의심스러운 설치파일 분석보고서

malwares.com 코드분석팀 분석 자료

<부제 :  내가 많이 의심스러울걸!  >

1. 개요

드랍퍼로 보이는 파일을 수집했다. IDA로 열어보니 평소에 자주보던 설치패키지가 아니다. 이 설치 파일은 어떠한 동작을 할까. 분석을 통해서 알아보자.

2. 분석 정보 

< Figure0. 임시 폴더 생성 >

IDA로 분석대상을 열어보면 임시폴더에 caoyuanwl 폴더를 생성한다.

< Figure1. 파일 생성 >

현재 바이너리에서 특정한 영역을 복호화하여 [Figure 0] 에서 생성한 임시폴더에 파일을 생성한다.

 

< Figure2. 생성된 파일 >

임시폴더에 9개의 파일이 생겨났다. 각각의 파일은 PE파일로 동작가능하나, exe의 확장자를 가지고 있지않아 다른 파일에서 호출을 통해서만 사용가능 하다.

< Figure3. DLL 함수 호출 >

생성한 파일에서 krnln.fnr 파일을 올린 뒤, GetNewSock함수를 인자와 함께 호출한다.  

< Figure4. 반환 값 >

위 그림에서 전달된 인자는 “1000” 이였으므로 결과값으로는 sub_1002D76A를 반환함을 알 수 있다.

< Figure5. sub_1002D76A >

마지막으로 반환된 함수를 0x409000를 인자로 실행하는데 인자만큼 메모리를 할당한 뒤에 메모리를 복호화해 사용한다. 이 과정이 모두 끝나면 새로운 파일들이 설치된다. 최초의 실행 프로그램은 설치파일이고 임시폴더에 생기던 파일들은 런타임패키지로 추측된다.

< Figure6. 실행 프로그램 >

실행프로그램은 중국에서 서비스중인 프로그램이였고 사용되는 dywt.com.cn 도메인사이트는 현재는 접속이 가능하지 않고, 검색어 자동완성이virus,spyware 등으로 이루어지고 있다.

3. 파일 정보

해쉬	754387769667AADF0AA89EDD89DBF0FBD4BD3745FE5B65AC7E142CF0F3E65D2D
파일크기	4,350,314 Bytes
유입파일명	update.exe
태그	exe_32bit, peexe, backdoor, symmi, trojan
주요동작	외부 서버 접속, 파일 다운로드 및 실행
초기감염방법	다운로드 추정
재실행방법	Unknown
네트워크연결	dywt.com.cn

4. 진단

< Figure7. MAX-Antivirus >