春だったと思います。
meteora-wiki.co.cc
nexon77.co.cc
nicotwitter.co.cc
このような使い捨てドメインで掲示板に爆撃されていました。
物(mxd.exe)が古かったので暇ができたら記事にしようと思って
そのまま忘れていました。
夏になってから新しいドメインが出ていました。
basaraheros.com (Google)
「戦国BASARA」のようなドメインですね。
2012.exe → svchsot.exe → safemon.dll (IE-BHO)
→ word.exe (バックドア)
svchost.exe ではなく svchsot.exe です
(アイコンが mxd.exe ですね)。
safemon.dll (IEのフォームからIDやパスワードを盗用します)
word.exe (こんな所に接続します)
Googleに買収された
VTまたSymantecとTrendmicroですか…。
→とりあえずドロッパは検出するようになりました。
