釣りの続きです。
既にplayonline.tcが接続不能になっていますが、
「flasha32.dll」を検索して来る人が多いので書いておきます。
この記事はplayonline.tc(sdo.ac)で配布されていたcomplaint.exeを元にしています。
他のflasha32.dllとは挙動が異なるかもしれません。
今回はProcessExplorerを起動してみます。
complaint.exeを実行すると、hostsを削除し
system32にflasha32.dllを投下し、自らを削除します。
explorer.exeに寄生しました。
次に、POL(PlayOnlineViewer)を起動してみます。
POLをインストールしていない(FFXIが動かない)古いノートPCなので
pol.exeといくつかのdllをコピーし、
pol.exe.localを作成して擬似的に起動しています。
pol.exeに寄生しました。
本物のPOLではありませんので実際の挙動(アカウント情報の送信など)は確認していません。
この後は推測ですが、POLからID・パスワード・ワンタイムパスワードを盗み、
POLサーバーへの送信を阻止した上でどこかに送信しているものと思われます。
ついでに変な実験をしてみます。
メモ帳(notepad.exe)とペイント(mspaint.exe)を名前を変えて起動してみます。
メモ帳(notepad.exe)
メモ帳(pol.exe)
ペイント(mspaint.exe)
ペイント(pol.exe)
pol.exeというファイルを監視しているようです。
駆除してみます。
常駐していますので、そのままでは削除できません。
まず再起動後の寄生を防ぐためにレジストリから削除します。
再起動後にflasha32.dllを削除します。
このファイルはシステム・隠し・読み取り専用の属性が付いていますが、
フォルダオプションを適切に設定していれば探せるはずです。
