본문 바로가기
IT 보안소식

사용자 ID/패스워드를 일본으로 유출시키는 악성코드 변종 발생(미국으로 전송)

by 잡다한 처리 2010. 4. 23.
반응형



어제 일본으로 유출시키는 악성코드 변종이 발견되었다고 포스팅 하였었는데, 전체적인 구도가 잡혀서 다시 포스팅함당!!
이번에는 미국과 일본으로 동시에 고고싱 시킨다.



현재까지 수집 된 파일이다.
보는대로 모두 Daum 과 연결되어 있을 듯 한 파일명을 하고 있다. 벤더도 마찬가지며,
아마도 나도 그냥 Daum File이라고 생각하고 넘어갈 수 도 있었을 듯 하다 ㅡㅡ;;



이번 변종에 대한 내용을 간략하게 분석을 하자면 다음과 같다.
1. V.DWN.Infostealer.65904(DaumCafeOn.dll, DaumCafeOn.inf)
BHO에 등록되어 동작하며, 인터넷 익스플로러 실행 시 특정 서버로 연결되어 파일을 다운로드 받는다.
http://218.61.**.***:801/update/proc.asp <- 이넘이 주범이다. 하지만 수시로 관리자가 서버를 닫는 듯 하다.

2. V.DWN.Agent.ruruben(MCT.exe)
스팸 메일러로써 특정 서버에 접속하여 지정 된 메일에 메일발송(비아그라 및 시아리스 성인광고)

3. V.DRP.Infostealer.123256(hp.exe)
V.DWN.Infostealer.74104 파일을 드롭시킨다.

3-1. V.DWN.Infostealer.74104(DaumKeysec.dll)
BHO에 등록되어 동작하며, 인터넷 익스플로러 실행 시 특정 서버로 연결되어 파일을 다운로드 받는다.
http://118.103.**.***:88/u/(a~z).n(서버는 존재하지만 파일이 존재하지 않음. 아직 끝나지 않은 듯 한 느낌??)

4. V.DRP.Agent.120256(32.exe)
K.KLG.DaumAX.71104 파일을 드롭시킨다.

4-1. K.KLG.DaumAX.71104(DaumAX.dll)
BHO에 등록되어 동작하며, 사용자의 사이트 로그인 아이디/비번을 가로채어 C:\KB977165-v3.log 파일에 암호화 하여 저장한다.
인터넷 익스플로러 실행 시 C:\KB977165-v3.log 파일에 저장된 데이터를 174.139.**.***:41000으로 전송시킨 후 삭제시킨다.

5. K.KLG.DaumLogin.71096(DaumLogin.dll)
BHO에 등록되어 동작하며, 익스플로러 시작 시 특정서버(118.103.**.***:41000)로 MAC Adress를 전송한다.
사용자의 사이트 로그인 아이디/비번을 가로채어 C:\WINDOWS\KB968871-v2.log 파일에 암호화 하여 저장한다.
인터넷 익스플로러 실행 시 C:\WINDOWS\KB968871-v2.log 파일에 저장된 데이터를 
118.103.**.***:41000
으로 전송시킨 후 삭제시킨다.

댓글