개요
악성코드 개요
Trojan-Downloader.Win32.Agent.tqnc 악성 코드는 다운로더형 악성코드로 외부 사이트로 부터 추가로 파일을 다운로드 하고 실행 해서 감염 시키는 악성코드 이다
MD5:e83f60fb0e0396ea309faf0aed64e53f
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
O |
| ViRobot |
O |
<국내 주요 백신 결과>
VirusTotal 점검 내역
https://www.virustotal.com/en/file/0e829513658a891006163ccbf24efc292e42cc291af85b957c1603733f0c99d4/analysis/1361384723/
| Antivirus | Result | Update |
|---|---|---|
| Agnitum | Trojan.DL.Agent!d/jxqaNsJcI | 20130220 |
| AhnLab-V3 | Trojan/Win32.Agent | 20130220 |
| AntiVir | TR/Downloader.Gen | 20130220 |
| Antiy-AVL | - | 20130220 |
| Avast | Win32:Trojan-gen | 20130220 |
| AVG | Generic14.HE | 20130220 |
| BitDefender | Trojan.Generic.KDV.489674 | 20130220 |
| ByteHero | - | 20130218 |
| CAT-QuickHeal | - | 20130220 |
| ClamAV | Trojan.Downloader-74679 | 20130220 |
| Commtouch | W32/Threat-SysAdderSml!Eldorado | 20130220 |
| Comodo | UnclassifiedMalware | 20130220 |
| DrWeb | Trojan.DownLoader5.18772 | 20130220 |
| Emsisoft | Trojan.Generic.KDV.489674 (B) | 20130220 |
| eSafe | Win32.TRDownloader | 20130211 |
| ESET-NOD32 | Win32/Agent.OIG | 20130220 |
| F-Prot | W32/Threat-SysAdderSml!Eldorado | 20130220 |
| F-Secure | Trojan.Generic.KDV.489674 | 20130220 |
| Fortinet | W32/Agent.OIJ!tr | 20130220 |
| GData | Trojan.Generic.KDV.489674 | 20130220 |
| Ikarus | Backdoor.Win32.Likseput | 20130220 |
| Jiangmin | TrojanDownloader.Agent.bsbu | 20130220 |
| K7AntiVirus | Riskware | 20130220 |
| Kaspersky | Trojan-Downloader.Win32.Agent.tqnc | 20130220 |
| Kingsoft | Win32.Troj.Undef.(kcloud) | 20130204 |
| Malwarebytes | Trojan.FakeAdobe | 20130220 |
| McAfee | Downloader.a!bbz | 20130220 |
| McAfee-GW-Edition | Downloader.a!bbz | 20130220 |
| Microsoft | Backdoor:Win32/Likseput.A | 20130220 |
| MicroWorld-eScan | Trojan.Generic.KDV.489674 | 20130220 |
| NANO-Antivirus | Trojan.Win32.Agent.brpqg | 20130220 |
| Norman | Malware | 20130220 |
| nProtect | Trojan-Downloader/W32.Agent.17408.CA | 20130220 |
| Panda | Trj/Downloader.MDW | 20130220 |
| PCTools | Trojan.Gen | 20130219 |
| Rising | Backdoor.Likseput!3A69 | 20130205 |
| Sophos | Troj/Agent-UCB | 20130220 |
| SUPERAntiSpyware | - | 20130220 |
| Symantec | Trojan.Gen | 20130220 |
| TheHacker | Trojan/Downloader.Agent.cmtk | 20130219 |
| TotalDefense | Win32/SillyDl.WZS | 20130220 |
| TrendMicro | - | 20130220 |
| TrendMicro-HouseCall | TROJ_GEN.R47CDLM | 20130220 |
| VBA32 | Trojan-Downloader.Win32.Agent.cidc | 20130220 |
| VIPRE | Trojan.Win32.Generic!BT | 20130220 |
| ViRobot | Trojan.Win32.Downloader.17408.FL | 20130220 |
상세 분석 내용
CreateDirectory 함수를 호출 해서 "C:\Documents and Settings\사용자 계정\Application Data\Adobe" 경로에 폴더를 생성 한다. 그리고 CopyFile 함수를 호출 해서 파일을 복사 한다.
악성코드 자동 실행을 위해서 reg 명령어를 통해서 시작 프로그램에 등록 한다.
악성코드가 다운로드 하는 URL 부분으로 빨간색 박스처럼 알수 없는 문자 형태로 되어 있으며 노란색 박스 디코딩 루틴을 통해서 다운로드 URL이 생성 된다.
wininet.dll의 InternetOpen , InternetOpenUrl , InternetReadFile 함수를 호출 해서 추가적인 악성파일(li.gif)파일의 다운로드를 시도 한다. InternetOpen 함수는 현재 클라이언트의 인터넷 연결을 초기화 하고 InternetOpenUrl 함수는 Url경로를 입력해주면 Url 에 걸려있는 파일을 바로 열수 있는 함수다. InternetReadFile 함수를 호출 해서 파일을 다운 로드 한다. InternetReadFile 함수는 InternetOpenUrl 함수에서 반환한 핸들을 이용해서 파일을 읽어 드리는 역할을 한다
악성코드가 다운로드를 시도하는 (confere.html)악성 파일은 웹서버 접근 불가능으로 다운로드가 불가능 하다.
'APT 보관' 카테고리의 다른 글
| Trojan/Win32.HDC (0) | 2013.02.22 |
|---|---|
| Win-Trojan/Dalbot.737284 (0) | 2013.02.22 |
| Trojan.Win32.Agent.txrf (0) | 2013.02.22 |
| Downloader.a!bhh (0) | 2013.02.21 |
| Trojan:Win32/Sisproc (0) | 2013.02.20 |
