개요
악성코드 개요
Win-Trojan/PcClient1.Gen 악성코드는 종합 악성 행위를 하는 악성코드로 캠 도청 , 파일 탐색 , 키로깅 기능을 수행 하는 악성코드다
MD5:1c11c4b60df54a8340e0bd74b150756b
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
O |
| ViRobot |
X |
<국내 주요 백신 결과>
VirusTotal 점검 내역
| Antivirus | Result | Update |
|---|---|---|
| Agnitum | Backdoor.PcClient.Gen.3 | 20130213 |
| AhnLab-V3 | Win-Trojan/PcClient1.Gen | 20130213 |
| AntiVir | BDS/Pcclient.Al.10 | 20130213 |
| Antiy-AVL | - | 20130213 |
| Avast | Win32:Downloader-AZY [Trj] | 20130213 |
| AVG | BackDoor.PcClient.2.AM | 20130213 |
| BitDefender | Backdoor.PCClient.TEK | 20130213 |
| ByteHero | - | 20130211 |
| CAT-QuickHeal | Backdoor.PcClient.ahfg.n3 | 20130213 |
| ClamAV | - | 20130213 |
| Commtouch | W32/PcClient.C_2.gen!Eldorado | 20130213 |
| Comodo | Backdoor.Win32.PcClient.~D | 20130213 |
| Emsisoft | Backdoor.PCClient.TEK (B) | 20130213 |
| eSafe | - | 20130211 |
| ESET-NOD32 | a variant of Win32/PcClient | 20130213 |
| F-Prot | W32/PcClient.C_2.gen!Eldorado | 20130213 |
| F-Secure | Backdoor.PCClient.TEK | 20130213 |
| Fortinet | W32/PCClient.CMD!tr | 20130213 |
| GData | Backdoor.PCClient.TEK | 20130213 |
| Ikarus | Backdoor.Win32.PcClient | 20130213 |
| Jiangmin | Backdoor/PcClient.sgl | 20130213 |
| K7AntiVirus | Backdoor | 20130212 |
| Kaspersky | Backdoor.Win32.PcClient.besa | 20130213 |
| Kingsoft | Win32.Troj.PcClient.b.(kcloud) | 20130204 |
| Malwarebytes | Trojan.PWS.Gen | 20130213 |
| McAfee | BackDoor-CEP.gen.y | 20130213 |
| McAfee-GW-Edition | BackDoor-CEP.gen.y | 20130213 |
| Microsoft | Backdoor:Win32/PcClient.AI | 20130213 |
| MicroWorld-eScan | Backdoor.PCClient.TEK | 20130213 |
| NANO-Antivirus | Trojan.Win32.PcClient.bolqc | 20130213 |
| Norman | PCClient.UZI | 20130213 |
| nProtect | Backdoor.PCClient.TEK | 20130213 |
| Panda | Bck/PcClient.JX | 20130212 |
| PCTools | Backdoor.Formador | 20130213 |
| Rising | Backdoor.Win32.PcClient.uep | 20130205 |
| Sophos | Troj/PcClien-NH | 20130213 |
| SUPERAntiSpyware | Trojan.Agent/Gen-PcClient | 20130213 |
| Symantec | Backdoor.Formador | 20130213 |
| TheHacker | Backdoor/PcClient.arvi | 20130212 |
| TotalDefense | Win32/PcClient!generic | 20130213 |
| TrendMicro | BKDR_PCCLIE.SMI | 20130213 |
| TrendMicro-HouseCall | TROJ_GEN.F47V0207 | 20130213 |
| VBA32 | Backdoor.Win32.PcClient.emd | 20130212 |
| VIPRE | Backdoor.Win32.Pcclient (v) | 20130213 |
| ViRobot | - | 20130213 |
상세 분석 내용
악성코드 감염 PC에 대해서 메모리 정보, 컴퓨터 이름 , 운영 체제 정보를 C&C 서버로 탈취 한다.
C&C 서버는 중국에서 서비스 하는 3322.org 서비스를 이용 하고 있으며 3322.org 서비스는 다수의 악성코드가 악용 하고 있는 서비스로 한국에서 차단한 상태로 일반적으로 접근이 불가능 하다.
악성코드는 ChangeServiceConfig 함수를 호출 해서 서비스 변경 기능을 가지고 있으며 이 기능을 통해서 악성코드 기능 수행을 방해 하는 서비스에 대해서 무력화를 진행 할 수 있다
악성코드의 캠 도청 기능으로 capCreateCaptureWindow 함수를 호출 해서 캡쳐 윈도우를 생성한다. C&C 서버에서 capDrivaerConnec 함수를 호출 하고 캡쳐 드라이브와 캡쳐 윈도우를 연결 한다.
waveInOpen 함수를 호출 해서 사운드 디바이스를 열고 waveInPrepareHeader 함수와waveInAddBuffer 함수를 호출 해서 사운드에 필요한 버퍼의 헤더를 초기화하고 waveInStart 함수를 호출 해서 녹음을 시작한다.
키보드 입력값에 대해서 랜덤.hdv 파일에 키보드가 입력한 값에 대해서 모두 기록 한다. 추후 악성 해커가 접속을 통해서 키로깅 파일을 자신의 컴퓨터로 탈취 할것으로 추정된다.
C&C 서버의 소재지는 중국이다
참고 URL
- http://malwr.com/analysis/1c11c4b60df54a8340e0bd74b150756b/
'악성코드 분석' 카테고리의 다른 글
| Win-Trojan/PcClient.365056 (0) | 2013.02.15 |
|---|---|
| Backdoor:Win32/Xyligan.B (0) | 2013.02.14 |
| Backdoor:Win32/Zegost.AK (0) | 2013.02.13 |
| Backdoor:Win32/Farfli.K (0) | 2013.02.13 |
| Trojan/Win32.Bjlog (0) | 2013.02.12 |
