tempから不審なパケットが出てます
Winampをインスコしたらrundll32.exeが204.232.180.209:80にアクセスするようになったので少し調べてみた。
まずはIPアドレスを調査
204.232.180.209の逆引きはできなかった。whoisで調べるとTexas州San AntonioにあるOpenCandyという組織のものらしい。ポート80はHTTPと決まっているので試しにブラウザでアクセスしてみたが空白が表示されるだけだ。Googleのキャッシュによると少し前までは
Heere I am ....
と表示されていたようだ。スペルミスがいかにも怪しいぞ。
次はDLLの調査
rundll32.exeはDLL内のコードを実行するときに使われるので、通信の発端となったコードは他の場所にある。Process Explorerでコマンドラインを調べると、本体は一時フォルダにあることがわかった。
RunDll32.exe "C:\Users\username\AppData\Local\Temp\nab958F.tmp\OCSetupHlp.dll",_OCPRD194RunOpenCandyDLL@16 3520
OCSetupHlp.dllのハッシュ値をVirusTotalで検索してみる。その結果がこれ。うん? どうも一部のアンチウイルスソフトで検出される代物らしいぞ。このDLLがなぜ一時フォルダに置かれていたのか不明だが、フォルダの作成日時からいってWinampのインストーラーがやった可能性が高い。
スパイウェアか?
VirusTotalの検出名でググってみたところ、OpenCandyについて記述したWikipediaの記事を見つけることができた。これによるとOpenCandy付きのインストーラーを実行するとパソコンの中身と場所に応じて他のアプリがお勧めされるらしい。件の通信はそのためのものだろう。自分の感覚から言うと、これは明らかにアドウェアなので通信は許可しないし、DLLも削除しておいた。
ちなみに、このOpenCandyはWinampのインストーラー以外にもCCleanerやWinSCP、Unlocker、Connectify などのインストーラーにも含まれているようだ。この調子だとまたスパイウェア対策ソフトをインスコする必要があるかもしれないな。