Jump to content
Sign in to follow this  
여우귀성애자

[Malware] 아르테미스 변종 유닉스 루트킷

Recommended Posts

아르테미스 트로이 목마의 변종 형태의 루트킷이 대만에 있는 서버에서 발견되었습니다.

해당 서버는 https://www.cordythaiproducts.com/ 라는 서버로써, 대만에서 여러가지 차(tea)를 판매하거나, 건강기능식품을 판매하는 사이트입니다.

악성코드가 위치한 디렉토리는 아래와 같습니다.

cordythaiproducts.com/cgi-bin/sserv.jpg

대놓고 cgi 디렉토리에 악성코드를...ㅋㅋㅋㅋ

이것  또한 이미지 파일로 압축된 악성코드입니다. 바이러스 토탈 분석 결과 41/71 의 탐지율을 보이더군요.

아르테미스 트로이 목마의 파생형이나, 루트킷과 랜섬웨어의 역활을 이중적으로 가지고 있는 악성코드입니다.

공격자가 숨어서 서버를 스니핑하다가, 특정 기간에 악성코드에 오더를 내려 시스템을 암호화 할 수 있는 실행파일입니다.

금전을 목적으로 해킹을 시도한게 뻔히 보이네요. 파일 공유합니다. 공부하실 때 쓰세요.

md5 hash : 0c8c5f08a6c584aaa9d1d329f8cd93d30112a5e124ca778665295672fa9575fd

PE load modules

[+] ADVAPI32.dll
[+] GDI32.dll
[+] KERNEL32.dll
[+] USER32.dll

UninitializedDataSize : 0
LinkerVersion : 9.0
ImageVersion : 0.0
FileVersionNumber : 6.1.7601.17514
LanguageCodeEnglish : (U.S.)
FileFlagsMask : 0x003f
FileDescriptionWindows : Driver Foundation - User-mode Driver Framework Host Process
ImageFileCharacteristicsNo : relocs, Executable, 32-bit
CharacterSet : Unicode
InitializedDataSize : 1402880
EntryPoint : 0x1320
MIMEType : application/octet-stream
FileVersion : 6.1.7601.17514 (win7sp1_rtm.101119-1850)
TimeStamp : 2018:12:05 10:39:25+01:00
FileType : Win32 EXE
PEType : PE32
InternalName : WU DFHost.exe
SubsystemVersion : 5.0
OSVersion : 5.0
FileOS : Windows NT 32-bit
Subsystem : Windows GUI
MachineType : Intel 386 or later, and compatibles
CompanyName : Microsoft Corporation
CodeSize : 5632
FileSubtype : 0
ProductVersionNumber : 6.1.7601.17514
FileType : Extensionexe
ObjectFileType : Executable application

 

sserv.zip

  • Like 1

Share this post


Link to post
Share on other sites
Guest
You are commenting as a guest. If you have an account, please sign in.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×

Important Information

I have read and accept the above terms.