존나 대충 분석 후기
1.로컬 실행시
로컬 내 암호화 된 데이터
Temp 경로에 최초 'mBoWbQ.exe' 이름으로 파일 생성
복호화 된 데이터 mBoWbQ.exe 파일에 쓰기
mBoWbQ.exe 난독화 -> 실행
2.mBoWbQ.exe 실행시
특정 URL들 연결
파일 다운로드 시도 반복
레지스트리 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\GTPlus\Timer 키 생성
요약하자면
1.로컬 실행할때 Temp 디렉토리에 mBoWbQ.exe 파일이 없으면 만들어서 실행함
2.특정 시간 간격으로 특정 URL들에 연결해서 파일들 다운로드 시도함
++)
로컬 실행할때 실행중인 프로세스 중에 x86 프로세스들도 감염시켜서
그 프로세스들 실행할 때도 로컬을 실행할 때와 똑같은 동작을 수행하는 거 같기도 함
관심 있으면 서버 로컬의 저 섹션 부분이나 AppData\Local\Temp 경로에 생성된 파일 분석해보도록
백신예외지정했으면 내 컴이 아니다 생각해야지 왜 남들 다 알고있는걸 씨부림
사고 방식이 친구 없게 생겼네
너는 애미애비 없어서 기정교육 못받고 백신예외지정할거같음..
이 댓글은 게시물 작성자가 삭제하였습니다.
근데 파일다운 빼갈게없는데 다운하면뭐하누 ㅋㅋㅋㅋㅋㅋㅋ
긍게ㅋㅋ 뭐 대단한거라고 장황하게 써놨냐 애초에 프메다운받는순간 그냥 그런거 다 감안하고 하는거지 애초에 중요한프로그램이나 자료있는 컴에 프메다운받아 하는 사람이 있냐?ㅋㅋ 븅신
그래서 난 피시방가서 함 ㅋ