본문 바로가기

악성코드 정보

온라인 뱅킹 트로이목마 Banki(2)

 지난 12월 국내 인터넷 뱅킹 사용자가 타켓인 악성코드(Banki)에서 특정 시스템 날짜가 되면 윈도우 시스템 파일을 삭제하는 기능이 발견되었다.

과거에 발견된 Banki정보는 아래 페이지에서 확인이 가능하다.

 

http://asec.ahnlab.com/search/banki

 

이번에 발견된 Banki 변종은 Induc 바이러스에 감염된 악성코드이며, http://210.***.**.32:2323/qq.exe 를 통하여 유포 되는 것으로 확인되었다.

(온라인 뱅킹 트로이목마 Banki(1) 에서 유포과정을 다루었다.)

 

위 파일이 실행되어 악성코드에 감염될 경우 아래와 같은 경로에 파일이 생성된다.

C:\Windows\system32\muis\tempblogs.\tempblogs..\

'1216', 'Winlogones.exe', 'csrsses.exe'

 

[그림1] 악성코드에 의하여 생성된 파일

 

 

감염 후 아래와 같이 레지스트리에 서비스로 등록되어, 부팅시 실행된다.

 

 

[그림2] 서비스 등록

실행된 환경에 따라 다르게 나타날 수 있지만, 악성 프로세스 'winlogones.exe'는 정상 프로세스인 'winlogon.exe' 에 자신을 인젝션하여 프로세스 목록에 'winlogones.exe' 가 보이지 않게 한다. 동시에 또 다른 악성 프로세스인 'csrsses.exe' 도 계산기 프로세스 이름인 'calc.exe' 에 자신을 인젝션하여 실행한다.

 

[그림3] 정상적인 프로세스만 동작하는 것으로 위장

 

또한, 악성코드는 'winlogones.exe' 가 존재하지 않을 경우, www.mi****.com/temp/q/m.mp3 로 접속하여 다시 다운로드 받게 되어 있다.

이후 프로세스 목록을 확인하여 'V3LSvc.exe', 'AYRTSrv.aye', 'Nsavsvc.npc' 가 없을 경우 아래의 파일을 추가로 다운받는다.

 

다운로드 주소

생성된 파일명

www.zhu*****.com/temp/q/1.mp3

ChilkatCert.dll

www.zhu*****.com/temp/q/q.mp3

qserver.exe

www.zhu*****.com/temp/q/2.mp3

iexplores.exe

www.zhu*****.com/temp/q/3930.mp3

termsrv.dll

www.zhu*****.com:2323/count.txt

count.txt

[표1] 다운로드 파일

 

다운로드 받은 파일은 아래의 경로에 생성된다.

C:\Windows\system32\muis\tempblogs.\tempblogs..\

 

이번 변종에서 발견된 가장 큰 특징은 특정 날짜(2013년 1월 16일)가 되면 시스템 파괴 기능이 동작하도록 제작 되었다.

 

해당 날짜가 되면 아래와 같은 배치 파일을 c:\ 에 생성하며 실행된다.

 

[그림4] 시스템 파괴 기능이 포함된 배치 파일

 

배치 파일에 의하여 ALG(Application Layer Gate) 서비스를 중지하고

hal.dll 파일과 System32 내의 파일을 삭제하게 된다.

 

배치 파일이 실행되면 아래와 같은 메시지가 발생한다.

 

[그림5] 시스템 파괴 기능 동작

 

 

만약, 시스템을 재부팅하게 되면, 아래와 같은 메시지가 나타나며, 정상적인 부팅이 불가능하다.

 

[그림6] 시스템 파괴 후 리부팅시 화면

 

 

 

해당 악성코드는 V3 제품을 통하여 진단 및 치료가 가능했기 때문에, 실제 피해 보고는 접하기 어려웠다.

 

<V3 제품군의 진단명>

Trojan/Win32.Banki