일요일 아침이 난 컴퓨터를 켰을때 문득 한장의 쪽지를 받았다 - _-)
이게 왠떡이야..내가 예전부터 분석하고 싶었던 그놈이였다..네이트온으로 돌아다니는 그 정체모를 놈..
음 일단은 저 링크를 누르면 안될거 같아서 플래쉬겟으로 받아보았다. - _-);;;;
결과는 아래보면 0726.scr 이다.
사실 다운로드 링크는 JPG이지만, 변태적인 포워딩으로 scr파일을 받는것이다.
(근데 이 단계에서 저게 짱깨 꺼라는것을 알아버렸다.)
그리고 돌려본것이 W32DASM .. 이건 돌다가 프로그램이 알아서 뻗는다..
왜그럴까 생각해봤떠니 이렇게...RAR코드가 들어가있더라...
저 RAR헤더 뒷부분을 쭈욱 파일로 따로 만들어서 WinRAR로 푸는 시도를 해봤는데 안되더라..
미친 WinRAR..... 근데 좌절하고 있을때쯤 알집으로 푸니 풀리더라......... (이뭐병 WinRAR....)
여튼 이렇게.......따로 만들었다.
이렇게 만들어진 rar파일을 풀었더니.
바이러스 이다.. 현재 압축을 풀다보니 알약에서...
바이러스 나왔따고 내뱉더라...(현재 이글을 쓰고 있는 지금도 알약이 떠잇다.. 고치고 싶지만
고치면 코드가 변하기때문에 그냥 놔두고 있다..픗)
generic.PWStraler.06CD728E이놈과
Rootkit.Agent.XN 이다..
(흐흠..짱꿔놈들이 만들었단 말이지..-_-)
여튼 일단은 .........디 어셈으로 분석하는것만 남았다..
다시 포스팅하겠다..
'#comtech' 카테고리의 다른 글
| Tip] 보물섬 스피드 다운로더 speeddown 삭제 방법.. (15) | 2011.01.21 |
|---|---|
| 2010-01-06 이러고 논다..... (0) | 2010.01.06 |
| VB-Script를이용한 이메일 바이러스 (0) | 2009.12.10 |
| 지르고 싶다... 프리라인스케이트 (0) | 2007.11.29 |
