W32.Madangel

W32.Madangel

W32.Madangel은 감염형 악성코드(웜)이다.

실행되면 다음과 같은 작업을 수행한다.

%Windir%\rundl132.exe //자기복사(W32.Madangel)
%Windir%\Logo1_.exe //자기복사(W32.Madangel)
%Windir%\vDll.dll //다운로드더 생성

참고:
%CurrentFolder% 악성코드가 실행된 디렉토리의 환경변수
%System% 시스템 디렉토리의 환경변수
C:\Windows\System (Windows 95/98/Me)
C:\Winnt\System32 (Windows NT/2000)
C:\Windows\System32 (Windows XP)

아래 레지스트리의 서브키를 체크하고 존재하면 프로세스를 종료한다.
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW
"auto" = "1"

iexplorer.exe 또는 explorer.exe에 vDll.dll을 인젝션한다.

vDll.dll은 다음 url에서 파일 다운로드를 시도한다.
hxxp://www.wowchian.com/dl[랜덤한 문자 2자리]

C to Y 드라이브까지 모든 드라이브의 실행파일을 찾아서 감염시킨다.
웜은 감염을 시도한 디렉토리에_desktop.ini 파일을 숨김속성으로 생성하고 시스템 설정 속성 및 웜이 실행 된 날짜를 저장한다.

다음과 같은 이름을 가진 디렉토리내의 파일들은 감염시키지 않는다.

system
system32
windows
Documents and Settings
System Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone

다음 IP주소로 "Hello,World" 문자열을 포함한 ICMP 패킷을 보낼 수 있다.

192.168.0.30
192.168.8.1

또한, 감염된 컴퓨터의 IP주소와 동일한 범위의 IP주소로 ICMP 패킷을 전송할 수 있다.
PC가 ICMP에 응답하는 경우 기본 공유폴더에 접근 시도를 한다.
\\ipc$
\\admin$

프로세스는 로컬 네트워크에있는 모든 컴퓨터와 공유 폴더를 접근 시도를 한다.
사용자계정과 암호를 사용하지 않거나 암호를 사용하지 않는 계정의 공유폴더를 열었을 경우
공유폴더에 존재하는 모든.exe파일을 감염시킨다