8888.exe(048FFA99E842A101651A9E4691783EED) 디도스 악성코드

8888.exe(048FFA99E842A101651A9E4691783EED)는 8888b.pinoera.com 호스트를 숙주서버(C&C)로 사용하는 디도스 악성코드입니다.

Asprotect 2.x로 실행압축(패킹)되어 있으며,  악성코드는 윈도우 서비스(bbb88ijk)로 등록하여 자동 재시작하도록 되어 있습니다.

악성코드 공격 유형 및 코드를 보면, 이 전에 미리 여러차례 확인되었던 코드라서 특이 점이 없어 보입니다.

 

ASPROTECT 2.x 버전으로 패킹되어 있는 것을 언패킹하여 OEP를 찾은 화면

ASPROTECT 2.x 버전으로 패킹되어 있는 것을 언패킹하여 OEP를 찾은 화면

언패킹 후, IDA로 스트링 확인

언패킹 후, IDA로 스트링 확인

숙주서버(C&C) 연결 후, 공격 타겟으로 ICMP 플러딩 유발

숙주서버(C&C) 연결 후, 공격 타겟으로 ICMP 플러딩 유발

 

Advertisements

답글 남기기

아래 항목을 채우거나 오른쪽 아이콘 중 하나를 클릭하여 로그 인 하세요:

WordPress.com 로고

WordPress.com의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Google+ photo

Google+의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Twitter 사진

Twitter의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Facebook 사진

Facebook의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

%s에 연결하는 중

%d 블로거가 이것을 좋아합니다: