不揮発性データの分析 で検出したバイナリcmd.exe, nvuhgam32.exe, tnvztlp32.exeについて,その動作を解析する. 1.ウィルススキャン 手っ取り早くバイナリの正体を知るには,アンチウィルスベンダーが無償で提供するオンラインウィルススキャンを用いる.カスペルスキー社提供のファイルスキャナ によると,cmd.exeを除くnvuhgam32.exe, tnvztlp32.exeはマルウェアであることがわかった. この2つのバイナリは,Rbotとあるようにボットネットクライアントであり,下記文献によると,SDBotというボットネットの亜種であるようだ.スパイウェアとしての機能もあるらしい. (ところで,この本は仮想ハニーポットの手法を,ハイインタラクション型・ローインタラクション型に分類しながら解 説しており,特に9章の「Detecting Honeypots」
Winnyの通信を特定する方法には,「流れるパケットのパターン(トラフィック・パターン)を調べる方法」と,「パケットの中身を調べてWinnyのパケットであることを確認する方法」の2通りがある。前者は,直接中身のデータをのぞいているわけではないため,通信の秘密を守るという大前提があるプロバイダがWinnyを規制する際に使っている。しかし,Winnyの通信を確実に特定するなら,後者の方法がベストである。実際にWinnyの通信を解読できるのか,Winny作者の金子勇氏の著書『Winnyの技術』やインターネットで得られた情報などを参考に挑戦してみた。 Winny(ウイニー)同士の通信はすべて暗号化されている。このため,流れるパケットをのぞいても,内容がどんなものなのかだけでなく,Winnyの通信なのかどうかも,ひと目ではわからない。Winnyが採用している暗号アルゴリズムRC4は,Webアクセスや
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
