개요
악성코드 개요
Win32:PcClient-ZE [Trj] 악성코드는 C&C 서버 명렁어를 통해서 DDoS 공격 기능을 수행하는 악성코드이다
MD5:a9099bedeba68a2ed01dd8f5854d58b2
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
O |
| ViRobot |
O |
<국내 주요 백신 결과>
VirusTotal 점검 내역
| 안티바이러스 | 결과 | 업데이트 |
|---|---|---|
| Agnitum | - | 20130325 |
| AhnLab-V3 | Win-Trojan/Agent.70144.KG | 20130324 |
| AntiVir | BDS/Agent.vwy | 20130325 |
| Antiy-AVL | - | 20130325 |
| Avast | Win32:PcClient-ZE [Trj] | 20130325 |
| AVG | Generic17.CAAH | 20130325 |
| BitDefender | Trojan.Generic.8067751 | 20130325 |
| ByteHero | - | 20130322 |
| CAT-QuickHeal | Win32.Packed.Katusha.n.3 | 20130325 |
| ClamAV | Trojan.Agent-136588 | 20130325 |
| Commtouch | W32/Backdoor.T.gen!Eldorado | 20130325 |
| Comodo | TrojWare.Win32.Agent.PDSB | 20130325 |
| DrWeb | Trojan.DownLoad.46081 | 20130325 |
| Emsisoft | Trojan.Spy.Agent.ODR (B) | 20130325 |
| eSafe | - | 20130324 |
| ESET-NOD32 | a variant of Win32/Agent.OWQ | 20130325 |
| F-Prot | W32/Backdoor2.FXKN | 20130325 |
| F-Secure | Trojan.Generic.8067751 | 20130325 |
| Fortinet | W32/Xyligan.KR!tr.bdr | 20130325 |
| GData | Trojan.Generic.8067751 | 20130325 |
| Ikarus | Backdoor.Win32.Xyligan | 20130325 |
| Jiangmin | Backdoor/Xyligan.af | 20130325 |
| K7AntiVirus | Backdoor | 20130322 |
| Kaspersky | Backdoor.Win32.Xyligan.ml | 20130325 |
| Kingsoft | Win32.Hack.PcClient.aq.(kcloud) | 20130325 |
| Malwarebytes | Trojan.Agent.cn | 20130325 |
| McAfee | BackDoor-CKB.gen.cd | 20130325 |
| McAfee-GW-Edition | Heuristic.BehavesLike.Win32.Suspicious.H | 20130325 |
| MicroWorld-eScan | Trojan.Generic.8067751 | 20130325 |
| NANO-Antivirus | Trojan.Win32.Xyligan.bduuku | 20130325 |
| Norman | Nitol.A | 20130325 |
| nProtect | Backdoor/W32.Xyligan.58368.B | 20130325 |
| Panda | Generic Backdoor | 20130325 |
| PCTools | Backdoor.Trojan | 20130321 |
| Rising | Backdoor.Win32.Mnless.cpb | 20130322 |
| Sophos | Mal/Behav-001 | 20130325 |
| SUPERAntiSpyware | Trojan.Agent/Gen-FakeAlert | 20130324 |
| Symantec | Backdoor.Trojan | 20130325 |
| TheHacker | Backdoor/Xyligan.ck | 20130324 |
| TotalDefense | Win32/SillyDl.XAI | 20130324 |
| TrendMicro | TROJ_GEN.USBH01BCN | 20130325 |
| TrendMicro-HouseCall | TROJ_GEN.R4FH1KO | 20130325 |
| VBA32 | BScope.Trojan.Win32.Inject.2 | 20130325 |
| VIPRE | BehavesLike.Win32.Malware.ssc (mx-v) | 20130325 |
| ViRobot | Backdoor.Win32.Xyligan.58368.D | 20130325 |
상세 분석 내용
[그림 -1] 악성 파일 생성
악성코드는 GetModuleFileName 함수를 호출해서 현재 open된 파일의 경로와 이름을 읽어 온다. 그리고 rand 함수를 통해서 난수를 발생 시키고 발생한 난수를 문자열로 조합 해서 CopyFile 함수를 호출 해서 랜덤.exe 악성 파일을시스템 디렉토리에 생성 한다.
[그림 -2] 악성코드 자동 실행을 위한 서비스 등록
악성코드 감염 이후 시스템 재부팅 시에도 악성코드를 동작 시키기 위해서 서비스에 등록 한다. 윈도우 에서는 서비스에 정의된 목록을 부팅 시 자동으로 실행 한다.
[그림 -3] 감염 PC 정보 탈취
악성코드 감염된 사용자 PC의 운영체제 정보 , CPU 정보 , 메모리 정보를 수집 해서 공격자에게 전송 한다.
[그림 -4] 외부 파일 다운로드
[그림 -5] 감염 PC 웹캠 감시
악성코드의 캠 도청 기능으로 capCreateCaptureWindow 함수를 호출 해서 캡쳐 윈도우를 생성한다. C&C 서버에서 capDrivaerConnec 함수를 호출 하고 캡쳐 드라이브와 캡쳐 윈도우를 연결 한다.
[그림 -6] 악성코드 감염 PC 윈도우 종료
C&C 명령어를 통해서 악성코드에 감염된 사용자 PC 시스템에 대해서 종료 권한을 가지고 있으며 악성해커는 감염 PC에 SeShutdownPrivilege 특권을 이용하여 ExitWindowsEx 함수를 호출 해서 종료 및 재부팅을 실행 한다.
[그림 -7] 감염 PC 원격 제어
악성코드에 감염된 사용자 PC는 원격제어가 가능 해지며 악성 해커는 keybd_event , mouse_event 함수를 호출 해서 공격자는 악성코드에 감염된 사용자 PC에 대해서 마우스를 제어 하거나 키보드를 입력 할 것으로 추정 된다.
[그림 -8] DDoS CC Attack
DDoS 공격 기능 중 CC Attack 공격을 가지고 있으며 HTTP User-Agent 헤더 부분에 Cache-Control: no-store, must-revalidate 의 값을 추가하여 공격 하는 방식이다.
[그림 -9] DDoS 공격 기능
다양한 DDoS 공격 기능이 존재 하며 18가지 이상의 공격을 수행 한다.
'악성코드 분석' 카테고리의 다른 글
| Backdoor:Win32/Morix.B (0) | 2013.05.17 |
|---|---|
| TrojWare.Win32.Agent.PDSB (1) | 2013.04.05 |
| Trojan/Win32.Vstart (0) | 2013.03.24 |
| Backdoor:Win32/PcClient.CL (0) | 2013.03.22 |
| Win-Trojan/Agent.153600.KP (0) | 2013.03.21 |
