오늘 학교 실습실에서 ,  악성코드 샘플을 하나 입수했는데,

전파경로는 USB AutoRun으로 전파되는 방식이더군요.

이동식디스크가 장착되면,  이동식디스크 루트경로에  Autorun.inf파일과 ,  exe파일이 생성됩니다.

 


일단 악성코드의 행동을 대충  눈으로 흘겨봤는데,

감염되면  C:\Windows\system32\  경로에 다음 파일이 생성되는것으로 보여집니다.

 

cyban0.dll

cyban1.dll

ieban0.dll

TingSting.dll

cyban.exe

 

 

그리고 , 

Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL

경로에 접근하여 ,  탐색기에서  시스템파일과 숨김파일은 절대 보이지않게끔 수정을 시도합니다.

사용자가 숨김파일과 시스템파일을 보려고 탐색기상에서 아무리 폴더옵션 변경을 시도해도 , 보이지 않습니다.

(결국, 관찰하려면  콘솔에서 관찰해야합니다.)




학교에서 봤을땐 ,  cyban0.dll 파일은  NtOpenSection으로 physicalmemory   Open  뒤에,

KeServiceDescriptorTable에 접근해서  후킹되어져 있는 Address를 모두  Restore시킨 후 ,  

안티바이러스의 자가보호기능을 무력화시는것으로 보여졌는데,

집에서 열어보니  왜 cyban0.dll과  cyban1.dll 파일이  똑같이 생겼는지 이유를 잘 모르겠군요 -_-;

전혀 관계없는  다른 악성코드를 열어본건가....

(시간나면 다시 학교가서 입수해야겠습니다.)

 

어쨌든  저 cybanX.dll 이라는 악성코드에 감염되면,  다음 온라인게임의 계정이 유출될 가능성이 있습니다.

 

 

dekaron.exe     데카론
Mir3Game.exe      미르의 전설
darkeden.exe   다크에덴
dnf.exe           던전앤파이터    (PC OTP를 타겟으로 해서 아이디와 비밀번호를 갈취함)
maplestory.exe      메이플스토리
winbaram.exe               바람의나라
gersang.exe             거상
cabalmain.exe         카발온라인
dragonnest.exe          드래곤네스트
InphaseNXD.exe    테일즈위버
so3d.exe              씰온라인
wow.exe              월드오브워크래프트
client.exe              마비노기
ge.exe                  그라나도 에스파다
aion.bin               아이온
ff2client.exe           피파온라인2
main.exe              그랜드체이스
irisclient.exe            아이리스 온라인
 
 
상세한 기술적인 분석을 시도해보려고는 하는데 ,  이거 dll파일 내부의 분량이 워낙 방대해서 -_-;;
게다가   서브루틴으로 복잡게 나눠놨더군요.
쓰레드는 뭘 그렇게 많이 생성하는지 원....
시간이 꽤 걸릴것 같습니다....귀차니즘때문에 하지못할수도 있겠구요...
그래도 해킹의 원인을 밝혀내기 위해서  날잡고 한번 해볼 생각입니다.
 
참고로 , ASPack 2 버젼으로 패킹되어져 있으며,
카스퍼스키 안티바이러스 2010.736  2010.05.14.02:00   DB로  탐지가 되지않고 있습니다.

windows\system32 경로에  cyban1.dll 파일이 존재한다면 ,  이미 malware가 실행중이라고 보시면 됩니다.
지금 체크해보세요!


Virus Total  결과 보기

더보기



저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
by Sone 2010.05.14 16:58

티스토리 툴바