개요
악성코드 개요
VBDloader.O 악성코드는 정상 파일로 위장한 다운로더형 악성코드로 악성코드 실행 시 악성 파일을 추가로 다운로드 하여 감염 시킨다. 추가로 다운로드 악성 파일은 DDoS 공격 기능을 수행하는 악성 코드다
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
X |
| BitDefender(알약) |
O |
| nProtect |
X |
| ViRobot |
X |
<국내 주요 백신 결과>
감영증상 요약
설명
VirusTotal 점검 내역
| Antivirus | Result | Update |
|---|---|---|
| Agnitum | - | 20130130 |
| AhnLab-V3 | - | 20130130 |
| AntiVir | TR/Dropper.Gen5 | 20130130 |
| Antiy-AVL | - | 20130130 |
| Avast | - | 20130130 |
| AVG | Downloader.Rozena | 20130130 |
| BitDefender | Gen:Trojan.Downloader.im0@ay4q34iG | 20130130 |
| ByteHero | - | 20130123 |
| CAT-QuickHeal | - | 20130130 |
| ClamAV | - | 20130130 |
| Commtouch | - | 20130130 |
| Comodo | UnclassifiedMalware | 20130130 |
| DrWeb | Trojan.DownLoader7.27072 | 20130130 |
| Emsisoft | Trojan.Downloader.Win32.AMN (A) | 20130130 |
| eSafe | - | 20130127 |
| ESET-NOD32 | - | 20130130 |
| F-Prot | - | 20130130 |
| F-Secure | Gen:Trojan.Downloader.im0@ay4q34iG | 20130130 |
| Fortinet | W32/Downloader_x.GNH!tr | 20130130 |
| GData | Gen:Trojan.Downloader.im0@ay4q34iG | 20130130 |
| Ikarus | Gen.Trojan-Downloader | 20130130 |
| Jiangmin | - | 20121221 |
| K7AntiVirus | Riskware | 20130129 |
| Kaspersky | HEUR:Trojan-Downloader.Win32.Generic | 20130130 |
| Kingsoft | Win32.Troj.Undef.(kcloud) | 20130121 |
| Malwarebytes | - | 20130130 |
| McAfee | Generic Downloader.x!gnh | 20130130 |
| McAfee-GW-Edition | Generic Downloader.x!gnh | 20130130 |
| Microsoft | - | 20130130 |
| MicroWorld-eScan | Gen:Trojan.Downloader.im0@ay4q34iG | 20130130 |
| NANO-Antivirus | - | 20130130 |
| Norman | VBDloader.O | 20130130 |
| nProtect | - | 20130130 |
| Panda | - | 20130130 |
| PCTools | Downloader.Generic | 20130130 |
| Rising | - | 20130130 |
| Sophos | - | 20130130 |
| SUPERAntiSpyware | - | 20130130 |
| Symantec | Downloader | 20130130 |
| TheHacker | - | 20130129 |
| TotalDefense | - | 20130130 |
| TrendMicro | TROJ_GEN.RCBCELN | 20130130 |
| TrendMicro-HouseCall | TROJ_GEN.RCBCELN | 20130130 |
| VBA32 | - | 20130129 |
| VIPRE | LooksLike.Win32.Beebone.a (v) | 20130130 |
| ViRobot | - | 20130130 |
상세 분석 내용
악성 해커는 악성코드 감염을 위해서 네이버를 통해서 정상 파일로 위장해서 악성코드를 유포 하고 있다.
악성코드는 실행 시 정상적인 뮤직 플레이어로 위장 하고 있으며 별도로 추가로 악성 파일(Update.exe)을 다운로드 하고 감염 시킨다. 악성 코드의 유포지로 호스팅 서비스를 제공 하는 닷홈의 무료 호스팅 서비스를 이용 해서 악성코드를 유포 하고 있다.
악성코드는 감염 PC 에 대해서 운영체제 정보, CPU 정보, 메모리 정보등을 탈취 하며 "Vip2010-0818" 부분 문자열은 악성코드 빌더 관련 문자열로 추정 되며 2010년 제작한 악성코드 빌더를 통해서 제작한것으로 추정 된다.
C&C 서버의 명령어에 따라서 외부 사이트에서 추가로 악성코드를 다운로드 하는 기능을 가지고 있다.
다양한 DDoS 공격 기능 중 CC 공격의 일부로 moniattack 공격과 mnlinuxattack 공격 기능을 가지고 있다.
C&C 서버는 국내 codns 서비스를 이용 하고 있으며 아이피 주소를 주소형태로 변경하는 서비스다.
C&C 서버의 소재지는 대한민국이다
참고 URL
- http://ddos.arbornetworks.com/2010/09/another-family-of-ddos-bots-avzhan/
'악성코드 분석' 카테고리의 다른 글
| PAK_Generic.001 (0) | 2013.02.02 |
|---|---|
| Backdoor.Win32.Ircbot.gen (v) (1) | 2013.02.01 |
| HEUR:Trojan.Win32.Generic (1) | 2013.01.31 |
| PWS:Win32/OnLineGames.KQ (0) | 2013.01.31 |
| Trojan/Win32.CSon (0) | 2013.01.31 |
