[bot] 국내 RAT 한우툴 150118 분석

md5 : 9ee9aa1537907f63d8350cc294ab7e6b

해당 파일은 Bot류로서 다음과 같은 기능이 있음

서비스거부공격(DOS, Denial of Service)

- TCP Data Flood 

- TCP Rnd Flood 

- TCP Pck Flood 

- TCP Connect Flood 

- SYN Flood 

- HTTP Flood 

- ES Flood 

C&C의 경우 아래 네이버 블로그 URL 에서 명령을 받아오는 것으로 판단되나, 현재 해당 블로그는 차단된 상태

"http://blog.naver.com/PostView.nhn?blogId=windowupdate&logNo=150110424974&parentCategoryNo=1&viewDate=¤tPage=1&listtype=0&userTopListOpen=false&userTopListCount=5&userTopListManageOpen=false&userTopListCurrentPage=undefined" 

보안제품을 체크하는 루틴이 있으며 아래 모듈을 확인함

V3LSvc.exe : V3

AYRTSrv.aye : 알약

또한, 내부에 추가 PE다운로드 루틴이 있으며, URL은 다음과 같다.

- http://nnvava12.dothome.co.kr/uolsn.dll

+ 확인결과 위 파일은 '한우툴' 이라는 국내 제작 RAT의 모듈로서 키로깅, ddos 등의 기능을 갖고 있음

+ bot 파일에 대해서 '서버파일' '섭파'라는 이름으로도 불리는 듯..