リネージュやレッドストーン、FFなどが主なターゲットだったようで、検索してはいけない言葉wikiに記載されている「ダメルギルド連合 HOME」もその一種ですね
今回のURLはリネージュのプレイヤーがターゲットみたいだったようで、このURLでググると当時の個人ブログにスパムコメントがついている様子が分かります
ちなみに今もURL自体は生きていますが異なる中華系サイトにジャンプします
ちなみにWhoisで確認するとレジストラはアリババクラウドのようです
さて、当時このURL(//www.adfka.com/)にアクセスするとこんな感じのページが表示されます
「ただ嶄に便る.......」とだけ記載されているよく分からないサイトです
なおChromeで開くと「ただ中に守る.......」と表示されますがどちらにしても意味は分かりません
さて、このページのソースを確認するとiframeで以下のURLを読み込んでいることが分かります
//www.lovetw.webnow.biz/jpcetou/index.htm
残念ながら上記のURLはアーカイブされていなかったため正確な挙動は不明ですが、
同じドメインにはこのようなexeファイルが存在していたようです
//www.lovetw.webnow.biz/yixiu.exe
モノは自己解凍形式のexeファイルであり、展開すると「love.jpg」および「server.exe」が格納されています
まず「server.exe」の方を確認します(VirusTotal, VirusTotal - Unpacked)
アイコンはWindows 2000時代のメモ帳ですね
UPackが使用されているとのことなのでGetProcAddressが呼び出されるCallからアンパックルーチンを割り出し、ルーチン抜け出し後のステップからロングJMPの飛び先がOEPであると見当をつけてダンプします
ただし
(直後だけではなく他の箇所でも使用されていました)
その後内容を確認すると、ファイアウォールの無効化および特定プロセスの終了を行っていることが分かります
しばらく放置してたらどこまで調べたか忘れてしまったのでボツにします...
0 件のコメント:
コメントを投稿