Mylabs

Win32.Tank.A 본문

Malware

Win32.Tank.A

[Edge] 2009. 11. 6. 17:03

파일 바이러스.
EP 부터 일부 바이트와 코드섹션의 일부분을 블럭 패치한다.
EP 에서 패치된 바이트는 자신의 코드로 점프하고,
악성행위를 시작한다.

정상코드는 암호화되어서, 파일 뒤쪽에 붙어 있다.

이 놈의 복호화 로직은 조잡하다 조금 -_-;
여기저기 정상 코드 퍼뜨려 놓고, 특정 메모리에 공간을 할당하고, 거기다가 옮겨서 복호화를 수행하고,
코드를 원복시킨다. 나쁜아이~ -0-

Tank 바이러스는 꽤 오래전에 만들어진 것으로 추정된다.

 E9 F36CFFFF                               JMP     01002B30        ;     EP

EB 14                                                   JMP     SHORT 01002B46
58 2D 54 61 6E 6B 00                              ASCII   "X-Tank",0
4D 61 64 65 20 69 6E 20 55 53 53 52 00      ASCII   "Made in USSR",0
E8 7C1C0000                                        CALL    010047C7   
0BC0                                                   OR      EAX, EAX   
74 24                                                    JE      SHORT 01002B73 
E8 E01C0000                                         CALL    01004834   
E8 34000000                                          CALL    01002B8D   
E8 F4120000                                          CALL    01003E52   
E8 27110000                                          CALL    01003C8A  
E8 0E1D0000                                         CALL    01004876   
E8 CE140000                                         CALL    0100403B   
0BC0                                                    OR      EAX, EAX   
74 02                                                    JE      SHORT 01002B73  
FFE0                                                     JMP     EAX    
33C0                                                     XOR     EAX, EAX   
C3                                                       RETN     
(표 안에 노란색 했는데,,,, 왜 .... ㅠ)

변종이 꽤나 있는데 모양새가 많이 다른듯 하다.. 나쁜 아이~ -0-