Win32/Backdoor.Worm.IRCBot.23552 악성코드(이하 IRCBot)는 이동식 디스크와 네트워크를 통해 자신을 전파하며, 시스템 폴더에 자신을 복사하고 레지스트리를 조작하여 시작 프로그램과 방화벽 정책을 수정한다. 또한, 특정 서버에 접속을 시도하며 서버의 원격 명령을 수행합니다.
IRCBot 악성코드 기본 정보
| 종류 | Backdoor | 위험도 | 높음 |
| 감염경로 | 이동식 디스크, 보안 취약점 | 증상 | 원격 코드 실행 |
| 플랫폼 | Windows | 크기 | 23,552byte |
| 암호화 여부 | 문자열 암호화 | 팩킹 | kkrunchy |
| MD5 | 21FB327E99105F1D2816CE9731770695 | ||
| SHA1 | 5EA7693143A2F66BC64213DE21CB939C216EF03B | ||
VirusTotal 검사 정보
| Antivirus | Result |
| AhnLab-V3 | Win32/IRCBot.worm.23552.G |
| AntiVir | TR/Dropper.Gen |
| Antiy-AVL | Backdoor/Win32.IRCBot.gen |
| Avast | Win32:IRCBot-DMJ |
| Avast5 | Win32:IRCBot-DMJ |
| AVG | IRC/BackDoor.SdBot4.RAY |
| BitDefender | IRC-Worm.Generic.5032 |
| CAT-QuickHeal | Backdoor.IRCBot.jhz |
| ClamAV | Trojan.IRCBot-3783 |
| Commtouch | W32/Ircbot.ABZ |
| Comodo | - |
| DrWeb | BackDoor.IRC.Sdbot.4844 |
| eSafe | Win32.TRCrypt.XPACK |
| eTrust-Vet | Win32/IRCBot.MG |
| F-Prot | W32/Ircbot.ABZ |
| Fortinet | W32/IRCBot.JHZ!tr.bdr |
| GData | IRC-Worm.Generic.5032 |
| Ikarus | Net-Worm.Win32.Kolab |
| Jiangmin | Backdoor/IRCBot.fpl |
| K7AntiVirus | Backdoor |
| Kaspersky | Net-Worm.Win32.Kolab.dww |
| McAfee | W32/Sdbot.dr!ADA37D45 |
| McAfee-GW-Edition | W32/Sdbot.dr!ADA37D45 |
| Microsoft | Worm:Win32/Neeris.AU |
| NOD32 | Win32/IRCBot.AMC |
| Norman | W32/Smalltroj.dam |
| Panda | W32/Ircbot.CNJ.worm |
| PCTools | Backdoor.Sdbot!sd6 |
| Prevx | High Risk System Back Door |
| Rising | Trojan.Win32.Generic.11ED3EE4 |
| Sophos | W32/IRCbot-AEL |
| SUPERAntiSpyware | Trojan.Agent/Gen.Process |
| Symantec | W32.Spybot.Worm |
| TheHacker | W32/Kolab.dww |
| TrendMicro | WORM_NEERIS.SM |
| TrendMicro-HouseCall | WORM_NEERIS.SM |
| VBA32 | Malware-Cryptor.General.6 |
| VIPRE | Backdoor.IRCBot |
| ViRobot | Backdoor.Win32.IRCBot.23552.P |
| VirusBuster | Backdoor.IRCBot.ADZR |
IRCBot 상세 동작
①악성코드가 실행되면 파일의 위치를 확인하고, 자신을 %system% 폴더에 smsc.exe라는 파일명으로 복사하고 System, Hidden, Read 속성을 설정한다.
②다음 레지스트리를 등록한다.
▶HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WSSVC(c:\windows\system\smsc.exe)
▶HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SVCWINSPOOL\Default(Service)
▶HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SVCWINSPOOL\Default(Service)
③방화벽에 자신을 예외 등록한다.
④%system32%폴더에 sysdrv32.sys 파일을 생성하고 System, Hidden 속성을 설정한다.
⑤sysdrv32 서비스를 등록한다.
⑥임의의 포트를 열고 자기 자신을 배포할 준비를 한다.
⑦같은 네트워크대역의 취약 호스트를 탐색하고 감염시킨다.
⑧이동식 디스크 연결시 자기 자신을 p.exe라는 파일명으로 감염시키고 autorun.inf 파일을 생성한 뒤 System, Hidden, Read 속성을 설정한다.
⑨IRC Server(b.vspcord.com)에 접속하고 해커의 명령을 기다린다.
'정보보호' 카테고리의 다른 글
| Win32/Backdoor.Worm.IRCBot.23552: 세부 코드 분석 내용 (0) | 2024.03.11 |
|---|---|
| Win32/Backdoor.Worm.IRCBot.23552:악성코드 C&C 서버 분석 (0) | 2024.03.11 |
| Win32/Backdoor.Worm.IRCBot.23552: IRCBot 악성코드 동작 순서 (0) | 2024.03.11 |
| W32.Stuxnet 공격 시나리오: 산업 제어 시스템의 보안 위협 분석 (0) | 2024.03.11 |
| W32.Stuxnet: 산업 제어 시스템을 위협하는 악성코드 (0) | 2024.03.11 |
