29ae9d74b5806df63bee86f8478171682e9a13633999b44e13d98ad9b5218f399b5e225dea

29ae9d74b5806df63bee86f8478171682e971363399bb44e13d98ad9b5218f3972dc475477

29ae9d74b5806df63bee86f8478171682f9e1363399ab44e13d98ad9b5218f397a0b81d8

존나 대충 분석 후기


1.로컬 실행시

로컬 내 암호화 된 데이터

Temp 경로에 최초 'mBoWbQ.exe' 이름으로 파일 생성

복호화 된 데이터 mBoWbQ.exe 파일에 쓰기

mBoWbQ.exe 난독화 -> 실행



2.mBoWbQ.exe 실행시

특정 URL들 연결

파일 다운로드 시도 반복

레지스트리 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\GTPlus\Timer 키 생성

요약하자면
1.로컬 실행할때 Temp 디렉토리에 mBoWbQ.exe 파일이 없으면 만들어서 실행함
2.특정 시간 간격으로 특정 URL들에 연결해서 파일들 다운로드 시도함


++)
로컬 실행할때 실행중인 프로세스 중에 x86 프로세스들도 감염시켜서
그 프로세스들 실행할 때도 로컬을 실행할 때와 똑같은 동작을 수행하는 거 같기도 함

관심 있으면 서버 로컬의 저 섹션 부분이나 AppData\Local\Temp 경로에 생성된 파일 분석해보도록