악성코드 샘플을 보다보면 다양한 나라에서 제작된 것을 알 수 있습니다.
- 물론 국가를 유추할 수 있는 경우에만 그렇지만요.

과연 이 샘플이 해당 국가를 벗어날까하는 경우도 있습니다.


보통 국내 분석가들이 접하는 샘플들은 대체로 중국, 미국, 유럽산 샘플이 많을 겁니다.
간혹 생소한 나라들 샘플이 있습니다. 그때는 웬지 모르게 국가 정보를 검색해 보게 되더군요.

이번에 본 샘플은 전형적인 VB 스크립트 웜입니다.
USB 메모리 드라이브에 autorun.inf 파일을 생성하구요.

샘플을 보다가 lk 라는 국가 코드를 보고....
처음보는 나라가 이 악성코드에 감염되면 변경되는 홈페이지인 http://www.rjt.ac.lk/aps에 접속해보니 스리랑카에 있는 대학이네요.

스리랑카라...
들어는 본적이 있는 나라인데 아프리카라 아니라 인도 남부에 있는 나라군요.
- 왜.. 아프리카라고 생각했을까 ?!

흥미로운건 killvbs.vbs, VirusRemoval.vbs 등을 찾아서 삭제합니다.
스리랑카에서 널리 이용되는 악성코드 제거 스크립트가 아닐까 생각해봅니다
아니면.. I remove your virus but I want hack you. 처럼 다른 악성코드가 생성한 파일일지도 모릅니다.

V3에서는 VBS/Autorun 으로 진단/치료(삭제)합니다.
문득 스리랑카에는 어떤 백신이 사용될까 궁금하네요.


Posted by mstoned7

댓글을 달아 주세요