개요
Trojan-Dropper.Win32.Agent.exc 악성코드는 추가 악성 파일을 생성하는 드롭퍼형 악성코드다.
MD5:4cf9004c6710a0e57ec09b67770e1243
상세 분석
<바이러스 토탈 결과>
<패킹 결과>
| AhnLab-V3 |
O |
| BitDefender(알약) |
O |
| nProtect |
O |
| ViRobot |
O |
<국내 주요 백신 결과>
악성코드 분석 방해를 위해서 protector를 사용했다. 즉 브레이크 포인트를 설정 할수 없으며 직접 분석을 진행 한다.
악성코드를 생성하고 저장할 디렉토리를 생성 한다.
첫번째 악성코드 파일 conime.exe 파일을 생성 한다.
생성한 conime.exe 파일에 Writefile 함수를 사용해서 쓰기를 시작 한다.
도롭퍼가 생성할 첫번째 파일 생성 하고 생성한 파일은 Beijing Rising Information Technology에서 제공하는 백신, 방화벽 보안솔루션 Rising Antivirus 응용프로그램으로 위장 한다.
ShellExecute 함수 호출로 악성코드 conime.exe 파일을 실행 한다.
다시 한번 반복문으로 돌아가서 두번째 파일인 첫번째 악성코드 파일svchost.exe 파일을 생성 한다.
최종적으로 도롭퍼가 생성 할 두번째 파일을 생성 한다.
ShellExecute 함수 호출로 악성코드 scvhost.exe 파일을 실행 한다. 이로써 드롭퍼 악성코드의 역할은 모두 끝나게 된다.
'악성코드 분석' 카테고리의 다른 글
| Backdoor/Win32.Delf (0) | 2013.01.09 |
|---|---|
| Backdoor.Win32.Yoddos.an (0) | 2013.01.09 |
| TrojanDownloader:Win32/Kraddare.D (0) | 2013.01.08 |
| Trojan-Ransom.Win32.Blocker.aglb (0) | 2013.01.07 |
| Backdoor.Ghostnet (1) | 2013.01.06 |
