WEBVTT 00:00.350 --> 00:00.800 안녕하세요. 00:00.800 --> 00:02.500 새 섹션에 오신 것을 환영합니다. 00:02.510 --> 00:07.370 이 섹션에서는 드리덱스 트로이 목마의 압축을 풀겠습니다. 00:07.910 --> 00:14.660 이제 Dridex를 다운로드하여 압축을 풀고 바탕화면에 Dridex라는 폴더에 넣으세요. 00:14.840 --> 00:19.400 폴더 안에는 이 긴 해시가 있는 파일이 있습니다. 00:19.700 --> 00:29.150 이것은 Sha256 해시이므로 마우스 오른쪽 버튼을 클릭하여 해시를 확인한 다음 내 파일을 해시할 수 있습니다. 00:29.150 --> 00:33.920 내 파일 해시하기를 클릭하면 모든 해시를 생성해 줍니다. 00:33.920 --> 00:39.530 그리고 Sha256이 보이는데, 이것이 바로 Sha256 해시입니다. 00:40.040 --> 00:51.530 그래서 당신은 가서 트로이 목마에 대한 자세한 정보를 얻을 수 있습니다 해시 복사 오른쪽 클릭 Sha256 00:51.530 --> 01:05.390 복사 Sha256을 복사하고 VirusTotal로 이동하여 검색 오른쪽 클릭을 클릭하고 붙여 넣기 Sha256 클릭 검색 01:05.390 --> 01:09.560 이 지역에 대한 결과가 나옵니다. 01:09.560 --> 01:12.920 여기에서 꽤 긴 히트곡을 볼 수 있습니다. 01:15.040 --> 01:24.910 그리고 아래로 스크롤하면 이 트로이 목마에 대해 드리덱스라는 이름, 뱅커, 뱅커, 트로이 목마 및 다양한 이름을 01:25.630 --> 01:27.610 볼 수 있습니다. 01:29.660 --> 01:30.560 여기에서 확인할 수 있습니다. 01:30.770 --> 01:31.370 진정하세요. 01:31.740 --> 01:32.590 진정하세요. 01:33.620 --> 01:40.820 또한 온라인으로 이동하여 여기에서 압출에 대한 자세한 내용을 읽을 수도 있습니다. 01:41.690 --> 01:46.190 따라서 릴렉스는 피해자의 은행 정보를 노리는 멀웨어의 한 형태입니다. 01:46.610 --> 01:49.580 아래로 스크롤하면 전략이 어떻게 작동하는지 확인할 수 있습니다. 01:50.190 --> 01:54.410 첨부 파일을 사용하여 스팸 이메일을 통해 확산됩니다. 01:54.620 --> 02:00.380 파일에 포함된 매크로가 포함된 Microsoft Word Excel. 02:01.730 --> 02:05.060 따라서 파일을 열면 드리덱스가 다운로드됩니다. 02:06.290 --> 02:10.310 이것이 대부분의 최신 트로이 목마가 작동하는 방식입니다. 02:10.340 --> 02:17.930 이메일 첨부파일을 통해 전파되며, 일반적으로 Microsoft Word Excel 또는 Microsoft 문서 또는 PDF 02:18.080 --> 02:19.700 문서를 통해 전파됩니다. 02:20.690 --> 02:24.320 이제 이를 분석할 수 있습니다. 02:25.610 --> 02:29.820 포장을 풀기 전에 복사본을 만들 수 있습니다. 02:29.840 --> 02:35.840 복사하여 붙여넣은 다음 읽기 쉽도록 이름을 바꿉니다. 02:37.400 --> 02:38.900 이름을 드리덱스로 변경합니다. 02:43.220 --> 02:51.500 이제 플레어로 이동하여 유틸리티로 이동하고, 열고, 감지하여 스캔할 수 있습니다. 02:51.500 --> 02:51.890 간단합니다. 02:53.240 --> 02:53.670 죽다. 02:58.570 --> 03:06.130 그런 다음 눈의 점 세 개를 클릭한 다음 폴더가 있는 데스크톱으로 이동합니다. 03:06.730 --> 03:11.050 그 안에서 프로젝트를 클릭하고 드라이브 X 열기를 클릭합니다. 03:12.800 --> 03:20.020 그리고 여기에는 보호기에 대한 언급이 없는 것을 볼 수 있는데, 아마도 맞춤형 보호기이기 때문일 것입니다. 03:20.030 --> 03:22.610 그런 다음 엔트로피를 클릭합니다. 03:24.450 --> 03:28.800 94%로 꽉 차 있고 엔트로피가 매우 높다는 것을 알 수 있습니다. 03:28.830 --> 03:31.170 따라서 이것은 포장된 표시입니다. 03:32.250 --> 03:38.810 사전 분석을 할 수 있는 또 다른 방법은 B 스튜디오로 여는 것입니다. 03:38.820 --> 03:51.360 다시 비행기로 이동한 다음 유틸리티에서 B 스튜디오를 찾아서 연 다음 해당 지역을 B 스튜디오로 드래그하세요. 03:52.590 --> 03:57.330 여기에서 몇 가지 초기 분석 결과를 확인할 수 있습니다. 03:57.330 --> 04:02.660 엔트로피도 7을 언급했습니다. 536으로 높으며, 최대값은 8개입니다. 04:02.670 --> 04:07.830 따라서 7을 초과하는 것은 32비트 실행 파일로 간주됩니다. 04:09.030 --> 04:15.780 설명에는 키 그립 프로그램 데이터베이스를 보호한다고 되어 있지만 이는 가짜입니다. 04:15.960 --> 04:17.970 실제로는 건조된 압출물입니다. 04:18.000 --> 04:25.540 이제 이 트로이 목마에 대한 첫 번째 초기 대응으로 파일을 열어 살펴볼 수 있습니다. 04:25.900 --> 04:36.940 새로 만들기를 클릭하고 데스크톱으로 이동하여 열려고 하면 어떤 일이 발생하는지 살펴봅시다. 04:37.810 --> 04:38.770 확인을 클릭합니다. 04:40.060 --> 04:43.420 이 모든 경고가 손상된 수정 테이블을 제공합니다. 04:44.140 --> 04:49.210 따라서 이것은 PAC 파일이며 일부 재배치가 적용되지 않았다는 표시입니다. 04:51.420 --> 04:55.980 그리고 그것은 이것이 팩이라는 조기 경고 신호입니다. 04:57.240 --> 05:00.990 그리고 여기에서 몇 가지 기능을 볼 수 있습니다. 05:02.620 --> 05:04.000 그리고 입력이 없습니다. 05:06.590 --> 05:11.660 그래서 또 다른 표시가 돌아왔고 시작 진입 지점이 매우 짧습니다. 05:12.240 --> 05:12.390 알겠습니다. 05:12.440 --> 05:13.670 이제 이 작업을 종료할 수 있습니다. 05:13.700 --> 05:19.100 다음 동영상에서는 이 트로이 목마의 포장을 풀기 시작합니다. 05:19.280 --> 05:20.510 시청해 주셔서 감사합니다.