개요
악성코드 개요
PSW.OnlineGames4.AHVA.dropper 악성코드는 2012년도 국내에서 백신업체를 통해 접수된 악성코드 피해신고 가운데 가장 많이 피해 신고 접수가 된 악성코드로 온라인게임 계정을 탈취하는 악성 코드다.
MD5:2a13229d819055527a91221e617a2509
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
X |
| ViRobot |
X |
<국내 주요 백신 결과>
VirusTotal 점검 내역
| 안티바이러스 | 결과 | 업데이트 |
|---|---|---|
| Agnitum | - | 20130305 |
| AhnLab-V3 | Trojan/Win32.OnlineGameHack | 20130305 |
| AntiVir | TR/Downloader.Gen | 20130305 |
| Antiy-AVL | - | 20130305 |
| Avast | Win32:Patched-AMK [Trj] | 20130305 |
| AVG | PSW.OnlineGames4.AHVA.dropper | 20130305 |
| BitDefender | Dropped:Trojan.Generic.KDZ.9979 | 20130305 |
| ByteHero | - | 20130304 |
| CAT-QuickHeal | - | 20130305 |
| ClamAV | - | 20130304 |
| Commtouch | W32/Busky.B.gen!Eldorado | 20130305 |
| Comodo | - | 20130305 |
| DrWeb | Trojan.Siggen5.263 | 20130305 |
| Emsisoft | Gen:Trojan.Heur.PT.dmGfb4Ge5nej (B) | 20130305 |
| eSafe | - | 20130211 |
| ESET-NOD32 | a variant of Win32/PSW.OnLineGames.QBT | 20130305 |
| F-Prot | W32/Busky.B.gen!Eldorado | 20130305 |
| F-Secure | Dropped:Trojan.Generic.KDZ.9979 | 20130305 |
| Fortinet | - | 20130305 |
| GData | Dropped:Trojan.Generic.KDZ.9979 | 20130305 |
| Ikarus | Trojan-PWS.Win32.OnLineGames | 20130305 |
| Jiangmin | Heur:Trojan/PatchFile | 20130304 |
| K7AntiVirus | - | 20130304 |
| Kaspersky | HEUR:Trojan.Win32.Generic | 20130305 |
| Kingsoft | - | 20130304 |
| Malwarebytes | Trojan.GamesThief.NR | 20130305 |
| McAfee | - | 20130305 |
| McAfee-GW-Edition | - | 20130305 |
| Microsoft | TrojanDownloader:Win32/OnLineGames.C | 20130305 |
| MicroWorld-eScan | Dropped:Trojan.Generic.KDZ.9979 | 20130305 |
| NANO-Antivirus | - | 20130305 |
| Norman | Malware | 20130305 |
| nProtect | - | 20130305 |
| Panda | Trj/CI.A | 20130304 |
| PCTools | HeurEngine.ZeroDayThreat | 20130305 |
| Rising | Worm.Chiviper!3242 | 20130305 |
| Sophos | Mal/Behav-004 | 20130305 |
| SUPERAntiSpyware | - | 20130305 |
| Symantec | Suspicious.Emit | 20130305 |
| TheHacker | Posible_Worm32 | 20130305 |
| TotalDefense | - | 20130305 |
| TrendMicro | PAK_Generic.001 | 20130305 |
| TrendMicro-HouseCall | PAK_Generic.001 | 20130305 |
| VBA32 | BScope.Trojan.SvcHorse.01643 | 20130305 |
| VIPRE | - | 20130305 |
| ViRobot | - | 20130305 |
상세 분석 내용
[그림-1] 정보유출 디코딩 루틴
악성코드는 정보 유출 주소를 디코딩 루틴을 통해서 정상적인 악성코드 주소를 확인 할 수 있다.
[그림-2] 운영체제 64bit/32bit 확인
악성코드가 동작 하는 사용자 PC의 운영체제 환경이 64bit 운영체제 인지 32bit 운영체제 인지 확인 한다.
[그림-3] 운영체제 확인
악성코드는 동작 하는 사용자 PC의 운영체제 정보를 확인 한다.
[그림-4] 사용자 PC 정보 전송
악성코드는 실행 하는 사용자 PC의 운영체제 정보 mac address 정보를 탈취해서 공격자 서버에 전송 한다. 악성 해커는 이런 정보를 수집 해서 악성코드가 감염된 사용자 PC 정보를 시각화 할것으로 추정 된다.
[그림-5] 악성코드가 탈취 하는 온라임 게임 사이트
국내 주요 게임 사이트(넷마블 , 한게임, 넥슨 , NC소프트 , 아키에이지)에 대해서 게임 계정 정보를 탈취 한다.
[그림-6] 악성코드 인젝션
악성코드는 iexplore.exe 프로세스에 악성 ws2help.dll 파일을 인젝션 하며 온라인 게임 계정 정보를 수집하여 외부로 유출한다. ws2helpXP.dll 파일은 ws2help.dll 시스템 파일의 백업 파일로 ws2help.dll 정상 파일의 역할을 한다
[그림-7] 온라인 게임 계정 유출
특정 온라인 게임 사이트에 로그인을 시도 시 악성코드에 설정 되어 있는 계정 유출지로 온라인 게임 계정 정보를 탈취 한다.
[그림-8] 온라인 게임 계정 탈취 서버 소재지
온라인 게임 계정을 탈취 하는 서버의 소재지는 홍콩 이다.
'악성코드 분석' 카테고리의 다른 글
| W32/Yoddos.B.gen!Eldorado (0) | 2013.03.15 |
|---|---|
| PSW.OnlineGames4.AIBT.dropper (0) | 2013.03.09 |
| Trojan:WinNT/Darkshell.C (0) | 2013.03.03 |
| Packed/Win32.Black (0) | 2013.03.02 |
| Backdoor.Win32.PcClient.ani (0) | 2013.03.01 |
