악성파일이 자주 날라 오는 요즘...분석

요즘 악성 파일들이 자주 날라오네요.

분석한 김에 정리한 내용을 올립니다.

 

 

 

doc 파일이라고 보이지만, 파일을 선택해 보면 exe 파일 임을 확인 할 수 있다.

 

해당 파일을 분석 해보면, 랜덤한 문자열을 생성한다.

srand() 이용

 

00401A3F  |.  50            PUSH EAX                                 ; /seed
00401A40  |.  FF15 00714000 CALL DWORD PTR DS:[<&MSVCRT.srand>]      ; \srand

 

랜덤한 문자열을 기반으로 2차 연산 과정을 걸쳐 실행파일 생성

 

 

 

해당 파일을 CreateProcessW를 이용하여 실행 이후 프로그램 종료.

 

gz2gh.exe 파일의 경우는 레지스트리의 "Software\Microsoft\Windows\CurrentVersion\Run\Google_Update"

추가하여 실행시 구동하게 한다.

 

 

외부 C&C 서버로 접속

 

war.geekgalaxy.com

revjj.syshell.org

 

해당 URL은 방화벽으로 차단하는 것이 좋을 것 같다.

(접속 로그를 확인하여, 감염 유무를 모니터링 하는 것도 하나의 방법이다.)

서버에서 kernel.dll 파일을 전송 받음.

 

 

ps ;

서버를 끊어버려서 kernel.dll 파일은 못 구했네요.

해당 파일을 분석 하고 싶은데 ㅎㅎㅎ 실망에선 좀 힘들고..어디 안전하게 받으신 분 있다면 연락주세요.^^/