본문 바로가기
악성코드 정보

온라인 뱅킹 트로이목마 Banki(2)

by DH, L@@ 2013. 2. 1.

 지난 12월 국내 인터넷 뱅킹 사용자가 타켓인 악성코드(Banki)에서 특정 시스템 날짜가 되면 윈도우 시스템 파일을 삭제하는 기능이 발견되었다.

과거에 발견된 Banki정보는 아래 페이지에서 확인이 가능하다.

 

http://asec.ahnlab.com/search/banki

 

이번에 발견된 Banki 변종은 Induc 바이러스에 감염된 악성코드이며, http://210.***.**.32:2323/qq.exe 를 통하여 유포 되는 것으로 확인되었다.

(온라인 뱅킹 트로이목마 Banki(1) 에서 유포과정을 다루었다.)

 

위 파일이 실행되어 악성코드에 감염될 경우 아래와 같은 경로에 파일이 생성된다.

C:\Windows\system32\muis\tempblogs.\tempblogs..\

'1216', 'Winlogones.exe', 'csrsses.exe'

 

[그림1] 악성코드에 의하여 생성된 파일

 

 

감염 후 아래와 같이 레지스트리에 서비스로 등록되어, 부팅시 실행된다.

 

 

[그림2] 서비스 등록

실행된 환경에 따라 다르게 나타날 수 있지만, 악성 프로세스 'winlogones.exe'는 정상 프로세스인 'winlogon.exe' 에 자신을 인젝션하여 프로세스 목록에 'winlogones.exe' 가 보이지 않게 한다. 동시에 또 다른 악성 프로세스인 'csrsses.exe' 도 계산기 프로세스 이름인 'calc.exe' 에 자신을 인젝션하여 실행한다.

 

[그림3] 정상적인 프로세스만 동작하는 것으로 위장

 

또한, 악성코드는 'winlogones.exe' 가 존재하지 않을 경우, www.mi****.com/temp/q/m.mp3 로 접속하여 다시 다운로드 받게 되어 있다.

이후 프로세스 목록을 확인하여 'V3LSvc.exe', 'AYRTSrv.aye', 'Nsavsvc.npc' 가 없을 경우 아래의 파일을 추가로 다운받는다.

 

다운로드 주소

생성된 파일명

www.zhu*****.com/temp/q/1.mp3

ChilkatCert.dll

www.zhu*****.com/temp/q/q.mp3

qserver.exe

www.zhu*****.com/temp/q/2.mp3

iexplores.exe

www.zhu*****.com/temp/q/3930.mp3

termsrv.dll

www.zhu*****.com:2323/count.txt

count.txt

[표1] 다운로드 파일

 

다운로드 받은 파일은 아래의 경로에 생성된다.

C:\Windows\system32\muis\tempblogs.\tempblogs..\

 

이번 변종에서 발견된 가장 큰 특징은 특정 날짜(2013년 1월 16일)가 되면 시스템 파괴 기능이 동작하도록 제작 되었다.

 

해당 날짜가 되면 아래와 같은 배치 파일을 c:\ 에 생성하며 실행된다.

 

[그림4] 시스템 파괴 기능이 포함된 배치 파일

 

배치 파일에 의하여 ALG(Application Layer Gate) 서비스를 중지하고

hal.dll 파일과 System32 내의 파일을 삭제하게 된다.

 

배치 파일이 실행되면 아래와 같은 메시지가 발생한다.

 

[그림5] 시스템 파괴 기능 동작

 

 

만약, 시스템을 재부팅하게 되면, 아래와 같은 메시지가 나타나며, 정상적인 부팅이 불가능하다.

 

[그림6] 시스템 파괴 후 리부팅시 화면

 

 

 

해당 악성코드는 V3 제품을 통하여 진단 및 치료가 가능했기 때문에, 실제 피해 보고는 접하기 어려웠다.

 

<V3 제품군의 진단명>

Trojan/Win32.Banki

댓글