Upatre

Upatre 악성코드는 주로 위 와 같은 스팸메일과 함께 첨부파일 형태로전파된다.

해당 파일을 열면 악성 서버에서 추가 파일을 다운로드 하여 사용자의 시스템에 설치하는데, 

이때 설치되는 악성샘플이 Upatre이다.

PDF파일의 아이콘을 가지고 있으나 실제 EXE 파일이다.

테스트 환경

---

Windows XP x86

행위 정보

다음 위치에 파일을 생성한다

C:\Documents and Settings\Administrator\Local Settings\Temp\microview.exe(랜덤명)(원본파일)

C:\Documents and Settings\Administrator\Local Settings\Temp\micro1B83.log(랜덤명)

C:\Documents and Settings\Administrator\Local Settings\Temp\etpm14.pdf(랜덤명)

C:\WINDOWS\sKhPEjDejdkekYF.exe(랜덤명)

피해자 시스템의 IP를 확인한다.

네트워크 패킷을 확인해 보면 png 파일을 다운받는데, 이는 png 파일이 아니며 디코딩 되어WINDOWS폴더 하위에 생성되는 PE파일이 된다.(sKhPEjDejdkekYF.exe)

다운받은 PE파일은 정보탈취형 악성코드이며, 금융정보 탈취등에 악용된다.

서비스에 googleupdate라는 이름으로 WINDOWS폴더 하위에 생성된 PE 파일을 등록한다.

위와 같은 PDF 파일을 실행시켜 정상적인 PDF파일을 실행시킨것 처럼 위장한다.