malware

CyCommMech 분석

※ 명령 형식이나 사용법 등이 cyc.help 파일에 자세히 정의되어 있어 특이한 사항만 작성해 보았습니다.CyCommMech는 오픈소스 IRCBot인 EnergyMech을 변형하여 제작된 것으로 추측되며 UDP Flooding 툴인 Stealth와 함께 배포되었습니다.기본적인 실행 옵션은 아래와 같습니다. 옵션 설명   -f   read configuration from  -c   make core file instead of coredebug/reset  -r   run only for seconds  -d   start mech … Read more

Zbot 악성코드

(sample)page.7z 다운로드 ###프로세스 생성실행파일명.exe 2회 생성 후c:\DOC~1\계정명\Appl~1\Maob\uxzi.exe 2회 생성 svshost.exe>rundll32.exe 생성 후 사라짐 ###네트워크senmobert.dlinkddns.com DNS 쿼리 요청 ###레지스트리HKCU\Software\Microsoft\Windows\CurrentVersion\ uxzi.exe 생성  (윈도우 시작시 실행) uwlyipoc 서비스 생성 ###파일 생성실행 파일은 삭제c:\DOC~1\계정명\LOCAL~1\Temp\uwlyipoc.sysc:\DOC~1\계정명\LOCAL~1\Temp\tmp86ab9e96.batc:\DOC~1\계정명\Appl~1\Maob\uxzi.exe ###기타 1.코드는 델파이로 작성되었음2.메일 관련해서 무언가의 동작하는거 같음 3.복사된 uxzi는 38200h부터 저장되는 파일의 끝부분이 다른 값을 가지고 있음.38200h의 첫 4byte는 동일하며 해당 부분은 헤더의 시작을 … Read more

[일반]Win32.Trojan.Pearmor.416768

Win32.Trojan.Pearmor.416768.pdf 다운로드 (Sample)Win32.Trojan.Pearmor.416768.7z 다운로드 ※잘못된 내용은 지적해주시면 감사하겠습니다. PDF 파일 : 악성코드 분석 보고서 7z 파일 : 악성코드 샘플 (암호 : sample) ※이 악성코드는 분석 및 학습용으로 공유하는 것이기 때문에 악용을 금합니다!!

[일반]Win32.FlyStudio.Worm.1289331

Win32.FlyStudio.Worm.1289331.pdf 다운로드 (Sample)Win32.FlyStudio.Worm.1289331.7z 다운로드 ※잘못된 내용은 지적해주시면 감사하겠습니다. PDF 파일 : 악성코드 분석 보고서 7z 파일 : 악성코드 샘플 (암호 : sample) ※이 악성코드는 분석 및 학습용으로 공유하는 것이기 때문에 악용을 금합니다!!

[일반]Win32.Xema.worm.307200.E

Win32.Xema.Worm.307200.E.pdf 다운로드 (Sample)Win32.Xema.worm.307200.E.7z 다운로드 ※잘못된 내용은 지적해주시면 감사하겠습니다.   PDF 파일 : 악성코드 분석 보고서 7z 파일 : 악성코드 샘플 (암호 : sample) ※이 악성코드는 분석 및 학습용으로 공유하는 것이기 때문에 악용을 금합니다!!

2011.1.4 Xema worm 동적 분석 메모

프로세스 생성 system -> autochl -> newdev 파일 생성 c:\Windows\system32\autochl.exe c:\Windows\system32\sserver.exe c:\Windows\system32\config\system.exe c:\Windows\system32\config\system.sav c:\Windows\Temp\newdev.exe c:\Windows\system32\lap.exe c:\Windows\system32\dllcache\log.exe 이동식:\autorun.inf 이동식:\Goback.exe 레지 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAuthoRun   145 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue   0 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell  explorer.exe c:windows\system32\sserver.exe system.exe == autochl.exe == sserver.exe == system.sav == lap.exe == log.exe

[상세]VBS.Autorun.7474

VBS.Autorun.7474.pdf 다운로드 (Sample)VBS.Autorun.7474.7z 다운로드 ※잘못된 내용은 지적해주시면 감사하겠습니다.   PDF 파일 : 악성코드 분석 보고서 7z 파일 : 악성코드 샘플 (암호 : sample) ※이 악성코드는 분석 및 학습용으로 공유하는 것이기 때문에 악용을 금합니다!!

Win32.Backdoor.Worm.IRCBot.23552

(Removal Tool)Win32.Backdoor.Worm.IRCBot.23552.7z 다운로드 [2011/06/10 Version 1.1] -실행 속도 개선 -인터페이스 개선 -실행 결과 출력 [2011/06/09 Version 1.0] -로컬 디스크,이동식 디스크,램 디스크 등에 남아있는 IRCBot 파일 검색 및 제거 -히든 프로세스로 구동중인 IRCBot 프로세스 제거 -관련 레지스트리 제거 -관련 서비스 제거

[상세]Win32.Backdoor.Worm.IRCBot.23552

Win32.Backdoor.Worm.IRCBot.23552.pdf 다운로드 (Sample)Win32.Backdoor.Worm.IRCBot.23552.7z 다운로드 ※잘못된 내용은 지적해주시면 감사하겠습니다. PDF 파일 : 악성코드 분석 보고서7z 파일 : 악성코드 샘플 (암호 : sample) ※이 악성코드는 분석 및 학습용으로 공유하는 것이기 때문에 악용을 금합니다!!
바로가기