pmsis.exe 악성코드 분석 보고서
1. 개요
최근 대부분의 일상생활을 PC를 통해 해결 가능하게 됨으로써 사용자가 인지하지 못하는 방법으로 설치되는 악성파일이 급증하고 있다. 이로 인해 PC 의 제어권을 빼앗기거나, PC 사용 정보를 유출하는 등 다수의 위험에 노출되게 된다.
이번에 분석한 pmsis.exe 의 경우 사용자가 인지하지 못하는 사이에 설치되어 PC의 사용 정보를 유출할 뿐 아니라 사용자의 키보드 사용 정보의 유출 위험성이 있어 개인정보의 유출 및 2차 피해의 우려가 있다.
2. 분석 정보
2-1. 파일 정보
|
구분 |
내용 |
|
파일명 |
pmsis.exe |
|
파일크기 |
145,408 byte |
|
진단명 |
Trojan/W32.Agent_Packed.145408.I |
|
악성동작 |
파일/프로세스 제어, 키보드 후킹, 개인정보 유출 |
2-2. 유포 경로
pmsis.exe 파일은 1월 초부터 다수의 웹 서버 에 업로드 된 것이 확인되었으며, 해당 다운로드 주소는 웹 페이지의 스크립트 동작을 통해 연결되어 다운 및 실행될 것으로 보인다.
|
49.***.**2.106/pmsis.exe |
49.***.**1.100/pmsis.exe |
182.***.***.50/pmsis.exe |
180.***.**.146/pmsis.exe |
|
49.***.**2.107/pmsis.exe |
49.***.**9.108/pmsis.exe |
182.***.***.51/pmsis.exe |
180.***.**.147/pmsis.exe |
|
49.***.**2.108/pmsis.exe |
49.***.**9.178/pmsis.exe |
182.***.***.52/pmsis.exe |
|
|
|
49.***.**9.179/pmsis.exe |
182.***.***.53/pmsis.exe |
|
[표] pmsis.exe 가 업로드 된 주소
pmsis.exe 파일이 업로드 되어있는 다수의 웹 서버 주소는 VPN 서비스를 제공하는 업체가 사용하는 IP 주소로 확인되었다. 해당 업체의 VPN 서비스를 통해 우회 과정을 거침으로써 실제 악성파일이 업로드된 웹 서버의 정보를 숨길 수 있다. 문제는 해당 업체의 VPN 서비스를 이용하여 웹 서비스를 제공하는 업체가 있어 IP 기준으로한 차단이 어렵다는 것이다. 이는 악성파일 유포를 유리하게 한다.
2-3. 실행 과정
악성파일 pmsis.exe 는 최초 실행 시 C:\ 하위에 map(임의숫자).dll 파일(이하 map245200.dll)을 생성하고 이를 pmsis.exe 내부에 연결하여 실행시킨다.
map245200.dll 파일은 실행 즉시 C:\Program File\ 하위에 Afjg 폴더를 생성하고 하위에 자신을 복제한 파일 Rrcfwqnhe.pic 를 생성한다. 폴더명과 파일명은 pmsis.exe 파일의 변종에 따라 이름이 임의로 지정되며, 복제된 파일의 확장자는 pic, jpg, bmp, gif 와 같이 이미지 파일 확장자로 지정, 생성한다.(이하 Rrcfwqnhe.pic)
pmsis.exe 실행 후 Prcfwqnhe.pic 파일을 생성하기까지의 동작은 pmsis.exe 내부에서 일어나기 때문에 일반 사용자가 확인하기 어렵다.
[그림] 실행 과정
3. 악성 동작
3-1. 서비스 생성
pmsis.exe 는
C:\Program Files\Afjg\ 하위에 Rrcfwqnhe.pic(=map245200.dll)
파일을 생성한 뒤 해당 파일을 윈도우 부팅 시마다 실행하기 위해 서비스를 생성한다.
[그림] 서비스 속성
svchost.exe 는 혼자서 구동될 수 없는 DLL 을 실행 및 관리하기 위한 windows 상 프로세스다. 이로 인해 일반 사용자가 해당 서비스의 실제 실행파일 경로 등 관련된 자세한 정보를 쉽게 확인하기 어렵다.
[그림] 동작중인 서비스 정보
[그림] 서비스 레지스트리 정보
서비스 생성 및 실행을 완료한 pmsis.exe 는 자신을 삭제한 뒤 종료된다.
3-2. C&C 동작
서비스로 동작하는 Rrcfwqnhe.pic 파일은 f***1*.c***s.com (49.***.***.25) 에 네트워크 연결을 시도하며, 해당 도메인의 IP 정보 또한 pmsis.exe 파일이 업로드 되어 유포되는 웹 서버 IP 정보와 동일하게, VPN 서비스를 제공하는 업체의 IP 이다.
연결이 성공할 경우, 전달받은 명령어에 따라 C&C 동작을 수행한다. PC 내의 파일이나 프로세스 제어뿐 아니라 키보드 후킹 동작도 수행할 수 있기 때문에 개인정보 유출 등의 추가적인 위험에 노출된다.
|
드라이브 정보 전송 |
|
실행 프로세스 목록 전송 |
|
실행 프로세스 목록의 실행파일 정보 전송 |
|
폴더 및 하위 파일 정보 전송 |
|
CMD 명령어 실행 |
|
파일 실행 |
|
프로세스 종료 |
|
인터넷 상 파일 다운로드 및 실행 |
|
키보드 후킹 |
|
키보드 후킹 정보 전송 |
[표] C&C 악성 동작
4. 결론
pmsis.exe 파일은 C&C 동작에 따라 감염된 PC 의 제어뿐 아니라 사용자의 키보드 정보를 후킹하여 개인정보 유출 등의 추가적인 위험에 노출되게 한다. 악성파일 유포와 C&C 동작을 위한 연결 IP를 VPN 서비스 업체를 이용해 한 번 우회함으로써 공격자를 추적하기 쉽지 않으므로 이와 같은 악성파일에 감염되지 않도록 사용자의 각별한 주의가 요구된다.
해당 악성파일은 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.
[그림] nProtect Anti-Virus/Spyware V4.0 진단
및 치료 화면
[그림] nProtect Anti-Virus/Spyware V3.0 진단
및 치료 화면
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| [악성코드 분석] 토렌트를 통한 유포방식의 악성코드 (0) | 2016.02.04 |
|---|---|
| [악성코드 분석] k01922.exe (인터넷 뱅킹 파밍) (0) | 2016.01.28 |
| [악성코드 분석] HashCop_Bypass.exe (토렌트를 통한 악성코드 유포) (0) | 2016.01.13 |
| [악성코드 분석] atotal3.exe (게임 실행화면 탈취, 파일 생성실행) (0) | 2016.01.06 |
| [악성코드 분석] fgrfev1.1.exe (2) | 2015.12.29 |