개요
악성코드 개요
Win-Trojan/PcClient.365056 악성코드는 C&C 서버의 명령어를 통해서 다양한 악성 기능을 수행 하는 악성코드다
MD5:1544b3993f2ee4afab586d8ef50312c8
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
O |
| ViRobot |
O |
<국내 주요 백신 결과>
VirusTotal 점검 내역
| 안티바이러스 | 결과 | 업데이트 |
|---|---|---|
| Agnitum | Backdoor.PcClient!OSLuYdOXsUU | 20130213 |
| AhnLab-V3 | Win-Trojan/PcClient.365056 | 20130213 |
| AntiVir | TR/Dropper.Gen | 20130214 |
| Antiy-AVL | Backdoor/Win32.PcClient.gen | 20130213 |
| Avast | Win32:Trojan-gen | 20130214 |
| AVG | Pakes.L | 20130214 |
| BitDefender | Trojan.Crypt.DG | 20130214 |
| ByteHero | - | 20130211 |
| CAT-QuickHeal | (Suspicious) - DNAScan | 20130213 |
| ClamAV | - | 20130214 |
| Commtouch | W32/Hupigon.O.gen!Eldorado | 20130214 |
| Comodo | Packed.Win32.Klone.~KI | 20130214 |
| Emsisoft | Trojan.Crypt.DG (B) | 20130214 |
| eSafe | - | 20130211 |
| ESET-NOD32 | Win32/PcClient | 20130214 |
| F-Prot | W32/Hupigon.O.gen!Eldorado | 20130214 |
| F-Secure | Trojan.Crypt.DG | 20130214 |
| Fortinet | - | 20130214 |
| GData | Trojan.Crypt.DG | 20130214 |
| Ikarus | Packed.Win32.Klone | 20130214 |
| Jiangmin | Backdoor/PcClient.gnn | 20130214 |
| K7AntiVirus | Trojan | 20130213 |
| Kaspersky | Backdoor.Win32.PcClient.ckl | 20130214 |
| Kingsoft | Win32.Hack.PcClient.(kcloud) | 20130204 |
| Malwarebytes | - | 20130214 |
| McAfee | Artemis!1544B3993F2E | 20130214 |
| McAfee-GW-Edition | Heuristic.LooksLike.Win32.Suspicious.C | 20130214 |
| Microsoft | Backdoor:Win32/PcClient.CL | 20130214 |
| MicroWorld-eScan | Trojan.Crypt.DG | 20130214 |
| NANO-Antivirus | - | 20130214 |
| Norman | Hupigon.gen130.dropper | 20130213 |
| nProtect | Backdoor/W32.PcClient.365056 | 20130213 |
| Panda | Trj/Thed.B | 20130213 |
| PCTools | HeurEngine.ZeroDayThreat | 20130214 |
| Rising | - | 20130205 |
| Sophos | Mal/Emogen-E | 20130214 |
| SUPERAntiSpyware | - | 20130214 |
| Symantec | Suspicious.Graybird.1 | 20130214 |
| TheHacker | - | 20130214 |
| TotalDefense | - | 20130213 |
| TrendMicro | Mal_Pai-6 | 20130214 |
| TrendMicro-HouseCall | Mal_Pai-6 | 20130214 |
| VBA32 | Virus.Win32.Kaos | 20130213 |
| VIPRE | Trojan.Win32.Generic!BT | 20130214 |
| ViRobot | Backdoor.Win32.PcClient.365056 | 20130214 |
상세 분석 내용
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ahxapk
%SystemRoot%system32\svchost.exe -k ahxapk
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ahxapk\Parameters
%SystemRoot%\System32\ibakrm.dll
서비스 레지스트리 실행 DLL 파일을 ibakrm(랜덤).dll 등록 해서 시스템 재부팅 시 악성코드가 자동으로 실행 하도록 한다.
C&C 서버는 중국에서 서비스 하는 3322.org 서비스를 이용 하고 있으며 3322.org 서비스는 다수의 악성코드가 악용 하고 있는 서비스로 한국에서 차단한 상태로 일반적으로 접근이 불가능 하다.
악성코드 감염 PC는 악성 해커가 감염 PC 화면을 볼수 있으며 CreateCompatibleDC 함수를 사용해서 메모리 DC를 만들고 CreateCompatibleBitmap 함수로 메모리 비트맵을 생성합니다. SelectObject 함수를 사용하여 메모리 DC에 출력하고자 하는 비트맵을 선택합니다. BitBit 함수를 사용해서 CreateCompatibleDC로 만든 메모리 DC에 있는 비트맵을 화면 DC로 복사 합니다.
SetWindowHook 함수가 후킹 하는 타입은 WH_CALLWNDPROC,WH_GETMESSAGE 이며 첫 번째 후킹 타입은 SendMessage가 목적지로 전달되기 전에 메세지를 후킹 할때 사용 한다. 두 번째 후킹 타입은 윈도우 관련 메세지들이 처리후 후킹 할때 사용 한다.
waveInOpen 함수를 호출 해서 사운드 디바이스를 열고 waveInPrepareHeader 함수와waveInAddBuffer 함수를 호출 해서 사운드에 필요한 버퍼의 헤더를 초기화하고 waveInStart 함수를 호출 해서 녹음을 시작한다.
악성코드의 캠 도청 기능으로 capCreateCaptureWindow 함수를 호출 해서 캡쳐 윈도우를 생성한다. C&C 서버에서 capDrivaerConnec 함수를 호출 하고 캡쳐 드라이브와 캡쳐 윈도우를 연결 한다.
C&C 서버의 소재지는 중국이다
'악성코드 분석' 카테고리의 다른 글
| Trojan.Keylogger.MXF (0) | 2013.02.16 |
|---|---|
| Win-Trojan/Pbbot.231078 (0) | 2013.02.15 |
| Backdoor:Win32/Xyligan.B (0) | 2013.02.14 |
| Win-Trojan/PcClient1.Gen (0) | 2013.02.14 |
| Backdoor:Win32/Zegost.AK (0) | 2013.02.13 |
