https://www.fireeye.com/blog/threat-research/2015/07/second_adobe_flashz.html
최종 실행되는 악성 코드는 Rdws.exe로 최근 국내에서 확인된 Rdws.exe와 이름이 동일하다. 따라서 1차적으로 Gh0st Bot으로 판단했으나 실제로 Gh0st Bot은 아니며, FE에서 분석/확인한 바로는 SOGU Variant를 가진 중국 발 악성 코드로 (Kaba로 알려졌다고 하네요) 확인되는 바, 이를 탐지할 수 있는 방안이 필요하다.
현재까지는 opmuert.org:443 을 이용하여 C&C HTTP 통신을 하는 것으로 파악되며, 특정 URI 값을 요청한다. 해당 값이 변경됨에 따라 요청 시마다 랜덤 혹은 특정 계산 값에 의해 발생하는 것으로 추정된다.