실전 악성코드와 멀웨어 분석 실습 7-2

파일 Lab07-02.exe에서 발견한 악성코드를 분석해보자.

 

 

 

 

 

 

 

 

 

 

 

 

 

1. 이 프로그램은 어떤 방식으로 지속 메커니즘을 보장하는가?

 

이 프로그램은 실행시키면 광고 웹 페이지를 출력하고 종료된다.

 

 

 

 

 

 

 

 

2. 이 프로그램의 목적은 무엇인가?

 

광고 웹 페이지를 출력시키는 것이 목적이다.

 

 

OleInitialize와 CoCreateInstance로 COM 객체를 초기화하고 생성한다. 

 

어떤 COM 기능이 사용되었는지 확인하기 위해서는 rclsid와 riid 인자의 값을 확인해야 한다.

각각 0002DF01-0000-0000-C000-000000000046과 D30C1661-CDAF-11D0-8A3E-00C04FC9E26E이다.

레지스트리의 CLSID를 확인하면 어떤 프로그램이 호출되는지 알 수 있다.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0002DF01-0000-0000-C000-000000000046}

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{D30C1661-CDAF-11D0-8A3E-00C04FC9E26E}

 

인터넷 익스플로러와 IWebBrowser2를 이용하여 COM 객체를 만드는 것을 알 수 있다.

 

 

 

 

 

 

 

 

 

 

 

 

3. 이 프로그램은 언제 실행을 종료하는가?

 

광고 페이지를 보여준 후 종료된다.