잉카인터넷 시큐리티대응센터 블로그

111.exe 악성코드 분석 보고서 1. 분석 정보 http://3****r****n****l***o.com/wp-includes/Text/111.exe 에서 다운로드된 악성코드 111.exe는 특정된 유포경로가 없으나, 웹사이트에 삽입된 익스플로잇이나 이메일을 통해 전파된 것으로 보인다. 111.exe는 사용자 동의없이 PC의 특정 파일들을 암호화하여 사용할 수 없게 하며, 원상복구 대가로 금액을 요구하는 이른바 랜섬웨어다. 실행 시 주요 파일들을 암호화하여 원본파일과 동일한 위치에 원본파일명.ccc 파일을 만들고 원본을 삭제한다. [그림] 감염 전 후 파일비교 모든 폴더에는 복호화 방법을 설명하는 두 파일(_how_recover_kug.html과 _how_recover_ kug.txt)을 생성하고, ..

winhost.exe 악성코드 분석 보고서 1. 분석 정보​1.1. 개요​고객의 신고에 의해 접수되어 유포 경로가 확인되지 않은 winhost.exe 파일은 실행된 PC에 동작 중이던 정상 프로세스들에 악성코드를 인젝션 하는 동작을 수행한다. 인젝션 된 악성코드는 추가적으로 악성파일 또는 악성코드를 다운로드 한다. 1.2. winhost.exe​winhost.exe 파일을 실행하면 현재 동작중인 프로세스 중에서 “explorer.exe” 를 찾는다. 이후 정상 동작 중이던 explorer.exe 프로세스 및 하위 프로세스들에 악성동작을 하기 위한 특정 코드를 인젝션한다.​ 1.3. 감염된 프로세스 winhost.exe 파일에 의해 정상 프로세스에 인젝션 된 코드는 winhost.exe 파일을 숨기기 위해..

ver.exe 악성코드 분석 보고서 1. 분석 정보 악성파일 ver.exe는 http://l****o***b.co.kr/upload/ver.exe 로부터 최초 발견 되었으며 유포경로가 특정 지어지지 않았다. 다운로드 경로인 해당 사이트(l****o***b.co.kr) 는 이용자가 많은 컴퓨터분야 사이트이기에 사이트의 규모, 크기에 상관없이 공격 표적이 될 수 있음을 보여준다. ver.exe 는 실행 시 C:\Program Files\ 하위에 fuck.dll 파일을 생성하고, 이 파일을 사용하여 서비스를 생성하며 동작을 마친 ver.exe는 자신을 삭제하고 종료한다. [그림]다운로드된 ver.exe fuck.dll을 사용해 생성된 악성 서비스의 이름은 I16410687K이며 “Microsoft Device..

df.exe 악성코드 분석 보고서 1. 분석 정보 df.exe는 출판사 홈페이지 http://www.a****o*k.net/upload_data/temp_files/df/df.exe 에서 발견됐으며 정확한 유포경로는 밝혀지지 않았다. 악성코드 df.exe는 260140.txt(랜덤숫자.txt)의 특정 파일을 임시폴더에 생성하고 실행시킨 후 자신을 삭제한다. 생성된 파일은 확장자명이 txt지만 사실 dll파일이며 *rundll32.exe를 통해 실행된다. (*rundll32.exe : 자체적으로 실행할 수 없는 dll 파일을 실행할 때 사용되는 윈도우 정상 프로그램) 260140.txt 는 rundll32.exe를 사용해 함수 xx를 호출한다. 함수 xx는 레지스트리 키 HKEY_CURRENT_USER\S..

Duuzer 악성코드 분석 보고서 1. 개요 1.1. 분석환경 운영체제 Windows XP SP3 32bit (한글) 분석도구 IDA, PEview, OllyDbg 등 ​ 1.2. Duuzer 개요 Duuzer는 C&C형 악성코드로, 해커에게 감염PC에 대해 명령어를 통한 원격제어 등 대부분의 권한을 가질 수 있게 한다. 악성코드 Brambul, Joanap과 함께 동작하는 것으로 알려져 있어 본 보고서에 각 악성파일 분석 정보를 함께 담았다. Duuzer의 경우 특히 정교한 파일 제어와 코드분석에 대한 방어 동작이 있어 PC내 특정 데이터를 노린 숙련된 해커가 만든 것으로 보인다. ​2. 분석정보​2.1. Duuzer 악성 동작​Duuzer는 32bit 및 64bit 시스템 모두 동작하도록 설계돼있다...

dcujl.exe 악성코드 분석 보고서 1. 유포 경로 특정 화장품 판매 쇼핑몰 웹서버(http://www.g*****e.co.kr/**c/***2/dcujl.exe)에 악성파일이 업로드되어 유포되었다. 유포된 dcujl.exe 파일은 정상 wininet.dll 파일 버전정보를 사용하여 사용자가 악성파일로 의심하지 않도록 한다. [그림]dcujl.exe 버전정보 2. 악성 동작 2.1. DCUJL.EXE dcujl.exe 파일은 C:\Documents and Settings\Administrator\Local Settings\Temp경로에 랜덤 크기 문자열을 추가한 자가 복제본을 랜덤한 문자열로 생성 후 실행한다. 실행된 Temp경로 파일 (예: ycepl.exe)은 아래 2개 파일을 생성한다. C:\w..

nasdfgf.exe 악성코드 분석 보고서 1. 유포 경로 nasdfgf.exe는 가짜 네이버 사이트를 통해 유포된다. 가짜 네이버 사이트 http://www.n****r.com 는 실제 네이버 사이트와 유사한 URL을 사용하고 동일한 화면을 출력하기때문에 구분하기가 어렵다. 가짜 네이버 사이트에 접속시 사용자 모르게 http://www.n****r.com/nasdfgf.exe 가 다운로드 및 실행되고, 실행된 nasdfgf.exe는 http://182.***.***.107/polo/polo17.exe 를 다운받아 실행한다. polo17.exe는 또다시 서비스용 dll을 드랍하고 이 dll파일을 이용하여 서비스를 생성한다. [그림]자동실행 등록된 레지스트리 [그림]nasdfgf.exe 아이콘 2. 악성 ..

ebay_4181254791235_091015.exe 악성코드 분석 보고서 1. 개요 1.1. 파일정보 파일명 kaulj.exe 진단명 Trojan/W32.Yakes.41984.I 악성동작 termservice 시작, MpsSvc와 WinDefend 서비스 중지 특징 Ebay 를 사칭한 메일에 첨부되어 배포되는 악성파일 ​ 2. 분석정보 ​ 2.1. 파일 유포 경로 ​ 본 악성파일은 ebay를 사칭한 메일을 업체 그룹메일(외부 공개용)에 전송한다. 해당 메일은 “모니터링하거나 응답하는 주소가 아니니 답장하지 말아주십시오. 청구서를 보려면 첨부파일을 확인하십시오. 첨부파일은 PDF 형식으로 되어있어 열람을 위해서는 Adobe Acrobat Reader 가 필요합니다.” 는 내용과 첨부파일로 구성되있다. [..

BERPOY.exe 악성코드 분석 보고서 1. 개요 1.1. 파일정보 파일명 BERPOY.exe 파일크기 79,368 byte 진단명 Trojan/W32.KRBanker.79368 악성동작 인터넷 뱅킹 파밍, 인증서 탈취 연결대상 **7.**3.**9.**8 특징 DNS 및 host 파일 변조, 인증서를 네트워크로 전송 1.2. 분석환경 운영체제 Windows XP SP3 분석도구 Process Monitor, Process Explorer, Autorun, Regshot, Wireshark ​ 1.3. 전체흐름도 ​ ​ 2. 분석정보 ​ 2.1. 파일 유포 방식 특정 학회 웹 서버에 업로드된 악성파일 (http://ch*********.net/ba********/*/ BERPOY.exe) 이 다운로드 ..