개요
악성코드 개요
Backdoor:Win32/Zegost.AK 악성코드는 DDoS 공격 기능을 수행 하는 악성코드다
MD5:1be28872e397582c5964ce6e417ad06c
생성파일 정보 요약
|
파일 생성 정보 C:\WINDOWS\system32\Wi808b.exe
생성 레지스트리 정보 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W808bjf32 |
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
O |
| ViRobot |
X |
<국내 주요 백신 결과>
VirusTotal 점검 내역
| Antivirus | Result | Update |
|---|---|---|
| Agnitum | Trojan.Scar!LXelcndnu68 | 20130212 |
| AhnLab-V3 | Trojan/Win32.PcClient | 20130212 |
| AntiVir | WORM/Rbot.Gen | 20130212 |
| Antiy-AVL | - | 20130212 |
| Avast | Win32:Spyware-gen [Spy] | 20130212 |
| AVG | Generic_r.BMC | 20130212 |
| BitDefender | Trojan.Peed.Gen | 20130212 |
| ByteHero | - | 20130211 |
| CAT-QuickHeal | Trojan.SystemHijack.C6 | 20130212 |
| ClamAV | - | 20130212 |
| Commtouch | W32/PcClient.A.gen!Eldorado | 20130212 |
| Comodo | TrojWare.Win32.Agent.OWW | 20130212 |
| Emsisoft | Trojan.Peed.Gen (B) | 20130212 |
| eSafe | - | 20130211 |
| ESET-NOD32 | Win32/Agent.OWW | 20130212 |
| F-Prot | W32/PcClient.A.gen!Eldorado | 20130212 |
| F-Secure | Trojan.Peed.Gen | 20130212 |
| Fortinet | - | 20130212 |
| GData | Trojan.Peed.Gen | 20130212 |
| Ikarus | Trojan.Win32.Yoddos | 20130212 |
| Jiangmin | Backdoor/DarkShell.rz | 20130212 |
| K7AntiVirus | Backdoor | 20130212 |
| Kaspersky | Trojan.Win32.Scar.ftjg | 20130212 |
| Kingsoft | Win32.Troj.Scar.ft.(kcloud) | 20130204 |
| Malwarebytes | - | 20130212 |
| McAfee | Artemis!1BE28872E397 | 20130212 |
| McAfee-GW-Edition | Artemis!1BE28872E397 | 20130212 |
| Microsoft | Backdoor:Win32/Zegost.AK | 20130212 |
| MicroWorld-eScan | Trojan.Peed.Gen | 20130212 |
| NANO-Antivirus | Trojan.Win32.Scar.tpdyt | 20130212 |
| Norman | Startpage.ALTD | 20130212 |
| nProtect | Trojan/W32.Scar.15872.AC | 20130212 |
| Panda | Generic Trojan | 20130212 |
| PCTools | - | 20130212 |
| Rising | Trojan.Win32.SystemHijack.g | 20130205 |
| Sophos | Mal/Emogen-Y | 20130212 |
| SUPERAntiSpyware | - | 20130212 |
| Symantec | WS.Reputation.1 | 20130212 |
| TheHacker | Trojan/Agent.oww | 20130211 |
| TotalDefense | - | 20130212 |
| TrendMicro | BKDR_ZEGOST.BB | 20130212 |
| TrendMicro-HouseCall | - | 20130212 |
| VBA32 | Trojan.Scar.ftjg | 20130212 |
| VIPRE | BehavesLike.Win32.Malware.ssc (mx-v) | 20130212 |
| ViRobot | - | 20130212 |
상세 분석 내용
Copyfile 함수를 호출 해서 시스템 경로에 Wi808b.exe 파일을 생성 하며 4039C3 사용자 정의 함수를 호출 해서 프로세스를 생성 한다. 그리고 403A37 함수를 호출 해서 악성코드 원본 파일에 대해서 CMD 명령어를 통해서 삭제 한다.
악성코드 감염 PC에 대해서 운영체제 정보, 메모리 정보 , 프로세서 정보, 감염 PC 국가 정보를 탈취 한다.
C&C 서버 명령어를 통해서 동작 하며 외부에서 파일을 다운로드 하는 기능을 가지고 있다. 이런 기능은 추가 악성코드 감염이나 악성 행위를 하기 위해서 사용된다.
|
DDoS 공격 기능 목록 SynFlood |
다양한 DDoS 공격 기능을 수행 하며 HTTP GET 공격 기능을 가지고 있다
C&C 서버의 소재지는 미국 이다
'악성코드 분석' 카테고리의 다른 글
| Backdoor:Win32/Xyligan.B (0) | 2013.02.14 |
|---|---|
| Win-Trojan/PcClient1.Gen (0) | 2013.02.14 |
| Backdoor:Win32/Farfli.K (0) | 2013.02.13 |
| Trojan/Win32.Bjlog (0) | 2013.02.12 |
| DDoS:Win32/Nitol.A (5) | 2013.02.11 |
