본문 바로가기
악성코드 분석

Trojan-Ransom.Win32.Blocker.aglb

sec_karas 2013. 1. 7. 19:01

개요

Trojan-Ransom.Win32.Blocker.aglb 악성코드는 드롭퍼로 내부에 포함되어 있던 추가적인 악성코드를 설치하는 악성코드다. 추가적으로 설치하는 악성코드는 Bitcoin-miner 이다.

MD5:e3ab0a5166cd1dc5dff2b2f326d5e153


상세 분석

드롭퍼가 추가적으로 설치하는 Bitcoin 코인은 2009년 나카모토 사토시가 만든 디지털 화폐로 특징으로는 비트코인은 중앙의 발행자에 의존하지 않으며 익명의 소유권과 가치를 전달할수 있게 설계됐다. 비트코인은 중앙 관리자가 없으므로 정부의 개입을 받지 않고 세금 또한 지불 하지 않는 전자 화폐다.

Bitcoin 코인의 강력한 익명성을 보장 하기 때문에 최근 국제 지하 경제의 화폐 수단으로 활용되고 있으며 국제 암시장을 통해서 살인 청부,마약 거래,강간,납치,총기 거래등에 사용 되고 있다 . 최근 위키리크스와 해커집단 룰즈섹이 비트코인으로 기부금을 받기도 했다.

<바이러스 토탈 결과>

<패킹 결과>

AhnLab-V3

O

BitDefender(알약)

X

nProtect

X

ViRobot

X

<국내 주요 백신 결과>

C:\Documents and Settings\[사용자 계정명]\Application Data\랜덤.exe

(드롭퍼)
C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\랜덤.exe

(Bitcoin-miner)

악성코드 실행 시 Application Data 부분에 드롭퍼를 복사 하고 Temp 폴더에 Bitcoin-miner 생성한다.

Windows 시작시 드롭퍼 (랜덤.exe) 파일을 시작 프로그램으로 등록하여 부팅시 악성코드를 실행 한다.

악성 파일의 속성값을 확인해보면 HP CUE-Print Component 로 위장 하고 있다

Bitcoin-miner 악성코드는 드롭퍼에 의해 떨어 지고 사용자의 동의없이 컴퓨터에서 실행 되고 Bitcoin을 생성하기 위해 집중적으로 시스템의 CPU 자원을 한다


악성코드의 명령어 인터페이스는 다음과 같다

생성한 Bitcoin은 다음과 같은 악성 해커의 비트코인 주소로 전송된다.

개인 PC 또는 한대의 PC로는 작은양의 비트코인 밖에 채굴 하지 못한다. 하지만 악성코드의 감염을 통해서 많은 PC를 확보한다면 대량의 PC에서 채굴 할수 있으며 대량의 비트코인을 얻을수 있다.

현재 1BTC 당 USD로 한화로 계산 시 1만 3천원 현금화가 가능하다.

악성 해커의 비트코인 주소를 추적한 결과 총 수신 비트코인은 15 BTC이다.

악성코드에 감염된 PC로 부터 비트코인을 전송 받고 있으며 비트코인의 특성으로 돈세탁이 가능하다. 즉 한 사람이 여러개의 비트코인 주소를 가질수 있다. 거래 내역을 추적한 결과 주기적으로 악성코드 감염 PC로 부터 비트코인을 받고 있으며 빨간 박스에 있는 주소로 다시 한번 비트코인 주기적으로 전송하고 있다. 추정 한다면 주기적으로 비트코인을 모아서 전송하는것으로 보아 악성 해커의 본 비트코인 주소는 빨간박스에 있는 주소로 추정된다.

악성 해커의 본 비트코인 주소로 추정 되는 비트코인 주소를 확인한 결과 총 수신 비트코인은 860.46 BTC 이다. 2013년 1월 7일 기준 860.46 BTC는 한화로 1188만원 정도 이다.

참고 URL 및 도서

-http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Program%3AWin32%2FCoinMiner

- http://www.malwr.com/

- http://www.antiy.net/p/bitcoin-miner-malware/

- https://forums.butterflylabs.com/fpga-single-minirig-support/163-trouble-setting-up-bitforce-single.html

- http://blog.naver.com/h4d32/120165058708

- http://ko.wikipedia.org/wiki/%EB%B9%84%ED%8A%B8%EC%BD%94%EC%9D%B8

 

'악성코드 분석' 카테고리의 다른 글

Trojan-Dropper.Win32.Agent.exc  (0) 2013.01.09
TrojanDownloader:Win32/Kraddare.D  (0) 2013.01.08
Backdoor.Ghostnet  (1) 2013.01.06
Trojan.Agent/Gen-Frauder  (0) 2013.01.05
TRCrypt.CFI.Gen  (0) 2013.01.05

'악성코드 분석' Related Articles

티스토리툴바