@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

CCleaner と GB2312

Talosの記事には、マルウェアにより収集されたデータのスクリーンショットが掲載されています。

Cisco's Talos Intelligence Group Blog: CCleaner Command and Control Causes Concern より部分的に引用

In addition, the compromised machines would share a listing of installed programs.

f:id:hideakii:20171008100701p:plain

一部の文字列は漢字のように見えますが、日本語としては読む事ができません。

 上記には UpdateAdvisor という文字列があります、Googleで「UpdateAdvisor V3.60 L20」を検索すると富士通のサポートページがヒットします。

検索結果から日本語としては下記文字列が確認できます。カッコ内の文字列は「本体装置」となっています。

「UpdateAdvisor(本体装置)」

f:id:hideakii:20171008104042p:plain

この文字列をCode Page 932 (ANSI/OEM Japanese; Japanese (Shift-JIS) でテキストファイルとして保存します。

 次に、保存したテキストファイルをCode Page 936 ANSI/OEM Simplified Chinese (PRC, Singapore); Chinese Simplified (GB2312) を指定してテキストエディタで開きます。

記事のスクリーンショットと同じ字形が表示されます。元のデータはCode Page 932だったのでは?

UpdateAdvisor(杮懱憰抲)

f:id:hideakii:20171008104125p:plain

他の文字コードを試してみます、Code Page 950 Big5 でファイルを開くと下記になりました。

UpdateAdvisor(?)

この場合、スクリーンショットと同じ結果になりませんでした。

その他の例として、「f:id:hideakii:20171008104420p:plain」という文字列は「言語工学研究所」ですね。

 

仮説:

  1. マルウェアが取得したアプリケーションリストの文字列はCodePage 932だった。
  2. 日本語版Windows環境でマルウェアは実行された。
  3. 何らかの理由で取得した文字列はGB2312として処理された。

 

f:id:hideakii:20171008104603j:plain