Win32 Delfの亜種の解析「Analysis of a Win32.Delf Variant」より April 3,2008 posted by Joren McReynolds, Security Researcher GoogleのSMTPサーバーを参照したり,同サーバーと通信したりするマルウエアのサンプルはかなりの数にのぼっている。当記事では,これらのサンプルの一つを詳しく分析し,その過程でリバース・エンジニアリングと情報収集の方法をいくつか解説しよう。同時に,このウイルスの特徴と影響について説明したい。記事を最後まで読めば,マルウエアがSMTPを参照する理由が明らかとなり,さらに掲載したスクリーンショットからその目的が分かるだろう。 静的分析 まず,今回の実行可能ファイルが圧縮されているのか,あるいは保護されているのかを確認した。実行可能ファイルを解析ツール「PEiD」に読み込んだところ,「Borland
