개요
악성코드 개요
악성코드는 중국에서 제작한 것으로 추정 되며 시스템에 존재 하는 모든 파일들을 삭제 시켜 시스템을 파괴 하는 악성코드이다.
MD5:0b02d4ba833a2af0eaa826d65e8ebefa
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
X |
| BitDefender(알약) |
O |
| nProtect |
O |
| ViRobot |
X |
<국내 주요 백신 결과>
VirusTotal 점검 내역
| 안티바이러스 | 결과 | 업데이트 |
|---|---|---|
| Agnitum | Trojan.DR.Dapato!tOEwOcrMEBk | 20130219 |
| AhnLab-V3 | - | 20130219 |
| AntiVir | TR/Dldr.Delphi.Gen | 20130219 |
| Antiy-AVL | - | 20130219 |
| Avast | Win32:Flot-E [Trj] | 20130220 |
| AVG | unknown virus Win32/DH{MDY5AwkgIlslAQ} | 20130220 |
| BitDefender | Trojan.Generic.5838889 | 20130219 |
| ByteHero | - | 20130218 |
| CAT-QuickHeal | - | 20130219 |
| ClamAV | - | 20130219 |
| Commtouch | W32/Delfloader.B.gen!Eldorado | 20130219 |
| Comodo | TrojWare.Win32.Trojan.NSPM.~gen | 20130220 |
| DrWeb | Win32.HLLW.Autoruner1.31905 | 20130220 |
| Emsisoft | Trojan.Generic.5838889 (B) | 20130220 |
| eSafe | Suspicious File | 20130211 |
| ESET-NOD32 | Win32/AutoRun.Delf.LZ | 20130219 |
| F-Prot | W32/Delfloader.B.gen!Eldorado | 20130219 |
| F-Secure | Trojan.Generic.5838889 | 20130219 |
| Fortinet | - | 20130220 |
| GData | Trojan.Generic.5838889 | 20130220 |
| Ikarus | Trojan-PWS.Win32.QQRob | 20130219 |
| Jiangmin | Trojan/Genome.bkcl | 20130219 |
| K7AntiVirus | Riskware | 20130219 |
| Kaspersky | Trojan-Dropper.Win32.Dapato.azue | 20130219 |
| Kingsoft | Win32.Troj.Undef.(kcloud) | 20130204 |
| Malwarebytes | Worm.Autorun | 20130219 |
| McAfee | Trojan-FBAB!0B02D4BA833A | 20130220 |
| McAfee-GW-Edition | Heuristic.LooksLike.Win32.Suspicious.J | 20130220 |
| Microsoft | Trojan:Win32/Sisproc | 20130220 |
| MicroWorld-eScan | Trojan.Generic.5838889 | 20130220 |
| NANO-Antivirus | Trojan.Win32.Delphi.ktzyh | 20130219 |
| Norman | Suspicious_N.gen | 20130219 |
| nProtect | Trojan.Generic.5838889 | 20130219 |
| Panda | Trj/Genetic.gen | 20130219 |
| PCTools | Net-Worm.SillyFDC!rem | 20130219 |
| Rising | Suspicious | 20130205 |
| Sophos | Mal/Packer | 20130219 |
| SUPERAntiSpyware | Trojan.Agent/Gen-Sisproc | 20130219 |
| Symantec | W32.SillyFDC | 20130220 |
| TheHacker | W32/Behav-Heuristic-063 | 20130219 |
| TotalDefense | - | 20130219 |
| TrendMicro | Mal_MLWR-24 | 20130220 |
| TrendMicro-HouseCall | TROJ_GEN.F47V0212 | 20130220 |
| VBA32 | MalwareScope.Trojan-PSW.Game.7 | 20130219 |
| VIPRE | BehavesLike.Win32.Malware.eah (mx-v) | 20130220 |
| ViRobot | - | 20130220 |
상세 분석 내용
악성코드 실행 시 메세지 박스를 호출 하고 확인을 누르면 시스템 파괴를 시작 한다.
악성코드 메세지 박스 확인 클릭 이후 윈도우 XP 환경 에서 시스템 부팅 시 위와 같은 화면이 출력 되며 부팅이 불가능 해진다.
악성 코드는 메세지 박스를 호출 하고 414020 사용자 정의 함수를 호출 한다. 414020 함수는 시스템 파괴를 위한 기능을 수행 한다.
그리고 안전 모드 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot 에 접속할 수 없도록 하기 위해서 레지스트리 값을 삭제한다.
assoc 명령어를 이용 하여 확장자를 변경 시켜서 올바른 프로그램 실행을 방해 한다.
레지스트리에 값을 추가 로그오프 매뉴 숨김, 찾기 매뉴 숨김, 실행 메뉴 숨김, 시스템 종료 매뉴 숨김, 내 컴퓨터 드라이브 숨김등을 수행 한다.
악성 행위 기능을 bat 파일로 작성 하고 WinExec 함수 숨김 속성으로 .bat 파일과 함께 CMD 명령어를 통해서 시스템 파괴 명령어 기능을 수행 한다.
악성코드는 Worm 형식으로 자체 전파 기능을 가지고 있으며 USB같은 이동형 저장 장치에 복사되어 전파된다. 악성코드 실행 이전 USB 같은 이동형 저장 장치가 연결 되어 있다면 autorun.inf 파일을 생성 해서 추후 USB가 다른 컴퓨터에 연결 시 악성코드 기능으로 시스템 파괴 기능을 수행 한다.
CopyFile 함수를 호출 해서 USB 드라이브에 java.exe 파일로 복사 한다. 그리고 SetFileAttributes 함수를 호출 해서 java.exe 파일 속성을 숨김으로 하고 autorun.inf 파일 속성도 숨김으로 변경 한다.
악성코드가 생성한 autorun.inf 파일과 java.exe 파일을 이용해서 추후 감염된 USB를 다른 컴퓨터에 연결시 시스템 파괴 기능을 수행 한다. shell\open\command=, shell\explore\command= 옵션을 설정 해서 열기나 탐색을 이용한 디스크 접근 시에도 악성코드가 실행된다.
'APT 보관' 카테고리의 다른 글
| Trojan/Win32.HDC (0) | 2013.02.22 |
|---|---|
| Win-Trojan/Dalbot.737284 (0) | 2013.02.22 |
| Trojan.Win32.Agent.txrf (0) | 2013.02.22 |
| Downloader.a!bhh (0) | 2013.02.21 |
| Trojan-Downloader.Win32.Agent.tqnc (0) | 2013.02.21 |
