태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2013. 10. 11. 20:32


폭풍 주의보도 띄어야 하는거 아닌가? 확정 진로방향은 북위 38도!


nalsee.com/scripts/blank_image.js


폭풍 핵 프로파일링 스타트!


http://nanosystemz.com/widgets/login_info/login_info.php%s?uid=%s

http://kjradio.co.kr/widgets/login_info/login_info.php

http://www.duriman.com/widgets/login_info/login_info.php


날씨닷컴에서는 위젯 서비스를 해주고 계시다. 느낌 아니까!



http://viruslab.tistory.com/2611


분석방해를 위해서 여러가지 방식을 이용하기도 했다.


Themida 실행압축



TimeStamp 변조



흥미롭게도 Dropper 의 날짜는 UTC 기준으로 2013년 10월 11일 15시 54분이다.


생성되는 파일의 날짜는 UTC 기준으로 2013년 10월 11일 15시 52분이다.


발견된 시점은 KST 기준으로 2013년 10월 11일 오전이다.


이것으로 추정해 보아 생성파일을 먼저 빌드했고, 타임스탬프에서 날짜만 11일(공격시작일)로 수정한 것으로 보여진다. 시간은 건드리지 않고..


뮤텍스 - xnvnheolws




레지스트리 등록


이름: HKEY_CLASSES_ROOT\Msxml2.DOMDocument.3.7\CLSID\(기본값)
종류: REG_SZ
데이터: {88d96a05-f192-11d4-a65f-0040963251e5} 


파일 행위


C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe" /c systeminfo >NUL & del /q "Dropper.exe" >> NUL"

C:\WINDOWS\system32\systeminfo.exe systeminfo


----------------- 기존과 공통점 프로파일링 TOP 10 -----------------


1. nalsee.com/scripts/blank_image.js 동일하다.


2. 기존의 웹하드 감시가 심해지자 특정 사이트의 위젯 서비스를 활용했다. 이 위젯 서비스는 꽤 많은 사이트가 사용 중이다.


3. 스크립트 명령어 패턴이 동일하다.



KMC 1.2 : {53988776-6FD2-4950-B43F-F7E75FB8DCB9}

KMC 1.3 : {2DEBB91B-6EE8-42D3-88FE-4B23D55BE746}

KMC 1.4 : {1D5DA295-5704-4A1A-B547-D0829EAE44CE}

KMC 1.5 : {23E3FDD4-AA11-482E-A35C-C4E521D59097}



4. 유포 파일명은 대부분 jpg나 gif 등 확장명이 이미지로 위장되어 있고, logo.jpg 등 파일명이 여러차례 동일하게 목격됐다.


http://www.do****.net/bbs/img/logo.jpg

- http://www.kc****.org/bbs/images/logo.jpg


5. Themida 분석 방해가 동일하다.


6. Msxml2.DOMDocument.3.7 내용과 CLSID 값도 동일하다. 아래 화면은 3.20 때 일부 파일들 화면이다.


분석하셨던 분들도 기억을 살려볼 겸 한글문자가 포함된 것이랑 몇가지 대표적인 것들만 뽑아 봤다.


7. systeminfo.exe 등 감염 피시 정보 유출 방식이 동일하다.


8. 다수의 C&C 서버 이용이 동일하며, 업데이트 기능을 이용한다.


9. 특정 프로그램의 액티브 액스 오브젝트를 이용하여 업데이트시 악성파일이 유입되도록 하는 방식이 동일하다.


10. 추적을 방해하기 위해서 기존에 공통적으로 사용하던 Hash 코드나 다양한 암호화 알고리즘을 발전시키고 있다.


이상 생략..


추신. 앞으로 짧으면 한달, 길면 수개월 안에 큰 폭풍이 상륙할 가능성이 높다. 웹하드 관제 및 인터넷 업데이트 모듈에 대한 보안이 요구된다.


Posted by viruslab

댓글을 달아 주세요

  1. http://www.boho.or.kr/kor/notice/noticeView.jsp?p_bulletin_writing_sequence=3367

    2013.10.15 09:42 신고 [ ADDR : EDIT/ DEL : REPLY ]
  2. http://krcert.or.kr/kor/data/secNoticeView.jsp?p_bulletin_writing_sequence=3364

    2013.10.15 09:43 신고 [ ADDR : EDIT/ DEL : REPLY ]