looking for the registry value HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\”CFID”. If the computer has already been compromsed, the shellcode gracefully exits.
If the computer has not been infected, the shellcode decrypts two executable files from within the Word docu- ment: a driver file and installer DLL. The shellcode then passes execution to the extracted driver file, which injects code into services.exe, as defined by the installer configuration file. The code then executes the installer DLL.
感染行為の要約 (スコア:5, 興味深い)
解析されたサンプルでは次の順に感染を行う。
1. Word文書からTrueTypeの脆弱性を突いてコード実行
2. シェルコードがデバドラとインストーラのファイルを復元する
3. デバドラ実行
4. デバドラがservice.exeにインストーラを食わせる
5. インストーラがDuquの本体を展開する
6. Duqu本体実行
0-dayが使われたのは1.で、今のところ有効な対処方法は見つかっていない。
今まで見つかったケースは日本国外の組織がターゲットになっている。
Symantec Official Blogの日本語版 [symantec.com]も出ているので、詳しくはそちらを参照。
Re:感染行為の要約 (スコア:0)
SymantecのPDF公開資料の方(w32_duqu_the_precursor_to_the_next_stuxnet.pdf)ですが、最初にレジス
トリを調べてすでにやられた後なら何もしないそうですから、やられたふりをしておけば良いというレジストリ
改変とか設定するパッチでどうなの?なんて思うんですけどね。
looking for the registry value HKEY_LOCAL_MACHINE\
SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\”CFID”. If the computer has already
been compromsed, the shellcode gracefully exits.
If the computer has not been infected, the shellcode decrypts two executable files from within the Word docu-
ment: a driver file and installer DLL. The shellcode then passes execution to the extracted driver file, which
injects code into services.exe, as defined by the installer configuration file. The code then executes the installer
DLL.