ハルコタン紀行

アップローダー

ウイルス置き場となっているオンラインゲームのアップローダーです。
mxd.exeとは別に、JokeSrcsというのがあるそうです。

とりあえず検索してみます。

おー…。古い物でも11月24日と比較的新しいです。
(拡張子が何であれ)全てzipファイルです。

中身は全てscrファイルですが、アプリケーションによっては
ファイル名が妙なことになります(上は7-Zip、下はExplzh)。

解凍するとこうなります。RLO(アラビア語のように
右から左に書くための制御文字)による拡張子偽装で、
JokeSrcs.jpg のように見える JokeSgpj.scr です。

JokeSrcs.png のように見える JokeSgnp.scr と共に
中国で10月22日に話題になったファイル名をそのまま流用したようです。
日本ではWinnyなどで拾い食いをする人にとっては見慣れた手法ですね。

RLOによる珍現象その1 Explorer


RLOによる珍現象その2 7-Zip

あれ? 解凍できません。
ファイルの前半は明らかにWinRARのSFX(自己解凍書庫)です。

「Rar!」を「R r!」に書き換えるという、半年ほど前に見た手法です。
修正すれば解凍できます。

実行すると C:\Documents and Settings\All Users\Application Data\Storm
(Vistaや7ではたぶん C:\ProgramData\Storm )と C:\ に投下され、
サービスとして常駐します。いくつかのサービスのレジストリ
(HidServ Messenger RemoteAccess)が書き換えられるため
手動での駆除はmxd.exeに比べると困難です
(PCが1台しかないなどの理由で他の健全なPCから上記サービスの
レジストリをインポートできない場合は難しいでしょう)。

現時点では4種類のようです。
多くはありませんが、mxd.exeのように増えると困るので
とりあえず集めておきますね。

おまけ。RLOを含むファイル名の作り方。

テーマ:セキュリティ - ジャンル:コンピュータ

  1. 2011/02/17(木) 17:00:00|
  2. ウイルス
  3. | トラックバック:0
  4. | コメント:0
<<インジェクション | ホーム | Java>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://ilion.blog47.fc2.com/tb.php/255-f2fdc570
この記事にトラックバックする(FC2ブログユーザー)