rain9.com

해외 사이트를 통해 참고한 바 주요 기능으로는 아래와 같다.
-    Windows Defender, Windows Firewall, Outpost, Avira, Kaspersky, AVG, and CA사 제품의 사용을 disables한다
-    안전모드 상태에서 루트킷을 설치하고, kernel debugger를 disables한다.
-    Keylog와 system 정보, 스크린샷, Com hook를 통한 brower envet를 훔치고, 비밀번호와 웹 쿠키, 인증서를 훔치게 된다.
-    Promiscuous 모드로 FTP와 POP3 비밀번호를 스니핑하게 된다.

그러나 실제로 Windows Firewall은 disable되지는 않았다. 백신과 관련된 함수 부분에서는 Windows Firewall과 관련된 부분을 찾지 못하였다.(잘못된 분석으로 판단됨. 혹은 내가 못 찾은건지도)

추가적으로 아래 프로세스가 실행중이라면 종료시켜 버린다.
# Firefox.exe
# IEXPLORE.EXE
# SHELLPRO.EXE
# STOCKS.EXE
# WAOL.EXE

트로이목마답게 자체 전파기능을 가지고 있지는 않다.
C:\Documents and Settings\Administrator\Local Settings\Temp
C:\WINDOWS\system32\drivers
temp 경로에는 6KB의 7~8자리의 랜덤한 숫자 파일명으로된 exe파일을 생성하고
drivers 경로에는 78KB의 11자리의 랜덤한 문자 파일명으로된 sys파일을 생성하게 된다.

한글 윈도우에서는 services.exe 파일 오류가 발생하며 운영체제가 정상적으로 작동하지 않게 된다.
좀 더 확인이 필요하겠지만 영문윈도우에서는 services.exe 오류가 나타나지 않았다는 사람이 있으므로
영문 윈도우나 비스타를 대상으로한(Windows Defender 검사로 추측) 악성코드인듯 싶기도 하다.


해외 사이트에서도 밝히고 있듯이 굉장히 정교하게 만들어졌다고 한다.
내가 봐도 정교한듯.....난 잘 모르지만
세세하게 temp 경로에 생성된 exe파일의 경우 Mircosoft Coporation과 버전에 대한 파일정보가 들어가 있었다. 하나 특이사항은 언어가 러시아어로 되어 있다는 점....
2008년 11월에 처음 발견되었다고 한다. 국내보다는 해외쪽에서 유명세를 떨치고 있는듯...
현재 분석 해보는 중이나 실력이 미비하여 완료할 수 있을지 모르겠다.
V3-Lite에서는 두번째 샘플 채취한것에서 언패킹하고 나온 UPX를 다시 언패킹해서 나온 오리지날 파일은 진단하지 못하였다.(알약은 진단)
검사 결과항목에서 보면 V3와 nProtect가 진단을 하지 못한 걸로 나와 있고,
DrWeb은 모든 파일을 다 진단하지 못한다고 나와 있었다.
아무래도 바이러스 체이서가 DrWeb 엔진이므로 Tigger 자체를 진단하지 못하는 것으로 판단이 된다.


가장 먼저 수집한 샘플 파일 malware.exe의 검사 결과
http://www.virustotal.com/ko/analisis/9793aa8627174c2f45355888904d2b09

해당 파일을 unpacking하였더니 나온 UPX로 된 파일을 다시 unpacking하여 나온 오리지날 파일 검사 결과
http://www.virustotal.com/ko/analisis/59cee3e592a54b8d674293f0cb7a1207

악성코드 감염시 생기는 랜덤숫자 7~8자리 .exe파일 검사 결과
http://www.virustotal.com/ko/analisis/741c9a62ecfd03e0a51f015472b78882

악성코드 감염시 생기는 랜덤파일명.sys 파일 검사 결과
http://www.virustotal.com/ko/analisis/9eb011afa6cb3f6758752abb40358f5a

추가.
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed
Type: REG_BINARY, Length: 80, Data: 69 E7 B5 B6 94 CF 1A 4E 6F 3A 19 B3 81 DD 5C 83
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\tdss
Type: REG_SZ, Length: 92, Data: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\3288828.exej
HKLM\System\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
Type: REG_MULTI_SZ, Length: 92, Data: \??\C:\WINDOWS\system32\drivers\ws2ifsl.sys,
HKLM\System\CurrentControlSet\Services\fhbsfczjhop.sys\ImagePath
Type: REG_EXPAND_SZ, Length: 96, Data: \??\C:\WINDOWS\system32\drivers\fhbsfczjhop.sys
HKLM\System\CurrentControlSet\Services\fhbsfczjhop.sys\Type
Type: REG_DWORD, Length: 4, Data: 2
HKLM\System\CurrentControlSet\Services\fhbsfczjhop.sys\Start
Type: REG_DWORD, Length: 4, Data: 2
HKLM\System\CurrentControlSet\Services\fhbsfczjhop.sys\ErrorControl
Type: REG_DWORD, Length: 4, Data: 0
HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\fhbsfczjhop.sys\ImagePath
Type: REG_EXPAND_SZ, Length: 96, Data: \??\C:\WINDOWS\system32\drivers\fhbsfczjhop.sys
HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\fhbsfczjhop.sys\Type
Type: REG_DWORD, Length: 4, Data: 2
HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\fhbsfczjhop.sys\Start
Type: REG_DWORD, Length: 4, Data: 2
HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\fhbsfczjhop.sys\ErrorControl
Type: REG_DWORD, Length: 4, Data: 0
HKLM\System\CurrentControlSet\Control\SafeBoot\Network\fhbsfczjhop.sys\ImagePath
Type: REG_EXPAND_SZ, Length: 96, Data: \??\C:\WINDOWS\system32\drivers\fhbsfczjhop.sys
HKLM\System\CurrentControlSet\Control\SafeBoot\Network\fhbsfczjhop.sys\Type
Type: REG_DWORD, Length: 4, Data: 2
HKLM\System\CurrentControlSet\Control\SafeBoot\Network\fhbsfczjhop.sys\Start
Type: REG_DWORD, Length: 4, Data: 2
HKLM\System\CurrentControlSet\Control\SafeBoot\Network\fhbsfczjhop.sys\ErrorControl
Type: REG_DWORD, Length: 4, Data: 0
HKLM\System\CurrentControlSet\Services\fhbsfczjhop.sys\ImagePath
Type: REG_EXPAND_SZ, Length: 96, Data: \??\C:\WINDOWS\system32\drivers\fhbsfczjhop.sys
HKLM\System\CurrentControlSet\Services\fhbsfczjhop.sys\Type
Type: REG_DWORD, Length: 4, Data: 2
HKLM\System\CurrentControlSet\Services\fhbsfczjhop.sys\Start
Type: REG_DWORD, Length: 4, Data: 2
HKLM\System\CurrentControlSet\Services\fhbsfczjhop.sys\ErrorControl
Type: REG_DWORD, Length: 4, Data: 0
HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\fhbsfczjhop.sys\ImagePath
Type: REG_EXPAND_SZ, Length: 96, Data: \??\C:\WINDOWS\system32\drivers\fhbsfczjhop.sys
HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\fhbsfczjhop.sys\Type
Type: REG_DWORD, Length: 4, Data: 2
HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\fhbsfczjhop.sys\Start
Type: REG_DWORD, Length: 4, Data: 2
HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\fhbsfczjhop.sys\ErrorControl
Type: REG_DWORD, Length: 4, Data: 0
HKLM\System\CurrentControlSet\Control\SafeBoot\Network\fhbsfczjhop.sys\ImagePath
Type: REG_EXPAND_SZ, Length: 96, Data: \??\C:\WINDOWS\system32\drivers\fhbsfczjhop.sys
HKLM\System\CurrentControlSet\Control\SafeBoot\Network\fhbsfczjhop.sys\Type
Type: REG_DWORD, Length: 4, Data: 2
HKLM\System\CurrentControlSet\Control\SafeBoot\Network\fhbsfczjhop.sys\Start
Type: REG_DWORD, Length: 4, Data: 2
HKLM\System\CurrentControlSet\Control\SafeBoot\Network\fhbsfczjhop.sys\ErrorControl
Type: REG_DWORD, Length: 4, Data: 0
HKLM\SYSTEM\ControlSet002\Services\fhbsfczjhop.sys\ImagePath
Type: REG_EXPAND_SZ, Length: 96, Data: \??\C:\WINDOWS\system32\drivers\fhbsfczjhop.sys
HKLM\SYSTEM\ControlSet002\Services\fhbsfczjhop.sys\Type
Type: REG_DWORD, Length: 4, Data: 2
HKLM\SYSTEM\ControlSet002\Services\fhbsfczjhop.sys\Start
Type: REG_DWORD, Length: 4, Data: 2
HKLM\SYSTEM\ControlSet002\Services\fhbsfczjhop.sys\ErrorControl
Type: REG_DWORD, Length: 4, Data: 0
HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\fhbsfczjhop.sys\ImagePath
Type: REG_EXPAND_SZ, Length: 96, Data: \??\C:\WINDOWS\system32\drivers\fhbsfczjhop.sys
HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\fhbsfczjhop.sys\Type
Type: REG_DWORD, Length: 4, Data: 2
HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\fhbsfczjhop.sys\Start
Type: REG_DWORD, Length: 4, Data: 2
HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\fhbsfczjhop.sys\ErrorControl
Type: REG_DWORD, Length: 4, Data: 0
HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Network\fhbsfczjhop.sys\ImagePath
Type: REG_EXPAND_SZ, Length: 96, Data: \??\C:\WINDOWS\system32\drivers\fhbsfczjhop.sys
HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Network\fhbsfczjhop.sys\Type
Type: REG_DWORD, Length: 4, Data: 2
HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Network\fhbsfczjhop.sys\Start
Type: REG_DWORD, Length: 4, Data: 2
HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Network\fhbsfczjhop.sys\ErrorControl
Type: REG_DWORD, Length: 4, Data: 0
HKLM\System\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
Type: REG_MULTI_SZ, Length: 188, Data: \??\C:\WINDOWS\system32\drivers\ws2ifsl.sys, , \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\3294765,

요약을 하게 되면,
레지에 tdss를 등록하여 3288828.exe가 실행되도록 하고
fhbsfczjhop.sys 파일을 서비스에 등록하여서 안전모드(최소모드,네트워크모드)로 부팅하여도 작동되게끔 만든다.
또한 현재 사용중인 C:\WINDOWS\system32\drivers\ws2ifsl.sys 파일을 재부팅시에
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\3294765 이 파일로 변경한다.
PendingFileRenameOperations 값은 보통 파일 이름을 바꾸거나 삭제하는 것으로 알고 있는데
여기서는 3294765 파일이 생성이 되고 위와 같이 나오는 것으로 보아 파일 자체를 교체하는 것으로 예상이 됨.
3294765 파일은 UPX를 언패킹한 파일 그 자체임...

사용된 파일명은 랜덤한 값이므로 그때그때 다름