티스토리 뷰
관련링크 : https://www.facebook.com/mangoscan/posts/1720726961292143 (망고스캔)
코드가 심하게 파편화 되어있어 분석이 어려움, 고로 난 잘 모르겠음. 그러므로 아는거만 대강 나열하겠음.
1. 파일 실행되면서 자기자신 언팩
2. c:\Program Files\AppPatch\lpDllName 파일존재여부 확인
2-1 : 존재하지 않을경우 파일서버에서 2.swf 다운로드
2-2 : 존재할 경우 파일 로드
3. 파일을 가져와서 복호화 (복호화 사용 키 : Kother599)
4. 복호화 한 파일 메모리에 매핑 (섹션명으로 보면 y0da Cryptor로 되어있음)
5. 안티 디버깅 기능 수행
5-1 1차 안티 : GetCurrentProcessId, CheckRemoteDebuggerPresent, IsDebugerPresent,GetVersionExA, CreateFileA 함수 시작위치에 0xCC (BP) 존재 확인
5-2 2차 안티 : IsDebuggerPresent & CheckRemoteDebuggingPresent 함수를 실행해 디버깅 여부 확인
5-3 3차 안티 : 특정 프로세스의 시작 부분의 후킹 여부를 확인.
5-4 4차 안티 : FindWindow , GetForegroundWindow, CreateFileA 등의 함수를 이용해 디버깅 환경을 확인.
6. 최종 바이너리 메모리에 매핑 (총 8개 섹션, 섹션의 크기 및 오프셋은 언팩 과정에서 테이블이 존재)
7. QQ쪽과 특정 C&C에 접근, QQ는 뭐하려고 한건지 모르겠음
8. C&C와 연결될 경우 시스템 정보 탈취 및 전송 (프로세스 정보 뭐 기타 등등인데 뭐있었는지 까먹음...)
9. 명령을 받아와 백도어 행위 수행 (키로거, 디스크 와이핑 등이있는것으로 보아 백도어로 추정 중)
.
IOC는 다른데서 오픈하면 추가하겠음.