본문 바로가기

[+] Security/[-] Analysis

악성코드(word.vbe) 간단한 추가 분석

너무너무 궁금해서 결국 분석환경에서 간단히 어떠한 동작을 하는지 보았다.

온라인 게임 계정탈취 악성코드는 아닌듯 하고,  200~으로 시작하는 파일이 Alcrm32.exe파일을 Drop해 실행시킨다.

또, logo09.exe파일은 레지스트리 중 Ahnlab Tray 레지스트리에 자신을 등록하게 삭제 된다.

나머지 파일 하나는 그냥 백도어 프로그램 이다.. 

 그리고 나서 200~ 파일은 인터넷 접속을 시도 하고, site/main/b.txt를 받으려고 하나 해당 사이트에서 조치가 취해졌는지 파일이 없어 다운받지 못하고 404 페이지만 서버로부터 받는다.


[그림 1 - 패킷 스트림 모습]
 
해당 사이트는 현재 공사중이라고 표시되고 b.txt 파일은 다운로드 되지 않으므로 주소를 공개한다.

과연 저 b.txt파일에는 뭐가 들어있을까? ㅋㅋ