Trojan-Ransom.Win32.Seftad.a

개요

 

Trojan-Ransom.Win32.Seftad.a 악성코드는 랜섬웨어 악성코드입니다. 시스템 부팅 화면을 잠그고 금액을 요구하는 형태의 악성코드입니다.

 

상세 분석

 

 

<virustotal 결과>

 

 

 

<패킹 결과>

패킹 여부를 판단하기 위해서 PEID로 확인 결과 패킹은 하지 않은 Microsoft Visual C++ 2010 로 작성된 악성코드로 나옵니다.

 

 

악성코드를 실행하면 재부팅을 실행하고 부팅 하지 못하도록 MBR 영역을 변경하고 금액을 요구하는 메세지가 보이게 됩니다.

 

 

MBR 변조를 수행하기 위해서 물리디스크 직접 접근을 위해 PHYSICALDRIVE0에 대한 핸들을 얻어옵니다. 그리고 PHYSICALDRIVE0에 대하여 파일 포인터를 가장 앞으로 이동시킵니다.. 이제 파일 포인터는 첫번째 섹터부분을 가르키게 됩니다. MBR 영역을 기록 하기 위해서 512바이트를 읽어 메모리 상에 저장합니다.

 

 

그리고 다시 파일 포인터를 가장 앞으로 이동시킵니다. 그 후 악성행위를 하기 위해서 악성코드가 담고 있는 데이터를 MBR 영역을 포함해서 쓰기를 시작합니다.

 

 

파일 포인터를 다시 변경해서 특정한 공간에 정상 MBR 영역을 저장합니다. 악성코드 감염 후 돈을 지불하면 정상적으로 복구 시켜주기 위해서 정상 MBR을 기록하는지는 모르겠습니다.

 

 

 

빨간 박스는 윈도우즈 NT 계열 운영체제 강제 종료를 위해서 권한을 가져옵니다. ExitWindowsEx 호출로 강제로 시스템을 종료 시킵니다.

 

<정상 MBR>

 

 

<감염 MBR>