14. 악성코드의 동작을 분석하기 위해 SysAnalyzer를 이용하여 악성코드 동작 전후 스냅샷 결과 다음과 같은 시스템 변경사항이 발견되었다. 각 동작을 설명하시오.
1. CreateFileA(C:windowssystem32msnsrv.exe) CreateFileA(C:windowssystem32wassa.exe) 2. KEY : HKLMSYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfileGloballyOpenPortsList Value : "9070:TCP"="9070:TCP:*:Enabled:Agent" 3. KEY : HKLMSoftewareMicrooftWindowsCureentVersionRun Value : "wassa.exe"="c:\windows\system32\wassa.exe" 4. KEY : HKLMSYSTEMCurrentCnotrolSetServicesmsnsrv.exe Value : "Start"=dword:00000002 5. KEY : HKLMSOFTWAREMicrosoftWindowsCurrentVerionExplorerAdvancedFolerHiddenSHOWALL Value : "CheckedValue"=dword:00000000
정답 확인 | 맞췄어요 O | 틀렸어요 X |
2. 윈도우 방화벽에 9070/tcp 포트 오픈 허용
3. wassa.exe를 윈도우 시작시 자동으로 시작하는 시작 프로그램에 등록.
4. msnsrv.exe를 윈도우 서비스에 자동실행 등록해 윈도우 기동시 자동 실행.
5. 윈도우 탐색기의 폴더옵션>숨김 파일 및 폴더 옵션을 표시함(1)으로 변경할 수 없게 함.