의심스러운 설치파일 분석보고서

malwares.com 코드분석팀 분석 자료


<부제 :  내가 많이 의심스러울걸!  >


1. 개요


드랍퍼로 보이는 파일을 수집했다. IDA로 열어보니 평소에 자주보던 설치패키지가 아니다. 이 설치 파일은 어떠한 동작을 할까. 분석을 통해서 알아보자.

2. 분석 정보 



< Figure0. 임시 폴더 생성 >


IDA로 분석대상을 열어보면 임시폴더에 caoyuanwl 폴더를 생성한다.



< Figure1. 파일 생성 >


현재 바이너리에서 특정한 영역을 복호화하여 [Figure 0] 에서 생성한 임시폴더에 파일을 생성한다.

 


< Figure2. 생성된 파일 >


임시폴더에 9개의 파일이 생겨났다. 각각의 파일은 PE파일로 동작가능하나, exe의 확장자를 가지고 있지않아 다른 파일에서 호출을 통해서만 사용가능 하다.



< Figure3. DLL 함수 호출 >


생성한 파일에서 krnln.fnr 파일을 올린 뒤, GetNewSock함수를 인자와 함께 호출한다.  



< Figure4. 반환 값 >


위 그림에서 전달된 인자는 “1000” 이였으므로 결과값으로는 sub_1002D76A를 반환함을 알 수 있다.



< Figure5. sub_1002D76A >


마지막으로 반환된 함수를 0x409000를 인자로 실행하는데 인자만큼 메모리를 할당한 뒤에 메모리를 복호화해 사용한다. 이 과정이 모두 끝나면 새로운 파일들이 설치된다. 최초의 실행 프로그램은 설치파일이고 임시폴더에 생기던 파일들은 런타임패키지로 추측된다.



< Figure6. 실행 프로그램 >


실행프로그램은 중국에서 서비스중인 프로그램이였고 사용되는 dywt.com.cn 도메인사이트는 현재는 접속이 가능하지 않고, 검색어 자동완성이virus,spyware 등으로 이루어지고 있다.



3. 파일 정보


해쉬

754387769667AADF0AA89EDD89DBF0FBD4BD3745FE5B65AC7E142CF0F3E65D2D

파일크기

4,350,314 Bytes

유입파일명

update.exe

태그

exe_32bit, peexe, backdoor, symmi, trojan

주요동작

외부 서버 접속, 파일 다운로드 및 실행

초기감염방법

다운로드 추정

재실행방법

Unknown

네트워크연결

dywt.com.cn


4. 진단



< Figure7. MAX-Antivirus >


이 글을 공유하기

댓글(0)