先日、あるマルウェアを入手しました。フィッシングメールの添付ファイルとして配送されていたもので、拡張子「.js」のJScriptファイルでした。中身は難読化処理が施されておりました。その解読手法および解析した結果を記します。 ■JScriptとは JScriptはスクリプト言語であり、ファイルをダブルクリックした場合はWindows Script Hostがその実行エンジンとなります。そのため、Windows環境は標準でJScriptファイルを実行する事ができます。厳密にはJavaScriptと異なるのですが、JavaScriptが読める方であれば、何をしているかはきっと理解できます。 アイコンは以下の通りです。 図1、JScriptのアイコン ■検体の調査 検体をテキストエディタで開くと以下の通りとなっておりました。 図2、検体のソースコードの一部 一見すると解析を諦めたくなるような綺麗
![マルウェア解析奮闘記 ~難読化JScriptを解析せよ~ | セキュリティ研究センターブログ](https://cdn-ak-scissors.b.st-hatena.com/image/square/32d2f2138252cb6b4dbc728a7466b66177f58c71/height=288;version=1;width=512/https%3A%2F%2Fsecurity.macnica.co.jp%2Fassets_c%2F2020%2F06%2Foriginal-thumb-563x463-39.png)