악성코드 샘플 분석 실습2

bton02setup.exe 악성코드 분석 실습 기록

분석 환경

• VMware Workstation 17 Pro
• Windows 7 Professional K 64bit

---

1. 분석 대상 개요

1.1 분석 파일

• 대상 파일: bton02setup.exe

1.2 분석 환경

• 사전에 구축한 Windows 7 가상환경에서 분석 수행
• 주요 도구: Virustotal, Exeinfo PE, PEiD, BinText, PEView, Process Explorer, Process Monitor, System Explorer, Autoruns, Wireshark

---

2. 기초 분석

2.1 Virustotal 진단 결과

• 71개 보안 엔진 중 51개가 악성으로 탐지
• 주요 진단명: PUP, Adware, Trojan, Downloader, Win32
• 요약: 해당 파일은 Adware 및 Downloader 계열의 트로이목마로 추정

---

3. 정적 분석

3.1 패킹 여부 확인

• 툴: Exeinfo PE, PEiD
• 결과: 패킹되지 않은 파일, Microsoft Visual C++ 기반으로 제작

3.2 문자열 분석 (BinText)

• 주요 문자열:
  • NETAPI32.dll, WSOCK32.dll → 네트워크 관련 DLL
  • nskSetup.exe, C:\WINDOWS\ 경로 → 외부 파일 다운로드 및 저장 시도 추정
  • 삭제 명령과 관련된 문자열 존재

3.3 PE 구조 분석 (PEView)

• MZ 시그니처 존재 → 실행파일임을 재확인
• TimeDateStamp: 2015년 08월 04일
• .text 세션 정상적 구성, RawData 사이즈 확인 결과 → 패킹되지 않음
• Import 라이브러리에 WSOCK32.dll, NETAPI32.dll 존재 → 네트워크 행위 가능성 다시 확인

---

4. 동적 분석

4.1 파일 실행 반응

• bton02setup.exe 관리자 권한 실행 시 화면에 알림창 표시
• 이후 원본 파일이 자동 삭제됨

4.2 Process Explorer 분석

• bton02setup.exe 프로세스 짧은 시간 생성 후 종료
• 추가적인 프로세스 생성 없음

4.3 Process Monitor 분석

• nskSetup.exe 실행 시도 → 파일이 없어 실행 실패
• cmd.exe 실행 후, SetDispositionInformationFile 함수 호출
  → DelUS.bat, bton02setup.exe 자가 삭제 시도 확인

4.4 System Explorer Snapshot 비교

• 실행 전후 비교 결과:
  • C:\WINDOWS\atin.ini 파일 생성됨
  • 해당 파일 내용 없음 → 빈 설정파일로 추정

4.5 Autoruns 분석

• 시작프로그램 및 서비스 등록 변화 없음 → 영구 실행 설정 없음

---

5. 네트워크 분석

5.1 Wireshark 패킷 분석

• 실행 직후 a-ton.co.kr 도메인에 대한 DNS 쿼리 발생
• 도메인 만료 상태로 인해 IP 주소 미반환 → 연결 실패

---

6. 결론

• bton02setup.exe는 현재는 활동하지 않는 Adware / Downloader 계열 악성코드로 판단됨
• 실행 시 cmd를 통한 자가 삭제, 특정 파일 다운로드 시도 및 레지스트리 등록 없이 단순 실행됨
• a-ton.co.kr 도메인이 복구될 경우 악성 행위 재개 가능성 존재
• 현재 위협도는 낮으나, 과거 백도어 기능을 갖췄을 가능성 존재 → 보안적 관찰 필요