개요
악성코드 개요
Dropper/Win32.PcClient 악성코드는 중국에서 제작한 PCRAT 프로그램을 통해서 제작된 악성코드로 도청 , 이벤트 로그 삭제 , 키로깅 기능을 수행하는 악성코드 이다.
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
O |
| ViRobot |
O |
<국내 주요 백신 결과>
감영증상 요약
설명
VirusTotal 점검 내역
| Antivirus | Result | Update |
|---|---|---|
| Agnitum | Trojan.Zegost.Gen.7 | 20130125 |
| AhnLab-V3 | Dropper/Win32.PcClient | 20130125 |
| AntiVir | TR/Spy.Gen | 20130125 |
| Antiy-AVL | - | 20130125 |
| Avast | Win32:Malware-gen | 20130125 |
| AVG | Agent2.AXBR | 20130125 |
| BitDefender | Dropped:Backdoor.Generic.687814 | 20130125 |
| ByteHero | Virus.Win32.Part.b | 20130125 |
| CAT-QuickHeal | (Suspicious) - DNAScan | 20130125 |
| ClamAV | WIN.Spy.Magania-278 | 20130125 |
| Commtouch | W32/Injector.D.gen!Eldorado | 20130125 |
| Comodo | TrojWare.Win32.Trojan.Agent.Gen | 20130125 |
| DrWeb | BackDoor.Siggen.25208 | 20130125 |
| Emsisoft | Dropped:Backdoor.Generic.687814 (B) | 20130124 |
| eSafe | - | 20130120 |
| ESET-NOD32 | a variant of Win32/Farfli.FK | 20130125 |
| F-Prot | W32/Injector.D.gen!Eldorado | 20130125 |
| F-Secure | Dropped:Backdoor.Generic.687814 | 20130125 |
| Fortinet | W32/Injector.MAG!tr | 20130125 |
| GData | Dropped:Backdoor.Generic.687814 | 20130125 |
| Ikarus | Backdoor.Win32.Zegost | 20130125 |
| Jiangmin | Backdoor/PcClient.ahyj | 20121221 |
| K7AntiVirus | Riskware | 20130125 |
| Kaspersky | Trojan-GameThief.Win32.Magania.fcns | 20130125 |
| Kingsoft | Win32.Hack.Huigezi.ec.(kcloud) | 20130121 |
| Malwarebytes | Backdoor.Agent.PS | 20130125 |
| McAfee | BackDoor-DVB.gen.o | 20130125 |
| McAfee-GW-Edition | Heuristic.BehavesLike.Win32.Suspicious-BAY.K | 20130125 |
| Microsoft | Backdoor:Win32/PcClient.ZR | 20130125 |
| MicroWorld-eScan | Dropped:Backdoor.Generic.687814 | 20130125 |
| NANO-Antivirus | Trojan.Win32.Magania.czhtp | 20130125 |
| Norman | Crypt.BHCB | 20130125 |
| nProtect | Dropped:Backdoor.Generic.687814 | 20130125 |
| Panda | Trj/Downloader.MDW | 20130125 |
| PCTools | Backdoor.Trojan | 20130125 |
| Rising | Backdoor.Zegost!4AE9 | 20130125 |
| Sophos | Troj/Zegost-S | 20130125 |
| SUPERAntiSpyware | Trojan.Agent/Gen-Sinar | 20130125 |
| Symantec | Backdoor.Trojan | 20130125 |
| TheHacker | Trojan/Farfli.fk | 20130124 |
| TotalDefense | Win32/Zegost.B!generic | 20130124 |
| TrendMicro | BKDR_INJECT.SMJ | 20130125 |
| TrendMicro-HouseCall | BKDR_INJECT.SMJ | 20130125 |
| VBA32 | TrojanPSW.Magania.dhwd | 20130125 |
| VIPRE | Trojan.Win32.Generic!SB.0 | 20130125 |
| ViRobot | Trojan.Win32.A.PSW-Magania.736616 | 20130125 |
상세 분석 내용
감염 PC에 대해서 운영체제 , CPU , 메모리 정보 , 하드디스크 정보를 수집 한다.
waveInOpen 함수를 호출 해서 사운드 디바이스를 열고 waveInPrepareHeader 함수와waveInAddBuffer 함수를 호출 해서 사운드에 필요한 버퍼의 헤더를 초기화하고 waveInStart 함수를 호출 해서 녹음을 시작한다.
Application,Security,System 악성코드에 대한 이벤트 로그를 삭제 한다.OpenEventLog 함수를
사용해서 해당 로그에 대한 핸들을 받아오고 Application, Security, System에 대한 이벤트 로그 핸들을 받고 ClearEventLog 함수를 통해서 로그 기록을 삭제 한다.
C&C 명령어를 통해서 동작 하며 OpenService 함수를 호출 하고 DeleteService 함수가 핸들을 받아서 서비스를 삭제 한다.
키보드 후킹을 통해서 키보드 내용을 C:\WINDOWS\system32\syslog.dat 파일로 저장하고 syslog.dat 파일은 암호화를 통해서 저장된다
C&C 서버의 소재지는 대한민국이다
'악성코드 분석' 카테고리의 다른 글
| a variant of Win32/Agent.OWQ (0) | 2013.01.31 |
|---|---|
| Backdoor/Win32.Torr (0) | 2013.01.31 |
| Trojan.Win32.Jorik.ZAccess.kid (0) | 2013.01.26 |
| Backdoor/Win32.Xyligan (0) | 2013.01.26 |
| Trojan/Win32.Scar (0) | 2013.01.26 |
