개요
악성코드 개요
Trojan-Downloader.Win32.Small.clyg 악성 코드는 다운로더형 악성코드로 외부 사이트로 부터 추가로 파일을 다운로드 하고 실행 해서 감염 시키는 악성코드 이다
MD5:6fbf667e82c1477c4ce635b57b83bfa0
생성파일 정보 요약
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
O |
| ViRobot |
O |
<국내 주요 백신 결과>
VirusTotal 점검 내역
| Antivirus | Result | Update |
|---|---|---|
| Agnitum | Trojan.DL.Small!Hs7LkMqXbkY | 20130224 |
| AhnLab-V3 | Trojan/Win32.Xema | 20130224 |
| AntiVir | TR/Sisproc.A.1874 | 20130225 |
| Antiy-AVL | Trojan/Win32.Small.gen | 20130224 |
| Avast | Win32:Malware-gen | 20130225 |
| AVG | Downloader.Generic11.BLOK | 20130225 |
| BitDefender | Gen:Trojan.Heur.RP.amW@aKYO5Tb | 20130225 |
| ByteHero | - | 20130221 |
| CAT-QuickHeal | - | 20130225 |
| ClamAV | Win.Trojan.Agent-195647 | 20130225 |
| Commtouch | W32/Malware-NetWatcher!Eldorado | 20130224 |
| Comodo | UnclassifiedMalware | 20130225 |
| DrWeb | Trojan.Popuper.40487 | 20130225 |
| Emsisoft | Gen:Trojan.Heur.RP.amW@aKYO5Tb (B) | 20130225 |
| eSafe | - | 20130211 |
| ESET-NOD32 | Win32/Agent.PMW | 20130224 |
| F-Prot | W32/Malware-NetWatcher!Eldorado | 20130224 |
| F-Secure | Gen:Trojan.Heur.RP.amW@aKYO5Tb | 20130225 |
| Fortinet | Malware_fam.NB | 20130225 |
| GData | Gen:Trojan.Heur.RP.amW@aKYO5Tb | 20130225 |
| Ikarus | Trojan-Downloader.Win32.Small | 20130225 |
| Jiangmin | TrojanDownloader.Small.bubl | 20130225 |
| K7AntiVirus | Riskware | 20130222 |
| Kaspersky | Trojan-Downloader.Win32.Small.clyg | 20130225 |
| Kingsoft | Win32.TrojDownloader.Small.(kcloud) | 20130225 |
| Malwarebytes | - | 20130225 |
| McAfee | Generic.dx!b2fw | 20130225 |
| McAfee-GW-Edition | Generic.dx!b2fw | 20130225 |
| Microsoft | Trojan:Win32/Sisproc | 20130225 |
| MicroWorld-eScan | Gen:Trojan.Heur.RP.amW@aKYO5Tb | 20130225 |
| NANO-Antivirus | Trojan.Win32.Popuper.sjehy | 20130225 |
| Norman | Malware | 20130224 |
| nProtect | Trojan-Downloader/W32.Small.12288.HX | 20130225 |
| Panda | Generic Trojan | 20130224 |
| PCTools | - | 20130219 |
| Rising | - | 20130225 |
| Sophos | Mal/Behav-112 | 20130225 |
| SUPERAntiSpyware | - | 20130224 |
| Symantec | Trojan.Gen | 20130225 |
| TheHacker | - | 20130224 |
| TotalDefense | - | 20130224 |
| TrendMicro | Mal_DLDER | 20130225 |
| TrendMicro-HouseCall | Mal_DLDER | 20130225 |
| VBA32 | TrojanDownloader.Small.ccrp | 20130222 |
| VIPRE | Trojan.Win32.Generic!BT | 20130225 |
| ViRobot | Trojan.Win32.A.Downloader.12288.KO | 20130225 |
상세 분석 내용
InternetGetConnectedState 함수를 호출 해서 인터넷 연결 상태를 확인 한다.
InternetOpen , InternetConnect , HttpOpenRequest 함수를 사용 해서 파일 다운로드를 시도 한다. InternetOpen 함수를 호출 해서 open 하고 핸들에 connect한 후, request핸들을 열고, 그 핸들을 사용하여 request를 보낸다
악성코드가 접근 할려는 사이트는 이미 웹서버에서 삭제 한것으로 추정 되며 의미 없는 접속이 불가능 하다.
'APT 보관' 카테고리의 다른 글
| Trojan.Win32.Genome.ykmv (0) | 2013.02.25 |
|---|---|
| TrojanDownloader:Win32/Dalbot.A (0) | 2013.02.25 |
| Trojan/Win32.Sasfis (0) | 2013.02.25 |
| TrojanDownloader:Win32/Namsoth.A (0) | 2013.02.24 |
| TrojanDownloader:Win32/Coswid.A (0) | 2013.02.24 |
