IRCBOT 샘플

IRC 봇넷 샘플을 받아서 가상머신에서 실행해 보았다.

샘플의 주소: http:/attacke.100free.com/nah.com

- 참고: http://cgi.mtc.sri.com/popups/cc_servers/08-04-2010/1278693612_chatter.html

여기서 nah.com 파일을 다운로드해서 실행하고

해당 파일이 수행될 때 발생하는 인터넷 트래픽을 캡쳐했다.

파일을 실행하는 순간 

도스창에서 아래와 같은 명령어가 실행된다.

C:\Program Files\Ghanimx>rundll32.exe nope.dll,start

이후 트래픽은 아래와 같은 트래픽이 발생해서 TCP connection을 연결하고 있다.

USERXP "" "" :xbeljmrv

NICK|XPxbeljmrvFix

PONG:5C6D6722

USERHOST|XPxbeljmrvFix

이후 좀비ㅖ