보안 정보/악성코드 관련 정보 malwares.com 2017. 9. 13. 08:48
malwares.com 코드분석팀 분석 자료 1. 개요 실행된 파일명이 vmtoolsd.exe 이어야 동작하는 코드를 발견했다. VM에 설치되어 호스트에 영향을 끼치기 위한것인가? 아니면 단순히 분석가에게 걸리지 않기 위함인가? 하지만 설치되어있는 경로가 이상하다. 분석을 통해 C2 서버와 무슨 행위를 하는지 파악해보자 2. 분석 정보 분석 대상 악성코드는 관리자 패스워드 탈취, 원격 명령 실행이 가능한 백도어의 기능을 한다.C2 Server를 가지고 있으며, 파일 드랍의 기능을 가지고 있으나 현재는 동작하고 있지 않다. 다른 포함한 기능을 살펴보며 분석한다. (1) 시작 프로그램의 시작지점인 WinMain을 분석해보면 실행된 자기프로세스가 시스템 디렉토리에 “..
