개요
악성코드 개요
Win-Trojan/Hupigon.127608 악성코드는 감염 PC에 대해서 사운드 도청 , 캠 도청, 키로깅 기능 , 파일 관리등의 행위를 하는 종합 모듈 형태의 악성코드다.
생성파일 정보 요약
|
파일 생성 정보
C:\WINDOWS\system32\bits.dll
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Parameters "ServiceDll" |
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
O |
| ViRobot |
O |
<국내 주요 백신 결과>
감영증상 요약
설명
VirusTotal 점검 내역
| Antivirus | Result | Update |
|---|---|---|
| Agnitum | Trojan.Magania!pTdPC96Mzr8 | 20130120 |
| AhnLab-V3 | Win-Trojan/Hupigon.127608 | 20130120 |
| AntiVir | TR/Crypt.FKM.Gen | 20130121 |
| Antiy-AVL | - | 20130120 |
| Avast | Win32:Trojan-gen | 20130121 |
| AVG | Agent2.JTP | 20130121 |
| BitDefender | Trojan.Generic.5646130 | 20130121 |
| ByteHero | - | 20130118 |
| CAT-QuickHeal | Trojan.Redosdru.A | 20130121 |
| ClamAV | Trojan.Agent-128937 | 20130121 |
| Commtouch | W32/Magania.BIK | 20130121 |
| Comodo | TrojWare.Win32.GameThief.Magania.~NWABL | 20130121 |
| DrWeb | Trojan.DownLoader4.56850 | 20130121 |
| Emsisoft | Trojan.Generic.5646130 (B) | 20130121 |
| eSafe | - | 20130120 |
| ESET-NOD32 | Win32/Agent.OQG | 20130120 |
| F-Prot | W32/Magania.BIK | 20130121 |
| F-Secure | Trojan.Generic.5646130 | 20130121 |
| Fortinet | W32/Magania.BBT!tr.pws | 20130121 |
| GData | Trojan.Generic.5646130 | 20130121 |
| Ikarus | Backdoor.Win32.Zegost | 20130121 |
| Jiangmin | Trojan/PSW.Magania.sxn | 20121221 |
| K7AntiVirus | Password-Stealer | 20130119 |
| Kaspersky | Trojan-GameThief.Win32.Magania.bixe | 20130121 |
| Kingsoft | Win32.Hack.Agent.mt.(kcloud) | 20130121 |
| Malwarebytes | Trojan.Backdoor | 20130121 |
| McAfee | BackDoor-DZX | 20130121 |
| McAfee-GW-Edition | BackDoor-DZX | 20130121 |
| Microsoft | Backdoor:Win32/Zegost.Q | 20130121 |
| MicroWorld-eScan | Trojan.Generic.5646130 | 20130121 |
| NANO-Antivirus | Trojan.Win32.Magania.povi | 20130121 |
| Norman | Agent.VCXT | 20130120 |
| nProtect | Trojan-PWS/W32.WebGame.144784 | 20130121 |
| Panda | Trj/Lineage.BZE | 20130120 |
| PCTools | - | 20130121 |
| Rising | Backdoor.Win32.Mnless.bzk | 20130121 |
| Sophos | Troj/Redosdru-B | 20130121 |
| SUPERAntiSpyware | Trojan.Agent/Gen-Redosdru | 20130120 |
| Symantec | - | 20130121 |
| TheHacker | Trojan/Magania.bfue | 20130120 |
| TotalDefense | malicious | 20130120 |
| TrendMicro | TSPY_MAGANIA.SMJ | 20130121 |
| TrendMicro-HouseCall | TSPY_MAGANIA.SMJ | 20130121 |
| VBA32 | BScope.Trojan.SvcHorse.01643 | 20130118 |
| VIPRE | Trojan-GameThief.Win32.Magania.bfue (v) | 20130121 |
| ViRobot | Trojan.Win32.PSWMagania.144784 | 20130121 |
상세 분석 내용
악성코드 실행 시 생성 하는 bits.dll 파일은 숨김 속성으로 생성 된다.
악성코드 실행 시 악성 파일(bits.dll)을 레지스트리에 등록 해서 시스템 재부팅 시 자동으로 실행 한다.
레지스트리 등록을 통해서 악성 파일은 svchost.exe 프로세스에 bits.dll 악성 파일을 인젝션 해서 동작 한다.
FindFirstFile, FindNextFile 함수를 호출 하고 악성 해커가 삭제 하고 싶은 파일 폴더를 검색하고 삭제 한다.
사운드 녹음에 필요한 버퍼를 준비 하기 위해서 waveInAddBuffer 함수를 호출해서 사운드 녹음에 필요한 버퍼를 준비 하고 waveInStart 함수를 호출해서 녹음을 시작한다.
프로세스 리스트를 구해 오는 함수를 호출 해서 프로세스 리스트를 구하고 OpenProcess() 함수를 호출 하고 프로세스의 핸들을 얻어오고 얻어온 핸들은 프로세스의 여러 정보를 담고 있다. 그리고 TerminateProcess() 함수를 호출 해서 프로세스를 강제 종료 한다.
C&C 서버의 소재지는 대한민국 이다.
'악성코드 분석' 카테고리의 다른 글
| Trojan/Win32.Scar (0) | 2013.01.26 |
|---|---|
| a variant of Win32/Packed.Themida (0) | 2013.01.26 |
| TrojanPSW.OnLineGames.a (0) | 2013.01.20 |
| Backdoor:Win32/Fynloski.A (0) | 2013.01.20 |
| TrojanDropper:Win32/Zegost.R (0) | 2013.01.20 |
