![]() |
| [그림 1] 리소스 섹션 |
[그림 1]에서 보듯이 FONT (숫자) 형식의 이름으로 리소스 섹션의 바디에 바이너리가 나뉘어 저장되어 있습니다.
이 바이너리는 나중에 특정 메모리 영역에 복사된 다음 실행됩니다. 이러한 동작 방식은 오래전부터 백신을 우회하기 위한 방법으로 사용되어 왔습니다.
하지만 이번 경우에 흥미로운 것은 다수의 리소스 영역이 글꼴 리소스 타입(RT_FONT)으로 존재하며 바이너리를 포함하고 있습니다. 또한 RC4 알고리즘으로 암호화되어 존재합니다.
![]() |
| [그림 2] 리소스 타입 |
이 암호화된 바이너리는 RC4 알고리즘으로 복호화되어 실행되며, 특정 문자열을 복호화시 Key로 사용합니다.
복호화시 Key로 사용하는 문자열 : "NYTOdX0S1P3YXvo49s2ogXC40eT2lQkx"
이러한 동작 방식으로 백신을 우회하는 방법은 매우 흥미롭습니다. 그러한 이유로 간단 분석을 하였습니다. 이 글을 읽는 여러분도 흥미롭나요?
Dorkbot 악성코드에 대한 더 많은 정보를 원하시면 아래 링크를 참조하길 바랍니다.
Dorkbot 악성코드에 대한 더 많은 정보를 원하시면 아래 링크를 참조하길 바랍니다.


댓글 없음:
댓글 쓰기