Win32/EntryZero.suspicious
V3 2007.01.26.01 엔진부터 추가된 의심스러운 진단기능이다.

일부 패커나 PE 패치에서 PE 파일의 시작점(Entry point)을 0 으로 만들고 헤더 부분에서 실제 실행코드로 점프하는 경우가 있다.

현재 OllyDbg 등의 디버거에서 제대로 로드하지 못한다.
현재까지 2가지 형태를 진단한다.

물론 정상 파일(보안 프로그램, 크랙)에서도 분석을 어렵게 하기 위해 이런 방법을 사용할 수 있다. 진단되는 샘플은 분석을 위해 안철수연구소 신고센터로 보내면된다.


 

'Security > 안랩 소식' 카테고리의 다른 글

Virustotal 에 V3 추가  (0) 2007.03.14
V3 시그니처 수 30만개 돌파  (0) 2007.03.12
레지스트리 자동 치료 추가 - LSP 관련  (0) 2007.03.06
김철수 전 사장님 별세  (0) 2007.03.04
안랩 사칭 Hupigon  (0) 2007.02.16
Win32/EntryZero.suspicious  (0) 2007.01.26
Posted by mstoned7

댓글을 달아 주세요