0x01 IP가 출력되는 스트릥 "%d.%d.%d.%d"



0x02 Capture라는 스트링이 매우 수상히 느껴짐



0x03 Sever와 Client와 관련된 스트링.


tclientwinsocket WebSocket 서비스에 연결하기 위해 클라이언트를 제공 합니다.

tserverclientwinsocket 개별 클라이언트 소켓에 소켓 연결에 대한 Windows 소켓 API 호출을 관리하는 서버 소켓 구성 요소에 사용


0x04 모니터와 관련된 스트링


monitorfromwindow : 지정된 윈도우의 경계 사각형 만나는 가장 큰 면적을 갖는 표시 모니터에 핸들을 검색한다.

monitorfrompoint : 지정된 점을 포함한 디스플레이 모니터에 대한 핸들을 검색

getmonitorinfo : retrieves information about a display monitor.

display


0x05 마우스와 관련된 스트링


0xxx SnapShot 관련


0x06 SVCHOST.exe과 관련된 스트링



0x07 TScreen


TScreen 단독 어플리케이션이 실행되는 화면의 상태를 나타낸다.


0x08 GetCapture 함수의 호출


마우스를 캡처 한 윈도우에 대한 핸들 (있는 경우)를 검색 : 감염PC에 공격자가 마우스를 통해 조종을 하는것을 뜻하는것이라 예상.


0x09 InternetOpen & URLDownloadToFile


인터넷open 과 관련된 함수를호출하는 명령어

URLDownloadToFile : 함수의 이름 그대로 매우 수상함.


'Reversing > Malware Analysis' 카테고리의 다른 글

Nethost.exe분석  (1) 2015.11.26
server.exe 분석  (0) 2015.10.05
Morris Worm Source Code  (0) 2015.02.17
Rejoice와 서버파일 분석(초기,동적)  (0) 2015.01.15
악성코드 'Lucci.exe' 소스코드 C++  (0) 2015.01.11