IRC 봇넷 샘플을 받아서 가상머신에서 실행해 보았다.
샘플의 주소: http:/attacke.100free.com/nah.com
여기서 nah.com 파일을 다운로드해서 실행하고
해당 파일이 수행될 때 발생하는 인터넷 트래픽을 캡쳐했다.
파일을 실행하는 순간
도스창에서 아래와 같은 명령어가 실행된다.
C:\Program Files\Ghanimx>rundll32.exe nope.dll,start
이후 트래픽은 아래와 같은 트래픽이 발생해서 TCP connection을 연결하고 있다.
USERXP "" "" :xbeljmrv
NICK|XPxbeljmrvFix
PONG:5C6D6722
USERHOST|XPxbeljmrvFix
이후 좀비ㅖ