개요
VBS/CoinMiner.S 악성코드는 Bitcoin 탈취 악성코드이다.
악성코드 개요
7월18일 분석 요청한 악성코드는 드롭퍼로 내부에 포함되어 있던 추가적인 악성코드를 설치하는 악성코드다. 악성코드가 실행 하는 악성코드는 Bitcoin-miner 이다.
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
X |
| nProtect |
X |
| ViRobot |
X |
<국내 주요 백신 결과>
VirusTotal 점검 내역
| 안티바이러스 | 결과 | 업데이트 |
|---|---|---|
| Agnitum | 20130719 | |
| AhnLab-V3 | Trojan/Win32.BitMiner | 20130719 |
| AntiVir | 20130719 | |
| Antiy-AVL | RiskTool/Win32.BitCoinMiner | 20130718 |
| Avast | VBS:Malware-gen | 20130720 |
| AVG | 20130720 | |
| BitDefender | 20130720 | |
| ByteHero | 20130613 | |
| CAT-QuickHeal | 20130719 | |
| ClamAV | 20130719 | |
| Commtouch | 20130720 | |
| Comodo | Heur.Corrupt.PE | 20130719 |
| DrWeb | Trojan.Siggen5.33427 | 20130720 |
| Emsisoft | 20130720 | |
| eSafe | 20130717 | |
| ESET-NOD32 | VBS/CoinMiner.S | 20130719 |
| F-Prot | 20130720 | |
| F-Secure | 20130720 | |
| Fortinet | BAT/Miner.AX!tr | 20130720 |
| GData | 20130720 | |
| Ikarus | Win32.SuspectCrc | 20130720 |
| Jiangmin | 20130719 | |
| K7AntiVirus | 20130719 | |
| K7GW | 20130719 | |
| Kaspersky | Trojan.BAT.Miner.ax | 20130720 |
| Kingsoft | Win32.Troj.Undef.(kcloud) | 20130718 |
| Malwarebytes | PUP.BitcoinMiner | 20130719 |
| McAfee | Artemis!E6AF99D2CE26 | 20130720 |
| McAfee-GW-Edition | Artemis!E6AF99D2CE26 | 20130720 |
| Microsoft | 20130720 | |
| MicroWorld-eScan | 20130720 | |
| NANO-Antivirus | 20130720 | |
| Norman | Suspicious_Gen4.EINID | 20130719 |
| nProtect | 20130719 | |
| Panda | Trj/CI.A | 20130719 |
| PCTools | 20130719 | |
| Rising | 20130719 | |
| Sophos | Mal/Generic-S | 20130720 |
| SUPERAntiSpyware | 20130719 | |
| Symantec | WS.Reputation.1 | 20130720 |
| TheHacker | 20130719 | |
| TotalDefense | 20130719 | |
| TrendMicro | 20130720 | |
| TrendMicro-HouseCall | TROJ_GEN.F47V0607 | 20130720 |
| VBA32 | 20130719 | |
| VIPRE | Corrupted File (v) | 20130720 |
| ViRobot | 20130720 |
상세 분석 내용
[그림1] 악성코드 생성+실행 절차
악성코드는 백신을 우회 하기 위해서 복잡한 실행절차를 통해서 동작을 수행 한다. 빨간박스를 통해서 miner.dll 파일을 생성하고 노란박스를 통해서 shell.exe 파일을 생성 하고 파란박스를 통해서 macromedia.exe 파일을 생성한다.
[그림2] 파일 목록
악성코드 생성 절차에서 노란색 박스와 파란색 박스를 통해서 생성된 shell.exe , macromedia.exe 파일은 동일한 Bitcoin-miner 파일이다. 악성해커는 많은 비트코인을 채굴 하기 위해서 Bitcoin-miner를 두 개 생성하는 것으로 추정된다.
[그림3] Bitcoin-miner 옵션
shell.exe , macromedia.exe 파일은 그림과 같은 옵션을 통해서 동작 한다.
[그림4] Bitcoin-miner 설정
usft.ext.exe_vbs 스크립트 파일을 이용해서 Bitcoin-miner 실행 옵션을 설정한다. 설정 옵션은Bitcoin-miner 동작에 필요한 옵션과 악성 해커의 비트코인 주소를 기록해서 감염 PC 시스템을 이용하고 생성된 비트코인은 악성 해커의 비트코인 주소로 전송한다.
[그림5] 계좌내역
악성 해커가 악성코드를 이용해서 비트코인을 생성하고 자신의 비트코인 주소로 전송한 계좌내역이다.
[그림6] IP log
비트코인 사이트에서 악성 해커 접속 기록을 추적했으며 악성 해커는 3월 8일에 최종 접속하고 비트코인을 자신의 주소로 전송했다.
[그림 7] 악성 해커 위치
악성 해커 위치는 크로아티아로 추정된다.
'악성코드 분석' 카테고리의 다른 글
| [악성코드 분석] DDoS.Bonke.110 (0) | 2013.07.10 |
|---|---|
| Heur:Trojan/Dialer (0) | 2013.07.06 |
| Win-Trojan/Agent.25600.AAQ (0) | 2013.06.15 |
| 새로운 형식의 파밍 악성코드 (0) | 2013.06.05 |
| Backdoor:Win32/Morix.B (0) | 2013.05.17 |
