標的型攻撃で使われるマルウェアAsruex、ショートカットファイルから感染 | マイナビニュース

ショートカットファイルが添付されて来る形のマルウェア攻撃。
標的型攻撃で使われるマルウェアAsruex、ショートカットファイルから感染 | マイナビニュース


2015年10月頃から不正なショートカットファイルが添付されたメールが、宛先の組織を絞り込んで送信されていることを確認しているという。
ショートカットファイルを開くと、指定のwebページからファイルがダウンロードされ、バッチファイルとして保存、実行される。バッチファイルにはコマンドが含まれており、次にWindows実行ファイル(ダウンローダ)とダミー表示用文書が外部からダウンロードされる。
上記のダウンローダが実行されると、JPG/GIF画像をダウンロードする。画像ファイルには、XORでエンコードされたAsruexが仕込まれており、ダウンローダはデータをデコードしてAsruexを実行する。
Asruexは、特定のサイトとHTTPで通信し、C&Cサーバ(感染PCの制御や命令発信を担うサーバ)から受信した命令を実行。感染端末の情報収集や、プロセスやファイル、フォルダの一覧取得、アンインストールといったコマンドを受信し、実行する可能性がある。中にはAsruexの拡張用プラグインAdvProv.dllをダウンロードし、ファイルのコピーやレジストリエントリの確認、作成削除といったより高度な機能を持つこともある。

コメントを残す

メールアドレスが公開されることはありません。