先日は手順を間違え、Handlesの確認から入った為にirykmmwwの検出方法に謎が発生してしまいました。DllListコマンドの結果またはRedLineのsectionsから irykmmww.d1l の存在を確認することが出来ました。

このファイルの拡張子は、数字の 1 が小文字で L の文字に似せて使われており、注意して見ていないと見落とす危険性がある部分でしょうか。既知パターンの拡張子以外を自動的にカラーで表示するなどの仕組みがあれば、そういったポカミスを避けることが出来るのではないかとも思います。

さて、PID 796 iexplore.exe でこの D1L ファイルを発見しましたが、この親プロセスである scvhost.exe のほうではどうなっているのでしょうか？、同じくRedLineでPID 884 svchost.exe の sections を確認してみます。

親プロセスである PID 884 でもこの不審なファイル  irykmmww.d1l の存在を確認することができました。

PID 884 の Handles でも irykmmww を確認してみましたが、RedLineでは確認することができません。念のため、Volatility の handles コマンドで確認してみましたが、こちらでも存在は確認できませんでした。

更に、PID 884の strings の内容で irykmmww 文字列の確認しておきたいと思います。

文字列の中身を確認してみますと、テンポラリフォルダ配下に irykmmww.log といったファイルが存在しているように見受けられますね。これはとても分かりやすい不審さではないでしょうか。