アップローダー

おー…。古い物でも11月24日と比較的新しいです。
(拡張子が何であれ)全てzipファイルです。

中身は全てscrファイルですが、アプリケーションによっては
ファイル名が妙なことになります(上は7-Zip、下はExplzh)。

解凍するとこうなります。RLO(アラビア語のように
右から左に書くための制御文字)による拡張子偽装で、
JokeSrcs.jpg のように見える JokeSgpj.scr です。

JokeSrcs.png のように見える JokeSgnp.scr と共に
中国で10月22日に話題になったファイル名をそのまま流用したようです。
日本ではWinnyなどで拾い食いをする人にとっては見慣れた手法ですね。

RLOによる珍現象その1 Explorer


RLOによる珍現象その2 7-Zip

あれ? 解凍できません。
ファイルの前半は明らかにWinRARのSFX(自己解凍書庫)です。

「Rar!」を「R r!」に書き換えるという、半年ほど前に見た手法です。
修正すれば解凍できます。

実行すると C:\Documents and Settings\All Users\Application Data\Storm
(Vistaや7では C:\ProgramData\Storm )と C:\ に投下され、
サービスとして常駐します。いくつかのサービスのレジストリ
(HidServ Messenger RemoteAccess)が書き換えられるため
手動での駆除はmxd.exeに比べると困難です
(PCが1台しかないなどの理由で他の健全なPCから上記サービスの
レジストリをインポートできない場合は難しいでしょう)。

現時点では4種類のようです。
多くはありませんが、mxd.exeのように増えると困るので
とりあえず集めておきますね。

おまけ。RLOを含むファイル名の作り方。