악성코드/악성코드 분석

SFX를 이용한 악성코드 드롭퍼

쿨캣7 2013. 2. 15. 16:42
728x90
반응형


악성코드 중 다수는 스스로 압축을 해제 할 수 있는 SFX (Self-Extracting) 파일 형태로 존재합니다.


백신에서 진단 할 때 압축되기 전 내용은 동일할 수 있기 때문에 앞부분을 잡으면 오진 납니다.

백신 업체 분석가가 처음 일하면 많은 사람들이 공통 부분을 진단값으로 잡아 오진을 발생시킵니다.

- 저도 그랬습니다 ~


1) WinRAR


WinRAR SFX는 실제 압축 파일이 rar!로 시작합니다.



악성코드 제작자들이 가장 많이 사용하는 드롭퍼(Dropper)가 아닐까 합니다.


2) Zip


WinZip(추정) SFX 파일은 PK로 시작하는 헤더를 볼 수 있습니다.





3) HaoZip


중국산 압축 프로그램입니다.


- HaoZip

http://www.haozip.com/Eng/index_en.htm



악성코드를 HaoZip으로 압축하고 EXE 파일로 만드는 경우가 종종 있습니다.


압축 파일은 7z으로 시작하는걸로 알 수 있습니다. 

7Zip 모듈을 사용한걸로 보입니다.



중국에서 많이 사용되다보니 아무래도 중국산 악성코드에서 종종 발견됩니다.







728x90
반응형