7/22:kernaeghDrv.dll？

●● RMT業者の垢ハックが多発している件32 ●●より。
信オンでパス抜き被害にあったPCに侵入していたマルウェアでPOLのアカウントもやられてるかもという話です。レジストリ検索して「kernaeghdrv.dll」が見つかったら要注意かも？
引き続き情報収集中。

404 名前：ただいま名無し変更議論中@板内を[注意喚起]で検索[] 投稿日：2008/07/21(月) 19:17:06 ID:******
最近、信オンでも被害が目立ち始めた
こっちはkernaeghdrv.dllってのが原因らしい
System32内に入ってるとか、一応見ておいてくれ

487 名前：ただいま名無し変更議論中@板内を[注意喚起]で検索[] 投稿日：2008/07/22(火) 13:14:12 ID:t******JU
7月中旬頃に垢ハックされたままPCを放置していたのだが
※放置してる間はスキャンしても未検出&wzcsvbxm.dllも無し

7/18日更新のパターンファイル(バスター)で>>404のウィルスが
検出されたよ
こいつでぶっこ抜かれたと思われるｗ

489 名前：ただいま名無し変更議論中@板内を[注意喚起]で検索[] 投稿日：2008/07/22(火) 13:58:36 ID:X******PH
>>487
kernaeghdrv.dllも常駐するタイプぽいなー。
ググってみたけど何に偽装してるか書いてるところなかったし、
まだクリンスコしてなかったらレジストリちょっと検索してkernaeghdrv.dllが起動かけられてるキー位置教えてほしいかもｗ

490 名前：ただいま名無し変更議論中@板内を[注意喚起]で検索[sage] 投稿日：2008/07/22(火) 14:13:21 ID:x******
kernaeghdrv.dll　はhostsファイル改ざんするぽいねぇ。
これも感染ルート不明なのかぁ。

491 名前：484[] 投稿日：2008/07/22(火) 14:30:38 ID:t******JU
>>489
クリインスコはしてないけどウィルスは手動で削除しちゃったので
意味無い検索結果かも

データ：C\WINDOWS\System32\kernaeghDrv.dll
場所：
HKCR\CLSID\{B60A0B68-AF3A-C1D2-CD09-5A81AE36D2BA}\InProcServer32
HKLM\SOFTWARE\Classes\CLSID\{B60A0B68-AF3A-C1D2-CD09-5A81AE36D2BA}\InProcServer32

ちなみにセーフモードでShift+Deleteでは消せなくて、切り取ってデスクトップに
貼り付けて再起動して速攻削除したら消えたｗ
スタートアップからプロセスが起動するのかなぁ？

493 名前：ただいま名無し変更議論中@板内を[注意喚起]で検索[] 投稿日：2008/07/22(火) 14:40:26 ID:X******PH
>>491
何度もごめんｗ

B60A0B68-AF3A-C1D2-CD09-5A81AE36D2BA

でレジストリ検索して引っかかったキー書き出してくだちいｗ

494 名前：ただいま名無し変更議論中@板内を[注意喚起]で検索[] 投稿日：2008/07/22(火) 14:46:00 ID:X******PH
おそらく、起動のトリガーになるアプリケーションのレジストリが改ざんされてると思うんだよなー。
この手の手法のやつだとｗ

497 名前：484[] 投稿日：2008/07/22(火) 14:55:11 ID:t******JU
>>493
ほいｗ
こんなんでいいのかな？

HKCR\CLSID\{B60A0B68-AF3A-C1D2-CD09-5A81AE36D2BA}
HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached
HKLM\SOFTWARE\Classes\CLSID\{B60A0B68-AF3A-C1D2-CD09-5A81AE36D2BA}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKU\S-1-5-21-1897249650-2677087331-1138221237-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached

499 名前：ただいま名無し変更議論中@板内を[注意喚起]で検索[sage] 投稿日：2008/07/22(火) 15:00:22 ID:********
>>497
シェル拡張だね。

500 名前：ただいま名無し変更議論中@板内を[注意喚起]で検索[] 投稿日：2008/07/22(火) 15:03:43 ID:X******PH
>>497
ありあり、ちょっと質問リンクシェルコミニティ使ったことはあるかんじ？ｗ

504 名前：484[] 投稿日：2008/07/22(火) 15:07:58 ID:t******JU
>>499
シェル拡張？？

>>500
リンクシェルコミニティに登録有りｗ
マジで後悔してるｗ

506 名前：ただいま名無し変更議論中@板内を[注意喚起]で検索[] 投稿日：2008/07/22(火) 15:18:17 ID:X******PH
>>504
簡単にいえばkernaeghDrv.dllでウィンドウズ自体の機能を拡張する手法かな。
個別のトロイプログラムとして動かすんじゃなくて、Windowsの機能に紛れ込ませるって言えば解りやすいかなー。
どんな挙動するかは、ちょっとdll本体見てみないと解らないけど。
wzcsvbxm.dlのときよりも更に見つけづらくなってるのは確かだわなｗ

7/22:Acrobat Javascriptを無効化する

最新版「Adobe Reader 9」の登場に伴って準備しなければならないこと：ITpro
Ver.8.1.2→9に乗り換えても大丈夫か、という評価の話ですが本題は最後のページ。Acrobat Javascriptを無効化しておけば、6月に発覚した脆弱性についても回避可能だったそうです。最近メールの添付ファイルで拡張子がPDFなやつが大量に来てますから、これはチェックしておいた方が良いと思います。

7/19:オンラインウィルスチェック・駆除サービス

@niftyウイルスチェックサービス：@nifty
ベンダー各社が提供しているオンラインスキャンはマルウェアの検出だけできて「駆除には製品版を購入してね」というものが多いんですが、このサービスはチェックとだけでなく駆除・削除まで可能です。エンジンはカスペルスキーを使用しているので検出力もそれなりに期待できます。

だからといって「無料で駆除までできるなら高いソフト買わなくてもいいや」とか思わないように。セキュリティソフトはPCに常駐させて感染を予防することに意味があります。

7/19:polクライアントに不具合でログイン障害（解消済み）

[経緯]
プレイオンラインビューアー更新のお知らせ(7/18 21:50)
プレイオンライン ログイン障害発生のお知らせ(7/18 21:50)
プレイオンライン ログイン障害復旧作業完了のお知らせ(7/19 0:40)
プレイオンラインビューアー更新のお知らせ(7/19 0:50)

「不具合」の内容が
・POLバージョンアップ完了
・ログインしようとすると「IDまたはパスワードが違います」と言われ入れない
・POLを再起動すると正常にログインできるようになる
・上記のような現象なく、まったく問題なくログインできる人もいる

というものでした。現在猛威をふるっているマルウェアのふるまいに近い（初回起動時のみ異常）ので一時ヴァナ内は騒然と。

その時間帯はゲームをしていたので情報は追っていませんでしたが、どうやらパスワードを自動保存すればログインできたケースもある模様です。

上記の通り再度のバージョンアップで現在は正常に動くようになっています。昨日はとりあえず自動保存にしてしのいだ方は、再度パスワード変更＞手動入力への切り替えをお忘れなく。

7/18:あなたのPCが踏み台にされる

トロイの木馬を踏み台にしたSQLインジェクション攻撃が増加 （ITmedia）
1つ前のエントリーの続き。改竄されたサイトを閲覧して感染すると、感染PCが別の攻撃の踏み台にされます。
・サイト管理者はテンプレートの安全確認を
・サイト閲覧者はiframe無効、JavaScript無効で予防を