1. 파일 동작 순서
schtasks.exe 명령에 의해 xml 파일을 생성하고 예약 작업에 등록되며, svchost.exe를 실행한다.
2. 분석 정보
2-1. 파일 정보
|
구분 |
내용 |
|
파일명 |
service.exe |
|
파일크기 |
517kb |
|
진단명 |
Trojan/Win32.MSIL.R192125 (V3) |
|
악성동작 |
C&C서버와 통신 (신용카드정보 유출) |
|
구분 |
내용 |
|
파일명 |
svchost.exe |
|
파일크기 |
156kb |
|
진단명 |
Trojan/Win32.Agent.C792331 (V3) |
|
악성동작 |
신용카드정보 수집 |
2-2. 프로세스 정보
service.exe와 svchost.exe 두 개의 프로세스를 생성한다.
2-3. 생성파일 정보
|
파일 종류 |
파일명 |
|
실행파일 |
C:\Users\cuckoo\AppData\Local\Temp\svchost.exe |
|
data |
C:\Users\cuckoo\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content\임의파일명 |
|
data |
C:\Users\cuckoo\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\임의파일명 |
|
data |
C:\Users\cuckoo\AppData\Local\Temp\TarDE29.tmp |
|
xml |
C:\Users\cuckoo\AppData\Local\Temp\z297 |
|
실행파일 |
C:\Users\cuckoo\AppData\Roaming\svchost.exe |
2-4. 레지스트리 정보
|
구분 |
경로 |
|
생성 |
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\JavaSEPlatformUpdater |
3. 파일 동작
3-1. 예약 작업 등록
3-2. 카드정보 수집
svchost.exe에 의해 메모리상에 있는 카드정보를 수집한다.
3-3. 카드정보 유출
service.exe를 통해 c&c 서버로 카드정보가 유출된다.
※ 메모리상에 카드정보가 없는 경우 mac 주소만 c&c서버로 전송
[c&c서버 위치]
'Malware > Analysis' 카테고리의 다른 글
| zinkhole (0) | 2018.11.29 |
|---|---|
| cuckoo 설치 (0) | 2017.02.15 |
| 악성코드 분석 교육 자료 (0) | 2017.01.25 |
| Anti VM 구현 (0) | 2017.01.18 |
