* 전파 경로​​

자체 전파 기능은 없으며 사용자가 스펨메일로 온 악성파일을 실행하거나, 웹으로 부터 다운로드 및 실행 또는 취약점을 통한 드라이브-바이 다운로드 기법을 통해 감염 된다.​

* 실행 후 증상​

[Anti-VM, Analysis]

- VMWWare 등 가상머신 환경에서 동작하지 않음

- vmtoolsd.exe, vmsrvc.exe 프로세스 확인

- 파일이 C:\sample.exe 혹은 C:\file.exe 이름 여부 체크( 테스트 분석 여부 확인 )

[자가 복제]

- %Allusersprofile% 경로에 랜덤명으로 복제되고 원본 파일은 삭제

- 복제된 파일은 시스템파일 속성, Hidden 속성으로 property 설정

[레지스트리 수정]

- HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 키에 자가 복제한 파일을 등록하여 시작프로그램으로 등록

- HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced 키의 아래 두 값을 수정하여 보호된 운영 체제 파일, 숨김파일및 폴더가 탐색기에서 보이지 않도록 함

ShowSuperHidden, Hidden

[인젝션 하여 실행]

- 윈도우 파일인 msiexec.exe 인젝션하여 C&C 통신 수행

[C&C]

- 2개의 C&C 정보가 확인되었음

- differentia.ru/diff.php (ASD URL Blacklist 등록)

- disorderstatus.ru/order.php (ASD URL Blacklist 등록)

- 네트워크 통신 데이터는 암호화 되어 있으며 아래와 같이 인자에 담겨서 데이터가 POST 전송되는 것을 확인 

- {"id": %\u, "bid":%lu, "os":%lu, "la":%lu, "rg":%lu}

- Windows 운영체제 종류, 사용자 IP 정보를 전송

- 이후 봇의 명령에 따라 동작 가능 

출처: 안랩 http://www.ahnlab.com/kr/site/securityinfo/asec/asecCodeView.do