CreateMutex
까보면 다나와~

Koobface 악성코드 분석

파일명

setup02220.exe 또는ld32.exe (숫자는 버전을 뜻함)

탐지명

V.TRJ.Koobface.gen

주요 행동

C&C 서버의 명령에 따라 다른 악성코드를 다운로드하여 실행시킨다.

 

실행 순서는 다음과 같다.


파일 전반적으로 리버싱을 방해하는 요소가 많이 있는데 대표적인 것이 Garbage Code이다.

Garbage

+



위에 그림 가운데 있는 게 Garbage code이고 실제 사용되어질 문자열은 중간중간에 나뉘어져 있다. 이것을 다시 메모리에서 조합하여 사용한다.


정해진 규칙에 따라 Command stream을 해석하여 victim PC에서 수행한다.


분석시 확인 핛 수 있었던 명령은 총 6개로, V32에서 적용되는 것으로 보이며 아래와 같은 역할을 한다.
① WAIT : 60000ms(1분) 갂 대기
② BASEDOMAIN : 명령 수행을 목표로핚 도메인을 추가(추정)
③ UPDATE : 새로운 버젂의 setup파일(“%temp%\okoup_%d.exe”)을 다운로드하고 실행
④ STARTONCE : 특정(주로 SNS를 목표로핚) 파일(“%temp%\zpskon_%d.exe”)을 다운로드하고 실행
⑤ FFSTART : %Program Files%\Mozilla Firefox\ftemp.exe(악성)을 다운로드하고 실행
⑥ START : 특정 파일(“%temp%\rar_%d.exe”)을 다운로드하고 실행

'악성코드 상세분석 > BOT' 카테고리의 다른 글

Backdoor.ngrbot  (0) 2012.12.26
  Comments,     Trackbacks