본문 바로가기

벌새::Analysis

만우절을 이용한 이메일 웜 유포 - Email-Worm.Win32.Zhelatin.wt (Kaspersky)

반응형
4월 1일 만우절을 이용하여 이전의 발렌타인 데이 때 유포되던 이메일 웜이 또 유포되는 것을 확인하였습니다.

사용자 삽입 이미지

스팸 메일을 통해 유포되는 이 악성코드는 특정 숫자 아이피 주소로 접속을 할 경우 자동으로 다운로드하는 방식입니다.


사용자 삽입 이미지

[funny.exe] - MD5 : e715fa34c4af9c34270671f99cca6a82
Antivirus Version Last Update Result
AhnLab-V3 2008.4.1.2 2008.04.01 -
AntiVir 7.6.0.78 2008.04.01 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2008.03.31 -
Avast 4.7.1098.0 2008.03.31 -
AVG 7.5.0.516 2008.04.01 I-Worm/Nuwar.R
BitDefender 7.2 2008.04.01 Trojan.Crypt.AP

CAT-QuickHeal 9.50 2008.03.31 (Suspicious) - DNAScan
ClamAV 0.92.1 2008.04.01 Trojan.Crypted-16
DrWeb 4.44.0.09170 2008.04.01 Trojan.Packed.419

eSafe 7.0.15.0 2008.03.31 Suspicious File
eTrust-Vet 31.3.5661 2008.04.01 -
Ewido 4.0 2008.04.01 -
F-Prot 4.4.2.54 2008.03.31 -
F-Secure 6.70.13260.0 2008.04.01 Email-Worm.Win32.Zhelatin.wt
FileAdvisor 1 2008.04.01 -
Fortinet 3.14.0.0 2008.04.01 -
Ikarus T3.1.1.20 2008.04.01 -
Kaspersky 7.0.0.125 2008.04.01 Email-Worm.Win32.Zhelatin.wt
McAfee 5263 2008.03.31 -
Microsoft 1.3301 2008.04.01 -
NOD32v2 2991 2008.04.01 a variant of Win32/Nuwar.CG
Norman 5.80.02 2008.03.31 -
Panda 9.0.0.4 2008.03.31 -
Prevx1 V2 2008.04.01 -
Rising 20.38.10.00 2008.04.01 -
Sophos 4.28.0 2008.04.01 Troj/Dorf-BA
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.04.01 Trojan.Peacomm
TheHacker 6.2.92.260 2008.04.01 -
VBA32 3.12.6.3 2008.03.25 -
VirusBuster 4.3.26:9 2008.03.31 -
Webwasher-Gateway 6.6.2 2008.04.01 Trojan.Crypt.XPACK.Gen
Additional information
File size: 139776 bytes
MD5: e715fa34c4af9c34270671f99cca6a82
SHA1: d01e710aca0a8b191a05418370d5f3510d8a8748

해당 샘플이 컴퓨터를 감염시키면 다음과 같은 동작을 합니다.

1. 시스템 폴더에 파일 생성

C:\WINDOWS\aromis.config  (44,337 Bytes) - MD5 : 0A9D4DA371CE330D78C5560B05864B95
C:\WINDOWS\aromis.exe (139,776 Bytes) - MD5 : E715FA34C4AF9C34270671F99CCA6A82

2. aromis.exe 프로세서 생성

3. 레지스트리 생성

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - aromis = "%Windir%\aromis.exe" -> 윈도우 시작시 실행

4. 특정 포트 오픈

25846 UDP aromis.exe (%Windir%\aromis.exe)
29689 TCP aromis.exe (%Windir%\aromis.exe)

감염된 컴퓨터는 윈도우 시작시 자동으로 실행되는 악성코드 프로세서로 인해 특정 웹사이트에서 추가적인 악성코드 다운로드 또는 정보 탈취가 이루어질 수 있습니다.

매번 세계적으로 유명한 날을 통해 더욱 유포가 심한 악성코드의 경우 해당 이메일을 받은 경우에는 호기심에 이메일을 열어서 실행하는 일이 없도록 하시기 바랍니다.
728x90
반응형