This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

W32/VBNA-X는 네트워크 및 이동식 미디어를 통해 빠르게 확산

Filed Under: Botnet, Featured, Malware, SophosLabs, Windows

INF icon SophosLabs 연구원은 우리가 (다른 이름들) W32/VBNA-X 전화 악성 코드의 확산에 크게 증가했습니다.

맥아피 (W32/Autorun.worm.aaeb)와 시만텍 (W32.ChangeUp)를 포함하여 여러 다른 벤더는,뿐만 아니라 자신의 고객을 경고하고 있습니다. 이 악성 코드의 기본 구성 요소는 얼마 동안 주변되었습니다 있지만, 자사의 최신 반복에 상당히 더 공격적으로되고 있습니다.

감염

W32/VBNA-X는 웜이지만, 또한 일반적으로 트로이 목마에있는 특성을 전시하고 있습니다. 확산의 가장 확실한 방법은 이동식 미디어와 쓰기 네트워크 공유에 떨어 autorun.inf 파일의 사용을 통해 것 같습니다.

이 기술에도 불구하고, 오늘날의 PC에 너무 효과적이지 않을 것입니다 희망합니다. Microsoft는에 XP, 2003 및 Vista에 대한 업데이트를 릴리스 자동 실행을 해제하는 2011년 2월 를 제외한 모든 미디어에 "반짝이는 디스크."

그것은 마이크로 소프트의에 따라 할 매우 간단입니다 아직 자동 실행 / 자동 재생 더 완전히 해제하는 나쁜 생각하지 않습니다 지침을 포함, "픽스 잇합니다."

대부분의 PC는 요즘 autorun.inf 파일을 무시합니다, 그래서 사람들이 악성 코드 자체를 클릭하지만 왜해야?

아주 영리 사회 공학, 가난한 기본 설정 및 사용자 부주의의 칵테일 인 것 같습니다.

패치가 설치되지 않은 피해자에 대한 Autorun.inf 파일을 생성 후 쓰기 공유 및 이동식 장치에서 파일 및 폴더 이름을 모두 열거하기 시작합니다.

예를 들어, E 말 : 드라이브는 호주 및 R라는 이름의 폴더와 as.txt 및 Adob​​e.pdf라는 이름의 파일이있는 네트워크 공유입니다.

이 숨겨진 속성을 가지고 숨겨진 파일이 표시되지 않도록 레지스트리 키를 설정하려면 다음의 모든 설정합니다.

그럼 Porn.exe, Sexy.exe, 볼륨의 각 합법적 인 파​​일 및 폴더 선물 자체의 복사본을 만드는 것 외에도 Passwords.exe 및 Secret.exe라는 자체의 복사본을 생성합니다.

원본 폴더와 파일의 중복은 아이콘은 Windows 7의 표준 폴더 아이콘으로 설정합니다.

감염된 파일 공유의 스크린 샷

결과

이 화면에서는 자신의 윈도우 XP 아이콘과 낮은 다운 윈도우 7 아이콘 복제 / Trojaned 사람을 보여주는 상단에있는 원본 폴더를 볼 수 있습니다.

악성 코드는 윈도우의 모든 버전에 기본입니다, 확장을 보이지 않는 것으로 가정하는 것 같습니다.

Infected file share with extensions and hidden files shown 난 쉽게 실제 폴더가 숨겨진으로 설정되어 특히, 파일 공유 및 USB 드라이브를 탐색 사람들이 실수로 잘못된 폴더를 클릭합니다 수 있는지 볼 수 있습니다.

우리가 정보를 표시하고 모든 숨겨진 파일을 볼 경우 우리는 매우 다른 그림을 참조하십시오.

원본 파일과 미친놈뿐만 아니라 .. exe를하고 ... EXE라는 파일도 있습니다. 이렇게 테스트 인스턴스에 그렇게하지 ​​않으 셨다하더라도 악성 코드는 또한 x.mpeg라는 제로 바이트 파일을 작성하는 것으로 알려져 있습니다.

악성 코드는 임의의 파일 이름을 사용하여 사용자의 프로필에 자신을 복사하여 부팅 악성 코드를 시작하는 레지스트리 키를 추가합니다.

일부 변종은 패치하거나 중지 할 수 있습니다 업데이트 된 지침을 수신 피해자를 방지하기 위해 Windows Update를 사용하지 않도록 설정하는 것으로 알려져 있습니다.

SHA1 체크섬은 파일의 일부에 따라 다를 수 있도록 W32/VBNA-X도 다형성입니다

 30582368427f752b7b6da4485db456de915101b2 Porn.exe에 대한 SHA1
7ff75f92c5461cc221cb3ab914592bd2a5db6e15 Sexy.exe에 대한 SHA1
d71a89c085ffbb62f4e222fb2f42d7e2271e4642 모든 나머지 SHA1 

레지스트리 키 생성 :

 HKCUSoftwareMicrosoftWindowsCurrentVersionRun%random% %UserProfile%%random% /%randomletter% - 지속성을위한

HKLMSOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU NoAutoUpdate = 1 - 업데이트를 해제하려면

HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced ShowSuperHidden = 0 - 숨겨진 항목이 숨어 보장하기 위해 

당신은 지금 무슨 일이, 감염됐다고?

이 샘플은 현대적인 악성 코드에 대한 표준 운영 절차를 수행하십시오. 일단로드 W32/VBNA-X 연락처는 명령 및 제어 (C & C) 서버가 다운로드 자세한 payloads에 대한 안내를받을 수 있습니다.

McAfee는뿐만 아니라 포트 9004에 연결하는 샘플을보고보고음에도 불구하고 악성 코드는 HTTP를 사용하여 포트 9003에있는 C & C를 연락을 시도합니다.

DNS 이름의 대부분은 DDNS #. 유럽 연합 (EU) 도메인 공간에 개최하지만, 전체 목록은 매우 광범위한 것입니다 수 있습니다. 감염에 대한 모니터링하고자하는 관리자는 포트에 연결 900 [0-9] 위해 방화벽 로그를 모니터링 할 수 있습니다.

C & C 서버는 명령을 연락 있으며, URL은 사용자 프로필 디렉토리에 배치됩니다 google.exe라는 이름의 페이로드를 다운로드하려면 지시 악성 코드에 전달되면.

우리가 조사 인스턴스가 제우스 / Zbot 가족에 속하는 은행 트로이 목마를 다운로드했지만 자주 변경 일 또는 지리적 위치의 시간을 기준으로 할 수 있습니다.

조언

이외에도 최신 안티 바이러스를 유지에서 당신이 할 수있는 몇 가지 사항입니다 저기에 볼 수 있습니다.

  • 확인 자동 실행은 완전히 모든 Windows 운영 체제에서 사용할 수 있습니다.

  • 표준 윈도우 이미지 및 그룹 정책 파일 확장명 및 숨김 파일을 표시하도록 구성되어 있는지 확인합니다.
  • 수 있도록 주식을 파일에 쓸 권한을 제한 접근은 어디에서 절대적으로 필요
  • 게이트웨이 및 클라이언트 방화벽에서 알 수없는 포트와 서비스에 모든 아웃 바운드 연결을 차단합니다.
  • 행동 탐지 기술은 악성 코드 지속성 구성의 추가를 탐지하기 위해 안티 바이러스 제품 활성화 및 업데이트하고 안티 바이러스 설정을 조작하고 있는지 확인.
모든 플랫폼에서 소포스 안티 바이러스는 다음과 같이이 악성 코드의 다양한 구성 요소를 감지하고 차단 :

* W32/VBNA-X :이 웜에 대한 구체적인 감지 (변종 W32/VBNA-U, W32/VBNA-Z, W32-VBNA-AA와 W32/VBNA-AB 포함)
* 방송 / Autorun.inf 파일에 대한 SillyFDC-Z 일반 웜 탐지 (변형이 선장 / 자동 실행 - AX, W32/SillyFDC-IP 및 W32/AutoInf-DI 포함)
* Troj / Tepfer-E 트로이 payloads은 (변형 Troj / VB-GFM, W32/SillyFDC-IP 및 방송 / SillyFDC-Z 포함)이 악성 코드와 관련하여 감지
레지스트리 수정과 지속성을위한 * HIPS/RegMod-009 사전 탐지 및 방지

소포스 웹 보호를 사용하여 * 고객이 악성 코드에 참여하는 것으로 알려진 도메인에 액세스하지 못하게 될 것입니다

나는 우리 독자들과이 정보를 공유 할 수 있도록 많은 추가 시간을 보내고에 마이크 우드, 피터 자보와 Savio 라우 특히 전체 SophosLabs 밴쿠버 팀에 감사하고 특별한을 연장하고 싶습니다.


You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Chester Wisniewski is a Senior Security Advisor at Sophos Canada. He provides advice and insight into the latest threats for security and IT professionals with the goal of providing clear guidance on complex topics. You can follow Chester on Twitter as @chetwisniewski, on App.net as Chester, Chester Wisniewski on Google Plus or send him an email at chesterw@sophos.com.