매일 반복되는 샘플 분석 중에는 어디서 본 듯한 샘플을 분석하기 보다 새로운 샘플 분석이 아무래도 더 재미있죠. 뭔가 이상한 샘플이 눈에 띄었습니다. Pdb 정보에는 TroyaN, DayZHack와 같은 문자열이 존재해 의심하기 충분했습니다. 변형을 검색해보니 6개나 있더군요. 그리고, 군과 관련된 문자열, Bot, Zombie 등의 문자열이 나와서 더욱 확실해 졌습니다. 요걸로 페이퍼나 하나 쓸까하는 행복한(?) 상상도 끝... IDA로 실제 코드를 봤을 때 키로깅에서 많이 사용되는 API가 보였지만 웬지 평범한(?) 백도어와는 달랐습니다. 이 샘플이 이상하다고 느낀 결정적인 사항은 d3d9.dll을 이용하는 코드였습니다.문득 다이렉트X 3D 버전9 파일이 아닐까 하는 생각이 들더군요. 악성코드에서 웬..