iLivid感染/ iLivid行動分析

Question

多くのマルウェアアナライザーによってiLividについて多くの調査とレポートが行われていますが、私は以前の調査とは別にiLividを検査することにしました。

ILividに関するレポートをたくさん読んだことがありますが、調査に進むと、iLivid.comの公式ドメインからiLividをダウンロードします。それで、私は私の観察から次の質問があります：

1）レポートから読んだものから、悪意のある動作は観察されませんでした。たとえば、ブラウザハイジャック、DNS設定の変更、ホームページの変更、追加のアドオンのインストールなどです。主に、悪意のあるものは見られなかったと言えます。動作。ですから、公式ドメインのiLividのバージョンと、巧妙に発明されたリンクを介してユーザーが感染するバージョンには違いがあるのではないかと思いました。前者は安全で、後者は悪意のあるものかもしれません。これは可能であり、合理的な推測ですか？

主な質問：iLividの安全なバージョンと安全でないバージョンがある場合、どうすればシステムをiLividに感染させることができますか？!!

2）マルウェアがコンテキストに応じて異なる動作をするのは自然ですか？報告を見てみると、いろいろな悪い仕事が報告されていたからです。

3）iLividはBanadoo mediainc。の製品として自己紹介します。この会社の製品として自己紹介する他のアプリがいくつかあります。この会社については何も見つかりませんでした。この会社のすべてのアプリは、レポートで評判が悪く、疑わしいものです。名目上の会社だと思いますが、この会社について何か知っていますか？

4）iLividの実行中にBabylonとIDM.exeを実行すると、1つはCaptlib.dllであるBabylonから、もう1つはIDM.exeであるdmmkb.dllからの2つの無関係な.dllモジュールです。この振る舞いを分析する方法がわかりません。できれば助けてください！

iwaseatenbyagrue · Answer

いくつかのサイトでは、iLividを完全なマルウェアではなく [〜＃〜] pup [〜＃〜] として分類しています。一部の定義は次のとおりです。

このようなソフトウェアは、プライバシーを侵害したり、コンピューターのセキュリティを弱めたりする可能性のある実装を使用する場合があります。多くの場合、企業は必要なプログラムのダウンロードをラッパーアプリケーションにバンドルし、不要なアプリケーションのインストールを提案する場合があります。場合によっては、明確なオプトアウト方法を提供しません。

「悪意のある行動は見られなかったと言えます」というあなたの声明。珍しいようです-2016年後半から、ホームページのリダイレクトとツールバーのインストールが予想されることを示す多くのレポートが見つかりました。

レポートはまた、キーロガーがiLividで削除されることが知られていることを示唆しており、あなたの言及はCaptlib.dll一応、これがシステムで起こったことを示唆しているように思われます-インストールしたときかもしれませんが、iLividはステルスに焦点を当てていました（広告関連の収入モデルを考えると、少し珍しいようですが）。

私があなたなら、自動化されたアクティビティ、特にC＆C /抽出アクティビティを探してパケットキャプチャを実行することを検討すると思います。そもそも興味をそそられたレポートを複製できるかどうかをテストする手段として、 Cuckoo Sandbox のようなもので最初の実行を行うのが最も簡単な場合があります。