트로이목마(드로퍼)란?

트로이 목마 (드로퍼)

• 겉보기에는 정상적인 프로그램으로 보이지만 실행하면 악성코드를 실행
• 보통 사회공학기법으로 퍼짐

 

동작 방식

 

• 오리지널 프로그램이 있다면 이 오리지널 프로그램 내부에 멀웨어가 담겨져 있음
• 오리지널 프로그램을 실행한다고 해서 멀웨어가 실행되지는 않고, 멀웨어를 extract 해야함
• 멀웨어가 밖으로 나오게 되면 오리지널 프로그램에서 Create Process 와 같은 api를 통해서 실행됨
• 결과적으로는 두개의 프로그램이 동시에 실행되는것!! (두개의 프로세스)

 

주요 API

• GetTempPath: 임시 파일로 지정된 디렉토리의 경로를 검색합니다.
• FindResource: 지정된 모듈에서 지정된 유형 및 이름을 사용하여 자원의 위치를 결정합니다.
• SizeofResource: 지정된 자원의 크기 (바이트)를 검색합니다.
• LoadResource: 메모리의 지정된 리소스의 첫 번째 바이트에 대한 포인터를 가져 오는 데 사용할 수 있는 핸들을 검색합니다.
• LockResource: 메모리에 있는 지정된 리소스에 대한 포인터를 검색합니다.
• CreateFile: 파일 또는 I/O 장치를 만들거나 엽니다.
• SetFilePointer: 지정한 파일의 파일 포인터를 이동합니다.
• WriteFile: 지정된 파일 또는 입출력(I/O) 장치에 데이터를 기록합니다.
• MessageBox: 시스템 아이콘, 단추 집합 및 상태 또는 오류 정보와 같은 간단한 응용 프로그램 관련 메시지가 포함된 대화 상자를 표시합니다. 메시지 상자는 사용자가 클릭 한 단추를 나타내는 정수 값을 반환합니다.
• CreateProcess: 지정에 데이터를 기록하여 새 프로세스와 기본 스레드를 작성합니다. 새 프로세스는 호출 프로세스의 보안 컨텍스트에서 실행됩니다.