본문 바로가기

악성 코드 분석

JS:DownloadNSave-Z [Adw] 분석

저번에 말씀드린 데로 크롬 킬때 자꾸 글씨에 초록색으로 하이퍼링크가 걸리면서 누르면 awardhotspot 창이 뜨는 바이러스가 있다고 말씀드렸는데요, 다시 백신을 v3에서 avast로 바꾸니 바로 잡혔습니다.


※참고로 치료법은 간단하게 

C:\Users\사용자 이름\AppData\Local\Google\Chrome\User data\Default\Extensions\dfbjofkkdkbjldahbacdbbeennphlfcg\2.3폴더를 깨끗하게 지워버리시면 해결 됩니다.





일단 바이러스에 대한 기본적인 설명을 보면 appdata\local\google\chrome\user data\default\extensions 위에 dfb!~@#$^같은 폴더에 위의 그림과 같이 html,js,json파일들이 있습니다.

그런데 appdata\local\google\chrome\user data\default\extensions라는 폴더가 뭐하는 폴더냐 하면



이렇게 chrome에서 어플리케이션들이 깔리는 장소입니다.

위의 사진은 google drive 어플이 되겠네요.


그럼 이걸 통해 유추하자면 이번 awardhotspot바이러스는 어플리케이션의 형태로 chrome에 침입한것 같습니다.


그렇지만 특이한게 보통 어플리케이션이 깔리면 

이런식으로 파일이 깔린게 보여야 하는데 바이러스는 파일이 보이지 않았습니다.

그래서 다른 어플리케이션과 비교를 해본결과 _locales가 없으면 파일의 형태를 띄지 않습니다.


이렇게 이번 바이러스가 어떤 식으로 크롬에 침입하는지 알아봤습니다.

그러면 실제로 바이러스가 어떤 방식으로 작동하는지 한번 알아보겠습니다.




일단 바이러스가 있는 폴더의 background.html파일의 내용입니다.

기본적으로 소스는 간단하게 QGEcTx7.js스크립트와 lsdb.js스크립트를 불러오는 소스네요.


그러면 QGEcTx7.js와 lsdb.js스크립트가 어떤 소스인지를 보겠습니다.




먼저 QGEcTx7.js소스입니다.

소스가 가로로 길게 되있어서 보기가 불편할텐데

일단 안의 내용은 fromcharcode를 통해서 code의 char데이터를 받은다음에, 그것에 url을 씌워서 초록색url이 뜨도록 만드네요.

또한 proxyjpi.co.il에서 sync.js란 파일을 다운받습니다.

lsdb.js는 해석이 잘 안되지만 url이 계속 등장하는것을 봐서 url기능을 추가하는 코드인것 같습니다.

그다음에 다운받은 sync.js 파일에서는 소스가 아니라 70645개의 문자만이 있습니다.


솔직히 이번 애드웨어 분석은 소스가 보기힘들게 되있고, 크롬 바이러스라는 특이성때문에 제대로 분석을 하지 못했네요.

앞으로도 이런 기회를 통해 크롬 애드웨어도 잘 분석할수 있었으면 좋겠습니다.