【ブログ】
◆Sykipot による攻撃の詳細 (Symantec, 2011/12/08)
https://www.symantec.com/connect/ja/blogs/sykipot
【インディケータ情報】
■ドメイン情報
◇通信先
www.prettylikeher.com
info.[不明]-server.com
info.easyfindjoy.com
moto.sourceinsightonline.com
help.nationaladvocator.com
www.greenrightway.com
www.goodfeedingauto.com
www.resview.net
www.mysundayparty.com
notes.topix21century.com
sports.hotgreenlight.com
(以上は Symantec の情報。 引用元は https://www.symantec.com/connect/ja/blogs/sykipot)
■C&C コマンド
コマンド | 機能 |
---|---|
cmd | CreateProcess を使ってコマンドを実行し、設定されているログファイルにその結果を記録する |
door | 以下に示す 5 つのサブコマンドをサポートするコマンド |
time | C&C へのクエリーに対する遅延タイマーを設定する |
getfile | ファイルをダウンロードする |
putfile | ファイルをアップロードする |
■doorのサブコマンド
doorのサブコマンド | 機能 |
---|---|
shell | 特に処理なし |
run | WinExec を利用してコマンドを実行する |
reboot | コンピュータを再起動する |
kill | プロセスを終了する |
process | 未実装 |