5858.exe(6B66895EBCAB94FE8918C48DA73B2336) 디도스 악성코드

5858.exe 디도스 악성코드는 StormDDoS 패키지로 제작된 악성코드로 추정됩니다. 추정하는 근거는 악성코드 내에 StromDDoS라는 문자열이 존재하며, 리버싱한 소스 코드를 보니, 공개된 StormDDoS 구조와 유사합니다.

어찌되었든 디도스 공격을 유발하기 위한 악성코드이며, ASprotect로 패킹되어 배포되었습니다. 숙주서버 호스트는 zuoaiya.com 도메인을 사용하며, 이 도메인은 악성코드 전용 도메인으로 추정됩니다. 악성코드 전용 도메인을 운영을 하는 것이 요즈음 추세인것 같습니다.

 

 

ASprotect 언패킹 이후 OEP 화면

ASprotect 언패킹 이후 OEP 화면

 

아래 그림에서 401F30 함수 주소에서 숙주서버 호스트 문자열을 파싱하여 서버에 연결을 시도 함.

숙주서버 호스트

숙주서버 호스트

Advertisements

답글 남기기

아래 항목을 채우거나 오른쪽 아이콘 중 하나를 클릭하여 로그 인 하세요:

WordPress.com 로고

WordPress.com의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Google+ photo

Google+의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Twitter 사진

Twitter의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Facebook 사진

Facebook의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

%s에 연결하는 중

%d 블로거가 이것을 좋아합니다: