はて、ウイルスに困っていた人から送られてきた URL のファイルをダウンロードしてみた(ぉぃ
まあ、こんな URL なんだが。*1
http://wwwwww.myspacy.biz/viewimage.php?=lugia at hotmail.co.jp
これをダウンロードすると、ファイル名が
IMG455.jpg-www.photo.com
なんだが、たぶん、一般的な Windows ユーザーだと拡張子は表示しないからファイル名では
IMG455.jpg-www.photo
で表示されるはずなので、変な気持ちにはなるはずだ。
ここでダブルクリックで開いてしまうと一巻の終わりなんだな(漢字違くないか?
拡張子 com は実は実行ファイルである。*2
そう。実行してしまうのである。
おそらく wine 上でも動作してしまうウイルスとかもあるかもしれないが、とりあえず大丈夫だろうと言うことで(ぇ)、名前を変更して実行した。
[lugia@lugia-castle ~]$ wine IMG455.exe fixme:advapi:DecryptFileA "C:\\windows\\temp\\IXP000.TMP\\" 00000000 [lugia@lugia-castle ~]$
MSNメッセンジャーを介するウイルスかワームみたいなので、どうもこのフォルダにメッセのパスワードが暗号化されて保存されているっぽいです。
だとすると、マイクロソフトのAPI実装にもいささか問題があるのではないか? (ぁ
メッセンジャー以外にもこの場所を使うソフトは存在するようです。
役に立ちそうなページ:
- How to troubleshoot the installation of Office 2000 SP2 by using the log file (日本語訳が意味不明なので英語を貼っておきますw)
- [SOLVED] Warcraft III patch 1.22 and msvcr80.dll - Ubuntu Forums
- MSNメッセンジャー最新版5.0が動きません - 質問・相談ならMSN相談箱
- MSNメッセンジャーでウイルスのプレゼントが大量に届いてます - ちりもつ
- DecryptFile 関数 - Microsoft Developers Network
wine では、このフォルダは、MSNメッセンジャーや、MS Office 2000 SP2 などをインストールしていなければ、存在しません。
[lugia@lugia-castle windows]$ wine cmd CMD Version 1.1.10 C:\windows>cd Temp C:\windows\temp>cd ixp000.tmp File not found C:\windows\temp>
ClamAV では、ウイルスとは認定されませんでした。
