이번 분석 건은 최근 9월 달에 NullSoft 설치파일 형태로 유포하는 GandCrab 입니다. 해당 샘플에서 CreateRemoteThread 함수를 사용하여 자식 프로세스에 Thread를 인젝션하며 이 과정에서 알아낸 것을 기재합니다. 안랩블로그 - ' http://asec.ahnlab.com/1160 ' 를 참고하였습니다. 이번 분석 건은 악성코드 분석은 아니며 생성된 Thread를 어떠 한 방법으로 분석하였는지를 알아 볼 것입니다. 아래 그림은 악성코드 동작 방식을 간단히 그림으로 그려보았습니다. calumny.exe 를 실행시키면 Temp 폴더에 bin, dll, jpg 등을 드랍하지만 특별히 적지는 않았습니다. calumny.exe 가 msiexec.exe (정상프로그램)을 suspned 모..