개요
악성코드 개요
DDoS.Bonke.110 악성코드는 C&C 서버의 명령을 받아서 DDoS 공격 기능을 수행 하는 악성코드이다.
MD5:3ed1af3b3e23405945248bd5b88e0ccb
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
O |
| 알약 |
O |
| nProtect |
X |
| ViRobot |
X |
<국내 주요 백신 결과>
VirusTotal 점검 내역
안티바이러스
결과
업데이트
Agnitum
Trojan.Scar!m0golhCk3P8
20130708
AhnLab-V3
Trojan/Win32.Scar
20130709
AntiVir
WORM/Rbot.Gen
20130709
Antiy-AVL
20130709
Avast
Win32:Malware-gen
20130710
AVG
Generic33.AKGF
20130709
BitDefender
Gen:Variant.Graftor.97383
20130710
ByteHero
20130613
CAT-QuickHeal
20130708
ClamAV
20130709
Commtouch
W32/Downloader.AL.gen!Eldorado
20130710
Comodo
UnclassifiedMalware
20130709
DrWeb
DDoS.Bonke.110
20130710
Emsisoft
Gen:Variant.Graftor.97383 (B)
20130710
eSafe
20130709
ESET-NOD32
Win32/ServStart.CM
20130709
F-Prot
W32/Downloader.AL.gen!Eldorado
20130710
F-Secure
Gen:Variant.Graftor.97383
20130710
Fortinet
W32/ServStart.CM!tr
20130710
GData
Gen:Variant.Graftor.97383
20130710
Ikarus
Trojan.Win32.Scar
20130710
Jiangmin
20130709
K7AntiVirus
Trojan-Downloader
20130709
K7GW
20130709
Kaspersky
Trojan.Win32.Scar.hokm
20130709
Kingsoft
Win32.HeurC.KVM005.a.(kcloud)
20130708
Malwarebytes
Trojan.ServStart
20130709
McAfee
RDN/Generic Downloader.x!hz
20130710
McAfee-GW-Edition
RDN/Generic Downloader.x!hz
20130709
Microsoft
Trojan:Win32/Comisproc
20130709
MicroWorld-eScan
20130710
NANO-Antivirus
Trojan.Win32.Scar.bwhnuy
20130709
Norman
Nitol.A
20130708
nProtect
20130709
Panda
Trj/Dtcontx.E
20130709
PCTools
20130709
Rising
Suspicious
20130709
Sophos
Mal/Generic-S
20130710
SUPERAntiSpyware
20130710
Symantec
WS.Reputation.1
20130710
TheHacker
20130709
TotalDefense
20130709
TrendMicro
TROJ_GEN.R0CBC0DG813
20130710
TrendMicro-HouseCall
TROJ_GEN.R0CBC0DG813
20130710
VBA32
BScope.Trojan.Win32.Inject.2
20130709
VIPRE
Trojan.Win32.Generic!BT
20130710
ViRobot
20130709
상세 분석 내용
[그림 1 ] 악성파일 생성
악성코드 실행 시 "C:\WINDOWS\system32\ 위치에 "svchest.exe" 파일 이름으로 악성 파일을 생성 한다.
[그림 2] 악성코드 서비스 등록
악성코드 감염 이후 시스템 재부팅 시에도 악성코드를 동작 시키기 위해서 서비스에 등록 한다. 윈도우 에서는 서비스에 등록된 목록을 부팅 시 자동으로 실행 한다.
[그림 3] 악성코드 은닉
정상적인 svchost 프로세스와 비슷한 파일명으로 악성파일을 생성하여 자세하게 살펴보지 않으면 확인이 불가능하도록 악성코드를 은닉 한다.
[그림 4] 감염 PC 정보 탈취
감염된 사용자 PC의 운영체제 정보 , CPU 정보를 수집 해서 공격자에게 전송 한다.
[그림 5] DDoS 공격 기능
악성코드는 DDoS 공격 기능을 보유 하고 있으며 rand 함수를 통해서 공격 데이터를 생성 하고 조건을 만족 할때 까지 DDoS 공격 기능을 수행 한다.
악성코드는 C&C 서버를 2개 이상 보유하고 있으며 C&C 서버가 차단 또는 문제 발생 시 새로운 C&C 서버와 통신한다.
[그림 6] C&C 서버 소재지
'악성코드 분석' 카테고리의 다른 글
| [악성코드 분석] VBS/CoinMiner.S (3) | 2013.08.04 |
|---|---|
| Heur:Trojan/Dialer (0) | 2013.07.06 |
| Win-Trojan/Agent.25600.AAQ (0) | 2013.06.15 |
| 새로운 형식의 파밍 악성코드 (0) | 2013.06.05 |
| Backdoor:Win32/Morix.B (0) | 2013.05.17 |
