07/10/31 22:05:44 vMR2qIyB0
ラク・キー_buoothとUnitBroker-Hrqを見てみた。
exeを実行すると、URLリンク(www.ms-s.net) の
"@@-" "E@@"で囲まれたアドレスのファイルを"C:\Windows\System32\sys32tool.exe"に保存、実行。
sys32tool.exeは自身をRunキーに登録、"C:\Windows\System32\tempdi.exe"にも同じファイルをダウンロード。
sys32tool.exeとtempdi.exeは互いに起動し合い、互いを最新版に更新。
"@@+" "E@@"で囲まれたアドレスへのアクセスも行う。
実行せずに見ただけだが、こんな感じだった。
SysWatcherは古いせいかRunキーに登録する以外は普通に見えた。