Notice
Recent Posts
Recent Comments
Link
일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | |||
5 | 6 | 7 | 8 | 9 | 10 | 11 |
12 | 13 | 14 | 15 | 16 | 17 | 18 |
19 | 20 | 21 | 22 | 23 | 24 | 25 |
26 | 27 | 28 | 29 | 30 | 31 |
Tags
- hex2bin
- 파워쉘
- vbscript
- UDP Server/Client
- PowerShell
- c# 프로그램 종료
- c# 외부 프로그램 실행
- c# 파일명 변경
- c# 파일 IO
- Hover Action
- c# xml 파싱
- 파이썬
- anti vm
- c# 디렉토리 파일 조회
- Mouse Over
- TCP Socket
- 파이썬 외부프로그램 실행
- TCP Server/Client
- c# 파일 읽기쓰기
- Universal ShellCode
- pdf 악성코드
- Python GetProcAddress
- FTP Server/Client
- PPT Malware
- 한글 악성코드
- 악성코드
- Python LoadLibrary
- VMware
- 최순실 악성코드
- Python Win32 API
Archives
- Today
- Total
목록Hover Action (1)
그냥저냥
[PPT Malware] Hover Action 기능 악용 악성코드
얼마전 PPT 문서형 악성코드중 흥미로운 녀석이 발견됬다고 기사가 뜸(관련 기사 : http://www.dailysecu.com/?mod=news&act=articleView&idxno=21152) PPT 슬라이드에 존재하는 링크에 마우스를 올리면 악성코드에 감염된다는 뭐 그런거라는데대충 샘플을 구해서 분석해봄 "Loading...Please wait" 링크 위에 마우스를 올려봤더니 uac 처럼 경고창이 뜨면서 사용자 상호작용을 요구 악성 문서 파일 확장자가 ppsx 이므로, 문서파일 내 코드를 보면 링크 부분에 MouseOver 액션이 정의되어있다.즉, 링크 위에 마우스를 올리면 "rId2" 라는 객체를 참조하여 프로그램을 실행하도록 되어있고, "rId2" 객체에는 PowerShell 코드가 삽입된 것..
Malware
2017. 6. 24. 19:39