개요
악성코드 개요
Trojan/Win32.Gh0st 악성코드는 C&C 서버 명령어를 통해서 다양한 악성 행위를 수행 하는 악성코드 이다
MD5:1aa2c37c85a33d1598f2d13e0688222d
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
X |
| ViRobot |
X |
<국내 주요 백신 결과>
VirusTotal 점검 내역
| Antivirus | Result | Update |
|---|---|---|
| Agnitum | - | 20130216 |
| AhnLab-V3 | Trojan/Win32.Gh0st | 20130216 |
| AntiVir | BDS/Backdoor.Gen | 20130216 |
| Antiy-AVL | Backdoor/Win32.FirstInj.gen | 20130216 |
| Avast | Win32:OnLineGames-GJX [Trj] | 20130217 |
| AVG | PSW.OnlineGames_r.IH | 20130216 |
| BitDefender | Gen:Variant.Barys.154 | 20130217 |
| ByteHero | Virus.Win32.Part.b | 20130215 |
| CAT-QuickHeal | Backdoor.Morix.A2 | 20130215 |
| ClamAV | - | 20130217 |
| Commtouch | W32/OnlineGames.BW.gen!Eldorado | 20130216 |
| Comodo | TrojWare.Win32.Agent.DFK | 20130217 |
| DrWeb | Trojan.PWS.Gamania.32855 | 20130214 |
| Emsisoft | Gen:Variant.Barys.154 (B) | 20130217 |
| eSafe | - | 20130211 |
| ESET-NOD32 | a variant of Win32/Farfli.JS | 20130216 |
| F-Prot | W32/OnlineGames.BW.gen!Eldorado | 20130216 |
| F-Secure | Gen:Variant.Barys.154 | 20130217 |
| Fortinet | W32/Farfli.EN!tr | 20130217 |
| GData | Gen:Variant.Barys.154 | 20130217 |
| Ikarus | Trojan-GameThief.Win32.Magania | 20130217 |
| Jiangmin | Trojan/PSW.Magania.bfry | 20130217 |
| K7AntiVirus | Password-Stealer | 20130216 |
| Kaspersky | HEUR:Trojan.Win32.Generic | 20130216 |
| Kingsoft | Win32.Hack.Undef.(kcloud) | 20130204 |
| Malwarebytes | - | 20130217 |
| McAfee | Artemis!1AA2C37C85A3 | 20130217 |
| McAfee-GW-Edition | Heuristic.BehavesLike.Win32.Dropper.H | 20130217 |
| Microsoft | TrojanDropper:Win32/Zegost.G | 20130217 |
| MicroWorld-eScan | Gen:Variant.Barys.154 | 20130217 |
| NANO-Antivirus | Trojan.Win32.FirstInj.bfuymc | 20130217 |
| Norman | Troj_Generic.HDIHL | 20130215 |
| nProtect | - | 20130216 |
| Panda | Suspicious file | 20130216 |
| PCTools | - | 20130217 |
| Rising | Trojan.Win32.Fednu.szk | 20130205 |
| Sophos | - | 20130217 |
| SUPERAntiSpyware | - | 20130216 |
| Symantec | Suspicious.Cloud.5 | 20130217 |
| TheHacker | - | 20130215 |
| TotalDefense | Win32/Zegost.RP | 20130215 |
| TrendMicro | TROJ_GEN.R47CDB1 | 20130217 |
| TrendMicro-HouseCall | TROJ_GEN.R47CDB1 | 20130217 |
| VBA32 | BScope.Trojan.SvcHorse.01643 | 20130215 |
| VIPRE | Trojan-Dropper.Win32.Zegost.g (v) | 20130217 |
| ViRobot | - | 20130216 |
상세 분석 내용
백신 무력화 루틴으로 Rstray.exe 프로세스,ZhuDongFangYu.exe 프로세스 에 대해서 강제 종료 시킨다. Rstray.exe 프로세스는 Beijing Rising Information Technology에서 제공하는 백신, 방화벽 보안솔루션 Rising Antivirus 응용프로그램이다. ZhuDongFangYu.exe 프로세스는 360.cn에서 제공하는 스파이웨어삭제, 안티바이러스 360safe 응용프로그램이다
악성코드 감염 PC의 운영체제 정보, 메모리 정보 , CPU 정보, 디스크 정보, 캡쳐 드라이버 정보등을 C&C 서버로 탈취 한다. Application,Security,System 이벤트 로그를 삭제 한다.OpenEventLog 함수를 사용해서 해당 로그에 대한 핸들을 받아오고 Application, Security, System에 대한 이벤트 로그 핸들을 받고 ClearEventLog 함수를 통해서 로그 기록을 삭제 한다.
rasphone.pbk 파일로 부터 PhoneNumber, DialParamsUID, Device 등의 정보를 탈취 한다. rasphone.pbk 파일은 모뎀이 사용하는 설정 파일로 시스템에 모델이 설치되어 있지 않으면 해당 파일도 존재 하지 않는다.
악성코드 감염 시 C&C 명령어에 의해서 원격 터미널 서비스 레지스트리를 조작 한다. 악성코드를 제작자는 윈도우 구조에 대한 깊은 이해를 가지고 있는것으로 추정 된다.
waveInOpen 함수를 호출 해서 사운드 디바이스를 열고 waveInPrepareHeader 함수와waveInAddBuffer 함수를 호출 해서 사운드에 필요한 버퍼의 헤더를 초기화하고 waveInStart 함수를 호출 해서 녹음을 시작한다.
악성코드의 캠 도청 기능으로 capCreateCaptureWindow 함수를 호출 해서 캡쳐 윈도우를 생성한다. C&C 서버에서 capDrivaerConnec 함수를 호출 하고 캡쳐 드라이브와 캡쳐 윈도우를 연결 한다.
악성코드가 생성한 S1y.dll 파일은 정상 svchost.exe 프로세스에 인젝션 해서 동작 한다.
C&C 서버의 소재지는 중국이다
'악성코드 분석' 카테고리의 다른 글
| GenPack:Trojan.Generic.2618737 (0) | 2013.02.19 |
|---|---|
| Backdoor.Win32.Zegost (0) | 2013.02.18 |
| Win32/Agent.OQR (0) | 2013.02.17 |
| Trojan.Keylogger.MXF (0) | 2013.02.16 |
| Win-Trojan/Pbbot.231078 (0) | 2013.02.15 |
