PlugX

過去には独自のHTTPヘッダを使用していたが、使わないようになったり、文字列が難読化されたりのようだ。

感染は標的型メールなどのファイルから。そのフローは以下の１、２、３の順。

１．正規ファイル
２．正規ファイルにより読み込まれる不正なDLLファイル
３．2）の不正な DLLファイルが読み込む不正なコードを含むバイナリファイル

（Adobe Acrobat Reader” や Microsoft Office（特に脆弱性「CVE-2010-3333」）に存在する脆弱性を利用）

http://blog.trendmicro.co.jp/archives/6026

http://blog.trendmicro.co.jp/archives/9748

BKDR_RARSTONE.A

組み込まれたコードは自身をメモリー上で復号化

ダウンロードされたファイルは、システム上に作成されるのではなく、直接メモリーに読み込まれるのでファイル検出機能は役に立たない。

「Uninstall」レジストリーキーのエントリーの情報からインストールされたアプリケーションの情報なども搾取。

Ｃ＆ＣサーバへはＳＳＬを使用する点もポイント。

（参考）

http://tech.nikkeibp.co.jp/it/article/COLUMN/20130310/462081/

https://www.trendmicro.com/vinfo/jp/threat-encyclopedia/malware/bkdr_rarstone.a