728x90
반응형
악성코드 중 다수는 스스로 압축을 해제 할 수 있는 SFX (Self-Extracting) 파일 형태로 존재합니다.
백신에서 진단 할 때 압축되기 전 내용은 동일할 수 있기 때문에 앞부분을 잡으면 오진 납니다.
백신 업체 분석가가 처음 일하면 많은 사람들이 공통 부분을 진단값으로 잡아 오진을 발생시킵니다.
- 저도 그랬습니다 ~
1) WinRAR
WinRAR SFX는 실제 압축 파일이 rar!로 시작합니다.
악성코드 제작자들이 가장 많이 사용하는 드롭퍼(Dropper)가 아닐까 합니다.
2) Zip
WinZip(추정) SFX 파일은 PK로 시작하는 헤더를 볼 수 있습니다.
3) HaoZip
중국산 압축 프로그램입니다.
http://www.haozip.com/Eng/index_en.htm
악성코드를 HaoZip으로 압축하고 EXE 파일로 만드는 경우가 종종 있습니다.
압축 파일은 7z으로 시작하는걸로 알 수 있습니다.
7Zip 모듈을 사용한걸로 보입니다.
중국에서 많이 사용되다보니 아무래도 중국산 악성코드에서 종종 발견됩니다.
728x90
반응형
'보안위협 (악성코드) > 악성코드 분석' 카테고리의 다른 글
| 2 KB 초미니 백도어(?) 분석 과정 (13) | 2014.02.25 |
|---|---|
| Amazon에서 보낸 걸로 가장한 Your invoice 메일 분석 (1) (4) | 2014.01.31 |
| 악성코드 분석을 위해 필요한 책 : Windows Internals (8) | 2011.01.04 |
| 정상 파일 검색 서비스 (2) | 2010.02.17 |
| 악성코드에서 사용하는 방화벽 해제 (4) | 2009.11.16 |