今日プロ街中でアカウントハックに遭ってしまった人と遭遇しました。
罠を踏んでしまっていたようでしたTT
というわけで、10/5に書いた文章ですが、上げておきます。
↓感染経路は現在のほうが若干凝っていますが
駆除法としてはうちよりも詳しいです。
http://roape.blog64.fc2.com/blog-entry-81.html
うちのコメントにも罠書き込みがあったのですが、知り合いのところにもチラホラ見受けられる様子。
わざわざ怪しいモノを踏む人はいないだろうけど、私のように、サイト管理してる都合上、ギルドの宣伝にかこついてたりすると、一応見に行かざるを得ない場合もあったりとか。
で、今回の罠のおおよそ仕組みですが、以下のような感じだと思います。
ダミーURLは一応何も無いページが表示される。
ソースを見ているとデタラメな画像が一枚貼ってあり、見えてないけれど実はiframeが入っている。
iframe内のソースはVBスクリプトで、ActivXを使って自動的にexeをダウンロードさせる
(↑のVBスクリプトは、一目で解読されないようになのか、わざわざURLエンコードされている。
ヘンな念の入りように思わず苦笑した)
だからなんもないページを見てしまっただけで、おそらくはアウト。
おそらく正体はコレ↓
http://www.symantec.com/region/jp/avcenter/venc/data/jp-pwsteal.okarag.html
ROのパスワードを抜くトロイらしいですね。
対処法としては
rundll132.exe と rodll.dll をファイル名検索します。
(今回は上記exeだったようですが、Internet.exe、Gravity.exe、yahoo.exe 、windos.exeなど、バリエーションもあるようです)
もし見つかってしまったら...2PCある人で安全なマシンが手元にある人は、即刻パスワードの変更をしましょう。感染してるマシンで変更するのは危険ですから駆除後に。
(ただし、その2PCがLANで繋がっている場合は両方が感染してしまう可能性もあります。パスワード変更は慎重に行いましょう)
安全な他PCが無い人で、罠踏んでからROを起動していなければ、おそらくまだパスワードがバレていませんのでログインしないようにしましょう。
罠踏んでからログインしちゃったよぉ!と言う人は、とりあえずクライアントを起動し続けておいたらどうかと思います。
(ダメって場合は誰かツッコミください。)
もし他人が自分のIDでログインすればわかりますし、ハックされてログインされたとしても、アイテムを奪う為に倉庫から物を出したり、ハック主の商人キャラなどにアイテム移動する時間は案外かかるはずです。
rundll132.exeが見つかってしまった場合、おそらくプロセスが走っていますから、タスクマネージャーのプロセスを見てプロセス終了させます。
終了させると消すことができるようになります。
一旦再起動をさせて、今度は rodll.dll の方を消去します。
レジストリも rundll132 で検索をして、みつかったら削除しておきましょう。
(レジストリの消し方は...説明すると長くなるので他サイトを当たってください。
rundll132でググってもけっこう駆除方法が見つかるはず)
消したらゴミ箱の中もキレイサッパリ削除して再度再起動します。
1PCしかない人はここでパスワードを変更しておきましょう。
一応コレで駆除はできると思うのですが...
今度から罠っぽいのは確かめに行かずに消しちゃおうかなーと思う今日この頃...
おひさしぶりカキカキ〆(・ω・`)
トロイ出回っているようですね
うちも一回何もない頁を踏んだ覚えがあったので
まさかと思い検索したり調べたりしましたが
どうやらかかっていないようで一安心しました
密かに今朝Odinにノビで降臨してみましたが
まー改めて今更だなと思い
そのままアンインストールさせて頂きました
iROの方がやっぱり性に合っているようです
ではまた広大なネットのどこかで会う日まで