YouTubeの適当なScam動画を踏んでOllyDbgの練習
VirusTotal - Unpacked
exeの中身はRanumBotと呼ばれるBotの一種みたいですね
2021年1月15日金曜日
2021年1月14日木曜日
watch?v=5lQS3bszf5w
SteamのKeygenを配布している(と謳っている)動画です
動画の説明に記載されているリンクをクリックするとTech Support Scamや偽アップデートを含む様々なページを開いた後にexeファイルをダウンロードできます
なお中身はKeygenでも何でもなく、ランダムな英数字をKeygenっぽく並べて出力するだけのプログラムです
SteamのKeygenなんてものはこの世に存在しません
ゲームしたければ数千円くらい出しましょう
2020年5月25日月曜日
www.adfka.com
昔流行したオンラインゲームの情報を盗み取るマルウェアです
リネージュやレッドストーン、FFなどが主なターゲットだったようで、検索してはいけない言葉wikiに記載されている「ダメルギルド連合 HOME」もその一種ですね
今回のURLはリネージュのプレイヤーがターゲットみたいだったようで、このURLでググると当時の個人ブログにスパムコメントがついている様子が分かります
ちなみに今もURL自体は生きていますが異なる中華系サイトにジャンプします
ちなみにWhoisで確認するとレジストラはアリババクラウドのようです
さて、当時このURL(//www.adfka.com/)にアクセスするとこんな感じのページが表示されます
「ただ嶄に便る.......」とだけ記載されているよく分からないサイトです
なおChromeで開くと「ただ中に守る.......」と表示されますがどちらにしても意味は分かりません
さて、このページのソースを確認するとiframeで以下のURLを読み込んでいることが分かります
//www.lovetw.webnow.biz/jpcetou/index.htm
残念ながら上記のURLはアーカイブされていなかったため正確な挙動は不明ですが、
同じドメインにはこのようなexeファイルが存在していたようです
//www.lovetw.webnow.biz/yixiu.exe
リネージュやレッドストーン、FFなどが主なターゲットだったようで、検索してはいけない言葉wikiに記載されている「ダメルギルド連合 HOME」もその一種ですね
今回のURLはリネージュのプレイヤーがターゲットみたいだったようで、このURLでググると当時の個人ブログにスパムコメントがついている様子が分かります
ちなみに今もURL自体は生きていますが異なる中華系サイトにジャンプします
ちなみにWhoisで確認するとレジストラはアリババクラウドのようです
さて、当時このURL(//www.adfka.com/)にアクセスするとこんな感じのページが表示されます
「ただ嶄に便る.......」とだけ記載されているよく分からないサイトです
なおChromeで開くと「ただ中に守る.......」と表示されますがどちらにしても意味は分かりません
さて、このページのソースを確認するとiframeで以下のURLを読み込んでいることが分かります
//www.lovetw.webnow.biz/jpcetou/index.htm
残念ながら上記のURLはアーカイブされていなかったため正確な挙動は不明ですが、
同じドメインにはこのようなexeファイルが存在していたようです
//www.lovetw.webnow.biz/yixiu.exe
2020年4月29日水曜日
2020年4月27日月曜日
登録:
コメント (Atom)