Alman 변종 웜바이러스 분석

자료 : 한국정보보호진흥원(KISA)


1. 개 요
Alman 바이러스는 국내에서 감염피해가 다수 보고되었다. 여기서는 Alman 바이러스 변종
에 감염될 경우의 악성기능에 대하여 살펴보았다. Alman은 감염된 시스템 내의 실행파일들을
추가로 감염시킨다. 타 시스템 사용자가 감염된 실행파일들을 감염여부를 확인하지 않고 복사
하여 사용할 경우 감염되게 된다. 또한, 네트워크 공유폴더와 이동 디스크를 통하여 전파되므
로, 윈도우 암호와 공유폴더 암호를 추측하기 어렵게 설정하고 주기적으로 이동저장 매체에
대한 백신점검을 실시하는 것이 필요하다. 감염 후, 자기 업데이트 기능 및 자기 보호를 위
한 은폐기능, 보안프로그램 종료 기능 등이 확인되었다.
2. 전파방법 / 감염절차
o 전파 방법
악성코드가 실행되면 다음과 같이 자기복제를 시작한다.
. 감염PC내 exe 파일 감염
. 네트워크 공유폴더를 통한 전파
. USB등 이동 매체를 통한 전파
※ 악성코드의 자기복제 기능 상세
▶ exe 파일 감염
* 악성코드는 감염 PC 내의 exe 파일을 찾아 감염시킨다.
이중 특정한 이름을 가진 파일들은 감염시키지 않는다. 감염 제외대상 파일명은 다
음과 같다
(표) 감염 제외 대상 파일 리스트
wooolcfg.exe, woool.exe, ztconfig.exe,
patchupdate.exe, trojankiller.exe, xy2player.exe,
flyff.exe, xy2.exe, au_unins_web.exe
cabal.exe, cabalmain9x.exe, cabalmain.exe,
meteor.exe, patcher.exe, mjonline.exe,
config.exe, zuonline.exe, userpic.exe
main.exe, dk2.exe, autoupdate.exe
dbfsupdate.exe, asktao.exe, sealspeed.exe
xlqy2.exe, game.exe, wb-servi, ce.exe, nbt-drag
onraja2006.exe, dragonraja.exe, mhclient-connect.exe
hs.exe, mts.exe, gc.exe, zfs.exe,neuz.exe
maplestory.exe, nsstarter.exe, nmcosrv.exe,
ca.exe, nmservice.exe, kartrider.exe,
audition.exe, zhengtu.exe
KrCERT-AR-2007 http://www.krcert.or.kr
Alman 변종 웜바이러스 분석 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
(그림) 전체 파일을 검색하여 각 파일마다 이름을 확인
(그림) 감염 제외대상 파일명
또한, 아래와 같은 특정 폴더 내의 파일들은 감염시키지 않는다.
(표) 감염 제외 대상 폴더
QQ
WINNT
WINDOWS
LOCAL SETTINGSTEMP
KrCERT-AR-2007 http://www.krcert.or.kr
Alman 변종 웜바이러스 분석 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
▶ 이동 디스크 통한 전파
드라이브 타입을 체크하여 이동식 디스크일 경우, boot.exe,
autorun.inf 파일을 생성한다.
(그림) 파일생성 루틴
▶ 원격 공유폴더를 통한 전파
☞ 네트워크 공유폴더 및 관리목적 공유폴더를 통하여 원격에 있는 시스템에 대한
감염을 시도한다.
KrCERT-AR-2007 http://www.krcert.or.kr
Alman 변종 웜바이러스 분석 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
i) 원격 시스템 접근 시 Dictionary Attack을 수행하며, 대입되는 암호 리스트는
다음과 같다.
password1, monkey, password, abc123,
qwerty, letmein, root, mypass123, owner
test123, love, admin123, qwer, !@#$%^&*(),
!@#$%^&*(, !@#$, %^&*, !@#$%^&, !@#$%^,
!@#$%, asdfgh, asdf, !@#$, 654321, 123456789,
1234, 5, aaa, 123, 111,1, admin.
(그림) 계정을 통한 공유 접근
(그림) Dictionary 암호 리스트
ii) 암호가 취약할 경우 원격 공유폴더에 접근하여 해당시스템 폴더에 setup.exe 파일
을 생성.
(그림) 원격 시스템 파일생성 루틴
KrCERT-AR-2007 http://www.krcert.or.kr
Alman 변종 웜바이러스 분석 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
※ 생성된 파일은 “DLANX” 이름으로 서비스에 등록하여 실행시킨다.
o 감염 과정 예
iii) Alman에 감염되어 있는 파일을 실행하면, 윈도우폴더에 linkinfo.dll 파일이 생성되며
해당 파일이 explorer 프로세스에 인젝션 된다. 또한, 중복감염을 방지하기 위하여 뮤텍
스를 생성한다.
‣ 생성되는 뮤텍스: "PNP#NETMUTEX#1#DL5"
"__DL5_INF__"
“CORE_DL5_"
(그림) 뮤텍스 생성 루틴 예
KrCERT-AR-2007 http://www.krcert.or.kr
Alman 변종 웜바이러스 분석 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
iv) 아래의 커널파일을 생성함. 악성코드를 은폐하기 위한 커널후킹 기능을 수행.
- 생성 위치 및 파일명:
“시스템폴더”driversRsBoot.sys
"시스템폴더“drivers vmini.sys
"시스템폴더“driversIsDrv118.sys
(그림) 파일생성, 등록루틴 예
3. 악성기능 분석
o 악성코드 업데이트 관리
공격자가 구성해 놓은 특정 웹사이트에 간단한 악성코드 버젼정보, 볼륨정보, IE버젼정보 등
을 전송하고, 업데이트 된 악성코드를 다운로드 받는다.
공격자에게 전송하는 정보유출 형식은 다음과 같다. ( IE버젼정보, 볼륨정보, 백신설치 현황
정보 등)
KrCERT-AR-2007 http://www.krcert.or.kr
Alman 변종 웜바이러스 분석 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
http://info.[생략].com/xxx?action=post&HD=xxxxxxxxxxxxxxxxxxx&OT=2&IV=6.0&AV=0
파라미터 값을 전달 후 해당 사이트로 부터 업데이트된 악성코드를 다운로드 받는다. 해당 파
일은 “윈도우폴더”의 위치에 “AppPatchAcLue.dll“ 파일로 저장되고 실행된다.
- 업데이트 요청 유형 예
http://info.s[생략].com/xxx?action=update&version=%u
(그림) 업데이트 요청 및 파일생성 루틴 예
o 2차 추가 악성코드 설치
Alman는 추가 악성코드를 설치하는 기능을 가지고 있다.
http://k.s[생략]1.com/k.dat로 부터 추가 악성코드 사이트 리스트를 받으며, 해당 사이트로
KrCERT-AR-2007 http://www.krcert.or.kr
Alman 변종 웜바이러스 분석 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
접속하여 악성코드를 다운로드 및 설치한다. 현재는 해당 사이트들이 제거/조치되어 확인이
불가능하였지만, 2차 악성코드는 사용자 정보를 유출시키는 Trojan 계열의 악성코드였을 것
으로 추정된다.
- 접속사이트: http://k.s[생략].com/k.dat
o 자기보호 기능
Alman은 아래와 같은 자기보호 기능을 가지고 있다.
- 일부 보안제품 서비스를 종료시킨다. 종료대상 서비스는 다음과 같다
hooksys, KWatch3.exe, KRegEx, KLPF, NaiAvFilter1
NAVAP, AVGNTMGR, AvgTdi, nod32drv, PavProtect
TMFilter, BDFsDrv, VETFDDNT
o 또한 커널 후킹을 하여 자신을 은폐한다. 자기 은폐를 위하여 후킹되는 대상 API는 다음
과 같다.
- NtDeleteKey
- NtDeleteValueKey
- NtEnumerateKey
- NtLoadDriver
- NtQueryDirectoryFile
- NtSaveKey
- NtClose
KrCERT-AR-2007 http://www.krcert.or.kr
Alman 변종 웜바이러스 분석 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
4. 피해현황 및 위험요소
Alman 바이러스 웜은 국내 외에서 피해 및 영향력이 있었던 악성코드로써 주의가 필요하다.
이번 변종의 경우 업데이트 사이트가 제거/조치되어 기능 업그레이드 위험성은 없으나, 개인
PC내의 많은 실행파일들을 감염시키며, 네트워크 및 이동저장매체를 통하여 전파가 될 수 있
으므로 주의할 필요가 있다.
5. 예방 방법
사용자는 윈도우 암호와 공유폴더 암호를 추측하기 어렵게 설정하며, 백신을 최신 업데이트
하고 실시간 모니터링 기능을 활성화 하므로써 감염을 예방할 수 있다. 이 바이러스는 감염
시 감염PC 내의 많은 exe 파일들에 자신을 삽입시켜 놓으므로, 백신으로 전체 파일시스템에
대하여 점검하여야 한다.