2018-12-07
- C언어 함수
RegCreateKey
Create Registry Key
RegSetValue
Registry Set Value
- server.exe
- process create
- svchost.exe(/Windows) ; pid1900
- 파일생성
- cmd.exe : delete server.exe
- 파일생성
- msdjfd.com(/system32) && 지울수도 있어서 svchost.exe덮어쓰기
- 파일생성
- msmudu.com(/msagent) && svchost.exe 덮어쓰기
- 파일생성
- svchost.exe(/windows)
- 파일생성
- RegSetValue (msdjfd.com과 msmudu를 반복해서 설정)
Thread Create
- 악성코드 실행시 다중스레드발생
- 악성코드 리버싱 (BinText 3.0.3)
- 사용된 소스코드 확인차
- 파일 읽어보고 대충파악->ftp인척하면서 read
- 사용된 소스코드 확인차
- 파일 읽어보고 대충파악->ftp인척하면서 read
[ 코드파악 ]
send-rcv-send-rcv-send-rev
[ 하드디스크파괴하는 함수 부분]
사용된 소스코드
실행
- 백도어 명령어 : "del"
- server의 pc에 있는 파일을 삭제
함수삽입
- Client
- Server
실행
No comments:
Post a Comment