馬刺し大好き九州男児・てるの平凡な毎日の日記とMMORPG・ファイナルファンタジーXIのプレイ日記。
アカウントハックのお話=その後=
2008年07月25日(金) 20:30
6月中旬ごろから被害が多発していたアカウントハッキング問題ですが、
徐々に内容が明らかになってきてるみたいです。

Windowsファイルを不正に改ざんすることにより、
自分が知らないうちに罠サイトへパスワードを送る仕組みを組み込まれている・・・
というもの。
考えただけで恐ろしいっすね(´Д`;)

具体的内容はというと、


---------------------------------------------------------------------------------
wuauserv.dll(Windows Updateに使われるダイナミックリンクライブラリ)のレジストリを、
正規のプロセス C:WINDOWSSystem32svchost.exe を使って罠サイトへパスを
送る wzcsvbxm.dll に書き換える。
ファイルからではなくプロセスをフックしてメモリからパスを送信。
送信経路はhttp。
(レジストリの不正更新もあるにもかかわらず)ほとんどのセキュリティソフトは未検知で
あったため、セキュリティソフトを導入していたにもかかわらず被害に遭った人が多い。
---------------------------------------------------------------------------------


・・・ということらしいです。
wuauserv.dll ってファイルを wzcsvbxm.dll ってのに改ざんされちゃうってわけね。
簡単な話。


んで、ちょっと前の記事で被害に遭う前の前兆?として、


■Windows Updateがフリーズする
 (マイクロソフトの Windows Update のページが開けない)
■POLを起動するとエラーが出る(2回目からは正常に起動)
■シャットダウンに時間がかかるようになった
 (FF11のシャットダウンではなく、Windows のシャットダウン)


ってのを書きました。
wuauserv.dll ってファイルが改ざんされてしまうわけですから、
Windows Update が正常にできないってのはその理由があるからでしょう。
逆に言うと、上記症状が出てしまった場合、ほぼ確実に感染されていると言えるでしょう。
そうなると手遅れです(´・ω・`)


んじゃ、どうしたらいいのさ(ノД`)


ってことになるわけですが・・・。
まずは、自分のPCのファイルが不正に書き換えられていないか、
確認してみましょう。


---------------------------------------------------------------------------------
【%SystemRoot%System32wzcsvbxm.dllを探す方法】
スタート → ファイル名を指定して実行 →
regedit と入力。
HKEY_LOCAL_MACHINESYSTEMControlSetxxx(xxxは数字)ServiceswuauservParameters

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswuauservParameters の
中の 「ServiceDll」 → 「REG_EXPAND_SZ(種類)」 の 「データ」 を確認
C:WINDOWSsystem32wuauserv.dll ならそのまま閉じる(この件の感染はしていない)
C:WINDOWSsystem32wzcsvbxm.dll など上記以外のファイルが登録されていた場合、
感染している可能性が極めて大。
---------------------------------------------------------------------------------


上記は、Windows XP 環境下での方法です。
どうも被害報告があったのが、XP環境にある人が多いらしいですね。
そんなわけで、2ちゃんねるでは上記方法で不正に改ざんされているファイルがないかの
確認方法が書かれてありましたが、Vista環境でも不安な方は一度確認してみると
いいでしょう。

ちなみに、おいらは XP ・ Vista 両環境ありますが、Vistaのほうは確認してません(ノ∀`)

さて、もし上の確認方法を試してみて、


うぉぉーーー、おいらの書き換えられとるやんけーーー(ノД`)


ってなった場合。
と、とりあえず落ち着きましょう(´Д`;)
一服するなり、ウ○コするなり、寝るなり、何でもしてもらっても構いませんが、
その後の対策はなるべく早めにしたほうがいいと思います。


---------------------------------------------------------------------------------
まず安全な環境でPOLのパスワードを変更。wzcsvbxm.dll を wuauserv.dll に
書き換えられるなら書き換え等の対策をする。
ただし、すぐに戻ってしまう(再度書き換えられてしまう)報告もあるため、
修正後要確認。
本体(生成元)および感染ルートは現状不明なため、
上記の修正をしたとしても完全に駆除されているか分からないので、
感染が確認された場合は『クリーンインストール推奨』。
---------------------------------------------------------------------------------


安全な環境でPOLのパスワードを変更するとは、
ウイルスに感染されていないことが確実であるPC、もしくは PS2 や XBOX360 など、
PC以外でPOLに接続できる環境のことです。
感染しているPC(もしくは、感染が疑わしいPC)でパスワードを変更しても、
パスワードをこっちに変えましたよってハッカーに教えてるのと同じことです。


おいら、PS2とかXBOXとか持ってねぇよぅ;;


って人も多数いることでしょう。
ましてや、PCを2台持ってる人もそんなに多いわけじゃないですしね。
だからといって諦めるワケにもいきません。
やり方はいくらでもあります。
FF11が導入されているネットカフェに行って変更したりすることもできます。
もちろん、セキュリティがしっかりしてることが条件ですが。

パスワードを変更したら、PCをクリーンインストールをしましょう。
FF11以外の用途でPCを使用しているなら、それらのファイルのバックアップはお忘れなく。
ただし、ウィルスファイルまでバックアップしないようにww


今回の件での被害報告の例として多いのが、
プラグインソフト(※)が未更新であったため、
その脆弱性(弱点)を突かれて感染してしまったとういうものです。

(※)Flash Player、Realplayer、Shockwaveplayer、Quicktime、
Adobe Acrobat/Readerなど

こういった各種ソフトを最新版に更新することも重要です。
特に被害が多かったのが、Flash Player が古いバージョンだった
というのが多いみたいです。

自分のPCの Flash Player のバージョンを確認するには、


http://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm


上のアドビシステムズ社のウェブサイトにて確認してみましょう。
上記サイトを開くと、使用中のブラウザ上でアクティブになっている
Flash Player の具体的なバージョンが表示されます。

ちなみに、現在の最新バージョンは、9.0.124.0 です。
9.0.124.0未満の場合は、上のページ内に最新版へのリンクがあるので、
そこから最新版をダウンロードしましょう。

注意として、Flash Player はウェブブラウザごとに更新する必要があります。
Internet Explorer と Fire Fox の両方を使っている人などは、
それぞれ更新するように。

ただ・・・常時接続環境にある人は、すでに自動でアップデートのアナウンスが
あったはずなのよねぇ。
確か6月下旬〜7月上旬ごろだったかと思いますが、
おいらのPCでは、立ち上げ時にアップデートのアナウンスがあったので、
そのままバージョンアップしました。
XPとVista、両マシンともね。


おいら、そんなのなかったぞ?


って人は、一度自分の Flash Player のバージョンを上のリンクから
調べてみたほうがいいでしょうね。


・・・とまぁ、色々とセキュリティのうんぬんをつらつらと書きましたが、
僕自身、昔セキュリティに関する意識がまだ低かった頃に
PCが色々とトラブルになったことが多々あります。
今現時点ですら、セキュリティはカンペキ!と自負できるわけじゃないですが、
一応、それなりの対策は常にしているつもりです。

FF11やってる人でセキュリティソフト入れてないって人は
なかなかいないだろうとは思いますが、まだって人は今すぐにでも
ソフトを購入してPCに導入したほうがいいでしょうねぇ。
POL(FF11)の月々のサービス料1000円チョイは払うのに、
セキュリティソフト1本・・・まぁせいぜい5000円くらいを払うのを惜しむ
人はいないでしょうしw
その金額で1年間、PCを守る手助けをしてくれるとなったら
安いモンじゃないですか?月額になおすとウン百円なんだからさ。
どうせなら、有料のソフトを入れましょうよ。

あと、契約してるプロバイダのセキュリティサービスとかも
個人的にはおすすめであります。
僕は ぷらら でずっと契約してて、最近知ったんだけど、
ネットバリアベーシック
ってオプションサービスがあるのよね。
ま、不正なアクセスや、ワンクリック詐欺などの不正な通信を
プロバイダのネットワークでブロックしてくれるサービスなんですがね。
他のプロバイダにも、こういったセキュリティ関連のオプションサービスは
あるはずです。
こういったのを利用するのも手ですね。

あとは、ルータを設置してるとこでは、ルータの設定もいじってみるとかね。
外部からの通信に対してどうするかとか。

このご時世、敵はどんなことしてでも侵入してこようとしますからね。
いや、大げさじゃなくて、まじでw
だったら、こっちも徹底的に対抗しないとね。
対抗するためにはある程度の投資は必要ですが、
自分の大事なデータを守るためです。
データは財産です。
多くの時間をかけて作り上げてきたモノなんだから。

まー、そんなことを言っておきながら、自分が被害に遭ってしまったら
シャレになりませんが、自分自身への戒めも含めて
今日の記事にしてみました。
また何かセキュリティ関連のニュースを見つけたら、
みなさんにもお知らせしようと思います(´Д`)ノ


クリックしてもらえると嬉しかったりします↓
FC2ブログランキング
【注意!】アカウントハック被害多発中!
2008年07月07日(月) 23:15
今日はウイルス・セキュリティに関するお話です。
初めてウチのブログに来ていただいた方にも、
ぜひ読んでいただきたいと思います。

6月中旬ごろから、再度FFXIユーザーのアカウントがハッキングされるという
事件がかなり多発しているようです。
インフォメーションでGMコールの対応状況についてってアナウンスがあったのも、
恐らくこの件でしょう。
ちょっと前にもハッキング事件に対する注意喚起がありましたけど、
今回被害に遭われている方は、どうも尋常じゃない数みたいです。

フレから聞いた話では、ハッキング被害に遭う前に
以下のような症状が前兆として出てくるみたいです。


■Windows Updateがフリーズする
■POLを起動するとエラーが出る(2回目からは正常に起動)
■シャットダウンに時間がかかるようになった



これは2chのアカウントハックすれに寄せられた前兆症状で、
この症状が出た1〜2週間後にハッキングされたという人が多いそうです。

「普通のHP」に自動で挿入される広告に罠が仕込まれるパターンが増えています。
FC2の時と似てますね。
ま、あちらはちょっと意味合いが違うけど。
HPを表示しただけでウイルスに感染するので、自分で気づかないうちにやられてしまいます。


●●RMT業者の垢ハックが多発している件25●●
(※新スレが立っている場合があります)


詳しくは、上記掲示板へ。
自分もまた色々と調べてみます。

みなさんも、ぜひ今一度、PCのウイルスチェック、Windows Updateの実行、
Flash Playerの更新、そしてできればPOLのパスワード変更を!


クリックしてもらえると嬉しかったりします↓
FC2ブログランキング
【注意!】FC2内にウイルスブログ発見!?
2008年04月24日(木) 19:17
FC2ブロガーのみなさん、もしくはFC2のブログを読む機会が多いかた
(特にオンラインゲーム関連のブログ)向けに特にお知らせです。


FC2BLOG:
http://infoseek98.blog47.fc2.c○m
(※直リンク防止のため、.com→.c○mにしてあります)

には、絶対にアクセスしないようにしましょう。
アカウントハッキングサイトの

www■playhaogame■com/upxinke
(※ドットを■に変更してます)

をインラインフレームで読み込むようになっています。


FC2ブログには足跡機能があります。
FC2にてブログを書いてるみなさんは、足跡をチェックしてみることをお勧めします。
足跡から他ブログを頻繁に訪問されている方は特に注意です。

また、オンラインゲーム関連のブログを頻繁に訪問される方も、
一度PCの履歴等をチェックしたほうがよさそうです。



しつこいようですが、上記ブログへは絶対にアクセスしないように!



詳しくは、

FC2ブログ ユーザーフォーラム:
http://blog.fc2.com/forum/viewtopic.php?t=21130


以上、お知らせでございました(´Д`)ノ


クリックしてもらえると嬉しかったりします↓
FC2ブログランキング

 | HOME | 


Designed by 絵師のえそらごと見習い
Powered by DTIブログ