개요
악성코드 개요
최근 악성 해커가 운영 하는 파일서버를 추적 했으며 서버는 중국에 위치 하고 있으며 다양한 악성코드를 유포 하며 지속 해서 새로운 악성코드를 제작해서 파일서버에 업로드 해서 악성코드를 유포 하는것으로 보인다.
MD5:860c97ae2b8e60832fccf49a2fa6840a
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
O |
| ViRobot |
O |
<국내 주요 백신 결과>
VirusTotal 점검 내역
| 안티바이러스 | 결과 | 업데이트 |
|---|---|---|
| Agnitum | Trojan.Yoddos!hZzXp6VKBks | 20130605 |
| AhnLab-V3 | Win-Trojan/Agent.25600.AAQ | 20130606 |
| AntiVir | TR/Proxy.Horst.Gen | 20130606 |
| Antiy-AVL | Trojan/Win32.Jorik.gen | 20130606 |
| Avast | Win32:Malware-gen | 20130606 |
| AVG | Flooder.JWP | 20130606 |
| BitDefender | Dropped:Generic.Malware.GFdld.58C4BF76 | 20130606 |
| ByteHero | 20130606 | |
| CAT-QuickHeal | Backdoor.Zegost.B | 20130606 |
| ClamAV | Win.Trojan.Agent-19120 | 20130606 |
| Commtouch | W32/Downloader.C.gen!Eldorado | 20130606 |
| Comodo | TrojWare.Win32.Agent.OWW | 20130606 |
| DrWeb | 20130606 | |
| Emsisoft | Dropped:Generic.Malware.GFdld.58C4BF76 (B) | 20130606 |
| eSafe | 20130606 | |
| ESET-NOD32 | a variant of Win32/Agent.OWW | 20130606 |
| F-Prot | W32/Downloader.C.gen!Eldorado | 20130605 |
| F-Secure | Dropped:Generic.Malware.GFdld.58C4BF76 | 20130606 |
| Fortinet | W32/Agent.OWW!tr | 20130606 |
| GData | Dropped:Generic.Malware.GFdld.58C4BF76 | 20130606 |
| Ikarus | Trojan.Win32.SystemHijack | 20130606 |
| Jiangmin | Trojan/Jorik.edlj | 20130606 |
| K7AntiVirus | Trojan-Downloader | 20130606 |
| K7GW | Trojan | 20130606 |
| Kaspersky | Trojan.Win32.Jorik.Yoddos.akl | 20130606 |
| Kingsoft | Win32.Troj.Jorik.my.(kcloud) | 20130506 |
| Malwarebytes | Backdoor.Zegost | 20130606 |
| McAfee | Downloader-AZV | 20130606 |
| McAfee-GW-Edition | Heuristic.BehavesLike.Win32.Suspicious.H | 20130606 |
| Microsoft | Backdoor:Win32/Zegost.AK | 20130606 |
| MicroWorld-eScan | Dropped:Generic.Malware.GFdld.58C4BF76 | 20130606 |
| NANO-Antivirus | Trojan.Win32.DownLoader5.siqgt | 20130606 |
| Norman | Obfuscated_O | 20130606 |
| nProtect | Trojan-Downloader/W32.Small.25600.EG | 20130606 |
| Panda | Generic Trojan | 20130606 |
| PCTools | Backdoor.Trojan | 20130521 |
| Rising | Trojan.Win32.SystemHijack.i | 20130606 |
| Sophos | Mal/Emogen-Y | 20130606 |
| SUPERAntiSpyware | Trojan.Agent/Gen-SystemHijack | 20130606 |
| Symantec | Backdoor.Trojan | 20130606 |
| TheHacker | Trojan/Jorik.Yoddos.my | 20130605 |
| TotalDefense | Win32/Jorik.KB | 20130605 |
| TrendMicro | HT_GFDLD_BK08348B.TOMC | 20130606 |
| TrendMicro-HouseCall | HV_DOWNLOADER_CA233B08.TOMC | 20130606 |
| VBA32 | BScope.Trojan.Win32.Inject.2 | 20130606 |
| VIPRE | 20130606 | |
| ViRobot | Trojan.Win32.DDOS-Agent.25600.B | 20130606 |
상세 분석 내용
[그림 1 ] 악성 파일 생성
악성코드 실행 시 "C:\WINDOWS\system32\ 위치에 "WinHwdq32.exe" 파일 이름으로 악성 파일을 생성 한다.
[그림 2 ] 악성 파일 속성 변경
SetFileAttributes 함수를 호출 해서 만들어진 "WinHwdq32.exe" 악성 파일의 속성을 시스템으로 변경 한다.
[그림 3] 악성 파일 실행
CreateProcessInternal 함수를 호출 하여 "WinHwdq32.exe" 파일을 실행 한다.
[그림 4] 악성코드 시스템 부팅 시 자동 실행
악성코드는 "WinHwdq32.exe" 파일을 'Windows Hmhc System' 라는 이름의 윈도우 서비스를 등록하고 주기적으로 동작시킨다
[그림 5] 감염 PC 정보 탈취
악성코드 감염된 사용자 PC의 운영체제 정보 , CPU 정보 , 메모리 정보를 수집 해서 공격자에게 전송 한다.
[그림 6] 외부 파일 다운로드
악성코드 내부에 또 다른 악성코드 다운로드 주소가 코딩 되어 있으며 wininet.dll의 InternetOpen , InternetOpenUrl , InternetReadFile 함수를 호출 해서 추가적인 악성파일 다운로드를 시도 한다. InternetOpen 함수는 현재 클라이언트의 인터넷 연결을 초기화 하고InternetReadFile 함수를 호출 해서 파일을 다운 로드 한다.
[그림 8] C&C 서버 소재지
C&C 서버의 소재지는 중국이다
'악성코드 분석' 카테고리의 다른 글
| [악성코드 분석] DDoS.Bonke.110 (0) | 2013.07.10 |
|---|---|
| Heur:Trojan/Dialer (0) | 2013.07.06 |
| 새로운 형식의 파밍 악성코드 (0) | 2013.06.05 |
| Backdoor:Win32/Morix.B (0) | 2013.05.17 |
| TrojWare.Win32.Agent.PDSB (1) | 2013.04.05 |
