개요
악성코드 개요
Rootkit.Win32.Agent 악성코드는 커널 루트킷(SSDT 후킹) 기능을 포함 하고 있으며 DDoS 공격 기능을 수행 하는 악성코드다
MD5:f6dd63b6e326a98426561e7325ef0715
생성파일 정보 요약
파일 생성 정보
C:\WINDOWS\system32\파일명.exe
생성 레지스트리 정보
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OKddos DDOS soft Service HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HookSSDT C:\WINDOWS\system32\drivers\ApiHooks.sys |
<패킹 결과>
| AhnLab-V3 | O |
| BitDefender(알약) | O |
| nProtect | O |
| ViRobot | O |
<국내 주요 백신 결과>
VirusTotal 점검 내역
| Antivirus | Result | Update |
|---|---|---|
| Agnitum | Rootkit.Agent!S6LIE1cIg3E | 20130207 |
| AhnLab-V3 | Trojan/Win32.Scar | 20130207 |
| AntiVir | RKIT/14860.A | 20130208 |
| Antiy-AVL | - | 20130207 |
| Avast | Win32:Rootkit-gen [Rtk] | 20130208 |
| AVG | Downloader.Generic8.BFWA | 20130208 |
| BitDefender | Gen:Variant.Symmi.4645 | 20130208 |
| ByteHero | - | 20130207 |
| CAT-QuickHeal | - | 20130207 |
| ClamAV | - | 20130208 |
| Commtouch | W32/Rootkit.DYL | 20130208 |
| Comodo | Backdoor.Win32.Small.HPM | 20130208 |
| Emsisoft | Gen:Variant.Graftor.32726 (B) | 20130208 |
| eSafe | Win32.RKPort | 20130206 |
| ESET-NOD32 | probably a variant of Win32/TrojanDownloader.Agent.OQT | 20130207 |
| F-Prot | W32/Rootkit.DYL | 20130201 |
| F-Secure | Gen:Variant.Symmi.5186 | 20130208 |
| Fortinet | W32/Agent.OQT!tr.dldr | 20130207 |
| GData | Gen:Variant.Symmi.4645 | 20130208 |
| Ikarus | Rootkit.Win32.Agent | 20130208 |
| Jiangmin | Trojan/Scar.kuy | 20130207 |
| K7AntiVirus | Riskware | 20130207 |
| Kaspersky | Trojan.Win32.Scar.ezbv | 20130208 |
| Kingsoft | Win32.Hack.DDOS.hu.(kcloud) | 20130204 |
| Malwarebytes | - | 20130208 |
| McAfee | Generic.dx!bdvh | 20130207 |
| Microsoft | TrojanDownloader:Win32/Pangu.A | 20130208 |
| MicroWorld-eScan | Gen:Variant.Symmi.4645 | 20130208 |
| NANO-Antivirus | Trojan.Win32.Agent.bhkdt | 20130207 |
| Norman | Obfuscated_O | 20130207 |
| nProtect | Trojan/W32.Scar.37888.C | 20130208 |
| Panda | Generic Trojan | 20130207 |
| PCTools | HeurEngine.ZeroDayThreat | 20130208 |
| Rising | Backdoor.Win32.DDOS.hu | 20130205 |
| Sophos | Troj/RKPort-Fam | 20130208 |
| SUPERAntiSpyware | Trojan.Agent/Gen-Pangu | 20130208 |
| Symantec | Suspicious.DLoader | 20130208 |
| TheHacker | Trojan/Scar.ezbv | 20130208 |
| TotalDefense | - | 20130207 |
| TrendMicro | TROJ_VSTART.SMB | 20130208 |
| TrendMicro-HouseCall | TROJ_VSTART.SMB | 20130208 |
| VBA32 | Win32.Agent.WPJ | 20130206 |
| VIPRE | Trojan.Win32.Veslorn.gen.a (v) | 20130208 |
| ViRobot | Trojan.Win32.A.Scar.37888.E | 20130207 |
상세 분석 내용
FindResource--->SizeofResource--->LoadResource--->LockResource--->CreateFile--->WriteFile
리소스에서 정보를 찾아서 CreateFile 함수를 호출 해서 ApiHooks.sys 루트킷 파일을 생성 하고 WriteFile 함수를 이용해서 내용을 기록 한다.
CopyFile 함수를 호출해서 악성코드 파일을 시스템 폴더로 복사 시키고 SetFileAttributes 함수를 호출 해서 악성코드 파일을 숨김으로 변경 한다.
ApiHooks.sys 루트킷은 SSDT(System Service Dispatch Table) 후킹을 통해서 ZwDeviceIoControlFile 함수를 후킹 한다. 악성코드 분석 당시 루트킷을 생성 하고 서비스에 등록 하지만 악성 행위는 동작하지 않는다.
악성코드 감염 PC에 대해서 운영체제 정보, 메모리 정보, CPU 정보를 C&C 서버로 탈취한다.
C&C 서버 명렁에를 통해서 동작 하며 서비스 등록을 삭제 하는 기능을 가지고 있다.
악성코드는 다양한 DDoS 공격 기능을 가지고 있으며 C&C 서버의 명령에 따라서 공격 기능을 수행 한다.
C&C 서버의 소재지는 대한민국이다
참고 URL
- http://malwr.com/analysis/f6dd63b6e326a98426561e7325ef0715/
'악성코드 분석' 카테고리의 다른 글
| Trojan.Win32.Spy (0) | 2013.02.10 |
|---|---|
| Trojan-PWS.Win32.OnLineGames (0) | 2013.02.09 |
| Win-Trojan/Agent.70144.KG (0) | 2013.02.08 |
| Backdoor:Win32/Xyligan.A (2) | 2013.02.07 |
| Virus:Win32/Funlove.dr (0) | 2013.02.06 |
