CreateMutex
까보면 다나와~
koobface (2)

Koobface 새로운 버젼입니다~

이름은 "andy141"


지난번 꺼와 동일한 모양새 입니다.


twgen 다운받아서 위와같이 포스팅을 하네요. 물론 다른 것도 있겠지만 확인된 건 이것뿐..
듣기로는 MAC OS에 맞게 재작된(cross-platform version) 것도 있다고 합니다.

주의하시길..

'악성코드 소식' 카테고리의 다른 글

Shedding New Light on Tor-Based Malware  (0) 2014.03.12
ghost, gh0st 관련 정보  (1) 2013.09.17
Targeted ‘phone ring flooding’  (0) 2013.02.14
Red October  (0) 2013.01.16
Ole Trade Tool 악성코드  (0) 2010.12.13
  Comments,     Trackbacks

Koobface 악성코드 분석

파일명

setup02220.exe 또는ld32.exe (숫자는 버전을 뜻함)

탐지명

V.TRJ.Koobface.gen

주요 행동

C&C 서버의 명령에 따라 다른 악성코드를 다운로드하여 실행시킨다.

 

실행 순서는 다음과 같다.


파일 전반적으로 리버싱을 방해하는 요소가 많이 있는데 대표적인 것이 Garbage Code이다.

Garbage

+



위에 그림 가운데 있는 게 Garbage code이고 실제 사용되어질 문자열은 중간중간에 나뉘어져 있다. 이것을 다시 메모리에서 조합하여 사용한다.


정해진 규칙에 따라 Command stream을 해석하여 victim PC에서 수행한다.


분석시 확인 핛 수 있었던 명령은 총 6개로, V32에서 적용되는 것으로 보이며 아래와 같은 역할을 한다.
① WAIT : 60000ms(1분) 갂 대기
② BASEDOMAIN : 명령 수행을 목표로핚 도메인을 추가(추정)
③ UPDATE : 새로운 버젂의 setup파일(“%temp%\okoup_%d.exe”)을 다운로드하고 실행
④ STARTONCE : 특정(주로 SNS를 목표로핚) 파일(“%temp%\zpskon_%d.exe”)을 다운로드하고 실행
⑤ FFSTART : %Program Files%\Mozilla Firefox\ftemp.exe(악성)을 다운로드하고 실행
⑥ START : 특정 파일(“%temp%\rar_%d.exe”)을 다운로드하고 실행

'악성코드 상세분석 > BOT' 카테고리의 다른 글

Backdoor.ngrbot  (0) 2012.12.26
  Comments,     Trackbacks