PC
가전
가전
PC
고정공지
(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.
놀이터 일간 추천 베스트 |
놀이터 일간 조회 베스트 |
바이러스 ASEC이 분석한 바이러스, 스파이웨어, 유해가능 프로그램, 모바일 악성코드 정보 바이러스 Trojan/Win32.Gamarue.C1893551
작성자: ordo 조회 수: 254 PC모드
ASEC이 분석한 바이러스, 스파이웨어, 유해가능 프로그램, 모바일 악성코드 정보
바이러스 Trojan/Win32.Gamarue.C1893551
- 최초 입력시간2017-04-07 20:25 (GMT+9)
- 최종 수정시간2017-04-07 20:33 (GMT+9)
* 전파 경로
자체 전파 기능은 없으며 사용자가 스펨메일로 온 악성파일을 실행하거나, 웹으로 부터 다운로드 및 실행 또는 취약점을 통한 드라이브-바이 다운로드 기법을 통해 감염 된다.
* 실행 후 증상
[Anti-VM, Analysis]
- VMWWare 등 가상머신 환경에서 동작하지 않음
- vmtoolsd.exe, vmsrvc.exe 프로세스 확인
- 파일이 C:\sample.exe 혹은 C:\file.exe 이름 여부 체크( 테스트 분석 여부 확인 )
[자가 복제]
- %Allusersprofile% 경로에 랜덤명으로 복제되고 원본 파일은 삭제
- 복제된 파일은 시스템파일 속성, Hidden 속성으로 property 설정
[레지스트리 수정]
- HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 키에 자가 복제한 파일을 등록하여 시작프로그램으로 등록
- HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced 키의 아래 두 값을 수정하여 보호된 운영 체제 파일, 숨김파일및 폴더가 탐색기에서 보이지 않도록 함
ShowSuperHidden, Hidden
[인젝션 하여 실행]
- 윈도우 파일인 msiexec.exe 인젝션하여 C&C 통신 수행
[C&C]
- 2개의 C&C 정보가 확인되었음
- differentia.ru/diff.php (ASD URL Blacklist 등록)
- disorderstatus.ru/order.php (ASD URL Blacklist 등록)
- 네트워크 통신 데이터는 암호화 되어 있으며 아래와 같이 인자에 담겨서 데이터가 POST 전송되는 것을 확인
- {"id": %\u, "bid":%lu, "os":%lu, "la":%lu, "rg":%lu}
- Windows 운영체제 종류, 사용자 IP 정보를 전송
- 이후 봇의 명령에 따라 동작 가능
출처: 안랩 http://www.ahnlab.com/kr/site/securityinfo/asec/asecCodeView.do
자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다
문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
정보 감사합니다.