개요
악성코드 개요
TrojanDropper:Win32/Zegost.R 악성코드는 중국에서 제작한 악성코드로 감염 PC의 정보를 탈취하며 백신 무력화 기능과 다양한 악성 행위를 하는 악성코드다.
생성파일 정보 요약
|
파일 생성 정보
C:\WINDOWS\system32\firefox.exe 생성 레지스트리 정보 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FireFox |
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
O |
| ViRobot |
X |
<국내 주요 백신 결과>
감영증상 요약
설명
VirusTotal 점검 내역
Antivirus
Result
Update
Agnitum
-
20130117
AhnLab-V3
Trojan/Win32.Magania
20130117
AntiVir
TR/Crypt.XPACK.Gen7
20130117
Antiy-AVL
-
20130117
Avast
Win32:Jorik-SG [Trj]
20130117
AVG
SHeur4.AVMK
20130117
BitDefender
Gen:Variant.Zusy.20442
20130117
ByteHero
-
20130117
CAT-QuickHeal
Backdoor.Zegost.B
20130117
ClamAV
-
20130117
Commtouch
-
20130117
Comodo
TrojWare.Win32.Graftor.268
20130117
DrWeb
Trojan.PWS.Gamania.38214
20130117
Emsisoft
Gen:Variant.Zusy.20442 (B)
20130117
eSafe
-
20130116
ESET-NOD32
a variant of Win32/Farfli.MJ
20130117
F-Prot
-
20130117
F-Secure
Gen:Variant.Zusy.20442
20130117
Fortinet
W32/Farfli.NO!tr
20130117
GData
Gen:Variant.Zusy.20442
20130117
Ikarus
Trojan-Dropper.Win32.Zegost
20130117
Jiangmin
Trojan/Agent.icvg
20121221
K7AntiVirus
Trojan
20130117
Kaspersky
Virus.Win32.Suspic.gen
20130117
Kingsoft
-
20130115
Malwarebytes
Trojan.Dropper
20130117
McAfee
Generic Dropper.afx.gen.a
20130117
McAfee-GW-Edition
Generic Dropper.afx.gen.a
20130117
Microsoft
TrojanDropper:Win32/Zegost.R
20130117
MicroWorld-eScan
Gen:Variant.Zusy.20442
20130117
NANO-Antivirus
Trojan.Win32.Farfli.bbukkf
20130117
Norman
W32/Crypt.BGMN
20130117
nProtect
Trojan/W32.Agent.96256.SB
20130117
Panda
Trj/Zegost.C
20130117
PCTools
Backdoor.Trojan
20130117
Rising
Trojan.Zegost!49D2
20130117
Sophos
Troj/Agent-WIB
20130117
SUPERAntiSpyware
Trojan.Agent/Gen-Magania
20130117
Symantec
Backdoor.Trojan
20130117
TheHacker
-
20130117
TotalDefense
-
20130117
TrendMicro
TROJ_GEN.R4AE1AH
20130117
TrendMicro-HouseCall
TROJ_GEN.R4AE1AH
20130117
VBA32
-
20130117
VIPRE
Trojan.Win32.Generic!BT
20130117
ViRobot
-
20130117
상세 분석 내용
악성코드에는 안티 디버깅 기술이 존재 하며 올리디 버거로 분석을 진행 할때 에러를 발생 한다. 디버거를 탐지 하는 Protector 사용 한 것으로 추정 된다.
실행 위치를 구하고 7A85B03D 폴더를 생성하고 CopyFile 함수를 호출해서 악성코드를 복사 한다.
악성코드 자동 실행을 위해서 레지스트리 시작프로그램에 등록 한다.
|
avp.exe |
Kaspersky |
|
Rstray.exe |
Rising AntiVirus |
|
KSafeTray.exe |
Kingsoft |
|
kxetray.exe |
Kingsoft |
|
360tray.exe |
360tray |
|
KvMonXP.exe |
Jiangmin Antivirus |
|
egui.exe |
ESET |
|
QQPCTray.exe |
Tencent |
백신 제품에 대한 무력화 기능을 가지고 있으며 1001B2F0 함수에는 프로세스 종료 루틴이 존재 위 표에 해당하는 프로세스명이 존재 한다면 강제 종료 루틴을 실행 시킨다.
감염 PC에 대한 운영체제 , 메모리 정보 ,컴퓨터 이름, CPU 정보 , 하드디스크 정보를 탈취 한다.
Application,Security,System 악성코드에 대한 이벤트 로그를 삭제 한다.OpenEventLog 함수를
사용해서 해당 로그에 대한 핸들을 받아오고 Application, Security, System에 대한 이벤트 로그 핸들을 받고 ClearEventLog 함수를 통해서 로그 기록을 삭제 한다.
waveInPrepareHeader 함수를 호출해서 사운드 녹음에 필요한 버퍼가 준비하고 waveInStart 함수를 호출해서 녹음을 시작한다.
FindFirstFile, FindNextFile 함수를 통한 폴더내 모든 파일을 검색 하고 삭제하고 싶은 특정 파일,폴더를 삭제 한다
cmd.exe /c net user guset /active:yes && net user guset %s && net localgroup administrators guset /add guset 계정을 활성화 하고 어드민 그륩에 guset 계정을 추가한다. 추가 악성 행위를 하기 위한 작업으로 추정 된다.
다음과 같은 C&C 서버로 연결 요청을 보내고 DDNS 서비스를 이용 하고 있다.
악성코드 안에서 중요한 취약점으로 악성 해커가 만든 웹서버를 발견 했다. 이를 토대로 역추적을 진행 하며 악성 해커는 중국인으로 추정 할수 있으며 추가 악성코드들이 존재 하며 nn.txt 파일에는 또 다른 사이트 주소가 존재 한다.
nn.txt 파일에 있는 사이트 주소로 접속 시 Bin.rar 파일을 다운로드 받을수 있는 중국 사이트로 접속 한다. Bin.rar 압축 파일에는 암호가 걸려 있는 상태로 압축을 풀어서 확인 할 수는 없지만 파일 이름을 통해서 Bin.rar 파일이 악성 해커가 사용하는 해킹툴로 추정 할 수 있다. 그리고 빨간색 박스 부분에는 사이트에서 파일을 다운로드 시 다운로드 흔적이 남는다.
C&C 서버의 소재지는 중국(중화인민공화국)이다
'악성코드 분석' 카테고리의 다른 글
| TrojanPSW.OnLineGames.a (0) | 2013.01.20 |
|---|---|
| Backdoor:Win32/Fynloski.A (0) | 2013.01.20 |
| Backdoor.Agent.PS (0) | 2013.01.20 |
| Trojan:Win32/Dynamer!dtc (0) | 2013.01.20 |
| Trojan/Win32.Npkon (0) | 2013.01.20 |
