[윈도우즈 보안과 악성코드 기초] 기초 정적 분석 - Practical Malware Analysis Lab01-02.exe

1. Virustotal에 업로드 하고 보고서를 확인하자. 기존 안티바이러스 정의된 것과 일치하는가?

 

72개의 엔진 중에서 58가 악성코드로 탐지됐으므로 악성코드 시그니처로 판별된다.

 

2. 패킹이나 난독화의 흔적이 있는가? 이유는?

 

PEiD로 파일을 확인해보면 컴파일러에 관련된 정보가 Nothing found로 뜨고,

EP Section이 일반 파일과 같이 .text가 아닌 upx1으로 되어 있는 것을 확인 할 수 있다.

따라서 upx로 패킹되었다는 것을 알 수 있다.

 

 

파일을 언패킹한 후, 다시 PEiD로 확인해보면 EP Section이 .text로 변경되고,

컴파일 관련 정보가 Microsoft Visual C++로 변경된 것을 확인할 수 있다.

 

3. 임포트를 보고 악성코드의 기능을 알아 낼 수 있는가? 그렇다면 어떤 임포트를 보고 알 수 있었는가?

 

CreateServiceA 함수는 특정 서비스를 생성하고 등록하는 역할을 한다.

사용하면 서비스의 이름이 반드시 파라미터 값으로 들어오게 된다. Strings를 통해 알 수 있다.

InternetOpen 함수는 인터넷 서비스를 생성하고 인터넷으로 작업을 한다는 것을 알 수 있다.

 

4. 감염된 장비에서 이 악성코드를 발견하기 위해 사용한 네트워크 기반의 증거는 무엇인가?

 

인터넷 URL, Service 이름을 확인할 수 있었다. 정황상 이 사이트에 접속할 확률이 높다.

따라서 이 파일은 인터넷 서비스를 이용하여 특성 사이트에 접속하는 악성코드로 판단할 수 있다.