CCleaner と GB2312
Talosの記事には、マルウェアにより収集されたデータのスクリーンショットが掲載されています。
Cisco's Talos Intelligence Group Blog: CCleaner Command and Control Causes Concern より部分的に引用
In addition, the compromised machines would share a listing of installed programs.
一部の文字列は漢字のように見えますが、日本語としては読む事ができません。
上記には UpdateAdvisor という文字列があります、Googleで「UpdateAdvisor V3.60 L20」を検索すると富士通のサポートページがヒットします。
検索結果から日本語としては下記文字列が確認できます。カッコ内の文字列は「本体装置」となっています。
「UpdateAdvisor(本体装置)」
この文字列をCode Page 932 (ANSI/OEM Japanese; Japanese (Shift-JIS) でテキストファイルとして保存します。
次に、保存したテキストファイルをCode Page 936 ANSI/OEM Simplified Chinese (PRC, Singapore); Chinese Simplified (GB2312) を指定してテキストエディタで開きます。
記事のスクリーンショットと同じ字形が表示されます。元のデータはCode Page 932だったのでは?
UpdateAdvisor(杮懱憰抲)
他の文字コードを試してみます、Code Page 950 Big5 でファイルを開くと下記になりました。
UpdateAdvisor(?)
この場合、スクリーンショットと同じ結果になりませんでした。
その他の例として、「」という文字列は「言語工学研究所」ですね。
仮説:
- マルウェアが取得したアプリケーションリストの文字列はCodePage 932だった。
- 日本語版Windows環境でマルウェアは実行された。
- 何らかの理由で取得した文字列はGB2312として処理された。