개요
악성코드 개요
Backdoor:Win32/Jukbot.B 악성코드는 백도어로 지속적으로 C&C 서버에 연결을 요청 하며 DDoS 기능을 수행하는 악성코드다.
MD5:654fc507e62ce26f75798cf1efc3aadb
생성파일 정보 요약
|
파일 생성 정보 %WINDIR%\system32\랜덤(6글자).exe 생성 레지스트리 정보 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rcmdsvc %WINDIR%\system32\랜덤(6글자).exe HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy \StandardProfile\AuthorizedApplications\List %WINDIR%\system32\랜덤(6글자).exe:*:Enabled:Microsoft (R) Internetal IExplore |
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
O |
| ViRobot |
O |
<국내 주요 백신 결과>
감영증상 요약
설명
VirusTotal 점검 내역
상세 분석 내용
악성코드 실행 시 %WINDIR%\system32\랜덤.exe 악성코드를 생성 한다. 랜덤.exe 파일은 rand 함수를 호출해서 사용자가 정의하지 않는 랜덤값을 생성하고 생성한 문자열을 조합해서 악성코드 파일 이름으로 사용 한다. 악성코드 파일 이름의 글자수는 총 6개로 구성 된다.
rand 함수를 호출해서 구해진 문자열을 wsprintf 함수를 호출해서 조합 한다.
그리고 조합된 파일 이름을 CopyFile 함수를 호출해서 %WINDIR%\system32 위치로 복사 한다.
레지스트리를 통해서 서비스를 생성하고 그리고 서비스를 시작해서 악성코드를 실행 시킨다.
악성코드 실행 위치를 구하고 CMD 명령어를 통해서 악성코드 실행 파일을 삭제 한다.
C&C 서버 명령어를 통해서 파일을 다운로드 바도 실행 한다. 추가 감염을 위한 기능으로 추정 된다.
C&C 서버의 명령을 통해서 DDoS 공격을 수행 하며 DDoS 공격 방법 중 HTTP GET 공격 기능을 가지고 있다.
C&C 서버의 명령을 통해서 DDoS 공격 방법중 다양한 공격 기능을 가지고 있다.
C&C 서버의 소재지는 대한민국 이다
'악성코드 분석' 카테고리의 다른 글
| Trojan:Win32/Dynamer!dtc (0) | 2013.01.20 |
|---|---|
| Trojan/Win32.Npkon (0) | 2013.01.20 |
| Trojan.Win32.Jorik.ZAccess.khl (0) | 2013.01.15 |
| Trojan-Dropper.Win32.Small.p (1) | 2013.01.15 |
| Downloader/Win32.Genome (1) | 2013.01.15 |
