개요
악성코드 개요
Dropper/Win32.Small 악성코드는 DDoS 공격 기능을 수행 하는 악성 코드다
MD5:B0F0BF12D013A4412DA2A44E77C100E8
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
O |
| ViRobot |
O |
<국내 주요 백신 결과>
VirusTotal 점검 내역
| Antivirus | Result | Update |
|---|---|---|
| Agnitum | Trojan.Dropper | 20130202 |
| AhnLab-V3 | Dropper/Win32.Small | 20130202 |
| AntiVir | TR/Crypt.XPACK.Gen | 20130202 |
| Antiy-AVL | - | 20130202 |
| Avast | Win32:Rootkit-gen [Rtk] | 20130203 |
| AVG | Dropper.Small.BS | 20130202 |
| BitDefender | Trojan.Dropper.Win32.Small.P | 20130203 |
| ByteHero | - | 20130131 |
| CAT-QuickHeal | - | 20130202 |
| ClamAV | Trojan.Dropper-2584 | 20130203 |
| Commtouch | W32/Dropper.ITM | 20130202 |
| Comodo | TrojWare.Win32.TrojanDropper.Small.P | 20130203 |
| DrWeb | Trojan.MulDrop.80 | 20130203 |
| Emsisoft | Trojan.Dropper.Win32.Small.P (B) | 20130203 |
| eSafe | - | 20130131 |
| ESET-NOD32 | Win32/TrojanDropper.Small.P | 20130202 |
| F-Prot | W32/Dropper.ITM | 20130201 |
| F-Secure | Trojan.Dropper.Win32.Small.P | 20130202 |
| Fortinet | W32/Small.P!tr | 20130203 |
| GData | Trojan.Dropper.Win32.Small.P | 20130203 |
| Ikarus | Trojan-Dropper.Win32.Small | 20130202 |
| Jiangmin | TrojanDropper.Win32.Small.p | 20121221 |
| K7AntiVirus | Trojan | 20130201 |
| Kaspersky | Trojan-Dropper.Win32.Small.p | 20130202 |
| Kingsoft | Win32.Troj.Small.p.(kcloud) | 20130131 |
| Malwarebytes | - | 20130202 |
| McAfee | MultiDropper-CI.gen | 20130203 |
| McAfee-GW-Edition | MultiDropper-CI.gen | 20130202 |
| Microsoft | Virus:Win32/Funlove.dr | 20130203 |
| MicroWorld-eScan | Trojan.Dropper.Win32.Small.P | 20130203 |
| NANO-Antivirus | Trojan.Win32.Netbus.gnol | 20130202 |
| Norman | Smalltroj.AAPDL | 20130202 |
| nProtect | Trojan.Dropper.Win32.Small.P | 20130201 |
| Panda | - | 20130202 |
| PCTools | - | 20130203 |
| Rising | Trojan.Win32.Funlove.c | 20130201 |
| Sophos | Mal/Generic-E | 20130202 |
| SUPERAntiSpyware | - | 20130202 |
| Symantec | - | 20130203 |
| TheHacker | Trojan/Dropper.Small.p | 20130202 |
| TotalDefense | Win32/Small.P | 20130201 |
| TrendMicro | TROJ_SMALL.SMJ1 | 20130203 |
| TrendMicro-HouseCall | TROJ_SMALL.SMJ1 | 20130202 |
| VBA32 | Trojan-Dropper.Win32.Small.p | 20130201 |
| VIPRE | Trojan-Dropper.Win32.Small.p (v) | 20130203 |
| ViRobot | Trojan.Win32.Small.577024 | 20130202 |
상세 분석 내용
악성 코드의 파일 속성을 살펴보면 파이어폭스 파일로 위장 하고 있으며 파일 크기를 늘려서 백신 우회를 위한 것으로 추정 되며 악성코드 실행 이후 svchost.exe 코드 인젝션으로 작동 한다.
악성코드 감염 PC에 대해서 운영체제 정보, CPU 정보, 메모리 정보를 탈취 한다.
C&C 서버 명령어에 의해서 동작 하며 악성코드 추가 감염을 위해서 추가 다운로드 기능을 가지고 있다.
C&C 서버는 국내 codns 서비스를 이용 하고 있으며 codns 서비스는 아이피 주소를 주소형태로 변경하는 서비스다.
다양한 DDoS 공격 기능중 HTTP Get Flooding 공격을 가지고 있다.
악성코드 메모리 부분에 특정 문자열이 존재 하며 이를 근거로 추적을 통해서 악성코드 빌더를 추정할수 있다.
악성 해커는 DarkShell 이라는 악성코드 빌더를 통해서 악성코드를 제작 한 것으로 추정 되며 감염 PC에 대한 정보 탈취와 여러가지 DDoS 공격 기능을 수행 한다.
C&C 서버의 소재지는 대한민국 이다
'악성코드 분석' 카테고리의 다른 글
| Virus:Win32/Funlove.dr (0) | 2013.02.06 |
|---|---|
| VirTool:Win32/Obfuscator.XZ (2) | 2013.02.05 |
| Win-Trojan/Scar.109568.U (1) | 2013.02.02 |
| PAK_Generic.001 (0) | 2013.02.02 |
| Backdoor.Win32.Ircbot.gen (v) (1) | 2013.02.01 |
