메일 첨부파일 확인

최근 메일에 첨부파일로 등장하는 코드를 봤다

보통 js 파일로 구성되고, VBScript 를 이용해서 악성파일을 다운받는 구조인데,

오늘 본것은 이 과정을 보기 어렵게 2번 난독화한 파일이다

원본파일 확인

-> q1 으로 합쳐지는 코드가 상당히 길다;;

1차 코드 디코딩 과정

-> document.write(ymakavtt); 혹은 console.log(ymakavtt);

2차 코드 디코딩 과정

-> document.write(ts2tdyff); 혹은 console.log(ts2tdyff);

최종 코드 확인

-> 최종 유포지는 현재 뜨거운 상태로 미 공개

* 3개의 유포지의 도메인은 각각 다르지만 MD5 속성값은 동일, 즉 같은 파일

- 16.05.09 -