NullMixer: 1 つのドロッパーに大量のトロイの木馬 from securelist.com
security summary
ユーザーが NullMixer を抽出して実行すると、侵入先のマシンに多数のマルウェア ファイルがドロップされます。
ハードコーディングされた静的 URL を使用して悪意のあるファイルをダウンロードする最も単純なダウンローダーとは対照的に、SmokeLoader はダウンロード タスクを受信して実行するために C&C と通信します。
ユーザーがバイナリをダウンロードして実行すると、実際にはマルウェアが実行されます。
C&C から URL のリストと、ダウンロードしたファイルをドロップして実行する方法の指示を受け取ります。
さらに、証明書の抽出にも使用される追加のモジュールがマルウェアの C&C からダウンロードされています。
セットアップ スクリプトは、URL ‘ http://onlinehueplet[.]com/771.exe ‘ からファイルをダウンロードして ‘ %TEMP% ‘ ディレクトリに ‘ dllhostwin.exe ‘ として配置し、文字列 ‘ で実行するようにプログラムされています。
コメント