로드한 프로세스가 notepad.exe 가 아니라면 다른 프로세스 별로 다른 동작을 합니다. 우선 explorer.exe 인 경우,
Sub_10052FA 함수를 호출합니다.
Sub_10052fA 에서는 우선 필요한 함수 주소들을 로드합니다.
그리고 Elevation:Administrator!new:{3ad05575-8857-4850-9277-11b85bdb8e09} 이라는 값을 사용하는데, 이 값은 iFileOperation 의 CLSID 값을 정의한 것으로 해당 값으로 보았을 때 UAC 에서 관리자 권한이 사용되고 있음을 알 수 있습니다.
다음 코드는 sysprep.exe를 이용하여 악성 cryptbase.dll을 로드합니다. UAC 우회기법이 사용되고 있음을 알 수 있습니다.
그리고 다음 svchost.exe 에서 실제 악성코드의 동작을 합니다
우선 첫번째 100043EB함수에서는 레지스트리 수정을 합니다.
[HKEY_LOCAL_MACHINE\SOFTWARE\AhnLab\V3IS80\is]
- fwmode = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\AhnLab\V3IS2007\InternetSec]
- FWRunMode = 0
위의 레지스트리들을 수정하는데, 이는 V3 제품 방화벽 및 윈도우 기본 방화벽 무력화를 위한 시도이며, V3 제품관련 레지스트리 값들은 자체 보호에 의해서 실제로는 수정되지 않습니다.
그리고 다음 100044f8 함수에서는 윈도우 서비스 시스템 중 Security center 에 대한 레지스트리를 사용 안함으로 수정합니다.
그 다음 100045d3 함수에서는 윈도우 방화벽을 꺼 줍니다.
그리고 쓰레드를 생성해 줍니다
쓰레드 내에서는 우선 윈도우의 버전정보, computername, username등을 수집합니다.
그리고 획득한 정보들을 특정 파일에 쓰기를 시도합니다
실제 "C:\Windows\Help\VBOMN96.CHI"의 경로에는 다음의 정보가 적혀 있음을 알 수 있습니다.
메일과 첨부파일이 있는 경우 해당 청부파일을 ctfmon.exe 파일로 쓰거나 ctfmon.exe 파일이 이미 존재하고, 삭제가 불가능한 경우 alg.exe의 이름으로 파일을 만들어서 실행합니다.
'Reversing > 문서형 악성코드' 카테고리의 다른 글
[한글] 악성코드 분석 1 (0) | 2021.07.07 |
---|