개요
악성코드 개요
Backdoor/Win32.Yoddos 악성코드 DDoS 공격 기능을 수행 하는 악성코드 이다.
MD5:3b7a51cd946567af8e015fd04bc04003
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
O |
| ViRobot |
O |
<국내 주요 백신 결과>
VirusTotal 점검 내역
https://www.virustotal.com/file/3b7a51cd946567af8e015fd04bc04003/analysis/
| Antivirus | Result | Update |
|---|---|---|
| Agnitum | Backdoor.DR.Httpbot.AET | 20130127 |
| AhnLab-V3 | Backdoor/Win32.Yoddos | 20130127 |
| AntiVir | TR/ATRAPS.Gen | 20130127 |
| Antiy-AVL | - | 20130127 |
| Avast | Win32:Trojan-gen | 20130127 |
| AVG | DDoS.S | 20130127 |
| BitDefender | Trojan.Generic.8396299 | 20130127 |
| ByteHero | - | 20130123 |
| CAT-QuickHeal | Trojan.Yoddos | 20130127 |
| ClamAV | Trojan.Downloader-119580 | 20130127 |
| Commtouch | W32/QQhelper.C.gen!Eldorado | 20130126 |
| Comodo | UnclassifiedMalware | 20130127 |
| DrWeb | Trojan.DownLoad3.20055 | 20130127 |
| Emsisoft | MemScan:Trojan.Dropper.Agent.UZQ (B) | 20130124 |
| eSafe | Win32.Downloader | 20130127 |
| ESET-NOD32 | a variant of Win32/Farfli.AY | 20130127 |
| F-Prot | W32/QQhelper.C.gen!Eldorado | 20130126 |
| F-Secure | Trojan.Generic.8396299 | 20130127 |
| Fortinet | - | 20130127 |
| GData | Trojan.Generic.8396299 | 20130127 |
| Ikarus | Trojan.Win32.SystemHijack | 20130127 |
| Jiangmin | Trojan/Generic.awtds | 20121221 |
| K7AntiVirus | Riskware | 20130125 |
| Kaspersky | Backdoor.Win32.Yoddos.aht | 20130127 |
| Kingsoft | Win32.Hack.Undef.(kcloud) | 20130121 |
| Malwarebytes | Trojan.Backdoor | 20130127 |
| McAfee | Artemis!3B7A51CD9465 | 20130127 |
| McAfee-GW-Edition | Heuristic.BehavesLike.Win32.Suspicious-PKR.K | 20130127 |
| Microsoft | Trojan:Win32/Yoddos.A | 20130127 |
| MicroWorld-eScan | Trojan.Generic.8396299 | 20130127 |
| NANO-Antivirus | Trojan.Win32.Darkshell.bcbsib | 20130127 |
| Norman | Crypt.BFWJ | 20130127 |
| nProtect | Trojan-Dropper/W32.Agent.99328.ES | 20130127 |
| Panda | Trj/OCJ.C | 20130127 |
| PCTools | Malware.Popwin | 20130127 |
| Rising | Trojan.Farfli!4886 | 20130125 |
| Sophos | Troj/Mdrop-CPV | 20130127 |
| SUPERAntiSpyware | - | 20130127 |
| Symantec | W32.Popwin | 20130127 |
| TheHacker | Trojan/Farfli.ay | 20130125 |
| TotalDefense | Win32/Yoddos.B | 20130127 |
| TrendMicro | TROJ_GEN.FC2CKKI | 20130127 |
| TrendMicro-HouseCall | TROJ_GEN.RCBOHKO | 20130127 |
| VBA32 | SScope.Trojan-Inject.Agent.01084 | 20130125 |
| VIPRE | Trojan.Win32.Generic!BT | 20130127 |
| ViRobot | Dropper.Agent.99328.J | 20130127 |
상세 분석 내용
악성코드 실행 시 3개의 악성 파일을 생성 하며 프로세스를 생성 하고 동작 한다.
생성된 3개의 악성코드의 MD5 값을 체크해서 무결성을 확인 결과 3개의 파일은 모두 다른 파일 이며 중요한것은 3개의 악성 파일의 파일 사이즈가 모두 동일한 것으로 보아 일정 부분(C&C 서버 주소)의 코드를 변경 하고 동일한 구조를 가진 악성코드로 추정 된다.
감염 PC에 대해서 운영체제 정보, CPU 정보, 메모리 정보 , OS 언어 정보를 탈취 한다.
C&C 서버 명령어를 통해서 외부로 부터 파일을 다운로드 하는 기능을 가지고 있다.
다양한 DDoS 공격 기능중 HTTP Get Flooding 공격을 가지고 있다.
C&C 서버의 소재지는 미국 이다
참고 URL
- http://malwr.com/analysis/3b7a51cd946567af8e015fd04bc04003/
'악성코드 분석' 카테고리의 다른 글
| PWS:Win32/OnLineGames.KQ (0) | 2013.01.31 |
|---|---|
| Trojan/Win32.CSon (0) | 2013.01.31 |
| a variant of Win32/Agent.OWQ (0) | 2013.01.31 |
| Backdoor/Win32.Torr (0) | 2013.01.31 |
| Dropper/Win32.PcClient (0) | 2013.01.26 |
