[악성코드 분석] ver.exe (백신설치 여부 확인)

ver.exe 악성코드 분석 보고서  

 

1. 분석 정보

악성파일 ver.exe는 http://l****o***b.co.kr/upload/ver.exe 로부터 최초 발견 되었으며 유포경로가 특정 지어지지 않았다. 다운로드 경로인 해당 사이트(l****o***b.co.kr) 는 이용자가 많은 컴퓨터분야 사이트이기에 사이트의 규모, 크기에 상관없이 공격 표적이 될 수 있음을 보여준다. 

ver.exe 는 실행 시 C:\Program Files\ 하위에 fuck.dll 파일을 생성하고, 이 파일을 사용하여 서비스를 생성하며 동작을 마친 ver.exe는 자신을 삭제하고 종료한다.

[그림]다운로드된 ver.exe

fuck.dll을 사용해 생성된 악성 서비스의 이름은 I16410687K이며 “Microsoft Device Madnddagdedddddrdx”란 이름으로 자신을 위장한다. 이후 모든 악성 동작은 이 서비스에서 이뤄진다.

[그림]악성 서비스

악성 서비스는 최초 실행 시 PC에 백신프로그램의 설치유무를 검사하며, 설치되었다면 해당 파일 설치 경로 하위의 galaxy.dat 파일의 삭제를 시도한다. 

악성 서비스는 지속적으로 http://u***.q****.**.com/1****8***3 및 다른 주소들에 접속을 시도한다. C&C서버의 주소를 알아오는 용도로 보이는 해당 주소들은 현재 접속되지 않으며 악성동작을 수행하지 않으나 접속이 가능해지면 각종 악성동작을 수행할 수 있다.

114.***.***.57	= u***.q****.**.com/1****8***3
23.*.**.208
183.***.**.26

[표]접속 시도 주소

C&C서버와 연결이 된다면 우선 PC식별 정보로 쓰일 것으로 보이는 각종 값(CPU, 드라이브, 프로세스정보 등)을 전송하며, 이때 각종 Anti-Virus 제품이 실행 중인지 검사하여 함께 전송한다. 검사 대상이 되는 Anti-Virus 제품은 실행중인 프로세스 파일명을 기준으로 선정한다.

기본적인 PC정보를 전송한 후에는 일반적인 C&C 클라이언트로 동작하며, 아래와 같은 악성 동작을 수행할 수 있다.

드라이브 정보 전송

cmd 명령 실행

추가파일 다운로드 및 실행

스크린캡처

마우스 키보드캡처

자기자신 삭제

프로세스 상세정보 전송

프로세스 종료

파일, 폴더 삭제

파일 일부, 전체 전송

…

[표]악성 동작

l  추가 파일 다운로드 및 실행 동작

[그림]추가파일 다운로드 및 실행

l  스크린 캡처 및 전송 동작

[그림]스크린 캡처 및 전송

이 악성 서비스는 최초 실행 시 중국산 Anti-Virus제품의 설치여부를 검사했다는 점과 u***.q****.**.com 에 접속 시도 시 사용 언어로 중국어를 선택 했다는 점, 악성 동작에 중국산 메신저 사이트를 사용했다는 점 등 여러 부분에서 중국에서 만들어진 악성코드임을 의심해 볼 수 있다.

2. 결론

ver.exe는 여러 동작을 통해 최종적으로 C&C 동작을 하는 악성 서비스를 생성한다. 생성된 서비스는 http://u***.q****.**.com/1****8***3 로부터 C&C서버의 주소를 받아 악성동작을 수행한다. 다행히 해당 주소는 접속이 이뤄지지 않지만 해커가 해당 URL을 접속이 가능하게 수정한다면 언제라도 추가적인 악성 동작이 가능하다.

ver.exe 및 생성파일은 잉카인터넷 보안솔루션 nProtect Anti-Virus/Spyware로 진단 및 치료가 가능하다. C&C형 악성코드는 항상 실행되어 있어야 악성 동작을 수행할 수 있기 때문에 주기적인 백신 검사를 수행한다면 피해를 최소화 할 수 있다.

[그림]nProtect Anti-Virus/Spyware 진단 및 치료 화면