악성코드와 하율파파

악성코드 정보 로키랜섬웨어가 최근들어 이메일의 첨부파일 형태로 유포되고있다. 첨부파일의 압축파일은 java script 파일이며, 파일 실행시 해커의 서버에서 로키랜섬웨어를 다운받아 감염시키게 된다. 테스트 환경 Windows XP x86 분석정보 이메일에 첨부된 압축파일은 악성 java script 파일이 있으며, java script를 열어보면 난독화가 되어있다. 자바 스크립트 파일은 비교적 단순하게 난독화 되어있다. 변수를 만들어 변수에 문자열값을 가지고 있으며, 해당 변수명을 가져와 문자열을 만들어 특정 서버에서 악성 파일을 다운받아 실행시킨다. 난독화를 해제해 주요 정보를 획득하면 악성 Java Script는 아래 행위를 수행한다. 1. 해커의 서버에서 파일 다운로드 2. %temp% 폴더에 저..

악성코드 정보현재 유포되고 있는 럭키 랜섬웨어는 드리덱스 악성코드와 같이 문서의 메크로 형식으로 유포되고 있다.문서파일의 매크로로 악성파일을 다운받고 실행하여 사용자의 PC를 감염시킨다. 테스트 환경Windows XP x86 분석정보문서 내 메크로의 일부분으로, 자바스크립트를 이용하며 난독화가 되어있다. 다음 위치에 파일을 생성한다. C:\Documents and Settings\Administrator\Local Settings\Temp\nchiromantic.exe (감염 후 자신 삭제) OS 운영체제 확인 암호화 제외 위치 암호화 파일 *.key *.CSV *.sxc *.123 *.odg *.SQLITE3 *.cpp *.java *.gif *.bz2 *.vob *.crt *.txt *.stc *.w..