2016年01月15日

【感染】あの凶悪ポップが再び。犯人はK-LiteCodecが臭い

記稿.2016/01/15

> 残念なことに、またあの凶悪なGWXなりすましに感染しちまいました。


 でも今回の場合、K-LiteCodecのアップデートをONにして
 送信許可を与えると感染した臭いのに辿り着きました。

 つまり

 コーデック自体は問題ないだろうものの、その人気に目を付けた何者かが
 起動ファイルの類いにトロイの木馬を仕掛けてあるっぽい。
 もはや、mpcプレイヤーは、こわくて使えまてん。(めんどくせぇ)


> とりあえず、何とかならないかと


 ウイルスセキュリティZEROのスキャン項目を色々と見てみたところ
 標準のスキャン項目のクリックが、最小の設定になっていた。最悪だ!
 ‥ちゃんと全項目をクリックしてからスキャンしてみた所、3つ程感染を拾い出しました。

 それにしても、送信許可ファイルの残しのゴミ許可が多くて
 登録不明定義のファイルが多すぎる。
 ‥これらって、どう考えても、バックドアとして使われてそうだよな。
 ‥複数重複もちらほら見られるし、なんだこりゃ。(手動で全部消したっす)


> 兎に角、送信許可でそれなりに感染の抑制ができるのなら
> ‥そういう類いの許可ゴミの掃除機能を付けてもらいたいものである。


 ※ 正規ファイルを落とすのに、インストール専用ファイルに許可を与えることになる。
 その時の許可情報がゴミになる。つまり、その名前をしおらしく用いれば穴になる。

 ご丁寧にも、暗号化インストール専門ファイルの多くが
 内部解凍してテンポファイルからやり取りするせいか、テンポファイルの名前で送受信している。

 だから余計に分かりづらい。当然それらは暗号化の秘匿保持から正式名なんか付いてない。
 中には、一般のそれらしい名前のもある。
 だから、余計に混乱することになる。(見た目で正規のままだと思い込む)

 送信認可をインストールファイルの方から、作業完了時に
 通信認可を取り下げて欲しいなんて対策保護ツール側に応答する仕組みも無いから、そのままになる。

 それらのゴミを解析して読み取れば、それになりすまして知らずに送信可能状態に持ち込める。
 ‥ただし、常時駐屯するようなアプリとリンクさせないと機能しない。


> とりあえず様子見である。


 ‥ちなみに、その駐屯アプリの表示管理にもゴミが発生する。
 それらを用いてなりすますことを、世間ではバックドアというらしい。
 思うに、このバックドアに対して簡素に掃除機能を有していないのは、意図的としか思えない。
 まぁ、駐屯変更の認可を手軽にできるのもどうかという所なのだろうが、
 それはそれで、ちゃんと説明を付けるべきであり、それを端折る傾向がそもそもにして怪しい。
posted by 木田舎滝ゆる里 at 16:36 | Comment(0) | パソコン悩ましいZ | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

※ブログオーナーが承認したコメントのみ表示されます。