개요
악성코드 개요
Backdoor/Win32.Xyligan 악성코드는 DDoS 공격 기능을 수행하는 악성코드다
MD5:f3cc41f184713ecd1d1454db049e19f0
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
X |
| ViRobot |
X |
<국내 주요 백신 결과>
VirusTotal 점검 내역
| Antivirus | Result | Update |
|---|---|---|
| Agnitum | - | 20130123 |
| AhnLab-V3 | Backdoor/Win32.Xyligan | 20130124 |
| AntiVir | - | 20130124 |
| Antiy-AVL | - | 20130123 |
| Avast | - | 20130124 |
| AVG | Win32/Heur | 20130124 |
| BitDefender | Gen:Trojan.Heur.PT.mqY@biTkIUo | 20130124 |
| ByteHero | - | 20130123 |
| CAT-QuickHeal | - | 20130124 |
| ClamAV | - | 20130124 |
| Commtouch | - | 20130124 |
| Comodo | Heur.Packed.Unknown | 20130124 |
| DrWeb | Trojan.Obfuscated.based.1 | 20130124 |
| Emsisoft | Gen:Trojan.Heur.PT.mqY@biTkIUo (B) | 20130124 |
| eSafe | - | 20130120 |
| ESET-NOD32 | probably a variant of Win32/Agent.NTU | 20130124 |
| F-Prot | - | 20130124 |
| F-Secure | Gen:Trojan.Heur.PT.mqY@biTkIUo | 20130124 |
| Fortinet | - | 20130124 |
| GData | Gen:Trojan.Heur.PT.mqY@biTkIUo | 20130124 |
| Ikarus | Backdoor.Win32.Zegost | 20130124 |
| Jiangmin | - | 20121221 |
| K7AntiVirus | Trojan | 20130123 |
| Kaspersky | Backdoor.Win32.Xyligan.au | 20130124 |
| Kingsoft | - | 20130121 |
| Malwarebytes | Malware.Packer | 20130124 |
| McAfee | BackDoor-EXZ | 20130124 |
| McAfee-GW-Edition | BackDoor-EXZ | 20130124 |
| Microsoft | Backdoor:Win32/Xyligan.A | 20130124 |
| MicroWorld-eScan | Gen:Trojan.Heur.PT.mqY@biTkIUo | 20130124 |
| NANO-Antivirus | - | 20130124 |
| Norman | Redosdru.LS | 20130124 |
| nProtect | - | 20130124 |
| Panda | - | 20130124 |
| PCTools | - | 20130124 |
| Rising | - | 20130124 |
| Sophos | Mal/ResDro-B | 20130124 |
| SUPERAntiSpyware | - | 20130124 |
| Symantec | - | 20130124 |
| TheHacker | - | 20130124 |
| TotalDefense | Win32/Etap | 20130123 |
| TrendMicro | - | 20130124 |
| TrendMicro-HouseCall | - | 20130124 |
| VBA32 | - | 20130123 |
| VIPRE | Trojan-Dropper.Win32.Resdro.b (v) (not malicious) | 20130124 |
| ViRobot | - | 20130124 |
상세 분석 내용
Exeinfo PE 프로그램에서 signature 여부를 탐지 못했지만 악성코드 분석 중 ZProtect를 통해서 악성코드를 보호 하고 있다.
C&C 서버의 명령을 통해서 외부에서 파일을 다운로드 하는 기능을 가지고 있다.
악성코드는 캠 도청 기능을 가지고 있는 것으로 추정 된다.
DDoS 공격 기능 중 CC Attack 공격을 가지고 있으며 HTTP User-Agent 헤더 부분에 Cache-Control: no-store, must-revalidate 의 값을 추가하여 공격 하는 방식이다.
C&C 서버의 소재지는 대한민국 이다
'악성코드 분석' 카테고리의 다른 글
| Dropper/Win32.PcClient (0) | 2013.01.26 |
|---|---|
| Trojan.Win32.Jorik.ZAccess.kid (0) | 2013.01.26 |
| Trojan/Win32.Scar (0) | 2013.01.26 |
| a variant of Win32/Packed.Themida (0) | 2013.01.26 |
| Win-Trojan/Hupigon.127608 (0) | 2013.01.21 |
