GTA5 PC版 一部MODにマルウェア混入が発覚。「Angry Planes」「No Clip」導入者は要確認

MODは非公式な物で特に対価を得て作られているものじゃ無いからこういう問題も出てくるよね…
こればっかりは利用者が気をつけるしか無いので、何か異常を感じたらすぐに利用をやめて調査しましょう。

GTA Forumsのメンバーが発見して報告を行ったことが発見のきっかけでした。
GTA5-MODS.COMがそれを調査してマルウェアの混入が事実だと確認されました。
GTA5-MODS.COMはMODをアップロードするときにウィルスチェックされていましたが突破されてしまったようですね。今後更に認証プロセスを強化していくと報告しています。

12年MODを見てきたGTA5-MODS.COMの管理人もこんな事は初めてと驚いています。
嫌な時代になりましたね…

こちらの記事もオススメです！

マルウェアが確認されたMOD

・Angry Planes
・No Clip
上記二つのMODからマルウェアが確認されたようです。マルウェアの行動はキーロガーとして動作しているみたいです。
ユーザのキー入力情報が盗み取られてしまいます。ログイン情報に必要なIDやパスワード、クレジットカードの番号などが盗み取られている可能性も出てきます。

該当MOD導入後にログインしたサイトのパスワードは変更した方が安全です。
特に他サイトでも同じパスワードを使用している場合は注意が必要です。

駆除方法

GTA Forumsで紹介された対処方法

1. Ctrl+Shift+Escでプロセスを開き、「csc.exe」のプロセスを終了させる。

2. Tempフォルダ「C:\Users\*ユーザー名*\AppData\Local\Temp」に移動。

3. 日付でファイルをソート、「.z」「init..exe」を探して削除。一部報告によれば「.z」が「.x」のように異なる名前の場合も。

4. 一部ユーザーの報告によれば、開く事のできない無名のアーカイブファイル（「.zip」あるいは「.rar」）が存在する場合も。存在する場合は削除する。

5. 最近作成されたフォルダから、「Fade.exe」が入っている「5B9EF37A」のような名前（恐らくランダム生成）のフォルダを探して削除する。

6. スタートメニューの検索で「regedit」を入力し、「regedit.exe」を実行。

7. このスクリーンショットで示された場所に移動（HKEY_USERSの次のフォルダ名はユーザーごとに異なる。最後が「Classes」でないものを選択）。その中から「Shell」を探す。カスタムシェルを使用している場合はその後から「Fade.exe」に繋がる文字列を削除する。それがexplorer.exeだけでその後に何も含まれていなければ、削除あるいはそのまま維持しても問題はない。何を話しているかわかなければ、単に「Shell」を削除する。

8. レジストリの「HKEY_CURRENT_USER\Software\Microsoft\」に移動し、「Fade」と「Leep」を探して削除。「Leep」はNo Clip Modのみに関連してるかもしれない。

9. 報告によれば、悪意ある「GTA5.exe」がGTA Vディレクトリのx64内に配置される場合がある。恐らくNo Clip Mod関連。「C:\Program Files (x86)\Steam\steamapps\common\Grand Theft Auto V\x64」に移動して、「GTA5.exe」を削除する。

10. 当然、GTA Vから該当のModを削除し、二度と追加しない。継続して使い続ければ、再び影響を受ける可能性がある。

11. 「Fade.exe」がもはや実行されていない事を確認するためにコンピューターを再起動する。