全部 1- 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 最新50


アカウントハック被害報告スレ4
1 名前:T ★ :06/12/01 23:48 ID:???0
このスレは我々全ROプレイヤーへの注意喚起とともに、
内容が内容な為、公式発表が期待できそうになく
ここに寄せられる報告を元に自らの手で実態を掴むことが目的です。

このスレを覗いた人たちが、ネット上のセキュリティについて
少しでも関心を持ってくれることを期待します。

※「被害額」に関しては二次被害を防ぐ為にも報告しないでください。
※ネタの報告などはしないようにお願いします。

報告テンプレ
・いつ被害を受けていると気づきましたか?
・どうして気がつきましたか?
・誰かにID、PASSを教えましたか?
・誰かがあなたのPCを使う可能性はありますか?
・ツールの使用は?:ツール名、実行ファイル名
・ネカフェの利用は?:Yes/No
・My Ticketsで最後にログアウトしましたか?:Yes/No
・情報サイトやブログ、掲示板で不審なURLをクリックしませんでしたか?

※注意※
このスレでの報告で絶対にID、Pass、鯖、キャラ名、「被害額」を公開しないでください。

自衛手段(必ずしも万全という訳ではありません)
・セキュリティソフトを導入し、常に最新版に更新する。
・不審なURLはクリックしない。リンク先のURLを確認する。
・パスワードは他人に教えず、PC内や分かりやすい場所にメモしない。
・パスワードは定期的に変更する。

【前スレ】
アカウントハック被害報告スレ3
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1160787177/

2 名前:(^ー^*)ノ〜さん :06/12/01 23:54 ID:cgUHBfoh0
>>1乙です。とりあえずテンプレに追加。

【過去スレ】
アカウントハック被害報告スレ3
 http://gemma.mmobbs.com/test/read.cgi/ragnarok/1160787177
アカウントハック被害報告スレ2
 http://gemma.mmobbs.com/test/read.cgi/ragnarok/1147966576/
アカハック被害報告スレ
 http://gemma.mmobbs.com/ragnarok/kako/107/1075385114.html.gz

------ アカハック業者関連 ------

【注意】
・アカハックアドレスはMMOBBSでは禁止単語になっています。
 加えて、誤クリックによる感染を防ぐ為に、そのようなアドレスは
 .(ドット)を別の文字に置き換えて報告して下さい (■が多用されてます)

【参考アドレス】
・ROアカウントハック報告スレのまとめ?サイト
 http://sky.geocities.jp/vs_ro_hack/
・安全の為に (BSWikiより)
 http://smith.xrea.jp/?Security
・リネージュ資料室 (応用可能な情報が多数)
 http://lineage.nyx.bne.jp/

3 名前:(^ー^*)ノ〜さん :06/12/01 23:56 ID:cgUHBfoh0
色々興味深い動向を観察。
zhangweijp■comは『Expires: 27-Nov-2007』に変化。維持費を払ったらしい。
youshini■comは『Expires: 02-Dec-2006』で期限切れるか?
lovetwは鯖内のウイルスは消えたものの、ウイルス置き場をjprmthome■comや
livedoor1■comに変え継続。jprmthome■comはVML脆弱性(MS06-055)を使用する
もの有り。

jpgamer■net等はヤフオクの404をフレームで呼び出して使っている…。

4 名前:(^ー^*)ノ〜さん :06/12/02 01:19 ID:P2VVVuWj0
昔あったサイトみたいなんだけど、某ROblogで張られていたんだけどヤッパ危ないサイトなんかね?

w○w.automouse.jp

5 名前:(^ー^*)ノ〜さん :06/12/02 01:49 ID:t+HnrDvLO
5かな、かな?(・ω・)/
1乙です

6 名前:(^ー^*)ノ〜さん :06/12/02 19:24 ID:Nv8lXNX80
>>4
jpからcomに飛ばされるけど、そのcomドメインはリネージュ資料室さんとこの
危険ドメインの中に含まれているね。ま、君子危うきに近寄らずということで。

7 名前:(^ー^*)ノ〜さん :06/12/04 09:55 ID:Ylu/1yCJ0
ttp://www.rbl.jp/
国内での、いわゆる「ブラックリスト」作成プロジェクトのページ。
ウィルスの拡散予備行為は、それ自体がspam行為であり、間接的なPhishing行為でもある。
危険アドレスを通報し、それがリストに追加されれば、リストを参照しているサイトに於いて、blogやBBSへの
コメントを阻止することができるので。

8 名前:(^ー^*)ノ〜さん :06/12/05 17:04 ID:Ji+7AjgQO
8ッキング!!

9 名前:(^ー^*)ノ〜さん :06/12/05 18:19 ID:wgPcVK330
未実装wiki→その他のクエスト→フィゲルの武器

のURLなんだけど、確認してから押して、
リンク先に飛ばないなーとURLきちんと確認してみると何か違う。

因みにURLはこれ
ttp://sample.s112.xrea.com/index.php?%A4%BD%A4%CE%C2%BE%A4%CE%A5%AF%A5%A8%A5%B9%A5%C8#hugel_que07

たぶん問題ないと思うけど、
本当のURLとは文字列が違うし。
プロパティで調べても種類がファイル、とか出てるんで心配

自分じゃわからんので本当に問題ないか教えてくれると助かる。

10 名前:(^ー^*)ノ〜さん :06/12/05 19:39 ID:Z2P7iPzn0
>>9
環境報告してほしいなぁ…。
情報が少ない中でエスパーってみると、ブラウザの非英数送信処理周りかもしれない。
IEかFirefoxで設定方法が異なるから『常にURLをUTF-8で送信する』とかいうかんじの
内容をぐぐってみそ。上手くいかなかったら環境を書いてもう一度報告してみて下さい。

# こう云うめんどい問題が起こるからWikiのページ名に日本語を使いたくないのねん

>>3
youshini■comは『Expires: 02-Dec-2007』になり、継続を確認。勿論ウイルスも設置。
一部はアンチウイルスソフトのチェックをすり抜ける模様。
lovetw系は再びメインのトコにウイルスを置きはじめているらしい。

11 名前:9 :06/12/05 19:41 ID:wgPcVK330
カスペルキーでスキャンしてみたら見つかりました。
早めに気付いてよかったです。

報告までに、
先ほど疑わしいURLの場所をチェックしてみたら変更されていました
他の人が踏んでいないことを祈ります・・・。

それと慌てていて、
言葉使いが荒くなってしまってすみませんでした。

12 名前:(^ー^*)ノ〜さん :06/12/05 19:52 ID:/HtDlR290
>>11
びっくりするほど馬鹿者。仕方なく修正した本人降臨ですよ。

差分かバックアップみたらわかると思うが、

-[[薬草クエスト>その他のクエスト#hugel_que06]]~
+[[薬草クエスト>その他の実装済みクエスト#hugel_que06]]~
   ↓~
-[[フィゲルの武器>その他のクエスト#hugel_que07]]~
+[[フィゲルの武器>その他の実装済みクエスト#hugel_que07]]~

っというわけで、フィゲルはもう実装されているのでURL「その他のクエスト」じゃなく、
「その他の実装済みクエスト」が正解。さっきまではURLが間違ってたのでリンク先に飛べなかった。
で、間違いを修正しました。ちなみに自分がミスったわけではない。

13 名前:9 :06/12/05 20:37 ID:wgPcVK330
すみません、
感染のリストをきちんと見てみたらノートンアンチウイルスがひっかかってたようです
ほんと慌ててしまって申し訳ないです

>>10>>12
のお二人、ご回答と助言ありがとうございました。

これにて報告終わります、スレ汚し失礼しました・・。

14 名前:(^ー^*)ノ〜さん :06/12/06 19:28 ID:HdoE3eMr0
アカハックとは少しずれているかもしれないが、RO関係のサイトを持っているなら、こういう場もあるということで紹介させてもらってもいいでしょうか

ROサイト管理者連絡会へのお誘い
http://www.eldgasyk.jp/~hunter/?:admin/rowikimng

掲示板やWikiの管理などで、皆でそのような被害を出さないように努めようというものみたいです。

15 名前:(^ー^*)ノ〜さん :06/12/09 09:28 ID:jzRyXYRd0
昨晩から早朝にかけてキャラパス撤去のメンテなんて無かったよな?
今朝起きて露天でも開こうとクライアント起動したら
キャラパス通らず(テンキー窓が表示されず)にログイン出来るんだが・・・

既出・スレ違いだったらすまん

16 名前:(^ー^*)ノ〜さん :06/12/09 13:53 ID:yxAPFohM0
>15
自分も1週間ほど前に同じ現象になった。
気になってクライアント再起動したらキャラパスのテンキーが出てきたので
何かの要因で稀にそうなるっぽい。

17 名前:(^ー^*)ノ〜さん :06/12/09 14:06 ID:27FVFfHP0
たまにログアウトが正常じゃなくて、『前の情報が……』ってあるけど、
同じような理由でログアウトされていないと判断することがあるのかもね

18 名前:(^ー^*)ノ〜さん :06/12/10 07:36 ID:srdkNOOh0
多分、ペットやホムが逃げるのと同様に、map鯖にキャラが残っている状態。
その為に、ログイン鯖ではなく、キャラクタ鯖に対しては、キャラパス処理済として通ってしまうと思われ。

19 名前:(^ー^*)ノ〜さん :06/12/10 13:08 ID:o9fc11oB0
15だけど当時のおおまかな流れとしてはこんな感じ

夜間商人で露天出していて起きてから一度クライアント落としてPC再起動
少しやらなければならない作業があってその絡みも含めて2度ほど再起動
20〜30分ほど経ってからクライアント起動
商人でログインしようとしたらキャラパス窓が出ずにログイン可
おかしいと思ってCCしてメイン狩りキャラ選択キャラパス窓が出ずにログイン可
再度CCして育成放置してたキャラを選択してもキャラパス窓が出ずにログイン可
寝る前に露天出す際一度PC再起動してるから直前に手動でパス通したのは商人のみ

結局その後クライアント落として再度ログインしようとしてキャラパス窓が出るようになった


実はキャラパス窓が出なかった時もプライベートの作業やりながらだったんだ
あれから同じ状態を再現しようと何度か試したら稀にキャラパススルーしてログイン出来る模様
MAP鯖にキャラがどれくらい残っているとか詳しい事判らないけど
これがどんな状態なのかわかる人居るかな

勿論だが不正の如何に問わずツール関係は一切使用してない
現段階でその時何をしてたかとかどこまで書いていいか判らないからあたり障りの無い所で
OSはWin98、常駐はAvast・SygateFW・Spybotのみ

20 名前:(^ー^*)ノ〜さん :06/12/10 20:31 ID:hRq5VJ040
>>19
原因は分からんけど俺と俺のギルドの人が
全く同じ境遇。
まぁ気にすることじゃない気がする

21 名前:(^ー^*)ノ〜さん :06/12/11 01:39 ID:r/nvahEG0
http://enif.mmobbs.com/test/read.cgi/livero/1165692099/l50

↑らいぶろで垢ハク云々言ってるけどこれどう?

22 名前:(^ー^*)ノ〜さん :06/12/11 02:09 ID:cQwHl2my0
どう?っつうの(判定)はスレ違いじゃなかったか。

23 名前:(^ー^*)ノ〜さん :06/12/11 02:29 ID:r/nvahEG0
踏んでしまったんです。

24 名前:(^ー^*)ノ〜さん :06/12/11 02:35 ID:RDTl+0k50
そっか。気を付けないとね

25 名前:(^ー^*)ノ〜さん :06/12/11 03:11 ID:r/nvahEG0
ですね

26 名前:(^ー^*)ノ〜さん :06/12/11 10:12 ID:aEbz0Xen0
デマウィルスは、本物のウィルスより、時として有害。

27 名前:(^ー^*)ノ〜さん :06/12/11 13:18 ID:zCuPrvhq0
デマかよ

28 名前:(^ー^*)ノ〜さん :06/12/11 14:26 ID:9Jjl38DG0
そういやキャラパス突破型ウィルスってもう出回ってきてる?
出回ってようが出回ってまいが気をつけるにこしたことはないけど

29 名前:(^ー^*)ノ〜さん :06/12/11 18:58 ID:qqlEsgZW0
それは誰かが踏まない限り判らないな
まぁ、いまはレースBOTの方が実入りが良いから作らないかも知れないが

30 名前:(^ー^*)ノ〜さん :06/12/13 14:53 ID:mZVn6bCw0
573.RO店価格調査サイトなんか潰して欲しい 返信 引用

名前:イドゥン在住 日付:12月12日(火) 22時26分
ほとんどのプレイヤーがここからレアの価格とか参考してると思いますが、そんなのないほうがいいと思います。

ぶっちゃいうとこのサイト自体価格操作じゃないですか?

ここを参考にしてる人がいる以上価格操作がどうしても生まれる。
いくら鵜呑みにするなと言われても価格を記載してある以上
それ以上高く売れないしぶっちやけうざいです。

管理者さんはどういうつもりでこんなの作ったのでしょうか?

たしかに便利は便利ですよ。
でも価格操作も実際思いのままなんですよね。

調査してる人が値段高くすればそれが相場となり
それで翌日以降のその価格が定着します。

迷惑です。 http://わわw.ragnaroklink.com/game/
http://わわw.ragnaroklink.com/game/



www.抜きでもリンクは繋がる。当然アカハックアドレスだが。

31 名前:(^ー^*)ノ〜さん :06/12/13 18:21 ID:lAQmmSG40
>ragnaroklink■com
Created: 11-Dec-2006
所有者は中国。
探知されるウイルスは数日前よりlovetw系で複数観察されるものと同一
(VirusBuster名 Trojan.PWS.Maran.BI)。それらのファイルサイズはCRCは違う物の
FileSizeは完全一致する上、相違箇所はほぼ特定箇所且つ約64bytesのみなので
同一犯(=lovetw系)と思われる。

VirusTotalによる結果。
http://www.mmobbs.com/uploader/files/1591.png

32 名前:(^ー^*)ノ〜さん :06/12/13 18:32 ID:b2T+Z/kL0
12/11に登録されたばかりのドメインだな

33 名前:(^ー^*)ノ〜さん :06/12/13 22:34 ID:AYN5Lb7s0
お前らWindowsUpdate来てますよ

>Windows XP 用 Internet Explorer の累積的なセキュリティ更新プログラム (KB925454)
>一般的なダウンロード サイズ: 1.4 MB , 2 分
>
>Microsoft Internet Explorer を実行しているシステムのセキュリティを悪意のあるユーザーが侵害し、
>そのシステムを制御できるというセキュリティの問題が発見されました。
>この更新プログラムをインストールすると、お使いのシステムを保護できます。
>インストール後には、コンピュータの再起動が必要になる場合があります。

関係あるかどうかよく分からんけど念のため適用オススメ

34 名前:(^ー^*)ノ〜さん :06/12/13 23:46 ID:PTxFN2100
うちのRo日記サイトに貼られてたんですが。
ttp://www.RagnarokOnlinaどっとこむ/rolink/

いかにも怪しげなので、whoisで見たらフレームが2とあったので即拒否。
Created: 05-Dec-2006 とあるので新しいんでしょうか。
IP Location: - T'ai-pei 台湾?
ICANN Registrar: BEIJING INNOVATIVE LINKAGE TECHNOLOGY 登録は北京?

自分ネットには強くないんでよく分かりませんが報告させていただきました。
ガイシュツだったらごめん。

35 名前:(^ー^*)ノ〜さん :06/12/14 00:05 ID:UMWwfld20
>34
どうやらいつもの福建省人が取得した垢ハック専用ドメインだね。
最後のaは回転してみればeになる、こうしたドメインを取ってくることが多い。

登録情報
Domain Name.......... RagnarokOnlinaどっとこむ
Creation Date........ 2006-12-06 12:38:16
Registration Date.... 2006-12-06 12:38:16
Expiry Date.......... 2007-12-06 12:38:16
Organisation Name.... fly bg
Organisation Address. fj lyxl (福建省(fj)龍岩市(ly) xlは新羅(Xinluo)だと思われる)
Organisation Address. ly (longyan = 龍岩市)
Organisation Address. 364000 (中国郵便番号:中国福建省龍岩)
Organisation Address. BJ (ホントはFJでドメイン名と同じトリック、Fに線を付け足しただけ)
Organisation Address. CN

36 名前:(^ー^*)ノ〜さん :06/12/14 00:24 ID:W5UZUCl70
>>34
4行目の「フレームが2」ってなんですか?

37 名前:(^ー^*)ノ〜さん :06/12/14 00:26 ID:/ODTa8nj0
>>34
所謂zhangweijp系のようですな

38 名前:(^ー^*)ノ〜さん :06/12/14 04:24 ID:/TkpkVcX0
>>34
うちにもはられてました。
周りにも注意喚起しておいたんだけど
自分のサイトからアカウントハックとかが出ると
身近な人が被害にあうってことでやはり怖いですね。

39 名前:(^ー^*)ノ〜さん :06/12/14 07:05 ID:/ODTa8nj0
>>36

34じゃないけど、ブラクラチェッカか何かを使ってアドレスにフレームが二つ
あるということを調べたんだと思う。
このへんとかね。
ttp://so.7walker.net/guide.php

別件だけど、結構ユーザーが多いレンタルサーバのXREAが(s172サーバ
一つだけだが)悪意の誰か(アカハクウイルス組織と推測されてる)に攻撃を
受けたらしい。但し、問題は解決済みとの事。
http://sb.xrea.com/showpost.php?p=77437&postcount=2

同じレンタルサーバのlolipopも丁度攻撃を受けたらしく対応中の模様
(但し、こっちはアラブ系?)。
http://lolipop.jp/?mode=info

いろいろ気をつけた方が良いようです。

40 名前:(^ー^*)ノ〜さん :06/12/14 17:23 ID:5LfXFzIT0
>>34のようなアドレスは、もはやフィッシングサイトと言って差し支えないもの。
本来のドメイン所持者及び、IPA/ISECへの通報を推奨。

>>39
so.7walkerは、12/05頃にクラッキングを受けている。AJ-Forkの脆弱性を突かれた模様。
ただ、現在は回復している。
ここのところ、0dayやspearが多いので、閲覧者・サイト運営者共に注意を怠らない方が良いかと。

41 名前:(^ー^*)ノ〜さん :06/12/15 09:57 ID:OHlPEp/A0
577.RO全鯖安全激安販売1M=140円 返信 引用

名前:折り鶴 日付:12月15日(金) 2時20分
この度全鯖のアデナをご用意しました。
以下、相場と在庫状況です。

全鯖1 M で 140 円激安販売

購入希望の方はメールにてご連絡ください。
詳しい事はメールにて相談って事でよろしくです。

取引希望連絡の際は以下のフォーマットをご使用頂けると便利です。

サーバー名:
ご希望数:
取引キャラクター名:
受け取り希望の場所:
取引日時:  月 日 時 分( ※ 24時間表 記でお願い致します)
振込方法:
振込名義 ( カタカナでお願い致します ):

皆様のご来店、お待ちしております!!
http://わわw.game-oekakibbs.com/link/
アカハックURL

42 名前:(^ー^*)ノ〜さん :06/12/15 10:26 ID:w8mAZmuG0
怖いので踏んでないが、RMT業者の宣伝書き込みかとオモタ。

なぜROでアデナ?とか突っ込みどころはあるが、それに引っかかってハクられても
同情の余地はないというか何と言うか。

しかし最近また罠リンクを張ってくるようになったが、キャラパス情報も抜くタイプに
進化してしまったんだろうか?
以前から予測されてたスクリーンキャプチャー型やログインパケット傍受型が出てきたと
したら、また被害にあう人が増えそうだ。

43 名前:(^ー^*)ノ〜さん :06/12/15 11:22 ID:HLjtrf0d0
警鐘アゲ

44 名前:(^ー^*)ノ〜さん :06/12/15 16:24 ID:AS0usSr/0
ウイルスを踏んでみればどういう事やってるか分かるだろうけど、どこぞの板の
インスコマンじゃないのでそいつは辞退。

>>41
game-oekakibbs■com から homepage3-nifty■com 上に置かれたウイルスを
呼び出してます。

>game-oekakibbs■com (http://www.domaintools.com/game-oekakibbs■com で閲覧可)
Created: 2006-12-13
Chinanet Fujian Province Network
Country Code CN

>homepage3-nifty■com (http://www.domaintools.com/homepage3-nifty■com)
Created: 2006-12-13
Chinanet Fujian Province Network
Country Code CN
こっちはNiftyに紛らわしいドメイン。Niftyに通報したらイケるかも。

>>41のウイルスの検査結果。
http://www.mmobbs.com/uploader/files/1615.png
結構厳しい。一部のメーカには検体提出済み。余裕が有る人は大手系に
提出してもらえると良いかと(大手は非ユーザーからの提出窓口が無いのが
多い…)。

45 名前:(^ー^*)ノ〜さん :06/12/18 00:11 ID:Cc8FPJa00
Spyware DoctorでスキャンしたらRODLL.DLLのトロイでてきた。
とりあえず削除とあれこれでスキャンしたら一切でてこなくはなったな・・。
課金ぎれ&パス変更で今のところ被害の様子なしです。

46 名前:(^ー^*)ノ〜さん :06/12/18 21:31 ID:zStlTkNs0
サイトのメールフォームに来ていた怪しげなメール。

(タイトル→)片手槍騎士の育て方
とりあえずここのサイトが参考になるかと

http://www■jpragnarokonline■com

ステータス、スキルなど詳しく書かれてますよ
それと「RO 槍騎士」でGoogleで検索すれば、槍騎士について
詳しいサイトがhitすると思います

----------

各種ゲームの激安販売
安心、迅速、低価格、通貨販売
A3.RO.Lineage.FFXIギル.マビノギ.リネージュI.II RO
信長の野望 大航海時代 MU奇跡の大地
テイルズウィーバーなどゲームの激安販売
ホームページをオープン致しました!
http://www■jprmthome■com
NO.1激安店に対するご意見*ご要望
NO.1激安店は信用を第一です。
ご安心下さい。
宜しくお願い致します。
FFXI注文から5分以内のスピード宅配

以前チラ裏スレでこのスレに報告してくれないかと言われたので書き込み。

というのが書き込み依頼スレに有ったので書き込み。

47 名前:(^ー^*)ノ〜さん :06/12/19 05:32 ID:oxt/Am/10
初歩的なことで申し訳ないのですが、もしハックURL踏んだ場合は
何かウィンドウなどが出たりするものなのでしょうか?

48 名前:(^ー^*)ノ〜さん :06/12/19 06:45 ID:u3VSc8dV0
出るものも有るかも知んないけど、出ないと考えた方が用心の為に良い。
だって、出たらウイルスって気付かれちゃうから犯人側に不利でしょ?
情報盗む前に駆除されちゃ意味が無い。
しかもそもそもウイルス作ってるのは一つの組織だけじゃないだろうから
色んなタイプがあるので一概にはなんとも言えないかと。

49 名前:(^ー^*)ノ〜さん :06/12/19 08:05 ID:oxt/Am/10
>>48
なるほどー。
もし、すぐ上のようなアドレスを踏んだ場合、一見して普通のホームページのように見えていて
裏では仕掛けられているというような感じなのでしょうか?
それとも表示されずに、サーバーが見つかりませんといったエラー画面のようなものが出るのでしょうか?
一見して普通のホームページのような表示がされて知らずのうちに踏んでいたら怖いなと思いまして…

50 名前:(^ー^*)ノ〜さん :06/12/19 08:33 ID:u3VSc8dV0
既知の物では
・ウイルス直置き
・稚拙な偽装HTML
・真っ当な第3者のHPをフレーム呼び出し
これらの偽装手段+フレーム呼び出しやScript使用、脆弱性利用で裏で読み込ませている。

# でもってそれにアイコン偽装等も行っている。そのうち拡張子偽装もしてくるかもなぁ。
# 脇道ネタだけどこんなのも有るしね。
# ttp://d.hatena.ne.jp/tnishimu/20061213/1166004659

だから

> 一見して普通のホームページのような表示がされて知らずのうちに踏んでいたら

と言うのは普通に有る得る事。もちろん稚拙な犯人も居るからエラー画面やコマンド
プロンプトっぽいのが出るってのも有るかもしれないから注意するに越した事は無い
けど、やっぱり基本的な安全対策に勝るものは無いかと思われ。

51 名前:(^ー^*)ノ〜さん :06/12/19 18:05 ID:+Q7IdGM30
単純な埋め込みでも、Refreshメソッドで404偽装ページに飛ばすにしても、踏ませるページに何らかの手がかりはある。
ページのソースを直接閲覧すれば、怪しいスクリプトを見つけられる可能性が高い。

だけど、重宝するview-source:スキームも、IEだと使えなくなってきているので、注意。
ttp://hxxk.jp/2005/01/26/0116
なんでこうM$は余計な改悪が多いのかな……

52 名前:(^ー^*)ノ〜さん :06/12/19 18:17 ID:DzME3jkA0
>>30のアドレス踏んでしまって
ウイルス検索してみたけど一向にひっかかる気配がない
VirusTotalつかってみるよ・・・

53 名前:(^ー^*)ノ〜さん :06/12/19 18:34 ID:BOMGyCJ90
VirusTotalのページを見てみたがどうやって使うのか分からないorz

54 名前:(^ー^*)ノ〜さん :06/12/19 18:36 ID:FAWiaEd20
あっこは持ってるウイルスファイルを今のソフトで検知出来るか調べるサイトだろう


多分

55 名前:(^ー^*)ノ〜さん :06/12/19 18:37 ID:BOMGyCJ90
>>30を踏んでしまった私はどうすればorz

56 名前:(^ー^*)ノ〜さん :06/12/19 18:39 ID:BOMGyCJ90
BCCがなくなったから中身の確認しようがないんだよな・・

57 名前:(^ー^*)ノ〜さん :06/12/19 18:45 ID:FAWiaEd20
物によるだろうけどとりあえずのチェックなら
ttp://www.kaspersky.co.jp/scanforvirus/
カスペのオンラインスキャンでもしておいたらどうだろう
ただし上のVirusTotal結果見ると新種はスルーしてるけど
あとはNOD32の体験版でも落として入れておくとか
ttp://www.canon-sol.jp/product/nd/trial.html

何しても不安は拭えないと思うけどね、OS再インストールでもしたら別だけど

58 名前:(^ー^*)ノ〜さん :06/12/19 18:54 ID:BOMGyCJ90
タスクマネージャのプロセス見る限りでは怪しげなexeはないようなんだが
プロセスに表示されずに動いてるのかね?素人な質問で申し訳ない

ついでにいうとURLは踏んで窓は出たが何も表示されないうちに×押したんだが
これは感染してると見た方がいいんだろうか

59 名前:(^ー^*)ノ〜さん :06/12/19 19:06 ID:FAWiaEd20
キャラパス実装後は報告が減ったというか耳にしてないからなんとも
前スレで報告されてるdllはこの3つかな、HDDチェックしてみたらどうか
RODLL.DLL
CCDLL.DLL
RUNDL132.DLL

サイト表示云々に関しては数レス上に書かれてる通りかと

60 名前:(^ー^*)ノ〜さん :06/12/19 19:14 ID:DzME3jkA0
カスペも一応クリアしたし
2KつかっててWINNTフォルダには見つからなかったから
ひとまず安心なんだろうか

61 名前:(^ー^*)ノ〜さん :06/12/19 19:18 ID:FAWiaEd20
端からは踏んだ人間にアドバイスできても「大丈夫だ、安心しろ」とは言えない

62 名前:(^ー^*)ノ〜さん :06/12/19 20:56 ID:u3VSc8dV0
>>31だけど、レスした後に各所に検体を送ったのさ。
で、現在の結果は以下の通り(13日のものと現在のもののファイルに違いは無)。
http://www.mmobbs.com/uploader/files/1591.png (12/13)
http://www.mmobbs.com/uploader/files/1650.png (12/19)
報告後に対応したのは eSafe, Fortinet, Sophos, TheHackerのみ。
e-Trust系にも検体は送ったんだがなぁ。因みにここには無いが
F-Secureは対応済。
VBなんぞ、逆に探知できなくなっているのが苦笑を誘う。大手系は
こう云う更新の早いウイルスへの対応は見劣りするね。ここ暫くの
観察結果ではMcAfeeの方がVBよりは対応が早い傾向が見られはする
けど、多分検体を提出する人の数の違いも有るのだろうか。
とはいえ、MacAfeeの検出名も『Generic』だからなぁ…。

ウイルスの情報は英語のものしかないが、F-SecureのDBで検索可能。
http://www.f-secure.co.jp/v-descs/virusindex.html
(Trojan-PSW.Win32.Maran.bm で英語情報を検索)

…と経過報告はさておき、上記に見られる通り、カスペ・NOD32辺りで既に
初期から対応されているから、それらで見つけられなければ比較的安全と
思われ。ウイルス置かれているサーバは結構重いので気付いて速攻閉じれば
大丈夫な事もありえたりする…と言うのは気休めですが。

63 名前:(^ー^*)ノ〜さん :06/12/19 20:59 ID:BOMGyCJ90
>>62
細かな報告ありがとう
自己責任で重要アイテム移動させて入ってみるよ
ハクられたら報告に来る

64 名前:(^ー^*)ノ〜さん :06/12/19 23:05 ID:oxt/Am/10
>>50
お返事遅れてすみません。ありがとうございますー。

65 名前:(^ー^*)ノ〜さん :06/12/20 00:45 ID:VN6YlCLd0
前スレでたまに報告していたんだけど、新スレ立ってたのか。
監視して提出している人も結構いて嬉しい。
lovetw・zhangweijp系の最近のトロイ(約150kBと大きい。Maran)、
ROとリネージュの両方のアカウントを盗むハイブリッド型。
頻繁に更新されているので気をつけてね
(19日夜の153,088バイトのはかなり見逃される)。
F-SecureのはKasperskyエンジンで引っ掛けた分ね。

66 名前:(^ー^*)ノ〜さん :06/12/20 01:14 ID:VN6YlCLd0
メモ帳で開いてみた。
ttp://www.mmobbs.com/uploader/files/1670.png
リネ2やFFXIに比べてクライアントが古いから簡単なんだろうなぁ…。

67 名前:(^ー^*)ノ〜さん :06/12/20 06:19 ID:kwpqodb+0
>>65-66
見た感じ、クライアント実行ファイルと、特定のサーバ(ROの場合はキャラセレ鯖)間のパケットをスニッフィングする
作りなのかな。
あるいは、パケットのやりとりをトリガとして、キーロギングを開始するのだろうか。

lovetw関係だと、先週末に2chのネットゲーム関連板に、無差別爆撃が有った模様。
複数スレマルチポスト・コピペ報告スレ43@全板共通
ttp://qb5.2ch.net/test/read.cgi/sec2chd/1166176677/166-170
つか、報告上げた本人な訳だが。
同一IDだったとはいえ、面倒なことを……

68 名前:(^ー^*)ノ〜さん :06/12/20 10:32 ID:yw4vUffE0
153,088バイト版からバイナリエディタでトロイ部分を切り出してスキャン
(感染した状態だとばらけるため)。見よ、この華麗なスルーっぷりを。
ttp://www.mmobbs.com/uploader/files/1679.png

69 名前:(^ー^*)ノ〜さん :06/12/20 11:06 ID:EEsADa2c0
報告人の皆さんお疲れ様です
書き込みがないだけで相手の活動は全然衰えてなかったんですね…
警鐘上げしておきます

70 名前:(^ー^*)ノ〜さん :06/12/20 13:11 ID:6FdpW+OC0
一般プレイヤーのブログの文面を丸々コピーして貼り付けて
垢ハックURL付きでコメントすることも多いみたいです。
ぐぐったら一般の方の結構新しい日記の文面まるまるで
垢ハックURLを貼り付けられていました。
(12/19に貼り付けられて、内容が18日のとある方の日記の文面)

URLがリネ等でトロイが置かれているサイトだったため
躊躇うことなく消せるのですが
内容によっては正しい日本語で楽しんでROをプレイしている文面の書き込みも多く
間違いやすいかと思います。

まだハック報告は無いようですが本当に気をつけてください。

71 名前:(^ー^*)ノ〜さん :06/12/20 13:22 ID:HfQjcKwc0
ブログのコメント欄にアカハクアドレスが張られるので
コメント非公開&確認後公開にしているんだけど
しばらくコメントがなかったp。
最近また現れたところ。
jpgamer。net だった。
過去にも何度も書き込まれたドメイン。
キャラパス対策済が完成したんですかね。

72 名前:(^ー^*)ノ〜さん :06/12/20 13:43 ID:pW9OUjtU0
前に垢ハク踏んだかな?って思って色々したけどなんともなかった。
あれから一週間たつけど、これはとりあえずセーフなのかな?

73 名前:(^ー^*)ノ〜さん :06/12/20 13:57 ID:pJ9Me8FK0
当方ヘイムダルだが垢ハック臭い露店発見。
十分注意されたし

74 名前:(^ー^*)ノ〜さん :06/12/20 14:32 ID:va6M+Xrc0
今月に入って量産されているlovetw・zhangweijp系の
RO・LineageハイブリッドトロイMaran、
現在生きている物だけで手元に14匹捕獲。多すぎだろ…。
zhangweijpは一度ドメインが無効になってから
lovetwのファイル置き場として復活した模様。dj5566もたぶんそう。
hinokihomeは台湾の旅館らしいんだが、こいつの中の奴が犯人か?

75 名前:(^ー^*)ノ〜さん :06/12/20 15:00 ID:va6M+Xrc0
と思ったらtoyshopは台湾のエアガンショップか…。
Win2000(IIS5)ハクられて置かれたのかな。

76 名前:(^ー^*)ノ〜さん :06/12/20 16:25 ID:trPGl81U0
lovetw系とか最近やけに活発なんだよねぇ。安心出来ない。
153,088バイト版はF-Secureから対応したとの報告あり。早いねぇ。

>>74
>zhangweijpは一度ドメインが無効になってから
>lovetwのファイル置き場として復活した模様。dj5566もたぶんそう。
そういう見方もあるかー。私は、昨今のドメイン失効時のドメインレジストラ
らの対応を考慮するとドメイン所有者は変わってないと見る。更新前後の
WHOIS記録を見てないんで自信はないけど。寧ろ、lovetw系とzhangweijp系が
提携したんじゃないかなーという方が近いかもしんない。

# 最近ではドメインが失効すると、所有者無しになる事は少なく大体は
# 旧ドメインレジストラが保持する。確保しないとしても1月程度の猶予がある。
# まぁ、中国の会社だろうからそういう常識が通用しないかもだけど

77 名前:(^ー^*)ノ〜さん :06/12/20 17:59 ID:MTIk1GQ+0
ttp://www■honda168■net/Ragnarok/index■htm
普段は注意してサイトを観覧してみてたにも関わらず踏んでしまったorz
自分のは注意を怠った自業自得だけどRO同盟系のサイトで、
長期間放置されてるみたいだから別の人が踏まないか心配。
とりあえずRO接続中だったので装備とzは知り合いに預けて落ちました。
別PCから癌IDパス変更してきてから対策したら大丈夫なのかなorz

78 名前:(^ー^*)ノ〜さん :06/12/20 18:03 ID:EEsADa2c0
チェックして見つかったら駆除してきなさい

79 名前:(^ー^*)ノ〜さん :06/12/20 18:32 ID:UdMpcJ3b0
少なくともサーバにアップする奴とトロイ作ってる奴は別で、分業してる。
Maran系でサイズが他より小さくて、拾って中身を見たら
rarアーカイブだったことがある(でも拡張子はexe)。
作者からrarでもらった奴がアップする時にミスったんだと思う。

一連のMaranは圧縮しておらず150kBとデカかったけど、
toyshop設置のはUpack圧縮で50kB未満とスリム化。
lovetwはUPXを好み、Upackはzhangweijpが好んでいた気がするけど
NSPackなどもたまに使ってくるのでなんともかんとも。

80 名前:(^ー^*)ノ〜さん :06/12/20 18:32 ID:trPGl81U0
>>77
lovetw系(jprmthome)。新種の153,088バイト版なので多くの会社は依然未対応。
http://www.mmobbs.com/uploader/files/1682.png

カスペ辺りでチェックすれば何とかなるかもしれないしなんともならないかもしれない、
とアドバイス。

81 名前:(^ー^*)ノ〜さん :06/12/20 18:38 ID:UdMpcJ3b0
>>77
IE7で踏んできた。リンク先はjprmthome、lovetw系。
スクリプトは今月1日に更新。バイナリは昨夜更新された最新型、
上でちょっと出ているMaran(RO+Lineage)の153,088バイト版。
WindowsUpdateしていればスクリプトがブロックされて問題ないはずだけど
対応していないソフトが多いと思うのでカスペでスキャン推奨。

82 名前:77 :06/12/20 18:46 ID:MTIk1GQ+0
カスペというのはKasperskyの事で合ってるのかな。
まとめサイトの方にオススメと書いていたので、先ほどからスキャンしていますー。
WindowsUpdateは最近自動更新されていた気がするので大丈夫だとは思いますが…
とりあえず全部の場所をチェックしてみます

83 名前:(^ー^*)ノ〜さん :06/12/20 18:49 ID:UdMpcJ3b0
>>80
かぶったついでに。
scanner.virus.org
↑日本では利用者が多いトレンドマイクロも可。でもカスペが無いので他と併用必須。
sandbox.norman.no
↑上記スキャンなどでおなじみのNormanの砂箱。
メールでレポートが飛んでくる…はずなんだけど役に立たないことが多いんだなこれが。

84 名前:(^ー^*)ノ〜さん :06/12/20 19:04 ID:iT2kseHe0
注意喚起なんだが、ここでこれがオススメのウィルス駆除ソフトだって言ってウィルス張られる可能性もあるんだからアドレス張らないほうがいいんじゃないか?

85 名前:77 :06/12/20 19:23 ID:MTIk1GQ+0
一通りKasperskyでチェックした所、ウィルスは発見されませんでした。
ということは一応大丈夫と判断してもいいのかな…?
アドバイス下さった方、ありがとうございましたー

86 名前:(^ー^*)ノ〜さん :06/12/20 19:54 ID:34rQv0Os0
>>84
済まん、よく意味が分からない。
私は、ここで報告されたウイルスアドレスが第3者の悪戯でそこらに貼られてしまう
可能性くらいしかこのスレの問題は感じない(そういう意味のレスかな?)。
その点に関しては私は寧ろここで情報共有の為にウイルスアドレスをどしどし報告
すべきだと思う。本当は全てのHPもちの管理者たちが集まるクローズな場所で
やった方が良いんだろうけど現実的には無理だからね。個人HP管理人では
情報収集に限界が出るだろうからここはその意味で貴重かと。そう云う訳で、
私はデメリットよりメリットのほうが大きいと判断。
セキュリティホールを公開するかしないか、という問題に近いかも。

>>85
オンラインチェックをやったのかな。それとも体験版?多分最新定義ファイルを
使ってあるとは思うけど、若し確認できるならそこんとこ確認しとくと良い。
ただ、もちろん部外者では太鼓判を押せはないので気をつけてとしか。
クリーンインストールがBestとだけは言っておきます。

87 名前:(^ー^*)ノ〜さん :06/12/20 20:19 ID:nrzSZSxF0
>86

>www■homepage3-nifty■(以下略
>↑日本では利用者が多いトレンドマイクロも可。でもカスペが無いので他と併用必須。
>www■lovetw(以下略
>↑上記スキャンなどでおなじみのNormanの砂箱。
>メールでレポートが飛んでくる…はずなんだけど役に立たないことが多いんだなこれが。

>83をネタにして申し訳ないが、こういう事をやられると警戒せずに踏む人が出てくる恐れも
あるから、>84は注意喚起してるんだと思う。

罠サイトの情報は対策するうえで必須だから、ぜひ欲しい。
この手のは隠す方がデメリット大きい、っていう意見には同意。

88 名前:(^ー^*)ノ〜さん :06/12/20 20:41 ID:EEsADa2c0
そこまでやってきたらさすがに日本人が関わってると思っていいね
今は何処かの文章コピペ+垢ハクURLだから気をつければわかるけど

あとはある程度の垢ハクURLは運営側でブロックできてると思うから
それ以外のURLを変に省略する方が怪しく見えちゃうかもしれない

89 名前:(^ー^*)ノ〜さん :06/12/20 21:13 ID:34rQv0Os0
成る程、そういう意味か、サンクス。
そういう意味なら『アドレスを踏む時は例えこのスレであっても各自十分に気をつけて』
で良いと思うのだ。

とそれだけのレスだとスレが勿体無いので、ウイルスドメインとそのIPの対応
(NSLookup結果)をUP。対象ドメインはリネージュ資料室(http://lineage.nyx.bne.jp/)
さんトコに有るのとROで頻出の危険ドメイン。
http://www.mmobbs.com/uploader/files/1683.zip

使い道は色々。犯人の系統を推理したり、PFW系のソフトでそのIPへのアクセスを
遮断したり。でもIPは時々変動するので余り頼りすぎず。

因みにIPが引けないドメインはドメインのままでIP欄に入っています。

90 名前:(^ー^*)ノ〜さん :06/12/20 22:20 ID:34rQv0Os0
http://www.itmedia.co.jp/enterprise/articles/0612/20/news003.html
ITmediaのbotnet対策特集の一つの記事なんだけど。

2つ目と3つ目の画像を見ると、ウイルスヲチャにはなんかよく見たこと
あるような物が…。

lovetw系のトロイ配布サイトを使うとは、狙ってやったのか、それともそれほどに
ネトゲのトロイ配布Siteがありふれているのか…。

91 名前:(^ー^*)ノ〜さん :06/12/20 22:24 ID:FufecHCq0
少し古いけど、海外ではネットゲーのアカハックが流行ってるとの記事があったし
更新も頻繁だから取り上げられてるんだろう

92 名前:680 ◆sp4Sh9QXGI :06/12/21 15:04 ID:s3Dgv4E60
とあるBlogにlovetwのURLが張られているのを確認しました。

93 名前:(^ー^*)ノ〜さん :06/12/21 15:34 ID:MMa9CmCO0
ROに於いても、アカウントを盗用された場合、現実的な金銭被害が出る可能性も出てきたのがあるかと。
例えば、ShopPointを一定以上所有しているアカウントで、濃縮エルニウム等を購入し、在庫売れ残りの
防具をアイテム移動して精錬し、過剰品を戻して露店に並べる。
s防具の売れ行きが悪い今となっては、過剰失敗によるマイナス分を差し引いても、狙ってくる可能性が
あり得る手法。

ネトゲ質問板のような、無差別爆撃が行われたのも、新規参入者の財布を直接狙い始めたのではないかと。

94 名前:(^ー^*)ノ〜さん :06/12/21 15:34 ID:iQn5t7TD0
153,088バイト版Maran、手元の11匹全てバスターがスルーしたので全弾発射。
重複チェックしたりバイナリエディタでトロイ部分切り出したりして疲れた…。
151,040バイト版は捕捉。
ソースのZEROがコンビニで売っていてびびった。インドのK7には発射しているけど、
そもそも解析してくれているかどうかもわからん。検知もZEROです、みたいな。

95 名前:(^ー^*)ノ〜さん :06/12/21 15:39 ID:iQn5t7TD0
新アカだろうとBANの前科持ちなら(たぶん住所氏名で)BANし始めたFFでも
アカハック復活するかもねぇ。

96 名前:(^ー^*)ノ〜さん :06/12/21 15:42 ID:j34ehQdR0
最強はどれ? 2007年版セキュリティソフト徹底比較
ttp://plusd.itmedia.co.jp/pcuser/articles/0612/15/news112_3.html

> 総合力の高さが光る「ウイルスバスター2007 トレンドフレックスセキュリティ」
> 総合力の高さが光る「ウイルスバスター2007 トレンドフレックスセキュリティ」
> 総合力の高さが光る「ウイルスバスター2007 トレンドフレックスセキュリティ」

97 名前:(^ー^*)ノ〜さん :06/12/21 15:54 ID:B8VzWVdZ0
>>96
バスターは性能は高いがパターンファイルの更新が遅いってことになるのかな。

98 名前:(^ー^*)ノ〜さん :06/12/21 16:12 ID:MMa9CmCO0
>>97
TrendMicroもSymantecも、法人向けで食っている企業。
コーポレート製品群のラインナップの多さから、パターンファイルの動作検証に時間が掛かり、対応にタイムラグが
生ずるのは、致し方ない。
0dayが活発になった個人向けには、小回りの利く小規模製品を用いるのも、選択肢の一つ。

99 名前:(^ー^*)ノ〜さん :06/12/21 16:26 ID:iQn5t7TD0
>>97
体感では逆。
解析からCPRが出るまでは1日程度だから比較的早い。
むしろNortonがそんな感じだなぁ。
性能は高いからそもそも送る機会も少ないんだけど、
いざ検知できないのがあって送ると何日も待たされる。
Kasperskyは異常。1時間とかのスパンで対応する。

100 名前:(^ー^*)ノ〜さん :06/12/21 16:59 ID:iQn5t7TD0
Maran、従来のと全く違うね。
中国のハッカーの間で広く出回っているっぽいipfilter.dll
(ググるとWinSock2のSPIがどうたら、パケットキャプチャ用?)、
oj8sound.dllやoj9sound.dll、winxpnp.exe。ドロップ時に変名するかもしれんけど。
前はrodll.dll(RO用)、ccdll.dll(リネ用)、dllabc.dll(リネ2用)みたいな感じだった。

101 名前:(^ー^*)ノ〜さん :06/12/21 19:50 ID:zQlcan8x0
>>96スレ違いもいいとこだよ

102 名前:(^ー^*)ノ〜さん :06/12/21 21:34 ID:wwAa5wi/0
検体発射&解析の皆様乙です。
キャラパス実装で気が緩み始めてる人向けに一応警鐘age

103 名前:(^ー^*)ノ〜さん :06/12/22 21:39 ID:L8aaeCJr0
たった今はてなのブログにきたコメント(;´Д`)ノ

山田 貴美子 『なんだか最近Gの接続率が良い。
ドロップ率2倍だからじゃなかったら
良いなあと思いつつ、今日は6人で城に行ってきた。
81支援HIGHプリ殿、82両手騎士嬢、85AGI極BS嬢、
90WIZ私のPTと、82支援プリ嬢、92コンボモンク殿の2PT。
(lovetwのアドレス)』

(;´Д`)

104 名前:(^ー^*)ノ〜さん :06/12/23 02:23 ID:uIcDh3yE0
うわ 気抜いてたら踏んでしまいそうだな・・・

105 名前:(^ー^*)ノ〜さん :06/12/23 08:21 ID:m5i/VPV10
山田 貴美子の名前に注意ってことだな
この名前で各地に張ってる様子

106 名前:(^ー^*)ノ〜さん :06/12/23 09:16 ID:haB1nHPK0
名前の類いは、spamメールと同じで、収集ソフトからランダムで拾っている可能性が高い。
むしろ、相互トラックバック以外のURL張りつけを、拒否するような設定を講じた方が安全。

107 名前:(^ー^*)ノ〜さん :06/12/23 11:54 ID:NTa4w8IB0
ROの日記ごときでトラバなんぞ使わないからoffにしてもいいと思うなぁ
コメントは設定変更出来るならオートリンクoffが無難
管理人の責任もないといえばウソになるっすね

108 名前:(^ー^*)ノ〜さん :06/12/23 13:05 ID:XuGbbnWh0
垢ハク露店らしきもの発見。
また被害が出始めているようなのでage

109 名前:(^ー^*)ノ〜さん :06/12/23 13:23 ID:BcvDebd10
マジで?
癌に呆れた純粋な引退露店と違う?

110 名前:(^ー^*)ノ〜さん :06/12/23 13:36 ID:n82KZvEg0
日本のファンサイトをiframeで偽装用に組み込むサイトも増えてるな。

111 名前:(^ー^*)ノ〜さん :06/12/23 15:52 ID:eHhKmznB0
ブログのコメント欄・トラックバック欄は必ず確認後公開が原則ですよね。
迷惑コメント・トラックバック対策だけど、アカウントハックで実害でたら
それに手を貸したみたいで気分が悪い。

112 名前:(^ー^*)ノ〜さん :06/12/23 16:10 ID:giDtwqtB0
ブログ素人対策にコメ欄へのURLの貼り付けはデフォルトで不可にしとけばいいのに。
で、管理人の手で可・不可を設定すると。

113 名前:(^ー^*)ノ〜さん :06/12/23 16:43 ID:ytDgA/P/0
先生方、game-oekakibbsというサイト踏んじゃったんですが
ノートンでスキャンして何もウィルスがでてこなければ大丈夫ですかね?

114 名前:(^ー^*)ノ〜さん :06/12/23 17:19 ID:uHEFRNdG0
ノートンじゃ心配なので(詳細は過去ログ参照のこと)
Kasperskyオンラインスキャナあたりでチェックしてみましょう

115 名前:(^ー^*)ノ〜さん :06/12/23 18:31 ID:zjxpAT9A0
Sesで垢ハック露店。
以前と同じ名前の商人だし、確定っぽい。

今、IWBBで隔離してるとこ

116 名前:(^ー^*)ノ〜さん :06/12/23 21:13 ID:7uRDMwdP0
>>113
game-oekaki上に観測されるウイルスは今んとこ更新は無く、カスペ・NOD32
辺りなら検知できるのでそれらを使うべし。
大手系ではMacAfeeなら反応するかも。VirusBusterはダメ。ノートンは分からない。

…感染後に作成されたウイルス関連ファイルにも反応するかどうかは
ソフトベンダのみぞ知る。

『大丈夫かな?』って訊かれても回線の向こう側に居る我々では確かな事は
言えないので、不安だったらリカバリが一番としか言えないもどかしさ。
油断はせずに気をつけて対処してくださいね。

117 名前:(^ー^*)ノ〜さん :06/12/23 21:41 ID:n82KZvEg0
VirusBusterはハンガリーのソフトで、
Trendmicroのウイルスバスターは海外ではPC-cillin。
細かくてすまんが、JottiなどのVirusBusterのスキャン結果を
ウイルスバスターと勘違いする人もたまにいるので。
あとMacAfeeじゃなくてMcAfee。マクドナルドと同じ。

118 名前:(^ー^*)ノ〜さん :06/12/23 21:50 ID:n82KZvEg0
直リン爆撃(URLでググるとすごい)のgame4enjoy■netも新Maranに更新。
McAfeeやバスターが捕獲、KasperskyやNortonがスルーという珍品。提出済み。

Upack圧縮なので解剖してないけど、lovetwのMaranに比べて小さすぎるので
機能は削られているものと思われ。

119 名前:(^ー^*)ノ〜さん :06/12/23 22:02 ID:ytDgA/P/0
>>116
カスペは、ノートンアンインストールはさすがにできないので・・・orz
誰かノートンで大丈夫かどうか知っている方はいませんかね

120 名前:(^ー^*)ノ〜さん :06/12/23 22:11 ID:n82KZvEg0
NotronはVirusTotalにもJottiにもVirusScannerにも登録してないからわからん。
提出しても自動返信がすぐ来ないところを見るとだめかもしれん。
Nortonを一時的に切ってKasperskyのオンラインスキャンがいいかと。

121 名前:(^ー^*)ノ〜さん :06/12/23 22:41 ID:JWyRtNHY0
OWN掲示板にもウイルスURL投下された模様、以下一部コピペ

>>○書き込まれたURL
>>雑談板→年末年始のサポートについて 2006/12/23(Sat) 17:10:44
>>質問板→店舗情報 2006/12/23(土) 17:15
>>書き込まれたURL→http://www.(省略)-oekakibbs.com/link/

頻繁になってきたから定期的に上げていきますね

122 名前:(^ー^*)ノ〜さん :06/12/23 22:43 ID:ADYKoq3T0
お絵かきBBSとか絶対違うだろと思うけど、警戒心はなくなるなぁ

123 名前:(^ー^*)ノ〜さん :06/12/24 00:12 ID:FzZ2nM7t0
ググったらgame4enjoyが多すぎなので監視開始。
ttp://www.mmobbs.com/uploader/files/1708.png
エロ系(なぜ?)の文章と共に jpg.scr で爆撃。

124 名前:(^ー^*)ノ〜さん :06/12/24 08:28 ID:fF6RO8P40
垢ハック連中が別ドメインを用意しているようだ

これにご用心
rmt-navipドットコム

ドメイン登録情報が既出の gamesragnaroklink と同じ。
登録者名、住所(福建省龍岩)など同一で垢ハック用で間違いない。

125 名前:(^ー^*)ノ〜さん :06/12/24 10:48 ID:a+/F37uT0
ttp://www.twmsn-ga■com/Gr001.htm
を踏んじまったorz
2ch巡回してたら全然関係ない某漫画のスレにROの話題がふっと入ったから
「誤爆かなー」とか思ってニヤニヤしながらやってしまった…俺の馬鹿orz

とりあえず、回線切断してウイルススキャンして放置してある(今は出先)

今後の対応として
scanで引っかかれば→駆除
引っかからなければ→万全を期すならOS再インスコ

でおk?
もちろんROは起動してないし、別PCからパス変更は済ませてあります。
ご教示ください

126 名前:(^ー^*)ノ〜さん :06/12/24 11:36 ID:3uHfMpPyO
弱い奴が垢ハクされるのさ…ふつ(さらさら)

127 名前:(^ー^*)ノ〜さん :06/12/24 11:46 ID:vOCHIo2n0
>125
南無。
今から取れる対策はそのぐらいしかない。
ウィルススキャンもカスペやNOD32といった検知しやすいタイプを使う事。
あと再インストールした際は当然WindowsUpdateは全て当て直す事。

見つからなかったから大丈夫、と言い切れないのがこの世界の怖さなので
HDDフォーマットの上OS再インストールが一番確実。

128 名前:(^ー^*)ノ〜さん :06/12/24 11:57 ID:szoiZocr0
外部EXEを実行しないようにしていれば大丈夫、と思っていたんだけど、

これじゃだめなのか?

129 名前:(^ー^*)ノ〜さん :06/12/24 11:59 ID:/8k67zrw0
俺も>>125と同じ所開いちゃったよ
得体の知れないEXEダブルクリックしたわけじゃないし
最インストどうするべきか
こういうときに限ってノートンが無反応だから困る

130 名前:(^ー^*)ノ〜さん :06/12/24 12:21 ID:O+d3V//e0
>>124
乙。IPがacyberhomeとgamesragnaroklinkと同一。
navipってことは北米用でWoWのパス抜きでもする気かな?

>>125
lovetw(略)can/ro.exe 12/20 151,040バイト版(一世代前)のMaran。
パターン更新を怠っていなければ検知できると思う。
設置されたスクリプトを見る限り、感染する条件としては
IEでVBScriptとActiveXが有効で、WindowsUpdateをしていないこと。

>>128-129
てなわけで、スクリプトでIEの既知の脆弱性(WindowsUpdateで阻止済み)を利用し
ActiveXコントロール経由で自動的にexeをダウンロードし実行する。
exeを明示的に踏まなければ可、てのは直リンにしか通用しない。

131 名前:(^ー^*)ノ〜さん :06/12/24 12:23 ID:a+/F37uT0
>>127
ありがとうorz
焦って仲間うちのBBSにあれそのまま貼っちまったよう…

>>129
どーか分からないんだけど
不可視フレームを使って、ウイルスの組み込まれたページを自動で読み込むような構成らしい
orz

VBSのスクリプト?によってウイルスを埋め込むっぽいが…良く分からん
最善をつくすなら、再インスコかなーと思って>>125でした

132 名前:(^ー^*)ノ〜さん :06/12/24 12:27 ID:szoiZocr0
ActiveXは実行する前に必ず許可取るよう設定してたけど・・・なんか不安だな
ウイルスバスター2006だとそのウイルス検知もできねぇ

133 名前:(^ー^*)ノ〜さん :06/12/24 12:28 ID:QyeCzHn80
先程踏んでしまったようです('A`)寝起きは注意力が鈍るから困る。

ブラウザがIEじゃないなら大丈夫・・・なんてことはないですよね?
とりあえずすごい勢いでスキャン中です_| ̄|○

134 名前:(^ー^*)ノ〜さん :06/12/24 12:28 ID:a+/F37uT0
>>130
あなたが神か!
ありがとう・゚・(つД`)・゚・

135 名前:(^ー^*)ノ〜さん :06/12/24 12:31 ID:/8k67zrw0
>>130
あんがとう
少し落ち着いたよ

136 名前:(^ー^*)ノ〜さん :06/12/24 12:34 ID:szoiZocr0
>>130
情報thx
Update最新、ActiveX自動実行なし(ただ実行しますか、のダイアログは出なかった)、
ウイルス検知せず(ウイルスバスター2006)
なら・・・問題ないんだろうか

137 名前:(^ー^*)ノ〜さん :06/12/24 12:56 ID:vOCHIo2n0
↓危険サイトリスト(下の行からコピーして「■」を半角ドット「.」に書き換えてください)↓
#
# Trojan trap sites
#
127.0.0.1 lovetw■webnow■biz
127.0.0.1 livedoor1■com
127.0.0.1 japangame1■com
127.0.0.1 jprmthome■com
127.0.0.1 gemnnammobbs■com
127.0.0.1 jpragnarokonline■com
127.0.0.1 playncsoft■net
127.0.0.1 zhangweijp■com
127.0.0.1 linrmb■com
127.0.0.1 rarbrc■com
127.0.0.1 linbbs■com
127.0.0.1 ptxk■com
127.0.0.1 rormb■com
127.0.0.1 zhangweijp■w100■okwit■com
127.0.0.1 jpgamer■net
127.0.0.1 jplingood■com
127.0.0.1 twmsn-ga■com
127.0.0.1 youshini■com
127.0.0.1 ds■07214404■com
127.0.0.1 dg■246911■com
127.0.0.1 77ch■jp
127.0.0.1 gamorimori■net
127.0.0.1 lineagalink■com
127.0.0.1 ragnaroklink■com
127.0.0.1 RagnarokOnlina■com
127.0.0.1 game-oekakibbs■com
127.0.0.1 homepage3-nifty■com
127.0.0.1 jpragnarokonline■com
127.0.0.1 www■honda168■net
127.0.0.1 game4enjoy■net
127.0.0.1 rmt-navip■com
#
# End of trojan trap sites
#

138 名前:137 :06/12/24 12:56 ID:vOCHIo2n0
前スレ528以降アプロダではなくレスとして危険URL一覧が出てないので纏め直してみた。
hosts用。
モレや間違い、追加等があれば修正お願いします。

139 名前:(^ー^*)ノ〜さん :06/12/24 13:04 ID:H7f6Kcdi0
twsunkom■com
というURLでいろいろなブログにコメント付いてるみたいですね。
リネのほうで注意喚起されてたURLだったようですが
注意してください。

140 名前:(^ー^*)ノ〜さん :06/12/24 13:10 ID:YWKOcGpt0
>>137
乙。早速登録した。

#上から6つ目のやつと下から4つ目のやつが重複しているようだ。
#127.0.0.1 jpragnarokonline■com ← これな

141 名前:(^ー^*)ノ〜さん :06/12/24 13:13 ID:szoiZocr0
NOD32、Kasperskyで検知なし
これを機にもう少しネットワーク系の勉強しよう・・・

ちなみに>>125はVIP板やRO系の板で発見したもの

>>137
hostsファイルってWindows\system32\drivers\etcにあるやつだっけ
右側で指定したドメインを左側のIPに置き換える、みたいな使い方できるんかな

142 名前:137 :06/12/24 13:17 ID:vOCHIo2n0
↓危険サイトリスト(下の行からコピーして「■」を半角ドット「.」に書き換えてください)↓
#
# Trojan trap sites
#
127.0.0.1 77ch■jp
127.0.0.1 dg.246911■com
127.0.0.1 ds.07214404■com
127.0.0.1 game4enjoy■net
127.0.0.1 game-oekakibbs■com
127.0.0.1 gamorimori■net
127.0.0.1 gemnnammobbs■com
127.0.0.1 homepage3-nifty■com
127.0.0.1 honda168■net
127.0.0.1 japangame1■com
127.0.0.1 jpgamer■net
127.0.0.1 jplingood■com
127.0.0.1 jpragnarokonline■com
127.0.0.1 jprmthome■com
127.0.0.1 linbbs■com
127.0.0.1 lineagalink■com
127.0.0.1 linrmb■com
127.0.0.1 livedoor1■com
127.0.0.1 lovetw■webnow■biz
127.0.0.1 playncsoft■net
127.0.0.1 ptxk■com
127.0.0.1 RagnarokOnlina■com
127.0.0.1 ragnaroklink■com
127.0.0.1 rarbrc■com
127.0.0.1 rormb■com
127.0.0.1 rmt-navip■com
127.0.0.1 twmsn-ga■com
127.0.0.1 twsunkom■com
127.0.0.1 youshini■com
127.0.0.1 zhangweijp■com
127.0.0.1 zhangweijp■w100■okwit■com
#
# End of trojan trap sites
#

143 名前:137 :06/12/24 13:18 ID:vOCHIo2n0
ダブりがあったのとサブドメインにしてなかったのがあったので訂正。
ついでにアルファベット順に並べ替えてみた。
手動で目視Sortなので多少順番狂ってても(・ε・)キニシナイ!!

144 名前:(^ー^*)ノ〜さん :06/12/24 13:20 ID:O+d3V//e0
>>125 をもうちょい詳しく。うぜーって人はスルーで。
まずIEで踏み、IEでソースを表示したところ。
ttp://www.mmobbs.com/uploader/files/1713.png
一見無害、というか何もしていないように見える。

ところがFirefoxなどで表示できる実際のソースはこれ。
ttp://www.mmobbs.com/uploader/files/1714.png
構成を見ると、短いJavaSciriptと、IEでしか動かない怪しげなVBScriptからなる。
冒頭のJavaScriptで上書きをかけ、IEでのソース表示を騙す
(これ注意ね。読み込んだHTMLそのまま表示すりゃいいのに…
Firefoxのソース表示はいちいち読み直す)。

145 名前:(^ー^*)ノ〜さん :06/12/24 13:22 ID:O+d3V//e0
ダミー表示用JavaScriptには消えてもらい、VBScriptを書き換えて
この数字の羅列が何をやってるか見たのがこれ。
ttp://www.mmobbs.com/uploader/files/1715.png
セキュリティソフトの解析をすり抜けるためか変数の山だど、
置き換えたりしなくてもXMLHTTPとかAdodb.Streamとかで
can/ro.exeがL_fy80.exeとしてダウンロードされ実行され感染乙なのはわかる。
で、この実行ファイルが例のMaran。
実行されるといくつかのファイルにばらけるのは既出のとおり。

146 名前:(^ー^*)ノ〜さん :06/12/24 13:32 ID:O+d3V//e0
>>141
後半、その認識で正しい。スパイウェアもそれを利用し
SymantecやMcAfeeやMicrosoft(WindowsUpdate)に接続できないように
hostsを書き換えるものもある、というか多い。

147 名前:(^ー^*)ノ〜さん :06/12/24 13:41 ID:O+d3V//e0
>>143
acyberhome■com
dj5566■org
gamesragnaroklink■net
hinokihome■com■tw
toyshop■com■tw

全て最近Maranを設置したところ。

148 名前:137 :06/12/24 13:50 ID:vOCHIo2n0
>147
どうもです。
連続して張るのもあれなので、夜以降にでも含めた分を張ります。
hosts書き換える人は各自で>147を含めて追記しておいてください。
それと>142のは>139含みです。

149 名前:(^ー^*)ノ〜さん :06/12/24 14:27 ID:szoiZocr0
>>146
さんきゅ。早速hostsファイルに書き込みました。

150 名前:(^ー^*)ノ〜さん :06/12/24 17:17 ID:Yc267Kn80
と言うか基本的にFirefoxでネットしてる俺は安全系?

151 名前:(^ー^*)ノ〜さん :06/12/24 17:30 ID:xNP3T1J40
そういう奴が一番危ない

152 名前:(^ー^*)ノ〜さん :06/12/24 18:23 ID:xXknlRo30
××を使っているから安全というのは一番危険な考え
安全だからと思って何も対策しないとバグをつかれて感染するだけ
つい最近Firefoxの2.0.0.1が出たし

プラグインとかの拡張機能が全くないテキストブラウザなら、ほぼ安全
(これでも超長いURLによるバッファオーバーフロー攻撃を受ける可能性が0ではない)

153 名前:(^ー^*)ノ〜さん :06/12/24 18:38 ID:O9hyKPvJ0
VBScriptが走らないという点でおいてのみ、安全だとは言える
それだけでしかない

154 名前:(^ー^*)ノ〜さん :06/12/24 18:44 ID:P8GaFrBw0
FlashPlayer、ShockwavePlayer、AdobeReader、RealPlayer、QuickTimePlayer、etc.
この手の拡張はActiveXコントロールとNetscapeプラグインの両方が提供されていて
Fxは後者を使う。これらに脆弱性があった場合の危険性は変わらない
(RealPlayerについてはdj5566などで既にリネージュトロイに使用済み)。
ブラウザそのものも、Fx1.5.0.8や2に脆弱性が見つかって
最近Fx1.5.0,9や2.0.0.1が出ている(自分は3Alpha(GranParadiso)だけど)。

155 名前:(^ー^*)ノ〜さん :06/12/24 18:49 ID:EOYpa2TN0
>>152
そこまで行くと本末転倒だけどナー。

156 名前:(^ー^*)ノ〜さん :06/12/24 19:23 ID:O9hyKPvJ0
俺はα版使ってるテスターだって言いたかっただけちゃうんかと

157 名前:(^ー^*)ノ〜さん :06/12/24 20:01 ID:SPuSwekY0
ま、人が作って人が使う以上100%の安全はありえないことを念頭に置けばおk。

158 名前:(^ー^*)ノ〜さん :06/12/24 21:26 ID:fGYopslg0
俺も>>125のやつ踏んじまった
FireFox2.01で開いたからどうにか感染しないですんだけど
マジで怖いなコレ。

159 名前:(^ー^*)ノ〜さん :06/12/24 21:34 ID:fF6RO8P40
rmt-navipに続き垢ハック連中の別の未使用ドメインを発見した。

これにご用心だ、ガマニアに似せた名前だ。
gamaniaechどっとこむ

登録情報がrmt-navipと同一だ。
よって垢ハック専用で間違いない。

160 名前:(^ー^*)ノ〜さん :06/12/24 22:01 ID:P8GaFrBw0
乙。jplin■comと同一IP。
しかしドメインいくつ持つ気だ…RMTからだろうけど金あるなぁ。

161 名前:(^ー^*)ノ〜さん :06/12/24 22:12 ID:mhxK4CF/0
同じく>>125の踏んでしまいましたorz
カスペでスキャンしたところ

C:\System Volume Information\_restore{9ACA7A7A-5A9B-4952-B440-D5A9BC2EB667}\RP510\A0101725.exe/stream/data0001 感染: Trojan.Win32.DNSChanger.gx

C:\System Volume Information\_restore{9ACA7A7A-5A9B-4952-B440-D5A9BC2EB667}\RP510\A0101725.exe/stream/data0002 感染: Trojan.Win32.DNSChanger.gi

C:\System Volume Information\_restore{9ACA7A7A-5A9B-4952-B440-D5A9BC2EB667}\RP510\A0101725.exe/stream 感染: Trojan.Win32.DNSChanger.gi

C:\System Volume Information\_restore{9ACA7A7A-5A9B-4952-B440-D5A9BC2EB667}\RP510\A0101725.exe NSIS: 感染 - 3

とまぁ感染してるようなのですが対処法がさっぱり分かりません・・・

162 名前:(^ー^*)ノ〜さん :06/12/24 22:14 ID:xiOTcrvF0
フォーマットの後OS再インストール

163 名前:(^ー^*)ノ〜さん :06/12/24 22:37 ID:DpODtlGc0
とりあえずそのファイル消したいならシステムの復元を無効にすることで消せる

参考: http://www.ahnlab.co.jp/faq/faq_virus.asp

164 名前:(^ー^*)ノ〜さん :06/12/24 22:42 ID:xXknlRo30
>>125って最近あったWindows(IE?)の脆弱性をついた侵入なんだよね?

いまだにWindows Updateすらしていないのもなー

165 名前:(^ー^*)ノ〜さん :06/12/24 23:04 ID:aCu+0i+60
oekakibbs踏んだものですがwindowsupdateしてあれば
だいじょうぶですかね・・・?

166 名前:(^ー^*)ノ〜さん :06/12/24 23:09 ID:xiOTcrvF0
まずはチェックしておいで

とりあえず最低限踏んだと思ったらウイルスのチェックだけはして
「大丈夫ですか?」と聞かれてもおそらく誰も大丈夫とは言い切れない
ここら辺で対応などまとめておかないと不味そうですかね

167 名前:(^ー^*)ノ〜さん :06/12/24 23:15 ID:aCu+0i+60
そうですよね・・・。
ノートンのスキャンでは何もでてきませんでした

168 名前:(^ー^*)ノ〜さん :06/12/24 23:29 ID:xiOTcrvF0
ウイルスに感染しない予防策
・当たり前のようだけど怪しいと思ったURLは開かない。
・アンチウイルスソフトを導入しておく。
 一概には言えないがNOD32・kasperskyが優秀。
・WindowsUpdateを最新の物にしておく。
 毎月第2水曜日に更新されます。
 希に緊急アップデートがあるので情報収集なども怠らないように。
・hostsファイルに危険URLを書き込んでおく。
 「windows\system32\drivers\etc」または「winnt\system32\drivers\etc」
 にあるhostsというファイルをテキストで開き>>142>>147を「追加」する。
 元ある文字列は消さないように注意。
 アドレスは随時増えているのでこれを追加しても安心しないように。
・「自分は大丈夫」などと思って油断しないことが大切です。


万が一踏んでしまったら
・そのPCでROは起動せず、他のPCを使ってパスなどを変更しておきましょう。
 安心できるまでそのPCではネット接続を不可にしておくと良いかも。
・アンチウイルスソフトを使ってスキャンしましょう。
 定義ファイルは常に最新の物にしておきましょう。
 導入してない人はオンラインスキャンがあります。
 ttp://www.kaspersky.co.jp/scanforvirus/
 ウイルスの種類・ソフトの種類などで検知できない場合があります。
・不安が拭えないという人はHDDをフォーマットしOSの再インストールをオススメします。


ここまでのまとめみたいなもの、修正・追加などありましたらお願いいたします。

169 名前:(^ー^*)ノ〜さん :06/12/24 23:41 ID:SPuSwekY0
修正・追加案

>ウイルスに感染しない予防策
→ウイルスに感染しない“最低限”の予防策

>・「自分は大丈夫」などと思って油断しないことが大切です。
→・いつまでも有効で100%安全な対策は存在しません。
  「対策をしているから大丈夫」などと油断しないことが大切です。

170 名前:(^ー^*)ノ〜さん :06/12/24 23:41 ID:SPuSwekY0
安全じゃなくて確実の方がいいかな。

171 名前:(^ー^*)ノ〜さん :06/12/24 23:50 ID:fF6RO8P40
なんというか、また垢ハック専用ドメインを発見した
playseseどっとこむ

ドメイン登録情報から確定。


以下も連中の垢ハック用と思われるもので登録日時が近似。
これらは / は一見普通で、ディレクトリ以下に罠を置くタイプかもしれない。
このため現時点では微妙なのだが俺はhostsに入れておいた。

福建で登録
guild-wars-onlineどっとこむ ギルドウォーズを連想
cabalolどっとこむ CABAL ONLINEを連想

中国その他で登録
rohanolどっとこむ ROHANを連想

172 名前:(^ー^*)ノ〜さん :06/12/24 23:52 ID:cjBb/t0c0
マジでキリがないな……
組織的にやってるんだろうと思うけど、リアルで摘発できんもんかねぇ

173 名前:137 :06/12/25 00:00 ID:6zpOEHeA0
↓危険サイトリスト(下の行からコピーして「■」を半角ドット「.」に書き換えてください)↓
#
# Trojan trap sites
#
127.0.0.1 77ch■jp
127.0.0.1 acyberhome■com
127.0.0.1 cabalol■com
127.0.0.1 dg■246911■com
127.0.0.1 dj5566■org
127.0.0.1 ds■07214404■com
127.0.0.1 gamaniaech■com
127.0.0.1 game4enjoy■net
127.0.0.1 gamesragnaroklink■net
127.0.0.1 game-oekakibbs■com
127.0.0.1 gamorimori■net
127.0.0.1 gemnnammobbs■com
127.0.0.1 guild-wars-online■com
127.0.0.1 hinokihome■com■tw
127.0.0.1 homepage3-nifty■com
127.0.0.1 honda168■net
127.0.0.1 japangame1■com
127.0.0.1 jpgamer■net
127.0.0.1 jplingood■com
127.0.0.1 jpragnarokonline■com
127.0.0.1 jprmthome■com
127.0.0.1 linbbs■com
127.0.0.1 lineagalink■com
127.0.0.1 linrmb■com
127.0.0.1 livedoor1■com
127.0.0.1 lovetw■webnow■biz

174 名前:(^ー^*)ノ〜さん :06/12/25 00:00 ID:K/29VoEx0
>>172
摘発されたとしてもやつらは次から次に沸いてくるのであまり効果がないのが現状。

175 名前:137 :06/12/25 00:00 ID:6zpOEHeA0
127.0.0.1 playncsoft■net
127.0.0.1 playsese■com
127.0.0.1 ptxk■com
127.0.0.1 RagnarokOnlina■com
127.0.0.1 ragnaroklink■com
127.0.0.1 rarbrc■com
127.0.0.1 rohanol■com
127.0.0.1 rormb■com
127.0.0.1 rmt-navip■com
127.0.0.1 toyshop■com■tw
127.0.0.1 twmsn-ga■com
127.0.0.1 twsunkom■com
127.0.0.1 youshini■com
127.0.0.1 zhangweijp■com
127.0.0.1 zhangweijp■w100■okwit■com
#
# End of trojan trap sites
#

176 名前:137 :06/12/25 00:01 ID:6zpOEHeA0
>173,>175
改行規制に引っかかったので1レスで投下できなかったので2つに分割。
見落としてなければ>171までのを含んでいます。

177 名前:(^ー^*)ノ〜さん :06/12/25 00:06 ID:4OzF7kM30
ドメインは次々湧くがIPアドレスでは同一なのが多いから、ホスト名制限よりは
IPアドレス制限の方が多少楽に

問題はWindows単体での実現方法はあったかな?

178 名前:137 :06/12/25 00:29 ID:6zpOEHeA0
>177
単体ではなかったと思う。
前スレでもipフィルタのソフト(PeerGuardian2等)が勧められてた理由は
それだったはず。

自分は通常の統合系アンチウィルスソフト(KIS)に加えてhostsの書き換えと
PG2を使ってる。
それでも万全とは言えないけどね。

179 名前:(^ー^*)ノ〜さん :06/12/25 00:35 ID:e7e4b/kX0
>>172
アジア統括のAPNICから、CNNICに対して警告でも出してもらうくらいか。
JPCERT/CC方面にでも、粘り強く報告を上げるのが良いかも。

>>177
一応、こんなのもある。
ttp://www.42ch.net/~shutoff/
>うざい国からのアクセスを全て遮断
ここに有るのは鯖用の内向きフィルタなので、外向きに書き換えればとりあえずは使い物になるか。
PFW導入が、更に有意なのは言うまでもないが。

180 名前:(^ー^*)ノ〜さん :06/12/25 15:44 ID:nTjo2adW0
lovetw・zhangweijp系で把握しているだけで、
深夜から今朝にかけて1ダースのMaranの更新を確認。
重複がいくつかあり、種類としては8つほど。
oj9sound.dllなどがojviewer.dllに変更。

181 名前: ◆sp4Sh9QXGI :06/12/25 23:05 ID:ZNtQmoJN0
まとめサイト更新しました。
 >>137さま:
  危険URL情報を更新しました。まとめ&ソートありがとうございます。
 >>168さま、>>169さま:
  予防策を一部引用させていただきました。
  事後報告ですがありがとうございました。

 亀レスですが>>2さま:
  テンプレ追加ありがとうございました(´・ω・`)ノ

182 名前:(^ー^*)ノ〜さん :06/12/25 23:07 ID:Jeu7Okj+0
お疲れ様です、定期上げしておきます

183 名前:(^ー^*)ノ〜さん :06/12/25 23:39 ID:yc7ELkuq0
>>125のサイトが突いている脆弱性に対する対抗策って、これ?
http://www.microsoft.com/japan/technet/security/bulletin/ms06-072.mspx

Internet Explorer 用の累積的なセキュリティ更新プログラム (925454) (MS06-072)
公開日: 2006年12月13日 | 最終更新日: 2006年12月13日

これなら、入ってるはずずずず

184 名前:(^ー^*)ノ〜さん :06/12/26 00:24 ID:LKTeDw8p0
んと、http://www■twmsn-ga■com/Gr001■htmっての踏んじゃって
ここに書いてる対処法の最初としてカスペルスキーのオンラインスキャンを行ってみたところ
WINDOWS\SYSTEM32\dllcache\migwiz.exe
ってところでスキャンが止まってしまいました。
これは何か問題があるってことなのでしょうか?

185 名前:(^ー^*)ノ〜さん :06/12/26 02:40 ID:Y4OaoH000
こういうの>>184っていい加減スレ違いだと思うんだが、どうなんだろうか

186 名前:(^ー^*)ノ〜さん :06/12/26 03:30 ID:LKTeDw8p0
確かにスレタイからしたらちょっと行き過ぎた質問ですね_| ̄|○
んー他にこういう相談事できそうなところありませんかねぇ
この板見回してそれっぽいのが見つからなかったもので・・・

187 名前:(^ー^*)ノ〜さん :06/12/26 03:31 ID:fXj+oZuk0
>>185
そうだよな、相談にのらずに蔓延させたほうがいいよな

188 名前:(^ー^*)ノ〜さん :06/12/26 04:10 ID:4Rp4nwby0
また増えた。一連の奴と同じ。bbs-qrcode■com

189 名前:(^ー^*)ノ〜さん :06/12/26 04:57 ID:9bvon+eD0
>>184
とりあえず他のオンラインスキャンでためてしてみたら?

190 名前:(^ー^*)ノ〜さん :06/12/26 09:38 ID:szcv5JcX0
次スレが立つ時は2chのセキュ板とかの誘導を張ったほうがいいかもしれないね。
慌てて駆け込んでくる気持ちはわかるが、大抵スレや板の範疇を超える内容だし。

>186
オンラインスキャンがダメならカスペやNOD32の体験版を入れてチェックするとか。
ちなみに自分の場合、環境と設定の関係もあってカスペの完全スキャンが数日かかる。
exeやchmとかで圧縮されてるファイルは時間かかるから止まって見える事もある。

>188
乙です。
それRO等のMMOに限らず一般でも悪用されそうなドメインだ……

191 名前:(^ー^*)ノ〜さん :06/12/26 09:40 ID:6ctzshf00
>>190
あそこへの誘導は辞めておいた方が良いぞ…

192 名前:(^ー^*)ノ〜さん :06/12/26 10:22 ID:3fCNh+EQ0
前スレでもちょっと出てた意見だけど、スレを二つにしちゃうのも案だと思う。
『アカハク問題情報集積スレ』と『アドレス鑑定&対応相談スレ』とかにして後者を強制sage
にするとか。若しくは、そういう相談も有りなスレにしちゃうという方法もありと思う。

私も2chセキュ板はあんまりお勧めしたくない。MMOBBSにROに即した助言ができる人が
居る間はこの板の中で対応を図って問題無いと思う。結構状況に即した助言というのは
大事だと思うのよ。もしここの助言者でも手におえない場合は2chセキュ板に回ってもらう
のがいいんじゃないでしょうか。

193 名前:(^ー^*)ノ〜さん :06/12/26 10:38 ID:ButWHuga0
個人的には流れが滅茶苦茶はやいわけでもないから、このスレだけで
いいと思うけど、必要だと思う人がLiveROに立てるなり
こっちでスレ申請するなり、したらば借りるなりしたらいいんじゃない。

盛り上がるか淘汰されるかは、その後にわかること…

194 名前:(^ー^*)ノ〜さん :06/12/26 11:31 ID:+GjtUJC10
ついさっき自分のROサイトに上記のhomepage3-nifty■comが貼られました。
知らない人の名前で発光式のご案内として書かれていました。
てっきり知り合いの誰かと思い、簡単に踏んでしまいました・・・。
明らかにRO関係の文章だったので垢ハックが目的なんだろうけど、巧妙なんですね・・・。
パソコンまったくわかりませんが、上を読んでとりあえずシステムの復元をしてみました。
今ウイルススキャン試してます。
メンテ中につきサブPCでパス変えとかできません。
このスレ一生懸命読んでみます。このスレあってよかった。ありがとうです。

195 名前:(^ー^*)ノ〜さん :06/12/26 16:39 ID:3fCNh+EQ0
>>194
お疲れさまっす。何か有ったら遠慮無く。
で、ちょっとお願いがあるんだけど、現在、アカウントハックドメインは結構情報が
集まっているけど、その投稿をしてくるヤツのIP情報はcn.cndata.com以外全然
見当たらないんだよね。若しアクセスログや掲示板ログを見てそいつらのIPが、
分かったらそれも報告してもらえると助かります。他のHP管理人のアク禁処理に
役立つから。

あと、homepage3-nifty■comの完全なアドレスも出来たら欲しいかも。
>>184みたく書いてもらえればどんなウイルスなのかを我々も把握できるし
新種だったらアンチウイルス会社に検体提供できるし。

196 名前:(^ー^*)ノ〜さん :06/12/26 17:22 ID:pJblvijf0
お疲れ様です。活動が活発化してるようなので上げます。

197 名前:185 :06/12/26 20:15 ID:FbNjR5Bh0
2chのセキュ板チラッと見てきたけど、ありゃひどいな・・・
俺の発言は撤回する。すまんね

198 名前:(^ー^*)ノ〜さん :06/12/26 22:33 ID:cRpmDwJM0
freyaで今までのと違う名前の商人で垢ハック露店を目撃…(看板が「売り装備」)

199 名前:(^ー^*)ノ〜さん :06/12/26 22:44 ID:J4LE48lw0
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1164984508/
プロ精錬所でBSが移ってるSSなんですが、垢ハクウィルスとか
大丈夫ですかね? 今からカスペルスキー行って来ます。

200 名前:(^ー^*)ノ〜さん :06/12/26 22:50 ID:PXNNcUDm0
意味不明

201 名前:(^ー^*)ノ〜さん :06/12/26 22:58 ID:KLGxdhEZ0
>>199
気を確かに持て

202 名前:(^ー^*)ノ〜さん :06/12/26 23:38 ID:jcfTjHyX0
>>199
もしかしてブログかなんかに貼り付けられたURLのやつ?
それなら感染してしまうSSだった。

203 名前:(^ー^*)ノ〜さん :06/12/26 23:48 ID:6ctzshf00
えーと?
「blogに貼られてたURLを開いたら
 プロ精錬所にいるBSが写ってるSSが載ってるページが開いた
 これは垢ハックページですか?」
ってことなのだろうか…?ともかくもっと詳しく
ここのURLを貼ってるのもよくわからないし

>>202
感染してしまうSSってのもなんか言い回しがアレッスよ

204 名前:194 :06/12/27 00:10 ID:I1AaGWKT0
>>195
■名前 おぼんぬ
■メールアドレスもついてました。sweetとか入ってた気がします・・・うろ覚えですが・・・。
■アイコンはギルドメンバー専用のものを使用
■内容 集会ではお世話になりました。△△、●●、○○(忘れました)と3人で発光します。詳細はこちら→アドレス。よかったらきてくださいね。

こんな内容でした。すみません、ここでアドレスを見たあと急いで削除してしまったのです。覚えてる限りの情報ですがこの程度で申し訳ないです。
偶然なのか、●●は私の所有キャラと酷似した名前、△△はギルドメンバーの別キャラをひらがなにしたものでした。
でもアイコンのメンバーと△△の本キャラは別人です。
集会というのがひっかかったのと、私の鯖の●●という人は見たことがあったので同鯖の知り合いではないと思い、ギルドメンバーが別鯖のを間違えていれたのかとかそんな風に思ってひらいてしまいました。

システム復元→プロバイダーのウイルス検索で12件発見→カスペルスキー試用版インストール・スキャン(1回目10件削除2回目2件削除)
幸いにもメンテ中だったのでその間にガンホーパスとROパスの変更を行いました。
今のところ垢ハックもされていません。
試用版よりも製品版?の方がいいと聞いたので明日にでも買いに行こうと思います。
本当このスレがあってよかったです。皆さんこれからも頑張ってください。

205 名前:(^ー^*)ノ〜さん :06/12/27 00:10 ID:6WJUXLpF0
昔(最近もあったっけ?)、細工したjpgを開くと任意のプログラムを実行できるって
セキュリティーホールがあったし

まぁ、それのことでは無いようだけど

206 名前:(^ー^*)ノ〜さん :06/12/27 00:21 ID:m5nKcqjo0
>>204
試用版は利用できる期限が定められてるだけで
性能的には製品版と変わらない物がほとんどかな、アンチウイルスソフトは

207 名前:199 :06/12/27 00:37 ID:WutL8lG+0
申し訳ない Janeから書き込めなくてIE使った時にURLコピーしたままでしたorz
日記のコメントのURLがプロ精錬所にいるBSのSSでした
コメントを既に削除してしまっていて、そのURLは出せませんが
カスペルスキーでスキャンした所 検出されませんでした
URLの拡張子はJPGです
アドレスを削ってもうpろだ等は出てこなかったので怖くなった次第です・・・

208 名前:(^ー^*)ノ〜さん :06/12/27 00:50 ID:iCZD/mDY0
avgとかavastみたいなフリーでも十分使えるからソフトを買う必要はない

209 名前:(^ー^*)ノ〜さん :06/12/27 01:03 ID:8nkcG0Nw0
HP運営してるんですが、先日投稿メールにてこんなのが来ました。

----

[Name] 本家ROと比較すると
[Mail]

[Comments] もちろん無料
ROエミュ
本家ROと比較すると
Base獲得経験値倍率 50倍
Job獲得経験値倍率 50倍
アイテムドロップ率 8倍
装備ドロップ率 8倍
カードドロップ率 40倍
最新マップとオリジナルモンスター実装。
オリジナルNPC有り。
ペットボーナス付加有り
タナトス、テコン、忍者、ガンスリンガー実装
生体実験所、氷の洞窟、フレア神殿、
アルナペルツ教国、オーディン神殿、キルハイル等実装

転生回数250回
転生ボーナス=転生回数*100
ステ上限 VIT,STR 500 それ以外250
LV上限201

等々

超過疎
www■gemnnammobbs■com
よろしくです

----

エミュ鯖の時点で怪しさ満点ですが、
アドレスをググったら案の定トロイURLでした。
他のHP運営されている方、お気をつけください。

210 名前:(^ー^*)ノ〜さん :06/12/27 01:05 ID:Hp8Yf6Z60
>>199
水色背景で首都の精錬所の風景SSのみってのはlovetw系の偽装ページに良くある。
SSが他の画像って事も結構有り。

>>204(194)
初回スキャンで12件というのも凄いなー。WindowsUpdateやアンチウイルスソフト
つかってなかったね?これに懲りてこれからは用心しましょー。

>>194,199
実際にIEでアドレスを踏んだ場合、IEの履歴を見ればその具体的なアドレスは判るよ。
ただ、誤クリックしたらまたアドレスを踏んじゃいかねないから自信が無ければ
IEの履歴も抹消しちゃった方がよろし。

211 名前:199 :06/12/27 01:15 ID:WutL8lG+0
カスペルスキーでスキャンした所 何も検出されなかったので
安心してたのですが、OS入れなおすべきですかね?
IEの履歴ですが、長い事削除していなかったので多すぎて
拡張子がJPGの分だけでもかなりあったのでアドレスを出せそうにありません。
同じような目にあう人のためにアドレスを張った方がいいのでしょうが
役に立てず申し訳ないです

212 名前:(^ー^*)ノ〜さん :06/12/27 01:24 ID:sbJhJoUj0
気になるなら、処置としてはOS入れなおしが一番確実。
まあ、対策とっていかないとその繰り返しになるんだけどね('A`)

213 名前:(^ー^*)ノ〜さん :06/12/27 01:42 ID:sbJhJoUj0
最近みかける生活臭漂う露天は、垢ハクなのか本当に売りなのかすげー悩む。
看板が「売り装備」、G無所属で名前はひらがなだけの商人とか。

214 名前:(^ー^*)ノ〜さん :06/12/27 01:49 ID:N5zY8DX00
Ses垢ハック露店商人が第二弾並べとる・・・
しかも微妙に売れてるのがせつねぇー!

215 名前:(^ー^*)ノ〜さん :06/12/27 02:06 ID:suP7WiGz0
>>213
それは多分垢ハックだな
うちの鯖でもkwctedsみたいな感じの名前の商人が同じ露天名で出してるわ
しかも2つある

216 名前:194 :06/12/27 02:30 ID:I1AaGWKT0
>>210
はい、Updateはしていましたが(でもいいかげん)ウイルスソフトは過去にきれてから入れてませんでした。
私のPCは今はゲーム機のようなものなので気にしてなかったのですが、これからは用心します。

で、IEの履歴ありました!
homepage3-nifty■com の 9865615■htm というのがそれだと思います。
掲示板はレンタルで削除してないものはIPだせるようでしたが、アクセスログまでわからなそうでした。

217 名前:(^ー^*)ノ〜さん :06/12/27 04:15 ID:P7AggXGP0
自分のPCがウイルスに感染することで他者に迷惑をかけることがあるという最低限のことも理解しておいてくれ。
自分のPCがぶっ壊れる程度で済むなら安いものだよ。

218 名前:(^ー^*)ノ〜さん :06/12/27 06:52 ID:NI63/MDM0
>>213
こういうのでわかる。

↓ろ。
ttp://at-x.net/s.jsp?se=2&wo=512&uc=g&uid=84908

219 名前:194 :06/12/27 08:47 ID:QAKuUwFD0
>>217
そうですね、本当に”ウイルス”なんですね。注意が足りませんでした。気をつけます!

220 名前:sage :06/12/27 08:50 ID:2P6fNvHw0
どうでもいい事かもしれないが流し読み程度に見ておいてくれ

昨日ノートンでフルスキャンしてウイルス検知なしだったんだが、
今カスペでスキャンして小一時間放置したらもう感染ウイルス27、感染オブジェクト300以上見つかった…

勿論ノートンのほう定義とか毎日更新してたんだがなぁ…
安心なんてできないもんだな(´・ω・`)

221 名前:(^ー^*)ノ〜さん :06/12/27 08:51 ID:fjdGIPwg0
>>213
同じ看板で、同じくハックくさい商品の露天が数日前の狼にもあった。
ほぼ間違いなく垢ハック。

222 名前:(^ー^*)ノ〜さん :06/12/27 08:51 ID:2P6fNvHw0
久々すぎてageちまったスマソ

223 名前:(^ー^*)ノ〜さん :06/12/27 09:04 ID:1PqgdvGx0
数日前だが、ついにForsety鯖にもsell sell露店があったorz
中身はただのBOT露店だっんでハクられた奴はいなさそうなのが救いだったが…

>>222
キニスンナー

224 名前:(^ー^*)ノ〜さん :06/12/27 13:47 ID:vZVLVCmB0
>>220
それノートンに反応したんじゃないよな?

225 名前:(^ー^*)ノ〜さん :06/12/27 13:58 ID:IrxHlo5U0
>>220
ノートンの検疫項目に退避されてるファイルを削除してから、もう一度スキャンしてみそ。

226 名前:(^ー^*)ノ〜さん :06/12/27 15:03 ID:FjngI6KU0
サーバ構築やってる技術者なんですけど、このスレ見つけて
もしかしたらやばいかも!?と思ってカスパースキャン
してみましたが、
ウィルスもオブジェクトもゼロでした。


そういう事に気をつけてる人ってのはひっかかりにく
いんでしょうかね。
今なにも知らないでプレーして情報を探している人とか
本当に心配。

ギルメンにはこういう事があるんだよということを
さりげなく伝えて、気をつけてもらうようにしたいと思いました。

いまはゲームがメインかもしれないけど、いずれ銀行や証券とか
実生活にも大きく関わってくるような非常に重要な問題な気がします。
有志の方はほんとうにエライ。

チラシの裏でした(^^)ノシ

227 名前:(^ー^*)ノ〜さん :06/12/27 16:31 ID:lIMd/h940
>>226
いや、さすがにあんたが感染しまくってたらちょっとあれだろ…

228 名前:(^ー^*)ノ〜さん :06/12/27 16:48 ID:9Pb7UtH70
1段落目の1行目と2段落目の1行目で自己矛盾を起こしてるんだが……

229 名前:(^ー^*)ノ〜さん :06/12/27 19:07 ID:8BZ6FkYp0
釣りだろ。

230 名前:(^ー^*)ノ〜さん :06/12/27 21:52 ID:pAlACmDH0
>>195
>若しアクセスログや掲示板ログを見てそいつらのIPが、
>分かったらそれも報告してもらえると助かります。

TEACUPで10月から12月にかけて書き込まれているもの。

以下はページソースで確認したもの、少なくとも連中のTEACUP攻撃では串使用傾向が高いようだ。
FKCfb-07p2-233.ppp11.odn.ad.jp 福岡県 光接続
222.122.163.15 韓国
ipc640.inf-db.uni-jena.de 欧州連合 (EU)

231 名前:(^ー^*)ノ〜さん :06/12/27 23:11 ID:sbJhJoUj0
昨日みかけた垢ハックくさい露天みつけたので観察中。
一度落ちたかと思ったら、なんか微妙に肉入りっぽく動いてる。

232 名前:(^ー^*)ノ〜さん :06/12/28 00:12 ID:EELH/LOa0
test

233 名前:(^ー^*)ノ〜さん :06/12/28 00:13 ID:EELH/LOa0
先日コメントにこんなものがありました。

投稿者 ハルヒコ
メールアドレス
URL http://www■playncsoft■net/b。tb。kumetu/
投稿内容
クホグレ店売りナイフ100実験。
武器研究10BS
+8(82/100)
+9(17/82)
+10(13/17)
乱数の悪魔が???ポリンに食わせてきます。
http://www■playncsoft■net/b。tb。kumetu/
IPアドレス 222.78.69.117
投稿日時 2006-12-24 21:14:57

名前もURLも完全に知らないものです。
b。tb。kumetuといえばいわずもがな某有名サイトですが本家ならライブドアのはずなのでありえません・・・。
ちなみに私のブログはBSWSのブログなので、コメントのネタ的にはピッタリです・・・。
一番ありえないのは武器研究無き今13/17も+10が成功して(ry

調べてはいませんが、おそらくウィルス関係のものだと思われるので張らせていただきました。

234 名前:(^ー^*)ノ〜さん :06/12/28 00:44 ID:w+i5+o1Y0
>>233
lovetw系ですね。lovetw上のウイルス(Maran.BY, 151,040bytes)を呼び出しています。
このウイルス、12/26に更新なので対応して無いアンチウイルス会社も有ります。
カスペ・NOD32辺りは対応済みなので、間違って踏んだ人はその辺を使えば安心でしょう。

>222.78.69.117
=> 117.69.78.222.broad.dynamic.ly.fj.cn.cndata.com
やっぱりこのHOSTが多いのかねぇ。ウイルスアドレスのドメインでググると
ezbbs上に有るのを結構目にするんだけどそれで分かるIPもcn.cndata.comばかり
(ezbbsもコメントで投稿者のIPが表示される)。大概はcn.cndata.comをアク禁すれば
管理者としては上手くいくかもですね。>>230の報告の様に串使ってこられたら
まためんどくさくなりますが・・・。

235 名前:(^ー^*)ノ〜さん :06/12/28 00:54 ID:Arjk/EQU0
アクセス制限の機能にもよるけど、.jp以外とホスト名がIPアドレスのままのを
全部制限すれば、ほぼ閉め出せるぞ

まぁ、某プロバイダだと.netになるので巻き添えになってしまうが

236 名前:(^ー^*)ノ〜さん :06/12/28 01:18 ID:EELH/LOa0
>>234
やはりウィルスでしたか・・・。
私も自分なりにやってみましたがいかんせん慣れてないもので、ありがとうございました。

237 名前:(^ー^*)ノ〜さん :06/12/28 03:42 ID:krJpWoAS0
Commented by とおりがかり at 2006-12-28 03:12 x
スペシャルアイテム「戦闘教範50」の仕様に追記。
→モンスター討伐時に獲得する経験値の他、クエストなどのNPCから獲得できる
 経験値にも効果が適用されることを、アイテムの説明文、およびFAQに追加いたしました。
 なお、ゲーム内の「戦闘教範50」の説明文は、現在モンスターの討伐のみを記載しておりますが、
 今後のメンテナンスにて修正を予定しております。
http://www■jpgamer■net/archive/26/

私のブログのコメント欄に残されていたものですが、ウィルス関係でしょうか?
自分のブログと、リンク先のほとんどのブログ(ただしエキサイトのみ)に
書き込まれているので、どうにも怖くてなりません。

238 名前:237 :06/12/28 04:14 ID:krJpWoAS0
すいません、自己解決しました。
BSwikiで調べたところ、lovetw系だということで、ウィルスですね。
できるだけ踏まないように注意を促してくるとします。
もう踏んじゃった場合は・・・自分でなんとか対処してもらうしかないですね。

239 名前:(^ー^*)ノ〜さん :06/12/28 05:26 ID:p5xbvXco0
うん、jpgamerってのがもうこのスレに出てる危険URLにあるからね
blogの設定で規制できるなら>>173>>175のリストを入れておくといいよ

240 名前:(^ー^*)ノ〜さん :06/12/28 08:30 ID:+4oOVsDR0
もうログイン画面の数字パスワードも役にたたんか。
とっぱらってカプラキーにしてほしいな。

241 名前:(^ー^*)ノ〜さん :06/12/28 08:33 ID:p5xbvXco0
盗む場所が変わるだけで大差はないよ、他国はカプラキーでハックウイルス有りなんだし
なんにせよ他をアテにしないで自衛するのが一番

242 名前:(^ー^*)ノ〜さん :06/12/28 14:34 ID:C5UR+xFe0
既出なら失礼。
対策と言うかなんと言うか・・・
5k〜10kくらいの中古ノートPCをヤフオクとかで落として
ブラウジング専用PC作ればいいんでない?
ノートPCなら消費電力も少ないし。
ハード代ケチるなら携帯のブラウザでもOK。

ROをフルスクリーンでやりながら、情報は別画面でみれて個人的にはオススメ。
万が一感染しても、ブラウジング専用機なら即リカバリ出来るし、低スペック
でも2台目があると色々便利。

人間の注意力にゃ限界あるし、新技術開発にもきりは無い。
感染する原因を絶てばマシにはなるとおもう。

まぁ個人の意見だから適当に反論入れてくれるとうれしいかも。
そのほうが情報が精査されれるしね。適当に宜しく。

243 名前:(^ー^*)ノ〜さん :06/12/28 15:06 ID:EELH/LOa0
課金しないのが一番だとわかりました。

244 名前:(^ー^*)ノ〜さん :06/12/28 17:15 ID:vtr8vQCp0
>>243
ROしないのが、の間違いだろう。
チケ切れたまま課金して無かった垢が被害にあったとかいう報告があったような。

245 名前:(^ー^*)ノ〜さん :06/12/28 17:31 ID:dN494PNV0
マジか。
しかしどうやって? 中華が1Dayでも入れてくれたの?

246 名前:(^ー^*)ノ〜さん :06/12/28 17:40 ID:YaWiip7d0
>163 名前:(^ー^*)ノ〜さん Mail:sage 投稿日:06/10/26 (木) 15:27 ID:jHp7bQgV0
>
>チケ切れて1ヶ月くらい経つんだけど、さっきチケ買おうとアトラクションセンターにログインしたら
>「期限今日まで」ってなってた。
>はて?と思いつつROにログイン。
>
>
>
>\(^o^)/オワタ

前スレ163でこういうのがあった。
しかしその後、詳細を聞く声が挙がったものの163のレスが無かったので真偽は不明。
類似した報告もなかったのでネタの可能性が高いが、否定も出来ない。

247 名前:(^ー^*)ノ〜さん :06/12/28 17:44 ID:+ILSLv4A0
そういえば垢ハック連中はたまーにメアドを入れる。

以下を確認している。
リンクがよく判らなくともこのメアドを残したらほぼ間違いなく垢ハック。

メジャーな垢ハックメアド
city3565@yahoo.co.jp
lintong58@yahoo.co.jp

最近使い出した?今現在単体でヒットしない
chwg001@yhoo.co.jp

垢ハックURLについていた、単体でヒットせず
effective_line@infoseek.jp

今はなりを潜めたが2006年初頭から半ばにかけては
xin@yahoo.cn.jp なんてのもあった。

248 名前:(^ー^*)ノ〜さん :06/12/28 17:46 ID:dN494PNV0
うはぁ、ネタでも怖ェ……
個人的にいくつもの鯖掛け持ちしてるんだけど、ここ数日BOTっぽい名前の商人が
「売り装備」という看板で垢ハック臭い露店出してるのを複数の鯖で見かけてる。
どうやってキャラパス通過してるのかしらないけど、また前みたいに油断できない
環境になってきたねぇ……

249 名前:(^ー^*)ノ〜さん :06/12/28 17:54 ID:4FHw9PfQ0
>>248
>どうやってキャラパス通過してるのかしらないけど
キャラパスを知る方法に例えば苺キン○マのようにデスクトップのスクリーンショットを連写してどっかに送信するウイルスを使うものがあると思うYO。

250 名前:(^ー^*)ノ〜さん :06/12/28 18:07 ID:krJpWoAS0
ウィルススキャンしようとカスペルスキーで完全スキャンしていると
いつもメモリダンプになって青画面に。セーフモードでやっても同じ。
何度やっても結果は同じなので、時間の無駄だと思い断念。

Bitdefenderでスキャンしたらウィルスらしきものはなかったけれど
垢ハックアドを踏んだはずなので、何も出ないのが逆に不安に。

PCに詳しくないことをこんなに後悔したのは初めてだorz

251 名前:(^ー^*)ノ〜さん :06/12/28 19:19 ID:bYoqtfSH0
NHKでアカハック特集みたいなのやってる

252 名前:(^ー^*)ノ〜さん :06/12/28 19:20 ID:GBKMS2Q00
リネ2メインの画像だったけどね

253 名前:(^ー^*)ノ〜さん :06/12/28 19:24 ID:giJ0RSM80
カスペルスキー超人気じゃないですか

更新サーバが重すぎw

254 名前:(^ー^*)ノ〜さん :06/12/28 20:04 ID:Arjk/EQU0
中華アタックじゃないの

255 名前:(^ー^*)ノ〜さん :06/12/28 20:50 ID:PcnDMiPJ0
知り合いが昨日垢ハックされたらしい
キャラパスも対策されちまったのか・・・
みなさんお気をつけて

256 名前:(^ー^*)ノ〜さん :06/12/28 20:53 ID:p5xbvXco0
ずっとここでは呼びかけてますが、残念です…
大手情報サイトでももっと警告を促して欲しいですよね

257 名前:(^ー^*)ノ〜さん :06/12/28 21:07 ID:YTJMCgur0
>255
南無……

やはり罠サイトに引っかかっての事なんだろうか?
どの程度の対策をその知り合いの方がされてたのかが気になる。

明日は我が身とならないように警鐘age

258 名前:(^ー^*)ノ〜さん :06/12/28 21:28 ID:grLdlHGe0
>>250
主だったアンチウィルスで、最近のMaran(RO+Lineage)に関して
未対応が目立つのがNortonとBitDefenderとe-Trust。
Nortonは国内でも世界でも最大のシェアなんだから
もうちょっと早めに対応してほしいけど、
解析待ちの件数もものすごいのかもね。
後はほぼ検知される。AVGが送信コンポーネントを見逃した程度。

259 名前:(^ー^*)ノ〜さん :06/12/28 21:31 ID:I9+y5Xbd0
うちのギルマスが昨日か一昨日に垢ハクされたそうで一大事です
キャラパスあるからと思ってたのですが、もう大丈夫じゃないようですね

垢ハク露店の過剰防具とポールがうらめしい…

260 名前:(^ー^*)ノ〜さん :06/12/28 21:38 ID:grLdlHGe0
そもそもlovetw製Maranの出現がキャラパス実装後なんだから
普通に抜かれると考えるべき(全くの無駄とは言わないが)。

261 名前:(^ー^*)ノ〜さん :06/12/28 21:40 ID:+J6l43hl0
Nortonを日本国内で販売している代理店はソフトバンクの子会社。
意外と知られてないね。
まさか意図的にアカウントハックウイルスを見逃していたりしてね。

262 名前:(^ー^*)ノ〜さん :06/12/28 22:02 ID:p5xbvXco0
そういう話題はスレ違いに発展するので如何な物かと

263 名前:(^ー^*)ノ〜さん :06/12/28 22:07 ID:98hfY+Mj0
http://www3.nhk.or.jp/news/2006/12/28/k20061228000139.html

264 名前:(^ー^*)ノ〜さん :06/12/28 22:21 ID:rFdHAfPj0
>>261
Symantecの代理店は、一社に限ったわけでもないし。
それに、日本のPCソフト流通の大半は、SBを経由しているぞ。
問題の本質をぼかすスキッドは、このスレには不要。

265 名前:(^ー^*)ノ〜さん :06/12/28 22:32 ID:llCcXXsQ0
お高くとまった雌アカウントにファックをかましてやりました。

266 名前:(^ー^*)ノ〜さん :06/12/28 23:09 ID:+1XROwMr0
lydiaでも昨日「売り装備」の露天あった。アサ系の実用品と頭装備が並んでたな。
すげーてきとうなひらがなの男商人。今日は同じ位置でBOT商人がcとかエル売ってる。

267 名前:(^ー^*)ノ〜さん :06/12/28 23:13 ID:+1XROwMr0
昨日の商人違う場所にいた。棚があいてるからうれたんだろうな・・・

268 名前:(^ー^*)ノ〜さん :06/12/29 04:20 ID:7Gm+sR250
先日、垢ハックのアドレスを誤って開いてしまい、大慌てで閉じたものの
気が気でなく、一日かけて垢ハックについて調べたり色々なメーカーの
ウィルススキャンを試してみたり。

結局のところ、特にウィルスは発見されなかったので一安心なんですが
垢ハックの詳細や予防法、対策について、まったく知らないのと、少しでも
知っているのでは大違いだということを実感しました。
とてもいい教訓になったと思います。

269 名前:(^ー^*)ノ〜さん :06/12/29 09:47 ID:1aPhvP9jO
踏んだら再インスコしないと安心できねー

270 名前:(^ー^*)ノ〜さん :06/12/29 10:12 ID:5I0eQTN20
これはまた狙いすましたかのようなタイミングで。

海底ケーブル破損:中国国内でも通信への影響続く
ttp://news.searchina.ne.jp/disp.cgi?y=2006&d=1228&f=it_1228_001.shtml

271 名前:(^ー^*)ノ〜さん :06/12/29 14:40 ID:KEuHn0y40
やられてしまいました。
12月20日から28日まで多忙でログインできず、
今日ログインしたら、装備と金をごっそり持っていかれていました。
消耗品や収集品は、高額の物も残されていました。
当方、OSはWinXP、セキュリティソフトインストール済み、
ブラウザはIE以外です。Win&セキュリティソフトのアップデートは起動時に
必ず行っています。
感染の心当たりはありません。ログインIDとパスは誰にも教えて
いません。正直「何故!!」という状態です。

272 名前:(^ー^*)ノ〜さん :06/12/29 14:53 ID:rKuvhjiY0
心当たりを忘れているだけだと思われ

273 名前:(^ー^*)ノ〜さん :06/12/29 15:24 ID:Z0xWS32/0
カスペあたりでスキャンしたら出てくると思われる。。

274 名前:(^ー^*)ノ〜さん :06/12/29 16:17 ID:WUWf7QUZ0
管理放棄で連中のウィルス書き込みばかりになっている掲示板で発見。

それはこんな文面だ

エピソードV アドバンスドガイド 特典:ミン靴
skkustp.itgozoneドットコム/mailing/page1.htm


元のドメインは韓国、フリーサービスなんだろうか、サブディレクトリは多数ある。
連中が借りたのかも知れん。

リンクソースにはやはり胡散臭いスクリプト入り、俺はそのドメインのURLを踏むことも無いので。
hostsに入れておいた。

275 名前:274 :06/12/29 16:23 ID:WUWf7QUZ0
サブディレクトリじゃなくてサブドメインね、ごめん。

危険な香りのするサイトということで。
127.0.0.1 skkustp.itgozone■com

276 名前:(^ー^*)ノ〜さん :06/12/29 17:06 ID:PXJKOuzV0
>>271
ウィルスドクターでも使ってるんじゃないの?

277 名前:271 :06/12/29 18:29 ID:KEuHn0y40
本当に心当たりは無いです。
RO入れてるPCでは、ウィルス感染を警戒してブラウジングしない
ように気をつけていたし。しても課金とパス変更くらいでした。
ちなみに入れているセキュリティソフトはノートンです。
これから別の会社のオンラインスキャン試してみます。

何より辛いのが、相方から借りていた装備を持っていかれて
しまった事。これから相方に謝りにいきます・・・。
もうRO続ける気力ないし、弁償できそうもない。

278 名前:(^ー^*)ノ〜さん :06/12/29 18:33 ID:RxKNMXhI0
ウイルスではなくソーシャルハッキングかも知れないな

と泥沼にしてみる

279 名前:(^ー^*)ノ〜さん :06/12/29 18:35 ID:evIAEeW/0
ノートンは微妙だな

とりあえずネカフェでINとかしてない?
とりあえずカスペルスキー、NODあたりで検索してみては?

280 名前:(^ー^*)ノ〜さん :06/12/29 19:42 ID:fA7P4tQx0
キャラシミュとサイトらしいと言うので飛んでみたところ、
何やら変な海外のサイトに飛んでしまいました。
一応avastのスキャンでは何も検出されなかったのですが、
大丈夫なのか心配です。
やっぱりOS入れなおした方がいいのでしょうか?

踏んだのは↓のURLです。
ttp://www■ragnarokcs■com/

281 名前:(^ー^*)ノ〜さん :06/12/29 19:46 ID:MW4kUZMS0
>>280
言われたとおりの昔からあるキャラシミュサイトだよ、ちゃんと見た?

282 名前:(^ー^*)ノ〜さん :06/12/29 19:53 ID:U+Q/IOph0
>>280
そこは大丈夫。右の変なクルセらしき方を選べばキャラシミュが立ち上がるよ。

283 名前:280 :06/12/29 20:11 ID:ckcdn7oC0
ID変わってますが、>>280です。

昔からのキャラシミュサイトだったんですか。知りませんでした。
早とちりして騒いでしまって申し訳ありません。
ありがとうございました。

284 名前:(^ー^*)ノ〜さん :06/12/29 20:38 ID:emd6abN80
そこは歩きや待機モーションも見れるから趣味装備の組み合わせチェック時には欠かせない。

285 名前:(^ー^*)ノ〜さん :06/12/29 20:51 ID:s9HKOMO80
確かにそのサイトは海外サイト特有の荒さがあるから、疑う気持ちは分からんでもない

286 名前:(^ー^*)ノ〜さん :06/12/29 21:27 ID:ZBvOkwi40
>>274
乙。VBScriptを読んだところmailing/card.exeをドロップ。
48,305バイト、Upack圧縮されたMaran。
lovetw、toyshop、livedoor1に設置されたものと完全に同一
(UpackなMaranのバリエーションが乏しい理由は不明)。
元は対韓国プレーヤとして設置されていたのかも。
回線の違いか、ダウンロードが実に高速だった。

287 名前:(^ー^*)ノ〜さん :06/12/29 21:37 ID:ZBvOkwi40
ついでに、Maranを送り続けているSymantecからの返答。
Our automation was unable to identify any malicious content in this submission.
The file will be stored for further human analysis
ずっとこれ。休み明けまでだめだな。

288 名前: ◆sp4Sh9QXGI :06/12/29 22:57 ID:hOCMx8hT0
>>188さま、>>275さまの危険URL情報を更新しました。
もしかしたら年内最後の更新になるかもしれないので、取り急ぎ…。
---
Heimdal鯖にいる友人が垢ハックを食らったそうです…。
すぐに対処したため実害はなかったそうですが、
その友人のギルメンは被害を受けてしまったとのこと…(つД`)

289 名前:(^ー^*)ノ〜さん :06/12/29 22:59 ID:B1xG4ncaO
かなりおかしな質問なのは自分でも解ってはいるのですが・・・如何せん自分のベースとなる知識が足らない・・・

Q:感染した可能性が有り、(未確定、灰色ってことね)かつ其のタイミングが特定できている場合
ファイル検索→作成日→日付指定 で検索し該当する時間帯にファイルが何も作成されて無ければ未感染(白)と判断して問題無いのでしょうか?

290 名前:(^ー^*)ノ〜さん :06/12/29 23:01 ID:MW4kUZMS0
いや、普通にウイルスのチェックを…

291 名前:(^ー^*)ノ〜さん :06/12/29 23:17 ID:RxKNMXhI0
ファイル作成日などいくらでも偽造可能なのでまるで無意味だ

292 名前:(^ー^*)ノ〜さん :06/12/30 00:41 ID:2W2IaP4F0
>288
更新乙です。
さらに危険URLが出てきたらスレにも纏めリスト更新して張った方がいいかな。

しかし身内で被害者が出ると凹みますね……
自分もギルメンにはhostsの更新やPG2の導入を口うるさいぐらい勧めてますが
キャラパス実装で油断してる人がかなり多いようです。

>289
作成日・更新日・最終アクセス日時とかの項目は簡単に変更出来るので
全く当てになりません。
カスペやNOD32等でチェックするしか手がないし、それで見つからなかった場合でも
新種で検知から逃れてるという可能性も常にあるので、絶対に問題ない、と断言する事は
不可能に近いです。

確実に不安を解消するには、HDDのフォーマット&OS再インストールしか手がない。

293 名前:(^ー^*)ノ〜さん :06/12/30 01:45 ID:xuBeY6oP0
パッチも当てずに感染してる人が再インストールしたら、再インストール中に
感染しまくりになる可能性もあるようなー

294 名前:(^ー^*)ノ〜さん :06/12/30 02:47 ID:mkKOZxUm0
PC側が感染しなくてもルータが感染ってのもあるんでないかな?
組み込みlinux入りとかあるし。

295 名前:(^ー^*)ノ〜さん :06/12/30 05:56 ID:l4//fkS80
ファイルシステムもバイナリの構造も違う、Linuxルータに感染というのは流石に考えにくい。
セキュリティホールを狙った、ルータ狙い撃ちワームなら、まだ可能性はあるが。

どちらかというと、同一ネットワークに存在する、他のPCの方が危険性が高い。
ブラウザ専用だと油断していたら、管理共有経由でやられるとか。

296 名前:(^ー^*)ノ〜さん :06/12/30 08:29 ID:B2m+BHWM0
>>89のアカハクドメインのIPを引いてみたものの最新版
http://www.mmobbs.com/uploader/files/1815.zip

需要は無さそうだけど、アカハクドメイン監視のオマケ産物として(と言っても
自動処理なんで手間掛からず)。
ホントはWhoisの結果も突っ込んだ方が役に立ちそうなんだけど、めんどいの
で保留中。CIDR表記の追加は正月休の間に検討予定。

297 名前:(^ー^*)ノ〜さん :06/12/30 10:02 ID:XfLvEX1h0
age

298 名前:(^ー^*)ノ〜さん :06/12/30 11:37 ID:rZLFe8qI0
>>294
ルータの脆弱性を突いたDoS攻撃というのはたまに聞いているが、ウィルス感染というのは
まだ聞いたことが無いな。

ルータに感染したウィルスが垢ハクを行うにはアプリケーション層の通信までを
スヌープしないといけないので、ルータに載っている程度のプロセッサやメモリでは
処理が難しいと思われ。
ただ、可能性は0ではないと思う。

299 名前:(^ー^*)ノ〜さん :06/12/30 13:00 ID:2W2IaP4F0
>296
有り難く戴きます。
hostsだけだと同IPで別ドメイン取られると対応が遅れるので
IPのリストがあるのは助かります。

早速加工してPG2に突っ込んでこよう。

300 名前:271 :06/12/30 13:46 ID:G3cNMXXw0
アカハックで相方から借りた装備まで奪い取られた271です。
カスペのオンラインスキャンで原因が検出されました。
が、今までに名前が挙がったものと照らし合わせても完全には
一致しません。もう少し調べてみます。

余談ですが、昨日の夜、相方にアカハックにあった事と、
引退すると言う事を告げました。すごい反応をされて、
女って怖いなあと思いました。アカハックと相方の反応に
ショックを受け、号泣しました。腹も下しました。
我ながら情けないです。

301 名前:(^ー^*)ノ〜さん :06/12/30 13:47 ID:LRUtpFrm0
まぁ、中身は男だけどな

302 名前:(^ー^*)ノ〜さん :06/12/30 14:48 ID:/THt45Nw0
まあゴスリンじゃあ仕方ない
ところですごく今更な質問なのですが、キャラパス後の
アカハクって、画像からキャラパス取ってるんですか?
暗号化されてるって話らしいけど通信が解読されて
そこからキャラパス取ってるんでしょうか。

303 名前: ◆sp4Sh9QXGI :06/12/30 14:56 ID:aOJVx1sg0
こんにちは、まとめサイトの中の人です。

RO Blogという、その名の通りRO関連のBlogのみを対象にしたサーチエンジンがありますが、
どうやら罠をばら撒く業者はそこに登録されているサイトを狙うようです。
私が個人で運営しているBlogも2回ほど爆撃を受けました。
1回目はgenmammobbs■com (書き込み内容は忘却…)
2回目はragnarokonlina■comでした。
特に後者は
「先日はBBSへの書き込みありがとうございました。
 ROにドップリ漬かっていらっしゃいますねw」
という趣旨のくだりが…。どこからコピペしたものかはわかりませんが、
どこのBBSにも書き込んだ覚えがないので「はて?」と思い、
名前にカーソルを合わせてステータスバーを見ると案の定…
といった感じです。

皆様もくれぐれもお気をつけください。

304 名前:(^ー^*)ノ〜さん :06/12/30 18:45 ID:66dHGQR10
あながちスレ違いでもないと思うので一応報告。

先日未明、iris鯖プロ南にて「〇〇@2」(〇はひらがな二文字)というノビが誰これ構わず友達登録要請を出していました。

まわりの人は枝で殺そうとしたりBBポタで飛ばそうとしていました。

何人かは登録してしまったようです。
注意していても誤クリックで登録してしまう可能性もあるので私は画面外に逃げました。

垢ハクURLを踏むのに加えてゲーム内でも注意をして下さいという話。

パス抜きノビは昔からいますけどね(´д`)

305 名前:(^ー^*)ノ〜さん :06/12/30 18:55 ID:Eimzxa4Q0
その程度でパス抜かれたら全員被害者じゃ
友録から判るのって名前(文字コード含む)とIDじゃなかった?

306 名前:(^ー^*)ノ〜さん :06/12/30 18:58 ID:fRn5ZySe0
友達要請でパス抜けるってマジなの?

307 名前:(^ー^*)ノ〜さん :06/12/30 19:09 ID:Eimzxa4Q0
きゃらくえなどの情報抜きをパス抜きと勘違いしてる予感なんだけど

308 名前:(^ー^*)ノ〜さん :06/12/30 19:10 ID:2W2IaP4F0
それは単に枝やら闇ポタやら行ってた人のキャラID等を抜こうとしてる
だけな気がする。
あとから粘着やら、そういったのに使うだけじゃないかね。

>パス抜きノビは昔からいますけどね(´д`)
これは初めて聞いたが。
ゲーム内のみでパスを抜く手段は無いと思うんだが。

309 名前:(^ー^*)ノ〜さん :06/12/30 20:06 ID:WgxQZIh4O
俺は友録で抜かれた云々は聞いたことあるな、実際はどうかしらんけど。

310 名前:(^ー^*)ノ〜さん :06/12/30 23:31 ID:vj4mtbCh0
IP抜いて経路でスニとか?

311 名前:(^ー^*)ノ〜さん :06/12/30 23:52 ID:6YaZWul40
前にあった「ID」抜きは、WIS拒否して自分のレジストリを覗くって手法だったけども
Gravityのサイトに大きな穴があったからこそ、パスや個人情報まで解ったりした。

友達登録は今、ローカルじゃなく鯖に保存されるから、怪しいっていえば怪しいが
そのときにやりとりされるパケットにログイン情報が含まれるなら、ギルドだって
似たようなもんだしやばいんじゃないのかね。
なんて不安煽っても仕方ない上に、正直解らんわ。

312 名前:(^ー^*)ノ〜さん :06/12/31 00:30 ID:df3LFpN40
>>301
ゴスってなんのこと?>>271のことか?

313 名前:(^ー^*)ノ〜さん :06/12/31 19:47 ID:lsFoSEeB0
http://www.ragnarok-game■com/bbs/

このごろ↑の書き込みがあるんだけど
これは何なんだろう?

314 名前:(^ー^*)ノ〜さん :06/12/31 20:24 ID:ob65U9Bv0
>>313
それ、おなじみ福建中華の垢ハックドメインだから。
ディレクトリがどうあれ絶対に踏んじゃダメだぞ。

クリックすると暗号化されたスクリプトで同一ディレクトリのsvch■exeを呼び出す。

/は空っぽだがドメインそのものが罠だからな。

315 名前:(^ー^*)ノ〜さん :06/12/31 20:30 ID:L0srxZnP0
Whois情報
>Domain Name: RAGNAROK-GAME■COM
>Registrar: HICHINA WEB SOLUTIONS (HONG KONG) LIMITED
>Updated Date: 13-dec-2006
>Creation Date: 13-dec-2006
>Expiration Date: 13-dec-2007

つい最近とられたばかりのドメインですね。
なにやら怪しい気配をちらほらと感じるが踏んでないので実体は不明。

316 名前:(^ー^*)ノ〜さん :06/12/31 20:30 ID:7X9DqRWC0
>>314
こういうこと初めてで混乱してます(汗
色々質問させてください。

・踏むっていうのはアクセスしたかってことですよね?
・これはみただけでアウトなウイルスですか?
・そのアドレスが書かれたスレッドを見てしまったはセーフですか?

317 名前:(^ー^*)ノ〜さん :06/12/31 20:32 ID:RGOsBQy10
>>313
bbs-qrcode■comをiframe内で参照している。ということで罠。

Proxomitron-Jのフィルタで、iframeの可視化を可能にする物がある模様。
導入すると、iframeをリンクに置き換え、クリックした時点で展開を行うらしい。

応用で、mata要素のcontent属性に、zh-cnやgb2312が記述されている場合に、ページの展開を抑止する
(確認を求めてくるようにする)ことも、可能なのだろうか。

318 名前:(^ー^*)ノ〜さん :06/12/31 20:33 ID:L0srxZnP0
>316
・踏むというのは、URLをクリックするする事。
・見ただけでアウト(=リンクをクリックしただけでアウト)
・このスレ等アドレスを見ただけではセーフ

319 名前:(^ー^*)ノ〜さん :06/12/31 20:40 ID:7X9DqRWC0
>>318
向こうのページに行ってないならセーフなのですね・・良かった・・
所属ギルドのスレッド式BBSにおかしな記事があって
被害者がでないように自ら確認の為に記事を開いていたので安心しました。

アドバイスありがとうございました(涙

320 名前:(^ー^*)ノ〜さん :06/12/31 20:46 ID:7X9DqRWC0
訂正=スレッド式→ツリー式

321 名前:(^ー^*)ノ〜さん :06/12/31 20:46 ID:H2MaEiMY0
>>319
>向こうのページに行ってないならセーフなのですね・・良かった・・

そりゃ良かった。

>被害者がでないように自ら確認の為に記事を開いていたので安心しました。

で、踏んだのか?前の行と矛盾してないか?

322 名前:(^ー^*)ノ〜さん :06/12/31 20:51 ID:L0srxZnP0
確認のためにそのBBSの書き込みを見た、という意味ならセーフだけど
確認のためにそのリンク先を見た、という事ならアウトだよ。

しかしふと思ったんだけど、ブラウザの先読み機能がついてるものとか
先読み機能をもつツールを使ってると勝手にDLされる恐れがありますよね……
設定次第なのかもしれないけど、その手の機能を持ってるブラウザやツールを
使ってる人は気をつけた方がいいのかも。

323 名前:(^ー^*)ノ〜さん :06/12/31 20:53 ID:rIFSFRAo0
ハックが後を絶たない理由が分かった気がする

324 名前:313 :06/12/31 20:59 ID:7X9DqRWC0
引き続きのアドバイスありがとうございます(涙

リンク先は見ていませんBBSの書き込みを見てしまいました
セーフですよね?
>>323
不覚ながら今日まで他人事と思ってたのも事実です(汗

325 名前:(^ー^*)ノ〜さん :06/12/31 21:00 ID:eQs4mh0+0
>>322
高速化ツールとかの先読みは、あくまでもHTMLファイルを先にキャッシュするだけだから
その中に書かれているスクリプトの実行まではされない。

というか見ても居ないページのスクリプトまで勝手に実行されたら、いま見ているページの
表示が破壊されてしまう

326 名前:(^ー^*)ノ〜さん :06/12/31 21:05 ID:L0srxZnP0
>325
それもそうでしたね。
でも気味が悪いのも確かだ……

327 名前:(^ー^*)ノ〜さん :06/12/31 21:06 ID:L0srxZnP0
#
# Trojan trap sites 2006/12/31 20:30版(被害報告スレ4-313まで)
#
127.0.0.1 77ch■jp
127.0.0.1 acyberhome■com
127.0.0.1 bbs-qrcode■com
127.0.0.1 cabalol■com
127.0.0.1 dg■246911■com
127.0.0.1 dj5566■org
127.0.0.1 ds■07214404■com
127.0.0.1 gamaniaech■com
127.0.0.1 game4enjoy■net
127.0.0.1 gamesragnaroklink■net
127.0.0.1 game-oekakibbs■com
127.0.0.1 gamorimori■net
127.0.0.1 gemnnammobbs■com
127.0.0.1 guild-wars-online■com
127.0.0.1 hinokihome■com■tw
127.0.0.1 homepage3-nifty■com
127.0.0.1 honda168■net
127.0.0.1 japangame1■com
127.0.0.1 jpgamer■net
127.0.0.1 jplingood■com
127.0.0.1 jpragnarokonline■com
127.0.0.1 jprmthome■com
127.0.0.1 linbbs■com
127.0.0.1 lineagalink■com
127.0.0.1 linrmb■com
127.0.0.1 livedoor1■com
127.0.0.1 lovetw■webnow■biz
127.0.0.1 playncsoft■net
127.0.0.1 playsese■com
127.0.0.1 ptxk■com

328 名前:(^ー^*)ノ〜さん :06/12/31 21:06 ID:L0srxZnP0
127.0.0.1 ragnarok-game■com
127.0.0.1 RagnarokOnlina■com
127.0.0.1 ragnaroklink■com
127.0.0.1 rarbrc■com
127.0.0.1 rohanol■com
127.0.0.1 rormb■com
127.0.0.1 rmt-navip■com
127.0.0.1 skkustp■itgozone■com
127.0.0.1 toyshop■com■tw
127.0.0.1 twmsn-ga■com
127.0.0.1 twsunkom■com
127.0.0.1 youshini■com
127.0.0.1 zhangweijp■com
127.0.0.1 zhangweijp■w100■okwit■com
#
# End of trojan trap sites
#

329 名前:(^ー^*)ノ〜さん :06/12/31 21:09 ID:L0srxZnP0
>327-328
今年最後だと思うので、危険urlのhostsファイルを更新。
「■」を半角ドット「.」に書き換えてください。

モレや間違い、追加等があれば修正お願いします。

330 名前:(^ー^*)ノ〜さん :06/12/31 21:57 ID:cXYqTs+m0
更新etcおつかれさまです。ジワジワ被害が広がっているようなので警鐘age

331 名前:(^ー^*)ノ〜さん :07/01/01 04:13 ID:jvRFRry50
これって垢ハックURLですかね?
ttp://blog.m.livedoor.jp/botnews/index.cgi

332 名前:(^ー^*)ノ〜さん :07/01/01 07:40 ID:JZXC5vUU0
>>331
うっかり踏む人がいるかもしれないので、
怪しいURLは一部を書き換えておくれ

333 名前:(^ー^*)ノ〜さん :07/01/01 08:01 ID:uu/+J/iU0
>>331
怪しさ爆発だったのでそのアドのソースをDLしてみた
ただのライブドアのページだ

334 名前:(^ー^*)ノ〜さん :07/01/01 08:54 ID:letMj4RP0
質問側に少し問題が出てきた気がする

335 名前:(^ー^*)ノ〜さん :07/01/01 10:21 ID:ephMjCXp0
被害報告テンプレだけじゃなくて、質問者用のテンプレ作ったほうがいいかもね。


質問者用テンプレ
・相談内容(例:怪しいURLを見つけた、垢ハックURLを踏んだかもしれない)
・気付いた日時
・使用しているウィルス対策ソフトは?
・カスペルスキーorNOD32などでスキャンはしましたか?
・windows updateは最新ですか?
・URL(例:http://www.ragnarokonline.jp/http://www■ragnarokonline■jp/)


こんな感じでしか思い浮かばなかった。
加筆修正よろしく。

336 名前:(^ー^*)ノ〜さん :07/01/01 10:34 ID:/6E28ZUJ0
アドレスの鑑定も正式にOKにしない?そうすれば質問用のテンプレも決められるし。
例えばこんな感じ

[怪しいアドレス?を踏んだ時用]
・ROのアカウントハックに関連していると思われる物のみが対象です。瑣末な物は他所で
・質問前後にテンプレ等を見て知識を深めると更にGoodです
・回答者はエスパーでは有りません。情報は出来るだけ多く。提供した情報の量と質
 に応じて助言の量と質もは向上します
・結局は本人にしかどうにも出来ない事を忘れてはいけません

【  アドレス  】 (ドット(.)を■等で置き換える事。h抜き等は駄目)
【     OS   】 (SP等まで書く)
【使用ブラウザ】 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【 アンチウイルスソフト 】 (NortonInternetSecurity2007 等)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【スレログやテンプレを読んだか】 (Yes/No/今から読みます)
【説明】
(投稿をする判断に至った経緯や症状を詳しく書く)

337 名前:336 :07/01/01 10:39 ID:ZL8VhIlY0
カブッタ!

どうせなので335さんのも加えて強化

【  アドレス   】 (ドット(.)を■等で置き換える事。h抜き等は駄目)
【気付いた日時】 (感染?に気付いた日時)
【     OS    】 (SP等まで書く)
【使用ブラウザ 】 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【 アンチウイルスソフト 】 (NortonInternetSecurity2007 等)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【ウイルススキャン結果 】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【スレログやテンプレを読んだか】 (Yes/No/今から読みます)
【説明】
(投稿をする判断に至った経緯や症状を詳しく書く)

338 名前: ◆sp4Sh9QXGI :07/01/01 14:08 ID:blx/1U910
こんにちは、あけましておめでとうございます。
まとめサイトの中の人です。
報告してくださる方、検証してくださる方、新年早々お疲れ様です。

Commented by 田代百合子 at 2006-12-31 21:53 x
ジャルゴニスト 影忍 デスペナ

ROで遊ぶジャルゴニストのチラシの裏。
メインは殴りプリ、サブはWIZに支援プリに忍者、BSやケミなど。
狩りと喋りが半々なROを短めに書いてます。
死んでも泣かない!むしろネタに!
皆様の暇つぶしになればしめしめと思います。
自分が便利なようにと、殴りプリさんのサイトのリンク集を作ってみました。

名前からリンクされたURLは以下の通りです。
http://tigermain■w148■bizcn■com/game01■scr
なるものが貼られていたので報告しておきます。
恐らく危険ドメインに入っていないと思われるものなので…。
2PCが不可能な環境ですのでどなたか検証よろしくお願いいたします。

339 名前:(^ー^*)ノ〜さん :07/01/01 14:13 ID:OqlKIHGe0
調べなくても見た瞬間100%中華

340 名前: ◆sp4Sh9QXGI :07/01/01 14:40 ID:blx/1U910
>>327さまのリストに先ほど発見した>>338の危険URLを加えたものを更新しました。

>>339さま
 最後の行、誤解を与えるような表現ですみません。
 危険なURLであることは拡張子が.scrであることからしてもすぐわかるのですが、
 どのようなウィルスが仕掛けられているのか(近頃流行しているMaranか、それともまた別のものか)
 検証していただきたいという意味です。

341 名前:336 :07/01/01 14:50 ID:ZL8VhIlY0
tigermain■w148■bizcn■com
 => 218.5.77.48 (218.4.0.0/15)

www■bizcn■comは中国の企業/個人向けレンタルサーバ会社のようです。
Virustotalの結果は以下の通り。
http://www.mmobbs.com/uploader/files/1831.png
実際はRARの自己展開書庫のようで、中身にJPEG(1.jpg)と
Maran(server.exe)入り。
Maranは[Size]48,443bytes、[MD5]7068f7e5f2ea31be4c361ea83d00babf。
検体提出完了。

>>270のせいなのかウイルスDLにめっちゃ手間が掛かった。まぁ慨してあちらの
サーバは経路の関係か重いんだけど。

342 名前:(^ー^*)ノ〜さん :07/01/01 15:19 ID:WZZm664V0
よろしければお知恵を
カスペルスキーを入れ、スキャンしても何もでてこないのですが
Ragnarokを起動すると

プロアクティブディフェンス警告>検知しました
リスクウェア:hidden object
プロセスを実行します。(PID:568):〜\RagnarokOnline\Ragexe.exe
隠しプロセスが検知されました

とでて子プロセスに
〜\RagnarokOnline\GameGuard\GameMon.des \x01\xb4\x81\x90\x4d\xb7\x8d\x50\x51\x50\x49\xb5\xeb\xf0\x9c\x02\xed\x98\x50\x7c\x7e\x12\xa1\x24\x76\x3a\x65\x0c\xef\x11\xee\xba\xd4\x2a\x2e\x97\x67\x90\x59\x95\x11\x98\x11\xfd\xae\x24\x49\x46 2756
〜\RagnarokOnline\GameGuard.des \x01\xb4\x81\x9e\x4d\xb7\x8a\x50\x55\x58\x42\xbe\xed\xf0\xfb\x55\xb2\xd6\x00\x2e\x22\x4b\xd3\x54\x65\x39\x62\x18\x9d\x41\xba\xb7\x95\x6a\x72\xc4\x0d\xf0 2784

とでるのですがこれは危険なのでしょうか?

343 名前:(^ー^*)ノ〜さん :07/01/01 15:36 ID:G9pNsS9I0
こりゃRO本体をrootkitとして検出してるんだろうか

344 名前:(^ー^*)ノ〜さん :07/01/01 17:35 ID:v8nLXB++0
RO本体というか、nProが引っかかってるんじゃないだろうか。
純粋にプログラムとして見れば、nProはお世辞にも行儀が良いとは言えんし。

345 名前:(^ー^*)ノ〜さん :07/01/01 17:39 ID:letMj4RP0
ノートンやら他FW系でもnProで詰まるときがあったような

346 名前:(^ー^*)ノ〜さん :07/01/01 19:13 ID:DTNrEbLe0
>340
新年早々の更新乙です。

>342
それはnPro。
プロセスを隠して動く=rootkit、という事でカスペが反応する。
ブロックする事で悪影響(BAN等)があったら嫌なので自分は除外対象にしてる。

347 名前:(^ー^*)ノ〜さん :07/01/01 20:51 ID:gP0Ll5A30
突然スミマセン、うちのブログに貼られてました・・・。
ソースチェッカーで見てみたらどうやらlovetwだったようで。。。

もしも新たなアドレスだったら。と思ってカキコしてみました


Commented by とおりがかり(ttp://www■twmsn-ga■com/blog55■fc2/
)
94agiカンストで残りstr=dex素殴り。
INT1、SPR3だけど、ソロでニブルなら、ソヒー装備でサンクちゃんと使えば
無茶しなければ大丈夫。けど再振りで試したけど、SPR0は全然たらない。
STRが低いせいだろうけど、倒すのに時間かかる分、マダとか相手すると
SPRで結構回復してる。
STR120より110の方がトータルで強いのは、よく聞く話。今はsignもあるしね


ニブル行ってたので危うく踏みそうに(ノД`)

348 名前:(^ー^*)ノ〜さん :07/01/01 20:52 ID:gP0Ll5A30
突然スミマセン、うちのブログに貼られてました・・・。
ソースチェッカーで見てみたらどうやらlovetwだったようで。。。

もしも新たなアドレスだったら。と思ってカキコしてみました


Commented by とおりがかり(ttp://www■twmsn-ga■com/blog55■fc2/
)
94agiカンストで残りstr=dex素殴り。
INT1、SPR3だけど、ソロでニブルなら、ソヒー装備でサンクちゃんと使えば
無茶しなければ大丈夫。けど再振りで試したけど、SPR0は全然たらない。
STRが低いせいだろうけど、倒すのに時間かかる分、マダとか相手すると
SPRで結構回復してる。
STR120より110の方がトータルで強いのは、よく聞く話。今はsignもあるしね


ニブル行ってたので危うく踏みそうに(ノД`)

349 名前:(^ー^*)ノ〜さん :07/01/01 21:02 ID:DTNrEbLe0
餅付け。
twmsn-gaは>327-328のリストに既に上がってる。

まあ踏まずで何より。

350 名前:342 :07/01/01 23:25 ID:WZZm664V0
nProでしたか、安心しました
どうもありがとうございました

351 名前:(^ー^*)ノ〜さん :07/01/02 01:15 ID:O3YHJius0
94agiカンストで残りstr=dex素殴り。
以下同文。

by通りがかり

http://www■playncsoft■net/b*tb*kumetu/

ドメイン自体は既出なのですが
某所に似せたURLでの書き込みがされました。(*をoに)
画像認証機能を噛ませてあるのですが、それすら手動で切り抜けている模様。
ほんとにきりが無いですね…

352 名前:(^ー^*)ノ〜さん :07/01/02 01:17 ID:97JUaDag0
そりゃ人件費なんて無いに等しいんだから人海戦術で行くだろ

353 名前:(^ー^*)ノ〜さん :07/01/02 03:44 ID:WhYdlVk20
中国は共産党批判は即逮捕なのに国際犯罪は無視してんのか?

354 名前:(^ー^*)ノ〜さん :07/01/02 04:17 ID:7sryLMYV0
>>353

相手が日本だから良いんでない?
これが中国クオリティ



真面目に言うとそこまで出来ないんじゃないかな?
内政ガタガタだし

355 名前:(^ー^*)ノ〜さん :07/01/02 16:17 ID:sYhGGfl20
アカハクドメインのLookup結果の最新版。IPが所属する国とCIDR表記を
追加したのが先(>>296)のからの更新点。
http://www.mmobbs.com/uploader/files/1845.zip

観測中のウイルスの更新は今んとこ少なめ。多分アンチウイルスソフト会社も休みが
多いから…という性も有るかもしれない。
>>341にカスペは対応した模様(Trojan-PSW.Win32.Maran.cb)。なかなかやります。
他は変化なし。
>>348>>351は両者ともlovetw系で同一のウイルスファイル(/ro/ro.exe)を参照。
151,040bytesのMaran.by

画像認証で表示でカタカナをだして認証入力欄には『出てる画像のひらがなを
入れてください』みたいなタイプだと日本人以外は弾けそうだなぁ、でも面倒
だよね…と思った、みかんを食べ過ぎた昼下がり。

尚、ウチんとこは.htaccessでの.cn.cndata.com拒否とBBQで完全に静か。
アクセスログを見ると、RO系ブログやGoogleで『Ragnarok Online link』の検索結果から
飛んできたり、凄いのはGoogleでの『jprmthome』の検索結果から飛んできているのも。
その文字列があるって事はアカハクアドレスの書込が容易だろうって考えからなのでしょう。
若しくは、jprmthomeの対抗業者かもしれないけど。

356 名前:(^ー^*)ノ〜さん :07/01/02 19:20 ID:iyPf+Dwg0
チャイナ垢ハクドメインが2つ。
リネージュ資料室にも出ているから罠は恐らくMaranだろう。

hosetaibeiの登録地はいつもの福建省龍岩市、登録者も同じ名前。

good1688はクラックされた? /はどうも薬品販売のように見える。
status : protected 今月末に期限切れであるからさては連中にやられたか。
そうであれば踏ませる為には手段を選ばずで危険極まりない。

www■good1688■com/info/ro.htm
1行目でRMTサイトにリンクを貼り、その裏で仕込むパターン
2行目で有名なzhangweijpにあるトラップを呼び出す。
いつものIFRAMEではなくFRAMEをサイズ0で呼び出す。
lin.htmがリネ用トラップ。
/は薬品販売サイトのようだ。


www■hosetaibei■com
こちらは既出のplayseseを呼び出す。
いつものIFRAME呼び出し。
登録地、名前から間違いない。

Domain Name ..................... hosetaibei■com
Registrant Name ................. lin zhiqiang
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan (福建省 龍岩)
Registrant City ................. longyan (龍岩)
Registrant Province/State ....... fujian (福建省)
Registrant Postal Code .......... 364000 (福建省龍岩市の郵便番号)
Expiration Date ................. 2007-12-08 13:29:57

357 名前:(^ー^*)ノ〜さん :07/01/02 19:24 ID:VgbeShQm0
>>355
簡字体(GB2312)にはひらがな・カタカナも含まれているので、それで区別することはできない。
ただし「サーバー」などの「ー」は定義が無く「−」を使うことになると聞いたことはある
(別な字だとは思ってなかったんだろう)。繁字体(Big5)は方言多すぎなので知らんけど。

# 日本語IMEでギリシャ(αβγ…)だのロシア(абв…)だのが変換できるのと
# 同じレベルの話しなので、話しを変な方向に持って行かないように。

358 名前:(^ー^*)ノ〜さん :07/01/02 19:58 ID:VgbeShQm0
>>356
乙。playseseとz(略)/tro/tro.exeは未圧縮Maran。
z(略)/tt2/tt2.exeはリネ2トロイ、久しぶりのUPX圧縮。
z(略)/tt1/tt1.exeは見たことのない圧縮。今回の目玉商品。

359 名前:(^ー^*)ノ〜さん :07/01/02 20:46 ID:VgbeShQm0
目玉商品をスキャン。
http://www.mmobbs.com/uploader/files/1847.png
BitDefenderやKasperskyやNOD32をすり抜けていること、
他の検出結果も怪しげなことを考えると新種っぽい。

360 名前:(^ー^*)ノ〜さん :07/01/02 20:57 ID:VgbeShQm0
Dr.WEBから10分で返事来た。早過ぎ。リネのパス抜きだそうだ。
この妙な圧縮、Maranに使われると面倒だ。

361 名前:(^ー^*)ノ〜さん :07/01/02 21:09 ID:1SFJavty0
今までは亜種出ても一部ウイルスソフトは抵抗できてたけど
今はそれも危うくなってますね
ソフトに頼りきらない個人の意識が更に重要になってきてるのかと、上げておきます

362 名前:(^ー^*)ノ〜さん :07/01/02 21:24 ID:F6u3sZCa0
自分が管理しているROに関するHPに
ftplin■comという怪しいアドレスが貼ってあったのですが、
リネージュ資料室にもあるように、ROのアカウントもハックされるものでしょうか?

気付いて踏まずにすぐ消したのですが、
見た人が踏んでないか心配なので質問させてください;

363 名前:(^ー^*)ノ〜さん :07/01/02 21:38 ID:VgbeShQm0
>>362
いや。iframeでlovetw(略)jpcetou/が呼ばれ
IEのVBScriptでlovetw(略)jpcetou/t1.exeが実行されるけど、
これは現時点では古いLineage専用アカハックトロイ。
だけど既存のトロイをMaranに置き換えつつあるので
油断はしないこと(MaranはROとLineage両用のアカハックトロイ)。

364 名前:(^ー^*)ノ〜さん :07/01/02 21:41 ID:VgbeShQm0
すまん訂正。
lovetw(略)jpcetou/ro.exeも同時に実行されるけど、これはMaran。
ROもアカハックされる。

365 名前:(^ー^*)ノ〜さん :07/01/02 21:51 ID:F6u3sZCa0
>>363,364
なるほど。ROもハックされてしまうんですね;
踏んだ人がいたら大変なので注意をTOPに書いておきます。
(踏んだら遅いのかもしれないけど・・・

お答えありがとうございました!

366 名前:(^ー^*)ノ〜さん :07/01/03 08:57 ID:Q3lr46DX0
ちょ・・・今起きてPCつけてRO起動して、キャラを選択したら
パス入力なしでログインできてしまったんだが・・・
勘弁してくれよ癌呆さんよ・・・orz

367 名前:(^ー^*)ノ〜さん :07/01/03 11:20 ID:I3STeJuyO
たまーにあるらしいよ
バグスレの方に報告あったような

368 名前:(^ー^*)ノ〜さん :07/01/03 11:43 ID:+OmS99Kt0
>366
>15-20

ちなみにそれ昨夜も喰らった(延べ2回目)。

一昨日に別スロのキャラに移動しようとしたらチケ切れのためか
鯖缶エラーになって、眠かったのでそのまま蔵落とし。
翌日1Day使って入るとキャラパスの問い合わせ無しで通過。
別スロに移動しようとするとテンキーが出てきた。

まあ気にする必要はないと思われ。

369 名前: ◆sp4Sh9QXGI :07/01/03 12:48 ID:OWmKIy+50
Commented by でじこぷれい at 2007-01-02 16:29 x
銃奇兵cの効果
(以下、文章既出)
ttP://www■lineagekin■com/rangunlink/

未出っぽいの発見しました。
h抜き以外はそのままですが、Pだけが大文字なのが妙に気になります。

370 名前:(^ー^*)ノ〜さん :07/01/03 13:01 ID:jzFvVTI20
>>369
それうちにもきてました。
コメント欄への禁止ワードにhttp://を入れていたのですが
Pを大文字にされたため書き込みがされていたので
他にも私のような禁止ワードを登録してる方が多いのかも…。

371 名前:(^ー^*)ノ〜さん :07/01/03 14:35 ID:rz2TaVnu0
大変申し訳ありませんが、質問させてください。

まだアカハックのアドレスは踏んだことはないのですが、
念のために、まとめサイトさんのほうを見たりして
hostsの書き換えというものをやってみました。
その後Firefoxで接続を試してみたのですが、
中国語の表示がでたり(翻訳すると”このサイトは見つからない”という内容が多い)
アドレスによってはそのURLに飛ばずに「Yahoo検索でのそのURLの検索結果」が
表示されたりしました。
hosts書き換えを行なってから試しに危険URLに接続してみた場合、
どのような状態になればうまく書き換えができていると言えますか?

372 名前:(^ー^*)ノ〜さん :07/01/03 15:24 ID:k06WeAxN0
>>370
そういう時は半角ドットも禁止語句にしてはどうか。
こうすれば単純にコピペして貼り付けただけではアクセスできない。
"p://" "P://" "." のように禁止語句設定を変更してもよいのかもしれないね。

373 名前:(^ー^*)ノ〜さん :07/01/03 16:03 ID:t2Y2/KDy0
正規表現でのアクセス制限なら大文字小文字を区別しない方法にすれば良いんだけど、
レンタルだとそこまでは変えられないだろうなー

374 名前:(^ー^*)ノ〜さん :07/01/03 16:21 ID:POclByYw0
いっそ"://"を禁止ワードにすればURLは貼り付けられないよ!

375 名前:(^ー^*)ノ〜さん :07/01/03 16:41 ID:gSIcaDku0
>>371
hostsを書き換えても踏まないのが正解。
全ての予防策は単なる気休め程度で
最も大切なのは危険な場所に踏み込まない事と言うのは
ここで何度も繰り返し言われている。
そもそも、そうやって確認方法を人に聞くという時点で
hostsを書き換えることでなぜある程度予防できるのか理解していないわけで
そんな状態では確認しようとすること自体が危険。

どうしても確認したいと言うなら
何でも良いからダウンローダーを使って対象アドレスからダウンロードすれば良い。
接続できないのならエラーでダウンロードエラーを繰り返すだろうし
ダウンロードできたのなら、それをHTMLを解釈したり実行しない
テキストエディタで中身を確認すれば良い。

376 名前:(^ー^*)ノ〜さん :07/01/03 16:44 ID:5uyckrrMO
hostsへの記述が正しいかどうか、ってことかな?
googleとか、試しにいれてみればいいだけだと思うけどね。

377 名前:(^ー^*)ノ〜さん :07/01/03 16:51 ID:t2Y2/KDy0
PCによっては 127.0.0.1 でエラーじゃなくて、何かの画面が出る場合もあるから
設定する前に 127.0.0.1 をアクセスしてどんな画面になるかを確認した方が良いかもね

378 名前:(^ー^*)ノ〜さん :07/01/03 17:56 ID:k06WeAxN0
>>374
"://" だけだとhttp://なしの単純コピペでアクセスできるものを書き込んでくることは目に見えている。
やはり併せて半角ドットも禁止ワードに入れておけばいいと思う。
連中が仮に "." を "," に変えて書き込んできてもそれをコピペしただけではアクセスできないのでよし。

379 名前:(^ー^*)ノ〜さん :07/01/03 18:08 ID:t2Y2/KDy0
URLエンコードしてくる可能性もあるぞ
www%2egoogle%2eco%2ejp

IEならこれをコピペで googleサイトに飛ぶはず
Firefoxではエラーだった(アドインのせいかも知れないけど)

380 名前:(^ー^*)ノ〜さん :07/01/03 18:33 ID:k06WeAxN0
>>379
なるほど"%2e"か、ではそれも入れた方がいいな。
使われる可能性があるものは悪用される前に対策をするのも大事だ。

381 名前:(^ー^*)ノ〜さん :07/01/03 18:43 ID:rz2TaVnu0
先ほどの>>371です

リネージュ資料室さんも読んで、
この作業は「危険サイトを接続できないアドレスとして追加している」ということまでは解っていたつもりでした。
もともと 127.0.0.1 につないでみたらどうなるかを知らないのに踏むのは、確かに危険でした。

127.0.0.1 google.co.jp という一行を書き加えてみましたが、
普通にお気に入りからぐーぐるさんが開けてしまいました。 
これは書き換え作業がちゃんとできていないってことですよね。

これ以上質問するはスレ違いと思うので、他のスレなどを読んで勉強してきます。
申し訳ありませんでした。

382 名前:(^ー^*)ノ〜さん :07/01/03 20:04 ID:JjLA/e+h0
>>369
乙。lovetw(略)heirun/ro.exeドロップ。151,040バイト、29日製造。

383 名前:(^ー^*)ノ〜さん :07/01/03 22:28 ID:JjLA/e+h0
Maranの検体を最初に各社に送ったのが12/10頃なのに
余裕をかましてくれたSymantecより。Nortonが対応。
ROトロイとして分類する模様。
result: This file is detected as Infostealer.Okarag.
ttp://www.symantec.com/avcenter/venc/data/infostealer.okarag.html
上記ページの内容は従来のもの(RODLL.DLL等)なので役に立ちませんが、
とりあえず検知はする模様。

384 名前:(^ー^*)ノ〜さん :07/01/03 22:37 ID:30k53zrH0
質問ですが、今も感染するとタスクマネージャーのプロセス開いた時に
rundll132とか出るんですか?

385 名前:(^ー^*)ノ〜さん :07/01/03 23:24 ID:JjLA/e+h0
物による、としか。

386 名前:(^ー^*)ノ〜さん :07/01/04 01:12 ID:SYqBeBlq0
www■homep*ge3-ni*ty■comですが、(一部伏せ字)
スラッシュドットでも話題になっているようです。
http://slashdot.jp/security/07/01/02/2328207.shtml
もしくは、トップページから「niftyに偽装した悪意のあるサイトが登場」で検索してください

387 名前:(^ー^*)ノ〜さん :07/01/04 02:59 ID:kH9HwJ4k0
livedoor1■com てのもあるんだぜ。

388 名前:(^ー^*)ノ〜さん :07/01/04 04:24 ID:YIBmQrgQ0
rundll132

ウイルス対策してないorノートンじゃないよって人は
以下はCドライブにWindowsを入れたと仮定したものです。

Win2000の場合
C:\WinNT\rundll132.exe
C:\WinNT\system32\rodll.dll

WinXPの場合
C:\Windows\rundll132.exe
C:\Windows\system32\rodll.dll

Win9Xの場合
C:\Windows\rundll132.exe
C:\Windows\system\rodll.dll

上記の場所に『rundll132.exe』と『rodll.dll』のファイルが無ければ大丈夫のようです。

389 名前:(^ー^*)ノ〜さん :07/01/04 04:51 ID:tYqCMQoY0
それは今量産されてるMaranにも当てはまることなのかなって質問かと

390 名前:(^ー^*)ノ〜さん :07/01/04 05:50 ID:fuG1lE2U0
Maranには当てはまらない。構造が全く異なる。
>>383 で「役に立たない」と書いたとおり。

391 名前:(^ー^*)ノ〜さん :07/01/04 06:05 ID:fuG1lE2U0
あとNortonで検知を確認したのは151,040バイトの無圧縮Maran。
クリスマスあたりに出てきた48,305バイトのUpack圧縮Maranはまだスルーの模様。

また、以前Maranが置いてあった acyberhome■com/link/server■exe が
謎な物に更新。EliRT 1.01という何だかやばそうな物が入ってます
(チェコ製のウィルスコンポーネント?)。

392 名前:(^ー^*)ノ〜さん :07/01/04 06:19 ID:tYqCMQoY0
現在主流の垢ハックウイルスは>>388には該当しないのでなくても安心できない

393 名前:(^ー^*)ノ〜さん :07/01/04 06:20 ID:tYqCMQoY0
と、途中送信してしまったorz
断っておかないと勘違いする人が出てきそうなのでちゃんとしときます

394 名前:(^ー^*)ノ〜さん :07/01/04 06:56 ID:fuG1lE2U0
謎な物のスキャン。
http://www.mmobbs.com/uploader/files/1854.png
く、苦戦。

395 名前:(^ー^*)ノ〜さん :07/01/04 10:17 ID:H9TyPDza0
リネージュ資料室によると”自費出版ネットワーク”のサイトがクラックされた模様。

改竄され以下が仕込まれた模様。
www■lovetw■webnow■biz/rmt/sbha■htm

踏ませる為には手段を選ばず、金が絡んでるから本気というところか。
まさに中華の”俺のものは俺のもの、おまえのものは考え次第”だわ。
”もの”をサイトやドメインに置き換えただけの話。

気をつけよう。

396 名前:(^ー^*)ノ〜さん :07/01/04 13:08 ID:2kw0gAHc0
危険なサイトが避けられるなら、安全なサイトに仕込むってのはウイルスの常套手段だからな

397 名前:(^ー^*)ノ〜さん :07/01/04 13:37 ID:P4XCbY/60
しかしある意味凄いなぁ。
その努力をもっと建設的な方向に活かして金儲けをすればいいのに……

398 名前:(^ー^*)ノ〜さん :07/01/04 13:54 ID:2kw0gAHc0
勘違いしてはいけない
それより『楽して金儲け』出来るからやっているに決まってるじゃないか

もっと『楽して金儲け』出来るのが見つかればそっちに移るよ

399 名前:(^ー^*)ノ〜さん :07/01/04 13:56 ID:6KHG9C/X0
RMT系業者と、DDoSやサイト改竄など攻撃主体のクラッカーが結託し始めたということ。
こうなると、ゲームのIDだけでなく、ありとあらゆる情報を盗みに来る可能性も考えられるようになる。
アイテムを奪われたあげく、ネットバンクから現金を引き出され、仕舞いにはゾンビクラスタの仲間入りをして
加害者の立場に廻ることも想定の範囲内だ。

400 名前:(^ー^*)ノ〜さん :07/01/04 15:30 ID:AEGyThYZ0
ROに限らずネットゲーム全般で野放しだった所為で、
むしろここまで発展するのに時間かかったくらいだしな。

401 名前:(^ー^*)ノ〜さん :07/01/04 17:46 ID:82wQygUk0
www■RagnarokOnlina■com/rolink/

ここ踏んだらウィルスソフトが激怒したんですが
別PCでガンホID・アトラクションIDのパス変更
ウィルスソフトが反応したので削除
SpyBotで検索して出てきたものを削除
オンラインウィルススキャンでHITなし

これ以外にやるべき手順はありますか?

402 名前:(^ー^*)ノ〜さん :07/01/04 20:32 ID:seRrtmp+0
>>401
HDDフォーマット、OS再インスコ

403 名前:(^ー^*)ノ〜さん :07/01/04 22:18 ID:YAdASaO50
>>399-400
昔からあるしね。価格.comは話題になったけど
http://internet.watch.impress.co.jp/cda/news/2005/05/17/7617.html
小さなところも結構食われてる。ベクターのはクラックではなく、
内部の人間がヘマして踏んだだけなので別ね。

404 名前:(^ー^*)ノ〜さん :07/01/04 22:54 ID:YAdASaO50
クラックされた >>395 のjswork■jp だけど、
トロイ自体もそこに設置されていて
jpgamer、linageink、lineagekin、twmsn-ga等の
誘導サイトから飛ぶようになってますなぁ。

ROファンサイトに限った話しじゃないけど、
更新停止したサイトはとっとと潰さないと踏み台にされやすいね。

405 名前:(^ー^*)ノ〜さん :07/01/04 23:16 ID:YAdASaO50
jswork(略)img/msn■exe
lovetw(略)rmt/msn■exe
zhangweijp(略)/msn/msn■exe

Maranと一緒に降ってくるこれ、ファイル名からまさかと思ったけど
中身見たらWindowsLiveMessenger(旧MSNMessenger)のパス抜き。
フレに成りすましてトロイ送ったりトロイのアドレス送ったりする気だろう。
メッセンジャを使う人は特に注意ね。

406 名前:(^ー^*)ノ〜さん :07/01/04 23:18 ID:tYqCMQoY0
RO登録=MSNにしてる人は特に注意なんじゃ
垢とセットで抜かれたらキャラも危ない

407 名前:(^ー^*)ノ〜さん :07/01/04 23:28 ID:YAdASaO50
あー、私はメッセンジャ使ってないから知らんけど
.NETPassport=WindowsLiveID=HotmailID=MSNIDだっけ?
なんかいろいろやばそうだね。CardSpaceは関係無いかな。

408 名前:(^ー^*)ノ〜さん :07/01/05 02:28 ID:3Y+28J160
Winny経由感染ウィルスの様に、IMの会話ログを圧縮してばら撒いてくる挙動も想定しないと。
感染が元でギルド崩壊の危機に瀕したり。

409 名前:(^ー^*)ノ〜さん :07/01/05 02:35 ID:ZBWV8iI20
あっちはビジネスだからそんな愉快犯的なことはしないと思う。

410 名前:(^ー^*)ノ〜さん :07/01/05 02:51 ID:ZBWV8iI20
メッセンジャのパス抜きはスレの主旨から外れるかもしれんけど
Maranと同時投下ってことで、とりあえずスキャン。
http://www.mmobbs.com/uploader/files/1862.png
AntiVirとKasperskyが捕獲。
VBA32とNOD32もちょっと勘違いしつつ捕獲。あとは壊滅。
>>405 の3匹のうち2匹は同一バイナリなので、提出は2匹。

411 名前:(^ー^*)ノ〜さん :07/01/05 16:09 ID:U11m+90T0
警鐘age

412 名前:(^ー^*)ノ〜さん :07/01/05 17:03 ID:3Y+28J160
>>409
ただ、IMのログやフレンドリストの類いは、個人情報の宝庫みたいなものだから、何らかの悪用を
狙ってくる可能性は高い。
既存のIM経由spamも、そのあたりを突いてくる物が多いし。

413 名前:(^ー^*)ノ〜さん :07/01/05 18:56 ID:bbOA12Q40
jswork■jp、トップのウイルスへのアドレスをHTMLから削っただけでそのまま運営中。
勿論サーバ上のウイルスは残ったまま。
いろんな意味で『知らない』というのは怖いね。一応助言メールは発射済み。

414 名前:(^ー^*)ノ〜さん :07/01/05 19:28 ID:jfuk154R0
いつかは公式の蜂鯖から落ちてきて勝手に
ウィルス組み込まれそうな予感。

415 名前:(^ー^*)ノ〜さん :07/01/05 20:50 ID:R10fBOWE0
サイトのメルフォとブログの※に
ttp://www■jpragnarokonline■comからキタ

こんばわ
はじめまして。掲示板へのカキコどもでした。
(サイト名) 管理人 (管理人名)です。
サイト閲覧させていただきました。ROにドップリですね(笑
私もROかなりやってる(た?)人なのでいろいろ共感したりしました。

うちのサイト今ちょっとリンク張ってないんですが、
再開時は、相互させていただきますねー。

ソレデハ。

サイト名で検索したところ、実際にROをプレイしている管理人のサイトがヒットし、
サイトBBSで「URLを踏まないように」と管理人が勧告していた。
どうやらその管理人が別所で書きこんだレスを中華がコピペした模様。
手が込んできましたね。

416 名前:(^ー^*)ノ〜さん :07/01/05 22:25 ID:3Y+28J160
>>413
報告に対し、改善が見られないようなら、ホスティング事業者側に通告するのもありだな。
リテラシーの低いユーザーを抱えているのは、それだけでリスクになり得る時代なんだし。

417 名前:(^ー^*)ノ〜さん :07/01/05 22:52 ID:6jkLI58i0
>>413
俺も今朝4時頃送った。修正は15時か。riben.htmは消えているけど
exeは放置のまま。ファイルのURI書いてやったのになぁ。
つーか2000(IIS5)ならともかく2003(IIS6)ハクられるなんて
どんなクソ管理だよ…。OS周りはデータジャパンの管理だろうか。

418 名前:(^ー^*)ノ〜さん :07/01/05 22:57 ID:Yz6bIu8d0
被害届を出すためにワザとexeファイルを残しているとか?

419 名前:(^ー^*)ノ〜さん :07/01/05 23:33 ID:6jkLI58i0
現物とログさえあればいいだろうから、普通webshareから外すか403にするかと。
メッセンジャのはバスターはTSPY_AGENT.GNUとTSPY_AGENT.GNVで検知。
送ってから6時間でパターンリリース、対応は早いほうか。

420 名前:(^ー^*)ノ〜さん :07/01/06 08:50 ID:HvuDdHgH0
エロサイトみたいな謳い文句とともに爆撃するgame4enjoy■netも活動再開。
ファイル名は〜jpg.scr。自己解凍のrarで、
1.exe(Upack圧縮Maran、49,228バイト)が実行される。
バリエーションが大量にある(私の手元では9匹)ものの、
1.exe自体は全く同じなので検体の提出は楽だった。
んじゃ何が違うかというと、同梱されているエロ画像。
…検証のために解凍したんだからね!

421 名前:(^ー^*)ノ〜さん :07/01/06 10:11 ID:PF1aJsWX0
ツンエロ乙

422 名前:(^ー^*)ノ〜さん :07/01/06 14:53 ID:OvRGaOaR0
参考までに
2006年のウイルス/不正アクセス届出状況
ttp://www.itmedia.co.jp/enterprise/articles/0701/05/news062.html

423 名前:(^ー^*)ノ〜さん :07/01/06 14:57 ID:HBOgQfyb0
IPAから2006年度のウィルスの傾向等が発表されてますね。
最初に垢ハクウィルスについて書かれてるので一読した方がよいかも。

ttp://www.ipa.go.jp/security/txt/2007/01outline.html

424 名前:(^ー^*)ノ〜さん :07/01/06 22:13 ID:X7jd84hA0
QuickTimeとAcrobat Reader pulg-inに外部から乗っ取れるバグがあるようだな

425 名前:(^ー^*)ノ〜さん :07/01/06 22:31 ID:i/iT+Msq0
危険信号age

426 名前:(^ー^*)ノ〜さん :07/01/06 23:13 ID:qZmsaOTO0
Adobe Reader(Acrobat)は、度々セキュリティ欠陥の問題となっている。
出来る事なら、ブラウザプラグインとしての動作を禁止し、外部アプリケーションとして動作させる事をお薦めする。
設定の変更方法は、セキュリティホールMEMO等を参照。

427 名前:(^ー^*)ノ〜さん :07/01/07 02:03 ID:RVGGfudC0
twsunkom■com/668/
がBBSに張られてて、踏んでからどこかで見たと思って此処を検索でヒット(;^ω^)

他ギルメンには警告しといたけど、踏んでしまった私はまずどうしたらいい?
〜⊂´⌒∠;゚Д゚)ゝつ

428 名前:(^ー^*)ノ〜さん :07/01/07 03:55 ID:eFDd5F5n0
スレ内とテンプレサイト読んでください

429 名前:(^ー^*)ノ〜さん :07/01/07 04:13 ID:ChBEEvrG0
聞こうとするだけで調べようともしないから踏むんだよな
知識ってのは思考を繰り替えさないと身につかんし生かさなきゃ何も知らないのと変わらんのに

430 名前:(^ー^*)ノ〜さん :07/01/07 04:31 ID:eFDd5F5n0
文面から余裕も見て取れるからなんともしがたいです

431 名前:(^ー^*)ノ〜さん :07/01/07 04:44 ID:RVGGfudC0
>>428
ごめん、まずテンプレ読んで以下はやったんだ

まずテンプレサイト見てPeerGuardian2が有効とあったので以前インストしてたから起動して
サイトの危険IP系遮断リストを追加、スタートアップで起動するように変更

次に旧PCでROパス変更

そして今、オンラインスキャンとavastでスキャン中


他に何かやった方が良い事があればしようと思ったんだ
余裕があるわけでもないが、ハックされたらRO引退すればいいかなぁとか思ってた部分はある

432 名前:(^ー^*)ノ〜さん :07/01/07 04:46 ID:LR/G3bRM0
知識もない、調べる気もないなら、大人しくクリーンインストールしとけ。
一番間違いない方法だから。(インストール後にアタック食らう可能性はあるが)

433 名前:(^ー^*)ノ〜さん :07/01/07 04:59 ID:eFDd5F5n0
出だしが悪いって
「踏んでしまった>どうすればいい?」じゃ答えようがない
「踏んでしまった>普段対策はこうしてる>今こんなことしてる>他にどうすれば」
って聞いてればこんな冷たくされずに済んだだろうに

とりあえずハッキリするまでとりあえずROのログインは控えるようにするしか

434 名前:(^ー^*)ノ〜さん :07/01/07 05:06 ID:RVGGfudC0
>>433
すまん、自分でもそう思う

>>とりあえずハッキリするまでとりあえずROのログインは控えるようにするしか
把握した

435 名前:(^ー^*)ノ〜さん :07/01/07 10:46 ID:AZ37N5Ty0
こういうのはいかが?

別PCで捨て垢を用意→利用期限切れ直前で疑わしいPCでログイン
→その後課金されていたらアウト

まぁ中華の反応が悪かったら乙な訳だが

436 名前:(^ー^*)ノ〜さん :07/01/07 12:20 ID:IGWuAdsq0
意見・要望 †
最新の5件を表示しています。 コメントページを参照
RAGNAROK校@避難所http://www■bbs-qrcode■com/link -- Kiyoshi? 2007-01-06 (土) 22:59:50 New!


アコプリwikiに垢ハックURLがあった。カスペ装備者は踏んでみよう!
今時の職wikiで対策を講じていなかったことを管理者は反省しなさい。

437 名前:(^ー^*)ノ〜さん :07/01/07 13:26 ID:jmUKyusW0
カスペルスキーをインストールしている人にだろうと踏んでみようなんて言うべきではないし、
そのリンクが危険だとスレにもWikiにも忠告もしてないじゃないか。
本当に危ないのかは判別できないので私が出張ることは出来ないが、先にそういう行動をとるべきだろ。

438 名前:(^ー^*)ノ〜さん :07/01/07 14:53 ID:yQJK7pSr0
なんでお前が威張ってんだ、ってのが>>436に対する感想。

439 名前:(^ー^*)ノ〜さん :07/01/07 16:38 ID:ykN2/8cc0
アコスレに注意喚起貼ったが、無反応でワロス

440 名前:(^ー^*)ノ〜さん :07/01/07 17:50 ID:eFDd5F5n0
検体を送ったり周りに注意を呼びかける人たちもいれば
全くの無関心なのも、それだけならまだしも踏めという馬鹿が出てくる始末
なんだかなぁ…

441 名前:(^ー^*)ノ〜さん :07/01/07 18:02 ID:TpJJNt8f0
リネージュ資料室より、新ドメイン。
watcheimpress■com
games-nifty■com
前者はinternetとかpcとかのサブドメインだと紛らわしいな。

442 名前:(^ー^*)ノ〜さん :07/01/07 18:09 ID:8RAmeW6r0
>>436は中華の新たな手口に違いない

443 名前:(^ー^*)ノ〜さん :07/01/07 18:10 ID:Kokwh4n30
垢箔ウイルスは次々と新種が出てるのに公式が公式サイトで注意を喚起しようとしないのもすげーなあ
被害者が出れば手間が増えるのにね

444 名前:(^ー^*)ノ〜さん :07/01/07 18:11 ID:Kokwh4n30
公式が は余計だった。
こういうところを怠けてるから仕事していないと見られるってわかんないのだろうな

445 名前:にゅぼーん :にゅぼーん
にゅぼーん

446 名前:(^ー^*)ノ〜さん :07/01/07 18:59 ID:utEyvtUw0
#
# Trojan trap sites
# 2007/01/07 18:30版(被害報告スレ4-441まで)
#
127.0.0.1 77ch■jp
127.0.0.1 acyberhome■com
127.0.0.1 bbs-qrcode■com
127.0.0.1 cabalol■com
127.0.0.1 dg■246911■com
127.0.0.1 dj5566■org
127.0.0.1 ds■07214404■com
127.0.0.1 ftplin■com
127.0.0.1 gamaniaech■com
127.0.0.1 game4enjoy■net
127.0.0.1 gamesragnaroklink■net
127.0.0.1 games-nifty■com
127.0.0.1 game-oekakibbs■com
127.0.0.1 gamorimori■net
127.0.0.1 gemnnammobbs■com
127.0.0.1 good1688■com
127.0.0.1 guild-wars-online■com
127.0.0.1 hinokihome■com■tw
127.0.0.1 homepage3-nifty■com
127.0.0.1 honda168■net
127.0.0.1 hosetaibei■com
127.0.0.1 japangame1■com
127.0.0.1 jpgamer■net
127.0.0.1 jplingood■com
127.0.0.1 jpragnarokonline■com
127.0.0.1 jprmthome■com
127.0.0.1 jswork■jp

447 名前:(^ー^*)ノ〜さん :07/01/07 19:00 ID:utEyvtUw0
127.0.0.1 linbbs■com
127.0.0.1 lineagalink■com
127.0.0.1 lineagekin■com
127.0.0.1 linrmb■com
127.0.0.1 livedoor1■com
127.0.0.1 lovetw■webnow■biz
127.0.0.1 playncsoft■net
127.0.0.1 playsese■com
127.0.0.1 ptxk■com
127.0.0.1 ragnarok-game■com
127.0.0.1 RagnarokOnlina■com
127.0.0.1 ragnaroklink■com
127.0.0.1 rarbrc■com
127.0.0.1 rohanol■com
127.0.0.1 rormb■com
127.0.0.1 rmt-navip■com
127.0.0.1 skkustp■itgozone■com
127.0.0.1 toyshop■com■tw
127.0.0.1 twmsn-ga■com
127.0.0.1 twsunkom■com
127.0.0.1 tigermain■w148■bizcn■com
127.0.0.1 watcheimpress■com
127.0.0.1 youshini■com
127.0.0.1 zhangweijp■com
127.0.0.1 zhangweijp■w100■okwit■com
#
# End of trojan trap sites
#

448 名前:(^ー^*)ノ〜さん :07/01/07 19:01 ID:utEyvtUw0
>446-447
例によって「■」を半角ドット「.」に書き換えてください。

追記したのは

>jswork■jp
>watcheimpress■com
>games-nifty■com

の3ドメイン。

モレや間違い、追加等があれば修正お願いします。

449 名前:(^ー^*)ノ〜さん :07/01/07 19:02 ID:Z1npMMPC0
>>445
VIPのせい

450 名前:(^ー^*)ノ〜さん :07/01/07 19:22 ID:ltgBjr7D0
>>436
アコプリテンプレWikiは、コメントプラグインを設置しないと言う事で、爆撃被害を軽減していたはずだが。
そのあたりの事情を知らない誰かが、pcommentフォームを設置した事で、攻撃の対象になった模様。

Wiki管理人側は、一般の閲覧者よりもセキュリティアナウンスに敏感ではあるべきだが、一般の利用者も、
WindowsUpdateやセキュリティソフト導入は、Internetに接続する際の最低限の作法だと心得るべき。

451 名前:(^ー^*)ノ〜さん :07/01/07 19:51 ID:LR/G3bRM0
>>444
単なるゲーム機のノリでPC使ってるのが多いのも原因だとは思うけどね。
ROやろうがやるまいが、マルウェアの存在はあるんだし。

452 名前:(^ー^*)ノ〜さん :07/01/07 20:32 ID:t707x/nI0
元ギルメンのBBSに投下されていたものをコピペ。

>(227) 緊急告知! 3連休はローズの日 Name: 麗姫 さん 2007/01/05(Fri) 17:00 /HP
>皆様からの熱いご要望にお応えして、
>急遽、経験値1.5倍イベントの実施を決定いたしました!
>=======================================================
>期間:2007年01月8日(祝)0:00〜01月11日(月)10:00
>内容:期間中はモンスターの経験値が通常の1.5倍になります
>=======================================================
>来週のアップデートに向けて、この週末はガッツリ稼ぎましょう!
>※12月に実施しました「ご新規さん大歓迎キャンペーン」のアンケート結果を公表中!
>ローズオンライン マネジメントチーム
>http://www■jplinux■com

中身はインラインフレームで
ttP://www■lovetw■webnow■biz/liang/lin■htmをコールし、

仕込まれているウィルスはInfostealer.Okarag(NOD32で確認)

453 名前:(^ー^*)ノ〜さん :07/01/07 20:41 ID:NIggNv0J0
>>446さん乙です

プロバイダcn*ata.com(3文字目伏字にしました)を
使っている人から、俺のブログにコメントが

今調べたらリストの中に誘導先URLが含まれていました

俺が設定していた禁止ワードを回避出来るまで
数回投稿し直している形跡が残っていました
手作業でやってるのかと改めて怖くなりました

454 名前:(^ー^*)ノ〜さん :07/01/07 20:44 ID:lJm6fnTf0
jswork■jp
依然改善されない模様なので、サーバ会社とNPO監督省庁に連絡してみた。どう出るかな。

455 名前:(^ー^*)ノ〜さん :07/01/08 02:33 ID:JZXyS7wr0
一日の来訪者が10人程度のブログですが、垢ハクコメントふたつ貼られました。
7日18:06更新の記事に対し、20:32と20:33です。
貼られたアドレスは
www■jpragnarokonline■com
www■gemnnammobbs■com
です。モロですよね。

上は、

>こんばわ
>はじめまして。掲示板へのカキコどもでした。
>○○○○ 管理人 ○○○○です。
>サイト閲覧させていただきました。ROにドップリですね(笑
>私もROかなりやってる(た?)人なのでいろいろ共感したりしました。
>うちのサイト今ちょっとリンク張ってないんですが、
>再開時は、相互させていただきますねー。

という書き込みだったので、危なく踏むところでした。

下はエミュの紹介でした。

ちなみに、私のブログも「ROBlog」さんに登録しています。

456 名前:(^ー^*)ノ〜さん :07/01/08 11:00 ID:7kiqyBOx0
Irisにアカハックの被害にあったというチャットあったな。

457 名前:(^ー^*)ノ〜さん :07/01/08 12:32 ID:1GEvc5nv0
VIPPERどもが垢ハックにあってるwwwwwwwwww
ワロスwwwwwwwwwwww

458 名前:(^ー^*)ノ〜さん :07/01/08 13:21 ID:yZogHUEf0
アカウントハック犯人がRoBlogさんを利用しているのは確定的ですね。
ちょうど更新チェックが入った時に書き込まれているのが判りました。
文章も他のブログからコピペしてきてるのでしょう。
そう思うと自分の文章も使われてしまっている可能性もあるんですね。

自分のBlog側の自衛手段としては
コメント・トラックバックを管理者権限で公開/非公開するしかなく
LivedoorではIPブロックとかできないので歯がゆいです。

459 名前:(^ー^*)ノ〜さん :07/01/08 15:03 ID:bnkFiLdw0
       ('(゚∀゚∩_ おいらをどこかのスレに送って!
      /ヽ   〈/\ お別れの時にはお土産を持たせてね!
     /| ̄ ̄ ̄|.\/
       | .モツ煮..|/
        ̄ ̄ ̄
現在の所持品:たばこ・ライター・コーヒー・PlayStation3(60GB)・枕・PlayStation3(60GB)
聖教新聞 ・PlayStation3(60GB)・外付けRIGEL340MHDD・PlayStation3(60GB)・寄生虫キムチ
虫食い付きウールセーター・PlayStation3(60GB)・PlayStation3(60GB)・クターの生首・PlayStation3(60GB)
LANケーブル・PlayStation3(60GB)・リラックマ・マリモ・六法全書・単三電池・キンタマ
ファブリーズ・PlayStation3(60GB)・水・PlayStation3(60GB)・クタウイルス ・PlayStation3(20GB)
PlayStation3(20GB)・PlayStation3(20GB・)PlayStation3(20GB)・PlayStation3(20GB)・PlayStation3(20GB)
FateZero・PlayStation3(60GB)・ロノウイルス・スーファミ

460 名前:(^ー^*)ノ〜さん :07/01/08 15:22 ID:F0umMEJ00
PS3多すぎ

461 名前:(^ー^*)ノ〜さん :07/01/08 15:24 ID:PgGk0Tqc0
>>453ですが、Google経由でした
特定のところに登録していないからといって、油断禁物と思います

462 名前:(^ー^*)ノ〜さん :07/01/08 21:42 ID:FZGotT6U0
今外部リンク対策していない職Wikiってどこじゃろなぁ…
リンカーテンプレやアサスレテンプレとかは確認ページとか出ないけど、何か対策はされてるのかな?

463 名前:(^ー^*)ノ〜さん :07/01/08 21:53 ID:DuyKMhCX0
Win2Kなんだけど、hostsに

127.0.0.1 nikkansports.com
(↑例:日刊スポーツ)

って書いただけだと、普通にアクセス出来ちゃうんだよね
「www」を加えて

127.0.0.1 www.nikkansports.com

って書けば大丈夫だった。このスレに出てるリストでは「www」にあたる部分は省いてあるようだけど
なんか漏れの設定で間違ってる所でもあるんかな?

464 名前:(^ー^*)ノ〜さん :07/01/08 22:04 ID:F0umMEJ00
nikkansports.com というホスト名は存在しないから普通はエラーになるが、
ブラウザの機能で www とかを自動的に補間して、再度アクセスを試みるって
のがある

で、本当のホスト名は www.nikkansports.com なので制限が掛からない


ここのリストは、あのホスト名でDNSに登録されているので www が
省略されているわけでは無いよ

465 名前:(^ー^*)ノ〜さん :07/01/08 22:07 ID:DuyKMhCX0
>>464
そうなのかdクス
安心してハクアドレス踏んでくる

466 名前:(^ー^*)ノ〜さん :07/01/08 22:26 ID:RgYFyLJ10
踏むなよw

467 名前:(^ー^*)ノ〜さん :07/01/08 22:29 ID:F0umMEJ00
これが465の最後の書き込みであった


書いてから思ったが、ホスト補間機能あるとhostsファイルでの
制限って正しく掛かるのだろうか?

468 名前:(^ー^*)ノ〜さん :07/01/08 23:16 ID:JZXyS7wr0
455です。

アカハックコメント貼られた時のリモートホストがブログに記録されてたんですが、
晒したら何かの役に立ちますか?

469 名前:(^ー^*)ノ〜さん :07/01/08 23:29 ID:OAzBs9I/0
>>467
名前解決はブラウザみたいなアプリではなく
もっと下位層だろうから掛かると思う。
fuu.comで掛けた場合にbar.fuu.comなどもブロックできるか、
*.fuu.com みたいな書き方ができるかどうか、の2点が問題。
これらの表記ができるファイアウォール使うのが手っ取り早いけど。

470 名前:(^ー^*)ノ〜さん :07/01/09 00:50 ID:NtdNLJ150
中華が垢ハックを書く時、たまに入れるメアドにこんなのが。
ganro10@yahoo■co■jp

これが含まれる書き込みにあるリンクは全部垢ハックだ。
リンクがどうか判らない時にこれがあったら即削除推奨。

471 名前:(^ー^*)ノ〜さん :07/01/09 01:36 ID:/IuE2pgG0
>>468
             ハ_ハ  
           ('(゚∀゚∩ やくにたつよ!
            ヽ  〈 
             ヽヽ_)

472 名前:(^ー^*)ノ〜さん :07/01/09 02:52 ID:D9wJSuHC0
 >>468

            ハ_ハ  
           ('(゚∀゚∩ れんぞくしておなじほすとがはってくるなら
            ヽ  〈  ほすとのあいぴーをきっくすれば
             ヽヽ_)  しあわせになれるよ


Blogを個人で立ててる人はSerene Bachの設定で垢ハックに関係するメアドや
アドレスを禁止にするだけでもかなり管理がらくだ。
ここで定期的にアド一覧を出してくれる人には本当に感謝している。

473 名前:(^ー^*)ノ〜さん :07/01/09 07:22 ID:jGnQN9EF0
Lokiでも垢ハック露店確認。
『売り装備』って露店名でした。
何も出来ないのが悔しいな…

一応、またカスペのスキャンかけてこよう…

474 名前:(^ー^*)ノ〜さん :07/01/09 08:58 ID:YPvreE3U0
Bijouでも垢ハク露店発見。
こちらも『売り装備』という露店名でした。
見てるだけで本当に腹が立つ…。

475 名前:(^ー^*)ノ〜さん :07/01/09 12:43 ID:hIGg5ITt0
419のTSPY_AGENT.GNUウイルスがバスターで検知はできるが隔離も削除もできない。
ファイルを手動で削除しようとしてもファイル使用中と表示され消すことができないのだけど
だれか対処法を教えてください・・・orz

476 名前:(^ー^*)ノ〜さん :07/01/09 13:24 ID:3XcMBPea0
垢ハックアドレスを踏んだわけではないのですが、
念のためカスペルスキーのオンラインスキャンを実行してみました。
とりあえず、ターゲットをマイコンピュータにして
その中に感染・疑わしいオブジェクトがなければ今の所は安心でしょうか。

477 名前:(^ー^*)ノ〜さん :07/01/09 13:25 ID:s05z08tW0
ハイハイクマクマ

478 名前:(^ー^*)ノ〜さん :07/01/09 14:52 ID:Vks/c4b10
>>475
ファイル名わかってるならセーフモードで消せない?

セーフモードがわからなければ↓参照
http://www.higaitaisaku.com/safemode.html

479 名前:(^ー^*)ノ〜さん :07/01/09 15:00 ID:gTLGoxMR0
>>475
MSNMessenger(WindowsLiveMessenger)を終了。
Kcrner.exe Kcrner.dll およびこれに類するプロセスを終了。

480 名前:(^ー^*)ノ〜さん :07/01/09 19:31 ID:3ufpAQOv0
ID変わってるけど455=468です。

やくにたつよ!ということなのでリモートホストを晒しておきます。

私のブログに書き込まれたアカハックコメントの主のは
85.214.50.115となっていました。
この直前にも怪しげなアクセスの痕跡があって、そちらは
80.227.0.153でした。

よく分からないながら、Whoisというのを使ってみましたが、ベルリンとか
ドバイとか出てますね・・・

これって、踏み台ってやつなのかなあ。

481 名前:(^ー^*)ノ〜さん :07/01/09 19:56 ID:NtdNLJ150
>>480
最近は中国特定箇所(福建限定?)からの投稿を弾く掲示板サービスも出てきてる模様。
TEACUPはそうかな?
ここだけ最近の垢ハックが全部プロキシ接続で書き込まれている。

480で出てくるのはどちらも逆引きできないIPだから。
”逆引き出来ないIPからの投稿禁止”設定が出来るなら対策しておいたほうがいいね。
これで少しは平和になると思う。

482 名前:(^ー^*)ノ〜さん :07/01/09 20:05 ID:T4TR4mWF0
>>480
BBQで確認したところ、焼かれてました( = 公開プロクシ)。

逆引き不可をアク禁は害も大きめなんでBBQを導入できるなら先ずそっちから。
次点で日本からのアクセスのみを許可。

まぁ、アク禁は最後の砦なので禁止単語やリファラー制限、Captchaシステム
Cookie必須化・Accept-Languageに日本語を含むかチェック等様々な手法を
組み合わせ複合的対策が好ましい。耐性菌対策と同じ理屈。

レンタルサービスだったら出来る事が少ないでしょうから出来る範囲で何とか、
としか…。

483 名前:(^ー^*)ノ〜さん :07/01/09 20:10 ID:4Pr0fIZr0
ドメイン管理してる団体ってそんなチェック甘いのか?
自分が取った時名前も住所も必須だったけど
HPの内容まではチェックしないで通報きても無視が当たり前なのか?

484 名前:(^ー^*)ノ〜さん :07/01/09 20:19 ID:8pdgCGBD0
そりゃドメインを管理してるだけなんだから内容までチェックする訳ないだろ

485 名前:(^ー^*)ノ〜さん :07/01/09 20:27 ID:H1Q4fM0M0
ばれると消される場合もあるけど、金さえ払えば虚偽でも取れるよ
最近はドメイン取得代行会社がドメイン所有者名出さないようになってる上に審査甘くて虚偽でも平気で通る

486 名前:(^ー^*)ノ〜さん :07/01/10 00:08 ID:wowPle8P0
お知恵を拝借しにまいりました。


【  アドレス   】 www■jpgamer■net/archive/
【     OS    】 WindowsXP
【使用ブラウザ 】 IE
【WindowsUpdateの有無】 自動更新です
【 アンチウイルスソフト 】 avast!常駐(現在スキャン中)
【説明】
上記のアドレスを、クリックではなくブラウザのアドレス欄に貼り付けてEnterしてしまいました。
中国系の文字だったため怪しいと思い調べてみたら案の定です。
こことBSWikiを参考に、電話線を抜き別のPCからパスワードの変更をしましたが、
ゲームをしようとしていたときなので、気付いたときにはROは起動してありました。
(パッチの画面で「ゲーム開始」はしていない状態です。)

激しい脱力感に襲われていますが、これ、もう手遅れでしょうか。

487 名前:(^ー^*)ノ〜さん :07/01/10 00:22 ID:4+MY/hH20
>>486
パスワード文字をタイプする以前に気付いたなら、恐らくはまだ無事。
但し、Brute Force Attackの標的に狙われる可能性もあるので注意。

万全を期すなら、OSごとクリーンインストールの上、ログインを試みる。
それと、IE以外のブラウザを使用選択肢に入れることも考慮するのが無難。
必要の無いサイトでは、スクリプト系の動作は禁止するように設定。

488 名前:(^ー^*)ノ〜さん :07/01/10 00:28 ID:MGYoDbou0
>486
パッチ当ての画面だけならまだ抜かれてないと思われる。
さらに別PCでPASS変更かけたのなら、その別PCが他ウィルスにやられてないと
いう前提で、多分平気。

不安を完全に解消したいなら、HDDフォーマットの上OS再インストールかな。

しかし、なぜわざわざコピペで飛ぶ……

489 名前:(^ー^*)ノ〜さん :07/01/10 00:31 ID:iBKaqZkv0
PeerGuardian入れておけば、ついうっかりクリックしてしまった
という事故はかなり減るんじゃないかなー

もちろん過信して対策を怠ったり、何でもクリックするような人だと意味無いが

490 名前:(^ー^*)ノ〜さん :07/01/10 00:52 ID:3Tm0P6qE0
ブラウザのアドレス欄に貼り付けてEnter、は
ついうっかりクリックとは言わない気もする。
なんというか、無用心過ぎ。

491 名前:(^ー^*)ノ〜さん :07/01/10 01:03 ID:iBKaqZkv0
>ブラウザのアドレス欄に貼り付けてEnter
それは最初から考慮してない
どう考えても自分の意志でアクセスしてるし

492 名前:(^ー^*)ノ〜さん :07/01/10 01:28 ID:3Tm0P6qE0
ごめん、486からの流れだと思った。
そろそろWindowsUpdateの時間か…。

493 名前:(^ー^*)ノ〜さん :07/01/10 01:45 ID:i1w8THlu0
Sleipnirのクリップボード監視には気をつけろ
URL含んだ文章コピーすると自動でそのURLを開くからな

494 名前:486 :07/01/10 02:23 ID:wowPle8P0
ご助言ありがとうございます。おかげさまで希望がもてました。
avast!のスキャンでは感染は見つかりませんでしたが、
念のためこれからOSを再インストールし、IE以外のブラウザの使用も視野に入れるつもりです。

コピペで飛んでしまったのは、アクセス解析で何処から来たかばれてしまうと恥ずかしいので
普段からアドレス欄に直接貼って移動することが多いから・・
検索したサイトなどもプロパティのアドレスをコピーして飛んでいます。

今回のことはとても勉強になりました。重ねてお礼申し上げます。

495 名前:(^ー^*)ノ〜さん :07/01/10 03:15 ID:MGYoDbou0
avastって垢ハク系に対して強かったっけ?
このスレ的にはカスペやNOD32あたりが推薦されてるわけだが。

OS再インストールするなら今回は平気だろうけど、スキャンする場合は
オンラインスキャン使って複数のものでチェックする、ぐらいでないと
見落とされる恐れもある。
単一のソフトで見つからなかったから、と安心するのは早い。
中にはバスターの様にスルーするのもあるからね。

496 名前:(^ー^*)ノ〜さん :07/01/10 03:37 ID:3Tm0P6qE0
バスターは検知できない検体を送った後の対応は早い。
Nortonは普段の検知はあまり文句ないんだけど、
いざ検知できなかった場合の対応が遅すぎ。
年末に捕獲したUpack圧縮Maranが今でもスルー。
こうした差があるので一概には言えないのよね。
AntiVir、Avast!、BitDefender、Dr.WEB、Kaspersky、NOD32あたりなら
それほどスルーはしないと思う(アルファベット順、他意はありません)。

497 名前:(^ー^*)ノ〜さん :07/01/10 20:03 ID:2LIGzeAC0
chwg001@yhoo.co.jp
についてハンドルネームで俺の名が使われてるんだが、腹いせのつもりで
やってるんだろうか?このバカは

498 名前:(^ー^*)ノ〜さん :07/01/10 20:07 ID:2LIGzeAC0
chwg001@yhoo.co.jp
について掲示板とかの書き込みで、ハンドルネームに俺の名が使われてるんだが、
腹いせのつもりでやってるんだろうか?このバカは。

499 名前:(^ー^*)ノ〜さん :07/01/10 20:13 ID:Lbz4ffq+0
お前が普通に逮捕だな。お疲れさん

500 名前:(^ー^*)ノ〜さん :07/01/10 20:17 ID:8fd6HVet0
意味がわからん…
名前が唯一無二で自分だけの物だとでも思ってる子なのか

501 名前:(^ー^*)ノ〜さん :07/01/10 20:54 ID:DEi/LYn60
MSの月例Updateが来たようなのでチェックするべし。
でも
http://internet.watch.impress.co.jp/cda/news/2007/01/10/14419.html
なんて情報も有るんで注意という事で。

502 名前:(^ー^*)ノ〜さん :07/01/10 21:14 ID:2GkJHokc0
↑垢ハックURL

503 名前:(^ー^*)ノ〜さん :07/01/10 21:18 ID:8fd6HVet0
>>502
悪ふざけも悪質なんで報告してくるから

504 名前: ◆sp4Sh9QXGI :07/01/10 23:34 ID:FEbCm/Pa0
まとめサイトの中の人です。
>>446さまがまとめていただいたリストを更新しました。

#本職(?)の都合上、更新が1週間も開いてしまいました…
#速報性が重視されるべきサイトであるのに更新できず、申し訳ありませんでした。
#この先も更新が暫く開いてしまうことがあるかもしれませんが、
#何卒よろしくお願いします。

505 名前:(^ー^*)ノ〜さん :07/01/11 01:01 ID:ZfC9tIrU0
>>502は氏ねばいいよ、うん。

506 名前:(^ー^*)ノ〜さん :07/01/11 07:29 ID:QadQy4xA0
>>502
セカンドレベルドメインの意味も読み取れずに煽るだけの阿呆につける薬は無い

507 名前:(^ー^*)ノ〜さん :07/01/11 15:44 ID:8FdPytNw0
>>497,498

>>247
でアカハク側がたまに書き込んでくるメールアドレス
という話題にあったメアドだね。

508 名前:(^ー^*)ノ〜さん :07/01/11 22:11 ID:pJgbL0pk0
垢ハク側のメアド追加

ganro1@yahoo■co■jp

このメアドを入れることもあるようだね。
ヒットするのは全部垢ハック書き込みで、危険メアドの一つ。

ganro10@以下同じという既出の垢ハクメアドもあるわけで。

危険URLのほかに危険メアドリストもあったほうがいいのかもしれん。
URLと併せこのメアドが含まれている場合危険ですみたいな。

509 名前:(^ー^*)ノ〜さん :07/01/12 00:00 ID:ykBan6Ht0
こんばんは、ここで質問していいのかわからないのですがよろしければご回答お願いします。

今回、カスペルキーの試用版をダウンロードしまして
暫くすると、
疑わしいオブジェクトです: リスクウェア Hidden object
C:\Program Files\Gravity\RagnarokOnline\Ragexe.exe

と出るのですが、これはnProに反応しているのでしょうか

何度も何度も出て困ってます、解決の仕方を良ければご助言お願いします。

510 名前:(^ー^*)ノ〜さん :07/01/12 00:11 ID:gL8/3aCF0
ROが起動するとnProがRagexe.exeをプロセスリストから隠蔽するのでHidden objectとでます

511 名前:(^ー^*)ノ〜さん :07/01/12 01:15 ID:ooJu7GDB0
カスペはわりとわかる人じゃないと設定などが厄介かもしれない

512 名前:(^ー^*)ノ〜さん :07/01/12 01:40 ID:ykBan6Ht0
>>510>>511さん
ご回答ありがとうございます

510さんの回答でやはりアカハク関係ではないようでしたので、
ひっかかってた部分を除外リストにいれてみました。
今のところは反応ないので、自己解決、とします。
遅い時間にもかかわらず&スレ違い質問だったと思いますが
お二人ともありがとうございました。

513 名前:(^ー^*)ノ〜さん :07/01/12 02:42 ID:T/xpNfRU0
アカハッカー(とでも言いましょうか)の良くあるメアドはウイルスアドレスと違って
その場で投稿者が即座に変更できるものなので識別の補助程度として位しか
使えない気もする。書込の多くは人力っぽいのでちょっとエラー表示等で隙を
見せたら何をNGにしてるかばれそう。

# 一般的に、NGワードを突っ込んだとしても特に悪質なものに関しては
# 引っかかった語を知らせないという運用を取れていればメールアドレス
# リストも結構有用かもしれない。でも、全てがそういう訳でもないでしょうから。

まぁ、怪しいドメインリストですら保守が面倒なのに信頼性が低めなメール
アドレスリストはその労力に見合わない気もする。勿論、その労力は
決して無駄とは思わないので皆で持ち寄ってまとめるのはありかもしれない。


速報。
rormb系のkaukoo■comのウイルスが更新。大手系ではNOD32v2しか引っ掛け
ないという鬼な状況(VirusTotalで 7/29 しか反応せず)。頑張るねぇ…。

514 名前:(^ー^*)ノ〜さん :07/01/12 03:14 ID:r3HF/0IB0
>>513
検体発射中。中華アカウントハッカーの中では
スキルが高めのrarbrc=linbbs=linrmb=rormb=ptxkですな。
こいつ、スクリプトも相変わらずだった(暗号化VBScript、要ScriptDecoder)。
スキャンかけると、どうもカスペ等はパス付きアーカイブと誤認するくさ。
形式はBEP(ドイツのBeRoさんのEXE Packer)。

515 名前:(^ー^*)ノ〜さん :07/01/12 04:39 ID:r3HF/0IB0
バスターより、TSPY_LINEAGE.BCOとする予定と返事。
ちなみにシェアウェアのアーカイバExpLzhでも
形式はわからんけどパス付きアーカイブと見なされた。
下手にエンジンの解凍ルーチンが充実した製品ほどてこずるかもしれん。

516 名前:(^ー^*)ノ〜さん :07/01/12 05:20 ID:r3HF/0IB0
ついでに。

ASPack圧縮のWoW(World of Warcraft)トロイを配布していた
kingbaba■ccも2時間ほど前にMaranに差し替えた模様。
こっち系は不慣れなのか、jottiでひとつ残らず引っかかりやがった。
ちなみにUpack圧縮なのでNorton先生は南無。
kingbabaはファイルを頻繁に入れ替える(更新するわけではなく
既知のいくつかをローテーションする)ので拾っていじる人は注意。

WoWトロイの配布としては他にもyoushini■com=453787■com
(生アドはkingrou(中略)west263■cn)などがあるけど
kingbabaと同じ奴かどうかまでは知らない。

また、無圧縮ドロッパ+UPX圧縮トロイという妙な構成で
エンジンの解析をすり抜けるqiucong=movie1945=micro36も
今週から復帰している模様。ccdll.dll系の純粋なLineageトロイ。
でも前記の変な構成のため検体は結構送る羽目になった。

517 名前:(^ー^*)ノ〜さん :07/01/12 09:10 ID:BToX0byi0
www■lovetw■webnow■biz/heirun/gun■htm
を間違って踏んでしまいました。

ノートン、カスペ、Ad-Aware等で調べてみても特に何も検出されません。
SpywareBlasterも予め導入はしておりました。

また、URLを開いた時には、特にActiveXの実行なども出てくることもなく、窓が固まったので閉じました。
http://so.7walker.net/guide.phpでURLを調べても安全度は100%とでます。

URLを踏んで以降は、特にログインなどはしていませんがどうすればいいのでしょうか。

518 名前:(^ー^*)ノ〜さん :07/01/12 09:16 ID:qLxA9EOF0
心配ならばOS再インスコ。これが最強かと。

519 名前:(^ー^*)ノ〜さん :07/01/12 09:24 ID:ooJu7GDB0
やれることやって安心できないなら>>518だね
見た感じしっかりしてるけど外野からはやっぱり「大丈夫」とは言えないし

520 名前:508 :07/01/12 09:27 ID:b+GLaCeU0
>>513
"URLと併せて〜"と書いたように、識別補助として書いたつもり。

”投稿者が即座に変更できる云々”はこいつらには通用しないんじゃないかな?
それならメアドを入れる際に毎回適当な文字を並べるだろう、513発言からも人力らしいしな。

URLにしろ、昨年末あたりからIFRAMEの罠置き場となった
LOVETWを再度直に書き込んできてる。

連中の日本人に対する認識をうかがわせるね。
数ヶ月もすりゃ忘れるだろうと。(含むメアド)

このことから”補助的なもの”として垢ハクで使うメアドは有用であると思ったわけ。

521 名前:508 :07/01/12 12:00 ID:b+GLaCeU0
続きになるが
上の書き込みが残念ながら証明された感じだ。

今日付けでメジャー垢ハックメアドlintong58入りの垢ハック書き込みがある。
以下の掲示板にて確認。
ro■presen■to/ro/rovo/guest■htm
1118 : ふぉん MAIL '07/01/12(金) 11:14:29
lintong58@yahoo■co■jp
www■RagnarokOnlina■com/rolink/
220.162.137.238 ソースから
238.137.162.220.broad.dynamic.ly.fj.cn.cndata.com 
おなじみの”中国福建省龍岩”からの投稿。

忘れたころを見計らって入れてきたって奴だ。
やはり補助的な危険メアドリストは必要である。

522 名前:(^ー^*)ノ〜さん :07/01/12 13:09 ID:6e5Paro10
爆撃された掲示板のアドレスまで貼ることはないんじゃないか?

523 名前:(^ー^*)ノ〜さん :07/01/12 15:02 ID:J1TJAh5M0
>>515
パス付きアーカイブと誤認するということは
アップローダーにあげてあるファイルがパス付きアーカイブだった場合、
それが垢ハックウィルスである可能性があるという事なのでしょうか?
解凍しようとしてパス入力ウィンドウが出た時にはすでに感染してるとかだったら怖いですよね・・・

524 名前:(^ー^*)ノ〜さん :07/01/12 18:14 ID:6e5Paro10
>>523
自己解凍アーカイブ、つまりexeね。
UPX、ASPack、NSPack、Upackなどのexe Packerとごちゃにならんように
アーカイブと表現したけど余計ややこしくなったとしたらすまん。

525 名前:(^ー^*)ノ〜さん :07/01/12 18:27 ID:Tu6xhDtD0
流石にEXE PackerなんてPC弄ってる程度じゃ知らんと思う
知りえる機会がないからねぇ

526 名前:(^ー^*)ノ〜さん :07/01/12 18:37 ID:bxPNOGKq0
うちのブログにwww■automouse■jpが貼られてた。
リネージュ資料室によるとこれも危険アドレス。
(余りに怪しい文章なので即消した)

リネだけではなくROのBlogにも数多く貼られているので注意

527 名前:523 :07/01/12 19:33 ID:J1TJAh5M0
ようやく理解できました!
Exe Packerの事も調べられて良い勉強になりました。
どうもありがとうございました。

528 名前:(^ー^*)ノ〜さん :07/01/12 20:49 ID:7nodt9WM0
警鐘age

529 名前:(^ー^*)ノ〜さん :07/01/12 23:07 ID:7U6cRzls0
lovetwの新しいトロイ置き場 macauca■org■mo
moってマカオか。建築業界のサイトっぽいが、
jswork同様にクラックしたのかねぇ。

530 名前:(^ー^*)ノ〜さん :07/01/12 23:18 ID:MMsI3S7M0
垢ハックとは直接関係ないが、日本だけでも↓のリストのようにクラックされるサイトはかなりある
ttp://www.fearoot.com/

全世界で考えたら毎日数え切れないくらいのサイトがクラッキングされているんだろうなー

531 名前:(^ー^*)ノ〜さん :07/01/13 01:08 ID:B+UYbvVc0
色々メールして1週間以上経つけど、結局jsworkのサーバからウイルスは消えず、
反応もなし。ダメダコリャ。

532 名前:(^ー^*)ノ〜さん :07/01/13 01:18 ID:qECmj6vI0
セキュリティホールMEMOにすら取り上げられたのにねぇ。
そこでリネージュ資料室の人も愚痴ってた。

533 名前:(^ー^*)ノ〜さん :07/01/13 01:22 ID:8Ui5bQAO0
>>531
警察のネット関連の部署に相談とかどうだろう。
勧告くらいはいくと思う。

534 名前:(^ー^*)ノ〜さん :07/01/13 02:37 ID:HJ9dsRpp0
jsworkが鯖を自分で管理してるとは思えない
jsworkに鯖を貸してる業者に勧告するべきと思う

ちなみにwhoisかけると鯖を貸してる業者が直ぐわかる

ちなみに業者のHP見たけどWindows鯖を使ってるらしい

535 名前:(^ー^*)ノ〜さん :07/01/13 03:13 ID:B+UYbvVc0
業者にもほぼ同時に報告したんだけどね、あははーっ。

ハァ。

536 名前:(^ー^*)ノ〜さん :07/01/13 03:48 ID:HJ9dsRpp0
業者も1週間放置か…。

駄目だこりゃ

ハァ (2/20)

537 名前:(^ー^*)ノ〜さん :07/01/13 13:52 ID:/ECZOT8D0
鯖を貸してる業者に伝えたとしても、その業者はjsworkのサイトの中身は触れないと思うんだが。
業者を絡めるなら、そこからjsworkに伝えて削除してもらう、という流れになるかと。

結局の所、jsworkが動かない限りどうしようもない。

538 名前:(^ー^*)ノ〜さん :07/01/13 16:06 ID:IAgDsY1m0
NPO側のサイト管理者も片手間程度で、知識や危機管理意識が根本的に欠如しているのかもな。
該当NPOの窓口に、直接FAXや電話で抗議しないと進展は無いかもしれない。

539 名前:(^ー^*)ノ〜さん :07/01/13 16:42 ID:GMJjDOSG0
某有名すきるしみゅサイトのBBSにて発見。
R.M.Cのこぴぺでハックサイトに誘導。

ttp://www■roprice■com

222.77.185.88 CHINANET fujian province network

ソースチェッカーで調べてみたところ
中身はjprmthome■comでした。

540 名前:(^ー^*)ノ〜さん :07/01/13 16:49 ID:ZdE1Nc8H0
警鐘age

541 名前:(^ー^*)ノ〜さん :07/01/13 17:56 ID:HJ9dsRpp0
>>526を書いた者なんだけど
(禁止ワード設定済みなので記事は表に出ない)
最近のは自記事にレスをする形になってるんだね

証拠SS(加工済み)
ttp://www.mmobbs.com/uploader/files/1913.jpg

542 名前:(^ー^*)ノ〜さん :07/01/13 18:01 ID:HJ9dsRpp0
自記事=自コメントだった。(ノ∀`)

>>537
会社によっては強制で停止したり、該当ファイルを取り除くよ。
root権ぐらい鯖業者も持ってるんだし

少なくとも勤め先の会社(鯖貸しも業務の1つ)はそうだ(´・ω・`)

543 名前:(^ー^*)ノ〜さん :07/01/13 19:58 ID:WAEvjcfp0
気になるアドレスがあります。
最近はROのアカウント情報を抜き出してしまうアドレスがあると聞いて
不安なのですが
ttp://www■acyberhome■com/Ragnarok/ (リンク先は中文404)

過去ログを探り、危険なのだろうなとの目星はつけましたが
危険か否かの結論がつきません。

これは危険なアドレスなのでしょうか。
ご判断を仰ぎたく存じます。

544 名前:(^ー^*)ノ〜さん :07/01/13 20:12 ID:I7pi+06E0
>>543
アカウントがファックされた

545 名前:(^ー^*)ノ〜さん :07/01/13 20:16 ID:GMJjDOSG0
>>543
そのアドレスはBSWikiやリネージュ資料室にも載っている危険サイトです。
誰か踏んでしまっていたなら至急対策を。

安全だと確信できないなら危険と思っていて良いかと。

546 名前:(^ー^*)ノ〜さん :07/01/13 20:29 ID:SoQSzsOz0
知ってるURL(酷似したのもあるから注意は必要だが)以外は飛ばない、
blog持ってるならURLの書き込みを許さない&即消去くらいの勢いでよかろうもん

知ってるURLといえど安全とはいえないがな。もはや。

547 名前:(^ー^*)ノ〜さん :07/01/13 20:31 ID:WAEvjcfp0
ありがとうございました。

548 名前: ◆sp4Sh9QXGI :07/01/13 20:53 ID:VLkoUyDu0
こんばんわ。
先ほどまとめサイトを更新しました。よろしければご確認ください。
今回の更新では、BSテンプレを参考にいくつかの危険サイトの削除、または隔離(?)を考えております。
独断での判断はいたしかねますので、皆様の意見を伺いたいと思います。

549 名前:(^ー^*)ノ〜さん :07/01/13 22:56 ID:iThKKgPQ0
roprice■com
↑RO価格調査隊(ro-price.net)のぱくり

conecojp■net
lineage1bbs■com
netgamelivedoor■com

降ってくるトロイは全てMaran(RO+Lineage)、
dj5566やjprmthomeの既知のもの。

550 名前:たまにhosts一覧をUPしてる人 :07/01/14 04:30 ID:4yZ1QiHA0
>548
更新お疲れ様です。

ウィルス関係とは明らかに無関係と言えるサイトは、リストから除外しても
いいと思います。
しかしROとは無関係のマルウェアが存在する(または恐れがある)とかだと
残した方がいいのかも。

ところで危険ドメインのPG2用リストとか需要ありますかね?
livedoor1・zhangweijpやplayncsoft・jpgamerのように、同一IPで別ドメイン名を
取得してるケースが多いので、危険IPアドレス一覧もあった方が良いように
思えるのですが。

551 名前:(^ー^*)ノ〜さん :07/01/14 09:21 ID:XgIB4GTC0
>>550
>ところで危険ドメインのPG2用リストとか需要ありますかね?

ありまくりです(*´∀`)ノシ よろしくお願いいたします。

552 名前:(^ー^*)ノ〜さん :07/01/14 12:04 ID:jboWCx7o0
>>550
リスト作ってもらえると助かります。

553 名前:550 :07/01/14 14:35 ID:4yZ1QiHA0
>551-552
ではUPってみます。
が、hostsの更新と合わせると確実に連続投稿規制に引っかかってしまうので
アプロダにしようかと思うのですが、この場合も「■」に置き換えた方がよいでしょうか?

ついでに纏めてた所BS Wikiさんの「既知の怪しいドメイン」欄に記載されていて
このスレの危険一覧には載っていないものがある事に気付いたので、先にピックアップ。

ganecity■com
pangzigame■com
jplinux■com
avtw1068■com
plusintedia■com
djkkk66990■com
jplin■com
riro■bibi520■com

……というか、過去に見た覚えがあるドメイン名があるし……
纏めるときに記入漏れしていた可能性(汗

554 名前:(^ー^*)ノ〜さん :07/01/14 15:01 ID:qACrTRVm0
すみません質問させてください。
>199のURLなんですがリンク先のURL一度表示された色になっています。
あまりよく覚えてないのですが危ないところだったのでしょうか?

ノートンは常備させており完全チェックしましたが引っかからず
カスペルスキーもオンラインチェックしましたが特に何も出ませんでした。
ROは年末から課金が切れているので確認はしておりません。

他にどこを確認したらいいのかわからないのですが
OSを入れなおしたほうがいいものなのですか?

555 名前:(^ー^*)ノ〜さん :07/01/14 15:06 ID:7FUA8Azg0
このスレのURLと見比べてみるんだ

556 名前:(^ー^*)ノ〜さん :07/01/14 15:06 ID:9UP94nvJ0
>199のURLはここのURLですからそれ自体は問題ないです。当然表示済みの色です。

一番必要なのはまず落ち着いてURLを確認することですね。

557 名前:554 :07/01/14 15:30 ID:qACrTRVm0
Σ(゚Д゚)
すすすすみません!!!
焦ってしまってちゃんと確認しておりませんでした……。

親切にご返答くださってどうもありがとうございました!

558 名前:(^ー^*)ノ〜さん :07/01/14 15:53 ID:SXomwrAc0
無論、普段からURLに飛ぶときにも細心の注意を払うべし。

559 名前:550 :07/01/14 16:45 ID:4yZ1QiHA0
548+549+553の内容でアップしました。
>548で削除予定になってる分も含んでいます。
ttp://www.mmobbs.com/uploader/files/1918.zip

PG2用のはhosts用の一覧をベースにIPを記載してるので
IPアドレスは重複しています。
なのでPG2に読み込ませると件数が約半分に減ります。

560 名前:550 :07/01/14 16:48 ID:4yZ1QiHA0
追記
guild-wars-onlineとrohanolの2ドメインはIPが割り当てられてないので
PG2用リストには載ってません。

561 名前:(^ー^*)ノ〜さん :07/01/14 17:27 ID:s0XsPon80
先ほどアカハック露店らしきもの発見。看板は「売り装備」。
依然ひっかかる人はいるようですね。
皆さん努々注意は怠らぬよう・・・

562 名前:(^ー^*)ノ〜さん :07/01/14 22:15 ID:g/C0rK2K0
>>550
頂きました。ありがたく使わせて貰いますヽ(´ー`)ノ

563 名前:(^ー^*)ノ〜さん :07/01/14 23:31 ID:3dT/sQIt0
12月26日にハッキングされました
ガンホーには被害報告したのですが、警察に言ってくださいとの回答
3日ほど前には警察にメール送りました
まだ返事はありませんが、警察に電話や足を運んでの相談などで結果が得られた方がいましたら
教えていただきたいのですが
 自分でも対策が甘かったと思います、不審なURLにはクリックしない・・・
これが原因だと思います。
ハッキング被害に遭った方でアドバイスありましたらお願いします

564 名前:(^ー^*)ノ〜さん :07/01/15 00:15 ID:KKpUc0nP0
どうにかなるなら皆泣き寝入りしてないって。

高い授業料と思って2度と癌にかかわらないこと

565 名前:(^ー^*)ノ〜さん :07/01/15 00:19 ID:uE2ViACO0
>>564
じゃ、お前は何しにここへ来てるんだと問いたい
もうちょっと言葉を選べよ

566 名前:(^ー^*)ノ〜さん :07/01/15 01:09 ID:v/kqK+Dq0
564の意見も一つだと思うけど言い方があれだね

これまでに「URL踏んだけどどうすれば?」的な書き込みは多かったけど
対策後で被害にあったっていう報告は初かもしれないから貴重だと思う
これから同じ被害にあった人が出てくるかはわからないし
被害にあってない人間からかけられる言葉は少ないけどね
何か良い方向に動くよう祈ってる、手伝えることがあれば協力したいし

567 名前:(^ー^*)ノ〜さん :07/01/15 01:42 ID:hKTgye/u0
>>563
基本的には警察署に直接行くこと。
裁判所から令状もらうまでにどれほどの人や時間を費やすかを考えると
お役所はマウスカチカチされただけで動きたくなんかない。
被害者にやる気がなければ動かん。

568 名前:(^ー^*)ノ〜さん :07/01/15 02:02 ID:hKTgye/u0
やる気の補足。「あなたは被疑者を告訴しますか?」と聞かれて
「はい」と即答できないようではだめ、ということね。
警察は愚痴を聞いたり慰めたりする機関じゃないんで。

569 名前:(^ー^*)ノ〜さん :07/01/15 02:46 ID:fcVMWFQW0
>>566
> 対策後で被害にあったっていう報告は初かもしれないから貴重だと思う

それについては563の詳細が知りたいな。
あの対策には大きな穴がある。

例えば3キャラのうち使用していないキャラにはキャラパスワードが
設定されないから、従来同様にアカウントとパスワードが盗まれると
そのキャラのキャラパスワードを設定されてしまって倉庫のアイテムを
ごっそりやられてしまう。

例えば3スロットのうちキャラを作っていないスロットがあると、
そこにキャラを勝手に作られてキャラパスワードを設定されて
倉庫のアイテムをごっそりやられてしまう。

こういう方法でやられてしまったのか、それともキャラパスワードが
盗まれるところまで対応されてしまったのか、それは大きな違いだと思う。

570 名前:(^ー^*)ノ〜さん :07/01/15 03:12 ID:mmXtROuE0
どうでもいいけど警察に行こうとか癌に報告しても捕られたものは帰ってこないしどうせ対策もされないから、ただ黙って指くわえてることしかできない

571 名前:(^ー^*)ノ〜さん :07/01/15 04:49 ID:LpPbIHeU0
捕られたものが返ってくるかどうかと、
犯罪者を捕まえる(捕まえてもらう)ことは、全く別次元の話だろ。

572 名前:(^ー^*)ノ〜さん :07/01/15 04:56 ID:KYBSmnyn0
>>563
というか普通、メールなんてしないで察に直接行かないか?

573 名前:(^ー^*)ノ〜さん :07/01/15 09:07 ID:jGyPDtvu0
>570は上げてる時点で煽りだと思うが。
>563は直接警察に行って相談に乗ってもらうしかないと思う。
不正アクセスはリアル犯罪だし。


ところで>559の危険ドメインに仕込まれている現状の各種トロイってカスペだと全部検知する?
またそれらのトロイってIE7でそのサイトを覗いたときにActiveXのダウンロードをするかどうかを
IE7が尋ねてきた段階でも裏で勝手にDLされる事ってある?

ブロックされてるかどうかをPingで確認すればいいものを、寝ぼけてPG2の設定してたために
avtw1068とjsworkのIPアドレスをブラウザで直接叩いた愚か者がここに。
カスペの完全スキャンで検知されてないし、上記現象だったので無事だったと思ってるんだが。

寝ぼけてたとはいえ、馬鹿な真似をやらかしたもんだ……orz

574 名前:(^ー^*)ノ〜さん :07/01/15 09:33 ID:+hH4UsBY0
無知ですまないが質問。
RO起動中にsvchost.exeの黒窓が出てきたんだが、警戒はした方がいいですか?

もう少ししたらカスペルかける予定です。

575 名前:(^ー^*)ノ〜さん :07/01/15 09:41 ID:v/kqK+Dq0
>>573
一概には言えないんじゃないかな、常に新しい物を出してきてるわけだし
最近ではカスペ・NODも効果がない場合もあるみたいだしね

>>574
何とも言えないけど不安と感じたならすぐ行動した方が良いとは思わないかい?

576 名前:(^ー^*)ノ〜さん :07/01/15 11:21 ID:it5Ga5Qu0
>>574
自分も昨日RO中に同じように黒い窓が出ました。
McAfee常駐、カスペルスキーかけてみたのですが何も出ませんでした。
一体なんだったんだろう。

577 名前:(^ー^*)ノ〜さん :07/01/15 15:51 ID:gqZ+4yq40
タスクマネージャより高機能なProcess Explorer
ttp://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/ProcessExplorer.mspx
とその日本語化パッチを公開しているとこ
ttp://xworks.org/works/
デフォルトじゃ表示されないけど、タスクマネージャよりも多くの情報が見れて
EXEやDLLの電子署名(改ざんを確認に有用)チェックも簡単にできるので使っていない人は
入れてもいいかもね。

578 名前:(^ー^*)ノ〜さん :07/01/15 16:11 ID:g2JyogcS0
563です、色々貴重なご意見ありがとうございます。
努力しても無駄なようなので、いい機会と思い引退します

質問があったので答えます
3キャラ使用してました、キャラパスは同じので設定してました

無知な自分のいい勉強になりました
年数が経つごとにネット犯罪もリアル犯罪と同じように
法規制が整備されることを期待して・・・

579 名前:(^ー^*)ノ〜さん :07/01/15 16:33 ID:NUEel2E60
被害届けは出して欲しいな。

RO上で、犯罪が行われている事を世間に知らしめなければならない。
今のROは「不正アクセス行為の禁止等に関する法律」に触れる行為を行っている犯罪者が
かかわっていて危険だとな。
ま、運営会社の内部にも居た訳だし。

580 名前:(^ー^*)ノ〜さん :07/01/15 18:56 ID:v/kqK+Dq0
無駄と諦めたら何も変わらないんだよね…

581 名前:(^ー^*)ノ〜さん :07/01/15 19:50 ID:gopa11N30
きついこと言うようだけど、警察に行きもせず法整備とか言われてもね。

582 名前: ◆sp4Sh9QXGI :07/01/15 20:03 ID:deQzmFzN0
こんばんわ、まとめサイトの中の人です。
流れをぶった切るようですが、先ほどサイトを更新しました。
今回の更新では、>>559さまが作成されたPG2用のリストをアップロードしました。
事後になりますが、報告させていただきます。
リストのURLは
http://sky.geocities.jp/vs_ro_hack/pg2_iplist.txt
となります。
以後、新たなURLが発見され、該当するIPが発覚次第更新されると思います。
それでは。

583 名前:(^ー^*)ノ〜さん :07/01/15 22:00 ID:RrUpHmuo0
>582
更新乙です。

前回の更新から気になってたのですが、hostsのヘッダ部分、最終スレ番号
だけではなく、日付も更新した方がよろしいかと。

584 名前: ◆sp4Sh9QXGI :07/01/15 23:14 ID:deQzmFzN0
>>583さま
 アッー!
 ご指摘ありがとうございました。今から直してきます。

585 名前:(^ー^*)ノ〜さん :07/01/16 12:22 ID:+7aQx/7H0
素朴な疑問だけど、垢ハックとかウィルス作成とかって犯罪じゃないの?
どうして警察沙汰にならず、日々垢ハック被害者が増えて行くだけなんだろう・・?

誰が不正アクセスしたかとか、誰がウィルス作ったとか分かるんじゃないのかなぁ?

素人考えでごめんよ、垢ハック露天見るたびに切なくてさ・・・・

586 名前:(^ー^*)ノ〜さん :07/01/16 12:25 ID:LnHXIZx/0
君は心のきれいな人間なんだね

587 名前:(^ー^*)ノ〜さん :07/01/16 12:29 ID:rztpTdSQ0
趣味でやってるわけじゃなくて非合法なビジネスとしてやってるからだよ
いわゆる裏の商売ってやつで、個人はおろか犯罪組織が絡んでる場合が多い

だから手段なんて選ばないし、手心など一切加えて来ない

588 名前:(^ー^*)ノ〜さん :07/01/16 12:46 ID:CMrT95zM0
>>585
垢ハク等は犯罪だから当然警察沙汰になってる。

それと、たとえニュースで流れたとしても新たな被害者はそこまで減らない。
振り込め詐欺やnyの情報流出の被害件数を考えてみ。

589 名前:(^ー^*)ノ〜さん :07/01/16 13:39 ID:OEy4N7+F0
チラ裏のカキコだけど転載しておくよ。
ついでに警鐘age

283 名前:(○口○*)さん[sage] 投稿日:07/01/16(火) 13:05 ID:cqevNLTH0
O W Nのフィゲル特設SS板の新cの絵が貼り付けてあるアドレスが
中国のサイト?に繋がると書き込みを見つけました。
あそこの管理人はSS板は閉鎖しているからと思い込みフィゲル特設版は完全放置なので
皆さん気をつけてください。

590 名前:(^ー^*)ノ〜さん :07/01/16 14:18 ID:6qF/EL+D0
ウィルスはROのパスを盗んだらそれをどこかに送信してるわけだが、それってどういう
形態で送られてるんだろうか?
もしその送信先のそのドメインやIPアドレスが判ればhostsやPG2でブロックできる気が
するんだけど、TOM?

もっともそれを調べるには、実際に感染させて動きを観察するしかないだろうから
やっぱりTOMかねぇ……

591 名前:(^ー^*)ノ〜さん :07/01/16 14:39 ID:cO8ZIobp0
>>588
その被害件数も、公式発表や被害届の受理など、表に出た数に過ぎないわけで。
結果的に、被害が軽微な方向に見えてしまっている。
垢ハックの被害に遭っても、警察やIPAへ届け出ないということは、結果として加害側を利する行為。

>>590
基本的には、HTTPかFTPによる投げ込みか、内蔵SMTPを利用した送出かと思われ。
無論、中継ポイントが国内に設置されたり、果てはP2P的手法を持ち込まれたりすると、より厄介にはなるが。

592 名前:(^ー^*)ノ〜さん :07/01/16 14:56 ID:CMrT95zM0
>>591
おそらく漏れの言いたいことが全く分かってない。

593 名前:(^ー^*)ノ〜さん :07/01/16 15:33 ID:eo9ttss30
むしろ藻前様こそ、なぜ何度もPG2が紹介されてきたかをわかってないんじゃ?

594 名前:(^ー^*)ノ〜さん :07/01/16 15:55 ID:PDSZzVot0
>>593
いやわかってるよ。

だが何十回と報道されて至る所に注意書きが貼られたものでさえ
被害がいまだに継続して出ていることをどう捉える?
警察沙汰になっていないから被害者が増える=報道されれば被害が減るかのような>>585に対しての書き込み>588
どんな頭の使い方をしたら>>591なんてレスをつけるのよ?

595 名前:(^ー^*)ノ〜さん :07/01/16 16:36 ID:eo9ttss30
漏れも>>591の下2行は何を言いたいのかわからんが、
>>590の「TOM?」とか、今更何言ってんの?としか思わなかったが…

596 名前:(^ー^*)ノ〜さん :07/01/16 17:44 ID:XDouBlIj0
らぐ○ろくネッ○ワー○というサイトのギルド雑談相方募集掲示板にアカハックらしき書き込み発見
ご注意くだされ

597 名前:(^ー^*)ノ〜さん :07/01/16 18:28 ID:3QpN8GJH0
報道されると被害が減るというより、報道されないと被害が爆発的に増えるんだけどな。

598 名前:(^ー^*)ノ〜さん :07/01/16 18:30 ID:6qF/EL+D0
>591
P2P的手法まで取るって、下手すればある種のbotnetを構築してるようなものだな。
送信しなくてもバックドア仕掛けてて、アタッカー側が任意で抜いたりとか、ゾンビマシンとして
別用途で更に使われる可能性も出てくるなぁ……

>595
どこが何を今更なのかよくわからない。
今現在のhostsやPG2のリストは罠を置いてある場所のリストであって、それらの罠の送信先では
ないんじゃ?
(中には同じ場合もあるかもしれないが)

なら罠サイトの情報だけじゃなく送信先の情報が入手出来れば、より防御できるのでは?という趣旨。

ただその情報を取るためには感染させて挙動を見るとか、罠を入手した上でバイナリ解析とかになる
だろうから素人が調べるには危険性が高すぎる。
なので送信先の情報を手に入れてブロックのはTOMかねぇ?と書いたつもりだった。

599 名前:(^ー^*)ノ〜さん :07/01/16 18:36 ID:YUza3q+80
君ら、レスする時は相手のレス番とIDをちゃんと確かめなさいよ





それはそうと
お前こんなことも分かんねぇの?馬鹿じゃねー?

な流れでウザい

600 名前:(^ー^*)ノ〜さん :07/01/16 18:38 ID:YUza3q+80
追記
そんなに相手を叩いて自分の価値を主張したいなら、セキュ板で存分にやれ

601 名前:(^ー^*)ノ〜さん :07/01/16 18:42 ID:76lQZtN+0
空白行がウザいってこともわかんねぇの?馬鹿じゃねー?

602 名前:(^ー^*)ノ〜さん :07/01/16 18:45 ID:0Yxo/4Qc0
THRU

603 名前:(^ー^*)ノ〜さん :07/01/16 18:49 ID:eEjqfP+f0
>>601巣に帰れ

604 名前:(^ー^*)ノ〜さん :07/01/16 18:54 ID:2yEYxZb/0
頼むからここは荒らさないでくれ…
他はともかくここはちゃんと機能してないと泣くやつが出てくるんだ、頼む

605 名前:(^ー^*)ノ〜さん :07/01/16 18:57 ID:lkb8EqdW0
同意。煽り叩きは自粛して気に入らない書き込みは無視する方向でお願いします。

606 名前:(^ー^*)ノ〜さん :07/01/16 19:29 ID:7she79M40
萌えもダメ?

607 名前:(^ー^*)ノ〜さん :07/01/16 21:44 ID:tnCImswO0
萌え要素ねぇだろ'`ァ'`ァ(*´Д`)'`ァ'`ァ

608 名前:(^ー^*)ノ〜さん :07/01/16 21:46 ID:riC8Z1/r0
背中押して欲しいだけならいくらでも押してやるし
有効だと思うなら、TOMTOM言ってる間に実行してみたら
いいかと

609 名前:(^ー^*)ノ〜さん :07/01/16 22:50 ID:MDjnOGyl0
http://digbig.com/4qpgb
これ危険??
踏んじゃったよう

610 名前:(^ー^*)ノ〜さん :07/01/16 23:06 ID:M+CeBojP0
ttp://www.google.co.jp/search?hl=ja&q=http%3A%2F%2Fdigbig.com%2F4qpgb&lr=

611 名前:(^ー^*)ノ〜さん :07/01/16 23:07 ID:2yEYxZb/0
何にせよ疑わしきURLの直リンは控えてくださいな

612 名前:(^ー^*)ノ〜さん :07/01/16 23:09 ID:0Yxo/4Qc0
>>609
アフィリエイトっぽいな。
ざっと見たところではアカハックを思わせるような不審点は見あたらない

digbig.com自体はよくあるURL転送サービスみたいだ

613 名前:(^ー^*)ノ〜さん :07/01/17 00:16 ID:BdWUj1qJ0
アカウントハッカーどもが転送URLサービスを普通に使い出すようになったら
サイト管理人・サイト利用者共に更に対応がめんどくさくなるよなぁ。
転送サービスはそれこそ世界にわんさかあるし。利用者側ではPG2、
管理人側ではアク禁とか対応策は有るんだろうけど。

614 名前:(^ー^*)ノ〜さん :07/01/17 15:21 ID:XQ2kP7SSO
ブログに垢ハクの書き込みが定期的にあるんですが…
何か業者のリストにでも登録されてるんですかね?
アドレスの書き込みは不可にしてあるので被害は受けないものの、頻繁なので嫌になる(ーー;)

615 名前:(^ー^*)ノ〜さん :07/01/17 19:23 ID:gh73KYQV0
ttp://news22.2ch.net/test/read.cgi/newsplus/1168948742/
>中国・黒竜江省のビルにパソコン128台を設置して日本から遠隔操作し、
>昨年7、8月の2カ月で約54億通の「迷惑メール」を無差別に自動送信していた。

この手の業者が、便乗してBBSやblog向けspamを発信していたとしても不思議ではない。
所在地もアレだし。

616 名前:(^ー^*)ノ〜さん :07/01/17 20:15 ID:9+87cW+20
なんかここ1・2週間ブログ系ROHPのコメント欄に
大手サイトからの書き込みのリンク先として指定してる
数がかなり増えてきてるので注意。

直接アドレス書き込んでないけど名前クリックから飛ん
だり。
友人サイトの名前でも規模によっては十分にその友人を
語る可能性もありえるので・・・踏んでしまったorz

気をつけててもついついクリック・・・なんか震災準備
とかににてるなぁ・・・来ると分かっててもなかなか非
常食や緊急袋の準備してない・・・。

617 名前:(^ー^*)ノ〜さん :07/01/17 21:30 ID:2OynmChj0
投稿系情報サイト管理者なんだけど、●DNホストで垢ハックURLの投稿があったから
●DN側に通報しておいたんだけど、それ以上やる事って無いかな?

618 名前:(^ー^*)ノ〜さん :07/01/18 00:29 ID:v71+wxuz0
被害者な訳ではないから、それ以上はやるとしてもアクセス禁止とか、
サイト管理者同士で連絡するとか、それくらいじゃないか?


ついでJavaのランタイムに任意のプログラムを実行できるバグがあったらしい
丁度いい日本語サイトが無かったのでスラッシュドットのURL貼り
ttp://slashdot.jp/security/article.pl?sid=07/01/17/1432228

JavaのランタイムはUpdateしないで放置してる人がほとんどだと思うので注意

619 名前:(^ー^*)ノ〜さん :07/01/18 00:44 ID:e8NkHW1f0
「Sunの」Javaランタイムね。
俺はMicrosoftのJavaしか入れてない。

620 名前:(^ー^*)ノ〜さん :07/01/18 00:55 ID:CPmyknxg0
lineage.comって危険かな?
踏んじゃったんだけど

621 名前:(^ー^*)ノ〜さん :07/01/18 00:58 ID:/8GRebSM0
>>620
それでスペルが合ってるならただのリネージュのオフィシャルサイト(英語)

622 名前:(^ー^*)ノ〜さん :07/01/18 01:02 ID:e8NkHW1f0
NCSoftの北米サーバだが、危険だと考えた根拠は?
なんか知らんけど鑑定よろしくみたいのは
2ch初級ネット板とかでやってくれ。

623 名前:(^ー^*)ノ〜さん :07/01/18 01:09 ID:hMWK5dPk0
お疲れ様です。また貼られたのでご報告にあがりました。
----------
日付 2007/01/17/14:59:58
IP 222.78.68.175
タイトル Lokiで活動中のバードです。
名前 今日の食事当番
アドレス jpgamer■net/gunboy■htm
本文 日々の生活を書きつつ、考察にも手を出したり出さなかったり。
    ジャンル→ [日記] [バード/ダンサー使] [プリースト使] [アルケミスト使] [Loki]
    固有キーワード→ ホムンクルス, 料理, ネタ,
    フリーキーワード→twmsn-ga■com/Gr001■htm
----------

624 名前:(^ー^*)ノ〜さん :07/01/18 01:13 ID:/NZyZiaQ0
まぁとりあえず>>618もスレ違いな気はする

625 名前:(^ー^*)ノ〜さん :07/01/18 01:34 ID:CPmyknxg0
>>621-622
どうもです。
まさに>>616みたいなミスをしてしまい。
スペル曖昧だけど大丈夫そうですね。

626 名前:(^ー^*)ノ〜さん :07/01/18 01:47 ID:e8NkHW1f0
昨日の午前3:30〜4:00頃を中心に、lovetwが盛大に更新。
MaranのほとんどがUpack圧縮(約50kB)に差し替えられた模様。8匹捕獲。
スルーはNorton・NOD32・AVG。提出済み。
Upack版Maranはクリスマスに送ったんだが、
Norton先生は南米で日光浴でもしてるのか?
また正体不明のUpack圧縮(約40kB)を2匹捕獲。
スルーはNorton・McAfee・Avast!・バスター。提出済み。
スルー組がMaranとは一致しないので別物か?
いつものようにBlogやBBSに爆撃するものと思われ。

627 名前:(^ー^*)ノ〜さん :07/01/18 01:49 ID:CXjnwpGi0
>>623

inetnum: 222.76.0.0 - 222.79.255.255
netname: CHINANET-FJ
descr: CHINANET fujian province network
descr: China Telecom
descr: No1,jin-rong Street
descr: Beijing 100032
country: CN   → (中国)

628 名前:(^ー^*)ノ〜さん :07/01/18 07:16 ID:mxBhgcgKO
〜.com/〜の.com以前をぐぐったら表示できませんと出た、これは大丈夫かね?

ウイルススキャンavastで行いrodllもなかったが

629 名前:(^ー^*)ノ〜さん :07/01/18 07:54 ID:HsHxuR9kO
出直してきな

630 名前:(^ー^*)ノ〜さん :07/01/18 11:01 ID:v7pQmlDI0
>628
日本語でおk。
真面目にその質問じゃ、何をどうしたのか・何を確認したいのか、が全く判らない。


それとhostsやPG2を導入したのでその結果が正しいかどうかを知りたい人は
ブラウザでアドレスを叩くのではなく、ping等で確認した方がいい。
直接ブラウザで叩いて踏んでしまっては元も子もない。

ping ○○.com という風にDOS窓(コマンドプロンプト)で叩いた時に

hosts変更してた場合
 >Pinging ○○.com [127.0.0.1] with 32 bytes of data:
 >
 >Reply from 127.0.0.1: bytes=32 time<1ms TTL=128
と[127.0.0.1]に置き換わっていたら正常。
別の数字になってる場合、hostsの書き換えが失敗してる。

PG2の場合はPG2の常駐アイコンが点滅し、画面上で該当IPが黒字で表示されてたら
ブロックされている。
常駐アイコンが反応せず、淡色で流れた場合はブロックされてない。

631 名前:(^ー^*)ノ〜さん :07/01/18 16:59 ID:3lx9uz340
こんばんわ
私も今日アカウントハックの被害に遭いました
キャラパスは3キャラとも同じ物でしたが1キャラ分の装備と所持金、
あとはそのキャラからと思われますが倉庫の装備品が全部被害に遭いました

ネカフェなどでプレイ歴なし、知人操作も考えにくい上、ROを非公式的に支援するツール類も使用したことがありません
知らず知らずのうちにアカウントハックするサイトに接続した物と思いますが皆様もお気をつけください

632 名前:(^ー^*)ノ〜さん :07/01/18 17:10 ID:A7wJ4c5t0
>>631
テンプレ参照してもう少しくわしく報告してくれるとありがたい。
どんなサイトを巡回していたのか。心当たりのあるサイトはないのか知りたい。

633 名前:(^ー^*)ノ〜さん :07/01/18 17:12 ID:fyeTGPPy0
>>631
OS再インストールとかしてなければ、カスペでウイルスチェックしてみるといいかも

634 名前:631 :07/01/18 17:29 ID:3lx9uz340
>>632
テンプレを意識して書いたつもりでしたが読み返してみると情報不足な部分が多かったため
再び書き直しします

・いつ被害を受けていると気づきましたか?
本日昼頃にログインした際1キャラのみ装備品・所持金が空になっていたことで発覚
・どうして気がつきましたか?
同上、さらに装備品のみ倉庫が空になっていた。他のキャラ(パスワードは同じ)の所持していたアイテムは被害に遭っていませんでした
・誰かにID、PASSを教えましたか?
教えたことはありません
・誰かがあなたのPCを使う可能性はありますか?
泥棒や盗難以外ではそういった状態になることはないので考えられません
・ツールの使用は?:ツール名、実行ファイル名
ツールというのがよくわかりませんが、631同様BOTをはじめとした非公式支援ツールのを利用したことは一切ありません
・ネカフェの利用は?:Yes/No
ネットカフェを利用したことがありません
・My Ticketsで最後にログアウトしましたか?:Yes/No
私が最終したログアウトが本日AM1時頃、ログイン(発覚時)がPM3時頃です
・情報サイトやブログ、掲示板で不審なURLをクリックしませんでしたか?
自分が所属する各サーバーの掲示板(Loki攻城戦板、Iris板等のサーバー別ローカルな掲示板)

>>633
アカウントハックが発覚した次点で別PC(別IPアドレス)よりパスワードを変更後、
OSを書き換えてしまいました
それと同時進行でGung-hoのアカウントハック被害報告のサポートへ連絡したところです

635 名前:(^ー^*)ノ〜さん :07/01/18 19:22 ID:Cje4XHY50
テンプレも多少変えないといけない気がしてきた、具体的には言えないけど

636 名前:(^ー^*)ノ〜さん :07/01/18 19:47 ID:XhuudaeX0
>>634
辛い中だろうに、詳しい報告と癌への通報お疲れ様でした
何と言っても慰めにはならないと思いますが…これ以上辛いことにならず
良い事が有るように祈っています

通報しないと、いつまで経ってもあとをたたないような気がします

637 名前:(^ー^*)ノ〜さん :07/01/18 20:04 ID:Stwen7/yO
「ファイル交換ソフト使用の有無」
とか、入れたほうがいいんじゃないか?

ROに関する不正ツールの使用無し
サイトほとんど見ない
・・・が
ファイル交換はガンガンやってます!
って、奴も居なくはないだろ?



@、気になる表現が有ったので一つ、「非公式支援ツール」とあるが、非公式じゃない支援ツールとか有るのか?

638 名前:(^ー^*)ノ〜さん :07/01/18 20:19 ID:Cje4XHY50
>>637
それはあまり関係なさそうだけど
アンチウイルスソフトの有無の方が気になるところ
あとは普段どんな対策をしていたか

干渉ツールは全部規約違反かと

639 名前:(^ー^*)ノ〜さん :07/01/18 20:56 ID:n21ZT22+0
テンプレにあるMy Ticketsって何でしょうか?

640 名前:637 :07/01/18 20:57 ID:Stwen7/yO
いや、しかしだな・・・

たとえばだが、

Gvに関する動画を入手しました→入手経路は?→Winnyです

とか、すこし危険な香しないか?

641 名前:(^ー^*)ノ〜さん :07/01/18 21:06 ID:Cje4XHY50
>>639
今変わったんだっけか、ガンホーサイトの課金ページと思ってもらえればいいかと

>>640
まったくないとは言い切れないだろうけど主流はURLを踏ませることだからなんとも
落とした物ならexe実行しないといけないはずだしP2Pしてるなら自己責任が大きいところ
内容からいって自白する人は少ないんじゃない?

642 名前:(^ー^*)ノ〜さん :07/01/18 21:08 ID:E1IRYvjZ0
631さん、不正アクセスによるものとみなされても癌自体はなにもしてくれません。
警察に被害届けを出して受理されて、警察から癌に問い合わせをして、事実関係がはっきりした所で初めて救済の話になると思います。
それでも救済(アイテムやらゼニーやら)が全て元どうりにはならないそうです。
アニバーサリーパック商品などは直してもらえるそうですが。

643 名前:(^ー^*)ノ〜さん :07/01/18 22:04 ID:aQNAH/9r0
>639
今のアトラクションセンターの事。

というかこのスレの初代って丁度3年前に建ってるが、テンプレそのままだな。
>638が上げてるように、アンチウィルスソフトとかの有無等をテンプレに入れた方がいいと思う。


初代スレが建った頃って、BOTやツールに仕掛けられた罠が原因でゲーム内でID/PASSを
発言するのが主だった記憶がある。
BOTや升ツールに仕込まれてて、配布元もアプロダとか。
中には情報送信するように仕込んだBOTを販売してた中学生が居たんだっけか。

今のようにウィルスが原因で、ってのは去年5月のROHoyooからかね。

そう言えば今試しにwww■hoyoo■netにping撃ったら応答があったんだが、これもhostsに
登録してた方がいいかもしれない。

644 名前:(^ー^*)ノ〜さん :07/01/18 22:06 ID:aQNAH/9r0
書き忘れ。
IPは210.76.63.16だった。

645 名前:(^ー^*)ノ〜さん :07/01/18 22:29 ID:TOZjqhI+0
ラグナロクオンラインでぐぐって4番目に出るページを開いたら
ハングルの文字だけ出てきました。これって大丈夫なんでしょうか
404エラーに見えなくもないんですが、URL翻訳はエラーになってしまいました。
URL削って韓国公式かな?って思ったら公式はwww.ragnarok.co.kr/なので違うっぽいです(´・ω・`)

ひょっとしたら物凄くおバカな相談かもしれませんが、
どなたか判る方いらっしゃいましたら教えていただけると幸いです。

646 名前:(^ー^*)ノ〜さん :07/01/18 22:32 ID:Cje4XHY50
重力のラグナロクオンラインサービス提供国へのポータル

647 名前:(^ー^*)ノ〜さん :07/01/18 22:37 ID:TOZjqhI+0
>>646
そんなサイトがあったんですね、安心しました。
上のほうで似たようなアドレスが出てたのですごく心配してしまってw
ありがとうございました。

648 名前:(^ー^*)ノ〜さん :07/01/18 23:36 ID:3G4cjX9N0
ついでにスレ自体を『アカウントハック問題総合情報スレ』みたくした方が現状に即してると思う。
被害者の対応から管理人やユーザーからの対策、アカウントハッカーの情報集積、とか。

あと『ROアカウントハック報告スレのまとめ?サイト 』の中の人へ。
>>463辺りの流れも有るし、対策hostsにexmaple.comだけじゃなくてwww.example.comの
ようなwww付きのドメインも書いた方が良い気がする。www付きもwww無しと同じサーバに
向けているアカハックドメインが多数なので。適当なサブドメインを付けられちゃうと、
そうやっても素通りされちゃうんだけどね。hostsでやる事の限界か。

649 名前:(^ー^*)ノ〜さん :07/01/19 00:28 ID:ksx3Rf7H0
リネージュ資料室さんの所で危険サイトが更新されてたので転記。
ついでにnslookupでIPも調べてみた。
……はいいんだが、twaboutのIPが2個出てくるのはどういう意味だろう?

www■geocitylinks■com
Address: 220.162.244.36

www■twabout■com
Address: 204.16.194.220
Address: 58.215.65.200

www■ttbbss123■com
Address: 222.175.34.141

650 名前:(^ー^*)ノ〜さん :07/01/19 00:43 ID:2b0vg/BM0
>>649
負荷分散のためのDNSラウンドロビンってやつだな

651 名前:(^ー^*)ノ〜さん :07/01/19 00:44 ID:vMNDzAlU0
負荷分散目的などで一つのホスト名に対して実際には複数の鯖があるってことを意味してるはず

ROのパッチ鯖とか引けば複数出るんじゃないかな?

652 名前:(^ー^*)ノ〜さん :07/01/19 00:46 ID:ksx3Rf7H0
>650
THX。
ロードバランサーみたいなものか。

……垢ハクやらのサイトでそんなもん必要って一体……

653 名前:(^ー^*)ノ〜さん :07/01/19 04:00 ID:RJ4//BAd0
>>652
ロードバランサーは見かけ上のIPは同一の場合が多いので、微妙に違う。
ラウンドロビンの場合、別の国に所在するサーバと分散したりする場合にも使うし。

あちらの場合、インフラ廻りが日本と比較すれば脆弱なので、そのあたりもあるのだろうが。

654 名前:(^ー^*)ノ〜さん :07/01/19 06:16 ID:Oiwaf4lr0
カスペルスキーのオンラインスキャンもテンプレに入れといた方がよくね?

655 名前:(^ー^*)ノ〜さん :07/01/19 08:25 ID:oCzYWFPW0
リンカースレより転載

664 名前:(^ー^*)ノ〜さん[sage] 投稿日:07/01/19(金) 01:53 ID:xhKN1mva0
リンカーWIKIからここへ飛ぼうとしたらトロイの木馬が検出されたのだが・・・
一体?

665 名前:(^ー^*)ノ〜さん[sage] 投稿日:07/01/19(金) 02:14 ID:UfbGaGT60
トップから垢ハックかなんかに張られてるな
他にもラトリオとHPSP/エスマダメージ・シミュレータ、
拳聖Wikiへのリンクに仕込まれていたのでとりあえず直しておいた


しかしおちおち職Wikiも踏めないのかよ…
これやちょっと前の流れから見てRO系Web作成者連絡会みたいなのを作った方がよくないか?

656 名前:(^ー^*)ノ〜さん :07/01/19 08:37 ID:X2EHLdho0
[[題名|タグ名]] のwikiタグを使用禁止にすれば罠リンクはなくなるのだがね

657 名前:(^ー^*)ノ〜さん :07/01/19 09:38 ID:GgtTdm9Y0
リンカーWikiって、googleをリダイレクタとして使ってるんだな。

すっげーわかりにくいな。なんであんな風にしてんだろ。

658 名前:(^ー^*)ノ〜さん :07/01/19 10:07 ID:XoIzIM3Z0
管理者の連絡会はあるようだが、現実に罠リンクが張られているということは
その連絡会はうまく機能していないと解釈せざるをえない。
管理しない管理人なんざどこぞの管理会社だけで十分だ。

659 名前:(^ー^*)ノ〜さん :07/01/19 10:13 ID:mwoIkS0o0
>>658
お約束の言葉をくれてやろう

「じゃあ、おまえが完璧にやってみせろ」

660 名前:(^ー^*)ノ〜さん :07/01/19 10:32 ID:pabUMsZY0
「文句言うならおまえがやれ」
はできないものの言い訳

661 名前:(^ー^*)ノ〜さん :07/01/19 10:42 ID:GgtTdm9Y0
文句しか言えないやつは、Wiki利用しない方がいいんじゃね

誰でも編集できるメリットとデメリットの両方を理解しないとナ

662 名前:(^ー^*)ノ〜さん :07/01/19 10:49 ID:mwoIkS0o0
RO関係のwikiは、まだマシな管理されてる方だと思うがねぇ…

矛先は中華や業者や癌崩に向けるべきなんだが、向けようがない
からって、サイト管理人に向けるのも、なんだかねぇ…

663 名前:(^ー^*)ノ〜さん :07/01/19 11:09 ID:oCzYWFPW0
>>657
リンカーWikiの鯖が infoseek is webのような仕様なのかな?
(CGIへの直接リンクが不能)

よく職Wikiで使われているXREAではそういう仕様では無いので気づきにくいが
後鯖Wikiも怖いな…
うちの鯖の場合は編集認証を導入してるけど

取り合えずWikiは誰でも編集できるのは記事のみ
逆に言うとハッカー共は記事編集もやるようになってきたという訳で
Wikiプラグインの類は悔しいけど管理者以外はどうしようもない

664 名前:(^ー^*)ノ〜さん :07/01/19 11:19 ID:oCzYWFPW0
うっかり送信したので続き

出来る範囲で怪しいアドレスを発見したらみんなで正規のアドレスへ
書き換えていく地道な作業しかないんだと思う

リンカーWiki以外で見かけるWikiは外部アドレスへの移動する際
ここに行きますよってクッションページが出る。
これはWikiプラグインの1つなので管理者以外手出しが出来ない。

665 名前:(^ー^*)ノ〜さん :07/01/19 11:34 ID:RJ4//BAd0
連絡会も滑り出しは良さそうに見えたのだが、今となってはひどく閉鎖的にも見えるのが難点。
代表サイトページも、最近の職Wiki移転などがあったにも関らず、更新が反映されていないような状況とか。
それと、鯖Wikiが蚊帳の外っぽいのも些かもにょるな。

666 名前:(^ー^*)ノ〜さん :07/01/19 11:43 ID:RJ4//BAd0
>>657,663
2chのime.nuと同様の目的とも思われる。
googleのリダイレクタを経由することで、直接のリンクと判定されなくなり、PageRankの重み付けがなされない。
暗にSEO spamへの対策として使っているのだろう。

ついでに、鯖はどうやらsakuraなので、CGI呼び出し関連の問題ではなさそう。

667 名前:(^ー^*)ノ〜さん :07/01/19 11:45 ID:GgtTdm9Y0
なるほど…しかしnofollowつけりゃいいんじゃないかな。
あれじゃステータスバーとか見てもわかりにくいし、よくないよなぁ

668 名前:(^ー^*)ノ〜さん :07/01/19 11:47 ID:mwoIkS0o0
鯖wikiは廃スレ絡みの荒れネタが多いから、タッチしたくないとかだったりして…

669 名前:(^ー^*)ノ〜さん :07/01/19 11:49 ID:MNsrogDN0
>658
言い分は判るが、その意見はキャラパス実装前に「垢ハク被害が出るのはカプラロックを
導入しない癌の責任」って意見と大差ない。
管理側には被害を減らすように努力してもらいたいが、この手の事は最終的に各自の
対策の有無が物を言う。

しかし先日の9x系の人がログインできないというトラブル見て思ったが、プレイヤー側も
問題が多いと思うな。
セキュリティソフト入れてないとかWindowsUpdateしてないのは論外なわけだが、9x系OSを
使ってるのも同じ観点からすれば論外なわけで。

こういうのは管理側に対策してもらうのと同様に自分も対策してないとダメ。

「自分は完璧な対策を行っていたがWiki管理者の怠慢のためにハク被害に遭った」
こんな矛盾した意見は通用しない。

670 名前:(^ー^*)ノ〜さん :07/01/19 11:51 ID:P0SPmVJ30
重要な話だと言うことはわかるがなんだかこことはずれてきてる気がする

671 名前:(^ー^*)ノ〜さん :07/01/19 11:55 ID:skTRii1G0
>>658
なんか頭悪いな
適切な報酬を得てるなら話は別だが、ほとんどボランティアだろこれ
一方的に利用するだけの奴が何ほざいてるんだか

「じゃ、お前がやれよ」で合ってる

672 名前:(^ー^*)ノ〜さん :07/01/19 12:03 ID:XoIzIM3Z0
管理者になったんなら管理するのは当然だろ?
何も高度なセキュリティをほどこせと言ってるんじゃない。
やるべきことを随時やる。ただそれだけ。
現に俺のwikiはそうしてる。

673 名前:(^ー^*)ノ〜さん :07/01/19 12:05 ID:skTRii1G0
だからさ、偉そうに外野が言う事かよってこと

674 名前:(^ー^*)ノ〜さん :07/01/19 12:19 ID:mwoIkS0o0
>>ID:XoIzIM3Z0 は>>658の言葉が悪いと思うなぁ。

675 名前:(^ー^*)ノ〜さん :07/01/19 12:19 ID:oCzYWFPW0
確かにずれてきてるんだけど、被害を出さない予防って意味ではこの話題も必要と思う
職Wikiで感染しましたー報告がでる前にどうにかしようって思うわけで
リンカWikiで実際踏んだーってレスが出てるしね。

>>672に同意の点は在るね
自分はBlogなんだけど出来る限りのセキュリティを施してる
閲覧してくれてる人に被害を出さないように。
管理者として出来ることだけは最大限やっていこうと。
自分の運営してるサイトから被害者出るの悲しいからな。


んでもって情報
automouse■jpのHTMLを見たんだけど
auto-mouse■comに飛ばしてる

リネージュ資料室さんではアクセスしただけでキーロガーがインストールされたという
記事もあったが自分はインストールされなかった
ただ、感染源サイトとしてあるので禁止でいいのか悩む
ちなみにドライバーインストールでなったなら放置の方面でいいかと思う

資料
ttp://lineage.nyx.bne.jp/misc/security/?id=virus-site#AUTOMOUSE

676 名前:(^ー^*)ノ〜さん :07/01/19 15:43 ID:ZwN2EDxA0
WIKIは管理人がWIKIの情報を書き込みできない別HPに反映するという形にするなら被害は減ると思うけどなあ
WIKIの内容なんて大半は頻繁に変えなければならないってのもんは少ないし
管理人の負担とやる気次第なのもあるが

677 名前:(^ー^*)ノ〜さん :07/01/19 16:14 ID:Xasq19D00
なんにせよ注意喚起を逸脱して貶すのはいただけない
管理者とし当然の仕事をしていると自負するのはいいし、素晴らしいと思うよ

でもそれを誰かに認めてもらうために出没してアピールしていくのはいかがなものか
管理者に求められるスキルは、しゃしゃり出ずに淡々と清々粛々管理することだと思う

678 名前:(^ー^*)ノ〜さん :07/01/19 17:20 ID:XoIzIM3Z0
>>貶す

これは酷い曲解ですね。
怠慢管理人の仕事ぶりをしかりつけて是正させるのが目的だったんだが。

>>アピール

自慢するために発言していると感じたのなら驚き。

>>しゃしゃり出ずに

誰かが言わないと変わらない気がするが。どうだろう。

とりあえず言いたいことは、怠慢な管理人の綱紀粛正を求めたい。
最低限のセキュリティをどの職wikもがクリアできないものか。
危険ドメイン等の各職wik対応状況をどこかで一元管理できれば
管理人同士の監視も効果がでてきそうだが。

679 名前:(^ー^*)ノ〜さん :07/01/19 17:30 ID:mwoIkS0o0
ID:XoIzIM3Z0 には、言い出しっぺの法則に基づく行動を期待したい

680 名前:(^ー^*)ノ〜さん :07/01/19 17:33 ID:GgtTdm9Y0
そうだね、発言より行動を期待したいわ

681 名前:(^ー^*)ノ〜さん :07/01/19 17:38 ID:XoIzIM3Z0
よし、行動として技術力のあるBSwiki管理人に全部まかせる。頑張ってね。

682 名前:(^ー^*)ノ〜さん :07/01/19 17:43 ID:Oiwaf4lr0
なんだこの最低野郎は・・・

683 名前:(^ー^*)ノ〜さん :07/01/19 17:47 ID:mwoIkS0o0
OK,本日のNGID:XoIzIM3Z0

684 名前:(^ー^*)ノ〜さん :07/01/19 17:48 ID:GgtTdm9Y0
>>672
>現に俺のwikiはそうしてる。

このwikiがどこのwikiなのかわからんけど、むしろ不安になってきたぜ

685 名前:(^ー^*)ノ〜さん :07/01/19 17:48 ID:cLnt/4UB0
>>604

686 名前:(^ー^*)ノ〜さん :07/01/19 18:34 ID:oCzYWFPW0
>>681
BSWiki管理人にこれ以上仕事回すなよ
この話題出した俺が悪かった>ALL

警笛として出しただけなのに荒れるとは…



ところで本来から戻すけど
>>675で出したアドレスはブラックに入れるべきかどうかまとめる人も困ると思うので
みんなで話し合わないか?

687 名前:(^ー^*)ノ〜さん :07/01/19 19:10 ID:RGZQrrqy0
全職Wiki警告age
もう全滅かも知らん

688 名前:(^ー^*)ノ〜さん :07/01/19 19:22 ID:U/rwz1ia0
今対策してないWikiほとんどにハックアドレス書き変えられているので注意

689 名前: ◆sp4Sh9QXGI :07/01/19 19:40 ID:pAcoI/Dt0
こんばんわ、後略。
サイトを更新しました。
今回の更新では>>648さまがご指摘なさったwwwつきのドメインを記述しました。

随分とスレが荒れていたので、>>648を探すのに苦労しましたというチラシの裏。
XoIzIM3Z0さんが何のWikiを管理しているのかは私の知るところではありませんが、
無責任とも取れるような発言は自重していただきたいところですね。

690 名前:(^ー^*)ノ〜さん :07/01/19 19:53 ID:U/rwz1ia0
結構Wikiによって昨日からハックアドレスのままの所などもあるので危険です。
随時修正しているが直したそばからまたやられていたりする…

691 名前:(^ー^*)ノ〜さん :07/01/19 19:56 ID:P0SPmVJ30
各職業スレで注意を促すのがとりあえずかな
ここだけで言ってても広まらないだろうし、ここにいる人たちだけで頑張っても追いつかない気が

692 名前:(^ー^*)ノ〜さん :07/01/19 20:02 ID:ebXCTjc80
なんでこう・・・書き換えたそばから変わるかな・・・

693 名前:(^ー^*)ノ〜さん :07/01/19 20:06 ID:C68UIJ2H0
この先こういうことが続くならwiki系の職業サイトは廃止して
面倒だけど管理人がこまめに情報更新する昔のやり方にするしかないのか

694 名前:(^ー^*)ノ〜さん :07/01/19 20:11 ID:Yxm436ko0
管理人一人だと破綻が目に見えているから
有志数名にIDとPASS渡してWIKIを更新する形に
するなどした方が良いかと

いずれにせよ警鐘age

695 名前:(^ー^*)ノ〜さん :07/01/19 20:17 ID:P0SPmVJ30
そこまでの方針は決められないかと
ここでは注意呼びかけ・対策などの話し合いでWiki運営などは各スレ事に委ねるしか
あまり何でもやろうとしない方が良いと思う、重要なことが流れるし

696 名前:(^ー^*)ノ〜さん :07/01/19 20:18 ID:ebXCTjc80
管理人さんに実生活の負担掛けない形式でハックリンク対策の案誰かないですか・・・。

697 名前:(^ー^*)ノ〜さん :07/01/19 20:19 ID:U/rwz1ia0
とりあえず外部リンク確認ページが出るだけでも大分違うんじゃないですかね?

698 名前:(^ー^*)ノ〜さん :07/01/19 20:27 ID:RJ4//BAd0
元々、管理人一人では手が回らなかったり、不測の事態が起こったときに更新不能に陥るという理由で、各テンプレの
Wiki化が進んだはずなのだが。
静的サイトでも、管理人の色が濃くなるという弊害は有るし、複数管理にしても、有志を騙ったペロスが紛れ込んだ場合など
手の打ちようがなくなる危険性も考えられる。

今できることは、閲覧側への注意喚起徹底がまず先決。

ちなみに、PukiWiki開発本家でも悪意有る投稿が問題視され、対策としてNGワードフィルタのようなシステムをcvsバージョンで
試験中。次のPukiWiki1.4.8には盛り込まれる予定。

699 名前:(^ー^*)ノ〜さん :07/01/19 20:54 ID:oCzYWFPW0
>>696
自分で出来る自信は無い(自宅鯖環境など)けど
随時更新する有志による独自BLファイルがあってもいいんじゃないかなぁとは思う
ここでも使われてるBBQのURL版
これを読むようにプラグインを作れば楽にはなるだろうなぁ

とはいえ障害が大きいな、つては有るけど

今は閲覧側への注意が先決だね。


あとはBlogコメントも放置されやすいしこの対策まで織り込んでたら
流れてしまうし、いっそ別スレでWeb対策スレ作るべきなんだろうか…

700 名前:(^ー^*)ノ〜さん :07/01/19 20:54 ID:twsId1IF0
こりゃ大量感染者でそうだな

701 名前:(^ー^*)ノ〜さん :07/01/19 21:38 ID:QMyftJ720
もうBOT対策は諦めたからさ、せめて垢ハック対策ぐらいしてほしいところだ

702 名前:(^ー^*)ノ〜さん :07/01/19 21:42 ID:m+t8qI8A0
アカウントハック対策もBOT対策も、対応して当然。
そのために毎月金取ってる。
対応せずに取っている金を別の事由に流用してそうな運営会社も有るけどなwww

703 名前:(^ー^*)ノ〜さん :07/01/19 21:44 ID:zrBdF1TH0
他の失敗作MMOの損失補填に使ってんじゃねぇよって言いたくなる

704 名前:(^ー^*)ノ〜さん :07/01/19 21:48 ID:Xdmq5mmv0
>>701
もう諦めろ
やるポーズだけで100%しない。
俺はこの世に絶対とか完璧なんてものは存在しないと思ってたが癌を見てそれは違うと悟った。
癌の糞管理体制は絶対であり完璧である。

705 名前:(^ー^*)ノ〜さん :07/01/19 22:00 ID:+4PXPD3JO
ここ3日、知人が二人垢ハックあった
Gvやってる都合で知人というほとじゃないが知ってる奴、聞いた話含めれば
相当数垢ハックにあった
露店を見ると「売装備」の看板が3つほど。いくらなんでもここ数日被害多すぎだろ…

706 名前:(^ー^*)ノ〜さん :07/01/19 22:11 ID:hVFBBUlQ0
やべーしばらく見てなかったのに今日に限ってマジwiki覗いてた・・・。
ちょっと対策見直してこよう。

707 名前:(^ー^*)ノ〜さん :07/01/19 22:22 ID:RJ4//BAd0
ここ数日のトロイ設置活発化に、思い当たる理由を投下。

ttp://internet.watch.impress.co.jp/cda/news/2007/01/17/14489.html
> NTTコミュニケーションズ(NTT Com)は17日、2006年12月26日の台湾沖地震による通信障害につい
>て、応急措置で全サービスを回復したと発表した。さらに2月下旬までには、国際通信用海底ケーブルが
>完全復旧する見込み。
つまり、連中のインフラが元に戻ったのがひとつ。

ttp://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=JP-2061294&id=JP-2061294
>製品: ウイルスバスター2007 - 15.x
>タイトル: ネクソンジャパン社の「メイプルストーリー」を起動するとブルースクリーンになる
ttp://www.st.ryukoku.ac.jp/~kjm/security/memo/2007/01.html#20070118__trendmicro
このトラブルが起きた理由と目されているのが、nProの更新があったこと。
他に、導入しているPSUなどでも、セキュリティソフトとの競合トラブル例が報告されている。
つまり、競合回避のためにセキュリティソフト機能を無効化しているユーザーを、ターゲットとして狙ってきている可能性もある。

708 名前:(^ー^*)ノ〜さん :07/01/19 22:29 ID:gbWBGmgx0
職別Wiki見ている人って結構居るんだな
いままで一度も見たこと無いよ

>>705
癌からROのサービス停止予定でも聞かされたんじゃないか?

709 名前:(^ー^*)ノ〜さん :07/01/19 22:44 ID:I3yia6Hs0
多数貼られているbbs-qrcode■com/link/を踏んだ人向けの情報が未だ出て無いのな。
対策も議論も重要だけど、被害者不在な方向性になっちゃうのはイヤンな感じ。

でもってVirusTotal。
http://www.mmobbs.com/uploader/files/1956.png
NOD32もすり抜けますか(というかすり抜けるように作ったんだろうけど)。
カスペ辺りでスキャンすれば拾えるようなんで踏んだ人はそいつでチェックする
といいかと。

因みに
bbs-qrcode■com/link/ ->
bbs-qrcode■com/bbs/grtdhyj■htm ->
lineage321■com/bbs/dsgdfhr■exe
だった。現時点では。

更新に気付いたらウイルスを提出してるんだけど、ここんとこ妙に活発な
気がするのは>>707の流れがあったりするのかもね。
しっかしnPro、もっとマシになってくれないものかねぇ…。無理か。

710 名前:(^ー^*)ノ〜さん :07/01/19 22:44 ID:J96HDxTV0
アカウントハックウィルスらしきURLを踏んでしまったのですが
ここにウィルスURLを公開して詳細を聞いたりするのはまずいですかね…?

711 名前:(^ー^*)ノ〜さん :07/01/19 22:45 ID:ksx3Rf7H0
>710
情報は多い方が良いので張って欲しい。
>709のように「.」を「■」に変更すればいい。

712 名前:(^ー^*)ノ〜さん :07/01/19 22:50 ID:PMiOiTKd0
全職Wiki警告age


被害を受けた人用の行動指針と、
まだ被害を受けていない人用の対策をまとめたほうがいいかも。

Wiki管理者やRO関係のブログ所持者やBBS所持者は、
被害の拡大を防ぐために出来る限りのことはしましょう。


週末はしばらくage進行でいいと思うが、どうだろう。

713 名前:(^ー^*)ノ〜さん :07/01/19 22:54 ID:Oiwaf4lr0
むしろ週末じゃなくてもage進行でいい気がするけどな

714 名前:(^ー^*)ノ〜さん :07/01/19 23:00 ID:J96HDxTV0
test

715 名前:710 :07/01/19 23:07 ID:J96HDxTV0
個人のBlogのコメント欄に貼られていました
名前とコメント内容については他サイトのコピペでした
www■zhangweijp■com/rbro/

トレンドマイクロウィルスバスター2006で検索した所何も検出できませんでした
応急処置としてインターネットオプションで一時ファイル、cookie等削除しました

正直垢ハックウィルスなのかすら分からないので宜しくお願いします…

716 名前:(^ー^*)ノ〜さん :07/01/19 23:13 ID:10Rl0DgW0
聞く前にこのスレ内を「zhangweijp」で検索してみれ。
既に答えが出てるから。

717 名前:(^ー^*)ノ〜さん :07/01/19 23:13 ID:P0SPmVJ30
>>715
このスレを検索して貰えばわかりますが垢ハックURLです
ウイルスバスターは頼りないのでカスペルスキーのオンラインスキャンをしてみてください
ハッキリするまではROの接続、ガンホーサイトでのパス変更などはそのPCで行わないように

718 名前:(^ー^*)ノ〜さん :07/01/19 23:18 ID:+4PXPD3JO
パス変更も危ないのか

719 名前:(^ー^*)ノ〜さん :07/01/19 23:20 ID:P0SPmVJ30
念のため、ですね

720 名前:(^ー^*)ノ〜さん :07/01/19 23:21 ID:0VKwa+lU0
>>718
変更したパスがばれるだろw
ログインしなくてもジエンド

721 名前:(^ー^*)ノ〜さん :07/01/19 23:22 ID:RJ4//BAd0
警鐘として、MMOBBSの管理板に、ここへの誘導案を投下してきた。
リアクションによって、流れがさらに加速されるかもしれないが、随時応答可能な有志、宜しく頼む。

722 名前:(^ー^*)ノ〜さん :07/01/19 23:23 ID:+4PXPD3JO
>>720
そうだったのか。てっきりROの起動と同時にウィルスも起動してパス探ってるんだと思ってた…

723 名前:(^ー^*)ノ〜さん :07/01/19 23:25 ID:PMiOiTKd0
◆感染が疑われるPCからは

・ゲームにログインする行為(アトラクションIDの入力、パスワードの入力、キャラクターパスワードの入力)は避けるべきです
・ガンホーサイトでログインする行為(ガンホーID、パスワードの入力)をするのは避けるべきです

アカウントハックプログラムはこれらの情報を盗むのを目的としていることを絶対に忘れてはなりません。

724 名前:(^ー^*)ノ〜さん :07/01/19 23:28 ID:I3yia6Hs0
>>715 (710)
そのアドレスで正しい?
http://www.mmobbs.com/uploader/files/1957.png
こんな表示じゃなかった?

確かそのアドレス、以前はウイルスを呼び出ししてたけど今は404の
模様。偽装404とかの気配も無いので*多分*安心していいと思う。

不安だったらカスペのオンラインスキャンをやってみるよろし。
http://www.kaspersky.co.jp/scanforvirus/

725 名前:(^ー^*)ノ〜さん :07/01/19 23:30 ID:ksx3Rf7H0
>722
RO起動時以外に癌サイトいったときにSSとって抜くとか十分ありえる。
キーロガーなら変更時のPASSも抜かれるだろうし。
オンラインバンキングのPASSが抜かれるのが良い例。

危険回避するには、アトラクションセンターとRO蔵の起動といった行為は
安全が確認されるまではやめた方が良い。

726 名前:710 :07/01/19 23:31 ID:J96HDxTV0
>>724
アドレスはこれで合ってます

今からオンラインスキャンというのを試してみます
また何かあれば書き込みします、皆さん有難うございました。

727 名前:(^ー^*)ノ〜さん :07/01/19 23:32 ID:N/5sNVo40
>>709のURLを踏んだところ文字化けした文が出てきました。
垢ハックのウイルスなんでしょうか?

728 名前:(^ー^*)ノ〜さん :07/01/19 23:34 ID:xRXMCOW/0
キャラパスもザルなんだしアカハックも流行りすぎだから
チケットセンターで接続可能IPを個人で設定できるようにしてくんないかな

729 名前:(^ー^*)ノ〜さん :07/01/19 23:36 ID:n1GiiZPF0
>>729
踏んでから心配するぐらいなら、迂闊に踏むなよと小一時間(ry
ウイルスでなく単なるpng画像だけど。

730 名前:(^ー^*)ノ〜さん :07/01/19 23:44 ID:n1GiiZPF0
>>727ねorz

731 名前:(^ー^*)ノ〜さん :07/01/20 00:28 ID:rIIqklxFO
各種WIKIに出回りが活発になっているようなので注意してくださいあげ

732 名前:(^ー^*)ノ〜さん :07/01/20 00:29 ID:96iiS50O0
>>729
ありがとうございます。
RO関連の告知のようなURLで張られていたのでつい・・・

733 名前:(^ー^*)ノ〜さん :07/01/20 02:01 ID:GxLwfqlX0
まてまてまて、>>709のURLって最後がpngのやつならば大丈夫だけど、
その他の■で区切られているのと同じアドレスを別の所で踏んじゃったってこと?

734 名前:(^ー^*)ノ〜さん :07/01/20 02:04 ID:8AKQGYfY0
帰宅後に偶然Wikiを開いたら何やら大変なことになってますな……
カスペルスキーアンチウイルス5とオンラインをかけてみたがひとまず問題ない様子。
不安な人はしばらくいじらん方が懸命だね。

皆様も注意してくだされ。

735 名前:(^ー^*)ノ〜さん :07/01/20 05:30 ID:WW3ujOJ50
しばらくage進行推奨ということで。警告age

■■■■■■■■■■■■■■■■■■■■
各職Wiki、ブログ、BBSへのアカウントハックアドレスの
貼り付けが急速に増加しています。

各自、自衛策を講じてください。
特に、WindowsUpdateは必ず行っておきましょう。

また、感染が疑われるPCからの
1:ゲームへのログイン
2:ガンホーアトラクションセンターへのログイン
することは避けましょう
■■■■■■■■■■■■■■■■■■■■

736 名前:(^ー^*)ノ〜さん :07/01/20 05:44 ID:r+tLlZCv0
拳聖wikiで踏んじまったぜ・・・
conecojp■netを確実に開いたのだが
カスペルスキーアンチウイルスオンラインかけても
何も検知されなくて逆に不安・・・

開いた画面は何も表示されていなかったのだが、
感染されなかったと考えてもいいのだろうか

737 名前:(^ー^*)ノ〜さん :07/01/20 06:35 ID:oaMvR30o0
もっと情報サイトでも呼びかけるべきだと思うんだ。
大手であるOWNや776など警告はあるにはあるけどそこまで目立ってないし。
誰の目にもついて、鬱陶しいくらいでも足りないんじゃないかと。
やっぱりそういうサイトだとマイナスイメージなのはあまり書かないのかなぁ。
沈黙したままの公式も許せないけどね。

738 名前:(^ー^*)ノ〜さん :07/01/20 06:44 ID:PbRwa0mu0
癌とかOWN、ROM776は職Wikiに係わってないからね
連中視点で見てみれば、ユーザー所有のWikiが自衛できてないように見えるだけだからね

739 名前:(^ー^*)ノ〜さん :07/01/20 07:19 ID:WqOXqtJy0
各所で警告が上がってたのでここに来て状況把握して
とりあず724のカスペのオンラインスキャンをやってみた・・・

重要な領域⇒問題なし
マイコンピューター⇒
スキャンの実行60%
スキャンしたファイル:60000
見つかったウイルス:19
感染したオブジェクト:92
疑わしいオブジェクト:4
スキャンプロセスの所要時間:01:25:00

ヤバスwww

740 名前:(^ー^*)ノ〜さん :07/01/20 07:46 ID:L5RMeFma0
まあ大抵は専用ブラウザのウィルスコード張られたログに反応してるだけだろうけどな。

741 名前:(^ー^*)ノ〜さん :07/01/20 09:19 ID:AviF8l3s0
>>736
ちゃんとOSのうpデートしてIE系以外のブラウザ使ってればそうそう感染しないよ

742 名前:(^ー^*)ノ〜さん :07/01/20 12:15 ID:Asb5i8sj0
>>741
その甘い考えが怖い

743 名前:にゅぼーん :にゅぼーん
にゅぼーん

744 名前:(^ー^*)ノ〜さん :07/01/20 12:31 ID:JQEFmN3Q0
台湾のサイトは見れないヽ(´ー`)ノ

745 名前:(^ー^*)ノ〜さん :07/01/20 14:19 ID:j0aG4qPm0
>>743
2ちゃんブラウザが読み込んじゃったじゃないか…

746 名前:(^ー^*)ノ〜さん :07/01/20 16:35 ID:NbX/46uR0
>誰の目にもついて、鬱陶しいくらいでも足りないんじゃないかと。
この辺りは人に寄る。

自分はギルド内連絡用(雑談用ともいう)のIRCのトピックやギルドHPで
告知したり、hostsやPG2のリストを配布して対策推進してるんだが
そのうち告知に見慣れてしまうのか、更新してもスルーされていく……orz

あちこちで騒ぎになればその時は警戒するが、数日もすれば忘れていく。

結局の所「自分は大丈夫」という根拠の無い自信を持つのをやめて
各自が常に警戒するという意識を持つようにしていかないと、なかなか。

747 名前:(^ー^*)ノ〜さん :07/01/20 18:41 ID:9dYndJlF0
一度痛い目にあわないと中々わからないんだよねぇ。

自戒込めてだけど。

748 名前:(^ー^*)ノ〜さん :07/01/20 18:47 ID:u1bzYKi20
あとは、たまたまRO絡みなだけだって事を理解出来てないのもあるな。
ゲーム機の延長でPC使ってて、「ROやるだけなのに、そんなめんどくせー事しねーよww」と。
真の意味での、RO専用機じゃないだろうと。

749 名前:(^ー^*)ノ〜さん :07/01/20 18:51 ID:16+bVwym0
2ch停止('A`)
ここ最近垢ハックウイルス貼られまくりだから怪しいと思ったらまずはリンク先に飛ばないこと
ここ1週間でギルメンの半分(9人)が垢ハック被害にあって笑えない状態・・・
ウイルス対策を全くしてなかった奴や、ウイルスバスターなんて使ってる奴も多かった

750 名前:(^ー^*)ノ〜さん :07/01/20 18:59 ID:bBZQgGRF0
自称PCに詳しい奴に限って、対策ソフト入れると遅くなる、怪しいリンクを踏まなければOK、
ウィルス掛かる奴はアホとか言って、未対策なんだよなぁ。
元相方が典型的なそんな奴だった。リアルSEだとか・・・。

幸い、今のギルドのメンバーで垢ハク被害者は無し。
社会人が多いので、みんなウィルス対策ソフトを買ってインストールしている模様。

751 名前:(^ー^*)ノ〜さん :07/01/20 19:05 ID:ykiaKhO10
2ch停止?ってびびらせるな!
BBQが使えなくなるのかと思いっきりあせったよ(#゚д゚)

しかしアカウントハックなんてROとかゲームだけっての多いな
社会人だとカード情報抜きとられたり
ネットバンクやネット通帳専用口座なんて使ってる人間だと
思いっきり痛い目にあう2次被害も考え付かないのかと思うとな
ネット使うんだからセキュリティに目を向けて欲しいところだ

752 名前:(^ー^*)ノ〜さん :07/01/20 19:11 ID:RoSAwBC80
>>751
良くも悪くも「家電」として普及してしまった結果じゃないか?
メーカーもリビングPCなんです><とか変な文句つけて売る前にちゃんとセキュリティの重要性をだな(ry

あんまりやるとスレ違いになりそうだしこの辺にしときますか

753 名前:(^ー^*)ノ〜さん :07/01/20 19:40 ID:lSHanVvx0
>563
キャラパス導入前に垢ハクされた者です
警察に行って調書とって、毎週のように警察に電話して捜査状況聞いて
ハッキングしたやつの個人情報開示させるまで半年近くかかります

で、警察からハッキングされたという事実を確認できて癌がそれを警察に確認できれば
アイテム戻ってくる

1/16にやっと装備もどってきた

被害にあってから実に8ヶ月かかったけど・・・

754 名前:(^ー^*)ノ〜さん :07/01/20 19:53 ID:FJRybcEnO
今回の騒動で全鯖合わせて何人被害にあったんだろ…
下手したら100人以上被害にあってるよな

このスレで報告はすくないなと思ってたがこのスレ見てるようなやつは
セキュリティへの関心あるから予防をしっかりやってるだろうしな

755 名前:(^ー^*)ノ〜さん :07/01/20 20:00 ID:Yg+AXQ3R0
2ch全部が障害ってわけでもないぞ。一部の板の障害っぽ

756 名前:(^ー^*)ノ〜さん :07/01/20 20:01 ID:DpbGyvzP0
自分は怖くてwikiも見てないんだが、それは例のurlを踏むと感染するの?
それとも、見ただけで感染するのかな?

757 名前:(^ー^*)ノ〜さん :07/01/20 20:02 ID:ZdHt3orR0
>>756
対策をしないで問題のあるリンクを踏むと感染する

758 名前:(^ー^*)ノ〜さん :07/01/20 20:02 ID:oaMvR30o0
見ただけって…?

759 名前:(^ー^*)ノ〜さん :07/01/20 20:07 ID:6YKuPywa0
wikiのTOPページとか?

760 名前:(^ー^*)ノ〜さん :07/01/20 20:12 ID:/kKb7MBk0
>>758
wikiを開いただけで感染するのか(TOP含めた全ページ)
wiki内のリンクを踏んで、そこで初めて感染するのか
どっちなのYO!?ってことじゃないの?
俺は詳しくないから、どっちなのかは分からないけど。

ついでに質問。
wikiの内容書き換えられてるなら、>>2のBSwikiへのリンクも踏んだら危ないんじゃないの?
まとめサイトにもリンク貼られてるけど、内容だけ書き移して別の場所に置いておいた方がいいんじゃない?
素人考えですまない。

761 名前:(^ー^*)ノ〜さん :07/01/20 20:16 ID:oaMvR30o0
リンクを踏んでURLを開かない限り大丈夫かと。
BSWikiさんはこの手の先駆け的存在なので安全度は高めだと思います。
Wikiでもちゃんと対策してるしてるところとそうでないところがありますからね…。

762 名前:(^ー^*)ノ〜さん :07/01/20 20:18 ID:YgK8Tb+t0
Wikiにフレーム仕込んでそこで読み込んで・・・とか無いよね?
そこが気がかりなんだけど

763 名前:(^ー^*)ノ〜さん :07/01/20 20:26 ID:ykiaKhO10
>>760
Wikiには凍結と言う機能があってだな
管理人以外書き込めない状態にもできるんだよ

けど編集に移動出来るな…
BSwiki管理人様、該当ページだけでも凍結状態に出来ませぬか?
他で忙しいのは判るのですが頼みの綱なのでおねがいしまつ

764 名前:(^ー^*)ノ〜さん :07/01/20 20:33 ID:NvYqYGZQ0
>>762
俺もそれ心配かもって思った。
その場合、Wikiよりブログパーツとか貼り付ける枠のある
blogサービスのが心配な気がする…(JAVAとか貼り付けられるしorz
自分の使ってるところだけでも質問してみるかなー…

765 名前:(^ー^*)ノ〜さん :07/01/20 20:41 ID:LP+4nn0H0
>>762
プラグインであえて拡張しない限り、wikiでそれは出来ないと思う。

766 名前:(^ー^*)ノ〜さん :07/01/20 21:21 ID:QTEdk4MA0
g838
あるあるwねーよwww大辞典だから仕方ないぜ

767 名前:(^ー^*)ノ〜さん :07/01/20 21:25 ID:EzhINaUf0
>766
ちょwwwwwwwすごい誤爆wwwwwwww
でもあるあるwwwwwwwんだよなこれがwwwww

768 名前:(^ー^*)ノ〜さん :07/01/20 21:33 ID:EXpXHY490
>>753
おつかれさま。
垢ハックにあって装備が戻ってきた人の話、初めて聞いたわ。
絶対戻ってこないものだと思ってた。
もっとくわしく話を聞いてみたいところ。やっぱたいへんそうやね

769 名前:(^ー^*)ノ〜さん :07/01/20 21:34 ID:FJRybcEnO
常人は八ヶ月も警察に粘着する気がおきないだろ…

八ヶ月後ROやってるか分からんって奴が大半だろうし

770 名前:(^ー^*)ノ〜さん :07/01/20 21:49 ID:NbX/46uR0
垢ハクをROだけの事と見るか、サイバー犯罪として捉えるかで変わるというか。

これって痴漢とかの犯罪に遭ったとして泣き寝入りするか、警察に被害届出すかの
違いと似たようなものだと思う。

771 名前:(^ー^*)ノ〜さん :07/01/20 23:55 ID:qys6lg0fO
>>743にゅぼーんされてるけど
垢ハックウィルス仕込まれてたん!?

772 名前:(^ー^*)ノ〜さん :07/01/21 00:21 ID:rzaSChv90
そんなときは多分、削除依頼スレ見れば理由が分かる。

773 名前:(^ー^*)ノ〜さん :07/01/21 01:00 ID:wLHWP11x0
753さんに質問です
警察からの電話問い合わせや、家庭訪問(PC調べたりとか)
なかったのですか?

それと、帰ってきた装備とは無くなったもの全て戻ったのですか?
よかったら、教えてください
それと、警察の対応はどんなだったのでしょう・・・

774 名前:(^ー^*)ノ〜さん :07/01/21 01:03 ID:RYtv/4VQ0
警察が真面目に対応してくれるだけで随分違いそうだな
もし含み笑いとかで対応されたらと思うと・・・

775 名前:(^ー^*)ノ〜さん :07/01/21 01:34 ID:ZQQbnDRu0
サイバー犯罪専門に扱ってくれるところがあればいいけど
そうでなきゃまだまだ「ゲーム?今ゲームって言った?wwwwww」って感じの対応
ほんと主要都市以外の垢ハック被害は地獄だぜフゥハハハーハァー

776 名前:(^ー^*)ノ〜さん :07/01/21 01:46 ID:uCqyNvYZ0
被害者が警察に行きにくくしたい意思を感じるなw
犯罪は必ず届けるべき、ROは多数の犯罪者がかかわっているゲームですから。

ちゃんと対応しろよ。>社員

777 名前:(^ー^*)ノ〜さん :07/01/21 01:48 ID:WxlPmlBY0
質問なのですが
現在McAfeeのSecurityCenterを使っているのですが
ここのソフトで大丈夫なのでしょうか?
749で「ウイルスバスターなんて」と書かれているのを見て
うちのも大丈夫なのか気になりまして
よろしければお願いします

778 名前:(^ー^*)ノ〜さん :07/01/21 01:48 ID:JNywIx1z0
そもそも警察に行くのは癌の仕事のはずなんだがなぁ
散々「データは俺達のモノですよwww」って言ってたんだし

779 名前:(^ー^*)ノ〜さん :07/01/21 01:49 ID:rDlDIRKz0
どのソフトでも、完璧に大丈夫なんて言えない。

780 名前:(^ー^*)ノ〜さん :07/01/21 02:14 ID:1LNMbWk+0
RO関連のウイルスに関しては、ウイルスバスターなんかの有名どころが逆に弱いとは聞くね
カスペみたいなマイナーどころが対応早くて頼りになったり

781 名前:(^ー^*)ノ〜さん :07/01/21 02:16 ID:94FdcxQH0
>>777
どこのソフトを使おうが、必ず後手になるって点だけは全てに共通して
言えることなので完璧なものは存在しない

亜種の検出能力が高いとか、新種対応が早いとかの差で、□□よりは
○○の方が安全ってレベル

782 名前:(^ー^*)ノ〜さん :07/01/21 04:40 ID:XiN7+OjR0
>>773
最初のほうは二週に一度くらいのペースで警察から連絡あり
PCはスペックとかどこのメーカーとか聞かれた
ウィルスで感染したとかそういうのは聞かれなかった

戻ったのは製造の武器とペット以外のハッキングされた武器全部返ってきました
まぁそんなに警察に通ったわけでもなく週一で電話して状況聞くだけな感じです

戻らないと泣き寝入りするくらいなら週一で電話一本する労力使う程度なんで是非された人は警察行きましょう

ちなみに犯人は捕まってません。中国人って言う事は教えてもらいました。

783 名前:(^ー^*)ノ〜さん :07/01/21 07:33 ID:OmpmQVqN0
>>771-772
削除依頼は出てないな。
張られてたのはタナトスシリーズや天使なんかの新カードイラストがあるというアドレス。
タナトスタワー萌えスレの625-626のほぼコピペだった。萌えスレの方は残ってる。
踏んでみたけど ttp://www.mmobbs.com/uploader/files/1968.jpg こんな感じ。

LiveROのどっかから>>589へ、そしてタナトス萌えスレへコピペされて行って
特に確認されず743が消されたって感じ。

784 名前:(^ー^*)ノ〜さん :07/01/21 07:43 ID:hrpPnxfeO
今ウイルスバスター2006使用してますがここ見てあまり頼れるモノじゃないみたいなので
ソフトを変えようと思うのですが何かお薦めのソフトはありますでしょうか?

785 名前:(^ー^*)ノ〜さん :07/01/21 08:25 ID:qSMs0bBR0
お前は本当にここのログを見たのかと小一時間問いつめたい

786 名前:(^ー^*)ノ〜さん :07/01/21 08:26 ID:rCbrpjea0
ぶっちゃけアンチウィルス系のソフトは気休め程度にしかならん。
対応ソフト入れたことで注意が疎かになるようなら逆効果もあり得るぞ。

787 名前:(^ー^*)ノ〜さん :07/01/21 08:57 ID:lttJwGpj0
テンプレ(>>1-2)を読んでない奴が多いな
ウイルスバスターもノートンもマカフィーも
ここで評価が上がってきてるカルペルスキーも
一長一短な訳。

アンチウイルスソフトは医療で言うならワクチンなんだよ
ワクチン打ったからって病気に100%ならないって保障あるか?
結局はうがい手洗いをしっかりする事等の基礎が大事

それとネット上のウイルス予防とはなんら変りはない。

わかんないですぅ><って人間は下手にころころ乗り換えるより
今使ってるソフトを使い続けるのが一番良かったりするぞ

それよりもWindowsUPdateしたか?
危機感無くリンクされたアドをクリックしてないか?
使ってるソフトのアップデートをきちんとしてるか?
ウイルススキャンをこまめにしてるか?
其処からやれ

788 名前:(^ー^*)ノ〜さん :07/01/21 09:26 ID:BogJ9HEe0
有志が報告してくれてるように、日々、新しい攻撃方法が追加され続けている。
平均的な年収の十倍もの報酬があり、かつ、国を超えて罰せられないとあって、やりたい放題なのが現状。

上でも書かれてるけど、完璧な対策は無い。導入が楽なオールインワン型だと対策も遅ければ
いつまでたってもすり抜けるソフトさえ有るから、ひとつの対策ソフトに頼り切るのは良くない。

ROでも、狩り場で防具ALL+10にしたって死なないわけではないのと同じで
狩り場の研究、基本的な立ち回り、回復剤、適正な武器、支援や魔法などなど多方面に渡るよね?
同じようにハッキング対策も細かく管理していくしかない。

出来る事は限られるけど、↓に有ることぐらいはやっておこう
1.こちらのまとめサイトさんと、そこから行けるBSwikiさん、リネージュ研究室さんを一通り読んで対策を施す
 怪しいリンクを踏まない、IEの設定または他ブラウザへの乗り換え、hostsの書き換え etc etc...
2.同じく、リネージュ研究室さん経由でpeerguardian2を導入。テストとして信頼できるサイトのリンクから、
 ASUS、GIGABYTEなどのマザーボードメーカーから、ドライバを置いてあるサイトへ「行けない」ことを確認する。
 ※ドライバは台湾の本サイトに置いてある事が多いため
3.アダルトサイト被害対策の部屋を参考にスパイウェア対策
4.非常駐型のアンチウィルスソフトの追加(bitdefenderコマンドライン版など)落としたものは全部、ダブルチェック
5.上記対策を、毎日、更新込みのメンテを行うこと。

そして、一番強力な対策が、基本的な対策を施した上で怪しいリンクは踏まない、これ。

789 名前:788 :07/01/21 10:15 ID:BogJ9HEe0
追記 PeerGuardian2関係

PeerGuardian DukeDog で検索
Software translated into Japanese: 日本語化ソフトウェア→University →ブロックリスト
二重も多々有ると思うけど、どちらかのサイトが停止しても、とりあえず更新は出来るから登録。

790 名前:(^ー^*)ノ〜さん :07/01/21 11:41 ID:WRAYZ56q0
警察に行くときは外貨流出や少年犯罪の温床になっている事など、
そしてメディアが注目しだしていることなどを伝えると効くかもしれんな。
警察が一番嫌がるのは手抜きしたことなどを何かあったらメディアに取り上げられる事。

791 名前:(^ー^*)ノ〜さん :07/01/21 14:52 ID:JBsHlerY0
公式販売の装備品を購入して"商品として買った電子データ"を所持していて盗まれたなら
明確に窃盗被害を主張できるんだろうけど。
しかしその為に買うのも何だかって感じだなぁ。

792 名前:(^ー^*)ノ〜さん :07/01/21 15:06 ID:rvt52TVO0
すみませんが、質問です。
カスペルスキーを動かしながら、プレイするとラグがすごいので、
プレイする時だけプロテクションを一時停止したいのですが、
こうするとヤバイでしょうか?(ROだけ起動なら大丈夫?)

一応、ブラウザはIE以外にして、PG2導入、ウィルスの検出はありませんでした。

793 名前:(^ー^*)ノ〜さん :07/01/21 15:14 ID:ck/JEEpl0
なんだかんだで癌のBOT締め付けがひどくなってる(BANが活発)から
今まで生活をBOTに頼っていた中華が飢えて垢ハックの荒業に出たんだろ
締め付ければ締め付けるだけパワーアップ凶悪化する中華はどうしょうもねぇなwwwwww


損一族とガンホーと森下にはこの言葉が良く合う
ttp://www.watch.impress.co.jp/game/docs/20070119/gun01.jpg

794 名前:(^ー^*)ノ〜さん :07/01/21 15:29 ID:1LNMbWk+0
ROプレイ中はブラウザを開かず他のことは何もしない、ってんなら問題ない
でも狩場の情報なんか見ようと思ってブラウザ使うと予期せぬ場合もあるから要注意になる

795 名前:(^ー^*)ノ〜さん :07/01/21 15:56 ID:iXAt2uxL0
> 締め付ければ締め付けるだけパワーアップ凶悪化する中華はどうしょうもねぇなwwwwww

中華もそうだが、BOT/垢ハクの元凶の50%はRMTで購入している現役プレイヤーなんだよなぁ・・・
購入側の対策も何とかならんかねぇ。
一時はRMT購入者もRMT業者垢と連BANされるという噂もあったけど、
一時的だったようだし・・・

796 名前:(^ー^*)ノ〜さん :07/01/21 16:20 ID:tM25L+6+0
>>790
はっきりいってそれいっても意味がないな
極端な話「少年犯罪」や「外国人犯罪で外貨主流出」なんて垢ハック以外に腐るほどあるわけだし
それが「重要な犯罪」と思うからといって全部取り扱ってもらえてるわけでもないからな

それよりも重要なのはサイバー犯罪にきちんと対応してる警察署であるかってことだな

797 名前:(^ー^*)ノ〜さん :07/01/21 17:46 ID:JfyK1zN00
役に立つ情報かどうかわかりませんが…

自ブログのアクセス解析で、
228.82.78.222.broad.dynamic.ly.fj.cn.cndata.com が
「Ragnarok挑戦 掲示板」
という用語で検索してきた跡が残っていました。
(午前9時半過ぎ)

以前このアドレスからのアカハックURL貼り付けがあり
.cn.cndata.comからのコメントを拒否しておいたためか、
幸い何も貼られずに済みました。

検索キーワードを見るとやっぱり、
無心に頑張ってるプレイヤー狙いなんでしょうかね。

798 名前:(^ー^*)ノ〜さん :07/01/21 19:14 ID:i+RCLk930
うっひゃ・・今日から再開していろんなテンプレを見て回りたかったのにこれか・・・

799 名前:(^ー^*)ノ〜さん :07/01/21 19:32 ID:aV7VPQ2+0
注意勧告ageage

800 名前:(^ー^*)ノ〜さん :07/01/21 20:23 ID:oy8Lg57D0
>>735のヤツをもう一度貼り付け警鐘age

■■■■■■■■■■■■■■■■■■■■
各職Wiki、ブログ、BBSへのアカウントハックアドレスの
貼り付けが急速に増加しています。

各自、自衛策を講じてください。
特に、WindowsUpdateは必ず行っておきましょう。

また、感染が疑われるPCからの
1:ゲームへのログイン
2:ガンホーアトラクションセンターへのログイン
することは避けましょう
■■■■■■■■■■■■■■■■■■■■

801 名前:(^ー^*)ノ〜さん :07/01/21 20:54 ID:IveSWk3k0
第二銀行法案が何らかの形で実現したほうが良いのかもな。
仮想通貨を通じたマネーロンダリングも規制対象になるので、RMT等も否応なしに含まれる可能性が出てくる。

802 名前:(^ー^*)ノ〜さん :07/01/21 21:46 ID:m5BWzYDuO
ところでさ
最近物騒だから俺が友人に「とりあえず怪しいとこは踏むな」って言って注意したんだけど。
「怪しいとこ踏まなくても直接くる場合もあるから」
とか言ってきたんだが普通はありえるのだろうか?
メールに付いてくるとかじゃなくてネット回線引いてるだけで直接感染って。

803 名前:(^ー^*)ノ〜さん :07/01/21 21:50 ID:gkN/mz1w0
>>802
そんなんあったら皆やられてるだろ。

804 名前:(^ー^*)ノ〜さん :07/01/21 21:50 ID:94FdcxQH0
>>802
使用しているOSやアプリの脆弱性を狙うタイプならあるよ
数年前にも大流行したんだけどもう忘れた?

805 名前:(^ー^*)ノ〜さん :07/01/21 22:01 ID:gH7EWoDZ0
Blasterとかそうじゃなかったっけ?
ttp://ew.hitachi-system.co.jp/w/Blaster.html

806 名前:(^ー^*)ノ〜さん :07/01/21 22:22 ID:X3HbE/OF0
OS再インストール時に、それまでのパッチを用意しておかなくて、
ノーガードのままアップデートのために外の回線に出てるって人は多いな。

807 名前:(^ー^*)ノ〜さん :07/01/21 22:30 ID:SRRJeZyT0
アサテンプレのボス狩りの考察と書いてある所がハックサイトと気づかず
に押してしまいました。
すぐにはつながらず30秒後に自動で飛ぶと出ていたので、繋がる前にアドレスが
怪しいと思い消したのですがこれはアウトでしょうか?

808 名前:(^ー^*)ノ〜さん :07/01/21 22:32 ID:5YV2a35U0
聞く前にオンラインスキャンなど試してきてください
それだけでは判断できませんし、「大丈夫」とは言えません

809 名前:807 :07/01/21 22:38 ID:SRRJeZyT0
言葉足らず失礼しました。
BITとノートンにADAwareとカスペルでチェックしましたが検出されません。
BSwikiにある感染の証拠となるようなexe等も発見できません。

810 名前:(^ー^*)ノ〜さん :07/01/21 22:47 ID:4QG67QPe0
ここで第三者が大丈夫って太鼓判押しても何の意味もないからなぁ・・・
安心したきゃOS再インストールしかないよ

811 名前:(^ー^*)ノ〜さん :07/01/21 22:57 ID:NgqjQpi20
>807
そのページ自体は外部リンク確認ページだから
30秒前に止めたならおそらく大丈夫

812 名前:(^ー^*)ノ〜さん :07/01/21 22:57 ID:gH7EWoDZ0
100%の安全なんて保証できないし
「大丈夫と言ってたのに!」なんてキレだす奴も世の中にはいるから「大丈夫」という回答はまずないと思っていい。
返ってくるとしても「おそらく大丈夫」とか「多分大丈夫だと思う」のような曖昧なものだけ。

813 名前:(^ー^*)ノ〜さん :07/01/21 23:00 ID:m5BWzYDuO
確かに、大丈夫か?
って質問は困るな
エスパーじゃないんだからわかるわけがないしそもそもこの手のもんに「絶対」安全なんて存在しないし。

PCをハンマーでボコボコにしたら安心。

814 名前:(^ー^*)ノ〜さん :07/01/21 23:00 ID:WRAYZ56q0
飛ばないように確認するページをアサスレテンプレも導入してくれたので、たぶん平気じゃないかな?
昨日確認ページ導入しばっかりだから、もし一昨日だったら確実にあぼんしてたね。お気をつけて。
どうしても不安が免れないようだったらOS再インストしかないね。

815 名前:(^ー^*)ノ〜さん :07/01/21 23:02 ID:H35cyhDV0
このスレを「でしょうか」で検索すれば同じ質問がゴロゴロみつかるが、
チェッカは「検出可能な」ものしか検出しないからな。
検出しなかったけど大丈夫でしょうかと聞かれても
「大丈夫と保障することはできません」としか答えられない。

816 名前:807 :07/01/21 23:04 ID:SRRJeZyT0
少し気持ちが楽になりました。
回答して下さり有難う御座いました。

817 名前:(^ー^*)ノ〜さん :07/01/21 23:15 ID:WRAYZ56q0
まだ外部リンク確認ページなどの対策してないWikiも多いので、マジで気をつけれ。
あ、踏んじゃったじゃもう遅いぞ。その後ゲームやアトラクションセンターにログインしようとしたら全てがあぼんだ。
究極的な事言うと、リンク先を徹底的に確認しながらの爆弾処理班のような覚悟でないと今はWikiは見ないほうがいい。
あとRO関連のBBSやブログのコメントに張られてるサイトにもね。

818 名前:(^ー^*)ノ〜さん :07/01/21 23:15 ID:1LNMbWk+0
30秒後の自動移動っていらなくねー?
せっかく止めてても、確認してる間に勝手に飛ばれたら終わっちゃうよ

819 名前:(^ー^*)ノ〜さん :07/01/21 23:18 ID:WRAYZ56q0
確かにいらないね。
万が一 キーボードとマウスすっぽ抜けたー or 効かなくなったー とかあったら
まさに逃げ場の無い時限爆弾状態に・・・電プチや強制終了って手もあるけど焦ると判断力が怪しい。

820 名前:(^ー^*)ノ〜さん :07/01/22 00:13 ID:q21wzJKvO
>>816
というかアサテンプレのTOPページに、嫌でも目につくくらいでかでかと警告文が載ってるのに「ハックサイトと気付かず」なんてお前は字が読めんのかって言いたいんたが…
「この先地雷エリア」
って書いてあるところに突っ込むようなもんだろ。

821 名前:(^ー^*)ノ〜さん :07/01/22 00:30 ID:8jIWN1z30
その地雷エリアに突っ込んで義足になって都心のエレベータで殺人犯と間違われるんだな

822 名前:(^ー^*)ノ〜さん :07/01/22 00:36 ID:Qv5NVBUp0
wikiにそんな危険性がある事は十分分ってるが実際に踏むまで考えたりはしないさ

823 名前:(^ー^*)ノ〜さん :07/01/22 10:16 ID:PRE6rUHd0
1つのセキュリティソフトに頼るのは危険ってのは判るんだが、実際にアンチウィルスソフトを
複数導入してる人って居る?
費用面の問題や動作面の問題もあるし、で実際には難しいと思うんだけど。

現在カスペのNIS使ってるが、ここに+αする方法ってあるんだろうか?

824 名前:(^ー^*)ノ〜さん :07/01/22 10:33 ID:c8eaD8yU0
自身で書いてるように複数のアンチウイルスソフトは返って危険
まともに動作できる保証がないしされてない
常駐しないものでBitDefenderが同時に入れられるようだけどね
常駐自体は1つに絞ってあとはオンラインスキャンなどが無難かと

825 名前:823 :07/01/22 10:43 ID:PRE6rUHd0
NISじゃない、KISだった……

>824
BitDefenderのフリー版って体験版って扱いで1年しか使えないと聞いたけど
avastみたいに再登録で使えるのかね?

今がカスペなので、オンラインスキャンで使えそうなのがバスターとかなんだが
垢ハクウィルスの2重チェック用に使うには心許無い……

826 名前:(^ー^*)ノ〜さん :07/01/22 10:48 ID:c8eaD8yU0
手動更新となんだかexeを使えば1年過ぎても更新可能の様子
詳しくは専用スレでも

オンラインスキャンはあとノートン先生がいるかな

827 名前:(^ー^*)ノ〜さん :07/01/22 10:54 ID:iOdxp7Mw0
現在、ノートンISを使っているのですが、
上記で紹介されている「ttp://www■xxxxxx■com」みたいなアドレスを開かないように
登録したURLを開くのを阻害したり警告文を出したりする機能ってないのでしょうか?

828 名前:(^ー^*)ノ〜さん :07/01/22 11:08 ID:pdv+xscS0
>>827
バージョンが幾つか判らないけど
NIS2007+PG2は競合しないのでこの組み合わせで使ってる
NIS2007は詐欺サイトとか自動的に感知するけどROやリネなどの
ウイルスサイトまで正直対応してるとは言いがたいから
接続制限はPG2とhostsファイルで制限してる

829 名前:(^ー^*)ノ〜さん :07/01/22 11:58 ID:iOdxp7Mw0
>828
ありがとうございます。
PG2というのはPeerGuardian2のことですね?
ぐぐってみたら日本語版があったので早速ダウンロードしてみます。

830 名前:(^ー^*)ノ〜さん :07/01/22 12:01 ID:iOdxp7Mw0
ノートンISは2005を使っています。

831 名前:(^ー^*)ノ〜さん :07/01/22 12:15 ID:pdv+xscS0
>>829
PG2=PeerGuardian2


未だROやリネの垢ハックサイトについて検索されてないけど
マカフィーがIEやFirefox用のプラグインを出した
それに関連して危険アドレスとかの収集を積極的に行ってる
今このスレにでたサイトは調べられてないらしいので依頼は出してる

McAfee SiteAdvisor でぐぐってみて欲しい

832 名前:(^ー^*)ノ〜さん :07/01/22 12:24 ID:/+8vSEO/0
McAfee SiteAdvisorって皆とっくに使ってると思ってた

GoogleやYahoo!の検索結果でしかチェックできないけど
Wikiなんかで見つけた怪しいURLのウェブサイトをぐぐれば一応結果は分かる

833 名前:(^ー^*)ノ〜さん :07/01/22 13:34 ID:nnrD5LJl0
>>821
アニマート乙

834 名前:(^ー^*)ノ〜さん :07/01/22 16:08 ID:Hbc+ExGa0
BSWikiの中の人が何か書いてるね。
http://smith.xrea.jp/
ちと同情。

さらっとしか見てないけど、ここしばらくのウイルスは全アンチウイルスソフトから
逃れるようにするんじゃなくって特に持てはやされているNOD32やカスペ等に的を
絞って小細工を行っている印象が。油断は禁物デ〜ス

835 名前:(^ー^*)ノ〜さん :07/01/22 16:38 ID:frqC2T+20
んだね。
Wikiは一時凍結して、需要が高いページのみ静的サイトにコピーして、
そちらを閲覧するようにというのが個人的には逃げの一つの手段だと思う…
ただ、以前未実装Wikiをバックアップ(ただのコピペだけど)した経験があるけど、
それもけっこうな手間がかかるんだよな。

誰でも編集できるっていうのがWikiの長所でもあり短所でもあり、
そこを封じ込めるのはなかなか難しいと思う。

836 名前:(^ー^*)ノ〜さん :07/01/22 17:41 ID:d9Elbna80
BitDefender賞味期限なんてないだろ
必要な部分だけ抜き取ってスキャン用に使うだけだ

837 名前:(^ー^*)ノ〜さん :07/01/22 19:33 ID:cxMfI77M0
犯罪が進んでる他の分野から推測するに、
blogやBBSのコピペ、Wiki書き換えと来たら、
次は公式そっくりなサイトや情報サイトそっくりでフィッシングかな?

838 名前:(^ー^*)ノ〜さん :07/01/22 19:49 ID:pdv+xscS0
>>837
日本語よめてるっぽいわこのスレ読んでる気がするので
(カスペを狙うとかな)もしかしたら先ず公式サイト及び
そこそこ人気のあるサイトでフィッシングを行いやすいサイトを作るだろう

下手に公式をそっくり作るよりファンサイトのほうがソースパクリが行いやすい
あとリネージュで実際使われた方法が情報サイトの酷似サイト

特に独自サブドメイン系が狙われやすいかも知れないね
幾つか偽物が作れそうなサイトが思いつくだけに・・・

839 名前:(^ー^*)ノ〜さん :07/01/22 20:33 ID:P9dbhRWR0
なんとかニュースライトがその布石ってか?

840 名前:(^ー^*)ノ〜さん :07/01/23 01:40 ID:l7JjH4Tk0
BS Wikiさんは先駆者的な存在だから、どうしても頼られる面があるけど
結構負担になるしねぇ……
まとめサイトの人にせよ、他の有志の人にせよ、自分の時間を割いて
報告やら纏め上げやらしてくれてるわけだし。

善意でやってくれてる事だし、感謝の気持ちだけは忘れないようにしないとね……


ところでそろそろ次スレのテンプレを練り直した方がいいと思うんだが。
>335以降や>635以降あたりを見る限り、>1を現状にあった形にするのと、質問者や
報告者のテンプレ(ウィルス対策ソフトの導入有無やその他対策等)の整理ぐらいかね?

841 名前:(^ー^*)ノ〜さん :07/01/23 02:13 ID:I7sj6o+L0
テンプレサイトしかないな…

842 名前:その1 :07/01/23 02:26 ID:6PGlfsft0
このスレは我々全ROプレイヤーへの注意喚起とともに、
内容が内容な為、公式発表が期待できそうになく
ここに寄せられる報告を元に自らの手で実態を掴むことが目的です。

このスレを覗いた人たちが、ネット上のセキュリティについて
少しでも関心を持ってくれることを期待します。

※「被害額」に関しては二次被害を防ぐ為にも報告しないでください。
※ネタの報告などはしないようにお願いします。


----------質問者用テンプレ----------
・相談内容(例:怪しいURLを見つけた、垢ハックURLを踏んだかもしれない)
・URLを貼る際には「.」を「■」に変えてください
 (例:http://www.ragnarokonline.jp/http://www■ragnarokonline■jp/)
・PCにインストールされているウィルス対策ソフトは?またそれは最新版ですか?
・導入してない場合、オンラインスキャンはしてみましたか?
 (カスペルスキーオンラインスキャン:ttp://www.kaspersky.co.jp/scanforvirus/
・WindowsUpdateは最新ですか?


----------報告用テンプレ----------
・情報サイトやblog、掲示板またはWikiなどで不審なURLをクリックしませんでしたか?
・誰かにID・PASSを教えましたか?
・誰かがあなたのPCを使う可能性はありますか?
・ツールの使用は?(ツール名・実行ファイル名)
・ネカフェの利用は?
・MyTicketsで最後にちゃんとログアウトしましたか?


※注意※
このスレでの報告で絶対にID、Pass、鯖、キャラ名、「被害額」を公開しないでください。

自衛手段(必ずしも万全という訳ではありません)
・セキュリティソフトを導入し、常に最新版に更新する。
・不審なURLはクリックしない。リンク先のURLを確認する。
・パスワードは他人に教えず、PC内や分かりやすい場所にメモしない。
・パスワードは定期的に変更する。

843 名前:その2 :07/01/23 02:27 ID:6PGlfsft0
【過去スレ】
アカウントハック被害報告スレ3
 http://gemma.mmobbs.com/test/read.cgi/ragnarok/1160787177
アカウントハック被害報告スレ2
 http://gemma.mmobbs.com/test/read.cgi/ragnarok/1147966576/
アカハック被害報告スレ
 http://gemma.mmobbs.com/ragnarok/kako/107/1075385114.html.gz


【注意】
・アカハックアドレスはMMOBBSでは禁止単語になっています。
 加えて、誤クリックによる感染を防ぐ為に、そのようなアドレスは
 .(ドット)を別の文字に置き換えて報告して下さい (■が多用されてます)

【参考アドレス】
・ROアカウントハック報告スレのまとめ?サイト
 http://sky.geocities.jp/vs_ro_hack/
・安全の為に (BSWikiより)
 http://smith.xrea.jp/?Security
・リネージュ資料室 (応用可能な情報が多数)
 http://lineage.nyx.bne.jp/

【このスレでよく出てくるアプリケーション】
・PeerGuardian2(設定などはリネージュ資料室内・セキュリティ対策参照)
 ttp://lineage.nyx.bne.jp/misc/security/?id=basic-ipfilter

【PCにウィルス対策ソフトを導入してない方へ】
・NOD32 アンチウイルス
 ttp://www.canon-sol.jp/product/nd/trial.html
・Kaspersky Anti-Virus
 ttp://www.kaspersky.co.jp/trial/
※体験版のDLサイトです、未導入の方はまず試してみるといいかもしれません。
 1つのPCに複数のウィルス対策ソフトをインストールするのは危険です、1つに絞ってください。

844 名前:その3・定期age用 :07/01/23 02:27 ID:6PGlfsft0
■■■■■■■■■■■■■■■■■■■■
各職Wiki・blog・BBSへのアカウントハックアドレスの
貼り付けが急速に増加しています。

各自、自衛策を講じてください。
特にWindowsUpdateは必ず行っておきましょう。

また、感染が疑われるPCからの
1:ゲームへのログイン
2:ガンホーアトラクションセンターへのログインすることは避けましょう
■■■■■■■■■■■■■■■■■■■■

845 名前:(^ー^*)ノ〜さん :07/01/23 02:28 ID:6PGlfsft0
体験版DLサイトはいらないかもかな
あとまだ余計な部分が多いかもしれないので削れるところは削ってわかりやすくかな
ツッコミあれば是非に

846 名前:(^ー^*)ノ〜さん :07/01/23 05:46 ID:gJsh8Mic0
報告/質問用テンプレ案。現状に則して無いのと視覚的に分かりやすめな>>336を採用&修正
----------質問者用テンプレ----------
● 怪しいアドレス?を踏んだ時用
・ROのアカウントハックに関連していると思われる物のみが対象です。瑣末な物は他所で
・質問前後にテンプレ等を見て知識を深めると更にGoodです
・回答者はエスパーでは有りません。情報は出来るだけ多く。提供した情報の量と質
 に応じて助言の量と質もは向上します
・結局は本人にしかどうにも出来ない事を忘れてはいけません

【  アドレス   】 (ドット(.)を■等で置き換える事。h抜き等は駄目)
【気付いた日時】 (感染?に気付いた日時)
【     OS    】 (SP等まで書く)
【使用ブラウザ 】 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【 アンチウイルスソフト 】 (NortonInternetSecurity2007 等)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【スレログやテンプレを読んだか】 (Yes/No/今から読みます)
【説明】
(投稿をする判断に至った経緯や症状を詳しく書く)

----------報告用テンプレ----------
● 実際にアカウントハックを受けた時の報告用
・怪しいアドレスを書く場合、ドット(.)を■等で置き換える事。h抜き等は駄目

【      気付いた日時          】 (被害に気付いた日時)
【不審なアドレスのクリックの有無 】 (blg/bbs/Wiki等で踏んだ記憶の有無とそのアドレス)
【他人にID/Passを教えた事の有無】 (Yes/No)
【他人が貴方のPCを使う可能性の有無】 (Yes/No)
【    ツールの使用の有無      】 (Yes/No、Yesの場合はそのToolの説明)
【  ネットカフェの利用の有無    】 (Yes/No)
【     OS    】 (SP等まで書く)
【使用ブラウザ 】 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【 アンチウイルスソフト 】 (NortonInternetSecurity2007 等)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【スレログやテンプレを読んだか】 (Yes/No/今から読みます)
【説明】
(被害状況に関して詳しく書く)

847 名前: ◆sp4Sh9QXGI :07/01/23 11:05 ID:A6ruF0bg0
おはようございます。
先ほどまとめサイトを更新しました。
今回の更新では、トップページにコメントアウトしたまま長らく放置していた
ウイルスに関する技術的資料をまとめました。
Maranの挙動についてはマカフィーのものを使用しています。

//既出のような気もしますが、
//次スレのテンプレのみならずスレタイも変更したほうがよさそうですね。

848 名前:(^ー^*)ノ〜さん :07/01/23 12:42 ID:AlvWhTAq0
ぜんぜん違うタイトルだったり【】なんか付けられちゃったりすると
ソートできないとかあるけど…アカウントハック被害対策スレとかか?

849 名前:(^ー^*)ノ〜さん :07/01/23 13:33 ID:4zflh6nr0
関連するニュースなのでここにも貼り

8進数や16進数で検出回避する新手のスパム
tp://headlines.yahoo.co.jp/hl?a=20070123-00000033-zdn_ep-sci

850 名前:(^ー^*)ノ〜さん :07/01/23 14:16 ID:M3wy2hp40
最近警戒しすぎて、
普通のwikipediaを見ている→リンクがある→「やばい、垢ハックかも」→いやこれ冷蔵庫のwikiページだし
みたいなことが多い

851 名前:(^ー^*)ノ〜さん :07/01/23 14:17 ID:bTJfzduI0
>>846
これを利用してた香具師は無視しろよ。
【    ツールの使用の有無      】 (Yes/No、Yesの場合はそのToolの説明)

852 名前:(^ー^*)ノ〜さん :07/01/23 14:20 ID:4utQ+o4i0
>>851
使ってても普通に「No」にしてくるだけの悪寒

853 名前:(^ー^*)ノ〜さん :07/01/23 15:05 ID:FoYDw/eC0
むしろ禁止されてなかった時代の名残でYにする人が・・・いないか

854 名前:(^ー^*)ノ〜さん :07/01/23 15:49 ID:HL1ejCfN0
昨年末にハッキングされてサポートセンターと数度メールのやりとり後、警察に相談してくださいとの事。
直接警察に行きづらくサーバ警察にメールを出したところ一週間ほどで返事があり、管轄の警察にまず電話で担当者と話してから、警察に行ってくださいとあったので、地元の警察に電話して不正アクセスについて相談が、と伝えると生活安全課に回されました。
電話口の担当者は女性で真面目に対応してくれました。
事情を説明したところ、運営会社から電話連絡欲しいと言われ、サポートセンターにメールしたところ、その日のうちに警察から電話連絡で、この場合の被害者はガンホー社になるので、そちらが被害届けを出す気がないと言われたと、そんな話でした。
警察の担当者もこんな相談が始めてだったらしくサイバー警察の方に問い合わせをしてくれて、本日電話でガンホーの方からログの提出をして貰ってくださいと言われました。
今はサポートセンターにメールして返事待ちの段階です

855 名前:(^ー^*)ノ〜さん :07/01/23 16:02 ID:xBMGLUoD0
すごいタライ回しな・・・

856 名前:(^ー^*)ノ〜さん :07/01/23 17:14 ID:Gduwc2UQ0
質問です。
以前垢ハックURLを踏んでしまいウイルススキャン等の後にOS再インスコ。
感染したPCの安全を確保してから再び使い始めて現在に至るんですが
昨日ccしようとしたところカスペルスキーが反応してData Executionが表示されました。
こういう系は無知なんでやふーで検索かけてみましたがよくわからず・・・。
念のためカスペルでスキャンしてみましたが何もひっかかりませんでした。
以前垢ハックURLを踏んだこともあり、不安が一層高まってます。
無知ゆえの質問で申し訳ありません、助言をよろしくおねがいします。・゚・(ノД`)・゚・。

857 名前:(^ー^*)ノ〜さん :07/01/23 18:28 ID:kfRfAQSI0
>>856
ttp://www.google.co.jp/search?hl=ja&q=Data+Execution%E3%80%80%E3%81%A8%E3%81%AF&lr=lang_ja
ttp://e-words.jp/w/DEP.html

858 名前:(^ー^*)ノ〜さん :07/01/23 21:53 ID:LYr9pJ7a0
トレンドマイクロが「ルートキットバスター」無償公開
ttp://internet.watch.impress.co.jp/cda/news/2007/01/23/14541.html

rootkitを検出・削除可能

859 名前:(^ー^*)ノ〜さん :07/01/23 22:22 ID:66lPCppR0
ルートキットを検出・削除出来ると言うことは、それ自身がルートキットということだな

どちらがより低水準処理をしているかが問題だな

860 名前:(^ー^*)ノ〜さん :07/01/23 22:42 ID:6PGlfsft0
≪1月23日(火)更新≫
本日1月23日(火)に不正アクセス防止対策の強化を主とした、不正対策プログラムの
更新を実施させていただきましたのでご報告いたします。
詳細内容は8月22日(火)の掲載内容をご確認ください。


あまり期待しないでおいたほうが無難でしょうけど一応公式更新

861 名前:(^ー^*)ノ〜さん :07/01/23 23:39 ID:mYVEe99u0
無難どころか期待する価値もない

862 名前:(^ー^*)ノ〜さん :07/01/24 01:20 ID:DcOuZYhR0
すでに回避されてる無意味な対策、それを誇らしげに掲げる癌

863 名前:(^ー^*)ノ〜さん :07/01/24 01:29 ID:jEyA7abd0
公式ページ見たらTrojanを検知してるっぽいプログラムのウィンドウが載ってた……
あれって前からあったっけ?

864 名前:(^ー^*)ノ〜さん :07/01/24 01:37 ID:845QuCR00
nProにはあまり期待しないほうがいいってのは同意だけど、
今現在において「回避されている」と誇らしげに断言する>>862が凄いわ

検知画像は、nProに自動検知機能がついたときからあったよ

865 名前:(^ー^*)ノ〜さん :07/01/24 02:01 ID:8S082DWx0
>>858-859
予想通りだがROクライアントとnProが検出されてワロタ

866 名前:(^ー^*)ノ〜さん :07/01/24 05:28 ID:DLZ2HNe00
RO系ブログにコメントされてたとこ

http://www■lineageink■com/0447/


既知の
http://www■RagnarokOnlina■com/rolink/
を含むコメントとほぼ同時に書き込まれてたぜ

867 名前:(^ー^*)ノ〜さん :07/01/24 07:26 ID:Q0A3SsiR0
同一G内の人が垢ハックに会いました。
俺もそのリンク踏んだかも知れないですし、
職WIKIで何度か404出たのですでに踏んでる可能性あります。


こういう場合は逆に放置するのもありでしょうか?
実はメインのアカウントが1/18前後で切れてます。
そこの装備だけ取られなければ我慢は出来ます。
そこには本当に思い出の品があるんです。

しばらく課金も接続も完全放置したら大丈夫ですか?
認めたくはないですが既に取られてるかも知れないですが
接続しなければ可能性としてはあるかと思っています。
ちなみにサブ垢とはまったく違うパスとIDです。

あれハッキングされたら・・・・・・、言葉で言えないです。

868 名前:(^ー^*)ノ〜さん :07/01/24 07:39 ID:ElJGCwvN0
>>867
気持ちはわかるが、何度も言われてるように超能力者じゃないんだから
「大丈夫ですか」と聞かれても何も答えられないぞ。
どこを踏んだのかもわからんし。
課金が切れていても、癌IDも抜かれて1Dayで課金されて装備を持って
いかれたという被害もあるので、課金切れだから安心とは言い切れない。
まず>>842-844を読み、ウィルス対策ソフトを入れてスキャンしてみろ。
それでも不安ならOSごと再インストールしかない。
大事なものを守りたいなら、相応の行動をするしかないぞ。

869 名前:(^ー^*)ノ〜さん :07/01/24 07:59 ID:yHfoJHOO0
>>867
ああ、俺も昨日寝ぼけて踏んじゃって、今調査中だけどね。
OS再インスコに勝る対策は無いと言っていいから、真に不安なら
スッキリインスコしなおすことをおすすめするよ。
わけのわからないファイルとも綺麗におさらばできるし、不安定な
OSも元通り。 しいて言えば環境復旧の手間がかかる。

とりあえず、カスペルやら、事前導入のバスターやらでかたっぱしから
フルスキャンかけたり、レジストリ覗いたり、ぐぐりまくってるけど
今のところはセーフっぽいが・・・これでやられたら自業自得。
そんときは泣きながら引退するさ。
(手間がかかってるのに再インスコしないのは退避データーが膨大なのです)

さぁ?どっちがいい?好きな方を選んでくれ

870 名前:(^ー^*)ノ〜さん :07/01/24 08:58 ID:8S082DWx0
OS再インストールの手間を少しでも減らしたいのなら、HDDイメージ作成ソフトがオヌヌメ。
SPと一通りのドライバ、最低限のアプリを導入した段階のスナップショットを作成しておくだけで、クリーンインストールと
さほど変わらない効果が、それよりも少ない時間で得られる。

ついでに、ATAのHDDなんて消耗品みたいなものだから、待避をさぼっていると結局あぼーんする。
外付けでもいいからHDDを追加して、必要なデータは逃がしておいたほうが気が楽。

871 名前:(^ー^*)ノ〜さん :07/01/24 09:13 ID:BnVx+olzO
なんかこう俺も知人がハックにあってから普通にOS書き直したりスキャンこまめにしたり
wikiとか見るときやたら気をつかったりして普通に手間かけてるが
ふと立ち止まって考えるとその手間かけなきゃいけない状態が異常なんだよな

まったく中華は世界のゴミだぜ…

872 名前:(^ー^*)ノ〜さん :07/01/24 09:42 ID:XogGBQIw0
異常ってほど大げさな話じゃないような…。

873 名前:(^ー^*)ノ〜さん :07/01/24 09:44 ID:iCAtmGZ20
一度空き巣に入られたから戸締まりしっかりって事だと思うけど

874 名前:(^ー^*)ノ〜さん :07/01/24 09:47 ID:WemFmfPs0
>868
チケ切れ状態だったのにハクられたという話は過去1件しかなかったと思うが、あれも
書き捨てだったのでネタか本当か、誰にも判らなかった気が。

ただネタだとしても十分ありえる話なので、RO休眠中でも気をつけた方がいいわけだが。

>867
放置した場合、罠踏んで既にPASSが抜かれてる場合は相手にハクる時間を与えるだけ。
1/18頃にチケ切れてるとしても、それ以前に絶対踏んでないという確証が無いなら同じ事。

罠を踏んだかどうか・抜かれたかどうかが判らない場合は、踏んだ・抜かれたという前提で
行動するしかない。

まず急いで行わないといけないのは安全な環境(別PC等)からPASSを変更する事。
それからPC内のウィルスのチェック。
不安が残るならHDDフォーマットの上OS再インストール、としかアドバイス出来ない。

875 名前:(^ー^*)ノ〜さん :07/01/24 10:11 ID:WemFmfPs0
あと1PCしか無くて安全な環境が無いからPASS変更がすぐに出来ない、という人は1CD Linuxとかを
使うのも手。
ダイアルアップで繋いでる場合はちょっと面倒だが、ルータ置いてる環境なら設定なしでネットに
繋がる事も多い。

ブラウザの使い方なんてWinだろうがLinuxだろうが基本同じだから、PASS変更するぐらいなら
Linux知らないという人でも問題なく操作できるし。

876 名前:(^ー^*)ノ〜さん :07/01/24 16:31 ID:a5cG2aBg0
OS違うブラウザでガンホーゲームズが行けるか怪しくね?

877 名前:(^ー^*)ノ〜さん :07/01/24 16:42 ID:ifq8Q94N0
>>876
昔実験したけど
Safari(MacOS)では_でした

878 名前:(^ー^*)ノ〜さん :07/01/24 18:12 ID:58h0jhlN0
>>874
最近書かれたのは一件だけど、ずっと昔にあったときは何人か居たような気が

アイテム放置で引退済みの垢だとハックされても誰も気が付かないけどな

879 名前:(^ー^*)ノ〜さん :07/01/24 22:19 ID:q0BjW8zs0
>876-877
複数のOSをチェックする関係でVMWareにUbuntu(Linuxの1つ)を入れてるが
標準で入ってくるFirefoxで正常にアトラクションセンター行けるよ。
当然PASSの変更も出来た。

緊急時に 1CD Linux を使うのは悪くないと思う。

ttp://www.mmobbs.com/uploader/files/1985.jpg

880 名前:にゅぼーん :にゅぼーん
にゅぼーん

881 名前:(^ー^*)ノ〜さん :07/01/24 23:53 ID:iCAtmGZ20
ついに転送URLですか…、これは更なる被害が予想されますね

882 名前: ◆sp4Sh9QXGI :07/01/24 23:57 ID:ZoIdGNFM0
あ…転送URLのドットの部分を■に変えるのを忘れてましたorz
上記URLはくれぐれも踏まないようにお願いします。

883 名前:(^ー^*)ノ〜さん :07/01/25 00:01 ID:9LsBqRAN0
一応削除して貰った方が良いのでは…
記事は再投稿で

884 名前:(^ー^*)ノ〜さん :07/01/25 00:21 ID:ePhg6da90
ちゅうか一瞬「はじめまして〜」以降の文が880自身が書いた文に見えた。
さすがに踏みはしなかったが。

885 名前:(^ー^*)ノ〜さん :07/01/25 00:27 ID:JpKSuLAi0
同じく

最初は、ついに中華がここまで来たかと思った

886 名前:(^ー^*)ノ〜さん :07/01/25 02:02 ID:mnQdw8RU0
>>880
さっそくそのアドがRMCに張られてたよ。
まぁすぐ掃除されるだろうけどね。

887 名前:(^ー^*)ノ〜さん :07/01/25 02:03 ID:Jl8U4G320
垢ハックが活発になったのってアサシンGのGM問題以降だっけ?
それとも戸枝ショック以降?

888 名前:(^ー^*)ノ〜さん :07/01/25 02:31 ID:xVds70rn0
普通に踏みそうになったからさっさと削除以来出して■にかえて再投稿希望します

889 名前:(^ー^*)ノ〜さん :07/01/25 02:45 ID:9LsBqRAN0
削除依頼出てますね、削除されるまでsage進行でいきましょう

890 名前:(^ー^*)ノ〜さん :07/01/25 02:48 ID:22y0/y6J0
普通に踏んできたがすでに転送サービス側で対応されてた。

891 名前:(^ー^*)ノ〜さん :07/01/25 11:02 ID:m58N8JIB0
短縮URL(転送URL)を利用された場合はPG2ぐらいしか対策ないかな。
hostsでサービスを提供してるドメインごとブロックしても問題ない気もするけど、無数に
あるからキリがないし。


後、上で言われてる1CD Linuxは罠サイト踏んでしまった場合の対応策としてはかなりいいね。
1PCの場合、ウィルスの駆除や再インストール等で安全な環境を作り直してからパス変更とかだと
時間が掛かりすぎてその間に被害に遭う可能性もあるし。
安全な環境でパス変更さえしてしまえば、ウィルス駆除や再インストールに時間取られても平気だし。

他にもPC不調の際のデータ吸出しとかのメンテナンス用でも使えるので、複数PC持ってる人でも
1つ持っておいた方がいいかもしれない。

>887
戸枝事件やアサG事件がいつだったか覚えてないが、>643にあるように去年の5月以前はBOTやツールに
仕込まれた罠による被害が多く、それ以降はウィルスによる被害が多い感じ。

892 名前: ◆sp4Sh9QXGI :07/01/25 17:11 ID:z2Wbmv7T0
OK簡潔に。

住人の皆様にはご迷惑をおかけいたしました。

今後は気をつけ…ます……凹○

893 名前:(^ー^*)ノ〜さん :07/01/25 18:17 ID:I6PwI5pz0
ここを読んでカスペルでスキャンかけてみたら、なんかウィルスや感染したオブジェクトがいっぱい
みつかったorz
OS再インストールが無難なのかな?
実は再インストールってほぼやったことないのだが・・・

894 名前:(^ー^*)ノ〜さん :07/01/25 18:28 ID:ePFtIk5o0
>>893
判断材料って言葉知ってるかい?
たったそれだけの情報しかくれないのに、どれだけの情報をあげられると

895 名前:(^ー^*)ノ〜さん :07/01/25 18:32 ID:jVQgwJ7R0
>>893
ちゃんと駆除すれば大丈夫

OS再インストしろ非常に危険

どっちの回答がいい?

896 名前:(^ー^*)ノ〜さん :07/01/25 18:49 ID:VW1COR3I0
>>893
再インスト(再セットアップ・リカバリー)は1回くらいは経験しといた方がいいよ。
いい機会だからネットで調べてやってみるべし。製品PCならマニュアルもあるだろうし。
自分のPCの製品名と再インストールかそれに類する用語で検索かければ他人の経験談の
日記とか出てくる事もあるし参考になる。

@当然全データ消えるから、消えたら困るデータや各種パスワード類、登録情報なんかは
CDRに焼く等のバックアップを忘れずに。

897 名前:(^ー^*)ノ〜さん :07/01/25 19:02 ID:N6r5d1NE0
初心者にもお勧めの1CD Linuxのディストリって何が良いかね?
KNOPPIXしか軽く触ってないんで他のは知らないんだけど、
メジャーどころはLinspire、巫女ぐにょ、Ubuntu辺りか。UIとか
日本語とかハードの認識を考えるとどの辺が良いかねー。

898 名前:893 :07/01/25 19:09 ID:I6PwI5pz0
スキャンし終えてみたらノートンに反応していただけだった・・・
冷静さを欠いたカキコしてすみませんでした。

>>896
親切にありがとう。
これからのためにバックアップとっておきます。

899 名前:(^ー^*)ノ〜さん :07/01/25 19:55 ID:q0RdBgrf0
>>897
UI的にはUbuntuが一番じゃね?
うちは巫女ぐにょにしてあっけど

900 名前:(^ー^*)ノ〜さん :07/01/25 21:20 ID:o4EaxDK/0
>>342さんと同じ症状が出て、後のレスを見てnProと言う事で安心したのですが
警告が出た際に焦っていまして、どのような対応をしたのか忘れてしまいました。
>>346さんのレスを見て、nProをブロックしてたらどうしようかと。

カスペルスキーのプロアクティブディフェンス画面では
統計の欄のブロック数が0なのでnProをブロックしていませんよね?
大丈夫かなと思いつつ不安だったので質問させて頂きました。

901 名前:(^ー^*)ノ〜さん :07/01/25 23:37 ID:jA42ztXs0
>>897
日本語対応でKDEだったら、
ブラウザ使うくらいだとどれでもほとんど変わらん気がする。

902 名前:(^ー^*)ノ〜さん :07/01/26 04:17 ID:c6r0RbkH0
バックアップに混入するウィルスもあると思うんだけど

903 名前:(^ー^*)ノ〜さん :07/01/26 09:44 ID:Ox3roXSC0
バックアップに混入するウィルスがあるんじゃなくて、バックアップを取った時点で
既に感染してただけかと。

そこから先に話が広がるとROの垢ハク対策じゃなくてPCのセキュリティ対策の話になるが
結局の所ウィルス対策やバックアップと言ったPC管理は、罠踏んでから慌てて行うのではなく
日々心がけるように、って事かと。

904 名前:(^ー^*)ノ〜さん :07/01/26 15:53 ID:QAS3NKID0
こいつらもlovetw。
cityhokkai■com
goodclup■com
games-nifty■com
netgamelivedoor■com
後ろ2つはhomepage3-niftyとかlivedoor1とかの続きか。

905 名前:(^ー^*)ノ〜さん :07/01/26 17:10 ID:oJn0VPUD0
思ったんだが何故vbsとjsを別々に許可不許可設定できないんだろ…

906 名前:(^ー^*)ノ〜さん :07/01/26 17:33 ID:QAS3NKID0
WSH(WindowsScriptingHost)=VBScript+JScriptだからじゃね?

907 名前:(^ー^*)ノ〜さん :07/01/26 17:43 ID:lPKMinYO0
vbsを使用しているサイト=winユーザー以外を考慮していない、あるいは対象外だから。
IE6以前は、スクリプト関係の設定項目が判りにくく、結果として数多くのタブブラウザが世に出る結果となった。
IE7以降or非IEブラウザを使用し、WSHも必要なとき以外無効化しておけばよい。

908 名前:(^ー^*)ノ〜さん :07/01/26 20:28 ID:NkalLxbv0
>>907
内容が的外れな気がするが・・・

909 名前:(^ー^*)ノ〜さん :07/01/26 21:42 ID:W6MGncFf0
後で調べようと思って、JPGAMER■NET系のURLを
クリップボードにコピー

しばらく遊んでいたら、急に
「JPGAMER■NET云々のRSSが発見されましたので
RSSチェッカー登録しますか?」というようなダイアログが


リラックマティッカーというRSS関係のソフトを使っていました…
カスペ(常駐)には反応しなかったので大丈夫とは思うのですが
別PCでROのPW変えました

こういう自動で読み込むソフトもあるので、油断禁物と思います
という失敗談でした

910 名前:(^ー^*)ノ〜さん :07/01/27 21:57 ID:ZwQMVEk80
ある過疎wikiで、
サイドバーのMenu欄のリンクを書き換えられた。

http://www■lineage321■com/link/

他のlinkページなんかは凍結してあるけど、
Menuまで凍結しておらず、慌てて対応した。
ここにもリンクがたくさんあったのになんで気づかなかったのか…

911 名前:(^ー^*)ノ〜さん :07/01/28 07:34 ID:rRhTGTAb0
OSの再インストールとは、office CDで再セットアップすることを指すのでしょうか?

912 名前:(^ー^*)ノ〜さん :07/01/28 08:23 ID:/zEkpZhNO
それはギャグで(ry

Ro以前にパソコンの基本的な知識をつけたほうがいいよ

913 名前:(^ー^*)ノ〜さん :07/01/28 11:30 ID:Jn99rdDs0
>>911
WindowsCDで再セットアップすることを指す

914 名前:(^ー^*)ノ〜さん :07/01/28 13:32 ID:1/s1CphT0
pukiwiki だったら、変更があったときにメールで変更箇所を教えてくれるという機能があるので、
それを使えば spammer 等に書き換えられた際、すぐわかる。
変更が多いwikiサイトなら、メールの山になりそうだが防衛手段の一つにもなるので、やって損は無いぞ。

915 名前:(^ー^*)ノ〜さん :07/01/28 17:11 ID:gBtxCTEJ0
すみません。このサイトのチェックってお願いできますか?
http://www■infocart■jp/af■php?af=kirara77&url=kazuboy■jp/sns1■html&item=6502

RMCの怪しそうな書き込に貼ってあったのですが、はっきりしないと通報するにもできない小心者です・・・

書き込みがあったのはsrutのマーケットです

916 名前:(^ー^*)ノ〜さん :07/01/28 17:46 ID:yIs1PJrJ0
>>915
アフィリエイト or 業者広告。
アカハックの有無は不明だけどどちらにしろ通報対象か。

917 名前:(^ー^*)ノ〜さん :07/01/28 17:54 ID:eCx+BWJO0
ライブドアでブログを書いてるんですが
コメント書くときに出るURLの項目を外すことってできないんでしょうか?
本文中のttpを禁止にしてもそこに書かれてしまっては意味がないんでねぇ・・
無理ならコメントを下書き状態、てやつにするしか対策はむりかな

918 名前:915 :07/01/28 18:08 ID:gBtxCTEJ0
>916
とりあえず、業者広告ということで報告しました。

お手数お掛けいただきありがとうございました。

919 名前:(^ー^*)ノ〜さん :07/01/28 18:13 ID:Ut42oUpi0
>>915
俺もいま間違って踏んでしまいアカウントのパスやらもろもろを一応変更してきた
もう二度とRMCに書き込まれたURLは踏まないと誓った
とりあえずウイルススキャンしてスパイウェアチェックして
その他もろもろをしておこう・・・

>>916
チェックしてくれてありがとう
助かりました

920 名前:(^ー^*)ノ〜さん :07/01/28 18:16 ID:xffm4d3k0
>>917
それは、ここで聞かれてもなー

921 名前:(^ー^*)ノ〜さん :07/01/28 18:52 ID:i0rrCOYT0
>>917
LivedoorKnowledgeに聞くと良いと思うが

ブログの設定>デザインの設定>カスタマイズ>個別記事から
<tr>
<th nowrap class="url">URL: </th>
<td><input id="url" name="url" /></td>
</tr>

この記述を消せば良いと思う
ただ、デザインによって少し違うかも

922 名前:(^ー^*)ノ〜さん :07/01/28 19:20 ID:eCx+BWJO0
>>921
できました!ありがとうごじいます1
ついでにメールも使わないだろうと思い削除c⌒っ*・ω・)っ

923 名前:(^ー^*)ノ〜さん :07/01/28 19:36 ID:Ut42oUpi0
>>915
間違っちゃって踏んだものだけど
ウイルスバスターの最新バージョンでチェックしたらウイルスらしきものはひっかからなかった
あとスパイウェア検索でもでなかった

カスペルキーとかつかったことないからわからないけど
ウイルスバスターでは検出されないのはあるんだろうか

924 名前:(^ー^*)ノ〜さん :07/01/28 19:52 ID:xffm4d3k0
絶対に検出される補償があるウイルス対策ソフトなど存在しない

ちなみに
>ウイルスバスターでは検出されないのはあるんだろうか
は、いっぱいある

925 名前:(^ー^*)ノ〜さん :07/01/28 20:31 ID:Ut42oUpi0
なるほどしばらく踏んだPCではROしないことにしよう・・・

926 名前:(^ー^*)ノ〜さん :07/01/28 22:22 ID:QMDAIScW0
>>925
しばらくほっといたって何もしなきゃウイルスは消えんぞ。
心配なら素直にリカバリしてしまえ。まじで。

927 名前:(^ー^*)ノ〜さん :07/01/28 22:41 ID:aSy/iCse0
ていうか915はアフィって話じゃ…

928 名前:(^ー^*)ノ〜さん :07/01/28 22:42 ID:n/L1SDLB0
参考になった書き込みを転載。勉強になる。

824 :(○口○*)さん :07/01/28 18:02 ID:BmiL9i190
アカハックサイトってどういう仕組みでハックするんですか?
踏むともう既にアウトなんですか?
ROと同時に踏むとヤバいのかとか、ROの情報以外も盗まれる可能性あるのかとか、
よくわからんのですけど

827 :(○口○*)さん :07/01/28 18:11 ID:ifFIo9Y10>>824
・exeファイルなどのリンクそのものを貼り、クリックさせる事でダウンロードさせる
・exeファイルを自動的にダウンロードするようにしてあるページへのリンクを貼り、そこに行かせる

まあハッカー側からすれば踏んでも回避の余地があるようじゃ成功率下がるから
踏んだら即アウトに出来るだけ近づくようにするわな。
ただ普通に回線使ってダウンロードするんだから、ダウンロードが完了する前に
ページを閉じるとかすれば助かる場合もある。殆ど無理だが。

ROのアカハックを目的としたスパイウェアなら、ROの情報以外は盗まないと思っていい。
考えてもみろ。図書館に本を探しに来て、片っ端から本を読んでく奴が居ると思うか?
盗む情報の種類を限定しないと普通に考えて処理し切れんし、無駄だからな。

盗むプロセスからすると、踏んだときにROをしてるかどうかは関係ない。
踏んで、「スパイウェアに監視されている状況」でお前さんが「パスを入力する場面」
を見せると、それが盗まれると言う仕組みだからな。
最も全てのハックがこの手法で行われていると言う保証は無いので、はっきりとは言えんが。

828 :(○口○*)さん :07/01/28 18:13 ID:MkSGmDD30
>824
踏むとキーロガーとかSS撮影&自動送信のトロイの木馬を埋め込まれる。
で、ROにつないだり公式につないだりしてパスワード入力すると、
そのログや画面をハッカーに送信される。
RO以外の情報を盗まれるかどうかはわからないけど、
垢ハックウィルスを踏むような人は
別種のウィルスもどこかで踏んでると思ったほうがいい。
セキュリティ管理が甘い、ってことだから。

929 名前:(^ー^*)ノ〜さん :07/01/28 23:52 ID:zk0VFJnN0
>>911
メーカーPCの場合、リカバリーCDと言ったりもする
詳しくは手持ちの取説を見ると良いよ
再インストールより、再セットアップや初期化というキーワードで目次を探すと良い

930 名前:(^ー^*)ノ〜さん :07/01/29 02:02 ID:qc6RWUvc0
白物家電の不調じゃあるまいし、しばらく置いときゃ直るようなもんではないわな。
ましてや昔のコンピュータウィルスみたいに、
クリスマスや正月限定で発症する愉快犯的なものではなくて、
金銭、個人情報目的の単なる泥棒なんだから、甘い考えは1mmも許されない。

931 名前:(^ー^*)ノ〜さん :07/01/29 02:21 ID:T7UmiFll0
ウイルスってのは
「おれはウイルスに感染して被害者になったと思ったらいつのまにか加害者になっていた」(AA略
なんてこともあり得るんだから疑わしいと思ったら曖昧なままで済ませずに
他の対策ソフトでもチェックするくらいは最低限して欲しい。

932 名前:(^ー^*)ノ〜さん :07/01/29 05:20 ID:M6hJKJSW0
だからウイルスバスターでって書いてあるじゃん

933 名前:(^ー^*)ノ〜さん :07/01/29 06:44 ID:uxvIqilL0
ウイルスバスター以外で、って事だろ
カスペルキーなんて間違ってる=このスレすら適当に読んでる時点で、
危機感ゼロなのが見て取れるけどさ

934 名前:(^ー^*)ノ〜さん :07/01/29 10:53 ID:pH3S1pJo0
カスペを使ってたら危機感0じゃない、というわけでもないけどね。
ギルメンが垢ハク騒ぎでカスペに切り替えたが、その他の対策はしてないし
各種リンクのURLの確認等も殆どしていない風味。

このスレやまとめサイトを紹介して一度は読んでるはずだが、それでもその状態。
これだとカスペ使っててもそのうち引っかかる可能性が高いわけで……

ウィルス対策ソフトを何使ってるか・性能評価を知ってるか、という事よりも
どういう心構えで普段居るか、の方が重要だよ。

935 名前:(^ー^*)ノ〜さん :07/01/29 11:26 ID:nS+TuQeF0
個人的にはアンチウイルスとIDSの併用をお勧めする。
IDS入れてると亜種や未知のウイルスでも防げる場合が多い。

まぁパーソナルユーズなIDSは数が少なすぎるのが難点だが・・・

936 名前:(^ー^*)ノ〜さん :07/01/29 11:38 ID:W8eRUvtc0
昔は花火を打ち上げる画像だけのプログラムや救急車が飛んでくるだけのプログラムなどもウィルスって言ったが
今じゃそんなもんウィルスなんていわないな・・・

937 名前:(^ー^*)ノ〜さん :07/01/29 11:43 ID:k2lcNIKc0
IDSはIntrusion Detection Systemの略である。
日本語では、Intrusionを侵入、Detectionを検知(あるいは検出)と訳し、
侵入検知システムと呼ばれる。
すなわちIDSとは、コンピュータやネットワークに対する不正行為を検出し、
通知するためのシステムのことである。

なるほど
ちなみに坂本真綾 OFFICIAL FAN CLUB IDS!ではないらしい

938 名前:(^ー^*)ノ〜さん :07/01/29 11:53 ID:rWp3+5pp0
http://www■rmt-navip■com/Ragnarok/
なんか騎士のステUP板に張られていてうっかり踏んだらAVGから警告が出てすぐに閉じたんだけどこれって感染してしまったのだろうか。
トレンドマイクロのウイルスバスターでは何も出なくて、取りあえずカスペルスキーで今オンラインスキャンしてるのだけど・・・

939 名前:(^ー^*)ノ〜さん :07/01/29 12:03 ID:8qrK/svbO
不安なら(ry

940 名前:(^ー^*)ノ〜さん :07/01/29 13:26 ID:tMah2KeD0
昼ごろブログに貼られたんで報告します。
http://www■lineagecojp■com/rolink/

>LISA鯖 色々買います。。
>LISA鯖のagi型LK、他転生二次職(型不問)、
>ハイノビ〜転生一次職(全職)
>Lv90↑のFCAS型セージ、Lv90↑の短剣スパノビ
>Lv90↑のINT宝剣型騎士、90↑agi型両手剣ナイト
>オーラモンク、オーラクルセ
>を買い取ります。

>条件等は下記のとおりです。

>名前がネタ、文字の羅列等 ×
>晒し × 
>交友関係 あまりに多いものは× 多少ならば○
>BOT ×
>ステルス ○
>買取価格はハイノビ〜転生1次、2次は10krm〜30krm位を
>通常の2次職やスパノビは5krm〜15krmくらいを考えてます。
>(職や状態で上下します)

>装備や他スロットキャラも多少考慮いたします。
>(ものによっては20krm↑も考えます)
>取引は基本的にエスクローを利用いたします。
>どれかひとつ買い取れた時点で終了させて頂きます。

>質問や査定等、↓まで気軽URLださい。

IPアドレス:59.58.219.240

まとめサイトにはありませんでしたが、リネージュ資料室さんには危険URLとして掲載されていました。

941 名前:(^ー^*)ノ〜さん :07/01/29 16:04 ID:VfGVyRe+0
まとめサイトの中の人です。
先ほどまとめサイトを更新しました。
>>904さまのもの、>>940さまのものを追加しました。
//所用あってここ数日間スレを覗く暇もありませんでした、スミマセン。

942 名前:(^ー^*)ノ〜さん :07/01/29 16:05 ID:WajEkx9n0
>>940
zhangweijp (fly bg)系ですね。

そのページを開いてみたところ上下二段のフレーム表示で、上段にOWNを表示。
高さ0の下段に zhangweijp 以下に置いた、それっぽいページを読み込んでいました。

管理下のWikiの spam.ini.phpに追加しておきました。

943 名前: ◆sp4Sh9QXGI :07/01/29 16:20 ID:VfGVyRe+0
追記:
先ほど、PG2用のリストも更新しました。

944 名前:(^ー^*)ノ〜さん :07/01/29 16:36 ID:DKFmgIvB0
>>940
i>netnum: 59.56.0.0 - 59.61.255.255
>netname: CHINANET-FJ
>descr: CHINANET fujian province network
>descr: China Telecom
>descr: No1,jin-rong Street
>descr: Beijing 100032
>country: CN   → (中国)
例によって福建省。
>>627と合わせて.htaccess等でrejectすることを推奨。

945 名前:(^ー^*)ノ〜さん :07/01/29 18:53 ID:WeX7TauO0
だいぶ話しに乗り遅れた気もするが、>915はただの広告かと思われ
クレジットカード会社へのリンクがやたら張ってあるから
その先はフィッシングなのかもしれんが、ROとは関係ない気がス

946 名前:(^ー^*)ノ〜さん :07/01/29 18:55 ID:WeX7TauO0
>945
日本語でおけ



orz

947 名前:(^ー^*)ノ〜さん :07/01/29 19:59 ID:zztXE+aD0
>>943
頂きます。ありがたく使わせて貰います(-人-)

948 名前:(^ー^*)ノ〜さん :07/01/30 03:08 ID:cQ1JaWY00
このアドレスのチェックをお願いできますか?
ttp://rodb■at-x■net/s■jsp?se=1&ii=2242&wo=524288
廃スレにてふんでしまいました@@
リンク先が404だったので垢ハックかもしれないです@@

949 名前:(^ー^*)ノ〜さん :07/01/30 03:13 ID:8BLNXioA0
まとめサイトの人へ
手持ちリスト(このスレの報告分を纏めただけ)をチェックして気付いたんだが
hostsの一覧の中に>649,>675,>709,>866あたりが抜けてるように見えた。

無害だから抜いたのかもしれないけど、気になったので一応報告。

950 名前:(^ー^*)ノ〜さん :07/01/30 03:24 ID:kQ9Jma+S0
>>948
ろ。マーケットリサーチングファウンデーション
いわゆる価格調査サイト

URL鑑定は依頼する前にある程度の所で区切ってググってもらった方が良いのかな?
ハッキリしないまでもわかることがあるだろうし

951 名前:(^ー^*)ノ〜さん :07/01/30 04:29 ID:XxgNngc10
このアドレスのチェックをお願いできますか?
ttp://ro-prince■www1■jp
これを職位につけた人のパーティ名が「なにかください。」
だったもので、気になってしまってorz

952 名前:(^ー^*)ノ〜さん :07/01/30 04:40 ID:kQ9Jma+S0
今気付いた、948も951も似せたサイトだったんだ…
948さんすみませんorz

953 名前:(^ー^*)ノ〜さん :07/01/30 04:41 ID:hdTZSnm50
いつからここは”勇気が無くて見れないサイト解説スレ”になったんだ?

954 名前:(^ー^*)ノ〜さん :07/01/30 04:50 ID:hdTZSnm50
>>952
>>948は、マグニ鯖の高級サングラスの相場

955 名前:(^ー^*)ノ〜さん :07/01/30 05:02 ID:kQ9Jma+S0
あら…色々ややこしくして申し訳ないorz

956 名前:(^ー^*)ノ〜さん :07/01/30 07:52 ID:3fWOOuIF0
全く関係ないかもしれんけど

今朝MSNメッセンジャーがログイン出来なくなったから
別垢でメッセログイン。
「どうせサーバ障害だろw」ってたかくくって、
別垢でのほほんとメッセの続きしてたら
・・・自分の本垢がログインしてきたよ?;

誰?;

ってことで、PC調査開始。
タスクマネージャ全部見て、解んないプロセス名を全部ググる。→不発。
まずAd-AwareはIEのキャッシュが大量にひっかかっただけ。→不発。
で、カスペルキーでフルスキャン開始したら・・・
何か出てきた(´・ω・`)

何が出たかまだ解んないけど
終った後で、ここに関係ありそうなら報告しま。

957 名前:(^ー^*)ノ〜さん :07/01/30 09:11 ID:iUjFx4FA0
>956
それだけだとROには直接関係ないとは言え、ROのアカウントと同時に抜くウィルスも
あったはずだから要注意。
メッセに使ってるメアドがRO垢の登録メアドと同じで、さらに癌ID/PASSが抜かれたら
キャラデリとかやられる恐れもある。

しかし当人が居合わせたからこそハクに気づいた、ってのは不幸中の幸いというか何と言うか。
メッセにINされただけで済んだのならいいが、何されたか判らないのは怖すぎる。

958 名前:956のお馬鹿 :07/01/30 10:17 ID:ys3HSENu0
はい、開始2時間を回ってもまだスキャン自体が終りませんorz

仕方ないからリアル知り合いに頼んで
癌パスとキャラパス変えてもらった(´つω・`)
メッセアドで癌ID登録してたので、色々怖いです。はい。
同時に今も別垢メッセで、メッセ監視中だけど本垢のログインはなし。
・・・とりあえずウイルス抜いたら、色々全部パス変えようorz

959 名前:956& ◆RCCIqoSNis :07/01/30 10:20 ID:ys3HSENu0
書き忘れたorz

>>957
実は、運がいいのか悪いのかチケ自体が今日の0時で切れていて
0時回って少し位まで、自分でログインしていたので
キャラデリはないと思います。

960 名前:(^ー^*)ノ〜さん :07/01/30 10:25 ID:SLK6TgTLO
これを機会にos入れ直しがいいかもね

961 名前:(^ー^*)ノ〜さん :07/01/30 10:47 ID:iUjFx4FA0
>959
キャラパスじゃなくてROのPASSかな。
その友人に変更してもらった際に、念のためチケ切れになってる事を確認してもらった方がいいよ。
チケ切れのままなら、もし垢ハクのウィルスを踏んでいても被害は受けてないだろうし。
切れてるのが確かなのにチケが入ってる状態なら、既に被害に遭ってる可能性が高い。

ちなみに可能性だけの話をするなら、癌ID/PASSが抜かれたら癌PASS/ROPASSの変更も可能となるので
ハクの犯人は悠々とアイテム強奪する事が可能に。
キャラパスが不明でもブルートフォースされる恐れがあるし、PASS変更されてた場合はそれを成功
させるだけの時間を与える事になるし。

962 名前:951 :07/01/30 12:34 ID:UQRupq0k0
すいませんでした。パニックになってしまって@以後は気をつけます!

963 名前:948 :07/01/30 12:36 ID:UQRupq0k0
アーッ!!951じゃなくて948でしたorz もうだめだ自分orzorz

964 名前:(^ー^*)ノ〜さん :07/01/30 13:44 ID:jxhNf2zW0
>>956
そんだけ長文書いた最後の最後でたった一文字の「す」を略すような性格だから感染するんだよ

965 名前:(^ー^*)ノ〜さん :07/01/30 19:24 ID:lKbis5ad0
テンプレを現状に即して修正したんで叩き台にして下さい。

スレ名:『アカウントハック問題総合スレ 5』
====================== (1/5) ======================
 このスレはアカウントハック問題に関する情報を集積・分析する
事でその実態を把握し、得た分析を用いて対策や警鐘を行って
いく事を目的とします。

このスレを覗いた人たちが、ネット上のセキュリティについて
少しでも関心を持ってくれることを期待します。

● 関連&参考情報アドレス (>>2)
● 報告用&質問用テンプレ (>>3, >>4)
● 警鐘age用 (>>5)

【注意】 (必読)
※報告は報告用のテンプレを使って下さい
※このスレでID/Pass/サーバ/キャラ名等の情報は公開しないで下さい
※このスレは『勇気が無くて見れないサイト解説スレ』では有りません
 貴重な情報が流れるのを防ぐ為ご協力下さい(最低限質問テンプレを使用の事)
※スレの扱う事柄の重大さの為、ネタや程度を超えた脱線はご遠慮下さい


・スレ立て依頼は>>970辺りで。現行スレが無い事は宜しくないので早めに
依頼に行きましょう

966 名前:(^ー^*)ノ〜さん :07/01/30 19:24 ID:lKbis5ad0
====================== (2/5) ======================
【過去スレ】
アカウントハック被害報告スレ4
 http://gemma.mmobbs.com/test/read.cgi/ragnarok/1164984508
アカウントハック被害報告スレ3
 http://gemma.mmobbs.com/ragnarok/kako/116/1160787177.html.gz
アカウントハック被害報告スレ2
 http://gemma.mmobbs.com/ragnarok/kako/114/1147966576.html.gz
アカハック被害報告スレ
 http://gemma.mmobbs.com/ragnarok/kako/107/1075385114.html.gz

【参考アドレス】
・ROアカウントハック報告スレのまとめ?サイト
 http://sky.geocities.jp/vs_ro_hack/
・安全の為に (BSWikiより)
 http://smith.xrea.jp/?Security
・リネージュ資料室 (応用可能な情報が多数)
 http://lineage.nyx.bne.jp/

【このスレでよく出てくるアプリケーション】
・PeerGuardian2(設定などはリネージュ資料室内・セキュリティ対策参照)
 ttp://lineage.nyx.bne.jp/misc/security/?id=basic-ipfilter

【PCにウィルス対策ソフトを導入してない方へ】
・NOD32 アンチウイルス (体験版)
 http://www.canon-sol.jp/product/nd/trial.html
・Kaspersky Anti-Virus (体験版)
 http://www.kaspersky.co.jp/trial/
・カスペルスキー:オンライン ウイルス&スパイウェアスキャナ
 http://www.kaspersky.co.jp/scanforvirus/

967 名前:(^ー^*)ノ〜さん :07/01/30 19:25 ID:lKbis5ad0
====================== (3/5) ======================
【投稿の際の注意】
・アカハックアドレスはMMOBBSでは禁止単語になっています。
 加えて、誤クリックによる感染を防ぐ為に、そのようなアドレスは
 .(ドット)を別の文字に置き換えて報告して下さい (■が多用されてます)
・質問前後にテンプレ等を見て知識を深めると更にGoodです
・回答者はエスパーでは有りません。情報は出来るだけ多く。提供した情報の量と質
 に応じて助言の量と質もは向上します
・結局は本人にしかどうにも出来ない事を忘れてはいけません

----------報告用テンプレ----------
● 実際にアカウントハックを受けた時の報告用

【      気付いた日時          】 (被害に気付いた日時)
【不審なアドレスのクリックの有無 】 (blog/bbs/Wiki等で踏んだ記憶の有無とそのアドレス)
【他人にID/Passを教えた事の有無】 (Yes/No)
【他人が貴方のPCを使う可能性の有無】 (Yes/No)
【    ツールの使用の有無      】 (Yes/No、Yesの場合はそのToolの説明)
【  ネットカフェの利用の有無    】 (Yes/No)
【     OS    】 (SP等まで書く)
【使用ブラウザ 】 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【 アンチウイルスソフト 】 (NortonInternetSecurity2007 等)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【スレログやテンプレを読んだか】 (Yes/No/今から読みます)
【説明】
(被害状況に関して詳しく書く)

968 名前:(^ー^*)ノ〜さん :07/01/30 19:25 ID:lYe3tC0y0
====================== (4/5) ======================
----------質問者用テンプレ----------
● 怪しいアドレス?を踏んだ時用

【  アドレス   】 (ドット(.)を■等で置き換える事。h抜き等は駄目)
【気付いた日時】 (感染?に気付いた日時)
【     OS    】 (SP等まで書く)
【使用ブラウザ 】 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【 アンチウイルスソフト 】 (NortonInternetSecurity2007 等)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【スレログやテンプレを読んだか】 (Yes/No/今から読みます)
【説明】
(『怪しいアドレス』との判断の理由、実際の症状を詳しく書く)

969 名前:(^ー^*)ノ〜さん :07/01/30 19:25 ID:lKbis5ad0
====================== (5/5) ======================
■■■■■■■■■■■■■■■■■■■■
各職Wiki・blog・BBSへのアカウントハックアドレスの
貼り付けが急速に増加しています。

各自、自衛策を講じてください。
特にWindowsUpdateとは必ず行っておきましょう。
セキュリティソフトの導入も忘れずに。

また、感染が疑われるPCからの
1:ゲームへのログイン
2:ガンホーアトラクションセンターへのログインすることは避けましょう
■■■■■■■■■■■■■■■■■■■■

970 名前:(^ー^*)ノ〜さん :07/01/30 19:59 ID:+Lz/tpJR0
>>958
そこでパス変更を、リアル友人という第三者に頼むようなセキュリティリテラシーの低さも問題だな。
自分の管理外で、もし何らかのトラブルによって情報が漏洩してもどうにもならないし。
変更後のパスワードが、伝言ゲームによって解読不能になる可能性だってある。

緊急性を要するとはいっても、既出の1CD Linuxを用いるなど、他に手段はあっただろうと思う。

971 名前:(^ー^*)ノ〜さん :07/01/30 20:13 ID:PH3t5A5o0
書き方が悪かったんで放置されたけど、>>866の奴

http://www■lineageink■com/0447/

まとめサイトのリストには載ってないけど、ソースチェッカーオンラインに突っ込んだら
やばそうな(リストに載ってる)アドレスが出てきたんで多分ヤバイ
素人にはここまでしか分からんスマソ

972 名前:(^ー^*)ノ〜さん :07/01/30 20:21 ID:7mJkjGuZ0
検索したら、なぜか北陸銀行の項目がそのURLだらけだったw

973 名前:(^ー^*)ノ〜さん :07/01/30 20:44 ID:+Lz/tpJR0
>>971
iframeで http://www■macauca■org■mo/images/nai.htm を呼び出している。黒認定。
しかしマカオ籍ドメインは初めて見たな……

974 名前:(^ー^*)ノ〜さん :07/01/30 21:16 ID:kQ9Jma+S0
スレ依頼はどうしましょう
980辺りで上記テンプレに修正なければ依頼という形で良いのかな

975 名前:(^ー^*)ノ〜さん :07/01/30 21:18 ID:kQ9Jma+S0
今回は、が抜けてました
次回からはテンプレ通り970で

976 名前:(^ー^*)ノ〜さん :07/01/31 00:26 ID:dhOVBWga0
http://www■gameurdr■com/ink007996277

ブログに貼られていたのを踏んでしまいましたorz
リンク先のページは真っ白で何も無かったのですが、ソースにVBScriptでよくわからないことが記述されていました。
カスペルスキーオンラインスキャンにかけましたが、怪しい物は検出されませんでした。

977 名前:(^ー^*)ノ〜さん :07/01/31 01:12 ID:Gnx5xhL50
>>976
それなら大丈夫
安心してハックされてください

978 名前:(^ー^*)ノ〜さん :07/01/31 01:22 ID:GZp55cTt0
>>976
VBScriptを解読したら
http://www■getamped-garm■com/guiink/t2■exe (TSPY_MARAN.D)
http://www■getamped-garm■com/guiink/xiaro■exe (Possible_Lineage)

というURLの記述発見(括弧内はウイルスバスター2007での検出名)。

979 名前:(^ー^*)ノ〜さん :07/01/31 01:26 ID:GZp55cTt0
>>978の訂正:ウイルス名が逆でした(xiaroがTSPY_MARAN.D)

980 名前:(^ー^*)ノ〜さん :07/02/02 01:20 ID:WneUtne50
止まってるので出してきます。
>>965-968をベースに >>1をシンプルにする方向で。

981 名前:(^ー^*)ノ〜さん :07/02/02 20:02 ID:IYJcA77O0
また一部職のWikiにアカハックウイルスへの書き換え改竄がおこっているので注意。

982 名前: ◆sp4Sh9QXGI :07/02/02 20:15 ID:FsJvbAVt0
まとめサイト更新しました。
PG2のリストはまた後で(´・ω・)

983 名前:(^ー^*)ノ〜さん :07/02/02 20:37 ID:tDmJkvDk0
>>982
PG2リストいただきました
いつもお疲れ様です

984 名前:(^ー^*)ノ〜さん :07/02/02 21:54 ID:WneUtne50
新スレ立ちました

アカウントハック総合スレ 5
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1170419695/l50

985 名前:(^ー^*)ノ〜さん :07/02/02 23:39 ID:L9xK/0hw0
>>982
リスト頂きました。助かります。
早速、登録しました

>>982
スレ立て、テンプレ作成、お疲れ様です。

986 名前:985 :07/02/02 23:47 ID:L9xK/0hw0
すいません、二つ目のアンカーは984さん宛です…orz

987 名前:(^ー^*)ノ〜さん :07/02/03 17:34 ID:jpjeK86w0
とあるブログで>>976に似たようなコメントを見たんですが、
やはり垢ハックアドなんですか?
管理人さんの方に報告した方いいでしょうか。

988 名前:(^ー^*)ノ〜さん :07/02/03 17:36 ID:jpjeK86w0
あ、すみません。
コメントじゃなく、アドレスです。
〜/inkの後の数字が違うだけで他は同じでした。
連投すみません。

989 名前:(^ー^*)ノ〜さん :07/02/03 18:25 ID:qLGbMjg+0
>>665
幾つか鯖Wiki以外にも蚊帳の外のWikiがあるな。

だから如何って訳ではないし、蚊帳の外のWikiも連絡会に歩み寄ればいい。
歩み寄った結果それでも連絡会から蚊帳の外にされてるとかなら知らないが。

ちなみにMMOBBS関連のWikiは職Wiki以外もあるってのを忘れちゃいけない
貧乏wikiと効率Wikiがなにも手がついてないんだが…

990 名前:(^ー^*)ノ〜さん :07/02/03 18:27 ID:vScYj+Fm0
>>988
そのサーバはトップページ(http://www■.gameurdr■com/)にもアカハックが仕込んであるんだな。
サーバ全体がアカハックのために用意されたものと考えても過言ではないと思う。
そのため危険性は大と推測。

ちゃんと調べて欲しいならそのアドレスを晒してね(ドットを■に置き換えて)

991 名前:(^ー^*)ノ〜さん :07/02/03 22:40 ID:wmDHpM3U0
蚊帳の外ねぇ。とりあえず
ttp://www.eldgasyk.jp/~hunter/index.php?:admin/rowikimng
を見てみると

>参加のお問い合わせ、また、ご意見等ありましたら下記のメールアドレスまでご連絡くださいませ。
>ご連絡お待ちしております。
>ご案内を差し上げていない管理者様
>自薦ももちろん歓迎いたします。
>何らかの形でサイト管理者証明いただければ、すぐにML登録いたします。

って書いてあるが…

992 名前:(^ー^*)ノ〜さん :07/02/03 22:55 ID:sjYBsUL+0
組織に対して閉鎖的に見えるという指摘は腐るほど出るけど
仮にどんなにオープンにしようと試みても外野が受身であるなら無駄な手間っつーか。
声かけてもらわないとPT組めないような連中ほど閉鎖的を口実にするからなあ。

>>989の言うとおりだと思うわ。

993 名前:(^ー^*)ノ〜さん :07/02/03 23:17 ID:qLGbMjg+0
先ずID変らない内に謝罪。

貧乏Wikiの人、何もしてないといって申し訳ねぇ
垢ハックだらけのを見てたので何もしてねぇとか思ってた。

Wiki移転してたんだな。
んで旧新共にきちんと今できる事してた _| ̄|○

>>991氏にはものすごく聞こえの悪い言い方だったんだけど
言いたい事は>>992氏が言ってくれてるんだけど、蚊帳の外と言うなら、
先ずメールしろって思った訳。

全部のRO系Wikiにいえるけど管理人はROをする時間とかを自然と削ってるから
すぐ動けないこともあるんだよな…

俺自身もこれは肝に銘じておこうと思った。

994 名前:(^ー^*)ノ〜さん :07/02/04 13:33 ID:xJ8Ih5aY0
埋めついでに次スレ8へ
Wikiも同じぐらい気をつけなくちゃいかんのだよ。
まだ対策がされてないWikiも存在するしそもそもWiki自体完全には
安全にするのは難しい。

利用者が注意するのは「差分」を見る癖の徹底。
差分を見るとソース丸見えだからソースに怪しいアドレスが書き込まれてたら
差分を元に直すなりするしかない。

995 名前:(^ー^*)ノ〜さん :07/02/04 13:45 ID:c5q69kIY0
うめうめ〜

996 名前:(^ー^*)ノ〜さん :07/02/04 13:51 ID:c5q69kIY0
次スレ案内

アカウントハック総合スレ 5
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1170419695/

997 名前:(^ー^*)ノ〜さん :07/02/04 14:06 ID:xJ8Ih5aY0
[次スレ案内]

アカウントハック総合スレ 5
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1170419695/

       ↑
       |
   ∧__∧∩ / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
  ( ・ω・)/< タイトルで誤解されるかもしれないが
__ /    /  \次スレも引き続き真面目に被害報告について話中
\⊂ノ ̄ ̄ ̄\..\___________
||ヽ|| ̄ ̄ ̄ ̄||
 ...|| ̄ ̄ ̄ ̄||

注意を促すのはいいけど叩きはダメ!絶対!


うめうめ。

998 名前:(^ー^*)ノ〜さん :07/02/04 14:11 ID:N+y+kGKJ0
産め機械

999 名前:(^ー^*)ノ〜さん :07/02/04 14:14 ID:+E+nTM8fO
女はぬるぽを産む機械だ!!

1000 名前:(^ー^*)ノ〜さん :07/02/04 14:16 ID:EcruxpSL0
しかしガッするのもまた女性だ!

1001 名前:1001 :Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。


全部 最新50
DAT2HTML 0.33g Converted.