* 전파 경로
자체 전파 기능은 없으며 사용자가 메일, 메신저, 게시판, 자료실 등에서 실행 파일을 다운로드해
실행하거나 다른 악성코드(웜, 바이러스, 트로이목마)에서 설치하는 것으로 보인다.
* 실행 후 증상
패킹된 악성코드는 자기 자신을 재귀 실행한 뒤 내부에 인코딩 된 Formbook 바이너리를 정상 프로세스에 인젝션하여 실행한다. 웹
브라우저의 사용자 계정 정보, 키로깅, Clipboard
Grabbing 등 다양한 정보를 탈취한다.
[파일 생성]
- C:\Users\%user%\AppData\Roaming\hOemBbPHVm.exe
[프로세스 생성]
-cmdline: "C:\Windows\System32\schtasks.exe"
/Create /TN "Updates\hOemBbPHVm" /XML "C:\Users\%user%\AppData\Local\Temp\tmp1554.tmp"
-cmdline: schtasks.exe /Create /TN
"Updates\hOemBbPHVm" /XML "C:\Users\%user%\AppData\Local\Temp\tmp1554.tmp"
[C&C 서버 주소]
- hxxp://www.magentos6[.]com/chue