Backdoor.Egobot: ????????????????

Hacker Medic October 16, 2013 No Comments

??: Satnam Narang

Backdoor.Egobot ???????????????????????????????????????????????????????????????????????????????????? 2009 ?????????? Egobot ?????????????????????????????????? 4 ??????????????

???????
?????????????????????
?????????????????????????
?????????????

??????????????????????????????????? 2006 ???????????????????????????????????

Egobot ???

Egobot ??????????????????????????????????????????????????????? Egobot ???????????

???????
???????????
????
????

???????????????????????????????????????

? 1. Backdoor.Egobot ????????

Egobot ????????????????????????????????????

??

???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????.lnk?????????????????????????????????????????????????

? 2. Egobot ????????????????????????????????

?????????????????????????????????

.lnk ????: ????????????????????? Microsoft ?? HTML ?????????MSHTA???????????????????????????
.doc ????: ?????????????
- Microsoft Office ? RTF ?????????????????????????????CVE-2010-3333?
- Adobe Flash Player ? 'SWF' ???????????????????????CVE-2011-0609?
.hwp ????: ??????????????????????????????

????????????????? 3 ?????????????????????

? 1 ??: ??????? HTML ???????????

?????????????????????????????????????????????????????????????????????? update[YYYYMM].xml ????????????? HTML ??????????????????????????????

? 2 ??: RAR ????????????

? 1 ??????????????????????????????????????????? hotfix[YYYYMM].xml ???????????? RAR ???????? 1 ???? 2 ???????????? 2 ???????????????????????? XML ????????????

? 3 ??: ???????????????????

????? RAR ?????????????????????????????????????????????????????????????????????????????????

Windows ??????
????????????????????????
????????
?????

? 3. ????????????? Egobot ??????????

??????????Egobot ????? & ???????C&C???????????????????

/micro/advice.php?arg1=1irst&arg2=[BASE64 ????????????]
/micro/advice.php?arg1=1irst&arg2=[????]&arg3=[BASE64 ????????????]

? 4. C&C ??????????????????? arg1 ??

C&C ?????????????????????????????????????????????????? 2 ?????????????

youareveryverygoodthing
allmyshitisveryverymuch

????????? RAR ??????????????????????????????????????????????????????C&C ?????? GET ????? arg1 ????????????????????????Egobot ? 1irst.tmp ?????????????????????????????????

?????

??????????????????????????????????????????????????????????????

????????
???????
??????????????
??????????????????????
????????????????
?????????????????????
???????????????

????????????????????????????????????????????????????????64 ???????????????????????????64 ?????????????????????

??????????

Egobot ????????? exe32pack ? UPX ?????????????????????? RAR ????????????????????????????????????????????????????????????????

Detours ???????: Backdoor.Egobot ??????????? Microsoft Detours ???????????????????????????????detoured.dll ???????????????????????? .dll ???????? Win32 ????????????????????Egobot ??????????????????????????????????????????????
??????????????: ??????????????????????????????????????????????????Backdoor.Egobot ??explorer.exe?subst.exe?alg.exe ???????????????????????
??????: ??????????????????????????????????????????????????????????????????????????????Backdoor.Egobot ??????????????

? 5. Backdoor.Egobot ????????

??????????????????Symantec Email Security.cloud ???????????????????????????Trojan Horse?Trojan.Dropper?Trojan.Mdropper?Backdoor.Egobot ??????????

??????????????????????????????? Egobot ??????Egobot ??????????????????????? Egobot ?? 3 ????? 2006 ????????????????Egobot ???????????Nemim ?????????????????Infostealer.Nemim: ?????? Infostealer ?????????????????

* ??????????????????? RSS ????????????http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja ????????????

Leave a Reply Cancel reply

You must be logged in to post a comment.