[악성코드]3월20일 방송사 및 금융권 악성코드 ApcCmdRun.exe ※ 주의사항 아래 공격 코드는 연구 목적으로 작성된 것이며, 허가 받지 않은 공간에서는 테스트를 절대 금지합니다. 악의 적인 목적으로 이용할 시 발생할 수 있는 법적 책임은 자신한테 있습니다. 이는 해당 글을 열람할 때 동의하였다는 것을 의미합니다. 해당 문서의 저작권은 해당 프로젝트 참여 저자들에게 모두 있습니다. 외부에 공개시 법적 조치가 가해질 수 있습니다. 개요 악성코드 개요 3월20일 대란으로 유명한 darkseoul 샘플 입니다. MBR을 파괴하고 나서 물리드라이버(하드디스크)까지 파괴를 시키는 악성코드입니다. 생성파일 정보 요약 감영증상 요약 MBR과 HDD를 파괴하고 강제로 리부팅하여 시스템을 파괴합니다. VirusTotal 점검 내역 https://www.virustotal.com/ko/.. 더보기 [악성코드]Backdoor.SdBot.aa/분석 1. 개요 해당 악성코드는 Explorer.exe windows작업관리자가 시작되면 자동실행 된다. 즉 컴퓨터가 재부팅되면 c"\windows/system32/System32.exe 프로세스를 자동실행하여 백도어의 역할을 하게 되며, 특정 명령어를 실행하며, 업데이트 기능도 갖고 있다 (1) 생성파일 정보 요약 [그림.1] 2. VirusTotal 점검 내역 https://www.virustotal.com/ko/file/e3b876df63fd0e1313be0dd416f654691193415f0ab6814d8be7c1ffe2f2bb8b/analysis/1362309628/ [그림.2] 3. 상세 분석 내용 (1) Manual FSG Packing EXEINFO_PE 정보를 확인하면 해당 파일이 FSG V1.. 더보기 API 정리 CreateThread HANDLE CreateThread ( LPSECURITY_ATTRIBUTES lpThreadAttributes, / / 보안 설명자 DWORD dwStackSize / / 초기 스택 크기 LPTHREAD_START_ROUTINE lpStartAddress, / / 스레드 기능 LPVOID lpParameter, / / 스레드의 인수 DWORD dwCreationFlags, / / 생성 옵션 LPDWORD lpThreadId / / 스레드 식별자 );매개 변수lpThreadAttributes1 개의 구조에 대한 포인터를 지정합니다. 이 구조에서 자식 프로세스가 얻은 핸들을 상속 할 수 있는지 여부를 지정합니다. 이 매개 변수 NULL을 지정하면 취득한 핸들을 상속 할.. 더보기 이전 1 ··· 7 8 9 10 11 12 13 ··· 20 다음