JPCERT/CCさんの「EmoCheck」C++のソースファイル眺めています よく出来ています(NetwingsJ)

2022.05.24 09:54

どうも(・∀・)ノ 昔取った杵柄と言うか、ANSI C の経験があるので、どこでどんな処理をしているのだろう、という推測が出来ます。幸いにして、拡張子 .cpp などを、Microsoft Visual Studio 2022 で関連付けして、開くことが、読むことが出来ました。

こんな感じです

いくつかのサブルーチン(という言い方はしないのか最近では)いや、子プロセスに分かれています。これを、何らかのコンパイラでコンパイルするのですが、バラバラになっているプログラムを、1個にまとめてコンパイルする方法を、オジンはまだこのコンパイラで知らないので、ソースコードを読むだけにとどめています。

問題は、これで「Emotet 見つかったよ!」としたとして、どうやってプロセスを止めるのか。どうやって不正なプロセスを突き止めて取り除くか。それが充分解らないことには、どう使うのか、といったところですかね、このツール。

全自動削除ツールになっていればいいのですが、あいにく半自動ツールになっています。プロセスを突き止めて、動作をなくし、それを除去するのには、熟練の技が必要みたいですね。

ではでは(・∀・)ノ 一度にやると、知恵熱出そうです。

パソコンのお医者さん Emotet が出てきた際の対処とは? ネットウイングス 代表 田所憲雄 拝