Analysis (42) 썸네일형 리스트형 06. LokiBot LokiBot은 웹 브라우저, FTP, 이메일 클라이언트, Putty 같은 IT 관리 툴 패스워드를 정보를 훔치는 스틸러 악성코드이다. 닉네임 "lokistov"를 사용하는 사람이 처음 개발해 LokiBot 이라고 불린다고한다. 본 글에서는 LokiBot을 분석한다. Malware LokiBot OS Windows7 action Stealer 악성코드 샘플을 실행하면 파일 자체에 DLL 이 있는 것이 아니라, 자체 디코딩 함수를 통해서 사용할 DLL 파일들을 문자열로 디코딩 시키고 LoadLibrary 함수를 통해 문자열로 디코딩 해 둔 DLL 파일들을 가져온다. 피해 PC의 정보들을 탈취한 후 C&C 서버에 소켓 연결로 탈취한 데이터를 전송하기 위해서 미리 소켓 초기화를 수행한다. 이후 "SOFTWAR.. 05. TrickBot TrickBot 악성코드는 Dyreza 악성코드의 후속작으로 금융권을 타격하는 악성코드로 알려져있다. 본 글에서는 해당 악성코드를 분석한다. Malware TrickBot OS Windows7 action Stealer 정상 프로그램처럼 위장된 화면이다. 처음 파일을 실행하게 되면 위 그림처럼 정상 프로그램으로 위장되어 있다. 하지만 실제로 파일을 실행할 경우 자체적으로 인코딩 되어있는 파일 내용을 디코딩 함으로써 악성행위를 하는 메인 루틴을 복호화하게 된다. 디코딩 루틴을 지나서 자신의 메인 루틴 복호화가 끝나게 되면 파일 명령을 위한 명령라인을 파싱한 다음 문자열 인자로 변환한다. 해당 악성코드가 실행중인 환경이 VM 환경 안에서 실행되고 있는지를 검사하기 위해서 "pstorec.dll", "vmch.. 이전 1 ··· 3 4 5 6 다음
