티스토리 뷰
악성코드 정보
로키랜섬웨어가 최근들어 이메일의 첨부파일 형태로 유포되고있다.
첨부파일의 압축파일은 java script 파일이며, 파일 실행시 해커의 서버에서 로키랜섬웨어를 다운받아 감염시키게 된다.
테스트 환경
Windows XP x86
분석정보
이메일에 첨부된 압축파일은 악성 java script 파일이 있으며, java script를 열어보면 난독화가 되어있다.
자바 스크립트 파일은 비교적 단순하게 난독화 되어있다.
변수를 만들어 변수에 문자열값을 가지고 있으며, 해당 변수명을 가져와 문자열을 만들어 특정 서버에서 악성 파일을 다운받아 실행시킨다.
난독화를 해제해 주요 정보를 획득하면 악성 Java Script는 아래 행위를 수행한다.
1. 해커의 서버에서 파일 다운로드
2. %temp% 폴더에 저장및 실행
로키랜섬웨어는 현재 이메일을 통해 국내에 활발히 유포되고 있다.
출처가 불분명한 첨부파일은 열어보지 않는것이 중요하다.
'악성코드 정보' 카테고리의 다른 글
| 드리덱스 형식으로 유포되는 Locky Ransomware (0) | 2016.02.17 |
|---|---|
| 웹캠 악성코드 (0) | 2016.01.21 |
| 성인 플래시 게임을 통한 악성코드 유포 (0) | 2016.01.13 |
| 더 강력해진 위협, Teslacrypt (0) | 2015.12.15 |
| 메일의 첨부파일로 유포되는 테슬라크립트 (0) | 2015.12.11 |
댓글
공지사항
최근에 올라온 글
최근에 달린 댓글
- Total
- Today
- Yesterday
TAG
- 실전 악성코드와 멀웨어 분석 연습문제
- 키로거
- CryptoLocker
- 해커스쿨
- 파밍
- 광고
- 리버싱
- banker
- Ransom
- IT·컴퓨터
- 리버싱 공부
- 팝업
- 실전 악성코드와 멀웨어 분석 문제풀이
- 해커스쿨 ftz
- 랜섬웨어
- CryptoWall
- 뱅킹
- 바이로봇
- 한빛아카데미
- 한빛리더스
- 악성코드
- 에이콘
- 에이콘 출판사
- CTB-Locker
- malware
- 실전 악성코드와 멀웨어 분석
- 백신
- 크립토락커
- 서비스
- 뱅커
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
글 보관함