エフセキュアラボでは、自動化したサンプル分析を実行する、多数のシステムの設計、構築を行い、利用している。
そのオートメーションの一部が、さまざまなキーワードで怪しいコードをモニタする。何故キーワードでモニタするのか? マルウェアの作者には、コードに隠れメッセージをひそませるのが好きな者がいるからだ。
例えば、「Virus:W32/Divvi」は「Mikko cut ur ponytail」というストリングを含んでいる。明らかに我らがミッコ・ヒッポネンを指している。
多くのマルウェア作者も、「チャック・ノリス」といった語を使用し、自分達のコードにポップカルチャーへのリファレンスを含ませている。
我々はデビット・ハッセルホフをテーマにしたリモート管理ツール(RAT)に出くわしたことさえあった。
「Fraud-News.com」が先頃ハッキングされ、ミッコとBrian Krebsがクレジットカード詐欺で逮捕されたという、偽記事が掲載された。
当然、我々は到着するサンプルを「Krebs」というキーワードでモニタし始めた。
そして何かを発見するのに、それほど長い時間はかからなかった。
「Trojan-Downloader:W32/Agent.DTBM (SHA-1: 20dba9e7730094341f327194f67b43bd751dd9cf) 」は、以下のミューテックスを作成している:
DANCHODANCHEV_AND_BRIANKREBS_GOT_MARRIED
うーん、アナリストでZDNet.comブロガーのDancho Danchevを、我々のウォッチリストに追加した方が良さそうだ…
このトロイの木馬はイン・ザ・ワイルドだが、それほど行き渡ってはいない。エフセキュアのアンチウイルスは、シグネチャ検出を追加する前でも、挙動のヒューリスティックに基づいてこれをブロックする。
Threat Responseチームによるさらなる分析によれば、同トロイの木馬はfatgirlsloveme.com(whois)に接続しようとする。このサイト/サーバは、2日前にはオンラインではなかったが、プロキシは現在、アクティブであるようだ(ドイツでホスティングされている)。
我々は分析を継続する。
「油断のない集中した」オートメーションも。
そのオートメーションの一部が、さまざまなキーワードで怪しいコードをモニタする。何故キーワードでモニタするのか? マルウェアの作者には、コードに隠れメッセージをひそませるのが好きな者がいるからだ。
例えば、「Virus:W32/Divvi」は「Mikko cut ur ponytail」というストリングを含んでいる。明らかに我らがミッコ・ヒッポネンを指している。
多くのマルウェア作者も、「チャック・ノリス」といった語を使用し、自分達のコードにポップカルチャーへのリファレンスを含ませている。
我々はデビット・ハッセルホフをテーマにしたリモート管理ツール(RAT)に出くわしたことさえあった。
「Fraud-News.com」が先頃ハッキングされ、ミッコとBrian Krebsがクレジットカード詐欺で逮捕されたという、偽記事が掲載された。
当然、我々は到着するサンプルを「Krebs」というキーワードでモニタし始めた。
そして何かを発見するのに、それほど長い時間はかからなかった。
「Trojan-Downloader:W32/Agent.DTBM (SHA-1: 20dba9e7730094341f327194f67b43bd751dd9cf) 」は、以下のミューテックスを作成している:
DANCHODANCHEV_AND_BRIANKREBS_GOT_MARRIED
うーん、アナリストでZDNet.comブロガーのDancho Danchevを、我々のウォッチリストに追加した方が良さそうだ…
このトロイの木馬はイン・ザ・ワイルドだが、それほど行き渡ってはいない。エフセキュアのアンチウイルスは、シグネチャ検出を追加する前でも、挙動のヒューリスティックに基づいてこれをブロックする。
Threat Responseチームによるさらなる分析によれば、同トロイの木馬はfatgirlsloveme.com(whois)に接続しようとする。このサイト/サーバは、2日前にはオンラインではなかったが、プロキシは現在、アクティブであるようだ(ドイツでホスティングされている)。
我々は分析を継続する。
「油断のない集中した」オートメーションも。
