728x90
반응형
최근 메일에 첨부파일로 등장하는 코드를 봤다
보통 js 파일로 구성되고, VBScript 를 이용해서 악성파일을 다운받는 구조인데,
오늘 본것은 이 과정을 보기 어렵게 2번 난독화한 파일이다
원본파일 확인
-> q1 으로 합쳐지는 코드가 상당히 길다;;
1차 코드 디코딩 과정
-> document.write(ymakavtt); 혹은 console.log(ymakavtt);
2차 코드 디코딩 과정
-> document.write(ts2tdyff); 혹은 console.log(ts2tdyff);
최종 코드 확인
-> 최종 유포지는 현재 뜨거운 상태로 미 공개
* 3개의 유포지의 도메인은 각각 다르지만 MD5 속성값은 동일, 즉 같은 파일
- 16.05.09 -
728x90
반응형
'공부 > 콤퓨타' 카테고리의 다른 글
| @cc_on (JavaScript) (0) | 2016.05.26 |
|---|---|
| GET /CHANGELOG.txt (0) | 2016.05.25 |
| Magnitude EK (0) | 2016.04.11 |
| CK EK 변화 확인 (0) | 2016.04.01 |
| ISO 27001 (0) | 2015.11.14 |
