Backdoor/Win32.Delf

악성코드 개요

Backdoor/Win32.Delf 악성코드는 내부에 있는 리소스를 통해서 zxarps 생성 하고 사용 한다. zxarps 툴을 통해서 iframe 삽입 공격을 통해서 같은 네트워크 존재 하는 PC들에 대해서 추가 감염 시킨다. 감염 PC 정보를 유출하고 다운로드 리스트에서 특정 조건( 게임 프로세스명)에 따라서 파일을 다운로드 한다.

MD5:49dc91ef8a4782b2652e2e039448a740

VirusTotal 점검 내역

https://www.virustotal.com/file/49dc91ef8a4782b2652e2e039448a740/analysis/

생성파일 정보(생성시) 요약

파일 생성 정보 %TEMP%\listV.cyc %WINDIR%\Debug\spoolsv.exe %WINDIR%\SYSTEM32\USBhelp.dll C:\test.bat 생성 레지스트리 정보 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Userinit" C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\Debug\spoolsv.exe

<패킹 결과>

AhnLab-V3	O
BitDefender(알약)	O
nProtect	X
ViRobot	O

<국내 주요 백신 결과>

상세 분석

spoolsv.exe 파일은 파일을 다운로드 기능을 가지고 있으며 분석 당시 추가 다운로드 리스트 파일(listV.cyc)에 담겨 있는 리스트에 대해서는 다운로드 하지 않았다. 추후 C&C 서버로부터 명령을 받아서 받아 동작하는 것으로 보이고 listV.cyc 파일은 추가 악성코드 다운로드 주소가 담겨 있다.

배치파일 test.bat 작성하고 try del 명령어를 통해서 악성코드를 삭제 한다.

listV.cyc 파일에는 추가적으로 악성코드 다운로드 리스트가 작성 되어 있다.

악성코드가 생성하는 %WINDIR%\SYSTEM32\USBhelp.dll 파일은 악성코드가 아닌 정상적인 urlmon.dll의 복사 파일 이다.

URLDownloadToFile 함수를 호출 하고 악성코드 내부에 하드코딩 되어 있는 주소로 접속 시 URL 다운로드 리스트에 대해서 다운로드 한다. 그 후 다운로드 리스트를 listV.cyc 파일로 저장 한다.

listV.cyc 리스트에 대해서 다운로드 하는 조건 부분이다. 즉 listV.cyc 안에는 프로세스명, 다운 URL 이 담겨 있다. listV.cyc 안에 있는 다운로드 리스트에 있는 프로세스가 올라가 있다면 추가 악성코드를 다운로드 한다.

감염 시스템에 대해서 정보를 유출 한다.

악성코드 내부에서 리소스를 읽어서 netarpc.exe 툴을 생성 한다.

생성된 netarpc.exe 툴은 중국 에서 제작한 zxarps 툴이다.

zxarps툴의 iframe 삽입 명령어 부분이다. 아이피 대역에 대해서 Sniffing 하여 80 Port가 오픈 되면 해당 URL에 iframe 삽입하도록 하는 명령어다.

C&C 서버 주소의 소재지는 중국이다

대응 방안

%TEMP%\listV.cyc
%WINDIR%\Debug\spoolsv.exe
%WINDIR%\SYSTEM32\USBhelp.dll

악성코드가 생성한 파일에 대해서 삭제 한다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Userinit" C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\Debug\spoolsv.exe (감염 후)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Userinit" C:\WINDOWS\system32\userinit.exe (정상)

레지스트리 수정 부분을 정상으로 변경 한다