200206_EPS 한글 악성코드(HimTrayIcon.exe, HncCommTCP.exe 체크)_1 1번 포스팅의 내용을 요약하면 아래와 같으며 이후 과정에 대해 2번 포스팅으로 작성할 것이다. 1) HWP EPS개체 취약점으로 쉘코드 실행 2) 쉘코드에 의해 정상적인 프로세스(HimTrayIcon.exe 또는 HncCommTCP.exe 또는 cmd.exe)에 악의적인 데이터 삽입 2. 악의적인 데이터가 삽입된 정상적인 프로세스 분석 (HimTrayIcon.exe 또는 HncCommTCP.exe 또는 cmd.exe) 악의적인 데이터가 삽입된 정상프로세스는 추가 악성행위를 하기위해 또 다른 정상프로세스(userinit.exe)를 실행시킨다.
그리고 WriteProcessMemory 함수를 이용한 메모리 인젝션 후 ResumeThread 함수로 재실행..........
