본문 바로가기
Malwares 분석

svchost.exe

by 글벌레 2010. 2. 12.
반응형

오늘은 자신이 Microsoft에서 제공한 파일이라고 속이면서
BITS 서비스를 이용해 무엇인가 빼돌리는 악성코드에 대하여 안내해 보고자 합니다.

본문에 앞서 본 포스트 작성에 이용된 도구들을 소개해 드리고
BITS 서비스에 대한 안내부터 드립니다.

본 포스트에서 이용된

악성코드의 행동을 관찰하는데 도움이 되는 도구들을 소개한 글벌레의 글들은

2009/10/17 - [프로그램 리뷰] - ProcessExplorer
2009/03/24 - [프로그램 리뷰] - RegFromApp
2009/05/08 - [프로그램 리뷰] - TCPView - 해킹 여부 확인 ( 인터넷 연결 상태 확인하기 )
2009/03/17 - [프로그램 리뷰] - HashMyFiles v1.43 - Calculate MD5/SHA1/CRC32

아래 세개의 글은 모두 샌드박시 관련
2010/01/04 - [프로그램 리뷰] - Sandboxie 3.42 판올림
2009/07/29 - [유용한 팁들] - 안전하게 파일 다운로드하기
2009/09/18 - [프로그램 리뷰] - WinX DVD Ripper

Autoruns 관련
2009/08/20 - [유용한 팁들] - 백신에 안잡히는 악성코드 잡아내는 법
 BITS
유휴 상태의 네트워크 대역폭을 사용하여 백그라운드에 있는 파일을 전송합니다. 서비스를 중지하면, Windows Update나 MSN Explorer 등에서 자동으로 프로그램이나 다른 정보를 다운로드할 수 없습니다.  서비스를 사용하지 않도록 설정하면, BITS를 사용하지 않고 IE를 통해 파일을 직접 전송하는 오류 보호 메카니즘을 가지고 있지 않다면, 관련된 모든 서비스에서 파일을 전송할 수 없습니다. 

관련 프로세스 - Microsoft Corporation c:\windows\system32\svchost.exe 

 

소개할 악성코드의 파일명은 svchost.exe입니다.

이 파일 역시 제 시스템 복원점 안에 있었습니다만, 이번 행태(行態)관찰을 통해
역시 제 시스템은 이 악성코드에 감염이 되지 않았음을 확인하였습니다.
제 시스템이 무슨 honeypot도 아니고, 웬 악성코드들 범람? ㅠ ㅜ
  
이게 시스템 복원점에 남은 이유는 이 악성코드가 침범한 당시에는 AVG가 진단을 못했음에
기인할 것으로 보입니다. 현재는 AVG를 포함해 거의 모든 백신들이 진단 중입니다.
진단 결과는 포스트 맨 아래에 첨부합니다.

관찰에 앞서 한 가지만 첨언하면

요즘 좀비 PC 방지법에 대한 검토가 이루어지고 있는 것으로 압니다.
그런데 글벌레의 시스템들은 한결같이 철통(?) 보안 속에 있고,
(신뢰되지 않은 영역의 ) 웹 서핑은 주로 샌드박시를 통해서 하고 있습니다.
그러나 그럼에도 불구하고 자꾸 시스템에 무엇인가가 침입을 합니다.
이게 요즘 악성코드들이 백신의 실시간 감시 및 방화벽을 bypass 하는 기법을 구사하는지
어떤지까지는 글벌레가 잘 모르겠습니다.

그런데 확실한 것은 백신으로 침입 자체를 막을 수는 없고,
또 진단 못하는 경우가 다반사 존재하므로
감염도 막을 수는 없다는 것입니다.
그럼에도 사용자 PC에서 백신의 설치 여부를 검사해서 좀비 PC를

방지하자는 것은 넌센스로 보입니다. 물론 백신이 시스템에 꼭 설치는 되어 있어야 하겠지만
앞서 언급했듯 만능은 아닌 걸, 그 설치 여부를 검색하고자 ActiveX를 통한 무엇인가를 구사한다면 그것이 오히려 좀비스러운 것이 아닌가 생각이 들어서 이렇게 짧게 메모를 남겨 봅니다.

시스템의 백신을 검색하느니 차라리 인터넷 쇄국정책(?)이 더욱 효과적이지 싶습니다만......
아마 이것은 국제적인 망신을 자초하는 길이겠죠?

참고로 글벌레의 시스템에 악성코드가 침범했음에도
감염이 안된 이유는

백신? 이것은 아닙니다. 침범 당시 진단을 못했으니까요!

감염이 안된 이유는
1. 악성코드 자체의 결점 - 침범 후 실행상 헛점 존재
2. 글벌레의 시스템 환경으로 - 항상 모든 보안 패치가 이루어져 있음
3. Comodo 방화벽의 ProActive Defense에 의한 차단
4. Sancboxie 내부 감염

위 네 가지 정도로 요약이 될 것 같습니다. 백신과는 무관합니다 !!!!!!!!


svchost.exe의 정상 경로는 %system% 입니다.
그런데 글벌레의 시스템에 침입했던 svchost.exe는 아마도 windows 루트에 침입 후
실행된 후 소실된 것으로 판단됩니다.
관련 글 : : 2009/01/31 - [유용한 팁들] - svchost.exe의 정상 경로

먼저, 아래 짝퉁 svchost.exe의 정보입니다.


좀 더 실감나게 보여드리기 위하여 아래 파일 등록 정보를 직접 보여드리는데
빨간 형광펜으로 마킹한 것이 정상 scvhost.exe이고
하늘색 형광펜으로 마킹한 것이 짝퉁 악성코드 svchost.exe 입니다.

아래 그림들 중 네 번째 그림을 보면 파일 버전도 진짜와 같게 표시한 것을 볼 수 있는데
세 번째 그림에서 언어로 볼 때 이 악성코드는 중국발인 것으로 추측이 됩니다.


이제 이 악성코드 실행이 시스템에 준 변화입니다.

파일 추가 사항입니다.

%system%\RrmetfC.dll 추가 (파일 이름은 랜덤하게 생성됩니다.)
침입한 svchost.exe는 실행되면서 곧바로 소실됩니다.
레지스트리 변경 사항입니다.

[HKEY_CURRENT_USER\machine\SYSTEM\CurrentControlSet\Services\bits\Parameters]
"ServiceDll"=hex 값 변경시킴.


RrmetfC.dll 역시 당연히 악성코드 파일입니다.
진단 결과는 역시 맨 아래 첨부합니다.

RrmetfC.dll은 악성코드가 성공적으로 실행된 가상 환경 안에서만 존재하고
제 실제 시스템에는 존재하지 않았습니다.
그런데 이 파일은 실행 시마다 랜덤한 이름으로 생성됩니다.
(아래 그림이 RrmetfC.dll의 등록 정보인데 파일 이름이 다르게 생성된 경우입니다.)

 

진단명과 이 파일의 등록 정보에 붙은 STMP란 단어로 추론해 볼 때
이 악성코드는 게임 아이디 로그인 정보를 특정인에게 발송하거나 
또는 스팸 메일을 발송하는 용도로 제작된 악성코드로 보입니다.
(역시 마이크로소프트 파일인 것처럼 위장 중입니다.)

또 이런 추론이 가능한 이유는 이 악성코드가 변경시키는 서비스 사항 때문입니다.

실제 제 시스템의 BITS 서비스 항목 설정 상태입니다 .

 

아래는 악성코드가 실행된 가상 환경에서의 BITS 항목 설정 상태입니다. 


위 그림 두 개를 비교해 보시면 BITS 서비스가 자동으로 시작되도록 변경된 것이 확인 가능합니다.

이러한 사항은 Autoruns를 통해서도 확인이 가능합니다.
실제 제 시스템에서 본 시작점들입니다.

 

 

아래는 악성코드가 실행된 가상 환경에서 본 시작점들입니다.


두 개를 비교하면 가상 환경 내에서 BITS가 구동되었음을 볼 수 있습니다.

이 악성코드는 자신을 철저히 마이크로소프트 서비스인 것처럼 속이면서
실제로 마이크로소프트가 제공하는 서비스를 이용해 정보를 탈취하는 것으로 보입니다.

백신이 잡아내지 못하고 있을 때
이런 악성코드에 감염된다면 사용자는 별 여지없이 당하고 말 겁니다.

그렇다면 이런 악성코드에 대처하는 방법은 없을까요?

위에서도 관련 글로 링크 소개했던 글인데 다시 한번 소개 하면서 이만 글을 줄입니다 .
모두에게 도움이 되는 정보였으면 합니다 .

2009/08/20 - [유용한 팁들] - 백신에 안잡히는 악성코드 잡아내는 법

검사 파일: svchost.exe 전송 시각: 2010.02.11 18:37:25 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.5.0.50 2010.02.11 Virus.Win32.Virut.bl!IK
AhnLab-V3 5.0.0.2 2010.02.11 Win-Trojan/Agent.83968.CO
AntiVir 7.9.1.160 2010.02.11 TR/Crypt.FKM.Gen
Antiy-AVL 2.0.3.7 2010.02.11 Trojan/Win32.Xih.gen
Authentium 5.2.0.5 2010.02.11 -
Avast 4.8.1351.0 2010.02.11 Win32:Gamona
AVG 9.0.0.730 2010.02.11 PSW.OnlineGames.AA
BitDefender 7.2 2010.02.11 GenPack:Backdoor.Generic.123030
CAT-QuickHeal 10.00 2010.02.11 (Suspicious) - DNAScan
ClamAV 0.96.0.0-git 2010.02.11 -
Comodo 3900 2010.02.11 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.1.12222 2010.02.11 Trojan.Packed.551
eSafe 7.0.17.0 2010.02.11 Win32.TRCrypt.Fkm
eTrust-Vet 35.2.7296 2010.02.11 -
F-Prot 4.5.1.85 2010.02.11 -
F-Secure 9.0.15370.0 2010.02.11 GenPack:Backdoor.Generic.123030
Fortinet 4.0.14.0 2010.02.11 W32/Suspect_02.03B557FC223C!tr
GData 19 2010.02.11 GenPack:Backdoor.Generic.123030
Ikarus T3.1.1.80.0 2010.02.11 Virus.Win32.Virut.bl
Jiangmin 13.0.900 2010.02.08 Heur:Backdoor/Huigezi
K7AntiVirus 7.10.971 2010.02.11 Trojan.Win32.Xih.rm
Kaspersky 7.0.0.125 2010.02.11 Trojan.Win32.Xih.rm
McAfee 5889 2010.02.11 Suspect-02!03B557FC223C
McAfee+Artemis 5889 2010.02.11 Suspect-02!03B557FC223C
McAfee-GW-Edition 6.8.5 2010.02.11 Heuristic.LooksLike.Win32.Suspicious.B
Microsoft 1.5406 2010.02.11 Backdoor:Win32/Agent.FR
NOD32 4859 2010.02.11 a variant of Win32/Kryptik.NX
Norman 6.04.08 2010.02.11 Obfuscated.S
nProtect 2009.1.8.0 2010.02.11 -
Panda 10.0.2.2 2010.02.11 Trj/CI.A
PCTools 7.0.3.5 2010.02.11 Trojan.Generic
Prevx 3.0 2010.02.11 -
Rising 22.34.01.03 2010.02.11 Packer.Win32.Agent.bd
Sophos 4.50.0 2010.02.11 Mal/Behav-066
Sunbelt 3.9.2398.2 2010.02.11 Trojan.Win32.Generic!BT
Symantec 20091.2.0.41 2010.02.11 Trojan Horse
TheHacker 6.5.1.1.189 2010.02.11 Trojan/Kryptik.nx
TrendMicro 9.120.0.1004 2010.02.11 BKDR_AGENT.AOEQ
VBA32 3.12.12.2 2010.02.11 BScope.Trojan.8171722
ViRobot 2010.2.11.2182 2010.02.11 Trojan.Win32.Xih.83968
VirusBuster 5.0.21.0 2010.02.11 Trojan.Hupigon.Gen!Pac.6
 

 

검사 파일: RrmetfC.dll 전송 시각: 2010.02.11 19:30:10 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.5.0.50 2010.02.11 Virus.Win32.Gamona!IK
AhnLab-V3 5.0.0.2 2010.02.11 Win-Trojan/Pcclient.75776
AntiVir 7.9.1.160 2010.02.11 TR/Crypt.FKM.Gen
Antiy-AVL 2.0.3.7 2010.02.11 Backdoor/Win32.Nbdd.gen
Authentium 5.2.0.5 2010.02.11 W32/SuspPack.AC.gen!Eldorado
Avast 4.8.1351.0 2010.02.11 Win32:Gamona
AVG 9.0.0.730 2010.02.11 Win32/Heur
BitDefender 7.2 2010.02.11 MemScan:Backdoor.PcClient.TFU
CAT-QuickHeal 10.00 2010.02.11 -
ClamAV 0.96.0.0-git 2010.02.11 -
Comodo 3901 2010.02.11 Backdoor.Win32.Nbdd.lw
DrWeb 5.0.1.12222 2010.02.11 Trojan.Packed.551
eSafe 7.0.17.0 2010.02.11 Win32.TRCrypt.Fkm
eTrust-Vet 35.2.7296 2010.02.11 -
F-Prot 4.5.1.85 2010.02.11 W32/SuspPack.AC.gen!Eldorado
F-Secure 9.0.15370.0 2010.02.11 MemScan:Backdoor.PcClient.TFU
Fortinet 4.0.14.0 2010.02.11 W32/Nbdd.LV!tr.bdr
GData 19 2010.02.11 MemScan:Backdoor.PcClient.TFU
Ikarus T3.1.1.80.0 2010.02.11 Virus.Win32.Gamona
Jiangmin 13.0.900 2010.02.08 Heur:Backdoor/Huigezi
K7AntiVirus 7.10.971 2010.02.11 Backdoor.Win32.Nbdd.lw
Kaspersky 7.0.0.125 2010.02.11 Backdoor.Win32.Nbdd.lv
McAfee 5889 2010.02.11 Suspect-02!18765EF0E968
McAfee+Artemis 5889 2010.02.11 Suspect-02!18765EF0E968
McAfee-GW-Edition 6.8.5 2010.02.11 Trojan.Crypt.FKM.Gen
Microsoft 1.5406 2010.02.11 Backdoor:Win32/PcClient.ZL
NOD32 4859 2010.02.11 a variant of Win32/Kryptik.NX
Norman 6.04.08 2010.02.11 -
nProtect 2009.1.8.0 2010.02.11 Backdoor/W32.Nbdd.75776.C
Panda 10.0.2.2 2010.02.11 Trj/Downloader.MDW
PCTools 7.0.3.5 2010.02.11 Backdoor.Formador
Prevx 3.0 2010.02.11 High Risk Cloaked Malware
Rising 22.34.01.03 2010.02.11 Packer.Win32.Agent.bd
Sophos 4.50.0 2010.02.11 Mal/Generic-A
Sunbelt 3.9.2398.2 2010.02.11 Trojan.Win32.Generic!BT
Symantec 20091.2.0.41 2010.02.11 Backdoor.Formador
TheHacker 6.5.1.1.189 2010.02.11 Backdoor/Nbdd.lv
TrendMicro 9.120.0.1004 2010.02.11 -
VBA32 3.12.12.2 2010.02.11 BScope.Trojan.8171722
ViRobot 2010.2.11.2182 2010.02.11 Backdoor.Win32.Nbdd.75776
VirusBuster 5.0.21.0 2010.02.11 Trojan.Hupigon.Gen!Pac.6
 
추가 정보
File size: 75776 bytes
MD5   : 18765ef0e9680b2469cedf87b567ccd9
SHA1  : e93287c1a8f0d5383160e6655714de49027b39fc
SHA256: 8a811a49b8a1acf84e6aabd35b8c0fab18de395dab1026dfe4db65bf11aa34d4
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x188F1
timedatestamp.....: 0x49097F40 (Thu Oct 30 10:32:48 2008)
machinetype.......: 0x14C (Intel I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x17000 0x200 7.28 fd92afdc1b309992c1429e49df7f7030
UPX1 0x18000 0xE000 0xD800 7.99 14e529d6dada69e56c6e2f54e3bd9a0b
.rsrc 0x26000 0x1000 0x600 2.42 5703d3a0fe11f547880a49cb821014b6

( 1 imports )

> kernel32.dll: GetModuleHandleA, LoadLibraryA, GetProcAddress

( 1 exports )

> K, K, K, K
TrID  : File type identification
UPX compressed Win32 Executable (60.2%)
Win32 Executable Generic (16.8%)
Win32 Dynamic Link Library (generic) (14.9%)
Generic Win/DOS Executable (3.9%)
DOS Executable Generic (3.9%)
ThreatExpert:
ssdeep: 1536:38VAZ0GbOPZHuIWiOulvY59lTnG2a1s+da4NH:MVAeGbAtA3Evs1QjNH
Prevx Info:
PEiD  : -
 
반응형

'Malwares 분석' 카테고리의 다른 글

네이트온 악성코드를 헤쳐 보았다 .  (0) 2010.06.02
image.rar - 네이트온 악성코드  (6) 2010.03.28
see.scr - MD5 : 01512107cdf5ed9654c69a0157ce52ec  (5) 2010.03.09
stat.exe - infostealer  (8) 2010.03.07
flash.exe  (1) 2009.06.27
svhost.exe  (0) 2009.04.10
itynfu.exe  (0) 2009.04.06
dr.exe  (1) 2009.03.19

댓글