개요
악성코드 개요
a variant of Win32/Packed.Themida 악성코드는 백신에서 올바른 진단명으로 탐지 하지 못하고 있으며 Themida protector를 탐지 해서 특정 백신에서 탐지 하는것으로 보인다. 악성코드는 Themida protector 툴을 사용 해서 리버스 엔지니어링을 통한 역분석을 보호 하고 있으며 Themida protector 툴에 의해서 보호 하고 있는 악성코드는 DDoS 공격을 수행하는 악성코드다
MD5:3d6a7d64af72ae9e64f67e84d23755fe
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
X |
| BitDefender(알약) |
O |
| nProtect |
X |
| ViRobot |
X |
<국내 주요 백신 결과>
VirusTotal 점검 내역
| Antivirus | Result | Update |
|---|---|---|
| Agnitum | Suspicious!SA | 20130122 |
| AhnLab-V3 | - | 20130122 |
| AntiVir | TR/Crypt.TPM.Gen | 20130123 |
| Antiy-AVL | - | 20130122 |
| Avast | - | 20130123 |
| AVG | - | 20130122 |
| BitDefender | Gen:Trojan.Heur.BAWar59G!Wn | 20130123 |
| ByteHero | - | 20130122 |
| CAT-QuickHeal | - | 20130122 |
| ClamAV | - | 20130123 |
| Commtouch | - | 20130123 |
| Comodo | - | 20130123 |
| DrWeb | - | 20130123 |
| Emsisoft | Gen:Trojan.Heur.BAWar59G!Wn (B) | 20130122 |
| eSafe | - | 20130120 |
| ESET-NOD32 | a variant of Win32/Packed.Themida | 20130122 |
| F-Prot | - | 20130122 |
| F-Secure | Gen:Trojan.Heur.BAWar59G!Wn | 20130123 |
| Fortinet | - | 20130123 |
| GData | Gen:Trojan.Heur.BAWar59G!Wn | 20130123 |
| Ikarus | Virus.Win32.Heur | 20130123 |
| Jiangmin | - | 20121221 |
| K7AntiVirus | - | 20130122 |
| Kaspersky | - | 20130122 |
| Kingsoft | Win32.Troj.Generic_01.k | 20130121 |
| Malwarebytes | - | 20130123 |
| McAfee | - | 20130123 |
| McAfee-GW-Edition | Heuristic.LooksLike.Win32.Suspicious.N!89 | 20130123 |
| Microsoft | - | 20130123 |
| MicroWorld-eScan | Gen:Trojan.Heur.BAWar59G!Wn | 20130123 |
| NANO-Antivirus | - | 20130123 |
| Norman | - | 20130122 |
| nProtect | - | 20130122 |
| Panda | - | 20130122 |
| PCTools | - | 20130121 |
| Rising | - | 20130122 |
| Sophos | Mal/Behav-103 | 20130123 |
| SUPERAntiSpyware | - | 20130123 |
| Symantec | - | 20130123 |
| TheHacker | - | 20130122 |
| TotalDefense | - | 20130122 |
| TrendMicro | - | 20130123 |
| TrendMicro-HouseCall | - | 20130123 |
| VIPRE | - | 20130123 |
| ViRobot | - | 20130122 |
상세 분석 내용
악성코드 행동 분석에 필요한 모니터링툴을 실행 후 악성코드 실행 시 에러 메세지를 호출 하고 악성코드 실행을 중지 한다.
악성코드 실행 후 C:\WINDOWS\system32\랜덤.exe 파일을 생성 한다. 생성 하는 파일은 원본 악성코드를 복사한 파일 이다.
CMD 명령어를 통해서 악성코드 원본 파일을 삭제 하고 C:\WINDOWS\system32\랜덤.exe 파일만 존재하며 악성코드는 서비스에 등록 하고 자동으로 실행 된다.
악성코드의 C&C 서버는 악성 해커가 자주 사용 하는 no-ip 사이트의 DDNS(Dynamic DNS) 서비스를 이용 하고 있다.
악성코드는 C&C 명령어를 통해서 외부로 부터 파일을 다운로드 할수 있는 기능을 가지고 있다.
감염 PC의 운영체제 정보 , 메모리 정보, CPU 정보등을 C&C 서버로 탈취 한다.
위 그림은 악성코드 제작툴의 버전 문자열로 추정 된다.
DDoS 공격 기능 중 CC 공격의 일부로 moniattack 공격과 mnlinuxattack 공격을 가지고 있다.
악성코드 분석을 진행 하면서 악성코드 내부 안에서 악성코드에 대한 중요한 단서를 찾았으며 단서를 역추적 한다.
단서를 기반으로 역추적을 통해서 해당 악성코드를 제작한 DDoS 공격툴을 찾았으며 해당 툴은 중국에서 제작 했으며 제한이 있는 평가판을 제공 하고 있다. 제한 없이 사용 하기 위해서는 결제를 해야 한다.
DDoS 공격 기능중 mnlinuxattack 공격 관련이 보이며 다양한 DDoS 공격 기능을 가지고 있다.
감염 PC를 외부로 부터 파일을 다운로드 하는 기능이다.
C&C 서버의 소재지는 대한 민국이다.
'악성코드 분석' 카테고리의 다른 글
| Backdoor/Win32.Xyligan (0) | 2013.01.26 |
|---|---|
| Trojan/Win32.Scar (0) | 2013.01.26 |
| Win-Trojan/Hupigon.127608 (0) | 2013.01.21 |
| TrojanPSW.OnLineGames.a (0) | 2013.01.20 |
| Backdoor:Win32/Fynloski.A (0) | 2013.01.20 |
