개요
악성코드 개요
Win-Trojan/Dalbot.73728 악성 코드는 다운로더형 악성코드로 외부 사이트로 부터 추가로 파일을 다운로드 하고 실행 해서 감염 시키는 악성코드 이다
MD5:d8238e950608e5aba3d3e9e83e9ee2cc
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
O |
| ViRobot |
O |
<국내 주요 백신 결과>
VirusTotal 점검 내역
| Antivirus | Result | Update |
|---|---|---|
| Agnitum | Trojan.DL.Agent!RXZBLYvzG28 | 20130221 |
| AhnLab-V3 | Win-Trojan/Dalbot.73728 | 20130221 |
| AntiVir | TR/Downloader.Gen | 20130222 |
| Antiy-AVL | Trojan/Win32.Agent.gen | 20130221 |
| Avast | Win32:Malware-gen | 20130222 |
| AVG | Generic28.ANAN | 20130222 |
| BitDefender | Trojan.Downloader.JPIS | 20130222 |
| ByteHero | - | 20130221 |
| CAT-QuickHeal | - | 20130221 |
| ClamAV | Win.Trojan.Downloader-1837 | 20130222 |
| Commtouch | - | 20130222 |
| Comodo | UnclassifiedMalware | 20130222 |
| DrWeb | Trojan.DownLoader6.34186 | 20130222 |
| Emsisoft | Trojan.Downloader.JPIS (B) | 20130222 |
| eSafe | - | 20130211 |
| ESET-NOD32 | Win32/TrojanDownloader.Agent.RFT | 20130221 |
| F-Prot | - | 20130222 |
| F-Secure | Trojan.Downloader.JPIS | 20130221 |
| Fortinet | W32/Agent.DOI!tr | 20130222 |
| GData | Trojan.Downloader.JPIS | 20130222 |
| Ikarus | Trojan-Dropper.Agent | 20130222 |
| Jiangmin | TrojanDownloader.Agent.ekdh | 20130221 |
| K7AntiVirus | Trojan-Downloader | 20130221 |
| Kaspersky | Trojan-Downloader.Win32.Agent.wbmj | 20130222 |
| Kingsoft | Win32.TrojDownloader.JPIS.(kcloud) | 20130204 |
| Malwarebytes | - | 20130221 |
| McAfee | Generic Trojan | 20130222 |
| McAfee-GW-Edition | Generic Trojan | 20130222 |
| Microsoft | TrojanDownloader:Win32/Dalbot.A | 20130221 |
| MicroWorld-eScan | Trojan.Downloader.JPIS | 20130222 |
| NANO-Antivirus | Trojan.Win32.DloadrDOI.sxvve | 20130222 |
| Norman | Malware | 20130221 |
| nProtect | Trojan.Downloader.JPIS | 20130221 |
| Panda | Generic Trojan | 20130221 |
| PCTools | Downloader.Generic | 20130219 |
| Rising | - | 20130205 |
| Sophos | Troj/Dloadr-DOI | 20130222 |
| SUPERAntiSpyware | - | 20130222 |
| Symantec | Downloader | 20130222 |
| TheHacker | Trojan/Downloader.Agent.rft | 20130221 |
| TotalDefense | - | 20130221 |
| TrendMicro | TROJ_GEN.R3FCDFL | 20130222 |
| TrendMicro-HouseCall | TROJ_GEN.R3FCDFL | 20130222 |
| VBA32 | TrojanDownloader.Agent.wbmj | 20130221 |
| VIPRE | Trojan.Win32.Generic!SB.0 | 20130222 |
| ViRobot | Trojan.Win32.A.Downloader.73728.ABY |
상세 분석 내용
악성코드는 VMProtect 사용 해서 분석 방해 기술을 통해서 자신을 보호 하고 있으며 VMProtect는 대표적인 프로텍터 툴로 강력 하고 다양한 안티 디버깅 기술을 탑재 하고 있다.
GetModuleFileName 함수 호출 해서 현재 자신이 실행되고 있는 실행 경로를 구하고GetShortPathName 함수를 호출 해서 긴 파일 이름을 가진 파일을 짦은 파일 경로로 만든다. 그리고 악성코드는 자동 실행을 위해서 시작 프로그램에 등록 한다.
InternetOpen , InternetConnect , HttpOpenRequest 함수를 사용 해서 파일 다운로드를 시도 한다. InternetOpen 함수를 호출 해서 open 하고 핸들에 connect한 후, request핸들을 열고, 그 핸들을 사용하여 request를 보낸다.
악성코드가 다운로드를 시도하는 (style.html) 악성 파일은 웹서버에서 삭제 한것으로 추정 되며 다운로드가 불가능 하다.
'APT 보관' 카테고리의 다른 글
| Trojan/Win32.Cossta (0) | 2013.02.23 |
|---|---|
| Trojan/Win32.HDC (0) | 2013.02.22 |
| Trojan.Win32.Agent.txrf (0) | 2013.02.22 |
| Downloader.a!bhh (0) | 2013.02.21 |
| Trojan-Downloader.Win32.Agent.tqnc (0) | 2013.02.21 |
