Hupigon warm 악성코드 분석 보고서
- 최초 등록일
- 2013.07.15
- 최종 저작일
- 2012.10
- 10페이지/
MS 워드
- 가격 1,000원
![할인쿠폰받기](/images/v4/document/ico_det_coupon.gif)
목차
1. 분석 정보
2. 파일 정보
3. 웜 감염
4. 언패킹(Unpacking)
5. 레지스트리 생성
6. 서비스 등록
7. 네트워크 통신
본문내용
# 웜 감염
해당 Worm은 파일을 실행하면 c:\windows\911.com 파일을 생성합니다.
<그림 x : Windows 디렉토리에 파일 생성>
해당 파일은 숨김 속성으로 되어있습니다. 확장자는 com이지만 단순 위장이며 파일을 분석하여 보면 PE32 구조(EXE) 형태로 되어 있으며, 부팅 시 마다 프로세스에 상주하여 있습니다.
<중 략>
ASProtect 언패킹 스크립트를 사용하면 API 함수 사용 목록이 복원되고, 코드가 독해 가능한 상태로 됩니다.
해당 스크립트를 사용하여 OEP를 찾았으나 이는 가짜 OEP입니다.
가짜 OEP : 004A2CBC 6A 00 PUSH 0
진 OEP를 찾으려면 더 많은 분석 시간이 필요할 것으로 예상됩니다.
# 레지스트리 생성
웜이 실행되면 윈도우 레지스트리에 아래와 같은 값들을 생성합니다.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_911]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\911]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_911]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\911]
<중 략>
# 네트워크 통신
감염되자마자 59.63.118.107:8000으로 접속을 시도하나 현재 닫혀있는 상태입니다.
해당 IP는 whois 확인 결과 중국에서 할당된 IP이며 감염된 PC와 통신을 위한 서버로 추정됩니다.
<그림 x : 열린 포트 확인 >
<그림 x : 서버가 닫혀 있는 상태 >
일반적인 휴피곤 웜의 특징은 감염 PC를 원격 접속 가능 상태로 만드는 것이 특징이며, 해커는 감염PC를 원격 제어를 통하여 스크린샷, 키보드 입력, 시스템 정보를 탈취합니다.
해당 worm도 서버로 접속이 되지 않아 동작은 되지 않지만 리버싱을 통하여 API등으로 미루어 본 결과 해당 기능을 수행할 것이라고 추정합니다.
참고 자료
없음