heimdal鯖&ポンタ鯖で活動中の殴りプリごるふぁ~の日々


by priest_ro
カレンダー
S M T W T F S
1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30

トロイウィルスに注意です

みーゆです。

最近ROのサイトにある掲示板等に、トロイの木馬型ウィルスである
「ROHoyoo.exe」がリンクされていることがあるので注意です。

このウィルスが入ると、どこか(多分中国の犯罪者?)へIDとパスが
流出するようなので特に注意です。

あと、現在の所ウィルスバスターでも感染は確認できないようなので、
該当のウィルスが稼動していないか、タスクマネージャ等で確認をです。

※確認方法
(Windows2000/XPの場合)
1.Ctrl+Alt+Delキーを押します。
2.「ログイン情報」という画面が表示されるので、その中にある
「タスクマネージャ」を選択します。
3.タスクマネージャ内の「プロセス」を押します。
「イメージ名」という項目に「ROHoyoo.exe」が無いことを確認します。

4.万一ある場合は、該当の項目をクリックして、「プロセスの終了」を押して
とめます。

5.「ROHoyoo.exe」があった場合、すぐにアトラクションのパスワードを
変更します。

6.プロセスが無ければ、とりあえず感染はしていないと思います。

※ネットワーク未接続のPCにWindowsを入れなおし、上記ウィルスを
実行させて確認したところ、一度目の感染は「ROHoyoo.exe」ですが、
初回実行時に「c:\Windows(標準環境の場合)」に「rundll132.exe」
というファイルをコピーします。
2度目以降はWindows起動時にこのファイルを自動実行するように
設定されるようです。

解除方法としては以下のとおりです。
1) 上記3.及び4.を実行して該当プロセスを消した後、Windows
左下の「スタート」から、「ファイル名を指定して実行」を選択し、「regedit」
と入力し「OK」を押します。

2) フォルダのようなものが表示されるので、下記の場所まで行きます。
「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run」

3) 「rro = C:\Windows\rundll132.exe」というものがありますので、
表示されている、欄をクリックし、右クリックで「削除」を選択します。

4) RO関係のパスワードを全て更新します。

あと、パスワードは通常時から、面倒でも長めが吉です。
IDは盗聴できるツールがあるらしいので、短いと総当りで突破される可能性が
出てきます…
パスワードは最低8桁以上が推奨されています。
(1桁増えるだけで総当り型のパスワード検索は異常に長い時間が必要に
なります。)
※パスワードのパターン=アルファベットの大文字+小文字+数字
=26+26+10の62パターン。
実際はべき乗文字数なので、パスワードの合計パターンは
62^文字数になるので、多い方が有利です。
(ただし1111111111などのパターン配列は見破られやすいので
注意です。)

以上です。
皆さんも気をつけてですー

※参考URL
http://yaplog.jp/ppea/archive/168
[PR]
by priest_ro | 2006-05-14 05:40