RCX の非公式配布について

ウィルスの被害にあわないために

RCXのファイルはこのサイト以外では配布していません。このサイト以外で配布されたファイルは全て非公式な物です。コンピューターウィルスの被害にあわないためにも、この手のファイルはダウンロードしてはいけません。実行するのはもっての外です。なお、この記事の最後に公式のファイルのダウンロードを設置しました。

とあるプライベートメッセージ

本日、ragnarokeurope.comのボクのユーザー宛にこんなプライベートメッセージが届きました。2014-06-16-rcxtool-roeu-forum

えーっと…。特に自分が誰であるか分かるようなIDは取得していないのであれですが、いい度胸ですね。

何かしらの被害が出ないとも限らないので、手元にあるアーカイブ内のファイルのCRCを比較してみました。

2014-06-16-rcxtool-compare

rcx.exeが改変されているようです。公式に配布した物はmpressというツールで圧縮してありますが、圧縮形式がupxへ変わっています。依存しているdll群も、mfcからスタティックベースのコードに変わっていました。mpress圧縮を展開した上で、何らかの改変をしてupxで圧縮したものと考えられます。

upx圧縮を展開してAvastのスキャンにかけてみたところ次のようになりました。

2014-06-16-rcxtool-compare-virus-check-on-avast

パターンマッチでAutoit Scriptが検出されました。バイナリエディタ上でも関連文字列が見て取れます。

2014-06-16-rcxtool-find-autoio

AvastのレポートではAutoit Scriptを使用した Autoit:Dropper-CN [Trj] という事になっています。詳しくは調べていないので何とも言えませんが、悪質な何かが組み込まれていないとも限りません。

一旦はサイトからアーカイブを排除しましたが、再び RCX のファイルを掲載しておこうと思います。なお、RCXは既にサポートを終了しています。最終リリースから時間が経っているため、通常の方法では使用できないと思います。

ダウンロードパスワードはRCXFINALです。

“RCX の非公式配布について” への1件の返信

コメントを残す