Trojan/Win32.VB

개요

Trojan/Win32.VB 악성코드는 드로퍼 악성코드 입니다. 실행 시 화면 캡쳐 기능,파일 삭제,디렉토리 삭제 기능,키로그 기능, 사운드 도청 기능, 캠 도청 기능등을 가진 악성코드와 DDoS 악성코드를 생성 합니다. 총 2가지 악성코드를 생성합니다.

 

MD5:3b0446124572a3bb48775225c5294f2f

 

상세 분석

 

 

 

<바이러스 토탈 결과>

 

 

<패킹 결과>

 

AhnLab-V3	O
BitDefender(알약)	O
nProtect	X
ViRobot	X

 

<국내 주요 백신 결과>

 

 

C:\WINDOWS\system32\ 폴더에 server.exe , server1 악성코드 파일을 생성합니다.

 

 

악성코드가 생성 하는 악성코드를 수집 하기 위해서 브레이크 포인트를 걸어서 악성코드 파일을 확보 합니다.

 

 

화면 캡쳐에 대한 기능입니다. CreateCompatibleDC 함수를 사용해서 메모리 DC를 만들고 CreateCompatibleBitmap 함수로 메모리 비트맵을 생성합니다. SelectObject 함수를 사용하여 메모리 DC에 출력하고자 하는 비트맵을 선택합니다. BitBit 함수를 사용해서 CreateCompatibleDC로 만든 메모리 DC에 있는 비트맵을 화면 DC로 복사 합니다.

 

 

악성코드는 C&C 명령에 따라서 외부에서 파일을 다운로드 받고 실행 시키는 기능이 있습니다. 추가 감염 행동을 하기 위한 기능으로 추정 됩니다.

 

Application,Security,System 악성코드에 대한 이벤트 로그를 삭제 시킵니다.

OpenEventLog 함수를 사용해서 해당 로그에 대한 핸들을 받아옵니다 우선 첫번째로 Application에 대한 이벤트 로그 핸들을 받고 밑으로 내려가면 ClearEventLog 함수를 통해서 로그 기록을 삭제 시킵니다. 그리고 조건에 대해서 검사하고 반복하게 됩니다. 반복은 총 2번(Security,System) 하게 됩니다.

 

 

전반적인 정보를 수집 합니다. 수집 항목에는 컴퓨터 이름,운영체제 정보, 메모리 정보, CPU,캠 드라이버 등에 대해서 수집합니다.

 

 

위 캡쳐 드라이버에 대한 정보를 수집하는 것으로 캠 도청 기능을 탑재한것으로 추정 됩니다.

 

 

 

DDoS 공격 중 하나인 HTTP Get 공격기능을 가지고 있습니다.

 

 

C&C 서버의 소재지는 대한민국 입니다.