개요
악성코드 개요
TrojanDownloader:Win32/Namsoth.A 악성 코드는 다운로더형 악성코드로 외부 사이트로 부터 추가로 파일을 다운로드 하고 실행 해서 감염 시키는 악성코드 이다
MD5:a2cd1189860b9ba214421aab86ecbc8a
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
X |
| ViRobot |
O |
<국내 주요 백신 결과>
VirusTotal 점검 내역
| Antivirus | Result | Update |
|---|---|---|
| Agnitum | Trojan.DL.Small!7H0KpwkZacg | 20130223 |
| AhnLab-V3 | Downloader/Win32.Small | 20130223 |
| AntiVir | TR/Dldr.Small.khk | 20130223 |
| Antiy-AVL | - | 20130223 |
| Avast | Win32:Malware-gen | 20130224 |
| AVG | - | 20130224 |
| BitDefender | Trojan.Generic.2578011 | 20130224 |
| ByteHero | - | 20130221 |
| CAT-QuickHeal | TrojanDownloader.Small.khk | 20130223 |
| ClamAV | - | 20130224 |
| Commtouch | W32/Trojan-Dlr-SysWrt-based!Maximus | 20130224 |
| Comodo | TrojWare.Win32.Small.dy126 | 20130224 |
| DrWeb | BackDoor.Foxy.3 | 20130224 |
| Emsisoft | Trojan.Generic.2578011 (B) | 20130224 |
| eSafe | - | 20130211 |
| ESET-NOD32 | a variant of Win32/TrojanDownloader.Agent.QVC | 20130223 |
| F-Prot | W32/Trojan-Dlr-SysWrt-based!Maximus | 20130224 |
| F-Secure | Trojan.Generic.2578011 | 20130223 |
| Fortinet | PossibleThreat | 20130224 |
| GData | Trojan.Generic.2578011 | 20130224 |
| Ikarus | Trojan.Win32.Spy | 20130223 |
| Jiangmin | TrojanDownloader.Small.aouh | 20130223 |
| K7AntiVirus | Trojan | 20130222 |
| Kaspersky | Trojan-Downloader.Win32.Small.khk | 20130223 |
| Kingsoft | Win32.TrojDownloader.Small.(kcloud) | 20130204 |
| Malwarebytes | - | 20130224 |
| McAfee | Downloader.a!bbk | 20130224 |
| McAfee-GW-Edition | Downloader.a!bbk | 20130224 |
| Microsoft | TrojanDownloader:Win32/Namsoth.A | 20130224 |
| MicroWorld-eScan | Trojan.Generic.2578011 | 20130224 |
| NANO-Antivirus | Trojan.Win32.Small.bojny | 20130224 |
| Norman | Smalltroj.AAOFS | 20130223 |
| nProtect | Trojan/W32.Agent.13824.GI | 20130223 |
| Panda | Trj/Downloader.MDW | 20130223 |
| PCTools | Backdoor.Trojan | 20130219 |
| Rising | Trojan.Namsoth!37DC | 20130205 |
| Sophos | Troj/FoxLdr-Gen | 20130224 |
| SUPERAntiSpyware | - | 20130223 |
| Symantec | Trojan.Downbot.D!gen3 | 20130224 |
| TheHacker | - | 20130223 |
| TotalDefense | - | 20130222 |
| TrendMicro | TROJ_SMALL.LOJ | 20130224 |
| TrendMicro-HouseCall | TROJ_SMALL.LOJ | 20130224 |
| VBA32 | - | 20130222 |
| VIPRE | Trojan.Win32.Generic!BT | 20130224 |
| ViRobot | - | 20130223 |
상세 분석 내용
InternetOpen , InternetConnect , HttpOpenRequest 함수를 사용 해서 파일 다운로드를 시도 한다. InternetOpen 함수를 호출 해서 open 하고 핸들에 connect한 후, request핸들을 열고, 그 핸들을 사용하여 request를 보낸다
악성코드가 다운로드를 시도하는 (photo.jpg) 악성 파일은 웹서버에서 삭제 한것으로 추정 되며 의미 없는 데이터를 다운로드 한다
'APT 보관' 카테고리의 다른 글
| TrojanDownloader:Win32/Dalbot.A (0) | 2013.02.25 |
|---|---|
| Trojan/Win32.Sasfis (0) | 2013.02.25 |
| TrojanDownloader:Win32/Coswid.A (0) | 2013.02.24 |
| Trojan-Downloader/W32.Small.15360.FX (0) | 2013.02.23 |
| Trojan/Win32.Cossta (0) | 2013.02.23 |
