분석 : 
YIS 동아리 팀장 이규형 호밌(ttuu44@naver.com) ( http://ris1.tistory.com/ )
YIS 동아리 팀원 박정훈 삼수맨(dkaldyfl@naver.com) ( http://blog.bpscal.com/


악성코드 소식 과 파일 제공 및 같이 밤새워 분석해주신 이규형 팀장님 감사합니다. :)
 

2012.1.20 같은 동아리 팀장 이규형 군으로 부터 신종 악성코드 소식을 듣고 파일 분석을 시작하였습니다. 

 우선 파일 아이콘 자체가 VB 으로 작성된 파일임을 금방 눈치챌 수 있죠. 추가적으로 peid 를 통해서 VB로 작성된 것임을 더욱 확실히 확인할 수 있었습니다. 처음에는 Ollydbg 를 이용해 분석하려 하였으나 디버거상의 오류로 부득이 하게 책으로만 접해보았던 IDA Pro 를 사용하게 되었습니다. 

 악성코드 증상은 파일을 실행하였을 시에 윈도우 인식이 되지 않는 문제였습니다. 실제 실행해본 결과 XP의 경우 블루스크린과 함께 재부팅시 OS 부팅 불가. 7의 경우 모든 데이터 읽기 쓰기가 작동되지 않고 컴퓨터를 정상 종료해도 종료되지 않으며 재부팅시 OS 부팅 불가 현상이 발생합니다. 

 무엇보다도 AVG를 제외한 어떠한 국내외 백신에서도 감지되지 않아, 아이콘이나 파일이름을 바꾸어 재 배포할 경우 심각한 문제가 발생할 수 있었습니다. 

 
 처음에는 엉뚱한 부분을 분석하였으나 리버싱 책을 참고하면서 특정 부분에 함수 쿼리가 몰려있으며, 어느 부분부터 함수의 시작인지 발견하게 되었고, 동시에 vba 기본 함수와는 거리가 먼 함수 테이블을 확인할 수 있었습니다. WriteBytes 라는 함수명으로 미루어 바이트를 조작하는 것을 알 수 있습니다. 


어떠한 Windows OS에도 적용되는 것을 보아서 어느 Windows OS에나 공통적으로 설치되어 있는 기능이나 OS에 구애받지 않는 기능을 이용하여 공격하고 있음을 짐작할 수 있습니다. 특히나 OffsetLow High 와 같은 함수로 미루어 볼 때 기존 바이트를 읽어오고 사용함을 알 수 있습니다. 


 함수명을 검색 중 해당 함수가 개인이 제작한 MBR 조작 함수라는 정보를 얻게 되었고 과거 DDoS 좀비파일의 자가 파괴형식이 MBR 손상이였다는 정보에 비추어 볼 때 이번 공격도 MBR을 손상 시킴으로써 피해를 발생시키는 것임을 짐작할 수 있습니다. 더군다나 MBR 부분은 특정 OS에 구애받지 않는 부분 입니다. 

 또, MBR 조작 원본 소스코드의 주석 중 '512 바이트를 그대로 옮겨놓는다.' 라는 문구는 하드디스크의 512바이트가 MBR 부분이라는 정보에 비추어 볼 때 MBR 을 사용하는 것이 확실해 보입니다. 


MBR 손상이라는 가설을 더욱 확실하게 하기 위해 MBR 보호프로그램을 가동한 채로 악성코드를 실행해 보았습니다. 악성코드는 보호프로그램에 의해 어떠한 손상작업도 할 수 없었고 결론적으로 OS는 어떠한 손상도 입지 않았습니다.

악성코드는 MBR 을 이용한다는 것이 확실하게 드러난 것입니다. 




악성코드 실행으로 손상된 컴퓨터의 MBR 영역을 보니 기존 DDoS 의 MBR 파괴당시 처럼 16비트상으로 00 의 아무 의미없는 코드로 MBR 부분이 덮어씌워졌음을 알 수 있습니다. 

현재 해당 악성코드 및 함수파일은 오래전 부터 배포되어져 왔으나 신고의 부재인 것인지 백신에서 감지하지 못하고 있습니다.
https://www.virustotal.com/file/717e8afdf58cb17108fb17dbe3ef50edafc54b803f4f2d6ae0aae49e6d50db4f/analysis/1327118871/ 

EXE 파일을 실행하는 것은 어느정도의 위험부담을 안고 가는 것이므로, 평소 실행하실 때에 다른 사용자가 있고 정상적으로 작동하고 있는 것인지 반드시 확인하셔야 하며, 블로그나 카페에 단독적으로 올려져 있는 첨부파일은 바이러스일 가능성이 높으므로 되도록이면 소프트웨어는 소프트웨어 개발사 홈페이지에서 직접 다운로드 받으시고, 핵과 관련된 파일은 사용을 자제해주시기 바랍니다. 


1. 증상

감염자 컴퓨터를 통해 로그인 한 네이트온 사용자 계정의 친구들에게 감염파일을 받을 수 있는 URL이 담긴 쪽지를 전송함으로써 자신을 재배포 한다.

정상적인 네이트온 실행 방해, 정상적인 인터넷 서핑 방해

2. 분석


파일 확장자는 exe 이나, 그림파일 아이콘을 가짐으로써 자신을 정상 그림파일인 것으로 가장한다.
파일을 마치 OpenAL 인 것처럼 서명해놓았다.

실행시 자동으로 네이트온 사용자에게 "여자가 서있을때, 왜 자꾸 다리를 꼽고 있나요? 
 www.cixhjxxx.com" 등과 같은 바이러스 유포지 주소를 포함한 쪽지를 살포하게 된다.

기존과 다르게 "해외 유명 DLL" 을 이용하여 백신 감시망을 피했다
이외에는 네이트온 바이러스 변종들과 별다른 차이가 없다.

http://www.virustotal.com/file-scan/report.html?id=e228bac1f026d695e600a34b68eb40cef0bd5bacb0ba2b193ef5ebf91b2e79a8-1297516865


3. 치료법

현재 해당 바이러스는
 Microsoft Essential(http://www.microsoft.com/security_essentials/) , Mcafee(http://www.mcafee.com/kr) 에서 치료 및 삭제가 가능하다.



1. 증상

감염자 컴퓨터를 통해 로그인 한 네이트온 사용자 계정의 친구들에게 감염파일을 받을 수 있는 URL이 담긴 쪽지를 전송함으로써 자신을 재배포 한다.

정상적인 네이트온 실행 방해, 정상적인 인터넷 서핑 방해

2. 분석


파일 확장자는 exe 이나, 그림파일 아이콘을 가짐으로써 자신을 정상 그림파일인 것으로 가장한다.
파일을 마치 TN프록시 모듈 (중국어 버전) 인 것처럼 서명해놓았다.

실행시 자동으로 네이트온 사용자에게 "고급 술집의 고급서비스 카드 프로모션 
www.yabsxxx.com" 등과 같은 바이러스 유포지 주소를 포함한 쪽지를 살포하게 된다.

기존과 다르게 "데이터 폭탄" 기능을 추가로 넣어 Avast의 감시를 피하였다.
이외에는 네이트온 바이러스 변종들과 별다른 차이가 없다.

http://www.virustotal.com/file-scan/report.html?id=ebba6bb18985bd57508ec468d16d3a36fb57869d6036aa10266a32600d2bea8d-1295968622


3. 치료법

현재 해당 바이러스는
 Microsoft Essential(http://www.microsoft.com/security_essentials/) , Antivir (http://www.avira.com/) 에서 치료 및 삭제가 가능하다.

1. 증상

감염자 컴퓨터를 통해 로그인 한 네이트온 사용자 계정의 친구들에게 감염파일을 받을 수 있는 URL이 담긴 쪽지를 전송함으로써 자신을 재배포 한다.

정상적인 네이트온 실행 방해, 정상적인 인터넷 서핑 방해

2. 분석


파일 확장자는 exe 이나, 그림파일 아이콘을 가짐으로써 자신을 정상 그림파일인 것으로 가장한다.
파일을 마치 중국의 QQ 메신져 인 것처럼 서명해놓았다.

실행시 자동으로 네이트온 사용자에게 "누가 동전이나 오이를 이렇게 접을수 있나요 
www.xendxxxx.com" 등과 같은 바이러스 유포지 주소를 포함한 쪽지를 살포하게 된다.

기존의 네이트온 바이러스 변종들과 별다른 차이가 없다.

http://www.virustotal.com/file-scan/report.html?id=a06b7e34d3c5643e365613f0fe7559505d54bbf13f1ad62a56d342e183420724-1295179448


3. 치료법

현재 해당 바이러스는
 Antivir(http://www.antivir.com), Avast(http://www.avast.co.kr 에서 치료 및 삭제가 가능하다.


1. 증상

감염자 컴퓨터를 통해 로그인 한 네이트온 사용자 계정의 친구들에게 감염파일을 받을 수 있는 URL이 담긴 쪽지를 전송함으로써 자신을 재배포 한다.

정상적인 네이트온 실행 방해, 정상적인 인터넷 서핑 방해

2. 분석


파일 확장자는 exe 이나, 그림파일 아이콘을 가짐으로써 자신을 정상 그림파일인 것으로 가장한다.
파일을 마치 알리바바 ActiveX 모듈 (중국어 버전) 인 것처럼 서명해놓았다.

실행시 자동으로 네이트온 사용자에게 "고급 술집의 고급서비스 카드 프로모션 
www.grgbkxxx.com" 등과 같은 바이러스 유포지 주소를 포함한 쪽지를 살포하게 된다.

기존의 네이트온 바이러스 변종들과 별다른 차이가 없다.

http://www.virustotal.com/file-scan/report.html?id=2217a318fad2cfb7f7dc1821216137b1670d574832b5bbf9d60463c4a58e2311-1294553798


3. 치료법

현재 해당 바이러스는
Avast (http://www.avast.co.kr/) , Antivir (http://www.avira.com/) 에서 치료 및 삭제가 가능하다.

1. 증상

감염자 컴퓨터를 통해 로그인 한 네이트온 사용자 계정의 친구들에게 감염파일을 받을 수 있는 URL이 담긴 쪽지를 전송함으로써 자신을 재배포 한다.

정상적인 네이트온 실행 방해, 정상적인 인터넷 서핑 방해

2. 분석


파일 확장자는 exe 이나, 그림파일 아이콘을 가짐으로써 자신을 정상 그림파일인 것으로 가장한다.
파일을 마치 Live Helper 인 것처럼 서명해놓았다.

실행시 자동으로 네이트온 사용자에게 "누가 동전이나 오이를 이렇게 접을수 있나요 
www.fgdylxxxx.com 그는 ZEE라고 하는데요! 그는 여자예요! 어궁! 세상이 너무 미쳤네요!!!www.fgdylxxxx.com " 등과 같은 바이러스 유포지 주소를 포함한 쪽지를 살포하게 된다.

기존의 네이트온 바이러스 변종들과 별다른 차이가 없다.

http://www.virustotal.com/file-scan/report.html?id=dc4716197130e0cde37b02d0e45c1bfa2adda064695884b1c9700494787b1ea6-1293968458


3. 치료법

현재 해당 바이러스는
 Mcafee(http://www.mcafee.com/kr), Avast(http://www.avast.co.kr 에서 치료 및 삭제가 가능하다.

1. 증상

감염자 컴퓨터를 통해 로그인 한 네이트온 사용자 계정의 친구들에게 감염파일을 받을 수 있는 URL이 담긴 쪽지를 전송함으로써 자신을 재배포 한다.

정상적인 네이트온 실행 방해, 정상적인 인터넷 서핑 방해

2. 분석


파일 확장자는 exe 이나, 그림파일 아이콘을 가짐으로써 자신을 정상 그림파일인 것으로 가장한다.

실행시 자동으로 네이트온 사용자에게 "이런 사촌 언니때문에 편하게 살수 없네요
www.trdftxxx.com" 등과 같은 바이러스 유포지 주소를 포함한 쪽지를 살포하게 된다.

기존의 네이트온 바이러스 변종들과 별다른 차이가 없다.

http://www.virustotal.com/file-scan/report.html?id=fa304f91e10dffbf2b41b98bba89e2a3d82f5b1bdb14d1584c7f2436cb4a7234-1292740608


3. 치료법

현재 해당 바이러스는
Avast (http://www.avast.co.kr/) , Antivir (http://www.avira.com/) 에서 치료 및 삭제가 가능하다.


1. 증상

감염자 컴퓨터를 통해 로그인 한 네이트온 사용자 계정의 친구들에게 감염파일을 받을 수 있는 URL이 담긴 쪽지를 전송함으로써 자신을 재배포 한다.

정상적인 네이트온 실행 방해, 정상적인 인터넷 서핑 방해

2. 분석


파일 확장자는 exe 이나, 그림파일 아이콘을 가짐으로써 자신을 정상 그림파일인 것으로 가장한다.

실행시 자동으로 네이트온 사용자에게 "이런 사촌 언니때문에 편하게 살수 없네요
www.gfhhxxx.com" 등과 같은 바이러스 유포지 주소를 포함한 쪽지를 살포하게 된다.

기존의 네이트온 바이러스 변종들과 별다른 차이가 없다.

http://www.virustotal.com/file-scan/report.html?id=b228b10d876287045b61639fbc8629bfedcebee95f16273b01614d94e4e37cf8-1292082466


3. 치료법

현재 해당 바이러스는
Avast (http://www.avast.co.kr/) , Antivir (http://www.avira.com/) 에서 치료 및 삭제가 가능하다.



1. 증상

감염자 컴퓨터를 통해 로그인 한 네이트온 사용자 계정의 친구들에게 감염파일을 받을 수 있는 URL이 담긴 쪽지를 전송함으로써 자신을 재배포 한다.

정상적인 네이트온 실행 방해, 정상적인 인터넷 서핑 방해

2. 분석


파일 확장자는 exe 이나, 그림파일 아이콘을 가짐으로써 자신을 정상 그림파일인 것으로 가장한다.

실행시 자동으로 네이트온 사용자에게 "NINI의 학교운동회 사진
www.tyrtyxxxx.com" 등과 같은 바이러스 유포지 주소를 포함한 쪽지를 살포하게 된다.

기존의 네이트온 바이러스 변종들과 별다른 차이가 없다.

http://www.virustotal.com/file-scan/report.html?id=8648f2000ee5229b2fb163da422bc3771e4aeee6edc6bafe595eba069369a55a-1291616047 


3. 치료법

현재 해당 바이러스는
Avast (http://www.avast.co.kr/) , Antivir (http://www.avira.com/) , 알약 (http://www.alyac.com) V3 (http://www.ahnlab.com) 에서 치료 및 삭제가 가능하다.


1. 증상

감염자 컴퓨터를 통해 로그인 한 네이트온 사용자 계정의 친구들에게 감염파일을 받을 수 있는 URL이 담긴 쪽지를 전송함으로써 자신을 재배포 한다.

정상적인 네이트온 실행 방해, 정상적인 인터넷 서핑 방해

2. 분석


파일 확장자는 exe 이나, 그림파일 아이콘을 가짐으로써 자신을 정상 그림파일인 것으로 가장한다.

실행시 자동으로 네이트온 사용자에게 "저는 그녀 뺨을 쳤어요, 그녀는 저의 어머니에요
www.blendxxx.com" 등과 같은 바이러스 유포지 주소를 포함한 쪽지를 살포하게 된다.

기존의 네이트온 바이러스 변종들과 별다른 차이가 없다.

http://www.virustotal.com/file-scan/report.html?id=f2f7554b7f4d590ba74b713087be2c95e6a4a8091ad30777982ee223a5ddd5b5-1290843525

3. 치료법

현재 해당 바이러스는
Avast (http://www.avast.co.kr/) , Antivir (http://www.avira.com/) 에서 치료 및 삭제가 가능하다.

+ Recent posts