기 타 유틸자료님의 AnyDesk 파일 분석
2022.05.03 18:56
일단 저는 초차원적인 접근을 시도하였습니다..
파일 내용의 anydesk.exe를 보니 실상 아무역활도하는게 없고
dwork.dll은 실상 exe로 변환해보면 처음에 올린 애니데스크 파일과 아이콘이 동일해집니다.
즉 anydesk.exe와 savework.dll의 역활은 이 d4work를 exe로 변환해주어 실행해주는 방식입니다.
이 d4work는 .net 64bit로 제작되었으며, 이 d4work의 패킹을 언패킹하여 소스화 시켜서 분석을 진행하였습니다.
일단 메인에 있는 소스입니다. 특정 자바스크립트를 실행하여 무언가를 락을 거는 부분입니다.
두번째는 해당 소프트웨어가 자동으로 실행되기위해 레지스트리를 강제로 등록시키는 사진입니다.
그리고 암호화가 되어 잘은 모르겠지만 아마 파일을 다운로드 받는 경로를 스트링 암호화 시킨듯 싶습니다.
나머지 소스는 별볼일 없는듯 싶습니다.
간략하게 설명을 드리자면 간단하게 실제 애니데스크 파일은 아니며, 무언가 사용자를 임의로 조작하기 위해 자바스크립트로 익스플로잇을 사용하는 바이러스 파일 이라고 말씀드리고싶습니다.
만약 실행하신 분이 있다면 포맷을 권장해 드리며, 아직 실행하시지 않으셨다면 삭제하시길 권고 드립니다.
마지막으로 저딴파일을 처 올린사람에게 기념으로 박 제 해드리겠습니다.
업로더야.... 남에게 피해를 끼치면서까지 이렇게 까지 하면서 살고싶니? 제발 정신좀 차려라...
댓글 [8]
-
빨강모자 2022.05.03 19:32 -
huny 2022.05.03 20:37
좋은 정보 감사합니다. 이딴 넘은 강퇴시켜야 할텐데..
-
슈머슈마 2022.05.04 00:27
저분건 받으면 안되겠네요 .... 감사합니다.
-
입문자 2022.05.04 08:05
이런걸 다 알아 내시다니 정말 숨은 고수님 이셨군요 ㄷㄷㄷㄷㄷㄷㄷ
-
REFS 2022.05.04 08:09
정보 감사합니다..
-
billi 2022.05.04 11:48
수고에 감사드려요~~
-
이어도 2022.05.04 12:39
박제로는 많이 부족해 보입니다
한 짓거리를 봐서는...
자료 받으면 바로 테스트해도 문제가 안되는 방법이 있거나
저런 파일은 등록을 못하게 하는 장치가 있으면 좋겠네요
-
굿듀님스토커 2022.05.05 22:47
원격관리프로그램은 항상 조심해야하죠
수고 많으셨습니다.
도저언...~~ 하다가 새로고침하니 글이 올라와 있네요.. ( 프로세싱(처리과정)까지만 하다가 중지했어요.... )
편히 자리하세요~~~~~~~~~~~~~~~~꾸벅~~