Adwindが持つ難読化された文字列の解読(2016-04-25) - JPCERT/CC Eyes2015年後半から2016年にかけて、Adwindと呼ばれる遠隔操作マルウエアを用いた攻撃が世界的に増えました[1]。JPCERT/CCにおいても、このマルウエアが添付されたメールを受信したとのインシデント報告を受けました。 Adwindは、Javaで作られたマルウエアであり、Windows以外のOS上でも動作します。任意のファイルをダウンロードし実行する機能や、感染したマシンの情報をC&Cサーバへ送信する機能を持つ他、プラグインによる機能拡張も可能です。 Adwindの特徴の一つは頻繁に繰り返されるバージョンアップです。わずか2週間の間隔で新しいバージョンが投入されたケースさえありました。Adwindが関連するインシデントの調査においては、使われたバージョンのAdwindの機能を正確に把握しておくことが重要です。 ところが、Adwind本体に内蔵されている約500個の文字列には巧妙な難読
