본문 바로가기

악성 코드 분석

JS:DownloadNSave-Z [Adw] 분석 저번에 말씀드린 데로 크롬 킬때 자꾸 글씨에 초록색으로 하이퍼링크가 걸리면서 누르면 awardhotspot 창이 뜨는 바이러스가 있다고 말씀드렸는데요, 다시 백신을 v3에서 avast로 바꾸니 바로 잡혔습니다. ※참고로 치료법은 간단하게 C:\Users\사용자 이름\AppData\Local\Google\Chrome\User data\Default\Extensions\dfbjofkkdkbjldahbacdbbeennphlfcg\2.3폴더를 깨끗하게 지워버리시면 해결 됩니다. 일단 바이러스에 대한 기본적인 설명을 보면 appdata\local\google\chrome\user data\default\extensions 위에 dfb!~@#$^같은 폴더에 위의 그림과 같이 html,js,json파일들이 있습니다... 더보기
악성코드 Backdoor.Hacarmy.D 분석-3 이번에는 저번에 말했던 악성코드가 정보를 빼내는 일을 하는것을 분석해보겠습니다. 00402D82 push zonelock.004050B6 //grandad00402D87 push zonelock.004050B0 //##g## 00402D8C push zonelock.004051A3 //JOIN00402D91 push zonelock.004054AC //format =%s %s %s00402D9D call 00402DA7 push zonelock.004050B0 //##g##00402DAC push zonelock.004051A3 //JOIN00402DB1 push zonelock.004054BE format =%s %s00402DBD call 이부분에서 위부분은 grandad란 parameter를 이용해.. 더보기
악성코드 Backdoor.Hacarmy.D 분석-2 그럼 저번에 말했던 대로 이번엔 실행된 다음에 생긴 ZoneLockUp.exe파일을 분석해보겠습니다. 프로세스 익스플로러에서 ZoneLockup.exe파일의 속성을 보면 system32폴더에 파일이 존재한다고 합니다. 그러므로 이제 system32폴더에 들어가서 이 프로그램을 올리디버거를 통해 분석해보겠습니다. 그런데 Webcam.scr파일이 upx패킹이 되있는 상태로 복사가 됬으므로 ZoneLockup.exe파일도 upx패킹이 되있겠군요. 실제로 확인해보니까 upx패킹이 되있는 파일의 첫부분이랑 같네요. 그러면 upx를 통해 언팩을 한 다음 분석을 해보겠습니다. 저번부분이랑 같은 부분을 모두 제외하고 다른 부분부터 분석을 시작하겠습니다. 004026A5 push zonelock.00404010 //C:.. 더보기
악성코드 Backdoor.Hacarmy.D 분석-1 웹, 네트워크 분야에 흥미를 가지지 않는 이상 정보보안으로 성공할 순 없다고 생각해서 정보보안이 아니라 제가 가장 하고싶은 악성코드분석으로 블로그 주제를 바꿔야 할것같습니다. 그래서 악성코드 분석 시작합니다.(xp화면 출처 : 나, 함수들 설명 : MSDN) 제가 가지고 있는 Backdoor.Hacarmy.D은 화면보호기파일에 숨겨져있는데요, 겉으로는 멀쩡한 화면보호기처럼 보이지만 클릭하면 아무일도 일어나지 않고 사라집니다. 바로 이런점 때문에 악성코드를 발견하기가 힘든건데요, 사실 아무일도 안한것처럼 보이지만 이렇게 프로세스에서는 ZoneLockUp이라는 exe파일을 생성시킨다음에 흔적을 감추는것입니다. 그러면 이제 이 Webcam Shots라는 파일은 어떤 일을 하는지 정확히 알아보기 위해 올리디버거.. 더보기