マルウェア解析の現場から-04 スクリプトボット | トレンドマイクロセキュリティブログ（ウイルス解析担当者による Trend Micro Security Blog）（情報元のブックマーク数）

松川さんのマルウエア解析Blogキタ━━━━(゜∀゜)━━━━ッ!!

JScriptで書かれたファイルらしい、

「このマルウェアは『bootstrap』というJScriptで書かれたファイルをダウンロードしているようだが、JScriptを利用して何をしているのか調べて欲しい。」
そんなお客様からの依頼を受け、このマルウェア「BKDR_GOOTKIT.A」の解析を開始しました。
「スクリプトと言えば、PDFに埋め込まれているものや Gumblar攻撃でダウンロードされてくる JavaScript をよく見るけど、実行ファイルがスクリプトをダウンロードするなんて見たことないなぁ」
そんなことを考えながら、受け取った検体ファイルをテスト環境で早速実行させようとしてみると、
「ん？　これDLLだ」
DLLファイルは実行ファイルですが、EXEファイルと違い単体で直接起動することはできません。EXEファイルなど別の実行ファイルから読み込まれて利用してもらう必要があります。ファイルの構造を Hiew（PEファイルエディタ）で確認すると、確かに PEヘッダの「Characteristics」に DLLファイルであることを示すビットが立っています（図１参照）。
マルウェア解析の現場から-04 スクリプトボット | トレンドマイクロセキュリティブログ

というか、うーん、わけわからん・・・

「DLLエントリポイントからすぐに不正なコードが書かれているんだな。こりゃDLLインジェクションにでも使われるのかな」
今回お客様から受け取ったのはこのファイルだけでどのような状況で入手したものなのかといった情報はありません。そのため、このファイルがどのように作られ、どのように利用されたかなどは定かではありません。しかしエントリポイントからのコードを実行させればダウンロードの処理を行いそうなので、ひとまずこのコードを実行させてみることにします。時間が経つとダウンロードできなくなってしまう恐れがあるので、早くしておかないと。実は Ollydbg（デバッガツール）で DLLファイルを開こうとすれば、自動的に “LOADDLL.EXE” という EXEファイルが実行されてそこから解析対象の DLLファイルをロードしてくれます。これなら DLLファイルのエントリポイントからのコードを簡単に実行できるので、早速実行。すると、先ほど見えた URL からスクリプトデータがダウンロードされてきました
マルウェア解析の現場から-04 スクリプトボット | トレンドマイクロセキュリティブログ