하우리 로고 이미지

전체메뉴 열기

ViRobot Engine & Virus DB

최신 업데이트 현황과 악성코드 분석 정보 제공

악성코드 분석정보

Trojan.Win32.S.Agent.794112.AR
바이로봇 버전정보 : 2019-11-13.02     활동 OS 플랫폼 : MS Windows     감염시 위험도 :
등록일 :
2019-12-27 16:24:35

    ■ Trojan.Win32.S.Agent.794112.AR

       A. 감염 경로

           Trojan.Win32.S.Agent.794112.AR은 자체적인 전파 기능은 없으며, 이메일로 전파되거나 해킹당한 사이트의
           링크를 통해 설치될 수 있다.

       B. 감염 증상

           1) Trojan.Win32.S.Agent.794112.AR은 실행시 다음과 같은 경로에 자가복제를 한다.
              %programdata%\Client\client.exe
              %appdata%\clientmonitor.exe

           2) 자가복제시 %programdata%에 복사되는 파일은 정상적으로 삭제 할 수 없도록 권한을 제거한다. FileSystem
              Watcher 클래스를 이용하여 권한 변경시 권한 설정을 재설정 한다.


[그림 1] 액세스 규칙 보호 설정


[그림 2] 액세스 Deny 권한 설정


[그림 3] 파일 액세스 Deny 권한 설정


[그림 4] FileSystemWatcher를 이용한 권한 재설정


           3) 악성 기능 실행시 필요한 값을 레지스트리에 등록한다.

[그림 5] 레지스트리 등록


           4) 악성코드 실행에 필요한 값을 리소스 영역의 ‘resource’ 이름에서 바이너리를 가져와 변환 후 사용한다.

[그림 6] 리소스 데이터 추출 함수


[그림 7] ‘resource’ 바이너리 데이터


           5) 레지스트리 값을 통해 실행에 필요한 값을 변환한다.
              변환 전 데이터
              "User:who0824@nate.com:abuse@luminosity.link"
              "w2gA6is1wAmRjsvM/WN1ajEkx5o9/sawsuzhY49pa6GLzohYiKygyeB8KrrveGn0jwUif
              D5L7XUilAcRjMcJ3MFUnVPkwPOF0it0ybyNAavoTaTh0R3uEJGJfzC9auT2lOacTxZPdEb
              F9Q/bkc12HXA6K1ym/euoFxem5tg/L3EvbNzDRRBsENRKZ49I04DzUojvc9Ggs3NLdwq4P
              +sI65uy9+5TjAyFjSR1kJW44wA="

              변환 후 데이터
              "luminosity.myq-see.com|4725|llink.myq-see.com|client.exe|Client Monit
              or|Client|Monitor|clientmonitor.exe|ae76915ac582aba9c1de3613554eaaae09
              ee5f48|link|1idbs|ko-KR|"


[그림 8] 변수 정보 셋팅


           6) 악성 프로세스가 1분마다 자동 실행 되도록 스케줄러에 등록한다.

[그림 9] 스케줄러 등록


           7) 재부팅시 자동 실행 되도록 레지스트리를 등록한다.
              키: HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
              이름: Cleint Monitor
              값: cmd /c "start "Client Monitor" "C:\ProgramData\Client\client.exe"
              키: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\shell
              이름: shell
              값: explorer.exe,"%appdata%\clientmonitor.exe"

[그림 10] 재부팅 실행 RunOnce 레지스트리 등록


[그림 11] 재부팅 실행 Winlogon 레지스트리 등록


           8) 사용자가 입력하는 값을 키로깅하여 다음 위치에 파일을 저장한다.
              %appdata%\Monitor\Logs\{mm-dd-yyyy}

[그림 12] 사용자 입력 값 로그 파일


[그림 13] 키로깅 함수 일부


           9) 사용자 스크린 화면을 캡쳐하여 인코딩 후 다음 위치에 파일을 저장한다.
              %appdata%\Monitor\Screenshots\{mm-dd-yyyy}\{시간}

[그림 14] 인코딩된 화면 캡쳐 파일


[그림 15] 화면 캡쳐 함수 일부


           10) ManagementObjcetSearcher 클래스를 이용하여 각종 정보를 수집한다.
              DNS, File Time, Phsycal Memory, Network Address, power status, screen 등

[그림 16] 정보 수집 함수 일부


[그림 17] 정보 수집 대상


           11) 웹캠을 체크 후 화면을 탈취한다.

[그림 18] 웹캠 화면 탈취 함수 일부


           12) C&C 주소는 다음과 같으며 현재 정상적인 접속이 이루어지지 않는다.
              C&C 주소: luminosity.myq-see.com:4725

           13) 정상적인 접속시 C&C로부터 데이터를 전송 받아 웹캠&화면 캡쳐, 키로깅, DNS, File Time, Phsycal
              Memory, Network Address, power status, screen 정보 탈취 등의 악성행위를 수행하며 탈취한
              정보, 실행 결과, 에러 정보 등을 전송한다.


[그림 19] C&C 수신 대기


       C. 치료 방법

           바이로봇 2019-11-13.02 이상 버전으로 치료된다.

       D. 위험도

           높음

Top