[상세보고서] W32.Fareit

malwares.com 악성코드 분석팀 분석 자료


< 부제 : 다 내꺼! >


1. 개요


다이어(W32.Dyre) 악성코드를 기억하는가? 

다이어 악성코드와 관련된 것으로 언급된 다수의 악성코드군이 있었다. W32.Fareit도 그 중 하나였다. 

다이어 악성코드가 금융정보만을 대상으로 했다면 W32.Fareit은 이메일, FTP 계정정보부터 비트코인에 이르기까지

많은 사용자가 아이디, 패스워드를 입력할 만한 모든 프로그램을 대상으로 사용자 정보를 탈취한다. 

- 이메일 : outlook, Thunderbird 등 6종

- 웹 브라우저 : Internet Explorer, Chrome 등 6종

- FTP 프로그램 : FileZilla, ALFTP 등 45종

- 비트코인 : Litecoin, Terracoin 등 35종


또한 W32.Fareit은 마치 마이크로소프트의 닷넷 프로그램으로 위장해 사용자는 의심도 하지 못한다. 

모든 계정정보를 샅샅이 뒤져 가져가는 W32.Fareit 악성코드 우리도 샅샅이 확인해 보자!



2. 악성코드 파일 정보


파일명 : PO 49735.exe

파일크기 : 273,408 Bytes

특징 : .NET 2.0, 난독화, Dropper

SHA-256 : FC42A0C4AB50DD29CCA58D9B2C26F5825567BA7373BD0445C7937AD31A1A4D38

malwares.com 정보 : https://goo.gl/kL0u5i


파일명 : NETFramework.exe

파일크기 : 8,704 Bytes

특징 : cmd.exe 및 reg.exe 반복실행을 통한 레지스트리 등록

SHA-256 : FE4D0D0B798238C40A1F3E0C974D752172C8BA88AD0E19F9523EE1EA854063CC

malwares.com 정보 : https://goo.gl/Wd25jq


파일명 : shotit.dll

파일크기 : 65,536 Bytes

특징 : .NET 2.0, 인젝션

SHA-256 : 6758F6B3642E2DBD207947ADF6D886957354BB91C58BC5E67D4A2B3B5DE25167

malwares.com 정보 : https://goo.gl/eVzGE5


파일명 : vbc.exe

파일크기 : 110,592 Bytes

특징 : 인젝션, 계정 정보 탈취, 외부 서버 접속 시도

SHA-256 : F252A7390C767F358B1312A9FF09667D6AC05564A0600413EBBA1B3831A7B9E6

malwares.com 정보 : https://goo.gl/fmYYKr







































▶ 보고서 원본 PDF 다운로드: https://goo.gl/YXIaWK


* 본 보고서 및 관련 컨텐츠는 저작권의 보호를 받습니다. 재배포, 영리목적의 활용 관련 법률에 의거 처벌 받을 수 있습니다.

이 글을 공유하기

댓글(0)