河原崎家の一族統一スレッドPart6 【マルウェア注意
3 :名無しさん@ピンキー:
http://qiufen.bbspink.com/test/read.cgi/hgame2/1190140917/672
672 名前:名無しさん@ピンキー[sage] 投稿日:2009/05/01(金) 16:40:05 ID:FzdH6jca0
****************************************
(参考)system32フォルダに作成されるファイル
CryDll.dll
Dependency.dll
GDISpy.sys ←何やらファイル名に“Spy”という文字が含まれていたりしますw
GDISpyB.sys ←何やらファイル名に“Spy”という文字が含まれていたりしますw
PolicyMng.dll
Quotation.dll
RDUtil.dll
TCWFooter.dll
TptBmlib.dll
Tptlib.dll
TsBService.exe
TsMng.exe
WMlogo.bmp
TerutenAuthData.dat
****************************************
上記のような挙動や正体の分からない大量のファイル群がシステム中枢にユーザーに無断で作成されてしまいますw
672 名前:名無しさん@ピンキー[sage] 投稿日:2009/05/01(金) 16:40:05 ID:FzdH6jca0
****************************************
(参考)system32フォルダに作成されるファイル
CryDll.dll
Dependency.dll
GDISpy.sys ←何やらファイル名に“Spy”という文字が含まれていたりしますw
GDISpyB.sys ←何やらファイル名に“Spy”という文字が含まれていたりしますw
PolicyMng.dll
Quotation.dll
RDUtil.dll
TCWFooter.dll
TptBmlib.dll
Tptlib.dll
TsBService.exe
TsMng.exe
WMlogo.bmp
TerutenAuthData.dat
****************************************
上記のような挙動や正体の分からない大量のファイル群がシステム中枢にユーザーに無断で作成されてしまいますw
|
|
|
4 :名無しさん@ピンキー:2009/05/05(火) 00:06:56 ID:YAshV+8z0
マルウェア 【malware】
読み方 : マルウェア
分野 : セキュリティ > ウイルス/ワーム > マルウェア
コンピュータ
コンピュータウイルス、ワーム、スパイウェアなどの「悪意のこもった」ソフトウェアのこと。
「mal-」という接頭辞には「悪の」という意味があり、これとソフトウェアを組み合わせた造語である。
遠隔地のコンピュータに侵入したり攻撃したりするソフトウェアや、
コンピュータウイルスのようにコンピュータに侵入して他のコンピュータへの感染活動や破壊活動を行なったり、
情報を外部に漏洩させたりする有害なソフトウェアのことを言う
読み方 : マルウェア
分野 : セキュリティ > ウイルス/ワーム > マルウェア
コンピュータ
コンピュータウイルス、ワーム、スパイウェアなどの「悪意のこもった」ソフトウェアのこと。
「mal-」という接頭辞には「悪の」という意味があり、これとソフトウェアを組み合わせた造語である。
遠隔地のコンピュータに侵入したり攻撃したりするソフトウェアや、
コンピュータウイルスのようにコンピュータに侵入して他のコンピュータへの感染活動や破壊活動を行なったり、
情報を外部に漏洩させたりする有害なソフトウェアのことを言う
5 :名無しさん@ピンキー:2009/05/05(火) 00:24:13 ID:bNMxIx4r0
705 名前:名無しさん@ピンキー[sage] 投稿日:2009/05/01(金) 17:40:15 ID:Ph+aiJAA0
>>672(>>3)にある「GDISpy.sys」が↓のサイトのマルウェアリストに掲載されてるな
ttp://www.prevx.com/filenamedays/012420084.html
>>672(>>3)にある「GDISpy.sys」が↓のサイトのマルウェアリストに掲載されてるな
ttp://www.prevx.com/filenamedays/012420084.html
6 :名無しさん@ピンキー:2009/05/05(火) 00:24:31 ID:bNMxIx4r0
[353] puyR :名無し :2009/05/02 10:14:21 [レ] [引] [あ] []
少し脱線しますが、噂の河原崎の件。
ちょっと解析してみましたが、こりゃ単なるバグです。
おそらくTerutenWebのContentWallの説明にある「仮想ディスク」とぶつかるのか、
1. sptd.sys → ~sptd.sys にリネーム
2. ゲーム起動
3. ゲーム終了
4. sptd.sysを削除
5. ~sptd.sys → sptd.sys にリネーム
という流れで、起動中のみsptd.sysの存在を殺そうとしているんですが、
1と5のリネーム処理でパス(system32\drivers)を付け忘れていて処理が無効になっています。
4の削除処理ではパスをちゃんと付けているので、要は削除だけが有効になっているというオチでした。
そもそも4の処理って必要なのかどうかも疑問ですが。
少し脱線しますが、噂の河原崎の件。
ちょっと解析してみましたが、こりゃ単なるバグです。
おそらくTerutenWebのContentWallの説明にある「仮想ディスク」とぶつかるのか、
1. sptd.sys → ~sptd.sys にリネーム
2. ゲーム起動
3. ゲーム終了
4. sptd.sysを削除
5. ~sptd.sys → sptd.sys にリネーム
という流れで、起動中のみsptd.sysの存在を殺そうとしているんですが、
1と5のリネーム処理でパス(system32\drivers)を付け忘れていて処理が無効になっています。
4の削除処理ではパスをちゃんと付けているので、要は削除だけが有効になっているというオチでした。
そもそも4の処理って必要なのかどうかも疑問ですが。
7 :名無しさん@ピンキー:2009/05/05(火) 00:25:11 ID:bNMxIx4r0
[354] hW5E :名無し :2009/05/02 14:37:10 [レ] [引] [あ] []
>>puyRに追記です
>1の前に「~sptd.sysが存在する場合削除」という処理も入っていました。(パス指定は正常)
>つまり、「リネーム先を削除&リネーム」をまとめて「リネーム処理」として行っていることになります。
>これならまあロジックとして理解できないこともありません。(バグってるのは致命的ですが)
>それからsystem32フォルダ内に出来るファイルについては、
>まず認証をクラックしてスキップした場合、使われるファイルは
>CryDll.dll(実行ファイルの復号)、Dependency.dll(実行ファイルに必要なDLLを抽出、読み込み) の2つのみで、
>これらには特に余計な処理は見当たりません。
>さらに認証時に使われるのは Quotation.dll、PolicyMng.dllの2つで、
>これらは実際に認証しないと細かいことはわかりませんが、とりあえずざっと見て分かる範囲では認証処理以外に、
>PolicyMng.dll/
>TerutenAuthData.datの作成 (隠し属性、system32フォルダ内かC:\Users\Public\Teruten\)
>Quotation.dll/
>HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\MaxConnectionsPer1_0Server , MaxConnectionsPerServer を(勝手に)256に変更
>HKCU\Software\Teruten、HKLM\Software\Teruten の作成
>を行っています。
>残りのファイル群はざっと見たところではおそらく使われていません。
>>puyRに追記です
>1の前に「~sptd.sysが存在する場合削除」という処理も入っていました。(パス指定は正常)
>つまり、「リネーム先を削除&リネーム」をまとめて「リネーム処理」として行っていることになります。
>これならまあロジックとして理解できないこともありません。(バグってるのは致命的ですが)
>それからsystem32フォルダ内に出来るファイルについては、
>まず認証をクラックしてスキップした場合、使われるファイルは
>CryDll.dll(実行ファイルの復号)、Dependency.dll(実行ファイルに必要なDLLを抽出、読み込み) の2つのみで、
>これらには特に余計な処理は見当たりません。
>さらに認証時に使われるのは Quotation.dll、PolicyMng.dllの2つで、
>これらは実際に認証しないと細かいことはわかりませんが、とりあえずざっと見て分かる範囲では認証処理以外に、
>PolicyMng.dll/
>TerutenAuthData.datの作成 (隠し属性、system32フォルダ内かC:\Users\Public\Teruten\)
>Quotation.dll/
>HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\MaxConnectionsPer1_0Server , MaxConnectionsPerServer を(勝手に)256に変更
>HKCU\Software\Teruten、HKLM\Software\Teruten の作成
>を行っています。
>残りのファイル群はざっと見たところではおそらく使われていません。