この.exeを持ってきたところ
syrianmalware.com
マルウェアなのでダウンロードするときは、十分注意をすること
一切責任は負いません
静的解析
ファイルのハッシュ値
md5sum
79cdf420419a08f791752c759f8e0613
sha256sum
b3a78d0b7dbe6f79a512cb9ab1701a1d5e95e1ab1644dfde0086103ee8babbdd
sha1sum
716646fd8c968f68fa274c333532e0886a3926ee
stellaを使って静的解析
└─$ ./stellaf01 b3a78d0b7dbe6f79a512cb9ab1701a1d5e95e1ab1644dfde0086103ee8babbdd.exe b3a78d0b7dbe6f79a512cb9ab1701a1d5e95e1ab1644dfde0086103ee8babbdd.exeの静的解析結果 -------------------------------オンラインデータベース HYBIRD ANALYSES https://www.hybrid-analysis.com/search?query=79cdf420419a08f791752c759f8e0613 VIRUS TOTAL https://www.virustotal.com/gui/search/79cdf420419a08f791752c759f8e0613 -------------------------------ハッシュ値 md5sum 79cdf420419a08f791752c759f8e0613 sha256sum b3a78d0b7dbe6f79a512cb9ab1701a1d5e95e1ab1644dfde0086103ee8babbdd sha1sum 716646fd8c968f68fa274c333532e0886a3926ee xxd 00000000: 4d5a 9000 0300 0000 0400 0000 ffff 0000 MZ.............. b3a78d0b7dbe6f79a512cb9ab1701a1d5e95e1ab1644dfde0086103ee8babbdd.exeは、実行ファイルです。 file b3a78d0b7dbe6f79a512cb9ab1701a1d5e95e1ab1644dfde0086103ee8babbdd.exe: PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows Windows7で動く32ビットの実行ファイルです。 -------------------------------GET関連 GetHashCode GetType get_GetInstance GetInstance GetObjectValue GetTypeFromHandle GetResourceString GetObject GetProcesses -------------------------------DOWNLOAD関連 DownloadFile -------------------------------SET関連 lSystem.Resources.ResourceReader, mscorlib, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089#System.Resources.RuntimeResourceSet lSystem.Resources.ResourceReader, mscorlib, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089#System.Resources.RuntimeResourceSet MySettings MySettingsProperty set_form1 set_Button2 set_Button1 set_PictureBox1 set_Label1 set_Button3 set_PictureBox2 set_PictureBox3 set_Button4 set_Label2 set_Culture ApplicationSettingsBase AutoSaveSettings get_Settings Settings set_Item set_Capacity SetCompatibleTextRenderingDefault set_IsSingleInstance set_EnableVisualStyles set_SaveMySettingsOnExit set_ShutdownStyle set_MainForm SetProjectError set_Location set_Name set_Size set_TabIndex set_Text set_UseVisualStyleBackColor set_Image set_SizeMode set_TabStop set_AutoSize set_ForeColor set_AutoScaleDimensions set_AutoScaleMode set_BackColor set_ClientSize set_Icon SettingsBase get_SaveMySettingsOnExit KMicrosoft.VisualStudio.Editors.SettingsDesigner.SettingsSingleFileGenerator My.Settings Property can only be set to Nothing -------------------------------Reg関連 -------------------------------START関連 Start Please restart your Skype -------------------------------File関連 DownloadFile AssemblyFileVersionAttribute KMicrosoft.VisualStudio.Editors.SettingsDesigner.SettingsSingleFileGenerator VarFileInfo StringFileInfo FileDescription FileVersion OriginalFilename -------------------------------RESOURCE関連 lSystem.Resources.ResourceReader, mscorlib, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089#System.Resources.RuntimeResourceSet <rdf:Description rdf:about="" xmlns:xmp="http://ns.adobe.com/xap/1.0/" xmlns:xmpMM="http://ns.adobe.com/xap/1.0/mm/" xmlns:stRef="http://ns.adobe.com/xap/1.0/sType/ResourceRef#" xmp:CreatorTool="Adobe Photoshop CS5 Windows" xmpMM:InstanceID="xmp.iid:831ED3170F8211E084D3E1455213F394" xmpMM:DocumentID="xmp.did:831ED3180F8211E084D3E1455213F394"> lSystem.Resources.ResourceReader, mscorlib, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089#System.Resources.RuntimeResourceSet Resources WindowsApplication1.My.Resources System.Resources ResourceManager resourceMan resourceCulture get_ResourceManager GetResourceString ComponentResourceManager NeutralResourcesLanguageAttribute WindowsApplication1.Resources.resources WindowsApplication1.form1.resources 3System.Resources.Tools.StronglyTypedResourceBuilder WindowsApplication1.Resources -------------------------------computer関連 MyComputer Computer get_Computer m_ComputerObjectProvider ServerComputer My.Computer -------------------------------local関連 -------------------------------device関連 Microsoft.VisualBasic.Devices -------------------------------exe関連 Skype Encription v 2.1.exe _CorExeMain http://216.6.0.28/SkypeEncription/Download/skype.exe \skype.exe Skype Encription v 2.1.exe Skype Encription v 2.1.exe Finished execution after 0.012073 seconds -------------------------------sleep関連 -------------------------------INTERNET関連 -------------------------------dll関連 mscoree.dll -------------------------------その他 -----------------------------------------------Blacklist検索結果 データをダウンロードし、システムに適用させる可能性があります。1/5 DownloadFile 外部と通信する可能性があります。1/5 DownloadFile 実行環境を読み取る可能性があります。1/9 get_Computer このマルウェアに関連するhttp :http://ns.adobe.com/xap/1.0/ <rdf:RDF xmlns:rdf="http://www.w3.org/1999/02/22-rdf-syntax-ns#"> <rdf:Description rdf:about="" xmlns:xmp="http://ns.adobe.com/xap/1.0/" xmlns:xmpMM="http://ns.adobe.com/xap/1.0/mm/" xmlns:stRef="http://ns.adobe.com/xap/1.0/sType/ResourceRef#" xmp:CreatorTool="Adobe Photoshop CS5 Windows" xmpMM:InstanceID="xmp.iid:831ED3170F8211E084D3E1455213F394" xmpMM:DocumentID="xmp.did:831ED3180F8211E084D3E1455213F394"> 4System.Web.Services.Protocols.SoapHttpClientProtocol http://216.6.0.28/SkypeEncription/Download/skype.exe http://skype-encription.sytes.net/
異なるマルウェアをダウンロードさせる「ダウンローダー」の可能性
コンピューター名を取得する
http://216.6.0.28/SkypeEncription/Download/skype.exeから、「skype.exe」(マルウェア)をダウンロードする
GUIを使用している
動的解析
GUIを使用していて、これのいずれかのボタンを押すと、「skype.exe」がダウンロードされる
また、stellaからも分かるように216.6.0.28にサーバーでhttp 通信でダウンロードしようとしている。
メモリフォレンジック
ダウンローダーなので、簡単なコードだけでかけるためCorExeMainだけがインポートされていた。
よって、このマルウェアは216.6.0.28からskype.exeをダウンロードする「ダウンローダ」だと言える