본문 바로가기

Analysis

DllShell v1.3

악성코드는 서비스에 붙어서 동작하며, 2688 번 포트를 열고 외부에서 연결되기를 대기한다.


첫번째로 전달된 패킷을 MD5 값으로 변환하여 내부에 있는 hash 값과 동일하면 로그인(?) 된다.


악성코드 주제(?)에 1개의 명령에 부가적인 아규먼트를 원하는데, 이런거 분석하면 답답하다.


마침 악성코드 내부에서 Help 명령어를 지원해서 간단하게 코딩해서 한번 붙여봤다


명령어도 잘 들어간다


굿










'Analysis' 카테고리의 다른 글

에러코드  (0) 2015.12.17
싱기방가한 ms-its  (0) 2015.06.30
부트킷 자료  (0) 2015.03.11
요즘 금융정보 탈취형 악성코드  (0) 2015.03.09
다형성 악성코드  (0) 2015.02.24