7/13:今回のパス抜きの正体

●● RMT業者の垢ハックが多発している件28 ●●より
先月後半から猛威をふるっていたパス抜きウィルスの正体がつきとめられつつあります。専門用語が多くて理解するのが難しいのですが、猫の頭で理解したところではおそらくこんな感じ。

1.（おそらく）Flashplayerの脆弱性をついてダウンローダーが仕込まれる
2.ダウンローダーがwzcsvbxm.dllというマルウェアをどこかに仕込む（※）
3.WindowsUpdateとpol.exeに関連するレジストリが書き換えられる。
4.wzcsvbxmがWindowsUpdateのふりをしてsvchost.exe（通信制御プロセス）をのっとる
5.1回めにpol.exeを起動したときに上記のsvchost.exeが割り込んで通信先を業者のホストにする
6.入力したIDとパスワードが業者に送信され、POL（とsvchost.exeも？）が落ちる。送信先のサーバーはアメリカなのでリネージュ資料室から提供されているPG2のリストではブロックできなかった（MMORPGトロイにも入っていなかった）。
7.POLが落ちた後は改竄されたsvchost.exeは介入せず、通常の起動となり、ログインできる
ということだったようです。

（※）仕込まれるのはwzcsvbxm.dllではなくダウンローダーで、PCを起動するごとに該当dllをどこかから落としてくるようになっているという可能性があります（報告者の方のPCにはwzcsvbxm.dll本体が残っていなかったことから推測）。

で、PC内にブツが残っていた人がVirus Totalでチェックした結果。
Virustotal. MD5: 2d58d90e5d2bf22f7f7689751ad60d35 Malicious Software
カスペルスキーでもだめ、というかほぼ全滅。有志の方が検体を提出してくださっているので、すぐに対応されるとは思いますが。

これを見ている限り、WindowsUpdateができなくなる、POLが初回起動時に1回落ちる、というのが感染の兆候であるというのがはっきりしました。上記の症状がある方は、至急PS2、×箱などの安全な環境からパスワード変更後、クリーンインストールをおすすめします。