Registry Binary를 이용한 Daonol 변종

현재도 진행 중인 Daonol의 변종이 다른 방식으로 동작하는것이 확인되었다.

이전 버전에서는 파일 자체에 악성코드를 모두 가지고 있었지만, 이번에 발견 된 Daonol 변종은 다르게 동작한다.

간략하게 Daonol 변종에 대해서 알아보자.

- 악성코드 정보

C:\Documents and Settings\User Name\Local Settings\Application Data\Windows Server 폴더에 

랜덤.dll(3,072 바이트) 파일을 생성시킨다.

생성 된 dll 파일은 지정 된 레지스트리에 있는 악성코드를 로드 시키는 로더의 역활을 하며, 

지정 된 레지스트리에 생성 해 둔 악성코드를 이용한다.

로드되는 레지스트리는 HKEY_CURRENT_USER\Software\랜덤에 Binary로 저장된다.

차후 Binary로 저장되어 있는 코드는 악성행위를 하게 된다.

레지스트리는 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls 에 

"AppSecDll" = "C:\Documents and Settings\XP\Local Settings\Application Data\Windows Server\vbenet.dll"

위치에 저장된다.

이전에도 사용 되던 방식이지만, Daonol에 적용된건 처음이지 않나 싶다.

아직 국내제품들에서는 탐지가 되지 않고 있다.

국내제품에 포함 된 비트디펜더만이 탐지하고 있다.

- VirScan.org 결과

Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result

a-squared      5.0.0.11        20100607050114    2010-06-07  0.51   Trojan.Win32.Ftar.a!A2

안랩V3         2010.06.07.00   2010.06.07        2010-06-07  1.15   -

AntiVir        8.2.2.6         7.10.7.252        2010-06-06  0.46   TR/Bamital.BB

Antiy          2.0.18          20100602.4613711  2010-06-02  0.02   -

Arcavir        2009            201006060939      2010-06-06  0.01   -

Authentium     5.1.1           201006061311      2010-06-06  4.13   -

아바스트       4.7.4           100606-1          2010-06-06  0.00   Win32:Tiny-AFZ [Trj]

AVG            8.5.793         271.1.1/2922      2010-06-07  2.71   Generic17.CLGG

비트디펜더     7.90123.6157688 7.32073           2010-06-07  8.54   Trojan.Generic.4048030

클램AV         0.96.1          11148             2010-06-07  0.04   Trojan.Ftar

코모도         3.13.579        5012              2010-06-07  5.12   -

CP Secure      1.3.0.5         2010.06.05        2010-06-05  0.03   -

닥터 웹        5.0.2.3300      2010.06.07        2010-06-07  18.29  Trojan.Hottrend

F-Prot         4.4.4.56        20100606          2010-06-06  1.52   -

에프시큐어     7.02.73807      2010.06.07.01     2010-06-07  0.12   Trojan.Win32.Ftar.a [AVP]

포티넷         4.1.133         12.25             2010-06-06  1.78   W32/Ftar.A!tr

GData          21.308/21.101   20100607          2010-06-07  15.93  Trojan.Win32.Ftar.a [Engine:A]

바이로봇       20100605        2010.06.05        2010-06-05  1.72   -

이카루스       T3.1.01.84      2010.06.07.76014  2010-06-07  15.82  -

지앙민         13.0.900        2010.06.06        2010-06-06  1.63   Trojan/Ftar.h

카스퍼스키     5.5.10          2010.06.06        2010-06-06  0.21   Trojan.Win32.Ftar.a

킹소프트       2009.2.5.15     2010.6.6.12       2010-06-06  8.56   -

맥아피         5400.1158       6005              2010-06-06  23.37  ZapChast.gen.b

Microsoft      1.5802          2010.06.07        2010-06-07  23.35  Trojan:Win32/Bamital.E

노만           6.04.12         6.04.00           2010-06-06  6.01   -

판다           9.05.01         2010.06.06        2010-06-06  40.09  -

피시실린       9.120-1004      7.222.11          2010-06-06  0.03   -

퀵힐           10.00           2010.06.05        2010-06-05  40.10  -

라이징         20.0            22.50.06.04       2010-06-06  40.09  -

소포스         3.07.1          4.54              2010-06-07  3.39   Troj/BamDll-Fam

Sunbelt        3.9.2424.2      6414              2010-06-06  40.09  -

시만텍         1.3.0.24        20100606.003      2010-06-06  0.05   -

엔프로텍트     20100606.01     8591474           2010-06-06  40.09  -

더해커         6.5.2.0         v00292            2010-06-03  40.09  -

VBA32          3.12.12.5       20100604.1003     2010-06-04  2.92   Trojan.Win32.Ftar.a

VirusBuster    4.5.11.10       10.126.68/2028142 2010-06-06  2.47   Trojan.Ftar.E