- 프로그램 설명
알약에서 제공하는 윈도우 부팅 방해 악성코드 전용백신(3/17일 업데이트)입니다.
제작사설명
안녕하십니까?
이스트소프트 알약 긴급대응팀입니다.
이틀 전부터 시작된 1차 DDoS 공격에 이어, 2차 DDoS 공격이 발생했습니다.
알약 홈페이지에서는DDoS 악성코드의 제거를 위한 전용백신을 배포합니다.
전용백신에는 악성코드 패턴을 분석하여 탐지할 수 있는 기능이 탑재되어 있으며 추가로 발생하는 변종에 대비하기 위한 신고 시스템을 내장하고 있습니다.
국가적으로 문제가 되고 있는 DDoS 공격에 대응하기 위해 사용자 여러분들의 적극적인 협조와 제보를 부탁드립니다.
이미 알약이 설치되어 있는 PC에서는 최신 업데이트 및 검사를 통해 DDoS 악성코드를 진단 및 치료 할 수 있으며 실시간 감시를 활성화하여 악성코드의 실행을 실시간으로 차단할 수 있습니다.
알약이 설치되어 있지 않은 사용자는 아래 링크를 클릭하여 알약을 설치하고 DDoS 악성코드를 차단/치료합니다.
[분석정보]
2009년 7월 초 알약 고객신고로 최초 접수 되었으며,
(탐지명: Generic.Mydoom.D82BAA29, 파일명: C:\\WINDOWS\\system32\\msiexec1.exe)
Mydoom과 관련이 깊으며 트렌드마이크로의 경우 이번 악성코드를 Mydoom 으로 탐지하고 있습니다. 탐지명 : WORM_MYDOOM.EA
Mydoom의 특징은 기본적으로 IRC봇이고 DoS공격이 가능합니다.
또 이메일, 공유 폴더, 윈도우 취약점, P2P를 이용하여 전파를 시도합니다.
특이점은 Mydoom에서 쓰였던 문자열 암호화 방식이 동일하게 사용되었습니다.
공격 리스트는 아래와 같습니다.
www.president.go.kr
www.whitehouse.gov
www.mnd.go.kr
www.faa.gov
www.mofat.go.kr
www.dhs.gov
www.assembly.go.kr
www.state.gov
www.usfk.mil
www.voanews.com
blog.naver.com
www.defenselink.mil
mail.naver.com
www.nyse.com
banking.nonghyup.com
www.nasdaq.com
ezbank.shinhan.com
finance.yahoo.com
ebank.keb.co.kr
www.usauctionslive.com
www.hannara.or.kr
www.usbank.com
www.chosun.com
www.washingtonpost.com
www.auction.co.kr
www.ustreas.gov
www.mnd.go.kr
www.dot.gov
www.ncsc.go.kr
www.ftc.gov
mail.daum.net
www.nsa.gov
mail.paran.com
www.usps.gov
www.ibk.co.kr
www.yahoo.com
www.hanabank.com
travel.state.gov
www.wooribank.com
www.site-by-site.com
www.altools.co.kr
www.marketwatch.com
www.ahnlab.com
www.amazon.com
www.egov.go.kr
www.kbstar.com
msiexec(숫자).exe (main dropper)
300kb이상과 300kb이하의 악성코드는 서로 다른 악성코드를 설치하고
자신을 삭제 하여 흔적을 지웁니다..
300kb이상인 exe파일이 설치하는 파일은 메인 모듈로 공격 모듈과 여러 파일을 설치합니다.
따라서 공격하는 메인 모듈(dll)파일만 설치 되어 있다면 40kb이하 파일만 배포하면서
공격 리스트를 쉽게 바꿀 수 있습니다.
(반대로 공격 받을 곳에서 url을 바꾼다면 막을 수 있습니다.)
설치 파일 목록은 아래와 같습니다.
%SYSTEM%폴더
wmiconf.dll (악성, 메인모듈 perfvwr.dll, ntscfg.dll,)
wmcfg.exe (악성, dropper)
정상, Winpcap 모듈(wpcap.dll, packet.dll, wanpacket.dll npf.sys, npptools.dll)
pxdrv.nls (암호화된 데이터 파일)
설치한 wmiconf.dll은 부팅할 때마다 실행되게 하기 위해 호스트서비스에 추가시킵니다.
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\SvcHost
wmiconf
pxdrv.nls 파일은 생성을 시도하지만
213.33.116.41(53), 216.199.83.203(80), 213.23.243.210(443), 190.24.154.148 (443) 81.196.2.239 (443) 200.133.201.135 (443) (외 다수) 에 접속에 성공해야 합니다.
현재는 모두 접속 불가능한 상태이며, 접속하면 파일이 생성됩니다.
메인 드로퍼(300kb이상)의 경우 접속 할 ip와 port가 저장되어 있으며
(213.33.116.41:53, 216.199.83.203:80, 213.23.243.210:443)
위는 봇마스터의 IP로 추정이 됩니다.
접속시 시도하는 패킷의 내용은
!(0x21)와
HTTP/1.1 GET /china/dns? 입니다.
주고 받는 패킷은 XOR(0xCC)로 암호화합니다.
(기존에 수집된 pxdrv.nls파일의 경우 또 다른 암호화로 되어 있으며
마스터로 추정되는 IP가 저장되어 있고 다운 받을 때마다 다른 목록을 가질 수도 있습니다.)
생성한 wmcfg.exe를 실행하고 생성한 호스트서비스를 실행합니다.
또 ssdpapi.dll, Ntmpsvc.dll, Netlgmr.dll, Perfb093.dat, Sysvmd.dll, Regscm.dll, maus.dl 파일이 있는지 체크하여 삭제 합니다. (모두 네트워크 모니터링 관련 파일이며 있으면 모두 삭제)
wmcfg.exe (dropper)
생성되어 설치된 wmcfg.exe는 4개의 리소스를 가지고 있으며, 모두 각각의 파일로 생성됩니다.
%SYSTEM%폴더에
mstimer.dll
(악성코드 다운로더, spam-mailer)
wversion.exe
(두 가지 종류로 예전 버전은 mstimer.dll 서비스를 삭제하고, 최신 버전은 악성코드 하드디스크 파괴)
%SYSTEM%\\config폴더에
SERVICES
(암호화된 데이터 파일, 다운로드 할 주소를 담고 있음, mstimer.dll에서 사용됨)
SERVICES.LOG
(암호화된 데이터 파일, 상동, mstimer.dll에서 사용됨)
uregvs.nls (Data File)
nls파일에는 공격할 시간과 공격할 리스트가 저장되어 있으며, 공격하는 DLL 불러와 사용합니다.
perfvwr.dll, wmiconf.dll, ntscfg.dll(메인 공격 모듈)
실제 악성행위를 하는 DLL파일은 nls파일에서 공격할 시간과 url 불러와 공격합니다.
공격시간은 GetLocalTime 으로 얻은 시간을 SystemTimeToVariantTime 으로 실수(float) 형으로 변환해 저장한 것을 사용하고 공격 기간은 2009-07-08 18:00:00부터 2009-07-09 18:00:00까지와 같은 형식으로 24시간 동안 진행 됩니다.
공격방법은 CCAttack(Cache-Control Attack)으로 타겟에 수많은 좀비PC로 하여금 User-Agent를 전송하여 웹 서버를 마비시킵니다.
또 윈도우 기본 방화벽기능을 사용하지 않게 합니다.
MSTIMER.DLL(Trojan horse)
mstimer.dll은 다운로드 및 다운로드 받은 파일을 실행하며
감염자 PC의 파일을 조사하여 E-mail주소를 추출하여 스팸을 전송합니다.
다운로드 하는 주소는 모두 암호화 되어 있으며 총 8개의 주소가 있습니다.
7월 10일 오전 3시 47분 현재 8개중 3개가 다운로드가 되며 모두 같은 파일입니다.
hxxp://200.6.218.194/flash.gif (O)
hxxp://75.151.32.182/flash.gif (O)
hxxp://202.14.70.116/flash.gif (O)
hxxp://92.63.2.118/flash.gif (X)
hxxp://163.19.209.22/flash.gif (X)
hxxp://201.116.58.131/xampp/img/flash.gif (X)
hxxp://newrozfm.com/img/glyph/flash.gif (X)
hxxp://122.155.5.196/shop/images/flash.gif (X)
다운된 파일은 JPG와 RAR파일의 헤더가 엉켜 있으며 다운로더는 이 필요 없는 부분을 제거하여 실행파일(exe)형태로 저장합니다.
또 인터넷 임시 폴더에서 이메일 주소 수집을 위해 아래의 확장자를 대상으로 @(0x40)와 .(0x2E)이 붙은 문자열을 수집합니다.
(htmb, sht등 일반적인 확장자가 맞지 않지만 앞3문자만 비교함)
수집된 이메일에 스팸메일을 발송합니다.
다운로드 받은 wversion.exe를 실행 시키는 조건은
win.ini에 있는 LastName과 현재시간을 비교하여 wversion.exe를 실행합니다.
Wversion.exe (디스크 파괴)
PhsycalWrite함수를 26번 호출합니다.
PhysicalDrvNum 변수는 함수 내부에서 \\\\.\\PHYSICALDRIVE[번호] 에 사용하는 번호입니다.
512 byte의 버퍼를 생성하고 0x55로 모두 초기화 하고. Memory of the Independence Day 문자열을 복사합니다.
(\\\\.\\vwin32 를 열려고 시도합니다.
파일 열기가 실패할 경우, \\\\.\\PHYSICALDRIVE[번호] 를 열어서 버퍼에 있는 값을 512 byte만큼 복사하여 디스크 드라이브의 MBR을 모두 파괴합니다.
(\\\\.\\PHYSICALDRIVE[번호]는 물리 하드디스크를 의미)
이 프로그램은 프리웨어입니다.
