1. Virustotal에 업로드 하고 보고서를 확인하자. 기존 안티바이러스 정의된 것과 일치하는가?
72개의 엔진 중에서 66개가 악성코드로 탐지됐으므로 악성코드 시그니처로 판별된다.
2. 패킹이나 난독화의 흔적이 있는가? 이유는?
PEiD로 파일을 확인했을 때, EP Section의 정보가 나오지 않는다.
컴파일 이름을 통해 FSG 1.0으로 패킹됐다고 추측할 수 있다.
이는 올리디버거나 x32dbg로 디버깅하거나 VMUnpacker 등의 tool을 사용해서 언패킹이 가능하다.
VMUnpacker에 파일을 입력하고, Unpack 버튼을 클릭하면 언패킹이 가능하다.
해당 툴은 WinXP 가상머신 등에서 사용 가능하다.
3. 임포트를 보고 악성코드의 기능을 알아 낼 수 있는가? 그렇다면 어떤 임포트를 보고 알 수 있었는가?
언패킹한 파일의 import를 확인해봤다. 특별한 import를 사용하지 않아서
import만 보고 악성코드의 기능을 알아내기 어렵다.
인스턴스를 생성하고 이와 관련하여 작업을 한다고만 추측할 수 있다.
4. 감염된 장비에서 이 악성코드를 발견하기 위해 사용한 네트워크 기반의 증거는 무엇인가?
API와 특정 사이트의 URL이 나오는 것을 볼 수 있다.
이 URL에 접속하거나 URL에 있는 정보를 가지고 악의적인 작업을 수행할 것이라고 추측할 수 있다.
