松川さんによる、マルウエア解析現場からのレポート。*1本当に日々の苦労が目に浮かびます・・・

書かない書かないｗｗｗ普通の人は書かないｗｗｗｗｗｗｗｗｗｗ

これだけ見ても何が書いてあるのかアセンブリ言語を知らない人には全く理解できないと思いますが、このコードを読める人向けに少し補足すると[ESP+40]は変換アルゴリズムで使用する”xoky4?zps1d9qw6fmt2l/vjc.na&i=5eg7b0ru3h8″という文字列の先頭アドレスを指しています。そして、[ESP+15C]が指している暗号化前の文字列”m=ipz”をこのコードの処理に掛けると別の文字列に変換し、結果を[ESP+70]のアドレスから書き込んでいきます。さて、ここで”m=ipz”はどんな文字列に変換されるでしょう？、、、ってこの簡単な説明だけで変換後の文字列が想像できてしまう人はコード解析や暗号によほど詳しい人ですね。アセンブリが読める人は少ないと思うので、参考にCライクなコードもつけておきましょう。このアセンブリコードはC言語で書くとこんな感じになります。

マルウェア解析の現場から-02 | トレンドマイクロ セキュリティブログ

楽しい楽しい！楽しすぎ！！！てか、普通の人には厳しいかもＷＷＷＷでもこういう情報がほしいんですよ！日本語で！！！ありがとうございます！

さて、ここまでTROJ_GIBON.D/BKDR_GIBON.Dを例にマルウェアが使用する暗号化/復号手法をご紹介してきましたが、暗号化/復号のアルゴリズムを解析する面白みを感じていただけたでしょうか。ところで、先ほどのキーの文字列” Poshel-ka ti na hui drug aver”はどのような意味があるのか疑問を持った方もいらっしゃるかもしれません。実はこの文字列、過去の調査によればロシア語だそうです。知らない言語で書かれた言葉はそれだけで暗号のようですね。そしてこの言葉、英語では「Screw you my friend aver」という意味になるとか。この「aver」というのは、AntiVirusに携わっている人たち、そう、私のような解析エンジニアなどを指しているのですね。解析をしているとこんなメッセージを受け取ってしまうこともあります。彼らから見れば我々は彼らを丸裸にしてしまう敵ですからね・・・。それでは、また次回お会いしましょう！

マルウェア解析の現場から-02 | トレンドマイクロ セキュリティブログ