잉카인터넷 시큐리티대응센터 블로그

zxarps.exe 악성코드 분석 보고서 1. 분석 정보 1.1. 유포경로 zxarps.exe는 특정된 경로는 없으나 유아용 교육 콘텐츠 제작사이트 www.i****lp**s.com 에 압축파일(zx.exe) 형태로 업로드 되어 있으며, 분석 당시(12월 15일)에도 다운로드가 가능했다. 실행 시 감염PC 환경에 따라 다른 옵션값을 인자로 줘야 제대로 된 악성 동작을 수행하는 것으로 보아 단독으로 실행되기 보다는 다른 악성코드가 다운받아 실행시키는 것으로 보인다. 1.2. 악성 동작 위 유포지에 업로드 되어 있는 zx.exe파일은 별도의 압축 해제 프로그램이 필요 없는 “실행 가능한 압축파일”이다. zx.exe를 실행하면 “zxarps免杀版” 폴더가 생성되고, 해당 폴더 하위에 아래와 같이 압축 해제된 ..

Cribinst.exe 악성코드 분석 보고서 1. 분석 정보 1.1. 개요 Cribinst.exe 파일은 기타 금융권 악성파일과 동일하게 hosts 파일을 변조하고 인터넷 접속 시 가짜 금융권 사이트로 연결되어 개인정보 입력을 유도한다.다만, 기존의 금융권 악성파일과는 다르게 화면을 캡쳐하여 저장하는 기능이 추가되었다. 1.2. 동작 Cribinst.exe 파일 실행 시 C:\ 하위에 '1b'이란 파일을 생성한다. 확장자가 없는 '1b' 파일은 .bmp파일 포맷을 가지며. 해당 파일을 확인하면 악성코드에 의해 PC 실행화면 중 일부가 캡처된 이미지 파일임을 알 수 있다. [그림] 악성코드에 의해 캡처된 PC 실행화면 또한, C:\windows\system32\drivers\etc\hosts, hosts...

0f591.exe 악성코드 분석 보고서 1. 분석 정보 0f5911e332df35dca….exe(이하 0f591.exe)의 유포경로는 알려진 바가 없으나, 게임 '스타 크래프트' 아이콘을 사용하고 있어, 해당 게임 이용자를 대상으로 게임 유틸리티로 가장해 유포된 것으로 추정된다. [그림] 게임 아이콘로 가장한 0f591.exe 아이콘 0f591.exe를 실행하면 여러 폴더에 악성동작을 위한 파일(qwe.exe)을 생성하고 실행시킨다. 생성된 파일은 아래와 같으며, 파일명 qwe.exe인 두 파일은 동일한 파일이다. 경 로 파일명 C:\DOCUME~1\사용자명\LOCALS~1\Temp qwe.exe 234234234.ico C:\WINDOWS qwe.exe [표] 생성 파일 이후 실행된 qwe.exe는 C..

111.exe 악성코드 분석 보고서 1. 분석 정보 http://3****r****n****l***o.com/wp-includes/Text/111.exe 에서 다운로드된 악성코드 111.exe는 특정된 유포경로가 없으나, 웹사이트에 삽입된 익스플로잇이나 이메일을 통해 전파된 것으로 보인다. 111.exe는 사용자 동의없이 PC의 특정 파일들을 암호화하여 사용할 수 없게 하며, 원상복구 대가로 금액을 요구하는 이른바 랜섬웨어다. 실행 시 주요 파일들을 암호화하여 원본파일과 동일한 위치에 원본파일명.ccc 파일을 만들고 원본을 삭제한다. [그림] 감염 전 후 파일비교 모든 폴더에는 복호화 방법을 설명하는 두 파일(_how_recover_kug.html과 _how_recover_ kug.txt)을 생성하고, ..

winhost.exe 악성코드 분석 보고서 1. 분석 정보​1.1. 개요​고객의 신고에 의해 접수되어 유포 경로가 확인되지 않은 winhost.exe 파일은 실행된 PC에 동작 중이던 정상 프로세스들에 악성코드를 인젝션 하는 동작을 수행한다. 인젝션 된 악성코드는 추가적으로 악성파일 또는 악성코드를 다운로드 한다. 1.2. winhost.exe​winhost.exe 파일을 실행하면 현재 동작중인 프로세스 중에서 “explorer.exe” 를 찾는다. 이후 정상 동작 중이던 explorer.exe 프로세스 및 하위 프로세스들에 악성동작을 하기 위한 특정 코드를 인젝션한다.​ 1.3. 감염된 프로세스 winhost.exe 파일에 의해 정상 프로세스에 인젝션 된 코드는 winhost.exe 파일을 숨기기 위해..

ver.exe 악성코드 분석 보고서 1. 분석 정보 악성파일 ver.exe는 http://l****o***b.co.kr/upload/ver.exe 로부터 최초 발견 되었으며 유포경로가 특정 지어지지 않았다. 다운로드 경로인 해당 사이트(l****o***b.co.kr) 는 이용자가 많은 컴퓨터분야 사이트이기에 사이트의 규모, 크기에 상관없이 공격 표적이 될 수 있음을 보여준다. ver.exe 는 실행 시 C:\Program Files\ 하위에 fuck.dll 파일을 생성하고, 이 파일을 사용하여 서비스를 생성하며 동작을 마친 ver.exe는 자신을 삭제하고 종료한다. [그림]다운로드된 ver.exe fuck.dll을 사용해 생성된 악성 서비스의 이름은 I16410687K이며 “Microsoft Device..

df.exe 악성코드 분석 보고서 1. 분석 정보 df.exe는 출판사 홈페이지 http://www.a****o*k.net/upload_data/temp_files/df/df.exe 에서 발견됐으며 정확한 유포경로는 밝혀지지 않았다. 악성코드 df.exe는 260140.txt(랜덤숫자.txt)의 특정 파일을 임시폴더에 생성하고 실행시킨 후 자신을 삭제한다. 생성된 파일은 확장자명이 txt지만 사실 dll파일이며 *rundll32.exe를 통해 실행된다. (*rundll32.exe : 자체적으로 실행할 수 없는 dll 파일을 실행할 때 사용되는 윈도우 정상 프로그램) 260140.txt 는 rundll32.exe를 사용해 함수 xx를 호출한다. 함수 xx는 레지스트리 키 HKEY_CURRENT_USER\S..

dcujl.exe 악성코드 분석 보고서 1. 유포 경로 특정 화장품 판매 쇼핑몰 웹서버(http://www.g*****e.co.kr/**c/***2/dcujl.exe)에 악성파일이 업로드되어 유포되었다. 유포된 dcujl.exe 파일은 정상 wininet.dll 파일 버전정보를 사용하여 사용자가 악성파일로 의심하지 않도록 한다. [그림]dcujl.exe 버전정보 2. 악성 동작 2.1. DCUJL.EXE dcujl.exe 파일은 C:\Documents and Settings\Administrator\Local Settings\Temp경로에 랜덤 크기 문자열을 추가한 자가 복제본을 랜덤한 문자열로 생성 후 실행한다. 실행된 Temp경로 파일 (예: ycepl.exe)은 아래 2개 파일을 생성한다. C:\w..

nasdfgf.exe 악성코드 분석 보고서 1. 유포 경로 nasdfgf.exe는 가짜 네이버 사이트를 통해 유포된다. 가짜 네이버 사이트 http://www.n****r.com 는 실제 네이버 사이트와 유사한 URL을 사용하고 동일한 화면을 출력하기때문에 구분하기가 어렵다. 가짜 네이버 사이트에 접속시 사용자 모르게 http://www.n****r.com/nasdfgf.exe 가 다운로드 및 실행되고, 실행된 nasdfgf.exe는 http://182.***.***.107/polo/polo17.exe 를 다운받아 실행한다. polo17.exe는 또다시 서비스용 dll을 드랍하고 이 dll파일을 이용하여 서비스를 생성한다. [그림]자동실행 등록된 레지스트리 [그림]nasdfgf.exe 아이콘 2. 악성 ..