※ 주의사항
아래 공격 코드는 연구 목적으로 작성된 것이며, 허가 받지 않은 공간에서는 테스트를 절대 금지합니다.
악의 적인 목적으로 이용할 시 발생할 수 있는 법적 책임은 자신한테 있습니다. 이는 해당 글을 열람할 때 동의하였다는 것을 의미합니다.
해당 문서의 저작권은 해당 프로젝트 참여 저자들에게 모두 있습니다. 외부에 공개시 법적 조치가 가해질 수 있습니다.
개요
악성코드 개요
Trojan.Keylogger.MXF 악성코드는 다양한 악성 행위를 하며 악성코드로 감염 이후 사용자의 키보드 입력과 같은 정보를 수집 하여 네트워크 상의 특정 서버에 전송하는 악성 행위를 수행 하는 악성코드 이다
MD5:a4113ffae49e10e6c161ab42ae331ad8
생성파일 정보 요약
|
파일 생성 정보 C:\Documents and Settings\Administrator\Application Data\server.exe |
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
O |
| ViRobot |
O |
<국내 주요 백신 결과>
VirusTotal 점검 내역
| Antivirus | Result | Update |
|---|---|---|
| Agnitum | Trojan.Agent!xkJECOaMfR4 | 20130214 |
| AhnLab-V3 | Trojan/Win32.Agent | 20130214 |
| AntiVir | BDS/Hupigon.Gen | 20130215 |
| Antiy-AVL | - | 20130214 |
| Avast | Win32:Trojan-gen | 20130215 |
| AVG | Generic30.UCC | 20130215 |
| BitDefender | Trojan.Keylogger.MXF | 20130215 |
| ByteHero | - | 20130214 |
| CAT-QuickHeal | - | 20130214 |
| ClamAV | Win.Trojan.Agent-26598 | 20130214 |
| Commtouch | W32/Hupigon.C.gen!Eldorado | 20130214 |
| Comodo | TrojWare.Win32.TrojanDownloader.Delf.gen | 20130214 |
| DrWeb | BackDoor.Paper.28 | 20130214 |
| Emsisoft | Generic.Malware.SLPBPkg.6A78821C (B) | 20130215 |
| eSafe | - | 20130211 |
| ESET-NOD32 | a variant of Win32/Delf.OBB | 20130214 |
| F-Prot | W32/Hupigon.C.gen!Eldorado | 20130214 |
| F-Secure | Trojan.Keylogger.MXF | 20130215 |
| Fortinet | W32/Delf.OBB!tr | 20130215 |
| GData | Trojan.Keylogger.MXF | 20130215 |
| Ikarus | VirTool.Win32.DelfInject | 20130214 |
| Jiangmin | Trojan/Generic.avdmo | 20130214 |
| K7AntiVirus | Backdoor | 20130214 |
| Kaspersky | Trojan.Win32.Agent.verx | 20130214 |
| Kingsoft | Win32.Troj.Undef.(kcloud) | 20130204 |
| Malwarebytes | Trojan.KillAV | 20130215 |
| McAfee | Artemis!A4113FFAE49E | 20130215 |
| McAfee-GW-Edition | Artemis!A4113FFAE49E | 20130215 |
| Microsoft | Backdoor:Win32/Defsel.B | 20130215 |
| MicroWorld-eScan | Trojan.Keylogger.MXF | 20130215 |
| NANO-Antivirus | Trojan.Win32.Paper.bciflq | 20130215 |
| Norman | Hupigon.MMIE | 20130214 |
| nProtect | Trojan/W32.Agent.122368.SY | 20130214 |
| Panda | Trj/Genetic.gen | 20130214 |
| PCTools | HeurEngine.ZeroDayThreat | 20130215 |
| Rising | - | 20130205 |
| SUPERAntiSpyware | - | 20130215 |
| Symantec | Suspicious.SillyFDC | 20130215 |
| TheHacker | Trojan/Delf.obb | 20130214 |
| TotalDefense | - | 20130214 |
| TrendMicro | TROJ_SPNR.0BBD13 | 20130215 |
| TrendMicro-HouseCall | TROJ_SPNR.0BBD13 | 20130215 |
| VBA32 | suspected of Malware.Delf.18 | 20130214 |
| VIPRE | Trojan-Downloader.Win32.Agent.verx (v) | 20130215 |
| ViRobot | Trojan.Win32.A.Agent.122368.BG | 20130214 |
상세 분석 내용
악성코드는 GetModuleFileName 함수를 호출해서 현재 open된 파일의 경로와 이름을 읽어 온다. 그리고 CopyFile 함수를 호출 하고 CopyFile 함수에 대한 파라미터 3개가 stack에 저장 되어 있다 이를 통해 현재 실행중인 파일에 대하여 자신의 복사본을 생성 한다. 악성코드는 설계적으로 문제를 가지고 있으며 그 이유는 시스템 리부팅 시 악성코드가 자동으로 실행 하지 않으며 감염 이후 리부팅을 하면 악성코드는 동작 하지 않는다.
악성코드 감염 PC에 대해서 운영체제 정보, CPU 정보 , 메모리 정보를 C&C 서버로 탈취 한다.
악성코드는 키로깅 기능을 가지고 있으며 GetAsyncKeyState 함수를 호출하는 루틴이 다수 발견 됬으며 이는 해당 시스템콜이 호출되었을 때 키보드의 어떤 키가 입력 되었는지 모니터링 한다.
그리고 모니터링한 키 입력에 대하여 WriteFile 함수를 통해서 log.dat 파일로 저장함으로써 키로깅을 수행 한다.
악성코드 기능으로 ShowWindow 함수를 호출 해서 윈도우의 보이기 상태를 지정한다. 보이기 상태(show state)란 보이기/숨기기는 물론이고 최대화/최소화/복구 상태 등 윈도우의 현재 상태를 통칭하는 용어이다
악성코드 감염 이후 C&C 서버 명령어로 동작 하는 악성 기능으로 악성 해커가 감염 PC의 프로세스 리스트를 확인 하고 악성 해커가 종료 하고 싶은 프로세스를 강제 종료 시킬수 있다.
악성코드 감염 이후 C&C 서버 명령어로 동작 하는 악성 기능으로 악성 해커가 감염 PC에 대해서 폴더를 만들고 또는 파일을 삭제 하고 폴더를 삭제 하는 권한을 가지고 있다.
C&C 서버의 소재지는 영국이다
'악성코드 분석' 카테고리의 다른 글
| Trojan/Win32.Gh0st (0) | 2013.02.17 |
|---|---|
| Win32/Agent.OQR (0) | 2013.02.17 |
| Win-Trojan/Pbbot.231078 (0) | 2013.02.15 |
| Win-Trojan/PcClient.365056 (0) | 2013.02.15 |
| Backdoor:Win32/Xyligan.B (0) | 2013.02.14 |
