크리에이티브 커먼즈 라이선스
Creative Commons License

* 요약 : 디도스(DDos) + Downloader



1. 악성코드 파일 정보


1-1. 악성코드 파일명 : server.exe


1-2. 악성코드 해쉬값

MD5 784185adc699c579602450906f2d2a44

SHA1 813fb47373a0118c8d4f5db0eb7a891c7b87b5cd

SHA256 14e4b2b675aa2e2c14b5dd9f0de137e297de3a052fb4b43f1e59c66e34a72adc



1-3. 악성코드 진단 정보 : 바이러스 토털 진단 결과 54개 백신 중 46개 백신에서 진단을 하고 있다.


AhnLab-V3 : Win-Trojan/Scar.109568.U

BitDefender : Gen:Variant.Symmi.8490

Symantec : Backdoor.Nitol

ViRobot : Trojan.Win32.Downloader.109568.AC

nProtect : Trojan/W32.Agent.109568.EQ



2. 파일 및 레지스트리 생성 정보


C:\Windows\System32\******.exe(랜덤 영어 소문자 6자리)
C:\Windows\Temp\***** or ******.exe(랜덤 영어 소문자 5~6자리)


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Nationalaxj

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Nationalaxj



3. 생성된 악성 서비스 정보




서비스 이름 : Nationalaxj

표시 이름 : Nationalvah Instruments Domain Service

설명 : Providesuka a domain server for NI security




4. 생성된 악성코드 정보


4-1. ******.exe(=server.exe)


4-1-1. 악성코드 행위 정보


4-1-1-1. 해당 악성코드 C&C는 180.67.207.231:1104 이다.




4-1-1-2. URLDownloadToFileA을 이용하여 외부로부터 추가적인 다운을 시도하며 1.234.***.***에서 mswinsck.ocx, ver.txt, decaptcher.dll, svchost.exe를 추가적으로 다운로드하며 decaptcher.dll은 C:\Windows\에 decapther.dll로 저장하며 svchost.exe는 C:\Windows\에 wdefender.exe 형태로 저장한다. 그리고 wdefender.exe는 Themida-WinLicense 패킹이 되어 있어서 그 이상의 분석이 불가한점 양해...


또 쓰면서 모 사이트에서 추가적인 악성코드 다운로드가 이어졌다.....ㅠㅠ 하지만 같은 기능을 수행하며 VMProtect로 패킹이 되어 있다.(VMProtect는 아직 언패킹 할 줄 모르는뎅..)




4-1-1-3. 디도스 툴의 버튼 키로 확인이 된다.




4-1-1-4. 컴퓨터 이름과 더불어 운영체제명 정보, CPU 정보와 램 상태 정보를 체크하여 위의 C&C 서버로 전송한다.









4-1-1-5. Passthru.sys을 통해 DDos를 하는 것으로 확인이 되며 Vip2010-0818이라는 주석이 포함되어 있다.



4-1-1-6. 아래와 같이 DDos을 공격할 것으로 확인이 된다. 실제로 추가 다운된 악성코드에 의하여 리니지TV 사이트 lintv.kr(222.231.25.56)와 더불어 lineage.plaync.com(리니지 공식 사이트), 팝올 게임 커뮤니티(118.107.172.21, popall.com)에 공격을 수행하는 것으로 확인이 된다.^^


GET %s HTTP/1.1

Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*

Accept-Language: zh-cn

Accept-Encoding: gzip, deflate

User-Agent:Mozilla/4.0 (compatible; MSIE %d.0; Windows NT %d.1; SV1)

Host: %s:%d

Connection: Keep-Alive


GET %s HTTP/1.1

Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*

Accept-Language: zh-cn

Accept-Encoding: gzip, deflate

User-Agent:Mozilla/4.0 (compatible; MSIE %d.0; Windows NT %d.1; SV1)

Host: %s

Connection: Keep-Alive


GET %s HTTP/1.1

Content-Type: text/html

Host: %s

Accept: text/html, */*

User-Agent:Mozilla/5.0 (X11; U; Linux i686; en-US; re:1.4.0) Gecko/20080808 Firefox/%d.0


GET %s HTTP/1.1

Referer: http://%s:80/http://%s

Host: %s

Connection: Close

Cache-Control: no-cache

%s %s%s


GET %s HTTP/1.1

Content-Type: text/html

Host: %s:%d

Accept: text/html, */*

User-Agent:Mozilla/4.0 (compatible; MSIE %d.00; Windows NT %d.0; MyIE 3.01)


GET %s HTTP/1.1

Content-Type: text/html

Host: %s

Accept: text/html, */*

User-Agent:Mozilla/4.0 (compatible; MSIE %d.00; Windows NT %d.0; MyIE 3.01)


GET %s HTTP/1.1

Host: %s:%d


GET %s HTTP/1.1

Host: %s


GET %s HTTP/1.1

Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*

Accept-Language: zh-cn

Accept-Encoding: gzip, deflate

User-Agent:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)


Host: %s

Connection: Keep-Alive



5. 악성코드 수동 삭제 및 제거 정보


5-1. 시작 - 프로그램 - 보조 프로그램 - 명령 프롬프트를 마우스 우측 버튼 클릭하고 난 뒤 관리자 권한으로 실행한다 그리고 아래의 명령어를 순서대로 입력하여 서비스의 BINARY_PATH_NAME를 파악하며, 서비스를 삭제한다.



5-2. 서비스 삭제 작업이 완료되었으면 BINARY_PATH_NAME의 경로를 확인하여 악성코드를 삭제한다.

저작자 표시 비영리 변경 금지
신고
Posted by Ec0nomist

티스토리 툴바