윈도우 바이러스 기초분석(Practiccal Malware Analysis) [LAB 03-03]

1. Process Explorer 로 이 악성코드를 모니터링 했을 때 무엇을 알아냈는가?

→ 처음에 Lab03-03.exe. 프로세스가 생기고,  자식 프로세스로 svchost.exe 가 생성되었다. 그리고 Lab03-03.exe 프로세스가 사라져서 svchost.exe는 고아 프로세스가 되었다.

 

2. 실시간 메모리 변조를 확인할 수 있는가?

→ svchost.exe의 속성의 Strings를 살펴보니 Image String 과 Memory String 이 다름을 알 수 있다.

 

3. 악성코드임을 의미하는 호스트 기반 표시자는 무엇인가?

→ 우선 svchost.exe 에서 practicemalwareanalysis.log 와 [ENTER] 같은 문자열을 볼 수 있는데 이는 일반적으로 발견되지 않는 문자열이다.

→ 그리고 Lab03-03.exe의 프로세스를 살펴보니 CreateFile 과 WriteFile 등의 함수를 볼 수 있다.

→ 그리고 메모장에 글자 입력 후 생성된 practicalmalwareanalysis.log 파일을 살펴보니 입력했던 글자와 실행파일 이름이 저장되어있음을 살펴 볼 수 있다.

 

4. 결론

따라서 이 파일은 svchost.exe 로 가장한 키로거로 판단할 수 있다.