Win32.Trojan.Pearmor.416768: 트로이목마 악성코드 분석

Win32.Trojan.Pearmor.416768 악성코드는 이동식 디스크를 통해 자신을 전파하며, 시스템 디렉토리 및 루트 디렉토리에 자기자신을 복사하는 특징을 가지고 있습니다.

이 글에서는 해당 악성코드가 어떻게 동작하는지 살펴보도록 하겠습니다.

 

Win32.Trojan.Pearmor 악성코드 기본 정보

종류	Trojan	위험도	낮음
감염경로	이동식 디스크	증상	시스템 설정 변경
플랫폼	Windows	크기	416,768byte
암호화 여부	비암호화	팩킹	ASPack 2.12
MD5	2F450D4CF7E655AF0DDFF5B928C17FE0
SHA1	B7D53FD7DA65B86937E4AB2E765195DC2F4AE858

 

VirusTotal 정보

Antivirus	Result
AhnLab-V3	Win-Trojan/Pearmor.416768
AntiVir	TR/Crypt.ASPM.Gen
Antiy-AVL	-
Avast	Win32:Pakes-TH [Trj]
AVG	Win32/Kenfa
BitDefender	Backdoor.Hupigon.41550
ByteHero	-
CAT-QuickHeal	(Suspicious) - DNAScan
ClamAV	PUA.Packed.ASPack
Commtouch	W32/Troj_Obfusc.N.gen!Eldorado
Comodo	TrojWare.Win32.Trojan.Agent.Gen
DrWeb	Win32.HLLW.Autoruner.1267
Emsisoft	Backdoor.Win32.Hupigon!IK
eSafe	Win32.TRCrypt.Aspm
F-Prot	W32/Troj_Obfusc.N.gen!Eldorado
F-Secure	Backdoor.Hupigon.41550
GData	Backdoor.Hupigon.41550
Ikarus	Backdoor.Win32.Hupigon
Jiangmin	Backdoor/Hupigon.cdqv
K7AntiVirus	Riskware
Kaspersky	Worm.Win32.Runfer.dvu
McAfee	Artemis!2F450D4CF7E6
McAfee-GW-Edition	Heuristic.LooksLike.Win32.EPO.C
Microsoft	Backdoor:Win32/Hupigon.DF
NOD32	probably a variant of Win32/Fujacks
Norman	W32/Packed_PEArmor.C
nProtect	Worm/W32.Runfer.416768
Panda	Bck/Hupigon.LNX
PCTools	Backdoor.Graybird
Rising	Backdoor.Win32.ShangXing.kf
Sophos	Mal/DSpy-B
Symantec	Backdoor.Graybird!Gen
TheHacker	W32/Runfer.ads
TrendMicro	TROJ_GEN.R47CRAC
TrendMicro-HouseCall	TROJ_GEN.R47CRAC
VBA32	Backdoor.Win32.Hupigon.bafb
VIPRE	Trojan.Win32.Generic!BT
ViRobot	Backdoor.Win32.Hupigon.416768.C
VirusBuster	Packed/PE-Armor

 

 

Win32.Trojan.Pearmor 상세 정보

①다음 디렉토리에 다음 파일을 생성한다.
▶c:\windows\system.exe
▶c:\windows\system32\_system.exe
▶[루트 디렉토리]:\autorun.inf
▶[루트 디렉토리]:\system.exe

②다음 레지스트리를 등록한다.
▶HKLM\SYSTEM\CurrentControlSet\Services\Run Service

③다음 도메인 네임을 질의 하고 접속을 시도한다.
▶safekv.3322.org