개요
악성코드 개요
Win-Trojan/PcClient.365056 악성코드는 C&C 서버의 명령어를 통해서 다양한 악성 기능을 수행 하는 악성코드이다
MD5:061016834490183beea970b1b72912b6
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
O |
| ViRobot |
O |
<국내 주요 백신 결과>
VirusTotal 점검 내역
| 안티바이러스 | 결과 | 업데이트 |
|---|---|---|
| Agnitum | Backdoor.PcClient.Gen.3 | 20130218 |
| AhnLab-V3 | Win-Trojan/PcClient1.Gen | 20130219 |
| AntiVir | DR/PcClient.Gen | 20130219 |
| Antiy-AVL | - | 20130218 |
| Avast | Win32:Downloader-AZY [Trj] | 20130219 |
| AVG | BackDoor.PcClient.2.S | 20130218 |
| BitDefender | Trojan.Crypt.DG | 20130219 |
| ByteHero | - | 20130218 |
| CAT-QuickHeal | Win32.Backdoor.PcClient.DF.6 | 20130219 |
| ClamAV | - | 20130219 |
| Commtouch | W32/Backdoor2.BEDI | 20130219 |
| Comodo | Backdoor.Win32.PcClient.~U | 20130219 |
| DrWeb | BackDoor.PcClient.564 | 20130219 |
| Emsisoft | Trojan.Crypt.DG (B) | 20130219 |
| eSafe | - | 20130211 |
| ESET-NOD32 | a variant of Win32/PcClient | 20130218 |
| F-Prot | W32/Backdoor2.BEDI | 20130219 |
| F-Secure | Trojan.Crypt.DG | 20130219 |
| Fortinet | W32/PCClient.CMD!tr | 20130219 |
| GData | Trojan.Crypt.DG | 20130219 |
| Ikarus | Trojan.Crypt | 20130219 |
| Jiangmin | Backdoor/PcClient.foh | 20130219 |
| K7AntiVirus | Backdoor | 20130218 |
| Kaspersky | Backdoor.Win32.PcClient.crn | 20130219 |
| Kingsoft | Win32.Troj.PcClientT.rs.66591 | 20130204 |
| Malwarebytes | - | 20130219 |
| McAfee | BackDoor-CEP.gen.y | 20130219 |
| McAfee-GW-Edition | Heuristic.LooksLike.Win32.SuspiciousPE.C | 20130219 |
| Microsoft | Backdoor:Win32/PcClient.AI | 20130219 |
| MicroWorld-eScan | Trojan.Crypt.DG | 20130219 |
| NANO-Antivirus | - | 20130219 |
| Norman | PCClient.gen3 | 20130218 |
| nProtect | Trojan.Crypt.DG | 20130218 |
| Panda | Bck/PcClient.JK | 20130218 |
| Rising | Backdoor.Win32.PcClient.ehk | 20130205 |
| Sophos | Mal/Generic-L | 20130219 |
| SUPERAntiSpyware | - | 20130218 |
| Symantec | Backdoor.Formador | 20130219 |
| TheHacker | Backdoor/PcClient.crn | 20130219 |
| TotalDefense | Win32/PcClient!generic | 20130218 |
| TrendMicro | BKDR_PCCLIE.SMI | 20130219 |
| TrendMicro-HouseCall | TROJ_GEN.F47V0208 | 20130219 |
| VBA32 | suspected of Malware.Agent.22 | 20130218 |
| VIPRE | Backdoor.Win32.Pcclient (v) | 20130219 |
| ViRobot | Backdoor.Win32.PcClient.73539 | 20130219 |
상세 분석 내용
악성코드가 생성한 mbevah.dll 파일은 정상 svchost.exe 프로세스에 인젝션 해서 악성 행위를 시작 한다. Svchost.exe는 Windows에서 다양한 기능을 수행하는 데 사용하는 기타 개별 서비스를 호스팅하거나 포함하는 컴퓨터의 프로세스이다
악성코드에 감염된 사용자 PC의 운영체제 정보, 메모리 정보, 컴퓨터 이름, 캡쳐 드라이버 정보를 공격자에게 전송 한다.
악성코드에 감염된 사용자 PC 시스템에 대해서 재부팅 시키거나 강제 종료 그리고 응용 프로그램 강제 종료 권한을 악성해커가 가지고 있다. 악성해커는 감염 PC에 SeShutdownPrivilege 특권을 이용하여 ExitWindowsEx 함수를 호출 해서 종료 및 재부팅을 실행 한다.
waveInOpen 함수를 호출 해서 사운드 디바이스를 열고 waveInPrepareHeader 함수와waveInAddBuffer 함수를 호출 해서 사운드에 필요한 버퍼의 헤더를 초기화하고 waveInStart 함수를 호출 해서 녹음을 시작한다.
악성코드는 감염 PC에 대해서 화면 캡쳐 기능을 가지고 있으며 CreateDC 함수를 호출해서 전체 화면 DC를 만들고 CreateCompatibleDC 함수를 호출 해서 만들어진 화면 DC를 호환되는 메모리 DC로 생성 한다 CreateCompatibleBitmap 함수를 호출 해서 비트맵을 생성 한다. 그리고 BitBlt 함수를 호출 해서 메모리 DC에 화면 DC를 복사 한다.
악성코드는 감염 PC에 대해서 익스플로러를 실행 시킬 수 있다. 추가 악성코드를 감염 시키거나 감염 PC에게 특정 홈페이지를 보여주는 기능으로 사용 할 것으로 추정 된다.
C&C 서버의 소재지는 미국이다.
'악성코드 분석' 카테고리의 다른 글
| Trojan-PWS/W32.WebGame.137351 (0) | 2013.02.27 |
|---|---|
| Trojan-GameThief.Win32.Magania.hyha (0) | 2013.02.26 |
| GenPack:Trojan.Generic.2618737 (0) | 2013.02.19 |
| Backdoor.Win32.Zegost (0) | 2013.02.18 |
| Trojan/Win32.Gh0st (0) | 2013.02.17 |
