개요
악성코드 개요
Backdoor.Win32.Zegost 악성코드는 정상 svchost.exe 파일에 DLL 인젝션 해서 동작 하며 악성 DLL 파일은 도청 기능과 다양한 악성 기능을 수행 한다.
MD5:0ad807460efd0e4526a60d975fd12849
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
O |
| ViRobot |
O |
<국내 주요 백신 결과>
VirusTotal 점검 내역
| Antivirus | Result | Update |
|---|---|---|
| Agnitum | Trojan.Redosdru.Gen | 20130217 |
| AhnLab-V3 | Backdoor/Win32.PcClient | 20130217 |
| AntiVir | TR/Spy.Gen | 20130217 |
| Antiy-AVL | - | 20130217 |
| Avast | Win32:Farfli-Y [Trj] | 20130217 |
| AVG | BackDoor.Generic_r.ZL | 20130217 |
| BitDefender | Trojan.Generic.7173312 | 20130217 |
| ByteHero | - | 20130217 |
| CAT-QuickHeal | Trojan.Aksula.A | 20130217 |
| ClamAV | WIN.Spy.Magania-279 | 20130217 |
| Commtouch | W32/OnlineGames.BW.gen!Eldorado | 20130217 |
| Comodo | TrojWare.Win32.Dialer.I | 20130217 |
| DrWeb | Trojan.DownLoader7.7329 | 20130217 |
| Emsisoft | Trojan.Generic.7173312 (B) | 20130217 |
| eSafe | - | 20130211 |
| ESET-NOD32 | a variant of Win32/Farfli.LG | 20130217 |
| F-Prot | W32/OnlineGames.BW.gen!Eldorado | 20130217 |
| F-Secure | Trojan.Generic.7173312 | 20130217 |
| Fortinet | W32/Torr.BH!tr.bdr | 20130217 |
| GData | Trojan.Generic.7173312 | 20130217 |
| Ikarus | Backdoor.Win32.Zegost | 20130217 |
| Jiangmin | Trojan/PSW.Magania.baug | 20130217 |
| K7AntiVirus | Password-Stealer | 20130216 |
| Kaspersky | HEUR:Trojan.Win32.Generic | 20130217 |
| Kingsoft | Win32.Troj.DialerT.nh.126976 | 20130204 |
| Malwarebytes | Trojan.ServStart | 20130217 |
| McAfee | Artemis!0AD807460EFD | 20130217 |
| McAfee-GW-Edition | Heuristic.BehavesLike.Win32.Backdoor.H | 20130217 |
| Microsoft | Backdoor:Win32/Farfli.K | 20130217 |
| MicroWorld-eScan | Trojan.Generic.7173312 | 20130217 |
| NANO-Antivirus | Trojan.Win32.MLW.dvfhu | 20130217 |
| Norman | Crypt.BHCB | 20130217 |
| nProtect | Trojan/W32.Agent.114176.ARE | 20130217 |
| Panda | Trj/Lineage.EGB | 20130217 |
| PCTools | - | 20130217 |
| Rising | Backdoor.Zegost!4AE9 | 20130205 |
| Sophos | Troj/Magania-O | 20130217 |
| SUPERAntiSpyware | Trojan.Agent/Gen-Farfli | 20130217 |
| Symantec | WS.Reputation.1 | 20130217 |
| TheHacker | Trojan/Magania.ffxj | 20130217 |
| TotalDefense | Win32/Zegost.B!generic | 20130217 |
| TrendMicro | TROJ_REDOS.SM2 | 20130217 |
| TrendMicro-HouseCall | TROJ_GEN.F47V0207 | 20130217 |
| VBA32 | BScope.Trojan.SvcHorse.01643 | 20130215 |
| VIPRE | Backdoor.Win32.Farfli.A (v) | 20130217 |
| ViRobot | Trojan.Win32.A.PSW-Magania.57344 | 20130217 |
상세 분석 내용
악성코드가 생성한 360SP2.dll 파일은 정상 svchost.exe 프로세스에 인젝션 해서 동작 한다. Svchost.exe는 Windows에서 다양한 기능을 수행하는 데 사용하는 기타 개별 서비스를 호스팅하거나 포함하는 컴퓨터의 프로세스이다
악성코드에 감염된 사용자 PC의 Windows OS 버전, CPU 정보, 메모리 정보, 캡쳐 드라이버(웹캠 존재 여부)등의 정보를 수집하여 공격자에게 전송한다.
rasphone.pbk 파일로 부터 PhoneNumber, DialParamsUID, Device 등의 정보를 탈취 한다. rasphone.pbk 파일은 모뎀이 사용하는 설정 파일로 시스템에 모델이 설치되어 있지 않으면 해당 파일도 존재 하지 않는다.
악성코드의 캠 도청 기능으로 capCreateCaptureWindow 함수를 호출 해서 캡쳐 윈도우를 생성한다. C&C 서버에서 capDrivaerConnec 함수를 호출 하고 캡쳐 드라이브와 캡쳐 윈도우를 연결 한다.
waveInOpen 함수를 호출 해서 사운드 디바이스를 열고 waveInPrepareHeader 함수와waveInAddBuffer 함수를 호출 해서 사운드에 필요한 버퍼의 헤더를 초기화하고 waveInStart 함수를 호출 해서 녹음을 시작한다.
FindFirstFile 함수를 이용해 파일 검색을 시작 하고 그리고 검색에 필요한 정보를 만들고 검색 핸들을 리턴 한다. 이어지는 검색은 FindNextFile 함수가 담당 하며 만약 악성 해커가 디렉토리나 파일을 삭제 할려고 한다면 DeleteFile 함수와 RemoveDirectory 함수를 이용해서 원하는 파일,디렉토리를 삭제 한다.
악성코드는 다양한 악성 기능을 수행 하며 파일 탐색, 웹캠 도청 , 사운드 도청 , 삭제 기능, 키로깅등 다양한 공격 기능을 가지고 있다.
C&C 서버의 소재지는 중국 이다
'악성코드 분석' 카테고리의 다른 글
| Backdoor:Win32/PcClient.AI (0) | 2013.02.20 |
|---|---|
| GenPack:Trojan.Generic.2618737 (0) | 2013.02.19 |
| Trojan/Win32.Gh0st (0) | 2013.02.17 |
| Win32/Agent.OQR (0) | 2013.02.17 |
| Trojan.Keylogger.MXF (0) | 2013.02.16 |
