RSS Feed  Twitter  
|
Articles - Malware

Binderを使って結合ファイルを作成する

  Binderを使ったファイルの結合は、単純に起動したファイルを選択してファイルのアイコンなどを変更するだけだ。しかし、アンチウイルスソフトによってはBinderで結合されたファイル自体が検出されてしまうものもある。このため、これを回避するためのテクニックなどもチュートリアルとして出回っており、いくつかの手順を踏むことで、ほとんどのアンチウイルスソフトでは検出されない偽装(結合)ファイルを作成することもできる。

また、Binderを使ったファイルの結合には、RATサーバ本体ではなくWebDownloderを結合することも少なくない。WebDownloderは、予め指定したURLからexeファイルをダウンロードして実行するトロイの木馬のことで、複数のexeファイルを指定することや、日付を指定して実行するなどのオプションが用意されているものもある。WebDownloderの通信にもファイヤーウォールバイパス機能が含まれるものが増えている。

ここでは、前述したアンチウイルスソフトで検出されないよう改変したRATサーバをBinderを使ってメモ帳に結合してテストしている。アイコンもメモ帳のまま作成しているため、見た目も「ただのメモ帳」に偽装しているわけだ。 この状態でウイルススキャンを行っても検出はされず、また実行するとメモ帳が起動するだけである。もちろん裏ではRATサーバのインストールが完了し、クラッカー側のRATクライアントへの接続を開始している。

■図10:WebDownloderを結合し、RATサーバをWebサイトからダウンロードさせる方法もある。ファイヤーウォールバイバス機能が備わっているものも増えている。

rat10

■図11:メモ帳を実行しても通常と同様に動作するが、同時にRATサーバも実行される。
rat11

 


リモートアドミンツールによる個人情報漏洩 4を読む 

 


|