09/05/18 17:00:48 YbtH4SK+0
>>685
生成されるけど削除されるらしい
転載
え~、gnomeの人のおかげで挙動の予想がついてきたので、ちょっとexeの方を実行した時に
作成されるファイルを仮想PCで確保してみました。
ベンダーに提出するかどうかの判断は各自にお任せします。(一応、KasperskyとAVIRAには送ってあります。)
muvl.exe (元の名前 muvl.nug) - ランダム作成らしい。
MD5 : 3862b349b9b5c9283925e181ff9f5bf8
URLリンク(www.virustotal.com) (2/40)
sqlsodbc.chm - ただのダミーファイルです。(中身は無意味なテキストと空白)
MD5 : 34cd61d83853e511f0a28027f639a1c9
URLリンク(www.virustotal.com) (0/40)
muvl.exeは、中身に合わせて拡張子を変えてあります。(ベンダー提出時に捨てられないように)
gnomeの人の所の話では、一定時間毎に自己書き換えをして潜伏するそうなので、シグネチャで
対応できる可能性はかなり低そうですが、出さないよりはマシかもしれません。
sqlsodbc.chmの方はダミーファイルなので、マルウェアではありません。
感染すると、sqlsodbc.chmがこれに置き換えられるという意味で参考に添付してあります。
ファイルサイズは1,323バイトで、オリジナルファイルと置き換えられます。
あと、悪い話ですが、SymantecでもKasperskyでも、オンラインスキャンではコイツに感染していることがわかりません。
バッチリ感染した仮想PCをオンラインスキャンしてみたのですが、どちらも何も検出しませんでした。
このマルウェアは、感染時に元の実行ファイル(martuz.cnから落ちてくるxxxx.exe)の方を消去(証拠隠滅)
するようになっているので、一度感染すると、本体の自己書き換えもあるので、検出はほぼ不可能と思われます。