ハルコタン紀行

釣り

釣りの続きです。
既にplayonline.tcが接続不能になっていますが、
「flasha32.dll」を検索して来る人が多いので書いておきます。
この記事はplayonline.tc(sdo.ac)で配布されていたcomplaint.exeを元にしています。
他のflasha32.dllとは挙動が異なるかもしれません。

今回はProcessExplorerを起動してみます。
complaint.exeを実行すると、hostsを削除し
system32にflasha32.dllを投下し、自らを削除します。

explorer.exeに寄生しました。

次に、POL(PlayOnlineViewer)を起動してみます。

POLをインストールしていない(FFXIが動かない)古いノートPCなので
pol.exeといくつかのdllをコピーし、
pol.exe.localを作成して擬似的に起動しています。

pol.exeに寄生しました。
本物のPOLではありませんので実際の挙動(アカウント情報の送信など)は確認していません。
この後は推測ですが、POLからID・パスワード・ワンタイムパスワードを盗み、
POLサーバーへの送信を阻止した上でどこかに送信しているものと思われます。

ついでに変な実験をしてみます。
メモ帳(notepad.exe)とペイント(mspaint.exe)を名前を変えて起動してみます。

メモ帳(notepad.exe)

メモ帳(pol.exe)

ペイント(mspaint.exe)

ペイント(pol.exe)

pol.exeというファイルを監視しているようです。

駆除してみます。

常駐していますので、そのままでは削除できません。
まず再起動後の寄生を防ぐためにレジストリから削除します。

再起動後にflasha32.dllを削除します。

このファイルはシステム・隠し・読み取り専用の属性が付いていますが、
フォルダオプションを適切に設定していれば探せるはずです。

テーマ:セキュリティ - ジャンル:コンピュータ

  1. 2009/08/26(水) 21:50:26|
  2. ウイルス
  3. | トラックバック:1
  4. | コメント:0
<<釣り | ホーム | エキストラジョブ>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://ilion.blog47.fc2.com/tb.php/149-5dd38acf
この記事にトラックバックする(FC2ブログユーザー)

-

管理人の承認後に表示されます
  1. 2016/12/29(木) 11:31:28 |