[바이러스 분석] Trojan.Win32.PSW* 분석정보

[바이러스 분석] Trojan.Win32.PSW* 분석정보

1  요즘 PSW류의 바이러스들이 증가하고 있는 실정이다.
대체로 PSW는 자체적인 전파기능은 없지만 해킹 당한 사이트에서 다운로드 되거나 다른 악성코드를 설치하여
추가 피해를 야기시킨다.

1. 감염 경로

Trojan.Win32.PSW* 는 자체적인 전파기능은 없으며, 해킹 당한 사이트에서 다운로드 되거나 다른 악성코드(스파이웨어, 애드웨어, 드로퍼 등)에 의해 설치되는 것으로 추정된다.

 

2. 분석 정보

 Trojan.Win32.PSW*는 동적 링크 파일로써 exe 프로세스에서 생성된 일부 악성코드이다.

3.       생성된 Trojan.Win32.PSWMagania.85504.AQ 은 BHO로 등록되고 익스플러로 실행 시 작동한다.

 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7F23592B-8F2C-4C08-83A8-BBE01BF9CC64}]

@="IEHlprObj Class"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7F23592B-8F2C-4C08-83A8-BBE01BF9CC64}\InprocServer32]

@="C:\\WINDOWS\\system32\\ieban0.dll"

"ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7F23592B-8F2C-4C08-83A8-BBE01BF9CC64}\ProgID]

@="IEHlprObj.IEHlprObj.1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7F23592B-8F2C-4C08-83A8-BBE01BF9CC64}\Programmable]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7F23592B-8F2C-4C08-83A8-BBE01BF9CC64}\VersionIndependentProgID]

@="IEHlprObj.IEHlprObj"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj\CurVer]

@="IEHlprObj.IEHlprObj.1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj.1\CLSID]

@="{7F23592B-8F2C-4C08-83A8-BBE01BF9CC64}"

 

4.       Trojan.Win32.PSWMagania.85504.AQ는 Explorer 하위의 프로세스에 인젝션 되어 실행된다.

5.       Trojan.Win32.PSWMagania.85504.AQ 는 사용자 계정을 가로채는 목적으로 제작되었으며, 목표로 하는 사이트 계정은 다음과 같다.

www.nate.com

www.gptem.com

knight.mgame.com

karos.paran.com

www.on3.co.kr

fifaonline.pmang.com

tz.kr.gameclub.com

netmarble.net

www.pmang.com

dho.netmarble.net

aion.plaync.co.kr

wffm.mgame.com

www.champagnemania.co.kr

12sky2.paran.com

yulgang.mgame.com

sp1.nexon.com

maplestory.nexon.com

hangame.com

df.nexon.com

6.       일반적으로 Trojan.Win32.PSW*류의 악성코드는 해킹당한 사이트나 악의적인 사이트에서 추가적인 악성코드를 다운받을 수 있다.