Detection of systems infected with C&C Zeus through technique of Windows API hooking

Windows API 후킹 기법을 통한 C&C Zeus에 감염된 시스템의 탐지

Zeus is one of the will-published malwares. Generally, it infects PC by executing a specific binary file downloaded on the internet. When infected, try to hook a particular Windows API of the currently running processes. If process runs hooked API, this API executes a particular code of Zeus and your private information is leaked. This paper describes techniques to detect and hook Windows API. We believe the technique should be able to detect modern P2P Zeus.

Zeus는 전 세계적으로 널리 퍼진 멀웨어 중 하나이다. 일반적으로 인터넷 상에서 특정 바이너리 파일을 다운 받아 실행함으로써 감염이 되며, 감염이 되면 현재 실행 중인 프로세스들의 특정 Windows API에 후킹을 시도하여, 해당 프로세스가 API를 실행하면 Zeus의 특정 코드를 실행하도록 변조가 되어 개인 정보들이 유출되도록 구성되어 있다. 본 논문에서는 Zeus의 기초 버전인 C&C(Command and Control)방식을 중심으로 Zeus가 어떤 방식으로 Windows API를 후킹하는지, 그리고 어떤 방법으로 후킹이 되었는지 탐지할 수 있는지 제시하여 현대의 P2P Zeus 탐지에 도움이 되고자 한다.