08/07/19 01:15:09 gaL67f7y
★wuauserv.dllがwzcsvbxm.dllに改ざんされていた件
【レジストリ】 WindowsUpdateで使用するAutomaticUpdatesサービスのエントリを改竄する。
・キー位置
HKEY_LOCAL_MACHINE\SYSTEM\ControlSetxxx(xxxは数字)\Services\wuauserv\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters
・感染時エントリ(値)
%SystemRoot%\system32\wzcsvbxm.dll (未感染Windowsでは%SystemRoot%\system32\wuauserv.dll)
wzcsvbxm.dllはAutomaticUpdatesサービスとしてOS起動時に常駐すると考えられる。
エントリを書き換えた場合、常駐しているwzcsvbxm.dllが再度書き戻しにくるようだ。
※ Search Assistantは検索履歴です。無視してかまいません。ファイル検索履歴のキー位置
HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\****
【POL】
wzcsvbxm.dllはAutomaticUpdatesサービスとして常駐しているwzcsvbxm.dllはsvchost(wuauser)としてPOLのプロセスに介入すると考えられる。
svchost(wuauser)の介入がなされた時点でPOLの接続先が□e鯖から業者鯖に変更または追加されているようだ。
POLのプロセスを使用して業者鯖にID/PASSを送信する。送信後POL異常終了?(異常終了しないケースもあるため後期Verでは落ちない可能性
そのため、ファイアヲールなどでPOLの接続ルールをアプリケーション単位で許可している場合は検知は難しい。
現時点で確認されている送信先(置き換えではなく●を単純に削る)
・wowint●erfcae.com 204.13.6●4.0 - 204.13.71.255
・googlesy●dition.com 74.86.1●85.101