일본 파밍 악성코드를 보다가 동일한 소스코드가 사용됨을 확인하고 간단히 작성. 


타이머로 위장된 일본 파밍 악성코드, 국내 도메인에서 유포된 악성코드, 일본 파밍 C&C에서 확인된 악성코드 모두 CreateProcessA를 통해 프로세스 호출 간 launch을 인자값으로 사용하고 있고, ResourceType가 "KIT", ResourceName를 0x82로 사용하고 있다.




Posted by Ec0nomist

댓글을 달아 주세요