개요
악성코드 개요
Trojan/Win32.Scar 악성코드는 Themida protector 툴을 사용 해서 리버스 엔지니어링을 통한 역분석을 보호 하고 있으며 Themida protector 툴에 의해서 보호 하고 있는 악성코드는 DDoS 공격을 수행하는 악성코드다
MD5:f21c455787ae623690cd2a1364163c89
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
X |
| ViRobot |
X |
<국내 주요 백신 결과>
VirusTotal 점검 내역
| Antivirus | Result | Update |
|---|---|---|
| Agnitum | Trojan.Scar!OiIA9xCAKNQ | 20130123 |
| AhnLab-V3 | Trojan/Win32.Scar | 20130123 |
| AntiVir | TR/Zusy.16029.1 | 20130124 |
| Antiy-AVL | - | 20130123 |
| Avast | Win32:Trojan-gen | 20130124 |
| AVG | Generic_r.ZQ | 20130124 |
| BitDefender | Gen:Variant.Zusy.16029 | 20130124 |
| ByteHero | - | 20130123 |
| CAT-QuickHeal | Trojan.Nitol | 20130123 |
| ClamAV | - | 20130124 |
| Commtouch | - | 20130124 |
| Comodo | UnclassifiedMalware | 20130124 |
| DrWeb | Trojan.DownLoader4.49535 | 20130124 |
| Emsisoft | Gen:Variant.Zusy.16029 (B) | 20130123 |
| eSafe | - | 20130120 |
| ESET-NOD32 | - | 20130123 |
| F-Prot | - | 20130123 |
| F-Secure | Gen:Variant.Zusy.16029 | 20130124 |
| Fortinet | W32/Scar.GOIN!tr | 20130124 |
| GData | Gen:Variant.Zusy.16029 | 20130124 |
| Ikarus | Trojan.Win32.Scar | 20130124 |
| Jiangmin | - | 20121221 |
| K7AntiVirus | Trojan | 20130123 |
| Kaspersky | Trojan.Win32.Scar.goin | 20130124 |
| Kingsoft | - | 20130121 |
| Malwarebytes | - | 20130124 |
| McAfee | Artemis!F21C455787AE | 20130124 |
| McAfee-GW-Edition | Heuristic.LooksLike.Win32.Suspicious.J | 20130124 |
| Microsoft | Trojan:Win32/Nitol.A | 20130124 |
| MicroWorld-eScan | Gen:Variant.Zusy.16029 | 20130124 |
| NANO-Antivirus | Trojan.Win32.Scar.bbbyrz | 20130124 |
| Norman | - | 20130123 |
| nProtect | - | 20130123 |
| Panda | Trj/Thed.A | 20130123 |
| PCTools | Trojan.Gen | 20130124 |
| Rising | - | 20130123 |
| Sophos | - | 20130124 |
| SUPERAntiSpyware | Trojan.Agent/Gen-Faker | 20130124 |
| Symantec | Trojan.Gen.2 | 20130124 |
| TheHacker | - | 20130124 |
| TotalDefense | - | 20130123 |
| TrendMicro | TROJ_GEN.RCBCEIP | 20130124 |
| TrendMicro-HouseCall | TROJ_GEN.RCBCEIP | 20130124 |
| VBA32 | - | 20130123 |
| VIPRE | Backdoor.Win32.Hupigon (v) | 20130124 |
| ViRobot | - | 20130124 |
상세 분석 내용
악성코드 행동 분석에 필요한 모니터링툴을 실행 후 악성코드 실행 시 에러 메세지를 호출 하고 악성코드 실행을 중지 한다.
악성코드 실행 시 C:\WINDOWS\system32\(랜덤 6글자).exe 파일을 생성 하며 생성된 악성파일은 C&C 서버에 지속적으로 연결을 요청 한다. 파일 속성에서 Anonymous 관련 문자열이 존재 한다.
감염 PC에 대해서 운영체제 정보, CPU 정보, 메모리 정보등을 탈취 한다.
악성코드 파일을 생성한 빌더의 버전을 표시하고 있으며 2010년 8월 18일경에 제작한 악성코드 빌더를 사용해서 제작 한 것으로 추정 된다.
C&C 서버의 명령어를 통해서 외부에서 파일을 다운로드 할수 있는 기능을 가지고 있다.
다양한 DDoS 공격 기능 중 CC 공격의 일부로 moniattack 공격과 mnlinuxattack 공격 기능을 가지고 있다.
C&C 서버의 소재지는 대한 민국이다.
참고 URL
- http://ddos.arbornetworks.com/2010/09/another-family-of-ddos-bots-avzhan/
'악성코드 분석' 카테고리의 다른 글
| Trojan.Win32.Jorik.ZAccess.kid (0) | 2013.01.26 |
|---|---|
| Backdoor/Win32.Xyligan (0) | 2013.01.26 |
| a variant of Win32/Packed.Themida (0) | 2013.01.26 |
| Win-Trojan/Hupigon.127608 (0) | 2013.01.21 |
| TrojanPSW.OnLineGames.a (0) | 2013.01.20 |
