태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2009.08.20 14:35


[중요 이전 정보] : 안 보신 분들은 아래 링크를 먼저 확인해 주시기 바랍니다.
http://viruslab.tistory.com/1013

Indcu 바이러스에 대한 치료테스트를 진행함에 있어서 다양한 조건이 있을 수 있다는 점을 주의깊게 이해하여야 합니다.

1. 델파이 개발자가 프로그램 빌드(컴파일) 후 배포한 경우
2. 델파이 개발자가 프로그램 빌드(컴파일) 후 실행압축 한 경우
3. 델파이 개발자가 프로그램 빌드(컴파일) 후 실행압축 한 후 Installer 로 패키징한 경우
4. 델파이 개발자가 프로그램 빌드(컴파일) 후 실행압축 한 후 배포한 것을 제 3자가 실행압축을 해제하거나 변경한 경우
5. 기타 암호화, 자동압축해제(ZIP/SFX) 한 경우 등등

먼저 처음으로 테스트해 본 것은 실제로 어제까지도 국내의 특정 프로그램에 감염된 채 배포되었던 파일 중 하나를 임의로 선정했습니다.

해당 파일은 다음과 같습니다.

파일이름 : sms.exe
파일크기 : 1,404,120 바이트
파일형태 : Borland Delphi 6.0~7.0 / UPX 2.03 / 디지털 서명 포함

http://www.virustotal.com/ko/analisis/f654f7affb77754cf93fec3b67cfdbb79230555093b17c2c2c96ac9ef2e278ae-1250745412

사용자 삽입 이미지

Kaspersky 제품으로 진단/치료를 시도해 보겠습니다.

사전에 sms.exe 는 독립적으로 1차 실행되는 것을 확인한 상태라는 것을 전제조건으로 우선 명시합니다.

해당 파일은 다음과 같이 PE_Patch.UPX//UPX 프로그램으로 실행압축된 형태라는 것도 보여줍니다.

당연히 실행압축 해제를 통한 진단 결과입니다.

사용자 삽입 이미지

모두 치료 버튼을 선택시 다음과 같이 치료가 성공적으로 처리되었다는 화면을 볼 수 있습니다.

사용자 삽입 이미지

해당 파일은 UPX 프로그램으로 실행압축된 형태이기 때문에 치료 후에 UPX 압축을 다시 해줄 수는 없다고 보여져, 확인을 해보았습니다.

PEiD 에서 다음과 같이 UPX 가 해제된 것을 볼 수 있습니다.

사용자 삽입 이미지

자 그럼 해당 프로그램을 실행해 보도록 하겠습니다.

다음과 같이 오류 메시지 창이 출력됩니다.

사용자 삽입 이미지

결론적으로 치료를 하지 못하고 감염된 파일은 손상이 된 결과를 초래하였습니다.

실행압축되지 않은 경우는 깨끗하게 치료가 이루어지고 있지만, 실행압축된 파일들에 대해서는 재압축이 현실적으로 불가능하기 때문일 것이며, IAT 복구가 이루어지지 않는다면 정상적인 실행을 기대하긴 쉽지 않을 듯 싶습니다.

더불어 기본적으로 진단(패턴 매칭)될 때는 공통적으로 Unpack Engine 이 사용되어야 하고, 특정 조건(Induc 바이러스)에 따라 치료할 때는 Delete 명령이 사용되도록 엔진 재구성이 필요해 보이기도 합니다.

그런데 감염된 파일을 삭제하면 사용자 입장에서는 좀 많이 불편이 있지 않을까 걱정이네요. 암튼 델파이 개발자분들의 컴퓨터가 하루속히 모두 깨끗해지기를 바래야 겠네요.

앞으로 Unpack 진단 기능과 함께 Unpack 치료 기술(IAT 복구 등)도 도입되도록 검토되지 않을까 싶기도 하네요.

예상하기로는 앞으로 실행압축된 이 바이러스는 삭제처리로 넘겨지지 않을까 싶기도 하지만, IAT 복구 기능까지 엔진에서 추가 제공되는 제품이 있다면 실행압축된 Indcu 바이러스 치료제품이 확인될 수도 있지 않을까 생각됩니다.

아직 제품 테스트를 하나만 한 것이기 때문에 좀더 다양한 확인이 필요해 보입니다.

다음 제품 테스트는 계속됩니다.~~~

Posted by viruslab
신종악성코드정보2009.08.20 12:22


특히 국내 유명 프로그램에서도 다수 발견되고 있는 상태입니다.

아래는 2009년 7월 4일 바이러스 토탈(Virus Total)에 올려졌던 감염 파일의 진단현황으로 당시에는 Virus 로 진단하는 제품이 없었으며, 이 파일은 국산 음악 플레이어의 Uninstall.exe (UPX 실행압축 형태)파일입니다.

그러므로 7월 초 (이전)에 이미 감염된 파일이 배포되고 있었다는 것을 알 수 있습니다.

현재 Virus Total 로 유입된 파일들 보면 7월초 이전에도 다수의 파일이 있는것으로 보여집니다. 다만 AV 업체쪽에서 확인되고 있는 부분이 진단된 시점을 고려하여 역추적하다 보니 확인되어 기준시 된 그 이전 이점에도 충분히 유포되고 있었다는 가정으로 접근하고 있답니다.

제가 확인한 부분은 8월 19일자 당시 웹상에서 불특정 다수에게 실제 배포되고 있던 파일 중 이미 7월초부터 일반인분들에게 공개적으로 유명 자료실을 통해서 배포된 유틸리티가 그 만큼 파급효과 부분에서 크다고 판단되어 비교현황을 게재한 참고자료일 뿐입니다.

그러므로 아래 내용은 참고만 하시면 좋을 듯 싶습니다.

추가정보 : Virus Total 접수 현황을 확인해 보니 "2009년 2월 21일"에 감염된 파일이 접수된 것으로 확인되었습니다. (MD5 : bebeb5ba2b7e1f513bdaca2dfd962e23)

그렇다면 이 바이러스는 Anti-Virus Vendors 쪽에 의해서 발견되기전까지 엄청난 잠복기를 거쳤다고 말할 수 있을 것 같습니다.

물론 가장 정확한 정보를 찾기 위해선 숙주(Dropper) 진원지와 제작자 관련 내용이 중요해 보이고, 계속 추적 중에 있답니다.

[2009년 7월 04일 진단현황]
http://www.virustotal.com/analisis/8919489a83222206a8f582bf38612d925c619fd58196de66660ba0134074283f-1246727824

[2009년 8월 19일 진단현황]
http://www.virustotal.com/analisis/8919489a83222206a8f582bf38612d925c619fd58196de66660ba0134074283f-1250686830

현재 국산 검색 광고 프로그램, 특정 모바일 매니저, 각종 음악 플레이어 등등 여러가지 프로그램에서 감염 사례가 보고되고 있습니다.

아래는 특정 모바일 매니저에 감염된 파일을 Kaspersky 제품에서 진단한 화면을 제가 직접 캡처한 것입니다.


아래는 유명 D 플레이어의 일부 DLL 파일이 감염/진단된 것을 캡처한 화면입니다.


아래는 F 플레이어 프로그램의 진단화면입니다.


델파이 관련 포럼이나 커뮤니티 등을 통해서 초기에 유포된 것이 아닌가 의심스럽습니다.

이렇게 많은 곳을 통해서 델파이 개발자 컴퓨터를 감염시키는 것이 쉽지 않을테니깐요.

암튼 유명한 프로그램 등을 통해서 감염된 파일이 다수 배포하고 있어 걱정입니다.

바이러스 특징상 아직 일반 사용자에게 직접적으로 피해가 발생하고 있는 형태는 아니지만, 공격(?)기능이 포함된 추가 변종의 출현이 있지 않을까 우려됩니다.

http://www.f-secure.com/weblog/archives/00001752.html

http://www.viruslist.com/en/weblog?weblogid=208187826

http://www.delmadang.com/community/bbs_view.asp?bbsNo=19&bbsCat=0&st=&keyword=&indx=415299&keyword1=&keyword2=&page=1

http://www.delmadang.com/community/bbs_view.asp?bbsNo=19&bbsCat=0&st=&keyword=&indx=415262&keyword1=&keyword2=&page=1

http://donghaerang.com/1184

http://cafe.naver.com/malzero.cafe?iframe_url=/ArticleRead.nhn%3Farticleid=41229

http://www.viruschaser.com/main/customer/VCNotice_Dt.jsp?page=1&no=3448&vno=162&noticeType=A

http://www.boannews.com/media/view.asp?idx=17520&kind=0

http://www.sophos.com/blogs/sophoslabs/v/post/6117

http://www.sophos.com/blogs/gc/g/2009/08/19/w32induca-spread-delphi-software-houses/

http://forum.kaspersky.com/index.php?s=19f451e051b4c76094926a2db105fae6&showtopic=128418

2009년 8월 19일 현재 Bitdefender 는 바이러스 토탈에서 다음과 같이 진단이 추가된 것을 확인했습니다.

http://www.virustotal.com/analisis/8919489a83222206a8f582bf38612d925c619fd58196de66660ba0134074283f-1250686830

BitDefender 7.2 2009.08.19 Win32.Induc.A

문제는 일부 PECompact 로 실행압축된 것은 Bitdefender 에서 정상적으로 진단하지 못하고 있습니다.


http://www.virustotal.com/analisis/9a59a4abfe53151e7082633e555c7225348c191a2a9c6cbaaa6c0f33773ba54c-1250643445


현재 비트디펜더는 진단을 하고 치료를 못하고 있습니다.

아래 화면과 같이 실패(disinfection failed) 결과를 보여주고 있습니다.


Kaspersky 제품에서도 진단되지 않는 형태가 발견되었네요.

현재 국내에 유포되고 있는 모듈 중 일부입니다.

http://www.virustotal.com/analisis/acdc594e061ce9d706079fb316752817ca54eb3b717aaa80df7da9d5ae3d6596-1250692195

http://blog.avast.com/2009/08/19/win32induc-new-concept-of-file-infector/

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Virus%3aWin32%2fInduc.A&threatid=2147627628#techdetails_link

http://www.sophos.com/blogs/sophoslabs/v/post/6189

변조된 sysconst.dcu 파일의 진단현황입니다.

http://www.virustotal.com/analisis/2d27aeb27580e398764d7b5a1905b0b72775fc494cc4830e970acc15c8b5526f-1250696759

[확인 필요 사항]

- 실행압축된 상태에서 치료 결과?
- 치료 후 실행압축 형태 유지 상태?

만약 실행압축된 내부에 바이러스 코드가 포함된 경우 얼마나 많은 제품이 치료를 해줄지 의문이다.

현재 국내외로 유포되고 있는 많은 형태가 다양한 실행압축 도구로 압축된 것으로 발견되고 있기 때문이며, 압축을 해제하여 진단하는 기능이 있다고 하더라도, 감염 파일 삭제가 아니라 감염 코드를 치료(제거)해야 하기 때문에 치료 후 재압축을 제공할지가 의문인 상황이다.

이 부분 확인을 진행할 예정이다.


이 정보는 수시로 업데이트 중입니다.

Posted by viruslab
신종악성코드정보2009.08.19 09:24


플러스* 이라는 이름의 국산 특정 검색어 서치 관련 Setup.exe 프로그램 내부에 델파이 개발 도구를 감염 대상으로 하는 Virus.Win32.Induc.a 바이러스가 감염된채 배포되고 있는 것이 발견되었네요.

http://www.f-secure.com/weblog/archives/00001752.html

이 바이러스는 2009년 8월 15일부터 지속적으로 감염된 파일이 목격되고 있으며, 델파이 개발 환경을 통해서 감염되는 제한(직접적으로 다른 EXE/DLL 을 감염시키지 않음)적인 바이러스 형태를 지니고 있습니다. EXE 와 DLL 파일 등이 모두 감염될 수 있습니다.

Delphi SysConst 라이브러리를 감염시킨 후 프로그램 개발(빌드/컴파일)시 악성 라이브러리가 포함되는 그동안 알려지지 않은 새로운 방식입니다.

제한된 조건의 바이러스임에도 불구하고 감염 파일이 다수 발견되고 있으며, 특히 악성코드+바이러스 형태의 중복 2중 감염된 파일이 많이 보여지고 있습니다. 델파이 악성코드 제작자 컴퓨터에 많이 감염되어 있나 봅니다.

현재 Main 숙주본을 계속 추적 중에 있으며, 제작자 관련 정보도 수집 중에 있습니다.

현승님이 작성하신 글을 인용하면 다음과 같습니다.

1. HKLM\Software\Borland\Delphi(4 ~ 7) 의 RootDir 키를 참조하여 델파이의 루트 경로를 구합니다.

2. 1. 에서 구한 경로를 기준으로 \source\rtl\sys\SysConst.pas 파일을 \lib\sysconst.pas 파일로 복사하면서...

소스파일 중간에 바이러스 코드를 집어넣습니다.

3. \lib 폴더의 기존의 SysConst.dcu 파일을 SysConst.bak 파일로 백업합니다.

4. dcc32.exe 이용하여 바이러스 코드가 심어진 sysconst.pas 를 새로 컴파일합니다. (새로운 SysConst.dcu 생성)

5. 새로운 SysConst.dcu 가 생성이 되면 감염된 소스코드 SysConst.pas 파일을 삭제합니다.

이후에 델파이에서 컴파일되는 실행파일들은 모두 바이러스 코드가 심어진 SysConst.dcu 가 적용되면서..

해당 실행파일에 바이러스 코드가 추가되는 방식입니다.

<< 복구방법 >>

델파이 라이브러리를 복구하기 위해서는 \lib 폴더의 SysConst.dcu 파일을 제거 후, SysConst.bak 파일을

SysConst.dcu 파일로 이름을 변경해주거나, \source\rtl\sys 폴더의 SysConst.pas 파일을 새로 컴파일해서...

해당 SysConst.dcu 파일을 덮어쓰면 됩니다.

이게 복잡하다 싶으시면, 델파이 삭제 후~ 재설치하는 방법도 있습니다 :D

감염된 파일 복구 방법은 아직 조금 더 봐야겠지만..

카스퍼스키의 경우, 해당 바이러스 코드 영역(대략 4080 바이트 정도)을 '00' 으로 덮어쓴 후,

바이러스 코드 영역을 호출하는 CALL 명령을 NOP(90) 으로 치환하는 방식이었습니다.

특히 이번 국내에서 배포되고 있는 파일은 감염된 채 빌드(컴파일)된 후 PECompact 로 실행압축까지 된 상태여서, 압축 해제 기능이 없으면 치료가 불가할 것으로 보여집니다.

사용자 삽입 이미지

사용자 삽입 이미지

바이러스 토탈 진단현황입니다.

[Setup.exe 진단현황]
http://www.virustotal.com/analisis/5869adb65806a0f4196849d887e542008e0223955e3054fc96088c94425b3c20-1250640451

* 내부에 포함된 실제 감염파일 rec.exe 진단현황

[1차]
http://www.virustotal.com/analisis/9a59a4abfe53151e7082633e555c7225348c191a2a9c6cbaaa6c0f33773ba54c-1247583915

[2차]
http://www.virustotal.com/analisis/9a59a4abfe53151e7082633e555c7225348c191a2a9c6cbaaa6c0f33773ba54c-1250641632


Posted by viruslab