해당 악성코드는 WarZone RAT 라는 원격관리도구기능의 악성코드이다. =========================================================================== =========================================================================== 압축파일(payment reciept.zip)에는 악성파일이 존재하며, 압축을 해제하여 파일을 실행할 경우 악성코드에 감염된다. 악성파일: Payment Reciept.exe CopyFile함수를 사용하여 자신을 특정 경로에 복사한다.
복사경로: C:\ProgramData\images.exe 파워쉘을 이용한 특정 명령어 사용으로 Windows Defender에 예외 폴더를 설정하여 탐지 우회를 시도한다. 파워쉘 명령어: powershell Add-MpPreference –Exclusio..........
원문 링크 : 190828_WarZone RAT 악성코드
