※ 2011년 11월 27일 알려진 KMPlayer 3.0.0.1442 버전에 대한 분석 정보를 게시합니다.
[ 관련 정보 ]
처리의 블로그 : 케이엠플레이어( KMPlayer ), 변조된 셋업파일 실행시 "백도어(Backdoor) 설치" 주의
nProtect 대응팀 공식 블로그 : [긴급] 동영상 재상 플레이어 변조를 통한 DDoS 악성파일 유포
VirusLab : 국내에 악성파일에 감염된 좀비 PC 현황?
[ 정상 파일 정보 ]
=== 파일정보 ===
파일명 : KMPlayer_KR_3.0.0.1441_R2.exe
대상 버전 : 3.0.0.1441 R2
파일 크기 : 13,038,983 Bytes
해쉬 ( MD5 ) : 4e1e9102914ccc05f83074fb6e94a34a
목적 : 정상 KMPlayer의 동작과정을 알고 이를 바탕으로 악성파일에 의한 동작과 구분하기 위함
개별 파일의 Hash는 Update를 통해 변경될 가능성이 크기 때문에 파일에 대한 개별확인은 큰 의미가 없을 것
으로 판단되어 생성 파일에 대한 세부 정보는 기재하지 않는다.
=== 동적분석 ===
1. 레지스트리
- HKEY_LOCAL_MACHINE\SOFTWARE\KMPlayer
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
\The KMPlayer
2. 네트워크
[ 악성 파일 정보 ]
=== 파일정보 ===
파일명 : KMPlayer_KR_3.0.0.1442_R2.exe
대상 버전 : 3.0.0.1442 R2
파일 크기 : 13,606,912 Bytes
해쉬 ( MD5 ) : df09ccc1c473aae3e2cc4b0cfb37dd2f
특이 사항 : 실행 압축된 파일내부의 일부 파일만 악성파일로 의심되며 KMPlayer_KR_3_0.0.1442_R2.exe 파일을
Package 시점에 정상 파일내에 악성파일이 추가된 형태로 추정됨
zlib로 내부에 압축된 부분이 존재함 ( Package 과정에서 사용한 것일 수 있음 )
=== 동적분석 ===
1. 파일
- c:\documents and settings\(User)\Local Settings\Temp\ebaylee.exe
:: 해당 파일만 별도로 확인해 본 결과 1441 R2 버전과 설치과정에서 생성되는 파일등이 동일한 것을 바탕으로
정상 KMPlayer 3.0.0.1442 R2 설치 Package로 추정됨
- c:\documents and settings\(User)\Local Settings\Temp\Iyanlcr.exe
:: 별도로 확인해 본 결과 악성파일로 최종확인 됨
처리님의 보안 블로그에서 위와 같이 IDA를 통해 3.0.0.1442 R2 버전의 설치 파일에서 악성 파일이
드랍되는 과정을 코드레벨에서 분석 정보가 정리되어 있다. 참고하기 바란다. ^^
2. 레지스트리
- 서비스 동작
HKEY_LOCAL_MACHINE\SOFTWARE\KMPlayer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
\The KMPlayer
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MedialCentero x38
"ImagePath" = "c:\windows\system32\svchost.exe -k krnlsrvs"
"ServiceDll" = "c:\windows\system32\TwmpteID.dll"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MEDIALCENTERO_X38
3. 네트워크
- 원겨지 연결 시도
■ In.v-y.l.v-y.v-y.k-r.v-y.in:8080 ( 60.191.196.82 )
:: 개인정보를 수집하고 수집된 개인정보를 바탕으로 추가 동작을 발생시킬 목적으로 추정되는 C&C서버로 연결
을 시도하며 분석중인 현재에도 정상적으로 연결됨을 아래와 같이 확인할 수 있다.
4. 기타
:: KMPlayer의 정식 배포사이트에서 해당 Download Link는 끊어진 상태이다.
Update 2011.12.05
데일리시큐 : KMPlayer, 변조 통한 DDoS 악성파일 유포
[ 관련 정보 ]
처리의 블로그 : 케이엠플레이어( KMPlayer ), 변조된 셋업파일 실행시 "백도어(Backdoor) 설치" 주의
nProtect 대응팀 공식 블로그 : [긴급] 동영상 재상 플레이어 변조를 통한 DDoS 악성파일 유포
VirusLab : 국내에 악성파일에 감염된 좀비 PC 현황?
[ 정상 파일 정보 ]
=== 파일정보 ===
파일명 : KMPlayer_KR_3.0.0.1441_R2.exe
대상 버전 : 3.0.0.1441 R2
파일 크기 : 13,038,983 Bytes
해쉬 ( MD5 ) : 4e1e9102914ccc05f83074fb6e94a34a
목적 : 정상 KMPlayer의 동작과정을 알고 이를 바탕으로 악성파일에 의한 동작과 구분하기 위함
개별 파일의 Hash는 Update를 통해 변경될 가능성이 크기 때문에 파일에 대한 개별확인은 큰 의미가 없을 것
으로 판단되어 생성 파일에 대한 세부 정보는 기재하지 않는다.
=== 동적분석 ===
1. 레지스트리
- HKEY_LOCAL_MACHINE\SOFTWARE\KMPlayer
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
\The KMPlayer
2. 네트워크
- log.kmplayer.com ( 61.111.8.189 )
:: 사용자가 설치한 KMPlayer 버전 정보와 설치 여부 Flag를 전달하는 정상적인 동작으로 추정됨
[ 악성 파일 정보 ]
=== 파일정보 ===
파일명 : KMPlayer_KR_3.0.0.1442_R2.exe
대상 버전 : 3.0.0.1442 R2
파일 크기 : 13,606,912 Bytes
해쉬 ( MD5 ) : df09ccc1c473aae3e2cc4b0cfb37dd2f
특이 사항 : 실행 압축된 파일내부의 일부 파일만 악성파일로 의심되며 KMPlayer_KR_3_0.0.1442_R2.exe 파일을
Package 시점에 정상 파일내에 악성파일이 추가된 형태로 추정됨
zlib로 내부에 압축된 부분이 존재함 ( Package 과정에서 사용한 것일 수 있음 )
=== 동적분석 ===
1. 파일
- c:\documents and settings\(User)\Local Settings\Temp\ebaylee.exe
:: 해당 파일만 별도로 확인해 본 결과 1441 R2 버전과 설치과정에서 생성되는 파일등이 동일한 것을 바탕으로
정상 KMPlayer 3.0.0.1442 R2 설치 Package로 추정됨
:: 별도로 확인해 본 결과 악성파일로 최종확인 됨
드랍되는 과정을 코드레벨에서 분석 정보가 정리되어 있다. 참고하기 바란다. ^^
2. 레지스트리
- 서비스 동작
HKEY_LOCAL_MACHINE\SOFTWARE\KMPlayer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
\The KMPlayer
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MedialCentero x38
"ImagePath" = "c:\windows\system32\svchost.exe -k krnlsrvs"
"ServiceDll" = "c:\windows\system32\TwmpteID.dll"
3. 네트워크
- 원겨지 연결 시도
■ In.v-y.l.v-y.v-y.k-r.v-y.in:8080 ( 60.191.196.82 )
:: 개인정보를 수집하고 수집된 개인정보를 바탕으로 추가 동작을 발생시킬 목적으로 추정되는 C&C서버로 연결
을 시도하며 분석중인 현재에도 정상적으로 연결됨을 아래와 같이 확인할 수 있다.
4. 기타
:: KMPlayer의 정식 배포사이트에서 해당 Download Link는 끊어진 상태이다.
Update 2011.12.05
데일리시큐 : KMPlayer, 변조 통한 DDoS 악성파일 유포
'Malware > Windows' 카테고리의 다른 글
| [Exploit/Analysis] Exploit/KEditor (0) | 2011.11.21 |
|---|
18140.txt
