徹底したマルウェア分析は、現実の状況により、制限されることが多々ある。
我々が分析するトロイの木馬の多くは、さらなるインストラクションのため、リモートサーバに接続しようとする。我々はここまでで、そのソフトウェアが合法的なものではなく、カスタマのコンピュータでインストールされないよう、ブロックすべきだと分かる。それ以上、そのソフトウェアを調べる必要な無い(それにしばしば、サーバはオフラインだ)。しかし、そのトロイの木馬が、リモートマスタにアクセスするだけである場合、それは何をするのだろうか?
我々は孤立したネットワークでマルウェアをテストするため、オートメーションを使用している。通常、実際のインターネット接続でマルウェアのテストをすることは無い。世界のネット市民へのエクスポージャーを制限したいからだ。しかし時折、我々の興味をひくケースがあり、手動のテストを行うことがある。
たとえば先週の木曜日に記事にした、以下のミューテックスを作成するトロイの木馬などだ:
DANCHODANCHEV_AND_BRIANKREBS_GOT_MARRIED
我々が最初、このトロイの木馬に遭遇した際、そのサーバ「fatgirlsloveme.com」はオフラインで、2日後に始動した。
そこで我々はWindows 7テストコンピュータを設定して「Trojan-Downloader:W32/Agent.DTBM」に感染させ、インターネットに接続し、「Internet Explorer」を開いた。
Bingで検索すると、ポップアップウィンドウが開き、以下のWebサイトをプロモートした:
ロシアのセックスブライド?
アダルトサイトのポップアップ?
もう少し興味深いものを期待していたのに。あーあ…
同サイトはマーケティング活動の一部として、アフィリエイトを使用しているようには見うけられない。このトロイの木馬の作者が、サイトオーナーであるThunder Road社とどのような関係があるのかは不明だ。
同トロイの木馬はまだ広まっていないが、エフセキュアカスタマの統計では、それが現在インザワイルドでアクティブであることが分かっている。
我々が分析するトロイの木馬の多くは、さらなるインストラクションのため、リモートサーバに接続しようとする。我々はここまでで、そのソフトウェアが合法的なものではなく、カスタマのコンピュータでインストールされないよう、ブロックすべきだと分かる。それ以上、そのソフトウェアを調べる必要な無い(それにしばしば、サーバはオフラインだ)。しかし、そのトロイの木馬が、リモートマスタにアクセスするだけである場合、それは何をするのだろうか?
我々は孤立したネットワークでマルウェアをテストするため、オートメーションを使用している。通常、実際のインターネット接続でマルウェアのテストをすることは無い。世界のネット市民へのエクスポージャーを制限したいからだ。しかし時折、我々の興味をひくケースがあり、手動のテストを行うことがある。
たとえば先週の木曜日に記事にした、以下のミューテックスを作成するトロイの木馬などだ:
DANCHODANCHEV_AND_BRIANKREBS_GOT_MARRIED
我々が最初、このトロイの木馬に遭遇した際、そのサーバ「fatgirlsloveme.com」はオフラインで、2日後に始動した。
そこで我々はWindows 7テストコンピュータを設定して「Trojan-Downloader:W32/Agent.DTBM」に感染させ、インターネットに接続し、「Internet Explorer」を開いた。
Bingで検索すると、ポップアップウィンドウが開き、以下のWebサイトをプロモートした:
ロシアのセックスブライド?
アダルトサイトのポップアップ?
もう少し興味深いものを期待していたのに。あーあ…
同サイトはマーケティング活動の一部として、アフィリエイトを使用しているようには見うけられない。このトロイの木馬の作者が、サイトオーナーであるThunder Road社とどのような関係があるのかは不明だ。
同トロイの木馬はまだ広まっていないが、エフセキュアカスタマの統計では、それが現在インザワイルドでアクティブであることが分かっている。