■下記のサイト↓ dl.volamviet.vn / 49.212.32.185 autovolam.org / 49.212.32.185 【追加】 ■下記のダウンロードURL/ファイル↓ hxxp://dl.volamviet.vn/VAutoF2.0.13.zip http://autovolam.org/dl.php?id=69F6BC8&file=VAutoPKF1.0.14.zip 【追加】 http://autovolam.org/dl.php?id=69F6BCA&file=LCTool3.3.6.1.zip 【追加】 http://autovolam.org/Downloads/VAutoPKF1.0.14.zip 【追加】 http://autovolam.org/Downloads/LCTool3.3.6.1.zip 【追加】 証拠↓■マルウェアのファイル(バイナリー調査)--17:15:07-- hxxp://dl.volamviet.vn/VAutoF2.0.13.zip => `VAutoF2.0.13.zip' Resolving dl.volamviet.vn... 49.212.32.185 Connecting to dl.volamviet.vn|49.212.32.185|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 3,006,904 (2.9M) [application/zip] 100%[====================================>] 3,006,904 826.20K/s ETA 00:00 17:15:10 (829.42 KB/s) - `VAutoF2.0.13.zip' saved [3006904/3006904] Sun Feb 19 00:04:37 JST 2012の追加情報↓ --23:57:28-- hxxp://autovolam.org/Downloads/VAutoPKF1.0.14.zip => `VAutoPKF1.0.14.zip' Resolving autovolam.org... 49.212.32.185 Connecting to autovolam.org|49.212.32.185|:80... connected. hxxp request sent, awaiting response... 200 OK Length: 2,998,787 (2.9M) [application/zip] 100%[====================================>] 2,998,787 1.34M/s 23:57:30 (1.33 MB/s) - `VAutoPKF1.0.14.zip' saved [2998787/2998787] --23:57:40-- hxxp://autovolam.org/Downloads/LCTool3.3.6.1.zip => `LCTool3.3.6.1.zip' Resolving autovolam.org... 49.212.32.185 Connecting to autovolam.org|49.212.32.185|:80... connected. hxxp request sent, awaiting response... 200 OK Length: 735,688 (718K) [application/zip] 100%[====================================>] 735,688 1.30M/s 23:57:41 (1.30 MB/s) - `LCTool3.3.6.1.zip' saved [735688/735688]■下記のマルウェアを発見しました↓マルウェア種類:トロイ・ドロッパー・キーロガー・スパイウェア マルウェア名 :W32: Perfloger / PerfectKeylogger / PerfectKeyLogなど マルウェア機能:キーロガー(Keylogger)、ドロッパー(Dropper)、スパイウェア(Spyware) 説明 :1. マルウェアファイルを感染されたPCに保存する(Dropper)、 2. 感染されたPCの情報を記録して外にメールで情報を送る(Spyware) 3. 押されたキーボードの情報を記録し保存する(Keylogger)■オンラインスキャン結果↓MD5: 7ee12270f65c5397431ea398dd2d4cca File size: 2.9 MB ( 3,006,904 bytes ) File name: VAutoF2.0.13.zip File type: ZIP Detection ratio: 31 / 43 Analysis date: 2012-02-02 07:06:01 UTC MD5: 1a835e32b1fef966e4924b2c6895099c File size: 2.9 MB ( 3,026,829 bytes ) File name: VAutoF2.0.13.exe File type: Win32 EXE Detection ratio: 31 / 42 Analysis date: 2012-02-02 08:17:26 UTC ---------- 追加↓ ---------- c1d55640e24fe40f9439b3af46d2a81bd7a95cff File name: LCTool3.3.6.1.zip MD5: 523f355c4b7d07ea0f476ccfad4bb961 File size: 718.4 KB ( 735688 bytes ) File type: ZIP Detection ratio: 31 / 43 Analysis date: 2012-02-18 14:55:55 UTC ( 11 分 ago ) ff44201f1cf25199ca297befe1f09238b414f4fe File name: VAutoPKF1.0.14.zip MD5: e3e0d4f38a8b1d71b8ba52530fa1904a File size: 2.9 MB ( 2998787 bytes ) File type: ZIP Detection ratio: 31 / 43 Analysis date: 2012-02-18 14:56:03 UTC■ファイル情報↓■マルウェア行動分析調査結果↓-rwx------ 3,026,829 Jan 12 21:14 VAutoF2.0.13.exe* 1a835e32b1fef966e4924b2c6895099c -rwx------ 3,006,904 Jan 12 23:14 VAutoF2.0.13.zip* 7ee12270f65c5397431ea398dd2d4cca■アイコン↓ ■調査結果 - 本サンプルのあやしい/注意ポイント↓※VAutoF2.0.13.zipは只のzipファイルですので、VAutoF2.0.13.exeを調査しました↓ 1. Compile Time: 2001-03-03 03:25:22 ←おかしい 2. CRC情報が間違い、書いたのは0で実は3,040,427、packerのせいかも 3. packer情報: WinRAR 32-bit SFX Module 4. AntiDebugを発見↓ 0x40e154 CloseHandle 0x40e1d8 LoadLibraryA 5. 下記のファイルやり取りは非常におかしい↓ 0x40e160 CreateFileA 0x40e1a0 GetFileAttributesA 0x40e1e0 MoveFileA 0x40e1f0 SetFileAttributesA 6. 【クリック】←DLL情報を見たら結構沢山あやしいコールが発見 7. インストーラー機能を発見しました↓ 8. さくっとオンラインスキャンしたら、マルウェアの結果が沢山出ました↓-------------------------------------------------------------- Antivirus Result Update -------------------------------------------------------------- AhnLab-V3 - 20120126 AntiVir TR/Dropper.Gen 20120127 Antiy-AVL - 20120126 Avast Win32:Perflogger-CC [Tool] 20120127 AVG PSW.Banker3.XBI 20120126 BitDefender Gen:Trojan.Heur.MR.4sZ@aKGeaNbc 20120127 ByteHero - 20120126 CAT-QuickHeal - 20120127 ClamAV Trojan.Perflog.arc 20120126 Commtouch W32/Banker.ALWM 20120127 Comodo TrojWare.Win32.Agent.~Wrar 20120126 Emsisoft Trojan-Spy.Win32.Perfloger!IK 20120127 eSafe - 20120126 eTrust-Vet Win32/Perflogger.AH 20120127 F-Prot W32/Banker.ALWM 20120126 F-Secure Gen:Trojan.Heur.MR.4sZ@aKGeaNbc 20120127 Fortinet W32/PatchedRarSfx.A 20120127 GData Gen:Trojan.Heur.MR.4sZ@aKGeaNbc 20120127 Ikarus Trojan-Spy.Win32.Perfloger 20120127 Jiangmin - 20120125 K7AntiVirus Spyware 20120126 Kaspersky not-a-virus:Monitor.Win32.Perflogger.ca 20120127 McAfee RapSFX packed app 20120126 McAfee-GW-Edition RapSFX packed app 20120127 Microsoft MonitoringTool:Win32/PerfectKeylogger 20120127 NOD32 Win32/Spy.PerfKey.NAA 20120127 Norman W32/Banker.AEUD 20120126 nProtect - 20120126 Panda Application/PerfectKeyLog.AV 20120126 PCTools Application.Perfect_Keylogger 20120127 Prevx - 20120202 Rising Trojan.Spy.PerfLoger.c 20120118 Sophos Mal/Dropper-PQ 20120127 SUPERAntiSpyware - 20120127 Symantec WS.Reputation.1 20120127 TheHacker - 20120126 TrendMicro TROJ_STARTPG.C 20120127 TrendMicro-HouseCall TROJ_STARTPG.C 20120127 VBA32 Win32.Spy.PerfKey 20120126 VIPRE Trojan.Win32.PerfectKeylogger.AB (v) 20120127 ViRobot - 20120127 VirusBuster Trojan.PerfKeylogger!L1kwwpWPBCs 20120126 -------------------------------------------------------------- Detection ratio: 31 / 42 Analysis date: 2012-02-02 08:17:26 UTC --------------------------------------------------------------マルウェアを実行したら下記のポップアップが出ました↓ この順番でマルウェアが実行されます↓■下記は行動分析調査の画像キャップチャー↓VAutoF2.0.13.exe | +------> rinst.exe | +------> system.exe※詳しくは下記のストーリーは下記となります↓1. マルウェア(VAutoF2.0.13.exe)が下記のマルウェアファイルをドロップしました↓■ネットワーク動きに付いて%Temp% \RarSFX0 %Temp% \RarSFX0\VAutoF2.0.13.zip %Temp% \RarSFX0\inst.dat %Temp% \RarSFX0\pk.bin %Temp% \RarSFX0\rinst.exe %Temp% \RarSFX0\system.exe %Temp% \RarSFX0\systemhk.dll %Temp% \RarSFX0\systemwb.dll2. マルウェア(VAutoF2.0.13.exe)が(rinst.exe)を実行します Shell="C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX0\rinst.exe" 3. マルウェアファイル(rinst.exe)が実行されたら下記のファイルを削除されます↓%Temp% \RarSFX0 %Temp% \RarSFX0\VAutoF2.0.13.zip %Temp% \RarSFX0\inst.dat %Temp% \RarSFX0\pk.bin %Temp% \RarSFX0\rinst.exe %Temp% \RarSFX0\system.exe %Temp% \RarSFX0\systemhk.dll %Temp% \RarSFX0\systemwb.dll下記のregistryを変更された↓ HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Common Desktop C:\Documents and Settings\All Users\Desktop HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Common Documents C:\Documents and Settings\All Users\Documents HKU\S-1-5-21-842925246-1425521274-308236825-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a1094da8-30a0-11dd-817b-806d6172696f}\ BaseClass Drive HKU\S-1-5-21-842925246-1425521274-308236825-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a1094daa-30a0-11dd-817b-806d6172696f}\ BaseClass Drive HKU\S-1-5-21-842925246-1425521274-308236825-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Desktop C:\Documents and Settings\Administrator\Desktop HKU\S-1-5-21-842925246-1425521274-308236825-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders 4. 下記のファイルをWindowsシステムフォルダーへ保存↓C:\WINDOWS\system32\inst.dat C:\WINDOWS\system32\pk.bin C:\WINDOWS\system32\rinst.exe C:\WINDOWS\system32\system.exe C:\WINDOWS\system32\systemhk.dll C:\WINDOWS\system32\systemwb.dll5. マルウェア(rinst.exe)がマルウェア(system.exe)を実行しました↓Shell="C:\WINDOWS\system32\system.exe" system.exeが本マルウェアのpayloadです、情報は↓ Filename: system.exe MD5: bae0fb25bcf05a5da7fde8dce759ee0d SHA-1: bc74b07d14a63ce572755c70ceb796136d129e20 File Size: 438,272 Bytes6. 「system.exe」を実行されたらRegistryに下記の追加コードを発見しました↓ [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] system = "%System%\system.exe" ↑マルウェアは自動で起動されるように設定をされました。 system.exeの追加情報 ロードされたDLL↓-------------------------------------------------------------------- Module Name Base Address Size -------------------------------------------------------------------- C:\WINDOWS\system32\ntdll.dll 0x7C900000 0x000AF000 C:\WINDOWS\system32\kernel32.dll 0x7C800000 0x000F6000 C:\WINDOWS\system32\WININET.dll 0x771B0000 0x000AA000 C:\WINDOWS\system32\ADVAPI32.dll 0x77DD0000 0x0009B000 C:\WINDOWS\system32\RPCRT4.dll 0x77E70000 0x00092000 C:\WINDOWS\system32\Secur32.dll 0x77FE0000 0x00011000 C:\WINDOWS\system32\CRYPT32.dll 0x77A80000 0x00095000 C:\WINDOWS\system32\MSASN1.dll 0x77B20000 0x00012000 C:\WINDOWS\system32\msvcrt.dll 0x77C10000 0x00058000 C:\WINDOWS\system32\USER32.dll 0x7E410000 0x00091000 C:\WINDOWS\system32\GDI32.dll 0x77F10000 0x00049000 C:\WINDOWS\system32\OLEAUT32.dll 0x77120000 0x0008B000 C:\WINDOWS\system32\ole32.dll 0x774E0000 0x0013D000 C:\WINDOWS\system32\SHLWAPI.dll 0x77F60000 0x00076000 C:\WINDOWS\system32\MFC42.DLL 0x73DD0000 0x000FE000 C:\WINDOWS\system32\comdlg32.dll 0x763B0000 0x00049000 C:\WINDOWS\WinSxS\..\COMCTL32.dll 0x773D0000 0x00103000 C:\WINDOWS\system32\SHELL32.dll 0x7C9C0000 0x00817000 C:\WINDOWS\system32\urlmon.dll 0x7E1E0000 0x000A2000 C:\WINDOWS\system32\VERSION.dll 0x77C00000 0x00008000 C:\WINDOWS\system32\WSOCK32.dll 0x71AD0000 0x00009000 C:\WINDOWS\system32\WS2_32.dll 0x71AB0000 0x00017000 C:\WINDOWS\system32\WS2HELP.dll 0x71AA0000 0x00008000 C:\WINDOWS\system32\MSVCP60.dll 0x76080000 0x00065000system.exeのRUN DLL↓-------------------------------------------------------------------- Module Name Base Address Size -------------------------------------------------------------------- C:\WINDOWS\system32\SAMLIB.dll 0x71BF0000 0x00013000 C:\WINDOWS\system32\WLDAP32.dll 0x76F60000 0x0002C000 C:\WINDOWS\system32\NTMARTA.DLL 0x77690000 0x00021000↑system.exeが実行されたらずっと起動されている状況です。 パソコンのメモリの中に下記のDLLがずっと動いております↓C:\WINDOWS\WindowsShell.Manifest <---Windowsバーションコール C:\WINDOWS\system32\WSOCK32.dll <---コミュニケーションソケット C:\WINDOWS\system32\urlmon.dll <---URLでネットワークを接続為 C:\WINDOWS\system32\SHELL32.dll <---shell C:\WINDOWS\system32\WININET.dll <---ネットワークライブラリー下記のSMTPトラフィックを発見しました。本マルウェアがSMTP機能が持っています。 外側にあるIP(TCP/25 IP:173.194.65.27)に接続の動きを発見しました。 パケットキャップチャーしたら下記の情報となります↓ 00000000 | 4845 4C4F 2043 6F6D 7075 7465 724E 616D | HELO ComputerNam 00000010 | 650D 0A44 4154 410D 0A46 726F 6D3A 2067 | e..DATA..From: g 00000020 | 6961 636F 6265 3531 4067 6D61 696C 2E63 | iacobe51@gmail.c 00000030 | 6F6D 0D0A 546F 3A20 6769 6163 6F62 6535 | om..To: giacobe5 00000040 | 3140 676D 6169 6C2E 636F 6D0D 0A53 7562 | 1@gmail.com..Sub 00000050 | 6A65 6374 3A20 5065 7266 6563 7420 4B65 | ject: Perfect Ke 00000060 | 796C 6F67 6765 7220 7761 7320 696E 7374 | ylogger was inst 00000070 | 616C 6C65 6420 7375 6363 6573 7366 756C | alled successful 00000080 | 6C79 3A20 322F 322F 3230 3132 2C20 383A | ly: 2/2/2012, 8: 00000090 | 3433 2041 4D20 2843 4F4D 5055 5445 524E | 43 AM (COMPUTERN 000000A0 | 414D 455C 5573 6572 4E61 6D65 290D 0A44 | AME\UserName)..D 000000B0 | 6174 653A 2054 6875 2C20 3032 2046 6562 | ate: Thu, 02 Feb 000000C0 | 2032 3031 3220 3038 3A34 333A 3331 202D | 2012 08:43:31 - 000000D0 | 3038 3030 0D0A 582D 4D61 696C 6572 3A20 | 0800..X-Mailer: 000000E0 | 4D69 6372 6F73 6F66 7420 4F75 746C 6F6F | Microsoft Outloo 000000F0 | 6B20 4578 7072 6573 7320 362E 3030 2E32 | k Express 6.00.2 00000100 | 3830 302E 3134 3337 0D0A 436F 6E74 656E | 800.1437..Conten 00000110 | 742D 5479 7065 3A20 7465 7874 2F70 6C61 | t-Type: text/pla 00000120 | 696E 3B0D 0A09 6368 6172 7365 743D 6973 | in;...charset=is 00000130 | 6F2D 3838 3539 2D31 0D0A 0D0A 5065 7266 | o-8859-1....Perf 00000140 | 6563 7420 4B65 796C 6F67 6765 7220 7761 | ect Keylogger wa 00000150 | 7320 696E 7374 616C 6C65 6420 6F6E 2074 | s installed on t 00000160 | 6865 2063 6F6D 7075 7465 7220 434F 4D50 | he computer COMP 00000170 | 5554 4552 4E41 4D45 2C20 7769 7468 2049 | UTERNAME, with I 00000180 | 5020 6164 6472 6573 7320 3139 322E 3136 | P address 192.16 00000190 | 382E 3136 302E 3132 382C 2075 7365 7220 | 8.160.128, user 000001A0 | 5573 6572 4E61 6D65 2061 7420 322F 322F | UserName at 2/2/ 000001B0 | 3230 3132 2C20 383A 3433 2041 4D2E 0D0A | 2012, 8:43 AM... 000001C0 | 2E0D 0A51 5549 540D 0A | ...QUIT.. ↑giacobe51@gmail.comからgiacobe51@gmail.comの宛てにメールを送る動きを発見し メールの文書の中にパソコン、IP情報とユーザ情報が書いてあります。 これでスパイウェアに関しての証明が出来ます。実行した時のプロセス情報↓ マルウェア(VAutoF2.0.13.exe)のSFXを実行した時のポップアップ↓ ここへファイルを保存した時の証拠↓ マルウェア(system.exe)を実行された時のスナップショット↓ さらに変なツールバーがでてしまいました↓ この状態でパソコンをウイルススキャンをすると必ずマルウェア警告が出ます↓■マルウェアソースの調査↓インターネットで検索したら、下記のサイトのハッキングツールで確認しました↓ ↑同じドメインで確認しました【volamviet.nm】 このサイトに沢山ハッキングツールを発見しました、例えば今回のキーロガーソフトですね。 ベトナムのサイトですが、日本のサーバを使っているので、困りますね…■マルウェアダウンロードURLの調査↓確認したら日本のサーバを使っていますね、下記証拠↓ IP ADDR: 49.212.32.185 inetnum: 49.212.32.0 - 49.212.32.255 netname: SAKURA-NET descr: SAKURA Internet Inc. country: JP admin-c: KT749JP tech-c: KW419JP remarks: This information has been partially mirrored by APNIC from remarks: JPNIC. To obtain more specific information, please use the remarks: JPNIC WHOIS Gateway at remarks: http://www.nic.ad.jp/en/db/whois/en-gateway.html or remarks: whois.nic.ad.jp for WHOIS client. (The WHOIS client remarks: defaults to Japanese output, use the /e switch for English remarks: output) changed: apnic-ftp@nic.ad.jp 20110307 source: JPNIC Contact Information: [担当者情報] a. [JPNICハンドル] KW419JP b. [氏名] 鷲北 賢 c. [Last, First] Washikita, Ken d. [電子メイル] north-nic@sakura.ad.jp f. [組織名] さくらインターネット株式会社 g. [Organization] SAKURA Internet Inc. k. [部署] 技術部 l. [Division] Technical Department m. [肩書] 部長 n. [Title] Director o. [電話番号] +81-6-6265-4830 p. [FAX番号] +81-6-6265-4834 y. [通知アドレス] jpnic-staff@sakura.ad.jp [最終更新] 2007/05/23 12:11:07(JST) db-staff@nic.ad.jp ネットワークルーティング図↓ ↑日本のIDCネットワークでマルウェアダウンロードURLを提供されているので、 今回のウェブサイト(dl.volamviet.vn)から早めにマルウェアを削除してほしいですね。 追加情報ですが、本日平成24年2月18日ですが、マルウェアの亜種が出ました。 さらに新しいドメイン(autovolam.org)で提供されております、IPは同じく49.212.32.185です。 早めに本サイトのマルウェアを削除して欲しいです。 念のために最新版のインターネットルーティング情報↓■結論↓1. VAutoF2.0.13.exe及びVAutoF2.0.13.zipはキーロガー・へっキングアプリケーションです。 2. VAutoF2.0.13.exeの動きを確認したら非常におかしいですので、間違いなくマルウェアです。 3. マルウェア対策ソフトで確認したら必ずマルウェアを検知されます↓ ↑1回インストールしたら止める方法/アンインストール方法が無いので、良くないです。 4. 上記によって本件のマルウェアURLを削除して下さい。
----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック
Tweet
インターネトで検索したら本マルウェアのリファレンスが沢山出ましたので、下記は検索結果URLとなります↓
返信削除http://bit.ly/xqo6ba
以上
In the current sample, this keylogger program was design to be executed in malicious way.
返信削除Just a click of the zip file and you will get the "system.exe" malware running in your system.
Please noted that upon installation sucessed the SMTP traffic contains of PC's info/IP Address and User's info is sent to the email "giacobe51@gmail.com" as per SMTP traffic below. Hereby, tt is a keylogger, spyware, trojan dropper, no doubt.
00000000 | 4845 4C4F 2043 6F6D 7075 7465 724E 616D | HELO ComputerNam
00000010 | 650D 0A44 4154 410D 0A46 726F 6D3A 2067 | e..DATA..From: g
00000020 | 6961 636F 6265 3531 4067 6D61 696C 2E63 | iacobe51@gmail.c
00000030 | 6F6D 0D0A 546F 3A20 6769 6163 6F62 6535 | om..To: giacobe5
00000040 | 3140 676D 6169 6C2E 636F 6D0D 0A53 7562 | 1@gmail.com..Sub
00000050 | 6A65 6374 3A20 5065 7266 6563 7420 4B65 | ject: Perfect Ke
00000060 | 796C 6F67 6765 7220 7761 7320 696E 7374 | ylogger was inst
00000070 | 616C 6C65 6420 7375 6363 6573 7366 756C | alled successful
00000080 | 6C79 3A20 322F 322F 3230 3132 2C20 383A | ly: 2/2/2012, 8:
00000090 | 3433 2041 4D20 2843 4F4D 5055 5445 524E | 43 AM (COMPUTERN
000000A0 | 414D 455C 5573 6572 4E61 6D65 290D 0A44 | AME\UserName)..D
000000B0 | 6174 653A 2054 6875 2C20 3032 2046 6562 | ate: Thu, 02 Feb
000000C0 | 2032 3031 3220 3038 3A34 333A 3331 202D | 2012 08:43:31 -
000000D0 | 3038 3030 0D0A 582D 4D61 696C 6572 3A20 | 0800..X-Mailer:
000000E0 | 4D69 6372 6F73 6F66 7420 4F75 746C 6F6F | Microsoft Outloo
000000F0 | 6B20 4578 7072 6573 7320 362E 3030 2E32 | k Express 6.00.2
00000100 | 3830 302E 3134 3337 0D0A 436F 6E74 656E | 800.1437..Conten
00000110 | 742D 5479 7065 3A20 7465 7874 2F70 6C61 | t-Type: text/pla
00000120 | 696E 3B0D 0A09 6368 6172 7365 743D 6973 | in;...charset=is
00000130 | 6F2D 3838 3539 2D31 0D0A 0D0A 5065 7266 | o-8859-1....Perf
00000140 | 6563 7420 4B65 796C 6F67 6765 7220 7761 | ect Keylogger wa
00000150 | 7320 696E 7374 616C 6C65 6420 6F6E 2074 | s installed on t
00000160 | 6865 2063 6F6D 7075 7465 7220 434F 4D50 | he computer COMP
00000170 | 5554 4552 4E41 4D45 2C20 7769 7468 2049 | UTERNAME, with I
00000180 | 5020 6164 6472 6573 7320 3139 322E 3136 | P address 192.16
00000190 | 382E 3136 302E 3132 382C 2075 7365 7220 | 8.160.128, user
000001A0 | 5573 6572 4E61 6D65 2061 7420 322F 322F | UserName at 2/2/
000001B0 | 3230 3132 2C20 383A 3433 2041 4D2E 0D0A | 2012, 8:43 AM...
000001C0 | 2E0D 0A51 5549 540D 0A | ...QUIT..