꿈을꾸는 파랑새

오늘은 최근 중국에서 시작되어서 세계 곳곳에 신종코로나(코로나 19) 피해 및 사망자들이 나오고 있습니다. 지금 이러한 사태를 악용해서 악성코드 및 랜섬웨어,피싱 들이 계속 발견이 되었습니다. 오늘은 최근에 발견된 Corona virus Map에 대해 알아보겠습니다. 일단 악성코드는 Corona-virus-Map.com(.)exe이라는 파일을 생성하고 해당 파일을 실행을 시키는 것이 특징입니다. 기본적으로 해당 악성코드는 다음과 같은 행동을 합니다. 암호화 지갑과 관련된 많은 문자열(도난 가능성)    
비트코인 지갑 정보를 수확하고 도용하려고 시도    
퍼티/WinSCP 정보(세션, 암호 등)를 훔치려고 시도
브라우저 정보(기록, 암호 등)를 수집하고 도용하려고 시도
FTP 로그인 자격 증명을 수집하고 훔치려고 시도
암호화 통화(가상화 화폐) 지갑을 훔치려고    시도
인스턴트메신저 계정 또는 암호를 훔치려고 시도    
메일 자격 증명을 도용하려고 시도(파일 액세스를 통해)    
문자열 매핑에 대한 OS 버전이 발견되었습니다(종종 BOT에서 사용).
네트워킹:
네트워크 트래픽에 대한 IDS 경고
C&C 통신 가능
HTTP 통신에 알려진 웹 브라우저 사용자 에이전트 사용    
인터넷에서 추가 파일을 내려받는 기능이 포함
DNS 조회 수행    
웹 서버에 데이터 게시    
메모리 또는 이진 데이터에 있는 URL    
HTTPS 사용
키, 마우스, 클립보드, 마이크 및 화면 캡처
클립보드에서 데이터를 읽을 수 있는 기능 포함    
클립보드 데이터를 읽을 수 있는 기능 포함    
누른 키 입력에 대한 정보를 검색하는 기능이 포함
잠재적인 키 로거 가 감지됨(키 상태 폴링 기반)

Corona virus Map(Corona-virus-Map.com.exe) 악성코드Corona virus Map(Corona-virus-Map.com.exe) 악성코드

마우스 및 키보드 입력을 차단하는 기능(디버깅을 방해하는 데 자주 사용)
디버그가 실행 중인지 확인하는 기능이 포함
디버그가 실행 중인지 확인하는 기능이 포함(OutputDebugString, GetLastError)   
상위 프로세스 ID를 확인하는 기능이 포함되어 있습니다(종종 디버그 및 분석 시스템을 검색하기 위해 수행)
API 호출을 동적으로 결정하는 기능 포함   
PEB를 읽을 수 있는 기능이 포함
디버그를 검색하는 데 사용할 수 있는 기능(GetProcessHeap) 포함   
자체 예외 처리기를 등록하는 기능이 포함
언어, 장치 및 운영 체제 검색
기능 로컬 정보(예: 시스템 언어)가 포함
CPU 정보(cpuid)를 쿼리 하는 기능이 포함
설치된 CPU에 대한 쿼리 정보(공급업체, 모델 번호 등)
장치의 볼륨 정보(이름, 일련번호 등)를 쿼리
로컬 / 시스템 시간을 쿼리하는 기능이 포함
계정 / 사용자 이름을 쿼리하는 기능이 포함
표준 시간대 정보를 쿼리하는 기능 포함   
윈도우 버전을 쿼리하는 기능이 포함
암호화 시스템 GUID를 쿼리
그리고 다음 사이트로 접속을 시도합니다.
hxxp://coronavirusstatus.space/index.php
hxxp://coronavirusstatus.space/index.php
그리고 사용을 하는 IP들은 다음과 같습니다.
연락처 공용 IP
13.227.156.9x
54.164.65.x
149.154.167.22x
18.234.22.25x
13.227.156.6x
13.227.156.1x
13.227.156.7x
99.84.92.1x
104.24.102.19x
18.234.22.2x
C:\Users\user\AppData\Roaming\...\Corona.exe
드롭
C:\Users\user\...\Corona-virus-Map.com.exe
드롭
C:\Users\user\AppData\Local\...\aut66F5.tmp
드롭
Corona-virus-Map.com.exe 이 악성코드가 시작하면 해당 Corona-virus-Map.com(.)exe를 실행되면 다음과 같이 악성코드는 신종코로나(코로나 19) 감염 현황을 볼 수가 있는 지도를 볼 수가 있습니다.
Avast:Win32:Trojan-gen,AVG:Win32:Trojan-gen,Avira (no cloud):HEUR/AGEN.1040462,DrWeb:Trojan.Siggen9.16937,ESET-NOD32:A Variant Of Generik.BULBAAM,F-Secure:Heuristic.HEUR/AGEN.1040462,GData:Win32.Trojan-Stealer.Azorult.6QZSWI,Kaspersky:UDS:DangerousObject.Multi.Generic,Malwarebytes:Trojan.Qulab,McAfee:Artemis!73DA2C02C6F8,McAfee-GW-Edition:BehavesLike.Win32.Downloader.wc,Microsoft:Trojan:Win32/Occamy.C,Symantec:ML.Attribute.HighConfidence,TrendMicro:Trojan.Win32.WACATAC.THCOBBO,TrendMicro-HouseCall:TROJ_GEN.R002H06C220 등에서 진단하고 있습니다. 여기서 Microsoft:Trojan:Win32/Occamy.C라고 보일 것인데 Microsoft(마이크로소프트) 윈도우 에 설치된 윈도우디펜더 에서 제공하는 파일입니다. 윈도우 디펜더에서도 감지가 됩니다.
MD5 73da2c02c6f8bfd4662dc84820dcd983
SHA-1 949b69bf87515ad8945ce9a79f68f8b788c0ae39
SHA-256 2b35aa9c70ef66197abfb9bc409952897f9f70818633ab43da85b3825b256307
일단 해당 악성코드는 아직은 한국에 흘러들어오지 않은 것 같지만 언제 가는 한국에서도 감염될 수가 있기 때문에 조심하는 것이 좋습니다.

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band