난독화된 VBScript 복호화

악성코드 정보

md5  f61991864cc8d9a58aa573b5e6b3e3cc

 

 

악성코드 상세분석

형태를 확인해보면, 위에 EEU 변수에 난독화된 코드가 들어가 있고, 마지막에 JKL을 EXECUTE하는 형태이다.

 

 

 

vbs 파일 분석은 처음이라, 이것저것 구글링해보면서 난독화 해제하는 법을 찾아봤는데 대략 아래와 같은 방법이 존재하는 것 같다.

 

1. 비쥬얼스튜디오에서 디버깅하면서 확인

2. 변수 출력 방법 (msgbox, Wscript.Echo, Alert 등)

 

 

2번의 경우 다른 VBScript 악성코드 분석시 사용해보고 여기에 추가해보는 것으로 하고, 해당 악성코드의 경우 그리 복잡해보이지는 않으므로 여기서는 2번을 사용해보도록 한다. msgbox로 확인 시, 길이의 한계가 있어서 그런지 끝까지 확인을 할 수 없었다.

 

 

 

Wscript.Echo()를 사용하면, 복호화된 전체 코드를 확인할 수 있는데 복호화되기 전이랑 형태가 매우 유사하다. 

 

 

 

거의 똑같고, 그냥 변수이름만 바뀌었다. 이번에는 ggh에 난독화된 코드가 다시 들어가있다. 마지막에 EXECUTE(df)를 수행하기 때문에 해당 부분을 다시 Wscript.Echo(df)로 변경해보자.

 

 

 

그러면, 아래와 같이 난독화가 해제된 VBScript 코드를 얻을 수 있다.

 

 

 

참고자료
[1] koromoon 네이버 블로그, 난독화된 VBScript 악성코드 분석
[2] malware.unam, VBScript obfuscated malicious code