ハルコタン紀行

ウイルス

basaraheros.com 2012-07-09
meteora-wiki.co.cc
nexon77.co.cc
nicotwitter.co.cc
春だったと思います。
meteora-wiki.co.cc
nexon77.co.cc
nicotwitter.co.cc
このような使い捨てドメインで掲示板に爆撃されていました。
物(mxd.exe)が古かったので暇ができたら記事にしようと思って
そのまま忘れていました。

夏になってから新しいドメインが出ていました。
basaraheros.com (Google)
「戦国BASARA」のようなドメインですね。
2012.exe → svchsot.exe → safemon.dll (IE-BHO)
     → word.exe (バックドア)
svchost.exe ではなく svchsot.exe です
(アイコンが mxd.exe ですね)。

safemon.dll (IEのフォームからIDやパスワードを盗用します)

word.exe (こんな所に接続します)

Googleに買収されたVT
またSymantecとTrendmicroですか…。
→とりあえずドロッパは検出するようになりました。

テーマ:セキュリティ - ジャンル:コンピュータ

  1. 2012/09/13(木) 21:00:00|
  2. ウイルス
  3. | トラックバック:0
  4. | コメント:1
<<ぷそ2 | ホーム | ブラウザ>>

コメント

管理人のみ閲覧できます

このコメントは管理人のみ閲覧できます
  1. 2012/09/14(金) 12:22:04 |
  2. |
  3. #
  4. [ 編集 ]

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://ilion.blog47.fc2.com/tb.php/407-37bdd181
この記事にトラックバックする(FC2ブログユーザー)