感染行為の要約 (#2045838) | マルウェア「Duqu」の侵入経路が明らかに | スラド

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

「マルウェア「Duqu」の侵入経路が明らかに」記事へのコメント

記事ページを表示すべてのコメント取得

検索13コメント Log In/Create an Account

感染行為の要約 (スコア:5, 興味深い)

by fl (43569) on 2011年11月06日 14時39分 (#2045838) 日記

解析されたサンプルでは次の順に感染を行う。
1. Word文書からTrueTypeの脆弱性を突いてコード実行
2. シェルコードがデバドラとインストーラのファイルを復元する
3. デバドラ実行
4. デバドラがservice.exeにインストーラを食わせる
5. インストーラがDuquの本体を展開する
6. Duqu本体実行
0-dayが使われたのは1.で、今のところ有効な対処方法は見つかっていない。
今まで見つかったケースは日本国外の組織がターゲットになっている。
Symantec Official Blogの日本語版 [symantec.com]も出ているので、詳しくはそちらを参照。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  SymantecのPDF公開資料の方（w32_duqu_the_precursor_to_the_next_stuxnet.pdf）ですが、最初にレジス
  トリを調べてすでにやられた後なら何もしないそうですから、やられたふりをしておけば良いというレジストリ
  改変とか設定するパッチでどうなの？なんて思うんですけどね。
  looking for the registry value HKEY_LOCAL_MACHINE\
  SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\”CFID”. If the computer has already
  been compromsed, the shellcode gracefully exits.
  If the computer has not been infected, the shellcode decrypt

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家