개요
악성코드 개요
Trojan-PWS/W32.WebGame.137351 악성코드는 2012년도 국내에서 백신업체를 통해 접수된 악성코드 피해신고 가운데 가장 많이 피해 신고 접수가 된 악성코드로 온라인게임 계정을 탈취하는 악성 코드다.
MD5:0a67d5942e9525386deb378cc3d5c2c5
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
O |
| ViRobot |
O |
<국내 주요 백신 결과>
VirusTotal 점검 내역
안티바이러스
결과
업데이트
Agnitum
-
20130225
AhnLab-V3
Trojan/Win32.OnlineGameHack
20130226
AntiVir
TR/Crypt.XPACK.Gen
20130226
Antiy-AVL
-
20130225
Avast
Win32:Malware-gen
20130226
AVG
unknown virus Win32/DH{eQY}
20130226
BitDefender
Trojan.Generic.KD.870612
20130226
ByteHero
-
20130221
CAT-QuickHeal
-
20130225
ClamAV
-
20130226
Commtouch
W32/GenBl.0A67D594!Olympus
20130226
Comodo
Packed.Win32.MPEC.Gen
20130226
DrWeb
-
20130226
Emsisoft
Trojan.Win32.PSW.OnLineGames.AMN (A)
20130226
eSafe
Suspicious File
20130211
ESET-NOD32
a variant of Win32/PSW.OnLineGames.QDE
20130225
F-Prot
-
20130226
F-Secure
Trojan.Generic.KD.870612
20130226
Fortinet
-
20130226
GData
Trojan.Generic.KD.870612
20130226
Ikarus
Backdoor.Win32.FlyAgent
20130226
Jiangmin
Trojan/Generic.anxqi
20130226
K7AntiVirus
-
20130225
Kaspersky
Trojan-GameThief.Win32.OnLineGames.ajmbp
20130226
Kingsoft
-
20130225
Malwarebytes
Trojan.GamesThief.PEC
20130226
McAfee
RDN/Generic.hra!g
20130226
McAfee-GW-Edition
RDN/Generic.hra!g
20130226
Microsoft
-
20130226
MicroWorld-eScan
Trojan.Generic.KD.870612
20130226
NANO-Antivirus
-
20130226
Norman
Malware
20130225
nProtect
Trojan-PWS/W32.WebGame.137351
20130226
Panda
Trj/CI.A
20130225
PCTools
HeurEngine.MaliciousPacker
20130225
Rising
Suspicious
20130225
Sophos
Mal/Generic-S
20130226
SUPERAntiSpyware
-
20130226
Symantec
Suspicious.MH690.A
20130226
TheHacker
-
20130226
TotalDefense
-
20130225
TrendMicro
PAK_Generic.001
20130226
TrendMicro-HouseCall
TROJ_GEN.RCBB1BN
20130226
VBA32
TrojanPSW.OnLineGames.a
20130225
VIPRE
Trojan.Win32.Qhost.hb (v)
20130226
ViRobot
Dropper.U.Agent.137351
20130226
상세 분석 내용
악성 파일은 분석 방해 기술이 존재 하며 실행 시 분석 프로그램이 프로세스에 올라가 있다면 메세지를 호출 하고 악성코드 실행을 중지 한다.
악성코드에 의해 변경되는 ws2help.dll 파일은 ws2_32.dll 파일을 보조 하는 역할로 사용 되며 악성코드는 정상 파일 상태인 ws2help.dll 파일을 악성코드로 변경 하고 정상 파일 ws2help.dll 파일을 ws2helpXP.dll 백업하고 ws2helpXP.dll 파일은 정상 파일인 ws2help.dll 시스템 파일 역할을 수행 한다.
국내 주요 온라인 게임 사이트에 대해서 게임 계정 정보를 탈취 한다.
국내 주요 백신에 대해서 프로세스가 존재 한다면 해당 프로세스를 강제 종료 시켜 백신 무력화를 진행 한다.
iexplore.exe 프로세스에 악성 파일 ws2help.dll 파일을 통해 사용자가 온라인 게임 사이트에 접속하여 로그인을 시도할 경우 특정 주소로 계정 정보를 탈취 한다.
온라인 게임계정 정보를 탈취 하는 서버의 소재지는 미국이다
'악성코드 분석' 카테고리의 다른 글
| Packed/Win32.Black (0) | 2013.03.02 |
|---|---|
| Backdoor.Win32.PcClient.ani (0) | 2013.03.01 |
| Trojan-GameThief.Win32.Magania.hyha (0) | 2013.02.26 |
| Backdoor:Win32/PcClient.AI (0) | 2013.02.20 |
| GenPack:Trojan.Generic.2618737 (0) | 2013.02.19 |
