개요
악성코드 개요
MD5:db05df0498b59b42a8e493cf3c10c578
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
O |
| ViRobot |
O |
<국내 주요 백신 결과>
VirusTotal 점검 내역
| Antivirus | Result | Update |
|---|---|---|
| Agnitum | Trojan.Agent!vt8QWlLxGl0 | 20130220 |
| AhnLab-V3 | Trojan/Win32.Agent | 20130220 |
| AntiVir | TR/Agent.pyap.1 | 20130221 |
| Antiy-AVL | Trojan/Win32.Agent.gen | 20130220 |
| Avast | Win32:Malware-gen | 20130221 |
| AVG | Agent3.AVOI | 20130221 |
| BitDefender | Trojan.Generic.6799696 | 20130221 |
| ByteHero | - | 20130218 |
| CAT-QuickHeal | Trojan.Agent.pyap | 20130220 |
| ClamAV | Win.Trojan.Agent-195591 | 20130221 |
| Commtouch | - | 20130221 |
| Comodo | ApplicUnwnt.Win32.AdWare.EZula.~GGC | 20130221 |
| DrWeb | Trojan.Siggen3.24093 | 20130221 |
| Emsisoft | Trojan.Generic.6799696 (B) | 20130221 |
| eSafe | - | 20130211 |
| ESET-NOD32 | a variant of Win32/Touasper.A | 20130221 |
| F-Prot | - | 20130220 |
| F-Secure | Trojan.Generic.6799696 | 20130221 |
| Fortinet | W32/Agent.PYAP!tr | 20130221 |
| GData | Trojan.Generic.6799696 | 20130221 |
| Ikarus | Trojan.Win32.Agent | 20130221 |
| Jiangmin | Trojan/Agent.fkyo | 20130220 |
| K7AntiVirus | Trojan | 20130220 |
| Kaspersky | Trojan.Win32.Agent.txrf | 20130221 |
| Kingsoft | Win32.Troj.Agent.tx.(kcloud) | 20130204 |
| Malwarebytes | - | 20130220 |
| McAfee | Generic.dx!bbpl | 20130221 |
| McAfee-GW-Edition | Generic.dx!bbpl | 20130220 |
| Microsoft | - | 20130221 |
| MicroWorld-eScan | Trojan.Generic.6799696 | 20130221 |
| NANO-Antivirus | Trojan.Win32.Agent.jsyfk | 20130221 |
| Norman | Suspicious_Gen2.TWJWP | 20130220 |
| nProtect | Trojan/W32.Agent.762880.BF | 20130220 |
| Panda | Generic Trojan | 20130220 |
| PCTools | Trojan.Gen | 20130219 |
| Rising | Backdoor.Touasper!4395 | 20130205 |
| Sophos | Mal/Emogen-Y | 20130221 |
| SUPERAntiSpyware | - | 20130221 |
| Symantec | Trojan.Gen | 20130221 |
| TheHacker | Trojan/Agent.pyap | 20130221 |
| TotalDefense | - | 20130220 |
| TrendMicro | BKDR_HEREN.SM | 20130221 |
| TrendMicro-HouseCall | TROJ_GEN.F47V0830 | 20130221 |
| VBA32 | Trojan.Agent.pyal | 20130220 |
| VIPRE | Trojan.Win32.Generic!BT | 20130221 |
| ViRobot | Trojan.Win32.A.Agent.762880.D | 20130220 |
상세 분석 내용
악성코드는 감염된 사용자 PC의 운영체제 정보, 시간 정보 , 컴퓨터 이름 정보, 메모리 정보, 드라이버 정보등을 탈취해서 공격자에게 전송한다.
GetTickCount 함수를 호출 해서 시스템 구동시간을 탈취 하며 GetSystemTime를 호출 해서 Universal Time 을 얻어오고 GetLocalTime 함수를 호출 해서 현재 시스템에 설정된 값을 탈취 한다.
GetComputerName , GetUserName ,GetSystemDirector , GetWindowsDirectory, DllGetVersion 함수를 호출 해서 컴퓨터 이름 , 사용자 계정 , 시스템 디렉토리, 윈도우 디렉토리 ,Internet Explorer 버전등에 대해서 탈취 한다.
악성코드에 감염된 사용자 PC의 메모리 정보, 디스크 정보에 대해서 세분화 해서 탈취 한다.
악성코드가 탈취한 사용자 PC의 다양한 정보에 대해서 파일 형식으로 저장 하며 추후 공격자에게 전송 할것으로 추정 된다.
악성코드는 감염 PC에 대해서 화면 캡쳐 기능을 가지고 있으며 CreateDC 함수를 호출해서 전체 화면 DC를 만들고 CreateCompatibleDC 함수를 호출 해서 만들어진 화면 DC를 호환되는 메모리 DC로 생성 한다 CreateCompatibleBitmap 함수를 호출 해서 비트맵을 생성 한다. 그리고 BitBlt 함수를 호출 해서 메모리 DC에 화면 DC를 복사 한다.
악성코드에 감염된 사용자 PC 시스템에 대해서 종료 권한을 가지고 있으며 악성해커는 감염 PC에 SeShutdownPrivilege 특권을 이용하여 ExitWindowsEx 함수를 호출 해서 종료 및 재부팅을 실행 한다.
악성코드에 감염된 사용자 PC는 원격제어가 가능 해지며 악성 해커는keybd_event , mouse_event 함수를 호출 해서 사용자 PC에 대해서 마우스를 제어 하거나 키보드를 입력 할 것으로 추정 된다.
악성해커는 감염 PC의 파일 관리 기능을 가지고 있으며 파일 삭제 , 파일 이동 , 파일 속성 변경 , 디렉토리 생성 , 파일 생성 기능을 가지고 있다.
'APT 보관' 카테고리의 다른 글
| Trojan/Win32.HDC (0) | 2013.02.22 |
|---|---|
| Win-Trojan/Dalbot.737284 (0) | 2013.02.22 |
| Downloader.a!bhh (0) | 2013.02.21 |
| Trojan-Downloader.Win32.Agent.tqnc (0) | 2013.02.21 |
| Trojan:Win32/Sisproc (0) | 2013.02.20 |
