개요
악성코드 개요
Trojan.Win32.Jorik.ZAccess.khl 악성코드는 추가로 악성코드를 다운로드 하는 다운로더형 악성코드다. 이번 악성코드는 프로세스를 새로 만들고 코드를 인젝션 하는 방식을 사용해서 백신을 우회 하는 방법을 사용 하고 있다.
MD5:7f4786f684a226abfb08372f918e4e5a
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
X |
| ViRobot |
X |
<국내 주요 백신 결과>
감영증상 요약
설명
VirusTotal 점검 내역
상세 분석 내용
악성코드는 SSH, Telnet and Rlogin client 툴로 PuTTY로 위장하고 있다
악성코드가 ppi.exe 프로세스를 생성할 때를 확인해 보면 CreateProcess를 호출하여 ppi.exe를 생성한다. 이 때 파라미터부분에서 dwCreationFlags로 4를 넘긴다. 정지 상태로 프로세스를 실행하며 ResumeThread를 호출해야 프로세스가 다시 실행 된다.
WriteProcessMemory 함수를 호출해서 특정 값을 ppi.exe 프로세스에 기록 한다.
프로세스에 기록하는 데이터를 보면 다운로드 사이트에 대한 주소가 기록 된다.
ppi.exe 프로세스 영역에 WriteProcessMemory 함수를 호출해서 코드를 모두 기록 하고ResumeThread를 호출하여 ppi.exe의 쓰레드를 실행 한다.
악성코드 안에 다양한 악성코드를 다운로드 하여 백신이 존재 해도 여러 악성코드를 한번에 다운 받아서 실행하는 방식으로 백신이 탐지 하는 악성코드는 실행이 불가능 하지만 백신이 탐지 못하는 악성코드는 실행 된다. 즉 조금 이나마 감염의 확률을 높이기 위한 악성코드 제작자의 숨겨진 의도로 보인다.
'악성코드 분석' 카테고리의 다른 글
| Trojan/Win32.Npkon (0) | 2013.01.20 |
|---|---|
| Backdoor:Win32/Jukbot.B (2) | 2013.01.15 |
| Trojan-Dropper.Win32.Small.p (1) | 2013.01.15 |
| Downloader/Win32.Genome (1) | 2013.01.15 |
| Backdoor/Win32.Delf (0) | 2013.01.09 |
