개요
악성코드 개요
Win-Trojan/Agent.70144.KG 악성코드는 DDoS 공격 기능을 수행하는 악성코드다
MD5:43917babbf152d8447416d0facd6ad26
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
O |
| ViRobot |
O |
<국내 주요 백신 결과>
VirusTotal 점검 내역
| Antivirus | Result | Update |
|---|---|---|
| Agnitum | Backdoor.Xyligan!2XJGmo2FGfY | 20130206 |
| AhnLab-V3 | Win-Trojan/Agent.70144.KG | 20130207 |
| AntiVir | BDS/Agent.vwy | 20130207 |
| Antiy-AVL | - | 20130206 |
| Avast | Win32:PcClient-ZE [Trj] | 20130207 |
| AVG | Generic17.CAAH | 20130207 |
| BitDefender | Trojan.Generic.8067751 | 20130207 |
| ByteHero | - | 20130204 |
| CAT-QuickHeal | Win32.Packed.Katusha.n.3 | 20130207 |
| ClamAV | Trojan.Agent-136588 | 20130207 |
| Commtouch | W32/Backdoor2.FXKN | 20130207 |
| Comodo | TrojWare.Win32.Agent.PDSB | 20130207 |
| DrWeb | Trojan.DownLoad.46081 | 20130207 |
| Emsisoft | Trojan.Spy.Agent.ODR (B) | 20130207 |
| eSafe | - | 20130206 |
| ESET-NOD32 | a variant of Win32/Agent.OWQ | 20130206 |
| F-Prot | W32/Backdoor2.FXKN | 20130201 |
| F-Secure | Trojan.Generic.8067751 | 20130207 |
| Fortinet | W32/Xyligan.KR!tr.bdr | 20130207 |
| GData | Trojan.Generic.8067751 | 20130207 |
| Ikarus | Backdoor.Win32.Xyligan | 20130207 |
| Jiangmin | Backdoor/Xyligan.af | 20121221 |
| K7AntiVirus | Backdoor | 20130206 |
| Kaspersky | Backdoor.Win32.Xyligan.ml | 20130207 |
| Kingsoft | Win32.Hack.PcClient.aq.(kcloud) | 20130204 |
| Malwarebytes | Trojan.Agent.cn | 20130207 |
| McAfee | BackDoor-CKB.gen.cd | 20130207 |
| McAfee-GW-Edition | BackDoor-CKB.gen.cd | 20130207 |
| Microsoft | Backdoor:Win32/Xyligan.B | 20130206 |
| MicroWorld-eScan | Trojan.Generic.8067751 | 20130207 |
| NANO-Antivirus | Trojan.Win32.Xyligan.bduuku | 20130207 |
| Norman | Nitol.A | 20130206 |
| nProtect | Backdoor/W32.Xyligan.58368.B | 20130206 |
| Panda | Generic Backdoor | 20130206 |
| PCTools | Backdoor.Trojan | 20130207 |
| Rising | Backdoor.Win32.Mnless.cpb | 20130205 |
| Sophos | Mal/Behav-001 | 20130207 |
| SUPERAntiSpyware | Trojan.Agent/Gen-FakeAlert | 20130206 |
| Symantec | Backdoor.Trojan | 20130207 |
| TheHacker | Backdoor/Xyligan.ck | 20130207 |
| TotalDefense | Win32/SillyDl.XAI | 20130206 |
| TrendMicro | TROJ_GEN.USBH01BCN | 20130207 |
| TrendMicro-HouseCall | TROJ_GEN.R4FH1KO | 20130207 |
| VBA32 | BScope.Trojan.Win32.Inject.2 | 20130206 |
| VIPRE | BehavesLike.Win32.Malware.ssc (mx-v) | 20130207 |
| ViRobot | Backdoor.Win32.Xyligan.58368.B | 20130207 |
상세 분석 내용
악성코드 실행 시 rand 함수를 호출 해서 난수를 발생 시켜서 악성코드 파일을 랜덤 형식으로 악성파일을 생성 하며 그 후 서비스 등록을 통해서 시스템 재부팅 시 악성코드가 자동으로 실행 된다.
악성코드 감염 PC에 대해서 컴퓨터 이름, 운영체제 정보, 메모리 정보등을 C&C 서버로 탈취 한다.
악성코드의 캠 도청 기능으로 capCreateCaptureWindow 함수를 호출 해서 캡쳐 윈도우를 생성한다. C&C 서버에서 capDrivaerConnec 함수를 호출 하고 캡쳐 드라이브와 캡쳐 윈도우를 연결 한다.
C&C 서버 명령어에 의해서 동작을 수행 하며 외부에서 파일을 다운로드 하는 기능을 가지고 있다. 추후 악성코드 추가 감염을 위해서 사용 할 것으로 추정 된다.
C&C 서버 명령어를 통해서 동작 하며 악성코드 감염 PC에 대한 화면 캡쳐 기능으로 CreateCompatibleDC 함수를 사용해서 메모리 DC를 만들고 CreateCompatibleBitmap 함수로 메모리 비트맵을 생성 한다. SelectObject 함수를 사용하여 메모리 DC에 출력하고자 하는 비트맵을 선택합니다. BitBit 함수를 사용해서 CreateCompatibleDC로 만든 메모리 DC에 있는 비트맵을 화면 DC로 복사 한다
DDoS 공격 기능 중 CC Attack 공격을 가지고 있으며 HTTP User-Agent 헤더 부분에 Cache-Control: no-store, must-revalidate 의 값을 추가하여 공격 하는 방식이다.
C&C 서버의 소재지는 대한민국이다
참고 URL
- http://malwr.com/analysis/43917babbf152d8447416d0facd6ad26/
- http://msdn.microsoft.com/en-us/library/windows/desktop/ms724833(v=vs.85).aspx
'악성코드 분석' 카테고리의 다른 글
| Trojan-PWS.Win32.OnLineGames (0) | 2013.02.09 |
|---|---|
| Rootkit.Win32.Agent (0) | 2013.02.08 |
| Backdoor:Win32/Xyligan.A (2) | 2013.02.07 |
| Virus:Win32/Funlove.dr (0) | 2013.02.06 |
| VirTool:Win32/Obfuscator.XZ (2) | 2013.02.05 |
