2010. 10. 18. 15:07, 악성코드 상세분석/BOT
|
파일명 |
setup02220.exe 또는ld32.exe (숫자는 버전을 뜻함) |
|
탐지명 |
V.TRJ.Koobface.gen |
|
주요 행동 |
C&C 서버의 명령에 따라 다른 악성코드를 다운로드하여 실행시킨다. |
실행 순서는 다음과 같다.
파일 전반적으로 리버싱을 방해하는 요소가 많이 있는데 대표적인 것이 Garbage Code이다.
+
iq-tech.biz/.8cww/.uozs/
leonardandself.com/.uozs/
ndself.com/.uozs/
www.flohr.tuknet.dk/.fav3bas/
www.its-email.co.uk/.symf4o/
mahjongmuseum.com/.oieq/
ongmuseum.com/.oieq/
ndfeuerwehr-zermatt.ch/.ozpupvr/
jugendfeuerwehr-zermatt.ch/.ozpupvr/
leonardandself.com/.uozs/
ndself.com/.uozs/
www.flohr.tuknet.dk/.fav3bas/
www.its-email.co.uk/.symf4o/
mahjongmuseum.com/.oieq/
ongmuseum.com/.oieq/
ndfeuerwehr-zermatt.ch/.ozpupvr/
jugendfeuerwehr-zermatt.ch/.ozpupvr/
정해진 규칙에 따라 Command stream을 해석하여 victim PC에서 수행한다.
분석시 확인 핛 수 있었던 명령은 총 6개로, V32에서 적용되는 것으로 보이며 아래와 같은 역할을 한다.
① WAIT : 60000ms(1분) 갂 대기
② BASEDOMAIN : 명령 수행을 목표로핚 도메인을 추가(추정)
③ UPDATE : 새로운 버젂의 setup파일(“%temp%\okoup_%d.exe”)을 다운로드하고 실행
④ STARTONCE : 특정(주로 SNS를 목표로핚) 파일(“%temp%\zpskon_%d.exe”)을 다운로드하고 실행
⑤ FFSTART : %Program Files%\Mozilla Firefox\ftemp.exe(악성)을 다운로드하고 실행
⑥ START : 특정 파일(“%temp%\rar_%d.exe”)을 다운로드하고 실행
'악성코드 상세분석 > BOT' 카테고리의 다른 글
| Backdoor.ngrbot (0) | 2012.12.26 |
|---|
Comments, Trackbacks
