53002a.exe(0196C88779FFBB0396629A3553CA0034) 디도스 악성코드

199.114.xxx.xxx 웹 서버는 대표적인 악성코드 배포 전용 서버이며, 이 서버를 통해서 상당 수의 디도스 악성코드가 배포되고 있습니다.

53002a.exe(0196C88779FFBB0396629A3553CA0034) 파일도 디도스 악성코드이며, ASPACK으로 패킹되어 있습니다. 숙주서버는 53000.minipokesa.com입니다. 이 서버로 접속하여 공격명령을 하달 받으면 다양한 유형의 디도스 공격을 수행하게 됩니다.

ASPACK로 패킹되어 있는 바이너리에 대한 언팩

unpack

숙주서버와 통신하는 코드… 특히, sub_405970는 숙주서버로부터 전달받은 공격명령 코드와 공격대상을 파싱하여 공격을 수행하는 함수…

4

디도스 공격 코드.. j24d, u6p, s7n 등등 다양한 디도스 공격을 유발할 수 있는 공격 코드가 존재 함..

ddos attack

악성코드 실행된 이후 패킷 캡쳐 내용이며, 숙주서버가 공격코드(j24d), 공격대상(www.???????.com)

pcap

j24d 공격명령을 받았을 때 호출되는 함수.. IExplore.exe를 이용하여 특정사이트에 부하주는 공격 방식

99

Advertisements

답글 남기기

아래 항목을 채우거나 오른쪽 아이콘 중 하나를 클릭하여 로그 인 하세요:

WordPress.com 로고

WordPress.com의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Google+ photo

Google+의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Twitter 사진

Twitter의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Facebook 사진

Facebook의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

%s에 연결하는 중

%d 블로거가 이것을 좋아합니다: