개요
악성코드 개요
Packed/Win32.Black 악성코드는 C&C 서버의 명령어를 통해서 다양한 악성 기능을 수행 하는 악성코드이다
MD5:51d91f988e1fc8d75fa808c955b18248
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
X |
| ViRobot |
X |
<국내 주요 백신 결과>
VirusTotal 점검 내역
| 안티바이러스 | 결과 | 업데이트 |
|---|---|---|
| Agnitum | Packed/Themida | 20130228 |
| AhnLab-V3 | Packed/Win32.Black | 20130228 |
| AntiVir | TR/Spy.Gen | 20130301 |
| Antiy-AVL | - | 20130228 |
| Avast | Win32:Malware-gen | 20130301 |
| AVG | Win32/Themida | 20130301 |
| BitDefender | Trojan.Packed.Libix.Gen.9 | 20130301 |
| ByteHero | - | 20130221 |
| CAT-QuickHeal | (Suspicious) - DNAScan | 20130301 |
| ClamAV | - | 20130301 |
| Commtouch | - | 20130301 |
| Comodo | Packed.Win32..Black.~A | 20130228 |
| DrWeb | Trojan.Packed.650 | 20130301 |
| Emsisoft | Trojan.Packed.Libix.Gen.9 (B) | 20130301 |
| eSafe | - | 20130211 |
| ESET-NOD32 | a variant of Win32/Packed.Themida | 20130301 |
| F-Prot | W32/Themida_Packed!Eldorado | 20130301 |
| F-Secure | Trojan.Packed.Libix.Gen.9 | 20130301 |
| Fortinet | - | 20130301 |
| GData | Trojan.Packed.Libix.Gen.9 | 20130301 |
| Ikarus | Trojan.SuspectCRC | 20130226 |
| Jiangmin | Packed.Black.Gen.a | 20130301 |
| K7AntiVirus | Trojan | 20130228 |
| Kaspersky | Packed.Win32.Black.a | 20130301 |
| Kingsoft | - | 20130225 |
| Malwarebytes | - | 20130301 |
| McAfee | - | 20130301 |
| McAfee-GW-Edition | Heuristic.BehavesLike.Win32.Suspicious-BAY.G | 20130301 |
| Microsoft | VirTool:Win32/Obfuscator.XX | 20130301 |
| MicroWorld-eScan | Trojan.Packed.Libix.Gen.9 | 20130301 |
| NANO-Antivirus | Trojan.Win32.Siggen.rrqfr | 20130301 |
| Norman | Packed_TheMida.B | 20130228 |
| nProtect | - | 20130228 |
| Panda | Trj/Thed.A | 20130228 |
| PCTools | Trojan.Gen | 20130301 |
| Rising | - | 20130228 |
| Sophos | Mal/Zegost-A | 20130301 |
| SUPERAntiSpyware | - | 20130301 |
| Symantec | Trojan.Gen | 20130301 |
| TheHacker | W32/Behav-Heuristic-064 | 20130228 |
| TotalDefense | - | 20130228 |
| TrendMicro | PAK_Generic.016 | 20130301 |
| TrendMicro-HouseCall | PAK_Generic.016 | 20130301 |
| VBA32 | - | 20130228 |
| VIPRE | - | 20130301 |
| ViRobot | - | 20130301 |
상세 분석 내용
악성코드는 Themida protector 사용 해서 백신 우회 그리고 악성코드 분석을 방해 한다.
악성코드 행동 분석에 필요한 모니터링툴을 사전에 감지 해서 악성코드 실행 시 에러 메세지를 호출 하고 악성코드 실행을 중지 한다.
Application,Security,System 이벤트 로그를 삭제 한다. OpenEventLog 함수를사용해서 해당 로그에 대한 핸들을 받아오고 Application, Security, System에 대한 이벤트 로그 핸들을 받고ClearEventLog 함수를 통해서 로그 기록을 삭제 한다
악성코드에 감염된 사용자 PC는 원격제어가 가능 해지며 악성 해커는 keybd_event , mouse_event 함수를 호출 해서 사용자 PC에 대해서 마우스를 제어 하거나 키보드를 입력 할 것으로 추정 된다.
waveInOpen 함수를 호출 해서 사운드 디바이스를 열고 waveInPrepareHeader 함수와waveInAddBuffer 함수를 호출 해서 사운드에 필요한 버퍼의 헤더를 초기화하고 waveInStart 함수를 호출 해서 녹음을 시작한다.
악성코드에 감염된 사용자 PC 시스템에 대해서 종료 권한을 가지고 있으며 악성해커는 감염 PC에 SeShutdownPrivilege 특권을 이용하여 ExitWindowsEx 함수를 호출 해서 종료 및 재부팅을 실행 한다.
악성코드는 15 가지의 명령이 가능하다. 11가지 명령어 안에서도 세분화로 되있으며 추가로 20 가지 이상의 명령을 수행 할 수 있다.
C&C 서버의 소재지는 한국이다
'악성코드 분석' 카테고리의 다른 글
| PSW.OnlineGames4.AHVA.dropper (0) | 2013.03.08 |
|---|---|
| Trojan:WinNT/Darkshell.C (0) | 2013.03.03 |
| Backdoor.Win32.PcClient.ani (0) | 2013.03.01 |
| Trojan-PWS/W32.WebGame.137351 (0) | 2013.02.27 |
| Trojan-GameThief.Win32.Magania.hyha (0) | 2013.02.26 |
