Rootkit.Win32.Tiny.jm

개요

Rootkit.Win32.Tiny.jm 악성코드는 온라인 게임 계정 탈취를 위한 악성코드 입니다.

 

상세 분석

 

 

<Virustotal 결과>

 

 

<패킹 결과>

 

PEID로 확인 결과 nSPack 3.7 -> North Star/Liu Xing Ping 패킹으로 나옵니다

 

 

<언패킹 결과>

 

언패킹 후 PEID로 확인 결과 Microsoft Visual C++ 6.0으로 작성된 악성코드로 나옵니다.

 

 

GetVersionEx 함수로 실행 하고 있는 OS 버전에 대해서 알아옵니다.

 

 

노란색 선 부분은 LoadLibrary함수를 사용해서 kernel32.dll 로딩 합니다.

빨간색 선 부분은 GetProcAddress 함수로 kernel32.dll 안에있는 특정 함수(CreateToolhelp32Snapshot,Process32First,Process32Next)를 사용하기 위해서 호출합니다.

 

 

0040273C 에서 CreateToolhelp32Snapshot 함수를 사용해서 현재 프로세스 목록을 스냅샷 합니다.

 

 

Process32First 함수를 통해서 스냅샷에 들어있는 첫번째 프로세스를 검색 합니다

 

 

00402785,00402786 부분의 PUSH 명령어로 스택에 쌓고 스택 부분에 프로세스 목록에서 ALYac.aye를 확인하고 존재한다면 0040278E 부분에 있는 조건 점프 명령어에 의해서 00402859로 이동합니다 해당 위치는 종료 루틴입니다.

 

 

프로세스 목록에 ALYac.aye 존재한다면 조건 점프 명령어에 의해서 0402859 로 이동후 00402869 부분에서

ALYac.aye 프로세스를 TerminateProcess 함수 호출로 강제 종료 시킵니다.

 

 

 

ALYac.aye SystemMon.exe SkyMon.exe nsvmon.npc nvc.npc nvcagent.npc Nsavsvc.npc pcotp.exe AYServiceNT.aye AYAgent.aye

 

프로세스가 존재 한다면 종료 루틴으로 이동해서 강제로 종료 시키는 백신 무력화 루틴 입니다.

 

 

Copyfile 함수를 사용해서 C:\WINDOWS\system32\dllcache/ws2help.dll 파일을 C:\WINDOWS\system32\ws2helpxp.dll로 복사 시킵니다.

 

 

MoveFile 함수를 사용해서 C:\WINDOWS\system32\ws2help.dll 파일을 C:\WINDOWS\system32\ws2help.dll.*.tmp로 이동 시킵니다.

 

 

cmd 명령어를 통해서 실행 파일을 삭제 시키고 파일생성 과정을 마무리 합니다.

 

 

최종적으로 ws2help 파일을 변경 시키고 상 ws2help 파일을 대체 하기 위해서 ws2helpxp 생성합니다

 

 

다음과 같은 사이트에 대해서 로그인 시 계정과 패스워드를 탈취합니다.

 

 

계정 유출지 주소로 최종적으로 사이트에 접속해서 로그인 시 해커가 설정한 계정 유출지 주소로 함께 보내집니다.

 

 

서버의 위치는 한국으로 나오며 해외 서버를 이용하지 않고 한국 서버를 이용하는것으로 봐서 악성해커 국내사람 추정됩니다.

 

 

계정 유출지 상태는 현재 정상적으로 동작하고 있으며 감염시 해당 유출지로 계정,패스워드가 전송됩니다.