忍者ブログ
RSS配信用のメモです。 本家はこちら →http://nyankonyanko.x0.com
[PR]
×

[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。

2024/05/01 (Wed)
7/14:今回のパス抜きの正体続報
●● RMT業者の垢ハックが多発している件28 ●●より。
スレ住人の皆様に感謝。

653 :既にその名前は使われています:2008/07/14(月) 01:19:53 ID:*****
★wuauserv.dllがwzcsvbxm.dllに改ざんされていた件 暫定まとめ改訂案(推敲よろしゅー)

wuauserv.dll(ウィンドウスアップデートに使われるダイナミックリンクライブラリ)のレジストリを、正規のプロセスC:WINDOWSSystem32svchost.exeを使って罠サイトへパスを送るwzcsvbxm.dllに書き換える。
ファイルからではなくプロセスをフックしてメモリからパスを送信。送信経路はhttp。
(レジストリの不正更新もあるにもかかわらず)ほとんどのセキュリティソフトは未検知。
7/13付けで検体爆撃済み かたじけのうござる。

判明している送信先(置き換えではなく●を単純に削る)
引退:wowint●erfcae.com 204.13.6●4.0 - 204.13.71.255
現役:googlesy●dition.com 74.86.1●85.101

【%SystemRoot%System32wzcsvbxm.dllを探す方法。】
スタート→ファイル名を指定して実行→regedit
HKEY_LOCAL_MACHINE→SYSTEM→ControlSetxxx(xxxは数字)Services→wuauserv→Parametersと
HKEY_LOCAL_MACHINE→SYSTEM→CurrentControlSet→Services→wuauserv→Parametersの中の「ServiceDll」→「REG_EXPAND_SZ(種類)」の「データ」を確認
C:WINDOWSsystem32wuauserv.dllならそのままクローズ(この件の感染はしていない)
C:WINDOWSsystem32wzcsvbxm.dllなど上記以外のファイルが登録されていた場合、感染している可能性が極めて大 まず安全な環境でパス変更 wzcsvbxm.dllをwuauserv.dllに書き換えられるなら書き換え 等の対策をする。
ただし すぐに戻ってしまう報告もあるため 修正後要確認。
本体(生成元)および感染ルートは現状不明なため、上記の修正をしたとしても完全に駆除されているか分かりませんので、感染が確認された場合は『クリーンインストール推奨』。


現在、カスペルスキーでは検知できるようになっているそうですが、Windowsシステムファイルのふりをしているのでそのままでは駆除できないようです。

・駆除にはセーフモードでの起動→レジストリ変更といった手順が必要になるので、Windowsについての知識がない人がうかつに手を出すと、最悪の場合システム起動不能といった事態が想定される
・上記の手順をとってもなお完全に駆除しきれない可能性が残る

という2つの理由から、「感染が確認できたらクリーンインストール」を強くおすすめします。

※10:30追記 スレの暫定まとめ更新(挙動回りを若干修正)
728 名前:既にその名前は使われています[] 投稿日:2008/07/14(月) 10:13:14 ID:******
★wuauserv.dllがwzcsvbxm.dllに改ざんされていた件 現状まとめ(>>653の挙動周り修正)

【レジストリ】
 WindowsUpdateで使用するAutomaticUpdatesサービスのエントリを改竄する。
 ・キー位置
  HKEY_LOCAL_MACHINE\SYSTEM\ControlSetxxx(xxxは数字)\Services\wuauserv\Parameters
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters
 ・感染時エントリ(値)
  %SystemRoot%\system32\wzcsvbxm.dll (未感染Windowsでは%SystemRoot%\system32\wuauserv.dll)
 wzcsvbxm.dllはAutomaticUpdatesサービスとしてOS起動時に常駐すると考えられる。
 エントリを書き換えた場合、常駐しているwzcsvbxm.dllが再度書き戻しにくるようだ。

【POL】
 wzcsvbxm.dllはAutomaticUpdatesサービスとして常駐しているwzcsvbxm.dllはsvchost(wuauser)としてPOLのプロセスに介入し処理を乗っ取る。
 svchost(wuauser)の介入がなされた時点でPOLの接続先が□e鯖から業者鯖に変更されていると考えられる。
 乗っ取ったPOLのプロセスを使用して業者鯖にID/PASSを送信する。送信後異常終了?
 そのため、ファイアヲールなどでPOLの接続ルールをアプリケーション単位で許可している場合は検知は難しい。
 現時点で確認されている送信先(置き換えではなく●を単純に削る)
 ・wowint●erfcae.com 204.13.6●4.0 - 204.13.71.255
 ・ooglesy●dition.com 74.86.1●85.101

*↑ooglesy →googlesy が正しいです。
 (おそらく元記事を上げた方がコピーする時に落ちたのだと思います)
PR
2008/07/14 (Mon) POL・FFXI
   7/14:猫でも分かる感染チェック法 HOME 7/13:今回のパス抜きの正体   
忍者ブログ [PR]


Designed by A.com
カレンダー
04 2024/05 06
S M T W T F S
1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31
リンク
ネ実アカハクスレテンプレ
FFXI(仮)
ヴァナ・ディール在住・猫・6才
新しい記事を書く
カテゴリー
ブラウザ ( 19 )
プラグイン ( 26 )
危険なサイト・ドメイン ( 30 )
POL・FFXI ( 14 )
Microsoft ( 14 )
マルウェア ( 9 )
その他の危険 ( 34 )
統計データ・ニュース ( 33 )
セキュリティソフト ( 10 )
対策情報 ( 6 )
未選択 ( 5 )
このブログについて ( 1 )
最新記事
2/21: Acrobat Reader最新版に脆弱性
(02/21)
1/14:Windows月例Update
(01/14)
1/6: NoScript1.8.8.5
(01/06)
1/4:ExciteBlog他大規模改ざん
(01/04)
12/17:人間、諦めが肝心なこともあるらしい。
(12/17)
RSS
RSS 0.91
RSS 1.0
RSS 2.0
ブログ内検索
アーカイブ
2009 年 02 月 ( 1 )
2009 年 01 月 ( 3 )
2008 年 12 月 ( 2 )
2008 年 11 月 ( 7 )
2008 年 10 月 ( 17 )
カウンター
ふぉくすけくん
Firefox meter
GoogleChrome
Chrome Counter
アクセス解析