악성코드 정보

ASEC이 분석한 악성코드, 유해가능 프로그램, 모바일 악성코드 정보

악성코드 Infostealer/Win.SmokeLoader.R443248

  • 최초 입력시간2021-09-29 17:24 (GMT+9)
  • 최종 수정시간2021-09-29 17:39 (GMT+9)
위험도 상세내역
시스템 위험도 네트워크 위험도 확산 위험도 위험 등급
보통 보통 보통 3단계 주의

기본 정보

기본 정보 상세내역
종류
InfoStealer

비밀번호나 개인정보 등의 사용자 정보를 탈취하는 프로그램

운영체제
Windows
유입경로
Web Browser

웹 접속을 통해 유입된 파일

공격기법
Command

윈도우나 리눅스 환경 등에서 커맨드 쉘 실행

영향도
Information Leakage

사용자, 응용 프로그램, 시스템 정보 관련 유출

  • 증상 및 요약

    Infostealer/Win.SmokeLoader.R443248은 정보를 탈취하고 추가 악성코드를 다운로드하는 Vidar 악성코드이다.

     

  • 상세 정보

    * 전파 경로

    자체 전파 기능은 없으며 주로 악성, 스팸 메일에 파일을 첨부하여 전파되는 것으로 보인다. 악성 사이트나 P2P를 통한 파일 다운로드하는 방식으로도 전파가 가능해보인다.

     

    * 실행 후 증상

    해당 프로세스를 재귀 실행한 후 특정 경로에 해당 파일을 복사한다. 이후 생성된 파일의 권한을 변경한 후 실행한다. 또한 레지스트리 값을 수정하여 해당 프로그램이 자동실행되도록 설정한다. 

    인터넷 브라우저 등의 정보를 수집하며, 이후 추가 악성 행위를 하는 것으로 보이는 프로세스를 실행하나 현재 작동하지 않고 종료된다. 일정 시간이 지난 후 파일을 암호화한다.

     

    [파일 생성]

    - C:\Users\%user%\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\S2WQZ5Z5\build2[1].exe

    - C:\Users\%user%\AppData\Local\​9abbdef5-f822-4181-91b4-a55c775dc51c\buiild2.exe

    - C:\_readme.txt

     

    [프로세스 생성]

    cmd line : "C:\Users\%user%\AppData\Local\9abbdef5-f822-4181-91b4-a55c775dc51c\build2.exe"

     

    [자동 실행]

    키 : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\SysHelper

    값 : "C:\Users\%user%\AppData\Local\fcd5eaa3-8c74-4a79-97ba-0f9ef75c2dd\1.exe" --AutoStart

     

    [네트워크 통신 시도]

    - 210.121.169[.]112

    - 77.123.139[.]190

    - 88.99.75[.]82

이 정보에 대한 저작권은 AhnLab에 있으며 무단 사용 및 도용을 금합니다.

단, 개인이 비상업적인 목적으로 일부 내용을 사용하는 것은 허용하고 있으나, 이 경우 반드시 출처가 AhnLab임을 밝혀야 합니다.
기업이 이 정보를 사용할 때에는 반드시 AhnLab 의 허가를 받아야 하며, 허가 없이 정보를 이용할 경우 저작권 침해로 간주되어 법적인 제재를 받을 수 있습니다.
자세한 내용은 컨텐츠 이용약관을 참고하시기 바랍니다.

정보 이용 문의 : contents@ahnlab.com