본문 바로가기

벌새::Analysis

Trojan.Downloader.Zlob.ABLJ (BitDefender)

특정 쇼핑몰에서 운영하는 게시판에 다음과 같은 스팸성 게시물이 달리는 경우가 있습니다.

사용자 삽입 이미지


해당 게시물은 해외에서 로봇에 의해 자동으로 작동되어진 스팸성 게시글로 추정됩니다.

해당 게시물의 링크를 이용하여 웹사이트에 접속을 하면 특정 동영상을 보기 위해 코덱을 설치해야 한다는 메시지가 있습니다.

사용자 삽입 이미지


해당 동영상을 보기 위해 클릭을 하면 코덱을 가장한 설치 파일을 다운로드 합니다.

사용자 삽입 이미지

setup.exe - b6d114486b543bc8007f799f105c2629
Antivirus Version Last Update Result
AhnLab-V3 2008.2.27.0 2008.02.26 -
AntiVir 7.6.0.67 2008.02.26 -
Authentium 4.93.8 2008.02.27 -
Avast 4.7.1098.0 2008.02.26 -
AVG 7.5.0.516 2008.02.26 -
BitDefender 7.2 2008.02.27 Trojan.Downloader.Zlob.ABLJ
CAT-QuickHeal 9.50 2008.02.26 -
ClamAV 0.92.1 2008.02.27 Trojan.Dropper-2529
DrWeb 4.44.0.09170 2008.02.26 -
eSafe 7.0.15.0 2008.02.26 -
eTrust-Vet 31.3.5566 2008.02.27 -
Ewido 4.0 2008.02.26 -
FileAdvisor 1 2008.02.27 -
Fortinet 3.14.0.0 2008.02.27 -
F-Prot 4.4.2.54 2008.02.26 -
F-Secure 6.70.13260.0 2008.02.27 -
Ikarus T3.1.1.20 2008.02.27 Trojan-Downloader.Zlob.ABLJ
Kaspersky 7.0.0.125 2008.02.27 -
McAfee 5238 2008.02.26 -
Microsoft 1.3204 2008.02.26 TrojanDownloader:Win32/Zlob
NOD32v2 2904 2008.02.27 -
Norman 5.80.02 2008.02.26 -
Panda 9.0.0.4 2008.02.27 -
Prevx1 V2 2008.02.27 -
Rising 20.33.20.00 2008.02.27 -
Sophos 4.27.0 2008.02.27 -
Sunbelt 3.0.893.0 2008.02.23 -
Symantec 10 2008.02.27 -
TheHacker 6.2.9.229 2008.02.25 -
VBA32 3.12.6.2 2008.02.26 suspected of Downloader.Zlob.3
VirusBuster 4.3.26:9 2008.02.26 Trojan.DR.Zlob.CKW!Pac
Webwasher-Gateway 6.6.2 2008.02.27 -
Additional information
File size: 72087 bytes
MD5: b6d114486b543bc8007f799f105c2629
SHA1: c7586035c02c9065c728a061522c132597e480d1

샘플의 진단명을 봐서는 전형적인 Zlob류 변종으로 무엇인가 다운로드를 시도하는 샘플로 보입니다.  

사용자 삽입 이미지


실제 다운 받은 샘플을 설치시에 스크린샷과 같이 정상적인 코덱 설치 화면으로 위장합니다.

[레지스트리 생성]

HKEY_CURRENT_USER\Software\NetProject
 - Type = 0x00000003
 - Path = "%ProgramFiles%\NetProject"
 - Removable = 0x00000000
 - 65400 = 0x000006FF
 - 65401 = 0x13F354D0
 - 65402 = 0x01C85140

[특정 서버와 연결 시도]

69.50.164.54:80

해당 서버에서 추후에 무엇인가 다운로드를 시도할 수 있어 보입니다.

UCC가 발달하면서 이런 Zlob와 같은 허위 코덱을 가장한 악성코드는 자극적인 제목으로 동영상을 보도록 인터넷 사용자를 유혹하여 컴퓨터를 감염시키는 방식이므로 주의하셔야 합니다.