IoC (TT Malware Log)

Malware の IoC(Indicator)情報

◆注意◆ マルウェア解析専析家向けサイト

     FQDN, URL,IPアドレス等はそのまま掲載しています


** Caution ** Malware expert site

                    FQDN, URL, IP address etc. are posted as they are

Sykipot

Malware: Sykipot IoC: FQDN C&Cコマンド

【インディケータ情報】

■ドメイン情報 - 通信先 -

www.prettylikeher.com
info.[不明]-server.com
info.easyfindjoy.com
moto.sourceinsightonline.com
help.nationaladvocator.com
www.greenrightway.com
www.goodfeedingauto.com
www.resview.net
www.mysundayparty.com
notes.topix21century.com
sports.hotgreenlight.com

(以上は Symantec の情報。 引用元は https://www.symantec.com/connect/ja/blogs/sykipot)


■C&C コマンド

コマンド 機能
cmd CreateProcess を使ってコマンドを実行し、設定されているログファイルにその結果を記録する
door 以下に示す 5 つのサブコマンドをサポートするコマンド
time C&C へのクエリーに対する遅延タイマーを設定する
getfile ファイルをダウンロードする
putfile ファイルをアップロードする


■doorのサブコマンド

doorのサブコマンド 機能
shell 特に処理なし
run WinExec を利用してコマンドを実行する
reboot コンピュータを再起動する
kill プロセスを終了する
process 未実装


【ブログ】

◆Sykipot による攻撃の詳細 (Symantec, 2011/12/08)
https://www.symantec.com/connect/ja/blogs/sykipot
https://malware-log.hatenablog.com/entry/2011/12/08/000000