개요
악성코드 개요
Trojan/Win32.CSon 악성코드는 DDoS 공격 기능을 수행 하는 악성코드이다
MD5:72acaa947ec66b9b1af8b5ba4b7d9163
생성파일 정보 요약
|
파일 생성 정보
C:\WINDOWS\system32\WinHelps32.exe
생성 레지스트리 정보
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinHelps32 |
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
O |
| ViRobot |
O |
<국내 주요 백신 결과>
감영증상 요약
설명
VirusTotal 점검 내역
https://www.virustotal.com/file/72acaa947ec66b9b1af8b5ba4b7d9163/analysis/
| Antivirus | Result | Update |
|---|---|---|
| Agnitum | Trojan.DR.Agent!foMEPGq8WEI | 20130128 |
| AhnLab-V3 | Trojan/Win32.CSon | 20130128 |
| AntiVir | TR/ATRAPS.Gen | 20130128 |
| Antiy-AVL | - | 20130128 |
| Avast | Win32:Trojan-gen | 20130128 |
| AVG | Dropper.Agent.RCT | 20130128 |
| BitDefender | Trojan.Dropper.Agent.UZQ | 20130128 |
| ByteHero | Virus.Win32.Part.c | 20130123 |
| CAT-QuickHeal | Backdoor.Darkshell | 20130128 |
| ClamAV | Trojan.Downloader-119580 | 20130128 |
| Commtouch | W32/QQhelper.C.gen!Eldorado | 20130128 |
| Comodo | TrojWare.Win32.TrojanDownloader.Small.DG | 20130128 |
| DrWeb | BackDoor.Darkshell.246 | 20130128 |
| Emsisoft | Backdoor.Win32.Yoddos.AMN (A) | 20130124 |
| eSafe | - | 20130127 |
| ESET-NOD32 | a variant of Win32/Farfli.AY | 20130128 |
| F-Prot | W32/QQhelper.C.gen!Eldorado | 20130128 |
| F-Secure | Trojan:W32/SystemHijack.B | 20130129 |
| Fortinet | W32/Agent.AWE!tr | 20130128 |
| GData | Trojan.Dropper.Agent.UZQ | 20130128 |
| Ikarus | Trojan.Win32.SystemHijack | 20130128 |
| Jiangmin | TrojanDropper.Agent.abzo | 20121221 |
| K7AntiVirus | Trojan | 20130128 |
| Kaspersky | Backdoor.Win32.Yoddos.an | 20130129 |
| Kingsoft | Win32.TrojDownloader.jf.(kcloud) | 20130121 |
| Malwarebytes | Trojan.Downloader.Gen | 20130129 |
| McAfee | BackDoor-DKA | 20130128 |
| McAfee-GW-Edition | Heuristic.BehavesLike.Win32.Backdoor.H | 20130128 |
| Microsoft | Trojan:Win32/Yoddos.A | 20130128 |
| MicroWorld-eScan | Trojan.Dropper.Agent.UZQ | 20130128 |
| NANO-Antivirus | Trojan.Win32.Darkshell.bcbsib | 20130128 |
| Norman | Crypt.BFWJ | 20130128 |
| nProtect | Trojan-Downloader/W32.Agent.31744.CX | 20130128 |
| Panda | W32/P2PWorm.QD.worm | 20130128 |
| PCTools | Downloader.Generic | 20130128 |
| Rising | Trojan.Win32.Generic.128887CC | 20130125 |
| Sophos | Troj/Mdrop-CPV | 20130128 |
| SUPERAntiSpyware | Trojan.Agent/Gen-SystemHijack | 20130128 |
| Symantec | Downloader | 20130128 |
| TheHacker | Backdoor/Httpbot.xl | 20130128 |
| TotalDefense | Win32/Yoddos.B | 20130128 |
| TrendMicro | TROJ_SPNR.03L312 | 20130129 |
| TrendMicro-HouseCall | TROJ_SPNR.03L312 | 20130128 |
| VBA32 | SScope.Trojan-Inject.Agent.01084 | 20130128 |
| VIPRE | Trojan.Win32.Agent.nwm (v) | 20130128 |
| ViRobot | Dropper.Agent.31744.I | 20130128 |
상세 분석 내용
악성코드 실행 후 CopyFile 함수를 호출 해서 C:\WINDOWS\system32\WinHelps32.exe 악성 파일을 생성 한다. 그리고 생성된 악성 파일은 SetFileAttributes 함수를 호출 해서 파일 속성을 숨김으로 변경 한다. ShellExecute 함수를 호출 해서 악성코드를 실행 시킨다.
C&C 서버 주소는 인코딩 되어 있으며 004023E1 함수를 호출 해서 디코딩 한다. 디코딩 후 C&C 서버로 연결 요청 한다.
C&C 서버 명령어에 의해서 외부 에서 파일을 다운로드 하는 기능을 가지고 있다.
DDoS 공격 기능중 ICMPFlood 공격 기능과 HTTPGetFlood 기능을 가지고 있으며 다양한 DDoS 공격 기능을 가지고 있다.
'악성코드 분석' 카테고리의 다른 글
| HEUR:Trojan.Win32.Generic (1) | 2013.01.31 |
|---|---|
| PWS:Win32/OnLineGames.KQ (0) | 2013.01.31 |
| Backdoor/Win32.Yoddos (0) | 2013.01.31 |
| a variant of Win32/Agent.OWQ (0) | 2013.01.31 |
| Backdoor/Win32.Torr (0) | 2013.01.31 |
