• ちょっと調べたんで、確認できた範囲でチラシの裏的にメモ
  • このサイト自体がチラシの裏ですがｗ

• 検証環境

WindowsXP SP3 IE8(VMWare環境)
GOM Player 2.2.56.5183

• 1/6に「http://www.gomplayer.jp/」からDLしたもの(GOMPLAYERJPSETUP.EXE [2.2.51.5149])を自動アップデートしたもの
  • (ｈｔｔｐｓ://app.gomlab.com/jpn/gom/GOMPLAYERJPSETUP.EXE)
• おすすめ製品(ALZIP)のインストールなし
• PicPickインストールなし
• GOM Player初期設定は全てデフォルト

• インストール後、起動する都度、HTTPSのアクセスがあるとの事なので、確認してみた
• 内容的には以下の感じで起動毎に1回アクセスしてる

ｈｔｔｐｓ://applog.gomtv.com/?guid=(32桁)&command=1&subcmd=1&appcode=0&value=1&osinfo=E&osver=NOT SUPPORTED&lang=2&appver=2, 2, 56, 5183&skin=GOM2013

osver, appver, skin は実際にはURLエンコードされてます

• 統計情報の取得みたいなもの??

• アップデートの確認は、以下のファイルを取得

ｈｔｔｐ://app.gomlab.com/jpn/gom/GrVersionJP.ini

• 取得した内容の、「VERSION= 」を自身の内部バージョンと比較して、新しいものがあれば、「DOWN_URL=」に記載のファイルをDLして実行
• 実行には、DL先ドメインの検証や、DLしてきたEXEの署名検証などもしていないので、任意のexeがおもむろに実行されます
• この辺の動作がまずかったのかなぁ〜ってことで、とりあえず終わり・・

2014/01/08 追記

• まとめ

高速増殖炉もんじゅ 事務端末のウィルス感染についてまとめてみた(piyologさん)

2014/01/08 追記2

• 英語版(http://www.gomlab.com/eng/)

HTTPSの通信先は同じ
アップデートの確認は、「http://app.gomlab.com/eng/gom/GrVersionEN.ini」

• 海外で話題になってないって事は、日本語のユーザーをターゲットにされたってことかな??

2014/06/13 追記3

• 改ざんの時期が訂正されてました

【セキュリティ ニュース】「GOM Player」によるウイルス感染、発生時期を訂正 - 1カ月早い11月末より発生- Security NEXT (魚拓)