DDoS Bot 으로 추정된 난독화 VBScript 코드

( 1 ) 기본 정보

파일명 : Canada Post Notice Card.vbs
종류 : 
증상 : DDoS Bot 추정
파일 타입 : VBScript
파일 사이즈 : 312919 bytes
MD5 : 0c82548b768ff5796ed392471596b7ea
SHA1 : e8973e3eb265e58db35ce127ae53491d8f27fe96
SHA-256 : 25e55780bf0b572caaaff55ea66b93a57e79bd1d715f9beba42a34f902ba7fbc
VirusTotal 결과값 : 
https://www.virustotal.com/#/file/25e55780bf0b572caaaff55ea66b93a57e79bd1d715f9beba42a34f902ba7fbc/detection
샘플 다운로드 링크(암호 : koromoon1004) :
https://drive.google.com/open?id=1np8xcylNCcyZcQWtBlA2euixo6PzN2Yz

( 2 ) 동적 분석

< 파일 생성 >

< 레지스트리 등록 >

< Packet Dump >

( 3 ) 정적 분석

< 문자열 치환으로 복호화 >

코드 맨 밑에 "execute azaz" 문자열을 "WScript.Echo azaz" 문자열로 치환하여 실행시키면 복호화된 코드를 확인할 수 있음.

< DDoS 관련 코드 >

난독화된 VBScript 를 복호화 시켜보면 DDoS Bot 코드로 추정됨.
코드 중간에 DDoS 관련 코드를 확인할 수 있음.


============================================================

본 게시물은 KOROMOON 님께서 작성하였으며 CCL (Creative Commons License) 에서 "저작자표시-비영리-동일조건변경허락" 이용조건으로 자료를 이용하셔야 합니다.