개요
악성코드 개요
Trojan:WinNT/Darkshell.C 악성코드는 종합적인 악성 모듈을 가지고 있으며 DDoS 공격 기능을 수행 하는 악성코드이다.
MD5:894b1a418f36b445d9924d19c2bf1414
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
X |
| BitDefender(알약) |
X |
| nProtect |
X |
| ViRobot |
O |
<국내 주요 백신 결과>
VirusTotal 점검 내역
| 안티바이러스 | 결과 | 업데이트 |
|---|---|---|
| Agnitum | Trojan.Kryptik!+9R8QLXJAkc | 20130302 |
| AhnLab-V3 | - | 20130302 |
| AntiVir | TR/Crypt.XPACK.Gen | 20130302 |
| Antiy-AVL | - | 20130302 |
| Avast | Win32:Rootkit-gen [Rtk] | 20130303 |
| AVG | PSW.OnlineGames_r.DR | 20130302 |
| BitDefender | - | 20130303 |
| ByteHero | - | 20130221 |
| CAT-QuickHeal | (Suspicious) - DNAScan | 20130302 |
| ClamAV | - | 20130302 |
| Commtouch | W32/Yoddos.B.gen!Eldorado | 20130302 |
| Comodo | Heur.Packed.Unknown | 20130302 |
| DrWeb | Trojan.Darkshell | 20130303 |
| Emsisoft | - | 20130303 |
| eSafe | Suspicious File | 20130211 |
| ESET-NOD32 | - | 20130302 |
| F-Prot | W32/Yoddos.B.gen!Eldorado | 20130302 |
| F-Secure | - | 20130302 |
| Fortinet | - | 20130303 |
| GData | Win32:Rootkit-gen | 20130303 |
| Ikarus | Backdoor.Win32.DarkShell | 20130226 |
| Jiangmin | Trojan/Generic.mdca | 20130302 |
| K7AntiVirus | Riskware | 20130301 |
| Kaspersky | HEUR:Trojan.Win32.Generic | 20130302 |
| Kingsoft | - | 20130225 |
| Malwarebytes | Trojan.Agent | 20130302 |
| McAfee | - | 20130303 |
| McAfee-GW-Edition | Heuristic.BehavesLike.Win32.Suspicious-BAY.G | 20130302 |
| Microsoft | Trojan:WinNT/Darkshell.C | 20130303 |
| MicroWorld-eScan | - | 20130303 |
| NANO-Antivirus | - | 20130302 |
| Norman | Startpage.ALTD | 20130302 |
| nProtect | - | 20130302 |
| Panda | Suspicious file | 20130302 |
| PCTools | HeurEngine.MaliciousPacker | 20130302 |
| Rising | Trojan.DL.Win32.GenFxj.cd | 20130228 |
| Sophos | Mal/TibsPk-D | 20130302 |
| SUPERAntiSpyware | Trojan.Agent/Gen-MalPE | 20130302 |
| Symantec | Suspicious.MH690.A | 20130303 |
| TheHacker | W32/Behav-Heuristic-073 | 20130302 |
| TotalDefense | - | 20130301 |
| TrendMicro | TROJ_KAZY.SMEK | 20130303 |
| TrendMicro-HouseCall | TROJ_KAZY.SMEK | 20130303 |
| VBA32 | Trojan.Siscos.bqu | 20130301 |
| VIPRE | Trojan.Win32.Packer.Yoda1.3 (ep) | 20130302 |
| ViRobot | Trojan.Win32.Siscos.47616[YodaCryptor] | 20130302 |
상세 분석 내용
악성코드 감염된 사용자 PC의 운영체제 정보, CPU 정보, 메모리 정보 등의 정보를 수집하여 공격자에게 전송 한다.
사용자 PC 시스템에 대해서 종료 권한을 가지고 있으며 SeShutdownPrivilege 특권을 이용하여 ExitWindowsEx 함수를 호출 해서 종료 및 재부팅을 실행 할 수 있다.
악성 해커 명령어에 의해서 동작을 수행 하며 외부에서 파일을 다운로드 하는 기능을 가지고 있다. 추후 악성코드 추가 감염을 위해서 사용 할 것으로 추정 된다.
악성코드 감염된 PC의 프로세스를 확인 하고 특정 프로세스를 강제 종료 할 수 있다.
악성코드의 C&C 서버 주소는 국내 wowip 사이트의 DDNS(Dynamic DNS) 서비스를 이용 하고 있다.
다양한 DDoS 공격 기능을 가지고 있으며 DDoS 공격 기능 명령어는 15가지 이상의 DDoS 공격 기능을 가지고 있다.
C&C 서버의 소재지는 대한민국이다
'악성코드 분석' 카테고리의 다른 글
| PSW.OnlineGames4.AIBT.dropper (0) | 2013.03.09 |
|---|---|
| PSW.OnlineGames4.AHVA.dropper (0) | 2013.03.08 |
| Packed/Win32.Black (0) | 2013.03.02 |
| Backdoor.Win32.PcClient.ani (0) | 2013.03.01 |
| Trojan-PWS/W32.WebGame.137351 (0) | 2013.02.27 |
