개요
악성코드 개요
Win-Trojan/Pbbot.231078 악성코드는 C&C 서버의 명령어를 통해서 다양한 악성 기능을 수행 하는 악성코드이다
MD5:09fa991c70b3f9f518496d572531632b
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
O |
| ViRobot |
O |
<국내 주요 백신 결과>
VirusTotal 점검 내역
| Antivirus | Result | Update |
|---|---|---|
| Agnitum | Trojan.DR.Agent!cbGlXDo5Qes | 20130131 |
| AhnLab-V3 | Win-Trojan/Pbbot.231078 | 20130201 |
| AntiVir | BDS/Agent.188416 | 20130201 |
| Antiy-AVL | Trojan/Win32.Agent.gen | 20130201 |
| Avast | Win32:Redosdru-D [Trj] | 20130201 |
| AVG | Agent2.AKRE | 20130201 |
| BitDefender | Trojan.Dropper.Agent.VCZ | 20130201 |
| ByteHero | Virus.Win32.Part.b | 20130201 |
| CAT-QuickHeal | - | 20130201 |
| ClamAV | Trojan.Agent-117056 | 20130131 |
| Commtouch | W32/Trojan2.HROV | 20130201 |
| Comodo | TrojWare.Win32.PSW.Bjlog.~Z | 20130201 |
| DrWeb | Trojan.MulDrop1.56994 | 20130201 |
| Emsisoft | Trojan.Dropper.Agent.VCZ (B) | 20130201 |
| eSafe | - | 20130131 |
| ESET-NOD32 | Win32/Dialer.NHP | 20130201 |
| F-Prot | W32/Trojan2.HROV | 20130201 |
| F-Secure | Trojan:W32/Redosdru.gen!D | 20130201 |
| Fortinet | W32/Magania.ATH!tr.pws | 20130201 |
| GData | Trojan.Dropper.Agent.VCZ | 20130201 |
| Ikarus | Trojan.Win32.Redosdru | 20130201 |
| Jiangmin | Trojan/Agent.cjar | 20121221 |
| K7AntiVirus | Trojan | 20130131 |
| Kaspersky | Trojan.Win32.Agent.wkjb | 20130201 |
| Kingsoft | Win32.Troj.Nodef.(kcloud) | 20130131 |
| Malwarebytes | Trojan.Dropper | 20130201 |
| McAfee | BackDoor-DVB | 20130201 |
| McAfee-GW-Edition | BackDoor-DVB | 20130201 |
| Microsoft | Backdoor:Win32/PcClient.ZR | 20130201 |
| MicroWorld-eScan | Trojan.Dropper.Agent.VCZ | 20130201 |
| NANO-Antivirus | Trojan.Win32.Bjlog.ibgx | 20130201 |
| Norman | Zegost.VND | 20130201 |
| nProtect | Trojan/W32.Agent.188416.BA | 20130201 |
| Panda | Trj/Downloader.MDW | 20130201 |
| PCTools | Backdoor.Trojan | 20130201 |
| Rising | Trojan.Win32.Nodef.jag | 20130201 |
| Sophos | Troj/Redosdru-A | 20130131 |
| SUPERAntiSpyware | Trojan.Agent/Gen-PcClient | 20130201 |
| Symantec | Backdoor.Trojan | 20130201 |
| TheHacker | Trojan/Agent.cesz | 20130131 |
| TotalDefense | Win32/SillyDl.XFH | 20130131 |
| TrendMicro | BKDR_ZEGOST.SMF | 20130201 |
| TrendMicro-HouseCall | BKDR_ZEGOST.SMF | 20130201 |
| VBA32 | BScope.Trojan.Agent.0135 | 20130201 |
| VIPRE | Backdoor.Win32.Zegost.B (v) | 20130201 |
| ViRobot | Trojan.Win32.Agent.188416.R | 20130201 |
상세 분석 내용
악성코드는 서비스에 등록 하여 시스템 리부팅 시 악성코드를 자동으로 실행 하도록 한다. .악성 코드 생성은 gho 파일을 생성 하고 악성코드 내용을 쓰고 MoveFile 함수를 사용해서 시스템 폴더로 이동 시킨다.
rasphone.pbk 파일로 부터 PhoneNumber, DialParamsUID, Device 등의 정보를 탈취 한다. rasphone.pbk 파일은 모뎀이 사용하는 설정 파일로 시스템에 모델이 설치되어 있지 않으면 해당 파일도 존재 하지 않는다.
Application,Security,System 이벤트 로그를 삭제 한다.OpenEventLog 함수를
사용해서 해당 로그에 대한 핸들을 받아오고 Application, Security, System에 대한 이벤트 로그 핸들을 받고 ClearEventLog 함수를 통해서 로그 기록을 삭제 한다.
악성코드 감염 PC에 대해서 운영체제 정보, CPU 정보 , 메모리 정보 , 디스크 정보등을 C&C 서버로 탈취 한다.
악성코드는 키로깅 기능을 가지고 있으며 악성코드 감염 이후 C&C 서버를 통해서 동작을 수행 하는 것으로 추정된다.
악성 코드는 필요한 함수의 포인터를 획득 하기 위해서 GetProcAddress 함수를 호출 하고 필요한 함수들은 사운드 관련 함수로 추후 사운드 도청에 사용할 것으로 추정 된다.
C&C 서버의 소재지는 중국이다
'악성코드 분석' 카테고리의 다른 글
| Win32/Agent.OQR (0) | 2013.02.17 |
|---|---|
| Trojan.Keylogger.MXF (0) | 2013.02.16 |
| Win-Trojan/PcClient.365056 (0) | 2013.02.15 |
| Backdoor:Win32/Xyligan.B (0) | 2013.02.14 |
| Win-Trojan/PcClient1.Gen (0) | 2013.02.14 |
