윈도우 바이러스 기초분석(Practiccal Malware Analysis) [LAB 03-01]

1. 악성코드의 임포트 함수의 문자열은 무엇인가?

→ 분석결과 KERNER32.DLL의 ExitProcess만 검출되었는데 이렇게 적게 나온 이유는 패킹되어있을 확률이 높다. 

→ PEID 로 확인결과, PEncrypt 3.1 Final -> junkcode 로 패킹되어있음을 확인할 수 있다. 

→ Unpacking을 진행하려고 하였으나 문서 부족으로 일단 분석을 진행하기로 하였다. 

 

2. 악성코드임을 의미하는 호스트 기반 표시자는 무엇인가?

→ www.practicalmalwareanalysis.com 의 주소를 확인해 줄 수 있다.

→ 실행 될 것으로 추정되는 exe 파일도 발견할 수 있다.

 

→ 특정 계정에 대해 윈도우 시작 프로그램을 영구적으로 등록하는 레지스트리인           

    SOFTWARE\Microsoft\Windows\CurrentVersion\Run 도 발견할 수 있다. 

 

더 자세한 분석을 위해 동적 분석을 해주었다. 

→Process Explorer로 확인해 보니 string에서 확인했던 vmx32to64가 실행되고 있었고, 뮤텍스를 만드는 것을 확인할 수     있었으나, 그 이상은 조사가 더 필요해 보인다

→ Process Monitor 에 필터를 걸고 결과를 확인 해 준다. 

 

3. 악성코드를 인식할 수 있는 유용한 네트워크 기반의 signature 가 존재하는가? 있다면 무엇인가?

→ Wireshark를 통해 확인한 결과, 다음의 주소로 DNS 통신을 하고 있는 것을 다시 확인할 수 있다. 

 

 

4. 결론

이 파일은 실행과 동시에 CreateFile과 WriteFile함수를 통해서 vmx32to64 파일을 생성한다. 그리고 

www.practicemalwareanaysis.com 과 통신을 계속 한다.