脅威のスポットライト: 日本、アメリカ、カナダを標的にしたPanda Bankerの攻撃

By Masaki Kasuya

背景

Panda Banker はZeusのソースコードをベースにして作られたバンギング型のトロイの木馬です。2016年 [1] にその存在が明るみになってから現在に至るまで、アップデートを重ねて今なお猛威を奮っているマルウェアの一つです。

Panda Banker は被害者のブラウザ上に表示されている標的となるウェブページに対して悪意あるスクリプトコードを挿入して、銀行の口座情報、クレジットカードの情報及びそれらに付随する個人情報などを盗みます。

最近では、Panda BankerはEmotet [2, 3, 4]と呼ばれるマルウェアを介して感染することが知られています。Panda Banker は悪意ある振る舞いを容易に明かさないように暗号化や難読化を多用します。C2サーバとのやり取りでは二重三重の暗号化を施し、情報搾取のためのスクリプトは難読化により一見しただけではその動作の全容を把握するのは困難です。

今回の調査では、Panda Banker はアメリカ、カナダ、日本のユーザを対象に銀行、クレジットカード、ウェブウォレットに関する情報を主に狙っていることが明らかになりました。本記事ではPanda Bankerの技術的な詳細を解説します。

技術的解説

概要

Panda Banker は図1に示すような段階を踏んで被害者の銀行やクレジットカード情報を盗みます。はじめにPanda Bankerは感染したコンピュータがサンドボックス環境でないことを確認します。次に、拡張ファイル属性を付与したPanda Bankerのコピーを作成します。その後、自身を終了する前にコピーしたファイルを実行します。新たに実行したPanda Bankerは2つのsvchost.exeを起動して、それらに自身を挿入することで悪意ある動作を継続します。

Panda Banker はペイロードに埋め込まれている設定ファイルからC2サーバの URLを取得します。C2 サーバへのアクセスが成功すると、Panda Banker は標的となるウェブサイトをリストアップした設定ファイルやプラグインを取得します。

被害者のコンピュータでブラウザが起動していることを確認すると、プラグインを挿入して対象のウェブサイトにアクセスした際に悪意あるスクリプトを挿入することが可能となります。その結果、悪意あるスクリプトによりPanda Banker は口座情報やクレジットカード番号などのデータを盗むことが可能となります。

図 1: Panda Banker の攻撃サイクル

解析回避

Panda Banker は表1で示す情報を用いて自身がマルウェア解析環境にいるかどうかを確認します。例えばデバッガやパケットキャプチャ、ディスアセンブラ、その他マルウェア解析に有用なツール群を調べます。Panda Bankerはマルウェア解析環境を検知すると、自身の実行を終了して、その実行ファイルを消去することにより、痕跡を消し去ります。

表 1: 解析回避のためにPanda Banker が確認するツールや文字列の一覧

  Action

  Target

  Open File

  C:\\popupkiller.exe

  C:\\stimulator.exe

  C:\\TOOLS\\execute.exe

  \\\\.\\NPF_NdisWanIp

  \\\\.\\REGVXG

  \\\\.\\FILEVXG

  \\\\.\\REGSYS

  \\\\.\\FILEM

  \\\\.\\TRW

  Load Library

  SbieDLL.dll

  Create Mutex

  Sandboxie_SingleInstanceMutex_Control

  Frz_State

  Find Process Name      

  Wireshark

  Immunity

  Processhacker

  Procexp

  Procmon

  Idaq

  regshot

  aut2exe

  perl

  python

  Open Registry

  HKCU\\Software\\WINE

  HKLM\\Software\\WINE

  Call GetProcAddress

  wine_get_unix_file_name


Panda Banker はマルウェア解析環境が存在しないことを確認すると、新たに4つのファイルを作成します。そのうちの一つは拡張ファイル属性を付与したPanda Bankerの実行ファイルとなります。図2ではblocklist.exeがそれにあたります。

図 2: Panda Banker によって作成されたファイルの一覧

Panda Banker はNtseteafiles APIを利用して自身をコピーしたファイルに拡張ファイル属性を付与します。この例では EaName が 図3で示すようにBEAR となります。コピーしたファイルを実行し、拡張ファイル属性のデータを確認した後に2つのsvchost.exeを起動し、自身をそれらに挿入することにより、悪意ある動作を継続します。

図 3: Panda Banker により付与された拡張ファイル属性の名前

ペイロードに埋め込まれた設定データ

Panda Banker のペイロードにはC2サーバのURLとRSA暗号鍵が設定データとして埋め込まれています。これらのデータはAESで暗号化されています。図4は暗号化されたデータを含む設定データのフォーマットとなります。

図 4: Panda Banker に埋め込まれている設定データの構造

復号に成功すると、RC4で暗号化されたURLとX.509 subjectPublicKeyInfo DER SEQUENCE形式でフォーマットされたRSA公開鍵が現れます (図5と図6)。

RC4で暗号化されたURLはここで取得できるRSA公開鍵を使って復号できます。この例では、66 c7 5b 69 f4 5a 4e 12 のバイナリ列は https://と復号されます。

図 5: RC4 によって暗号化されたC2サーバのURL

図 6: RSA 公開鍵

URL 生成アルゴリズム

Panda Banker はC2サーバにアクセスするたびにURLを生成します。図7はその一例です。一見するとランダムな文字列に見えますが、従うべきアルゴリズムが存在します。


図 7: 生成される URL の例

下記がURL生成アルゴリズムです。Panda Banker は乱数を取得するためにメルセンヌ・ツイスタと呼ばれる乱数生成機を用います。ステップ1から5までは1st part 、6から10までは2nd partのために利用されます。

        1.      1st part の長さを下記の式から決定します。結果は2から10までの値となります。 mod(A random value from Mersenne Twister, 9) + 2
        2.      下記の式からstep 3で用いるインデックス値を決定します。値は0から61までの値となります。 mod(A random value from Mersenne Twister, 62)
        3.      事前に定義されている文字列から一文字を取得します。どの文字を取得するかは Step 2の結果に依存します。
                a.      事前に定義されている文字列 
                qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM1234567890
                インデックス値が1の場合、’w’ が選択されます
        4.      Part 3 で取得した文字を 1st part として追加します。
        5.      2から4までのステップをステップ1で決定した値の数だけ繰り返します。
        6.      下記の4つの値を取得します。
                a.      GetComputerNameW APIからコンピュータ名を取得する 
                b.      HKLM\software\microsoft\windows nt\currentversionからInstallDateを取得する
                c.      HKLM\software\microsoft\windows nt\currentversion からDigitalProductId を取得して、そのCRC値を計算する
                d.      GetVersionEx API からOSVERSIONINFOEX の値を取得し、そのCRC値を計算する
        7.      Step 6で取得した値を連結して、そのSHA256値を取得する
        8.      Step 7 で取得した値の先頭16バイトを取得する
        9.      下記の擬似コードに基づいてStep 4とStep 8 で取得した値の排他的論理和を計算する
            resultlist = []
            for i in range(0, 16):
                xoredvalue = the_begining_of_16bytes_from_result_of_8[i] ^ 1st_part[i % len(1st_part)]
                resultlist.append(xoredvalue)
        10.       resultlist  内の各文字をbase64でエンコードします。'+'、'/'、及び '=' の場合は下記に従って別の値に変換します。その後、式 d により得られた結果が20未満の場合は ’/’ を追加します。
                a.      '+' -> '-' (ハイフン)
                b.      '/' -> '_' (アンダーバー)
                c.      '=' -> '' (なし)
                d.      mod(A random value from Mersenne Twister, 100)
        11.      Concatenate C2ドメイン, 1st part, and 2nd partを連結します
                 C2 domain/1st part/2nd part

 

C2 サーバとの通信

リクエスト

図8はPanda BankerのPOSTリクエストで送信されるデータです。これらはAES-256 CBCモードで32バイトの鍵と16バイトのIVを利用して暗号化されます。Panda Bankerはsvchost.exeに自身を挿入するため “process” はsvchost.exeとなります。初めてC2サーバにアクセスする際に "name" の部分は埋め込まれている設定データから決定されます。この値を適宜変更することによりweb injection のための設定データやプラグインファイルを取得することが可能となります。

図 8: プレーンPOSTパラメータの例

POST リクエスト毎にPanda Banker は32バイトの鍵と16バイトのIVを作成します。POSTパラメータをAESで暗号化した後、生成されたAES鍵は図6のRSA公開鍵によって暗号化されます。RSAによって暗号化されたAES鍵、IV、AESによって暗号化されたPOSTパラメータは図9に示すように結合されます。またURL生成アルゴリズムで作成された 1st part2nd part 及び結合されたデータのSHA256値を図9のように先頭32バイトに配置します。最終的に図9のデータはbase64によりエンコードされます。

図 9: POST ボディのバイナリデータのフォーマット

C2サーバからのレスポンス

Panda BankerのC2サーバから受信するレスポンスデータは複数回にわたり暗号化されたデータを復号する必要があります。詳細な復号のステップは下記の通りです。

第一層

まず受信したデータをbase64でデコードします。デコードしたデータのフォーマットは図10のとおりです。先頭のSHA256値はデータの完全性の確認に利用します。AESにより暗号化されたデータを復号するための鍵はC2サーバにリクエストを送信する際に利用した鍵を使います。

図 10: C2 サーバからのレスポンスデータのフォーマット

復号が完了すると、図11で示すJSON データが出現します。

図 11: 復号した第一層

第二層

図11の "data" 値をbase64でデコードすると図4に示す形式のバイナリデータが現れます。このAESで暗号化されたデータを復号すると図12 のように先ほどとは異なるJSONデータが確認できます。

図 12: 復号した第二層

Base64でデコードした "sign" 値は完全性を検証するために利用します。Panda Banker は設定データにRSA公開鍵を含むため、それを利用してデコードした "data" 値からsign値を計算できます。もし両者の値が一致しない場合は、そのデータは利用されません。

この "data" 値は同様にbase64でエンコードされており、格納されているデータは次の2パターンです。

  • C2 サーバから取得できる設定データもしくはweb injection 用のデータ
  • PE32 (or PE32++) 実行ファイル

1の場合、base64でデコードしたデータは図4で示すバイナリデータとなります。同様にAESで暗号化されたデータを復号すると設定データもしくはweb injection データを取得できます。2の場合、base64でデコードしたデータはそのままPEフォーマットのdynamic link library となります。

C2 サーバから取得できる設定データ

図13はC2サーバから取得できる実際の設定データです。このデータにはプラグインを取得するための複数の URL が含まれています。下記はその一覧です。

  • url_plugin_webinject32
  • url_plugin_webinject64
  • url_plugin_vnc32
  • url_plugin_vnc64
  • url_plugin_backsocks
  • url_plugin_grabber
  • url_plugin_keylogger
  •  

    また、感染したコンピュータの現在の状態を管理していると思われるデータも確認できます。例えば、VNC injection の有無 (inject_vnc)、Panda Banker が取得したデータの有無 (grab_pass, grab_cookieなど)、監視対象のプロセス名name (keylog_process and screen_process) が確認できます。この例ではPanda Banker はputty.exeを監視しています。

    図 13: C2サーバから取得できる設定データ

    Web Injection の方法

    Panda Banker はAPI フックを用いてブラウザの通信を傍受します。被害者のコンピュータが対象となるウェブサイトにアクセスした際には悪意あるスクリプトがブラウザで表示しているウェブページに挿入されます。またContent Security Policy headerを消去してブラウザのセキュリティレベルを下げます。

    url_plugin_webinject32 のプラグインはweb injection のために利用されます。解析結果から、このプラグインは iexplore.exemicrosoftedge.exemicrosoftedgecp.exefirefox.exechrome.exe及びopera.exeで使われるいくつかの API をフックします。対象のウェブページにアクセスした際に、プラグインは対象ごとにカスタマイズしたスクリプトを被害者のブラウザで表示しているウェブページに挿入します。

    APIのフックリストは下記のとおりです。

    Internet Explorer やMS Edgeに影響するフック対象のAPI

    • HttpSendRequestsW
    • HttpSendRequestsA
    • HttpSendRequestsExW
    • HttpSendRequestsExA
    • InternetReadFile
    • InternetReadFileExA
    • InternetReadFileExW
    • InternetQueryDataAvailable
    • InternetCloseHandle
    • HttpOpenRequestsA
    • HttpOpenRequestsW
    • HttpQueryInfoA
    • InternetConnectA
    • InternetConnectW
    • InternetWriteFile

    Firefox に影響するAPIフック

    • PR_Close
    • PR_Read
    • PR_Write
    • PR_Poll

    Google Chrome / Opera に影響する API フック

    • closesocket
    • WSASend
    • WSARecv
    • recv

    Web Injection のターゲット

    調査の結果、url_webinjects から取得できるデータには、主に銀行やクレジットカード会社のURLと追加のスクリプトをダウンロードするためのURLが記載されていました。図14はその一例です。この例では、スクリプトは <head> タグの直後に挿入されます。また、標的ごとにカスタマイズしたスクリプトをダウンロードするためのURLも記載されています。スクリプトは、動作の全容把握を困難にするために難読化が施されています。

    図 14: ある金融機関のウェブページに訪れた際に挿入されるスクリプト

    カスタマイズされたスクリプトの難読化を解除したところ、情報を盗むことを目的としているコードを確認できました。下記はその例です。

    • 偽のメッセージを表示 (図15)
    • カード番号の取得 (図16)
    • ニックネーム、デビットカードやクレジットカードの購入限度額やATMの引き出し上限額 (図17)

    図 15: 挿入されたコード - 偽のメッセージ表示 

    図 16: 挿入されたコード - カード番号の取得

    図 17: 挿入されたコード - ニックネーム、購入限度額、ATM引き出し上限額の収集

    Web Injection ターゲットの分析

    表2はPanda Banker の標的となった国名と業界の一覧です。

    表 2: 標的となった国とその業界

      Target Country

      Industry

      日本

      ビデオストリーミングサービス/ E-コマース:1社

      ポルノビデオストリーミングサービス:1社

      クレジットカード会社:11社

      アメリカ

      銀行:8行

      給与計算システム:2社

      ブロックチェーン:1 社

      カナダ

      銀行:9行


    今回の調査ではPanda Banker は主にアメリカ、カナダ、日本を標的としていることが判明しました。取得対象となる業界は銀行やクレジットカードのみならず、給与計算システム、ブロックチェーンのウェブウォレットも対象となっていることが判明しています。

    既存の調査 [5]によると、2018年の3月よりPanda Banker は日本を狙い始めたことが報告されました。2018年の8月にCylance はPanda Banker は依然として日本を標的としていることを確認しました。今回の対象となったクレジットカード会社のうち、数社は銀行としてもよく知られています。また、他の国とは異なり、ビデオストリーミングの会社も標的となっていました。攻撃者はこれらのサービスに登録されているクレジットカード情報を狙っていることが推測できます。

    結論

    Panda Banker は現在でも活発なマルウェアです。暗号化や難読化を惜しみなく利用して解析を困難にし、柔軟な設定を可能にしています。攻撃者はアメリカ、カナダ、日本に住む被害者の金融機関に関する情報を盗むためにPanda Banker を利用することが今回の分析で明らかになりました。

    CylancePROTECT®をご利用中のお客様は、サイランスの機械学習モデルによって、この攻撃からすでに防御されています。詳しくは、こちらをご覧ください。

    参考資料

    [1] https://blog.fox-it.com/2016/06/07/linkedin-information-used-to-spread-banking-malware-in-the-netherlands/

    [2] https://threatvector.cylance.com/en_us/home/threat-spotlight-emotet-infostealer-malware.html

    [3] https://threatvector.cylance.com/en_us/home/cylance-vs-updated-emotet.html

    [4] https://isc.sans.edu/forums/diary/Recent+Emotet+activity/23908/

    [5] https://asert.arbornetworks.com/panda-banker-zeros-in-on-japanese-targets/

    IoC

    • SHA256 値 (Panda Banker 本体)

    088E2DE6E3CF283F6B7CB518655ADB32F1DE8A0D14EFF9E8A10AA16D1420CC4B

    0DD11E77562E51DE1C12C1D7EDF9C34C115F79F13CDC8D2A4743F41515D069F1

    111B67B802426C2E94E933761CBB6168A6730C99849244E518D11E1474218088

    200DD176ECCFE11A3456193BF1FE7D46D23408834E172991B883D59AA59CE259

    20F4445B40DC0CD1830DEE6031A7342284E51DC4C399D331507B28F74BA0727B

    2527C9EB597BD85C4CA2E7A6550CC7480DBB3129DD3D6033E66E82B0988EE061

    333AFF311B07C5CBEDFB618FF902B0DD663C0BA50B2DC8A2A590E9409CB9BC3C

    3DD50E3C6F108C9E7289E797127527B7E5321F360893FC1FCC41B19B06DD65BF

    45C7C91EBB315A77DD28E0092913184CB6A4A8D0387D29384B273EBF9BCE9A74

    57CFD2DA86195B4D5636579ABA6C61FA7FC9D0646EA6FE7CB4752DDBC789428A

    5B7F1708092A1FECF4AD1DC22CCCCA62C1648361F805762C465F12B9501E485C

    5CDE033FD3D5E1F4750034E262F7E913A26231DCD2D658581557387C1FA7306B

    6030CE3ACF4DD0729B30795B23A4DC9983A9363E5BF6B1E7DC82EF4CCAEF7754

    8327163CF9C9DC8C4680AD6ADCCF10AAF4458F75C4DB045E7E3608081CE6FAE1

    85D8829D7795AF046E238D9981592F96AD49DCB2CCB9E5C6BB938BC04B1E8552

    8A26412234EC7CB43B07BAE7E9910EB0F7EB807CF8581ABED56AAFAF514AC4A2

    997A9A38AAE2BE74659296DF901AED09EF5ADB671EE682605DD999243F9E9983

    AD7B21F9C14C49EA28F7E98A8E3B44973446342537D9817EC91C13681BAE0023

    B1EBF3D44D496EE574831266474B10B55C06E30AEA56D41AC8830BA2B28F7A0F

    B6708BB21911FE143FDC33A57993DB91BE7F90EBACC0EAC302019B2D12A763E3

    BC394CA7B7DB058DAB18AD8F612FE99C734006F034945B1336682E4728A4E932

    C83D21DDCC75D410A3F40B9C869E7C75861240077BE7A174F6D2B574BF6BC2C0

    C93F049BFD7E1E5B9FAFB04100CACC156FE76D69D4CC0A1DF27D29B057371E05

    CB050E95CE7CD9CDD444741C8BF80E913297565EEBB7B8CB64B4F69407017944

    CEB3CC460681D1274113D2A983B143049C139261D03552356C0F95F8C140B669

    DD4FF33E8853E34480E820A3D2D11E6FC87BC75EFBEEBFE324664D4013DEE0B0

    E187DF28541A1296D10A6AC2FF7ED5A52CE7577FCC8BC3811AF3238AF0E5E991

    F87439636B309409B96B336099D84FFF56773391CFA52FAF069C3B7B517BA154

    FACD400EB4530F6C0357C1115C3275E7FEEFDB982DF96F13FFEC62F56B95CCB2

    FBC8126A3BC0746E57DBD4AE29C64006B79825243E47659E0FF57B5B27641123

    • 永続性

                    o   Key: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
                    o   Name: An executable file name Panda Banker created (e.g., blocklist.exe)
                    o   Data: path to : An executable file Panda Banker created (e.g., path to blocklist.exe)

    •  C2ドメイン

                    o   RXDirectories[.]top

                    o   adshiepkhach[.]top

                    o   akihabrajdu[.]xyz

                    o   antrefurniture[.]top

                    o   bloodskin[.]website

                    o   canariasmotor[.]top

                    o   cebabsebi[.]com

                    o   coloredcredit[.]pw

                    o   connectionjump[.]top

                    o   dintlasirob[.]com

                    o   downloadmasala[.]website

                    o   encitimefoan[.]ru

                    o   fullspectrumavs[.]top

                    o   gmokkasd[.]website

                    o   haketsitet[.]com

                    o   hogamotin[.]com

                    o   humoronoff[.]top

                    o   indolentgames[.]top

                    o   inghapwilhe[.]ru

                    o   jecrusandsi[.]com

                    o   joltter[.]top

                    o   legaleeny[.]pw

                    o   letretuthes[.]com

                    o   luxurygoosedown[.]top

                    o   lyletening[.]ru

                    o   majorhunt[.]top

                    o   mihecksandca[.]ru

                    o   miliocife[.]aktyubinsk[.]su

                    o   myaningmuchme[.]ru

                    o   myhubcloud[.]website

                    o   mykeeptake[.]xyz

                    o   mystratusstore[.]xyz

                    o   nauseorofte[.]ru

                    o   nybaseballfans[.]website

                    o   picosloop[.]top

                    o   rebretaci[.]com

                    o   rombutcading[.]ru

                    o   smartnutriment[.]top

                    o   speakeasyclan[.]top

                    o   tailbackuisback[.]xyz

                    o   theeunload[.]website

                    o   thevisitorsfilm[.]top

                    o   uiaoduiiej[.]chimkent[.]su

                    o   umirushieteg[.]website

                    o   vethatnetont[.]com

                    o   vudoshakar123123[.]website

                    o   watercraftuavs[.]top

                    o   wegmanss[.]pw

                    o   zanhimnohedt[.]com

    • C2 サーバから取得できる設定データに含まれるURL

                    o   hXXps://vudoshakar123123[.]website/1rifoluwaqyseawawuvza[.]dat

                    o   hXXps://vudoshakar123123[.]website/webinjects_new3[.]dat

                    o   hXXps://vudoshakar123123[.]website/1rifoluwaqyseawawuvza[.]exe

                    o   hXXps://vudoshakar123123[.]website/webinject32_new3[.]bin

                    o   hXXps://vudoshakar123123[.]website/webinject64_new3[.]bin

                    o   hXXps://vudoshakar123123[.]website/vnc32_new3[.]bin

                    o   hXXps://vudoshakar123123[.]website/vnc64_new3[.]bin

                    o   hXXps://vudoshakar123123[.]website/backsocks_new3[.]bin

                    o   hXXps://vudoshakar123123[.]website/grabber_new3[.]bin

                    o   hXXps://vudoshakar123123[.]website/keylogger_new3[.]bin

                    o   hXXps://mystratusstore[.]xyz/2itopfetoebenfeakoqas[.]dat

                    o   hXXps://mystratusstore[.]xyz/webinjects_new3[.]dat

                    o   hXXps://mystratusstore[.]xyz/2itopfetoebenfeakoqas[.]exe

                    o   hXXps://mystratusstore[.]xyz/webinject32_new3[.]bin

                    o   hXXps://mystratusstore[.]xyz/webinject64_new3[.]bin

                    o   hXXps://mystratusstore[.]xyz/vnc32_new3[.]bin

                    o   hXXps://mystratusstore[.]xyz/vnc64_new3[.]bin

                    o   hXXps://mystratusstore[.]xyz/backsocks_new3[.]bin

                    o   hXXps://mystratusstore[.]xyz/grabber_new3[.]bin

                    o   hXXps://mystratusstore[.]xyz/keylogger_new3[.]bin

                    o   hXXps://mihecksandca[.]ru/1ixcyidwexoumibewibbi[.]dat

                    o   hXXps://mihecksandca[.]ru/610webinjects[.]dat

                    o   hXXps://mihecksandca[.]ru/1ixcyidwexoumibewibbi[.]exe

                    o   hXXps://mihecksandca[.]ru/610webinject32[.]bin

                    o   hXXps://mihecksandca[.]ru/610webinject64[.]bin

                    o   hXXps://mihecksandca[.]ru/610vnc32[.]bin

                    o   hXXps://mihecksandca[.]ru/610vnc64[.]bin

                    o   hXXps://mihecksandca[.]ru/610backsocks[.]bin

                    o   hXXps://mihecksandca[.]ru/610grabber[.]bin

                    o   hXXps://mihecksandca[.]ru/610keylogger[.]bin

                    o   hXXps://rombutcading[.]ru/1toziimufuzutotsaguel[.]dat

                    o   hXXps://rombutcading[.]ru/610webinjects[.]dat

                    o   hXXps://rombutcading[.]ru/1toziimufuzutotsaguel[.]exe

                    o   hXXps://rombutcading[.]ru/610webinject32[.]bin

                    o   hXXps://rombutcading[.]ru/610webinject64[.]bin

                    o   hXXps://rombutcading[.]ru/610vnc32[.]bin

                    o   hXXps://rombutcading[.]ru/610vnc64[.]bin

                    o   hXXps://rombutcading[.]ru/610backsocks[.]bin

                    o   hXXps://rombutcading[.]ru/610grabber[.]bin

                    o   hXXps://rombutcading[.]ru/610keylogger[.]bin

                    o   hXXps://betrephengu[.]ru/1haetibatiqinoktaitov[.]dat

                    o   hXXps://betrephengu[.]ru/69webinjects[.]dat

                    o   hXXps://betrephengu[.]ru/1haetibatiqinoktaitov[.]exe

                    o   hXXps://betrephengu[.]ru/69webinject32[.]bin

                    o   hXXps://betrephengu[.]ru/69webinject64[.]bin

                    o   hXXps://betrephengu[.]ru/69vnc32[.]bin

                    o   hXXps://betrephengu[.]ru/69vnc64[.]bin

                    o   hXXps://betrephengu[.]ru/69backsocks[.]bin

                    o   hXXps://betrephengu[.]ru/69grabber[.]bin

                    o   hXXps://betrephengu[.]ru/69keylogger[.]bin

                    o   hXXps://betrephengu[.]ru/1haetibatiqinoktaitov[.]dat

                    o   hXXps://betrephengu[.]ru/69webinjects[.]dat

                    o   hXXps://betrephengu[.]ru/1haetibatiqinoktaitov[.]exe

                    o   hXXps://betrephengu[.]ru/69webinject32[.]bin

                    o   hXXps://betrephengu[.]ru/69webinject64[.]bin

                    o   hXXps://betrephengu[.]ru/69vnc32[.]bin

                    o   hXXps://betrephengu[.]ru/69vnc64[.]bin

                    o   hXXps://betrephengu[.]ru/69backsocks[.]bin

                    o   hXXps://betrephengu[.]ru/69grabber[.]bin

                    o   hXXps://betrephengu[.]ru/69keylogger[.]bin

                    o   hXXps://humoronoff[.]top/1uqboygheizxeraneorlo[.]dat

                    o   hXXps://humoronoff[.]top/webinjects_new3[.]dat

                    o   hXXps://humoronoff[.]top/1uqboygheizxeraneorlo[.]exe

                    o   hXXps://humoronoff[.]top/webinject32_new3[.]bin

                    o   hXXps://humoronoff[.]top/webinject64_new3[.]bin

                    o   hXXps://humoronoff[.]top/vnc32_new3[.]bin

                    o   hXXps://humoronoff[.]top/vnc64_new3[.]bin

                    o   hXXps://humoronoff[.]top/backsocks_new3[.]bin

                    o   hXXps://humoronoff[.]top/grabber_new3[.]bin

                    o   hXXps://humoronoff[.]top/keylogger_new3[.]bin

                    o   hXXps://nauseorofte[.]ru/1ifmuybbolakuotegepma[.]dat

                    o   hXXps://nauseorofte[.]ru/610webinjects[.]dat

                    o   hXXps://nauseorofte[.]ru/1ifmuybbolakuotegepma[.]exe

                    o   hXXps://nauseorofte[.]ru/610webinject32[.]bin

                    o   hXXps://nauseorofte[.]ru/610webinject64[.]bin

                    o   hXXps://nauseorofte[.]ru/610vnc32[.]bin

                    o   hXXps://nauseorofte[.]ru/610vnc64[.]bin

                    o   hXXps://nauseorofte[.]ru/610backsocks[.]bin

                    o   hXXps://nauseorofte[.]ru/610grabber[.]bin

                    o   hXXps://nauseorofte[.]ru/610keylogger[.]bin

                    o   hXXps://myaningmuchme[.]ru/1waemgadyezabawhakavi[.]dat

                    o   hXXps://myaningmuchme[.]ru/610webinjects[.]dat

                    o   hXXps://myaningmuchme[.]ru/1waemgadyezabawhakavi[.]exe

                    o   hXXps://myaningmuchme[.]ru/610webinject32[.]bin

                    o   hXXps://myaningmuchme[.]ru/610webinject64[.]bin

                    o   hXXps://myaningmuchme[.]ru/610vnc32[.]bin

                    o   hXXps://myaningmuchme[.]ru/610vnc64[.]bin

                    o   hXXps://myaningmuchme[.]ru/610backsocks[.]bin

                    o   hXXps://myaningmuchme[.]ru/610grabber[.]bin

                    o   hXXps://myaningmuchme[.]ru/610keylogger[.]bin

                    o   hXXps://uiaoduiiej[.]chimkent[.]su/5fewucaopezanxenuzebu[.]dat

                    o   hXXps://uiaoduiiej[.]chimkent[.]su/webinjects[.]dat

                    o   hXXps://uiaoduiiej[.]chimkent[.]su/5fewucaopezanxenuzebu[.]exe

                    o   hXXps://uiaoduiiej[.]chimkent[.]su/webinject32[.]bin

                    o   hXXps://uiaoduiiej[.]chimkent[.]su/webinject64[.]bin

                    o   hXXps://uiaoduiiej[.]chimkent[.]su/vnc32[.]bin

                    o   hXXps://uiaoduiiej[.]chimkent[.]su/vnc64[.]bin

                    o   hXXps://uiaoduiiej[.]chimkent[.]su/backsocks[.]bin

                    o   hXXps://uiaoduiiej[.]chimkent[.]su/grabber[.]bin

                    o   hXXps://uiaoduiiej[.]chimkent[.]su/keylogger[.]bin

                    o   hXXps://rombutcading[.]ru/1toziimufuzutotsaguel[.]dat

                    o   hXXps://rombutcading[.]ru/610webinjects[.]dat

                    o   hXXps://rombutcading[.]ru/1toziimufuzutotsaguel[.]exe

                    o   hXXps://rombutcading[.]ru/610webinject32[.]bin

                    o   hXXps://rombutcading[.]ru/610webinject64[.]bin

                    o   hXXps://rombutcading[.]ru/610vnc32[.]bin

                    o   hXXps://rombutcading[.]ru/610vnc64[.]bin

                    o   hXXps://rombutcading[.]ru/610backsocks[.]bin

                    o   hXXps://rombutcading[.]ru/610grabber[.]bin

                    o   hXXps://rombutcading[.]ru/610keylogger[.]bin

                    o   hXXps://adshiepkhach[.]top/1boehzyyspokusiakziof[.]dat

                    o   hXXps://adshiepkhach[.]top/webinjects_new2[.]dat

                    o   hXXps://adshiepkhach[.]top/1boehzyyspokusiakziof[.]exe

                    o   hXXps://adshiepkhach[.]top/webinject32_new2[.]bin

                    o   hXXps://adshiepkhach[.]top/webinject64_new2[.]bin

                    o   hXXps://adshiepkhach[.]top/vnc32_new2[.]bin

                    o   hXXps://adshiepkhach[.]top/vnc64_new2[.]bin

                    o   hXXps://adshiepkhach[.]top/backsocks_new2[.]bin

                    o   hXXps://adshiepkhach[.]top/grabber_new2[.]bin

                    o   hXXps://adshiepkhach[.]top/keylogger_new2[.]bin

                    o   hXXps://adshiepkhach[.]top/1boehzyyspokusiakziof[.]dat

                    o   hXXps://adshiepkhach[.]top/webinjects_new2[.]dat

                    o   hXXps://adshiepkhach[.]top/1boehzyyspokusiakziof[.]exe

                    o   hXXps://adshiepkhach[.]top/webinject32_new2[.]bin

                    o   hXXps://adshiepkhach[.]top/webinject64_new2[.]bin

                    o   hXXps://adshiepkhach[.]top/vnc32_new2[.]bin

                    o   hXXps://adshiepkhach[.]top/vnc64_new2[.]bin

                    o   hXXps://adshiepkhach[.]top/backsocks_new2[.]bin

                    o   hXXps://adshiepkhach[.]top/grabber_new2[.]bin

                    o   hXXps://adshiepkhach[.]top/keylogger_new2[.]bin

    本ブログの英語版はこちらのWebサイトでご覧いただけます。

    著者について

     

    Tags: