【注意】POLアカウント情報を盗むスパイウェア【注意】

　PlayOnLineのID、パスワード等を収集するスパイウェアが発見されました。
このスパイウェアは

「花の雫FF11情報局」というサイトにアクセスする事により感染します。

このサイト、Yahoo!JapanやMSN等のWebサーチコンテンツを使用すると表示される広告に登録されている様で、信頼出来るサイトと思い込み易いので非常に悪質。
コンテンツも各所の転載が多い模様。
また、ドメイン情報より、中国人が経営しているとの推測も。

感染が心配な人は、下記ソフトウェアを使いスパイウェアのチェックを行った後、
POLのパスワードを変更して下さい。

AntiVir
Avast!

※パスワードの変更は、「サービス＆サポート」内の会員情報より、「プレイオンラインID」を選択する事により可能です。

■感染するスパイウェアについて
サイトURL/ff11help/money.htmにはWindowsのHTML HELPの脆弱性（MS05-026あたりかな）
を突くスクリプトが仕込まれている。
これによってicyfox.chmという変造HTMLヘルプが実行されて、
サイトURL/ff11help/svchost.exeがダウンロード、実行される。
これがパスワードを抜くトロイ本体。
Norton AntiVirus 2005は無反応だったけど、
UPXによる圧縮を解いてバイナリファイルをのぞいたら怪しげな文字列がたくさん見つかった。

■スパイウェアに見つかった怪しげな文字列
・usr\all\login_w.bin
→ C:\Program Files\PlayOnline\SQUARE\PlayOnlineViewer\usr\all\login_w.bin
というファイルあり。
PlayOnlineのパスワード保存用？もしくはこのファイルにキーロガー仕込まれる？

・pol.exe

・c:\gameff11.txt
→ 感染するとこのファイルが生成される？

■各社ウィルス対策ソフトウェアでの対応状況
Norton AntiVirus 2005: 検出不可
Norton Internet Security 2005: 検出不可
ウイルスバスター: 検出不可
Avast!: 「Win32:Mhtplo-31」として検出
AntiVir: 「TR/Copiet.B.1」として検出。

■駆除出来るソフトウェア
AntiVir
Avast!

■ウィルスバスターでの駆除方法
1.メイン画面を起動し、左の縦に並んだメニューの「パーソナルファイアウォール」をクリック
2.右の「パーソナルファイアウォール設定」をクリック
3.「パーソナルファイアウォオールを有効にする」にチェックが入っている事を確認
4.「プロファイルの編集」枠のプロファイル名に丸印が付いている列をクリック
5.鉛筆マークの編集アイコンをクリック
6.「プロファイルの設定」画面が開くので、「除外リスト」タブのプラスマークの「追加」ボタンをクリック
7.「除外リストの追加/編集」画面が開くので以下を設定
　・説明　「ＦＦ罠サイト」に変更
　・対象　すべてのアプリケーション
　・接続　受信
　・アクセス処理　拒否
　・プロトコル　すべて
　・ポート　すべてのポート
　・種類　ＩＰアドレス
　・ホスト名　空白
　・ＩＰアドレス　211 　100 　26 　182
9.ＯＫをクリック。同様に送信も拒否（7の設定内容で「接続」を「送信」で）

※この記事は、下記のURLより一部転載させて頂きました。
http://live19.2ch.net/test/read.cgi/ogame/1129895797/

投稿者 Beatnic : 2005年10月22日 12:31 | トラックバック
ぽちっとな( ･∀･)つ〃∩ ﾍｪｰﾍｪｰﾍｪｰ(720)