全部 1- 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 最新50  

アカウントハック総合対策スレ8
1 名前:L ★:07/07/25 17:34 ID:???0
アカウントハックに関する情報の集積・分析を目的とするスレです。
被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談は>>2に有る雑談スレを利用して下さい。

・ 関連&参考情報アドレス (>>2)
・ 報告用&質問用テンプレ (>>3, >>4)
・ アカウントハック対応の要点とFAQ (>>5)
・ 安全対策の簡易まとめ (>>6)

■スレの性格上、誤って危険なURLがそのまま貼られてしまう可能性がある■
■URLを無闇に踏んで回らないこと。報告・相談はテンプレを利用すること■

※ ID/Pass/サーバ/キャラ名等の情報は公開しないでください
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません
※ ネタや程度を超えた雑談・脱線はご遠慮ください

・スレ立て依頼は>>970がしてください。反応がなければ以降10ごとに。

2 名前:L ★:07/07/25 17:34 ID:???0
【一般的話題用】
セキュリティ対策、質問・雑談スレ2
 http://enif.mmobbs.com/test/read.cgi/livero/1177485590/

【過去スレ】
アカウントハック総合対策スレ7
 http://gemma.mmobbs.com/test/read.cgi/ragnarok/1177507128/
アカウントハック総合対策スレ6
 http://gemma.mmobbs.com/ragnarok/kako/117/1173963316.html.gz
アカウントハック総合スレ 5
 http://gemma.mmobbs.com/ragnarok/kako/117/1170419695.html.gz
アカウントハック被害報告スレ4
 http://gemma.mmobbs.com/ragnarok/kako/116/1164984508.html.gz
アカウントハック被害報告スレ3
 http://gemma.mmobbs.com/ragnarok/kako/116/1160787177.html.gz
アカウントハック被害報告スレ2
 http://gemma.mmobbs.com/ragnarok/kako/114/1147966576.html.gz
アカハック被害報告スレ
 http://gemma.mmobbs.com/ragnarok/kako/107/1075385114.html.gz

【参考アドレス】
・ROアカウントハック報告スレのまとめ?サイト
 http://sky.geocities.jp/vs_ro_hack/
・安全の為に (BSWikiより)
 http://smith.xrea.jp/?Security
・リネージュ資料室 (応用可能な情報が多数)
 http://lineage.nyx.bne.jp/

【このスレでよく出てくるアプリケーション】
・PeerGuardian2
 http://sky.geocities.jp/vs_ro_hack/pg2.htm

【PCにウィルス対策ソフトを導入してない方へ】
・Kaspersky Internet Security 試用版
 http://www.just-kaspersky.jp/products/try/
・カスペルスキー:オンライン ウイルス&スパイウェアスキャナ
 http://www.kaspersky.co.jp/scanforvirus/
・NOD32アンチウイルス体験版
 http://www.canon-sol.jp/product/nd/trial.html

3 名前:L ★:07/07/25 17:35 ID:???0
【投稿の際の注意】
・アカハックアドレスはMMOBBSでは禁止単語になっています。
 加えて、誤クリックによる感染を防ぐ為にそのようなアドレスは
 .(ドット)を別の文字に置き換えて報告して下さい (■がよく使われています)
・質問前後にテンプレ等を見て知識を深めると更にGoodです
・回答者はエスパーでは有りません。情報は出来るだけ多く。提供した情報の量と質
 に応じて助言の量と質は向上します
・結局は本人にしかどうにも出来ない事を忘れてはいけません

----------報告用テンプレ----------
● 実際にアカウントハックを受けた時の報告用

【      気付いた日時          】 (被害に気付いた日時)
【不審なアドレスのクリックの有無 】 (blog/bbs/Wiki等で踏んだ記憶の有無とそのアドレス)
【他人にID/Passを教えた事の有無】 (Yes/No)
【他人が貴方のPCを使う可能性の有無】 (Yes/No)
【    ツールの使用の有無      】 (Yes/No、Yesの場合はそのToolの説明)
【  ネットカフェの利用の有無    】 (Yes/No)
【     OS    】 (SP等まで書く)
【使用ブラウザ 】 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【 アンチウイルスソフト 】 (NortonInternetSecurity2007 等)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【スレログやテンプレを読んだか】 (Yes/No/今から読みます)
【hosts変更】(有/無 [有りの場合は最終更新は何時ごろか])
【PeerGuardian2導入】(有/無 [有りの場合は参照元サイトはどこか)
【説明】
(被害状況を詳しく書く)

4 名前:L ★:07/07/25 17:35 ID:???0
● 怪しいアドレス?を踏んだ時用

【  アドレス   】 (ドット(.)を■等で置き換える事。h抜き等は駄目)
【気付いた日時】 (感染?に気付いた日時)
【     OS    】 (SP等まで書く)
【使用ブラウザ 】 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【 アンチウイルスソフト 】 (NortonInternetSecurity2007 等)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【スレログやテンプレを読んだか】 (Yes/No/今から読みます)
【hosts変更】(有/無 [有りの場合は最終更新は何時ごろか])
【PeerGuardian2導入】(有/無 [有りの場合は参照元サイトはどこか)
【説明】
(『怪しいアドレス』との判断した理由、症状を詳しく書く)

5 名前:L ★:07/07/25 17:35 ID:???0
【アカウントハック対応の要点とFAQ】
以下は要点となります。詳細な物は BSWikiの『安全の為に』が参考になると思われます。

● 『アカウントハックアドレスを踏んだ』もしくは『ウィルスが見つかった』場合
 1) 速やかに感染PCのネットワークケーブルを外す
 2) 『安全な環境』から諸々のパスワードを変更
 3) ウィルス駆除 もしくは OSのクリーンインストールやPCの再セットアップを行う

注)
 ・安全確認されるまでNetworkに接続・ROクライアント起動・公式にログインは厳禁
 ・各種メッセンジャーソフトやメールクライアントの起動も避ける
 ・変更するべき物は以下のとおり
  『GungHo-IDパスワード』『アトラクションIDパスワード』『キャラパスワード』『メールアドレス』
 ・アンチウイルスソフトの過信は禁物。自信がなければ再セットアップを第1選択枝とする事
 ・対応は慎重かつ迅速に行う事。早期に対応できればアカウントハックを防げる確率が上がる

● 関連FAQ
・『安全な環境』ってどんな物?
  ウイルスの感染が無いと思われる環境です。別PCや据置型ゲーム機、1CD Linux等が挙げられます。
  インターネットカフェ等不特定多数が使用する環境は危険性の高い環境です。
  また知人友人のPCもインターネットカフェ並の危険があるものと考えるべきです。
  信頼できる友人にパスワード変更を依頼するのは最後の手段であり、安全な環境を
  構築次第、再度パスワードを変更しましょう。
・オンラインウイルススキャンをしたいんだけど、やっぱりネットにつないじゃ駄目?
  駄目です。
・アンチウイルスソフトでウイルスが見つからないのでもう大丈夫だよね?
  100%の保証は出来ません。ウィルスが見つからなかった場合、チェックに使った
  アンチウィルスソフトでは発見出来なかっただけです。本当にウィルスが居ないのか、
  それとも検知を免れているだけなのかは判りません。
  自信が無い場合はHDDをフォーマットの上、PCの再セットアップを考えるべきです
・1CD Linuxってなに?
  CDを入れてPCを起動するだけでLinux環境が起動しちゃうというものです。
  ある意味クリーンインストールに近い状態なので汚染はゼロといえますし、
  そもそもWindowsではないのでアカウントハックウイルスも働きません。
  大概はWindows類似のデスクトップ環境やWebブラウザも組み込まれているので
  パスワード変更作業くらいなら問題なく出来ます。
  "KNOPPIX" や "Ubuntu"が人気が有ります。

6 名前:L ★:07/07/25 17:36 ID:???0
【安全対策の簡易まとめ】
以下は要点となります。higaitaisaku.comさんの『被害対策』→『転ばぬ先の杖』
(http://www.higaitaisaku.com/korobanu.html)が参考になるでしょう。
『ROアカウントハック報告スレのまとめ?サイト』や
BSWikiの『安全の為に』も参考になると思われます。

●基本
 ・定期的なMicrosoftUpdate及び、各種ソフト(各種Player、Reader等)のアップデート
 ・アンチウイルスソフトの導入とウイルス定義ファイルの積極的な更新
 ・パーソナルファイアウォールソフトの導入
 ・アドレスをホイホイ踏まない。よく確認する
 ・出所の怪しいプログラムやスクリプトを実行しない

●応用
 ・IEの使用を止め、他のブラウザに乗り換える(Firefox、Opera)
 ・IEコンポーネント使用のブラウザを使う(セキュリティ設定が容易な物が多い)
 ・信頼できるSite以外ではスクリプトやActiveXを切る
  :インターネットオプションのセキュリティの部分で設定可能
 ・偽装jpg対策(IE7とIE6SP2限定。IE6SP1以前では出来ない)
  :インターネットオプション→セキュリティ→レベルのカスタマイズ
   →「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする

7 名前:Wikiかんり ◆Ymlphaz5wQ:07/07/25 18:46 ID:cFU7+pTX0
業務連絡です。
FrontPageを編集しようとしてくれたけど、白画面になって登録できなかった
方は対策しましたので お手数ですが再度お試しください。

原因
PukiWiki公式の spam.ini.phpには DynamicDNS系のドメインも登録
されており、標準ではそのカテゴリは無効に設定されています。

こちらでは試験的に それらもブロック対象として有効に設定
しているため、どこかの時点で加えられた '*.bne.jp', も
拒否されるようになりました。

よって、そのサブドメインである リネージュ資料室 さんの
URLを含む文書は編集不能になっていました。


対策
リネージュ資料室さん のURLをホワイトリストに登録。

8 名前:(^ー^*)ノ〜さん:07/07/25 18:56 ID:ivXIeZ350
>7
リネ資料室さんのurlを含んだ状態で更新出来る事を確認しました。
設定変更、助かりました。

というか、更新失敗するたびに[blocked]なメールが飛んでたわけね……

9 名前:(^ー^*)ノ〜さん:07/07/26 00:18 ID:Y5BwX3kI0
前スレ996の件、とりあえずWikipedia.jaの管理者伝言板に依頼完了。
後は、管理者側のアクション待ち。

それにしても、新潟県中越沖地震のページにまで仕込むなど、連中もいよいよ、ページビューの多いだろう所を狙って
オンラインゲームユーザー以外も無差別に標的にし始めたのだろうか。
前スレで出ていたモーニングスターは投信アナリスト業務だし。最近は株やFX取引も自動ツールを使ったデイトレが
流行っているから、仮にそのあたりのアカウントが抜かれたら、ゲーム内資産とは比較にならない損害が生じるな。

10 名前:(^ー^*)ノ〜さん:07/07/26 00:51 ID:L9nay3zd0
>>9

連中が改竄した部分で、まだ罠リンクが残ってたところは正しいリンク先に戻しておいた。
てか、把握してないだけでまだあるんだろうな…

罠の仕掛け先に関しては手当たり次第か何も考えてない気がする。
訃報のテンプレートとかTAKAみちのくとか、流石にわけわからん。

11 名前:(^ー^*)ノ〜さん:07/07/26 05:37 ID:CNcDMHgF0
大分前にも言われたと思うけれど
奴らの手段の選ばない傾向がこれ以上進行すると
もうRO板のスレじゃないような状況になっていくよな・・・

最近セキュ板に迷い込んだような気になるから困る

12 名前:(^ー^*)ノ〜さん:07/07/27 21:30 ID:XWDdjj5tO
装備もzenyももたなきゃ安心

13 名前:(^ー^*)ノ〜さん:07/07/28 22:06 ID:MEomKujM0
福建人の新ドメイン、すでに攻撃に使われている。
/lineage/に罠がある、難読化されているが恐らくはMaranの呼び出しだろう。

Domain Name ..................... nlftweb■com
Registrant Name ................. zhiqiang lin
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 610000
Registrant Country Code ......... CN
Expiration Date ................. 2008-07-21 05:24:59

14 名前:(^ー^*)ノ〜さん:07/07/29 19:47 ID:6W/074Ld0
ROのアカウントハックってRO起動中に変なページ飛ぶとやられるの?
RO起動してなきゃOKとかある?

この間、ハックされたんだけど、一つのアカウントを
複数のPCで日によって使い分けてやってるんだ。
で、PC@ではかれこれ3週間くらい起動・ログインしてなくて
PCAではときどき繋いでた。こういった場合、PCAになんらかの
ウィルスが感染してると考えたほうがよい?

15 名前:(^ー^*)ノ〜さん:07/07/29 19:50 ID:e3L/uJac0
>>14
その話題ならこっちの方が良いぞ

セキュリティ対策、質問・雑談スレ2
ttp://enif.mmobbs.com/test/read.cgi/livero/1177485590/

16 名前:(^ー^*)ノ〜さん:07/07/29 20:33 ID:EtnSGQ/+0
>14
取りあえずテンプレを埋めて欲しい。

で、簡単に言うとどっちのPCも怪しい。
PASS抜かれて即ハクられるのか、期間をおいて盗みに来るのかは
ハク犯次第だろうし、PC1の方で盗まれた情報が今になって被害に
至ったという可能性だって十分ある。

17 名前:(^ー^*)ノ〜さん:07/08/03 16:08 ID:4yLV1jK20
知り合いのBlogに書き込まれていたハクアドレス2つ
リンク先は共に既知のアドレスで、まとめサイトにも掲載済み。

ttp://csfir■blog87■fc2■com/
ttp://www■getamped-garm■com/a2gua/index■htm

ttp://nikang■blog79■fc2■com/
ttp://www■gameurdr■com/a2gua/index■htm

他にもあるかもしれないけど、危険アドレスが出たので調査終了。

というかリンク先の罠スクリプト、解読する気が起きないというか
今までに無いタイプっぽい。
パっと見、md5の変換やらかけてるようだが……

18 名前:Wikiかんり ◆Ymlphaz5wQ:07/08/03 21:18 ID:69FBoJwQ0
>>17
Firebugに見せてあげるとお手軽簡単です。

ややこしいことしてますが、最終的には
http://www.gameurdr■com/a2gua/t1.exe
このあたりが実体のようですね。

Microsoft.XMLHTTP という文字列も見つかるので、
感染させる手段は従来通りっぽい雰囲気です。

関連サイト: cs.cskick■cn

19 名前:(^ー^*)ノ〜さん:07/08/03 21:19 ID:69FBoJwQ0
>>18
あわわ。
名前欄は見なかったことにしてください。

20 名前:(^ー^*)ノ〜さん:07/08/03 22:00 ID:B+xCmvCO0
>>18-19
いつも乙です。
話は変わって、rowiki.jpの全職業wikiリダイレクトとか、如何なものでしょうか。
quest.rowiki.jpの件を提案したときも、URIが変わることによる危険性を懸念したが故でしたので。
dnsクエリの総数自体は増えるでしょうが、それも主に最初の一回がメインでしょうし、vvindowsのようなtypo-squattingが
このところ増加傾向なので、連中がその流れに乗る前に手を打つという意味でも。

21 名前:(^ー^*)ノ〜さん:07/08/04 21:19 ID:33eTx7P10
>>7
ttp://pukiwiki.sourceforge.jp/dev/?%B3%AB%C8%AF%C6%FC%B5%AD%2F2007-07-29#i537f174

22 名前:(^ー^*)ノ〜さん:07/08/04 22:31 ID:FOgtqhVX0
なんか言えよ。言えよぅ

23 名前:Wikiかんり ◆YmlphaDS/s:07/08/05 03:15 ID:5VG6blrv0
キャップ変わってますが本物です。

>>20さん
それについては rowiki.jpを取得した当時から検討してはいるのです。
けれどもいくつかの事情もあって実行には至っていません。
今後も他の管理者さんと相談の上で、進めていこうと思っています。

理由の一つを説明しておきますと、
受け側での対応が不要なリダイレクト(mod_rewriteなど)で実装した場合、
必ず www.rowiki.jpを経由するので、そのサーバが落ちている場合(毎週
数時間程度メンテのために落としてます)、飛び先が生きていたとしても
そのURLではアクセスができません。耐障害性に問題ありすぎです。

ほとんどの場合受け側での対応が必須なDNSでの転送であれば、セカンダリDNS
で対応することができるので、リダイレクトでの問題は回避できます。

なお、現状のrowiki.jpのセカンダリネームサーバがネットワーク的に近い
という問題は近日中に解消される予定です。


>>21さん
弓手方面では先月中に試してます。しかし1.4.7に適用するには修正箇所が
多岐にわたるので、今はそこまでやる余裕がないので保留しています。

それに、これはチェックツールのお話ですから。
連絡会内で spam.ini.php採用しているところは、相当品になるチェック
ツールをPukiWiki開発チームより提供を受けていますので困ってないのです。

24 名前:Wikiかんり ◆YmlphaDS/s:07/08/05 03:30 ID:5VG6blrv0
>>23 自己フォロー
キャップじゃなくて トリップでした。

それはともかく
PukiWiki1.4.7のリリースからはかなり時間開いていますので、
spam関係のファイルをただ追加するだけでは動きません。

spam対策の機能を使いたいと思った 1.4.7までの PukiWiki採用
サイトさんはスナップショット版をインストールして環境設定した後、
既存Wikiからデータをインポートするのが確実で簡単だと思います。
# 今のところ これが公式のアップデート方法です。

1.4.7用のパッチ類は そのままじゃ当たらないのが多いと思いますので
その辺は何とかしていただかないといけませんが。

25 名前:(^ー^*)ノ〜さん:07/08/05 03:35 ID:GI5a+Dmp0
キャップ?(・ω・)

26 名前:(^ー^*)ノ〜さん:07/08/05 03:36 ID:GI5a+Dmp0
リロード忘れ…、トリ変わっちゃったら結構問題かもなのでお気をつけくだされ〜

27 名前:(^ー^*)ノ〜さん:07/08/05 09:29 ID:RLLJNuE40
キャップかわってますが本物です

本物なんだろうけどさ…
なんの証明にもならないと思うんだけど?
前のトリで書き込んで同じIDでトリ変えます
ならまだしも何をしたいのかわかんない
なんでトリかえたのさ?

28 名前:(^ー^*)ノ〜さん:07/08/05 10:16 ID:CPOsqTIQ0
突っかかる意味も無いと思うが?

29 名前:(^ー^*)ノ〜さん:07/08/05 10:19 ID:QFrdbKD/0
証明方法としては、当人にしか更新できない場所に
既に記載されているってやつなんじゃないの?

ttp://hunter.rowiki.jp/ の右下とかさ。

30 名前:(^ー^*)ノ〜さん:07/08/05 22:30 ID:S/fN5IPV0
何がそこで一番重要か見極めるのは簡単な事じゃないけど、そう難しいことじゃないと思うな。

さて、中国・Maranの名が出ていたのでちょっとちがうとこのだけどリンク。
http://game11.2ch.net/test/read.cgi/game/1186022128/376

検体が提出されてないのか殆どのソフトがスルー。しかも投稿によると
カスペやNOD32にターゲットを絞っているのでは、と。
さらに、その起点のサイトはどうもクラックされているかもという雰囲気。
福建省族ではないようですが、何の情報を盗むんでしょうね。怖くていかんわー。

31 名前:(^ー^*)ノ〜さん:07/08/06 05:52 ID:GgypTYzF0
tj9viewer.dll
MS5
0B4FFBD1E54E68C50D3F2AFCAEE6DEFD
SHA-1
893F4050F8D33B68BB89CA03E7953F594E90CB06
このファイルが
シマンテック・セキュリティチェック
トレンド フレックス セキュリティ : オンラインスキャン
マカフィー - ウイルス対策と侵入防止ソリューション
日本F-Secure株式会社 - 無償ウィルス検査
で検出されなかった
ウィルスのsvchost.exeも検出されなかった
しかもハッシュチェックする前に消してしまったorz

32 名前:31:07/08/06 06:33 ID:GgypTYzF0
カスペルスキーオンラインスキャンが抜けてました

33 名前:(^ー^*)ノ〜さん:07/08/06 08:34 ID:VGHWQzMZ0
>>30
取り敢えず、見に行ってNOD32すり抜けを確認。そんな訳でセキュスレのリスト一式に報告してきた。対応待ち。

>>31
入手経路とかの予測もできない?
誰かが見付けて報告し、パターンが更新されますように。(-人-)ナムナム

34 名前:(^ー^*)ノ〜さん:07/08/06 15:43 ID:VGHWQzMZ0
>>30
新種なので次のパターン更新で対応するそうな。>カスペ

>dmoz.exe_ - Trojan-PSW.Win32.Nilage.aza,
>flash.js_ - Trojan-Downloader.VBS.Psyme.hp,
>winzip.exe_ - Trojan-PSW.Win32.Maran.ey

35 名前:(^ー^*)ノ〜さん:07/08/06 17:44 ID:L9z+LwPN0
>>30
gesaab■com
ソニーのbit-drive。…ん? bit-drive? たぶん qsmoviex■com の奴だ。
bit-driveは先月こいつの件で散々メールやり取りしても埒が明かず
すっかりやる気なくしたので放置します。It's a SONY.

36 名前:(^ー^*)ノ〜さん:07/08/07 14:17 ID:Kr/QShCh0
【  アドレス   】 http://egg■maidx■net/src/egg4343.jpg
【気付いた日時】 踏んだのはつい30分ほど前
【     OS    】 XPpro
【使用ブラウザ 】 IE7
【WindowsUpdateの有無】 1週間ぐらい前
【 アンチウイルスソフト 】 マイシールド
【その他のSecurty対策 】 Ad-Awareが入ってた気がします
【 ウイルススキャン結果】 オンライン・オフラインともに特に引っかからず
【スレログやテンプレを読んだか】 一応読みました
【hosts変更無
【PeerGuardian2導入】無
【説明】特に今のところ怪しい症状はないです、ROメンテ中ですし

RO2の画像ということで踏んだら転送されてしまいました
画像は見れたのですがこれはひょっとしてやらかしちゃったんでしょうか
とりあえず踏んだPCはLAN引っこ抜いて放置してあります
ソースチェッカーでも安全度70%とか微妙な数字が出て判断に困るのでお聞きしたいです

すいません知識ないボンクラで(´・ω・`)

37 名前:(^ー^*)ノ〜さん:07/08/07 14:28 ID:0rfKfjI10
>>36
egg4343.jpgをDL、カスペに掛けた

画像が精神衛生上よくないだけでファイルそのものは問題なしw

38 名前:(^ー^*)ノ〜さん:07/08/07 14:28 ID:8V9T+yvr0
>>36
別に問題ないと思われる。
転送って何のこと?

39 名前:(^ー^*)ノ〜さん:07/08/07 14:34 ID:Kr/QShCh0
>>37
>>38
了解しました、ありがとうございます

jpgクリックしたのに広告つきのページに飛んだから転送だと思ったんですpq

40 名前:(^ー^*)ノ〜さん:07/08/07 15:48 ID:hJdp8peQ0
>>39
>>6

●応用
 ・偽装jpg対策(IE7とIE6SP2限定。IE6SP1以前では出来ない)
  :インターネットオプション→セキュリティ→レベルのカスタマイズ
   →「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする

テンプレのこれ、お勧め。

41 名前:(^ー^*)ノ〜さん:07/08/07 16:31 ID:0Wskr6+t0
>>35
qsmoviexの時も bit-driveって話になっていた気もしますが、

%dig www.gesaab■com
| ;; ANSWER SECTION:
| www.gesaab■com. 50 IN A 61.195.146■190

%whois 61.195.146■190
| inetnum: 61.195.146.176 - 61.195.146.191
| netname: ANNNETWEB
| admin-c: JT991JP

%whois -h whois.nic.ad.jp JT991JP
| Contact Information: [担当者情報]
| a. [JPNICハンドル] JT991JP
| f. [組織名] 株式会社アンネット
| g. [Organization] AnnNet Co.,LTD.

結果はてきとーに省略しています。

以上の結果から、このあたりのサービスを使っているんじゃないかなと。
http://21-domain.com/?m=20
なのでクレーム付ける先もこちらが適当なんじゃないかと思います。
応答はありませんでしたが qsmoviexの時にはクレームメール送ってます。


# 以前調べたとき、bit-drive回線どうこうという記述を読んだ
# 気もしますので上流は bit-driveなのかもしれません。

(ツッコミ入れる場合の参考)
| ■21companyグループ サービス規約(総合規約)
| * 第23条(自己責任の原則)
| 3. 会員は21companyのサービスを利用するに当り以下の行為をしないものとします。
| (1)公序良俗に反する行為
| (2)犯罪的行為に結びつく行為
| (5)その他、法律に反する行為
| (8)サービスの運営を妨げ、或は21companyの信頼を毀損するような行為(スパム行為・過大なデータ転送・自動処理・遠隔による負荷)
| (9)法律、条例または命令等に抵触すると判断される行為

42 名前:(^ー^*)ノ〜さん:07/08/07 17:08 ID:hJdp8peQ0
>>30
Nortonからの検体調査結果報告からすると、RO関係してるかも。
NOD32も報告はないけど検知するようになってるし検体提出した価値はあったかもしれん。
RO以外のところにも貼りまくってる業者のものかもね。報告GJでした。

filename: winzip.exe
machine: Machine
result: This file is detected as Infostealer.Okarag. http://www.symantec.com/avcenter/venc/data/infostealer.okarag.html

filename: dmoz.exe
machine: Machine
result: This file is detected as Infostealer.Gampass. http://www.symantec.com/avcenter/venc/data/infostealer.gampass.html

43 名前:(^ー^*)ノ〜さん:07/08/08 23:19 ID:hYLaAHYl0
最近jpgも危ないと言う話を聞いたのですが、踏んだだけで危ないのですか?
転送されなければ大丈夫、と言うイメージを持っています。

44 名前:(^ー^*)ノ〜さん:07/08/09 00:02 ID:QLlT5NSZ0
何処ぞのURLを張られてその最後がjpgの場合、
それはhtmlの拡張子をjpgに変えただけのものの場合がある。アプロダが使用される場合が多い。
これがちょい前によく流行った偽装jpgって言う奴で、勿論gifでもbmpでもなんでもできる。
んで、そのhtmlがアカハックへの転送ものの場合にまずい事になる。
勿論落としたりして保存したwクリックしても同じ事。こうなると踏んだら終わりとも言える。

最近と言うかかなり前から死ぬほどやられている手口。
対処方法とかその辺は過去ログやまとめサイトなどで調べてくれ。

45 名前:(^ー^*)ノ〜さん:07/08/09 01:21 ID:YpW5hXeA0
>>43
転送されたように見えない(気付いていないだけ)場合もある。
ケースバイケースなので、危ない場合もあると覚えていて欲しい。そして、その手の話題はセキュスレへ行こうな。

46 名前:(^ー^*)ノ〜さん:07/08/09 02:17 ID:mcvOuF6H0
FFXIの板で見つけたドメイン。
imbbs2t4u■com
IPはmbspro6uic■comと同一。

爆撃例その1
www■imbbs2t4u■com/imbbs/

www■imbbs2t4u■com/imbbs/mbb.htm

www■imbbs2t4u■com/imbbs/imbbs.htm

www■mbspro6uic■com/imbbs/naizi.exe
ありふれたUpack圧縮のMaranでした。

爆撃例その2
www■mbspro6uic■com/linkgss/

www■imbbs2t4u■com/linkgss/imbbs.htm

www■imbbs2t4u■com/linkgss/imbbs.htm

www■mbspro6uic■com/linkgss/naitt1.exe
ダウンローダ? NSPack圧縮。

別なホスト名を使うことで「mbspro6uic■com」へのブロックを
回避しようとしているんだろうか(IPで止めちまえば関係ないけど)。

47 名前:(^ー^*)ノ〜さん:07/08/09 08:09 ID:YpW5hXeA0
>>46
P2Gで中国ブロックしてると、そのサイトへのアクセスできなかったな。
やっぱりhostsとPG2は併用がいいね。

Kaspersky
naitt1.exe : Trojan-Downloader.Win32.Delf.bpm
naizi.exe : Trojan-PSW.Win32.Maran.ff

NOD32
naitt1.exe : Win32/PSW.Lineage.ACN Trojan の亜種(自動提出)
naizi.exe : Win32/PSW.Maran.FF

48 名前:(^ー^*)ノ〜さん:07/08/09 10:41 ID:sEHmWioN0
jpg偽装怖いな・・・
これからRO2はじまるから増えそうだよ・・・

ところで画像偽装は2chとかなら専ブラの画像ポップアップ機能使えばいくらか防げる?
ポップアップでも無駄?

49 名前:(^ー^*)ノ〜さん:07/08/09 12:07 ID:qimcnSHBO
【アド】http://nekomimi■ws/~ro/img/1021■jpg

【場所】2ちゃんねる半角二次元ROスレ
【踏んだ日】昨日の19時頃
【アンチウイルス】キングソフト
【スキャン結果】ローカルディスク異常なし

【備考】
専ブラ(jane)でのサムネ表示のアクセス


この手のに疎いので頼みますorz

50 名前:(^ー^*)ノ〜さん:07/08/09 12:20 ID:xbBmsmi60
>>1 ※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

51 名前:(^ー^*)ノ〜さん:07/08/09 13:09 ID:PGMeyWoJ0
見てんじゃんw

52 名前:(^ー^*)ノ〜さん:07/08/09 13:14 ID:YyHxXGo20
解説しろとスレ住人に丸投げしてるのが嫌われてるわけだろ

53 名前:(^ー^*)ノ〜さん:07/08/09 13:32 ID:yiBUfQ7+0
>43
×最近jpgも危ない
○以前からどんなファイル形式でも危ない
Flashも脆弱性が見つかってたし、Lhacaのように脆弱性が見つかったりするし。

対策としては、各種ニュースサイトとかでセキュリティ情報には目を光らせておいて
各種ソフトのパッチ・新Verが出たら(内容確認して)当てる事、かな。
>48
IEとかの脆弱性を突くタイプだとヤバい事もある。
表示自体はサムネイルでも、動作的には
ファイルをDL→展開して内部的に表示→(感染)→サムネイル作成→表示
という動きをするので危険。

既知の脆弱性ならパッチで防げるが、ゼロディで喰らうとヤバい。

54 名前:(^ー^*)ノ〜さん:07/08/09 13:37 ID:P4cfWFVm0
IEのContent-Type軽視仕様が、災いしているのは否めないが。
ttp://d.hatena.ne.jp/hasegawayosuke/20070801/p1
ttp://d.hatena.ne.jp/boscono/20070805
>Internet Explorer の悪名高い Content-Type: 無視という仕様を利用すると、
>Atom や RDF/RSS を利用してXSSを発生できることがあります。

55 名前:(^ー^*)ノ〜さん:07/08/09 14:53 ID:sEHmWioN0
>>49
とりあえず鑑定してもらってきたよ
というかアドレスになんとなく見覚えがあったので俺も不安に鑑定してもらったんだが・・・
↓鑑定結果

Hacked By Eshki-Eric-Ne Mutlu T・k・ Diyene !!!
と出ます。なんか不気味。当方環境では無害でしたが見る価値無し。
ただのいたずらページでしょう。(画像無し・趣味の悪い英数を組み合わせた文字が出てくるだけ)
アラートオープン使ってるだけだと思いますが踏むのはやめたほうがいいと思います。

56 名前:(^ー^*)ノ〜さん:07/08/09 15:45 ID:YpW5hXeA0
>>55
ついでのカーソルファイルも読み込ませられるな。

カスペもNOD32もスルーするので、多分、ただのいたずらではあるが、開かない方がいい。
ファイルが差し替えられたら(WindowsUpdateかけてないと引っ掛かる)悪意のあるものに
進入される可能性がある。

>>40をやってあれば、表示に失敗してくれる。

57 名前:(^ー^*)ノ〜さん:07/08/09 18:35 ID:jJg3T0sr0
>>40
テンプレに名前だけは出てるけど
Firefoxでこれはやっておけっていう設定はある?

58 名前:(^ー^*)ノ〜さん:07/08/09 18:59 ID:QLlT5NSZ0
メッセンジャー経由で感染するウィルス

gigazineにも記事来た。
ttp://gigazine.net/index.php?/news/comments/20070808_messenger_worm

ttp://pc11.2ch.net/test/read.cgi/sec/1185780001/
2chセキュ板。

結構感染被害も凄いらしく、まだ感知しないアカハック臭い亜種もあるらしいので警告age

59 名前:(^ー^*)ノ〜さん:07/08/09 19:55 ID:mcvOuF6H0
>>56
gifとcurを見たけど無害だね。
動くとすりゃJavaScriptのブラクラなんじゃないかな。

>>58
LiveROに書いたけどKasperskyやNortonは見つける。

60 名前:(^ー^*)ノ〜さん:07/08/10 12:13 ID:QEH0KwW60
>>58
これ送られてきたんでWinRARで中身見てみたら
scrだったから開かないでそのままファイル削除したんだけどさ
感染してないよね?今になって不安になってきた

61 名前:(^ー^*)ノ〜さん:07/08/10 14:28 ID:7/F5KhYJ0
実行していないと断言できるなら感染していない。

62 名前:(^ー^*)ノ〜さん:07/08/11 02:21 ID:6oHSiP1S0
ヘルプデスク返信を待っていたら報告が遅れました。
【      気付いた日時          】8/8 21時ごろ
【不審なアドレスのクリックの有無 】アサシンwiki MMOBBS RMC ROM776 ROクエスト案内書
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【    ツールの使用の有無      】 No
【  ネットカフェの利用の有無    】 Yes(ですが今年5月以来入っていません)
【     OS    】 winXP home edition SP2
【使用ブラウザ 】 sleipnir 2.5.15
【WindowsUpdateの有無】 8/2 16;04
【 アンチウイルスソフト 】 Avast! v4,7 home
【その他のSecurty対策 】 spybot-S&D Ad-aware2007 ルータ有
【 ウイルススキャン結果】 上記avast!とウィルスバスター試供品とカスペルスキー試供版でも検出されず
【スレログやテンプレを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
盗られたのは所持金20M少々と一部装備(相場が約100k以下の物、露店でかなり売れにくいと思われる物は盗られていません)
また倉庫も100k以下の物は盗られていませんでした。(エルオリ等は各約300個所持していますが無事でした)
キャラパスは変更なし。
また3つの鯖で遊んでいるのですが、全ての鯖において上記の様な盗られ方でした。
全てのキャラクターがプロンテラ街中(119.88)に移動しており、その周辺が溜り場と思われるGの方に聞いて
みましたが特に変な人は居なかったそうです。

初めての投稿なので不備がありましたら、また追記させていただきます。

63 名前:(^ー^*)ノ〜さん:07/08/11 02:49 ID:4hPcAx9Z0
>>62
自分のPCでは垢ハック踏んでない可能性が高い(検出されない)のに盗まれたというのは不思議だね。
ネカフェで盗まれたパスが今使われた可能性もあるけど、ネカフェ利用時と現在の間でパス変更を
行なったことはあるの?

64 名前:(^ー^*)ノ〜さん:07/08/11 03:11 ID:6oHSiP1S0
>>63
あります。キャラパスの変更は行っていませんが、ログインパスワードの変更のみ行いました。

ネットカフェは個室を利用し、そのお店ではPCの電源を入れるたびに初期設定に戻る仕様になっています。
また離席はほとんどしておらず、不審者が入ったことはないと思われます。

65 名前:(^ー^*)ノ〜さん:07/08/11 03:12 ID:jEvXvzz10
個室だろうとリセットされようと何か仕掛けられてたらって可能性があるのが今のネカフェ

66 名前:(^ー^*)ノ〜さん:07/08/11 03:13 ID:JbX5ISWe0
>>65
それって経営側が仕込まないと無理じゃない?

67 名前:(^ー^*)ノ〜さん:07/08/11 03:17 ID:LPFz2R6K0
>>64
重要な部分だから確認のため聞くけど、ネカフェ利用後に自宅でパス変更したの?

68 名前:(^ー^*)ノ〜さん:07/08/11 03:19 ID:4hPcAx9Z0
あとは、過去になんらかのスパイウェア・トロイ・リスクウェアを検出し、除去した履歴があるかどうか。

69 名前:(^ー^*)ノ〜さん:07/08/11 04:19 ID:KKlHbfkp0
返信が遅れて申し訳ありません。

>64を書き込んだ後にもう1度avast!とカスペルスキー試供版でスキャンしてみたところ。
トロイOnlinegames.afjが見つかりました。恐らくこれが原因かと思われます。
もう1度スキャンとPassの変更などを行い、今回の失敗を活かして今後とも気をつけます。

このような深夜にたくさんの方々にご心配とご迷惑をおかけした事を深くお詫び申し上げます。
相談を親身に聞いていただきありがとうございました。
明日の事があるのでお先に失礼いたします。本当にありがとうございます。

70 名前:(^ー^*)ノ〜さん:07/08/11 04:22 ID:s/nAcxAN0
>>69
パスはちゃんと安全な状況になってから変えるんだぞ。
かかった状態でやると垢ごと持って行かれかねいないから。

後は警察への届とかあるだろうけど悔しさを糧に頑張れ!

71 名前:(^ー^*)ノ〜さん:07/08/11 16:40 ID:ua2OR7S70
【      気付いた日時          】 8/10 午前11時半頃
【不審なアドレスのクリックの有無 】 www■interzq■com/bbs/
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【    ツールの使用の有無      】 No
【  ネットカフェの利用の有無    】 No
【     OS    】 Windows XP home edition SP2
【使用ブラウザ 】 Internet Explorer 6.0
【WindowsUpdateの有無】 8/10の8時頃
【 アンチウイルスソフト 】 無し
【その他のSecurty対策 】 無し
【 ウイルススキャン結果】 Trojan-PSW.Win32.Maran.ff
【スレログやテンプレを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
新しくパソコンを購入し、対策などをする前にURLを踏んでしまいました。
午前10時頃に一度ログアウトをし、11時半頃にログインしようとした所
キャラセレクト画面で、頭装備がありませんでした。
しかもログインすると、プロンテラのカプラ職員で移動で出る上辺りにいて
見知らぬノービスが真横に・・・。
その後、別アカウントの自キャラが突然現れました。
(ココで慌ててもう片方のPCでログイン阻止)

被害としては、2アカウント共に倉庫内の装備系の大半。
(銘ありや、微妙な物のみは残り)
アカウント片方の装備とZeny、2アカウント目の装備一部とZeny
(途中だったのか、4番目と5番目のキャラのみの被害)
被害額は聞かないで下さい。

ガンホー側に通報済み。
警察の方にも行きましたが、都合により平日に再度来てほしいとの事。
対策も無しで不用意であったと、自分でも思っております。

72 名前:(^ー^*)ノ〜さん:07/08/11 18:17 ID:4hPcAx9Z0
>>71
安全な環境からパス変更してがんばれ。

パス盗まれてから、比較的短時間で垢ハックに動かれた事例かな。

73 名前:(^ー^*)ノ〜さん:07/08/11 18:33 ID:jEvXvzz10
夏休みからかゆっくりとネット巡回してる人も増えてそうだね
そこでうっかり…っていうパターンが多いのかも
お盆で帰省し、いつもとは違うPCを使ったりすることもあるだろうから十分注意を

上げておきますね

74 名前:(^ー^*)ノ〜さん:07/08/11 23:42 ID:JfqGv1Ui0
とは言っても、ノンセキュアな環境からネットに接続する事自体がリスキーなんだよね、ROに限らず。
このあたり、ユーザー全体層の意識改革が必要な部分ではあるけど。

75 名前:(^ー^*)ノ〜さん:07/08/12 02:25 ID:0yms2hgL0
殴りプリテンプレに投下されたコメント。
>RO改善運動速報など、表紙でニュースを更新中。tp://www■fcty-net■com/jplink

ドメインの方はもう既出だけど。
他の場所にも張られてるかもしれないし、うっかり見に行く人がいそうな書き方なので一応晒し。

76 名前:(^ー^*)ノ〜さん:07/08/12 02:41 ID:iBl4MtDk0
>75
www■blogplaync■com/kin■htm
→www■blogplaync■com/king■cur
→www■blogplaync■com/king■htm
→→www■blogplaync■com/chengzhi■exe

例によっていつものパターン。

77 名前:(^ー^*)ノ〜さん:07/08/12 09:47 ID:R6mwgObb0
ヒマワリ貴重な書物 by 来杉弓香
↑この内容で、検索したらRMCやリネのBlog等にも張られていたんですが
書き込まれているURLは何種類かあるようです。これも垢ハックでしょうか??
最新定義のウイルスバスターでは検出できずでした。

78 名前:(^ー^*)ノ〜さん:07/08/12 09:50 ID:lX8KDDsV0
>>1 ※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

79 名前:71:07/08/12 10:23 ID:sU5S+UqD0
>>72
ありがとうございます。
パス自体は、2PC側でキャラを落とした後に変更いたしました。

履歴からどこで踏んだかも判明し、12時間〜24時間以内だと思います。
ちなみに、怪しいノービスはその後売り商人側にアイテムを移動しており
その日の内に露店に並ぶ事に・・・。

>>74
はい、それは重々承知していましたが
新しくパソコン購入などで、一部浮かれていたのが原因かと思います。
>>71の最後の行の通りで・・・。

80 名前:(^ー^*)ノ〜さん:07/08/12 10:32 ID:IGzsrY/S0
>>79
ガンホーへの報告は、極力、時刻(自分と、垢ハック相手の接続していた)をはっきりと書くんだぞ。
ガンホーからの返答報告も、あとで報告してもらえると助かる。

81 名前:(^ー^*)ノ〜さん:07/08/12 12:43 ID:wbfXE6LO0
7月末に福建人が取得した罠ドメインを発見。

hibikj■org
lineageディレクトリに罠あり。

ソース辿るとtestと言う名の凄くやばい物が置かれてる、12日12時にVIRUSTOTALすると
AVGとeSafeだけが検出、残り全部スルー。

ドメイン名から日本狙いか(”ヒビキ”をもじったものだろう)
過去にスズキをもじったスズクルと言う罠ドメインがあったことからすると間違いなさげ。

登録情報
Domain Name:HIBIKJ.ORG
Created On:29-Jul-2007 13:25:04 UTC
Expiration Date:29-Jul-2008 13:25:04 UTC
Sponsoring Registrar:Xin Net Technology Corporation (R118-LROR)
Status:TRANSFER PROHIBITED
Registrant ID:JLXZXM7NDUVSI
Registrant Name:chen jinian
Registrant Organization:guo yongkai
Registrant Street1:longyan
Registrant City:longyan
Registrant State/Province:Fujian
Registrant Postal Code:364000
Registrant Country:CN

82 名前:(^ー^*)ノ〜さん:07/08/12 12:49 ID:wbfXE6LO0
↑しまった罠ドメインの登録情報■にするの忘れていた。
削除依頼済み。

83 名前:(^ー^*)ノ〜さん:07/08/12 14:33 ID:U5UUUn9p0
77のURL踏んじまったんだけど、まずい?

84 名前:(^ー^*)ノ〜さん:07/08/12 14:56 ID:IGzsrY/S0
>>83
正確なアドレスはわからないが、わたしが見たのは既知のアドレスだった気がする。
スキャンと除去。可能ならOS入れなおしいってこい。

85 名前:(^ー^*)ノ〜さん:07/08/12 15:20 ID:U5UUUn9p0
>>84
とりあえずスキャンしてもひっかからなかったんで大丈夫かな。
別のPCからパス変更しとくわ。ありがとう。

86 名前:(^ー^*)ノ〜さん:07/08/12 15:23 ID:IGzsrY/S0
>>83>>85)
NOD32で1つすり抜けてる。バスターで検知失敗しただけかもしれんので、カスペのスキャンもかけとけ。
PG2入れてれば、入手前に接続ブロックしてるので、引っ掛からないけどな。

http://www■aaa-livedoor■net/cett/
http://www■aaa-livedoor■net/cett/wz■htm -> 現時点では空
http://www■aaa-livedoor■net/cett/wu■htm -> iframeでkiss.htmとdns.htmを開く
http://www■aaa-livedoor■net/cett/kiss■htm -> yan.exe
http://www■aaa-livedoor■net/cett/dns■htm -> yan.exe

http://www■ro-bot■net/cett/yan■exe

http://www■imbbs2t4u■com/linkgss/
http://www■imbbs2t4u■com/linkgss/imbbs■htm -> naitt1.exe
http://www■imbbs2t4u■com/linkgss/imbbs■cur -> ダウンローダ

http://www■mbspro6uic■com/linkgss/naitt1■exe

Kaspersky
yan.exe : Trojan-PSW.Win32.OnLineGames.aco
imbbs.cur : Exploit.Win32.IMG-ANI.ac
naitt1.exe : Trojan-Downloader.Win32.Delf.bpm

NOD32
yan.exe : すりぬけ
imbbs.cur : Win32/TrojanDownloader.Ani.Gen トロイ の亜種
naitt1.exe : Win32/PSW.Lineage.ACN トロイ の亜種

カスペでは引っ掛かったけど、NOD32で1つすりぬけしたので検体提出行ってきます。

87 名前:(^ー^*)ノ〜さん:07/08/12 15:36 ID:U5UUUn9p0
>>86
ノートン先生なんだけど、これじゃ危ない?
ちなみに踏んだの↓なんだけど。
http://www■youxiriben■net/navi/

88 名前:(^ー^*)ノ〜さん:07/08/12 15:38 ID:d/4QoJ+x0
だからそういうスレではないと何度も…

89 名前:(^ー^*)ノ〜さん:07/08/12 15:43 ID:IGzsrY/S0
>>87
(´・ω・)っ[ ソースチェッカーオンライン ]

んで、そこは確実にアカハック置いてるとこだから危ない。

90 名前:(^ー^*)ノ〜さん:07/08/12 15:53 ID:IGzsrY/S0
ノートンが対応しているかどうかは知らね。

http://www■youxiriben■net/navi/svch■exe

Kaspersky
Trojan-PSW.Win32.Maran.gen

NOD32
Win32/PSW.Maran トロイ の亜種

91 名前:(^ー^*)ノ〜さん:07/08/12 16:33 ID:UKPqxgpl0
俺も踏んだ・・・
とりあえず携帯からガンホーIDとアカウントのパス変更はした
今スキャンしてみてるんだけど、>>90のやつとかひっかかって駆除したとしても
OS再インスコできる状況にできるまでRO入らないほうが賢明なのかな

92 名前:(^ー^*)ノ〜さん:07/08/12 16:36 ID:iBl4MtDk0
駆除して完全にクリーンになったという自信があるならログインしてもいい。
その確証が無く不安が拭えないのなら、再インストールした方がいいし
それまではログインしない方がいい。

全ては自己責任で対処するしかない。

93 名前:(^ー^*)ノ〜さん:07/08/12 20:35 ID:z+yP85Xa0
2月8日、被害に気付きガンホに報告。
20日に警察へ。ウイルスは仕込まれていたか等の質問に黙々と答えていくだけ。
時間は20分もなかったと思います。警察の対応も良く、難しい質問はされませんでした。
捜査終了の際にお電話をくださるそうです。

そして待つこと3ヵ月半、6月2日、捜査結果を報告されました。外国の不正アクセスということで逮捕はできないとのこと。
電話終了後、ガンホに「相談した警察と担当者名」と「警察へ通報した日」を報告しました。以下ヘルプデスクの返答。

「連絡いただきました●●警察には
既に、運営チームより調査資料を提出しておりますので
●●警察署に担当者様に進捗等の確認を
行わせていただいた後に改めてご報告いたします。
今しばらくお待ちいただきますようお願いいたします。」

ここまで私は割と迅速にアイテム復旧作業に入ってくれるものと思っていたのですが、あれから既に2ヵ月経った現在も復旧待ち。
担当の警察に確認するだけならこんなに時間掛からないと思うんですが…。
それとも捜査がまだ終了していないとか?でも電話での聞き間違いってことはないだろうし…。
ガンホに質問しても「捜査の進捗状況を確認させていただき、改めてご報告をさせていただきます。」ばっかりです。
自分の報告不足でトラブルが起きてるとかだったらどうしようかと頭を悩ませています。
このまま待ってても大丈夫でしょうか(´・ω・`)

94 名前:(^ー^*)ノ〜さん:07/08/12 22:49 ID:Zun4vaZu0
残念だが垢ハクでアイテム復旧は無いよ

95 名前:(^ー^*)ノ〜さん:07/08/12 22:50 ID:s3QGlRZo0
アイテム復旧報告前あったよね?

96 名前:(^ー^*)ノ〜さん:07/08/12 22:55 ID:uOdkswJ20
二ヶ月も待ってるんだし、進行状況を聞いたほうがいいよ
ガンホー側の資料はシュレッダーにかかってるだろうけど
警察の資料はまだ生きてるとおもう
ガンホーとしてITEM復旧をせずにRMTしてほしいのが本心
しつこく連絡すると仕方なく復旧してくれるときがある
諦めるな!

97 名前:(^ー^*)ノ〜さん:07/08/13 15:36 ID:RkbstXf50
サポートとかはしつこくこっちからいかないと反応ないときの方が多いからな
相手はSB系なわけだし

98 名前:93:07/08/13 17:56 ID:OmKmGRPy0
ありがとうございます。希望持ってみます!
もしかしたら私の説明不足かもしれないので、外国の不正アクセスとのことで犯人逮捕はできないということをはっきり相談してみました。
そして以下ヘルプデスクの返答です。

「ご投稿いただきました内容に関してですが
お客様がご登録いただいております、住所の一部が
正確にご登録されていない事を確認いたしました。

つきましては、ご登録いただいております内容を
確認いただき、正確な情報ご入力いただいたうえ
今一度、ご投稿いただければと思います。」

!!
現在住所確認→変更し、ガンホの確認待ちです。
これが原因で2ヵ月おとなしく待っていたとかだったらどうしよう。
ヘルプデスクの返答が来たらまた報告します。

99 名前:(^ー^*)ノ〜さん:07/08/13 17:57 ID:RkbstXf50
ヘルプディスクだけでなく電話なんかもしてしつこく聞いた方が良いと思うけど

100 名前:93:07/08/13 18:57 ID:OmKmGRPy0
返答来ました。
アイテム復旧に応じてくださるようです。
ということで、どうやらこちらの住所ミスが原因で警察への確認ができなかったのではないかと思われます…。
準備から復旧までは1〜2週間程度の時間を要するとのこと。
アドバイスありがとうございました!

101 名前:(^ー^*)ノ〜さん:07/08/13 19:00 ID:NVsCu3Rt0
>>87 から24時間、貼られてからはもっと経つが、某所からは削除されて
いない。管理人不在か…。

102 名前:(^ー^*)ノ〜さん:07/08/13 19:48 ID:NM+YjbIW0
>>100
おー、復旧してもらえそうなのか
おめでとう。しかし時間掛かりすぎだなぁ
中華も逮捕出来れば垢ハク減る気がするんだけどな

103 名前:(^ー^*)ノ〜さん:07/08/13 20:12 ID:DYqoyyOW0
http://www.ragnarokonline.jp/playguide/play_manner/account_hacking.html

>捜査完了後の弊社の対応について
>運営チームでは、警察機関の調査によりアカウントハッキングの事実が確認され、捜査が完了した場合には、
>アカウントハッキングの被害により失われたアイテムやキャラクターなどを可能な範囲で復旧させていただいております。

>※ アカウントハッキングであると確認され、まだ捜査中の場合はアイテム等の復旧は受け付けておりません。
>※ ガンホーゲームズサービス利用約款に違反している場合には復旧が出来ませんので、予めご了承ください。

久しぶりに見たが、警察への連絡の際に何を伝えたらいいかもまとめられてるな。

104 名前:(^ー^*)ノ〜さん:07/08/14 01:00 ID:Oi8BfUYt0
>>101
盆休みで、ネット環境の整っていない所に帰省していたりするかもしれないから、この時期や正月休みは要注意だな。

105 名前:(^ー^*)ノ〜さん:07/08/15 09:45 ID:u6mQGGub0
headを整理。

106 名前:Catia_f ★:07/08/15 09:47 ID:???0
すみません。大誤爆しました....。

107 名前:(^ー^*)ノ〜さん:07/08/15 10:38 ID:M1MCUvef0
|ω・) ミテシマッタ

108 名前:(^ー^*)ノ〜さん:07/08/15 10:42 ID:TyoC6dQC0
WUもきたし1回ageまする

109 名前:(^ー^*)ノ〜さん:07/08/15 14:15 ID:iFn8iJM7O
頼むからいい加減フリーコールにしろと言いたくなるくらい
電話デスクはトロいよね。
担当者が名乗る様にはなったけど平気で300円くらい電話代すっ飛ぶよ……

110 名前:(^ー^*)ノ〜さん:07/08/15 14:31 ID:uxTFEhqz0
>>103
垢ハク出てきてページ作れって言われるようになってから2年以上。
それだけ時間あれば幼稚園児でも作れるんだよな…。

111 名前:(^ー^*)ノ〜さん:07/08/15 20:21 ID:dyuSs+xd0
幼稚園児じゃ15年ぐらい待たんと。

112 名前:71=79 ◆ukhxosT7i2:07/08/16 14:10 ID:eZ+ZvGha0
http://www.mmobbs.com/uploader/files/3084.jpg
http://www.mmobbs.com/uploader/files/3083.jpg
最初の報告と、現在一番最新の返答です。
この最後の返答で、投稿ステータスが完了になってしまい
これ以上この場所から追加で送れなくなってしまいました。

この後は連絡を待つしかないでしょうか?
(警察にも行き調書は済んでいます(所要時間:約6時間)

113 名前: ◆ukhxosT7i2:07/08/16 14:41 ID:eZ+ZvGha0
・警察の対応
やはり仮想世界の問題であり、基本的に冷たい(諦めたらどうか?など)
ヘルプデスクの返答などを持参し見せた所、「随分となめた運営だ」と言われました。
(最初から警察に行けとの部分により(法律上・・・(以下略)

ウィルス元の位置情報なども持ち込みでしたので
犯人の特定や逮捕は難しい(ほぼ不可能に近い)との事。
(一応捜査はしてみるが、途中で打ち切る可能性が強い事)
その内>>93の”外国の不正アクセスということで逮捕はできないとのこと。”
と来るのが想像つきますね。

調書(ゲームを始めた理由など〜ウィルスにかかりアイテムを盗られるまでの内容)

114 名前:(^ー^*)ノ〜さん:07/08/16 16:08 ID:3cl0Y/eP0
ちょっと亀レスだけど。。。

77 :(^ー^*)ノ〜さん :07/08/12 09:47 ID:R6mwgObb0
ヒマワリ貴重な書物 by 来杉弓香
↑この内容で、検索したらRMCやリネのBlog等にも張られていたんですが
書き込まれているURLは何種類かあるようです。これも垢ハックでしょうか??
最新定義のウイルスバスターでは検出できずでした。


上記のRMCの板に無差別で貼られてるURLは垢ハックです。
皆さん注意しましょう。

115 名前:(^ー^*)ノ〜さん:07/08/16 16:51 ID:ynprlej10
警察の対応が冷たいというか面倒くさいのでしょう
捕まえられないのはわかってますしね
アイテムを取り戻すまでの手順だと割り切って届けを出すのがいいかと思います。

116 名前:(^ー^*)ノ〜さん:07/08/17 12:00 ID:fIvMuhV30
kaspersky のページが表示されない。
なにかのエラーページ?っぽいのは表示されるのですけど・・。
私だけですかね?他の方はどうでしょうか。

117 名前:(^ー^*)ノ〜さん:07/08/17 12:08 ID:0GZeBBL90
tp://www.kaspersky.com/
tp://www.just-kaspersky.jp/
なら普通に見れる
それ以外は知らない

118 名前:(^ー^*)ノ〜さん:07/08/17 14:07 ID:qjo8BUAg0
何か喰らってウィルス対策ベンダへのHOSTS書き換えられたんじゃ?

195■200■84■20
で行けないか?

119 名前:116:07/08/17 15:45 ID:fIvMuhV30
>>117
>>118
レス有難うございます。
私が見ていたkasperskyのページはアドレスの最後が[co.jp]の所でした。
本日の深夜から午前中??くらいまでは、そのページにアクセスすると
Permission denied〜〜〜という感じのエラーページが表示されました。
今見てみると復旧してるみたいですね。
お騒がせしました。

120 名前:(^ー^*)ノ〜さん:07/08/17 19:28 ID:k1RKRf460
簡易ブラクラURLチェックは閉鎖したのですか?

121 名前:(^ー^*)ノ〜さん:07/08/17 20:05 ID:J13pzKy60
whois■jp で kaspersky■co■jp をチェックしてみると……ふーん。という感想

122 名前:(^ー^*)ノ〜さん:07/08/17 20:24 ID:8/Dv4C0p0
【      気付いた日時          】 8/17 午後2時頃
【不審なアドレスのクリックの有無 】 気づきませんでした
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【    ツールの使用の有無      】 No
【  ネットカフェの利用の有無    】 No
【     OS    】 Windows XP Home Edition SP2
【使用ブラウザ 】 Sleipnir 2.5.12 JavaScript・Java・ActiveX Off / Internet Explorer 6.0
【WindowsUpdateの有無】 8/14 適用済
【 アンチウイルスソフト 】 ウィルスバスター2007
【その他のSecurty対策 】 Sygate Personal Firewall / Ad-Aware SE Personal
【 ウイルススキャン結果】 カスペルスキーオンラインスキャナにて検出 ( Trojan.Win32.Agent.axa )
【スレログやテンプレを読んだか】 Yes
【hosts変更】Yes 更新は7/1頃
【PeerGuardian2導入】No
【説明】
さきほど、カスペルスキーオンラインスキャナをかけてみたところ
Trojan.Win32.Agent.axa
というウィルスに感染したファイルが見つかりました。
(ウィルスバスターの検索では反応なし)
これはRO関連のウィルスなのでしょうか?

昨日スキャンした時は何も見つからず
挙動不審なページを開いた記憶もありません。
アカウントハック被害は(まだ?)ないのですが、
お盆で帰省してから、ROのWikiやBlogを見る事が多かったPCなので
とても不安です。

これからカスペルスキーの試供版で駆除しようと思うのですが
OSの再インストールやHDDのフォーマットは必須でしょうか?
また、退避させるデータへの感染の危険性はあるのでしょうか?
せめてROのウィルスなのかがわかると良いのですが…。

123 名前:(^ー^*)ノ〜さん:07/08/17 20:38 ID:3PA69bcr0
>>122
P2Pしてる?Winnnyとかそういうの

124 名前:(^ー^*)ノ〜さん:07/08/17 21:03 ID:8/Dv4C0p0
Winnyとか(ファイル交換?)はやった経験が全くないです。
感染してたファイルは、vga_driver_vtuner3■exe 
という、確かグラフィックボード関連のものでして、
かなり昔にメーカーの公式ページからDLしたものでした。

また、感染ファイルのあったフォルダを、
カスペルスキーで個別に再スキャンしてみたのですが、
今度は何も検出されませんでした…。
なんだか逆に不安になってしまいました。

ウィルスとか初めてでかなり混乱してしまっています。
別のファイル等に感染してしまうことってあるのでしょうか?

125 名前:(^ー^*)ノ〜さん:07/08/17 21:51 ID:Fh+Qlc9w0
丁度今同じ物をROのクライアント(rag_setup.exe?)に感知したと言う話がLiveROの方で出てるので、
そちらも見るといいかも。誤検出の可能性もあるし、ちょっと様子見かな。
癌なら本当にトロイ混入とかあってもおかしくないが・・・まぁちょっと待ってみるといいかも。

126 名前:sage:07/08/17 21:59 ID:bnHrglX60
わたしも>>122と同じウィルスが確認されたとカスペルスキーオンラインスキャナで見つけました。
【      気付いた日時          】 8/17 午後4時頃
【不審なアドレスのクリックの有無 】 気づきませんでした
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【    ツールの使用の有無      】 No
【  ネットカフェの利用の有無    】 No
【     OS    】 Windows XP Home Edition SP2
【使用ブラウザ 】Opera9.02
【WindowsUpdateの有無】 8/14 適用済
【 アンチウイルスソフト 】 McAfee
【その他のSecurty対策 】McAfee PersonalFireWall plus/SpyBot
【 ウイルススキャン結果】 カスペルスキーオンラインスキャナにて検出 ( Trojan.Win32.Agent.axa )
【スレログやテンプレを読んだか】 Yes
【hosts変更】Yes 7月頃
【PeerGuardian2導入】No
【説明】感染場所はデスクトップに置いたままにしていたrag_setup■exeでした。
感染ファイルを削除して、再度オンラインスキャンしたところ、
レストアファイルに残っていたので一度復元を無効にし、再々チェックしたところ見つからなくなりました。
一応、もう一台のパソコン(カスペルスキーオンラインスキャナで確認したところ、ウィルスなし)で
パスの変更は行っておきました。

127 名前:126:07/08/17 22:00 ID:bnHrglX60
書き込みなれておらず、名前欄にsage記入してしまいました。
焦っていて上げてしまい、申し訳ありません。

128 名前:122:07/08/17 23:00 ID:8/Dv4C0p0
レスありがとうございます。

再度カスペルスキーで完全スキャンしてみたのですが
やはり何も見つかりませんでした。
ウィルスが検出されたファイルの削除等はしていませんでした。

私も念のため、別のPC(感染なし確認済み)からパスを変更、
しばらく様子を見ようと思います。

129 名前:(^ー^*)ノ〜さん:07/08/17 23:01 ID:ONnUe5+NO
私も>122 126さんと一緒の現象起きました。違うのはWikiなどは見てない事でしょうか。RO知人のblogは見ましたがコメント欄のリンクなどは踏んでいません

130 名前:(^ー^*)ノ〜さん:07/08/18 03:57 ID:TEA2Hu++0
垢ハックのパターンで癌IDのパスを変えられるってことはありますか?
何故か何度やってもアトラクションセンターにログインできなくて
別PCでもログインできなくてしかたなくパスを再設定したんですが
本人確認のメールなしにパスを変えられることってあるんでしょうか

131 名前:(^ー^*)ノ〜さん:07/08/18 04:34 ID:D1VoN5Ez0
感染していたら、癌PASSが変更されてもおかしくないし
癌PASSが盗まれているなら、メアドも盗まれていておかしくない。
なので感染しているなら、癌PASS再度変えられるかもしれない。

・Caps Lock等押してた ・表示と設定の違うキーボードを気付かずに使っていた
 だけかもしれないので、心配な場合は>>5を参照してみて下さい。

癌PASSの変更は、ユーザーログインしてしまえば簡単に出来ます。
メール確認云々は、個人情報だけだったような (アドレス モロ記載されてるけど・・)

132 名前:(^ー^*)ノ〜さん:07/08/18 05:09 ID:BFNjnATb0
メルアドもばれるだろから根こそぎ持っていかれるね。
癌に電話連絡すれば再変更してもらえるからちょとしてみれ。

133 名前:(^ー^*)ノ〜さん:07/08/18 05:51 ID:TEA2Hu++0
>>131-132
レスありがとうございます
とりあえず感染してる可能性のない昔使ってたPCを引っ張り出してpass類を全部変更しました
癌IDにログインさえされなければpass変更手段は送られてきたメールの本人確認キーが必要なので
今のところ大丈夫だと思います
マカフィーでスキャンしてその後オンラインスキャンでトレンドマイクロとカスペルをやりましたが
3つともともひっかからなかったので
今日はもう寝て明日一応OS入れなおします

134 名前:(^ー^*)ノ〜さん:07/08/18 10:41 ID:x+WE/yis0
某情報局にRMTを装った垢ハクアドレス貼り付けが多発してる、との記事があったので
文面からググってみた。

www■pagetions■com/wiki/
wz■htmとwu■htmを呼び出し。
さらにkiss■htmとdns■htmを呼び出して svch■exe 。
環境的に検体をDLしてのチェックが出来ないので、カスペ等で検出するかどうかは不明。

貼り付けられてた文面は見事に中華。
pagetionsは初出のようで、まとめサイトにもリネ資料室にも載ってなかったのでご注意を。

RMTerが引っかかっても自業自得としか思わないが、この手口ってマッチポンプというか
Zenyを売りつけた後に装備ごと回収する気満々だな……

135 名前:(^ー^*)ノ〜さん:07/08/18 11:18 ID:Hg1Ky9Qw0
>>134
この話がRMTerにも広まれば怖くて買えなくなるから(多分)
中華は自分の首絞めてるだけな気がするんだが

136 名前:(^ー^*)ノ〜さん:07/08/18 13:09 ID:a8BJQ/ME0
>>134
いつものUpack圧縮Maran。

137 名前:(^ー^*)ノ〜さん:07/08/18 17:14 ID:ZrRulAq00
【  アドレス   】 http://www■haiximaxida■net/navi
【気付いた日時】 8/18
【     OS    】 XP
【使用ブラウザ 】 IE6
【WindowsUpdateの有無】 最後は2日前 自動更新あり
【 アンチウイルスソフト 】ウィルスセキュリティZERO
【その他のSecurty対策 】ルータ
【 ウイルススキャン結果】 検出なし
【スレログやテンプレを読んだか】Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
RMCの各スレッドにマルチ張り、開いたら真っ白。すぐ閉じたためその先は不明
アドレスチェッカーで危険サイトと判定。
ROのIDはパス別PCですでに変更しているが、ウィルス検出や警告はなし。
チェッカーによると自動リンク先に中国語のサイトが出ているからハックの可能性も高いと思う。
これから僕は何をするべきがアドバイスください。

138 名前:(^ー^*)ノ〜さん:07/08/18 17:21 ID:ZrRulAq00
書き忘れましたが踏んだPCはすでにネットから切断してあります

139 名前:(^ー^*)ノ〜さん:07/08/18 17:48 ID:NoK/xwf70
何したらいいかは調べればわかると思うんだけども

140 名前:(^ー^*)ノ〜さん:07/08/18 18:10 ID:Hg1Ky9Qw0
何したら良いのかすら分からないんだから垢ハクなんて踏むんだよ

141 名前:(^ー^*)ノ〜さん:07/08/18 18:19 ID:rOjR14hV0
ウィルスセキュリティZEROってavastより信頼性なさそうだな

142 名前:(^ー^*)ノ〜さん:07/08/18 19:04 ID:FO+CxjM00
>>137
するべきことは>>5を参照。

143 名前:(^ー^*)ノ〜さん:07/08/18 20:33 ID:wafRedkt0
>>141
ttp://ja.wikipedia.org/wiki/%E3%82%A6%E3%82%A4%E3%83%AB%E3%82%B9%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3
ソースネクスト製品はOEM元を見極められるようでないと、使いこなすのは難しい。

144 名前:(^ー^*)ノ〜さん:07/08/19 00:55 ID:bxhruKH10
eir.sns.sns.fc.com
eirプレイヤーSNSですというチャットを立てて垢ハクウィルスURL出してる中華を発見
ゲーム内でも表立ってやるようになって、もうやりたい放題もここに極めれり

145 名前:(^ー^*)ノ〜さん:07/08/19 00:56 ID:bxhruKH10
eir.sns.sns.fc2.comだった

146 名前:(^ー^*)ノ〜さん:07/08/19 01:14 ID:bxhruKH10
画像もうp
ttp://www.vipper.net/vip311443.jpg

147 名前:(^ー^*)ノ〜さん:07/08/19 01:29 ID:vEXbmWho0
・情報まとめて書いたらどうか
・「.」は置き換えろとあれほど(ry
・何故VIPのあぷろだなのか
・SSも一部加工するべきではないのか
・チェッカーで覗いたけど作り込まれてる感じで本当に垢ハックなのか

148 名前:(^ー^*)ノ〜さん:07/08/19 01:52 ID:naqEkL7x0
中華突撃してみたが
今BOTをしてもBANされる可能性がかなり高いから
めんどうだけど垢ハックに切り替えているらしい
みんな注意されたし

149 名前:(^ー^*)ノ〜さん:07/08/19 01:54 ID:Qdc+1Cef0
>ID:bxhruKH10
一体何を基準にアカハックアドレスと判断したんだ?

150 名前:(^ー^*)ノ〜さん:07/08/19 02:15 ID:Fp4NXWH00
宣伝か私怨だろ

151 名前:(^ー^*)ノ〜さん:07/08/19 22:22 ID:vEXbmWho0
で、真偽は結局謎のままなんけ?

152 名前:(^ー^*)ノ〜さん:07/08/20 01:04 ID:Se6b5d0/0
>151
SSにあるJoin.phpも、その入力フォームも、ごく普通。
その先の会員ページは見れないので不明。

自分が見た範囲では全くの無害に見えたし>149の問いにも
反応がないあたり、宣伝か私怨晒しかのどちらかと思われ。

153 名前:(^ー^*)ノ〜さん:07/08/20 02:15 ID:ZTPWfcWP0
てすてす

154 名前:(^ー^*)ノ〜さん:07/08/20 02:16 ID:ZTPWfcWP0
ttp://up■uppple■com/src/up5288■jpg

Roの職業Wikiに張ってあったURLを誤クリで踏んでしまいました。
拡張子がjpgだったことから画像かと思いきや、ウィルスバスター2007が開き、
スパイウェアの警告が物凄い数表示されてしまいました。
今カスペルスキーの1ヶ月無料版でスキャン中ですが、
このサイトは垢ハックの物でしょうか?

155 名前:(^ー^*)ノ〜さん:07/08/20 02:34 ID:Se6b5d0/0
>154
チェック不能なぐらい、大量のマルウェアが仕込まれてるが、その中に
din-or■com/bbsがあったので、垢ハクも混ざってると思っていい。

そしてこれだけの数が仕込まれてると、駆除しても完全に安全とは
到底言い切れない。
OS再インストールした方が無難。

156 名前:(^ー^*)ノ〜さん:07/08/20 02:36 ID:Se6b5d0/0
あと、ROの職業Wikiとあるが、どこの事だ?
他の人が間違って踏まないためにも、どのWikiだったかの
報告は欲しいかも。

157 名前:(^ー^*)ノ〜さん:07/08/20 03:55 ID:j8syGBvv0
中途半端・不正確な報告は迷惑だよな

158 名前:(^ー^*)ノ〜さん:07/08/20 09:09 ID:Kg35BLuR0
何で情報交換してるかってあんまり考えてないのかもね
自分は大丈夫ですか?ってことさえ聞ければいいってこと?
そのURLが晒されてる間に他にも何人も同じような被害がでるかもしれないのにね

159 名前:(^ー^*)ノ〜さん:07/08/20 13:16 ID:9aeIBPGd0
触れてはいけない話かも知れないが、R.M.Cってなぜ同じアカハックURLを
何度も貼られて、そのURLを禁止ワードにしないんだろうね?管理人も
同じ種類のものを何十個とか削除し続けるのは苦痛だろうに。しかも
削除追いついてないし。

160 名前:(^ー^*)ノ〜さん:07/08/20 13:26 ID:RKcRofag0
あの管理人は馬鹿だからあんまり期待しないほうがいいぞ

161 名前:(^ー^*)ノ〜さん:07/08/20 13:48 ID:gFagAv0K0
だってなぁRMCサイト内にRMTサイトの広告貼ってる馬鹿だからなぁ
そんな奴に対応求めるのは無理だろうよ
削除されてるだけマシかと

162 名前:(^ー^*)ノ〜さん:07/08/20 15:38 ID:rqhmXO2W0
あの広告はGoogle側から勝手に貼られるんじゃなかったか

163 名前:(^ー^*)ノ〜さん:07/08/20 15:58 ID:L3kpBr940
>>159
・あの場所でまともに仕事をしているのは管理補佐役の削除屋
・管理人は余程のことがない限り動かない
・でもGv日記はわりと更新されてるね

>RMC縮小メモ
>・削除屋の権限強化→副管理人へ
>・全部で5,6人に増やす
とかあるから、絶賛モチベ低下中だとは思われるが。

164 名前:(^ー^*)ノ〜さん:07/08/20 16:09 ID:DedseKSa0
URLの自動リンクをなくせばいいんだろうけどね
まぁいい加減ここで言い合っても仕方ないので要望あれば向こうの掲示板でどうぞ

165 名前:(^ー^*)ノ〜さん:07/08/20 18:04 ID:vLo6yBWl0
サーバメンテ中のNinja以外をWikiの検索(uppple.comを対象語として使用)したんだけど
Hitせず。詳細は154街。

# ここは無料サポートじゃなくって情報交換所であるんだけどねぇ。

RMCは、別にモチベなんて上下するもんだしそれ自体はかまわないし、所詮趣味だから
きつい事を言う気は無い。でも、それで迷惑をこうむる人が居るならば最低限それに
ついて位は対処して欲しい物だよなぁ。それが管理人としての数少ない義務だとは
思うんだけど。まー、運営側強化でようやくそっち方面の動きが見られるってのは良い事だろう。
他山の石としたいところかな。

166 名前:(^ー^*)ノ〜さん:07/08/20 18:12 ID:yPV5SY8W0
RMCの運営についてはRMCの板で話すのがよいね。
サイトの整理縮小とかも考えてるみたいだし、ちょうどよい機会だから
おそらくその手の要望とかも目を通して検討してくれると思うよ。

167 名前:(^ー^*)ノ〜さん:07/08/20 20:31 ID:GkuMwELk0
>>161
あれはGoogleAdsが悪いんであってな。
仕組みは自分で調べてくれ。

168 名前:(^ー^*)ノ〜さん:07/08/20 20:34 ID:j8syGBvv0
GoogleAdsを利用しないという選択肢だってあるわけだがね。収益優先で利用し続けているわけだね。

169 名前:(^ー^*)ノ〜さん:07/08/20 20:39 ID:GkuMwELk0
>>168
お前wwwwwwwwwww


無料で鯖が維持出切るとでもお思いか。
それともサイト管理者は身切りで運営すべきとでも言うおつもりか。
そもそもアフェリで稼げるなんて夢物語と知れ。

170 名前:(^ー^*)ノ〜さん:07/08/20 20:42 ID:DedseKSa0
頼む、そろそろ他所でやってくれ

171 名前:(^ー^*)ノ〜さん:07/08/20 22:02 ID:G0FhPhu70
RMT広告で鯖運営なんか嫌だなぁ

アカハク中華のお零れを受けてるわけだろ

172 名前:(^ー^*)ノ〜さん:07/08/21 02:06 ID:x0XW36mv0
サイト管理者が自腹で運営すべきとは思わない。
広告を入れても良い。

だがな・・・ RMT広告は論外だろ?

収入は若干落ちるだろうが、固定の広告を入れるなど、回避方法はいくらでもある。
R.O.M 776や、かつてのOWNなどな。


それをやらないR.M.C管理人は糞。


さて、すがる臭い巣に戻るか。

173 名前:(^ー^*)ノ〜さん:07/08/21 02:08 ID:NjQkhW1T0
GoogleAdsenseってURL指定で特定の広告拒否できなかったっけ

174 名前:(^ー^*)ノ〜さん:07/08/21 02:13 ID:x0XW36mv0
>>173

出来る。

だが、RMT業者はドメイン・URLを変えて何度も新規登録してくるので、いたちごっこ。

GoogleにRMT業者の広告を排除するように何度もメールを送ったが、一度も返信は来なかった。

175 名前:(^ー^*)ノ〜さん:07/08/21 02:20 ID:NjQkhW1T0
>>174
そっか、この方法もいたちごっこなのか。
gamedb.infoとかURLフィルタで頑張ってるみたいだから
RMCでもやらないかなと思って言ってみたんだけど。

そういえばGoogleはこの前卒論・レポート代行業者の広告を規制したけど。
RMTも規制して欲しいもんだ。

176 名前:(^ー^*)ノ〜さん:07/08/21 03:08 ID:dsozoP4N0
セキュ雑談スレですらスレ違い気味の話題なのに
なぜここで延々続ける。

177 名前:(^ー^*)ノ〜さん:07/08/21 03:09 ID:TIgs2NPL0
livedoorのブログなんかは強制で宣伝入るようになったけど
何社か選べるようになっててそのうちどこだったかは
RMTをはじいてるみたいでRMT広告が入らないって話だよ

いたちごっこかもしれないけどGoogleAdsenseを選んでおいて対策なにもしないんじゃ
今までのガンホーと同じじゃん

178 名前:(^ー^*)ノ〜さん:07/08/21 09:08 ID:gxnPvWWT0
誘導するのも正直かなり心苦しいが、こっちで展開されるよりはマシなので、
これ以上続けたい場合は、大人しく誘導されといてください。

【一般的話題用】
セキュリティ対策、質問・雑談スレ3
http://enif.mmobbs.com/test/read.cgi/livero/1186660300/

179 名前:(^ー^*)ノ〜さん:07/08/21 09:10 ID:4agT7Ci/0
RMC運営に対する意見なんだから、むしろRMCの板に誘導するべきなんじゃ?

180 名前:(^ー^*)ノ〜さん:07/08/21 13:12 ID:vP85JbYg0
毎度おなじみ福建人の新ドメイン、既に攻撃に使われ始めている。
今度はグーグルもどきだ。
www■blog-googlea■net/Blog/ (掲示板等に書き込まれていた)
www■lingelink■net/Blog/test■exe (上からIFRAMEで呼び出し)

testはVIRUSTOTALで殆どがスルーすると言う危険なもの。
21日13時現在でNOD32、カスペ、マカフィー等多数すり抜け。

eSafe 7.0.15.0 2007.08.20 Suspicious Trojan/Worm

登録日を含めて2つとも共通の情報。
Registrant:
xiao guo
Fujian longyan
364000
???¨?????÷??????????´?

Administrative Contact:
chen jinian
xiao guo
Fujian longyan
longyan Fujian 364000
CN

Registration Date: 2007-08-11

181 名前:(^ー^*)ノ〜さん:07/08/21 13:16 ID:jD8wyi//0
>>180
無駄なあがきを乙wwwwwwwwwwwwwwwwwwwwwwww
m9/^д^\

182 名前:(^ー^*)ノ〜さん:07/08/21 13:17 ID:Hgdw0jWa0
>>180
調査乙です。

183 名前:(^ー^*)ノ〜さん:07/08/21 13:20 ID:vP85JbYg0
もう1つ発見、福建人はどうも11日に登録ラッシュをかけたようだよ。
www■plusdeit■com/Blog/
lingelinkのtestを呼び出す。

登録情報は180と同じ。

184 名前:(^ー^*)ノ〜さん:07/08/21 13:30 ID:Ipcp0ZH40
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談は>>2に有る雑談スレを利用して下さい。

185 名前:(^ー^*)ノ〜さん:07/08/21 14:19 ID:0AFyfbF/0
>>180
報告乙です。NOD32、カスペ共にすり抜けてるので、検体提出いってきます。/(-_-)

186 名前:(^ー^*)ノ〜さん:07/08/21 19:11 ID:vP85JbYg0
福建人の罠ドメインさらに見つかる。

Wikiでリンク改竄。
www■wikifdjary■net/lineage/
www■flipcjip■net/lineage/

IFRAMEで読み出されるもの。
www■hibikj■org/lineage/test■exe

VIRUSTOTALでは半分以下の検出。
マカフィー、NOD32、シマンテックがスルー。

登録情報、全部同一人物名、日付で登録されている。
Registrant:
guo yongkai
longyan
364000
???¨?????????????÷??

Administrative Contact:
chen jinian
guo yongkai
longyan
longyan Fujian 364000
CN

Registration Date: 2007-07-29

187 名前:(^ー^*)ノ〜さん:07/08/21 19:47 ID:1GbgIbNa0
>186
後者はFF狙いで爆撃してる模様

>FF11/FFXI全く新しいです武器.防具一覧
>ttp://www■flipcjip■net/FFXI/

188 名前:(^ー^*)ノ〜さん:07/08/21 20:20 ID:0AFyfbF/0
>>180
Kaspersky
test.exe_ - Trojan.Win32.Inject.ci

やっぱ対応早いな。>>186も検体入手したら提出してきまー。

189 名前:(^ー^*)ノ〜さん:07/08/21 20:22 ID:0AFyfbF/0
追記

>>186はカスペの検出によると、180と同じ「Trojan.Win32.Inject.ci」でした。

190 名前:(^ー^*)ノ〜さん:07/08/21 22:01 ID:H6Y5XiEA0
リンクチェックサイト経由で巡回していたら
なにやらアカハックな書き込み。
ソースチェッカーの出番。

--------
似顔絵屋

似顔絵屋 告知
次回 似顔絵屋 Flame of Doom 営業案内
・8月23日(木) 21時 Iris鯖
・8月31日(金) 21時 Lydia鯖

詳細はギルドホームページをご確認下さい。

2007年08月21日(火) 12時23分
---------
たどる。
ttp://fcty-net■com/jplink
インラインフレームでttp://www■blogplaync■com/kin■htm

更にたどる。
ttp://www■blogplaync■com/king■cur
ttp://www■blogplaync■com/chengzhi■exe

└ IP:125.65.112.88(Chinanet Sichuan Province Network)

検体チェックは出来ないですが、いつものお約束の手。

191 名前: ◆SAKA/5/tOU:07/08/21 22:38 ID:P8n7Cd6V0
ぐぐるで引っ掛けた
www■haiximaxida■net/ff11/
を辿ったら
www■bagayalu■net/ff11/test■exe
にウイルスが置かれている事を発見。リネージュ研究室にも未出のようです

# >>137
# www■youxiriben■net/navi/svch■exe
# にウイルス

bagayalu■netは
Created: 2007-08-11
のいつもの福建省の物です。

youxiriben■net, bagayalu■net, haiximaxida■netは同一鯖上の同一アカウントと推測されます。

192 名前:(^ー^*)ノ〜さん:07/08/21 22:39 ID:P8n7Cd6V0
ぶっ、名前欄はスルー推奨で…

193 名前:(^ー^*)ノ〜さん:07/08/21 23:23 ID:0AFyfbF/0
>>190-191
カスペとNOD32、全てブロック。
但し、NOD32は、ヒューリスティックONでないと引っ掛からないかも。(2種類は可能性として検知)

Kaspersky
chengzhi.exe:Trojan-Downloader.Win32.Agent.bpp
king.cur:Exploit.Win32.IMG-ANI.ac
test.exe:Trojan-Spy.Win32.Agent.nq

NOD32
chengzhi.exe:Win32/Delf.NDF ワーム の亜種(自動提出発動)
king.cur:Win32/TrojanDownloader.Ani.Gen トロイ の亜種
test.exe:Win32/Genetik トロイ の亜種

194 名前:(^ー^*)ノ〜さん:07/08/22 10:30 ID:xUCqGYDk0
質問です。adultcybernet.comというのはアカハックでしょうか?
踏んでしまったのですが怖くてROにログインできません。
ぐぐっても分からないのでどなたか教えていただけると幸いです。

195 名前:(^ー^*)ノ〜さん:07/08/22 10:32 ID:cWEGE/n40
>>194
テンプレ読もうぜ

196 名前:にゅぼーん:にゅぼーん
にゅぼーん

197 名前:(^ー^*)ノ〜さん:07/08/22 11:12 ID:3g2n9gcL0
頭弱すぎる奴が爆撃してるな
ここが何のスレだか分かってるのか

198 名前:(^ー^*)ノ〜さん:07/08/22 11:18 ID:fL4bLuRI0
つーか、攻撃なんじゃないか?かなり釣れてしまう危険を感じる…

199 名前:(^ー^*)ノ〜さん:07/08/22 11:19 ID:fnlt8BYh0
ほぼ全スレに爆撃してるな。ハックかどうかはわからないが。

200 名前:(^ー^*)ノ〜さん:07/08/22 11:30 ID:LHltot110
ゲンダマの自分の登録をクリックさせようとするやつだね

201 名前:(^ー^*)ノ〜さん:07/08/22 11:35 ID:Ke9sVomV0
しかも登録してもパスは解けないと聞いたことがある(ダマシ系)
すれ違いだけど。

202 名前:(^ー^*)ノ〜さん:07/08/22 13:30 ID:ma55+xeC0
とりあえずやばげなスクリプトらしき物はhtmlにも画像にも埋まってなかったので
見ただけ程度なら大丈夫っぽいかな

203 名前:(^ー^*)ノ〜さん:07/08/22 13:43 ID:YkG9sVOn0
>>196
ミスクリしてもーた('A`)
見ただけで後はどこも触ってないし
チェッカー見る感じだと特に変な物はいってないしまあいいか

204 名前:(^ー^*)ノ〜さん:07/08/22 14:18 ID:slrz/Fk+0
念を入れてHDDのチェックをするに越したことはないけどね。

そこで配布されてるファイルのチェックまでは流石にしてないが、仮にそれに
罠が仕込まれてて引っかかったとしても、それはもう自業自得だろうし。

205 名前:(^ー^*)ノ〜さん:07/08/22 14:20 ID:3g42ucwj0
チェッカーがなんか攻撃うけてるとかでIP規制されてたな

206 名前:(^ー^*)ノ〜さん:07/08/23 01:05 ID:BsGGvqB+0
>205
前から負荷かかってる時にそうなってた。
その負荷が攻撃かどうかは判らんけど、今になって始まった事じゃないよ。

で、>196のコピペ爆撃がまた始まった模様。
このスレとかにも飛んでくるかも。

207 名前:(^ー^*)ノ〜さん:07/08/23 01:05 ID:bCz7VmzCO
また懲りずに何か貼ってるようだけど。頭悪そうだけどどうしよう

208 名前:にゅぼーん:にゅぼーん
にゅぼーん

209 名前:(^ー^*)ノ〜さん:07/08/23 01:12 ID:kkpgHNWT0
一応見かけたら赤ハック〜〜って警告かいてるよ
だれも踏まないと思うけど
一応警告文がないスレみたら書いてほしいかな〜

210 名前:(^ー^*)ノ〜さん:07/08/23 01:35 ID:BsGGvqB+0
>209
今回はLiveROの方にも爆撃してるっぽい。

211 名前:(^ー^*)ノ〜さん:07/08/23 06:52 ID:b0/m0ehR0
>>209
垢ハックだと無駄に不安煽るから
ダマシ系でいいんでね?
ソース見る限り垢ハックじゃないよー

212 名前:(^ー^*)ノ〜さん:07/08/23 07:23 ID:URRYiPwC0
不安を煽るくらいで丁度いいよ
用心しすぎるくらいでないと

213 名前:(^ー^*)ノ〜さん:07/08/23 09:51 ID:ulTK08h40
亀レスだけど、そのにゅぼーんサイト一応全部たどって見たら
呼び出されてるのは

・アクセス解析
・カウンター処理

だけっぽいね、他のリンクはFC2自体の広告と
別サイトへのリンクのみ。
別サイトリンクはクリックしない限り移動しないし、移動先は
BOTやツール配布みたいなサイト。

そのサイトも一応調べたけど↑と同じく解析とカウンターだけで
特に問題は無いと思う。
広告のソースに混ざってなんかあったらあれだから
いろんな人が書いてるように踏んだ人はウィルスチェックするに越した事はないね。

ついでに移動先のリンク内は各種ZIPだけどパスかかってて中身はわからんけど
げんだま登録の詐欺だから辞めときな〜

214 名前:(^ー^*)ノ〜さん:07/08/24 05:23 ID:FxcbSiuk0
>>213
カスペルスキーでチェックしたけどなんも無し
多分セフセフ

215 名前:(^ー^*)ノ〜さん:07/08/24 15:32 ID:Iets4BMl0
毎度おなじみ福建人の新ドメイン

www■rakurten■com/blog/
www■tafcone■net/blog/svch■exe

20日登録の割にモノは古臭く、VIRUSTOTAL上の殆どのもので検出。
Result: 26/32 (81.25%)

お約束だがこれらも同時登録。
郵便番号が竜岩市ではなく明溪市なのが目新しい。
竜岩(longyan)の郵便番号は364000

Registrant:
tu xiaolong
Fujianlongyan
365200
¸£½¨ÁúÑÒÎ÷ÚéÕòʯÇÅÍ·´å

Administrative Contact:
chen jinian
tu xiaolong
Fujianlongyan
longyan Fujian 365200 (郵便番号が明溪市)
CN

Registration Date: 2007-08-20

216 名前:(^ー^*)ノ〜さん:07/08/24 15:47 ID:Iets4BMl0
罠エキサイトブログ発見。

rmtro■exblog■jp/

言うまでも無く記事は全部他所からパクリ。

記事などのリンク部分がこれ
www■wacacop■net/blog/
215で記載したtafconeにあるsvchを呼び出す。

登録情報ももちろん同じ(20日登録他)。

エキサイトに苦情を発射済み。

217 名前:(^ー^*)ノ〜さん:07/08/24 17:20 ID:/+T6TOvu0
>>215
報告乙。いつも助かってます。

NOD32
Win32/PSW.Maran トロイ の亜種
Kaspersky
Trojan-PSW.Win32.Maran.gen

という訳で一安心。

218 名前:(^ー^*)ノ〜さん:07/08/24 22:13 ID:a8JNjG5U0
www■flipcjip■net/cgi/
ここ踏んじゃったんだけどまずいよね
Infected: Trojan-Downloader.VBS.Psyme.icが検出されるし…

219 名前:(^ー^*)ノ〜さん:07/08/24 22:19 ID:NMbyG7VL0
テンプレどうぞ

220 名前:(^ー^*)ノ〜さん:07/08/24 22:21 ID:/+T6TOvu0
>>218
そこまでわかってるなら >>5

こっちも参考にな。

セキュリティ対策、質問・雑談スレ3
ttp://enif.mmobbs.com/test/read.cgi/livero/1186660300/5

221 名前:(^ー^*)ノ〜さん:07/08/25 02:48 ID:5ggGxOlf0
kiss[1].html削除後カスペルでスキャン
一応駆除できたっぽいです

222 名前:(^ー^*)ノ〜さん:07/08/25 19:38 ID:dGGy+3fm0
狩り中に垢ハック来ましたよ。
必死にログインしていたらキャラセレのパスワードだけ全てかえられた。
あちらが抵抗に屈したようでなんとか全てアイテムは無事でした。
時間は朝の5時頃でした。やはり普通の人は繋いでないような時間を狙うようですね。
手際のあまりの速さに驚きました。多分5分も隙があれば全アイテム盗まれたのではないぐらいの速さでした
パスは全て安全のパソコンから変えました。

223 名前:(^ー^*)ノ〜さん:07/08/25 20:11 ID:iohdSM740
>>222
お疲れ。どこで踏んだのか、なぜ発動させたのかをしっかり把握して繰り返さないようにな。

224 名前:(^ー^*)ノ〜さん:07/08/25 21:44 ID:bxzy4elp0
毎度福建人の新ドメイン。
ebay013と言う名で8月10日頃あちこち攻撃していたようだ。
www■dentellexg■com/wenuser/

ページの中身は普段とは異なる形式、新メンバーか。
こちらではファイルを調べられず。

登録情報
Domain Name:dentellexg■com
Registrant:
ni hong liang
Fujian longyan
364000
???¨????????????????????

Administrative Contact:
chen jinian
ni hong liang
Fujian longyan
longyan Fujian 364000
CN

Registration Date: 2007-08-02

225 名前:(^ー^*)ノ〜さん:07/08/26 01:50 ID:x2Cp+hjR0
>>154さんと同じアドレスを踏んでしまいました・・・
場所はティアメットキモスレ。
踏んでからROの起動とかしてないんですが、
早急に対処しないとヤバイんでしょうか?

226 名前:(^ー^*)ノ〜さん:07/08/26 01:51 ID:x2Cp+hjR0
すみません。状況によっては緊急を要するので、
あげさせていただきます(汗)

227 名前:(^ー^*)ノ〜さん:07/08/26 01:57 ID:O0DwP/bL0
>>1

228 名前:(^ー^*)ノ〜さん:07/08/26 01:57 ID:JKD1zdDV0
154をみたなら155も見ただろ。つまりそういうことだ
あなたがどんな環境かもわからないのに外からわかるわけないですね
テンプレを見てからきましょう

229 名前:(^ー^*)ノ〜さん:07/08/26 02:01 ID:x2Cp+hjR0
【  アドレス   】 http://up■uppple■com/src/up5288.jpg
【気付いた日時】 踏んだのはつい20分ほど前
【     OS    】 XPhome
【使用ブラウザ 】 ほっとぞぬ/IE6
【WindowsUpdateの有無】 1週間ぐらい前
【 アンチウイルスソフト 】 ウィルスバスター2007
【その他のSecurty対策 】 なし
【 ウイルススキャン結果】 ウィルスバスター2007とカスペルスキーオンラインスキャンで検索中
【スレログやテンプレを読んだか】 テンプレは読みました。ログは読めてません。
【hosts変更無
【PeerGuardian2導入】無
【説明】
ほっとぞぬで画像を別窓で開こうとしてしまい、
変なウィンドウが次々に開く許可を求めてきたので、
プログラムを強制終了して、再起動しました。

230 名前:(^ー^*)ノ〜さん:07/08/26 02:18 ID:x2Cp+hjR0
ええっと、感染源のスレッド読むと上記のアドレスで
続々とハックされている模様(汗)

そこで、質問です。

罠と思われるURLを踏んでから感染したPCでの公式サイトへのログインは
行っていません。
また、RO自体は1DAYチケットで遊んでいるため、運よくチケットが切れている状態ですが、
この状態でパスワード等は盗まれますか?

また、感染したPCは現在オンラインスキャンの真っ最中なんですが、
別PCから公式にログインしてパスワードを変更するのは辞めた方がいいでしょうか?

231 名前:(^ー^*)ノ〜さん:07/08/26 02:28 ID:McgPI4680
>>230
諦めて引退しろ。
ちゃんとテンプレ読んだって自分で書いてあるのにこれも読めないのかお前は?

● 『アカウントハックアドレスを踏んだ』もしくは『ウィルスが見つかった』場合
 1) 速やかに感染PCのネットワークケーブルを外す
 
注)
 ・安全確認されるまでNetworkに接続・ROクライアント起動・公式にログインは厳禁

232 名前:(^ー^*)ノ〜さん:07/08/26 02:30 ID:mbr0VOYy0
そうカッカするなって
質問する前にこのスレだけでも隅々まで読んでくれ
特に前例があるんだからその部分だけでもどれだけかわかるだろう

233 名前:(^ー^*)ノ〜さん:07/08/26 02:32 ID:B/U1zxDR0
ウィルススキャン結果で何も出なかったら多分大丈夫。
心配ならOS再インスコ。

なんか分からんけどプログラムを強制終了して、OS再起動は一番やっちゃだめな行為。

234 名前:(^ー^*)ノ〜さん:07/08/26 02:49 ID:x2Cp+hjR0
ええと、ウィルスチェックの結果では該当するものは見つかりませんでした。

>1) 速やかに感染PCのネットワークケーブルを外す

すでにオンラインスキャン中だったもので・・・
検索後、シャットアウトしました。

>ウィルススキャン結果で何も出なかったら多分大丈夫。
>心配ならOS再インスコ。

心配なので、明日以降にでもOS入れ直したいと思います。

>なんか分からんけどプログラムを強制終了して、OS再起動は一番やっちゃだめな行為。
そうだったんですか・・・再起動するとウィルスが活動開始するのでしょうか(汗)

追記

感染PCをシャットアウト後、別のクリーンなPCから公式にログインし、
ガンホーIDとアトラクションIDのPASSを変更しました。
とりあえず、大丈夫だったようです。お騒がせしました。

235 名前:(^ー^*)ノ〜さん:07/08/26 03:56 ID:T+v5UDIv0
>>224さん
Firebugで確認したダウンロード先は以下の通りです。
http://www.dentellexg■com/wenuser/ro.exe

カスペルスキー先生に Trojan-PSW.Win32.maran.ff と警告されました。

感染手法は多分このあたり。

Microsoft XMLHTTP ActiveX コントロールの脆弱性
http://jvn.jp/cert/JVNVU%23585137/index.html

WindowsUpdateが正しく実行されていれば問題ないと思われます。

236 名前:(^ー^*)ノ〜さん:07/08/26 08:00 ID:DUKIvKLK0
>>229
一週間前くらいに同じのを踏んでAVGで検査したらいくつかファイルを隔離
またブラウザを起動したら前回の状態が残ったままで再度感染して別のモンを隔離

……という事をやからした自分はOSの再インスコもせずROをやってます
もし垢ハク喰らったら引退するのもいい機会かと思いそのまま

237 名前:(^ー^*)ノ〜さん:07/08/26 08:34 ID:T+6kGXh70
>>236
駐車して鍵もかけずに車から離れ、「どうせ廃車にするからいいか」と放置するようなもんですよ。
あんたはいいかもしれないが、その盗難車が何に使われるか判らないと言うのに。

処で、アンチウイルスのオンラインスキャンはスキャン終わるまでオンラインじゃなきゃいけないのか?
オンラインでモジュールをダウンロードしたらあとは、事実上オフラインでスキャンできると思うのだが。
# そうでないとしたら、提供会社も暢気なもんだ。

238 名前:(^ー^*)ノ〜さん:07/08/26 10:27 ID:ukyHaGYu0
垢ハックっていろんなパターンがあるだろうけど、対象URL踏んだ時になんらかの
アクションって起こるのか?

239 名前:(^ー^*)ノ〜さん:07/08/26 10:35 ID:xQd83r+I0
>>238

テンプレ
>重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
>対策・相談・雑談は>>2に有る雑談スレを利用して下さい。

セキュリティ対策、質問・雑談スレ3
http://enif.mmobbs.com/test/read.cgi/livero/1186660300/

240 名前:(^ー^*)ノ〜さん:07/08/26 14:40 ID:5u5W26Hd0
>>226
緊急を用するのであげますじゃねぇよwww
お前の都合なんざしるかよ、ハゲw
(汗)とかマジキモいし、おまえみたいなアホは垢ハクされてもしかたねぇww

241 名前:(^ー^*)ノ〜さん:07/08/26 14:56 ID:IPbzQMe30
Let's 放置

242 名前:(^ー^*)ノ〜さん:07/08/27 01:23 ID:GbTzU4oD0
なんつうか中華沸きすぎだろwwwこのスレwww

243 名前:(^ー^*)ノ〜さん:07/08/27 03:13 ID:pYFDcUvx0
なぜ最新のウイルス対策ソフトはいれてるのに
IEを使い続けるのか

244 名前:(^ー^*)ノ〜さん:07/08/27 06:57 ID:qQIaGBdV0
なぜIE以外は安全であると盲信できるのか。特にFx使い。

245 名前:(^ー^*)ノ〜さん:07/08/27 07:34 ID:JsJT3Gme0
そう宣伝されているからだろ。

246 名前:(^ー^*)ノ〜さん:07/08/27 11:33 ID:YeSzmXlr0
IEが最も使われているからそこを狙ってくるだけで、他のブラウザでも脆弱性はある。
「MACはウィルスの心配が無いんですよ」と言うあのCMと同じ事。ユーザー少ないから狙われてないだけ。
他のブラウザを使うのは対応としてはいいことだが、信頼しすぎてもいけない。
最大のセキュリティホールは自分自身の気の緩みなので、気を付けよう。

247 名前:(^ー^*)ノ〜さん:07/08/27 12:32 ID:RoQjsL/i0
僕のホールも緩みっぱなしです

248 名前:(^ー^*)ノ〜さん:07/08/27 18:42 ID:wKdgwYdP0
分かりきったことばかり

249 名前:(^ー^*)ノ〜さん:07/08/27 18:46 ID:YeSzmXlr0
判ってない人や新規に見に来る人も居るからだろう。
上がっているから何かあったのかと思えば・・・

250 名前:(^ー^*)ノ〜さん:07/08/27 21:45 ID:Oa7UTdUC0
最近はカスペを盲信してる人も多いみたいだしなぁ

251 名前:(^ー^*)ノ〜さん:07/08/27 22:16 ID:b6f14QmS0
>>247
よしケツ出せ、塞いでやる

252 名前:(^ー^*)ノ〜さん:07/08/27 22:40 ID:YeSzmXlr0
カスペは対応早いしセキュリティソフトとしては信頼がおける。どっかの管理会社とは違いますね!
ただ中華側もカスペをスルーするように作って来ているから気を付けないといかん。

253 名前:(^ー^*)ノ〜さん:07/08/28 08:34 ID:nMKsSISj0
こんな所にもNOD32厨が湧くのか。

254 名前:(^ー^*)ノ〜さん:07/08/28 08:38 ID:+b9NtN2u0
    [*<●>]ゞ
     /[_]
      | |

255 名前:(^ー^*)ノ〜さん:07/08/28 22:26 ID:Gno44Pps0
ちょっと質問なんですが、www■yy14-kakiko■com/bbs/ のアドを
直接クリックはしなかったのですが、

・yahooでアドレスを検索してキャッシュをクリック→何も表示されず
・googleツールバーでアドレスを検索→真っ白な画面で何も表示されず

上記の行動でも感染するのでしょうか?
申し訳ありませんがご教授願えれば幸いです。

256 名前:(^ー^*)ノ〜さん:07/08/28 22:34 ID:lY/sBLtT0
なむ

257 名前:(^ー^*)ノ〜さん:07/08/28 22:39 ID:g60POqHc0
直に開くのもキャッシュ開くのもソースで呼び出してる物は同じだろうし
その呼び出してる物が存在してるなら感染してる危険性はある

258 名前:(^ー^*)ノ〜さん:07/08/28 22:59 ID:Gno44Pps0
ありがとうございました
カスペルスキー辺りでチェックしてみます

259 名前:(^ー^*)ノ〜さん:07/08/28 23:44 ID:/R3Lg6th0
>>255
google側なら、stopbadwareの方針によって、サイトそのものの表示がブロックされた可能性も考えられる。
(検索結果一覧で、「このサイトはコンピュータに損害を与える可能性があります。」が備考として含まれるケース)
無論、調査のタイムラグもあり得るので、全てにおいて過信は禁物だが。

260 名前:(^ー^*)ノ〜さん:07/08/29 00:27 ID:EMnI4vsF0
>>237
感染したらスキャンするだけ時間の無駄無駄無駄ぁ!
そんな時間があるならとっととOSを再インスコでもしとけwwwwド低脳wwww

こうですか?

となると愚痴スレと一緒で、レス不要の報告スレになるな

261 名前:(^ー^*)ノ〜さん:07/08/29 05:56 ID:apvhdfbJ0
>垢ハク喰らったら引退するのもいい機会
アンチウィルスソフトによるアクションはあったが対策は不十分で、
もしかしたらウィルスを飼っているかもしれない状態だと認識しているのに放置

ウィルスによっては被害者が加害者にもなりうるものもあるので
上のような投げやりな態度は全く好ましくない。

262 名前:255:07/08/29 13:25 ID:I6HAzQMg0
あれから、カスペルスキーとトレンドマイクロオンラインスキャンで
チェックしてみましたがウィルスは検知されませんでした。

ID:g60POqHc0様、ID:/R3Lg6th0様ご教授ありがとうございました。

263 名前:(^ー^*)ノ〜さん:07/08/29 15:06 ID:NON9PfJO0
毎度おなじみ福建人の新ドメイン、ページはまだ作っていないようだ。
最近の罠定形ディレクトリ、ブログやウィキは存在していない。
リネインフォのほうは期限切れしたものを再取得した?

Domain Name:lineageinfo■com
Domain Name:temateman■com

Registrant:
zhiqiang lin
fujian longyan
364000
????????

Administrative Contact:
zhiqiang lin
zhiqiang lin
fujian longyan
longyan Fujian 364000
CN

Registration Date: 2007-08-24

264 名前:(^ー^*)ノ〜さん:07/08/29 19:36 ID:NON9PfJO0
263に追記と訂正、既に攻撃に使われているようでぐぐるとヒット。

掲示板などに書き込まれている罠。
www■Temateman■com/lineage/bbs-cgi

ステルスIFRAMEで飛ぶ罠置き場、カーソル脆弱性悪用。
www■lineageinfo■com/injplink/inlink■htm

injplinkと言う名のカーソルファイル。

VIRUSTOTALでの検出率は良好。

265 名前:(^ー^*)ノ〜さん:07/08/30 20:04 ID:ytCnBMal0
RO個人ブログに書き込まれていた罠。

ttp://www■mbspro6uic■com/mbsplink
たどる。
ttp://www■mbspro6uic■com/mbsplink/mbspr■htm
ttp://www■mbspro6uic■com/mbsplink/mbsp■cur
更にたどる。
ttp://www■mbspro6uic■com/mbsplink/xiaogui■exe
IPはいつものお約束でございました。
検体は確保していませんが、お約束過ぎてもう。

266 名前:(^ー^*)ノ〜さん:07/08/31 07:28 ID:MCAKlRHn0
警察に行ってから装備が戻ってくるのって、だいたいどのくらいの時間がかかるのかな?
経験者いたら情報求む

267 名前:(^ー^*)ノ〜さん:07/08/31 10:55 ID:PwtZ3vY2O
携帯からアカウントハックアドレスを踏んでしまった場合はどうなるのでしょうか。
PCとの互換が無いならば大丈夫なのでしょうか…

どなたかご回答宜しくお願い致します。

268 名前:(^ー^*)ノ〜さん:07/08/31 11:37 ID:ZfYXxFK/0

【  アドレス   】 http://firewing■exblog■jp/6343574/
【気付いた日時】 30分ほど前
【     OS    】 Microsoft Windows XP Home Edition Version2002 Service Pack 2
【使用ブラウザ 】 IE6
【WindowsUpdateの有無】 昨夜
【 アンチウイルスソフト 】 ウィルスバスター2007
【その他のSecurty対策 】 無
【 ウイルススキャン結果】 現在検索中
【スレログやテンプレを読んだか】 今から詠みます
【hosts変更】無
【PeerGuardian2導入】無
【説明】
別ゲームのスレに張られていたものなのですが
張られた後、RoのアカハックURLだと指摘があり気になっているところです。

269 名前:(^ー^*)ノ〜さん:07/08/31 17:06 ID:rS+AP83J0
>>266-267
セキュリティ対策、質問・雑談スレ2
http://enif.mmobbs.com/test/read.cgi/livero/1177485590/

こっちのスレで待ってるぜ

270 名前:(^ー^*)ノ〜さん:07/08/31 17:08 ID:rS+AP83J0
スマン、間違えたこっちだ…
セキュリティ対策、質問・雑談スレ3
http://enif.mmobbs.com//test/read.cgi?bbs=livero&key=1186660300

271 名前:(^ー^*)ノ〜さん:07/08/31 17:29 ID:PwtZ3vY2O
>>270
ありがとうございます、早速書き込んできます。

272 名前:(^ー^*)ノ〜さん :07/09/01 01:53 ID:IRup8Unx0
【  アドレス   】 確認し忘れました…
【気付いた日時】 8/30
【     OS    】 Microsoft Windows XP Home Edition Service Pack 2
【使用ブラウザ 】 IE6 sp2
【WindowsUpdateの有無】 自動更新:8/29
【 アンチウイルスソフト 】 NortonInternetSecurity2006
【その他のSecurty対策 】 Spybot S&D
【 ウイルススキャン結果】 Norton(検出されず)カスペルスキー:オンライン(検出されず)
【スレログやテンプレを読んだか】 今から詠みます
【hosts変更】有 8/31更新
【PeerGuardian2導入】無
【説明】
TyrWiki内SiteMenuのLinkが別のページへのLinkに書き換えられていました。
後日修正されていたので、気になっています。

273 名前:(^ー^*)ノ〜さん:07/09/01 02:50 ID:RdlcpWe/0
差分にもバックアップにも形跡は無いけども・・・

274 名前:(^ー^*)ノ〜さん:07/09/01 04:28 ID:0h9uAlHH0
>>272
あなたのIEの履歴を見れば踏んだアドレスはわかるので可能だったら調べてください。
PCの設定を弄っていない限り、踏んだアドレスは確実に履歴に残っていますから。

若しもそれが危険なアドレスだった場合、或いは誤解であった場合もそれで確認
が出来るので是非報告を。

275 名前:(^ー^*)ノ〜さん:07/09/01 08:47 ID:2U31VXHk0
>>272
サイトメニューのリンクを踏んでいなければ(自動で飛ばされてもいなければ)
感染の可能性はないんだけど、その辺はどうなの?

276 名前:(^ー^*)ノ〜さん:07/09/01 11:42 ID:IRup8Unx0
>>274
履歴を頻繁に消去しているので、残っていません。
今ではその習慣が裏目に出たと思っています。

>>275
リンクを踏んで、飛ばされてしまいました。
すぐに、おかしいと思ってIEを終了させています。
8/30に『安全の為に (BSWiki)』を見て思い出して、ウイルス検索等を実行し、
以前の書き込み 272 の結果です。

277 名前:(^ー^*)ノ〜さん:07/09/01 11:51 ID:2U31VXHk0
>>276
踏んだけれど、発動させたかどうかわからないという状態ですね。
自己責任でそのまま使うか、再インストールで確実に安全と言える環境に戻すかです。
下記を参考に対処されて下さい。

セキュリティ対策、質問・雑談スレ3
http://enif.mmobbs.com/test/read.cgi/livero/1186660300/5

■なにか踏んだ時に取るべき対処■
>1−2.発見されなかった場合
>1−2−1.リスクを覚悟でそのまま使う(非推奨)
>       リスクを減らす為に、NOD32、カスペなど複数のソフト(試用版が入手できる筈)でスキャンを繰り返し
>       安全である可能性が高いことを確認すること。
>       ただし複数のソフトを同時にインストールすると干渉してOSが不安定になる事があるので注意。
>1−2−2.再インストール
>      メーカー製の場合、データのバックアップをとって、リカバリーをかける。
>      自作やショップブランドの場合、データのバックアップをとって、OSを入れなおす。

278 名前:(^ー^*)ノ〜さん:07/09/01 19:07 ID:slvlFJ6L0
カスペでなんか検出

C:\WINNT\system32\kb1sskp.dll 感染: Trojan-PSW.Win32.OnLineGames.aie

いやん対策まだん・・・

279 名前:(^ー^*)ノ〜さん:07/09/01 19:16 ID:2U31VXHk0
>>278
キーロガーっぽい名前だね。対処頑張れ。

280 名前:278:07/09/02 01:36 ID:yQSObIJl0
kb1sskp.dll 内にapplication/x-www-form-urlencodedの記述を発見
キーロガー(どこにPOSTしてるか不明、実行ファイルがわからんちん・・・)

とりあえずレジストリ検索
『kb1sskp.dll』を検索
・HKEY_CLASSES_ROOT\CLSID\{ED0ACB58-556F-21DA-DDFE-6D20F3F61FBB}\InProcServer32
  文字列:C:\WINNT\system32\kb1sskp.dll
・HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ED0ACB58-556F-21DA-DDFE-6D20F3F61FBB}\InProcServer32
  C:\WINNT\system32\kb1sskp.dll

『ED0ACB58-556F-21DA-DDFE-6D20F3F61FBB』を検索
・HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached
  バイナリ:{ED0ACB58-556F-21DA-DDFE-6D20F3F61FBB} {00000000-0000-0000-C000-000000000046}
・HKEY_USERS\S-1-5-21-1202660629-1935655697-1060284298-500\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached
  バイナリ:{ED0ACB58-556F-21DA-DDFE-6D20F3F61FBB} {00000000-0000-0000-C000-000000000046}

上記の4つのレジストリはペアなので片方消したらもう片方も消える

281 名前:278:07/09/02 01:37 ID:yQSObIJl0
kb1sskp.dll バスターでも検出
TROJ_NSPM.SZ - 概 要
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FNSPM%2ESZ&VSect=P
TROJ_AGENT.AAUB
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FAGENT%2EAAUB&VSect=P
レジストリ改変なしとのこと・・・ハテ?
ついでにkb1sskp.dllを勝手に削除された・・・(これにより調査続行不能・・・)

以前↓踏んだ時に検出出来なかった残りカスだろうか?
================================
C:\WINNT\system32\winSpy32.dll
C:\WINNT\svchost.exe       (サービス名 ADIDown で登録)
C:\WINNT\system32\WinSpy.exe
C:\WINNT\system32\tj9viewer.dll

そん時の対応
TROJ_XPACK.LB - 詳 細
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FXPACK%2ELB&VSect=T
TSPY_MARAN.D - 対応方法
http://www.trendmicro.co.jp/vinfo/grayware/ve_graywareDetails.asp?GNAME=TSPY%5FMARAN%2ED&VSect=Sn

ウィルスファイルを削除すると
ネット接続が出来なくなるので修復
LSP(Layered Service Provider) の修復方法 | 製品Q&A : トレンドマイクロ
http://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=jp-210538
================================
                                  以上

282 名前:278:07/09/02 13:13 ID:RgJXZpcg0
以下が二組のウィルス
・C:\WINNT\system32\WinSpy.exe
 C:\WINNT\system32\winSpy32.dll
 C:\WINNT\system32\kb1sskp.dll
 
 『kb1sskp.dll』は『kb1ss1p.dll』など1字違いのファイル名が組み込まれる
 %WinDir%\system32\kb1ss○p.dll (○部分が変化)


・C:\WINNT\svchost.exe       (サービス名 ADIDown で登録)
 C:\WINNT\system32\tj9viewer.dll

 『tj9viewer.dll』は『tj2viewer.dll』など1字違いのファイル名が組み込まれる
 %WinDir%\system32\tj○viewer.dll (○部分が変化)

283 名前:(^ー^*)ノ〜さん:07/09/02 20:26 ID:C82MMdvf0
やってしまったorz
【  アドレス   】 http://www■youxiriben■net/navi/
【気付いた日時】 9/2 19時ごろ
【     OS    】 WinXP sp2
【使用ブラウザ 】 FireFox Ver1.5.0.12
【WindowsUpdateの有無】 9/1
【 アンチウイルスソフト 】 ウィルスバスター2006
【その他のSecurty対策 】 なし
【 ウイルススキャン結果】 (カスペルスキー、シマンテックのオンラインスキャン+バスターのスキャン中)
【スレログやテンプレを読んだか】 (このスレは読みました)
【hosts変更】(無)
【PeerGuardian2導入】(無)
【説明】
RMCでなんとなくアドレスを踏んだら何もない画面が出て、検索してみたら危険アドレスでした

アドレスを踏んでからROへのログイン、キャラ変更等はしていません。

284 名前:(^ー^*)ノ〜さん:07/09/02 20:32 ID:51RGIha20
>>283
RMCに最近張られてるやつは全部垢ハックのURLです。
今すぐOSを再インストールしてください。

その後自宅環境じゃないPCからガンホパスとアトラクションパスも変えましょう。
正直時間が命だから急がないと手遅れになるよ。

285 名前:(^ー^*)ノ〜さん:07/09/02 21:01 ID:fxhcSjrh0
ウイルスバスターが去年のっていうのはさほど問題ないと思うんだ、定義更新があれば
ただFirefox使ってるならVer2以降にしておこうよ

286 名前:(^ー^*)ノ〜さん:07/09/02 21:27 ID:pkrRHPTZ0
>>283
セキュリティソフトが反応しなかった
 ・入手前に遮断した
 ・すり抜けてしまった
のケースが考えられる。

現在、複数のスキャナでスキャン中なので、どの結果を踏まえて、本体入手前だったのか、すり抜けたのかの
判断自己責任で行ない、そのまま使うか,OS入れなおして確実に安全な環境にするかを選択すること。

頑張れよ。

287 名前:(^ー^*)ノ〜さん:07/09/02 23:15 ID:XU6dof1b0
今日になってmixiのRO関係コミュに貼られまくってるfc2ブログ系
一つだけ内容を抜粋します。

[ゲフェン塔を降りられない。] トピック

2007年09月02日
21:17 報告させていただきます。
(mixiネーム検閲)

報告させていただきます。

・♂騎士デフォヘアーに愛連打
http://suberokk188■blog118■fc2■com/
・ヘアースタイル

お手数ですがよろしくお願いします。

-----ここまで
携帯のフルブラウザから飛ぶとなにやら怪しい中国語らしきものがあり、
その中のクリックすると「対応していないJavaScriptがあります」
とでました。
ソースチェッカーにかけると「このアドレスは危険URLの一つです」
ウイルス/トロイの木馬不正スクリプトチェッカーソフトを使ってたどっていくとSuper IE 0dayというものが検出されました。

288 名前:(^ー^*)ノ〜さん:07/09/02 23:43 ID:C82MMdvf0
283です。
スキャンしたところ感染なしと出ました
ただ引っかかっていないだけという可能性も捨てきれないので
やはりOS再インストールが安全そうです。
>>285
FireFoxの更新を放置したまますっかり忘れていました。
Ver2にしました。

289 名前:(^ー^*)ノ〜さん:07/09/02 23:44 ID:51RGIha20
>>288
お前さんはレスくれたみんなにお礼も言えないのか?

290 名前:(^ー^*)ノ〜さん:07/09/02 23:53 ID:H3YrsqlR0
テンプレに当てはめて報告するやつはそれは安全だよっつー望み薄の答えを期待してるだけで
別に対策とかを聞きたいわけじゃないからな。
テンプレ通りの答えはもう何度も見てきてるだろ。

291 名前:(^ー^*)ノ〜さん:07/09/02 23:55 ID:C82MMdvf0
>>289
すみません

>>284
>>285
>>286
別PCからのパス変更、FireFoxの更新等無事に行えました。
すり抜けている可能性も指摘していただきとても助かりました
ありがとうございます。

292 名前:(^ー^*)ノ〜さん:07/09/03 01:00 ID:1LwCLNZ+0
272です。
276の書き込みのあと、危険を覚悟で複数のオンラインスキャンを実行 現時点では何も発見されていません。
試用版を利用して再確認、状況によってはリカバリーをかけようと思います。

>>274
>>275
>>277
いろいろと、ありがとうございました。

293 名前:(^ー^*)ノ〜さん:07/09/03 02:50 ID:hSLykTn20
すいません、俺も>>288さんとおんなじような状況になってしまったので

Cドライブ初期化→パスワード変更→DドライブにいたらやばいのでDドライブもフォーマット→パスワード変更


で今に至るのですが、垢ハックウィルスがどういうものなのかよくわからないのですが、Cドライブを初期化したときにDドライブからウィルスがCドライブにウィルスが逃げてきていているなんてことはあるのでしょうか? 
そうすると今もウィルスが今も潜んでいることになるような気がするんですが、垢ハックのウィルスってどういった感じなんでしょうか?よかったら教えてください

294 名前:(^ー^*)ノ〜さん:07/09/03 04:01 ID:q2dR3T1W0
>>293
垢ハックウィルスに限定した話で言えば、システムの処理の一部を乗っ取り、情報を盗み取るのが目的であって、意図的に
システムパーティション(普通はC:ドライブ)以外にシステムフォルダを割り振ったりしない限りは、他の領域への感染は起こりにくい。
但し、広義のマルウェア全般に対象を広げた場合は、手当たり次第にローカルファイルに感染・破壊活動を行うものもあるので注意。

295 名前:(^ー^*)ノ〜さん:07/09/03 04:53 ID:ctrImdJH0
>>293
垢ハックは、ウィルスというより、主にスパイウェア・トロイと呼ばれる分類のものなので、
他の実行形式ファイルに取り付いて、二次感染を引き起こす作りのものはないと思っていい。
(感染能力を持った、ウィルスとしての性質も持つ垢ハックが出はじめる可能性がないとは言い切れないが)

トロイの性質について概要
ttp://ja.wikipedia.org/wiki/%E3%83%88%E3%83%AD%E3%82%A4%E3%81%AE%E6%9C%A8%E9%A6%AC_(%E3%82%B3%E3%83%B3%E3%83%94%E3%83%A5%E3%83%BC%E3%82%BF%E3%83%BC)

勿論、個別に性質や、発動手法が異なるので、一般的な話にしか過ぎない。
セキュリティソフトが検出した名称を、グーグル等で検索し、具体的な性質を読むのが正確な理解に繋がると思う。

あと、この手の「一般的な相談」については、セキュスレが担当するので、次回からはそちらを利用して欲しい。
 >>1
 >一般的なセキュリティ対策・相談・雑談は>>2に有る雑談スレを利用して下さい。

セキュリティ対策、質問・雑談スレ3
http://enif.mmobbs.com/test/read.cgi/livero/1186660300/

296 名前:(^ー^*)ノ〜さん:07/09/04 10:46 ID:x0G6nf5g0
毎度おなじみ福建人の新ドメイン。
www■makgcat■com
www■shagigi■net
www■pinkdoo■com

パターン1:国内掲示板で見つけた。
www■makgcat■com/img■htm
www■makgcat■com/mmdd■exe

パターン2:中華掲示板で見つけた。
www■makgcat■com/wmv■htm
www■pinkdoo■com/smss■exe

pinkdooのsmssはカスペが検出しない、同じエンジンのF-Secureは検出。
オンラインスキャンの場合、両者使ったほうがいい。
この逆もありえるわけで。

登録情報、こいつも福建竜岩、と。
Domain Name ..................... pinkdoo■com
Registrant Name ................. meili wang
Registrant Organization ......... longdahaomengong shi
Registrant Address .............. longyanshizhongshanglu 33hao
Registrant City ................. longyan
Registrant Province/State ....... Fujian
Registrant Postal Code .......... 364000
Registrant Country Code ......... CN

国内のは場違いトピのレスに。
中華掲示板のはなんだろ?台湾の大学の掲示板?
所構わず爆撃して踏ませれば誰かはゲームやって引っかかるから無差別でいいやって感じか。
下手な鉄砲〜って奴だ。

297 名前:(^ー^*)ノ〜さん:07/09/04 10:50 ID:FR0MUF4q0
厨国人がドメイン取得するの禁止出来ないのかねぇ
取りすぎだろ

298 名前:(^ー^*)ノ〜さん:07/09/04 12:02 ID:IAe6S/5c0
>>296
確かに、カスペすり抜けてるな。検体提出してくるよ。

NOD32
mmdd.exe : Win32/Pacex.Gen
smss.exe : Win32/Pacex.Gen

Kaspersky
mmdd.exe : Trojan-PSW.Win32.Nilage.bnu
smss.exe : Not Detected

299 名前:(^ー^*)ノ〜さん:07/09/04 12:43 ID:IAe6S/5c0
>>298
カスペ早いな…。パターン更新準備中だったのかも。次の更新で対応だってさ。

smss.exe_ - Trojan-PSW.Win32.Nilage.bnx

300 名前:(^ー^*)ノ〜さん:07/09/04 14:35 ID:SwfkBMLk0
>>296
mmdd.exe は前に見たな。vviccd520■com で。

301 名前:(^ー^*)ノ〜さん:07/09/04 14:47 ID:n4dT0IWo0
>>296
乙です

いっつも思うんだけどどうやって見つけてくるの?

302 名前:(^ー^*)ノ〜さん:07/09/04 15:12 ID:5FnoNv7n0
>>301
一例ではあるが、こんなサービスもあったりするので。
同じIPを使っている他のサイトの一覧を出してくれる『myIPneighbors』 | 100SHIKI.COM
ttp://www.100shiki.com/archives/2007/06/ipmyipneighbors.html
連中は、自前サーバで同一IPを使い回していることが多いので、芋蔓式に出てくる事も珍しくはないかと。

303 名前:(^ー^*)ノ〜さん:07/09/04 15:49 ID:c+KPOi3T0
ノートン先生からカスペル先生に変えてみたんだが、
メンテ終わって起動してみたら(リスクウェア HiddenObjectに感染しています)
って出て強制切断喰らったんだけど。
これって復元しても大丈夫?

304 名前:(^ー^*)ノ〜さん:07/09/04 16:10 ID:SwfkBMLk0
nProtectがrootkitまがいの事をやってるからだろ。

305 名前:(^ー^*)ノ〜さん:07/09/04 17:19 ID:n4dT0IWo0
>>302
なるほど中華犯罪サーバー(マンション)って訳か
ウィルス作ってる当人もバレバレなんだろうし捕まえる方法って無いのだろうか?
って思って通報サイトを探してきた
動いてくれるのだろうかは謎

警察庁 インターネット安全・安心相談
ttp://www.cybersafety.go.jp/
全国警察サイバー犯罪相談窓口等一覧
ttp://www.npa.go.jp/cyber/soudan.htm

IHJ:キーワード別トラブル対策【オンラインゲーム】
ttp://www.iajapan.org/hotline/consult/others/game.html


関係薄いが
インターネット・ホットラインセンター[HOME]
ttp://www.internethotline.jp/

306 名前:(^ー^*)ノ〜さん:07/09/04 18:10 ID:FR0MUF4q0
海外のネット犯罪は取り締まれないって聞いた気がするんだが
だから厨華がやり放題なんだと

307 名前:(^ー^*)ノ〜さん:07/09/04 18:21 ID:8aFaYHCC0
ドイツの政府コンピューターに中国のハッカーがクラッキングしている事を発表されて、
中国大使館の返答が「何ら根拠のない無責任な憶測」と言い切る国だからな。

308 名前:(^ー^*)ノ〜さん:07/09/04 19:11 ID:RWFIk1oV0
rootkitまがいというかプロセス隠蔽とかrootkitそのものの動作だけどな。

309 名前:(^ー^*)ノ〜さん:07/09/04 20:35 ID:SwfkBMLk0
>>306
別に中国に限らんよ。
最近多いワームecardがアメリカから日に2桁近く届く。

>>307
ペンタゴンも中国軍に食われたけど
ttp://www.technobahn.com/cgi-bin/news/read2?f=200709041916
ま、冷戦当時から米ロはもっとやってるだろうさ。
ばれないように。ばれたら取引に。

310 名前:(^ー^*)ノ〜さん:07/09/04 20:50 ID:7HXTdunP0
そろそろ雑談になりかけているので、
続けたいならLiveROでやりましょー。

311 名前:(^ー^*)ノ〜さん:07/09/04 21:00 ID:SwfkBMLk0
だな。
トロイの情報をお待ちしております。

312 名前:(^ー^*)ノ〜さん:07/09/05 06:46 ID:vNe0B2fe0
【     OS    】windows XP homeedition
【使用ブラウザ 】 IE
【WindowsUpdateの有無】 自動更新で一ヶ月ほど前
【 アンチウイルスソフト 】 NortonInternetSecurity2006
【その他のSecurty対策 】 Spybot
【 ウイルススキャン結果】 カスペルスキーオンラインスキャンでExploit.HTML.Mht発見
【スレログやテンプレを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
最近アカウントハッキングの話題が絶えないので今Spybotとカスペルスキーオンラインスキャンを試してみたのですが
両者でExploit.HTML.Mhtというウイルスがnortonとwindows fire wallから検出されました。
セキュリティソフトという事もあって駆除を選んでいいのか判断しかねています。
よろしかったらアドバイスお願いします。

313 名前:(^ー^*)ノ〜さん:07/09/05 07:24 ID:GtaNwAsF0
>>312
ググれば速攻で分かる事をわざわざ書くのもアレだが
攻撃性のあるウィルスを自動ダウンロードさせるスクリプト、要するにウィルスの一部だ。
削除しろ。

もちろんOSのパッチも当てろよ。自動更新なんか待っとらずに。

314 名前:(^ー^*)ノ〜さん:07/09/05 07:45 ID:lR9DnEMe0
昨日に続いて毎度おなじみの福建人の新ドメイン。
台湾の掲示板で発見、台湾内の特にアダルト?掲示板を無差別攻撃中。
今のところ対日攻撃に使われた形跡は無いが、そのうち使われるだろう。

www■pcutw■com/smss■htm
www■pinkdoo■com/smss■exe (呼び出すもの)

登録情報、福建竜岩、と。
Domain Name ..................... pcutw.com
Registrant Name ................. ou lingfeng
Registrant Organization ......... ou linfeng
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... Fujian
Registrant Postal Code .......... 364000
Registrant Country Code ......... CN

315 名前:(^ー^*)ノ〜さん:07/09/05 12:59 ID:HNpE1Ihi0
台湾向けのようで、バスターが珍しく検知した。
Packerがよくわからんけど、Upackの改造版かなぁ。

316 名前:(^ー^*)ノ〜さん:07/09/05 18:42 ID:lR9DnEMe0
さらに福建人の罠ドメインと置き場を発見。

www■twbbss■org/naked/Photos■pif
www■twbbss■org/naked/Star■rar
www■twbbss■org/lineage/51-70■pif
tw■happyssky■com/setup_SLL■com

これまた珍しい完全数字ドメインの罠。
置き場のmedcludはどうも連中の得意技、サイトクラックっぽい。
1037729794/feeds/mp3
www■medclub■com■tw/english/image/0O■Exe


Domain Name: medclub■com■tw
Registrant:
〓得科技有限公司
MEDCLUB SCIENTIFIC CO., Ltd.
3F-4,No.120,Pa-De,Rd.,Lin-Kou Shien,Taipei Taiwan

Record expires on 2010-06-07 (YYYY-MM-DD)
Record created on 1999-04-13 (YYYY-MM-DD)

317 名前:(^ー^*)ノ〜さん:07/09/05 19:58 ID:JMwB6Xt90
一太郎、Lhaz、ラグナロクなど8月は標的型攻撃が頻発〜トレンドマイクロ
ttp://internet.watch.impress.co.jp/cda/news/2007/09/05/16804.html

また、「ラグナロクオンライン」のアカウント情報を盗み取ろうとするTSPY_MARANが1位に入った点や、
オンラインゲーム「リネージュ」のアカウント情報を盗み取ろうとするTSPY_LINEAGEが、
7月に複数の正規Webサイトの改竄で拡散した結果4位に入ったことを挙げ、
「情報や金銭の不正な取得を目的として、
特定のソフトウェアやサービスの利用者を標的とした攻撃が頻発している」として注意を呼びかけている。


ついに一位かmaran

318 名前:(^ー^*)ノ〜さん:07/09/05 20:03 ID:pLUW4mRI0
トレンドマイクロのMaranの詳細みてきたら、

国別コンピュータ感染数
Taiwan 269
United States 61
Japan 5
Hong Kong 2

ってなってて、日本に比べて台湾の感染台数の多さにあせったわ。

319 名前:(^ー^*)ノ〜さん:07/09/05 20:14 ID:yak/IZ5X0
>>316
今回は、なんか、珍しい検出の仕方。
カスペとNOD32が、それぞれ見逃す物を、もう片方では検出するという。検体提出行ってきます。

Kaspersky
Photos.pif : Trojan-PSW.Win32.OnLineGames.bnn
51-70.pif : Trojan-PSW.Win32.OnLineGames.bnn
setup_SLL.com : すりぬけ
0O.Exe : すりぬけ
Star.rar : 内部ファイル名が中国語らしくチェックに失敗
     ファイルへのアクセスに失敗する。
     ファイル名をアクセス可能なものに変更すると、rar内部の
     Setup.bat(実体は実行ファイル)が Trojan-PSW.Win32.OnLineGames.bnn

NOD32
Photos.pif : すりぬけ
51-70.pif : すりぬけ
setup_SLL.com : Win32/PSW.Maran.JG トロイ
0O.Exe : Win32/Genetik トロイ の亜種
Star.rar : すりぬけ(内部展開後もすりぬけ)

320 名前:(^ー^*)ノ〜さん:07/09/05 21:58 ID:djisKzv80
>>318
台湾嫌われすぎワロタw
USが多いのはなんでだろ?なんかあったっけか

321 名前:(^ー^*)ノ〜さん:07/09/05 22:02 ID:3RMPUSTG0
単純にPC保有台数が多いからだろ

322 名前:(^ー^*)ノ〜さん:07/09/05 22:16 ID:sBxUy69T0
台湾は狙われているというよりは
「ウィルスに感染しました。でもそんなの関係ねぇ!」
っていう国民性だったりして。

323 名前:(^ー^*)ノ〜さん:07/09/05 22:28 ID:yak/IZ5X0
>>319
やっぱカスペは対応早いな。もう報告が来た。次のアップデートで対応。

0O.exe_ - Trojan-PSW.Win32.OnLineGames.boq,
setup_SLL.com_ - Trojan-PSW.Win32.Maran.nb

324 名前:(^ー^*)ノ〜さん:07/09/05 23:27 ID:pSU0s28b0
数字ドメインもう一つ発見。
乗っ取りサイトは攻撃拠点になりつつあるな。

3541426973/wav/prviacy (罠。これ自体マカフィーなどは検出する)

以下この数字ドメインから呼び出されるもの一覧。
www■medclub.com■tw/english/image/O0■Exe (置き場)

www■medclub■com■tw/order/3■htm
www■medclub■com■tw/order/1■ani (中身:新手のカーソルトラップ)

www■medclub■com■tw/order/1■css
www■medclub■com■tw/order/xxx■exe (中身:cssの中に含まれている置き場予定地?)

www■medclub■com■tw/order/1■txt (txt詐称のexeファイル)

罠の詰め合わせってところ。
aniファイルなんぞは23時時点でVIRUSTOTALでわずか4つしか検出しない。
NOD32はすりぬけてる。

325 名前:(^ー^*)ノ〜さん:07/09/06 09:03 ID:SXua8XVA0
www■biglobe-ne■com/bbs を踏んでしまったのですが

avastとトレンドマイクロとカスペルで調べても異常がありませんでした。
垢ハックのURLを踏んでも感染しないって事あるんでしょうか?

あと、ROに接続しているときに踏んでしまったのでそれ以来ずっとログアウトしないでROに接続しっぱなしなんですが
誰か別の人が同じアカウントにログインしたらわかりますかね?
たとえば「他の人がログインしたので接続を中断します」など表示されるとか

それならば今のところ誰かログインしてきた形跡は無いのですが・・・

326 名前:(^ー^*)ノ〜さん:07/09/06 09:08 ID:2T2SJgqf0
どの程度対策を施してたか(hosts書き換えやPG2)でブロックしてる可能性もある
要はテンプレ
向こうの動向もあるし、置き換えや削除で空とか

盗むのはログイン時の情報、ログインしたままならそこから何か取られる事はないかと思う
同IDで他からログインした場合はログインしてる側に警告ウインドウが出て落とされる

あとはLiveROの方がいいのかな

327 名前:(^ー^*)ノ〜さん:07/09/06 10:05 ID:Bn6YMzdc0
毎度おなじみ福建人により改竄されたと思われる罠サイト。
罠も置き場もサイトクラックで改竄、ワールドワイドに進行中。

sammitr■co■za/toyota■htm (罠)

呼び出されるもの
www■medclub■com■tw/order/3■htm

328 名前:(^ー^*)ノ〜さん:07/09/06 11:47 ID:NrA2K3XX0
踏んでしまったようなので、ご教授願います・・・。

【  アドレス   】http://www■mbspro6uic■com/mbsplink
【気付いた日時】今日の10時頃
【     OS    】Microsoft Windows XP Professional SP2
【使用ブラウザ 】Opera/9.01
【WindowsUpdateの有無】ほとんど行っていません
【 アンチウイルスソフト 】avast! ver.4.7
【その他のSecurty対策 】ルータ程度
【 ウイルススキャン結果】avastで行ったところ、発見できませんでした
【スレログやテンプレを読んだか】このスレは読みました
【hosts変更】なし
【PeerGuardian2導入】なし
【説明】
アドレスを開いてみたら、真っ黒な画面が表示されたのでマズいと思い検索してみたら、
前スレに似たようなアドレスがたくさんあったので、怪しいアドレスと判断しました。

ハックアドレス踏んだことに気づいた直後から、ネットワークケーブルは外しています。
あと、別PCからアカウントのパスワードは変更しました。

アドバイスありましたらよろしくお願いします。

329 名前:(^ー^*)ノ〜さん:07/09/06 11:56 ID:0VZOVk310
>328
スレやテンプレ読んだなら、次にする事は判るだろ。
カスペのオンラインスキャンとかを使ってHDDスキャンして、感染して無いかを
チェックして、感染してたら駆除する。
それで安全になったと自信がもてたらそのPCを使う。
持てないならOS再インストールコース。

それと
>【使用ブラウザ 】Opera/9.01
>【WindowsUpdateの有無】ほとんど行っていません
>【hosts変更】なし
>【PeerGuardian2導入】なし
下2つはともかく、WUやって無いのは論外。
テンプレ読んで対策講じておかないと、そのうちまた罠を踏む事になる。
Operaも現行Verは9.2系だし、こちらも更新しておく必要がある。

330 名前:(^ー^*)ノ〜さん:07/09/06 11:57 ID:2T2SJgqf0
まず間違いないだろうからフォーマット後OS再インストールが安全で確実かな
それが嫌ならまずkaspersky辺りでオンラインスキャンをしてみては?

あとwinupdateはこれから毎月心がけましょう、自動更新されてる可能性もありますが

331 名前:(^ー^*)ノ〜さん:07/09/06 12:03 ID:NJJUIYjp0
ウィンドウズアップデートをしないでネットをするという事は、
強盗だらけの所に裸で首から万札ぶら下げて歩いてるくらい危険なことなんで、
アップデートの通知のONとか毎月決まった日にチェックとかするといいよ。

332 名前:328:07/09/06 12:04 ID:NrA2K3XX0
>>329
>>330
お早い返答ありがとうございます。
やはり踏んでるとのことですので、自信もてるまで駆除してみます。

あと、今後は自動更新ONにするように心がけます・・・。

333 名前:(^ー^*)ノ〜さん:07/09/06 12:05 ID:NJJUIYjp0
あ、自動更新はなんか遅かったり上手く行われてなかったりする事などもあるのでお勧めしない。
通知ONとかのがオススヌ。

334 名前:(^ー^*)ノ〜さん:07/09/06 12:06 ID:2T2SJgqf0
>>332
緊急以外のときは毎月第二水曜がupdate日だから覚えておくと良いかもね
自動更新でもすぐ更新はいる訳じゃないから

335 名前:328:07/09/06 12:19 ID:NrA2K3XX0
自動更新より自分で更新した方がいいんですね。
カスペルスキー等での検査が終わったら更新してみます。

336 名前:(^ー^*)ノ〜さん:07/09/06 12:22 ID:2T2SJgqf0
そいえばテンプレにWindowsupdateのサイトないね、基本的なところだけど一応
http://www.update.microsoft.com/

337 名前:(^ー^*)ノ〜さん:07/09/06 12:24 ID:CsN6YwLI0
>>335
カスペルでスキャンしてる間にOS入れ直せば確実で早く復帰できるのにな。
何が悲しくて確実じゃない方を取るんだか。
駆除って選択もあるとは思うが、
ここでどうしたらいいか指示を仰いでるようじゃ到底無理だしな。

ちょっとでも危険があって何年もかけて稼いだ装備やZeny取られるよりは
確実な方がいいと思うけど。

338 名前:(^ー^*)ノ〜さん:07/09/06 12:30 ID:NJJUIYjp0
カスペをスルーするように作ってある検体もあるらしいので、
F-Secureとかでもオンラインチェックやるといいかも。

339 名前:(^ー^*)ノ〜さん:07/09/06 12:34 ID:7a6Gb7BD0
完全数字ドメインって要するにIPの10進表記なんだよね。
例えば、127.0.0.1の場合http://2130706433/でもアクセスできる。
上記の場合
3541426973 -> 211.21.227.29
1037729794 -> 61.218.128.2
となる。

そんな表記方法もあったことおじちゃんすっかり忘れてたよー。
Scriptを書き換えなきゃ…。

340 名前:(^ー^*)ノ〜さん:07/09/06 12:50 ID:D2SS+eZ40
既に「ドメイン」では無くなっているけどね。
なんでも、ロングIPアドレスと、主に(というほど周知されてはいないが)呼ばれている模様。
昨年の段階で、フィッシング等への悪用が指摘されていた。
ttp://www.itmedia.co.jp/enterprise/articles/0603/16/news003_2.html
それと、IE6.0では脆弱性を突かれる利用法もあるとか。
ttp://www.riso-net.co.jp/longip.html

341 名前:(^ー^*)ノ〜さん:07/09/06 12:50 ID:BW0Va5yf0
誰なのかわかった気がした

342 名前:(^ー^*)ノ〜さん:07/09/06 12:51 ID:FEReKq9H0
>>338
Fセキュはマルチエンジンで、メインエンジンはOEMのカスペなので
カスペとの併用はちょっと意味なさげ。
個人的には併用には非常駐のBitDefenderがおすすめ。

343 名前:(^ー^*)ノ〜さん:07/09/06 14:53 ID:+/A+Hf+q0
別のHDDにOS入れてネットワーク構築しておいて
オンラインスキャン専用にしといたらいいのにな
感染したHDDは外付けなりにして
スキャン専用OSでスキャンしたら感染が広がらずに良いし
ロックされてるファイルも簡単に削除できて楽なのに

344 名前:(^ー^*)ノ〜さん:07/09/07 07:52 ID:2rY3JSJA0
>>324 の1.txtはexeではなくchmなので、提出する場合はchmで。
hh -decompileで逆コンパイルするとfucksnow.exeが出てくる。

345 名前:(^ー^*)ノ〜さん:07/09/07 09:53 ID:Nu4TJJCz0
更に中華の罠ドメインを発見。

罠。
www■suibianla■com/photo03jpg■scr
dapo3478■com/chat■com

ダポ3478の方は、カスペ系全滅、NOD検出。
ダポ3478は7日9時50分時点でVIRUSTOTAL検出率21.88

346 名前:(^ー^*)ノ〜さん:07/09/07 10:13 ID:Nu4TJJCz0
345に追記。
上のURLドメイン、suibianlaはどうもクラックされたもののようだ。
ルートディレクトリは同学録(学校系)?サイト見たいだし。

なんか中華の罠置き場にクラックサイトが増えてきたような気がする。
ドメイン名資源が底をついてきたと言うことか。

347 名前:(^ー^*)ノ〜さん:07/09/07 10:27 ID:B+at998k0
>>345-346
検体入手に失敗。管理者が気付いて消されたのかも。余裕があったら、カスペ等への提出も頼む。

348 名前:(^ー^*)ノ〜さん:07/09/07 10:35 ID:0jlI9DQz0
>>345
7-zipで開くとこんなのがあった。
photo03jpg■scr→winlogoh■exe 
chat■com→6■sfx■exe
シマンテックに検体送付しました。

349 名前:(^ー^*)ノ〜さん:07/09/07 10:49 ID:B+at998k0
>>345-346
反応がやたら鈍いだけで、ひたすらリトライしたら検体取得できました。提出行ってきます。

>>348
乙。あそこは提出面倒だから助かった。他には出してきますね。

350 名前:(^ー^*)ノ〜さん:07/09/07 10:53 ID:B+at998k0
NOD32
chat.com : >>RAR >>6.sfx.exe >>RAR >>6.exe - Win32/Pacex ウイルス
photo03jpg.scr : >>RAR >>winlogoh.exe - Win32/PSW.Maran トロイ の亜種

Kaspersky
chat.com : Not Detected
photo03jpg.scr : Trojan-PSW.Win32.Maran.ns

351 名前:(^ー^*)ノ〜さん:07/09/07 11:22 ID:B+at998k0
ほい、カスペは次の更新で対応っと。

chat.com_ - Trojan-Dropper.Win32.Agent.btt
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

352 名前:(^ー^*)ノ〜さん:07/09/07 11:30 ID:0jlI9DQz0
はえーよw

353 名前:(^ー^*)ノ〜さん:07/09/07 11:57 ID:lgbKclR60
そりゃまぁ世界最速対応がウリの会社だからな
どっかの集金会社を比較対象として連想するだけで失礼ってもんだ

354 名前:(^ー^*)ノ〜さん:07/09/07 12:17 ID:2rY3JSJA0
>>316 >>324 の続きで
www■medclub■com■tw/english/pipet/image/l.exe
という仕込みもあった。

355 名前:(^ー^*)ノ〜さん:07/09/07 12:30 ID:0jlI9DQz0
>>354
シマンテックに検体送付しました。

>>353
ヽ(`Д´)ノ

356 名前:(^ー^*)ノ〜さん:07/09/07 12:32 ID:0jlI9DQz0
>>354
virustotalに投げてみた

AntiVir 7.6.0.5 2007.09.06 HEUR/Malware
Avast 4.7.1029.0 2007.09.06 Win32:OnLineGames-GS
CAT-QuickHeal 9.00 2007.09.06 (Suspicious) - DNAScan
DrWeb 4.33 2007.09.06 BackDoor.Pigeon.199
eSafe 7.0.15.0 2007.09.04 Suspicious Trojan/Worm
Ikarus T3.1.1.12 2007.09.07 Trojan.Popwin.R
Microsoft 1.2803 2007.09.06 Trojan:Win32/SystemHijack.gen
NOD32v2 2511 2007.09.07 a variant of Win32/PSW.Lineage.ACN
Panda 9.0.0.4 2007.09.06 Suspicious file
Rising 19.39.40.00 2007.09.07 Trojan.PSW.Lineage.mug
VBA32 3.12.2.4 2007.09.06 suspected of Embedded.MalwareScope.Trojan-PSW.Game.14
Webwasher-Gateway 6.0.1 2007.09.07 Heuristic.Malware

357 名前:345-346:07/09/07 13:55 ID:Nu4TJJCz0
ID違うのはOS入れ直していたので。

suibianlaはよくよく調べるとクラックではなくパクリドメインらしい。
ソースには”saved from url”という行とリンクがある。
/ディレクトリ上に複数のscr罠を置いて、台湾掲示板各所で宣伝していた。
他に確認できたものはalbumpup1■scrなんてものも。
お騒がせ失礼しました。

で、またも発見、今度はメイドイン台湾。
www■madeintw■com■tw/beida24jpg■scr

これまたソースチェックすると出るのは学校。
これもソース中の”saved from url”を含む行とリンクがある。

学校サイトをパクるかなんかで利用するのが新手口?
検索されても出てくるのは学校、学生と思わせ安心させようという魂胆かも。

メイドイン台湾の情報、やっぱりというか何というか福建人だった。
同じパターンでもあるsuibianlaも福建人(もしくは仲間)かもね。
Domain Name ..................... madeintw.com
Registrant Name ................. qiu cheng
Registrant Organization ......... qiu cheng
Registrant Address .............. haichang
Registrant City ................. xiamen
Registrant Province/State ....... fujian
Registrant Postal Code .......... 361000
Registrant Country Code ......... CN

358 名前:(^ー^*)ノ〜さん:07/09/07 15:33 ID:2rY3JSJA0
前はエロだか出会いサイトだかを丸ごとコピってたな。

359 名前:(^ー^*)ノ〜さん:07/09/07 15:54 ID:/Gzx/WV/0
【  アドレス   】 http://nilgiri2■blog57■fc2■com/

「tyr gvg links」:http://r■hatena■ne■jp/cnumlab/
tyrのgvg関連のblogのはてなRSS(オンラインRSSリーダー)なのですが
登録されている「冬ノ道ノセイ」というblogが
「らいくちゃんが行く」というblogになり
しかも内容が新規プレイヤーであるかのようなものに書き換わっていました

>出陣じゃぁ
>2007/09/06(木) らいくちゃんの日記 トラックバック:0 コメント:0
>ラグナロクオンラインをしてみることにしました。
>裸一貫のスタートということで
>のんびりプレイしてみたいと思いましゅ。
>当面は魔法使いを目指すことにしました。
>お金を貯めてS1アークワンドという武器を45kで
>買いました。次はプパCの刺さった防具を買いたいな^^
>どの敵なら倒せるか、いろいろ試してみます。
>がんばるじょぉ!!

アカウントハックコメントのコピペのようでもあり不安になったのですがこれは安全なのでしょうか
ソースには<meta http-equiv="content-script-type" content="text/javascript">が含まれているものの
スクリプトそのものらしきものは見当たりませんでした(見落としているだけかもしれません)

元の利用者が退会し新たに同URLでblogを始めた人がたまたまROを新規スタートしただけであればいいのですが

360 名前:(^ー^*)ノ〜さん:07/09/07 15:56 ID:B+at998k0
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談は>>2に有る雑談スレを利用して下さい。

※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

361 名前:(^ー^*)ノ〜さん:07/09/07 15:58 ID:/Gzx/WV/0
もう見てしまった後なのでこちらかと思ってんですが
あちらのが良いのですね、分かりました

362 名前:(^ー^*)ノ〜さん:07/09/07 17:53 ID:B+at998k0
>>354
カスペのオンラインスキャンでひっかからなかったので、賢弟提出してみた。
既知のものとして返答が合ったので、パターン更新前にオンラインスキャンしただけなんだろう。多分。
(NOD32は両方検知)

beida24jpg.scr_ - Trojan-PSW.Win32.Maran.ns,
l.exe_ - Trojan-PSW.Win32.Delf.aan

363 名前:(^ー^*)ノ〜さん:07/09/07 19:20 ID:0jlI9DQz0
>>357
両方とも7-zipで開くと>>348と同一のwinlogoh■exeがでてきました。
MD5:
BB63C0E4BE09A3E3A7AE33DA8AAC1398
SHA1:
B3A6ED173C852477E8FB8BFE0B2007003AA2452E
一応、シマンテックに検体送付しました。

364 名前:(^ー^*)ノ〜さん:07/09/07 20:56 ID:2rY3JSJA0
スマンテック対応遅いよ…。

365 名前:(^ー^*)ノ〜さん:07/09/08 19:51 ID:+oSaup3w0
345で書いたsuibianlaのもう一つの罠、albumpup1。
www■suibianla■com/albumpup1■scr
VIRUSTOTALで調べてみた。
8日19時45分時点での結果。
F-Secure 検出
カスペ スルー
NOD32 検出
シマンテック スルー

366 名前:(^ー^*)ノ〜さん:07/09/08 20:25 ID:Pi5nIe2w0
>>365
オンラインスキャンで、カスペに引っ掛からない事を確認した上で検体提出。

Trojan-PSW.Win32.Maran.kl

次のアップデートで対応予定だと即返事が来た。誰かが先に検体提出済みだったのかも。

367 名前:(^ー^*)ノ〜さん:07/09/08 20:32 ID:+oSaup3w0
先日の改竄サイトに新しくファイルを置いたらしい。
トヨタに続いてトヨトかい。
福建人どもは車とか好きらしいね、特に日本車が。

sammitr■co■za/toyoto■htm

呼び出されるもの。
www■medclub■com■tw/chinese/newly/image/top■exe

VIRUSTOTALで調べてみた。
8日20時25分時点での結果。
F-Secure 検出
カスペ スルー
NOD32 検出
シマンテック スルー

ついでにマカフィーもスルー。

368 名前:(^ー^*)ノ〜さん:07/09/08 21:25 ID:G0Sh6wKu0
>>354シマンテックからの返事
\l■exe Our automation was unable to identify any malicious content in this submission.
The file will be stored for further human analysis

Our automation was unable to identify any malicious content in this submission.
The file will be stored for further human analysis

おrz。


>>365,>>367
シマンテックに検体送付しました。

>>365のalbumpup1■scrを7-zipで開くと>>348と同名ですがハッシュが違うwinlogoh■exeがでてきました。
MD5:
95A988567DA054AC45EAEFFB0017A9BD
SHA1:
D20D83E91DDB95CF342CD12FE70F7F8D30C0C0B3

369 名前:(^ー^*)ノ〜さん:07/09/08 22:03 ID:Pi5nIe2w0
>>367
ほい、カスペが新種として対応しますと。

top.exe_ - Trojan-PSW.Win32.OnLineGames.cek

370 名前:(^ー^*)ノ〜さん:07/09/10 08:16 ID:m65Kvuof0
気になるものを見つけた。

台湾の学校サイトクラック
cmca■mis■ccu■edu■tw (クラック)
tw■hpxw■com (ドキュメントは移動したとクリック誘引する飛ばしサイト)
www■macrcmedia■com/realplay/yahoo■js (罠1)
www■macrcmedia■com/realplay/css■js (罠2)
難読化されている。

そのjsファイルのままだと検出率最低。
VIRUSTOTALの殆どのソフトで検出しない、10日8時現在で1割程度。
どっちもF-Secure、カスペ、NOD32、シマンテックスルー

マクロメディアもどき、四川成都登録。
クラックの手法(ページそのものを改竄せずIFRAMEだけ仕込む)、飛ばしの方法。
福建人が時折四川成都を登録情報に書くこと、
以前登録情報内の福建のFJをBJと書いていた(鉛筆で書いても線を足すだけ)

ココ暫くあちらの学校サイトをパクった罠ドメインなどが多発していること。
これを考えればメンバーか極めて近い関係を思われる。

Domain Name.......... macrcmedia■com
Creation Date........ 2006-07-19 13:15:22
Expiry Date.......... 2008-07-19 13:15:22
Organisation Name.... music 99snow
Organisation Address. chengdushiyulin27hao
Organisation Address.
Organisation Address. chengdu (四川省成都市)
Organisation Address. 611171
Organisation Address. BJ (以前の罠ドメインで福建FJをBJにしたものあり)
Organisation Address. CN

371 名前:(^ー^*)ノ〜さん:07/09/10 08:58 ID:m65Kvuof0
370の追加情報。
www■macrcmedia■com/realplay/css■js からこれが呼び出されるらしい。
【罠本体】
www■macrcmedia■com/realplay/real■exe

実行ファイルだとそこそこの検出率。
10日8時50分時点でのVIRUSTOTAL (real■exe)
F-Secure 検出
カスペ 検出
NOD32 すりぬけ
シマンテック すりぬけ
検出率62.5%

372 名前:(^ー^*)ノ〜さん:07/09/10 09:05 ID:L3kzNNtC0
>>370
www■macrcmedia■com/realplay/real.exe
Kaspersky Trojan-Downloader.Win32.Agent.cpz
スクリプトは文字コード足したり引いたりすれば際限がないから
検知しなくてもいいと思う。

373 名前:(^ー^*)ノ〜さん:07/09/10 09:14 ID:L3kzNNtC0
かぶったw

374 名前:(^ー^*)ノ〜さん:07/09/10 09:49 ID:4wXHN8p10
>>370-371
各社に検体提出してきました。/(^^)

375 名前:(^ー^*)ノ〜さん:07/09/10 15:51 ID:bQb0y+VB0
【  アドレス   】www■chaosx0■com/roblog/
【気付いた日時】 昨日
【     OS    】 XP
【使用ブラウザ 】 IE7
【WindowsUpdateの有無】 自動にしているけどいつか覚えてないです
【 アンチウイルスソフト 】 avast
【その他のSecurty対策 】
【 ウイルススキャン結果】 なにもでず
【スレログやテンプレを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
とんだ先がなにもない白紙ページだったので…。
こういうのに疎いのでよくわからないんでどうしたらいいのか。

376 名前:(^ー^*)ノ〜さん:07/09/10 16:04 ID:sGhFvUvw0
とりあえずカスペでオンラインスキャンしてこい

377 名前:(^ー^*)ノ〜さん:07/09/10 18:59 ID:6QY7TTtC0
>375
それ、なんちゃって餃子板。
まとめサイトにも載ってる中華の垢ハックサイト。

ソースチェッカーで見ると www■raginfoy■com/roblog/ro■exe をDLさせてるっぽい。

>376の言うようにカスペのオンラインスキャンかけて、どうなるかをチェック。
後のことはまとめサイト等を見て処置。

それと踏んだのが昨日との事だが、そのPCでROにログインしたりアトラクションセンターに
ログインしたりしてないよな?
もししてたら手遅れの可能性が出てくるので、『そのPC以外で』PASS変更等々を最優先。

378 名前:375:07/09/10 19:12 ID:bQb0y+VB0
カスペでオンラインスキャンでは検知はされませんでした。
別PCでパス等変更したので大丈夫だと思います。
スキャンで検知されなかったからといって安全ではないですよね…。

379 名前:(^ー^*)ノ〜さん:07/09/10 19:13 ID:bQb0y+VB0
sage忘れた・・・

380 名前:(^ー^*)ノ〜さん:07/09/10 19:37 ID:4wXHN8p10
>>378
>スキャンで検知されなかったからといって安全ではないですよね…。
Yes

そこに置かれている本体を敢えて入手し、それが検出できることを確認できているセキュリティソフトで
チェックすることで、すり抜けたのではなく入手前に切断できたと確認する方法もあるが、誤爆で発動させる
危険性が高い為にお勧めできない。

やはり、自己責任でセキュリティソフトを信じるか、OS入れなおしからやって確実に安全にするかを判断すること。
このスレでの推奨は、OS入れなおし。それ以外の方法で、確実に安全と断言できないから。

>sage忘れた・・・
踏んだ時の相談だから問題無い。気にするな。

381 名前:(^ー^*)ノ〜さん:07/09/11 00:13 ID:HCS++8jv0
自分の所に張られていたので、簡易報告のみですが。
やり方間違ってたら、すみません m(_ _)m
rustyaden■blog118■fc2■com/

フレームタグ
www■woshijianren■com/jpjp/jpro■htm
www■woshijianren■com/jpjp/Ms06014■htm
スクリプト
analyzer■fc2■com/analyzer■js?uid=1007475

382 名前:(^ー^*)ノ〜さん:07/09/11 01:28 ID:DZmy5Gmv0
>>381
そのスクリプトはたぶんFC2ブログのアクセス解析。
ちょっと補足すると
www■woshijianren■com/jpjp/jpro.htm

その1 www■woshijianren■com/jpjp/test.cur (アニメーションカーソルの脆弱性)
その2 www■woshijianren■com/jpjp/Ms06014.htm (ASCII7bitコードを8bit化)
いずれも
www■woshijianren■com/jpjp/jpro.exe
をダウンロードし実行(VBで作られた簡易なダウンローダ)。
このダウンローダは
www■woshijianren■com/jpjp/jprobang.exe
をダウンロードし実行(これがトロイ本体)。
このトロイ、PEヘッダが妙に多数あるので
ちょっといじってから提出します。

383 名前:(^ー^*)ノ〜さん:07/09/11 01:41 ID:DZmy5Gmv0
数え間違えてなければPEヘッダ(exeとかdllとか)6個もあった…。
PackerはUPXとASPackかなぁ。いろいろ詰め合わせの予感。

384 名前:(^ー^*)ノ〜さん:07/09/11 02:06 ID:51Dtbwuw0
>>357
シマンテックから返事

ファイルを分析しました。送られたそれぞれのファイルについてわかったことを
以下に報告します。
\beida24jpg■scr
コンピュータ:
結果: このファイルの検出結果 Trojan.Dropper. ttp://www.symantec.com/avcenter/venc/data/trojan.dropper.html
\albumpup1■scr
コンピュータ:
結果: このファイルの検出結果 Trojan.Dropper. ttp://www.symantec.com/avcenter/venc/data/trojan.dropper.html
\winlogoh■exe
コンピュータ:
結果: このファイルの検出結果 Infostealer.Gampass. ttp://www.symantec.com/avcenter/venc/data/infostealer.gampass.html

>>345
>>348のwinlogoh■exeもInfostealer.Gampass.として検出。
winlogoh■exeが入ってるphoto03jpg■scr、
chat■comとその中身の6■sfx■exeはまだ未対応…

385 名前:(^ー^*)ノ〜さん:07/09/11 08:14 ID:fHd/4uJM0
>381
福建人の罠ブログだな。
ドメイン所有者はもちろん毎度おなじみの福建人ども。
6月登録で対日、台湾攻撃に多用されたのが8月のようなので
それまでは発覚>対策を恐れ寝かせたと思われる。

Domain Name ..................... woshijianren■com
Registrant Name ................. qiaoqiao qiaoqiao
Registrant Organization ......... chenqiaoqiao
Registrant Address .............. Fujianlongyan,Fujianlongyan
Registrant City ................. longyan
Registrant Province/State ....... Fujian
Registrant Postal Code .......... 364000
Registrant Country Code ......... CN
Expiration Date ................. 2008-06-11 10:14:09

386 名前:(^ー^*)ノ〜さん:07/09/11 08:23 ID:fHd/4uJM0
www■woshijianren■com/jpjp/jprobang■exe

8時20分のVIRUSTOTAL結果
F-Secure 検出
カスペ 検出
NOD32 検出
シマンテック スルー
検出率53.13%

387 名前:(^ー^*)ノ〜さん:07/09/11 10:03 ID:NSqqZEq30
NOD32でhtmが検出されないのは一応正常。(本体じゃない)
カスペは予防的に引っ掛かるようにしてるんだな。対応してくれるかもしれないので、一応提出かけてくるわ。

NOD32
jpro.htm : Not Detected
test.cur : Win32/TrojanDownloader.Ani.Gen トロイ の亜種
Ms06014.htm : Not Detected
jpro.exe : Win32/TrojanDownloader.VB.NME トロイ
jprobang.exe : Win32/PSW.Agent.NFX トロイ

Kaspersky
jpro.htm : Trojan-Downloader.JS.Agent.hf
test.cur : Exploit.Win32.IMG-ANI.ac
Ms06014.htm : Trojan-Downloader.VBS.Agent.ar
jpro.exe : Trojan-Downloader.Win32.Small.fjw
jprobang.exe : VirTool.Win32.Adrenaline.a

388 名前:(^ー^*)ノ〜さん:07/09/11 17:22 ID:IKH2dY5n0
駄目な人なりにですが、
UPされている危険サイト・ドメインリストを参考にして
まとめサイトの070822以降のhostリストの追加分を作ってみました。

自己責任で置き換えで■をドットに戻してから
まとめサイトのhostリストに追加すれば多分使用できるかなと…。

以下は最終更新の070822版以降にリストに記述されていないと思われる
皆様方に報告していただいた罠の一覧です。
正常起動するかわかりませんので記述の分類やなど
間違っている箇所があれば、皆様方に修正していただきたく思います。

389 名前:388:07/09/11 17:23 ID:IKH2dY5n0
#070822以降
127.0.0.1 www■blogplaync■com
127.0.0.1 www■rakurten■com
127.0.0.1 www■tafcone■net
127.0.0.1 www■wacacop■net
127.0.0.1 www■dentellexg■com
127.0.0.1 www■makgcat■com
127.0.0.1 www■shagigi■net
127.0.0.1 www■pinkdoo■com
127.0.0.1 www■pcutw■com
127.0.0.1 www■twbbss■org
127.0.0.1 www■medclub■com■tw
127.0.0.1 www■madeintw■com■tw
127.0.0.1 www■macrcmedia■com
127.0.0.1 www■woshijianren■com
127.0.0.1 www■lineageinfo■com
127.0.0.1 www■temateman■com

127.0.0.1 blogplaync■com
127.0.0.1 rakurten■com
127.0.0.1 tafcone■net
127.0.0.1 wacacop■net
127.0.0.1 dentellexg■com
127.0.0.1 makgcat■com
127.0.0.1 shagigi■net
127.0.0.1 pinkdoo■com
127.0.0.1 pcutw■com
127.0.0.1 twbbss■org
127.0.0.1 medclub■com■tw
127.0.0.1 madeintw■com■tw
127.0.0.1 macrcmedia■com
127.0.0.1 woshijianren■com
127.0.0.1 lineageinfo■com
127.0.0.1 temateman■com

390 名前:388:07/09/11 17:23 ID:IKH2dY5n0
127.0.0.1 tw■happyssky■com
127.0.0.1 happyssky■com

#数字ドメイン
127.0.0.1 1037729794
127.0.0.1 3541426973

#クラック暫定
127.0.0.1 dapo3478■com
127.0.0.1 www■suibianla■com
127.0.0.1 sammitr■co■za
127.0.0.1 cmca■mis■ccu■edu■tw
127.0.0.1 tw■hpxw■com
127.0.0.1 rustyaden■blog118■fc2■com

391 名前:388:07/09/11 17:31 ID:IKH2dY5n0
コレを纏めている際に思ったのですが
今までまとめサイトに上がっているリスト分、
つまりこの追加分以前の罠を踏んでしまう事例が結構あるよう見受けられました。

なので、今現在まとめサイトに上がっているリストだけでもいいので
アカハック被害を自衛する為にも周りに進めて貰えたらと。

ファンサイトでの叫びやらゲーム中に露店を見るのは切ないんです。

392 名前:388:07/09/11 17:33 ID:IKH2dY5n0
>ゲーム中に露店を
つまり「↓アカハック露店」とかそういうのがまあ…。
雑談っぽくなってすみませんでした。では名無しに戻ります。

393 名前:(^ー^*)ノ〜さん:07/09/11 17:51 ID:G+hSJjlz0
>>388
乙。
BS-Templateさんとこに最新の情報に追従しているhostsファイルが有るけど、
まとめサイトさんのを使っている人には差分の追加という事で有用だと思うよ。

394 名前:(^ー^*)ノ〜さん:07/09/11 18:14 ID:MvOqJVTY0
素朴な質問なんだが
hostsファイルに数字ドメイン記述しても効果あるの?
数字ドメインてIPアドレス直打ちと同じことなんだよね?

395 名前:(^ー^*)ノ〜さん:07/09/11 18:40 ID:VuKip78x0
数字ドメイン と言うから勘違いになるんだよね。IP10進表記って。

396 名前:(^ー^*)ノ〜さん:07/09/11 20:01 ID:3lqpx/QQ0
しかし10進表記(ロングIPアドレス)も複数あるのが問題。
192.168.0.1
192.11010049
3232235521
これ全部意味合いは一緒。

Windowsがどこまで解釈してるのか覚えてないが、他にも表記方法あったはずだし
全部に対応させるのは結構難しい(面倒)かも。

397 名前:(^ー^*)ノ〜さん:07/09/11 22:06 ID:51Dtbwuw0
>>382
jprobang■exe
ノートン対応 Trojan.Dropper

398 名前:(^ー^*)ノ〜さん:07/09/11 22:07 ID:5VT4IwAL0
RMCの掲示板に http://www.bagay●●u.net/na●●/ とここまでのURLしか
貼られていませんでしたがこれだけでも踏むと感染するのでしょうか?

399 名前:(^ー^*)ノ〜さん:07/09/11 22:11 ID:LMGn3LYJ0
>>398
対策していなければ感染します。

400 名前:(^ー^*)ノ〜さん:07/09/11 22:12 ID:NSqqZEq30
>>398
>テンプレ
>重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
>対策・相談・雑談は>>2に有る雑談スレを利用して下さい。

すると断言はできないが、しないとも断言できない。可能性はある。
あと、それが危険URLなのか、なにかの宣伝spamなのかはわからない。
この回答でよく判らないからセキュスレへ移動して、改めて質問を。

401 名前:(^ー^*)ノ〜さん:07/09/11 22:18 ID:dpNr2/HK0
>>398
テンプレ埋めて報告してちょ
踏んだんならこのスレでおk

402 名前:(^ー^*)ノ〜さん:07/09/11 22:19 ID:5VT4IwAL0
>400さんRESありがとうございます

どうやら板違いのようですが、失礼ついでに398のURLを踏んでみます
人柱になってみますので、少々お待ちください

403 名前:(^ー^*)ノ〜さん:07/09/11 22:20 ID:NSqqZEq30
>>402
取り敢えず踏んでみるというのは、決してやってはいけない対応。まだだったら踏みとどまれ。

404 名前:(^ー^*)ノ〜さん:07/09/11 22:22 ID:dpNr2/HK0
>>402
まだ踏んでなかったのね
がんばれw

405 名前:(^ー^*)ノ〜さん:07/09/11 22:23 ID:5VT4IwAL0
ただ今踏みました。画面は真っ白でした。
上記のURLのまつり部分は / でURLが終わってますが
自動で飛ばされることもないようです。
net/ 部分まで後ろ部分を削除して行ってみましたが、中国の文体のHPにいくだけでした

406 名前:(^ー^*)ノ〜さん:07/09/11 22:28 ID:5VT4IwAL0
ちなみに感染した場合の瞬間は目視で画面にどのような変化があるのでしょうか?

407 名前:(^ー^*)ノ〜さん:07/09/11 22:29 ID:5Wxx2puY0
(´・ω・) カワイソス

408 名前:(^ー^*)ノ〜さん:07/09/11 22:37 ID:qq/SobCn0
とりあえずウィルス的には貴方に気づかれたらダメなんじゃない?
バレずにあらゆるパスワードを抜き取ってこそ中国は潤う。

409 名前:(^ー^*)ノ〜さん:07/09/11 22:38 ID:5VT4IwAL0
>408さん
なるほど正論ですね、踏んだついでに何か他に検証して欲しいとかございませんか?

410 名前:(^ー^*)ノ〜さん:07/09/11 22:43 ID:NSqqZEq30
>>406
おおばかもの〜〜〜〜〜〜〜〜

変化はありません。えーと、踏んでしまった時の対応に変化しましたのでこのままこちらのスレで。

1.セキュリティソフトは反応しなかったのですね?
反応した場合
→ 一応遮断できたと考えていい。但し、複数入ってきたうちの1つだけを止めた可能性もあるので
  確実に安全と断言はできない。

反応しなかった場合
→ 入手前に通信を切断した(相手側サーバーが反応鈍いことがあります)場合もあります
→ セキュリティソフトをすりぬけてしまった可能性があります

安全かどうか断言できない状態にあることだけは確定です。

2.どう対処するか

  まずは、ROにログイン・パスワード変更などを一切しないこと。入力していないものは盗まれようがありません。
  入力してしまった場合は、安全な環境からのパスワード変更を早急に行なうこと。

推奨方法:OSの入れなおし
非推奨の方法:セキュリティソフトのスキャンをかけて、検出しなければ安心すること
絶対やってはならないこと:なにもしないでそのままROをプレイすること

411 名前:(^ー^*)ノ〜さん:07/09/11 22:46 ID:NSqqZEq30
>>409
いいから早く安全な環境に戻してきなさいっ!!

検証して貰う必要はなにもないです。

412 名前:(^ー^*)ノ〜さん:07/09/11 22:53 ID:5VT4IwAL0
セキュリティソフトはAVAST!ですが一切反応しませんでした。
踏む前にROは起動してありました。
ログイン時にパスを抜かれると言うことは、KEYロガーなハッキングだと思ってよろしいのでしょうか?
感染後、ウィルスソフトがメモリー内部をさかのぼってPASSを見つけるなどは考えられますか?

413 名前:(^ー^*)ノ〜さん:07/09/11 22:59 ID:NSqqZEq30
>>412
>ログイン時にパスを抜かれると言うことは、KEYロガーなハッキングだと思ってよろしいのでしょうか?
キーロガーかどうかは、あなたが判断する必要は一切ありません。
重要なのは「危険URLと思われるアドレスを安易に踏んだこと」と「早急に安全な環境に戻す必要」だけです。

>感染後、ウィルスソフトがメモリー内部をさかのぼってPASSを見つけるなどは考えられますか?
基本的にありません。(絶対とは言い切れませんが、まずないでしょう)

ROを終了させて、OSの入れなおしをしてらっしゃい。

414 名前:(^ー^*)ノ〜さん:07/09/11 23:09 ID:5VT4IwAL0
>>413さん
お優しいですね ありがとうございますm(_)m

415 名前:(^ー^*)ノ〜さん:07/09/11 23:41 ID:VaLaEIqZ0
つか、こういうのは人柱とは言わずに、足手まといと言うんだが。

416 名前:(^ー^*)ノ〜さん:07/09/12 00:42 ID:3IiiRF290
何より大事なのはこの経験を生かして、次回から気をつける事、
踏んでも大丈夫なように推奨されているPG2なども入れること。
そしてそういうのに無防備そうな知り合いなんかにも教えてあげて対応させる事かな。

417 名前:(^ー^*)ノ〜さん:07/09/12 08:21 ID:x2xFoTty0
WindowsUpdate日あげ

418 名前:(^ー^*)ノ〜さん:07/09/12 08:44 ID:TCAITQyR0
>>394-396
ロングIPも含め、ドメイン引きを介さないアクセスに対してhostsだけで対処するのは事実上無理。
ルータやPG2による、IPレベルのフィルタリングを併用し、そちらで危険IPとして登録するのが妥当かと。
(これなら、通常表記のみで、他の表記のものも含めて水際で防げる)

419 名前:(^ー^*)ノ〜さん:07/09/12 10:22 ID:QZkpRl2L0
中華の罠ドメイン発見。
登録情報は広東だが、正引きIPは福建、と。
福建人どものメンバーだな。

www■wretcha■com/indo/unk (罠、現在このページは無いようだが、ぐぐると7月に日本の掲示板が攻撃されているのがわかる)
www■wretcha■com/images/main.exe (罠本体、これは生きてる)

登録情報
Domain name: wretcha■com
Registrant Contact:
linfang
fang lin jojoxbox@163.com
075788661956 fax: 075788661956
guangdong (広東)
fushang guangdong 528500 (高明市)
cn

正引きIPアドレス 218.5.78.140の管理者情報運営組織 MAINT-CHINANET
ネットワークセグメント 218.5.0.0 - 218.5.255.255
ネットワーク名 CHINANET-FJ (FJ=Fujianつまり福建)

420 名前:(^ー^*)ノ〜さん:07/09/12 13:07 ID:QZkpRl2L0
また台湾サイトが改竄。
福建人どもの攻撃の中心は台湾にシフトか?

改竄サイトの登録情報から見ても改竄で間違いない。
改竄サイトは2001年登録。

www■techlife■com■tw/taiwan/ (改竄されIFRAMEを仕込まれるが、今は修正され元に戻る)
update■misofthelp■com/update■exe (罠本体)

Sophosサイトで調べるとバックドア仕込むタイプらしい。
F-Secure スルー
カスペ スルー
NOD32 検出

罠ドメイン登録情報、四川成都
正引きIPも四川(SC)
福建人のメンバーが登録情報やIPに四川使ったりを考えて一味で間違いないだろうね。

Domain name: misofthelp■com
Registrant Contact:
jack jack
f sdfasaf f sdfasaf test@163.com
13768756889 fax: 02886263960
dsfa dfsaf dsfdsaf sdfa
dfsafas BJ 610031
cn

421 名前:(^ー^*)ノ〜さん:07/09/12 14:06 ID:l3eOZE/80
【  アドレス   】 rustyaden■blog118■fc2■com/
【気付いた日時】 am3:00くらい
【     OS    】 XP Pro
【使用ブラウザ 】FireFox2.0.0.6
【WindowsUpdateの有無】 3日前
【 アンチウイルスソフト 】 avast!
【その他のSecurty対策 】 Spybot S&D
【 ウイルススキャン結果】 avastでスキャン結果検知されず
【スレログやテンプレを読んだか】 読んだら>>381のアドで心臓バクバク
【hosts変更】無
【PeerGuardian2導入】無
【説明】
mixiのコメに張られていたのをクリック、あ〜やばいと思った時には遅し
飛んだ先のサイトで、このBlogはmixiに張っていないとの記事を見つけ
不安になったので調べたら見事に当たりなようで・・orz

どうすりゃいいでしょ。一通り読んでみたのですが、こういうのに関しては
疎いもので・・皆様、よろしければ助けて頂けますか;

422 名前:(^ー^*)ノ〜さん:07/09/12 14:11 ID:x2xFoTty0
>>421
>>381からの流れを読んでいて、尚かつログも読んでいるのならすべきことはわかるはず
>>386にてここでのお勧めアンチウイルスソフトでは検出可能に
その後397でノートンも対応してるのでとりあえずカスペのオンラインスキャンしてみたらどうか
そこで駆除なり、発見できなかったりした場合には自己責任で使うかどうかだね

423 名前:(^ー^*)ノ〜さん:07/09/12 14:35 ID:8V5MKnmr0
>>397の追加情報
シマンテックから対応のメル北。確認。

>>382
\jprobang.exe
コンピュータ:
結果: このファイルの検出結果 Trojan.Dropper. ttp://www.symantec.com/avcenter/venc/data/trojan.dropper.html
\jpro.exe
コンピュータ:
結果: このファイルの検出結果 Downloader. ttp://www.symantec.com/avcenter/venc/data/downloader.html
\jpro.htm
コンピュータ:
結果: このファイルの検出結果 Downloader. ttp://www.symantec.com/avcenter/venc/data/downloader.html
デベロッパーノート

424 名前:(^ー^*)ノ〜さん:07/09/12 14:52 ID:8V5MKnmr0
>>370-371
引き続きシマンテック来てた。css■jsはDLできなかったので未提出。
\yahoo■js
コンピュータ:
結果: このファイルの検出結果 Downloader. ttp://www.symantec.com/avcenter/venc/data/downloader.html
\real■exe
コンピュータ:
結果: このファイルの検出結果 Downloader. http://www.symantec.com/avcenter/venc/data/downloader.html

425 名前:(^ー^*)ノ〜さん:07/09/12 14:59 ID:tvbLayOZ0
>>419-420
NOD32
main.exe : Win32/PSW.Lineage.ACN trojan
update.exe : Win32/Ginwui trojan

Kaspersky
main.exe : Trojan-Spy.Win32.Delf.uc
update.exe : Trojan-Downloader.Win32.Delf.ccd

カスペスルーとあったが、現時点では検出する模様。

426 名前:(^ー^*)ノ〜さん:07/09/12 15:00 ID:8V5MKnmr0
>>419-420
シマンテックに検体送付しました。

427 名前:アコプリスレ住人:07/09/12 17:53 ID:Jhw/Du0J0
報告を挙げておいたほうがよさそうなので。

本家アコプリWiki(applepie■leminx■com)が消滅しました。
ttp://jbbs.livedoor.jp/bbs/read.cgi/game/4291/1081119337/157-160n

Wiki自体は避難所があるので問題ないのですが、ドメイン失効らしく
applepie■leminx■com (leminx■com) そのものが中華に取られる恐れがあります。

管理人は長らく音信不通というか返答無しで、アコプリ外部板のアプリコットカフェ
(同管理人運営)もしたらばより凍結予告が出てるぐらいであるため、現状では復活の
可能性はかなり低いと思われます。

そのため一時的でもhostsでブロックするようにした方が安全かもしれません。

428 名前:(^ー^*)ノ〜さん:07/09/12 21:16 ID:l3eOZE/80
>>421です。迅速な返答ありがとうございます

一度カスペのオンラインスキャンしてみたところ、5種類のウィルスらしきものが
見つかりました。その時点でまだカスペのトライアル本体を導入していなかったので
したのですが・・レポートファイルのインポートの仕方がわからず困っています

オンラインスキャンで出したレポートは本体でのインポートって出来ないんですかねぇorz
ググれカスって言われたらそれまでですが、よろしければご教授頂けますか
怖くてRO出来ないですorz

429 名前:(^ー^*)ノ〜さん:07/09/12 21:35 ID:l3eOZE/80
>>421ですが追記です。先程カスペにて、リスクウェアHidden objectなるものが
検知されました。対象はROフォルダのRagexe.exeでした。免疫という形で対処しました

これが垢ハックの、パス等の送信ですかね・・

430 名前:(^ー^*)ノ〜さん:07/09/12 22:02 ID:QZkpRl2L0
その手のサイト回りをしていると中華の罠を見つけた。
club■blogo■tw/helper■exe

登録情報、書いた所在は広東だか正引きIPは四川。
罠ドメイン名の命名パターンからして福建人どもので間違いない。
これはblog■twと言う実在ドメインとの錯誤を狙っている。

Domain Name: blogo■tw
Registrant:
QIANG QIANG
QIANG QIANG 070312tw@163.com
+86.059285354125
+86.059285354125
125
ZhuHai, GuangDong
CN
21時45分のVIRUSTOTAL、Delf検出
Delfはダークエルフ由来なんだってね、最近知ったわ。
つまりネトゲ狙い。

F-Secure スルー
カスペ 検出
NOD32 検出
シマンテック スルー

431 名前:(^ー^*)ノ〜さん:07/09/12 22:17 ID:l3eOZE/80
何回も連書き本当すいません、これで最後です

検知結果
Trojan-Downloader.Win32.Small.ddx
Trojan.VBS.Qhost.c

というウィルスに感染したファイルを見つけました。この二つは駆除しましたが
アカウントハックに関係のあるものだったのでしょうか・・

432 名前:(^ー^*)ノ〜さん:07/09/12 22:18 ID:x2xFoTty0
>>429
Ragexe.exeは起動するとnProによってプロセスでは見えない状態になるからそれかな

433 名前:(^ー^*)ノ〜さん:07/09/12 22:29 ID:8V5MKnmr0
>>430
シマンテックに検体送付しました。

virustotal
Result: 8/32 (25%)
AVG 7.5.0.485 2007.09.12 Downloader.Generic6.DST
Ikarus T3.1.1.12 2007.09.12 Trojan-Downloader.Win32.Delf.TU
Kaspersky 4.0.2.24 2007.09.12 Trojan-Downloader.Win32.Delf.cce
McAfee 5117 2007.09.11 New Malware.aj
NOD32v2 2524 2007.09.12 a variant of Win32/TrojanDownloader.Delf.NYV
Panda 9.0.0.4 2007.09.11 Suspicious file
Sophos 4.21.0 2007.09.12 Mal/Packer
Webwasher-Gateway 6.0.1 2007.09.12 Riskware.HideProcess.B.2

Additional information
File size: 40448 bytes
MD5: 8ff94fdeebfb4a9db3fb5ff05962d843
SHA1: 87270699990318d7e5602ec430c3350c0bb6809f
packers: BINARYRES, UPACK

434 名前:(^ー^*)ノ〜さん:07/09/12 22:36 ID:8V5MKnmr0
>>430
club■blogo■twのソースみてたらclub■blogo■tw/ad■cがあって、
DLしたらノートン反応しました。
Trojan.Exploit.131

435 名前:(^ー^*)ノ〜さん:07/09/12 22:36 ID:tvbLayOZ0
>>428
htmlで保存できた筈だよ。

>>429
nProにより、タスクの存在を隠蔽しているため、(悪意のあるソフトで見られる挙動のため)リスクウェアと
判断されただけです。垢ハックではないと思われます。

436 名前:(^ー^*)ノ〜さん:07/09/12 22:39 ID:tvbLayOZ0
>>431
関係のあるものであった可能性はありますね。全部駆除したと安心するか、OS入れなおして確実に安全にするかは
自己責任でどうぞ。

OS入れなおしの際は、サービスパック適用済みのCD(DVD)を作成してからやると手間が大幅に省けて便利ですよ。
「SP+メーカー」というソフトを使うと、簡単にSP適用済みのCDが作成できます。ご参考までに。

437 名前:(^ー^*)ノ〜さん:07/09/12 23:05 ID:3v1/X03u0
垢ハクされたらROのIDが消されるってことはあるんですか?

438 名前:(^ー^*)ノ〜さん:07/09/12 23:12 ID:l3eOZE/80
ご返答ありがとう御座います

>>432
>>435さんの回答重ねてみた感じ、nPro自体がひっかかるソフトっぽいですね
これらに関しては心配ないようでよかったです

>>436
一通りのウィルスらしきものは駆除、SpyBotもかけてみました
バックアップ取れる媒介がなくクリーンインストするには現状ちょっと厳しいので
外付けHDD等買って、必要なものだけ移してOS入れなおしという手順を取ろうと思いますw

SP+メーカー了承しました。本当細かいところまでフォローありがとうございます
とりあえずしばらく自己責任で使ってみようと思います。重要な装備は全て友人PCから友人に預けたので
垢ハック食らったら、これを機会に引退しようと思います。もうすっぱりとorz

本当にありがとうございました。もう踏まないよう気をつけますっ

439 名前:(^ー^*)ノ〜さん:07/09/13 02:44 ID:/gNzUk6J0
>>419-420
シマンテックからメル

>>419
\main■exe
コンピュータ:
結果: このファイルの検出結果 Infostealer. ttp://www.symantec.com/avcenter/venc/data/infostealer.html

>>420
\update■exe Our automation was unable to identify any malicious content in this submission.
The file will be stored for further human analysis

うpだてしたら対応してた。
\update■exe は Downloader ウィルスに感染しています。

440 名前::(^ー^*)ノ〜さん:07/09/13 07:54 ID:NP2G5gEZ0
ttp://www.rmcbbs.com/
今まで普通にRMC見れてたんですが、今日見たら車のHPになってました。
垢ハックとかじゃないですかね?

441 名前:(^ー^*)ノ〜さん:07/09/13 07:57 ID:sDFQV3do0
キャッシュは昨日の時点ではRMCに行ってたようだけど
今見たら切れちゃってるぽいね、ドメイン

あと念のためにURLの「.」は「■」に置き換えるよう次から注意しておいてください

442 名前:440:07/09/13 08:18 ID:NP2G5gEZ0
.を■ですね。
了解です。
では、問題ないんですよね?
安心しました

443 名前:(^ー^*)ノ〜さん:07/09/13 15:07 ID:oa5E9KdS0
福建人どもによる改竄?サイト
www■yuanfen■com■tw

そうだとしてとても胡散臭いサイト。
ページには画像へのリンク1つしかない、それもサイトのスクショみたいな奴だ。
今年5月台湾台南登録、会社でメールがgmail。

Googleでは損害を与えるサイト指定。

ソース末尾にIFRAMEが仕込まれてる。
987999は中国。

mm■987999■com/abc■htm

中身に含まれるもの。
mm■987999■com/014■htm
mm■987999■com/ok■htm
mm■987999■com/main■css
mm■987999■com/logo■jpg (CSSから呼び出し、カーソル脆弱性)

罠本体
mm■987999■com/soft■exe

なんか古臭いもののようだ。
14時30分のVIRUSTOTAL
F-Secure スルー
カスペ 検出
NOD32 検出
シマンテック スルー

おまけ
キング 検出

福建人どもの仕業だろうな。
各省にいるメンバーとQQメッセで打ち合わせ今日の攻撃目標はココだとこれを改竄した。
もしくは台湾にいる協力者、送り込んだメンバーにこのドメイン取らせたか。
2年契約で、登録から4ヶ月経過していまだにサイトが出来無いと言うのはおかしい。

444 名前:(^ー^*)ノ〜さん:07/09/13 16:43 ID:UHcGFWrM0
>>440
ドメインの有効期限が切れた為に、レジストラ側が自前の広告ページに誘導している状態。いわゆるドメインパーキング。
車のサイトの様に見えるのは、レジストラがドメインの買い手募集のために出しているだけ。

whoisでqueryしたところ、今日になってupdateされた形跡があるから、確認が取れ次第、元のIPに戻されるとは思うが。
>rmcbbs.com
> Updated Date: 13-sep-2007
> Creation Date: 12-sep-2004
> Expiration Date: 12-sep-2008

445 名前:(^ー^*)ノ〜さん:07/09/13 19:50 ID:ILi0MdsJ0
【  アドレス   】 (www■rock-pine■com/orji/)
【気付いた日時】 (9/13 mixi内コミュで、AVGが反応した為)
【     OS    】 (XP)
【使用ブラウザ 】 (IE)
【WindowsUpdateの有無】 (自動更新だったと思います)
【 アンチウイルスソフト 】 (AVG)
【その他のSecurty対策 】 (Spybot)
【 ウイルススキャン結果】 (AVGさんが英語で全くわかりませんでした)
【スレログやテンプレを読んだか】 (読み途中です)
【hosts変更】(無)
【PeerGuardian2導入】(無)
【説明】
(mixi内で踏みました。警告が出たのでウイルスかも!とわかり慌ててAVG・Spybot・ウイルスバスターにて削除済みです。386をこれから見てみます)

446 名前:(^ー^*)ノ〜さん:07/09/13 20:10 ID:oa5E9KdS0
>445
ウィルスだ。
しかし大抵のソフトで駆除可能だ。
【流れ】
www■rock-pine■com/orji/

ソースは2行、上にステルスIFRAMEでこれ、下はアメブロのブログ。
被害者に見えるのは当然アメブロ。
www■woshijianren■com/jpjp/jpro■htm

呼び出されるもの、カーソル脆弱性。
www■woshijianren■com/jpjp/test■cur

罠の形態から福建人だろう。

登録情報 上海と書いて正引きIPは四川成都。

rock-pine■com
chen ji nian
SHANGHAI ROCK
sh
sh Shanghai 201700
CN

運営組織 MAINT-CHINANET
ネットワークセグメント 61.139.0.0 - 61.139.127.255
ネットワーク名 CHINANET-SC

447 名前:(^ー^*)ノ〜さん:07/09/13 20:13 ID:OQGVqbbS0
>>445
AVGは日本語対応版もフリーで出たから、そっちに変えてみたらどうだろう

448 名前: ◆sp4Sh9QXGI:07/09/13 20:21 ID:d++8tKGY0
ご無沙汰しています、まとです。
諸事情で多忙につき、更新はおろかスレチェックも
あまり出来ない状況となっております。
まことに申し訳ございませんorz


mixiの垢乗っ取りが現在も発生してるようです( ゚д゚)ノ

449 名前:445です:07/09/13 20:34 ID:ILi0MdsJ0
AVG日本語版を入れてチェック→OK
Spybot→OK

バスターもOKだったのですが、ROのクライアントを立ち上げてみて
(パスは入力してませんし、別パソにてパス変更済みです)、
もう一度バスターしてみたら、何かを何処かへ送ったクッキーが引っかかりました。

これはもうOSしか残ってなさそうです。

現在はKasperskyを入手しようと試行錯誤中です。

450 名前:(^ー^*)ノ〜さん:07/09/13 20:52 ID:/gNzUk6J0
>>430
シマンテックから対応メル
\helper■exe
コンピュータ:
結果: このファイルの検出結果 Downloader. ttp://www.symantec.com/avcenter/venc/data/downloader.html

>>443
ノートン反応
logo■jpg Trojan.Exploit.131
残件、シマンテックに検体送付しました。

451 名前:(^ー^*)ノ〜さん:07/09/14 00:39 ID:KPHxbxCC0
>>443
ノートン対応
\soft■exe は Downloader ウィルスに感染しています。

452 名前:(^ー^*)ノ〜さん:07/09/14 06:45 ID:dSUv4kb90
>>449
店で普通に売ってるのに何を試行錯誤するんだか。

453 名前:(^ー^*)ノ〜さん:07/09/14 14:05 ID:mlMpSHB50
【アドレス】mbspro6uic■com/mbsplink
【気付いた日時】一昨日
【OS】XPSP2
【使用ブラウザ 】IE6.0【WindowsUpdateの有無】アドレスを踏む前に有
【アンチウイルスソフト 】ノートン2007
【その他のSecurty対策 】Ad-AwareSE
【 ウイルススキャン結果】ノートン・カスペルスキーでスキャン、検出なしでした。
【スレログやテンプレを読んだか】読み途中です。
【hosts変更】無
【PeerGuardian2導入】無
【説明】
ブログ内で踏みました。真っ黒い画面がでたのでやばいと思いすぐ閉じて、
スキャンしたもののスルー。
>>265に書いてある通りの所なのですが『たどる→exe』と書いてあったので、
ファイルダウンロードメッセージもでなかったので、
大丈夫だったのかなとは思うのですが…。
この手に疎く、OS入れ替えが難しい状況なので、
ROパスを安全な環境から変えたのみでログインしていません。
このアドレスを踏むと感染するまでに
DLメッセージがでたりするのでしょうか…。

454 名前:(^ー^*)ノ〜さん:07/09/14 14:08 ID:Y/Rv2Ljy0
>>453
DLメッセージが出なくてももちろん感染します。
周りでOSを入れ替えずにウィルス駆除だけして装備やZenyを取られた方が何人もいるので、
何も言わずにOS入れ替えなさい。
OS入れ替えるのが無理ならこれを機会に引退ですね。
今まで稼いだものが全部パーになるわけですから。

455 名前:(^ー^*)ノ〜さん:07/09/14 14:11 ID:4Y1JV9QB0
>>453
ダウンロードメッセージは出ません。裏でこっそり入れられて、起動されます。

既知のアドレスですし、スキャンに引っ掛からなかった言うことは入手前の可能性が高いとは思いますが
保証はできません。

よって、このスレとしては「OSのクリーンインストール」を推奨します。
そのまま使うのであれば、自己責任で。

>この手に疎く、OS入れ替えが難しい状況なので、
みんな、自分で入れなおして覚えていくんですよ。まずは、消えちゃ困るデータのバックアップからがんばれ。

456 名前:453:07/09/14 14:31 ID:mlMpSHB50
>>454さん 455さん
ありがとうございます。
駆除だけでも危険なのですね…。
なんとしてでも入れ替えがいいのですね。
バックアップからがんばってみます!
本当にありがとうございました!

457 名前:(^ー^*)ノ〜さん:07/09/14 17:40 ID:Dhnt8xVS0
またも大量の罠を発見。
今回はサブドメが多い。

中でも686ipは北京の会社っぽい組織名だが登録情報のメアドで出鱈目だとわかる。
baidu@baiduって何よ?ってことだ。
Baidu(百度)は中華のサーチエンジン会社。

rrr■rfhwfhw■com/1■exe
www■686ip■cn/shen/ma■exe
777■za123■cn/cc2/vip■exe
777■za123■cn/cc/999■exe
iii■832823■cn/ysydown■exe
iii■832823■cn/ysydown■cab

上から順に14日17時から17時30分にかけてのVIRUSTOTAL
○×の並びは
F-Secure、カスペ、NOD32、シマンテックの並び、そして検出率。
1 : ○○○○ 81.25%
ma : ○×○○ 65.63%
vip : ○×○× 56.25%
999 : ○×○× 56.25%
ysydown_ex : ○○○○ 65.63%
ysydown_ca : ○○○○ 87.5%

458 名前:(^ー^*)ノ〜さん:07/09/14 18:19 ID:Dhnt8xVS0
もう一つ発見。
yxflower■w217■bizcn■com/hao■bat

14日18時10分のVIRUSTOTAL
左からF-Secure、カスペ、NOD32、シマンテックの順、そして検出率。
○××× 40.63%

F-SecureはNormanのエンジンで検出した模様。

今日見つけた罠を見る限りではF-Secureの罠検出率のよさが目立つな。
マルチエンジンと言うのもあるか。
福建人はとにかくカスペ回避に注力してるのがわかる、と。

F-Secureとカスペのオンラインスキャン、非常駐型のを幾つか使えばほぼカバーできるかもね。

459 名前:(^ー^*)ノ〜さん:07/09/14 20:38 ID:KPHxbxCC0
>>457-458
ノートン無反応分、シマンテックに検体送付しました。

>>457
www■686ip■cn/shen/ma■exe以外にも
www■686ip■cn/shen/1■exe〜9■exe(Infostealer.Gampass、Infostealer。4■exeノートン無反応提出)
www■686ip■cn/shen/ma■cab(中身muma.exe Downloader)
www■686ip■cn/shen/xxx10■exe(Infostealer.Gampass)、xxx11■exe(Infostealer)、xxx15■exe(Infostealer.QQRob.A)
www■686ip■cn/shen/shen/%E5%A4%87%E4%BB%BDma■cab(中身muma.exeノートン無反応提出)
www■686ip■cn/shen/shen/%E6%82%B2%E6%84%A4ma■exe(ノートン無反応提出)

777■za123■cnは他に
777■za123■cn/cc2/xpby.htm(ノートン無反応提出)
777■za123■cn/cc2/xpkk.htm(ノートン反応Downloader)
777■za123■cn/cc2/xppps.htm(ノートン無反応提出)
777■za123■cn/cc2/xp017.htm(ノートン無反応提出)
エスケープわかんね、デコードお願い。m(_ _)m

460 名前:(^ー^*)ノ〜さん:07/09/14 22:16 ID:4Y1JV9QB0
>エスケープわかんね、デコードお願い。m(_ _)m
悲?ma.exe
??ma.cab

のように文字化けしますな。(中国語FONT入れてると出るけど)

shen/shen/ と重なってるところを削ったら、検体入手できました。と言う訳で、まとめて報告してきます。
まとめるのが大変だな、これは。

461 名前:(^ー^*)ノ〜さん:07/09/14 22:35 ID:KPHxbxCC0
あっ、>>459コピペミス
www■686ip■cn/shen/%E5%A4%87%E4%BB%BDma■cab(中身muma.exeノートン無反応提出)
www■686ip■cn/shen/%E6%82%B2%E6%84%A4ma■exe(ノートン無反応提出)
>>460
御指摘ありがとうございます。

462 名前:(^ー^*)ノ〜さん:07/09/14 22:39 ID:4Y1JV9QB0
>>457-459
検出名の整理。空欄は、すりぬけ。

ESET Smart Security beta(NOD32)
1(1).exe : Win32/PSW.Delf.NIY trojan
1.exe : Win32/PSW.Agent.NEC trojan
2.exe : Win32/PSW.OnLineGames.NEP trojan
3.exe : Win32/PSW.OnLineGames.NEN trojan
4.exe :
5.exe : Win32/Genetik trojan
6.exe : Win32/PSW.OnLineGames.NEP trojan
7.exe : Win32/Genetik trojan
8.exe : unknown NewHeur_PE virus
9.exe : Win32/PSW.OnLineGames.NEP trojan
ma.exe : Win32/TrojanDownloader.Delf.NSA trojan
ma.cab : Win32/TrojanDownloader.Delf.NSA trojan
xxx10.exe : Win32/Genetik trojan
rename_ma.cab : unknown NewHeur_PE virus
reneme_ma.exe : unknown NewHeur_PE virus
xpby.htm :
xpkk.htm :
xppps.htm :
xp017.htm :
vip.exe : Win32/Genetik trojan
999.exe : Win32/Genetik trojan
ysydown.exe : Win32/PSW.Delf.NHI trojan
ysydown.cab : Win32/PSW.Delf.NHI trojan
hao.bat :

463 名前:(^ー^*)ノ〜さん:07/09/14 22:39 ID:4Y1JV9QB0
Kaspersky
1(1).exe : Trojan-PSW.Win32.Delf.abt
1.exe : Trojan-PSW.Win32.OnLineGames.cny
2.exe : Trojan-PSW.Win32.OnLineGames.cpv
3.exe : Trojan-PSW.Win32.OnLineGames.cpy
4.exe : Trojan-PSW.Win32.Lmir.bmi
5.exe : Trojan-PSW.Win32.OnLineGames.cvy
6.exe :
7.exe : Trojan-Spy.Win32.Delf.bab
8.exe : Trojan-PSW.Win32.WOW.wn
9.exe : Trojan-PSW.Win32.OnLineGames.cqb
ma.exe : Trojan-Downloader.Win32.VB.bjl
ma.cab : Trojan-Downloader.Win32.VB.bjl
xxx10.exe : Trojan-PSW.Win32.OnLineGames.cvb
rename_ma.cab :
reneme_ma.exe :
xpby.htm : Exploit.JS.Agent.aq
xpkk.htm :
xppps.htm :
xp017.htm :
vip.exe : Virus.Win32.AutoRun.jl
999.exe : Virus.Win32.AutoRun.jl
ysydown.exe : Trojan-PSW.Win32.Nilage.bpm
ysydown.cab : Worm.Win32.QQPass.a
hao.bat : Trojan-PSW.Win32.OnLineGames.cvx

464 名前:(^ー^*)ノ〜さん:07/09/14 22:41 ID:4Y1JV9QB0
重複ファイル名と、文字化けでアクセス不良があったので、そこだけリネームしてます。

File rename.
rrr■rfhwfhw■com/1.exe -> 1(1).exe
%E5%A4%87%E4%BB%BDma.cab -> rename_ma.cab
%E6%82%B2%E6%84%A4ma.exe -> reneme_ma.exe

465 名前:(^ー^*)ノ〜さん:07/09/15 01:35 ID:jSxG8nTb0
【  アドレス   】 rustyaden■blog118■fc2■com/
【気付いた日時】 9/14 22:00過ぎ(踏んで10分後くらい)
【     OS    】 XP SP2
【使用ブラウザ 】IE
【WindowsUpdateの有無】 1日くらい前の自動更新
【 アンチウイルスソフト 】 期限切れのNorton
【その他のSecurty対策 】 無し
【 ウイルススキャン結果】 カスペで検知されず
【スレログやテンプレを読んだか】 一通り読んで感染していた場合の対処法は理解
【hosts変更】無
【PeerGuardian2導入】無
【説明】
このスレでも何度か出ている危険URLを誤って踏んでしまったのですが、表示されたのは
blog■fc2■com/forbidden■html
というページで、このブログは凍結されています。と書かれていました。
自分のIEの履歴を見てもこのURLしか残っていませんでした。
またURLチェッカーにかけてみると危険なURLと出ますが、数日前の日付が表示されています。

ご相談したいのは、URLチェッカーではキャッシュで判断しており、最新の情報ではないのか?
と言うことと、blog■fc2■com/forbidden■htmlは本当に凍結されたブログからの転送先で、
何らかのフェイクであったりはしないのか?もしくは転送前に感染したりということはないのか?です。
少しずれた質問かもしれませんが、よろしくお願いします。

466 名前:(^ー^*)ノ〜さん:07/09/15 01:46 ID:Ma+79WqA0
んー、fc2側に情報がいって凍結されたのかな

カスペオンラインスキャンでもして感染してたら反応が出ると思う
チェックって事でそちらを一度お勧めしてみる、ウイルス合ったのは間違いないし

あと期限切れのアンチウイルスソフトなんてないような物と考えて良いから
新しい物買うかフリーで探してみることもお勧めするよ

467 名前:(^ー^*)ノ〜さん:07/09/15 01:54 ID:Ma+79WqA0
ごめん、反応なしだったんだね…まじごめんorz

468 名前:(^ー^*)ノ〜さん:07/09/15 01:56 ID:jSxG8nTb0
>>466
レスどうもありがとうございます。
カスペでのスキャンでは反応が出なかったので、とりあえず安心でしょうか。
アンチウイルスソフトは買おう買おうと思って延び延びになっていたので、この機会に購入することにします。

469 名前:(^ー^*)ノ〜さん:07/09/15 06:46 ID:wRhKH+DY0
>>459-460
エスケープ処理というか、多言語環境であると便利そうなMS謹製ツール。
Microsoft AppLocale Utility
ttp://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=8C4E8E0D-45D1-4D9B-B7C0-8430C1AC89AB
そのままだとInstallShieldで一部誤動作があるようなので、その対処法。
ttp://realhima.at.infoseek.co.jp/applocale/trouble.html

470 名前:(^ー^*)ノ〜さん:07/09/15 10:42 ID:Y4snQLzI0
mm■987999■com/soft.exe
686ipみたいに大量のトロイを落とすダウンローダ。
web■freewebhtm■com/soft/1.exe 〜 9.exe、a.exe 〜 g.exe と
一挙に16匹をダウンロードし実行(それぞれの有無までは見てません)。

471 名前:(^ー^*)ノ〜さん:07/09/15 12:31 ID:Ys24qG8Y0
>>470
b〜d.exeは404エラーで入手できず。現状の検出名確認したら提出してきます。

472 名前:(^ー^*)ノ〜さん:07/09/15 12:41 ID:Ys24qG8Y0
>>470
NOD32は1つだけすり抜け カスペは3つすり抜け

ESET Smart Securty BETA(NOD32)
soft.exe : Win32/Genetik trojan
1.exe :
2.exe : Win32/PSW.OnLineGames.YA trojan
3.exe : Win32/PSW.Agent.NEC trojan
4.exe : unknown NewHeur_PE virus
5.exe : Win32/AutoRun.Q worm
6.exe : Win32/PSW.OnLineGames.NEN trojan
7.exe : Win32/Genetik trojan
8.exe : Win32/Genetik trojan
9.exe : Win32/PSW.OnLineGames.NEN trojan
a.exe : Win32/Delf.NGD trojan
e.exe : Win32/PSW.Legendmir.NEP trojan
f.exe : Win32/Viking virus
g.exe : Win32/Agent.NEM trojan

Kaspersky
soft.exe :
1.exe :
2.exe : Trojan-Downloader.Win32.Zlob.cdg
3.exe : Trojan-PSW.Win32.OnLineGames.cny
4.exe : Trojan-PSW.Win32.WOW.vu
5.exe : Backdoor.Win32.WinterLove.bi
6.exe : Trojan-PSW.Win32.OnLineGames.cog
7.exe :
8.exe : Trojan-PSW.Win32.OnLineGames.cew
9.exe : Trojan-Spy.Win32.Delf.uv
a.exe : Backdoor.Win32.Kolmat.b
e.exe : Trojan-PSW.Win32.OnLineGames.cvv
f.exe : Trojan-Dropper.Win32.Agent.bou
g.exe : Trojan-Dropper.Win32.Agent.aqq

473 名前:(^ー^*)ノ〜さん:07/09/15 16:19 ID:y5OhaucK0
偽装jpg対策(IE7とIE6SP2限定。IE6SP1以前では出来ない)
ってあるけど火狐とかは対策方法無し?

474 名前:(^ー^*)ノ〜さん:07/09/15 17:01 ID:wRhKH+DY0
>>473
偽装jpegに関しては、そもそもIEのMIME処理に問題があるので、GeckoやKHTML系では気にする必要も無いレベル。
無論、それ以外の脆弱性に対してアンテナを向ける必要はあるが。

■[Security] IEのMIME Sniffing
ttp://d.hatena.ne.jp/boscono/20070805/p1
>jpegやpngでもHTMLっぽいコードが入っているとHTMLと認識され,そこに悪意あるコードがあればXSSが起こってしまう.
>その例が以下の記事でも指摘されている.

475 名前:(^ー^*)ノ〜さん:07/09/15 17:09 ID:f8lY2P7M0
ちなみにWindowsのアニメーションカーソルの脆弱性は
ローカルのシェルレベルの話なので、FxだろうとOperaだろうと
Explorerで(キャッシュフォルダ等を)触っただけでやられたりする。

476 名前:(^ー^*)ノ〜さん:07/09/15 17:33 ID:g9vC9ZJl0
>>470
ノートン反応
\3■exe Infostealer.Gampass
\5■exe Infostealer.QQRob.A
\6■exe Infostealer.Gampass
\7■exe Infostealer.Gampass
\8■exe Infostealer.Gampas
\9■exe Infostealer.Gampass
\a■exe Backdoor.Trojan
\f■exe W32.Looked.P
\g■exe Downloader
こちらの環境でもb〜d■exeは404。
以下、シマンテックに検体送付しました。
1■exe 2■exe 4■exe e■exe

477 名前:(^ー^*)ノ〜さん:07/09/15 17:40 ID:wRhKH+DY0
http://enif.mmobbs.com/test/read.cgi/livero/1189500335/ の現488から。向こうのレスは削除対象だが。

www■xiaoriben■net/shabi/
- www■xinluoqu■com/shabi/svch■exe

xiaoriben■net
chen jinian
xiao lin
Fujian longyan
longyan Fujian 364000
CN

運営組織 MAINT-CHINANET
ネットワークセグメント 61.139.0.0 - 61.139.127.255
ネットワーク名 CHINANET-SC

xinluoqu■com
(同上)

googleではcn方面の掲示板しか掛からない様なので、国内初出?

478 名前:(^ー^*)ノ〜さん:07/09/15 17:55 ID:g9vC9ZJl0
>>477
ノートン反応しました。
\svch■exe Infostealer

479 名前:(^ー^*)ノ〜さん:07/09/15 18:35 ID:g9vC9ZJl0
svch■exeをvirustotalに投げたら
AhnLab-V3 ClamAV FileAdvisor F-Prot以外は対応してた。。。。

480 名前:(^ー^*)ノ〜さん:07/09/16 01:34 ID:OldZiqe60
 踏んじまった……アドレスは>>445と同じもの、経路も同じくmixi。

>おじゃまします。
>どうも、鷹祭レポにて死体晒され率上昇中のしょっぽです。
>鷹祭りおつかれさまでした。
>今回はぎょblogにも死体載ってなかったのに、こんな所に2枚も……。
>次回こそはつつがなく!
>ttp://www■rock-pine■com/orji/

 と、こんな文で来ました。
 とりあえず今晩はROをアンインスコして、明日から有料ソフトなどを用いた対策をするつもりなんですが……
 ROのアンインストールって重力フォルダを削除するだけでいいんでしょうか?

481 名前:(^ー^*)ノ〜さん:07/09/16 01:37 ID:LvY9OoD90
>>480
アンインスコしても意味ない。
有料ウィルスバスタソフト等は踏む前に入れてなきゃ完全に安全だとはいえない。
何も言わずにOSのリカバリー及び再インストールをしなさい。

このままだと今日の早朝5時くらいに装備とZeny盗られてるかもね。

482 名前:(^ー^*)ノ〜さん:07/09/16 01:41 ID:OldZiqe60
今日も明日も明後日も仕事がハードなのに、おのれシナーめ……
ROは課金切れてるんですがね。OS再インスコの用意します……眠いよママン

483 名前:(^ー^*)ノ〜さん:07/09/16 01:42 ID:YOgo7wNo0
ROのフォルダやファイルに感染する訳じゃないので、ROをアンインスコしても何も変わりませんお。
このスレで言われている再インスコはHDDをフォーマットしてからのOS再インスコの事です。

それと、踏んだあとROやアトラクションセンター(物によってはMixiやメッセンジャーも)にログインすると
パスブッコ抜かれるので注意。ログインしなければとりあえず被害は無いです。
もしログインしちまったなら、他のPCから急いで変更するか信頼できる友人とかに全財産預けるとかしかないね。

一応、ROをアンインスコするには、
『コントロールパネル』の『アプリケーションの追加と削除」からやるです。

あと、余裕があったらテンプレ使って詳しく書いてくれると住人も対応しやすいです。

484 名前:(^ー^*)ノ〜さん:07/09/16 01:57 ID:OldZiqe60
申し訳ない、少々動転していたようです。

【  アドレス   】 (www■rock-pine■com/orji/)
【気付いた日時】 9月16日0030時頃。ついうっかり踏んでしまい、妙だなと思って此方をチェックしたら全く同じURLが……
【     OS    】 XP
【使用ブラウザ 】 IE
【WindowsUpdateの有無】 自動更新
【 アンチウイルスソフト 】 ソースネクストのアンチソフト。但し、課金切れ
【その他のSecurty対策 】 SpyBot
【 ウイルススキャン結果】ヒットしたのは全部削除
【スレログやテンプレを読んだか】 斜め読みですが……あと、まとめサイトやBSWikiなど
【hosts変更】無し
【PeerGuardian2導入】無し

全く持ってセキュリティ向上を怠った自分が恨めしく思えます。
尚、OS再インストールしようとしたら……このPC,プリインストールでCDやフロッピーが付いてきてなかったのです……
ROやアトラクションセンターにはログインしていません。mixiはやられたかも……ネカフェか何かで変更してきます。寝てから。
ウィルスセキュリティは今継続課金してきたところです。OS再インストールできれば一番なんですが。

485 名前:(^ー^*)ノ〜さん:07/09/16 02:26 ID:YOgo7wNo0
本来は再インストするのが最善なのですが、
どうしても出来ないのであればカスペやF-Secureなんかで
オンラインスキャンしてみるのもいいかもですが、
奴らもカスペなどに検知されないように常に改良を加えて来ているので、
全て検知できるかは解らない状況です。

とりあえずネカフェなどでログイン出来るのであれば、Mixiだけでも変えておくといいかもしれませんね。
んで、直しきれるまで一切ログインなどはしないように・・・
ネカフェも会員必要なしとか身分証明見せない所だと恐いですけども、
あとで自宅のPC直してからまた変えてもいいですしね。

486 名前:(^ー^*)ノ〜さん:07/09/16 02:28 ID:eRWOwPyq0
Mixiは携帯でいけなかったっけ?

487 名前:(^ー^*)ノ〜さん:07/09/16 02:29 ID:YOgo7wNo0
あ、あとOS再インストはHDDの容量なんかにもよりますが、慣れれば一時間くらいあれば終わるので、
必要なもののバックアップを寝てる間にDVDなんかに焼いておいて、
再インストが最も安全です。逆に言えば完全に安全な状態にするにはそれしかない状況です。
あまり力になれず申し訳ない。

488 名前:(^ー^*)ノ〜さん:07/09/16 03:07 ID:TB7YPbM80
>>484
ちょっと待て。

> ウィルスセキュリティは今継続課金してきたところです。

まさかそのPCでクレカとか使ってないよな?

489 名前:(^ー^*)ノ〜さん:07/09/16 09:18 ID:OldZiqe60
今起きました。
一応、課金は父のPCから行いました。

寝ている間にPCのスキャンが終了、2個のウィルスに感染していると出ました。

Exploit■Win32■MS05-002■Gen
not-a-virus:AdWare■Win32■007Guard■a

只今除去を試みんとしているところです。

490 名前:(^ー^*)ノ〜さん:07/09/16 10:03 ID:4UZ3upDf0
つーか
>ソースネクストのアンチソフト
これはやめとけ。

491 名前:(^ー^*)ノ〜さん:07/09/16 12:53 ID:rrISUtmh0
今のところのノートン
>>459
www■686ip■cn/shen/4■exe nfostealer.Gampass
www■686ip■cn/shen/shen/%E5%A4%87%E4%BB%BDma■cab(中身muma.exe) Downloader
www■686ip■cn/shen/shen/%E6%82%B2%E6%84%A4ma■exe Downloader

>>470
\e■exe Infostealer.Gampass

492 名前:(^ー^*)ノ〜さん:07/09/16 14:34 ID:YOgo7wNo0
父親のPCも感染してないか調べてもいいかもしれんね。
意外と家族が知らん間に踏んでる事ってある。
大丈夫そうならそこからMixiのパスとか変えればいいし。

493 名前:(^ー^*)ノ〜さん:07/09/16 14:46 ID:OldZiqe60
ミクシは既に変えました、携帯から。
艦船ファイルの削除、再度のウィルスチェックではウィルスの検出はありませんでしたが……
念のためにノートンのオンラインスキャンをかけてる最中です。……1800時からの仕事に間に合えばいいんだけどなぁ

父のPCもスキャンするよう言っておきます。
確かに本当ならノートン先生等に乗り換えたほうがいいのでしょうが……今月の予算はリカバリー用のディスクをメーカーに要求するところで尽きそうです

494 名前:(^ー^*)ノ〜さん:07/09/16 15:00 ID:qZRZYXyU0
>>493
メーカーから購入してでも、リカバリはやっといた方がいいね。がんばれ。
セキュリティソフト、windowsUpdateは、更新しないと意味が無いからしっかりとな。

バックアップすべきデータは、自分が作成したデータが最優先。メールの送受信内容もかな。

あとは、各種アプリの設定・セーブレータ等。ROのショートカットなどもレジストリから抜き出して
出力しておけばあとで戻すのが楽になります。

その次に、アプリケーションやドライバーの再インストール後に使用するファイル。
これが感染してる可能性もあるので、再入手やオリジナルからのインストールが望ましいのは言うまでもない。

495 名前:(^ー^*)ノ〜さん:07/09/16 21:23 ID:QRJ75uYm0
こんばんは。
相談させてください。

【  アドレス   】http://www■kolakola■com■tw/tour/blog■htm
【気付いた日時】 19時半
【     OS    】 xp
【使用ブラウザ 】 マイクロソフトインターネットエクスプローラ
【WindowsUpdateの有無】 自動
【 アンチウイルスソフト 】 avast!
【その他のSecurty対策 】 なし
【 ウイルススキャン結果】 なし
【スレログやテンプレを読んだか】 読み途中
【hosts変更】無し
【PeerGuardian2導入】怪しんだときから導入しました
【説明】
mixi内でコメントされていたURLを踏んだのですが、
中国語で404?のサイトを表示できません
状態で、今まで中国語の404?を見たことが無かったので
怖くなり相談させていただきました。
mixiの相手をマイミクやコミュニティを見てみると結構
交友関係があったようなので安心して踏んだのですが・・・

どうぞよろしくお願いします。

496 名前:(^ー^*)ノ〜さん:07/09/16 21:25 ID:UkPGLHYk0
>>493
リカバリ媒体が付属していない場合、起動時に特定のキーを押すとBIOSからリカバリ用システムが呼ばれる場合(いわゆるDtoD)とか、
あるいは、リカバリCD/DVDを作成するユーティリティがプリインストールされていることが多いのだが。
そのあたり、もう一度マニュアルに目を通した方が良いかも。

497 名前:(^ー^*)ノ〜さん:07/09/16 21:31 ID:LvY9OoD90
>>495
間違えなく感染してます。
大至急バックアップを取り、リカバリやOSの入れ替えをしましょう。

498 名前:(^ー^*)ノ〜さん:07/09/16 21:34 ID:iv8czOtU0
ここの存在は知ってるけど何も対策してないって人多いね〜

499 名前:(^ー^*)ノ〜さん:07/09/16 21:37 ID:LvY9OoD90
>>498
正直どうかと思うよな。
ここで聞くような人の知識じゃ感染してからじゃほとんど手遅れなのに。

500 名前:(^ー^*)ノ〜さん:07/09/16 21:47 ID:qZRZYXyU0
>>497
あんまいい加減なことを書くもんじゃないよ。

>>495
中国語であろうと、404の場合は、データが存在しない訳ですので、感染していない「可能性」はあります。

しかし、iframeなどで、複数のリンクを呼びだして、本体入手以外の普通に見えるページを表示させる
形態の場合、本体ファイルを入手してしまっている可能性もあります。

つまり、そのサイトを解析した訳ではなく(あなたが、アクセスしたのと時間帯が違うとファイルが差し替えられている
可能性もありますので、解析でシロと出ても)安全を断定できる訳ではありません

さて、1つ確認させて頂きたいことがあります。
 >【PeerGuardian2導入】怪しんだときから導入しました
これは、該当アドレスを、「踏む前に」導入したという事でしょうか。また、設定リストに
リネージュ資料室の「中国・韓国・台湾」のリストをブロックとして入れてあるでしょうか?

PG2で、上記のリストを設定した後に踏んだ場合は、通信がブロックされる為に404表示になります。
この場合は、404が出るのは正常な動作ですし、通信自体が発生していないので、感染の可能性はありません。
(もちろん、PG2でhttpブロック設定時。リストにあってもhttpはスルーの設定だと表示されてしまいます)

501 名前:(^ー^*)ノ〜さん:07/09/16 21:54 ID:qZRZYXyU0
ソースチェッカーオンラインで見ても、普通の404エラーですね。

TOPページを見ると、普通のサイトっぽいので、クラックされたけど管理者に見つかって消されたとか
そういうことかもしれません。(断定も保証もできませんが)

安心していいとは思いますが、不安なようでしたら、OSの再インストールを行なってください。

502 名前:(^ー^*)ノ〜さん:07/09/16 21:57 ID:iv8czOtU0
まぁ定番ですがカスペオンラインスキャンをまずしてみてはと

503 名前:(^ー^*)ノ〜さん:07/09/17 00:17 ID:y8MPRVQF0
とりあえずmixiやってるやつは日記を全体公開にするのやめろ。
狙われてることを自覚してもっと危機感を持て。

504 名前:(^ー^*)ノ〜さん:07/09/17 00:49 ID:CCtrCCRR0
mixiでRoの話とかどんだけ・・・

505 名前:(^ー^*)ノ〜さん:07/09/17 01:32 ID:epe6Gi/E0
>>504
なんで?

506 名前:(^ー^*)ノ〜さん:07/09/17 01:42 ID:9yB0ZdlT0
ROをしててmixiもやってるなら全体公開にしない方が良いっていうのは
一理あると思うけど、そっちでも被害がでてるなら防衛の一つとしてね

mixiでROのこと書いてる人は少なくないと思うし変でもないよ

どちらも言い方がちょっとアレだから穏便にね

507 名前:495:07/09/17 01:49 ID:DATfYcCY0
みなさんありがとうございます。
>>497
ありがとうございます。
言われてから直ぐにバックアップ体制に入りました。
>>500>>501
ありがとうございます。
PG2は踏んでから導入しました。
中華の404がでてヤバイと思ったためです。

また、「中国・韓国・台湾」のリストは設定リストに指定してはいません。
PG2を導入するために読んだサイトで上記のリストを指定すると
RO関係のものもブロックされると書かれていたので指定しませんでした。

安心したい所ですが、下記にも書きましたがコメント主がmixiを退会している
ようなのでどうにも怖いところです。
バックアップを取りPCを初期化しようと思っております。

>>502
ありがとうございます。
早速やってみます、avast!もやってますが今のところ感染ファイルが
みつかってはいません。

>>503
今度のことで身にしみました。
ご指摘感謝です。


アカハクと思わしきURLを張った人物がmixiを退会したようです。
これは黒なのでしょうね。

もうひとつお聞かせください。
URLを踏んだときmixiとメッセンジャーに繋がっていたのですが
双方ともに新アドでつなぎなおしたほうがよいのでしょうか?
因みにアドとパスを直接打ち込むのではなく記憶されていた状態です。

皆様、心から感謝です。

508 名前:(^ー^*)ノ〜さん:07/09/17 08:59 ID:KOCcx/tt0
なんで今日はぼけーっとしていたのだろう、と反省しきり。

【  アドレス   】何気なくクリックしたリンクで、慌てて消して
しまったので記憶に無いのですが、Ragnarok Online板@MMOBBS内のリンク
から行けるところでした。
【気付いた日時】20007年9月17日7:30頃
【     OS    】WindowsXP SP2
【使用ブラウザ 】IE7
【WindowsUpdateの有無】2007年9月10日から12日の間に自動アップデートが
あった記憶があります。
【 アンチウイルスソフト 】NortonInternetSecurity2007
【その他のSecurty対策 】わかりません。
【 ウイルススキャン結果】現在ノートンで実行中、今の所何も発見されず。
【スレログやテンプレを読んだか】Yes、全ては読めていないので今も
読んでいるところです。
【hosts変更】わかりませんが何もしてないです。
【PeerGuardian2導入】無
【説明】
リンク先が中央に女性の顔写真が大きくある、英語?のサイトだったため。

とりあえず今、LANケーブルを抜いて、ノートンでスキャン実行中です。
別PCからRO関係のパスを変更、これも別PCから書いています。
PeerGuardian2というのも知らなくて、ここの>>2にあるサイトから
とんで、今書いているPCのほうには入れました。ウィルススキャンの
結果の如何に関わらず、HDDフォーマットしてOSの再インストールを
しようと思っています。アドレスを記録できてなくてすみません。

509 名前:(^ー^*)ノ〜さん:07/09/17 09:43 ID:vH8hK/Vk0
踏んだのは書き込み等からではなくMMOBBSが張ってるリンクから?スレ内に張られたリンク?
テンプレに張られるサイトは結構なくなってるものもある。
そういうのはデフォのページに飛ばされたりとかする。そういうのじゃないの?
まあチェックするのはいい事だけどさ。

510 名前:508:07/09/17 10:58 ID:KOCcx/tt0
スキャン完了何も見つかりませんでした。今はバックアップ中。

>>509
アコプリスレ、雷鳥スレ、リンカースレか印象に残った一言スレかのどこかを
ぼーっと眺めていて、次何見ようかなと、リンクのどれかをクリックしたように
記憶しています。(曖昧ですいません)
ファイルが存在しないという表示だったのかもしれませんね・・・。
全て英語らしき言語だったので表記で読んではいません。
記憶にあるのは上段に3行くらいで青か紫の濃い色の文字で英語表記で
その下中央に白人女性の胸から上の写真が大きく表示されたことです。
今日の履歴を見ていて、覚えがないURLが1つあったのですが、
履歴に残るようなものではないのでしょうか?
vista.x0.com→Vista Uploader
vista.x0.to→vi8984997506.jpg
履歴に残っている下の画像ファイルをクリックすると画像ではなくて
vista.x0.comになります。
で、ちょっと印象に残ったフレーズ59言目の843番目の書き込みに
該当のURLを見つけました。でもこれを見たときではなかった気も
するんです。いかんせん記憶が曖昧で申し訳ないです。このURLを
クリックしてしまった判断は以後の発言の流れから他の人が見て大丈夫な
ものだったんだと思ってしまったことです。もしかしたら危険サイトとは
無関係な書き込みなのかもしれませんが、履歴から辿れるものは
それくらいでした。

511 名前:(^ー^*)ノ〜さん:07/09/17 11:13 ID:zew9lsKi0
>>510
ああ、それはただの画像で関係無い。(柑橘類の皮を被せた猫の写真だった。今はもう消えてる)

どこのアドレスだったかわからないと、安全だと確認もできないね。
まずは、安全な環境への復旧(元々踏んだのが安全なアドレスでも、OS入れなおした環境が安全なのは変わらない)

あとのことは気にせず復旧しといで。あと、フルバックアップして戻すと危険なファイルまで戻す可能性もあるので
バックアップは、必要な(かつ、感染していない)ファイルのみにすることだけは忘れずに。

512 名前:(^ー^*)ノ〜さん:07/09/17 12:47 ID:eDu81ygy0
>>495
俺もmixiで踏んだことがある。mixiの垢自体取られてしまうようで、覚えの
ないコメント履歴があるし、変なメッセージを送ったと晒されたりどうもお
かしいので、とりあえずmixi退会してOSから入れ直した。今は別のmixi垢を
とったが、知人の垢でもっともらしいことを書かれると油断するわ。本当に
気をつけないと。

513 名前:508:07/09/17 14:58 ID:KOCcx/tt0
ありがとうございますー。
とりあえずOS入れなおしました。
バックアップしたファイルは自分で作成したjpgの画像や
エクセルやワードのファイル、mp3とかwavとかの音源くらい
なのですが。そういうものは大丈夫と思っていいのでしょうか。

514 名前:(^ー^*)ノ〜さん:07/09/17 16:06 ID:zew9lsKi0
>>513
基本的に、その認識でOKです。
エクセルやワードのファイルにマクロとして取り付くタイプもありますが、今回は問題無いでしょう。

セキュリティソフトの導入と設定、及び定期的なパターンの更新忘れずにね。

515 名前:(^ー^*)ノ〜さん:07/09/17 18:31 ID:AOG+WSni0
【      気付いた日時          】 昨日午後
【不審なアドレスのクリックの有無 】
自HPのメールフォームから送られてきたものを迂闊にも開きました
http://www■mbspro6uic■com/mbsplink/
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【    ツールの使用の有無      】 No
【  ネットカフェの利用の有無    】 No
【     OS    】 Windows XP HomeEdition SP1
【使用ブラウザ 】 Firefox/2.0.0.6
【WindowsUpdateの有無】 自動
【 アンチウイルスソフト 】 カスペルスキーインターネットセキュリティ 7.0 Version7.0.0.138 d
【 ウイルススキャン結果】 カスペルスキーで完全スキャンを2回実行したものの、特に感染はなし
【スレログやテンプレを読んだか】 今から読みます
【hosts変更】 無
【PeerGuardian2導入】 無
【説明】
ページを開いた瞬間、カスペルスキーがアラートを発してくれたので(Trojan-Downloader.JS.Agent.hfをDLさせられていた模様)DL拒否しました
怖いのでそれ以来ROを起動したりガンホーゲームズHPに行ったりはしていません

516 名前:(^ー^*)ノ〜さん:07/09/17 18:33 ID:zew9lsKi0
>>515
ダウンローダをブロックしたなら、まず大丈夫だろうね。

未知のものも同時に入れようとしてて、入っちゃった可能性は否定しませんが、自己責任でそのまま
プレイしてもいいと思います。心配が残るようなら、OS入れなおしを。

517 名前:(^ー^*)ノ〜さん:07/09/17 20:42 ID:HsySaboj0
>>515
スクリプトを検知したんでしょ。
そこのスクリプトはActiveXコントロールを使うのでFxでは動作しない。
もっともXPがSP1ってのは非常に危ない。今からでもSP2に。

518 名前:(^ー^*)ノ〜さん:07/09/17 20:54 ID:EFh0VPOf0
【      気付いた日時          】 9/17日午後
【不審なアドレスのクリックの有無 】 自分のブログの乗ってました
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【    ツールの使用の有無      】 No
【  ネットカフェの利用の有無    】 No
【     OS    】 WIN2KPro
【使用ブラウザ 】 IE
【WindowsUpdateの有無】 常に最新版です
【 アンチウイルスソフト 】 何もなし
【その他のSecurty対策 】 何もなし
【 ウイルススキャン結果】 トレンドマイクロのオンラインスキャンで感染1と出る模様
【スレログやテンプレを読んだか】 Yes
【hosts変更】どうやって調べるんでしょう?
【PeerGuardian2導入】無
【説明】自分のブログにROのことを書いたら貼り付けられていたURLです
別PCで一応チェックしたところ中国のサイトで404?と出ている模様
それをそのままオンラインスキャンに書けたところ感染1とでました
http://www■kolakola■com.tw/tour/blog.htm

ブログに乗ってた全文です↓

狩り..ーがお届けするまったり....日記です(n'ω'n)
作りたてですが、まったりしてって下さいな。
http://www■kolakola■com.tw/tour/blog.htm

ハック?

519 名前:(^ー^*)ノ〜さん:07/09/17 21:03 ID:HsySaboj0
404 NOT FOUND。アドレス間違っただけなのか
サーバ管理者に見つかって駆除されたのかは知らん。

520 名前:495:07/09/17 22:35 ID:DATfYcCY0
>>518
どうやら私が踏んだURLと同じようですね。
怖かったのでスレ住人の皆さんにお話を伺い、
ウイルスチェックの後、PCをリカバリしました。
これで大丈夫なのかまだ怯えているところです。

521 名前:(^ー^*)ノ〜さん:07/09/17 22:43 ID:zew9lsKi0
>>520
>これで大丈夫なのかまだ怯えているところです。
まて。リカバリした後に怯える必要は皆無。その場合、確実に安全な環境に戻っていますよ。

>>519 の説明通り普通の404なので、そのアドレスを踏んだ時には何も入ってこない。

522 名前:495:07/09/17 22:53 ID:DATfYcCY0
>>521
なるほど、ほっとしました。
PG2導入しました。
気をつけねばなりませんね。

523 名前:(^ー^*)ノ〜さん:07/09/18 00:59 ID:DNEWLEIL0
踏んでも何も無いURLとかは踏んだこと無いんですけど
アカウントハックって普通のHPに見せかけつつ実はアカハックとか言うこともあるんですか?
例えば何の変哲も無いブログだけど実はアカハックとか・・・
もうそんなのもあるならRO用のPCとネット用完全に分けちゃおうかとも・・・

524 名前:(^ー^*)ノ〜さん:07/09/18 01:05 ID:nq+WxqLm0
>>523
俺はもう既にそうしてるよ。

525 名前:(^ー^*)ノ〜さん:07/09/18 08:40 ID:Iv5v40rp0
>普通のHPに見せかけつつ実はアカハックとか言うこともあるんですか?
あります。一般のHPがクラックされて仕込まれているケースなども。

あと、そのような一般的な質問は、次からはLiveROにある、雑談スレ(通称セキュスレ)でお願いします。

>テンプレ
>重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
>対策・相談・雑談は>>2に有る雑談スレを利用して下さい。

526 名前:(^ー^*)ノ〜さん:07/09/18 12:36 ID:g+yczvos0
>>518
それ、.tw(台湾)な時点で見に行っちゃダメ。

527 名前:(^ー^*)ノ〜さん:07/09/18 15:17 ID:+hzZXjfW0
twは本省人と外省人の区別が、ドメインからでは区別できないからな……
基本はブロックで、ハードウェアメーカーのような必要なサイトだけをWhiteList入りさせた方が無難。

528 名前:(^ー^*)ノ〜さん:07/09/18 15:28 ID:zbA4v2Pi0
「.com.tw」の時点でおかしくね?

529 名前:(^ー^*)ノ〜さん:07/09/18 15:43 ID:qy9crOtj0
いえ別に

530 名前:(^ー^*)ノ〜さん:07/09/18 16:01 ID:+hzZXjfW0
commercialを表す属性型SLDなだけだし

531 名前:(^ー^*)ノ〜さん:07/09/18 23:45 ID:IahQ6Qcl0
PC起動したらnProtect keycrypt uninstallerって
ダイアログが表示されました・・・
名前のダイアログが立ち上がり文章を読むと
英字でアンインストールに成功しましたと書かれています。

PCにはnprotectの入ってるようなソフトはROぐらいしかないのですが、
これも垢ハックの前兆なのでしょうか・・・?

532 名前:(^ー^*)ノ〜さん:07/09/19 00:02 ID:k5crUCni0
今日RO起動したらそうでたよ

533 名前:(^ー^*)ノ〜さん:07/09/19 00:07 ID:YLK5wYcu0
情報ありがとうです!
ギルメンや知人に聞いたらやっぱり出たっていってました。
みんな出るなら癌がなにかしたのかな。すこしホっとしました。

534 名前:(^ー^*)ノ〜さん:07/09/19 00:12 ID:E0WX9C/d0
大抵役に立たないが、たまには公式サイトも見ようぜ

一部アプリケーションソフトが正常に動作しない現象について
ttp://www.ragnarokonline.jp/news/play/bug/item/10010

535 名前:(^ー^*)ノ〜さん:07/09/19 00:14 ID:ivKM4UpL0
>>531-533
9/11に配布され、不具合出しまくりで配布を停止されたnProtect(サービス化して常駐)の
削除が行われたというメッセージです。微妙に残骸が残ってるらしいですが、
不具合の原因を除去しただけですのでご安心を。

http://www.ragnarokonline.jp/news/play/bug/item/10010

536 名前:(^ー^*)ノ〜さん:07/09/19 00:28 ID:YLK5wYcu0
なんとまあ・・・534さん535さんありがとうです。
ちゃんとチェックしないとダメですね^^;
でもこれで安心できました。本当にありがとうございました。

537 名前:(^ー^*)ノ〜さん:07/09/19 12:53 ID:KUmHJsZW0
【      気付いた日時          】 9/17 午前中
【不審なアドレスのクリックの有無 】 2ちゃん 晒しスレ
http://www■aehatena-jp■com/games
【他人にID/Passを教えた事の有無】 NO
【他人が貴方のPCを使う可能性の有無】 NO
【    ツールの使用の有無      】 NO
【  ネットカフェの利用の有無    】 NO
【     OS    】 XP SP2
【使用ブラウザ 】 DonutRAPT_74_full
【WindowsUpdateの有無】 一番最近の自動Update
【 アンチウイルスソフト 】 NOD32
【その他のSecurty対策 】
【 ウイルススキャン結果】 カスペルスキーオンラインNOD共に反応無し
【スレログやテンプレを読んだか】 YES
【hosts変更】なし
【PeerGuardian2導入】なし
【説明】URLをソースチェックしたところ
※このアドレスは危険URLのひとつです。と出ました。
RO接続をしない別PCからアトラクションIDのPASSのみ変更。

538 名前:(^ー^*)ノ〜さん:07/09/19 13:32 ID:ivKM4UpL0
>>537
既知のアドレスだな。hosts変更かPG2入れてれば確実に防げていた筈。今からでもやっとけ。

NOD32とカスペが反応しなかったところを見ると入手前に切断したと思われるが、新種に差し替えられていて
すり抜けた可能性もある。

安全な環境からのパス変更は終わってるようなので、OS入れなおして確実に安全な環境に戻すか
入手前だったと(セキュリティソフトを信じて)自己責任でそのまま使うか、好きな方を選べ。
(PG2で通信を遮断しておけば、仮に発動しても、盗んだIDとパスを送信できない可能性が高い)

539 名前:(^ー^*)ノ〜さん:07/09/19 14:09 ID:3ejOg6lI0
そうか、PG2は送信さえもブロックしてくれるんだな・・・

540 名前:(^ー^*)ノ〜さん:07/09/19 14:43 ID:ivKM4UpL0
>>537さんが導入していたセキュリティソフトでは「パターン更新を怠っていないなら」きちんと検知
できるようです。反応しなかったのであれば、入手前に遮断できていた可能性が高そうですね。

http://www■aehatena-jp■com/games/svch■exe

ESET Smart Securty Beta(NOD32)
Win32/PSW.Maran trojan

Kaspersky
Trojan-PSW.Win32.Maran.gen

541 名前:(^ー^*)ノ〜さん:07/09/19 16:36 ID:jisDTiLz0
リンカースレから失礼します。
ステアップ板が荒らされてナゾのURLがいくつか貼ってあるんですが
これはステアップ板を除いても全く問題はないのでしょうか?
URLは http://nike-net.com/linker_wiki/gms/list.php です

542 名前:(^ー^*)ノ〜さん:07/09/19 16:48 ID:Sbkj47CW0
テンプレぐらい読んでから書けよ

543 名前:(^ー^*)ノ〜さん:07/09/19 16:50 ID:Bd+hj4Ei0
>>541
今のところは、垢ハック系統ではなく、所謂botnet由来の薬物系spamだけかと。
ステアップ板の閲覧だけなら問題は無いが、張られているリンク先に飛ぶのは、ゾンビの仲間入りする可能性もあるので自重すべき。

ここから余談。
リンカーWikiの管理人氏は、管理ができている時期と、そうでない時期に妙に波がある様に思われる。本職絡みなのかも知れないが。
こういう場合には、やっぱり副管理人か削除人のような存在が必要とされるかもしれない。

544 名前:537:07/09/19 18:37 ID:KUmHJsZW0
>>538、540
不安なので早速OS再インストしPG2導入、Hostsの変更などをしました。

RO起動時に
GunHo Online ... 221.247.195.176
BANDAI NETWORKS Co...211.13.228.22
がブロックされるのですが、GunHoはともかくBANDAIのほうも許可して
良いものなのでしょうか?

545 名前:(^ー^*)ノ〜さん:07/09/19 18:51 ID:BJLWPA110
企業系のリストは導入すると支障が大きいので解除お勧め、自己責任で
あとはwikipediaくらいかな、問題ありそうなのは

ここら辺も書いてあったと思うけど

546 名前:537:07/09/19 18:58 ID:KUmHJsZW0
>>545
ありがとうございます。
IPアドレスを検索して本当にバンダイなのか調べてみました。
とりあえずOKなようですね。
これを機会にセキュリティに気をつけたいと思います。

547 名前:(^ー^*)ノ〜さん:07/09/19 19:11 ID:E0WX9C/d0
個々に許可するんじゃなくて、リストをまるごと外すって意味だよ

548 名前:(^ー^*)ノ〜さん:07/09/19 19:35 ID:aEJUKfqE0
> BANDAI NETWORKS Co...211.13.228.22

このIPアドレス、WG1のログイン鯖なんだけど
本当にバンダイかどうか確認したんだろうか。

549 名前:(^ー^*)ノ〜さん:07/09/19 19:42 ID:Hw6W9rTt0
Network Information: [ネットワーク情報]

a. [IPネットワークアドレス]  211.13.228.0/24
b. [ネットワーク名]      RAGNAROK-JP2
f. [組織名]          ガンホー・オンライン・エンターテイメント株式会社
m. [管理者連絡窓口]    YT6546JP
n. [技術連絡担当者]    YT6546JP
p. [ネームサーバ]       ns01.idc.jp
p. [ネームサーバ]       ns02.idc.jp
p. [ネームサーバ]       ns03.idc.jp
[割当年月日]        2006/05/29
[返却年月日]
[最終更新]         2006/08/23 15:44:03(JST)

上位情報
----------
ソフトバンクIDC株式会社 (SoftBank IDC Corp.)
      [割り振り]      211.13.228.0/22

どうみてもROの鯖です

550 名前:(^ー^*)ノ〜さん:07/09/19 20:14 ID:wfWIa0Eh0
垢ハック被害報告スレって今はないのかな。

551 名前:(^ー^*)ノ〜さん:07/09/19 20:26 ID:BJLWPA110
ここかLiveROの方で良いと思うけど

以前ハックされて警察や癌に通報してた人がいたはず
かなり長く逐一報告してたから「HP作ってやれよ」みたいに言われてたけど

552 名前:(^ー^*)ノ〜さん:07/09/19 21:02 ID:wfWIa0Eh0
実は今ギルメンがハックされて話し合いしてる最中で。

しかもRO内のアイテムが取られた、じゃなくて
ガンホーに確認したらガンホーIDそのものを削除されてると出た。

ガンホーIDが削除された際に内部データも全部削除されたとの事で
一切の復旧を行わないって言われたらしい。

もちろん本人は削除なんてしてないし…。
テンプレ使おうにも情報不足だからもう少しまとまってからで。

553 名前:(^ー^*)ノ〜さん:07/09/19 21:09 ID:3u4QTO140
長引きそうなので、よければ雑談スレのほうでお願いします。
http://enif.mmobbs.com/test/read.cgi/livero/1186660300/

554 名前:(^ー^*)ノ〜さん:07/09/19 21:13 ID:pksGdOKR0
>>552
とりあえず、警察と癌胞に通報を繰り返してみよう。
さすがに何らかのエラーで消えた場合に備えてバックアップは取ってるだろうから、
復旧できないって言うのも信用ならない。とくに癌胞だし。

555 名前:(^ー^*)ノ〜さん:07/09/19 21:29 ID:wfWIa0Eh0
ttp://enif.mmobbs.com/test/read.cgi/livero/1186660300/167

セキュ板の方に書き込んできましたが今のところとりあえずこんな感じです。

556 名前:(^ー^*)ノ〜さん:07/09/19 21:44 ID:lu42SEi90
>>ID:wfWIa0Eh0
それは垢ハックウイルスが原因なのが確定?
そうならそのギルメンにスキャンかけてもらって結果見せてほしい

でも、憶測だけどどーも違うことが原因に思えてならない
誰かにID教えてたとか、ね

557 名前:(^ー^*)ノ〜さん:07/09/19 21:47 ID:lu42SEi90
よんでなかった・・・スキャンかけてたのか
引っかからないってことは新型かもしれないから日を置いてまたもらってほしい

558 名前:(^ー^*)ノ〜さん:07/09/19 21:51 ID:rJcmOkYL0
RMCで変なアドレス踏んだとかじゃ?
でもそれならスキャンで引っかかるか

559 名前:(^ー^*)ノ〜さん:07/09/19 21:52 ID:BJLWPA110
誘導されてLiveROに移ってるからレスも向こうで付けないか?

560 名前:(^ー^*)ノ〜さん:07/09/19 23:41 ID:0vvFox840
【  アドレス   】 http://2sen■dip■jp:81/cgi-bin/upgun/up1/source/up8458■gif
【気付いた日時】 9/19 午前11時頃
【     OS    】 WindowsXP HomeEdition SP2
【使用ブラウザ 】 jane Doe Style Ver2.73
【WindowsUpdateの有無】 先週
【 アンチウイルスソフト 】 avast! HomeEdition 4.7
【その他のSecurty対策 】 Spybot
【 ウイルススキャン結果】 avast! 検索するも検出は無し
【スレログやテンプレを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】有 リネージュ研究室よりDL
【説明】
サムネイルを表示するとブラウザが自動的に強制終了されました
その後「ウイルスなのか?」というような内容のレスがついたので
別のブラウザで開くと何か異常があったのかもしれません

元はROとは関係無いアップローダーですが
最近は無造作にハックURLが貼り付けられているようなので不安です
別のマシンでRO関連のパスワードの変更はしましたが
ROの起動やOSの再インストールはしていないです

561 名前:(^ー^*)ノ〜さん:07/09/19 23:49 ID:ivKM4UpL0
>>560
容量でかいが、普通のアニメGIF。水着のねーちゃんが動きます。そんだけ。
落ちたのは、メモリ不足とか、リソース不足とかじゃないかな。

562 名前:(^ー^*)ノ〜さん:07/09/19 23:50 ID:ljfrJoYp0
>>560
水着の女性、少なくとも今はPC無害

563 名前:(^ー^*)ノ〜さん:07/09/19 23:58 ID:BJLWPA110
もぉ…、どこの板にいるのよぉ(´∀`*)

ま、何事もなくて何より

564 名前:(^ー^*)ノ〜さん:07/09/20 00:30 ID:RBBKRoHE0
>>561-563
そうでしたか・・・・・・有難うございます。お騒がせしましたorz
これだけでは何なので今回の反省点をまとめて

2ch形式のBBSでURLをクリックする時は、その後のレスの反応を参考にしてみる
拡張子が画像関係だからといって決して油断しない

アップローダーのサムネイル表示を無闇にしないようにする

565 名前:(^ー^*)ノ〜さん:07/09/20 01:07 ID:UDE1uSwf0
>>560
ttp://janestyle.s11.xrea.com/
>Version 2.74 公開
>・不正なGIF画像でアプリケーションが落ちる不具合を修正
これに引っかかって落ちたかと思われ。
9/19付けの最新版は2.75。

566 名前:(^ー^*)ノ〜さん:07/09/20 11:17 ID:sUi3BC0k0
最近は中華の罠ドメイン取得とかないのか?
癌がBOTをBANしなくなってBOTのが楽になったからかね

567 名前:(^ー^*)ノ〜さん:07/09/20 11:20 ID:GUUnFamA0
ちょい上のほうに沢山あるお。

568 名前:(^ー^*)ノ〜さん:07/09/20 11:41 ID:sUi3BC0k0
いや、少し前は1週間に1回は新ドメイン取得報告が
あった気がするんだけど、最近ないなぁと
俺の気のせいならスマン

569 名前:(^ー^*)ノ〜さん:07/09/20 11:48 ID:GUUnFamA0
ああ、なるほど。
でも上の報告見ても報告してくれた日よりかなり前に取得したような感じのものもあるし、
多分裏では作りつづけているんじゃなかろうか?

570 名前:(^ー^*)ノ〜さん:07/09/20 11:51 ID:zsXmaoK10
>>566-569
テンプレにあるように、雑談はセキュスレに移動してやってもらえないだろうか。

セキュリティ対策、質問・雑談スレ3
http://enif.mmobbs.com/test/read.cgi/livero/1186660300/

571 名前:Wikiかんり ◆YmlphaDS/s:07/09/21 10:43 ID:X1u9ldjC0
http://www.mechiment■net/amcap.com
9/10に某掲示板(RO外。廃墟)に書き込まれたURL。
amcap.comはUPX圧縮ファイル。(MD5: 626c64c88908fe71beaff744f42d663c)
- 20070608180744145.jpg(コスプレ女性の画像)と、server.exeが含まれる。
- VirusTotalで確認すれど検出率低め。Result: 9/32 (28.13%)
 日本で良く利用されているものでは、検出できるのが Avastくらい。

http://www.mechiment■net/
サイトのトップにも仕掛けあり。
フルスクリーンでYoutube動画を再生させようとする。
裏でVBscriptを呼び出し、Microsoft.XMLHTTPの脆弱性を利用して
http://www.natatinon■com/yahoo.exe
を起動させようと試みる実装がされている。

yahoo.com はUPX圧縮ファイル。(MD5: deb95a4853f4c9b5c7bc3191c7e10e83)
検出率は amcap.comに近い。Result: 10/32 (31.25%)
国内で使われているものでの検出状況も同様。
上記二件については、Symantec, KingSoft, Kaspersky に検体提出を試みた。

ドメイン登録情報は、mechiment, natatinon とも以下の通りである。
Registrant:
Zhang xiaolong
Administrative Contact:
Li hoy
Zhang xiaolong
shang hai guangzhong road 328
Shanghai Shanghai 200000
CN

572 名前:571:07/09/21 10:48 ID:X1u9ldjC0
またやっちゃった... orz

573 名前:(^ー^*)ノ〜さん:07/09/21 11:10 ID:rb11Wpw70
いつも乙であります。

574 名前:(^ー^*)ノ〜さん:07/09/21 11:21 ID:rb11Wpw70
>>571
という訳で、検体提出行ってきます。

ESET Smart Security beta(NOD32)
amcap.com : Not Detected
index.htm : Not Detected
yahoo.exe : Not Detected

Kaspersky
amcap.com : Not Detected
index.htm : Not Detected
yahoo.exe : Not Detected

575 名前:571:07/09/21 11:49 ID:X1u9ldjC0
カスペルスキー先生からお返事。
Trojan-PSW.Win32.OnLineGames.dgf

576 名前:(^ー^*)ノ〜さん:07/09/21 12:34 ID:rb11Wpw70
>>575
カスペは、TOPページ(一緒に送っといた)も対応してくれた模様。
amcap.com_, yahoo.exe_ - Trojan-PSW.Win32.OnLineGames.dgf
index.htm_ - Trojan-Downloader.JS.Agent.ra

577 名前:(^ー^*)ノ〜さん:07/09/21 21:25 ID:VVlNMsRv0
【  アドレス   】  http://www■rmtro-jp■com/blog/
【気付いた日時】 先ほど。
【     OS    】 Windows XP 
【使用ブラウザ 】 Internet Explorer6.0
【WindowsUpdateの有無】 わかりません。
【 アンチウイルスソフト 】無し
【その他のSecurty対策 】 ルータ(バッファロー社製品2004年の物)
【 ウイルススキャン結果】 していません。
【スレログやテンプレを読んだか】 (今、読んでます)
【hosts変更】無いと思います。
【PeerGuardian2導入】これも無いと思われます。
【説明】
   本日ログインしていたところ、いきなり他のPCでログインしましたの文字が。
再度ログインしたところ同じ文字。
これは、アカウントハッキングだと思い、知り合いに連絡を取り
gunho-ID、アトラクションID両方とも変更していただきました。
それからはログインなどせずこちらを拝見しております。
私の軽率な行動でこうなってしまった事、申し訳なく思います。
私の被害もそうですが、一応報告だけでもと思い、書き込み失礼いたします。

578 名前:(^ー^*)ノ〜さん:07/09/21 21:26 ID:5ktiojOp0
なんかえらく他人事だな…、さっさとウイルススキャンしなさいな

579 名前:(^ー^*)ノ〜さん:07/09/21 22:01 ID:LJNtU58O0
【  アドレス   】  http://www■rmtro-jp■com/blog/ 【気付いた日時】 先ほど。 【     OS    】 Windows XP  【使用ブラウザ 】 Internet Explorer6.0 【WindowsUpdateの有無】 わかりません。 【 アンチウイルスソフト 】無し 【その他のSecurty対策 】 ルータ(バッファロー社製品2004年の物) 【 ウイルススキャン結果】 していません。 【スレログやテンプレを読んだか】 (今、読んでます) 【hosts変更】無いと思います。 【PeerGuardian2導入】これも無いと思われます。 【説明】    本日ログインしていたところ、いきなり他のPCでログインしましたとの文字が。 これは、アカウントハッキングだと思い、知り合いに連絡を取り gunho-ID、アトラクションID両方とも変更していただきました。 それからはログインなどされず。こちらを拝見しております。 私の軽率な行動でこうなってしまった事、申し訳なく思います。 私の被害もそうですが、一応報告だけでもと思い、書き込み失礼いたします。

580 名前:(^ー^*)ノ〜さん:07/09/21 22:15 ID:rb11Wpw70
>>577
安全な環境からのパスワード変更が終わっているようですので、

必要なデータをバックアップした後に、OSを入れなおして、安全な環境に戻しましょう。

次いで、セキュリティソフトを導入し(必須)、PG2を設定し(任意)、ROを再インストールして
プレイできる環境に戻して下さい。

581 名前:(^ー^*)ノ〜さん:07/09/21 22:56 ID:MZMvENgb0
PCと携帯からの2重か。読み難いな・・・
皆の言うとおり、とりあえずは安全だから、今後は気をつけてな。

582 名前:(^ー^*)ノ〜さん:07/09/21 23:42 ID:tNifQrDv0
>>577
とりあえず、OSを再インストールしたら、WindowsUpdateは確実に行ったほうがいい。出来れば自動通知ONで。
場合によっては、mixi経由の様に他人を巻き込む可能性もあるから、それを防ぐ意味でも。

583 名前:(^ー^*)ノ〜さん:07/09/22 16:58 ID:2poluA+H0
すみません477のアドレス踏んでしまったんですが
svch■exeというファイルは自分のPCから見つかりませんでした。

仮に垢ハックにかかってしまった場合上記のexeが自分のPCに入り込んで
IDパスを撒き散らすということでよいのでしょうか。

584 名前:(^ー^*)ノ〜さん:07/09/22 16:59 ID:2F415chA0
>>571
yahoo.exe 削除された模様。

585 名前:(^ー^*)ノ〜さん:07/09/22 17:40 ID:WLX87XH10
>>583
そういったことは次回からこちらへ
セキュリティ対策、質問・雑談スレ3
http://enif.mmobbs.com/test/read.cgi/livero/1186660300/

そのexeがそのままPCに潜り込んで活動すると言うよりも
exeからウイルスが広がって既存ファイルに感染するのがわかるかな
インストーラーみたいな感じだと思う

586 名前:583:07/09/22 17:51 ID:2poluA+H0
>>585
色々と調べてみました。自分はKaspersky Internet Security 試用版で検索をかけましたが
感染はしていなかったみたいです。
どうやらsvch■exeは「MS06-014」のWindowsUpdateが出来ていれば影響は受けない、という
ことらしかったので事なきを得た様です。
でもまだ不安が残るので誘導されたほうできいてみたいと思います。
どうもありがとうございました。

587 名前:(^ー^*)ノ〜さん:07/09/23 23:30 ID:ukITBlFA0
【      気付いた日時          】 9/23 18:30
【不審なアドレスのクリックの有無 】 有 (クリックしたんだろうけど踏んだ心当たりがなし)
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【    ツールの使用の有無      】 No
【  ネットカフェの利用の有無    】 No
【     OS    】 WindowsXP HomeEdition SP2
【使用ブラウザ 】 IE
【WindowsUpdateの有無】 最新
【 アンチウイルスソフト 】 NOD32
【その他のSecurty対策 】 ルーター、たまにAD-AWARE、カスペオンラインスキャンで検査
【 ウイルススキャン結果】 カスペルオンラインスキャンで発見。NOD先生はスルー(18:30頃)
              オブジェクト : C:\WINDOWS\system32\Packet.dll
                ウイルス : HackTool.Win32.Agent.br
【スレログやテンプレを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】 無
【説明】
Gv前に検索かけてみたら発見。
別PCでパス変えて感染PC隔離したので今のところ実被害なし。
心当たりがないのが痛い・・・
ウイルスの詳細がカスペのHPにはなかったけど、ウイルス名でぐぐったら
中国語でオンラインゲームのアカウントを云々とあるので垢ハックほぼ確定。
NOD先生が反応してくれなくて手動削除もできなかったので
カスペ試用版を落としてとりあえず削除。
不安なので今からOS入れなおし。

588 名前:(^ー^*)ノ〜さん:07/09/23 23:46 ID:9HdLa4Rx0
>>587
WinXPproSP2で同一ファイル名をスキャンしたところ、カスペで検出しませんでしたので、
誤検出の線は薄いですね。(23:40頃)

アドレスがわからないのが残念ですが、OS入れなおして、安全な環境に戻すのを頑張って下さい。

OSインストール時には、SP+メーカーを使ってSP適用済みCD(DVD)を作成しておくと労力が軽減できます。
別のスレで紹介されていたものですが、インストールの順番を守ると、PCがより安定するかもしれませんね。
ttp://www.daw-pc.info/windows/inst.htm

ついでに、PG2の導入もお勧めしておきます。

589 名前:571:07/09/24 17:35 ID:cSusVz7R0
>>575
ノートン先生からもお手紙着いた。(24日 10時ごろ)

filename: yahoo.exe
result: This file is detected as Infostealer.Gampass. http://www.symantec.com/avcenter/venc/data/infostealer.gampass.html

filename: amcap.com
result: This file is detected as Trojan.Dropper. http://www.symantec.com/avcenter/venc/data/trojan.dropper.html

あえて自動更新に任せてるパターンファイルは書き込み時点で
 2007/09/20 rev. 9
当然ながら、検体に提出したファイルは未だ検知せず。

--
特に攻撃者の標的となっているゲームをプレイしているユーザーにとっては
感染に気付くまでの時間は一刻を争うといえましょう。

ことアカハック系への対処を考えるならば、「何でもいいからウィルス
対策ソフト入れておけ」というのでは足らず、どこかのソフトの売り
文句じゃないですが「セキュリティソフトこそ性能で選ぶべきだ」と
言うべきなのかもしれません。

キャッシュに残ってたアカハックサイトへのアクセス痕跡を、更新の
遅い対策ソフトが見つける頃には、身ぐるみはがされたキャラが
カプラ前に突っ立ってるなんて事態になっていそうで。

正直申しあげて、N先生にはがっかりさせられっぱなしですので、
オンラインゲームプレイヤーにはお勧めできないと個人的な感想。

590 名前:(^ー^*)ノ〜さん:07/09/25 09:06 ID:J+dbEw9r0
自分のブログにあったトラバURLを調査していたのですが・・・

【  アドレス   】 http://tresuretresuretresure■web■fc2■com/
【気付いた日時】 トラバに気づいたのは今月18日、踏んだのは今朝
【     OS    】 WindowsXP HomeEdition SP2
【使用ブラウザ 】Mozilla/5.0 (Windows; U; Windows NT 5.1; ja; rv:1.8.1.7) Gecko/20070914 Firefox/2.0.0.7
【WindowsUpdateの有無】 最近した気がする、少なくとも2週間以内くらい
【 アンチウイルスソフト 】 NortonInternetSecurity2007? BBセキュリティのライト版
【その他のSecurty対策 】 ルータは経由してるけど、よくわかんない
【 ウイルススキャン結果】 ノートン先生は何も検出しなかった
【スレログやテンプレを読んだか】 だいたい読んだ
【hosts変更】無
【PeerGuardian2導入】無
【説明】
fc2は最近ヤバイと聞いていたのだが、aguse.netでは一見普通の不法就労をすすめるページぽかったので、
どうやってヤバイと判定するのかなぁと思いつつ、キャッシュで見てみた。
トラバされたときに説明が文字化けしていたのを思い出して、まずいかなと思った。

いつもなら無視して終わりなのに・・・

お手数ですがよろしくお願いします。

591 名前:(^ー^*)ノ〜さん:07/09/25 09:41 ID:4Pra7CfF0
>590
>1
>※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

よろしく、と言われても困るわけで。
ソースチェッカーで軽く見た感じではハクとは関係なさそうだけど、詳しく見てないのでなんとも。
不安ならカスペのオンラインスキャン等々でチェック。


>どうやってヤバイと判定するのかなぁと思いつつ
セキュスレ向きの話なので、簡単に。

自分がやってるのはソースチェッカーでソースを見てスクリプトや中に書かれたURLをチェック。
exeやcurのリンクが書かれていたり、スクリプトで「Microsoft.XMLHTTP」のオブジェクトを
生成するように書かれていると、結構怪しい。
あとはまとめサイト等のあるアドレスが書かれて無いか、など。

>46のように罠ページをiframeで仕込むパターンが多いので、過去ログを見てみると傾向が
つかめると思う。

592 名前:(^ー^*)ノ〜さん:07/09/25 09:47 ID:4P/EYe3V0
>>590
自分で言ってるから分かっていると思うけど、怪しいと思うなら踏まないでさくっと削除しましょう。
どうしても踏むならばきちんと対策してから。多分魔かなんかがさしたんだろうけど。

で、
>【スレログやテンプレを読んだか】 だいたい読んだ
のだから
> ※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません
は読んでるはずなんだけどなぁ。
2chのそれ系のスレにいったほうがレスが早いと思うよ?

あと s/不法就労/不労就労/

593 名前:590:07/09/25 10:47 ID:J+dbEw9r0
>>591
>>592
レスありがとうございます。
2ch等、匿名掲示板の使用に慣れていないので、
最新の 勇気がなくて踏めない人のための鑑定スレ にたどり着くのに
時間がかかってしまい、ご迷惑をおかけしました。

中国など海外からのものは削除して終わりなのですが、国内のものは初だったので
今回こういうことになってしまいました。
fc2が危険ということは知っていたのですが、一般サイトでは詳細な調べ方?が
載っているサイトは見つからず、結局こういった掲示板に頼ることになった
次第です。
ファンサイト運営者のひとりとして、知っておくべき知識だと思うので、
しばらく勉強したいと思っています。

594 名前:(^ー^*)ノ〜さん:07/09/25 19:16 ID:6GVjq1YR0
>>593
生兵法は怪我の元だから君子危うきに近寄らずがBest。
でも興味があるってなら590の言うようにLiveROの方のスレで聞くと色々
助言が貰えると思うよ。

LiveROのスレはこちら
セキュリティ対策、質問・雑談スレ3
http://enif.mmobbs.com/test/read.cgi/livero/1186660300/

595 名前:(^ー^*)ノ〜さん:07/09/25 19:25 ID:R4pO87rL0
>>593,594
その考え方も間違いではないが、仮にもファンサイトを運営している立場なら、無学のままでは今後厳しい局面に立たされる危険性が高い。
連中はサイトのクラックすら躊躇せずに行う輩だし、サーバサイドのセキュリティ・自衛方法の知識を蓄えていく事は無駄にはならないよ。

596 名前:(^ー^*)ノ〜さん:07/09/25 20:28 ID:YsOD0sWQ0
今日のBOT対策の結果、中華がまたハクに精を出してくる気がした。
今更すぎるが、ご用心を。

597 名前:(^ー^*)ノ〜さん:07/09/25 21:33 ID:Jw3AqeAX0
癌がまともなBOT対策?
またまたご冗談を(AA略

598 名前:(^ー^*)ノ〜さん:07/09/25 21:37 ID:pigvn6SJ0
【      気付いた日時          】 5月のはじめくらいに
【不審なアドレスのクリックの有無 】 踏んだ記憶はありません
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【    ツールの使用の有無      】 No
【  ネットカフェの利用の有無    】 No
【     OS    】 WindowsXP
【使用ブラウザ 】IE
【WindowsUpdateの有無】 常に最新の状態を保っていたはずです
【 アンチウイルスソフト 】 ウイルスバスター
【その他のSecurty対策 】 なし
【 ウイルススキャン結果】 故障してしまいできませんでした
【スレログやテンプレを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
引越し→ネット開通までの間にアイテム・キャラともに根こそぎやられました。
気づいたのは別のPCで5月にログインしたときで、感染していると思われるPCは垢ハック判明後から現在まで使っていませんでした。
最近また、ウイルスを駆除してROを再開しようと思ったのですが、数ヶ月放置していたからか故障していましたorz
ウイルスの種類や感染していたファイル、感染経路等が特定できないので不安なのですが、OS再インストールをすればとりあえずは安全に使えるのでしょうか?

599 名前:(^ー^*)ノ〜さん:07/09/25 21:40 ID:1986qgDr0
>OS再インストールをすればとりあえずは安全に使えるのでしょうか?
その通りでございます。

600 名前:587:07/09/25 22:32 ID:aK2ryDg90
いろいろ調べてみました

結果、最新版のWinPcapの中に混入している可能性大でした。
これが今だにNOD先生が反応しないので、カスペさんが過剰反応しているだけかも

とりあえず、垢ハックとは話ズレそうなのでこの辺で

601 名前:(^ー^*)ノ〜さん:07/09/26 09:56 ID:y+5zcJ5j0
>>598-599
故障の度合にもよる。
ソフト的な物だけなら、再インストール(リカバリ)で復旧できるが、HDDなどハード的にやられている部分がある場合は、該当パーツの
交換が必要となるぞ。
しばらく使っていなかったPCを、いざ使おうとしてみたら起動しないというのは決して珍しくはない話。

602 名前:598:07/09/26 16:04 ID:5tVjM6re0
レスありがとうございます。

>>599
なんでも消せない領域に入られたら再インストールだけじゃダメということも聞いたので・・・。
過去のレスではそういった種類のウイルスがないようなのでとりあえず大丈夫そうですね。

>>601
故障のほうが問題だったかもしれません。
ファンはまわっているのに画面が映らなかったりキーボードが反応しないといった状況で・・・。
お金かかりそうですがちゃんと修理に出してみます。

603 名前:(^ー^*)ノ〜さん:07/09/27 17:15 ID:Y6Xx0uY30
>>602
引っ越しを挟んでいるから、業者?の梱包が手抜きだったのだろう。それだと輸送振動などで故障する場合も少なくない。
いかに宣伝文句を謳っていようとも、新品ですら輸送は初期不良の原因となる訳で。
PCの類いは、ハンドキャリーに勝るものはない。

604 名前:(^ー^*)ノ〜さん:07/09/27 21:17 ID:FIr09HAe0
langouster■com/iekavass/test/vir■exe
新種。
超ヤバイ、20時55分のVIRUSTOTALで検出したのは1つだけ、
しかもヒューリスティックで。
検出率3.13%
F-Secure、カスペ、NOD32、シマンテックスルー

ドメイン登録情報を調べたらIPが四川の成都。
登録者名が"Zhang Wei"、”zhangwei”jp?
福建人の仲間でまず間違いない。

対日攻撃に今の段階で使われると大変だ。

605 名前:(^ー^*)ノ〜さん:07/09/27 21:20 ID:PeowHTQt0
>>604
サイズ小さすぎね? 3.5kBだとせいぜいダウンローダだろうけど
それっぽい文字列も見当たらない。
このコード量じゃパス抜きは無理な予感
(ファイル削除とかはできると思うが)。

606 名前:604:07/09/27 21:21 ID:FIr09HAe0
ここ数日PROXY使ってないのに規制喰らってた。

他の罠置き場も。
web■858656■com/104/xl/smss1■exe
www■freepower■com■cn/5tan1ie/picture/sysinfo■exe
www■beautyconcept■cn/asp/server■exe
www■hot169■cn/muma/muma■exe
user■free2■77169■net/xiaob/qq/QQTT■exe

607 名前:(^ー^*)ノ〜さん:07/09/27 21:29 ID:FIr09HAe0
>サイズ小さすぎね? 3.5kBだとせいぜいダウンローダだろうけど
それっぽい文字列も見当たらない。

ディレクトリを良く見るとiekavとtestの文字。
これは現時点では試作体なのかも知れない。

だが台湾あたりのサイトで出てくるくらいだから
何かしらの攻撃に使われたのかも知れぬ。

これに肉付けでもするのかも、油断は大敵。

608 名前:(^ー^*)ノ〜さん:07/09/27 22:17 ID:7mafRiOA0
未記入の箇所は、すりぬけ。
リトライがやたらかかったけど、全部入手に成功したので検体提出してきます。

Eset Smart Securty(NOD32)
vir.exe :
smss1.exe : Win32/Drowor virus
sysinfo.exe :
server.exe :
muma.exe : Win32/TrojanDownloader.Delf.NJH trojan
QQTT.exe :

Kaspersky
vir.exe :
smss1.exe : Trojan-Downloader.Win32.Agent.dex
sysinfo.exe : Backdoor.Win32.PcClient.aeh
server.exe : Backdoor.Win32.Hupigon.jmq
muma.exe :
QQTT.exe : Trojan-PSW.Win32.QQPass.bar

609 名前:(^ー^*)ノ〜さん:07/09/27 22:21 ID:MGFBJ/jf0
>>606
ノートン反応
web■858656■com/104/xl/smss1■exe W32.Jacksuf.A
www■beautyconcept■cn/asp/server■exe  Backdoor.Graybird
user■free2■77169■net/xiaob/qq/QQTT■exe W32.SillyDC

>>604>>606
残件、シマンテックに検体送付しました。

610 名前:(^ー^*)ノ〜さん:07/09/27 22:47 ID:7mafRiOA0
カスペ返答
virは危険コードなし。muma.exeは次のパターンで。

muma.exe - Trojan-Downloader.Win32.Delf.cgh

These files are already detected. Please update your antivirus bases.
vir.exe

611 名前:(^ー^*)ノ〜さん:07/09/27 22:53 ID:7mafRiOA0
追加。
AntiVir が全部検出(vir.exeは安全らしい)済みだったのがちょっと凄いと思った。(一部ヒューリスティック)

Trend Micro
vir.exe : CLEAN
smss1.exe : TROJ_DLOADER.PZK
sysinfo.exe :
server.exe : BKDR_HUPIGON.GAU
muma.exe :
QQTT.exe :

Avira's virus lab(AntiVir)
vir.exe : CLEAN
smss1.exe : TR/Dldr.Small.GOC.1.
sysinfo.exe : DR/PcClient.Gen.
server.exe : TR/LdPinch.KO.
muma.exe : TR/Crypt.XPACK.Gen.
QQTT.exe : TR/Flooder.IM.VB.GF.

612 名前:(^ー^*)ノ〜さん:07/09/27 22:59 ID:MGFBJ/jf0
はえーなぁ。w
くやしいのでアンチドートでチェック>>608のKasperskyと同じ結果。
当たり前だw。。。削除はできないけどね。(´・ω・`)ショボーン

>>604>>606
ついでにキングソフトにも送ってみた。。。

613 名前:(^ー^*)ノ〜さん:07/09/27 23:11 ID:FIr09HAe0
vir.exeはやはり試作もしくは検証用なのか。

一応VIRUSTOTAL
Prevx1 V2 2007.09.27 Heuristic: Suspicious Self Modifying File

あっちのウィルス対策掲示板で、上に書いた他のものと一緒に書き込まれるあたり
”火の無いところに”の例えなんだろうけど。

そうでもなきゃクリーンであるはずのものを書き込むとは思えない。
ともあれ”今のところ”は杞憂で何より。

614 名前:(^ー^*)ノ〜さん:07/09/27 23:17 ID:MGFBJ/jf0
>>613
こちらもvirustotalに投げてるけど、こんなのが出た。
Prevx1 V2 2007.09.27 Heuristic: Suspicious Self Modifying File
ttp://www.virustotal.com/resultado.html?ef208ec39098e5738b7d26fd9067f201 (ログはすぐに流れてしまう)
File vir.exe received on 09.27.2007 16:05:41 (CET)
scanning finished
Result: 1/32 (3.13%)
File size: 3584 bytes
MD5: 99144b0d046e861a18e1c46db582db72
SHA1: 61265229ed87c2c60a37f781de6661c1a4b8e0d2

615 名前:(^ー^*)ノ〜さん:07/09/27 23:19 ID:MGFBJ/jf0
あう、よくみたら同じだった。。。orz....

616 名前:(^ー^*)ノ〜さん:07/09/28 13:17 ID:42vpR98p0
>>609
\muma■exe
コンピュータ:
結果: このファイルの検出結果 Downloader. ttp://www.symantec.com/avcenter/venc/data/downloader.html
\sysinfo■exe
コンピュータ:
結果: このファイルの検出結果 Trojan.Dropper. ttp://www.symantec.com/avcenter/venc/data/trojan.dropper.html
\vir■exe
コンピュータ:
結果: \vir■exe contains no malicious code although it might be a nuisance. It is safe to delete this file.

>>612
アンチドート
\muma■exe = ウイルス感染 : Trojan-Downloader.Win32.Delf.cgh

617 名前:(^ー^*)ノ〜さん:07/09/29 13:59 ID:7Rx+pS5+0
>>613
サイトのトップページから見ると、大学生(Jiangsu UniversityとWhoisに)
と思われる個人blog。blogの記事から見てセキュリティ関係に詳しい人です。

で今回報告された vir.exeですが、blogの主が関わっているとみられる
IE護衛(IEKavass)というトロイ防御用ソフトウェアの紹介エントリで、
動作確認用に置かれたもののようです。

http://www.langouster■com/Html/22.html
-> http://www.langouster■com/IEKavass/test/ms06014.htm

# リンク先に危険はないと思われますが、わかってない人が踏んづけて
# 騒ぐのを防止するために自動リンクしないようにしてあります。

618 名前:(^ー^*)ノ〜さん:07/09/29 15:36 ID:83vHE3zg0
>>617
でもやっぱり悪用可能なコードを
ダウンロード可能状態で置いておくのは良くないと思った。
悪意ある側もダウンロードして亜種作れるわけだし、
セキュリティに詳しかろうが関心は出来無い。

それはそうと福建人の罠ドメイン発見。
【恐らくIFRAMEタグで仕込む誘引リンク】
fs18■net/down8/we■htm
【本体】
fs18■net/down8/ii■exe

F-Secure、カスペルスキー、NOD32(何れもDelf)、シマンテック検出(Infostealer。
キング検出(delf)

他にも
fs18■net/down5/rx■exe
なんてのがある。
これはカスペ(OnLineGames)とNOD32、シマンテック(Gampass)が検出。
キング検出。

登録情報、福建アモイ。
IPは福建に隣接した浙江省。
Domain Name:fs18■net
Registrant:
Zhang san. 121212@1212ssss.com +86.101234567
Zhang san.
Fujian provinceXiamen City
Xiamen,Tianjin,CHINA 200060
Record created on 2007/9/13

619 名前:(^ー^*)ノ〜さん:07/09/29 15:46 ID:DvP5MWJZ0
【  アドレス   】http://www■rentalbbs-livedoor■com/roblog/
【気付いた日時】12時
【     OS    】XPpro SP2
【使用ブラウザ 】FireFox2.0.0.7
【WindowsUpdateの有無】してない
【 アンチウイルスソフト 】AGV
【その他のSecurty対策 】なし
【 ウイルススキャン結果】スキャン中
【スレログやテンプレを読んだか】斜め読み
【hosts変更】無
【PeerGuardian2導入】無
【説明】
有名アドレスですよねこれ
別スレ読んでてリンクがありクリックした後に気づいた・・・
開いたらRar!!という表記のみでした ソースは確認してないです
明日GVなのにめんどいなぁ 入れなおししなきゃなぁ

620 名前:619:07/09/29 15:57 ID:DvP5MWJZ0
AVGでのスキャンは無反応でした
ついでにカスペル先生でも試して見ます

621 名前:(^ー^*)ノ〜さん:07/09/29 16:44 ID:7tNsAqb00
ちょと下がり気味かな、上げておきますね〜

622 名前:(^ー^*)ノ〜さん:07/09/30 05:21 ID:XNugyOgC0
>>619
ソースに>>377のwww■raginfoy■com/roblog/ro■exe(ノートン名Infostealer)をダウンロードさせる記述あり。


>>618
他にも
fs18■net/down8/ah■c Trojan.Exploit.131
fs18■net/down5/hx■exe Infostealer.Gampass
fs18■net/down5/qq■exeはノートン未対応。。。orz........ シマンテックに検体送付しました。

623 名前:(^ー^*)ノ〜さん:07/09/30 05:26 ID:XNugyOgC0
virustotal qq■exe  Result: 24/32 (75%)
AhnLab-V3 2007.9.29.0 2007.09.28 Win-Trojan/QQPass.Gen
AntiVir 7.6.0.18 2007.09.28 TR/PSW.QQGame.AB
Authentium 4.93.8 2007.09.29 -
Avast 4.7.1043.0 2007.09.29 Win32:Delf-FZG
AVG 7.5.0.488 2007.09.29 Worm/Generic.DPI
BitDefender 7.2 2007.09.29 Win32.Worm.Autorun.FF
CAT-QuickHeal 9.00 2007.09.29 Worm.AutoRun.pi
ClamAV 0.91.2 2007.09.29 -
DrWeb 4.33 2007.09.29 Trojan.PWS.Qqpass.1421
eSafe 7.0.15.0 2007.09.29 suspicious Trojan/Worm
eTrust-Vet 31.2.5169 2007.09.27 Win32/QQPass!generic
Ewido 4.0 2007.09.29 -
FileAdvisor 1 2007.09.29 -
Fortinet 3.11.0.0 2007.09.29 Dropper.H!tr.pws
F-Prot 4.3.2.48 2007.09.29 -
F-Secure 6.70.13030.0 2007.09.29 Virus.Win32.AutoRun.pi
Ikarus T3.1.1.12 2007.09.29 Virus.Win32.AutoRun.bs
Kaspersky 7.0.0.125 2007.09.29 Virus.Win32.AutoRun.pi
McAfee 5130 2007.09.28 PWS-QQGame
Microsoft 1.2803 2007.09.29 -
NOD32v2 2559 2007.09.29 probably a variant of Win32/AutoRun.Q
Norman 5.80.02 2007.09.28 W32/Malware.AVQF
Panda 9.0.0.4 2007.09.29 Suspicious file
Prevx1 V2 2007.09.29 Heuristic: Suspicious File With Persistence
Rising 19.42.50.00 2007.09.29 Trojan.PSW.Win32.QQPass.yru
Sophos 4.21.0 2007.09.29 Mal/Dropper-H
Sunbelt 2.2.907.0 2007.09.28 -
Symantec 10 2007.09.29 -
TheHacker 6.2.6.073 2007.09.28 Trojan/Dropper.pi
VBA32 3.12.2.4 2007.09.29 MalwareScope.Trojan-PSW.Game.7
VirusBuster 4.3.26:9 2007.09.29 Trojan.PWS.QQGame.Gen
Webwasher-Gateway 6.0.1 2007.09.28 Trojan.PSW.QQGame.AB
File size: 32364 bytes  MD5: f53cd649cb56f7e3e1882e3d4480c580  SHA1: 166423a8565c97392f3f5e5accb5585e7fc8309b  packers: UPX

624 名前:(^ー^*)ノ〜さん:07/09/30 05:31 ID:S2nqW5vm0
>>622
NOD32
ro.exe - Win32/PSW.Maran.FF trojan
qq.exe - probably a variant of Win32/AutoRun.Q worm
hx.exe - probably a variant of Win32/Genetik trojan
ah.c - a variant of Win32/TrojanDownloader.Ani.Gen trojan

Kaspersky
ro.exe - Trojan-PSW.Win32.Maran.ff
qq.exe - Virus.Win32.AutoRun.pi
hx.exe - Trojan-PSW.Win32.OnLineGames.dkj
ah.c - Exploit.Win32.IMG-ANI.gen

625 名前:(^ー^*)ノ〜さん:07/09/30 11:05 ID:W5yHo/MP0
どこで拾ったのか忘れたけど、いくつものexeを拾って実行するタイプで
20個も実行するのがあった。
down■dj7788■cn/arp/1.exe から 19.exe と 18dd■net/new/system22.exe
ちょっと多すぎなのでそれぞれの有無などは確認していません。

dj7788ってネーミング、以前(zhangweijpやlovetwと並んでポピュラーだった)
dj5566と同じ奴かねぇ。

626 名前:(^ー^*)ノ〜さん:07/09/30 11:41 ID:S2nqW5vm0
>>625
カスペで2検体すり抜け。NOD32も半分位はヒューリスティックで引っ掛かった模様。
Wikiにある提出先にまとめて報告してきます。

Eset Smart Securty(NOD32)
(他検出名省略)
1.exe - Win32/PSW.Agent.NEC trojan
19.exe - unknown NewHeur_PE virus

Kaspersky
1.exe -
2.exe - Trojan-PSW.Win32.OnLineGames.dqt
3.exe - Trojan-PSW.Win32.OnLineGames.dte
4.exe - Trojan-PSW.Win32.OnLineGames.dvn
5.exe - Trojan-PSW.Win32.OnLineGames.dvo
6.exe - Trojan-PSW.Win32.WOW.xp
7.exe - Trojan-PSW.Win32.OnLineGames.djv
8.exe - Trojan-PSW.Win32.WOW.wz
9.exe - Trojan-PSW.Win32.OnLineGames.dpd
10.exe - Trojan-PSW.Win32.OnLineGames.dte
11.exe - Trojan-PSW.Win32.OnLineGames.dgw
12.exe - Trojan-PSW.Win32.OnLineGames.dgx
13.exe - Trojan-Dropper.Win32.Agent.bxi
14.exe - Trojan-PSW.Win32.OnLineGames.dun
15.exe - Trojan-PSW.Win32.OnLineGames.dtw
16.exe - Trojan-PSW.Win32.OnLineGames.dte
17.exe - Trojan-PSW.Win32.OnLineGames.drc
18.exe - Trojan-PSW.Win32.OnLineGames.dfs
19.exe -
system22.exe - Worm.Win32.Viking.mc

627 名前:(^ー^*)ノ〜さん:07/09/30 12:10 ID:gay9cb2f0
またも台湾の国立系学校サイトが改竄された。
dj7788を含む罠が張られている。

國立宜蘭大學附設高級進修學校【改竄】
ps01■niu■edu■tw/

いつもの手口(末尾にステルス)でIFRAMEが仕込まれた。
何故か2行書き込んでいる。
xx■9365■org/ip/1■htm

罠置き場
mms■nmmmn■com/flash■cab
www■puma166■com/1■exe
down■dj7788■cn/eeee■exe
-------

これとは別にもう一つ
www■52xmm■cn/mm/jxj■css

628 名前:(^ー^*)ノ〜さん:07/09/30 12:49 ID:cb7KiiQB0
(´・ω・`)比較的スパムこないはてなダイアリにも垢ハコアドきたので報告
//blogplaync■com■jplink
すでに報告されてるアドならスミマセン

629 名前:(^ー^*)ノ〜さん:07/09/30 12:52 ID:XNugyOgC0
>>625
19.exeは落とせませんでした。他はノートン反応しました。んで0からDLしちゃったら… down■dj7788■cn/arp/0.exe ノートン未対応、シマンテックに検体送付しました。
virustotal Result: 15/32 (46.88%) ttp://www.virustotal.com/resultado.html?7d19ef9a6ef06184f8b55b530eab91b0
AhnLab-V3 2007.9.29.0 2007.09.28 -
AntiVir 7.6.0.18 2007.09.28 HEUR/Malware
Authentium 4.93.8 2007.09.29 -
Avast 4.7.1043.0 2007.09.29 Win32:Agent-LNC
AVG 7.5.0.488 2007.09.30 -
BitDefender 7.2 2007.09.30 DeepScan:Generic.PWS.Games.2.9776E621
CAT-QuickHeal 9.00 2007.09.29 (Suspicious) - DNAScan
ClamAV 0.91.2 2007.09.30 PUA.Packed.UPack
DrWeb 4.33 2007.09.29 -
eSafe 7.0.15.0 2007.09.29 suspicious Trojan/Worm
eTrust-Vet 31.2.5169 2007.09.27 -
Ewido 4.0 2007.09.29 -
FileAdvisor 1 2007.09.30 -
Fortinet 3.11.0.0 2007.09.30 -
F-Prot 4.3.2.48 2007.09.29 -
F-Secure 6.70.13030.0 2007.09.29 -
Ikarus T3.1.1.12 2007.09.30 Trojan-Dropper.Win32.Agent.ane
Kaspersky 7.0.0.125 2007.09.30 Trojan-PSW.Win32.OnLineGames.dvm
McAfee 5130 2007.09.28 New Malware.n
Microsoft 1.2803 2007.09.30 -
NOD32v2 2560 2007.09.30 -
Norman 5.80.02 2007.09.28 W32/Suspicious_U.gen
Panda 9.0.0.4 2007.09.29 -
Prevx1 V2 2007.09.30 -
Rising 19.42.60.00 2007.09.30 -
Sophos 4.22.0 2007.09.30 Mal/Basine-C
Sunbelt 2.2.907.0 2007.09.28 VIPRE.Suspicious
Symantec 10 2007.09.30 -
TheHacker 6.2.6.073 2007.09.28 W32/Behav-Heuristic-060
VBA32 3.12.2.4 2007.09.29 -
VirusBuster 4.3.26:9 2007.09.29 Packed/Upack
Webwasher-Gateway 6.0.1 2007.09.28 Heuristic.Malware
File size: 20693 bytes  MD5: b7f4011d2eccc94e5c05b4476eaa3fb4  SHA1: 8d24a9779e029bdd8e94194fdfb0bf772033af49  packers: Upack

630 名前:(^ー^*)ノ〜さん:07/09/30 13:13 ID:S2nqW5vm0
>>629
うは、0.exeは盲点だった。カスペは検出したけど、NOD32未検出だったのでやっぱり提出行ってきます。
19.exeは、Symantec未検出ですが、検体提出済み。

>>627
NOD32で2つすり抜け。他者もまとめて提出いってきます。

Eset Smart Securty(NOD32)
0.exe :
1.exe : Win32/Genetik trojan
1.htm :
eeee.exe :
flash.cab : Win32/PSW.Delf.NIY trojan
jxj.css : Win32/AutoRun.Q worm

Kaspersky
0.exe : Trojan-PSW.Win32.OnLineGames.dvm
1.exe : Trojan-Downloader.Win32.Baser.w
1.htm :
eeee.exe : Trojan-Downloader.Win32.Baser.w
flash.cab : Trojan-PSW.Win32.Delf.ada
jxj.css : Trojan-PSW.Win32.QQPass.afp

631 名前:(^ー^*)ノ〜さん:07/09/30 13:19 ID:S2nqW5vm0
ごめん、NOD32で、これも検出してた。0.exeのみすり抜けだ。
eeee.exe : Win32/Genetik trojan

632 名前:(^ー^*)ノ〜さん:07/10/01 11:03 ID:E6CEE2uj0
福建人どものドメイン取得パターンに変化が出てきた。
なんたらjp■comなんかでは既に対策され始めたと気がついて、同じ意味を持つribenを使い始めたようだ。

【誘引:すでに攻撃がされている】
www■xiaoriben■net/ff11/
【罠】
www■xinluoqu■com/ff11/sxsssc■exe

1日10時50分のVIRUSTOTALでは殆ど検出、シマンテックを含め3つだけスルー。
キングも検出。

ぐぐるとribenとは日本を意味するらしい。
例:日本漫遊 (RIBEN MANYOU)

確か罠ドメインにはyouxiriben■netと言う名前のものもあった。
罠置き場のxinluoquは福建省竜岩市の新羅区(xinluoqu)を意味する名前。

今後なんたらriben■netとかの罠ドメインを使ってくる可能性もあるので注意。
*riben■netは間違いなさそうだし。
以前の*jp■comと併せた禁止語句など対策した方が良さそうだね。
重複している部分は一括りにしてしまえば掲示板等のNGリストの管理もしやすい。

【登録情報】
言わずもがな福建竜岩、そして恐らく新羅区。

Domain Name:xiaoriben■net
Registrant:
xiao lin
Fujian longyan
364000
霜冫偏仟袋廉廓302催

Administrative Contact:
chen jinian
xiao lin
Fujian longyan
longyan Fujian 364000
CN

633 名前:(^ー^*)ノ〜さん:07/10/01 17:16 ID:kD8hGb+20
ディレクトリを鵜呑みにすると、FF11用の罠か? 珍しいな。

634 名前:(^ー^*)ノ〜さん:07/10/01 17:21 ID:kD8hGb+20
>>625 の0〜19の奴、更新激しいな。大半が入れ替わってる。
更新チェックを欺くためかLast-Modifiedはかなりデタラメ。
サイズ含めてチェック推奨。

635 名前:(^ー^*)ノ〜さん:07/10/01 21:54 ID:SatRbp+40
>>634
幾つか入れ代わってたけど、カスペは全部検出。NOD32で1つすりぬけ。

636 名前:(^ー^*)ノ〜さん:07/10/01 22:01 ID:R2KWzccz0
xinluoqu■comで新種?

www■xiaoriben■net/shagua/ に以下二つのリンク。
www■xiaoriben■net/shagua/wz■htm (200だけど真っ白)
www■xiaoriben■net/shagua/wu■htm にはさらに以下二つのリンク。
www■xiaoriben■net/shagua/kiss■htm
www■xiaoriben■net/shagua/dns■htm (アンエスケープわからないorz....)
上記二つのアドレスともに以下の記述有り。
www■xinluoqu■com/shagua/test■exe
ノートン無反応、シマンテックに検体送付しました。

現時点のvirustotal
ttp://www.virustotal.com/resultado.html?3312ae798319d3760161980405cf668a
10.01.2007 14:33:05 (CET)
Result: 2/32 (6.25%)
eSafe 7.0.15.0 2007.09.30 Suspicious Trojan/Worm
Sophos 4.22.0 2007.10.01 Mal/EncPk-AS
File size: 34816 bytes
MD5: 5888fd7aaf7f4be732e64e944605f7f6
SHA1: 3322986f1a6532ea71c572ce62cde29d7d7165d0

637 名前:(^ー^*)ノ〜さん:07/10/01 22:06 ID:R2KWzccz0
って一部解読。
www■xiaoriben■net/shagua/dns■htm には「www■CuteQq■cn <BR> ZJWm 6 Beta 3」ってのがあった。
「暗黒工作組」ってぇ((;゚Д゚)ガクガクブルブル

638 名前:(^ー^*)ノ〜さん:07/10/01 23:04 ID:SatRbp+40
Kaspersky
wu.htm : Not Detected
kiss.htm : Trojan-Downloader.VBS.Psyme.ic
dns.htm : Trojan-Downloader.JS.Psyme.lr
test.exe : Not Detected

Eset Smart Securty(NOD32)
wu.htm : Not Detected
kiss.htm : VBS/TrojanDownloader.Psyme.NAX trojan
dns.htm : Not Detected
test.exe : Not Detected

639 名前:(^ー^*)ノ〜さん:07/10/01 23:07 ID:SatRbp+40
報告来てたので訂正

Kaspersky
wu.htm : No malicious code was found in this file.(危険コードなし)
kiss.htm : Trojan-Downloader.VBS.Psyme.ic
dns.htm : Trojan-Downloader.JS.Psyme.lr
test.exe : Trojan.Win32.Inject.fy(←次のパターン更新で対応)

640 名前:(^ー^*)ノ〜さん:07/10/01 23:39 ID:R2KWzccz0
Fortinetにもリンクも添えてtest.exe送ったらこんなのが北ー。



Dear customer,

Thank you for submitting the samples to us. We have analysed them and developed detection patterns for them. Starting with our next regular update, the following detections will be available:

test.exe - W32/Agent.BTA!tr
Ir32_a.exe - W32/Agent.BTA!tr
dns.htm - W32/Agent.BTB!tr.dldr
kiss.htm - VBS/Psyme.DN!tr.dldr

Best regards,
AV lab - Sorin

To submit a suspicious file to Fortinet:



Ir32_a.exeってのは送ってないけどスクリプトに仕込んであったんだろか。。。

641 名前:(^ー^*)ノ〜さん:07/10/02 00:13 ID:cMPDo5yk0
>>640
うちにきたのと全く同じ文面だw

642 名前:(^ー^*)ノ〜さん:07/10/02 15:44 ID:X4ONlLNU0
たくさんの罠発見。

罠置き場
webye163■cn/wwwroot/vip■exe
u■uu500■com/a8da234k8asdf■exe

以下誘引リンクと罠置き場
www■qq5188■com/wz/rmht/200705/869■html
www■souxse■cn/Baidu■cab

www■souxse■cn/la■htm
www■souxse■cn/xuik■exe

www■samples112xrea■com/roblog/
www■raginfoy■com/roblog/ro■exe

643 名前:(^ー^*)ノ〜さん:07/10/02 16:03 ID:cMPDo5yk0
>>642
カスペで1つすり抜け出てるね〜。まとめて検体提出行って来るわ。

Kaspersky
869.html :
a8da234k8asdf.exe :
Baidu.cab : Trojan-PSW.Win32.Delf.baj
index.htm : Trojan-Downloader.JS.Agent.hg
la.htm :
ro.exe : Trojan-PSW.Win32.Maran.ff
vip.exe : Worm.Win32.Wogue.q
xuik.exe : Trojan-PSW.Win32.Delf.ada

Eset Smart Securty Beta(NOD32)
869.html :
a8da234k8asdf.exe : probably a variant of Win32/Agent.NEO trojan
Baidu.cab : CAB >> Baidu.exe - a variant of Win32/PSW.Delf.NIY trojan
index.htm : JS/Exploit.ADODB.Stream.NBE trojan
la.htm :
ro.exe : Win32/PSW.Maran.FF trojan
vip.exe : a variant of Win32/Delf.NDL worm
xuik.exe : Win32/PSW.Delf.NIY trojan

644 名前:(^ー^*)ノ〜さん:07/10/02 17:52 ID:l8Ncd5220
>>642直リンに直してテキストにして保存すると脳豚大激怒。。。。
誤反応しました。。。

ちくそー、最初ダウンロードマネージャにウイルスが付いたかと思った。
履歴が布団だ。

869■html
a8da234k8asdf■exe
la■htm
vip■exe
以上ノートン無反応分、シマンテックに検体送付しました。

645 名前:(^ー^*)ノ〜さん:07/10/02 18:13 ID:cMPDo5yk0
>>644
「まとめて検体提出」って発言した時は、シマンテックも含めて、テンプレ(>>2)のまとめ?サイトにある
提出窓口全部に投稿してますよ。重複しても問題無いですけど。

先に、シマンテック提出済みって書いてあったら、そこだけ飛ばすけどw

646 名前:(^ー^*)ノ〜さん:07/10/02 18:16 ID:l8Ncd5220
>>645
あ、すみません。
提出して頂けるとノートンユーザーとしても助かります。

647 名前:(^ー^*)ノ〜さん:07/10/02 20:21 ID:lzWWEFhq0
下記ハックサイトへのURLを書き込んだ者のホストアドレス
www■tafcone■net/blog/svch■exe
見かけのホストはrmtro-jpとかそんなの。

198.80.78.222.board.ly.fj.dynamic.163data.com.cn

648 名前:(^ー^*)ノ〜さん:07/10/02 22:02 ID:X4ONlLNU0
>647
ホストは言うまでも無い、福建人どもの拠点の福建竜岩だぜ。
ホストに含まれる文字の意味
ly=竜岩市(longyan)
fj=福建省(fujian)

649 名前:(^ー^*)ノ〜さん:07/10/02 22:50 ID:cMPDo5yk0
>>647
AhnLab-V3
F-Prot
A-Squared
ArcaVir
CPsecure
Rising Antivirus

こんだけすり抜け。「Jotti's malware scan」と「::::: VirusTotal :::::」で確認。

わかるとこだけ検体提出した。AhnLabとCPsecureは提出先がわからんので
問い合わせフォームらしきところに投稿してきた。適当な部署に転送してくれるだろうことを願って。

650 名前:(^ー^*)ノ〜さん:07/10/03 18:11 ID:KpLFJMRc0
【  アドレス   】
  http://www■xinluoqu■com/shabi/
  http://www■youxiriben■net/navi/  の、どちらか
【気付いた日時】今朝
【     OS    】 Windows 2000 5.00.2195 SP4
【使用ブラウザ 】 IE Ver:6.0.2800.1106
【WindowsUpdateの有無】9月の終わりくらいの実行が最終
【 アンチウイルスソフト 】 NortonInternetSecurity2006
【その他のSecurty対策 】 Spybot
【 ウイルススキャン結果】 ノートンで検出無し
【スレログやテンプレを読んだか】 今から読もうと思います
【hosts変更】無
【PeerGuardian2導入】無
【説明】

寝ぼけて油断していたらRMCで垢ハックっぽいアドレスを踏んでしまった…
ノートン先生でチェックしたらウィルスは見つからない、と出たけど本当に大丈夫か不安。

今、課金切れ中でアイテムが無事か確認できない、というかこのタイミングで課金してもいいものか…
これからspybotでもチェックをかけてみようかと思います

651 名前:(^ー^*)ノ〜さん:07/10/03 18:28 ID:UcRKMvhh0
>650
どっちも一緒で罠アドレス。
wz.htmとwu.htmが置いてあった。

WUやってるから防げてる可能性も高いが、カスペのオンラインスキャンも試した方がいい。

>今、課金切れ中でアイテムが無事か確認できない、というかこのタイミングで課金してもいいものか…
当然、トロイが潜んでないと自信が得られるまでは厳禁。

652 名前:650:07/10/03 22:29 ID:KpLFJMRc0
>651
回答ありがとうございます。
カスペでも今回の罠(と思われるもの)は見つからなかったようです。
(かわりにノートンの隔離フォルダが引っかかって半泣きになりましたが…)

課金の方は少し待って、1dayとか使われていないか様子を見ようと思います。

653 名前:(^ー^*)ノ〜さん:07/10/04 03:28 ID:c1H10G5r0
【      気付いた日時          】ついさっき
【不審なアドレスのクリックの有無 】 www■rock-pine■com■orji
【     OS    】 XPHOME SP2
【使用ブラウザ 】 IE6 SP2
【WindowsUpdateの有無】先週末 踏んだあとに最新
【 アンチウイルスソフト 】 ウィルスバスター2007 自動更新 最新の状態
【その他のSecurty対策 】 ルータ
【 ウイルススキャン結果】 リアルタイム検索でRO.cur隔離失敗→手動削除済み
【スレログやテンプレを読んだか】 今読んだ
【hosts変更】(有/無 [有りの場合は最終更新は何時ごろか])
【PeerGuardian2導入】なし
【説明】mixiの日記コメントに上記アドレスが貼られており、すさまじく怪しい文面だった物の
踏んだ。
TemporaryInternetFilesから当該ファイルを削除後、ウィルススキャン。
その後ウィルスバスターの画面を開いたら隔離済みファイルになっていたので、その画面
からも削除。
WindowsUpdateを行い最新の状態に。
別PCで癌パス・アカウントパスの変更。
までやった

やっぱOS再インスコしたほうが良いのかのぅ

654 名前:(^ー^*)ノ〜さん:07/10/04 06:02 ID:yEG0me1h0
>>653
他人に判断を委ねるくらいなら、諦めてOSから入れ直したほうがいい。
My mixiの日記やや参加コミュニティに、自分のIDで罠投稿を撒き散らしたいと言うなら別だが。

655 名前:(^ー^*)ノ〜さん:07/10/04 07:04 ID:J+o9y5uc0
>>653
リアルタイム削除に失敗という辺りが引っ掛かるな。

先週末の段階のWindowsUpdateということで、アニメーションカーソルの脆弱性を防げている可能性はあるけれど、
そのHPで仕込まれたのがそれ1つとは限らず、すり抜けている何かが存在する可能性もある。

安全であるという保証が欲しければOS入れなおし。
自分の判断で、他に仕込まれていなかった・駆除は完了していると思えば、そのまま使用する。

このスレでは、安全である保証ができないので、OS入れなおしが推奨される。

どうしても、そのまま使いたい場合は、複数のエンジンでオンラインスキャンを行なって、安全だと信じる根拠が
あるかどうか確認する事。(使用したものすべてをすり抜けるものが仕込まれていたらアウトだが)

656 名前:(^ー^*)ノ〜さん:07/10/04 07:43 ID:J+o9y5uc0
>>653
http://www■rock-pine■com/orji/index■htm

iframeで↓の2つを呼びだす。amebloは普通のblogっぽいです。
開いてみると、一見普通のblogを開いたように見えるので、踏んでも気づかない人はいそうです。
http://www■woshijianren■com/jpjp/jpro■htm
http://ameblo■jp/eisu7/

jro.htmは↓の2つを呼びだす。
http://www■woshijianren■com/jpjp/Ms06014■htm
http://www■woshijianren■com/jpjp/ro■cur

WindowsUpdateかけてれば防げている可能性はある。
但し、保証はできないので、やっぱり、OSの入れなおしを推奨する。

657 名前:(^ー^*)ノ〜さん:07/10/04 09:09 ID:jagE18sO0
>>656
そのいずれも
www■woshijianren■com/jpjp/jpro.exe
をダウンロードし実行。これはVBで組んだ簡易なダウンローダ。
このダウンローダは
www■woshijianren■com/jpjp/jprobang.exe
をダウンロードし実行。これは…なんか実行ファイルが5〜6個固まったすごい奴。
PackerもUPXやASPackなど混在。
バイナリエディタでバラバラにしてスキャンしたけどカスペは全機撃墜。
この形式は数ヶ月前に見たな…。

658 名前:388:07/10/04 11:06 ID:aXmRNAZq0
名無しに戻るといいながら
>>388以降に皆様方に報告して頂いた危険URLと思われる箇所を抜き出して
まとめサイトの.hostを利用している方用に書き出してみました。

今更感があり、自分でファイル編集する事になりますが
よろしければお使いください。

659 名前:388:07/10/04 11:11 ID:aXmRNAZq0
#■は.に置き換えで。

#本家アコプリWiki暫定ブロック
127.0.0.1 applepie■leminx■com

#07/09/13/8_439
127.0.0.1 www■wretcha■com
127.0.0.1 www■techlife■com
127.0.0.1 wretcha■com
127.0.0.1 techlife■com
127.0.0.1 update■misofthelp■com
127.0.0.1 club■blogo■tw

127.0.0.1 www■yuanfen■com■tw
127.0.0.1 yuanfen■com■tw
127.0.0.1 mm■987999■com

127.0.0.1 www■rock-pine■com
127.0.0.1 rock-pine■com

127.0.0.1 rrr■rfhwfhw■com
127.0.0.1 www■686ip■cn
127.0.0.1 777■za123■cn
127.0.0.1 iii■832823■cn
127.0.0.1 686ip■cn

127.0.0.1 www■xiaoriben■net
127.0.0.1 www■xinluoqu■com
127.0.0.1 www■kolakola■com■tw
127.0.0.1 xiaoriben■net
127.0.0.1 xinluoqu■com
127.0.0.1 kolakola■com■tw

127.0.0.1 www■mechiment■net
127.0.0.1 mechiment■net
127.0.0.1 www■rmtro-jp■com
127.0.0.1 rmtro-jp■com

127.0.0.1 tresuretresuretresure■web■fc2■com
127.0.0.1 japanid101■web■fc2■com

660 名前:388:07/10/04 11:12 ID:aXmRNAZq0
127.0.0.1 langouster■com
127.0.0.1 web■858656■com
127.0.0.1 www■freepower■com■cn
127.0.0.1 www■beautyconcept■cn
127.0.0.1 www■hot169■cn
127.0.0.1 freepower■com■cn
127.0.0.1 beautyconcept■cn
127.0.0.1 hot169■cn
127.0.0.1 user■free2■77169■net
127.0.0.1 fs18■net

127.0.0.1 down■dj7788■cn
127.0.0.1 18dd■net

#スレ8_627 國立宜蘭大學附設高級進修學校【改竄】
127.0.0.1 ps01■niu■edu■tw

127.0.0.1 xx■9365■org
127.0.0.1 mms■nmmmn■com
127.0.0.1 www■puma166■com
127.0.0.1 puma166■com
127.0.0.1 down■dj7788■cn
127.0.0.1 www■52xmm■cn
127.0.0.1 52xmm■cn

127.0.0.1 www■CuteQq■cn
127.0.0.1 CuteQq■cn
127.0.0.1 webye163■cn
127.0.0.1 u■uu500■com
127.0.0.1 www■5188■om
127.0.0.1 www■souxse■cn
127.0.0.1 5188■om
127.0.0.1 souxse■cn
127.0.0.1 www■souxse■cn
127.0.0.1 souxse■cn
#スレ8_656偽装対応
127.0.0.1 ameblo■jp

661 名前:388:07/10/04 11:31 ID:ndwa0ciA0
ああ・・ .hostじゃないhost 誤字申し訳ない。

662 名前:(^ー^*)ノ〜さん:07/10/04 13:13 ID:A16bJq5G0
>>653に限ったわけじゃないけど、
変なところを踏んで心配する気持ちはわかるけど、
いくら状況を詳細に言って完璧と思える対策をしたとしても
亜種や同名異種のものもあるかもしれないから
それで安全大丈夫、なんて言える人はいないかと。

663 名前:(^ー^*)ノ〜さん:07/10/04 13:23 ID:lxIN87Zt0
今は向こうも新型の開発しまくっているし、
↑のほうにあるような何個ものトロイを落とすようなダウンローダーや、
意図的にカスペとかNODとかをスルーするようなものを毎日のように作っているから、
今は踏んだ=OS再インストしか無いと思う。

664 名前:(^ー^*)ノ〜さん:07/10/04 13:59 ID:J+o9y5uc0
あー、上の方の1〜d.exeのヤツ、一部入れ代わってるの確認したので、提出準備中。
提出先が多くて大変だぜ。(1つは朝の時点でカスペすり抜けてた)

>>657
らじゃ、そっちも検体入手してみるわ。

>>659-661
hostsのリスト追加乙です

665 名前:(^ー^*)ノ〜さん:07/10/04 15:47 ID:J+o9y5uc0
>>657
VirusTotalかけてみたら、思ったより検出率悪いのな。スルーした所で提出先わかるとこは提出。
1〜d.exeの方も、すり抜けたところ全部に提出済み。
0〜18.exeの方は中身変わってるかまだチェックしてない。

ClamAVだけは、zipのパスワード virus 固定のため弾かれたので、すりぬけてたけど提出はパス。(ごめんなさい)
他社の提出用が infected なのでそっちで固めちゃったんだよ。気力ないので、これで休憩。

666 名前:(^ー^*)ノ〜さん:07/10/04 15:54 ID:J+o9y5uc0
セキュスレの方で、相談をどっちに出していいのか迷う人が多いことから、
セキュスレにまとめちまわないかという意見が出ていました。

スレの用途として考えられるのが以下でしょうか。次スレになるまでに時間はありますが、
使い分けを改めて整理してみてはどうでしょうか。

・新規ドメインの登録情報、hostsの更新リスト −総合対策スレ
・新規検体の報告と提出(対応)報告       −総合対策スレ
・セキュリティ関係のニュース、雑談       −セキュスレ
・踏んだ場合の相談                 −現状、総合対策スレ(コメント内容は下記とほぼ同一)
・垢ハックじゃない危険アドレスを踏んだ相談  −セキュスレ
・踏んだところが危険かもしれないと思ったので相談 −セキュスレ(但し、鑑定スレじゃないと返答して終了)
・踏んでないけど危険な気がするので相談       −セキュスレ(但し、鑑定スレじゃないと返答して終了)

セキュリティ対策、質問・雑談スレ3
http://enif.mmobbs.com/test/read.cgi/livero/1186660300/223-

667 名前:(^ー^*)ノ〜さん:07/10/04 16:18 ID:jagE18sO0
>>665
パスワードはinfectedはMcAfee(WebImmuneはパス無し可)やNOD32、
virusはCA(e-Trust)やDr.WEBやavast!だった気がする。

668 名前:(^ー^*)ノ〜さん:07/10/04 16:29 ID:jagE18sO0
QTの穴がやっと塞がったのでパッチ推奨。
ttp://internet.watch.impress.co.jp/cda/news/2007/10/04/17078.html

CISRTが食われたというニュース。
ttp://internet.watch.impress.co.jp/cda/news/2007/10/04/17079.html
最近多い、ダウンローダ経由で大量に実行するタイプ。
mms■nmmmn■com/sms.exe ダウンローダ
vvv■3x7x■cn/100.exe 〜 119.exe を実行(一部404)
拾えたファイルはカスペで全機撃墜を確認。

669 名前:(^ー^*)ノ〜さん:07/10/04 18:02 ID:J+o9y5uc0
>>667-669
>CA(e-Trust)やDr.WEBやavast!
その辺は、パスワードinfectedで固めたヤツをメールで送って普通に受理されてる。

取り敢えず、セキュスレ移動な話題だな。

セキュリティ対策、質問・雑談スレ3
http://enif.mmobbs.com/test/read.cgi/livero/1186660300/

670 名前:(^ー^*)ノ〜さん:07/10/04 21:14 ID:J+o9y5uc0
>>668
VirusTotalでは結構検出率悪かったので、垢ハックじゃない(?)けど、まとめて検体提出してきました。

それだけじゃスレ違いなので、こいつも。

昨日は404だった下記のファイルが、今日はひょっこり落ちてきたので、チェック。
未検出だったところに提出してきました。
http://down■dj7788■cn/arp/19■exe
http://web■freewebhtm■com/soft/4■exe
http://web■freewebhtm■com/soft/e■exe

19.exe カスペ・NOD32・ノートン 全て検出
4.exe カスペ、ノートンすりぬけ、NOD32検出
e.exe カスペ・NOD32・ノートン 全て検出

他社は省略

671 名前:(^ー^*)ノ〜さん:07/10/04 21:52 ID:J+o9y5uc0
>>670
4.exe_ - Trojan-PSW.Win32.WOW.yw

既に検出可能って返事が来た。チェックしてから送るまでの間に対応完了してたとは流石だ。

672 名前:(^ー^*)ノ〜さん:07/10/05 12:07 ID:yqhNAfDF0
本日、垢ハックサイト踏んでしまいました。
テンプレどおりに再インストや諸々のパスワード変更をしました。

1つ質問があります。課金の際、クレカで課金してるんですが、
垢ハックでクレカの被害の報告とかありますか?

673 名前:(^ー^*)ノ〜さん:07/10/05 13:56 ID:O8AIaoah0
有り得る。ベストを尽くせ。

674 名前:(^ー^*)ノ〜さん:07/10/05 14:11 ID:Ie9/6Wu60
>>672
今まで具体例としての報告はないがあり得る。完全に除去して発動のしようがない場合は問題無い。
それでも心配ならPG2などの対策もやってみよう。

675 名前:672:07/10/05 17:43 ID:f9TWtD550
>>673
>>674
了解しました。できる限りの努力します。

676 名前:(^ー^*)ノ〜さん:07/10/07 05:25 ID:6iYr9yUx0
【  アドレス   】  23styles■.com/bbs/
【気付いた日時】  今
【     OS    】 Win2000
【使用ブラウザ 】 IE
【WindowsUpdateの有無】 自動更新
【 アンチウイルスソフト 】 カスペル
【その他のSecurty対策 】 無し
【 ウイルススキャン結果】 スキャン中
【スレログやテンプレを読んだか】 今から読みます
【hosts変更】 不明
【PeerGuardian2導入】 無し
【説明】
Wikiを読んでいてリンク先をよく確認せずにクリックしたところ、
なかなかリンク先に飛ばないので(ページが開かなかった)
アドレスを検索したら垢ハックアドレスの一覧に乗っていました。
今スキャンかけていますが2時間以上かかりそうでとても不安です。

677 名前:(^ー^*)ノ〜さん:07/10/07 09:47 ID:z59YS7Y00
>>676
報告からちょっと経っているしコレ読めるかどうか判らないけど…。
もう踏んでしまった場合は
>>5-6 にあるように対応してください。
今後そうならないように
>>2 にあるhost対策やPG2をしておくと良いかと。

PCを貸してもらえそうな頼れるリアル知人が居ない場合は
ネットカフェからの接続してアイテム類を身内に預けてから、
クリーンインストールや駆除したPCから落ち着いてパス変更という手があります。

と、ここまで書いて自分は対策していても
明日は我が身かもしれないと思って、
今後の為に今LinuxのISOをダウンロード中。

678 名前:(^ー^*)ノ〜さん:07/10/07 13:51 ID:j6ZXxJVE0
>>676
どこのwikiをみていたのか情報ぷりーず。

679 名前:676:07/10/07 14:42 ID:6iYr9yUx0
先ほどようやくカスペルでのスキャンが終りましたが、ウィルスは見つかりませんでした。
シマンテックのオンラインスキャンも同時にやっていましたが、やはり見つかりませんでした。
少しほっとしましたが、何も見つからなかったことが逆に不安になってきたので
家のものが戻ったらOSの入れなおしを手伝ってもらおうと思っています。
(やり方は読みましたが管理者権限が無いので)

安全な環境からのパス変更などはまだ行っていません。
もう一度完全スキャンしてからhosts変更とPG2を導入する予定です。

気が動転していたのでどこのWIKIだったか全く覚えていません。
役に立たなくてごめんなさい。

本当に不安で怖かったのでレスいただけてとてもほっとしました。
明らかに自分の不注意・対策不足だったので、これからは慎重になろうと思います。
まだ全部終ったわけではないのでまたお世話になると思いますがよろしくお願いします。
ありがとうございました。

680 名前:(^ー^*)ノ〜さん:07/10/07 14:45 ID:5YRUkzB50
>>676
検出名
NOD32:VBS/TrojanDownloader.Agent.AW trojan
Kaspersky:Trojan-Downloader.HTML.Agent.df

仮に発動させたとして、なにを落とそうとしてるのかまでは知らない。

681 名前:(^ー^*)ノ〜さん:07/10/07 15:33 ID:9Xv++S+x0
どこのWikiなんだよ

682 名前:(^ー^*)ノ〜さん:07/10/07 17:32 ID:7HTEKpf40
>>676 >>679
ウイルスが見つからなかったとの事ですが、
>>680の方が検体確認で存在を確認している模様?
google経由でバスターのデータベースでは以下の動作を示すそうです。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=VBS%5FSMALL%2EFWC
完全スキャン等するまではまだ予断は許さない気がします。

でも手動対応を見たら大した事が書いてなかった…。
詳細にあるTEMPフォルダ内になんか落とすらしいので
TEMPフォルダ内のファイル(←通常は消しても問題ない)を全て削除してやるのも手。
未知の何かがあってレジストリまでヤられていたらどうにもなりませんが…
クリーンインストなら安心。

ここからチラシの裏----
PC環境によるのかもしれないですが
一つずつのフルスキャンをしたほうが早かったかも?とか。
あとOSを入れなおす時にパーティション分割ができる様なら
OS用ドライブとデータ用ドライブに分けてしまったほうがいいのかもと

683 名前:(^ー^*)ノ〜さん:07/10/07 20:03 ID:EfPfXrLQ0
>>679
何処のサイトを見ていたか自体は忘れてしまっていても、履歴そのものを消去していなければ、時間軸で追うことは可能。
IEの右クリックプロパティ-全般[設定]-設定[ファイルの表示]
Temporary Internet Filesフォルダが表示されるので、最終アクセス日時で並び替え。
そうすると、大体の見当は付けられるのではないかな。
現時点でOS入れ直し始めていたらもう無理だけど。

今のところ、感染ファイルそのものが検出されていないという部分だけど、もしかしたら、制限ユーザーだったことが幸いしている可能性もあり得る。
このあたり、windowsの管理者権限の強力さと、それと同時に、シングルユーザー時代から引き続いている因習の危険さが現れているように思える。
ユーザー側もベンダー側も含めて。

ついでに、>>4のテンプレ改変案。
現行の[アドレス]の欄を、
【不審アドレス】(何処に飛ばされたり、改竄されていたか。ドット(.)を■等で置き換える事。h抜き等は駄目)
【閲覧元アドレス】(何処のサイトを見ていたか。〜掲示板や、〜のWikiなどの表現でも可)
と拡張してみる提案のテスト。

684 名前:(^ー^*)ノ〜さん:07/10/07 22:18 ID:6yXS9lAv0
どこかの中の人ですが、先日よりめあたらしいIPでアカウントハックウイルスアドレス
書込をやってきているのを見つけたので報告。

IP:219.118.189.135 (株式会社アンネット, 上位はbit-drive)
UA:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; KuGooSoft)
Accept-Lang : zh-cn
書き込まれたウイルスURL:
 http://www■ezbbsy■com/batteROyale
 http://www■23styles■com/batteROyale

 アドレス自体は既出過ぎるので略。しかし、ここ最近あちこちで張られまくっている
アドレスらしい。
IPはアンネット。21-domains…。結構前にドメイン問題で裁判沙汰になってたよなぁ、
ココ。この件とは全くの別件だけど、故に結構不信感。

 bit-driveにはアクセスログ込みで通報済。アンネットのほうにもしておくか。
UA名に変わった文字列(KuGooSoft)があるけど、詳細不明。中国圏に多いみたい。
面倒ならUAでdenyしても良いかも。まぁ、Accept-Langでぼろを出してはいるんですが。

685 名前:(^ー^*)ノ〜さん:07/10/07 23:31 ID:5YRUkzB50
>>684
batteROyale/index.htm

ro.exeの呼び出し(起動時実行に登録?)

なんか生成してる部分は未確認。

-------------
bbs/index.htm
-------------
NOD32:VBS/TrojanDownloader.Agent.AW
Kaspersky:Trojan-Downloader.VBS.Psyme.gj

---------------------
batteROyale/index.htm
---------------------
NOD32:JS/TrojanDownloader.Small.DW
Kaspersky:Trojan-Downloader.JS.Agent.dj

------------------
batteROyale/ro.exe
------------------
NOD32:Win32/PSW.Maran.FF
Kaspersky:Trojan-PSW.Win32.Maran.ff

686 名前:(^ー^*)ノ〜さん:07/10/08 03:01 ID:1x6WdZQB0
アプリコットカフェ(アコプリ外部板)より
www■nlftweb■com/lineage
www■rmtfane■com/lineage/t1.exe
ファイル名に何か懐かしいものを感じたり。


それとアコプリWiki(旧本家・leminx■com)のドメインが更新されてた。
>Creation date: 05 Sep 2005 09:48:30
>Expiration date: 05 Sep 2008 09:48:30

サイト自体は全く復帰してないし、アコプリスレやアプリコの方でも
管理人氏の動向等は一切不明のままのため、どう判断していいか
悩む所だけど、ドメインを中華に悪用される恐れだけは減ったかも。

687 名前:(^ー^*)ノ〜さん:07/10/08 17:34 ID:l2RQNyHi0
fcty-net■com/

飛び先
www■blogplaync■com/king.htm
先のアドレスは404だった。

先ほどBlogに貼り付けられてたものなので近いうち使い出すかも?

688 名前:(^ー^*)ノ〜さん:07/10/08 20:09 ID:+tYXkspf0
>>684 >>686 >>687
684氏の言われるように各アドレス自体は古いものなので
既に対応されたhostを導入していれば一応は安心かも。
なのでコレを読んでいてhost対策していない人は直ぐに導入して欲しい所。

でも古いものでも対策していないと(略
やはり数うちゃ当たるとはいえ‥それでも貼られるのは
対策していない人が多い…のか…。

689 名前:(^ー^*)ノ〜さん:07/10/08 20:46 ID:wRaab6w50
>>687
もうファイルあったよ。さて、殆ど対応済みとは思うけど、チェックかけて、検体提出いってくるわ。

>>686
www■nlftweb■com/lineage/index.htm
www■rmtfane■com/lineage/t1.exe

>>687
fcty-net■com/index.htm
www■blogplaync■com/king.htm
www■blogplaync■com/king.cur
www■blogplaync■com/chengzhi.exe


ESET Smart Securty Beta(NOD32)
lineage/index.htm :JS/TrojanDownloader.Small.DW trojan
lineage/t1.exe  :variant of Win32/PSW.Lineage.ACN trojan

fcty-net■com/index.htm:-
king.htm  :JS/Exploit.ADODB.Stream.NBE trojan
king.cur  :variant of Win32/TrojanDownloader.Ani.Gen trojan
chengzhi.exe:variant of Win32/Delf.NDF worm

Kaspersky
lineage/index.htm :Trojan-Downloader.JS.Agent.dj
lineage/t1.exe  :Trojan-PSW.Win32.Nilage.bll

fcty-net■com/index.htm:Trojan-Downloader.JS.Agent.hf
king.htm  :Trojan-Downloader.JS.Agent.hg
king.cur  :Exploit.Win32.IMG-ANI.ac
chengzhi.exe:Trojan-Downloader.Win32.Agent.bpp

690 名前:(^ー^*)ノ〜さん:07/10/09 15:57 ID:MEuDNpjg0
【  アドレス   】  motewiki■net/
【気付いた日時】  13時
【     OS    】 XP
【使用ブラウザ 】 IE
【WindowsUpdateの有無】 自動更新
【 アンチウイルスソフト 】 ノートン
【その他のSecurty対策 】 無し
【 ウイルススキャン結果】 該当なし
【スレログやテンプレを読んだか】 読んだ
【hosts変更】 不明
【PeerGuardian2導入】 無し
【説明】臨時のWIKIの狩場MAPというリンクから踏んでしまった
ノートンの履歴を見ると本日の13時頃に遮断履歴が残っていたので
おそらくノートンでは大丈夫だと思われる

このやつは7月後半に最初に発見されたみたいだな
ならもうたいていの有名対策ソフトなら大丈夫なのかな

691 名前:(^ー^*)ノ〜さん:07/10/10 07:53 ID:ln3vlWBd0
www■teamerblog■com■fc2■index.htm
書き込めない…

692 名前:(^ー^*)ノ〜さん:07/10/10 08:03 ID:ln3vlWBd0
www■teamerblog■com■fc2■index.htm
tinyurl■com■2jovj2 より転送される

HTML/ADODB.Exploit.Gen(AVIRAで反応)
カスペではTrojan-Downloader.VBS.Psyme.ic
9月頃から貼られる?

693 名前:(^ー^*)ノ〜さん:07/10/10 13:08 ID:qEvIVnQ30
>>691-692
http://www■teamerblog■com/fc2/index■htm
http://www■articlelin■com/fc2/cery■exe
http://www■seakinfo■com/fc2/cery■exe

index.htm -> wz.htm , wu.htm
wz.htm -> 404 not found
wu.htm -> music.htm , love.htm

love.htm -> cery.exe
c:\\program files\\windows media player\\wmplayer.exe の名前で保存を試みる?
HPのタイトルは「Windows Media Player Oday Test!」

music.htm -> cery.exe
VBスクリプトでなんかやろうとしてる。

cery.exeは、両方とも同じファイル。

NOD32
cery.exe - probably a variant of Win32/Genetik trojan
music.htm - VBS/TrojanDownloader.Psyme.NAX trojan

Kaspersky
cery.exe - Trojan-Spy.Win32.Agent.nq
music.htm - Trojan-Downloader.VBS.Psyme.ic

694 名前:(^ー^*)ノ〜さん:07/10/10 16:13 ID:BJFyIq510
【  アドレス   】http://www■samples112xrea■com/roblog/
【気付いた日時】URLを分だのは、本日昼頃
【     OS    】XP SP2
【使用ブラウザ 】IE6か7(おそらく6)
【WindowsUpdateの有無】上記のURLを踏んだ後に、念のため
【 アンチウイルスソフト 】Mcafee VirusScan
【その他のSecurty対策 】火壁
【 ウイルススキャン結果】現在、symantecのオンラインスキャンと、trendmicroのオンラインスキャンで調査中
【スレログやテンプレを読んだか】YES
【hosts変更】不明
【PeerGuardian2導入】無し
【説明】これは・・・感染したと見た方が良いいんだろうか
どうか、ウィルススキャンで何も出てきませんように

695 名前:(^ー^*)ノ〜さん:07/10/10 16:21 ID:aRAN3QhS0
最近はスキャンを抜けるものや多数ぶち込まれるものが多いので、
OS入れなおしが無難です。正直どうしようもないと言う状況で・・・

696 名前:(^ー^*)ノ〜さん:07/10/10 16:22 ID:DLsLrcZD0
IEくらいVer確認すぐ出来るだろう
踏んだ後にしても遅い
kasperskyのオンラインスキャン使えと…
見つからなかったらスルーしててアウトという可能性もあるんだぜ

ツッコミ以上です

697 名前:(^ー^*)ノ〜さん:07/10/10 16:26 ID:BJFyIq510
諸事情により、OS再インストールは無理ぽ
検知できたウィルス一つ一つ駆除して行く程度しか
対応ができない状況なのが困る

698 名前:(^ー^*)ノ〜さん:07/10/10 16:28 ID:DLsLrcZD0
おまいさんの事情はしらんがな(´・ω・`)

699 名前:(^ー^*)ノ〜さん:07/10/10 16:32 ID:aRAN3QhS0
そりゃ困ったね・・・
とりあえずその二つは垢ハックウィルスを感知しないものも多いので、
カスペルスキー F-Secure なんかのスキャンもしてみるのがいいかも。
んで、今現在その二つでも抜けてしまうものがある可能性が結構高いので、
詳しい解析の人のアドバイスが来るまで、
ROやアトラクションセンタ、他のネトゲやMixi、メッセンジャーなどの
パスを入力するようなものにログインせず、暫く様子見を・・・

700 名前:(^ー^*)ノ〜さん:07/10/10 16:39 ID:BJFyIq510
>>699
おk
とりあえず、11月末ぐらいまでなら
その手の物ログインする必要もないので
とりあえず、詳しい解析の人のアドバイス来るまで様子見してみる

701 名前:(^ー^*)ノ〜さん:07/10/10 16:48 ID:qEvIVnQ30
>>694
入手前に切断したのか、入手したが(以前に発動させたのか今回かで)セキュリティソフトを停止させられ
ステルス化しているので発見できなかったのか、その辺は不明。

Maran.ffは結構多くのベンダーが対応してるからすり抜けるとは思えないけど。
(幾つか検出しないとこあるので、提出したんだが、まだ対応してないとこもあるようで)

諸事情は知らんが、OSの入れなおし位できるようにしとけ。
止めちゃならない仕事のPCで踏んだなら、なむいが、使い方考えろと。

マカフィーが正常に入って、設定されて、稼動してれば今回のは検知できる筈。
踏んだ時刻から調査時刻までの間に差し替えられていた可能性もあるので保証はできない。
安心のために、やっぱりOS入れなおしを。それしないなら自己責任で。
−−−−−
http://www■samples112xrea■com/roblog/index■htm
http://www■raginfoy■com/roblog/ro■exe

NOD32
index.htm - JS/Exploit.ADODB.Stream.NBE trojan
ro.exe - Win32/PSW.Maran.FF trojan

VirusTotalより抜粋

index.htm
Kaspersky 7.0.0.125 2007.10.10 Trojan-Downloader.JS.Agent.hg
McAfee 5137 2007.10.09 Exploit-MS06-014
Symantec 10 2007.10.10 -

ro.exe
Kaspersky 7.0.0.125 2007.10.10 Trojan-PSW.Win32.Maran.ff
McAfee 5137 2007.10.09 Generic PWS.b
Symantec 10 2007.10.10 Infostealer

702 名前:(^ー^*)ノ〜さん:07/10/10 17:23 ID:BJFyIq510
>>701
これまでに、罠URLを踏んだ経験は無し
怪しい物は、大概チェックして踏まないようにしてたから

SymantecとtrendmicroとKasperskyとでウイルススキャン中
>>701で報告されてるのと結果が同じであれば
感染しているファイル、疑わしいファイルの削除で
問題ないかな?

それ以外の物が仕込まれていたらあれだけど、その場合は自己責任でだけど
やっぱりOSの再インストールが無理なのが痛いな

703 名前:(^ー^*)ノ〜さん:07/10/11 00:05 ID:U3ZY54zI0
>>697
諸事情ってなんだ?
ウィルス以外でも、OS自体がクラッシュする事態に陥ったりすればどの道、再インストール以外の回避策が無い場合だってある。
無論、そういった悲惨な状態にまで陥るマルウェアだって無いわけではない。
正規のライセンスを持ってないなら諦めれ。

704 名前:(^ー^*)ノ〜さん:07/10/11 07:21 ID:Md/oGWWl0
早すぎますが>>659-661以降のリストです。
なんか間違えていそうなのでツッコミあればよろしくおねがいします。

127.0.0.1 vvv■3x7x■cn
127.0.0.1 tinyurl■com■2jovj2
127.0.0.1 www■teamerblog■com
127.0.0.1 www■articlelin■com
127.0.0.1 www■seakinfo■com
127.0.0.1 teamerblog■com
127.0.0.1 articlelin■com
127.0.0.1 seakinfo■com

ふと次のテンプレの【hosts変更】をhost対策と変えたたらどうでしょうか?
大した事ではないのだろうけど
不明と書く人を見るに、判りにくいのかな?って思った次第。

>>691-692氏 /まで■にするとかえって判りにくく
>>693氏の報告のフォローが助かりました。
当方が愚鈍で申し訳ない。

705 名前:(^ー^*)ノ〜さん:07/10/11 07:29 ID:Md/oGWWl0
>>697
IEのヘルプでバージョン情報をみるって…
この手の大抵のソフトはヘルプにバージョン情報やらaboutやらで
ソフトVerが判るようになってる筈です。
にしても、三種同時にスキャンとは返って時間が掛かりそうです。
最近のPCのスペックなら大丈夫なんでしょうか。

親やら友人のPCやらでやらかしてしまったなら
素直に謝って入れなおすのが妥当かと。
学校やら仕事やら公的なブツのPCなら
パスを入れるようなソフトを実行しないorアンインストール。
当面、安全な環境でパスワードだけでも変えておく事をお勧めします。
判っていても踏んでしまうといういい勉強になったという事で。

そして明日はわが身と思う。
MYリカバリーディスク作成を調べておこう…。

706 名前:(^ー^*)ノ〜さん:07/10/11 16:28 ID:gNa7eYGW0
ttp://buffalo.jp/support_s/ruf2-fs/
ROは対象じゃないけど一応ね
踏むの怖い人は「株式会社バッファロー」で検索を

707 名前:691:07/10/11 18:01 ID:2+h8f4R90
すんませんです
書き込めない理由が.であることに今日気がついたよorz

708 名前:694:07/10/12 04:23 ID:emdMVlz/0
McafeeでHDDをスキャン ウィルスは見つかりませんでした
symantecでオンラインスキャン
C:\Program Files\gikoNavi\Log\2ch\ogame2\1122825137.dat は VBS.Freelink.B に感染しています。
C:\Program Files\gikoNavi\Log\2ch\design\1002521319.dat は Bloodhound.Exploit.6 に感染しています。
C:\Program Files\gikoNavi\Log\2ch\alone\Folder.idx は Unix.Penguin に感染しています。
C:\Program Files\gikoNavi\Log\2ch\alone\subject.txt は Unix.Penguin に感染しています。

Kasperskyでオンラインスキャン
Kasperskyのメンテ中でできませんでした

>>694のURL、確かに踏んだ筈なのに
それらしきウィルスが検知されません
とりあえずKasperskyのオンラインスキャンのメンテが
終わるのを待って、再度Kasperskyでスキャンかけてみます

709 名前:694:07/10/12 09:31 ID:emdMVlz/0
TrendFlexでのウィルススキャン結果
ウイルス検索の結果:ウイルスは見つかりませんでした。
スパイウェア検索の結果:スパイウェアは見つかりませんでした。
セキュリティ診断の結果:セキュリティホール: 0件

間違いなく踏んだ筈なのに、オンラインスキャンでは何も検知されないのが
逆に不気味だ
Kasperskyのメンテが終わったらKasperskyでスキャンかけてみますが

これは、感染していると見た方が良いのか、大丈夫と
見た方が良いのか、どっちでしょうか?

710 名前:(^ー^*)ノ〜さん:07/10/12 09:53 ID:7p22XobW0
>>704
このスレでも何度も言われてることだけど、
スキャンで引っかからなかったから大丈夫、という保障は誰にもできない
不安を抱えたまま使うか再インストールかのどっちかしかない
大丈夫といわれて実はウイルス潜んでたってことになっても人のせいにしないこと
あと、その結果じゃなんともいえない

垢ハク系で言えばカスペとNOD32が検出率高いからNODも使え。オンラインないけど
あと、ちょっと前にスレの住み分けのこと言われてたから考慮すること

711 名前:(^ー^*)ノ〜さん:07/10/12 09:54 ID:7p22XobW0
安価を盛大に間違えたけど俺は謝らない

712 名前:(^ー^*)ノ〜さん:07/10/12 10:10 ID:yjcpVAX60
>>709
>これは、感染していると見た方が良いのか、大丈夫と見た方が良いのか、どっちでしょうか?

その件はコメント済み。

>>701
>入手前に切断したのか、入手したが(以前に発動させたのか今回かで)セキュリティソフトを停止させられ
>ステルス化しているので発見できなかったのか、その辺は不明。

>踏んだ時刻から調査時刻までの間に差し替えられていた可能性もあるので保証はできない。
>安心のために、やっぱりOS入れなおしを。それしないなら自己責任で。

マカフィーでもシマンテックでも検出可能なMaran.ffなので入手前に切断した可能性もあるが
推奨される解決策は、OS入れなおし。

書込まれている内容から推し量れる範囲ではそのPCのシステム管理者に相談すべきだと思う。
今後のためにも、OSの入れなおしができるようになっておけ。自分でできないなら、PCに詳しい
奴に、飯でもおごって、やってもらえ。(それを見ていて、次か自分でできるように覚えろ)

713 名前:(^ー^*)ノ〜さん:07/10/12 10:40 ID:yjcpVAX60
【  アドレス   】
www■blog-ekndesign■com/wiki/
www■lian-game■com/wiki/
www■extd-web■com/wiki/

【気付いた日時】2007/10/12

<踏んでないので一部省略>

【説明】
掲示板の3スレッドにそれぞれ、下記の書式で投稿されていた。
勿論、コメント部分とは全く無関係の掲示板であり、貼られる理由がない。
投稿者のIDが同一であることから、業者による投稿の可能性がある。

>185 No Name 07/10/12 10:09 ID:yNMZeQa2
>■ 攻城戦関連サイトwww■lian-game■com/wiki/
>公式

>834 No Name 07/10/12 10:08 ID:yNMZeQa2
>同盟表、随時最新情報求むwww■blog-ekndesign■com/wiki/

>343 真夏ノ雪 07/10/12 10:08 ID:yNMZeQa2
>攻城戦史www■extd-web■com/wiki/

【IPアドレスへの変換結果】
www■blog-ekndesign■com/wiki/ -> 125.65.112.95
www■lian-game■com/wiki/ -> 125.65.112.95
www■extd-web■com/wiki/ -> 125.65.112.95

role: CHINANET SICHUAN
address: No.72,Wen Miao Qian Str Chengdu SiChuan PR China
country: CN

714 名前:(^ー^*)ノ〜さん:07/10/12 10:45 ID:zZfqsZC+0
>709
>これは、感染していると見た方が良いのか、大丈夫と
>見た方が良いのか、どっちでしょうか?

情報不足という事もあるが、元々正確なことはトロイの開発者じゃないと言えない。
ベンダーも見落としを含め、完全に正しい挙動を把握してない場合もある。
(極論すれば検出と駆除が出来ればOKだし)

スレ住民は何一つ確実な事が言えないので、「大丈夫」という言葉は使えない。
だから一番確実な処置方法としてHDDフォーマット・OS再インストールが推奨されてる。

基本的にスレの趣旨としては「踏まない」「踏んでも平気な状態にする」事を重視してる。
>713のような情報収集もその一環。

>713
そのIPは23styles■comのものだから、思いっきり罠アドレス。

715 名前:694:07/10/12 10:49 ID:emdMVlz/0
>>712
まあ、Kasperskyのオンラインウィルススキャンのメンテナンス
終わるのを待って、ウィルススキャンかけてみます
Kasperskyでも何も出てこなかったら、そっちの方が余計不気味な気もする

mixiの捨て垢に敢えてログインして、その捨て垢がハックされるか
どうかを調べて、感染してたかどうかを確認する
なんて、手を一瞬思いついてしまった
kasperskyで何も検知されなかったら、試してみようかと思ってる
自分がいて...........orz
何とか、試してみたい気持ちを抑えてはいるが

716 名前:(^ー^*)ノ〜さん:07/10/12 10:56 ID:zZfqsZC+0
>715
捨て垢でもそれを悪用されて罠をばら蒔かれたらどうする。
そして誰かがそれに引っかかったらどうする。

捨て垢がハクられる分にはテストだから、で済むかもしれんが、被害者を
自分の手で生み出す事になるんだぞ。
迷惑行為どころか犯罪行為に加担してる事になるから、そういうのはやめれ。

717 名前:(^ー^*)ノ〜さん:07/10/12 10:56 ID:yjcpVAX60
>>713
http://www■blog-ekndesign■com/wiki/index■htm
http://www■blog-ekndesign■com/wiki/see■exe

www■lian-game■com,www■extd-web■comは、同一IPの別名なので、省略。

---------
index.htm
---------
Kaspersky 7.0.0.125 2007.10.12 Trojan-Downloader.VBS.Agent.aw
McAfee 5139 2007.10.11 Exploit-MS06-014
NOD32v2 2586 2007.10.11 -
Symantec 10 2007.10.12 -

-------
see.exe
-------
Kaspersky 7.0.0.125 2007.10.12 Trojan-PSW.Win32.Maran.gen
McAfee 5139 2007.10.11 Generic PWS.b
NOD32v2 2586 2007.10.11 a variant of Win32/PSW.Maran
Symantec 10 2007.10.12 Infostealer

718 名前:(^ー^*)ノ〜さん:07/10/12 11:00 ID:yjcpVAX60
>>715

>>415
>415 (^ー^*)ノ〜さん sage 07/09/11 23:41 ID:VaLaEIqZ0
>つか、こういうのは人柱とは言わずに、足手まといと言うんだが。

おまいさんは、OSを自分で入れなおせるようにするのが最優先。他の事には手を出さんでよろし。

>Kasperskyでも何も出てこなかったら、そっちの方が余計不気味な気もする
踏んだけど、本体入手前に切断するのが間に合ったケースではそうなってもおかしくない。
あくまでも、安全な可能性があるというだけなので、過信はするな。

自己責任の意味がわからないならOS入れなおしてこい。以上。

719 名前:(^ー^*)ノ〜さん:07/10/12 11:05 ID:gg/mEBpN0
>>715
生兵法は怪我の元どころか、第三者、それに、この場合ならmixi運営にも被害を与えかねない。
万全なJail環境を構築できて、仮想mixiに対してセッションテストを行えるならともかく、本番環境相手にやるのはご法度。

むしろ、そんなにSNSに依存しているなら、専用PCでも構築するか、退会して自分達専用のプライベートスペースでも作った方が
いいんじゃないか?

720 名前:(^ー^*)ノ〜さん:07/10/12 11:20 ID:fjA7eIWy0
OK
悩める694に100%とは言わないが、割と安全な対応を教えてしんぜよう。

1.そのPCは使ってもいいが、最低1週間、出来れば1ヶ月ネットから隔離する。
 隔離が無理ならネットは使わないようにする。
2.経過期間終了後、カスペその他で再度チェックする

それで見つからなければ割と安全と思っていい。

1ヶ月もあれば、新種のトロイでもパターンファイルに登録されてるだろう。
その間に何も踏まなければ、新たな感染は殆ど無いといえる。
(外部メディアからの侵入はないとは言えないので注意)

mixiが重要なら、携帯からやればいい。

721 名前:694:07/10/12 12:13 ID:emdMVlz/0
>>720
とりあえずKasperskyのメンテが終わったら
Kasperskyでチェック
それで何も検知されなければ>>720の方法で行く事にします

100%ではなくても、安全だと判断するに到る根拠があれば、多分
大丈夫だと思う

722 名前:(^ー^*)ノ〜さん:07/10/12 13:57 ID:yjcpVAX60
>>721
寝かせる余裕があるならOS入れなおせよ。割れ物使ってるなら、この機会に買ってこい。

723 名前:(^ー^*)ノ〜さん:07/10/12 14:34 ID:yjcpVAX60
spamメールの文面(危険アドレスの置き換え以外そのまま)
リンクに表示される文面がリネージュ公式のアドレス+末尾jpegにすることで
踏ませるものだと思われる……が、yahoo.cnのメッセージがついてるお間抜けメール。

iframeで、既知の危険アドレスを読み込ませる。
main1.htmは、Ms06014.htm,test.curを読み込むいつものパターン。

rbt1/ie.htmlは調査時点で404エラー。

tmsn/ie.htmlは、tmsn/tmsn.exeを呼びだす。レジストリに登録するらしき挙動も見える。
tro/ie.htmlは、tro/tro.exeを呼びだす。(以下同文)

>リネージュの世界へようこそ!
>この度は、「リネージュ」にご登録いただきまして、誠にありがとうございます。
><http://www■lineagecojp■com/rbt1/main■htm>http://lineage.plaync.jp/support/RtnCardImage3.Jpeg
>
>------------------------------------------------------------
><http://mail.yahoo.cn/> @yahoo.cn 新域名、无限量,快来?注!

多分、同じ送信者と思われる、アダルトサイト系を装ったメールも昨日来てました
アダルトサイトのアドレス貼るのもどうかと思われたので、そこも一応伏せ。

><http://www■lineagecojp■com/tmsn/main■htm>[無料]dmm
> BlowJob Porn 無修正 オマンコ 潮吹き
> モロ フェラ 女子高生 援助交際 アニメ
>  SEX PornMovie FC2Ranking
>無修正DVD
>☆素人娘の「おしっこ」のみを扱う究極のおしっこ専門サイト!☆
><http://www■lineagecojp■com/tro/main■htm>
><http://www■lineagecojp■com/tmsn/main■htm><dmmのアドレス>
>
>------------------------------------------------------------
><http://mail.yahoo.com.cn/?=89034>雅虎?箱,?生?伴!

724 名前:(^ー^*)ノ〜さん:07/10/12 14:36 ID:yjcpVAX60
まとめると、こうなった。ファイル名がhtmlの文面中に出てくるのを追っただけなので、
VBやJavaScriptでなにやってるのかまでは知りません。

http://www■lineagecojp■com/rbt1/main■htm
http://www■zhangweijp■com/rbt1/main1■htm
http://www■zhangweijp■com/rbt1/ie■html -> 404 not found
http://www■lineagecojp■com/rbt1/Ms06014■htm
http://www■lineagecojp■com/rbt1/test■cur
http://www■lineagecojp■com/rbt1/rbt1■exe -> 404 not found

http://www■lineagecojp■com/tmsn/main■htm
http://www■zhangweijp■com/tmsn/main1■htm
http://www■zhangweijp■com/tmsn/ie■html
http://www■lineagecojp■com/tmsn/Ms06014■htm
http://www■lineagecojp■com/tmsn/test■cur
http://www■lineagecojp■com/tmsn/tmsn■exe

http://www■lineagecojp■com/tro/main■htm
http://www■zhangweijp■com/tro/main1■htm
http://www■zhangweijp■com/tro/ie■html
http://www■lineagecojp■com/tro/Ms06014■htm
http://www■lineagecojp■com/tro/test■cur
http://www■lineagecojp■com/tro/tro■exe

main.htm : Not Detected(これは順当)
main1.htm : Trojan-Downloader.JS.Agent.hf
ie.html : Exploit-MS06-014
Ms06014.htm : Trojan-Downloader.VBS.Small.em
test.cur : Exploit.Win32.IMG-ANI.ac
tmsn.exe : Trojan-PSW.Win32.Agent.ka
tro.exe : Trojan-PSW.Win32.Agent.ka

725 名前:(^ー^*)ノ〜さん:07/10/12 17:40 ID:cy91GlC40
カスペルスキーのオンラインメンテが長いですね。

>>713 >>723
現時点までに既存のhostファイルに上がっているアドレスなので
host対策すれば一応大丈夫だとおもうのですが
>>723氏の書き込みのJpegなURLのは
場所が場所なら引っかかりやすいかもしれません。

このJpeg自体もリネ公式上に404で存在しませんし
(JpegなURLをググると業者な書き込みの残骸?が数件引っかかったので
見境無く貼り付けている模様)
表面だけでも公式のURLというのが悪質ですが
古典的だけど見かけ上の偽装はそれだけ有効ということか。

対策としてはステータスバーのチェックをONにして、
"いつでもURLを確認できるように"しておいたほうが良さそうです。
でもステータスバーOFFは少数派かも。

726 名前:(^ー^*)ノ〜さん:07/10/12 17:55 ID:yjcpVAX60
>>725
>カスペルスキーのオンラインメンテが長いですね。

それまで、日本以外のとこ使っとけ。
ttp://www.kaspersky.com/virusscanner

727 名前:(^ー^*)ノ〜さん:07/10/12 18:43 ID:emdMVlz/0
>>726
何故か外国版使おうとすると
オンラインスキャン起動途中でFAILEDと出て使えない
日本版のメンテナンス早く終わらないかな

728 名前:(^ー^*)ノ〜さん:07/10/12 18:47 ID:ElUGlYfD0
すまんが同じ事を何度も何度も言わんで良い

729 名前:(^ー^*)ノ〜さん:07/10/12 18:50 ID:emdMVlz/0
>>728
スマン

730 名前:(^ー^*)ノ〜さん:07/10/13 01:17 ID:so8FBPUD0
ROSVのBBSに投稿されていたアドレス

http://202■224■203■91/bbs/picte■asp
http://www■omakase-net■com/bbs/picte■asp
http://www■mbspro6uic■com/mbsplink/
http://www■ragnarokgvg■com/roblog/
http://www■chaosx0■com/roblog/
−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
www■omakase-net■com -> 202.224.203.91 (JP:InfoSphere配下の個人名義)
           普通のHPのようなので、クラックされてファイルを置かれたのかも
           まだ警告は入れてません。
www■mbspro6uic■com -> 61.139.126.28 (CN)
www■ragnarokgvg■com -> 125.65.112.8 (CN)
www■chaosx0■com -> 125.65.112.58 (CN)
www■raginfoy■com -> 125.65.112.77 (CN)
−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
picte.asp -> iframeで下記のアドレスを呼び出す
http://www■zhangweijp■com/rbt1/main■htm
http://www■zhangweijp■com/tro/main■htm
http://www■zhangweijp■com/tmsn/main■htm

mbsplink/index.htm -> mbspr.htm -> mbsp.htm,mbsp.cur
mbsp.htm -> xiaogui.exe
http://www■mbspro6uic■com/mbsplink/mbspr■htm
http://www■mbspro6uic■com/mbsplink/mbsp■htm
http://www■mbspro6uic■com/mbsplink/mbsp■cur
http://www■mbspro6uic■com/mbsplink/xiaogui■exe

roblog/index.htm -> ro.exe
http://www■raginfoy■com/roblog/ro■exe

731 名前:(^ー^*)ノ〜さん:07/10/13 01:17 ID:so8FBPUD0
>>730の続き
−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
以下、カスペでの検出結果。
ダウンローダや、iframeで呼びだすページはすり抜けが多い(仕様かも)が
そこから落とされる本体は、ほぼ対応済みになっている模様。

picte.asp : Not Detected
main.htm : Trojan-Clicker.HTML.IFrame.co

mbsplink/index.htm : Not Detected
mbspr.htm : Trojan-Downloader.JS.Agent.hf
mbsp.htm : Trojan-Downloader.Win32.Agent.bzy
mbsp.cur : Exploit.Win32.IMG-ANI.ac
xiaogui.exe : Trojan-PSW.Win32.Maran.ff

roblog/index.htm : Trojan-Downloader.JS.Agent.hg
ro.exe : Trojan-PSW.Win32.Maran.ff

732 名前:694:07/10/13 08:37 ID:/sFmBGc00
Kasperskyオンラインウィルススキャン使用結果
スキャンしたファイル:72216
見つかったウイルス:0
感染したオブジェクト:0
疑わしいオブジェクト:0
スキャンプロセスの所要時間:09:01:47

symantec trendmicro Mcafee Kaspersky
どれ使っても検知されないって、かなり最新種なのか?!

733 名前:(^ー^*)ノ〜さん:07/10/13 09:04 ID:so8FBPUD0
>>732
安全ですって誰かに保証して貰いたいだけなんだろうが、その言葉は出てこないから諦めろ。

あんたの踏んだアドレスは、(調査時点では)検知可能なものが置かれていたが、あんたが
踏んだ時点でも同じものであった保証はできない。

踏んだが、入手前に切断した「可能性がある」ことだけは言えるし、複数のセキュリティソフトで
検知されない事から、安全である「可能性はある」が、誰も保証はできない。

安心したければOS入れなおしが必要。

OEM用のOSをFDDとセットで買ってきて、FDDを今付いているものと交換し(OEMのOSは
同時に購入したハードと一緒に使わないといけないので)、買ってきたOSを入れればいい。
http://www.coneco.net/PriceList.asp?COM_ID=1020621013

必要なデータのバックアップは忘れずにな。インストール方法がわからないなら、その手の
質問受け付けている場所へどうぞ。もう戻ってくるんじゃねーぞ。

734 名前:694:07/10/13 12:08 ID:/sFmBGc00
>>733
安全を保証してもらいたいわけじゃない

大体の可能性として
調査時点と俺が踏んだ時点、昼間の数時間で
罠URLの先に置かれていた物が同じ物で無かった可能性が
大いにあり得る(かなり高い 61%以上)なのか
あり得る(五分五分程度 40%〜60%の間)なのか
あるかも知れない(確率としては低い 39%以下)なのか
今まで、調査を行ってきた人の経験に照らし合わせると
どの程度の確率で、踏んだ時点と調査時点で置かれていた物が
変わっているのかというのが知りたい
踏んだ時点と調査した時点で置かれていた物が変わる確率
(踏んだ時点と調査した時点で、置かれていた物が変わる事は
 今までに調査した中にどのぐらいの割合であったのか)
中身が、検知不可な物から検知可な物に変わる確率
(検知不可な物が最新種とすれば、検知可な物に変えるのは
 最新種から旧種へ変える様な物で、最新種に不具合がある
 等でなければ、あまり考えられない
 実際、検知不可な物から検知可な物に変わった事が
 今までの調査の中でどのぐらいの割合であったのか)
上記の二つから見立てて、踏んだ時点と調査時点(誤差数時間)で
最新種から旧種へ中身を変える可能性が、何%ぐらいの確率であるのか
(今までの調査で、そういう事例が実際に何割ぐらいあったか)

735 名前:694:07/10/13 12:09 ID:/sFmBGc00
入手前に切断した「可能性がある」については
入手前に切断と言うのがどういう物か解らないので
できれば、入手前に切断されるプロセスを教えて欲しい
例えば、切断のプロセスにも、読み込む前に強制終了した場合
ウィルス対策ソフトがウィルスを検知して自動的に弾いた場合
等色々あると思うので、今までの調査経験から考えられる範囲で
URLを踏んでから切断までのプロセスを教えて欲しい

上記の確率と、切断までのプロセスさえある程度解れば
安全か危険か、多少は自分で見立てられる

OSの入れ替えは、絶対不可能なので
その見立てに応じて、自分で考え得る
OS入れ替えや再インストールを除いて
出来うる範囲で必要な対処を実行してみる
その為の判断材料として、上記の確率とプロセスが
参考までに欲しい

OS入れ替え、再インストールを除く対処法で
実行できる最大限可能な対処は>>720だが

736 名前:(^ー^*)ノ〜さん:07/10/13 12:15 ID:Y2ZQTcBd0
いったい何をゴネてるんだ

737 名前:(^ー^*)ノ〜さん:07/10/13 12:16 ID:h8eFVjkP0
まだいたんか、おまいさんは
わがままで情報が流れるのは勘弁願いたいんで移動してくれ
http://enif.mmobbs.com/test/read.cgi/livero/1186660300/

738 名前:(^ー^*)ノ〜さん:07/10/13 12:17 ID:vI/juzq70
>>694
はいはい、大丈夫大丈夫、>720をやっておけば仮令感染していようとも実害はないからね。
はい、これで安心できたでしょ。帰った帰った。

739 名前:(^ー^*)ノ〜さん:07/10/13 13:14 ID:so8FBPUD0
確率:入れ替えるタイミングには10分単位で変わってる事もある。1ヶ月以上変わらない場合もある。
プロセス:ブラウザからサーバーに要求出しても、データが来るまでのラグがある。
      データが届く前に、閉じるなり別のページを表示した場合は、届かない。
      垢ハックの置かれているアドレスは、重い事もあるが、ファイルサイズ自体が小さいので
      一瞬で届く場合もある。相手サーバーと回線の具合によって大きく変化するので、
      なんとも言えない。真っ白に見えても(今回もそうだが)iframeで隠されているケースが多く
      開いていないかどうかは保証できない。

自己判断ができるなら、そのままつかっても良いが、今回の相談者の場合、知識と認識に問題があり
危険が高いため、OS入れなおし以外の手段は推奨できない。

>安全か危険か、多少は自分で見立てられる
正直に言うと、あんたにゃ無理。

諦めて、OS買ってきてPC初期化すべし。以上。

740 名前:(^ー^*)ノ〜さん:07/10/13 13:32 ID:fv3Kswuq0
>>694
なんか自分はできるやつなんだってのをアピールしたい意図が見え隠れするけど、
生兵法は怪我の元でしかないし、言われたことを理解しているようにも思えない

再セットアップが無理って言う理由はなんだ?会社のPCだからか?他人のPCだからか?
だったら正直にウイルスいるかもしれないってこと話して入れなおせ


あと、何で文句っぽくレスが付くのか考えろ

741 名前:694:07/10/13 14:56 ID:/sFmBGc00
>>740
知り合いのだ
ウィルス入ったと話したところ
「絶対にOSの入れ替えや再インストールはするな
 感染したファイルだけを削除して解決しろ
 それ以外の方法での解決は認めない」
と言われたため

つまり、そう条件付けられてしまった以上
できうる最善策が>>720

>>739
おk、OS再インストールや初期化は選択肢として存在しない
>>720以上の事はしなくても大丈夫そうだと解ったのでそれで充分

742 名前:(^ー^*)ノ〜さん:07/10/13 15:58 ID:QMPY3Ok40
結局、割れOSか、会社の備品か何かでインストールしたPCを友人から借りて、その上で怪しいURLを踏んだと言うことでFAか。
普通に考えれば、トロイ以外にも、ホワイターの様なロジック爆弾にやられる可能性もある。nProの競合でハードディスクの管理領域が
クラッシュすることだってある。
つまり、PCを使う以上は、いつでもOS再インストールが必要になる可能性はある訳で。
そんな不確実なPCを>>694に使用させた友人も大概だがな。

743 名前:(^ー^*)ノ〜さん:07/10/13 17:54 ID:Pe+Wiwsa0
割れとか使ってる奴はネット繋ぐな
ケーブルで首つって氏ね

744 名前:(^ー^*)ノ〜さん:07/10/13 18:34 ID:wMz/cMSh0
ずいぶん酷い荒らしが沸いてたんだな…

745 名前:(^ー^*)ノ〜さん:07/10/13 19:52 ID:JmK/e/I60
>>730
BSWikiの既出チェックCGIにかけたらIPの最初のを除き全部Hitしますね。
http://smith.rowiki.jp/riskycheck.php

>www■omakase-net■com
確か危険と目されるようになったのは結構前。鯖管は全然"管理"してないんだろうねぇ。
全く困ったもんだい。

746 名前:(^ー^*)ノ〜さん:07/10/14 12:55 ID:7HLQtFtB0
うちの鯖のキモギルドのマスターみたいだ…

747 名前:(^ー^*)ノ〜さん:07/10/14 16:23 ID:cPNjU/A40
>>694関連は、ここまでgdgdな展開だと、どうでもいいような事を長々とスレに持ち込んで、本来のスレの役割を機能不全に
陥らせようとしたのではと邪推してしまうな。

>>745
Tech Email(技術連絡先): minami@sml.co.jp
ここにゴルァするのが手っ取り早いのかな。

748 名前:にゅぼーん:にゅぼーん
にゅぼーん

749 名前:(^ー^*)ノ〜さん:07/10/15 10:18 ID:tW1QDopp0
徳島県警生活環境課と徳島北署は25日、会員制のオンラインゲームに他人のIDとパスワードを使って不正にアクセスしたとして、埼玉県北本市の土木作業員の少年(18)を不正アクセス禁止法違反容疑で逮捕した。  調べでは、少年は4月30日午後2時ごろ、自宅のパソコンからインターネットに接続し、チャットを通じて入手した北島町の女性(21)のIDとパスワードを無断で使用しゲームにアクセスした疑い。

こういうのって警察どうやって調べてんの?

750 名前:(^ー^*)ノ〜さん:07/10/15 10:20 ID:2ZEXUTOG0
>749
こちらへどうぞ。

セキュリティ対策、質問・雑談スレ3
http://enif.mmobbs.com/test/read.cgi/livero/1186660300/l50

751 名前:(^ー^*)ノ〜さん:07/10/15 11:04 ID:1VtqAuRV0
自宅からのアクセスなんてすぐ分かるだろ

被害者が警察に被害届け
 ↓
警察がISP/ゲーム運営会社に情報公開請求
 ↓
タイーホ

ネカフェやPCショップ等の展示マシンからアクセスされたら、
そこから地道な聞き込み捜査が行われる。
海外からのアクセスはよく分からん。

752 名前:(^ー^*)ノ〜さん:07/10/15 11:11 ID:tW1QDopp0
被害届け ださなきゃ警察なにもしれくれないし
被害にあってから数ヶ月たってから警察に言ったんじゃ遅い?

753 名前:(^ー^*)ノ〜さん:07/10/15 11:57 ID:MC6Sc9AK0
>>730さん
| www■omakase-net■com

使用しなくなったまま放置されているBBSに脆弱性があるようで、半年以上前
から何度も攻撃を受けています。(こちらにも既報)
BBS自体を消せばいいのに、管理人は脆弱性に気が付いていないようで、
パスワード制にしたまま捨て置かれています(脆弱性への対処にはなってない)。

サイト上にあるメールアドレスに警告メールを送ったことがありますが
反応ありませんでした。

754 名前:(^ー^*)ノ〜さん:07/10/15 12:03 ID:+pECkpGI0
>>752
泥棒に遭ってから1ヶ月ほどして言っても、
被害届は受け付けてくれるだろうけど捜査はやりにくいだろうね

こういうのは分かった時点ですぐ言わないと

755 名前:(^ー^*)ノ〜さん:07/10/15 12:06 ID:tW1QDopp0
>754
最後に課金してからだと3〜4ヶ月たってるんで・・・

756 名前:(^ー^*)ノ〜さん:07/10/15 12:44 ID:vnoeBfXX0
>>751-752 >>754-755
>>750で誘導されてるんだから、ここで続けるのはやめようよ。

>重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
>対策・相談・雑談は>>2に有る雑談スレを利用して下さい。

757 名前:(^ー^*)ノ〜さん:07/10/15 20:32 ID:MC6Sc9AK0
ここ最近の職Wikiへのアカハック攻撃試行事例 (全てblockされ一般利用者の目には触れていません)

Date: Sun, 14 Oct 2007 23:15:25 +0900 (JST)
REMOTE_ADDR: 210.197.230■190
-> (OFSfb-12p4-190.ppp11.odn.ad■jp - 中国人御用達ODN (ソフトバンク系))

http://tinyurl■com/2bmcg2 (短縮URL)
-> http://www.teamerblog■com/wiki/index.htm (既出 61.139.126■16)
--> http://www.teamerblog■com/wiki/music.htm (Microsoft.XML脆弱性)
---> http://www.norelet■com/wiki/svch.exe (61.139.126■16)

--> http://www.teamerblog■com/wiki/love.htm
JavaScriptがIE用のため実体は解読できず。
攻撃手法は中国製のメディアプレイヤーソフトである BaoFeng Storm Playerの
バッファオーバーフロー脆弱性を突くものと思われる。(入れてなければ存在せず)
http://www.symantec.com/ja/jp/enterprise/security_response/vulnerability.jsp?bid=25601

//--------

Date: Sun, 14 Oct 2007 23:16:22 +0900 (JST)
REMOTE_ADDR: 210.197.230■190

http://www.articlelin■com/wiki/ (既出 61.139.126■16)

//--------

Date: Sun, 14 Oct 2007 22:36:16 +0900 (JST)
REMOTE_ADDR: 210.197.230■190

http://www.panslog■net/wiki/ (61.139.126■16)

//--------

teamerblog, articlelin, seakinfo, norelet, panslog(他)の 61.139.126■16一派は
既出のURLを相互に入れ替えてもアクセスできそうな雰囲気。実体は同じかもしれません。

758 名前:(^ー^*)ノ〜さん:07/10/15 22:12 ID:TF78rnJB0
>>704での報告のtinyurlの表記が謝ってました。申し訳ない。
>>757氏に感謝。
改めて表記しなおしつつ更新分のリストをさらしてみるテスト。
既存のURLの10進表記ロングIPアドレスも表記の都合や
PG2が入っていたら無意味かもしれませんが試しに記述してみました。

誤りがあったら突っ込み訂正等よろしくお願いします。

127.0.0.1 202■224■203■91
127.0.0.1 61■139■126■28
127.0.0.1 125■65■112■8
127.0.0.1 125■65■112■58
127.0.0.1 125■65■112■77

127.0.0.1 tinyurl■com
127.0.0.1 www■norelet■com
127.0.0.1 norelet■com
127.0.0.1 www■panslog■net
127.0.0.1 panslog■net
127.0.0.1 61■139■126■16

>>726
突っ込みありがとうございます。
雑談な切り出しをしてしまいました。

759 名前:(^ー^*)ノ〜さん:07/10/16 08:19 ID:xV3sTsTj0
こっち向けぽいので引用。
“難読化”されたJavaScriptをIE7で解読する:ITpro
ttp://itpro.nikkeibp.co.jp/article/COLUMN/20071012/284394/
記事内リンク先の内容も含めて、スクランブルJavaScriptへの対抗手段にでもなれば。

760 名前:(^ー^*)ノ〜さん:07/10/16 09:13 ID:OfdfYc5j0
>>759
報告乙。でも、私には、どう見てもセキュスレ向きの話題に思えました。(^^)ノシ

761 名前:(^ー^*)ノ〜さん:07/10/16 14:07 ID:OfdfYc5j0
取り敢えず、既知のアドレスですが、ご報告。

mixiに貼られてたもの
http://www■rock-pine■com/orji/index■htm

呼びだされるもの
http://www■woshijianren■com/jpjp/jpro■htm
http://www■woshijianren■com/jpjp/Ms06014■htm
http://www■woshijianren■com/jpjp/ro■cur

===Kasperskyでの検出結果===
Trojan-Clicker.HTML.IFrame.bz
Trojan-Downloader.JS.Agent.hf
Trojan-Downloader.VBS.Agent.ar
Exploit.Win32.IMG-ANI.ac

===NOD32での検出結果===
Win32/TrojanDownloader.Ani.Genの亜種

762 名前:(^ー^*)ノ〜さん:07/10/16 14:49 ID:iDFjQQZL0
罠置き場発見。
www■xmdir■com/chat■com

F-Secureオンラインスキャン
Trojan-PSW:W32/Magania.AMX(?)

その直後にVIRUSTOTAL 16日14時35分 検出率5割。
このことからF-Secureオンラインは自前?エンジン固定かもしれない。
(製品はNorman、カスペ、自前?の3つのエンジン)

F-Secure 6.70.13030.0 2007.10.16 Trojan-PSW.Win32.Nilage.brh (カスペ)
Kaspersky 7.0.0.125 2007.10.16 Trojan-PSW.Win32.Nilage.brh
NOD32v2 2592 2007.10.15 a variant of Win32/PSW.Lineage.ACN
Norman 5.80.02 2007.10.15 W32/Malware
Symantec 10 2007.10.16 -

763 名前:(^ー^*)ノ〜さん:07/10/18 15:25 ID:EZ1x02CS0
>>686
10日前の話題にレス付けスマソ。
アプリコットカフェは10日に管理人さんが交代されて運営が再開
されております。

あとleminx■comドメインは失効したと言う書き込みがありましたが
それ以降どうなったかは新管理人さんの方からは今の所何も
話が出ておりません。

764 名前:(^ー^*)ノ〜さん:07/10/18 15:50 ID:gqPfEHAz0
>763
アプリコのてんぷらBBSより

>168 名前:管理人2★ Mail:sage 投稿日:2007/10/12(金) 11:02:58 [ 8GIZaLP6 ]
>前管理人様に、applepie.s55.xrea.comを
>「アコライト・プリースト Wiki」に転送するように設定してもらいました。
>leminx■comについては支払いをして継続するそうです。

whois見る限り、まだレジストラ管理のようだし、最終的にどうなったかは不明。

765 名前:(^ー^*)ノ〜さん:07/10/18 21:33 ID:W1zni/sS0
leminx■comの登録業者であるeNomのwhoisによるとまだ「This name has EXPIRED〜」
ってあるから、復活してない/できてないんだろうな…
というか期限切れから1ヶ月も経っていて復活できるのか疑問。

ttp://www.enom.com/domains/whois.asp?DomainName=leminx.com

766 名前:(^ー^*)ノ〜さん:07/10/20 17:24 ID:vcCLQxl50
www.extd-web■com/wiki/
これってハク?

767 名前:(^ー^*)ノ〜さん:07/10/20 17:29 ID:Ob4SY3jW0
>>767
Trojan-Downloader.VBS.Agent.awゲットだぜ

768 名前:(^ー^*)ノ〜さん:07/10/20 17:48 ID:vcCLQxl50
ごめん上に出てた

769 名前:(^ー^*)ノ〜さん:07/10/20 18:34 ID:bxhjoOmP0
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

770 名前:(^ー^*)ノ〜さん:07/10/20 18:35 ID:jmHomHNe0
【  アドレス   】 ttp://www■netgamelivedoor■com/online/
【気付いた日時】 本日五時頃
【     OS    】 WindowsXP HE SP2
【使用ブラウザ 】 IE7
【WindowsUpdateの有無】 有、少なくとも一ヶ月以内には
【 アンチウイルスソフト 】 McAfee
【その他のSecurty対策 】 特に無し
【 ウイルススキャン結果】 現在スキャン中、踏んだ時にMcAfeeが反応した為恐らくその時に削除されてる
【スレログやテンプレを読んだか】 Yes
【hosts変更】変更の形跡はあるものの、踏む以前の事なので多分無関係
【PeerGuardian2導入】無
【説明】
脈絡もないブログコメだった為、すぐ垢ハクと判断したのですが…誤って踏んでしまいました。
特に症状はありません。
現在課金切れの身なのですが、やはりこの状況じゃ課金しない方が懸命ですね。

771 名前:(^ー^*)ノ〜さん:07/10/20 19:07 ID:bxhjoOmP0
>>770
ダウンローダである踏んだページそのものをマカフィーでブロックしている可能性が高いですね。
保証はできませんが、本体も未設置かサイト落ちのようですので、阻止できた可能性は十分あります。

http://www■netgamelivedoor■com/online/index■htm
JS/Downloader-BDQ(McAfee)
Trojan-Downloader.VBS.Agent.eg(Kaspersky)

http://www■conecojp■net/online/jpt1■exe
現時点で404エラー

772 名前:(^ー^*)ノ〜さん:07/10/20 19:25 ID:jmHomHNe0
確かに、踏んだページ以降にはアクセスしていない様です、ウイルスも検出されませんでした。
可能性が高い、とのお話なので一、二週間ログインせず様子見すればいいかな、と思っているのですが甘いでしょうか?
OSの再インストールをした方がいいでしょうか。

773 名前:(^ー^*)ノ〜さん:07/10/20 19:29 ID:cwUqaWzA0
その辺は自己判断。
他人が言えるのは再インストールしちまえ、くらいのもの。

774 名前:(^ー^*)ノ〜さん:07/10/20 21:10 ID:bxhjoOmP0
>OSの再インストールをした方がいいでしょうか。
自己責任で判断できないのであれば、再インストールを行なってください。

775 名前:(^ー^*)ノ〜さん:07/10/21 02:44 ID:Ai09znpj0
>772
様子見出来るのならそれでも構わない。

ただしウィルスが検出されないのは、単に見つからないだけであって
感染してない、という保証にはならない。
トロイが潜んでる可能性は0ではない。

誰も「それで安全です」なんて断言は出来ない。
万が一別のトロイが居てハク被害にあったとしても責任が取れない。

なので、一番確実安全な方法、と言われたら「再インストールしろ」となる。

776 名前:(^ー^*)ノ〜さん:07/10/21 09:43 ID:iRKxOEgQ0

【  アドレス   】http://analysis■fc2■com/social/kw/%E3%83%A2%E3%83%B3%E3%82%B9%E3%82%BF%E3%83%BC%E3%83%AC%E3%83%BC%E3%82%B9
【気付いた日時】  本日5時ごろ
【     OS    】 WindowsXP Pro SP2
【使用ブラウザ 】 ( Sleipnir 2.51
【WindowsUpdateの有無】先日
【 アンチウイルスソフト 】 Norton Antivirus2007
【その他のSecurty対策 】 Spybot ルータ Ad-Aware
【 ウイルススキャン結果】 現在スキャン中
【スレログやテンプレを読んだか】Yes
【hosts変更】無 
【PeerGuardian2導入】無
【説明】
開いてみたら画面が真っ白だったので怪しいかなー
と思い報告しています。

777 名前:(^ー^*)ノ〜さん:07/10/21 10:23 ID:U+vZ0qn30
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

FC2のアクセス解析じゃないのそこ

778 名前:(^ー^*)ノ〜さん:07/10/22 01:04 ID:oEYZWaFd0
某所で発見した新しいアカウントハックドメイン情報。
http://game13.2ch.net/test/read.cgi/game/1192592259/640-648

http://oblivion■playersvillage■com/ (クラックされた一般サイト)
 http://oblivion■playersvillage■com/img/foot.png (クラックされて置かれたファイル。難読化されている。以下をリクエスト)
  http://www■puksins■com/flash.js (難読化されている。以下をリクエスト)
   http://www■puksins■com/Google.exe
   http://www■puksins■com/Alexa.exe
   http://www■puksins■com/Yahoo.exe

AviraAntiVirではTR/Crypt.NSPM.Genというアカハクウイルスでよく見た名前の奴。

上記の一般サイトさん、前もクラックされていたんだよね。なんだかもーうっへり。

779 名前:(^ー^*)ノ〜さん:07/10/22 07:47 ID:Cp7Io7qm0
>>778
報告乙。NOD32すりぬけたんで、検体提出いってきます。他もまとめて出してきまー。

780 名前:(^ー^*)ノ〜さん:07/10/22 09:22 ID:Cp7Io7qm0
>>778-779
カスペさんから返答

既知の検体
(提出前のオンラインスキャンでは検出できなかったがパターン更新直前だった模様、現在は検出する)
Alexa.exe_ - Trojan-PSW.Win32.Nilage.bss,
Google.exe_ - Trojan-PSW.Win32.Maran.ru,
Yahoo.exe_ - Trojan-PSW.Win32.Magania.asb

次のパターン更新で対応
flash.js_ - Trojan-Downloader.JS.Agent.zf,
foot.png - Trojan-Clicker.HTML.Agent.o

781 名前:(^ー^*)ノ〜さん:07/10/22 10:17 ID:Cp7Io7qm0
【  アドレス   】
http://www■8568985■com/mmgjkin/
http://www■8568985■com/garegky/

http://www■8568985■com/garegky/egk.htm
http://www■8568985■com/garegky/egk.cur

【気付いた日時】2007/10/22
        アドレスをぐぐってみると、10/11,10/17辺りに各所にspam投稿された形跡あり。
【     OS    】WinXP pro SP2
【使用ブラウザ 】ブラウザではアクセスせず
【WindowsUpdateの有無】月例定期更新なので10/10かな
【 アンチウイルスソフト 】ESET Smart Securtyβ
【その他のSecurty対策 】Spybot S&D,AD-Aware SE,Spaywareblaster
【 ウイルススキャン結果】 egk.cur - Win32/TrojanDownloader.Ani.Genの亜種
【スレログやテンプレを読んだか】Yes
【hosts変更】有
      但し、Spybotのリストでアカハック用はリストに入れていません。
      検体入手の際に面倒なので
【PeerGuardian2導入】有。CNブロック。検体入手時のみhttpを許可して入手。
【説明】
放置されていたRO系BBSにあからさまに貼られていた。一般のBBSやゲームのblogにも。
既出のような気もするが、このスレ内に、同じ数字の羅列がなかったので一応報告。
いつものアニメカーソルの奴なので、WindowsUpdateかけて、まともなセキュリティ
対策ソフト入れてあれば防げると思われる。

782 名前:(^ー^*)ノ〜さん:07/10/22 11:33 ID:QSTVH+mm0
>>781
www■8568985■com/garegky/jpmm.exe
えらく古めかしい、無圧縮の日本向けリネージュトロイ。

783 名前:(^ー^*)ノ〜さん:07/10/23 12:33 ID:QJG37iTK0
ついさっき某職スレ外部板に張られていたもの。
httpを含む文字列を禁止してるようだから被害はない、はず。

>216 名前:ヒール回復774さん Mail: 投稿日:2007/10/23(火) 12:21:15 [ Mi9dIaHk ]
>リネージュサマーBIG宝くじ
>applineage■blog123■fc2■com/

→www■nlftweb■com/lineage/
 →www■rmtfane■com/lineage/jpmm■exe

ここまで確認。
>782の結果と同じなのかな?

784 名前:(^ー^*)ノ〜さん:07/10/24 09:29 ID:iAdbwIwq0
FFの板で同じの見た。構造も >>782 と同じでPacker未使用だけど
こちらはリネージュ2用みたい。ま、検知できるかと。

785 名前:(^ー^*)ノ〜さん:07/10/24 16:28 ID:jp2rjb8b0
【  アドレス   】 http://www■extd-web■com/wiki/
【気付いた日時】 本日16時前頃
【     OS    】 WindowsXP SP2
【使用ブラウザ 】 Seipnir2.5.17 IE
【WindowsUpdateの有無】 1週間ほど前
【 アンチウイルスソフト 】 NortonInternetSecurity2006 3ヶ月試用版 (1月ほど前に更新切れ)
【その他のSecurty対策 】 特に無し
【 ウイルススキャン結果】 現在スキャン中
【スレログやテンプレを読んだか】Yes
【hosts変更】 無
【PeerGuardian2導入】 無
【説明】
とりあえずガンホーのパスとアカウントのPassを変えてきました
ダメもとで期限切れのノートン先生でスキャンしてますがやっぱり見つかってない様子です

>>766,767で出ていますがどうすればいいでしょうか

786 名前:(^ー^*)ノ〜さん:07/10/24 16:53 ID:Nn2zTPbC0
>785
色々突っ込みたい点があるが、
>とりあえずガンホーのパスとアカウントのPassを変えてきました

これは安全な別PCで変えたんだよな?
もしそのPCで変えたなら自爆した事になって、最悪現在進行形で
ハクられてアイテム強奪されてる最中、って事にもなる。

テンプレ・過去スレ読んだのなら何をすればいいかは判ると思うが
まず安全なPCで再度PASS変更。
次いでカスペのオンラインスキャンも使って再チェック。

それと日進月歩で日々進化してるウィルスに対して、期限切れのアンチ
ウィルスソフトは張子の虎に等しい。
さっさと更新するなり、別のものに乗り換えるなりすべし。

787 名前:(^ー^*)ノ〜さん:07/10/24 17:05 ID:jp2rjb8b0
>>787
>これは安全な別PCで変えたんだよな?
はい、2PC側でアドレスを踏んでしまったので本PCで変えました

とりあえずこれから抜いていたLAN繋いでオンラインスキャンやりたいと思います

セキュリティソフトは今手元にフレッツウィルスクリアがあるのでそちらを使いたいと

788 名前:(^ー^*)ノ〜さん:07/10/24 20:59 ID:s0xvMLaJ0
>>787
>フレッツウィルスクリア
これって、トレンドマイクロのOEM、つまり中身はほぼバスター君なんだよね。
なんというか微妙。
ttp://www.ntt-east.co.jp/release/0702/070226d_1.html

789 名前:(^ー^*)ノ〜さん:07/10/24 22:29 ID:rjJ1+s0c0
>>785
>どうすればいいでしょうか

・よくわからない
・ブロックできなかった可能性がある

→OS入れなおしコース

・ブロックに成功した(今回はあてはまらない)
・置かれているものが検出可能なソフトで出てこないため、入手前に切断が間に合った
 可能性が高いと判断でき、自己責任の意味がわかっている
・別のセキュリティソフトで見付けて除去できた

→自己責任でそのまま使う

790 名前:785:07/10/24 22:37 ID:jp2rjb8b0
オンラインスキャンしてみたのですがウィルスの類は検出されませんでした
ついでにウィルスクリア(バスター君)でスキャンもしてみたのですが検出されませんでした

やはりテンプレ通り信用せずにリカバリした方がいいんですかね・・・?

791 名前:(^ー^*)ノ〜さん:07/10/24 22:44 ID:rjJ1+s0c0
>>785
確認してみたが、下記のファイル(Maran亜種)を入手させようとする模様。

http://www■blog-ekndesign■com/wiki/see.exe

Win32/PSW.Maranの亜種

Kaspersky 7.0.0.125 2007.10.24 Trojan-PSW.Win32.Maran.gen
McAfee 5147 2007.10.23 Generic PWS.b
NOD32v2 2613 2007.10.24 a variant of Win32/PSW.Maran
Symantec 10 2007.10.24 Infostealer
VirusBuster 4.3.26:9 2007.10.23 Trojan.PWS.Maran.HC

VirusTotalですり抜けた会社は「FileAdvisor」「F-Prot」の2社のみ。
踏んだアドレスのindex.htmはそれなりに検出率悪いけどね。

ノートンで検出可能な奴ではあるが、パターン1ヶ月更新してないのなら
すり抜ける可能性は否定できない。

踏んだアドレスのindex.htmに"556-65A3-11D0-983A-00C04FC29E36"という文字列があるので
レジストリにその文字列が存在しないかどうか確認することで、発動させてないかどうかを
確認できるかもしれない。

確認時点と踏んだ時点(1週間も差があるし)で同じものが置かれている保証もないし、
やっぱりOS再インストールコースがお勧めですね。

792 名前:785:07/10/24 23:23 ID:jp2rjb8b0
>>791
1週間前なのはWindowsUpdateなのですが('ω`;
確認時点は踏んでから1分弱ぐらいしてでした

それとまだにわかなのでレジストリの見方がわからないんです(´・ω・`)

793 名前:785:07/10/25 00:54 ID:C3Uv2hBt0
連投すみません

レジストリ見てみたら"556-65A3-11D0-983A-00C04FC29E36"という所はありましたorz
ということはやはり起動してるということなんですよねorz

リカバリしてみます(´・ω・`)

794 名前:(^ー^*)ノ〜さん:07/10/25 06:48 ID:MD3ws/Vd0
>>793
あー、うちもあったので、もしかすると、それは正常な奴かもしれん。ま、いいや。(ひどっ)
正常なレジストリと同じ番号に、書き込もうとするのかもな。

(前に1回maran.ff発動させ、PG2にブロックされた時の残骸が残ってたのかもしれないけど)

795 名前:(^ー^*)ノ〜さん:07/10/25 07:50 ID:jX/iPGGc0
>>793-794
該当GUID配下のポインタ先、msadco.dllになっていたので、Microsoft Data Access Components (MDAC)のCLSIDと思われ。
このCLSID自体が存在するのは正常で、MS06-014の脆弱性を狙う為に、そのGUIDが指定されていただけではないかと。

796 名前:(^ー^*)ノ〜さん:07/10/26 11:40 ID:ez699QA/0
最近、一部の掲示板にせっせと書きこまれているもの。

http://www.playonlanei■com/game
-> http://www.playonlanei■com/game/f1.exe

http://www.rmtfcne■com/f11
-> http://www.playonlanei■com/f11/f2.exe

IPアドレスは共に 61.139.126■47 でした。
手元の環境では Symantecがスルー、Kaspersky(AVS)が捕捉。

JavaScrpitから VBScriptを呼び出し Adodb.Stream使って
ダウンロードさせようとする昔流行ったやつです。

797 名前:(^ー^*)ノ〜さん:07/10/26 12:23 ID:De2uhy520
某職外部板で発見

221 名前:ヒール回復774さん Mail: 投稿日:2007/10/26(金) 11:24:24 [ RanTuTko ]
或鯖をうろつく「ネタDE」の
lineageinfo■blog123■fc2■com

-> www■fc2weday■com/lineage
---> www■rmtfane■com/lineage/jpmm■exe

多分>782-784と同じもの。

798 名前:(^ー^*)ノ〜さん:07/10/26 13:34 ID:OIJaFPoe0
>>796
APNIC Whois Databaseで調べるとChina Telecomなので中国のようですね

inetnum: 61.139.0.0 - 61.139.127.255
netname: CHINANET-SC
descr: CHINANET Sichuan province network
descr: Data Communication Division
descr: China Telecom
country: CN
admin-c: CH93-AP
tech-c: XS16-AP
mnt-by: MAINT-CHINANET
mnt-lower: MAINT-CHINANET-SC
status: ALLOCATED NON-PORTABLE
changed: hostmaster@ns.chinanet.cn.net 20000601
changed: hm-changed@apnic.net 20040927
changed: hm-changed@apnic.net 20041126
source: APNIC

799 名前:(^ー^*)ノ〜さん:07/10/26 14:28 ID:TgZUPltP0
報告ならび検体射出おつかれさまです。
いつものまとめサイト用のhost追加分です。
突っ込みあればまたよろしくお願いします。

127.0.0.1 www■xmdir■com
127.0.0.1 xmdir■com
127.0.0.1 oblivion■playersvillage■com
127.0.0.1 www■puksins■com
127.0.0.1 puksins■com
127.0.0.1 www■8568985■com
127.0.0.1 8568985■com
127.0.0.1 applineage■blog123■fc2■com
127.0.0.1 www■playonlanei■com
127.0.0.1 www■rmtfcne■com
127.0.0.1 playonlanei■com
127.0.0.1 rmtfcne■com
127.0.0.1 lineageinfo■blog123■fc2■com
127.0.0.1 61■139■126■47

>>797氏のrmtfaneは既出ですが、
>>796氏のrmtfcneの後に見ると一文字違いで色々やってるなーとか…
でもrmtって時点でOUTなんですけどね。

800 名前:(^ー^*)ノ〜さん:07/10/26 17:03 ID:aEaW9Zpc0
>799

hosts追加分のapplineageのFC2ブログ凍結確認、ゴルァ入ったと思われ。

801 名前:(^ー^*)ノ〜さん:07/10/26 21:00 ID:YNs95Imm0
>>796
シマンテック以外の有名所は全部捕獲してましたね。
シマンテックと、index.htmを検出できなかったとこに検体送付しました。

802 名前:(^ー^*)ノ〜さん:07/10/27 20:42 ID:FK6srLnL0
検出できなくて正直スマンテック

803 名前:(^ー^*)ノ〜さん:07/10/28 23:39 ID:2YciBbpg0
こういうの初めてです。アカハックなのかどうか正直わかりませんがかきこませていただきます。
【  アドレス   】 【気付いた日時】 本日23時
【     OS    】 WindowsXP SP2
【使用ブラウザ 】 FIREFOX
【WindowsUpdateの有無】 不明、自動更新
【 アンチウイルスソフト 】 AVAST
【その他のSecurty対策 】 spybot adware ルーター有
【 ウイルススキャン結果】 現在スキャン中
【スレログやテンプレを読んだか】Yes
【hosts変更】 不明
【PeerGuardian2導入】 不明
【説明】
外部リンクになっており、いくとなかなか表示されなくてすぐけした。
するとメッセなどがでるモニターの右下のところに英語の文章がでてきて、
キャンセルをクリックすると再びさきほどのHPを表示しようとした模様。
HPがでるまえに消したものの訳がわからずにここに書き込みさしていただきました。

804 名前:(^ー^*)ノ〜さん:07/10/28 23:44 ID:2YciBbpg0
こういうの初めてです。アカハックなのかどうか正直わかりませんがかきこませていただきます。
【  アドレス   】 http://quest■rowiki■jp/
【気付いた日時】 本日23時
【     OS    】 WindowsXP SP2
【使用ブラウザ 】 FIREFOX
【WindowsUpdateの有無】 不明、自動更新
【 アンチウイルスソフト 】 AVAST
【その他のSecurty対策 】 spybot adware ルーター有
【 ウイルススキャン結果】 現在スキャン中
【スレログやテンプレを読んだか】Yes
【hosts変更】 不明
【PeerGuardian2導入】 不明
【説明】
外部リンクになっており、いくとなかなか表示されなくてすぐけした。
するとメッセなどがでるモニターの右下のところに英語の文章がでてきて、
キャンセルをクリックすると再びさきほどのHPを表示しようとした模様。
HPがでるまえに消したものの訳がわからずにここに書き込みさしていただきました。

どうでしょうか?大丈夫なのでしょうか。

805 名前:(^ー^*)ノ〜さん:07/10/28 23:56 ID:dLTqjRk/0
>負荷分散のためメインサイトのトップページへのアクセスに限り、タイミングによってミラーサイトの紹介を出しています。

トップのことを言っているのか書き込まれたリンクを踏んだのか???なんだが

806 名前:(^ー^*)ノ〜さん:07/10/29 04:27 ID:abropUFW0
英語の文章をここにかいてほしい
右下はタスクバーであって駐在ソフトの表示だから
ALT+CTRL+Delでタスクマネージャを動かして
何のアプリが起動しているのかを確認

807 名前:(^ー^*)ノ〜さん:07/10/29 09:26 ID:ICXygSSC0
>806
返事ありがとうございます。

英語の文章はキャンセル押したときに消えてしまい何がかいてあったかはわかりません。
1・2行の文ではなく4・5行ありました。
タスクマネージャーもきがまわらずみてません。現状ではこれといって動いてるアプリはありません。
Avastのスキャンではウィルスは発見されませんでした。

808 名前:(^ー^*)ノ〜さん:07/10/29 10:46 ID:74dWAzTI0
>>800
先のアドレスは凍結されたそうで、ご報告ありがとうございます。
少しでも危険が減ってよかったです。
hostファイルに残しておいても現状問題ないかと思われますので
記述はそのままでも大丈夫かな…と。

>>804
ROクエスト案内所のURLエンコードされていないアドレスを入力すると
"ミラーサイトのご案内"のページが時々表示されるようです。
本来のトップページ(メインとミラーに)その旨が書いてあります。
一応、クエスト案内所は管理者のほうで改竄されないようにしているとの事。

Avastが反応したのであれば
その時間帯に何に反応したかのログが残っている筈なので確認を。
spybotや他の常駐が反応したのであればそちらも併せて。

809 名前:(^ー^*)ノ〜さん:07/10/29 11:04 ID:x8TvKtTQ0
クエスト案内所のトップ(quest.rowiki.jp/)にアクセスしたときに出る
ミラー紹介部分は「wikiによるページではない」ので、wiki改竄問題は
少なくともありえない。

810 名前:(^ー^*)ノ〜さん:07/10/29 16:30 ID:KQiMtwSM0
http://quest■rowiki■jp/ を踏むだけならなんともない
右下で何か動いたというのなら別のアプリケーションが原因
というより、わざわざ右下で親切に教えてくれる垢ハックウイルスなどはない
感染させたことをバレないようにしないといけないから

たしか23時ぐらいならクエストwikiはビジーで表示されにくかっただけのはず

811 名前:(^ー^*)ノ〜さん:07/10/29 16:45 ID:XH+vM2Ci0
デマウィルスの流れだな

812 名前:(^ー^*)ノ〜さん:07/10/29 17:06 ID:by+aiWZw0
レン鯖のメンテのタイミングだったとかかね?
ttp://www.inetd.co.jp/

813 名前:(^ー^*)ノ〜さん:07/10/29 17:12 ID:x8TvKtTQ0
あーもしかして、iframe内のamazon広告のことか?

iframe内だけ、セキュリティソフトの広告ブロック機能で表示がブロックされたとか
或いは、amazon側が重くてiframe内だけタイムアウトして表示されなかったとか。

814 名前:804:07/10/29 23:46 ID:ICXygSSC0
みなさまご返答ありがとうございます。
Avast、Adaware、Spybot&Searchではとりあえずあやしいものは発見されませんでした。
一応リカバリーせずにおいて、もし何かあったらここに内容をしっかりかいてROは引退しようとおもいます。
答えていただいたみなさまありがとうございます。

815 名前:(^ー^*)ノ〜さん:07/10/29 23:48 ID:nHDZsPad0
しとけばいいのに…、OS入れ替えなんてそこまで手のかかるような物かな

816 名前:(^ー^*)ノ〜さん:07/10/30 00:00 ID:7f+uc0MQ0
セキュリティソフトいれたりWUしないといけないからな
メーカー製のPCだとWU適用のリカバリCD作れない事もあるだろうし

817 名前:(^ー^*)ノ〜さん:07/10/30 03:07 ID:M4y909Vz0
HDDイメージ作成ソフトとか、便利なものもあるから何らかの手段を講じた方が、万が一の時に楽にはなるけど。
ウィルス感染以外にも、停電とか経年劣化によるクラッシュだってあるし、場合によってはユーザーデータ類まで巻き込まれるのだから。
起動不能に陥ってから、中のデータを今さらのように心配する人が何気に多い。

818 名前:796:07/10/30 22:48 ID:L9j6MZpQ0
検体採集先で捕獲漏れ見つけたので追加報告します。

http://www.webmastei■com/weeb/
-> http://www.playonlanei■com/weeb/f3.exe

IPアドレスも手口も同一。
Symantecがスルー、Kaspersky(AVS)が捕捉なのも一緒。
f?.exeシリーズのドメインの先は同一とみられ、相互に置き換え可能です。

819 名前:(^ー^*)ノ〜さん:07/10/30 23:14 ID:IOb7Iskj0
>>818
就寝前の検体提出いってきまー(^^)ノシ

NOD32
index.htm - JS/TrojanDownloader.Small.DW
f3.exe - Win32/PSW.OnLineGames.FCJ

Kaspersky
index.htm - Trojan-Downloader.JS.Agent.dj
f3.exe - Trojan-PSW.Win32.OnLineGames.fcj

McAfee
index.htm - (Not Detected)
f3.exe - PWS-FFantasy

Symantec
index.htm - (Not Detected)
f3.exe - (Not Detected)

VirusBuster
index.htm - JS.Psyme.DH
f3.exe - Packed/Upack

Avast
index.htm - (Not Detected)
f3.exe - Win32:Agent-IOV

820 名前:(^ー^*)ノ〜さん:07/10/31 09:00 ID:GogxnCkB0
>VirusBuster
これ日本で使ってる人いるの?

821 名前:(^ー^*)ノ〜さん:07/10/31 09:33 ID:ntLmyqA10
>>820
お前は何を言ってるんだ

822 名前:(^ー^*)ノ〜さん:07/10/31 09:46 ID:8mRHA5Ws0
VirusBusterとはこれのこと。
ttp://www.virusbuster.hu/

823 名前:(^ー^*)ノ〜さん:07/10/31 13:11 ID:M9xGrbn60
海外プレイヤーでそれ使ってる人が被害にあう可能性もあるわけだし
検体提出して悪いってことはなくね?

824 名前:(^ー^*)ノ〜さん:07/10/31 21:51 ID:GogxnCkB0
悪くはないけど、AntiVirやBirDefenderやDr.WEBのほうがまだ利用者多いと思うよ。
ウイルスバスターは海外ではPC-cillin。
ぶっちゃけハンガリーのVirusBusterと勘違いしたんでしょ?
バスターの検知の有無は
ttp://scanner.virus.org/
でどうぞ。ただここSymantecやKasperskyが無いので
VirusTotalやJotti併用したほうがいいかもね。

825 名前:(^ー^*)ノ〜さん:07/11/01 07:50 ID:eSIcsqL40
www■mbspro6uic■com/yutangff/ffzuotu.jpg
Content-Typeがimage/jpegなのでFirefox3では表示されない。
実際はiframe入りのHTMLで、Content-TypeをシカトするIE7では表示。
www■mbspro6uic■com/yutangff/ffyu.htm
US-ASCII(7bit)に128を加えて8bit化したもの。Firefox3では(略)IE7では(略)。
www■mbspro6uic■com/yutangff/naiff1.exe
FFのトロイ。

昔はほとんど無かったのに、今はFF多いなぁ。

826 名前:(^ー^*)ノ〜さん:07/11/01 17:46 ID:eSIcsqL40
www■blogplaync■com/chengzhi.exe
以下の3匹をダウンロードして実行するダウンローダ。
www■twsunkom■com/1t1.exe
www■twsunkom■com/2ff11.exe
www■twsunkom■com/3ro.exe
名前のとおり上からリネージュ、FFXI、ROのトロイかと。
twsunkomとはちょっと懐かしいドメインだw

あと 218■75■145■123:3000/tianyh/6b/nj/qq.exe
も実行? QQ(中国のメッセンジャ)用トロイなのか
単なるQQクライアントなのかは不明。

827 名前:(^ー^*)ノ〜さん:07/11/01 17:53 ID:Z3gji2PP0
検出率最低で正直スマンテック

828 名前:(^ー^*)ノ〜さん:07/11/02 18:04 ID:ZBD6V00L0
福建人の罠ドメインを発見、既に攻撃に使われている。
www■homepagenir■com/linef1

最近のお約束でIPは四川、登録住所は福建竜岩。
Registrant Contact:
guo yong dan
yong dan guo guoyongdan@126.com
0597-28825252 fax: 138069999933
Fujian longyan
longyan Fujian 364000
cn

829 名前:(^ー^*)ノ〜さん:07/11/03 08:49 ID:izrdVh8V0
垢ハック露店から闇ポタを利用して
蛾に羽を5Mで売りつけた人
http://necr2.exblog.jp/6750183/#6750183_1

830 名前:(^ー^*)ノ〜さん:07/11/03 10:18 ID:UKcCfp6K0
>>829
>被害や攻撃等のアカウントハックの具体的事例に関して扱います。
Urdrのノーマナープレイ情報はスレ違いです。

>対策・相談・雑談は>>2に有る雑談スレを利用して下さい。
セキュスレ(雑談スレ)をご利用下さい。

831 名前:(^ー^*)ノ〜さん:07/11/03 12:30 ID:3h+C6Gc/0
>>828
www■playonlanei■com/linef1/f4.exe

あと >>826 と同じ方式のもの。
www■gtvxi■com/xia.exe
から
www■gtvxi■com/fnai.exe
www■gtvxi■com/tnai.exe
www■gtvxi■com/rnai.exe
順にFF11、リネージュ、ROのトロイ。

832 名前:(^ー^*)ノ〜さん:07/11/03 13:29 ID:UKcCfp6K0
>>831
Eset SmartSecurtyβ(NOD32)
index.htm - JS/TrojanDownloader.Small.DW トロイの木馬
f4.exe - Win32/PSW.OnLineGames.FCJ トロイの木馬

rnai.exe - Win32/PSW.Maran.FF トロイの木馬
fnai.exe - Win32/PSW.OnLineGames.FCJ トロイの木馬
xia.exe - Win32/TrojanDownloader.Delf.NJHの亜種 トロイの木馬
tnai.exe - Win32/PSW.OnLineGames.NFFの亜種 トロイの木馬

一応、全機撃墜を確認。

833 名前:(^ー^*)ノ〜さん:07/11/03 15:01 ID:s5/2Iweo0
>829 飛ばされたアカハック露店本人か? 蝶と蛾の区別もつかないのか?

834 名前:(^ー^*)ノ〜さん:07/11/03 15:23 ID:3h+C6Gc/0
狙ってるのか土日は増えるね…。

835 名前:(^ー^*)ノ〜さん:07/11/03 18:25 ID:8qEZcXIu0
とりあえず削除要請じゃないか?829って、あとアンカー付けると視界にはいっちまうぜ?

836 名前:(^ー^*)ノ〜さん:07/11/03 22:06 ID:5hKX/SkE0
安く売る装備を通報しようと思うんだが、
サポセンの迷惑・不正行為ってところでいいの?

837 名前:(^ー^*)ノ〜さん:07/11/03 22:07 ID:UKcCfp6K0
報告は書式にしないと、まとめる人が探しにくいかな?
■で検索して済ませるから大丈夫?

http://gtvxi■com/vistamixi/

落とすものは>>831と同じく
http://www■gtvxi■com/xia.exe
<以下略>

838 名前:(^ー^*)ノ〜さん:07/11/03 22:22 ID:UKcCfp6K0
追記:

www■gtvxi■com/xia.exe
は、>>826に既出の、
218■75■145■123:3000/tianyh/6b/nj/qq.exe
も入手しようとするようだが、サイトに接続できず、本体入手できてません。

839 名前:(^ー^*)ノ〜さん:07/11/04 09:27 ID:kpD8zXmW0
Wiki改竄パトロール中に福建人の罠ドメインを発見。

www■netbenrit■com/8598647
呼び出すもの
www■playonlanei■com/8598647/f5■exe

ちなみに一文字少ないnetbenri.comは存在する、XREAサービス使った日本語のサイトだ。
明らかに錯誤を狙ってるね、そして対日攻撃が主目的ドメインだともいえる。

Registrant Contact:
guo yong dan
yong dan guo guoyongdan@126.com
0597-28825252 fax: 138069999933
Fujian longyan
longyan Fujian 364000
cn

Created: 2007-10-14

840 名前:(^ー^*)ノ〜さん:07/11/04 10:59 ID:K8m143QL0
f1.exeから続いてるFF用だね(f3だけ入手してない)。

841 名前:(^ー^*)ノ〜さん:07/11/04 11:35 ID:eMdq+CYr0
ff5.exe

Avast 4.7.1074.0 2007.11.03 Win32:Agent-IOV
AVG 7.5.0.503 2007.11.03 PSW.Generic5.RYR
Kaspersky 7.0.0.125 2007.11.04 Trojan-PSW.Win32.OnLineGames.fcj
McAfee 5155 2007.11.02 PWS-FFantasy
NOD32v2 2636 2007.11.03 Win32/PSW.OnLineGames.FCJ
Symantec 10 2007.11.04 -

検体提出済みのff4.exeと同じもののようなので、検体提出はパス。
ほっといても対応されるでしょう。多分。

842 名前:(^ー^*)ノ〜さん:07/11/04 21:07 ID:YCeQ4uWV0
>>798以降の報告分のhostです。以下追加分。

127.0.0.1 www■webmastei■com
127.0.0.1 webmastei■com
127.0.0.1 www■homepagenir■com
127.0.0.1 homepagenir■com
127.0.0.1 www■netbenrit■com
127.0.0.1 netbenrit■com

抜きが無いかチェックしてありますがチェックが手作業ゆえあったら平謝り。
なのでBS-Wikiさんの物と比較したほうがよいかもしれません。
後はぶっちゃけ踏まない用心を怠らない事かも。

07/11/04現在、まとめサイトにUPされている07/08/22分以降に発生した物は
次の所に書き込みしてあります。
>>798 >>758 >704 >>659-661 >>389-390

843 名前:(^ー^*)ノ〜さん:07/11/04 21:08 ID:YCeQ4uWV0
>>837
先頃からまとめサイトの中の人では無い纏めている人ですが
今まで通りに罠とか発見とか書いてあればチェック、URLがあればhostファイル内を単語で検索しています。
http:// 部分を抜きにしたアドレスで.のみを■に変換して記述していただければ
検体提出な方々共々正確なアドレスが把握できるので助かります。


ふと、>>838の報告でありました218■75■145■123:3000。
hostに加える際 :3000の部分まで記述すればいいのか判らなくて
IPアドレスのその箇所の名称や記述についてを調べてみましたが内容を把握できませんでした。
よろしければ先輩諸氏にご教授願いたく…。

844 名前:(^ー^*)ノ〜さん:07/11/04 21:59 ID:eMdq+CYr0
>>843
ポート番号はさっくり切ってOK

845 名前:(^ー^*)ノ〜さん:07/11/05 05:57 ID:YJ9v682K0
ttp://cgupload.dyndns.org:8080/~upuser/up/img/1193714265196.jpg
このurlがjpg偽造垢ハクurlといわれたのですが本当にそうなのでしょうか?
見たところROうp板のような気もするのですが・・・

846 名前:(^ー^*)ノ〜さん:07/11/05 05:58 ID:Bw5HgT++0
まずそういう鑑定スレではないし、そこ自体がここのガイドライン違反にあたるリンクであるし、
更にそこの板は直リンも不可。

847 名前:(^ー^*)ノ〜さん:07/11/05 06:57 ID:REPpmtPc0
これが垢ハックurlだった場合、このアドレスを張ったお前が感染を助長しているわけなんだが

848 名前:(^ー^*)ノ〜さん:07/11/05 17:59 ID:FAxxKqkp0
>>844
なるほど、ポート番号だったんですね。ありがとうございます。
さっそく一軒だけですが。

127.0.0.1 218■75■145■123

以下過去追加分 >>842 >>798 >>758 >>704 >>659-661 >>389-390

849 名前:(^ー^*)ノ〜さん:07/11/06 14:06 ID:J9oIcyiA0
ちょっと教えていただきたいのですが、
普段ウィルスバスターを入れていて、今日手動検索をしてみたら、
ファイル(TemporaryInternetFileというフォルダにあった)の一つが、
Packersとかいうウィルスに感染していたようで、隔離されました。
(安全ですとは書いてありました)

調べてはみたのですが、このウィルスがなんだかよくわからなくて・・・。
これはアカハックウィルスかどうかわかるものでしょうか?もしくはどうやったら
調べられるのでしょうか?
また、いつかかったのかわからないので、一応パスワードとかを変えようかと思うのですが、
隔離してあって安全ですと出ているので、このPCでパスを変えても大丈夫なものでしょうか?

850 名前:(^ー^*)ノ〜さん:07/11/06 14:21 ID:/syaR/QE0
>>849

>>1
>重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
>対策・相談・雑談は>>2に有る雑談スレを利用して下さい。

セキュリティ対策、質問・雑談スレ3
http://enif.mmobbs.com/test/read.cgi/livero/1186660300/

ウィルス名でググるなどの方法をお勧めする。あとはセキュスレで改めて聞いてくれ。

851 名前:(^ー^*)ノ〜さん:07/11/06 14:40 ID:J9oIcyiA0
>>850
誘導ありがとうございます。そちらで聞いてみます。

852 名前:(^ー^*)ノ〜さん:07/11/07 15:32 ID:HnBdClJr0
JBBSもどき。
http://www.jbbslivedoor■com/ (61.139.126■16)

http://www.jbbslivedoor■com/mmghaoyk/ (Microsoft.XMLHTTP)
-> http://www.jbbslivedoor■com/mmghaoyk/haoyk.htm
 super IE 0Day難読化 (US-ASCIIのあれ)
-> http://www.jbbslivedoor■com/mmghaoyk/haoyk.cur
 アニメーションカーソル脆弱性

古典的な手法で、symantecでも検知できました。

おまけ。
先月末にばらまかれてたけれど、今日現在ドメインの登録がないもの。
http://www.irisdtijp■com/playonline/

853 名前:(^ー^*)ノ〜さん:07/11/07 18:40 ID:D+Y1MI4b0
できればドットは全部を置換して欲しい。

.comとか.netとか勝手に補完してくれる余計なお世話機能が世の中には
ありまして・・・

854 名前:(^ー^*)ノ〜さん:07/11/07 18:50 ID:gdi6/cNV0
余計なお世話機能切ればいいんじゃね?

855 名前:(^ー^*)ノ〜さん:07/11/07 20:47 ID:Yv49dW//0
著中までアドレスなってると確かにちょっとビックリするけどなw
wwwのあとの.を■にすればおkかな?

856 名前:(^ー^*)ノ〜さん:07/11/07 20:48 ID:Yv49dW//0
途中でした。まぁ一つ一つの危険性をキッチリ潰していこう。

857 名前:(^ー^*)ノ〜さん:07/11/08 10:24 ID:nMAKKzHL0
>>853
そんな機能あるわけがない
全部■になっていないのが気に入らないからって、妄想持ち出してんじゃねーよ

858 名前:(^ー^*)ノ〜さん:07/11/08 11:43 ID:Afkuxqb+0
>>857
火狐にはそういった補完をするようなプラグインがあるという話しが以前出ている。
そもそも、そういう機能の有無以前の問題として
可能な限りリスクを軽減する行為として行っているわけで
自分は無関係だ安全だ、などと言うような身勝手な理由は通用しない。
だから、一部ではなく*全て*を置きかえるべきだと言われている。

859 名前:(^ー^*)ノ〜さん:07/11/08 11:53 ID:x9fKNE3x0
何か数スレ前にも同じやりとり見たな。

見た目もややこしいし、ブラウザやらで勝手に補完されても困る。
置換無しの生は論外だが、一部の置換も全部の置換も、そう手間も変わらない。

報告のURLで事故が発生したら元も子もない。
だから危険を避けるためにも報告する人は全部「.」は「■」に置き換えるように心がける。

しかし報告する人が善意で報告・変換してるんだから、一部しか置換されてなくても
文句は言わない。
全置換を心がけてもらうように「お願い」するのはいいが「文句」「強制」はよろしくない。


前のときもこんな感じで話は終わってるので、ループネタでスレ流すのはやめよう。

860 名前:(^ー^*)ノ〜さん:07/11/08 11:56 ID:RAHr6xQ80
できれば置換して欲しいと言ってるだけなのに、気に入らないだの妄想だの
噛み付いてる方がどうかしてる。

861 名前:(^ー^*)ノ〜さん:07/11/08 12:22 ID:FDBBZY7B0
>>857-861
>>856,>>859が結論かと。

862 名前:(^ー^*)ノ〜さん:07/11/08 15:12 ID:W9m3bsUc0
昔はテンプレに火狐の補完機能があるから全部■に置き換えようって書いてなかったっけ。
気のせいだったかな。

863 名前:(^ー^*)ノ〜さん:07/11/08 16:02 ID:qASu7sj60
FirefoxのURI補完(キーボードショートカット)
ttp://www.mozilla-japan.org/support/firefox/2.0/references/keyboard

about:configで、www prefix/TLD suffixの自動補完を停止する方法
http://nhh.mo-blog.jp/ttt/2006/10/firefox__bf2b.html
>「browser.fixup.alternate.enabled」をfalse

864 名前:(^ー^*)ノ〜さん:07/11/08 20:20 ID:iEFexKRA0
頻繁に追加です。

127.0.0.1 www■jbbslivedoor■com
127.0.0.1 jbbslivedoor■com
127.0.0.1 61■139■126■16

過去報告分は
>>842 >>798 >>758 >>704 >>659-661 >>389-390
以上を、まとめサイトの07/08/22分hostファイルの後ろに
追加、■を変換して使用してください。
ROアカウントハック対策スレ http://sky.geocities.jp/vs_ro_hack


ちょっと落ち着いているようにも見えますが
単に過去報告罠でも十分という事で手を打ってこないのか不気味ではあります。

>>856 >>859 >>863
フォローおつかれさまです。
ギコナビみたいな機能がFireFoxにもあるのですね。
便利ではあるのですが罠だと思うと確かにドッキリしてしまう所。


早い話ですが次スレに行ったら、
ここで報告した分が埋もれてしまいそうな予感。
まとめサイトの人のように、その場つなぎでもどっか借りてUPするほうが
スレが流れなくなるのでよいのかも?
次スレの最初のほうに纏めて記述するという手もありますけども…。

865 名前:(^ー^*)ノ〜さん:07/11/08 20:51 ID:x9fKNE3x0
>864
ついでに言えば、テンプレ整備もそろそろいないといけないわけで。
(セキュスレ側もそうだが、毎回ズルズルと未整理のまま次スレに進んでる)

追加分をどうするかも含めて、セキュスレの方で話し合った方がいいと思う。
こっちで話すると必要情報が埋もれるだろうしね。

866 名前:(^ー^*)ノ〜さん:07/11/08 21:47 ID:FDBBZY7B0
>>864
セキュスレの現行仮テンプレにあるセキュリティWikiにページ作ったらどうかな。

867 名前:(^ー^*)ノ〜さん:07/11/09 04:40 ID:+1ieR6fu0
ROに既にログインしてて、裏作業中に垢ハックアドレス踏んだんだけど、
そのままRO落としてOS再インストールっていう流れならもうログインしておkかな?

868 名前:(^ー^*)ノ〜さん:07/11/09 05:14 ID:DFqnEHYT0
たぶんおk

869 名前:1/3:07/11/09 14:52 ID:YbzDLBd30
エラースレの785です。IDとかが変わっているのは、あの書き込みの直後に寝たからです。
今までの情報とこちらに引っ越してきた経緯は
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1188398830/ の826以降を見てください。
アカハックに合うのは自分の不注意、というのは重々承知しておりますので、
その段階の罵倒は心の中に留めていただけたらと思います。

まず、あちらのスレでは直接必要ではないと思い、出してなかった情報がいくつかあります。
当方、アカハックの被害2回目です。2つのアカウントのうち、最初と今回で
それぞれ1アカずつ装備や金を持っていかれた形になります。
最初のハック被害は9月。この際はここのスレでは書き込んでおりませんが、
「危険だ」と警告されたサイトを閲覧してしまい、そこから感染しました。
ROとは直接は関係の薄いサイトですが、おたく趣味を持っている人なら見る可能性があるところでした。
現在は、そのサイトに対して「警告」表示は出ていないようです。

当方、PCが合計3台あり、ウイルスソフトでのチェックの結果、
そのうちの1台のWIN2Kのマシンに感染していることが判り、avastにて駆除しました。
その後は、avastと、ひとつだけでは発見できない可能性もあるということで
NOD32のふたつを入れ、新規アカなどの、被害にあってもあまり痛くないアカウントで
ログインを試して様子を見るなどしていました。
こういったハッキングの連中は、キャラをまず倉庫に移動するため、
溜まり場などでログアウトしたのに倉庫前にキャラがいる、などという現象で
確認できると理解しています。
本命アカでのログイン等を繰り返してもハックされる様子が無かったので、
駆除できたものと理解して、ここ2-3週間は2kマシンも同時に活用していました。

870 名前:2/3:07/11/09 14:53 ID:YbzDLBd30
しかし6日のパッチ以降、2Kのマシンだけログインできなくなってしまいました。
何度試してもダメだったことと、エラースレの住人が貰っているテンプレ回答には
「セキュリティを切ってみろ」とあるので、とりあえずそれを試してみましたが
やはりログインはできませんでした。
この2Kのマシンでは最初のハック以降、ブラウザによるサイトの閲覧はしていなかったのですが、
このセキュリティを切っている間、2箇所だけ閲覧しました。
上記のエラースレの826で書いてあるように、ガンホー公式とUnlockerの検索グーグルと、
そのサイトのみです。
ガンホー公式は、ここは不注意が過ぎましたが、エラーメッセージを送信しろというようなことが
メッセージ自体に書いてあったため、また、そのメッセージが当方には意味不明の
ただの長い英文の羅列にしか見えなかったため、手打ちで再現することは難しく、
サポートセンターからそれを届けるために、ガンホーIDとパスも打ち込みました。
従って、それらも漏れた形になります。

しかし気味が悪いのが、今回セキュリティを切って以降に、一度もキャラパスを打ち込んだことが
ないのに、キャラにまで進入された点です。
(キャラパス入力画面以前にエラーが出てしまっていた)
残りの2台のマシンの感染を疑いましたが、とりあえず、avastでのチェックからは何もでませんでした。
2Kのマシンからは、avastでウイルスが4つ発見されました。
考えられるのは、最初の感染のときに完全に駆除できていなかったが、、ウイルス対策ソフトを
常駐させることによって、その情報が外に漏れるのを防いでいたのかな?と。

871 名前:3/3:07/11/09 14:56 ID:YbzDLBd30
余談ですが、ギルメンと談笑していたその場に、現れるわけのない自分のキャラが出現したときは
さすがにびっくりしましたね。
ここ1週間くらい、私は2PCで同じキャラで間違ってログインしようとしてもキャラが落ちない現象が
おきています。ギルメンは、実際に試してみても、落ちると言っています。
ハックキャラが出現したときに、そのキャラでのログインを試みたのですが、
上記のようにキャラ落としができていなかったか、もしくは
ガンホーIDパスを知られてアカパスを変えられていたか、あるいは単に私の入力ミスだったのかもしれません。
ちょっと冷静さを欠いていた状態だったので、どれの可能性もあるかと思います。

長文失礼いたしました。何かの参考や注意喚起になれば幸いです。

872 名前:(^ー^*)ノ〜さん:07/11/09 15:20 ID:afGLxNHI0
できればどこを踏んで感染したかを書いてほしいな
もちろんドットを■にして
それとできるだけ簡潔に

>>考えられるのは、最初の感染のときに完全に駆除できていなかったが、、ウイルス対策ソフトを
>>常駐させることによって、その情報が外に漏れるのを防いでいたのかな?と。
対策ソフトで情報が出るのを防ぐってことはそのウイルスを感知できてなきゃできない、と思う
avastの警告文無視してたなんて事はないと思うから、おそらく常にだだ漏れ状態
(ウイルスは感染してからセキュリティ入れてもウイルスが見つからなくなるってこともある)

3回目を食らいたくない、と思うなら2kのマシンをフォーマット→再インストールがお勧め
あと、2kで繋がらない理由はここでもわからないと思う

873 名前:(^ー^*)ノ〜さん:07/11/09 15:21 ID:TEwvVln20
ご愁傷様です・・・
前の時に既に抜かれていていいアイテムが増えると判断して泳がされていたか、まだ残ってたかですかね。
今は向こうも続々と新しいものを開発してくる為、全てのセキュリティソフトを入れても発見できるかも怪しく、
正直防ぎきるのは無理みたいな状況ですので、アドレスの確認やPG2などのあらかじめ対策、
及び踏んだら有無いわずフォーマットからOS再インスト以外安心できない状況です。

874 名前:(^ー^*)ノ〜さん:07/11/09 15:40 ID:7kDc7Hei0
>869
エラースレの832です。

・以前被害に合ってる
・今回セキュリティOFFにした時、キャラパスを入力してないのにハク被害にあった
・ウィルス4つ見つかった(これは今回?)
・今回Webサイト等は危険な所は見ていない

恐らくとしか言えないけど、キャラパス含めてPASSは昔に抜かれていて、今まで
泳がされていたんだと思う。
それが今回のタイミングでハク犯が行動に出たので被害に合った。

2kでRO蔵起動不可になってたのは、多分トロイとavastとnProが干渉した結果だろうし
今回のnPro更新によるトラブルが無かったとしても、被害にあってた可能性は
高いんじゃないかな……

いずれにしても、癌に対して報告入れて、癌IDのPASSやらは安全なPCから変更。
2度ある事は3度ある、じゃないが、爆弾抱えたままなのは何かと不味い。
Win2kのPCはOS再インストール、という風にした方がいいと思う。
後hostsの変更やPG2の導入等も併せて、クリーンな環境を作った方がいいと思います。

875 名前:896:07/11/09 16:16 ID:YbzDLBd30
再インストールは必至だなと痛感いたしました。
それをしなかったのが、一番の原因ですね。

www■oekakibbs■com/
最初のハックは、恐らくこのサイトから感染したものと思われます。
今はなんともないと思いますが、グーグルでこのサイトを検索したときに、
検索結果画面に、危険なサイトであるという警告が出ていました。
ROやMMOからは大分遠い気もしますが、被害に遭ったタイミングや
PCのおかしな挙動を考えると、この時にしか心当たりがありません。

876 名前:(^ー^*)ノ〜さん:07/11/09 17:48 ID:9RgyHnTn0
>>870
>2Kのマシンからは、avastでウイルスが4つ発見されました。
そのウイルス名がログに残ってるだろうから出せと。

>>871
>ここ1週間くらい、私は2PCで同じキャラで間違ってログインしようとしてもキャラが落ちない現象が
2PCなら再現実験できるだろう。片方のPCで接続中に、もう1台から同じ垢に繋ごうと
試みることで確認できる。

>ガンホーIDパスを知られてアカパスを変えられていたか、あるいは単に私の入力ミスだったのかもしれません。
この辺はきちんと確認し、「安全な環境」からパスワード変更しておきましょう。

877 名前:(^ー^*)ノ〜さん:07/11/09 18:43 ID:GwOzwIUt0
>>875
www■oekakibbs■com
ではなく
www■game-oekakibbs■com
じゃないかい?ブラウザの履歴を見て要確認の事。
前者は真っ当なサイトだから鯖クラックされて無い限りありえない気が。

色々言いたい事も有るがそれは仰る通り胸に秘め、とりあえずは
テンプレフォーマットで報告してくれい。

878 名前:(^ー^*)ノ〜さん:07/11/09 21:28 ID:/zpf+JDX0
1

879 名前:(^ー^*)ノ〜さん:07/11/09 21:46 ID:KhZNDn2I0
質問してもいいでしょうか?
ぴころだ等に上がってる画像とかにウィルス感染の可能性等はあるのでしょうか?

880 名前:(^ー^*)ノ〜さん:07/11/09 21:48 ID:GwOzwIUt0
>>499
そういうレベルの話は以下のスレで。

セキュリティ対策、質問・雑談スレ3
http://enif.mmobbs.com/test/read.cgi?bbs=livero&key=1186660300

881 名前:(^ー^*)ノ〜さん:07/11/09 21:50 ID:GwOzwIUt0
レス番ミス 879ね。ついでに簡潔に答えるとYes。状況も色々あるので詳細はそっちのスレで。

882 名前:(^ー^*)ノ〜さん:07/11/10 00:32 ID:3N711PE+0
869です。以前の書き込み時以降、なぜかこの板への書き込みが
できなくなってしまいました。
「書き込みました」の表示は出るのにそれが反映されません。
友人に代理で書き込みをお願いしたのが今回です。

【      気付いた日時          】2007年9月12日
【不審なアドレスのクリックの有無 】www■oekakibbs■com
【他人にID/Passを教えた事の有無】 (No)
【他人が貴方のPCを使う可能性の有無】 (No)
【    ツールの使用の有無      】 (No)
【  ネットカフェの利用の有無    】 (No)
【     OS    】WIN2K SP3
【使用ブラウザ 】IE7
【WindowsUpdateの有無】無
【 アンチウイルスソフト 】無
【その他のSecurty対策 】 ルータ
【 ウイルススキャン結果】avast!!Home4.7でスキャン
Agent-JRH[Trj]、Onlinegames-AR...、Hupigon\DCB[Trj]、Agent-JR...
の4つを検出

883 名前:(^ー^*)ノ〜さん:07/11/10 00:35 ID:3N711PE+0
【スレログやテンプレを読んだか】 (Yes)
【hosts変更】(無)
【PeerGuardian2導入】無

884 名前:(^ー^*)ノ〜さん:07/11/10 00:40 ID:3N711PE+0
【説明】
最初のアカハックにあった時の状態です。
セキュリティ対策が甘いなんてもんじゃない状態だったのはとりあえず置いといて。
上記サイトにつきましては、私もまっとうなサイトだと思うのですが、
当時グーグルで検索をかけたときに、このような表示がされておりました。

885 名前:(^ー^*)ノ〜さん:07/11/10 00:50 ID:3N711PE+0
(ぴころだ・ベル鯖の「アカハック対策スレ869」のファイルがこれです)
ギルメンにも確認してもらったところ、グーグル検索で同じ表示が出たそうです。
が、暫くの後、この警告は表示されなくなり、今もされておりません。
上記のサイトを訪れた後、PCの時計がリセットされたりと不審な挙動が見られたことと、
訪問後、1つのアカウントでだけログインしたのですが、そのアカのみ被害に
あっている点から、当時は何か怪しい投稿があったんのではないかと思っています。

886 名前:(^ー^*)ノ〜さん:07/11/10 01:10 ID:OX7KwyqA0
>>884
テンプレに沿って報告して貰ったので色々調べる事が出来ました。
>www■oekakibbs■com
日時がわかったのでその際との掲示板をあさったところ
http://www.oekakibbs.com/normalbbs/request/treebbs.cgi?act=treesel&tree=7877
これ、先日の報告(>>778)と同じパターンやんと気づいたので色々調べたところ
やっぱり危険なサイトだったようで。DomainToolによると

http://whois.domaintools.com/bainmba■com
owner-lname: jaingqen
owner-street: fujian
owner-city: longyan

あーあ。多分クラックされていたんでしょうな。
しっかし>>778のサイトと同じくクラックされていた事に関するアナウンスとか全然
なされてないのな。ダメダメジャン。あまつさえ、管理人でないとはいえ『安全です』って
いう発言。終ってるわ。

あと、
> 【     OS    】WIN2K SP3

ありえへん。最新はSP4でしょう?WindowsUpdateやってないっしょ?
今からでも遅くは無い、やっときなさい。そして自動更新設定にでもしときなさい、
自信が無いのなら。

887 名前:(^ー^*)ノ〜さん:07/11/10 01:16 ID:OX7KwyqA0
ごめ、そのサイトの掲示板のその問題に関する該当スレを全部挙げてなかった。
http://www.oekakibbs.com/normalbbs/request/treebbs.cgi?act=treesel&tree=7855
http://www.oekakibbs.com/normalbbs/discussion/normalbbs.cgi?mode=allarticle&tree=9912&page=1

888 名前:(^ー^*)ノ〜さん:07/11/10 03:17 ID:q59zotBy0
実際に被害者出たし安全じゃないって突っ込みいれる方がいいんだろうかね?
結構見た事あるリンクだし、密かに喰らっている人とか多いかもしれんな。

889 名前:(^ー^*)ノ〜さん:07/11/10 10:36 ID:AO3ABq2i0
よくみる掲示板アドレスだと思ってた…
同じように泳がされてる潜在的被害者がもしかしてまだまだいたりするのか
これ以上もう被害者出て欲しくない……

890 名前:(^ー^*)ノ〜さん:07/11/10 11:13 ID:q59zotBy0
お絵描き掲示板でぐぐるとTOPに出て来る位だしなぁ・・・
かなり昔に俺もここでレンタルした事あるし・・・かなりの隠れ感染者はいそうな気がする。

891 名前:(^ー^*)ノ〜さん:07/11/10 12:43 ID:ebA+uPUx0
Webサイト4万ページに不正スクリプト トルコのMSNBCも感染
ttp://www.itmedia.co.jp/news/articles/0711/09/news019.html
150ドメインのWebサイト4万ページ以上に不正スクリプトが埋め込まれていたことが発覚した。

ttp://blog.trendmicro.com/hidden-iframes-launch-malware-en-masse/
ttp://isc.sans.org/diary.html?storyid=3621

現時点で yl18■net にアクセスできないため検体が拾えないが、
上記SANSのVirusTotalの結果を見るといつもの中華アカウントハッカーと思われ。

892 名前:(^ー^*)ノ〜さん:07/11/10 13:17 ID:ebA+uPUx0
www■oekakibbs■com
Apache/1.3.26 (Unix) PHP/4.2.1

Apache1.3は現在1.3.39、PHP4は現在4.4.7。
Apache2.2やPHP5とは言わんけど、メンテできないなら
Windows+IISでWindowsUpdateしてたほうがマシだと思う。

893 名前:(^ー^*)ノ〜さん:07/11/10 13:24 ID:nd3S0A/J0
>>891

e総務.comが改ざんされていた。

http://www.e-somu.com/info/info071109.html

894 名前:(^ー^*)ノ〜さん:07/11/10 14:21 ID:W6X/dqLr0
>>869,882
一連の流れから判断すると、アップデートの不備以外にも問題点があるな。
>avastと、NOD32のふたつを入れ
常駐型のセキュリティソフトのちゃんぽん使用は、双方に機能不全を起こす可能性が高く、決して奨められない使用法。
併用するそれぞれの、機能や実装を理解した上でのみ、ようやく使いこなせるやり方。

それと、最初の感染時点で、hostsの定期的改竄や、DNS関係のポイゾニングが仕込まれて、Windows自体やセキュリティソフトの
更新が阻害されていた可能性もある。

度重なる被害はお気の毒だが、結局は、安易に民間療法で治療を試みる事は奨められず、OS丸ごと再インストール、その上で
最新のセキュリティ状況に更新、自信がないならPG2などのIDS/PFWも併用すべきと言う、当たり前の結論に到達する。

895 名前:(^ー^*)ノ〜さん:07/11/10 14:25 ID:ebA+uPUx0
>>891 と同一犯ならavastとNOD32が仲良くスルーしてるしねぇ。
ttp://isc.sans.org/diary.html?storyid=3621

896 名前:(^ー^*)ノ〜さん:07/11/10 20:34 ID:mlRzk+Zi0
いつもはコメント行は消すのですが特殊なんで…。

#7_886 クラック暫定 詳細は>>886
127.0.0.1 www■oekakibbs■com
#7_886 クラック
127.0.0.1 whois■domaintools■com

お絵かき掲示板がらみということで早速該当URLを観に行ってしまった…。
トップページで仕込みをされるとどうにもならないような。
当方稚拙ながら絵を描く人なのでクラック指定するにはアレですが予防は大事。
まあ…もうここ利用して無いんですが。
あの大手Pooツールなお絵かきBBSサイトを利用する人が
上記hostを導入する際には127の前に#つけてコメント行にしてください。

>>866
Wiki形式なので暫定と手軽さでUPし易さはあるのですが
利用する人が注意を払わなければならないという点がありますので…
やはりまとめサイトの人に習って
後日どっか無料ホムペで何とかしてみようと思います。

897 名前:(^ー^*)ノ〜さん:07/11/10 22:07 ID:OX7KwyqA0
>>896
>whois■domaintools■com
それ、Whoisとかのサービスを行っている無害なサイト。
886のアドレスで■をドットに変えてアクセスすれば分かるから。
http://whois.domaintools.com/
のアドレスの後に調べたいドメイン名をつけてアクセスすれば
そのドメインのWhois内容が出るので利用しやすいのさ。

Wiki形式を取るとしても編集に認証を発行するような形式が
良いでしょうね。信用できるメンテナを何人か募って運営すれば
継続の安定性も保証されるでしょうし。

898 名前:(^ー^*)ノ〜さん:07/11/10 22:54 ID:OxG8AOzT0
>>897
だから、元は問題ないサイトだけど、クラックされたので一時的に危険があるため、
外す代物(後で戻す必要あり)って意味でコメント残してあるんだろ。

899 名前:(^ー^*)ノ〜さん:07/11/10 23:23 ID:hbbPUjX10
http://whois.domaintools.com/
がいつクラックされたってんだよ

900 名前:(^ー^*)ノ〜さん:07/11/11 00:04 ID:uOtxDDls0
>>886 DomainToolによると

この文章が理解できない日本語不自由な人だったのかもしれん

901 名前:(^ー^*)ノ〜さん:07/11/11 01:22 ID:2zccfMyu0
>>897-900
>>886の記述が■だったのでそういうサイトとばかり。
ただ単に纏めているだけなのでこういうことになると言う例でした。
日本語が不自由な人なのは確かなので
これからも突っ込みよろしくお願いします。

902 名前:(^ー^*)ノ〜さん:07/11/11 01:31 ID:2zccfMyu0
あと>>896の部分を導入した方がいらしたら
お手数ですが手動でその記述を削除してくださるようお願いします。

903 名前:(^ー^*)ノ〜さん:07/11/12 02:18 ID:AwfiB7Br0
www■articlelin■com/wiki/
www■panslog■net/wiki/svch.exe
いずれも同じIP。
リネージュ資料室の感染源ドメインに同じものがあった。

904 名前:(^ー^*)ノ〜さん:07/11/12 11:20 ID:CSd+JsCv0
http://www.geoctiers■com/ourtesf (61.139.126.47)
http://www.lvei20■com/ourtesf (61.139.126.47)
-> http://www.lvei20■com/ourtesf/ff11.exe

index.htmは大昔流行った ADODB.Stream を利用して感染させようとするもの。
ff11.exeは symantec、Kasperskyともに検知。

(参考)
Internet Explorer で ADODB.Stream オブジェクトを無効にする方法
http://support.microsoft.com/kb/870669/ja
- WindowsUpdateで自動適用されているはずのものなので適用は必要なし。

whois
Domain Name: GEOCTIERS■COM
Creation Date: 12-oct-2007

Domain Name: LVEI20■COM
Creation Date: 12-oct-2007

所有者は両者共通
Registrant Contact:
guo tie qiang
tie qiang guo 787878@126.com
13178393088 fax: 13178393088
Fujian longyan
longyan Fujian 364000
cn

905 名前:(^ー^*)ノ〜さん:07/11/14 15:28 ID:hnaAIkgM0
http://www.itmedia.co.jp/enterprise/articles/0711/14/news049.html
さすが中国、やることがとんでもないぜ

906 名前:(^ー^*)ノ〜さん:07/11/14 16:24 ID:7OrFWp7P0
これは、初期化しても消えないウィルス?

907 名前:(^ー^*)ノ〜さん:07/11/14 16:36 ID:H7XPVmBY0
>>905
なんだこれすげえ……

908 名前:(^ー^*)ノ〜さん:07/11/14 17:00 ID:LXFCZQVW0
>>905-908
さぁ、一般的な話題は、セキュスレに移動しような。

セキュリティ対策、質問・雑談スレ3
http://enif.mmobbs.com/test/read.cgi/livero/1186660300/

そろそろ次スレのテンプレに調整必要ないか検討した方がいいんじゃないのか?

909 名前:904:07/11/15 09:43 ID:FPFQGc3I0
>>904 に報告漏れ分追加です。
http://www.netbenrir■com/ourtesf (61.139.126.47)
-> http://www.lvei20■com/ourtesf/ff11.exe

特徴は既出分と一致。実体がたぶん同一。

>>839 に報告されているのと似ているけれど別のドメイン。
(IPアドレスは同一)

910 名前:(^ー^*)ノ〜さん:07/11/15 10:00 ID:0qfEIWnH0
いつもありがとうございます。
ただ前にも出た話題なので、wwwの後の . の方も■にしてもらえませんでしょうか?

911 名前:にゅぼーん:にゅぼーん
にゅぼーん

912 名前:(^ー^*)ノ〜さん:07/11/15 10:57 ID:uHYmDzoe0
スレルールに従えないなら書き込むなよ

913 名前:(^ー^*)ノ〜さん:07/11/15 11:01 ID:8cyw5fkj0
>>911-912
セキュリティ対策、質問・雑談スレ3
http://enif.mmobbs.com/test/read.cgi/livero/1186660300/

914 名前:(^ー^*)ノ〜さん:07/11/15 11:21 ID:9cU3pYbD0
>>ID:FPFQGc3I0

危険を撒き散らしに来ないで><

915 名前:(^ー^*)ノ〜さん:07/11/15 12:07 ID:A0ErnyYJ0
自スレのルールは自スレで解決してくれ

916 名前:(^ー^*)ノ〜さん:07/11/15 12:24 ID:69QYnnUG0
>>915
>>1

917 名前:(^ー^*)ノ〜さん:07/11/15 13:09 ID:6mU5LAo10
ぽりしーじょうwwwwwww

918 名前:(^ー^*)ノ〜さん:07/11/15 13:24 ID:8cyw5fkj0
>>914-918
>>913

919 名前:(^ー^*)ノ〜さん:07/11/15 16:46 ID:1jTuIkM40
まとめていたら904氏の発言分である911がにゅぼーんされていたという…。
URLを運良く回収できてよかったです。

#>>891。セキュスレ3_504-506 既に削除済みの物
#http://enif.mmobbs.com/test/read.cgi/livero/1186660300/504-506
127.0.0.1 www■yl18■net
127.0.0.1 yl18■net

127.0.0.1 www■geoctiers■com
127.0.0.1 www■lvei20■com
127.0.0.1 geoctiers■com
127.0.0.1 lvei20■com
127.0.0.1 www■netbenrir■com
127.0.0.1 netbenrir■com

127.0.0.1 sumireryu■blog32■fc2■com

#過去分 >>863 >>842 >>798 >>758 >>704 >>659-661 >>389-390
#訂正 >>896-902

920 名前:(^ー^*)ノ〜さん:07/11/15 17:23 ID:SpAMIfKI0
管理人裁定で削除された以上、件のポリシーとやらはこの板にはそぐわないという事。
自己流を通すのも勝手だが、これ以上それを続けるなら、この場所に来る資格は無い訳だ。

921 名前:(^ー^*)ノ〜さん:07/11/15 17:28 ID:9tpR5HgL0
>>920
>>1
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談は>>2に有る雑談スレを利用して下さい。

922 名前:(^ー^*)ノ〜さん:07/11/15 17:52 ID:R3MHTg2u0
>>919 一番下sumireryuのFC2ブログ死亡確認。
”無対策PC+IEだと見るだけで感染”と記して違反申告ゴルァ入れたのがよかったのかも。
他からも相当数のゴルァはあったと思うけどね。

923 名前:(^ー^*)ノ〜さん:07/11/16 00:03 ID:xlYgMcM00
一応、情報として
最近、エラー状態のまま放置されている「RO店価格調査隊」のドメイン
( ro-price.net )の有効期限が2008/02/09となっています
当面は問題ないと思いますが、今後どうなるかわからないので
ご注意ください

924 名前:(^ー^*)ノ〜さん:07/11/16 08:54 ID:StplYX2R0
削除依頼スレで暴れてる馬鹿者が居るので、該当部分をサルベージ。
暴れてる理由が本当に「検体拾えないんじゃ(゚Д゚)ゴルァ!」なだけなら、これで不満解消されるだろ。

--------------------
>911 名前:(^ー^*)ノ〜さん Mail:sage 投稿日:07/11/15 (木) 10:50 ID:FPFQGc3I0
>
>>>797 関連の偽装blog
>sumireryu■blog32■fc2■com/
>-> www■fc2weday■com/lineage/
>
>fc2には報告済み。
>
>(以下略)
--------------------

925 名前:(^ー^*)ノ〜さん:07/11/16 16:16 ID:JZV6Cv150
では削除依頼が出ている分残りも補完。

>796 名前:(^ー^*)ノ〜さん[sage] 投稿日:07/10/26 11:40 ID:ez699QA/0
>最近、一部の掲示板にせっせと書きこまれているもの。
>
>http://www■playonlanei■com/game
>-> http://www■playonlanei■com/game/f1.exe
>
>http://www■rmtfcne■com/f11
>-> http://www■playonlanei■com/f11/f2.exe
>
>IPアドレスは共に 61■139■126■47 でした。
>手元の環境では Symantecがスルー、Kaspersky(AVS)が捕捉。
>
>JavaScrpitから VBScriptを呼び出し Adodb.Stream使って
>ダウンロードさせようとする昔流行ったやつです。
>
>818 名前:796[sage] 投稿日:07/10/30 22:48 ID:L9j6MZpQ0
>検体採集先で捕獲漏れ見つけたので追加報告します。
>
>http://www■webmastei■com/weeb/
>-> http://www■playonlanei■com/weeb/f3.exe
>
>IPアドレスも手口も同一。
>Symantecがスルー、Kaspersky(AVS)が捕捉なのも一緒。
>f?.exeシリーズのドメインの先は同一とみられ、相互に置き換え可能です。

926 名前:(^ー^*)ノ〜さん:07/11/16 16:18 ID:JZV6Cv150
その2。

>852 名前:(^ー^*)ノ〜さん[sage] 投稿日:07/11/07 15:32 ID:HnBdClJr0
>JBBSもどき。
>http://www■jbbslivedoor■com/ (61■139■126■16)
>
>http://www■jbbslivedoor■com/mmghaoyk/ (Microsoft.XMLHTTP)
>-> http://www■jbbslivedoor■com/mmghaoyk/haoyk.htm
> super IE 0Day難読化 (US-ASCIIのあれ)
>-> http://www■jbbslivedoor■com/mmghaoyk/haoyk.cur
> アニメーションカーソル脆弱性
>
>古典的な手法で、symantecでも検知できました。
>
>おまけ。
>先月末にばらまかれてたけれど、今日現在ドメインの登録がないもの。
>http://www■irisdtijp■com/playonline/

927 名前:(^ー^*)ノ〜さん:07/11/16 16:18 ID:JZV6Cv150
その3。

>904 名前:(^ー^*)ノ〜さん[sage] 投稿日:07/11/12 11:20 ID:CSd+JsCv0
>http://www■geoctiers■com/ourtesf (61.139.126.47)
>http://www■lvei20■com/ourtesf (61.139.126.47)
>-> http://www■lvei20■com/ourtesf/ff11.exe
>
>index.htmは大昔流行った ADODB.Stream を利用して感染させようとするもの。
>ff11.exeは symantec、Kasperskyともに検知。
>
>(参考)
>Internet Explorer で ADODB.Stream オブジェクトを無効にする方法
>http://support.microsoft.com/kb/870669/ja
>- WindowsUpdateで自動適用されているはずのものなので適用は必要なし。
>
>whois
>Domain Name: GEOCTIERS■COM
>Creation Date: 12-oct-2007
>
>Domain Name: LVEI20■COM
>Creation Date: 12-oct-2007
>
>所有者は両者共通
>Registrant Contact:
>guo tie qiang
>tie qiang guo 787878@126.com
>13178393088 fax: 13178393088
>Fujian longyan
>longyan Fujian 364000
>cn
>
>909 名前:904[sage] 投稿日:07/11/15 09:43 ID:FPFQGc3I0
>>>904 に報告漏れ分追加です。
>http://www■netbenrir■com/ourtesf (61.139.126.47)
>-> http://www■lvei20■com/ourtesf/ff11.exe
>
>特徴は既出分と一致。実体がたぶん同一。
>
>>>839 に報告されているのと似ているけれど別のドメイン。
>(IPアドレスは同一)

928 名前:(^ー^*)ノ〜さん:07/11/16 17:13 ID:5qqeUOlu0
>>925-927 乙です。これで削除依頼通せますね。

929 名前:(^ー^*)ノ〜さん:07/11/16 18:18 ID:NAWX1PWU0
>>925-927 ご報告ありがとうございます。
上記の物に関して確認した所、報告まとめサイトの人の分と
このスレで報告している分を併せる事で撃墜できる模様。
打ち漏らしが無かったようなので本当によかったです。

930 名前:にゅぼーん:にゅぼーん
にゅぼーん

931 名前:(^ー^*)ノ〜さん:07/11/19 15:33 ID:vI2UAK2s0
↓ここから930フルボッコタイム↓

932 名前:(^ー^*)ノ〜さん:07/11/19 15:41 ID:CBCu4PS40
すみません、焦ってテンプレも読んでませんでした・・・

【  アドレス   】http://applepie■leminx■com/
【気付いた日時】 2007/11/19
【     OS    】 WindowsXP
【使用ブラウザ 】 IE
【WindowsUpdateの有無】 半年くらい前です
【 アンチウイルスソフト 】カスペルスキー
【その他のSecurty対策 】なし
【 ウイルススキャン結果】とくに警告ありませんでした
【スレログやテンプレを読んだか】テンプレのみ読みました
【hosts変更】無
【PeerGuardian2導入】無

よろしくお願いします。

933 名前:(^ー^*)ノ〜さん:07/11/19 15:45 ID:JSWIaYX10
>930,932
とりあえず930のほうを削除依頼出してきなさい

934 名前:(^ー^*)ノ〜さん:07/11/19 15:55 ID:CBCu4PS40
削除依頼出してきました。
お騒がせして申し訳ありません。

935 名前:(^ー^*)ノ〜さん:07/11/19 15:56 ID:zV0OIcj70
>>930,>>932
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

936 名前:(^ー^*)ノ〜さん:07/11/19 16:00 ID:CBCu4PS40
すでにサイトは見てしまいましたがこちらではだめでしょうか?
一見普通のサイトですがウィルスが含まれていないのかと心配になりまして書き込みしました。

937 名前:(^ー^*)ノ〜さん:07/11/19 16:50 ID:XmgiIK3z0
甘やかすのも大概にしろとか言われそうだけど、スレ方針論議が止まっているので。

>>930
> 【WindowsUpdateの有無】 半年くらい前です
昔過ぎる。最低、毎週でもやっていたら問題は無かった。つかPCに自信が無いのなら尚の事
毎日でもしろ。

>【スレログやテンプレを読んだか】テンプレのみ読みました
ぱにくってるのはわかるが、自分で情報を探す努力くらいしなさい。
とりあえずこのスレの過去ログくらい読みなさい。900くらいなら回答来るの待っている
間でも読めるだろ。

以上。

938 名前:(^ー^*)ノ〜さん:07/11/19 16:58 ID:GnTT5vja0
>ID:CBCu4PS40
どこから突っ込んでいいか判らんのだが、アコプリスレの>1は見たのか?

そこは放置運営の上ドメイン失効で消滅した旧テンプレサイト。
レジストラ管理のためそういう格好で残ってるだけで、現状ハクとは関係ない。

そして今のアコプリWikiは別の管理人が運営してる。
アコプリスレの>1を見るか、アコプリWikiでググれば出てくる。

どこのリンクから飛んだのか知らんが、そのリンクページの管理人に移転してる事を
連絡しておいた方がいいだろうね。

939 名前:(^ー^*)ノ〜さん:07/11/19 17:54 ID:CBCu4PS40
過去スレや危険なドメイン等調べてみたらこのURLはありませんでした。
一応一安心してるところです。

>>937
Updateの度に重くなるのでずっと放置してしまっていました。
以後気をつけます。
スレは一通り読みましたがとても難しい言葉ばかりでした・・・
>>938
上記のURLを踏んでしまってからアコプリスレでWikiの新URLを調べました。
そしてURLが違うことに気づき、テンプレ無視で書き込みしてしまった所存であります。
垢ハクと関係ないと言っていただき安心しました。
リンク管理人に連絡しておきます。

皆様お騒がせして申し訳ありませんでした。
そしてありがとうございました。

940 名前:(^ー^*)ノ〜さん:07/11/19 18:12 ID:GnTT5vja0
>939
>過去スレや危険なドメイン等調べてみたらこのURLはありませんでした。
いや、載ってる。
もう終わった事だが、このスレ内を「leminx」で検索する事を勧める。

あと踏んでから慌てて駆け込んでくるよりも、事前の対策が必要。
最近は少ないが、踏んでしまったという人は新しい罠アドレスを踏んだんじゃなく
既知のアドレスを踏んでるケースが多い。

難しいと言って逃げず、まとめサイト等見て対策するがよろし。
判らない事があればセキュ雑談スレで質問したら答え返ってくるだろうし。

941 名前:(^ー^*)ノ〜さん:07/11/19 18:30 ID:+oTwxX9J0
本来は向こうにするべきなのかも知れないけど、全員が専ブラ導入している訳でもないから、こっちに。
前提環境なら、いくらでもクロスリプライ入れるけどね。

>>937
>毎日でもしろ
WUを毎日するなんて、はっきりいって無駄。M$のUpdateサイトや経路に無駄なトラフィック負荷を掛けるだけ。
通常ユーザーなら、自動更新or自動通知にセットさえしていれば、問題はない。
むしろ、そっちに気を取られて、他のexploit情報を見逃す方が痛いよ。
更新頻度や情報の広汎製から、セキュmemoあたりのRSSをティッカーで拾うのが望ましいかと。無論、やや主観も混じっているが。
そうすれば、AdobeやApple等提供の、狙われ易いプラグインのアップデートも見逃さずに済む可能性が高いし。
rdfで拾ってくるから、通常のweb巡回や手動アップデート確認よりも、トラフィック負荷や、ローカル環境への負担も少ない。

それと、>>938に関る部分だが、デッドリンクがいつまでも放置されるようなサイトは、基本的に触らないほうがいい。
サイト管理人に変更点を促して、反映されているうちはまだ良いが。管理人が着手しない/出来ない状態のサイトは、
様々な危険性を孕んでいる。例え、静的サイトであっても。
ドメインスクワッティングで、リンク先が危険な場所になっている可能性もあるし、ブルートフォースや、情報盗用マルウェアによって、
いつの間にかサイトそのものが悪意ある者の手に落ちている可能性も考えられる。

942 名前:(^ー^*)ノ〜さん:07/11/19 21:45 ID:PoMyPe3A0
毎度おなじみ福建人、今度はヤフーブログに進出
blogs■yahoo■co■jp/suzengyan1986/12106■html

記事が1つしかない典型的な罠ブログ。


もちろんライブドアでも同名IDを取得、Wiki改竄を確認。
suzengyan1986

943 名前:(^ー^*)ノ〜さん:07/11/20 16:08 ID:tKI+LQ0G0
公知あげ

アカウントハッキングについて
http://www.ragnarokonline.jp/playguide/hacking/

944 名前:(^ー^*)ノ〜さん:07/11/20 17:58 ID:XMrgscT00
>>942
> Yahoo!ブログカスタマーサービス○○です。
>
> ご連絡くださいましてありがとうございます。
>
> このたびご指摘くださいました投稿につきましては、利用規約
> およびガイドラインに照らし合わせ、チェックさせていただきます。
>
> ◇Yahoo! JAPAN利用規約
> ttp://docs.yahoo.co.jp/docs/info/terms/
>
> ◇Yahoo!ブログガイドライン
> ttp://blogs.yahoo.co.jp/FRONT/guideline.html
>
> ◇Yahoo! JAPANコミュニティーサービス ガイドライン
> ttp://docs.yahoo.co.jp/docs/info/guidelines/community.html
>
> なお、個別の対処理由や結果についてのお知らせは行っておりません。
> 何卒、ご理解くださいますようお願いいたします。
>
> よろしくお願いします。

945 名前:(^ー^*)ノ〜さん:07/11/20 20:43 ID:9u3ZZW7U0
>>944
罠ブログの削除確認。
しかしまた別IDで来るだろうな、ライブドアのと同名IDを用意してると思われ。

946 名前:(^ー^*)ノ〜さん:07/11/20 23:58 ID:XMrgscT00
>>945
ノシ

>>942見たときわかんなかったけど
ライブドアに別のwikiのアドレスつけてsuzengyan1986を通報しますた!
>>944のとは違うリンクだった。
www■runbal-fc2web■com/test/
www■runbal-fc2web■com/test/wu■htm
www■runbal-fc2web■com/test/news■htm
ここでwww■jpxpie6-7net■com/test/フォルダ以下の
f5■exe(Infostealer.Gampass)とlt1■exeが落とせた。
ie5■exeとsvchro■exeはないみたい。
www■runbal-fc2web■com/test/love■htm がぁゃιぃけどよくわかんない。。。orz...

947 名前:946:07/11/21 00:00 ID:02/MdLhM0
>>946訂正
×>>944のとは違うリンクだった。
>>942のとは違うリンクだった。

948 名前:946:07/11/21 00:10 ID:02/MdLhM0
ってwww■runbal-fc2web■com/test/が変わってる。
www■jpxpie6-7net■com/test/index1■htmに飛んでる。。。
>>946はSCOにログありますです。。。
SCOで調べようとしたらアクセス規制中…

949 名前:(^ー^*)ノ〜さん:07/11/21 00:18 ID:kk+h/bZV0
>>948
久しぶりに、検体入手行って見るかな…。

www■jpxpie6-7net■com/test/index1■htm
www■jpxpie6-7net■com/test/index2■htm
www■jpxpie6-7net■com/test/ani■c
www■jpxpie6-7net■com/test/lt1■exe
www■jpxpie6-7net■com/test/f5■exe

www■runbal-fc2web■com/test/index■htm
www■jpxpie6-7net■com/test/main■htm
www■jpxpie6-7net■com/test/Ms06014■htm
www■jpxpie6-7net■com/test/Ms06046■htm
www■jpxpie6-7net■com/test/Yahoo■htm
www■jpxpie6-7net■com/test/Ms07004■js

950 名前:(^ー^*)ノ〜さん:07/11/21 00:38 ID:kk+h/bZV0
f5.exe
Trojan-PSW.Win32.OnLineGames.fcj
検出率良好 Result: 30/32 (93.75%)
Ewido/FileAdvisorがすり抜け。カスペ、NOD32、ノートン、マカフィー等はすべて撃墜。

lt1.exe
ほぼすり抜け。作成ミスなのか、新種ですり抜けるだけか不明。

ani.c
アニメカーソルでf5.exeをダウンロードしようとする。ファイル名ミス?

html
難読化されていて、本体発見困難。ソースチェッカーオンラインでは見えるけど
ダウンロードソフトでぶっこ抜こうとするも失敗。ファイル消されてるか重いだけか不明。

951 名前:946:07/11/21 00:59 ID:02/MdLhM0
>>949-950
お疲れ様です。

>>946の件ライブドアから自動返信ありました。
対応は始業後でしょうね。

952 名前:(^ー^*)ノ〜さん:07/11/21 09:43 ID:kk+h/bZV0
>>949-950
カスペ対応状況

ani.c - Exploit.Win32.IMG-ANI.ac,
f5.exe - Trojan-PSW.Win32.OnLineGames.fcj,
index2.htm - Trojan-Downloader.VBS.Psyme.ds,
lt1.exe - Trojan.Win32.Inject.ku

昨晩、VirusTotalにかけた時は、lt1.exeは検出不能だったが、誰かが先に提出していたようで
今朝検体送ったら、対応済みって返事が来た。

index.htmd, index1.htmd - Exploit.HTML.Iframe.FileDownload.w

こっちは、次のアップデートで追加するそうです。

# シマンテック他、一通り検体提出済みです。

953 名前:(^ー^*)ノ〜さん:07/11/21 19:25 ID:fcnvjNtT0
福建人の罠Wiki、今月19日開設、タイトル部分からどっかのパクリであることは明白だ。
wiki■livedoor■jp/suzengyan1986/

954 名前:(^ー^*)ノ〜さん:07/11/21 19:41 ID:fcnvjNtT0
953の罠Wikiに不可解な点があった。
カレンダーページと言うものがある、パクっただけなんで日付がおかしい。
最後に更新したIDはsuzengyan1986ではなく、
”2005年12月”のカレンダー項目をテストと書き直しただけ。
そのIDをぐぐるとごく普通、どういうことだ?

955 名前:946:07/11/21 20:14 ID:02/MdLhM0
>>952
お疲れ様でしたぁ。

>>953
>>946で通報したのはまさしくそこです。

>>954
何者でしょうかねぇ。。。

livedoorからの返事はまだない…

956 名前:(^ー^*)ノ〜さん:07/11/21 20:59 ID:fcnvjNtT0
>>955
このためだけに不正アクセスなんて最悪のケースだって考えられる。
相手はそういう連中だし、前例があるわけだ。
ブログは生きてるみたいだからID持ち主にコメントなりで一度連絡をつけた方がいいかも

957 名前:946:07/11/21 21:50 ID:02/MdLhM0
うあー、FF系のlivedoorwikiもsuzengyan1986の標的になってる。。。
しかもクラッカー同士で編集合戦
kohh00 
板違いだにゃー

958 名前:(^ー^*)ノ〜さん:07/11/22 21:10 ID:BDPZKPtw0
報告数が多くて混乱するなあ
ここいらで誰か最近のまとめてくれんかね

959 名前:(^ー^*)ノ〜さん:07/11/22 23:01 ID:dua+RkSv0
言いだしっぺの法則

960 名前:にゅぼーん:にゅぼーん
にゅぼーん

961 名前:(^ー^*)ノ〜さん:07/11/24 17:24 ID:0kFCFNsy0
【  アドレス   】 http://www■qipilang■org/shabi/
【気付いた日時】 11時24日17時頃
【     OS    】 WindowsXP SP2
【使用ブラウザ 】 IE7
【WindowsUpdateの有無】 自動更新
【 アンチウイルスソフト 】 NortonInternetSecurity2006
【その他のSecurty対策 】 特に無し
【 ウイルススキャン結果】 現在スキャン中
【スレログやテンプレを読んだか】Yes
【hosts変更】 無
【PeerGuardian2導入】 無
【説明】
自鯖のWikiに張られている物をクリックしてしまい、開いたページが真っ白
だったので垢ハックかと思い報告させていただきます。
とりあえず別PCでガンホー、アカウントpassは変更してきました。

962 名前:(^ー^*)ノ〜さん:07/11/24 17:38 ID:YD480phB0
>961
www■qipilang■org/shabi/
-->www■xinluoqu■com/FFXI/main.htm
---->www■xinluoqu■com/FFXI/Ms06014.htm
---->www■xinluoqu■com/FFXI/Ms06046.htm
---->www■xinluoqu■com/FFXI/Yahoo.htm
---->www■xinluoqu■com/FFXI/Ms07004.js
以下略

963 名前:(^ー^*)ノ〜さん:07/11/24 17:40 ID:DvYOoeus0
ノートン先生が2006ってライセンス更新してたのか?

964 名前:(^ー^*)ノ〜さん:07/11/24 17:53 ID:0kFCFNsy0
>963
ライセンス更新はしてなく、試用期限が切れてるものでした。

965 名前:(^ー^*)ノ〜さん:07/11/24 17:55 ID:4Lx0kJeB0
(´-`).。oO(         )

966 名前:(^ー^*)ノ〜さん:07/11/24 19:30 ID:zTnJtppB0
>>964
その状態ですと、更新されない為最新のウィルスには対応できないので
入れてないのと大差ない状態とおもわれます
おとなしくノートンをアンインストールして、>>2にあるPeerGuardian2と
窓の杜あたりから、フリーのウィルス対策ソフトをダウンロードして
入れるのをお勧めします

967 名前:(^ー^*)ノ〜さん:07/11/25 02:41 ID:v+k/El6I0
【  アドレス   】 http://duanla■com/oig3e
【気付いた日時】 11時25日1時頃
【     OS    】 Windows2000 SP4
【使用ブラウザ 】 IE7
【WindowsUpdateの有無】 自動更新
【 アンチウイルスソフト 】 BitDefender
【その他のSecurty対策 】 Ad-Aware
【 ウイルススキャン結果】 現在スキャン中
【スレログやテンプレを読んだか】Yes
【hosts変更】 無
【PeerGuardian2導入】 無
【説明】
iriswikiトップページのコンテンツのURLが上記のアドレス書き換わってた模様。
これは垢ハックでしょうか?
別PCでガンホーとアカウントpassは変更済。

968 名前:(^ー^*)ノ〜さん:07/11/25 05:29 ID:ncZCcAo50
>>967
ソースチェッカーでちょろっと見たら踏んだ瞬間どっかに跳ぶ仕組みらしいです。
そして場所が中国って時点で今までの手口から見ても黒かと。

969 名前:(^ー^*)ノ〜さん:07/11/25 07:28 ID:ITDHDQRQ0
>>962
ダウンロードできないと思えば、既に差し替えられていた模様。
カスペはほぼ撃墜ですが、検出率悪い奴も。

www■qipilang■org/shabi/index.htm
-->www■qipilang■org/shabi/wz.htm
-->www■qipilang■org/shabi/wu.htm
--->www■qipilang■org/shabi/dns.htm
--->www■qipilang■org/shabi/kiss.htm
---->www■xinluoqu■com/FFXI/ser.exe
---->www■xinluoqu■com/shagua/test.exe
---->www■xinluoqu■com/ied/as.exe
---->www■xinluoqu■com/shabi/svch.exe

as.exe:Trojan-PWS.Win32.Gamec.aa
ser.exe:Trojan-PSW.Win32.OnLineGames.fcj
svch.exe:Trojan.Win32.Pakes.bqf(カスペすりぬけ)
test.exe:Trojan.Win32.Inject.ke

970 名前:(^ー^*)ノ〜さん:07/11/25 07:28 ID:ITDHDQRQ0
>>967
すりぬけられる検体も混ざってます。入手前にブロックできたと自己責任で
判断できない場合はOSのクリーンインストールをお勧めします。

duanla■com/oig3e/
-->www■youxiriben■net/ff11/index.htm
--->www■youxiriben■net/ff11/wz.htm
--->www■youxiriben■net/ff11/wu.htm
---->www■youxiriben■net/ff11/dns.htm
---->www■youxiriben■net/ff11/kiss.htm
----->www■shagigi■net/ff11/test.exe
----->www■shagigi■net/lin/yan.exe
----->www■shagigi■net/navi/svch.exe

test.exe:Trojan-PSW.Win32.OnLineGames.fcj
yan.exe:Trojan.Win32.Inject.ke
svch.exe:Virus.Trojan.Win32.Pakes.bqf(カスペすりぬけ)

971 名前:(^ー^*)ノ〜さん:07/11/25 07:29 ID:ITDHDQRQ0
次スレ依頼なんですが、結局、テンプレ変更箇所はどうしましょう?

972 名前:(^ー^*)ノ〜さん:07/11/25 09:44 ID:ITDHDQRQ0
テンプレにこれ追加でいいかな?

・URLを貼り付ける場合は ドメイン名の「.」を全て「■」に置換して下さい。

セキュスレの提案にあったhttp://外しは、必須じゃなくていいと思うので、削除。
相談テンプレの編集箇所がなにかあったような気がするようなしないような。

P.S.:>969-970のカスペすりぬけは、VirusTotalのパターンが11/21と古かったようで
   すべて撃沈の返答がきています。

973 名前:(^ー^*)ノ〜さん:07/11/25 10:05 ID:Jr92oUv20
duanlaはdwarfurlと併せてWikiwikiに連絡しておいた。
後者の攻撃事例はまだないが予防策として
短縮URLをどんどん乗り換えてきてるみたいだしな。

974 名前:(^ー^*)ノ〜さん:07/11/25 11:03 ID:ITDHDQRQ0
スレ立て依頼してきました。

スレ作成依頼スレッド('07/10/13)
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1192250471/202-207

変更箇所は下記の通り。問題があったら立つ前に修正をお願いします。

【アドレス関係】
公式のアドレス追加
セキュリティWikiのアドレス追加
WindowsUpdateのアドレス追加
無料のセキュリティソフトのアドレスうちか
過去スレアドレス更新
改行多すぎエラーの為、過去スレの書式変更

【文面】
雑談スレを利用 → 雑談スレ(通称 セキュスレ)を利用
相談テンプレの説明を追記
簡易まとめにFireFoxのURI補完機能停止を追記

>>973
duanla■com/oig3e/ は既に404でした。
>970はソースチェッカーオンラインのキャッシュから辿ったものです。

・・・しまった、テンプレに、ソースチェッカーオンラインのURL載せるの忘れた。
追記した方がいいでしょうか?>ALL

975 名前:(^ー^*)ノ〜さん:07/11/25 11:18 ID:ITDHDQRQ0
もう立った…早かった。

アカウントハック総合対策スレ9
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/

976 名前:(^ー^*)ノ〜さん:07/11/25 14:04 ID:5xTETta10
質問よろしいでしょうか。

>>961と同じアドレスを踏んでしまったので、カスペにかけてみたところ

マルウェア Exploit.Java.Gimsh.a
トロイの木馬 Trojan-Downloader.VBS.Agent.fu
トロイの木馬 Trojan-Downloader.VBS.Psyme.ds

が検出されました。
マルウェアと後者のトロイは削除できたのですが、前者のトロイが何故か見つかりませんとの表示・・・
見つからない=PCの中には存在しない という解釈でいいのでしょうか?
ちなみに、この後2回ほどカスペをかけなおしましたが、何も検出されませんでした。
最初にかけたのが昨日の午後6時、二回目が昨日午後8時、三回目が今朝10時です。

なにぶん、この手には疎いもので・・・すいませんorz

977 名前:(^ー^*)ノ〜さん:07/11/25 14:50 ID:ITDHDQRQ0
>>976
>969に書いた様に「Trojan-Downloader.VBS.Agent.fu」に該当するのは「dns.htm」

展開されたテンポラリを検知したものの、ブロックし、テンポラリが削除されたということ
かもしれない。dns.htm(Downloader.VBS.Agent.fu)からダウンロードされるser.exe
(PSW.Win32.OnLineGames.fcj)という本体を検知してないようだから、ダウンロード前に
回線切断したのかもね。

あくまでも「かもしれない」であって、「存在しない保証はできない」。

少なくとも、その検体はカスペが全部検出可能な奴なので、ステルス化されていないなら
残っていない可能性はあるが、自信をもって自己責任で対処できないのであれば、
OS再インストールコースをお勧めするしかない。

978 名前:(^ー^*)ノ〜さん:07/11/25 15:54 ID:94NFLF1O0
wikiの改変がここ最近急に増えてるのかな
資料室の方でも警鐘鳴らしてるね

979 名前:(^ー^*)ノ〜さん:07/11/25 17:23 ID:5xTETta10
>>977
ありがとうございます。
どうしても不安がぬぐえないので、これからOS再インストールしてみます〜

980 名前:(^ー^*)ノ〜さん:07/11/26 11:46 ID:p1swq/BK0
ヤフー内部で無差別ウィルス爆撃ID
f550128851

www■japanjp■net/ttoo■exe

カスペ、F-Secure(カスペエンジン、後述にあるが恐らくNormanエンジンでも可)、NOD32、マイクロソフト、Norman検出
マカフィー、シマンテックスルー

IDをぐぐって見ると
高价收?日本天堂1信封,?求合作,精通客技?的来 -(326字?)【f550128851】 2007-10-23 15:41

エキサイト翻訳をかけてみると大体こんな感じ(天堂1=リネージュ1)
高値は日本のリネージュ1封筒を買い付けて、協力を求めて、ハッカーの技術の来ることに精通します

外部で要員募集か?

981 名前:(^ー^*)ノ〜さん:07/11/26 13:27 ID:rZSfZ1250
>>980
取り敢えずVirusTotalで未検出のところすべてに検体提出しておきました。

982 名前:(^ー^*)ノ〜さん:07/11/26 13:27 ID:vxVfZu2L0
>>981
乙であります

983 名前:(^ー^*)ノ〜さん:07/11/26 14:06 ID:vYBbL4M60
垢ハックらしきアドレスを踏んだのではないのですが、中華とやりとりをしてしまったのでちょっと質問させてもらいます。

【  アドレス   】
【気付いた日時】 事が起こったのはついさっき
【     OS    】 窓XP SP2
【使用ブラウザ 】 Firefox 2.0.0.9
【WindowsUpdateの有無】 多分今月上旬
【 アンチウイルスソフト 】 avast!!Home4.7
【その他のSecurty対策 】 無し
【 ウイルススキャン結果】 ただいま検索中
【スレログやテンプレを読んだか】 Yes
【hosts変更】無し
【PeerGuardian2導入】無し
【説明】 先ほどフェイ→できのこ集めをしていたらBOTぽい名前のG無し商人がいたので支援で肉入りか確認してみたら反応があったので
ちょっとかまってしまった。(今思うと、発言からして完全に中華
途中で取引要請と友達登録を出されて、
取引要請:500k渡されそうになってキャンセル(ok押して青画面にはしてない
友達登録:もう20人いていっぱいなので、OKを押して断った


どこぞやで友達登録や取引要請でID,Passが抜かれるというのを聞いたことがあるような気がしたので怖くなって質問してみました。
以上の行動は垢ハックの危険がありますか?また、その場合の対処法とかございましたらご教授お願いしたいです・・・。
ウィルスとかじゃないのでOS入れなおしは意味ないだろうし・・。

984 名前:(^ー^*)ノ〜さん:07/11/26 14:10 ID:rZSfZ1250
>>983
取り引きや友達登録でパスを抜かれることはありませんが、取り引き記録などで
倉庫垢に繋がりBOTと一緒に連BANされる可能性はあります。

運営会社が仕事をしてくれるのならという、儚い希望に基づく、極々稀な可能性ですが
取り引きを蹴って正解でしょう。

あと、埋めになるのでここで答えてしまいましたが、テンプレにありますように
(アカハック関係だからこっちでもいいような気もしないではないですが)
一般的な相談の場合、セキュスレの方が担当になります。

985 名前:(^ー^*)ノ〜さん:07/11/26 14:11 ID:rZSfZ1250
1単語抜けてたので補足

>取り引きや友達登録でパスを抜かれることはありませんが、取り引き記録などで
                       ↓    ↓    ↓
取り引きや友達登録でパスを抜かれることは原理的にありえませんが、取り引き記録などで

986 名前:946:07/11/26 19:26 ID:YYtunIDB0
>>980
> Yahoo!動画カスタマーサービス○○です。
> このたびはご指摘いただきありがとうございます。
>
> お客様よりご連絡いただいているプレイリストにつきましては、
> 担当部署にて対応させていただきます。
>
> 状況によりましてはお時間のかかる場合もございますが、
> できる限り早めに対応できるよう努めさせていただきます。
> 何卒ご了承くださいますようお願いいたします。
>
> ご連絡ありがとうございました。
> これからもYahoo! JAPANをよろしくお願いします。

>>981
乙乙

987 名前:946:07/11/26 20:04 ID:YYtunIDB0
っと、Yahoo!動画は対応してたけど…
Yahoo!みんなのトピックス充てにも抹消依頼出した。
他あるかな?
# ID同じなんだから受付一元化してよ。。。

988 名前:983:07/11/26 21:43 ID:vYBbL4M60
>>984
遅くなってすいません。お早いレスありがとうございます
あと
>一般的な相談の場合、セキュスレの方が担当になります。
よく読まずにすいませんでした。以後気をつけます・・・。

989 名前:980:07/11/27 20:52 ID:pZ24gCIo0
どうやらこいつ、中国ヤフーでも同じIDを取得してるね。

そしてこんなことを書いて国内の黒客(ハッカー)を募っているようだ。
エキサイト翻訳まんま、改行適当。

ハッカーの技術がずいぶん優れて(書くことができて木馬を殺すことを免れます.
ウェブサイトの権限を持って馬の)に掛かって、木馬に掛かりますを通じて(通って)ネットゲームのプレーヤーのアカウントのパスワード(国外のネットゲーム)を受け取って、
国内のをして機会をつかまれますとても大きいことに注意して、国外の理想をやります。これらのゲームのアカウントのパスワードがとても良くて売って、もし手に入れて私に売ることができることがあるならば、
ほほほ、私は買い付けます。直接ゲームに進んでブラシの遊ぶ貨幣を複製してそれではあなたをおめでとうございますもしことができるならば、あなた直接成百万。私もゲームの暗い貨幣(国外のネットゲーム)を買い付けます。
興味の++QQ516432711があって、何がどんな資料を理解しますかます要しないでちょっと話しにくることができることがあります。ハッカーの財産ネット旅行 ttp://club■cn■yahoo■com/doldo
ハッカーはどのようにネットゲームの中で金を儲けますか?
組長:林暁峰

990 名前:(^ー^*)ノ〜さん:07/11/28 11:46 ID:Lb0k/Ijt0
とれたて。
tiny*url■com/yqc567
->www■caremoon■net/wiki/index.htm
-->www■caremoon■net/wiki/main.htm

短縮URLサービスの所は、わざとゴミを入れてある。
ROとは全く別種のネットゲーム内の、ユーザーロール型ゲームのWikiにまで手を伸ばすとは、連中も見境が無いもので。
リネージュ資料室でも11/26に最新報告が載っているので、暫くはこのURIに注意が必要かと。

そのネトゲも支那ゴールドファーマーが一部で跋扈しているけどね( ゚д゚)、

991 名前:946:07/11/28 12:55 ID:fid8SIHw0
> Yahoo!ニュースカスタマーサービス○○です。
> 返答が遅くなりまして申し訳ございませんでした。
>
> Yahoo!みんなのトピックスをご利用いただきありがとうございます。
>
> 誠に恐れ入りますが、Yahoo!みんなのトピックスの機能紹介や不具合の
> 修正等は、下記のブログにてご案内しております。
>
> お手数ですが、サポートにつきましては下記の公式ブログにて行わせて
> いただきますので何卒ご了承ください。
>
> ◇みんなのトピックス 公式ブログ
> ttp://blogs.yahoo.co.jp/gogo_mintopi
>
> なお、みんなのトピックスに不適切な投稿を見つけられた場合は、
> 誠にお手数ですが、各投稿に表示されている[違反報告]ボタンを
> クリックして、ご報告くださいますようお願いいたします。
>
> これからもYahoo! JAPANをよろしくお願いします。

スパムコメントだらけのブログにコメントしても見ることはないだろなぁ…
[違反報告]はYahoo!IDとらなあかんし。。。

992 名前:(^ー^*)ノ〜さん:07/11/28 12:58 ID:O/s+eC0F0
ライブドアにまた中華のIDが確認された。
liu20071130

罠Wikiも確認。

993 名前:(^ー^*)ノ〜さん:07/11/28 13:33 ID:fby2IERW0
>>990
main.htmは、数字をキャラクタに変換して、htmlを生成して実行する奴だったので
Excelで数字をキャラに変換してみた結果、ファイル名2つ確認。

main.htm:TrojanDownloader:JS/Agent.FT(大半はスルーだが本体をブロックできれば実害なし)
-->http://www■caremoon■net/wiki/st.exe
-->http://www■caremoon■net/wiki/f2.exe

st.exe:Trojan.Win32.Inject.ix
f2.exe:Trojan-PSW.Win32.OnLineGames.fcj

st.exeはマカフィー、ノートンがスルー。カスペ、NOD32は撃墜。
f2.exeはほとんどのセキュリティソフトが撃墜。検体提出行ってきますかね…。

994 名前:(^ー^*)ノ〜さん:07/11/28 20:00 ID:O/s+eC0F0
中華の書き込みでこれを見つけた、やばいっしょ。

> 敢えて戦士でMaridにソロチャレンジ...ファイナルファンタジー FF11 ソロ
> 219■106■240■181/lib/smarty/internals/core■rmdir1■php

ホスト名 s05.tekunoro.co.jp

サイトクラック。
連絡は入れたがどうなるやら。

995 名前:(^ー^*)ノ〜さん:07/11/28 20:38 ID:CnIdQeMr0
もう本気でRO起動するPCとネットブラウズするPCとで分けたほうが良いのかも知れんね

996 名前:(^ー^*)ノ〜さん:07/11/28 20:39 ID:j+bGEpy80
また○○ノロ・・・

997 名前:(^ー^*)ノ〜さん:07/11/28 20:54 ID:fby2IERW0
>>994
http://219■106■240■181/lib/smarty/internals/core.rmdir1.php
http://www■lineagecojp■com/rbt1/main.htm
http://www■lineagecojp■com/tro/main.htm
http://www■lineagecojp■com/ie/main.htm
http://www■lineagecojp■com/ff11/wm/main.htm
http://www■lineagecojp■com/tmsn/main.htm

http://www■lineagecojp■com/rbt1/tt1.exe
http://www■lineagecojp■com/tro/tro.exe
http://www■lineagecojp■com/ie/ie.exe
http://www■lineagecojp■com/ff11/wm/tff11.exe
http://www■lineagecojp■com/tmsn/tmsn.exe

main.htmは同一フォルダにある下記のファイルをDL&実行させようとする。

Ms06014.htm
Ms07004.js
Ms06046.htm
ani.c
ani.asp?id=1314
Xunlei.htm
StormII.htm
Yahoo.htm

難読化されているものは、解読していないが、ファイル名が直接出ているものが
3ファイルあり、同じ物が記載されていることから、複数の手法で1つのトロイを
落とさせようとしている模様。試みられている手法のうち、1つでも穴があれば
入手してしまう可能性がある。

本体自体は、VirusTotalを見る限りでは、きちんとパターン更新をしている
セキュリティソフトであれば、ほとんど撃墜している。

本体
tt1.exe : Trojan-PSW.Win32.Delf.ads
tro.exe : Trojan-PSW.Win32.Maran.by
ie.exe : not-a-virus:AdWare.Win32.BHO.cd
tff11.exe : Trojan-PSW.Win32.OnLineGames.fcj
tmsn.exe : Trojan-PSW.Win32.Agent.ka

998 名前:(^ー^*)ノ〜さん:07/11/28 21:00 ID:CnIdQeMr0
そろそろ誘導貼っておくぜ

アカウントハック総合対策スレ9
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/

999 名前:(^ー^*)ノ〜さん:07/11/28 21:09 ID:fby2IERW0
>>997(続き)
これは本体ではないので検出しないセキュリティソフトも多数。
カスペはすべて検知可能。

ダウンローダ
main.htm : Trojan-Downloader.HTML.Cursor.e
Ms06014.htm : Trojan-Downloader.JS.Psyme.kf
Ms07004.js : Trojan-Downloader.JS.VML.a
Ms06046.htm : Exploit.HTML.Ascii.ai
ani.c : Exploit.Win32.IMG-ANI.ac
ani.asp?id=1314 : Exploit.Win32.IMG-ANI.ac
Xunlei.htm : Trojan-Downloader.JS.Small.ft
StormII.htm : Exploit.JS.Agent.aw
Yahoo.htm : Exploit.HTML.IESlice.z

1000 名前:(^ー^*)ノ〜さん:07/11/28 21:09 ID:fby2IERW0
アカウントハック総合対策スレ9
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/

セキュリティ対策、質問・雑談スレ3
http://enif.mmobbs.com/test/read.cgi/livero/1186660300/

1001 名前:1001:Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。


全部 最新50
DAT2HTML 0.34dp Converted.