Trojan/Win32.SendMail

개요

 

Trojan/Win32.SendMail 악성코드는 넥슨의 메이플 스토리 게임의 계정을 탈취하는 악성코드 입니다. 메이플 매크로 위장해서 아이디와 비밀번호를 입력 시 악성 해커가 설정한 이메일 주소로 보내지게 됩니다.

 

MD5:33bbfedd840cda12bf9d63889d8b586b

 

상세 분석

 

 

<virustotal 결과>

 

바이러스 토탈 특이 사항으로 해외 백신 중 AntiVir 빼고는 모두 탐지를 못하고 있습니다.

 

AhnLab-V3	O
BitDefender(알약)	X
nProtect	X
ViRobot	O

 

<국내 주요 백신 결과>

 

 

<패킹 결과>

 

 

악성코드 실행 화면 입니다. 메이플 매크로 사용을 위해서는 메이플 스토리의 계정 정보(아이디,비밀번호,2차 비밀번호)에 대해서 입력을 해야지만 다음 화면으로 넘어갑니다.

 

 

악성코드 실행시 네이버 블로그로 접속을 하게 됩니다. 방문자수를 늘리고 추후 악성코드를 전파 시킬때 키워드를 네이버 검색 시 메인 상단에 검색 되기 위해서 블로그에 접속하는걸로 추정 됩니다.

 

 

악성코드 실행 화면에서 아이디와 비밀번호 입력시 네이버로 로그인을 합니다.

 

 

네이버 로그인 이후 네이버 메일을 통해서 악성코드 실행화면에서 보냈던 아이디와 비밀번호를 전송하게 됩니다.

 

 

네이버 로그인 과정에서 이메일을 보내기 위해서 로그인을 시도 합니다. 분석을 진행하면서 악성 해커의 네이버 아이디,네이버 패스워드를 확인 할 수 있습니다.

 

 

네이버 로그인 이후 네이버 메일을 통해서 악성코드 실행 화면에서 입력한 값(ID:kira , 패스워드:1223456 , 2차 비밀번호: 789456123)들에 대해서 자신의 메일로 보냅니다.

 

 

악성 해커의 아이디와 비밀번호를 치고 로그인 하고 로그를 살펴본 결과 2011년 하반기 부터 계속적으로 활동한것 같습니다. 이미 상당한 로그가 쌓여 있었습니다.

 

 

분석을 통해서 확보한 악성 해커의 로그인 아이디,비밀번호를 치고 네이버 로그인 결과 위에서 입력한 값 (ID:kira , 패스워드:1223456 , 2차 비밀번호: 789456123)에 대해서 메일로 보내진걸 확인할수 있습니다.