星界神話<カピバラさん>

Home > ブレイドクロニクル(終了) > 変態達の爪痕 > midimapbits.dllをぐぐってみた結果・・・

 

midimapbits.dllをぐぐってみた結果・・・

ブレイドクロニクル(終了)変態達の爪痕 2014.05.29 Thu

まぁ・・・なんとなくぐぐたw
とりあえずAdobe Flash Playerは最新にしとけってやつだなw
JUGEMさんも改ざんされていた模様・・・(;´・ω・)

ぐぐた結果は↓※ぐぐった結果が今回のウィルスと完全に同一とは限りませんのでご注意を。
【マルウェアのファイル名】news1.exe

【マルウェアの感染ルート】CVE-20140515(Adobe Flash Playerの脆弱性)

【動作挙動】
要約:BITSパラメータを変調する方式を使用して、Windowsの起動時に自動的に開始となり、特定の周期ごとに特定のサイトに画像ファイルを取得する機能を実行するか、実際には上の見方をすれば 、DDoSの概念に近いと見ることができる。

>特定のサイトにja523.jpgイメージファイルの読み込みを要求する。が画像ファイルの場合は、サイト内に存在しないファイルであり、追加のマルウェアをダウンロードいうよりは、単純な、DDoS攻撃のようである。 対象サイトは、1分間隔で変更が行われ、周期ごとに繰り返す。
> ESET、TrendMicro、Naver Vaccine、ALYac、V3 365 Clinic、V3 Liteなどを対象にして、ワクチンの削除を試みる。
> 特定のアダルトサイトに感染したコンピュータのマックアドレス、OSバージョン、Internet Explorerのバージョンを送信することが検証されます。 しかし、実際の接続は行われません。

【削除するべきファイルとレジストリ】
C:\ Windows \ System32 \ midimapbits.dll
C:\ a.dat

HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ services \ BITS
「WOW64」= dword:00000001
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ BITS
「WOW64」= dword:00000001

【変更するべきレジストリ】
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ services \ BITS
"Start" = dword:00000002→「Start "= dword:00000003
"Type" = dword:00000110→「Type "= dword:00000020

HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ services \ BITS \ Parameters
"ServiceDll" = C:\ Windows \ system32 \ midimapbits.dll→%SystemRoot%\ System32 \ qmgr.dll

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ BITS
"Start" = dword:00000002→「Start "= dword:00000003
"Type" = dword:00000110→「Type "= dword:00000020

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ BITS \ Parameters
"ServiceDll" = C:\ Windows \ system32 \ midimapbits.dll→%SystemRoot%\ System32 \ qmgr.dll

おいぃ・・・(;´・ω・)<公式のレジストリのチェック箇所足らないやんw
※感染していないので確認取れてません。近日中にフレんところでチェックしてきます。
う~ん・・・BC公式にexeの名前変えて仕込まれた感じなんだろうか?
 
 

Comments

name
comment
comment form
(編集・削除用) :
管理者にだけ表示を許可