TOP

【最新記事】RSS

2015-05-16 (16:37)

【注意】『GTA5』のMODにマルウェア混入が発覚! 「Angry Planes」「No Clip」導入者は要確認!


366.jpg
GTA5 MOD マルウェア AngryPlanes NoClip 対処


http://www.gamespark.jp/article/2015/05/15/57007.html

ユーザーが設定を独自に調整したり、様々な新要素を加えたりする、PCゲームならではの楽しみ方“Mod”。今年4月に発売されたPC版『Grand Theft Auto V』でも多数のModが利用されていますが、一部のModにマルウェア(不正な動作を行う悪意あるソフトウェア)が混入していた事が発覚しました。

この問題は最初にGTA Forumsのメンバーが発見し報告。その後、ModコミュニティのGTA5-Mods.comが行った検証によって事実である事が確認されました。マルウェアの混入が明らかとなったのは、「Angry Planes」と「No Clip」の2つ。これらのModには“Fade.exe”なるマルウェアが含まれており、それはユーザーのキー入力を監視するキーロガーとして動作します。そのため、様々なサイトでのログイン情報が盗みとられてしまう可能性があります。


飛行機が爆撃を行う「Angry Planes」



全てをすり抜けて移動する「No Clip」



GTA5-Mods.comは報告者が解説してる手順に従って対処するとともに、Mod導入後に利用したウェブサイトやサービスのログインパスワードを変更するよう促しています。複数のサービスで同じパスワードを使用している場合は特に要注意です。

GTA Forumsで紹介された対処方法

1. Ctrl+Shift+Escでプロセスを開き、「csc.exe」のプロセスを終了させる。

2. Tempフォルダ「C:\Users\*ユーザー名*\AppData\Local\Temp」に移動。

3. 日付でファイルをソート、「.z」「init..exe」を探して削除。一部報告によれば「.z」が「.x」のように異なる名前の場合も。

4. 一部ユーザーの報告によれば、開く事のできない無名のアーカイブファイル(「.zip」あるいは「.rar」)が存在する場合も。存在する場合は削除する。

5. 最近作成されたフォルダから、「Fade.exe」が入っている「5B9EF37A」のような名前(恐らくランダム生成)のフォルダを探して削除する。

6. スタートメニューの検索で「regedit」を入力し、「regedit.exe」を実行。

7. このスクリーンショットで示された場所に移動(HKEY_USERSの次のフォルダ名はユーザーごとに異なる。最後が「Classes」でないものを選択)。その中から「Shell」を探す。カスタムシェルを使用している場合はその後から「Fade.exe」に繋がる文字列を削除する。それがexplorer.exeだけでその後に何も含まれていなければ、削除あるいはそのまま維持しても問題はない。何を話しているかわかなければ、単に「Shell」を削除する。

8. レジストリの「HKEY_CURRENT_USER\Software\Microsoft\」に移動し、「Fade」と「Leep」を探して削除。「Leep」はNo Clip Modのみに関連してるかもしれない。

9. 報告によれば、悪意ある「GTA5.exe」がGTA Vディレクトリのx64内に配置される場合がある。恐らくNo Clip Mod関連。「C:\Program Files (x86)\Steam\steamapps\common\Grand Theft Auto V\x64」に移動して、「GTA5.exe」を削除する。

10. 当然、GTA Vから該当のModを削除し、二度と追加しない。継続して使い続ければ、再び影響を受ける可能性がある。

11. 「Fade.exe」がもはや実行されていない事を確認するためにコンピューターを再起動する。


報告者はこの手順でマルウェアが完全に除去されるかどうかは分からないとし、念の為にWindowsを再インストールした事を伝えています。また、上記手順で示されたファイルが存在しない場合でも、マルウェアがユーザーの情報を取得した後に自分自身を削除したか、あるいは情報を取得した後にウイルス対策ソフトによって削除された可能性があるため、安心しないようにと注意を促しています。

GTA5-Mods.comはこの問題を受けて、同サイトで配信するユーザーModの承認プロセスを強化すると発表しています。なお、Rockstarの公式見解ではPC版『Grand Theft Auto V』におけるMod使用は禁止されていませんが、“未承認”での使用のため、あくまでも自己責任である事が強調されています。それ故にModを楽しむユーザーは今回のような問題に巻き込まれないよう、各自で対策を取る事が必要なのではないでしょうか。





555 名前:UnnamedPlayer[sage] 投稿日:2015/05/14(木) 23:12:05.89 ID:bNWMIxI+.net
Simple NoclipやAngry Planesを入れた奴は要注意
asiの中にキーロガーをインストールするコードが見つかった模様
ScripthookVの作者が確認済み
http://gtaforums.com/topic/794383-possibility-of-trojan-downloaderspyware-installed-via-gta-v-mod/
リンクが落ちてるので簡単な削除方法
TEMPフォルダを確認してfade.exeがあったら削除
パスワードも全部変更した方が良いとのこと




565 名前:UnnamedPlayer[sage] 投稿日:2015/05/15(金) 02:50:26.87 ID:vAPdIarG.net
アングリープレーン使ってたんだけど
fade.exeって検索しても出てこなかったよ

TEMPファイルってどこのことなの?




566 名前:UnnamedPlayer[sage] 投稿日:2015/05/15(金) 02:57:57.87 ID:NOhKJACf.net
>>566
>>555
が貼ってくれたリンク先にexeの場所の画像あるよ
appdata/local/temp/exeのある謎のフォルダ/なんたら.exe




569 名前:UnnamedPlayer[sage] 投稿日:2015/05/15(金) 03:29:51.14 ID:jX/ISApK.net
ファイル名変化してたりしてね



570 名前:UnnamedPlayer[sage] 投稿日:2015/05/15(金) 03:50:47.98 ID:cvWAHDDH.net
ようわからん状況だな
fadeやinitの有無にwinlogonの記述が無いユーザーもいる
Noclipに関してはverの違いは無いから
使用者全員に痕跡が残らんとおかしいし
俺のも出てこなかったしな




571 名前:UnnamedPlayer[sage] 投稿日:2015/05/15(金) 04:12:54.71 ID:vAPdIarG.net
そういや
俺がダウンロードしたのは
一回gta5-mods.comからアングリープレーンが消されて復活した後のやつだったな

なんで消されてから復活したのかは知らんが多分その時にファイルが一度書き換えられてる




572 名前:UnnamedPlayer[] 投稿日:2015/05/15(金) 08:25:17.74 ID:ktbg87ub.net
他所に情報貼付けてたけどMODスレあったんだな。ここ来ないから知らんかった。

ウィルス見つからなかった人は安心しない方がいいよ。

ttp://gtaforums.com/topic/794383-malware-inside-angry-planes-noclip-mod/page-20

>JUST BECAUSE YOU DOWNLOADED/RAN THE MOD AND YOUR ANTIVIRUS DIDNT DETECT ANYTHING DOES NOT MAKE IT CLEAN.
>THE VIRUS WRITERS SERVER IS CURRENTLY OFFLINE AND THE ASI CODE DOWNLOADS THE ACTUAL TROJAN CODE FROM HIS SERVER.
>IF YOU CONTINUE TO USE THESE MODS AND HE GETS A SERVER BACK ONLINE, THEN YOU **WILL** BE INFECTED.

>YOU HAVE BEEN WARNED!

機械翻訳ではなく、自分なりに翻訳してみた↓

対象MODをDLして実行してアンチウィルスソフトが何も発見しなかったから大丈夫と思っていたら大間違い。
このウィルスの作者のサーバーは現在オフラインで、ASIコードはトロイのコードを作者のサーバーからDLする仕組みになってる。
だから今後もこのMODを使い続けた場合、作者のサーバーがオンラインになった際は感染する。


注意はしたからな!

翻訳は以上です。




596 名前:UnnamedPlayer[sage] 投稿日:2015/05/15(金) 19:56:50.10 ID:z/VitWHo.net
不明なアプリの実行や通信拒否っときゃ問題ないだろ
アンチウィルスソフトなんてあてにならん




601 名前:UnnamedPlayer[sage] 投稿日:2015/05/16(土) 03:25:16.97 ID:eJwNU9K/.net
>>596
アンチウィルスソフトなんてあてにならん、また誤検出かよ、と言いながら許可しちゃうんだろw




600 名前:UnnamedPlayer[sage] 投稿日:2015/05/15(金) 22:13:14.74 ID:CkhGIOGp.net
なんか微妙に勘違いしているような気がするので補足。知ってたらメンゴ
・.asiファイルの中身は.dll。コンパイルした後に.asiにリネームしてるだけ
 dllってのは、単独では実行できない(.exeから呼び出して使う)実行ファイル。中身はほぼ.exeなので、exeでできることはすべて.dllで出来る
・.asiが行った通信は、呼び出し元の.exeの通信として検出される。ファイアウォールの設定って.exeしかないよね
・なので、オンライン用にGTA5.exeの通信を許可していれば、>>572のトロイはダウンロードされる
 無論、トロイは別の.exeなのでファイアウォールでブロックされるけど
・もしトロイそのものを.asiに組み込んでいれば、GTA5.exeの通信としてスルーされるので注意


SkyrimのSKSEプラグインも.asiとほぼ同じものだけど、
あっちはオンラインが無いからファイアウォールで簡単にばれるからかトロイとか聞いたことが無いなぁ




602 名前:UnnamedPlayer[sage] 投稿日:2015/05/16(土) 03:48:48.84 ID:ld7hddUi.net
>>600
詳細な説明有難う
完全ソロ目的で、通信をFWで遮断した状態での
Noclip使用だったんで、
fade等をダウンロードされずに済んだわけか
x64フォルダにはGTAexeがあったわ




604 名前:UnnamedPlayer[sage] 投稿日:2015/05/16(土) 07:09:21.21 ID:I7D1pDtY.net
>>602
その説明だとNoClip入れたあと一回もオンライン開かなかったらfadeをダウンロードされないっていう認識でおk?




606 名前:UnnamedPlayer[sage] 投稿日:2015/05/16(土) 08:57:28.61 ID:wzlKbTZz.net
>>604
違う。ダウンロードされるのはNoClipが起動してるとき、つまりオフラインでMOD使ってる間のみ
オンラインを起動している間は逆にNoClipが起動していないから、その間はダウンロードされない

問題なのは、オンラインの為にファイアウォールで許可しているとMODが変な通信してもわからないという事
なので、きちんと対処するなら、MOD使う時はファイアウォールでGTA5.exeの通信を禁止して、
オンラインをプレイする時は許可する、という操作が必要




593 名前:UnnamedPlayer[sage] 投稿日:2015/05/15(金) 18:16:15.49 ID:Z9eZKSyz.net
片山事件とかあっても無警戒でexe踏む奴ってなんなの



595 名前:UnnamedPlayer[sage] 投稿日:2015/05/15(金) 18:54:53.11 ID:vAPdIarG.net
>>593
今回のは.exeじゃ無いんだよな
それに今まで無かったパターンだし




605 名前:UnnamedPlayer[sage] 投稿日:2015/05/16(土) 08:01:31.67 ID:jFbBLXb+.net
なるほどな
もともとMOD入れてたからオンラインなっていかなかったけど
それで大丈夫だったのか
X64のGTAVexeは削除すればいいの?




607 名前:UnnamedPlayer[sage] 投稿日:2015/05/16(土) 11:28:24.94 ID:mkOmjOg2.net
偽Trainerで釣る手口は過去にもあったけど
MODファイルに仕込んで堂々とフォーラムにアップロードするのは前代未聞だな




617 名前:UnnamedPlayer[sage] 投稿日:2015/05/16(土) 15:26:45.91 ID:Y+Or5SZT.net
trainerとかnocdみたいにウィルスしか仕込んでないニセexeをバラ撒くならまだ分かるけど
MODとして普通に動作する物にこっそりトロイを仕込むってのはめずらしい
物好きというかヒマというか、gtaforumでも皆困惑してるな




618 名前:UnnamedPlayer[sage] 投稿日:2015/05/16(土) 16:11:28.26 ID:ld7hddUi.net
こっそり実行させるという意味では
利に適ったやり方だよな
トレイナーなんかはもともと警戒の対象なわけだし

Noclipなんか昔からあるようなModで
馴染み深いものに混ぜるとか悪質だよな




http://nozomi.2ch.sc/test/read.cgi/gamef/1430135092/







( ゚Д゚ ) 「何者だ!」 う○こ「屁です」 肛門「よし、通れ!」みたいな

(´・ω・`) MODの導入は慎重にね






PC版『GTA5』まとめ 【リンクまとめ】




コメント:

コメントの投稿

サイト管理者にのみ通知する

トラックバック URL

http://ncis6247.blog.fc2.com/tb.php/3730-83ef2a6f
人気記事
カテゴリ
検索
RSSリンクの表示
月別アーカイブ
リンク
最新コメント