EA付きのペイロードが svchost.exe にコードインジェクションをしている疑惑を解明していく。
IDA Pro でインポートテーブルを見ると、CreateProcessW, WriteProcessMemory, VirtualAllocEX, CreateRemoteThread とプロセスインジェクションに必要な関数が使用されていることが分かる。プロセスインジェクションの理解は下記の記事が参考になる。
続きを読む
監視しているプロセスが分かったので、unpacked 検体を ProcessMonitor で確認する。
前回は Majuro.exe が実行されたところで止めていたが、少し泳がせてみると svchost.exe を 2 つ起動するようだ。
今回は Garapagos.exe だった。(以降、dropped 検体)
続きを読む
昨日(Panda Banker 解析 (1) - 解析メモ)の続き。
Access Violation が出るところが気になる。
赤枠の部分はわざと Exception を起こしているように見える。
xor edx, edx で edx を 0 にしているのに mov ax, [edx] で 参照できなくなった edx を参照しているのだから。
続きを読む
ここで紹介されている検体の解析。
多分 Zeros は Zeus の誤記。
SHA256 : 8db8f6266f6ad9546b2b5386a835baa0cbf5ea5f699f2eb6285ddf401b76ccb7
環境:VirtualBox 5.2.8
ゲスト : Windows 7 x64 Pro
続きを読む