해당 분석은 북한 해킹 단체인 김수키의 악성코드인 install.bat에 초점을 맞춘다. 파일명은 install.bat이며 크기는 약 1 MB이고 MD5, SHA-1, SHA-256 해시 값이 제시된다. 악성코드는 파일을 다운로드하고 실행하는 구조로 설계되어 있으며 이력서로 위장한다는 점이 특징으로 언급된다.
실행 흐름은 먼저 의도적으로 숨김 처리된 PowerShell 명령을 이용해 외부 서버에서 추가 파일을 받아오는 방식으로 시작된다. 비정상적으로 보이는 링크를 통해 정상 문서인 이력서를 다운로드해 열도록 유도하지만, 실제로는 추가 악성 파일 설치를 진행한다. 이력서는 .hwp 형식으로 위장되며, 사용자는 이를 정상 문서로 오인할 가능성이 있다.
다음으로 C:\winos 폴더를 생성하고 속성을 +h 숨김, +s 시스템으로 설정해 사용자가 탐색기에서 쉽게 보지 못하도록 한다. 또한 폴더 이름도 Windows와 유사해 위장 효과를 노린다. 파일들은 조각으로 나눠 다운로드되며 part000, part001 두 부분으로 구성된다. 각각은 외부 링크에서 취득되며 합쳐지면 G9081234.zip 파일이 만들어진다.
압축 해제 단계에서 ZIP 파일은 C:\winos에 풀리고, 악성 코드에 포함된 배치 스크립트가 sch.db를 예약 작업 XML 파일로 등록한다. 이 예약 작업은 Microsoft 업데이트 작업처럼 보이게 위장된 이름으로 설정되며 지속성 확보를 목표로 한다. 따라서 시스템 재부팅 후에도 악성 페이로드가 계속 실행될 수 있는 구조가 된다.
추가로 활용되는 파일 경로와 흐름은 외부 도메인 링크를 재차 이용하는 방식으로 반복되며, 최종적으로 sch.db와 ZIP, 예약 작업 XML 파일의 흔적을 삭제하는 단계가 포함된다. 이력서로 위장한 악성코드의 목적은 지속적 실행과 은닉에 있으며, 현재 해당 사이트는 동작하지 않는 상태로 보고된다.
