울지않는벌새 : Security, Movie & Society

발렌타인(Valentine) 트로이목마 - Waledac

벌새::Analysis
최근 각종 행사나 기념일을 포적으로 하는 Waledac(일명 Iksmas) 트로이목마가 유포되고 있는 실정입니다.

특히 작년 연말, 새해, 미국 대통령 취임식, 발렌타인 등을 이용하여 다양한 변종이 유포되고 있는 것으로 보입니다.


유포 방식은 이메일이나 특정 악의적인 링크를 통해 위와 같은 하트 모양의 그림 파일이 존재하는 사이트에 접속하여 다양한 형태의 파일명을 가진 트로이목마를 다운로드하게 만들고 있습니다.


you.exe / love.exe / meandyou.exe 파일 등 파일명은 다양하게 존재하는 것으로 보입니다.

Antivirus Version Last Update Result
a-squared 4.0.0.93 2009.01.29 -
AhnLab-V3 5.0.0.2 2009.01.29 -
AntiVir 7.9.0.60 2009.01.29 -
Authentium 5.1.0.4 2009.01.28 W32/Waledac.2!Generic
Avast 4.8.1281.0 2009.01.28 -
AVG 8.0.0.229 2009.01.29 -
BitDefender 7.2 2009.01.29 Trojan.Waledac.Gen.1
CAT-QuickHeal 10.00 2009.01.29 -
ClamAV 0.94.1 2009.01.29 -
Comodo 952 2009.01.29 -
DrWeb 4.44.0.09170 2009.01.29 -
eSafe 7.0.17.0 2009.01.29 -
eTrust-Vet 31.6.6334 2009.01.29 -
F-Prot 4.4.4.56 2009.01.28 W32/Waledac.2!Generic
F-Secure 8.0.14470.0 2009.01.29 -
Fortinet 3.117.0.0 2009.01.29 -
GData 19 2009.01.29 Trojan.Waledac.Gen.1
Ikarus T3.1.1.45.0 2009.01.29 -
K7AntiVirus 7.10.609 2009.01.29 -
Kaspersky 7.0.0.125 2009.01.29 -
McAfee 5509 2009.01.28 -
McAfee+Artemis 5509 2009.01.28 -
Microsoft 1.4205 2009.01.29 -
NOD32 3811 2009.01.29 -
Norman 6.00.02 2009.01.29 -
nProtect 2009.1.8.0 2009.01.29 -
Panda 9.5.1.2 2009.01.29 -
PCTools 4.4.2.0 2009.01.29 -
Prevx1 V2 2009.01.29 Cloaked Malware
Rising 21.13.42.00 2009.01.23 -
SecureWeb-Gateway 6.7.6 2009.01.29 Trojan.LooksLike.Pakes
Sophos 4.38.0 2009.01.29 -
Sunbelt 3.2.1835.2 2009.01.16 -
Symantec 10 2009.01.29 W32.Waledac
TheHacker 6.3.1.5.232 2009.01.29 -
TrendMicro 8.700.0.1004 2009.01.29 -
VBA32 3.12.8.11 2009.01.29 -
ViRobot 2009.1.29.1580 2009.01.29 -
VirusBuster 4.5.11.0 2009.01.28 -
Additional information
File size: 392704 bytes
MD5...: 7232751c59610f4e06dd16ec9d623a79
SHA1..: 8f5a9f82243f01f33e008da19e386ed6b0a4afc5


변종일 경우 해외 유명 보안 제품 역시 Generic 진단을 제외하고는 제대로 진단하는 제품을 찾기 힘들어 보입니다.

[레지스트리 생성]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - PromoReg = 경로 및 파일명

■ 특정 포트(Port) 오픈 및 원격 서버 접속을 통한 사용자 정보 유출

213.xx.5.156:80 (네덜란드)
70.xxx.176.215:80 (미국)
84.xx.228.132:80 (독일)

전 세계 다양한 서버와 연결되는 것을 보면 광범위하게 유포되고 감염된 상태임을 추정할 수 있습니다.

악성코드의 유포 방식 중의 하나가 특정일, 사건 등을 이용하는 방식이 사용되고 있으므로 신뢰할 수 없는 이메일 또는 사이트에서 제공하는 파일은 다운로드하여 실행하지 않도록 주의하시기 바랍니다.