일요일 아침이 난 컴퓨터를 켰을때 문득 한장의 쪽지를 받았다 - _-)
이게 왠떡이야..내가 예전부터 분석하고 싶었던 그놈이였다..네이트온으로 돌아다니는 그 정체모를 놈..
음 일단은 저 링크를 누르면 안될거 같아서 플래쉬겟으로 받아보았다. - _-);;;;
결과는 아래보면 0726.scr 이다.
사실 다운로드 링크는 JPG이지만, 변태적인 포워딩으로 scr파일을 받는것이다.
분석을해보자.... 일단 제일쉬운 리소스핵..돌려보았다... 얨뱡 보여지는거라곤 스트링이 고작..
(근데 이 단계에서 저게 짱깨 꺼라는것을 알아버렸다.)
그리고 돌려본것이 W32DASM .. 이건 돌다가 프로그램이 알아서 뻗는다..
왜그럴까 생각해봤떠니 이렇게...RAR코드가 들어가있더라...
사실 EDIT로 건질게 없을까? 했다가 ... 보고 있는데 RAR헤더가 나오는게 아닌가? -_-
저 RAR헤더 뒷부분을 쭈욱 파일로 따로 만들어서 WinRAR로 푸는 시도를 해봤는데 안되더라..
미친 WinRAR..... 근데 좌절하고 있을때쯤 알집으로 푸니 풀리더라......... (이뭐병 WinRAR....)
여튼 이렇게.......따로 만들었다.
이렇게 만들어진 rar파일을 풀었더니.
이렇게 나오더라.. 저기서 JPG파일은 사실 유저를 속이기위한 실제 이미지 데이터이고 나머지가..
바이러스 이다.. 현재 압축을 풀다보니 알약에서...
바이러스 나왔따고 내뱉더라...(현재 이글을 쓰고 있는 지금도 알약이 떠잇다.. 고치고 싶지만
고치면 코드가 변하기때문에 그냥 놔두고 있다..픗)
generic.PWStraler.06CD728E이놈과
Rootkit.Agent.XN 이다..
(흐흠..짱꿔놈들이 만들었단 말이지..-_-)
여튼 일단은 .........디 어셈으로 분석하는것만 남았다..
다시 포스팅하겠다..
'#comtech' 카테고리의 다른 글
Tip] 보물섬 스피드 다운로더 speeddown 삭제 방법.. (15) | 2011.01.21 |
---|---|
2010-01-06 이러고 논다..... (0) | 2010.01.06 |
VB-Script를이용한 이메일 바이러스 (0) | 2009.12.10 |
지르고 싶다... 프리라인스케이트 (0) | 2007.11.29 |