1. 개요 Alman 바이러스는국내에서감염피해가다수보고되었다. 여기서는 Alman 바이러스변종 에감염될경우의악성기능에대하여살펴보았다. Alman은감염된시스템내의실행파일들을추가로감염시킨다. 타시스템사용자가감염된실행파일들을감염여부를확인하지않고복사하여사용할경우감염되게된다. 또한, 네트워크공유폴더와이동디스크를통하여전파되므로, 윈도우암호와공유폴더암호를추측하기어렵게설정하고주기적으로이동저장매체에대한백신점검을실시하는것이필요하다. 감염후, 자기업데이트기능및자기보호를위한은폐기능, 보안프로그램종료기능등이확인되었다. 2. 전파방법 / 감염절차 o 전파방법악성코드가실행되면다음과같이자기복제를시작한다.. 감염PC내 exe 파일감염. 네트워크공유폴더를통한전파. USB등이동매체를통한전파 악성코드의자기복제기능상세 exe 파일감염 * 악성코드는감염 PC 내의 exe 파일을찾아감염시킨다. 이중특정한이름을가진파일들은감염시키지않는다. 감염제외대상파일명은다음과같다 ( 표 ) 감염제외대상파일리스트 wooolcfg.exe, woool.exe, ztconfig.exe, patchupdate.exe, trojankiller.exe, xy2player.exe, flyff.exe, xy2.exe, au_unins_web.exe cabal.exe, cabalmain9x.exe, cabalmain.exe, meteor.exe, patcher.exe, mjonline.exe, config.exe, zuonline.exe, userpic.exe main.exe, dk2.exe, autoupdate.exe dbfsupdate.exe, asktao.exe, sealspeed.exe xlqy2.exe, game.exe, wb-servi, ce.exe, nbt-drag onraja2006.exe, dragonraja.exe, mhclient-connect.exe hs.exe, mts.exe, gc.exe, zfs.exe,neuz.exe maplestory.exe, nsstarter.exe, nmcosrv.exe, ca.exe, nmservice.exe, kartrider.exe, audition.exe, zhengtu.exe
( 그림 ) 전체파일을검색하여각파일마다이름을확인 ( 그림 ) 감염제외대상파일명 또한, 아래와같은특정폴더내의파일들은감염시키지않는다. ( 표 ) 감염제외대상폴더 \QQ \WINNT\ \WINDOWS\ \LOCAL SETTINGS\TEMP\
이동디스크통한전파드라이브타입을체크하여이동식디스크일경우, boot.exe, autorun.inf 파일을생성한다. ( 그림 ) 파일생성루틴 원격공유폴더를통한전파 네트워크공유폴더및관리목적공유폴더를통하여원격에있는시스템에대한감염을시도한다.
i) 원격시스템접근시 Dictionary Attack을수행하며, 대입되는암호리스트는다음과같다. password1, monkey, password, abc123, qwerty, letmein, root, mypass123, owner test123, love, admin123, qwer,!@#$%^&*(),!@#$%^&*(,!@#$, %^&*,!@#$%^&,!@#$%^,!@#$%, asdfgh, asdf,!@#$, 654321, 123456789, 1234, 5, aaa, 123, 111,1, admin. ( 그림 ) 계정을통한공유접근 ( 그림 ) Dictionary 암호리스트 ii) 암호가취약할경우원격공유폴더에접근하여해당시스템폴더에 setup.exe 파일을생성. ( 그림 ) 원격시스템파일생성루틴
생성된파일은 DLANX 이름으로서비스에등록하여실행시킨다. o 감염과정예 iii) Alman에감염되어있는파일을실행하면, 윈도우폴더에 linkinfo.dll 파일이생성되며해당파일이 explorer 프로세스에인젝션된다. 또한, 중복감염을방지하기위하여뮤텍스를생성한다. 생성되는뮤텍스 : "PNP#NETMUTEX#1#DL5" " DL5_INF " CORE_DL5_" ( 그림 ) 뮤텍스생성루틴예
iv) 아래의커널파일을생성함. 악성코드를은폐하기위한커널후킹기능을수행. - 생성위치및파일명 : 시스템폴더 \drivers\rsboot.sys " 시스템폴더 \drivers\nvmini.sys " 시스템폴더 \drivers\isdrv118.sys ( 그림 ) 파일생성, 등록루틴예 3. 악성기능분석 o 악성코드업데이트관리공격자가구성해놓은특정웹사이트에간단한악성코드버젼정보, 볼륨정보, IE버젼정보등을전송하고, 업데이트된악성코드를다운로드받는다. 공격자에게전송하는정보유출형식은다음과같다. ( IE버젼정보, 볼륨정보, 백신설치현황정보등 )
http://info.[ 생략 ].com/xxx?action=post&hd=xxxxxxxxxxxxxxxxxxx&ot=2&iv=6.0&av=0 파라미터값을전달후해당사이트로부터업데이트된악성코드를다운로드받는다. 해당파일은 윈도우폴더 의위치에 \AppPatch\AcLue.dll 파일로저장되고실행된다. - 업데이트요청유형예 http://info.s[ 생략 ].com/xxx?action=update&version=%u ( 그림 ) 업데이트요청및파일생성루틴예 o 2차추가악성코드설치 Alman는추가악성코드를설치하는기능을가지고있다. http://k.s[ 생략 ]1.com/k.dat로부터추가악성코드사이트리스트를받으며, 해당사이트로
접속하여악성코드를다운로드및설치한다. 현재는해당사이트들이제거 / 조치되어확인이불가능하였지만, 2차악성코드는사용자정보를유출시키는 Trojan 계열의악성코드였을것으로추정된다. - 접속사이트 : http://k.s[ 생략 ].com/k.dat o 자기보호기능 Alman은아래와같은자기보호기능을가지고있다. - 일부보안제품서비스를종료시킨다. 종료대상서비스는다음과같다 hooksys, KWatch3.exe, KRegEx, KLPF, NaiAvFilter1 NAVAP, AVGNTMGR, AvgTdi, nod32drv, PavProtect TMFilter, BDFsDrv, VETFDDNT o 또한커널후킹을하여자신을은폐한다. 자기은폐를위하여후킹되는대상 API는다음과같다. - NtDeleteKey - NtDeleteValueKey - NtEnumerateKey - NtLoadDriver - NtQueryDirectoryFile - NtSaveKey - NtClose
4. 피해현황및위험요소 Alman 바이러스웜은국내외에서피해및영향력이있었던악성코드로써주의가필요하다. 이번변종의경우업데이트사이트가제거 / 조치되어기능업그레이드위험성은없으나, 개인 PC내의많은실행파일들을감염시키며, 네트워크및이동저장매체를통하여전파가될수있으므로주의할필요가있다. 5. 예방방법 사용자는윈도우암호와공유폴더암호를추측하기어렵게설정하며, 백신을최신업데이트하고실시간모니터링기능을활성화하므로써감염을예방할수있다. 이바이러스는감염시감염PC 내의많은 exe 파일들에자신을삽입시켜놓으므로, 백신으로전체파일시스템에대하여점검하여야한다.