본 포스트에 기재할 파밍 악성코드 중 하나인 Tespayserver.exe는 제가 군대에서 한창 말년일 때 나온 것으로 추정이 되며, 현재, 지금도 여전히 악성코드가 치료를 하지 않거나 되지 않은 컴퓨터 혹은 악성코드가 삽입된 사이트 내에서 취약점을 이용하여 비밀리로 전파되는 것으로 추정이 되는 바입니다. 혹은 토렌트 파일, 애드웨어에 섞여 들어오는 경우도 있습니다.




1. Tespayserver.exe 간단 소개


Tespayserver.exe의 바이러스 토털 진단 결과 보기(37 / 48) 



MD5 : 0b84355770b65b243a2bb92843a239a1

File size : 15.0 KB( 15360 bytes )


AhnLab-V3 : Trojan/Win32.Banker

Avast : Win32:Malware-gen

BitDefender : Gen:Trojan.Heur.PT.amKfbaT56odb

ViRobot : Trojan.Win32.S.VkHost.15360

nProtect : Trojan/W32.Agent.15360.RQ






2. Tespayserver.exe의 악성코드 행위 간단 소개


  1) 원본 숙주 파일에 의해 다음의 경로에 파일 및 레지스트리가 변경 및 생성이 됩니다.


>> 파일 생성

C:\Windows\Tasks\Tespayserver.exe

C:\Windows\System32\Drivers\Etc\Changer.bat(본 Test시 생성 X)

C:\Windows\System32\Drivers\Etc\hosts(본 Tests시 변조 X)


>> 레지스트리 생성 및 변경


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

"Userinit" = "C:\Windows\System32\userinit.exe,"의 값이 
"C:\Windows\system32\userinit.exeC:\Windows\Tasks\Tespayserver.exe"로 변경

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS에 MY_Host_URLS="http://특정IP.ip.txt" 생성
▶ BITS(Background Intelligent Transfer Service)을 이용하여 실시간으로 hosts 변경 가능한 기능을 가짐.


  2) 프로세스 내에 실행이 되면 해당 Tespayserver.exe는 특정 IP로부터 파밍할 대상(금융권으로 추정)과 파밍 IP를 가져옵니다.


  3) 더불어 특정 주소에서 악성코드를 드롭하여 C:\Windows\System32\Drivers\Etc\Changer.bat
를 만든 뒤 
hosts를 변조하는 역할을 가지는 것으로 추정이 되는데 특정 주소가 이미 막힌지 오래라 changer.bat를 만드는 행위까지는 포착하지 못하였습니다. 그리고 앞서 말한 BITS(Background Intelligent Transfer Service)을 이용하여 실시간으로 hosts 변조가 가능하도록 구조가 이루어져 있습니다.

  

 

 4) 본 테스트에서는 드롭 파일이 없는 관계 상 결국 Tespayserver.exe는 Hosts 변조 역할을 하지 못하는 탓에 실제적인 파밍 악성코드 역할을 하지 못하고 잠재적인 파밍 악성코드 역할을 하는 셈입니다.



3. Tespayserver.exe 치료방법


   1) 프로세스 내에서 Tespayserver.exe를 종료해주시기 바랍니다.


 

  

 2) 다음의 경로에서 파일을 삭제 및 변경해주시기 바랍니다.

         

      (1) 파일


C:\Windows\Tasks\Tespayserver.exe   <삭제>

C:\Windows\System32\Drivers\Etc\Changer.bat    <삭제>

C:\Windows\System32\Drivers\Etc\hosts(변조되었을 경우 삭제하지 말고 안에 있는 내용을 모두 삭제)  <변경>



     (2) 레지스트리 변경 및 삭제


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

"Userinit" = "C:\Windows\system32\userinit.exe,C:\Windows\Tasks\Tespayserver.exe"을
"C:\Windows\System32\userinit.exe,"로 변경해주시기 바랍니다.



더불어 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS에 있는 My_Host_URL을 삭제해주시기 바랍니다.


     

Posted by Ec0nomist

댓글을 달아 주세요