緊急レポート：韓国サイバー攻撃マルウェア詳細解析結果│セキュリティ・リサーチのフォティーンフォティ技術研究所

次に「JO840112-CRAS8468-11150923-PCI8273V」という名前のファイルマッピングオブジェクトを作成し、自身を参照します。 「C:\WINDOWS\Temp\~v3.log」の有無を確認し、存在しない時にだけ処理を続けます。本検体は実行後に当該のファイルを作成することはありませんが、本検体のドロッパーなどの別の検体が作成する可能性があります。 その後、下記のようにWinExec経由でtaskkillコマンドを実行し、アンチウィルス製品のプロセスの動作を停止させます。ここで停止されるpasvc.exeおよびclisvc.exeは韓国製のセキュリティ製品のプロセスであり、本マルウェアが韓国を標的としたものであることが推測されます。 その後、MBR改竄スレッドを作成します。 MBR改竄スレッドの処理内容 MBR改竄スレッドでは感染したPCに搭載されているHDDのマス

[frecce]

怖いなぁ。

[kiyoshi_net]

読んでも「MBR改ざんして再起動させる」 しかわからなかったけど、結論はV3がショボイってことになるんでしょうか。