Trojan-GameThief.Win32.Magania.fcns

개요

Trojan-GameThief.Win32.Magania.fcns 악성코드는 원격 제어 기능,키로그 기능, 도청 기능등을 포함한 종합 모듈 형태의 악성코드입니다.

MD5:e7288b3b84f6eb4e347ff071fbc46d78

 상세 분석

<virustotal 결과>

<패킹 결과>

FindFirstFile, FindNextFile 함수를 통한 폴더내 모든 파일을 검색합니다.

그리고 삭제하고 싶은 특정 파일,폴더를 삭제 시키는 기능입니다.

Application,Security,System 악성코드에 대한 이벤트 로그를 삭제 시킵니다.

OpenEventLog 함수를 사용해서 해당 로그에 대한 핸들을 받아옵니다 우선 첫번째로 Application에 대한 이벤트 로그 핸들을 받고 밑으로 내려가면 ClearEventLog 함수를 통해서 로그 기록을 삭제 시킵니다. 그리고 조건에 대해서 검사하고 반복하게 됩니다. 반복은 총 2번(Security,System) 하게 됩니다.

waveInPrepareHeader 함수를 호출해서 녹음에 필요한 버퍼가 준비하고 waveInStart 함수를 호출해서 녹음을 시작합니다.

악성코드 감염 PC에 대한 정보[OS,CPU,Memory]를 수집합니다.

키로그 기능을 탑재하고 있으며 여러가지 방법으로 키로깅 기능을 구현할수 있습니다. Trojan-GameThief.Win32.Magania.fcns 악성코드의 경우 SetWindowsHookEx 함수를 사용해서 메시지후킹으로 키로깅 합니다.

키보드 기록을 system32/syslog.dat 파일에 저장합니다. 그리고 덮어 쓰기를 방지하기 위해서 항상 파일 포인터 위치를 앞으로 합니다.

키보드 기록이 저장되는 system32/syslog.dat 파일은 암호화 해서 기록합니다.