개요
악성코드 개요
Trojan-GameThief.Win32.Magania.hyha 악성코드는 C&C 서버의 명령어를 통해서 다양한 악성 기능을 수행 하는 악성코드다
MD5:10b787f338d99cc82f0dde01afc6a6fb
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
O |
| ViRobot |
O |
<국내 주요 백신 결과>
VirusTotal 점검 내역
| 안티바이러스 | 결과 | 업데이트 |
|---|---|---|
| Agnitum | Trojan.Redosdru.Gen | 20130225 |
| AhnLab-V3 | Backdoor/Win32.PcClient | 20130225 |
| AntiVir | BDS/Backdoor.Gen | 20130225 |
| Antiy-AVL | Trojan/Win32.Magania | 20130225 |
| Avast | Win32:Trojan-gen | 20130225 |
| AVG | PSW.OnlineGames4.XRC.dropper | 20130225 |
| BitDefender | Gen:Variant.Zusy.218 | 20130225 |
| ByteHero | - | 20130221 |
| CAT-QuickHeal | Trojan.Aksula.A | 20130225 |
| ClamAV | - | 20130225 |
| Commtouch | W32/OnlineGames.BW.gen!Eldorado | 20130225 |
| Comodo | Backdoor.Win32.Agent.FLG | 20130225 |
| DrWeb | Trojan.DownLoader7.7329 | 20130225 |
| Emsisoft | Gen:Variant.Zusy.2831 (B) | 20130225 |
| eSafe | - | 20130211 |
| ESET-NOD32 | a variant of Win32/Farfli.LG | 20130225 |
| F-Prot | W32/OnlineGames.BW.gen!Eldorado | 20130224 |
| F-Secure | Gen:Variant.Zusy.218 | 20130225 |
| Fortinet | W32/Torr.BH!tr.bdr | 20130225 |
| GData | Gen:Variant.Zusy.218 | 20130225 |
| Ikarus | Backdoor.Win32.Zegost | 20130225 |
| Jiangmin | Trojan/PSW.Magania.baug | 20130225 |
| K7AntiVirus | Password-Stealer | 20130222 |
| Kaspersky | Trojan-GameThief.Win32.Magania.hyha | 20130225 |
| Kingsoft | Win32.Troj.DialerT.nh.126976 | 20130225 |
| Malwarebytes | Trojan.ServStart | 20130225 |
| McAfee | Artemis!10B787F338D9 | 20130225 |
| McAfee-GW-Edition | Heuristic.BehavesLike.Win32.Backdoor.H | 20130225 |
| Microsoft | Backdoor:Win32/Farfli.K | 20130225 |
| MicroWorld-eScan | Gen:Variant.Zusy.218 | 20130225 |
| NANO-Antivirus | Trojan.Win32.MLW.dvfhu | 20130225 |
| Norman | Swisyn.CB | 20130225 |
| nProtect | Trojan-PWS/W32.WebGame.133632.CA | 20130225 |
| Panda | Trj/Lineage.EGB | 20130225 |
| PCTools | HeurEngine.ZeroDayThreat | 20130225 |
| Rising | Backdoor.Zegost!4AE9 | 20130225 |
| Sophos | Troj/Zegost-AC | 20130225 |
| SUPERAntiSpyware | Trojan.Agent/Gen-Farfli | 20130225 |
| Symantec | WS.Reputation.1 | 20130225 |
| TheHacker | Trojan/Farfli.lg | 20130224 |
| TotalDefense | Win32/Zegost.B!generic | 20130225 |
| TrendMicro | BKDR_FARFLI.SML | 20130225 |
| TrendMicro-HouseCall | TROJ_GEN.F47V0215 | 20130225 |
| VBA32 | BScope.Trojan.SvcHorse.01643 | 20130225 |
| VIPRE | Backdoor.Win32.Farfli.A (v) | 20130225 |
| ViRobot | Trojan.Win32.A.PSW-Magania.57344 | 20130225 |
상세 분석 내용
RegOpenKeyEx 함수를 호출 해서 서브키(SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost) 레지스트리 데이터 값을 얻기 위해 키를 open 한다
ReqQueryValueEx 함수를 호출 해서 레지스트리 키 데이터를 얻는다.
OpenSCManager 함수를 호출 해서 SCM 핸들을 구하고 CreateService 함수를 호출 해서 서비스를 등록 한다.
생성한 서비스에 ServiceDll 등록 해서 서비스 실행 시 함께 악성파일(hundan.dll) 파일도 함께 메모리에 올라 가서 동작을 수행 한다.
fopen 함수를 호출 해서 빈 파일(hundan.dll)을 생성 한다.
FindResource 함수는 특정 모듈로부터 리소스를 찾는 함수다. FindResource 함수는 리소스타입은 BIN (PE 파일)이며 모듈은 NULL로 설정해서 리소스 핸들로 반환 한다.
LoadResource 함수를 호출 해서 리소스 첫번째 바이트 포인터를 얻는다.
SizeofResource 함수를 호출해서 빈 hundan.dll 파일에 리소스 크기를 구하고 fwrite 함수를 이용해서 내용을 한다
악성코드의 캠 도청 기능으로 capCreateCaptureWindow 함수를 호출 해서 캡쳐 윈도우를 생성한다. C&C 서버에서 capDrivaerConnec 함수를 호출 하고 캡쳐 드라이브와 캡쳐 윈도우를 연결 한다.
rasphone.pbk 파일로 부터 PhoneNumber, DialParamsUID, Device 등의 정보를 탈취 한다. rasphone.pbk 파일은 모뎀이 사용하는 설정 파일로 시스템에 모델이 설치되어 있지 않으면 해당 파일도 존재 하지 않는다.
Application,Security,System 이벤트 로그를 삭제 한다.OpenEventLog 함수를
사용해서 해당 로그에 대한 핸들을 받아오고 Application, Security, System에 대한 이벤트 로그 핸들을 받고 ClearEventLog 함수를 통해서 로그 기록을 삭제 한다.
악성코드 감염 PC의 운영체제 정보, 메모리 정보 , CPU 정보, 디스크 정보, 캡쳐 드라이버 정보등을 C&C 서버로 탈취 한다.
악성코드 감염 시 C&C 명령어에 의해서 원격 터미널 서비스 레지스트리를 조작 한다. 악성코드를 제작자는 윈도우 구조에 대한 깊은 이해를 가지고 있는것으로 추정 된다.
waveInOpen 함수를 호출 해서 사운드 디바이스를 열고 waveInPrepareHeader 함수와waveInAddBuffer 함수를 호출 해서 사운드에 필요한 버퍼의 헤더를 초기화하고 waveInStart 함수를 호출 해서 녹음을 시작한다.
'악성코드 분석' 카테고리의 다른 글
| Backdoor.Win32.PcClient.ani (0) | 2013.03.01 |
|---|---|
| Trojan-PWS/W32.WebGame.137351 (0) | 2013.02.27 |
| Backdoor:Win32/PcClient.AI (0) | 2013.02.20 |
| GenPack:Trojan.Generic.2618737 (0) | 2013.02.19 |
| Backdoor.Win32.Zegost (0) | 2013.02.18 |
