​

Project1.exe 바이러스 토탈 결과

​

​

Project1.exe 실행시 _cache_Project1.exe 자식 프로세스로 실행

숨김파일로 내 바탕화면 경로로 받아옴

​

후에 _cache_Project1.exe 는 고아프로세스가 되고 chromehelpher.exe 실행

이후 지속 매커니즘으로 컴퓨터 껏다켜도 chromehelpher.exe 강제 실행

현재 키보드 타입 가져오고

​

x32dbg 같은 디버거로 실행시 종료되도록 안티디버깅 코드 내장

​

스냅샷 함수 주소 받아오고

​

핸들 가져와서

ExitProcess로 내 프로세스 강제 종료

​

​

chromehelpher.exe urlmon.dll 참조 (url download 추정)

​

C:\ProgramFiles (x86)Google Chrome Helper 경로에 폴더 생성후 외부경로로 받아옴

아이콘은 좀 바꾸던가.. 병싄아

​

Chrome Helper.exe 바이러스 토탈 결과

​

ㅇㅁ 뒤진년 ㅋㅋ

​

​

​

​

00403FE1 < - 현재 키보드에 대해 검색 GetKeyboardType

​

004013B6 < StartUpInfo 구조체 생성

​

00407140 < 호출 스레드 식별자

​

0045556D < 스냅샷 생성

​

004888FF < 안디티버깅 (스냅샷으로 x32dbg 차단)

​

0045769E <- explorer.exe 문자열

​

004053EF <- cmd.exe 문자열 runas 권한 shell 코드 추정

​

00488D84 <- Synaptics.exe

​

00488DA7 <- 스냅샷으로 디버거 감지시 ExitProcess