Backdoor/Win32.Torr

개요

악성코드 개요

Backdoor/Win32.Torr 악성코드는 정상 svchost.exe 파일에 DLL 인젝션 해서 동작 하며 악성 DLL 파일은 도청 기능과 다양한 악성 기능을 가지고 있다.

MD5:a6d44dd5b5842ddfad70fb9d7931f99c

생성파일 정보 요약

파일 생성 정보 C:\Documents and Settings\All Users\DRM\Drivermgr.dll 생성 레지스트리 정보 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Device Manager\Parameters C:\Documents and Settings\All Users\DRM\Drivermgr.dll HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Device Manager C:\%SystemRoot%\System32\svchost.exe -k netsvcs

 

<패킹 결과>

AhnLab-V3	O
BitDefender(알약)	O
nProtect	O
ViRobot	O

<국내 주요 백신 결과>

VirusTotal 점검 내역

https://www.virustotal.com/file/a6d44dd5b5842ddfad70fb9d7931f99c/analysis/

Antivirus	Result	Update
Agnitum	Trojan.Redosdru.Gen	20130124
AhnLab-V3	Backdoor/Win32.Torr	20130124
AntiVir	TR/Spy.Gen	20130124
Antiy-AVL	-	20130124
Avast	Win32:OnLineGames-GJV [Trj]	20130124
AVG	BackDoor.Generic_r.ZL	20130124
BitDefender	Gen:Variant.Graftor.30821	20130124
ByteHero	-	20130123
CAT-QuickHeal	Backdoor.Farfli	20130124
ClamAV	-	20130124
Commtouch	W32/Backdoor.R.gen!Eldorado	20130124
Comodo	TrojWare.Win32.GameThief.Magania.~TST	20130124
DrWeb	Trojan.DownLoader5.42727	20130124
Emsisoft	Gen:Variant.Graftor.30821 (B)	20130124
ESET-NOD32	a variant of Win32/Farfli.LG	20130124
F-Prot	W32/Backdoor.R.gen!Eldorado	20130124
F-Secure	Gen:Variant.Graftor.30821	20130124
Fortinet	W32/Torr.BH!tr.bdr	20130124
GData	Gen:Variant.Graftor.30821	20130124
Ikarus	Backdoor.Win32.Dedipros	20130124
Jiangmin	Trojan/PSW.Magania.baug	20121221
K7AntiVirus	Riskware	20130124
Kaspersky	HEUR:Trojan.Win32.Generic	20130124
Kingsoft	Win32.Troj.DialerT.nh.(kcloud)	20130121
Malwarebytes	Trojan.OnlineGames	20130124
McAfee	Artemis!A6D44DD5B584	20130124
McAfee-GW-Edition	Artemis!A6D44DD5B584	20130124
Microsoft	Backdoor:Win32/Farfli.K	20130124
MicroWorld-eScan	Gen:Variant.Graftor.30821	20130124
NANO-Antivirus	Trojan.Win32.MLW.dvfhu	20130124
Norman	OnLineGames.LSZF	20130124
nProtect	Backdoor/W32.Torr.87040.D	20130124
Panda	Trj/Lineage.EGB	20130124
PCTools	Trojan-PSW.Gampass	20130124
Rising	Backdoor.Farfli!4805	20130124
Sophos	Troj/Zegost-AC	20130124
SUPERAntiSpyware	-	20130124
Symantec	Infostealer.Gampass	20130124
TheHacker	Posible_Worm32	20130124
TotalDefense	Win32/Zegost.B!generic	20130124
TrendMicro	TROJ_GEN.RCBOCI8	20130124
TrendMicro-HouseCall	BKDR_INJECT.SMJ	20130124
VBA32	BScope.Trojan.SvcHorse.01643	20130124
VIPRE	Backdoor.Win32.Farfli.A (v)	20130124
ViRobot	Backdoor.Win32.A.Torr.59904[UPX]	20130124

상세 분석 내용

악성코드는 소우거우(www.sogou.com)에서 제작한 병음 입력기로 위장 하고 있다.

fopen 함수를 호출 해서 악성 파일을 생성 하며 파일이 존재 한다면 기존 내용을 지운다. fwrite 함수를 호출 해서 생성된 악성 파일에 데이터 쓰기를 시작한다.

생성된 DLL 파일은 독립 실행이 불가능 하며 호출을 통해서 동작 한다. 악성 DLL 파일을 동작 시키기 위해서 정상적인 svchost.exe 파일을 서비스로 등록 하고 악성 파일은 svchost.exe 프로세스 인젝션 해서 동작한다.

rasphone.pbk 파일로 부터 PhoneNumber, DialParamsUID, Device 등의 정보를 탈취 한다. rasphone.pbk 파일은 모뎀이 사용하는 설정 파일로 시스템에 모델이 설치되어 있지 않으면 해당 파일도 존재 하지 않는다.

악성코드 감염 시 C&C 명령어에 의해서 원격 터미널 서비스 레지스트리를 조작 한다. 악성코드를 제작자는 윈도우 구조에 대한 깊은 이해를 가지고 있는것으로 추정 된다.

SYSTEM\CurrentControlSet\TerminalServer "fDenyTSConnections"

원격 터미널 서비스 조작 하는 레지스트리 부분이며 "fDenyTSConnections" 값을 조작 한다. "fDenyTSConnections" 값은 원격 데스크톱 연결 허용 부분에 해당 하며 레지스트리 조작 이전 "1" 허용 안함 이지만 악성코드에 의해서 "0" 허용함 으로 변경 한다.

악성코드의 캠 도청 기능으로 capCreateCaptureWindow 함수를 호출 해서 캡쳐 윈도우를 생성한다. C&C 서버에서 capDrivaerConnec 함수를 호출 하고 캡쳐 드라이브와 캡쳐 윈도우를 연결 한다.

waveInOpen 함수를 호출 해서 사운드 디바이스를 열고 waveInPrepareHeader 함수와waveInAddBuffer 함수를 호출 해서 사운드에 필요한 버퍼의 헤더를 초기화하고 waveInStart 함수를 호출 해서 녹음을 시작한다.

Application,Security,System 이벤트 로그를 삭제 한다.OpenEventLog 함수를

사용해서 해당 로그에 대한 핸들을 받아오고 Application, Security, System에 대한 이벤트 로그 핸들을 받고 ClearEventLog 함수를 통해서 로그 기록을 삭제 한다.

C&C 서버의 소재지는 중국이다

참고 URL

- http://malwr.com/analysis/a6d44dd5b5842ddfad70fb9d7931f99c/

- http://www.it2down.com/it-vc-mfc/122639.htm