请注意!正在传播利用网络硬盘的恶意代码
在ASEC持续监控韩国国内传播的恶意代码来源时,发现了通过网络硬盘的帖子传播的UDP Rat恶意代码。于10月1日在ASEC博客上发布了用于攻击的网络硬盘的帖子不久后,又发现了使用另一个网络硬盘传播恶意代码的情况,因此想借此文章介绍该恶意代码的运行方式。
即使有关该恶意代码的博客于10月1日发布后,被推测为攻击者的上传者又通过另一个网络硬盘将类似的恶意代码伪装成成人游戏传播,并且现在仍然可以下载。
【图1】在网络硬盘中伪装成成人游戏并传播的恶意代码
从【图1】中的帖子可以看出,攻击者这次使用了egg压缩文件进行了上传,这与10月1日使用zip压缩软件的情况有所不同。但是,实际的压缩文件是zip文件格式。再看【图2】,它会解压并引导运行Game.exe。
【图2】引导运行Game.exe
攻击者除了该帖子外还上传了多篇包含恶意代码的帖子,其附件都是伪装成egg扩展名的压缩文件。
【图3】攻击者上传的其他帖子
打开下载的zip压缩文件,里面没有游戏可执行文件Game.exe,而是恶意代码“Game..exe”。如【图4】所示,在压缩文件中,恶意代码是启动器(Launcher)恶意代码“Game..exe”,将下载器注入到正常进程的“wode.dat”,以及释放并运行将其运行的另一个启动器“std.dat”。
【图4】压缩文件中的恶意代码
当用户运行Game..exe时,恶意代码的感染流程如【图5】所示。通过以下过程,最终注入到正常进程comsvcconfig.exe的恶意代码以“下载器(Downloader)”的形式运行并下载额外的恶意代码。
【图5】恶意代码感染流程
从用户的角度来看,该恶意代码将压缩文件中以index.dat为名保存的原始游戏可执行文件更改为Game.exe后运行,因此会误认为游戏运行没有任何问题。实际执行恶意操作的恶意代码是在Program Files路径下的Chrome文件夹中创建的注入器恶意软件Chrome.exe。
【图6】创建名为Chrome.exe的主要恶意代码
注入到comsvcconfig.exe并执行的恶意代码与10月1日在博客中介绍的下载器恶意代码相同,C&C地址也类似。
此外,已确认到下载并安装的额外恶意代码的路径也相同。
由于恶意代码通过韩国国内的网络硬盘等数据共享站点活跃传播,需要用户特别注意下载和运行文件。特别推荐从官网下载实用程序、游戏等程序。
