Trojan.Win32.Hosts2.gen

개요

 

Trojan.Win32.Hosts2.gen 악성코드는 국내에서도 많이 발생하고 있는 파밍형 악성코드 입니다.

파밍형 악성코드의 경우 피싱 악성코드와 다르게 올바른 사이트 주소를 입력하고 접속해도 hosts 파일을 변조해서 악성 해커가 변조한 사이트로 변경을 해서 정보를 탈취하는 악성코드 형태 입니다.

 

상세 분석

 

 

<Virustotal 결과>

 

 

<패킹 여부>

 

패킹 여부를 판단하기 위해서 PEID로 확인 결과 패킹은 하지 않은 Borland Delphi 6.0 - 7.0 로 작성된 악성코드로 나옵니다.

 

 

 

 

 

컴퓨터 환경에서 사이트 접속 시 hosts 파일을 참조합니다. 사이트 접속 시 컴퓨터는 hosts 파일을 확인하고 넘어가기 때문에 이 부분에 악성 해커가 변조를 해서 특정 사이트에 대해서 정의 해놓으면 사이트 접속시 hosts 파일에 정의된 경로로 접속하게 됩니다.

 

 

GetModuleFileNameA 함수 호출로 현재 실행되고 있는 위치를 구합니다

 

 

GetLocaleInfo 함수 호출로 Windows에 설정되어 있는 국가/지역에 대한 정보를 구합니다.

 

 

GetKeyboardType 함수 호출로 키보드 타입에 대해서 알아옵니다. 악성코드 동작의 핵심 부분은 아닙니다.

 

 

스택에 변조 시킬 주소를 기록합니다. 파란 박스안에 있는 부분이 루틴으로 반복 하면서 스택에 만들어집니다 한번 돌고 127.0.0.1 safebrowsing.google.com 기록하고 다시 한번 위로 파란박스로 올라가서 다시 반복해서 127.0.0.1 avast.com를 기록합니다.

 

 

CreateFile 함수를 사용해서 hosts 파일에 대한 핸들을 반환 받습니다.

 

 

WriteFile 함수로 CreateFile 함수가 반환한 hosts 파일의 핸들을 받아서 hosts 파일을 변조합니다.

 

<변조 이전 정상적인 hosts 파일>

 

 

<변조 후 악성 hosts 파일>

 

 

 

 

196.34.135.196 credicard.com.br //신용카드 회사
127.0.0.1 safebrowsing.google.com //백신
127.0.0.1 avast.com //백신
127.0.0.1 avg.com //백신
127.0.0.1 kaspersky.com //백신

변조 한 사이트 주소를 보면 백신 사이트에 대해서 접속을 차단 시키고 credicard.com.br 라는 사이트 접속시 악의적인 해커가 의도한 사이트로 접속할수 있게 변경 시켰습니다.

 

 

감염 이전 credicard.com.br 사이트에 대한 접속은 199.67.180.39으로 접속을 시도 합니다

 

 

감염 이후 credicard.com.br 사이트에 대한 접속은 196.34.135.196으로 접속을 시도 합니다

 

 

서버의 소재지는 남아프리카 공화국으로 나오며 현재는 사이트에 대한 접속이 불가능한 상태입니다