- 30 名前:既にその名前は使われています [2008/07/14(月) 17:59:16 ID:tr549L/i]
- ★wuauserv.dllがwzcsvbxm.dllに改ざんされていた件 現状まとめ(>>21の挙動周り修正)
【レジストリ】 WindowsUpdateで使用するAutomaticUpdatesサービスのエントリを改竄する。 ・キー位置 HKEY_LOCAL_MACHINE\SYSTEM\ControlSetxxx(xxxは数字)\Services\wuauserv\Parameters HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters ・感染時エントリ(値) %SystemRoot%\system32\wzcsvbxm.dll (未感染Windowsでは%SystemRoot%\system32\wuauserv.dll) wzcsvbxm.dllはAutomaticUpdatesサービスとしてOS起動時に常駐すると考えられる。 エントリを書き換えた場合、常駐しているwzcsvbxm.dllが再度書き戻しにくるようだ。 【POL】 wzcsvbxm.dllはAutomaticUpdatesサービスとして常駐しているwzcsvbxm.dllはsvchost(wuauser)としてPOLのプロセスに介入すると考えられる。 svchost(wuauser)の介入がなされた時点でPOLの接続先が□e鯖から業者鯖に変更または追加されているようだ。 POLのプロセスを使用して業者鯖にID/PASSを送信する。送信後POL異常終了?(異常終了しないケースもあるため後期Verでは落ちない可能性 そのため、ファイアヲールなどでPOLの接続ルールをアプリケーション単位で許可している場合は検知は難しい。 現時点で確認されている送信先(置き換えではなく●を単純に削る) ・wowint●erfcae.com 204.13.6●4.0 - 204.13.71.255 ・googlesy●dition.com 74.86.1●85.101
|
|