1. 온라인 분석 결과
1.1 VirusTotal 분석 결과 (https://www.virustotal.com)
1.1.1 악성 코드 진단 명
AVG Win32/Chir.B@mm
AhnLab-V3 Win32/ChiHack.6652
Avast Win32:Runonce [Trj]
ClamAV WIN.Worm.Brontok
Kaspersky Email-Worm.Win32.Runouce.b
McAfee W32/Chir.b@MM
1.1.2 악성코드 첫 분석 날짜
2011-01-2506:31:19
1.3 해당 악성 파일의 분석 자료는 구글 참고
2. File 분석
2.1 파일 생성
C:\WINDOWS\system32\runouce.exe 파일 생성
runouce.exe 파일 확인
디스크의 htm 파일이 존재하는 폴더 위치에 readme.eml 파일 생성
2.2 파일 변조
디스크의 exe 파일들을 찾아서 변조함
<현재 변조된 exe 파일 해당 글에서는 분석 제외>
디스크의 htm 파일들을 찾아서 변조함
아래와 같이 htm 파일 하단에 script를 삽입하여 htm 파일 실행 시 readme.eml을 실행하도록 구현함
2.3 실행되는 파일
runouce.exe 실행
- runouce는 exe, htm 파일들을 변조하고, 디스크의 디렉토리에 eml 파일을 생성
- 같은 subnet의 쓰기 가능한 공유 폴더를 찾아 eml 파일을 생성함
- Process kill을 방지하고. 부팅시 자동실행할 Registry가 삭제될경우 복구를 수행
- 재부팅 시 마다 실행됨
3. Registry 분석
3.1 Registry 등록
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Runonce에 runouce.exe 를 등록하여 부팅시 마다 자동실행
4. Network 분석
4.1 공유디렉토리 접근
같은 subnet의 모든 공유 디렉토리를 검사하여 패스워드 없이 쓰기가 허용된 공유 폴더에
<ComputerName>.eml 파일을 생성함
- 해당 eml 실행시 첨부파일에 악성코드가 삽입되어 있음
- script가 실행되는 환경이면 자동 실행 시도함
5. 백신 검사
5.1 eml 파일 백신 검사
eml 파일 ALYAC으로 검사했지만 악성코드로 인식하지는 않음
- 변조된 exe 파일 및 runouce.exe 파일은 악성코드로 인식
5.2 eml 파일 일부 내용
'Malware Analysis' 카테고리의 다른 글
| [실전 악성코드와 멀웨어 분석] 실습 1-2 (0) | 2017.05.12 |
|---|---|
| [실전 악성코드와 멀웨어 분석] 실습 1-1 (0) | 2017.05.07 |