malware sample 고급동적분석

서비스 보면 여러 이름들이 있는데 
등록된 서비스를 실행시켜준다.

 

services.msc로 등록된 서비스들을 확인할 수 있다.

 

 

svchost.exe에 등록되어있는 서비스 중 하나를 확인했다.

실행 파일 경로는 svchost.exe -k netsvcs를 실행한다.

 

 

올리디버거로 과정을 파악한다.
oep로 bp를 걸고 이동해준다.

 

resource 관련 루틴으로 가기 위해 403a2c로 이동해주었다.
bp를 걸어준다.

 

 

함수 내부로 진입해준다.
문자열을 합치는 작업을 하고 있다.

 

 

분기문이 나오는데
eax값의 따라 분기문이 나뉜다.
이는 403100함수의 반환 값이다.

 

해당 함수는 reg 관련된 함수들이 나오며 netsvcs가 가능하면 64to32를 세팅하는 듯하다.
이게 되냐 안 되냐에 따라 달라지는 것 같다. 해당 루틴의 첫 분기문으로 이동해보았다.

 

 

해당 지점 bp를 걸고 확인해보니 eax가 0이다 
그렇다면 4034b9 지점 우리가 저번에 봤던 access가 실행되는 곳을 빠진다.

 

 

그다음 access가 파일의 존재 여부를 판단한다 나는 64to32가 실행 중이었다.
왼쪽으로 빠졌다. dll을 kill 하고 나서 다시 시작하면 오른쪽으로 이동하게 된다.

 

다시 오픈 서비스를 한다. 403050 루틴을 통해 64to32가 없었다면 다시 생겨있을 것이다.

 

 

ChangeServiceConfigA을 통해 서비스 세팅 요소들이 나온다.
자동으로 시작하는 것을 알 수 있다.
4032a0에서 open 및 start 서비스를 시작한다.

마지막 메인에서 쓰레드를 만들고 끝난다.