개요
악성코드 개요
Backdoor:Win32/Fynloski.A 악성코드는 키로깅, 도청 , 파일 삭제, 강제 종료등 다양한 악성 행위를 수행하는 악성코드다. 특이점으로 악성코드 제작 언어로 Autoit 언어를 통해서 악성코드를 제작 했다.
생성파일 정보 요약
|
파일 생성 정보
C:\Documents and Settings\사용자 계정\Local Settings\Temp\894499\Microsoft.vbs C:\Documents and Settings\사용자 계정\Local Settings\Temp\894499\start.cmd C:\Documents and Settings\사용자 계정\Application Data\dclogs\2013-01-18-6[년-월-일].dc
생성 레지스트리 정보
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run |
<패킹 결과>
| AhnLab-V3 |
X |
| BitDefender(알약) |
O |
| nProtect |
O |
| ViRobot |
X |
| AhnLab-V3 |
X |
| BitDefender(알약) |
O |
| nProtect |
O |
| ViRobot |
X |
<국내 주요 백신 결과>
VirusTotal 점검 내역
| Antivirus | Result | Update |
|---|---|---|
| Agnitum | - | 20130117 |
| AhnLab-V3 | - | 20130118 |
| AntiVir | TR/Drop.Vbinder.A.1 | 20130118 |
| Antiy-AVL | Trojan/Win32.Chifrax.gen | 20130117 |
| Avast | Win32:AutoIt-BKI [Trj] | 20130118 |
| AVG | Generic7_c.MEI | 20130117 |
| BitDefender | Trojan.Generic.8623397 | 20130118 |
| ByteHero | - | 20130118 |
| CAT-QuickHeal | - | 20130118 |
| ClamAV | - | 20130118 |
| Commtouch | W32/GenBl.DDAEA1C4!Olympus | 20130118 |
| Comodo | UnclassifiedMalware | 20130118 |
| DrWeb | - | 20130118 |
| Emsisoft | - | 20130118 |
| eSafe | - | 20130116 |
| ESET-NOD32 | a variant of Win32/Injector.Autoit.EE | 20130117 |
| F-Prot | - | 20130117 |
| F-Secure | Trojan.Generic.8623397 | 20130118 |
| Fortinet | W32/Injector_Autoit.EE | 20130118 |
| GData | Trojan.Generic.8623397 | 20130118 |
| Ikarus | Worm.Win32.AutoIt | 20130118 |
| Jiangmin | - | 20121221 |
| K7AntiVirus | - | 20130117 |
| Kaspersky | UDS:DangerousObject.Multi.Generic | 20130118 |
| Kingsoft | - | 20130115 |
| Malwarebytes | Trojan.Agent.AI | 20130118 |
| McAfee | Artemis!DDAEA1C454DC | 20130118 |
| McAfee-GW-Edition | Heuristic.BehavesLike.Win32.Suspicious-BAY.S | 20130118 |
| Microsoft | Backdoor:Win32/Fynloski.A | 20130118 |
| MicroWorld-eScan | Trojan.Generic.8623397 | 20130118 |
| NANO-Antivirus | - | 20130118 |
| Norman | W32/Suspicious_Gen4.CBAMT | 20130117 |
| nProtect | Trojan.Generic.8623397 | 20130117 |
| Panda | Trj/CI.A | 20130118 |
| PCTools | - | 20130118 |
| Rising | - | 20130117 |
| Sophos | - | 20130118 |
| SUPERAntiSpyware | - | 20130118 |
| Symantec | WS.Reputation.1 | 20130118 |
| TheHacker | Backdoor/Poison.evja | 20130117 |
| TotalDefense | - | 20130117 |
| TrendMicro | - | 20130118 |
| TrendMicro-HouseCall | TROJ_GEN.RCBH1LG | 20130118 |
| VBA32 | - | 20130118 |
| VIPRE | Trojan.Win32.Generic!BT | 20130118 |
| ViRobot | - | 20130118 |
| Antivirus | Result | Update |
|---|---|---|
| Agnitum | - | 20130117 |
| AhnLab-V3 | - | 20130118 |
| AntiVir | TR/Drop.Vbinder.A.1 | 20130118 |
| Antiy-AVL | Trojan/Win32.Chifrax.gen | 20130117 |
| Avast | Win32:AutoIt-BKI [Trj] | 20130118 |
| AVG | Generic7_c.MEI | 20130117 |
| BitDefender | Trojan.Generic.8623397 | 20130118 |
| ByteHero | - | 20130118 |
| CAT-QuickHeal | - | 20130118 |
| ClamAV | - | 20130118 |
| Commtouch | W32/GenBl.DDAEA1C4!Olympus | 20130118 |
| Comodo | UnclassifiedMalware | 20130118 |
| DrWeb | - | 20130118 |
| Emsisoft | - | 20130118 |
| eSafe | - | 20130116 |
| ESET-NOD32 | a variant of Win32/Injector.Autoit.EE | 20130117 |
| F-Prot | - | 20130117 |
| F-Secure | Trojan.Generic.8623397 | 20130118 |
| Fortinet | W32/Injector_Autoit.EE | 20130118 |
| GData | Trojan.Generic.8623397 | 20130118 |
| Ikarus | Worm.Win32.AutoIt | 20130118 |
| Jiangmin | - | 20121221 |
| K7AntiVirus | - | 20130117 |
| Kaspersky | UDS:DangerousObject.Multi.Generic | 20130118 |
| Kingsoft | - | 20130115 |
| Malwarebytes | Trojan.Agent.AI | 20130118 |
| McAfee | Artemis!DDAEA1C454DC | 20130118 |
| McAfee-GW-Edition | Heuristic.BehavesLike.Win32.Suspicious-BAY.S | 20130118 |
| Microsoft | Backdoor:Win32/Fynloski.A | 20130118 |
| MicroWorld-eScan | Trojan.Generic.8623397 | 20130118 |
| NANO-Antivirus | - | 20130118 |
| Norman | W32/Suspicious_Gen4.CBAMT | 20130117 |
| nProtect | Trojan.Generic.8623397 | 20130117 |
| Panda | Trj/CI.A | 20130118 |
| PCTools | - | 20130118 |
| Rising | - | 20130117 |
| Sophos | - | 20130118 |
| SUPERAntiSpyware | - | 20130118 |
| Symantec | WS.Reputation.1 | 20130118 |
| TheHacker | Backdoor/Poison.evja | 20130117 |
| TotalDefense | - | 20130117 |
| TrendMicro | - | 20130118 |
| TrendMicro-HouseCall | TROJ_GEN.RCBH1LG | 20130118 |
| VBA32 | - | 20130118 |
| VIPRE | Trojan.Win32.Generic!BT | 20130118 |
| ViRobot | - | 20130118 |
상세 분석 내용
악성코드 자동 실행을 위한 루틴 이다. Microsoft.vbs 파일을 통해서 start.cmd 명령을 실행 하고 start.cmd 파일은 악성코드 파일인 svhost.exe 파일을 실행 한다. 일반적으로 악성코드는 직접적으로 악성코드를 자동으로 실행 하는 경우가 많은 반면 이번 악성코드는 스크립트 파일을 이용해서 자동 실행을 하고 이러한 루틴은 백신을 우회 하기 위한것으로 추정 된다.
Microsoft.vbs 파일로 VB스크립트로 작성 했으며 start.cmd 파일을 실행 한다.
start.cmd 파일은 악성코드 파일 svhost.exe 파일을 실행 한다
C&C 서버의 명령을 통해서 추가로 파일을 업로드 하거나 감염 PC 파일을 실행 할 수 있다.
C&C 명령을 통해서 호스트 파일을 대해서 변조 하는 기능을 가지고 있다.
C&C 명령을 통해서 사운드 재생 기능을 가지고 있다. PlaySound 함수를 호출해서 감염 PC에 존재하는 사운드 파일을 재생 할 수 있다.
C&C 명령을 통해서 사운드 도청 기능을 가지고 있다. waveInAddBuffer 함수를 호출 하고 사운드 도청에 필요한 버퍼를 준비 한다. 그 이후 조건 형식으로 동작을 수행 한다.
키보드 메시지 후킹을 진행 후 키보드의 입력값에 대해서 모두 키로깅 한다.
C&C 서버의 명령어를 통해서 감염 PC에 대한 컴퓨터 종료, 컴퓨터 재부팅, 컴퓨터 잠금 , 컴퓨터 강제 종료 기능을 수행 한다.
C&C 서버의 명령어를 통해서 FTP 서버에 대해서 접근 할 수 있으며 FTP 서버로 파일을 업로드 할 수 있다.
감염 PC에서 입력하는 키보드 정보를 "C:\Documents and Settings\(사용자 계정)\Application Data\dclogs\년-월-일 형식으로 파일로 저장 한다.
C&C 서버의 소재지는 마케도니아 공화국 이다
'악성코드 분석' 카테고리의 다른 글
| Win-Trojan/Hupigon.127608 (0) | 2013.01.21 |
|---|---|
| TrojanPSW.OnLineGames.a (0) | 2013.01.20 |
| TrojanDropper:Win32/Zegost.R (0) | 2013.01.20 |
| Backdoor.Agent.PS (0) | 2013.01.20 |
| Trojan:Win32/Dynamer!dtc (0) | 2013.01.20 |
