★625악성코드의 특징
# DNS 증폭 DDOS(DNS Amplification DDoS, aka SMURF attack)
- 이거 다시 확인
mbr악성코드 특징(0708a979a5c7c3a0450b7ddc37faead7)
네트워크 관련
VICTIM 정보를 XOR 해서 유출(상태 파악)
프로세스 관련
User 계정에 따라 파라미터 -n -b -r -i -p -m -z -d -f -w -t -a 등을 붙혀 실행
defualt
Wow64DisableWow64FsRedirection - 64bit 확인(wow64 리다이렉션 기능을 멈추지만 그 용도로 쓰지는 않는 듯)
WTSEnumerateSessionsW - 계정 정보 검색, 아래 API로 토큰 정보를 수정하여 실행
WTSQueryUserToken
DuplicateTokenEx
SetTokenInformation
-b 옵션
mbr 변조
서비스 관련
Sens, Alerter - 중지
계정 관련
net user [계정] "highanon2013"
del "[계정]\Temp\3F03.tmp.bat"
파일 시스템 관련(PE 파일, 영상 파일, 이미지 파일, 웹 파일, 기타를 확장자로 구분하여 삭제)
GetDriveTypeW
_wmakepath "\\?\E:\*.*"
PathMatchSpecW 확장자 비교 함수 사용
[_remove:00401d40]영상, 이미지 확장자 확인 후 파일 변조, 그 후 다음 루틴
*.nms 파일외 *.exe, *.dll, *.sys, *.ocx은 삭제 또는 SetFileAttributesW 보안 해제 후 삭제
그외 확장자는 처음과 끝을 "20"으로 바꾼뒤 MoveFileW로 랜덤한 파일명으로 변환 & 삭제
# 320때 mbr삭제 악성코드와 연관성은 잘 모르겠다. mbr 악성코드만 보면 비슷하진 않음.
완전히 새로 코드를 짠 느낌.
# 윈도우7 관리자 권한으로 실행시 mbr 변조, 일반권한이면 유저권한의 파일만 삭제
- 윈도우7 기준으로 권한이 있어야 하는데, 그 역할은 아마도 웹하드 업데이터가 해줄 듯
'악성코드 상세분석' 카테고리의 다른 글
| Bootkit 심층분석 (0) | 2012.09.12 |
|---|---|
| ahnurl.sys 루트킷 드라이버 분석 (0) | 2012.04.06 |
| 온라인 게임 드롭퍼 (0) | 2011.11.15 |
| spoo1sv.exe 분석내용(이미지 포함) (1) | 2011.11.09 |
| spoo1sv.exe (1) | 2011.11.07 |
