Å©¸³Æ®¿¢½º¿¢½º¿¢½º ·£¼¶¿þ¾î
»ç¿ëÀÚ¿¡°Ô ºñÆ®ÄÚÀÎÀ» ¿ä±¸ÇÏ´Â ·£¼¶¿þ¾î
ÃÖ±Ù ¡®Å©¸³Æ®¿¢½º¿¢½º¿¢½º ·£¼¶¿þ¾î¡¯°¡ ´ë·® À¯Æ÷µÇ¸é¼ ÇÇÇØ »ç·Ê°¡ ´Ã¾î³ª°í ÀÖ´Ù. Å©¸³Åä¿¢½º¿¢½º¿¢½ºÀÇ Æ¯Â¡Àº ±âÁ¸ ·£¼¶¿þ¾î¿Í´Â ´Þ¸® ½ÇÇàÆÄÀÏ(EXE) ÇüÅ°¡ ¾Æ´Ï¶ó µ¿Àû ¸µÅ© ¶óÀ̺귯¸®(DLL) ÇüÅ·ΠÀ¯Æ÷µÇ°í ÀÖ´Ù´Â Á¡ÀÌ´Ù. DLL ÇüÅ·ÎÀÇ À¯Æ÷´Â Á¤»óÀûÀÎ ÇÁ·Î¼¼½º¿Í ÇÔ²² µ¿ÀÛÇÏ´Â ±¸Á¶¿©¼ °¨¿° »ç½ÇÀ» ¾Ë¾ÆÂ÷¸®±â ¾î·Æ´Ù.
ÀÌ ±Û¿¡¼´Â Å©¸³Æ®¿¢½º¿¢½º¿¢½ºÀÇ µ¿ÀÛ ¹æ½Ä°ú ÁÖ¿ä ±â´É µî ÀÚ¼¼ÇÑ ºÐ¼® ³»¿ëÀ» °ø°³ÇÑ´Ù.
Å©¸³Æ®¿¢½º¿¢½º¿¢½º ·£¼¶¿þ¾î(Áø´Ü¸í: Trojan/Win32.CryptXXX, ÀÌÇÏ Å©¸³Æ®¿¢½º¿¢½º¿¢½º)´Â ÄÄÇ»ÅÍ¿¡ ÀÖ´Â ÆÄÀÏÀ» ¾ÏÈ£ÈÇÑ µÚ ¡°.crypt¡±È®ÀåÀÚ·Î º¯°æÇÏ¿© »ç¿ëÀÚ¿¡°Ô ºñÆ®ÄÚÀÎÀ» ¿ä±¸ÇÏ´Â ·£¼¶¿þ¾îÀÌ´Ù. ¾Æ·¡ÀÇ [±×¸² 1]Àº Å©¸³Æ®¿¢½º¿¢½º¿¢½ºÀÇ µ¿ÀÛ ¹æ½ÄÀÌ´Ù.
Å©¸³Æ®¿¢½º¿¢½º¿¢½ºÀÇ °æ¿ì ´Ù¸¥ ·£¼¶¿þ¾î¿ÍÀÇ Â÷ÀÌÁ¡Àº DLL(µ¿Àû ¸µÅ© ¶óÀ̺귯¸®, Dynamic Linking Library)·Î µ¿ÀÛÇÑ´Ù´Â Á¡ÀÌ´Ù. Å©¸³Æ®¿¢½º¿¢½º¿¢½º´Â Á¤»ó rundll32.exe¸¦ ¾Ç¼º DLLÀÌ ÀÖ´Â °æ·Î¿¡ svchost.exe·Î À̸§À» ¹Ù²Ù¾î º¹»çÇÑ µÚ ¾Ç¼º DLLÀÇ ³»º¸³»±â(Export) ÇÔ¼ö¸¦ ÀÎÀÚ °ªÀ¸·Î È£ÃâÇÏ¿© µ¿ÀÛÇÑ´Ù.
ÀÌ ¾Ç¼ºÄÚµå´Â ÇÇÇØÀÚÀÇ ÄÄÇ»Å͸¦ °¨¿°½Ãų ¶§ ¡°!Recovery_»ç¿ëÀÚID.txt¡±, ¡°!Recovery_»ç¿ëÀÚID.html¡±, ¡°!Recovery_»ç¿ëÀÚID.bmp¡± Çü½ÄÀÇ ÆÄÀÏÀ» »ý¼ºÇÏ¸ç ³»¿ëÀº [±×¸² 3, 4]¿Í °°´Ù.
Å©¸³Æ®¿¢½º¿¢½º¿¢½º ÁÖ¿ä ±â´É
ÀÚµ¿ ½ÇÇà µî·Ï
Å©¸³Æ®¿¢½º¿¢½º¿¢½º´Â [Ç¥ 1]¿Í °°ÀÌ ½ÃÀÛÇÁ·Î±×·¥¿¡ ¹Ù·Î°¡±â ¸µÅ©ÆÄÀÏÀ» »ý¼ºÇÑ´Ù. [±×¸² 5]¿¡¼ ¾Ë ¼ö ÀÖµíÀÌ ÇØ´ç ¸µÅ©ÆÄÀÏ¿¡ ÀÇÇØ ½ÇÇàµÇ´Â ÆÄÀÏÀº Å©¸³Æ®¿¢½º¿¢½º¿¢½ºÀ̸ç, MS114 ¶ó´Â À̸§ÀÇ ÇÔ¼ö¸¦ È£ÃâÇÏ´Â ±â´ÉÀ» ÇÑ´Ù.
C&C Åë½Å
Å©¸³Æ®¿¢½º¿¢½º¿¢½º´Â ÆÄÀÏÀ» ¾ÏÈ£È Çϱâ Àü¿¡ C&C¿¡ ¾Ç¼ºÄڵ尡 »ý¼ºÇÑ »ç¿ëÀÚ ID¸¦ Àü¼ÛÇÑ´Ù.
¾Ç¼º DLL ³»ºÎ¿¡ ¾ÏÈ£È µÈ C&C´Â 2°³À̸ç, ù ¹ø° IP¿¡ Á¢¼ÓÀÌ µÇÁö ¾Ê¾ÒÀ» °æ¿ì µÎ ¹ø° IP·Î ¿¬°áµÈ´Ù.
- 144.7*.82.1*:443
- 93.1**.187.6*:443
C&C Á¢¼Ó À¯¹«¿Í °ü°è¾øÀÌ ÆÐŶÀ» Àü¼Û ÇÑ ÈÄ¿¡´Â ÆÄÀÏ ¾ÏȣȰ¡ ÁøÇàµÈ´Ù.
ÆÄÀÏ ¾ÏÈ£È ´ë»ó
ºÐ¼®µÈ Å©¸³Æ®¿¢½º¿¢½º¿¢½º·ÎºÎÅÍ È®ÀÎµÈ ¾ÏÈ£È ´ë»óÀº [Ç¥ 2]¿Í °°´Ù.
Z:\ ºÎÅÍ A:\ ±îÁö ¸¶¿îÆ® µÈ ¸ðµç µå¶óÀ̺ê Áß, ¾Æ·¡ ¾ÏÈ£È ´ë»ó µå¶óÀ̺길 °¨¿°ÀÌ ÁøÇàµÈ´Ù.
¾ÏÈ£ÈµÈ È¯°æ
Å©¸³Æ®¿¢½º¿¢½º¿¢½º´Â ¾ÏȣȰ¡ ¿Ï·áµÈ ÆÄÀÏÀÇ ¼öÁ¤ÇÑ ³¯Â¥ ½Ã°£Á¤º¸¸¦ ¹é¾÷µÈ ¿øº»ÀÇ ¼öÁ¤ÇÑ ³¯Â¥·Î º¯°æÇÑ´Ù.
[±×¸² 7]¿¡¼ ºÓÀº»ö ¹Ú½º·Î Ç¥ÇöÇÑ ºÎºÐÀÇ µ¥ÀÌÅÍ(A4 80 BC 4B 36 B0 D1 01)´Â SetFileTime API¸¦ »ç¿ëÇÏ¿© ¹é¾÷µÈ ¿øº»ÀÇ ¼öÁ¤ÇÑ ³¯Â¥·Î º¯°æµÈ´Ù.
À̶§ ½Ã°£Á¤º¸°¡ º¯°æµÈ ÆÄÀÏÀº MoveFileW API¸¦ »ç¿ëÇÏ¿© [¿øº» ÆÄÀϸí].crypt·Î È®ÀåÀÚ°¡ º¯°æµÈ´Ù.
±×¸®°í ¾ÏÈ£ÈµÈ ÆÄÀÏÀÌ ÀÖ´Â °æ·Î¸¶´Ù °áÁ¦ ¾È³» ÆÄÀϵéÀ» »ý¼ºÇÑ´Ù.
¾Õ¼ ¾ð±ÞÇßµíÀÌ SetFileTime API¸¦ ÀÌ¿ëÇÏ¿© [±×¸² 11]¿¡ ÀÖ´Â ºÓÀº»ö ¹Ú½º¿¡ ÀÖ´Â µ¥ÀÌÅÍ (00 00 00 00 71 37 00 00)´Â 1601³â 3¿ù 12ÀÏ ¿ù¿äÀÏ 10½Ã 17ºÐ 27ÃÊ·Î º¯°æµÈ´Ù.
»ý¼ºÇÑ °áÁ¦ ¾È³» ÆÄÀÏÀÇ ½Ã°£ Á¤º¸¸¦ [±×¸² 12]¿Í °°ÀÌ º¯°æÇÑ´Ù. ¾ÏȣȰ¡ ¿Ï·áµÇ¸é [±×¸² 13]°ú °°Àº ȸéÀ» ¶ç¿ì°í ½ºÅ©¸°ÀÌ Àá±â°Ô ÇÏ¿© »ç¿ëÀÚ°¡ ¾î¶°ÇÑ µ¿ÀÛµµ ÇÒ ¼ö ¾ø°Ô ÇÑ´Ù.
Å©¸³Æ®¿¢½º¿¢½º¿¢½º´Â ÀϹÝÀûÀ¸·Î À¥»çÀÌÆ® ´Ù¿î·Îµå µîÀ¸·Î À¯Æ÷µÇ´Â °æ¿ì°¡ ¸¹´Ù. µû¶ó¼ »ç¿ëÀÚ´Â Ãâó¸¦ ¾Ë ¼ö ¾ø´Â ¸ÞÀÏ¿¡ ÷ºÎµÈ ÆÄÀÏ ½ÇÇàÀ̳ª ºÒÇÊ¿äÇÑ »çÀÌÆ® Á¢±ÙÀ» »ï°¡´Â µîÀÇ ÁÖÀÇ°¡ ÇÊ¿äÇÏ´Ù.
ÇØ´ç ¾Ç¼ºÄÚµå °¨¿°À» ¸·±â À§Çؼ´Â Ç×»ó À©µµ¿ì º¸¾È ÆÐÄ¡ ¹× V3 ¹é½Å ÇÁ·Î±×·¥À» ÃֽŠ¾÷µ¥ÀÌÆ® »óÅ·ΠÀ¯ÁöÇÏ´Â °ÍÀÌ ÇÊ¿äÇÏ´Ù.
(ÁÖ)ÀÌÁö¿¡ÀÌÄ¡¿¤µð / »ç¾÷ÀÚµî·Ï¹øÈ£ 117-81-44101 / Åë½ÅÆǸž÷½Å°í Á¦ 2009-¼¿ï±Ýõ-0631È£ / º¥Ã³±â¾÷È®ÀÎ ¼¿ïÁö¹æÁß¼Ò±â¾÷û Á¦ 031134233-1-01643
´ëÇ¥ : ÀÌÀΰæ / E : ezday@ezday.co.kr / F : 02) 323-5049 / ¼¿ï ±Ýõ±¸ °¡»êµ¿ 371-50 ¿¡À̽ºÇÏÀÌ¿£µåŸ¿ö 3Â÷ 11F
Copyright¨ÏEZHLD INC. All rights reserved