zinkhole

탐지시간

2017-11-14

파일명

1100.exe

MD5

a89b4d2cb194bdb2eade4f0834107990

진단명

A/V Name	Detection Name	Version
AhnLab-V3	-	-
ViRobot	-	-
ALYac	-	-

 

1. 파일 동작 순서

                                         [그림] 파일 동작 순서도

악성파일 실행 시 파일복제를 하고 원본을 삭제하며 정상적인 explorer 프로세스에

코드인젝션되어 브라우저 정보가 있는 xxx.txt 파일을 생성한다.

 

2. 분석 정보

2-1. 파일 정보

구분	내용
파일명	cardwave.exe
파일크기	454kb
악성동작	브라우저 정보(계정, 접속URL) 유출

 

2-3. 생성파일 정보

파일 종류	파일명
실행파일	C:\Users\사용자\AppData\Roaming\Microsoft\CewmPQEC\cardwave.exe

 

 

2-4. 레지스트리 정보

구분	경로
생성	HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ dbnedlgs

 

3. 파일 동작

3-1. 복제파일 생성

악성파일 실행 시 Cardwave.exe 이름으로 파일복제를 하고 원본을 삭제

 

3-2. 코드 인젝션

복제된 파일(Cardwave.exe)은 정상적인 프로세스(explorer.exe)에 코드인젝션되어 실행

 

3-3. 브라우저 정보 수집

                                      [그림] 로그인 테스트

                                 [그림] 브라우저 정보 저장

사용자가 웹사이트에 계정정보 입력 시 접속URL과 계정정보가 저장

 

3-4. 추가파일 다운로드

추가파일 다운로드 시도하지만 해당 서버에 파일 존재하지 않음

대응방법

□ 해당 경로에 악성파일 존재 시 삭제

C:\Users\사용자\AppData\Roaming\Microsoft\CewmPQEC\cardwave.exe

□ 레지스트리 시작프로그램 등록 삭제

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\dbnedlgs

□ 최신 백신 업데이트 후 수동 바이러스 점검 및 치료

□ 치료 불가시 랜케이블 제거 및 안전모드 부팅 후 검사 및 치료

□ 사용자가 이용하는 사이트의 비밀번호 변경