version.dll 과 safemon.dll 을 이용하여 개인정보를 가로채는 악성파일 주의!!

해당 파일들은 주말을 이용한 국내 홈페이지 변조(어딘지는 말하지 않겠음, 게임 방송하는 사이트 라는것만...) 를 통해 설치되었으며,
윈도우 정상파일인 version.dll을 변조하여 악성행위를 하게 된다.

정상파일과 변조 된 악성파일의 차이점은 아래의 링크에서 확인하면 된다.

• [정상파일변조] 변조된 사이트를 이용한 정상파일(version.dll)을 수정하는 악성파일 주의!!

그럼 실제 사용자PC에 설치되는 악성파일의 행위들을 살펴보자.

현재 상세 분석 중이니~ 내용이 좀 부실 할 수 있음 ㅎㅎㅎㅎ

* 생성파일
C:\WINDOWS\system32\version.dll (변조 된 정상파일-악성)
C:\WINDOWS\system32\version32.dll (백업 된 정상파일)
C:\WINDOWS\system32\201211702022.dll (백업 된 정상파일)
C:\WINDOWS\system32\safemon.dll (BHO에 등록 되는 악성파일, 사용자 ID/PW를 가로채는 스파이웨어)
C:\Documents and Settings\[사용자계정]\Local Settings\Temp\201211702022.dll (악성 version.dll의 백업파일)

* 파일이동
C:\WINDOWS\system32\drivers에 존재하는 보안제품의 드라이버 파일을 이동시킨다.
이동 시키는 폴더는  C:\Documents and Settings\[사용자계정]\Local Settings\Temp에 SrMac(숫자).dat 파일로 
이동시킨다.

SrMac0.dat, SrMac1.dat, SrMac2.dat, SrMac3.dat 이런 형식으로 이동되며, 대상 파일은 아래와 같다.
AhnFlt2k.sys

AhnFltNt.sys

AhnRec2k.sys

AhnRecNt.sys

AhnRghNt.sys

ahnsze.sys

v3core.sys

v3engine.sys

EstRtw.sys

(왜 안랩이랑 알약만 괴롭히냐 ㅡ.ㅡ; 짱개놈들!!)

* 레지스트리 삭제
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 에 존재하는 레지스트리를 삭제한다.
"AhnLab V3Lite Tray Process"

"ALYac"

 
* 레지스트리 생성
HKEY_CLASSES_ROOT\CLSID\{D36F9CA2-788F-42DE-A627-9E6EF40D8475}

HKEY_CLASSES_ROOT\IEHlprObj.IEHlprObj

HKEY_CLASSES_ROOT\IEHlprObj.IEHlprObj.1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D36F9CA2-788F-42DE-A627-9E6EF40D8475}

HKEY_CLASSES_ROOT\CLSID\HOOK_ID

"name"="드롭퍼 파일명"

HKEY_CLASSES_ROOT\CLSID\HOOK_DLL

"name"="201211~1.DLL"

- 악의적인 행위(상세 분석 중...)

* C:\WINDOWS\system32\safemon.dll 파일은 BHO(Browser Helper Objects)에 등록되어, 
브라우저 동작 시 아래의 사이트를 감시하여 계정 및 패스워드를 가로챈다.

www.happymoney.co.kr

www.teencash.co.kr

www.cultureland.co.kr

www.booknlife.com

dragonnest.nexon.com

elsword.nexon.com

clubaudition.ndolfin.com

www.netmarble.net

itemmania.com

www.itembay.com

www.pmang.com

aion.plaync.jp

plaync.co.kr

maplestory.nexon.com

hangame.com

fifaonline.pmang.com

df.nexon.com

baram.nexon.com

id.hangame.com

tera.hangame.com

pmang.com

www.capogames.net

df.nexon.com

id.hangame.com

samwinfo.capogames.net

www.pmang.com/game_top.nwz?ssn=24

www.pmang.com/game_top.nwz?ssn=14

www.pmang.com/game_top.nwz?ssn=43

www.pmang.com/game_top.nwz?ssn=19

www.pmang.com/game_top.nwz?ssn=1

www.pmang.com/game_top.nwz?ssn=26

www.pmang.com/game_top.nwz?ssn=25

www.pmang.com/game_top.nwz?ssn=2

www.pmang.com/game_top.nwz?ssn=40

www.pmang.com/game_top.nwz?ssn=3

www.pmang.com/game_top.nwz?ssn=17

www.pmang.com/game_top.nwz?ssn=23

www.pmang.com/game_top.nwz?ssn=18

poker.hangame.com/poker7.nhn

poker.hangame.com/baduki.nhn

poker.hangame.com/highlow2.nhn

poker.hangame.com/hoola3.nhn

poker.hangame.com/duelpoker.nhn

poker.hangame.com/laspoker.nhn

* C:\WINDOWS\system32\version.dll 파일은 보안 프로그램의 프로세스를 종료키시고, 
특정 프로세스를 감시하여 사용자 계정 및 패스워드를 가로챈다.

<종료 대상 프로세스>
avgupd.exe

avgwdsvc.exe

avgfrw.exe

avgrsx.exe

avgnsx.exe

avgemc.exe

avgam.exe

bdreinit.exe

bdagent.exe

seccenter.exe

vsserv.exe

updatesrv.exe

Navw32.exe

ccSvcHst.exe

ekrn.exe

egui.exe

msseces.exe

UdaterUI.exe

Mctray.exe

shstat.exe

AvastUI.exe

ashUpd.exe

AvastSvc.exe

avwsc.exe

avupgsvc.exe

avscan.exe

avguard.exe

avcenter.exe

avgnt.exe

AYAgent.aye

AYUpdSrv.aye

AYRTSrv.aye

avp.exe

NaverAgent.exe

SgRun.exe

Sgui.exe

SgSvc.exe

V3LTray.exe

V3LRun.exe

V3LSvc.exe

<감시 대상 프로세스>

maplestory.exe

x2.exe

dnf.exe

pcotp.exe

baramt.exe

winbaram.exe

laspoker.exe

duelpoker.exe

hoola3.exe

highlow2.exe

poker7.exe

baduki.exe 

lin.bin

자세한 분석은 진행 중^^;