GSC Incident Report-바이킹 바이러스 분석

Size: px

Start display at page:

Download "GSC Incident Report-바이킹 바이러스 분석"

우연 장
5 years ago
Views:

1 GSC Incident Report- 바이킹바이러스분석 1. 작성일시 : :17(GMT +09:00) 2. 작성자 : 안창용 / 바이러스분석팀 3. 바이킹바이러스에대해서바이킹바이러스는 2005 년 2 월경최초발견된후잠시주춤하다가 2005 년 5 월부터국내에서웹해킹을통한악성코드유포사례가이슈화되면서 Internet Explorer 의취약성을공격하는 Exploit 과함께유포되는방식으로변경되었고지금까지다수의변종이발견되었다. 바이킹바이러스는다양한루트를통해자신을확산시킬수있는기능을가지고있어완벽한해결이어렵기때문에이번 Incident Report 를통해서어떻게하면바이킹바이러스에의한감염피해를최소한으로줄이고안전한컴퓨팅환경을만들수있는지알아본다. 4. 왜, 바이킹바이러스라명명되었나? 바이킹바이러스는특정백신의서비스를멈추려고하는루틴과.exe 확장자를가진파일을감염시키는 virus 기능을갖고있는데이두가지의특징이합쳐져바이킹 (Viking) 으로명명된것으로추정된다. 0x407AC1: 6A00 PUSH 0x0 Virus + Kingsoft = Viking 0x407AC3: 68C47B4000 PUSH 0x407BC4 ; DATA:net stop "Kingsoft AntiVirus Service" 0x407AC8: E8ABC9FFFF CALL 0x <--- WinExec 5. 바이킹바이러스, 어떻게확산되나? 바이킹바이러스의주확산경로는아래와같다. Int erne t Explorer 의취약성과함께 파일감염 (*.exe 확장자를가진파일 ) 관리목적의공유폴더 ( I PC$, Admin$, C$ 등) 또는공유폴더 5-1. Internet Explorer 의취약성과함께 웹해킹과함께사용되는 Internet Explorer 의주요취약점 * MS : * MS : * MS : * MS : * MS : 웹해킹을통한악성코드유포사례가이슈화되기시작했던 2005 년 5 월부터주로 MS 와 MS 에기술된취약점을사용하였고, MS 취약성과함께악성코드유포사례가발견되면서그당시해당취약점을사용한사례가증가할것으로예상했지만그렇지않았으며, 최근들어 MS 에기술된취약점을사용한유포사례가주를이루고있다. exploit 들은 AV 제품의탐지를회피하기위해스트링 (string) 단위로코드를분할하거나코드를다중암호화된형태로유포되고있으며쉽게변형이가능하기때문에 AV 제품에서해당 exploit 을탐지하는데한계가있다. 스트링 (string) 단위로분할된경우 : str1="micro", str2="soft.x", str3="mlh", str4="ttp" str = str1 + str2 + str3 + str4,

암호화된경우 HtmlStrings=["=ujumf>=0ujumf>=ifbe>=0ifbe>=cpez>=tdsjqu!mbohvbhf>#W", "CTdsjqu#>po!fssps!sftvnf!ofyu 해킹된웹사이트를통해서유포되는악성코드의대부분은아래와같은형식을사용한다. [ 그림 1. 바이킹바이러스유포경로 ] 5-2. 파일감염바이킹바이러스는 *.

2 암호화된경우 HtmlStrings=["=ujumf>=0ujumf>=ifbe>=0ifbe>=cpez>=tdsjqu!mbohvbhf>#W", "CTdsjqu#>po!fssps!sftvnf!ofyu 해킹된웹사이트를통해서유포되는악성코드의대부분은아래와같은형식을사용한다. [ 그림 1. 바이킹바이러스유포경로 ] 5-2. 파일감염바이킹바이러스는 *.exe 파일을가진파일에자신의코드를삽입 ( 감염, Infection) 하여확산을시도하며해당작업을수행하기위해서는다음과같은조건을만족해야한다. 바이킹바이러스가 *.exe 파일을감염시킬조건 파일크기검사바이킹바이러스는수십개의변종이존재하므로각각의변종에서파일크기검사를하기위한조건이다르지만공통적으로 FindFirstFileA(), FindNextFileA(), GetFileSize() 를사용하여.exe 파일을검색하고파일크기를비교한후크거나파일을감염시키지않는다. 0x40992E: 56 PUSH ESI 0x40992F: 8D95B4FEFFFF LEA EDX,DWORD PTR [EBP-0x14C] 0x409935: B8049F4000 MOV EAX,0x409F04 ; DATA:*.exe 0x40993A: E811AEFFFF CALL 0x 중간생략---- 0x40994E: E8299AFFFF CALL 0x40337C 0x409953: 8B85B8FEFFFF MOV EAX,DWORD PTR [EBP-0x148] 0x409959: E8D29BFFFF CALL 0x x40995E: 50 PUSH EAX <--- lpfilename 0x40995F: E8ACA9FFFF CALL 0x <--- FindFirstFileA 0x409964: 8BF8 MOV EDI,EAX 0x409966: 83FFFF CMP EDI,0xFF 0x409969: 0F JE 0x4099F1 ; (*+0x88) [ 표 1. exe 파일을찾기위한루틴 ] 현재폴더에서 exe 파일을찾았다면 sub_ 를호출하여해당파일의크기를자신의조건과비교하기위한작업을수행하여조건과일치하면해당파일에자신의코드를삽입하고불일치하면감염시키지않는다.

3 vir.viking.j.un Section.Upack (0x ) 0x409556: 6A00 PUSH 0x0 0x409558: 53 PUSH EBX 0x409559: E802AEFFFF CALL 0x x40955E: 8BF0 MOV ESI,EAX 0x409560: 81FE0000A000 CMP ESI,0xA00000 <--- FileSize 비교 0x409566: 0F JAE 0x4096C4 <--- CloseHandle () [ 표 2. 파일크기비교 ] 특정문자열을사용하는일부폴더에저장된 *.exe 는제외지금까지나온바이킹바이러스특징중에하나가특정문자열을사용하는폴더에존재하는 exe 파일은감염시키지않는다는것인데이는 Windows OS 의중요폴더를감염시킬경우제작자가의도하는목적과반대되는현상이일어날수있는것을방지하기위한것이다.( 부팅불가, 속도저하, 특정파일실행불가등 ) Disassembly of 0x00409A9B 0x409A95: 8B8594FEFFFF MOV EAX,DWORD PTR [EBP-0x16C] 0x409A9B: BA549F4000 MOV EDX,0x409F54 ; DATA:system 0x409AA0: E80FACFFFF CALL 0x4046B4 <--- CompareStringA () 0x409AA5: 85C0 TEST EAX,EAX 0x409AA7: 0F840E JZ 0x409EBB ;(*+0x414) 0x409AAD: 8D8590FEFFFF LEA EAX,DWORD PTR [EBP-0x170] 0x409AB3: 8D562C LEA EDX,DWORD PTR [ESI+0x2C] 0x409AB6: B MOV ECX,0x104 0x409ABB: E85898FFFF CALL 0x [ 표 3. 특정조건검사 ] 위코드는바이킹바이러스가시스템폴더인지를검사하는루틴이며만약조건이일치하지않으면 0x409AA7를호출하여해당폴더에서 exe 파일을찾기위한작업을수행한다. 바이킹바이러스는아래문자열을가진폴더에대해서도 [ 표 3.] 과같은동일한작업을수행하여만약.exe 파일이존재한다면감염시키지않는다. winnt, windows, system, system32 Documents and Settings System Volume Information Recycled Program Files Windows NT, WindowsUpdate, Windows Media Player, Outlook Express, Internet Explorer ComPlus Applications, NetMeeting, Common Files, Messenger, Microsoft Office, InstallShield Installation Information, Microsoft Frontpage, Movie Maker, MSN Gaming Zone. [ 표 4. 바이킹바이러스에감염되지않는폴더목록 ] 파일감염바이킹바이러스는정상파일의앞부분에자신의코드를삽입하는전위형바이러스이다. 감염전 정 상 파 일 감염후 바 이 킹 정 상 파 일 [ 표 5. 감염전후파일구조 ] 바이킹바이러스가실행되면 %windir% 폴더에자신의복사본 (.exe,.dll) 을생성하고 %windir% Logo1_.exe %windir% rundl132.exe

%windir% Dll.dll 또는 vidll.dll 또는 vdll.dll 자신의코드를복제하기위한 *.exe 를검색하고조건이일치한 exe 파일을찾았을경우해당파일의앞부분에자신의코드를삽입한다. 감염된파일의크기는바이킹바이러스의원래크기만큼이증가하게되며아래로그는 Sysinternal(http://www.sysin ternals.

4 %windir% Dll.dll 또는 vidll.dll 또는 vdll.dll 자신의코드를복제하기위한 *.exe 를검색하고조건이일치한 exe 파일을찾았을경우해당파일의앞부분에자신의코드를삽입한다. 감염된파일의크기는바이킹바이러스의원래크기만큼이증가하게되며아래로그는 Sysinternal( ternals.com) 사의 Filemon 을사용하여바이킹바이러스가정상파일에자신의코드를복제하는과정을로그로기록한것이다. Logo1_.exe:456 OPEN E: Analysis Hacview PEDUMP32.EXE SUCCESS Options: Open Access: All Logo1_.exe:456 QUERY INFORMATION E: Analysis Hacview PEDUMP32.EXE SUCCESS Length: Logo1_.exe:456 READ E: Analysis Hacview PEDUMP32.EXE SUCCESS Offset: 0 Length: <-- virus code Logo1_.exe:456 READ E: Analysis Hacview PEDUMP32.EXE SUCCESS Offset: 0 Length: Logo1_.exe:456 READ E: Analysis Hacview PEDUMP32.EXE SUCCESS Offset: 0 Length: <-- file size Logo1_.exe:456 WRITE E: Analysis Hacview PEDUMP32.EXE SUCCESS Offset: 0 Length: Logo1_.exe:456 WRITE E: Analysis Hacview PEDUMP32.EXE SUCCESS Offset: Length: Logo1_.exe:456 READ E: Analysis Hacview PEDUMP32.EXE SUCCESS Offset: Length: 4096 Logo1_.exe:456 SET INFORMATION E: Analysis Hacview PEDUMP32.EXE SUCCESS FileBasicInformation Logo1_.exe:456 CLOSE E: Analysis Hacview PEDUMP32.EXE SUCCESS [ 표 6. 바이킹바이러스의감염과정로그 ] [ 그림 2. 감염후 vs 전파일의앞부분 ] 이미감염된파일들의속성은감염될때의시간으로변경된다. [ 그림 3. 감염된파일의속성 ].Upack: lea eax, [ebp+lastwritetime].upack: c push eax ; lplastwritetime.upack: d lea eax, [ebp+lastaccesstime].upack: push eax ; lplastaccesstime.upack: lea eax, [ebp+creationtime].upack: push eax ; lpcreationtime.upack: push ebx ; hfile.upack: call GetFileTime.Upack: B push 0 ; dwmovemethod.upack: d push 0 ; lpdistancetomovehigh.upack: f push 0 ; ldistancetomove.upack: push ebx ; hfile.upack: call SetFilePointer

5 ---- 중간생략 ----.Upack:004096A9 ; sub_ j....upack:004096a9 lea eax, [ebp+lastwritetime].upack:004096ac push eax ; lplastwritetime.upack:004096ad lea eax, [ebp+lastaccesstime].upack:004096b0 push eax ; lplastaccesstime.upack:004096b1 lea eax, [ebp+creationtime].upack:004096b4 push eax ; lpcreationtime.upack:004096b5 push ebx ; hfile.upack:004096b6 call SetFileTime.Upack:004096BB mov edx, esi.upack:004096bd mov eax, edi.upack:004096bf call sub_4024b4 [ 표 7. 감염된파일의속성을설정하는루틴 ] 기타증상 바이킹바이러스는윈도우가부팅할때자동으로실행되도록아래루틴을사용하여자신의값을추가하며일부루틴은분석될 수없도록암호화되어있다. HKEY_CURRENT_USER Software Microsoft Windows NT CurrentVersion load="%windir% rundl132.exe".upack:004077f5 lea eax, [ebp+szshortpath].upack:004077fb push eax.upack:004077fc lea edx, [ebp+var_120].upack: mov eax, offset _str 1.Text <--- 암호화되어있는 Subkey.Upack: call sub_404af8 <--- 암호화된 Subkey 를복호화하는루틴.Upack: C mov eax, [ebp+var_120].upack: ; System:: linkproc LStrToPChar(void).Upack: mov edx, eax.upack: mov ecx, offset dword_4078ac <--- load.upack: e mov eax, h <--- HKEY_CURRENT_USER.Upack: call sub_4053e8 <--- 레지스트리관련셋팅 API 함수호출루틴 [ 표 8. 자동실행루틴 ] 감염된파일이존재하는폴더마다감염시간이저장된 _desktop.ini 를생성한다. ex) 시스템시간 : 2006 년 10 월 30 일경우 => _desktop.ini 에는 2006/10/30 으로저장된다. 감염된파일이실행될때마다 %temp% 폴더에 % 랜덤파일명 %.bat 를생성하며아래와같은내용을저장하고있다. 이는감염된파일이실행되면앞부분에삽입되었던바이러스코드가분리되어 %windir% Logo_1.exe( 바이킹의복사본 ) 로생성되고감염되었던파일은정상파일로복구된다. 하지만 Logo_1.exe 에의해서재감염될가능성이높아실행시바이러스코드와분리되어정상파일로복구된다하더라도의미가없다. :try1 Del "E: Analysis SysInternals procexp.exe" if exist "E: Analysis SysInternals procexp.exe" goto try1 ren "E: Analysis SysInternals procexp.exe.exe" "procexp.exe" if exist "E: Analysis SysInternals procexp.exe.exe" goto try2 "E: Analysis SysInternals procexp.exe" :try2 del "C: DOCUME~1 ahnmaru LOCALS~1 Temp $$ac.bat" [ 표 9. 감염된파일이실행될때의예 ]

6 .Upack:00407EC4 lea eax, [ebp+lastwritetime].upack:00407ec7 push eax ; lplastwritetime.upack:00407ec8 lea eax, [ebp+lastaccesstime].upack:00407ecb push eax ; lplastaccesstime.upack:00407ecc lea eax, [ebp+creationtime].upack:00407ecf push eax ; lpcreationtime.upack:00407ed0 push esi ; hfile.upack:00407ed1 call GetFileTime.Upack:00407ED6 lea eax, [ebp+var_2a0].upack:00407edc call sub_ <-- 윈도우폴더경로가져오기.Upack:00407EE1 mov edx, [ebp+var_2a0].upack:00407ee7 lea eax, [ebp+var_10].upack:00407eea mov ecx, offset _str_logo1 exe.text [ 표 10. 복사본생성하는루틴 ].Upack: mov edx, offset _str bat.text.upack: d call sub_4049c0.upack: mov eax, [ebp+var_18].upack: ; System:: linkproc LStrToPChar(void).Upack: A push eax ; lpfilename.upack: b call DeleteFileA.Upack: mov eax, [ebp+var_18].upack: mov edi, eax.upack: a cmp edi, 0FFFFFFFFh.Upack: D jz loc_4081b4.upack: push offset _str try1 Del.Text.Upack: lea edx, [ebp+var_2a8].upack: e xor eax, eax.upack: call sub_4026c4.upack: push [ebp+var_2a8].upack: b push offset _str.text.upack: push offset _str_if_exist.text.upack: lea edx, [ebp+var_2ac].upack: b xor eax, eax.upack: d call sub_4026c4.upack: push [ebp+var_2ac].upack: push offset _str 5.Text.Upack: D push offset _str goto_try1.text.upack: push offset _str_ren.text.upack: push [ebp+var_14] [ 표 11. 표 9의내용을수행하는 bat 파일을만들기위한코드 ] 5-3. 관리목적의공유폴더 (IPC$, Admin$, C$ 등 ) 또는공유폴더 파일감염, 취약점 < 네트워크 앞서설명한두확산경로보다네트워크를통한자기복제가더큰파급효과를가지고있다는것을의미한다. 바이킹바이러스는네트워크로확산할때감염된시스템이속해있는네트워크대역으로 ARP(Broadcast) 를발생시키기때문에기업과같은중앙형네트워크에큰피해를줄수가있다. 아래그림은바이킹바이러스에감염된시스템이자기복제를위해다른컴퓨터를찾기위해 ARP(Broadcast) 를발생시키는패킷을 Ethereal( 으로캡쳐한것이다.

[ 그림 4. ARP(Broadcast) 패킷 ] [ 그림 5. ICMP 패킷 ] [ 그림 6. ICMP 패킷에포함된문자열 ] 이후같은네트워크대역에서발견한컴퓨터로 ICMP 패킷을발송하는데 Hello, World(Offset 002a ~ 0034) 라는문자열이포함되어있는것이특징이다..Upack:00408323 push eax ; lpwsadata.

7 [ 그림 4. ARP(Broadcast) 패킷 ] [ 그림 5. ICMP 패킷 ] [ 그림 6. ICMP 패킷에포함된문자열 ] 이후같은네트워크대역에서발견한컴퓨터로 ICMP 패킷을발송하는데 Hello, World(Offset 002a ~ 0034) 라는문자열이포함되어있는것이특징이다..Upack: push eax ; lpwsadata.upack: push 101h ; wversionrequested.upack: call WSAStartup.Upack: E push offset dword_4085a0 ; lplibfilename : icmp.dll.upack: call LoadLibraryA.Upack: mov [ebp+hmodule], eax.upack: b push offset dword_4085ac ; lpprocname : IcmpCreateFile.Upack: mov eax, [ebp+hmodule].upack: push eax ; hmodule.upack: call GetProcAddress.Upack: mov ebx, eax.upack: b push offset dword_4085bc ; lpprocname : IcmpCloseHandle.Upack: mov eax, [ebp+hmodule].upack: push eax ; hmodule.upack: call GetProcAddress.Upack: mov [ebp+var_10], eax.upack: c push offset dword_4085cc ; lpprocname : IcmpSendEcho.Upack: mov eax, [ebp+hmodule].upack: push eax ; hmodule.upack: call GetProcAddress ----중간생략----.Upack:004083ED mov ebx, offset dword_4085dc : Hello, World [ 표 12. ICMP 패킷을발생시키는코드 ]

8 바이킹바이러스는네트워크를통해자기복제를할경우, 두가지경우를통해할수있다. 공유폴더 IPC$, Admin$ 공유폴더 바이킹바이러스는 sub_403bf8 루틴을호출하여공유폴더의목록을쿼리 (Query) 하고해당폴더에존재하는모든.exe 파일을 감염시킨다..Upack:00407C84 call sub_403bf 중간생략 ----.Upack:00407C92 loc_407c92: ; CODE XREF: sub_407c24+e4j.upack:00407c92 xor eax, eax.upack:00407c94 mov [edi+4], eax.upack:00407c97 xor eax, eax.upack:00407c99 mov [edi+10h], eax.upack:00407c9c mov eax, [ebp+var_c].upack:00407c9f mov eax, [eax+ebx*4].upack:00407ca2 ; System:: linkproc LStrToPChar(void).Upack:00407CA7 mov [edi+14h], eax.upack:00407caa xor eax, eax.upack:00407cac mov [edi+1ch], eax.upack:00407caf push 0 ; dwflags.upack:00407cb1 push 0 ; lpusername.upack:00407cb3 push offset Password ; lppassword.upack:00407cb8 push edi ; lpnetresource.upack:00407cb9 call WNetAddConnection2A.Upack:00407CBE test eax, eax.upack:00407cc0 jz short loc_407cd2.upack:00407cc2 push 0 ; dwflags.upack:00407cc4 push 0 ; lpusername.upack:00407cc6 push 0 ; lppassword.upack:00407cc8 push edi ; lpnetresource.upack:00407cc9 call WNetAddConnection2A.Upack:00407CCE test eax, eax.upack:00407cd0 jnz short loc_407d06 [ 표 13. 공유폴더를이용한자기복제루틴 ] 바이킹바이러스가공유폴더를통해자기를복제할수있는가능성은크게두가지이다. 공유자원에액세스할때사용하는계정과패스워드가저장된경우 Windows OS 계열의시스템 ( 특히 Windows 2000 이상 ) 의시스템에서는네트워크공유자원에액세스시인증을요구하는윈도우가출력된다. 이때사용자들은매번아래와같은창이출력되는번거로움을없애기위해서 " 암호저장 (R)" 에표시하는경우가많으나이는바이킹바이러스처럼네트워크를통해자기복제를하는악성코드에게좋은확산수단이되기도한다. 바이킹바이러스는네트워크공유자원 (Admin$, IPC$, 공유폴더 ) 에액세스할때감염된로컬에존재하는계정들그리고공유자원에액세스할때저장된계정정보들을순차적으로사용하여네트워크공유자원에대해접속을시도한다. 아래패킷을참고하면이해가될것이다.

[ 그림 7] 에서는 Testvm1 의 administrator 계정과패스워드는 Null 값을사용하여 128 의공유자원에액세스하기위해서인증요청을했으나 128 은 Testvm1 의 administrator

[ 그림 8] 도마찬가지로 Testvm1 의 administraotor 에대한계정과패스워드정보가없기때문에로그인실패메시지로 1 번에응답하였으나두번째 AVERT Anti-Virus_Expert78 로인증시도시에는성공하였음을알수가있는데이는

9 [ 그림 7. 네트워크액세스정보를모두삭제한후상태 ] [ 그림 8. 네트워크액세스정보를캐싱한후상태 ] [ 그림 7] 과 [ 그림 8] 의공통점은바이킹바이러스에감염된상태의패킷을캡쳐한것이고 IP 1 번과 128 번간에공유자원에액세스하기위해서인증권한을얻기위해서협상하는과정이다. [ 그림 7] 에서는 Testvm1 의 administrator 계정과패스워드는 Null 값을사용하여 128 의공유자원에액세스하기위해서인증요청을했으나 128 은 Testvm1 의 administrator 에대한계정과패스워드정보가없기때문에로그인실패메시지로응답하였는데이는바이킹바이러스가네트워크를통해자신복제를실패했다는의미가된다. [ 그림 8] 도마찬가지로 Testvm1 의 administraotor 에대한계정과패스워드정보가없기때문에로그인실패메시지로 1 번에응답하였으나두번째 AVERT Anti-Virus_Expert78 로인증시도시에는성공하였음을알수가있는데이는 Anti-Virus_Expert78 에대한계정과패스워드정보가 128 번에저장되어있기때문이다. 공유자원에대한권한이모든권한 (Full Control) 일경우 Windwos 2000 이상의 OS 에서는공유폴더의권한보다로컬시스템의권한이우선한다. 이는로컬시스템의공유된자원에모든권한 (Full Control) 이설정되어있다하더라도해당폴더에대한로컬의권한이읽기권한이라면최종으로적용되는권한은읽기가된다. 따라서바이킹바이러스가공유폴더에존재하는 exe 파일을감염시키기위해서접속시사용하는계정의권한이최소한쓰기 (Write) 를가지고있었다는결론이된다. 공유폴더의권한 로컬의권한 모든권한 (Full Control) < 읽기 (Read) [ 그림 9. Temp 폴더의권한이읽기 (Read) 일경우 ]

10 [ 그림 9] 처럼공유자원에읽기권한만설정되어있을경우 _desktop.ini 가존재하는지에대한쿼리를한후연결을종료시킴을확인할수가있다. [ 그림 10. 쓰기 (Write) 이상의권한이부여된경우 ] 1 공유폴더에 _desktop.ini 파일및해당폴더내에존재하는 *.exe 파일을감염시키기위해서쿼리발송 2 6 번째 : 공유폴더의하위폴더목록 3 나머지 : 1 과동일한과정 관리목적의공유폴더 (IPC$, Admin$) 를통해바이킹바이러스는 IPC$ 와 Admin$ 를통해서자기복제를할수있다. 이는관리목적의공유폴더에접근시사용되는계정정보가목적지시스템의관리자 ( 또는그에준한권한을가진계정 ) 에유사한권한을갖고있음을의미한다..Upack: B push offset _str 2.Text.Upack: push [ebp+var_4].upack: push offset _str ipc$.text.upack: lea eax, [ebp+var_14] ----중간생략----.Upack: mov [ebp+netresource.dwtype], eax.upack: a xor eax, eax.upack: c mov [ebp+netresource.lplocalname], eax.upack: f mov eax, [ebp+var_14].upack: mov esi, eax.upack: mov [ebp+netresource.lpremotename], esi.upack: c xor eax, eax.upack: e mov [ebp+netresource.lpprovider], eax.upack:004089a1 mov edx, offset dword_408d48 <--- administrator.upack:004089a6 mov eax, (offset Context.ExtendedRegisters+68h).Upack:004089AB call sub_ upack:004089b0 mov byte_412c14, 0.Upack:004089B7 push 0 ; dwflags.upack:004089b9 push (offset Context.ExtendedRegisters+68h) ; lpusername.upack:004089be push offset byte_412c14 ; lppassword.upack:004089c3 lea eax, [ebp+netresource].upack:004089c6 push eax ; lpnetresource.upack:004089c7 call WNetAddConnection2A.Upack:004089DE lea eax, [ebp+netresource].upack:004089e1 push eax ; lpnetresource.upack:004089e2 call WNetAddConnection2A Upack:00408A80 loc_408a80: ; CODE XREF: sub_ j.upack:00408a80 push offset _str 2.Text.Upack:00408A85 push [ebp+var_4]

.Upack:00408A88 push offset _str admin$.text --- 중간생략----.Upack:00408A9C mov [ebp+netresource.dwtype], eax.upack:00408a9f xor eax, eax.upack:00408aa1 mov [ebp+netresource.lplocalname], eax.

upack:00408ab4 push 0 ; dwflags.upack:00408ab6 push edi ; lpusername.upack:00408ab7 push esi ; lppassword.upack:00408ab8 lea eax, [ebp+netresource].upack:00408abb push eax ; lpnetresource.

11 .Upack:00408A88 push offset _str admin$.text --- 중간생략----.Upack:00408A9C mov [ebp+netresource.dwtype], eax.upack:00408a9f xor eax, eax.upack:00408aa1 mov [ebp+netresource.lplocalname], eax.upack:00408aa4 mov eax, [ebp+var_18].upack:00408aac mov [ebp+netresource.lpremotename], eax.upack:00408aaf xor eax, eax.upack:00408ab1 mov [ebp+netresource.lpprovider], eax.upack:00408ab4 push 0 ; dwflags.upack:00408ab6 push edi ; lpusername.upack:00408ab7 push esi ; lppassword.upack:00408ab8 lea eax, [ebp+netresource].upack:00408abb push eax ; lpnetresource.upack:00408abc call WNetAddConnection2A [ 그림 11. 관리목적공유폴더를통해자기복제시트래픽 ] 6. 바이킹바이러스, 왜위험한가? 지금까지분석된내용을통해바이킹바이러스가왜위험한지를알수가있었다. 하지만바이킹바이러스는자기복제뿐만아니라감염시특정 URL 로부터특정온라인게임사용자의개인정보를유출할수있는 PSW 형의트로이목마를다수다운로드한후실행한다는것에추가적으로위험성이존재한다고할수있다. [ 그림 12. PSW 트로이목마다운로드 ]

CKKeyPro 적용가이드

CKKeyPro 적용가이드 3.20 사이버테러악성코드분석보고서 라온시큐어보안기술연구팀 작성일 : 2013. 03 페이지 : 1/15 Introduction 2013년 3월 20일오후, MBC, KBS, YTN, 농협, 신한은행, 제주은행전산망장애가동시에발생하였다. 피해기관들의호스트약 500여대에오류메시지가화면에나타났으며악성코드에감염된호스트는사용할수없는상태가되었다. 현재까지정확한침투경로가밝혀지지않고있다.