忍者ブログ
RSS配信用のメモです。 本家はこちら →http://nyankonyanko.x0.com
[PR]
×

[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。

2024/04/19 (Fri)
7/22:kernaeghDrv.dll?
●● RMT業者の垢ハックが多発している件32 ●●より。
信オンでパス抜き被害にあったPCに侵入していたマルウェアでPOLのアカウントもやられてるかもという話です。レジストリ検索して「kernaeghdrv.dll」が見つかったら要注意かも?
引き続き情報収集中。

404 名前:ただいま名無し変更議論中@板内を[注意喚起]で検索[] 投稿日:2008/07/21(月) 19:17:06 ID:******
最近、信オンでも被害が目立ち始めた
こっちはkernaeghdrv.dllってのが原因らしい
System32内に入ってるとか、一応見ておいてくれ

487 名前:ただいま名無し変更議論中@板内を[注意喚起]で検索[] 投稿日:2008/07/22(火) 13:14:12 ID:t******JU
7月中旬頃に垢ハックされたままPCを放置していたのだが
※放置してる間はスキャンしても未検出&wzcsvbxm.dllも無し

7/18日更新のパターンファイル(バスター)で>>404のウィルスが
検出されたよ
こいつでぶっこ抜かれたと思われるw

489 名前:ただいま名無し変更議論中@板内を[注意喚起]で検索[] 投稿日:2008/07/22(火) 13:58:36 ID:X******PH
>>487
kernaeghdrv.dllも常駐するタイプぽいなー。
ググってみたけど何に偽装してるか書いてるところなかったし、
まだクリンスコしてなかったらレジストリちょっと検索してkernaeghdrv.dllが起動かけられてるキー位置教えてほしいかもw

490 名前:ただいま名無し変更議論中@板内を[注意喚起]で検索[sage] 投稿日:2008/07/22(火) 14:13:21 ID:x******
kernaeghdrv.dll はhostsファイル改ざんするぽいねぇ。
これも感染ルート不明なのかぁ。

491 名前:484[] 投稿日:2008/07/22(火) 14:30:38 ID:t******JU
>>489
クリインスコはしてないけどウィルスは手動で削除しちゃったので
意味無い検索結果かも

データ:C\WINDOWS\System32\kernaeghDrv.dll
場所:
HKCR\CLSID\{B60A0B68-AF3A-C1D2-CD09-5A81AE36D2BA}\InProcServer32
HKLM\SOFTWARE\Classes\CLSID\{B60A0B68-AF3A-C1D2-CD09-5A81AE36D2BA}\InProcServer32

ちなみにセーフモードでShift+Deleteでは消せなくて、切り取ってデスクトップに
貼り付けて再起動して速攻削除したら消えたw
スタートアップからプロセスが起動するのかなぁ?

493 名前:ただいま名無し変更議論中@板内を[注意喚起]で検索[] 投稿日:2008/07/22(火) 14:40:26 ID:X******PH
>>491
何度もごめんw

B60A0B68-AF3A-C1D2-CD09-5A81AE36D2BA

でレジストリ検索して引っかかったキー書き出してくだちいw

494 名前:ただいま名無し変更議論中@板内を[注意喚起]で検索[] 投稿日:2008/07/22(火) 14:46:00 ID:X******PH
おそらく、起動のトリガーになるアプリケーションのレジストリが改ざんされてると思うんだよなー。
この手の手法のやつだとw

497 名前:484[] 投稿日:2008/07/22(火) 14:55:11 ID:t******JU
>>493
ほいw
こんなんでいいのかな?

HKCR\CLSID\{B60A0B68-AF3A-C1D2-CD09-5A81AE36D2BA}
HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached
HKLM\SOFTWARE\Classes\CLSID\{B60A0B68-AF3A-C1D2-CD09-5A81AE36D2BA}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKU\S-1-5-21-1897249650-2677087331-1138221237-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached

499 名前:ただいま名無し変更議論中@板内を[注意喚起]で検索[sage] 投稿日:2008/07/22(火) 15:00:22 ID:********
>>497
シェル拡張だね。

500 名前:ただいま名無し変更議論中@板内を[注意喚起]で検索[] 投稿日:2008/07/22(火) 15:03:43 ID:X******PH
>>497
ありあり、ちょっと質問リンクシェルコミニティ使ったことはあるかんじ?w

504 名前:484[] 投稿日:2008/07/22(火) 15:07:58 ID:t******JU
>>499
シェル拡張??

>>500
リンクシェルコミニティに登録有りw
マジで後悔してるw

506 名前:ただいま名無し変更議論中@板内を[注意喚起]で検索[] 投稿日:2008/07/22(火) 15:18:17 ID:X******PH
>>504
簡単にいえばkernaeghDrv.dllでウィンドウズ自体の機能を拡張する手法かな。
個別のトロイプログラムとして動かすんじゃなくて、Windowsの機能に紛れ込ませるって言えば解りやすいかなー。
どんな挙動するかは、ちょっとdll本体見てみないと解らないけど。
wzcsvbxm.dlのときよりも更に見つけづらくなってるのは確かだわなw
PR
2008/07/22 (Tue) マルウェア
   7/23:Botに感染するとこうなる HOME 7/22:Acrobat Javascriptを無効化する   
忍者ブログ [PR]


Designed by A.com
カレンダー
03 2024/04 05
S M T W T F S
1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30
リンク
ネ実アカハクスレテンプレ
FFXI(仮)
ヴァナ・ディール在住・猫・6才
新しい記事を書く
カテゴリー
ブラウザ ( 19 )
プラグイン ( 26 )
危険なサイト・ドメイン ( 30 )
POL・FFXI ( 14 )
Microsoft ( 14 )
マルウェア ( 9 )
その他の危険 ( 34 )
統計データ・ニュース ( 33 )
セキュリティソフト ( 10 )
対策情報 ( 6 )
未選択 ( 5 )
このブログについて ( 1 )
最新記事
2/21: Acrobat Reader最新版に脆弱性
(02/21)
1/14:Windows月例Update
(01/14)
1/6: NoScript1.8.8.5
(01/06)
1/4:ExciteBlog他大規模改ざん
(01/04)
12/17:人間、諦めが肝心なこともあるらしい。
(12/17)
RSS
RSS 0.91
RSS 1.0
RSS 2.0
ブログ内検索
アーカイブ
2009 年 02 月 ( 1 )
2009 年 01 月 ( 3 )
2008 年 12 月 ( 2 )
2008 年 11 月 ( 7 )
2008 年 10 月 ( 17 )
カウンター
ふぉくすけくん
Firefox meter
GoogleChrome
Chrome Counter
アクセス解析