본문 바로가기

벌새::Analysis

USB 드라이브로 전파 가능한 Bondat Worm 바이러스 주의 (2017.4.1)

반응형

최근 블로그를 통해 USB 드라이브에 존재하는 Drive.bat 파일을 삭제해도 지속적으로 재생성되는 문제에 대해 문의가 들어와서 관련 정보를 살펴보도록 하겠습니다.

 

 

1차적으로 제공받은 Drive.bat 배치 파일을 확인해보면 "\\Drive\453\vjjeuhhy.js" 파일이 추가적으로 존재할 것으로 추정되기에 관련 파일을 찾아서 보내달라고 요청하였습니다.

 

생성 폴더 / 파일 및 진단 정보

 

\\Drive :: 숨김(H) 폴더 속성
\\Drive\453 :: 숨김(H) 폴더 속성


\\Drive\453\vjjeuhhy.js :: Random 파일명

 - SHA-1 : ca15eb44149114eb38a67bc43029f72db2aa2c3f

 - 알약(ALYac) : Trojan.Bondat.JS

 

\\Drive.bat

 

 

이를 통해 최종적으로 USB 드라이브에는 숨김(H) 폴더 속성값으로 생성된 Drive 폴더 내에 악성 스크립트(.js) 파일이 존재한다는 사실과 함께 사용자가 USB 드라이브에 생성되어 있는 Drive.bat 배치 파일을 실행할 경우 JS 스크립트 실행이 이루어지는 구조임을 알 수 있습니다.

 

 

난독화된 코드가 포함된 JS 스크립트 파일은 "C:\Windows\system32\wscript.exe" 시스템 파일을 통해 실행되어 C:\Windows\system32\cmd.exe /c start Drive.bat & explorer "Drive\453" 명령어를 통해 최초 동작이 이루어지며, 이를 통해 다음과 같은 파일을 실행된 시스템에 생성합니다.

 

생성 폴더 / 파일 및 진단 정보

 

C:\Users\%UserName%\AppData\Roaming\dfmlyl :: 숨김(H) 폴더 속성
C:\Users\%UserName%\AppData\Roaming\dfmlyl\enicbmh


C:\Users\%UserName%\AppData\Roaming\dfmlyl\farwekrr.js

 - SHA-1 : ca15eb44149114eb38a67bc43029f72db2aa2c3f

 - 알약(ALYac) : Trojan.Bondat.JS


C:\Users\%UserName%\AppData\Roaming\dfmlyl\fhowffcbg
C:\Users\%UserName%\AppData\Roaming\dfmlyl\gifnolcim
C:\Users\%UserName%\AppData\Roaming\dfmlyl\hyvur.exe :: Random 파일명(정상 파일)
C:\Users\%UserName%\AppData\Roaming\dfmlyl\wdmhky
C:\Users\%UserName%\AppData\Roaming\dfmlyl\yiydjauo
C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Start.lnk

 

 

최초 감염된 환경에서는 숨김(H) 폴더 속성값을 가진 "C:\Users\%UserName%\AppData\Roaming\dfmlyl" 폴더를 생성하여 내부에 JS 악성 스크립트와 관련 파일을 생성합니다.

 

이를 통해 실행된 프로세스 정보를 살펴보면 Random 파일명으로 생성 및 실행된 "C:\Users\%UserName%\AppData\Roaming\dfmlyl\hyvur.exe" 파일은 "C:\Windows\System32\wscript.exe" 시스템 파일(Microsoft ® Windows Based Script Host)을 복사하여 악성 JS 스크립트 파일을 로딩하는데 활용하는 것을 알 수 있습니다.

 

특히 사용자가 실행 중인 hyvur.exe 프로세스 종료를 시도할 경우 프로세스 보호 기능을 통해 재생성이 이루어지며, 부모 프로세스인 wscript.exe 프로세스를 종료 시도할 경우 shutdown /p /f 명령어 실행을 통해 강제로 Windows 종료를 통해 자신을 종료하지 못하게 방해하는 행위가 존재합니다.

 

또한 숨김(H) 속성 처리가 이루어진 자신의 존재를 숨길 목적으로 다음과 같은 레지스트리 값을 기본값으로 수정합니다.

 

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
 - Hidden = 2 (기본값) :: 숨김 파일, 폴더 또는 드라이브 표시 안 함
 - ShowSuperHidden = 0 (기본값) :: 보호된 운영 체제 파일 숨기기(권장) 체크

이를 통해 Windows 탐색기를 통해 숨김(H) 속성값을 가진 폴더가 표시되지 않도록 변경하며, 만약 사용자가 레지스트리 값 수정을 위해 레지스트리 편집기(regedit)를 비롯한 다음과 같은 프로그램을 감시하여 실행되지 않도록 차단합니다.

 

regedit, windows-kb, mrt, rstrui, msconfig, procexp, avast, avg, mse, ptinstall, sdasetup, issetup, fs20, mbam, housecall, hijackthis, rubotted, autoruns, avenger, filemon, gmer, hotfix, klwk, mbsa, procmon, regmon, sysclean, tcpview, unlocker, wireshark, fiddler, resmon, perfmon, msss, cleaner, otl, roguekiller, fss, zoek, emergencykit, dds, ccsetup, vbsvbe, combofix, frst, mcshield, zphdiag

이렇게 감염된 Bondat 악성코드는 시작프로그램 영역에 추가된 Start.lnk 바로 가기 파일을 통해 Windows 부팅 시마다 자동 실행되며, 이를 통해 C:\Users\%UserName%\AppData\Roaming\dfmlyl\hyvur.exe "C:\Users\%UserName%\AppData\Roaming\dfmlyl\farwekrr.js" 파일이 동작하도록 진행합니다.

 

재부팅 시마다 "C:\Users\%UserName%\AppData\Roaming\dfmlyl" 폴더에 wscript.exe 시스템 파일을 Random한 파일명으로 추가 생성하여 프로세스 상에서는 모두 정상적인 파일만 동작하는 것처럼 자신을 숨깁니다.

 

하지만 실행된 hyvur.exe + lxwly.exe 파일(= wscript.exe 정상 파일)은 "C:\Users\%UserName%\AppData\Roaming\dfmlyl\farwekrr.js" 악성 스크립트을 로딩하여 역할을 수행합니다.

 

최초 문의한 감염자의 경우 USB 드라이브에 존재하는 Drive.bat 배치 파일을 삭제한 이후에도 지속적으로 재생성되는 이유의 경우 감염된 환경에서는 "C:\Windows\System32\cacls.exe" 시스템 파일(제어 ACLs 프로그램)을 통해 생성되는 관련 악성 파일을 지속적으로 생성 및 권한을 지정하는 행위를 수행하기 때문입니다.

 

예를 들어 cacls C:\Users\%UserName%\AppData\Roaming\dfmlyl\farwekrr.js /T /E /G Users:(드라이브 문자) /C 명령어를 지속적으로 실행할 수 있습니다.

 

 

감염된 환경에서는 "95.153.31.18" 서버로 PC 정보를 전송할 수 있으며, 그 외 특정 명령을 받아올 수 있습니다.

 

 

확인된 대표적인 악성 기능으로는 Internet Explorer 웹 브라우저의 홈 페이지를 "login.gulfeconnection.com" 주소로 강제로 변경을 시도할 수 있습니다.

 

 

최종적으로 연결된 홈 페이지 주소는 구글 애드센스(Google AdSense) 광고 배너가 포함된 콘텐츠가 노출되고 있으며, 추정해보면 Bondat 웜(Worm)의 주 목적은 광고 수익이 아닌가 의심됩니다.

 

앞서 언급한 것처럼 Bondat Worm 감염 환경에서는 사용자가 프로세스를 강제 종료한 후 자신을 삭제하지 못하도록 프로세스 종료 시도 시 Windows 종료가 자동으로 진행되므로 반드시 안전 모드(F8)로 부팅하여 관련 폴더(파일)를 찾아서 삭제하시기 바랍니다.

 

또한 감염된 USB 드라이브의 경우에는 중요 자료는 따로 백업한 후 USB 드라이브 포맷을 통해 내부에 존재하는 악성 파일을 모두 삭제하시기 바랍니다.

728x90
반응형
  • 아랍어가 나오는군요.왠지 아랍어권을 사용자를 겨냥해서 제작된 악성코드인것 같기도 합니다.

  • ㅇㅇ 2017.04.13 00:05 댓글주소 수정/삭제 댓글쓰기

    USB 안의 자료는 감염시키지 못하나요?

  • 감염된것 같아요... 2017.05.29 17:16 댓글주소 수정/삭제 댓글쓰기

    학교 컴퓨터에 이게 뜨네요... USB 꽂았더니 DRIVE.BAT 파일도 생겼구요...
    여기 있는 USB파일들을 다른 USB로 옮기는게 될까요?? 또 옮긴것을 실행해도 될런지요..

    • 해당 Worm은 USB를 통해 전파될 수 있으므로 감염된 기기에 USB를 연결한 경우에는 반드시 USB 포맷하셔야 합니다.

      단, 포맷 전에 내부에 있는 정상적인 파일을 따로 PC에 백업을 하시기 바랍니다.

      주의할 점은 동일한 파일명을 가진 악성 파일과 정상 파일을 혼동하지 않도록 확장명을 잘 확인하시기 바랍니다.

  • 감염된것 같아요... 2017.05.29 17:32 댓글주소 수정/삭제 댓글쓰기

    USB에 있는 내용물들이 Drive 폴더가 생성되어 거기로 옮겨졌는데요.... 이것들을 USB 포맷하기전에 다 pc로 백업을 하시라는 말씀이시죠??

    • 원래 USB에 보관 중인 정상적인 문서, 사진 같은 파일은 살리고 USB를 포맷하신다면 말씀처럼 파일을 찾아서 PC에 백업하시고 USB를 포맷하시기 바랍니다.

  • 탄이 2017.06.07 18:14 댓글주소 수정/삭제 댓글쓰기

    유에스비 커니까 드라이브라고 생성되어있고
    배치프로그램? 이라고 옆에적혀잇던데
    누르면 코드같은거 입력하는 검은 화면 떳다가
    없어지고 아무것도 실행안되는데
    안에 중요한 자료가 너무많은데
    이거 바이러스 먹엇어도 따로 뺄수있는건가요?
    컴맹이라 읽어도 무슨말인지 모르겠어서요ㅠㅠ
    이미 저렇게 감염된 유에스비를 제노트북에 꽂으면
    노트북도 감염되는건가요??

    • 우선 USB에서 사용자가 필요한 파일을 찾아서 PC에 백업하시고 USB 자체를 포맷하시기 바랍니다.

      단지 USB에서 원래 저장되어 있던 파일이 숨김 속성 등으로 찾을 수 없게 되어 있을 수 있으므로 폴더 옵션에서 숨김 파일을 볼 수 있게 옵션을 변경하신 후 찾으시기 바랍니다.

      그리고 배치 파일을 클릭해서 사용자가 추가적으로 감염을 또 시킨 것 같은데 USB에 연결되었던 PC도 감염된 것으로 보이므로, 백신을 이용하여 정밀 검사를 해서 악성 파일을 제거하셔야 할겁니다.

      제가 특별히 뭘 삭제하라고 언급할 수 없는 이유는 감염 시 랜덤한 폴더(파일)명으로 생성되기 때문이므로, 블로그에 게시한 내용을 참고하여 유사한 형태로 생성된 파일을 직접 찾으셔야 합니다.

  • 탄이 2017.06.07 18:30 댓글주소 수정/삭제 댓글쓰기


    아 그러면 일단유에스비 연결해서
    컴퓨터에서 파일자체를 검색해서 빼고
    제가 어떤게 감염파일인지 모르니까
    유에스비 자체를 포맷시키란 말씀이죠??...

    • USB에서 백업해둘 파일이 있으면 먼저 파일을 찾아서 안전한 위치에 저장한 후 USB 포맷하고 PC에 존재하는 악성 파일도 찾아서 제거하시면 됩니다.

  • 탄이 2017.06.07 18:34 댓글주소 수정/삭제 댓글쓰기

    ㅠㅠㅠㅠㅠ완전 진짜 감사드려요
    파일 못찾을줄알았는데
    말씀해주신대로 해보겠습니다
    컴맹 도움주셔서 감사합니다 👍🏻👍🏻👍🏻

  • 비밀댓글입니다

  • 보라침투 2018.10.18 21:27 댓글주소 수정/삭제 댓글쓰기

    이 바이러스 때문에 골치인데요. 간편히 이거 치료하는 백신은 뭐 없을까요? F8을 눌러서 감염파일을 찾아서 지워라 하시는데 복잡해서 잘 모르겠네요. V3시큐리티9.0으로는 탐지및치료가 안되는 듯한데요.