●● RMT業者の垢ハックが多発している件32 ●●より。
信オンでパス抜き被害にあったPCに侵入していたマルウェアでPOLのアカウントもやられてるかもという話です。レジストリ検索して「kernaeghdrv.dll」が見つかったら要注意かも?
引き続き情報収集中。
404 名前:ただいま名無し変更議論中@板内を[注意喚起]で検索[] 投稿日:2008/07/21(月) 19:17:06 ID:******
最近、信オンでも被害が目立ち始めた
こっちはkernaeghdrv.dllってのが原因らしい
System32内に入ってるとか、一応見ておいてくれ
487 名前:ただいま名無し変更議論中@板内を[注意喚起]で検索[] 投稿日:2008/07/22(火) 13:14:12 ID:t******JU
7月中旬頃に垢ハックされたままPCを放置していたのだが
※放置してる間はスキャンしても未検出&wzcsvbxm.dllも無し
7/18日更新のパターンファイル(バスター)で>>404のウィルスが
検出されたよ
こいつでぶっこ抜かれたと思われるw
489 名前:ただいま名無し変更議論中@板内を[注意喚起]で検索[] 投稿日:2008/07/22(火) 13:58:36 ID:X******PH
>>487
kernaeghdrv.dllも常駐するタイプぽいなー。
ググってみたけど何に偽装してるか書いてるところなかったし、
まだクリンスコしてなかったらレジストリちょっと検索してkernaeghdrv.dllが起動かけられてるキー位置教えてほしいかもw
490 名前:ただいま名無し変更議論中@板内を[注意喚起]で検索[sage] 投稿日:2008/07/22(火) 14:13:21 ID:x******
kernaeghdrv.dll はhostsファイル改ざんするぽいねぇ。
これも感染ルート不明なのかぁ。
491 名前:484[] 投稿日:2008/07/22(火) 14:30:38 ID:t******JU
>>489
クリインスコはしてないけどウィルスは手動で削除しちゃったので
意味無い検索結果かも
データ:C\WINDOWS\System32\kernaeghDrv.dll
場所:
HKCR\CLSID\{B60A0B68-AF3A-C1D2-CD09-5A81AE36D2BA}\InProcServer32
HKLM\SOFTWARE\Classes\CLSID\{B60A0B68-AF3A-C1D2-CD09-5A81AE36D2BA}\InProcServer32
ちなみにセーフモードでShift+Deleteでは消せなくて、切り取ってデスクトップに
貼り付けて再起動して速攻削除したら消えたw
スタートアップからプロセスが起動するのかなぁ?
493 名前:ただいま名無し変更議論中@板内を[注意喚起]で検索[] 投稿日:2008/07/22(火) 14:40:26 ID:X******PH
>>491
何度もごめんw
B60A0B68-AF3A-C1D2-CD09-5A81AE36D2BA
でレジストリ検索して引っかかったキー書き出してくだちいw
494 名前:ただいま名無し変更議論中@板内を[注意喚起]で検索[] 投稿日:2008/07/22(火) 14:46:00 ID:X******PH
おそらく、起動のトリガーになるアプリケーションのレジストリが改ざんされてると思うんだよなー。
この手の手法のやつだとw
497 名前:484[] 投稿日:2008/07/22(火) 14:55:11 ID:t******JU
>>493
ほいw
こんなんでいいのかな?
HKCR\CLSID\{B60A0B68-AF3A-C1D2-CD09-5A81AE36D2BA}
HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached
HKLM\SOFTWARE\Classes\CLSID\{B60A0B68-AF3A-C1D2-CD09-5A81AE36D2BA}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKU\S-1-5-21-1897249650-2677087331-1138221237-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached
499 名前:ただいま名無し変更議論中@板内を[注意喚起]で検索[sage] 投稿日:2008/07/22(火) 15:00:22 ID:********
>>497
シェル拡張だね。
500 名前:ただいま名無し変更議論中@板内を[注意喚起]で検索[] 投稿日:2008/07/22(火) 15:03:43 ID:X******PH
>>497
ありあり、ちょっと質問リンクシェルコミニティ使ったことはあるかんじ?w
504 名前:484[] 投稿日:2008/07/22(火) 15:07:58 ID:t******JU
>>499
シェル拡張??
>>500
リンクシェルコミニティに登録有りw
マジで後悔してるw
506 名前:ただいま名無し変更議論中@板内を[注意喚起]で検索[] 投稿日:2008/07/22(火) 15:18:17 ID:X******PH
>>504
簡単にいえばkernaeghDrv.dllでウィンドウズ自体の機能を拡張する手法かな。
個別のトロイプログラムとして動かすんじゃなくて、Windowsの機能に紛れ込ませるって言えば解りやすいかなー。
どんな挙動するかは、ちょっとdll本体見てみないと解らないけど。
wzcsvbxm.dlのときよりも更に見つけづらくなってるのは確かだわなw
PR