[악성코드분석] 광고성 악성코드 분석

url : www.su****.pe.kr

 

- 실행 결과

1. cps_down_v165.exe 실행

2. 원격서버로 다음과 같은 쿼리 요청

: /newact/exefileall.asp                                             => 악성코드 파일 리스트

: /newact/exename.asp?uncode=165                        => 파라메터 값에 해당되는 파일

: /DownLoad/c/ver165/cps_exe_v165_7.exe           => 다운받을 파일

 

3. 다운받은 파일 실행 (cps_exe_v165_7.exe)

 

4. 원격서버로 다음과 같은 쿼리 요청

: /NewAct/GetSiteFileTime.asp

: /download/keylist/sitelist.txt

: /NewAct/GetKeyFileTime.asp

: /download/keylist/keylistnew.txt

: /NewAct/GetUrlFileTime.asp

: /download/keylist/urllist.txt

: /download/c/ver165/uninstall_v165.exe

: /NewAct/UserConnectAll.asp?uncode=165&dsend=N&bsend=N

 

5. 레지스트리에 자동 시작 되도록 등록

 

 

6. sun 폴더 생성 후 4개 파일 생성

: cps_exe_v165_7_bt.sun_

: cps_exe_v165_7_dc.sun_

: cps_exe_v165_7_kc.sun_

: cps_exe_v165_7_sc.sun_

 

7. 프로그램 등록

 

 

 

8. 좀비 프로세스로 메모리 상주 (부모프로세스 제거 시 좀비프로세스가 됨)