http://urlblacklist.com/?sec=download virusinfected、spyware、updatesitesがマルウェアの設置場所を含んでいる。 Shalla Secure Services KG selectrealsecurity.com - aguse.jp: ウェブ調査 URL Void ~Check if a Website is Malicious/Scam or Safe/Le…

Morto Windows RDPを利用するワーム「Morto」 | 日経 xTECH（クロステック）

Houdini http://www.fireeye.com/blog/uncategorized/2013/09/now-you-see-me-h-worm-by-houdini.html njw0rm Gh0st RAT 悪名高いRAT「Gh0st RAT」、台湾を狙う標的型攻撃で利用される | トレンドマイクロ セキュリティブログ njRAT/LV PoisonIVY 2005年にリ…

EvilGrab アジア圏で暗躍する標的型攻撃、新種のバックドア型不正プログラム「EvilGrab」を利用 | トレンドマイクロ セキュリティブログ

1 sector = 512 byte 1 cluster = 8 sector = 4096byte = 4Kbyte (disk size >= 2GB) : block size

NT Core Explorer Suite – NTCore PE Explorer PE Explorer: EXE File Editor, Resource Editor, DLL View Scan Tool, Disassembler. peframe https://code.google.com/p/peframe/

概要 参考 http://www.amazon.co.jp/Practical-Malware-Analysis-Dissecting-Malicious/dp/1593272901

Sandboxie cuckoo http://www.cuckoosandbox.org/download.html 自動レポート作成 マルウェア解析 マルウェアの種類 PDF Document Exe DLLインジェクションによるAPI hook ThreatAnalyzer(旧: GFI Sandbox、CWSandbox) （有料/無料) http://www.threattracks…

Anti-Virtualization Anti-debugging Anti-Sandbox RDP detection "The dropper dynamically loads Winscard.dll and calls the functionSCardForgetReaderGroupA(0, 0)," writes Fishman. "The malware proceeds as expected only if the return value is e…

EUREKA

ウェブサイト閲覧によるマルウェア感染 2008年 Beladen、NineBall、Gumblerは漏えいしたFTPアカウントを利用してサイトのコンテンツ改ざんを行う。 2014年1月8日 ポータルサイトYahoo.comを閲覧すると、公告用サーバに仕込まれたiframeタグによって攻撃用サ…

2013年8月25日 中国の「.cn」ドメインに大規模DoS攻撃、Webサイトの3分の1がダウン - ITmedia エンタープライズ 中国の「.cn」ドメインに大規模DoS攻撃、Webサイトの3分の1がダウン 2013年9月24日 http://japan.internet.com/webtech/20131002/4.html 年表 D…

CreateProcess => WriteProcessMemory Injectionの手順例 CreateProcessA (Suspend) NtUnmapViewOfSection VirtualAllocEx WriteProcessMemory 作成したプロセスのEntryPoint変更 GetThreadContext(スレッドハンドラ、コンテキスト格納場所のアドレス) [コン…