[+] Security/[-] Analysis
악성코드(word.vbe) 간단한 추가 분석
MaJ3stY
2011. 12. 14. 13:40
너무너무 궁금해서 결국 분석환경에서 간단히 어떠한 동작을 하는지 보았다.
온라인 게임 계정탈취 악성코드는 아닌듯 하고, 200~으로 시작하는 파일이 Alcrm32.exe파일을 Drop해 실행시킨다.
또, logo09.exe파일은 레지스트리 중 Ahnlab Tray 레지스트리에 자신을 등록하게 삭제 된다.
나머지 파일 하나는 그냥 백도어 프로그램 이다..
그리고 나서 200~ 파일은 인터넷 접속을 시도 하고, site/main/b.txt를 받으려고 하나 해당 사이트에서 조치가 취해졌는지 파일이 없어 다운받지 못하고 404 페이지만 서버로부터 받는다.
과연 저 b.txt파일에는 뭐가 들어있을까? ㅋㅋ
온라인 게임 계정탈취 악성코드는 아닌듯 하고, 200~으로 시작하는 파일이 Alcrm32.exe파일을 Drop해 실행시킨다.
또, logo09.exe파일은 레지스트리 중 Ahnlab Tray 레지스트리에 자신을 등록하게 삭제 된다.
나머지 파일 하나는 그냥 백도어 프로그램 이다..
그리고 나서 200~ 파일은 인터넷 접속을 시도 하고, site/main/b.txt를 받으려고 하나 해당 사이트에서 조치가 취해졌는지 파일이 없어 다운받지 못하고 404 페이지만 서버로부터 받는다.
[그림 1 - 패킷 스트림 모습]
해당 사이트는 현재 공사중이라고 표시되고 b.txt 파일은 다운로드 되지 않으므로 주소를 공개한다.과연 저 b.txt파일에는 뭐가 들어있을까? ㅋㅋ