Gumblar/8080系が使用する file.exe を実行してみた ≪ にわか鯖管の苦悩日記(情報元のブックマーク数)
さすが、kikuz0uさん!!!!どこが未熟じゃ!!!!
これ、セキュリティうどんか、愛媛情報セキュリティ勉強会で披露してもらいたい!!!いいよね?>d:id:port445:detail
まとめ
- FFFTP等のFTPクライアントソフトウェアに登録されているアカウント情報にアクセスしていることから、アカウント情報を搾取している可能性が高い
- WindowsのProtected Storageへのアクセスも確認されたので、これも情報搾取の対象っぽい
- 感染後、どこかのサーバと定期的にデータのやり取りしているため、新たな行動(別のMalwareの実行・データ搾取等)を起こされるかも!?
- 常駐プログラムがネットワーク上に流れるパスワード等の情報を盗聴している可能性が高い
- 別の検証結果も考慮すると、ほぼ間違いなし
- Malwareをデバッガを使用して動作を調査すれば、もっと詳細なことがわかるかも!?
- アンチデバッグ機能がある実行ファイルは、私の手には負えません・・・
大阪府で興信所比較@完璧な調査会社はココ【最新版】「私のような未熟者では、詳細な調査は無理っぽいw」