Coderant의 보안과 전략

PwDump.exe는 윈도우즈 해쉬 암호를 가져올 때 네임드 파이프 통신을 합니다. 문제는 V3 바이러스에서 Pwdump가 암호파일을 가져오는 것을 차단하면 사용하던 네임드 파이프를 "랜덤이름.exe" 파일을 WINSYSTEM 드라이버에 떨꾼다는 겁니다.
그래서 대부분 악성코드처럼 보이지만 실제로는 네임드 파이프 사용 파일입니다.
아래 내용은 filemon으로 V3 백신이 PWDUMP로 실행되는 것을 차단하는 과정에서 네임드파이프 .EXE이 만들어지는 과정을 보여주고 있습니다.

43031  9:28:07 PwDump.exe:652      OPEN    C:\SCRIPT\UNC\CODERANT\PRINT$\GDXXWRA.EXE  PATH NOT FOUND       Options: Open  Access: Read-Attributes 

43032  9:28:07 PwDump.exe:652      CREATE \\CODERANT\print$\gdxxwra.exe    SUCCESS  Options: OverwriteIf Sequential  Access: 00130196    

43033  9:28:07 PwDump.exe:652      QUERY INFORMATION   \\CODERANT\print$\gdxxwra.exe       SUCCESS      FileFsAttributeInformation

43034  9:28:07 PwDump.exe:652      QUERY INFORMATION   \\CODERANT\print$\gdxxwra.exe       SUCCESS      FileBasicInformation      

43035  9:28:07 PwDump.exe:652      QUERY INFORMATION   C:\SCRIPT\imokav.exe SUCCESS      FileFsAttributeInformation

43036  9:28:07 PwDump.exe:652      SET INFORMATION     \\CODERANT\print$\gdxxwra.exe       SUCCESS      Length: 40960

43037  9:28:07 PwDump.exe:652      QUERY INFORMATION  C:\SCRIPT\imokav.exe SUCCESS Length: 40960

43038  9:28:07 PwDump.exe:652      WRITE \\CODERANT\print$\gdxxwra.exe SUCCESS Offset: 0 Length: 40960