다음카페 첨부파일 다운로드

Home // 다음카페 첨부파일 다운로드

추출된 코드는 다른 기술을 사용하여 난독 처리되지만 코드를 분석하면 결정된 도메인에서 HTTP를 사용하여 데이터 파일을 다운로드하는 감염의 다음 단계를 찾을 수 있습니다. 이 경우 세 가지 다른 도메인의 배열은 복원력 문제에 사용됩니다 : 우리가 peepdf를 사용하는 PDF 파일의 분석을 수행하려면, 우리가 표시된 정보에서 파악 할 수있는 첫 번째 것은 JS 코드와 아마 포함 된 파일입니다 : 일단 악성 코드가 특정 확장명으로 파일을 암호화하고 .wlu로 끝나는 이름을 바꿉니다. 당신은 또한 모든 데이터를 복구하기 위해 몸값 지불을 요청 아래이 이미지를 찾을 수 있습니다. 우리가 파일 이름에서 볼 수 있듯이, 그들은이 규칙을 따르는 것 같다 : 악의적 인 OLE 문서는이 경우와 같이 문서 내부에 포함 된 VBA 매크로를 포함하는 것이 일반적입니다 : 덤프 된 스트림은 gzip 형식을 사용하여 압축되어 파일을 수축하고 gzip 마법을 준비합니다. gzip으로 압축 해제하기 전에 번호 및 압축 방법: 이 악성 코드의 또 다른 특징은 스크립트의 실행에서 변수로 사용되는 속성이 다른 개체로 채워진 사용자 양식을 사용하는 것입니다: 이 명령은 ” exportDataObject”[1] 외부 파일에 참조 된 개체를 추출, 즉 “개체 2”, 그리고 이름이 됩니다 “444AXGJNEO468.docm”. 우리는 peepdf와 함께이 명령 추출 포함 된 문서를 사용: 더 많은 이메일 같은 제목으로 수신 했다, 하지만 다른 파일 첨부. 이러한 전자 메일에 첨부된 파일은 캠페인과 관련된 파일 이름과 전송된 날의 pdf 파일입니다. 개체 12의 JavaScript 코드 세부 정보: 다음과 같은 다른 도메인 목록을 얻은 나머지 파일에 대해 동일한 분석을 수행합니다. OLE 스트림의 ID 옆에 M이 표시된 줄은 단순히 특성을 정의하는 것 이외에 일부 작업을 수행하는 VBA 매크로 코드가 포함되어 있음을 나타냅니다. 그것은 복잡한 코드를 가지고, 파일의이 종류에서 평소하지, 코드의 몇 가지 간단한 줄이, 대부분의 시간 난독 화, 그냥 실행 파일을 다운로드. 추가 분석을 위해 우리는 우리가 olevba를 사용하는 것을 위해 문서 파일에서 VBA 매크로 코드를 포함하는 OLE 스트림을 추출 할 수 있습니다 : 우리가 정교한 찾을 코드, 대부분의 경우 매크로는 정말 간단합니다, 코드의 단지 몇 줄 (대부분의 시간 난독 화) 다운로드하여 페이로드를 실행합니다.

Sunfest Vacations Festival Destinations in the Caribbean & Florida Coast