TRCrypt.CFI.Gen

개요

TRCrypt.CFI.Gen 악성코드는 넥슨의 메이플 스토리 게임의 계정을 탈취하는 악성코드 입니다. Trojan/Win32.SendMail 악성코드의 진화형 으로 Trojan/Win32.SendMail 악성코드는 네이버 이메일을 통해서 계정을 탈취 했지만 TRCrypt.CFI.Gen 악성코드는 네이버 쪽지를 통해서 계정을 탈취 합니다. 백신사에서 네이버 이메일 전송에 대해서 백신 업데이트를 통해서 탐지 하기 때문에 백신 탐지를 우회하기 위해서 전송방식을 변경한 것으로 추정됩니다.

MD5:f94b149cf1e9a000c37fb783db00cd19
 

상세 분석

<바이러스 토탈 결과>

<패킹 결과>

AhnLab-V3	X
BitDefender(알약)	X
nProtect	X
ViRobot	X

<국내 주요 백신 결과>

악성코드 실행 시 내이버 블로그 사이트로 접속을 합니다. 블로그 방문자수를 올려서 추후 악성코드를 유포 시 네이버 검색 상단을 유지하기 위해서 방문자수를 올리는 것으로 추정됩니다

과거 악성코드의 경우 아이디와 비밀번호를 입력 시 별다른 조건 없이 바로 이메일로 전송하는 방식을 사용 했습니다. 하지만 이번 악성코드의 경우 검증 절차를 추가 했습니다.

실제로 메이플 스토리 게임의 계정 아이디,비밀번호가 메세지 박스로 오류를 표시하고 계정 정보를 전송하지 않습니다. 악성코드가 검증 절차를 통해서 실제 계정인지 검증을 통하기 때문에 허위로 작성한 계정에 대해서는 전송하지 않게 됩니다. 악성 해커는 신뢰 있는 계정의 정보를 전송 받게 됩니다.

실제로 메이플 스토리의 계정과 비밀번호를 입력해야지만 계정 유출에 대한 루틴을 타게 됩니다. 악성코드를 분석 하기 위해서는 조건에 대해서 찾고 조건문에 대해서 강제로 변경시켜줍니다.

로그인에 대해서 성공하면 성공 메세지 박스가 호출 되고 입력한 계정 정보에 대해서 전송 합니다.

계정 정보에 대해서 유출하기 위해서 네이버에 로그인을 진행합니다.

모바일 네이버 쪽지를 통해서 계정 정보에 대해서 전송 합니다. 입력한 ID, PW,2PW(2차 패스워드) 그리고 Target ID= 악성 해커의 네이버 아이디로 설정해서 보내게 됩니다.

다음과 같이 ID, PW , 2PW 형식으로 계정 유출에 대해서 확인이 가능합니다.