MBSDさんのMBR破壊型ワームランサムウェアの解析。

■今回の攻撃のおおまかな仕組みとマルウェアの挙動について
感染の方法については、サードパーティ製のアプリケーション「MeDoc」経由や、メールに添付されたファイル経由で感染する等、色々な情報が流れていますが、今のところ弊社では確証のある情報は確認できていません。
今回の攻撃の中核となるマルウェア本体のファイル形式はDLLとなります。
マルウェア本体となるDLLファイル（DLLマルウェア①とする）は名前のないエクスポート関数が用意されており、外部からエクスポート関数を関数名ではなく序数で呼び出されることを前提とした作りとなっています。
つまり、このマルウェアが動作するには、正規プロセスであるRundll32.exe等のDLLを呼び出すホストプロセスの存在が必須となります。
なお、名前がないエクスポート関数を持つという点については一般的なマルウェアとしてはあまり見かけない作りであり、解析を困難にさせる目的があると推測されます。
加えて、このDLLには有効でないMicrosoftのデジタル署名が付加されています。この点についてもデジタル署名が付与されているだけ（有効かどうかを確認しない）で安全とみなす製品、人の目を逃れるためと考えられます。

話題のMBR破壊型ワームランサムウェアの内部構造を紐解く | MBSD Blog