개요
악성코드 개요
PSW.OnlineGames4.AIBT.dropper 악성코드는 2012년도 국내에서 백신업체를 통해 접수된 악성코드 피해신고 가운데 가장 많이 피해 신고 접수가 된 악성코드로 온라인게임 계정을 탈취하는 악성 코드다.
MD5:ecae789a0ae4b5818f173be9ee2decdc
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
X |
| ViRobot |
X |
<국내 주요 백신 결과>
VirusTotal 점검 내역
안티바이러스
결과
업데이트
Agnitum
Trojan.PWS.OnLineGames!WQy4rXfB9Wk
20130307
AhnLab-V3
Trojan/Win32.OnlineGameHack
20130307
AntiVir
TR/Downloader.Gen
20130308
Antiy-AVL
-
20130307
Avast
Win32:Patched-AMK [Trj]
20130308
AVG
PSW.OnlineGames4.AIBT.dropper
20130308
BitDefender
Dropped:Trojan.Generic.8735948
20130308
ByteHero
-
20130304
CAT-QuickHeal
TrojanDownloader.OnLineGames
20130308
ClamAV
-
20130308
Commtouch
W32/Busky.B.gen!Eldorado
20130308
Comodo
UnclassifiedMalware
20130308
DrWeb
-
20130308
Emsisoft
Gen:Trojan.Heur.PT.dmGfbuNB4Glj (B)
20130308
eSafe
-
20130307
ESET-NOD32
probably a variant of Win32/PSW.OnLineGames.QDL
20130308
F-Prot
W32/Busky.B.gen!Eldorado
20130307
F-Secure
Dropped:Trojan.Generic.8735948
20130308
Fortinet
W32/Onlinegames.QDL!tr.pws
20130308
GData
Dropped:Trojan.Generic.8735948
20130308
Ikarus
Trojan-PWS.Win32.OnLineGames
20130308
Jiangmin
Heur:Trojan/PatchFile
20130308
K7AntiVirus
-
20130307
Kaspersky
HEUR:Trojan.Win32.Generic
20130307
Kingsoft
Win32.Troj.Undef.(kcloud)
20130304
Malwarebytes
Spyware.OnlineGames
20130308
McAfee
Artemis!ECAE789A0AE4
20130308
McAfee-GW-Edition
Artemis!ECAE789A0AE4
20130308
Microsoft
TrojanDownloader:Win32/OnLineGames.C
20130308
MicroWorld-eScan
Dropped:Trojan.Generic.8735948
20130308
NANO-Antivirus
Trojan.Win32.OnLineGames.bihemo
20130308
Norman
Troj_Generic.ICSKA
20130307
nProtect
-
20130308
Panda
Trj/CI.A
20130307
PCTools
HeurEngine.ZeroDayThreat
20130308
Rising
Worm.Chiviper!3242
20130308
Sophos
Mal/Behav-004
20130308
SUPERAntiSpyware
-
20130308
Symantec
Suspicious.Emit
20130308
TheHacker
Backdoor/Rbot.gen
20130308
TotalDefense
-
20130307
TrendMicro
TROJ_GEN.RCBCDC7
20130308
TrendMicro-HouseCall
TROJ_GEN.RCBCDC7
20130308
VBA32
BScope.Trojan.SvcHorse.01643
20130307
VIPRE
-
20130308
ViRobot
-
20130308
상세 분석 내용
[그림-1] 정보유출 디코딩 루틴
악성코드는 정보 유출 주소를 디코딩 루틴을 통해서 정상적인 악성코드 주소를 확인 할 수 있다.
[그림-2] 운영체제 확인
악성코드는 동작 하는 사용자 PC의 운영체제 정보를 확인 한다.
[그림-3] 사용자 PC 정보 전송
악성코드는 실행 하는 사용자 PC의 운영체제 정보 mac address 정보를 탈취해서 공격자 서버에 전송 한다. 악성 해커는 이런 정보를 수집 해서 악성코드가 감염된 사용자 PC 정보를 시각화 할것으로 추정 된다.
[그림-4] 레지스트리 조작 DLL 인젝션
악성코드가 변조한 ws2help.dll 파일은 DLL 인젝션 방법 중 레지스트리 조작으로 AppInit_DLLs 등록 하고 user32.dll 로딩하는 시스템의 모든 프로세스에 인젝션 한다.
[그림-5] 악성코드 탈취 온라임 게임 목록
국내 주요 게임 사이트(넷마블 , 한게임, 넥슨 , NC소프트 , 아키에이지)에 대해서 게임 계정 정보를 탈취 한다
[그림-6] 국내 주요 백신 무력화
악성코드는 국내에서 활동하는 주요 백신 프로그램이 실행 중이라면 강제 종료 시킨다.
[그림-7] 온라인 게임 계정 유출
특정 온라인 게임 사이트에 로그인을 시도 시 악성코드에 설정 되어 있는 계정 유출지로 온라인 게임 계정 정보를 탈취 한다.
[그림-8] 온라인 게임 계정 탈취 서버 소재지
온라인 게임 계정을 탈취 하는 서버의 소재지는 홍콩 이다.
'악성코드 분석' 카테고리의 다른 글
| Backdoor.Win32.Xyligan.ml (0) | 2013.03.18 |
|---|---|
| W32/Yoddos.B.gen!Eldorado (0) | 2013.03.15 |
| PSW.OnlineGames4.AHVA.dropper (0) | 2013.03.08 |
| Trojan:WinNT/Darkshell.C (0) | 2013.03.03 |
| Packed/Win32.Black (0) | 2013.03.02 |
