개요
악성코드 개요
TrojanDownloader:Win32/Coswid.A 악성 코드는 다운로더형 악성코드로 외부 사이트로 부터 추가로 파일을 다운로드 하고 실행 해서 감염 시키는 악성코드 이다
MD5:a8b2ac446c614fd5d4880d95369deb3b
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
X |
| ViRobot |
O |
<국내 주요 백신 결과>
VirusTotal 점검 내역
| Antivirus | Result | Update |
|---|---|---|
| Agnitum | Backdoor.Small!atG+DowKNio | 20130223 |
| AhnLab-V3 | Downloader/Win32.Small | 20130223 |
| AntiVir | TR/Downloader.Gen | 20130223 |
| Antiy-AVL | Backdoor/Win32.Small.gen | 20130223 |
| Avast | Win32:Malware-gen | 20130223 |
| AVG | unknown virus Win32/DH{DyAiJQ} | 20130223 |
| BitDefender | Gen:Trojan.Heur.RP.bmW@aux3IJf | 20130223 |
| ByteHero | - | 20130221 |
| CAT-QuickHeal | - | 20130223 |
| ClamAV | Trojan.Small-10047 | 20130223 |
| Commtouch | W32/CrazyCrunch-based!Maximus | 20130223 |
| Comodo | UnclassifiedMalware | 20130223 |
| DrWeb | Trojan.DownLoad2.37573 | 20130223 |
| Emsisoft | Gen:Trojan.Heur.RP.bmW@aux3IJf (B) | 20130223 |
| eSafe | - | 20130211 |
| ESET-NOD32 | Win32/TrojanDownloader.Coswid.A | 20130223 |
| F-Prot | W32/CrazyCrunch-based!Maximus | 20130223 |
| F-Secure | Gen:Trojan.Heur.RP.bmW@aux3IJf | 20130223 |
| Fortinet | W32/Cowsid.A!tr | 20130223 |
| GData | Gen:Trojan.Heur.RP.bmW@aux3IJf | 20130223 |
| Ikarus | Trojan-Downloader.Win32.Small | 20130223 |
| Jiangmin | Backdoor/Small.ikq | 20130223 |
| K7AntiVirus | - | 20130222 |
| Kaspersky | Backdoor.Win32.Small.klk | 20130223 |
| Kingsoft | Win32.Hack.Small.(kcloud) | 20130204 |
| Malwarebytes | - | 20130223 |
| McAfee | Downloader.a!brc | 20130223 |
| McAfee-GW-Edition | Downloader.a!brc | 20130223 |
| Microsoft | TrojanDownloader:Win32/Coswid.A | 20130223 |
| MicroWorld-eScan | Gen:Trojan.Heur.RP.bmW@aux3IJf | 20130223 |
| NANO-Antivirus | Trojan.Win32.Small.qbvwi | 20130223 |
| Norman | Malware | 20130223 |
| nProtect | - | 20130223 |
| Panda | Generic Trojan | 20130223 |
| PCTools | Trojan.Gen | 20130219 |
| Rising | Trojan.Coswid!4696 | 20130205 |
| Sophos | Troj/BDoor-BEE | 20130223 |
| SUPERAntiSpyware | - | 20130223 |
| Symantec | Trojan.Gen | 20130223 |
| TheHacker | Backdoor/Small.klk | 20130221 |
| TotalDefense | - | 20130222 |
| TrendMicro | TROJ_SPNR.15F412 | 20130223 |
| TrendMicro-HouseCall | TROJ_SPNR.15F412 | 20130223 |
| VBA32 | Backdoor.Small.klk | 20130222 |
| VIPRE | Trojan.Win32.Generic!BT | 20130223 |
| ViRobot | Backdoor.Win32.A.Small.19968 | 20130223 |
상세 분석 내용
GetModuleFileName 함수 호출 해서 현재 자신이 실행되고 있는 실행 경로를 구하고GetShortPathName 함수를 호출 해서 긴 파일 이름을 가진 파일을 짦은 파일 경로로 만든다. 그리고 악성코드는 자동 실행을 위해서 시작 프로그램에 등록 한다.
InternetOpen , InternetConnect , HttpOpenRequest 함수를 사용 해서 파일 다운로드를 시도 한다. InternetOpen 함수를 호출 해서 open 하고 핸들에 connect한 후, request핸들을 열고, 그 핸들을 사용하여 request를 보낸다
[회사 소개] India Innovation Center, formerly Dover Solutions India, part of Dover India Pvt Ltd (a Dover Corporation company), is a multi-competence center providing end-to-end solutions to the stake holders..
Started in 2003 as a software development centre for a group of Dover Companies, over a period of time IIC has grown providing value added services in the areas of Product Software Development, Application Development for Desktop and Web, Mechanical Engineering Design and Analysis, Electronics and Microwave Design, Sourcing, Technical Documentation and Field Support.
IIC, as a trusted business partner, leverages a powerful blend of the best industry-proven practices and leading standards, refined business acumen and deep market understanding, profound technical skills and extensive hands-on experience to meet the toughest challenges that our customers face. IIC offers innovative solutions to customers, which help them compete successfully in the dynamically changing marketplace and achieve the maximum return on investment.
Success in a business is strongly influenced by its successful global business relations. In a business relation with IIC, one enjoys complete freedom to focus on the core business, while a dedicated team of qualified experts are committed to delivering a turn-key solution taking into account each and every aspect of your business needs, starting with strategy consulting and concept development, design and architecture, up to deployment, training, maintenance and future enhancements.
악성코드를 유포 하는 doversolutions 사이트는 인도에서 활동 하는 회사로 데스크톱과 웹, 기계 공학 설계 및 분석, 전자 제품 소프트웨어 개발, 응용 프로그램 개발등의 서비스를 제공하는 회사이다. 악성 해커가 이런 비즈니스 사이트를 악성코드 유포로 활용 하는 이유는 비즈니스 홈페이지는 주 방문자가 비즈니스 관련 사람이 주 방문객 이기 때문이다.
악성코드가 다운로드를 시도하는 (title.png) 악성 파일은 웹서버에서 삭제 한것으로 추정 되며 다운로드가 불가능 하다.
참고 URL
- http://labs.alienvault.com/labs/index.php/category/blog/malware-blog/page/4/
- http://home.mcafee.com/virusinfo/virusprofile.aspx?key=1075603#none
'APT 보관' 카테고리의 다른 글
| Trojan/Win32.Sasfis (0) | 2013.02.25 |
|---|---|
| TrojanDownloader:Win32/Namsoth.A (0) | 2013.02.24 |
| Trojan-Downloader/W32.Small.15360.FX (0) | 2013.02.23 |
| Trojan/Win32.Cossta (0) | 2013.02.23 |
| Trojan/Win32.HDC (0) | 2013.02.22 |
