【概要】
■感染していたオンラインゲーム
- League of Legends (LoL)
- Path of Exile(PoE)
■感染後も残品するファイル名
- NtUserEx.dll
- NtUserEx.dat
■PlugXの特徴
- 自動起動サービスを利用せずに自動起動
- Cooperという文字列がファイルに含まれる
- 「Lee Cooper」という名前が 別のC&Cサーバの登録者として使われており、同一チームか?
【ブログ】
◆正式発売された人気のゲームで「PlugX」の感染を確認 (TrendMicro, 2015/01/21)
http://blog.trendmicro.co.jp/archives/date/2015/01/21
【マルウェアのハッシュ情報】
■ SHA1
- f920e6b34fb25f54c5f9b9b3a85dca6575708631(FO3Launcher.exe)
- bd33a49347ef6b175fb9bdbf2b295763e79016d6(NtUserEx.dll)
- f3eabaf2d7c21994cd2d79ad8a6c0acf610bbf78(NtUserEx.dat)
【マルウェア情報】
◆PlugX
MD5: 1b135f38c68cab15ef47dfbcbb7ab7b9
SHA1: f920e6b34fb25f54c5f9b9b3a85dca6575708631
SHA256: 83cee698d64d11076ccbf7a2fce301a1b55b52620edf7dd126a8cbedc7283530
SHA512:
SSDEEP: 24576:7rQU2IWIJin/oUMburZhsiRzDxmQXMubciJaInRSwwqG/r0zjnVAqo6YyNa3j:V2IWX/oNbLiRIubc8RSwkTIpo6bNM
authentihash: 4d940733203753aa1459fd39342a3195257441eb8e3af740df4d9297b6b7080f
imphash:
File Size: 1452336 bytes
File Type: PE32 executable for MS Windows (GUI) Intel 80386 32-bit
コンパイル日時: 2014-07-07 08:22:15
Debug Path:
File Name: FO3Launcher.exe
File Path:
生成ファイル:
通信先: hxxp://gs4.playdr2.tw/update?id=00169888 (202.65.214.220)
特徴:
関連URL:
https://www.virustotal.com/en/file/83cee698d64d11076ccbf7a2fce301a1b55b52620edf7dd126a8cbedc7283530/analysis/
http://malwarebattle.blogspot.com/2015/01/malware-discovered-in-league-of-legends.html