|
RSS配信用のメモです。
本家はこちら →http://nyankonyanko.x0.com
× [PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。
●● RMT業者の垢ハックが多発している件28 ●●より
先月後半から猛威をふるっていたパス抜きウィルスの正体がつきとめられつつあります。専門用語が多くて理解するのが難しいのですが、猫の頭で理解したところではおそらくこんな感じ。 1.(おそらく)Flashplayerの脆弱性をついてダウンローダーが仕込まれる 2.ダウンローダーがwzcsvbxm.dllというマルウェアをどこかに仕込む(※) 3.WindowsUpdateとpol.exeに関連するレジストリが書き換えられる。 4.wzcsvbxmがWindowsUpdateのふりをしてsvchost.exe(通信制御プロセス)をのっとる 5.1回めにpol.exeを起動したときに上記のsvchost.exeが割り込んで通信先を業者のホストにする 6.入力したIDとパスワードが業者に送信され、POL(とsvchost.exeも?)が落ちる。送信先のサーバーはアメリカなのでリネージュ資料室から提供されているPG2のリストではブロックできなかった(MMORPGトロイにも入っていなかった)。 7.POLが落ちた後は改竄されたsvchost.exeは介入せず、通常の起動となり、ログインできる ということだったようです。 (※)仕込まれるのはwzcsvbxm.dllではなくダウンローダーで、PCを起動するごとに該当dllをどこかから落としてくるようになっているという可能性があります(報告者の方のPCにはwzcsvbxm.dll本体が残っていなかったことから推測)。 で、PC内にブツが残っていた人がVirus Totalでチェックした結果。 Virustotal. MD5: 2d58d90e5d2bf22f7f7689751ad60d35 Malicious Software カスペルスキーでもだめ、というかほぼ全滅。有志の方が検体を提出してくださっているので、すぐに対応されるとは思いますが。 これを見ている限り、WindowsUpdateができなくなる、POLが初回起動時に1回落ちる、というのが感染の兆候であるというのがはっきりしました。上記の症状がある方は、至急PS2、×箱などの安全な環境からパスワード変更後、クリーンインストールをおすすめします。 PR
●● RMT業者の垢ハックが多発している件28 ●●より。
ブラウザのプレイヤーのアップデートだけでは不十分なケースもあります。GOMPlayerを使っている人は確認してください。 150 名前:既にその名前は使われています[] 投稿日:2008/07/13(日) 00:43:31 ID:******
プレイオンラインへの一部接続元からの接続制限について
2008.07.11(金) 20:30 From: プレイオンライン 遅すぎる。でもこれで今週末だけでも少しでも被害が減れば…… ※11:00追記 7/12現在、一部の国内ユーザー(具体的にはASAHIネットの一部)もとばっちりでつながらなくなっているようです。固定IPアドレスでなければ、ルーターを再起動して接続しなおし、違うIPアドレスを掴めば繋がる可能性があるそうです。
不正アクセス被害に遭ってしまったら(Wandering Alexandrite)
実際にフレンドがハックされたときに代わりにGMコールして、フレのアカウント凍結に成功したという体験談です。「GMコールは本人から」が原則ですが、2アカがない等の理由で不可能な場合に代わりにGMコールする時に、件名のつけ方や話の切り出し方などが参考になる記事ですので紹介させていただきます。 ただし!1つのアカウントのために複数人が同時にコールすることは、GM業務の妨げになり、他にも大勢待っている人の処理を遅らせることになってしまいます。上記のブログ主の方のように、メールなどPOL以外の方法で本人と連絡を取り合った上で、本人からの依頼で一人が行うようにするなど、節度ある利用を心がけるべきだと思います。
「北京ウイルス」が続出、Officeの脆弱性を突いて感染:ITpro
WordだけでなくExcelとPowerpointのファイルもあるようです。ゼロデイではない(=これまでのセキュリティパッチで防げる)可能性もありますが詳細はまだ不明。ご注意を。 |