개요
악성코드 개요
Virus:Win32/Funlove.dr 악성코드는 악성코드 빌더로 위장한 악성코드로 실행 시 악성코드 빌더와 함께 악성코드가 동작해서 악성코드를 감염 시키는 방식이다.
MD5:eadb7e9290bfbac89ed56e52e27535a9
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
O |
| ViRobot |
O |
VirusTotal 점검 내역
| Antivirus | Result | Update |
|---|---|---|
| Agnitum | Trojan.DR.Small!kgKPdkojxcY | 20130204 |
| AhnLab-V3 | Dropper/Small.Gen | 20130205 |
| AntiVir | TR/Dropper.Gen | 20130205 |
| Antiy-AVL | - | 20130205 |
| Avast | Win32:Patched-AJW [Trj] | 20130205 |
| AVG | Dropper.Small.BS | 20130205 |
| BitDefender | Trojan.Dropper.Win32.Small.P | 20130205 |
| ByteHero | - | 20130204 |
| CAT-QuickHeal | - | 20130205 |
| ClamAV | Trojan.Dropper-2584 | 20130205 |
| Commtouch | W32/Dropper.ITM | 20130205 |
| Comodo | TrojWare.Win32.TrojanDropper.Small.P | 20130205 |
| DrWeb | Trojan.MulDrop.80 | 20130205 |
| Emsisoft | Trojan.Dropper.Win32.Small.P (B) | 20130205 |
| eSafe | - | 20130204 |
| ESET-NOD32 | Win32/TrojanDropper.Small.P | 20130204 |
| F-Prot | W32/Dropper.ITM | 20130201 |
| F-Secure | Trojan.Dropper.Win32.Small.P | 20130205 |
| Fortinet | W32/Small.P!tr | 20130205 |
| GData | Trojan.Dropper.Win32.Small.P | 20130205 |
| Ikarus | Trojan-Dropper.Win32.Small | 20130205 |
| Jiangmin | TrojanDropper.Win32.Small.p | 20121221 |
| K7AntiVirus | Trojan | 20130204 |
| Kaspersky | Trojan-Dropper.Win32.Small.p | 20130204 |
| Kingsoft | Win32.Troj.Small.p.(kcloud) | 20130204 |
| Malwarebytes | - | 20130205 |
| McAfee | MultiDropper-CI.gen | 20130205 |
| McAfee-GW-Edition | MultiDropper-CI.gen | 20130205 |
| Microsoft | Virus:Win32/Funlove.dr | 20130205 |
| MicroWorld-eScan | Trojan.Dropper.Win32.Small.P | 20130205 |
| NANO-Antivirus | Trojan.Win32.Netbus.gnol | 20130205 |
| Norman | Smalltroj.AAPDL | 20130205 |
| nProtect | Trojan.Dropper.Win32.Small.P | 20130205 |
| Panda | Trj/Multidropper.EJ | 20130205 |
| PCTools | - | 20130205 |
| Rising | Trojan.Win32.Funlove.c | 20130205 |
| Sophos | Mal/Generic-E | 20130204 |
| SUPERAntiSpyware | - | 20130205 |
| Symantec | - | 20130205 |
| TheHacker | Trojan/Dropper.Small.p | 20130205 |
| TotalDefense | Win32/Small.P | 20130205 |
| TrendMicro | TROJ_SMALL.SMJ1 | 20130205 |
| TrendMicro-HouseCall | TROJ_SMALL.SMJ1 | 20130205 |
| VBA32 | Trojan-Dropper.Win32.Small.p | 20130205 |
| VIPRE | Trojan-Dropper.Win32.Small.p (v) | 20130205 |
| ViRobot | Trojan.Win32.Small.577024 | 20130205 |
상세 분석 내용
악성코드 실행 이후 DDoS 공격 기능을 수행 하는 공격툴이 실행 되며 동시에 악성코드도 함께 감염 된다. 이러한 악성코드 감염 방식은 상대방을 속이기 위해 많이 사용된다. 즉 공격툴의 경우 백신에서 진단 하기 때문에 일반적으로 공격툴을 사용 하는 악성 해커는 백신을 종료 하고 사용하는 경우가 많다.
악성코드 감염 PC에 대해서 운영체제 정보, CPU 정보, 메모리 정보등을 탈취 한다. VIP2010-0818은 악성코드 빌더에 대한 고유 번호로 추정 된다.
C&C 서버는 국내 codns 서비스를 이용 하고 있으며 codns 서비스는 아이피 주소를 주소형태로 변경하는 서비스다.
C&C 서버 명령어에 의해서 동작하며 외부 사이트에서 파일 다운로드를 통해 추가 악성코드를 감염 시키기 위한 기능으로 사용된다
DDoS 공격 기능 중 CC 공격의 일부로 moniattack 공격과 mnlinuxattack 공격을 가지고 있다.
&C 서버의 소재지는 대한민국이다
참고 URL
- http://www.zdnet.co.kr/news/news_view.asp?artice_id=20121026205540&type=det
- http://www.microsoft.com/security/portal/threat/Encyclopedia/Entry.aspx?Name=DDoS%3AWin32%2FNitol.A
- http://blog.fireeye.com/research/2010/10/avzhan-botnet-the-story-of-evolution.html
- http://ddos.arbornetworks.com/2010/09/another-family-of-ddos-bots-avzhan/
'악성코드 분석' 카테고리의 다른 글
| Win-Trojan/Agent.70144.KG (0) | 2013.02.08 |
|---|---|
| Backdoor:Win32/Xyligan.A (2) | 2013.02.07 |
| VirTool:Win32/Obfuscator.XZ (2) | 2013.02.05 |
| Dropper/Win32.Small (0) | 2013.02.03 |
| Win-Trojan/Scar.109568.U (1) | 2013.02.02 |
