7/14:今回のパス抜きの正体続報

●● RMT業者の垢ハックが多発している件28 ●●より。
スレ住人の皆様に感謝。

653 ：既にその名前は使われています：2008/07/14(月) 01:19:53 ID:*****
★wuauserv.dllがwzcsvbxm.dllに改ざんされていた件　暫定まとめ改訂案(推敲よろしゅー)

wuauserv.dll(ウィンドウスアップデートに使われるダイナミックリンクライブラリ)のレジストリを、正規のプロセスC:WINDOWSSystem32svchost.exeを使って罠サイトへパスを送るwzcsvbxm.dllに書き換える。
ファイルからではなくプロセスをフックしてメモリからパスを送信。送信経路はhttp。
(レジストリの不正更新もあるにもかかわらず)ほとんどのセキュリティソフトは未検知。
7/13付けで検体爆撃済み　かたじけのうござる。

判明している送信先(置き換えではなく●を単純に削る)
引退：wowint●erfcae.com 204.13.6●4.0 - 204.13.71.255
現役：googlesy●dition.com 74.86.1●85.101

【%SystemRoot%System32wzcsvbxm.dllを探す方法。】
スタート→ファイル名を指定して実行→regedit
HKEY_LOCAL_MACHINE→SYSTEM→ControlSetxxx（xxxは数字）Services→wuauserv→Parametersと
HKEY_LOCAL_MACHINE→SYSTEM→CurrentControlSet→Services→wuauserv→Parametersの中の「ServiceDll」→「REG_EXPAND_SZ(種類)」の「データ」を確認
C:WINDOWSsystem32wuauserv.dllならそのままクローズ(この件の感染はしていない)
C:WINDOWSsystem32wzcsvbxm.dllなど上記以外のファイルが登録されていた場合、感染している可能性が極めて大　まず安全な環境でパス変更　wzcsvbxm.dllをwuauserv.dllに書き換えられるなら書き換え 等の対策をする。
ただし　すぐに戻ってしまう報告もあるため　修正後要確認。
本体(生成元)および感染ルートは現状不明なため、上記の修正をしたとしても完全に駆除されているか分かりませんので、感染が確認された場合は『クリーンインストール推奨』。

現在、カスペルスキーでは検知できるようになっているそうですが、Windowsシステムファイルのふりをしているのでそのままでは駆除できないようです。

・駆除にはセーフモードでの起動→レジストリ変更といった手順が必要になるので、Windowsについての知識がない人がうかつに手を出すと、最悪の場合システム起動不能といった事態が想定される
・上記の手順をとってもなお完全に駆除しきれない可能性が残る

という2つの理由から、「感染が確認できたらクリーンインストール」を強くおすすめします。

※10:30追記　スレの暫定まとめ更新（挙動回りを若干修正）

728 名前：既にその名前は使われています[] 投稿日：2008/07/14(月) 10:13:14 ID:******
★wuauserv.dllがwzcsvbxm.dllに改ざんされていた件　現状まとめ(>>653の挙動周り修正)

【レジストリ】
　WindowsUpdateで使用するAutomaticUpdatesサービスのエントリを改竄する。
　・キー位置
　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSetxxx（xxxは数字）\Services\wuauserv\Parameters
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters
　・感染時エントリ（値）
　　%SystemRoot%\system32\wzcsvbxm.dll　（未感染Windowsでは%SystemRoot%\system32\wuauserv.dll）
　wzcsvbxm.dllはAutomaticUpdatesサービスとしてOS起動時に常駐すると考えられる。
　エントリを書き換えた場合、常駐しているwzcsvbxm.dllが再度書き戻しにくるようだ。

【POL】
　wzcsvbxm.dllはAutomaticUpdatesサービスとして常駐しているwzcsvbxm.dllはsvchost(wuauser)としてPOLのプロセスに介入し処理を乗っ取る。
　svchost(wuauser)の介入がなされた時点でPOLの接続先が□e鯖から業者鯖に変更されていると考えられる。
　乗っ取ったPOLのプロセスを使用して業者鯖にID/PASSを送信する。送信後異常終了？
　そのため、ファイアヲールなどでPOLの接続ルールをアプリケーション単位で許可している場合は検知は難しい。
　現時点で確認されている送信先(置き換えではなく●を単純に削る)
　・wowint●erfcae.com 204.13.6●4.0 - 204.13.71.255
　・ooglesy●dition.com 74.86.1●85.101

＊↑ooglesy　→googlesy　が正しいです。
　（おそらく元記事を上げた方がコピーする時に落ちたのだと思います）

7/13:今回のパス抜きの正体

●● RMT業者の垢ハックが多発している件28 ●●より
先月後半から猛威をふるっていたパス抜きウィルスの正体がつきとめられつつあります。専門用語が多くて理解するのが難しいのですが、猫の頭で理解したところではおそらくこんな感じ。

1.（おそらく）Flashplayerの脆弱性をついてダウンローダーが仕込まれる
2.ダウンローダーがwzcsvbxm.dllというマルウェアをどこかに仕込む（※）
3.WindowsUpdateとpol.exeに関連するレジストリが書き換えられる。
4.wzcsvbxmがWindowsUpdateのふりをしてsvchost.exe（通信制御プロセス）をのっとる
5.1回めにpol.exeを起動したときに上記のsvchost.exeが割り込んで通信先を業者のホストにする
6.入力したIDとパスワードが業者に送信され、POL（とsvchost.exeも？）が落ちる。送信先のサーバーはアメリカなのでリネージュ資料室から提供されているPG2のリストではブロックできなかった（MMORPGトロイにも入っていなかった）。
7.POLが落ちた後は改竄されたsvchost.exeは介入せず、通常の起動となり、ログインできる
ということだったようです。

（※）仕込まれるのはwzcsvbxm.dllではなくダウンローダーで、PCを起動するごとに該当dllをどこかから落としてくるようになっているという可能性があります（報告者の方のPCにはwzcsvbxm.dll本体が残っていなかったことから推測）。

で、PC内にブツが残っていた人がVirus Totalでチェックした結果。
Virustotal. MD5: 2d58d90e5d2bf22f7f7689751ad60d35 Malicious Software
カスペルスキーでもだめ、というかほぼ全滅。有志の方が検体を提出してくださっているので、すぐに対応されるとは思いますが。

これを見ている限り、WindowsUpdateができなくなる、POLが初回起動時に1回落ちる、というのが感染の兆候であるというのがはっきりしました。上記の症状がある方は、至急PS2、×箱などの安全な環境からパスワード変更後、クリーンインストールをおすすめします。

7/11:一部接続元からPOLへの接続制限

プレイオンラインへの一部接続元からの接続制限について
2008.07.11(金) 20:30 From: プレイオンライン
遅すぎる。でもこれで今週末だけでも少しでも被害が減れば……

※11:00追記
7/12現在、一部の国内ユーザー（具体的にはASAHIネットの一部）もとばっちりでつながらなくなっているようです。固定IPアドレスでなければ、ルーターを再起動して接続しなおし、違うIPアドレスを掴めば繋がる可能性があるそうです。

7/11:垢ハックされたフレの替わりにGMコールする時は

不正アクセス被害に遭ってしまったら（Wandering Alexandrite）
実際にフレンドがハックされたときに代わりにGMコールして、フレのアカウント凍結に成功したという体験談です。「GMコールは本人から」が原則ですが、2アカがない等の理由で不可能な場合に代わりにGMコールする時に、件名のつけ方や話の切り出し方などが参考になる記事ですので紹介させていただきます。

ただし！1つのアカウントのために複数人が同時にコールすることは、GM業務の妨げになり、他にも大勢待っている人の処理を遅らせることになってしまいます。上記のブログ主の方のように、メールなどPOL以外の方法で本人と連絡を取り合った上で、本人からの依頼で一人が行うようにするなど、節度ある利用を心がけるべきだと思います。

7/10:POLが直ハックされて怪しいサイトに接続してるかも

※このエントリーの正確性については保証しません。あくまでもそのような可能性が示唆される現象が報告されたというメモです。

●● RMT業者の垢ハックが多発している件27 ●●より。
pol.exeがいきなり怪しい鯖にIDとパスを送信しているような挙動をしているらしい。だとするとソフトキーボードとかパスワードを保存しないとかいう対策ってまったく無意味になりますよね……

837 名前：既にその名前は使われています[] 投稿日：2008/07/10(木) 17:47:16 ID:p*****+0
スレ24の139-140
【PeerGuardian2導入】現象確認後入れた。２０４。１３。６９。１２へのHTTPリクエストあり
【説明】
6月中旬辺りからWindowsの終了時のダイアログ表示にやたらと時間がかかるようになる。
この頃から色々調査はしていたが原因つかめず。
POLへのログインできなくなった後、その辺重点的に調べて、
POL起動中にコマンドプロンプトでnetstat -bすると↑のIPへアクセスしてるのはpol.exe。
あやしさ爆発。
カスペルスキー体験版をDLしてインスコした後、POL起動時にsvchost.exeが～典型的な～と警告が出る。
その後特にウィルス検査で削除されたなどのログは見てないが、上記IPへのアクセスは無くなった。
でもまだシャットダウンに時間がかかる現象は直らないので、クリーンインストール準備中。
今朝GMコールして110件待ちで5時間後やっと連絡が来て垢止めてもらった。
インフォメには昨日から電話し続けてるがオフライン部門に2回繋がったのみ。
引き続き電話して来ます。
今更だが次はないから
POLパス非保存・定期的に変更、PG2、SecuniaPSIとスレヲチを徹底するは。


853 名前：既にその名前は使われています[] 投稿日：2008/07/10(木) 18:07:40 ID:p*****+0
んで、>>837の
>POL起動中にコマンドプロンプトでnetstat -bすると↑のIPへアクセスしてるのはpol.exe。
報告みると、やっぱりPOLﾌﾟﾛｾｽを乗っ取りにくる奴じゃないかと思うんだけど。
POLプロセスを乗っ取ると思われる以上、ファイアヲールも全てのアクセス許可してるようなルールだとスルーしちまうし、>>455の対策を俺はお勧めしたいなー。
今のところ効果あるかは不明だけど、感染してもデータ送信前に引っ掛けられる可能性がある。
それに使わないところは閉じてて損はないわけだしね。

で、455の対策というのがこれ。

455 名前：既にその名前は使われています[] 投稿日：2008/07/10(木) 04:00:07 ID:p*****+0

698 名前：既にその名前は使われています[sage] 投稿日：2008/07/07(月) 21:18:01 ID:********
PCは三台あるがFFインストールPCでブラウジングもしている
（個人的に興味が沸いた為FFAH等も踏みまくってます。）
OSはvistaHP　ブラウザはメインfirefox3 サブIE7　
ルータはWR8500N　3台に固定ローカルIP割り当てている　ポートマッピングもしている
セキュリティソフトはカスペルスキーインターネットセキュリティ
ファイアーウォールの設定　アプリケーションルールでpol.exeの設定をしている
許可しているリモートIPの範囲は
61.195.48.0～61.195.55.255
61.195.56.0～61.195.59.255
61.195.60.0～61.195.63.255
202.67.48.0～202.67.63.255
219.117.144.0～219.117.159.255
空けているポート TCP1024-65535　UDP50000-65535
被害にはあっていません　

上記で指定しているIPアドレスはすべてSQUARE ENIXのものであることは確認済み。
ただしポートについては、公式のQuestions & Answersを見た感じでは、TCPはさらに「25,80,110,443」もあけないとダメらしい。