07/11/02 15:40:30
>466 :名無しさん@お腹いっぱい。 :2007/10/31(水) 22:05:44 ID:vMR2qIyB0
>ラク・キー_buoothとUnitBroker-Hrqを見てみた。
>exeを実行すると、URLリンク(www.ms-s.net) の
>@@-" "E@@"で囲まれたアドレスのファイルを"C:\Windows\System32\sys32tool.exe"に保存、実行。
>sys32tool.exeは自身をRunキーに登録、"C:\Windows\System32\tempdi.exe"にも同じファイルをダウンロード。
>sys32tool.exeとtempdi.exeは互いに起動し合い、互いを最新版に更新。
>"@@+" "E@@"で囲まれたアドレスへのアクセスも行う。
>実行せずに見ただけだが、こんな感じだった。
>
>SysWatcherは古いせいかRunキーに登録する以外は普通に見えた。