Trojan:Win32/Dynamer!dtc

개요

악성코드 개요

Trojan:Win32/Dynamer!dtc 악성코드는 다운로더 악성코드로 Anti-Virtual Machine 기술을 통해서 가상화 환경에서는 동작 하지 않는다.

MD5:bca5719a88a6bc7bf9cbbc529a6249ee

생성파일 정보 요약

<패킹 결과>

AhnLab-V3	O
BitDefender(알약)	O
nProtect	O
ViRobot	X

<국내 주요 백신 결과>

VirusTotal 점검 내역

https://www.virustotal.com/file/bca5719a88a6bc7bf9cbbc529a6249ee/analysis/

상세 분석 내용

악성코드는 "qemu" , "virtual" , "vmware" 등 가상화 소프트웨어를 탐지 하며 악성코드 실행 시 종료 루틴을 실행 하고 악성코드를 동작 시키지 않는다. 악성코드 분석가의 환경은 가상화 환경을 이용해서 분석을 진행 하며 일반 사용자의 경우 가상화 환경에서 악성코드를 실행하는 경우가 없기 때문에 분석가를 타겟으로 한 분석 방해로 보인다.

가상화 환경을 탐지 하기 때문에 악성 코드를 직접 분석을 진행하면서 조건을 확인하고 우회 시켜야 한다. 00401415 주소에서 00401000 사용자 정의 함수를 호출 하고 0040141C 주소에서 조건을 확인하고 004015F5 주소로 점프 한다. 004015F5 주소에는 ExitProcess 함수를 호출해서 프로세스를 종료 하고 악성코드를 실행 하지 않는다.

특정 사이트에 연결 해서 IP 주소와 국가 등의 정보를 수집한다.

Anti-Virtual 기술을 우회 하면 최종적으로 외부 주소로 부터 파일을 다운로드 하고 다운로드 받은 악성코드를 실행 시킨다.

참고 URL

- OOO 참고 : http://www.dev-point.com/vb/t355641.html