개요
악성코드 개요
Backdoor.Win32.PcClient.ani 악성코드는 C&C 서버의 명령어를 통해서 다양한 악성 기능을 수행 하는 악성코드이다
MD5:09662e7de94c23344c7ceb2fc2553443
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
O |
| ViRobot |
O |
<국내 주요 백신 결과>
VirusTotal 점검 내역
| 안티바이러스 | 결과 | 업데이트 |
|---|---|---|
| Agnitum | Backdoor.PcClient.Gen.3 | 20130226 |
| AhnLab-V3 | Win-Trojan/PcClient1.Gen | 20130226 |
| AntiVir | BDS/Pcclient.brp | 20130227 |
| Antiy-AVL | - | 20130226 |
| Avast | Win32:Downloader-AZY [Trj] | 20130227 |
| AVG | BackDoor.PcClient.2.S | 20130226 |
| BitDefender | Trojan.Crypt.DG | 20130227 |
| ByteHero | - | 20130221 |
| CAT-QuickHeal | - | 20130227 |
| ClamAV | Trojan.PcClient-860 | 20130227 |
| Commtouch | W32/PcClient.C.gen!Eldorado | 20130226 |
| Comodo | Backdoor.Win32.PcClient.~U | 20130227 |
| DrWeb | BackDoor.Update.25 | 20130227 |
| Emsisoft | Trojan.Crypt.DG (B) | 20130227 |
| eSafe | - | 20130211 |
| ESET-NOD32 | a variant of Win32/PcClient | 20130226 |
| F-Prot | W32/PcClient.C.gen!Eldorado | 20130226 |
| F-Secure | Trojan.Crypt.DG | 20130226 |
| Fortinet | W32/PcClient.BIB!tr | 20130227 |
| GData | Trojan.Crypt.DG | 20130227 |
| Ikarus | Trojan.Crypt | 20130226 |
| Jiangmin | Backdoor/PcClient.egd | 20130226 |
| K7AntiVirus | Backdoor | 20130226 |
| Kaspersky | Backdoor.Win32.PcClient.ani | 20130226 |
| Kingsoft | Win32.Troj.pcclientt.aa | 20130225 |
| Malwarebytes | - | 20130227 |
| McAfee | BackDoor-CEP.gen.y | 20130227 |
| McAfee-GW-Edition | BackDoor-CEP.gen.y | 20130227 |
| Microsoft | Backdoor:Win32/PcClient.DA | 20130226 |
| MicroWorld-eScan | Trojan.Crypt.DG | 20130227 |
| NANO-Antivirus | Trojan.Win32.PcClient.jdrh | 20130227 |
| Norman | PCClient.gen3 | 20130226 |
| nProtect | Backdoor/W32.PcClient.52869 | 20130226 |
| Panda | Bck/PcClient.JK | 20130226 |
| PCTools | Backdoor.Pcclient | 20130225 |
| Rising | Backdoor.Win32.PcClient.ebb | 20130227 |
| Sophos | Troj/PcClien-NH | 20130227 |
| SUPERAntiSpyware | - | 20130227 |
| Symantec | Backdoor.Pcclient.B | 20130227 |
| TheHacker | Trojan/PcClient | 20130226 |
| TotalDefense | Win32/PcClient!generic | 20130226 |
| TrendMicro | BKDR_PCCLIE.SMI | 20130227 |
| TrendMicro-HouseCall | TROJ_GEN.F47V0213 | 20130227 |
| VBA32 | BackDoor.PSClient | 20130226 |
| VIPRE | Backdoor.Win32.Pcclient (v) | 20130227 |
| ViRobot | Backdoor.Win32.PcClient.61747 | 20130227 |
상세 분석 내용
악성코드 감염 PC 사용자의 운영체제 정보 , 컴퓨터 이름 , 캡쳐 드라이버 여부(웹캠 존재 여부), 메모리 정보를 탈취 해서 공격자에게 전송 한다.
C&C 서버는 중국에서 서비스 하는 3322.org 서비스를 이용 하고 있으며 3322.org 서비스는 다수의 악성코드가 악용 하고 있는 서비스로 한국에서 차단한 상태로 일반적으로 접근이 불가능 하다.
waveInOpen 함수를 호출 해서 사운드 디바이스를 열고 waveInPrepareHeader 함수와waveInAddBuffer 함수를 호출 해서 사운드에 필요한 버퍼의 헤더를 초기화하고 waveInStart 함수를 호출 해서 녹음을 시작한다.
악성코드의 캠 도청 기능으로 capCreateCaptureWindow 함수를 호출 해서 캡쳐 윈도우를 생성한다. C&C 서버에서 capDrivaerConnec 함수를 호출 하고 캡쳐 드라이브와 캡쳐 윈도우를 연결 한다.
악성코드에 감염된 사용자 PC 시스템에 대해서 종료 권한을 가지고 있으며 악성해커는 감염 PC에 SeShutdownPrivilege 특권을 이용하여 ExitWindowsEx 함수를 호출 해서 종료 및 재부팅을 실행 한다.
악성코드에서는 11 가지의 명령이 가능하다. 11가지 명령어 안에서도 세분화로 되있으며 추가로 20 가지 이상의 명령을 수행 할 수 있다.
C&C 서버의 소재지는 중국 이다
'악성코드 분석' 카테고리의 다른 글
| Trojan:WinNT/Darkshell.C (0) | 2013.03.03 |
|---|---|
| Packed/Win32.Black (0) | 2013.03.02 |
| Trojan-PWS/W32.WebGame.137351 (0) | 2013.02.27 |
| Trojan-GameThief.Win32.Magania.hyha (0) | 2013.02.26 |
| Backdoor:Win32/PcClient.AI (0) | 2013.02.20 |
