기 타 유틸자료님의 AnyDesk 파일 분석
2022.05.03 18:56
일단 저는 초차원적인 접근을 시도하였습니다..
파일 내용의 anydesk.exe를 보니 실상 아무역활도하는게 없고
dwork.dll은 실상 exe로 변환해보면 처음에 올린 애니데스크 파일과 아이콘이 동일해집니다.
즉 anydesk.exe와 savework.dll의 역활은 이 d4work를 exe로 변환해주어 실행해주는 방식입니다.
이 d4work는 .net 64bit로 제작되었으며, 이 d4work의 패킹을 언패킹하여 소스화 시켜서 분석을 진행하였습니다.
일단 메인에 있는 소스입니다. 특정 자바스크립트를 실행하여 무언가를 락을 거는 부분입니다.
두번째는 해당 소프트웨어가 자동으로 실행되기위해 레지스트리를 강제로 등록시키는 사진입니다.
그리고 암호화가 되어 잘은 모르겠지만 아마 파일을 다운로드 받는 경로를 스트링 암호화 시킨듯 싶습니다.
나머지 소스는 별볼일 없는듯 싶습니다.
간략하게 설명을 드리자면 간단하게 실제 애니데스크 파일은 아니며, 무언가 사용자를 임의로 조작하기 위해 자바스크립트로 익스플로잇을 사용하는 바이러스 파일 이라고 말씀드리고싶습니다.
만약 실행하신 분이 있다면 포맷을 권장해 드리며, 아직 실행하시지 않으셨다면 삭제하시길 권고 드립니다.
마지막으로 저딴파일을 처 올린사람에게 기념으로 박 제 해드리겠습니다.
업로더야.... 남에게 피해를 끼치면서까지 이렇게 까지 하면서 살고싶니? 제발 정신좀 차려라...
댓글 [8]
-
빨강모자 2022.05.03 19:32 -
huny 2022.05.03 20:37
좋은 정보 감사합니다. 이딴 넘은 강퇴시켜야 할텐데..
-
슈머슈마 2022.05.04 00:27
저분건 받으면 안되겠네요 .... 감사합니다.
-
입문자 2022.05.04 08:05
이런걸 다 알아 내시다니 정말 숨은 고수님 이셨군요 ㄷㄷㄷㄷㄷㄷㄷ
-
REFS 2022.05.04 08:09
정보 감사합니다..
-
billi 2022.05.04 11:48
수고에 감사드려요~~
-
이어도 2022.05.04 12:39
박제로는 많이 부족해 보입니다
한 짓거리를 봐서는...
자료 받으면 바로 테스트해도 문제가 안되는 방법이 있거나
저런 파일은 등록을 못하게 하는 장치가 있으면 좋겠네요
-
굿듀님스토커 2022.05.05 22:47
원격관리프로그램은 항상 조심해야하죠
| 번호 | 제목 | 글쓴이 | 조회 | 추천 | 등록일 |
|---|---|---|---|---|---|
| [공지] | 사용기/설치기 이용안내 | gooddew | - | - | - |
| 3963 | 기 타| PinUtil PE + Chrome 단일portable 추가사용기 [28] | qnd | 1285 | 39 | 11-10 |
| 3962 | 기 타| 백업 프로그램이 이제서야 보기가 조금 좋아졌네요.. [22] | 왕초보 | 1285 | 19 | 12-07 |
| 3961 | 윈 도 우| [사용기]큰나무님 AIO_Boot_Extractor VHD 설치 따라하기 [24] | 간장종지646 | 1285 | 20 | 09-11 |
| 3960 | 윈 도 우| 제이유컴님 중국산 빌드 [8] | 항상감사 | 1285 | 12 | 03-06 |
| 3959 | 기 타| 윈클론(원클릭) 이 2개 하드에서도 되는 경우가 있네요. [12] | 왕초보 | 1285 | 5 | 07-01 |
| 3958 | 소프트웨어| 유튜브 다운로드 프로그램 기능 추가 [9] | 굿듀님스토 | 1285 | 5 | 11-06 |
| 3957 | 윈 도 우| ChoboUserW7PE 간단설치기 [9] | 바쏘 | 1285 | 9 | 11-23 |
| 3956 | 기 타| [종료]단일 파일 몇 가지 업데이트 [19] | DengJang | 1284 | 41 | 09-20 |
| » | 기 타| 유틸자료님의 AnyDesk 파일 분석 [8] | Lr라 | 1284 | 18 | 05-03 |
| 3954 | 기 타| 하찮은 사용기 [41] | 집앞의_큰 | 1284 | 39 | 09-24 |
| 3953 | 윈 도 우| Win10_Enter_Ltsb_x86_Super_COLite2 간단사용기 [39] | sikey | 1284 | 4 | 08-19 |
| 3952 | 기 타| 런처에 Ghost [20] | 집앞의_큰 | 1283 | 28 | 08-21 |
| 3951 | 윈 도 우| DREAM WTG End Game Patch 3.4 [26] |
|
1283 | 21 | 03-03 |
| 3950 | 윈 도 우| 선우님 Win10PESE_x86 테스트 감사후기 [24] | 항상감사 | 1283 | 5 | 04-18 |
| 3949 | 기 타| WinClon 활용 복구파티션 PE [사전지식 #2] [5] |
|
1282 | 14 | 05-17 |
| 3948 | 기 타| iso-wim 내보내기 PE 적용 [21] | DengJang | 1282 | 26 | 11-30 |
| 3947 | 윈 도 우| PE에 뭐 하나 넣어본다고 엄청 고생 했습니다. ㅎㅎ [15] | 하늘은높고 | 1282 | 24 | 12-27 |
| 3946 | 기 타| 78리팩 메뉴 전부 PE 우클릭에 넣었습니다. [52] | DengJang | 1282 | 52 | 12-25 |
| 3945 | 윈 도 우| TBI를 Ventoy에 VHD로 부팅하기 [14] | suk | 1282 | 22 | 11-07 |
| 3944 | 윈 도 우| 카리스마님 PE Win10XPE30 실행기 [28] | 하늘은높고 | 1282 | 16 | 02-23 |
수고 많으셨습니다.
도저언...~~ 하다가 새로고침하니 글이 올라와 있네요.. ( 프로세싱(처리과정)까지만 하다가 중지했어요.... )
편히 자리하세요~~~~~~~~~~~~~~~~꾸벅~~