개요
악성코드 개요
Trojan/Win32.Vstart 악성코드는 C&C 서버의 명령을 받아서 DDoS 공격 기능을 수행 하는 악성코드이다
MD5:b6332adf3976e98d63436dc1f3cebd5a
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
X |
| ViRobot |
X |
<국내 주요 백신 결과>
VirusTotal 점검 내역
| 안티바이러스 | 결과 | 업데이트 |
|---|---|---|
| Agnitum | - | 20130321 |
| AhnLab-V3 | Trojan/Win32.Vstart | 20130321 |
| AntiVir | WORM/Rbot.Gen | 20130322 |
| Antiy-AVL | - | 20130321 |
| Avast | Win32:ServStart-C [Trj] | 20130322 |
| AVG | DDoS.AC | 20130321 |
| BitDefender | Gen:Variant.Graftor.9715 | 20130322 |
| ByteHero | - | 20130321 |
| CAT-QuickHeal | TrojanDDos.Nitol.A2 | 20130321 |
| ClamAV | - | 20130322 |
| Commtouch | W32/QQhelper.C.gen!Eldorado | 20130322 |
| Comodo | UnclassifiedMalware | 20130322 |
| DrWeb | DLOADER.Trojan | 20130322 |
| Emsisoft | Gen:Variant.Graftor.9715 (B) | 20130322 |
| eSafe | - | 20130319 |
| ESET-NOD32 | a variant of Win32/ServStart.AD | 20130322 |
| F-Prot | W32/QQhelper.C.gen!Eldorado | 20130321 |
| F-Secure | Gen:Variant.Graftor.9715 | 20130322 |
| Fortinet | W32/AutoRun.KIY!worm | 20130322 |
| GData | Gen:Variant.Graftor.9715 | 20130322 |
| Ikarus | Backdoor.Win32.Inject | 20130322 |
| Jiangmin | Heur:Trojan/ServStart | 20130321 |
| K7AntiVirus | Riskware | 20130321 |
| Kaspersky | HEUR:Trojan.Win32.Generic | 20130321 |
| Kingsoft | Win32.Troj.Undef.(kcloud) | 20130318 |
| Malwarebytes | - | 20130322 |
| McAfee | RDN/Downloader.a!dx | 20130322 |
| McAfee-GW-Edition | Heuristic.BehavesLike.Win32.Suspicious.H | 20130322 |
| Microsoft | DDoS:Win32/Nitol.A | 20130322 |
| MicroWorld-eScan | Gen:Variant.Graftor.9715 | 20130322 |
| NANO-Antivirus | Trojan.Win32.Rbot.biyyta | 20130322 |
| Norman | ServStart.G | 20130321 |
| nProtect | - | 20130321 |
| Panda | Trj/OCJ.D | 20130321 |
| PCTools | - | 20130321 |
| Sophos | Troj/Dloadr-DNE | 20130322 |
| SUPERAntiSpyware | Trojan.Agent/Gen-Virut | 20130322 |
| Symantec | WS.Reputation.1 | 20130322 |
| TheHacker | Trojan/ServStart.ad | 20130321 |
| TotalDefense | - | 20130321 |
| TrendMicro | TROJ_VSTART.SMB | 20130322 |
| TrendMicro-HouseCall | TROJ_GEN.F47V0303 | 20130322 |
| VBA32 | BScope.Trojan.LE.01525 | 20130321 |
| VIPRE | BehavesLike.Win32.Malware.ssc (mx-v) | 20130322 |
| ViRobot | - | 20130322 |
상세 분석 내용
[그림 -1] 악성 파일 생성
악성코드는 GetModuleFileName 함수를 호출해서 현재 open된 파일의 경로와 이름을 읽어 온다. 그리고 rand 함수를 통해서 난수를 발생 시키고 발생한 난수를 문자열로 조합 해서 CopyFile 함수를 호출 해서 시스템 디렉토리에 악성 파일을 생성 한다.
[그림 -2] 악성코드 자동 실행을 위한 서비스 등록
악성코드 감염 이후 시스템 재부팅 시에도 악성코드를 동작 시키기 위해서 서비스에 등록 한다. 윈도우 에서는 서비스에 정의된 목록을 부팅 시 자동으로 실행 한다.
[그림 -3] 원본 악성코드 삭제
악성코드는 시스템 디렉토리에 악성 파일을 생성 하고 GetModuleFileName 함수를 호출해서 현재 open된 파일의 경로와 이름을 읽어 와서 원본 파일을 CMD 명령어를 통해서 삭제 한다.
[그림 -4] 감영 PC 정보 탈취
악성코드 감염된 사용자 PC의 운영체제 정보 , CPU 정보 , 메모리 정보를 수집 해서 공격자에게 전송 한다.
[그림 -5] 외부 파일 다운로드
C&C 명령어를 통해서 악성코드에 감염된 사용자 PC 시스템에 대해서 외부에서 추가로 파일을 다운로드를 통해서 추가로 악성코드 감염 이나 악성 해커가 원하는 파일을 다운 받아서 실행이 가능하다 .
[그림 -6] DDoS 공격 기능
[그림 -7] DDoS 공격 종류
다양한 DDoS 공격 기능이 존재 하며 18가지 이상의 공격을 수행 한다.
[그림 -8] 악성코드 접속 여부
악성코드를 시간대별로 분석한 결과 시간대와 상관 없이 항상 ESTABLISHED 연결 되어 있는 상태로 나오며 이는 C&C 서버 환경이 항상 open 상태에서 가능한 것으로 악성 해커는 웹서버 또는 호스팅 업체를 이용 하여 C&C 서버를 구축 한 것으로 추정된다.
[그림 -9] C&C 서버 소재지
C&C 서버의 소재지는 중국이다
'악성코드 분석' 카테고리의 다른 글
| TrojWare.Win32.Agent.PDSB (1) | 2013.04.05 |
|---|---|
| Win32:PcClient-ZE [Trj] (0) | 2013.03.26 |
| Backdoor:Win32/PcClient.CL (0) | 2013.03.22 |
| Win-Trojan/Agent.153600.KP (0) | 2013.03.21 |
| Backdoor.Win32.Xyligan.ml (0) | 2013.03.18 |
