몇일전 우리나라보다는 해외에서 다음과같은 스팸메일과 함께 클릭을 유도하게 하는 악성파일이 뿌려지고 있었다.
오늘은 금요일이고 퇴근시간이니 아주아주 간단하게 살펴보고...좀 더 자세하게는 2차적으로 올리도록 하겠다.
원래 파일에 대한 정보 이다. 아쉽게도 우리가 먼저 발견하지 못하고 이곳의 정보를 토대로 샘플을 구하여 업데이트 후 분석한것이다.
http://www.f-secure.com/weblog/archives/00002246.html?tduid=9360beb40b169191a7afe4633f71da69
1. 다음과 같이 애플모양의 아이콘을 사용하여서 마치 애플사의 파일인것처럼 하여 메일의 내용과 유사성을 가지게 하여 클릭을 유도하게 한다. 그리고 exe파일을 실행시 다음과 같이 나오지도 않은 아이폰에대한 그림정보를 보여주면서 마치 피해자가 악성파일에 감염되지 않은것처럼 보이게 한다.
2. 파일을 추출하게 되면 다음과 같이 c:\windows\temp\cookies에 많은 파일이 생성되고 bot기능을 수행하기 위한 파일들을 모아둔다. 왠만한 파일들은 숨김속성으로 하여 숨길려고 노력한다...근데 숨김속성이 너무 허술한거아냐 ㅋㅋ
3. 위에 bat파일을 열어보게 되면 다음과 같이 레지스트리를 등록하는 명령과 daemon.exe(irc를 위한 파일), image.jpg(아까 처음에 본 그림), cookies 디렉토리의 속성을 숨김으로 하는 속성을 실행하도록 하는 command 명령어가 들어가있는것을 확인할 수 있다.
servers.ini 파일을 열게 되면 irc 서버 목록을 볼수 있으며 아래와 같다.
n1=DreamSERVER:irc.darkbit.info:6667GROUP:Dream
n2=DreamSERVER:blind.com:6667GROUP:Dream
n3=BudapestSERVER:94.125.182.255:6667GROUP:Undernet
n4=BudapestSERVER:94.125.182.255:7000GROUP:Undernet
n5=TampaSERVER:208.83.20.130:6667GROUP:Undernet
또다른 정보로 remote.ini 파일을 열게 되면 아래 사진과 같이 아이디 로그인 정보와 함께 로그인하는 채널을 볼 수 있다.
이상 아주 간단한 분석이다.....왜냐 이미 금요일 6시니까 ㅋㅋㅋ 내일 샘플 많이없으면 이거 마저 분석해야겠다...아 디바이스도 해야하는데!!디바이스 된장 어려버!!!!
jd-gui.exe
