개요
악성코드 개요
Win-Trojan/Agent.153600.KP 악성코드는 C&C 서버의 명령을 받아서 DDoS 공격 기능을 수행 하는 악성코드이다
MD5:f8da8d532ec7af41e28265f2d1dbf5db
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
O |
| ViRobot |
O |
<국내 주요 백신 결과>
VirusTotal 점검 내역
| Antivirus | Result | Update |
|---|---|---|
| Agnitum | - | 20130318 |
| AhnLab-V3 | Win-Trojan/Agent.153600.KP | 20130319 |
| AntiVir | DDoS/Nitol.D.26 | 20130319 |
| Antiy-AVL | - | 20130317 |
| Avast | Win32:ServStart-C [Trj] | 20130319 |
| AVG | DDoS.AC | 20130319 |
| BitDefender | Trojan.Generic.KD.901562 | 20130319 |
| ByteHero | - | 20130315 |
| CAT-QuickHeal | - | 20130318 |
| ClamAV | - | 20130318 |
| Commtouch | W32/Heuristic-257!Eldorado | 20130319 |
| Comodo | TrojWare.Win32.TrojanDownloader.Small.CO | 20130319 |
| DrWeb | - | 20130319 |
| Emsisoft | - | 20130319 |
| eSafe | - | 20130319 |
| ESET-NOD32 | probably unknown NewHeur_PE | 20130319 |
| F-Prot | W32/Heuristic-257!Eldorado | 20130319 |
| F-Secure | Trojan.Generic.KD.901562 | 20130319 |
| Fortinet | NewHeur_PE | 20130319 |
| GData | Trojan.Generic.KD.901562 | 20130319 |
| Ikarus | Trojan.Win32.ServStart | 20130319 |
| Jiangmin | - | 20130319 |
| K7AntiVirus | Riskware | 20130318 |
| Kaspersky | Trojan.Win32.Agent.hwov | 20130319 |
| Kingsoft | Win32.Heur.KVMF60.hy.(kcloud) | 20130318 |
| Malwarebytes | Trojan.ServStart.RRE | 20130319 |
| McAfee | Artemis!F8DA8D532EC7 | 20130319 |
| McAfee-GW-Edition | Heuristic.BehavesLike.Win32.Suspicious.H | 20130319 |
| Microsoft | DDoS:Win32/Nitol.D | 20130319 |
| MicroWorld-eScan | Trojan.Generic.KD.901562 | 20130319 |
| NANO-Antivirus | - | 20130319 |
| Norman | Obfuscated_FA | 20130319 |
| nProtect | Trojan.Generic.KD.901562 | 20130319 |
| Panda | Trj/CI.A | 20130319 |
| PCTools | - | 20130319 |
| Sophos | - | 20130319 |
| SUPERAntiSpyware | - | 20130319 |
| Symantec | WS.Reputation.1 | 20130318 |
| TheHacker | - | 20130318 |
| TotalDefense | - | 20130319 |
| TrendMicro | TROJ_GEN.F47V0318 | 20130319 |
| TrendMicro-HouseCall | TROJ_GEN.F47V0318 | 20130319 |
| VBA32 | - | 20130319 |
| VIPRE | BehavesLike.Win32.Malware.ssc (mx-v) | 20130319 |
| ViRobot | Trojan.Win32.S.Agent.153600.T | 20130319 |
상세 분석 내용
[그림 -1] 악성 파일 생성
악성코드 실행 시 C:\WINDOWS\system32 경로에 V3LSvc.exe 파일을 생성 한다. 그리고 ShellExecute 함수를 호출해서 생성한 악성 파일을 실행 한다.
[그림 -2] C&C 서버 디코딩 루틴
악성코드는 내부 C&C 서버 주소를 숨기고 있으며 C&C 서버 디코딩 루틴을 통해서 복호화 시켜야 확인이 가능 하다. Foundstone 사에서 제공하는 BinText 툴을 사용 해서 파일 내부를 확인 할 시 C&C 서버 주소를 볼수 없도록 악성코드를 제작했다.
[그림 -3] 사용자 PC 정보 탈취
악성코드에 감염된 사용자 PC의 컴퓨터 이름 , 운영체제 정보 , CPU 정보 , 메모리 정보를 탈취해서 공격자에게 전송 한다. 악성 해커는 이러한 정보를 수집 해서 시각화 한다.
[그림 -4] DDoS 공격 루틴
악성코드는 다른 악성 기능은 존재 하지 않으며 공격자 명령어에 의해서 다양한 DDoS 공격 기능을 수행 한다.
[그림 -5] DDoS 공격 종류
다양한 DDoS 공격 기능이 존재 하며 18가지 이상의 공격을 수행 한다.
[그림 -6] C&C 서버 소재지
C&C 서버의 소재지는 대한민국이다
'악성코드 분석' 카테고리의 다른 글
| Trojan/Win32.Vstart (0) | 2013.03.24 |
|---|---|
| Backdoor:Win32/PcClient.CL (0) | 2013.03.22 |
| Backdoor.Win32.Xyligan.ml (0) | 2013.03.18 |
| W32/Yoddos.B.gen!Eldorado (0) | 2013.03.15 |
| PSW.OnlineGames4.AIBT.dropper (0) | 2013.03.09 |
