로드한 프로세스가 notepad.exe 가 아니라면 다른 프로세스 별로 다른 동작을 합니다. 우선 explorer.exe 인 경우, Sub_10052FA 함수를 호출합니다. Sub_10052fA 에서는 우선 필요한 함수 주소들을 로드합니다. 그리고 Elevation:Administrator!new:{3ad05575-8857-4850-9277-11b85bdb8e09} 이라는 값을 사용하는데, 이 값은 iFileOperation 의 CLSID 값을 정의한 것으로 해당 값으로 보았을 때 UAC 에서 관리자 권한이 사용되고 있음을 알 수 있습니다. 다음 코드는 sysprep.exe를 이용하여 악성 cryptbase.dll을 로드합니다. UAC 우회기법이 사용되고 있음을 알 수 있습니다. 그리고 다음 svchos..