개요
악성코드 개요
Win32/Agent.OQR 악성코드는 종합적인 악성 모듈을 가지고 있으며 DDoS 공격 기능을 수행 하는 악성코드이다.
MD5:e57152630d3f9c4d2c8b4e21fed4e0a5
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
O |
| ViRobot |
X |
<국내 주요 백신 결과>
VirusTotal 점검 내역
| Antivirus | Result | Update |
|---|---|---|
| Agnitum | - | 20130216 |
| AhnLab-V3 | Backdoor/Win32.Xyligan | 20130216 |
| AntiVir | TR/Crypt.ULPM.Gen | 20130216 |
| Antiy-AVL | - | 20130216 |
| Avast | Win32:PcClient-ZE [Trj] | 20130216 |
| AVG | Downloader.Generic_r.OO | 20130216 |
| BitDefender | Trojan.Peed.Gen | 20130216 |
| ByteHero | - | 20130215 |
| CAT-QuickHeal | (Suspicious) - DNAScan | 20130215 |
| ClamAV | - | 20130216 |
| Commtouch | W32/Backdoor.T.gen!Eldorado | 20130216 |
| Comodo | Heur.Packed.MultiPacked | 20130216 |
| DrWeb | Trojan.MulDrop3.59675 | 20130214 |
| Emsisoft | Trojan.Peed.Gen (B) | 20130216 |
| eSafe | - | 20130211 |
| ESET-NOD32 | Win32/Agent.OQR | 20130216 |
| F-Prot | W32/Backdoor.T.gen!Eldorado | 20130216 |
| F-Secure | Trojan.Peed.Gen | 20130216 |
| Fortinet | - | 20130216 |
| GData | Trojan.Peed.Gen | 20130216 |
| Ikarus | Trojan-Dropper.Win32.Vedio | 20130216 |
| Jiangmin | Backdoor/Small.cnz | 20130216 |
| K7AntiVirus | Riskware | 20130215 |
| Kaspersky | Backdoor.Win32.Xyligan.au | 20130216 |
| Kingsoft | - | 20130204 |
| Malwarebytes | - | 20130216 |
| McAfee | - | 20130216 |
| McAfee-GW-Edition | Heuristic.LooksLike.Win32.Suspicious.C | 20130216 |
| Microsoft | Backdoor:Win32/Xyligan.A | 20130216 |
| MicroWorld-eScan | Trojan.Peed.Gen | 20130216 |
| NANO-Antivirus | Trojan.Win32.Xyligan.blyse | 20130216 |
| Norman | Nitol.A | 20130215 |
| nProtect | Trojan.Peed.Gen | 20130216 |
| Panda | - | 20130216 |
| PCTools | Backdoor.Trojan | 20130216 |
| Rising | Hack.DDoSer.Win32.Agent.ri | 20130205 |
| Sophos | Mal/TinyDL-T | 20130216 |
| SUPERAntiSpyware | - | 20130216 |
| Symantec | Backdoor.Trojan | 20130216 |
| TheHacker | - | 20130215 |
| TotalDefense | - | 20130215 |
| TrendMicro | PAK_Generic.005 | 20130216 |
| TrendMicro-HouseCall | PAK_Generic.005 | 20130216 |
| VBA32 | BScope.Trojan.Win32.Inject.2 | 20130215 |
| VIPRE | - | 20130216 |
| ViRobot | - | 20130216 |
상세 분석 내용
악성코드는 GetModuleFileName 함수를 호출해서 현재 open된 파일의 경로와 이름을 읽어 온다. 그리고 rand 함수를 통해서 난수를 발생 시키고 CopyFile 함수를 호출 하고 CopyFile 함수에 대한 파라미터 3개가 stack에 저장 되어 있다 이를 통해 현재 실행중인 파일에 대하여 자신의 복사본을 생성 한다.
악성코드 파일 복사 이후 CMD 명령어를 통해서 자가 삭제를 한다.
악성코드에 감염된 사용자 PC의 운영체제 정보 , CPU 정보 , 메모리 정보등을 수집해서 C&C 서버로 탈취 한다.
악성코드는 감염 PC에 대해서 화면 캡쳐 기능을 가지고 있으며 CreateDC 함수를 호출해서 전체 화면 DC를 만들고 CreateCompatibleDC 함수를 호출 해서 만들어진 화면 DC를 호환되는 메모리 DC로 생성 한다 CreateCompatibleBitmap 함수를 호출 해서 비트맵을 생성 한다. 그리고 BitBlt 함수를 호출 해서 메모리 DC에 화면 DC를 복사 한다.
악성코드 감염된 사용자의 PC를 악성 해커가 재부팅 시키거나 강제 종료 시킬수 있다
C&C 서버 명령어에 의해서 동작을 수행 하며 외부에서 파일을 다운로드 하는 기능을 가지고 있다. 추후 악성코드 추가 감염을 위해서 사용 할 것으로 추정 된다.
다양한 DDoS 공격 기능이 존재 하며 DDoS 공격 기능 중 CC Attack 공격을 가지고 있으며 HTTP User-Agent 헤더 부분에 Cache-Control: no-store, must-revalidate 의 값을 추가하여 공격 하는 방식이다.
C&C 서버의 소재지는 대한민국이다
'악성코드 분석' 카테고리의 다른 글
| Backdoor.Win32.Zegost (0) | 2013.02.18 |
|---|---|
| Trojan/Win32.Gh0st (0) | 2013.02.17 |
| Trojan.Keylogger.MXF (0) | 2013.02.16 |
| Win-Trojan/Pbbot.231078 (0) | 2013.02.15 |
| Win-Trojan/PcClient.365056 (0) | 2013.02.15 |
