추출된 코드는 다른 기술을 사용하여 난독 처리되지만 코드를 분석하면 결정된 도메인에서 HTTP를 사용하여 데이터 파일을 다운로드하는 감염의 다음 단계를 찾을 수 있습니다. 이 경우 복원력 문제에는 세 개의 서로 다른 도메인 배열이 사용됩니다: 문서에는 Javascript 콘텐츠(개체 4 및 개체 12)가 있는 두 개의 개체가 있어 문서가 페이로드를 전달할 수 있습니다. 개체 4의 Javascript 코드 세부 정보: 동일한 제목으로 더 많은 전자 메일이 수신되었지만 다른 파일이 첨부되었습니다. 이러한 전자 메일에 첨부된 파일은 캠페인과 관련된 파일 이름과 전송된 날의 pdf 파일입니다. 개체 12의 JavaScript 코드 세부 정보: OLE 스트림의 ID 옆에 M을 표시하는 줄은 단순히 특성을 정의하는 것 이외에 일부 작업을 수행하는 VBA 매크로 코드가 포함되어 있음을 나타냅니다. 그것은 복잡한 코드를 가지고, 파일의이 종류에서 평소하지, 코드의 몇 가지 간단한 줄이, 대부분의 시간 난독 화, 그냥 실행 파일을 다운로드. 추가 분석을 위해 우리는 우리가 olevba를 사용하는 것을 위해 문서 파일에서 VBA 매크로 코드를 포함하는 OLE 스트림을 추출 할 수 있습니다 : 이 명령은 외부 파일에 참조 된 객체를 추출하는 „exportDataObject“[1]를 실행합니다. 444AXGJNEOJ468.docm“. 우리는 peepdf와 함께이 명령 추출 포함 된 문서를 사용: 덤프 스트림은 gzip 형식을 사용 하 여 압축, 파일을 수축, gzip으로 압축 하기 전에 gzip 매직 번호 및 압축 메서드를 prepend: [1] exportDataObject : 지정 된 추출 데이터 개체를 외부 파일로 이동합니다.

우리가 peepdf를 사용하는 PDF 파일의 분석을 수행하려면, 우리가 표시된 정보에서 파악 할 수있는 첫 번째 것은 JS 코드와 아마 포함 된 파일이 있다는 것입니다 : 그것은 또한 특히 LibreOffice에서 사용되는 개체에 대한 참조의 사용은 놀라운 그리고 단어 문서에 존재하지 않는 : 우리가 다른 도메인의 다음 목록을 얻은 파일의 나머지 부분에 대해 동일한 분석을 수행 : 이 악성 코드의 또 다른 특성은 속성이 것입니다 다른 개체로 채워진 사용자 양식의 사용이다 스크립트 실행시 변수로 사용: 일단 실행된 맬웨어는 특정 확장명이 있는 파일을 암호화하고 .wlu로 끝나는 이름을 바꿉니다. 당신은 또한 모든 데이터를 복구하기 위해 몸값 지불을 요청 아래이 이미지를 찾을 수 있습니다. 파일 이름에서 볼 수 있듯이, 그들은이 규칙을 따르는 것 같습니다 : 대부분의 경우 매크로는 매우 간단하며 페이로드를 다운로드하고 실행하는 코드 (대부분의 경우 난독 처리)가 매우 간단합니다. 이 경우 일부 내부 서브 루틴과 다운로드 한 파일에 대한 사후 처리가있어이 코드를 좀 더 복잡하게 만듭니다.