본문 바로가기

악성코드 분석

PWS:Win32/OnLineGames.KQ

개요

악성코드 개요

PWS:Win32/OnLineGames.KQ 악성코드는 2012년도 국내에서 백신업체를 통해 접수된 악성코드 피해신고 가운데 가장 많이 피해 신고 접수가 된 악성코드로 온라인게임 계정을 탈취하는 악성 코드다.


MD5:5a665b3913cf4b92acdf3ef7ab2a4eaa

생성파일 정보 요약

파일 생성 정보

C:\WINDOWS\usp10.dll (악성 파일)
C:\WINDOWS\system32\ws2helpxp.dll (정상 파일)
C:\WINDOWS\system32\ws2help.dll (악성 파일)

<패킹 결과>

AhnLab-V3

X

BitDefender(알약)

O

nProtect

X

ViRobot

X

<국내 주요 백신 결과>

VirusTotal 점검 내역

https://www.virustotal.com/file/1ecc8445e9a37c06cf1bbf6e0428daacd0b95ff00588aedc0ff4e23704354ea2/analysis/1359475391/


Antivirus Result Update
Agnitum Trojan.PWS.OnLineGames!ylaaAgOvo78 20130129
AhnLab-V3 - 20130129
AntiVir TR/Dropper.Gen 20130129
Antiy-AVL - 20130129
Avast Win32:Patched-AMK [Trj] 20130129
AVG PSW.OnlineGames4.AFSF.dropper 20130129
BitDefender Gen:Trojan.Generic.ii0@auMUXvjG 20130129
ByteHero - 20130129
CAT-QuickHeal - 20130129
ClamAV - 20130129
Commtouch W32/OnlineGames.HQ.gen!Eldorado 20130129
Comodo - 20130129
DrWeb Trojan.Siggen4.57111 20130129
Emsisoft Gen:Trojan.Generic.ii0@auMUXvjG (B) 20130129
eSafe - 20130127
ESET-NOD32 a variant of Win32/PSW.OnLineGames.QBT 20130129
F-Prot W32/OnlineGames.HQ.gen!Eldorado 20130129
F-Secure Gen:Trojan.Generic.ii0@auMUXvjG 20130129
Fortinet W32/Onlinegames.QTB!tr 20130129
GData Win32:Patched-AMK 20130129
Ikarus Trojan-Downloader.Win32.Small 20130129
Jiangmin Heur:Trojan/PSW.WOW 20121221
K7AntiVirus Riskware 20130129
Kaspersky HEUR:Trojan.Win32.Generic 20130129
Kingsoft Win32.Troj.Undef.(kcloud) 20130121
Malwarebytes Trojan.GamesThief.AL 20130129
McAfee - 20130129
McAfee-GW-Edition Heuristic.BehavesLike.Win32.Backdoor.H 20130129
Microsoft PWS:Win32/OnLineGames.KQ 20130129
MicroWorld-eScan Gen:Trojan.Generic.ii0@auMUXvjG 20130129
NANO-Antivirus - 20130129
Norman Malware 20130129
nProtect - 20130129
Panda Suspicious file 20130128
PCTools - 20130129
Rising Worm.Chiviper!3242 20130129
Sophos - 20130129
SUPERAntiSpyware - 20130129
Symantec - 20130129
TheHacker - 20130128
TotalDefense - 20130129
TrendMicro - 20130129
TrendMicro-HouseCall - 20130129
VBA32 BScope.Trojan.SvcHorse.01643 20130129
VIPRE Trojan.Win32.Generic!BT 20130129
ViRobot - 20130129


상세 분석 내용

악성 코드 파일 속성을 살펴보면 안랩 파일로 위장하고 있다.

AYAgent.aye
AYUpdSrv.aye
AYServiceNT.aye
AYRTSrv.aye
SystemMon.exe
SkyMon.exe
nsvmon.npc
nvc.npc
nvcagent.npc
V3LTray.exe
V3LSvc.exe
V3Light.exe
NaverAgent.exe
sgrun.exe
InjectWinSockServiceV3.exe
alyac
NaverVaccine

악성코드는 백신 관련 프로세스의 실행을 방해 하기 위해서 백신 프로세스가 존재 시 강제로 종료 시킨다. 강제로 종료 시킨다.

악성코드는 iexplore.exe 프로세스에 악성 ws2help.dll 파일을 인젝션 하며 온라인 게임 계정 정보를 수집하여 외부로 유출한다. ws2helpXP.dll 파일은 ws2help.dll 시스템 파일의 백업 파일로 ws2help.dll 정상 파일의 역할을 한다

악성코드 감염 이후 특정 온라인 게임 계정에 로그인을 시도 시 악성코드에 설정 되어 있는 유출지로 온라인 게임 계정 정보를 탈취 한다.

계정 유출지 서버에 대해서 역 추적 결과 악성코드 서버에 정보를 확인 하기 위해서는 로그인 권한을 부여 하고 있다.

온라인 게임 계정을 탈취 하는 서버의 소재지는 홍콩 이다.

C:\WINDOWS\usp10.dll 악성 파일의 경우 안티 디버깅 기술이 존재 하며 분석을 방해 한다. 악성코드 생성 시 바로 악성 행위를 실행 하지 않으며 특정 조건 만족 시 동작하는 것으로 추정된다.

usp10.dll 악성 파일은 안티 디버깅을 통해서 자신을 보호 하고 있으며 정적 분석을 진행 한다. IDA를 통해서 정적 분석을 진행 하며 디코딩 문자열을 찾았으며 10003493 함수가 디코딩 함수 호출 부분이며 그 이후 10003541 함수를 호출한다.

IDA를 통해서 찾은 디코딩 루틴을 디버거를 통해서 분석을 진행 하면 디코딩 함수 호출 이후 악성코드 다운로드 주소가 나오며 최종 적으로 외부에서 악성코드를 다운로드 하고 실행 하고 악성코드를 감염 시킨다.

추가 악성코드를 유포하는 서버의 소재지는 홍콩 이다

'악성코드 분석' 카테고리의 다른 글

VBDloader.O  (0) 2013.01.31
HEUR:Trojan.Win32.Generic  (1) 2013.01.31
Trojan/Win32.CSon  (0) 2013.01.31
Backdoor/Win32.Yoddos  (0) 2013.01.31
a variant of Win32/Agent.OWQ  (0) 2013.01.31