DragonNestに初めて投下されたのか、
閲覧者からの警告がありますね。
ほとんどがいわゆるmxd.exeで、
4月5日版と4月28日版を確認しています。
いつものIEのBHOなので省略します。
JokeSrcsは4月28日版と5月11日版を確認しています。
以前と同様にファイル名にRLOが使われていて
JokeSrcs.jpgのように見える
JokeSgpj.scrですので
扱いには気を付けましょう。
いじらないと展開できないのも以前と同様です。
4月28日版は12MBと巨大ですが、
大半がごみです。
容量制限のあるオンラインスキャナ避けだと思います。
削除すると5月11日版と同じサイズになります。
ヘッダが変なのでいじってから解剖しましょう。
20kBほどの中身です。
セキュリティソフト潰しだと思いますが、
中国向けの物をそのまま流用した感じです
(duba.net=キングソフトはともかく、
360は日本には来ていなかったような…)。
残りの100kBほどがトロイ本体のDLLです。
2011-05-26
mxd.exeは5月26日版、JokeSrcsは5月19日版です。
mxd.exeは久しぶりにTalesWeaver特化型です。
JokeSrcsはいつもと同じですが、NSISも使われています。
出てくるThunder.exeは5MB超え(ほとんどごみ)ですが、
ThreatExpert避けでしょうか。
