[악성코드 분석] dcujl.exe (금융 파밍)

dcujl.exe 악성코드 분석 보고서 

 

1. 유포 경로

특정 화장품 판매 쇼핑몰 웹서버(http://www.g*****e.co.kr/**c/***2/dcujl.exe)에 악성파일이 업로드되어 유포되었다.

유포된 dcujl.exe 파일은 정상 wininet.dll 파일 버전정보를 사용하여 사용자가 악성파일로 의심하지 않도록 한다. 

[그림]dcujl.exe 버전정보

2. 악성 동작

2.1. DCUJL.EXE

dcujl.exe 파일은 C:\Documents and Settings\Administrator\Local Settings\Temp경로에 랜덤 크기 문자열을 추가한 자가 복제본을 랜덤한 문자열로 생성 후 실행한다.

실행된 Temp경로 파일 (예: ycepl.exe)은 아래 2개 파일을 생성한다.

C:\wiseman.exe C:\(랜덤한문자열)\(랜덤한문자열).(랜덤한문자열) (예; D:\kmpuvjvi\rvhhw.vhr / C:\jrgfb\damdj.add)

[표]생성된 드랍파일 목록

D:\kmpuvjvi\rvhhw.vhr 생성은 D드라이브 유무를 체크해 D드라이브가 존재할 경우 D드라이브에, 존재하지 않을 경우 C드라이브에 생성한다.

드라이브 경로 하위에 랜덤한 문자열의 폴더를 생성하고 랜덤한 5자의 문자열로 파일명을, 랜덤한 3자의 문자열로 확장자를 지정하여 파일을 생성, 실행시키며 모든 동작을 수행한 후엔 자신을 삭제하고 종료한다.

2.2. D:\KMPUVJVI\RVHHW.VHR

Dcujl.exe 파일에 의해 생성된 랜덤한 이름의 파일(이하 rvhhw.vhr)은 dll 파일로서 단독으로 실행될 수 없기 때문에 C:\windows\system32\rundll32.exe 파일을 이용하여 실행되며, 이렇게 실행된 rvhhw.vhr 파일은 함께 생성된 C:\wiseman.exe 파일의 유무를 체크한 뒤 실행한다.

[그림]rundll32.exe를 이용하여 실행 되는 rvhhw.vhr

rvhhw.vhr 는 사용자의 DNS 설정을 변경하고, hosts 파일을 변조한다.

DNS 1 = 127.0.0.1 DNS 2 = 8.8.8.8

[표]DNS 변조 내용

*3.**1.**4.*0    www.shinhan.com *3.**1.**4.*0    search.daum.net *3.**1.**4.*0    search.naver.com *3.**1.**4.*0    www.kbstar.com.ki *3.**1.**4.*0    www.knbank.co.kr.ki *3.**1.**4.*0    openbank.cu.co.kr.ki *3.**1.**4.*0    www.busanbank.co.kr.ki *3.**1.**4.*0    www.nonghyup.com.ki *3.**1.**4.*0    www.shinhan.com.ki *3.**1.**4.*0    www.wooribank.com.ki *3.**1.**4.*0    www.hanabank.com.ki *3.**1.**4.*0    www.epostbank.go.kr.ki *3.**1.**4.*0    www.ibk.co.kr.ki *3.**1.**4.*0    www.idk.co.ki *3.**1.**4.*0    www.keb.co.kr.ki *3.**1.**4.*0    www.kfcc.co.kr.ki *3.**1.**4.*0    www.lottirich.co.ki *3.**1.**4.*0    www.nlotto.co.ki *3.**1.**4.*0    www.gmarket.net

*3.**1.**4.*0    nate.com *3.**1.**4.*0    www.nate.com *3.**1.**4.*0    daum.com *3.**1.**4.*0    www.daum.net *3.**1.**4.*0    daum.net *3.**1.**4.*0    www.zum.com *3.**1.**4.*0    zum.com *3.**1.**4.*0    naver.com *3.**1.**4.*0    www.nonghyup.com *3.**1.**4.*0    www.naver.com *3.**1.**4.*0    www.nonghuyp.com *3.**1.**4.*0    www.wooribank.com *3.**1.**4.*0    www.ibek.co.ki *3.**1.**4.*0    www.epostbenk.go.ki *3.**1.**4.*0    www.hanabenk.com *3.**1.**4.*0    www.keb.co.ki *3.**1.**4.*0    www.citibank.co.ki *3.**1.**4.*0    www.citibank.co.kr.ki *3.**1.**4.*0    www.standardchartered.co.kr.ki

[표]변조된 hosts 파일

감염된 환경에서 유명 포털사이트, 금융권 사이트, 쇼핑사이트 등에 접속을 시도할 경우 변조된 hosts파일에 기재된 특정 IP (*3.**1.**4.*0) 로 접속된다.

현재는 해당 IP (*3.**1.**4.**0)에 접속이 되지 않지만, 정상적으로 연결될 경우 파밍을 위한 페이지로 연결 된다.

 

윈도우 부팅 시 자동으로 실행하도록 하기 위하여 레지스트리의 Run 하위에 아래와 같이 값을 추가한다.

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 값 이름 : EvtMgr 데이터 : C:\windows\system32\rundll32.exe “C:\jrgfb\damdj.add”

[표]레지스트리 등록 값

2.3. WISEMAN.EXE

Wiseman.exe 파일은 광고프로그램 설치파일로, 실행 직후 다음 경로에 .url 파일 (바로가기 파일) 을 생성한다

C:\Documents and Settings\Administrator\바탕화면\ C:\Documents and Settings\Administrator\Favorites\ C:\Documents and Settings\Administrator\Favorites\연결\ C:\Documents and Settings\Administrator\Favorites\Links\ C:\Documents and Settings\Administrator\시작 메뉴\ C:\Documents and Settings\Administrator\Application Data\User Pinned\StartMenu\ C:\Documents and Settings\Administrator\Application Data\ C:\Documents and Settings\Administrator\Local Settings\Application Data\

[표]바로가기 파일 생성 경로

[그림]바로가기 생성 결과

추가적으로 가져온 url 정보 중 http://**i.w************t.com/**s/f***s/criteo.exe (*.**1.**0.**9) 로 접속하여 광고 팝업을 발생시키는 criteo.exe 파일을 다운로드 및 실행한다.

해당 파일을 윈도우 부팅 시 자동 실행하기 위하여 레지스트리의 Run 하위에 아래와 같이 값을 추가한다.

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 값 이름 : wiseman 데이터 : C:\wiseman.exe

[표]레지스트리 등록 값

3. 결론

dcujl.exe 는 C:\(랜덤한문자열)\(랜덤한문자열).(랜덤한문자열) 파일을 이용하여 hosts 파일을 변조해 금융권 파밍을 수행하는 것이 주 목적이다. dcujl 파일이 실행파일의 형태이기 때문에 wiseman.exe 파일을 함께 드랍 및 실행하여 사용자의 의심을 회피한다.

해당 악성코드는 nProtect Anti-Virus/Spyware에서 진단명 Trojan/W32.KRBanker.271058 로 진단 및 치료가 가능하다.

[그림]진단 및 치료 가능