2009年6月14日日曜日

sonb32drv.dllってウィルスに感染してた

/(^o^)\ナンテコッタイ
つーことで対処法
とりあえずC:\WINDOWS\system32\sonb32drv.dllを削除
つーかこの話って2008年の6月くらいの話です・・・
どんだけウィルススキャンさぼってたんだ(;・∀・)


↓はググって分かったこと
・感染経路は?
どうもXREAの広告らしい
感染はFlash Playerの脆弱性により行われる
バージョンが9.0.124より古いと危ないとのこと
http://d.hatena.ne.jp/soundwing/20080614

・ウィルスの活動は?
IEの場合
C:\Documents and Settings\ユーザー名\Local Settings\Temporary Internet Files\
あたりにtaa.gifを作成後orz.exeという実行ファイルに展開されるそうです
場所は%Temp%\orz.exeかな?
http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2008-052714-3021-99&tabid=2
→対処方はtaa.gif、orz.exeを消す

sonb32drv.dllを作成されます
→対処方はsonb32drv.dllを消す

C:\WINDOWS\system32\drivers\etc\hostsを削除されます
→対処方はhosts.msnをコピーしhostsにリネームする
まあhostsファイルはデフォルトでlocalhostしか書いてないので以下の内容のファイルでもok
127.0.0.1 localhost


以下のレジストリを追加されます
HKEY_CLASSES_ROOT\CLSID\{F60A0B68-AF3A-C1D2-CD09-5A81AE36D2BA}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{F60A0B68-AF3A-C1D2-CD09-5A81AE36D2BA}
→対処方は上記のレジストリを削除
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_GAMETHIEF.M&VSect=Sn

・被害は?
このプログラムはキーロガーのようです
プレイオンライン、mixi、Windowsメッセンジャーなどのアカウントハック
に遇うかもしれません・・・・


・その他の情報
カスペでは
Trojan-PSW.Win32.Nilage.djl
という名前らしい

Flashのバージョンを上げると勝手に削除してくれるぽい
sonb32drv.dllを削除してくれる場合があるらしい
http://qanda.rakuten.ne.jp/qa4097191.html
その所為なのか自分の環境には↓のレジストリが既に無かった
HKEY_CLASSES_ROOT\CLSID\{F60A0B68-AF3A-C1D2-CD09-5A81AE36D2BA}
↓はあった(汗
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{F60A0B68-AF3A-C1D2-CD09-5A81AE36D2BA}

まあ直接は関係ないけど
レジストリの掃除にクリーンアップセンターを使うとかね
(上記のレジストリは削除できませんでしたw)
http://onecare.live.com/site/ja-jp/center/cleanup.htm

0 件のコメント: