• 捕まえたマルウェアのシグネチャ

94109e9b3f2b045350db9a5cb592b178

• VirSCAN.orgに聞いてみる

12/37でRbotやBackdoorと判定されている。Trend Microは白だと言っているが、Microsoftは黒だと言っている。

• 複数回ダウンロードされている

[2012-09-11T14:38:30] 114.51.165.14 -> xxx.yyy.186.149 tftp：//114.51.165.14:69/host.exe 94109e9b3f2b045350db9a5cb592b178
[2012-09-11T18:10:55] 49.238.10.235 -> xxx.yyy.186.149 tftp：//49.238.10.235/host.exe 94109e9b3f2b045350db9a5cb592b178
[2012-09-21T09:44:36] 49.252.152.26 -> xxx.yyy.186.149 tftp：//49.252.152.26/host.exe 94109e9b3f2b045350db9a5cb592b178
[2012-09-26T10:16:30] 114.51.49.218 -> xxx.yyy.186.149 tftp：//114.51.49.218:69/host.exe 94109e9b3f2b045350db9a5cb592b178
[2012-09-26T10:56:07] 114.51.49.218 -> xxx.yyy.186.149 tftp：//114.51.49.218:69/host.exe 94109e9b3f2b045350db9a5cb592b178
[2012-09-27T12:40:13] 49.238.3.116 -> xxx.yyy.186.149 tftp：//49.238.3.116/host.exe 94109e9b3f2b045350db9a5cb592b178
[2012-09-30T18:19:27] 49.133.30.102 -> xxx.yyy.186.149 tftp：//49.133.30.102/host.exe 94109e9b3f2b045350db9a5cb592b178

• 解析
  • Polycrypt PE　2.1.5 でパッキングされている

http://www.reversing.be/article.php?story=20050827013728401:tileを参考にアンパッキングする。OllyDebugで解析する時、Debuggerの存在を隠蔽するモジュールを利用しておかないと、プロセスを停止されてしまう。

• • IAT再構築

　　Import Recで再構築する。５つの関数については自動では参照されている関数が判定されず。

• • 内部処理

　　要確認。blah．swapixtreme．comとかimallowed2020とか書いてあるけど、処理としては何をしているのだろうか。