垢ハックウィルス関連まとめ
2006/05/19(Fri)
垢ハックを受ける原因
ウィルス駆除方法(手動/ウィルス対策ソフト)
WinXp/Meのシステムの復元でウィルスに感染する前の状態にもどせるか?
PWSteal.Okaragはexeファイルを実行すると次の操作を行います。
関連LINK
■垢ハックを受ける原因
おそらくウィルスに感染しています。
#"PWSteal.Okarag"ウィルスは、Ragnarok オンラインゲーム関連の情報を盗み、
#事前に定義されていないEメールアドレスへ送信しようとするトロイの木馬です。
#ウィルス情報参考:Symantec
感染しているウィルスは亜種の可能性もあるので、これだけとは言い切れません。また、ウィルスだけではなくネットカフェ等の不特定多数が利用するパソコンにスパイウェアが仕込まれていて、個人情報が流出するケースもあるようです。
4月末頃からRO関連の掲示板に以下のような内容で書き込まれているようです。
名前:特派員専用スレ:06/05/19 14:54 ID:1l555hmw
販売価格の検索について
http://www.*****.net/test/ROHoyoo.exe(*****は削除)
名前:懐娃 :06/05/19 14:53 ID:1l555hmw
九尾狐の読み方
http://www.*****.net/test/ROHoyoo.exe(*****は削除)
名前:酒井法子 :06/04/25 22:25 ID:Tdp4VYpQ
女性の告白に対して男性が命令します
http://www.*****.net/test/ROHoyoo.exe(*****は削除)
名前: 原史奈 :06/04/25 22:17 ID:Tdp4VYpQ
妻の性態観察記録
http://www.*****.net/test/ROHoyoo.exe(*****は削除)
名前:Tia調査員:06/05/19 14:51 ID:1l555hmw
ウルド取引掲示板の告知
http://www.*****.net/test/ROHoyoo.exe(*****は削除)
剣十郎 :06/04/21 12:38 ID:j3mK1j5Q
攻城戦は専用のフィールドで行われ http://www.*****.*****.org/mail.exe
このリンクをクリックしてしまった覚えはないでしょうか?
このROHoyoo.exeファイルを実行することでウィルスに感染します。
このほかにも感染するファイルがあるかもしれません。(情報不足デス)
クリックして以下のようなウィンドウが出る場合(IE6.0以降だと思います。)は、[保存]をクリックしてPC内に保存しても、実行(DL後、アイコンをダブルクリック)しなければ感染しないはずです。[実行]をクリックした場合は、感染します。
このウィンドウは、当サイトで配布している裏メロカメラで試したものです
googleでオンラインスキャンと検索すると結構でてきます。とりあえず心配な方はこれで調べてみてもいいかもですね。
オンラインスキャン:シマンテック/トレンドマイクロ
もし、ウィルスに感染していたら駆除方法をコピーして保存し、インターネット接続を切断して、駆除完了後に再度インターネット接続するのが安全です。
■ウィルス駆除方法
ウィルス"PWSteal.Okarag"に感染していた場合の駆除方法です。
その他のウィルスの場合は、シマンテック(ウィルス辞典)やトレンドマイクロ(ウィルスデータベース)などウィルス対策ソフトを販売している会社のHPで、ウィルス情報と一緒に駆除方法が記載されているはずですので、そちらを参照ください。
大まかな流れは、
ファイル「rundll132.exe」と「rodll.dll」を削除
追加されたレジストリを削除
アトラクションIDのパスワードを変更
です。
【手動】
1)[スタートメニュー]から[検索]を選び、「rundll132.exe」と「rodll.dll」で検索します。検索で見つかった2つのファイルを削除します。WindowsフォルダやSystemフォルダ内には大事なファイルが含まれているので、間違って他のファイルを削除しないようにしてください。間違ったファイルを削除するとPCが動かなくなる可能性があります。
2)レジストリに追加された値を削除します。
(レジストリに不適切な変更を行なうと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。指定されたキーのみを修正するよう注意してください。)
・[スタートメニュー]>[ファイル名を指定して実行]
・名前に「regedit.exe」と入力し[OK]ボタンを押します。
・レジストリエディタが開きますので、
左側のエクスプローラーから
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
を選びます。
ここで、レジストリのバックアップを取ります。
[ファイル]>[エクスポート]を選び、適当な名前をつけてわかりやすい場所に保管してください。
もし、レジストリの削除を行ってからおかしくなったときは、インポートすると元の状態に戻せます。
右側に表示される[名前]で"Regro"[データ]で"C:\Windows\rundll132.exe"(WindowsをCドライブへ標準インストールの場合)の行を探します。
値があれば、名前の上で右クリックしメニューを表示させ[削除]をクリックします。
これですべて完了です。
完了したら、アトラクションセンターにログインし、アトラクションIDのパスワードを変更してください。
また、掲示板などに書き込まれているURLでexeなどが含まれているものをむやみにクリックしないほうがいいでしょう。
【ウィルス対策ソフト利用】
(以下XP/Meの場合、98/2000などは1・5を無視でいいはずです)
1)XPのシステムの復元機能を無効にします。
やり方はここを参照
2)ウィルス定義を最新にします。
3)ウィルスチェックを行います。検出されたファイルをすべて削除します。
4)レジストリに追加された値を削除します。
5)XPのシステムの復元機能を有効にします。
やり方はここを参照
完了したら、アトラクションセンターにログインし、アトラクションIDのパスワードを変更してください。
また、掲示板などに書き込まれているURLでexeなどが含まれているものをむやみにクリックしないほうがいいでしょう。
■システムの復元でウィルスに感染する前の状態にもどせるか?
戻すことはできますが、やめたほうがいいです。
ウィルスに感染していた場合は、以前の状態に戻る際に現在のポイントを作成し戻ったところまでバックアップを取り、そのバックアップの中にウィルスが含まれる可能性があります。バックアップの中にウィルスが入ってしまうと、他のソフトウェアでは開けないので削除することができなくなります。
以前の状態に戻したい場合は、ウィルスを駆除してから戻るほうが利口です。
■PWSteal.Okaragはexeファイルを実行すると次の操作を行います。
#ウィルス情報参考:Symantec
1)Windowsのインストールフォルダを参照し、rundll132.exeを作成します。
標準の場合:C:\Windows または C\Winnt
2)システムフォルダにrodll.dllを作成します。
標準の場合:
C:\Windows\System (Windows 95/98/Me)
C:\Winnt\System32 (Windows NT/2000)
C:\Windows\System32 (Windows XP)
3)レジストリに値を追加します。
"Regro" = "%Windir%\rundll132.exe"
(次のレジストリストリサブキーへ):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
これにより、Windows の起動時に必ず実行されるようにします。
4)セキュリティに関連する次のウィンドウを閉じます。
ウィンドウ名: RavMon.exe
ウィンドウクラス: RavMonClass
ウィンドウ名:不定
ウィンドウクラス: TfLockDownMain
ウィンドウ名: ZoneAlarm
ウィンドウクラス: ZAFrameWnd
5)次の中国語のセキュリティ関連のウィンドウを閉じます。
Tianwang Fanghuoqiang Gerenban
Tianwang Fanghuoqiang Qiyeban
Shijunti
6)次のセキュリティ関連のプロセスを停止します。
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
7)次の中国語のパスワード保護製品に関連するプロセスを終了します。
Mima Fangdao Zhuanjia Zongheban
8)キーボードとマウスをフックし、アクティブウィンドウを監視して次のいずれかを探します。Ragexe.exe
IEXPLORE.exe
9)Ragnarok オンラインゲームで使用されているアイテムパスワードを盗むために、標的プロセスのメモリーをスキャンします。
*注意: アイテムパスワードは、ゲーム内の swords や ツールなどの特定のアイテムに関連したものです。
10)見つかったこれらのアクティブウィンドウから、Ragnarok オンラインゲーム用のユーザー名とログインパスワードをログに記録します。
11)アイテムパスワードを収集したら、そのパスワードを E メールでリモートの攻撃者へ送信します。
■関連LINK
AFTERNOON CAFE
垢ハック品を売る中華&管理会社の無反応
RAG.D Project
TOPページに詳しく書かれています。
OWN RAGNAROK
ROユーザーを狙ったウィルスに注意!
R.O.M.776
2006/05/17 のニュース
BOTNEWS
【Baldur】中華の垢ハックによるアイテム盗難多発
中華RMT業者のアカウントハック被害多発 続報
jRO公式(すでにTOPページから消えてますが・・・)
IDやパスワードの盗難にご注意ください!
ウィルス駆除方法(手動/ウィルス対策ソフト)
WinXp/Meのシステムの復元でウィルスに感染する前の状態にもどせるか?
PWSteal.Okaragはexeファイルを実行すると次の操作を行います。
関連LINK
■垢ハックを受ける原因
おそらくウィルスに感染しています。
#"PWSteal.Okarag"ウィルスは、Ragnarok オンラインゲーム関連の情報を盗み、
#事前に定義されていないEメールアドレスへ送信しようとするトロイの木馬です。
#ウィルス情報参考:Symantec
感染しているウィルスは亜種の可能性もあるので、これだけとは言い切れません。また、ウィルスだけではなくネットカフェ等の不特定多数が利用するパソコンにスパイウェアが仕込まれていて、個人情報が流出するケースもあるようです。
4月末頃からRO関連の掲示板に以下のような内容で書き込まれているようです。
名前:特派員専用スレ:06/05/19 14:54 ID:1l555hmw
販売価格の検索について
http://www.*****.net/test/ROHoyoo.exe(*****は削除)
名前:懐娃 :06/05/19 14:53 ID:1l555hmw
九尾狐の読み方
http://www.*****.net/test/ROHoyoo.exe(*****は削除)
名前:酒井法子 :06/04/25 22:25 ID:Tdp4VYpQ
女性の告白に対して男性が命令します
http://www.*****.net/test/ROHoyoo.exe(*****は削除)
名前: 原史奈 :06/04/25 22:17 ID:Tdp4VYpQ
妻の性態観察記録
http://www.*****.net/test/ROHoyoo.exe(*****は削除)
名前:Tia調査員:06/05/19 14:51 ID:1l555hmw
ウルド取引掲示板の告知
http://www.*****.net/test/ROHoyoo.exe(*****は削除)
剣十郎 :06/04/21 12:38 ID:j3mK1j5Q
攻城戦は専用のフィールドで行われ http://www.*****.*****.org/mail.exe
このリンクをクリックしてしまった覚えはないでしょうか?
このROHoyoo.exeファイルを実行することでウィルスに感染します。
このほかにも感染するファイルがあるかもしれません。(情報不足デス)
クリックして以下のようなウィンドウが出る場合(IE6.0以降だと思います。)は、[保存]をクリックしてPC内に保存しても、実行(DL後、アイコンをダブルクリック)しなければ感染しないはずです。[実行]をクリックした場合は、感染します。
このウィンドウは、当サイトで配布している裏メロカメラで試したものです
googleでオンラインスキャンと検索すると結構でてきます。とりあえず心配な方はこれで調べてみてもいいかもですね。
オンラインスキャン:シマンテック/トレンドマイクロ
もし、ウィルスに感染していたら駆除方法をコピーして保存し、インターネット接続を切断して、駆除完了後に再度インターネット接続するのが安全です。
■ウィルス駆除方法
ウィルス"PWSteal.Okarag"に感染していた場合の駆除方法です。
その他のウィルスの場合は、シマンテック(ウィルス辞典)やトレンドマイクロ(ウィルスデータベース)などウィルス対策ソフトを販売している会社のHPで、ウィルス情報と一緒に駆除方法が記載されているはずですので、そちらを参照ください。
大まかな流れは、
ファイル「rundll132.exe」と「rodll.dll」を削除
追加されたレジストリを削除
アトラクションIDのパスワードを変更
です。
【手動】
1)[スタートメニュー]から[検索]を選び、「rundll132.exe」と「rodll.dll」で検索します。検索で見つかった2つのファイルを削除します。WindowsフォルダやSystemフォルダ内には大事なファイルが含まれているので、間違って他のファイルを削除しないようにしてください。間違ったファイルを削除するとPCが動かなくなる可能性があります。
2)レジストリに追加された値を削除します。
(レジストリに不適切な変更を行なうと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。指定されたキーのみを修正するよう注意してください。)
・[スタートメニュー]>[ファイル名を指定して実行]
・名前に「regedit.exe」と入力し[OK]ボタンを押します。
・レジストリエディタが開きますので、
左側のエクスプローラーから
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
を選びます。
ここで、レジストリのバックアップを取ります。
[ファイル]>[エクスポート]を選び、適当な名前をつけてわかりやすい場所に保管してください。
もし、レジストリの削除を行ってからおかしくなったときは、インポートすると元の状態に戻せます。
右側に表示される[名前]で"Regro"[データ]で"C:\Windows\rundll132.exe"(WindowsをCドライブへ標準インストールの場合)の行を探します。
値があれば、名前の上で右クリックしメニューを表示させ[削除]をクリックします。
これですべて完了です。
完了したら、アトラクションセンターにログインし、アトラクションIDのパスワードを変更してください。
また、掲示板などに書き込まれているURLでexeなどが含まれているものをむやみにクリックしないほうがいいでしょう。
【ウィルス対策ソフト利用】
(以下XP/Meの場合、98/2000などは1・5を無視でいいはずです)
1)XPのシステムの復元機能を無効にします。
やり方はここを参照
2)ウィルス定義を最新にします。
3)ウィルスチェックを行います。検出されたファイルをすべて削除します。
4)レジストリに追加された値を削除します。
5)XPのシステムの復元機能を有効にします。
やり方はここを参照
完了したら、アトラクションセンターにログインし、アトラクションIDのパスワードを変更してください。
また、掲示板などに書き込まれているURLでexeなどが含まれているものをむやみにクリックしないほうがいいでしょう。
■システムの復元でウィルスに感染する前の状態にもどせるか?
戻すことはできますが、やめたほうがいいです。
ウィルスに感染していた場合は、以前の状態に戻る際に現在のポイントを作成し戻ったところまでバックアップを取り、そのバックアップの中にウィルスが含まれる可能性があります。バックアップの中にウィルスが入ってしまうと、他のソフトウェアでは開けないので削除することができなくなります。
以前の状態に戻したい場合は、ウィルスを駆除してから戻るほうが利口です。
■PWSteal.Okaragはexeファイルを実行すると次の操作を行います。
#ウィルス情報参考:Symantec
1)Windowsのインストールフォルダを参照し、rundll132.exeを作成します。
標準の場合:C:\Windows または C\Winnt
2)システムフォルダにrodll.dllを作成します。
標準の場合:
C:\Windows\System (Windows 95/98/Me)
C:\Winnt\System32 (Windows NT/2000)
C:\Windows\System32 (Windows XP)
3)レジストリに値を追加します。
"Regro" = "%Windir%\rundll132.exe"
(次のレジストリストリサブキーへ):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
これにより、Windows の起動時に必ず実行されるようにします。
4)セキュリティに関連する次のウィンドウを閉じます。
ウィンドウ名: RavMon.exe
ウィンドウクラス: RavMonClass
ウィンドウ名:不定
ウィンドウクラス: TfLockDownMain
ウィンドウ名: ZoneAlarm
ウィンドウクラス: ZAFrameWnd
5)次の中国語のセキュリティ関連のウィンドウを閉じます。
Tianwang Fanghuoqiang Gerenban
Tianwang Fanghuoqiang Qiyeban
Shijunti
6)次のセキュリティ関連のプロセスを停止します。
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
7)次の中国語のパスワード保護製品に関連するプロセスを終了します。
Mima Fangdao Zhuanjia Zongheban
8)キーボードとマウスをフックし、アクティブウィンドウを監視して次のいずれかを探します。Ragexe.exe
IEXPLORE.exe
9)Ragnarok オンラインゲームで使用されているアイテムパスワードを盗むために、標的プロセスのメモリーをスキャンします。
*注意: アイテムパスワードは、ゲーム内の swords や ツールなどの特定のアイテムに関連したものです。
10)見つかったこれらのアクティブウィンドウから、Ragnarok オンラインゲーム用のユーザー名とログインパスワードをログに記録します。
11)アイテムパスワードを収集したら、そのパスワードを E メールでリモートの攻撃者へ送信します。
■関連LINK
AFTERNOON CAFE
垢ハック品を売る中華&管理会社の無反応
RAG.D Project
TOPページに詳しく書かれています。
OWN RAGNAROK
ROユーザーを狙ったウィルスに注意!
R.O.M.776
2006/05/17 のニュース
BOTNEWS
【Baldur】中華の垢ハックによるアイテム盗難多発
中華RMT業者のアカウントハック被害多発 続報
jRO公式(すでにTOPページから消えてますが・・・)
IDやパスワードの盗難にご注意ください!
