Cdrom.sys 변조 악성코드 (백화점식 악성코드)

Win32.Protector.A~E에 이어, 이번 백화점식 악성코드가 Cdrom.sys 를 변조하기 시작했다.
역시, Cutwail 시리즈이며, 품고 있는 악성 Spam driver 를 사용해 이메일 전송을 목적으로 한다.
Bredolab 과 Cutwail은 서로 PR 해주는 아주 좋은 친구 사이이다. 'ㅁ'

발견된 변종은 2종이며, Win32.Protector.F/G 가 진단명
이번 변종은 지난 ndis.sys 와 같이 정상을 품고 있는 방식은 같으나,
암호화 로직이 조금더 복잡하게 변경되었으며, 기본 코드 골격도 변경되어있었다.
아직 진단되는 수준은 미흡한 것으로 보아, 출현 된지 얼마 안된 형태 인듯 싶다.

[섹션정보]

 섹션정보 역시 기존의 형태들처럼 구성되어 있으며, 정상 파일은 .reloc 안에 암호화 되어 있다.
 ndis.sys 처럼 IoCallDriver 후킹을 하는지는 아직 미확인된 상태인듯 하다.
 

EP 코드

[헤더파싱 루틴 및 복호화 루틴]

[ 복호화 ]

 당분간 백화점은 안갈것 같다.... -0-;ㅋ