lazarusholic

2013-03-20, NProtect
https://isarc.tachyonlab.com/408
#DarkSeoul

■ 긴급 대응 중
2013년 03월 20일 14시 경부터 금융권, 방송사 등 컴퓨터가 동시다발적으로 부팅되지 않는 피해가 발생하였다. 잉카인터넷 대응팀은 의심파일을 다수 수집하여 다양한 분석업무와 전사긴급 대응체제를 가동 중에 있으며, 이글은 2013년 03월 20일부터 계속적으로 업데이트되고 있다.
[분석보고서 Ver 3.0]
수집된 파일들 중 파일명이 확인된 것들은 다음과 같다.
- ApcRunCmd.exe
- AgentBase.exe
- OthDown.exe
- mb_join.gif (exe)
- container.exe
- orpsntls.exe
- v3servc.exe
- shellservice.exe
- themeservics.exe
- logoninit.exe
- msnlsl.exe
- Update.exe
- xupdate.exe
- schsvcsc.dll
- morpsntls.exe
- page.gif (exe)
- schsvcsc.exe
- LGservc.exe (logo.jpg)
- vmsinstaller.exe
- oleshsvcs.dll
- schedsrv.dll
- kpo.exe 등 외 다수
숙주역할의 파일도 여러 건이 확인된 상태로, Dropper 파일이 실행되면 사용자 계정의 임시폴더(Temp) 에 별도의 파일을 설치한다. 이 중 "AgentBase.exe" 파일명은 MBR 영역을 파괴하는 악성파일이고, 파일명은 동일하지만 다른 형태의 악성파일도 존재하는 경우가 있다.
"~pr1.tmp" 파일은 "SunOS", "AIX", "HP-UX". "Linux" 운영체제의 계열을 체크하고, 악의적인 파괴스크립트 기능을 수행한다.
"alg.exe" 파일은 Command-line SSH 정상프로그램이고, "conime.exe" 파일은 Command-line SCP/SFTP client 정상 프로그램이다.
또 다른 Dropper/Downloader 경우는 실행 시 그림파일 확장자로 위장한 악성파일을 국내 특정 웹 사이트에서 다운로드한다.
"paper.gif" 파일은 사용자 계정의 임시폴더(Temp)에 "v3servc.exe" 이름으로 생성되고 실행된다. 그리고 …