개요
악성코드 개요
Downloader/Win32.Genome 악성코드는 추가 악성 파일을 다운로드 하는 악성코드다. 악성코드는 추가로 악성코드를 다운로드 하는 다운로더형 악성코드다. 악성코드가 설정한 웹사이트로 접속해서 악성코드를 다운로드 받아서 감염 시키는 형태다.
MD5:69afed68a2d6ac09b492925efb5de1ea
생성파일 정보 요약
파일 생성 정보
C:\WINDOWS\youes\svchost.exe
생성 레지스트리 정보
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{AENGFU3AA-U566-11d2-9CBD-0000F87A369E}
|
<패킹 결과>
AhnLab-V3 |
O |
BitDefender(알약) |
O |
nProtect |
O |
ViRobot |
O |
<국내 주요 백신 결과>
VirusTotal 점검 내역
상세 분석 내용
시스템 정보(mac=&userid=&jinchengshu=)를 유출 한다.
GetModuleFileName 함수를 호출해서 악성코드 실행 위치를 구하고 C:\WINDOWS\youes 폴더를 생성 한다. 그리고 CopyFile 함수를 호출해서 원본 악성코드 파일을 복사 한다.
추가 악성코드를 다운 한다. 추가 다운로드 하는 사이트 위치는 정상 사이트로 중국 지도 및 위치 정보 제공 사이트로 해킹 후 유포지로 사용한것으로 추정된다. 다운로드 하는 악성 파일은 사이트에서 악성 파일을 삭제한것으로 추정된다.
악성 해커는 자동 실행을 위해서 레지스트리를 조작 한다
'악성코드 분석' 카테고리의 다른 글
Trojan.Win32.Jorik.ZAccess.khl (0) | 2013.01.15 |
---|---|
Trojan-Dropper.Win32.Small.p (1) | 2013.01.15 |
Backdoor/Win32.Delf (0) | 2013.01.09 |
Backdoor.Win32.Yoddos.an (0) | 2013.01.09 |
Trojan-Dropper.Win32.Agent.exc (0) | 2013.01.09 |