멀웨어 파일을 실행하면 위 실행파일이 하나 더 생긴다 해당 파일명을 OSINT 해보았다.
anyrun 분석 보고서를 하나 찾았다. 악성코드는 각각을 식별하기 위해 바이너리 내용으로 암호 해쉬값을 생성한다. MD5, SHA1, SHA256이 작성되어 있는 걸 알 수 있다.
실행하는 즉시 시작되는 malicious 파일을 나열한 거 같다.
probably downloading payload..를 보면 iexplore.exe임을 알 수 있다. 보안 정책/설정 등은 winRAR.exe로 읽고, 이외에 악성 행위들은 모두 MariyelsTherapy.exe에서 했음을 알 수 있다.
iexplore.exe는 인터넷 익스플로러 브라우저를 여는 파일이다.