개요
악성코드 개요
Trojan-Dropper.Win32.Small.p 악성코드는 드롭퍼 악성코드로 생성하는 악성코드는 DDoS 공격을 수행 하는 악성코드 이며 특징으로는 커널 루트킷(SSDT 후킹)을 통해서 프로세스를 숨기고 악성코드 파일에 대해서 삭제를 방해 한다.
MD5:9f99640d5ff27f8f16af2b7e28b6e04c
생성파일 정보 요약
|
파일 생성 정보
C:\WINDOWS\system32\drivers\GTHOOK.sys C:\WINDOWS\system32\server.exe
생성 레지스트리 정보
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteStorage HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Hooking |
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
O |
| ViRobot |
O |
<국내 주요 백신 결과>
감영증상 요약
설명
VirusTotal 점검 내역
상세 분석 내용
C:\WINDOWS\system32\drivers\GTHOOK.sys
C:\WINDOWS\system32\server.exe
악성 코드 실행 시 두 파일을 추가로 생성하며 GTHOOK.sys 파일은 server.exe 실행 시 생성 하는 파일 이다.
server.exe 파일은 실행 시 GTHOOK.sys SSDT 후킹을 통해서 프로세스 은닉을 한다. 안티 루트킷툴을 이용 해서 프로세스를 확인 하면 빨간색으로 프로세스 은닉을 확인 할 수 있다.
감염 이전의 NTQuerySystemInformation 함수의 Entry Point는 8061308C 입니다.
감염 이전의 NTSetInformationFile 함수의 Entry Point는 8057D010 입니다.
SSDT 후킹 이후 8061308C ->0xBADD6A20, 8057D010 -> 0xBADD6BD0 으로 변경됬습니다.
후킹 할 함수(ZwQuerySystemInformation,ZwSetInformationFile) 들에 대한 주소를 구하고 후킹 주소로 변경 한다
ZwSetInformationFile 후킹을 통해서 분석을 방해 한다. 삭제 또한 불가능 하다.
C&C 서버의 명령을 통해서 파일 다운 기능을 수행하는것으로 추정 된다.
DDoS 공격 방법 중 HTTP Get 공격 기능을 가지고 있다
HTTP GET 공격 이외에 다양한 DDoS 공격 기능이 존재 한다.
'악성코드 분석' 카테고리의 다른 글
| Backdoor:Win32/Jukbot.B (2) | 2013.01.15 |
|---|---|
| Trojan.Win32.Jorik.ZAccess.khl (0) | 2013.01.15 |
| Downloader/Win32.Genome (1) | 2013.01.15 |
| Backdoor/Win32.Delf (0) | 2013.01.09 |
| Backdoor.Win32.Yoddos.an (0) | 2013.01.09 |
