개요
악성코드 개요
Backdoor.Win32.Ircbot.gen (v) 악성코드는 Themida protector 툴을 사용 해서 백신 우회와 악성코드 분석을 방해 하고 있으며 Themida protector 툴에 의해서 보호 하고 있는 악성코드는 DDoS 공격기능을 수행하는 악성코드다
MD5:368151089de0af541731f5236dda731a
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
X |
| ViRobot |
X |
<국내 주요 백신 결과>
VirusTotal 점검 내역
| Antivirus | Result | Update |
|---|---|---|
| Agnitum | Suspicious!SA | 20130131 |
| AhnLab-V3 | Malware/Win32.Suspicious | 20130131 |
| AntiVir | TR/Crypt.TPM.Gen | 20130131 |
| Antiy-AVL | - | 20130131 |
| Avast | - | 20130201 |
| AVG | - | 20130131 |
| BitDefender | Gen:Variant.Zusy.21953 | 20130201 |
| ByteHero | - | 20130131 |
| CAT-QuickHeal | (Suspicious) - DNAScan | 20130131 |
| ClamAV | - | 20130131 |
| Commtouch | - | 20130201 |
| Comodo | - | 20130201 |
| DrWeb | - | 20130201 |
| Emsisoft | Gen:Trojan.Heur.JP.RyWaaiq9oYp (B) | 20130201 |
| eSafe | - | 20130131 |
| ESET-NOD32 | a variant of Win32/Packed.Themida | 20130131 |
| F-Prot | - | 20130201 |
| F-Secure | Gen:Variant.Zusy.21953 | 20130201 |
| Fortinet | - | 20130201 |
| GData | Gen:Variant.Zusy.21953 | 20130201 |
| Ikarus | Trojan.Win32.Spy | 20130201 |
| Jiangmin | - | 20121221 |
| K7AntiVirus | - | 20130131 |
| Kaspersky | HEUR:Trojan.Win32.Generic | 20130201 |
| Kingsoft | - | 20130131 |
| Malwarebytes | Trojan.Agent.cn | 20130131 |
| McAfee | - | 20130201 |
| McAfee-GW-Edition | Heuristic.LooksLike.Win32.Suspicious.F | 20130201 |
| Microsoft | - | 20130131 |
| MicroWorld-eScan | Gen:Variant.Zusy.21953 | 20130201 |
| NANO-Antivirus | - | 20130201 |
| Norman | - | 20130131 |
| nProtect | - | 20130131 |
| Panda | Trj/Thed.A | 20130131 |
| PCTools | Trojan.Gen | 20130201 |
| Rising | - | 20130131 |
| Sophos | Mal/EncPk-PQ | 20130131 |
| SUPERAntiSpyware | Trojan.Agent/Gen-Krypted | 20130201 |
| Symantec | Trojan.Gen | 20130201 |
| TheHacker | - | 20130131 |
| TotalDefense | - | 20130131 |
| TrendMicro | - | 20130201 |
| TrendMicro-HouseCall | - | 20130201 |
| VBA32 | - | 20130131 |
| VIPRE | Backdoor.Win32.Ircbot.gen (v) | 20130201 |
| ViRobot | - | 20130131 |
상세 분석 내용
악성코드 행동분석을 위해서 모니터링 도구를 실행 후 악성코드 실행 시 모니터링 프로그램을 탐지 하고 경고 메세지를 호출 하며 악성코드 실행을 중지 한다.
악성코드는 서비스를 등록 하고 시스템 재부팅 시 악성코드를 자동 실행 한다. 그 후 CMD 명령어를 사용 해서 악성코드 원본을 삭제 한다.
C&C 명령어에 의해서 동작 하는 기능으로 악성코드 감염 시 바로 동작 하지 않으며 C&C 서버에서 특정 명령어를 입력 시 외부 사이트에서 파일을 다운로드 하는 기능을 가지고 있다.
악성코드 감염 PC에 대해서 감염 PC 운영체제 정보, CPU 정보, 메모리 정보, 캠 존재 여부등을 C&C 서버로 탈취 한다.
C&C 서버는 국내 APMSETUP 서비스를 이용 하고 있으며 지속적으로 연결 요청 한다.
악성코드의 캠 도청 기능으로 capCreateCaptureWindow 함수를 호출 해서 캡쳐 윈도우를 생성한다. C&C 서버에서 capDrivaerConnec 함수를 호출 하고 캡쳐 드라이브와 캡쳐 윈도우를 연결 한다.
DDoS 공격 기능 중 CC Attack 공격을 가지고 있으며 HTTP User-Agent 헤더 부분에 Cache-Control: no-store, must-revalidate 의 값을 추가하여 공격 하는 방식이다.
C&C 서버의 소재지는 대한민국 이다
참고 URL
- http://malwr.com/analysis/368151089de0af541731f5236dda731a/
'악성코드 분석' 카테고리의 다른 글
| Win-Trojan/Scar.109568.U (1) | 2013.02.02 |
|---|---|
| PAK_Generic.001 (0) | 2013.02.02 |
| VBDloader.O (0) | 2013.01.31 |
| HEUR:Trojan.Win32.Generic (1) | 2013.01.31 |
| PWS:Win32/OnLineGames.KQ (0) | 2013.01.31 |
