국내 터미널 연결 프로그램으로 위장한 가상 화폐 채굴 악성코드가 유포되고 있어 PC사용자들의 주의가 필요하다.


이 악성코드는 81일부터 등장한 악성코드로 기존의 OLE취약점이나 매크로등 알려진 방법을 가지고 유포되며 윈도우의 기본 프로그램인 ‘wscript.exe’를 이용해 악성코드가 다운로드 된다다운로드된 악성코드는 기존 터미널로 위장하기 위해 ‘등록정보 내용’을 똑같이 만들어 일반 사용자들이 알아채기 어렵도록 만들었다.



[그림 1.] 위장(좌)vs정상(우) 비교


뿐만 아니라 아래 번과 같이 리소스(.rsrc)섹션의 내용을 동일하게 만든 것을 확인할 수 있으며, 



[그림 2.] 정상과 악성의 리소스 섹션 정보 비교


악성의 번 부분에선 정상 프로그램의 Installer를 설치 시 생성되는 PE프로그램 일부를 리소스(.rsrc)섹션에 넣어 두었는데, 이는 AV업체의 진단을 우회하기 위한 것으로 추정된다.



[그림 3.] 악성코드의 내부 파일(②) & 이에 일치되는 정상 프로그램의 항목(우)


악성코드 내부는 아래와 같은 마이닝 풀(mining pool) 주소와 사용할 알고리즘(초기값: cryptonight) 등 프로그램 구동과 관련된 내용이 적혀 있으며 마이너 종류는 ‘NiceHash Miner’로 추정된다.



[그림 4.] 마이닝 풀 주소() , NiceHash Miner관련 문자열()


현재 V3는 아래와 같이 행위 탐지하고 있으며,
대상 샘플들은 진단명: Trojan/Win64.CoinMiner 로 진단하고 있다.



[그림 5.] 8월 6일 행위 탐지 룰로 차단된 Miner



참조 URL :
1) https://miner.nicehash.com/

2) https://www.netsarang.co.kr/products/xsh_overview.html

Posted by 분석팀