개요
악성코드 개요
TrojanDownloader:Win32/Dalbot.A 악성 코드는 다운로더형 악성코드로 외부 사이트로 부터 추가로 파일을 다운로드 하고 실행 해서 감염 시키는 악성코드 이다
MD5:9675827a495f4ba6a4efd4dd70932b7c
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
X |
| ViRobot |
O |
<국내 주요 백신 결과>
VirusTotal 점검 내역
| Antivirus | Result | Update |
|---|---|---|
| Agnitum | Trojan.DL.Small!w66lG4VExbM | 20130224 |
| AhnLab-V3 | Downloader/Win32.Small | 20130224 |
| AntiVir | TR/Downloader.Gen | 20130224 |
| Antiy-AVL | Trojan/Win32.Small.gen | 20130224 |
| Avast | Win32:Malware-gen | 20130225 |
| AVG | Generic28.BLBS | 20130224 |
| BitDefender | Gen:Trojan.Heur.PT.ciW@b46O@fe | 20130224 |
| ByteHero | - | 20130221 |
| CAT-QuickHeal | TrojanDownloader.Small.cmem | 20130223 |
| ClamAV | Win.Trojan.Agent-195648 | 20130224 |
| Commtouch | - | 20130224 |
| Comodo | UnclassifiedMalware | 20130224 |
| DrWeb | Trojan.DownLoader6.32865 | 20130224 |
| Emsisoft | Gen:Trojan.Heur.PT.ciW@b46O@fe (B) | 20130224 |
| eSafe | Win32.TRDownloader | 20130211 |
| ESET-NOD32 | Win32/TrojanDownloader.Agent.RFO | 20130224 |
| F-Prot | - | 20130224 |
| F-Secure | Gen:Trojan.Heur.PT.ciW@b46O@fe | 20130224 |
| Fortinet | NewHeur_PE | 20130224 |
| GData | Gen:Trojan.Heur.PT.ciW@b46O@fe | 20130224 |
| Ikarus | Trojan-Downloader.Win32.Small | 20130224 |
| Jiangmin | TrojanDownloader.Small.ceue | 20130224 |
| K7AntiVirus | Riskware | 20130222 |
| Kaspersky | Trojan-Downloader.Win32.Small.cmem | 20130224 |
| Kingsoft | - | 20130204 |
| Malwarebytes | - | 20130224 |
| McAfee | Generic.tfr!cl | 20130225 |
| McAfee-GW-Edition | Generic.tfr!cl | 20130225 |
| Microsoft | TrojanDownloader:Win32/Dalbot.A | 20130224 |
| MicroWorld-eScan | Gen:Trojan.Heur.PT.ciW@b46O@fe | 20130225 |
| NANO-Antivirus | Trojan.Win32.Agent2.tbcxn | 20130224 |
| Norman | Malware | 20130224 |
| nProtect | - | 20130224 |
| Panda | Generic Trojan | 20130224 |
| PCTools | - | 20130219 |
| Rising | Trojan.Win32.Generic.12D68677 | 20130205 |
| Sophos | Mal/Generic-S | 20130224 |
| SUPERAntiSpyware | - | 20130224 |
| Symantec | Downloader | 20130225 |
| TheHacker | Trojan/Downloader.Small.cmem | 20130224 |
| TotalDefense | - | 20130224 |
| TrendMicro | TROJ_SPNR.30BD13 | 20130224 |
| TrendMicro-HouseCall | TROJ_SPNR.30BD13 | 20130224 |
| VBA32 | suspected of Trojan.Downloader.gen.h | 20130222 |
| VIPRE | Trojan.Win32.Generic!BT | 20130224 |
| ViRobot | Trojan.Win32.A.Downloader.32768.AQZ | 20130224 |
상세 분석 내용
GetModuleFileName 함수 호출 해서 현재 자신이 실행되고 있는 실행 경로를 구하고GetShortPathName 함수를 호출 해서 긴 파일 이름을 가진 파일을 짦은 파일 경로로 만든다. 그리고 악성코드는 자동 실행을 위해서 시작 프로그램에 등록 한다.
InternetOpen , InternetConnect , HttpOpenRequest 함수를 사용 해서 파일 다운로드를 시도 한다. InternetOpen 함수를 호출 해서 open 하고 핸들에 connect한 후, request핸들을 열고, 그 핸들을 사용하여 request를 보낸다.
악성코드가 다운로드를 시도하는 악성 파일(news.html)은 웹서버에서 삭제 한것으로 추정 되며 다운로드가 불가능 하다.
'APT 보관' 카테고리의 다른 글
| Trojan-Downloader.Win32.Small.clyg (0) | 2013.02.25 |
|---|---|
| Trojan.Win32.Genome.ykmv (0) | 2013.02.25 |
| Trojan/Win32.Sasfis (0) | 2013.02.25 |
| TrojanDownloader:Win32/Namsoth.A (0) | 2013.02.24 |
| TrojanDownloader:Win32/Coswid.A (0) | 2013.02.24 |
