[Malware analysis] 스크린락커, 코로나 바이러스

[Malware analysis] 스크린락커(screenlocker), 코로나 바이러스

분석 참조
- 매우 성가신 코로나 바이러스 스크린락커 발견돼
 > https://blog.alyac.co.kr/2934?category=750247

- 샘플 파일 다운로드

> https://app.any.run/tasks/b4d1365e-c9d0-4857-81f0-beeb633dc94a/

스크린락커(screenlocker), 코로나 바이러스

wifihacker.exe 실행 시, 

C:\Program Files\vb\wifi hacker 폴더 내 다수의 파일 생성 확인

파일명	설명	파일명	설명
allwh.reg	악성행위 관련 레지스트리	anti.exe	PC Locker 해제 관련 파일
antiwh.vbs	PC 잠금 메시지 스크립트	bar.vbs	bara.bat 실행 스크립트
bara.bat	모든 악성파일 삭제 및 재부팅 스크립트	diex.BAT	탐색기 taskkill 스크립트
speakwh.vbs	음성 실행 관련 스크립트	Uninstall.exe	언인스톨러
wh.bat	파일 복사 관련 스크립트	wh.jpg	코로나 바이러스 그림
wifi.ico	아이콘 그림 파일

[표 1 - 파일 목록]

[그림 1 - 생성된 파일]

allwh.reg 확인

[그림 2 - allwh.reg 파일]

생성된 파일 관련 레지스트리 설정 값 다수 확인

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] "legalnoticecaption"="you are infected of corona virus.." "legalnoticetext"="computertricks2018@gmail.com"

>사용자 윈도우 로그인 간 표시할 텍스트 지정

[HKEY_CURRENT_USER\Control Panel\Desktop] "Wallpaper"="c:\\wh\\wh.jpg"

>코로나 바이러스 그림파일 바탕화면 지정

[그림 3 - wh.jpg 파일]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "r"="c:\\wh\\speakwh.vbs" "o"="c:\\wh\\antiwh.vbs" "t"="c:\\wh\\diex.bat"

> "r" corona virus 음성 출력

> "o" 스크린 잠금 관련 발생 메시지 박스 출력

> "t" 탐색기 taskkill 강제 적용

> 윈도우 부팅 간 파일 자동 실행

[그림 4 - speakwh.vbs, antiwh.vbs, diex.bat 스크립트]

wh.bat 확인

> 생성된 파일 중 wh.jpg 외 7개의 파일을 c:\wh 경로에 복사

> 해당 경로(C:\wh) 내 파일 특성 설정 : 읽기전용(r), 보관파일(a), 시스템파일(s), 숨김파일(h)

> bar.vbs 파일 실행

[그림 5 - wh.bat 스크립트]

bar.vbs 확인

> Wscript를 통한 bara.bat 실행 명령 확인

[그림 6 - bar.vbs 스크립트]

bara.bat 확인

> 악성코드 관련 파일 모두 삭제 및 시스템 로그오프 진행

[그림 7 - bara.bat 스크립트]

PC 로그오프 이후 사용자 로그인 화면 내 코로나 바이러스 감염 문구 및 메일 주소 확인

[그림 8 - 로그인 화면 문구]

로그인 이후, PC 접근 간 복호화 코드 입력 요구(vb 문자로 확인)

[그림 9 - 복호화 코드 입력 요구]

> wifihacker.exe 파일은 Screen Locker 악성코드로 확인

> 가짜 Wifi 해킹 프로그램을 토한 코로나 바이러스를 악용 악성코드