(sample)page.7z###프로세스 생성
실행파일명.exe 2회 생성 후
c:\DOC~1\계정명\Appl~1\Maob\uxzi.exe 2회 생성
svshost.exe>rundll32.exe 생성 후 사라짐
###네트워크
senmobert.dlinkddns.com DNS 쿼리 요청
###레지스트리
HKCU\Software\Microsoft\Windows\CurrentVersion\ uxzi.exe 생성 (윈도우 시작시 실행)
uwlyipoc 서비스 생성
###파일 생성
실행 파일은 삭제
c:\DOC~1\계정명\LOCAL~1\Temp\uwlyipoc.sys
c:\DOC~1\계정명\LOCAL~1\Temp\tmp86ab9e96.bat
c:\DOC~1\계정명\Appl~1\Maob\uxzi.exe
###기타
1.코드는 델파이로 작성되었음
2.메일 관련해서 무언가의 동작하는거 같음
3.복사된 uxzi는 38200h부터 저장되는 파일의 끝부분이 다른 값을 가지고 있음.
38200h의 첫 4byte는 동일하며 해당 부분은 헤더의 시작을 알리는 것으로 예상
반응형
'기타 > DMZ' 카테고리의 다른 글
| .com 도메인 8천원에 할인 구매하기 (feat. spaceship) (6) | 2024.03.10 |
|---|---|
| CyCommMech 분석 (0) | 2012.09.12 |
| Microsoft Technet Windows Server 2003 보안 가이드 (0) | 2012.04.30 |
| 윈도우 설치 관련 로그 저장 위치 (2) | 2012.04.27 |
| 2012.03.20 JS 악성코드 분석 메모 (0) | 2012.03.20 |
