악성코드에서 USB와 같은 이동형 저장 장치를 자신의 복제본을 전파하기 위한 수단으로 사용되기 시작한 것은 이미 오랜전 일로 변해버렸다. 이러한 이동형 저장 장치를 악성코드 전파의 수단으로 사용되는 점은 과거 플로피 디스켓이 DOS 운영체제에 감염되는 바이러스의 전파 수단이 되는 것과 같은 동일한 선상에 있다고 할 수 있다.


이러한 USB와 같은 이동형 저장 장치로 인해 악성코드가 유포되었던 대표적인 사례들은 아래와 같이 정리 할 수 가 있다.


2010년 5월 21일 - 호주 보안 컨퍼런스에서 악성코드에 감염된 USB 배포


2010년 6월 2일 - 독일에 수출된 삼성 바다폰에 감염된 악성코드


2010년 9월 10일 - 해외에서 이메일을 이용해 대량 유포된 Swisyn 웜


이러한 대표적인 사례들 외에도 다수의 악성코드들에서 USB와 같은 이동형 저장 장치를 악성코드 유포의 매개체로 하여 사용되었던 사례들이 존재하며, 현재까지도 이러한 사례들이 적지 않게 발견되고 있다.


2012년 12월 4일 국내 기업 고객을 통해 확인된 DorkBot 변형에서는 기존 이동형 저장장치와는 다른 형태의 Autorun.inf 파일을 생성하는 것이 발견되었다.


이 번에 발견된 DorkBot 변형 제작자는 백신(Anti-Virus) 소프트웨어에서 이동형 저장 장치 루트에 생성되는 Autorun.inf 파일을 탐지하기 위한 다양한 기법들이 포함된 것을 파악하고, 아래 이미지와 같이 실제 Autorun 관련 명령어들 사이에 다수의 쓰레기 데이터를 채워 놓고 있다.




이러한 다수의 쓰레기 데이터를 채움으로써 백신 소프트웨어의 탐지와 함께 분석을 지연시킬 목적으로 사용하는 특징이 존재한다.


이 외에 해당 DorkBot 변형은 공개되지 않은 프라이빗 패커(Private Packer)로 실행 압축 되어 있으며, 이를 풀게 되면 Visual C++로 제작된 코드가 나타나게 된다.


해당 악성코드가 실행이 되면  자신이 실행되는 영역이 다음과 같은 가상화 공간인지 확인 후 가상화 공간일 경우 실행을 중단하게 된다.


Qemu

VMWrare

VirualBox


만약 가상화 공간이 아니라면 감염된 시스템에 존재하는 정상 시스템 프로세스인 explorer.exe의 프라이빗 메모리(Private Memory) 영역에 자신의 코드 전체를 삽입하게 된다. 



그리고 자신의 복사본을 rwrttxx.exe (90,112 바이트) 라는 파일명으로 다음의 경로에 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Application Data\rwrttxx.exe


그리고, 감염된 시스템에 USB와 같은 이동형 저장장치가 연결되어 있다면 악성코드 자신의 복사본인 DSCI4930.jpg (90,112 바이트)Autorun.inf (294,819 바이트) 파일을 생성 한 후, 숨김 및 시스템 속성을 부여하여 윈도우 탐색기에서 파일들이 보이지 않게 숨기게 된다.


G:\AdobeReader\DSCI4930.jpg (90,112 바이트)

G:\autorun.inf (294,819 바이트)


만약 이동형 저장장치에 다른 폴더와 파일들이 존재할 경우, 해당 폴더와 파일명의 바로가기 파일(*.ink)을 생성 한 후, 이 역시 숨김 및 시스템 속성을 부여하여 윈도우 탐색기에서 보이지 않게 만들게 된다.


감염된 시스템의 윈도우 레지스트리에 다음의 키 값들을 생성하여, 부팅 시마다 생성한 악성코드가 자동 실행 되도록 구성하게 된다.


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Adobe Reader Speed Launcher = C:\Documents and Settings\[사용자 계정명]\Application Data\rwrttxx.exe


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Adobe Reader Speed Launcher = C:\Documents and Settings\[사용자 계정명]\Application Data\rwrttxx.exe


그리고 감염된 시스템에서 실행 중인 전체 프로세스 리스트를 검사하여 시스템 모니터링 관련 유틸리티가 실행 중이라면 강제 종료를 수행하게 된다.


해당 악성코드는 감염된 시스템에서 다음의 URL 주소를 가진 C&C 서버로 접속을 수행하게 되나, 분석 당시에는 정상적인 접속이 이루어지지 않았다.


entceqipqujagjzp/ngrs/gate.php


해당 URL 주소를 가진 C&C 서버로 접속이 정상적으로 성공하게 되면, 공격자의 명령에 따라 다음의 악의적인 기능을 수행하게 된다.

시스템 재부팅
파일 다운로드 및 업로드
DDoS 공격(UDP, SYN) 시작 및 중단
운영체제 버전 정보
MSN, Gtalk, eBuddy, Facebook 메신저 프로그램을 이용한 악성코드 전파 시작 및 중단
FileZilla에 설정되어 있는 서버 주소 및 계정 정보 탈취

이외에 다음의 소셜 네트워크(Social Network) 웹 사이트들에 사용자 계정 세션이 활성화 되어 있을 경우, 해당 악성코드를 유포하기 위해 악성코드를 다운로드 가능한 게시물들을 세션이 활성화 된 사용자 계정으로 생성하게 된다.

Bebo.com 
Liknkedin.com
Myspace.com
Twitter.com
Facebook.com

그리고 감염된 시스템의 사용자가 다음 웹 사이트들에 로그인 하게 되는 경우, 사용자 계정명과 로그인 암호를 C&C 서버로 전달 하게 된다.

Webnames.ru, Live.com, Gmail.com, Yahoo.com, Zpag.es, Linkbucks.com, Adf.ly, Twodallarclick.com, Blockbuster.com, Netflix.com, Uploading.com, Fileserver.com, Hotfile.com, Therpiratebay.org, Bangbros.com, Naughtyamerica.com, Brazzers.com, Pornhub.com, Hackforums.net, Wmtransfer.com, Moneybooker.com, Paypal.com

이 번에 발견된 백신 제품의 탐지를 우회하기 위한 Autorun.inf 파일을 생성하는 DorkBot 변형은 V3 제품 군에서 다음과 같이 진단한다.

Win-Trojan/Klibot.90112

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

2011년 페이스북(facebook) 사용자가 10억명을 넘어설 것이라는 예측이 나오는 가운데, 악성코드 제작자가악성코드를 유포를 위해  엄청난 사용자를 확보한 페이스북을 사칭하여 이를 악용하는데 최적의 소재이다.

이미 페이스북을 사칭하여 악성코드를 첨부한 스팸메일이 지속적으로 발견되고 있으며 이는 단연 페이스북 뿐만 아니라 트워터, 마이스페이스 등도 악성코드 제작자에 의해 악성코드 유포에 악용되고 있다.

참고로 블로그를 통해 포스팅하였던 페이스북을 위장하여 악성코드를 첨부한 스팸메일 관련 글은 아래와 같다.



이번에 발견된 페이스북을 위장한 악성 스팸메일의 제목과 본문은 아래와 같다.

메일제목 : Your password is changed

메일본문
Good afternoon
Spam is sent from your FaceBook account.
Your password has been changed for safety.
Information regarding your account and a new password is attached to the letter.
Read this information thoroughly and change the password to complicated one.
Please do not reply to this email, it's automatic mail notification!
Thank you for using our services.
FaceBook Service.
Of course, Halls success led to an immediate recrudescence of the efforts to extract artemisium from the Syx ore, and, equally of course, every such attempt failed.Hall, while keeping his own secret, did all he could to discourage the experiments, but they naturally believed that he must have made the very discovery which was the subject of their dreams, and he could not, without betraying himself, and upsetting the finances of the planet, directly undeceive them. The consequence was that fortunes were wasted in hopeless experimentation, and, with Halls achievement dazzling their eyes, the deluded fortune-seekers kept on in the face of endless disappointments and disaster. And presently there came another tragedy. The Syx mill was blown up! The accident--although many people refused to regard it as an accident, and asserted that the doctor himself, in his chagrin, had applied the match--the explosion, then, occurred about sundown, and its effects w ere awful.


메일제목 : Spam from your Facebook account

메일본문
Good afternoon.
Spam is sent from your FaceBook account.
Your password has been changed for safety.
Information regarding your account and a new password is attached to the letter.
Read this information thoroughly and change the password to complicated one.
Please do not reply to this email, it's automatic mail notification!
Thank you for attention.
Your Facebook!
About the room and in and out of her shop moved Edith, going softly and quietly.A light began to come into her eyes and colour into her cheeks. She did not talk but new and daring thoughts visited her mind and a thrill of reawakened life ran through her body. With gentle insistence she did not let her dreams express themselves in words and almost hoped that she might be able to go on forever thus, having this strong man come into her presence and sit absorbed in his own affairs within the walls of her house. Sometimes she wanted him to talk and wished that she had the power to lead him into the telling of little facts of his life. She wanted to be told of his mother and father, of his boyhood in the Pennsylvania town, of his dreams and his desires but for the most part she was content to wait and only hoped that nothing would happen to bring an end to her waiting.


첨부파일은 이전과 동일하게 아이콘이 word 문서인 것처럼 보이나 실제로 확장명을 보면 word 문서 파일이 아닌 exe 실행파일임을 알 수 있다.

파일명 : Attached_SedurityCode.exe (두 스팸메일에 첨부된 파일명은 동일함.)


[그림1] 첨부된 악성코드


사용자가 악성코드를 실행하게 되면 문서파일인 것처럼 위장하기 위해 워드파일을 드랍 후 파일을 열기 때문에 사용자는 의심을 덜하게 된다.


[그림2] 사용자를 속이기 위해 열려진 워드문서 파일


현재 V3에서는 아래와 같은 진단명으로 진단/치료가 가능하다.

Attached_SecurityCode.exe 
 - Win-Trojan/Fakeav.51712.V (51,712 bytes)
Attached_SecurityCode.exe 
 - Win-Trojan/Agent.33792.AAJ (33,792 bytes)



스팸메일을 통해 유포되는 악성코드의 위험으로 부터 예방하기 위해 아래와 같은 사항들을 준수한다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 않는다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용한다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람한다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 않는다.







 

신고
Creative Commons License
Creative Commons License
Posted by 비회원
Myspace 비밀번호 관련 메일로 위장하여 악성코드를 유포하는 스팸메일이 확인되어 안내 드립니다.

제목 : Myspace Password Reset Confirmation! Your Support
Hey ,
,
,
,
,
,
,
,
Because of the measures taken to provide safety to our clients, your password has been changed.
You can find your new password in attached document.
Thanks,
The Myspace Team.

첨부파일의 이름은 password.zip 파일이며 해당 파일은 악성코드 입니다. 현재 해당 파일은 V3 제품군에서 Win-Trojan/Fakeav.183296.I 진단명으로 진단이 가능합니다.

만약 해당 파일을 실행하게 되면 아래와 같은 증상이 나타나게 됩니다. 우선 허위 안티바이러스(백신) 프로그램이 나타납니다. 현재 아래 스크린샷에서의 이름은 XP AntiMalware 2010 이지만 이 이름은 마이크로소프트 윈도우즈 버전 별로 다르게 나타날 수 있습니다. 자세한 내용은 아래 포스팅을 참고하시기 바랍니다.

허위백신으로 인한 증상 및 조치 방법 :
http://core.ahnlab.com/135



그리고 인터넷 익스플로러 실행 시 아래와 같이 키로거가 설치되어 있다는 경고 메세지와 함께 익스플로러에서 사이트로 접속 시 원하는 페이지가 나타나지 않는것을 확인할 수 있습니다.




그리고 주기적으로 아래와 같은 경고 메시지와 우측 하단의 트레이 아이콘이 표시되는 부분에 아래와 같은 경고 메세지 및 트레이 아이콘이 생성되게 됩니다.




이러한 허위 안티바이러스(백신)은 현재 대부분 이렇게 스팸메일 혹은 구글 검색 시 나타나는 SEO Attack 형태로 감염되니 항상 아래와 같은 사항을 준수하여 미연에 방지하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.

신고
Creative Commons License
Creative Commons License
Posted by 비회원