 |
くれない |
07/07/06 14:02 |
少し穏やかでないスレですが失礼します。
日々インターネットの危険性も増えつつある今日この頃。
皆様セキュリティ対策はなさっておられますでしょうか?
先月今月と、知り合いの子がアイテム銀行ひっくるめて
丸裸にされていると言う事件が発生。
1回目はIDとpassがもれたのかと思ったのですが、
二回目となると色々疑ってかからねば成らなく。
そこで色々調べてみたんですが何やら
「lineage2、mabinogiなどのアカウントを盗むURL」
なるものがあるそうで。
ひょっとして知らず知らずのうちに踏んでしまい、
中華にアカ盗まれたのかな?などと。
過去ログ軽く検索したところ見つからなかったので、
そこで見つけた内容などをまるっと転記。
以下転記
* * *
■トロイサイト警告
Yahoo!、MSN、FreshEye で「マビノギ」「mabinogi」で検索すると出てくるスポンサーサイト
「大澤mabinogi研究室」にアカウントを盗むトロイが設置されている。
Overtureの広告審査を通っているため撤去要望や苦情はYahoo!などではなくOvertureへ。
FFXI、リネージュ、リネージュ2のトロイと同一犯です。
■対応
ホムペやブログ等での周知、Overtureへ撤去要請、ファイアウォール等での遮断。
WindowsUpdate やウィルス対策ソフトの更新は当然。
■仕組み
該当サイト
↓(iframe)
198(略)602.com/luoma/money.htm
(~中略~)
以下推測。
C:\Luo.txt 経由(?)でID・パスワード・サーバ名をASPに送信
(ASP http://www.198(略)602.com/luo/luo.asp )、
SQLDB(MSDE?)に蓄積され、そのうち中国のRMT業者に全裸・無一文にされます。
トロイの構造としてはFFXIに極めて近い
(ミューやリネージュではASPではなくメールで送る)。
■簡単な確認
デスクトップ→マイコンピュータ→Cドライブ(C:\)に、
「Luo.txt」というファイルがあったら既に盗まれていると思ったほうが良いです。
即ログインして無事を確認し、即刻駆除してパスワード変えてください。
トロイって何? という人へ。
「PCに勝手に侵入し、データの破壊したり盗んだり、はたまたPCを乗っ取ることもするプログラム」です。
駆除方法は続きにて(転載)
手動駆除方法(暫定)
1.プログラムの強制終了
explorer.exe (初回感染時は svchost.exe )
Ctrl+Shift+Esc でタスクマネージャを出し、プロセスタブを開く。
トロイ本体である偽の explorer.exe (または svchost.exe )を終了する。
トロイはメモリ使用量4,500kB(4.5MB)ほどのユーザプロセス。
本物の explorer.exe や svchost.exe とは
ユーザ名やメモリ使用量で判別すること。
9x・Meは手元にないので知らん(Ctrl+Alt+Delで出るかな?)。
2.ファイルの削除
C:\WINDOWS\SYSTEM32\SYSTEMLR.DLL (ドロッパ)を削除。
サイズ 47,616バイト
C:\WINDOWS\SYSTEM32\EXPLORER.EXE (トロイ)を削除。
サイズ 67,584バイト
ファイルの日時は感染時の(2005/11/11以降の)はずなので
エクスプローラで C:\WINDOWS\SYSTEM32 を詳細表示にし
日付の降順でソートすると見つけやすい。
C:\LUO.TXT 盗んだ情報をASPに送信するためのテンポラリファイル(?)、あれば削除。
上記のフォルダは XP のもの。
2000は C;\WINNT\SYSTEM32、9x・Meは C:\WINDOWS\SYSTEM など環境によって異なる。
3.レジストリからの削除
レジストリ
HKEY_LOCAL_MACHINE\Software\Microsoft\CurrentVersion\Run
の
explorer.exe
を削除。
以上で駆除完了。のはず。
* * *
ウィルス対策参考サイト
アンチウイルスソフトウェアランキング、最強はどれ? - GIGAZINE
http://gigazine.net/index.php?/news/comments/20060905_antivirus/
MapleTown 「教えて!コンピューター」 (ファイル検索編)
http://www.mapletown.ca/column/?column_id=10437
記述内容がキケンだとか場違いだとかの指摘があればお気軽にレスお願いします。
その都度修正していきます。
