개요
악성코드 개요
DDoS:Win32/Nitol.A 악성코드는 DDoS 공격 기능을 수행 하는 악성 코드이다
MD5:49b1dee441256c762062f2b178dc10d8
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
X |
| ViRobot |
O |
<국내 주요 백신 결과>
VirusTotal 점검 내역
| Antivirus | Result | Update |
|---|---|---|
| Agnitum | Win32.Virut.AB.Gen | 20130210 |
| AhnLab-V3 | Win-Trojan/Scar.109568.U | 20130210 |
| AntiVir | W32/Virut.Gen | 20130210 |
| Antiy-AVL | - | 20130210 |
| Avast | Win32:Malware-gen | 20130210 |
| AVG | Generic_r.ZQ | 20130210 |
| BitDefender | Win32.Virtob.Gen.12 | 20130210 |
| ByteHero | - | 20130207 |
| CAT-QuickHeal | - | 20130210 |
| ClamAV | Win.Trojan.Agent-140128 | 20130210 |
| Commtouch | W32/Nitol.B.gen!Eldorado | 20130210 |
| Comodo | TrojWare.Win32.TrojanDownloader.Small.CO | 20130210 |
| Emsisoft | Win32.Virtob.Gen.12 (B) | 20130210 |
| ESET-NOD32 | Win32/Virut.NBP | 20130210 |
| F-Prot | W32/Nitol.B.gen!Eldorado | 20130201 |
| F-Secure | Win32.Virtob.Gen.12 | 20130210 |
| Fortinet | W32/ServStart.AS!tr | 20130210 |
| GData | Win32.Virtob.Gen.12 | 20130210 |
| Ikarus | Trojan.Win32.ServStart | 20130210 |
| Jiangmin | Win32/Virut.bt | 20130210 |
| K7AntiVirus | Virus | 20130209 |
| Kaspersky | Virus.Win32.Virut.ce | 20130210 |
| Kingsoft | - | 20130204 |
| Malwarebytes | Trojan.ServStart | 20130210 |
| McAfee | W32/Virut.n.gen | 20130211 |
| McAfee-GW-Edition | Heuristic.LooksLike.Win32.Suspicious.J!89 | 20130210 |
| Microsoft | DDoS:Win32/Nitol.A | 20130210 |
| MicroWorld-eScan | Win32.Virtob.Gen.12 | 20130210 |
| NANO-Antivirus | Trojan.Win32.MLW.dkinc | 20130210 |
| Norman | DLoader.AQFLH | 20130210 |
| nProtect | - | 20130210 |
| Panda | W32/Sality.AO | 20130210 |
| PCTools | Malware.Virut | 20130210 |
| Rising | Trojan.Nitol!434E | 20130205 |
| Sophos | Troj/Dloadr-DNE | 20130210 |
| SUPERAntiSpyware | Trojan.Agent/Gen-MSFake | 20130210 |
| Symantec | W32.Virut.CF | 20130210 |
| TheHacker | - | 20130208 |
| TotalDefense | Win32/Nitol.AI | 20130210 |
| TrendMicro | PE_VIRUX.S-2 | 20130210 |
| TrendMicro-HouseCall | PE_VIRUX.S-2 | 20130210 |
| VIPRE | Virus.Win32.Virut.ce (v) | 20130210 |
| ViRobot | Win32.Virut.AL | 20130210 |
상세 분석 내용
악성코드 감염 PC에 대해서 운영체제 정보, 컴퓨터 이름, 메모리 정보, 프로세서 정보를 C&C 서버로 탈취 한다.
C&C 명령어를 통해서 동작 하며 외부에서 추가로 파일을 다운로드 해서 추가로 악성코드 감염 이나 악성 해커가 원하는 파일을 다운 받아서 실행이 가능하다.
악성코드는 switch문을 사용 해서 C&C 서버의 명령어에 따라서 다양한 DDoS 공격 기능을 수행 한다.
C&C 서버는 국내 codns 서비스를 이용 하고 있으며 codns 서비스는 아이피 주소를 주소형태로 변경하는 서비스다.
C&C 서버의 소재지는 대한민국이다
'악성코드 분석' 카테고리의 다른 글
| Backdoor:Win32/Farfli.K (0) | 2013.02.13 |
|---|---|
| Trojan/Win32.Bjlog (0) | 2013.02.12 |
| Trojan.Win32.Spy (0) | 2013.02.10 |
| Trojan-PWS.Win32.OnLineGames (0) | 2013.02.09 |
| Rootkit.Win32.Agent (0) | 2013.02.08 |
