개요
악성코드 개요
Backdoor:Win32/Farfli.K 악성코드는 정상 svchost.exe 파일에 DLL 인젝션 해서 동작 하며 악성 DLL 파일은 도청 기능과 다양한 악성 기능을 가지고 있다.
MD5:2192ef4c50cbf2527627471bdd5e3a72
생성파일 정보 요약
|
파일 생성 정보
C:\WINDOWS\system32\suchost.dll
생성 레지스트리 정보
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\suchost\Parameters HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\suchost C:\%SystemRoot%\System32\svchost.exe -k netsvcs |
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
X |
| ViRobot |
O |
<국내 주요 백신 결과>
VirusTotal 점검 내역
| Antivirus | Result | Update |
|---|---|---|
| Agnitum | Trojan.Redosdru.Gen | 20130211 |
| AhnLab-V3 | Backdoor/Win32.PcClient | 20130212 |
| AntiVir | TR/Spy.Gen | 20130211 |
| Antiy-AVL | - | 20130211 |
| Avast | Win32:Farfli-Y [Trj] | 20130212 |
| AVG | BackDoor.Generic_r.ZL | 20130211 |
| BitDefender | Gen:Variant.Zusy.218 | 20130212 |
| ByteHero | - | 20130211 |
| CAT-QuickHeal | - | 20130211 |
| ClamAV | - | 20130212 |
| Commtouch | W32/OnlineGames.BW.gen!Eldorado | 20130211 |
| Comodo | TrojWare.Win32.Zegost.INA | 20130211 |
| DrWeb | Trojan.DownLoader7.7329 | 20130212 |
| Emsisoft | Gen:Variant.Zusy.2831 (B) | 20130212 |
| eSafe | - | 20130211 |
| ESET-NOD32 | a variant of Win32/Farfli.LG | 20130212 |
| F-Prot | W32/OnlineGames.BW.gen!Eldorado | 20130211 |
| F-Secure | Gen:Variant.Zusy.218 | 20130212 |
| Fortinet | W32/Torr.BH!tr.bdr | 20130212 |
| GData | Gen:Variant.Zusy.218 | 20130212 |
| Ikarus | Backdoor.Win32.Zegost | 20130212 |
| Jiangmin | Trojan/PSW.Magania.baug | 20130212 |
| K7AntiVirus | Password-Stealer | 20130211 |
| Kaspersky | HEUR:Trojan.Win32.Generic | 20130212 |
| Kingsoft | Win32.Troj.DialerT.nh.126976 | 20130204 |
| Malwarebytes | Trojan.ServStart | 20130212 |
| McAfee | Artemis!2192EF4C50CB | 20130212 |
| McAfee-GW-Edition | Heuristic.BehavesLike.Win32.Backdoor.H | 20130212 |
| Microsoft | Backdoor:Win32/Farfli.K | 20130212 |
| MicroWorld-eScan | Gen:Variant.Zusy.218 | 20130212 |
| NANO-Antivirus | Trojan.Win32.MLW.dvfhu | 20130212 |
| Norman | Crypt.BHCB | 20130211 |
| nProtect | - | 20130211 |
| Panda | Trj/Lineage.EGB | 20130211 |
| PCTools | - | 20130212 |
| Rising | Backdoor.Zegost!4AE9 | 20130205 |
| Sophos | Troj/Magania-O | 20130212 |
| SUPERAntiSpyware | Trojan.Agent/Gen-Farfli | 20130212 |
| Symantec | WS.Reputation.1 | 20130212 |
| TheHacker | - | 20130211 |
| TotalDefense | Win32/Zegost.B!generic | 20130211 |
| TrendMicro | TROJ_REDOS.SM2 | 20130212 |
| TrendMicro-HouseCall | TROJ_GEN.F47V0203 | 20130212 |
| VBA32 | BScope.Trojan.SvcHorse.01643 | 20130211 |
| VIPRE | Backdoor.Win32.Farfli.A (v) | 20130212 |
| ViRobot | Trojan.Win32.A.PSW-Magania.57344 | 20130212 |
상세 분석 내용
악성코드가 생성한 suchost.dll 파일은 정상 svchost.exe 프로세스에 인젝션 해서 동작 한다.
rasphone.pbk 파일로 부터 PhoneNumber, DialParamsUID, Device 등의 정보를 탈취 한다. rasphone.pbk 파일은 모뎀이 사용하는 설정 파일로 시스템에 모델이 설치되어 있지 않으면 해당 파일도 존재 하지 않는다
Application,Security,System 이벤트 로그를 삭제 한다.OpenEventLog 함수를 사용해서 해당 로그에 대한 핸들을 받아오고 Application, Security, System에 대한 이벤트 로그 핸들을 받고 ClearEventLog 함수를 통해서 로그 기록을 삭제 한다
악성코드 감염 시 C&C 명령어에 의해서 원격 터미널 서비스 관련 레지스트리를 조작 한다.
악성코드의 캠 도청 기능으로 capCreateCaptureWindow 함수를 호출 해서 캡쳐 윈도우를 생성한다. C&C 서버에서 capDrivaerConnec 함수를 호출 하고 캡쳐 드라이브와 캡쳐 윈도우를 연결 한다.
waveInOpen 함수를 호출 해서 사운드 디바이스를 열고 waveInPrepareHeader 함수와waveInAddBuffer 함수를 호출 해서 사운드에 필요한 버퍼의 헤더를 초기화하고 waveInStart 함수를 호출 해서 녹음을 시작한다.
악성코드 분석을 진행 하면서 네트워크 패킷 부분에서 악성코드와 관련성 있는 문자열에 대해서 찾았다. Gh0st는 다양한 악성 기능을 포함한 악성코드 빌더다. 해당 악성코드는 Gh0st 빌더를 통해서 만들어진것으로 추정 된다.
C&C 서버의 소재지는 중국이다.
'악성코드 분석' 카테고리의 다른 글
| Win-Trojan/PcClient1.Gen (0) | 2013.02.14 |
|---|---|
| Backdoor:Win32/Zegost.AK (0) | 2013.02.13 |
| Trojan/Win32.Bjlog (0) | 2013.02.12 |
| DDoS:Win32/Nitol.A (5) | 2013.02.11 |
| Trojan.Win32.Spy (0) | 2013.02.10 |
