1. 악성코드 감염 루트 : 특정 사이트 내에 Gongda Exploit Pack이 삽입이 되어 PC 내에 존재하는 Flash Player, Java Applet, IE 등의 취약점을 통해 감염이 이루어진다.





2. 악성코드 숙주 간단 정보


2-1) 악성코드 숙주명 : smss.exe(Virustotal : 6 / 50)

       MD5 : 2fd359eeb56bc76ccb6aaa99c3ebf623


2-2) 악성코드 진단 정보 : 바이러스토털 결과만으로 보면 국내 백신사는 현재 거의 올킬 상태이며, 바이로봇에서 진단을 하고 있는 실정이다.


ViRobot :Trojan.Win32.S.Agent.380840

Microsoft : Backdoor:Win32/Zegost.AY

Avast : Win32:Jorik-FY [Trj]


2-3) 파일 정보 : PEView로 보면 2014년 4월 5일 오전 5시에 생성이 되었음을 확인할 수 있다.



2-4) 파일 패킹 정보 : 그냥 비주얼 베이직 5.0/6.0으로 이루어져 있다. 특별한 패킹이 되어 있지 않기에 만일 샘플을 구한 분이라면 쉽게 파일 내부를 확인해볼 수 있다. 스샷 찍기 귀찮아서 패스.



3. 악성코드 생성 정보 : smss.exe 파일시 아래의 경로에 파일 및 레지스트리를 생성한다. 


C:\F2207213snti2207213(영어 1+숫자 7+영어 4 + 숫자 7 조합)\csrss.exe(=C:\Windows\System32\Rundll32.exe)


C:\F2207213snti2207213\start.ink


C:\F2207213snti2207213\Ueiow(파일명은 랜덤).dll(MD5 : 7f0bab1ae01d040fabecd86f0b767386)


C:\UDiskMonitor\

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\start.ink

start.ink = C:\F2207213snti2207213\csrss.exe c:\F22072~1\Ueiow.dll,InitSkin


HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\

"run"="c:\\F22072~1\\start.lnk" 



4. 생성된 악성코드의 정보와 행위 : 어차피 크게 따지자면 ueiow.dll에 의하여 생성 및 실행 패턴이 이루어지기에 ueiow.dll에 대해서만 언급함.


4-1) ueiow.dll 파일 정보 : Ahnlab V3 Lite 제품에 내장되어 있는 Sedel.dll과 같은 정보를 취하고 있다. 다만 디지털 서명 란엔 보이지 않는다. 참고로 용량이 100MB이기에 바이러스 토털 진단이 힘들며, 백신 진단 우회 기능도 가지고 있는 걸로 보인다.


아래의 스샷은 左:악성 右:정상




4-2) 악성코드 행위 정보 : 대체로 파라미터 값 InitSkin에 의해 행동 기반이 이루어지며 대략적으로 허접하게 본 바로는 아래와 같다. 요약 설명하자면 알약, V3 Lite를 대상으로 하는 백신 무력화 시전, 컴퓨터 내 연결된 드라이브 내를 검색하여 공인인증서 탈취 및 전송, 호스트 파일 생성을 통한 파밍 악성코드 공격, 특정 C&C 서버로 추정이 되는 서버와 연결 추정... 정도의 기능을 가지고 있는 것으로 확인이 된다.




4-2-1) sub_100078B6 : Ahnlab V3 Lite와 (주) 이스트소프트 알약 백신 제품 무력화 기능을 취하고 있으며 해당 기능의 경우 과거에는 나타나지 않은 걸로 기억하며 이 번에 새로생긴 것으로 보인다. 중요 키워드는 Base64로 암호화가 되어 있으며 암호화 해제시 아래와 같다.





QVNEU3ZjLmV4ZQ==                                ASDSvc.exe

QVlSVFNydi5heWU=                                  AYRTSrv.aye

U09GVFdBUkVcQWhuTGFiXFYzTGl0ZQ==    SOFTWARE\AhnLab\V3Lite

U09GVFdBUkVcRVNUc29mdFxBTFlhYw==    SOFTWARE\ESTsoft\ALYac

VFNGbHREcnYuc3lz                                 TSFltDrv.sys(V3 Lite 제품 Driver)

UmVzb3VyY2VcZGVmYXVsdFxpbWFnZVx0cmF5X3J0c19vbi5pY28=     Resource\default\image\tray_rts_on.ico

UmVzb3VyY2VcZGVmYXVsdFxpbWFnZVx0cmF5X3J0c19vZmYuaWNv       Resource\default\image\tray_rts_off.ico

QVlVcGRTcnYuYXll                                  AYUpdSrv.aye


대략적으로 보면 전반적으로 레지스트리 공격과 더불어 안랩의 백신 ASDSVc.exe, TSFltDrv.sys와 더불어 알약의 경우 AYRTSrv.aye, AYUpdSrv.aye 프로세스 및 커널 드라이버가 공격을 당해 백신 무력화 현상이 나타날 가능성이 매우높다.



4-2-2) sub_1000687A : V3LSvc.exe와 AYRTSvc.aye 프로세스의 V3 Lite, 알약 백신 무력화 기능과 GetSystemDirectory을 통하여 호스트 파일(hosts, hosts.ics) 생성




VjNMU3ZjLmV4ZQ==                              V3LSvc.exe

QVlSVFNydi5heWU=                               AYRTSrv.aye

XGRyaXZlcnNcZXRjXGhvc3Rz                \drivers\etc\hosts

XGRyaXZlcnNcZXRjXGhvc3RzLmljcw==   \drivers\etc\hosts.ics



4-2-3) sub_10007848 : 컴퓨터 내 연결된 모든 드라이브를 검색하여 공인인증서 정보를 md 명령어를 이용하여 특정 경로로 옮기며, 그리고 옮긴 공인인증서를 7za.exe를 이용하여 압축 후 특정 서버로 전송하는 것으로 추정이 된다.








4-2-4) sub_100062A6 - 특정 C&C 서버와 연결 : 이게 C&C 서버인지는 확인이 어려우나 아무튼 연결이 될 가능성이 높기에 언급을 하였으며, 참고로 서버 주소명은 Base64로 암호화되어 있으며 암호화 해제시 아래와 같다.



djEuUExVU1VOSU9OLklORk86MzU4OA==   →  v1.PLUSUNION.INFO:3588

ZG5zOC5rb2Rucy5pbmZvOjI1NjY=   →   dns8.kodns.info:2566




5. V3 LIte, 알약 백신을 무력화하는 파밍 악성코드 수동 제거 요령


1) 컴퓨터를 재부팅하여 F8을 연타하여 안전모드로 이동하는 걸 권장한다. 


2) 아래의 경로에 있는 파일 및 레지스트리를 삭제.


C:\F2207213snti2207213\csrss.exe(폴더명은 랜덤)

C:\F2207213snti2207213\start.ink

C:\F2207213snti2207213\Ueiow(파일명은 랜덤).dll

C:\UDiskMonitor\

C:\Windows\System32\Drivers\Hosts (파일 내 모든 문자열 모두 정정)

C:\Windows\System32\Drivers\Hosts.ics(요건 삭제)

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\start.ink

start.ink = C:\F2207213snti2207213\csrss.exe c:\F22072~1\Ueiow.dll,InitSkin

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\

"run"="c:\\F22072~1\\start.lnk" 


3) 재부팅 후 같은 현상이 지속되는지 확인한다.




6. 감염 후 대책


1) 현재 컴퓨터 내 설치된 Java Applet, Adobe Flash Player 등의 프로그램이 최신 버젼인지 확인한다.


2) 백신은 항상 실시간 감시와 더불어 자가 보호 기능을 켜둔다.


3) 윈도우 업데이트는 항상 최신 버젼으로 유지하며, 나올 때마다 무조건 업데이트하는 자세를 가진다.


4) 해당 악성코드는 공인인증서를 탈취하는 악성코드이기에 컴퓨터가 정상화되었으면 공인인증서 암호를 바꾸는걸 권장한다.


5) 호스트 변조에 따른 파밍 악성코드의 유도에 걸려 금융정보를 다 넘겨줬을 때 해당 은행과 한 번 연락을 취해 빠른 대처를 취할 수 있도록 한다.




P.S) 해당 악성코드는 안랩과 알약에서 미진단하기에 각각 신고센터로 전송함. 미시경제학이나 보러 가야지 ㅇㅅㅇ

Posted by Ec0nomist

댓글을 달아 주세요

  1. 역시 이런 놈 때문에 최근에 V3 무력화 문제로 검색 유입이 눈에 띄었군요.^^

    2014.04.06 22:05 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • 저는 최근에 V3 무력화 현상이 이슈가 됬는지도 몰랐습니다 ㄷㄷ 음... 근래들어 다시 무력화 스킬이 슬슬 보이기 시작했었군요...;;;

      2014.04.06 22:22 신고 [ ADDR : EDIT/ DEL ]