개요
악성코드 개요
Win-Trojan/Scar.109568.U 악성코드는 DDoS 공격 기능을 수행 하는 악성코드 이다
MD5:9e4c07617479e835d95cb72b33264d8e
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
O |
| ViRobot |
O |
<국내 주요 백신 결과>
VirusTotal 점검 내역
| Antivirus | Result | Update |
|---|---|---|
| Agnitum | Win32.Virut.AB.Gen | 20130201 |
| AhnLab-V3 | Win-Trojan/Scar.109568.U | 20130202 |
| AntiVir | W32/Virut.Gen | 20130202 |
| Antiy-AVL | - | 20130201 |
| Avast | Win32:Malware-gen | 20130202 |
| AVG | Generic_r.ZQ | 20130202 |
| BitDefender | Win32.Virtob.Gen.12 | 20130202 |
| ByteHero | - | 20130131 |
| CAT-QuickHeal | W32.Virut.G | 20130202 |
| ClamAV | Win.Trojan.Agent-140128 | 20130202 |
| Commtouch | W32/Virut.E.gen!Eldorado | 20130202 |
| Comodo | TrojWare.Win32.TrojanDownloader.Small.CO | 20130202 |
| DrWeb | Win32.Virut.56 | 20130202 |
| Emsisoft | Win32.Virtob.Gen.12 (B) | 20130202 |
| eSafe | - | 20130131 |
| ESET-NOD32 | Win32/Virut.NBP | 20130202 |
| F-Prot | W32/Virut.E.gen!Eldorado | 20130201 |
| F-Secure | Win32.Virtob.Gen.12 | 20130202 |
| Fortinet | W32/ServStart.AS!tr | 20130202 |
| GData | Win32.Virtob.Gen.12 | 20130202 |
| Ikarus | Trojan.Win32.ServStart | 20130202 |
| Jiangmin | Win32/Virut.bt | 20121221 |
| K7AntiVirus | Virus | 20130201 |
| Kaspersky | Virus.Win32.Virut.ce | 20130202 |
| Kingsoft | Win32.Virut.xc.368640 | 20130131 |
| Malwarebytes | Trojan.ServStart | 20130202 |
| McAfee | W32/Virut.n.gen | 20130202 |
| McAfee-GW-Edition | Heuristic.LooksLike.Win32.Suspicious.J!89 | 20130202 |
| Microsoft | DDoS:Win32/Nitol.A | 20130202 |
| MicroWorld-eScan | Win32.Virtob.Gen.12 | 20130202 |
| NANO-Antivirus | Trojan.Win32.MLW.dkinc | 20130202 |
| Norman | DLoader.AQFLH | 20130201 |
| nProtect | - | 20130201 |
| Panda | W32/Sality.AO | 20130201 |
| PCTools | Malware.Virut | 20130202 |
| Rising | Trojan.Nitol!434E | 20130201 |
| Sophos | Troj/Dloadr-DNE | 20130202 |
| SUPERAntiSpyware | Trojan.Agent/Gen-MSFake | 20130202 |
| Symantec | W32.Virut.CF | 20130202 |
| TheHacker | - | 20130131 |
| TotalDefense | Win32/Nitol.AI | 20130201 |
| TrendMicro | PE_VIRUX.S-2 | 20130202 |
| TrendMicro-HouseCall | PE_VIRUX.S-2 | 20130202 |
| VBA32 | Virus.Virut.14 | 20130201 |
| VIPRE | Virus.Win32.Virut.ce (v) | 20130202 |
| ViRobot | Win32.Virut.AL | 20130202 |
상세 분석 내용
C&C 서버는 국내 codns 서비스를 이용 하고 있으며 아이피 주소를 주소형태로 변경하는 서비스다.
악성코드 감염 PC에 대해서 운영체제 정보, CPU 정보, 메모리 정보, 컴퓨터 이름등을 탈취 한다.
C&C 서버 명령어에 의해서 동작 하며 외부에서 추가 파일을 다운로드 하는 기능을 가지고 있다. 악성 해커가 추가 감염을 시키기 위한 행위로 사용 한다.
DDoS 공격 기능 중 CC 공격의 일부로 moniattack 공격과 mnlinuxattack 공격을 가지고 있다.
C&C 서버의 소재지는 대한민국 이다
참고 URL
- http://ddos.arbornetworks.com/2010/09/another-family-of-ddos-bots-avzhan/
'악성코드 분석' 카테고리의 다른 글
| VirTool:Win32/Obfuscator.XZ (2) | 2013.02.05 |
|---|---|
| Dropper/Win32.Small (0) | 2013.02.03 |
| PAK_Generic.001 (0) | 2013.02.02 |
| Backdoor.Win32.Ircbot.gen (v) (1) | 2013.02.01 |
| VBDloader.O (0) | 2013.01.31 |
