저에 엄청 모자란 실력으로 분석을 나름대로 해볼려고 시도중입니다.^^;;
우선 공격대상사이트 주소를 알아내는데 성공하였습니다.(기초이지만;;)
저런식으로 쭉 나와 있더군요.
그리고 msiexec msiexec1 msiexec2 msiexec3 를 분석하여보았습니다.
Created: C:\WINDOWS\system32\uregvs.nls
Modifed: C:\WINDOWS\system32
Modifed: C:\WINDOWS\system32\uregvs.nls
Created: C:\DOCUME~1\J'sLab\LOCALS~1\Temp\vme.bat
msiexec1~2 에서 위처럼 행동하는것을 포착하였습니다.
msiexec3 에서도 여러 행동을 하는데 중요한것은
위에 공통점은 생성한 파일을 사용후 깨끗이 삭제한다는 점이었습니다.