ってことで実質最後ﾃﾞｰﾄ。
本日は暖かいけど風が寒っ。そんな中、盛んに歩き回ったり活発にしていたアホが一組。
日和山が眺め良すぎで、空気が澄んでて遠くまで見渡せました。

ああああああああああああああああ恋愛沙汰は苦手なんじゃぼけぇぇええええええええええええええええええええええええええええええええええあああああああああああああああああああああ遠距離無理だああああああああああああああああああああああああああああああああいまいだああああああああええええええええええええあああああああああああああああああああああんぱんまんあああええええええええええええええおおおおおおおおおおおおおおおおおおおおありがとうあああああああああああああ!!!!!!！！えうぇうぇうぇうぇうぇうぇうぇうぇｗｗｗｗｗｗ

ってことでお疲れモード。
もう石巻に未練は無い。多分。多分ね。

市の図書館に本返すの終われば未練無しかも。

腕が鈍らないように。

某CG系の掲示板でウイルススクリプト&exeあったので、DL時エントリ破壊して隔離して解析開始。UPXｳｾﾞｰ。

HTMLHelpの脆弱性を利用しているもので、スクリプトが動作すると、偽装したexeを実行する。

今回の仕組み
・フレームの大きさは0。これで被害者は何も無いページのように見える
・フレーム参照のhtmlに含まれるJavaScriptでリモートのページを参照
・ページにはcssを参照するObjectが。これがウイルスで、cssとは名ばかりのexeファイル
・Windows標準のHTMLHelpの脆弱性によりcss(exe)が実行される
・おめでとう（；´ロ｀)

インターネットに接続している状態でexeが実行されると、リモートからトロイをDLして常駐させる。

今回のexeがDLするトロイは、感染者のPCのキー入力をフックして、入力内容を外部へとメールで送信する。
要は「SMTP内蔵KeyLogger」

exeの解説。
http://www.symantec.com/region/jp/avcenter/venc/data/jp-downloader.trojan.html

キーを盗む常駐アプリの解説。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_LINEAGE.A&VSect=T

リ・・・リネージュ？（;´Д｀)
ログインのタイプをフックするのか？比較的古いタイプのウイルスみたい。要は殆ど淘汰されたもの。しかし対策ソフト無いとあっさり引っかかるので注意。

しかし・・・ウイルス&トロイ製作者はDelphiで製作するのが流行なのだろうか。UPXで伸ばすとbinに製作者のDelphi作業ディレクトリがちらほらと。製作者自ら環境を晒してしまってます。あほかー。

んでもDelphiは使いやすいな。はるか昔にTechWINで紹介されていたのを皮切りに使った事あるけど、ガツガツアプリケーションが出来上がる。おまけにコンパイル速度爆速。

付け加え。WinXP SP2になっても脆弱性変わりなし。Microsoftあほかー。

一見して何も動作していないように見えて、何かウラでやってるもんです。特にWebブラウザだと何も無いページのように見えて何かやってますから。

みんなページ見るときは気をつけてclay。