97,

2/4

lycan

파트8 분량입니다.

http://www.hackerschool.org/HS_Boards/zboard.php?id=HS_Translate&no=78 [복사]

지금까지 한 것 올립니다.
============================================

We are briefly sowing what is called Michael Jackson Trojan(정부에서 각별히 주의하라는).
우리는 여기에 Michael Jackson Trojan(이하 MJT)(정부에서)에 대해서 간단히 소개하고자 합니다.
and i got a lot of emails.
저는 많은 이 메일을 받았어요.
and i did some research.
연구를 좀 했죠.
I did not. The way it works.
The website exploits some Internet explorers.
MJT는 몇 가지의 인터넷 브라우져에 영향을 미칩니다.
I did dead o clock explain.

I did not think it was not zero day.
저는 그것이 제로데이는 아니라고 생각했습니다.
It downloads into few stages.
MJT는 스테이지로 나뉘어져 다운이 받아집니다.
The ultimate piece it ends up downloading is SCPR32V.EXE.
최종적으로는 SCPR32V.EXE라는 파일로 다운이 다 받아집니다.
If you are looking at NMN{} executable, you can load it up online pro relatively safely.
만약 당신이 NMN executable을 가지고 계시다면, 당신은 온라인에 이것을 상당히 안전하게 올리실 수 있을 것입니다.
There happens to be a couple of exploitable problems tonight pro in the past, that I believe, in today's current version as far as concerned is safe.
과거에는 tonight pro를 사용할 때 악용될 수 있는 위험이 있었지만 최신버젼의 pro는 그런 우려는 거의 없습니다.
However, I am going to have that taking a glance at everything in Notepad.
그러나, 저는 MJT의 모든 것을 Notepad에서 관찰 해 볼 것입니다.
If you get used to looking executable treenotes in certain structures,
만약 당신이 executable treenotes를 특정한 형태로 보는데 익숙하다면,
this one immediately screens out UPS caps to me.
당신은 Notepad에 있는 정보가 나에게 UPS caps들을 신속하고 알아보기 쉽게 보여준다는 것을 알 것입니다.
( If you remember what UPS package treatable)
(만약 당신이 UPS package treatable를 기억하고 있다면)
Some of the key signs are I got nothing recognizable in the strings of things.
이 (notepad에 있는)프로그램어의 나열에서 엿볼 수 있는 것은 그렇게 특별한 것은 없으나
I don’t see a Niclues of imported functions.
Niclues of imported functions를 찾아 볼 수 있다는 것입니다.
Okay, so there is something funny going on there.
좋습니다, 그래서 거기에는 뭔가 재밌는것이 있습니다.
I am going to go ahead run this utility called PDID (Packer Unifier) on it.
자 다음으로 PDID (packer unifier)라는 유틸리티를 실행시킬 것입니다.
And point it at that file.
그리고 지정된 파일을 클릭합니다.
This modified version of (1:30~1:50).
(1:30 ~ 1:50 까지 들리지 않아서 못했어요 ㅜㅜ)
At this point you can load it up on online pro.
이 시점에서 당신은 이것을 온라인에 올릴 수 있습니다.
And at first I need to tell you.
우선 말하건데
A lot of it are something.
대부분의 것들이 거의다 똑같습니다.
Something funny is going on here, asking whether to upload it up.
아 신기한 일이 일어났네요, PDID가 올릴 건지 말 건지 물어봅니다.
And sure.
Yes를 클릭해주세요.
You can tell quickly that this is not normal programming, bubble code is jumping around all like this.
자 보시다시피 MJT는 다른 프로그램과 많이 다릅니다. Bubble code가 난잡하게 배열해 있습니다.
Have things like “no call’ one instruction ahead.
그리고 프로그래머가 지시도 내리기 전인데(하나차이) “no call”같은 명령이 실행되고 있습니다 (or 같은 것들이 존재합니다.)
So what we normally do in this case is call Nico.
이런 상황에 있을 때 (unpacking 할때) 우리는 Nico (검은색 머리 사람) 를 부릅니다.

Nico: “Unpacking이란 작업은 reverse engineer에게 상당히 편리한 기능입니다. 현재의 거의 모든 파일들이 packed되 있어요. 특히 malware들이요.
Sometimes worms and malwares affect with Houston packers, tools like PID, Walt, multisizing packer=strategy to find out which packer was used and is in effect is to look at the last section of and the characters of the sections.
이 세계에는 아주 많은 수의 PE packers가 있고 PE protector 가 있습니다. 가끔가다 worms나 malwares가 Houston packers와 함께 공격합니다. 이밖에도 PID, Walt, multisizing packer같은 도구를 이용합니다. 어떤 형식의 packer가 사용되고 어떤 tool이 이용되고 있는지 알아 볼 수 있는 한 전략은 ??? 의 마지막 섹션과 그 섹션의 특성들을 파악하는 것입니다.
If the last sections are executable it can fight back virus.
만약 마지막 섹션이 executable 하다면 바이러스에 대항 할 수 있습니다.

Hit : 1612 Date : 2011/08/02 12:14