TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

Sykipot による攻撃の詳細

【ブログ】

◆Sykipot による攻撃の詳細 (Symantec, 2011/12/08)
https://www.symantec.com/connect/ja/blogs/sykipot


【インディケータ情報】

■ドメイン情報

◇通信先

www.prettylikeher.com
info.[不明]-server.com
info.easyfindjoy.com
moto.sourceinsightonline.com
help.nationaladvocator.com
www.greenrightway.com
www.goodfeedingauto.com
www.resview.net
www.mysundayparty.com
notes.topix21century.com
sports.hotgreenlight.com
(以上は Symantec の情報。 引用元は https://www.symantec.com/connect/ja/blogs/sykipot)

■C&C コマンド

コマンド 機能
cmd CreateProcess を使ってコマンドを実行し、設定されているログファイルにその結果を記録する
door 以下に示す 5 つのサブコマンドをサポートするコマンド
time C&C へのクエリーに対する遅延タイマーを設定する
getfile ファイルをダウンロードする
putfile ファイルをアップロードする

■doorのサブコマンド

doorのサブコマンド 機能
shell 特に処理なし
run WinExec を利用してコマンドを実行する
reboot コンピュータを再起動する
kill プロセスを終了する
process 未実装

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2020