정상파일 위장 악성코드 분석

샘플을 분석하다보면 정상파일 처럼 위장한 악성코드도 종종 받게 됩니다.

1. 타사 진단 정보

타사 진단 정보를 보면 몇몇 업체에서 진단하고 있습니다.
물론, 이때도 오진 가능성을 항상 염두 해야합니다.

2. 파일 등록정보 확인

nVidia 에서 배포한 정상 파일로 착각할 수 있습니다.


3. 검색을 통한 정상 파일과 비교

다행히 이런 파일은 인터넷을 검색해보면 비교해 볼 수 있습니다.

4. 의심사항

파일을 퀵하게 봅니다. 수상한 스트링은 없습니다만 다음 내용이 이상하네요.

- 디버깅 버전 : nVidia 에서 정식 배포한 파일이라면 release 버전이어야함. 개발자 버전이 접수되었을 수 있음. 이때는 접수된 고객 등을 확인해봄

- 인터넷 접속 기능 : nVidia Movie Accelerator가 왜 인터넷 접속을 할까 ?



5. 코드 분석

- 서비스 등록

6. 악성판정

악성코드 샘플이 많아 짐에 따라 분석 시간은 매우 짧을 수 밖에 없습니다.
현실적으로 코드를 상세하게 보는건 주요 샘플 뿐이며 대부분 악성부분이 발견되면 악성코드 판정하게 됩니다.


- 다운로드 기능 존재

서비스 등록, 레지스트리 등록 등 평이한 내용입니다.
그러가다 인터넷 접속해 파일 다운로드 후 실행하는 코드를 찾았습니다.

네.... 이 파일은 다운로더 입니다.

접속하는 IP 는 국내 주소에네요.
(해당 주소는 현재 죽어 있는 듯 합니다.)

그래서, 넌 악성이야 !

V3 진단명 : Win-Trojan/Agent.213069


7. 결론

제일 편한 악성코드는 실행하면 '나 악성이요 ~'로 보여주는 악성코드입니다.
정상 파일 처럼 위장한 악성코드는 이렇게 수상하면 악성판정 내리기 편합니다.
가장 어려운건 실행 테스트했을 때 아무런 증상이 없어 코드를 유심히 봐야하는 악성코드입니다.

하지만, 언제나 떨리는건 오진이면 어쩌지.... TT

ps.

IDA는 아직 손에 익숙하지 않지만 훌륭한 툴입니다.
회사에서 비싼 돈 내고 구매했줬으니 본전 뽑을 만큼(!) 열심히 활용해야 겠습니다