08/07/13 15:40:20 9H1cwP/D
>>341
ものすごい乙
褒美になるか分からんがもっふもっふ画像をやろう
URLリンク(www2.uploda.org)
罠ではないが怖いなら踏まないでくれたまえ
345:既にその名前は使われています
08/07/13 15:43:01 rMm+8+jy
>>341
お疲れ様でした。こういうのは、ほんとに助かります。
346:既にその名前は使われています
08/07/13 15:44:22 WH0Big0W
>>331
そこのPG2リストってどこにある?
347:既にその名前は使われています
08/07/13 15:45:54 BIvn1zQ1
>>346
URLリンク(smith.rowiki.jp)
まぁブロックされまくるのは私の使い方がまずいのかもしれんが
どっちか許可リストの可能性もあるけどよくわからなかった
348:既にその名前は使われています
08/07/13 15:49:40 WH0Big0W
>>347
あったあったありがとう
アグレッシブのほうだとjpサイトでも容赦なく弾いてるなw
349:既にその名前は使われています
08/07/13 15:55:42 oX9KF7bl
おまいらすげええええええええええええええええええええええ
リロードしまくって興奮しまくりだZE!!!!!!!!!!!!!!
350:既にその名前は使われています
08/07/13 15:56:06 HBv2gWGX
お前らほんとすごいな!!
よくやった!
351:既にその名前は使われています
08/07/13 15:57:37 YZmKQRd5
>>341
フォーム経由のとこ(バスターとか)送った。
ちなみにNormanの砂箱の返答
wzcsvbxm.exe : Not detected by Sandbox (Signature: NO_VIRUS)
[ DetectionInfo ]
* Sandbox name: NO_MALWARE
* Signature name: NO_VIRUS
* Compressed: NO
* TLS hooks: NO
* Executable type: Library(DLL)
* Executable file structure: OK
[ General information ]
* File length: 15872 bytes.
* MD5 hash: 2d58d90e5d2bf22f7f7689751ad60d35.
352:既にその名前は使われています
08/07/13 15:58:49 j91S+/YO
見つけるのに2週間以上もかかってんのかよ
やっぱり感染してんのは雑魚だけだな
353:既にその名前は使われています
08/07/13 15:59:53 s5gE3y+N
みんなよくやった!感動したぞ!
354:既にその名前は使われています
08/07/13 16:00:49 4W6gHllj
この一連の流れをまとめてテンプレに入れるしかないな。
355:既にその名前は使われています
08/07/13 16:02:19 YZmKQRd5
FFXIService.dll
これはツールくさいな。ツールの偽装なのか?
356:既にその名前は使われています
08/07/13 16:02:20 krg2u1zQ
よく見つけてくれましたGJ
ここはすぐクリーンインスコしろ言うからな。
検体分離の一番の障害はぶっちゃけこれ。
357:既にその名前は使われています
08/07/13 16:02:37 hZL0tiQy
>>352
ミジンコは調子に乗ってると病院食を喰うハメになる
358:既にその名前は使われています
08/07/13 16:03:00 9TocD76h
いやいや
感染源特定しないと何の解決にもなってないだろw
359:既にその名前は使われています
08/07/13 16:04:28 fGdMIQNS
対応してるソフトをググったらぞんざいな云われ方してて泣いた
360:既にその名前は使われています
08/07/13 16:05:02 EGnZWTBk
特定できるスキル持ちにクリーンインスコしろよって言わないよ。
361:既にその名前は使われています
08/07/13 16:05:43 7AwSjjNN
>>344
予想通りすぎてフイタ
362:既にその名前は使われています
08/07/13 16:05:53 YZmKQRd5
>>358
いいんだよ、アンチウイルスが捕捉し始めれば
そのサイト見ただけで警告出るわけで。
FFXIAHのFlash広告みたいに撤去済みの可能性もある。
363:既にその名前は使われています
08/07/13 16:07:06 VpD4/Ezn
ネ実も捨てたもんじゃないな!
364:既にその名前は使われています
08/07/13 16:07:30 9TocD76h
感染した人でwzcsvbxm.dllがある人と無い人がいる時点でそれが本体では無い
365:既にその名前は使われています
08/07/13 16:07:33 F9JK0Irr
ウィルス特定?できたのか
それ弾く方法はウィルスソフトの内容更新待つしかないのかな
366:既にその名前は使われています
08/07/13 16:07:57 YZmKQRd5
Normanの砂箱の続きが来た。
URLリンク(research.sunbelt-software.com:80)
まーアカウントハッカーのサーバにpostするだけだからあまり参考にはならんね。
367:既にその名前は使われています
08/07/13 16:09:08 YZmKQRd5
>>364
1種類が特定できただけでもいいじゃないか。
ちなみに隠し+システム属性なので
エクスプローラのその辺デフォのままの人には見えない。
368:既にその名前は使われています
08/07/13 16:10:15 9TocD76h
末端の下働き捕まえただけで喜ぶな
369:既にその名前は使われています
08/07/13 16:11:41 9TocD76h
これで安全になったと思う馬鹿が沸くのが一番怖いな
370:既にその名前は使われています
08/07/13 16:13:31 YfKnezUC
おい。元締めID:9TocD76hがお怒りだぞ。
371:既にその名前は使われています
08/07/13 16:14:08 hZL0tiQy
おお怖い怖い
372:既にその名前は使われています
08/07/13 16:15:09 YZmKQRd5
Normanじゃなかった、Sunbeltだった。
373:既にその名前は使われています
08/07/13 16:15:38 Vjdz9b+Q
9TocD76h = 何もしてない(いやむしろ何もできないか)口だけの人
いるよね。こういう奴wどこにでもw
374:既にその名前は使われています
08/07/13 16:16:04 uq+IWFiT
>>373
お前の事だな^^
375:既にその名前は使われています
08/07/13 16:17:10 ietLqkwL
次々に変なのが作られるわけで、これで全面解決!ってわけではないさ
でも1個ぁゃιぃゃっが発見されたのは進歩だと思うよ
このスレ眺めてると、それなりに知識がないとPC版は危ないんだなぁってことがよくわかる・・・PS2でよかった
376:既にその名前は使われています
08/07/13 16:17:18 ZgF0MYiV
>>249が感染していて、何故かwzcsvbxm.dllがPC内に存在しない状態になってて、
それが原因でエラー吐き出してたのが特定の鍵になっただけだからね。
まだ全てがわかったわけじゃないから注意なーおまいら。
377:既にその名前は使われています
08/07/13 16:17:47 0Nm/S0Vu
wzcsvbxm.dllが作られたルートを特定しろよ
378:既にその名前は使われています
08/07/13 16:19:45 9H1cwP/D
ここが技術者の集まりかなんかと思ってる人がいるな
有志がタダでやってくれてるってのに
379:既にその名前は使われています
08/07/13 16:22:27 GPQxW9RM
そうやって雰囲気壊して、調べてくれてる人のやる気を削ぐのが目的の業者だろ。
東ア板なんかによくいるよなw
380:既にその名前は使われています
08/07/13 16:23:51 ZaFd52nN
リアルタイムで流れを見てた。
この興奮は、一昨年(だっけか?)、中華のサイトにクラックをかけた、
伝説のハッカーが降臨した時以来だな!w
381:既にその名前は使われています
08/07/13 16:24:22 vBWWGx8L
wzcsvbxm.dll
wuauserv.dll
svcchost.exe
の作成日とMD5
wzcsvbxm.dllが作られた日に踏んだURLとキャッシュ
被害者でこれらの情報出して欲しい
382:既にその名前は使われています
08/07/13 16:26:42 YZmKQRd5
あれ、これ送信先のASP消えてるな。
383:既にその名前は使われています
08/07/13 16:27:39 YZmKQRd5
>>380
2005年11月だね。花の雫。
384:既にその名前は使われています
08/07/13 16:27:55 hPxhIBfQ
ほんと雑魚しかいないな
こんな奴らのサポートしてるスクエニの中の人に同情するわー
385:既にその名前は使われています
08/07/13 16:31:07 xSV4i07B
パス抜かれてシャットダウン遅延が未だに起きてるけどwzcsvbxm.dllなんて見つからないしレジストリにも書かれて無いぞ・・・
386:既にその名前は使われています
08/07/13 16:32:18 xfHKwfw9
>>385
怪しいサービスが動いてないかチェックしてみたら?
387:既にその名前は使われています
08/07/13 16:33:14 9H1cwP/D
>>385
他にもウイルスは一杯あるからねー
オンラインスキャンとかでもかからない?
388:既にその名前は使われています
08/07/13 16:33:20 2wniQGFu
なみだめな業者がいると聞いて来ました
389:既にその名前は使われています
08/07/13 16:33:39 XRQVjDRs
>>379
業者通報スレでもよくみかけるわ
やっぱし糞シナだったかw
全力でスルーが肝要だな
390:既にその名前は使われています
08/07/13 16:35:24 xSV4i07B
>>386
>>387
6日頃に感染してずっと調べてるけど何も見つからないね
391:既にその名前は使われています
08/07/13 16:36:30 Vjdz9b+Q
隠しファイル属性も検索対象にしてる?
392:既にその名前は使われています
08/07/13 16:36:47 hZL0tiQy
>>384
ageてくれるなら業者でも良いよ!
393:既にその名前は使われています
08/07/13 16:38:35 xSV4i07B
>>391
ある程度知識はあるからその辺はぬかりない
394:既にその名前は使われています
08/07/13 16:38:40 TtG61Aev
俺もハックされてからクリーンインスコしてないけどwzcsvbxm.dllは出てこない
395:既にその名前は使われています
08/07/13 16:40:37 Vjdz9b+Q
WindowsUpdateは可能な状態なんかな?
396:既にその名前は使われています
08/07/13 16:41:03 BIvn1zQ1
まぁまだ他もあるってことだ
397:既にその名前は使われています
08/07/13 16:41:09 ietLqkwL
問題の物体と同じよーな【カモフラージュ】を使い手がどこかにいるんだろうねぇ・・・
398:既にその名前は使われています
08/07/13 16:41:10 NVAwxVT0
>>390
>>280と同じレジストリ項目はどうなってる?
399:既にその名前は使われています
08/07/13 16:43:17 xSV4i07B
POLは2週間くらい前に初回起動だけ落ちてたけどいつのまにか直ったな
抜いたら完全消滅するのか?
400:既にその名前は使われています
08/07/13 16:44:21 ZgF0MYiV
とりあえず現時点での整理。
wzcsvbxm.dllが起動時にWindowsUpdateを名乗って常駐しているようだ。
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Parameters
「ServiceDll」→「REG_EXPAND_SZ(種類)」に%SystemRoot%\System32\wzcsvbxm.dll
本来は
C:\WINDOWS\system32\wuauserv.dll
で、>>303でレジストリを正規のものに戻しても再度svchostが書き戻しにくる。
これについてはwzcsvbxm.dll自体が監視しているのかどうかは不明。
401:既にその名前は使われています
08/07/13 16:44:35 xSV4i07B
C:\WINDOWS\system32\wuauserv.dllだな
spybot常駐してるから許可なしにレジストリ弄られる事は無いと思うんだが
402:既にその名前は使われています
08/07/13 16:47:16 ZgF0MYiV
POLに介入して接続先を業者鯖にしてしまうのはおそらくwzcsvbxm.dllではあると思う。
あとはどの時点でレジストリの変更が行われたのか、どいつが書き換えたのか。
が解ればある程度はひと段落かねえ?
403:既にその名前は使われています
08/07/13 16:47:20 wpvXx2VB
wzcsvbxm.dllはユーザー、パスワード、NICのMACアドレス、現在の日時を
盗っていくように見える。
404:既にその名前は使われています
08/07/13 16:50:18 Vjdz9b+Q
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Parameters
%SystemRoot%\System32\wzcsvbxm.dll
とあるからWSUS(自動更新)が起動トリガーになってそうだけど。
こいつの設定過程が見えてないね。大元の脆弱性もだけど。
405:既にその名前は使われています
08/07/13 16:56:28 KFDmrNbL
>>404
お前も口だけだな(笑)
406:既にその名前は使われています
08/07/13 16:59:13 ZgF0MYiV
FPの脆弱性ではマルウェアをDLさせることはできてもレジストリ変更かけることはできないからなあ。
wzcsvbxm.dllがパスぬきの原因だとしても、他のもいると考えたほうがいいね。
407:既にその名前は使われています
08/07/13 17:01:54 5h0rQUV/
久々に来たらすげえ進展したっぽい?
俺もWindowsUpdateの失敗やシャットダウンの遅延の症状が出てるんだけど
C:\WINDOWS\SYSTEM32\wzcsvbxm.dllあったよ
中覗いてみたらh t t p : / / g o o g l e s y d i t i o n . c o m / 4 f h 7 c / p o s t . a s pってあった
aguseで見るとアメリカなんだけど、逆引きホスト見てくと中国に行きつく
408:既にその名前は使われています
08/07/13 17:02:45 xSV4i07B
わかんねぇ
俺のは違う種類なのか
409:既にその名前は使われています
08/07/13 17:03:06 EGGQizdT
>>385
ウイルス特定されちゃった業者乙なんだが。
パス抜かれてシャットダウンが続いているのに、なぜクリーンインストールしない?
410:既にその名前は使われています
08/07/13 17:03:22 gEExB3Z1
PCにビデオカード差し込んでそこにPS2指せば
PCの画面でテレビの状態になるからそっからFF11できるんじゃね??
俺頭よくね??
411:既にその名前は使われています
08/07/13 17:06:07 NVAwxVT0
>>408
違う種類だろうね。いろいろ工夫してるんだと思う、やつらも
412:既にその名前は使われています
08/07/13 17:06:23 ZgF0MYiV
>>407
レジストリは>>400に書き換えられてる?
あとセキュリティソフトを教えてほしいw
413:既にその名前は使われています
08/07/13 17:06:31 xSV4i07B
>>409
別にしてもいいけど
特定されるまでしないほうが今後のためになるだろ
414:既にその名前は使われています
08/07/13 17:06:45 7j0/vf20
>>410
お前は世界一のバカだw
415:既にその名前は使われています
08/07/13 17:07:52 gEExB3Z1
>>414
え、なんでだwww
すげえいい方法だと思ったんだけどwww
416:既にその名前は使われています
08/07/13 17:09:18 VpD4/Ezn
PCにつないだってグラフィック描写はPS2のグラフィックチップ依存だろw
417:既にその名前は使われています
08/07/13 17:09:22 EGGQizdT
>>413
業者のためにはなるが、お前のためにはならないな
418:既にその名前は使われています
08/07/13 17:10:14 gEExB3Z1
>>416
いや、そりゃそうだけどできることはできるよね?w
419:既にその名前は使われています
08/07/13 17:11:51 JfKMqo0s
>>418
できるけど、テレビに繋ぐのとかわんないじゃんw
420:既にその名前は使われています
08/07/13 17:12:19 oX9KF7bl
>>418
テレビを修理する金ないやつ乙
421:既にその名前は使われています
08/07/13 17:12:27 TtG61Aev
>>417
お前みたいなアフォがいる限りハッカーも安泰だ
422:既にその名前は使われています
08/07/13 17:12:56 QbFq9U4R
このスレ落差が激しすぎる
423:既にその名前は使われています
08/07/13 17:12:57 gEExB3Z1
>>419
うちテレビないんだよ。。。。
424:既にその名前は使われています
08/07/13 17:13:59 5h0rQUV/
>>412
書き換えられてる
セキュリティソフトはAVGのフリー版とSpybot
症状出てからPG2導入
425:既にその名前は使われています
08/07/13 17:14:21 7j0/vf20
>>418
PG2で■eと2chとニコニコだけ許可してあと遮断するとか考える時点で・・
まあPS2をPCにつなげば確かに安全なんじゃね?w
426:既にその名前は使われています
08/07/13 17:18:15 YfKnezUC
>>423
(´;ω;`)ブワッ
427:既にその名前は使われています
08/07/13 17:18:32 gEExB3Z1
よし、あんがと!
USBのビデオのやつ買ってくるwww
428:既にその名前は使われています
08/07/13 17:21:14 ZgF0MYiV
>>424
もっかいそいつをURLリンク(www.virustotal.com)に投下。結果URL張ってくだちい。
それじゃあカスペルさん体験版落としてきて回線抜いてインスコ。
AVGと入れ替えてほしい。
そんで入れ替え後回線つないでカスペルVU.
プロアクティブディフェンスをオンにしてレジストリを正規の値に戻す。
そうすると多分svchostが書き戻しに来ると思うから、そのサービス名をプロセスエクスプローラで確認。
あと、WindowsUpdateを無効にして再起動↑試してみて同じ挙動なるか確認。
429:既にその名前は使われています
08/07/13 17:22:34 cu6AdjP8
POLGMに聞きたいことがあったけどテンプレで返ってきて
テンプレの返答+聞きたいことがあるっていったら
ログイン制限しましたあとはサポセンに詳しいことを聞いてくださいってメールっぽいのでおわった
かなり忙しいんかねえ・・・土日サポセンやってねえっつうの・・・
430:既にその名前は使われています
08/07/13 17:22:38 EGGQizdT
IP制限喰らったあげくに、ウイルスまで特定されちゃって、業者ちゃん涙目www
431:既にその名前は使われています
08/07/13 17:23:01 ZgF0MYiV
書き戻しにくるsvchostの親が違うウィンドウズアップデート以外だったらそいつも一味の可能性が高いね。
432:既にその名前は使われています
08/07/13 17:23:37 ZgF0MYiV
>>431
いやほんと、我ながら日本語でおk。
433:既にその名前は使われています
08/07/13 17:25:23 5h0rQUV/
>>428
とりあえず結果URLだけ
URLリンク(www.virustotal.com)
434:既にその名前は使われています
08/07/13 17:26:39 ZgF0MYiV
ああでもスパイボットつかったら、レジストリ改変時アラートでるんかな?
Comodo+Deffence+でしかやってないから解らないが・・レジストリ変更アラートでるならそのままでもいいw
435:既にその名前は使われています
08/07/13 17:28:47 ZgF0MYiV
>>433
ありがとう、やっぱりハッシュもファイルサイズも違うね。
同系統の可能性はたかいけど。
436:既にその名前は使われています
08/07/13 17:28:55 +c1DTQD8
カスペで被害者いるし素人がデフォでオンになってるプロアクティブディフェンスをオフで使ってるとも考えにくい
それで感染してるってのが合点がいかんな
437:既にその名前は使われています
08/07/13 17:30:19 Vjdz9b+Q
レジストリーガードはデフォで”オフ”じゃね?
438:既にその名前は使われています
08/07/13 17:32:08 wpvXx2VB
>>433
乙です。亜種のようですな。
googlesydition●comは6/20に中華が取得したドメイン。
同名ホスト(74.86.185.101)の所在地は米国。
wzcsvbxm.dllが見つかった方、Windowsのサービス一覧で、
Automatic Updateの説明が日本語か英語か教えてくださいな。
通常は日本語で、
「Windows の更新のダウンロードとインストールを有効にします。
このサービスを無効にしている場合は、このコンピュータでは
自動更新機能と Windows Update の Web サイトを使用できません。」
と表示されるはずですが……英語になってます?
439:既にその名前は使われています
08/07/13 17:32:40 D0t1pKDj
そういやあspybot1.6になってたな
440:既にその名前は使われています
08/07/13 17:34:38 EGnZWTBk
>>429
GMは時給1000円のバイトだから技術的な事がわかる人が限られてるんだと
思われ。
441:既にその名前は使われています
08/07/13 17:38:03 iGx4SBUS
質問ですが、自分もアカハック食らってパス再発行してもらったんですが、その後ログインしてからクリーンインストールしました。そしてパスを変更したんですが、クリーンインストールした時点でトロイはいなくなったから変更後のパスはもうばれないんでしょうか?
442:既にその名前は使われています
08/07/13 17:39:45 ZgF0MYiV
とりあえず、Romの人もいるだろうし。wzcsvbxm.dll関係の感染チェック。
スタート>ファイル名を指定して実行>regeditでレジストリエディタ起動
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Parametersに移動。
そこの値が
C:\WINDOWS\system32\wuauserv.dll
以外であればなにかしら感染してる可能性があるので見てみるとよろしいカーモメー。
443:既にその名前は使われています
08/07/13 17:41:07 ZgF0MYiV
レジストリ変更はOS壊れる危険性もあるので、変更されてない場合には何もしないで終了してねー。
444:既にその名前は使われています
08/07/13 17:41:50 VpD4/Ezn
>>441
セキュリティ環境を見直さない限りクリーンインストールしてもまた感染して抜かれる可能性が高い
家にカギをかけたので泥棒は入れない^^
↓
窓が開いてたのでそこから泥棒が侵入してウマーwwww
↓
カギかけてたのに泥棒に入られた;;
でも新しいカギにしてもらったからもう安心^^
↓
窓まだ開けっ放しwwwwまた進入ウマーwwwwwww
445:既にその名前は使われています
08/07/13 17:46:06 iGx4SBUS
>>444
つまり、もう感染しないようにFFのサイトに行かなかったりアップデートたウイルスソフトを
怠らないようにするってことですね^^
原因はFFの関連サイトに行ってURLをクリックしたことなんですよね?
446:既にその名前は使われています
08/07/13 17:48:00 TYp198Js
おー進展してる。
おれのPCもFF起動しようとするとwzcsvbxm.dllのエラーが出てた。
レジストリの値も%SystemRoot%\System32\wzcsvbxm.dllになってる。
でもPC内にこのDLLは見つからないなー。POLあげようとした瞬間に作成されるんかな。
>>438 が言うAutomatic Updateの説明も日本語だった。
447:既にその名前は使われています
08/07/13 17:48:03 7lM1Ula6
今北産業
448:既にその名前は使われています
08/07/13 17:48:08 CyS7VFlA
とりあえずセキュリティホールをふさげ といわれてるのにわかってねぇw
あと原因は1つとは限らん 今回はある会社のサーバー使っているサイトならどこでも引っかかる状況だった。
FF関連のHP見てないから安心! なんて時代はもう終わったんだよ
449:既にその名前は使われています
08/07/13 17:48:55 VpD4/Ezn
>>445
そのへんの原因やウィルス本体がいまいち明らかになってないのでこのスレ住民が解析を進めている
少なくともソフトウェアのアップデートだけしていれば安心、という状況ではない
今後もこまめにスレ見て新たな情報や被害報告が出てないかチェックして
情報収集を怠らず現在進行形で対策を進めるとよい
新たな被害や新たな対策法が見つかったりするからね
450:既にその名前は使われています
08/07/13 17:49:10 wpvXx2VB
>>442
ログオンしているユーザーの環境なら、CurrentControlSetのほうがいいかも?
内容表示は、コマンド プロンプトでregコマンドを使う方法もある。
実行するコマンド:
reg query HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters
----
期待される結果:
C:\>reg query HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters
ServiceDll REG_EXPAND_SZ C:\WINDOWS\system32\wuauserv.dll
451:既にその名前は使われています
08/07/13 17:50:01 E6GKQGAd
パソ二台用意して片方はFFのみ、片方でネットをする予定。
ルーターもいじっておいたほうがよい?本体だけ対策しておけばおk?
452:既にその名前は使われています
08/07/13 17:50:16 iGx4SBUS
>>449
わかりました、ありがとうございます^^
453:既にその名前は使われています
08/07/13 17:50:35 ZgF0MYiV
>>445
そうとも限らないのです。
業者鯖にヤフーブログ、ニコ動、FC2、Mixiなどのパスをぬくマルウェアが確認されているし。
そうやって抜いたアカウントを改ざんしてFF11ROリネWoWなどへの罠を置くつもりなんだろう。
FF11に関係ないサイトやBlogにも仕掛けられてくると考えたほうがいい。
454:既にその名前は使われています
08/07/13 17:52:18 YfKnezUC
>>452
いや、クリーンインストール前に変更パスでログインした時点でアウトの可能性が高いよ。
いままっさらの環境なら急いでPOLパス変更したほうが。
455:既にその名前は使われています
08/07/13 17:53:34 iGx4SBUS
>>453
と、言うことはFFと関係ないサイトに行ってそこに仕掛けられてた罠に
抜かれてしまうって可能性も十分高いってことなんですね~;;
456:既にその名前は使われています
08/07/13 17:54:47 1hGp6/Ff
>>454
クリーンインストール後にパス変更したって書いてあるような・・・?
>>455
そう っていうかもうFF関連サイトがどうとかの問題じゃない
FFAH見ててひっかかったって人も多かったけど あれもHP自体の問題ではないし
457:既にその名前は使われています
08/07/13 17:55:27 iGx4SBUS
>>454
クリーンインストール後にPOLのパスは再発行されたものから任意のに変更しました。
それとも救済受けたらすぐにまたクリーンインストールやり直したほうがいいですか?
458:446
08/07/13 17:56:20 TYp198Js
で、レジストリの値を wuauserv.dll に修正してみたけど、
カスペいれてないから即wzcsvbxm.dllに戻されるw
このレジストリ書き換え、カスペなしでウィンドウズの設定だけでガードできないんすかね。
ちなみに使ってるセキュリティソフトはマカフィー。
459:既にその名前は使われています
08/07/13 17:56:28 YfKnezUC
>>456
それがそうでもない:(;゙゚'ω゚'):
>>441
>>その後ログインしてからクリーンインストールしました。
460:既にその名前は使われています
08/07/13 17:57:44 1hGp6/Ff
>>459
その後に そしてパスを変更したんですが って書いてあるぞ?
461:既にその名前は使われています
08/07/13 17:58:30 YfKnezUC
>>460
正直スマンカッタ
462:既にその名前は使われています
08/07/13 17:59:09 1hGp6/Ff
>>461
いや 俺なんか読み違ってたかなと思っただけなんだ
別に責めるつもりはなかった・・・
463:既にその名前は使われています
08/07/13 17:59:29 iGx4SBUS
>>460
順番としては
サポセンからパス再発行→状況確認のため再発行パスでログイン→
クリーンインストール→パスを任意のものに変更。
という流れです
464:既にその名前は使われています
08/07/13 18:00:35 ZgF0MYiV
この手の手法を特定する手段として。
常日頃、プロアクティブデフィエンスやレジストリ保護してくれるセキュリティソフトを導入しておくこと。
POLにsvchostなどサービスが介入してくることはまずないので、アラートが出たらプロセスエクスプローラなりで介入してくるサービスを特定。
介入してきたサービスのレジストリエントリを確認、正規の値と比較する。
である程度みえてくるかなー?今後似たような手法使ってくると思うし、どこか穴あったら指摘よろしこw
465:既にその名前は使われています
08/07/13 18:02:06 ZgF0MYiV
>>458
ウィンドウズアップデートを無効にして、再起動して書き換えてみてー。
それで書き戻しされるかなあ?
466:既にその名前は使われています
08/07/13 18:02:27 1hGp6/Ff
あれ なんかPG2更新しようとしたら
例外が発生しました!
この問題は自動的にMethlabsへ報告されます。この報告には以下の内容が含まれています。
ビルド番号:2050918
ファイル:updatelists.cpp
行:491
種類: class path_error
メッセージ: DeleteFile: ・v( 意味のない中点とアルファベット、記号が続く
PeerGuadianの改良をお手伝い頂き有り難う御座います!
とか出てきたんだけど これはなんだろう
467:既にその名前は使われています
08/07/13 18:05:33 c29nevBz
馬鹿ばっかりで助かる( ^▽^)
468:既にその名前は使われています
08/07/13 18:05:39 TYp198Js
マカフィーの設定でレジストリの監視あったけど、
全項目をアラート有効にしても書き換え検知できねーな。
>>465
ほほう。了解。
469:既にその名前は使われています
08/07/13 18:05:43 wpvXx2VB
>>446
説明は日本語、了解です。確認ありがとう。>>446
470:既にその名前は使われています
08/07/13 18:06:30 YZmKQRd5
>>458
一度サービスでAutomatic Updates(自動更新)を停止してから書き換えれ。
471:既にその名前は使われています
08/07/13 18:09:22 hZL0tiQy
と言いつつageてくれる業者の>>467は本能的に長寿タイプ
472:既にその名前は使われています
08/07/13 18:09:56 HnTKtFya
dion規制されているので携帯から。
カスペにも提出しておいた
473:既にその名前は使われています
08/07/13 18:11:12 TrTsULmn
>>442をやってみた
けど何も変更されてなかった
(既低) REZ_SZ (値の設定なし)ってのがあった
俺のウィルスはどこだああああ
474:既にその名前は使われています
08/07/13 18:14:18 ZgF0MYiV
もっかいwzcsvbxm.dll関係整理。
>>309
URLリンク(www.virustotal.com)
>>407
URLリンク(www.virustotal.com)
亜種というかバージョン違いだと考えられる。>>302の指摘の通り>>309の送信先は消えているようだ。
感染時期によって違うかなあ?
>>446もwzcsvbxm.dllをURLリンク(www.virustotal.com)に投下。結果URL張ってくだちい。
475:458
08/07/13 18:14:30 TYp198Js
サービスから、Automatic Updates の設定自体が変更(開始→停止)できませんでした。
「ローカルコンピューターの Automatic Updates サービスを停止できません。
エラー1053:そのサービスは指定時間内に制御要求に応答しませんでした。」
とかなんとか。スタートアップの種類(自動)も変更できず。
(無効や手動にしても、即「自動」になる)
476:既にその名前は使われています
08/07/13 18:18:40 pTYnM/xI
>>473
(既定)の下にServiceDllってのがあるはずだからそれを見て
477:既にその名前は使われています
08/07/13 18:21:01 TYp198Js
>>474
wzcsvbxm.dll自体が見つからないんだ。
478:既にその名前は使われています
08/07/13 18:21:31 TrTsULmn
>>476
C:\WINDOWS\system32\wuauserv.dll
ってのはあるんだよね。
俺は違うウッィルスに感染しているのか
479:既にその名前は使われています
08/07/13 18:21:33 ZgF0MYiV
>>477
無いのか、スマンコw
480:既にその名前は使われています
08/07/13 18:22:49 ZgF0MYiV
>>478
それはwindowsupdateでつかう正しいファイル。
通常 C:\WINDOWS\system32\wuauserv.dll ってなってるはず。
481:既にその名前は使われています
08/07/13 18:25:59 ZgF0MYiV
あ、ちょっとまてよ。
wzcsvbxm.dll自体がないのなら、レジストリ書き戻そうとしてるのはwzcsvbxm.dll以外か?
アラートで引っかかるなら、そのサービス絞り込んでそのサービスのエントリみれば何か解るかもーだが、ひっかからないとなるとー・・
482:既にその名前は使われています
08/07/13 18:27:29 ssCTNHtr
垢ハックとかされるのはアフォだけ
俺達が楽しんでるFF11に水刺さないでくれよ
黙って己の無知を悔いてろ
483:既にその名前は使われています
08/07/13 18:29:00 BIvn1zQ1
1個ばれただけで業者が増加したなw
484:既にその名前は使われています
08/07/13 18:29:49 TrTsULmn
何度もすまん
ServiceDllのデータはC:\WINDOWS\system32\wuauserv.dll
だから俺のは正常だと思う
485:既にその名前は使われています
08/07/13 18:30:25 hZL0tiQy
何でいつも単発なんだよwww
486:既にその名前は使われています
08/07/13 18:32:03 ZgF0MYiV
こいつでレジストリかきもどしてくるsvchostのサービス名みてほしいなー。
プロセスエクスプローラ
URLリンク(www.forest.impress.co.jp)
487:既にその名前は使われています
08/07/13 18:32:28 ssCTNHtr
業者認定してないと精神安定が計れないような低脳がハッキングされる
488:既にその名前は使われています
08/07/13 18:34:00 hZL0tiQy
と言いつつageてくれる業者は本能的に長寿タイプ
489:既にその名前は使われています
08/07/13 18:42:26 YFVjFeGm
>>482
んでこのスレがどうなると貴方のFFに水さすんだか教えてほしいな^^
このスレがあることで水さされるのは(ry
490:既にその名前は使われています
08/07/13 18:42:33 ZgF0MYiV
プロアクティブデフィフェンスがうごいていると、書き戻してくるときにPIDも一緒に吐くはずだから。
プロセスエクスプローラでそのPIDのsvchostなりをダブルクリック、サービスタブでそいつを動かしてるサービスがみえるよー。
491:既にその名前は使われています
08/07/13 18:46:41 k3FKWA9O
レジストリの変更なら 有料のセキュソフトなら不正変更監視してると思うんだが
249は プロアクティブディフェンス有効な状態でハクられたのだろうか。
この件で解明に協力してくれてる人は 公式じゃない窓化ツール使用してたのだろうか。
ちょときになる。
>>249 カスペのプロアクティブディフェンスが作動
>>309 不明
>>407 AVGのフリー版とSpybot
>>446 マカフィーの設定でレジストリの監視あったけど、全項目をアラート有効にしても書き換え検知できねーな。
492:既にその名前は使われています
08/07/13 18:50:16 TYp198Js
>>486 のソフトいれてみた。
でもプロアクティブディフェンスが入ってないから、どのsvchostが書き戻してるのかわからんw
常にCPUを使ってるやつかなあ。それだけ、サービス数がめちゃ多い。
(他のは1~4くらいなのに、それだけ10個以上。wuauserv や WZCSVC なんてサービスもある)
ちなみに俺はツール未使用。公式の窓化すらやったことない。
493:既にその名前は使われています
08/07/13 18:52:05 hZL0tiQy
>>492
10個以上サービス動いてるsvchostはシステムの根幹だと思うけど
何か変なサービス紛れ込んでないかチェックしないといかんね
494:既にその名前は使われています
08/07/13 18:52:23 fGdMIQNS
プロジェクトXと漫才が同時進行してるみたいで面白いw
495:既にその名前は使われています
08/07/13 18:56:00 YZmKQRd5
>>407
アップよろ。>>332
496:既にその名前は使われています
08/07/13 18:57:28 mj09Lx0/
久々に来たらかなり進んでるじゃないか
業者プギャーか
497:既にその名前は使われています
08/07/13 19:01:25 2Mv8LBIr
sageんなクソ業者
498:既にその名前は使われています
08/07/13 19:01:44 COPvf4Vv
>>489
てか、煽ってるのは、PS2組でしょw
499:既にその名前は使われています
08/07/13 19:01:49 ZgF0MYiV
PID1456ってある?
500:492
08/07/13 19:02:20 TYp198Js
486のソフト起動してる状態でレジストリを wuauserv.dll に戻した場合。
設定は即書き換えられる。このとき、5つあるsvchost.exeのうち1つだけが、
I/O のtotal byte が変動してる。それがさっき言った10個以上サービス動いてるsvchost。
493の言うとおり、システムの根幹なんだろうけど、怪しいとすればこれかねえ。
501:既にその名前は使われています
08/07/13 19:05:57 TYp198Js
ちなみにそのsvchostのサービスは
URLリンク(tune.ache-bang.com)
502:既にその名前は使われています
08/07/13 19:08:15 YZmKQRd5
>>501
下から2つ目見ろよ。
503:既にその名前は使われています
08/07/13 19:09:14 29LRTN8E
なんかダウトっぽいの混じってないか?w
504:既にその名前は使われています
08/07/13 19:09:41 QbFq9U4R
Security Centerのdllファイル名前がソツクリ
505:既にその名前は使われています
08/07/13 19:10:30 wpvXx2VB
>>501
Automatic Updateを選択したSSうpよろり
506:既にその名前は使われています
08/07/13 19:12:38 BIvn1zQ1
>>502
いい指摘、普通のWinXPならそのファイル無いな
少なくとも俺のには無い
507:既にその名前は使われています
08/07/13 19:13:02 ZgF0MYiV
wzcsvbxm.dllがうごいてるねー。
やっぱりHDD内にwzcsvbxm.dllがない?
検索オプションで隠し属性もサーチするようにしないと引っかからないよw
508:既にその名前は使われています
08/07/13 19:19:23 YZmKQRd5
>>506
まんま >>249 >>407 だしね。
509:既にその名前は使われています
08/07/13 19:21:34 BIvn1zQ1
このサービス止めてからレジストリ消すとどうなるんかねえぇ
510:既にその名前は使われています
08/07/13 19:21:48 Sni935nv
svchostからアロケートされているDLLの一覧取得方法。
コマンドプロンプトを開いて、
tasklist /fi "services eq wuauserv" /m > foo.txt
これをコピペしてEnter。
カレントディレクトリにリダイレクト内容のテキストファイルが出来上がるから、この一覧中に曲者が潜んでいるかもしれない。
511:既にその名前は使われています
08/07/13 19:22:57 Sni935nv
>>510こめん、一部パラメータが不十分だった。
tasklist /fi "imagename eq svchost.exe" /m > foo.txt
こっちの方が完全版。
512:既にその名前は使われています
08/07/13 19:23:11 TYp198Js
もちろん隠しファイル含めて検索してるが、やはり該当dllはないんだよねえ。
もう1回検索してみたがダメだった。
513:既にその名前は使われています
08/07/13 19:26:00 QbFq9U4R
>>272の保護された~は?
514:既にその名前は使われています
08/07/13 19:27:56 TYp198Js
>>513
ゴメンナサイ。272の設定がオンになってました。
そしてあっさり該当dllが見つかりました。ゴメンナサイゴメンナサイ。
515:既にその名前は使われています
08/07/13 19:28:42 TYp198Js
あと511のコマンドながした。wzcsvbxm.dll, もでてきました。
516:既にその名前は使われています
08/07/13 19:29:14 BIvn1zQ1
>>514
エディタで中身見てURLをさらすんだ、また違うとあれだし
517:既にその名前は使われています
08/07/13 19:30:23 pTYnM/xI
ついでにURLリンク(www.virustotal.com)に投げてね
518:既にその名前は使われています
08/07/13 19:32:26 TYp198Js
URLリンク(www.virustotal.com)
中身にあったURLは以下。
h t t p : / / 2 0 4 . 1 3 . 6 9 . 1 2 / f g / p o s t . a s p
既出のやつですかね。
519:既にその名前は使われています
08/07/13 19:34:12 2U+NyGu0
垢ハックから3週間、ついにキャラデータ復元しましたのメールktkr
一応、流れを説明すると
6/22(日) 用事で出かける前にワモプリ揃って朝8時にログアウト
6/23(月) 日付変わって1時くらいインしようとするもパス変更でできず
サポセンにリトライオンラインで4時くらいにパス変えてもらって、リアフレの安全なパソでインして見るも装備根こそぎアウト
エクレアも捨てられ、ボナンザマーブルもなかった。POLの前回のログイン時間は11時30分とかだった
6/24(火) 幸運にも一発で電話かかって復元依頼
6/27(金) リアル所要で忙しく、やっと書類を郵送
7/13(日) 14:30ごろ完了メール到着
ちょうど三週間、書類届いてから2週間くらいだな
とりあえずOSクリンインスコしてできるだけ対策してからインして見るぜ
520:既にその名前は使われています
08/07/13 19:36:09 pTYnM/xI
>>518
>>309のとハッシュが同じ
521:既にその名前は使われています
08/07/13 19:37:01 9H1cwP/D
>>519
おつ。まだクリーンインスコが済んでないなら>>442を実行してみて欲しい
522:既にその名前は使われています
08/07/13 19:41:40 TYp198Js
とりあえずhostファイルいじって問題のアドレスは閉じておきました。
いろいろレスくれた方サンクス。クリーンインスコが果てしなくめんどくさいので
ダメと知りつつ買い替えまではこのPCと付き合います。
523:既にその名前は使われています
08/07/13 19:41:48 LXtHUaOl
もうFFやめればいいのに・・・
524:既にその名前は使われています
08/07/13 19:42:17 QbFq9U4R
ハー?
525:既にその名前は使われています
08/07/13 19:44:16 YZmKQRd5
>>518
既出だね。つーことで亜種持ちの
>>407 早くアップ頼む。ここのASPは現時点で生きていて、リアルタイムにパス抜き中。
526:既にその名前は使われています
08/07/13 19:44:23 pTYnM/xI
そのままだとWindowsUpdateとか出来ないんじゃないか?
527:既にその名前は使われています
08/07/13 19:44:32 D0t1pKDj
>>522
クリーンインストールなんて休み1日使うだけで出来るのに、めんどくさいとか言ってんじゃない
と、年に10回くらいはやる自分が言ってみる
528:既にその名前は使われています
08/07/13 19:44:47 ZgF0MYiV
>>522
おいいいwwwwまだそいつを仕込んだダウンローダがみつかってないんだよwwww
そいつが生きていたら新バージョンwzcsvbxm.dllを注入される可能性あるぞwwww
529:既にその名前は使われています
08/07/13 19:44:54 QbFq9U4R
アホスwwwwwwwいいのかよそれでwwwwww
今後自動更新無しテラ迷惑wwwwwwwwww
530:既にその名前は使われています
08/07/13 19:45:15 BIvn1zQ1
>>522
それで絶対にFF、リネ、mixi等対象のやつはやるなよー
めんどくさがらずに、クリーンインストールして
バックアップソフトでHDイメージを初期保存しておくのをお勧めするが...
531:519
08/07/13 19:45:42 2U+NyGu0
>>521
見て見たけけど、C:\WINDOWS\system32\wuauserv.dllであってる
532:既にその名前は使われています
08/07/13 19:47:32 9H1cwP/D
>>531
ありがと。時期的にもXREAの方のウイルスだったのかもしれんね
533:既にその名前は使われています
08/07/13 19:47:36 YZmKQRd5
wzcsvbxm.dll - Trojan-GameThief.Win32.WOW.bkb
パターン配布まではもうちょっと時間かかると思うけどね。
しかしWoWじゃないんだけど、亜種扱いなんかな。
534:既にその名前は使われています
08/07/13 19:48:11 YZmKQRd5
↑Kasperskyからの返答。
535:既にその名前は使われています
08/07/13 19:48:54 ZgF0MYiV
つーか、HKCU\Software\Microsoft\Windows\CurrentVersion\Runあたりに本体の自動起動つくられてねえ?w
そんな単純じゃないかw
536:249
08/07/13 19:49:13 CUxv2ul2
>>512
自分もファイルでは、検索しても発見出来ませんでした。
是非regieditから検索してみて下さい。
>>308 で「拒否」した後、svchost.exeからレジストリの書き換えは発生していません。
自分もアカハックにあっていた為、シャットダウンの遅延・Windows Updateのエラー・POLのクラッシュが
セットで起こっていましたが、レジストリを「C:\WINDOWS\system32\wuauserv.dll」に変えて以降は、
シャットダウンは早いは、アップデートはウマくいくは、宝くじ当たるは、背は伸びるは、モテるはで大変です。
現状、自環境にて変更を行った部分を下記に。
① レジストリを「wzcsvbxm.dll」から「wuauserv.dll」書き換えた。
② 書き換え後、強制終了させた「svchost.exe」からの新規モジュールのロードをカスペにて「拒否」
③ >>65のIPをPG2にて許可リスト作成、併せて「wowinterfcae_com:204.13.69.12-204.13.69.12」を拒否リスト作成
④ XP SP2からSP3にアップデート
まだまだ主原因となるプロセスは判明してませんが、外向けのドアとなる「wzcsvbxm.dll」と
どこでもドアを生成する「svchost.exe」の動きをブロックするだけでかなりの改善が見られたので、
シャットダウンやアップデートなど、今回の問題の典型的な状態にある方は試してみたはイカかでしょうか。
537:既にその名前は使われています
08/07/13 19:49:20 kfp2POU2
現状のすべてとは言えないかもしれないが1つはハッキングの足跡が見つかったな
WindowsUpdateがおかしいと言っていたフレにかみ砕いて確認させてみるわ
このファイルについてのテンプレをまとめたいところだね
538:既にその名前は使われています
08/07/13 19:49:39 9H1cwP/D
>>533
おー対応来たか
539:522
08/07/13 19:51:32 TYp198Js
そうだった>このままじゃ自動更新できない
ご指摘ありがとう。クリーンしときます。
540:519
08/07/13 19:53:42 2U+NyGu0
>>532
あ、でもWindows Updateのバグやシャットダウンの遅延、POLの再起動の症状はでてたんだ
それで、クリンインスコはしてないんだけど、パソ詳しいリアフレに頼んでシステムの復元(症状出る前くらいので)してるんだよ、ハックされたあとに
それでアップデートやシャットダウンできない症状は治ったから、ひょっとしたら前は感染してたのかも
ただ、フラッシュプレイヤーも最新にしてなかったから、どっち経由かははっきりとは・・・
あんまりいい情報源になれなくてすまん
541:既にその名前は使われています
08/07/13 19:53:45 29LRTN8E
True Image高すぎワロタ
542:既にその名前は使われています
08/07/13 19:56:45 BIvn1zQ1
>>541
Drive Image XMLでも使え、ぐぐれば出てくる
543:既にその名前は使われています
08/07/13 19:57:38 5h0rQUV/
>>428
遅くなった
カスペのレジストリガードオンにしてレジストリ書き換えてみたがカスペ反応
拒否しても戻された
Process Explorerいれてみたがどこを見ればいいのか分からない
ごめん、呆れてなければもう少し教えて欲しい
ちなみに古いけどSpybot1.4のレジストリ監視は反応なし、スルー
544:既にその名前は使われています
08/07/13 20:00:05 YZmKQRd5
>>543
何度でも言うが、アップしてくれ。
URLリンク(tane.sakuratan.com)
545:既にその名前は使われています
08/07/13 20:00:15 29LRTN8E
>>542
ありがとう、ググってみる
546:既にその名前は使われています
08/07/13 20:01:09 ZgF0MYiV
>>543
アラートにPIDが出てきてると思うから、そのPIDのプロセスをダブルクリック>サービスでみれるよー。
547:既にその名前は使われています
08/07/13 20:02:52 9H1cwP/D
>>540
なるほど復元で巻き戻したのか。ありがとう
548:既にその名前は使われています
08/07/13 20:03:42 5h0rQUV/
>>544
うpした
URLリンク(tane.sakuratan.com)
パスff11
549:既にその名前は使われています
08/07/13 20:04:52 YZmKQRd5
乙。パスいろいろ試してもう拾った。発射します。
550:既にその名前は使われています
08/07/13 20:05:21 BIvn1zQ1
>>545
便利さと楽さで言えば、やっぱ有償なのにはかなわないけどね
551:既にその名前は使われています
08/07/13 20:10:57 ZgF0MYiV
Adobe Flash Playerの脆弱性および XREA広告サーバハッキング問題まとめ より抜粋。
URLリンク(www.geocities.jp)
プロセス
1. ウイルスに感染した広告画像・swfファイルの設置されたWebページにアクセス
2. 感染広告に仕込まれたJavascriptによりi115[1].swf呼び出し
3. Flashplayer未更新の場合、swfはトロイの木馬として実行され
4. 最終的にtaa.gif(中身はウィルス)をDL、インストール
ウィルス感染のプロセスで保存・生成されるファイル
* i115[1].swf(不正コードより呼び出しトロイの木馬として活動)
* taa.gif(偽装ファイル、orz.exeに展開)
* orz.exe(実行ファイル)
* sonb32drv.dll(拡散ファイル)
552:472
08/07/13 20:11:56 HnTKtFya
カスペから連絡来た。次のウプに入れるってさ
553:既にその名前は使われています
08/07/13 20:13:26 QbFq9U4R
avastに検体送ったわー
うpしてくれたひと39
554:既にその名前は使われています
08/07/13 20:14:45 5h0rQUV/
>>546
馬鹿ですまん
アラート出てる場所もわからん
とりあえずこんな感じ
URLリンク(www2.uploda.org)
ここに写ってるSVCHOST.EXEは全部C:\WINDOWS\SYSTEM32\SVCHOST.EXE
555:既にその名前は使われています
08/07/13 20:15:28 QNEwAVDB
結局、スレそこそこのびてるのかい・・・
556:既にその名前は使われています
08/07/13 20:16:27 QbFq9U4R
横山さんなのか?
557:既にその名前は使われています
08/07/13 20:16:47 ZgF0MYiV
これは以前にあった手口で、手法的には今回も変わらないと思う。
このときの状況はよく判らないんだけど、パスワードファイルをそのまま送信するタイプだったんだっけ?
今回はwzcsvbxm.dllがWindowsUpdateのサービスに偽装して動いていたわけだけど、それを生成するexeがまだ見つかってない。
感染後の対応はあらかた解ってきたけど、次探すとしたら何を読み込ませられるのかーを確認しないと全容解明とはいかないなあ。
558:既にその名前は使われています
08/07/13 20:21:46 Sni935nv
Lhazの脆弱性狙いと手口は類似。ドロッパも亜種なのかもしれない。
URLリンク(www.symantec.com)
559:既にその名前は使われています
08/07/13 20:22:14 YZmKQRd5
>>557
wzcsvbxm.dll はファイルは読まない。
POLのプロセスをフックしメモリから抜くタイプ。
つまりパスワードを保存してようがしていまいが関係ない。
あと生成するexeが見つからない件だけど、
こいつ自身がドロッパも兼ねてるかも(こっちは自信がない)。
>>548
ありったけ発射した。
560:既にその名前は使われています
08/07/13 20:24:37 ZgF0MYiV
>>554
PID1312のsvchostを右クリックプロパティ>サービスタブ と
そのしたのPID2154右クリックプロパティ>サービスタブで表示されたやつを二つSSにとってもらえると嬉しいw
561:既にその名前は使われています
08/07/13 20:30:16 9xDaUYC7
Friefoxに乗り換えました
IEだとヤバイものも、これを使ってればおkなのでしょうか?
それともFriefoxを導入しただけでは意味がなく、なんか設定がいるのでしょうか?
(フラッシュ再生やOSは当然更新済・ノートンも入っています)
562:既にその名前は使われています
08/07/13 20:31:03 ZgF0MYiV
>>559
挙動からみるにそれが正しいだろうね。
ただドロッパも兼ねてるとした場合dllだけだとシステムに読み込ませることはできないし、
現にレジストリ改竄もされてる以上、exeか何か前にもう1段階あるような気がしてならないw
swfに埋め込まれたコードでレジストリ改竄まではできない・・・・できないよね?w
563:既にその名前は使われています
08/07/13 20:32:22 Vjdz9b+Q
FFXIService.dllこれなんだろ。
564:既にその名前は使われています
08/07/13 20:33:12 YZmKQRd5
>>562
(おなじみの脆弱性などで)exeとしてダウンロードされ実行されると
自身をdllとしてsystem32にコピー、とかね。
自身をそのままコピーして動作するなら
ドロッパとトロイの2バイナリにする必要はたぶんない。
565:既にその名前は使われています
08/07/13 20:33:55 D0t1pKDj
>>561
アドオンでNoScript入れておくべし
566:既にその名前は使われています
08/07/13 20:34:36 YZmKQRd5
>>561
全然だめです。利用者の心構え・すべきことはIEも他も変わりません。
単に「利用者が少ないので狙われる率が低い」だけです。
とりあえずNoScriptとか突っ込むといいかもね。
567:既にその名前は使われています
08/07/13 20:36:02 lA3khJBk
>>561
firefox入れただけじゃIEとさほど変わらんぞ
noscriptとか入れないと
568:既にその名前は使われています
08/07/13 20:36:08 D0t1pKDj
あと乗り換えておいたとしてもIE、FxともFlashplayerの更新も
569:既にその名前は使われています
08/07/13 20:36:39 ZgF0MYiV
>>563
なんだそのファイルw
>>564
なるへそー。その可能性もあるなあ。
570:既にその名前は使われています
08/07/13 20:38:05 iKZqPWFe
>>561
NoScript(アドオン)入れて、設定でIFrameオフ推奨
571:既にその名前は使われています
08/07/13 20:40:48 YZmKQRd5
>>563
何か書いてるよね。ググってもよくわからない。
たぶんWindowerのプラグイン(BOT用)じゃないかな。
572:既にその名前は使われています
08/07/13 20:44:36 ZgF0MYiV
>>564
wzcsvbxm.dllを.exeに変えたら動いたりしてな?w
それなら大当たりなんだけど、仮想環境今無いからなー試せないわw
573:既にその名前は使われています
08/07/13 20:45:59 YZmKQRd5
>>572
うん。それでNormanとSunbeltの砂箱に投げたんだけど
混んでるのかタイムアウトと返事が来た。
Jottiが生きていればそっちでも詳しく出るんだけど
今繋がらない orz
574:既にその名前は使われています
08/07/13 20:58:44 9xDaUYC7
返答ありがとうです
早速プラグインいれてみます
575:既にその名前は使われています
08/07/13 20:59:54 EGnZWTBk
ファイアフォックスについてはソフトウェア板に色んなスレあるのでみてみるといいよ。
576:既にその名前は使われています
08/07/13 21:00:44 Sni935nv
>>572
テスト環境に放り込んで試してみたが、win32 executableでは無いと怒られた。ロードモジュールが無さそう。
昔のデバイスドライバ兼実行ファイルのような器用な構造にはなっていないと思われ。
577:既にその名前は使われています
08/07/13 21:05:21 ZgF0MYiV
>>576
乙。だとしたら他にwzcsvbxm.dllを生成するやつがいる可能性のが高いかなあ。
他になんか手段あったっけ・・・。
578:既にその名前は使われています
08/07/13 21:07:23 YZmKQRd5
>>576
そっかー。
自前でレジストリ監視しているところを見ると
ドロッパは蒸発しちゃうのかもねぇ。
579:既にその名前は使われています
08/07/13 21:17:48 Sni935nv
IEのキャッシュフォルダを開いて、URIで一覧のソートを掛けて問題のアドレスのが残っていれば、サルベージは可能*かもしれない*。
インターネット一時ファイル - 設定 - ファイルの表示
580:既にその名前は使われています
08/07/13 21:29:14 ZgF0MYiV
とりあえずPOLのプロセスを横取りしてPOLとして業者鯖にID/PASSを送信するのは間違いないかね。
だとしたら>>56でPOLの接続鯖、Portを絞っておくのは非常に有効。
今後亜種が出ても同じ形式ならファイアヲールで引っ掛けられる可能性は非常に高い。
プロアクティブディフェンスや、レジストリの保護をしておくことも重要。
また、POLは通常svchostなど外部サービスやプログラムに介入されることはない。
ただ、メモリを抜いて別プログラムで送信するようなのには対応できない。
さすがにメモリ上に平文でID/PASS置いておくことはないとおもうけどもw
581:既にその名前は使われています
08/07/13 21:30:08 IIW3eFnq
ハック対策として>>451は有効なんだろうか・・・・
FF専用マシンとノートPC、大丈夫そうではあるけど信用できなくなってきたZEEE
一応今も今後もそういう風に分けて行くつもりだけど、怖いね!
582:既にその名前は使われています
08/07/13 21:30:22 QbFq9U4R
最近□が施した対策ってこれにゃなんも効果ないのなw
583:既にその名前は使われています
08/07/13 21:31:43 k3FKWA9O
★wzcsvbxm.dllがwuauserv.dllに改ざんされていた件 暫定まとめ(推敲よろしゅー)
wuauserv.dll(ウィンドウスアップデートに使われるダイナミックリンクライブラリ)のレジストリを、正規のプロセスC:\WINDOWS\System32\svchost.exeを使って罠サイトへパスを送るwzcsvbxm.dllに書き換える。
ファイルからではなくプロセスをフックしてメモリからパスを送信。送信経路はhttp。
(レジストリの不正更新もあるにもかかわらず)ほとんどのセキュリティソフトは未検知。
7/13付けで検体爆撃済み かたじけのうござる。
本体(生成元)および感染ルートは現状不明。
判明している送信先(置き換えではなく●を単純に削る)
引退:wowint●erfcae.com 204.13.6●4.0 - 204.13.71.255
現役:googlesy●dition.com 74.86.1●85.101
【%SystemRoot%\System32\wzcsvbxm.dllを探す方法。】
dosから「regiedit」を実行して
C:\WINDOWS\system32\wuauserv.dllHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Parametersの中の「ServiceDll」→「REG_EXPAND_SZ(種類)」の「データ」を確認
wuauserv.dllならそのままクローズ(この件の感染はしていない)
wzcsvbxm.dllの場合 まず安全な環境でパス変更 wzcsvbxm.dllをwuauserv.dllに書き換えられるなら書き換え
ただし すぐに戻ってしまう報告もあるため 修正後要確認(セーフモード オフラインで修正して その後セキュリティソフトで変更の監視をかけてもだめかな?)
レジストリの書き換えその他自信がない場合はクリーンインストール推奨。
(先生方 こんな感じでいかがでしょうか)
584:既にその名前は使われています
08/07/13 21:33:35 ZgF0MYiV
>>581
セキュリティってのは楽しようと思った心の隙をついてくるんだよw
たとえPCを分けていようとも、今後どんなのが出てくるか解ったもんじゃないし、常日頃からFFマシンだからーとかいわずに
両方のPCで考えうる全ての対処をしておいたほうがいい。
というか、セキュリティ関係でこれで十分おkおkwって言うやつはいないwww
585:既にその名前は使われています
08/07/13 21:35:09 ZgF0MYiV
>>584
また我ながら日本語でおk。
586:既にその名前は使われています
08/07/13 21:37:38 IIW3eFnq
>>584
だな~!
ありがとう、両方ともできうる限りの事はやっておくようにするよ~!
しばらく調べものはケータイかなんかでやるようにするですしおすし。
587:既にその名前は使われています
08/07/13 21:39:23 EGnZWTBk
>>580
今は知らないが数年前は平文でメモリ上にあった。
ツール作者や解析する人らには有名な話。
588:既にその名前は使われています
08/07/13 21:43:16 t35HZhlw
>>583
それにしてもgooglesy●dition.comってアドレスは本物のアドレスにCが無いだけで
凄いややこしいですね…
589:既にその名前は使われています
08/07/13 21:45:17 BD0/uEsE
>>583
見出し逆じゃねえ?
590:既にその名前は使われています
08/07/13 21:45:47 ofEH8baB
カスペルが重すぎるのか何なのか分からんが
起動時にデスクトップでフリーズするようになってしまった
591:既にその名前は使われています
08/07/13 21:46:14 Sni935nv
>>541
これがそんなに高いか?
URLリンク(www.sourcenext.com)
本家9.0のサブセット版ではあるが、必要な機能はある程度押さえてあるかと。
スナップリストアは有れば便利だが、無くても何とかなるし。
592:既にその名前は使われています
08/07/13 21:54:14 ZgF0MYiV
このスレの流れみるとわかるとおり、
一度内部にもぐりこんでさらにアンチウィルスソフトで検知されないマルウェアを特定するのって非常に面倒なのよ。
Windows自体が入り組んでるのもあるし、それにレジストリやらなんやら絡み合ってストレスがマッハなわけ。
これだって>>249が無ければ今日見つけることができなかっただろうしね。
んだけどもー。
中に入れば探すの超厄介なやつらも。マルウェアがPC内部に入り込むための手段はそれほど多くないのよ。
今回でいえばFPの脆弱性などね。そこで止めておけば何も問題はないわけよ。
んだから、今日のが大丈夫だからって言ってないで、常にアンテナ張って動向を把握していくのが重要だよw
で、Javaにも特大の脆弱性にパッチあたったからおまいらちゃんとBAしておけよww
593:既にその名前は使われています
08/07/13 21:57:03 29LRTN8E
>>591
やだ何これ…
11ばっかり見てたけどこれでも良いかな…
594:既にその名前は使われています
08/07/13 22:01:17 7AalaVLn
>>592
>で、Javaにも特大の脆弱性にパッチあたったからおまいらちゃんとBAしておけよww
旧バージョンをプログラムの追加と削除からアンインスコするように、
てのも付け加えてよろしいか
595:既にその名前は使われています
08/07/13 22:02:48 k3FKWA9O
うわぁぁぁっぁん ありがとう>>589
>>583は 逆です 逆
(誤)★wzcsvbxm.dllがwuauserv.dllに改ざんされていた件 暫定まとめ
(正)★wuauserv.dllがwzcsvbxm.dllに改ざんされていた件 暫定まとめ
レジストリ変更が セキュリティソフトをすりぬけて感知されないのか
食らった人は セキュリティソフトで有効化してなかっただけなのかが 判断できないところで見落としましたっ
596:既にその名前は使われています
08/07/13 22:12:25 dCpPwOmL
wuauserv あたりは以前も怪しいって言われてて散々調べたけど
wzcsvbxm.dllなんて怪しいのはのは見つからなかったなぁ。
今見直したけどやっぱりいないし、亜種がかなりあるねこれ。
597:既にその名前は使われています
08/07/13 22:18:45 YZmKQRd5
>>596
亜種というか別種かも。
598:既にその名前は使われています
08/07/13 22:28:15 BD0/uEsE
Java最新版って1.6.0_07で良いのかね
599:既にその名前は使われています
08/07/13 22:28:18 RpF8qcXH
既出かもしれんが、
オフライン、セーフモードでレジストリを正常値に書き換えたら
いまのところ書き換えられずに正常動作してるっぽい。
アンチウィルスはAVG 8。
ちなみに、まだハックされてない状態、うちは。
でも、まだどこかに潜んでるんかなぁ。
600:既にその名前は使われています
08/07/13 22:30:51 auf+BDWj
レジストリ直してもすぐwzcsvbxm.dllになるから
system32にあるwzcsvbxm.dllを削除なりなんなりして
wuauserv.dllをコピってwzcsvbxm.dllに名前変更してsystem32に置いて再起動したら
シャットダウンや終了オプション、アプリケーションの追加と削除の時間かかるのは直った。
601:既にその名前は使われています
08/07/13 22:33:19 ZgF0MYiV
FlashPlayerの脆弱性ってJs実行できるやつだっけ?
602:既にその名前は使われています
08/07/13 22:38:44 YZmKQRd5
>>548
Kasperskyより返答。
wzcsvbxm.dll - Trojan-GameThief.Win32.WOW.bkf
そのうちパターン降ってくると思われ。
>>341 のはVirusTotalで既に検知する。パターン出たっぽい。
URLリンク(www.virustotal.com)
603:既にその名前は使われています
08/07/13 22:40:43 7hA2p3oc
カスペはえーw
604:既にその名前は使われています
08/07/13 22:41:00 ZgF0MYiV
たとえば
try {
WshShell.RegWrite("HKLM\\SYSTEM\ほにゃらりら");
} catch(e) {
とか読み込ませて実行できるならレジストリも書き換えできるかねえ?それなら即レジストリは書き換わるしdllだけ飲ませても動きそうだが。
>>602
乙、さすがにはえーなw
605:既にその名前は使われています
08/07/13 22:43:53 YZmKQRd5
>>604
ゾーンが違うんでどっかの罠サイトからは
ローカルのレジストリいじるようなスクリプトは動かないと思う。
606:既にその名前は使われています
08/07/13 22:47:13 YZmKQRd5
>>604
あ、すまん、Flashね。
swftoolsでダンプしたら「http(略).exe」と
おもいっきりバイナリのURIが書いてあった。
ASとか使うのかどうかは不明。
607:既にその名前は使われています
08/07/13 22:47:21 ZgF0MYiV
>>605
そっかー、んじゃやっぱどっかに居そうだなあ。
女子高生的に考えても、こんなん動いたら垢パクどころの騒ぎじゃねーなw
608:既にその名前は使われています
08/07/13 22:47:53 xrNQMC9g
Java?のアップデートというのはXPユーザー全員が対象なの?
609:既にその名前は使われています
08/07/13 22:49:26 YZmKQRd5
>>608
SunのJava入れてなけりゃ無関係。
610:既にその名前は使われています
08/07/13 22:51:23 CyS7VFlA
まぁそんなこと聞いてる人は入ってますよ
611:既にその名前は使われています
08/07/13 22:56:46 7hA2p3oc
やべ・・・1ヵ月後に通知するを選択してしまった
すぐにうpするにはどうすれバインダー
612:既にその名前は使われています
08/07/13 22:59:16 7EuYZnt2
ついさっきちょっとした手違いでIEでFFrecipe見たら
AvastがMota11 3.exeってのを検出したから、ウィルスチェック始めたんだが
これやばいよなぁ~・・・
613:既にその名前は使われています
08/07/13 23:00:12 BD0/uEsE
>>611
URLリンク(www.java.com)
で合ってるならすぐダウソ出来る様な気がする
614:既にその名前は使われています
08/07/13 23:00:44 TBYaVen5
検出したんだったら良いんじゃねーの?
どういう内容の警告が出たのかワカンネーけども。
615:既にその名前は使われています
08/07/13 23:03:12 cyT7dynQ
FFレ○ピも馬脚を顕したか
616:既にその名前は使われています
08/07/13 23:05:06 ZgF0MYiV
Mota113.exeって何か聞いたことあるんだけど、なんだっけ・・・
617:既にその名前は使われています
08/07/13 23:07:29 7EuYZnt2
たまたまタイミングが重なっただけかもしれん。
ちょっとIE使う機会があって、そのまま別のサイトとかIEなの忘れてて開いてた可能性もあるし
IEでffrecipe開いてたのに気付いてやべって閉じた、そのすぐ後だったから
spypodも先に起動させてたので、そっちで何か引っかかったのかもしれんし
素人意見だが・・
618:既にその名前は使われています
08/07/13 23:07:57 TBYaVen5
SUPER(C)とかっていうメディアファイルエンコードするソフトの関係っぽいね。
スパイウェアとして感知されることもあるみたい。詳しくはわかんないのでググッてください。
619:既にその名前は使われています
08/07/13 23:08:01 7AalaVLn
ffrecipeは業者に垢売ってから見てないな
620:既にその名前は使われています
08/07/13 23:08:15 7EuYZnt2
なんかごちゃごちゃになったが、ffrecipeで感染したってのは早計かもしれんってことが言いたかった
621:既にその名前は使われています
08/07/13 23:09:25 7EuYZnt2
SUPERCの方だったか。
これ入れてから知ったんだけど、消したら消したで何か誤作動起きるらしくて消せないんだよな・・・
622:既にその名前は使われています
08/07/13 23:12:06 y8JQOi5R
>>227
おでん鯖 業者復活確認
実名画像
URLリンク(www5.uploader.jp)
同時に四樽がツールによって魔法実行する
URLリンク(www5.uploader.jp)
623:既にその名前は使われています
08/07/13 23:17:42 dXMphtG9
■e< アカハック対応でいっぱいいっぱいなんで、次のバージョンアップは年末頃になります;;;;;
624:アプロダ”管理”人 ◆HL2fUAyECQ
08/07/13 23:18:19 y8JQOi5R
>>332
はいはいはい、そこの管理人何か?です。
ちゃんとリンクしてよね
以下のアプロダの仕様規定
> 法律及び条例または公序良俗に反するファイルのアップロード禁止
> セキュリティ板の趣旨にあわないファイルは削除します
以上
スキャン結果画像↓アプロダ(レンタル)
2ch@セキュリティ板画像アップローダー
URLリンク(www5.uploader.jp)
検体アプロダ↓
セキュリティ板@2chアップローダー
URLリンク(www.tane.sakuratan.com)
625:既にその名前は使われています
08/07/13 23:18:53 cyT7dynQ
むしろ早急に飴パッチいれないと駄目だろw
626:既にその名前は使われています
08/07/13 23:22:17 YZmKQRd5
>>624
何が言いたいんだ…?
627:既にその名前は使われています
08/07/13 23:22:46 wpvXx2VB
>>604
Flash player 9.0.115.0/8.0.39以前にあるCVE-2007-0071の脆弱性は
実行者の権限での任意のコード実行が可能。いくつかのswfを踏んで
みたけど、exeをダウンロード&実行させるダウンローダが多いみたいだ。
adminでWindowsにログオンしてれば何でも仕込まれ放題。
最近のは最初に実行するexeもダウンローダなのが流行。ほかのexeを
20個くらいドカドカと落としてくる。
628:既にその名前は使われています
08/07/13 23:23:19 F9JK0Irr
出たがりちゃんなんだろ・・・急にコテつけて出てきて(笑)
629:既にその名前は使われています
08/07/13 23:23:36 Io7qdYGj
被害者多数とはいっても 一概に■側のミスとは言えないこの状況で
ログイン人数にもほとんど変化が見られないような状態だから
飴パッチとかあるなし以前に■がそんなこと考えるどうか・・・
なんか■のせいにする人も多いけど
今回は基本的に知識無し&意識低い人がやられただけだよなはっきり言って
630:アプロダ”管理”人 ◆HL2fUAyECQ
08/07/13 23:24:00 y8JQOi5R
書き忘れ
壱 検体アップロードオツカレ
弐 sakuratanの稚拙なアプロダに関しては目をつぶってください
参 元々このスレにちょくちょく書き込んでいた寝実民です。
死 ID変え忘れ
頑張ってね
631:既にその名前は使われています
08/07/13 23:25:34 ZgF0MYiV
乙w
632:アプロダ”管理”人 ◆HL2fUAyECQ
08/07/13 23:28:48 y8JQOi5R
>>628
んな、わけないだろ
そもそも色々な所のアップロダ管理人が
逮捕されまくってるさなか建てたアップローダーだから
基本的にちゃんと法律守ってくれないとこっちが困る
こっちの社会的生命かんがえてアップロードしてくださいね
633:既にその名前は使われています
08/07/13 23:32:55 Prvr+t76
>>629
第3者の悪意ある不正アクセスによる個人情報漏洩だろうよ。
被害者多数である以上スクエアはキチンとした対応、対策を
しないといけないだろうに。
URLリンク(www.square-enix.com)
634:既にその名前は使われています
08/07/13 23:38:38 YZmKQRd5
>>632
で? >>341 や >>548 に何か問題あったかい?
635:既にその名前は使われています
08/07/13 23:39:36 BqhwV+rk
>>632
清々しいくらい意味不明
636:既にその名前は使われています
08/07/13 23:45:15 7AalaVLn
個人的にはセキュリティ関連はもう公式トップの一番上に
常時表示くらいでもいいような気はするけどね。
ある種過剰なくらい、東スポ的な見出しでもつけてやらんと
一般ユーザー(っていう言い方には御幣があるかもだけど)は、
我が事として危機感持ってくれないんじゃなかろうか。
>>634>>635
ただ「アプロダ」としてだけリンク貼られるとアホが画像上げたりだの余計なことすっからだろ
上げられる中身もウィルス検体だのなんだから適当に踏んで「感染しました;;」なんて
やられても困るだろ。そういう場合上げた人間じゃなく管理人の監督不行き届き、つって
管理人が罰せられることもある。
だから最低限「ここはこういうアプロダですよ」とアナウンスしてからリンク貼って欲しかった、ということだと思う。
637:アプロダ”管理”人 ◆HL2fUAyECQ
08/07/13 23:46:19 R0U73f8h
検体>>341>>548や検出結果のSSは大歓迎だよ
でも、それ以外は禁止
過不足ナイト思う
638:アプロダ”管理”人 ◆HL2fUAyECQ
08/07/13 23:49:54 R0U73f8h
>>636
> そういう場合上げた人間じゃなく管理人の監督不行き届き、つって
> 管理人が罰せられることもある。
そっす。
寝実民を信じていないわけではないし
緊急性が高い事例の時はセキュ板でなくても
寝実板限定で「事後的に」今許可したところ
んだから、検出力スレで中身を見てもらえるカモメ
これ以上、出没するとウザイ杉るので逝ってきます
639:既にその名前は使われています
08/07/13 23:51:00 YZmKQRd5
>>637
>>622 は消していいよ。セキュ板と関係ないから。
640:既にその名前は使われています
08/07/14 00:00:09 k9CSZWs9
最新のPG2リストは>>65を入れなくても大丈夫ぽい
最新はbluetackにあるぞ。
リスト管理でP2Pのとこを
URLリンク(www.bluetack.co.uk)
にしてアップデートすればおk
641:既にその名前は使われています
08/07/14 00:03:07 Weg+DG2Z
URLリンク(peerguardian)~で始まる奴は繋がらなかったりクソ古かったりするので注意な
まぁ>>640が怪しいと思うアホはそのままでいて結構。
642:既にその名前は使われています
08/07/14 00:04:48 BgvmEWA2
冗談は>>65だけでやめとけ
643:既にその名前は使われています
08/07/14 00:05:30 /a030qt5
>>615
どの道、業者に売ったサイトだからまともな人は利用しない。
644:既にその名前は使われています
08/07/14 00:10:07 Weg+DG2Z
>>640-641
忘れてくれ。
645:既にその名前は使われています
08/07/14 00:22:54 zUc3Mc18
あれ?被害落ち着いたのか?
646:既にその名前は使われています
08/07/14 00:25:09 AwMgjuaY
>>633
>>629は内容的に>>625へのレスだろうから
『(対応はするべきだけど)飴パッチどうこう言うのは言いすぎ』
ってことじゃない?
647:既にその名前は使われています
08/07/14 00:56:33 fwCR3mTL
しかし今回のwzcsvbxm、仮にFFXIAHのだとしたら
検出し始めたら踏みまくりのNA大騒ぎだろうなぁ。
648:既にその名前は使われています
08/07/14 01:01:56 AwMgjuaY
そういえば
NAのほうでも分析がんばってたりするのかね
被害報告は何度か見たことあるが
649:既にその名前は使われています
08/07/14 01:03:22 giiOkMcF
NAも業者毛嫌いしてるの多かったからいるだろうね
650:既にその名前は使われています
08/07/14 01:06:31 TUQQJhCc
つーか先に見つけたのはNAなんだけどな
651:既にその名前は使われています
08/07/14 01:09:23 TUQQJhCc
wzcsvbxm.dllは
Jun 17 2008, 04:16 PMの時点でWindowerのコミュニティでウィルスとして報告されてる
652:既にその名前は使われています
08/07/14 01:14:51 BgvmEWA2
NAもかなり被害に遭ってて、フォーラムで騒いでるな
このスレで報告されているだけでも、wzcsvbxm.dllには1つの亜種がある
TimeStamp: 48415D33 Sat May 31 23:14:11 2008
TimeStamp: 485CE8AB Sat Jun 21 20:40:27 2008
どちらも有志がウイルス対策ソフトメーカーに報告してくれたから、
騒ぎが拡大しつつも被害報告は減るだろ
このスレも流れが速くなっただけで被害者はそんなに増えてないし
653:既にその名前は使われています
08/07/14 01:19:53 oJ5ZjA3o
★wuauserv.dllがwzcsvbxm.dllに改ざんされていた件 暫定まとめ改訂案(推敲よろしゅー)
wuauserv.dll(ウィンドウスアップデートに使われるダイナミックリンクライブラリ)のレジストリを、正規のプロセスC:\WINDOWS\System32\svchost.exeを使って罠サイトへパスを送るwzcsvbxm.dllに書き換える。
ファイルからではなくプロセスをフックしてメモリからパスを送信。送信経路はhttp。
(レジストリの不正更新もあるにもかかわらず)ほとんどのセキュリティソフトは未検知。
7/13付けで検体爆撃済み かたじけのうござる。
判明している送信先(置き換えではなく●を単純に削る)
引退:wowint●erfcae.com 204.13.6●4.0 - 204.13.71.255
現役:googlesy●dition.com 74.86.1●85.101
【%SystemRoot%\System32\wzcsvbxm.dllを探す方法。】
スタート→ファイル名を指定して実行→regedit
HKEY_LOCAL_MACHINE\SYSTEM\ControlSetxxx(xxxは数字)\Services\wuauserv\Parametersと
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parametersの中の「ServiceDll」→「REG_EXPAND_SZ(種類)」の「データ」を確認
C:\WINDOWS\system32\wuauserv.dllならそのままクローズ(この件の感染はしていない)
C:\WINDOWS\system32\wzcsvbxm.dllなど上記以外のファイルが登録されていた場合、感染している可能性が極めて大 まず安全な環境でパス変更 wzcsvbxm.dllをwuauserv.dllに書き換えられるなら書き換え 等の対策をする。
ただし すぐに戻ってしまう報告もあるため 修正後要確認。
本体(生成元)および感染ルートは現状不明なため、上記の修正をしたとしても完全に駆除されているか分かりませんので、感染が確認された場合は『クリーンインストール推奨』。
654:既にその名前は使われています
08/07/14 01:24:14 dg0cuPEd
ウイルス対策ソフトは何がいいのかなと思いつつAVG使ってたけど
対応の早さを考えただけでも、今はカスペルスキーがいいのかな?
なんか在庫ある店があんまり無さそうだけど・・・・
あ、期限切れたバスター持ってても、優待は無理ですか?
655:既にその名前は使われています
08/07/14 01:26:30 4BA56cxx
>>654
とりあえず試用版いれてみたら?
656:既にその名前は使われています
08/07/14 01:26:44 h+/3klxs
何でも一緒
657:既にその名前は使われています
08/07/14 01:27:58 fwCR3mTL
>>651
ウイルスとしては報告されていないね。
「Windower動かねーんだけどなんぞこれ」みたいな感じだぞ。
つーかNAから検体が送られてるならノートンくらい引っ掛けてもいいんだが。
BlueGartrlsのフォーラムにはそれっぽい書き込みがあったようだけど
dat落ちみたいに消えちゃうのか既に404。
658:既にその名前は使われています
08/07/14 01:28:56 pREJ+Ffm
優待版って別に何のチェックも無いとオモタが
659:既にその名前は使われています
08/07/14 01:30:36 dg0cuPEd
あ、よく見たら試用版から製品化キーの方が安いんですね。
試用版入れてから寝ます~
660:既にその名前は使われています
08/07/14 01:32:23 BjU4T3eZ
>>591
まぁ11の方はセキュアゾーン+差分バックアップが激しく便利なんだがな
USB-HDDとかに初期イメージをバックアップするなら
Bootイメージも作れるしそれでいいと思う
ちなみ11もダウンロード版なら6Kと1Kほどパッケージ版より安い
661:既にその名前は使われています
08/07/14 01:34:52 hrrTufG9
ハックとかマジでされたのかwアフォじゃねぇのw
ダサすぎて俺なら自殺するわw
662:既にその名前は使われています
08/07/14 01:39:23 iN6hAhT9
>>341
そのファイル開いたら警告でたんだけどw
大丈夫かな?
663:既にその名前は使われています
08/07/14 01:40:27 eV2eKREs
>>661
とかいいつつ既にPCにウィルス潜ませててたらとんだお笑い種だお(^ω^)
664:既にその名前は使われています
08/07/14 01:40:39 BbTIMT1F
>>662
ウイルスのファイル開くってどんだけまぬけやねん
665:既にその名前は使われています
08/07/14 01:43:25 oJ5ZjA3o
>>662
カスペルは2つのうち1つはすでに対応済みらしいから警告出るんじゃない?
666:既にその名前は使われています
08/07/14 01:53:18 AwMgjuaY
>>661
煽るつもりでやってるんだろうけど
ageても業者以外の皆が喜ぶ&助かる確率がちょっと上がるだけだよw
667:既にその名前は使われています
08/07/14 01:56:26 jigQHUur
面白いのがたくさん湧いてるなー
よほど見つかったのが悔しいみたいだね。
業者なみだ目でザマーだけど、こっちも気
を緩めないようにしないとな。
しかしフレのフレが2人やられたのは悔しい。
668:既にその名前は使われています
08/07/14 01:58:30 fwCR3mTL
他ベンダからの返事がさっぱり来んのだが…。
669:既にその名前は使われています
08/07/14 02:02:36 /lni1rRA
>>621
昨日入れて即警告出て消した俺参上
消して再起動したらキーボードがすごい勢いで誤作動しまくった、a押すとESCキー同時押ししたことになったり
対処しようにもググれないしマジまいったよ
再起動連打やバイオス見てたら勝手に直った、システム復元では直らなかったから焦ったわ
670:既にその名前は使われています
08/07/14 02:03:04 BjU4T3eZ
>>668
カスペは2chみてんじゃねーかって速さだったなw
まぁ1-2日くらいはかかるだろう普通は..
671:既にその名前は使われています
08/07/14 02:14:03 BbTIMT1F
カスペはウイルスウオッチにTrojan-GameThief.Win32.OnLineGames.で
19:57でsfbz、20:28にsfcaがあるから今日出した二つに対応したかもしれん
672:既にその名前は使われています
08/07/14 02:26:31 lWoG/6V1
カスペルスキー、いいらしいんだけど素人には敷居が高すぎるからなぁ・・・
「シロウトサンニハムキマセン」とかどこかに書いてあったし
せっかく90日試用版当たったんだけどなぁ・・・
まぁ、とりあえずノートンとPG2とSpybotでがんばってみるかー
しかし、カスペルスキーのオンラインスキャンでシマンテックの
フォルダにウィルスとか出たときには(´・ω・`)だった
673:既にその名前は使われています
08/07/14 02:27:51 4BA56cxx
いまんとこ最新のパッチが20:21だから、2個目のsfcaの方は対応できてるのか
もしかすると微妙かもしれない。sfbzは検出できるだろうけど。
674:既にその名前は使われています
08/07/14 02:30:55 4BA56cxx
>>672
煽りでもなんでもなく、どこが敷居が高いのかがわからないなあ。
試用版をとりあえず入れてみればいいじゃない。
675:既にその名前は使われています
08/07/14 02:31:53 BbTIMT1F
>>672
以前見つけてチェストだか隔離した奴を引っかけただけじゃね?
676:既にその名前は使われています
08/07/14 02:33:45 o4iG2h2H
とりあえずノートンだけはやめとくべきだと思うがなぁ・・・
普通に使うなら良いが、垢ハックウィルスに大しては丸裸同然だぞ?
677:既にその名前は使われています
08/07/14 02:35:29 9vQWbFJY
wzcsvbxm.dllは亜種多そうだから対応してもはっきり言って意味無いぞ
自分で検索するしかねぇな
678:既にその名前は使われています
08/07/14 02:37:20 fwCR3mTL
>>673
さっきから何を言っとるのだ?
旧wzcsvbxm.dll
Trojan-GameThief.Win32.WOW.bkb パターンリリース済
URLリンク(www.virustotal.com)
現wzcsvbxm.dll
Trojan-GameThief.Win32.WOW.bkf もうちょっと待ってね
URLリンク(www.virustotal.com)
>>602
679:既にその名前は使われています
08/07/14 02:39:14 9vQWbFJY
>>676
未知のウィルスに対してはどれでも丸裸同然だ
680:既にその名前は使われています
08/07/14 02:45:58 KwjQ8SV/
ついにウイルス本体みつけたのか。GJすぎる
まさかここまで手の込んだマジなウイルスとはな。亜種はでるだろうが、オリジナルは抑えた
おまえらかっこいいよ
681:既にその名前は使われています
08/07/14 02:48:15 eLqe2l62
>>680
本体は見つかってない
682:既にその名前は使われています
08/07/14 02:50:29 oJ5ZjA3o
>>679
実際このスレで特定されるまでwzcsvbxm.dllは
Prevx1ってとこだけが一般的なマルウェアとして検出するのみだったからねー
683:既にその名前は使われています
08/07/14 02:50:32 KwjQ8SV/
ああ、生成元はまだか
いたって普通のプロセスだったりね。IEとかw
684:既にその名前は使われています
08/07/14 02:51:17 r6J+a9o5
マジで、乙、としか言い様がない。
685:既にその名前は使われています
08/07/14 03:04:27 yO3QQiYp
>>676
ノートンがダメって言うより、垢ハックに関してはカスペルスキー以外はダメって事だよな。
686:既にその名前は使われています
08/07/14 03:06:45 eUkhDm9l
知識が素人レベルのおいらにはさっぱりだがおまいらかっこいいよ
垢ハックされた奴のためにもがんばれおまいら超がんばれ
687:既にその名前は使われています
08/07/14 03:19:50 3D1jBqcw
カスペル買いたいんだけどどれがいいの?
688:既にその名前は使われています
08/07/14 03:25:51 1YBrafwy
ハックされたアフォにはもうヴァナに戻って来て欲しくないな
お前らのせいでGM来るの遅いし物価が狂った解約して償って欲しい
689:既にその名前は使われています
08/07/14 03:28:13 T1Q5v46o
>>685
どれでもダメだって
現にカスペで被害者いっぱいるだろ
690:既にその名前は使われています
08/07/14 03:31:43 BjU4T3eZ
今回はPG2もだめだったしな、怪しいところは踏まない
セキュリティホールはすぐ埋めるが基本ってところか
691:既にその名前は使われています
08/07/14 03:32:13 T1Q5v46o
1ヶ月以上前から広まってるウィルスを今になってやっと被害者からの報告で対応だぞw
しっかり自衛してないとセキュリティソフトなんて意味ねーからw
692:既にその名前は使われています
08/07/14 03:52:15 3D1jBqcw
ってカスペのサイトからトライアルDLしようとしたらPG2がはじいてるんですけど・・・
693:既にその名前は使われています
08/07/14 04:05:58 AwMgjuaY
そこがメインじゃないのはわかってるけど
>>691
でも どこもこの手のは放置気味じゃない?
『広まってる』とはいっても正直一般的じゃないし 全体から見りゃ被害者も少ないし・・・
前もこういうことあったような(ネトゲとかブログとかのパス抜き系は対応激遅orスルー
694:既にその名前は使われています
08/07/14 04:19:25 NtbJ6Mx/
つか、テンポラリか何処かにドロッパの痕跡は残ってないか。
自滅型にしても、ファイル復活ツールで戻せたりするかも。
695:既にその名前は使われています
08/07/14 05:34:56 b4ofyeFH
無料ソフトにも負け続きでランク外になったカスペ推奨してるのってここだけじゃね?
それともネットゲームでは強力なのか?
696:既にその名前は使われています
08/07/14 05:59:26 g8+ZC1m8
最近たまたま対応が早かったのでもてはやされている。そんだけ
何入れようが安心なんて無いんだから警戒は絶やしちゃダメだろ
697:既にその名前は使われています
08/07/14 06:24:54 moU1wFpo
チクサクGMコールあげ
698:既にその名前は使われています
08/07/14 06:30:47 CaelPPs0
検知力テスト(2008年7月12日)
Most Effective Antivirus Tools Against New Malware Binaries
URLリンク(mtc.sri.com)
Rank Detects Missed Product
1st 96% 85 AntiVir
2nd 96% 96 Webwasher-Gateway
3rd 94% 141 Ikarus
4th 93% 176 BitDefender
5th 92% 194 F-Secure
6th 91% 233 AVG
7th 89% 287 Sophos
8th 89% 300 Kaspersky
9th 89% 300 Avast
10th 88% 303 Norman
699:既にその名前は使われています
08/07/14 06:31:27 CaelPPs0
11th 87% 350 CAT-QuickHeal
12th 85% 388 ClamAV
13th 84% 433 DrWeb
14th 83% 441 VirusBuster
15th 83% 455 Microsoft
16th 82% 473 eTrust-Vet
17th 80% 537 F-Prot
18th 80% 545 Rising
19th 79% 557 Fortinet
20th 79% 574 Symantec
700:既にその名前は使われています
08/07/14 06:38:08 XWGLn+5O
7/7前後に垢ハックされた。
その2、3週間前からスレで言われてる、シャットダウン遅延、アプリ一覧表示遅延が出てた。SP3も不可。
他にもブラウザが頻繁に固まる、POLからFFに移行する時に3分程放置しないと接続出来ないなどあったが、
後者はグラボがGfo8600なのでグラボのせいかも。ドライバは最新。
Flashバージョンは古かったが、一度新しいのにアップデートしようとしたら弾かれた。
何度か試したら出来たので、こっちのせいかも知れない。
ウィルスバスター使用、ファイアーウォール有効、Sleipnir使用
自動更新は無効にしてある。
スレをざっと読んで、隠しファイル含めCドラ検索でwzcsvbxm.dllは見つからず
レジストリエディタで、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauservを辿って開こうとすると
wuauservを開けません。キーを開こうとしてエラーが発生しました。と出る。
レジストリ検索すると引っかかる serviceDll %systemRoot%\System32\wzcsvbxm.dll ServiceMain
>>450実行すると、エラー:指定されたレジストリ キーまたは値が見つかりませんでした。
問題なさそうならスルーしてくれ。
レジストリ、ウィルス、ウィンドウズシステムに関する知識はあまりない。
701:既にその名前は使われています
08/07/14 06:43:34 g8+ZC1m8
無いならなおさら自動更新オフにするなよw
702:既にその名前は使われています
08/07/14 06:51:50 fwCR3mTL
なんかセキュ板から変なのが紛れ込んでるなw >>695-696
703:既にその名前は使われています
08/07/14 06:55:24 TOu0sxmL
対応状況更新。
GDataも対応した模様。
Trojan-GameThief.Win32.WOW.bkb
URLリンク(www.virustotal.com)
Trojan-GameThief.Win32.WOW.bkf
URLリンク(www.virustotal.com)
704:既にその名前は使われています
08/07/14 06:58:02 TOu0sxmL
bkfはこっちか。
Trojan-GameThief.Win32.WOW.bkf
URLリンク(www.virustotal.com)
705:既にその名前は使われています
08/07/14 07:04:33 fwCR3mTL
GDATAはKasperskyとavastくっつけただけだからすぐパターン回るね。
F-Secureは自社での検証が入るのでちょっと遅れる。
706:既にその名前は使われています
08/07/14 07:35:01 tr549L/i
>>700
レジストリをwzcsvbxm.dllで検索して引っかかるなら問題おおありだよ。
通常wzcsvbxm.dllなんてdllはWindowsで使われることはないw
707:既にその名前は使われています
08/07/14 07:37:50 zM56q/MB
亀鯖の業者の新規販売窓口?
Eachainn
垢ハックしたキャラの高額アイテムを安く売りさばいている気がする。
708:既にその名前は使われています
08/07/14 07:51:10 HSkUXhbX
カスペでwzcsvbxm.dll反応するようになったけど駆除は出来ないんだね
709:既にその名前は使われています
08/07/14 07:54:25 tr549L/i
>>708
WindowsUpdateのサービスを騙って常駐してるからね。
セーフモードで起動すれば駆除できると思うけど。
それでも駆除できなかったらセーフモードでレジストリを正規のものに書き換えてからwzcsvbxm.dllをリネーム。
そんで普通に起動かけて駆除してみw
710:既にその名前は使われています
08/07/14 07:58:09 ZfiL1Iii
カスペは対応早いな
対応は早いが長所は検出できていなかったことを忘れてはいけない
カスペ入れておけば大丈夫と思い込むことが危険
711:既にその名前は使われています
08/07/14 08:02:06 SuA7MG6+
検出できないことが長所かwww
712:既にその名前は使われています
08/07/14 08:08:50 MI9FBil4
×長所
○長女
713:既にその名前は使われています
08/07/14 08:20:09 IPQlXr23
スクエニ今日も電話つながんないだろうな
714:既にその名前は使われています
08/07/14 08:29:14 3D1jBqcw
俺用メモ
--------キャラクター復元サービス申請書類テンプレ---------
去る7月○日、御社にアカウントハッキングの件で連絡させて頂いた○○と申します。
電話対応して頂いた際、復元サービスの説明と申請の方法を伝えて頂きましたのでこのような形で
サービスの申請願いを郵送させて頂きました。
身分証明と共に、公式の内容に同意し下記に記載したキャラクターの復元を申請致します。
ワールドサーバー名○○ 復元申請キャラクター数○ 復元申請キャラクター名○○○
POLID○○○ POL以外のメールアドレス○○○○
【被害の詳細】パス変えられてインできねwwwww入れるようになったらアイテムねえwwwwもうだめぽw
宛先はこちら↓
スクウェア・エニックス インフォメーションセンター
〒151-8544 東京都渋谷区代々木3-22-7 新宿文化クイントビル10F
715:既にその名前は使われています
08/07/14 08:50:17 tr549L/i
>>710
カスペルさんに限らず、アンチウィルスソフトはインスコ後デフォルトで使ってるとザルだしね。
716:既にその名前は使われています
08/07/14 08:57:03 MP5uq74q
avastは何やってもザルだぜ
717:既にその名前は使われています
08/07/14 09:17:27 BjU4T3eZ
新種のウィルス&ワームにざるじゃねぇ所なんてどこにもねぇw
やっぱ安全を求めるならブラウザ専用マシン(VPC含む)を用意するしかないだろうねぇ
718:既にその名前は使われています
08/07/14 09:22:17 Xrlpj2xt
>>716
無料でザルじゃないの教えてください
719:既にその名前は使われています
08/07/14 09:32:36 DJFu2WjP
レジストリが書き換わっているにも関わらずwzcsvbxm.dllがない
正規の値にレジストリ書き直したら普通に書き直せた
が、シャットダウンの遅延変わらず、system32\svchost.exeも残ったまま
全然詳しくないんだけど、これってまだ解決してないよね
720:既にその名前は使われています
08/07/14 09:33:36 uFxJRDi2
カスペ入れたら下り50Mだったのが10Mまで落ちた
さすがにこれじゃ耐えられん
721:既にその名前は使われています
08/07/14 09:46:55 DLEEgKDQ
>>718
Antivir
722:既にその名前は使われています
08/07/14 09:54:41 FGTtE03J
NoScriptでgooglesyndicationが引っかかると心臓に悪いな
○googlesyndication(googleのアフィ)
×googlesydition(垢ハックのIDパス送信先)
723:既にその名前は使われています
08/07/14 09:59:17 i6OozX3y
>>718
AntiVir ただし英語版しかないのであんまり流行らない
724:既にその名前は使われています
08/07/14 10:05:40 9ZURV3I3
Avira AntiVirは日本語の解説サイトがあるので英語でもそんなに困ることはないでしょう。
725:既にその名前は使われています
08/07/14 10:08:21 Xw/cO/U/
たかがウィルス対策ソフトで英語版・日本語版ってのに拘る人もいるんだろうか
726:既にその名前は使われています
08/07/14 10:08:58 BjU4T3eZ
>>720
私もそれでカスペでなくてAntiVirつかってるからなぁ~
RWIN固定化されちゃうんだよね
まぁ一般人が50Mとか使ってるのなんて日本くらいとは言え...
727:既にその名前は使われています
08/07/14 10:11:52 JfOiYFSV
>>700
ハックされた俺とまったく同じ症状だわ…。
728:既にその名前は使われています
08/07/14 10:13:14 tr549L/i
★wuauserv.dllがwzcsvbxm.dllに改ざんされていた件 現状まとめ(>>653の挙動周り修正)
【レジストリ】
WindowsUpdateで使用するAutomaticUpdatesサービスのエントリを改竄する。
・キー位置
HKEY_LOCAL_MACHINE\SYSTEM\ControlSetxxx(xxxは数字)\Services\wuauserv\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters
・感染時エントリ(値)
%SystemRoot%\system32\wzcsvbxm.dll (未感染Windowsでは%SystemRoot%\system32\wuauserv.dll)
wzcsvbxm.dllはAutomaticUpdatesサービスとしてOS起動時に常駐すると考えられる。
エントリを書き換えた場合、常駐しているwzcsvbxm.dllが再度書き戻しにくるようだ。
【POL】
wzcsvbxm.dllはAutomaticUpdatesサービスとして常駐しているwzcsvbxm.dllはsvchost(wuauser)としてPOLのプロセスに介入し処理を乗っ取る。
svchost(wuauser)の介入がなされた時点でPOLの接続先が□e鯖から業者鯖に変更されていると考えられる。
乗っ取ったPOLのプロセスを使用して業者鯖にID/PASSを送信する。送信後異常終了?
そのため、ファイアヲールなどでPOLの接続ルールをアプリケーション単位で許可している場合は検知は難しい。
現時点で確認されている送信先(置き換えではなく●を単純に削る)
・wowint●erfcae.com 204.13.6●4.0 - 204.13.71.255
・ooglesy●dition.com 74.86.1●85.101