Shi0shishi0

汐鹿生

Dreambotの変化について(メモ書き)

ちょっと気になったことがあったのでメモ書きをば。

先日、MalwareBreakDownさんがRIG EKからDreambotがダウンロードされること観測したとブログに投稿していました。

malwarebreakdown.com

これまで、日本で多く観測されていたDreambot/Ursnifは、Cドライブ配下に「321.txt」というファイルが存在するかどうかを確認しており、存在する場合はVMWare等の仮想環境を検出するルーチンをスキップする作りになっていました。
自分が把握している限りだと、2016年とかからこの特徴は変化していなかったように思います。(違ってたらすみません…)

ところが、上のブログに記載されたDreambotはCドライブ配下に「p9DOBgnAuKLN3hp.txt」というファイルが存在するかを確認するようになっていました。

f:id:echoha610:20170715162546p:plain

気になって調べてみたところ、こちらの御二方が調査されていた、日本語のばらまきメールから最終的にダウンロードされていたというDreambotも「321.txt」ではなく「vxcJ7oL4Fm.txt」というファイルの存在をチェックして、仮想環境検出ルーチンを通るか通らないか判定していました。

検体はVirusTotalに投稿されています。

www.virustotal.com

パッカーもこれまでと変わっているように思えましたし、VirusTotalの検出率もあまり高くありません…
これまでよりもアンチウイルス製品等で検出しにくくなるよう手が加えられたのだと思いますし、より一層注意が必要かもです(・∀・)


(2017/08/05 再投稿)