개요
악성코드 개요
W32/Yoddos.B.gen!Eldorado 악성코드는 C&C 서버의 명령을 받아서 DDoS 공격 기능을 수행 하는 악성코드이다
MD5:734452da4e98b95c7d23ee5adaec7295
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
O |
| ViRobot |
O |
<국내 주요 백신 결과>
VirusTotal 점검 내역
| 안티바이러스 | 결과 | 업데이트 |
|---|---|---|
| Agnitum | Trojan.Kryptik!+9R8QLXJAkc | 20130308 |
| AhnLab-V3 | Trojan/Win32.Npkon | 20130308 |
| AntiVir | TR/Crypt.XPACK.Gen | 20130309 |
| Antiy-AVL | - | 20130308 |
| Avast | Win32:Rootkit-gen [Rtk] | 20130309 |
| AVG | PSW.OnlineGames_r.DR | 20130309 |
| BitDefender | Gen:Variant.Kazy.11200 | 20130309 |
| ByteHero | Virus.Win32.Heur.c | 20130304 |
| CAT-QuickHeal | - | 20130308 |
| ClamAV | Win.Trojan.Darkshell-15 | 20130309 |
| Commtouch | W32/Yoddos.B.gen!Eldorado | 20130308 |
| Comodo | TrojWare.Win32.Kryptik.KAR | 20130309 |
| DrWeb | Trojan.Darkshell | 20130309 |
| Emsisoft | Gen:Variant.Kazy.11200 (B) | 20130309 |
| eSafe | - | 20130307 |
| ESET-NOD32 | a variant of Win32/Kryptik.KAR | 20130309 |
| F-Prot | W32/Yoddos.B.gen!Eldorado | 20130309 |
| F-Secure | Gen:Variant.Kazy.11200 | 20130309 |
| Fortinet | W32/TibsPk.BC!tr | 20130309 |
| GData | Gen:Variant.Kazy.11200 | 20130309 |
| Ikarus | Backdoor.Win32.DarkShell | 20130308 |
| Jiangmin | TrojanDropper.Microjoin.bcd | 20130308 |
| K7AntiVirus | Riskware | 20130308 |
| Kaspersky | Backdoor.Win32.DarkShell.on | 20130309 |
| Kingsoft | Win32.Troj.DeepScan.x.(kcloud) | 20130304 |
| Malwarebytes | Trojan.Agent | 20130309 |
| McAfee | - | 20130309 |
| McAfee-GW-Edition | Heuristic.LooksLike.Win32.SuspiciousPE.J | 20130309 |
| Microsoft | Trojan:WinNT/Darkshell.C | 20130309 |
| MicroWorld-eScan | Gen:Variant.Kazy.11200 | 20130309 |
| NANO-Antivirus | Trojan.Win32.MLW.csvnf | 20130309 |
| Norman | Startpage.ALTD | 20130308 |
| nProtect | Backdoor/W32.DarkShell.39475 | 20130308 |
| Panda | Trj/Genetic.gen | 20130308 |
| PCTools | Backdoor.Trojan | 20130309 |
| Rising | Trojan.Win32.Generic.127611AF | 20130308 |
| Sophos | - | 20130309 |
| SUPERAntiSpyware | Trojan.Agent/Gen-MalPE | 20130309 |
| Symantec | Backdoor.Trojan | 20130309 |
| TheHacker | Backdoor/DarkShell.on | 20130308 |
| TotalDefense | Win32/DarkShell.BC | 20130308 |
| TrendMicro | TROJ_KAZY.SMEK | 20130309 |
| TrendMicro-HouseCall | TROJ_KAZY.SMEK | 20130309 |
| VBA32 | Trojan.Siscos.bqu | 20130308 |
| VIPRE | - | 20130309 |
| ViRobot | Trojan.Win32.Siscos.47616 | 20130309 |
안티바이러스
결과
업데이트
Agnitum
Trojan.Kryptik!+9R8QLXJAkc
20130308
AhnLab-V3
Trojan/Win32.Npkon
20130308
AntiVir
TR/Crypt.XPACK.Gen
20130309
Antiy-AVL
-
20130308
Avast
Win32:Rootkit-gen [Rtk]
20130309
AVG
PSW.OnlineGames_r.DR
20130309
BitDefender
Gen:Variant.Kazy.11200
20130309
ByteHero
Virus.Win32.Heur.c
20130304
CAT-QuickHeal
-
20130308
ClamAV
Win.Trojan.Darkshell-15
20130309
Commtouch
W32/Yoddos.B.gen!Eldorado
20130308
Comodo
TrojWare.Win32.Kryptik.KAR
20130309
DrWeb
Trojan.Darkshell
20130309
Emsisoft
Gen:Variant.Kazy.11200 (B)
20130309
eSafe
-
20130307
ESET-NOD32
a variant of Win32/Kryptik.KAR
20130309
F-Prot
W32/Yoddos.B.gen!Eldorado
20130309
F-Secure
Gen:Variant.Kazy.11200
20130309
Fortinet
W32/TibsPk.BC!tr
20130309
GData
Gen:Variant.Kazy.11200
20130309
Ikarus
Backdoor.Win32.DarkShell
20130308
Jiangmin
TrojanDropper.Microjoin.bcd
20130308
K7AntiVirus
Riskware
20130308
Kaspersky
Backdoor.Win32.DarkShell.on
20130309
Kingsoft
Win32.Troj.DeepScan.x.(kcloud)
20130304
Malwarebytes
Trojan.Agent
20130309
McAfee
-
20130309
McAfee-GW-Edition
Heuristic.LooksLike.Win32.SuspiciousPE.J
20130309
Microsoft
Trojan:WinNT/Darkshell.C
20130309
MicroWorld-eScan
Gen:Variant.Kazy.11200
20130309
NANO-Antivirus
Trojan.Win32.MLW.csvnf
20130309
Norman
Startpage.ALTD
20130308
nProtect
Backdoor/W32.DarkShell.39475
20130308
Panda
Trj/Genetic.gen
20130308
PCTools
Backdoor.Trojan
20130309
Rising
Trojan.Win32.Generic.127611AF
20130308
Sophos
-
20130309
SUPERAntiSpyware
Trojan.Agent/Gen-MalPE
20130309
Symantec
Backdoor.Trojan
20130309
TheHacker
Backdoor/DarkShell.on
20130308
TotalDefense
Win32/DarkShell.BC
20130308
TrendMicro
TROJ_KAZY.SMEK
20130309
TrendMicro-HouseCall
TROJ_KAZY.SMEK
20130309
VBA32
Trojan.Siscos.bqu
20130308
VIPRE
-
20130309
ViRobot
Trojan.Win32.Siscos.47616
20130309
상세 분석 내용
[그림 -1] 악성 파일 생성
악성코드 실행 시 C:\WINDOWS\system32 경로에 firefox.exe 파일을 생성 한다. 용량을 늘려서 바이러스토탈 검사를 무력화 한다.
[그림 -2] 악성코드 은닉화
악성 파일 (firefox.exe) 실행 시 프로세스 목록에 firefox.exe 올라가지 않고 scvhost.exe 파일로 프로세스가 올라 간다. 악성코드는 정상적인 프로세스로 올라 가서 악성코드를 은닉화 한다.
[그림 -3] 사용자 PC 정보 탈취
악성코드에 감염된 사용자 PC의 운영체제 정보 , CPU 정보 , 메모리 정보를 탈취해서 공격자에게 전송 한다.
[그림 -4] C&C 주소 도메인 서비스 이용
C&C 서버는 국내 codns 서비스를 이용 하고 있으며 codns 서비스는 아이피 주소를 주소형태로 변경하는 서비스다.
[그림 -5] 감염 PC 윈도우 종료 권한 획득
[그림 -6] 감염 PC 다운로드 권한 획득
C&C 명령어를 통해서 악성코드에 감염된 사용자 PC 시스템에 대해서 외부에서 추가로 파일을 다운로드 해서 추가로 악성코드 감염 이나 악성 해
커가 원하는 파일을 다운 받아서 실행이 가능하다.
[그림 -7] DDoS 공격 기능
다양한 DDoS 공격 기능을 수행 하며 HTTP GET 공격 기능을 가지고 있다
[그림-8] C&C 서버 소재지
C&C 서버의 소재지는 한국이다
'악성코드 분석' 카테고리의 다른 글
| Win-Trojan/Agent.153600.KP (0) | 2013.03.21 |
|---|---|
| Backdoor.Win32.Xyligan.ml (0) | 2013.03.18 |
| PSW.OnlineGames4.AIBT.dropper (0) | 2013.03.09 |
| PSW.OnlineGames4.AHVA.dropper (0) | 2013.03.08 |
| Trojan:WinNT/Darkshell.C (0) | 2013.03.03 |
