개요
악성코드 개요
Backdoor:Win32/Xyligan.B 악성코드는 다양한 악성 기능을 가지고 있으며 DDoS 공격 기능을 수행하는 악성코드다
MD5:0de6918dfb75dfafc4ab080a7e16fa72
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
O |
| ViRobot |
O |
<국내 주요 백신 결과>
VirusTotal 점검 내역
| 안티바이러스 | 결과 | 업데이트 |
|---|---|---|
| Agnitum | - | 20130213 |
| AhnLab-V3 | Win-Trojan/Agent.70144.KG | 20130213 |
| AntiVir | BDS/Agent.vwy | 20130214 |
| Antiy-AVL | - | 20130213 |
| Avast | Win32:PcClient-ZE [Trj] | 20130214 |
| AVG | Generic17.CAAH | 20130214 |
| BitDefender | Trojan.Generic.8067751 | 20130214 |
| ByteHero | - | 20130213 |
| CAT-QuickHeal | Win32.Packed.Katusha.n.3 | 20130213 |
| ClamAV | Trojan.Agent-136588 | 20130214 |
| Commtouch | W32/Backdoor2.FXKN | 20130213 |
| Comodo | TrojWare.Win32.Agent.PDSB | 20130213 |
| DrWeb | Trojan.DownLoad.46081 | 20130214 |
| Emsisoft | Trojan.Spy.Agent.ODR (B) | 20130214 |
| eSafe | - | 20130211 |
| ESET-NOD32 | a variant of Win32/Agent.OWQ | 20130214 |
| F-Prot | W32/Backdoor2.FXKN | 20130213 |
| F-Secure | Trojan.Generic.8067751 | 20130214 |
| Fortinet | W32/Xyligan.ML!tr.bdr | 20130214 |
| GData | Trojan.Generic.8067751 | 20130214 |
| Ikarus | Backdoor.Win32.Xyligan | 20130214 |
| Jiangmin | Backdoor/Xyligan.af | 20130213 |
| K7AntiVirus | Backdoor | 20130213 |
| Kaspersky | Backdoor.Win32.Xyligan.ml | 20130214 |
| Kingsoft | Win32.Hack.PcClient.aq.(kcloud) | 20130204 |
| Malwarebytes | Trojan.Agent.cn | 20130214 |
| McAfee | BackDoor-CKB.gen.cd | 20130214 |
| McAfee-GW-Edition | BackDoor-CKB.gen.cd | 20130214 |
| Microsoft | Backdoor:Win32/Xyligan.B | 20130214 |
| MicroWorld-eScan | Trojan.Generic.8067751 | 20130214 |
| NANO-Antivirus | Trojan.Win32.Xyligan.bduuku | 20130214 |
| Norman | Nitol.A | 20130213 |
| nProtect | Backdoor/W32.Xyligan.58368.B | 20130213 |
| Panda | Generic Backdoor | 20130213 |
| PCTools | Backdoor.Trojan | 20130214 |
| Rising | Backdoor.Win32.Mnless.cpb | 20130205 |
| Sophos | Mal/Behav-001 | 20130214 |
| SUPERAntiSpyware | Trojan.Agent/Gen-FakeAlert | 20130214 |
| Symantec | Backdoor.Trojan | 20130214 |
| TheHacker | Backdoor/Xyligan.ck | 20130214 |
| TotalDefense | Win32/SillyDl.XAI | 20130213 |
| TrendMicro | TROJ_GEN.RCBOCB5 | 20130214 |
| TrendMicro-HouseCall | TROJ_GEN.R4FH1KO | 20130214 |
| VBA32 | BScope.Trojan.Win32.Inject.2 | 20130213 |
| VIPRE | BehavesLike.Win32.Malware.ssc (mx-v) | 20130214 |
| ViRobot | Backdoor.Win32.Xyligan.58368.B | 20130214 |
상세 분석 내용
악성코드 실행 시 rand 함수를 호출 해서 난수를 발생 시켜서 악성코드 파일을 랜덤 형식으로 악성파일을 생성 하며 그 후 서비스 등록을 통해서 시스템 재부팅 시 악성코드가 자동으로 실행 된다.
악성코드 감염 PC에 대해서 운영 체제 정보, 메모리 정보, 컴퓨터 이름을 C&C 서버로 탈취 한다.
악성코드는 감염 PC에 대해서 화면 캡쳐 기능을 가지고 있으며 CreateDC 함수를 호출해서 전체 화면 DC를 만들고 CreateCompatibleDC 함수를 호출 해서 만들어진 화면 DC를 호환되는 메모리 DC로 생성 한다 CreateCompatibleBitmap 함수를 호출 해서 비트맵을 생성 한다. 그리고 BitBlt 함수를 호출 해서 메모리 DC에 화면 DC를 복사 한다.
악성코드의 캠 도청 기능으로 capCreateCaptureWindow 함수를 호출 해서 캡쳐 윈도우를 생성한다. C&C 서버에서 capDrivaerConnec 함수를 호출 하고 캡쳐 드라이브와 캡쳐 윈도우를 연결 한다.
C&C 서버 명령어에 의해서 동작을 수행 하며 외부에서 파일을 다운로드 하는 기능을 가지고 있다. 추후 악성코드 추가 감염을 위해서 사용 할 것으로 추정 된다.
DDoS 공격 기능 중 CC Attack 공격을 가지고 있으며 HTTP User-Agent 헤더 부분에 Cache-Control: no-store, must-revalidate 의 값을 추가하여 공격 하는 방식이다.
C&C 서버의 소재지는 한국이다.
'악성코드 분석' 카테고리의 다른 글
| Win-Trojan/Pbbot.231078 (0) | 2013.02.15 |
|---|---|
| Win-Trojan/PcClient.365056 (0) | 2013.02.15 |
| Win-Trojan/PcClient1.Gen (0) | 2013.02.14 |
| Backdoor:Win32/Zegost.AK (0) | 2013.02.13 |
| Backdoor:Win32/Farfli.K (0) | 2013.02.13 |
