looking for the registry value HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\”CFID”. If the computer has already been compromsed, the shellcode gracefully exits.
If the computer has not been infected, the shellcode decrypt
感染行為の要約 (スコア:5, 興味深い)
解析されたサンプルでは次の順に感染を行う。
1. Word文書からTrueTypeの脆弱性を突いてコード実行
2. シェルコードがデバドラとインストーラのファイルを復元する
3. デバドラ実行
4. デバドラがservice.exeにインストーラを食わせる
5. インストーラがDuquの本体を展開する
6. Duqu本体実行
0-dayが使われたのは1.で、今のところ有効な対処方法は見つかっていない。
今まで見つかったケースは日本国外の組織がターゲットになっている。
Symantec Official Blogの日本語版 [symantec.com]も出ているので、詳しくはそちらを参照。
Re: (スコア:0)
SymantecのPDF公開資料の方(w32_duqu_the_precursor_to_the_next_stuxnet.pdf)ですが、最初にレジス
トリを調べてすでにやられた後なら何もしないそうですから、やられたふりをしておけば良いというレジストリ
改変とか設定するパッチでどうなの?なんて思うんですけどね。
looking for the registry value HKEY_LOCAL_MACHINE\
SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\”CFID”. If the computer has already
been compromsed, the shellcode gracefully exits.
If the computer has not been infected, the shellcode decrypt