14

January February March April May June July August September October November December
2008(Mon) 02:22

対策2

日記

とりあえず
今回のアカハックの現況(PCに何がおきているか)が判明したようだ
(;´ρ`)クリーンインストールしたからなんともいえないけど
うちのマシーンは今のとこ大丈夫なようだ。(2台とも)
今回のはFFのをっていうだけじゃなく いろんなIDを盗むやつのようなので
皆様もお調べくださいね。


ではネ実から ご覧ください

★wuauserv.dllがwzcsvbxm.dllに改ざんされていた件 暫定まとめ改訂案(推敲よろしゅー)

wuauserv.dll(ウィンドウスアップデートに使われるダイナミックリンクライブラリ)のレジストリを、正規のプロセスC:\WINDOWS\System32\svchost.exeを使って罠サイトへパスを送るwzcsvbxm.dllに書き換える。
ファイルからではなくプロセスをフックしてメモリからパスを送信。送信経路はhttp。
(レジストリの不正更新もあるにもかかわらず)ほとんどのセキュリティソフトは未検知。
7/13付けで検体爆撃済み かたじけのうござる。

判明している送信先(置き換えではなく●を単純に削る)
引退:wowint●erfcae.com 204.13.6●4.0 - 204.13.71.255
現役:googlesy●dition.com 74.86.1●85.101

【%SystemRoot%\System32\wzcsvbxm.dllを探す方法。】
スタート→ファイル名を指定して実行→regedit
HKEY_LOCAL_MACHINE\SYSTEM\ControlSetxxx(xxxは数字)\Services\wuauserv\Parametersと
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parametersの中の「ServiceDll」→「REG_EXPAND_SZ(種類)」の「データ」を確認
C:\WINDOWS\system32\wuauserv.dllならそのままクローズ(この件の感染はしていない)
C:\WINDOWS\system32\wzcsvbxm.dllなど上記以外のファイルが登録されていた場合、感染している可能性が極めて大 まず安全な環境でパス変更 wzcsvbxm.dllをwuauserv.dllに書き換えられるなら書き換え 等の対策をする。
ただし すぐに戻ってしまう報告もあるため 修正後要確認。
本体(生成元)および感染ルートは現状不明なため、上記の修正をしたとしても完全に駆除されているか分かりませんので、感染が確認された場合は『クリーンインストール推奨』。
スポンサーサイト




Edit Comments(0)

Page up▲