url : www.su****.pe.kr
- 실행 결과
1. cps_down_v165.exe 실행
2. 원격서버로 다음과 같은 쿼리 요청
: /newact/exefileall.asp => 악성코드 파일 리스트
: /newact/exename.asp?uncode=165 => 파라메터 값에 해당되는 파일
: /DownLoad/c/ver165/cps_exe_v165_7.exe => 다운받을 파일
3. 다운받은 파일 실행 (cps_exe_v165_7.exe)
4. 원격서버로 다음과 같은 쿼리 요청
: /NewAct/GetSiteFileTime.asp
: /download/keylist/sitelist.txt
: /NewAct/GetKeyFileTime.asp
: /download/keylist/keylistnew.txt
: /NewAct/GetUrlFileTime.asp
: /download/keylist/urllist.txt
: /download/c/ver165/uninstall_v165.exe
: /NewAct/UserConnectAll.asp?uncode=165&dsend=N&bsend=N
5. 레지스트리에 자동 시작 되도록 등록
6. sun 폴더 생성 후 4개 파일 생성
: cps_exe_v165_7_bt.sun_
: cps_exe_v165_7_dc.sun_
: cps_exe_v165_7_kc.sun_
: cps_exe_v165_7_sc.sun_
7. 프로그램 등록
8. 좀비 프로세스로 메모리 상주 (부모프로세스 제거 시 좀비프로세스가 됨)
'할롬::컴터 > 악성코드분석' 카테고리의 다른 글
[악성코드분석] 변조된 사이트 접속시 악성코드 감염주의 (0) | 2011.08.04 |
---|---|
[악성코드분석] 정상적인 lpk.dll 시스템 파일 변조하는 악성코드 (0) | 2011.06.29 |
[악성코드분석] 키로거 형태 악성코드 TeUpdate.dll, Crypt2.dll (2) | 2011.06.27 |
[악성코드분석] ws2help.dll 악성파일 분석 (10) | 2011.06.21 |
[악성코드분석] Winweng.exe 악성코드 분석 (0) | 2011.05.26 |