Trojan/Win32.Magania

개요

 

Trojan/Win32.Magania 악성코드는 주 목적은 DDoS 공격 악성코드 입니다. 추가로 다른 모듈을 탑재해서 추가로 감염 시킬수 있는 형태의 악성코드 입니다.

 

상세 분석

 

 

 

<국내 유포>

 

 

<virustotal 결과>

 

<패킹결과>

패킹 여부를 판단하기 위해서 PEID로 확인 결과 패킹은 하지 않은 Microsoft Visual C++ 6.0 로 작성된 악성코드로 나옵니다.

 

 

GetModuleFileName 함수 호출해서 실행되고 있는 자신의 파일경로를 확인합니다. GetSystemDirectory 함수를 호출 해서 윈도우즈 시스템 디렉토리의(C:\WINDOWS\system32) 경로를 구합니다

 

 

 

파일명을 랜덤.exe로 설정하고 CopyFile 함수를 사용해서 바탕화면에 있는 악성코드를 시스템 디렉토리 경로로 복사합니다

 

 

StartService 함수를 호출해서 정의한 서비스를 시작으로 감염파일이 실행 됩니다.

 

 

정리 한다면 다음과 같은 과정을 통해서 파일을 생성하고, 생성한 파일을 실행 합니다.

 

 

감염 PC의 운영체제 정보,메모리 정보,CPU 정보를 탈취합니다.

 

 

C&C 서버의 명령을 통해서 웹사이트 파일을 다운받아 오는 기능 탑재 따로 인코딩한 문자열이 없는것으로 봐서 C&C 서버의 명령을 통해서 작동하는걸로 추정됩니다.

 

 

 

DDoS 공격 방법중 하나인 HTTP GET Flooding 공격 기능이 존재합니다.

 

 

다음과 같은 C&C 서버와 주기적으로 접속 시도를 합니다

 

 

서버의 소재지는 미국으로 나옵니다.