아래 글 (http://www.todayhumor.co.kr/board/view.php?table=programmer&no=16310&s_no=16310&page=1) 에 .js 파일이 구글에서 자꾸 멀웨어라고 해서 삭제 한다는 내용에 대해 관련 내용은 아니지만 요즘 이슈가 있는 내용이 있어 글을 남깁니다.

보통 일반적으로 .js 파일은 자바스크립트 파일로 브라우저에서 자바스크립트 엔진을 통해 명령이 수행이 됩니다.

하지만 최근에 locky 라는 랜섬웨어 (컴퓨터에서 중요한 파일들을 암호화 하여 돈을 요구 하는 악성프로그램)가 .js 파일을 통해 엄청나게 유포 되고 있습니다. (물론 이 외에 doc, exe 등 다른 방식으로도 배포되고 있습니다.) 또한 이 locky 라는 악성 프로그램은 기존의 랜섬웨어와는 다르게 단순히 컴퓨터의 중요한 파일을 암호화 하고 돈을 요구 하는것 뿐만 아니라 감염 컴퓨터를 이용하여 또 악성 코드를 배포하는 방식으로 되어 있어 더욱 악질이라고 볼 수 있습니다.

그러면 궁금한것이 .js 파일 자체로 실행이 불가능하고 브라우저의 자바스크립트 엔진을 통해 해석이 되어야 하는데 어째서 .js 파일로 유포가 되고 있을까 하는 것 입니다. 일반적으로 자바스크립트를 브라우저가 아닌 일반 로컬 환경에서 더블 클릭하여 실행할 경우, 다른 연동 프로그램이 있지 않는 이상 실행이 되지 않는 것이 정상입니다. 

하지만 이번에 유포되고 있는 locky 랜섬웨어는 .js 확장자를 갖지만 내부적으로 wscript 라는 언어로 되어 있습니다.

간단히 테스트 하는 방식으로는 메모장을 열어서

WScript.Echo("Wscript example");

다음과 같이 적은 다음에 .js 확장자로 저장하고 더블클릭하시면 다음과 같이 정상적으로 코드가 실행됨을 알 수 있습니다.

따라서 지금 locky 가 유포하고 있는 .js 를 더블 클릭해서 실행 하면 악성 코드를 다운받아 실행하여 감염되는 상황입니다.

현재 굉장히 활발하게 활동하고 있는 악성 파일이기 때문에 다들 조심하셨으면 하는 마음으로 글을 적어 봅니다.