F**k u bitch!

じかんをください

プロフィール

Luna

Author:Luna

ボクはずっと腕毛を見てきて思う事は
いや~!ずっとパーカーを見てきてね
角刈りめがねをずっと追いかけてきましたけど
ゴリラをずっと見てきたけどね

ゲーミングデバイス


最新コメント
counter
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
作品
*M16skin[vmodに吸収]
(utusemijump,vipruvipmap)
*G3skin
(vipruvipmap)
*BlackHawkDown_skinpack
(現在非公開)
*P90skin
(vipruvipmap)
*RPG-7skin[vmodに吸収]
(vipruvipmap)
*Kar98kMod
(現在非公開,Sniper&国防軍Mod)
*For LowspecSkinpack
(現在非公開)
*ThirdPersonRealitySkinpack
(現在非公開)
*VietnamMod
(現在非公開
たまにテストしてる事もある)
+M16skin
+AK47skin
+XM177skin
+AKs47skin
+M14skin
+SKSskin
+M60skin
+LAW,RPG-7skin
+SoldierSkin
+GUIskin
+MapObjectpack
+3dllfile
///開発に関わっているmod///
*EastFront
(現状東部戦線Mod。
将来modではなく独立する予定)
需要があれば公開するかも
ギャラリー
Wellcome
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。
最新記事
TOP > セキュリティ

スポンサーサイト   --.--.--

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

6/10日のスパイ/マルウェア   2009.06.12

wgeypbd
スパイ/マルウェア

6/10日から確認され始める

感染場所
c:\

概要
・ウイルス対策ソフト等のダウンロードページまたは実行の妨害
・リモートアクセスの試行
・自動でファイルをダウンロード
・svchostに寄生→症状としてブルースクリーンになっていきなり落ちる等
・もう一つの(名前は覚えていない)ファイルと一緒に寄生する

対応
いまのところ対応できるアンチウイルスソフトはPrevixCSI3.0のみ
プロセスを切ってもすごい速さで再実行される
直接的な削除をしても次回の起動時にまた自動生成される。
手動で消す場合,6/10日(感染時間)にできたtmpファイルを全部削除して
セーフモードで再起動してc:\にあるwgeybdpを削除
レジストリクリーナーでレジストリをきれいにする
(しかしインターネットへの接続妨害とアンチウイルスの起動妨害症状は残るのでリカバリするのがベスト

感染力

ワームではないがwgeypbdによって感染が広がる恐れもあり
現段階では感染率感染力共に低い
スポンサーサイト

GENOvirus   2009.05.19

Adobe
FlashPlayerやRederなどインターネットをする上で欠かせないサービスを提供している会社
だがこの会社のサービスのセキュリティーホールは以前spywareprotectでも記述したように脆弱。
コイツのせいでまた感染したよ
もう少しセキュリティに力入れてほしいね
うんざりだよ

このウイルスもAdobeのセキュリティーホールを経由する。
感染までの流れとして

第一感染者

親(感染の)PCのFTPのIDとPassを盗み出してWEBを改ざんし
改ざんされたjsをphpやhtmlに組み込む

javascriptによってそのページに入った訪問者のPCにダウンロード

彼らのPCが管理するFTPのIDとPassを盗み出してWEBを改ざん

感染者を増やす

見てわかる通りWEBを媒体とするワームといってもいい
さて、ウイルスで指摘されてる症状のようなものが何点かあるのでチェックしよう
1,cmd.exe regeditの起動拒否
2,AdobeReder8の場合はファイルを無限増殖させPCに負担をかける

(これはおそらくPCに負担をかけるのが目的ではなく
セキュリティホールの脆弱性を経由するときのために行うカムフラージュ、
身近なものではリモートアクセスするときのDoS、DDoS攻撃とか)
3,WindowsのSystem,System32フォルダにおいて
OSの起動で必須とされないファイルの大半に感染する

4,メモリの馬鹿食い
重いと思ったらとりあえずスキャンしよう
感染してたら大変だしね

先に予防法を書くとすでにググればいくつか詳しいサイトが出てくるが
まず感染したと気づいた場合FTPにアクセスましてやログインしない
感染が疑われたWEBにアクセスしない
adobeのFlashPlayer,Rederを更新する
不安な人はもうJavaScriptを切れば感染はまずない(ただWEB観覧が制限される)

感染したときの対処法
2通りあるけど後者をお勧めする
下手にファイルを削除してしまうとOSに支障をきたし起動しなくなる場合もあるので

1番目はまさに俺が今やってること。
とりあえずウイルススキャンをする
Avastが良いらしいけど一番いいのはPrevxCSIだろうか
(有料、一部クリーン無料、スキャン無料)
PrevxCSIは日本じゃほぼ無名のウイルス対策ソフトだが海外ではスキャンの早さや
ウイルス定義の豊富さ、対策の早さと割に合わない正確さをウリに流行ってたりする。
ちなみに100GBあるCと20GBあるD、そしてメモリの完全スキャンは2時間で完全終了。
ただ一見すると公式サイトが胡散臭かったりスキャンしたときにウイルスが発見された場合
警告がひどくウザい。
まぁ今はそのおかげでちゃんとOS起動できてるわけだけど・・・
どっち道海外の有料ソフト買えとか言ってもe?ってしかならないのでとりあえずavastを使う。

avastをインストールしたらまず登録キーを求められるが登録は無料。
ただ60日間は登録しなくても使えるから今はスルーする
そして次に再起動してAvastをboot予約して完全スキャン
こうするとほかの作業ができないのでこれやってねえ・・・
次にOSが立ち上がるとボンボン警告が出る
この一連の警告群が多分GENOvirus。
ただ一言いうと主要ファイルに感染することはないから削除してもかまわない
(修復しようとすると失敗する)
かまわないが責任はとらないことにする
自己責任でやってね
不安な人は名前を変えて免疫に入れるとかすればいいんじゃね
ちなみにAvastも結構優秀でGENOに感染した疑いがあるWEBサイトは開こうとすると警告が出るそうだ
さて状況は打破できたかというとまだだ
時間かかりそう・・・

後者はもうOSをリカバリするか入れなおす
正確だしこっちが安全

ちなみにvipruたんから正常なファイルをDCCでいただいたあとに入れ替えてみた実験の結果を報告しよう
(改変が明確なsqlsodbc.chmを使用)

*結果
・感染したファイルに上書きしたファイルはそれ以上上書きされない
・sqlsodbc.chmはcmd.exeやregeditなどsystem32にあるアプリが起動しないことに関連はしない
・cmd.exeやregeditを起動させないということはこれらをユーザーにいじられると困るということかな?
・command.comでsystem32ディレクトリからSTART CMDやSTART REGEDITと入力すれば起動はできる。
regeditやmsconfigは変更が保存されない
・system32やsystemディレクトリは最優先でスキャンするべき
あとこれらに反応があればInternetTemporaryもスキャンしておいたほうがいい

個々のPCにある情報が本当にこのウイルスによって(見た感じ目的がWEB改ざんのためだけに見える)
漏洩するのか否かは自分のできる範囲で調べてる途中
わかったら分かり次第追記に書くと思うよ

ちなみにこのブログは管理下がFC2であり
FC2に感染の報告がないので観覧しても大丈夫だと思うよ
多分ね・・・多分・・・。

最新のマルウェアpart.2   2009.05.05

さて前回説明したspyware protect2009の駆除方法だが
プロセスマネージャでパスを調べてみたところ
こいつはc:\windowsの階層にsysguard.exeという名で感染している

セキュリティソフトを入れてたら間違いやすいがプロパティをおすと
言語がロシア語になっていて明らかにこれはマルウェアだってことが分かるだろう
駆除方法?そんなに難しくない
コイツをゴミ箱に移して葬ればいいだけ

こいつは感染したときにdllに恐らく何の影響も与えない
単純すぎてわからない
灯台下暗しってところかな

セキュリティソフトでは今のところみつからないので
手動がいやって人は時間がかかるけどad-wareで駆除できるので検索してみよう

最新のマルウェアpart.1   2009.05.04

ええ、とうとう感染しましたよSpyware protect2009。
知らない人も多いと思うけどいま豚インフルみたいに広がってるんだぜ

これは何かって言うとマルウェアだな
知ってるって?まぁ流れからして分からない人はいないだろうね
詳しく言うと迷惑なソフトでこのSpyware protect2k9はその一部だ

実際どう迷惑なのかを説明すると
まずタスクバーに常駐する
そしてセキュリティソフトに似せたGUIで初級ユーザーを誘惑して
PCが攻撃されてるという嘘をつく(嘘じゃねえな
だってこの糞うざったいマルウェアに感染してるんだから)
そしてこの攻撃をブロックするのは有料ですと出てきて
クレカの番号教えろ!となる

ようするに金がほしいだけだろ
こんな低脳なマルウェアつくりやがって
行為自体の技術水準はすごく低いが感染経路と駆除が面倒くさい
感染経路はアクロバットリーダーの脆弱なセキュリティホール(PDFをインターネットで開くなど)で入ってくるのでまだ未感染の奴は注意しておいたほうがいいぞ

さて、今日は面倒くさいし疲れてるから詳しく調べたりはしないけど
こいつに感染したときにとりあえずコイツを終了する唯一の方法を教えよう
タスクマネージャを開いてsysguard.exeというプロセスを切断する
これでいい
これで糞な画面と低脳なメッセージとはお別れだ
スタートアップにも登録されてるようだが面倒くさいのでまだ駆除していない
新しくてセキュリティソフトのスキャンにも引っかからないし
手動駆除しないといけないってのがまた面倒くせえんだよな
まさか感染するとはね

もうプロセスきっちゃったから
明日はプロセスからパスを見てどこに感染したのかでも調べ上げようかね

最近友達が   2008.11.09

今回はETかんけいないれす。

友達の話によるとその友達から(俺もその友達は知ってるけどね)
server2.exeが送られてくるという件についてですが
恐らくserver2.exeは遠隔操作プログラムの操作を実行するプログラムです。

 ハッキングの手口としてよく知られるのはウイルスによる情報の自動転送,
クライアント側にserver2.exeなどの操作実行プログラムを改造して手動ダウンロードを行ったり
マウスポインタを操作する,といったものが挙げられます。

 今回はあからさまに名前も変えずにこのプログラムを送ってきたスクリプトキディだったから良かったけど
(ツールをどこからか入手し,実行する人。ハッカーからはプログラムを自作できない彼らを軽蔑をこめて
"スクリプトで遊ぶおこちゃま"⇒スクリプトキディと呼んでいる)
ちょっとプログラムを弄りだすとスタートアップに自動登録し,起動毎に操作プログラムを起こしたり
exeを偽装して裏で自動的にそのプログラムをダウンロード,実行する
俗に言う巧妙なトロイの木馬だったりします。

 何で彼がコンピュータに進入したがってたのかは良くわかんないけど・・・
何故進入したがってるのかは後で聞くとして,説教しときます^O^
«  | HOME |  »
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。