Trojan.Downloader

Short bio

 

Trojan.Downloader 악성코드는 트로이목마 영향을 받는 시스템에서 다른 악성코드를

다운로드하는 다운로더형 악성코드이다.

특정 웹 사이트나 c&c 서버로 접속해서 악성코드를 다운로드 받아서 감염시킨다.

 

Downloadr Simplified architecture (https://christian-rossow.de/publications/downloaders-dimva12.pdf)

 

 

Static analysis

 

• Automated analysis

VirusTotal 결과

 

 

• Information

MD5	80c37b313c4ce65516814e6d2c96bf4b
SHA-1	6b5470a668172061a3cc43fd6b0d24fa68f54faa
SHA-256	9fd55d74f4295842057fb072177337c7486575a8f680229602259d58636fb6a6
File type	Win32 EXE
Magic	PE32 executable (console) Intel 80386, for MS Windows
File size	39.00 KB (39936 bytes)
DetectItEasy	PE32   Compiler: Microsoft Visual C/C++ (19.29.30148) [C++]   Linker: Microsoft Linker (14.29.30148)   Tool: Visual Studio (2019 version 16.11)
PEiD packer	Microsoft Visual C++ 8.0 [Debug]
Packed / Protector	x

 

•  Imports
  • KERNEL32.dll
    • FreeLibrary
    • GetCurrentProcess
    • GetCurrentProcessId
    • GetCurrentThreadId
    • GetLastError
    • GetModuleHandleW
    • GetProcAddress
    • GetProcessHeap
    • GetStartupInfoW
    • GetSystemTimeAsFileTime
    • WinExec
  • urlmon.dll
    • URLDownloadToFileA

 

• strings

string 추출 (다운로드 url 주소와 실행되는 경로 추출)

 

Dynamic analysis

• Event

CreateFile Event

 

Downloader.exe 21952 CreateFile C:\1.exe SUCCESS 

 

LoadImage Event

 

1.exe 4624 Load Image C:\1.exe SUCCESS

Image Base: 0x9c0000, Image Size: 0x6000

 

Advanced Static analysis

sub_00411760

 

sub_00411760 루틴으로 부터 URLDownloadToFileA 를 호출하여 특정 url에 접속하여

다운로드를 받고 C:\1.exe 경로에 파일을 저장시키고 WinExec 를 호출하여 다운로드 받은 파일을 실행한다.

 

 

https://learn.microsoft.com/en-us/previous-versions/windows/internet-explorer/ie-developer/platform-apis/ms775123(v=vs.85)

 

https://learn.microsoft.com/ko-kr/windows/win32/api/winbase/nf-winbase-winexec

 

 

악성코드 도식화

 

직접 제작한 Downloader 악성코드이므로 1.exe에 대한 동작 활동에 대해서는 작성하지 않았다.