개요
악성코드 개요
MD5:98409dbf432419024dbf028c004344c1
생성파일 정보 요약
<패킹 결과>
AhnLab-V3 |
O |
BitDefender(알약) |
O |
nProtect |
X |
ViRobot |
O |
VirusTotal 점검 내역
Antivirus | Result | Update |
---|---|---|
Agnitum | - | 20130223 |
AhnLab-V3 | Trojan/Win32.Sasfis | 20130223 |
AntiVir | TR/Agent.pyak.1 | 20130224 |
Antiy-AVL | Trojan/Win32.Agent.gen | 20130223 |
Avast | Win32:Malware-gen | 20130224 |
AVG | Agent3.AVOJ | 20130224 |
BitDefender | Trojan.Generic.6799011 | 20130224 |
ByteHero | - | 20130221 |
CAT-QuickHeal | Trojan.Agent.pyak | 20130223 |
ClamAV | WIN.Trojan.Agent-23705 | 20130224 |
Commtouch | W32/Zegost.AA.gen!Eldorado | 20130224 |
Comodo | TrojWare.Win32.Trojan.Agent.Gen | 20130224 |
DrWeb | Trojan.DownLoader5.14509 | 20130224 |
Emsisoft | Trojan.Generic.6799011 (B) | 20130224 |
eSafe | - | 20130211 |
ESET-NOD32 | Win32/Agent.TXF | 20130223 |
F-Prot | W32/Zegost.AA.gen!Eldorado | 20130224 |
F-Secure | Trojan.Generic.6799011 | 20130224 |
Fortinet | W32/Agent.PYAK!tr | 20130224 |
GData | Trojan.Generic.6799011 | 20130224 |
Ikarus | Trojan.Win32.Webprefix | 20130224 |
Jiangmin | Trojan/Agent.flky | 20130224 |
K7AntiVirus | Trojan | 20130222 |
Kaspersky | Trojan.Win32.Sasfis.dhei | 20130223 |
Kingsoft | Win32.Troj.Sasfis.(kcloud) | 20130204 |
Malwarebytes | - | 20130224 |
McAfee | Generic BackDoor.s | 20130224 |
McAfee-GW-Edition | Heuristic.BehavesLike.Win32.Backdoor.H | 20130224 |
Microsoft | - | 20130224 |
MicroWorld-eScan | Trojan.Generic.6799011 | 20130224 |
NANO-Antivirus | Trojan.Win32.DownLoader5.oenzg | 20130224 |
Norman | Suspicious_Gen2.SBVSG | 20130223 |
nProtect | Trojan/W32.Agent.770560.AD | 20130224 |
Panda | Generic Trojan | 20130224 |
PCTools | Trojan.Gen | 20130219 |
Rising | Backdoor.Touasper!4395 | 20130205 |
Sophos | Mal/Emogen-Y | 20130224 |
SUPERAntiSpyware | - | 20130223 |
Symantec | Trojan.Gen | 20130224 |
TheHacker | Trojan/Sasfis.dhei | 20130223 |
TotalDefense | - | 20130222 |
TrendMicro | BKDR_HEREN.A | 20130224 |
TrendMicro-HouseCall | BKDR_HEREN.A | 20130224 |
VBA32 | Trojan.Agent.pyal | 20130222 |
VIPRE | Trojan.Win32.Generic!BT | 20130224 |
ViRobot | Trojan.Win32.A.Agent.770560.B | 20130223 |
상세 분석 내용
악성코드 프로세스에 대해서 Access Token에서 특권에 대해서 모든 권한을 활성화 한다. 토큰이란 신분,권한,특권 등의 정보를 담고 있는 객체이다. 각 토큰에는 특권이라는 속성이 존재하고 토큰 내부에는 잠재적으로 위험성이 높은 보안적인 요소들에 대해서 기본적으로 비활성화 시켜져 있지만, 특정 프로세스들은 특정한 권한이 활성화 되어 있다.
fopen , fwrite , fclose 함수를 호출 해서 악성 파일(Nwsapagent.dll)을 생성 한다.
SetFileTime 함수를 호출 해서 생성한 악성 파일 (Nwsapagent.dll) 시간을 수정 한다.
악성코드 자동 실행을 위해서 서비스에 등록 한다. svchost.exe 파일에 ServiceDll 설정 해서 시스템 부팅 시 정상적인 svchost.exe 프로세스에 악성 파일(Nwsapagent.dll) 이 메모리에 올라 간다.
악성코드 감염 PC 사용자에 대해서 운영체제 정보를 탈취 한다. 윈도우 서버 운영체제 에디션별로 정보를 탈취 한다.
GetTickCount 함수를 호출 해서 시스템 구동시간을 탈취 하며 GetSystemTime를 호출 해서 Universal Time 을 얻어오고 GetLocalTime 함수를 호출 해서 현재 시스템에 설정된 값을 탈취 한다.
GetComputerName , GetUserName ,GetSystemDirector , GetWindowsDirectory, DllGetVersion 함수를 호출 해서 컴퓨터 이름 , 사용자 계정 , 시스템 디렉토리, 윈도우 디렉토리 ,Internet Explorer 버전등에 대해서 탈취 한다.
악성코드에 감염된 사용자 PC의 메모리 정보, 디스크 정보에 대해서 세분화 해서 탈취 한다.
악성코드는 감염 PC에 대해서 화면 캡쳐 기능을 가지고 있으며 CreateDC 함수를 호출해서 전체 화면 DC를 만들고 CreateCompatibleDC 함수를 호출 해서 만들어진 화면 DC를 호환되는 메모리 DC로 생성 한다 CreateCompatibleBitmap 함수를 호출 해서 비트맵을 생성 한다. 그리고 BitBlt 함수를 호출 해서 메모리 DC에 화면 DC를 복사 한다.
악성코드에 감염된 사용자 PC는 원격제어가 가능 해지며 악성 해커는keybd_event , mouse_event 함수를 호출 해서 사용자 PC에 대해서 마우스를 제어 하거나 키보드를 입력 할 것으로 추정 된다.
악성코드에 감염된 사용자 PC 시스템에 대해서 종료 권한을 가지고 있으며 악성해커는 감염 PC에 SeShutdownPrivilege 특권을 이용하여 ExitWindowsEx 함수를 호출 해서 종료 및 재부팅을 실행 한다.
'APT 보관' 카테고리의 다른 글
Trojan.Win32.Genome.ykmv (0) | 2013.02.25 |
---|---|
TrojanDownloader:Win32/Dalbot.A (0) | 2013.02.25 |
TrojanDownloader:Win32/Namsoth.A (0) | 2013.02.24 |
TrojanDownloader:Win32/Coswid.A (0) | 2013.02.24 |
Trojan-Downloader/W32.Small.15360.FX (0) | 2013.02.23 |