티스토리 뷰

728x90
반응형

[Malware analysis] 스크린락커(screenlocker), 코로나 바이러스


분석 참조
매우 성가신 코로나 바이러스 스크린락커 발견돼
 > https://blog.alyac.co.kr/2934?category=750247

- 샘플 파일 다운로드

https://app.any.run/tasks/b4d1365e-c9d0-4857-81f0-beeb633dc94a/


스크린락커(screenlocker), 코로나 바이러스


wifihacker.exe 실행 시, 

C:\Program Files\vb\wifi hacker 폴더 내 다수의 파일 생성 확인


파일명 

설명 

파일명 

설명 

allwh.reg 

 악성행위 관련 레지스트리

anti.exe

 PC Locker 해제 관련 파일

antiwh.vbs

 PC 잠금 메시지 스크립트

bar.vbs

 bara.bat 실행 스크립트

bara.bat

 모든 악성파일 삭제 및 재부팅 스크립트

diex.BAT 

 탐색기 taskkill 스크립트

speakwh.vbs

 음성 실행 관련 스크립트

Uninstall.exe

 언인스톨러

wh.bat

 파일 복사 관련 스크립트

wh.jpg

 코로나 바이러스 그림

wifi.ico

 아이콘 그림 파일

 

 

[표 1 - 파일 목록]


[그림 1 - 생성된 파일]


allwh.reg 확인

[그림 2 - allwh.reg 파일]


생성된 파일 관련 레지스트리 설정 값 다수 확인

 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]

"legalnoticecaption"="you are infected of corona virus.."

"legalnoticetext"="computertricks2018@gmail.com"

>사용자 윈도우 로그인 간 표시할 텍스트 지정


[HKEY_CURRENT_USER\Control Panel\Desktop]

"Wallpaper"="c:\\wh\\wh.jpg" 

>코로나 바이러스 그림파일 바탕화면 지정

[그림 3 - wh.jpg 파일]


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"r"="c:\\wh\\speakwh.vbs"

"o"="c:\\wh\\antiwh.vbs"

"t"="c:\\wh\\diex.bat" 

> "r" corona virus 음성 출력

> "o" 스크린 잠금 관련 발생 메시지 박스 출력

> "t" 탐색기 taskkill 강제 적용

> 윈도우 부팅 간 파일 자동 실행

[그림 4 - speakwh.vbs, antiwh.vbs, diex.bat 스크립트]


wh.bat 확인

> 생성된 파일 중 wh.jpg 외 7개의 파일을 c:\wh 경로에 복사

> 해당 경로(C:\wh) 내 파일 특성 설정 : 읽기전용(r), 보관파일(a), 시스템파일(s), 숨김파일(h)

> bar.vbs 파일 실행

[그림 5 - wh.bat 스크립트]


bar.vbs 확인

> Wscript를 통한 bara.bat 실행 명령 확인

[그림 6 - bar.vbs 스크립트]


bara.bat 확인

> 악성코드 관련 파일 모두 삭제 및 시스템 로그오프 진행

[그림 7 - bara.bat 스크립트]


PC 로그오프 이후 사용자 로그인 화면 내 코로나 바이러스 감염 문구 및 메일 주소 확인

[그림 8 - 로그인 화면 문구]


로그인 이후, PC 접근 간 복호화 코드 입력 요구(vb 문자로 확인)

[그림 9 - 복호화 코드 입력 요구]

> wifihacker.exe 파일은 Screen Locker 악성코드로 확인

> 가짜 Wifi 해킹 프로그램을 토한 코로나 바이러스를 악용 악성코드



728x90
반응형
댓글
250x250
공지사항
최근에 올라온 글
최근에 달린 댓글
Total
Today