반응형 ircbot4 Win32/Backdoor.Worm.IRCBot.23552: 세부 코드 분석 내용 이 글은 Win32/Backdoor.Worm.IRCBot.23552를 분석하는 과정에서 해당 악성코드 내부에 어떤 코드가 코딩되어있었는지 분석한 내용에 대해서 개인적으로 정리한 내용입니다. 개인 분석 및 메모용으로 작성된 것이기 때문에 해당 내용만으로는 전체적인 이해가 어려울 수 있으니 참고바랍니다. 최초 실행 파일(usb를 통한 감염 시) 분석 내용 -------------------------------------------- 29A05F7D 최초 메인 루틴 -------------------------------------------- 29A0607E 자기 복제 루틴을 실행한다.(29A068F0) 29A06091 현재 실행되고 있는 프로세스가 c:\windows\system\smsc.exe인지 확인.. 2024. 3. 11. Win32/Backdoor.Worm.IRCBot.23552:악성코드 C&C 서버 분석 이번 글에서는 Win32/Backdoor.Worm.IRCBot.23552의 서버의 구성은 어떻게 되어있고 악성코드와 어떤 방식으로 통신하는지 정리해보겠습니다. IRCBot Server 정보 Win32/Backdoor.Worm.IRCBot.23552는 IRCBot이므로 해당 악성코드의 서버는 IRC Server 입니다. 서버는 채팅 채널을 생성해두고 악성코드가 감염된 PC와 통신하면서 해당 채널에 접속된 Bot화된 좀비 PC에 명령을 내립니다. 현재 서버 작동 여부 미작동 기본정보 서버 종류 IRC Server 도메인 b.vspcord.com IP 주소 211.233.91.10 Port 번호 988 추가정보 패스워드 h4xg4ng 채널명 #lox IRCBot의 명령 실행 방법 감염 PC의 명령실행은 접속된.. 2024. 3. 11. Win32/Backdoor.Worm.IRCBot.23552: IRCBot 악성코드 동작 순서 Win32/Backdoor.Worm.IRCBot.23552 악성코드의 침투와 확산 과정을 상세하게 설명하는 흐름도를 통한 분석입니다. 최근 제가 조사하고 분석한 바에 따르면, 특정 이 악성코드는 그 침투 과정이 상당히 정교하고 복잡하며, 오늘은 그 복잡한 네트워크를 함께 살펴보려 합니다. 우선, 첨부된 흐름도를 보시면 알 수 있듯이, 악성코드는 단순히 하나의 파일이나 프로그램을 실행하는 것을 넘어서, 시스템에 깊숙이 자리를 잡고 여러 경로를 통해 확산하는 과정을 거칩니다. 이 과정은 시스템의 취약점을 노리고, 이를 통해 사용자의 데이터에 접근하려 합니다. IRCBot의 핵심 동작 레지스트리 키 설정 및 파일 실행: 악성코드는 운영 체제의 시작과 함께 활성화되도록 레지스트리 설정을 조작합니다. 조건부 검사.. 2024. 3. 11. Win32/Backdoor.Worm.IRCBot.23552: IRCBot 악성코드 동작 과정 Win32/Backdoor.Worm.IRCBot.23552 악성코드(이하 IRCBot)는 이동식 디스크와 네트워크를 통해 자신을 전파하며, 시스템 폴더에 자신을 복사하고 레지스트리를 조작하여 시작 프로그램과 방화벽 정책을 수정한다. 또한, 특정 서버에 접속을 시도하며 서버의 원격 명령을 수행합니다. IRCBot 악성코드 기본 정보 종류 Backdoor 위험도 높음 감염경로 이동식 디스크, 보안 취약점 증상 원격 코드 실행 플랫폼 Windows 크기 23,552byte 암호화 여부 문자열 암호화 팩킹 kkrunchy MD5 21FB327E99105F1D2816CE9731770695 SHA1 5EA7693143A2F66BC64213DE21CB939C216EF03B VirusTotal 검사 정보 Antivir.. 2024. 3. 11. 이전 1 다음 반응형
