44.03.01 |
Sophos | Mal/EncPk-BW | 20130113 | 4.84.0 |
SUPERAntiSpyware | Trojan.Agent/Gen-Meredrop | 20130113 | 5.6.0.1008 |
Symantec | Trojan.Gen | 20130113 | 20121.2.1.2 |
TheHacker | Trojan/Agent.tru | 20130112 | None |
TotalDefense | Win32/Posertm | 20130113 | 37.0.10247 |
TrendMicro | TROJ_SPNR.0BK712 | 20130113 | 9.561.0.1035 |
TrendMicro-HouseCall | TROJ_SPNR.0BK712 | 20130113 | 9.700.0.1001 |
VBA32 | Backdoor.Delf.awy | 20130112 | 3.12.18.4 |
VIPRE | BehavesLike.Win32.Malware.wlk (mx-v) | 20130113 | 15010 |
ViRobot | Backdoor.Win32.A.Delf.174080[UPX] | 20130113 | 2011.4.7.4223 |
생성파일 정보(생성시) 요약
파일 생성 정보
%TEMP%\listV.cyc
생성 레지스트리 정보
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Userinit"
|
[패킹 여부 확인] - UPX 패킹
상세 분석
spoolsv.exe 파일은 파일을 다운로드 기능을 가지고 있으며 분석 당시 추가 다운로드 리스트 파일(listV.cyc)에 담겨 있는 리스트에 대해서는 다운로드 하지 않았다. 추후 C&C 서버로부터 명령을 받아서 받아 동작하는 것으로 보이고 listV.cyc 파일은 추가 악성코드 다운로드 주소가 담겨 있다.
배치파일 test.bat 작성하고 try del 명령어를 통해서 악성코드를 삭제 한다.
listV.cyc 파일에는 추가적으로 악성코드 다운로드 리스트가 작성 되어 있다.
악성코드가 생성하는 %WINDIR%\SYSTEM32\USBhelp.dll 파일은 악성코드가 아닌 정상적인 urlmon.dll의 복사 파일 이다.
URLDownloadToFile 함수를 호출 하고 악성코드 내부에 하드코딩 되어 있는 주소로 접속 시 URL 다운로드 리스트에 대해서 다운로드 한다. 그 후 다운로드 리스트를 listV.cyc 파일로 저장 한다.
listV.cyc 리스트에 대해서 다운로드 하는 조건 부분이다. 즉 listV.cyc 안에는 프로세스명, 다운 URL 이 담겨 있다. listV.cyc 안에 있는 다운로드 리스트에 있는 프로세스가 올라가 있다면 추가 악성코드를 다운로드 한다.
감염 시스템에 대해서 정보를 유출 한다.
악성코드 내부에서 리소스를 읽어서 netarpc.exe 툴을 생성 한다.
생성된 netarpc.exe 툴은 중국 에서 제작한 zxarps 툴이다.
zxarps툴의 iframe 삽입 명령어 부분이다. 아이피 대역에 대해서 Sniffing 하여 80 Port가 오픈 되면 해당 URL에 iframe 삽입하도록 하는 명령어다.
C&C 서버 주소의 소재지는 중국으로 판단된다.
대응 방안
악성코드가 생성한 파일에 대해서 삭제 한다.
%TEMP%\listV.cyc
%WINDIR%\Debug\spoolsv.exe
%WINDIR%\SYSTEM32\USBhelp.dll
레지스트리 수정 부분을 정상으로 변경 한다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Userinit" C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\Debug\spoolsv.exe (감염 후)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Userinit" C:\WINDOWS\system32\userinit.exe (정상)
'연구문서 > 악성코드 분석' 카테고리의 다른 글
| [악성코드분석] Trojan-Ransom.Win32.Seftad.a (0) | 2013.01.19 |
|---|
