パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

マルウェア「Duqu」の侵入経路が明らかに」記事へのコメント

  • by fl (43569) on 2011年11月06日 14時39分 (#2045838) 日記

    解析されたサンプルでは次の順に感染を行う。
    1. Word文書からTrueTypeの脆弱性を突いてコード実行
    2. シェルコードがデバドラとインストーラのファイルを復元する
    3. デバドラ実行
    4. デバドラがservice.exeにインストーラを食わせる
    5. インストーラがDuquの本体を展開する
    6. Duqu本体実行

    0-dayが使われたのは1.で、今のところ有効な対処方法は見つかっていない。
    今まで見つかったケースは日本国外の組織がターゲットになっている。

    Symantec Official Blogの日本語版 [symantec.com]も出ているので、詳しくはそちらを参照。

    • by Anonymous Coward

      SymantecのPDF公開資料の方(w32_duqu_the_precursor_to_the_next_stuxnet.pdf)ですが、最初にレジス
      トリを調べてすでにやられた後なら何もしないそうですから、やられたふりをしておけば良いというレジストリ
      改変とか設定するパッチでどうなの?なんて思うんですけどね。

      looking for the registry value HKEY_LOCAL_MACHINE\
      SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\”CFID”. If the computer has already
      been compromsed, the shellcode gracefully exits.

      If the computer has not been infected, the shellcode decrypt

人生unstable -- あるハッカー

処理中...