개요
악성코드 개요
PAK_Generic.001 악성코드는 2012년도 국내에서 백신업체를 통해 접수된 악성코드 피해신고 가운데 가장 많이 피해 신고 접수가 된 악성코드로 온라인게임 계정을 탈취하는 악성 코드다. 특징으로 2013년 2월 1일 기준 국내 주요 백신에서 모두 미탐지 하고 있다.
MD5:1615782e5cc2abd5e35307cd93a59d6f
생성파일 정보 요약
|
파일 생성 정보 C:\Documents and Settings\사용자계정\Local Settings\Temp\Xnuyen321.exe (악성 파일) 레지스트리 정보 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows "AppInit_DLLs" C:\WINDOWS\system32\ws2help.dll |
<패킹 결과>
| AhnLab-V3 |
X |
| BitDefender(알약) |
X |
| nProtect |
X |
| ViRobot |
X |
<국내 주요 백신 결과>
VirusTotal 점검 내역
| Antivirus | Result | Update |
|---|---|---|
| Agnitum | Suspicious!SA | 20130201 |
| AhnLab-V3 | - | 20130201 |
| AntiVir | TR/Crypt.PEPM.Gen | 20130201 |
| Antiy-AVL | - | 20130201 |
| Avast | - | 20130201 |
| AVG | unknown virus Win32/DH{Bg} | 20130201 |
| BitDefender | - | 20130201 |
| ByteHero | - | 20130131 |
| CAT-QuickHeal | - | 20130201 |
| ClamAV | - | 20130131 |
| Commtouch | - | 20130201 |
| Comodo | - | 20130201 |
| DrWeb | - | 20130201 |
| Emsisoft | - | 20130201 |
| eSafe | Suspicious File | 20130131 |
| ESET-NOD32 | a variant of Win32/PSW.OnLineGames.QDE | 20130201 |
| F-Prot | - | 20130201 |
| F-Secure | - | 20130201 |
| Fortinet | - | 20130201 |
| GData | - | 20130201 |
| Ikarus | Backdoor.Win32.FlyAgent | 20130201 |
| Jiangmin | - | 20121221 |
| K7AntiVirus | - | 20130131 |
| Kaspersky | Trojan-GameThief.Win32.OnLineGames.ajlks | 20130201 |
| Kingsoft | - | 20130131 |
| Malwarebytes | - | 20130201 |
| McAfee | - | 20130201 |
| McAfee-GW-Edition | Heuristic.LooksLike.Win32.Suspicious.C | 20130201 |
| Microsoft | - | 20130201 |
| MicroWorld-eScan | - | 20130201 |
| NANO-Antivirus | - | 20130201 |
| Norman | Malware | 20130201 |
| nProtect | - | 20130201 |
| Panda | - | 20130201 |
| PCTools | HeurEngine.ZeroDayThreat | 20130201 |
| Rising | Suspicious | 20130201 |
| Sophos | - | 20130131 |
| SUPERAntiSpyware | - | 20130201 |
| Symantec | Suspicious.Emit | 20130201 |
| TheHacker | - | 20130131 |
| TotalDefense | Win32/Oflwr.A!crypt | 20130131 |
| TrendMicro | PAK_Generic.001 | 20130201 |
| TrendMicro-HouseCall | PAK_Generic.001 | 20130201 |
| VBA32 | TrojanPSW.OnLineGames.a | 20130201 |
| VIPRE | Trojan.Win32.Qhost.hb (v) | 20130201 |
| ViRobot | - | 20130201 |
상세 분석 내용
악성코드 실행 시 악성 파일을 생성 하며 파일은 80MB 파일로 용량을 높여서 백신 우회와 바이러스토탈 업로드를 방해 한다
악성 코드 행동분석을 위해서 시스템 모니터링툴을 감지 하며 FileMon,RegMon,Olidbg등 악성코드 분석에 필요한 툴에 대해서 악성코드 실행이전에 프로세스로 올라가 있다면 해당 악성코드는 메세지 박스를 호출 하고 실행을 중지한다.
악성코드가 변조한 ws2help.dll 파일은 DLL 인젝션 방법 중 레지스트리 조작으로 AppInit_DLLs 등록 하고 user32.dll 로딩하는 시스템의 모든 프로세스에 인젝션 한다.
악성코드는 백신 관련 프로세스의 실행을 방해 하기 위해서 백신 프로세스가 존재 시 강제로 종료 시킨다.
백신 무력화 동영상 으로 악성 해커는 국내 주요 백신에 대해서 강제 종료 시킨다.
iexplore.exe 프로세스에 악성 파일인 ws2help.dll 파일을 통해 사용자가 온라인 게임 사이트에 접속하여 로그인을 시도할 경우 악성 해커가 설정한 특정 주소로 계정 정보를 탈취 한다.
온라인 게임 계정을 탈취 하는 서버의 소재지는 미국 이다.
'악성코드 분석' 카테고리의 다른 글
| Dropper/Win32.Small (0) | 2013.02.03 |
|---|---|
| Win-Trojan/Scar.109568.U (1) | 2013.02.02 |
| Backdoor.Win32.Ircbot.gen (v) (1) | 2013.02.01 |
| VBDloader.O (0) | 2013.01.31 |
| HEUR:Trojan.Win32.Generic (1) | 2013.01.31 |
