개요
악성코드 개요
a variant of Win32/Agent.OWQ 악성코드는 Enigma Protector로 보호 하고 있으며 이를 이용해서 백신 탐지를 우회 하고 있다. 악성코드는 DDoS 공격 기능과 추가적인 악성 행위를 수행 하는 악성코드다
MD5:9d7ed083cced55f672f1c70e9bb712aa
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
X |
| ViRobot |
X |
<국내 주요 백신 결과>
감영증상 요약
설명
VirusTotal 점검 내역
| Antivirus | Result | Update |
|---|---|---|
| Agnitum | - | 20130127 |
| AhnLab-V3 | Packed/Win32.Morphine | 20130127 |
| AntiVir | TR/Crypt.XPACK.Gen | 20130127 |
| Antiy-AVL | - | 20130127 |
| Avast | Win32:Malware-gen | 20130128 |
| AVG | Agent4.WHM | 20130128 |
| BitDefender | Gen:Trojan.Heur.GM.0004430100 | 20130128 |
| ByteHero | - | 20130126 |
| CAT-QuickHeal | - | 20130128 |
| ClamAV | - | 20130127 |
| Commtouch | - | 20130126 |
| Comodo | - | 20130128 |
| DrWeb | - | 20130128 |
| Emsisoft | Gen:Trojan.Heur.GM.0004430100 (B) | 20130124 |
| eSafe | - | 20130127 |
| ESET-NOD32 | a variant of Win32/Agent.OWQ | 20130127 |
| F-Prot | - | 20130126 |
| Fortinet | - | 20130128 |
| GData | Gen:Trojan.Heur.GM.0004430100 | 20130128 |
| Ikarus | Trojan.Win32.VBKrypt | 20130128 |
| Jiangmin | - | 20121221 |
| K7AntiVirus | - | 20130125 |
| Kaspersky | UDS:DangerousObject.Multi.Generic | 20130127 |
| Kingsoft | - | 20130121 |
| Malwarebytes | - | 20130128 |
| McAfee | Artemis!9D7ED083CCED | 20130128 |
| McAfee-GW-Edition | Heuristic.LooksLike.Win32.Suspicious.F | 20130128 |
| Microsoft | Backdoor:Win32/Jukbot.B | 20130128 |
| MicroWorld-eScan | Gen:Trojan.Heur.GM.0004430100 | 20130128 |
| NANO-Antivirus | - | 20130128 |
| Norman | - | 20130127 |
| nProtect | - | 20130127 |
| Panda | Trj/Genetic.gen | 20130127 |
| PCTools | - | 20130128 |
| Rising | - | 20130125 |
| Sophos | Mal/EncPk-PQ | 20130128 |
| SUPERAntiSpyware | Trojan.Agent/Gen-Krypted | 20130127 |
| Symantec | Suspicious.MH690.A | 20130128 |
| TheHacker | - | 20130125 |
| TotalDefense | - | 20130127 |
| TrendMicro | TROJ_GEN.R47CDAR | 20130128 |
| TrendMicro-HouseCall | TROJ_GEN.R47CDAR | 20130128 |
| VBA32 | BScope.Trojan.Win32.Inject.2 | 20130125 |
| VIPRE | Trojan.Win32.Generic!BT | 20130128 |
| ViRobot | - | 20130128 |
상세 분석 내용
C&C 서버는 국내 codns 서비스를 이용 하고 있으며 아이피 주소를 주소형태로 변경하는 서비스다.
00402F3E 주소에서 00401100 함수를 호출 한다. 00401100 주소에서 00401150 함수를 호출한다. 00401150 함수에서 감염 PC에 대해서 운영체제 정보, CPU 정보, 메모리 정보, 캠 존재 여부에 대해서 C&C 서버로 정보를 탈취 한다.
악성코드의 캠 도청 기능으로 capCreateCaptureWindow 함수를 호출 해서 캡쳐 윈도우를 생성한다. C&C 서버에서 capDrivaerConnec 함수를 호출 하고 캡쳐 드라이브와 캡쳐 윈도우를 연결 한다.
DDoS 공격 기능 중 CC Attack 공격을 가지고 있으며 HTTP User-Agent 헤더 부분에 Cache-Control: no-store, must-revalidate 의 값을 추가하여 공격 하는 방식이다.
'악성코드 분석' 카테고리의 다른 글
| Trojan/Win32.CSon (0) | 2013.01.31 |
|---|---|
| Backdoor/Win32.Yoddos (0) | 2013.01.31 |
| Backdoor/Win32.Torr (0) | 2013.01.31 |
| Dropper/Win32.PcClient (0) | 2013.01.26 |
| Trojan.Win32.Jorik.ZAccess.kid (0) | 2013.01.26 |
