악성코드 분석

[악성코드 분석] VBS/CoinMiner.S

개요

 

VBS/CoinMiner.S 악성코드는 Bitcoin 탈취 악성코드이다.


악성코드 개요

 

 

7월18일 분석 요청한 악성코드는 드롭퍼로 내부에 포함되어 있던 추가적인 악성코드를 설치하는 악성코드다. 악성코드가 실행 하는 악성코드는 Bitcoin-miner 이다.



 

생성파일 정보 요약

 

 

 

 

<패킹 결과>

 

AhnLab-V3

O

BitDefender(알약)

X

nProtect

X

ViRobot

X

 

<국내 주요 백신 결과>

 



VirusTotal 점검 내역

 

 

https://www.virustotal.com/ko/file/382085e2d3381f1242081fb7a638ae1b48f97da869aeeaea90246d0d91e9751d/analysis/1374291187/

 

안티바이러스 결과 업데이트
Agnitum 20130719
AhnLab-V3 Trojan/Win32.BitMiner 20130719
AntiVir 20130719
Antiy-AVL RiskTool/Win32.BitCoinMiner 20130718
Avast VBS:Malware-gen 20130720
AVG 20130720
BitDefender 20130720
ByteHero 20130613
CAT-QuickHeal 20130719
ClamAV 20130719
Commtouch 20130720
Comodo Heur.Corrupt.PE 20130719
DrWeb Trojan.Siggen5.33427 20130720
Emsisoft 20130720
eSafe 20130717
ESET-NOD32 VBS/CoinMiner.S 20130719
F-Prot 20130720
F-Secure 20130720
Fortinet BAT/Miner.AX!tr 20130720
GData 20130720
Ikarus Win32.SuspectCrc 20130720
Jiangmin 20130719
K7AntiVirus 20130719
K7GW 20130719
Kaspersky Trojan.BAT.Miner.ax 20130720
Kingsoft Win32.Troj.Undef.(kcloud) 20130718
Malwarebytes PUP.BitcoinMiner 20130719
McAfee Artemis!E6AF99D2CE26 20130720
McAfee-GW-Edition Artemis!E6AF99D2CE26 20130720
Microsoft 20130720
MicroWorld-eScan 20130720
NANO-Antivirus 20130720
Norman Suspicious_Gen4.EINID 20130719
nProtect 20130719
Panda Trj/CI.A 20130719
PCTools 20130719
Rising 20130719
Sophos Mal/Generic-S 20130720
SUPERAntiSpyware 20130719
Symantec WS.Reputation.1 20130720
TheHacker 20130719
TotalDefense 20130719
TrendMicro 20130720
TrendMicro-HouseCall TROJ_GEN.F47V0607 20130720
VBA32 20130719
VIPRE Corrupted File (v) 20130720
ViRobot 20130720


 

상세 분석 내용

 

 

 

[그림1] 악성코드 생성+실행 절차

 

악성코드는 백신을 우회 하기 위해서 복잡한 실행절차를 통해서 동작을 수행 한다. 빨간박스를 통해서 miner.dll 파일을 생성하고 노란박스를 통해서 shell.exe 파일을 생성 하고 파란박스를 통해서 macromedia.exe 파일을 생성한다.

 

 

[그림2] 파일 목록

 

악성코드 생성 절차에서 노란색 박스와 파란색 박스를 통해서 생성된 shell.exe , macromedia.exe 파일은 동일한 Bitcoin-miner 파일이다. 악성해커는 많은 비트코인을 채굴 하기 위해서 Bitcoin-miner를 두 개 생성하는 것으로 추정된다.

 

 

[그림3] Bitcoin-miner 옵션

 

shell.exe , macromedia.exe 파일은 그림과 같은 옵션을 통해서 동작 한다.

 

 

[그림4] Bitcoin-miner 설정

 

usft.ext.exe_vbs 스크립트 파일을 이용해서 Bitcoin-miner 실행 옵션을 설정한다. 설정 옵션은Bitcoin-miner 동작에 필요한 옵션과 악성 해커의 비트코인 주소를 기록해서 감염 PC 시스템을 이용하고 생성된 비트코인은 악성 해커의 비트코인 주소로 전송한다.

 

 

[그림5] 계좌내역

 

악성 해커가 악성코드를 이용해서 비트코인을 생성하고 자신의 비트코인 주소로 전송한 계좌내역이다.

 

 

[그림6] IP log

 

비트코인 사이트에서 악성 해커 접속 기록을 추적했으며 악성 해커는 3월 8일에 최종 접속하고 비트코인을 자신의 주소로 전송했다.

 

[그림 7] 악성 해커 위치

 

악성 해커 위치는 크로아티아로 추정된다.

신고

'악성코드 분석' 카테고리의 다른 글

[악성코드 분석] VBS/CoinMiner.S  (2) 2013.08.04
[악성코드 분석] DDoS.Bonke.110  (0) 2013.07.10
Heur:Trojan/Dialer  (0) 2013.07.06
Win-Trojan/Agent.25600.AAQ  (0) 2013.06.15
새로운 형식의 파밍 악성코드  (0) 2013.06.05
Backdoor:Win32/Morix.B  (0) 2013.05.17
  1. VV M/D Reply

    악성 코드가 맞군요.

    제작자 사이트에서 직접 받은 것도 바이러스로 검출되던데 그럼 .. cgminer 제작자가 직접 심은 건가요?

  2. 성대갈 M/D Reply

    와 정말 대단하신 분인거 같음

최근 트랙백

알림

이 블로그는 구글에서 제공한 크롬에 최적화 되어있고, 네이버에서 제공한 나눔글꼴이 적용되어 있습니다.

태그

카운터

Today : 3
Yesterday : 72
Total : 80,695