본문 바로가기

APT 보관

Trojan.Win32.Agent.txrf

개요

악성코드 개요

Trojan.Win32.Agent.txrf 악성코드는 정상 svchost.exe 파일에 DLL 인젝션 해서 동작 하며 악성 다양한 악성 행위 기능을 가지고 있는 악성코드이다.


MD5:db05df0498b59b42a8e493cf3c10c578

생성파일 정보 요약

<패킹 결과>

AhnLab-V3

O

BitDefender(알약)

O

nProtect

O

ViRobot

O

<국내 주요 백신 결과>



VirusTotal 점검 내역

https://www.virustotal.com/en/file/33e6c3f5a66512c136e53ede2095fc240973fa58a9d8a7b69f23db01c53f2f59/analysis/1361416550/


Antivirus Result Update
Agnitum Trojan.Agent!vt8QWlLxGl0 20130220
AhnLab-V3 Trojan/Win32.Agent 20130220
AntiVir TR/Agent.pyap.1 20130221
Antiy-AVL Trojan/Win32.Agent.gen 20130220
Avast Win32:Malware-gen 20130221
AVG Agent3.AVOI 20130221
BitDefender Trojan.Generic.6799696 20130221
ByteHero - 20130218
CAT-QuickHeal Trojan.Agent.pyap 20130220
ClamAV Win.Trojan.Agent-195591 20130221
Commtouch - 20130221
Comodo ApplicUnwnt.Win32.AdWare.EZula.~GGC 20130221
DrWeb Trojan.Siggen3.24093 20130221
Emsisoft Trojan.Generic.6799696 (B) 20130221
eSafe - 20130211
ESET-NOD32 a variant of Win32/Touasper.A 20130221
F-Prot - 20130220
F-Secure Trojan.Generic.6799696 20130221
Fortinet W32/Agent.PYAP!tr 20130221
GData Trojan.Generic.6799696 20130221
Ikarus Trojan.Win32.Agent 20130221
Jiangmin Trojan/Agent.fkyo 20130220
K7AntiVirus Trojan 20130220
Kaspersky Trojan.Win32.Agent.txrf 20130221
Kingsoft Win32.Troj.Agent.tx.(kcloud) 20130204
Malwarebytes - 20130220
McAfee Generic.dx!bbpl 20130221
McAfee-GW-Edition Generic.dx!bbpl 20130220
Microsoft - 20130221
MicroWorld-eScan Trojan.Generic.6799696 20130221
NANO-Antivirus Trojan.Win32.Agent.jsyfk 20130221
Norman Suspicious_Gen2.TWJWP 20130220
nProtect Trojan/W32.Agent.762880.BF 20130220
Panda Generic Trojan 20130220
PCTools Trojan.Gen 20130219
Rising Backdoor.Touasper!4395 20130205
Sophos Mal/Emogen-Y 20130221
SUPERAntiSpyware - 20130221
Symantec Trojan.Gen 20130221
TheHacker Trojan/Agent.pyap 20130221
TotalDefense - 20130220
TrendMicro BKDR_HEREN.SM 20130221
TrendMicro-HouseCall TROJ_GEN.F47V0830 20130221
VBA32 Trojan.Agent.pyal 20130220
VIPRE Trojan.Win32.Generic!BT 20130221
ViRobot Trojan.Win32.A.Agent.762880.D 20130220



상세 분석 내용

악성코드는 감염된 사용자 PC의 운영체제 정보, 시간 정보 , 컴퓨터 이름 정보, 메모리 정보, 드라이버 정보등을 탈취해서 공격자에게 전송한다.

GetTickCount 함수를 호출 해서 시스템 구동시간을 탈취 하며 GetSystemTime를 호출 해서 Universal Time 을 얻어오고 GetLocalTime 함수를 호출 해서 현재 시스템에 설정된 값을 탈취 한다.

GetComputerName , GetUserName ,GetSystemDirector , GetWindowsDirectory, DllGetVersion 함수를 호출 해서 컴퓨터 이름 , 사용자 계정 , 시스템 디렉토리, 윈도우 디렉토리 ,Internet Explorer 버전등에 대해서 탈취 한다.

악성코드에 감염된 사용자 PC의 메모리 정보, 디스크 정보에 대해서 세분화 해서 취 한다.

악성코드가 탈취한 사용자 PC의 다양한 정보에 대해서 파일 형식으로 저장 하며 추후 공격자에게 전송 할것으로 추정 된다.

악성코드는 감염 PC에 대해서 화면 캡쳐 기능을 가지고 있으며 CreateDC 함수를 호출해서 전체 화면 DC를 만들고 CreateCompatibleDC 함수를 호출 해서 만들어진 화면 DC를 호환되는 메모리 DC로 생성 한다 CreateCompatibleBitmap 함수를 호출 해서 비트맵을 생성 한다. 그리고 BitBlt 함수를 호출 해서 메모리 DC에 화면 DC를 복사 한다.

악성코드에 감염된 사용자 PC 시스템에 대해서 종료 권한을 가지고 있으며 악성해커는 감염 PC에 SeShutdownPrivilege 특권을 이용하여 ExitWindowsEx 함수를 호출 해서 종료 및 재부팅을 실행 한다.





악성코드에 감염된 사용자 PC는 원격제어가 가능 해지며 악성 해커는keybd_event , mouse_event 함수를 호출 해서 사용자 PC에 대해서 마우스를 제어 하거나 키보드를 입력 할 것으로 추정 된다.

악성해커는 감염 PC의 파일 관리 기능을 가지고 있으며 파일 삭제 , 파일 이동 , 파일 속성 변경 , 디렉토리 생성 , 파일 생성 기능을 가지고 있다.

 

 

 

 

 

 

 

 

 

 

 

 

 

'APT 보관' 카테고리의 다른 글

Trojan/Win32.HDC  (0) 2013.02.22
Win-Trojan/Dalbot.737284  (0) 2013.02.22
Downloader.a!bhh  (0) 2013.02.21
Trojan-Downloader.Win32.Agent.tqnc  (0) 2013.02.21
Trojan:Win32/Sisproc  (0) 2013.02.20