개요
악성코드 개요
Backdoor:Win32/Xyligan.A 악성코드는 종합 악성코드 모듈을 탑재한 DDoS 공격 기능을 수행하는 악성코드다
MD5:6276c84e0ab5dc0955eb992028de0067
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
X |
| ViRobot |
O |
<국내 주요 백신 결과>
VirusTotal 점검 내역
Antivirus
Result
Update
Agnitum
Win32.Virut.AB.Gen
20130206
AhnLab-V3
Win32/Virut.E
20130206
AntiVir
W32/Virut.Gen
20130206
Antiy-AVL
-
20130206
Avast
Win32:Scribble
20130206
AVG
Downloader.Generic_r.OO
20130206
BitDefender
Win32.Virtob.Gen.12
20130206
ByteHero
-
20130204
CAT-QuickHeal
W32.Virut.G
20130206
ClamAV
Win.Trojan.Xyligan-10
20130206
Commtouch
W32/Virut.E.gen!Eldorado
20130206
Comodo
TrojWare.Win32.Agent.PDSB
20130206
DrWeb
Win32.Virut.56
20130206
Emsisoft
Win32.Virtob.Gen.12 (B)
20130206
eSafe
-
20130206
ESET-NOD32
Win32/Virut.NBP
20130206
F-Prot
W32/Virut.E.gen!Eldorado
20130201
F-Secure
Win32.Virtob.Gen.12
20130206
Fortinet
W32/Virut.CE
20130206
GData
Win32.Virtob.Gen.12
20130206
Ikarus
Backdoor.Win32.Xyligan
20130206
Jiangmin
Win32/Virut.bt
20121221
K7AntiVirus
Virus
20130206
Kaspersky
Backdoor.Win32.Xyligan.au
20130206
Kingsoft
-
20130204
Malwarebytes
Backdoor.Xyligan
20130206
McAfee
BackDoor-CKB.gen.cd
20130206
McAfee-GW-Edition
BackDoor-CKB.gen.cd
20130206
Microsoft
Backdoor:Win32/Xyligan.A
20130206
MicroWorld-eScan
Win32.Virtob.Gen.12
20130206
NANO-Antivirus
Trojan.Win32.Xyligan.blyse
20130206
Norman
Virut.HL
20130206
nProtect
-
20130206
Panda
Trj/Downloader.MDW
20130206
PCTools
Malware.Virut
20130206
Rising
Backdoor.Win32.Mnless.cpb
20130205
Sophos
W32/Scribble-B
20130206
SUPERAntiSpyware
Trojan.Agent/Gen-FakeAlert
20130206
Symantec
W32.Virut.CF
20130206
TheHacker
-
20130205
TotalDefense
Win32/Small.VH
20130206
TrendMicro
BKDR_BVOK.SM
20130206
TrendMicro-HouseCall
BKDR_BVOK.SM
20130206
VBA32
Virus.Virut.14
20130206
VIPRE
Virus.Win32.Virut.ce (v)
20130206
ViRobot
Win32.Virut.AL
20130206
상세 분석 내용
악성코드 실행 시 rand 함수를 호출 해서 난수를 발생 시키며 시스템 디렉토리에 Copyfile 함수를 호출해서 복사 한다 그 후 서비스 등록을 통해서 시스템 재부팅 시 악성코드가 자동으로 실행 된다.
악성코드 감염 PC에 대해서 운영체제 정보, 메모리 정보를 C&C 서버로 탈취 한다.
C&C 서버 명령어에 의해서 동작을 수행 하며 외부에서 파일을 다운로드 하는 기능을 가지고 있다. 추후 악성코드 추가 감염을 위해서 사용 할 것으로 추정 된다.
악성코드의 캠 도청 기능으로 capCreateCaptureWindow 함수를 호출 해서 캡쳐 윈도우를 생성한다. C&C 서버에서 capDrivaerConnec 함수를 호출 하고 캡쳐 드라이브와 캡쳐 윈도우를 연결 한다.
DDoS 공격 기능 중 CC Attack 공격을 가지고 있으며 HTTP User-Agent 헤더 부분에 Cache-Control: no-store, must-revalidate 의 값을 추가하여 공격 하는 방식이다.
C&C 서버의 소재지는 대한민국이다
참고 URL
- http://malwr.com/analysis/6276c84e0ab5dc0955eb992028de0067/
'악성코드 분석' 카테고리의 다른 글
| Rootkit.Win32.Agent (0) | 2013.02.08 |
|---|---|
| Win-Trojan/Agent.70144.KG (0) | 2013.02.08 |
| Virus:Win32/Funlove.dr (0) | 2013.02.06 |
| VirTool:Win32/Obfuscator.XZ (2) | 2013.02.05 |
| Dropper/Win32.Small (0) | 2013.02.03 |
