ハルコタン紀行

アップローダー

ウイルス置き場となっているオンラインゲームのアップローダーです。
前回記事にしたのが3月でしたので、とりあえず4月からです。









DragonNestに初めて投下されたのか、
閲覧者からの警告がありますね。

ほとんどがいわゆるmxd.exeで、
4月5日版と4月28日版を確認しています。
いつものIEのBHOなので省略します。

JokeSrcsは4月28日版と5月11日版を確認しています。
以前と同様にファイル名にRLOが使われていて
JokeSrcs.jpgのように見える
JokeSgpj.scrですので
扱いには気を付けましょう。
いじらないと展開できないのも以前と同様です。



4月28日版は12MBと巨大ですが、

大半がごみです。
容量制限のあるオンラインスキャナ避けだと思います。
削除すると5月11日版と同じサイズになります。

ヘッダが変なのでいじってから解剖しましょう。

20kBほどの中身です。

セキュリティソフト潰しだと思いますが、
中国向けの物をそのまま流用した感じです
(duba.net=キングソフトはともかく、
360は日本には来ていなかったような…)。
残りの100kBほどがトロイ本体のDLLです。

2011-05-26


mxd.exeは5月26日版、JokeSrcsは5月19日版です。
mxd.exeは久しぶりにTalesWeaver特化型です。

JokeSrcsはいつもと同じですが、NSISも使われています。
出てくるThunder.exeは5MB超え(ほとんどごみ)ですが、
ThreatExpert避けでしょうか。

テーマ:セキュリティ - ジャンル:コンピュータ

  1. 2011/05/18(水) 22:00:00|
  2. ウイルス
  3. | トラックバック:0
  4. | コメント:0
<<ブラウザ | ホーム | インジェクション>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://ilion.blog47.fc2.com/tb.php/280-da7454f8
この記事にトラックバックする(FC2ブログユーザー)