190419_SysCertUpdate.dll 악성코드(daum mail이용) 금일 악성코드는 기존에 포스팅했던 APT악성코드와 daum mail을 통해 데이터를 업로드한다는 부분이 유사하다. 분석 시간이 넉넉하지 못해서 자세하게 분석하지는 못했다.
여유있을때 조금더 살펴볼 예정이다. [mail2.daum.net를 이용해 데이터를 업로드, 다운로드 했던 악성코드 포스팅] 해당 악성코드는 시작프로그램에 등록되어 사용자가 PC를 재부팅 할 때마다 작동하도록 되어있었다. syscert란 이름으로 시작프로그램에 등록된 악성코드 SysCertUpdate.dll은 rundll32.exe를 이용해 실행되었다.
SysCertUpdate.dll 은 Process Hollowing 기법을 이용하여 정상프로세스에 악의적인 PE데이..........
