개요
악성코드 개요
Backdoor:Win32/Morix.B 악성코드는 C&C 서버의 명령어를 통해서 다양한 악성 기능을 수행 하는 악성코드이다
MD5:7a504271465eb4355c65d5c358e00f0b
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
O |
| ViRobot |
O |
VirusTotal 점검 내역
| 안티바이러스 | 결과 | 업데이트 |
|---|---|---|
| Agnitum | Trojan.Agent!6BAzWtn7kKk | 20130503 |
| AhnLab-V3 | Trojan/Win32.PcClient | 20130503 |
| AntiVir | TR/Dropper.Gen | 20130503 |
| Antiy-AVL | 20130503 | |
| Avast | Win32:Agent-AQGZ [Trj] | 20130504 |
| AVG | BackDoor.Farfli.I | 20130503 |
| BitDefender | Trojan.Generic.5834445 | 20130504 |
| ByteHero | 20130425 | |
| CAT-QuickHeal | Trojan.Aksula.A | 20130503 |
| ClamAV | 20130504 | |
| Commtouch | 20130504 | |
| Comodo | Application.Win32.BlkIC.IMG | 20130504 |
| DrWeb | Trojan.DownLoader2.44615 | 20130504 |
| Emsisoft | Trojan.Generic.5834445 (B) | 20130504 |
| eSafe | 20130501 | |
| ESET-NOD32 | a variant of Win32/Redosdru.II | 20130503 |
| F-Prot | W32/RLPacked.B.gen!Eldorado | 20130504 |
| F-Secure | Trojan.Generic.5834445 | 20130504 |
| Fortinet | 20130504 | |
| GData | Trojan.Generic.5834445 | 20130504 |
| Ikarus | Packer.RLPack.D | 20130504 |
| Jiangmin | Worm/Palevo.aexu | 20130504 |
| K7AntiVirus | Unwanted-Program | 20130503 |
| K7GW | P2PWorm | 20130503 |
| Kaspersky | P2P-Worm.Win32.Palevo.cqhn | 20130504 |
| Kingsoft | Win32.Troj.DeepScan.bM.(kcloud) | 20130502 |
| Malwarebytes | Backdoor.Bot | 20130504 |
| McAfee | New Win32 | 20130504 |
| McAfee-GW-Edition | Heuristic.LooksLike.Win32.Suspicious.C | 20130504 |
| Microsoft | Backdoor:Win32/Morix.B | 20130504 |
| MicroWorld-eScan | Trojan.Generic.5834445 | 20130504 |
| NANO-Antivirus | Trojan.Win32.Palevo.tvbmk | 20130504 |
| Norman | Redosdru.SP | 20130503 |
| nProtect | Trojan/W32.Agent.86304 | 20130504 |
| Panda | Trj/Genetic.gen | 20130503 |
| PCTools | Trojan.Gen | 20130504 |
| Sophos | Mal/Redos-G | 20130504 |
| SUPERAntiSpyware | Adware.Tencent | 20130504 |
| Symantec | Trojan.Gen | 20130504 |
| TheHacker | W32/Palevo.coys | 20130503 |
| TotalDefense | Win32/Malf.BO | 20130503 |
| TrendMicro | 20130504 | |
| TrendMicro-HouseCall | HV_REDOSDRU_CD1027C2.RDXN | 20130504 |
| VBA32 | Worm.Palevo.a | 20130503 |
| VIPRE | BehavesLike.Win32.Malware.bsf (vs) | 20130504 |
| ViRobot | Worm.Win32.A.P2P-Palevo.86419 | 20130504 |
상세 분석 내용
[그림-1] 악성코드 생성 과정
악성 파일을 실행 시 [C:\Program Files\%Program Files%] 폴더를 숨김 속성으로 생성 한다.
[그림-2] 악성코드 생성 파일
[C:\Program Files\%Program Files%] 숨김 속성 폴더 내부에 악성 파일을 생성 하며 주요 악성 파일은 Wdcp.dll 파일로 악성 행위를 하는 악성 파일 이다.
[그림-3] 악성코드 자동 실행
악성코드에 감염된 시스템은 [c:\windows\362.VBS] 파일을 시작 프로그램 등록을 통해서 자동으로 실행되도록 등록되어 있다.
[그림-4] 악성코드 동작 과정 -1
[c:\windows\362.VBS] 파일은 [Best.bat] 배치 파일을 실행 한다. [Best.bat] 배치 파일 내부에서는 [C:\Program Files\%%Program Files%%\" 363.VBS] 파일을 다시 실행 한다.
[그림-5] 악성코드 동작 과정 -2
[C:\Program Files\%%Program Files%%\" 363.VBS] 파일은 [Cest.bat] 배치 파일을 실행 한다. [Cest.bat] 배치 파일 내부에서는 [C:\Program Files\%Program Files%\" laass.exe Wdcp.dll main] laass.exe 파일을 실행하여 Wdcp.dll 파일을 인젝션 하도록 설정되어 있다.
[그림-6] DLL 인젝션
악성코드는 laass.exe 정상적인 프로세스에 Wdcp.dll 파일을 인젝션 해서 악성 행위를 수행 한다.
[그림-7] 백신 무력화
악성코드는 백신 무력화 기능을 포함 하고 있으며 악성 해커가 설정한 백신 프로세스가 존재 한다면 강제로 종료 한다.
[그림-8] 감염 PC 캠 도청
악성코드의 캠 도청 기능으로 capCreateCaptureWindow 함수를 호출 해서 캡쳐 윈도우를 생성한다. C&C 서버에서 capDrivaerConnec 함수를 호출 하고 캡쳐 드라이브와 캡쳐 윈도우를 연결 한다.
[그림-9] 감염 PC 키보드 정보 탈취
악성코드에 감염된 사용자 PC에서 입력하는 모든 키보드 입력값은 .dat 파일 형태로 저장 하며 악성 해커는 키보드 입력값이 저장된 파일을 자신의 컴퓨터로 탈취 해서 악용 할 것으로 추정 된다.
[그림-10] C&C 서버 소재지
C&C 서버의 소재지는 대한민국이다
'악성코드 분석' 카테고리의 다른 글
| Win-Trojan/Agent.25600.AAQ (0) | 2013.06.15 |
|---|---|
| 새로운 형식의 파밍 악성코드 (0) | 2013.06.05 |
| TrojWare.Win32.Agent.PDSB (1) | 2013.04.05 |
| Win32:PcClient-ZE [Trj] (0) | 2013.03.26 |
| Trojan/Win32.Vstart (0) | 2013.03.24 |
