개요
악성코드 개요
TrojanPSW.OnLineGames.a 악성코드는 2012년도 국내에서 백신업체를 통해 접수된 악성코드 피해신고 가운데 가장 많이 피해 신고 접수가 된 악성코드로 온라인게임 계정을 탈취하는 악성 코드다.
MD5:0932fcedd979ffd04d112bc03b60bd79
생성파일 정보 요약
|
파일 생성 정보
C:\WINDOWS\system32\ws2helpXP.dll (정상 ws2help.dll 파일) C:\WINDOWS\system32\ws2help.dll (악성 파일)
생성 레지스트리 정보
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows "AppInit_DLLs" |
<패킹 결과>
| AhnLab-V3 |
X |
| BitDefender(알약) |
X |
| nProtect |
X |
| ViRobot |
X |
<국내 주요 백신 결과>
감영증상 요약
설명
VirusTotal 점검 내역
Antivirus
Result
Update
Agnitum
-
20130118
AhnLab-V3
-
20130119
AntiVir
TR/Crypt.XPACK.Gen
20130119
Antiy-AVL
-
20130119
Avast
-
20130119
AVG
unknown virus Win32/DH{eQY}
20130119
BitDefender
-
20130119
ByteHero
-
20130118
CAT-QuickHeal
-
20130119
ClamAV
-
20130119
Commtouch
-
20130119
Comodo
Packed.Win32.MPEC.Gen
20130119
DrWeb
-
20130119
Emsisoft
-
20130119
eSafe
Suspicious File
20130116
ESET-NOD32
a variant of Win32/PSW.OnLineGames.QDE
20130119
F-Prot
-
20130119
F-Secure
-
20130119
Fortinet
-
20130119
GData
-
20130119
Ikarus
Backdoor.Win32.FlyAgent
20130119
Jiangmin
Trojan/Generic.anxqi
20121221
K7AntiVirus
-
20130119
Kaspersky
UDS:DangerousObject.Multi.Generic
20130119
Kingsoft
-
20130115
Malwarebytes
Malware.Gen
20130119
McAfee
-
20130119
McAfee-GW-Edition
Heuristic.LooksLike.Win32.Suspicious.C
20130119
Microsoft
Trojan:Win32/Qhost.HB
20130119
MicroWorld-eScan
-
20130119
NANO-Antivirus
-
20130119
Norman
W32/Malware
20130119
nProtect
-
20130119
Panda
-
20130119
PCTools
-
20130119
Rising
Suspicious
20130117
Sophos
-
20130119
SUPERAntiSpyware
-
20130119
Symantec
-
20130119
TheHacker
-
20130119
TotalDefense
-
20130118
TrendMicro
PAK_Generic.001
20130119
TrendMicro-HouseCall
PAK_Generic.001
20130119
VBA32
TrojanPSW.OnLineGames.a
20130118
VIPRE
Trojan.Win32.Qhost.hb (v)
20130119
ViRobot
-
20130119
상세 분석 내용
악성코드 실행 시 Hosts 파일을 변조 한다. 변조 내용은 안랩은 ASD 서버를 무력화 시키는 내용을 담고 있다.
악성코드 실행 이후 %temp% 폴더에 uMuezr352 파일을 생성 한다.
uMuezr352 파일은 80MB 파일로 용량을 높여서 백신 우회와 바이러스토탈 업로드를 방해 한다.바이러스 토탈 서비스의 경우 최대 용량 32MB 까지 지원한다.
uMuezr352 파일은 분석 방해 기술이 존재 하며 실행 시 악성 해커가 설정한 분석 프로그램이 프로
세스에 올라가 있다면 메세지를 호출 하고 악성코드 실행을 중지 한다.
악성코드에 의해 변경되는 ws2help.dll 파일은 ws2_32.dll 파일을 보조 하는 역할로 사용 되며 악성코드는 정상 파일 상태인 ws2help.dll 파일을 악성코드로 변경 하고 정상 파일 ws2help.dll 파일을 ws2helpXP.dll 백업하고 ws2helpXP.dll 파일은 정상 파일인 ws2help.dll 시스템 파일 역할을 수행 한다.
악성코드가 변조한 ws2help.dll 파일은 DLL 인젝션 방법 중 레지스터 AppInit_DLLs 등록 하고user32.dll 로딩하는 시스템의 모든 프로세스에 인젝션 한다.
국내 게임 사이트들에 대해서 계정 정보를 탈취 한다.
국내 주요 백신 ( 알약 , V3 , 네이버 백신)등에 대해서 프로세스가 존재 한다면 해당 프로세스를 강제 종료하게 된다.
또한 iexplore.exe 프로세스에 악성 파일인 ws2help.dll 파일을 통해 사용자가 온라인 게임 사이트에 접속하여 로그인을 시도할 경우 특정 주소로 계정 정보를 탈취 한다.
온라인 게임 계정을 탈취 하는 사이트에 대해서 역 추적으로 찾았지만 해당 사이트의 내용을 보기 위해서는 아이디와 비밀번호를 입력 해야 로그인이 가능 하다.
온라인 게임계정 정보를 탈취 하는 서버의 소재지는 미국이다.
'악성코드 분석' 카테고리의 다른 글
| a variant of Win32/Packed.Themida (0) | 2013.01.26 |
|---|---|
| Win-Trojan/Hupigon.127608 (0) | 2013.01.21 |
| Backdoor:Win32/Fynloski.A (0) | 2013.01.20 |
| TrojanDropper:Win32/Zegost.R (0) | 2013.01.20 |
| Backdoor.Agent.PS (0) | 2013.01.20 |
