Backdoor:Win32/PcClient.CL

개요

악성코드 개요

Backdoor:Win32/PcClient.CL 악성코드는 C&C 서버의 명령어를 통해서 다양한 악성 기능을 수행 하는 악성코드이다

MD5:a28e9285251aee2f9d1ea84a7640562a

생성파일 정보 요약

<패킹 결과>

AhnLab-V3	O
BitDefender(알약)	O
nProtect	O
ViRobot	O

<국내 주요 백신 결과>

VirusTotal 점검 내역

https://www.virustotal.com/ko/file/6edf6ac4cb696d9e83e7619610b3d37dc93377c33cd79d57017b632d1c890079/analysis/

안티바이러스	결과	업데이트
Agnitum	Trojan.Agent!6xPNruMoPog	20130320
AhnLab-V3	Win-Trojan/PcClient1.Gen	20130320
AntiVir	DR/PcClient.Gen	20130320
Antiy-AVL	Trojan/Win32.Agent.gen	20130317
Avast	Win32:Downloader-AZY [Trj]	20130320
AVG	BackDoor.PcClient.2.I	20130320
BitDefender	Trojan.Agent.AFIE	20130320
ByteHero	-	20130320
CAT-QuickHeal	-	20130320
ClamAV	Trojan.Agent-8381	20130320
Commtouch	W32/Trojan.LETU-0027	20130320
Comodo	Backdoor.Win32.PCClient.~ABK	20130320
DrWeb	BackDoor.PcClient	20130320
Emsisoft	Trojan.Agent.AFIE (B)	20130320
eSafe	Win32.Agent.bcj	20130319
ESET-NOD32	a variant of Win32/PcClient	20130320
F-Prot	W32/Trojan2.IIA	20130320
F-Secure	Trojan.Agent.AFIE	20130320
Fortinet	W32/PcClient.BIB!tr	20130320
GData	Trojan.Agent.AFIE	20130320
Ikarus	Backdoor.Win32.PcClient	20130320
Jiangmin	Backdoor/PcClient.fkt	20130320
K7AntiVirus	Trojan	20130320
Kaspersky	Trojan.Win32.Agent.bcj	20130320
Kingsoft	Win32.Troj.pcclientt.bb	20130318
Malwarebytes	Trojan.Agent	20130320
McAfee	BackDoor-CKB.dr	20130320
McAfee-GW-Edition	BackDoor-CKB.dr	20130320
Microsoft	Backdoor:Win32/PcClient.CL	20130320
MicroWorld-eScan	Trojan.Agent.AFIE	20130320
NANO-Antivirus	Trojan.Win32.Agent.chbfd	20130320
Norman	Agent.CLZT	20130320
nProtect	Trojan.Agent.AFIE	20130320
Panda	Bck/PcClient.JK	20130320
PCTools	Trojan.Dropper	20130320
Sophos	Troj/PcClie-Gen	20130320
SUPERAntiSpyware	Trojan.Agent/Gen-PcClient	20130320
Symantec	Trojan.Dropper	20130320
TheHacker	Trojan/Agent.bcj	20130320
TotalDefense	Win32/PcClient!generic	20130320
TrendMicro	BKDR_PCCLIENT.AR	20130320
TrendMicro-HouseCall	BKDR_PCCLIENT.AR	20130320
VBA32	Trojan.Win32.Agent.bcj	20130320
VIPRE	Trojan.Win32.Agent.bcj	20130320
ViRobot	Trojan.Win32.Agent.52947	20130320

상세 분석 내용

[그림 -1] 악성 파일 생성

악성코드 실행 시 시스템 디렉토리에 DLL 형태의 악성 파일을 생성한다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\qmmlkd HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\qmmlkd\Parameters

[표 -1] 악성코드 자동 실행을 위한 서비스 등록

악성코드 감염 이후 시스템 재부팅 시에도 악성코드를 동작 시키기 위해서 서비스에 등록 한다. 윈도우 에서는 서비스에 정의된 목록을 부팅 시 자동으로 실행 한다.

[그림 -2] 감영 PC 정보 탈취

악성코드 감염된 사용자 PC의 운영체제 정보 , CPU 정보 , 메모리 정보를 수집 해서 공격자에게 전송 한다.

[그림 -3] 악성코드 감염 PC 윈도우 종료 권한 획득

C&C 명령어를 통해서 악성코드에 감염된 사용자 PC 시스템에 대해서 종료 권한을 가지고 있으며 악성해커는 감염 PC에 SeShutdownPrivilege 특권을 이용하여 ExitWindowsEx 함수를 호출 해서 종료 및 재부팅을 실행 한다.

[그림 -4] 악성코드 감염 PC 화면 캡쳐

악성코드는 감염 PC에 대해서 화면 캡쳐 기능을 가지고 있으며 CreateDC 함수를 호출해서 전체 화면 DC를 만들고 CreateCompatibleDC 함수를 호출 해서 만들어진 화면 DC를 호환되는 메모리 DC로 생성 한다 CreateCompatibleBitmap 함수를 호출 해서 비트맵을 생성 한다. 그리고 BitBlt 함수를 호출 해서 메모리 DC에 화면 DC를 복사 한다.

[그림 -5] 악성코드 감염 PC 웹캠 감시

악성코드의 캠 도청 기능으로 capCreateCaptureWindow 함수를 호출 해서 캡쳐 윈도우를 생성한다. C&C 서버에서 capDrivaerConnec 함수를 호출 하고 캡쳐 드라이브와 캡쳐 윈도우를 연결 한다.

[그림 -6] 악성코드 감염 PC 사운드 도청

waveInOpen 함수를 호출 해서 사운드 디바이스를 열고 waveInPrepareHeader 함수와waveInAddBuffer 함수를 호출 해서 사운드에 필요한 버퍼의 헤더를 초기화하고 waveInStart 함수를 호출 해서 녹음을 시작한다.

[그림 -7] 외부 파일 다운로드

wininet.dll의 InternetOpen , InternetOpenUrl , InternetReadFile 함수를 호출 해서 추가적인 악성파일 다운로드를 시도 한다. InternetOpen 함수는 현재 클라이언트의 인터넷 연결을 초기화 하고

InternetOpenUrl 함수는 Url경로를 입력해주면 Url 에 걸려있는 파일을 바로 열수 있는 함수다. InternetReadFile 함수를 호출 해서 파일을 다운 로드 한다.

[그림 -8] 키로깅 기능

악성코드에 감염된 사용자 PC의 키보드 입력값을 받아서 .drv 파일로 형태로 저장 하며 추후 악성 해커는 키보드 입력값이 저장된 파일을 자신의 컴퓨터로 탈취 해서 악용 할 것으로 추정 된다.

[그림 -9] 악성코드 접속 여부

악성코드를 시간대별로 분석한 결과 시간대와 상관 없이 항상 ESTABLISHED 연결 되어 있는 상태로 나오며 이는 C&C 서버 환경이 항상 open 상태에서 가능한 것으로 악성 해커는 웹서버 또는 호스팅 업체를 이용 하여 C&C 서버를 구축 한 것으로 추정된다.

[그림 -10] C&C 서버 소재지

C&C 서버의 소재지는 중국이다