본문 바로가기

악성코드 분석

TrojWare.Win32.Agent.PDSB

개요

악성코드 개요

TrojWare.Win32.Agent.PDSB 악성코드는 C&C 서버의 명령을 받아서 DDoS 공격 기능을 수행 하는 악성코드이다

MD5:e1738fbe9a7c05a31916e0853f0231cc



생성파일 정보 요약

<패킹 결과>

AhnLab-V3

O

BitDefender(알약)

O

nProtect

X

ViRobot

O

<국내 주요 백신 결과>




VirusTotal 점검 내역

https://www.virustotal.com/ko/file/fd882a00300cd0a2278ad7477146343f26202c8a5bcff2288cf52df8282337ce/analysis/1364887974/



안티바이러스 결과 업데이트
Agnitum Win32.Virut.AB.Gen 20130401
AhnLab-V3 Win32/Virut.E 20130401
AntiVir W32/Virut.Gen 20130402
Antiy-AVL - 20130402
Avast Win32:Scribble 20130402
AVG Downloader.Generic_r.OO 20130402
BitDefender Win32.Virtob.Gen.12 20130402
ByteHero - 20130322
CAT-QuickHeal W32.Virut.G 20130402
ClamAV Win.Trojan.Xyligan-10 20130402
Commtouch W32/Virut.E.gen!Eldorado 20130402
Comodo TrojWare.Win32.Agent.PDSB 20130402
DrWeb Win32.Virut.56 20130402
Emsisoft Win32.Virtob.Gen.12 (B) 20130402
eSafe - 20130328
ESET-NOD32 Win32/Virut.NBP 20130401
F-Prot W32/Virut.E.gen!Eldorado 20130402
F-Secure Win32.Virtob.Gen.12 20130402
Fortinet W32/Virut.CE 20130402
GData Win32.Virtob.Gen.12 20130402
Ikarus Backdoor.Win32.Xyligan 20130402
Jiangmin Win32/Virut.bt 20130331
K7AntiVirus Virus 20130401
Kaspersky Backdoor.Win32.Xyligan.au 20130402
Kingsoft - 20130401
Malwarebytes Backdoor.Xyligan 20130402
McAfee BackDoor-CKB.gen.cd 20130402
McAfee-GW-Edition BackDoor-CKB.gen.cd 20130402
Microsoft Backdoor:Win32/Xyligan.A 20130402
MicroWorld-eScan Win32.Virtob.Gen.12 20130402
NANO-Antivirus Trojan.Win32.Xyligan.blyse 20130402
Norman Virut.HL 20130401
nProtect - 20130401
Panda Trj/Downloader.MDW 20130401
PCTools Malware.Virut 20130402
Rising Backdoor.Win32.Mnless.cpb 20130402
Sophos W32/Scribble-B 20130402
SUPERAntiSpyware Trojan.Agent/Gen-FakeAlert 20130402
Symantec W32.Virut.CF 20130402
TheHacker - 20130401
TotalDefense Win32/Small.VH 20130401
TrendMicro BKDR_BVOK.SM 20130402
TrendMicro-HouseCall BKDR_BVOK.SM 20130402
VBA32 Virus.Virut.14 20130330
VIPRE Virus.Win32.Virut.ce (v) 20130402
ViRobot Win32.Virut.AL 20130402



상세 분석 내용

[그림 -1] 악성 파일 생성

악성코드는 GetModuleFileName 함수를 호출해서 현재 open된 파일의 경로와 이름을 읽어 온다. 그리고 rand 함수를 통해서 난수를 발생 시키고 발생한 난수를 문자열로 조합 해서 CopyFile 함수를 호출 해서 시스템 디렉토리에 악성 파일을 생성 한다.

[그림 -2] 악성코드 자동 실행을 위한 서비스 등록

악성코드 감염 이후 시스템 재부팅 시에도 악성코드를 동작 시키기 위해서 서비스에 등록 한다. 윈도우 에서는 서비스에 정의된 목록을 부팅 시 자동으로 실행 한다.

[그림 -3] 원본 악성코드 삭제

악성코드는 시스템 디렉토리에 악성 파일을 생성 하고 GetModuleFileName 함수를 호출해서 현재 open된 파일의 경로와 이름을 읽어 와서 원본 파일을 CMD 명령어를 통해서 삭제 한다.

[그림 -4] 감염 PC 정보 탈취

악성코드 감염된 사용자 PC의 운영체제 정보 , CPU 정보 , 메모리 정보를 수집 해서 공격자에게 전송 한다.

[그림 -5] 감염 PC 웹캠 감시

악성코드의 캠 도청 기능으로 capCreateCaptureWindow 함수를 호출 해서 캡쳐 윈도우를 생성한다. C&C 서버에서 capDrivaerConnec 함수를 호출 하고 캡쳐 드라이브와 캡쳐 윈도우를 연결 한다.

[그림 -6] 감염 PC 윈도우 강제 종료

C&C 명령어를 통해서 악성코드에 감염된 사용자 PC 시스템에 대해서 종료 권한을 가지고 있으며 악성해커는 감염 PC에 SeShutdownPrivilege 특권을 이용하여 ExitWindowsEx 함수를 호출 해서 종료 및 재부팅을 실행 한다.

[그림 -7] 외부 파일 다운로드

C&C 명령어를 통해서 악성코드에 감염된 사용자 PC 시스템에 대해서 외부에서 추가로 파일을 다운로드를 통해서 추가로 악성코드 감염 이나 악성 해커가 원하는 파일을 다운 받아서 실행이 가능하다

[그림 -8] DDoS Attack

DDoS 공격 기능 중 CC Attack 공격을 가지고 있으며 HTTP User-Agent 헤더 부분에 Cache-Control: no-store, must-revalidate 의 값을 추가하여 공격 하는 방식이다.

[그림 -9] 감염 PC 화면 캡쳐

악성코드는 감염 PC에 대해서 화면 캡쳐 기능을 가지고 있으며 CreateDC 함수를 호출해서 전체 화면 DC를 만들고 CreateCompatibleDC 함수를 호출 해서 만들어진 화면 DC를 호환되는 메모리 DC로 생성 한다 CreateCompatibleBitmap 함수를 호출 해서 비트맵을 생성 한다. 그리고 BitBlt 함수를 호출 해서 메모리 DC에 화면 DC를 복사 한다

'악성코드 분석' 카테고리의 다른 글

새로운 형식의 파밍 악성코드  (0) 2013.06.05
Backdoor:Win32/Morix.B  (0) 2013.05.17
Win32:PcClient-ZE [Trj]  (0) 2013.03.26
Trojan/Win32.Vstart  (0) 2013.03.24
Backdoor:Win32/PcClient.CL  (0) 2013.03.22