紛らわしいねぇ。

パスワードがちがうって言われてログインできない。やられた。
ってメールもらったときは凍りついた。ちょうどメリポ出発するところだったし。


まずはキャラサーチ・・・いない。
じゃあアカ停止を頼めないもんかとGMコール・・・120件待ち。おいおい。
PTMにはいちおーの事情を説明して、狩りの最中にGM対応しないとかもしれないすまぬと。


ちょっと長いけどがんばって読んで対策してね。

アトルガンエリア全滅っぽかったこともあって墓メリポ。
忍で誘われといて「モンクあります＾＾」とかぬかしたせいなんだけどね＾＾

んでほねっこぶん殴ってるだけでやたらタゲが来る中、メールしつつ蝉張りつつWS撃ちつつメールの内容をLS会話で実況とか忙しい＾＾
戦２いてモ/忍のオレが総ダメ・タゲ率ともに44.9%とか墓メリポはじまったな！


120件ってことは相当待たされるだろうなとそのままメリポに行ったのがよかったみたいで、ちょうど狩りが終わってホラもらったところでGMからの返答が来た。







紛らわしい不具合出すんじゃねーよ。



いちおーオレも警戒しとこうとアカハックスレ覗いてみたら、また新手の困った手口が出てきてるらしい。IP弾いたばっかだろ・・・。



windowsupdateの脆弱性がなんとかでどういうわけかPOLに接続する瞬間のID・パスのやりとりを持ってかれるらしい。
やられてないか調べる方法は、


 

23 既にその名前は使われています New! 2008/07/19(土) 01:15:42 ID:gaL67f7y

【POLでの対策叩き台】でアクチブコネクションリストが無い人向け。
ただしタイミングによって見落としの可能性があるため非推奨。面倒だしｗ

０．PC再起動。
１．POLの自動ログイン及びパス保存は解除しておく。
２．スタート＞アクセサリ＞コマンドプロンプト起動。
３．POL起動（まだ接続しない
４．コマンドプロンプトで netstat -b コマンド投入。
Proto　Local　Address　　　FreignAddress State　PIDの下ににズラズラーっと現在接続しているアプリケーションとIP、Portなどの情報がでるのでPOL.exeがないことを確認。
５．POLでデタラメアカウント情報で接続、ユーザ名CAONIMA5 Pass 4649などでも。
６．ピロピロいってる最中にカカっとコマンドプロンプトにマッハ。netstat -b投入。
そうすると今度はPOL.exeの接続先が出てきているはず。というか感染していると接続後異常終了する可能性が高い？
７．その接続先が【ファイアーウォールの設定＆アプリケーションルールでpol.exeの設定】にあるリモートIPのどれかであれば、POLが変なところにID/PASSは送信していないと思われる。それ以外のところに繋がっていたら危ないヤカン。パス変更マッハ。
８．POLが変なところに接続してないようなら、再度正規のID/PASSつっこんでログイン。

-　-　-　-　-　-　-　-　-　-　-　-　-　-　-　-　-　-　-　-　-

＜７番のリモートIPは以下の範囲内ならおｋ＞

-　-　-　-　-　-　-　-　-　-　-　-　-　-　-　-　-　-　-　-　-

20 既にその名前は使われています New! 2008/07/19(土) 01:14:46 ID:gaL67f7y

ファイアーウォールの設定　アプリケーションルールでpol.exeの設定
許可しているリモートIPの範囲
61.195.48.0～61.195.55.255（61.195.48.0/21）
61.195.56.0～61.195.59.255（61.195.56.0/22）
61.195.60.0～61.195.63.255（61.195.60.0/22）
202.67.48.0～202.67.63.255（202.67.48.0/20）
219.117.144.0～219.117.159.255（219.117.144.0/20）
※FWによっては（）内のIPアドレス範囲を指定できるようですので その場合（）内の数値を使用すると設定が簡単です。
※ネームサーバの指定が可能な場合は、下記を使用してください
dns1.playonline.com
dns2.playonline.com

空けているローカルポート TCP1024-65535　UDP50000-65535
空けているリモートポート TCP25,80,110,443 ,50000-65535　UDP50000-65535
※契約プロバイダによってはローカルポート UDP53番が必要になるようです。

＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊
オレ追記
「プレイオンラインIDまたはパスワードがちがいます」
って表示されてるときに　netstat -b を入力すれば確認できます。

ここでセフセフと過信せずにつぎはレジストリを書き換えられてないか確認を。方法は以下に。

＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊
 

27 既にその名前は使われています sage New! 2008/07/19(土) 01:30:34 ID:gaL67f7y

■「wzcsvbxm.dll」がPCに存在するか調べる方法(1)
Explorerで検索する場合は「ツール→フォルダオプション→表示タブ」で「ファイルとフォルダの表示」が
「すべてのファイルとフォルダを表示する」の選択されていることと「保護されたオペレーティングシステム
ファイルを表示しない（推奨）」のチェックを外してあることを確認。
マイコンピュータ上で「右クリック→検索→ファイルとフォルダすべて→詳細設定オプション」で
「システムフォルダの検索」「隠しファイルとフォルダの検索」「サブフォルダの検索」にチェックを入れて
検索してください。

■「wzcsvbxm.dll」がPCに存在するか調べる方法(2)
コマンドプロンプト(スタート→プログラム→アクセサリにあります)から
attrib %SystemRoot%\system32\wzcsvbxm.dll /s -s -h -r　←をコピペしてenter
存在しない場合 = 「ファイルが見つかりません-○:\WINDOWS\system32\wzcsvbxm.dll」
存在する場合 = 「SHR ○:\WINDOWS\system32\wzcsvbxm.dll」などと表示される(○はドライブ名)

■「wzcsvbxm.dll」の検索結果について
１：wzcsvbxm.dllが「%SystemRoot%\system32」のディレクトリに見つからなければ、wzcsvbxm.dllに関しては
感染していません(%SystemRoot%はシステムがいるHDD上のディレクトリ表示。たとえばC:\WINDOWS)
２：wzcsvbxm.dllが「HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\」などに見つかった
場合、それは検索した履歴を保存しているだけなので放置して大丈夫です(HKEYと付くのはレジストリ)

28 既にその名前は使われています sage New! 2008/07/19(土) 01:31:43 ID:gaL67f7y

■レジストリからwzcsvbxm.dllを探す方法
スタート→ファイル名を指定して実行→regedit
HKEY_LOCAL_MACHINE\SYSTEM\ControlSetxxx（xxxは数字）\Services\wuauserv\Parametersと
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parametersの中の
「ServiceDll」→「REG_EXPAND_SZ(種類)」の「データ」を確認

C:\WINDOWS\system32\wuauserv.dllならそのままクローズ(この件の感染はしていない)
C:\WINDOWS\system32\wzcsvbxm.dllなど上記以外のファイルが登録されていた場合、感染している可能性が極めて大。
まず安全な環境でパスを変更しwzcsvbxm.dllをwuauserv.dllに書き換えられるなら書き換える等の対策をする。
ただし、すぐに戻ってしまう報告もあるため修正後要確認。
本体(生成元)および感染ルートは現状不明なため、上記の修正をしたとしても完全に駆除されているか分かりませんので
感染が確認された場合は『クリーンインストール推奨』

29 wzcsvbxm.dll関連まとめ New! 2008/07/19(土) 01:33:08 ID:gaL67f7y

■wuauserv.dllがwzcsvbxm.dllに改ざんされていた件(現状まとめ)
【レジストリ】
WindowsUpdateで使用するAutomaticUpdatesサービスのエントリを改竄する。
・キー位置
HKEY_LOCAL_MACHINE\SYSTEM\ControlSetxxx (xxxは数字) \Services\wuauserv\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters
・感染時エントリ(値)
%SystemRoot%\system32\wzcsvbxm.dll(未感染Windowsでは%SystemRoot%\system32\wuauserv.dll)
wzcsvbxm.dllはAutomaticUpdatesサービスとしてOS起動時に常駐すると考えられる。
エントリを書き換えた場合、常駐しているwzcsvbxm.dllが再度書き戻しにくるようだ。
【POL】
wzcsvbxm.dllはAutomaticUpdatesサービスとして常駐しているwzcsvbxm.dllはsvchost(wuauser)として
POLのプロセスに介入すると考えられる。
svchost(wuauser)の介入がなされた時点でPOLの接続先が□e鯖から業者鯖に変更または追加されているようだ。
POLのプロセスを使用して業者鯖にID/PASSを送信する。送信後POL異常終了？(異常終了しないケースもあるため
後期Verでは落ちない可能性も)
そのため、FireWallなどでPOLの接続ルールをアプリケーション単位で許可している場合は検知は難しい。
現時点で確認されている送信先(置き換えではなく●を単純に削る)
・wowint●erfcae.com 204.13.6●4.0 - 204.13.71.255
・googlesy●dition.com 74.86.1●85.101

wzcsvbxm.dllが出てこなければいまんとこセフセフという認識でたぶんおｋ。
一度対策して安心してたらやられた＞＜って人もいるようなので、ある程度の期間ごとになにか新しい困ったことが発生してないか各自自衛するしかないね。
「めんどくせぇ。もういいは」と対策させないのが狙いみたいらしい。
またなにか新しいの見つけたらここで報告していこうとおもった。またね。