한국어

tc_backup

해외 사이트를 통해 참고한 바 주요 기능으로는 아래와 같다.
-    Windows Defender, Windows Firewall, Outpost, Avira, Kaspersky, AVG, and CA사 제품의 사용을 disables한다
-    안전모드 상태에서 루트킷을 설치하고, kernel debugger를 disables한다.
-    Keylog와 system 정보, 스크린샷, Com hook를 통한 brower envet를 훔치고, 비밀번호와 웹 쿠키, 인증서를 훔치게 된다.
-    Promiscuous 모드로 FTP와 POP3 비밀번호를 스니핑하게 된다.

그러나 실제로 Windows Firewall은 disable되지는 않았다. 백신과 관련된 함수 부분에서는 Windows Firewall과 관련된 부분을 찾지 못하였다.(잘못된 분석으로 판단됨. 혹은 내가 못 찾은건지도)

추가적으로 아래 프로세스가 실행중이라면 종료시켜 버린다.
# Firefox.exe
# IEXPLORE.EXE
# SHELLPRO.EXE
# STOCKS.EXE
# WAOL.EXE

트로이목마답게 자체 전파기능을 가지고 있지는 않다.
C:\Documents and Settings\Administrator\Local Settings\Temp
C:\WINDOWS\system32\drivers
temp 경로에는 6KB의 7~8자리의 랜덤한 숫자 파일명으로된 exe파일을 생성하고
drivers 경로에는 78KB의 11자리의 랜덤한 문자 파일명으로된 sys파일을 생성하게 된다.

한글 윈도우에서는 services.exe 파일 오류가 발생하며 운영체제가 정상적으로 작동하지 않게 된다.
좀 더 확인이 필요하겠지만 영문윈도우에서는 services.exe 오류가 나타나지 않았다는 사람이 있으므로
영문 윈도우나 비스타를 대상으로한(Windows Defender 검사로 추측) 악성코드인듯 싶기도 하다.


해외 사이트에서도 밝히고 있듯이 굉장히 정교하게 만들어졌다고 한다.
내가 봐도 정교한듯.....난 잘 모르지만
세세하게 temp 경로에 생성된 exe파일의 경우 Mircosoft Coporation과 버전에 대한 파일정보가 들어가 있었다. 하나 특이사항은 언어가 러시아어로 되어 있다는 점....
2008 11월에 처음 발견되었다고 한다. 국내보다는 해외쪽에서 유명세를 떨치고 있는듯...
현재 분석 해보는 중이나 실력이 미비하여 완료할 수 있을지 모르겠다.
V3-Lite에서는 두번째 샘플 채취한것에서 언패킹하고 나온 UPX를 다시 언패킹해서 나온 오리지날 파일은 진단하지 못하였다.(알약은 진단)
검사 결과항목에서 보면 V3와 nProtect가 진단을 하지 못한 걸로 나와 있고,
DrWeb은 모든 파일을 다 진단하지 못한다고 나와 있었다.
아무래도 바이러스 체이서가 DrWeb 엔진이므로 Tigger 자체를 진단하지 못하는 것으로 판단이 된다.


가장 먼저 수집한 샘플 파일 malware.exe의 검사 결과
http://www.virustotal.com/ko/analisis/9793aa8627174c2f45355888904d2b09

해당 파일을 unpacking하였더니 나온 UPX로 된 파일을 다시 unpacking하여 나온 오리지날 파일 검사 결과
http://www.virustotal.com/ko/analisis/59cee3e592a54b8d674293f0cb7a1207

악성코드 감염시 생기는 랜덤숫자 7~8자리 .exe파일 검사 결과
http://www.virustotal.com/ko/analisis/741c9a62ecfd03e0a51f015472b78882

악성코드 감염시 생기는 랜덤파일명.sys 파일 검사 결과
http://www.virustotal.com/ko/analisis/9eb011afa6cb3f6758752abb40358f5a

추가.
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed
Type: REG_BINARY, Length: 80, Data: 69 E7 B5 B6 94 CF 1A 4E 6F 3A 19 B3 81 DD 5C 83
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\tdss
Type: REG_SZ, Length: 92, Data: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\3288828.exej
HKLM\System\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
Type: REG_MULTI_SZ, Length: 92, Data: \??\C:\WINDOWS\system32\drivers\ws2ifsl.sys,
HKLM\System\CurrentControlSet\Services\fhbsfczjhop.sys\ImagePath
Type: REG_EXPAND_SZ, Length: 96, Data: \??\C:\WINDOWS\system32\drivers\fhbsfczjhop.sys
HKLM\System\CurrentControlSet\Services\fhbsfczjhop.sys\Type
Type: REG_DWORD, Length: 4, Data: 2
HKLM\System\CurrentControlSet\Services\fhbsfczjhop.sys\Start
Type: REG_DWORD, Length: 4, Data: 2
HKLM\System\CurrentControlSet\Services\fhbsfczjhop.sys\ErrorControl
Type: REG_DWORD, Length: 4, Data: 0
HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\fhbsfczjhop.sys\ImagePath
Type: REG_EXPAND_SZ, Length: 96, Data: \??\C:\WINDOWS\system32\drivers\fhbsfczjhop.sys
HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\fhbsfczjhop.sys\Type
Type: REG_DWORD, Length: 4, Data: 2
HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\fhbsfczjhop.sys\Start
Type: REG_DWORD, Length: 4, Data: 2
HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\fhbsfczjhop.sys\ErrorControl
Type: REG_DWORD, Length: 4, Data: 0
HKLM\System\CurrentControlSet\Control\SafeBoot\Network\fhbsfczjhop.sys\ImagePath
Type: REG_EXPAND_SZ, Length: 96, Data: \??\C:\WINDOWS\system32\drivers\fhbsfczjhop.sys
HKLM\System\CurrentControlSet\Control\SafeBoot\Network\fhbsfczjhop.sys\Type
Type: REG_DWORD, Length: 4, Data: 2
HKLM\System\CurrentControlSet\Control\SafeBoot\Network\fhbsfczjhop.sys\Start
Type: REG_DWORD, Length: 4, Data: 2
HKLM\System\CurrentControlSet\Control\SafeBoot\Network\fhbsfczjhop.sys\ErrorControl
Type: REG_DWORD, Length: 4, Data: 0
HKLM\System\CurrentControlSet\Services\fhbsfczjhop.sys\ImagePath
Type: REG_EXPAND_SZ, Length: 96, Data: \??\C:\WINDOWS\system32\drivers\fhbsfczjhop.sys
HKLM\System\CurrentControlSet\Services\fhbsfczjhop.sys\Type
Type: REG_DWORD, Length: 4, Data: 2
HKLM\System\CurrentControlSet\Services\fhbsfczjhop.sys\Start
Type: REG_DWORD, Length: 4, Data: 2
HKLM\System\CurrentControlSet\Services\fhbsfczjhop.sys\ErrorControl
Type: REG_DWORD, Length: 4, Data: 0
HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\fhbsfczjhop.sys\ImagePath
Type: REG_EXPAND_SZ, Length: 96, Data: \??\C:\WINDOWS\system32\drivers\fhbsfczjhop.sys
HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\fhbsfczjhop.sys\Type
Type: REG_DWORD, Length: 4, Data: 2
HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\fhbsfczjhop.sys\Start
Type: REG_DWORD, Length: 4, Data: 2
HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\fhbsfczjhop.sys\ErrorControl
Type: REG_DWORD, Length: 4, Data: 0
HKLM\System\CurrentControlSet\Control\SafeBoot\Network\fhbsfczjhop.sys\ImagePath
Type: REG_EXPAND_SZ, Length: 96, Data: \??\C:\WINDOWS\system32\drivers\fhbsfczjhop.sys
HKLM\System\CurrentControlSet\Control\SafeBoot\Network\fhbsfczjhop.sys\Type
Type: REG_DWORD, Length: 4, Data: 2
HKLM\System\CurrentControlSet\Control\SafeBoot\Network\fhbsfczjhop.sys\Start
Type: REG_DWORD, Length: 4, Data: 2
HKLM\System\CurrentControlSet\Control\SafeBoot\Network\fhbsfczjhop.sys\ErrorControl
Type: REG_DWORD, Length: 4, Data: 0
HKLM\SYSTEM\ControlSet002\Services\fhbsfczjhop.sys\ImagePath
Type: REG_EXPAND_SZ, Length: 96, Data: \??\C:\WINDOWS\system32\drivers\fhbsfczjhop.sys
HKLM\SYSTEM\ControlSet002\Services\fhbsfczjhop.sys\Type
Type: REG_DWORD, Length: 4, Data: 2
HKLM\SYSTEM\ControlSet002\Services\fhbsfczjhop.sys\Start
Type: REG_DWORD, Length: 4, Data: 2
HKLM\SYSTEM\ControlSet002\Services\fhbsfczjhop.sys\ErrorControl
Type: REG_DWORD, Length: 4, Data: 0
HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\fhbsfczjhop.sys\ImagePath
Type: REG_EXPAND_SZ, Length: 96, Data: \??\C:\WINDOWS\system32\drivers\fhbsfczjhop.sys
HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\fhbsfczjhop.sys\Type
Type: REG_DWORD, Length: 4, Data: 2
HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\fhbsfczjhop.sys\Start
Type: REG_DWORD, Length: 4, Data: 2
HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\fhbsfczjhop.sys\ErrorControl
Type: REG_DWORD, Length: 4, Data: 0
HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Network\fhbsfczjhop.sys\ImagePath
Type: REG_EXPAND_SZ, Length: 96, Data: \??\C:\WINDOWS\system32\drivers\fhbsfczjhop.sys
HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Network\fhbsfczjhop.sys\Type
Type: REG_DWORD, Length: 4, Data: 2
HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Network\fhbsfczjhop.sys\Start
Type: REG_DWORD, Length: 4, Data: 2
HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Network\fhbsfczjhop.sys\ErrorControl
Type: REG_DWORD, Length: 4, Data: 0
HKLM\System\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
Type: REG_MULTI_SZ, Length: 188, Data: \??\C:\WINDOWS\system32\drivers\ws2ifsl.sys, , \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\3294765,

요약을 하게 되면,
레지에 tdss를 등록하여 3288828.exe가 실행되도록 하고
fhbsfczjhop.sys 파일을 서비스에 등록하여서 안전모드(최소모드,네트워크모드)로 부팅하여도 작동되게끔 만든다.
또한 현재 사용중인 C:\WINDOWS\system32\drivers\ws2ifsl.sys 파일을 재부팅시에
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\3294765 이 파일로 변경한다.
PendingFileRenameOperations 값은 보통 파일 이름을 바꾸거나 삭제하는 것으로 알고 있는데
여기서는 3294765 파일이 생성이 되고 위와 같이 나오는 것으로 보아 파일 자체를 교체하는 것으로 예상이 됨.
3294765 파일은 UPX를 언패킹한 파일 그 자체임...

사용된 파일명은 랜덤한 값이므로 그때그때 다름


List of Articles
번호 제목 글쓴이 조회 수sort 추천 수 날짜
80 ETC 자전거 전국일주 15~20일 file 엔신 10886   2007-04-10
 
79 Linux SCP 엔신 10872   2008-02-15
http://winscp.sourceforge.net/eng FTP의 보안상 허점때문에 많이 이용되는 프로그램 SCP을 이용할시 SSH 서버로 접속하지만 탐색기처럼 파일을 올리고 다운받을수 있다 또한 서버에 FTP가 없을 시에 대신 활용 가능하다 http://cafe.naver.com/networkhard.c...  
78 Linux FTP서버 vsftpd 설치와 운영 (한글로그 패치 포함) [2] 엔신 10717   2006-11-04
작성자 : 좋은진호(truefeel, http://coffeenix.net/) 작성일 : 2003.10.01(수) 수정일 : 2004.01.08(목), chroot_list_enable 글 추가 이 글은 7월에 썼던 'vsftpd에서 한글파일로그와 lastlog 로긴확인하기'를 기초로 작성하였다. 1. vsftpd FTP 서버에 대해...  
77 arm cross Compiling 엔신 10707   2012-07-18
apt-get install gcc-4.3-arm-linux-gnueabi  
76 Programming [JSP] JDBC를 이용한 데이터베이스 활용법 엔신 10662   2010-07-07
JDBC를 이용한 데이터베이스 활용법 // 1. 대표 클래스를 로딩한다. try{ Class.forName("oracle.jdbc.driver.OracleDriver"); System.err.println("클래스 로딩 성공"); } catch(ClassNotFoundException e){ System.err.println("클래스 로딩 오류 : " + e); ...  
75 Ambiguous 프로그램 제거 툴 - Revo Uninstaller [1] file 엔신 10658   2009-01-10
 
74 Security 홈페이지 개발 보안 가이드 엔신 10530   2006-11-12
http://home.megapass.co.kr/~darkhi/20050427_homepage_security_guide.pdf 2005년 4월자 정보통신부 KISA 주관 받아놓고 보니 페이지가 만만치않아서 본적 없는 간지  
73 Linux gcc 엔신 10452   2007-02-07
! 모든 컴파일 과정을 한번에 처리하기 $ gcc –o filter filter_driver.c define_stack.c – -o 옵션은실행파일명을지정함 – 이 옵션을 지정하지 않으면 a.out이 실행 파일임 ! 필요한 소스 파일만 컴파일 하기 $ gcc -c filter_driver.c $ gcc -c define_stack...  
72 Linux UTF-8 지원 제로보드4 엔신 10383   2008-03-11
이 프로그램은 본 홈페이지를 작업하며 생성된 제로보드의 수정본입니다. 프로그램의 라이센스와 버전은 존재하지 않으며 이 제로보드를 사용하여 발생하는 문제에 대해 본인은 어떠한 책임도 지지 않습니다. 특징1. 제로보드가 UTF-8을 지원할 수 있도록 파...  
71 ETC 5개월여간의 침묵, 그리고 :) [4] file 엔신 10372   2010-01-05
 
70 ETC 사랑의 종류 [2] 엔신 10366   2010-01-01
1.에로스(Eros) : 에로스 타입은 완전히 육체적이고 성적인 매력에 매료된 사랑 관계다. 그런 사랑은 '깜짝 사랑, 영 이별 '이라는 우리네 속담처럼 빨리 불붙고 곧 없어지는 사랑이라는 것이다. 에로 영화 에로 배우 다 여기서나왔다. 2.루두스(Ludus) : 루두...  
69 CCNA netmask 별 CIDR [2] 엔신 10297   2009-10-08
128.0.0.0 = 10000000.00000000.00000000.00000000 = /1 192.0.0.0 = 11000000.00000000.00000000.00000000 = /2 224.0.0.0 = 11100000.00000000.00000000.00000000 = /3 240.0.0.0 = 11110000.00000000.00000000.00000000 = /4 248.0.0.0 = 11111000.00000000...  
68 Windows 비스타(Vista) 울티메이트(Ultimate) 서비스(Services) 설정 file 엔신 10207   2008-12-13
 
67 ETC Tipping Point, 100마리째 원숭이 현상 엔신 10039   2007-01-31
<말콤 그래드웰>이 지은 <티핑 포인트-Tipping Point>라는 책이 있습니다. 망해가던 <허시파피> 신발회사의 신발을 뉴욕의 몇몇 히피족들이 신고 다니기 시작하더니 어느 날 갑자기 미국의 백화점을 휩쓸게 되었고, 처음 인기도 별로 없었던 <조앤 롤링>의 <해...  
» Malware [Trojan] Tigger/Syzor.A file 엔신 10004   2009-03-13
해외 사이트를 통해 참고한 바 주요 기능으로는 아래와 같다. - Windows Defender, Windows Firewall, Outpost, Avira, Kaspersky, AVG, and CA사 제품의 사용을 disables한다 - 안전모드 상태에서 루트킷을 설치하고, kernel debugger를 disables한다. - Keyl...  
65 CCNA 12.[라우팅 프로토콜-Static] file 엔신 10002   2008-05-26
 
64 Incident Response NTFS 파일 복구하기 [2] file 엔신 9999   2009-04-19
 
63 iPhone code sign 엔신 9985   2012-06-11
https://lael.be/237 Apple 어플개발을 위해서 공인인증서가 3개 필요하다. * 하나는 Apple 사를 증명하고 * 하나는 당신이 개발자 라는 것을 증명하고 * 하나는 당신의 어플이라는 것을 증명한다. 위 블로그의 내용을 인용한다.(방법도 잘 설명 되어 있음) 기...  
62 ETC SK브로드밴드 주택광랜(100M) 가입~ file 엔신 9981   2009-04-08
 
61 Linux lighttpd 웹서버설치 엔신 9889   2008-04-06
최근까지 아파치는 심각한 오픈소스 라이벌이 없었다. Netcraft사의 최근 웹서버 조사에서 한가지 주목할 만한 것이 있다. 언제나처럼 아파치가 정상을 차지하고 있고, Microsoft사의 IIS가 2위, 그리고 꾸준한 인기를 얻어온 unknown이 3위였다. 4위는 Sun사...