タグ「Virus」の一覧

【ウイルス】HTAファイルを利用したワンクリ詐欺サイト【備忘録】

皆様こんにちは、ボタンがあったら即押したい、海があったら釣りしたい、穴があったら入りたい、けーすけで、御座います。
如何お過ごしでしょうか。

久し振りにイイ生ログが採取出来たから備忘録。
昆虫採集の時期ですなぁ。

HijackThisのログに見事にエントリ出ますね。
不正なワンクリ詐欺のポップアップ出るケース。

O4 - HKCU\..\Run: [Skyae9564_5403404] "C:\WINDOWS\system32\mshta.exe" "http://****.movie109.info/dkbpl/GV0eaZ8l9jTPyeG3b8Pf5g.jsp"

HijackThisのスキャンで上記エントリをFix。mshta.exeのプロセスを停止して再起動で対応終了のようだ。
mshta.exeファイル自体は普通のMSの正規ファイルなのでファイルはそのまま。
なかなか見事だね、これ。

INTERNET Watch の情報サイト

【ウイルス】ウイルスの季節がまた来ましたな【備忘録】

皆様こんにちわ、昨夜は渋谷某所でネクタイ鉢巻して御満悦のけーすけで、御座います。
如何お過ごしでしょうか。

まぁ呑み喰い話は別として、毎年この時期ってコンピュータウイルスの活動が活発になり、激増。それを見て「あぁ・・・夏になったなぁ・・・」なーんて思うわけなんですけどね。
インチキウイルス対策ソフト系がまた活発だなぁ・・・・。
Security Tools とか。

C:\WINDOWS\Temp\_ex-08.exe
C:\documents and settings\【user】\Local Settings\Application Data\[ランダムな数字 ランダム桁].exe

あたりを削除して、スタートアップの確認と、"_ex-08.exe"の方はレジストリのRunにも書かれているから削除。
んでもComboFix一発で結構綺麗になるようだ。今のところは
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

加えて今日初めて遭遇したWindowsのちょっと驚いた件
コマンドプロンプトで ipconfig /all でMAC見ようとしたら通らず。あり?と思ってネットワーク接続から開こうとしたところ・・・・・・ネットワーク接続のフォルダが空っぽ・・・・はひ?
と思ったらMSのパッチ適用に関しての重大な問題で既出らしい
http://www.forest.impress.co.jp/article/2005/10/17/ms05051problems.html
http://support.microsoft.com/kb/909444/ja
うーん・・・実物初めて見た。

自分「ネットワーク接続のフォルダを開いて下さい」
相手「真っ白です」
自分「え・・・・・・・・・・」

俺様もアタマ真っ白(笑)。

【ウイルス】一瞬迷って今年もnorton先生

皆様こんにちわ、とりあえずasaさんに続け!な感じでNorton購入のけーすけで、御座います。
如何お過ごしでしょうか。

2010033023180000.jpg

ってなわけで今年もコレです。

ウイルス対策はよっぽど自信があるのでなければふつーに購入するのをオススメします(ウイルス騒動の現場から)。
今回USB版にしたので、愛用のPanasonic Let's note R3(ちと古いがな)にも面倒がらずにインストール出来るのが嬉しい限り。
半分中身はみ出たデスクトップPCにも早速インストール。
また一年宜しくお願いしまーっす。

【マルウェア】Vista Internet Security 2010【備忘録】

最近のインチキウイルス対策ソフトを装ったマルウェアはほんとに良く出来てる。
何故か日本語の解説ページが少なかったからメモ程度に備忘録。

掲題のウイルス対策ソフトを装ったマルウェア。
これまたしつっっこいくらいに出てくる。

プロセス名を確認すると、av.exe

タスクマネージャから停止するのは簡単だけど、すぐまた出てくる。
んでもって%UserProfile%AppData\Local\av.exe
を削除すると、.exe系や、フォルダオープンをすると関連付けを求められる・・・ってことは?

ってなわけで、

exefix.jpg

としてレジストリ修正ファイル作成(右クリック保存でファイルをどうぞ)。中身は以下の通り。

[-HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command]
[-HKEY_CURRENT_USER\Software\Classes\secfile\shell\open\command]
[-HKEY_CLASSES_ROOT\.exe\shell\open\command]

[HKEY_CLASSES_ROOT\.exe]
@="exefile"
"Content Type"="application/x-msdownload"

[-HKEY_CLASSES_ROOT\secfile]

実行すると改変されたレジストリが修正されるので、以下のファイルを削除
%UserProfile%\AppData\Local\av.exe
%UserProfile%\AppData\Local\6L0id5G
↑2行目のファイルはランダムに変更になるので適当に。

【マルウェア】今度はPC Live Guard【備忘録】

皆様こんにちわ、年明け仕事始め早々にまた面倒なものに遭遇したけーすけで、御座います。
いかがお過ごしでしょうか。

ほんとにね、身に覚えのないものはクリックしちゃぁいけません。
同意書は良く読んでからOKボタンを押下して下さいね。

*PC Live Guard*
Windows Security Centerモドキに見えるインチキセキュリティソフト。
当然ウイルス対策ソフトを無効化してくる。
色々小技が効いてて最近のヤツは出来が相当すごいわな。
改ざんされてるウェブサイトが結構あるみたいなので普段からセキュリティパッチの適用等注意しないとね・・・。

プログラムの追加と削除に出てこなかった。

FILE ::
C:\documents and settings\All Users\Application Data\117fc\573.mof
C:\documents and settings\All Users\Application Data\117fc\mozcrt19.dll
C:\documents and settings\All Users\Application Data\117fc\PC339.exe
C:\documents and settings\All Users\Application Data\117fc\PCLG.ico
C:\documents and settings\All Users\Application Data\117fc\PCLGSys\vd952342.bd
C:\documents and settings\All Users\Application Data\117fc\sqlite3.dll
C:\documents and settings\All Users\Application Data\PCYZDUHBELG\PCAWWLG.cfg
%UserProfile%s\Application Data\Microsoft\Internet Explorer\Quick Launch\PC Live Guard.lnk
%UserProfile%\Application Data\PC Live Guard\cookies.sqlite
%UserProfile%\Desktop\PC Live Guard.lnk
%UserProfile%\Recent\gid.tmp
%UserProfile%\Recent\SICKBOY.tmp
%UserProfile%\Recent\sld.drv
%UserProfile%\Start Menu\PC Live Guard.lnk
%UserProfile%\Start Menu\Programs\PC Live Guard.lnk
C:\documents and settings\All Users\Application Data\423d854\PC423d.exe
C:\documents and settings\All Users\Application Data\423d854\PCLG.ico
C:\documents and settings\All Users\Application Data\423d854\PCLGSys\vd952342.bd

FOLDER ::
C:\Documents and Settings\All Users\Application Data\117fc
C:\Documents and Settings\All Users\Application Data\117fc\PCLGSys
C:\Documents and Settings\All Users\Application Data\117fc\BackUp
C:\Documents and Settings\All Users\Application Data\117fc\Quarantine Items
C:\Documents and Settings\All Users\Application Data\PCYZDUHBELG
%UserProfile%\Application Data\PC Live Guard
C:\documents and settings\All Users\Application Data\423d854

そしたらウイルス対策ソフトのプロセスも起動するようになった。
けどレジストリに妙な具合に絡んでるみたいなんだけど情報があんまり無いなぁ・・・。

なにか違うのも居そうな・・・切り分けが出来ず

[参考サイト]
Remove PC Live Guard
How to Remove PC Live Guard
 

【ウイルス】_ex-08.exeの周辺【備忘録】

みなさんこんにちわ、急に寒くなってきたのに未だに服装が変わらないけーすけで、御座います。
いかがお過ごしでしょうか。
なんだかんだ言って寒いって程寒くはないような・・・。

備忘録ですが、_ex-08.exe対応中にいくつか忘れないうちにメモ。
当初
【ウイルス】もっともらしい偽セキュリティソフト
の記事で書いてた程甘くなかったわけで、

C:\WINDOWS\Temp\wpv[ランダムな数字].exe
C:\WINDOWS\Temp\_ex-08.exe

のほかに

C:\Documents and Settings\【user】\スタート メニュー\プログラム\スタートアップ\iidwin32.exe
C:\WINDOWS\System32\restorer32_a.exe

あたりもうろちょろしてるような・・・。
Trojan.Pandexの亜種みたいだけど
C:\WINDOWS\System32\restorer32_a.exe
コレは怪しいわな。場所が場所だし。

あ、あと
O4 - HKLM\..\Run: [ランダムな8桁数字] C:\DOCUME~1\ALLUSE~1\APPLIC~1\[ランダムな8桁数字]\[ランダムな8桁数字].exe
これって必ずしも作られるわけではないようだけど、どっからきてるんだろ・・・。

【ウイルス】もっともらしい偽セキュリティソフト

皆様こんにちわ、何気に夕べは王将の餃子お持ち帰りで晩御飯にしていたけーすけで、御座います。
いかがお過ごしでしょうか?

2日に1度の頻度で食べてるような・・・。
兄上が麻婆豆腐も買ってきてくれたので大満足で、アリマス
昨日仕掛作ってたらうっかり夜更かしして今朝はちと眠い(毎日11時までには寝る人)。

今日~のウイルス備忘録っていうかスパイウェア備忘録はちょっと久し振りにウェブ感染。
改変されたHPを見ただけで感染するヤツですわね。
エロサイトによく行く人だけでなく、危険はいっぱいありますねぇ・・・今回はごく普通のサイト。

HPのトップページを開くとダイヤログがポップアップ表示。

message.jpg

ん?なんじゃこりゃ、と思っているうちに、ふと見るとデスクトップと画面右下のタスクトレイに見慣れぬアイコンが作成されている。

icon.jpg

んでもってセキュリティの警告。

virus6.jpg

確認すると、
C:\WINDOWS\Temp\wpv[ランダムな数字].exe
C:\WINDOWS\Temp\_ex-08.exe
複数のランダムな.exeファイルが作成されており、このうちに任意の.exeがレジストリエントリに追記されてるみたい。
msconfigからスタートアップを見ても簡単に判別可能。
たぶんexeが先でその後偽のセキュリティツールをダウンロード・インストールしたのかなぁ。
インストール場所は別フォルダになります。
感染後にコマンドプロンプトからnetstatで確認すると、怪しげな通信を続けているのでこれはなかなか・・・

もっともらしくスキャンを開始してもっともらしく嘘の感染情報を表示。
Removeする為のボタンを押すと料金請求画面に推移する仕組みになっている。
VISAカードとかが使用可能みたいよ(笑)。
おひとつ、どお?


[メモ]
Downloader.MisleadApp
Packed.Generic.264
Trojan.Horse
W32.Waledac

【ウイルス】Windows Enterprise Defender

みなさんこんばんわ、昨夜の飲み会の後に渋谷某店へ乱入した記憶が綺麗さっぱりロストしたけーすけで、御座います。
如何お過ごしでしょうか?

先程乱入劇の顛末を現地調査し、記憶の補完を無事はたしてまいった次第で御座います。
M本しゃっちょーにはいつもいつもお世話になり、足を向けては眠れません。
もちろんS田さん・とみちゃんにもいつも御迷惑をお掛けし、有り難くおもっちょります。

今日はまた昼飯で渋谷区役所の社食に行ってきた。

2009101612130000.jpg

渋谷区役所食堂に入っているターリー屋のカレーセットでございまーす。
この巨大なナンを1枚1枚インド人(と思われる)のスタッフさんが設置されてるカマで焼いてくれる焼き立てホヤッホヤ!!
ナンだけでもほんっっとにうっまーい!!!
実はナンにつぶされて見えませんが、この下に小盛りのターメリックライスと玉子焼きがささやかに隠れてます。

結局食べきれませんでしたが・・・・・・
 


今日の備忘録:

ウイルスではありませんけど、スパイウェア。
チュニジアだったかなぁ・・・のホームページ出入りしてたらどうもインストールされちゃったみたいなインチキアンチウイルスソフト。
その名も【Windows Enterprise Defender】(大爆笑)
セーフモードでも起動して常駐しますが、プログラムの追加と削除に出てこないのでちとやっかいかな。
消すのは簡単。
HijackThisのログにもエントリーしてきますんでそのままFix可能。
以下の通り

O4 - HKLM\..\Run: [Windows Enterprise Defender] "C:\Documents and Settings\All Users\Application Data\ca6c8ab\WEca6c.exe" /s /d

んでもってご覧の通り

c:\documents and settings\All Users\Application Data\ca6c8ab
c:\documents and settings\All Users\Application Data\ca6c8ab\22.mof
c:\documents and settings\All Users\Application Data\ca6c8ab\WEca6c.exe
c:\documents and settings\All Users\Application Data\ca6c8ab\WED.ico
c:\documents and settings\All Users\Application Data\ca6c8ab\WEDDSys\
vd952342.bd
c:\documents and settings\All Users\Application Data\Microsoft\Network\
Downloader\qmgr0.dat
c:\documents and settings\All Users\Application Data\Microsoft\Network\
Downloader\qmgr1.dat
c:\documents and settings\【user】\Application Data\Microsoft\Internet Explorer\Quick Launch\Windows Enterprise Defender.lnk
c:\documents and settings\【user】\Application Data\Windows Enterprise Defender
c:\documents and settings\【user】\Application Data\Windows Enterprise Defender\Instructions.ini
c:\documents and settings\【user】\スタート メニュー\Windows Enterprise Defender.lnk

Symantecのサービスが停止されてしまってセーフモードでもフルスキャンが実行出来ない状態。
Hostsがボロボロにやられてたのはどの影響なのか。。。

【ウイルス】イマドキ

  • 更新日:
  • PC, お仕事
  • Virus

皆様こんばんわ、へろへろけーすけで、御座います。
数年前にW32.Stration初出の時程では全然ないですが、時期が時期だけに厳しーっ!!
W32.Gammima.AGInfostealerの新亜種がしつこ過ぎ!

今日久し振りに無防備なPCを発見。
イマドキウイルス対策ソフトが入ってないのに外部からとか個人持ちのUSBメモリ挿しまくり。
某人曰く

『渋谷を綺麗なオネーチャンが素っ裸で歩いてるみたなもんだなぁあ!?』

自分:『それもむちゃくちゃ危ない裏通りとかね…(ハァ)』
そんなに凌辱されまくっちゃってどーすんの?

 

【ウイルス】とり急ぎ備忘録

  • 更新日:
  • PC, お仕事
  • Virus

C:\
autorun.inf
9npxi.bat
isaecyu.exe
rfv0x.exe
t0ecj8.exe

C:\Documents and Settings\user\Local Settings\temp\
4tddfwq0.dll
4tddfwq1.dll
xvassdf.exe

【ウイルス】手間かけやがってー(#・∀・)

皆様こんにちわ、ここ一週間くらい実はウイルスと格闘していたけーすけで、御座います。
いかがお過ごしでしょうか。

WindowsのTempフォルダから何度も同じdllを検出している状態で、眉根に皺寄せてた。
XPでいうと
C:\Documents and Settings\【USER】\Local Settings\temp
直下からInfostealerとかBackdoor.Trojanを検出し続けてる状態。
4tddfwq0.dll
のような名称のファイルで。

で、こうなってくると本体が別の場所に居るのがセオリーだから、いつも通りコマンドプロンプトで探してみたが。。。

居ない。
見当たらない。
C:\Windows\System32\
をじーっと見てみたけど居ないっす。

あっれーおっかしーなー思って別の感染したVista端末見てたら・・・スタートアップに不審物発見。
"xvassdf.exe"
おまえかーっっ!!!

ようやく見つけた。
HijackThisのログにも出てきた。

O4 - HKCU\..\Run: [54dfsger] C:\【USER】\【USER】\AppData\Local\Temp\xvassdf.exe

こんなとこに居たとは・・・くそぅ。
マッピングされたドライブ直下にも
9npxi.bat
autorun.inf

が綺麗に作成されとる。
こうなってくるとウイルスを運んだUSBメモリも探さなくっちゃならんわね( ´Д`)=3
隠しファイル及びフォルダを表示させてもこいつらが出てこない。
システムファイルとして存在するのかもしれないけど、無論コマンドプロンプトで探せばしっかり出てくる。
dir /ah
てっきりsystem直下に本体が居ると思ったんだけどなぁ・・・まだまだあまいなぁ・・・。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden"

の値を改変される前の状態に戻して完了。

戦闘前のひととき...

皆様こんにちわ、電話対応中に笑い死にそうになってだいぶゲッソリぐったり気味のけーすけで、御座います。
如何お過ごしでしょうか。

明日から暦通りの人は連休が始まります。
高速道路どうなっちゃうんでしょねー。
10キロ以上の渋滞が46回予想されるとか情報ありましたが…46回…おそろしや…

連休と言えども特に旅行を予定しているわけでもありませんので、2日母上様の買物の足!3日イカ釣り!&飲み会!4日お楽しみ!5日こどもの日だから赤飯炊いたり色々!6日片付け&風呂!
…頑張らないと1日があっという間に終わってしまいますね。

という事で戦い前にブレイクタイム。
久々のスタバ。

090501_123908_M.jpg

穏やかに一週間が過ごせますように…なむなむ
…無理か…

くれぐれも休み中はこんぴーたーウイルスに気をつけようぜ。


【ウイルス備忘録】
[AutoRun]
open=f1.exe
shell\open\Command=f1.exe

ちくしょぅ…

【ウイルス】W32.SillyFDC.*ファミリー

W32.SillyFDC.*ファミリーがここのところまたなかなかデキのイイ亜種を生んでいるかな…と。
ここ1年以上流行のUSBメモリ等リムーバブルドライブを解して感染を広げるタイプだが、根っこが深い深い。
結構やるな。

と思っていたところ、東大付属病院のニュース。
東大病院でシステム障害、ワーム「DOWNAD.AD」が1000台以上に感染
これがほんとの院内感染か?

東大付属病院の公式サイトのお知らせでもWORM_DOWNADと記載があるって事は院内システムのクライアントソフトはトレンドマイクロなのかな…。
残念ながら感染してしまった方には、もれなくトレンドマイクロから駆除ツールが提供されてます。

ウイルス感染は予防が大事。
セキュリティパッチがあたってなくて、自信も無いのに有償の対策ソフト入れて無い端末からのデータ交換は遠慮したいなぁ…。

さてっ、明日は釣りですよー。
準備して寝るですよー。

【Windows Update】日本時間2月25日のリリース

  • 更新日:
  • PC, お仕事
  • Virus

毎度御馴染みの月例WindowsUpdate(日本時間では毎月第2火曜日の次の日にあたる水曜日午前3時あたり)に加えて2月はゲリラUpdateが25日にありましたな。朝PC起動して「…にょ?」とちょっとびっくり。内容見てちょっとのけぞり。

Excelの脆弱性云々…はさておきー…

Windows Autorun(自動実行)用の更新プログラム(KB950582)
>Microsoftが紹介しているAutorun無効化の手順で無効化を行ったとしても、機能を正しく無効化出来ない事を修正する…云々

・・・・・・・・・・おっかねーじゃねぇかょ!!

自分のぱちょこんもAutorun機能は自宅も職場ももちろんOFFで使ってますが、さらにクセでUSBメモリ挿される時は必ずShiftキー押下しながら挿入。いきなり挿れちゃダメですヨ。いきなりヤっちゃうと病気うつっちゃう可能性がありますので。
無論中身を開く時はエクスプローラで。ダブルクリックが最近怖い御時世ですんでねぇ。

がしかーし!手順通りにAutorun機能OFFってるからって安心してそのまま挿入してる人もいるハズ。

「ちゃんと●●してるからダイジョブよ

なんつって感染しちゃうかもしれないんだもんなー。カンベンしてヨ

Autorun.infを使って感染するウイルスは相変わらず慢性的にぐるぐると続いてるようですが、ウイルス対策は転ばぬ先の杖。USBメモリは疑ってかかれ。エロサイト巡りは自己責任で。

 たまにウイルス持ってウロウロしてる人居るけどね…。

【ウイルス対応】mmvo*ファミリー備忘録

コンピュータウイルス対応備忘録。

mmvo

kavo

ファミリー対応。

主にUSBメモリ等のリムーバブルメディアから感染。メディア挿入時に起動し、マッピングされた全てのリムーバブルドライブ直下にautorun.inf 及び、参照する.com.batファイルの作成。

%System%mmvo.exe

%System%mmvo0.dll

%System%mmvo1.dll

同kavo.exe .dllファイルの作成。レジストリへの追記。

隠しファイル及びフォルダの表示無効の為レジストリ3箇所変更。

 


 

という、こ・と・で。

【対応手順覚書】

・システムの復元機能OFF

・セーフモードにて起動(気休め)

・コマンドプロンプトで感染ファイル確認(※バックスラッシュは半角¥マーク)

C:\>dir /ah

C直下隠しファイル表示

autorun.infの参照ファイル確認

C:\more /a autorun.inf

↑これで参照している.comもしくは.batファイル特定(同じ階層みたい)

両ファイル削除

del /a /f autorun.inf

del /a /f ***.bat

 

cd \WIndowws\System32\

dir /ah

del /a /f mmv*

ここで.exeが消えない場合はregeditにで検索→削除→再起動で削除。

kavoの場合は置き換える(kavo*.*、mmvo*.*)。

 

 

んが、ちと違うけどsecpol.exeの場合は隠しファイルになってないケースが見られるみたいだ。

【レジストリメモ】

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Pocilies\Explorer\"NoDriveTypeAutoRun"

 


【追記】

レジストリ操作 不可視ファイルメモ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden" 

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden"

これら3つのレジストリの値を全て1に。

このページの上部へ

About

脱HTMLの為にちまちま手動で作った管理人けーすけの試行錯誤ブログ。
愛車スカイライン&コペンと温泉と酒と烏賊釣り触手吸盤プレイの日々…破廉恥下ネタアリのfor Adult仕様
ようやくスマホ向けページが出来たよヽ(`Д´)ノウワァァァン!!

プロフィール

HN:けーすけ
愛車HR34と温泉と釣りとお酒をこよなく愛する3●歳
Twitterアカウントは@keisuke_remixで。

サイト内検索

最近のコメント

最近のピクチャ

  • クリップボード2.png
  • DSC_0156_2.JPG
  • DSC_1174.JPG
  • Screenshot_2015-12.png
  • DSC_1165.JPG
  • DSC_1161.JPG
  • DSC_0419.JPG
  • DSC_0394.JPG
累計
本日人  昨日

Powered by Movable Type 5.161-ja