Win32.Tank.A

파일 바이러스.
EP 부터 일부 바이트와 코드섹션의 일부분을 블럭 패치한다.
EP 에서 패치된 바이트는 자신의 코드로 점프하고,
악성행위를 시작한다.

정상코드는 암호화되어서, 파일 뒤쪽에 붙어 있다.

이 놈의 복호화 로직은 조잡하다 조금 -_-;
여기저기 정상 코드 퍼뜨려 놓고, 특정 메모리에 공간을 할당하고, 거기다가 옮겨서 복호화를 수행하고,
코드를 원복시킨다. 나쁜아이~ -0-

Tank 바이러스는 꽤 오래전에 만들어진 것으로 추정된다.

E9 F36CFFFF                               JMP     01002B30        ;     EP EB 14                                                   JMP     SHORT 01002B46 58 2D 54 61 6E 6B 00                              ASCII   "X-Tank",0 4D 61 64 65 20 69 6E 20 55 53 53 52 00      ASCII   "Made in USSR",0 E8 7C1C0000                                        CALL    010047C7    0BC0                                                   OR      EAX, EAX    74 24                                                    JE      SHORT 01002B73  E8 E01C0000                                         CALL    01004834    E8 34000000                                          CALL    01002B8D    E8 F4120000                                          CALL    01003E52    E8 27110000                                          CALL    01003C8A   E8 0E1D0000                                         CALL    01004876    E8 CE140000                                         CALL    0100403B    0BC0                                                    OR      EAX, EAX    74 02                                                    JE      SHORT 01002B73   FFE0                                                     JMP     EAX     33C0                                                     XOR     EAX, EAX    C3                                                       RETN

(표 안에 노란색 했는데,,,, 왜 .... ㅠ)

변종이 꽤나 있는데 모양새가 많이 다른듯 하다.. 나쁜 아이~ -0-