韓国の動画再生ソフト GOM Playerのアップデートが原因で、トロイの木馬をダウンロードしてしまったケースを分析してみます。
LACさんが解説していたので、同じケースがないのか発見してみましょう。



PacketBlackHoleなどでフルバケットを記録している場合であれば、どのタイミングでやられてしまったのかが明確にわかります。

直接の原因はまだわかっていませんが、２、３の仮説が立てられます。

• 仮説１　DNSポイゾニングにより、偽サーバに行っていた。
• 仮説２　アップデートサーバが乗っ取られた
• 仮説３　インターネットの途中で書き換えられた
• 仮説４　何からの方法で、ローカルの、GrVersionJP.iniを書き換えた。

仮説１であれば、送信先のサーバが、本来のものとは異なります。
　本来のアップデートサーバは、app.gomlab.comで 38.109.102.176,38.109.102.177
38.109.102.178で、正規のサーバ自体はニューヨークのマンハッタン島にあるようです。宛先がこれら以外のアドレスであった場合は、何かしら不正な情報を掴んでしまっているケースかも知れません。



仮説２の場合は、サーバが乗っ取られたということなので、サーバからのレスポンスデータを再現して、ダウンロードしているGrVersionJP.iniファイルをパケットから再現して下さい。DOWN_URL=の部分が画像と異なる場合は、このタイミングでやられていることがわかります。



仮説３の場合は、
ネットワークの途中で書き換えるという方法をとるので、送信先のIPアドレスは同じでも、正規のサーバには通信は届いていません。全通信区間の、GrVersionJP.iniから、DOWN_URL=がおかしい部分を探す必要があります。



GOM Playerのユーザを見つけるなら、
PacketBlackHoleのWeb解析から、URL前方一致で、http://app.gomlab.com/ で検索するとユーザが見つけられます。実際のアップデートはSSLで暗号化するので、Counter SSL Proxyが必要です。
これらの原因となる、アップデートパケットを止めるには、
OnePointWallを入れましょう。簡単に止まります。