개요
악성코드 개요
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
X |
| BitDefender(알약) |
O |
| nProtect |
O |
| ViRobot |
X |
VirusTotal 점검 내역
| Antivirus | Result | Update |
|---|---|---|
| Agnitum | Suspicious!SA | 20130204 |
| AhnLab-V3 | - | 20130204 |
| AntiVir | TR/Dropper.Gen | 20130204 |
| Antiy-AVL | - | 20130204 |
| Avast | Win32:Malware-gen | 20130205 |
| AVG | Agent4.DJY | 20130204 |
| BitDefender | Gen:Trojan.Heur.KS.2 | 20130205 |
| ByteHero | - | 20130204 |
| CAT-QuickHeal | (Suspicious) - DNAScan | 20130204 |
| ClamAV | - | 20130205 |
| Commtouch | - | 20130204 |
| Comodo | - | 20130204 |
| DrWeb | BackDoor.Siggen.42897 | 20130205 |
| Emsisoft | Gen:Trojan.Heur.KS.2 (B) | 20130205 |
| eSafe | Suspicious File | 20130204 |
| ESET-NOD32 | a variant of Win32/Kryptik.BHP | 20130204 |
| F-Prot | - | 20130201 |
| F-Secure | Gen:Trojan.Heur.KS.2 | 20130204 |
| Fortinet | - | 20130205 |
| GData | Gen:Trojan.Heur.KS.2 | 20130205 |
| Ikarus | Trojan.Crypt | 20130204 |
| Jiangmin | Trojan/Generic.azgfb | 20121221 |
| K7AntiVirus | - | 20130204 |
| Kaspersky | HEUR:Trojan.Win32.Generic | 20130204 |
| Kingsoft | Win32.Troj.Undef.(kcloud) | 20130204 |
| Malwarebytes | - | 20130204 |
| McAfee | New Win32 | 20130205 |
| McAfee-GW-Edition | Heuristic.LooksLike.Win32.Suspicious.C | 20130204 |
| Microsoft | VirTool:Win32/Obfuscator.XZ | 20130204 |
| MicroWorld-eScan | Gen:Trojan.Heur.KS.2 | 20130205 |
| NANO-Antivirus | - | 20130204 |
| Norman | Obfuscated_M | 20130204 |
| nProtect | Trojan/W32.Agent.185856.NF | 20130204 |
| Panda | Suspicious file | 20130204 |
| PCTools | - | 20130205 |
| Rising | - | 20130204 |
| Sophos | - | 20130204 |
| SUPERAntiSpyware | Trojan.Agent/Gen-Farfli | 20130204 |
| Symantec | Suspicious.Cloud.5 | 20130205 |
| TheHacker | - | 20130205 |
| TotalDefense | - | 20130204 |
| TrendMicro | Cryp_Xed-16 | 20130205 |
| TrendMicro-HouseCall | Cryp_Xed-16 | 20130204 |
| VBA32 | - | 20130204 |
| VIPRE | Trojan.Win32.Generic!BT | 20130204 |
| ViRobot | - | 20130204 |
상세 분석 내용
악성코드 실행 후 1644875.dll 파일을 생성 하며 악성 1644875.dll 파일은 서비스로 등록 하고 svchost.exe 프로세스에 인젝션 해서 동작한다. 서비스 등록 이후 시스템 부팅시 악성코드가 자동으로 실행 된다. 그 후 실행 원본 파일에 대해서 CMD 명령어를 사용 해서 삭제 한다.
악성코드가 생성한 1644875.dll 파일은 정상 svchost.exe 프로세스에 인젝션 해서 동작 한다.
악성 1644875.dll 파일은 자신의 파일 용량을 100MB 수준까지 올려서 백신 진단과 바이러스 토탈 업로드를 우회 하고 있다.
Application,Security,System 이벤트 로그를 삭제 한다.OpenEventLog 함수를
사용해서 해당 로그에 대한 핸들을 받아오고 Application, Security, System에 대한 이벤트 로그 핸들을 받고 ClearEventLog 함수를 통해서 로그 기록을 삭제 한다
악성코드의 캠 도청 기능으로 capCreateCaptureWindow 함수를 호출 해서 캡쳐 윈도우를 생성한다. C&C 서버에서 capDrivaerConnec 함수를 호출 하고 캡쳐 드라이브와 캡쳐 윈도우를 연결 한다.
waveInOpen 함수를 호출 해서 사운드 디바이스를 열고 waveInPrepareHeader 함수와waveInAddBuffer 함수를 호출 해서 사운드에 필요한 버퍼의 헤더를 초기화하고 waveInStart 함수를 호출 해서 녹음을 시작한다.
rasphone.pbk 파일로 부터 PhoneNumber, DialParamsUID, Device 등의 정보를 탈취 한다. rasphone.pbk 파일은 모뎀이 사용하는 설정 파일로 시스템에 모델이 설치되어 있지 않으면 해당 파일도 존재 하지 않는다.
egui.exe 프로세스는 해외 보안 제품 ESET NODE32 으로 taskill 명령어를 통해서 백신 무력화 기능을 수행 한다.
C&C 서버의 소재지는 중국이다.
참고 URL
- http://malwr.com/analysis/567344130753416865363fafb37b01ab/
'악성코드 분석' 카테고리의 다른 글
| Backdoor:Win32/Xyligan.A (2) | 2013.02.07 |
|---|---|
| Virus:Win32/Funlove.dr (0) | 2013.02.06 |
| Dropper/Win32.Small (0) | 2013.02.03 |
| Win-Trojan/Scar.109568.U (1) | 2013.02.02 |
| PAK_Generic.001 (0) | 2013.02.02 |
