참고 링크(1) :
http://adwareremovaltips.net/post/Steps-To-Remove-PSW.OnlineGames3.AVRA_16_159984.html
간단간단한 분석밖에 하지 않았으나, 조금 더 공부하면서 어떤 기능이 어떻게 이루어지는지 알아내보고 싶어져서 쓰게 되었네요.
일단 간단한 동작부터 알아보지요.
-------<< 간단한 동작 및 증상 >>-------
1. USB, PSP, SD Card 등에 심어지더군요. 또한 PC Temp에 백업이 되지요.
2. Registry 변조, 삽입.
3. wscript.exe파일로 실행되는 프로그램.
4. 1번에 심어지고, USB나 PSP 등의 모든 파일들은 숨겨지며 바로가기로 변하게 되더군요.
5. avra.vbe를 안티 바이러스 소프트웨어(알약 or Avast)가 감지하여 삭제를 하게 되면 Registry에 있던 명령어가실행되며 백업한 실행파일을 실행한다.
실행시, Regedit에 명령어 덮어쓰기(새로쓰기), wscript.exe로 avra.vbe를 실행(중복되어 실행됨)
-------<< 비슷한 바이러스 >>-------
증상은 AutoRun 바이러스와 비슷합니다.
참고 링크(2) : http://intumyself.tistory.com/36
-------<< 발전된 바이러스 증상 >>-------
AVRA는 AutoRun 바이러스보다 좀 더 발전한 녀석이었어요.
1. 쉽게 지우지 못하도록 Process를 실행시켜 놓는 점.
2. Registry삽입, Temp Folder 백업.
3. 삭제 감지시 백업된 파일을 실행하여 Registry 실행 및 증상을 복원합니다.(10초 정도 딜레이가 있습니다.)
-------<< REGISTRY 살펴보기 >>-------
Regedit을 살펴보고 삽입 위치를 알아보았습니다.
코드 삽입 위치 : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
혹은
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
"CertificateRevocation" =Random
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
출처 : 참고 링크(1)
위의 캡처는 AVRA가 삽입한 코드입니다.
다음 명령어를 살펴보면 wscript.exe, 즉 Windows Script Host를 사용하여 해당 route에 어떤 명령을 내리는 것으로 볼 수 있어요.
//B
Specifies batch mode, which does not display alerts, scripting errors, or input prompts.
배치 모드를 지정합니다. 배치 모드에서는 경고, 스크립트 오류 또는 프롬프트가 표시되지 않습니다.
- //D
- Starts the debugger.
- 디버거를 시작합니다.
- //E: Engine
- Specifies the engine that is used to run the script.
- 스크립트를 실행하는 데 사용되는 엔진을 지정합니다.
- //H:cscript
- Registers Cscript.exe as the default script host for running scripts.
- 스크립트를 실행하는 기본 스크립트 호스트로 Cscript.exe를 등록합니다.
- //H:wscript
- Registers Wscript.exe as the default script host for running scripts. This is the default.
- 스크립트를 실행하는 기본 스크립트로 Wscript.exe를 등록합니다. 이것이 기본 설정입니다.
- //I
- Specifies interactive mode, which displays alerts, scripting errors, and input prompts. This is the default and the opposite of //B.
- 대화형 모드를 지정합니다. 대화형 모드에서는 경고, 스크립팅 오류 및 입력 프롬프트가 표시됩니다. 기본값이며, //B와는 반대입니다.
- //Job: Identifier
- Runs the job identified by Identifier in a .wsf script file.
- Identifier에서 확인된 작업을 .wsf 스크립트 파일에서 실행합니다.
- //Logo
- Specifies that the Windows Script Host banner is displayed in the console before the script runs. This is the default and the
- opposite of //Nologo.
- 스크립트가 실행되기 전에 Windows Script Host 배너가 콘솔에 표시되도록 지정합니다. 기본값이며 //Nologo와는 반대입니다.
- //Nologo
- Specifies that the Windows Script Host banner is not displayed before the script runs.
- 스크립트가 실행되기 전에 Windows Script Host배너가 표시되지 않도록 지정합니다.
- //S
- Saves the current command-prompt options for the current user.
- 현재 사용자에 대한 현재 명령 프롬프트 옵션을 저장합니다.
- //T: Number
- Specifies the maximum time the script can run (in seconds). You can specify up to 32,767 seconds. The default is no time limit.
- 스크립트 실행 시간의 최대값을 초 단위로 지정합니다. 32,767초까지 지정할 수 있습니다. 기본값에는 시간 제한이 없습니다.
- //X
- Starts the script in the debugger.
- 디버거에서 스크립트를 시작합니다.
- //?
- Displays available command parameters and provides help for using them.
- 사용할 수 있는 명령 매개 변수를 표시하고 사용 방법에 대한 도움말을 제공합니다.
- ScriptArguments
- Specifies the arguments passed to the script. Each script argument must be preceded by a slash (/).
- 스크립트에 전달되는 인수를 지정합니다. 각 스크립트 인수 앞에는 슬래시(/)를 사용해야 합니다.
//B 명령어를 통해 알림을 제거한 채 avra.vbe를 실행한다는 명령어가 삽입되었다는 걸 확인할 수 있어요.
하지만 avra.vbe를 //I 옵션으로 실행해도 알림창은 뜨지 않았어요.
avra.vbe를 실험한 cmd창의 모습입니다.
wscript.exe가 Process에 올라오기는 했지만 저 옵션에서는 아무런 알림창이나 실행 시 변하는 모습은 없었어요.
딱히 Alert창이 뜨지 않는 실행파일인 것 같아요.
제가 발견한 감염 경로는 PSP (COWON O2)입니다.
위의 PSP에는 파일들을 업로드 하면 파일들이 어떤 이름이고 어떤 형식인지를 저장한 .system디렉토리가 있습니다.
.dpl이라는 파일은 설정 파일 중 하나인데, .system디렉토리 내에 있으며, 이 파일을 백지화 했습니다.
또한 다른 설정파일들을 마구잡이로 지워놓는 것 같습니다. PSP에서는 더 이상 avi파일이나 mkv파일은 실행되지 않았습니다.
-------<< 치료 방법 >>-------
1. 작업관리자 -> 프로세스 -> wscript.exe를 선택하고 프로세스 끄기.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ -> avra를 삭제.
3. 명령 프롬프트창을 열고 감염된 USB 혹은 PSP의 최상위 경로로 들어감.
4. attrib -r -s -h /s /d *.* 을 치고 엔터.
6. C:\Users\KKAMI\AppData\Local\Temp\avra.vbe로 들어가 avra.vbe파일 삭제.
7. Avast나 알약이 다운돼 있으면, USB혹은 PSP를 뺐다가 다시 삽입.(아마 Avast가 잡아줄 겁니다.)