TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

正式発売された人気のゲームで「PlugX」の感染を確認

【概要】

■感染していたオンラインゲーム

  • League of Legends (LoL)
  • Path of Exile(PoE)


■感染後も残品するファイル名

  • NtUserEx.dll
  • NtUserEx.dat

■PlugXの特徴

  • 自動起動サービスを利用せずに自動起動
  • Cooperという文字列がファイルに含まれる
  • 「Lee Cooper」という名前が 別のC&Cサーバの登録者として使われており、同一チームか?


【ブログ】

◆正式発売された人気のゲームで「PlugX」の感染を確認 (TrendMicro, 2015/01/21)
http://blog.trendmicro.co.jp/archives/date/2015/01/21


【マルウェアのハッシュ情報】

■ SHA1

  • f920e6b34fb25f54c5f9b9b3a85dca6575708631(FO3Launcher.exe)
  • bd33a49347ef6b175fb9bdbf2b295763e79016d6(NtUserEx.dll)
  • f3eabaf2d7c21994cd2d79ad8a6c0acf610bbf78(NtUserEx.dat)


【マルウェア情報】

◆PlugX
MD5: 1b135f38c68cab15ef47dfbcbb7ab7b9
SHA1: f920e6b34fb25f54c5f9b9b3a85dca6575708631
SHA256: 83cee698d64d11076ccbf7a2fce301a1b55b52620edf7dd126a8cbedc7283530
SHA512:
SSDEEP: 24576:7rQU2IWIJin/oUMburZhsiRzDxmQXMubciJaInRSwwqG/r0zjnVAqo6YyNa3j:V2IWX/oNbLiRIubc8RSwkTIpo6bNM
authentihash: 4d940733203753aa1459fd39342a3195257441eb8e3af740df4d9297b6b7080f
imphash:
File Size: 1452336 bytes
File Type: PE32 executable for MS Windows (GUI) Intel 80386 32-bit
コンパイル日時: 2014-07-07 08:22:15
Debug Path:
File Name: FO3Launcher.exe
File Path:
生成ファイル:
通信先: hxxp://gs4.playdr2.tw/update?id=00169888 (202.65.214.220)
特徴:
関連URL:
https://www.virustotal.com/en/file/83cee698d64d11076ccbf7a2fce301a1b55b52620edf7dd126a8cbedc7283530/analysis/
http://malwarebattle.blogspot.com/2015/01/malware-discovered-in-league-of-legends.html


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2020