前回の続き。まぁ、とりあえず、ネットワークには繋がずに例の「インフルエンザ病人の路線.pdf」を開いてみた。動作させるには、Acrobat Reader 8.0が必要のようだ。8.1.3でも7.1でも7.0.5でもだめ。全部のバージョンで調べたわけではないけど、8.0では少なくも動作する。

実行してみると、見た目にはこんな感じのファイルになるが、このとき実は細工された（バッファオーバーフローを起こす）「インフルエンザ病人の路線.pdf」は無害化される。「C:\Documents and Settings\ユーザ\Local Settings\Temp」にも同じファイルができるが、こちらももともとのファイルとはまったく別のファイルになってしまう。すごいね。役目が終了したら自分自身をクリーンにする。このPDFが怪しいと思って、たとえばCSIRTみたいの専門部署に検体を送付しようとしても、もう実行してしまったらそのPDFを送っても意味がないということだ。

実行前の「インフルエンザ病人の路線.pdf」（MD5：9137fec2f6a1b020cd877cebce8b8f67）
実行後の「インフルエンザ病人の路線.pdf」（MD5：4803792069d86d265feb45ba76308e0a）

また、実行後「C:\Documents and Settings\ユーザ\Local Settings\Temp」に「svchost.exe」ができたと思ったら、すぐに消滅し「C:\Wiondows\System32」に 「nseb.exe」 ができる。この「svchost.exe」 と 「nseb.exe」 のファイルの中身はまったく一緒だ。VIRUSTOTALにかけてみたところ。以下のような結果に。

さて、この「nseb.exe」が何をするかだが。中国サイトに接続するという話がある。このファイルを覗いてみたところ、暗号化はされていないように見える。確かにこのあたりの記述、怪しいね。

デバッグしてみようかな。