트로이 목마 악성코드 분석 - 1

 

 

 

44개백신들이 이 파일을 탐지하고있습니다.

 

 

 

 

 

파일이 upx로 패킹됬다는 것을 알수있습니다.

 

 

2013 년에 컴파일됬고

 

 

 

 

 

 

upx 섹션이름을 가지고있다는 것을 알 수 있습니다.

 

 

 

 

api를 감추고 있기 때문에 파악할수있는 정보는 이정도밖에안되고

 

 

upx압축을 풀고 import를 구성해주는 애들이다.

 

 

 

 

 

어떤파일을 읽었는지 쓰는지를 알려줍니다.

 

 

 

 

 

 

 

 

 

그래서 일단 말웨어 파일의

 

upx 패킹을 풀어줍니다.

 

 

 

 

 

 

 

 

 

패킹이 잘풀린걸 알 수있습니다.

 

 

 

 

 

pestudio가 주의 사항을 정리를해서 어떤기준을 통해서 위험한지 위험하지않은지 나타내고있다.

 

 

 

 

 

 

 

악성코드가 자주사용하는 imports를 블랙리스트로 정의하고 있다.

 

 

 

리소스에 dll들이있는데

 

dll이 서비스에 등록이되는데 저게 주로 중요한 행동을 할거라 생각된다.

 

 

 

 

http 관련된 api들이 dll에서 나왔다고 생각이 됩니다.

 

 

 

 

 

 

 

 

 

 

 

 

 

resourcehacker를 설치한뒤에

 

 

 

 

 

말웨어 파일을 올리니까 이렇게 확인을 할 수가 있습니다.

 

 

 

 

파일을저장하고 보니까

 

내부가 dll로 구성되있는 것을 알 수 있었습니다.

 

 

 

 

 

서비스로 등록이되면 실행되는 함수일거같다...