개요
악성코드 개요
GenPack:Trojan.Generic.2618737 악성코드는 사용자 PC를 감염 시켜서 다양한 악성 행위 기능을 수행 DDoS 공격 기능을 보유한 악성코드이다.
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
O |
| ViRobot |
X |
<국내 주요 백신 결과>
VirusTotal 점검 내역
| 안티바이러스 | 결과 | 업데이트 |
|---|---|---|
| Agnitum | Win32.Virut.AB.Gen | 20130218 |
| AhnLab-V3 | Win32/Virut.F | 20130218 |
| AntiVir | W32/Virut.Gen | 20130218 |
| Antiy-AVL | - | 20130218 |
| Avast | Win32:Vitro | 20130218 |
| AVG | Downloader.Generic_r.OO | 20130218 |
| BitDefender | GenPack:Trojan.Generic.2618737 | 20130218 |
| ByteHero | - | 20130218 |
| CAT-QuickHeal | W32.Virut.G | 20130218 |
| ClamAV | - | 20130218 |
| Commtouch | W32/Virut.AL!Generic | 20130218 |
| Comodo | Packed.Win32.MUPX.Gen | 20130218 |
| DrWeb | Win32.Virut.56 | 20130218 |
| Emsisoft | Win32.Virtob.Gen.12 (B) | 20130218 |
| eSafe | - | 20130211 |
| ESET-NOD32 | Win32/Virut.NBP | 20130218 |
| F-Prot | W32/Virut.AL!Generic | 20130218 |
| F-Secure | GenPack:Trojan.Generic.2618737 | 20130218 |
| Fortinet | W32/Virut.CE | 20130218 |
| GData | GenPack:Trojan.Generic.2618737 | 20130218 |
| Ikarus | Virus.Win32.Virut | 20130218 |
| Jiangmin | Win32/Virut.bt | 20130218 |
| K7AntiVirus | Virus | 20130218 |
| Kaspersky | Virus.Win32.Virut.ce | 20130218 |
| Kingsoft | Win32.Virut.oo.368640 | 20130204 |
| Malwarebytes | - | 20130218 |
| McAfee | W32/Virut.n.gen | 20130218 |
| McAfee-GW-Edition | Heuristic.LooksLike.Win32.Suspicious.C | 20130218 |
| Microsoft | Virus:Win32/Virut.BN | 20130218 |
| MicroWorld-eScan | GenPack:Trojan.Generic.2618737 | 20130218 |
| NANO-Antivirus | Virus.Win32.Virut.hpeg | 20130218 |
| Norman | Virut.HL | 20130218 |
| nProtect | - | 20130218 |
| Panda | W32/Sality.AO | 20130218 |
| Rising | Win32.Virut.dy | 20130205 |
| Sophos | W32/Scribble-B | 20130218 |
| SUPERAntiSpyware | - | 20130218 |
| Symantec | W32.Virut.CF | 20130218 |
| TheHacker | - | 20130217 |
| TotalDefense | - | 20130218 |
| TrendMicro | PE_VIRUX.R | 20130218 |
| TrendMicro-HouseCall | PE_VIRUX.R | 20130218 |
| VBA32 | Virus.Virut.14 | 20130218 |
| VIPRE | Virus.Win32.Virut.ce.5 (v) | 20130218 |
| ViRobot | Win32.Virut.AM | 20130218 |
상세 분석 내용
악성코드에 감염된 사용자 PC의 운영체제 정보, CPU 정보, 메모리 정보, 캡쳐 드라이브 정보등을 수집하여 공격자에게 전송한다.
악성코드에 감염된 사용자 PC 시스템에 대해서 재부팅 시키거나 강제 종료 그리고 응용 프로그램 강제 종료 권한을 악성해커가 가지고 있다. 악성해커는 감염 PC에 SeShutdownPrivilege 특권을 이용하여 ExitWindowsEx 함수를 호출 해서 종료 및 재부팅을 실행 한다.
악성 해커의 명령을 통해서 감염 PC는 외부에서 파일을 다운로드 실행 하며 악성 해커는 이를 통해서 추가적인 악성코드를 설치 할 것으로 추정 된다.
악성코드에 감염된 사용자 PC는 원격제어가 가능 해지며 악성 해커는keybd_event mouse_event 함수를 호출 해서 사용자 PC에 대해서 마우스를 제어 하거나 키보드를 입력 할 수 있다.
악성코드는 감염 PC에 대해서 화면 캡쳐 기능을 가지고 있으며 CreateDC 함수를 호출해서 전체 화면 DC를 만들고 CreateCompatibleDC 함수를 호출 해서 만들어진 화면 DC를 호환되는 메모리 DC로 생성 한다 CreateCompatibleBitmap 함수를 호출 해서 비트맵을 생성 한다. 그리고 BitBlt 함수를 호출 해서 메모리 DC에 화면 DC를 복사 한다. 악성코드의 캠 도청 기능으로 capCreateCaptureWindow 함수를 호출 해서 캡쳐 윈도우를 생성한다. C&C 서버에서 capDrivaerConnec 함수를 호출 하고 캡쳐 드라이브와 캡쳐 윈도우를 연결 한다.
다양한 DDoS 공격 기능이 존재 하며 DDoS 공격 기능 중 CC Attack 공격을 가지고 있으며 HTTP User-Agent 헤더 부분에 Cache-Control: no-store, must-revalidate 의 값을 추가하여 공격 하는 방식이다.
C&C 서버의 소재지는 미국이다
'악성코드 분석' 카테고리의 다른 글
| Trojan-GameThief.Win32.Magania.hyha (0) | 2013.02.26 |
|---|---|
| Backdoor:Win32/PcClient.AI (0) | 2013.02.20 |
| Backdoor.Win32.Zegost (0) | 2013.02.18 |
| Trojan/Win32.Gh0st (0) | 2013.02.17 |
| Win32/Agent.OQR (0) | 2013.02.17 |
