개요
악성코드 개요
기존의 파밍형 악성코드의 동작 핵심은 윈도우 host 파일 또는 hosts.ics 파일을 변조 해서 정상적인 사이트에 접속 해도 파밍 사이트로 접속 하는 방식 입니다. 이번에 발견한 악성코드는 기존에 사용한 host 파일 변조가 아닌 DLL 인젝션 방식을 사용 해서 파밍 행위를 수행 합니다.
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
O |
| ViRobot |
X |
VirusTotal 점검 내역
| 안티바이러스 | 결과 | 업데이트 |
|---|---|---|
| Agnitum | 20130529 | |
| AhnLab-V3 | Win-Trojan/Jwgames.Gen | 20130530 |
| AntiVir | TR/Crypt.XPACK.Gen | 20130530 |
| Antiy-AVL | 20130529 | |
| Avast | Win32:Bifrose-CBR [Trj] | 20130530 |
| AVG | Generic33.VQS.dropper | 20130530 |
| BitDefender | Dropped:Trojan.GenericKDV.1002544 | 20130530 |
| ByteHero | 20130517 | |
| CAT-QuickHeal | 20130530 | |
| ClamAV | 20130523 | |
| Commtouch | 20130530 | |
| Comodo | UnclassifiedMalware | 20130530 |
| DrWeb | 20130530 | |
| Emsisoft | Dropped:Trojan.GenericKDV.1002544 (B) | 20130530 |
| eSafe | 20130527 | |
| ESET-NOD32 | a variant of Win32/PSW.OnLineGames.QGX | 20130529 |
| F-Prot | 20130530 | |
| F-Secure | Dropped:Trojan.GenericKDV.1002544 | 20130530 |
| Fortinet | W32/Onlinegames.PWZ!tr.pws | 20130530 |
| GData | Dropped:Trojan.GenericKDV.1002544 | 20130530 |
| Ikarus | Trojan-PWS.OnlineGames | 20130530 |
| Jiangmin | 20130530 | |
| K7AntiVirus | 20130529 | |
| K7GW | 20130529 | |
| Kaspersky | HEUR:Trojan.Win32.Generic | 20130530 |
| Kingsoft | 20130506 | |
| Malwarebytes | 20130530 | |
| McAfee | Artemis!13653223A873 | 20130530 |
| McAfee-GW-Edition | Heuristic.BehavesLike.Win32.Suspicious.H | 20130530 |
| Microsoft | TrojanDownloader:Win32/OnLineGames.C | 20130530 |
| MicroWorld-eScan | Dropped:Trojan.GenericKDV.1002544 | 20130530 |
| NANO-Antivirus | 20130530 | |
| Norman | Suspicious_Gen4.DZOIT | 20130529 |
| nProtect | Dropped:Trojan.GenericKDV.1002544 | 20130530 |
| Panda | Trj/Genetic.gen | 20130529 |
| PCTools | 20130521 | |
| Rising | 20130530 | |
| Sophos | 20130530 | |
| SUPERAntiSpyware | 20130530 | |
| Symantec | WS.Reputation.1 | 20130530 |
| TheHacker | 20130528 | |
| TotalDefense | 20130529 | |
| TrendMicro | TROJ_GEN.R47CDER13 | 20130530 |
| TrendMicro-HouseCall | TROJ_GEN.R47CDER13 | 20130530 |
| VBA32 | BScope.Trojan.SvcHorse.01643 | 20130530 |
| VIPRE | Trojan.Win32.Generic!BT | 20130530 |
| ViRobot | 20130530 |
상세 분석 내용
기존 파밍 악성코드는 PC 환경에서 사이트 접속 시 hosts 파일을 참조 하는 취약점을 기반으로 hosts 파일을 변조 하는 형태이며 이번에 발견한 악성코드는 hosts 파일을 변조 하지 않고 DLL 인젝션을 통해서 악성 행위를 수행 한다.
WFP의 무력화를 위해 Sfc_os.dll 파일을 로드 후 Function #5를 호출하여 1분간 WFP를 무력화 시키게 된다.
ws2help.dll 파일은 ws2_32.dll 파일을 보조 하는 역할로 사용 되며 악성코드는 정상 파일 상태 ws2help.dll 파일을 악성코드로 변경 하고 정상 파일 ws2help.dll 파일을 ws2helpxp.dll 백업하고 ws2helpxp.dll 파일은 정상 파일인 ws2help.dll 시스템 파일 역할을 수행 한다.
MoveFileEx 함수를 호출 해서 ws2help.dll 정상 파일을 C902BD.tmp 파일로 변경 한다.
MoveFileEx 함수를 호출 해서 36B52.tmp 악성 파일을 ws2help.dll 파일로 변경 한다.
SetFileAttributes 함수를 호출 해서 만들어진 ws2help.dll 악성 파일의 속성을 시스템으로 변경 한다.
ws2help.dll 악성 파일에 대해서 파일 생성 날짜와 수정한 날짜를 변경 한다.
악성코드는 iexplore.exe 프로세스에 악성 ws2help.dll 파일을 인젝션 하며 금융 정보를 수집하여 외부로 유출한다. ws2helpxp.dll 파일은 ws2help.dll 시스템 파일의 백업 파일로 ws2help.dll 정상 파일의 역할을 수행 한다
새로운 형식의 파밍 악성코드 동작 동영상으로 hosts 파일 변조가 아닌 DLL 인젝션을 통해서 악성행위를 수행 한다.
금융 정보를 탈취 하는 서버의 소재지는 홍콩 이다.
'악성코드 분석' 카테고리의 다른 글
| Heur:Trojan/Dialer (0) | 2013.07.06 |
|---|---|
| Win-Trojan/Agent.25600.AAQ (0) | 2013.06.15 |
| Backdoor:Win32/Morix.B (0) | 2013.05.17 |
| TrojWare.Win32.Agent.PDSB (1) | 2013.04.05 |
| Win32:PcClient-ZE [Trj] (0) | 2013.03.26 |
