개요
악성코드 개요
Trojan/Win32.Bjlog 악성코드는 감염 PC에 대해서 키로깅 , 파일 탐색 기능 ,사운드 녹음 기능등 다양한 악성 모듈을 탑재한 악성코드다
MD5:0b551691a9005d36a26de40f56185996
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
O |
| ViRobot |
O |
<국내 주요 백신 결과>
VirusTotal 점검 내역
| Antivirus | Result | Update |
|---|---|---|
| Agnitum | Trojan.Farfli!GyC1KToh5Q8 | 20130210 |
| AhnLab-V3 | Trojan/Win32.Bjlog | 20130211 |
| AntiVir | BDS/Backdoor.Gen | 20130211 |
| Antiy-AVL | Backdoor/Win32.Agent.gen | 20130211 |
| Avast | Win32:BackDoor-AAM [Trj] | 20130211 |
| AVG | Generic_r.ALX | 20130211 |
| BitDefender | Trojan.Generic.KDV.358512 | 20130211 |
| ByteHero | - | 20130211 |
| CAT-QuickHeal | - | 20130211 |
| ClamAV | - | 20130211 |
| Commtouch | W32/Zegost.B.gen!Eldorado | 20130210 |
| Comodo | TrojWare.Win32.Magania.~AAD | 20130211 |
| DrWeb | Trojan.PWS.Gamania.32670 | 20130211 |
| Emsisoft | Trojan.Generic.KDV.358512 (B) | 20130211 |
| eSafe | - | 20130206 |
| ESET-NOD32 | a variant of Win32/Farfli.FX | 20130211 |
| F-Prot | W32/Zegost.B.gen!Eldorado | 20130211 |
| F-Secure | Trojan.Generic.KDV.358512 | 20130211 |
| Fortinet | W32/Farfli.FX!tr | 20130211 |
| GData | Trojan.Generic.KDV.358512 | 20130211 |
| Ikarus | Backdoor.Win32.Zegost | 20130211 |
| Jiangmin | Backdoor/Agent.dgmc | 20130211 |
| K7AntiVirus | Riskware | 20130209 |
| Kaspersky | HEUR:Trojan.Win32.Generic | 20130211 |
| Kingsoft | Win32.Hack.Undef.(kcloud) | 20130204 |
| Malwarebytes | Backdoor.Zegost | 20130211 |
| McAfee | Artemis!0B551691A900 | 20130211 |
| McAfee-GW-Edition | Heuristic.BehavesLike.Win32.Suspicious-BAY.K | 20130211 |
| Microsoft | Backdoor:Win32/Zegost.L | 20130211 |
| MicroWorld-eScan | Trojan.Generic.KDV.358512 | 20130211 |
| NANO-Antivirus | Trojan.Win32.Gamania.rgyve | 20130211 |
| Norman | Zegost.AV | 20130211 |
| nProtect | Trojan.Generic.KDV.358512 | 20130211 |
| Panda | Generic Malware | 20130210 |
| Rising | Backdoor.Farfli!489E | 20130205 |
| Sophos | Troj/Zegost-Q | 20130211 |
| SUPERAntiSpyware | Trojan.Agent/Gen-Zegost | 20130211 |
| Symantec | Trojan.Gen | 20130211 |
| TheHacker | Trojan/Farfli.fx | 20130211 |
| TotalDefense | Win32/Zegost.F!generic | 20130210 |
| TrendMicro | BKDR_ZEGOST.SME | 20130211 |
| TrendMicro-HouseCall | TROJ_GEN.F47V0203 | 20130211 |
| VBA32 | BScope.Trojan.LE.01523 | 20130211 |
| VIPRE | Backdoor.Win32.Zegost.n (v) | 20130211 |
| ViRobot | Backdoor.Win32.A.Agent.161280[UPX] | 20130211 |
상세 분석 내용
C&C 서버는 중국에서 서비스 하는 3322.org 서비스를 이용 하고 있으며 3322.org 서비스는 다수의 악성코드가 악용 하고 있는 서비스로 한국에서 차단한 상태로 일반적으로 접근이 불가능 하다.
waveInOpen 함수를 호출 해서 사운드 디바이스를 열고 waveInPrepareHeader 함수와waveInAddBuffer 함수를 호출 해서 사운드에 필요한 버퍼의 헤더를 초기화하고 waveInStart 함수를 호출 해서 녹음을 시작한다.
FindFirstFile 함수를 이용해 파일 검색을 시작 하고 그리고 검색에 필요한 정보를 만들고 검색 핸들을 리턴 한다. 이어지는 검색은 FindNextFile 함수가 담당 하며 만약 악성 해커가 디렉토리나 파일을 삭제 할려고 한다면 DeleteFile 함수와 RemoveDirectory 함수를 이용해서 원하는 파일,디렉토리를 삭제 한다.
Application,Security,System 이벤트 로그를 삭제 한다. OpenEventLog 함수를사용해서 해당 로그에 대한 핸들을 받아오고 Application, Security, System에 대한 이벤트 로그 핸들을 받고ClearEventLog 함수를 통해서 로그 기록을 삭제 한다
악성코드는 키로깅 기능을 가지고 있으며 이 기능은 감염 이후 악성 해커의 추가적인 명령어에 의해서 동작 하며 GetAsyncKeyState와 GetKeyState 함수는 키보드 입력을 받는 함수로 키보드 입력 값에 대해서 기록 하고 기록 한 입력값을 WriteFile 함수를 호출 해서 C:\WINDOWS\system32\ourlog.dat 파일로 저장 한다. ourlog.dat 파일은 암호화 해서 저장 된다.
C&C 서버의 소재지는 중국 이다
'악성코드 분석' 카테고리의 다른 글
| Backdoor:Win32/Zegost.AK (0) | 2013.02.13 |
|---|---|
| Backdoor:Win32/Farfli.K (0) | 2013.02.13 |
| DDoS:Win32/Nitol.A (5) | 2013.02.11 |
| Trojan.Win32.Spy (0) | 2013.02.10 |
| Trojan-PWS.Win32.OnLineGames (0) | 2013.02.09 |
