아놔...요즘 짱개들 UPX 같은건 이제 안쓰는구나 ㅠ.ㅠ
Virtualization이 들어가있는 Protector 를 사용해서 Unpack도 힘들다.
짱개님들 부디....분석가를 위해 UPX Packing을 해주십쇼 ㅋㅋㅋ Plz..!!
이번 포스팅에 담을 내용은 주말에 변조 된 사이트에서 설치되는 드롭퍼에서 나오는 kill.sys 란 파일이다.
(이런 형식이 예전부터 있었을지도 모른다. 다만 내가 몰랐을 뿐 ㅠ.ㅠ)
몰랐던 이유는 해당 kill.sys 파일은 보안프로그램의 프로세스가 있지 않으면 설치되지 않기 때문이다.
그럼 어떤 보안 프로그램 프로세스가 있어야하는가?
현재까지 확인 된 사항은 AYAgent.aye, V3LSvc.exe 이다.
다들 아시겠지만, 알약과 V3 의 프로세스이다.
해당 프로세스가 PC에 동작해야지만, 악성파일이 프로세스를 죽이기 위해 드롭퍼가 kill.sys를 설치한다.
드롭퍼 분석이 아직 안되어서 정확하게는 알 수 없지만, 추측 해 보자면~!!
드롭퍼 -> 프로세스 목록 검사 -> 보안프로그램 프로세스 확인 후
1-1) 보안 프로그램 존재 시 : kill.sys 파일 생성, agony 서비스 레지스트리 생성, 보안프로세스 종료, ws2help.dll 변조
1-2) 보안 프로그램 없을 시 : ws2help.dll 변조
- 파일 정보
C:\WINDOWS\system32\ws2help.dll : Spyware.OnlineGames.wsxp
C:\WINDOWS\system32\ws2help.dll.2K2.tmp : 윈도우 정상 파일
C:\WINDOWS\system32\ws2helpXP.dll : 윈도우 정상 파일
C:\WINDOWS\system32\drivers\kill.sys : Trojan.Rootkit.Ressdt
- 레지스트리 정보
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\agony : Trojan.Rootkit.winint
또한 드롭 된 kill.sys의 행위는 크게 2가지이다.
1. 보안 프로그램 프로세스 종료
2. MajorFunction Hook
커널함수에 대해서 공부를 더 하고~ 나머지를 적어야겠다^^;
실력 부족 ㅠㅠ
'IT 보안소식' 카테고리의 다른 글
| 알약(ALYac), 사옥 이전 관련 알약 고객센터 업무 시간 변경 및 휴무 안내 (5) | 2011.11.24 |
|---|---|
| 알약(ALYac), 알약 2.5 기업용 버전 "vb100" 국제인증 통과!!(2011년 10월) (0) | 2011.11.21 |
| 악성파일 다운로드의 새로운 URL 암호화 방식 (0) | 2011.11.08 |
| [정상파일변조] spoo1sv.exe을 이용한 정상파일(ws2help.dll)을 수정하는 악성파일 주의!! (4) | 2011.11.08 |
| 한글 홈페이지에서 판매되는 "DDoS 공격 프로그램 & NB Exploiter" 주의!! (10) | 2011.11.07 |
댓글