月報) 11月インターネット侵害社で動向及び分析

戻る | HOME > Game About > GA最新情報

2006/12/08 17:58

月報) 11月インターネット侵害社で動向及び分析

一番多い探知件数を見せたワームウイルスは Lineage トロイザン

11月の中で国内ワクチン変身社と KISAに申告されたワームウイルス申告件数は 773件で前月(892件)に比べて 13.3% 減少したし, 前年同月(1, 044件)に比べては 26.0% 減少した. 前月に比べて減少した理由は特定ゲーム ID/パスワードを流出する LineageHack トロイザンによる被害申告が前月に比べて減少(158 → 76件) したからであり, 前年同月に比べて減少した理由は Netsky, Mytob 変種などによる被害が前年同月に比べて減ったからだ.

一方申告になったワームウイルスなど楽聖コードを種類別で分類した結果前月と同じくワーム, トロイザン, ウイルス順序だったし, ワームの申告件数は 286件で前月と備え 10.9% 減少(321件 → 286件)したし, トロイザンは 252件で前月に比べて 26.3% 減少(342件 → 252件)した. 全体収集件数の中一番多い探知件数を見せたワームウイルスは Lineageで感染の時ゲームID/パスワードを流出するトロイザン種類であり, 楽聖機能は次のようだ.

I) トロイザンは自分の複製本を "explorer.exe" 名前でシステムフォルダに生成した後実行させる.
II) "explorer.exe" が実行されれば “システム” フォルダに ab1d.dll ファイルが追加に生成される.
- レジストリ生成
III) また Proxy サーバー設定 (Covert Proxy)のためにレジストリに値段を登録する.

一応感染になれば特定オンラインゲームプログラムである Lineage.exeに発生するイベント情報 (Key入力内容, マウスクリック情報など)が攻撃者に流出されて, 流出過程は次のようだ.

i) Lineage.exe プログラムが実行の中なら, 該当プログラム上で発生するキーボード入力, マウスクリックなどのイベントが “c:\gamead1.txt“ に保存されるようになる.
ii) 保存された情報は HTTPを通じて攻撃者が準備しておいたウェブサーバーに送信される. 送信類型は次のようだ.
http://www[省略];mailbody
※ 参照: 情報流出時 Http TCP 80 Reverse Connectionを通じて通信するのでネットワーク防火壁を迂回する.
iii) 該当のウェブサーバーに伝達した内容は攻撃者メールアドレスである で再送信ドエヌンゴッと見える.

Trojan 楽聖コードは使用者がたくさん訪問する国内サイトで特にオンラインゲーム関連サイトで多数発見されていて注意が必要だ. ウェブブラウザ弱みを利用して感染される楽聖コードはネットワーク防火壁が感染を防止してくれることができないので使用者注意と関心が要求されて, 事前予防のための方法は次のようだ.

I) 使用者は感染を予防するためにインターネット使用時必ず最近パッチを実施するようにする.
II) ウェブ管理者は管理ウェブページ内に管理者が分からない確認されないコードが存在するのか随時に点検する. またウェブサーバーがハッキング攻撃を受けないように弱みパッチ実施など保安管理に万全を期する.

終りに PCが楽聖コードに感染された場合, 次のように措置するようにする.

Step1. ウィンドウをまた始めて安全モードに起動する.(起動の時 F8を押した後安全モード選択)
Step2. Trojanがシステムフォルダに生成した explorer.exeを削除した後灰起動する.

戻る | PAGETOP | HOME > Game About > GA最新情報