2008年07月15日

アカハック対策

以下、色々情報のコピペ。一部修正・追記あり。
ちょっと長いけど、ご一読して自衛してください。
マンドクセ(´A`)って人はチェック方法だけでもやってみてください。

↓↓↓↓↓↓↓↓

---------------------------------------------------------------
+++概要+++
---------------------------------------------------------------

wzcsvbxm.dllはsvchost.exeを使い、POLのプロセスを乗っ取ってメモリからIDとパスワードを盗み取ります。
つまりパスワードを保存してても、してなくても関係ないようです。

串刺して、第三国経由で繋いだり、
リネ2であった、国内在駐の留学生が中継サーバー使って、繋げる可能性大

今回の垢ハックの原因特定出来たらしいです。
PC初心者には、頭が混乱することなので注意です。
(POL.exe接続時にスクエニ以外に繋げてID・パス送信)
次々とアンチウイルスソフトが対応していってるので、
近々ブロック出来ると思われ。

※すぐ亜種も出ると思うので、アップデートは必ずしておきましょう。
※まめにアップデートしてるから大丈夫!
 ・・・なんてことはないので要注意。油断大敵。

++++++++

★wuauserv.dllがwzcsvbxm.dllに改ざんされていた件 暫定まとめ改訂案(推敲よろしゅー)

wuauserv.dll(ウィンドウスアップデートに使われるダイナミックリンクライブラリ)のレジストリを
正規のプロセスC:\WINDOWS\System32\svchost.exeを使って罠サイトへパスを送るwzcsvbxm.dllに書き換える。

ファイルからではなくプロセスをフックしてメモリからパスを送信。送信経路はhttp。
(レジストリの不正更新もあるにもかかわらず)ほとんどのセキュリティソフトは未検知。
7/13付けで検体爆撃済み かたじけのうござる。

判明している送信先(置き換えではなく●を単純に削る)
引退:wowint●erfcae.com 204.13.6●4.0 - 204.13.71.255
現役:googlesy●dition.com 74.86.1●85.101

++++++++

◎wzcsvbxm.dllの中身

ttp://204■13■69■12/fg/post.asp(頭のhのけてます。一部『.』を『■』に変えてあります)や
ttp://googlesydition.com/4fh7c/post.asp(頭のhのけてます。一部全角文字に変えてあります)

という文字列が存在。これ以外にも亜種があるようです。おそらくこれが送信先。
サーバーはアメリカですが、ホストを逆引きしていくともちろんかの国に到着。

---------------------------------------------------------------
+++チェック方法+++ ※重要※
---------------------------------------------------------------

★★★★wzcsvbxm.dllを探す方法/レジストリエディタ編★★★★

1:【スタート】⇒【ファイル名を指定して実行】⇒『regedit』と入力して【OK】(【レジストリエディタ】を開く)
2:マイコンピュータ配下『 HKEY_LOCAL_MACHINE \ SYSTEM 』のフォルダを開く
レジストエディタ@
3:『 ControlSetxxx(xxxは数字、複数フォルダあると思われ) 』と
 『 CurrentControlSet 』の中にある
 『 Services \ wuauserv \ Parameters 』内の『 ServiceDll(種類:REG_EXPAND_SZ) 』を確認
レジストエディタA
4:感染していなければ『 C:\WINDOWS\system32\wuauserv.dll 』が表示される
  『 wzcsvbxm.dll 』など、上記以外のファイルが登録されていた場合、感染している可能性が極めて大
  
※ダブルクリックして開いた状態
レジストエディタB
 
★★★★★★★★★★★★★★★★★★★

◎まず安全な環境でパス変更 wzcsvbxm.dllをwuauserv.dllに書き換えられるなら書き換え 等の対策をする
◎ただし すぐに戻ってしまう報告もあるため 修正後要確認
◎本体(生成元)および感染ルートは現状不明なため、修正をしたとしても完全に駆除されているか分かりませんので、感染が確認された場合は『クリーンインストール推奨』

■■■■■■wzcsvbxm.dllを探す方法/ファイル検索編■■■■■■

@適当なフォルダを開く or デスクトップに「新しいフォルダ」を作成して開く
Aメニューバーより、【ツール】⇒【フォルダオプション】を選択
Bダイアログ内の【表示】タブを選択
C【詳細設定】リスト内の『保護されたオペレーティングシステムファイルを表示しない(推奨)』のチェックをOFFにする
D【フォルダの表示】の『すべてのフォルダに適用』を選択して【OK】
E【検索】のアイコンをクリック or Ctrl+F で検索を開く
F『ファイルとフォルダすべて』⇒『ファイル名のすべてまたは一部』に「wzcsvbxm.dll」を入力
G【探す場所】は【マイコンピュータ】を選択
H【詳細オプション】内の『システムフォルダの検索』『隠しファイルとフォルダの検索』『サブフォルダの検索』のチェックをONにする
I【検索】を選択し、検索終了までしばらく待機…なんか出てきたら感染してるそうな…

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

++++++++

☆☆☆☆もし改竄されていた場合の対策【レジストリエントリ修正 叩き台】☆☆☆☆

@OSをセーフモードで起動する(OS起動中にF8連打)
Aレジストリエディタを起動する
 スタート>ファイル名を指定して実行>regedit
B改竄されているレジストリキーへ移動する
  HKEY_LOCAL_MACHINE\SYSTEM\ControlSetxxx(xxxは数字)\Services\wuauserv\Parameters
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters
Cエントリ(値)を本来の値に戻す
  %SystemRoot%\system32\wuauserv.dll (%SystemRoot%は ほにゃらら:\WINDOWSってことね
D保存して終了
Eファイルやフォルダの検索でwzcsvbxm.dllを探す
Fwzcsvbxm.dllをuhawww.okwwwあたりにリネーム後、適当にsystem32フォルダから外に出す(なんでもいいですここで消してもいい)
GOS再起動
Hレジストリエディタを起動して修正箇所を確認。WindowsUpdate動作確認。正しければ終了

以上で今回の垢パクウェアのシステムからの分離はできるんだけど、まだwzcsvbxm.dllを生成したやつの特定できてないので。
PC内部に色々残ってる可能性が結構高いと思われる。ぶっちゃけ検証用とかでなければクリンスコ大推奨。
というか危ないのでクリンスコしてください。

☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆


posted by いたる at 00:00| Comment(0) | アバウト | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。