개요
악성코드 개요
Trojan/Win32.Cossta 악성 코드는 다운로더형 악성코드로 외부 사이트로 부터 추가로 파일을 다운로드 하고 실행 해서 감염 시키는 악성코드 이다
MD5:c9172b3e83c782bc930c06b628f31fa5
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
O |
| ViRobot |
O |
<국내 주요 백신 결과>
VirusTotal 점검 내역
| Antivirus | Result | Update |
|---|---|---|
| Agnitum | Trojan.Cossta!vFMFlPKDeJQ | 20130221 |
| AhnLab-V3 | Trojan/Win32.Cossta | 20130222 |
| AntiVir | TR/Cossta.grt.8 | 20130222 |
| Antiy-AVL | - | 20130221 |
| Avast | Win32:Malware-gen | 20130222 |
| AVG | Agent2.BCYK | 20130222 |
| BitDefender | Trojan.Generic.4596108 | 20130222 |
| ByteHero | - | 20130221 |
| CAT-QuickHeal | - | 20130221 |
| ClamAV | WIN.Trojan.Cossta-4 | 20130222 |
| Commtouch | - | 20130222 |
| Comodo | UnclassifiedMalware | 20130222 |
| DrWeb | Trojan.Siggen4.25865 | 20130222 |
| Emsisoft | Trojan.Generic.4596108 (B) | 20130222 |
| eSafe | Win32.Trojan | 20130211 |
| ESET-NOD32 | a variant of Win32/Agent.WQS | 20130221 |
| F-Prot | - | 20130222 |
| F-Secure | Trojan.Generic.4596108 | 20130222 |
| Fortinet | W32/Cossta.WQS!tr | 20130222 |
| GData | Trojan.Generic.4596108 | 20130222 |
| Ikarus | Trojan.Win32.Cossta | 20130222 |
| Jiangmin | Trojan/Cossta.rg | 20130222 |
| K7AntiVirus | Trojan | 20130221 |
| Kaspersky | Trojan.Win32.Cossta.grt | 20130222 |
| Kingsoft | Win32.Troj.Cossta.(kcloud) | 20130204 |
| Malwarebytes | - | 20130221 |
| McAfee | Generic BackDoor.adt | 20130222 |
| McAfee-GW-Edition | Generic BackDoor.adt | 20130222 |
| Microsoft | - | 20130222 |
| MicroWorld-eScan | Trojan.Generic.4596108 | 20130222 |
| NANO-Antivirus | Trojan.Win32.Cossta.cqvyn | 20130222 |
| Norman | Suspicious_Gen2.MEESX | 20130221 |
| nProtect | Trojan/W32.Small.34304.EG | 20130221 |
| Panda | Generic Trojan | 20130221 |
| PCTools | Trojan.Gen | 20130219 |
| Rising | - | 20130205 |
| Sophos | Mal/Generic-S | 20130222 |
| SUPERAntiSpyware | - | 20130222 |
| Symantec | Trojan.Gen | 20130222 |
| TheHacker | Trojan/Agent.wqs | 20130221 |
| TotalDefense | - | 20130221 |
| TrendMicro | TROJ_GEN.R49CEBL | 20130222 |
| TrendMicro-HouseCall | TROJ_GEN.R49CEBL | 20130222 |
| VBA32 | - | 20130221 |
| VIPRE | Trojan.Win32.Generic!BT | 20130222 |
| ViRobot | Trojan.Win32.S.Cossta.34304.A | 20130222 |
상세 분석 내용
WinHTTP 초기화를 위해서 WinHttpOpen 함수를 호출 한다.
WinHttpOpen 함수가 반환 하는 핸들을 이용하여 WinHttpConnect 함수를 호출 한다. WinHttpConnect 함수는 WinHttpConnect 함수 WinHttpOpenRequest 함수 두 함수는 요청을 할 자원에 대한 정보를 저장 한다.
WinHttpSendRequest 함수를 호출 해서 서버에 값을 요청 하고
WinHttpReadData, WinHttpQueryDataAvailable 함수를 이용해서 서버의 자원을 다운로드 한다.
악성코드가 접속을 시도하는 ks.utworld.ch 사이트는 접근이 불가능 하다.
'APT 보관' 카테고리의 다른 글
| TrojanDownloader:Win32/Coswid.A (0) | 2013.02.24 |
|---|---|
| Trojan-Downloader/W32.Small.15360.FX (0) | 2013.02.23 |
| Trojan/Win32.HDC (0) | 2013.02.22 |
| Win-Trojan/Dalbot.737284 (0) | 2013.02.22 |
| Trojan.Win32.Agent.txrf (0) | 2013.02.22 |
