악성메일 (2) 썸네일형 리스트형 록키 랜섬웨어, Trojan/Win32.Locky 최근 언론에서 록키 랜섬웨어 재 등장이란 뉴스가 자주 보인다 Trojan/Win32.Locky 랜섬웨어란 금전을 요구하는 악성코드라고 생각하면 되겠다 록키라고 명명된 이유는 아마도 파일명 정보에 locky 라고 변경되어 록키라고 부르는거 같다 내 기준으로 볼때 해당 코드는 5월 초반부터 확인되었고, 최근엔 js 코드가 점점 난독화 과정이 복잡해 지는 구조이다 주로 메일의 첨부파일 안에 삽입된 코드는 swift*** 란 이름으로 들어있다 스위프트 코드가 떠들썩해서 인지는 몰라도 최근 유행했던 이름을 넣은거 같다 역시 지저분하게 난독화되어 있다 /*@cc_on 은 지난번 소개 했으니 생략 (* 컴공부의 과거글 참조) 소스코드 하단에 보면 eval(b); 부분이 키가 되는데 즉, 코드를 실행하는 부분으로 이 .. 메일 첨부파일 확인 최근 메일에 첨부파일로 등장하는 코드를 봤다보통 js 파일로 구성되고, VBScript 를 이용해서 악성파일을 다운받는 구조인데, 오늘 본것은 이 과정을 보기 어렵게 2번 난독화한 파일이다 원본파일 확인-> q1 으로 합쳐지는 코드가 상당히 길다;; 1차 코드 디코딩 과정-> document.write(ymakavtt); 혹은 console.log(ymakavtt); 2차 코드 디코딩 과정-> document.write(ts2tdyff); 혹은 console.log(ts2tdyff); 최종 코드 확인-> 최종 유포지는 현재 뜨거운 상태로 미 공개* 3개의 유포지의 도메인은 각각 다르지만 MD5 속성값은 동일, 즉 같은 파일 - 16.05.09 - 이전 1 다음
