하우리 로고 이미지

전체메뉴 열기

ViRobot Engine & Virus DB

최신 업데이트 현황과 악성코드 분석 정보 제공

악성코드 분석정보

Trojan.Win32.S.Agent.758784.CT
바이로봇 버전정보 : 2021-04-12.01     활동 OS 플랫폼 : MS Windows     감염시 위험도 :
등록일 :
2021-04-28 09:28:45

    ■ Trojan.Win32.S.Agent.758784.CT


[그림 1] IMetadataSectionEntry.exe의 파일 정보


       A. 감염 경로

           Trojan.Win32.S.Agent.758784.CT 는 다른 악성코드에 의해 설치된다.

       B. 감염 증상

           1) 실행중인 프로세스 및 현재 프로세스의 경로의 이름으로 해쉬 값을 계산하여 특정 해쉬 값과 비교하는 방식으로 안티 디버깅을
              수행한다.


[그림 2] 문자열 해쉬 계산 및 비교


[그림 3] 안티 디버깅에 사용되는 문자열


           2) explorer.exe 프로세스에 쉘코드를 인젝션 한다.

[그림 4] explorer.exe 프로세스에 쉘코드 인젝션


           3) explorer.exe에 인젝션된 코드는 %system% 폴더의 임의의 실행 파일을 Suspend 상태로 실행시킨다.

[그림 5] 임의의 실행 파일을 Suspend 상태로 실행


           4) Suspend 상태로 실행된 프로세스의 코드를 수정하고, 악성코드를 인젝션 시킨다

[그림 6] 실행된 프로세스의 EntryPoint 수정


[그림 7] 랜덤 값으로 PE Header를 수정한 악성코드 인젝션


           5) 프로세스가 Resume 될 때 수정된 EntryPoint 코드를 실행하면서 인젝션된 악성코드를 실행한다.

           6) 다음 경로에 탈취한 정보를 파일로 저장한다.
               %APPDATA%\(랜덤)\(랜덤).ini

[그림 8] 정보 탈취


           7) 악성코드가 접속하는 C&C는 다음과 같다.
               C&C : www.profit-maximisation.com/g7b/

           8) C&C 에서 다운로드 받은 데이터가 특정 시그니처를 포함하는지 확인한다.
               문자열 1 : 200 OK
               문자열 2 : FBNG        (시그니처)

[그림 9] 다운로드 받은 데이터 시그니처 확인


           9) 명령 코드에 따라 특정 프로세스 실행, 재 부팅 및 시스템 종료, 지정된 파일 실행, 실행 파일 다운로드, 스크린 캡쳐와
              같은 추가 악성 행위가 동작할 수 있다.


[그림 10] 명령 코드에 따라 악성 행위 분기


       C. 치료 방법

           바이로봇 2021-04-12.01 이상 버전으로 치료된다.

       D. 위험도

           보통

Top