[악성코드 분석] nasdfgf.exe (사용자 정보유출)

nasdfgf.exe 악성코드 분석 보고서  

 

1. 유포 경로

nasdfgf.exe는 가짜 네이버 사이트를 통해 유포된다. 가짜 네이버 사이트 http://www.n****r.com 는 실제 네이버 사이트와 유사한 URL을 사용하고 동일한 화면을 출력하기때문에 구분하기가 어렵다.

가짜 네이버 사이트에 접속시 사용자 모르게 http://www.n****r.com/nasdfgf.exe 가 다운로드 및 실행되고, 실행된 nasdfgf.exe는 http://182.***.***.107/polo/polo17.exe 를 다운받아 실행한다. polo17.exe는 또다시 서비스용 dll을 드랍하고 이 dll파일을 이용하여 서비스를 생성한다.

[그림]자동실행 등록된 레지스트리

[그림]nasdfgf.exe 아이콘

2. 악성 동작

여러 단계에 걸쳐 드랍 및 다운로드 되는 악성파일들은, 각각 악성 드라이버 드랍, 가짜 네이버 사이트 방문기록 삭제, 안티 백신 등 여러 악성동작들을 내포하고 있다. 일련의 악성 동작들을 거쳐 최종적으로 드랍 및 생성된 서비스는 메모리에 상주하며 악성 동작을 수행한다.

생성된 악성 서비스는 http://s****k***6.o***.net/ip/polo17.txt 를 요청하여 IP주소를 가져온다. IP주소는 테스트한 날짜에 따라 유동적이다. 이 IP로 계속 접속을 시도하지만 현재 접속되지 않는 상태이다.

 

2.1. 서비스의 악성 동작

polo17.exe는 악성 서비스를 구동하는데 필요한 모듈을 C:\windows\system32 하위에 드랍한다. 드랍하는 파일명은 시간을 기준으로한 랜덤한 숫자값을 갖고 있기 때문에 드랍하는 시간에 따라 파일명이 다르다.

[그림]드랍된 서비스 모듈

서비스는 안티 백신 동작 등 일련의 초기화 과정을 거친 후 http://s****k***6.o***.net/ip/polo17.txt로 접근을 시도한다. 위 URL에 접근이 실패할 경우 q****k***0.o***.net와 d****b****22.x***.net에 차례로 접근을 시도한다. 외부 파일 polo17.txt로 부터 IP를 얻어 오고, 해당 IP에 지속적으로 접속을 시도한다.

테스트 결과 서버 s****k***6.oicp.net 에는 이 서비스에서 접근하는 외부 파일 polo17.txt외에도 동일한 내용의 추가 파일들(polo16.txt, polo18.txt 등)이 존재한다. 해당 파일들은 내부 내용에 IP 정보만 다르며 동일한 용도로 사용된다.

분석 시점에는 polo17.txt에서 받아온 IP로 접속은 되지 않았기 때문에 추가적인 악성 동작은 하지 않으나, 연결에 성공할 경우 스크린 캡처 / 마우스위치 전송 / 프로세스 정보 유출 / 다운로더 / 프로세스 생성 / 프로세스 인젝션의 악성 동작을 수행할 수 있다.

s****k***6.o***.net/ip/polo17.txt  q****k***0.o***.net  d****b****22.x***.net

[표]접속 시도 URL 목록

3. 결론

nasdfgf.exe는 여러 동작을 통해 최종적으로 서비스를 생성한다. 

생성된 서비스는 http://s****k***6.o***.net/ip/polo17.txt 로 부터 IP정보를 받아와 해당 IP를 이용하여 원격지로 접속을 시도하며, 접속에 성공 시 추가적인 악성동작이 수행 가능하다.

현재 받아오는 IP주소는 정상 접속이 이루어지지 않지만 해커가 polo17.txt 파일을 변경하여 접속이 가능한 다른 주소로 수정한다면 언제라도 추가적인 악성 동작이 가능하다.

해당 악성파일은 잉카인터넷 nProtect Anti-Virus/Spyware에서  진단 및 치료 가능하다. 

[그림]진단 및 치료 가능