忍者ブログ
RSS配信用のメモです。 本家はこちら →http://nyankonyanko.x0.com
×

[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。

●● RMT業者の垢ハックが多発している件36 ●●より。
KarnaeghDrv.dllってのも同じ名前で検出されるらしい。
→詳細:Troj/Lineag-DY Trojan - Sophos security analysis

前にスレで話題になってたのはKernaeghDrv.dllなんですが……
もしかして"k*rnaeghDrv.dll"ってシリーズ化されてるんだろうか。
やだなぁ。

955 名前:既にその名前は使われています[sage] 投稿日:2008/08/20(水) 15:24:35 ID:rFdRuFlp
とりあえず、解約した。実害鯖移動の料金。
明日警察に被害届出す予定。

KcrnaeghDrv.dllってのあるか調べた方がいいよ。
これでやられた。どこで感染したのか分からない。
PR
●● RMT業者の垢ハックが多発している件35 ●●より:
先週XREAに仕掛けられたトロイが進化して、いくつかのウィルスソフトで検知できなくなっている模様……
あとこいつhostsを削除して対策を無効化する模様。なんだかなぁ。

797 名前:既にその名前は使われています[sage] 投稿日:2008/08/12(火) 12:47:47 ID:N******+2
先週XREAに仕掛けられたトロイが更新。
ttp://www.virustotal.com/analisis/ccc234390e5b7a6c342d589bf2a33038
× Norton McAfee バスター AntiVir avast AVG BitDefender ソースネクスト(笑) 他多数
これはひどい…。各社に提出済み。

805 名前:既にその名前は使われています[sage] 投稿日:2008/08/12(火) 13:32:25 ID:N******+2
あとこのトロイ、シェル拡張として動作し、
hostsに危険サイトを片っ端から突っ込んでる人を乙らせるために
hostsを削除する模様。

Norman砂箱より。
[ Changes to registry ]
* Accesses Registry key "HKLM\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks".
[ Changes to filesystem ]
* Deletes file C:\WINDOWS\SYSTEM32\drivers\etc\Hosts.

 
ウィルス情報:PWS-Gamania.gen.a!712200C7(マカフィー・セキュリティ情報)
●● RMT業者の垢ハックが多発している件35 ●●より)

USBメモリーのオートラン機能を悪用して「挿すだけで実行されて感染」するタイプ。

・夏休み前に会社のパソコンからファイルを持ち帰ろうとして感染
・ブログの本文を昼休みに会社で書いてUSBで持ち帰って感染

とか、いろいろ考えられます。ご注意ください。
●● RMT業者の垢ハックが多発している件32 ●●より。
信オンでパス抜き被害にあったPCに侵入していたマルウェアでPOLのアカウントもやられてるかもという話です。レジストリ検索して「kernaeghdrv.dll」が見つかったら要注意かも?
引き続き情報収集中。

404 名前:ただいま名無し変更議論中@板内を[注意喚起]で検索[] 投稿日:2008/07/21(月) 19:17:06 ID:******
最近、信オンでも被害が目立ち始めた
こっちはkernaeghdrv.dllってのが原因らしい
System32内に入ってるとか、一応見ておいてくれ

487 名前:ただいま名無し変更議論中@板内を[注意喚起]で検索[] 投稿日:2008/07/22(火) 13:14:12 ID:t******JU
7月中旬頃に垢ハックされたままPCを放置していたのだが
※放置してる間はスキャンしても未検出&wzcsvbxm.dllも無し

7/18日更新のパターンファイル(バスター)で>>404のウィルスが
検出されたよ
こいつでぶっこ抜かれたと思われるw

489 名前:ただいま名無し変更議論中@板内を[注意喚起]で検索[] 投稿日:2008/07/22(火) 13:58:36 ID:X******PH
>>487
kernaeghdrv.dllも常駐するタイプぽいなー。
ググってみたけど何に偽装してるか書いてるところなかったし、
まだクリンスコしてなかったらレジストリちょっと検索してkernaeghdrv.dllが起動かけられてるキー位置教えてほしいかもw

490 名前:ただいま名無し変更議論中@板内を[注意喚起]で検索[sage] 投稿日:2008/07/22(火) 14:13:21 ID:x******
kernaeghdrv.dll はhostsファイル改ざんするぽいねぇ。
これも感染ルート不明なのかぁ。

491 名前:484[] 投稿日:2008/07/22(火) 14:30:38 ID:t******JU
>>489
クリインスコはしてないけどウィルスは手動で削除しちゃったので
意味無い検索結果かも

データ:C\WINDOWS\System32\kernaeghDrv.dll
場所:
HKCR\CLSID\{B60A0B68-AF3A-C1D2-CD09-5A81AE36D2BA}\InProcServer32
HKLM\SOFTWARE\Classes\CLSID\{B60A0B68-AF3A-C1D2-CD09-5A81AE36D2BA}\InProcServer32

ちなみにセーフモードでShift+Deleteでは消せなくて、切り取ってデスクトップに
貼り付けて再起動して速攻削除したら消えたw
スタートアップからプロセスが起動するのかなぁ?

493 名前:ただいま名無し変更議論中@板内を[注意喚起]で検索[] 投稿日:2008/07/22(火) 14:40:26 ID:X******PH
>>491
何度もごめんw

B60A0B68-AF3A-C1D2-CD09-5A81AE36D2BA

でレジストリ検索して引っかかったキー書き出してくだちいw

494 名前:ただいま名無し変更議論中@板内を[注意喚起]で検索[] 投稿日:2008/07/22(火) 14:46:00 ID:X******PH
おそらく、起動のトリガーになるアプリケーションのレジストリが改ざんされてると思うんだよなー。
この手の手法のやつだとw

497 名前:484[] 投稿日:2008/07/22(火) 14:55:11 ID:t******JU
>>493
ほいw
こんなんでいいのかな?

HKCR\CLSID\{B60A0B68-AF3A-C1D2-CD09-5A81AE36D2BA}
HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached
HKLM\SOFTWARE\Classes\CLSID\{B60A0B68-AF3A-C1D2-CD09-5A81AE36D2BA}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKU\S-1-5-21-1897249650-2677087331-1138221237-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached

499 名前:ただいま名無し変更議論中@板内を[注意喚起]で検索[sage] 投稿日:2008/07/22(火) 15:00:22 ID:********
>>497
シェル拡張だね。

500 名前:ただいま名無し変更議論中@板内を[注意喚起]で検索[] 投稿日:2008/07/22(火) 15:03:43 ID:X******PH
>>497
ありあり、ちょっと質問リンクシェルコミニティ使ったことはあるかんじ?w

504 名前:484[] 投稿日:2008/07/22(火) 15:07:58 ID:t******JU
>>499
シェル拡張??

>>500
リンクシェルコミニティに登録有りw
マジで後悔してるw

506 名前:ただいま名無し変更議論中@板内を[注意喚起]で検索[] 投稿日:2008/07/22(火) 15:18:17 ID:X******PH
>>504
簡単にいえばkernaeghDrv.dllでウィンドウズ自体の機能を拡張する手法かな。
個別のトロイプログラムとして動かすんじゃなくて、Windowsの機能に紛れ込ませるって言えば解りやすいかなー。
どんな挙動するかは、ちょっとdll本体見てみないと解らないけど。
wzcsvbxm.dlのときよりも更に見つけづらくなってるのは確かだわなw
忍者ブログ [PR]


Designed by A.com