勇気がなくて見れない画像解説スレin半角Part001
//www.1102213.com/
アクセスすると//gua.ishacker.orgという中国の危険サイトを呼び出します
呼び出されたサイトはsystem32フォルダ内にMicroDownload.dllと.exeというファイルを作成し即実行します。
.exeが実行されるとIEが起動しsystem32フォルダ内に、
MicroExec0.exe・MicroExec1.exe・MicroExec2.exe・MicroExec3.exe・mswinlogon.dllをダウンロードします
ちなみに.exeは一度実行されると削除されMicroDownload.dllも上記のファイルのダウンロードが終わると共に削除されます。
MicroExec0.exeが実行されるとプロセスとして走り続け、
system32フォルダ内にsystemlx.dllを作成しProgram Files内にexplorex.exeを作成しスタートアップに登録します。
続く......φ
アクセスすると//gua.ishacker.orgという中国の危険サイトを呼び出します
呼び出されたサイトはsystem32フォルダ内にMicroDownload.dllと.exeというファイルを作成し即実行します。
.exeが実行されるとIEが起動しsystem32フォルダ内に、
MicroExec0.exe・MicroExec1.exe・MicroExec2.exe・MicroExec3.exe・mswinlogon.dllをダウンロードします
ちなみに.exeは一度実行されると削除されMicroDownload.dllも上記のファイルのダウンロードが終わると共に削除されます。
MicroExec0.exeが実行されるとプロセスとして走り続け、
system32フォルダ内にsystemlx.dllを作成しProgram Files内にexplorex.exeを作成しスタートアップに登録します。
続く......φ
|
|
|
286 :そそっかしい鑑定人 ◆LTMkVGiqTg :2006/08/08(火) 06:09:29 ID:AV4uDFTY0
MicroExec0.exeが動いたままだと定期的にMicroExec1.exe・MicroExec2.exe・MicroExec3.exeを実行するかも?(ファイルが無ければダウンロードする?)
systemlx.dllやmswinlogon.dllを削除しようとすると削除されるのを防ぐためなのかregsvr32.exeとIEが起動し、
再びMicroExec0.exe・MicroExec1.exe・MicroExec2.exe・MicroExec3.exe・mswinlogon.dllをダウンロード又は実行し上記の症状を繰り返します。
削除しても復活する等ある程度武装していないと手動での削除には手間が掛かります。
危険な上に、まだ情報が少ない様ですので注意してください。
続く......φ
systemlx.dllやmswinlogon.dllを削除しようとすると削除されるのを防ぐためなのかregsvr32.exeとIEが起動し、
再びMicroExec0.exe・MicroExec1.exe・MicroExec2.exe・MicroExec3.exe・mswinlogon.dllをダウンロード又は実行し上記の症状を繰り返します。
削除しても復活する等ある程度武装していないと手動での削除には手間が掛かります。
危険な上に、まだ情報が少ない様ですので注意してください。
続く......φ
287 :そそっかしい鑑定人 ◆LTMkVGiqTg :2006/08/08(火) 06:10:41 ID:AV4uDFTY0
以下が各ファイルの結果です。
ウイルスの種類から判断するとオンラインゲームのパスワードやアカウントを盗むサイトの様です
ちなみにMicroExec0.exeとexplorex.exeは全く同じファイルの様です。
後、「.exe」のIEのキャッシュフォルダ内での名前はmuma.exeです。
MicroDownload.dll Trojan-Downloader.Win32.Agent.ast (Kaspersky)
.exe Win32/Explorerhijack (BitDefender)
mswinlogon.dll Win32/Explorerhijack (BitDefender)
MicroExec0.exe Trojan-PSW.Win32.Gamec.ax (Kaspersky)
MicroExec1.exe Win32:Trojano-3372 [Trj] (avast!)
MicroExec2.exe Win32:Gamec-B [Trj] (avast!)
MicroExec3.exe Win32:Lineage-129 [Trj] (avast!)
systemlx.dll Trojan-PSW.Win32.Gamec.ax (Kaspersky)
explorex.exe Trojan-PSW.Win32.Gamec.ax (Kaspersky)
ウイルスの種類から判断するとオンラインゲームのパスワードやアカウントを盗むサイトの様です
ちなみにMicroExec0.exeとexplorex.exeは全く同じファイルの様です。
後、「.exe」のIEのキャッシュフォルダ内での名前はmuma.exeです。
MicroDownload.dll Trojan-Downloader.Win32.Agent.ast (Kaspersky)
.exe Win32/Explorerhijack (BitDefender)
mswinlogon.dll Win32/Explorerhijack (BitDefender)
MicroExec0.exe Trojan-PSW.Win32.Gamec.ax (Kaspersky)
MicroExec1.exe Win32:Trojano-3372 [Trj] (avast!)
MicroExec2.exe Win32:Gamec-B [Trj] (avast!)
MicroExec3.exe Win32:Lineage-129 [Trj] (avast!)
systemlx.dll Trojan-PSW.Win32.Gamec.ax (Kaspersky)
explorex.exe Trojan-PSW.Win32.Gamec.ax (Kaspersky)
288 :/名無しさん[1-30].jpg:2006/08/08(火) 08:20:58 ID:+hWKmekh0
289 :そそっかしい鑑定人 ◆LTMkVGiqTg :2006/08/08(火) 08:23:24 ID:AV4uDFTY0
290 :/名無しさん[1-30].jpg:2006/08/08(火) 09:06:36 ID:gmOWsA0nO
踏んで一撃で感染しますね
やばいですな、これ
www.1102213.com/html/css.txt(時間帯によって404?)
www.1102213.com/html/css2.txt
スクリプトっぽいものが書かれているんですが
何かの脆弱性突かれてるんですかね
exeがさくっと実行されるのもこれの仕業かな…
やばいですな、これ
www.1102213.com/html/css.txt(時間帯によって404?)
www.1102213.com/html/css2.txt
スクリプトっぽいものが書かれているんですが
何かの脆弱性突かれてるんですかね
exeがさくっと実行されるのもこれの仕業かな…
291 :そそっかしい鑑定人 ◆LTMkVGiqTg :2006/08/08(火) 10:27:40 ID:AV4uDFTY0
>>290
セキュ板のスレで話題になってたので自身でアクセスして確かめてみました。
踏んでみてこれはヤバイと思ったので解る範囲でこのスレに報告したわけですけど、すごいのはそこですよね。
exeをダウンロードさせようとするサイトってのは洋エロサイト等でたまにありますけど、
いきなりダウンローダーを実行ってのかなり凶悪です。
ウイルス駆除ソフトが対応してない場合は砂箱入れてないと阻止できないかもしれないっすね。
そのcss.txtのスクリプトが実行されダウンローダーが起動しウイルスが湧き出てしまってるようですね
ご指摘の通り未知の脆弱性突いてるって話もあるんでこれはヤバイ アヒャヒャ(゜∀。)ヒャヒャヒャ
ActiveXを悪用してるようなんで、とりあえず今できる対処方としてはActiveXコントロールへのアクセスを許可しない事くらいですかね・・・
セキュ板のスレで話題になってたので自身でアクセスして確かめてみました。
踏んでみてこれはヤバイと思ったので解る範囲でこのスレに報告したわけですけど、すごいのはそこですよね。
exeをダウンロードさせようとするサイトってのは洋エロサイト等でたまにありますけど、
いきなりダウンローダーを実行ってのかなり凶悪です。
ウイルス駆除ソフトが対応してない場合は砂箱入れてないと阻止できないかもしれないっすね。
そのcss.txtのスクリプトが実行されダウンローダーが起動しウイルスが湧き出てしまってるようですね
ご指摘の通り未知の脆弱性突いてるって話もあるんでこれはヤバイ アヒャヒャ(゜∀。)ヒャヒャヒャ
ActiveXを悪用してるようなんで、とりあえず今できる対処方としてはActiveXコントロールへのアクセスを許可しない事くらいですかね・・・
292 :/名無しさん[1-30].jpg:2006/08/08(火) 14:58:32 ID:gmOWsA0nO
これを利用しているのかな…英語読めないから違ってるかも
ttp://browserfun.blogspot.com/2006/07/mobb-22-internethhctrl-click.html
スクリプトと一致している箇所がちらほら
で、これのdemoボタン押して即座にブラウザ落ちるような環境だと
危険ですよ、と
p://metasploit.com/users/hdm/tools/browserfun/mobb_022.html
次のWindowsUpdateで直っている事に淡い期待
しかしまぁ何が 島田RagnarokOnline研究室 だよと言いたい
ttp://browserfun.blogspot.com/2006/07/mobb-22-internethhctrl-click.html
スクリプトと一致している箇所がちらほら
で、これのdemoボタン押して即座にブラウザ落ちるような環境だと
危険ですよ、と
p://metasploit.com/users/hdm/tools/browserfun/mobb_022.html
次のWindowsUpdateで直っている事に淡い期待
しかしまぁ何が 島田RagnarokOnline研究室 だよと言いたい
293 :そそっかしい鑑定人 ◆LTMkVGiqTg :2006/08/08(火) 19:11:06 ID:AV4uDFTY0
挙動は同じみたいなんで同じものっすかね。
このサイトを制限つきサイトに登録したり、
ActiveXコントロールを無効もしくは確認するように設定しておけば防げそうですね。
とりあえず依頼に一件でも回ってくれば警告はすべきかな・・・と思いますが。
しかしKasperskyはすごいですね、やっぱり。
僕もそのふざけた名前には違和感がw
このサイトを制限つきサイトに登録したり、
ActiveXコントロールを無効もしくは確認するように設定しておけば防げそうですね。
とりあえず依頼に一件でも回ってくれば警告はすべきかな・・・と思いますが。
しかしKasperskyはすごいですね、やっぱり。
僕もそのふざけた名前には違和感がw