190502_엑셀숨김시트(wsus.exe) 최근 자주 확인되는 190502_엑셀숨김시트(wsus.exe) 악성코드이다. 간단하게 분석을 진행하였다.
해당 악성파일(요청자료2.xls)은 MS Office 엑셀의 매크로 기능을 이용했으며, 악의적인 코드를 넣은 시트를 숨겨서 사용자가 인지하지 못하도록 했다. 엑셀의 악의적인 매크로는 정상 프로세스인 MS인스톨러(msiexec.exe)를 실행시킨 후 경유지 URL로 접속을 시도하여 추가 악성파일(cykom1)을 다운로드 및 실행한다.
경유지URL: hxxp://slemend.com/cykom1 다운로드 된 악성파일(cykom1)은 추가 경유지로 연결되어 추가 악성파일(1.tmp)을 특정경로에 저장 및 실행한다. 추가 악성파일(1.tmp)은 “wsus.exe“로 다..........
원문 링크 : 190502_엑셀숨김시트(wsus.exe)
