현대캐피탈이라는 이름으로 설치되는 악성앱은 http://feeds.qzone.qq.com/cgi-bin/cgi_rss_out?uin=1748606614에서 <title> 부분에 존재하는 영어 소문자를 아래와 같은 DecodeIP 함수를 통해 디코딩한다. 그 결과 C&C IP주소가 나온다.







Posted by Ec0nomist

댓글을 달아 주세요