연습샘플 분석 - 3 본문
IDA로 분석을 진행했다.
StartServiceCtrlDispatcherA를 실행한다.
Malservice를 서비스명으로 지정했다.
MSDN을 보면
-StartServiceCtrlDispatcherA
Connects the main thread of a service process to the service control manager,
which causes the thread to be the service control dispatcher thread for the calling process.
서비스 제어 관리자가 호출하는 서비스 제어 함수를 명시한다.
sub_401040이 실제 악성코드가 구성되는 함수라고 보면 된다.
OpenMutexA를 통해 참값이 나오면 프로세스를 종료한다.
분기문을 지나고 Mutex를 만들어준다.
OpenSCManagerA를 실행 후
프로세스 및 파일 정보를 가져온다.
-OpenSCManagerA
Establishes a connection to the service control manager on the specified computer and
opens the specified service control manager database.
프로그램이 서비스를 추가 및 수정할 수 있게 서비스 제어 관리자 핸들을 오픈한다.
시간 세팅 함수들이 나온다.
시간을 2100년 1월 1일로 설정 후
기다리게 한다.
스레드를 20개 만드는 루틴이다.
지정된 시간이 되면 해당 url에 무한히 접속을 시도한다.
즉
이 프로그램은 지정된 시간이 되면 20개의 스레드를 가지고
지정된 URL에 무한히 접속하는
DDOS형태의 악성코드이다.
'악성코드 분석' 카테고리의 다른 글
| C++ 악성코드 샘플 분석_2 (0) | 2022.10.08 |
|---|---|
| C++ 악성코드 샘플 분석_1 (0) | 2022.10.05 |
| 연습 샘플 분석 - 2 (0) | 2022.09.13 |
| 연습 샘플 분석 - 1 (2) | 2022.09.09 |
| 악성코드 주요 행위 분석 (0) | 2022.09.08 |
