■掲示板に戻る■ ■過去ログ倉庫に戻る■

アカウントハック総合対策スレ9
1 名前:夢 ★ 投稿日:07/11/25 11:04 ID:???0
アカウントハックに関する情報の集積・分析を目的とするスレです。
被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

・ 関連&参考情報アドレス (>>2)
・ 報告用&質問用テンプレ (>>3, >>4)
・ アカウントハック対応の要点とFAQ (>>5)
・ 安全対策の簡易まとめ (>>6)
・ アカウントハッキングについて(ガンホー公式)
  http://www.ragnarokonline.jp/playguide/hacking/

■スレの性格上、誤って危険なURLがそのまま貼られてしまう可能性がある■
■URLを無闇に踏んで回らないこと。報告・相談はテンプレを利用すること■

※ ID/Pass/サーバ/キャラ名等の情報は公開しないでください
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません
※ ネタや程度を超えた雑談・脱線はご遠慮ください

・スレ立て依頼は>>970がしてください。反応がなければ以降10ごとに。

【一般的話題用】
セキュリティ対策、質問・雑談スレ3
 http://enif.mmobbs.com/test/read.cgi/livero/1186660300/

2 名前:夢 ★ 投稿日:07/11/25 11:04 ID:???0
【過去スレ】
 8 : http://gemma.mmobbs.com/test/read.cgi/ragnarok/1185352481/
 7 : http://gemma.mmobbs.com/ragnarok/kako/117/1177507128.html.gz
 6 : http://gemma.mmobbs.com/ragnarok/kako/117/1173963316.html.gz
 5 : http://gemma.mmobbs.com/ragnarok/kako/117/1170419695.html.gz
 4 : http://gemma.mmobbs.com/ragnarok/kako/116/1164984508.html.gz
 3 : http://gemma.mmobbs.com/ragnarok/kako/116/1160787177.html.gz
 2 : http://gemma.mmobbs.com/ragnarok/kako/114/1147966576.html.gz
 1 : http://gemma.mmobbs.com/ragnarok/kako/107/1075385114.html.gz

【参考アドレス】
・ROアカウントハック報告スレのまとめ?サイト
 http://sky.geocities.jp/vs_ro_hack/
・安全の為に (BSWikiより)
 http://smith.xrea.jp/?Security
・ROセキュリティWiki
 http://rosafe.rowiki.jp/
・リネージュ資料室 (応用可能な情報が多数)
 http://lineage.nyx.bne.jp/

【このスレでよく出てくるアプリケーション】
・PeerGuardian2
 http://sky.geocities.jp/vs_ro_hack/pg2.htm
・WindowsUpdate
 http://www.update.microsoft.com/

【PCにウィルス対策ソフトを導入してない方へ】
・Kaspersky Internet Security 試用版
 http://www.just-kaspersky.jp/products/try/
・カスペルスキー:オンライン ウイルス&スパイウェアスキャナ
 http://www.kaspersky.co.jp/scanforvirus/
・NOD32アンチウイルス体験版
 http://www.canon-sol.jp/product/nd/trial.html

・AVG7.5 free
 http://free.grisoft.com/doc/download-free-anti-virus/jp/frt/0
・Avast4 HomeEdition
 http://www.avast.com/jpn/download-avast-home.html
・KINGSOFT InternetSecurty Free
 http://download.kingsoft.jp/kisfree/

3 名前:夢 ★ 投稿日:07/11/25 11:04 ID:???0
【投稿の際の注意】
・アカハックアドレスはMMOBBSでは禁止単語になっています。
 加えて、誤クリックによる感染を防ぐ為にそのようなアドレスは
 .(ドット)を別の文字に置き換えて報告して下さい (■がよく使われています)
・URLを貼り付ける場合は ドメイン名の「.」を全て「■」に置換して下さい。
・質問前後にテンプレ等を見て知識を深めると更にGoodです
・回答者はエスパーでは有りません。情報は出来るだけ多く。
 提供した情報の量と質に応じて助言の量と質は向上します
・結局は本人にしかどうにも出来ない事を忘れてはいけません

----------報告用テンプレ----------
● 実際にアカウントハックを受けた時の報告用

【      気付いた日時          】 (被害に気付いた日時)
【不審なアドレスのクリックの有無 】 (blog/bbs/Wiki等で踏んだ記憶の有無とそのアドレス)
                   (ドメインのドット(.)を■等で置き換える事。h抜き等は駄目)
【他人にID/Passを教えた事の有無】 (Yes/No)
【他人が貴方のPCを使う可能性の有無】 (Yes/No)
【    ツールの使用の有無      】 (Yes/No、Yesの場合はそのToolの説明)
【  ネットカフェの利用の有無    】 (Yes/No)
【     OS    】 (SP等まで書く)
【使用ブラウザ 】 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【 アンチウイルスソフト 】 (NortonInternetSecurity2007 等の名称、及びパターン更新日)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【スレログやテンプレを読んだか】 (Yes/No/今から読みます)
【hosts変更】(有/無 [有りの場合は最終更新は何時ごろか])
【PeerGuardian2導入】(有/無 [有りの場合は参照元サイトはどこか)
【Webヘルプデスクへの報告】(有/無/これからします)
【説明】
(被害状況を詳しく書く)

4 名前:夢 ★ 投稿日:07/11/25 11:05 ID:???0
● 怪しいアドレス?を踏んだ時の相談用(アカハック以外の事例は>>2のセキュスレへ)

【  アドレス   】www■xxx■yyy/index.htm(ドメインのドット(.)を■等で置き換える事。h抜き等は駄目)
【気付いた日時】 (感染?に気付いた日時)
【     OS    】 (SP等まで書く)
【使用ブラウザ 】 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【 アンチウイルスソフト 】 (NortonInternetSecurity2007 等の名称、及びパターン更新日)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【スレログやテンプレを読んだか】 (Yes/No/今から読みます)
【hosts変更】(有/無 [有りの場合は最終更新は何時ごろか])
【PeerGuardian2導入】(有/無 [有りの場合は参照元サイトはどこか)
【説明】
(『怪しいアドレス』との判断した理由、症状を詳しく書く)

※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

5 名前:夢 ★ 投稿日:07/11/25 11:05 ID:???0
【アカウントハック対応の要点とFAQ】
以下は要点となります。詳細な物は BSWikiの『安全の為に』が参考になると思われます。

● 『アカウントハックアドレスを踏んだ』もしくは『ウィルスが見つかった』場合
 1) 速やかに感染PCのネットワークケーブルを外す
 2) 『安全な環境』から諸々のパスワードを変更
 3) ウィルス駆除 もしくは OSのクリーンインストールやPCの再セットアップを行う

注)
 ・安全確認されるまでNetworkに接続・ROクライアント起動・公式にログインは厳禁
 ・各種メッセンジャーソフトやメールクライアントの起動も避ける
 ・変更するべき物は以下のとおり
  『GungHo-IDパスワード』『アトラクションIDパスワード』『キャラパスワード』『メールアドレス』
 ・アンチウイルスソフトの過信は禁物。自信がなければOSのクリーンインストールを第1選択枝とする事
 ・対応は慎重かつ迅速に行う事。早期に対応できればアカウントハックを防げる確率が上がる

● 関連FAQ
・『安全な環境』ってどんな物?
  ウイルスの感染が無いと思われる環境です。別PCや据置型ゲーム機、1CD Linux等が挙げられます。
  インターネットカフェ等不特定多数が使用する環境は危険性の高い環境です。
  また知人友人のPCもインターネットカフェ並の危険があるものと考えるべきです。
  信頼できる友人にパスワード変更を依頼するのは最後の手段であり、安全な環境を
  構築次第、再度パスワードを変更しましょう。
・オンラインウイルススキャンをしたいんだけど、やっぱりネットにつないじゃ駄目?
  駄目です。
・アンチウイルスソフトでウイルスが見つからないのでもう大丈夫だよね?
  100%の保証は出来ません。ウィルスが見つからなかった場合、チェックに使った
  アンチウィルスソフトでは発見出来なかっただけです。本当にウィルスが居ないのか、
  それとも検知を免れているだけなのかは判りません。
  自信が無い場合はHDDをフォーマットの上、PCの再セットアップを考えるべきです
・1CD Linuxってなに?
  CDを入れてPCを起動するだけでLinux環境が起動しちゃうというものです。
  ある意味クリーンインストールに近い状態なので汚染はゼロといえますし、
  そもそもWindowsではないのでアカウントハックウイルスも働きません。
  大概はWindows類似のデスクトップ環境やWebブラウザも組み込まれているので
  パスワード変更作業くらいなら問題なく出来ます。
  "KNOPPIX" や "Ubuntu"が人気が有ります。

6 名前:夢 ★ 投稿日:07/11/25 11:05 ID:???0
【安全対策の簡易まとめ】
以下は要点となります。higaitaisaku.comさんの『被害対策』→『転ばぬ先の杖』
(http://www.higaitaisaku.com/korobanu.html)が参考になるでしょう。
『ROアカウントハック報告スレのまとめ?サイト』や
BSWikiの『安全の為に』も参考になると思われます。

●基本
 ・定期的なMicrosoftUpdate及び、各種ソフト(各種Player、Reader等)のアップデート
 ・アンチウイルスソフトの導入とウイルス定義ファイルの積極的な更新
 ・パーソナルファイアウォールソフトの導入
 ・アドレスをホイホイ踏まない。よく確認する
 ・出所の怪しいプログラムやスクリプトを実行しない

●応用
 ・IEの使用を止め、他のブラウザに乗り換える(Firefox、Opera)
 ・IEコンポーネント使用のブラウザを使う(セキュリティ設定が容易な物が多い)
 ・信頼できるSite以外ではスクリプトやActiveXを切る
  :インターネットオプションのセキュリティの部分で設定可能
 ・偽装jpg対策(IE7とIE6SP2限定。IE6SP1以前では出来ない)
  :インターネットオプション→セキュリティ→レベルのカスタマイズ
   →「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする
 ・Firefoxを使用する場合、URI自動補完を停止する
  :http://nhh.mo-blog.jp/ttt/2006/10/firefox__bf2b.html
  :>「browser.fixup.alternate.enabled」をfalse
   →このスレ閲覧中に誤操作により危険URLに飛ぶ危険を回避します

7 名前:(^ー^*)ノ〜さん 投稿日:07/11/25 11:18 ID:ITDHDQRQ0
【このスレでよく出てくるアプリケーション】 (追加)
・ソースチェッカーオンライン
 http://so.7walker.net/guide.php

>>1 乙です

8 名前:(^ー^*)ノ〜さん 投稿日:07/11/25 23:35 ID:xodT0THL0
>>2
BSWikiは移転しているようです

[正]
・安全の為に (BSWikiより)
 http://smith.rowiki.jp/?Security

同サイト内にURLが既出の危険なドメインかどうか調べるチェッカーもあるようです
http://smith.rowiki.jp/riskycheck.php

9 名前:(^ー^*)ノ〜さん 投稿日:07/11/26 20:14 ID:AuPEyZhv0
・上記にあるまとめサイトさんのhostsファイルに追加分を手動で追加しようというサイトです
http://sky.geocities.jp/ro_hp_add/

10 名前:(^ー^*)ノ〜さん 投稿日:07/11/27 13:18 ID:Rl5H0P0a0
PeerGuardian2を導入して
リネ2やったんですけど「222.231.15.60」
というアドレスに送信してて、それをブロックしてる
これってやばいですか?

11 名前:(^ー^*)ノ〜さん 投稿日:07/11/27 13:24 ID:X4L3wsqJ0
>>10
>対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

あっちにコメントしときますね。

12 名前:(^ー^*)ノ〜さん 投稿日:07/11/27 14:48 ID:Rl5H0P0a0
>>11
はーい ありがとー

13 名前:(^ー^*)ノ〜さん 投稿日:07/11/29 23:47 ID:iz9Crv5m0
垢ハックを間違えて踏んでしまったらOSの再インストールというものが重要だといわれているけど
私もうっかりふんでしまったため、XPの再インストールをしてみた所
Windowsが入っているCドライブは初期化されたけど、Dドライブの中身はあまり変化ありませんでした
やはり安全をきすためDドライブも初期化した方がいいですか?ちなみにROはCドライブでした。

14 名前:(^ー^*)ノ〜さん 投稿日:07/11/29 23:54 ID:d0pbTNIV0
一般的な相談・質問はセキュスレへ

簡単に答えておくと、データにトロイは付着しません。

15 名前:(^ー^*)ノ〜さん 投稿日:07/11/30 16:21 ID:k42wwL7a0
LiveRoのラグクジでハクアドレス貼り付けあり

------------
463 名前:lg96 Mail: 投稿日:07/11/30 (金) 16:08 ID:U4ZLnuLS0
lg96■3322■org/jp/

467 名前:(○口○*)さん Mail:sage 投稿日:07/11/30 (金) 16:17 ID:ZSYS7kxo0
>463
マジで垢ハック注意。
lg96■3322■org/jp/
->www■kele88■com/av/help.htm
--->www■kele88■com/av/av.exe
------------

16 名前:(^ー^*)ノ〜さん 投稿日:07/11/30 16:24 ID:k42wwL7a0
クレクレスレの100にも同じものが張ってあった。
他のスレにも爆撃があるかも。

17 名前:(^ー^*)ノ〜さん 投稿日:07/11/30 19:07 ID:3SqRK7Xx0
>>15
今回、カスペより早く、Fortinetから返答

The samples you submitted will be detected as follows:
av.exe - W32/Agent.IRS!tr
index.htm - HTML/Agent.IDS!tr.dldr
help.htm - VBS/Agent.IDT!tr.dldr

18 名前:(^ー^*)ノ〜さん 投稿日:07/11/30 19:34 ID:3SqRK7Xx0
>>15
カスペからも返答あり。いろんなスレに貼られたようなので警告age

av.exe_ - Trojan-Downloader.Win32.Agent.fnj,
help.htm_ - Trojan-Downloader.VBS.Psyme.kq,
index.htm_ - Trojan-Downloader.HTML.IFrame.ba

19 名前:(^ー^*)ノ〜さん 投稿日:07/11/30 21:51 ID:sVfmmqNi0
とりまセキュリティスレから飛んできました。
>>15にもあるURLを誤クリ→怖くなって即出る→
カスペルキーとやらでスキャンをかけ、そのままネカフェにダッシュ→
IDは変え方がよくわからずとりあえず帰還。→
カスペと同時起動で知人にやってみろっていわれた「av,exe」を検索(該当なし)→
カスペ検索終了、感染無し→報告中(今ココ)

とりあえずココからどうすればいいかわからない状況なんですが・・・
ご教授いただければ幸いです

20 名前:(^ー^*)ノ〜さん 投稿日:07/11/30 22:09 ID:ZNiQwvSO0
>19
あっちでも言ったが、まず>4のテンプレを埋めてくれ。
でなければ、回答する側も的外れな回答になりがちになる。

21 名前:(^ー^*)ノ〜さん 投稿日:07/11/30 22:27 ID:M/+KXmRb0
>>19
怖いなら、クリーンインストールしろ

22 名前:(^ー^*)ノ〜さん 投稿日:07/11/30 22:31 ID:3SqRK7Xx0
>>19
まず、ログインは絶対にしないように。

アカハックのサイトをクリックした後にログイン・踏んだIDからのパスワード変更はやっていませんね?
(アカハックのサイトクリック→ログアウトなら問題ありません)

パターンA
必要なデータをバックアップして速効でOS入れなおしかPCリカバリ(確実に安全になります)

パターンB
カスペ体験版を入れてスキャンする。パターンが最新であれば検出可能な筈です。
(本日対応したばかりなのでパターン更新しないと検出されません)

で、検出されるようなら削除して完了。

検出されない時は、「本体入手前に切断が間に合ったのでセーフ」の場合、
「新種の為すり抜ける場合(今回はカスペで検出可能なので考えなくていい)」
「発動させてしまいステルス化されているので検出できない場合」のパターンが
考えられます。対応方法は下記の通り。

1."自己責任で"そのまま使ってok
2.パターンが更新されるまでネットに繋がない、IDパスの入力・変更しない。
  一時的にネットに繋いでパターンを更新してからBの最初に戻る。(今回はこのケースにならない)
3.OS入れなおすしかない

23 名前:(^ー^*)ノ〜さん 投稿日:07/11/30 22:32 ID:sVfmmqNi0

【  アドレス   】lg96■3322■org/jp/
【気付いた日時】今日の18;30くらい
【     OS    】 WindowsXP(SPが何かわかりません><;)
【使用ブラウザ 】 タブンIE7
【WindowsUpdateの有無】 有効
【 アンチウイルスソフト 】 無し
【その他のSecurty対策 】 FW
【 ウイルススキャン結果】 カスペルスキースキャンで感染無し
【スレログやテンプレを読んだか】 今から読みます
【hosts変更】PC関連疎いのでよくわからないですが、PCかってほぼそのまんまの状態
【PeerGuardian2導入】同上
【説明】
垢ハックっていろんなとこに書いてあったから・・・つд

よろしくお願いします

24 名前:(^ー^*)ノ〜さん 投稿日:07/11/30 22:32 ID:3SqRK7Xx0
このスレ的には
 検出されて入手をブロック→辛うじてセーフ
 踏んだ後に検出して除去→他にもいる可能性もあるが、自己責任で使うかOS入れなおしか選ぶ
 検出されない→入手前と信じる根拠があるなら自己責任で使ってもいいが、OS入れなおしが基本

自己責任で使い続ける場合、PG2を導入し、中国への接続をブロックすることで、リスクを最小限に
減らす事ができます。

>>19の投稿時間に、パターンが更新完了していたかはわかりませんが(パターン更新前だったら、
スキャンしても検出されません)22:20の段階では、オンラインスキャンでも検出可能に
なっていましたので、もう1回パターンを更新してスキャンしてみて下さい。
(オンラインのファイルスキャナは、更新が11-29だったのですり抜けてましたが)
http://www.kaspersky.co.jp/virusscanner

現時点のパターンを適用して、全スキャンしても見つからない場合、
↑の検出されない場合1or3になります。

ブロックできたかどうかの保証はできないので、このスレとしては、安全な環境を作るために
OS入れなおしを推奨することになります。

25 名前:(^ー^*)ノ〜さん 投稿日:07/11/30 22:36 ID:Dp3j+zRj0
まぁある程度の状況は分かるので、今まででた情報で答えるとするならば
「OSクリーンインストール」をしろ、としか言いようがない。

 アドレス自体どれを踏んだかもわかっているわけだし、そこから辿れるav.exeのファイルが見つからないのであれば
なんらかのアンチウィルスソフトで防衛できた可能性もあるが、
その防衛した可能性のあるソフト名もバージョンも何もまだ>>19からは提示されていないわけだ。
 こちらがわから見た場合、もしかしたら防御できてるのかもしれないし、感染してるのかもわからない状況。
仮に感染していた場合、(ROに限って言うと)ウィルス除去しないままROにin、もしくはガンホーのサイト等でPASSとか入力しちゃったりすると
そのまま垢ハックされる。
 
 なので現状ウィルスを除去する方法として回答者がわから答えられる回答はひとつ「OSを再インストールせよ」しか提示できないわけ。
OS再インストールすればウィルスは必ず除去できる(が、今PCの中にあるデータは全部なくなる)。のでこれを薦めるわけ。

 OSクリーンインストール後にそのPCかPASS変更すれば、多分垢ハックの害は防げるとは思うけれど(確定ではない)
ので、テンプレをまずは分かる範囲だけでもいいので埋めて報告しなさい。

 最終的にはクリーンインストールを薦めることになる気はするけれど……

26 名前:(^ー^*)ノ〜さん 投稿日:07/11/30 22:44 ID:3SqRK7Xx0
>>25
踏んだとされる時刻の時点では、カスペも未対応だった訳なので、ブロックできた可能性は消える。
入手完了前にIE落とすのが間に合っていた場合が、僅かな可能性として残っているのみ。

VirusTotalで確認しても、現時点では、eSafeとカスペ(あとはFortinetも次回パターン更新で対応)
でないと検出できない為、防衛できた可能性は考えなくていいかも。

・入手してしまったものをカスペで検出して除去して終わり(自己責任)
・OS再インストール(推奨)
・パターン更新済みのカスペで検出できない→危険が残っているのでOS入れなおし

27 名前:(^ー^*)ノ〜さん 投稿日:07/11/30 22:44 ID:ZMpMLujR0
狩場情報ひっそりのジュピ1Fのページがなんかバグってるんですが、
これも垢ハックなどの改変によるものですか><?

28 名前:(^ー^*)ノ〜さん 投稿日:07/11/30 22:55 ID:301M6v7/0
>>23
もうほぼ終了した事だけど…
基本的なことですがブラウザのヘルプからバージョン情報を確認。
マイ コンピュータを右クリックでプロパティでシステムを確認。
(スタートメニューのファイル名を指定して実行、winverで詳細が判る)
検索サイトで調べる癖をつけておくといいです。

>PC関連疎いのでよくわからないですが
ならば尚の事、これを機会にアンチウイルスソフトだけでもインストールするべきかと。
PG2やhosts変更は勉強するつもりで説明をよく読んでやっておくと
今後何かあったときに慌てなくて済む筈です。

29 名前:(^ー^*)ノ〜さん 投稿日:07/11/30 23:21 ID:3SqRK7Xx0
>>27
|重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
|対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

30 名前:(^ー^*)ノ〜さん 投稿日:07/12/01 01:13 ID:KJb5vLMF0
>>23です(´・ω・`)
いま>>24にあったのでカスペで再スキャンしてみたところ・・・
help.htm_ - Trojan-Downloader.VBS.Psyme.kq,
index.htm_ - Trojan-Downloader.HTML.IFrame.ba
の二つがみつかりました。
とりあえずOS入れ替えカナとは思うのですが、
一応除去方法を教えていただけないでしょうか?
また、このままの状態でOSを入れ替えた場合ウィルスはきえているのでしょうか?

31 名前:(^ー^*)ノ〜さん 投稿日:07/12/01 01:22 ID:5y+DhBse0
>30
カスペのオンラインでスキャンして見つかったのなら、カスペの体験版を
DLしてきて、インストールして再度検索すれば、駆除出来る。

他のトロイは居ないと思うが、誰も安全、と断言は出来ないので
HDDフォーマットの後、OS再インストールを勧める。

>また、このままの状態でOSを入れ替えた場合ウィルスはきえているのでしょうか?
HDDフォーマットしてからの入れ替えなら、消えてる。


それと
>【 アンチウイルスソフト 】 無し
これはどう考えてもマズい。
カスペなりを購入してインストールする事を勧める。

32 名前:(^ー^*)ノ〜さん 投稿日:07/12/01 01:26 ID:UqSwecNH0
完全に安全にしたいのであればどうしてもHDDからのフォーマットになります。
新型ならば隠れているものの見逃しもあるかもしれないし、駆除でも安全かどうかは正直解りません。
過去にかかって駆除したけど、一年したら垢ハックされていたという報告もありますので。

33 名前:(^ー^*)ノ〜さん 投稿日:07/12/01 06:00 ID:xswyR2By0
俺なんか心配性、もといビビリなので
PC購入したら真っ先にセキュリティ関連から知識を付けていったものだけどなあ。
ウィルス云々の怖さはPC触ってない頃でもTVやら新聞で見聞きしたし。

いい機会だと思って色々やってみるといいかもね。

34 名前:(^ー^*)ノ〜さん 投稿日:07/12/01 07:44 ID:IXBi7SzP0
>>また、このままの状態でOSを入れ替えた場合ウィルスはきえているのでしょうか?
>HDDフォーマットしてからの入れ替えなら、消えてる。

OS上書きインストールの場合は、消える場合もあるし、残っている場合もある。
残っている場合でも、起動しても読み込まれない為に発動しない、ステルス化もされない為
とりあえずは安全な環境に戻る。(上書きされていない領域に残っているものを、自分で
発動させる危険はあるが)

ステルス化されていない場合、セキュリティソフト(が対応していれば)で確実に削除が行なえる。

>>【 アンチウイルスソフト 】 無し
>これはどう考えてもマズい。

同感。信頼性を考えると、カスペを買って導入することがお勧めだが、予算をすぐに出せない場合
>>2の最後に無料で使えるセキュリティソフトが3つ紹介されているのでそれを利用してもいいかと。

体験版入れて、パターン更新されなくなっても使い続けるのはダメ。パターン更新がないと
新種、新種でアタックかけているものを防げない状態になり、入れていないのと同然になる。

35 名前:(^ー^*)ノ〜さん 投稿日:07/12/01 07:50 ID:4MSrh/QL0
処で、kingsoftのは昔の罠は消えているのか?
中国語フォントを入れておかないと、中国語フォントがないというエラーを出すダイアログが同じエラーを出して泥沼だったんだが。

36 名前:(^ー^*)ノ〜さん 投稿日:07/12/01 08:00 ID:IXBi7SzP0
>>35
いつの話だ?

37 名前:(^ー^*)ノ〜さん 投稿日:07/12/01 08:01 ID:IXBi7SzP0
>>35-36
あ、ごめん、素でスレ間違えた。移動しようか。

セキュリティ対策、質問・雑談スレ3
http://enif.mmobbs.com/test/read.cgi/livero/1186660300/

38 名前:(^ー^*)ノ〜さん 投稿日:07/12/01 14:07 ID:DTK/M3vj0
>>23 (iframeで >>15 )の罠サイト、画像直リンできないITmediaに
imageタグ飛ばしまくって…どう表示されるか確認してないんだろうか。

39 名前:(^ー^*)ノ〜さん 投稿日:07/12/02 23:31 ID:G/LAajpf0
福建人の罠ドメインを発見。
www■mylineagejp■net/tt■rar

罠ファイル名はリネだね、どうせroとかFF向けも置いてあるんだろうが。

40 名前:(^ー^*)ノ〜さん 投稿日:07/12/03 00:02 ID:cEc66NXj0
>>39
>www■mylineagejp■net/tt■rar
Trojan-PSW.Win32.WOW.afn

NOD32,カスペ,マカフィー,AVG,Avast全て捕捉。
Symantecはスルー

41 名前:(^ー^*)ノ〜さん 投稿日:07/12/03 01:44 ID:rLJT+v+v0
役立たずで正直スマンテック。

てか本当に役立たずだな。
3年ほどノートン愛用で今も2007使ってるけど、期限切れたらカスペにするんだぜ・・・

42 名前:(^ー^*)ノ〜さん 投稿日:07/12/03 16:26 ID:7Bh6CauR0
初心者的な質問で申し訳ないが、上のような危険アドをhostsに手動で加えていく時
127.0.0.1 lg96☆3322△org/jp/
127.0.0.1 www☆mylineagejp△net/tt○rar
このようにURLのスラッシュを入れてもちゃんと有効になりますか?
どこできればいいかよくわからなく…
まとめサイトの一覧などを見ると/が入ってないので、/の前で切るべきなのかな

43 名前:(^ー^*)ノ〜さん 投稿日:07/12/03 17:27 ID:cEc66NXj0
>>42
あくまでも、IPの生数字→hosts→DNSの順番で「名前解決」するものなので、後ろは付けないように。

127.0.0.1 lg96■3322■org
127.0.0.1 www■mylineagejp■net

あと、テンプレ位読んでくれ。
|重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
|対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ3
 http://enif.mmobbs.com/test/read.cgi/livero/1186660300/

44 名前:(^ー^*)ノ〜さん 投稿日:07/12/04 09:40 ID:UOd+IEFW0
福建人がこのようなURL表記で爆撃をしている事を確認。
爆撃地点多数ヒット。
www■%6B%65%6C%65%38%38●%2E●com/av/ = kele88

いよいよ半角ドットと%2を禁止にしておくべき時が来たか。

ということであげ。

45 名前:44 投稿日:07/12/04 09:51 ID:UOd+IEFW0
%2e周辺の●はゴミ入れただけだからね。

46 名前:(^ー^*)ノ〜さん 投稿日:07/12/04 19:43 ID:RrNN5dzQ0
%を禁止にすれば良いんじゃ

47 名前:44 投稿日:07/12/04 19:56 ID:UOd+IEFW0
>%を禁止にすれば
そう言われればそうかもしれないけど、
%をコメに記入したい人もいるかもと考えれば
%2の方が現実的かな、と。

48 名前:(^ー^*)ノ〜さん 投稿日:07/12/04 23:32 ID:WPpSkdNN0
連中、今度はフリチケに進出した模様。
ttp://page■freett■com/xxends/wz/main■htm
-> ttp://page■freett■com/xxends/wz/Ms06014■htm
-> ttp://page■freett■com/xxends/wz/rp■html
-> ttp://page■freett■com/xxends/wz/zy■htm
-> ttp://page■freett■com/xxends/wz/Ms07004■js

49 名前:(^ー^*)ノ〜さん 投稿日:07/12/04 23:51 ID:UOd+IEFW0
ちなみにこれも同じ類。
page■freett■com/ffxihackers/

いきなりスクリプトおいてやがる。

50 名前:(^ー^*)ノ〜さん 投稿日:07/12/05 00:11 ID:SAMHpRiI0
もう2chなどにはかなり爆撃されてますね。
ご注意を。

51 名前:(^ー^*)ノ〜さん 投稿日:07/12/05 00:16 ID:eyDG+blH0
【  アドレス   】linege■1102213■com
          www■yohoojp■com
【気付いた日時】昨日 23:20頃
【     OS    】 WinXP SP2
【使用ブラウザ 】 IE6
【WindowsUpdateの有無】昨日
【 アンチウイルスソフト 】カスペ7.0 更新は本日中に2回位
【その他のSecurty対策 】
【 ウイルススキャン結果】現時点で未検出。検体提出の後、パターン更新後にスキャン予定。
【スレログやテンプレを読んだか】 Yes
【hosts変更】無し
【PeerGuardian2導入】有り/資料室の中韓台リストブロック
【説明】
余りにも怪しげなアドレスが、PG2のブロックリストに並んでいるのを発見。

アドレスの前後を削ってぐぐると、既知のアカハックに名前が載っている。
ttp://www■yohoojp■com/haha.exe

一時的に検体入手する為、PG2のHTTP許可を出して入手。VirusTotalにかけたが
AVGが検出する以外、カスペも含めて無反応。(そのためスキャンはパターン対応後を予定)

AVG 7.5.0.503 2007.12.04 Exploit

危険URLに置かれていたため、誤検知ではなく、他がすりぬけてると思われるので
検体提出に行ってきます。どこで踏んだかなぁ。

PG2の履歴を見る限りでは、結構前からブロックの形跡がある。やばいやばい。

52 名前:(^ー^*)ノ〜さん 投稿日:07/12/05 00:23 ID:dRi93x1r0
>51
まさに福建人の日本人に対する意識が伺える罠ドメインの使い方。
”日本人は馬鹿だからすぐに忘れるぜ、1年位前のなんて覚えちゃいねーだろ”と福建人は思っている。

53 名前:(^ー^*)ノ〜さん 投稿日:07/12/05 00:59 ID:oTrH/T8x0
>>44
Wikiや検索のURLにも%で始まるのが使われてるので
一概に禁止と言うのも難しいんですよね

あと、IE系では表示されて、Mozilla系だと表示されない傾向があるようです

54 名前:(^ー^*)ノ〜さん 投稿日:07/12/05 01:27 ID:dRi93x1r0
>>53
コメント欄限定の話だから問題ないんじゃね?
普通コメント欄にそんなの書き込むやつがいるのかどうかって話だと思うし。

55 名前:(^ー^*)ノ〜さん 投稿日:07/12/05 04:22 ID:qyCMMz/b0
ルータの仕様なのか何なのか判らないが、>>44 みたいな
エンコードされたドメインは名前解決できなかった。

56 名前:(^ー^*)ノ〜さん 投稿日:07/12/05 13:45 ID:dRi93x1r0
福建人の罠ドメインを確認
www2■h3210■com
お約束の各種ディレクトリも確認
jp、av

/はどっかの無料サイトのページをパクリ、サイズ0のIFRAMEタグを発動し、kele88ウィルスを仕込む形。
/jp/の場合、ITMEDIAのサイトを見せてと罠発動と言う形。
/av/の方は日本のサイト(情報を見ると東芝系?)を見せて罠発動と言う形。

しかしavの方の日本サイトは空白、どういうことだろ。

57 名前:(^ー^*)ノ〜さん 投稿日:07/12/05 15:17 ID:JS6t4KH10
>>48
page■freett■com/xxends/wz/hy.exe
スルー多数。上から3つ目のrp.htmlに注意。
スクリプトが動作環境を限定しており、2000・XP・2003、IE6・IE7、
RealPlayer6.0.14.536・6.0.14.543・6.0.14.544・6.0.14.550・6.0.14.552。
すなわちRealPlayer11Betaを狙い撃ちする。
Betaユーザは正式版(6.0.14.748)への更新を。
URLを削ってトップに行ったらエロサイトを偽装、
RealPlayerでエロ動画を再生(青少年有害)。

>>49
全ページ見たわけじゃないが、FFのツールが置いてあるだけじゃね?
freettはデフォで広告スクリプトてんこ盛りだが有害コードは見あたらなかった。
ツール置き場は www■mediamax■com/jameswhite333312/ (以下略)
接続できなかったので確かめてないが、仕込まれているとしたらツール側と思われる
(他所でrarファイル直リンでの爆撃も散見されたことから)。

>>51
期限切れたとかでレンサバ業者の広告になってね?

>>56
トップは前記のRealPlayer11Beta狙い撃ちスクリプト。
avとjpはいずれもiframeで
www■kele88■com/av/help.htm から
www■kele88■com/av/av.exe
avは東京新聞、jpはITmediaのパクリ。
av.exeはほぼ捕捉可能と思われる。

58 名前:(^ー^*)ノ〜さん 投稿日:07/12/05 15:18 ID:oTrH/T8x0
>>44に追加情報があったので転載

> Wikipediaに次のようにあるので、Shift_JISを使った場合は
> 「.」にあたる文字を規制しても、Wikiの漢字URL関連には影響なさそうです
> > Shift_JISの2バイトコードの空間は、
> > 第1バイトが0x81-0x9Fならびに0xE0-0xFC、
> > 第2バイトが0x40-0x7Eならびに0x80-0xFCである。
>
> よって、0x2E (URLエンコード表記では0xを%に置き換える)は
> 漢字の部分には影響はなさそうです

普通に、「%2E」及び「%2e」を禁止ワードとすればよさそうです

59 名前:57 投稿日:07/12/05 15:42 ID:JS6t4KH10
>>56
トップ変更。iframeで
www■kele88■com/av/help.htm から
www■kele88■com/av/av.exe
つまりjpやavと同じ。
「無料サイト集kooss」(何これ?)のパクり。

60 名前:(^ー^*)ノ〜さん 投稿日:07/12/05 17:10 ID:dRi93x1r0
>>57
FreeTTのffxihackers

Bugs,Exploits,Bots,Hacks,Cracks,Tools & Macros.....
YOUR BEST IS OUR WORST....

とてもまともなサイトには見えないんで一応通報済み。
福建人の本業といったところか。
どうせこのサービス使ったのはTT(リネ:サービス名を中華風に言えば無料リネ)が入ってたからだろうけど。

mediamaxの方は無料のストレージサービスな。
連絡先あったからこれから通報。

61 名前:(^ー^*)ノ〜さん 投稿日:07/12/05 17:33 ID:dRi93x1r0
mediamaxの罠RARファイル、やばい。
現時点で検出してるのが
Avast、BitDefender、NOD32(ヒューリスティック)、Panda、Rising、Webwasherのみ。

62 名前:(^ー^*)ノ〜さん 投稿日:07/12/05 18:08 ID:NUog8QzJ0
なんかあちこちに張られてるなぁ。
必死すぎw

63 名前:(^ー^*)ノ〜さん 投稿日:07/12/05 18:20 ID:ueF2OJza0
笑えねーだろ

64 名前:(^ー^*)ノ〜さん 投稿日:07/12/05 18:28 ID:kqR9Ymvx0
ついでにkele88は未実装スレにも爆撃してる

>ttp://www■yinra■com/inf/

セキュスレ>777から見てもらえば判るが、このドメインはkele88との事。
VirusTotalはほぼ全てスルーしたらしい。

65 名前:(^ー^*)ノ〜さん 投稿日:07/12/05 18:32 ID:mLXgnLSI0
>>58
%2eを禁じても、
www■%6B%65%6C%65%38%38■com/av
とやられたらスルーされてしまうかと。じゃ%6B%65%6C%65%38%38ならどうか
とくれば
www■k%65%6C%65%38%38■com/av
と来れば回避できる。即ち、単純な方法じゃ無理という事です。
CGIのコードに手を入れるか、urlの投稿を禁じる等の運用で対処するかでしょう。

ちなみにエンコードされたドメイン名を含むアドレスはOperaでもアクセスできます。
この件はアプリ毎の実装の違いでしょうから仕様は余り関係ないか。

何はともあれご注意を。

66 名前:(^ー^*)ノ〜さん 投稿日:07/12/05 18:42 ID:dRi93x1r0
>>65
個人レベルである程度防げりゃ良いんじゃね?
そこまで変なURLになればさすがに怪しむ方が多いと思う、
他人や知人の名前パクってウィルスリンク書いても胡散臭いリンクじゃ、ね。

殆どレンタルサービス借りてやってるだろうから
その辺の根本的対策ともなればそれこそサービス運営に要望を出さんといかん。

67 名前:(^ー^*)ノ〜さん 投稿日:07/12/05 18:59 ID:eyDG+blH0
初心者スレに投下されていたもの。他にも多数のスレに投稿されている模様。
警鐘age

ttp://www■hao123■com
ttp://www■887766■com

怪しいアドレスを見掛けても踏まないように。

68 名前:(^ー^*)ノ〜さん 投稿日:07/12/05 19:00 ID:mLXgnLSI0
>>66
一応現実的には問題は無いと思う。
一つの策で完全に防ぐ、というよりは複数の策で絡め取るほうが効果的でしょう。
カクテル療法って奴ですな。

ただ、%2e禁止策に関しては回避がすさまじく容易な物なのでその危険性を
把握すべき、ということです。意味無いとは言いませんが…。

ぶっちゃけ既出の、URL禁止化やコメントの管理者の検閲必須化のほうが有効でしょう。

69 名前:(^ー^*)ノ〜さん 投稿日:07/12/05 19:04 ID:ueF2OJza0
もうあぷろだのURLと管理人がテンプレに書くときだけのURL以外は禁止したらいいんじゃないかなここ

70 名前:(^ー^*)ノ〜さん 投稿日:07/12/05 19:05 ID:ueF2OJza0
書いて気付いたがセキュ向けだな、すまん

71 名前:(^ー^*)ノ〜さん 投稿日:07/12/05 19:26 ID:9RQKcKP50
>>64の対処法を教えてもらえます?
再インストールはディスクを無くしてしまって、スキャンは出ないみたいなので・・
踏んじゃったのでなんとかしようとは思ったのですが、こういう事が初めてでして・・

72 名前:(^ー^*)ノ〜さん 投稿日:07/12/05 19:28 ID:eyDG+blH0
>>71
パターン対応するまでPC起動しない。
対応されたら、パターン更新だけ接続して切断。
スキャンして除去。

ぶっちゃけ、OSのインストールディスク発掘がんばれ。

73 名前:(^ー^*)ノ〜さん 投稿日:07/12/05 19:33 ID:9RQKcKP50
>>72
了解です
切る前にもうひとつ質問なんですが、セットアップが出てきたので怪しいと思いキャンセルしたのですが、これでも感染はしているのでしょうか?
ブラウザはSleipnirです。

74 名前:(^ー^*)ノ〜さん 投稿日:07/12/05 19:36 ID:vbusE51i0
パソコン内のイルカやらゲイツやぐーぐるに聞けばいいだろ。

75 名前:(^ー^*)ノ〜さん 投稿日:07/12/05 20:11 ID:JS6t4KH10
>>73
実行していないなら問題なし。

76 名前:(^ー^*)ノ〜さん 投稿日:07/12/05 20:14 ID:eyDG+blH0
>>73
キャンセルは正解。実行を阻止したなら感染していない「可能性が高い」。

感染した為に呼びだされたセットアップかもしれず、なんの保証もできない。
セキュスレによると、>>64のアドレスは、setup■exe を直接呼びだす構造なので
実行を阻止したなら感染していない「可能性」もある。

あとは自己責任で判断して欲しい。このスレで推奨するのはOS入れなおし。

77 名前:(^ー^*)ノ〜さん 投稿日:07/12/05 20:54 ID:kqR9Ymvx0
>67
hao123も887766も共にcnだが、内容がなんとも。

hao123はBSWiki氏の危険ドメインに存在してるので、過去に危険だったのは間違いない。
887766はswfが多用されてて、もしかしたら脆弱性を付くタイプの代物があるのかもしれない。

ただリンクが多すぎてチェックしきれないし、IPも調べたがちょっと判断が付かない。

ただスレ爆撃の書き方からしても普通じゃないのとCNドメインだし、暫定的でも
危険アドレス扱いで良いかと。

78 名前:(^ー^*)ノ〜さん 投稿日:07/12/05 20:59 ID:eyDG+blH0
>>77
乙。

わたしも887766を辿ってみてたんだが、もう、リンク多すぎで本体見つからず。どうしたものかと。

79 名前:(^ー^*)ノ〜さん 投稿日:07/12/05 21:51 ID:eyDG+blH0
>>64
カスペから返答。本日多数のスレに貼られた>>64のアカハックトロイは、
パターンを更新すれば検知可能になっているとのことです。

setup■exed - Trojan.Win32.Inject.mu

This file is already detected. Please update your antivirus bases.

80 名前:(^ー^*)ノ〜さん 投稿日:07/12/05 22:17 ID:eyDG+blH0
LiveROに貼られていたアカハックと思われるアドレス。多分、既出。

www■778899■jp

81 名前:(^ー^*)ノ〜さん 投稿日:07/12/05 22:45 ID:dMNQ6WGG0
>80
未出と思われ。

で、ソース覗いてみたが、これまた良く分からない。
>www■778899■jp■:80
こんな感じでjpやcomの後に「.」を置く書式になってたり
whoisで見つからなかったりとか。

これは一体?

82 名前:(^ー^*)ノ〜さん 投稿日:07/12/05 23:21 ID:JS6t4KH10
「サーバが見つかりませんでした」
comドメインはあるんだけど、こっちもIISの初期ページ。
何かミスったものと思われ。

83 名前:(^ー^*)ノ〜さん 投稿日:07/12/06 10:03 ID:VJgmI9t80
最後の . はルートドメインだな。

84 名前:(^ー^*)ノ〜さん 投稿日:07/12/06 22:21 ID:Tsw0g7h00
【  アドレス   】http://www■qipilang■org/shabi/
【気付いた日時】 07/12/06 05:40頃
【     OS    】 winXPSP2
【使用ブラウザ 】 IE6(Sleipnir)
【WindowsUpdateの有無】 自動更新
【 アンチウイルスソフト 】 Symantec Antivirus 定義ファイル自動更新
【その他のSecurty対策 】 ルータ Spybot S&D、Ad-Aware SE
【 ウイルススキャン結果】 未検出
【スレログやテンプレを読んだか】Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
開く途中か開かれても白かったのか不明だが表示が遅かったので気付いた。

大人しく再インストールですかね

85 名前:(^ー^*)ノ〜さん 投稿日:07/12/06 22:35 ID:K5ThLcHQ0
>大人しく再インストールですかね

うんっ(^-^)キッパリ

86 名前:(^ー^*)ノ〜さん 投稿日:07/12/06 22:39 ID:tf0QLJTd0
FreeTTの罠サイト2つ消滅を確認。

87 名前:(^ー^*)ノ〜さん 投稿日:07/12/06 22:49 ID:K5ThLcHQ0
>>84
ぶっちゃけ、こんな感じ。

カスペオンラインスキャンで入手してないかスキャンして自己責任で使い続けるって手もあるけど
(カスペは全部撃墜)正直お勧めしない。やっぱりOS入れなおしコースじゃないかな。

ttp://www■qipilang■org/shabi/index■htm
ttp://www■qipilang■org/shabi/wz■htm
ttp://www■qipilang■org/shabi/wu■htm
ttp://www■qipilang■org/shabi/dns■htm
ttp://www■qipilang■org/shabi/kiss■htm

ttp://www■xinluoqu■com/FFXI/ser■exe
ttp://www■xinluoqu■com/shagua/test■exe
ttp://www■xinluoqu■com/ied/as■exe
ttp://www■xinluoqu■com/shabi/svch■exe

全部、Symantecはスルー

ser■exe : Trojan-PSW.Win32.OnLineGames.fcj
test■exe : Trojan.Win32.Inject.ke
as■exe : Heur.Trojan.Generic
svch■exe : Trojan.Win32.Pakes.bqf

88 名前:(^ー^*)ノ〜さん 投稿日:07/12/06 22:50 ID:K5ThLcHQ0
・・・「■exe」が禁止ワードっぽい。投稿しにくいったらないな。

89 名前:(^ー^*)ノ〜さん 投稿日:07/12/07 00:32 ID:2Zm2pl6R0
でも■exeが使用可能だった場合を考えるとさらに被害甚大だっただろうからしかたあんめえ

90 名前:(^ー^*)ノ〜さん 投稿日:07/12/07 00:34 ID:LxJp4SOU0
そもそも実行ファイルへのリンクなんて普通は不用だしな

91 名前:(^ー^*)ノ〜さん 投稿日:07/12/07 07:54 ID:t9izoZp50
>>87
asがUPXなのでバラして見てみたらSecondLife用のトロイだった。
いろいろ詰め合わせなのね。

92 名前:(^ー^*)ノ〜さん 投稿日:07/12/07 08:40 ID:O2fV/L3D0
kele88■com系は2chにも激しく爆撃をしてたようで、運営側で対策が取られたようです

No A057 トロイサイト 【kele88■com】 宣伝対策
http://qb5.2ch.net/test/read.cgi/sec2chd/1196775676/

IPとかが参考になるかな。・・・・やぱりODN。

93 名前:(^ー^*)ノ〜さん 投稿日:07/12/07 14:49 ID:t9izoZp50
アカハックと並行してWebサーバを書き換えると思われるものもある
(プログラム中にiframeベタ書き)けど、>>92 のリモホが結構ばらばらなので
投稿するルーチン持ってる奴もあるのかもねぇ。

94 名前:(^ー^*)ノ〜さん 投稿日:07/12/07 15:02 ID:mz5ezUdn0
>>92
上2つはこのスレでも既出っすね。
ttp://www■kele88■com/av/
ttp://www■%6B%65%6C%65%38%38●%2E●com/av/  (●%2E●=%2E=.)

>>92のスレでkele88への誘導とされているアドレス。
多分、こっちの幾つかは未出かな。見覚えあるのも混ざってるけど。

ttp://av■blog5566■com/images/
ttp://www■jp2008■co■cc/
ttp://lg96■3322■org/jp/
ttp://www■yahgoo■co■cc
ttp://kooss■2288■org

95 名前:(^ー^*)ノ〜さん 投稿日:07/12/07 15:24 ID:t9izoZp50
FF関連BBSに投下されたkele88で
blog2008■9966■org/images/
ってのもあった。

96 名前:(^ー^*)ノ〜さん 投稿日:07/12/07 17:50 ID:UcUtzSsTO
リンククリックしないでいれば大丈夫なのか? 行きなりハックされたりはないの?

97 名前:(^ー^*)ノ〜さん 投稿日:07/12/07 18:00 ID:O2fV/L3D0
>>95
kele88系が投入しているサブドメイン付きの物はどうも中国の無料サービスを利用しているみたいだね。
レンタルサーバかなにかかな。提供元は捜索中。

>>96
その辺の軽めな話題は姉妹スレへどうぞ。多分大丈夫。

98 名前:(^ー^*)ノ〜さん 投稿日:07/12/07 19:27 ID:nXF5E7CF0
co■ccはそれっぽい名前にしてくれるっていう無料サービスだね。
例:12345■com -> abcde■co■cc
blog5566は初見、福建人はホント同じ数字2つ並べるのが好きだな。

99 名前:(^ー^*)ノ〜さん 投稿日:07/12/07 20:00 ID:t9izoZp50
dj5566とか思い出すなw

100 名前:(^ー^*)ノ〜さん 投稿日:07/12/07 21:55 ID:p5fxn2nvO
課金が切れてる場合に踏んだらどうなるの?
次インするまでは大丈夫なのかな?

101 名前:(^ー^*)ノ〜さん 投稿日:07/12/07 22:35 ID:3by9wGlQ0
>100

>1
>対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。
>【一般的話題用】
>セキュリティ対策、質問・雑談スレ3
> http://enif.mmobbs.com/test/read.cgi/livero/1186660300/

セキュスレの方で回答しておいた。

102 名前:(^ー^*)ノ〜さん 投稿日:07/12/07 22:36 ID:EVLGfuRF0
>>100
ダイジョウV

103 名前:(^ー^*)ノ〜さん 投稿日:07/12/07 22:49 ID:p5fxn2nvO
板違いだったか。ごめん&ありがとう

104 名前:にゅぼーん 投稿日:にゅぼーん
にゅぼーん

105 名前:(^ー^*)ノ〜さん 投稿日:07/12/08 01:21 ID:+e6KErEW0
>104
まず最初に、急いで削除依頼してきなさい。

その結果のアドレス、ハクアドレスでブラウザからも飛べてしまう。

106 名前:(^ー^*)ノ〜さん 投稿日:07/12/08 01:22 ID:3g42axh60
中華の新たな手口か

107 名前:104 投稿日:07/12/08 01:26 ID:5MAP1ayh0
さーせん。完全に見落としでした。マッハで削除依頼だしてきます orz

108 名前:104 投稿日:07/12/08 01:31 ID:5MAP1ayh0
と思ったら、どなたかが出してくれてました。
ご迷惑をおかけしました。ありがとうございます。
削除される前提で、もう一回書き込ませていただきます。

【  アドレス   】tinyurl■com/yty3le
【気付いた日時】数時間前
【     OS    】Win XP Pro SP2
【使用ブラウザ 】 FireFox 2.0.0.11
【WindowsUpdateの有無】でるたびに即時更新してます。確認しましたが最新でした。
【 アンチウイルスソフト 】NOD32/カスペルスキー試用版 どちらもバージョンは最新
【その他のSecurty対策 】Spybot S&D
【 ウイルススキャン結果】 NOD32製品版とカスペルスキー試用版にてスキャン。詳細は説明へ
【スレログやテンプレを読んだか】このスレと前スレは目を通しました。
【hosts変更】無
【PeerGuardian2導入】無
【説明】
ROとは無関係なゲームのwikiにて誤クリックで飛びました。飛び先は青だけの画面。
パスワード関連は別PCから変更完了しています。

短縮URLのソースチェッカーオンラインでの結果 : www■caremoon■net/blog/index■htm

前スレ990及び993とほぼ同じサイトのようです。
そちらのレスではNOD32/カスペルスキー共に撃墜したとの話だったのですが、
同名のトロイはどちらにも検知されませんでした。

スキャンはNOD→反応なし、カスペ→Trojan.Win32.Delf.ajiを検知→削除完了。
が、前スレで挙がっている名前とは違うので、別の物を見逃してたのかな…と思っています。

出来ればクリーンインストールは避けたいのですが、
「まだこれが残ってる」という対策があればご教授お願いします。
遅まきながらHosts変更とPG2は導入しました。
セキュスレ行きでしたら、その旨の指示もお願いします。

109 名前:(^ー^*)ノ〜さん 投稿日:07/12/08 02:30 ID:+e6KErEW0
>108
アドレス自体は既出のもので、iframeでサイズ0のindex1■htmを呼び出してる。
中身は昔見た覚えのある、懐かしすぎるタイプ。
デコードしてみたところ、カスペで Trojan-Downloader.VBS.Psyme.ds として検出。

www■caremoon■net/blog/index■htm
->www■caremoon■net/blog/index1■htm (Trojan-Downloader.VBS.Psyme.ds)
--->www■caremoon■net/blog/send■exe (Trojan-PSW.Win32.Delf.aih)
--->www■caremoon■net/blog/f2■exe (Trojan-PSW.Win32.OnLineGames.fcj)
--->www■caremoon■net/blog/reak■exe (Trojan-PSW.Win32.Magania.bph)

カスペは全部検出してるが、>104の検出結果と微妙に違ってるのが気になるところ。
既に差し替えられたのかな?

完全に駆除されて安全ですとは誰も言えないので、確実を期すなら再インストール。

再インストールしないなら、自分が安全だと自信を持てるまではそのPCは使わないこと。
打てる対策といっても、数日の間は定期的にカスペ等でフルチェックを掛けまくるぐらいしかない。

110 名前:104 投稿日:07/12/08 03:05 ID:5MAP1ayh0
>>109
丁寧な返信ありがとうございます。
情報漏れがありましたので追記しておきます。

踏んだ時点ではウイルスソフトはNOD32を使用しており、何の反応も示しませんでした。
その時点でおかしいと思って検索をした結果、垢ハックアドレスの事実を知り、
その後にカスペのインストール及びスキャンを行ったため、カスペでのスキャンは感染後(?)になってます。

双方で全く検知されないって事は「即閉じ or 何らかの理由で逃げ切れた」って可能性もありそうですが、
潜伏されてる可能性の方が高そうなので、この週末に潔くクリーンインストールしようと思います。

Trojan-PSW.Win32.OnLineGames.fcjはNOD32での撃墜事例があるようですので、
何故今回に限って検知できなかったかは疑問が残りますが、素人が余計な事すると自爆しそうなので忘れる事にします。

104のミスは申し訳ありませんでした。迅速な削除に感謝します。

カスペに乗り換えよっかな…(´・ω・`)

111 名前:(^ー^*)ノ〜さん 投稿日:07/12/08 09:08 ID:9OxcJ5/B0
福建人の罠ブログを見つけた。
secondlife001■blogspot■com
自分で改竄したcaremoon入りWikiの編集画面から記事丸パクリ。

プロフィールには福建人お気に入りに女性名。(liu200711xxシリーズのプロフィールで多用)
caremoonのリンクがある。

Blogspotなんで違反ブログ申告とかはないみたい。
規約では”記事には嘘の情報や危険な情報があるかもしれない、それにアクセスするのは自己責任”としか書かれていない。
知人友人に利用者がいなければBlogspotをフィルタリングするべきかね。
そういう場所にヤフーのliu200711xxシリーズのようなマルチアカウントやられるとまずいしね。

112 名前:111 投稿日:07/12/08 09:23 ID:9OxcJ5/B0
連絡先は捜したらあったが英文のみらしい。
help.blogger.com/?page=contact&hl=en

しかもGoogleアカウントが必要。
先に日本語で書いておいたのをエキサイト翻訳して送った。

113 名前:(^ー^*)ノ〜さん 投稿日:07/12/08 12:31 ID:9OxcJ5/B0
コレも福建人の罠、と。
blog2008■9966■org

/imagesディレクトリには
kele88へのステルスIFRAMEが仕込んである。

ちなみにimagesディレクトリの中身はこの掲示板のソース丸パクリの上で仕込んだもののようだ。
one-make.jp/bbs/

おそらく育成とBBSで福建人キーワードに引っかかったんだと思われ。

114 名前:(^ー^*)ノ〜さん 投稿日:07/12/08 15:23 ID:+e6KErEW0
>110
NOD32で調べた結果

send■exe (Win32/PSW.OnLineGames.FCJ トロイの亜種)
f2■exe (Win32/PSW.OnLineGames.FCJ)
reak■exe → 素通り

reak■exeはESETに送付済。

多分新種で検出出来なかったんでしょう。
NOD32からカスペに切り替えるのは自由だけど、過去ログ読めば判るように
カスペをスルーするように作ってるものも多い。
カスペだから安全とか、変に過信すると痛い目に遭うので注意。

115 名前:(^ー^*)ノ〜さん 投稿日:07/12/08 19:28 ID:kizk7CTV0
NOD32だから安全とか、変に過信すると痛い目に遭うので注意。

116 名前:104 投稿日:07/12/08 23:49 ID:5MAP1ayh0
>>114
NOD32での検証ありがとうございます。そして、提出お疲れ様です。

そうですね。何事も妄信は危険ですね。
そのへんを肝に銘じて、今後はそれ以外の対策に気を使っていきたいと思います。
PG2とかHosts変更とか…注意力とか。

以後名無しに戻ります。ありがとうございました。

117 名前:(^ー^*)ノ〜さん 投稿日:07/12/09 02:17 ID:4qnUIw+i0
【  アドレス   】http://www■qipilang■org/shabi/
【気付いた日時】 07/12/09 01:00頃
【     OS    】 winXPSP2
【使用ブラウザ 】 IE6(Sleipnir)
【WindowsUpdateの有無】 自動更新
【 アンチウイルスソフト 】 ウイルスバスター2007(アップデート日時12/08)
【その他のSecurty対策 】 ルータ
【 ウイルススキャン結果】 検出後、隔離済み
【スレログやテンプレを読んだか】Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
開こうとしたらウイルスバスターが警告出してくれたので気づいた。
TemporaryInternetFilesに入ってたのでTemporaryInternetFilesの下にあったファイルとフォルダを全消去。
消した後に再度ウイルススキャンをかけたら発見されなかった
大丈夫・・・と見ていいんでしょうか?

118 名前:(^ー^*)ノ〜さん 投稿日:07/12/09 06:25 ID:a3+rbOD80
ブロックできた可能性が高いとは思うが保証はできない。

・ブロック出来たと信じ、予防のためにPG2で送信をブロックしつつそのまま使用
 (他のエンジンでオンラインスキャンをかけて全検査すれば尚よし)
・安心できないのでOS入れなおして、確実に安全な環境に戻す

好きな方を選べ。

119 名前:(^ー^*)ノ〜さん 投稿日:07/12/09 08:54 ID:4oHBOaED0
>>117
>>87

120 名前:(^ー^*)ノ〜さん 投稿日:07/12/10 20:37 ID:c72v0p4Q0
【      気付いた日時          】12/10 18時前
【不審なアドレスのクリックの有無 】Wikiで踏みました
【  アドレス   】 http://www■qipilang■org/shabi/
【     OS    】 XPのSP2
【使用ブラウザ 】 FireFox 2.0.0.1.1
【WindowsUpdateの有無】 自動でしています
【 アンチウイルスソフト 】 ウイルスバスター2007
【その他のSecurty対策 】 していません
【ウイルススキャン結果】 カスペルスキーオンラインスキャンでは発見されませんでした
【テンプレの参考サイトを読んだか】 ざっと読みました
【hosts変更】わかりません
【PeerGuardian2導入】無し
【説明】
セキュリティ対策、質問雑談スレの877です。
こちらのスレは見ていませんでした…。申し訳ありません。
カスペで除去してから再インストールしようとしたのですが、ウイルス自体が
発見できません。Spybotを導入してみて検索しても発見できません。
FireFoxに、NoScriptというアドオンを入れているのですが
ブロックできたと考えていいのでしょうか。もし隠れてしまっている場合
どうやって探せばいいのでしょうか。
初歩的な質問ですみません。

121 名前:(^ー^*)ノ〜さん 投稿日:07/12/10 21:10 ID:EcrYiZ5U0
>>120
>>117-119

122 名前:(^ー^*)ノ〜さん 投稿日:07/12/10 21:34 ID:c72v0p4Q0
今再インストールしています(書き込みは別PCから)。隠れている物は
どうやっても発見できないということですね。また感染してしまったら、ウイルスソフトは
もう意味がなくなり、再インストール以外は、どうしようもないのですね…。
今回のことはとても勉強になりました。ありがとうございました。

123 名前:(^ー^*)ノ〜さん 投稿日:07/12/10 23:12 ID:5t7/Gfmu0
>>122
一般的な内容になってしまうので、セキュスレに移動しようか悩んだけど、簡単にコメント。

>隠れている物はどうやっても発見できないということですね。
セキュリティソフトを無効にする等の方法で発見できなくする(ステルス化)場合もあります。
どうやっても発見できないということはなく、感染していないシステムに、感染したHDDを繋いで
ステルス化されていない状態でスキャンするとか方法がない訳ではありません。

>また感染してしまったら、ウイルスソフトはもう意味がなくなり、
感染した場合でも、セキュリティソフトで除去したり(もちろんパターンに対応済みの場合)
別途専用のワクチンソフトを用意して除去する方法もあります。
(アカハックトロイの場合の専用ワクチン[除去]ソフトはありません)

>再インストール以外は、どうしようもないのですね…。
状況判断ができない人の取れる対応策はそういうことになります。

今回のケースも、「入手前に切断した」のでセキュリティソフトが反応していない可能性も
ありますが、自分で判断しなければなりません。他の人は実際にアカハックトロイが
存在しないことや、発動していない事を保証できません。

自分で判断できる場合は、>>118のような選択肢になりますが、「ここで質問する=自分で判断できない」
ケースですので、再インストールするのが安心だねとしか言えません。

124 名前:(^ー^*)ノ〜さん 投稿日:07/12/12 07:46 ID:LN5DvGf90
第2水曜WU日age

125 名前:(^ー^*)ノ〜さん 投稿日:07/12/13 07:52 ID:0BvQHsJH0
ROセキュリティWikiの改竄リンクより
www■soracger■com/blog/
www■soracger■com/blog/index1.htm
から
www■caremoon■net/blog/send■exe
www■caremoon■net/blog/f2■exe
www■caremoon■net/blog/reak■exe

126 名前:(^ー^*)ノ〜さん 投稿日:07/12/13 16:51 ID:0BvQHsJH0
リネージュ資料室より
www■boadongo■org/vbshokmm/
iframeで(略)で
www■boadongo■org/vbshokmm/fff■exe FFXI用
www■boadongo■org/vbshokmm/ttt■exe Lineage用

127 名前:(^ー^*)ノ〜さん 投稿日:07/12/13 18:53 ID:SOReIsTt0
>>126
iframeで(略)で
ttp://www■boadongo■org/vbshokmm/ttani■c
ttp://www■boadongo■org/vbshokmm/ffani■c

カーソルとして読み込みってのも。これはWindowsUpdateで防げるとは思うけど。

128 名前:まとめ臨時 ◆kJfhJwdLoM 投稿日:07/12/14 04:36 ID:uHkoT9b30
>>126
情報提供ありがとうございます。
今までやってなかったのもアレでしたが、
他MMOの罠は大抵共通するドメインだったりするので
今後、並列してリネージュ研究室で加えられているリストも
随時チェックすることにしました。

事後報告になりますが、
こまめに臨時サイトで更新しています。
http://sky.geocities.jp/ro_hp_add/

やっとグーグルで引っかかるようになったので安心。
こういう紹介文っぽい跡にURLを張ると罠っぽくていけない…。

129 名前:(^ー^*)ノ〜さん 投稿日:07/12/14 10:43 ID:JvItf7NH0
うちのWiki(非RO)にも今朝改ざんがあったので報告。
MenuBarのリンク先が変更されてました。
 → www■plusd-itmedia■com/web/
中にはサイズ0のiframeで www■caremoon■net/blog/index1.htm
こちらにはJSとVBSのみ。VBSは面倒だったんで解読してないけど、構成や手法から>>125と同じではないかと思われます。

plusd-itmedia ってのは初出かな?

130 名前:(^ー^*)ノ〜さん 投稿日:07/12/14 11:27 ID:amFPWy4B0
>>129
VBデコードしてみたけど>>125から変化なす。

plusd-itmediaには見覚えあったんだが、気のせいだったようだ。前スレまで遡ったが出てないようだ。

131 名前:(^ー^*)ノ〜さん 投稿日:07/12/14 11:36 ID:smAE9lNe0
>130
気のせいじゃないよ。

自分も見覚えあったからちょっと調べてみたら、リネ資料室さんところの
履歴に 2007/04/15 付けで plusd-itmedia が追加されてた。

その時に11件追加されてるが、その中にhomepage-niftyがあったので
昔のものが復活したっぽい。

132 名前:まとめ臨時 ◆kJfhJwdLoM 投稿日:07/12/14 22:12 ID:wiVMGBYV0
Heimdal板で書き込まれていた罠。
お約束でインラインフレームが仕込まれています。

ttp://xi24pps■blog23■fc2.com(初見)
|-ttp://www■nlftweb■com(既出罠)

検体確保のほうはよろしくお願いします。

133 名前:(^ー^*)ノ〜さん 投稿日:07/12/14 23:40 ID:amFPWy4B0
>>132
検体捕獲はしましたが、検出結果はまだ調査してないです。

ttp://xi24pps■blog23■fc2■com/
ttp://www■nlftweb■com/link179700/
ttp://www■rmtfane■com/link179700/ttmain■htm
ttp://www■rmtfane■com/link179700/main■htm
ttp://www■rmtfane■com/link179700/ttani■htm
ttp://www■rmtfane■com/link179700/ttani■c
ttp://www■rmtfane■com/link179700/Ms06014■htm
ttp://www■rmtfane■com/link179700/ani■c
ttp://www■rmtfane■com/link179700/jpmm■exe
ttp://www■rmtfane■com/link179700/ff■exe

134 名前:(^ー^*)ノ〜さん 投稿日:07/12/14 23:44 ID:AvTW6i0p0
これは垢ハック?

ttp://search■cnn■com/search?query=site%3Amultisquid■com%20-1999-buick-regal-gs-superchargerrs

135 名前:(^ー^*)ノ〜さん 投稿日:07/12/14 23:46 ID:AvTW6i0p0
すまん・・テンプレ付きではるの忘れてた

136 名前:(^ー^*)ノ〜さん 投稿日:07/12/15 00:09 ID:kvoWVNhR0
※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※

137 名前:(^ー^*)ノ〜さん 投稿日:07/12/15 00:27 ID:bAznum17O
今ローグテンプレみようとしたら真っ白でなにか文字がでてました。
これはアカハックなのでしょうか?

138 名前:137 投稿日:07/12/15 00:47 ID:bAznum17O
真っ白い画面にKurokogeって出ます

139 名前:(^ー^*)ノ〜さん 投稿日:07/12/15 01:10 ID:IXzTQI2c0
ローグスレのテンプレに

□テンプレが見られない場合
 ビフレストシステムの通過認証が必要です。
 認証ページに従ってプロバイダの使用IP帯を送信してください。
 ※面倒かもしれませんが垢ハック対策でもあります。ご理解・ご協力をお願いします。


と書いてある

140 名前:(^ー^*)ノ〜さん 投稿日:07/12/15 02:34 ID:3ACfYbCd0
【  アドレス   】www■ie6xp■com/playonline/
【気付いた日時】 12/15 01:00頃
【     OS    】Windows2000
【使用ブラウザ 】IE6
【WindowsUpdateの有無】 3日前ぐらい?
【 アンチウイルスソフト 】 AVG(多分…
【 ウイルススキャン結果】 オンラインチェックでVBS_PSYME.BBEとでました
【スレログやテンプレを読んだか】 今読んでます。
【説明】
Wikiを探してる最中に踏んだら画面が真っ白。
ん?と思いソースチェッカーというものをやったら危険URLと出たので
慌ててオンラインチェックをし、ウイルスが1つ検出され削除しました。
こういう事は始めてなのでこれでいいのか不安です よろしくお願いします。

141 名前:(^ー^*)ノ〜さん 投稿日:07/12/15 03:50 ID:FiCRfeqq0
>>140
とりあえず感染したパソコンで絶対にパスやID入力の必要なことをしない
んで「感染していないパソコン」からパス変更
そしたらアンチウィルスソフトで駆除してそのまま使うか
バックアップとってHDDフォーマット後OS再インストールか
前者はウィルスが隠れてたらアウト
後者のほうはバックアップをスキャンするのを忘れずに
AVGで検出できるかわからんけどオンラインスキャンで検出できたならそこの体験版でも落せばいいかもね
後PG2みたいなファイヤーフォールソフト入れて中国にアクセスできなくしておくとより安全

142 名前:(^ー^*)ノ〜さん 投稿日:07/12/15 06:42 ID:kvoWVNhR0
>>140
VBS_PSYMEというキーワードで検索すると、トロイ等をダウンロードするスクリプトの入った
HTMLページであることがわかります。

検知されたのは、多分、IEのキャッシュでしょう。
実行した結果の本体がどこかに隠れている危険な環境なのか、
本体をダウンロードするまえに切断して安全な環境なのか
判断する事ができません。

推奨する解決策:OSの入れなおしかリカバリにより確実に安全な環境にする
非推奨な自己責任:複数の方法でスキャンを行ない、安全である可能性を探り
 安全かもしれないとおもったら、自己責任で使い続ける。
 勿論、PG2などの、見落としていた場合の防御策も適切に設定する。
 見落としの結果、被害を被っても泣かない。

143 名前:(^ー^*)ノ〜さん 投稿日:07/12/15 06:49 ID:kvoWVNhR0
>>133
整理してる途中に寝ちゃってたよ。検体提出でもしてきますかね。

(この4つはカスペスルー)
index■htm : HTML/Infected.WebPage.Gen
index■htm : NotDetected
ttmain■htm : JS/Downloader.Agent
main■htm : JS/Downloader.Agent

(以下はカスペ検出)
ttani■htm : Trojan-Downloader.JS.Psyme.kf
Ms06014■htm : Trojan-Downloader.JS.Psyme.kf
ff■exe : Trojan-PSW.Win32.OnLineGames.fcj
jpmm■exe : Trojan-PSW.Win32.Delf.ads
ani■c : Exploit.Win32.IMG-ANI.ac
ttani■c : Exploit.Win32.IMG-ANI.ac

(本体の検出結果)
ff■exe : カスペ○、NOD32○、マカフィー○、AVG○、Avast○、ノートン×
jpmm■exe : カスペ○、NOD32○、マカフィー○、AVG○、Avast○、ノートン○

144 名前:(^ー^*)ノ〜さん 投稿日:07/12/15 07:27 ID:kvoWVNhR0
>>140
そのアドレスから読み込まれるのは
ttp://www■caremoon■net/blog/index1■htm

>>109-116辺りの情報(カスペでは全部検出できる筈とか)を参考に、スキャンしてみて下さい。
それでも検出されない場合の対応は、>141-142でよろしく。

145 名前:140 投稿日:07/12/15 14:43 ID:/3xrKsy00
>>141
幸いPCがもう一台ある環境だったので
パスワードは全て変更してきました。
初期化?する事が出来ないので、前者の方法になってしまいますが
体験版を落としてもう一度念入りにチェックしてみます。

>>142
PG2というものがよくわからないので
これからぐぐって出来る事なら設定してみようと思います。
初期化が出来ないため、万が一のを覚悟しておきます。

>>144
カスペとは別の所でやったのでカスペでもう一度やってみます。

どうしたらいいのか分からず心細かったので
適切なレスを頂けてホッとしました。
アドバイスを参考に色々やってみようと思います!
ありがとうございました。

146 名前:(^ー^*)ノ〜さん 投稿日:07/12/15 15:17 ID:MM5VaBbS0
>>145
PG2でぐぐれば最初に日本語のマニュアルが出るからそこ見ればいいよ
マニュアル見ながらインストールしたら「中国 ブロックリスト」辺りでぐぐって
出てきた中国韓国台湾のIPリストをブロックリストに追加してやるだけ
ただこれをすると有名どころだとwikipediaが見れなくなったりする(鯖が韓国にある)から
見たい時はそのページだけ許可してやればいい
このへんの話はliveROのセキュスレの方がいいかな?

147 名前:(^ー^*)ノ〜さん 投稿日:07/12/16 09:54 ID:CjWjbqI00
最近作られた福建人の罠ドメイン、ドメイン名ネタ切れ気味だな。

こんな記事と共に
イミュージョンイベントでイリュージョンアックスを100個OEしてみました。+10,に挑戦!,"
...lineage リネージュ vega oe=>www■iibkoto-siyouyo■com/boolean/20071213■rar"
【2007/12/13 11:46】 URL | まりぶぅ #HmsGVGSQ

iikoto-siyouyoと言う出会い系サイトがある、それをパクったね。
ぐぐると現在判明してる爆撃場所は明らかにゲーム系じゃない場所の方が多いように感じる。
とにかく書き込める場所に爆撃、その中の何人かでもゲームやれば・・と福建人は思ってるな。

この罠自体はVIRUSTOTAL見てもリネ狙いかな。
もちろん他のもあるんだろうが。

Domain name: iibkoto-siyouyo■com
Registrant Contact:
cai zi bing
zi bing cai caddd@126.com
13850687200 fax: 13850687200
Fujian longyan
longyan Fujian 364000
cn
Created: 2007-12-11

148 名前:(^ー^*)ノ〜さん 投稿日:07/12/16 11:34 ID:6z4n4+V80
rarを解凍→wmv.scrをexeに→rarの自己解凍なのでさらに解凍→013■exe
今時Packerも使っていない古風なLineageトロイ。
lineagecojp■comのメールASPに送信する部分が見えるので悪口送っといた。

149 名前:(^ー^*)ノ〜さん 投稿日:07/12/16 18:23 ID:3mz2sgJD0
【  アドレス   】www■articlelin■com/wiki/
【気付いた日時】 今日15時ごろ
【     OS    】 WinXPPro SP2
【使用ブラウザ 】 IE6
【WindowsUpdateの有無】最近のもの
【 アンチウイルスソフト 】 NIS2007 更新は随分止まってます
【その他のSecurty対策 】 ルーター
【 ウイルススキャン結果】 カスペルスキーオンラインスキャンでTrojan-Downloader.VBS.Agent.hi を検出
             一時フォルダにあったので一時フォルダを全削除 
【スレログやテンプレを読んだか】 読みながら書いてます
【hosts変更】無
【PeerGuardian2導入】無
【説明】
画面が真っ白で止まり、おかしいとおもったのでURLをぐぐってみたところ
ブログなどで罠コメントの様なものにURLが貼り付けられていたためウィルスと判断

なるべくクリーンインストールを避けたいのですが、
一時フォルダの全削除で削除されているのでしょうか?
体験版を落とし再度スキャンしなおすべきでしょうか?

150 名前:(^ー^*)ノ〜さん 投稿日:07/12/16 18:49 ID:6kBceYkg0
>>149
踏んでから、ログイン等をしていないことを前提に回答すると、さっさとOS入れなおしてこい。
一度でも入ってしまったのであれば、OS入れなおしの前に「安全な環境からパスワード変更」が必須。

>一時フォルダの全削除で削除されているのでしょうか?
無理。

>体験版を落とし再度スキャンしなおすべきでしょうか?
当然するべき。でも、それより前にOS入れなおしに進んだ方が時間の無駄にならない。

>NIS2007 更新は随分止まってます
>なるべくクリーンインストールを避けたいのですが、
大馬鹿者っ。更新しないならセキュリティソフトの意味が無い。>>2を見て何か入れとけ。
そんなザルなセキュリティの場合は、他に何が潜んでいるかわかったもんじゃない。
必要なデータのバックアップを取って、早急に安全な環境の構築(OS入れなおしかリカバリ)を
進めるんだ。

セキュリティが甘いというのは、しらずに中継に使われるなど、加害者にもなりうる行為だ。
今後は慎んで欲しいと切に願う。

151 名前:(^ー^*)ノ〜さん 投稿日:07/12/16 19:31 ID:CZloHfkE0
ついでに更新止まってるのならNISから他に乗り換えるべし
当方も2007だがハックに関しては最新でも検出率最悪だからな

152 名前:147 投稿日:07/12/16 20:30 ID:l7Ge4ocB0
福建人どもはなんか別の同日登録罠ドメイン使って
これまた一般サイトに爆撃かましてるようだ。
147と罠ファイル自体は同じ。
これは燻り出し作戦と見た、とにかく爆撃しまくってその中から対象ゲームをプレイするのが出てくるのに期待をしている、と。
今後はこのような燻り出し作戦が増えてきそうな予感がする。

www■peacchmax■com
これは日本の風俗情報サイトpeachmaxのパクリ。

Domain name: peacchmax■com
Registrant Contact:
cai zi bing
zi bing cai caddd@126.com
13850687200 fax: 13850687200
Fujian longyan
longyan Fujian 364000
cn
Created: 2007-12-11

153 名前:(^ー^*)ノ〜さん 投稿日:07/12/16 22:51 ID:y90jnWNb0
出会い系とか風俗とか爆撃する対象を間違ってるな。

オンラインゲームやってる引き篭もり気味なリアル廃人はそんなとこ縁ねえよ。俺とか。

154 名前:(^ー^*)ノ〜さん 投稿日:07/12/16 23:38 ID:6kBceYkg0
>>152
ttp://www■peacchmax■com/string/20071213■rar
検体入手に困るので、ちゃんとファイル名まで載せてもらえるとありがたい。
ファイル名こそ同じで構造も同じであったが、中身は別物でしたよ。

>147
Trojan-PSW.Win32.Delf.ads
>152
Trojan-PSW.Win32.OnLineGames.fcj

>>153
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

155 名前:(^ー^*)ノ〜さん 投稿日:07/12/16 23:44 ID:6kBceYkg0
一応書いとくと、こんな構造でした。

->20071213■rar
-->20071213■wmv■scr
--->013■exe
--->mov0023■wmv
---->mms://202■210■163■74/bekk/navi■wmv(多分、無害)

156 名前:(^ー^*)ノ〜さん 投稿日:07/12/17 08:16 ID:9fYx02dq0
んだね。前のは無圧縮で約60kBだったけど、今回のはUpackで70kB
(以前Maranと分類されていた物だと思う)。

157 名前:(^ー^*)ノ〜さん 投稿日:07/12/17 08:18 ID:WgaUFOBK0
>検体入手に困るので、ちゃんとファイル名まで載せてもらえるとありがたい。
悪いが俺もそこまで暇じゃない、作業の合間の片手間に書いたりやったりしてるだけだ。
そういわれるのは正直心外、つまりその引用部分は余計だ。

>出会い系とか風俗とか爆撃する対象を間違ってるな。
スレ地だが間違っちゃいないと思うぜ。
焙り出すだけなら爆撃対象なんて全く関係ない。
そっちはよく見るがネトゲ系のHPとかブログや掲示板は殆ど見ない奴がいないとも限らん。

158 名前:(^ー^*)ノ〜さん 投稿日:07/12/17 12:58 ID:Pet+2+lI0
雑談スレ行け

159 名前:(^ー^*)ノ〜さん 投稿日:07/12/17 14:23 ID:9fYx02dq0
>>157
逆ギレすんなよ。ファイル名まで書けよ、スクリプト解読できねーなら
素直にそう言えよ、と言われてるわけじゃないだろ?

この際だから言及しておくが、余計なのは
「福建人どもは〜と思ってる」と「君が思ってる」事を書くことだ。

160 名前:(^ー^*)ノ〜さん 投稿日:07/12/17 16:01 ID:QGptBZA60
コメントつけて貰ったわたしは既に移動してるんだが。
お互いコメントすることはこれ以上必要ない状態で続けられても困る。

セキュリティ対策、質問・雑談スレ3
http://enif.mmobbs.com/test/read.cgi/livero/1186660300/958

>>158-160
さ、セキュスレに帰るぞ。お邪魔いたしました。<(_ _)>

161 名前:(^ー^*)ノ〜さん 投稿日:07/12/18 17:05 ID:RNWO8zHQ0
www■infosueek■com
Created: 2007-12-14
インフォスィーク。今はとりあえず iframe(略)で
www■blogplaync■com/chengzhi■exe
Last-Modified: Wed, 31 Oct 2007

162 名前:137 投稿日:07/12/18 17:17 ID:8L+ZRtbI0
>>139
返事が遅くなりすいません。ありがとうございます。
ローグスレの方で聞いてみようと思います。
すみませんでした。

163 名前:(^ー^*)ノ〜さん 投稿日:07/12/19 23:31 ID:isl2Y38K0
クルセwikiの各リンクがアカハックに書き換えられてた模様

メニューバーのリンク先が以下のURLになってた
http://www■caremoon■net/blog/index1■htm

現在は一応復旧してるっぽいです

164 名前:(^ー^*)ノ〜さん 投稿日:07/12/19 23:33 ID:isl2Y38K0
h抜き忘れた・・・ごめんなさい

165 名前:(^ー^*)ノ〜さん 投稿日:07/12/20 03:19 ID:M9aHJQxS0
ヘイムダルwikiも同様に危ないと聞いた
関連wikiをごっそりいじったやつがいるのかもな

166 名前:(^ー^*)ノ〜さん 投稿日:07/12/20 09:15 ID:NOGJzPz20
関連も何も、GoogleにPukiWiki特有のキーワード、ネトゲに関連するキーワードを
ぶち込んでhitしたサイトに総当りしてるだけだ罠・・・

167 名前:129 投稿日:07/12/20 09:34 ID:VwVQXHrz0
うちに来てたやつは、直前にGoogleで PukiWiki menubar で検索した模様。

多分、これで検索して引っかかったところを絨毯爆撃してるっぽいね。
実際に検索してみると、面白いようにWikiが釣れます。

referer に google.co.jp pukiwiki menubar が含まれてるリクエストを遮断したら来なくなったりするのかも。
今回の(たぶん同一犯)限定になるけど。

168 名前:(^ー^*)ノ〜さん 投稿日:07/12/20 14:51 ID:OWh8SdsJ0
クルセWikiメニューバーより
www■irisdti-jp■com/blog/

現在復旧済み

169 名前:(^ー^*)ノ〜さん 投稿日:07/12/20 18:48 ID:30RFUeka0
しっかしあんたらも頑張るねぇ
サイト巡回するときネット専用別PC使う俺が勝ちだな
対策なんてめんどくさくてやってらんねえわ
ここで踏んだかも知れませんとか不安になってる無知な奴がいるけど
そんな気遣いするぐらいなら別PC買えよ
ROやったり重要な情報が入ったPCは別に分けろ
なによりも垢ハック対策になるぞ

170 名前:(^ー^*)ノ〜さん 投稿日:07/12/20 18:53 ID:RBDSFs5r0
>169
 まぁ垢ハック対策ならそんでいいんじゃね
ウィルスが垢ハックだけだと思って居られるならそれでいい
個人情報とかの流出とか考えないんであればいいと思うよ。

171 名前:(^ー^*)ノ〜さん 投稿日:07/12/20 19:48 ID:Rmr63suj0
>>169-171
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

172 名前:(^ー^*)ノ〜さん 投稿日:07/12/21 12:20 ID:im/UPLKu0
>>163,>>168
ttp://www■irisdti-jp■com/blog/
ttp://www■caremoon■net/blog/index1■htm
ttp://www■caremoon■net/blog/send■exe
ttp://www■caremoon■net/blog/f2■exe
ttp://www■caremoon■net/blog/reak■exe

Trojan-Downloader.JS.Agent.anp
Trojan-PSW.Win32.OnLineGames.kak
Trojan-PSW.Win32.Magania.bph
Trojan-PSW.Win32.Delf.aih

173 名前:(^ー^*)ノ〜さん 投稿日:07/12/21 17:59 ID:ovE5fRy90
楽r天?
www■rakurten■com/wiki/
iframe(略)で
www■wacacop■net/wiki/send■exe test■exe rost■exe

174 名前:(^ー^*)ノ〜さん 投稿日:07/12/21 22:12 ID:PxfIzd1G0
【  アドレス   】click■linksynergy■com/fs-bin/click?id=qDyUUdo4*XM&offerid=93143■10000002&type=3&subid=0
【気付いた日時】 今日の午前2時ごろ
【     OS    】 XPPro SP2
【使用ブラウザ 】 IE6
【WindowsUpdateの有無】 自動更新
【 アンチウイルスソフト 】 Avast!Home4.7
【その他のSecurty対策 】 ルーター+Spybot S&D(定期的にアップデート+検査してます)

【 ウイルススキャン結果】
Avast!常駐プログラム→Fngmhlib.dll(System32内、ウィルスWin32;Trojan-gen{other})
(この通知で不安になりました)
シマンテックのオンラインスキャン→感染感知できず
トレンドのオンラインスキャン→感染感知できず
カスペルスキーオンラインスキャン→ウィルス数1・感染オブジェクト1を検出
(SystemVolumeInfomation\restore〜、not-a-virus:Monitor.Win32.KeyPressHooker.bとのこと)
Spybot:AdSpy.TCCを1エントリ検出(削除できず)

【スレログやテンプレを読んだか】 今読んでます。
【hosts変更】無
【PeerGuardian2導入】無
【説明】
(Fngmhlib.dll)
数週間前から起動時に「could not load DLL FNGMHLIB」と出始めていたものの、
エラー表示がオートメールチェッカーからであった事+
シマンテックのオンラインスキャンでは感知されなかったので放置していましたが、
今朝2時頃、Avast!にてFngmhlib.dllがウィルスとして検出されました。

(Win32.KeyPressHooker.b)
上記に加え、ROラトリオ総合計算機ページ内上部にあった、
『ハイエンドゲームPCブランド「G-Tune」』をクリックした所、IE画面が真っ白になる症状が発生。
アカハックではないかと不安になったので、カスペルスキーにてチェックした所、検出されました。
直接の関連性があるかは不明ですが……


結構前にヤフー開いたらツールバーインストールが出て、うっかりOK押してしまったんですが。
それから上記の問題が発生し始めたように記憶しています。
これらってアカハック系なんでしょうか……

175 名前:(^ー^*)ノ〜さん 投稿日:07/12/21 22:36 ID:im/UPLKu0
>>174
アカハックと断定できないような一般的相談だから、セキュスレの方がいいんじゃないかな。

回答する内容は同じなんで、ここで答えておくと、検知したものが危険かどうかは判断しかねる。
DLL不足のエラーが出ていたということなので、なんらかのマルウェアが(セキュリティソフトで
消されてしまった)ファイルをロードしようと試みていた可能性もある。正常なアプリが壊れただけ
かもしれないが。

そのPCの前で操作している訳でもない立場からは、診断のしようがない状況にまで踏み込んでいると
思われるので「OSを入れなおすかリカバリを行ない、安全な環境に戻すこと」以外の回答は行なえない。

OS再インストールコース行ってらっしゃい。現状の報告を読む限りでは、変なところに入っている
可能性もあるので、(アプリ起動したら再発症するかも)データをバックアップとって、HDD初期化して
OS入れなおした後にアプリを改めて入れた方が安全ではないかという気がする。

多分、アカハックではない何物かだと思うよ。

>>173
index.htm : Script.Infected.WebPage.Gen
index1.htm : Trojan-Downloader.VBS.Small.gj
send.exe : Trojan-PSW.Win32.Delf.aih
test.exe : Trojan-PSW.Win32.OnLineGames.kak
rost.exe : Trojan.Win32.Inject.nk

176 名前:(^ー^*)ノ〜さん 投稿日:07/12/22 03:54 ID:5bCzZRru0
リンクを踏んでしまったのですが

http://www■articlelin■com/blog/

上記にウィルスがあるかどうか調べて貰えませんでしょうか・・
クリックしたら画面が止まりました

177 名前:(^ー^*)ノ〜さん 投稿日:07/12/22 04:54 ID:Kf8L41vG0
>※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

178 名前:(^ー^*)ノ〜さん 投稿日:07/12/22 06:51 ID:08FHZm8M0
深遠の騎士子たん萌えスレにうpされてる
http://f26.aaa.livedoor.jp/~fianel/up/abys/up/abys243■jpg

ってやばい?

179 名前:まとめ臨時 ◆kJfhJwdLoM 投稿日:07/12/22 07:09 ID:h9Xs8k7H0
不定期報告ですが現状 >>161 以降、
ここまで報告された罠はリストチェックで確認済みでした。
既出の物に新作トロイを仕込むのも相変わらず常套のようですね。

>>174 に関してはすべてを把握できませんが
ややこしく判断がつかない状況だと
クリーンインストールが一番安心確実かもしれません。

>>176
ログにある >4 のテンプレを読んで
何処で踏んだとかを埋めてもらえると助かりますが
緊急を要すると思いますので…。

articlelin■comは既出のアカハックリストで確認できます。

安全が確認できるまでパスワード類の入力を伴う行動は厳禁です。
対応方法は >>1-14 に記載されています。
カスペルスキーオンラインスキャンなど複数でチェックしてウイルスを駆除できても
検知できないすり抜けの可能性もあるので、
個人で安全になっているか判断が付かない場合はOSのクリーンインストールを。

180 名前:(^ー^*)ノ〜さん 投稿日:07/12/22 09:57 ID:L2ALBo6S0
>>178
>>177

181 名前:(^ー^*)ノ〜さん 投稿日:07/12/22 18:17 ID:PUb4h20M0
>>176 さんと同じの踏んでしまって
RO起動するとウィルスバスターがDLLのどうのこうのと警告出しました。
現在、再インストール中です。

182 名前:181 投稿日:07/12/22 18:22 ID:PUb4h20M0
テンプレに沿って書き込んだら(5回ほど)なぜか反映されなかったんだけど何でだろう・・・

183 名前:(^ー^*)ノ〜さん 投稿日:07/12/22 18:27 ID:u7fSNqym0
>182
○○「.」exeをそのまま書いたから、じゃない?
「.」(半角)を「■」に置換するか「.」(全角)に置換したら通ったと思われ。

184 名前:181 投稿日:07/12/22 19:07 ID:PUb4h20M0
>>183 なるほど!
一応、報告ということで掲載しておきます。

【  アドレス   】www■articlelin■com/blog/
【気付いた日時】 踏んだのは3時頃、気付いたのは16時ごろ
【     OS    】 WinXPPro SP2
【使用ブラウザ 】 IE6
【WindowsUpdateの有無】最近のもの
【 アンチウイルスソフト 】 VB2008
【その他のSecurty対策 】 ルーター
【 ウイルススキャン結果】
VB2008で検出できず
カスペルスキーオンラインスキャンで検出できず 
【スレログやテンプレを読んだか】 読みました
【hosts変更】無
【PeerGuardian2導入】無
【説明】
ROとは関係ないWikiで踏んでしまいました。
ウィルススキャンで引っかからなかったので、
ROのクライアントを起動しましたが(WG選択まで)、他のIEなどが非常に重く感じました。
ログインせずに再起動後、クライアントを起動すると、VBがRagnarok.exeにDLLをダウンロードしてどうのこうのと警告。
踏んでから時間があるので別の要因の可能性もありますが、流石に恐いので再インストールしました。

185 名前:(^ー^*)ノ〜さん 投稿日:07/12/23 23:11 ID:y1FiBiPl0
>>184
せっかくの報告なので検体入手して確認。

ttp://www■articlelin■com/blog/index■htm
ttp://www■panslog■net/wiki/index1■htm
ttp://www■panslog■net/wiki/send■exe
ttp://www■panslog■net/fc2/cery■exe
ttp://www■panslog■net/wiki/reco■exe

send■exe : Trojan-PSW.Win32.Delf.aih
cery■exe : Trojan-PSW.Win32.OnLineGames.kak
reco■exe : Trojan.Win32.Inject.ms

send■exe : カスペ○、NOD32○、マカフィー○、シマンテック○、Avast○、AVG○
cery■exe : カスペ○、NOD32○、マカフィー○、シマンテック○、Avast○、AVG○
reco■exe : カスペ○、NOD32○、マカフィー×、シマンテック×、Avast×、AVG○

VirusTotalでは、12/10〜13に確認済みだった模様。再度スキャンさせた結果が上。
日付からして、提出済みとは思うけど、未検出なので検体提出してきます。

186 名前:(^ー^*)ノ〜さん 投稿日:07/12/24 00:03 ID:ONqpdIr10
追記
send■exe , cery■exe , reco■exe をトレンドマイクロのオンラインスキャンにかけたところ、
全て検出していました。

>>184が踏む前から対応していたのか、後から対応したのかは不明。
OS入れなおして確実に安全な環境にしたのはGOODな対応だと思った。

send■exe : TSPY_LINEAGE.GQR
cery■exe : TSPY_AGENT.ADOB
reco■exe : TROJ_SHEUR.CE

187 名前:(^ー^*)ノ〜さん 投稿日:07/12/25 11:46 ID:8xwBXB3y0
【  アドレス   】http://www■symphones■com/wikipedia/
【気付いた日時】 12/25
【     OS    】WindowsXP
【使用ブラウザ 】 IE
【WindowsUpdateの有無】 1週間くらい前です
【 アンチウイルスソフト 】 avast
【 ウイルススキャン結果】 avastでワームが見つかりましたが、良く分かりません・・
【スレログやテンプレを読んだか】さらっとですが、目を通しました。これからじっくり読みます
【hosts変更】(なし
【PeerGuardian2導入】(なし
【説明】
友達のROブログのコメントに張られていたURLを飛んでみたら、何もないページでした。
ちょっと怖いのですいませんが、書き込みさせていただきました

188 名前:(^ー^*)ノ〜さん 投稿日:07/12/25 12:14 ID:gQBnrg1e0
>187
>1
>※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

で、ソースチェッカーで見たところ、iframeでサイズ0で index1.htm を呼び出し。
index1.htm はVBScriptでキャラクタ変換してるコードが仕込まれてる。

コードはデコードしてないが、手法的に9割方黒と思われ。

189 名前:(^ー^*)ノ〜さん 投稿日:07/12/25 12:23 ID:8xwBXB3y0
>>187さま

レスありがとうございます。
見れないサイトではなくて、踏んでしまったので書き込みさせていただきました。

さっそく再インストールいってきようと思います。

チェックしていただいてありがとうございました。

詳しくないので、本当に助かります;´Д`

190 名前:(^ー^*)ノ〜さん 投稿日:07/12/25 12:24 ID:8xwBXB3y0
自分にレスしてどうするorz

すいません188さま。

191 名前:(^ー^*)ノ〜さん 投稿日:07/12/25 12:42 ID:3mpGnJHS0
>>187さん
12/7あたりから現われている既知のアカハックアドレスです。

その時点で緑箱スルーのものがありましたので検体提出しましたが、
12/21確認時に新種のものに置き換わっていたので再提出。
現在は検出可能になっています。

3つの 実行形式ファイルを実行させようと試みますが、本日現在の
簡単な検出状況はこんな感じです。

検体1 - 黄スルー、緑検知
検体2 - 黄スルー、緑検知
検体3 - 黄検知、緑検知

緑には検体送って黄色は放置なので、いささか反則(販促?)
気味の比較ではありますが。

192 名前:(^ー^*)ノ〜さん 投稿日:07/12/25 12:45 ID:h8P0GxUB0
>>191
黄とか緑って何ですか?

193 名前:(^ー^*)ノ〜さん 投稿日:07/12/25 13:03 ID:Z3bgnyx60
>>1
> アカウントハックに関する情報の集積・分析を目的とするスレです。
> 被害や攻撃等のアカウントハックの具体的事例に関して扱います。
> 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
> 対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。
 ~~~~~~~~~~~~
黄 シマンテック
緑 カスペルスキー
赤 ウイルスバスター

製品の箱の色から、このスレではそう呼ばれています。

194 名前:(^ー^*)ノ〜さん 投稿日:07/12/25 13:10 ID:KBiCg8NA0
>製品の箱の色から、このスレではそう呼ばれています。
過去にもそういう略称が使われていた記憶が無いのですが…
一般には通じない略称はなるべく控えたほうが無難かと思います。

195 名前:(^ー^*)ノ〜さん 投稿日:07/12/25 13:12 ID:9R3axBd90
初耳だわ。
過去スレみても一度もそんな呼ばれ方してないだろ。
2chの方の常識かなんかか?

196 名前:(^ー^*)ノ〜さん 投稿日:07/12/25 13:14 ID:BRfTy6A40
そう呼ばれているのは>>191>>193の脳内だけだろ
初代スレから張り付いてるけど、んな略称見たことない

197 名前:(^ー^*)ノ〜さん 投稿日:07/12/25 13:20 ID:Z3bgnyx60
あれ・・・どこで見たんだろ。
>>191見て普通に認識してた・・・
まあ、すまなかった。
以降雑談は終了ということで。

198 名前:(^ー^*)ノ〜さん 投稿日:07/12/25 13:50 ID:uDWTbLJJ0
>>187
ttp://www■symphones■com/wikipedia/index■htm
ttp://www■symphones■com/wikipedia/index1■htm
ttp://www■symphones■com/wikipedia/red■exe
ttp://www■symphones■com/wikipedia/sl■exe
ttp://www■symphones■com/wikipedia/fir■exe

index■htm : HTML/IFrame
index1■htm : TrojanDownloader:JS/Agent.FT
red■exe : Trojan.Win32.Inject.ox
sl■exe : Trojan-PSW.Win32.Delf.aih
fir■exe : Trojan-PSW.Win32.OnLineGames.kak

index■htm : カスペ×、NOD32×、マカフィー×、シマンテック×、Avast×、AVG×
index1■htm : カスペ×、NOD32×、マカフィー×、シマンテック×、Avast×、AVG×
red■exe : カスペ○、NOD32×、マカフィー×、シマンテック×、Avast×、AVG×
sl■exe : カスペ○、NOD32○、マカフィー○、シマンテック○、Avast○、AVG○
fir■exe : カスペ○、NOD32○、マカフィー○、シマンテック○、Avast○、AVG○

index.htmとindex1.htmはダウンローダなので、本体に対応していれば実害はない。
red■exeは、検出率悪いみたいなので、あとで検体提出しておきます。

Avastではすり抜けるものも混ざっているので、>>189のように再インストールコースは正解。
(検出できる奴の体験版で消す方法もあるけど)

>>191-198
今まで誰も使ってないような通称を使うのはやめましょう。
浸透させたければセキュスレ辺りで認知させることから。
変な呼び名は、使わないのが無難と思いますけどね。さ、わたしも含め、移動しましょ。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/

199 名前:191 投稿日:07/12/25 14:35 ID:3mpGnJHS0
なお、これに感染している場合、
%USERPROFILE%\Local Settings\Temp\ 以下に
L_hy60.pif 他 2つの実行ファイルを作成し、

レジストリキー
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\exploreb(略)

を作成するので簡易的に判定が可能です。

200 名前:(^ー^*)ノ〜さん 投稿日:07/12/25 16:21 ID:muc19jHG0
【  アドレス   】www■irisdti-jp■com/blog/
【気付いた日時】今さっき
【     OS    】 WindowsVistaHomePremium
【使用ブラウザ 】 FireFox 2.0.0.11
【WindowsUpdateの有無】 自動更新
【 アンチウイルスソフト 】 Avast!4.7Home
【その他のSecurty対策 】 Spybot S&Dで週1回程度更新&スキャン
【 ウイルススキャン結果】カスペはこれから、Avast!でスキャンしたら感染はゼロ
【スレログやテンプレを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】Web巡回中に>>168と同じアドレスを踏んでしまった。真っ青な画面のまま
 何も出ないので、当スレッドにて危険アドレスということを認識しました。

201 名前:(^ー^*)ノ〜さん 投稿日:07/12/25 16:32 ID:uDWTbLJJ0
>>200
報告乙です。これからオンラインスキャンということですが、自己責任で使い続けるのでなければ
OSインストールコースがんばってらー。

>>168のアドレスという事ですが、【中身が差し替えられていないならば】>>172の報告通り
カスペで検出できるようです。参考までに。

202 名前:200 投稿日:07/12/25 17:06 ID:muc19jHG0
カスペのオンラインスキャンでも検出されませんでした…
ひょっとすると差し替えられ?OS再インストールですかね…

こういうスレッドがあってとても助かりました。どうもありがとうございました。

203 名前:(^ー^*)ノ〜さん 投稿日:07/12/25 19:16 ID:8xwBXB3y0
187のものですが、皆さん調べていただきありがとうございました。
本当に助かりました。

無事再インスコ終えました

204 名前:(^ー^*)ノ〜さん 投稿日:07/12/25 20:47 ID:uDWTbLJJ0
>>202
>カスペのオンラインスキャンでも検出されませんでした…

可能性は幾つかある。
1.入手前に切断したので、PCに入っていない(安全)
2.入手してしまったけど、新種(差し替えられて)なので検知できなかった(危険)
3.以下、可能性の低い条件の為、検知できなかった(危険)

安全か危険かは、回線の向こう側の立場からは判断できない。
よって、危険であると仮定して対応することを勧めることしかできない。OS入れなおしてらー。
勿論、安全である可能性を信じて、【自己責任】で使い続けるのは自由ですがね。

>ひょっとすると差し替えられ?

その疑問を投げかけられると、とても困る。一言で言うと「誰もそんなこと確認できん」
この辺の話題は、セキュスレでやった方がいいのかな?

・踏んだタイミングと、検証者(いるなら)の検体入手タイミングは異なるので
 同じである事の保証はできない。
・差し替えられていないか検証する際にも、最初の検証者と、後の検証者の入手
 タイミングが異なるので、MD5などの同一性を確認する手段が提供されていない限り
 差し替えられたことの確認は困難。(同じ検出名でも差し変わっている可能性がある)
・仮に、最初の検証者が、検体を保存しておいて、改めて入手した物が同じであることを
 確認しても、その間に差し替えがあった可能性は否定できない。つまり、現時点で
 同一性が確認されたとしても、質問者が踏んだ時のタイミングでも同じであったことは
 保証できない。

仮に、「手間をかけて検体を入手し」「検出名が同じor最初の検体と比較して同一」で
あることが確認できたとしても、相談者の環境で踏んだものと同じことは保証できない。

踏んだアドレスの内容がどのようなものであったかの報告は、相談者が
「自己責任で判断する参考資料でしかない。
(勿論、セキュリティベンダーに提出して対応して貰うこと等の副次的影響力は別として)

参考資料でしかない情報の為に、「誤クリックで発動させてしまう危険」
「検体入手の為に、一時的にセキュリティを緩めざるを得ない危険」
「比較確認の為の手間」を、検証者に負担させることは、実に割に合わない行為だろう。

205 名前:(^ー^*)ノ〜さん 投稿日:07/12/25 21:20 ID:uDWTbLJJ0
>>202
>>ひょっとすると差し替えられ?
>その疑問を投げかけられると、とても困る。一言で言うと「誰もそんなこと確認できん」

と、だけ言っていても仕方ないので確認してきました。
ファイル構造、呼び出し方法は同じ。
但し、f2.exeの検出名が変化していましたので、差し替えは行われているようです。

ttp://www■irisdti-jp■com/blog/
ttp://www■caremoon■net/blog/index1■htm
ttp://www■caremoon■net/blog/send■exe
ttp://www■caremoon■net/blog/f2■exe
ttp://www■caremoon■net/blog/reak■exe

12/8時点
send■exe : Trojan-PSW.Win32.Delf.aih
f2■exe : Trojan-PSW.Win32.OnLineGames.fcj
reak■exe : Trojan-PSW.Win32.Magania.bph

12/21時点 >>172
index1■htm : >Trojan-Downloader.JS.Agent.anp
send■exe : >Trojan-PSW.Win32.Delf.aih
f2■exe : >Trojan-PSW.Win32.OnLineGames.kak
reak■exe : >Trojan-PSW.Win32.Magania.bph

12/25時点
index1■htm : Trojan-Downloader.JS.Agent.anp
send■exe : Trojan-PSW.Win32.Delf.aih
f2■exe : Trojan-PSW.Win32.OnLineGames.lyx
reak■exe : Trojan-PSW.Win32.Magania.bph

現時点では、カスペで全弾撃墜しておりますが、202さんが踏んだ時点の代物が
検出可能なものであるかどうかは保証しかねます。
自己責任でそのまま使うかどうかの参考情報として報告しておきます。

ちなみに、現時点のf2■exeですが、VirusTotalの結果は下記の通りです。
カスペ○、NOD32×、マカフィー○、シマンテック×、Avast○、AVG×

206 名前:200、202 投稿日:07/12/26 00:05 ID:cM9FAGce0
>>204,205さん
ありがとうございます。御礼が遅くなって申し訳ありませんでした。
再インストール行って参ります、また来る事の無いよう精進します。

207 名前:(^ー^*)ノ〜さん 投稿日:07/12/26 13:07 ID:/L8XCvQx0
引っかかったかもしれないのならクリーンインストールしろと言われたのですが
そのクリーンインストールというのがよくわかりません。
ノートパソコンを買ったのですがそれにもついていますか。
サポートに電話すればいいんでしょうか。

208 名前:(^ー^*)ノ〜さん 投稿日:07/12/26 13:20 ID:rqe9LpER0
リカバリ。メーカや機種によって違うんだから
説明書やヘルプを見るかサポートに聞いてくれ。板違い。

209 名前:(^ー^*)ノ〜さん 投稿日:07/12/26 14:12 ID:kGe+oyTq0
>>207
ノートPCなら、メーカー付属のCD-ROMや、HDDからのリカバリなどがある。
付属のマニュアルを読んでください。

新規にXPを入れさせるところもありますが、基本は、メーカーのサポートセンターへどうぞ。
相談の際は、「PCを初期状態にリカバリしたいのですが、どうやったらいいでしょうか。
機種はXXXXで、シリアルナンバーはXXXXです」というように必要な情報を全て伝えること。

リカバリの際には、自分で作成したデータや受信したメール、ブラウザのブックマークなどが
全て消えます。必要なデータは事前にバックアップをとっておいてください。

210 名前:(^ー^*)ノ〜さん 投稿日:07/12/26 20:29 ID:3K8V0xh9O
PG起動してるとNDSのWifi通信が出来なくなるな
2時間悩んだわ

211 名前:(^ー^*)ノ〜さん 投稿日:07/12/26 20:30 ID:kGe+oyTq0
>>210
セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/

212 名前:(^ー^*)ノ〜さん 投稿日:07/12/28 10:53 ID:CcTX8uhT0
Lydia板より
> 897 名前:lawlite12[] 投稿日:2007/12/28(金) 06:37:36 ID://fiFId2
> 通常日記とらぐな日記をそれぞれ更新しました!
> ぜひぜひ、みなさん遊びにきてくださいな
> blog■surpara■com/lawlite12/

> トロイの木馬を検出したため対処しました。
> 「FKCfb-09p1-136.ppp11.odn.ad.jp」からのため「FKC*.odn.ad.jp」を規制。

追加情報として、blog■surpara■comのIPアドレスは210■251■252■164で
日本国内のIPアドレスです

213 名前:(^ー^*)ノ〜さん 投稿日:07/12/28 12:00 ID:FA7VLVBd0
>>212
報告乙です。
既知のアドレスのものを呼びだしていますが、一部、最近差し替えられたファイルが混ざっているようですね。

ttp://blog■surpara■com/lawlite12/
3箇所にサイズ0のiframe呼び出し

ttp://www■teamerblog■com/blog/

ttp://www■panslog■net/wiki/index1■htm
ttp://www■panslog■net/wiki/send■exe
ttp://www■panslog■net/fc2/cery■exe
ttp://www■panslog■net/wiki/reco■exe

cery■exe : Trojan-PSW.Win32.OnLineGames.lyx
index1■htm : Trojan-Downloader.VBS.Agent.hi
reco■exe : Trojan.Win32.Inject.ms
send■exe : Trojan-PSW.Win32.Delf.aih

214 名前:(^ー^*)ノ〜さん 投稿日:07/12/28 12:01 ID:gXyQIsZa0
surparaは古くから同人やってる人ならtinamiと並んで普通に知ってるサイトのはず。
何年も見てなかったけど、ブログ始めてたのか…。
iframeが使える上にFC2のような通報フォームも見当たらんからやりたい放題だな。

215 名前:(^ー^*)ノ〜さん 投稿日:07/12/28 12:21 ID:GjZ03Zpl0
>>212
元のアドレスが国内なのは、サーパラブログ自体は普通のポータルサイトが開設したレンタルBlogサービスなので自明。
fc2同様、iframeが書けてしまうBlogモジュールはセキュリティの観点からすると好ましくはないが。
一応、本家サーパラの方にあるフォームから運営に通報してみた。iframeの使用制限も要望はしてみたが、どうなるやら。

216 名前:(^ー^*)ノ〜さん 投稿日:07/12/28 13:36 ID:gXyQIsZa0
お、速攻で消されてるw

217 名前:(^ー^*)ノ〜さん 投稿日:07/12/29 01:24 ID:8sl4WqK90
>>212-215の件についての返信。
>>>
Surfersparadiseです。
いつもご利用いただきましてありがとうございます。
以下に関しましては、該当アカウントの削除を行いました。
また、こうした書き込みなどを管理するツールの実装を早急に行います。
この度はご連絡いただきましてありがとうございました。
今後ともよろしくお願いいたします。
>>>

ひとまず、surparaに関しては、今後は罠として使いにくくなると期待が持てそうな感じ。

218 名前:(^ー^*)ノ〜さん 投稿日:07/12/30 12:21 ID:+YJrqs8e0
exぶろ〜ぐ
www■exbloog■com/7112886/000027■zip
www■exbloog■com/7112887/000028■zip

219 名前:(^ー^*)ノ〜さん 投稿日:07/12/30 14:59 ID:h/9Epm970
>>218
->000027■wmv■scr
-->013■exe
-->mov0023■wmv
--->mms://202■210■163■74/bekk/navi■wmv

->000028■wmv■scr
-->013■exe
-->mov0023■wmv
--->mms://202■210■163■74/bekk/navi■wmv

000027■zip : Trojan-PSW.Win32.OnLineGames.fcj
000027■wmv■scr : Trojan-PSW.Win32.OnLineGames.fcj
013■exe : Trojan-PSW.Win32.OnLineGames.fcj

000028■zip : Trojan-PSW.Win32.QQPass.xw
000028■wmv■scr : Trojan-PSW.Win32.QQPass.xw
013■exe : Trojan-PSW.Win32.QQPass.xw

220 名前:(^ー^*)ノ〜さん 投稿日:07/12/30 15:43 ID:+YJrqs8e0
>>217
またできてたw
blog■surpara■com/lulu26/
対策されるまでは blog.surpara.com/blogList.html で新着チェックかな…。

221 名前:(^ー^*)ノ〜さん 投稿日:07/12/31 11:43 ID:xUXP+jj10
>>220 検体入手しようと見に行ったらもうなかった。

222 名前:(^ー^*)ノ〜さん 投稿日:07/12/31 13:33 ID:NCgVyDsr0
アカだけとって記事が一つも無いのもあるけど、
既存のがバレて消されたら記事入れて爆撃なのかな。

223 名前:(^ー^*)ノ〜さん 投稿日:07/12/31 13:36 ID:oHmC0qiY0
wiki見てたら踏んでしまったんだが

http://nmmdbi■blog22■fc2■com/

どうなんだろ

224 名前:(^ー^*)ノ〜さん 投稿日:07/12/31 14:04 ID:UP1i+C7D0
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

225 名前:(^ー^*)ノ〜さん 投稿日:07/12/31 15:33 ID:EZhx699p0
すんません、数ヶ月ぶりにRO復帰しようと思うんで入る前に聞きたいんですけど、
ちょっと調べてみたところJavaScriptもオフ推奨って書いてるとこ見かけるんですが、
スクリプトだけでも感染するような新種がでてるんですかね?
私的にはアプレットとかActiveXは危ないと思うからROしてなくても常時オフってましたが
JavaScriptも危ない時代になっちゃってるんでしょうか?

226 名前:(^ー^*)ノ〜さん 投稿日:07/12/31 15:37 ID:lWpYMDS80
>>225
>>224

227 名前:(^ー^*)ノ〜さん 投稿日:07/12/31 15:44 ID:EZhx699p0
すんませんスレチでしたか。
そっちできいてみます

228 名前:(^ー^*)ノ〜さん 投稿日:07/12/31 20:57 ID:cWI7hZXv0
上の方で差し替えという話題になっていて不安を覚えました
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/133
自分が踏んだ時点でどうかというのは確かに不明だと思いますが
現時点でどうなのか、詳しい方教えていただけると幸いです
ドメイン失効とあったのでリカバリしていなかったので不安でした
>www■pangzigame■com   8■15■231■125:80

229 名前:(^ー^*)ノ〜さん 投稿日:07/12/31 22:53 ID:xUXP+jj10
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/

230 名前:(^ー^*)ノ〜さん 投稿日:08/01/01 07:35 ID:KzP+Ud7m0
そろそろその誘導コピペで流れるだけだということに気付け

231 名前:(^ー^*)ノ〜さん 投稿日:08/01/01 17:04 ID:QwMCLEQx0
>>230
>>1

232 名前:(^ー^*)ノ〜さん 投稿日:08/01/01 17:09 ID:qkzbGyt40
>>230
オマエモナー
…懐かしい言い回しだな。

幾つか新規の物を発見したので報告
・罠blog
 http://happeningnew■blog28■fc2■com/
  http://www■nlftweb■com/link179700
   http://www■rmtfane■com/link179700/main■htm
    http://www■rmtfane■com/link179700/ani■c
    http://www■rmtfane■com/link179700/Ms06014■htm
・新規ドメイン
 http://www■rmt-expretss■com/ourtesf
  http://www■lvei20■com/ourtesf/ff11■exe

233 名前:(^ー^*)ノ〜さん 投稿日:08/01/01 20:35 ID:jnlIO8ey0
>>232
www■rmtfane■com/link179700/ff■exe
10/14製造。既知の物っぽい。

234 名前:(^ー^*)ノ〜さん 投稿日:08/01/02 09:07 ID:H8NiTCNS0
>>231
>>1

こうですか><

235 名前:(^ー^*)ノ〜さん 投稿日:08/01/02 09:19 ID:dSlhvypO0
>一般的なセキュリティ対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。
前から思ってたが「総合対策スレ」なのに
なんで対策まで隔離されるという変な事態になってるんだろ?

>※ ネタや程度を超えた雑談・脱線はご遠慮ください
あと、即誘導コピペを貼る潔癖症の人は
度が過ぎなければテンプレ許容範囲だということも覚えておこうね。

236 名前:(^ー^*)ノ〜さん 投稿日:08/01/02 12:24 ID:gu+DHFAB0
いろんな角度から対策を検討するスレであって、対策方法を聞きにくるスレではない。
というのが私の認識だけど、あってる?

>>236
>>1

237 名前:(^ー^*)ノ〜さん 投稿日:08/01/02 16:27 ID:GyDjOENv0
www■soracger■com/blog/
→ www■caremoon■net/blog/send■exe f2■exe reak■exe
順にリネージュ、FFXI、SecondLifeのトロイ。

238 名前:(^ー^*)ノ〜さん 投稿日:08/01/02 18:09 ID:cmQr9yfO0
すみません、どなたかご教授ください

www■noely■blog88■fc2■com/blog-entry-249■html

上記のサイトを踏んだら変なエフェクトと英文字が出てきて消えたのですが、
ハック等の恐れはありますでしょうか?

239 名前:(^ー^*)ノ〜さん 投稿日:08/01/02 18:13 ID:3SEXPv/J0
>>238
>>229

240 名前:(^ー^*)ノ〜さん 投稿日:08/01/03 23:53 ID:5Mklm+HW0
・罠blog
 http://yamunya■blog98■fc2■com/
 →http://www■teamerblog■com/blog/
  →http://www■teamerblog■com/blog/index1■htm

241 名前:(^ー^*)ノ〜さん 投稿日:08/01/04 12:33 ID:2LKpNCTV0
>>237
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

242 名前:(^ー^*)ノ〜さん 投稿日:08/01/04 12:37 ID:C3QpgIGN0
237はいいだろ

243 名前:(^ー^*)ノ〜さん 投稿日:08/01/04 13:15 ID:OFkCZmxY0
もうこのスレも、従前の役目は終えたな。
危険アドレス、それも勘違いが許されない、確実な危険性を持つ物以外の投稿は排除され、スレの方針を話し合う事すら排除対象。
それなら、リネージュ資料室の様に、外部に投稿可能な観測所を設けて、後は全てセキュスレで扱った方が良い気がしてきた。
ログが残るのが利点という話もあるが、再利用性等の点から、結局は再加工して外部で使う形である以上、二度手間。

244 名前:(^ー^*)ノ〜さん 投稿日:08/01/04 14:46 ID:UfDvY1cY0
お前様が終えたと思ったら使うのを止めればいい
まだ役割が残ってると思った人が使いつづけていく
そういった人が一人もいなくなったら次スレが立たずに終わる。ただそれだけだ

245 名前:(^ー^*)ノ〜さん 投稿日:08/01/06 13:07 ID:Pq7dsBfk0
いつもの罠ブログ
hcavaliere■blog4■fc2■com
目新しいのはiframeでtinyurl(短縮URL)を経由する点。
飛び先は既知のcaremoon(以下略)。

246 名前:(^ー^*)ノ〜さん 投稿日:08/01/08 16:35 ID:xOaEUhHG0
LiveROのパッチ変更点スレ120に張られたアカハックらしきアドレス

チェックしてくれた方によりますと、
>jibaj■blog4■fc2.com
>->www■rakurten■com/blog
>-->www■wacacop■net/wiki/index1.htm (VBScriptによる罠ページ)

RMT関連の怪しい文とともに張られるので怪しさですぐ判ると思いますが、
そこら中に張られる可能性や誤クリックの危険性はありますので、お気をつけ下さい。

247 名前:(^ー^*)ノ〜さん 投稿日:08/01/09 07:54 ID:6dvgf49J0
livedoorbloog■com
既出の exbloog■com と同一ホスト。

248 名前:(^ー^*)ノ〜さん 投稿日:08/01/09 12:31 ID:6dvgf49J0
ROと名のつく物がごっそり更新されているのはなぜだろう。
RO2ではないと思うんだが…。

バイナリは一部異なります(同一のもある)。
www■gtvxi■com/naizi/ro■exe
www■k5dionne■com/ousele/sanro■exe
www■twsunkom■com/3ro■exe
www■jbbslivedoor■com/ro■exe

249 名前:(^ー^*)ノ〜さん 投稿日:08/01/09 13:07 ID:6dvgf49J0
www■bbtv-chat■com/cuvt66895/
(略)
www■bbtv-chat■com/cuvt66895/guan■exe

ちょっと古めのリネージュトロイ。

250 名前:(^ー^*)ノ〜さん 投稿日:08/01/09 17:42 ID:sw7311rd0
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/

251 名前:(^ー^*)ノ〜さん 投稿日:08/01/09 18:35 ID:zuh6wqye0
>>250
自治厨(笑)乙であります^^^

252 名前:(^ー^*)ノ〜さん 投稿日:08/01/09 18:53 ID:IArTNO8t0
ちょっとだけ失礼。その流れは雑談じゃない。
URL貼り付け以外何でも誘導するとかと勘違いしないように。

253 名前:(^ー^*)ノ〜さん 投稿日:08/01/09 18:57 ID:IArTNO8t0
そうだ、これもついでに。

ウィンドウズアップデート日age
緊急(1) 重要(1)

254 名前:(^ー^*)ノ〜さん 投稿日:08/01/10 11:37 ID:uhIeHlm60
アコプリスレ362にハクアドレス貼り付けられてたので報告

infosueek■com/rosolo/index-php/
--->www■twsunkom■com/jplink/Ms06014.htm

255 名前:(^ー^*)ノ〜さん 投稿日:08/01/10 22:43 ID:uJcnu+OU0
新ドメイン
rustotal■com
famitsa■com
gamehanbook■com
gamemmobbs■com
dimorphothec■com
gorsara■com

256 名前:(^ー^*)ノ〜さん 投稿日:08/01/11 15:36 ID:wpwdBr0V0
>>255
gamemmobbs■com
どう見てもここがターゲットです ありがとうございました

257 名前:(^ー^*)ノ〜さん 投稿日:08/01/11 17:19 ID:rnAUeHDE0
>>256
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

258 名前:(^ー^*)ノ〜さん 投稿日:08/01/11 20:09 ID:IlfP3GST0
>>257
>>251

259 名前:(^ー^*)ノ〜さん 投稿日:08/01/11 20:10 ID:T8yOYrxX0
(意訳)
他の突っ込み用スレが分離しているスレ同様、ここへの投稿への突っ込みは、セキュスレにお願いします。

260 名前:(^ー^*)ノ〜さん 投稿日:08/01/11 20:45 ID:n6f3oADj0
>>257

>>251
>>1
被害や攻撃等のアカウントハックの 具 体 的 事 例 に関して扱います。
>>256

261 名前:(^ー^*)ノ〜さん 投稿日:08/01/11 21:49 ID:nlZLDXRR0
仮に256がスレチだとしてもそれが続くようなら誘導すればいいと思うけど
1レスごとに257みたいな誘導は不要だろ
自治厨キモス

262 名前:(^ー^*)ノ〜さん 投稿日:08/01/12 05:48 ID:EVPKu5Kb0
誘導してる奴らを自治厨呼ばわりしてまで
ここで雑談しようとする奴らの方が
よっぽどウザイんだがな。

さて、俺も含めてみんなでLiveROに帰ろうか。

ここから先は何事もなかったかのように
アカウントハックに関する総合対策スレをご活用下さい。

263 名前:(^ー^*)ノ〜さん 投稿日:08/01/12 08:02 ID:hfGW/uAj0
自治厨乙。

>※ ネタや程度を超えた雑談・脱線はご遠慮ください
雑談が完全に禁止されてるわけではないと以前も突っ込まれてたよな。
一々誘導コピペ貼ってる馬鹿も俺みたいなのと同様に無駄にスレを消費してることを知れ。

264 名前:(^ー^*)ノ〜さん 投稿日:08/01/12 08:12 ID:t7ZYp9kp0
ミイラ取りがミイラ~じゃないけど
自治しようとしてる奴がテンプレに反して無駄にスレを荒らしてる

匿名掲示板で他人の書き込みまで抑制出来るわけないんだから
気に食わないんなら自分でまとめサイトでも作ったらどうかね?

265 名前:(^ー^*)ノ〜さん 投稿日:08/01/12 09:47 ID:Yk3YgniV0
意見はこちらでお願いします。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/

266 名前:(^ー^*)ノ〜さん 投稿日:08/01/12 13:19 ID:YcwEEI8X0
鯖板より罠ブログ
ttp://itsuki01azn■blog18■fc2■com/

267 名前:(^ー^*)ノ〜さん 投稿日:08/01/12 17:26 ID:pW0I0jhR0
ttp://monk.s221.xrea.com/index.php?cmd=read&page=%B9%CD%BB%A1%2F%A5%BF%A5%A4%A5%D7%CA%CC%2F%C8%AF%D2%A6%B7%BF&word=%C8%AF%D2%A6
ここにはっつけてあるURLって明らかに怪しいんだが垢ハックの類だろうか
※リンク先自体はモンクテンプレに飛びます

268 名前:(^ー^*)ノ〜さん 投稿日:08/01/12 18:03 ID:MSy7tGEa0
特典アイテムスレ983に貼られていたもの。
スレが埋まってるから警告が出せなかったけど、大丈夫かな……
管理板には削除依頼は出しておいた。

darkblueskp■blog34■fc2■com
--->www■gorsara■com/batteROyale
----->www■gamemmobbs■com/batteROyale/Ms06014■htm

>255の新ドメインが早速使われてる。

269 名前:(^ー^*)ノ〜さん 投稿日:08/01/12 18:47 ID:j0MDNKKS0
>>267
>※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません
一応、危険性は薄いが、精神的に有害かも知れない。やっている事もspamだし。

それと、各職Wikiの運営で尽力していた羊ケミ氏が、事実上一線を退く表明を出している。
アルケミWikiはSageWiki管理人Makichan氏が、共通データテンプレは貧スレWikiのRAGwalker氏が引き継ぎで落ち着いた模様だけど、
モンク・忍者・ガンスリの各職Wikiは現状でまだ確定していない。
この辺り、悪意ある人物が承継に名乗りを挙げるような事態にならなければ良いのだが。

#一応、テンプレサイト運営側のアカハック対策に関るので、こっちに書いてみる。

270 名前:(^ー^*)ノ〜さん 投稿日:08/01/12 19:52 ID:p4X9k0CW0
>>267
当該ページの最終更新時間を見れば気づくと思うけど、基本的に無関係。
Last-modified: 2006-07-05 Wed 22:42:07 JST。一昨年。

実はこの頃、そのページに記載されているような文で各Wiki/bbsを荒らしまわった
者が居るという昔話があり、そのページはそれの名残で今に至るまで削除され
なかったものと思われる。

271 名前:(^ー^*)ノ〜さん 投稿日:08/01/12 23:32 ID:BhcQDT9Y0
wiki観ようとしたら踏んでしまった・・・
踏んで直ぐにカスペルが検地したから削除した

踏んだ時、踏んだ後もROは起動してない
今は完全スキャンしてるけど、HDDフォーマットとOS再インスト
別PCでパス等の変更で良いのかな?

272 名前:(^ー^*)ノ〜さん 投稿日:08/01/12 23:52 ID:i5TA/NOH0
カスペが阻止したならまず大丈夫だと思うよ。
もちろん保障はできんが。

273 名前:(^ー^*)ノ〜さん 投稿日:08/01/13 00:10 ID:S3lkVZJc0
>>271
おk。但し、相談はテンプレを利用しよう。

パス等の変更は、踏んだのが明らかな時以降パスワードを送信する行為を一切していなければ不要。
パスを変更する場合は、そのPCが安全な環境であるかどうかの確認もお忘れなく。

274 名前:まとめ臨時 ◆kJfhJwdLoM 投稿日:08/01/13 07:02 ID:AATKg2Qs0
ttp://sportsnavi1■blog18■fc2■com
├ttp://www■ragnwiki■com/FFXI/
 ├ttp://www■ragnwiki■com/read/red■exe
 ├ttp://www■ragnwiki■com/read/fen■exe

罠のragnwiki■comはリネージュ資料室さんで確認されていて、
現時点のまとめ臨時分にも加えてあります。

ブログ部分はスポーツナビのパクリなのかも?
ソースチェッカーで自分が確認できたのはここまでです。
検体は確保していません。
他にも何か在るかもしれませんがよろしくお願いします。

275 名前:(^ー^*)ノ〜さん 投稿日:08/01/13 13:33 ID:JXx0tzt30
自分が管理しているRO関連サイトの掲示板に、私の名前を使い、私の過去の記事をコピペしての
罠サイト(かどうかは過去ログにて確認しました)投稿がありました。
手口の一例として報告します。

スレチでしたらすみません。

276 名前:(^ー^*)ノ〜さん 投稿日:08/01/13 17:25 ID:MaoQkgWY0
ライブドアブログ
記事にiframe仕込むのは面倒だと思うんだが…。
blog■livedoor■jp/ahirun1/
→www■ranninp■com/001358/
→www■anoelnet■org/FFXI/

www■ranninp■com/001358/
→www■ranninp■com/001358/t1■exe Trojan-PSW.Win32.Delf.ads, Trojan.PWS.Lineage.3678

www■anoelnet■org/FFXI/
→www■miarakure■com/wiki/lin■exe Trojan-PSW.Win32.Magania.bre, Trojan.PWS.Reggin
→www■miarakure■com/wiki/rse■exe Trojan-PSW.Win32.Delf.aih, Win32.HLLP.Lac
→www■miarakure■com/wiki/ff■exe Trojan-PSW.Win32.OnLineGames.lyx, Trojan.PWS.Gamania.6556

277 名前:(^ー^*)ノ〜さん 投稿日:08/01/13 18:03 ID:0AaLFqiH0
今、アルケミwiki見てたらウイルスに進入されてしまった・・・
ro繋いだまま検出してるんだけど大丈夫かな?

278 名前:◆sp4Sh9QXGI 投稿日:08/01/13 18:04 ID:sM+GgGZD0
お久しぶりです。
未だ求職中でピンチのまとめの人です。
時間がとれたのでサイトを更新しました。
…が、大したことはしておりません。
作業を全てリネージュ資料室の中の人に丸投げするという
無責任な管理人でまことに申し訳ございませんorz

279 名前:(^ー^*)ノ〜さん 投稿日:08/01/13 18:14 ID:m6fEI+5k0
>>277
侵入された時点で大丈夫とは言えなくなっている。
ログアウトして、そのPC以外からパスワードを変更した方がよい。
で、件のPCはクリーンインスト。

280 名前:まとめ臨時 ◆kJfhJwdLoM 投稿日:08/01/13 18:34 ID:VUulR0ql0
>>278
なんだか大変そうで本当におつかれさまです。

ログはこちらに。htmに変更していただければ
ttp://sky.geocities.jp/ro_hp_add/SSZ3.txt
確保しだい削除します。

281 名前:まとめ臨時 ◆kJfhJwdLoM 投稿日:08/01/13 18:47 ID:VUulR0ql0
不定期報告です。サイトのほうで定期的になんとか更新しております。
http://sky.geocities.jp/ro_hp_add/

基本的に各サイトを回られてhostsファイルを手動で編集するのがよいと思うのですが
非推奨ながら熟練者向け?に裏でUPしていたリスト
(主要サイト様方のリストをまとめすぎたリスト)を試験的にリンクしてみました。

282 名前: ◆sp4Sh9QXGI 投稿日:08/01/13 19:07 ID:sM+GgGZD0
>>280さま
臨時の管理も含め、お疲れ様です。
セキュスレのログ、ありがたくいただきました。

283 名前:(^ー^*)ノ〜さん 投稿日:08/01/13 20:09 ID:r0mnrqKd0
ぢつはアカウントハックスレ関連はBSWikiさん関連の場所でも保管されてたり。
http://smith.z49.org/kako/namazu.cgi

>>274
一応それだけで良い筈。

>>276
良くある対策システムはドメイン単位で可否を判定する物が多いから
各アカウントにディレクトリを掘るlivedoorとかyahooはあんまり嬉しくない物ですな。

>>277
アルケミテンプレは管理移行により流動的な部分はあると思うけど、
新管理人さんもSageテンプレでやってた人だから、書き込みうける可能性は
低そうな気がするんだけどな。
だからこそ、テンパっている時で悪いけど、有意な情報の為に報告テンプレを
使って欲しいな。

284 名前:(^ー^*)ノ〜さん 投稿日:08/01/13 21:06 ID:S3lkVZJc0
>>268
一応、追記。

|darkblueskp■blog34■fc2■com
|--->www■gorsara■com/batteROyale
|----->www■gamemmobbs■com/batteROyale/Ms06014■htm
 ----->www■gamemmobbs■com/batteROyale/ani■c
 ----->www■gamemmobbs■com/batteROyale/ro1■exe

ro1■exe : Trojan.Win32.Inject.qt

ro1■exeは1/12時点のVirusTotalでは下記の結果。
AntiVir○、Avast×、AVG○、カスペ○、マカフィー×、NOD32×、ノートン×

285 名前:(^ー^*)ノ〜さん 投稿日:08/01/14 11:30 ID:OOkSgmu80
gamemmobbsには
www■gamemmobbs■com/pcent/ro3■exe
もあるのでro2もどこかにあると思う。

286 名前:(^ー^*)ノ〜さん 投稿日:08/01/14 13:44 ID:SGdWojd60
少々スレの趣旨とは異なる可能性があるけど、注意して欲しい事

ここ最近ですが、exblogを使っている人のところを中心に
コメントに垢ハック系のURLが書き込まれているところが多いです
exblog利用者が知り合いに居た場合は、コメントのURLに注意してください

287 名前:(^ー^*)ノ〜さん 投稿日:08/01/14 14:25 ID:Vkjgo14v0
>>285
Trojan.Win32.Inject.qt

288 名前:(^ー^*)ノ〜さん 投稿日:08/01/15 19:50 ID:6j09wG6M0
すまない、垢ハックを踏んでしまったようなんだ。
友人のブログにあるコメントで、コメントから垢ハックと判断してURL検索→まとめサイトに載ってるか探そうとして結果開いたらそのサイトだったorz
普通のサイトで一瞬で閉じたんだがこれはどうなんだろうか。rundll132.exeもrodll.dllも発見できず、いつもなら怪しいURL踏んだら反応するAVGも反応なし。
大丈夫そうではあるんだがどうにも不安でorz

ついていたコメント
−−−−−−−−−−−−−−−−
■とりあえず速報

本日のGVを最後に 妖精輪舞-久遠の絆- が同盟からはずれました。
ぼて創立から同盟を組んでいたので寂しいですが、同盟という形がなくなった

だけなので、
妖精の皆様、これからもどうぞ宜しくお願いしますね!

rara_gm (←ここにHPのURL)
−−−−−−−−−−−−−−−−
コメントの内容は友人のブログともリンク先サイトとまったく関係無し。

289 名前:288 投稿日:08/01/15 20:12 ID:6j09wG6M0
か、かきこめねぇ・・・

290 名前:(^ー^*)ノ〜さん 投稿日:08/01/15 20:21 ID:cWn7kEJD0
まずテンプレ読め。

291 名前:(^ー^*)ノ〜さん 投稿日:08/01/15 20:31 ID:+mDWp82h0
>>rundll132.exeもrodll.dllも発見できず
いやいや、情報古すぎるから
とりあえずテンプレ読んで勉強してきてください

292 名前:288 投稿日:08/01/15 20:36 ID:6j09wG6M0
ま、まぁ落ち着いてくれ。
一番落ち着くべきは俺なんだが、何故か書き込みにエラーがでて書き込めないんだ。


【  アドレス   】ttp://gtvxi■com/uplink1028/9974link/■com/uplink1028/9974link/
【気付いた日時】2008/01/15 19:30
【     OS    】 WinXPSP2
【使用ブラウザ 】 Luna4
【WindowsUpdateの有無】 有 自動更新(ちょっと日時がわからないですorz)
【 アンチウイルスソフト 】 AVGFLEE(最終更新2008/01/12)
【その他のSecurty対策 】 常時機動はしていません。
【 ウイルススキャン結果】 McAfeeオンラインスキャンで未発見
【スレログやテンプレを読んだか】 今読みましたorz
【hosts変更】無
【PeerGuardian2導入】無
【説明】
SourceCheckerOn-lineで調べたらインラインフレームで
ttp://www■mbspro6uic■com/indexm■htm 検出、さらにその先に
ttp://www■mbspro6uic■com/naizi/nait■htm があって、
−−−−−−−−−−−−−−−
注意!ループタグを発見! (1)
※ windowオープンを発見しました。
\x47\x45\x54
−−−−−−−−−−−−−−−
ただのブラクラなのかなと行き着いたんだですがどうなのでしょう?

293 名前:(^ー^*)ノ〜さん 投稿日:08/01/15 20:38 ID:+mDWp82h0
>>292
セキュスレの方見てもらえばわかるけど垢ハクURLです
カスペオンラインスキャンでもしつつテンプレ熟読してくださいな

294 名前:(^ー^*)ノ〜さん 投稿日:08/01/16 15:44 ID:RjX5R+HV0
ちょっと質問です。
自分のブログの記事に書き込みがあって、内容がその記事にやや関係ある
文章+ 〜〜の絵です。http〜〜.zip
という内容でした。垢ハックの恐れがあるものの、もし普通のものであれば
消すのは申し訳ないので今はそのままにしてあるのですが、その内容を安全に
確かめる方法は無いでしょうか?

295 名前:(^ー^*)ノ〜さん 投稿日:08/01/16 15:48 ID:CCqaI9b20
zipなんだからDLしてウィルスチェックして確かめればいいじゃん。

296 名前:(^ー^*)ノ〜さん 投稿日:08/01/16 16:06 ID:bFnHZyZu0
>>294
そういう相談はセキュスレへどうぞ。

検体確保になるので、ピリオドを■に置き換えて、そのもののアドレスを書いてくれるとありがたい。
セキュスレを「zip」で検索書けると、同じ物が出てくるかもしれないよ。

いきなりファイルのアドレスを、見知らぬ人が書いてくる時点で危ないものだと思った方がいいよ。

297 名前:(^ー^*)ノ〜さん 投稿日:08/01/16 17:41 ID:RjX5R+HV0
ttp://www■lineagecojp■com/movie/mov0028■zip
でした。

>>296
セキュリティスレ覗いたらよく似たものがあったので垢ハクのようです。
ありがとうございましたー

298 名前:(^ー^*)ノ〜さん 投稿日:08/01/16 19:55 ID:W6FVrO2I0
先日垢ハクされ、装備が全部なくなってしまいました
メインPCはフォーマットをし
パスワードは数ヶ月使っていなかったPCから変更しました

ここで質問なのですが
やっぱり、垢ハクされた垢はもう使わないほうが良いのでしょうか?
装備はなくてもどうにかなりますが
愛着のあるキャラクターたちが心残でなかなか踏ん切りがつけられません

299 名前:(^ー^*)ノ〜さん 投稿日:08/01/16 20:43 ID:qWiZB8Ns0
>メインPCはフォーマットをし
>パスワードは数ヶ月使っていなかったPCから変更しました

逆に、使わないほうが良いのでしょうか?と考える理由は何?

300 名前:(^ー^*)ノ〜さん 投稿日:08/01/16 21:04 ID:bFnHZyZu0
>>298
パスワードを変更した数ヶ月使っていなかったPCとやらが「安全な環境」だったのであれば、
次にパスワードを盗まれるまでは安全であると考えて良いでしょう。保証はできませんが。

301 名前:298 投稿日:08/01/16 21:22 ID:W6FVrO2I0
>>299
もし万が一、垢ハクしてきた側の手元にIDが残っていた場合
ツール等でしらみつぶしにパスを抜かれちゃうのでは・・・と考えました


>>300
なるほど、ありがとうございます
参考にさせていただきますね

302 名前:(^ー^*)ノ〜さん 投稿日:08/01/16 21:22 ID:GGsg2d/00
ハックされた事実に気がつくまでの時間、及び、パスワード変更までの猶予時間が短ければ、比較的に他のトラブルは
少ないとみて良いでしょう。
但し、他のゲームでも話に出てくる事がありますが、業者が稼ぎ用に投入していたり、ロンダリング目的で中継に使っていた場合、
一切トラブルに巻き込まれていない場合と比較してリスクは高いかもしれません。

303 名前:(^ー^*)ノ〜さん 投稿日:08/01/16 21:55 ID:bFnHZyZu0
>>297
報告ありがとうございます。セキュスレの方に同じアドレスの投稿ありましたね。

カスペ検出名:Trojan.Win32.Inject.qt

304 名前:(^ー^*)ノ〜さん 投稿日:08/01/18 19:37 ID:CJDmofmy0
うちのWebサイトの拍手にハクアド来ました。
Web拍手の報告ってこのスレじゃ初めてじゃないかな。

www■gamehanbook■com/esports
アドレス自体は既出

305 名前:(^ー^*)ノ〜さん 投稿日:08/01/19 07:13 ID:COPwHW0a0
>>304
www■gamemmobbs■com/esports/ro2■exe
>>284-285 で予見されていたro2■exeだw

306 名前:(^ー^*)ノ〜さん 投稿日:08/01/19 09:52 ID:lnAEscEQ0
>>304-305
ttp://www■gamehanbook■com/esports/
ttp://www■gamemmobbs■com/esports/Ms06014■htm
ttp://www■gamemmobbs■com/esports/ani■c
ttp://www■gamemmobbs■com/esports/ro2■exe

index■htm : JS/Agent.CG
Ms06014■htm : Trojan-Downloader.JS.Psyme.kf
ani■c : Exploit.Win32.IMG-ANI.ac
ro2■exe : Trojan.Win32.Inject.qt

307 名前:(^ー^*)ノ〜さん 投稿日:08/01/19 14:53 ID:Pz0dBvk00
>>304
遂にweb拍手も標的にされ始めたか。
設置のお手軽さ故に、spamに狙われると被害拡大の規模が恐ろしい事になりそうだ。

とりあえず、メッセージのフィルターが可能な支援cgiが存在するので、導入を検討してみると良いかもしれない。
ttp://www.kototone.jp/com/webclap29.html

心配であれば、「web拍手支援cgi」で検索可能。
単純一致による投稿拒否、リモートホストによる拒否など、一通りの設定が出来る模様。
webclapからのレンタル版を使用している場合は、この機会にcgi版に置き換えるのも手。

後は、公式BBSでの注意喚起も、並行して行った方が良いのかもしれない。
> web拍手の荒らしについて・6
ttp://www.webclap.com/bbs2/index.html?mode=view&thread=107

308 名前:(^ー^*)ノ〜さん 投稿日:08/01/20 12:40 ID:+YeV8WYx0
最近自分のブログとwiki(livedoor)に相次いで妙なアドレスが張られていたので
このスレで確認してみようと思ったら一個近いのがあったので垢ハクと判断。

ttp://www■caremoon■net/wiki/
ttp://blog186■blog34■fc2■com/
改ざんされてたのに一月近く気付かなかった代物。


ttp://gtvxi■com/uplink1028/9974link/
ttp://imbbs2t4u■com/up743205/jbbs578601/
下のはwikiとブログの両方に張られていた物。

とりあえずwikiの方は書き込み制限するようにしました。
ブログコメントに関しては常に注意呼び掛けるようにします。

309 名前:(^ー^*)ノ〜さん 投稿日:08/01/22 01:54 ID:iL/ESuri0
【      気付いた日時          】 2008.1.15 18:33
【不審なアドレスのクリックの有無 】 ブログにコメントがあり、踏みました
ttp://infosueek■com/cooking
【他人にID/Passを教えた事の有無】 (Yes)
【他人が貴方のPCを使う可能性の有無】 (No)
【    ツールの使用の有無      】 (No)
【  ネットカフェの利用の有無    】 (Yes)
【     OS    】 WIN XP(詳しくわかりません)
【WindowsUpdateの有無】 自動更新
【 アンチウイルスソフト 】 かかるまでウイルスセキュリティ対策 というソフトを使ってました。自動更新なので最新です
【その他のSecurty対策 】 上記のアドレスを踏んでからアドアウェイで検索し、カスペルスキー体験版を入れて検索もしました。
【スレログやテンプレを読んだか】部分的に読みました。
【hosts変更】(有/無 [有りの場合は最終更新は何時ごろか])
【PeerGuardian2導入】(無 )
【Webヘルプデスクへの報告】(無)
【説明】上記のURLに飛んだら真っ白な画面が出ました。
知り合いのハック系に少し詳しい人にこのURL先のソースをを見てもらうと
ホスト元は中国で隠しスクプリトだらけということで断定は出来ないけど、高確率で垢ハックだろうと言われました。
アドアウェアというスパイウエア駆除ツールを勧められ、検索しました。

けど早とちりして「今作動しているプログラムだけの検索」の方で検索してしまっていて、途中でそれに気づき中断しました。
その1分たらずの検索で出てきたのが危険度8のスパイウエアでした。(MAX10)

それを駆除し、「ドライブすべてを検索」の方で検索すると今度は1つもスパイウェアが出てきませんでした。
教えてくれた方にそれはおかしいと言われたのですけど、このソフトで出なければ大丈夫。と言われこの話は終わってしまいました。

駆除されると思って形を変えてどこかにスパイウェアが隠れてるんじゃないかと不安で別の人に相談すると「カスペルスキーがいいよ」と言われ、それでも検索しても何1つ出てきませんでした。
この2つで検索して何も出てこないと言う事はもう大丈夫と思っていいのでしょうか?

310 名前:(^ー^*)ノ〜さん 投稿日:08/01/22 01:57 ID:W8f/iqem0
・アンチウイルスソフトでウイルスが見つからないのでもう大丈夫だよね?
  100%の保証は出来ません。ウィルスが見つからなかった場合、チェックに使った
  アンチウィルスソフトでは発見出来なかっただけです。本当にウィルスが居ないのか、
  それとも検知を免れているだけなのかは判りません。
  自信が無い場合はHDDをフォーマットの上、PCの再セットアップを考えるべきです

311 名前:(^ー^*)ノ〜さん 投稿日:08/01/22 14:42 ID:qgsl0Cs00
>>307
結構前から、web拍手に投下してる奴はいる
比較的マイナーなサイトでも話題に上がってた

312 名前:(^ー^*)ノ〜さん 投稿日:08/01/22 22:23 ID:3SvlaUNrO
そもそも他人にID教えたことあるとか
垢共有乙じゃね?
引退オススメ

313 名前:(^ー^*)ノ〜さん 投稿日:08/01/23 01:00 ID:tPy+8DyL0
【  アドレス   】http://spesmist■blog28.fc2.com/
【気付いた日時】ついさっき。ROとは関係ないWikiを見た時。
【     OS    】WindowsXP HomeSP2
【使用ブラウザ 】IEです
【WindowsUpdateの有無】アップデートは入ったら入れてます
【 アンチウイルスソフト 】WindowsLiveOnecare
【その他のSecurty対策 】ルーター
【 ウイルススキャン結果】踏んだ時に対策ソフトが警告を出してくれてその時削除しました。その後カスペルスキーでスキャンして見ましたが何も出ていません。
【スレログやテンプレを読んだか】テンプレは一応読みました
【hosts変更】無し
【PeerGuardian2導入】無し
【説明】ウイルス対策ソフトが反応したため。ROにログインしている状況でWikiを見て感染したのですが、すぐ削除した場合どうなるのでしょうか。

314 名前:(^ー^*)ノ〜さん 投稿日:08/01/23 01:03 ID:tPy+8DyL0
313ですが。
カスペルスキーで再度検索したところ感染がありました。

315 名前:(^ー^*)ノ〜さん 投稿日:08/01/23 01:11 ID:Ie4DqmKL0
ならログアウトしたら再度ログインは控えるように

316 名前:313 投稿日:08/01/23 01:27 ID:tPy+8DyL0
カスペルスキーのスキャンで出てきた名称は"Trojan-Downloader.VBS.Agent.hi"
と"Trojan-Clicker.HTML.IFrame.il"らしいです。
全然わからないです('A')

317 名前:(^ー^*)ノ〜さん 投稿日:08/01/23 02:14 ID:kzeAXSyr0
>>316
分からなかったら調べる (`・ω・´)

Trojan-Downloader.VBS.Agent.hp(hiはなかったのでこれかな)
ttp://www.viruslistjp.com/viruses/encyclopedia/?virusid=247763
Trojan-Clicker.HTML.IFrame.g(同じくilなし)
http://www.viruslistjp.com/viruses/encyclopedia/?virusid=125408

というか、Onecareで対応した方がいいのかもね
カスペのオンラインスキャンで駆除できるわけではないし
Onecareでは何という名前で出ていたのか分からないから検索が出来なかった (´・ω・`)

318 名前:(^ー^*)ノ〜さん 投稿日:08/01/23 04:52 ID:RVYxqRSF0
>>316
それは両方とも、ダウンローダ(IEのキャッシュかな)。

なんたらIframeは、縦か横のサイズを0にしたIframe呼び出しで別サイトのhtmlを閲覧者に隠して読み込ませるもの。
VBSってのは、アカハック本体を読み込ませるものだが、VBで本体の名前が難読化されているもの。

この段階でブロックできているなら、水際阻止ということだが、今回は「事後に確認」しているので
本体を入手してしまっている可能性がある。VBSの奴は、2〜3種類落としてくるものが一般的で
LiveOneCareが本体をブロックしていても「ブロックできていない本体がいる可能性が高い」。
(あとでチェックしたカスペをすり抜けるものが含まれていたなら、発動させていると思った方がいい)

「説明」を読む限りは、接続中ではあったが「ログイン作業は行なっていない」ということのようなので、
現時点では盗まれていない筈。だけど、上に書いたようにすり抜けている可能性が十分にあるので
「あなたが踏んだ時から、ファイルの変更がなく」「カスペオンラインスキャン時のパターンで検知可能な
ものしか置かれていなかった」という2つの前提条件をクリアできない限りは、OSの入れなおししかない。

■踏んでからログインなどを一切していない場合
・早急なOSの再インストールを推奨

■一度でもログイン等してしまった場合
・安全な環境(詳細はテンプレ参照)から、パスワードの変更を行なう
・その後で、OSの再インストールをゆっくりとどうぞ。

319 名前:(^ー^*)ノ〜さん 投稿日:08/01/23 05:11 ID:RVYxqRSF0
>>313
ttp://spesmist■blog28■fc2■com/
ttp://www■teamerblog■com/blog/
ttp://www■panslog■net/wiki/index1■htm

ttp://www■panslog■net/wiki/send■exe
ttp://www■panslog■net/fc2/cery■exe
ttp://www■panslog■net/wiki/reco■exe

カスペ検出名
->fc2のindex■htm(カスペすり抜け)
-->アカハックサイトのindex■htm−−−Trojan-Clicker.HTML.IFrame.il
--->VBSで本体をダウンロードするindex1■htm−−−Trojan-Downloader.VBS.Agent.hi
---->send■exe(本体1)−−−Trojan-PSW.Win32.Delf.aih
---->cery■exe(本体2)−−−Trojan-PSW.Win32.OnLineGames.lyx
---->reco■exe(本体3)−−−Trojan.Win32.Inject.ms

send■exe(PWS:Win32/Lmir.BMT)
ttp://www.virustotal.com/analisis/d74b020f6bb8c953b4aa632429764ec3
cery■exe(Microsoftすり抜け)
ttp://www.virustotal.com/analisis/9b0cf477874077a5974b7689b0ff6640
reco■exe(Microsoftすり抜け)
ttp://www.virustotal.com/analisis/98ce162e72789db5705dad5827fd2f31

多分、WindowsLiveOnecare が反応し、ブロックできたのは「send■exe」のみ。
他の2つは、切断前にダウンロードしていた可能性があるし、send■exeをブロックする
段階までいったとなると、それを読み込ませようとするレジストリへの変更などが
index1■htmのVBScript実行時点で行われてしまっている。

やはり、早急なOS入れなおしが必要と思われる。もちろん、カスペオンラインスキャンで
「Trojan-PSW.Win32.OnLineGames.lyx」と「Trojan.Win32.Inject.ms」が出てこないので
1つめを入手しようとした時点で切断しており、残りを入手していないと信じて、自己責任で
使い続ける方法もあるが、お勧めはできない。

320 名前:(^ー^*)ノ〜さん 投稿日:08/01/23 05:45 ID:0Ng+OrFr0
すみません、便乗で相談させてください。
>>313さんとほぼ同じ時間で同じ罠ブログを踏んでしまいました。
(ちなみに、ROとは無関係な動画製作関連wikiのメニューを書き換えたもので、現在は修正されているようです)
状況は次の通りです。

【  アドレス   】http://spesmist■blog28■fc2■com/
【気付いた日時】08/01/23 01時過ぎころ
【     OS    】WindowsXP Home SP2
【使用ブラウザ 】Firefox2.0.0.11
【WindowsUpdateの有無】自動更新/最新の状態です
【 アンチウイルスソフト 】Norton internet security 2008
【その他のSecurty対策 】ルータ
【 ウイルススキャン結果】最新定義状態のノートンで検出なし、カスペオンラインで検出なし
【スレログやテンプレを読んだか】読みました
【hosts変更】無
【PeerGuardian2導入】無
【説明】踏んだ時にノートンの反応はありませんでしたが、wiki内ページのはずが外部ブログ、
それもROプレーヤーの日記を装っていたためアカウントハック目的の偽装書き換えだと思い、
こちらのスレッドを拝見したところ>>313さんの書き込みを見つけました。

すぐに感染の恐れのないPCで各種パスを変更し、キャラクターをログイン状態にしています。
踏んでしまったPCでは
・Firefoxのキャッシュとクッキーをクリア
・Temporary Internet FilesフォルダとIEのクッキーをクリアし、
・\Temp\top.exe
・\windows\system32\exploreref.exe
・\windows\system32\systemlf.dll
がHDD内に存在しないことは確認しています。

念のためOSの入れ直しを考えていますが、検索しても把握できなかったので次の2点について教えていただければ幸いです。
上記の状況では、閲覧はしたが一応食い止めたという可能性が高いと考えられてよいでしょうか。
また、上記レスで指摘されているダウンローダは、Firefoxで閲覧した場合にはどのように動作するのでしょうか。
(動作しない、IE同様に動作する等)どうぞよろしくお願いいたします。

321 名前:(^ー^*)ノ〜さん 投稿日:08/01/23 06:22 ID:RVYxqRSF0
>>320
・基本的に、FireFoxでもIEと同様に動作する。
>>319のVirusTotalの結果を見てわかるように、本体自体はパターン更新していればノートンでもブロック可能。
・本体入手前(もしくはダウンロード完了前)に切断が間に合っている可能性はあるが保証できない。
 そのため、OSの入れなおしは推奨する。

>上記の状況では、閲覧はしたが一応食い止めたという可能性が高いと考えられてよいでしょうか。
・反応していないことをもって、食い止めたと判断はできない。
 (踏んだタイミングによってはファイルが差し替えられている可能性もある)
>>319の調査時点と踏んだ時点でファイルが同じであると仮定した場合、同じ名称(ノートンの名称では
 かかれていないが)で、すべてブロック履歴があれば、ブロックできた可能性が高いと言えるが、
 「検知されなかった」場合は、可能性が複数考えられるので、「判断のしようがない」。

322 名前:(^ー^*)ノ〜さん 投稿日:08/01/23 08:34 ID:2T1RtJHM0
自ブログのコメントより垢ハックと思われるアドレス。
blogrogame■blog18■fc2■com
エキサイトブログは今年に入ってからハクアド貼り付けが多くなってますね。

323 名前:313 投稿日:08/01/23 09:00 ID:fekc07+rO
おはようございます。
今は家から出てしまったので帰宅してからOSの入れ直ししようと思います。

後から出た物はOneCareでは検出できませんでした。

324 名前:(^ー^*)ノ〜さん 投稿日:08/01/23 12:33 ID:GRAYm8+l0
>>322
それ、インラインフレームでwww■symphones■comにアクセスさせ、
vbscriptで何かのコードを実行させようとしているな。hostsに追加だわ。

325 名前:320 投稿日:08/01/23 12:54 ID:0Ng+OrFr0
>>321さん

320です。わかりやすい解説ありがとうございました。
いくつか既出のことも質問してしまい申し訳ありませんでした。
仰る通り、「未検出」「無反応」ですと様々な状況が考えられますので、
重要なデータを退避させた上でOSの再インストールをすることにします。
今後はRO以外のサイトを見る時も十分注意するようにします。感謝です。

326 名前:(^ー^*)ノ〜さん 投稿日:08/01/23 15:47 ID:RfsBmJpz0
lokiwikiの同盟関係のとことか、クリックしたら画面真っ白になったんだけど
これは大丈夫なのかな・・・だれか調べられませんか?

327 名前:(^ー^*)ノ〜さん 投稿日:08/01/23 15:52 ID:4tXEoCCX0
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/351n

328 名前:(^ー^*)ノ〜さん 投稿日:08/01/23 15:56 ID:RfsBmJpz0
>>327
そっちに移動します、誘導ありがとう

329 名前:(^ー^*)ノ〜さん 投稿日:08/01/24 03:54 ID:LN8mY3z40
うっかりどころかポチっと踏んでしまった・・・
【      気付いた日時          】 踏んだ直後 カスペが即反応 トロイ
【不審なアドレスのクリックの有無 】 gtvxi■com/uplink1028/9974link/
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【    ツールの使用の有無      】 No
【  ネットカフェの利用の有無    】 No
【     OS    】 XP professional SP2
【使用ブラウザ 】 Sleipnir v2.6.1
【WindowsUpdateの有無】 自動更新なので最新
【 アンチウイルスソフト 】 カスペルスキーインターネットセキュリティ7.0 定義データベース2008/1/23/23:23:59更新
【その他のSecurty対策 】 無し
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【スレログやテンプレを読んだか】 今から読みます
【hosts変更】無し
【PeerGuardian2導入】無し
【Webヘルプデスクへの報告】無
【説明】
とりあえずクリックした瞬間トロイ検知とカスペが反応して即座に遮断しました。
その後、すぐにルーター有&別回線のPCから癌ID、垢ID、パスを全て変更しました。

やはり安全策はフォーマット&OS再インストールでしょうか?

330 名前:329 投稿日:08/01/24 04:05 ID:LN8mY3z40
ちなみに先ほどCドライブをスキャンしたら脅威はないとのことでした。
ただ、イベントレポートに
2008/01/24 3:50:28 プロセス (PID 580) は次の行為を試みました。:(PID 2144)のプロセスがカスペルスキーインターネットセキュリティにアクセスしようとしています。セルフディフェンス機能が有効に働きこの行為を防御しました。処理は完了しているので何もする必要はありません

これが表示されました
本体DLしてしまった可能性が高いでしょうか?

331 名前:(^ー^*)ノ〜さん 投稿日:08/01/24 11:30 ID:TaWLDh+00
>>329
>その後、すぐにルーター有&別回線のPCから癌ID、垢ID、パスを全て変更しました。
踏んだ後、ログインを1度も行なっていなければ盗まれる心配は無い。
アカハックの削除もしくは安全な環境の再構築だけでいい。

カスペがダウンローダの時点でブロックした「可能性」はある。
カスペのログから、何をブロックしたのか確認してみるといい。あとの判断は自己責任だ。
下記の情報で判断できないようなら、OSの再インストールをお勧めする。

ttp://gtvxi■com/uplink1028/9974link/
ttp://www■mbspro6uic■com/indexff■htm
ttp://www■mbspro6uic■com/naizi/nait■htm
ttp://www■mbspro6uic■com/naizi/tani■c
ttp://www■mbspro6uic■com/indexff■htm
ttp://www■mbspro6uic■com/naizi/nai■htm
ttp://www■mbspro6uic■com/naizi/ani■c
ttp://www■mbspro6uic■com/naizi/ff22■exe
ttp://www■mbspro6uic■com/naizi/rbt1■exe

カスペの検出名
->index■htm : サイズ0のiframe呼び出し(カスペスルー)
-->indexm■htm : Trojan-Downloader.HTML.IFrame.dv
--->nait■htm : Trojan-Downloader.JS.Psyme.kf
--->tani■c : Exploit.Win32.IMG-ANI.ac
---->rbt1■exe : Trojan-Downloader.Win32.Delf.dsz
-->indexff■htm : Trojan-Downloader.HTML.IFrame.dv
--->nai■htm : Trojan-Downloader.JS.Psyme.kf
--->ani■c : Exploit.Win32.IMG-ANI.ac
---->ff22■exe : Trojan-PSW.Win32.OnLineGames.fcj

332 名前:329 投稿日:08/01/24 12:37 ID:LN8mY3z40
>>331
-->indexm■htm : Trojan-Downloader.HTML.IFrame.dv

まさにこれですね・・・

とりあえずOS再インストールしてみます

333 名前:329 投稿日:08/01/24 15:03 ID:vtyRkbXn0
結局フォーマット&OS再インストールしました。
まだクライアントのインストールはしていません。
ただ、329を書く前にIDパスなどを全て変更したあとで別回線&別PCからゲームにINしてしまいました。

テンプレだと厳禁となっていますが、それは踏んだPCでのINが
危険という意味だと思ったので

踏んだPCはOS再インストールしたあとで再びIDパスを全て変更しましたが
あとは運でしょうか・・・

334 名前:(^ー^*)ノ〜さん 投稿日:08/01/24 18:04 ID:+M+3knFF0
>>329
アカハックの手口というのは

1)URLを踏ませ、ウィルスをインストールさせる
2)ID/パスワードを盗む
3)盗んだものでログインしアイテムを盗む

という流れなわけですが、今現状確認されているウィルスの殆ど(全てとは言い切らない)が
ウィルス感染以前に入力・送信していたID/パスはウィルスにはわからないし盗めない。
2)を行うにあたって「誰かがウィルス感染PCよりID/パスワードを入力・送信する」という作業が必要。

なので、「感染PCからのログインは厳禁」となります。

このあたりの流れをきちんと自分の頭で整理してみて?
そうしたら>>333で言ってることが微妙にちんぷんかんぷんなことがわかると思う。

考えるのが嫌なら結論だけ言えば
・OSをクリーンインストールしたPCでパスを変更したならアカハックされることは99.9%ない。
(残りの0.1は現時点で確認されていないウィルスによる被害と思ってください)

335 名前:(^ー^*)ノ〜さん 投稿日:08/01/24 18:56 ID:gjCW1F740
RO2時限式のワームが本日発動パッチに入っていた模様
みじんこなので駆除が精一杯で内容不明

あとは偉い人に任せます

336 名前:(^ー^*)ノ〜さん 投稿日:08/01/24 18:59 ID:mTVATdqQ0
>335
日本語でおk

337 名前:(^ー^*)ノ〜さん 投稿日:08/01/24 19:00 ID:CfV06Ed70
いや、もう来なくて良いよ

338 名前:(^ー^*)ノ〜さん 投稿日:08/01/25 13:07 ID:xhv0ZMXM0
FEZもプレイしている人へ。

FEZのWikiがアカウントハックに書き換えられているらしい。
未確認だがトップページからあやしいブログに飛ばされるそうだ。
FEZ自体は装備がトレード不可だったりするわけで
アカウントハックのうまみはないが、複数の掛け持ちプレイヤーが多い。
FFやRO、リネージュのアカウントをハックしようとしていると思われる。
注意されたし。

339 名前:(^ー^*)ノ〜さん 投稿日:08/01/25 13:29 ID:iDKVREUk0
差分から抽出。
ttp://poikiy■blog98■fc2■com/
該当ユーザーBlogは既に凍結済みの為、追跡はできず。

ただ、掛け持ち狙い以外にも、ハックされたアカウントにオーブ(ROに例えればShopPoint)が残存していれば、課金アイテムを
プレゼントという形で別のアカウントに贈与する事は可能なので、ノーリスクとも言えない。
それに、自国に不利な活動を行う工作員として、盗用アカウントを活用される恐れもある。

340 名前:(^ー^*)ノ〜さん 投稿日:08/01/25 19:43 ID:s4ACceQ20
GGXXwikiにも爆撃されてたね、そのURL

341 名前:(^ー^*)ノ〜さん 投稿日:08/01/25 20:00 ID:AmULkVa50
後ろが違うだけの気がしますけど・・

infosueek■com/roeng/
IP:218.86.91.17

342 名前:(^ー^*)ノ〜さん 投稿日:08/01/25 20:13 ID:1NbIRP2a0
>>341
infosueek■com/xin/ro■exe

343 名前:(^ー^*)ノ〜さん 投稿日:08/01/26 02:22 ID:6wR6fyPc0
FEZ Wiki爆撃第二波に使われたfc2Blog。
hoshims■blog34■fc2■com/
-> www■teamerblog■com/blog/
--> www■panslog■net/wiki/index1.htm (スクランブルVBScript埋めこみ)

Wikiの方は、既に管理人が登場し、外部リンク確認ページ導入などの対策が施されたので、暫くは様子見で良さそう。

344 名前:(^ー^*)ノ〜さん 投稿日:08/01/26 03:51 ID:6wR6fyPc0
FEZ Wiki改竄者のリモートホストが判明。
ofsfb-01p1-92.ppp11.odn.ad.jpとの管理者発表があった。
またOFSfbか、といった感じ。

345 名前:(^ー^*)ノ〜さん 投稿日:08/01/26 13:49 ID:gdIMY3B90
ofsfbは無条件で禁止設定が吉

どこにでも現れるからな

346 名前:(^ー^*)ノ〜さん 投稿日:08/01/29 10:05 ID:2nstDmnJ0
さっと検索してみたのですが、報告無いみたいなので。
ttp://secorewell999■blog5■fc2■com/
├ttp://www■testinghua.com/ie/wm■htm
  ├ttp://www■testinghua■com/ie/an■htm
  |   ├ttp://www■testinghua■com/ie/test■cur
  |   ├ttp://www■testinghua■com/ie/Ms06014■htm
  ├ttp://www■testinghua■com/ie/op■htm
  |   ├ttp://www■testinghua■com/ie/kun■exe
  |ttp://www■testinghua■com/ie/re■htm

検体は提出していません。
test■curはノートンで
リスク名:HTTP ANI File Anih Hdr Size BO
危険度:高レベル
トラフィック:TCP,www-httpにて進入検知遮断

kun■exe
ノートンでは何も検出されず。
カスペのオンラインスキャン結果
スキャンしたファイル:kun■exe - 感染が見つかりました
kun■exe - に感染しています Trojan-PSW.Win32.LdPinch.beo

このほかにも有りそうだけど自分で解ったのはこれだけです。
どなたかよろしくお願いします。

347 名前:(^ー^*)ノ〜さん 投稿日:08/01/29 16:38 ID:YzuDo2cG0
垢ハックはニコニコのコメントにも進出してきた模様

348 名前:(^ー^*)ノ〜さん 投稿日:08/01/29 16:59 ID:3qaFWXEZ0
できれば、具体的な事例を提示してください

349 名前:(^ー^*)ノ〜さん 投稿日:08/01/29 22:34 ID:88nCubdA0
アカウント登録が必要なニコニコとかmixiとかイラネ
そのコミュニティ内でやってくれ

350 名前:(^ー^*)ノ〜さん 投稿日:08/01/30 02:10 ID:AynyqpUS0
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/

351 名前:(^ー^*)ノ〜さん 投稿日:08/01/30 12:14 ID:t31BX4jp0
中華っぽい名前の商人が垢ハックっぽい露店2個も立ててるなぁ
しかも相当レアいものが並んでる…可哀想に

352 名前:(^ー^*)ノ〜さん 投稿日:08/01/30 23:25 ID:0LVoKzBx0
リンカーwikiのトップページに
ttp://www■hosetaibn■com/cgi-bbs

が貼られたまま放置されてるけど、これもハックだよなあ

353 名前:(^ー^*)ノ〜さん 投稿日:08/01/30 23:41 ID:DlDewoGQ0
その通りでございます

354 名前:(^ー^*)ノ〜さん 投稿日:08/01/31 08:40 ID:kb3lsyZc0
www■hosetaibn■com/cgi-bbs/
-> www■qyytw■com/jpt1/main.htm
--> www■qyytw■com/jpt1/Ms06014.htm
--> www■qyytw■com/jpt1/test.cur
-> www■qyytw■com/jpt1/real.htm (RealPlayerのexploit狙いJavaScript)

355 名前:(^ー^*)ノ〜さん 投稿日:08/01/31 08:57 ID:7GoH/4H/O
アカハックurlを携帯で踏んだらどうなるんだろう

356 名前:(^ー^*)ノ〜さん 投稿日:08/01/31 09:12 ID:DoLD1yEL0
>355
一言で言えば「”基本的”に無害」

スレチになるので、詳細が知りたいならセキュスレにて。

357 名前:(^ー^*)ノ〜さん 投稿日:08/01/31 09:32 ID:QBJi7PEb0
PC用の罠だけなら無害。携帯用の罠もあれば有害。
何にしても無闇に触りに行くべきではない。

358 名前:(^ー^*)ノ〜さん 投稿日:08/01/31 10:56 ID:eBuZ4t2u0
被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/

359 名前:(^ー^*)ノ〜さん 投稿日:08/01/31 16:18 ID:kdP+ntMa0
チョンがテンプレコピペ連発してスレを荒らそうとしてるように見える

360 名前:(^ー^*)ノ〜さん 投稿日:08/01/31 18:23 ID:PhQpFzDf0
以前スレチを指摘された奴が粘着してるんだと思う。

361 名前:(^ー^*)ノ〜さん 投稿日:08/02/01 23:01 ID:ngDSKsAP0
ttp://imguploader■no-ip■org:2121/contents/ro_uploader6/index■htm
ちょっとこれが垢ハックなのかどうかで話題になっているのですが
自分では確かめられません・・・
どなたかこれが安全なのか危険なのかどうか判断できる方いたらよろしくお願いします

362 名前:(^ー^*)ノ〜さん 投稿日:08/02/01 23:07 ID:Rr2XQCT10
>※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

363 名前:(^ー^*)ノ〜さん 投稿日:08/02/01 23:12 ID:mqZ2xHGA0
>被害や攻撃等のアカウントハックの具体的事例に関して扱います。
>重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
>対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

>※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

テンプレ位読みましょうね。

サーバー起動してないとかなんじゃないかと思いますが断定はしない。
セキュスレに持ち込んでも、解説スレじゃないって一蹴されて終わりかと。

相談用テンプレの>>4にも「(『怪しいアドレス』との判断した理由、症状を詳しく書く) 」と記載されています。
怪しいと判断するに足るだけの情報があれば、セキュスレで取り上げて貰えるかもしれませんね。

物凄い勢いで質問〜スレの内容程度なら、セキュスレでも扱わないかも。

364 名前:(^ー^*)ノ〜さん 投稿日:08/02/02 17:18 ID:Vb1gSu4F0
自分が巡回させてもらってるblogのコメントに、かなりの
爆撃が入っているようですね。
全部コメントは以下のとおり
−−−−−−−
こんにちはぁ^^ 初めまして☆ フレ
いつも日記楽しみにみております
このたび私のブログに勝手にリンクはらせていただきました〜
よろしければ相互リンクお願いします.
ブログ -- akityonhuu■blog37■fc2■com/
−−−−−−−
今日更新されたとこばっかりでした。お気をつけを

365 名前:(^ー^*)ノ〜さん 投稿日:08/02/02 17:19 ID:VKX/SoPK0
ttp://pharmacy-beta-bb8■150m■com/

このアドレスは既出?

366 名前:(^ー^*)ノ〜さん 投稿日:08/02/02 18:18 ID:5UQxU5P00
【      気付いた日時          】 2月2日02時頃。Url踏んだらウイルスバスターが反応。
【不審なアドレスのクリックの有無 】 http://infosueek■com/jplink
【     OS    】 WindowsXP2002
【使用ブラウザ 】 IE
【WindowsUpdateの有無】 月一くらいで更新
【 アンチウイルスソフト 】ウイルスバスター2007
【 ウイルススキャン結果】 ウイルスバスターが反応。隔離できず手動で削除してください、と出ました。
             カスペルオンラインで現在検索中。
【スレログやテンプレを読んだか】 書きながらざっと読んでます。
【hosts変更】無いと思います
【説明】RO小説系のサイトを探してて、「RO 二次」でググって一番上に来たのを不注意に踏んでしまいました。
    垢ハクかどうかわからず、対処方法を求めてすぐスレ・テンプレを見て、
    バスターが反応した以後はログインはせず、別PCでガンIDパスとアカウントパスを変更しました。
    その後、カスペルオンラインで検索を始めました。
    今、カスペルでワーム?というのが検出されました。バスターの詳細にもワームと出てました
    今はOS再インストのためにデータのバックアップをとっています。
    PCやセキュリティに関しては初心者なので、やれることはやったつもりですが、これで大丈夫でしょうか?

367 名前:(^ー^*)ノ〜さん 投稿日:08/02/02 19:32 ID:qaPoEXhY0
>366
そのアドレスは既知の垢ハックアドレス
なので、とりあえずそのPCでの接続は止めなさい。
んでOS再インストールする意思があるようなので、OSクリーンインストールオススメします
データのバックアップのファイルの中にウィルス入ってると本末転倒なので、OSに関係するファイルまで保存しないようにね

368 名前:(^ー^*)ノ〜さん 投稿日:08/02/02 20:00 ID:s/lzMXpn0
>>364
FC2に通報しました。

>>365
アカハックっつーよりリンクてんこ盛りのSPAMだと思う
(アメリカから来るバイアグラメールみたいな)。

369 名前:(^ー^*)ノ〜さん 投稿日:08/02/02 20:06 ID:s/lzMXpn0
FC2が最も使われると思うのでとりあえず通報フォーム。
ttp://support.fc2.com/form.html
の「無料サービス」の一番上、一番右の「スパム・不適切ブログ」
名前やメルアドはてきとーで可。

370 名前:(^ー^*)ノ〜さん 投稿日:08/02/02 20:20 ID:QToDiELc0
>>369
それ、セキュリティWikiに乗せといてもいいかも。

371 名前:(^ー^*)ノ〜さん 投稿日:08/02/02 20:31 ID:s/lzMXpn0
wikiに載せるとなると他(livedoorとかサーパラとか)も、となるので
自分はとりあえずいいや。

372 名前:(^ー^*)ノ〜さん 投稿日:08/02/02 21:21 ID:rnu2H7kc0
サーパラはここから。
ttps://ssl.surpara.com/info.php
本館のフォームだが、Blogの問い合わせもここで対応可能。

373 名前:(^ー^*)ノ〜さん 投稿日:08/02/02 22:19 ID:ikHNVyK/0
【  アドレス   】www■ranninp■com
【気付いた日時】 21:52
【     OS    】WindowsXP Home Edition2002
【使用ブラウザ 】IE
【WindowsUpdateの有無】自動更新
【 アンチウイルスソフト 】 NortonInternetSecurity2008
【その他のSecurty対策 】 無し
【 ウイルススキャン結果】 カスペルスキーで検索中
【スレログやテンプレを読んだか】 それなりに目は通してます。
【hosts変更】無いと思います。
【PeerGuardian2導入】していません。
【説明】
RO.Engineの伝言板にあったサイト(blog■livedoor■jp/snowlyr/)を開いた所、
ノートンが反応し進入の試みを遮断したとの事です。
ソースチェッカーに掛けてみたところ、上記のアドレスが90%(ループタグ有り)
www■ranninp■comは安全度100%でしたが、
やはりOS入れなおしたほうがいいのでしょうか?

374 名前:273 投稿日:08/02/02 22:23 ID:ikHNVyK/0
追記。
【 ウイルススキャン結果】 ノートンは検出無し。
【説明】
アドレスチェッカーでも有害なスクリプトは発見されませんでしたが、
www■ranninp■comは中国で、以前にもスレで1回名前が出ています。

375 名前:373 投稿日:08/02/02 22:24 ID:ikHNVyK/0
焦りすぎorz373です。申し訳ない。

376 名前:(^ー^*)ノ〜さん 投稿日:08/02/02 23:04 ID:q3TlYdN/0
ノートンに詳しくないから、「進入の試みを遮断」が適切なメッセージがどうか
分からんけど、反応したやつに関しては大丈夫。

そこから先は、ログ読んでもらえれば分かると思うが、心配ならOS再インスコ
としか言えない。
怪しいURL踏んだこともないし、セキュリティソフトが反応したこともないけど
大丈夫ですか?と問われたとしても、心配ならOS再インスコとしか言えない
のが事実。

377 名前:373 投稿日:08/02/02 23:27 ID:ikHNVyK/0
カスペルスキーでチェックした結果見事に感染していたので、
別のPCで癌IDとROIDのパスワードはそれぞれ変更してきました。
今から再インストールしてきます。
ノートン先生、反応しただけでウィルス事態は遮断しきれてなかったorz

ちなみに調べた所、別の方のBlogのコピーBlogぽかったですorz

>>376
やはりそれが一番確実ですよね。
今回垢ハック確定っぽいのでそうします。

378 名前:(^ー^*)ノ〜さん 投稿日:08/02/02 23:58 ID:Ia9954SH0
>>367
ありがとうございます。OS再インストします。

あと、感染PCでログインしない限りパスを盗まれることはないのでしょうか?
感染後ログインはしておらず、パスは別PCですでに変えてあります。
データのバックアップに少し時間がかかりそうで。

379 名前:(^ー^*)ノ〜さん 投稿日:08/02/03 00:13 ID:FV8ccdlT0
>>378
Yes

380 名前:(^ー^*)ノ〜さん 投稿日:08/02/03 16:38 ID:RUFsaMrG0
>>377
感染箇所と検出名を書いてないので
いつ感染したのかもわからないね

381 名前:373 投稿日:08/02/03 17:53 ID:Sn60Xui/0
>>380
>>373に感染箇所は書いていますが、解りにくかったですねorz
感染箇所はRO.Engineの伝言板です。
サイトに登録していないアドレスの場合は表示されません、との注意文があり、
大丈夫だろうと油断していた所を踏んでしまいました。

「snowlyr > 初の棚臨 [URL] 02/02 02:39」という書き込みで、
現在も伝言板に残っているので他に踏んだ人が居ない事を祈りますが。
(踏んだアドレスはttp://blog■livedoor■jp/snowlyr/)
感染は>>373に記載した時間と同時間です。
踏んだ直後にノートンが反応したのですぐ気付けましたが…

検出名はTrojan-Downloader.HTML.IFrame.baだったと思いますが、
初期化したので完全には覚えてませんorz

382 名前:380 投稿日:08/02/03 18:47 ID:RUFsaMrG0
「感染箇所」はPC内部の「どこ」から検出されたか?ということだよ

383 名前:373 投稿日:08/02/03 19:25 ID:Sn60Xui/0
>>380
あぁ、勘違いすみませんorz
初期化してしまったので確認取れませんが、
CのDocuments and Settings以降だったとしか覚えていません…

384 名前:(^ー^*)ノ〜さん 投稿日:08/02/03 20:39 ID:FV8ccdlT0
>>381-383
それはダウンローダ。多分、IEのキャッシュが反応場所だと思うよ。

初期化したので、対処としては問題無いかと。

385 名前:(^ー^*)ノ〜さん 投稿日:08/02/04 17:03 ID:M6u4r6uP0
ブログのコメントに書き込まれていました。
まとめ臨時さんの強行版に載ってるアドレスと同じものの
ようなのですが報告しておきます。

ttp://jbbslivedoor■com/mmghaoyk/

386 名前:sage 投稿日:08/02/04 17:49 ID:4Luu+g7a0
今月2日頃、アサシンwikiのコメント欄に18禁サイトであろうHTMLのソースが書き込まれていました。
しかしwiki自体にはソースは組み込まれていなく、書き込もうとした人がwikiに組み込もうとして失敗したようです。
そこに書かれていたリンク等はクリックしてはいないのですが・・・やっぱりウィルススキャンしておくべきなのでしょうか?

387 名前:(^ー^*)ノ〜さん 投稿日:08/02/04 18:00 ID:4Luu+g7a0
sageを書き込むところ間違えました・・・
ごめんなさい・・・orz

388 名前:(^ー^*)ノ〜さん 投稿日:08/02/04 18:10 ID:JSbiAuGY0
agesageとか詰まらん事にこだわるな

389 名前:(^ー^*)ノ〜さん 投稿日:08/02/04 18:14 ID:a5SPmj7F0
クリックの有無に関わらず定期的・踏んだ可能性のある時にスキャンかけるのはネット利用者として最低限のマナーだぞ。

390 名前:(^ー^*)ノ〜さん 投稿日:08/02/04 18:45 ID:4Luu+g7a0
一つ書き忘れていたことがありました。
ノートンでスキャンしたのですが、ノートンでは何もひっかかりませんでした。
過去ログで、カスペルスキーではひっかかったけどノートンではなにも引っかからなかったというのを見たので、
他のスキャンソフトでもスキャンしとくべきなのでしょうか・・・と・・・

391 名前:(^ー^*)ノ〜さん 投稿日:08/02/04 18:53 ID:YnTyOARVO
悩むくらいならやればいいのに・・・

392 名前:(^ー^*)ノ〜さん 投稿日:08/02/04 18:55 ID:nAdFjse80
>390
簡潔に

・Wikiを閲覧しただけでは基本的に感染は無い(例外は当然ある)
・件のアドレスは warez系又はkrack系で、ただのSpamの可能性が高い
・単一のチェックでは見落とす可能性もあるので、スキャンするなら複数で調べたほうがより安心
・誰も「絶対」「安全」なんて保障は出来ない。

そろそろコピペ貼りの人が出てきそうだから、続けるならセキュスレに移動しようか。

393 名前:(^ー^*)ノ〜さん 投稿日:08/02/04 19:08 ID:4Luu+g7a0
わかりやすく答えていただきありがとうございます。
参考にさせていただきます。

394 名前:(^ー^*)ノ〜さん 投稿日:08/02/05 20:42 ID:xxrJlb6P0
mixiの色んな日記に書き込みしている模様

http://www■lineagecojp■com/movie/mov0028■zip

395 名前:(^ー^*)ノ〜さん 投稿日:08/02/06 09:35 ID:sdq5gvaG0
ちょっと怖くて書き込みしたんだが
ROクライアント起動時の画面が「取り消されたアクション」になって
表示されないんだが、これはウィルスと関係あるのだろうか。
ただ、重いだけで表示がされないだけなのか・・・
皆さん、起動時の画面は表示されてますか?

396 名前:(^ー^*)ノ〜さん 投稿日:08/02/06 09:40 ID:8niQNeCo0
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/

397 名前:(^ー^*)ノ〜さん 投稿日:08/02/06 18:04 ID:P1hLdS3P0
既出だったらすまん、mmvo.exeっての食らった。
RO含むネトゲ汎用のパスハック。
ゲームとかも入ってないPCなんで実害はありませんでしたが、
ノートン機もカスペル機もUSBチェック突破してスキャン無効化されて大暴れ。
隠しフォルダの表示も殺されて手動検索も無視される。

似た症例探して↓発見、参考にしてNOD32でようやく検出。
ttp://d■hatena■ne■jp/itsuki_hiiragi/20071214

長い戦いが終わった…。
OS入れ直し出来ない事情がある場所での感染報告ですよっと。

398 名前:(^ー^*)ノ〜さん 投稿日:08/02/06 19:54 ID:TStsH1EG0
【  アドレス   】wikispc■gr■jp/ercserver/というサイトにある「BOSS攻略」というリンク
【気付いた日時】 今日の午前11時半頃
【     OS    】 XP Home SP2
【使用ブラウザ 】 IE6
【WindowsUpdateの有無】 有効
【 アンチウイルスソフト 】 Kaspersky Internet Security 7.0体験版 更新日2008/02/06
【その他のSecurty対策 】 ルータ
【 ウイルススキャン結果】 未検知(カスペスキャン)
【スレログやテンプレを読んだか】 yes
【hosts変更】無
【PeerGuardian2導入】無 これから導入してみようと思います
【説明】
「ランドグリス 攻略」でぐぐってトップに出てきたサイトを開き、
そこのBOSS攻略と書かれたリンクをクリックするとカスペが反応。
その後カスペがモニターの右下あたりに
「許可or拒否」の選択肢を出してきたので「拒否」を選びました。
ウェブアンチウィルスのレポートには
<ステータス>検知しました: トロイの木馬 Trojan-Downloader.HTML.IFrame.de
<オブジェクト>URL: http://www■irisdti-jp■com/blog///www■irisdti-jp
とありました。
ROは露店を出したままずっと放置中です。
これは未然に防げていると思ってもいいのでしょうか。
100%安全という事はないでしょうが・・・。

399 名前:(^ー^*)ノ〜さん 投稿日:08/02/06 20:52 ID:dT51evfZ0
>>397
検体はどこじゃ〜

>>398
未然に防げている可能性が高いです。本体を落とそうとするダウンローダをブロックしたという表示ですから
本体入手のさらに手前で阻止した時のメッセージです。

でも、阻止できたという保証はできません。ブロックしていない他のなにかが発動している可能性があるからです。

400 名前:(^ー^*)ノ〜さん 投稿日:08/02/07 09:35 ID:+NeB1Oqe0
BOTnews Light (ボットニュース ライト)
ttp://yaplog.jp/kyorocyan
これ垢ハックか教えてくれ えろいひと

401 名前:398 投稿日:08/02/07 09:48 ID:IHuZ2+8V0
>>399
ありがとうございます。
OS再インスコはできないので、
取られたらシャレにならないアイテムは信頼できる知人に預け、
PGを導入し自己責任でプレイし続けようと思います。
その知人に万が一裏切られても中華に取られるよりはマシってことで。
カスペでブロックされたにも関わらずハックの被害にあった時は
また報告します。

402 名前:(^ー^*)ノ〜さん 投稿日:08/02/07 09:48 ID:Jy29WGxE0
>>400
>>1

ふぁびょるとかじゃねえ、ホントお前バカだな。
それが本当にハックアドレスだったら、張ったお前の責任になるんだぞ。
いいからテンプレを全部読んで来い。

403 名前:(^ー^*)ノ〜さん 投稿日:08/02/07 09:51 ID:MPgVvWAK0
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/

404 名前:(^ー^*)ノ〜さん 投稿日:08/02/07 18:46 ID:pyDB7Qom0
ここ利用してる方々、コピペNG指定まじオススメ

405 名前:(^ー^*)ノ〜さん 投稿日:08/02/08 12:59 ID:GzBuXHaM0
あああ

406 名前:(^ー^*)ノ〜さん 投稿日:08/02/09 06:52 ID:S4G6x39Y0
【  アドレス   】http://www■panslog■net/wiki/index1■htm
【気付いた日時】 2009/2/9
【     OS    】 win2k SP4
【使用ブラウザ 】オペラ9.02
【WindowsUpdateの有無】 2008/12頃?最新のはず
【 アンチウイルスソフト 】 avast
【その他のSecurty対策 】 Spybot S&D
【 ウイルススキャン結果】カスペオンライン、avast、Spybot S&Dで検知されず
【スレログやテンプレを読んだか】 No
【hosts変更】今、最新のに
【PeerGuardian2導入】無
【説明】
2chガ板、邪気眼wikiでavastが警告、殆ど読まずに回線引っこ抜いた。
リネの垢ハクのようだ。とりあえず色々調べてみたが怪しいものは全く出てこない。

警告の所に以下のログが残ってるんだけど
Sign of "HTML:Iframe" has been found in "http://www■norelet■com/fc2/" file■
avastが遮断したと認識していいのだろうか?

407 名前:(^ー^*)ノ〜さん 投稿日:08/02/09 09:01 ID:PYC7kBS20
>>406
カスペ反応するぞ?

ttp://www■norelet■com/fc2/   Trojan-Clicker.HTML.IFrame.il
ttp://www■panslog■net/wiki/index1■htm   Trojan-Downloader.VBS.Agent.hi

index.htmの時点でブロックされたのでその先を入手してないから反応してないだけじゃないか?

408 名前:(^ー^*)ノ〜さん 投稿日:08/02/09 09:09 ID:PYC7kBS20
やっぱ既知のファイル。中身変わってないぽ。カスペで全部検知可能。
あと、1箇所突っ込んでいいか。お前さんは未来からアクセスしとるんかとw

ttp://www■norelet■com/fc2/
ttp://www■panslog■net/wiki/index1■htm
ttp://www■panslog■net/wiki/send■exe
ttp://www■panslog■net/fc2/cery■exe
ttp://www■panslog■net/wiki/reco■exe

index■htm
->index1■htm
-->wiki/send■exe
-->fc2/cery■exe
-->wiki/reco■exe

index■htm : Trojan-Clicker.HTML.IFrame.il
wiki/index1■htm : Trojan-Downloader.VBS.Agent.hi
wiki/send■exe : Trojan-PSW.Win32.Delf.aih
fc2/cery■exe : Trojan-PSW.Win32.OnLineGames.lyx
wiki/reco■exe : Trojan.Win32.Inject.ms

409 名前:(^ー^*)ノ〜さん 投稿日:08/02/09 17:46 ID:S4G6x39Y0
>>408
【気付いた日時】2008/2/9 で・・流石に焦ってたらしい。本体は無いっぽい

>>407
Trojan-  ってのいうのはキャッシュって認識でいいのかな
言われて気付いたけど(多分、スキャンかける前に)キャッシュは全部削除したみたい

たまたまレジストリのバックアップがあったのでレジストリ復元した
とりあえず安心と見ていいのだろか・・

410 名前:(^ー^*)ノ〜さん 投稿日:08/02/09 17:56 ID:PYC7kBS20
>>409
|>>407
|ttp://www■norelet■com/fc2/   Trojan-Clicker.HTML.IFrame.il
|ttp://www■panslog■net/wiki/index1■htm   Trojan-Downloader.VBS.Agent.hi

Trojan-Clicker.HTML.IFrame.il
サイズ0のiframeでindex.htmを呼び出そうとするもの。
IEのキャッシュに入った時点で(表示前?)反応する筈。

Trojan-Downloader.VBS.Agent.hi
VB Script でアカハックトロイの本体のダウンロードと起動させる為にレジストリへの登録などを行なうもの。
これもIEのキャッシュに入った時点で(実行前に)反応する筈。

実際に踏んだ訳ではないので、反応のタイミングに関しては間違っているかもしれないことを記載しておく。
実際に発動させていれば、IEのキャッシュにも残っている為、フルスキャンでそれも引っ掛かるだろう。

411 名前:406 投稿日:08/02/09 22:14 ID:S4G6x39Y0
>>410
Trojanが発動していればオペラのキャッシュ消しても
IE内のキャッシュに残るからカスペで引っ掛かるって事か。
(2/6の時点でIEのキャッシュは消してる)

とりあえずカスペフルスキャンでも何も出てこないが
発動自体していないか、既に消している可能性が高いって事なのかな。

412 名前:(^ー^*)ノ〜さん 投稿日:08/02/10 00:15 ID:gT35jWW80
前スレ923
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1185352481/923
で挙がってた「RO店価格調査隊」のドメイン ( ro-price.net )の
有効期限は、現在も 2008/02/09 のままの模様。

413 名前:(^ー^*)ノ〜さん 投稿日:08/02/10 05:25 ID:r16r2VT20
>>412
ドメイン名の有効期限は、基本的にUTC(協定標準時)で管理されていたはず。
日本時間で09:00までは期限内かと。
その後30日間が、請戻猶予期間(RGP)という形で、元の登録者が優先的に取り戻せる期間。

414 名前:(^ー^*)ノ〜さん 投稿日:08/02/10 13:11 ID:QxtNNGDa0
被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/

415 名前:(^ー^*)ノ〜さん 投稿日:08/02/10 15:42 ID:ssKFVq/M0
超重要な情報じゃないか。本当にただ荒らしてるだけか

416 名前:(^ー^*)ノ〜さん 投稿日:08/02/10 17:39 ID:CG0t215c0
何を今更。
このスレを荒らすなり重要な情報を埋もれさせた方が利益になる業者様じゃないの。

417 名前:406 投稿日:08/02/10 22:09 ID:sVdekE4r0
とりあえずPG2を導入した。無知な俺に付き合ってくれてありがとう、勉強になった。

418 名前:(^ー^*)ノ〜さん 投稿日:08/02/11 01:38 ID:lpdZO5lJ0
価格調査隊のドメインがウイルスサイトになった様子。
あげておきます

419 名前:(^ー^*)ノ〜さん 投稿日:08/02/11 02:11 ID:/tXDJW/h0
>>418
ドメイン失効の為、そのIPを管理しているところに飛ばされてるだけ。現時点では無害。
>>412-413参照。

420 名前:(^ー^*)ノ〜さん 投稿日:08/02/11 02:13 ID:XhJsNFGo0
もとからハックされること多かったし、いかないほうがいいかと

421 名前:(^ー^*)ノ〜さん 投稿日:08/02/11 09:02 ID:/tXDJW/h0
>>420
明らかな誤情報は忌むべきもの。やめてくれ。

RO店価格調査隊のBBSにアカハックへの誘導投稿が多数投げ込まれていたことは、ハックされることではない。
その書き方を見ると、サイトがクラッキングにより改竄され、アクセスしただけでiframeへ飛ばされる事例などと
同一視してしまう危険性がある。

この手のスレでは、正確な情報を扱う事が重要。注意喚起だとか言ってなんでもかんでも貼られたアドレスに
確証もなしに「それアカハック」という発言をするのと同様の迷惑。

422 名前:(^ー^*)ノ〜さん 投稿日:08/02/12 14:56 ID:6yNC5Q210
なんかchaos鯖でろ。を開くと垢ハックされるとか警告チャットたっていたんだが、どうなんだろうか?調べてみたやつ情報求む。

423 名前:(^ー^*)ノ〜さん 投稿日:08/02/12 14:59 ID:rPxD+tKh0
価格調査隊が垢ハックになったのっていつから?

424 名前:(^ー^*)ノ〜さん 投稿日:08/02/12 15:14 ID:4U2Sy4tR0
>>423
>421

425 名前:(^ー^*)ノ〜さん 投稿日:08/02/12 15:20 ID:KWs5aZGK0
誤情報に踊らされるやつ多すぎ。
警告するのはいいがどっからどこまでが
ウィルスなのかもわかってないで看板たてんのはどうかとおもうよ。

426 名前:(^ー^*)ノ〜さん 投稿日:08/02/12 17:27 ID:j//rgLHjO
SESには垢ハク露店の横で
「垢ハックが怖くてこの周辺の露店を開く(見る)ことが出来ない」
なんて発言する転生職がいるんだぜ
勘違いにも程がある

427 名前:(^ー^*)ノ〜さん 投稿日:08/02/12 17:31 ID:DzELcJok0
リスクに対しての対処法を、自分から知ろうとする事がまず重要な対策な訳で。
危ない危ない言っているだけでは、狼少年と変わらん。

そろそろテンプレ厨が来そうだから、この偏に留めておくか。

428 名前:(^ー^*)ノ〜さん 投稿日:08/02/12 18:00 ID:pPaVl7Ad0
調査隊戻ってね?

429 名前:(^ー^*)ノ〜さん 投稿日:08/02/12 18:27 ID:opX9Mp7C0
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/

RO店価格調査隊の復帰に関しては、セキュスレでどうぞ。

430 名前:(^ー^*)ノ〜さん 投稿日:08/02/15 16:08 ID:kkRmEoMY0
infosueekにはだいぶやられていますね
1見有名アドっぽいのでうっかりしやすいのかも

ttp://infosueek■com/diary/rolink/


ttp://shamoneko■blog118■fc2■com/
fc2ブログですが他のROブログから内容をコピペでもってきている偽装で
0サイズインラインフレームで危険URLttp://www■infosueek■com/cookingへ飛ばされます
ご注意ください。

431 名前:(^ー^*)ノ〜さん 投稿日:08/02/15 17:07 ID:o0KaYOXC0
>>430
先月16日製造。
/xin/ro■exe
スクリプトのYahoo■htmはYahoo!Messengerの脆弱性狙いの模様。

432 名前:(^ー^*)ノ〜さん 投稿日:08/02/16 02:30 ID:qO5p9MJn0
>>430と同じかな

ttp://fuurozhu■blog10■fc2■com/

0サイズiframeにて既知アドレスttp://www■teamerblog■com/blog/を読み込み

433 名前:(^ー^*)ノ〜さん 投稿日:08/02/16 12:16 ID:2Z8FLsjw0
知人のブログコメントにあったURL。危険かどうかは謎ですが文面からアカハックと思われます。

ttp://sigotonai■blog22■fc2■com/

434 名前:まとめ臨時 ◆kJfhJwdLoM 投稿日:08/02/16 13:59 ID:w2/xzKe+0
インラインフレームが仕込まれている模様。
把握できたのは以下の通りです。

sigotonai■blog22■fc2■com
├www■k5dionne■com/ousele/usmm■htm(www■k5dionne■comは既出アドレス)
 www■k5dionne■com/ousele/aniro■c
 www■k5dionne■com/ousele/aniro■htm
 ├www■k5dionne■com/ousele/sanro■exe
 ├www■k5dionne■com/ousele/\x47\x45\x54
  (ソースから見るに似非マイクロソフトみたいなページなのかも?)

ソースチェッカーでaniro■htmを覗いてみたら
バックスラッシュの多さにちょっと驚いた。
何かしらの処理をやっているのでしょうけど当方には理解できませんでした。

435 名前:(^ー^*)ノ〜さん 投稿日:08/02/16 16:24 ID:a40XIbwI0
>>432
ttp://fuurozhu■blog10■fc2■com/
 -> ttp://www■teamerblog■com/blog/
  -> ttp://www■panslog■net/wiki/index1.htm

トロイの木馬 VBS/Psyme を検出(MacAfee)

> VBS/PsymeはVBScriptで、リモート実行ファイルのダウンロード、
> ローカルディスクの特定のロケーションへの保存、および実行を指示します。

436 名前:(^ー^*)ノ〜さん 投稿日:08/02/16 16:57 ID:XCtgqz4b0
>>434
\xは16進数(%と同じ)。\だけだと8進数。
\xは%に置き換えてから、あとはいつもの。

437 名前:(^ー^*)ノ〜さん 投稿日:08/02/16 17:01 ID:XCtgqz4b0
しかしFC2の罠ブログ、鎮まってきたと思ったのにまた復活してるのね…。
FFXI関係で投下されたもの
ffxiwaruo■blog102■fc2■com
 www■infosueek■com/ff11diary
  www■infosueek■com/xin/xia■exe

438 名前:(^ー^*)ノ〜さん 投稿日:08/02/16 19:19 ID:+U3bwwbc0
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/

439 名前:(^ー^*)ノ〜さん 投稿日:08/02/16 20:06 ID:/Z1U/l/N0
それはもしかしてギャグで

440 名前:(^ー^*)ノ〜さん 投稿日:08/02/17 02:25 ID:wrXxW/Bk0
>>438
中稼のコピペ工作員

441 名前:(^ー^*)ノ〜さん 投稿日:08/02/18 17:44 ID:OyV5kfw/0
春節(旧正月)の帰省ラッシュ(大雪で大変だったらしい)が終わったのか
トロイが更新されつつあるので注意。

www■lvei20■com/ourtesf/ff11■exe
1時間ほど前に更新。ファイル名からするとFFXIっぽいけど
実際はLotRO(Lord of the Rings Online)トロイ。

www■gamanir■com/systemin■scr (twurbbsから転送)
昨日更新。

www■testinghua■com/ie/kun■exe
一昨日更新。

etc. etc.

442 名前:(^ー^*)ノ〜さん 投稿日:08/02/19 00:11 ID:oyuawRcCO
今、ROのGVGのwikiって大丈夫ですか?
さっき見に行ったらノートンが起動しまして

443 名前:(^ー^*)ノ〜さん 投稿日:08/02/19 00:17 ID:3S2QE+us0
>>442
>>438
一般的な相談はセキュスレをどうぞ。

LokiやForsetyは、管理放棄されており、仕込まれ放題であるという報告が上がっています。

それらの鯖のGvGWikiでリンク踏んでセキュリティソフトが反応した場合、ほぼ確実にアカハックでしょう。
ダウンローダの時点でブロックできている可能性もありますが、(中略)OSの入れなおしを推奨します。
この発言にコメントを付けたい場合は、セキュスレにお願いします。

444 名前:(^ー^*)ノ〜さん 投稿日:08/02/20 01:12 ID:27wzzeHm0
価格調査隊は現在はアカハックサイトではないけれど
一度ドメインを失効してる以上、現在の管理者が以前と同じとは限らないため
ある日突然アカハックサイトに化ける可能性があります
なので今後二度とアクセスしないようにしましょう

というようなことを主張してるblogがあるのだけれど、この意見は妥当なのでしょうか?

445 名前:(^ー^*)ノ〜さん 投稿日:08/02/20 01:17 ID:P4yfMHPF0
>>444
一般的な相談はセキュスレへどうぞ。あっちでコメントしておきます。

446 名前:(^ー^*)ノ〜さん 投稿日:08/02/20 01:19 ID:Jy0p/WXy0
全てのサイトが、現在の管理者が以前と同じとは限らないので
ある日突然アカハックサイトに化ける可能性があります。
なので今後二度とインターネットに接続しないようにしましょう

と、ほぼ同じ意味

447 名前:(^ー^*)ノ〜さん 投稿日:08/02/20 01:31 ID:AcYmxHsg0
>>444
ドメイン失効ではなく有効期限切れ。
ドメインは有効期限が切れてから、状況により異なるけど1〜2ヶ月ほど
たたないと完全には失効せず、その間に他の人が取得することはできない。

今回有効期限が切れてから1週間もたたないうちに復活してたと思うので
ドメイン業者が悪人だったなんてことでもない限り答えはノー、に一票

448 名前:(^ー^*)ノ〜さん 投稿日:08/02/20 01:43 ID:27wzzeHm0
>>446,447
なるほど、そのblogに書かれてることは頓珍漢なことが書いてあるという認識でよさそうですね。
ありがとうございました。

449 名前:(^ー^*)ノ〜さん 投稿日:08/02/21 00:54 ID:lF5QCNtc0
【  アドレス   】http://shuahdhsk■blog103■fc2■com
【気付いた日時】 2008/2/1921:30
【     OS    】 winVista Home Edition
【使用ブラウザ】IE7
【WindowsUpdateの有無】 自動更新のため最新だともわれる
【 アンチウイルスソフト 】 ウィルスバスター2007
【その他のSecurty対策 】
【 ウイルススキャン結果】バスター検出無しカスペも検出無し
【スレログやテンプレを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
Wikiで改ざんされたURLを踏んだ模様
fc2のサービスのエラーページ?に飛んだことに気づき
そのURLをソースチェッカー等で調べたとこ垢ハックのソースを含むブログと判明
メッセやゲーム等は一切ログインしていませんがただちに念のため別PCでパス等変更しました。
赤と白のfc2の接続エラーページのようなとこに飛んだのですが履歴に残ってないのでわかりませんが

450 名前:まとめ臨時 ◆kJfhJwdLoM 投稿日:08/02/21 01:24 ID:NNURqZBn0
shuahdhsk■blog103■fc2■com
├www■teamerblog■com/blog/(既知)
 ├www■panslog■net/wiki/index1■htm(既知)

ソースチェッカーでソースを見る限りは
teamerblog側ではcurやらexeの仕込みが見当たらず、
panslog側でスクリプトを組んでなにやらやっている模様でした。
ちょっと当方では解りかねるので判る人待ちと言う事で…。

とりあえず別PCで既に変更されたとのことで、
踏んだPCでROやメッセ等のパスワード類を入力する行為をしていなければ、
被害は無いと考えられます。

現状で確実に対応できるとしたら
OSのリカバリーないしクリーンインストールと言う事に。

451 名前:(^ー^*)ノ〜さん 投稿日:08/02/21 08:08 ID:FMeUdVto0
>>450
スクリプトはアスキーコードで書かれていて、次のURLを呼び出すようです
ttp://www■panslog■net/wiki/send.exe
ttp://www■panslog■net/fc2/cery.exe
ttp://www■panslog■net/wiki/reco.exe

452 名前:(^ー^*)ノ〜さん 投稿日:08/02/22 04:03 ID:8r4Mt/I90
殴りプリWikiで下記URLの投下がありました。
ttp://infosueek■com/diary/rolink/ (既知のドメイン)
ttp://ayakasio■blog5■fc2■com/ (罠用Blog)

下のblogのソース内に ttp://www■infosueek■com/cooking を読み込むサイズ0のiframeタグを確認。

453 名前:(^ー^*)ノ〜さん 投稿日:08/02/22 22:47 ID:8r4Mt/I90
>>452の罠blogはfc2に通報した結果凍結されました。
(aguseとソースチェッカーオンラインで間接的に確認)

454 名前:(^ー^*)ノ〜さん 投稿日:08/02/26 01:36 ID:nwNQRbNY0
約一ヶ月前に、>313 と同じサイトを踏んだ
ノートンは特に反応しなかったけど、別PCでパス変更とOSを入れ直した
課金も切れてたし、その後も無課金のまま

で、OS入れ直したのはいいが、最近それがフォーマットをしてないただのOS入れ直しだと分かった・・・
やっぱり、HDDフォーマットしないと効果無いよね?

455 名前:(^ー^*)ノ〜さん 投稿日:08/02/26 02:14 ID:XPtqxLze0
>>454
一般的な相談の部類だと思うのでセキュスレの方が適当だと思う。

OSだけの上書きだと、OS部分に感染していた場合は上書きされている。
他の部分に残っていて、そいつを発動させた時点で再発する可能性もあるが、

既知のサイトを以前に踏んだ場合のように、セキュリティソフトの更新をしていれば
対応している(後から発動させようとした瞬間にブロックできる)可能性が高いものもある。

不安なら、HDDのフォーマットからやりなおしを。大丈夫ですという保証は、回線越しの誰にも保証できません。

456 名前:(^ー^*)ノ〜さん 投稿日:08/02/26 17:26 ID:WVAJQueq0
>455
返答ありがとう
一応フォーマットしてクリーンインストールしてみるよ
RO復帰直前に気が付いてよかったよ・・・

457 名前:にゅぼーん 投稿日:にゅぼーん
にゅぼーん

458 名前:L ★ 投稿日:08/02/28 02:37 ID:???0
457 名前:(^ー^*)ノ〜さん[] 投稿日:08/02/28(木) 02:28 ID:iEgl304S0
http://■www■testinghua■com/ie/ragnarokonline/

459 名前:にゅぼーん 投稿日:にゅぼーん
にゅぼーん

460 名前:(^ー^*)ノ〜さん 投稿日:08/02/28 03:43 ID:W4rSKHdI0
あ、しまった。>>459は削除以来しときますー。

>>458
Registrant Contact:
HuangQiang
Qiang Huang suniuqing001@163.com
05972562288 fax: 13559988127
Fujian longyan
longyan Fujian 364000
cn

461 名前:にゅぼーん 投稿日:にゅぼーん
にゅぼーん

462 名前:(^ー^*)ノ〜さん 投稿日:08/02/28 17:57 ID:sdrPoaW10
>>461
>>3読もうぜ
【投稿の際の注意】
・アカハックアドレスはMMOBBSでは禁止単語になっています。
 加えて、誤クリックによる感染を防ぐ為にそのようなアドレスは
 .(ドット)を別の文字に置き換えて報告して下さい (■がよく使われています)
・URLを貼り付ける場合は ドメイン名の「.」を全て「■」に置換して下さい。

463 名前:(^ー^*)ノ〜さん 投稿日:08/02/28 18:01 ID:umyjCSEU0
削除依頼してきた、マジで危ないわ

464 名前:(^ー^*)ノ〜さん 投稿日:08/02/28 18:05 ID:sdrPoaW10
削除依頼もついでにしてきた
消えたら情報も消えるんでコピペっとく

/以下コピペ
Mixiで出回ってるのかな、怪しい書き込みがあったので参考程度に
ttp://www■ff11free■com/ro_diary.htm

どうにも怪しいと思って検索したら案の定
シマンテックがTrojan.Exploit.131を検出

どうみてもパス抜きです本当にありがとうございました
exeじゃないと思って油断したら、回覧がトリガーとは・・・

465 名前:(^ー^*)ノ〜さん 投稿日:08/02/28 18:29 ID:Pm7zdaZE0
>461,>464
www■ff11free■com/ro_diary■htm
->www■testinghua■com/ie/ragnarokonline/index■htm
--->www■testinghua■com/ie/ragnarokonline/test■cur
--->www■testinghua■com/ie/ragnarokonline/Ms06014■htm

466 名前:(^ー^*)ノ〜さん 投稿日:08/02/29 01:01 ID:maW39Ci+0
【  アドレス   】http://www■kireidekawaii■com/zatudan/joyful/joyful■cgi
【気付いた日時】2月28日
【     OS    】Windows XP
【使用ブラウザ 】
【WindowsUpdateの有無】最後は先週ごろ
【 アンチウイルスソフト 】 Anti-Virus freeEdition
【その他のSecurty対策 】 Spybot S&D
【 ウイルススキャン結果】 検出されませんでした
【スレログやテンプレを読んだか】 Yes
【hosts変更 無
【PeerGuardian2導入】無
【説明】
『怪しいアドレス』との判断した理由 アドレスを踏んだ後レスをみたら
あからさまな垢ハックとレスがあったので

467 名前:(^ー^*)ノ〜さん 投稿日:08/02/29 01:46 ID:dIg9gcIq0
chaosのあるGの掲示板
アカハックじゃないぽ

468 名前:(^ー^*)ノ〜さん 投稿日:08/02/29 02:15 ID:oGTIfTUX0
管理人様、削除おつかれさまです。

469 名前:(^ー^*)ノ〜さん 投稿日:08/02/29 08:37 ID:UlyRODtM0
>あからさまな垢ハックとレスがあったので
事実に基づくコメントか、流言飛語の類かを見分けられるように頑張りましょう。

470 名前:466 投稿日:08/02/29 11:28 ID:maW39Ci+0
>>469
自分が未熟でした><
これからはがんばります

471 名前:(^ー^*)ノ〜さん 投稿日:08/03/03 20:06 ID:bpXVj5Js0
未だにアカハック露店を確認した
ひっかかる馬鹿はほんと絶えないな

472 名前:(^ー^*)ノ〜さん 投稿日:08/03/03 20:53 ID:+u0z47270
MMOBBSあぷろだ4340のZip垢ハックVirus
みたいなのだが削除されないんだろうか

473 名前:(^ー^*)ノ〜さん 投稿日:08/03/03 20:55 ID:60CT3O/Y0
パス付きだし(このスレとしては)いいんじゃね?
ツールとかだったら削除してほしいが。

474 名前:(^ー^*)ノ〜さん 投稿日:08/03/03 21:01 ID:RwseLEJ30
>>472
アカハック付きと判断した理由は?

>>473
動画キャプチャ用ソフトのなんかの削除用ぽい。ほっといていいんじゃね。
どこのスレだか知らないけど、動画はOKって公式見解出てるし。

475 名前:(^ー^*)ノ〜さん 投稿日:08/03/03 22:48 ID:IoP5qJxH0
被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/

476 名前:(^ー^*)ノ〜さん 投稿日:08/03/04 00:21 ID:TcyL7f2v0
>>472
いあカスペルスキーが反応したもんで…
今思うと過剰反応すぎたかもしれない

無駄にスレ埋めてすまない、これで消えるノシ

477 名前:(^ー^*)ノ〜さん 投稿日:08/03/04 00:50 ID:PyjETge00
>>476
それは、「パスワード保護されたファイル」だから反応しただけ。次からはセキュスレで聞いてくれ。ノシ

Password-protected-EXE

http://www.f-secure.co.jp/glossary/?KEYWORD=PSW-Worm

478 名前:(^ー^*)ノ〜さん 投稿日:08/03/04 10:26 ID:EBZMeWw20
あちこちの(中華罠ブログではない)FC2ブログのテンプレにiframeが仕込まれているらしい。
FC2内で踏んじゃったのか本人の管理画面から抜かれたのかは不明。
www■dda3■net
(略)
www■dda3■net/sys.exe
VirusTotalでまったく検知できなかった
(一部の何でも有害判定する誤検知大王は除く)。

479 名前:(^ー^*)ノ〜さん 投稿日:08/03/04 10:52 ID:PyjETge00
>>478
セキュスレに転記しておきますね。続はセキュスレで。

480 名前:(^ー^*)ノ〜さん 投稿日:08/03/04 10:58 ID:1VpCO9+W0
罠の報告までセキュスレに飛ばしてどうするんだ……

481 名前:(^ー^*)ノ〜さん 投稿日:08/03/04 14:41 ID:uf276bb90
いつもの人だろ

482 名前:(^ー^*)ノ〜さん 投稿日:08/03/04 15:37 ID:1VpCO9+W0
見慣れないドメインなので調べてみたら案の定福建省。
しかも出来立てのホヤホヤ。

>dda3■net
>61■238■148■106

>Domain name: dda3■net
>Creation Date:2008-02-26
>Expiration Date:2009-02-26

>Registrant Name: chenyuan
>Registrant Organization:
>Registrant Street1: longyan
>Registrant Street2:
>Registrant Street3:
>Registrant City: longyan
> Province: Fujian
> Country: China

483 名前:(^ー^*)ノ〜さん 投稿日:08/03/06 16:38 ID:+U55i0+10
お久しぶり・・・と書いていいのかな。
前スレッドの71です。

この度警察の方から最終的な報告を受けました。
結論としては、通信事業社にログが残っていない為それ以上辿る事が出来ず立件は無理であるようです。
(相手の中国人が分かり、警察の方々も東京で張り込みをしてくれたようです)

アカウントハッキングがあったと言う事実は分かったので
その旨をガンホーには伝え済みで、返答待ちとなっています。
画像UPをどこにしていいか分からないので、教えてもらえれば現状の画像をUPいたします。

484 名前:(^ー^*)ノ〜さん 投稿日:08/03/06 16:40 ID:DnxvJyRV0
ここでいいんじゃないか?
ttp://www.mmobbs.com/uploader/

485 名前:(^ー^*)ノ〜さん 投稿日:08/03/06 16:49 ID:+U55i0+10
>>484
ありがとうございます。

http://www.mmobbs.com/uploader/files/4368.jpg
アカウントハッキングにあった時の投稿。

http://www.mmobbs.com/uploader/files/4369.jpg
今日送った投稿の現在。

調べ事や忙しくアカウントハッキングにあっての3日後に警察へ行きました。
何か動きがあれば、再度画像UPします。

486 名前:(^ー^*)ノ〜さん 投稿日:08/03/06 16:55 ID:+U55i0+10
ちなみに運営から警察へ送られた資料などを一部見せてもらいましたが
アイテムの移動(誰から誰へ)とアイテム名のログがありました。

日時、IP、アカウント名、キャラ名、移動先キャラ名、アイテム名
といった順のログ資料です。

487 名前:(^ー^*)ノ〜さん 投稿日:08/03/06 17:05 ID:ROwxuFgf0
URI欄のセッションIDや投稿Noみたいなユニーク(一意)っぽいのは
消したほうがいいぞ。

488 名前:(^ー^*)ノ〜さん 投稿日:08/03/06 17:19 ID:+U55i0+10
一部削除と画像変更でUPしなおしました。

今までの流れ
2007/08/10アカウントハッキングに遭う。
↓通報
テンプレ回答:不審な接続有無を現在調査(略)
↓(状況説明などを送る)
テンプレ回答:現在調査を行って(略)

この時点で一度警察へ相談。
次の日調書をまとめてもらいました。

最終的に、一致しないID使用形跡が運営に確認される。

(何度か警察出向き、説明など)

2008/03/06
警察よりの回答&運営に報告 → 現在:返答待ち

489 名前:(^ー^*)ノ〜さん 投稿日:08/03/06 18:31 ID:+U55i0+10
http://www.mmobbs.com/uploader/files/4370.jpg
そして返答来ていました。

490 名前:(^ー^*)ノ〜さん 投稿日:08/03/07 00:53 ID:fRe+2VPB0
【  アドレス   】www■geocities■jp/rofline/
【気付いた日時】昨日の23:50ぐらい
【     OS    】 WindowsXP SP2
【使用ブラウザ 】IE6
【WindowsUpdateの有無】自動更新
【 アンチウイルスソフト 】ウイルスキラー(イーフロンティア社製
【その他のSecurty対策 】Spybot
【 ウイルススキャン結果】 検出されませんでした
【スレログやテンプレを読んだか】Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】とある掲示板でこれを踏んだのですが、その後垢ハックじゃないか?と
    レスが付けられており、怪しいと判断しました。

491 名前:(^ー^*)ノ〜さん 投稿日:08/03/07 01:15 ID:ruitn25A0
>490
アカハックではないが、エミュ鯖のページっぽい。
削除依頼してきた方が無難かも。


というか「アカハックかも」というレスを見てハクと判断するのは
混乱を招くだけ。
警戒するに越したことはないけど鵜呑みは禁物。

492 名前:(^ー^*)ノ〜さん 投稿日:08/03/11 17:14 ID:ysgds8z+0
サーパラブログをチェックしていて見かけたもの。
罠iframe入りのブログを4つ見つけたので通報済み。

www■skywebsv■com/Blog/
www■skywebsv■com/Blog/k1■exe
k1は自己解凍cabで、2匹入っているので
2匹とも検知できることが望ましい(Dr.WEBとNOD32が両方捕獲)。

FC2ブログでも酷似したトロイが爆撃されており
先週あたりからFC2ブログそのもののアカハック
(というか罠iframeを勝手に突っ込まれる)が騒がれていた。
憶測だけど、2匹の片方はネトゲのアカハックだけど
片方はブログのアカハック(というよりインジェクション)なんじゃなかろうか。

493 名前:(^ー^*)ノ〜さん 投稿日:08/03/12 07:32 ID:KLyAGeXZ0
↑検出率が悪い方を再スキャン。
各社に検体を送付してから15時間経過、AVGとKasperskyも捕獲。
ttp://www.virustotal.com/analisis/b1f0d3af89749ed3ea7cf1c9839555d2

494 名前:(^ー^*)ノ〜さん 投稿日:08/03/12 17:17 ID:KLyAGeXZ0
>>478 と同じ奴がまたFC2ブログで大暴れ中。
www■hellh■net/
(略)
www■hellh■net/win.exe
VirusTotalではDr.WEBとMicrosoft(笑)が撃墜。
各社に検体提出済み。

495 名前:(^ー^*)ノ〜さん 投稿日:08/03/12 23:16 ID:A0FoK2Io0
936 名前:(○口○*)さん[sage] 投稿日:08/03/12(水) 17:21 ID:Ad3+AZap0
トレンドマイクロのウイルス情報ページが改竄、ウイルスを埋め込まれる
ttp://internet.watch.impress.co.jp/cda/news/2008/03/12/18775.html
バスター何やってんの…

496 名前:(^ー^*)ノ〜さん 投稿日:08/03/12 23:32 ID:CSTUPrv90
>>495
そういう一般的話題はセキュスレだから、あっちであってるよ。ここに持ち込まなくてok

>>494
ttp://%77%77%77■%68%65%6C%6C%68■%6E%65%74/%69%6E%64%65%78■%68%74%6D
ttp://%77%77%77■%68%65%6C%6C%68■%6E%65%74/%72%65■%68%74%6D

ttp://www■hellh■net/index■htm
ttp://www■hellh■net/re■htm

このファイルも提出しといたよ。

ttp://www■hellh■net/ と ttp://www■hellh■net/index■htm で
同じファイル名で、別のファイルが落ちてくるけど、気にせず両方提出。



*** index■htm ***
HTML/Infected.WebPage.Gen(AntiVir),HTML/Exploit!IFrame.G(F-Secure),
HTML/Exploit!IFrame.G(Norman),Script.Infected.WebPage.Gen(Webwasher-Gateway)

*** index(1)■htm ***
HTML/ADODB.Exploit.Gen(AntiVir),JS/Downloader.Agent(AVG),
Generic.XPL.ADODB.F2AD52C8(BitDefender),Downloader.AniLoad.nae(Ewido),
TrojanDownloader:JS/Psyme.MU(TrojanDownloader:JS/Psyme.MU),
Trojan.DL.JS.Agent.lio(Rising),Script.ADODB.Exploit.Gen(Webwasher-Gateway)

*** re■htm ***
HEUR/Exploit.HTML(AntiVir),Exploit(AVG),Exploit.HTML.Agent.Z(BitDefender),
Downloader.AniLoad.nae(Ewido),Exploit-RealPlay(McAfee),Exploit:HTML/Repl.B(Microsoft),
Hack.Exploit.Script.JS.RealPlayer.b(Rising),Heuristic.Exploit.HTML(Webwasher-Gateway)

*** win■exe ***
Trojan.MulDrop.origin(DrWeb),Trojan-PWS.Win32.OnLineGames.ssu(Ikarus),
Trojan-PSW.Win32.Nilage.cdj(Kaspersky),TrojanSpy:Win32/Lineage(Microsoft),
Heuristic: Suspicious Self Modifying File(Prevx1)

497 名前:(^ー^*)ノ〜さん 投稿日:08/03/12 23:33 ID:qf5xJ6ZJ0
www■testinghua■com/ragnarokonline/archives/2008/03/1112/20080311mov■zip

mixi米で見かけたんだが、ホントにあんなとこまで出張してんのか…

498 名前:(^ー^*)ノ〜さん 投稿日:08/03/12 23:47 ID:KLyAGeXZ0
>ttp://www■hellh■net/ と ttp://www■hellh■net/index■htm で
>同じファイル名で、別のファイルが落ちてくるけど、気にせず両方提出

dda3の時にもLiveROで書いた気がするけど、同じじゃないよ。
www■hellh■net/ のHTTPヘッダでは
Content-Location: www■hellh■net/Default.htm
Default.htmがindex.htmとre.htmをiframeで呼ぶ。

499 名前:(^ー^*)ノ〜さん 投稿日:08/03/13 05:35 ID:acTXxhlD0
>496
>そういう一般的話題はセキュスレだから、あっちであってるよ。ここに持ち込まなくてok
アフォか必要以上の自治はうざいだけだ
雑談してるなら、ともかくウィルス対策ソフトの情報ページが改竄されていたという情報は重要な情報だろう
アカウントハック対策にVBとか使ってる人だっているんだしな。
ただしこの話題に関して雑談するならセキュレスレへ移動だが

500 名前:(^ー^*)ノ〜さん 投稿日:08/03/13 06:27 ID:aWBFdBUN0
>>497
まだ、VirusTotalでは3社しか対応してない模様。カスペも定義更新する前はすり抜けていた。

Trojan.Win32.Inject.adp(F-Secure,Kaspersky)
Suspicious File(eSafe)

>>498
重ね重ねありがとう。いっつもHTTPヘッダ見てなくてすまん。orz

501 名前:(^ー^*)ノ〜さん 投稿日:08/03/13 17:07 ID:sHE/c0LN0
トレンドマイクロのページ改ざんで飛ばされた先はネトゲアカハックウィルスの模様
注意

502 名前:(^ー^*)ノ〜さん 投稿日:08/03/14 02:02 ID:RWCinNPO0
>>501
注意って…どうやって注意すりゃいいんだよと

503 名前:(^ー^*)ノ〜さん 投稿日:08/03/14 03:51 ID:r4V9lJel0
被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/

504 名前:(^ー^*)ノ〜さん 投稿日:08/03/14 10:12 ID:Iyd5R/kmO
497のやつ、ミクシーで踏んでしまったんですが
ノートン先生じゃ見つけられないし
OS再インスコしたほうがいいでしょうか

505 名前:(^ー^*)ノ〜さん 投稿日:08/03/14 10:23 ID:+qQ48ahO0
>>504
確かに、現時点のVirusTotal(パターンが最新とは限らない)ではシマンテックでスルーされてますね。
提出のかいあって、3社→11社まで対応してますけど。
http://www.virustotal.com/analisis/e34d3623b8f647bb40b836792f962e89

で、こいつは、解凍して叩かない限りは感染しない。(自己解凍型じゃない)
カスペでは対応してるのでオンラインスキャンで見付けることは可能。

でも、安全かどうかの保証はできないので、推奨される(確実な)のは、OS再インストールコース。

506 名前:(^ー^*)ノ〜さん 投稿日:08/03/14 10:48 ID:Dte0SFCV0
ノートンは対応がめちゃくちゃ遅い。最初検知できなくて
後で送ってみたいなケースの場合は正直言って厳しい
(バスターやMicrosoftよりはるかに遅い)。

507 名前:(^ー^*)ノ〜さん 投稿日:08/03/14 11:23 ID:Iyd5R/kmO
>505.506

ありがとうございます
素直に再インスコします

508 名前:(^ー^*)ノ〜さん 投稿日:08/03/14 14:44 ID:Dte0SFCV0
1つのFC2ブログに3匹もiframeを仕込んだ例(一部短縮URIを経由)
www■soracger■com/blog/
www■gamtyblog■net/wiki/
www■homepuon■net/blog/
↓iframe
www■caremoon■net/wiki/main.htm
↓MS06-014スクリプト
www■soracger■com/wiki/admin.exe
8日製造。

509 名前:(^ー^*)ノ〜さん 投稿日:08/03/15 03:46 ID:4KtTDZpn0
ガンスリスレに貼られていたもの。

|375 ナリタレ New! 08/03/14 11:09 ID:xvHgBTuu0
|RO イフリート戦
|RO Ragnarok ラグナロク...RO Ragnarok ラグナロク
|ttp://www■livedoorbloog■com/lin885/885■zip

カスペスルー。HIDDENEXT/Worm.Gen(AntiVir),Trojan.Inject.796(Dr.Web)
解凍すると入っているのは下記のファイル。何故か、解凍すると、AntiVirスルー…

->885.zip
-->mov000029.wmv.scr
--->013.exe
--->mov0023.wmv

新種っぽいので検体提出してきますね。

510 名前:(^ー^*)ノ〜さん 投稿日:08/03/15 10:33 ID:4KtTDZpn0
>>509

10:11 カスペより返答。次の定義更新で対応とのこと。
mov000029.wmv.scr_ - Trojan.Win32.Inject.aeu

511 名前:(^ー^*)ノ〜さん 投稿日:08/03/15 13:24 ID:ncFS/0bT0
lin886/886.zipもlin887/887.zipもある。撃墜。

512 名前:にゅぼーん 投稿日:にゅぼーん
にゅぼーん

513 名前:にゅぼーん 投稿日:にゅぼーん
にゅぼーん

514 名前:(^ー^*)ノ〜さん 投稿日:08/03/19 07:30 ID:nb5yj3Fr0
FFXI系のFC2ブログの偽装。
blog20fc2■com/ff11diary/
iframeは既出のinfosueek(略)。

515 名前:(^ー^*)ノ〜さん 投稿日:08/03/19 09:11 ID:6C1I9Ril0
どう考えても警察に出頭なんて気にはなれん!
ROよ5年間サンクスグッバイ

516 名前:(^ー^*)ノ〜さん 投稿日:08/03/19 09:38 ID:S4sexCFy0
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/

517 名前:(^ー^*)ノ〜さん 投稿日:08/03/19 14:36 ID:E/nIV+2T0
>>509
うちのはてなダイアリな日記にも張ってあったので書いておく

Dr.マリオのメロで、「はじめてのともだち」 【ヒャダイン】
ヒャダイン、11作目です。最初に謝っておきます、サーセンwwwmixiのリクエストにドクターマリオがあ...
http://www■livedoorbloog■com/lin885/885■zip

こんな感じ。しかも本人が書き込んでいる。
はてなユーザーがログイン状態で他のはてなの日記に書き込んだら、ユーザーネームからLinkでその人のはてな日記に飛べる。

http://d.hatena.ne.jp/Uncool/   ←ここが配布元のサイトの模様、何せ日記にZIPはってる。
※↑ははてなダイアリのため垢ハックアドレスではありません、ご安心ください。

518 名前:(^ー^*)ノ〜さん 投稿日:08/03/19 18:22 ID:em6QsCyE0
垢ハック・又は罠を踏んでから、OSの再インストールをせずにカスペル等で
駆除した後被害にあった報告って今までにありました?

519 名前:(^ー^*)ノ〜さん 投稿日:08/03/19 20:17 ID:pkeYl+BT0
>>518
ありました。再インストがんば

520 名前:(^ー^*)ノ〜さん 投稿日:08/03/19 20:29 ID:Lx5lyYJ80
たとえ今までなくても
これから間違いなく起こるであろう事例だな

521 名前:(^ー^*)ノ〜さん 投稿日:08/03/19 21:03 ID:em6QsCyE0
そうですよね
OSのCDなくしちゃって、買うか迷ってましたが買うことにします

522 名前:(^ー^*)ノ〜さん 投稿日:08/03/20 10:45 ID:I9JGKeR80
【  アドレス   】http://momohac■blog34■fc2■com/blog-entry-1■html
【気付いた日時】 今日の10時過ぎ
【     OS    】 WindowsXP SP2
【使用ブラウザ 】 FireFox2.0
【WindowsUpdateの有無】 自動更新時
【 アンチウイルスソフト 】
【その他のSecurty対策 】 Spybot、ルータ
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【スレログやテンプレを読んだか】今から読みます
【hosts変更】 無
【PeerGuardian2導入】 有
【説明】
RMC閲覧時、URLを踏んだところPGが反応+ブログ内容がおかしかった為

ソースチェッカーで調べたところ
インラインフレームタグにVBSスクリプトでttp://www■shagigi■net/navi/admin■exe
接続先が中国だったので一応報告。

念のためこれから再インストール行ってきます

523 名前:(^ー^*)ノ〜さん 投稿日:08/03/20 10:52 ID:QfCWB+lE0
>>522
同アドレスはセキュスレで報告例あり。1つのexeだが2種類入れられることに注意。
もろに発動させてPG2で水際阻止したみたいですね。念のためどころか、しっかりがっつり感染してます。

OS入れ直したら、PG2だけでなくセキュリティソフトもちゃんと入れとけ。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/52

524 名前:(^ー^*)ノ〜さん 投稿日:08/03/20 17:05 ID:vMNSN/130
ずっと前に踏んでたんじゃねーの?
いまどきのトロイは
>RODLL.DLL
こんなわかりやすい名前は付けない(あるいは囮)。

525 名前:(^ー^*)ノ〜さん 投稿日:08/03/20 18:14 ID:H6YOy+AK0
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/

526 名前:(^ー^*)ノ〜さん 投稿日:08/03/21 02:21 ID:yH1XR5bS0
○○のひとつ覚えみたいに誘導URL貼り付けるバカがいるから
次からのタイトルは

【雑談・対策・相談は】アカハク情報集積・分析スレ【LiveROへ!!】

にしようぜ。
なまじ総合なんて付けるから色々書き込みされるって
ずっーと前から言われてるからな。



次にお前は「LiveRoへの誘導URLを貼り付ける!!

527 名前:(^ー^*)ノ〜さん 投稿日:08/03/21 07:19 ID:a7FvJ+Go0
公知書き写しスレでの突っ込み誘導は叩かれないのに、
なんでこっちだと
親の敵みたいに叩かれるんだろうな。

まあ>>526のタイトルには賛成。

あと誘導は

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/

これだけでいい気がする。

528 名前:(^ー^*)ノ〜さん 投稿日:08/03/21 15:00 ID:Yt9uSxT+0
土日に向けて新種が大量に投下(あるいは更新)されているので注意。
例 ttp://www.virustotal.com/analisis/ac9b75b1bfca82b29a5801da2ff0aa36
主だったベンダには提出済み。

529 名前:483 投稿日:08/03/23 07:18 ID:ewN9Gn620
http://www.mmobbs.com/uploader/files/4447.jpg
18日の定期メンテでアイテムZenyが復旧しました。
どのぐらい復旧されたか見た所、大体8割のアイテムは戻ってきていました。
Zenyはさすがに分かりません。

530 名前:(^ー^*)ノ〜さん 投稿日:08/03/23 14:27 ID:F9lx3zZZ0
dda3、hellhと同じ奴の新種
www■fccja■com
(スクリプトは省略)
www■fccja■com/com.exe
スルー多め。しかしこの手のはDr.WEB強いな

531 名前:(^ー^*)ノ〜さん 投稿日:08/03/23 16:33 ID:xgw+DUnZ0
>>530
捕獲した検体を、スクリプトも含め、各社に提出しときました。/(^^)

e.js -> d1.asp -> com.exe

d1.aspはVirusTotalで全部スルーされてました。
スクリプトの検知避けで、数値を直接キャラクタに変換せず、数値を演算してからキャラコードに直して書き出す形式。
書き出されたもの自体は幾つかのソフトが捕獲するようです。

ダウンローダで検体落とす時に、すんなり行った(PG2でブロックしなかった)と思えば、IPがUSでした。
PG2での防御避けか、他国にサイトをおいてありますが、今後は、送信先も他国に移行する可能性があるのかな。
本体そのものより、そっちに警戒が必要かも。

532 名前:(^ー^*)ノ〜さん 投稿日:08/03/25 00:22 ID:LwVKZiLL0
【  アドレス   】http://www■baldur■jp/kimoloader/src/kimo0903.jpg
【気付いた日時】 (感染?に気付いた日時) 昨日
【     OS    】 (SP等まで書く) XP sp2
【使用ブラウザ 】 (バージョン等まで分かれば書く) 火狐 2.0.0.12
【WindowsUpdateの有無】 (一番最後はいつ頃か、等) 今月頭くらい
【 アンチウイルスソフト 】 ノートン先生 2004
【その他のSecurty対策 】 (Spybot S&D、ルータ、等) ルータは有
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)  スキャン中
【スレログやテンプレを読んだか】 (Yes/No/今から読みます) Y
【hosts変更】(有/無 [有りの場合は最終更新は何時ごろか]) 有 昨年夏ごろ
【PeerGuardian2導入】(有/無 [有りの場合は参照元サイトはどこか) 有 リネ資料室
【説明】 開いたら真っ白…なんとなく怪しく思えたので。

533 名前:(^ー^*)ノ〜さん 投稿日:08/03/25 00:22 ID:LwVKZiLL0
sage忘れた…失礼。

534 名前:(^ー^*)ノ〜さん 投稿日:08/03/25 00:46 ID:/OJK24Me0
ただの真っ白な画像だ

535 名前:(^ー^*)ノ〜さん 投稿日:08/03/25 09:09 ID:BiEtcRBs0
【  アドレス   】http://f13■aaa■livedoor■jp/~ragd/cgi/upld/img/191■jpg
【気付いた日時】1時間ほど前
【     OS    】WinXP SP2
【使用ブラウザ 】IE6
【WindowsUpdateの有無】ごく最近。改めてチェックした所更新ファイルは無し
【 アンチウイルスソフト 】KingsoftInternetSecurity
【その他のSecurty対策 】無し
【 ウイルススキャン結果】上記ソフトで完全スキャンの結果異常なし
【スレログやテンプレを読んだか】テンプレは読みました、スレログはアドレスで検索しました
【hosts変更】無し
【PeerGuardian2導入】無し
【説明】
リンクをクリックした所、表示不能マークが左上ではなく中央に出て
普通なら出ないはずのポップアップ(XP標準の機能によってブロック)が出ました。
直感的に不安を覚えソースチェッカーオンラインでチェックしたところ、
どうやらjpg形式は偽装で中身はhtml構文らしく、
リンクが内部的に「www■zhangweijp■com」にアクセスが繋がっている事が分かりました。
調べてみたところリネージュ中心の垢ハックサイトと言う事のようです。
ページを開いた際にはウィルスをガードした旨のウィンドウは表示されませんでした。
画像の投稿日時が2007年3月と古いものなので正常に動作しているかわかりませんが、
心配なので相談させていただきます。

536 名前:(^ー^*)ノ〜さん 投稿日:08/03/25 10:23 ID:eV0jorpO0
>>535
ttp://www■zhangweijp■com/t1swm/index■htm
ttp://www■zhangweijp■com/jpg/005■jpg

ご想像の通り、サイズ0のiframeで別のサイトを呼び出し、偽装画像を表示するものですね。
ドメイン失効の為にファイル自体は存在しなくなって、ドメイン管理業者のサイトが表示されて
いるようです。今回は、>>535記載のアドレスに関しては、踏んでも実害はなかったと思われます。

テンプレ >>6 の、応用にある設定をお勧めします。

| ・偽装jpg対策(IE7とIE6SP2限定。IE6SP1以前では出来ない)
|  :インターネットオプション→セキュリティ→レベルのカスタマイズ
|   →「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする

537 名前:(^ー^*)ノ〜さん 投稿日:08/03/25 15:02 ID:eV0jorpO0
セキュスレに相談のあったアドレス。様々な手法でro.exeを呼び出そうとしている。

ttp://www■exbloog■com/7112888/

ttp://www■exbloog■com/7112888/Ms06014■htm
ttp://www■exbloog■com/7112888/Ms07004■js
ttp://www■exbloog■com/7112888/Ms06046■htm
ttp://www■exbloog■com/7112888/ani■c
ttp://www■exbloog■com/7112888/ani■asp?id=1314
ttp://www■exbloog■com/7112888/Xunlei■htm
ttp://www■exbloog■com/7112888/StormII■htm
ttp://www■exbloog■com/7112888/Yahoo■htm

ttp://www■exbloog■com/7112888/ro■exe

ani.asp : Exploit.Win32.IMG-ANI.n
ani.c : Exploit.Win32.IMG-ANI.n
index.htm : Trojan-Downloader.HTML.IFrame.dv
Ms06014.htm : Trojan-Downloader.JS.Psyme.kf
Ms06046.htm : Exploit.HTML.Ascii.ai
Ms07004.js : Trojan-Downloader.JS.VML.a
ro.exe : Trojan.Win32.Inject.aad
StormII.htm : Exploit.JS.Agent.aw
Xunlei.htm : Trojan-Downloader.JS.Small.ft
Yahoo.htm : Exploit.HTML.IESlice.z

ro.exe のVirustotal結果
ttp://www.virustotal.com/reanalisis.html?3de452449ad5742bc14acaeee128c233

538 名前:(^ー^*)ノ〜さん 投稿日:08/03/25 15:31 ID:9HX5OvbF0
inject系ってことは2ch22■comと同じ系統かぁ。

539 名前:(^ー^*)ノ〜さん 投稿日:08/03/25 18:01 ID:eV0jorpO0
2ch22ってなんだっけと思ってぐぐったら、結構な数のBlogにコメントspamで撒かれてたのね。
(.comを入れるとサイトを直接開こうとするので、ぐぐるの危険)

ついでに同じBlogで見掛けたのも、ついでに全部拾ってみた。

ttp://www■2ch22■com/2ch00356/00356■zip
ttp://www■2ch22■com/2ch00358/00358■zip
ttp://www■2ch22■com/2ch00359/00359■zip
ttp://linainfo■net/movie/mov0028■zip
ttp://www■lineagecojp■com/movie/mov0028■zip
ttp://www■playenline■com/ff11/index/mov■zip

00356.zip : Trojan.Win32.Inject.ado
00358.zip : Trojan-PSW.Win32.OnLineGames.sfa
00359.zip : Trojan-PSW.Win32.OnLineGames.lbb
mov0028.zip : Trojan.Win32.Inject.zo
mov.zip : Trojan-Spy.Win32.Agent.avp

540 名前:(^ー^*)ノ〜さん 投稿日:08/03/25 19:43 ID:9HX5OvbF0
>(.comを入れるとサイトを直接開こうとするので、ぐぐるの危険)
これは無い。Googleツールバーとかの仕業じゃね?

541 名前:(^ー^*)ノ〜さん 投稿日:08/03/26 09:47 ID:FXIdMXGw0
www■bluewoon■com/Blog/k1.exe
www■skywebsv■com/Blog/k1.exe
同一ホスト

542 名前:(^ー^*)ノ〜さん 投稿日:08/03/26 10:01 ID:/8JK83MJ0
>>541
また差し替えか。3/17に拾った検体と中身が違うようだ。

->k1.exe
-->f2.exe
-->gawezuki.exe

gawezuki.exe : Trojan.Win32.Inject.akb
f2.exe : Trojan-PSW.Win32.OnLineGames.vxq

3/14版(3/17に拾った)は、Trojan.Win32.Inject.aex。
3/11に拾った奴は、中身が「gawezuki.exe/f111.exe」で検出名が「Trojan-PSW.Win32.OnLineGames.tge/Trojan.Win32.Inject.adj」

543 名前:(^ー^*)ノ〜さん 投稿日:08/03/26 10:11 ID:FXIdMXGw0
>>542
うむ。同じ系統でk2もある。
www■coconlovely■com/Blog/k2.exe

544 名前:(^ー^*)ノ〜さん 投稿日:08/03/26 13:25 ID:/8JK83MJ0
>>543
なるほど。昼前の入手時点ではこいつはカスペすり抜けてたが、今は検知するな。
しかし、よく見付けてくるものだと感心するよ。GJだ。

Trojan.Win32.Inject.ajx : k2.exe//data0000.cab/hotgome.exe
Trojan-PSW.Win32.OnLineGames.vxq : k2.exe//data0000.cab/f3.exe//PE_Patch//UPack

545 名前:(^ー^*)ノ〜さん 投稿日:08/03/26 13:32 ID:FXIdMXGw0
>>492 と同じなので監視対象にしてるんだけど
bluewoonは初めて見たなーと。

入手先はやっぱりサーパラブログ。利用者が少ないので
ttp://blog.surpara.com/blogList.html
で新着全部見てiframe探してるとすぐ見つかるw
利用者が恐ろしく多いFC2クラスになるとやってらんないけど。

546 名前:(^ー^*)ノ〜さん 投稿日:08/03/26 16:49 ID:/8JK83MJ0
>>545
なるほど、おもしろい方法だ。参考になったよ。

547 名前:(^ー^*)ノ〜さん 投稿日:08/03/27 03:16 ID:PX9du1DS0
【  アドレス   】http://www5■uploader■jp/user/tane/images/tane_uljp00326■jpg
【気付いた日時】先ほど
【     OS    】Windows XP SP2
【使用ブラウザ 】FireFox
【WindowsUpdateの有無】最後は先週ごろ
【 アンチウイルスソフト 】 Macfee
【その他のSecurty対策 】 Spybot S&D
【 ウイルススキャン結果】 検出されず
【スレログやテンプレを読んだか】 Yes
【hosts変更】 有
【PeerGuardian2導入】 有
【説明】
トロイ?というレスがあったので。

548 名前:(^ー^*)ノ〜さん 投稿日:08/03/27 08:04 ID:T3+LltHm0
セキュ板から持ってくんなよ。
ブラクラの類だからあっちに持ち帰ってくれ。

549 名前:(^ー^*)ノ〜さん 投稿日:08/03/27 10:25 ID:T3+LltHm0
>>541-543 のk1、k2含め20匹ほど更新されているのを確認。

550 名前:(^ー^*)ノ〜さん 投稿日:08/03/27 12:12 ID:QcACWMi90
先日垢ハックを受け、それが救済されたのですが、
一連の流れを参考になるようにお伝えしたら、
私の他にも助かる人が出てくるかもしれないと思うのですが、
そういうのをまとめていたり、投稿?出来る場所はあるでしょうか。
垢ハックまとめサイトさんにはそういうのが無かったように思えますが…

スレ違いと感じられたらスルーして頂ければ。

551 名前:(^ー^*)ノ〜さん 投稿日:08/03/27 13:44 ID:YJBQrF2m0
LiveRO
セキュリティ対策、質問・雑談スレ

552 名前:(^ー^*)ノ〜さん 投稿日:08/03/27 15:45 ID:368tmXtn0
まった、LiveROはログが流れた場合消えてしまう
具体的事例でもある事だし、こっちにもなんらかの跡は残して欲しい
LiveROで仮発表して、向こうで文章量を煮詰めてからこっちに転載とかでもいい
とにかくLiveROだけで終わらせるのは止めてくれ

553 名前:(^ー^*)ノ〜さん 投稿日:08/03/27 15:58 ID:PFiru0yl0
>>552

向こうのログ
http://sky.geocities.jp/vs_ro_hack/
差分
http://common.ragna.info/?rosafe_log

一応有志が残してるから気にしなくていいと思う

554 名前:(^ー^*)ノ〜さん 投稿日:08/03/27 16:22 ID:rqtj/8lU0
>>550
投稿はセキュスレに行われることが多いが、こちらでもいい。

スレの趣旨からして、出来たら、ここに書いてくれるとうれしい。

555 名前:550 投稿日:08/03/27 17:25 ID:QcACWMi90
>>551-554
上記の方の流れを見る限り、一応こちらで書いた方が良さそうなので、
少し文章を推敲して来ます。
当然必要であればLiveROの方にも転載OKと言うことで。

あまり長くならないようにしますが、長かったらすみません。
少々お待ち下さい。

556 名前:550 投稿日:08/03/27 18:48 ID:QcACWMi90
以下に、アカウントハッキング被害から救済されるまでの一連の流れを紹介します。
ケースバイケースのところもあると思うので、必ずしも同じような流れになるとは限りませんが、
一例と言うことで、他の方々への参考になれば幸いです。

----------------------------------------
01:2月某日にアカウントハックの被害を受けました。
  この際偶然私はプレイ中だったので、即座に対応に移ることが出来ました。
02:パスワードの変更を試みましたが、キャラクターパスワードはアカウントハック者によって変えられていた為不可能でした。
  ログインパスワードの方は公式サイト(ガンホーゲームズ)の方で変更しました。
03:ガンホーゲームズのヘルプデスクに被害届を出しました。
  この際、すぐにゲーム内で私のアイテムを露店で売り出しているキャラを発見したので、その旨も追加で報告しました。
04:翌日、ガンホーの方でアカウントハッキングについて調査を行うとの返答がありました。
  しかし、ガンホーに任せきりなのは不安だったので、すぐに警察に電話をすることにしました。
05:ガンホーからの返答を受けた翌日、電話で警察に連絡しました。
  しかし、土日だった為にすぐに警察には動いてもらえず、また、私自身の仕事の都合もあって詳細は後日確認することに。
06:後日、所轄の警察の生活安全課の方と電話で簡単な経緯確認しました。また、今後の方針についても確認しました。
  内容としては次の通りになります。
  ・いつ被害を受けたか
  ・どの程度の被害を受けたか
  ・被害を救済して欲しいかどうか
  ・犯人の逮捕をどうするか、などです。
07:所轄の警察に出頭要請を受けたので、改めてに警察へ出頭しました。
  そこで、被害に至までの経緯や今後について詳細を確認、打ち合わせなどを行いました。
  ここで警察に正式に捜査を依頼したことになります。

- ここまでで基本的に私の対応は終わりになり、以下警察とガンホーの対応になります -

557 名前:550 投稿日:08/03/27 18:49 ID:QcACWMi90
08:警察が、ガンホーに事件の詳細を説明し、捜査協力を要請。(私が警察に話をした事です)
  ガンホーも協力に応じることを約束してくれます。
  また、この時点で「不正アクセスによる被害であった場合に限り」データの復旧をしてもらえることを確約してもらっています。
09:警察が、事件のあった日付前後のアクセスログをガンホーに要請。
  私のケースでは2ヶ月分程度のアクセスログを要請したようです。
  ガンホーからの解答は、アクセスログは膨大で特定の人間(アカウント)の物だけを抜き出すのには時間が掛かるとの事。
  また、更に公的機関(警察)への提出文書として体裁を整えるのにも時間が掛かるとの事。
  この部分が一番時間的に掛かる場所のようです。
10:アクセスログが届くまでの間、警察の方はROの実情、他鯖などの情報、他のアカウントハックに関しての情報、
  露店の相場etcetc、細かい情報を集めていました。
11:約20日後、アクセスログの解答がガンホーより到着。
  正確なデータ量は公開出来ませんが、印刷すると2ヶ月分のデータでコピー用紙4,000枚ほどになるらしいです。
  実際はエクセルか何かかな?のデータだったようですが。
12:アクセスログを閲覧したところ、私の普段接続するIPアドレス以外からのアクセスを、合計6件確認出来ました。
  これは全て同じIPアドレスからのアクセスでした。
  なお、私はネットカフェや他人の家などからのログインが一切無かった為、不正アクセス者のIP割り出しが早く出来たようです。
  ネットカフェなど、複数の場所からログインしている方は、ここで更に時間を食ってしまう事になるかもしれません。
13:アクセスログの不審アクセスは、最初が1月某日に1回で、次が実際にアカウント内アイテムを盗んだ日に5回。
  1月の件は恐らくアイテムなどの財産の下見では? というのが警察の分析です。
  5回と言うのは、アカウントハックされている際に私が自分のアカウントに入り直しなど行った為、
  相手もやり返しを行った為、回数が増えています。
14:不審アクセスを行っているIPを調べたところ、プロバイダの特定に至ります。
15:更に捜査を進めたところ、東京にある某企業のIPである事が判明します。
  しかし企業からアカウントハッキングをしたとは考えにくいので、更にIPに関して調査を進めます。

558 名前:550 投稿日:08/03/27 18:50 ID:QcACWMi90
16:調査の結果、中国にある日本向けのプロキシのIPらしい事が、中国の2chのような掲示板に書かれていたようです。
  中国のサイトだった為、翻訳に少々手間取ったようですが、間違いなく日本向けのプロキシであることが判明しました。。
  この時点で相手が中国である為、犯人の検挙は出来ない事になりました。
17:不正アクセスのIPをガンホーに照会し、そのIPからどの程度のアクセスがあったかのアクセスログを依頼しました。
18:ガンホーからの解答として、不正アクセスのIPからのアクセスが、160アカウントにもなることが判明。
  そのうちの数個は自分のアカウントと思われるので、それを除いた約150アカウントが私と同様の被害にあったと予想されました。
19:中国からの不正アクセスであることがほぼ立証出来た為、警察からガンホーの方に私のデータを復旧するよう依頼。
  ガンホーからの確認項目として以下の点を確認された模様です。
  ・他人にアカウント情報を貸与したりしていないかどうか。
  ・ウィルス対策ソフトはインストールしていたかどうか。
  ・また、ウィルス対策ソフトのパターンファイルは最新版だったかどうか。
  ・その他、不正アクセスにつながるような行為をしていないかどうか。
20:警察が上記確認項目に問題なしとガンホーに通達した為、ガンホーの方で3/13の17:30付けで、
  アイテムの復旧を行う事をヘルプデスクに返信していました。

- 以下、警察の方との経緯の確認など -

21:ヘルプデスクに返答が来た翌日、警察から電話が来て簡単な経緯を教えてもらいました。
  また、実際に警察に出頭し、細かい経緯(上記説明)を受けました。
27:ガンホーにアイテム復旧するよう依頼しました。
  復旧には1〜2週間掛かり、かつ復旧のタイミングは基本的に定期メンテの際に行うとの事。

28:約1週間後、アイテムの復旧を確認しました。
  アイテムの復旧方法は以下の通りでした。
  ・Zenyは全額復旧。ただし、アカウントハック者が倉庫をあけるのに利用した額は補償されません。
  ・装備は全て、武具とカードが分離された状態で復旧。
  ・精錬値はそのまま復旧されました。
  ・属性武器だけは、精錬値同等の店売り武器になりました。
   よく聞く名無しの属性武器にはなりませんでした。

559 名前:550 投稿日:08/03/27 18:50 ID:QcACWMi90
長々となってしまいましたが、上記が報告→調査→解答→復旧の流れになります。
順番が前後してしまいましたが、重要な点を挙げておきますと

・ガンホーのヘルプデスクだけではガンホーは殆ど動きません。
 必ず警察に連絡しましょう。
・警察は、いわゆるサイバー犯罪担当の方がベストではありますが、
 地方の方などでサイバー犯罪担当が居ない場合は、私のように生活安全課が担当になるかもしれません。
・警察に出頭する際、捜査費用は基本的に掛かりません。
 警察に行く手間や移動費は当然自己負担ですが。
・日頃からアカウントハッキングに対する対策をしておくことが重要です。
 アンチウィルスソフトなどが入っていないなど、自己防衛の意識に欠けると判断された場合は、
 捜査は行われても、アイテムの補償はされない可能性があります。
・出来るだけ接続箇所(プレイ場所)を少なくすることが、早期解決への道になります。
 ネットカフェ、知人友人の家、学校や会社などからの接続がある場合、
 それらのIPを逐一照会しなくてはならないので、時間が掛かるようになります。
・あまり書くべきではないでしょうが、他人にアカウントを貸与しているような場合は、
 捜査の段階でそれらが露見する可能性があります。
 最悪の場合、アカウントBANに発展する可能性もあると思います。
・犯人検挙に関しては、相手が日本国内の在住であった場合に限り可能なようです。
 外国からの接続は、現在の日本の法整備では対処のしようがないようです。
 また、犯人検挙に関しても、アカウントハッキングの被害者は基本的にガンホーになるので、
 (ガンホーのサーバー内のデータが荒らされた、と見なされるため)
 ガンホー自身が承諾しない場合は、犯人検挙には結びつかない事もあるようです。


以上で、私のケースの紹介になります。
長々となってしまい、申し訳ありませんでした。
ただこれが、別の方の参考になれば幸いです。
長文、連投失礼致しました。

560 名前:550 投稿日:08/03/27 18:54 ID:QcACWMi90
あ、最後になりますが。
上記の文は、LiveRO他、基本的にどこでも転載OKですので、
必要な際に自由に利用して下さい。

ただ、一部で故意に垢ハックされて装備とCを分離しようというような動きがあるようですが、
必ずしもアイテムが補償されるわけではないですし、故意にそのようなことを行うのは
非常に問題だと思われますので、それらを含む悪用には使わないようお願い致します。

561 名前:(^ー^*)ノ〜さん 投稿日:08/03/27 19:23 ID:SBtc1PqX0
【不審なアドレスのクリックの有無 】 http://nicowiki■com/howtomovie■htmlに15時ごろアクセス
【OS】 Windows XP SP2
【使用ブラウザ 】 Opera 9
【WindowsUpdateの有無】 今週
【 アンチウイルスソフト 】 ウイルスバスター2008 Updateは3/27(時刻不明)
【その他のSecurty対策 】 ルータ経由
【 ウイルススキャン結果】 検出されず
【スレログやテンプレを読んだか】 今から読みます
【hosts変更】有りだが、数ヶ月前
【PeerGuardian2導入】無
【Webヘルプデスクへの報告】無
【説明】
上記サイトのリンク先がhttp://www■skywebsv■com/Blog/であり、表示が白紙であることからソースコード確認、
iFrameがあったことからマズイと判断し、起動中のROを終了、
ネットワークケーブルを引っこ抜いてウイルススキャンするも検出されず。
ネットワークケーブル抜いたままいったん再起動後、再度スキャン中。
現在は別のPCから書き込み中。
直近のログ
>>541-542
にもあるようで。。。
感染しているかどうか判別したいので相談させていただきます。

562 名前:(^ー^*)ノ〜さん 投稿日:08/03/27 19:51 ID:rqtj/8lU0
>>561
感染しているかどうかは、>>541-542辺りでカスペが検出可能であることが書かれているので
「差し替えられていなければ」カスペでスキャンすればわかる可能性が高いです。

バスターで検出可能かは、献体を持っている人がバスターのオンラインスキャンをかければわかります。

563 名前:(^ー^*)ノ〜さん 投稿日:08/03/28 03:45 ID:xs/Gf7Rl0
当方ウイルスバスターユーザーでトレンドマイクロに>>541の検体を提出し、
パターンファイル5.189.00(3/27昼アップデート)での検出を確認しています。
しかし、現在ダウンロードできるものは検出しないため、差し替えられた可能性大です。

>>541検体回収&提出日時
3/26 12:08

564 名前:(^ー^*)ノ〜さん 投稿日:08/03/28 07:13 ID:O3hXW84h0
差し替えは >>549 入れ違いになったねw

565 名前:561 投稿日:08/03/28 09:53 ID:kWZHsqTB0
経過報告。
朝の時点でカスペルスキーのオンラインスキャンで検出されず。
再インストールの時間が割けないため、該当PCをネットワークから切断して様子見。
しばらく経ってもう一度カスペのオンラインスキャンをかけようかと。
なお、561時点のパターンファイルが5.187.00、20:14に5.189.00にアップデートでした。。。

566 名前:(^ー^*)ノ〜さん 投稿日:08/03/28 10:05 ID:O3hXW84h0
Operaだから罠スクリプトが動かなかったんじゃないか?

567 名前:(^ー^*)ノ〜さん 投稿日:08/03/28 11:05 ID:/0FSiuw30
ゲーム中に発覚したからあれだろうけど
>>550の件も、RO関係しか触れてないけど
並行して他の情報も抜かれたりしないの?

それともROに限定したバックドアなら作りやすいってことなのかな?

568 名前:(^ー^*)ノ〜さん 投稿日:08/03/28 11:11 ID:O3hXW84h0
FFXIのジョブ板に爆撃されたもの

www■falurl■com/
temateman■com/
www■6828teacup■com/
www■yahddjp■org■cn/bo-boka/a220899a.jpg
www■yahddjp■org■cn/2cnf1/assdo/1203585309085.jpg

全て
www■k5dionne■com/ma/
www■k5dionne■com/ma/xia.exe

Kaspersky Trojan-Downloader.Win32.Delf.dsz
Dr.WEB Trojan.PWS.Gamania.6603

569 名前:561 投稿日:08/03/28 11:33 ID:kWZHsqTB0
>>566
割とそれに期待。マイナーなOperaのマイナーさを頼りに・・・
正直、無理に取ったリフレ休暇を再インストに使いたくはないorz

570 名前:(^ー^*)ノ〜さん 投稿日:08/03/28 11:38 ID:O3hXW84h0
>>569
もー。見てきた。
MDACのActiveXコントロールの脆弱性狙いだから
IEでしか動かんよ。

571 名前:(^ー^*)ノ〜さん 投稿日:08/03/28 12:58 ID:yK/lnLIl0
普段バスター2008を使ってるんだけど、試しにカスペのオンラインスキャン掛けたら
ウィルスが1個引っかかった。
system volume informationの中にあるっぽいんだけど、バスターじゃ処理できないし、
個別に削除してやろうと思ったらファイルが表示されない。
そもそもぐぐっても英語のサイトで、roに関係あるウィルスかは分からないんだけど…
どうしたらいいでしょうか?

以下カスペで検出した際のログのコピペ
D:\System Volume Information\_restore{BD271FAB-74A3-41F7-A6E5-AAA9D401697E}\RP49\A0009514.EXE/stream/data0019 感染: not-a-virus:AdWare.Win32.Gator.3202 スキップ

D:\System Volume Information\_restore{BD271FAB-74A3-41F7-A6E5-AAA9D401697E}\RP49\A0009514.EXE/stream 感染: not-a-virus:AdWare.Win32.Gator.3202 スキップ

D:\System Volume Information\_restore{BD271FAB-74A3-41F7-A6E5-AAA9D401697E}\RP49\A0009514.EXE NSIS: 感染 - 2 スキップ

D:\System Volume Information\_restore{BD271FAB-74A3-41F7-A6E5-AAA9D401697E}\RP86\change.log ロックされています スキップ

G:\System Volume Information\MountPointManagerRemoteDatabase ロックされています スキップ

G:\System Volume Information\_restore{BD271FAB-74A3-41F7-A6E5-AAA9D401697E}\RP33\A0003524.exe/stream/data0019 感染: not-a-virus:AdWare.Win32.Gator.3202 スキップ

G:\System Volume Information\_restore{BD271FAB-74A3-41F7-A6E5-AAA9D401697E}\RP33\A0003524.exe/stream 感染: not-a-virus:AdWare.Win32.Gator.3202 スキップ

G:\System Volume Information\_restore{BD271FAB-74A3-41F7-A6E5-AAA9D401697E}\RP33\A0003524.exe

なお、DドライブとGドライブはミラリング…でもないけど、バックアップで時々同期してるから
恐らく同一ファイルのはず。
対処方法あったらよろしくお願いします。

572 名前:(^ー^*)ノ〜さん 投稿日:08/03/28 13:00 ID:O3hXW84h0
Gator踏んだのか。アカハック関係ないのでググってね。
ちなみにSystem Volume Informationはシステムの復元の時にしか使わないので
復元しないなら放置でおっけ。

573 名前:(^ー^*)ノ〜さん 投稿日:08/03/28 13:02 ID:yK/lnLIl0
あ、ちなみにファイルが表示されないと言うのは
sysvolume〜が表示されないのではなくて、
{BD271〜以下略\RP33\ の中でA0003524.exeのみ表示されないです。
そのほかのファイルは表示されてるようです。

574 名前:(^ー^*)ノ〜さん 投稿日:08/03/28 13:02 ID:xTF+ruD70
>>517
その手の一般的なセキュリティについてはセキュスレへどうぞ
書いてあるとおりに、アドウェアで、ウイルスではないので、消さなくても構わない。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/

575 名前:(^ー^*)ノ〜さん 投稿日:08/03/28 13:11 ID:yK/lnLIl0
>>572,574
垢ハック関係なかったってことで安心したよ。
後でもう少し調べて見ます。
ありがとうございました。

576 名前:561 投稿日:08/03/28 13:24 ID:kWZHsqTB0
>>570
確認Thanks
先頃もっかいカスペでスキャンしたが感染無しでした。
ありがとうございました。

577 名前:(^ー^*)ノ〜さん 投稿日:08/03/29 13:30 ID:wUl6oFc40
>2にある
>・リネージュ資料室 (応用可能な情報が多数)
> http://lineage.nyx.bne.jp/
が、3/29付で移転しております。
ttp://lineage.paix.jp/
に、自動で転送されますが、PeerGuardian2用リストは登録し直しが必要になるそうです。

578 名前:(^ー^*)ノ〜さん 投稿日:08/03/29 14:42 ID:70aOROei0
>577
当然ながら、hostsリストもアドが変更になってる。

特にhostsRenew使ってて、更に自動更新かけてる人は必ず設定の変更を。
BSWikiさんのリストを組み込んでたり、hostsAppend=0にしてたらまだ平気だけど
デフォ設定のままだと、ごっそりと情報が欠落することになる。

579 名前:(^ー^*)ノ〜さん 投稿日:08/03/29 14:45 ID:70aOROei0
って、重要な話なので、ageときます

580 名前:(^ー^*)ノ〜さん 投稿日:08/03/29 16:16 ID:BhUqmq+C0
www■gamerost■com/
(略)
www■gamerost■com/npceok.exe

581 名前:(^ー^*)ノ〜さん 投稿日:08/03/30 16:06 ID:4aQKC+mK0
|1 尾崎 New! 08/03/30 14:35:06 ID:PjqA86Ad
|(カブキ忍者) ブローチ(小龍舞) ブレッシング10 速度増加10 ハイスピードポーション AGI10料理 DEX10料理使用...RO アサクロ AX ASPD 190
|www■livedoor-bbs■com/pics0216/0216■zip

鯖板に立てられていたスレから。

カスペ検出名:Trojan.Win32.Inject.aiv

582 名前:(^ー^*)ノ〜さん 投稿日:08/03/30 17:19 ID:XV9To9iG0
ttp://uk.groups.yahoo.com/group/Mp3_Ringtones_from_Ringtones_World/

↑のアドレスって垢ハク?

どこかに判断識別サイトってなかったっけ?

583 名前:(^ー^*)ノ〜さん 投稿日:08/03/30 17:21 ID:30IInOwT0
そういうスレじゃねーからここ

584 名前:(^ー^*)ノ〜さん 投稿日:08/03/30 17:22 ID:csTynZLH0
>>582
「 . 」を「■」に変えてください。
とりあえず、削除依頼に行ってきて下さい。

585 名前:(^ー^*)ノ〜さん 投稿日:08/03/30 17:22 ID:um7r45Ds0
1を死ぬまで読み返して来世で質問しろ

586 名前:(^ー^*)ノ〜さん 投稿日:08/03/30 17:24 ID:4aQKC+mK0
>>582
まずは、管理板@MMOBBSに削除依頼を。

・ここは鑑定スレではない
・ソースチェッカーオンラインなら>>7
・危険かもしれないアドレスを■への置き換えなしで貼り付ける行為は削除対象
・相談などはテンプレにて

587 名前:(^ー^*)ノ〜さん 投稿日:08/03/30 17:29 ID:4aQKC+mK0
>>580
あー、検体拾ってフォルダに格納する際に(指が震えたのか…ダブルクリック扱いに…)発動させました。orz

慌ててカスペをアクティブにしたところ、C:\WINDOWS\Debug\0C9C4681802F.dll が検知されました。
反面教師な、発動させた時の報告でした。(再起動時に削除し、除去完了)

即刻削除した為に、データの送信先は未確認です。

検出名は、Trojan-PSW.Win32.Magania.imm。検出されたDLLも検体として保存しましたが、exeと同じ検出名でした。

588 名前:(^ー^*)ノ〜さん 投稿日:08/04/01 22:01 ID:Yjdb7tZ/0
目の前で垢ハック露店に並んだレアな品々が一気に買われていった
何か切なくなった

589 名前:(^ー^*)ノ〜さん 投稿日:08/04/02 01:37 ID:jyy2mltz0
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/

590 名前:(^ー^*)ノ〜さん 投稿日:08/04/04 21:35 ID:F/sn0v+o0
>>589のようなアフォが重要な情報を埋めてしまわないように
とっとと埋めてタイトル変えようぜ

591 名前:(^ー^*)ノ〜さん 投稿日:08/04/04 21:57 ID:5U68yTrB0
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/

592 名前:(^ー^*)ノ〜さん 投稿日:08/04/06 18:42 ID:fVrHMNfX0
PSU-Wikiで採れたて。
www■skywebsv■com/Blog/
-> www■skywebsv■com/Blog/index1.htm
--> www■bluewoon■com/Blog/k1■exe

昨日の時点でVirusTotalの履歴あり。
ttp://www.virustotal.com/jp/analisis/93ef9a0ebe73e332549056baf065dcf7

593 名前:(^ー^*)ノ〜さん 投稿日:08/04/09 20:16 ID:wLkYeswI0
バッジョ 2008/04/09 14:53
おっくせんまん - Ver.☆ (Anime)
てます。動画のアニメはDNAという人が作ったものを使わせていただきました。 「DNAのどうRO」
http://www■exbloog■com/7112888/000029■zip

ウヴァー('A

594 名前:(^ー^*)ノ〜さん 投稿日:08/04/09 20:59 ID:pt9EcMtV0
>>593
カスペで類似も全部撃墜。
000027の検出名は、2/25に検体提出したものと同じでした。この辺は、入れ代わっていないかも。

ttp://www■exbloog■com/7112888/000029■zip
ttp://www■exbloog■com/7112887/000028■zip
ttp://www■exbloog■com/7112886/000027■zip
ttp://www■exbloog■com/7112885/000026■zip
ttp://www■exbloog■com/Ragnarok/roeng■zip

Trojan-PSW.Win32.Delf.ads : 000026.zip/000026.wmv.scr//data.rar/013.exe
Trojan-PSW.Win32.OnLineGames.sfa : 000027.zip/000027.wmv.scr//data.rar/013.exe
Trojan-PSW.Win32.QQPass.xw : 000028.zip/000028.wmv.scr//data.rar/013.exe//UPack
Trojan.Win32.Inject.aad : 000029.zip/mov000029.wmv.scr//data.rar/013.exe
Trojan.Win32.Inject.aad : roeng.zip

595 名前:(^ー^*)ノ〜さん 投稿日:08/04/16 03:07 ID:pCfHgaLf0
ここでも何度か報告例のあったSURPARA BLOG、いよいよiframeタグの一時的な使用停止に乗り出した。
ttp://blog.surpara.com/staffblog/archive/2008/04/48875.html
>こちらの改修により、IFRAMEタグ及びそれに囲まれた範囲の文書は確認画面の段階で消去されます。
>後日、許可されたドメインに向けたものに限りIFRAMEタグを利用できるよう改修を行う予定です(ドメインの許可方法等に
>つきましては後日改修時に告知致します)。

未だにiframeを透過してしまう同業他社サービスも、これに追随するようにユーザーが働きかける流れが出来れば幸いと思い、
あえてこちらに書く。

# 一般的な対策ではなく、コンテンツプロバイダに対しての啓蒙運動みたいなものだし。

596 名前:(^ー^*)ノ〜さん 投稿日:08/04/16 13:13 ID:Q6/4PDFF0
NOD32アンチウイルス体験版て期限切れたらまた入れなおして使ってもok?

597 名前:(^ー^*)ノ〜さん 投稿日:08/04/16 13:16 ID:jYvVWh+Q0
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/

598 名前:(^ー^*)ノ〜さん 投稿日:08/04/17 01:31 ID:hlIIq9ty0
3分で糞レス返すなんてどんだけ暇なんだwwwwwwwwww
休日なら休め! ニートなら仕事探せ!

599 名前:(^ー^*)ノ〜さん 投稿日:08/04/17 07:23 ID:O0CvWP9J0
BOTだと思おうぜ

600 名前:(^ー^*)ノ〜さん 投稿日:08/04/17 09:12 ID:wmQbZk390
Nice bot.

601 名前:(^ー^*)ノ〜さん 投稿日:08/04/17 09:57 ID:tk0Umh170
>>598-601
>テンプレ もしくは >>597

602 名前:(^ー^*)ノ〜さん 投稿日:08/04/17 12:17 ID:RWXyg3JT0
>>601
>>600

603 名前:(^ー^*)ノ〜さん 投稿日:08/04/20 12:59 ID:9K1VGOkx0
カスペのオンラインスキャンでウイルスなし
SpyBOTでいくつか見つかって削除
ハックウイルスだった可能性ってありますか?
名前めもらずに消してしまったので不安です

604 名前:(^ー^*)ノ〜さん 投稿日:08/04/20 13:36 ID:fdIj/7Jj0
つ[フォーマット再インスト]

605 名前:(^ー^*)ノ〜さん 投稿日:08/04/20 13:39 ID:kGGgKmna0
Spybotはトラッキングクッキーに代表される
「それ自体は無害だけど悪用される可能性も否めない」要素も多数検出するし
大丈夫なんじゃないか、と予想までは出来るが

さんざん言われてるとおりスレ住民では大丈夫か否かの保証は不可能

606 名前:(^ー^*)ノ〜さん 投稿日:08/04/20 13:58 ID:RSnMln8C0
名前メモらずって時点でわかるわけがない

607 名前:(^ー^*)ノ〜さん 投稿日:08/04/20 14:21 ID:yt8BA4Xi0
>>603
そういった「漠然とした」質問は、次回からセキュスレでお願いします。

ウイルスとスパイウェアの違いを理解するようにおすすめします。アカハックに利用されるトロイの木馬は
ウイルスの1形態です。wikipediaのスパイウェアの項目の中に「スパイウェアとコンピュータウイルスの違い」と
いう項目がありますので、参考までに読んでみてください。

Wikipediaより
コンピュータウイルス
http://ja.wikipedia.org/wiki/%E3%82%B3%E3%83%B3%E3%83%94%E3%83%A5%E3%83%BC%E3%82%BF%E3%82%A6%E3%82%A4%E3%83%AB%E3%82%B9

スパイウェア
http://ja.wikipedia.org/wiki/%E3%82%B9%E3%83%91%E3%82%A4%E3%82%A6%E3%82%A7%E3%82%A2

608 名前:(^ー^*)ノ〜さん 投稿日:08/04/20 14:37 ID:XgYtVoVx0
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/

609 名前:(^ー^*)ノ〜さん 投稿日:08/04/20 18:58 ID:sIMAMXhj0
Nice bot.

610 名前:(^ー^*)ノ〜さん 投稿日:08/04/20 23:19 ID:EaTOsuLN0
Nice bot.

611 名前:(^ー^*)ノ〜さん 投稿日:08/04/21 00:04 ID:jIxisESX0
>>603
最近のトロイの流行のひとつに
役割を終えたら自動消滅するといったスパイ大作戦的なものがあるので
カスペで調べた時点で検出されなかったから安全とは言いがたい

612 名前:(^ー^*)ノ〜さん 投稿日:08/04/21 02:25 ID:AOVZrPwe0
最近はmixiにまで垢ハックコメくるんだなぁ・・・

613 名前:(^ー^*)ノ〜さん 投稿日:08/04/21 02:37 ID:Q8sABQkM0
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/

614 名前:(^ー^*)ノ〜さん 投稿日:08/04/21 04:32 ID:eyJyO6Zi0
Nice bot.

615 名前:(^ー^*)ノ〜さん 投稿日:08/04/21 10:49 ID:pWZBJ/m10
ちょっと前に大流行(414151や2117966やnmidahena)した
iframe・scriptの続き。

aspder.com 2008-04-11
www■aspder■com/1.js
-(略)→www■worldofwarcraftn■com/xp.exe

nihaorr1■com 2008-04-11
www■nihaorr1■com/1.js
-(略)→www■nihaorr1■com/test.exe

616 名前:(^ー^*)ノ〜さん 投稿日:08/04/24 23:56 ID:Z+pymAZF0
カスペルスキーオンラインスキャンでTrojan-Downloader.Win32.Zlob.lpsが検出された…
ググっても情報でてこないんですが、垢ハックの可能性高いですかねぇ

617 名前:(^ー^*)ノ〜さん 投稿日:08/04/25 00:17 ID:gvJa8Kpf0
Zlobはネトゲアカハックではないね。
動画のcodecを装ってエロサイトなんかに仕込まれてる。

618 名前:(^ー^*)ノ〜さん 投稿日:08/04/25 01:35 ID:XHi/azmZO
>>616
この変態め

619 名前:(^ー^*)ノ〜さん 投稿日:08/04/25 02:01 ID:8yR6+AKH0
酷いこと言うなあ。
Nintendou64エミュに混入させる例もあるようですよ。

620 名前:(^ー^*)ノ〜さん 投稿日:08/04/25 09:09 ID:gvJa8Kpf0
この割れ厨め

621 名前:(^ー^*)ノ〜さん 投稿日:08/04/25 09:44 ID:HQ02sG9e0
Nintendou(笑)

622 名前:(^ー^*)ノ〜さん 投稿日:08/04/26 16:08 ID:mjKQ7ofN0
深淵の騎士子アプロダにあるファイルを順番に見ていたら
cPanelとかいうサイトに飛んだんだが、なんぞこれ?

http://f26■aaa■livedoor■jp/~fianel/up/abys/up/abys243■jpg

623 名前:(^ー^*)ノ〜さん 投稿日:08/04/26 16:26 ID:rKvsbZtE0
>>622
ネトゲのアカハックではないが、フィッシングサイト用ゾンビPCを増やすための罠リンク入りだった模様。
飛び先のexeファイル自体は消されている様子。

RBL.jpでの解説。
ttp://www.rbl.jp/phishing/index.php?mode=show&date=20070906

624 名前:(^ー^*)ノ〜さん 投稿日:08/04/26 16:34 ID:HiDAHseA0
初めまして。
テンプレのwikiとかみても全然判らない素人ROプレイヤーです。

今日家のパソコンを久しぶりに赤傘でスキャンしたら↓のウィルスが
ROのフォルダから発見されてしまった・・・orz

TR/Rootkit■Gen

半年もチェックを怠けてたのがまずかった。
deleteしたんだけど、RO機動する度に赤傘が反応するんだ。
これってHDDフォーマットからOS入れ直しした方が良いんだろうか?
ガチムチな兄貴達、アドバイスをお願いします。

625 名前:(^ー^*)ノ〜さん 投稿日:08/04/26 16:41 ID:4Zc+d4D00
ガチムチの兄貴もいないし、テンプレ,も埋めずに質問する奴にまともな回答が貰えると思うな。
なんというファイル名に反応してるのかもわからないで回答できるかよ。

多分、AntiVirがnProをルートキットとして検知してるんだろう。自己責任でどうぞ。
安心したければ、OS入れなおしと複数のスキャンエンジンでの検索を。

626 名前:(^ー^*)ノ〜さん 投稿日:08/04/26 17:43 ID:mjKQ7ofN0
>>623

アカハックではないようですね。
安心しました。ありがとうございます。

627 名前:(^ー^*)ノ〜さん 投稿日:08/04/26 22:14 ID:pF6kwUDa0
とか言いながらちゃんと答えてる625にほれた
dump_wmimmc.sysが誤認されてるんだと思うが
赤傘っていうとAAVだよな?
俺も同じ環境で反応してる
が、もう1台のPCは無反応なので恐らく誤認だろう
それでも心配ならクリーンインストール(AAry
用心することに越した事はないからな

628 名前:(^ー^*)ノ〜さん 投稿日:08/04/27 10:41 ID:fGqc4FQT0
>>625さん、627さん
回答ありがとう!
どうも627さんと同じ状況みたいです。
そっかnPROTECTだったんですね、勉強不足ですいません。
これで安心して家でROがやれます、ありがとうございました。

629 名前:(^ー^*)ノ〜さん 投稿日:08/04/27 13:22 ID:UPbizE4f0
nProは普通にスパイウェアみたいなもんだからな
検出されても仕方ない
ROのプログラムを組み直して、nPro使わないようにできないものかなぁ

630 名前:(^ー^*)ノ〜さん 投稿日:08/04/27 16:40 ID:2ThQYIvr0
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/

631 名前:(^ー^*)ノ〜さん 投稿日:08/04/27 17:12 ID://Qr58uQ0
Nice bot.

632 名前:(^ー^*)ノ〜さん 投稿日:08/04/30 03:34 ID:63Z+SRzx0
www■jplineage■com
→ www■jplineage■com/ss.exe
scriptはMDACのみの素直でシンプルなタイプだけど
exeはRO、Lineage、FFXI、mixiの複合アカウントハック。製造は23日。
exe ttp://www.virustotal.com/analisis/d07236e9f1459a7ae55db8194900985a
dll ttp://www.virustotal.com/analisis/9ba5abc79fe0fb41a95494eb0d9b84fd
avast、Norton、McAfee、Microsoft、バスターなどに提出済み。

633 名前:(^ー^*)ノ〜さん 投稿日:08/04/30 19:59 ID:63Z+SRzx0
www■yyjjoopp■com/abc.exe
これも同じ系統。

634 名前:(^ー^*)ノ〜さん 投稿日:08/05/01 15:36 ID:AxQmABJVO
渋谷の某ネカフェいってきたけど垢ハック仕込んであったので渋谷行くやつ注意な

635 名前:(^ー^*)ノ〜さん 投稿日:08/05/01 16:22 ID:dI2fZJ2I0
>>634
このスレは「具体的事例」推奨なので、きちんと名称を挙げるべし。
また、アカハックが仕込んであったと断定した根拠もきちんと提示すること。

そうでなければ、根拠のない噂や風評扱いしかできない。

ガセネタでないと言うのであれば、アカハックが仕込まれていたと判断した手法を「セキュスレで」説明してくれないだろうか。

636 名前:(^ー^*)ノ〜さん 投稿日:08/05/01 16:56 ID:DJmcwruM0
ネカフェ関連の情報交換ならここがいいよ
http://enif.mmobbs.com/test/read.cgi/livero/1209449748/
ハック関連もそうだけど他にも色々情報交換されてるから
あとは言われてるように詳しくね

637 名前:(^ー^*)ノ〜さん 投稿日:08/05/01 17:11 ID:LVQG6iVW0
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/

638 名前:(^ー^*)ノ〜さん 投稿日:08/05/01 21:01 ID:r95z3fNB0
>>637
 >>631

639 名前:(^ー^*)ノ〜さん 投稿日:08/05/05 16:25 ID:lZQ3uzqH0
すいません質問なんですが
最近垢ハック露店がよく出ているので、心配になり今日カスペ6.0でスキャンをしたら
トロイのTrojan-PSW.Win32.WOW.elってのが出てきました・・危なそうなんで削除してパスを全部変えておいたんですが
これってやはり垢ハックウィルスなんでしょうか?
どこで踏んだかも全然見覚えがないんです。
いつも友達のブログやにゅ缶くらいしか見ないので><

640 名前:(^ー^*)ノ〜さん 投稿日:08/05/05 16:30 ID:BzR54dhd0
><

641 名前:(^ー^*)ノ〜さん 投稿日:08/05/05 16:31 ID:nnjo0ukT0
( ゚∀゚)<プップー

642 名前:(^ー^*)ノ〜さん 投稿日:08/05/05 16:38 ID:0eYI3fCR0
>>639
>>4のわかる範囲だけでも最低限埋めろ
あとは聞くだけじゃなく少しは自分で調べろ

煽るだけの馬鹿も自重しろ

643 名前:(^ー^*)ノ〜さん 投稿日:08/05/05 17:01 ID:w02o79oc0
ここぞとばかりに、馬鹿といいたいだけの方もお呼びじゃないのです^^;

644 名前:(^ー^*)ノ〜さん 投稿日:08/05/05 17:37 ID:j1n+kFD20
> 友達のブログ

そのBlogに変なURLが書いてあったり、
そこからのリンク先を見たりしなかったのかね?

ttp://www.viruslistjp.com/viruses/encyclopedia/?virusid=130036

対処方法も書いてあるし、とりあえずよく読んでやっとき。

645 名前:(^ー^*)ノ〜さん 投稿日:08/05/05 19:44 ID:lZQ3uzqH0
>>644
そうします。
変なURLは踏んでいないんですが、あと友達のブログもすべてソースチェッカーしてみましたけど
それっぽいのは出ませんでした
心当たりがあるとしたら、今日飛行船のルートを調べようと検索したとき
見たことないWikiがひかかってそれを見たことくらいです
内容は普通のWikiでしたけど・・・

646 名前:(^ー^*)ノ〜さん 投稿日:08/05/05 21:31 ID:eG+mJvRc0
>>637
その書き込み自体が必要な情報を埋めていることに気がついて欲しい

ここから本題、FC2ブログの足跡機能にご注意ください
本物のブログとアドレスを似せた偽物のブログを作成し、内容をコピーし
他人のブログに足跡を残す事例が見られます
ソースチェッカーにかけたところインラインフレームの記述はないですが
ソースを見るとインラインフレームで別ページを開いていました

647 名前:(^ー^*)ノ〜さん 投稿日:08/05/05 21:47 ID:Wbnqdr8R0
被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/

648 名前:(^ー^*)ノ〜さん 投稿日:08/05/05 21:51 ID:j1n+kFD20
Nice bot.

649 名前:(^ー^*)ノ〜さん 投稿日:08/05/05 22:18 ID:dkFhp0Lz0
お前>>646の1行目しか読んでないだろwwwwwwwwwwwwwwwwwwww

650 名前:(^ー^*)ノ〜さん 投稿日:08/05/05 22:28 ID:dAMbvrRI0
誘導を装った嵐の相手するなよ…

651 名前:(^ー^*)ノ〜さん 投稿日:08/05/06 01:38 ID:bqNtW90d0
同じようなもので、livedoorのブログのIDと同じものをFC2に作成し
内容の一部をコピペして本人を装った罠ブログが存在します

アドレス等は(元のブログ主の)晒しに該当すると思われるので
少々危険ですが割愛させていただきます
ちなみに、Googleの検索では1件目に本人、2件目に罠がかかりました

Livedoorなど、他のブログを利用されている方は罠に使用されていないか
ブログ名で検索をかけ、FC2のブログにコピーされていないか確認をお願いいたします
FC2のブログを利用されている方は、むやみに足跡の追跡をしない方が良いと思います

652 名前:(^ー^*)ノ〜さん 投稿日:08/05/06 04:24 ID:bqNtW90d0
元のFC2ブログ(個人を特定できる為割愛)
 → ttp://tinyurl■com/6722xv
 → ttp://tinyurl■com/preview.php?num=6722xv
  (このあたり不明)
 → ttp://www■articlelin■com/blog/
 → ttp://www■panslog■net/wiki/index1.htm
 → ttp://www■teamerblog■com/wiki/cer.exe

McAfeeのウイルス情報だとPWS-Mmorpg.gen
> PWS-MmorpgはBorland Delphiで作成され、人気のあるオンラインMMORPGゲームの
> パスワード情報を盗み出そうとするトロイの木馬です。
> 盗み出した情報をリモートWebサイトにポストする機能も組み込まれています。

653 名前:(^ー^*)ノ〜さん 投稿日:08/05/07 18:30 ID:Qu7j+rKw0
http://yaplog■jp/■■■■0327/
っていうアドレスがmixiに張られてて
クリックしちゃったんだけどヤプログだったら別に垢ハックじゃなくて大丈夫?
中身もblogだったんだけど

654 名前:(^ー^*)ノ〜さん 投稿日:08/05/07 18:49 ID:CcUdl1fw0
>653
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません



最低限テンプレに沿ってくれないとどうしようもない。
その書き方じゃエスパーじゃない限り回答できない。

1つだけ言うなら「○○だから安全」なんて事は無い。
大手のサイトやアンチウィルスメーカーのサイトがクラックされて
罠を仕込まれた事だって過去何回もある。

655 名前:(^ー^*)ノ〜さん 投稿日:08/05/07 19:00 ID:HH1fEY7Q0
3倍期間でネカフェ利用した奴でハックくらった奴いないか?

656 名前:(^ー^*)ノ〜さん 投稿日:08/05/07 20:11 ID:3plA0eJw0
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/

657 名前:(^ー^*)ノ〜さん 投稿日:08/05/07 20:23 ID:5T3xSVhe0
Nice Bot.

658 名前:(^ー^*)ノ〜さん 投稿日:08/05/08 06:53 ID:oP+tEemS0
ヤプログでもアカハックブログあるみたいですよー
どこどこだから大丈夫とか100%の安全の保障はないので
自己責任で確認しましょう
ていうか確認できる知恵を身につけましょう

659 名前:(^ー^*)ノ〜さん 投稿日:08/05/08 12:42 ID:ohALz1Ob0
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/

660 名前:(^ー^*)ノ〜さん 投稿日:08/05/08 12:51 ID:D8hD0YGg0
>>659
>>657

661 名前:(^ー^*)ノ〜さん 投稿日:08/05/09 22:16 ID:Q2i2302W0
mixiのコメント

|【RO】HiPriがペアでDL【HiPri】

|またDLなんだ、すまない。音声ノイズやらアイテムウィンドやらしょんぼりな動画です。
|しかもまたエコノミー涙目だけど我慢してね。
http://www■sakerver■com/~iroha-do/RO/ROMOVIE/theme-10004812497■zip

zipの中身:Trojan.Win32.Inject.aix

662 名前:(^ー^*)ノ〜さん 投稿日:08/05/11 13:00 ID:G/+dAriG0
>質問スレから誘導されてきた人

まずは、自宅からパスワード変更して、それ以上の被害を防ぐ事。

あとは、公式のここを見るんだ。他の人の事例は、セキュスレの過去ログを読むといいよ。
http://www.ragnarokonline.jp/playguide/hacking/

663 名前:(^ー^*)ノ〜さん 投稿日:08/05/11 16:08 ID:UbpVhb280
>質問スレから誘導されてきた人

できればネカフェ関連スレにそのネットカフェの店名を教えて欲しいです

公認ネットカフェ関連スレッド3【ネカフェ】
http://enif.mmobbs.com/test/read.cgi/livero/1210178607/

でも今はそれどころじゃないかもしれないかな・・

664 名前:(^ー^*)ノ〜さん 投稿日:08/05/11 18:14 ID:hZejAlzh0
どんなリンクを踏む時もハックか?と疑っておけ
「戦場では慎重くらいが丁度いいンだよ」とダークナイトの人が言ってた

665 名前:(^ー^*)ノ〜さん 投稿日:08/05/11 18:59 ID:UGG7B0Bc0
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/

666 名前:(^ー^*)ノ〜さん 投稿日:08/05/11 22:53 ID:7DC1r+b40
>>665
>>657

667 名前:(^ー^*)ノ〜さん 投稿日:08/05/12 09:34 ID:9skvCatN0
このスレ見てる人は全員セキュリティ対策、質問・雑談スレ5の540以降を読みに行って欲しい。
スレの存続に関わる重要なことだ。

668 名前:(^ー^*)ノ〜さん 投稿日:08/05/13 06:38 ID:KCzxoALw0
Infected: Trojan program Trojan-PSW.Win32.WOW.arz C:\WINDOWS\system32\LoveFly.dll 36.5 KB

どこで踏んだかは今から探すがAVSが感知した

669 名前:(^ー^*)ノ〜さん 投稿日:08/05/13 14:08 ID:3KMSeH9O0
ブログに見知らぬコメントがあって最初は放置してたんだけど
よく見るとURLが貼られていました

www■lyjpyx■com/boy/


怪しかったので一応消しておきましたがやはり垢ハックでしょうか?

670 名前:(^ー^*)ノ〜さん 投稿日:08/05/13 14:12 ID:/iHPOARE0
Domain name: lyjpyx■com

Registrant Contact:
  wuwei Network
  wei wu wuwei2556052@yahoo.cn
 (略)
  long yan Fujian 364000
  cn

671 名前:(^ー^*)ノ〜さん 投稿日:08/05/13 15:10 ID:9vNY4GfW0
>>669
うん。
物はRO・リネージュ・FF・mixiの4種複合アカハック。

672 名前:(^ー^*)ノ〜さん 投稿日:08/05/13 15:18 ID:5n8jgL9U0
>>669
でも、ここは、鑑定スレじゃないってことも覚えておこうね。

673 名前:(^ー^*)ノ〜さん 投稿日:08/05/13 15:54 ID:ryqnT8B10
新しくでたブログパーツって、
パーツ貼ってあるブログにランダム訪問なんだよね。
罠blogに貼られたら危なくない?

674 名前:(^ー^*)ノ〜さん 投稿日:08/05/13 16:29 ID:OLiH3suV0
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/

675 名前:(^ー^*)ノ〜さん 投稿日:08/05/13 21:28 ID:803LoA8v0
>>674
>>648

676 名前:(^ー^*)ノ〜さん 投稿日:08/05/15 21:17 ID:yfGu3Gcc0
誘導に見せかけた荒らしがまだいるんだな

677 名前:(^ー^*)ノ〜さん 投稿日:08/05/15 21:26 ID:lzwxq9FT0
ここ数ヶ月インジェクションされているURIを集めてみました
(上に行くほど新しい)。死活チェックはしていません。

www■adword71■com
www■wowgm2■cn
www■wow112■cn
www■wowgm1■cn
www■killwow1■cn
9i5t■cn
www■kisswow■com■cn
www■wowyeye■cn
www■ririwow■cn
www■caocaowow■cn
www■direct84■com
www■11910■net
computershello■cn
winzipices■cn
www■nihaorr1■com
www■aspder■com
www■nmidahena■com
www■414151■com
www■fccja■com
www■hellh■net
www■dda3■net
www■2117966■net
yl18■net
c■uc8010■com
ucmal■com
free■hostpinoy■info
xprmn4u■info
bbs■jueduizuan■com
free■edivid■info
www■z008■net
www■bluell■cn
www■pkck■cn
usuc■us
h28■8800■org
b15■3322■org

678 名前:まとめ臨時 ◆kJfhJwdLoM 投稿日:08/05/16 04:04 ID:W5gQDi0+0
情報ありがとうございます。
早速抜け落ちている部分を追加しました。

照合する際にFFXI(仮)というブログに行き着いたのですが、
FF関連も確認している方なのかな…とか。

リネージュ2関連やFF関連で
ここのようなアカウントハック対策の最前線スレをご存知であれば
そちらの方もチェックしてみたいので是非教えていただきたく。

679 名前:(^ー^*)ノ〜さん 投稿日:08/05/16 05:14 ID:yptqHu080
>>678
ネ実1(FFXI)
●● RMT業者の垢ハックが多発している件19 ●●
http://live27.2ch.net/test/read.cgi/ogame/1210116788/

リネ2に関しては、資料室が代表格になっているので、他にこれというべき情報は無いかもしれない。

680 名前:(^ー^*)ノ〜さん 投稿日:08/05/16 12:43 ID:YTXXOpnV0
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/

681 名前:(^ー^*)ノ〜さん 投稿日:08/05/16 18:50 ID:SiCTqLDm0
【  アドレス   】不明
【気付いた日時】 今日の14時ころ
【     OS    】Windows Vista
【使用ブラウザ 】IE7
【WindowsUpdateの有無】 自動更新
【 アンチウイルスソフト 】 NortonInternetSecurity2007、最新まで更新済み
【その他のSecurty対策 】 なし
【 ウイルススキャン結果】 カスペルスキーオンラインスキャンで発見
【スレログやテンプレを読んだか】 Yes
【hosts変更】
【PeerGuardian2導入】無
【説明】
パソコンは旦那と共有で使っています。
普段はノートンのスキャンをしていて、週末や多くブログ見た時だけカスペのスキャンしていました。
ノートンの方では反応しなかったのですがカスペの方で下の結果が出ました。

C:\Users\PC名\AppData\Local\Temp\symlcsv1.exe
Trojan-Clicker.Win32.Agent.aig

別のパソコンからパスの変更を終えて垢が無事なのは確認しました。
上のウィルスがROの垢ハックなのか知ってる人がいたら教えていただきたいです。
また削除してカスペのスキャンで感染がなくなってたらリカバリは必要ないでしょうか?

682 名前:(^ー^*)ノ〜さん 投稿日:08/05/16 19:05 ID:J6UupXqf0
セキュスレ向きな内容なので簡単に。

Trojan-Clicker は特定のサイトのカウンタを回すトロイ。
どちらかと言えばスパイウェア。
アフィ稼ぎみたいな奴で 基 本 的 にはハクとは無関係。

しかしハク機能を持ってるかどうかは不明だし、他にも未検出の
トロイがいるかもしれない。

検出出来たものは駆除出来ても、検出出来ない物は駆除出来ない。
駆除して100%無害であるとは誰も保証できない。

なので、検出結果を信用して駆除して安心するか、念には念を入れて
リカバリをするか、は好きな方を選べばいい。

683 名前:まとめ臨時 ◆kJfhJwdLoM 投稿日:08/05/16 19:39 ID:Ia5vrROC0
>>682さんが回答しているので補足?として。

カスペ検索で見つかった現物と該当名のファイルが同じかは判りませんが、
とりあえず単純にGoogle先生で検索を掛けると
ノートン2007で自動生成されるファイルのとのこと。
起動時に勝手に作るそうです。詳しくは上記URL参照。

●デジタルわかめ "ノートン2007が生成するsymlcsv1.exe"
ttp://blitzkrieg.paslog.jp/article/612531.html

Googleで検索する癖をつけるとよいかもですね。

684 名前:まとめ臨時 ◆kJfhJwdLoM 投稿日:08/05/16 19:56 ID:Ia5vrROC0
>>679
情報ありがとうございます。
あちらで危険ドメインを早期に取得できるようであれば拾ってきます。
リネージュ資料室さんはいつも手早く拾ってきていらっしゃるので、
どこかそのような場所があるのかなと気になっていたのです。

そしてリスト更新しました。→ http://sky.geocities.jp/ro_hp_add/

685 名前:(^ー^*)ノ〜さん 投稿日:08/05/16 20:48 ID:UfGuTnCaO
>>682>>683
レスありがとうございます。
後付けなので先に書けばよかったと激しく後悔したんですが
Trojan〜をgoogleで検索したんですが英語サイトのみでROに繋がらず
カスペのウィルス名検索(?)でもヒットしなかったので書き込ませていただきました。
本当にありがとうございました。

686 名前:(^ー^*)ノ〜さん 投稿日:08/05/17 16:38 ID:TpoRdpFA0
どうしよう
REDSTONEというネトゲのしたらばに書いてあったURLに
エロ単語が入ってたからつい入っちゃって・・・
で、書いてたURLと違うURLが表示されてたんだけど
これってよくあるパターン?
再インストールしないといけないかな・・・

687 名前:(^ー^*)ノ〜さん 投稿日:08/05/17 16:39 ID:TpoRdpFA0
あ、ここってラグナロク板のスレだったのか。スマソ

688 名前:(^ー^*)ノ〜さん 投稿日:08/05/17 18:29 ID:MMLxYGfy0
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/

689 名前:(^ー^*)ノ〜さん 投稿日:08/05/20 02:16 ID:QXU0ajFu0
スレ違いだったらすまん。

ttp://yaplog■jp/lmhtmy/
知り合いのブログのコメントから↑のブログに行ったんだが
AntiVirが何度も反応したんだ。
んで仲介してる(?)アドレスを調べたら、発信源は中国と出たんだ。
(こいつ→ttp://www■wacacop■net/wiki/index1■htm)
こいつは垢ハックウイルスを落とさせようとしてるサイトでいいんだろうか?

ブログを書いてる知り合いに注意を呼びかけたいと思うんで、どうなのかを知りたい。
無知ですまん。

690 名前:(^ー^*)ノ〜さん 投稿日:08/05/20 02:18 ID:HPYbAYFu0
まずは"wacacop"でこのスレを検索するところから始めようか

691 名前:(^ー^*)ノ〜さん 投稿日:08/05/20 02:42 ID:aF7yzAC+0
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/

692 名前:(^ー^*)ノ〜さん 投稿日:08/05/20 03:06 ID:NZCtfbYw0
>>689
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/606-
スレ違いではないけど南無

693 名前:(^ー^*)ノ〜さん 投稿日:08/05/20 10:12 ID:0wY639Cb0
タイトルとテンプレを見ても何をするためのスレなのかいまいち
分かりにくいから、スレ違いとかでてきちゃうんだろうなぁ。

694 名前:sage 投稿日:08/05/20 11:17 ID:z/vNdz/U0
【      気付いた日時          】5月19日
【不審なアドレスのクリックの有無 】No
【他人にID/Passを教えた事の有無】No
【他人が貴方のPCを使う可能性の有無】Yes
【    ツールの使用の有無      】No
【  ネットカフェの利用の有無    】Yes
【     OS    】WindowsVista HomeEdition
【使用ブラウザ 】IE
【WindowsUpdateの有無】No
【 アンチウイルスソフト 】Kaspersky Internet Security 7.0
【その他のSecurty対策 】No
【 ウイルススキャン結果】ウィルスは発見できませんでした。
【スレログやテンプレを読んだか】Yes
【hosts変更】No
【PeerGuardian2導入】No
【Webヘルプデスクへの報告】Yes
【説明】
19日ROにログインしようとするも、アトラクションパスワードが変更されており、ROにログインすることができませんでした。
アトラクションセンターにログインし、アトラクションパスワードを変更後、ROにログイン。
アイテムをチェックしたところ、約30種類程のアイテムとZenyが一部がハックされていました。
PCが1台しかない為、ウィルス感染したと思われるPCでROにログインしました。
その後ガンホーに通報し、友人に頼み友人のPCからガンホーID、パスワード、アトラクションパスワード、キャラクターパスワードの
変更をしてもらいました。
その後は1度もRO、アトラクションセンターにログインしておりません。
この後すぐにPCはメーカーに引き取って貰い、クリーンインストールしてもらう予定です。
スキャンしてもウィルスがみつからない為、クリーンインストールした後ROにログインしても大丈夫かどうかすごく不安です・・・。

695 名前:(^ー^*)ノ〜さん 投稿日:08/05/20 11:37 ID:ve66P2Iq0
>694
南無……

>【  ネットカフェの利用の有無    】Yes
>【 アンチウイルスソフト 】Kaspersky Internet Security 7.0
>【 ウイルススキャン結果】ウィルスは発見できませんでした。

ネットカフェからROやアトラクションセンターに入った事があるなら
そこで漏れた可能性が高い気がする。

知人にPASS変更してもらったと言うことなので、その知人のPCが安全なら
これ以上の被害は出ない。

>スキャンしてもウィルスがみつからない為、クリーンインストールした後
>ROにログインしても大丈夫かどうかすごく不安です・・・。

クリーンインストールをした時点で、PC内部からウィルスは(居たとしても)
消えてる。
別ドライブに残ってても発動はしないので、即ウィンドウズアップデートして
アンチウィルスソフト入れて、チェックすればOK。

それと
>【WindowsUpdateの有無】No
これは非常にマズイ。
自分のPCから感染したかどうかは定かじゃないとはいえ、WUは毎月必ずしないとダメ。

後、アカハックは立派な犯罪なので、警察に被害届を。
警察からじゃないと癌は動かない。

それとまとめ臨時の人の所(>9)に、警察への通報から救済までのレポが
載ってるので一読を。

696 名前:(^ー^*)ノ〜さん 投稿日:08/05/20 11:52 ID:gWrmPH5T0
>【他人が貴方のPCを使う可能性の有無】Yes
むしろここも問題では?…
ID・パスまで知られてるかどうかはわからないけど。

697 名前:(^ー^*)ノ〜さん 投稿日:08/05/20 11:54 ID:z/vNdz/U0
>695さん
丁寧に有難うございます。
書き忘れていたのですが、ネカフェから帰宅後、自宅のPCでパスワード変更を行いました。
ですので何かしらのウィルスに感染していると思われます・・・。
WindowsUpdateはよくわからなかったので今までやっていなかったのですが、今後はきちんとやろうと思います。
アンチウィルスソフトはカスペ以外にも入れておいた方が良いのでしょうか?

また、一、二度友人のPCからROにログインしたことがあるのですが、友人宅のブロバイダ名が分からなかった為、
通報の際に友人宅のブロバイダ名を入力しなかったのですが、友人宅に警察が捜査に行くことになる、ということはあるのでしょうか?

少々テンパっていて文章がおかしいかと思いますがすいません・・・。

698 名前:(^ー^*)ノ〜さん 投稿日:08/05/20 11:55 ID:iqeGDvW10
その他人が家族なのか、本当に他人なのかだな

699 名前:(^ー^*)ノ〜さん 投稿日:08/05/20 11:57 ID:z/vNdz/U0
追記です。
>696さん
家族とPCを兼用ですが、ROのIDパスワードは誰にも教えていないし、保存もしていないので
家族の誰かがROをやるということは不可能です。
自分以外の誰かが垢ハックを踏んでしまっていたらそれまでですが・・・。

700 名前:(^ー^*)ノ〜さん 投稿日:08/05/20 12:07 ID:0wY639Cb0
GungHo-IDとpassが割れたらゲームアカウントのセキュリティは皆無です。
どの場面でそれを入力する機会があったか思い出してください。

701 名前:(^ー^*)ノ〜さん 投稿日:08/05/20 12:08 ID:ve66P2Iq0
ちょいと情報整理

A)ネカフェ利用時の状況
  1.ROをプレイ
  2.アトラクションセンターもログイン
  3.パスが絡むものは何もなし

B)帰宅後のパス変更について
  1.ROのパスを変更
  2.アトラクションセンターのパスも変更
  3.その他ネカフェで使った他のパスワードも変更

C)友人宅でROを遊んだ時の状況
  1.アンチウィルス対策は万全
  2.セキュリティには無頓着で何もしてない

D)パス変更を頼んだ友人は
  1.Cと同じ人
  2.Cとは別人で、セキュリティ万全
  3.Cとは別人で、セキュリティには無頓着

>アンチウィルスソフトはカスペ以外にも入れておいた方が良いのでしょうか?
複数入れると干渉して不安定になりがちなので、一度アンインストールしてから
別のを入れる、という形になる

念のため、パターンを更新して再度カスペでHDD全チェック。
次にカスペを消して、AVGあたりを入れて再度チェック、かな。

702 名前:694 投稿日:08/05/20 12:19 ID:z/vNdz/U0
返信ありがとうございます。
>A)ネカフェ利用時の状況
  >1.ROをプレイ
  >2.アトラクションセンターもログイン
  >3.パスが絡むものは何もなし

ネカフェからアトラクションセンターにログインし、パワーアップチケットの入力、1Dayチケットの入力をしました。


>B)帰宅後のパス変更について
  >1.ROのパスを変更
  >2.アトラクションセンターのパスも変更
  >3.その他ネカフェで使った他のパスワードも変更

ROにログインする為に必要なパスワードしか変更していませんでした。


>C)友人宅でROを遊んだ時の状況
  >1.アンチウィルス対策は万全
  >2.セキュリティには無頓着で何もしてない

ウィルスバスターが入っていたと思います。
バージョン等は覚えておりません。


>D)パス変更を頼んだ友人は
  >1.Cと同じ人
  >2.Cとは別人で、セキュリティ万全
  >3.Cとは別人で、セキュリティには無頓着

Cとは別の人です。
ただ、セキュリティソフトは何が入っているかわかりませんが、入っていたと思います。


>700さん
そうだったんですか・・・。
ネカフェから帰ってROログインに必要なパスワードしか変更していなかったのがいけなかったんですねorz

703 名前:(^ー^*)ノ〜さん 投稿日:08/05/20 13:50 ID:XD2h5pY20
>>694,702
ネカフェからの利用履歴があるみたいだけど、LiveROのネカフェスレで推奨されていた事前チェックはどの程度行っていたかな。
具体的には、利用開始時に手動でのシャットダウン、環境復元ソフトの正常動作確認、何らかのウイルススキャン、利用終了時の
手動シャットダウンなど。

それと、利用時点でのレシートが手元に残っているならば、それも今後の追跡調査で必要になるかもしれない。
何らかの「仕込み」が行われていた場合に、状況特定に繋がる可能性がある事に加え、自宅以外からの接続点を明確に限定する
材料にもなるから。

704 名前:(^ー^*)ノ〜さん 投稿日:08/05/20 14:19 ID:ve66P2Iq0
>702
感染源がネカフェと断定された訳じゃない。
あくまでも状況分析のために聞いただけ。

カスペで再チェック+他のアンチウィルスソフトでもチェックして、トロイが見つかれば
自PCが感染源だった、で終わる話。
しかし、もし見つからなかった場合は他で抜かれたことになる。

つまり、ROを遊んだ友人のPC、又はネカフェが感染してる可能性が高いという事に。

705 名前:694 投稿日:08/05/20 14:40 ID:z/vNdz/U0
返信ありがとうございます。
>703さん
環境復元ソフトの正常動作確認、利用終了時の手動シャットダウンは行いました。
ウイルススキャンは時間がかかりすぎてしまう為、行いませんでした。
(環境復元ソフトが正常に動作していた為、大丈夫だろうと思いました。)
利用時のレシートは手元に残っておりません。

>704さん
カスペで再チェックをしましたが、ウイルスは発見できませんでした。
ROを遊んだ友人のPCですが、その友人も一緒にROをプレイしているのですが、被害はないそうです。

また、今分かった事なのですが、2〜3か月程前に私がログインできない状況なのに、
ROに一瞬ログインしたことが何度かある、という話をその友人から聞きました。
当初はネカフェにでも行ってROをしているのかな?と思っていたらしいです。
ですので、もしかしたら結構前にどこかでウイルスに感染している可能性があるかと思います・・・。

警察の方にはきちんと通報し、調査依頼を出すことにします。
PCのクリーンインストールが終わり、手元に戻ってきたらガンホーへの通報に対する返信を確認し、
サイバー犯罪対策センターに電話してみようと思います。

706 名前:694 投稿日:08/05/20 15:47 ID:z/vNdz/U0
追記です。
avast!でスキャンをかけてみましたが、やはりウイルスは発見できませんでした。
自宅のPCではなくネカフェでガンホーID、パスワードを抜かれたんですかね・・・?
とにかくヨドバシに行ってPCリカバリーをお願いしてきます。

707 名前:(^ー^*)ノ〜さん 投稿日:08/05/20 16:23 ID:ve66P2Iq0
・以前、どこかでパスを抜かれた
・その後数ヶ月泳がされてた
・どうやら自分のPCからの流出ではなさそう
という事なら

>ROを遊んだ友人のPCですが、その友人も一緒にROをプレイしているのですが、被害はないそうです。

その友人のPCも疑う対象になる。
今も泳がされてるだけ、って可能性が無きにしも非ずなので、念のためにその友人にも
HDDをフルチェックしてもらい、確実に安全と言える環境からパスを変更してもらった方が
いいと思う。

もしその友人のPCも綺麗だったら、ネットカフェが原因って事になるだろうけど
利用してる店が複数あるなら厄介な事に。

708 名前:694 投稿日:08/05/20 16:26 ID:z/vNdz/U0
返信ありがとうございます。
>・以前、どこかでパスを抜かれた
>・その後数ヶ月泳がされてた
>・どうやら自分のPCからの流出ではなさそう

多分この状況だと思います。
友人のPCもウイルスチェックしてもらいます。
ネカフェは3件の店でROにログインしたことがあります。

709 名前:(^ー^*)ノ〜さん 投稿日:08/05/20 17:56 ID:YkSEbAsH0
これを機に再インストールくらい自分でできるようになろうぜ

710 名前:(^ー^*)ノ〜さん 投稿日:08/05/21 21:31 ID:Bzh5Pj//0
中3、高1男子がオンラインゲームに不正アクセス
ttp://sankei.jp.msn.com/affairs/crime/080521/crm0805212011027-n1.htm

711 名前:(^ー^*)ノ〜さん 投稿日:08/05/21 22:59 ID:AxAm/g4q0
被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/

712 名前:(^ー^*)ノ〜さん 投稿日:08/05/22 01:32 ID:n52tVv5g0
>>711
>>600
>>609
>>610
>>614
>>631
>>648
>>657

713 名前:(^ー^*)ノ〜さん 投稿日:08/05/22 01:41 ID:5BqqbrRQ0
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/540-566

714 名前:(^ー^*)ノ〜さん 投稿日:08/05/22 10:00 ID:7Itg5rj70
朝からごめん、助けてほしい……

【  アドレス   】www3■atwiki■jp/furin/ だと思う……
【気付いた日時】 5月22日09時前後
【     OS    】 XPPro SP2
【使用ブラウザ 】 IE6.0
【WindowsUpdateの有無】 有 自動更新任せ
【 アンチウイルスソフト 】 Avast!4.7?
【その他のSecurty対策 】 SpyBot+ルーター
【 ウイルススキャン結果】
 カスペオンラインスキャンで
C:\Program Files\Hudson\MasterOfEpic\cgMoEDrv.dll

Backdoor.Win32.Rbot.psr
に感染しているらしい。
【スレログやテンプレを読んだか】 YES
【hosts変更】
【PeerGuardian2導入】無
【説明】
上記のURLの更新一覧から、最新更新分(5月20日洗面鬼)をクリックした所、
本文が何も書いていないページが出現した。
更新忘れかと放置したものの、動作がやけに重いので、不安になってチェックをかけてみたら、ROとは違うMMOのファイルがウィルスとして出てきた。
(上のMOEはかれこれ半年以上触ってもいない)
毎晩寝る前にスキャンをしていて、昨日の時点では出ていなかったので、今日中に踏んだっぽい。

上の結果を見てすぐに、携帯のPCサイトビューアーからID・アカウントパスを変更したんだが、
Backdoorというウィルスの種類はあっても、Backdoor.Win32.Rbot.psrなんてウィルスはぐぐっても出てこないんだorz

垢ハックなのかも不明だけど、感染ファイルが格納されている\Hudsonごと削除すれば問題ないのかな(´・ω・`)

715 名前:(^ー^*)ノ〜さん 投稿日:08/05/22 10:12 ID:L7LozTmd0
cgMoEDrv.dll でググる

716 名前:714 投稿日:08/05/22 11:46 ID:7Itg5rj70
>>715
ググってきた。

>409 :名無しオンライン:2007/12/27(木) 21:48:22.42 ID:F68edPSR
>Openβ時代からcgMoEDrv.dll の挙動にはいろいろ問題が報告されているが
>それは仕様がムチャクチャだからなだけで別にトロイじゃないって事

誤検出っぽいかな?
同じソフト入れてるもう一台の方は、バスターなんだが、そっちじゃ引っかからなかったし。
Avast!じゃなくて、今まで検出しなかったカスペで引っかかったって点が引っかかるけど、
幾分か気が楽になったよアリガトウ(´・ω・`)ノシ仕事行ってくる。

717 名前:(^ー^*)ノ〜さん 投稿日:08/05/22 11:53 ID:FQ7kOWzm0
ところで、垢ハック系のウィルス・トロイは、
キーロガーみたいな感じで情報を抜かれるのですか?
それとも、PCの情報ごと全て抜くみたいな感じですか?

718 名前:(^ー^*)ノ〜さん 投稿日:08/05/22 12:03 ID:leZUNaZJ0
>>717
前者は知られている。後者は知られていないが今後ないとは言い切れない。
でも、漠然とした質問はセキュスレが担当なので、次回からはセキュスレをご利用ください。

719 名前:(^ー^*)ノ〜さん 投稿日:08/05/22 13:01 ID:FQ7kOWzm0
>>717
thx

そしてすみませんです。

720 名前:(^ー^*)ノ〜さん 投稿日:08/05/22 13:01 ID:FQ7kOWzm0
>>718だった。orz

721 名前:(^ー^*)ノ〜さん 投稿日:08/05/22 15:36 ID:Js/ltnHJ0
>714
誤検出っぽいが、VirusTotalに投げてみるべし。

722 名前:(^ー^*)ノ〜さん 投稿日:08/05/22 16:50 ID:aMvBXJ4J0
MoEの板・スレで聞けよ…。

723 名前:(^ー^*)ノ〜さん 投稿日:08/05/22 18:23 ID:280h973c0
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/

724 名前:(^ー^*)ノ〜さん 投稿日:08/05/22 20:50 ID:aMvBXJ4J0
Nice bot.

725 名前:(^ー^*)ノ〜さん 投稿日:08/05/22 21:30 ID:5BqqbrRQ0
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/540-566

726 名前:(^ー^*)ノ〜さん 投稿日:08/05/23 20:49 ID:vi9p8Zrz0
>>714 >>716
MoE公式サイトにて、カスペルスキーでの誤検知であると正式に発表が出たようです。

727 名前:(^ー^*)ノ〜さん 投稿日:08/05/25 01:13 ID:aPWCWA060
>>661に似たようなリンクがうちのmixiにも貼られてて何を血迷ったかアドレス削って
http://www■sakerver■com/を踏んでしまったんですが・・・アウトですか?

真っ赤な背景でアドオンがどうたらって出てきました・・・

728 名前:(^ー^*)ノ〜さん 投稿日:08/05/25 01:25 ID:09zaY6VG0
>>727
それは既知のアカハックアドレスっすね。アウト。
ブロックされたか、なにかがすり抜けたかは不明。

対処方法は、OS入れなおし。(自己責任でセキュリティソフトを過信してもいいがお勧めできない)

729 名前:(^ー^*)ノ〜さん 投稿日:08/05/25 19:19 ID:aPWCWA060
アウトですか・・・ありがとうございます。

ウイルススキャンしたところ、VBS_PSYME.BDGというやつがみつかりました。
おそらくIEのキャッシュかな?
心配なのでバックアップをとってクリーンインストールをしようと思います。

730 名前:(^ー^*)ノ〜さん 投稿日:08/05/26 01:10 ID:4IZFGe9YO
>>729
ざまぁwww

731 名前:(^ー^*)ノ〜さん 投稿日:08/05/26 01:52 ID:NdcR0UJD0
http://world2001■blog39■fc2■com/

思いっきり踏んだんだけど、ここ大丈夫じゃないよね?

732 名前:(^ー^*)ノ〜さん 投稿日:08/05/26 01:57 ID:JRUdJg340
>>4

733 名前:(^ー^*)ノ〜さん 投稿日:08/05/26 03:10 ID:NZMnjggp0
>>1

734 名前:(^ー^*)ノ〜さん 投稿日:08/05/26 05:15 ID:2EzGD5rL0
なんかうちのBlogに来てたんで報告しておきます。

ttp://www■yaplogjp■com/Blog/

"ro blog 2008"というキーワード検索でたどり着いた、日本のホストからの接続なので
こちらも一つ一つ禁止語句設定していくしかないというイタチゴッコです

735 名前:(^ー^*)ノ〜さん 投稿日:08/05/26 07:54 ID:xCWl1vcj0
>>734
同様に情報提供として…検索サイトから「武器 2008/05」というようなのも定期的に来る。

736 名前:(^ー^*)ノ〜さん 投稿日:08/05/26 09:49 ID:A3frDjA80
>731
セキュスレ506から頻繁に出てるハクアドレス。
罠に引っかかってるかどうかは、エスパーじゃないので判らん。


>734
yaplogjp
-->www■yaplogjp■com/Blog/jp3■exe

VBScriptによる、いつものパターン。
今、チェックできる環境が無いので、検体チェックはしてません。

737 名前:(^ー^*)ノ〜さん 投稿日:08/05/26 11:24 ID:t6VyPnlZ0
>>736
5/25時点のログ。
VirusTotal: analisis/26e9108175a5e9ee456e4da0ca8a6532

738 名前:(^ー^*)ノ〜さん 投稿日:08/05/26 11:33 ID:ai2zBodt0
そろそろ blog の類に、逆引きしたIPの所有国が中国/朝鮮だった場合は
エラーも何も出さないけど書き込みを拒否する、みたいな仕組がほしいねぇ。

739 名前:(^ー^*)ノ〜さん 投稿日:08/05/27 03:13 ID:EX18CBoP0
>>734のアドレスなんですが、ソースチェッカーオンラインでチェックしても
安全度100%と表示されてしまうので(ソースを見れば明らかな感はあるんですが)
仮に、チェッカーに対し全信頼を置かれている方やソースが読めない方がもし居られましたら
注意喚起をしてあげてください。

# ちなみにaguseでも全セーフと表示されてしまいます。

740 名前:(^ー^*)ノ〜さん 投稿日:08/05/27 09:09 ID:SgXz54Qv0
【 アドレス 】www■kyu9■net/cat125
【気付いた日時】 5月27日8:30位
【     OS    】 winXPSP2
【使用ブラウザ 】 IE7 だと思います・・・
【WindowsUpdateの有無】 自動更新になっています
【 アンチウイルスソフト 】 ウィルスバスター2008
【その他のSecurty対策 】 ないです
【 ウイルススキャン結果】 今カスペルで検索中です
【スレログやテンプレを読んだか】 読みました
【hosts変更】無いです
【PeerGuardian2導入】無いです
【説明】
病気の症状を調べようとヤフーで検索していてクリックしたら真っ白いページが出るだけで何も表示されなかったので心配に・・・
バスターは特に何も動かなかったです。
ROとは何も関係ないのですが、垢ハックなのでしょうか・・・
今は別のPCで書き込んでいます。
クリーンインストールしたほうがいいのでしょうか・・・?

宜しくお願い致します><

741 名前:(^ー^*)ノ〜さん 投稿日:08/05/27 09:27 ID:w+miYmnQ0
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

742 名前:(^ー^*)ノ〜さん 投稿日:08/05/27 09:39 ID:jJeSyX2p0
>>740
「病気の症状に関する用語集」。アカハック関係無い。
Safari3.1、Firefox3RC1、Opera9.5Betaでは表示できるが
IE7では真っ白。CSSかHTMLがどこか間違っているんだろう
(実装がクソなIE6でしか確認していないなど)。
今後鑑定依頼は他所でやるように。

743 名前:(^ー^*)ノ〜さん 投稿日:08/05/27 10:27 ID:kaGJwkDL0
>>742
IE6でも表示できません。憶測で余計なことを書くのは如何なものかと。
最後の行については同意。

744 名前:(^ー^*)ノ〜さん 投稿日:08/05/27 10:32 ID:WVEPQ9vd0
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/

745 名前:(^ー^*)ノ〜さん 投稿日:08/05/27 11:33 ID:8+DLahm20
またアレか。日本語文字コードの自動判別失敗。

746 名前:(^ー^*)ノ〜さん 投稿日:08/05/27 13:15 ID:vbnxctW30
>>6
>・IEの使用を止め、他のブラウザに乗り換える(Firefox、Opera)

747 名前:(^ー^*)ノ〜さん 投稿日:08/05/29 00:08 ID:AktTSB9K0
【  アドレス   】http://softa■softkills■net/soft1■exe
          その他類似アドレス多数
【気付いた日時】 本日19時半頃
【     OS    】 WinXP SP2
【使用ブラウザ 】 Sleipnir 2.7.1
【WindowsUpdateの有無】 自動更新有、最新Verの模様
【 アンチウイルスソフト 】 NOD32 バージョン3137
【その他のSecurty対策 】 Spybot S&D
【 ウイルススキャン結果】 NOD32のIMONとAMONで『Win32/PSW.OnLineGames.NWBの亜種』、『Win32/Small.NDW』を検出
                 カスペルスキーオンラインスキャン(20時頃)に『Trojan-Downloader.Win32.Small.wga』と『Trojan.Win32.Agent.nbl』を検出
                 ※NOD32の隔離フォルダから『Trojan.Win32.Agent.nbj』と『Trojan-PSW.Win32.OnLineGames.ajss』と『Trojan-PSW.Win32.OnLineGames.ajsw』を検出
【スレログやテンプレを読んだか】 今から読みます
【hosts変更】 無
【PeerGuardian2導入】 有
【説明】 どこのサイトからこのURLを踏んだのかは不明だがRO関係のサイトは見ていないときに検出されました
「orz.exe」というプロセスがLocalSettingsフォルダ内に作成され、どっかに接続しようとしていたのも確認。削除済み
スタートアップ書き換えなし、全ファイル削除後NOD32でウィルス検出なし
手動駆除活動後、orz.exeや接続しようとするプロセス、怪しいプロセスの出現なし
ROには踏んでからまだ未ログイン、パスワード変更済み

大丈夫だとは思うけど万全を期してクリーンインスコをしたい
バックアップというのはどうやるもの?欲しいデータをDVDに写していくだけ?

748 名前:(^ー^*)ノ〜さん 投稿日:08/05/29 00:11 ID:PmD70TAe0
欲しい物というか自分で必要だと思う物
辞書なりお気に入りなりフォントなり、各種設定とか
そこら辺は個人で違ってくるから調べてみて

749 名前:(^ー^*)ノ〜さん 投稿日:08/05/29 00:13 ID:AktTSB9K0
追記

もちろんexeなんてつくアドレスをホイホイ踏むわけもなく、どこかからの自動転送で送られてしまったと思われます
その自動転送URLはわかりません
一番重要なところなのにすいません

750 名前:(^ー^*)ノ〜さん 投稿日:08/05/29 00:46 ID:SGc4kIq00
>>747
どこかのインジェクションされたサイトを踏み、そこのscript(あるいはiframe)から
君の使っているアンチウイルスで検知できないexeが実行された。
んでそのexeはダウンローダで、別なサイトからダウンロードリストを取得して
片っ端から拾って30匹ほど実行した。
xiaobai01■net/update.txt
でググってみてね(■はピリオドで)。

751 名前:(^ー^*)ノ〜さん 投稿日:08/06/01 18:35 ID:WqzubEki0
ゆずソフトのサイト改竄のってROは大丈夫?
>>1リネージュ資料室見るとリネージュ関連ウィルスで載ってるけど

752 名前:(^ー^*)ノ〜さん 投稿日:08/06/01 18:39 ID:GMrXX9rS0
なにがどう大丈夫なんだか…

自分がやってないゲームのアカウントだけが対象ならいいかとか
ヌルい考えはやめたほうがいい。

753 名前:(^ー^*)ノ〜さん 投稿日:08/06/01 18:41 ID:yJ2JczoG0
【  アドレス   】http://www■berseek■com/wiki/cinema/videonews/fwFN5bSBp8■zip
【気付いた日時】 本日17時半頃(踏んだ瞬間)
【     OS    】 WinXP SP2
【使用ブラウザ 】 FireFox (2.0.0.14)
【WindowsUpdateの有無】 自動更新になってます
【 アンチウイルスソフト 】 Mcfee
【その他のSecurty対策 】 なしです
【 ウイルススキャン結果】 現在カスペルスキャン中です
【スレログやテンプレを読んだか】 今から読みます
【hosts変更】なしです
【PeerGuardian2導入】なしです
【説明】
mixiのRO関連コミュで踏みました。
zip直置き、DL確認画面でやばいと思いキャンセルしました。
捨て垢じゃないようなのですが、不安です・・・

別PCからアトラクションIDパスは変更済みです。
クリーンインストールしたほうがいいのでしょうか・・・

754 名前:(^ー^*)ノ〜さん 投稿日:08/06/01 18:59 ID:WqzubEki0
そうは言ってもどうしたらいいのか分からん・・・
janeのビューアで
http://www■tongji123■org/4561■swf
http://dm■htifns■com■cn/4561■swf
http://dm■htifns■com■cn/4562■swf
こんだけ開いただけなんだけど

755 名前:(^ー^*)ノ〜さん 投稿日:08/06/01 18:59 ID:pPzkP7gc0
>>753
zipのダウンロード中で解凍すらしてないならセーフ。
気になるならクリーンインストールコースどうぞ〜

756 名前:(^ー^*)ノ〜さん 投稿日:08/06/01 19:00 ID:pPzkP7gc0
>>754
OSから入れなおしGO〜

757 名前:(^ー^*)ノ〜さん 投稿日:08/06/01 19:02 ID:1VZHgfvC0
どうしたらいいのかわからなかったらまずスレのテンプレ熟読ぐらいしてくれ

758 名前:(^ー^*)ノ〜さん 投稿日:08/06/01 19:08 ID:uGD8CtCu0
今mixiで「RO」と「カムバックキャンペーン」という単語を入れた日記を書くと、
もれなくマルウェア・ZIPのアドレスを書いたコメントをつけられる模様。
気をつけて−。

759 名前:(^ー^*)ノ〜さん 投稿日:08/06/01 19:16 ID:JVtmz9qh0
>754
セキュスレ見た?

そのswfはゆずソフトに仕掛けられたのと同一アドレス。
有志が調査してカスペに投げてくれてくれたので
そのうち対応する(と回答済み)

発動したかどうかはテンプレに沿って無いので何とも。
最悪OS再インストールだな


つーか、慌ててるのは分かるが、テンプレに沿ってくれ
回答する方も情報不足で何とも言えん

760 名前:(^ー^*)ノ〜さん 投稿日:08/06/01 19:44 ID:WqzubEki0
>>759
今見てきました

janeでゆずソフトがハッキングされたってスレでビューアでURL全部開いて>>754です
テンプレ守らずすみません

【  アドレス   】 http://www■tongji123■org/4561■swf
【  アドレス   】 http://dm■htifns■com■cn/4561■swf
【  アドレス   】 http://dm■htifns■com■cn/4562■swf
【気付いた日時】 今日
【     OS    】 WinXP SP2
【使用ブラウザ 】 JaneDoeViewα080508
【WindowsUpdateの有無】 有、最新
【 アンチウイルスソフト 】 Avast4.8
【その他のSecurty対策 】 Spybot S&D
【 ウイルススキャン結果】 スキャン中
【スレログやテンプレを読んだか】 Yes
【hosts変更】 有[最終更新は去年、問題のアドレスの記述は無]
【PeerGuardian2導入】 無
【説明】 リネージュ資料室より
「ゆずソフト」という会社(PC用18禁ソフトのメーカーだそうです)のサイトが改竄され、ウィルスが仕込まれています。 6月1日 17:00時点では、まだ危険なままの状態です。
仕込まれたウィルスは、RealPlayerの脆弱性や、先日お知らせしたFlashの脆弱性などを悪用してインストールしようとされ、 OSだけでなくプラグインもすべて最新の状態になっていないと感染します。

現状で把握しているリネージュ関連ウィルスファイル
http://www■tongji123■org/4561■swf 200 2008/06/01 16:43:01 817 application/x-shockwave-flash
http://dm■htifns■com■cn/4561■swf 200 2008/06/01 16:43:01 817 application/x-shockwave-flash
http://dm■htifns■com■cn/4562■swf 200 2008/06/01 16:43:01 729 application/x-shockwave-flash

761 名前:(^ー^*)ノ〜さん 投稿日:08/06/01 20:28 ID:42OwCWSm0
>753
fwFN5bSBp8■zip (実際は拡張子をzipに替えただけのrarファイル)
---->fwFN5bSBp8■exe(Trojan.Win32.Inject.ceo)

>755の言う通りかな。


>760
4561と4562のswfファイルは現時点でもカスペのパターンに入ってない。
(カスペの傾向からして、配布まであと数時間かかると予想)

janeは使ってないので知らんが、url開いたのなら、Flashのプラグインを
最新にしてないと確実にアウトだろうね。

というか、危険なスレと判ってたら開いたらダメだろ……

762 名前:(^ー^*)ノ〜さん 投稿日:08/06/01 23:20 ID:42OwCWSm0
一応転載
--------------------
>799 名前:788 MAIL:sage 投稿日:08/06/01 22:29 ID:t/Q2xJTn0
>先ほどチェックした所、PCのカスペで検出・削除した事を確認。
>VTでも検出された。
--------------------
念のため、踏んだ人はカスペのオンラインスキャンへGO

763 名前:(^ー^*)ノ〜さん 投稿日:08/06/02 07:12 ID:Y3/1rAiv0
カスペのオンラインスキャンで4561と4562のswfファイルのキャッシュが
Trojan-Downloader.SWF.Small.ax
Trojan-Downloader.SWF.Small.ay
で検出されたんだけどこれ削除しとけばOKかな?
他の不正プログラムをダウンロードする攻撃コードって書いてたけど
他には何も検出されなかったからダウンロードされなかったってこと?

764 名前:(^ー^*)ノ〜さん 投稿日:08/06/02 07:16 ID:v62fzaHG0
FlashPlayerが9.0.124なら実行されない。

765 名前:(^ー^*)ノ〜さん 投稿日:08/06/02 20:33 ID:canR36t90
Aviraも次のうpだてで対応のこと

> The file '4561.swf' has been determined to be 'MALWARE'. Our analysts named the threat EXP.Flash.lok.729. Detection will be added to our virus definition file (VDF) with one of the next updates.
> The file '4562.swf' has been determined to be 'MALWARE'. Our analysts named the threat EXP.Flash.lok.729. Detection will be added to our virus definition file (VDF) with one of the next updates.

766 名前:(^ー^*)ノ〜さん 投稿日:08/06/04 11:02 ID:hIMykLwX0
RO起動するとnProが作動してctfmon.exeがbackdoorだとか出るんだけどさ
ctfmon.exeって別に問題ないソフトでそれに偽造してるものがbackdoorらしいんだけど
nProは正規のものをウイルスだと断定してアラートしてんの?

767 名前:(^ー^*)ノ〜さん 投稿日:08/06/04 11:07 ID:zh6DIDAk0
うちのは出ないが。

768 名前:(^ー^*)ノ〜さん 投稿日:08/06/04 11:20 ID:/kTrGChq0
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/

769 名前:(^ー^*)ノ〜さん 投稿日:08/06/04 12:28 ID:PdV+w5ONO
Nice b0t.
てめえのカキコでスレ無駄に埋めてりゃ世話ねーや

770 名前:(^ー^*)ノ〜さん 投稿日:08/06/04 12:50 ID:wmuzvScr0
>>1

771 名前:(^ー^*)ノ〜さん 投稿日:08/06/04 21:56 ID:+9weN9mW0
なんか罠を踏んだ。
問題のURL:tp://moor■sugoize■com/

上記URLにアクセスした覚えは無いんで何処かに仕込まれた罠から更に飛んだんだと思うけど、キャッシュや履歴からは
特定できなかったのでリンクを仕掛けられた場所は不明;(他の履歴に全てにアクセスしてみたけれどPG2は無反応だった)

ぐぐってみると、元はゲーム攻略サイトか何かがドメイン失効した跡地らしい(?)。
aguseでサイトSSを見た所では、失効ドメインで表示されるような案内やら広告メニューが表示されるているだけ…かと
思いきや、上記URLへアクセスするとPG2が反応を示して 666■lyzh■com へのアクセスをブロックしたと出る。

この moor■sugoize■com/ のソースを火狐で見た所、0サイズのフレームが記述されていて
dummy■htmlからimage■phpを読み込むようになっている。
こっから先は素人だから分からないけどimage■phpから666■lyzh■comを読み込む仕掛けなのだと思う。
これは失効ドメイン跡地を中華が改竄して罠に仕立てたって事かな?

で、666■lyzh■comはリネ資料室のウィルス置場一覧に書かれている既知の罠ドメイン。
ROも関係ありそうな予感なので一応報告。

772 名前:(^ー^*)ノ〜さん 投稿日:08/06/04 22:03 ID:HZKVBrdm0
>>771
>dummy■htmlからimage■phpを読み込むようになっている。
こんなの無いぞ?

773 名前:(^ー^*)ノ〜さん 投稿日:08/06/04 22:08 ID:l0uRTOjQ0
ないな、普通に失効してるページぽいけど
あとは掘っていったけどDomainSearchBar.msiのDLくらいかねぇ

774 名前:(^ー^*)ノ〜さん 投稿日:08/06/04 22:17 ID:HZKVBrdm0
つーか、ページの作りがまんまドメイン業者の広告だな

775 名前:(^ー^*)ノ〜さん 投稿日:08/06/04 22:40 ID:+9weN9mW0
あれ?ホントだ。
踏んだのは2日のam3:57で、少なくとも昨日のpm4:34まではdummy.htmlとimage.phpもあったんだ。
(履歴洗ったりソース見ようとして再度pg2がブロックしたりしたので)
その時はこんな長いソースじゃなくてフレームタグで構成された短いソースだった。
管理者が気付いて削除したのかな…?

776 名前:(^ー^*)ノ〜さん 投稿日:08/06/05 01:54 ID:m267oBxh0
【  アドレス   】アドレス確認しにいったらもう編集されてた・・・どう確認すれば
【気付いた日時】踏んだのは午前1時ごろ
【     OS    】winXP SP2
【使用ブラウザ 】 IEです、バージョンはわかりません
【WindowsUpdateの有無】 自動更新
【 アンチウイルスソフト 】 ウイルスバスター2006(更新は5/30日)
【その他のSecurty対策 】特になし
【 ウイルススキャン結果】 Mell.なんとかっていうのがウイルスバスターで見つかりました
【スレログやテンプレを読んだか】 今読んでます
【hosts変更】無
【PeerGuardian2導入】無
【説明】
職別のwikiを見ていたのですが、ステタイプ説明文の途中の「武器カードについてはこちら」
みたいなのをクリックしてアドレスを特に確認もせずに飛んでしまいました
その飛んだ先は普通のblogでしたが、あまりに変だと思い相談
善意を装ったblogで気づかぬうちに・・・という可能性が・・・
どこかにfc2blogはヤバイみたいなことを書いてた気がしました
URLにもfc2があった記憶がかすかにあります・・・
OSを再インストしないとまずいでしょうか?とりあえずROはアンインスト
してみました

777 名前:(^ー^*)ノ〜さん 投稿日:08/06/05 02:06 ID:ZvGXuHon0
URLはわからずともどのWikiなのかわからないと確認しようもない
IEのバージョンは同ヘルプから確認可能
VB2006ってまだサポートしてるの?

とりあえず踏んでる臭いからカスペのオンラインスキャンで再確認してみて

778 名前:776 投稿日:08/06/05 02:17 ID:m267oBxh0
Wikiはハンターwikiです
IEのバージョンは6でした
VB2006はどうなんでしょう・・・最新の更新はしています

今からオンラインスキャンしてきます

779 名前:(^ー^*)ノ〜さん 投稿日:08/06/05 02:33 ID:2cRJ9EQq0
弓手Wikiの改竄部分を確認。粘着的に編集が行われている様子が見うけられる。

fsbahsygg■269g■net/
-> www■gawezuki■com/Blog/
--> www■skywebsv■com/Blog/index1■htm
www■bluewoon■com/Blog/k1■exe

PukiWikiであれば、ページヘッダ部分で「差分」や「バックアップ」と表記されている部分をクリックすれば、変更点の確認が出来る。
こんな感じで。
ttp://hunter.rowiki.jp/index.php?cmd=diff&page=%C9%F0%B4%EF.
ttp://hunter.rowiki.jp/index.php?cmd=backup&page=%C9%F0%B4%EF.&age=120&action=diff
この部分は、左側のMenuBarと違い、PukiWikiのスクリプト自体でハードコーディングされているので、ハッキング改竄の心配は少ない。
各種Wikiを利用する上で、覚えておいて損はない。

780 名前:(^ー^*)ノ〜さん 投稿日:08/06/05 02:54 ID:6+d/FfD30
アルケミテンプレサイトが同様なので報告に参りました
先ほどまでは普通に使えてたのでリアルタイム遭遇orz

アルケミスレテンプレサイト www.ragfun■net/alchemist/ にて
fsbahsygg■269g■net/へのリンクへ左のメニュー部分が全部変更されてました

781 名前:(^ー^*)ノ〜さん 投稿日:08/06/05 03:02 ID:XHLEMw600
殴りアコプリテンプレもトップ・メニューのリンクがfsbahsygg■269g■net/に書き換えられてたっぽい…とりあえずバックアップまで戻したけど。

782 名前:(^ー^*)ノ〜さん 投稿日:08/06/05 03:15 ID:RQ5aTWZi0
>779
VTの結果
index1■htm (18/32) ttp://www.virustotal.com/analisis/36e520fd57c79804994ae3f93f8210c1
k1■exe (19/32) ttp://www.virustotal.com/analisis/29a1557bbe11cc9055eea4427b8aea56

約6割が検出してるとはいえ、未検出のもあるので注意

783 名前:(^ー^*)ノ〜さん 投稿日:08/06/05 03:25 ID:RQ5aTWZi0
追記

>782現在で、両方スルーしてるのはAvast。
それ以外はどちらかを引っかけてるので、なんとかなるけど
Avast使いはご注意を。

それと gawezuki のIPは61■139■126■91で
BS Wikiさんのリストに寄れば

coconlovely■com
gamelaone■com
gawezuki■com
hotgome■net
okireng■com
2ch22■com
bluewoon■com
skywebsv■com
ff11bloglina■com
play0nlink■com
playhaogame■com
playncc■com

が同一IP、つまり>779のアドレスは全て一緒。

784 名前:(^ー^*)ノ〜さん 投稿日:08/06/05 03:30 ID:ZvGXuHon0
警告ageしておくかな、各Wikiはご注意

785 名前:(^ー^*)ノ〜さん 投稿日:08/06/05 03:57 ID:fJRalupV0
ハンタ、ケミ、クルセ、殴りプリ Wikiで改竄確認。
うちケミのところはIP規制入りました。

786 名前:776 投稿日:08/06/05 03:59 ID:m267oBxh0
いまさらなんですが、オンラインスキャンはしないほうがいいと
FAQに書いてました・・・抜いたほうがいいですよね
手遅れかな・・・orz

787 名前:(^ー^*)ノ〜さん 投稿日:08/06/05 04:15 ID:6DAC/ucZ0
うわ、これだったのか。Firefoxなんですが
さっきリンカーwikiでスキルの欄を押したら、外部に接続しますけどいいですか?
みたいな文字と、その外部のアドレスが出てきた。アドレスにカーソル合わせるとポンプアップで
行き先の画像が出てきたんだが、これは垢ハックを喰らったことになるんでしょうか?

788 名前:(^ー^*)ノ〜さん 投稿日:08/06/05 04:24 ID:eOp2J/ZJ0
>>787

それは違う、最近ガンホーのサイトにも実装されたが
リンカーWikiの外に出ますけど良いですか?っていうクッションページ

789 名前:(^ー^*)ノ〜さん 投稿日:08/06/05 05:08 ID:Lm+ppeIg0
>787
ポップアップを表示させただけなら平気。リンク先が安全かどうかの参考にするためのプレビュー機能。

790 名前:(^ー^*)ノ〜さん 投稿日:08/06/05 09:07 ID:Y8m/2NTl0
>>782
特定の製品のことをあれこれ言いたくないんだけど、
avastは最近誤検知が目立つ割にはスカるね…。

791 名前:(^ー^*)ノ〜さん 投稿日:08/06/05 12:37 ID:Ej6AlMoUO
巡回先調べてみた
ローグ・モンク・忍者Wikiは異常な死

792 名前:(^ー^*)ノ〜さん 投稿日:08/06/05 12:49 ID:Toqel1OI0
その誤変換は誤解を招く。ぱっと見で、逆の状況かと思った。落ち着いて書き込んでホスィ

793 名前:(^ー^*)ノ〜さん 投稿日:08/06/05 15:31 ID:oyEeN5ty0
ぱっとみ異常があるようにみえた

794 名前:(^ー^*)ノ〜さん 投稿日:08/06/05 16:38 ID:+2z7XEce0
クルセスレにも有ったので報告
fsbahsygg■269g■net/に全て変更されてました

795 名前:(^ー^*)ノ〜さん 投稿日:08/06/05 16:48 ID:fJRalupV0
クルセWIKI、殴りプリWIKI、リンカーWIKIにまた湧き始めた。

796 名前:787 投稿日:08/06/05 17:07 ID:HmRZ3nkB0
>>788 >>789
そうだったんですか、どうもありがとうございます。
こんな便利な機能があったんですね

797 名前:(^ー^*)ノ〜さん 投稿日:08/06/05 17:13 ID:vopKwCZ90
業者怖いなぁ・・・
アoサoシoンoうぃき は大丈夫なんだろうか。怖くてみれない。
(MMOBBSで業者がキーワードに反応するそうなので念のため伏字しておく。)
WIKIのTOP踏んだくらいなら(WIKI内のリンクを踏まなければ)大丈夫なんでしょうか?

798 名前:(^ー^*)ノ〜さん 投稿日:08/06/05 17:37 ID:c3DHXmoIO
踏んだらOS入れ直しが基本だな

799 名前:(^ー^*)ノ〜さん 投稿日:08/06/05 17:50 ID:KpAUBQKk0
転送確認プラグインで止めれば大丈夫だよね?
それでもOS入れ直すの?

800 名前:(^ー^*)ノ〜さん 投稿日:08/06/05 18:37 ID:PIhxLf2E0
>>797
開いたページ(トップページ)に物(ウィルス)が仕込まれていなければその通り。
よくわかんないなら見ないのが一番賢い。

801 名前:(^ー^*)ノ〜さん 投稿日:08/06/05 18:43 ID:iLoCkhkk0
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/

802 名前:(^ー^*)ノ〜さん 投稿日:08/06/05 19:09 ID:9ZC/zZZF0
セキュスレと並行してるけど、この話題はここで続けても問題無いよ。

803 名前:(^ー^*)ノ〜さん 投稿日:08/06/05 19:50 ID:gO+jrK7I0
不覚にも垢ハクサイトをクリックしてしまった…(fsbahsygg■269g■net/)
avastで検索したら1件だけ有ってRootkitのみだったから出てきてない気がする
OS入れなおすべきか?

804 名前:(^ー^*)ノ〜さん 投稿日:08/06/05 20:10 ID:fJRalupV0
管理の甘い殴りプリWikiが集中砲火されてるな…。
秒刻みで改竄入ってるぞ…。

805 名前:(^ー^*)ノ〜さん 投稿日:08/06/05 20:10 ID:zSqlla/h0
ローグでも改変あったので注意

806 名前:(^ー^*)ノ〜さん 投稿日:08/06/05 20:35 ID:fJRalupV0
ツール改変っぽいな。
クルセ、殴りプリ、リンカWikiの同時改変確認。

807 名前:(^ー^*)ノ〜さん 投稿日:08/06/05 21:06 ID:fJRalupV0
もうだめだな…大本叩くか管理人がIPBANするかしないと収拾付かないわ。
とりあえず管理人ほぼ不在のクルセ、殴りプリ、リンカWikiは当分諦めた方がいいかも。

808 名前:(^ー^*)ノ〜さん 投稿日:08/06/05 21:30 ID:phv3ur0l0
すいません、ローグWikiを見ようとしたら
Fatal error: Call to undefined function area_pickup() in /virtual/mohige/public_html/lib/spam.php on line 599
という表示がでたのですが、これは垢ハックなのでしょうか?

809 名前:(^ー^*)ノ〜さん 投稿日:08/06/05 21:33 ID:9ZC/zZZF0
>>808
それはphpのエラーメッセージ。
サーバー側の設定ミスかファイル破損かは不明。

810 名前:(^ー^*)ノ〜さん 投稿日:08/06/05 21:35 ID:phv3ur0l0
>>809さん
ありがとうございました!

今後、このようなメッセージがでてもあせらないように勉強しようと
思います。

811 名前:S県七瀬 ◆/II.DEADh. 投稿日:08/06/05 22:14 ID:jUCPDArM0
>808
おそらくspam.php>新バージョン spam.ini.php>旧バージョン
の時に踏んじゃってエラー吐いたんだとおもう。
今はもう直ってるよ。

812 名前:(^ー^*)ノ〜さん 投稿日:08/06/05 23:07 ID:UuUFtxvp0
オヴァー今さっきリンカーwikiの対人のとこ見たばっかだ・・・
俺オワタ

813 名前:(^ー^*)ノ〜さん 投稿日:08/06/05 23:12 ID:9ZC/zZZF0
>>803
>>812

はい、テンプレ読んでから、OSの再インストールコース行ってらっしゃい。

814 名前:(^ー^*)ノ〜さん 投稿日:08/06/05 23:13 ID:Toqel1OI0
Wikiを見ただけで喰らうタイプじゃなくて、リンク改竄にて外部の
危険サイトに飛んだら喰らうって状態だと思うのだが>>812
落ち着け・・・?

そして>>1

815 名前:(^ー^*)ノ〜さん 投稿日:08/06/05 23:47 ID:RQ5aTWZi0
fsbahsygg■269g■netがファイル差し替えてた風味なので再チェック

fsbahsygg■269g■net
--->www■teamerblog■com/blog/
----->www■panslog■net/wiki/index1.htm
------->www■teamerblog■com/wiki/cer.exe

fsbahsygg 2/32 ttp://www.virustotal.com/analisis/0ecf87db56561661882c94aff0cdad51
AntiVir:Script.Infected.WebPage.Gen

teamerblog 13/32 ttp://www.virustotal.com/analisis/8371fd97e3507cf1462607bf07bcab4f
カスペ:Trojan-Clicker.HTML.IFrame.il

index1.htm 18/32 ttp://www.virustotal.com/analisis/b58672185315b7644062ddb595a5a633
カスペ:Trojan-Downloader.JS.Agent.brl

cer.exe 22/32 ttp://www.virustotal.com/analisis/94d922a15b8c08a4a0ad9911e79c0015
カスペ:Trojan.Win32.Inject.cbd

ファイルの差し替えを確認したのでチェックしたら、こんな感じに。
iframeの罠が仕込まれてるhtmlも検出するようになったらしい。

>803
踏んだ時間次第な気もするが、avastはteamerblogのやつで引っかけた感じなので
最悪、exeまで進んでるかも。
ただMS06-014の脆弱性だし、これに引っかかる人はかなりレアなんじゃないだろうか。

定番のカスペのオンラインスキャンした上で、安全策をとってOS入れ直すかどうか
考えればいいんじゃないかな。

816 名前:(^ー^*)ノ〜さん 投稿日:08/06/05 23:51 ID:fJRalupV0
リンカーWikiの管理人さんの応答がありました。現在対策中とのことです。

817 名前:(^ー^*)ノ〜さん 投稿日:08/06/06 00:41 ID:oUSUtpAt0
ここのROセキュリティWiki
見てハック感染とかもありえるの?

セキュリティとか書いてるのに;

818 名前:(^ー^*)ノ〜さん 投稿日:08/06/06 00:54 ID:OgLyARe/0
セキュリティ情報が書いてあるWikiであって、そのWikiや鯖自体が
セキュアな訳ではないので勘違いしないように

819 名前:(^ー^*)ノ〜さん 投稿日:08/06/06 01:00 ID:snbgn9Mr0
>>1

820 名前:(^ー^*)ノ〜さん 投稿日:08/06/06 01:14 ID:45hWg3390
ねんがんの PG を どうにゅうしたぞ!!

PG2βだが、色んなとこで紹介されてるのが6bに対してグーグル先生の検索だと6cが頭にくるのだがどっちも変わらないでおkかな。
別に日本語じゃなくても問題ないから6c入れたけど。

821 名前:(^ー^*)ノ〜さん 投稿日:08/06/06 01:15 ID:IQE1Ys5/0
>>820
>>801

822 名前:(^ー^*)ノ〜さん 投稿日:08/06/06 01:44 ID:4ir4MHD00
リンカーWiki対策終了。
クルセ、殴りプリWikiは依然被害を受けている状態。
(どっちのWikiの管理人もここしばらく動いた形跡無し…IP対策は絶望的か…?)

823 名前:(^ー^*)ノ〜さん 投稿日:08/06/06 02:12 ID:5NCvrwgh0
殴りプリWikiの管理人は、ディレクトリを遡ると判るけど、最近FEZからROに復帰した様子なのだが。
日記に示唆コメントを落としておいた方が良いのかね。

824 名前:(^ー^*)ノ〜さん 投稿日:08/06/06 02:25 ID:4ir4MHD00
とりあえず日記の方に書き込んできた。後は気付いてくれるかどうか…。

825 名前:(^ー^*)ノ〜さん 投稿日:08/06/06 02:27 ID:LcrM5Ned0
昨日クルセイダーWikiの外部リンク踏んだんだけど垢八苦だったんだね
ウィルススキャン(ウイルスバスター2007)してみたけど、見つからなかったな。
本当にハッキングされたのか?

826 名前:(^ー^*)ノ〜さん 投稿日:08/06/06 02:29 ID:4ir4MHD00
>>825
過去ログくらいみる癖くらいをつけような。

827 名前:(^ー^*)ノ〜さん 投稿日:08/06/06 03:10 ID:LcrM5Ned0
すみません、事故解決しました。
リアルタイム検索でブロックしてたっぽいです。
すみませんでした。

828 名前:(^ー^*)ノ〜さん 投稿日:08/06/08 14:43 ID:qAjWdUrd0
拳聖WIkiも改変されている模様。
NOD32がトロイ警告?をだしたんだが。

http://61■238■148■112:81■i115.swf
CVE-2007-0071 トロイ

リアルタイムでとめたっぽいけど怖い事この上なし。

829 名前:(^ー^*)ノ〜さん 投稿日:08/06/08 15:02 ID:rRm4M7/e0
あれだけ騒がれたのにFlashPlayer更新してないのか?

FlashPlayerのバージョンテスト
ttp://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm

FlashPlayer9.0.124
ttp://www.adobe.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash

830 名前:(^ー^*)ノ〜さん 投稿日:08/06/08 15:27 ID:8x3qfWo90
>828
何処のページ?それらしきものが見当たらないんだが…

831 名前:(^ー^*)ノ〜さん 投稿日:08/06/08 15:28 ID:rRm4M7/e0
i16.swf i28.swf i45.swf i47.swf i64.swf i115.swf
f16.swf f28.swf f45.swf f47.swf f64.swf f115.swf
(f64.swfは無し、残り全てKasperskyでExploit.SWF.Downloader.c)
i〜はActiveXコントロール用(IE)、
f〜はNetscapeプラグイン用(Firefox、Opera、Safari)。
数字はFlashPlayer9.0.〜のバージョン。
i115.swfならIE+FlashPlayer9.0.115用。
これはJavaScriptでブラウザとFlashPlayerの両方を調べて分岐するパターン。

他にJavaScriptでブラウザを調べ(例:IEなら4561.swf 他なら4562.swf)、
Flash内のActionScriptでFlashPlayerを調べて分岐するパターン、
JavaScriptでFlashPlayerを調べ、ActionScriptでブラウザを調べて分岐するパターン、
ActionScriptで両方調べるパターンなどもある。

832 名前:(^ー^*)ノ〜さん 投稿日:08/06/08 15:30 ID:c2ldaM/s0
>829
更新してても、怖いのは怖いだろ。
それに9.0.124でも感染したという話もあるから注意しろ、とニュースサイトでも出てた。
もし別の穴があって、それを使ってたら、と考えると、更新してるから安全、と過信するのは
危険じゃないか?
XP SP3のFlashの罠もあった事だし。


それとセキュスレで、今後のスレの方向性について話し合いをしてるので参考にされたし。

833 名前:(^ー^*)ノ〜さん 投稿日:08/06/08 15:33 ID:rRm4M7/e0
>>832
>9.0.124でも感染したという話もあるから注意しろ、とニュースサイトでも出てた
これは今のところ根拠が無い(各ベンダのラボで再現していない)。
>XP SP3のFlashの罠
これも誤報。
ttp://itpro.nikkeibp.co.jp/article/NEWS/20080604/306088/

834 名前:(^ー^*)ノ〜さん 投稿日:08/06/08 19:17 ID:9H05lSfh0
最初に「最新バージョンにも穴がある」というのがそもそも間違いだったしなぁ。

835 名前:(^ー^*)ノ〜さん 投稿日:08/06/09 20:20 ID:6d1z9jRA0
続報だからこっちでいいか

クルセWiki、管理人がデータロールバックで対応
しかしアク禁等の対策が行われたのかどうかは不明
またWiki管理を引退希望しているので、Wikiは誰かに引き継がれる模様

これで被害のあった職Wikiは、全部管理人が動いた形になるかな

836 名前:(^ー^*)ノ〜さん 投稿日:08/06/10 02:06 ID:8wlBvE710
殴りプリWiki、再びアタックかけられてるな。
トップ、メニューバー、更新履歴、リンクの改竄を確認、修正。(まぁまた変えられるだろうけど)
変えられていたURL先は、
http://ixiadiary■269g■net/

837 名前:(^ー^*)ノ〜さん 投稿日:08/06/10 11:52 ID:YUJszmOR0
朝から雷鳥Wikiを見ていたらバスターが反応。
無視成功になっていたけれどカスペでオンラインスキャンをしてみたら
i115.swfがExploit.SWF.Downloader.cで引っかかっていました
とりあえず該当ファイルは削除したけど怖いな…

838 名前:(^ー^*)ノ〜さん 投稿日:08/06/10 12:53 ID:sM46XtJU0
ブラウズの時だけKnoppix等を光学ドライブから起動するとか。

839 名前:(^ー^*)ノ〜さん 投稿日:08/06/10 15:16 ID:SSc+GEmw0
>837
雷鳥Wikiを見ていただけで反応?
罠リンクを踏まない限りは反応しないと思うんだが。
まるでWiki内にiframeの罠でも仕込まれてるように聞こえる。

そしてWikiでは罠らしきものは発見できず。
雷鳥スレでもそんな話出てない。

840 名前:(^ー^*)ノ〜さん 投稿日:08/06/10 15:19 ID:mqDrafA00
拳聖スレにそれらしきコピペがあったのでコピペ。

377 :(^ー^*)ノ〜さん :sage :08/06/09 06:11 ID:zVC/S0gO0
Wikiにあったavast反応の件、関係ありそうなのでコピペ。

422 名前:ヴァナm ◆ZrzGMHfgII [] 投稿日:2008/06/08(日) 22:23:01.66 ID:SvqVY72t
どうも6/5〜今日の夕方頃までxreaの自動挿入広告を表示すると
61■238■148■112:81に接続するようになってたようだ。
俺のPGが6/5〜今日までの間このIP弾いてる。
4日まではこんなことはなかった。
ちなみに試しに他のxreaのサイトも確認してみたが、
ヴァナモンだけじゃなくて他のサイトでも61■238■148■112を弾いた。
これをノートンやらセキュリティソフトが反応してたんだと思われる。
丁度えふめもでどうこう言ってるのが出たタイミングと符号する。
PGで弾いてなかったらどうなるのかは不明。
現時点でどのサイトのxrea広告も61■238■148■112には接続しなくなっている。
今日の夕方頃に修正されたようだが
これが危険なものだったかどうなのかはわからない。

841 名前:(^ー^*)ノ〜さん 投稿日:08/06/10 16:11 ID:8wlBvE710
殴りプリWiki、再び改竄
http://ixiadiary■269g■net/
http://zhangty■269g■net/
http://fuyuhaa2005■blog39■fc2■com/

842 名前:(^ー^*)ノ〜さん 投稿日:08/06/10 16:27 ID:0r1inNfq0
つまり経路汚染か大元が狙われたか分らないが、罠が仕込まれたフラッシュが
広告で表示されていた。
FlashPlayerを更新していなければ、それ経由で感染してる可能性がある、と。

そっち狙われたら、レン鯖利用だと管理人でも手がだせんぞ。
広告無しの有料レン鯖か、自宅鯖で運営でもしない限り、広告付きサイトは
全て危険、ってな事になりかねん。

843 名前:(^ー^*)ノ〜さん 投稿日:08/06/10 17:58 ID:n1Jwvedp0
弓手Wiki、再び改竄
http://zhangty■269g■net/
管理者のブロックを回避してきている模様。

844 名前:(^ー^*)ノ〜さん 投稿日:08/06/10 18:10 ID:rov1Rf3S0
269gへのリンクばっかりだな

845 名前:(^ー^*)ノ〜さん 投稿日:08/06/10 18:25 ID:z3hNRPox0
269gのやつ踏んじまった・・・
すぐページ閉じてVBでスキャンして何も引っかからなかったけど大丈夫かな・・・?

846 名前:(^ー^*)ノ〜さん 投稿日:08/06/10 18:26 ID:sM46XtJU0
すぐ閉じてって、落とした食べ物の3秒ルールじゃねーんだからさ。笑
心配ならカスペとか他の無料オンラインスキャンしとき。

847 名前:(^ー^*)ノ〜さん 投稿日:08/06/10 18:29 ID:YUJszmOR0
837です
フルスキャン完了後、更にTrojan-PSW.Win32.Nilage.djlが出てきました
他PCでIDパスは変更済みです

とりあえずバスターが反応したのがAM10:00
その時他に開いていたHPはRMCとよく巡回するRO関係のBlogで
雷鳥Wikiもそうですが、リンクから別ページに飛んだりはしていません

思い当たるミスはこのPCのFlashPlayerの更新を忘れていた点ですね
もしかすると雷鳥Wikiではなく他HPの広告から感染したのかもしれません
お騒がせして申し訳ありませんでした

848 名前:(^ー^*)ノ〜さん 投稿日:08/06/10 18:34 ID:HK+UAR4/0
今回の改竄者のIP
IP : 219.66.138.252(nwtfa-04p4-252.ppp11.odn.ad.jp)
記入されたアドレスは上記の報告にあるもの。

ODN通報済み。

849 名前:(^ー^*)ノ〜さん 投稿日:08/06/10 19:23 ID:6u1CeS/V0
リンカーWikiからコピペ。
>ODN東京FTTH関連は、2ch運営-規制関連スレッドでも度重なる投稿規制(再発5回)を受けており、
>ISPの強制退会処分を受けても別名義で契約を取り直している模様です。
>影響範囲はどうしても出てしまいますが、当面の間はdeny対象とした方が無難でしょう。
>また、269g.netのBlogサービスも、iframeが記述できてしまうことと、運営の対応に要するフットワークに疑問がある為、
>まとめて禁止URLに指定するのが望ましいかと思われます。 -- 2008-06-09 (月) 06:25:36

隙のあるISPやコンテンツプロバイダはつけ込まれやすいな。

850 名前:(^ー^*)ノ〜さん 投稿日:08/06/10 19:30 ID:sM46XtJU0
それならfc2blogも同様だな。

851 名前:(^ー^*)ノ〜さん 投稿日:08/06/10 21:29 ID:8N2uCEnV0
いっそ、にゅ缶とLiveROとwikiのある鯖以外のURLを書き込み不可能にしたらいいんじゃね?

852 名前:(^ー^*)ノ〜さん 投稿日:08/06/10 22:17 ID:8wlBvE710
>>851
ひっそりとかわむてるらぶとかRAGtimeとかへのリンクが出来なくなると思うんだが…。

853 名前:(^ー^*)ノ〜さん 投稿日:08/06/10 22:23 ID:kE15dsGg0
する必要もなくね?

854 名前:(^ー^*)ノ〜さん 投稿日:08/06/10 22:26 ID:VcCMNUPm0
>>1

855 名前:(^ー^*)ノ〜さん 投稿日:08/06/10 22:26 ID:8wlBvE710
>>853
ひっそりもわむてるも狩場情報からのリンクが張ってあること多いし、
InterWikiName共通化計画で既に設定されてしまってるWikiが殆ど。
そっちブロックしちゃうわけにもいかないんじゃないかと。

856 名前:(^ー^*)ノ〜さん 投稿日:08/06/10 23:18 ID:QOhMzaS20
InterWikiNameで設定されてるなら、直で書く必要なくね?

むしろ気になるのは>840あたりの話。
61■238■148■112は香港。
単にxreaの広告の置き場がそっちだったというだけならいいんだが
変に仕込まれた広告が表示されて、それが通信してたとかだと
厄介な話になる。

xreaに限らず、各種バナーを全て疑う必要が出てくるし、そうなると
Web閲覧用専用環境が必須な状態に陥りかねない。

857 名前:(^ー^*)ノ〜さん 投稿日:08/06/10 23:21 ID:6u1CeS/V0
逆に、InterWikiNameに記述してあるURIはallowするようにして、それ以外は原則denyでもいいような気もした。
必要なサイトは、共通リストに盛り込むようにするホワイトリスト方式で。

858 名前:(^ー^*)ノ〜さん 投稿日:08/06/10 23:24 ID:VcCMNUPm0
では、それを実現するPukiWikiパッチを期待したいと思う次第です。

859 名前:(^ー^*)ノ〜さん 投稿日:08/06/10 23:37 ID:6u1CeS/V0
spam.ini.phpを導入してあれば、ほぼ似たような事が実現可能だとは思うけど。
ただ、spam.ini.php導入の為に、PukiWikiのCVS版か、あるいは1.4.7に対してdiffを当てる必要はあるが。

860 名前:(^ー^*)ノ〜さん 投稿日:08/06/10 23:38 ID:z3hNRPox0
オンラインスキャンもしてみたけど何も検出されなかった・・・
一安心

861 名前:(^ー^*)ノ〜さん 投稿日:08/06/10 23:40 ID:nHsNnEbh0
無料サーバーの広告すらウイルスの疑いとかになると
Wiki管理者達は身銭を切ることになることが多くなるんだなぁ。
※少なくともXREAは広告免除を払えば広告つかなくなる。

>>851
そして管理者個人のページも巻き込まれるんですね
わかります。

Common Wikiが今現在そんな状態になってるんだがwwww

>>858
できなくはない、というか未実装Wikiがホワイトリスト以外の書き込み制限を行っている
あと今現在はURIの再構築を行ってるみたいだが貧スレWikiもホワイトリスト制の用意済み

862 名前:(^ー^*)ノ〜さん 投稿日:08/06/11 00:33 ID:XSL99Eza0
今ブラックリスト制を敷けてるんなら、逆にホワイトリスト制に転換するのは
そう難しくはないんじゃないかな。管理人同士で情報交換もしてるし。
次のネックはホワイトリストの管理だけど、ブラックリストの管理よりは簡単…か?

>861
ただでさえなり手の少ないWiki管理者がさらに減るようなことにならなきゃいいんだけどなあ(´・ω・`)

863 名前:(^ー^*)ノ〜さん 投稿日:08/06/11 02:24 ID:Cfg4z6M40
>>840のやつに引っかかってしまったかもしれない・・・

xreaドメインのサイト閲覧中にバスター反応
リアルタイム検索で無視できたんだが不安だったのでカスペでオンラインスキャン。
Trojan-PSW.Win32.Nilage.djlが検出されたんだが、まずトライアル版で駆除するとして
OSのクリーンインストールもしなきゃだめかな?
こういうの初めてでよくわからないんだ・・
ちなみにROとは全然関係ないサイトでした。

864 名前:(^ー^*)ノ〜さん 投稿日:08/06/11 03:02 ID:PfUvYwU90
>861
xrea使ってる職Wikiの管理人の中には、身銭を切ってる人もいるね。
慈善活動みたいなものなのに、頭が下がる。


>863
出来れば報告・相談はテンプレに沿って欲しかった。

>OSのクリーンインストールもしなきゃだめかな?
取りあえずテンプレ読もう。
そして関連サイトに目を通そう。

ちなみに Trojan-PSW.Win32.Nilage系は6/8に報告があって対応された新種。
カスペのウィルスウォッチで見れば判るが、亜種が次々に生まれてる。
(※これはNilage系に限った話ではない)
ttp://www.kaspersky.co.jp/viruswatchlite?hour_offset=-4&search_virus=nilage

まだ未検出の何かが居るかもしれないし、居ないかもしれない。
誰も「安全です」とは言ってくれない。

万全を期すなら、クリーンインストール。
あとそのPC以外での安全な環境から、各種PASSを変更するのをお忘れ無く。

865 名前:(^ー^*)ノ〜さん 投稿日:08/06/11 03:02 ID:ZSVsasnc0
>>863
レジストリの削除とかやる事はあるけど、正直まとめてクリーンインストールした方が良いと思うわ
何かあるかもしれない・・・よりは0から再構築した方が安心だよね

866 名前:(^ー^*)ノ〜さん 投稿日:08/06/11 03:04 ID:PfUvYwU90
というか、>837、>840、>863から考えるに、やはり無料広告に
罠が混ざっていたと考えるのが無難なのか?

だとすれば、真面目に洒落にならん事になるぞ……

867 名前:(^ー^*)ノ〜さん 投稿日:08/06/11 03:12 ID:ngNzTwhJ0
XREAの掲示板見てきた、ガチっぽい
i115[1].swfとorz.exeが報告されてました

868 名前:(^ー^*)ノ〜さん 投稿日:08/06/11 03:15 ID:PfUvYwU90
xreaのユーザー掲示板に報告が上がってる

トロイの木馬検出
ttp://sb.xrea.com/showthread.php?t=12819

avast!でマルウェア警告
ttp://sb.xrea.com/showthread.php?t=12820

ちとヤバいね……

869 名前:sage 投稿日:08/06/11 04:24 ID:Cfg4z6M40
>864>865ごめん。焦っててそこまで考えが及ばなかった。
まだRO、公式にログインしてないし落ち着いて対処してみるよ。
答えてくれてありがとう。

870 名前:(^ー^*)ノ〜さん 投稿日:08/06/11 05:35 ID:d8jcy4GO0
xreaの広告枠、確かに怪しいな。

imgj■xrea■com/xa■j
-> imgj■xrea■com/ad_iframe■html
--> 10390 45744:81/jp■js (!)

ソースで見た限り、わざわざロングIP表記がされている時点で、どう考えても不自然さを感じる。
試しに逆引きしてみたところ、061238148112■ctinets■com と解決された。
このドメイン、以前にebay.comのフィッシングサイトが置かれていた事もあるようだ。
ttp://www.rbl.jp/phishing/index.php?mode=show&date=20061113

871 名前:まとめ臨時 ◆kJfhJwdLoM 投稿日:08/06/11 06:43 ID:sHPaJxUK0
今回の870さんの報告分二件は内容だけにリスト入りさせてみました。

無料広告枠と言う点がちょっと気になります。
問題が無ければいいのですが、何かあればリストからまた省きますので
つっこみよろしくお願いします。

872 名前:(^ー^*)ノ〜さん 投稿日:08/06/11 08:00 ID:r8w51nfb0
該当のIPが香港だとしたら、PG2で中韓台のリスト突っ込んでても
危険なわけで。

過信しないように注意。

873 名前:(^ー^*)ノ〜さん 投稿日:08/06/11 08:07 ID:r8w51nfb0
この件はリネージュ資料室でも書かれてる。
xrea使用の各種Wikiは、それぞれ警告発した方がいいかも。

874 名前:(^ー^*)ノ〜さん 投稿日:08/06/11 10:17 ID:XWVwAziO0
今は、香港のIPが一番危険なんだっけ。

875 名前:(^ー^*)ノ〜さん 投稿日:08/06/11 12:11 ID:+s/xukhL0
xrea使用じゃなくて無料広告出してる所だけだろ
雷鳥と拳聖wiki以外は全部有料じゃなかったっけ?

876 名前:(^ー^*)ノ〜さん 投稿日:08/06/11 12:25 ID:5vPH4xMd0
>>872
資料室さんのは中国の中に香港IPも入ってるね。
恐らく>>840のコピペ元の人も入れておいたんじゃないだろうか。

877 名前:(^ー^*)ノ〜さん 投稿日:08/06/11 12:39 ID:QovRT5T/0
広告で感染とか
防ぐ方法あるの?

878 名前:(^ー^*)ノ〜さん 投稿日:08/06/11 12:39 ID:uqKaTZJfO
今、出先雷鳥wikiみてからログインして
仕事出たけどヤバいかな?

879 名前:(^ー^*)ノ〜さん 投稿日:08/06/11 13:27 ID:ngNzTwhJ0
昨日夜にはXREA側で対応はなされたようだけど安心は出来ないかもね

880 名前:(^ー^*)ノ〜さん 投稿日:08/06/11 14:12 ID:71ux5SKe0
>>877
ゼロデイ攻撃なら方法あんまりないかも。
CD起動のOSからだとか、WiiやPS3からアクセスするとか。

881 名前:(^ー^*)ノ〜さん 投稿日:08/06/11 17:31 ID:l0TRhlMB0
突然知り合いからオフライン状態のメッセでURLが送られてきた。
チェッカーではちょっと分からずで、サーバー位置情報が香港でした。
ttp://ayuoki_hinata■h0stp1cs■info

882 名前: 投稿日:08/06/11 17:59 ID:+5p0MFO80
メッセURL部分の削除申請をしたいのに、ホスト規制で管理に書けない・・・orz

883 名前:(^ー^*)ノ〜さん 投稿日:08/06/11 18:17 ID:pbwJix1P0
>>881
自分にもメッセで知り合いから同様のURLが送られてきました
踏んでしまったので現在カスペでチェック中です・・・

884 名前:(^ー^*)ノ〜さん 投稿日:08/06/11 18:19 ID:IlTNNY5F0
400 - Bad Request

885 名前:(^ー^*)ノ〜さん 投稿日:08/06/11 18:47 ID:a0zZbkzW0
h0stp1cs■info はmsnのパス抜きみたいだね。

886 名前:(^ー^*)ノ〜さん 投稿日:08/06/11 19:31 ID:pbwJix1P0
調べた感じURL開いただけなら問題ない模様
ROとも関係ないようなのでこの辺でー

887 名前:(^ー^*)ノ〜さん 投稿日:08/06/11 23:15 ID:d8jcy4GO0
xreaの広告フレームに含まれていた問題の記述は、現時点では削除されている様子。
ただ、有料契約なのに広告が表示されるなどのトラブルも少し前にあった感じなので、何ともいえない部分がある。
それと、xreaスレで出てきた話だが、今回の広告サーバの一部が置かれているのがSAKURAだったらしい。
まだ断定は出来ないが、もしかするともしかするかも。

888 名前:(^ー^*)ノ〜さん 投稿日:08/06/12 00:06 ID:DHUYPBGI0
罠swfの設置場所、fccjaらしい。FC2ブログ犯の。

889 名前:(^ー^*)ノ〜さん 投稿日:08/06/12 11:52 ID:TPrUv1pR0
xreaってさくらのをもともと使ってるんじゃないのか?

890 名前:(^ー^*)ノ〜さん 投稿日:08/06/12 12:09 ID:Hu5SE7210
2ちゃんねるのさくらとxreaのスレでもちょっとした騒ぎになっている。

891 名前:(^ー^*)ノ〜さん 投稿日:08/06/12 12:35 ID:HT34cRii0
ROとは関係ないかもしれないけどi115[1].swfで検索していたら
リネージュ資料室というHPを開こうとしたときに
カスペがTrojan-Downloder.JS.Small.lxを検知していたな
俺は接続拒否したからどんなものかまではわからないけど…

892 名前:(^ー^*)ノ〜さん 投稿日:08/06/12 13:56 ID:DHUYPBGI0
FFの板で拾った。トロイは既出のもの。
www■undenow■com/woodem.htm
→www■makgcat■com/rm.exe

893 名前:(^ー^*)ノ〜さん 投稿日:08/06/12 14:29 ID:bLQm+piq0
>>881と同じように
ttp://(メッセ名)■h0stp1cs■info
でいきなりアドレス送られてきたんだが、Roとは関係ないのか。

894 名前:(^ー^*)ノ〜さん 投稿日:08/06/12 14:33 ID:cHBMguLz0
>891
誤検出との事

>2008/6/12
>当サイトの「ウィルス情報 - 更新履歴」のページにてカスペルスキーの
>Anti-VirusがTrojan-Downloder.JS.Small.lxを検出するとの問い合わせを
>数件いただきましたが、これは誤検出です。
>
>カスペルスキーへは報告済みで、出来る限り早く修正したいとのことです。

895 名前:(^ー^*)ノ〜さん 投稿日:08/06/12 19:28 ID:m/oOOtiq0
>>893
>>885

いつ何と置き換えられるかわからんし怪しいものは踏むなとしか

896 名前:(^ー^*)ノ〜さん 投稿日:08/06/12 22:14 ID:W2UaSPyq0
>>894
891とは別人だけど11日にうちのカスペさんが
「ウィルス検体」と「ウィルス更新状況」でTrojan-Downloder.JS.Agent.bzpを、
「ウィルス置場一覧」と「更新履歴」でTrojan-Downloder.JS.Small.lxを検出してる

「更新履歴」のページのことしか載ってないけどこれも誤検出だったのかな?
(同日にLinuxから見たけど異常はなかったと思う)
ちなみに今はどれも普通に見えるから修正されたみたい

897 名前:(^ー^*)ノ〜さん 投稿日:08/06/13 22:38 ID:I+iyp1XY0
住民が被ってるだろうから不要な気がしないでもないが、セキュスレの
次スレ(というか、こことの統合スレ)が建ったので一応報告。

アカウントハック対策・セキュリティ 総合スレ
http://enif.mmobbs.com/test/read.cgi/livero/1213363112/

こちらは埋まり次第、そこに合流。


>887
ラウンドロビンしてる関係で、汚染鯖に当たった場合は引っかかる。
汚染鯖は今も危険な状態で、タイミング次第では罠アドレスにぶち当たる。

先ほど検体拾ってきたが、VTの結果は、16/32。
ttp://www.virustotal.com/analisis/cdb0e5b62438df8b6ee925fdca3fc6d7
御三家系やBitDefender、NODがスルー。

ちなみにファイル置き場は、報告があった通りで香港のIPだった。

898 名前:にゅぼーん 投稿日:にゅぼーん
にゅぼーん

899 名前:(^ー^*)ノ〜さん 投稿日:08/06/15 13:13 ID:Fmb4NgIp0
>>898
金払ってないとかでドメイン業者の広告になってるだけかと。

900 名前:(^ー^*)ノ〜さん 投稿日:08/06/15 13:15 ID:5dbJfvvl0
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

詳しいことは調べていないが、www■heimlink■com → 208■73■212■12 (US)
PG2では、666■lyzh■comへのアクセス履歴を検出。リネージュ資料室のトロイリストのIPに該当。

ドメイン失効か転送アドレスか不明。

きちんと管理されているか不明なWikiは避けた方が無難ですよ。

901 名前:(^ー^*)ノ〜さん 投稿日:08/06/15 13:21 ID:wNIBGhhI0
>>899-900
ありがとうございます
一応URLもいつも見るようにはしてるのですが、heimlinkの字があったので油断してしまって…
もうWikiには行かない様にします…
今avastのスキャンしてますので、何もないように祈っておきます

902 名前:(^ー^*)ノ〜さん 投稿日:08/06/15 13:33 ID:l9C1ckXj0
その前に、898は削除依頼してこい。
危険アドを生で貼ったら、被害者増える

903 名前:(^ー^*)ノ〜さん 投稿日:08/06/15 13:42 ID:5dbJfvvl0
>>902
貼り方に問題があるのは確かだが、多分失効ドメインなので、現時点では危険性ないかと。
Wikiのあった方の管理人が失効したままにして、危険サイトの方だけが復帰させた場合は
危険が出てくるが、殆どの場合、危険URLのドメイン名は使い捨てなので、復帰される可能性低いと思う。

運営側に手間賭けて貰うほど危険なもんじゃないよ。

904 名前:(^ー^*)ノ〜さん 投稿日:08/06/15 16:11 ID:Sq9iJLNv0
>>898
>  Status: clientDeleteProhibited
>  Status: clientTransferProhibited
>  Updated Date: 10-jun-2008
>  Creation Date: 06-may-2008
>  Expiration Date: 06-may-2009
このステータスから判断するに、元の所有者との契約が打ち切られて、レジストラに取り戻された状態と思われる。
なので、表示されるページは、所謂「ドメインパーキング」状態かと。
現状では危険性が薄いが、今後どうなるかは予測不能。

>>900
Wikiに限らず、デッドリンクのメンテナンスが行われていないWebサイト自体が、リスクを含んでいるとも言える。
これは、サイト管理者への自戒の意味も込めて。

>>902,903
一応、まだ失効した訳ではないかと。
今後、悪意ある新オーナーが現れた場合には問題となるが、そんな事例はどのドメインにも言えることでもある。
例えば、企業がPR目的で取得したドメインでさえ、時期が過ぎれば赤の他人の手に渡っている事さえあり得る訳で。

905 名前:(^ー^*)ノ〜さん 投稿日:08/06/15 23:19 ID:Ss70jmxu0
【  アドレス   】http://picopico■dip■jp/ragnarok/data/1/1213526673172■jpg
【気付いた日時】 (23時)
【     OS    】 (XP)
【使用ブラウザ 】 (IE7)
【WindowsUpdateの有無】 (更新は今日)
【 アンチウイルスソフト 】 (マカフィ)
【その他のSecurty対策 】 (なし)
【 ウイルススキャン結果】 (現在スキャン中)
【スレログやテンプレを読んだか】 (今から読みます)
【説明】
(ただのブラクラなのか判断できません)

906 名前:(^ー^*)ノ〜さん 投稿日:08/06/15 23:33 ID:5dbJfvvl0
>>905
偽装jpegのhtml。テンプレ>>6にあるような偽装JPEG防止をしてれば問題なし。

http://www17■plala.or■jp/suigin/4■swf や http://x5■yukihotaru■com/ufo/068174800 が読み込まれる。
後者は、カウンターの模様。多分、踏んだ人の人数をカウントするだけの悪趣味なブラフかと。

4■swfは、VirusTotalでは、0/32ですし。

907 名前:(^ー^*)ノ〜さん 投稿日:08/06/15 23:36 ID:5dbJfvvl0
Forsety板 雑談スレッド
ttp://jbbs.livedoor.jp/bbs/read.cgi/computer/39736/1201350763/366-

という訳で、悪戯確定のようです。

908 名前:(^ー^*)ノ〜さん 投稿日:08/06/16 01:53 ID:v+9CEIwi0
丁寧にありがとうございますm(_ _)m
お手数かけましたー。

909 名前:(^ー^*)ノ〜さん 投稿日:08/06/17 15:29 ID:ctcShCr40
いつもメンテ前にウイルス検索ソフト掛けてるんだけど
メンテ後入ろうとしたらバスターが
種類 APIEvent
検出リソース NtUserSetWindowsHookEx
ファイル名Ragexe.exe
該当ポリシーDLLインジェクション
危険度大
とか掛けてきたのでオンラインスキャンと別PCでパス変更中
調べてもあんまり出てこないので何か知恵を拝借したく・・・

910 名前:(^ー^*)ノ〜さん 投稿日:08/06/17 15:37 ID:N9ShNxI10
nProさまを検知しただけだろ。

911 名前:(^ー^*)ノ〜さん 投稿日:08/06/17 16:58 ID:Hjww9SjJ0
PCやセキュリティのことをあまり良く知らないので教えてほしいのですが、
トロイの木馬ウィルスなどでアカウント名やパスワードを勝手に送信される可能性があることはわかったのですが、
キャラクタセレクトで表示されるパスワードは欄がランダムで移動したりして、とても読み取られないような
気がするのですが・・・・
どのような方法であのパスを盗み取ってるのか教えていただけませんか?

912 名前:(^ー^*)ノ〜さん 投稿日:08/06/17 17:00 ID:rqp1X5WP0
パケット解析されていたら意味ない

913 名前:(^ー^*)ノ〜さん 投稿日:08/06/17 17:07 ID:7SRAlYTF0
>911
LiveRo側のスレ向きな気もするので簡単に

・マウスポインタ回りをキャプチャーして(SSとって)送信
・クリックした時の情報(RO鯖への通信)を傍受して送信
・PCのメモリ内部の情報を読み取って送信

など

914 名前:(^ー^*)ノ〜さん 投稿日:08/06/17 17:11 ID:7SRAlYTF0
>909
公式にも対策入れたと告知出てるし、>910の言う通りで
nProが更新されたのが原因かと

他のトロイの影響って可能性も0じゃないだろうけど
99.9%nProだろうな

915 名前:(^ー^*)ノ〜さん 投稿日:08/06/17 17:22 ID:Hjww9SjJ0
>>913
なるほど!クリックした先はデータとして送信されるから、
傍受すればできるわけですか・・・・意味無いじゃん。
あとSSを取るとは思いもよりませんでした。
ハイテクハッカーがいるんですねぇ。

916 名前:(^ー^*)ノ〜さん 投稿日:08/06/17 18:22 ID:ctcShCr40
>909 >914
過去3年バスターとRoやってきて初めて検出したので
あれ?どっかで踏んだのかな。とドキドキ物でした
カスペも一応検出無しだったので安心して入ります。
ありがとうございました

917 名前:(^ー^*)ノ〜さん 投稿日:08/06/17 23:15 ID:wnJ1lCpg0
あっち向けかもしれないが幾つかのRO系Wikiに関係したここなのでここにも書いておく

XREAの無料サーバー広告のウイルス騒ぎは収束した。
http://sb.xrea.com/showthread.php?p=83947

発覚から解決まで時間がかかりすぎた感は否めないが

918 名前:(^ー^*)ノ〜さん 投稿日:08/06/18 09:41 ID:kbiiELRd0
ここはやくめようぜ

919 名前:(^ー^*)ノ〜さん 投稿日:08/06/18 12:51 ID:d7RACUHg0
>>918
日本語でおk

920 名前:(^ー^*)ノ〜さん 投稿日:08/06/18 13:03 ID:urh6w50dO
垢ハクにあった場合はどうすればいいんでしょうか?一応、癌に通報してから警察にいこうと思うのですが。。

921 名前:(^ー^*)ノ〜さん 投稿日:08/06/18 13:24 ID:5pJKFfql0
被害にあってしまったら
http://www.ragnarokonline.jp/playguide/hacking/hacking_04.html

原因が分からんけどID・パスワードを変更する場合は安全な環境で行わないと意味なし

922 名前:(^ー^*)ノ〜さん 投稿日:08/06/18 14:47 ID:FE2VfoyK0
>>917
>○原因:
>広告配信や画像読み込み用として、外部に構築依頼をしておりました分散キャッシュサーバー内の1台の
>広告配信用サイト管理パスワードが、受託会社外の者に渡り、使用され、不正なファイルがアップロードされておりました。

この経緯をきっちり追求して貰わないと、今後、第二・第三のXREA事変が起こってしまうかもしれない。
一方で、従業員数など会社規模に対して、事業が拡大し過ぎた体質的問題もあるだろうから、その辺の見直しも必要だろうが。

923 名前:(^ー^*)ノ〜さん 投稿日:08/06/18 15:12 ID:hDbvE1k20
>>918-919
LiveROの新スレへの誘導+スレストを★持ち管理人さんにやって貰うといいかもね?

924 名前:(^ー^*)ノ〜さん 投稿日:08/06/18 17:20 ID:d7fIIVss0
>>917
この発表で「配布されているウィルスについてですが、特定のオンラインゲームの
ID情報を盗む動作をするということです。」と書いてあるが
そのゲーム名すら出さないってどういうことだ?
ユーザー登録しないと質問も投稿できないし、ふざけてんのかこの会社

925 名前:(^ー^*)ノ〜さん 投稿日:08/06/18 17:25 ID:c+i4B1rV0
ゲーム名を出したらそのゲームに対するネガティブキャンペーンになりかねないし、
ユーザー以外からの迷惑メールが殺到した前例があるのかもしれない

という考え方もないこともない

926 名前:(^ー^*)ノ〜さん 投稿日:08/06/18 18:50 ID:d7RACUHg0
>>924
あっちとこっちで似たような文を投稿している暇があるなら
行動起こせば?

927 名前:(^ー^*)ノ〜さん 投稿日:08/06/18 19:46 ID:HmQ762100
アタックされるゲームをやってないから関係ない、と考える能天気なやつが少なくないからな
罠を仕込まれたことが重要なのであって、罠のターゲットなんて関係ないのに

928 名前:(^ー^*)ノ〜さん 投稿日:08/06/18 21:59 ID:3GyNOatY0
【      気付いた日時          】17日 午後23時
【不審なアドレスのクリックの有無 】 61■238■148■112
【他人にID/Passを教えた事の有無】 (No)
【他人が貴方のPCを使う可能性の有無】 (No)
【    ツールの使用の有無      】 (No)
【  ネットカフェの利用の有無    】 (Yes)
【     OS    】 winXP SP2
【使用ブラウザ 】 IE6
【WindowsUpdateの有無】 最新版まで更新
【 アンチウイルスソフト 】 (NortonInternetSecurity2008 最新版まで更新
【その他のSecurty対策 】 (ルータ
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでしたところウィルスなし)
【スレログやテンプレを読んだか】 (Yes)
【hosts変更】(無)
【PeerGuardian2導入】(無)
【Webヘルプデスクへの報告】(無)
【説明】

 正確にはクリックしたのではなく、840にあるXEREAサーバーのサイトを見たところ
(13日22時半ごろ)、上記アドレスからのアタックをノートン先生がブロックしました。
 あとで、XREAの広告にウィルスが仕込まれていたことをしり、オンラインスキャン等で
スキャンをしました。そのときには、何もでてきませんでした。
フラッシュプレイヤーは最新版ではなかったため、今は最新版に更新していますが、この場合、
アタックをしかけられて、ウィルスをダウンロードする手前でとめられた、ということなのでしょうか。
もちろん、検体がないウィルスなら、意味のない質問ではありますが、教えていただければと思います。
よろしくお願いします。

929 名前:(^ー^*)ノ〜さん 投稿日:08/06/19 00:44 ID:93woR3LM0
>928
恐らく防げてると思うが、確実な事は言えない。
そのIPは>870にあるアドレスで、xreaの無料広告に
仕掛けられてたやつ。

取りあえず今から出来る事は、カスペのオンラインスキャンで
再度PCをチェック。

引っかかってなかった場合、それを信じるか、それとも念を入れて
OS再インストールするかは自己責任で好きな方を選ぶ、といった所。

あとROなりアトラクションセンターなりログインしてるのなら
安全な環境からPASS変更をお忘れ無く。
引っかかってないにせよ、PASSは定期的に変更した方が安全だし。

930 名前:(^ー^*)ノ〜さん 投稿日:08/06/19 05:41 ID:TdI00/Bf0
>>929
ありがとうございました。そうしてみます。

931 名前:(^ー^*)ノ〜さん 投稿日:08/06/19 19:22 ID:ga3M3ESF0
垢ハック注意
http://www■jplineagejp■com/wiki/
mixiで全体公開にしてRO関連のこともしくはROと単語をつけただけで
コメ欄に垢ハク貼られるんだな('A`)こえー

932 名前:(^ー^*)ノ〜さん 投稿日:08/06/19 19:42 ID:8rhIu8hc0
>>931
ある意味「検体入手に便利」だったりもしますが(笑)

933 名前:(^ー^*)ノ〜さん 投稿日:08/06/19 19:48 ID:JsFYraqi0
ハニーポットいいかもしれんね。

934 名前:(^ー^*)ノ〜さん 投稿日:08/06/19 20:03 ID:qT2dDFCM0
しかし懐かしいアドだな
この調子だと、なんちゃってプロバイダ系とかも復活してくるんじゃね?

935 名前:(^ー^*)ノ〜さん 投稿日:08/06/19 23:07 ID:eVLAg1uy0
>>931
俺も同じ被害にあった。
mixiでアカハックが流行ってるのはこのスレとか見て知ってたから
俺は問題なかったんだけど、全体公開だから自分以外の人が踏んだりしないかと心配…

936 名前:(^ー^*)ノ〜さん 投稿日:08/06/19 23:15 ID:JsFYraqi0
被害っつうのは実害があったときに言おう。
精神的被害を実害って言うならアレだけれどさ。

937 名前:(^ー^*)ノ〜さん 投稿日:08/06/20 00:58 ID:YD6Fhe+b0
リネージュなのにROなのか。中華はしょせん中華だな。

938 名前:(^ー^*)ノ〜さん 投稿日:08/06/20 01:04 ID:U0kH7G2S0
OSをクリーンインストールしたら、RO内でマップ切り替えの時に画面がバグるようになった件
俺だけか?

939 名前:(^ー^*)ノ〜さん 投稿日:08/06/20 02:34 ID:MiyJceE20
>>938
グラボを256にしてみると幸せが訪れるかもしれない

940 名前:(^ー^*)ノ〜さん 投稿日:08/06/20 02:35 ID:MiyJceE20
256色設定だorz

941 名前:(^ー^*)ノ〜さん 投稿日:08/06/20 03:15 ID:U0kH7G2S0
>>939
設定変えてみたら、普通にプレイできるようになったよ!
ありがとう!ヽ(゚∀゚)ノ

942 名前:(^ー^*)ノ〜さん 投稿日:08/06/20 13:33 ID:sTRn2XP20
>>931
本当にROって書いてあるだけで来るんだね。
いま書き込んだ人と周辺を見ているんだけれど、どうみても
即席IDでなく普通の人なので、IDクラックされてしまったんじゃ
ないかと。運営には報告するよ。

943 名前:(^ー^*)ノ〜さん 投稿日:08/06/20 13:37 ID:xRQ21Ug00
あ、貼られたURL
http://www■testinghua■com/flash■htm
aguse.jpはSCO/KikenUrlで引っかかった

944 名前:にゅぼーん 投稿日:にゅぼーん
にゅぼーん

945 名前:(^ー^*)ノ〜さん 投稿日:08/06/20 17:37 ID:sTRn2XP20
乳蓮www

946 名前:(^ー^*)ノ〜さん 投稿日:08/06/20 17:53 ID:jqQN/0s00
>>944
グロ画像だから削除依頼してこい。精神的被害を被った。謝罪を要求する。

947 名前:(^ー^*)ノ〜さん 投稿日:08/06/20 17:57 ID:eaMXP4Dp0
>931

それが原因でローグwikiの中の人がmixi止めてるな。

948 名前:(^ー^*)ノ〜さん 投稿日:08/06/20 18:44 ID:cxwAIqst0
946>>
削除依頼して来ました。
申し訳ないです。

949 名前:(^ー^*)ノ〜さん 投稿日:08/06/20 19:54 ID:NjbyAt850
>943
URL通り、swfが置かれてる
チェックしてないが、どう考えてもFlashPlayerの脆弱性の罠だろうな
そのアド自体は既知のものだし

しかし中華はなぜ罠ページや罠ファイルに脆弱性に因んだ名前を
つけるんだろうか?
警戒しやすくていいんだけど

950 名前:(^ー^*)ノ〜さん 投稿日:08/06/20 19:57 ID:c02Sodyd0
どうせ引っかかるのは警戒心無い馬鹿だし、
名前ひねる必要性無いんじゃないかと。

951 名前:(^ー^*)ノ〜さん 投稿日:08/06/20 20:12 ID:yAnFebAN0
やっている(やらされている?)人間が人間だから、
手口が全く進歩してないな。w

952 名前:(^ー^*)ノ〜さん 投稿日:08/06/20 20:33 ID:i8FRUNii0
>>949
ツールキットがデフォルトでそゆ名前で生成するから。
変えればいいんだけど、変えない奴が多い。

953 名前:(^ー^*)ノ〜さん 投稿日:08/06/20 22:27 ID:JHs2erXd0
知っているのか雷電!

954 名前:(^ー^*)ノ〜さん 投稿日:08/06/20 22:59 ID:i8FRUNii0
たとえば
ttp://blog-imgs-21.fc2.com/i/l/i/ilion/2008042101.jpg
こゆので生成する(これはRealPlayer11には対応しているが
FlashPlayer未対応なので少し古い)。
Ms06014.htmとかAjax.gifとか見たことあるっしょ?
踏むような人はそもそもファイル名を注視しない
(せいぜい踏んでから気がつく)から
ファイル名そのままでも実用上は問題ないんだろうね。

955 名前:(^ー^*)ノ〜さん 投稿日:08/06/20 23:39 ID:hkX6vbXm0
それCuteQQの奴だな

Ms06014.htmとかはソースに「I LOVE CUTEQQ TEAM」の
一文が入ってたりするけど、そう言うのは全部そのツールで
作られた奴なんだろうな

956 名前:(^ー^*)ノ〜さん 投稿日:08/06/21 00:54 ID:VFGRyjoD0
うん。似たようなツールキットは山ほどある

957 名前:(^ー^*)ノ〜さん 投稿日:08/06/21 04:06 ID:dkfWDGnZ0
【  アドレス   】http://picopico■dip■jp/ragnarok/data/1/1213984243169■jpg
【気付いた日時】 (今日3時)
【     OS    】 (XP)
【使用ブラウザ 】 (IE6.0)
【WindowsUpdateの有無】 (最近更新)
【 アンチウイルスソフト 】 (ノートン)
【その他のSecurty対策 】 (なし)
【 ウイルススキャン結果】 (スキャン中)
【スレログやテンプレを読んだか】 (今から読みます)
【hosts変更】(無)
【PeerGuardian2導入】(無)
【説明】
>>905に似てるようなのですが、これもブラクラだけなのでしょうか…?
IDとパスワードをハッキングした、みたいな表示が出たのですが…。
お手数をお掛けしますが、どなたか教えてください。

958 名前:(^ー^*)ノ〜さん 投稿日:08/06/21 04:15 ID:xHnP+vtz0
idiot.swf 結果: 0/33 (0%)
あとmp3の再生、多分905同様かと

959 名前:(^ー^*)ノ〜さん 投稿日:08/06/21 09:22 ID:R/pLK3Sa0
ぴころだのForsety関連のファイルははまじでクリックしない方がいい
うpってるやつがゲーム内で枝テロやIW妨害等やってるRMTerなんで
今はいたずらとか言ってやってるがいつ垢ハックアドに飛ばされるブラクラになるか分からない

960 名前:(^ー^*)ノ〜さん 投稿日:08/06/21 20:40 ID:eeIWVaetO
わたしも>>957を踏んでしまいました。お願いします。

961 名前:(^ー^*)ノ〜さん 投稿日:08/06/21 21:11 ID:xHnP+vtz0
何をどうおねがいしますなんだよ…

962 名前:(^ー^*)ノ〜さん 投稿日:08/06/21 21:24 ID:eeIWVaetO
>>961
揚げ足とらないでください。
解説お願いします。

963 名前:(^ー^*)ノ〜さん 投稿日:08/06/21 21:27 ID:JGek8upG0
>962
>958

964 名前:(^ー^*)ノ〜さん 投稿日:08/06/21 21:34 ID:eeIWVaetO
とりあえず>>957は大丈夫ってことですかね?

965 名前:(^ー^*)ノ〜さん 投稿日:08/06/21 21:42 ID:qvegjoZj0
そんなに心配なら、いっそOS再インストールでもしちゃったほうがいいと思います。

966 名前:(^ー^*)ノ〜さん 投稿日:08/06/21 21:48 ID:MAO6GyEh0
>>962
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

967 名前:(^ー^*)ノ〜さん 投稿日:08/06/21 22:07 ID:7KbdWIaA0
スレッドごとにある程度の許容は変化する
この垢ハックスレと初心者スレはある程度の稚拙な質問ぐらいは親切に答えてやるべきだぞ
答えられない人、答えられない人は無駄な煽りはやめたほうがいい

968 名前:(^ー^*)ノ〜さん 投稿日:08/06/21 22:09 ID:zox9uFo00
誘導先なくなっちゃったしねぇ…。

969 名前:(^ー^*)ノ〜さん 投稿日:08/06/21 22:16 ID:UgdOC38f0
もうこっちはサクサク埋めちゃって、向こうで一本化したほうがいいと思うんだけどなぁ……

970 名前:(^ー^*)ノ〜さん 投稿日:08/06/21 22:22 ID:JGek8upG0
>968
逆に考えるんだ。スレの埋めに使える。そう考えるんだ(AA略

で、埋め兼ねて解説しようと思ったが、>957のは解説するほどの
ものじゃない。

ただの拡張子偽装のjpgで、中身はhtml。
>6にある偽装JPEG防止をしてればすぐ判る。
Flashを表示してるが、VTの結果は>958が書いてくれたとおりで
今も0/33。

結論言えば、ただの悪戯。
ただ>959が書いてるとおりで、同様の手口で毎回悪戯と思わせて
慣らした後、ある時本当の罠が仕込まれるって可能性もある。

まあ見ないのが一番。

971 名前:(^ー^*)ノ〜さん 投稿日:08/06/21 22:24 ID:z9rRjeZA0
アカウントハック対策・セキュリティ総合スレ
http://enif.mmobbs.com/test/read.cgi/livero/1213363112/

972 名前:(^ー^*)ノ〜さん 投稿日:08/06/21 22:46 ID:xHnP+vtz0
スレを読んで理解しようともせず、質問もテンプレにそってるわけじゃないのに
なんでこんな偉そうなんだ、前にも似たようなのいたけど
「〜と同じなんですが」じゃないだろ、踏んだ物同じでもPC環境がそれぞれ違うわけだ
その環境の違いで、もしウイルス踏んだとしたら防げてるかどうかも変わる

973 名前:(^ー^*)ノ〜さん 投稿日:08/06/21 22:58 ID:z9rRjeZA0
>>972
親身になって考えるからアレなんです。

このご時世に、なんの対策もしないまま踏んじゃうことのリスクを
考えないような人がいるんだなぁ、と生ぬるく見守ればいいんです。
垢ハックされようが、個人情報盗まれようが、我々には関係ありません。

スレ住人だって、なんら義務も責任も持たないボランティアですし、
へんなのきたなーと思いながら、軽くスルーしておけばいいんです。
すべての質問/問合せに対応する必要はないんですから。

>>967
稚拙と、礼儀を知らないのはまた違うと思うんです。

974 名前:(^ー^*)ノ〜さん 投稿日:08/06/21 23:58 ID:7KbdWIaA0
垢ハックにかかったかもしれないという相手の心情を察するべき
このような場でテンプレ通りの対応がこないことがあることを考えれば
ある程度、柔軟に対応するべきだといってる

スルーするのが一番いいとおもうけど
相手が礼儀しらなかったり稚拙でも煽る行為は御法度

975 名前:(^ー^*)ノ〜さん 投稿日:08/06/22 00:04 ID:x9I+luKX0
まあこのスレで煽り合いをして無駄な書き込みでスレを潰そうとするのは
ウイルスを仕掛けた中華の自演と考えてもおかしくはないわなw
教えませんってわざと言うのは効果的にやり方だ
このような宣言はわざわざ書く必要などない

976 名前:(^ー^*)ノ〜さん 投稿日:08/06/22 02:04 ID:c3PDEjWB0
確かに踏んだ時は超焦るし冗談抜きに小・中学生なんかの質問者も居るだろうから、
ある程度は許容して答えるのがいいとおもうけど、
>>1にもある通り鑑定スレって言う訳ではない(鑑定可にすると収集がつかなくなる)のと、
今回の場合みたいにすぐ上に答えが書いてあったり、
ちょい前に聞きに来た人のようにやけに上の立場からのような態度の物言いでの質問だったりすると、
さすがにこっちもちょっと気分がもやもやして答える気が減ってしまいます。
答えてくれる方も皆ボランティアで、誰も答える義務があってやっている訳では無いですしね。
が、かといってそれに対して煽りっぽいレスを入れると更にもやもやな流れになっちゃうので、
そこはガマンしてスルーしましょう。

977 名前:(^ー^*)ノ〜さん 投稿日:08/06/22 02:29 ID:mqv9iD8A0
垢ハックにかかった質問者の心境を考える前に、
乱暴で適当な質問して回答者がどう思うかを考える方が先だろ…
煽られるのは自業自得じゃね。

978 名前:(^ー^*)ノ〜さん 投稿日:08/06/22 02:37 ID:wseJZLqG0
小中学生だからゆとりを持たせるのもどうかと。

979 名前:(^ー^*)ノ〜さん 投稿日:08/06/22 04:30 ID:PdQ6/HQg0
気に入らなかったら無視しろ
それだけ

980 名前:(^ー^*)ノ〜さん 投稿日:08/06/22 11:33 ID:v0G2T3l/0
「ここは鑑定スレではありません」と一言返せばいい。

981 名前:(^ー^*)ノ〜さん 投稿日:08/06/22 11:35 ID:sDc+icOC0
相手したいやつはすればいいし、
したくないやつは無視すればいい。
でもって、何でも良いが場を荒らすなと。

982 名前:(^ー^*)ノ〜さん 投稿日:08/06/23 05:45 ID:nGUFjkQa0
>>977
んなわけない
無視すればいいだけ
どんなことだろうと煽るやつが悪い

>>980みたいに煽らず返答するのも良い

983 名前:(^ー^*)ノ〜さん 投稿日:08/06/23 06:43 ID:/aQviQFD0
【  アドレス   】ttp://yaplog■jp/tshysy/
【気付いた日時】 (6/23 6時)
【     OS    】 (windowsXP)
【使用ブラウザ 】 (IE6)
【WindowsUpdateの有無】 (2週間ほど前)
【 アンチウイルスソフト 】 (ウイルスバスター2008)
【その他のSecurty対策 】 (Spybot)
【 ウイルススキャン結果】 (VBS_PSYME.SD)
【スレログやテンプレを読んだか】 (今から読みます)
【hosts変更】(無)
【PeerGuardian2導入】(無)
【説明】
携帯から見ると普通のブログだったので、安心してPCで開いてみたらウイル
スバスターが反応してウイルスに感染しているとの事。
すぐにスキャンして削除し、2代目のPCでガンホーPASS、ゲームにログイン
時のPASS,キャラクターPASS、メールアドレスをそれぞれ変更しまし
た。
この後にすべき処理を教えていただきたく投稿してみました。
Windowsの再インストールも考えているのですが、他の方法も何かありましたら
教えていただきたいです。
又、再インストールをすればウイルスの危険も100%無くなるのでしょうか。
PC初心者でまったく何も分からず、不備な点が有ると思うのですがよろしく
お願いします。

984 名前:(^ー^*)ノ〜さん 投稿日:08/06/23 07:13 ID:q7nFJxeu0
【  アドレス   】www■1ive■net/i.exe
www■1ive■net/anright■dat
【気付いた日時】 6/23AM3:30
【     OS    】 XP(SPまで調べられませんでした)
【使用ブラウザ 】 IE(Ver7.0.5730.13)
【WindowsUpdateの有無】 随時更新とはなってました
【 アンチウイルスソフト 】 ウイルスバスター2007(最終更新が6/21)
【その他のSecurty対策 】 Spybot
【 ウイルススキャン結果】 カスペルスキーで検索したところ垢ハックウイルスを確認
【スレログやテンプレを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
ラグナロクのサイト(ラグナロク情報局 経験値テーブル)を開いた時に突然ウイルスバスターの警告で開いても居ないサイトのアドレス出てきました。
慌ててウインドを閉じたのですが、その後こちらのテンプレートに書かれていたカスペルスキーで検索したところsystem32内のLoveFlyと言うファイルが垢ハックウイルスとして検出されました

手動で削除を行ったのですが

LoveFlyを削除できません。アクセスできません。
ディスクがいっぱいでないか、書き込みが禁止になっていないか
またはファイルが使用中でないか確認してください。

と表示されて削除が行えませんでした。
この場合クリーンインストールをするのが最善かとは思うのですが、データの問題でなるべく問題のファイルを消すだけにとどめたいのですがどなたかお知恵をお貸しいただけないでしょうか。お願いいたします。

現在ネカフェからでIDパス、アトラクションIDは全て変更致しました。

985 名前:(^ー^*)ノ〜さん 投稿日:08/06/23 07:33 ID:rBaiieGi0
まずはセーフモード

986 名前:(^ー^*)ノ〜さん 投稿日:08/06/23 10:35 ID:CYDaUBSR0
ネカフェからのパス更新ってのもなかなか怖いな。
感染後ログインを一切してないなら、安全な環境を構築するまで変えなくてもいいのに。

>>983 >>984
両方OSの再インストールコースをお勧めする。

必要なデータのバックアップの後、OS入れなおし。

>又、再インストールをすればウイルスの危険も100%無くなるのでしょうか。
基本的にはそう。ウイルス本体をどこかにおきっぱなしで、OS入れなおした後に、そいつを叩くと、再度感染するので
OS入れなおした後、残骸がないかどうか確認を。本当のクリーンインストール(HDDまっさらから)や、リカバリの場合は
残骸も残ってないのでその心配はない。

>データの問題でなるべく問題のファイルを消すだけにとどめたいのですが
OSの上書きだけなら、データ部分は消えませんよ。
でも、バックアップ→HDD抹消→OSの入れなおし が最善です。

上書きインストールで、データ保持したまま安全な環境を構築しても、残骸が残っていてそれを起動させたらアウトです。
(メーカー製リカバリディスクの場合は問答無用でデータ消えますが)

他になにが残っているのか判らないので、OS入れなおししか推奨できませんが、別HDDやパーティションにOSを入れて
そちらから起動して、ウイルスを削除する方法もあります。この場合、削除に使用するセキュリティソフトが対応していない
新種が残ったりしますので、自己責任ということになります。

SP+メーカーを使用して、SP適用済みディスクを作ってからインストールするとインストールの手間が大幅に省けますよ。

987 名前:(^ー^*)ノ〜さん 投稿日:08/06/24 17:27 ID:91yninzu0
【  アドレス   】ttp://www.nicovideo.jp/search/Ro
ttp://www.nicovideo.jp/watch/sm3750703

【気付いた日時】 6/24AM17:25
【     OS    】 XP
【使用ブラウザ 】 IE(Ver7.0.5730.13)
【WindowsUpdateの有無】 随時更新
【 アンチウイルスソフト 】 AVG Anti-Virus Free
【その他のSecurty対策 】
【 ウイルススキャン結果】これから
【スレログやテンプレを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無

ニコニコ動画のROリンクに、変な動画があってそれをクリックしてしまいました。
内容はただのニュースで、AVGやウィルスソフトの反応はなかったのですが
動画のタイトルを見ると
「飛騨牛客か・一番よく分かってるそうて・す」と・・いかにも中華な感じで
心配です。
最近はフラッシュでも感染すると聞きましたが、・・こういう場合どうしたら良いでしょうか?

988 名前:(^ー^*)ノ〜さん 投稿日:08/06/24 17:32 ID:0tvy7D280
>>987
>>1

989 名前:(^ー^*)ノ〜さん 投稿日:08/06/24 17:38 ID:91yninzu0
ぶ、らいぶろに立ってたんですね。
スレ落ちだと思ってこっちに来てしまいました、すみません。
987の書き込みもって移動します、ありがとう。

990 名前:(^ー^*)ノ〜さん 投稿日:08/06/24 21:41 ID:tfhD5pIB0
やっぱりここはサクサク埋めちゃおうぜ
そのほうが混乱しなくていい。

991 名前:(^ー^*)ノ〜さん 投稿日:08/06/24 22:05 ID:cZrKxQuf0
次スレ

アカウントハック対策・セキュリティ 総合スレ
http://enif.mmobbs.com/test/read.cgi/livero/1213363112/

992 名前:(^ー^*)ノ〜さん 投稿日:08/06/24 22:16 ID:NicfVTeW0
埋め埋め

993 名前:(^ー^*)ノ〜さん 投稿日:08/06/24 22:41 ID:e7EgvqvF0


994 名前:(^ー^*)ノ〜さん 投稿日:08/06/24 23:27 ID:o7KDBVbf0
うめ

995 名前:(^ー^*)ノ〜さん 投稿日:08/06/24 23:27 ID:o7KDBVbf0


996 名前:(^ー^*)ノ〜さん 投稿日:08/06/25 00:04 ID:Nty+DHLf0
松竹梅

997 名前:(^ー^*)ノ〜さん 投稿日:08/06/25 00:32 ID:cyKaSKS10
んにぃ

998 名前:(^ー^*)ノ〜さん 投稿日:08/06/25 00:35 ID:67Vltz240
多めに張っておこう
次スレからはLiveROのスレで統合です。

次スレ

アカウントハック対策・セキュリティ 総合スレ
http://enif.mmobbs.com/test/read.cgi/livero/1213363112/

999 名前:(^ー^*)ノ〜さん 投稿日:08/06/25 00:36 ID:1GTa2eD80
999

1000 名前:(^ー^*)ノ〜さん 投稿日:08/06/25 00:38 ID:yVilm0S/0
次にお前は

「このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。」

と言う

1001 名前:1001 投稿日:Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。

358 KB  [ MMOBBS ]