신종코로나(코로나 19)사태를 악용을 하는 악성코드-Corona virus Map(Corona-virus-Map.com.exe)

꿈을꾸는 파랑새

오늘은 최근 중국에서 시작되어서 세계 곳곳에 신종코로나(코로나 19) 피해 및 사망자들이 나오고 있습니다. 지금 이러한 사태를 악용해서 악성코드 및 랜섬웨어,피싱 들이 계속 발견이 되었습니다. 오늘은 최근에 발견된 Corona virus Map에 대해 알아보겠습니다. 일단 악성코드는 Corona-virus-Map.com.exe이라는 파일을 생성하고 해당 파일을 실행을 시키는 것이 특징입니다. 기본적으로 해당 악성코드는 다음과 같은 행동을 합니다. 암호화 지갑과 관련된 많은 문자열(도난 가능성)    
비트코인 지갑 정보를 수확하고 도용하려고 시도    
퍼티/WinSCP 정보(세션, 암호 등)를 훔치려고 시도
브라우저 정보(기록, 암호 등)를 수집하고 도용하려고 시도
FTP 로그인 자격 증명을 수집하고 훔치려고 시도
암호화 통화(가상화 화폐) 지갑을 훔치려고    시도
인스턴트메신저 계정 또는 암호를 훔치려고 시도    
메일 자격 증명을 도용하려고 시도(파일 액세스를 통해)    
문자열 매핑에 대한 OS 버전이 발견되었습니다(종종 BOT에서 사용).
네트워킹:
네트워크 트래픽에 대한 IDS 경고
C&C 통신 가능
HTTP 통신에 알려진 웹 브라우저 사용자 에이전트 사용    
인터넷에서 추가 파일을 내려받는 기능이 포함
DNS 조회 수행    
웹 서버에 데이터 게시    
메모리 또는 이진 데이터에 있는 URL    
HTTPS 사용
키, 마우스, 클립보드, 마이크 및 화면 캡처
클립보드에서 데이터를 읽을 수 있는 기능 포함    
클립보드 데이터를 읽을 수 있는 기능 포함    
누른 키 입력에 대한 정보를 검색하는 기능이 포함
잠재적인 키 로거 가 감지됨(키 상태 폴링 기반)

Corona virus Map(Corona-virus-Map.com.exe) 악성코드Corona virus Map(Corona-virus-Map.com.exe) 악성코드

마우스 및 키보드 입력을 차단하는 기능(디버깅을 방해하는 데 자주 사용)
디버그가 실행 중인지 확인하는 기능이 포함
디버그가 실행 중인지 확인하는 기능이 포함(OutputDebugString, GetLastError)   
상위 프로세스 ID를 확인하는 기능이 포함되어 있습니다(종종 디버그 및 분석 시스템을 검색하기 위해 수행)
API 호출을 동적으로 결정하는 기능 포함   
PEB를 읽을 수 있는 기능이 포함
디버그를 검색하는 데 사용할 수 있는 기능(GetProcessHeap) 포함   
자체 예외 처리기를 등록하는 기능이 포함
언어, 장치 및 운영 체제 검색
기능 로컬 정보(예: 시스템 언어)가 포함
CPU 정보(cpuid)를 쿼리 하는 기능이 포함
설치된 CPU에 대한 쿼리 정보(공급업체, 모델 번호 등)
장치의 볼륨 정보(이름, 일련번호 등)를 쿼리
로컬 / 시스템 시간을 쿼리하는 기능이 포함
계정 / 사용자 이름을 쿼리하는 기능이 포함
표준 시간대 정보를 쿼리하는 기능 포함   
윈도우 버전을 쿼리하는 기능이 포함
암호화 시스템 GUID를 쿼리
그리고 다음 사이트로 접속을 시도합니다.
hxxp://coronavirusstatus.space/index.php
hxxp://coronavirusstatus.space/index.php
그리고 사용을 하는 IP들은 다음과 같습니다.
연락처 공용 IP
13.227.156.9x
54.164.65.x
149.154.167.22x
18.234.22.25x
13.227.156.6x
13.227.156.1x
13.227.156.7x
99.84.92.1x
104.24.102.19x
18.234.22.2x
C:\Users\user\AppData\Roaming\...\Corona.exe
드롭
C:\Users\user\...\Corona-virus-Map.com.exe
드롭
C:\Users\user\AppData\Local\...\aut66F5.tmp
드롭
Corona-virus-Map.com.exe 이 악성코드가 시작하면 해당 Corona-virus-Map.com.exe를 실행되면 다음과 같이 악성코드는 신종코로나(코로나 19) 감염 현황을 볼 수가 있는 지도를 볼 수가 있습니다.
Avast:Win32:Trojan-gen,AVG:Win32:Trojan-gen,Avira (no cloud):HEUR/AGEN.1040462,DrWeb:Trojan.Siggen9.16937,ESET-NOD32:A Variant Of Generik.BULBAAM,F-Secure:Heuristic.HEUR/AGEN.1040462,GData:Win32.Trojan-Stealer.Azorult.6QZSWI,Kaspersky:UDS:DangerousObject.Multi.Generic,Malwarebytes:Trojan.Qulab,McAfee:Artemis!73DA2C02C6F8,McAfee-GW-Edition:BehavesLike.Win32.Downloader.wc,Microsoft:Trojan:Win32/Occamy.C,Symantec:ML.Attribute.HighConfidence,TrendMicro:Trojan.Win32.WACATAC.THCOBBO,TrendMicro-HouseCall:TROJ_GEN.R002H06C220 등에서 진단하고 있습니다. 여기서 Microsoft:Trojan:Win32/Occamy.C라고 보일 것인데 Microsoft(마이크로소프트) 윈도우 에 설치된 윈도우디펜더 에서 제공하는 파일입니다. 윈도우 디펜더에서도 감지가 됩니다.
MD5 73da2c02c6f8bfd4662dc84820dcd983
SHA-1 949b69bf87515ad8945ce9a79f68f8b788c0ae39
SHA-256 2b35aa9c70ef66197abfb9bc409952897f9f70818633ab43da85b3825b256307
일단 해당 악성코드는 아직은 한국에 흘러들어오지 않은 것 같지만 언제 가는 한국에서도 감염될 수가 있기 때문에 조심하는 것이 좋습니다.


이 글을 공유합시다

facebook twitter googleplus kakaoTalk kakaostory naver band

본문과 관련 있는 내용으로 댓글을 남겨주시면 감사하겠습니다.

비밀글모드

  1. Favicon of https://jongamk.tistory.com 핑구야 날자 2020.03.05 06:43 신고

    악성코드는 항상 조심하는게 좋을 거 같아요

  2. Favicon of https://xuronghao.tistory.com 공수래공수거 2020.03.05 09:49 신고

    천벌 받을 사람들입니다 ㅡ.ㅡ;;

    • Favicon of https://wezard4u.tistory.com Sakai 2020.03.06 20:57 신고

      전세계젹인 핫 이슈 다보니 이런 사회공학적 공격으로 악성코드를 퍼뜨리려는 사람들이 많은것 같습니다.

  3. Favicon of https://damduck01.com 담덕01 2020.03.07 16:01 신고

    와~ 이거 만든어서 배포하는 놈들은 진짜 악질이네요.
    ♩♩♪♩♩♪들 이런 시기에 이런 짓을 하고 싶을까요? ㅡㅡ;

    • Favicon of https://wezard4u.tistory.com Sakai 2020.03.09 01:26 신고

      어차피 전세계적인 이슈 또는 국내 이슈들로 위장해서 악성코드를 퍼트리고 있습니다.사회공학적 공격이라고 합니다.

  4. Favicon of https://roan-junga.tistory.com 로안씨 2020.03.07 16:37 신고

    진짜 너무 악질들이네요 ㅠㅠ
    코로나로 돈을 벌려고 하는 목적으로
    악한 일을하는 사람들은 정말
    혼나야해요 ㅠㅠ