>w<


by hakubaiumeume

コワイデスネェ

えーと"RAG.D Projectさんに以下のようなことが載ってました


■htmlページを開いただけで感染するウイルスが出現しています。
http://bibi***.h20.1stxy.cn/ro/image.htm(一部伏せ字)
上記アドレスをクリックすると、一瞬ポップアップウィンドウが表示された後、ブラウザには何も表示されていない空白ページが表示されます。

空白ページの他に「ヘルプ」という画面が一瞬だけ表示され、すぐに消えます。

このアドレスをクリックすると、ローカル ディスク(C:)に

「bootconf.exe」「boot.hta」のファイルが作られます。

そして従来のウイルスと同様に、
C:\WINDOWS(Windows2000ではC:\WINNT)に

「rundll132.exe」を、
C:\WINDOWS\system32(Windows2000ではC:\WINNT\system32)に

「rodll.dll」をコピーします。
また、レジストリに以下を書き加えます。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"rro"="C:\\WINNT\\rundll132.exe"(Windows2000の場合)

今後も亜種が出現する可能性がありますので、とにかく不審なアドレスはクリックしないでください。もし不審なページをクリックしてしまった場合、ウイルスの感染を疑ってください。
もし感染が確認されたら、駆除を行うまでラグナロクオンラインに一切ログインしないでください。
駆除に関しては、PCの知識があまりなく不安な方は自分でなんとかしようとせずに詳しい方に聞いて下さい。
あとガンホーは早く何か手を打ってください。

■補足情報
以下のブラウザで感染実験を行いました。
Internet Explorer 5.00.3700.1000
Internet Explorer 6.0.2800.1106
Mozilla Firefox 1.5.0.4
Netscape 7.1
Opera 8.54

結果、Internet Explore使用時のみ感染を確認しました。


  
ここから対策っぽいこと




このhtmlを表示することで感染するウイルスは、Internet Explore以外のブラウザを使用するか、Intenet ExploreでActiveXの機能を無効にすることで回避できるようです。

Internet ExploreのActiveXの機能を無効にするには以下の手順を行ってください。


Internet Exploreのメニューバーにある「ツール」から「インターネットオプション」を選択します。


「セキュリティ」タブから「インターネット」アイコンを選択し、「レベルのカスタマイズ」を
選択します。


「ActiveXコントロールとプラグイン」「ActiveXコントロールとプラグインの実行」を「無効にする」に変更し、「OK」をクリックします。

ActiveXを無効にすると、様々なWEBサービスに支障が出る場合があります。

ROやってる人は不便になるかもだけどActive止めておいたほうがいいのかな?
[PR]
by hakubaiumeume | 2006-06-08 12:40 | 徒然生活