日別アーカイブ: 2011/10/16

三菱重工サイバー攻撃 スパイウェア・ウイルスTSPY_DERUSBI.A(Derusbi) [メモ]

2011年10月

投稿者:


(1) ユーザーのログイン名、コンピュータのIPアドレス、Windowsのバージョン、Internet Explorerのプロクシサーバーの設定、導入されてるセキュリティソフト名、システムのデフォルトのメールアカウント/MSNメッセンジャー/Microsoft Outlookのユーザー名とパスワード、Internet Explorerのユーザー名とパスワードのオートコンプリートを収集。
(2) アクティブなウィンドウのキー入力情報をziptmp$1.tmp21ファイルに記録。

○ DNSリクエスト:

  • three.911223.com
  • three.812341.com
  • proxy.smw.mhi.co.jp ← 三菱重工 
  • kb.xxuz.com
  • ibm2.mail-signin.com
  • lingdnsx.freecapperor.com
  • mit.mailflyer.org
  • mit.housecaller.net

 関連するっぽいファイル群の情報をオンランスキャンサイトVirusTotalより。マイクロソフトがウイルス定義データによるシグネチャ検知(命名者はマイクロソフト?)、AviraとKasperskyがウイルススキャンエンジンによるヒューリスティック検知。(日付は最初のアップロード日)

http://www.virustotal.com/file-scan/report.html?id=8cf2d764a4ba4292ed582b22e4660f2523ed87fc305d2d4f2a664f71c6929a52-1313026931 (8月11日)
http://www.virustotal.com/file-scan/report.html?id=756b534e23b76ac603b096177ee59f664a2ba0d092bb0e418ea06603946301bb-1313026948 (8月11日)
http://www.virustotal.com/file-scan/report.html?id=2aac067374daf2ece45f6486866db1e2fc1454b34e3b26134a0f681dd31d8a91-1313668638 (8月18日)
http://www.virustotal.com/file-scan/report.html?id=705404d6bbf6dae254e2d3bc44eca239976be7f0dc4d49fe93b0fb1d1c2704fe-1314630371 (8月19日)
http://www.virustotal.com/file-scan/report.html?id=6fecd042c3c0b54e7354cd8dfb1975c626acd8df55f88c4149462e15e77918b0-1314630371 (8月19日)
http://www.virustotal.com/file-scan/report.html?id=fb43d154a1ff7345ad26865ea0d5f3869085a7162e18cce2a65526e4da3edacc-1315702739 (8月31日)
http://www.virustotal.com/file-scan/report.html?id=ff2f3cbf0b0aa3a0dee46886791591fc942973b9a61e229bfa384486711ee4f2-1317640752 (9月11日)
http://www.virustotal.com/file-scan/report.html?id=29611ec0b64f488c6d8d32617e2c1579b118e3e1ee9d34ce58125e131300d9b7-1316362999 (9月11日)
http://www.virustotal.com/file-scan/report.html?id=99f4723da72e324574a7d9f0070b35ea6071e1aea06ec21491eacdc5af0c71b2-1315752375 (9月11日)

カテゴリー: 未分類

コメントする