지난 12월 국내 인터넷 뱅킹 사용자가 타켓인 악성코드(Banki)에서 특정 시스템 날짜가 되면 윈도우 시스템 파일을 삭제하는 기능이 발견되었다.
과거에 발견된 Banki정보는 아래 페이지에서 확인이 가능하다.
http://asec.ahnlab.com/search/banki
이번에 발견된 Banki 변종은 Induc 바이러스에 감염된 악성코드이며, http://210.***.**.32:2323/qq.exe 를 통하여 유포 되는 것으로 확인되었다.
(온라인 뱅킹 트로이목마 Banki(1) 에서 유포과정을 다루었다.)
위 파일이 실행되어 악성코드에 감염될 경우 아래와 같은 경로에 파일이 생성된다.
C:\Windows\system32\muis\tempblogs.\tempblogs..\
'1216', 'Winlogones.exe', 'csrsses.exe'
[그림1] 악성코드에 의하여 생성된 파일
감염 후 아래와 같이 레지스트리에 서비스로 등록되어, 부팅시 실행된다.
[그림2] 서비스 등록
실행된 환경에 따라 다르게 나타날 수 있지만, 악성 프로세스 'winlogones.exe'는 정상 프로세스인 'winlogon.exe' 에 자신을 인젝션하여 프로세스 목록에 'winlogones.exe' 가 보이지 않게 한다. 동시에 또 다른 악성 프로세스인 'csrsses.exe' 도 계산기 프로세스 이름인 'calc.exe' 에 자신을 인젝션하여 실행한다.
[그림3] 정상적인 프로세스만 동작하는 것으로 위장
또한, 악성코드는 'winlogones.exe' 가 존재하지 않을 경우, www.mi****.com/temp/q/m.mp3 로 접속하여 다시 다운로드 받게 되어 있다.
이후 프로세스 목록을 확인하여 'V3LSvc.exe', 'AYRTSrv.aye', 'Nsavsvc.npc' 가 없을 경우 아래의 파일을 추가로 다운받는다.
|
다운로드 주소 |
생성된 파일명 |
|
www.zhu*****.com/temp/q/1.mp3 |
ChilkatCert.dll |
|
www.zhu*****.com/temp/q/q.mp3 |
qserver.exe |
|
www.zhu*****.com/temp/q/2.mp3 |
iexplores.exe |
|
www.zhu*****.com/temp/q/3930.mp3 |
termsrv.dll |
|
www.zhu*****.com:2323/count.txt |
count.txt |
[표1] 다운로드 파일
다운로드 받은 파일은 아래의 경로에 생성된다.
C:\Windows\system32\muis\tempblogs.\tempblogs..\
이번 변종에서 발견된 가장 큰 특징은 특정 날짜(2013년 1월 16일)가 되면 시스템 파괴 기능이 동작하도록 제작 되었다.
해당 날짜가 되면 아래와 같은 배치 파일을 c:\ 에 생성하며 실행된다.
[그림4] 시스템 파괴 기능이 포함된 배치 파일
배치 파일에 의하여 ALG(Application Layer Gate) 서비스를 중지하고
hal.dll 파일과 System32 내의 파일을 삭제하게 된다.
배치 파일이 실행되면 아래와 같은 메시지가 발생한다.
[그림5] 시스템 파괴 기능 동작
만약, 시스템을 재부팅하게 되면, 아래와 같은 메시지가 나타나며, 정상적인 부팅이 불가능하다.
[그림6] 시스템 파괴 후 리부팅시 화면
해당 악성코드는 V3 제품을 통하여 진단 및 치료가 가능했기 때문에, 실제 피해 보고는 접하기 어려웠다.
<V3 제품군의 진단명>
Trojan/Win32.Banki
'악성코드 정보' 카테고리의 다른 글
| 연말정산 시즌, 세금 관련 스팸메일 주의! (0) | 2013.02.01 |
|---|---|
| 국내 인터넷 뱅킹 정보 탈취 악성코드 for Windows, Android (0) | 2013.02.01 |
| 온라인 뱅킹 트로이목마 Banki(1) (0) | 2013.02.01 |
| 새로운 V3 오픈 베타 서비스 개시 (0) | 2013.01.29 |
| 한글 파일 제로 데이(Zero-Day) 취약점 악용 공격 (0) | 2013.01.29 |
댓글