자바스크립트로된 랜섬웨어를 분석할때 웹 브라우저의 document.write나 alert를 사용하는 경우가 많다.

 

위 사진은 js 파일로 notepad를 실행시키는 파일이다 .

 - var objWSH = new ActiveXObject("WScript.Shell");

 - var objWSH = WScript["CreateObject"]("WScript.Shell");

두 줄만 약간 다르고 나머지는 동일하다. 파일을 실행하면 둘다. 정상적으로 노트패드가 실행된다.

 

짧지만 ie브라우저를 통해 실행시키기 위해 html과 script주석 처리를 풀어주고 확장자를 html로 변경한다.

분석을 한다는 가정을 위해 document.write("test");도 넣어주자.

 

notepad1.html 실행시

notepad와 document.write 정상실행 확인

 

notepad2.html

WScript오류가 발생함을 알 수 있다.

 

유행했던 로키 wscript 실행부분

ie에서는 다 오류 뿜어내고 안되므로 ActiveXObject 사용

ie에 맡게 수정을 해주어야 어떤 행위를 하는지 확인 가능하다.