개요
악성코드 개요
Trojan/Win32.Npkon 악성코드는 DDoS 공격을 수행하는 악성코드다. 독특한 방법으로 용량을 고용량으로 늘려서 바이러스 토탈의 검사를 방해 하고 있다.
MD5:d2845e4855e296d915d49e99bf3fc781
생성파일 정보 요약
|
파일 생성 정보
C:\WINDOWS\system32\firefox.exe
생성 레지스트리 정보
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FireFox |
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
O |
| ViRobot |
O |
<국내 주요 백신 결과>
VirusTotal 점검 내역
| Antivirus | Result | Update |
|---|---|---|
| Agnitum | Trojan.Kryptik!+9R8QLXJAkc | 20130114 |
| AhnLab-V3 | Trojan/Win32.Npkon | 20130114 |
| AntiVir | TR/Crypt.XPACK.Gen | 20130115 |
| Antiy-AVL | - | 20130114 |
| Avast | Win32:Malware-gen | 20130115 |
| AVG | PSW.OnlineGames_r.DR | 20130115 |
| BitDefender | Gen:Variant.Kazy.11200 | 20130115 |
| ByteHero | Virus.Win32.Heur.c | 20130110 |
| CAT-QuickHeal | - | 20130115 |
| ClamAV | - | 20130115 |
| Commtouch | W32/Yoddos.B.gen!Eldorado | 20130115 |
| Comodo | TrojWare.Win32.Kryptik.KAR | 20130115 |
| DrWeb | Trojan.Darkshell | 20130115 |
| Emsisoft | Gen:Variant.Kazy.11200 (B) | 20130115 |
| eSafe | - | 20130113 |
| ESET-NOD32 | a variant of Win32/Kryptik.KAR | 20130115 |
| F-Prot | W32/Yoddos.B.gen!Eldorado | 20130115 |
| F-Secure | Gen:Variant.Kazy.11200 | 20130115 |
| Fortinet | W32/TibsPk.BC!tr | 20130115 |
| GData | Gen:Variant.Kazy.11200 | 20130115 |
| Ikarus | Backdoor.Win32.DarkShell | 20130115 |
| Jiangmin | TrojanDropper.Microjoin.bcd | 20121221 |
| K7AntiVirus | Riskware | 20130114 |
| Kaspersky | Backdoor.Win32.DarkShell.on | 20130115 |
| Kingsoft | Win32.Troj.DeepScan.x.(kcloud) | 20130115 |
| Malwarebytes | Trojan.Agent | 20130115 |
| McAfee | - | 20130115 |
| McAfee-GW-Edition | Heuristic.LooksLike.Win32.SuspiciousPE.J | 20130115 |
| Microsoft | Trojan:WinNT/Darkshell.C | 20130115 |
| MicroWorld-eScan | - | 20130115 |
| NANO-Antivirus | Trojan.Win32.MLW.csvnf | 20130115 |
| Norman | - | 20130115 |
| nProtect | Backdoor/W32.DarkShell.39475 | 20130115 |
| Panda | Trj/Genetic.gen | 20130115 |
| PCTools | Backdoor.Trojan | 20130115 |
| Rising | Trojan.Win32.Generic.127611AF | 20130115 |
| Sophos | - | 20130115 |
| SUPERAntiSpyware | Trojan.Agent/Gen-MalPE | 20130115 |
| Symantec | Backdoor.Trojan | 20130115 |
| TheHacker | Backdoor/DarkShell.on | 20130115 |
| TotalDefense | Win32/DarkShell.BC | 20130115 |
| TrendMicro | TROJ_KAZY.SMEK | 20130115 |
| TrendMicro-HouseCall | TROJ_KAZY.SMEK | 20130115 |
| VBA32 | Trojan.Siscos.bqu | 20130114 |
| VIPRE | - | 20130115 |
| ViRobot | Trojan.Win32.Siscos.47616 | 20130115 |
상세 분석 내용
악성코드 실행 후 생성 하는 파일의 용량은 24MB 용량으로 쓰레기 코드를 넣어서 용량을 늘린것을 확인 할 수 있다.
생성한 파일에 대해서 용량을 크게 함으로써 바이러스토탈 검사 시 업로드 지연 현상이 발생 한다.
악성코드 자동 실행을 위해서 FireFox Driver 서비스를 등록하고 시스템 시작시C:\WINDOWS\system32\firefox.exe 파일을 자동 실행한다
악성코드 실행 후 실행 위치를 구하고 CMD 명령어를 통해서 악성코드 원본 파일을 삭제 한다.
감염 PC에 대해서 운영체제 정보, 메모리 정보, CPU 정보를 탈취한다.
C&C 서버의 명령을 통해서 외부로 부터 파일을 다운로드 하고 실행하는 기능을 가지고 있다.
C&C 서버의 IP 부분이며 포트 번호는 2013 포트로 통신을 하고 있다.
분산서비스거부(DDoS) 공격 유형 중 Web Service를 대상으로 하는 HTTP Get Flood 기능을 가지고 있다.
| DrWeb | Trojan.Darkshell |
| Ikarus | Backdoor.Win32.DarkShell |
| Kaspersky | Backdoor.Win32.DarkShell.on |
| Microsoft | Trojan:WinNT/Darkshell.C |
| nProtect | Backdoor/W32.DarkShell.39475 |
| TheHacker | Backdoor/DarkShell.on |
| TotalDefense | Win32/DarkShell.BC |
바이러스 토탈의 결과를 보면 여러 백신사에서 Darkshell 라는 특정 문자열로 악성코드를 탐지를 하고있다.
분석을 진행 하면서 메모리에서 Darkshell 문자열을 찾을수 있으며 이것을 분석한 백신사에서 악성코드를 Darkshell 로 정의 한 것으로 추정된다.
C&C 서버의 소재지는 대한민국이다
대응 방안
C:\WINDOWS\system32\firefox.exe 파일을 삭제 한다.
실행창을 키고 sc delete "FireFox" 명령어를 입력하여 자동 실행 서비스 값을 삭제 한다.
'악성코드 분석' 카테고리의 다른 글
| Backdoor.Agent.PS (0) | 2013.01.20 |
|---|---|
| Trojan:Win32/Dynamer!dtc (0) | 2013.01.20 |
| Backdoor:Win32/Jukbot.B (2) | 2013.01.15 |
| Trojan.Win32.Jorik.ZAccess.khl (0) | 2013.01.15 |
| Trojan-Dropper.Win32.Small.p (1) | 2013.01.15 |
