・検体
132482335f028ceb6094d9c29442faf900d838fb054eebbbf39208bb39ccf5ae
わからなかったこと
https://www.cybereason.co.jp/blog/malware/7109/
ここを参考にdnspyをつかったけど、.NETアセンブリrepresentativeがdnpsyで
どう確認したらよいかわからなかった。。。
確認できたこと
・PeStudio
→主だった不審な特徴なし
・Procdot
- ファイルドロップ
- 同じファイルを再度起動してそう
・Noriben
- ファイルのドロップ
[CreateFile] 132482335f028ceb6094d9c29442faf900d838fb054eebbbf39208bb39ccf5ae.exe:4408 > %AppData%\vxhnIvyvbHAK.exe [SHA256: 132482335f028ceb6094d9c29442faf900d838fb054eebbbf39208bb39ccf5ae]
[CreateFile] 132482335f028ceb6094d9c29442faf900d838fb054eebbbf39208bb39ccf5ae.exe:4408 > %AppData%\vxhnIvyvbHAK.exe [SHA256: 132482335f028ceb6094d9c29442faf900d838fb054eebbbf39208bb39ccf5ae]
[CreateFile] 132482335f028ceb6094d9c29442faf900d838fb054eebbbf39208bb39ccf5ae.exe:4408 > %AppData%\vxhnIvyvbHAK.exe [SHA256: 132482335f028ceb6094d9c29442faf900d838fb054eebbbf39208bb39ccf5ae]
[CreateFile] 132482335f028ceb6094d9c29442faf900d838fb054eebbbf39208bb39ccf5ae.exe:4408 > %LocalAppData%\Temp\tmpF14A.tmp [File no longer exists][CreateFile]
132482335f028ceb6094d9c29442faf900d838fb054eebbbf39208bb39ccf5ae.exe:4408 > %LocalAppData%\Microsoft\CLR_v4.0_32\UsageLogs\132482335f028ceb6094d9c29442faf900d838fb054eebbbf39208bb39ccf5ae.exe.log [SHA256: 6d10cee7b832759ddee742a5fa7418bd5205a6b92ae3cace33952621229098cc] - タスクスケジューラの登録
[CreateProcess] 132482335f028ceb6094d9c29442faf900d838fb054eebbbf39208bb39ccf5ae.exe:4408 > "%WinDir%\System32\schtasks.exe /Create /TN Updates\vxhnIvyvbHAK /XML %LocalAppData%\Temp\tmpF14A.tmp" [Child PID: 2096]