忍者ブログ
RSS配信用のメモです。 本家はこちら →http://nyankonyanko.x0.com
[PR]
×

[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。

2024/11/25 (Mon)
7/15:WordPress2.6公開
200万ダウンロードの2.5系終了、WordPress 2.6登場 - 移行推奨 (マイコミジャーナル)
2.6公開に伴い2.5x系のメンテナンスは打ち切られます。WordPressをCMSに利用しているサイトオーナーの方は移行推奨だそうです。
PR
2008/07/15 (Tue) 統計データ・ニュース
7/15:クリーンインストール中のマルウェア侵入に注意
ISPの対策では長い場合も:脆弱なPCの生存時間は約4分(ITmedia)
せっかくクリーンインストールしても、そのままネットにつなぐとOSのUpdateを落としている間にまた汚染されちゃうって話。
元ネタのブログ記事→Survival Time on the Internet(SANS Internet Storm Center)
記事中で紹介されている「WindowsXPサバイバルガイド」を探したのですが見つかりません。

最新のOSのイメージを焼いておけば、とかいわれてもどうすればいいのかわからない猫の中の人のような人は、手間はかかりますがこういう手順でやれば危険は少なくなると思います。

0.あらかじめセキュリティソフト、PG2、SecuniaPSI、Firefox、FlashPlayerのアンインストーラー、最新版のプラグインのインストーラーなどををDLしてUSBメモリーなどにコピーしておく。
1.フォーマット>リカバリディスクからOSを再インストール。
2.セキュリティソフト、PG2を先にインストール・・設定。
3.PCはルーター経由で接続する。
4.接続できたらまずはセキュリティソフトのアップデートとパターンファイルの更新。
5.MicrosoftUpdateに直行してOSとMS製品を最新にする(1回で終わらない可能性もあるので「優先度の高い更新プログラムは存在しません」と表示されるまで実行>再起動を繰り返す)
6.不用なプラグイン類(RealPlayer等)をアンインストールする。FlashPlayerもアンインストーラーを使用して一度アンインストール。
7.USBにとっておいたFirefoxとプラグイン類をインストール。
8.FlashPlayer・AcrobatReader・Noscriptのバージョンを確認。
9.その他のソフトを必要に応じてインストール(これ以降はFireFox経由でWebサイトにアクセスしてもOK)
10.全部インストールが終わったらSecuniaPSIでソフトのバージョンを最終確認

※15:00追記
表ブログの方にいただいた革屋さんからのコメント。

>7/15:クリーンインストール中のマルウェア侵入に注意
これって「インターネット側から」直接アクセス出来る場所に置いた場合なのよねー
(俗に言う非武装地帯な場所)
ルーター(外部からの直接アクセスを抑制出来るからPC共有以外の利点が多いよ)を
使っている環境ならここまで気にする必要ないはず


確かにその通りなんで、要はルーターをちゃんと自宅内に入れましょうってことです。CATVモデムや壁に接続されたLANの口に直接パソコンを接続している人は、今すぐブロードバンドルータを買いましょう。簡単接続がうたわれている最近の機種なら、最低限のファイやウォール機能はプリセットされています。
 
2008/07/15 (Tue) 統計データ・ニュース
7/14:今度はインターネットが終わるらしい
「2012年にネットが終わる」などの題名でウイルスメールが出回る(INTERNET Watch)
「続きが知りたければこれを読め」と添付されるPDFファイルが最近発見されたAcrobat Readerの脆弱性をついてくるという話。まだ英語のメールしかないようですが、そのうち日本語でも出回るかもしれません。DNSポイズニング問題でそんな論調の人たちもいたようなので、釣られないように。
2008/07/14 (Mon) その他の危険
7/14:猫でも分かる感染チェック法
■FF11■ある革職人の軌跡 | ※PC版FFをプレイしている人へ
革屋さんによる解説とチェック手順。PC版でプレイしている人は今すぐ自分のパソコンの確認を。
※7/16 10:00 補足
HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\****
にあるやつは、ファイル検索履歴に残っているものだそーです。
2008/07/14 (Mon) POL・FFXI
7/14:今回のパス抜きの正体続報
●● RMT業者の垢ハックが多発している件28 ●●より。
スレ住人の皆様に感謝。

653 :既にその名前は使われています:2008/07/14(月) 01:19:53 ID:*****
★wuauserv.dllがwzcsvbxm.dllに改ざんされていた件 暫定まとめ改訂案(推敲よろしゅー)

wuauserv.dll(ウィンドウスアップデートに使われるダイナミックリンクライブラリ)のレジストリを、正規のプロセスC:WINDOWSSystem32svchost.exeを使って罠サイトへパスを送るwzcsvbxm.dllに書き換える。
ファイルからではなくプロセスをフックしてメモリからパスを送信。送信経路はhttp。
(レジストリの不正更新もあるにもかかわらず)ほとんどのセキュリティソフトは未検知。
7/13付けで検体爆撃済み かたじけのうござる。

判明している送信先(置き換えではなく●を単純に削る)
引退:wowint●erfcae.com 204.13.6●4.0 - 204.13.71.255
現役:googlesy●dition.com 74.86.1●85.101

【%SystemRoot%System32wzcsvbxm.dllを探す方法。】
スタート→ファイル名を指定して実行→regedit
HKEY_LOCAL_MACHINE→SYSTEM→ControlSetxxx(xxxは数字)Services→wuauserv→Parametersと
HKEY_LOCAL_MACHINE→SYSTEM→CurrentControlSet→Services→wuauserv→Parametersの中の「ServiceDll」→「REG_EXPAND_SZ(種類)」の「データ」を確認
C:WINDOWSsystem32wuauserv.dllならそのままクローズ(この件の感染はしていない)
C:WINDOWSsystem32wzcsvbxm.dllなど上記以外のファイルが登録されていた場合、感染している可能性が極めて大 まず安全な環境でパス変更 wzcsvbxm.dllをwuauserv.dllに書き換えられるなら書き換え 等の対策をする。
ただし すぐに戻ってしまう報告もあるため 修正後要確認。
本体(生成元)および感染ルートは現状不明なため、上記の修正をしたとしても完全に駆除されているか分かりませんので、感染が確認された場合は『クリーンインストール推奨』。


現在、カスペルスキーでは検知できるようになっているそうですが、Windowsシステムファイルのふりをしているのでそのままでは駆除できないようです。

・駆除にはセーフモードでの起動→レジストリ変更といった手順が必要になるので、Windowsについての知識がない人がうかつに手を出すと、最悪の場合システム起動不能といった事態が想定される
・上記の手順をとってもなお完全に駆除しきれない可能性が残る

という2つの理由から、「感染が確認できたらクリーンインストール」を強くおすすめします。

※10:30追記 スレの暫定まとめ更新(挙動回りを若干修正)
728 名前:既にその名前は使われています[] 投稿日:2008/07/14(月) 10:13:14 ID:******
★wuauserv.dllがwzcsvbxm.dllに改ざんされていた件 現状まとめ(>>653の挙動周り修正)

【レジストリ】
 WindowsUpdateで使用するAutomaticUpdatesサービスのエントリを改竄する。
 ・キー位置
  HKEY_LOCAL_MACHINE\SYSTEM\ControlSetxxx(xxxは数字)\Services\wuauserv\Parameters
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters
 ・感染時エントリ(値)
  %SystemRoot%\system32\wzcsvbxm.dll (未感染Windowsでは%SystemRoot%\system32\wuauserv.dll)
 wzcsvbxm.dllはAutomaticUpdatesサービスとしてOS起動時に常駐すると考えられる。
 エントリを書き換えた場合、常駐しているwzcsvbxm.dllが再度書き戻しにくるようだ。

【POL】
 wzcsvbxm.dllはAutomaticUpdatesサービスとして常駐しているwzcsvbxm.dllはsvchost(wuauser)としてPOLのプロセスに介入し処理を乗っ取る。
 svchost(wuauser)の介入がなされた時点でPOLの接続先が□e鯖から業者鯖に変更されていると考えられる。
 乗っ取ったPOLのプロセスを使用して業者鯖にID/PASSを送信する。送信後異常終了?
 そのため、ファイアヲールなどでPOLの接続ルールをアプリケーション単位で許可している場合は検知は難しい。
 現時点で確認されている送信先(置き換えではなく●を単純に削る)
 ・wowint●erfcae.com 204.13.6●4.0 - 204.13.71.255
 ・ooglesy●dition.com 74.86.1●85.101

*↑ooglesy →googlesy が正しいです。
 (おそらく元記事を上げた方がコピーする時に落ちたのだと思います)
2008/07/14 (Mon) POL・FFXI
   前のページ 次のページ   
忍者ブログ [PR]


Designed by A.com
カレンダー
10 2024/11 12
S M T W T F S
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
リンク
ネ実アカハクスレテンプレ
FFXI(仮)
ヴァナ・ディール在住・猫・6才
新しい記事を書く
カテゴリー
ブラウザ ( 19 )
プラグイン ( 26 )
危険なサイト・ドメイン ( 30 )
POL・FFXI ( 14 )
Microsoft ( 14 )
マルウェア ( 9 )
その他の危険 ( 34 )
統計データ・ニュース ( 33 )
セキュリティソフト ( 10 )
対策情報 ( 6 )
未選択 ( 5 )
このブログについて ( 1 )
最新記事
2/21: Acrobat Reader最新版に脆弱性
(02/21)
1/14:Windows月例Update
(01/14)
1/6: NoScript1.8.8.5
(01/06)
1/4:ExciteBlog他大規模改ざん
(01/04)
12/17:人間、諦めが肝心なこともあるらしい。
(12/17)
RSS
RSS 0.91
RSS 1.0
RSS 2.0
ブログ内検索
アーカイブ
2009 年 02 月 ( 1 )
2009 年 01 月 ( 3 )
2008 年 12 月 ( 2 )
2008 年 11 月 ( 7 )
2008 年 10 月 ( 17 )
カウンター
ふぉくすけくん
Firefox meter
GoogleChrome
Chrome Counter
アクセス解析