Vista に感染するボット
Published: 2009/08/05
1年くらい前から Windows Vista を使ってハニーポットを設置し、ボットなど能動型に感染を拡大するマルウェアを調査していますが、あまり検体が収集できません。
たまーに検体が取れますが、ずっと同じパターン
感染経路は管理共有のクラック、検体数は 4,うち 2 つは mIRC ベースのボット、1つはmIRCのウィンドウを隠す(非表示にする)もので、残り1つは管理共有を無効化するもの
"Timestamp","SHA1Sum","Filename"
"2009-08-04 00:46:08","6b1c31c5ca84cf1be06207aa6f9c6d17faab6bae",
"C:\Windows\System32\iglmtray.exe"
"2009-08-04 00:46:08","215ed01f45d3d5a58e6c8510e70ecb3f65603c6d",
"C:\Windows\System32\iglxtray.exe"
"2009-08-04 00:46:08","24598190f0b896b6a39f64982bc5e2f686633f41",
"C:\Windows\System32\vidriv.exe"
"2009-08-04 00:46:08","57dc25508e486fa7ec863376a4fce3d224137927",
"C:\Windows\System32\printf_core.exe"
ちなみにハニーポットは、UAC, Windows ファイアウォール、Windows Defender は全て無効化してあります。同じタイプのマルウェアなら Windows 7 にも感染しそうな気がします。
by TTTT