0x01 압축의 구성요소
0x02 VirusTotal을 통한 정보확인
0x03 Exeinfo PE 를 통한 분석
위의 정보를 통하여 두 파일은 패킹이 되지 않은것을 확인할수가 있다.
0x04 Rejoice.exe의 기능
두번째 버튼의 기능
-두번째 버튼을 누르면 Generate.exe 이 출력되는 것을 확인 할수가 있다.
-가장 위의 darkbyte16.ddns.net 에 서버파일을 관리할 PC의 IP를 입력하면되며 뒤의 8010은 그에 사용될 포트 번호이다.
아래의 동그라미친 부분의 버튼을 누르면 괄호표시를 한곳의 정보가 변경이 된다. 예상하자면 하나의 이름으로 유통되는 것보다 이름이 변경이 되는 것이 공격자의 입장에서는 유용하기떄문이다.
표시한 부분을 클릭하면 자신의 IP를 알수가 있다.
아래의 동그라미 친 부분을 클릭하면 서버파일을 어느 곳에 저장할지 확인하는 화면이 나타난다.
0x05 세번째 기능
0x06 감염PC 화면 보기
0x07 캠기능
0x08 사운드 기능-감염PC의 마이크를 통한 소리를 들을수가 있다.
0x09 감염PC의 정보확인
0x0A 감염PC에 콘솔을 통한 명령(CMD)
0x0B 서버파일 실행전 프로세스
0x0C 서버파일 실행 후-0244677A.exe 파일이 프로세스 목록에 추가된것을 확인할수가있다.
0x0D 시작프로그램 목록
자동으로 시작프로그램의 목록에 추가된것을 확인할수가있다.
'Reversing > Malware Analysis' 카테고리의 다른 글
Nethost.exe분석 (1) | 2015.11.26 |
---|---|
server.exe 분석 (0) | 2015.10.05 |
Morris Worm Source Code (0) | 2015.02.17 |
Rejoice와 서버파일 분석(정적) (0) | 2015.01.15 |
악성코드 'Lucci.exe' 소스코드 C++ (0) | 2015.01.11 |