2008年07月17日

凶悪ウィルス、始動?!

先日、ブログ巡りをしておりましたら、第七猫さんショッキングな記事を書いてらっしゃいました。

あの手この手で情報を盗み、アカウントハックを狙う業者ですが、とんでもないウィルスをばら撒いてるらしいのです。

まず、このウィルスに感染すると、WindowsUpdate機能を改ざんし、POLの接続先を■eから業者サーバーに変更します。

POL画面はそのままですが、接続先は違うところになるわけです。

そこで、いつものようにログインしますと、ID、パス等が業者サーバーに流れ、POLは異常終了します。

その時には、業者にログイン情報をまるごと抜かれていることになります。

これでは、パスを外部ファイルに保存しても、毎回手入力するにしても、送信した時点で丸わかりですよね。(´;ω;`)

 

このウィルスの怖さは、

1.感染経路が特定されていない。

2.アンチウィルスソフトで検出できない。(カスペルスキーにて7/13対応済み)

3.パスワードを手入力にしても、被害に遭う。

4.パスワード等の定期的な変更をしても、防げない。

さらにPCの動きの特徴として

5.WindowsUpdateの機能を改ざんされるため、アップデートが失敗する。

6.POLが異常終了することがある。

7.Windowsのシャットダウン処理が、妙に長い。

等が挙げられます。

上記5.6.7.の動きに心当たりがある方は、ファイル名のチェックをしてみてください。

詳しくは第七猫さんの記事にありますが、レジストリエディターから、

HKEY_LOCAL_MACHINE→SYSTEM→ControlSetxxx (xxxは数字)

→Services→wuauserv→Parameters→wuauserv.dll

を探します。

ここで大事なのは強調した部分、wuauserv.dllです!

ここの名前がwzcsvbxm.dllだと、感染している恐れがあります。 (他の名前のこともあります。)

私はちと横着しまして、ファイル名wuauserv.dllを検索して、それがおいてある場所を確認しました。

確実にやるなら、レジストリエディターで!(´・ω・`)b

自動更新にしていらっしゃる方は、このファイル名がwuauserg.dllとなっていることもあるそうです。

カスペルスキーで検出可能とのことですが、検出はできても駆除は出来ません。

Windowsのシステムに絡む部分を書き換えられてしまうため、一旦被害にあうと、修復はかなり大変・・・。

クリーンインストールが一番確実なようです。Orz

 

実は、私のフレさんが1ヶ月ほど前にアカハックの被害に遭いまして、先日ようやく復帰となりました。

今までも怖いと思ってはいたのですが、知り合いがこんな目にあってしまうと、ショックも大きいです。

フレさんの場合、このウィルスではなかったようなのですが、FFXIとは直接関係のないサイトからの感染で、 FFプレイヤーの被害者が多数・・・■eも重要視している模様です。

なぜ分かったかと言うと・・・。

フレリストのサーバー名が違っているのを不審に思ったリアルフレさんが、本人に連絡を取ってみると、ちょうど外出していたそう。

これは、アカハックされて、勝手にサーバー移動されたと言う結論に。

フレさんの依頼でリアルフレさんがPOLからGMコールして事情を説明し、アカウント停止処理をしてもらい、復活を待っていました。

同じような被害者が多いためか、復活に時間がかかりましたが、なんとか無事に戻って来てくれて、ほっとしています。

 

ゲームを楽しみたいだけなのに、こんな面倒が待っているとは世も末ですが、みなさんもどうぞお気をつけ下さい。

情報を提供してくださった第七猫さんはじめ多くの方々、ほんとうにありがとうございます。

posted by izumi at 16:53| Comment(8) | TrackBack(0) | 重要なお知らせ | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
ぎゃーーーーー(´д`;)
ちょっと今から必死こいて探してきます(´д`;)
いいことを聞いたよ!ありがとぅ!(´д`;)
Posted by Vernis at 2008年07月17日 20:28
ヴェルニちゃん。

私も、第七猫さんとこで記事読んで、慌ててPCのチェックしました。(/ω\)
幸いにも、うちのは大丈夫でしたが。
もう、感染経路がわからないっていうのが、一番怖いよねえ・・・。
何事もないことを、祈ってます。
Posted by izumi at 2008年07月17日 22:04
業者もだんだんと手の込んだ罠を張ってきますよね・・・
ええかげんにしろい!ヽ(`Д´)ノ


私がアカハック関係の情報を拾うためにマメに見ているのが

●● RMT業者の垢ハックが多発している件31 ●●
ttp://changi.2ch.net/test/read.cgi/ogame/1216270979/
(7/18 0:30 現行のスレ)

2ちゃんねる内の掲示板ですが、FFのアカハク関係の情報はここが一番速いと思います。
ネットサーフィンする前にまずここを見て、新しいウィルスや危険なサイトなんかが出てないかチェックして、それから他サイトを回る最近です・・・。

Posted by ゆかわさ at 2008年07月18日 00:39
ゆかさん。

おお〜、しっかり情報収集して自衛してらっしゃいますね。
さすが、ゆかさん。ヽ(´ー`)ノ

ほんとにトラップも手が込んできましたよね。
いたちごっこになるのは仕方ないとしても、どうにかならないもんでしょか。
もうね・・・こんだけの才能と技術は、ほかのところに生かせと・・・。Orz
Posted by izumi at 2008年07月18日 07:42
ぬおおおお、こわああああ((((;゜Д゜)))
なんだかもうだんだんと罠の巧妙さが増してきて不気味ですねー;;;
たまにカスペルスキーでチェックしていますけども、いっそ製品版入れた方がいいのかなーとも思ったり(´Д`)
なんにせよ、お互い気をつけましょうねーヽ(´Д`;≡;´Д`)丿
Posted by ララ at 2008年07月18日 22:10
うはwww
感染してたwwww

パス自体はまだ抜かれてないみたいです。
別サバにいたら・・・
Posted by ス at 2008年07月19日 02:02
セーフモードでレジストリいじったら治った・・・ぽい?
ネコさんと第七猫さんに感謝です。
Posted by ス at 2008年07月19日 02:31
ララさん。

もう罠の巧妙さは、すごいですよねえ。
いい加減にしろと・・・。Orz

感染経路が分からないので、こまめにチェックするしかないですね〜。
お互い気をつけましょう。(´Д`;)ヾ


ストラさん。

うああああ・・・感染してましたか。Orz
感染が確認できてから、実際にアカハックされるまで、多少の猶予はあるみたいなので、早急に別環境からパス変更した方がいいかもしれませんね〜。
なんにせよ、修復できたようでよかったです。

ちゃんとレジストリいじれる人はいいんですが、一般ユーザーにこのトラップはきついですよねえ・・・。
早く、アンチウィルスソフトが対応してくれないかなあ。
Posted by izumi at 2008年07月19日 20:51
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]


この記事へのトラックバック
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。