遠隔操作ウイルスには「Tor」というソフトが使われていた! 警察「高度な知識を持つ者による犯行」
>>896
これでいいかな?
https://www.virustotal.com/file/467c9a15a6fc32675d5390e3144f1ee80873a7d798399233c7efa6d990980be7/analysis/1350083004/
>>898
大体合ってる
ドットネット云々を仮想PCに入れて起動してみた
最初のChikan.exe起動すると置換アプリが正常起動してdel.batも生成されるんだけど、バッチのほうは出来たままで、起動中もアプリ閉じても消えることがない
del.batを実行したら、Chikan.exeが消えた後に、「Chikan.exeが見つからない」というWindows側からの警告が出て、それを閉じるとdel.batも消える
(ちなみにChikan起動中にdel.bat実行したら当然無限ループでDos窓出たまま)
試験優先でサービス停止&IEやらなにやら消してるような非実用仮想環境にしたせいか、iesys.exeは起動しなかった
通常の環境ならdel.batが自動的に消えるのかもしれないな
犯人しか知り得ない情報だからAAA.exeと伏せて書いてたんだがChikan.exeで合ってる
ハッシュ書いたのがまずかったか
virustotalがハッシュで参照可能だと知らんかった
そのサイトにあるリンクからvirustotalの検出結果見たけど、cofee.exeってのがあるね
ソース見てるとcofeeってのが目についたんで、元はその名前だったのかもしれない
[assembly: AssemblyProduct("cofee")]
[assembly: AssemblyTitle("cofee")]
ってのはVC#がデフォで付ける名前ってわけじゃなくて、自分で書く部分だよね?
これでいいかな?
https://www.virustotal.com/file/467c9a15a6fc32675d5390e3144f1ee80873a7d798399233c7efa6d990980be7/analysis/1350083004/
>>898
大体合ってる
ドットネット云々を仮想PCに入れて起動してみた
最初のChikan.exe起動すると置換アプリが正常起動してdel.batも生成されるんだけど、バッチのほうは出来たままで、起動中もアプリ閉じても消えることがない
del.batを実行したら、Chikan.exeが消えた後に、「Chikan.exeが見つからない」というWindows側からの警告が出て、それを閉じるとdel.batも消える
(ちなみにChikan起動中にdel.bat実行したら当然無限ループでDos窓出たまま)
試験優先でサービス停止&IEやらなにやら消してるような非実用仮想環境にしたせいか、iesys.exeは起動しなかった
通常の環境ならdel.batが自動的に消えるのかもしれないな
犯人しか知り得ない情報だからAAA.exeと伏せて書いてたんだがChikan.exeで合ってる
ハッシュ書いたのがまずかったか
virustotalがハッシュで参照可能だと知らんかった
そのサイトにあるリンクからvirustotalの検出結果見たけど、cofee.exeってのがあるね
ソース見てるとcofeeってのが目についたんで、元はその名前だったのかもしれない
[assembly: AssemblyProduct("cofee")]
[assembly: AssemblyTitle("cofee")]
ってのはVC#がデフォで付ける名前ってわけじゃなくて、自分で書く部分だよね?
|
|
|