해당 악성코드는 C#으로 컴파일 되어있어서 'dotPeek'이라는 c#디컴파일러로 디컴파일 을 진행하여 정적분석을 진행하였습니다. 결론은 cb-bitcoinstealer.exe는 자기 자신을 다음과 같은 경로에 복사를 하는 것을 확인 할 수있고, 이후 rekeywiz64.exe를 자식프로세스로 생성합니다. rekeywiz64.exe가 실행되면 [중요] FormBackground 객체를 생성합니다. 악성코드의 주요행위는 FormBackground에 있습니다. 이제부터 FormBackground를 분석해 보겠습니다. 이제부터 클립보드의 대한 통제권은 해당 악성코드가 가지게 됩니다. [ 코드 분석1 ] 'm.Msg != 797' --> 797은 클립보드가 변환되면 같는 message입니다. 즉 , 클리보드가 ..
