全部 1- 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 最新50  

アカウントハック対策・セキュリティ 総合スレ Lv.3

1 名前:(○口○*)さん :08/11/23 08:30 ID:+2Sc4qx90
■ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ■

アカウントハックに関する情報の集積・分析を目的とするスレです。
被害や攻撃等のアカウントハックの具体的事例及びセキュリティ全般の
話題を取り扱います。

報告用&質問用にはテンプレ (>>4)を利用してください。

・ 対策の参考情報アドレス (>>2)
・ このスレでよく出てくるアプリケーションやサイトとオンラインスキャン (>>3)
・ 報告用&質問用テンプレ (>>4)
・ 安全対策の簡易まとめ、アカウントハック対応の要点とFAQ (>>5,>>6)
・ その他関連(>>7)


■スレの性格上、誤って危険なURLがそのまま貼られてしまう可能性がある■
■URLを無闇に踏んで回らないこと。報告・相談はテンプレを利用すること■

※ ID/Pass/サーバ/キャラ名等の情報は公開しないでください
※ ネタや程度を超えた雑談・脱線はご遠慮ください

・スレ立ては>>970がしてください。反応がなければ以降10ごとに。


【過去スレ】
・アカウントハック対策・セキュリティ 総合スレ Lv.2
http://enif.mmobbs.com/test/read.cgi/livero/1220220582/
・アカウントハック対策・セキュリティ 総合スレ
http://enif.mmobbs.com/test/read.cgi/livero/1213363112/

以前のログはROセキュリティWiki(http://rosafe.rowiki.jp/)

2 名前:(○口○*)さん:08/11/23 08:31 ID:+2Sc4qx90
【対策の参考情報アドレス】
・ROセキュリティWiki
  http://rosafe.rowiki.jp/
・ROアカウントハック報告スレのまとめサイト
  http://sky.geocities.jp/vs_ro_hack/
・ROアカウントハック対策スレのまとめサイトのhostsファイル追加分まとめサイト(臨時)
  http://sky.geocities.jp/ro_hp_add/
・安全の為に (BSWikiより アカウントハッキング対策についての情報まとめ)
  http://smith.rowiki.jp/?Security
・リネージュ資料室 (応用可能な情報が多数)
  http://lineage.paix.jp/
・Alchemist service アカウントハック体験談
  http://air1.fc2web.com/as/id.html
・アカウントハッキングについて > 被害にあってしまったら(RO公式)
  http://www.ragnarokonline.jp/playguide/hacking/hacking_04.html
・セキュリティホール memo
  http://www.st.ryukoku.ac.jp/~kjm/security/memo/
・Adobe Flash Playerの脆弱性および XREA広告サーバハッキング問題 まとめ
  http://www.geocities.jp/pehchunpm/mondai_XREA.htm
・アンチウィルスメーカー各社検体提出先
  http://rosafe.rowiki.jp/index.php?%B8%A1%C2%CE%C4%F3%BD%D0%C0%E8
・VirusTotal (素人の検体の確保は大変危険です。手順を理解し安全に出来る人だけがしてください)
 http://www.virustotal.com/jp/

3 名前:(○口○*)さん:08/11/23 08:31 ID:+2Sc4qx90
【このスレでよく出てくるアプリケーション】
・PeerGuardian2 (PG2と略される。下記は対策スレのまとめサイトの簡単な手引き)
  http://sky.geocities.jp/vs_ro_hack/pg2.htm
  ・【PeerGuardian2 暫定ダウンロード先】
   現在本家から落とせないので、キャッシュを利用してください。下から7番目。
   http://web.archive.org/web/20080209171747/http://www.dukedog.flnet.org/trans.html
   文字化けして読めないと思いますが、こう書いてあります。
   必要な物をダウンロードしましょう。
     >PeerGuardian 2 for Windows β6b 日本語第2版 2000・XP・2003用 / 98・ME用 / ソースコード
     >PeerGuardian Lite (β050422) 日本語版 / ソースコード
  ・本家の英語版 ttp://phoenixlabs.org/pg2/
  ファイル情報 
     pg2-050918-nt-jp.exe 1.34 MB (1,412,454 バイト)
     CBC9280A
     C55F4B13B568927B58965B93987CBE17
【URLが危険か判断できない際に使われるサイト】
・ソースチェッカーオンライン (ソースや隠れたインラインフレームの転送先を確認できる)
 http://so.7walker.net/guide.php
・aguse.jp (ゲートウェイからスクリーンショットした画面を見ることが出来る)
 http://www.aguse.jp/
【PCにウィルス対策ソフトを導入してない方へ ネットから出来るオンラインスキャン】
・Kaspersky Internet Security 試用版
  http://www.just-kaspersky.jp/products/try/
・カスペルスキー:オンライン ウイルス&スパイウェアスキャナ
  http://www.kaspersky.co.jp/scanforvirus/
・NOD32アンチウイルス体験版
  http://www.canon-sol.jp/product/nd/trial.html

4 名前:(○口○*)さん:08/11/23 08:31 ID:+2Sc4qx90
【投稿の際の注意】
・アカハックアドレスはMMOBBSでは禁止単語になっています。
 加えて、誤クリックによる感染を防ぐ為にそのようなアドレスは
 .(ドット)を別の文字に置き換えて報告して下さい (■がよく使われています)
・質問前後にテンプレ等を見て知識を深めると更にGoodです
・回答者はエスパーでは有りません。情報は出来るだけ多く。
 提供した情報の量と質に応じて助言の量と質は向上します
・結局は本人にしかどうにも出来ない事を忘れてはいけません

 ----------報告用テンプレ----------
● 実際にアカウントハックを受けた/怪しいアドレスを踏んだ時の報告用

【      気付いた日時          】 (被害に気付いた日時)
【不審なアドレスのクリックの有無 】 (blog/bbs/Wiki等で踏んだ記憶の有無とそのアドレス)
【他人にID/Passを教えた事の有無】 (Yes/No)
【他人が貴方のPCを使う可能性の有無】 (Yes/No)
【    ツールの使用の有無      】 (Yes/No、Yesの場合はそのToolの説明)
【  ネットカフェの利用の有無    】 (Yes/No)
【     OS    】 (Windowsのバージョン、ServicePack等まで書く)
【使用ブラウザ 】 (InternetExplorerなど、バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【 アンチウイルスソフト 】 (NortonInternetSecurity2007 等)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【スレログやテンプレを読んだか】 (Yes/No/今から読みます)
【hostsファイルの変更】(有/無 [有りの場合は最終更新は何時ごろか])
【PeerGuardian2の導入】(有/無 [有りの場合は参照元サイトはどこか)
【説明】 (被害状況をできるかぎり詳しく書く)

5 名前:(○口○*)さん:08/11/23 08:31 ID:+2Sc4qx90
【安全対策の簡易まとめ】
以下は要点となります。詳しくは関連サイトを見てください。

 ・アドレスをホイホイ踏まない。よく確認する。(IP直書きの数字のアドレスなど)
 ・特に掲示板等に貼られた拡張子まで書いてあるURL(.src exe 等)は絶対にクリックしない。
 ・出所の怪しいプログラムやスクリプトを実行しない。
 ・定期的なMicrosoftUpdate及び、各種ソフト(各種Player、Reader等)のアップデートを行う。
 ・アンチウイルスソフトの導入とウイルス定義ファイルの積極的な更新を行う。
 ・パーソナルファイアウォールソフトの導入する。
   ・hostsの利用した危険ドメインのブロック
   ・PeerGuardian2を使った危険IPのブロック など
  (※hostsは定期的な更新が必要です。更新をサボりがちな人はhostsファイル更新スクリプト
    (http://acopri.rowiki.jp/index.php?hostsRenewScript)の導入も視野にいれましょう)
 ・通常のネット閲覧はIEの使用を止め、他のブラウザに乗り換える(Firefox、Opera等)
 ・IEを使う場合は下記を設定
  ・信頼できるSite以外ではスクリプトやActiveXを切る
   :インターネットオプションのセキュリティの部分で設定可能
  ・偽装jpg対策(IE7とIE6SP2限定。IE6SP1以前では出来ない)
   :インターネットオプション→セキュリティ→レベルのカスタマイズ
   →「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする

6 名前:(○口○*)さん:08/11/23 08:36 ID:+2Sc4qx90
【アカウントハック対応の要点とFAQ】
以下は要点となります。詳細な物は関連サイトをご覧下さい。

● 『アカウントハックアドレスを踏んだ』もしくは『ウィルスが見つかった』場合
 1) 速やかに感染PCのネットワークケーブルを外す
 2) 『安全な環境』から諸々のパスワードをすべて変更
 3)必要最低限のデータをバックアップ
 4)ウィルス駆除 もしくは OSのクリーンインストールやPCの再セットアップを行う
 5)セキュリティソフトの導入
 6)OSのアップデート(前もってSP+メーカーを利用すると安全にアップデートを行う事が出来ます)
 7)安全な環境になったらバックアップしたデータの書き戻し 

注)
 ・安全が確認されるまで感染したPCからはNetworkに接続・ROクライアント起動・公式にログインは厳禁
 ・当然パスワード入力を伴う行動や各種メッセンジャーソフトやメールクライアントの起動も避ける
 ・変更するべき物は以下のとおり
  『ガンホーID(旧GungHo-ID)パスワード』『キャラパスワード』『メールアドレス』
  『ガンホーID変更』(ID自体の変更)は一度に限り行える。
 ・アンチウイルスソフトの過信は禁物。
  自信がなければクリーンインストール、PCの再セットアップを第1選択肢とする事。
 ・対応は慎重かつ迅速に行う事。早期に対応できればアカウントハックを防げる確率が上がる。
 ・大事なデータはバックアップは取っておくこと。(常日頃からしておくと楽)


● 関連FAQ
・『安全な環境』ってどんな物?
  ウイルスの感染が無いと思われる環境です。別PCや携帯電話・据置型ゲーム機・1CD Linux等が挙げられます。
・『安全ではない環境』ってどんな物?
  インターネットカフェ等、不特定多数が使用する環境。
  また知人友人のPCもインターネットカフェ並の危険があるものと考えるべきです。
・知り合いに頼んでパスワード変更してもらうのはダメ?
  いくら信頼できる友人でもパスワードを教えるのは良く有りませんし、その友人がウィルスに感染してないとも限りません。
  知り合いに頼むのは最後の手段であり、安全な環境が構築出来次第、再度パスワードを変更しましょう。
・オンラインウイルススキャンをしたいんだけど、やっぱりネットにつないじゃ駄目?
  駄目です。
・アンチウイルスソフトでウイルスが見つからないのでもう大丈夫だよね?
  100%の保証は出来ません。ウィルスが見つからなかった場合、チェックに使ったアンチウィルスソフトでは発見出来なかっただけです。
  安全かどうか自信が無い場合はHDDをフォーマットの上、PCの再セットアップを考えるべきです。

7 名前:(○口○*)さん:08/11/23 08:40 ID:+2Sc4qx90
【クリーンインストール・リカバリ・PCの再セットアップの時に便利なツール】
・SP+メーカー (最新の Service Pack を適用させたインストールCDを作成するツール)
  http://www.ak-office.jp/
   ・SP+メーカーのFAQ書庫(有志がまとめたWiki形式のページで上記ツールのFAQ)
     http://wikiwiki.jp/faqwinsppm/

【短縮アドレスについて】
Q.TinyURLの短縮アドレスが怖くて開けない。クリックする前にどんなページか分からない?
 ttp://www.oshiete-kun.net/archives/2008/07/tinyurl.html
A.設定変更で直接飛ばないようにするか、チェック用のブックマークレットを使うのがオススメ
>実は、TinyURLは、ユーザー側で設定を変えておくと、短縮済みURL→実URLの間に、2ちゃんねるの「ime.nu」のような
>中継ページを挟ませることができる。その分毎回クリックの手間が増えるわけだが、怪しげなサイト・掲示板などに行く機会が
>多い人は設定を変えておくと良いだろう。また、「ブックマークレット」という仕組みを使うと、TinyURLのリンクをブラウザ操作で
>実URLに書き換えることも可能だ。Firefoxユーザーなら、同じような書き換えを自動で行うグリースモンキースクリプトも利用できるぞ。

【AntiVir等の誤検出の提出先】
analysis.avira.com/samples/
のFile typeをFalse Positiveにして下に説明を書いて提出。(@は全角)
ALWIL Software(avast!) <virus@avast.com>
Avira GmbH(AntiVir) <virus@avira.com>
 注:他はROセキュリティWikiのアンチウィルスメーカー各社検体提出先にまとめてあります。
   http://rosafe.rowiki.jp/index.php?%B8%A1%C2%CE%C4%F3%BD%D0%C0%E8

【ウイルスの予備知識】
・検証ラボ:ウイルスを観察してみる
 http://itpro.nikkeibp.co.jp/article/COLUMN/20080402/297763/

8 名前:(○口○*)さん:08/11/23 08:42 ID:+2Sc4qx90
テンプレ\(^o^)/オワタ

9 名前:まとめ臨時 ◆kJfhJwdLoM:08/11/23 09:08 ID:ns6xrqPQ0
>>7
注)TinyURLの補足
短縮URLのアクセスに対しクッションページを設定できるので、有効化しておくことを強く推奨。
tinyurl■com/preview.php
enable previewsを選択することで、設定内容がcookieに保存される。
使用しているブラウザごとに実行する必要があるが、有効期限は取得時刻+10年
  補足:まとめ臨時サイトのhostsリストではtinyurl■com自体をリストに加えていますので、
     利用する場合は一旦上記ドメインを編集してリストから削除して実行する必要があります。
     (ただし、tinyurl自体規制しているので意味が無いかもしれない。)

10 名前:(○口○*)さん:08/11/26 13:55 ID:uZKVNKI30
CDブートで利用できる無償のマルウェア検査・駆除ソフト
ttp://internet.watch.impress.co.jp/cda/news/2008/11/26/21647.html
Dr.WEB。

11 名前:(○口○*)さん:08/11/26 14:09 ID:BC3wU+GY0
>>10
お、なんかよさげだね。他人のPCを修復しに行くときに便利そうなんで入手しとこう。

12 名前:(○口○*)さん:08/11/26 19:20 ID:nC6XKY9l0
>10のは
LiveCDにウィルススキャンが入っているもの。
つまり普通のLinuxLiveCDとして使うことも、USBメモリ等にインストールして使うことも出来る。
画像にあるようにブラウザもあるわけでネットもOK。
ネット専用機はOSをこれにするのもありだぜ。
USBメモリブート(USB2.0推奨)なら安価で超静音省電力PCの完成。
データ保存したければHDDの代わりに別のUSBメモリやメモリカードを用意すれば良いだけ。

13 名前:(○口○*)さん:08/11/26 23:30 ID:q2Twm3ef0
>>12
実際に使用してみたけど、入ってるブラウザがFirefoxのロシア語版
日本語の入力も出来ないから、ネット専用機として使うのは少し厳しいと思う。

14 名前:(○口○*)さん:08/11/27 07:45 ID:w4ZxM1k30
せめて英語版にしてくれと。
まートロイがrootkit化されてるとオンラインスキャンとかほぼ無駄なんで
そういう時の駆除にはいいかもね。

15 名前:(○口○*)さん:08/11/27 12:31 ID:HVlJegde0
ライブCD系でネット専用機としての利用に向いてるとなると、パピーあたりか。
2GのUSBメモリがあればほぼ完結する。
昔はavastがpetパッケージにあったらしいがなんかあったのか消えてるな。
各種パッケージインストーラー入れて自力でインストールすればOK?
ないよりマシなclamav(バージョン古い)はあるけどね。

16 名前:(○口○*)さん:08/11/27 12:56 ID:9X95vfC+0
LinuxのFirefoxはGtk2経由になるからもっさりだし、LiveCDだとadd-Onsも使えないから使い勝手はいまいち。
もっとも、常用するのはw3mという事ならそれほど不便を感じずに済むのだけど。

17 名前:(○口○*)さん:08/11/27 13:23 ID:HVlJegde0
>LinuxのFirefoxはGtk2経由になるからもっさりだし、LiveCDだとadd-Onsも使えないから使い勝手はいまいち。
そんなこといちいち言っていたら使えませんがな。
ブラウザアドオンはUSBメモリにOSを突っ込めば解決するしね。

相応しいスペックがあればオンボードRageXLで使ってもあんまりもっさりは感じない。
半透明バリバリとか動画やFLASH多用サイトにでも行かないかぎりは。

18 名前:(○口○*)さん:08/11/27 13:47 ID:7M2kUxwR0
ぶっちゃけ、感染後、急いでパスを変更するための安全な環境としてはどうなんだい?

19 名前:(○口○*)さん:08/11/27 19:56 ID:rvVkZK3b0
うってつけ。rootkitに感染しててもHDDから起動しなかったら関係ないし。
OSまで違うんだから言うこと無い。

20 名前:(○口○*)さん:08/11/27 20:34 ID:9X95vfC+0
比較的スタンダードな環境なら、割とすんなり起動できるから悪くないとは思う。
例えば、ルータを設置していて普通にDHCPでアドレスを取得しているようなケースなど。
ただ、フレッツ接続ツールを利用してPPPoEを喋らせていたり、無線LAN経由の接続などで常用するのは少々苦労するかも。
ノート用VGAなど、方言の強いカスタマイズが施されている場合も一手間ありそう。

21 名前:(○口○*)さん:08/11/29 16:12 ID:pfHkB4ut0
福建中華一味、またWiki改竄をしているようだ。
そして改竄履歴を探っていくと、FC2ブログ乗っ取りも確認した。

*乗っ取られたブログ
shikisair■blog25■fc2■com

いつものステルスIFRAMEで短縮URL(bluewoon行)が仕込まれている。
FC2は本当にダメだな、IFRAME禁止にしないと何度でも再発しそうだ。

二カ月ちょっと放置するだけでもこの有り様、管理放棄するくらいなら中身完全削除してまるっと閉鎖。

気をつけてくれよな!

22 名前:(○口○*)さん:08/11/29 16:38 ID:xrYlijXZ0
JR北海道のHPが改ざん 利用を停止(11/29 09:14)
ttp://www.hokkaido-np.co.jp/news/society/131964.html

>JR北海道は二十八日、同社のホームページ(HP)が不正アクセスにより
>改ざんされ、利用を停止したと発表した。会員登録するとHPから切符の
>購入ができるようになっており、サーバーにはクレジットカード番号など
>約八万人分の個人情報が保存されているが、外部に流出したかどうかは調査中という。
>
>利用を停止しているのは「JR北海道ホームページ」と「JR北海道携帯サイト」。
>改ざんは利用者の指摘で二十七日に気づき、調査したところ、サイト上の
>「運行情報」などをクリックすると、中国や台湾のサイトに自動的につながる
>プログラムが組み込まれていたという。復旧のめどは立っていない。

ハクと直接関係あるかどうか判らんけど、こういうのを見ると
PG2で中韓台香あたりをブロックしてないと怖すぎる。

23 名前:(○口○*)さん:08/11/30 18:03 ID:oY0H66Xh0
パス抜かれてもその垢課金切れてたらどーなんのかな?

24 名前:(○口○*)さん:08/11/30 18:07 ID:8HoqsiPO0
今なら1dayでごっそりだな、あれは確認いらずでチャージされる

25 名前:(○口○*)さん:08/11/30 18:34 ID:En7JWBsh0
>>23
勝手にチャージされて取られていたって例もある

本当かどうかは本人以外には判らないが

26 名前:(○口○*)さん:08/12/01 16:10 ID:gnqdap+E0
JR北海道、不正アクセスによるページ改ざんでWebを一時停止
ttp://internet.watch.impress.co.jp/cda/news/2008/12/01/21700.html

27 名前:(○口○*)さん:08/12/01 16:10 ID:gnqdap+E0
既出だった…

28 名前:(○口○*)さん:08/12/01 18:42 ID:n/MUcQfF0
>>23
カムバックキャンペーンまじオヌヌヌ

29 名前:(○口○*)さん:08/12/02 10:49 ID:zsjhrStP0
テストで再確認、「ウイルス対策ソフトへの過信は禁物」
http://itpro.nikkeibp.co.jp/article/OPINION/20081127/320047/

30 名前:(○口○*)さん:08/12/02 10:53 ID:o0nufZWu0
PCの調子が悪い時期にウィルス拾っちゃって垢ハックされて、
復旧しますよって段階まで来たんだが、この当たりの情報って需要ある?
過去スレで似たような流れだから大して目新しい事もないだろうけど。

警察側で対応してくれた方が以前ROやってた若い方だったのでいろいろ雑談して面白い話が聞けたと思う。

基本はハックされない事が大事だけど、もし垢ハックされちゃったらテンプレに書いてあるアドレスを読んで動けば問題ない。

31 名前:(○口○*)さん:08/12/02 16:17 ID:7HkN9QMw0
オンラインゲーマーを狙う5つの脅威
ttp://www.f-secure.co.jp/news/200812011/

32 名前:(○口○*)さん:08/12/02 17:35 ID:7ZSeHw6J0
停電
猫パンチ
おかん襲来
尿意
便意

33 名前:(○口○*)さん:08/12/02 19:42 ID:OhvqHf6Z0
新しい不正ツール対策システム導入のお知らせ

ttp://www.ragnarokonline.jp/news/play/measures/item/11870

nProじゃなくなるのですね。

34 名前:(○口○*)さん:08/12/02 20:12 ID:1PWzmy+10
Hack Shieldにでも乗り換えるのか?

参考になるか分からんがアンラボの過去記事
http://game.watch.impress.co.jp/docs/20080515/ahnlabo.htm

35 名前:(○口○*)さん:08/12/02 20:43 ID:6lqvBZIz0
FEZも昨日からnProじゃなくなったらしいな。

知り合いがカスペだとFEZが起動しねーって嘆いてた。
プロアクティブディフェンスを切ると立ち上がるらしいんだが。

36 名前:(○口○*)さん:08/12/02 21:15 ID:NK50aPJm0
FEZではセキュリティツールの変更で、windows x64環境では動作しなくなった模様。
ROもどうなることやら。

37 名前:(○口○*)さん:08/12/02 21:20 ID:1PWzmy+10
どうなるってもともと動作保証外…

38 名前:(○口○*)さん:08/12/03 02:27 ID:YIycyDz50
質問です

先月アカウントハックにあったのでガンホーに報告したところ、疑わしい接続がみつかったということでした。
次に警察に相談しようと思うのですが、電話だけで最後まで解決するものなのでしょうか?
というのは、仕事の関係上都合がとれず、直接警察まで行くのが少々難しいのです…
過去にアカウントハックにあって無事復旧までした方の体験談をみると電話だけで済んでいたようだったので…
ただ、絶対に直接行くのがムリというわけではなく、あらかじめどのようなものかわかっておけばこちらも準備ができ、
都合もつけやすいと思ったので。

もしわかる方がいらっしゃったらお願いします

39 名前:(○口○*)さん:08/12/03 04:29 ID:5tcQi5E+0
急ぎで大変申し訳ないのですが、
mixiの足跡を辿っていたら垢ハックらしきblogへとアクセスしてしまいました。
aguseでチェックはしたところ「ウイルス(ワーム、スパイウエア)は検出されませんでした。」と出たのですがとても心配です。
今急いでウィルスチェックをし、母のNPCからガンホーIDを変更しているところです。
自分でもやれるだけの事(あとはPCのリカバリーくらい)はしますが、他に何かやっとくべきって事がありましたらご教授ください。

http://rmtonline■blog89■fc2■com/

がそのサイトなのですが、お手数ですが垢ハックアドかどうか判定をお願いできませんか?
fc2blogなので濃厚だと思うんですが、aguseの調査結果は白で、
テンプレのURL先のドメイン一覧ではまだ未掲載だったので新たな垢ハックアドかもしれないので。

よろしくお願いします。

40 名前:(○口○*)さん:08/12/03 06:54 ID:+sfWjLJm0
>>39
>>1
■ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ■

テンプレ読めよ。

41 名前:(○口○*)さん:08/12/03 09:29 ID:5tcQi5E+0
>>40
テンプレ読めというのもわかるけどもう少しテンプレと本文読めよ。
怪しいアドを踏んだ時の報告にも当てはまるだろう?

42 名前:(○口○*)さん:08/12/03 09:57 ID:7qoRn/Ay0
>>41
報告テンプレ使ってないってことはテンプレ読んでないよ。

>>39
ソースに怪しいところはなかったです。
が、世の中に絶対という言葉はどこにもありません。

43 名前:(○口○*)さん:08/12/03 10:26 ID:5tcQi5E+0
>>42
>報告テンプレ使ってないってことはテンプレ読んでないよ。
踏んだすぐ後に顔真っ赤にしながら頼ってここに来たからテンプレ使わなかったのは正直すみませんでした。

調べてくれてどうもありがとう。少しは気が楽になった。
やっとバックアップ取り終わったからメンテの間にでもリカバリーを済ませてきます。

44 名前:sage:08/12/03 14:19 ID:cdRpzmGx0
【      気付いた日時          】 2008.12.3
【不審なアドレスのクリックの有無 】 ttp://conoca■no-ip■org/index■html
【他人にID/Passを教えた事の有無】 ないです
【他人が貴方のPCを使う可能性の有無】 ないです
【    ツールの使用の有無      】 ないです
【  ネットカフェの利用の有無    】 ないです
【     OS    】 XP PS2
【使用ブラウザ 】 IE6
【WindowsUpdateの有無】 自動更新になっています
【 アンチウイルスソフト 】 ウィルスバスター2009
【その他のSecurty対策 】 ないです
【 ウイルススキャン結果】 今現在検索中です
【スレログやテンプレを読んだか】 今から読みます
【hosts変更】ないです
【PeerGuardian2導入】ないです
【説明】 ROブログ巡りしていたら、英語のサイトっぽいとこが表示されて、しばらくしたら猫などの画像がいっぱい並んで出てきて怖くなって消してしまいました。
垢ハックは白いページが出るみたいに聞いていたのでちがうのかなぁと思いつつ、別PCでパスワードなど変えてからROにログインしてみたらキャラが消えていたので、これって垢ハックなのでしょうか・・・
aguse.jpで調べてみたらウィルスはでてこなかったのですが、リカバリーしたほうがいいですか?
よければご教授お願い致します。

45 名前:(○口○*)さん:08/12/03 14:23 ID:CKGyxG3u0
>>44
skuldがまた再開して違う鯖に接続したとかは?

46 名前:(○口○*)さん:08/12/03 14:24 ID:i2n7WvhI0
>ROにログインしてみたらキャラが消えていたので

スクルドができた分でワールドがずれてたとエスパーしてみる。

47 名前:(○口○*)さん:08/12/03 14:29 ID:ztc/LoAk0
まだHS入れてないのかな、試しにRO起動したらものっそい軽かったんだが。
nProの時はくそ重かったがどっちのセキュリティも信用ならんな…

48 名前:(○口○*)さん:08/12/03 14:32 ID:i2n7WvhI0
>どっちのセキュリティも信用ならんな…
そんな正直な…。取り敢えず、評価は動きはじめてからにしましょうや。

49 名前:(○口○*)さん:08/12/03 14:33 ID:WdRcuIzU0
skuld一番下にしてほしいぞ・・・

50 名前:(○口○*)さん:08/12/03 15:28 ID:BHG9XiVp0
ログイン
→あれ? キャラがいない・・・
→サーバを間違えていたことに気づき、前画面に戻ろうとする
→クライアントを終了しますか?
→[OK]('A`)

51 名前:44:08/12/03 15:28 ID:cdRpzmGx0
ごめんなさい、書く所間違えて上げてしまいました><

昨日メンテ後に一回ログインしているので、いつもは保存されているので、ワールドがずれていたということはないとおもうのですが・・・
キャラ消えてて怖くて確認のログインはしていないので、メンテ終了後にまた確認の方はしてみようと思います。

カスペルスキーオンラインウィルススキャンをしてみたのですが、特にウィルスは検出されませんでした。
このURLはサイトがなくなって借りてたとこの広告か何かが出ただけなのでしょうか・・・

52 名前:(○口○*)さん:08/12/03 15:37 ID:7k426IvX0
正直カスペで検出されないならまず平気。
ROレベルのアカハックウィルスなど脅威に値しない。
メンテ後ログインして無事だったと報告待ってますよ。
鯖間違えないようにね。

53 名前:(○口○*)さん:08/12/03 15:42 ID:7qoRn/Ay0
なんて言ってるとゼロデイ爆撃でやられるんですよ。
今はそこまでの敏捷性が中華にないからおおよそ救われているけれど、
Flashのアップデートをおろそかにしてやられた例を忘れたわけではないでしょうね?

54 名前:(○口○*)さん:08/12/03 17:13 ID:C/lY9q9O0
これさえ一つやって置けば安全安心ですよ、なんてのは滅多にないな
ネットに繋がずに外部記憶装置も一切使わないくらいやらないと難しい。

55 名前:(○口○*)さん:08/12/03 17:15 ID:7qoRn/Ay0
というわけで、Secunia PSIの導入を勧めます。
プラグインの類まで調べてくれるので。
http://internet.watch.impress.co.jp/cda/news/2008/11/26/21649.html

56 名前:(○口○*)さん:08/12/03 18:03 ID:J9iYqWJY0
nProの後釜って結局何になったんだろうか

57 名前:(○口○*)さん:08/12/03 18:12 ID:9E/1s7310
なんだろうね?
追加ファイル無いしRagexeに取り込まれた?

58 名前:(○口○*)さん:08/12/03 18:19 ID:J9iYqWJY0
確認してみたら Ragexeのサイズが 1MB近く増えてるからそうかも

59 名前:(○口○*)さん:08/12/03 19:19 ID:i2n7WvhI0
サイズ増加は単にexe全部がパック(圧縮)かかってたのが、一部分だけになったかららしいが。

AhnLab HackShield だって他のスレに出てたけど、本当かどうかは知らない。

60 名前:(○口○*)さん:08/12/03 19:35 ID:9E/1s7310
他に思い当たりそうな製品がないからだよ。
RO2で採用実績がある。

61 名前:まとめ臨時 ◆kJfhJwdLoM:08/12/03 20:27 ID:1pjNVzUa0
今起動してみるとROのゲームウインドウが開く時に
WINDOWSシステムフォルダ\system32にHtsysm42C2と言うファイルを生成するので
WindowsDefenderを導入しているとそのつど確認を求められます。

今までのnProが作る一時ファイルとかと同じなのかもしれないですね。

62 名前:(○口○*)さん:08/12/03 21:39 ID:cYitIWnU0
>60
「RO2」と「実績」…!
これほど説得力のない組み合わせも珍しい…かも。
いやまぁ、採用実績には間違いないんだけど。

で、nPro無くなって朗報。
FWにComodo使っている人もいるかと思うけれど、今までnProと相性の悪かった
Defence+も、止めずにRO出来るようになりました。
自分の所の32bitVistaHomePremiumで動作確認。

63 名前:(○口○*)さん:08/12/03 22:56 ID:PsjgI96t0
RO2で実績ってアナタ・・・
プレイヤーにはできない高速詠唱で攻撃しつつ画面内を高速で移動するRO2のBOTを思い出したよ・・・

64 名前:(○口○*)さん:08/12/04 00:10 ID:c7wABn7l0
新セキュリティの動作ロジック概略。
ROクライアント起動時、non-PnPデバイスとしてGHGuardを生成、レジストリに登録&ロード。
HKLM\SYSTEM\CurrentControlSet\Services\GHGuard、実体は%SystemRoot%\system32\Htsysm42C2。
このあたりの挙動は、イベントビューアでもある程度確認することができる。
終了時にアンロード&レジストリ削除。

1ヶ月ほど先行してnProから自前?セキュリティに乗り換えたGamePotのLaTaleを見てみると、やはり類似のロジック。
違う部分は、デバイス名がGPPな事と実体がGPP.dllな事。
これら2つのファイルをバイナリも読めるエディタで見比べてみると……
あるぇー??

おまけ:
ttp://www.virustotal.com/jp/analisis/e1b2a44b315c2a0825aae627b0d03687
ttp://www.virustotal.com/jp/analisis/8e3e23c47f7281cf5287c8a25e5d2663

65 名前:(○口○*)さん:08/12/04 02:05 ID:OLD4SzGM0
どこが作ったんだろーな?
あんまり書くとスレチになるのでやめとくけれど、GPP.dllをググると参考に
なりそうな話がでてくる。がめぽプロテクトなんて呼ばれてるな。

66 名前:(○口○*)さん:08/12/04 03:06 ID:PHgeqz2e0
nProじゃなくなったから当然かもしれんが、
nPro暗号が無くなってるなあ。
UP暗号解析されたらBOT復活してきそうだな。

67 名前:(○口○*)さん:08/12/04 09:11 ID:j80VccZA0
nProでなくなったからこそ、そのプロテクションの出番なんでは?
FEZのと同じという可能性もあるし、あえて今年築き上げた課金アイテム構造を捨てるような真似はしないだろし

68 名前:(○口○*)さん:08/12/04 09:34 ID:aR+uGcku0
>>38
一応自分の場合は警察に出向いて事情説明、書類作成後内容確認して署名印鑑(拇印)、後は添付資料の提出なんかで何度か行く必要があった。
後ろ二つは夜に対応してもらった。資料渡す程度なら窓口に提出して渡してもらうのも一応可能だった。

雑談程度に聞いた感じだと、警察側でもまだ経験が多くないし、PCに詳しくないおっさん警官なんかも多いため対応できる人間が少ないらしい。
自分の場合だと、署の中でこういったことに対応できるのが対応してくれた方しか居ないようなことを言っていた。

署や人によって違う部分は多いと思うので、電話で済む場合も有れば済まない場合もあると思う。
必要なものも合わせて変わってくると思う。

人の少ない警察署だと対応できる人間が限られているので、相手側の都合と合わず時間が掛かってしまうだろうが
相談すれば調整してくれるんじゃないかと思う。
とりあえず電話して、時間の事情も話して効率よく勧める為に何が必要か聞いたほうが早いと思う。

69 名前:(○口○*)さん:08/12/04 11:20 ID:AHIgrKrF0
日本オンラインゲーム協会で繋がってたりするのかなー
ガンホー本体は入ってないけどケイブとかエクストリームって癌関係してたよね?
今後他のゲームもセキュリティソフト変えてくるんだろうか

70 名前:(○口○*)さん:08/12/04 11:55 ID:3LIa15Q20
なんかnProに比べてWindowsには優しいかもしれんがショボそうだな。

71 名前:(○口○*)さん:08/12/04 13:22 ID:Xs0Gj27D0
nProってそんな大したもんでもないんでは
俺の記憶違いかもしれんが

72 名前:(○口○*)さん:08/12/04 13:27 ID:YYy8SQh/0
nProがしょぼいからそんな差はなかろうて

73 名前:(○口○*)さん:08/12/04 13:29 ID:NH9h3vxj0
骨抜きにされたから大したこと無いだけで、
まあそれを「ザル」というのなら合っているが。

Webブラウザ版はNICOSで採用されてるな。
任意だが。

74 名前:(○口○*)さん:08/12/04 18:39 ID:KIlaUGOg0
nProは大げさで重い割にいまいち見掛け倒しなイメージだからな
軽いものがnProと同等かそれに近い働きをするってんならそれでいい

75 名前:(○口○*)さん:08/12/04 21:55 ID:rC9cW/IK0
アイテム復旧って巻き戻しじゃなくて追加らしいけど、
これって警察に無くなった以上のアイテム届け出だしてもわからなくない?
巻き戻して警察に届けられたアイテムと確認しながら追加するのかなぁ

もし追加だけならアリスc8枚くらい倉庫にありました、言うわw

76 名前:(○口○*)さん:08/12/04 21:58 ID:PUZRUPKn0
>>75
アイテム移動ログだかなんだかを癌→警察へ提出される。
それを元に復旧するんだろう。

77 名前:(○口○*)さん:08/12/04 22:01 ID:OLD4SzGM0
チートじゃないからばれるだろう。

78 名前:(○口○*)さん:08/12/04 23:34 ID:XzwQbaCU0
>>75
RO依存症に見えるぞ

79 名前:(○口○*)さん:08/12/04 23:36 ID:GDS/90Yy0
小学生の妄想に付き合う必要ないだろ

80 名前:(○口○*)さん:08/12/04 23:49 ID:R5QX+xc00
>>75
虚偽申告は業務妨害。ログからバレるんだし、正直にやれ。
虚偽申告したら、戻るものもログから辿れなかったと言われて戻して貰えないかもな。

81 名前:(○口○*)さん:08/12/05 09:20 ID:/Vmo8DM60
>>75
一応警察で書類も作られるんだし、何かしら法に引っかかる可能性もあるかもな。

82 名前:(○口○*)さん:08/12/05 09:43 ID:n6CXLxP60
今だとゲームでのプロテクトとweb認証の多重のプロテクトかかっているようだし
ガンホウの課金アイテム販売という更に加えた理由でそうそうBOTに蝕まれることはないじゃ?

83 名前:(○口○*)さん:08/12/05 13:07 ID:27L2IryW0
FEZ12/1とRO12/3の脱nProパッチでVistaで起動しない不具合について、
2社それぞれに質問して帰ってきた回答

Gamepod回答:
お客様よりお問い合わせいただきました件につきまして、ゲームガードを変更し
て以降、一部のセキュリティソフトをインストールした環境下において、正常に
ゲームの起動を行うことができない状態となっていることを確認しております。

ご報告いただいております現象が、上記現象に該当する可能性があり、現在状況
確認とともに対応について協議を行っております。

進展がありました際には公式サイトにてご報告いたしますので、お困りのところ
大変申し訳ありませんが、今しばらくお時間を要します旨、何卒ご理解とご了承
をお願い申し上げます。


ガンホー回答:
運営チームでは、ショップブランドパソコンをご利用の場合
大変申し訳ございませんが、
サポートの対象外とさせていただいております。

その為、誠に恐れ入りますが、下記URLにてご案内させていただいている、
稼動スペックを満たした環境からご利用をお願い致します。

◇ラグナロクオンライン 稼動スペック
http://www.ragnarokonline.jp/beginner/download.html

84 名前:(○口○*)さん:08/12/05 13:13 ID:3N0lsd5A0
いつものガンホーじゃないか

85 名前:(○口○*)さん:08/12/05 13:19 ID:3hlR9wH+0
正直ガメポのほうが読みづらい

86 名前:(○口○*)さん:08/12/05 13:46 ID:3Xbf3GU30
読みづらいとかの次元の話じゃねーだろ常考

87 名前:(○口○*)さん:08/12/05 14:15 ID:mql9UXPjO
>>85
ゆとりは黙ってて…

88 名前:(○口○*)さん:08/12/05 14:27 ID:3hlR9wH+0
>>87
30こえてROとか…

89 名前:(○口○*)さん:08/12/05 15:14 ID:HO7Lqz6V0
いつの時代の話してんだよw
今時30超えても普通にネトゲしてるってw
俺の知ってる限りで70代ROプレイヤーいたぞ、実際にあって話ししたし間違いない

90 名前:(○口○*)さん:08/12/05 15:17 ID:3N0lsd5A0
>>88もきっと30超えてもROやってるぜ

91 名前:(○口○*)さん:08/12/05 15:23 ID:xggOQFle0
確か一番多いの20代後半から30台にかけてじゃなかったか?
大学生くらいのときにβが始まってそのままずるずる続けてる層が一番多くて
新規流入が減ってるから、プレイヤーの平均年齢が年々上がっていってるという。

92 名前:(○口○*)さん:08/12/05 16:57 ID:IH2dubGc0
相応に精神年齢高くなってくれりゃいいんだがな・・・
どうにもプレイヤー年齢層上がってるという割にはアホみたいな揉め事を多々見かける。

93 名前:(○口○*)さん:08/12/05 17:04 ID:rmvVHVTV0
スレタイ読めずにそんなこと言ってれば年齢云々関係ないよな

94 名前:(○口○*)さん:08/12/05 19:39 ID:GrSANz4k0
やっぱり、今の親がSo-netになっているがめぽの方が、ユーザーへの対応を心得てる感じだね。

95 名前:(○口○*)さん:08/12/05 19:51 ID:dlrwPiBt0
>>83
TSUKUMOのラグナ推奨PCもサポート対象外になりそうだな
アレもショップブランドだよね?

96 名前:(○口○*)さん:08/12/06 00:16 ID:hpkfpFIg0
>>95
公式から転載だけど

> なお、運営チームにて動作検証を行い、動作確認を行った「ショップブランド」パソコン(「ラグナロクオンライン
> 推奨パソコン」を含む)については、サポートの対象とさせていただきます。

ということで、ショップブランドであってもRO推奨モデルに関してはサポートの対象になってるよ

97 名前:(○口○*)さん:08/12/06 00:19 ID:NpnWNK420
なんか色々変更したらアウトなんだろうな

98 名前:(○口○*)さん:08/12/06 00:59 ID:gvrnCEpO0
>>96
癌のサポートは続いても、99側が先行き怪しいけどね。

99 名前:(○口○*)さん:08/12/06 11:06 ID:F/e7Rb5L0
ショップブランドって自分で組み立ててないだけの自作PCだし、自分で
面倒見れない人が買うもんじゃ無いでしょ。

癌も、もうちょい言い方ある気がするけどね。
どうせテンプレのコピペなんだから、元の文章をちゃんと書いても
大した手間じゃなかろうに。

vistaで動かす時の注意事項書いたページのリンクくらい書けばいいのに。

100 名前:(○口○*)さん:08/12/06 11:13 ID:NpnWNK420
サポートにもう少しお金かければいいのにな。
中の人を責めるのは少しカワイソウだ。
悪いのはいつも上の人間で、とばっちりを受けるのは末端。

101 名前:(○口○*)さん:08/12/06 20:39 ID:85XK2bq50
420 名前:(^ー^*)ノ〜さん[sage] 投稿日:08/12/06 02:48 ID:dpjSn57t0
>>345関連。
何気なくHTTPのレスポンスヘッダを見ていたら、Nuleus CMSのバージョンがv3.22とか、随分古いのを使っているなと思った。
ttp://japan.nucleuscms.org/archive/6/2006-09
>なお、Nucleus3.22以前には既知の脆弱性があり、攻撃方法も知られています。
>3.22以前をお使いの方はこの機会に3.23へのアップデートをお願いいたします。
現行最終バージョンはv3.31 SP2。

----
これ、ベンダー個別提供のパッチとかが提供されていて、それを適用しているとかならいいのだけど。
果たしてどうなんだろう。どうにも気になる。

102 名前:(○口○*)さん:08/12/06 23:42 ID:P7aN9Cxw0
セキュリティ気にしているなら、そもそもヘッダを馬鹿正直に出さない。
どうなのよそれ。

103 名前:(○口○*)さん:08/12/07 05:20 ID:kc/zBWiQ0
phpの生エラーをリモート側に吐くような設定で、そのまま実運用しているような状況だしな……

104 名前:(○口○*)さん:08/12/07 07:38 ID:KAtDrU1lO
今ネカフェいってやりながら、時間無かったんで別窓でカスペかけながら
必死狩りして、2時間経過後カスペ結果見たら
見事にtorjan.win32だかが検出されてたんで
ダッシュで帰宅してIDとパス変更したよ。


幸い、資産は一切失ってなかったんでまだログインされてなかったけど
2度とネカフェ利用しないと誓ったわ(´・ω・`)

105 名前:(○口○*)さん:08/12/07 15:05 ID:XDld64Z4O
店員には話したのか?
店に対応してもらわないと他の人が被害にあうぞ

店によっては料金割引いてくれることもあるしw

106 名前:(○口○*)さん:08/12/07 18:41 ID:VNItCr430
torjan.win32ってよく誤検出で見かける名前な気がする

107 名前:(○口○*)さん:08/12/08 10:02 ID:bKBolKp80
>>106
ついさっき、それで誤検知をかましてくれったっぽい。
検知しました: トロイの木馬 Trojan-Dropper.Win32.Agent.aazo
ファイル: C:\System Volume Information\_restore{A23C4FDE-C619-474B-B9AE-635CFEA201AE}\RP72\A0011997.exe

12/8 AM6:00ごろ上記が検知された。
まったく心当たりが無かったんで、とりあえずVirusTotalにアップロードしようとしたが
何故か0キロバイトだと言われて検査できなかった。
不安になったため、該当ファイルを削除。
AM9:45ごろに定義ファイルが更新されたため、該当ファイルを復元して再スキャン
結果検知せず。

現在もう一度VirusTotalに上げてみたところ、今度はちゃんと検査されて
結果どこも検知せず。
ttp://www.virustotal.com/jp/analisis/b3d7cfcb6c4249dc373ab487018aeee6

しかし何故一回目はアップロードできなかったんだろう。

108 名前:(○口○*)さん:08/12/08 12:16 ID:CR7PnYsD0
12月のマイクロソフト月例パッチ、“緊急”6件と“重要”2件
http://internet.watch.impress.co.jp/cda/news/2008/12/05/21763.html

109 名前:(○口○*)さん:08/12/08 21:04 ID:OLUa8j0u0
今日ログインしたらアカウントハックにあっていました

とりあえずこれから色々調べてガンホーに報告 警察へ届け等するのですが
公式HPのプレイマナー アカウントハックの所に書かれてるように
警察が不正アクセスを見つけてくれた場合
無くなったアイテム等は戻ってくるのでしょうか

事実アカウントハックにあわれて保障してもらえた方いらっしゃいますか?

110 名前:(○口○*)さん:08/12/08 21:33 ID:9+Ct0HeZ0
ご愁傷様っつーか、ログ嫁っつーか…

111 名前:(○口○*)さん:08/12/08 21:50 ID:CR7PnYsD0
>>109

>>2
・アカウントハッキングについて > 被害にあってしまったら(RO公式)
  http://www.ragnarokonline.jp/playguide/hacking/hacking_04.html

112 名前:(○口○*)さん:08/12/09 02:11 ID:4d5xHX+l0
1年ほど前に垢ハックの被害を受け、カスペルを導入したところ(それまで無対策)
案の定トロイが検知されました。
カスペルで駆除したあと、今までずっとPCごと放置してきました。
最近になって復帰しようと思い、念の為ウイルスチェック→正常だったので、
OSを再インストールしてからROとカスペルを入れ、
いざ起動しようとすると以下のような反応が出ました。

Ragnarok MFC 韓国語(恐らくファイル名)[弱い制限付きグループ]
はドライバのダウンロードの隠ぺいを試みています
C:\WINDOWS\SYSTEM32\HTSYSM42C2カスペルスキーインターネットセキュリティ
はドライバインストール後にアプリケーションの動作を監視できなくなります
疑わしいオブジェクト:C\GRAVITY\RAGNAROKONLINE_RAGEXE.EXE

正常の状態でもカスペルは警告した覚えがあるので、誤検知かなぁと思い、
正常なPCでROとカスペルを入れ起動してみると、

危険なアプリケーションを実行します

のようなメッセージしか出ず、気持ち悪くてログインできないんですが、
これは大丈夫なのでしょうか?
駆除→再インストールで危ないんだったらもう諦めるしかないですか?

113 名前:(○口○*)さん:08/12/09 02:13 ID:PuWrHSds0
>>35見た感じだと、引っかかったりするようだね。
ウイルスチェックして問題ないなら、大丈夫でないの?保証はしませんが。

114 名前:(○口○*)さん:08/12/09 03:07 ID:RxGFVylk0
>>112
>>64
この挙動が気持ち悪くて受け入れ難いと思うのなら、アトラクションIDを削除してすっぱり引退した方が気分が楽だと思う。

115 名前:112:08/12/09 10:29 ID:wX9sMIgA0
ええっと何故引っかかるのかというと、
感染したPCと、正常なPCでカスペルさんの反応が違うからなんです

116 名前:(○口○*)さん:08/12/09 10:48 ID:+3AABMDP0
OS入れ直すしかないんじゃないですか?
そんな込み入ったことまで分かる人は、いません。
カスペのサポート頼ってください。

117 名前:(○口○*)さん:08/12/09 12:46 ID:7p3gWdg60
流れを読まずに言うと、感染PCではセキュリティソフトの動作が阻害されることはよくある。
>>10みたく、DVD起動でチェックかける奴だと阻害されない。

他になにが動作してるのかわからないのだから、このスレ的にはOS入れ直せというのが結論。

118 名前:112:08/12/09 15:00 ID:wX9sMIgA0
OSは入れ直しました

そうですね、やはりここまで複雑な事態だとわかるがずないですね
自己責任でやってみることにします

119 名前:(○口○*)さん:08/12/09 15:38 ID:7p3gWdg60
ぶっちゃけ設定が違うだけだと思うけどな。プロアクティブディフェンスの設定あたり見直しとけ。

120 名前:(○口○*)さん:08/12/10 07:40 ID:IQmg2MCu0
今日は月刊WindowsUpdateの日

121 名前:(○口○*)さん:08/12/10 09:42 ID:6YSwR6FT0
緊急(6) 重要(2)
ttp://www.microsoft.com/japan/technet/security/bulletin/ms08-dec.mspx

122 名前:(○口○*)さん:08/12/10 12:16 ID:6YSwR6FT0
「ワードパッド」に脆弱性、修正パッチは未提供
ttp://internet.watch.impress.co.jp/cda/news/2008/12/10/21807.html
>影響を受けるOSは、Windows XP SP2/2000およびWindows Server 2003。マイクロソフトでは現在この問題について
>調査中で、修正パッチは現時点では提供されていないため、セキュリティアドバイザリでは回避策として該当機能を
>無効化するための手順を紹介している。また、Windows XPの場合にはSP3適用済みであればこの脆弱性の影響を
>受けないため、SP3の適用を推奨している。

123 名前:(○口○*)さん:08/12/10 14:13 ID:IQmg2MCu0
穴だらけのまま放置されていてハニーポットとして便利な
「ゲーム攻略専門検索エンジン・ゲームナビ」(XREA)への
スクリプト注入。

1920041566:65535/fc2■js

fccja■comです。

124 名前:(○口○*)さん:08/12/10 14:22 ID:ziLlIYa00
ああ、それちょうど、今朝検体提出した奴だ。AntiVirがヒューリスティックで検知したので他社にも送ってみた。
カスペは朝の時点でスルーだったけど、やっぱ対応早いね。4時間位で返事来たよ。

検体提出:7:18:46
カスペ、次のパターンで対応との返事:11:25:36

fc2.js_ - Trojan-Downloader.JS.Iframe.aaz

AntiVir 7.9.0.43 2008.12.09 HEUR/HTML.Malware
Authentium 5.1.0.4 2008.12.09 HTML/Iframe.E!Camelot
F-Secure 8.0.14332.0 2008.12.09 HTML/Exploit!IFrame.G
SecureWeb-Gateway 6.7.6 2008.12.09 Heuristic.HTML.Malware

125 名前:(○口○*)さん:08/12/10 14:53 ID:IQmg2MCu0
あれ…セキュ板でかぶったっすかね?

126 名前:(○口○*)さん:08/12/10 14:57 ID:IQmg2MCu0
スクリプトか…。
トロイはいつも(XREA広告やFC2ブログ)の奴です。
114■113■130■94:65535/t.gif.gif
画像ではなくexe。

127 名前:(○口○*)さん:08/12/10 14:58 ID:ziLlIYa00
???

今朝、検知したから送っただけで、セキュ板で見掛けて送った訳じゃないけど。

128 名前:(○口○*)さん:08/12/10 15:03 ID:IQmg2MCu0
こちらの勘違い。忘れてくだされ。

129 名前:(○口○*)さん:08/12/10 17:06 ID:KHv1eiAQ0
ttp://mepriests■148■xrea■com/
旧MEプリテンプレが閉鎖して今は真っ白状態なんだけど
不安

ういるすとかありませんよね?

130 名前:(○口○*)さん:08/12/10 17:09 ID:5eInVgHP0
>■ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ■

131 名前:(○口○*)さん:08/12/10 17:32 ID:JYN3dnkV0
>>129
・真っ白だから危険とは限りません
・見た目が普通でも裏で悪さしているかもしれません
→見かけだけでは危険性は分からない

あとそのURL、確認ができないと思ったら■の位置が違うな

132 名前:(○口○*)さん:08/12/10 17:49 ID:sWYICoFg0
閉鎖とか今さら何を言ってるんだ状態だしなぁ。

あのサイトが"放棄"されたのもだいぶ昔だし、アプリコットカフェのMEプリスレ>>1でも
アコプリWikiのMEPriestページを載せてるし。

133 名前:(○口○*)さん:08/12/10 17:57 ID:6YSwR6FT0
index.html以外は全部404が返ってきたから、要はそういうこと。
ただ、全凍結されていたとはいえ、引き継ぎなど全て閲覧側に丸投げだったのは管理人としてどうかとは思うけど。
当人が既にROへの興味は失っていたようなのも含めて。

134 名前:(○口○*)さん:08/12/10 18:05 ID:KHv1eiAQ0
自分RO復帰したてなのでお気に入りにいれてた昔のサイトが
閉鎖していてこまっているのです

135 名前:(○口○*)さん:08/12/10 18:19 ID:qXZ8jheN0
スレタイを読もうか。

136 名前:(○口○*)さん:08/12/10 18:36 ID:ziLlIYa00
>>134
そうですか。こちらへどうぞ。

愚痴・溜息・戯言スレッドLv182
http://enif.mmobbs.com/test/read.cgi/livero/1226713110/

物凄い勢いで誰かが質問に答えるスレ Lv147
http://enif.mmobbs.com/test/read.cgi/livero/1228887203/

【日記】| ゚ω゚|っ□チラシの裏74枚目【雑談】
http://enif.mmobbs.com/test/read.cgi/livero/1228318858/

137 名前:(○口○*)さん:08/12/10 21:33 ID:IQmg2MCu0
gamepaslog■com/redstone/
→www■4gameranking■com/xin/
4gamerankingはinfosueekと読み替えておkk

138 名前:(○口○*)さん:08/12/11 16:22 ID:eNLLMTN/0
「ファンタテニス」公式サイト改ざん、閲覧者はウイルス感染も
ttp://internet.watch.impress.co.jp/cda/news/2008/12/11/21826.html

びわこ競艇と多摩川競艇のBBSが改ざん、閲覧者はウイルス感染も
ttp://internet.watch.impress.co.jp/cda/news/2008/12/10/21809.html

139 名前:(○口○*)さん:08/12/11 20:23 ID:eNLLMTN/0
Internet Explorer の脆弱性によりリモートでコードが実行される
ttp://www.microsoft.com/japan/technet/security/advisory/961051.mspx
これらの攻撃は Windows XP Service Pack 2、Windows XP Service Pack 3、
Windows Server 2003 Service Pack 1、Windows Server 2003 Service Pack 2、
Windows Vista、Windows Vista Service Pack 1 および Windows Server 2008 の
サポートされているエディション上の Windows Internet Explorer 7 に対する攻撃であることを確認しています。

[未パッチ注意]


Microsoft ワードパッドのテキスト コンバーターの脆弱性により、リモートでコードが実行される
ttp://www.microsoft.com/japan/technet/security/advisory/960906.mspx
マイクロソフトは Windows 2000 Service Pack 4、Windows XP Service Pack 2、
Windows Server 2003 Service Pack 1 および Windows Server 2003 Service Pack 2 の
Word 97 ファイル用の ワードパッド テキスト コンバーターの脆弱性の新たな報告について調査中です。
Windows XP Service Pack 3、Windows Vista および Windows Server 2008 には
脆弱なコードが含まれていないため、この脆弱性の影響を受けません。

[XPはSP3推奨]

140 名前:(○口○*)さん:08/12/12 00:03 ID:WcmQ2NqX0
RAGUに書いてあったけど、別の脆弱性についても対策完了らしい。
被害者いないといいけど……

141 名前:(○口○*)さん:08/12/12 00:28 ID:JlcZwFOI0
韓国公式見ようとしたらブラウザがブロックしたw

原因

ttp://safebrowsing.clients.google.com/safebrowsing/diagnostic?&hl=ja&site=http://www.ragnarok.co.kr/

142 名前:(○口○*)さん:08/12/12 22:10 ID:ZNSyJSZm0
>139 のitmediaの記事

>中国のサイトで感染の疑い:IE 7にゼロデイの脆弱性、月例パッチでは未解決
>ttp://www.itmedia.co.jp/enterprise/articles/0812/11/news025.html

>脆弱性は、完全にパッチを当てたWindows XP SP3/Windows 2003上のIE 7で確認された。

>既に悪用コードも出回り、実際に攻撃が発生しているという。
>この脆弱性を突いたマルウェアは主に中国でWebサイトを介して感染を広げている模様だ。

>Secuniaの深刻度評価は5段階で最も高い「Extremely critical」。
>同社は信頼できないサイトを閲覧したり、不審なリンクをクリックしないなどの自衛策を呼び掛けている。


ご注意を。

143 名前:(○口○*)さん:08/12/12 22:20 ID:QxwuYw4F0
>>142に補足して IE 5.01 / 6 / 8 Betaも影響を受ける『可能性がある』ので注意

ttp://www.microsoft.com/japan/technet/security/advisory/961051.mspx

144 名前:(○口○*)さん:08/12/13 22:37 ID:IsPigAB50
ttp://www■stair-steps■com/ってHP跡地(失効ドメイン?)に罠が仕掛けられている模様。
上記HPのバナー画像を直リンで張ってたサイトへアクセスすると、それ経由で
www■macrcmedia■com(既知の罠ドメイン)へアクセスさせられる仕組みになってるようだ。

一応、PG2やHostsファイルで対策してる人ならアクセスは弾かれる。
直リンバナーに危険があるとか…初めて知った(゚Д゚)
とりあえず報告まで。

145 名前:(○口○*)さん:08/12/13 22:43 ID:dHIE+p5G0
macrcmediaも期限切れでIP同じになってるだけでしょ。
いつものドメイン業者の広告だし。

146 名前:(○口○*)さん:08/12/13 23:10 ID:IsPigAB50
理解した; 故意に罠が仕込まれた訳じゃないのね。騒いでスマンカッタ_no

147 名前:(○口○*)さん:08/12/14 06:20 ID:iM2Q5Fmv0
RMCに表示される広告でActiveXのインストを求めてくるタイプのものがあるんですが
これって垢ハックだったりしますかね。

怖いんでインストしないでそのままにしてるんですが、自分のギルドで使用している
@Wikiに表示される広告でもActiveXのインストを求めてきていて、
よくわからない状態になっています。

148 名前:(○口○*)さん:08/12/14 11:57 ID:+w/+1ffP0
インストール済みFlashPlayerのバージョンが低くて
自動アップデートされようとしてるとかは?

FlashPlayerを最新にしてからもう一回見てみて

149 名前:(○口○*)さん:08/12/15 13:12 ID:WNuOKao40
今現在、福建中華はREDSTONE爆撃に夢中の御様子。

150 名前:(○口○*)さん:08/12/16 20:57 ID:wHRHIClH0
今NHKで、神奈川県の福祉情報サイトが改竄されてウィルスを含むアドレスに書き換えられたってニュースやってるけど、
もしかして垢ハック…?

151 名前:(○口○*)さん:08/12/16 23:14 ID:LAAj8evb0
http://sankei.jp.msn.com/region/kanto/kanagawa/081216/kng0812161827006-n1.htm

> 神奈川県は16日、「かながわ福祉サービス振興会」がホームページで公開している県内の福祉サービス情報に
>何者かが不正アクセスし、このうち認可保育所898件分の情報が改竄(かいざん)されていたと発表した。

情報の改竄としか載ってないねぇ。

http://headlines.yahoo.co.jp/hl?a=20081216-00000026-kana-l14

> 改ざんが確認されたのは、県内の保育施設や子育て支援団体などの情報を掲載している子育て支援情報サービスのHP。
>すべての認可保育所(八百九十八件)の施設案内などの情報が関係のないHPのアドレスに書き換えられていた。

こっちを見るとアカハックぽい気配があるけど、どこにリンクが変更されてたかはわかんないね。

152 名前:(○口○*)さん:08/12/16 23:23 ID:LAAj8evb0
http://mainichi.jp/area/fukui/news/20081120ddlk18040640000c.html
http://mainichi.jp/area/fukui/news/20081121ddlk18040663000c.html

福井でも先月に似たような事例が…介護保険のHP改竄で、「JS AGENT.IMK」と「TROJ AGENT.ATPF」の2種類
公的機関の介護関係のHPを狙ってきてる可能性もある?

153 名前:(○口○*)さん:08/12/16 23:26 ID:dpQ7d4y40
システムが同じものを使用しているとかじゃないか?

154 名前:(○口○*)さん:08/12/16 23:29 ID:wHRHIClH0
保育施設のHPを改竄って聞いたときは主婦層狙いかとも思ったが

155 名前:(○口○*)さん:08/12/17 09:57 ID:iPnGba1L0
デジカメプリント注文機にウイルス 立川のビックカメラ
http://www.asahi.com/national/update/1217/TKY200812170009.html

>独立行政法人「情報処理推進機構」によると、このウイルスはウイルス対策ソフトを停止させ、
>パソコンを起動できなくさせたり、オンラインゲームのIDやパスワードを盗み出したりする被害が
>確認されている。

中華か?パネェな。

156 名前:(○口○*)さん:08/12/17 19:54 ID:VsPXm13L0
http://alternative0■blog41■fc2■com/?mode=m&no=744
TcpAckFrequency検証Wikiのほうに飛ぶように設定されているようなのですが
飛ぶとファイルのダウンロード−セキュリティの警告-が出ます。
これはウイルスなのでしょうか?
http://c■fc2■com/m.php?_mfc2u=http%3A%2F%2Fronodeley■wiki■fc2■comが飛び先です。

157 名前:(○口○*)さん:08/12/17 20:59 ID:wtXU3K2D0
Firefox 3.0.5リリースage
更新はお早めに。

158 名前:(○口○*)さん:08/12/18 00:37 ID:QLj6qlhN0
火狐だけじゃなくIEもだね

>「Firefox 3.0.5」「Firefox 2.0.0.19」公開、脆弱性8件を修正
>Firefox 2は最後のアップデート
>ttp://internet.watch.impress.co.jp/cda/news/2008/12/17/21899.html

>マイクロソフト、IEの脆弱性修正パッチを18日に緊急公開
>http://internet.watch.impress.co.jp/cda/news/2008/12/17/21893.html

159 名前:(○口○*)さん:08/12/18 02:12 ID:lq5gRAEa0
>>156
■ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ■

「携帯用のページからPCで表示しようとする」時に、クッション頁を表示するphpが動作しないで
ダウンロードされてしまっているだけ。

ttp://alternative0■blog41■fc2■com/blog-entry-744■html からだと問題無い。

160 名前:(○口○*)さん:08/12/18 07:32 ID:kOFRPFs90
>>139,142,158についてのセキュリティパッチ、MS08-078(緊急)公開age。WUで適用可能。
ttp://www.microsoft.com/japan/technet/security/bulletin/MS08-078.mspx

161 名前:(○口○*)さん:08/12/20 21:49 ID:tiwkSKsv0
少し相談があるのでよかったら助言をお願いします。
本日垢ハックされている現場を知人が発見したとのメールを受ける。
PCを触れる環境にいなかったので、知人にIDPASSを教えてログイン
してもらったあとに、パスの変更。
上記のことをしてもらった後に、現在警察に通報しようか考えているのですが
この場合、ログインした知人の処置はどうなるのでしょうか?
もしも不正アクセスでbanされるならば通報は伏せようかと思っています。

162 名前:(○口○*)さん:08/12/20 21:54 ID:/TkDrfWY0
自分からID, PASSを教えてログインするように依頼しているので
不正アクセスにはならない

163 名前:(○口○*)さん:08/12/20 21:54 ID:yp69tsQ/0
本人が教えて指示した場合は不問でない?

164 名前:(○口○*)さん:08/12/20 21:59 ID:hSMfArkv0
>>161
まぁ、「管理者からアクセスを許諾されている人」に更に許諾された人の扱いなので、厳密には範囲に入るが
不正アクセス扱いされることはないでしょう。安心して通報してください。

報告するとき、癌と警察の両方に、不正アクセスされていることがわかったので、これこれこういう対応を
とりました。こちらが指示して代わりに操作して貰ったのは○月○日○時○分頃です。と説明しとけばOK。

http://law.e-gov.go.jp/htmldata/H11/H11HO128.html
>(不正アクセス行為を助長する行為の禁止)
>第四条  何人も、アクセス制御機能に係る他人の識別符号を、その識別符号がどの特定電子計算機の
>特定利用に係るものであるかを明らかにして、又はこれを知っている者の求めに応じて、当該アクセス
>制御機能に係るアクセス管理者及び当該識別符号に係る利用権者以外の者に提供してはならない。
>ただし、当該アクセス管理者がする場合又は当該アクセス管理者若しくは当該利用権者の承諾を得て
>する場合は、この限りでない。

当該アクセス管理者:ガンホー
当該利用権者:>>161さん
当該利用権者の承諾を得た人:>>161さんの知人

165 名前:(○口○*)さん:08/12/20 22:06 ID:wgEbly3D0
不正アクセス禁止法はともかく、規約違反で2人ともBANされても文句は言えないけどな

166 名前:(○口○*)さん:08/12/20 22:09 ID:yp69tsQ/0
さすがにそれはないだろう。

167 名前:(○口○*)さん:08/12/21 01:52 ID:OBtcD02u0
状況を説明すれば緊急避難の処置とされるのでは?
2PCあるならまだしも、PC1台しかないと
被害極限についての方法が無いわけだし。

まぁ、ガンホーのサポセンが24時間電話対応だったらねぇ・・・

168 名前:(○口○*)さん:08/12/21 05:27 ID:37k3CNyy0
本当はハック&ログインなんてされてないのに、されてると言ってIDパスを聞きだしそいつがハック
なんてことを考えてしまった

169 名前:(○口○*)さん:08/12/21 05:46 ID:PSWyDpg00
RODSのWIKIがあらかたアカハク系に書き換えられてた。
現在は直ってるけど注意されたし。

170 名前:(○口○*)さん:08/12/21 09:32 ID:Ys7cIVPH0
すみません。ブログサーフィンしていたらRMT・BOT系の
怪しいブログにアクセスしてしまいました。
aguseでチェックしてみたところ大丈夫だと出ましたが
当方あまりPCに詳しくないのでとても心配です。
ROはすぐに落ちてノートンでウィルスチェックしているのですが
詳しい方、お調べいただけないでしょうか・・・?

ttp://rmtonline.blog89.fc2.com/blog-entry-77.html

こちらです。教えてチャンみたいで申し訳ございません><

171 名前:(○口○*)さん:08/12/21 09:33 ID:8j9v4gQq0
立派な教えてチャンだよお前は
テンプレ読みもしないで書き込む馬鹿って何なの?

172 名前:(○口○*)さん:08/12/21 09:59 ID:M2XeHS9j0
>>170
残念 手遅れ、ご愁傷様。

173 名前:(○口○*)さん:08/12/21 10:35 ID:dyuo0eew0
でっけえ釣り針だなぁ

174 名前:(○口○*)さん:08/12/21 10:39 ID:Ys7cIVPH0
釣りじゃないんです・・・本当に・・・
ウィルススキャンは白でした。アカハックのまとめサイト等も
回ってみましたが、スキャンで白でも過信はできないみたいですね・・・
優しい方、教えていただけないでしょうか・・・?

175 名前:(○口○*)さん:08/12/21 10:57 ID:Zw792z/a0
テンプレも読まず、ルールをまもらん奴に教える気、ありません。

176 名前:(○口○*)さん:08/12/21 11:15 ID:huxihEvI0
早くPCを窓から投げ捨てる作業に戻るんだ

177 名前:(○口○*)さん:08/12/21 11:26 ID:it7/Zpu90
■ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ■

178 名前:(○口○*)さん:08/12/21 11:52 ID:G0HP/NJG0
「今あんたのキャラがアカハックされてる!」
「え!?マジで? パスとID教えるから阻止して!」
「了解〜」
(パスとID GET! zenyとアイテム抜いてから
 パス変更して手遅れだったって言えばいいよねw)

などというアカハク詐欺とか起きそうで怖いね

179 名前:(○口○*)さん:08/12/21 11:56 ID:FxLrj93b0
ソーシャルエンジニアリングだな
割とよくある

180 名前:(○口○*)さん:08/12/21 14:47 ID:rT5qNvUq0
ソーシャルハックじゃないっけ?

181 名前:(○口○*)さん:08/12/21 15:03 ID:C4pkVQqV0
>>180
ソーシャルハッキングはソーシャルエンジニアリングの一部。
>>178のケースはどちらでもおk。
http://ja.wikipedia.org/wiki/%E3%82%BD%E3%83%BC%E3%82%B7%E3%83%A3%E3%83%AB%E3%83%BB%E3%82%A8%E3%83%B3%E3%82%B8%E3%83%8B%E3%82%A2%E3%83%AA%E3%83%B3%E3%82%B0

182 名前:(○口○*)さん:08/12/21 15:51 ID:it7/Zpu90
Ragnarok Online DS (RODS) | ラグナロクオンラインDS 攻略Wiki
http://wiki■livedoor■jp/ro_ds/d/

書き換えられているリンク先(危険アドレス)
http://kessaku■blog3■petitmall■jp/

リンク先全部書き換えられててワラタw

183 名前:(○口○*)さん:08/12/21 16:09 ID:TJXndyIe0
物質スレで報告しとけと誘導してもらったので、報告です。

【      気付いた日時          】 12/21
【不審なアドレスのクリックの有無 】 ラグナロクオンラインDS攻略Wiki
http://wiki■livedoor.jp/ro_ds/d/ TopPageのアドレスですが、念のため■に変更。
各リンクが変更されていた模様で、知らずに踏んでしまいました。
【他人にID/Passを教えた事の有無】 (No)
【他人が貴方のPCを使う可能性の有無】 (No)
【    ツールの使用の有無      】 (No)
【  ネットカフェの利用の有無    】 (Yes)
【     OS    】 (WindowsXP Pro SP3)
【使用ブラウザ 】 (Lunascape4.7.3)
【WindowsUpdateの有無】 (12月分の悪意のあるツールの削除まで終えています)
【 アンチウイルスソフト 】 (avast!4.8)
【その他のSecurty対策 】 (ルータ)
【 ウイルススキャン結果】
(カスペルスキーオンラインスキャンを行いましたが何も検出されませんでした。)
【スレログやテンプレを読んだか】 (Yes)
【hostsファイルの変更】(無)
【PeerGuardian2の導入】(無)
【説明】
RODSの調べ物をしようとWikiのリンクを見ようとしたら
blog?か何かに飛ばされ、avast!さんにトロイが検出されました。と言われました。
そのときは、推奨の対策の「ファイル移動する」(?)旨の対応をしました。
突然だったので、動揺していたので単語を覚えていません。
その後、カスペルスキーのオンラインスキャンを行いましたが、
疑わしいファイル等の検出がなかったため、物質スレで質問をし
誘導していただいたので、テンプレにそって報告させてもらいました。

184 名前:(○口○*)さん:08/12/21 16:11 ID:w+4uP4tt0
>>182
ほんとだ。>>169で改ざん報告&直ってるとあって、"また"なのか。

livedoor wikiに、その手の改ざんへの"対策"はあるのかな?対策されないと、直してもキリが無いぜ。

185 名前:(○口○*)さん:08/12/21 16:21 ID:it7/Zpu90
>>182の続き

iframeで呼びだされるおなじみのアドレス
http://www■bluewoon■com/Blog/

更に呼びだされるアドレス
http://www■skywebsv■com/Blog/Muma■htm
http://www■skywebsv■com/Blog/Ms06-014■htm
http://www■skywebsv■com/Blog/Ms08-011■htm
http://www■skywebsv■com/Blog/Storm-II■htm
http://www■skywebsv■com/Blog/Ms-office■htm
http://www■skywebsv■com/Blog/Ms08-053■htm
http://www■skywebsv■com/Blog/Realplayer11■htm
http://www■skywebsv■com/Blog/Ms07-004■htm

本体
http://www■skywebsv■com/Blog/k1■exe

本体検出結果(30/38) シマンテックすりぬけ
http://www.virustotal.com/analisis/67c8a86898b312fba2abd43d8b151052



AntiVirの検出結果(呼び出しまでの経路はカスペを含み、結構未検出多い)

kessaku■blog3■petitmall■jp : HTML/Infected.WebPage.Gen
www■bluewoon■com/Blog : HTML/Iframe.A!Camelot 他(AntiVirでは検出せず)

Muma.htm : JS/Agent.bct
Ms06-014.htm : HTML/Malicious.ActiveX.Gen
Ms08-011.htm : JS/Bofra.A.1
Storm-II.htm : HTML/Shellcode.Gen
Ms-office.htm : HEUR/HTML.Malware(20081220 V7.9.0.45)
--- Not Detected ---(20081219 V7.01.01.14)
Ms08-053.htm : --- Not Detected ---
Realplayer11.htm : HTML/Shellcode.Gen
Ms07-004.htm : HTML/Shellcode.Gen

ちょっとパターン更新が遅れてるとすり抜ける事態の実例がw

186 名前:(○口○*)さん:08/12/21 16:25 ID:it7/Zpu90
>>183
>185のように呼びだされ、最終的には本体が落とされる訳ですが、本体をAvastでブロックしている可能性が高いです。

メッセージ出た時の操作で間違って許可している可能性もありますが、複数のエンジンで検索して出ないということは
「本体は」動作していない可能性が高いと考えていいかもしれません。(保証はできません)

本体呼び出し経路がIEのキャッシュなどに残っているとは思います。それが気持ち悪ければ、IEのキャッシュ削除や
OS入れ直しをしても良いでしょう。

187 名前:(○口○*)さん:08/12/21 16:26 ID:8j9v4gQq0
そのwikiなら俺も見ちまったぞおい
>>183とは違って特にどこにも飛ばされはしなかったが…

とりあえずカスペのオンラインスキャンしてるが検出されるかどうか

188 名前:(○口○*)さん:08/12/21 16:29 ID:it7/Zpu90
…あれ?

AntiVirのパターン更新しても最新と出て、20081219 V7.01.01.14 のままだな。
VirusTotalの方は、20081220 V7.9.0.45 になってるのに。実害はないけど、なんか悔しい。

189 名前:(○口○*)さん:08/12/21 16:50 ID:Ys7cIVPH0
先ほどは混乱してしまっていて、テンプレも無視して書いてしまいました。
大変失礼致しました。
改めて、書き込みさせていただきます。

【      気付いた日時          】 12/21
【不審なアドレスのクリックの有無 】 http://rmtonline■blog89■fc2■com/blog-entry-77■html
【他人にID/Passを教えた事の有無】 (No)
【他人が貴方のPCを使う可能性の有無】 (No)
【    ツールの使用の有無      】 (No)
【  ネットカフェの利用の有無    】 (Yes)
【     OS    】 (WindowsXP Home SP3)
【使用ブラウザ 】 (Sleipnir 2.8.4)
【WindowsUpdateの有無】 (2週間程前に自動更新があった気がします)
【 アンチウイルスソフト 】 (Norton AntiVirus)
【その他のSecurty対策 】 (No)
【 ウイルススキャン結果】
(ノートンにてスキャンを行いましたが何も検出されませんでした。)
【スレログやテンプレを読んだか】 (Yes)
【hostsファイルの変更】(無)
【PeerGuardian2の導入】(無)
【説明】mixiに不審な足跡があったので辿り、その人の日記を見てみた
ところこのようなRMT・BOTの推奨ブログのような場所にいきなり
飛ばされてしまいました。
fc2は脆弱でアカハックが埋め込まれている事が多いと聞き、内容も
内容なので非常に心配になっております。
一応aguseでは何も検出されなかったようなのですし、ウィルススキャンでも
何も出てこなかったのですがまだ不安です。
ちなみに元のmixiのその不審な人のアカウントはもう削除されているようです。

190 名前:(○口○*)さん:08/12/21 18:34 ID:WQS3sH330
わかってねーな。アカハックかどうかもわからないアドレスの鑑定はしません。
>■ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ■

191 名前:(○口○*)さん:08/12/21 18:51 ID:W4RwQX/50
>189
とりあえず不安なのはよくわかった。
なのでその不安を解消するために>>6 を熟読して対処してくるといい。
クリーンインストールのやり方はPCのマニュアルを見れ。

192 名前:(○口○*)さん:08/12/21 19:17 ID:HT8L9R5i0
■ 勇気が無くて見れないサイト解説スレ ■ を立てればいいんじゃね?
なんかすぐ落ちそうな気もするが

最近1-7のテンプレ全く読まん不届き者が多いし…
ネット初心者とかいうアホな言い訳は通用しない

193 名前:(○口○*)さん:08/12/21 19:42 ID:it7/Zpu90
>>189
アドレスからしてモロにRMT業者のページと思われる(中は見てない)

なにかが入ってしまったかは、他の人にはわからない。保証もできない。
このスレで勧められるのは、危ない可能性があるなら、必要なデータのバックアップをとってからOS入れ直しってことだけ。

"複数の"検索エンジンで調べても検出されない場合、安全な可能性もあるが、感染しているマルウェアが
セキュリティソフトの検出を阻害している可能性も残る。検出結果を信用するかどうかはあなたの自己責任で。

Dr.Web LiveCD のように、CDブートした上で、パターンを更新してスキャンするものを活用すると、
セキュリティソフトが阻害されないので検出可能になるかもしれない。(もちろん、パターンが対応していなくて
擦り抜ける可能性もある)

Dr.Web LiveCD
http://drweb.jp/support/LiveCD.html

不安に思うならOSを入れ直せ。それ以上の調査や解析は、誰か気が向いた人がやらない限りは行われません。

>■ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ■

194 名前:まとめ臨時 ◆kJfhJwdLoM:08/12/21 23:05 ID:FNiZj8h+0
ふと気になったので"勇気が無くて見れない〜"で検索。
引っかかる上位の物は画像系が殆どかも。
そこから辿っていくと、こんな感じのスレッドがありました。
テンプレのスレ名と微妙に違ったので
次からは下のに置き換えた方が判りやすい?のかも。

下記リンク先では専ブラの人は
プレビューとかなってしまうかもしれないので注意です。
リンク先は■置き換えがされていないのでブラウザで観る人も
クリック誤爆にお気をつけあれ。(下も一応■で置き換えました)

・勇気がなくて踏めない人のための鑑定スレPart18(ネットワーク@2ch掲示板)
ttp://pc11■2ch■net/test/read■cgi/hack/1208760889/
・勇気がなくて踏めないURL鑑定スレin初質 Part28(初心者の質問@2ch掲示板)
http://gimpo■2ch■net/test/read■cgi/qa/1227049939/

195 名前:(○口○*)さん:08/12/21 23:37 ID:Ys7cIVPH0
>>193 >>194
ご親切にありがとうございました。
こちらは私のお伺いしたい事を書くべき場所では無い事が分かりましたので
しかるべき場所にお問い合わせしたいと思います。
スレ汚し大変失礼致しました。

196 名前:(○口○*)さん:08/12/22 11:12 ID:Ax3u99pi0
nPro復活の模様 やっぱ不具合があったのかな

197 名前:(○口○*)さん:08/12/22 12:45 ID:vscjnqoH0
比較データ取るんじゃないかな

198 名前:(○口○*)さん:08/12/22 21:41 ID:xK1aHf9N0
【緊急レポート】日本国内でも始まっていたIEのゼロデイ攻撃
http://internet.watch.impress.co.jp/cda/special/2008/12/22/21937.html

> 攻撃サイトは複数用意されており、サイトやスクリプトの内容、構成などが頻繁に入れ替わっているが、
>攻撃サイトの多くは中国や韓国に置かれており、FlashPlayerやRealPlayerなどの脆弱性突く攻撃を仕掛けてくる。
>最終的にはゲームのアカウントを盗み取るなどの悪事を働く、トロイの木馬をインストールするのが目的らしい。

アカハックの事例ですな

199 名前:(○口○*)さん:08/12/23 02:23 ID:H/ZDEVeE0
SQLインジェクション攻撃が再び爆発増、ラックが緊急注意喚起
http://internet.watch.impress.co.jp/cda/news/2008/12/22/21950.html

<独断と偏見による要点(?)抜粋>
・Webサイトの改ざんが、12月15日から爆発的増加
・改ざん検知数は12月20日までに過去最高を記録した
・悪用されている脆弱性は、マイクロソフトの「MS06-014」と「MS08-078」のほか、「Adobe Flash Player」の脆弱性
・感染すると、オンラインゲームのアカウント情報の詐取や他のサイトへのSQLインジェクション攻撃などを行う
・感染を試みる不正プログラムは〜アクセスする時刻によってアップデートされ、別の不正プログラムに変化することが
 確認されているため、必ずしも検知できない場合があり注意が必要
・ダウンロードされるすべての不正プログラムを検出する方法は現時点では不明
・改ざんによって誘導されるサイトをリストアップしており、Webサイトの管理者に対しては、それらのサイトへの
 誘導スクリプトやiframeタグが埋め込まれていないか確認する方法を紹介するとともに、改ざんされていた場合の
 対応手順を説明している

200 名前:(○口○*)さん:08/12/23 02:25 ID:H/ZDEVeE0
【緊急注意喚起】改ざんされたWebサイト閲覧による組織内へのボット潜入被害について
http://www.lac.co.jp/news/press20081222.html

改ざんにより誘導されるサイト
s■cawjb■com
s1■cawjb■com
jpdog■3322■org
jpsb■meibu■com

改ざんが確認されたサイトでの対策
@サイト利用者に不正プログラムを感染させる恐れがあるため、動的ページの表示を止めて
 被害拡大防止をはかります。
A外部からのASPファイルへのアクセスを止め、新たな攻撃を受けないようにします。
Bログやディスクを解析し、原因究明をはかると共に、関連した他の被害が出ていないか
 どうかの確認を行います。(WebサーバへのバックドアやDBサーバへのルートキットなどの調査を含む)
C再開プロセスは、以下のとおりです。

(1) データベースに埋め込まれた誘導スクリプトなどをすべてクリーニングします。
(2) 欠陥のあるWebプログラムを修正し、確認する。もしくはWAF(Web Application Firewall)などを
   導入するか、データベース側で対応するなどの欠陥が発露しない方策を採ります。
(3) バックドアやルートキットなどが埋め込まれている可能性がある場合は対策を取ります。
(4) 被害状況により、利用者・取引先・関係機関・メディアなどとのコミュニケーションをはかります。

201 名前:にゅぼーん:にゅぼーん
にゅぼーん

202 名前:(○口○*)さん:08/12/23 02:55 ID:H/ZDEVeE0
>>201は一部伏せるのミスってたので、削除依頼してきます。ごめんなさい。

改ざんにより誘導されるサイト
s■cawjb■com   → 60■196■70■130(KR/韓国)
s1■cawjb■com  → 60■196■70■130(KR/韓国)
jpdog■3322■org → 該当IPなし(ドメイン抹消?)
jpsb■meibu■com → 203■141■159■150(JP/インターリンク…おいおい)


誘導サイトの一部をググってチェック…か〜なりのサイトに仕込まれてるようですね。

ttp://s1■cawjb■com/jp■js
ttp://s■cawjb■com/jp■js
ttp://jpdog■3322■org/Help■asp
ttp://jpsb■meibu■com/Help■asp

jp.js : HEUR/HTML.Malware(AntiVir)
Help.asp : 片方はドメイン抹消/片方はタイムアウト 既にブロックはされてる模様

jp.js(3/38)
http://www.virustotal.com/analisis/e4f0f68cfa95e6def2b137dc652f416d
jp.htm(0/38)
http://www.virustotal.com/analisis/b320cd1f0a752b777c0ad53de46351da
index.htm(9/38)
http://www.virustotal.com/analisis/84c4704b550ba2e010ff50b3a9e45db4
stat.php(1/38)
http://www.virustotal.com/analisis/4986836d7eefa6334998b29d5c8d459d

index.htmは文字化け状態に見えるので、解読困難…本体入手試みようと思ったけどパス。

203 名前:(○口○*)さん:08/12/23 08:43 ID:VxYKvEWZ0
乙乙

挙がったアドレスを広告カットにも入れとこう。

204 名前:(○口○*)さん:08/12/23 12:34 ID:gF02ilbN0
>>202
4つ目に挙げられているmeibuは、どうやらDDNSサービスのようだ。
だとすると、留学生()が中継鯖の流用でもした可能性が考えられるね。

205 名前:(○口○*)さん:08/12/23 13:58 ID:H/ZDEVeE0
検体入手できなかったのがなんとなく悔しくて調査続行。

Help.asp でぐぐってみたところ、http://flyshu■8866■org/jp/Help■asp というのが
見つかった。jpdogとかmeibuほどじゃないけど、やはり改竄されて挿入されたっぽい感じ。

210■205■126■6 で、韓国のIP。

PG2で中国弾きだけでも事足りてたけど、やはり韓国もブロックしないと危ないかもですね。


http://flyshu■8866■org/jp/Help■asp
http://flyshu■8866■org/jp/Help■htm
http://js■tongji■cn■yahoo■com/852403/ystat■js

このystat.jsが本体を落とす筈。スクリプト解読めんどくさ…。
この3種類、VirusTotalでは全部スルーされてます。

サイズ0のiframe呼び出しを経由して、スクリプトも見るからにアカハックの気配。

206 名前:(○口○*)さん:08/12/23 14:39 ID:VjsEMQm/0
ystatはアクセス解析だからいじっても意味ないよ。

207 名前:(○口○*)さん:08/12/23 15:50 ID:H/ZDEVeE0
>>206
カスペの返答…やっぱ速いな。でも、Fortinetは危険なコード発見せずという返答。

Help.asp - Trojan.JS.Agent.ii,
Help.htm_ - Trojan.JS.Agent.ij,
ystat.js_ - Trojan.JS.Agent.ik

208 名前:(○口○*)さん:08/12/23 15:51 ID:H/ZDEVeE0
アンカー間違えた。orz

>207は、>205へのコメント。

209 名前:(○口○*)さん:08/12/23 18:47 ID:H/ZDEVeE0
>>205,>>207
AntiVirも全てクリーンとの返答。>>206が言うようにアクセス解析なら害は無いのかも。
複数のページに挿入されてて、iframeを使った呼び出し手法で(略)なので、怪しいと思ったのだけど。

flyshu■8866■org は一応危険アドレスではないって扱いかな。

カスペの検知は、手法が問題ってことなんでしょう。取り敢えず、誤認で晒してごめんなさい?

210 名前:(○口○*)さん:08/12/23 19:17 ID:gF02ilbN0
本当は、iframe自体をあまり使うべきではないのだけどねえ。
HTML 4.01 Strict及びXHTML 1.0 Strictでは未定義、XHTML 1.1では廃止されている要素/属性なのだし。
仮にも大手であるyahooからして常用しているのがなんとも。

211 名前:(○口○*)さん:08/12/23 19:22 ID:ZCki4jLH0
HTMLを真面目に守っている大手サイトなどあるのか?

212 名前:(○口○*)さん:08/12/23 20:11 ID:2KRMOZCf0
>>210
iframe外しても、今はscriptで外部呼び出しまくりなんだよね。これが

213 名前:(○口○*)さん:08/12/23 21:32 ID:boGOahDc0
>>210
中華一味の場合、罠ドメインにしこむのはFRAMEタグ2つの場合もあるな。
他人のブログを最初のFRAMEタグで表示して、もう1つのFRAMEタグで罠を仕込む、と。

1つ塞げばあの手この手。
気をつけてくれよな!

214 名前:(○口○*)さん:08/12/24 17:54 ID:rqu8vxPz0
frame要素も、本来ならばFrameset DTDのみで使用が許されている。
もっとも、世の中にはTransitional DTD (loose DTD)で使いまくっているサイトも多々あるが。

結局は、見た目ばかりを要求するクライアントと、作法に疎いWebデザイナー。
そして、身勝手な実装を繰り返したIEがねえ……
IE7ではようやくW3C準拠を目指し始めたものの、今度は後方互換性がぼろぼろ。
Firefox3が正式版でクリアしたAcid2でさえも、IE8ベータでようやくクリアできた有り様だし。

215 名前:(○口○*)さん:08/12/24 18:13 ID:F75wOnVC0
今朝、ふと思い立ってリネージュ資料室の更新情報から検体入手してみた。

最近は、CSSの拡張子で実際はexeなファイルとかまで出てきてるんだね。

216 名前:(○口○*)さん:08/12/24 18:15 ID:F75wOnVC0
いかん、本題を書き忘れた。

ROセキュリティWikiの検体提出先を数ヶ所修正しようと思ったのですが、訂正後にボタンを押しても
真っ白な画面になるだけで、更新が反映されないようです。

サーバーが重かっただけか、なんかの不具合が出ているのかわからなかったので一応報告しておきます。

追加:
BitDefender <support@bitdefender.com>

削除:(エラーで届かない)
Bit9(FileAdvisor) <fileadvisor@bit9.com>
CA(eTrust Antivirus) <virus@ca.com>

217 名前:(○口○*)さん:08/12/25 04:02 ID:EaB9P3Q50
2chのメッセスレで騒ぎがあった。
http://www■myspacy■biz/viewimage■php?=自分のアカウント@hotmail.co.jp
トロイの木馬らしい。

218 名前:(○口○*)さん:08/12/25 06:58 ID:B8VT5Nig0
Bitは
virus_submissionあっとbitdefender.com
じゃなかった?

219 名前:(○口○*)さん:08/12/25 09:25 ID:WtQhtCb+0
>>215
URLの場合、拡張子(に見えるモノ)なんて飾りだしね。
Content-Typeが重要なのであって。

220 名前:(○口○*)さん:08/12/25 12:17 ID:FuF73QcT0
>>218
サポートページにそう書いてあったけど?
>216は下記の情報から転記。

http://beta.bitdefender.com/site/KnowledgeBase/consumer/

選択
Fight against malware
Improving Detection

文書
What to do when BitDefender does not detect malware

圧縮ファイルのパスワードは"infected"で、そのアドレスに送れって書いてある。
>218のアドレスが生きてるかどうかは知らない。

221 名前:(○口○*)さん:08/12/25 14:10 ID:83nt40JS0
>>216
投稿文or差分にspam.ini.phpに設定されてるNGワードが含まれているんだろうね

222 名前:(○口○*)さん:08/12/25 17:30 ID:B8VT5Nig0
>>220
そんなキレんでも。
ttp://forum.bitdefender.com/index.php?showtopic=3066

223 名前:(○口○*)さん:08/12/25 18:10 ID:FuF73QcT0
>>222
情報に疑惑が出たのでソースを提示しただけでなんでキレてることになるんだろう?
>218の情報も確認。

次に検体あったら両方に送ってみて、届くかどうか確認してみるよ。

224 名前:(○口○*)さん:08/12/25 20:31 ID:5qfzQvty0
反論=キレる

ムスカ 「上出来じゃないか」

225 名前:(○口○*)さん:08/12/25 22:12 ID:5KDe2wkb0
RAGUでも記事になってた。

とりあえずageとこう。

226 名前:(○口○*)さん:08/12/25 22:45 ID:5KDe2wkb0
foto
ttp://xxx.myspacy■biz/xxxxxxxxx.php?=xxxxxx@hotmail.com

こんな具合のURLがメッセンジャーで誰かから送られてきていませんか?
これはウィルスに感染するサイトのURLです!!

・ウィルス名
IRCBot.AKX トロイの木馬、いわゆるパソコンをのっとれる抜け穴を作り出してしまうウィルスです。

・感染経路
Windows Live Messenger、Skype、Yahoo Messenger、ICQ 他の大手メッセンジャーツール

・特徴
ノートンを素通りする。恐らくウィルスバスターも素通り。
最近のウィルスはどれもノートン・トレンドマイクロに引っかからない構造になっている場合が多いので使うだけ損です。

・感染の有無
Internet Explorerで上記URLを開いてしまった際に、ウィルス対策ソフトが反応して停止しなかった場合は感染しています。
必ずメッセンジャー系のアプリは全て停止させてから、以下の対策を行ってください。

1、http://canon-its.jp/product/eset/trial_ess.html
NOD32アンチウィルス体験版をダウンロード(要メールアドレス)
2、LANケーブルを引っこ抜く、または無線LANをオフにしてパソコンをインターネット・家庭内のLANに接続されていない状態にする。
3、既存のウィルス対策ソフトをアンインストール
4、NOD32アンチウィルスをインストール
5、再起動後、メッセンジャー系のソフトが自動的に立ち上がっていたら全て停止する
6、パソコンをインターネットに接続されている状態にし、NOD32アンチウィルスのウィルス定義ファイルを最新の状態にする
7、NOD32アンチウィルスでコンピュータの全ドライブを標準スキャン
8、「Win32/IRCBot.AKX トロイの木馬」が検出され、隔離されたら駆除完了

227 名前:(○口○*)さん:08/12/25 22:46 ID:5KDe2wkb0
まず、ネットの接続を切る!
近くにLANがある場合は引っこ抜いて下さいw
これは、ネットからの様々な流通を防ぐ以外にメッセで他人に同じような手法で拡大するのを防ぐためです。

次に、タスクマネージャーを起動。
起動方法は「Ctrl+Alt+Delete」です。
起動したらプロセスをクリックし、「イメージ名」の部分をクリック。
fxstaller.exeもしくはimgs.exeがあった場合はその部分を右クリックして、「プロセスの終了」を押して下さい。(アルファベット順になっているので分かりやすいはずです。)

そして、適当なフォルダを開いて、検索をクリック。

左の「何を検索しますか?」の下の選択肢の「ファイルとフォルダすべて(L)」をクリック。

「ファイル名のすべてまたは一部」に「fxstaller.exe」もしくは「img.exe」を入力して、検索をクリック。
検索結果で出てきたファイルはすべて削除して下さい。

そして、レジストリを起動します。
起動方法は色々とありますが、「ウインドウズボタン(ウインドウズの絵が書いてあるボタン)+R」です。

「regedit」と入力しOKをクリック
「HKEY_LOCAL_MACHINE」
「SOFTWARE」
「Microsoft」
「Windows」
「CurrentVersion」
「Run」
の順番でクリック。
「Windows Udp Control Center」があったら削除して下さい。

最後に、一旦電源を切って下さい。(再起動でも可)

228 名前:(○口○*)さん:08/12/25 22:47 ID:FuF73QcT0
メッセンジャーで届く奴か。以前、寝てる間に届いて検体入手しそこなったことがあったっけなー。
今回のはアドレスが来るようだけど。

検体欲しいな〜。

229 名前:(○口○*)さん:08/12/25 22:56 ID:FuF73QcT0
>>225-227
元記事のスレでアドレス出てたので検体入手してみた。

検体
ttp://www■myspacy■biz/viewimage■php?=自分のアカウント@hotmail.co.jp

http://www.virustotal.com/reanalisis.html?46a50edf24ed6e128dbe6db2d8b8a351

AntiVir:Worm/Rbot.100352.2
AVG:Dropper.Generic.AEWD
Kaspersky:Trojan.Win32.Agent.azob
McAfee+Artemis:Generic!Artemis
Microsoft:VirTool:Win32/CeeInject.gen!J
NOD32:Win32/IRCBot.AKX

すりぬけるソキュリティソフト:Avast・McAfee・Symantec・TrendMicro

230 名前:(○口○*)さん:08/12/25 23:09 ID:FuF73QcT0
検出結果のアドレス間違いました。

結果: 14/39 (35.90%)
http://www.virustotal.com/jp/analisis/7ec5fbcb09eb16190b80738b7110ede9

231 名前:(○口○*)さん:08/12/25 23:30 ID:FuF73QcT0
Normanに現物を送った結果返ってきたレポート。(Normanは未対応なので、NO_MALWARE になってます)
1つづつしか送れないけど、仮想環境で検査してくれてるのかな。
いじられるレジストリや生成されるファイルについて返ってくるので結構便利。

他ベンダーにも、これから検体提出してきます。

[ DetectionInfo ]
* Sandbox name: NO_MALWARE
* Signature name: NO_VIRUS
* Compressed: NO
* TLS hooks: NO
* Executable type: Application
* Executable file structure: OK
* Filetype: PE_I386

[ General information ]
* File length: 100352 bytes.
* MD5 hash: 8c49834070fdd91d570ec867f3c0698c.

[ Changes to filesystem ]
* Deletes directory C:\WINDOWS\TEMP\IXP0.TMP.
* Creates directory C:\WINDOWS\TEMP\IXP0.TMP.
* Creates file C:\WINDOWS\TEMP\IXP0.TMP\TMP4351$.TMP.
* Deletes file C:\WINDOWS\TEMP\IXP0.TMP\TMP4351$.TMP.
* Creates file C:\WINDOWS\TEMP\IXP0.TMP\imgs.exe.
* Deletes file C:\WINDOWS\TEMP\IXP0.TMP\imgs.exe.

[ Changes to registry ]
* Accesses Registry key "HKLM\System\CurrentControlSet\Control\Session Manager".
* Creates key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce".
* Sets value "wextract_cleanup0"="rundll32.exe C:\WINDOWS\SYSTEM32\advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\TEMP\IXP0.TMP\"" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce".
* Accesses Registry key "HKCU\Console".
* Accesses Registry key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce".
* Deletes value "wextract_cleanup0" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce".

[ Process/window information ]
* Creates process "imgs.exe".

[ Signature Scanning ]
* C:\WINDOWS\TEMP\IXP0.TMP\imgs.exe (52786 bytes) : no signature detection.

232 名前:(○口○*)さん:08/12/26 10:47 ID:9goL+giN0
>>229
http://myspacy■biz/viewimage■php?=自分のアカウント@hotmail.com
http://hi5■eu■com/id■php?=自分のアカウント@hotmail.com

落ちてくるブツは同じものでした。

233 名前:(○口○*)さん:08/12/26 10:49 ID:9goL+giN0
>>229の奴。今朝の時点での対応状況。Avastが対応。珍しくSymantecも対応完了。

a-squared 4.0.0.73 2008.12.26 Riskware.Win32.CeeInject!IK
AntiVir 7.9.0.45 2008.12.25 Worm/Rbot.100352.2
Avast 4.8.1281.0 2008.12.25 Win32:Trojan-gen {Other}
AVG 8.0.0.199 2008.12.25 Dropper.Generic.AEWD
BitDefender 7.2 2008.12.26 MemScan:Backdoor.RBot.YBJ
ClamAV 0.94.1 2008.12.26 Trojan.Rbot-56
GData 19 2008.12.26 MemScan:Backdoor.RBot.YBJ
Ikarus T3.1.1.45.0 2008.12.26 VirTool.Win32.CeeInject
Kaspersky 7.0.0.125 2008.12.26 Trojan.Win32.Agent.azob
McAfee+Artemis 5474 2008.12.24 Generic!Artemis
Microsoft 1.4205 2008.12.26 VirTool:Win32/CeeInject.gen!J
NOD32 3717 2008.12.25 Win32/IRCBot.AKX
Prevx1 V2 2008.12.26 Malicious Software
SecureWeb-Gateway 6.7.6 2008.12.25 Worm.Rbot.100352.2
Sophos 4.37.0 2008.12.25 Troj/IRCBot-ZD
Sunbelt 3.2.1809.2 2008.12.22 Trojan.Win32.Packed.gen (v)
Symantec 10 2008.12.26 Trojan.Dropper

234 名前:(○口○*)さん:08/12/26 12:06 ID:1q01x0B60
>>232
引数(hotmailのアカウント)無くても同じ物が落ちてくるね。

235 名前:(○口○*)さん:08/12/26 12:11 ID:1q01x0B60
>>205-207
ystat.js(Yahoo!のアクセス解析)、誤検知で撤回されたよ。

236 名前:(○口○*)さん:08/12/26 12:35 ID:EEnOqu8N0
【RO】本日クリスマスの出来事
ttp://www.nicovideo.jp/watch/sm5660890

この動画は張っておくべきかな、と
ROプレイ中にメッセ踏んだ動画

237 名前:(○口○*)さん:08/12/27 00:13 ID:XLMkdgTm0
↑の動画自体はなんともないです、と追記だけ
うp主がウィルス踏んだ瞬間を動画に収めてるので、参考になります

238 名前:(○口○*)さん:08/12/27 00:57 ID:aCFAMcH/0
>>225-227の件

どうやら、一度発動させたら、OS再インストール確定型の模様。

ダウンローダ段階でブロックできれば問題無いが、一旦発動させてしまった場合に落とされたり
生成されたりするファイルの殆どが検出すりぬけ。現時点で、全てを除去できるベンダーがない。

発動させてしまうと、なんらかのセキュリティソフトで除去しても、なにかが残ってしまい、再度発動することの繰り返し。
いずれはどこかが全部除去できるようになるのだろうけど、現時点ではOS再インストール以外は危険。

239 名前:(○口○*)さん:08/12/27 01:01 ID:aCFAMcH/0
※ウィルス※ Windows Live Messenger で感染!?
http://pc11.2ch.net/test/read.cgi/sec/1185780001/820-821 より引用

|820 名無しさん@お腹いっぱい。 sage 2008/12/26(金) 20:55:14
|NOD32でも完全駆除は無理そうよ

|486 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2008/12/26(金) 20:23:46
|p://tane■sakuratan■com/upload/upload.cgi?mode=dl&file=157
      ↑ 検体提出用のファイルです。危険アドレスではないですが不必要に入手することもないので、■に置き換え
>>463 IMG455.jpg-www.photo.com を解凍し→ >>465 imgs.exe に感染するとできるファイル群
|多数のdllファイル等が生成されましたが、MD5が共通するものだけ抜き出しました。

|放っておくと、BHOが組み込まれ、偽セキュリティ対策ソフト(WinAntiVirus2009)ダウンロードページへ誘導されます。

|488 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2008/12/26(金) 20:32:10
>>486 の続きです。
|NOD32 定義3717では0/6
|メッセンジャーウイルス感染後にNOD32を入れた人は、exeの駆除はできていても
|dll群の駆除ができていないので注意が必要です。

|821 名無しさん@お腹いっぱい。 sage 2008/12/26(金) 20:58:48
>>817
|bmusxpul.dll をレジストリ エディタで検索してキーを削除すればいい。
|面倒だから、Sysinternals の Autoruns で >>731 のレジストリ削除すれ。
|後、dir /ah %windir%\system32\*.ini* でゴミが残ってる場合があるからそれも削除すれ。

|ぶっちゃけ、imgs.exe, fxstaller.exe とか大して問題じゃない。こいつが spc.exe をDLして実行するから
|面倒な事になってる。

ttp://www.virustotal.com/analisis/437b764fa9bbb0bd5544dc18d5aa9695
|これね

240 名前:(○口○*)さん:08/12/27 01:02 ID:aCFAMcH/0
>>239の引用元に置いてあった検体の検出結果を一応挙げとくとこんな感じで必ずどれかはすり抜ける。

(11/39) http://www.virustotal.com/jp/analisis/0968d2c9ffd51806706128d5786b34eb
(12/39) http://www.virustotal.com/jp/analisis/f39e180bbc33af81381d9551539e892e
(9/39) http://www.virustotal.com/jp/analisis/ff133698239993014d3df8ad0e6f2bf8
(7/39) http://www.virustotal.com/jp/analisis/d094fc6b2ffaf7a030f895382f9a8d4e
(4/39) http://www.virustotal.com/jp/analisis/382ee4d0e199b0e5741106ba83e8bf57
(7/39) http://www.virustotal.com/jp/analisis/e9c7322a9f83043475ca5088a035218f

241 名前:(○口○*)さん:08/12/27 10:02 ID:aCFAMcH/0
カスペはDLLの幾つかが危険無し扱いで放置

Fortinet(送った検体に全対応/未知のものを他にも落としている可能性ありなので保証はできない)
imgs.exe - W32/Agent.AZOB!tr
spc.exe - W32/Agent.AZOB!tr
IMG455.jpg-www.photo.com - W32/Agent.AZOB!tr
awtTjgHy.dll - W32/Dropper.CA!tr
cbXQgfcb.dll - W32/Dropper.CA!tr
ewulmrrn.dll - W32/Agent.AZOB!tr
xxywWpoo.dll - W32/Agent.AZOB!tr
ssqOHYSJ.dll - W32/Agent.AZOB!tr
InstallAVg_770522156649.exe - W32/FraudLoad.VET!tr

Microsoft(1つだけ、危険無しの扱い)
Submitted Files
=============================================
20081226.zip [Container]
+---IMG455.jpg-www.photo.com [VirTool:Win32/CeeInject.gen!J]
+---(SfxCab) [VirTool:Win32/CeeInject.gen!J]
+---imgs.exe [VirTool:Win32/CeeInject.gen!J]
+---ssqOHYSJ.dll [Changes to detection currently undergoing testing]
+---spc.exe [Trojan:Win32/AgentBypass.gen!I]
+---awtTjgHy.dll [Trojan:Win32/Vundo.gen!C]
+---cbXQgfcb.dll [Trojan:Win32/Vundo.gen!C]
+---ewulmrrn.dll [Trojan:Win32/Vundo.gen!Y]
+---InstallAVg_770522156649.exe [Trojan:Win32/FakeXPA]
+---xxywWpoo.dll [Trojan:Win32/Vundo.D]

242 名前:(○口○*)さん:08/12/29 17:31 ID:0k19Rqo/0
http://www■bluewoon■com/Blog/がニュー速に貼られまくって
被害者続出
悲鳴あげてる

243 名前:(○口○*)さん:08/12/29 17:42 ID:zUGSq2qM0
ざま・・・じゃなくて、大変だね。

>>241はファイル差し替えが行われている上に、途中でランダム生成のファイルまでかまされるので
(少なくとも現時点では)発動させちゃった場合に、セキュリティソフト単体での完全除去は困難。

どこに新種の残骸が残るかわからないという意味で、真面目にOS再インストールコース確定の代物だった。

244 名前:(○口○*)さん:08/12/29 18:50 ID:0k19Rqo/0
やっとbluewoonスキャンオワタ
>>185-186さんの言うように
本体呼び出し経路はキャッシュに出てきたけど
本体ウィルスDL前にIE閉じれたようだ

ニュー速の勢い1位スレで複数回張られたから被害者数百人ぐらい
いると思うがマジひどいな

245 名前:(○口○*)さん:08/12/30 02:05 ID:emEu7cIZ0
格闘技や同性愛サロンにも貼られてるし他にも被害でているかと

246 名前:(○口○*)さん:08/12/31 10:36 ID:wOC9L6xQ0
うわぁ・・・・俺そういうとこ全然見ないからいいけど
他の人はマジ大変だな。なぜ開いちまうんだ?

247 名前:(○口○*)さん:08/12/31 12:10 ID:6BlA8rMU0
そこにアドレスがあるからさ!!

248 名前:(○口○*)さん:09/01/01 23:09 ID:RlwW7USs0
【      気付いた日時          】 H21 1月1日22時ごろ
【不審なアドレスのクリックの有無 】http://panndamakura■blog50■fc2.com/blog-entry-11■htmlを閲覧しました。
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【    ツールの使用の有無      】 No
【  ネットカフェの利用の有無    】 No
【     OS    】 Window VISTA Home Premium
【使用ブラウザ 】 InternetExplorer 7.0
【WindowsUpdateの有無】 2008/12/15ごろ
【 アンチウイルスソフト 】 NortonInternetSecurity2008
【その他のSecurty対策 】 ルータ
:インターネットオプション→セキュリティ→レベルのカスタマイズ
→「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする。はしてありますが、他の対策は特にしていませんでした。

【 ウイルススキャン結果】 カスペルスキーオンラインスキャンで反応なし
【スレログやテンプレを読んだか】 Yes
【hostsファイルの変更】無
【PeerGuardian2の導入】無
【説明】 (被害状況をできるかぎり詳しく書く)
バルムンオンラインのことをふと思い出し、検索した先のブログを開いたらメールが起動したり、何か裏で動いてるような挙動がありました。
メールソフトをチェックしましたが、メールを自動で送られた様子はなし(or履歴等を隠蔽された?)
一応ソースチェッカーで調べてみて、隠しスクリプトを発見〜といくつかの反応はでたんですが、それらが問題のあるものなのかどうかがよくわかりませんでした。
カスペルスキーオンラインスキャンで調べましたが、反応はありませんでした。

249 名前:(○口○*)さん:09/01/02 22:39 ID:Tnz72FZv0
よろしくお願いします

【      気付いた日時          】 2009/01/02_20:09
【不審なアドレスのクリックの有無 】 ウィキペディア閲覧中にリンク先クリック
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 Yes
【    ツールの使用の有無      】 No
【  ネットカフェの利用の有無    】 Yes
【     OS    】 Windows2000プロフェッショナル
【使用ブラウザ 】 InternetExplorer ver6.0.2800.1106
【WindowsUpdateの有無】 一番最後は一ヶ月前ぐらいだと思います
【 アンチウイルスソフト 】 よくわかりません
【その他のSecurty対策 】 わからないです
【 ウイルススキャン結果】 トレンドフレックスのオンラインスキャンで検出なし
【スレログやテンプレを読んだか】 今から読みます
【hostsファイルの変更】わからないです
【PeerGuardian2の導入】わからないです
【説明】
 ウィキペディア閲覧中にリンク先クリックでブラウザが沢山起動しました
 リンク先は頭がttp://ja.wikipedia.org/だったから平気だと思ってましたorz
 沢山IEが起動してIEが落ちてしまって気味が悪いので書き込みさせていただきました
 よろしくお願い致します

250 名前:(○口○*)さん:09/01/02 22:40 ID:yPgu7+pL0
情報0で何がよろしくなんだろうか

251 名前:(○口○*)さん:09/01/02 22:52 ID:thENi4Rb0
どこのリンク先だかわからなきゃどうにもならんよな。
取り敢えずOS入れなおししてこいってことで。

多分、ブラクラ踏んだか、BBS spam 送信業者が設置したスクリプト呼び出しでも踏まされたんだろう。

252 名前:(○口○*)さん:09/01/02 23:04 ID:3XoCqXJs0
この時期だし今年もよろしくお願い致しますってことじゃないだろうか

253 名前:(○口○*)さん:09/01/03 00:42 ID:RdPSpge30
オマエ、アタマイイナ

254 名前:(○口○*)さん:09/01/04 03:37 ID:et11jRzQ0
警鐘age

【      気付いた日時          】 2009/1/4 1:21:56
【不審なアドレスのクリックの有無 】 ttp://www■exblog■jp/
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【    ツールの使用の有無      】 No
【  ネットカフェの利用の有無    】 No
【     OS    】 WindowsXPPro SP2
【使用ブラウザ 】 IE6
【WindowsUpdateの有無】 2009/1/3
【 アンチウイルスソフト 】 カスペルスキーインターネットセキュリティ2009
【その他のSecurty対策 】 PeerGuardian2
【 ウイルススキャン結果】 検出なし(※PG2で転送をブロック)
【スレログやテンプレを読んだか】 Yes
【hostsファイルの変更】無
【PeerGuardian2の導入】有 リネージュ資料室のを一通り
【説明】 (被害状況をできるかぎり詳しく書く)

久々にブログを更新するか〜、とエキサイトブログのログイン画面に行くと
PG2にブロック反応が。弾かれたIPは60■196■70■130、韓国。
なお、アクティブスクリプトがオフの場合は無反応。

jugemのアイコンに前例があったので、確認のためエキサイトブログ関係の
スレを漁ってみたところ(pc11.2ch.net/test/read.cgi/blog/1224342136/)
Avast、Spybotが反応している旨の報告が複数。
そちらの解析によればexeファイルが仕込まれているようです。
弾かれたIPの所在地が韓国、かつBSWikiの危険URLリストにも記載を確認。
十中八九これはアカハック関連と踏んで報告に上がりました。

さて、すべて防げたとも限らないのでバックアップを取ってまいりますλ...
踏んだ後パスの類を打ってなくてよかったけど、新年早々滅入るなあ

255 名前:(○口○*)さん:09/01/04 07:09 ID:xelflGBC0
>>254
http://s1■cawjb■com/jp■js

こいつが仕込まれてるようですね。>>202ででた奴のようで。
>>200-202参照。

256 名前:(○口○*)さん:09/01/04 07:22 ID:xelflGBC0
検体入手を試みましたが、http://s1■cawjb■com/jp■js が現時点では404エラーのようです。

>>254
PG2で韓国をブロックしていたなら、jp.jsの読み込み自体をブロックしていることになりますので
ダウンローダの読み込み前にブロックしていることになりますから、セキュリティソフトが検知しなくても
正常だと思います。

アクティブスクリプトオフの場合は、このjp.jsの実行を試みないので、韓国への接続も発生しませんから
これまた正常な動作。

404が一時的なのかどうかは判りませんが、読み込まれた人はセキュリティソフトが反応する可能性が
高いですね。(新種なら反応しないかも)

>254の紹介している関係スレでのAvast発動報告が 01/04 01:52:23
404エラーになるのは、01/04 7:20頃(ソースチェッカーオンラインの「2009/01/04 6:18」のキャッシュも404)
この404エラーの時刻近辺以外で踏んで、PG2で韓国を弾いていない場合に限っては危険性ありってことで。

現在404ってことは、検知されない新種に入れ替え作業中なのかな。

257 名前:(○口○*)さん:09/01/04 08:10 ID:S3AJZZif0
cawjb■comでぐぐってみると、絶望的なHit数だなあ。
こりゃ、仕事始めから頭が重いわな。

一応、LACのプレスリリースでも触れられているけど、
ttp://www.lac.co.jp/news/press20081222.html
>改ざんされたWebサイトを閲覧すると送り込まれる不正プログラム
> 1. 悪用されている脆弱性
> MS06-014、MS08-078、Adobe Flash Playerが確認できています。
> 2. 不正プログラムの動作
> まず、上記の脆弱性が存在すると、ダウンローダが動作して別の不正プログラム【1】への感染を試みます。
>【1】に感染すると、ネットワークゲームのアカウント情報の詐取、インターネット上の他のサイトへSQLインジェクションによる攻撃などを実施します。

2008/12/18に緊急リリースされたMS08-078が既に含まれているように、WUを怠っているユーザーは踏み台にされる可能性が高い。
それと、ただ便利だからというだけの理由で、作りっぱなしのデータベースをそのまま使い続けている側にも警鐘は発せられるべき。

258 名前:(○口○*)さん:09/01/04 12:08 ID:OJPHsDhE0
住みにくい世の中になりましたな。。

259 名前:(○口○*)さん:09/01/04 14:42 ID:lESDG4430
ブログみるだけでハックかかるとかブログももう見んほうがいいね

260 名前:(○口○*)さん:09/01/04 16:51 ID:eRNGUza60
何も見ないのが良いぞ
ここも危険だからもう見ちゃダメだぞ

261 名前:(○口○*)さん:09/01/04 16:53 ID:RG3gZ0NB0
スタンドアローンでおk

262 名前:(○口○*)さん:09/01/04 16:57 ID:xelflGBC0
Windowsが安定するのは電源が入ってない時だけだって笑い話を思い出したよ。

263 名前:(○口○*)さん:09/01/04 20:49 ID:63u0IZ+B0
XPもSP2以降はそんなことないでしょ。

Windowsの脆弱性だって、これだけ広く使われてるから標的になってるだけで、
Linux系も同じマンパワーで攻撃されたらどうにもならない悪寒。

何だかんだ言ってもWindowsUpdateは優秀だよ。最低限のパッチは自動で当ててくれる。

264 名前:(○口○*)さん:09/01/04 21:01 ID:eRNGUza60
たまに地雷も自動的にセットしていくけどなw

265 名前:(○口○*)さん:09/01/04 21:20 ID:OJPHsDhE0
/.でネタ拾われたね

エキサイトブログのトップページが改ざんされ、悪意のあるスクリプトが埋め込まれる
http://slashdot.jp/security/09/01/04/0743201.shtml

266 名前:(○口○*)さん:09/01/05 03:57 ID:gc22sr9r0
JavaScript、Javaアプレット、ActiveX、などなど全部無効にして
HTMLの解釈と画像の表示だけを行う設定のブラウザを用意すれば
多少は安全。
もちろん、だからといってWindowsUpdateやウイルス対策ソフト等の
導入を軽んじてよいというわけではないけど。

267 名前:(○口○*)さん:09/01/05 09:54 ID:Df1nEUQS0
いちおうエキサイトのトップの問題のスクリプトは削除された模様
でもまだ公式の発表はなし

268 名前:(○口○*)さん:09/01/05 13:08 ID:4J1Rnl1h0
WindowsUpdateって追加選択とかいうのも色々あるけど
いっぱいあってどれを選べばいいのか分からない
適当に選んでトラブルになったら怖いし
優先度の高いってでてるやつだけにしてるけど大丈夫なのかな

269 名前:(○口○*)さん:09/01/05 13:37 ID:+kk2t7rf0
そういう人は自動更新に任せるのがおすすめ。

270 名前:(○口○*)さん:09/01/05 14:43 ID:2tAYnk3a0
自動更新はオンにしてあるけどサービスパック3にすると色々と不具合が起きるかもと聞いたんで2のままにしてあるんだよね
まぁ追加選択〜のとこは放置しておく。ありがとう

271 名前:(○口○*)さん:09/01/05 14:52 ID:+kk2t7rf0
いずれSP3の適用は必須になるから、折を見て当てたらいいと思うよ。

272 名前:某Wikiかんり:09/01/05 15:23 ID:YPgMZNOl0
>>216さん
裏から反映しときました。

--
spam.ini.phpは同鯖内にある複数のWikiで共有してある都合で、
RO系の Wikiに書かれるとしたら 大抵spamだろうっていう一部の
TLDを含んじゃったりとかかなり厳しめの設定なんですよね…。

とりあえず引っかかってた www.example.cn のようなURLは
www.example.cn.PLEASE_REMOVE のようにして規制回避してあります。

273 名前:(○口○*)さん:09/01/05 19:15 ID:BRPCNKmG0
>>270
普通の人はSP3にしても大丈夫
特殊な環境や会社で使用しているPCだと困ることがある

最悪SP3はアンインストール出来るのでSP2に戻すことが出来る

274 名前:(○口○*)さん:09/01/05 20:56 ID:9fH6tNHm0
今回はトップページだけかな?

275 名前:(○口○*)さん:09/01/05 21:06 ID:26csLnFvO
質問です。
明日から来るネカフェ3倍を利用したく、ネカフェに行こうと思うのですが、携帯電話のフルブラウザでパスワードを変えることは安全でしょうか?

276 名前:(○口○*)さん:09/01/05 21:13 ID:mPMcWVi70
PC変えるからPG2を新しいほうに入れたいんだけど
フォルダーごとコピーして移せばいいのかな?

277 名前:(○口○*)さん:09/01/05 21:30 ID:XktTGTiU0
エラースレ703
>このスレに相談に来るような人に、セキュリティソフトを入れないでも大丈夫とか
>そういう誤解を産みかねない状態になるのはどうかと思うが
>だからといってスレを流し続けるのもダメだと思うんだ
エラースレ705
>「原因特定には有効だが、危険だから試すなら充分注意して速やかに」と
>「取り敢えず安全だから、試してみればいい」とでは随分印象が違うと思うのだが。

まったくもって同感

エラースレ706
>あと、そもそも感染したのってM$のパッチがまだ出てない脆弱性突いてくるタイプじゃなければ
>自分でつい実行したとかじゃないの?

少なくとも、WindowsUpdate適用済みのディスクを作成してインストールした。まっさらにしたので
OS入れなおし前の何かが残っていた訳でも(感染したUSBメモリ入れっぱなしとか)ないし、
感染済みのなにかを不用意に実行してしまった訳でもない。その状況で侵入された事例だよ。

そういう事例を知ってるからこそ、エラースレ705の発言に賛成する。
ルーターあれば「取り敢えずは大丈夫」なんて表現で誤解を広めないようにだけして欲しい。

278 名前:(○口○*)さん:09/01/05 21:31 ID:XktTGTiU0
>>276
スタートメニューには入らなくなるが、設定のコピーという意味ではそれでいいと思う。
PG2インストール→PG2を一旦終了→今までのPCから上書きコピー→再起動 でもいいんじゃないかな。

279 名前:(○口○*)さん:09/01/05 22:04 ID:mPMcWVi70
>>278
そっかー、ありがとう!

280 名前:(○口○*)さん:09/01/05 23:23 ID:XktTGTiU0
>>267
告知出たね。1月4日の20時30分まで改竄された状態だったとか。
サポートフォームに投稿した控えが1月4日07:37頃にメールで来てる。
一応、年始でもその日のうちに対応してたようだ。

http://staff.exblog.jp/7792459/

>なお、今回の件によるご利用の皆様へのウイルス感染等の影響はございませんので、
>ご安心ください。

まぁ、呼びだされてたjp.jsが404だったから実害はなかったと思うけど、ちょっと説明が
言葉足らずという気がしますね。でも、対応されたようで一安心。

281 名前:(○口○*)さん:09/01/06 15:21 ID:ykImHsiS0
2009年の脅威はローリスク・ローリターンの金銭狙いへ
ttp://internet.watch.impress.co.jp/cda/news/2009/01/06/22012.html
攻撃側の心理としては、逮捕を避けるために
「ローリスク・ローリターンの金銭狙い」の傾向が見られると予測。
「以前は『取れるところから取る』攻撃が大半だったが、
今後は、足が付かないように『薄く広く小銭を集める』攻撃が増えるだろう」(岡本氏)。
具体的には、多くのユーザーから詐取したオンラインゲームのアカウント情報を
アンダーグラウンド市場に販売することで大きな利益を得ることなどが想定されるという。

282 名前:(○口○*)さん:09/01/06 15:34 ID:ab70K9s60
>足が付かないように『薄く広く

って薄く広くの方が足捕まれる可能性があるようにも思うんだが、
要するにリアル社会のスリみたいなものだろうか。

283 名前:(○口○*)さん:09/01/06 15:45 ID:ykImHsiS0
振り込め詐欺のエロサイトなんかがそうだけど、
小額だとまず訴えないってことじゃないかな。

どこかの銀行から数億円ぶんどりました、だと
地の果てまで追われそうだけど
ゲーム(笑)だと被害者が訴えないどころか
そもそも警察もあまりやる気が…。

284 名前:(○口○*)さん:09/01/06 15:48 ID:ab70K9s60
うーんただ不正アクセス自体は訴える以前に犯罪なので…
とっととアカウント売って売買益だけかすめるってやり方になるのかな

285 名前:(○口○*)さん:09/01/06 16:26 ID:ykImHsiS0
犯罪にしても立件されなきゃどうしようもないでしょ。

286 名前:(○口○*)さん:09/01/06 17:16 ID:/oQaM50G0
FF11なども、アカウントの復旧手続き、要はロールバックのポリシーが確立したこともあって、仮に
アカウント盗用の被害に遭っても救済を受ければ済むと言う、一種のモラルハザードが起きる懸念もあるね。
社会的に必要なのは、犯罪行為が増加していることが統計的に示せることなのだけど。

287 名前:(○口○*)さん:09/01/07 16:22 ID:jAvU6y7v0
>>286
復旧がどの程度時間がかかるのかによるんでね?
復旧依頼だして、2-3日或いは数週間、一ヶ月とか掛かるなら、
それだけ垢ハク警戒するだろ。

ネトゲなんて、やりたいときにやれなきゃ意味がないわけで。

288 名前:(○口○*)さん:09/01/07 20:22 ID:asvwrOWk0
>>275
パッチ変更点のほうにも書いた者です
私はドコモのP903ixですが
フルブラウザが付いてるのでアトラクションセンターをブックマーク登録して
カフェにいてログアウトした直後に携帯からパス変えてます
帰ってから ログインしてキャラパスも元に戻してます

289 名前:(○口○*)さん:09/01/07 21:38 ID:jHMZxTnf0
>>275
携帯は今のところ安全だと思うよ。

携帯でネットカフェ用にパスワードを変更するのは悪くない。
変更後は、必ずフルブラウザを一回終了させましょう。

290 名前:(○口○*)さん:09/01/08 21:52 ID:TdAK27Tg0
ウィルスばら撒く方も正月休が終わったみたいで新しいURLが爆撃され始めてますな。
ttp://99■1■8■113:8080/sonli/Online■scr
現状確認したのはアプリコットカフェとLydia板だけですがほんの少し前に爆撃開始っぽいので
いちおう注意喚起用にあげときます。

291 名前:(○口○*)さん:09/01/09 01:24 ID:6Sj5GqTK0
sea.s201.xrea.com/src/yamada8236.jpg

(´・ω・)カワイソス

292 名前:(○口○*)さん:09/01/09 06:59 ID:aB4NtMSi0
ちょw

293 名前:(○口○*)さん:09/01/09 07:03 ID:MXt/fK+40
俺はそんなJPEGをホイホイ踏むほど楽天的じゃない

294 名前:(○口○*)さん:09/01/09 08:44 ID:pipR8tBZ0
誰かの蔵起動画面みたいだけど何がカワイソスなんだ

295 名前:(○口○*)さん:09/01/09 09:18 ID:mmmIgF0e0
意味わからん

296 名前:(○口○*)さん:09/01/09 09:33 ID:rnVCufVx0
山田ヲチスレ民乙

297 名前:(○口○*)さん:09/01/09 09:55 ID:QmCcONAI0
>>290
01.08.2009 04:21:26(17/38)
ttp://www.virustotal.com/analisis/dc663344a1a9801a293cbe04d062c628
カスペ、マカフィー、NOD32スルー、シマンテック不明

01.09.2009 01:50:08(21/38)
ttp://www.virustotal.com/analisis/c9ec8d2b1a52c86a9d9347b307345e56
カスペ、シマンテック検知に変化
マカフィー、NOD32は相変わらずスルー

カスペ検出名「Backdoor.Win32.PcClient.aada」

298 名前:(○口○*)さん:09/01/09 22:41 ID:zb7U2Wrs0
1/14公開予定のWU、1件だけだが緊急(Vistaは警告)との事

マイクロソフト、1月の月例パッチはWindows関連の1件
ttp://internet.watch.impress.co.jp/cda/news/2009/01/09/22052.html

マイクロソフト セキュリティ情報の事前通知 2009年1月
ttp://www.microsoft.com/japan/technet/security/bulletin/ms09-jan.mspx

299 名前:(○口○*)さん:09/01/12 02:36 ID:iJOIfNwu0
改行が多いため一度に書き込めなかったので2度に分けて書き込んでます
ネットカフェでROのキャンペーン中だったのでプリの追い込みを不死ダンジョンでしようと
ネットカフェに行って来たのですがRO起動しながら
念のためと思って家でもやってるF-secureというオンラインスキャンをしました
ところがスキャンの数が5000個にいくまでにウィルスが・・・
急いでROをログアウトして携帯のフルブラウザでパスワードだけは変えました

見つかったウィルスは
Stealth process(UNKNOWN PROCESS ID2012)
Stealth process(UNKNOWN PROCESS ID1692)
の2つでした
とりあえず最後までスキャンしてみようと思いこのまま約1時間が経過
店の店員に伝えたところ、すぐに新しい席をご用意しますといいました
(席を替えればいいという問題じゃないと思うけど・・・)
私はてっきり例え前の人がウィルスのURLを踏んだりして感染しても
ネットカフェのパソコンは再起動したら初期化されて問題ないんだと思ってたんですが
店員がいうには どうやらそうではないと言ってました
新しい席を用意しますといったので この見つかったウィルスは?一応削除しときます?と聞くと
とりあえず このままにしてくださいと言われて店員はカウンターへ行き
自分が新しい席でPC出来るように設定したところウィルスが見つかった席の電源が落ちてウィルスはそのままでした・・・
次に誰かが使うんじゃないのかと思いながら とりあえず3つ隣の席に移動して、また念のため同じようにスキャン開始
わずか4000個もいかない内に今度は6つも見つかりました
見つかったウィルスは
Virus.VBS.Small
Trojan.WinREG.AutoRun
TrackingCookie.2o7
Virus.VBS.Small.a (C:\AUTORUN.BAT)
Virus.VBS.Small.a (C:\AUTORUN.INF)
Virus.VBS.Small.a (C:\AUTORUN.VBS)
Virus.VBS.Small.a (C:\WINDOWS\SYSTEM32\AUTORUN.BAT)
Virus.VBS.Small.a (C:\WINDOWS\SYSTEM32\AUTORUN.INF)
です(途中で退店したので6つ以上あるかは不明です)

300 名前:(○口○*)さん:09/01/12 02:38 ID:iJOIfNwu0
ナイトパック(8時間1000円)を利用して入店
席を利用したことには変わりないとはいえほぼウィルススキャンしかしてないのに
店員は上の人とも話したのですがと言って100円の割引券を使って800円支払いました
店側のセキュリティーが原因なのに納得がいかない・・・

店は兵庫県加古川市にある
JUNKBOXメガコート加古川店
親元はJUNKBOX+MEDIABOMBらしいのでJUNKBOX+MEDIABOMBでぐぐればHPも出てくるはず

同じ店や支店でROしてる人がいるかもしれないと思ったので
マルチになるのですがあえてネットカフェのほうのスレッドにも
同様の書き込みをさせていただきました


あと上記の見つかったウィルスはアカウントハックに関係するものでしょうか?
分かる方いましたらアドバイスいただけたら助かります

301 名前:(○口○*)さん:09/01/12 02:42 ID:AX7l3n4v0
公認ネカフェだとしたら、惨い所もあるもんだ。

302 名前:(○口○*)さん:09/01/12 03:10 ID:JiusobuV0
最初のはnProを検出した可能性もあるからよくわからんな。
それより2台目がひどすぎるw

303 名前:(○口○*)さん:09/01/12 03:51 ID:LoXjCYQa0
家族とPC共用するのすら嫌なのに、ましてや顔も知らない他人とだなんて

304 名前:(○口○*)さん:09/01/12 09:36 ID:GB7UoI6C0
PCに詳しい人が or 専門の業者にセットアップ頼まずに
適当に環境作ってんじゃない?
ネカフェなんてそんなもんだと思われ。

金取って提供するサービスでは無いと思うから、漏れは行かないな。
共用のPCは疑ってかかった方が安全だね。

305 名前:(○口○*)さん:09/01/12 10:25 ID:hd29njWi0
こういうの(カフェPCの汚染)って、店だけでなくセキュリティ関係の機関に
連絡入れていった方がいいかもしれんね。

306 名前:(○口○*)さん:09/01/12 10:37 ID:GB7UoI6C0
>>305
言うならチェーンの本部じゃない?
通報してどうにかなる「セキュリティ関係の機関」なんて無いでしょう。

307 名前:(○口○*)さん:09/01/12 10:39 ID:Zz8dWzDW0
本部に苦情入れておけ。

あと、ネカフェスレどこだっけ…そっちにも書いといたほうがいいかも。

308 名前:(○口○*)さん:09/01/12 10:46 ID:hd29njWi0
>>306
「関係ない」で済ませていると、実態がいつまでたっても知れ渡らない。

たとえばIPAの重点施策の一つにこんなのがある。
ならば、情報提供として現状を伝えるのも無駄ではないと思うんだ。

>ITの安全性向上に向けた情報セキュリティ対策の強化
>誰もが安心してITを利用できる経済社会を目指した未然防御策等の
>提供等に取り組んで参ります。

消費問題なら消センや国センに情報提供するのと一緒。
事例が多ければトップダウンで動き出すよ。
民間企業ごときにあんまり期待しちゃいけない。

309 名前:(○口○*)さん:09/01/12 12:08 ID:A+xgO6TE0
ついでに癌にも一報入れるといいぞ。
ネカフェの信頼が落ちると利益に関わるからさすがに動くと思われ。

310 名前:L ★:09/01/12 13:29 ID:???0
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1231034717/554

554 名前:餓×鬼[] 投稿日:09/01/12(月) 13:14 ID:XnMjunn30
生体とかトールでもいきなり沸いてきて様々な妨害してきます。
この時は他のPTにもわざとなのか、うちのPTと間違えたのかLP出してたようで
巻き込まれた方本当すみません。
http://99 . 1 . 8 . 113 :8080/RO /Online.scr


ここ数日の書き込みホスト
21100821014*.cidr.odn.ne.jp
21023111502*.cidr.odn.ne.jp
21100814608*.cidr.odn.ne.jp

311 名前:(○口○*)さん:09/01/12 14:40 ID:GB7UoI6C0
おつです〜NGに入れときます。

312 名前:(○口○*)さん:09/01/12 14:56 ID:IT/9hpv40
つか管理板にも同じ書き込みが…

この餓鬼はscrですら何の疑いもなくクリックすると思ってるんだろうか
それとも中国版冬厨というやつか

313 名前:(○口○*)さん:09/01/12 15:14 ID:FMhxl+TW0
>>312
やつらは仕事ですから。
内職で1つ爆撃するごとにいくらって言う仕事なんだろうね。

こちらも赤石同様、罠を入れ換えたので爆撃をしてきたと考えてよさそうだ。
ディレクトリが3つ。
BBS には livedoor
blog には Freya
RO には Online

いずれもファイルタイム:1/11/2008 3:11:00 PM

VirSCAN/VirusToalで調べると
Avira、カスぺ系(本家、F-Sec.)スルー
ちなみにClamAV、ノートン、バスター、K7やキングソフトは検出するようだ。

やつらのことだ、このスクリプトの亜種をこれ以外の手法で仕込むことも十分考えられるので注意されたし。
気をつけてくれよな!

314 名前:(○口○*)さん:09/01/12 17:15 ID:Zz8dWzDW0
>>313
パッケージ状態だと反応しないが、解凍した1188.exeはAvira AntiVirで検出。

315 名前:(○口○*)さん:09/01/12 17:36 ID:Zz8dWzDW0
VirusTotalとまってるのでVirScanでこんな感じ。

中身の1188.exe(16/38)
http://virscan.org/report/e18f2c23d74b6859df520cf2e94a501f.html

Freya.scr(15/38)
http://virscan.org/report/51a87de93a8e30e178a95f2d61e80928.html

316 名前:(○口○*)さん:09/01/14 03:47 ID:w7sSo3jw0
アカハックあってしまった・・・
一昨日相方と二人でネットカフェに行って
昨日のメンテナンス後にハッキングされたようだ。
二人ともパス変えなかったのが迂闊としか言いようがないが、
まさか公認ネットカフェでこうも露骨にハッキングされるとは。

被害の方は二人とも2垢中の↑のアカウントだけ。
僕の方はサブ垢だったのでマシだったが、相方はメイン垢をやられてしまった
キャラパスが全部変わってて頭装備が変わっていたのでアカハックと判断したのだが
とりあえずガンホーコールセンターの営業時間外なので
今日はサポセンで被害報告だけ出して寝ることにします。
やっぱり警察に連絡しないと救済はされないのかなぁ?
あとIDパス変えても相手がアトラクションセンターログインしっぱなしじゃ
普通に入られてしまうのでそれが怖くてしょうがない。何なのこのログイン方式・・・

317 名前:(○口○*)さん:09/01/14 04:01 ID:FNcOG1on0
>>316
日付が変わるとINしっぱなしでも
クライアント立ち上げようとすると一時的にログアウト状態にされ
再度IDとPASSの確認を行うようになってるっぽい。
とはいっても安心するのは早いか。

318 名前:(○口○*)さん:09/01/14 05:18 ID:ItR98XkZ0
次の被害者が生まれるのを抑えるためにも、どのネットカフェだったか書いたほうがいいかも

319 名前:(○口○*)さん:09/01/14 05:41 ID:PrPs7w/u0
昨日行って今日か…早いね
1.5倍期間中にデータ収集して一気にってのはありそうだから
今後増えそうだ

あとなんか癌ID消されたって人がいるみたいだね
RAGUWEBで記事になってる

320 名前:(○口○*)さん:09/01/14 09:29 ID:XOqqar320
>>316
ここで報告したいならテンプレに従いましょう
愚痴をこぼすスレではありません

321 名前:316:09/01/14 10:38 ID:vR348rLQO
自治厨過敏すぎる・・・
テンパってて1しか見てなかったんだ、悪かったね。
テンプレって言ってもネカフェでハックされたのは間違いないよ。
新潟のゆう遊空間だけど、一週間通って他にもROやってる人結構いたから被害出てそうだなぁ。
とりあえずまとめサイト見てから出なおしてきます

322 名前:(○口○*)さん:09/01/14 10:45 ID:8rzM9xC50
>1しか見てなかったんだ

その>>1
>アカウントハックに関する情報の集積・分析を目的とするスレです。
>報告用&質問用にはテンプレ (>>4)を利用してください。

って書いてあるの読めてないじゃん。

323 名前:(○口○*)さん:09/01/14 10:49 ID:Z4O4LXBz0
俺には>>321は携帯の騙りにしか見えない

324 名前:(○口○*)さん:09/01/14 11:25 ID:NwMvSHw90
緊急(1)
ttp://www.microsoft.com/japan/technet/security/bulletin/ms09-jan.mspx
>インターネットに接続したコンピューターでは、最善策として最低限の数のポートしか開かないようにすることを推奨します。

325 名前:(○口○*)さん:09/01/14 11:50 ID:fnMT1c610
RAGUweb.netで昨日の記事見て来い

(´・ω・) カワイソス

326 名前:(○口○*)さん:09/01/14 12:17 ID:6QULx1qI0
マイクロソフト、1月の月例パッチ1件を公開
http://internet.watch.impress.co.jp/cda/news/2009/01/14/22079.html

> 公開された修正パッチ「MS09-001」は、ファイル共有などに用いられるSMBプロトコルに関する
>3件の脆弱性を修正する。3件のうち2件は、特別に細工されたSMBパケットを受信した場合に
>任意のコードを実行させられる可能性があるものだ。ネットワークに接続しているだけでウイルスなどに
>感染する可能性がある、危険度の高い脆弱性となっている。

今月のWindowsUpdateもかけておきましょうね〜

327 名前:(○口○*)さん:09/01/14 15:43 ID:atZ28buN0
>>325
この記事ってさ、セルフィタウンに登録しなければ
ひとまずは大丈夫(流出経路を一つ潰せる)ってことだよな?

328 名前:(○口○*)さん:09/01/14 16:53 ID:j0GxkmWL0
>>321
m9(^Д^)

329 名前:(○口○*)さん:09/01/14 17:09 ID:w7sSo3jw0
【      気付いた日時          】 1/13
【不審なアドレスのクリックの有無 】 なし
【他人にID/Passを教えた事の有無】 なし
【他人が貴方のPCを使う可能性の有無】 なし
【    ツールの使用の有無      】 なし
【  ネットカフェの利用の有無   】 あり
【     OS    】 Vista
【使用ブラウザ 】 IE7
【WindowsUpdateの有無】 来たらすぐ実行するので覚えてない
【 アンチウイルスソフト 】 ウィルスセキュリティZERO
【その他のSecurty対策 】 特に無し
【 ウイルススキャン結果】 異常なし
【スレログやテンプレを読んだか】 このスレだけ読んだ
【hostsファイルの変更】無
【PeerGuardian2の導入】無
【説明】 >>316

330 名前:(○口○*)さん:09/01/14 17:16 ID:uOqARjdd0
>>329
時系列順に状況を説明しようという気は無いのね。
それじゃ報告しても意味がない。ただ「私被害に遭っちゃった、てへ。」と変わらんよ。

いつ被害に気づいてそれはどうしてだったかだとか、何か書くことないの?

331 名前:(○口○*)さん:09/01/14 17:21 ID:gLWWj2bh0
あなたももうちょっと言葉優しくしてやってくれ。
大体こういう時ってテンパってるから、落ち着くまで待つかもうちょっと優しく書いてやってくれ。

332 名前:(○口○*)さん:09/01/14 18:18 ID:w7sSo3jw0
>>330
あんた警察と同じ事言うね・・・
1/12 ネットカフェでログイン
1/13 ログインしようとしてたらキャラパス変えられてて頭装備が消えてる
1/14 ガンホーに連絡してキャラパス変更。装備取られてる
同日 電話で警察に連絡。直接出向かなくていいらしい
装備はほぼ全部取られたな・・・
何故か紫箱2個とアウドムラ2個と運剣だけ残ってた
相方はバリアントだけ残ってた

333 名前:(○口○*)さん:09/01/14 18:34 ID:QNRDZAy60
ネットカフェ商法終了だな。垢ハクのリスクとネカフェ代払う代わりに経験値1.5倍とかwwwwwwwwwww
まぁ新ログインになってから何度も言われてたが…。

334 名前:(○口○*)さん:09/01/14 18:46 ID:XUowuxFI0
>>331
理由にならんだろそんなもん
初心者だろうがテンパってようが出す物出さなければこちら側はどうしようもない

335 名前:(○口○*)さん:09/01/14 18:53 ID:Lt4z2JB30
あんた警察と同じ事言うね・・・
あんた警察と同じ事言うね・・・
あんた警察と同じ事言うね・・・

ID:w7sSo3jw0ダメだこいつ・・・

336 名前:(○口○*)さん:09/01/14 19:04 ID:PKW/+E1E0
のっけから愚痴で始まる奴はこんなもんだ

337 名前:(○口○*)さん:09/01/14 19:26 ID:MvqF714P0
警察の中の人もこんなの相手じゃ可哀想だ
ヲタが意味不明なこと言ってるで片付けられてしまいそうだ

338 名前:(○口○*)さん:09/01/14 19:39 ID:w7sSo3jw0
しつれいしました。
過去ログも読みましたが僕が考えていたこのスレの趣旨とは実際の所ずれていたようです
きっと書き直しても無駄なので大人しくサポセンのテンプレ回答見てきます

339 名前:(○口○*)さん:09/01/14 19:48 ID:NwMvSHw90
癌公式にも対応フローが逐一記述されているのに、それに従わないのなら回り道になって解決が遅くなるだけだ。
マニュアルやテンプレが何の為に用意されているか、少しは考えてみた方がいいよ。

340 名前:(○口○*)さん:09/01/14 20:25 ID:d8+mM94o0
>>338 僕が考えていたこのスレの趣旨とは実際の所ずれていたようです

ぅゎぁ…どこまで上塗りするの、この子は…

341 名前:(○口○*)さん:09/01/14 20:37 ID:gLWWj2bh0
>>334
ほのかに煽っている感じなのをやめようという事を言いたかったんだが、
その後のレスを見る限り擁護する必要はなかったらしい。
>>330すまんかった。

342 名前:(○口○*)さん:09/01/14 21:17 ID:j0GxkmWL0
>>341
どんまい…

343 名前:(○口○*)さん:09/01/14 21:48 ID:6QULx1qI0
相談やアドバイスが欲しければ、なにがどうしてどうなったのか、相手に理解できるように説明することから
はじめないとどうにもならんよ。

事例の報告だったとしても、やはり他の人に伝わるように書かないと、せっかくの情報の価値が目減りする。

344 名前:(○口○*)さん:09/01/14 22:04 ID:bgIcn7ef0
考えてたスレの趣旨って、住民総出で慰めてもらえるとかそんなの?
何がしたかったのかさっぱりわかんないや

345 名前:まとめ臨時 ◆kJfhJwdLoM:09/01/14 22:36 ID:zu05M4ea0
ふと、>>318 さんでもあげられているように
ネットカフェを利用した場合には
どこの店舗か記述したか記述してもらったほうがいいのかな…とか。

ネカフェで感染した場合は >>4 のテンプレだと
微妙に埋める内容が的外れなってしまうのが悩ましいです。

ネカフェ用の報告テンプレがあったほうが…?
でも店舗の環境は弄れないので
スレで語られるPC環境の対策とはずれてくるかもです。

とりあえず次のスレに
ネカフェでプレイする際のテンプレがあったほうがいいのかもと言う事で。


●1dayなら家で課金してから行く。
●ログイン前にkasperskyなどonlineチェッカーでちゃんとチェックしてから。
●キャラごとに数字パスワードを変えておく。
●ログインするのは必要最低限のキャラのみ。
●お財布キャラに重要な装備持たせ、お財布キャラではログインはしない。
●帰宅後すぐにログインIDを変更する。(携帯電話のフルブラウザから変更でも可)
●使用するPCでウイルスが見つかった場合は即座に店に報告。その店舗ではログインしないことが望ましい。
 どうしてもと言う時は席を替えてもらって、替えてもらった席でもオンラインスキャンをする。
●めんどくさくてもウイルスが見つかった店舗の本部とガンホーにその旨を報告する。

こんな所でしょうか?

346 名前:(○口○*)さん:09/01/14 23:52 ID:6QULx1qI0
ROセキュリティWikiの検体提出先を修正しました。

アドレスが変わったところ
 Avira(AntiVir)

追加
 Antiy Labs <submit@virusview.net>
 Comodo <support@comodo.com>
 Cybersoft(VFind) <virus@cybersoft.com>
 Microsoft(OneCare) <onecare@submit.microsoft.com>
 MicroWorld Technologies(eScan) <mathew@mwti.net>
 SuperAntiSpyware <samples@superantispyware.com>

Webフォーム消滅
 Cat Computer Services(QuickHeal)
 Ewido(AVG Anti-Spyware)

Webとメールの両方で受付のベンダーを整理
RisingのWebフォームの直リンクが消されていたのでリンクしない形で再掲
 ベンダー側が消したらしきコメントだったので、次に消されたらフォームは抹消かな?

347 名前:(○口○*)さん:09/01/14 23:54 ID:6QULx1qI0
あ、あとLavasoftも追加しました。

348 名前:(○口○*)さん:09/01/15 00:31 ID:LW2lkYCk0
RAGUでネタになってたけど、そろそろガンホーには携帯向けのソリューションが欲しいところ。
安全・安心なログオン環境の提供って地味にBOT対策並みに大事だと思うんだ。

349 名前:(○口○*)さん:09/01/15 00:40 ID:u2KJTX3s0
ガンホーゲームズ始めた後、さっさと携帯対応すればよかったものを。
良くも(?)悪くも他社の真似をしようとしないからなあ、この会社。

350 名前:(○口○*)さん:09/01/15 02:20 ID:MIS9GC5s0
カスペのオンラインスキャンが新しくなってた

351 名前:(○口○*)さん:09/01/15 10:16 ID:xCiWWGMl0
RAGU見てきた 携帯でパス変えられるようなの欲しいなぁ…
ネカフェ生きたいけどどうしても色々引っかかっていけないんだよね
入店してからウィルススキャンで1時間とかVBきって起動してくださいとか
そんな店ばっかりで…

352 名前:(○口○*)さん:09/01/15 10:44 ID:PNeTAYJc0
>>351
もし公認カフェでそんな状況なら、ガンホーに苦情がしがし出した方がいいよ。
収益の柱の一つだから、報告が集まればないがしろにされる事は無い。

353 名前:(○口○*)さん:09/01/15 12:48 ID:mPexEpIr0
VirusTotalにnProtectが追加。
VTのnProはBitDefenderエンジン込みらしいので
利用の際はBitの検出名とかぶってないか注意されたし。
blog.hispasec.com/virustotal/41

354 名前:(○口○*)さん:09/01/15 13:03 ID:CrarRDf10
>>353
それってnProはウィルスですってことでFA?
だとしたら癌にウィルス仕込んでるんですかと抗議しなきゃな

355 名前:(○口○*)さん:09/01/15 13:04 ID:LSf2To4H0
これは恥ずかしい

356 名前:(○口○*)さん:09/01/15 13:26 ID:3V6yQw2r0
最初、nPro=GameGuardって思い込みがあったもんで>>354と同じ勘違いをしたが、
VirusTotalで利用するウイルス検索エンジンにnProtectが追加されたって事か。

357 名前:(○口○*)さん:09/01/15 13:27 ID:3VWqS9ah0
うちのカスペ先生はいつもキーロガーの疑いかけてくれるな

358 名前:(○口○*)さん:09/01/15 16:41 ID:ecOjRe350
nProtect Personalの事だよね。
Netizenの技術を応用したセキュリティソフトらしいけど。

359 名前:(○口○*)さん:09/01/15 16:43 ID:8OmSjk0I0
ネチズン…?

360 名前:(○口○*)さん:09/01/15 16:46 ID:ecOjRe350
というか、公式にもSoftwin社のエンジンを利用と書いてあったわ。
ttp://nprotect.jp/personal/
だから>>353の言うように、BitDefenderと類似なのは自明。これはVTに限らずだけど。

361 名前:(○口○*)さん:09/01/16 08:12 ID:cp3e7RsJ0
>>310と同じ書き込みが2日続けてあった
アクセス解析見たら発信元は中国w

exeやscrをNGワードに設定し、コメント欄には書かれなくなったが、
今度は参照URLに書き込んで来たw

今度は参照URLの欄を削除して中華の反応見る事にする

362 名前:前スレ467 ◆L.JmygXt4M:09/01/16 22:09 ID:M7wN5jbr0
前スレ467◆e91dOdCUrUです。
リアルが立て込んでて、報告が遅くなりましたが、1/6のメンテナンスでアイテムが戻ってきました。
昨年12/16の週に警察から電話があり、捜査完了となりました。
結果的には犯人逮捕には至らず。
ISPの加入者情報(日本人名)までつきとめたようですが、
偽造身分証明書(パスポートらしい)で回線引き込みをしていたらしく、
最終的に引き込みを申請した本人には至らなかったようです。

そのままサポートデスクに再度、捜査完了の旨を投稿し、
「2週間ほどの時間が欲しい」との連絡で、1/6にアイテム、Zenyが復旧しました。
年末年始の2週間を入れないと計算は合うので、復旧目処に大きな誤差はないと思います。

回線の引き込みなんかが手軽になってることもあるのか、
偽造身分証明書がどこまで巧妙に作られていて、
キャリヤ側のチェックを抜けるのかは分からないですが、
色んなところで危機が満載ですね。
キャリヤも回線費用とりっぱぐれてる気もしてきますね。
なんにせよ、まずは自衛ありきで、それも継続的に行わないといけないと再認識をさせらた貴重な経験でした。

臨時まとめの人はじめ、このスレの方々の報告はとても参考になりましたので、お礼も兼ねて結末のご報告をさせて頂きます。

363 名前: ◆L.JmygXt4M:09/01/16 22:09 ID:M7wN5jbr0
ageてしまった|i|orz

364 名前:(○口○*)さん:09/01/16 22:32 ID:yNuCepnZ0
おめでとう・・・といって良いのかわからないがともかく復旧おめでとう、そしてお疲れ様

365 名前:(○口○*)さん:09/01/16 23:13 ID:0m53HuED0
やっぱそういう奴がやるんだねえ。
まともな奴がやったら逮捕で黒星ついちゃうし。

366 名前:まとめ臨時 ◆kJfhJwdLoM:09/01/17 08:22 ID:KsiUggIq0
>>362
復旧までの詳細な手順と経過のご報告ありがとうございます。
そしてアイテム復旧おめでとうございます。
前スレの書き込まれた経過分までは、
当方のサイトの救済事例としてUPさせていただきました。

自分もスレの無名な有志の方々の報告やらで
助けられていたりまとめられるので感謝しきりです。

367 名前:(○口○*)さん:09/01/17 12:26 ID:0kC56hEi0
>>362
報告乙です。
折角なので、こっちにも情報を提供するのはどうだろうか。無法者をつまみ出すためにも。
ttp://www.immi-moj.go.jp/zyouhou/
なにしろ警察よりも恐れられている入管だから。

368 名前:(○口○*)さん:09/01/17 12:46 ID:v7M+6oSt0
日本の役人で使えるのは
水産省 海上保安庁 入管だけだもんな

369 名前:(○口○*)さん:09/01/17 13:42 ID:8Pc2fCPv0
ただ、まぁ、警察が特定に失敗したということから見込みは薄いが、できることをやっとくのは大切だな。

370 名前:(○口○*)さん:09/01/17 13:43 ID:R5MVORE10
管理の放棄されていると思われるwikiや掲示板にアカハックが貼られている場合どうする?

371 名前:(○口○*)さん:09/01/17 13:52 ID:xymwVZ4y0
>>370
今まであったのは、避難所や他に退避をさせて
データーを飛ばして其処を使わないようにって告知していた程度だろうか?

372 名前:(○口○*)さん:09/01/17 16:18 ID:R5MVORE10
>>290の中身が新しい物に変えられてないか

371>>
職WikiとかサーバーごとのGvWikiならそうなんだけど
GのHP代わりに使用されていたり、ROに関係ないwikiの場合は管理会社とかに通報すべきなのかと思って

373 名前:(○口○*)さん:09/01/17 16:35 ID:ISeFAy460
ROに関係なくて管理者も利用者層とも連絡不能とかだったら、現地に警告の編集を入れつつ
その上に通報&ココに(晒すのは気が引けるならまとめ臨時さんにだけに)報告するしかなさげじゃない?

374 名前:(○口○*)さん:09/01/17 19:04 ID:Q6TCIgwv0
すみませんちょっとお聞きしたいのですが、
本日なかじまゆか様のサイトのRagnarok Onlineのページを見にいった所、
BSテンプレート様の危険ドメインリストにもある下記のIPをPG2がブロックしたのです。

69■64■147■17  jbbslivedoor■com

どうにも閉鎖なされたBreeze from Prontera様(ttp://www■poporing■info/)の
バナー(ttp://www■poporing■info/bfp.png)を表示しようとして、
それをPG2が上記のIPでブロックしているようなのですが、
こちらは危険なものなのでしょうか?

375 名前:(○口○*)さん:09/01/17 19:36 ID:8Pc2fCPv0
ドメイン失効で、IPの管理会社が同じになっちゃっただけでは?

376 名前:(○口○*)さん:09/01/17 20:02 ID:BN3muM2F0
>>375だな。
eNomっていう登録業者で取得したドメインは失効するとeNomが用意した
広告が表示されるようになってて、>>374は広告用サーバのIPと思われる。

今現在ドメインは登録業者にキープされていて危険である可能性は低い…ものの、
後々ドメインが完全に開放されて悪意のある物に取得される…
ってシナリオを考えると、危険の前触れとは言ってもいいかも

377 名前:(○口○*)さん:09/01/17 20:09 ID:IPoeuofw0
広告用サーバがPGのリストに入ってるっておかしくないか?
そのサーバにいろいろ仕込まれてるならともかく。

378 名前:(○口○*)さん:09/01/17 20:14 ID:BN3muM2F0
>>377
危険ドメインのIPアドレスを定期的に確認しているようなので、
失効した後に確認しに行ったためにそれが記録されたんだろうね

379 名前:(○口○*)さん:09/01/17 20:15 ID:IPoeuofw0
なるほど、自動チェックね。納得した。

380 名前:(○口○*)さん:09/01/17 20:20 ID:Q6TCIgwv0
なるほど、皆様ありがとうございました!

381 名前:(○口○*)さん:09/01/17 20:24 ID:FuJRXQ140
>>374
あとは念のため、当該サイトオーナーにリンク切れの件を伝えて、修正を入れてもらうのが望ましいかと。
万が一のリスク回避目的と、存在しないディレクトリを呼び出していることによる404レスポンスの分、
サイトの表示速度低下が起こるのも解消できるメリットがあるので。

382 名前:(○口○*)さん:09/01/18 00:04 ID:ZJ2hyQS60
ttp://hi5-photos■com/viewimages.php?=メールアドレス
なんてのが出たらしい。

383 名前:(○口○*)さん:09/01/18 01:14 ID:JTWUQAU30
>>382
>>229-241の新型かな?

384 名前:(○口○*)さん:09/01/18 01:19 ID:JTWUQAU30
>382
404エラーで検体入手できず。

385 名前:(○口○*)さん:09/01/19 01:46 ID:5GQh0PNs0
ケミテンプレが改竄されたんで報告

URL:http://bit■ly/n9gR
転送で→http://www■bluewoon■com/Blog/

386 名前:(○口○*)さん:09/01/19 02:00 ID:UdetJSbz0
>>385ケミテンプレが改竄された

じゃなくて、短縮アドレスがやられたっていう話でしょうか?

387 名前:(○口○*)さん:09/01/19 02:02 ID:UdetJSbz0
あぁ、確認……その短縮アドレスを書き込まれたのですね。

388 名前: ◆YimRag/CBY:09/01/19 02:13 ID:KyNj7bb50
BSWikiにも書き込み未遂。
BSWikiの中の人がBBQの関連で書き込めないので適当に転載していいとのことなので転載。


特徴
・ODN 浪花町(大阪府) Bフレッツ・フレッツ光
・HTTP_ACCEPT_LANGUAGE:zh-cn
・originalデータも有るのでブラウザによる手動の可能性大だが2秒間隔で
 別ページの試行であることからブラウザのマクロの可能性も?


http://bit■ly/n9gR
 http://www■bluewoon■com/Blog/
  http://www■bluewoon■com/Blog/Muma■htm
  http://www■bluewoon■com/Blog/Ms06-014■htm


貧スレWiki/Common Data/DQロダ等には試行書き込みのブロック記録等がないので不明ですが
各Wiki/BBSなどを管理してる人は気をつけてください。 (・x・ゝ

389 名前:(○口○*)さん:09/01/19 03:16 ID:9q1FHuhE0
>>388
Ms06-014■htm の方は解読完了。

本体はこいつ
http://www■skywebsv■com/Blog/k1■exe

390 名前:(○口○*)さん:09/01/19 03:41 ID:4BFUuE0L0
>>385,388の件、ちょっと対抗に使えそうなデータが取れることが分かった。
ttp://bit■ly/info/n9gR
短縮アドレスに(仮想)ディレクトリを追加しただけなのだが、これでアクセス解析データが取得できる。
不安な場合は、以下のAPIリファレンスも一読のこと。
ttp://bit■ly/docs

これで判るのは、RO系で改竄が行われていたのはケミ・モンク・殴りアコプリWiki。
おおよその延べクリック数も把握できる。
あとは、やっぱり赤石系が多い。TW Wikiもやられているけど。

391 名前:(○口○*)さん:09/01/19 11:18 ID:9q1FHuhE0
>>388-389
カスペ検出名(k1.exe以外は今朝方対応)
index.htm_ - Trojan.HTML.IFrame.ad,
Ms06-014.htm_ - Trojan-Downloader.JS.Agent.dhv,
Muma.htm_ - Trojan.JS.Agent.kb,
k1.exe_ - Trojan.Win32.Inject.ncz

=== AntiVir ===
index.htm : NotDetected
Muma.htm : HTML/Shellcode.Gen HTML script virus
muma_1.html : EXP/XMLSPAN.B exploit
Ms06-014.htm : HTML/Malicious.ActiveX.Gen HTML script virus
Ms06-014_1.htm : HTML/Malicious.ActiveX.Gen HTML script virus
k1.exe : TR/Inject.ncz Trojan

392 名前:(○口○*)さん:09/01/19 11:25 ID:9q1FHuhE0
>>390
おもしろいね。fc2のBlogも1つやられてるのをそこから確認できたんで、fc2に報告した。

393 名前:(○口○*)さん:09/01/19 18:30 ID:9q1FHuhE0
F-PORTの検体提出先メールアドレス変更。ROセキュリティWikiの検体提出先も修正済み。

F-PROT Viruslab <viruslab@f-prot.com>

394 名前:(○口○*)さん:09/01/20 05:55 ID:IXYidNB/0
某所に貼られていたもの
ttp://99■2■77■44:8080/blog/Start■scr

検出結果
http://www.virustotal.com/jp/analisis/24d2cce83381d9c707dfbecda54b3332

395 名前:(○口○*)さん:09/01/20 08:37 ID:JdapQQbm0
>>394
中身はいつものように、エロ動画とマルウェア。

AntiVirは、Start■scrには反応しないが、中身の1199■exeには反応。

1199■exe検出結果
http://www.virustotal.com/analisis/16bb3f64075ced19d4477ef899bab415

396 名前:(○口○*)さん:09/01/20 16:25 ID:M7TGiU3+0
ウィルスへのリンクが掲示板からはきちんと削除されてるんだけど
Googleとかのキャッシュの方には残ってたりするんだけど
このキャッシュの削除依頼の窓口ってどこにあるんだろう?

397 名前:(○口○*)さん:09/01/20 21:02 ID:2OjGqajZ0
http://www.google.co.jp/intl/ja/contact/

ここから先は、英語で俺には分からん。

398 名前:(○口○*)さん:09/01/20 21:49 ID:YOQqz1360
削除リクエストでググれ

399 名前:(○口○*)さん:09/01/21 22:53 ID:8oQl/s2K0
「ウイルスバスター2009」にアップグレードした環境で不具合
http://internet.watch.impress.co.jp/cda/news/2009/01/19/22136.html

400 名前:(○口○*)さん:09/01/23 09:50 ID:w8QT2GfM0
「QuickTime 7.6」公開、7件の脆弱性を修正
http://internet.watch.impress.co.jp/cda/news/2009/01/22/22176.html

401 名前:(○口○*)さん:09/01/23 16:50 ID:vT3KSTLn0
両方のRO板見てみたけど適切なスレが分からなかったのでここで聞いてみます
こっちで聞くといいよ、みたいなスレがあれが誘導お願いします。

当方、カスペルスキーのInternetSecurity2009を使用しています
困っているのが、毎回ROを起動するたびに疑わしい動作が検知されています
ROフォルダ内のGAMEGUARD\DUMP_WMIMMC.SYSというファイルのようですが、
起動時のみフォルダに表示され、許可すると見えなくなるようです
動作の種類は、suspicious driver instllationで毎回許可を求められます
選ぶ事が出来るのは許可のみで、すべてのオブジェクトへ適用のチェックボックスもあります

全てのオブジェクトではなく、該当するDUMP_WMIMMC.SYSのみへの許可を
ルールとして設定したいのですが、方法が分かりません。
全てのオブjクトへ適用、は選ばない方が無難・・・ですよね?
マニュアルを読んだり色々試してみたのですがさっぱり手がかりがつかめなかったので
詳しそうな方がいそうなこちらで聞いてみようと思い立ちました

若干スレの趣旨と異なるかもしれませんが、よろしくお願いします。

402 名前:(○口○*)さん:09/01/23 23:06 ID:G4WMkTX/O
それは仕様とカスペに電話したら言われた

403 名前:(○口○*)さん:09/01/23 23:08 ID:n1hm8qCg0
業を煮やして全てのオブジェクトに適用してみたけど、
それでもRO起動時に1/2くらいの確率で疑わしい動作が検出される俺が

404 名前:(○口○*)さん:09/01/23 23:28 ID:G4WMkTX/O
俺は最初の一回目スルーして二回目以降全て引っかかるが、ジャストに電話で聞いてみたらそうなるって即答されたから、俺以外にも聞いたやつがいるってことだな

405 名前:(○口○*)さん:09/01/24 00:44 ID:BRe+KDdW0
カスペやめて、AntiVirにしちゃってるから正確じゃないと思うが、検出名とファイルマスクの複合で
除外設定したような気がする。

その後、ROのフォルダは全部除外にしたような気も…

406 名前:(○口○*)さん:09/01/24 01:07 ID:ixQARvpN0
nProで一部の情報が隠されているから幾ら許可を出しても、
許可済みの情報と一致しないのでまた出てくる

プロアクティブディフェンスのドライバーインストール(だっけ?)の監視を止めるか
プロアクティブディフェンス全部を停止させるしかないと思う

当然、ウイルスに対しての耐性は低下するから、自己責任でどうぞー

#私は面倒だけど毎回アラートの許可を押している

407 名前:(○口○*)さん:09/01/24 01:26 ID:dNwn6FsI0
>>402
それならしようがないな(゜∀`)

408 名前:(○口○*)さん:09/01/24 15:49 ID:dAZCYdDZO
昨日アイテム等全てなくなりました…


FC2踏んだのが原因みたいですね…


一応ガンホには救済処置頼みましたが、私の方が兄弟で垢を共有しており、家も回線も違うため警察の方には言えないので泣き寝入りになるかもです…

個人情報は兄の物で警察の調査により不正がバレれば無傷の兄まで迷惑が…最近錐を買えてようやく装備を選ぶ楽しみが出来るようになっていただけに残念です


はぁ=3

409 名前:(○口○*)さん:09/01/24 15:51 ID:RIndf2ic0
…釣り?

410 名前:(○口○*)さん:09/01/24 15:58 ID:dAZCYdDZO
いえ…

対応策を考え調べていたらここ見つけたので書いてみた…

とりあえず最初から読んでみます

411 名前:(○口○*)さん:09/01/24 16:08 ID:dAZCYdDZO
あ〜
》1
》4

かみてなかった失礼しました

412 名前:(○口○*)さん:09/01/24 16:28 ID:w0MdOVlB0
バ━━━━━━(゚∀゚)━━━━━━カ !!

413 名前:(○口○*)さん:09/01/24 16:33 ID:BRe+KDdW0
自宅と兄宅のIPを報告して、それ以外からが不正アクセスだって言えばいいじゃねーか。
垢共有についてはざまぁwwwとしか言い様がないが、ここは愚痴スレではないので、
きちんとした報告をするか、愚痴スレに移動するかを選んで欲しい。

きちんとした報告には、経験者や過去の事例から、なんらかのアドバイスがあるかもしれない。

414 名前:(○口○*)さん:09/01/24 19:44 ID:npzAVTGW0
まあ癌にだけ報告したって何も進展しないんだけどな。
警察に相談して、向こうから共有の話追求されなきゃ言わなくていいんじゃね?
俺の時はIDと被害の詳細話しただけだった。
被害に遭った日時がそれなりにハッキリしてるなら調査されないかもよ。

ここ2〜3ヶ月でアホみたいにハック被害報告あるみたいだから、
救済されるとしても相当時間かかりそう。
癌も警察から依頼あっても乗り気じゃないし、
警察も癌がそんなノリだから諦めることを勧められたよ。

前例が数件あったから話は早かったが、
その前例が数ヶ月経っても未だ未解決らしく、もう諦めた。

>>408
とりあえず踏んだFC2の詳細をだな。

415 名前:(○口○*)さん:09/01/24 20:17 ID:pbtTEe3X0
FC2騒動はずいぶん前だし、その後のXREAや
そこらの罠踏んだんだと思うけどね。

416 名前:(○口○*)さん:09/01/24 21:58 ID:k2byTjcz0
昨日、>>401で書き込んだものです。
見る限りは、仕様としてそのまま使うしかないのかな・・・
カスペルスキー自体は使い始めて2年目です。
フォルダごと除外設定は2009から出来なくなったんでしたっけ・・・?
12月中旬にnProがなくなった1週間?くらいはROの起動がとても早く、
その快適さを知ってしまって以来、たまに時間を作って色々模索していたのですが
解決する妙案はないようで残念です;皆さん回答ありがとうございましたー

417 名前:(○口○*)さん:09/01/24 22:15 ID:dAZCYdDZO
>411ほんとですね

>412>413
ご返答ありがとございます。

いまPCの方は使えないので携帯で失礼

まだこのスレを熟読する暇がなかったので返答下さった方へのお礼に来たのですが一応


FC2の件はPCではないので張り付けが出来ないので、被害者が増えない為にも少し書いておきます


いつでも必死にラグナロクというブログを閲覧中トップにあるFC2、ブログと隣接して置いてあるアイコンだと思われます
青枠FC2を踏んだ際ウイルスバスタが危険を知らせてきましたので多分これかと…


ま、あまり知識もない熟読もしてないじゃ皆さんに失礼なので、また改めて出直してきます

お邪魔しました

418 名前:(○口○*)さん:09/01/24 23:18 ID:BRe+KDdW0
>FC2、ブログと隣接して置いてあるアイコン
それ、FC2のトップへのリンク

419 名前:(○口○*)さん:09/01/25 09:26 ID:IsduoyNMO
つーかそれ、アカハクが事実なら未だに情報筒抜け、て事じゃね

兄貴とちゃんと相談して、信頼出来るPCからパス変更して、PCに詳しい知人呼んでリカバリしてもらえ。
でないとROどころか、今後打ち込むパスを根こそぎ持っていかれる可能性があるぞ

420 名前:(○口○*)さん:09/01/25 11:06 ID:YYedbj6Q0
癌IDログインになったせいで、ハック=個人情報漏洩だからなぁ・・・。
架空情報だと規約違反だし、どうしろってんだ。

忘れた頃に個人情報使われてリアル被害が一番怖い。

421 名前:(○口○*)さん:09/01/25 11:12 ID:agjJ/T7R0
半架空にしてる。たとえ漏れて業者が入手しても打撃はない程度。
個人を狙い撃ちで本気調査とかストーキングされたら無意味だろうけど、
そもそもそんな場合は何しても無意味っぽいから考えない。

確実に虚偽の申告というレベルでもないし、わりとなんとかなってる。

422 名前:(○口○*)さん:09/01/26 09:45 ID:AdcBoFcS0
兄弟の垢共有は規約には触れるが、お互いがそのことを認知しているなら
法には触れないよ。
もうこれ以上ない被害を受けているのに、そこで泣き寝入りする意味がわからん。

警察に届けなさい。

423 名前:(○口○*)さん:09/01/26 11:26 ID:MFPqIlDz0
法には触れないけど癌の補填対象から外れるな
癌に訴えられる可能性も無くはない

424 名前:(○口○*)さん:09/01/26 11:33 ID:AdcBoFcS0
訴えるメリットがないから、それはない。
だいたい、現状で補償受けられる可能性もほとんどないし。

425 名前:(○口○*)さん:09/01/26 16:47 ID:6bs14+Va0
>>424
「現状で補償受けられる可能性もほとんどない」のに
調査に時間と多少なりとも手間をかけた上、規約違反による
BAN(キャラデリ)のリスクを受けるってことでしょ?
泣き寝入りというよりも賭けに出るかどうかだと思う。

外野としては、前例としてチャレンジしてもらいたいところだけど。

426 名前:(○口○*)さん:09/01/26 17:11 ID:1INnr9d00
訴えられるって、規約違反でか?
規約を守らなかった場合に発生する法律なんてあったか?

そもそも長ったらしい規約を熟読するように書かれてた所で、
大半の奴がほとんど読んでないだろ。
癌に限らず色々な場合においても。

規約を守らなかったせいで発生した損害に関しては、
当社は一切責任を取りませんで終わるだろ。
そのせいで癌に賠償請求させるほどの損害が発生でもしない限り。


ところで兄の個人情報で登録した垢を共有で使ってるってことだろ?
兄が無傷ってのはどういう意味なんだ?

427 名前:まとめ臨時 ◆kJfhJwdLoM:09/01/26 19:31 ID:GQM77N5/0
>>426
実はアカウント=ガンホーIDと解釈しようと思ったのですが
IEからのログイン方式になってからはキャラクターアカウントが違っても
アンホーIDさえ判ればボタン一つでアカウント選択できますし…。

兄弟の使うキャラクターごとに設定されているパスワードが違ったから
408さんはやられて兄は大丈夫だった…と…。
でも倉庫は共通だから倉庫が無傷だとしたらちょっと不思議な事です。
書かれた状況からだと憶測ばかりになってしまうので
この話題は本人降臨待ちかもですね。

規約を盾にするなら補償は受けられないですが、
運営がそこまで野暮なことをしないと思いたい…なぁ…
粋な計らいばかりを望むのも違うんですけどね。


長文ついでに体感報告を。
バスターを2009にしてみました。
時々タスクで「有効になっていません」とか出ますが、
メニュー画面では「推奨機能はすべて有効」になっていたり、
なんだか微妙な感じもあります。
WindowsDefenderか最新のAd-Aware(Xpのサービス設定で手動設定)の
どっちかが競合しているのかも?

とりあえずROが動く最低起動環境ですが
何もしていない状況のフル検索をバックグラウンドで動かすと
08と比べてかなり早くなったかなと。

でも迷惑メールツールONだとメールソフトで最初にメール受信する際、
必ず台湾に繋げに行ってるような動作をPG2のブロックで確認。
"バスター 台湾"で調べるとなんとなく納得してしまった…。

428 名前:(○口○*)さん:09/01/26 19:34 ID:YJlAOXBu0
野暮ってアンタ・・・

429 名前:(○口○*)さん:09/01/26 20:35 ID:IO3eAnkc0
規約に違反しているからといって、不正アクセスの被害を届け出ないのはどうかと思われ。
泣き寝入りするのは、大陸の連中にとって最も都合の良い話だ。

430 名前:(○口○*)さん:09/01/26 20:37 ID:KSvedgXe0
癌垢だけを兄の個人情報で共有ってことじゃないの?
アトラクは違ってて、ログインできてもキャラパスは違うから、兄は無事だったって解釈したんだけど

431 名前:まとめ臨時 ◆kJfhJwdLoM:09/01/26 21:42 ID:uGLP46P+0
>>427で書いたAd-Aware Free Anniversary Edition。
システムの管理-サービスからAd-Aware関係を手動にしても
AAWTrayという実行ファイルが常駐している模様。

MSCONFIGのスタートアップのチェックを外してみたら
今のところタスク表示不良とかC++のエラーとか吐き出さなくなり
トラブルもなくバスターがすんなり起動するようになりました。
やはり互いに競合している印象。


>>428
いや、規約に同意している時点で共有は駄目なんですが。

浪花節につい期待してしまう…甘いのは判ってますが、
アカハックをした輩を思うとなんとなしに言いたくなった事を吐き出してしまったんです。
通例が出来てしまうと規約の意味もありませんし、
そもそも共有さえなければって話なんですけど。

432 名前:408:09/01/26 21:50 ID:m81pmf8qO
こんばんわ


他の事例を読んで見ようと来てみたらスレが伸びてたので


説明が少し足りなかったですねすいません


IDを共有して鯖が私と兄は違うんです。


でガンホの規約に、たとえ兄弟でもIDの共有は停止処分となっているので、まともにいくとまず停止が先になると思われ


ただ話し合いの結果私の家に遊びに来たときROをしていたと報告してもらいました。


しかし…ウイルスでキャラパスを抜けてくるとは思わなかった…
カーソルをリモートかなんかで記憶させるんですかね〜?

ま〜そこは自分で調べてみますが…
ウイルス検知したけどクッキー意外なにも出なかったけど、検知されない奴でしょうね。まだ何か入ってますね〜ちょっと深夜に繋いでみたらラグが物凄く狩にならなかった…

433 名前:(○口○*)さん:09/01/26 22:11 ID:6XwAAMuZ0
この妙な改行は携帯だからか、そりゃテンプレ使えないよね・・・

434 名前:(○口○*)さん:09/01/26 22:35 ID:YFicJ2ml0
そもそも使う気もねえだろに…

435 名前:(○口○*)さん:09/01/27 00:12 ID:iXmhUsDa0
垢共有に虚偽申請とか、釣りにしか見えん

つーか癌社員はこの板もチェックしてるってのが定説だし
マジだとしても、そのままBANになる予感



で、話題転換して impress より
>「最悪の事態はこれから」? 不気味に急拡大する「Downadup」ワーム
>ttp://enterprise.watch.impress.co.jp/cda/infostand/2009/01/26/14763.html

> Downadupの最新の亜種は、ネットワーク、あるいはUSBメモリーなど
>リムーバブルメディアという2つの感染経路を持っている。ネットワークで
>脆弱性を利用して拡散するだけでなく、辞書攻撃でパスワードを破って
>共有ファイルに自身の複製を作る。またリムーバブルメディアでは
>自動再生機能「Autorun」を利用。感染したメディアを経由してPCに入り込んでしまう。

ウィルスがプルートフォース仕掛けるとは……

436 名前:(○口○*)さん:09/01/27 00:17 ID:lJylhVjd0
辞書攻撃するウイルスは昔から無かったっけ?

437 名前:(○口○*)さん:09/01/27 01:23 ID:1AWy+DJM0
辞書攻撃は、プルートフォース(総当たり)じゃなくて、辞書にある単語の組み合わせのみでやる奴だぞ。

438 名前:(○口○*)さん:09/01/27 02:23 ID:/CxAlYUL0
癌に訴えられる可能性ってのは
アカ共有>故意に情報を漏洩
虚偽報告して補填受けようとしてるなら詐欺罪
などかな

まぁ、普通は訴えないと思うけどね
客商売だし

439 名前:(○口○*)さん:09/01/27 09:29 ID:OHu04BrB0
>虚偽報告して補填受けようとしてるなら詐欺罪

それは、運営会社自らゲーム内アイテムの金銭価値を認めてしまう事に
なるから無いよ。

440 名前:(○口○*)さん:09/01/27 14:14 ID:Jk/q8eQ60
ゲームクリアのいいきっかけだろう

441 名前:(○口○*)さん:09/01/27 16:34 ID:NlpFBggb0
垢共有で補償無し。

同居親族間の共有も駄目とか野暮な事は流石に言いたくないが、
別居の兄弟間でアカウント共有はな・・・・・

規約違反はリスクも当然あるのだからあきらめれ。

442 名前:(○口○*)さん:09/01/27 19:27 ID:pa9HR96B0
垢共有の規約違反で訴えられるなら、
BOTerやらとっくに賠償請求されてるだろw
BOTer様でさえ課金対象として大事にしてきた癌様だぜ?

共有が直接の原因でハックされたのならともかく、
関係がないなら普通は黙認した方が収入の継続が見込めるわけだし。

だがそれでも期待できないのは、1客の収入捨ててでもめんどくさい事したくないからじゃね?

>>408
ただ警察に嘘言うのはヤバいから、聞かれたら正直に言ったほうがいいぞ。
それとID共有で鯖が違うってことは、兄のPCが感染してる可能性もあるぞ?
今は癌IDで持っていかれるから、たまたま弟の鯖が先に侵入されただけだろう。
複数のスキャンを兄弟両方でしても検出されないなら、
ウィルスの類では無い可能性もある。
その場合、兄宅のIPが調査対象になる可能性が大きい。
とにかくまずは原因を特定しないことには進まんよ?
ほっといたら兄の鯖も被害に遭うだけ。
キャラパスなんてたかが10000通りしかないんだし。

443 名前:(○口○*)さん:09/01/27 20:17 ID:WySUJDjI0
キャラパスって何回か連続でミスると、サポセンに電話するまでロックされなかったっけ?
緩和された?

444 名前:(○口○*)さん:09/01/27 20:19 ID:o5mHGJ6W0
>>443
もともと1分くらい時間あけないとログインできないorサバキャンされる程度だったと思ったが
記憶違いならすまん

445 名前:(○口○*)さん:09/01/27 21:10 ID:NGqd2YgA0
>>442
最大8桁入って10,000通り?
やべ、算数できなくなったかもしれん

446 名前:(○口○*)さん:09/01/27 21:12 ID:MmmH1Sul0
4桁10000通り、
5桁100000通り、
6桁1000000通り、
7桁10000000通り、
8桁100000000通り
の計111110000通りじゃないのか

まぁパターンがそれだけあったところで、
それ以前の穴が多すぎるけどなあのキャラパス

447 名前:(○口○*)さん:09/01/28 10:03 ID:B6eTB7SE0
スパイウェア対策ソフト「Spybot-S&D 1.6.2」公開
http://internet.watch.impress.co.jp/cda/news/2009/01/27/22220.html

448 名前:(○口○*)さん:09/01/28 19:56 ID:MFGdYqgS0
スパイウェア対策ソフトの監視ソフトとか要るようになってくるんじゃねw

449 名前:(○口○*)さん:09/01/29 21:20 ID:XpPM0Hfj0
>>408ってWG2の人かね?
垢ハクくさい露店があって出てる装備がシフ系のだったんだが
ssとって名前ひかえてあるから通報することはできるよ

450 名前:(○口○*)さん:09/01/29 23:31 ID:cnKbd2y30
PeerGuardianをダウンロードできるとこって今ある?
>>3からじゃだめだった

451 名前:(○口○*)さん:09/01/30 01:15 ID:k14c4YF/0
>>450
問題ないよ。
「β6b 日本語第2版 2000・XP・2003用」右クリで保存してくれ。

452 名前:(○口○*)さん:09/01/30 03:28 ID:h/MCOtWL0
ハック露店通報して何か効果あるのか?

453 名前:(○口○*)さん:09/01/30 03:51 ID:k14c4YF/0
>>452
確かに一つ一つは意味を成さないかもしれないな
これ以上は書かないので深読みしてみ

454 名前:(○口○*)さん:09/01/30 18:41 ID:eybEyscz0
>>451
ありがと、できた
書き込んだときはwebarchiveの鯖の調子が悪かったみたい

455 名前:(○口○*)さん:09/02/01 00:12 ID:yKSymWhE0
Googleが何か変なことになってるな。
どんなサイトを検索しても「警告-このサイトはコンピュータに損害を与える可能性があります。」
って表示される。
なんじゃこりゃあ…

456 名前:(○口○*)さん:09/02/01 00:30 ID:kO+iNzdf0
もう直ってるよ

457 名前:(○口○*)さん:09/02/01 00:40 ID:kO+iNzdf0
そこらのspam投稿から。検体は各社に提出済み。yaplogへも報告済み。

gamepaslog■com/watch/sm3683942/
+---> www■4gameranking■com/xin/
+---> 4gameranking■com/xin/Ms06014■htm
+---> 4gameranking■com/xin/Ms07004■js
+---> 4gameranking■com/xin/Ms06046■htm
+---> 4gameranking■com/xin/ani■c
+---> 4gameranking■com/xin/ani■asp?id=1314
+---> 4gameranking■com/xin/Yahoo■htm
+---> 4gameranking■com/xin/xia■exe

www■4gameranking■com/news/staff/2009/
+---> www■4gameranking■com/xin/
+---> 以下同文

yaplog■jp/redsla_sanay
+---> aiongamemeca■com/mavideo/
+---> aiongamemeca■com/mavideo/Ms06014■htm
+---> aiongamemeca■com/mavideo/Ms07004■js
+---> aiongamemeca■com/mavideo/Ms06046■htm
+---> aiongamemeca■com/mavideo/ani■c
+---> aiongamemeca■com/mavideo/Xunlei■htm
+---> aiongamemeca■com/mavideo/Yahoo■htm
+---> aiongamemeca■com/mavideo/xia■exe

458 名前:(○口○*)さん:09/02/01 00:44 ID:kO+iNzdf0
半角スペース使ってたので階層がわからなくなってるけど、いつもの呼び出し順序なので脳内補完よろしくorz

459 名前:(○口○*)さん:09/02/01 01:11 ID:3shAbUHz0
>>458
 &nbsp;
行頭に半角スペースは「&nbsp;」に置き換えるといいぽ。

460 名前:(○口○*)さん:09/02/01 01:13 ID:3shAbUHz0
>>459はこの手の掲示板ではってことで。

461 名前:(○口○*)さん:09/02/01 01:46 ID:y+QZU4cO0
ttp://www■wokutonoken-online■com/blog/play■scr
いつものscrタイプ。

ただ、投稿場所が某カクゲスレだったりURLが北斗オンラインのTIPOだったりねらいどころが変わってる?
あとは、黒クレカ系ばかりだったMMOもアカハクに乗り出してきてるところも増えてきてるから、今まで以上に慎重にならないとまずいと思う。

462 名前:(○口○*)さん:09/02/01 02:09 ID:SB+Xvm/70
>>455,456
Googleに不具合 全検索結果に「コンピュータに損害を与える可能性」とメッセージ - ITmedia News
ttp://www.itmedia.co.jp/news/articles/0902/01/news001.html

現状ではとりあえず問題はないみたい

463 名前:(○口○*)さん:09/02/01 02:56 ID:uX2DYBQJ0
KIS2009(8.0.0.454)使ってる人いる?
最近の定義ファイル辺りから
exblogのブログ開くとTrojan-Downloader.JS.Iframe.agdが検出されまくるんだが
誤検知か爆撃されてるのかどちらだろう
何個かexblog系列の見たけど全部ヒットする

464 名前:(○口○*)さん:09/02/01 03:28 ID:AfTJNZpH0
KIS2009(8.0.0.454)使っているので、試しにexblog系のブログを適当に
探して見たけど何ともないよ?

465 名前:(○口○*)さん:09/02/01 03:34 ID:AfTJNZpH0
と思ったら IEで見ると反応するな

466 名前:(○口○*)さん:09/02/01 03:44 ID:AfTJNZpH0
切り分けた結果、JavaScriptの ap_adcode()に反応してるな

467 名前:(○口○*)さん:09/02/01 03:59 ID:jom9QPZ00
exblogとfc2は過去に大規模爆撃された経緯があるからな・・・
とりあえず報告してみるといいと思う、誤検知かどうかは専門かが判断するだろう
といういかにもやる気のない俺w

468 名前:(○口○*)さん:09/02/01 04:15 ID:sIok4T/v0
私も>>463さんと同じで、2PC共々exblogにのみトロイが検出されております。
知り合いのバスタやノートンではまったく検出されないとのこと。

469 名前:(○口○*)さん:09/02/01 07:51 ID:z2DOGWip0
弱ったなぁ
自分のブログがexblogだが普通に見てしまっていた
ていうかMcAfeeは反応しなかったな・・・
いつになったらまたブログ見れる状態になることやら

470 名前:(○口○*)さん:09/02/01 09:49 ID:kO+iNzdf0
誤検出だと思うなら、誤検出の報告を。
正しい検出だと思うなら、他のblogへ乗り換えを。

471 名前:(○口○*)さん:09/02/01 12:35 ID:kO+iNzdf0
>>461
そういや、こっちには書いてなかったな…。中身の1199■exeとscrでは検出状況がちょっと違う。
最近、ファイルが差し替えられてる。↓は検体提出時の検出結果。

ttp://www.virustotal.com/analisis/c1021f50717e0c2fd7cb3154ec540948 play■scr(23/39)
ttp://www.virustotal.com/analisis/210b3aaaf72c73fdd03bde62bdcbc71b 1199■exe(19/38)

ttp://www.virustotal.com/analisis/00d86dae7217edd9cf34de9b223df160 play■scr(23/39)
ttp://www.virustotal.com/analisis/6ceaa0ae27e4b55512d3696daf9bab1d 1199■exe(21/38)

472 名前:(○口○*)さん:09/02/01 16:01 ID:AcWJwRna0
誤検出にみえるな。

http://www.aguse.jp/?m=w&url=http%3A%2F%2Fexblog.jp%2F
Trojan-Downloader.JS.Iframe.agd

Iframe代わりのJSを検出したようにしか見えない。

473 名前:(○口○*)さん:09/02/01 16:02 ID:AcWJwRna0
問題のぶつ

function ap_adcode()
{
var url = document.location.href;
url = url.replace(/http\:\/\//gi,"");
var host = url.substring(0,url.indexOf("."));
if (url.indexOf("/") >= 0)
{
var path = url.substring(url.indexOf("/")+1,url.length);
if ( path.indexOf(".asp") >= 0 )
path = path.substring(0,path.indexOf(".asp")+4);
else if( path.lastIndexOf("/") >= 0 )
path = path.substring(0,path.lastIndexOf("/"));
else
path = path;
}
else
var path = "";
var adurl = ""
if ( host == 'www' || host == 'blog' || host == 'adm' )
{
adurl = "/exblog/" + host + "/" + path;
}
else
{
adurl = "/exblog/users/" + host + "/" + path;
}
adurl = escape( adurl );
adurl = adurl.replace(/\//gi,"%2F");
var out = "";
out += ("<img src=\"http://logping.exblog.jp/3rd/ping_exblog.dcg?SN=xbg&SP=" + adurl + "&SLC=jp&rnd=" + Math.random( ) + "\" width=\"1\" height=\"1\" border=\"0\" >");
out += ("<br clear=\"all\" >" );
out += ("<iframe width=1 height=1 marginwidth=0 marginheight=0 hspace=0 vspace=0 frameborder=0 scrolling=\"no\" src=\"http://www.excite.co.jp/exblog/1pt/?" + Math.random() + "\" style=\"display :none;\"></iframe>");
document.writeln( out );
}

474 名前:(○口○*)さん:09/02/01 16:19 ID:kO+iNzdf0
誤検知というより、そのベンダーのセキュリティポリシーだと思う。
カウンタやアクセス解析で使われているとはいえ、サイズ1,1のiframe呼び出しは検知して欲しいところ。

アクセス解析は、隠す必要ないんだから、普通にアイコン表示させたっていいだろと個人的には思う。

475 名前:(○口○*)さん:09/02/01 17:02 ID:kO+iNzdf0
>>457に追加
gamepaslog■com/wiki/FrontPage/
 +---> www■4gameranking■com/xin/
  +---> 以下同文

476 名前:(○口○*)さん:09/02/01 17:33 ID:AfTJNZpH0
>>474
多分アイコン等が表示されると、サイトのデザインの邪魔になるって理由だろうな

477 名前:(○口○*)さん:09/02/01 21:37 ID:aQcXDODc0
本質的には、安易にiframeを使用する事自体を、Webサービスプロバイダに考え直してもらいたいよ。

478 名前:(○口○*)さん:09/02/02 09:37 ID:jfrmSFbu0
>>477
それを言うとscriptもってことになって、殆どのwebサービスが死ぬ。

479 名前:(○口○*)さん:09/02/02 18:28 ID:snSxCnIB0
>>478
セキュリティ的には死んでいただいたほうが好ましい件w

480 名前:(○口○*)さん:09/02/02 18:50 ID:/yL7YS950
excite誤検出だったと返事キタ
2/1の19時に対応済みだって

481 名前:(○口○*)さん:09/02/02 19:09 ID:zmqnmwbW0
Wiki修正
Sohosの検体提出先に関する注意事項追記
mks_vir(ポーランド)の検体提出先を追加

482 名前:(○口○*)さん:09/02/03 04:47 ID:Vr5IlwZO0
>>478
script絡みも、Firefox+NoScriptが地味に普及してきているから、そのうちテレビ放送におけるCMカットと
同様に、広告メディアとしての効果に疑問が出てくるのではと思われ。
実際、ブロック機能の普及でポップアップ型はなりを潜めたし。

iframeの場合は、セキュリティ面もあるけど、ユーザビリティでマイナスになり易い側面もある。
インラインフレームを多用したレイアウトのページだと、ホイールでスクロールしているうちに別のフレームに引っ掛かって、
全体のスクロールが妨げられたりと面倒な事も多いし。

483 名前:(○口○*)さん:09/02/03 05:32 ID:dHCorYZT0
ttp://www■wokutonoken-online■com/blog/play■scr
ttp://online■w84■okwit■com/file/Start■pif

拡張子違うけど全く同じバイナリ。中には1199.exeが入ってる。

ttp://www.virustotal.com/analisis/708b11c9e323eb2fe9fcb2d3722c10ba play■scr(23/39)
ttp://www.virustotal.com/analisis/f468ee080dc4d33b9375d2c17a7abb64 1199■exe(22/39)

484 名前:(○口○*)さん:09/02/03 22:51 ID:dHCorYZT0
リネージュ資料室のウィルス更新状況より。検体は提出済み。
tp://web■vcx2■cn/bbs/fx■htm   : JS/Dldr.IFrame.IB.1 Java script virus
tp://vip■dob3■cn/wm/fl/ffl■html : JS/Dldr.Agent.TC Java script virus
tp://vip■dob3■cn/wm/fl/ifl■html : EXP/Flash.1149 exploit
tp://vip■dob3■cn/wm/fl/f115■swf : SWF/Dldr.Agent.F.1 SWF virus
tp://vip■dob3■cn/wm/fl/f64■swf  : 404 not found
tp://vip■dob3■cn/wm/fl/f47■swf  : SWF/Dldr.Agent.F.1 SWF virus
tp://vip■dob3■cn/wm/fl/f45■swf  : SWF/Dldr.Agent.F.1 SWF virus
tp://vip■dob3■cn/wm/fl/f28■swf  : SWF/Dldr.Agent.F.1 SWF virus
tp://vip■dob3■cn/wm/fl/f16■swf  : SWF/Dldr.Agent.F.1 SWF virus
tp://vip■dob3■cn/wm/fl/i115■swf : EXP/Flash.Gen exploit
tp://vip■dob3■cn/wm/fl/i64■swf  : EXP/Flash.Gen exploit
tp://vip■dob3■cn/wm/fl/i47■swf  : EXP/Flash.Gen exploit
tp://vip■dob3■cn/wm/fl/i45■swf  : EXP/Flash.Gen exploit
tp://vip■dob3■cn/wm/fl/i28■swf  : EXP/Flash.Gen exploit
tp://vip■dob3■cn/wm/fl/i16■swf  : EXP/Flash.Gen exploit

tp://vip■dob3■cn/root/11■htm   : HTML/Rce.Gen HTML script virus
tp://www■qxzzj■cn/root/11■htm  : HTML/Rce.Gen HTML script virus
tp://www■wq9q■cn/root/11■htm   : HTML/Rce.Gen HTML script virus

tp://web■vcx2■cn/root/vip■htm  : HTML/IFrame.800 HTML script virus
tp://web■vcx2■cn/root/11■htm   : HTML/Rce.Gen HTML script virus
tp://web■vcx2■cn/root/bfyy■htm  : HTML/Shellcode.Gen HTML script virus
tp://web■vcx2■cn/root/live■htm  : HTML/Shellcode.Gen HTML script virus
tp://web■vcx2■cn/root/no■htm   : Trojan.JS.Downloader.BHJ(BitDefender / GData)
tp://web■vcx2■cn/root/Real11■htm : HTML/Shellcode.Gen HTML script virus
tp://web■vcx2■cn/root/rp10■htm  : HTML/Rce.Gen HTML script virus
tp://web■vcx2■cn/root/sina■htm  : JS/Dldr.Agent.afr Java script virus
tp://web■vcx2■cn/root/uc■js   : NotDetected
tp://wm■eo2q■cn/root/top■css   : TR/Crypt.XDR.Gen Trojan

最終的に呼びだされるのは、拡張子偽装されたtop.css(VirusTotal 39/39)なので、
セキュリティソフトの定義が最新ならばブロック可能…ファイルが差し替えられるまでなら。
ttp://www.virustotal.com/analisis/21d800c039499918ecbcf5dbd60a418b

フラッシュから呼びだされるファイルはわからない。

485 名前:(○口○*)さん:09/02/03 22:54 ID:dHCorYZT0
あ、検出名称はAntiVirのものです。

486 名前:(○口○*)さん:09/02/04 17:18 ID:xI+eP0/X0
“最高”1件を含む6件のセキュリティ問題を修正した「Firefox」v3.0.6が公開
http://www.forest.impress.co.jp/article/2009/02/04/firefox306.html

487 名前:(○口○*)さん:09/02/05 02:45 ID:xviL8f7L0
バレンタインデーの迷惑メールが急増中、全メールの1%以上に
http://itpro.nikkeibp.co.jp/article/NEWS/20090203/324116/

Ω ドーン

バレンタインスパムの警告記事が各所で出ていたので、酔狂にも検体入手できないか
探してみました。紹介記事のニュースは安全のためみんなアドレスをマスクしてるので、
なかなか見つかりませんでしたが、1箇所だけ、文字が潰れているもののマスクして
ない所を発見したので、検体拾えました。検出率はボロボロなんで提出してきます。

アカハックとは関係無いですが、一応…

ttp://expowale■com/love■exe

ttp://www.virustotal.com/analisis/a7bbc670bf325cbefd01228eb2c7c943 (8/39)

488 名前:(○口○*)さん:09/02/05 13:51 ID:B7WP7RPs0
おいおい何でもありだなもう

駐車違反で誘い込み:実物チラシで不正サイトに誘導する新手法
http://www.itmedia.co.jp/news/articles/0902/05/news025.html

489 名前:(○口○*)さん:09/02/05 15:26 ID:Ma7L7mE50
それはアメ公の奴ね

490 名前:(○口○*)さん:09/02/06 03:30 ID:kzLCvMnL0
ttp://99■178■233■195:8080/blog/Online■scr

ttp://www.virustotal.com/analisis/470bc7aa3f048134191f9cd576edc093 : Online■scr(20/39)
ttp://www.virustotal.com/analisis/d7ba2277b64b31430521344a9502eb24 : hbsj5j5j5■exe(19/39)


いつものようにiframe呼び出し。(yaplogには通報済み)
ttp://gamepaslog■com/rs_antholo/
ttp://gamepaslog■com/rs/lancer/
ttp://blog20fc2■com/alone/6fENOPk/
ttp://yaplog■jp/ouzhong
ttp://yaplog■jp/asuka0215/

いずれも、下記のどちらかを呼び出し、最終的にはxia■exeを呼びだす。
呼びだされるファイル自体は古いもの。
www■4gameranking■com/xin/
jerikoblog88fc2■com/xinma

491 名前:(○口○*)さん:09/02/06 05:14 ID:RUpEm3KD0
おはようございます
一昨日垢ハックされてしまい、放心状態です

NOD32ではウィルスはひっかからないし、どこでひっかかったのが全く自覚症状がありません
サイト閲覧で↑のようなサイトを踏んだ場合どういった症状がでるのでしょうか???
あえていうのであれば前日にIEがフリーズしたことがありましたが

あと垢ハックの1週間くらい前にネカフェを利用してます
それ以前も結構利用していました

ROは継続したいのですが、やはりクリーンインストールするしかないでしょうか???

492 名前:(○口○*)さん:09/02/06 06:54 ID:LUa+4QoK0
普通それとわかるような症状は出ません。
駆除したと自分で断言できないのであればクリーンインストール。
もちろんそのまま継続してまたハックされるのもあなたの自由。

493 名前:(○口○*)さん:09/02/06 07:26 ID:knEPFhxb0
踏んだ事に気付かないから被害者が後を絶たない。
ハックされて初めて気付く人が圧倒的に多いと思う。

ウィルス検知は複数で試すこと。
Aでは非検知だがBでは検知するというのはよくある話。
オンラインチェックやトライアル版を利用する。

いろいろやっても非検知ならまずネカフェを疑うべきだが、
ネカフェで引っかかった確証がないと結局は自分のPCを安心して使えないだろうから、
やはりクリーンインストールをお勧めしたい。

494 名前:(○口○*)さん:09/02/06 09:27 ID:zLEzwyOq0
昔は無能なウイルスが多くて、動作が重くなるなどばれやすい要素があったんだけれどな。

495 名前:(○口○*)さん:09/02/06 12:54 ID:u551AeQI0
Microsoft .NET Framework 3.5 Service Pack 1 および
.NET Framework 3.5 ファミリ更新プログラム (KB951847)

が来てるね

496 名前:(○口○*)さん:09/02/06 13:11 ID:FvfgDRxL0
元がNOD26()じゃなあ。
ここ最近になって、ようやくやる気を出したような状態だから。

497 名前:(○口○*)さん:09/02/06 15:05 ID:LUa+4QoK0
今は30だよw

498 名前:(○口○*)さん:09/02/06 15:45 ID:zLEzwyOq0
年齢が?

499 名前:(○口○*)さん:09/02/06 20:10 ID:TxfgZ5FL0
>>491
ネカフェがアウトな気がする

普段からサイドボタンのあるマウスでプレイしていると
外でROをやる気になれないなぁ

500 名前:(○口○*)さん:09/02/07 21:49 ID:rHuT3WVp0
一度、垢ハックされると、次はもう、復旧させませんよみたいなことを
言われますけど、二回垢ハックされた人の経験談とかってありますかね?

501 名前:(○口○*)さん:09/02/07 21:52 ID:UcWBgm5q0
そもそも、そんなに何度もハックされるようなのは、
ROのアカウントじゃなくて、個人情報とかカード情報の方を先に心配した方が良いと思うぞ…。

502 名前:(○口○*)さん:09/02/08 02:43 ID:czVAwVqb0
補填は一回までってどっかに明記してあったはず
そもそもアカハックされるのは個人の管理責任で
アカを補填するのはガンホーのサービスな

503 名前:(○口○*)さん:09/02/08 08:46 ID:+AK4JdDb0
そもそも自社のサービスを標的としたハック行為が横行しているんだから、
対策すべきなのはまず癌であるべきなんだけどな。
ログイン方法変更とかnPro変えたり戻したり、
セキュリティ強化どころか退化してるだろ明らかにw

警察に届けても、ユーザーが被害者という立場で扱われないから
何をやっても後手後手。結局は癌のさじ加減次第。
表向きは「ハッキング対策癌張ってます!」とうたっているが、
実際は限りなく消極的なのはもうみんなよくわかっていることだろ?
癌をどうにかしない限りこの体質はずっと変わらないぜ。

まぁそういう行動起こすよりも、こんな会社に金払いたくないと辞める方が、
精神衛生的にもずっと楽なんだよな・・・。

504 名前:(○口○*)さん:09/02/08 09:08 ID:fVaWueIz0
ユーザの責任を癌に転嫁するな馬鹿

505 名前:(○口○*)さん:09/02/08 12:14 ID:PwnnxJV/0
すげえなwww >>503は ネットバンクハッキングされても
サービスなんだから銀行がちゃんとするべきってごねるんだろうなwww

506 名前:500:09/02/08 13:44 ID:rspg2ACP0
書き込めなくて、返事が遅れました。
書き込みしてくれたかたがた、ありがとうございました。

507 名前:(○口○*)さん:09/02/08 13:48 ID:55MuMr8e0
もしかして>>503はあれか、自分のPCがウイルスに感染したときとかも
ウイルスに感染するようなPCを売ってる会社がおかしいとか言っちゃうタイプか?

508 名前:(○口○*)さん:09/02/08 17:40 ID:0BnxeOEB0
単に>>503は癌はもっとログイン自体のセキュリティを上げろって言ってるだけなんじゃね?
ワンタイムパスワードを使うとかさ。

509 名前:(○口○*)さん:09/02/08 18:35 ID:fr6ht+R30
>>508
「悪いのは100%癌だ」って主張だから、違うと思うが…。

そりゃ、癌でも出来ることはまだあるだろって意見はその通りだが、
特殊なケースを除いて、ユーザ側のミスがほとんどの原因なんだから、
そんなところまで面倒見て当然ってのは、クレーマーと変わらんと思う。

510 名前:(○口○*)さん:09/02/08 20:51 ID:hZHid9YJ0
ユーザー側のミスというか不手際というか。
セキュリティ対策をしていないPCが多いって聞くし、
後の問題はネカフェだな。

511 名前:(○口○*)さん:09/02/08 21:27 ID:SPeWEZno0
初心者にはウィルス対策とかのセキュリティ=特別な人がする事って認識も結構多いみたいだしな
「自分はそんな特別な事をしている訳でもないし、わざわざ狙ったりしないだろう」的な

512 名前:(○口○*)さん:09/02/08 22:01 ID:0BnxeOEB0
ネットの恐さを教えずに利便性だけを広めてる世の中なんだから当然。
PCに深く関わろうという気がない人間にとってはセキュリティに関して触れる機会はほとんど無い。
知ってる人がとにかく広めるしかない。

513 名前:(○口○*)さん:09/02/08 22:39 ID:+AK4JdDb0
いつ誰が「悪いのは100%癌だ」なんて書いたんだよw

内部の人じゃないと仮定してして聞くけど、
それじゃROのセキュリティは他のMMOに比べても十分なレベルなのか?

少なくても癌の推奨する対策ぐらいはやってても、
被害に遭ってる人は居るわけでだな・・・。

514 名前:(○口○*)さん:09/02/08 23:04 ID:vMpG9toK0
ttp://world2001.blog39■fc2■com/

ってもしかして垢ハクアドレスでしょうか。
Chaos GvG Historyのボスレア・神器所持者一覧に
逆引きはこちらへ[ 神器・ボスカード持ちキャラ簡易まとめ ]
という形でアドレスが張ってありました。
踏むとFC2ブログで「お探しのページはありません」みたいなページでした。

ウイルスソフトはウイルスバスターですが1週間ほど前に期限が切れて動いてませんでした・・。
OSはVistaです。
アップデートは終了時に自動アップデートされるものしかしていません。

自分はPC詳しくないのでわかるのは以上です。
先ほどのアドレスはやはり垢ハクでしょうか?
もしそうだとしても「お探しのページはありません」とあったように削除されていて大丈夫なのでしょうか?

すいませんご教授願います。
自分でももう少し調べてみます。

515 名前:(○口○*)さん:09/02/08 23:14 ID:6IjZqdNo0
>>514
>>1の1行目も読めない程度じゃ、
こっちは「ROアカウントは諦めろ」「OS再インストールしろ」としか言えない。
決して意地悪で言ってるんじゃなくて、本気でそうとしか言えない。

# どうせ自分に都合のいいことに「しか」耳を傾けてくれないんだろうけどさ…。

516 名前:(○口○*)さん:09/02/08 23:27 ID:PTy+0t8k0
■ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ■

現時点で判ることは、そのアドレスのBlogが存在しない(消されたかブロックかtypoか不明)ことだけ。
危険アドレスであった可能性はありますね。かなり古い改変(2008/05)のようですから管理放棄されてるのかも?
1つ前に復元しようとしてもなぜかブロックされるので諦め。過去の編集履歴も、変なblogに飛ばすものが多いようで。

踏んだ時点で、そのBlogが残っていたかどうかまでは知りません。

心配なら、OSの入れなおしからやり直してくださいとしか。

517 名前:(○口○*)さん:09/02/08 23:30 ID:PTy+0t8k0
あー、過去の検体提出記録漁ったら出てきたわ。

2008/05/08時点では危険アドレスへ飛ばすiframeが仕込まれていたようです。
いつの時点でfc2がそのサイトに対処したかまでは知りません。

518 名前:(○口○*)さん:09/02/09 00:47 ID:MMbSji4q0
>>511
>初心者には
>ウィルス対策とかのセキュリティ=特別な人がする事
>って認識も結構多いみたいだしな

こんな話を思い出した…
「即解!そりゃ間違いない」
ttp://aniki.kululu.net/sc/t_neta/ps2/ps_869.htm

519 名前:(○口○*)さん:09/02/09 02:31 ID:M3/Y4b4S0
>2月のマイクロソフト月例パッチ、“緊急”2件と“重要”2件
>ttp://enterprise.watch.impress.co.jp/cda/security/2009/02/06/14877.html

>深刻度が“緊急”の脆弱性は、Internet ExplorerとExchange Serverに関するもの。
>“重要”の脆弱性はSQL ServerとOffice Visioに関するもの。いずれの脆弱性も
>リモートでコードを実行される恐れがあるものだという。

>セキュリティ情報の事前通知 2009年2月
>ttp://www.microsoft.com/japan/technet/security/bulletin/ms09-feb.mspx

520 名前:(○口○*)さん:09/02/09 16:33 ID:D55lA4r40
iframeって広告カットすると何か問題のあるサイトってある?
設定してみたところ、特に何も無いようなんだけど…
巡回先によるんだろうけど。

521 名前:(○口○*)さん:09/02/09 16:59 ID:gY7kxEpk0
ニコ動のブログへの貼り付けがiframeだったと思う

522 名前:(○口○*)さん:09/02/09 17:02 ID:b0wU8MRy0
おーホントにiframeだった

523 名前:(○口○*)さん:09/02/09 18:54 ID:QuQX9LOb0
このスレはハッキング被害に遭っても、
ガンホー様に貢ぎ続ける聖者以外書き込んじゃダメですよ?

辞めたきゃ勝手に辞めれ。
ハッキング被害者が数人辞めるぐらい我がガンホー様には何の影響もない。

524 名前:(○口○*)さん:09/02/10 03:14 ID:NqL/H2sU0
セキュリティー大手のカスペルスキー、SQLインジェクション攻撃で内部情報が流出
http://www.technobahn.com/cgi-bin/news/read2?f=200902092034

BitDefender(ポルトガル)も、同じグル-プにやられたらしいね。
閲覧側には関係無いけど、1つのニュースとしてペタリ。

525 名前:(○口○*)さん:09/02/10 03:35 ID:JdKNaDkeO
貢ぎ過ぎて精神崩壊した結果がコレだよ>>523

526 名前:(○口○*)さん:09/02/10 10:57 ID:OW7Q63Sg0
皆あえて無視してたのに触るでない

527 名前:(○口○*)さん:09/02/11 02:43 ID:DZ2UWDKN0
一応、メモ程度に。
リネージュ資料室の更新情報から。全部同じファイルが落ちてくるので、同一IPの別名かな?

ttp://alnnama■3322■org/b057850/b05■htm
ttp://baidu-du6■cn/b057850/b05■htm
ttp://baidu-dudouai2■cn/b057850/b05■htm
ttp://baidu-dudouai7■cn/b057850/b05■htm
ttp://baiduduyou■cn/b057850/b05■htm
ttp://baiduduyou1■cn/b057850/b05■htm
ttp://baiduybaidbrqlm■cn/b057850/b05■ht
ttp://baiduybaiduio■cn/b057850/b05■htm
ttp://baiduyuxire■cn/b057850/b05■htm
ttp://gougouoo■3322■org/b057850/b05■htm

最終的に落ちてくるファイル(少し古め。検体は各社に提出済み)

ttp://qq■18i16■net/exe1/b05■css
ttp://qq■18i16■net/Baidu■cab


ファイル更新(これも検体は提出済み)
ttp://www■wokutonoken-online■com/blog/play■scr

ttp://www.virustotal.com/analisis/cd869d94139f243dc75604a7d2a841f8 play■scr(23/39)
ttp://www.virustotal.com/analisis/3629d30b58d2d9ca838a02d582d4a0b6 1199■exe(19/39)

カスペ、マカフィー、Microsoft等がスルー
Symantecは外側のscrには対応、中身の1199■exeはスルー

528 名前:(○口○*)さん:09/02/11 12:50 ID:DZ2UWDKN0
リネージュ資料室の更新情報から(追加)

swfから呼び出される本体は、圧縮かかってるので読み取れなかった。

a1■cssはカスペ、マカフィーはスルー。(マカフィーは拡張で引っ掛かる)
さて、休日なのになのやってんだかって気もしますが、検体提出してきますかね。

tp://down■erhaha2■cn/new/a1■css
tp://web■vcx2■cn/bbs/fx■htm
tp://web■vcx2■cn/bbs/../wm/fl/Ilink■htm
tp://web■vcx2■cn/bbs/../wm/fl/flink■html
tp://web■vcx2■cn/bbs/../wm/fl/./i115■swf
tp://web■vcx2■cn/bbs/../wm/fl/./i64■swf
tp://web■vcx2■cn/bbs/../wm/fl/./i47■swf
tp://web■vcx2■cn/bbs/../wm/fl/./i45■swf
tp://web■vcx2■cn/bbs/../wm/fl/./i28■swf
tp://web■vcx2■cn/bbs/../wm/fl/./i16■swf
tp://web■vcx2■cn/bbs/../wm/fl/./f115■swf
tp://web■vcx2■cn/bbs/../wm/fl/./f64■swf : 404NotFound
tp://web■vcx2■cn/bbs/../wm/fl/./f47■swf
tp://web■vcx2■cn/bbs/../wm/fl/./f45■swf
tp://web■vcx2■cn/bbs/../wm/fl/./f28■swf
tp://web■vcx2■cn/bbs/../wm/fl/./f16■swf

ttp://www.virustotal.com/analisis/2b7c383a8e7e6bc858dcfaddb892cbee a1■css(25/39)

529 名前:(○口○*)さん:09/02/11 17:40 ID:hSrgOBcz0
資料室の更新状況のを今後も全部貼るつもりか?
URI自体新しい物ならともかくバイナリの差し替えレベルは
各自ひっそりやってくれんかね。

530 名前:(○口○*)さん:09/02/11 17:50 ID:4KAJ8gY4O
カスペは最近だらしねえなあ

531 名前:(○口○*)さん:09/02/11 17:59 ID:hSrgOBcz0
そういうのは2chセキュ板でどうぞ。

532 名前:(○口○*)さん:09/02/11 18:37 ID:DZ2UWDKN0
>>529
暇で気が向いた時だけ。

533 名前:(○口○*)さん:09/02/11 19:01 ID:hSrgOBcz0
>>532
まぁおいらも検出スレ住人だ。
ついでにそのa1.css系、カスペで検知されると更新される。ほぼ毎日。
中国国内でのカスペのシェアが上がってきた副作用みたいなもんだろう。
んでa1.css〜a370.cssまで存在し、a1.css〜a350.cssはPackerはFSG、
a351〜a370.cssはUPX。後者は更新頻度低め。

534 名前:(○口○*)さん:09/02/11 22:41 ID:DZ2UWDKN0
>>533
なるほどなるほど…と落としてみた。
 AntiVir:360-370の10検体スルー(スルーする奴を1つVirusTotalに投げてみたが、検出率良くないね)
 BitDefender:全捕捉

さて、提出、ていしゅ…13MBもあってメールで弾かれる。

7zのソリッド圧縮にしたら105KBになった。中身が殆ど一緒のファイルだけあってソリッド圧縮の効果が高いわ。
受け付けて貰えるか不明だがこれで送付。

さて、問題はファイル数制限のあるMcAfeeとSymantecなんだが、どうしようかなぁ。

535 名前:(○口○*)さん:09/02/12 01:17 ID:PZ7auHzD0
ふと思い出してドメインチェックしてみたんだが……

>[Domain Name] EXSOCCER.JP
>[登録者名] ガンホー・オンライン・エンターテイメント株式会社
>[Registrant] Gungho Online Entertainment,Inc.
>[登録年月日] 2006/03/27
>[有効期限] 2009/03/31
>[状態] Active
>[最終更新] 2008/04/01 01:05:04 (JST)

>[Domain Name] RO2.JP
>[登録者名] ガンホー・オンライン・エンターテイメント株式会社
>[Registrant] Gungho Online Entertainment,Inc.
>[登録年月日] 2007/02/20
>[有効期限] 2009/02/28
>[状態] Active
>[最終更新] 2008/03/01 01:05:05 (JST)

サッカーより前にRO2のドメインが切れるっぽい。
それも今月末。

癌がやる気あるかどうかは更新状況で判るわけだが、もし失効した場合
注意する必要があるかも。

536 名前:(○口○*)さん:09/02/12 03:10 ID:BtJ7VSjd0
>>534
McAfeeはWebImmuneにアップして祈るとか。

537 名前:(○口○*)さん:09/02/12 09:26 ID:p8Arxgz90
>>536
いや、あっちもファイルサイズとファイル数の制限は同じ

マカフィー、提出したら2-370全スルーだった。シマンテック…ファイル41個、返事は来ないけどメールで送った。

538 名前:(○口○*)さん:09/02/12 16:19 ID:p8Arxgz90
マイクロソフトが2月の月例パッチ公開、IE7の修正など計4件
http://internet.watch.impress.co.jp/cda/news/2009/02/11/22406.html

昨日はWindowsUpdateの日。もう当てたかな?
わたしは、すっかり忘れてて、今からあてるw

539 名前:(○口○*)さん:09/02/12 16:35 ID:R2XmBb/e0
ダウンロードまで自動でやらせているので忘れることはないな

540 名前:(○口○*)さん:09/02/14 04:47 ID:seS9/RB50
ウイルスの集大成「PE_VIRUX.A」が感染拡大、国内で7900台
http://internet.watch.impress.co.jp/cda/news/2009/02/13/22437.html

541 名前:(○口○*)さん:09/02/14 18:42 ID:seS9/RB50
ttp://www■wokutonoken-online■com/JP/mpg■scr
 中身の1199■exeが更新、マカフィーがスルー。Symantecはscrはブロック、中身の1199■exeはスルー。
 既知のアドレス。出てすぐの段階でカスペ避けになっていないのは久しぶりな気がする。

ttp://bloog-aranking■com/RmtKey/
ttp://bloog-aranking■com/redstonelove/
 表向きはどこぞのBlogをiframeで呼び出して偽装。
 裏ではiframeでwww■4gameranking■com/xin/を呼び出してxia■exeを落とさせる。いつもの奴。
 bloog-aranking■comは、中韓ブロック指定のPG2が反応してた。

542 名前:(○口○*)さん:09/02/15 04:40 ID:CgsfnGKC0
あこすてんぷらが真っ白だけど・・これは垢ハクでしょうか・・
ページを開いてもソースを開いても真っ白でした

ttp://applepie■s55■xrea■com/

543 名前:(○口○*)さん:09/02/15 04:48 ID:bRzH9Y3z0
>>1

544 名前:(○口○*)さん:09/02/15 07:46 ID:nRTqbpnM0
移転前のアドレス見てるってオチとかじゃないよな

545 名前:(○口○*)さん:09/02/15 13:07 ID:e+1wkMBt0
オチもなにも、わざとかと言いたいくらい既出ループな話題だな。

どっかの有名――だけど更新が滞ってる――サイトのリンクに
残ってるってあたりかね?

移転になってだいぶ経ってて、放置サイトが検索一位に残ってる
ってわけでもないし…

546 名前:(○口○*)さん:09/02/15 19:36 ID:874igH0+0
昔のブックマークをそのまま使ってアクセスしたんでね。何にせよ、アンテナが低すぎるよ。
サイト名そのままでGoogle先生に聞いても、今は新しい方のテンプレWiki(新たに作られたので、厳密には移転では無い)が
普通に検索上位に出てくるのだし。
それに、アコプリスレのテンプレ部分や、他職Wikiからのリンクも全て新サイトに向けて張り直されている。

管理サイドがrowiki統一ドメインを取得するなど頑張っているけど、自分から情報収集する気のないユーザーには
やっぱり無力なんだなあ。

547 名前:(○口○*)さん:09/02/15 21:09 ID:nz3s6RWg0
>自分から情報収集する気のないユーザーにはやっぱり無力
ナニヲイマサラ

548 名前:(○口○*)さん:09/02/15 21:13 ID:DRk1bIQQ0
Wikiの検体提出先を一部修正しました。

549 名前:(○口○*)さん :09/02/16 15:29 ID:A0aeQXGu0
11日頃からカスペルスキー オンライン スキャナのアップデートできない気がするんだが
みんなアップデートできる?

550 名前:(○口○*)さん:09/02/16 23:55 ID:qgTr96XA0
>>549
オンラインスキャナの話じゃないけど……
今日の昼過ぎくらいまでうちのPCに入れたカスペ2009がそんな感じだった
PC再起動して手動うpだてしたら回復した……謎だ

551 名前:(○口○*)さん:09/02/17 01:55 ID:U1TAhW+6O
カスペ最大の弱点はサーバーが弱い

552 名前:(○口○*)さん:09/02/17 01:56 ID:RpwdhF3c0
>>550
遅くなりましたが549です。どうやら、11日のwinUPDATEが原因みたいです。
システム復元すれば使えるようになります。システム復元できない人は、
「コントロールパネル」→「プログラムの追加と削除」からアンインストールできます。
その際、「更新プログラムの表示(D)」にチェックを入れておいてください。
でたぶん2月11日の日付がついてる「Windows XP の ActiveX Killbits に対する更新プログラム ロールアップ(KB960715)」
を削除すると使えるようになります。
不具合の原因としてはこのUPDATE内にある「software distribution service 3.0」の影響だと思います。
software distribution service 3.0で検索してみればわかりますが、いろいろ不具合が出てるので参考になればと思い書き込みました。
追記:環境はWindows XP SP3です。

553 名前:(○口○*)さん:09/02/17 12:31 ID:FY1QHqU70
こないだPC変わったんでクライアントダウンロードしたんだけど
昨日マカフィーでスキャンしたらグラビティーのファイルから
トロイの木馬が検出された。まさかクライアントに仕込まれてるってことはないよね。

554 名前:(○口○*)さん:09/02/17 13:08 ID:GmcERzyK0
愛用してる某シミュレーターもsoftware distribution service 3.0のせいで
コンパイルエラーが起きるし、ひでえアップデートだなぁ

555 名前:(○口○*)さん:09/02/17 13:34 ID:QCZuQCdJ0
nProのファイルなら検出してもおかしくない。AntiVirも1ファイル検知するよ。
リスクウェアだと思って使うか、癌ID削除のどっちか。

556 名前:(○口○*)さん:09/02/17 13:35 ID:QCZuQCdJ0
>>553
そうそう、一応ファイル名と検出名の報告を頼む。

557 名前:(○口○*)さん:09/02/17 17:53 ID:EfzaIFZQ0
software distribution service 3.0と言うのはWindows Update絡みで復元ポイントに表記される名称であって、
どうやら個別のサービスを表すものではなさそうだ。
それと、今回トラブルが多く見られるのは、ActiveX KillbitによってVB6系のFlexGridコントロールが動作禁止対象に
されたことによる様子。
ttp://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=48226&forum=7
ttp://www.kotaete-net.net/Default.aspx?pgid=14&qid=24114412810

558 名前:(○口○*)さん:09/02/17 18:49 ID:3ApyvmpS0
>>553です
ファイル名は rdefk.dfdってファイルでした。

559 名前:(○口○*)さん:09/02/17 18:54 ID:3ApyvmpS0
連投すいません。
検出名はGeneric!Artemisです。
一応検出後パス変更しました

560 名前:(○口○*)さん:09/02/17 20:07 ID:QCZuQCdJ0
>>558-559
ああ、それはnProのファイルだ。勇気を出して除外設定するか、癌ID削除かだな。
検出すること自体は正常だよ。マルウェアに使われるのと同じような手法を使ってるプログラムだからね。

ttp://www.virustotal.com/analisis/5b40b5df393c37206dbaa91d69e4abad rdefk.dfd(8/39)
ttp://www.virustotal.com/analisis/5cd52bd5b1d4e04f7ee8ce8782796a89 rdefp.dfd(4/39)

561 名前:(○口○*)さん:09/02/18 01:16 ID:enlutZsy0
クリップボードやショートカットの“ジャック”に注意
http://it.nikkei.co.jp/security/news/index.aspx?n=MMITzt000009022009

また広告のflash乗っ取りか。

562 名前:(○口○*)さん:09/02/18 01:43 ID:uhm2JeTQ0
普段使う環境でJavaScriptとActiveX無効にするのが正解な気がしてきた。
無論通常行うウイルス対策やアップデートは前提とした上でだが。

563 名前:(○口○*)さん:09/02/18 02:13 ID:Iu+yd2aR0
仮想PCに汚れ役を任せるのもいいんじゃないかえ?

564 名前:(○口○*)さん:09/02/18 02:39 ID:j+Hplj1M0
FireFox+NoScriptの組み合わせでいける

スクリプト以外のセキュリティホール対策まで無理矢理組み込むほど
精力的にアップデートしてる感じも

ただ重い

565 名前:(○口○*)さん:09/02/18 15:12 ID:bbXze3ak0
ホストodnがうちのページに粘着してきてるんだけど
したらばで規制ってどうすればいいの
あとこのodnって通報してodnに規制してもらうことできないのかな
さすがにウィルス貼るのはご法度でしょう?

566 名前:(○口○*)さん:09/02/18 15:25 ID:oBomMl100
日本語でおk

567 名前:(○口○*)さん:09/02/18 15:27 ID:g2yHjVLm0
>>565
つーか、スレ違いむしろ板違い

568 名前:(○口○*)さん:09/02/18 15:45 ID:enlutZsy0
管理メニューの規制ホストとNGワードにぶちこんでおけ。
今のところ、うちのとこは爆撃されてないが、面倒くさいので最初っから「■scr」を禁止ワードにしてるな。
投稿規制の「リンク (http://) を含む投稿を許可する」のチェックを外しておくのも効果的。

あと、既出のアドレスじゃなかったら、「.を■に置き換えて」アドレス報告もよろしく。

569 名前:(○口○*)さん:09/02/18 15:45 ID:enlutZsy0
ここも「■scr」は禁止ワードだったらしい(苦笑)

570 名前:(○口○*)さん:09/02/18 20:45 ID:0C+Z+6ua0
>>568
したらばは先日■scrを共通NGワードにしてたぞ。
したらば共通NGワード追加のお知らせ
http://blog.livedoor.jp/bbsnews/archives/50750265.html

■pifはまだみたいだからそっちを入れておいたほうがいい。

571 名前:(○口○*)さん:09/02/20 11:23 ID:6XAeaPpF0
携帯アプリも隙を突かれると危ないという事例が出てしまった

正規の証明書で増殖:正規アプリになった携帯ウイルス出現
http://www.itmedia.co.jp/news/articles/0902/20/news028.html

572 名前:(○口○*)さん:09/02/20 11:46 ID:0hLoZR020
携帯アプリに関しては、利用者の無知と無警戒のせいで
ウイルスに感染しても報告があがりにくいってのも
ありそうだな。

573 名前:(○口○*)さん:09/02/20 13:09 ID:3T98kOl70
これに関しては、日本のガラパゴスな携帯市場が逆に防壁になっているかもね。
特に、勝手アプリの余地が無いに等しいauキャリアはある意味安心だ。

574 名前:(○口○*)さん:09/02/20 17:05 ID:hRpyljRG0
Adobe Reader/Acrobatに新たな脆弱性、Adobeがアドバイザリを公開
ttp://internet.watch.impress.co.jp/cda/news/2009/02/20/22518.html

既に中華ツールキットに組み込まれゼロデイ攻撃発生中だけど
パッチ提供は来月11日。ゆっくりしていってね!

2月の月例パッチ「MS09-002」の脆弱性を狙う攻撃が早くも登場
ttp://internet.watch.impress.co.jp/cda/news/2009/02/18/22480.html

こちらはパッチ済み。

575 名前:(○口○*)さん:09/02/20 17:44 ID:8SNuTy4/0
乱文失礼します。
http://romi■chu■jp/

カードのこと調べてて検索に引っかかったコスプレイヤーさんのブログにて
新しいカード実装したって内容の記事で最後に

>http://romi■chu■jp/
>↑のサイトですでにカード情報と絵柄(一部)が公開されています。
>気になる人はチェックwww

って書いてあってブログ自体普通のブログな感じでブログ主の張ったurlだったんで
何も考えずクリックしてしまい、ひらいたら異常に重くてRO関係ないサイトでした。
垢ハクとかの危険ってあるんでしょうか?

576 名前:(○口○*)さん:09/02/20 17:45 ID:hRpyljRG0
>>1
■ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ■

577 名前:(○口○*)さん:09/02/20 18:09 ID:8214ZymG0
勇気がなくて踏めない人のための鑑定スレPart19
http://pc11.2ch.net/test/read.cgi/hack/1230787611/

578 名前:(○口○*)さん:09/02/20 18:09 ID:rrpFgmei0
>>575
URL自体について調査
元々は「らぐみみ」っていうROの情報サイトだったけど昨年6月頃閉鎖。
"chu.jp"はレンタルサーバ、ロリポップで提供されているサブドメイン。

おそらく、らぐみみの閉鎖・レンタルサーバ契約解除後に第三者が同名で契約したんだろう。
ドメインのドロップキャッチと同じような感じ。
そのブログは、記事が最近のでなければブログ主に悪意はないと思われる。

で、肝心の垢ハク疑惑だがこれはパス。

579 名前:575:09/02/20 18:23 ID:0eLxCpwSO
携帯から失礼します。

>>576-577
指摘&誘導ありがとうございます。
ですが、勇気とか関係なしにもう踏んじゃってるので誘導先ではお世話になれないと思いますorz

>>578
ありがとうございます。
ロリポのドメインだったんですか(''
一応今ウイルススキャンしてる最中なんですが、記事が2007年10月12日のものだったので>>578さんの言う通りかもしれません。
少し安心出来ました。
ありがとうございました。

580 名前:(○口○*)さん:09/02/20 18:31 ID:8214ZymG0
自分で確認する方法としては、テンプレにあるソースチェッカーオンラインなどで不審な呼び出しがないか確認する。
・iframeの呼び出しが主に用いられる。
・Javaスクリプト等で危険サイトの呼び出しが行われるケースもある。
・呼び出されているサイトが中国かどうか確認する。whoisとかIPひろばなどのサイトを利用するとよい。

大雑把にはこの程度で判別できると思う。今回の>575に関しては不審な箇所は見当たらなかったけどね。

581 名前:(○口○*)さん:09/02/20 18:32 ID:gFeyK5yL0
>勇気とか関係なしにもう踏んじゃってるので誘導先ではお世話になれないと思いますorz

その理由が通るなら>>1いらなくなるだろ

582 名前:575:09/02/20 18:53 ID:0eLxCpwSO
>>580
何度もありがとうございます。
垢ハクの対策とか無知な点が多いのでスキャン終わったらテンプレ先のサイトさんとかで調べてみようと思います。
不審な箇所は見当たらないと言っていただけて心強いです。
ありがとうございました。


>>581
不快に思われたのならすみませんでした。
私が変に解釈してしまったのかもしれないんですが、
まだURL踏んでない状態での質問ではなく、>>757は踏んでしまった状態での質問で
自分が怖くて踏めないURLを他人に踏ませるなんて失礼な事してるつもりはなかったので
お世話になれないと思うと書かせてもらいました。
すみませんでした。

583 名前:(○口○*)さん:09/02/20 19:52 ID:8214ZymG0
>まだURL踏んでない状態での質問ではなく、>>757は踏んでしまった状態での質問で
>自分が怖くて踏めないURLを他人に踏ませるなんて失礼な事してるつもりはなかったので

アカハックを踏んだであろう理由がいい加減だと、よく判らないけど鑑定してもらおうってのと
同じことになっちゃうんですよ。「不審だった理由が、不審だと思ってしかるべき」場合には
優しく相談に乗ってもらえると思います。

今回は、重かった、関係無いサイトだったというだけなので、調べるのはちょっとなーと思った人が
多かったのでしょう。

584 名前:575:09/02/20 20:32 ID:0eLxCpwSO
>>583
なるほど。
丁寧に説明ありがとうございます。
次からはもう少し考えてから書き込みしようと思います。
ご迷惑おかけしてすみません。
ありがとうございました。

585 名前:(○口○*)さん:09/02/21 01:06 ID:QaCp/IPO0
今日垢ハックにあって、一応ガンホーには報告したんですが、警察にも報告したほうがいいですか?
警察に報告する場合、どこに連絡すればいいんでしょうか?
それと、もし装備・Zenyが戻ってくる場合はどのくらいかかるんでしょうか?

586 名前:(○口○*)さん:09/02/21 01:14 ID:n1z3rMhD0
>>585
>>2

587 名前:(○口○*)さん:09/02/21 01:48 ID:mfbS7Gey0
>>585
>2の公式へのリンクを読め。警察への報告必須。

警察経由でISPの情報確認終わってから数ヶ月〜半年らしい。

588 名前:(○口○*)さん:09/02/21 07:32 ID:hOmss5KXO
いい加減にゅ缶のアカハクスレ建て直そうぜ
誰だよ統合しようなんて言った奴。スレチ湧き過ぎな上に誘導先すらねえ

589 名前:(○口○*)さん:09/02/21 08:44 ID:mXAlKQjM0
ご自分でどうぞ

590 名前:(○口○*)さん:09/02/21 09:28 ID:mfbS7Gey0
>>588の方がスレ違いかと。

591 名前:まとめ臨時 ◆kJfhJwdLoM:09/02/22 01:22 ID:36HQkK9G0
hostsリストのリンクページにある■変換したリストを削除しました。

理由としては自動取得スクリプトではテキストのURLを参照しに行く設定ですし
一番下まで追加した分を見に行くならテキストのほうでも同じだなあと。

とりあえず追加するリストを下までスクロールさせるのはめんどくさいと思いますんで
記述方法を変えようかと思ってます。

592 名前:まとめ臨時 ◆kJfhJwdLoM:09/02/22 01:44 ID:36HQkK9G0
追加分はリストの上のほうに積んでいくように書き換えました。
溜まったら適当な時期に整理する方向で。

593 名前:(○口○*)さん:09/02/22 15:55 ID:PaNM2gPxO
お疲れ様です

594 名前:(○口○*)さん:09/02/23 12:31 ID:J74Rxv560
削除対象スレッドより。もろに中国のサイトです。

>1 おコメ qcazuomm@yahoo.co.jp 09/02/23 12:13 ID:+2JaL1LQ0
>お世話になっております。 marvellousgame です。
>この度全鯖のアデナをご用意しました。
>以下、相場と在庫状況です。
>全鯖1 M で 280 円激安販売 <2009年02月20日--2009年03月01日>
>購入希望の方はメールにてご連絡ください。
>詳しい事はメールにて相談って事でよろしくです。
>取引希望連絡の際は以下のフォーマットをご使用頂けると便利です。
>ttp://www■gameicity■com/

呼び出されるページは
ttp://www■playenline■com/l2■htm
ttp://www■playenline■com/r

l2■htmは、チートツール販売に見せ掛けた偽装かな?
/r の方は、アカハック落とす奴ですね。

595 名前:(○口○*)さん:09/02/23 12:58 ID:J74Rxv560
最終的に落ちてくる http://www■gameicity■com/r/1■css は2/20 19:19作成
Avast以外は軒並み検知ってとこかな。

ttp://www.virustotal.com/analisis/17ab849f659b8c1bce789f4cad7000c8 (9/39) 2/21 21:00頃
 ↓
ttp://www.virustotal.com/analisis/2adb9c2223c5c6c9edd0d21c2181cb24 (17/39) 2/23 13:00頃

596 名前:(○口○*)さん:09/02/23 13:06 ID:zVnv6V9Z0
Bitたんも…

597 名前:(○口○*)さん:09/02/23 13:43 ID:J74Rxv560
ああ、そういや、BitDefenderが対応したらnProにも反映される可能性があるんだっけねぇ。
検体は提出してあるから、近いうちに対応されるんじゃないかな > 他のベンダー

598 名前:(○口○*)さん:09/02/23 14:45 ID:5tzpmOh50
ITproにこんな連載があったのか。

検証ラボ(一番上にウイルスの記事)
http://itpro.nikkeibp.co.jp/article/COLUMN/20080402/297763/

599 名前:(○口○*)さん:09/02/23 18:11 ID:UfYidQBK0
ここって個人サイトに貼られた怪しいURLも投下して良いんだろうか?
ここの人みたいにリンク辿ったりできないので>>576みたいなレスが返される予感がするけども・・・
ちなみに該当アドレスは一切ふんでません

書き込みホスト:ntoska355087.oska.nt.ftth4.ppp.infoweb.ne.jp
書き込み内容(h抜きと■変換処理済み):
一晩の逢瀬で謝礼10万円と夢のようなアルバイトに参加してくれる男性を募集
ttp://ok■bnv039qgh■cn/

>>598
ありますな、あくまで代表的な挙動だから
表記そのまま鵜呑みにする初心者だとあてにならないけども・・・

600 名前:(○口○*)さん:09/02/23 18:46 ID:5tzpmOh50
いや>>1ですよ。
それに、ROと無関係のものを貼られても。

601 名前:(○口○*)さん:09/02/23 19:05 ID:J74Rxv560
>>599
貼られた場所はMMOBBSに限らず、2chや他ゲームのWiki、SNS、blogなど場所は問わない。
但し、扱う内容は、アカハック関係+セキュリティ関係に限る。

確認したけど、そこアダルト系のアフィサイトっぽいから対象範囲外かと。
ただのBBSだかblogへのspamじゃないかな。

602 名前:(○口○*)さん:09/02/23 19:09 ID:J74Rxv560
>>594
カスペ対応状況。全検出ok

既知の分
1■css - Trojan.Win32.Inject.pbk,
ff■swf, ie.swf - Trojan-Downloader.SWF.Small.dj,
fx■htm_ - Trojan-Downloader.JS.SWFlash.j,
Ms06014■htm_ - Trojan-Downloader.JS.Psyme.anc,
no■htm_ - Trojan-Downloader.JS.Agent.dlv,
off■htm_ - Trojan-Downloader.JS.Small.mr,
r■htm_ - Trojan-Downloader.JS.Iframe.agl,
real■htm_ - Exploit.JS.Agent.aay,
ss■htm_ - Exploit.JS.XMLPars.v

無害
l2■htm_

新規対応分
www■gameicity■com■htm_ - Trojan-Downloader.JS.Agent.dqw

603 名前:(○口○*)さん:09/02/23 19:11 ID:UfYidQBK0
>>601
ありがとう、cnドメインだったからつい・・・
たいていアダルトとかRMT関係のスパムが多いんだけど
今度はもうちょっと勉強してからにしてみる、扱う内容については把握した!

604 名前:(○口○*)さん:09/02/25 06:44 ID:7JsMfo9K0
KB967715の公開age
ttp://www.microsoft.com/japan/technet/security/advisory/967940.mspx
>マイクロソフトは、お客様のシステムを保護された状態に保つために機能を修正した更新プログラムが利用可能になったことをお知らせします。
>この更新プログラムは NoDriveTypeAutoRun のレジストリ キーが想定通りに機能しないという問題を修正します。

605 名前:(○口○*)さん:09/02/25 13:51 ID:cgneYGwQ0
この前surtでゴスリンC売る300Mって怪しい日本語で
スパムして赤エモ出してたやついたが

まさかあれって中華ハッカーってやつなのか

606 名前:(○口○*)さん:09/02/25 14:09 ID:pIqQL1Oh0
>>604
定例じゃないのがきたなーと思ってチェックしたら4つも当たったわ。

607 名前:(○口○*)さん:09/02/25 15:49 ID:pIqQL1Oh0
Flash Playerに危険度の高い脆弱性、対策済みの新バージョン公開
http://internet.watch.impress.co.jp/cda/news/2009/02/25/22574.html
>アドビシステムズは24日、Flash Playerに発見された脆弱性を修正した新バージョン「Flash Player 10.0.22.87」を公開した。

>脆弱性はFlash Playerのバージョン10.0.12.36以前(Linux版では10.0.15.3以前)に存在する。
>ユーザーが悪意のあるSWFファイルを閲覧した場合、システムが外部から制御される恐れのある、
>危険度の高い脆弱性とされている。

608 名前:(○口○*)さん:09/02/26 01:29 ID:ONffilf40
今回のWindowsの更新をインストールして再起動したら、
なんか起動時にUSBポートが認識されなくなったみたいなんだがこれ俺だけ?
USBマウスもUSBキーボードも反応しなかった
いっぺん抜いて刺しなおしたら認識したけど

これからも再起動の度にマウスとキーボードを抜き差ししないといけないのだろうか

609 名前:(○口○*)さん:09/02/26 07:49 ID:1weHGr4sO
俺は何ともないけど

610 名前:(○口○*)さん:09/02/26 08:04 ID:I2+f940N0
最近増加傾向にある短縮URIを使ったリダイレクトに、この手合いでは対抗できないかな。

Google App Engine Oilを使って、リダイレクト先URLを複数まとめてJSON(P)で返すAPIを作った
ttp://python.g.hatena.ne.jp/edvakf/20090218/1234945800

他には、Greasemonkeyスクリプトでデコードする方法などもあるけど。

611 名前:(○口○*)さん:09/02/26 09:17 ID:ONffilf40
うん
もう一度再起動してみたら最初から普通に認識してた

何だったんだあの現象

612 名前:(○口○*)さん:09/02/26 19:43 ID:SuQ0UZHZ0
USBキーボードとかマウスが起動時に認識しなくなるのは、たまーにある

どっちに原因があるのかは知らないが電源投入時にうまく認識出来ないようだ

613 名前:(○口○*)さん:09/02/27 03:15 ID:x5T8sD250
>物質スレ867
誘導されているので、回答はこちらで。

|867 (○口○*)さん sage 09/02/27 02:53 ID:hZbCFj+G0
|RO 砦情報で検索した結果の候補の中の
|Forsety wiki-砦情報というサイトの中のMENUの砦情報のリンクを
|見たところ、怪しかったのですぐに見るのをやめてaguse.というサイトで
|調べたんですが、特に異常は見られなかったのですが、aguse.の中で表示された
|そのサイトの内容が明らかに怪しかったので、どう判断すればいいのか分かりません。

|どなかた詳しい方教えてください。

はい、既知のアカハックサイトにリンクが書き換えられていますね。
踏んでしまったのなら、OS再インストールコースです。

ttp://www■bluewoon■com/Blog/

614 名前:(○口○*)さん:09/02/27 03:16 ID:hZbCFj+G0
【      気付いた日時          】 2/27 AM2
【不審なアドレスのクリックの有無 】 Forsety wiki-砦情報 ttp://www■bluewoon■com/Blog
【他人にID/Passを教えた事の有無】 NO
【他人が貴方のPCを使う可能性の有無】 NO
【    ツールの使用の有無      】 NO
【  ネットカフェの利用の有無    】 YES
【     OS    】 Windows XP
【使用ブラウザ 】 InternetExploere
【WindowsUpdateの有無】 明確には憶えていませんが、2週間以内
【 アンチウイルスソフト 】 現在は一切使用していません。
【その他のSecurty対策 】 ルーターは使っています。
【 ウイルススキャン結果】 トレンド フレックス セキュリティ オンラインスキャンでは検出されませんでした。
現在カスペルスキーで念の為調べている段階ですが、感染オブジェクト2って出てるので感染してるかもしれません。
【スレログやテンプレを読んだか】 全部はまだ読み終えてませんが、一部読みました。
【hostsファイルの変更】不明 たぶん無
【PeerGuardian2の導入】不明
【説明】
RO 砦情報で検索した結果の候補の中の
Forsety wiki-砦情報というサイトの中のMENUの砦情報のリンクを
見たところ、怪しかったのですぐに見るのをやめてaguse.というサイトで
調べたんですが、特に異常は見られなかったのですが、aguse.の中で表示された
そのサイトの内容が明らかに怪しかったので、どう判断すればいいのか分かりません。

別の質問スレで質問をしたところ、こちらに誘導されたのでこちらで質問させていただきました。
自分でもどう判断していいのか分からないのでよろしくお願いします。

615 名前:(○口○*)さん:09/02/27 03:18 ID:hZbCFj+G0
>>613
丁度書き込みをしていました。
やはり垢ハクサイトでしたか。

とりあえず別のPCからガンホーIDのパスワードの変更だけ行ったところなんですが
他に何かやったほうがよいことはありますか?

616 名前:(○口○*)さん:09/02/27 03:34 ID:x5T8sD250
リンク先のhtmlは一見文字化けに見えるようになってるので実際に落とされる本体がなにかは不明。
ttp://www.virustotal.com/analisis/a65ca1b051dc6995011c10f0e3313c4b Blog.htm(12/39)

セキュリティソフトが、このサイト(www■bluewoon■com/Blog/)に接続しようとした時にブロックして
いなければ、このhtmlから呼び出されるなにかのマルウェアが取り込まれています。
発動しているのか、スタートアップに登録されただけで次の再起動まで活動しないのかは不明です。

該当リンクを踏んだ後に、ログインしてしまった
→早急に安全な環境からパスワードを変更して、最低限のデータのバックアップをとって、その後OSの再インストール

該当リンクを踏んだ後、ログインしていない
→最低限のバックアップをとってからOS再インストール

617 名前:(○口○*)さん:09/02/27 03:38 ID:x5T8sD250
>>615
それでしたら、最低限のデータのバックアップをとってから、OSの入れなおしコース。

1.データのバックアップ。メールやISPの接続設定なども忘れずに控えておく。忘れ易いのはIMEのユーザー辞書。

2.別PCが用意できるなら、SP+メーカー等のツールを利用してSP適用済み(WindowsUpdate適用済み)の
  OSイメージを作ってDVDに焼いて、それを利用してOS再インストールを開始。

3.再インストールを行なう。
  OS→WindowsUpdate→セキュリティソフト→アプリとデータ復旧

618 名前:(○口○*)さん:09/02/27 03:41 ID:hZbCFj+G0
丁度ROを起動したままの状態で、そのURLを踏んでしまった状態でした。

とりあえず、別のPCからガンホーIDのパスワードだけ変更しておきました。
今は別のPCからログインして装備などを念の為友人に預ける作業をしています。

↑の皆さんのやり方を参考にしてOS再インストールしたいと思います。

619 名前:(○口○*)さん:09/02/27 06:01 ID:hZbCFj+G0
PC購入時についていた、ユーザーマニュアルを見ながら
ハードディスクをご購入時の状態に戻して再セットアップする という
項目の作業をしました。
これでOS再インストールできたかどうか不安なんですが大丈夫でしょうか。

620 名前:(○口○*)さん:09/02/27 10:17 ID:x5T8sD250
>>619
おk。あとはWindowsUpdateの適用とセキュリティソフトの導入。
PG2を入れて中国・韓国あたりをブロックしておくと不用意に踏んでも該当サイトに繋がらないので更に安心。

621 名前:(○口○*)さん:09/02/27 10:26 ID:6k04KFkg0
MS、Autorunを正しく無効化するための更新プログラムを公開
ttp://internet.watch.impress.co.jp/cda/news/2009/02/26/22598.html

手動でKB953252を当てている場合は必要なし(自動更新用の再リリース)。
これを当てたら無効化するのではなく、レジストリキーを設定しても想定通りに
機能しない問題を解消するためのパッチ。

622 名前:(○口○*)さん:09/02/27 11:21 ID:hZbCFj+G0
>>620

ありがとうございます。
OS再インストールしたら、3ヶ月限定?のウイルスバスター2008がまた復活したので
それを使おうと思います。

623 名前:(○口○*)さん:09/02/27 12:15 ID:PU8oXD6S0
有料のノートン先生とかカスペル入れてみたら?
最新のウイルス以外なら大抵ブロックしてくれるから便利だよ。
ウイルスバスターでもいいけどノートンとかカスペルの方が信頼できるんだよネ

624 名前:(○口○*)さん:09/02/27 12:23 ID:x5T8sD250
>>622
バスター2008は鯖缶地獄にはまるので、2009に無償アップデートするか、他のセキュリティソフトを推奨。

>>623
いや、ノートンはかなりましになったけど、お薦めできるレベルにはまだまだだと思うぞ。

625 名前:(○口○*)さん:09/02/27 12:55 ID:ICkFeU900
>>624
じゃあ何がおすすめなんだい?
君の考えを聞きたい。

626 名前:(○口○*)さん:09/02/27 13:19 ID:v5IR4rtH0
>>624
昨年からずっとノートン先生だが、何の問題もないよ?
バスターが、PCバスターと化したんで乗り換えたんだけど。

627 名前:(○口○*)さん:09/02/27 13:39 ID:x5T8sD250
>>625
目的とPCスペックによる。

検出率ならAntiVirかカスペだし、軽さで言えばESS(NOD32)だし。フリーで日本語が前提ならAVGかAvastだし。
シングルコアCPUならAvastは除外しないといけないし、重いのが嫌ならカスペは除外の方向だし…。

>>626
いや、問題があるとは言ってない。これは勧められるというポイントがないだけで。

確かに今年に入ってからは体制が変わったのか、新種への対応がかなり速くなってはいる。
(今までのマイナスポイントが±0になった程度)
でも、やっぱりカスペやAntiVirの対応速度には敵わないので、お薦めポイントになる程じゃない。

628 名前:(○口○*)さん:09/02/27 13:47 ID:+xvFVMVE0
つか今の有料のウイルス対策ソフトってろくなもんないでしょ
無料のが検出力高くて安心
そんな私はBitDefenderユーザーです

629 名前:(○口○*)さん:09/02/27 14:21 ID:6k04KFkg0
>お薦めできるレベルにはまだまだ

>勧められるというポイントがない

おーい、話が違うぞ。

630 名前:(○口○*)さん:09/02/27 14:59 ID:x5T8sD250
>>629
違ってないぞ。

総合的な評価が±0で、突出したお薦めポイントが1つもないなら、お薦めできるレベルではないだろ。
悪くないってのは、お薦めできるものとは言わないと思うんだがな。

マイナス点が無ければお薦めだと思うのならそら、あんたの勝手だが。

631 名前:(○口○*)さん:09/02/27 15:22 ID:Rq1YKW/O0
>>630
「自分はお勧めしない」は構わないんだけど、悪くないモノだと認めながらも
他人の紹介にケチつけてる風だから噛みつかれてるんだと思うぞ。

そもそも>>623はお勧めじゃなくて無難どころの紹介に見える。

632 名前:(○口○*)さん:09/02/27 15:34 ID:6k04KFkg0
持論を絶対的なものとして主張するのは勝手だが…、
ま、こっちは責任取りたくないのでおすすめとか提示しないから
「何も知らないくせにプギャー」とか言ってくれればいいのサ。

ちなみに自分が使っているのはISP提供のセキュリティパックで、
中身はカスペ。ISP料金に合算されるし管理楽だわ。

633 名前:(○口○*)さん:09/02/27 15:35 ID:CGTxc7g90
いいなぁ
どこのプロバイダ?

634 名前:(○口○*)さん:09/02/27 15:50 ID:x5T8sD250
>>631
私はAntiVir使ってるし、お薦めできるものだとは思ってるけど、万人にお薦めできる訳じゃないしな。

>>633
いろんなとこでやってないか?

JCN系列のうちのISPはF-Secureだな。ROと干渉して重力エラー出たので使ってないけど。
暫く前はMcAfeeのだったな。@NIFTYの常時安心セキュリティがSymantecとカスペの複合だっけ。
フレッツ光の奴はどこの使ってたんだっけか。探せば結構あると思うぞ。

635 名前:(○口○*)さん:09/02/27 16:18 ID:6k04KFkg0
>>632
@nifty。
光会員なら月\420で、それ以外と他プロバイダなら\525(nifのID取得は無料)。
http://www.nifty.com/sec24/

ライセンスは3台だけれど、実際は「同時接続が3台」なので、個人で複数PC
持ちにはいいかもしれない。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail.php?qid=1214043077

変わったところとして、セキュリティーセンター経由のアクセスが可能。
この場合、センターまでVPNを張るのでパケット横取りされなくなるメリットあり。
セキュアの代償として普通のサイトでも繋がらない事があるので、普段は切っておく。

内容を考えるとかなり安いんじゃないかなあ?長々すまん。

636 名前:(○口○*)さん:09/02/27 16:19 ID:6k04KFkg0
アンカー間違えたorz >>633

637 名前:(○口○*)さん:09/02/27 16:23 ID:CGTxc7g90
つい2年前にasahi-netに入会した時に果たしてそんなサービスあったっけ…
今ならあるのかなぁ

638 名前:(○口○*)さん:09/02/27 16:25 ID:x5T8sD250
>>637
あるよ
https://asahi-net.jp/service/security/mcafee.html

639 名前:(○口○*)さん:09/02/27 16:43 ID:eMPaeu8X0
常時安全セキュリティ24の、この機能は個人的に高評価を付けたい。
ttp://www.nifty.com/sec24/aftercare/
>ウイルス検出情報をメールや電話でお知らせ
>@niftyセキュリティセンターにてウイルスによる振る舞いを検知した場合、ウイルスに感染している可能性が
>あるお客様に、警告・対処方法をメールでお知らせします。しばらくしても検知され続ける場合は、@nifty
>カスタマーサービスデスクから電話でお知らせすることがあります。

botnetに組み込まれて踏み台にされているような状態に対して、ISP側からアラートを発する事が出来るのは大きい。
こういったソリューションは、他のISPも見習って欲しいものだ。

640 名前:(○口○*)さん:09/02/28 03:17 ID:AVIK707M0
ただ、
その手の機能が充実すればするほど

油断して無防備になるというのも事実でなぁ

641 名前:(○口○*)さん:09/02/28 03:20 ID:ODqFnWTG0
他人への感染より、活動の方に重きがあるからなぁ。
しかも深刻な方向で。

642 名前:(○口○*)さん:09/02/28 04:11 ID:26yaBLwT0
スレの流と違うけど教えて下さい。

例えばコンピューターウィルスに関する世界的な公的団体を一つ創る。
その団体だけに検体を送れば、
後は各ワクチンソフト会社がその団体から検体を受け取って対応する。

こういう仕組みは出来ないんでしょうか?

新種ウィルスが出る度に、沢山あるワクチンソフトベンダーへ
検体を送るのは、ユーザーとしては非常に大変だと思うのですが。

643 名前:(○口○*)さん:09/02/28 04:20 ID:ODqFnWTG0
団体を作るって事は、そこにぶら下がるメーカーが協賛しないとだめですね。
検体を複数箇所に送りつける、という面倒さが無くなる以上のメリットは、
わざわざ団体を作ることのデメリットに勝るでしょうか?

644 名前:(○口○*)さん:09/02/28 05:16 ID:rwuzHv440
>>642
どこも似たり寄ったりの性能+対応速度なら
いろんな会社が競合する意味がそもそもなくないかい?
合併して結局は公的団体と同一化、もしくは開発会社という名の1社になるはずだ
そうするとそれぞれあった特色も消え失せ、競合が居なくなるゆえに怠惰になり
「発展は競争によってもたらされる」原則が消え失せることになるな
軽さなら、対応の早さなら、このジャンルのウイルスについてのノウハウなら、値段なら
提供者の利便性のために持ち味を均一化してしまうデメリットはどう考えるかね?

645 名前:(○口○*)さん:09/02/28 15:56 ID:4QNKvhMk0
>>642
VirusTotalに投げると、基本的にそのファイルは各ベンダーに提出される。
直接、ベンダーの窓口に投げたほうが対応が早いけど。

646 名前:(○口○*)さん:09/02/28 21:13 ID:la3iIpfH0
先日はこのスレの方のおかげで落ち着いて対処出来ました。
ありがとうございます。

心配性なので質問なんですが、「OS再インストール」と「ハードディスクをご購入時の状態に戻して再セットアップする」
は似てるけどちょっと違うって友人に言われたのですが、↑の方々はOS再インストールをするべきって書いてるんですが
後者のほうでも大丈夫なのでしょうか?

それと別PCからガンホーIDのパスワードを変更したんですが、回線が同じだと意味がないかもしれないって
言われたんですが、大丈夫でしょうか。

質問ばかりですいません。まだ日があまり経ってないので色々と不安です。
よろしくお願いします。

647 名前:(○口○*)さん:09/02/28 21:48 ID:4QNKvhMk0
>>646
>後者のほうでも大丈夫なのでしょうか?
大丈夫。

・(フォーマットを伴わない)OS再インストールでは、データは残っている
・リカバリと呼ばれる、ハードディスクを購入時の〜だと、フォーマットした時と同じくデータも全て消える

OS再インストールだと、再インストールで自動実行されないところにマルウェアが残っていて(発動させなければ無害)
うっかり実行してしまうと感染という可能性が残る。後者のリカバリを行なった場合、まっさらなので、改めて踏まない
限りは無害な状態。

前者のOS再インストールでも、OS起動時にはクリーンな状態なので、マルウェアは発動しておらず、
セキュリティソフトの動作をマルウェアが阻害することがない。そのため、OS再インストールで消えていない
領域のファイルにマルウェアが感染していても、セキュリティソフトでの除去が行なえることになる。

>それと別PCからガンホーIDのパスワードを変更したんですが、回線が同じだと意味がないかもしれないって
>言われたんですが、大丈夫でしょうか。

別PCが安全な環境(感染していないPC)の場合、回線が同じでも問題無い。

同じネットワーク上のPCは、ファイル共有などを経由して感染が広がっている可能性があるので危ないとでも
言っていたのかもしれないが、感染していない別PCからのパスワード変更に不安を抱く必要はありません。

648 名前:(○口○*)さん:09/02/28 22:13 ID:la3iIpfH0
>>647さん

回答ありがとうございます。
不安ばっかりだったので凄く安心しました。

先日アドバイスしてくださった方もありがとうございます。
それでは失礼します。

649 名前:642:09/03/01 03:31 ID:kxZnpJhF0
>>643-645
お答えいただきありがとうございます。<(_ _)>

650 名前:(○口○*)さん:09/03/01 16:01 ID:WvovWrX30
>>461が776絵板に貼られてた
まだ生きてるんだな

651 名前:(○口○*)さん:09/03/02 15:26 ID:uj7ah19L0
fc2ブログを使っている者です。
4日程遠出していて先ほど帰宅したときに不審なURLが書き込まれているのを発見したので報告します。
25日と1日に垢ハックURLがブログのコメントに書き込まれてました。
現在削除済みです。
ブログ持ちの方は下記の物を禁止ワード等に設定してください
念のため一部伏せています
尚書き込みは全てodnでした。

25日の書き込み
------------------------------------------------------------------
ホスト:**************.ppp11.odn.ad.jp
商人の装備品
商人の「商人の装備品」を更新。
「頭装備」について新頭装備も含めて比較しました。
 商人のデータに分類されていますが防具はBS?アルケミには
共通の内容ですのでBS?アルケミがメインの方も是非ご覧ください。
www■bluewoon■com/Blog/
----------------------------------------------------------------------
1日の書き込み
----------------------------------------------------------------------
ホスト:******************.ppp11.odn.ad.jp
販売 +4錐
相談、交渉可能ですキャラの情報の詳細、また質問のある方はURLをお願い
取引希望場所プロンテラ中央噴水北周辺
ttp://www.◆luewoon.com/f◆ash◆5849
------------------------------------------------------------------------

652 名前:(○口○*)さん:09/03/02 15:30 ID:qkLTMyd30
>>651
>>4
二つめのURLの伏せ方おかしくない?

653 名前:(○口○*)さん:09/03/02 15:40 ID:m4oiSFTe0
bluewoon自体、散々既出

654 名前:(○口○*)さん:09/03/03 00:35 ID:NSbAJu3u0
どうせいつものホストだろ

655 名前:(○口○*)さん:09/03/03 09:01 ID:CYs83X2+0
笑えるくらいODNしかないんだよな

656 名前:(○口○*)さん:09/03/03 23:03 ID:cBmtHj5q0
mixiのハック垢で投稿

【RO】Nのガンスリでアビス3FのPT狩り〜(ゆっくり声で実況風...
ttp://www★amazeons★com/20090301/PraXd5PFspm1Zdy2★zip


中にexeファイルが入っているが解凍はできなかった

657 名前:(○口○*)さん:09/03/03 23:09 ID:j+ORWPf+0
>>656
ttp://www.virustotal.com/analisis/2374d15694967039d3fa681df5144779
(1/39)

Fortinet:W32/Magania.A!tr

658 名前:656:09/03/03 23:09 ID:cBmtHj5q0
VT
ttp://www.virustotal.com/jp/analisis/2374d15694967039d3fa681df5144779
Fortinet 3.117.0.0 2009.03.03 W32/Magania.A!tr
ほか未検出

ファイルが壊れているのかどうかは分からない。

659 名前:(○口○*)さん:09/03/03 23:34 ID:j+ORWPf+0
ファイル壊れてるね。
IZArcというソフトで覗くとファイルサイズ46,592(格納サイズ44,103)なのに、落ちてくるファイルが32KBしかない。
壊れてて動かしようがないから、検体提出しなくてもいいかも。

660 名前:(○口○*)さん:09/03/03 23:40 ID:j+ORWPf+0
無理矢理取り出した結果。後ろが切れてるのかな。
ZIP段階より検出数上がってるので、それっぽい特徴はあるんだろうね。動くかは知らんけど。
気がついたらファイル修復するだろうし、危険物で、>>656の報告アドレスが危険URLってことは
確定と思っていいかもしれない。中国のサイトみたいだし。

ttp://www.virustotal.com/analisis/1881010033d457b2c4a4060ef99c1361
PraXd5PFspm1Zdy2.exe(7/39)

661 名前:(○口○*)さん:09/03/04 00:30 ID:3vxuIqUs0
mixiの報告が気になったのでちょろっと確認してみました。
最近上がってた報告分。

ttp://www■pitmedas■com/tflash/9c82c7fb76a7160b1c1bd6b909b970391a2edcab■zip
ttp://www■youturebe■com/watch/azB001JBOIQ6■zip
ttp://www■cyokinde■com/~roten/4b3e8d9c0o7a1p5n6i0g7m■zip

9c82c7fb76a7160b1c1bd6b909b970391a2edcab■zip : Trojan.Win32.Inject.paz(Kaspersky)
azB001JBOIQ6■zip : Trojan.Win32.Inject.paz(Kaspersky)
4b3e8d9c0o7a1p5n6i0g7m■zip : Trojan.Win32.Inject.nnh(Kaspersky)

662 名前:(○口○*)さん:09/03/04 10:41 ID:cqnjumR+0
超強いマジ I=D>V型 教授  挑戦
モロクの物質型と戯れてみた。結果は当然www
動画→  yaplogjp■com/blog/

Heim関係の鯖スレにここ数日頻繁に貼られるアドレス
ほぼ毎日貼ってきてるからまだ生きてると思われます

663 名前:(○口○*)さん:09/03/04 12:52 ID:3vxuIqUs0
>>662
まだいきてるよ

中国のサイト。html落として開くと文字化け状態に見えるように難読化されてるので呼び出し先不明。

検体として暫く前に各社に投げたけど、iframeの呼び出し元みたいなもんなので、
対応しないベンダーが多い模様。

ttp://www.virustotal.com/analisis/a65ca1b051dc6995011c10f0e3313c4b 02/26時点(12/39)
ttp://www.virustotal.com/analisis/99b6674cb9a2c46af172b8faf0fedb25 03/04時点(15/39)

664 名前:(○口○*)さん:09/03/04 17:18 ID:3vxuIqUs0
>>656の破損ファイル。AntiVirの返答だと、壊れてるから無害とのこと。
解凍すらできないんじゃ実行できないよね。妥当な解答だ。

>Teh last file was damaged. It was not executable in Windows and for that reason the file will be no risk for the user.
>Because of its damage, we could not detect any malicious behaviour.

665 名前:(○口○*)さん:09/03/04 17:32 ID:zy7TFW3B0
無害というか、信用ならないfqdnを積極的に弾く仕組みが欲しいよなあ。
こういう場合、自分でLinux鯖たててルーター(せっかくなのでキャッシュ兼用)を作った方が
早いのかなあ?

666 名前:(○口○*)さん:09/03/04 18:04 ID:Sd+3gw260
>>665
っ OpenDNS
Kasperskyと提携もしたらしい。
ttp://www.nikkeibp.co.jp/it/article/NEWS/20090210/324543/

667 名前:(○口○*)さん:09/03/04 23:44 ID:APritJgC0
>>663
そこは最終的には
www■yaplogjp■com/Blog/calc.exe
ちなみに先月19日製造。

668 名前:(○口○*)さん:09/03/05 00:00 ID:qhmJ0DyX0
>>667
せんきゅー。日本でそれなりに有名なとこは殆ど対応済みぽいねぇ。スルーなとこに提出しときます。

2/22時点(11/39) ttp://www.virustotal.com/analisis/b3f97cec7dfc661a0d306713da8ecc15
 3/4時点(26/39) ttp://www.virustotal.com/analisis/046082faeb20e9dbfefb1bc7bd9ed247

669 名前:(○口○*)さん:09/03/05 09:06 ID:qhmJ0DyX0
無料セキュリティソフト「AVG Anti-Virus 8.5」日本語版公開
http://internet.watch.impress.co.jp/cda/news/2009/03/04/22661.html

AVG日本公式サイト
http://www.avgjapan.com/

670 名前:(○口○*)さん:09/03/05 10:43 ID:qhmJ0DyX0
インターネット脅威マンスリーレポート - 2009年2月度
http://jp.trendmicro.com/jp/threat/security_news/monthlyreport/article/20090304021511.html

感染時の基本的な対応はOS再インストールだからいいんだけど、セキュリティソフトでの除去が困難な
PE_VIRUXという型は新しいね。

感染報告数ランキングの2-9位が、全部アカハックに関係してるのが印象に残った。
ハニーポットで収集した配布数の多さの所を見ると、アカハック関係が一位になってるし。

>不正プログラムの種類(ユニーク数)と配布機会の多さ(URL数)により、攻撃者側の注力度がわかります。
>1位のオンラインゲーム関連の不正プログラム「TSPY_ONLINEG」は、ユニーク数が先月の126件から291件に
>増加しており、攻撃者は不正プログラムの作成に注力していたといえるでしょう。

最近は、あまりアカハックアドレスの貼付を見ないような気がしてたけど、そうでもないんだねぇ。

671 名前:(○口○*)さん:09/03/05 10:47 ID:yHYkKbWb0
Firefox3.0.0.7でてたよー

672 名前:(○口○*)さん:09/03/05 22:57 ID:iZCY9KVB0
このスレ見ておけば有名ソフトの重要うpでーとわかって助かるわ

673 名前:(○口○*)さん:09/03/05 23:17 ID:alvoR9FZ0
Secunia PSIいれとくといいよ
うっかり忘れの保険として

674 名前:(○口○*)さん:09/03/06 16:00 ID:nya/Acs/0
>>656を書き込んでいったmixiのアカウントがなくなっていた
放置垢だったのかもしれんね

675 名前:(○口○*)さん:09/03/06 22:56 ID:SGSFkTWD0
ttp://www■gamesker■net/uporg2066247■zip

中身はfu■scr 殆どのベンダーが撃墜。

まとめ臨時さんのhostsブロックリストにないアドレスのようだったので一応報告。
中国をブロックする設定のPG2には引っ掛かってました。

VirusTotal(32/39)
ttp://www.virustotal.com/analisis/eed3ab9ef2c3415395aa4a420f34aec4

676 名前:まとめ臨時 ◆kJfhJwdLoM:09/03/07 01:26 ID:B89WJbwR0
>>675
非常に助かります。ご報告ありがとうございます。
リストに無い物についてはスレか拍手ボタンから書き込んでいただけたら
気づき次第対応いたしますのでよろしくお願いいたします。

677 名前:(○口○*)さん:09/03/07 23:41 ID:faQxy2D+0
ttp://online■w84■okwit■com/play■exe

既知の危険サイトの奴。

今までは、play■scrだったのが、拡張子変えて置かれはじめた模様。
中身は、play■scrの時と同じで1199■exeと偽装ファイル。

678 名前:(○口○*)さん:09/03/09 02:50 ID:/f+mvTUe0
うっかりぴころだのwmfファイルを開いてしまった。
AVG Freeでウイルススキャンしてるが、これで大丈夫なのか不安…

679 名前:(○口○*)さん:09/03/09 02:58 ID:NO80smUg0
■ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ■

勇気がなくて踏めない人のための鑑定スレPart19
http://pc11.2ch.net/test/read.cgi/hack/1230787611/

680 名前:(○口○*)さん:09/03/09 03:26 ID:I4pQB19v0
>>678
AVGはルートキット対応してないんでオンラインスキャンも併用したら?
http://www.f-secure.co.jp/v-descs/disinfestation.html

681 名前:(○口○*)さん:09/03/09 08:59 ID:b0xbb73d0
>>679
誰に言ってんの???

682 名前:(○口○*)さん:09/03/09 09:36 ID:NO80smUg0
>>681
>678

683 名前:(○口○*)さん:09/03/09 09:43 ID:b0xbb73d0
>>682
それなら>>680みたいなアドバイスをした方が良いと思うのだが

684 名前:(○口○*)さん:09/03/09 10:27 ID:gvsuFs950
>>678みたいなのは、相談でもなんでもないからチラ裏に書けばいいんだよ

685 名前:(○口○*)さん:09/03/09 12:46 ID:HCPTjJU20
たった一つの書き込みでこんなに無駄が

686 名前:(○口○*)さん:09/03/09 13:14 ID:NO80smUg0
アンカーつけとけば良かったな。すまんかった。

687 名前:(○口○*)さん:09/03/09 21:56 ID:/f+mvTUe0
無駄な書き込みさせてゴメン
BBSに書き込みを普段しないから、焦ってハック関係のこのスレに書き込んじゃった
ごめんな

688 名前:(○口○*)さん:09/03/10 01:30 ID:diLw/bIa0
「Winamp」v5.55以前に未修正の深刻な脆弱性
http://www.forest.impress.co.jp/article/2009/03/09/winampoverflow.html

対策版は出ていない。
CAF形式のファイルに注意、とのこと。

689 名前:(○口○*)さん:09/03/10 18:42 ID:VCdyFQC+0
「ファイナルファンタジーXI」などをサービス中のスクウェア・エニックスは,プレイオンライン
会員向けに「ワンタイムパスワード」の導入を発表した。

ワンタイムパスワードとは,希望した会員にランダムで生成したパスワードを発行する
サービスで,そのパスワードは1回しか使用できないというもの。次回ログイン時には,
また別のパスワードを発行してログインすることになる。

ワンタイムパスワードの利点は,キーロガータイプのアカウント情報を盗む行為に対して
絶大な威力を発揮するところだ。FFXIでも,以前よりアカウントハッキングの被害が
多数報告されており,こうしたサービスの要望を見かけることが多かった。そして,ついに
スクウェア・エニックスが“動いた”というわけだ。

アカウントハッキングの被害では,持っている装備やお金を奪われるだけでなく,キャラクターを
RMTの取引に使われたり,お金稼ぎの道具にされたりしてしまう。また,場合によっては
キャラクターを削除されるなど,アカウントハッキングの被害に気付いてから,復帰できるまで
時間を要することが多い。

そんな被害に遭わないためにも,プレイヤーは自分のアカウント情報の漏洩には気を
つけることを忘れてはならないのだが,やはり頻繁にパスワードを変更するという作業は
なかなかできないものだ。そこで役立つのがこのワンタイムパスワードなのだ。

そのワンタイムパスワードの発行手順だが,スクウェア・エニックスでは,プレイオンライン
ビューアー上で「スクウェア・エニックスセキュリティトークン」を販売する。このトークンに
表示されるワンタイムパスワードでログインすれば,毎回異なるパスワードが設定されるので,
セキュリティレベルが一気に上がることになる。ちなみに,トークンはキーホルダータイプになりそうだ。

現在のところ,販売開始時期や価格については発表されていないが,近いうちに判明するだろう。
また,セキュリティトークンを購入した人には,スペシャル特典のプレゼントもあるとのことなので,
セキュリティ向上の一環として,導入を検討してみてはどうだろう。

以下略

4Gamer.net
http://www.4gamer.net/games/005/G000546/20090310024/
http://www.4gamer.net/games/005/G000546/20090310024/TN/001.jpg

690 名前:(○口○*)さん:09/03/10 20:54 ID:9zofwSmm0
まるまるコピペとかするな

691 名前:(○口○*)さん:09/03/10 21:00 ID:7ooaoHCQ0
リンクだけで十分だな。

でもいいなぁ。管理がまともなとこは。

692 名前:(○口○*)さん:09/03/11 03:34 ID:HmwILkvv0
素人考えだが、こういうのって解析されてオワタになったりしないのかな

693 名前:(○口○*)さん:09/03/11 03:51 ID:QB9f8oMd0
>>692
最大手の某製品でいうと、数年前に暗号化方式をより強力なものに変更してたかな
古いバージョンのロジックは既に解析されているといううわさ
新しいやつは当分は平気

ただ、ロジック解析したところで鍵が分からないと、ランダムパスワード部分が作り出せない
その上、普通は個人識別番号(パスワードみたいなもの)を加えた2要素認証になってるから、
よほどのことがない限りパスワードを解析するのは不可能に近いはず

ただ、ワンタイムパスワード製品はピンキリなので注意
写真見た感じだと、信頼性の高い最大手の製品とは違うみたい
もし安物だとすると、けっこういい加減なものもあるので、どうなるか分からない
とはいっても、さすがに常識的なレベルでは解析できないように作られてるだろうけど……

694 名前:(○口○*)さん:09/03/11 04:35 ID:26B8ndJh0
以下略とかいてあるのに
まるまるとはどういった日本語?

695 名前:(○口○*)さん:09/03/11 05:56 ID:6Kf2t3o00
>>692
補足っぽくなるけど、製品そのもののコピーは出来ても、個々のトークン個別の秘密鍵は取り出すのが困難かと。
まともな製品なら耐タンパー性が確保されていて、解析目的で分解などを試みると秘密鍵情報が揮発するような
構造にしてある。

>>693
向こう(何処?)のスレだと、VASCOのDIGIPASS GO 6ではないかという話だった。
みずほ銀行のオンラインダイレクトで使われているトークンが同種。
JNBで使っているRSA SID700との機能差異はどうなんだろう。

696 名前:(○口○*)さん:09/03/11 14:04 ID:Vl9XsSQj0
ウイルスバスター成績悪い…
ttp://www.virusbtn.com/news/2008/09_02

697 名前:(○口○*)さん:09/03/11 15:58 ID:6Kf2t3o00
MSが3月の月例パッチ公開、Windows関連で“緊急”を含む計3件
ttp://enterprise.watch.impress.co.jp/cda/security/2009/03/11/15121.html
>3件の最大深刻度は、4段階で最も高い“緊急”が1件、上から2番目の“重要”が2件。
>最大深刻度が“緊急”の「MS09-006」は、Windowsカーネルに関する3件の脆弱性を修正する。
>対象となるOSは、Windows Vista/XP/2000およびWindows Server 2008/2003。

2009 年 3 月のセキュリティ情報
ttp://www.microsoft.com/japan/technet/security/bulletin/ms09-mar.mspx

698 名前:(○口○*)さん:09/03/11 18:00 ID:gcRsGh5z0
>>697に関係あるのかわかんないけど
今日はバスター2008先生が大量のデータ持ってきて再起動しろっていったのと関係あるのかな?

699 名前:(○口○*)さん:09/03/11 18:01 ID:+yLsBIl30
Adobe、公表済みの深刻な脆弱性を修正した「Adobe Reader」v9.1を公開
すでに本脆弱性を悪用した攻撃が確認されているため、必ず最新版へ更新しよう
http://www.forest.impress.co.jp/article/2009/03/11/adobereader91.html

・・・だ、そうな。アップデートしとくか。

700 名前:(○口○*)さん:09/03/11 18:23 ID:eOn+vrCJO
アカウントハック等のセキュリティ対策について思案中なんですが、
一ライセンスで複数台使えるソフトで皆さんがお勧めできるものには何が挙げられるでしょうか?
大体のソフトの使用スペックは満たしているのですが、
こうも沢山あると何を使えば良いのかわからなくなってしまいまして…

701 名前:(○口○*)さん:09/03/11 18:53 ID:4wbotAHe0
>>635

702 名前:(○口○*)さん:09/03/11 20:03 ID:+yLsBIl30
>>700
AVG,Avast辺り。英文で構わなければAntiVirが軽くて検出率が高い。(いずれもFWは別途用意)

1ライセンスで複数台使える「市販」のセキュリティソフトは、ウイルスバスターになると思う。
他社はあんまりやってない。個人的にはバスターさんよりも、無料のAntiVirus系の方がいいような気がします。

Kingsoftの奴はフリーでFWもついてて、軽くて日本語ですが、検出能力としてはちょっと疑問。

うちのPCの場合こんな構成です。
 私のPC:AntiVirFree + PC Tools Firewall Plus
 父のPC:ISPが用意しているセキュリティ。F-Secure。
 姉のPC:Avast!4.8 + WindowsVistaのFW

703 名前:(○口○*)さん:09/03/11 20:07 ID:4wbotAHe0
NAV2009ゲームエディションは3台までいけるはず

704 名前:(○口○*)さん:09/03/11 20:08 ID:+yLsBIl30
ノートンも1ライセンスで3台みたいだったわ。バスターだけって言ってたのは訂正。

705 名前:(○口○*)さん:09/03/11 21:59 ID:J8ja9cwQ0
3/10のWindows Defender更新でhostsが書き換えられる!? - スラッシュドット・ジャパン
http://slashdot.jp/article.pl?sid=09/03/11/0924257

127.0.0.1 localhost
hostsファイルのこの行が勝手に削除されて「localhost」ドメインが使えなくなる
トラブルが発生、という話。

ROにほとんど関係ないけど、このスレではhostsファイルをいじってる人が
多そうだからいちおうスクラップ。

706 名前:(○口○*)さん:09/03/12 01:54 ID:zTZLS+bS0
【      気付いた日時          】1:00
【不審なアドレスのクリックの有無 】廃スレにて http■//yaplog■jpcom/blog/
【他人にID/Passを教えた事の有無】 NO
【他人が貴方のPCを使う可能性の有無】 Yes
【    ツールの使用の有無      】 NO
【  ネットカフェの利用の有無    】 Yes
【     OS    】 Windows Vista home premium
【使用ブラウザ 】 sleipnir janestyle
【WindowsUpdateの有無】 1:03
【 アンチウイルスソフト 】Mcafee securitycenter, virusScan
【その他のSecurty対策 】 なし
【 ウイルススキャン結果】まだやってない。 踏んだ瞬間マカフィーが反応して削除はした
【スレログやテンプレを読んだか】 No
【hostsファイルの変更】無
【PeerGuardian2の導入】無

【説明】 弟が廃スレを見たいというので見せてあげた。見終わってPC消す時に
「トロイの木馬に引っかかった。ごめんね」とか抜かしやがる

606 名前:名無しさん@ゴーゴーゴーゴー![] 投稿日:2009/03/09(月) 20:50:25 ID:/BwF0sFT0
新しくRo掲示板を作成しました。
Roの話題や攻略など…。書き込んでね><
http■//yaplogjp■com/blog/

その消す時にWindowsUpdateが更新していた。
弟によるとハックアド踏んだ時にマカフィーが反応して削除はしたらしい。
とりあえず別のPCから癌のパスワードは変更した。

707 名前:(○口○*)さん:09/03/12 02:10 ID:c2nHFcrb0
それで、何か?

708 名前:706:09/03/12 02:16 ID:Cf0nVIQBO
垢ハックアドレスに掛かったのは明らかなのは自分でも承知している。

マカフィーが反応して消してくれたが、
それでもやはり感染PCのバックアップ→フォーマットはすべきなのでしょうか?

709 名前:(○口○*)さん:09/03/12 02:35 ID:25j68quR0
>>708
必要なファイルがないならパスワード類を打ち込まず即フォーマットもあり
バックアップファイル多すぎると迷いそうなもんだけどね

710 名前:(○口○*)さん:09/03/12 05:05 ID:9IsAVaC10
>>706
そのアドレスなら、McAfeeで対応済みなので、ブロックできている可能性が高い。

VirusTotalの結果(18/39)
ttp://www.virustotal.com/analisis/56158de5705512fee19040ca0e454d9a

でも、あなたの弟さんが、なにをやってどうなっているのかまで、全て把握することはできないので、
確実なのはOS入れなおしです。アカハック食らってもいいやと思っているのであれば、自己責任で
そのまま使い続けても構いません。すり抜ける他のものを踏んでしまっているのに気付いていない
だけかもしれませんからね。

711 名前:(○口○*)さん:09/03/12 07:01 ID:Cf0nVIQBO
対応していると聞いて安心しました。ありがとうございます。

弟はROと情報サイトとテンプレを見る時以外はPCは使わなく、
今回だけ初めて廃スレ(2ch)を見て、
あからさまなアカウントハッキングに引っ掛かったので、

それにマカフィーが対応してくれたなら大丈夫だと思います。

ただ、絶対大丈夫とはいいきれませんし、感染PCはノートPCなのでバックアップが手間といってもデスクトップよりはましなはず

念の為、PCをフォーマットしたいと思います。ありがとうございました

712 名前:(○口○*)さん:09/03/12 11:56 ID:9IsAVaC10
ttp://www■shaimokale■com/livedoor■scr
ttp://www■shaimokale■com/online/action■exe
ttp://www■shaimokale■com/chaos■pif
ttp://www■shaimokale■com/blog/online■scr
ttp://online■w84■okwit■com/AVI■pif
ttp://online■w84■okwit■com/play■exe
ttp://online■w84■okwit■com/play■scr
ttp://online■w84■okwit■com/file/Start■pif
ttp://online■w84■okwit■com/ragnarokonline/play■scr
ttp://www■livedoor-bbs■com/fortune/redstone■zip
ttp://www■wokutonoken-online■com/wmv■pif
ttp://www■wokutonoken-online■com/bbs/mpg■pif
ttp://www■wokutonoken-online■com/JP/mpg■scr
ttp://www■excite-blog■com/keywordRed/08080335665linmovesmm■zip
ttp://www■excite-blog■com/gourmet/red000■zip
ttp://aiongamemeca■com/play/Animation/playtion■pif

最近貼られている(殆ど毎日中身が更新されている)もの+古いけど見落としてた奴。
既知の危険サイトドメインで、貼られるものの殆どはscrです。
数は少ないですが、scrやexeと同じバイナリのpifファイルが貼られることもあります。

pifファイルは拡張子出てこなかったりして面倒くさいんですよね。
リネームもエクスプローラー上からできなくてDOS窓使ったり、
pifの拡張子を非表示にしないようにレジストリエディタで設定することで
リネームがし易くはなりますが…

713 名前:(○口○*)さん:09/03/12 13:48 ID:9IsAVaC10
さて、久しぶりにやっちゃいました。
検体整理している(一時的にセキュリティ切ってる)間にぽちっとな。
PG2動作中でしたけどね。入れててよかったPG2。

参考までに、削除した方法(かなり無駄なことしてますが)
1.AntiVirが反応して、C:\WINDOWS\system32\ubdlqw.fdfを検知したので
  リネーム→隔離。該当ファイルの作成を何度か試みていた模様。
  当然ながらメモリ上に残ってるので、222■78■78■36:608(CN)への接続を
  1分辺りに2〜3回程度試みていた様子。
2.C:\WINDOWSをubdlqwで検索。
  C:\WINDOWS\system32\ubdlqw.key を発見。中身は、キーロガーのログ。
  エディタや専ブラなどに書き込んだ内容(バックスペースなどの操作も含む)が
  テキストの状態で記録されていました。ブラウザの検索キーワードまで残ってた(苦笑)
  取り敢えず削除。中身を確認して、PG2でブロックされてた上に、パス関係も
  入力してないことが確認できたので取り敢えず安心。
3.レジストリエディタとipconfigの起動が阻害されないことを確認。
  ipconfigでスタートアップに変なものが登録されていないことをチェック
4.spybotを起動してスタートアップをチェック。当然ipconfigと同じ内容なので
  なにも出てこない。
5.ついでなので、spybotでシステムをチェック。
  Win32.Mudrop.ktを検知。
   暫く前に検体提出した返答で送ってもらったTED-Win32.Murdrop.kt.sdiが
   有効活用された模様…検体提出しといてよかったw
6.検出されたWin32.Mudrop.ktを消す前に、詳細を見ると下記の内容が見つかって
  いたので、レジストリエディタで存在を確認。
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\eofjgg
   HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\eofjgg
   HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\eofjgg
   HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\services\eofjgg
   HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\services\eofjgg
   c:\WINDOWS\system32\0045c9b.imi
7.Spybotで削除を実行した後、レジストリを参照。
  該当レジストリの残骸を手動で削除。(なにかキーを消しただけなのかまるっと残ってた)
  eofjgg、ubdlqwのキーワードでレジストリを検索し、
8.念のため、テンポラリのRAMディスク(Z:)をスキャン。
  検体提出用に固めたzipのテンポラリだけが発見された。実害ないがいらないので削除。
9.念のため、システム領域→C:全体のスキャンを実行
  c:\ARK163.tmpを検知したので、検体を確保した上で削除。
  このファイルは、1で作成を試みていたubdlqw.fdfと同じバイナリ。

714 名前:(○口○*)さん:09/03/12 13:48 ID:9IsAVaC10
10.1〜2、9で本体削除、3〜7で(本体除去失敗してても)起動時に読み込まれない
  状態になった。
11.念のためLANケーブル抜いてからPC再起動
  (PG2起動前に除去失敗したものが通信するのを遮断する為)
12.PG2の起動を確認してからLANケーブル接続。
13.PG2を確認し222■78■78■36:608へのアクセスがないこと、検知されていたファイルと
  レジストリが再生成されていないことを確認して処理完了。

もちろん、残骸が残っていて、不利益を被る可能性は十分にありますので、自己責任。
良い子は真似をせず、ちゃんとOSのリカバリを行ないましょう。

反省点:風邪で朦朧としてる時に提出用の検体整理をしない。
    ubdlqwでレジストリを検索すれば、spybot使わなくても片付いた。
    (スタートアップのチェックには重宝したけど)
    ふつ〜に自力で削除する人は、hijackthisなんかを有効活用するらしいので
    ちゃんと使い方を覚えるようにしよう…
    発動させちゃった時は、ブラウザのウィンドウが1つ出て、ActiveXの起動を
    要求してるって情報バーが出てるのを確認して閉じた。
    その後、すぐにセキュリティソフトをONにして終了。
    今回は実害なかったが、その時点でスキャンしとけと。

715 名前:(○口○*)さん:09/03/12 13:50 ID:9IsAVaC10
だめだ、まだ寝ぼけてるようだ…正しくは、こう。スレ汚しごめんなさい。(o_ _)o ぱたり

>良い子は真似をせず、ちゃんとOSのリカバリを行ないましょう。
   ↓
良い子は真似をせず、ちゃんとOSの再インストールか、リカバリを行ないましょう。

716 名前:にゅぼーん:にゅぼーん
にゅぼーん

717 名前:(○口○*)さん:09/03/13 08:05 ID:PE9e+5gX0
716はh消し忘れて危ないので削除依頼出しました
【      気付いた日時          】 数日前
【不審なアドレスのクリックの有無 】 ttp://javimoya■com/blog/youtube_en■php
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【    ツールの使用の有無      】 No
【  ネットカフェの利用の有無    】 No
【     OS    】 win2k sp4
【使用ブラウザ 】 InternetExplorer6
【WindowsUpdateの有無】 有り
【 アンチウイルスソフト 】 avast
【その他のSecurty対策 】 Spybot S&D
【 ウイルススキャン結果】
カスペルスキーオンラインスキャン→問題なし
(Cドライブのみ、フルスキャンは外付けHDDの膨大なデータのため断念)

avast→ir32_32.dll (高圧縮ファイル爆弾) 誤検知?ビデオコーデックらしい

Spybot S&D→LinkSynergy  Statcounter DoubleClick RightMedia
恐らくクッキー。RightMediaだけトロイの可能性があるらしいが不明
場所が他3種と同じだったのでこれも多分クッキーか
全て削除、再スキャンで検知されず

【スレログやテンプレを読んだか】 少し読んだ
【hostsファイルの変更】有  事後
【PeerGuardian2の導入】有
【説明】
外国の動画保存サイトへ飛んだら、avastがウィルス発見して遮断。
spybotのレジストリ変更の確認は出ず。

調べたら
>このページから呼び出されるサイトに不正サイトが含まれます。
>ファイルはPDFの脆弱性を利用したファイルで有害です。
ウィルス名はBloodhound.Exploit.196との事
実際に踏むとカスペで以下のように検知にされるよう
ttp://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1321760863

AdobeReaderは最新にupdate済み。履歴や一時ファイルも念のため削除。
とりあえずスキャンでこれ以上何もでてこないのだけど
一応問題は無いと認識していいだろうか?

718 名前:(○口○*)さん:09/03/13 08:53 ID:vsxjv9lu0
いいだろうか?って聞かれても、なあ?

719 名前:(○口○*)さん:09/03/13 08:56 ID:piV66IMa0
>>713
ipconfigじゃなくてmsconfigの間違いだよね?

720 名前:(○口○*)さん:09/03/13 09:13 ID:gnQTaJI90
結局、どんなエスパーだろうが他人の環境を完全に把握することはできず、
「問題ない」と断言できる奴なんぞいない。

自分で判断して決断するしかないから、
ここで聞いても答えは「不安ならクリーンインストールしろ」しかない。
これが唯一他人がアドバイスできる確定的な対処法だからだ。

どうしてもクリーンしたくないなら、自分自身でまず安全だと断言できる知識とスキルを見につけるしか無い。

721 名前:(○口○*)さん:09/03/13 12:14 ID:4SQ10Tds0
>>717
鑑定スレにでも持ち込め。ここはセキュリティ一般の話題も扱うけど、基本はアカハック専門。そういった相談は他でどうぞ。

なにかを検知しても、どのクリック、どの呼び出しがひっかけたものかわからないと一部ブロックなのか
全部検知したのかわからん。この間のxleaみたく、広告になんか埋めこまれてたとかそんなんじゃねーの?
他のとこで踏んだんだと思うけどなぁ。

なにかをセキュリティソフトが検知してブロックした場合、ブロックに成功した以外にすりぬけが発生している
可能性は十分にある。OS再インストールかリカバリを推奨。自己責任で使い続けるなら知らんがな。

722 名前:(○口○*)さん:09/03/13 12:55 ID:QS8J6Mp50
まあ厳しい意見に見えるが、誰も「他人のケツまでは拭けない」から、悪く思わないように。

723 名前:(○口○*)さん:09/03/13 18:01 ID:PE9e+5gX0
自己責任か再インスコか。レスthx

>>721
今回のBloodhound.Exploit.196はトロイらしいが
アカハックと関係ないと言い切れるのはなぜ?

724 名前:(○口○*)さん:09/03/13 19:16 ID:cLIdjcXJ0
このスレにしても他にしてもそうだけど、HDDイメージを作成している人って少ないのかな。
クリーンインストールやリカバリの手間を躊躇している場合には、うってつけの方法だと思われるのだが。
今年の頭に騒ぎとなっていたSeagate製HDDとかを所持していれば、DiskWizardユーティリティが使用可能。
これ自体はAcronis TrueImage LEのOEM版なので、一通りの環境構築が済んだ状態をイメージ化しておけば良い。

ちなみに、SeagateのHDDを常用しなくても、DiskWizardを使用する時だけeSATAやUSBで接続する方法でも
問題は無い……はず。

>>721
xlea■comって存在するんだね。
UKのレジストラがパーキングしていた状態だから、現状では実害が無さそうだけど。

725 名前:(○口○*)さん:09/03/14 00:02 ID:3lnuuiXO0
>>724
しょっちゅうソフト入れたり消したりしてるから、HDDイメージ用意するよりは、再インストール時の
WindowsUpdate適用済みのOS入れたメディア作る方が手軽だな。ゴミが消えるのが大きい。

そして、投稿後に気付いたtypoに突っ込まれるとは。orz

>>723
トロイじゃなくて、Acrobatの脆弱性を(ry アカハックに直接利用されるものじゃない。(間接的利用は無いとは言えないが)
ざっと見たところ、見つからなかったしな。わたしが見落としただけかもしれんが。

だから、どーせ、他のとこでなんか踏んだんだろ、さっさとOS入れなおしてこいとぞんざいなコメントを付けたんだ。
コメントがぞんざいだったことは謝る。

ttp://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2008-080702-2357-99&tabid=1
>Bloodhound.Exploit.196 は、「Adobe Acrobat および Adobe Reader の任意のコード実行およびセキュリティに
>関する複数の脆弱性」(BID 27641http://www.symantec.com/ja/jp/business/security_response/vulnerability.jsp?bid=27641)
>を悪用するファイルに対する、ヒューリスティック手法による検出名です。

726 名前:(○口○*)さん:09/03/14 00:18 ID:3lnuuiXO0
>>723
もうちょっとコメントしとくとこんな感じ。

流れちゃってるようなので、googleのキャッシュから引用。フィッシングサイトという判断ならわたしも納得。
今現在置かれているものがなにかの鑑定まではパス。iframeで呼び出されたり、自動実行されるスクリプトも
カウンター関係に見えるものだったからね。リンクを踏んだ先までは知らんけど。

>607 名前:ひよこ名無しさん [2008/11/04(火) 22:03:54 ID:Osh3AZIO0]
>鑑定お願いします。
>http://javimoyacom/blog/youtube_en■php
>
>http://speedmetallica■com/mt/youtube/
>
>613 名前:権平 ◆T0e.kDbaK2 mailto:sage [2008/11/05(水) 17:57:50 ID:SpDR2uO70]
>>>607
>1、踏んでみると動画系の外国サイトへ行きますが直後にカスペがフィッシングを遮断
>PC有害、回避推奨
>2、当環境では真っ白なページが表示されるだけでした。保留、補足あればお願いします。

数日前にはなにか仕込まれていて、現時点では除去されているという
可能性もありますので、危険ではないとは言い切れませんが、
直接アカハックに関与する可能性は低いと思われます。

参考:(ここは危険サイトでも結構すり抜けるので、あんまり信用しないように)
ttp://www.gred.jp/?url=http%3A%2F%2Fjavimoya.com%2Fblog%2Fyoutube_en.php&default=1&auto=1

717がBloodhound.Exploit.196があると言ってるってリンク張ってるとこも
そんな話題じゃないとこだし、自己責任でどうとでもしとけって感じなのよ。
なんか別件のログからコピペした検出名じゃないかという気がひしひしと。

727 名前:(○口○*)さん:09/03/14 13:57 ID:qmTcMyrx0
直接アカハックとは関係と思うが、絶対に関係ないとも言い切れないので

>トロイの木馬が機能拡張、「Kido」の新しい亜種に注意--カスペルスキー
>ttp://japan.cnet.com/news/sec/story/0,2000056024,20389878,00.htm

>新たに検知されたのは「Net-Worm.Win32.Kido.ip」「Net-Worm.Win32.Kido.iq」。
>いずれもKidoの新しい亜種であり、感染したPC上でアンチウイルス製品の動作を妨害する
>機能を持っている。
>
> また、これらの亜種の場合、自身を更新するために毎日アクセスするサイトの数が、
>既存のものに比べて圧倒的に多い。更新リクエストの送信先となるユニークドメイン名は、
>以前のバージョンでは250だったのに対し、これらは5万にもなっているという。

Kidoについてはこちら
>2月のウイルスランキング、ネットワークワーム「Kido」が急上昇--カスペルスキー調べ
>http://japan.cnet.com/news/sec/story/0,2000056024,20389274,00.htm

728 名前:(○口○*)さん:09/03/14 14:14 ID:oX6aNPLs0
組織化進んでるなあ

729 名前:(○口○*)さん:09/03/15 09:22 ID:wtmdAOqHO
某ネカフェチェーン店のPCは大半がウィルス混入済み。
USB端子挿したら感染するから気をつけて。

730 名前:(○口○*)さん:09/03/15 12:36 ID:8boSuh940
>某ネカフェチェーン店

731 名前:(○口○*)さん:09/03/15 16:06 ID:Z5vT4FQq0
このスレ的には、ネカフェのPCなんて全部感染済みとして扱うべきじゃね。
ログイン済んだら携帯のフルブラウザでPASS変更とか。

ノートPC持ち込み可能なネカフェとかリスト無いかな。

732 名前:(○口○*)さん:09/03/15 20:19 ID:WwjpAqOL0
>731
基本、感染してるかも、と疑って使うべきではあるが
>某ネカフェチェーン店
こういう中途半端な情報は意味がない。

>729
それが本当なら、そのチェーン店の本部に連絡しる

733 名前:(○口○*)さん:09/03/15 21:53 ID:yjnE+GJX0
>>729
その言い分はちゃんとしている店にとって迷惑以外の何者でもないぞ。

734 名前:(○口○*)さん:09/03/16 13:14 ID:YVIGYwqiO
携帯から失礼します。
WindowsVistaでPG2をダウンロードしようと思うのですが、ダウンロードするファイルは2000、XP、2003用の物で大丈夫なのでしょうか?
Vistaが表記されてなく、どれをダウンロードすれば良いのか分かりません。
どなたか分かる方教えてください。

735 名前:(○口○*)さん:09/03/16 15:32 ID:wGQe9pXI0
PG2のVista用は英語版のRC版しかありません。
また、起動後即動作しないので、別途ローダーが必要だったりします。
それでも興味がおありでしたら、下記スレ行ってテンプレ読んで、スレをpg2loader.exeで検索。

lt;丶`∀´gt; PeerGuardian2 ★ 4 (`ハ´ )
ttp://pc11.2ch.net/test/read.cgi/sec/1228949365/

736 名前:734:09/03/16 16:15 ID:YVIGYwqiO
まだ英語版しかなくなにやら大変そうですね…。
分かりました。ありがとうございました。

737 名前:(○口○*)さん:09/03/18 01:44 ID:MnI4u6mm0
mixiに貼られていたとかいうブツ。すり抜け結構多いんで検体提出してきまー。

tp://www■koha0kohaweb■com/bbs/link/1237021570l50■zip

1237021570l50■zip
 --->1237021570l50■EXE
  --->1■exe
  --->XXXXi■exe

1237021570l50■zip : TR/Dropper.Gen(AntiVir)
1237021570l50■EXE : TR/Dropper.Gen(AntiVir)
1■exe : TR/Spy.Gen(AntiVir)
XXXXi■exe : PWS:Win32/Magania.gen(Microsoft)

ttp://www.virustotal.com/analisis/3b5c622ac00c39c3439cf870b297838a 1237021570l50■zip(23/39)
ttp://www.virustotal.com/analisis/b82707da5f730065875dc8e0cfb130ed 1237021570l50■EXE(23/39)
ttp://www.virustotal.com/analisis/3ddb58401a9838ab9723d9a6c5ad87ee 1■exe(23/39)
ttp://www.virustotal.com/analisis/852efd5fe194fc0c90a5771d6e65d92d XXXXi■exe(11/39)

738 名前:(○口○*)さん:09/03/18 03:58 ID:0RNMdLaU0
あっ、>>737のアドレスはやっぱりヤバイものだったか。
提出お疲れ様です。


ハイプリとWIZでピラ4F+MVP RO

などという謳い文句で書き込みされてるけど、zipファイルなんで
超怪しいから、クリックせず即削除しといて正解だった。

739 名前:(○口○*)さん:09/03/18 05:43 ID:g+R/2ZEP0
ニコニコ動画にあがってるもののタイトルパクるのは常套手段
あまり流行らなかったけどニコのコメントにもハックアドレス書き込んだことはあったな

740 名前:(○口○*)さん:09/03/18 17:12 ID:MnI4u6mm0
AntiVirがひっそりとV8→V9になってるな。

自動Upateでの配布はなしで、アンインストールして入れなおしになるけど。

741 名前:(○口○*)さん:09/03/18 19:58 ID:FnjewCv50
>>737
この1.exeおもしろいね。以下のパス抜きをする。
 nicovideo.jp
 jp.youtube.com
 yahoo.co.jp
 live.com
 fc2.com
 livedoor.com
 yaplog.jp
使い道としては動画のコメントやブログ乗っ取りで罠を仕掛けるのもあるけど、
ゲームと同じパスを使ってるアホは直接やられる。

742 名前:(○口○*)さん:09/03/18 20:07 ID:FnjewCv50
>>737
1.exe(ドロッパ)がドロップするトロイ
(ファイル名は実際のものではありません)。
ttp://www.virustotal.com/analisis/7ba3f8403f968624b6999ad67c6cd53b

743 名前:(○口○*)さん:09/03/19 10:12 ID:hCIBbTID0
手作業みたいだけれど大丈夫かー?

IPA、サイトの危険性を判定してメールで回答するサービスを開始
http://internet.watch.impress.co.jp/cda/news/2009/03/18/22831.html
>判定結果は、調査依頼を受けてから原則2営業日以内をめどにメールにより回答する。

744 名前:(○口○*)さん:09/03/19 12:29 ID:9gZzeMEV0
>>743
情報提供の敷居を下げてダイナミックレンジを大きくするのと
サイト診断のノウハウの蓄積やチューニングをする目的じゃないのかなぁ。
診断自体はシステムがすでに構築されてるようだし。

745 名前:(○口○*)さん:09/03/19 18:10 ID:35h45iXd0
Microsoft、高速化したWebブラウザ「IE8」の正式版を公開
http://pc.watch.impress.co.jp/docs/2009/0319/ms2.htm

>米国東部標準時間の19日12時(日本では20日午前)より提供開始すると発表した。

746 名前:(○口○*)さん:09/03/20 05:49 ID:ZsyGwqyT0
IE8入れてみた。

WindowsUpdateと、RO起動のActiveXは入れなおしになった。ROは普通に起動可能。
GoogleツールバーとAI Robo Form はそのまま使えた。FlashPlayerもIE7からそのまま引き継ぎ。

747 名前:(○口○*)さん:09/03/20 08:17 ID:K+NHB2mS0
あまり興味なかったので調べてないんだけど、セキュリティ的には
強化されてるの?
特定サイトだけJava系許可とか。

748 名前:(○口○*)さん:09/03/20 16:11 ID:ZsyGwqyT0
ttp://www.itmedia.co.jp/enterprise/articles/0903/19/news063.html
>IE 8ではセキュリティも強化されており、例えば、既知のマルウェア配布サイトからファイルをダウンロードしようとすると、
>警告が表示される。

取り敢えず描画が早くなった。
外見にはまだ慣れない。
やっぱりタブブラウズは切ったw
検体入手は他のダウンローダ使ってるので、警告はまだ見てない。
「Webスライス」と「アクセラレータ」とやらはまだ使ってないや。

749 名前:(○口○*)さん:09/03/20 16:37 ID:S9Y1byaC0
Fxでタブブラウズ慣れたら、IE7のタブも気にならなくなったというか
もう複数タブ前提の状態だから、タブないと辛い。

750 名前:(○口○*)さん:09/03/20 17:17 ID:ZsyGwqyT0
IEは複数ウィンドウ前提、タブブラウズしたい時はLunascapeって感じに使い分けてるな。
デュアルディスプレイで場所を広く使えると、並べて使いたいことが多いしね。

751 名前:(○口○*)さん:09/03/20 23:51 ID:ZsyGwqyT0
mixiに貼られてたそうです。結構すり抜け多いですね。

tp://www■cyokinde■com/wiki/oosigemasami/d2fec088047e4d499080f5aede1e9fff■zip

VirusTotal
d2fec088047e4d499080f5aede1e9fff.zip(8/39)
 ttp://www.virustotal.com/analisis/8065211b394a0f0c7c0d4347598e5bf2
d2fec088047e4d499080f5aede1e9fff.exe(7/39)
 ttp://www.virustotal.com/analisis/137e67c7742a862af4ba9b42e76c17d5

752 名前:(○口○*)さん:09/03/21 00:29 ID:d8NdU7ui0
亜種できるの早いからねえ

753 名前:(○口○*)さん:09/03/22 00:09 ID:KGz7YW950
mixiの垢を持っていないのでこういう情報は助かります。
検体おいしくいただきました。

754 名前:(○口○*)さん:09/03/22 01:07 ID:eCWKRoE20
そいえば日記にROって文字書いてないのにハック投稿来たと思ったら、
一緒に書いたURLの中にその2文字があって吹いたことがあった。

755 名前:(○口○*)さん:09/03/22 01:09 ID:eCWKRoE20
あ、途中で送信してもた。

投稿したヤツのIDはすぐNG設定するんだけれど、次に投稿が来たときにNG追加しようとすると
前に追加したIDが無効になってる言われるので、運営がちゃんとBANしている模様。
これは何度も経験している。

756 名前:(○口○*)さん:09/03/23 01:15 ID:j7l7oc8I0
Mixiの利用に関するあれやこれやに、運営に通報するってカテゴリーが
無いので、ひたすら待ち一択になるんだよなー。

757 名前:(○口○*)さん:09/03/23 02:29 ID:BQK5zbZW0
>>756
http://mixi.jp/inquiry.pl

通報すると案外すぐ対処される。
mixiアカをハックされた人はBANまでおまけについて踏んだり蹴ったりだけど。

758 名前:(○口○*)さん:09/03/23 13:15 ID:Nwks4+TB0
放置垢っぽいのもあったし、しょうがないんじゃない?

759 名前:(○口○*)さん:09/03/23 17:12 ID:xsLwif1k0
ねえねえぴころだに上がってたへんなファイルひらいしてしまったけど大丈夫なんこれ(´・ω・`)?
コメント欄でも論争上がってたけど結論でてなくて怖い(´・ω・`)

760 名前:(○口○*)さん:09/03/23 18:04 ID:Nwks4+TB0
おちついてテンプレを読んできなさい。

761 名前:(○口○*)さん:09/03/23 21:41 ID:bpV3Wc2Q0
>>759
毎日物質スレ荒らしてるようなあんたは神聖スレにでも行ってくれ。

ほらよ。(0/39)
tp://www.virustotal.com/analisis/c1a27188dc3f1e05501671866c387df9

762 名前:(○口○*)さん:09/03/23 21:54 ID:bpV3Wc2Q0
|309 名無し 2009/03/23(月) 01:12:55 ID:tU/rLsZx
|お願いします。
|ノートンが警告してきましたが、これは被害のある攻撃だったりするモノなのですか?
ttp://www■luks5■cn/unique/iepdf■php?f=old
|ちなみに直前はゲーム機の情報サイトにいて、
|そこのリンクにある外部サイトに飛んだときに警告がありました。
|上記の「luks5〜」を意図的に踏んだ覚えはないのですが・・・

某所の鑑定スレから。ゲーム系の情報サイトから飛ばされたというので、
無関係ではないだろうという意味で転載。

VirusTotalの検知結果 (5/39)
ttp://www.virustotal.com/analisis/866939e5cf86a256b3c035009926b3bd

その後、カスペに提出した結果、新種であるという返答。
アドレスから類推できるように、毎回異なったバイナリが落ちてくる

Exploit.Win32.Pidief.all〜.als(8ファイル提出して全部個別に名前振られてきた)
New malicious software was found in these files.

763 名前:にゅぼーん:にゅぼーん
にゅぼーん

764 名前:(○口○*)さん:09/03/24 20:08 ID:CBsRh6Le0
複数台PCも欠かせません。w

765 名前:(○口○*)さん:09/03/24 23:46 ID:XskXVVbF0
>>763
ただの広告用IFRAMEだと思う。
ドメインはいつもの楽天の広告のだった。
とはいえ、絶対安全とは言えないけどね。

766 名前:まとめ臨時:09/03/25 01:04 ID:9vDcsT4b0
>>765
ありがとうございます。
でも少し気になったので改めて思い違いはいかんと履歴をたどっていきました。
そうしたら >>763のサイトじゃなかった。
先方には非常に申し訳ないことをしました。ご迷惑をおかけいたします。
削除依頼してきたほうよいと思うので書き込んできます。


引っかかったのはこっちでした。ttp://www■aictogion■com/psp/faq/
トップページでもPG2が中国弾きしていたのでもっと早く気がつくべきだったかも。

検出名は HTML_IFRAME.BIC
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=HTML_IFRAME.BIC
トレンドマイクロのデーターに記述されていた物を
ソースチェッカーでwww■debonairblog■com/mt/t/img01■gifを確認。

サイトをすでに閉じた後にバスターの反応が旧型のPCゆえ遅い反応を示したようです。
改めてウイルススキャンしてきます。

767 名前:(○口○*)さん:09/03/25 01:40 ID:Jo78vAl+0
>>766
HTMLの前後の記述されていて怪しい事この上無いけど、ファイル自体は404になってる。
リダイレクトされた先にも、怪しい記述は見つからなかったよ。

768 名前:(○口○*)さん:09/03/27 00:14 ID:ZefUI7u80
最近見掛けた奴(新規アドレス?)
tp://atewikijp■com/blog/

中身は既知のアドレス↓と同じ。
tp://yaplogjp■com/blog/

EXP/Ascii.CA(AntiVir)

難読化されてるので、わからないが、ダウンローダなのか、ダウンローダの呼び出しと思われる。
本体じゃないからなのか、カスペはスルー。

VirusTotal(21/40)
ttp://www.virustotal.com/analisis/6c4de935d55d9f9da12ea9ca8d59fe6a

769 名前:(○口○*)さん:09/03/27 00:22 ID:ZefUI7u80
追記:>>768は、こんな見慣れた文面で貼られていました。

|351 名も無き求道者 2009/03/26(木) 20:51:23 ID:0xtMR5Y4
|ここからは攻城戦・ポイント戦についての攻略をしているページのURLを貼っていきます。
|参考になるので見てみてね^^
|tp://atewikijp■com/blog/

770 名前:まとめ臨時 ◆kJfhJwdLoM:09/03/27 02:17 ID:KtlZ187o0
>>767
html自体はバスターが反応して駆除されたとはいえ、
やっぱりポップアップが出ると気持ち悪いですね。

トレンドマイクロのほうでも
ファイルが404ということは書いてあったのですが
ソースが何だかなあという感じで気持ち悪いので、SP3パッチディスクを作るついで
テンプレの>>7であるSP+メーカーを試してきました。

感想としては、
PC初心者ではどのように設定したら良いかと手順がに解りにくい所。
やっぱりPCにある程度なれた人向けで、
クリーンインストールを楽に出来るツールという感じです。

後日、hostsのまとめのホムペのほうにでも
今回のSP+メーカー使ってクリーンインストールした手順を
自己流なりですが、画像も交えてUPする予定です。

771 名前:(○口○*)さん:09/03/27 12:06 ID:GVOIDWf40
atewikijp■com
25日登録のatwikiのそっくりさん。
IPやトロイはyaplogjp■comと同じ。

772 名前:(○口○*)さん:09/03/27 12:11 ID:n4pS2eg20
>>771
>>768

773 名前:(○口○*)さん:09/03/27 12:31 ID:GVOIDWf40
すまんにゅぼーんでログ詰まってた

774 名前:(○口○*)さん:09/03/27 13:47 ID:n4pS2eg20
Fxに脆弱性、対策版リリースまで3〜5日かかる見通し。

Firefoxに深刻な脆弱性、修正パッチ公開へ
http://www.itmedia.co.jp/news/articles/0903/27/news028.html

775 名前:(○口○*)さん:09/03/27 14:37 ID:GVOIDWf40
↑Fx3.1(3.5)Beta3でも落ちた。

776 名前:(○口○*)さん:09/03/28 11:29 ID:MhjI6F2u0
予想に反してFirefox 3.0.8が既にリリースされています。
更新しましょう。

777 名前:(○口○*)さん:09/03/28 12:28 ID:WgLXvPgJ0
まぁサンプルコードも公開されていたからねぇ。
IEの非定例緊急パッチみたいなもんだ。

778 名前:(○口○*)さん:09/03/30 20:18 ID:WqD1g5dU0
にゅぼーんスレより。新しいアドレスかな。どうせIPは一緒だろうけど。

TEPte-15p2-22*.ppp17.odn.ad.jp

1 名前:幻桜 [] 投稿日:09/03/30(月) 16:51 ID:7kHhDkMF0
先日アップデートがきましたね。新システム「恩寵」今回ばかりは運営GJといってもいいでしょう。
ちなみに本動画では風の恩寵を使用しています。恩寵うまし!
http:□□www■cavle-online■com■JP□mpg△scr

779 名前:(○口○*)さん:09/03/30 22:39 ID:WWvOBuhj0
>>778関連、2chにも爆撃があったようで専用スレができていた。

★090330 複数板 「yaplogjp■com|gamepaslog■com」宣伝マルチポスト報告
ttp://qb5.2ch.net/test/read.cgi/sec2chd/1238385009/

780 名前:(○口○*)さん:09/03/30 22:55 ID:WqD1g5dU0
ここ数日で無差別にBBS爆撃してるのはこの辺。特にyaplogjp■com/blog/が目立つね。

tp://www■cavle-online■com/play■exe
tp://www■cavle-online■com/JP/mpg■scr
tp://www■cavle-online■com/blog/play■scr

tp://www■wokutonoken-online■com/JP/mpg■scr
tp://www■wokutonoken-online■com/blog/play■scr

tp://www■shaimokale■com/livedoor■scr
tp://www■shaimokale■com/blog/online■scr

tp://yaplogjp■com/blog/
tp://atewikijp■com/blog/

tp://aimeblog■com/watch/sm3683942/
tp://aimeblog■com/eabox/blog_281/
tp://gamepaslog■com/linelink/
tp://www■4gameranking■com/news/staff/2009/

781 名前:(○口○*)さん:09/03/31 01:01 ID:HCX/2zSN0
いつものアドレスだけど、呼び出すのに使ってるファイル名が変化してた。

tp://www■gomenifty■com/web/
  tp://www■skywebsv■com/play/Ms06014■htm
  tp://www■skywebsv■com/play/Joewm■htm
  tp://www■skywebsv■com/play/Ms08011■htm
  tp://www■skywebsv■com/play/Ms08053■htm
  tp://www■skywebsv■com/play/MsAccess■htm
  tp://www■skywebsv■com/play/Real■htm
    tp://www■skywebsv■com/play/server■exe

server■exeは検出率が悪いね。
提出時に(9/39)だったのがさっきは(17/40)になってるので改善はされてるけど
マカフィー、シマンテック、NOD32が今のところスルー(マカフィーはArtemisでは検知)
ttp://www.virustotal.com/analisis/e631e2755635a47b75613b0dd380d8d2


>>780の他にこんなのもあった。

tp://www■cavle-online■com/wmv■zip
同じドメインのscr当たりより2日古いファイルで中身もちょっとだけ違った。

>>780の一番下の一群と同じで、全部 www■4gameranking■com/xin/ を呼び出す奴。
tp://aimeblog■com/redstone/link/
tp://aimeblog■com/wiki/FrontPage/

782 名前:(○口○*)さん:09/04/01 13:46 ID:h8m4Acxq0
ページを開こうとしたら「pukiwiki.phpをダウンロードしますか?」とか
見たいのが出た。

783 名前:(○口○*)さん:09/04/01 16:00 ID:KqAoE6yY0
そうですか。

784 名前:(○口○*)さん:09/04/02 10:27 ID:tkFetGcV0
質問よろしいでしょうか。

カスペルスキーインターネットセキュリティ7.0を使用しているのですが
「一部のコンポーネントを有効にできません」と言われ
どこがおかしいのか探してみると、アンチスパムの部分で「失敗(初期化エラー)」と出ています。
再起動しても治りませんし、「有効」をクリックしても「アンチスパムは開始できませんでした」と言われます。
また、レポートも開いてみましたが、特になにもなく、レポートのボックスの一番上に
「非スパムメールをあと50通登録してください」と書いてありました。
どうしたら正常な状態に戻るのでしょうか。
昨日までは普通に動いていました。

どなたかお分かりになる方がいらっしゃいましたら、ご回答よろしくお願いします。

785 名前:(○口○*)さん:09/04/02 10:55 ID:KLcLcGfO0
>>784
ttp://www.just-kaspersky.jp/support/contact.html

786 名前:(○口○*)さん:09/04/02 11:08 ID:YB15GV300
コントロールパネル→管理ツール→イベントビューア
でアプリケーションなりシステムなりを開いて
ソースがKaspelskyなのを開いて
そこの文面からキーになりそうな言葉で↓を検索
ttp://support.justsystems.com/faq/1032/app/servlet/qasearchtop?MAIN=001001015001006
ttp://support.justsystems.com/faq/1032/app/servlet/qasearch
784でキーになる言葉を検索してみたが、それっぽいのはなかったので
カスペのレポートとイベントビューアのログで何とか

787 名前:(○口○*)さん:09/04/02 11:08 ID:tkFetGcV0
自分では冷静なつもりでしたが、そうじゃなかったみたいです・・・。
サポートセンターの存在が頭から抜けてました。
今からメール送ってきます。
スレ消費失礼しました。

788 名前:(○口○*)さん:09/04/02 11:12 ID:tkFetGcV0
>>786さん
ありがとうございます。試してみます!

789 名前:(○口○*)さん:09/04/02 11:43 ID:tkFetGcV0
>>784です。たびたび申し訳ありません。
>>786さんの方法を試してみましたが
イベントビューアのアプリケーション、システム共にソースにKaspelskyという言葉がありませんでした。
表示→検索で探してみたのですが、他にそれらしいものも見当たらず・・・。
カスペのFAQのページも、自分でもキーになりそうな言葉をいくつか検索してみたんですが、
解決策になりそうなものはヒットしませんでした。
とりあえず>>785さんにも言われたように、サポートセンターにメールもしておきました。
お二人ともアドバイスありがとうございます。

790 名前:(○口○*)さん:09/04/02 11:52 ID:2REflW8S0
spam学習を初期化しちゃっただけなんじゃないかなぁ。使ってないから的外れかもしれないけど。

あと、カスペ7→8(2009)になってる筈だし、そっちの方が少し軽いって言われてるから
更新した方がいいと思うな。

791 名前:(○口○*)さん:09/04/02 13:07 ID:KLcLcGfO0
ttp://jsboard.com/doc/jkmob/ja/index.html

■カスペルスキー製品のアンチスパム機能が無効になってしまう現象について 本現象について、多数お問い合わせをいただいております。現在、原因、復旧・回避手順について調査中です。
ご迷惑をおかけいたしておりますことを、深くお詫び申し上げます。
調査結果につきましては、随時本ページにてご案内してまいります。

【対象製品】
Kaspersky Internet Security 2009
Kaspersky Internet Security 7.0

792 名前:(○口○*)さん:09/04/02 13:36 ID:tkFetGcV0
>>784です。
>>790さん
確認したら、だいぶ前に無償ダウンロードが始まっていたんですね。
さっそく更新したいと思います。
>>791さん
情報ありがとうございます。
以後、カスペHPをチェックして対処したいと思います。

みなさん、アドバイス、情報をありがとうございました。

793 名前:(○口○*)さん:09/04/02 21:27 ID:2REflW8S0
ちょっと斬新?

新しいブツが出まわってないか、「cavle-online」で検索かけて、
アカハックホイホイ状態のBBSを探してみました。数ヶ所でアダルト系の
画像投稿と一緒に書き込まれているのを確認。貼られていた画像もアダルト系のもの。
3箇所程で同じ画像とセットで書き込まれて、ました。

新規にスレ立てて貼り付けたり、MMO系のところを爆撃する以外にも
BBSスパム投稿と同じ手法で、送信スクリプトを誰かに踏ませているかもと思った次第。
(クロスサイトリクエストフォージェリでしたっけ?)

1〜2日でバイナリが差し替えられては居ますが、アドレス自体は同じものの
使いまわしばっかりのようです。

>極悪わいせつ医者の健康チン断 美少女だけをいただきます。  
>動画の場所→http://www■cavle-online■com/blog/play■scr

794 名前:(○口○*)さん:09/04/02 22:30 ID:Ha50rUgE0
mixi抜きとか可搬性を考えたら、手当たり次第やるのが都合いいんだろうな。
普通のエロSPAMに紛れ込んでさ。

795 名前:まとめ臨時 ◆kJfhJwdLoM:09/04/02 23:17 ID:HIi62zP20
SP+メーカーの体験記をUPりました。
暫定でグデグデな文章ですが流れを掴んでもらえるだけでも幸いです。

796 名前:(○口○*)さん:09/04/03 11:14 ID:wLg+NTL+0
ところで
セキュリティ対策のアンケートをガンホーが実施してるね
ttp://www.ragnarokonline.jp/news/information/notice/item/12267
>ご利用の皆様のセキュリティに関するご意見やパソコンの利用状況などをお聞かせください。

後半の設問でワンタイムパスワードについても触れられている
回答の動向によっては導入になるのかも
FFではトークンの販売が来週から始まるのが、ゲームで利用される唯一の事例かな
ttp://www.playonline.com/cis/jp/
ちなみに1個980円

797 名前:(○口○*)さん:09/04/03 11:48 ID:3ehAzDIN0
>>796
>ゲームで利用される唯一の事例かな
米国のWoW、韓国のメイプルストーリーで導入済み。
ttp://www.4gamer.net/games/005/G000546/20090310024/

798 名前:(○口○*)さん:09/04/03 11:54 ID:wLg+NTL+0
ああ…海外でもあったのか
WoWの導入は大きいな

799 名前:(○口○*)さん:09/04/03 17:25 ID:rGY/HhcS0
韓国メイポの場合は、ハードウェアOTPを用いた他の事例と違って、携帯電話を利用したソフトウェアOTP。
専用トークンを必要としないことと、携帯キャリアが一種の身元証明になる部分が微妙に違ってくるかな。

800 名前:(○口○*)さん:09/04/03 23:55 ID:YCHPc4O60
PG2の事なのですが、アップデート確認しようとすると、
スパイウェアの更新が遅い上に接続失敗しやすく、
その時に台湾のIPを弾いているようなのですが、
これはどういう状況なのでしょうか

一応、PG2のインスコされているフォルダをAntiVirでスキャンしてみましたが、
何も検出されませんでした

801 名前:(○口○*)さん:09/04/04 00:37 ID:/EfDu5wV0
>アップデート確認
何の?

802 名前:(○口○*)さん:09/04/04 06:35 ID:ux2LEbmt0
PG2のブロックリスト?

んなもん、重い時はさくっとキャンセルして他の時間にチェックしろよ。
台湾を弾いてるなら台湾をブロックリストに入れてるだけだろ。許可するかどうかは自分で判断。

803 名前:800:09/04/04 09:13 ID:NmOY5/kR0
すみません、ブロックリストの事です
「更新と同時に弾いている」というのが気になったもので
元々、更新に必要な点をブロックするとは考えにくいですし
ちなみに、今回が初めてではなく、数回に一回はこんな事が起こっています

セキュリティやPG2に関して疎いので、変な事言っているのかもしれませんが、
「更新と同時に弾いている」という点が、異常なのか正常なのかを知りたいのです

804 名前:(○口○*)さん:09/04/04 10:51 ID:eU1k5f/G0
だから台湾をブロックしているのに台湾からリストを落とそうとしてるんだろ

805 名前:まとめ臨時 ◆kJfhJwdLoM:09/04/04 11:07 ID:LyGXb8ai0
>>800
800の人がどういうシステム環境か判らないので
PG2の更新の時だけに台湾IPがブロックされているのか
時々ブロック表示されているのかでも状況が変わってきます。

別件ですが
ウイルスバスター2009のオプションで
迷惑/詐欺メールの判定がONになっていた場合、
メール受信の後やアップデートの時とかに台湾IPに繋ぎに行くことがあります。
その影響なのかバスターのシステムがエラーを吐いて
バスターのシステムの一部が強制終了したりとか。

台湾IPに何か接続しに行ってるプログラムがあるかの確認の手として
スタートアップで登録したものを一つ一つ終了させる毎に
PG2でアップデートをチェックすれば宜しいのでは?


スパイウェアの更新が遅い〜と言うのが
微妙にごっちゃになってて
PG2のリストのアップデートとその時の接続失敗表示だけを指したこと事なのか
アップデート確認した時に、別のプログラムのスパイウェアの更新が遅いという意味なのか
深読みしてしまう次第。

806 名前:まとめ臨時 ◆kJfhJwdLoM:09/04/04 11:16 ID:LyGXb8ai0
>>804
PG2のデフォルトリストをそのまま入れていて、
更にリネージュ資料室さんのブロックリストを入れていれば
台湾をブロックしているのに
台湾からリストを落とそうとしているって現象が起こるのかなと気がついた次第。

資料室さんのリストだけだったらそういう事が起きないですから。

807 名前:800:09/04/04 11:47 ID:NmOY5/kR0
稚拙な上に説明下手で申し訳ないです
PG2の[アップデート確認]でPG2本体・ブロックリストの更新をする際の話です

入れているブロックリストは、
 ・スパイウェア (デフォルトで入っているもの)
 ・RO (>>2のROアカウントハック報告スレのまとめサイト様のもの)
 ・MMORPGトロイ  (以下4つは>>2のリネージュ資料室様のもの)
 ・中国
 ・韓国
 ・台湾
この6つです

更新する際、スパイウェアリストだけ更新が上手くできずにタイムアウトする場合があります
これだけなら回線が混んでいるだけだと思いますが、
稀に、台湾IPを弾いてからタイムアウトになる事があるのです
(毎回ではなく、稀に、です)

スパイウェアリストが台湾に接続する必要があるという事であれば、
そのIPだけ許可すれば良いのですが、
その辺の判断が私にはわかりかねるので、質問させて戴いた次第です

808 名前:(○口○*)さん:09/04/04 16:01 ID:0hFo1XFQ0
俺もデフォルトのリストが全て更新できず、
後々バスターがブロックしてることが判った。

809 名前:(○口○*)さん:09/04/04 16:23 ID:fPS6DVAe0
そこまでして頑張るモノなのか、インターネットって。

810 名前:まとめ臨時 ◆kJfhJwdLoM:09/04/04 18:28 ID:PD3hJknq0
>>807
PG2のデフォルトリストを使っていないので判らないのですが
そのリストの中に台湾IPがあるという事なのかなと。

ブロックしているIPとPG2デフォルトリストの指定されているIPを確認して
その部分を削除するとか方法が色々ありますが、そこまでするべきなのかと…。
デフォルトリストを使うのであれば気にしないようにするしかないです。

資料室さんではPG2のデフォルトリストのチェックは
全て外す事をを推奨されているので、外してしまうのも手です。

>>808
特に何も無くても、
ネット接続直後だとリストの更新に最初の一回目は失敗したりとか。

811 名前:800:09/04/04 20:40 ID:NmOY5/kR0
確かに資料室様のところには、
デフォルトのチェックを全て外すように書かれていますね
私としては特に外す理由もないので、
スパイウェアだけチェックを入れて使用していました
スパイウェアリストに台湾IPが入っている、でFAかもしれません

他のブロックリストの更新をブロックするのはおかしい、という先入観があった為、
とんちんかんな事を言ってしまったようで申し訳ありません

対処をどうするかは置いておくとして、
原因が拙いものではないようで安心しました
スレの皆様、ご回答戴き、有難う御座いました

812 名前:(○口○*)さん:09/04/04 23:30 ID:cPXYz5xR0
Genoという通販サイトで問題が起きているようです。
私も JavaScript の確認が出てきて変だな?って思ってたのですが・・・

何が起きているのか?情報を確認しているところですが、
アクセスした人への警報として書き込んでおきます。

参考スレ(2chのニュー速)
ttp://tsushima.2ch.net/test/read.cgi/news/1238844402/

813 名前:(○口○*)さん:09/04/05 00:17 ID:tW8LN4p40
>>800,811さん
くわしくないのでまちがっているかもしれませんが、
デフォルトのリストがおかれているSourceForge.net(オープンソースの
ソフトウェア開発のなんたらかんたら)は、いろんな国の大学などで
ミラーリングされていて、アクセスするときに振り分けられるんじゃないかな。
それでリストの更新をするときにたまたま台湾の大学などにリストを取りにいって
それがPG2でブロックされるんじゃないかなと思いました。
(デフォルトリストの教育機関を入れていると、更新時にたくさんブロックされて
わかりやすいですよ^^)

814 名前:813:09/04/05 00:25 ID:tW8LN4p40
ちょっと訂正;
>更新時にたくさんブロックされて
これはデフォルトリストをたくさん入れているからでした><
「教育機関」を入れているとブロック時に学校名が表示されるので
わかりやすいということでした;

815 名前:(○口○*)さん:09/04/05 20:18 ID:t5a2+yMW0
どこに質問したらいいか解らなかったから
ここで質問させてください

ピコロダにforsety鯖で1kbのJpg?がうpされてて
それ踏んだら掲示板に勝手に書き込みしたことになってたんです

そのファイルについてるコメントみたら
自動でIP晒して書き込みするやつって書いてあるんだけど
>>8 垢ハックではないな。まぁ(うp主が)○○だったのが幸いした。中華なら全員死亡してるが。」
というコメントもあって
中華なら全員死亡ってこれは一体どんなものなんでしょうか?
アカハックとは関係なければソレで良いんだけどコメントに不安が・・・

816 名前:(○口○*)さん:09/04/05 20:42 ID:PI24rfH50
既にウイルスとか飼っていそうな設定だな

817 名前:(○口○*)さん:09/04/05 20:53 ID:O5mvjMlX0
日本人なら怪しいと見て踏まないようなURLも
軽率に踏んでしまう=ウイルスに引っかかりやすいということじゃないかなと
そうでなくても、中華(というか中国IP)なら祭りになってはいるだろうね

垢ハックとは関係がないにしても
軽率に踏んでしまう姿勢はあまり感心しない

818 名前:(○口○*)さん:09/04/06 01:47 ID:GOpJr2+20
リネージュ資料室の監視リストにこんなアドレスが追加されてた。
tp://www■nicovideojps■com/blog/

tp://yaplogjp■com/blog/
tp://atewikijp■com/blog/ の類似品かな?

819 名前:(○口○*)さん:09/04/06 02:35 ID:GOpJr2+20
mixiに貼られていたもの。各社に検体提出済み。
tp://www■koha0kohaweb■com/20090405data/intlja/61heliq■rar

ttp://www.virustotal.com/analisis/613f8cefb83c6cf4f586983d1c919a1a 61heliq.rar(11/39)
ttp://www.virustotal.com/analisis/9cb6ad8c60e240a80ca68000f901c6b0 61heliq.exe(10/40)

820 名前:(○口○*)さん:09/04/06 08:25 ID:ce229akl0
http://www■cavle-online■com/wmv■zip
これ落としちゃったんですけど何でしょうかこれ

821 名前:(○口○*)さん:09/04/06 09:43 ID:KFtWaLPn0
>>1

822 名前:(○口○*)さん:09/04/06 09:56 ID:ce229akl0
【      気付いた日時          】4月5日
【不審なアドレスのクリックの有無 】 クリックして落として起動した
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【    ツールの使用の有無      】 No
【  ネットカフェの利用の有無    】 No
【     OS    】XP、SP3
【使用ブラウザ 】 火狐ver3.0.8
【WindowsUpdateの有無】 分からない
【 アンチウイルスソフト 】 マイシールド
【その他のSecurty対策 】
【 ウイルススキャン結果】 マイシールドでスキャン、何も出ない
【スレログやテンプレを読んだか】 Yes
【hostsファイルの変更】無
【PeerGuardian2の導入】無
【説明】まだ垢ハックの被害出てません、そもそもpcにオンゲ入れてないです
ただ他の掲示板でこのURL踏んでしまったんで何かなと思って調べたら行き着きました
zipで中身はスクリーンセーバーでした、起動しちゃったんですが一応HDD内に作成されたmpgは消しました
以上です

823 名前:(○口○*)さん:09/04/06 10:18 ID:GOpJr2+20
>>820-822
中身のscrには偽装用のmpgとアカウントハック用のトロイが入っており、実行したら感染します。

マイシールドというセキュリティソフトは、V3アイコンがどうのって説明があったので、多分、
アンラボのV3だと思いますが、こいつは、この手のマルウェアの殆どがスルーしてしまうものです。
(検体は提出してあるのですが対応が遅いので、多分すり抜けていることでしょう)

解凍しただけならセーフなんですが、今回は、「起動してしまった」「マイシールドが反応していない」ことから
まず間違いなく感染しています。対処法ですが……必要なデータのバックアップを取った後で、
OSの再インストールかPCのリカバリ(購入時の状態に戻す)をしなければなりません。

対応しているセキュリティソフトを導入して削除する方法もありますが、活動中の場合、削除可能な
セキュリティソフトの導入をブロックする挙動で削除できなかったり、実行後に生成されるファイルが
未対応であって完全削除に失敗し、残骸によってOSの挙動に不具合が出る可能性がありますので
お薦めできません。

オンラインゲームが入っていなくても、削除(クリーンインストール)した方がいいでしょう。
この手のトロイは、複数のアカウントのパスワードを抜き取るものが多いのでメッセンジャーや
SNS(mixiとか)などのアカウントを抜き取られ、自分のアカウント名で危険ファイルの頒布が
行われてしまうといった事態も見受けられます。

OSを入れなおして、安全な環境を構築するのが第一。そして、第二に、マルウェアを起動してから
入力してしまった可能性のあるパスワードを片っ端から変更する。(抜かれた可能性のある
パスワードと同じパスを利用しているものは、全て変更した方がいいと思われます)

824 名前:(○口○*)さん:09/04/06 10:40 ID:ce229akl0
ありがとうございます
システムの復元等は意味あるんですかね
後、これ一回感染して駆除しなければパス等変えても意味無いんですか
個人的な事になるんですが兄弟で共有してるのでOSの再インストール等はちょっと独断では出来ないんです
その辺は兄の方が詳しかったりするんで
作成されたファイル特定して削除するとかは出来ないんですか、やっぱ

825 名前:(○口○*)さん:09/04/06 10:40 ID:GOpJr2+20
>>820-822
試しに検体を入手してみました。
ファイルの日付が今朝になっていまして、4/5時点で踏まれたものとは別のものでしたので
あくまでも、参考までに…ということで。

ttp://www.virustotal.com/analisis/b6803058a0cbc43cf4b3557611ac4e88 wmv■zip (18/40)
ttp://www.virustotal.com/analisis/6a52056f418555999cc107c421cf303b wmv■scr (18/40)
ttp://www.virustotal.com/analisis/e3dfc156d838c197cc5fb1648f4c2b12 1199■exe (22/40)

こんな感じに、V3(マイシールド)をすり抜けてしまいますので、OS再インストールコースですね。
OS再インストールの際には、SP+メーカーなどを利用して、WindowsUpdate適用済みのディスクを
作成してから再インストールするのが便利です。(メーカー製PCの場合は、PCリカバリ後、SP+メーカーで
作成したFixディスクを利用してWindowsUpdateを一気に当ててしまうのが時間的に楽だと思います)

わたしもOS入れ直すところで、SP+メーカーで3月までのWindowsUpdate適用済みディスク作成中
だったんですが、捕獲したのが新種(ファイルが差し替えられた直後)のようなので、検体提出を先にしてきます。

826 名前:(○口○*)さん:09/04/06 12:51 ID:Gw2JC1zO0
>>824
どこにウィルスの残骸が残っているか分からない
一番安全なのは再インストール
ウィルス入ってるのにパス変更しても情報抜かれてるからばれてて意味ない

あと共有PCなのに変なの不用意に実行しないこと
それ直さないと今後もウィルス踏むよ

827 名前:(○口○*)さん:09/04/06 18:49 ID:+VofmR0a0
正直もうリカバリor再インストールしかない といった感じです。
再インストールといっても今の状態からOSを再インストールするだけではなく、
HDDをフォーマットしてからの再インストールでなければ意味がありません。
必ずお兄さんに伝えて対応を検討してください。
知らないでパスワード入力系の物を起動なんてしたら大変な事になりますので…

828 名前:(○口○*)さん:09/04/07 08:57 ID:2LbH0Yfo0
少なくてもこのスレに聞きに来るレベルの人にアドバイスできるのは、
OSクリーンインストールしかないよな・・・。

829 名前:(○口○*)さん:09/04/07 09:41 ID:V4E/n5SE0
>>824
>その辺は兄の方が詳しかったりするんで
自力で解析して除去できるような人なら、そもそも、マイシールドなんて使わないとか言っちゃだめかな。

>作成されたファイル特定して削除するとかは出来ないんですか、やっぱ
簡単に言えば、できませんね。

昔の単純な形態のウイルスならワクチンがあったり、検疫といって、感染箇所をファイルから削除することで
復旧させることもできなくはないのですが、検疫しても残骸が残って完全に奇麗にはできずにPCが不安定に
なったりしますし、最近のものは、ランダムな要素を付け加えることが多く、検疫では無く、ファイルそのものを
削除しなければならない状態です。感染ファイルを削除すれば、当然、その感染前のファイルを必要としていた
ものは正常に動かなくなりますし、きちんと対応できていないもの(例えば、ウイルス本体は検知して削除できても
本体が取り付いたファイルをすり抜けてしまったり)が多いです。

セキュリティソフトメーカーも新種が多数出てくるのに対応してはいますが、特定のウイルスに対するワクチンの
開発といった方面には力を入れるだけの余力はないでしょう。感染ファイルを削除して、データをバックアップして
貰ってから、PCリカバリ(OS再インストール)をしていくのが現実的な解決策というものです。

830 名前:(○口○*)さん:09/04/08 23:26 ID:dqnvXlmc0
個人Blogのコメントにあったそうです。

ROブログ用 WS ASPD190 PD4F
www■amazeons■com/play/GVG/tttttt■zip

ttp://www.virustotal.com/analisis/da797e4f73e8c6aec0dde66e11b4b304 tttttt.zip(22/40)
ttp://www.virustotal.com/analisis/aecd2530093cbc6976e9afad149b7270 tttttt.exe(23/40)

831 名前:(○口○*)さん:09/04/09 00:12 ID:0m0mKE7B0
これもやっぱり中華業者だねぇ。

「www■amazeons■com」のIPアドレスへの変換結果→「61■139■126■108」

inetnum: 61■139■0■0 - 61■139■127■255
netname: CHINANET-SC
descr: CHINANET Sichuan province network
descr: Data Communication Division
descr: China Telecom
country: CN

832 名前:(○口○*)さん:09/04/09 09:45 ID:xX3zVwgX0
【      気付いた日時          】 4/09 09時
【不審なアドレスのクリックの有無 】 なし
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【    ツールの使用の有無      】 No
【  ネットカフェの利用の有無    】 No
【     OS    】 WinXP SP3
【使用ブラウザ 】 Sleipnir
【WindowsUpdateの有無】 有
【 アンチウイルスソフト 】 AntiVir
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 F-Secure オンラインスキャナにて
Stealth_process (UNKNOWN PROCESS ID 8576)
Stealth_process (UNKNOWN PROCESS ID 3192)
の2つのファイルを検出。
【スレログやテンプレを読んだか】 Yes
【hostsファイルの変更】無し
【PeerGuardian2の導入】有り(リネージュ資料室)
【説明】
>>299さんの1台目と同じ症状だと思うのですが、RO起動中にF-Secure
オンラインスキャナにてスキャンをしてみたところ上記の2ファイルを検出
しました。
ROを落とした状態で再びスキャンを掛けてみた時には検出されなかった
のですが、これはnProの誤検出なのでしょうか?
他にはAntiVirでのスキャン、カスペルスキーのオンラインスキャナを使用
してみましたが特に検出されませんでした。

833 名前:(○口○*)さん:09/04/09 12:28 ID:0m0mKE7B0
>>832
nPro自体がステルスプロセスですので、nProを検知したものと思われます。

834 名前:(○口○*)さん:09/04/10 08:16 ID:Qhp7iHIY0
ROセキュリティWikiの検体提出先編集

Proland Software(Protector Plus)
・メールが届かないので確認したら、タイトル固定の模様
・Webフォームもできていたので追記

835 名前:832:09/04/10 12:32 ID:moOoDmsF0
>>833
その可能性が高そうですね。
ご回答ありがとうございました。

836 名前:(○口○*)さん:09/04/10 22:51 ID:BUBOsihz0
ネカフェでプレイ後は帰宅後すぐにアカパス変えるのは当然だけど
同じ癌IDにアカ2つある場合って癌IDログインした時点でパス抜かれて
片方のアカでネカフェプレイ中にもう一方のアカに入られてアイテムぱくられる危険あんじゃん
アカごとにパス設定できてた頃は抜かれても最悪そのアカだけだったけど
今はネカフェプレイはサブアカだけにしとこうと思っても本アカやられる危険あんじゃん
いまさら癌ID分離できないし
何これ癌馬鹿なの

837 名前:(○口○*)さん:09/04/10 23:22 ID:ASNoU8aC0
>>836

【日記】(`ェ´)ノ◇チラシの裏79枚目【雑談】
http://enif.mmobbs.com/test/read.cgi/livero/1238204034/l50

愚痴・溜息・戯言スレッドLv186
http://enif.mmobbs.com/test/read.cgi/livero/1237539058/l50

838 名前:(○口○*)さん:09/04/11 04:03 ID:35TN/ovz0
>>836
すごい今更感

839 名前:(○口○*)さん:09/04/11 09:13 ID:UNP05WNw0
キャラIDもキャラごとに変えるこったね。

840 名前:(○口○*)さん:09/04/11 10:28 ID:jz5essx60
【      気付いた日時          】 昨夜2時ごろ
【不審なアドレスのクリックの有無 】 ttp://73d43.atu.ca/w5ven37/
【他人にID/Passを教えた事の有無】 なし
【他人が貴方のPCを使う可能性の有無】 なし
【    ツールの使用の有無      】 なし
【  ネットカフェの利用の有無    】 なし
【     OS    】 WinXP Home SP3
【使用ブラウザ 】 IE7
【WindowsUpdateの有無】 自動アップデートの時
【 アンチウイルスソフト 】 NortonInternetSecurity
【その他のSecurty対策 】 ルーター
【 ウイルススキャン結果】 なし
【スレログやテンプレを読んだか】 今から読みます
【hostsファイルの変更】よくわかりません
【PeerGuardian2の導入】なし
【説明】 Blogのコメントにあったリンクを間違えて踏んでしまいました。
変なアダルトサイトに飛ばされたので、怖くなってノートンでスキャンしましたが何も出なかったのですが
アドバイスを頂けないでしょうか

841 名前:(○口○*)さん:09/04/11 10:32 ID:TdiGzdjv0
>アドバイスを頂けないでしょうか

コメントスパム という言葉をぐぐれ。

842 名前:(○口○*)さん:09/04/11 10:54 ID:jz5essx60
>>841
ぐぐってきました。見た感じでは垢ハックには関係なさそうで安心しました。

843 名前:(○口○*)さん:09/04/11 11:30 ID:QaAfQnJx0
>アドバイスを頂けないでしょうか

ドット変換しろよ一応

844 名前:(○口○*)さん:09/04/11 18:40 ID:MTyLfJUo0
>>840
まずはそのBlog(恐らくレンタルBlogだろうけど)の機能をちゃんと理解することだ。
コメントspamが飛んでくるようなら、アカハックが貼られる可能性だって十分にあり得るのだから。
禁止ワードや拒否ホストなどの扱い方、コメント承認制への切り替えなど、対策法は様々なものが存在する(はず)。
今は安心、と思っていると、思わぬ時に足をすくわれたりする。

845 名前:(○口○*)さん:09/04/11 21:13 ID:yLhEWCdb0
このサイトってどうよ?ソースチェッカーの自動版的な感じなんだけど。
ttp://www.gred.jp/

846 名前:(○口○*)さん:09/04/11 21:37 ID:+CZ8GdmD0
フィッシング判定の大手の奴だな

847 名前:(○口○*)さん:09/04/12 08:15 ID:Ew5ogA+L0
>>845
個人的評価:すりぬけ多すぎて使い物にならない

マカフィーのサイトアドバイザーの方がまだまし。(入れてるとPC不調になるので切ったけどw)

848 名前:(○口○*)さん:09/04/12 13:52 ID:Ew5ogA+L0
最近見掛ける奴のパターンを勝手に分類してみた。

パターン1■iframeで、4gamerankingを呼び出す系
 ファイル自体はあまり更新されないが、呼び出し元がちょくちょく変わる。
 数ヶ月に一度くらい、本体のexeが差し替えられるが、ファイル更新の頻度は
 さほどではない。ほとんどが「4gameranking」を呼び出す。
 たま〜に、「skywebsv」「mbspro6uic」「play0nlink」などを呼び出すものもある。

p://gamepaslog■com/*
p://aimeblog■com/*
p://www■4gameranking■com/news/staff/2009/
p://www■blog20fc2■com/*
p://blog20fc2■com/*
+--- p://www■4gameranking■com/xin/

(下はあんまり見掛けない)
p://www■gomenifty■com/web/
+---p://www■skywebsv■com/play/〜
p://gamerfxlblog■com/2008/11/post_46c6/
+--- p://www■play0nlink■com/ma
p://www■plazaraskuten■com/up743205/jbbs578601/
+--- p://www■mbspro6uic■com/1/

パターン2■文字化け状態のhtml系
 見ても、呼び出す本体がよくわからん。
   p://yaplogjp■com/blog/
   p://atewikijp■com/blog/

パターン3■scr、pif系(もしくはscrを内蔵したzip)
 どこかで利用されていた動画の紹介文のコピペと一緒に貼られる形。
 mpgか画像を圧縮した自己解凍ファイルと一緒にトロイ本体が入っている形。
 同一ファイルの別名が多数存在。zipの場合、他のアドレスにあるscrが入っている。
 1〜3日間隔で、内部のトロイ本体が差し替えられる。ゴミデータ部分は使いまわし。
 頻繁に入れ代わる割に、ゴミデータが大きく、検体提出が一番面倒くさい。
 ファイルが更新された直後は、半数程度のセキュリティベンダーがスルーする。
 殆どが「wokutonoken-online」「shaimokale」「online■w84■okwit」辺りのアドレス。

 事例は省略…もうあのアドレス見るの飽きた。

849 名前:(○口○*)さん:09/04/12 13:53 ID:Ew5ogA+L0
パターン4■mixiやblogのコメントに貼られる中身が同名exeのzip,rar系
 「RO」「FF」「TW」「RS」などのキーワードにマッチするものに無差別投稿される模様。
 投稿は、scr系と同じく、動画の紹介文のような名称で書込まれる。アドレス自体は
 半年くらい前に出た使いまわしか、新規のアドレス。ファイルは投稿日近辺の作成。
 SNSのアカウントが盗まれて、そのアカウントで投稿される事例が多い。
 検体捕獲時点では、半分位のベンダーがスルー。「koha0kohaweb」が多い気がする。
   p://www■koha0kohaweb■com/wiki/rochatroom/
   p://www■koha0kohaweb■com/roeng/9293w593509fnsfdssd9rfnsdnw9r3949323234n9rfn29r9345923nrew■zip
   p://www■koha0kohaweb■com/blog/read-cgi/G00018320081010041■zip
   p://www■koha0kohaweb■com/bbs/ragnarok_link/avi/395569fs9934438gfdwq4858■exe
   p://www■koha0kohaweb■com/data/mec/uporgf1780054■zip
   p://www■koha0kohaweb■com/play/GVG/lid576460752303920704■rar
   p://www■koha0kohaweb■com/bbs/link/1237021570l50■zip
   p://www■koha0kohaweb■com/20090405data/intlja/61heliq■rar
   p://www■youturebe■com/redstone888jp/uitem/o245■oops■jp/49323234n9rfn29293w593509fns9r9345923nrew■zip
   p://www■youturebe■com/watch/WnfKyqT2BRGJ2OTo0fv80lyUw0VZvgH2KB4rk0■rar
   p://www■youturebe■com/wiki/video/6LxEiQe5u67unZvlpt4483441■zip
   p://www■youturebe■com/gungho08/guide/makeitem■zip
   p://www■youturebe■com/data/mec/mecxin000006■zip
   p://www■youturebe■com/bbs/link/20081027_youtomb■zip
   p://www■youturebe■com/bbs/ragnarok_link/video/41404172717933■zip
   p://www■youturebe■com/roeng/ragnarok-search/UIb3Jdte2jU■zip
   p://www■cyokinde■com/wiki/oosigemasami/d2fec088047e4d499080f5aede1e9■zip
   p://www■cyokinde■com/ffxishowvide/16498897649■rar
   p://www■cyokinde■com/gungho08/ro/10155326p■rar
   p://www■cyokinde■com/wiki/oosigemasami/d2fec088047e4d499080f5aede1e9fff■zip
   p://www■excitysjp■com/Web/89238632■zip
   p://www■excitysjp■com/Web/879620546■zip
   p://www■amazeons■com/play/GVG/tttttt■zip

850 名前:(○口○*)さん:09/04/12 13:54 ID:Ew5ogA+L0
パターン1。
 殆どのセキュリティベンダーが対応済みでダウンローダ時点でブロックされる。

 「mbspro6uic」を呼び出す奴は、ちょっと新しい。swfとかまでは入手して検体提出
 したけれど、解読まではできず、本体のexeまで探せなかった

パターン2。
 ある程度のセキュリティベンダーはブロックされる。
 ソースチェッカーで見ても文字化け状態なので、なんだこれとか思ってアクセスしない。

パターン3。
 セキュリティベンダーの対応が間に合わず侵入されてしまうケースも。
 ファイル自体はしょっちゅう見掛けるので、クリックしない、落とさない、実行しない。

パターン4。
 パターン3と対応は一緒。解凍しない、実行しない。
 知ってる名前の人のコメントだからといって安心すると痛い目に遭います。
−−−−−
総括:PG2で中国を弾くのが非常に効果的です。

851 名前:(○口○*)さん:09/04/13 22:43 ID:qSZZvYsy0
>>848のパターン3の奴で、今日報告のあったもの。やっぱり中身は日替わり更新で4/12作成版。
p://www■wokutonoken-online■com/file■scr

といっても、中身は下のアドレスと同一でしたが。
p://www■cavle-online■com/play■exe
p://online■w84■okwit■com/play■exe
p://www■wokutonoken-online■com/wmv■pif
p://www■wokutonoken-online■com/JP/mpg■scr
p://www■wokutonoken-online■com/blog/play■scr

ttp://www.virustotal.com/analisis/c9513de5a56e248fbdb23a4fdca2dc18 mpg■scr(26/40)
ttp://www.virustotal.com/analisis/7be4f024f942ae294090ce739c5e224c 1199■exe(26/40)

852 名前:(○口○*)さん:09/04/14 18:15 ID:u6PJvBef0
mixiに貼られていたもの。
軒並み検知はするようですが…Symantecスルー。
p://www■youturebe■com/yjplone/tyoku0119/dxfyfturtyu■rar

ttp://www.virustotal.com/analisis/260fef3cc870bb3556ded86beba9283f dxfyfturtyu.rar(32/40)
ttp://www.virustotal.com/analisis/20e20cf31e9d12c4c151c1ed5da33872 dxfyfturtyu.exe(33/40)

検体は提出済み

853 名前:(○口○*)さん:09/04/14 22:08 ID:OMijMa3G0
そのドメインまだ生きてたのか、w

854 名前:(○口○*)さん:09/04/15 03:46 ID:A4/IuiG60
月例age
緊急(5) 重要(2) 警告(1)
ttp://www.microsoft.com/japan/technet/security/bulletin/ms09-apr.mspx

855 名前:(○口○*)さん:09/04/15 11:27 ID:qcv9f2Rh0
これから02魔王は放置になるだろうね
今まで02魔王にだけ効果があったリングバグがなくなったし
03魔王は狩りが多いって理由でVIPは敬遠だから
魔王装備はインビジだけが売る時代が来るかもしれない

856 名前:(○口○*)さん:09/04/15 11:27 ID:qcv9f2Rh0
誤爆

857 名前:(○口○*)さん:09/04/16 10:53 ID:kHFpPftw0
「DivX Web Player」にバッファオーバーフローの脆弱性、最新版で修正済み
DivX動画をWebブラウザー上で再生すると任意のコードを実行されるおそれ
http://www.forest.impress.co.jp/article/2009/04/15/divxwebplayervul.html

> デンマークのセキュリティベンダーSecuniaは15日、DivX動画をWebブラウザー上で再生可能にする
>プラグイン「DivX Web Player」v1.4.2.7に、バッファオーバーフローの脆弱性があることを公表した。
>Secuniaによると本脆弱性は同ソフトのv1.4.2.7以前のバージョンにも影響する可能性が高く、最新版となる
>v1.4.3.4では修正済みとのこと。
>
> 本脆弱性の具体的内容は、特殊な細工を施されたDivX動画をWebブラウザー上でストリーミング再生した際に
>バッファオーバーフローが引き起こされ、任意のコードを実行される可能性があるというもの。
>重要度は最高の次に高い“Highly critical”となっている。

858 名前:(○口○*)さん:09/04/16 12:29 ID:4QYwRRMvO
最近はmixiと2chと職テンプレしか見てなかったのに昨日垢ハックされた私が来ましたよ

859 名前:(○口○*)さん:09/04/16 12:31 ID:HPxKjBNO0
2chもmixiもしょっちゅう垢ハクURL貼られてますがな。

860 名前:858:09/04/16 12:40 ID:NnjarZRn0
>>859
URL踏んでない

861 名前:(○口○*)さん:09/04/16 12:44 ID:k7cZYXUx0
ソーシャルハックとか

862 名前:(○口○*)さん:09/04/16 18:30 ID:tzwhNMXA0
古典的な割られ方の可能性あるよな
あとノーガード戦法だったか、ガードが役に立っていなかったか

863 名前:858:09/04/16 22:47 ID:NnjarZRn0
【      気付いた日時          】2009/04/15
【不審なアドレスのクリックの有無 】無し
【他人にID/Passを教えた事の有無】無し
【他人が貴方のPCを使う可能性の有無】無し
【    ツールの使用の有無      】無し
【  ネットカフェの利用の有無    】Yes
【     OS    】XPSP3
【使用ブラウザ 】IE7.0.5730
【WindowsUpdateの有無】4/13
【 アンチウイルスソフト 】avast!4.8HomeEdition
【その他のSecurty対策 】SpybotS&D
【 ウイルススキャン結果】avastで発見せず
【スレログやテンプレを読んだか】軽く読んだがもう一度読み直す
【hostsファイルの変更】無
【PeerGuardian2の導入】無
【説明】キャラパスが変更されていてINできない
枠埋まってたので1キャラ消してINしたら倉庫の中身がごっそりなくなっていた

悪意のあるソフトウェア削除ツールってのためしたところ「PWS:Win32/Corripio.gen!E」が検出されたが削除できず
調べたところこれが垢ハックにかかわってるみたいですがどうしたら削除できますでしょうか

864 名前:(○口○*)さん:09/04/16 23:38 ID:0BIAshxh0
セーフモードでもう一度削除を試してみたら。
漏れならOS入れ直すけど。

865 名前:(○口○*)さん:09/04/17 03:15 ID:ZEYQWV410
【      気付いた日時          】 2009/4/16
【不審なアドレスのクリックの有無 】 http://picopico2■dip■jp/uploader/data/1/1236857685106■wmf
【他人にID/Passを教えた事の有無】 NO
【他人が貴方のPCを使う可能性の有無】 NO
【    ツールの使用の有無      】 NO
【  ネットカフェの利用の有無    】 NO
【     OS    】 windowsXP SP3
【使用ブラウザ 】 InternetExplorer7
【WindowsUpdateの有無】 分からない
【 アンチウイルスソフト 】 NortonInternetSecurity
【その他のSecurty対策 】 Spybot
【 ウイルススキャン結果】 何も出ず
【スレログやテンプレを読んだか】 (Yes)
【hostsファイルの変更】無し
【PeerGuardian2の導入】無し
【説明】 間違ってクリックしてしまったところ、一瞬ファイルを実行、保存、
閉じるのボタンがあるウィンドウが出て、勝手にスグ閉じました。
そしてよく分からない画像がビューワで表示されました。

やっぱりこれはアカハックツールが仕込まれているのでしょうか。

866 名前:(○口○*)さん:09/04/17 04:50 ID:SdDUC45l0
>>865
何も仕込んでありません。
ただの「よく分からない画像」です。

867 名前:(○口○*)さん:09/04/17 06:57 ID:GFKhGLH10
>>863
踏んだ心当たりがないのに、アカハックされ、検出されたということですと、他になにが潜り込んでいるか
わからない状況であると言えます。そのため、特定のセキュリティソフトのスキャンによって除去可能か
どうかの判断もできません。

また、最近のマルウェアは、本体を除去しても、Windowsの設定を書き換えてしまっていたり、
正常に復旧できないケースも多いです。ランダム要素付きで取り付くものなど、マルウェア部分だけ
取り除くことが困難で、元ファイルごと削除することになり、Windowsの動作に必要なファイルが
なくなってしまい、結果として動作不良になってしまうこともあります。

ですから、除去するためには、メーカー製であればPCリカバリ(リカバリディスクやHDD内のイメージを
利用して、PC購入時の状態に戻す)を行ない、自作やショップブランドの場合は、OSの再インストールを
行なうことになります。

このスレで推奨する、マルウェア(ウイルスやトロイなどの総称)の除去方法は、PCリカバリかOS再インストールです。
最低限のデータのバックアップを取ってから、OSを入れなおし、マルウェアのいない奇麗な環境に戻し、
それから自分が使用しているパスワード類を(ゲーム以外のメッセンジャーやSNSなどのものも含む)全て
別のものに変更してください。

キャラパスも変更されているということですので、キャラパスの修正に関しても、運営会社に
相談してみてください。

テンプレにあるように、アカウントハッキングにあった場合、運営会社、警察の2箇所へ連絡する必要が
ありますので、そのこともお忘れなく。

・アカウントハッキングについて > 被害にあってしまったら(RO公式)
  http://www.ragnarokonline.jp/playguide/hacking/hacking_04.html

メモしておくといいだろうと思われること
 ・最後に正常にログアウトした日時
 ・最初にアカハックに気付いた日時と気付いた理由
 ・検出したファイル名と検出名、検出したソフト名

868 名前:(○口○*)さん:09/04/17 07:12 ID:GFKhGLH10
ちなみに、MicroSoftの説明(末尾Eは亜種の区別名なので大半はこの説明の通り)

ttp://www.microsoft.com/security/portal/Entry.aspx?name=Win32%2fCorripio
・除去するには、セキュリティソフトを導入してフルスキャンかけろ。(意訳)

869 名前:(○口○*)さん:09/04/17 11:11 ID:GGHf4azj0
最近アイテム復旧してもらえた人っているのかな?

870 名前:865:09/04/17 23:43 ID:ZEYQWV410
>>866
ありがとうございます。
本当にただの画像だけだったのですね・・・。
サイトがサイトだったので、余計危険に思えてしまって・・・。
これからは不用意にURL踏まないように気をつけます。

871 名前:(○口○*)さん:09/04/20 01:54 ID:Y4pn165gO
>>869
今まさにそのやりとりしてる
ヘルプデスクの対応悪すぎてスゲーイライラするけどね
警察に資料としてフロッピーが送られてるんだけど、中身どんなものか知ってる人いる?
説明不足すぎて警察も何すればいいのか解らない状態らしいんだ

872 名前:(○口○*)さん:09/04/20 03:18 ID:OGoFSPxK0
>>871
たぶん今まで報告あがった奴見るとハックされたアカウントでの
該当するであろう日時でのシステムログがまるまる来てるとおもう。
以前はプリントアウトでそれが送られてきていたけど探すのが紙媒体だときついって
苦情送ったから変わったのかも。
そこから自分の接続したおぼえのないIPアドレスをさがして捜査してくださいっていうのだとおもう。

873 名前:(○口○*)さん:09/04/20 03:52 ID:JYI8pMAFO
アカハクとかじゃないと思うんだけどラグナ公式の上にあるメニューバーの
遊び方→ギルドってところ見ようとしたらページが真っ白に(;゚д゚)

パンヤみたいにシステム改竄されてたりしないよねガンホーさん(´;ω;`)

874 名前:(○口○*)さん:09/04/20 07:16 ID:Y4pn165gO
>>872
やっぱIP関係だよね
何となく予想は出来てたけど
事が事なだけにどうしても後回しにされがちなんだよなぁ
警察も資料届いてから4日くらい封も開けてなかったよ
やっぱ警察に指示して動いて貰わないとダメなのかな

875 名前:(○口○*)さん:09/04/20 16:31 ID:OGoFSPxK0
>>874
サイバー犯罪対策課があるところならある程度早い段階から動いてるだろうから
多分生活安全課が兼務してるところだとおもうが、いま春の交通安全運動期間中だからそっちとの兼ね合いがあったり
家出人や自殺者があったりすると一気に忙しくなるからそこは向こうの忙しさとの兼ね合いかと。
まあ、進展が無いようだったら週1くらいで様子を聞くようにすればある程度はすすむんでないかい。

876 名前:(○口○*)さん:09/04/20 18:49 ID:iuy+bU+R0
警察に届けて、調査してもらうことになって連絡待ちのままもう5ヶ月経ちましたよ。
どうも急かしたり催促しにくいんだよなぁ・・・。

警察だって法的に被害者がガンホーである以上、
1プレイヤーの補填のために捜査しなくちゃならない義務は無いんでしょ?
時が経てば冷めてくるのもガンホーの思惑通りっぽいけどさ。

ま、1回確認ぐらいは取っておくか。
相手方の空気読んで、乗り気じゃ無さそうなら諦めて捜査打ち切って貰うよ。

877 名前:(○口○*)さん:09/04/20 20:28 ID:vzxIjjFV0
警察は被害者のためではなく、犯罪者を捕まえるために動くものでしょ。
補填のためとか義務とか関係ない。

捜査の打ち切りも、告発状を取り下げるならともかく、被害届
レベルでは関係ないはず。
警察は告発に必要な証拠を集めていて、集まったら検察行き。
「もういいです」なんて言いに行く必要は無し。

878 名前:874:09/04/20 23:49 ID:MtI7kDFF0
>>875
一応2週に1回くらいで連絡してるよ
ホントは警察とガンホーの間でやり取りしてもらうのが一番早いんだけど
どうも両方とも面倒事扱いしちゃってるからなかなか進まないんだよな

>>876
警察も同じような事言ってたな
普通ならガンホーが被害届けを出すはずなんだけどね、って
ガンホーのデータベースに不正アクセスされてる訳だし
ごもっともな意見なんだけどね

879 名前:(○口○*)さん:09/04/21 13:18 ID:fXL++LCS0
mixiに貼られてたらしきもの。検出率悪いので提出してくるかな…。

p://www■youturebe■com/watch/sm6713261■zip

ttp://www.virustotal.com/analisis/4b9be44f4132e4a0076a682f2994703b sm6713261■zip(14/39)
ttp://www.virustotal.com/analisis/dd4e9c13d2b9619c1e9f3ff62c0af492 sm6713261■exe(14/40)

880 名前:(○口○*)さん:09/04/21 22:02 ID:fXL++LCS0
KasperskyとF-Secure製品でシステムファイルを誤検知
http://internet.watch.impress.co.jp/cda/news/2009/04/21/23230.html

881 名前:(○口○*)さん:09/04/22 00:04 ID:gT1AWrF70
危険なリンクを事前警告するソフト「AVG LinkScanner」無料公開
http://internet.watch.impress.co.jp/cda/news/2009/04/21/23225.html
実際にこれインストールしてみたけど、対応しているのはIEだけかな?SRWare Ironで試した見たけど効果無し
これをインストールした状態でこのスレに出てるアドレス数個にアクセスしてみたら
きちんと遮断されていたからそこそこ使えるかも、後は日本語化と対応ブラウザの増加かな

882 名前:(○口○*)さん:09/04/22 00:17 ID:ZIIBBsVa0
>>879
うへ…これはうっかり踏みそうなアドレスだなぁ
改めて気を引き締めないと…

883 名前:(○口○*)さん:09/04/22 00:31 ID:bCsFMCJp0
>>882
zipとかrarだったら気をつければいいだろうに。

884 名前:(○口○*)さん:09/04/22 01:50 ID:O6FXtDDF0
>>880
既に誤検知食らっているんだが、どうせそうだろうと思ったよ。
こういうのはソフトウェアの信用を落とすので、すり抜けと同じくらい由々しき問題だと
個人的には感じている。

885 名前:(○口○*)さん:09/04/22 05:44 ID:4HwpMGQi0
>>880
このスレ読む人で使ってる人がいるかどうかわからんけど、
@niftyの常時安全セキュリティ24もカスペルスキー利用なので
同様の誤検出しました。

いま該当パッチの再update完了したところ…。
OS再インストールまでしてなくてよかった。

886 名前:(○口○*)さん:09/04/22 06:33 ID:bCsFMCJp0
>>881
そういや、Dr.Webにも似たようなのあったな。
http://drweb.jp/support/link_checker.html

887 名前:(○口○*)さん:09/04/22 07:45 ID:J801d31U0
このスレの連中ってセキュリティソフトは何使ってるんだろう
殆どカスペなのか?

888 名前:(○口○*)さん:09/04/22 13:56 ID:bCsFMCJp0
>>887
1年ほどカスペ使った後、OS入れなおすついでに、AntiVirに変えたよ。
 ・AntiVir+PG2+PCtoolsのFW(+Spaybot,Spaywareblaster)
 ・常駐しない右クリックからのスキャンにBitDefenderとa-squared(どっちもフリー版)を入れてる
 ・VirusTotalUploaderも入れて右クリックからVirusTotalに投げれるようにしてる。

ノートン→NOD32→ESS→カスペ→(F-Secureとかも試用したがすぐ消した)→AntiVirと変遷してきたかな。
メインのPC(RO+ネット+趣味の検体捕獲)はこれで使いつづけるかな。
                 ↑良い子は検体捕獲は別PCか砂箱使おうね。

他のPCでは、KingsoftとかAvastとかAVGとかMcAfee(ISP提供版)も使用中だったり、過去に試用してたりって感じ。

検体提出のお礼だとかで中国のセキュリティベンダーAntiy Labsから2年分のライセンスを貰ったんだけど
使う気ないんだよね…これどうしよう。検出率がアレなんで、知り合いに使わせる気にもなれないし。

889 名前:(○口○*)さん:09/04/22 17:06 ID:w3LksEv40
重要度“最高”1件を含む脆弱性9件を修正した「Firefox」v3.0.9が公開
ttp://www.forest.impress.co.jp/article/2009/04/22/firefox309.html

>本バージョンでは9件のセキュリティ問題が修正されており、うち1件は重要度が4段階中の“最高”に位置付けられている。
>内容は特定状況下でメモリが破壊される脆弱性で、条件が整えば任意コードの実行を引き起こすおそれがある。

890 名前:(○口○*)さん:09/04/22 20:19 ID:AwBUZ29V0
鯖板でハック踏んじゃった;
すぐにパスを変えてOSインストールしなおした
あとはROだけだがあと30分ぐらいだ

891 名前:(○口○*)さん:09/04/22 20:46 ID:AwBUZ29V0
終わった・・・
ひさびさにROできそうだったから(四日ぶりだが)
ETにワクワクしながら板や掲示板を巡回
仕事行く前の8時ごろにハック踏む

すぐにパスなどを変更

HDDフォーマットで放置で16時帰宅

OSインストールしながらTV見てた

OS,ROインスコ終わり

ROでキャラ全部消えた

さようなら・・・

892 名前:(○口○*)さん:09/04/22 20:52 ID:9KIneLIO0
えーと
それはもしかしたらスクルドトラップかもしれないから
冷静に自分のワールドグループを確認するんだ

あと消えたというのがハックによるなら
パス変更はどこからしたの?
ウィルスはいったPCからしてもダメなんだよ?

893 名前:(○口○*)さん:09/04/22 21:01 ID:N83Q8vhR0
>>891
スクルド鯖が出来てワールドグループがズレてるんだって
早く確認する作業に戻るんだ

894 名前:(○口○*)さん:09/04/23 00:12 ID:6rR7Hh/X0
スクルドトラップは慣れないとマジ心臓に悪いよなwwwwww

895 名前:(○口○*)さん:09/04/23 00:36 ID:htO29TP/0
そもそも課金済みの垢では、スクルド鯖に繋がる前に弾かれるんだが。

896 名前:(○口○*)さん:09/04/23 00:37 ID:uPbICmhZ0
お前は「スクルドトラップ」を誤解している

897 名前:(○口○*)さん:09/04/23 09:03 ID:z2esmRc30
だからあれほど「スクルドトラップ注意」って名前のキャラを作っておけと

898 名前:(○口○*)さん:09/04/23 09:24 ID:9goCgMvIO
>>895
さっさとワールド234のどれかの鯖に移住するんだ

899 名前:891:09/04/23 10:16 ID:r/+/Q9cL0
ワールドが1個ずれてただけだった・・・
騒いですみませんでした;
>>892そうなんだね
昔ってハックかかったらパス変更してからHDDフォーマットでも
よくなかったっけ?
ROにつながなければ大丈夫な時代は終わったのかぁ
とりあえずもう1回パスとか変えますー
それでは良きROライフを〜

900 名前:(○口○*)さん:09/04/23 11:11 ID:j+f4aTnW0
>>891
何事もなくて良かったなw
スクルドトラップには要注意だw

901 名前:(○口○*)さん:09/04/23 11:12 ID:5CKZo20I0
前から「携帯」や「安全な別PC」で変更ですのでお気をつけて。
アカハック踏んだPCでHDDフォーマット前に変更したら
ゲームパスどころかメルアドや登録した個人情報も全て筒抜けになり自爆です。

902 名前:(○口○*)さん:09/04/23 11:14 ID:5CKZo20I0
あ、あとその環境がない場合はパス入力系の行動は一切せずに
必要なものバックアップしてフォーマットやリカバリしてまっさらの状態にしてから変更でも大丈夫です。
今の所は踏んだ後パス入力系の行為をしなければ抜かれませんので。

903 名前:(○口○*)さん:09/04/23 20:15 ID:r/+/Q9cL0
今日は遅番から帰宅〜
>>900,901,902ありがとう!

904 名前:(○口○*)さん:09/04/24 18:48 ID:5X/374cv0
つい先ほどモンクWikiのメニューが全部>>185にされてた
今はもう直ってますがとりあえず報告だけ

905 名前:(○口○*)さん:09/04/24 20:32 ID:ChsR6t3Z0
物質スレで質問出てたんだけど、バスターでRagexe.exeの許可出すときにマウスが動かなくなって
許可出せないのはどう対処するんだっけ?

906 名前:(○口○*)さん:09/04/25 00:16 ID:ZV/0G7h60
>>930
スレ違いっぽいが,おまえのPCにはマウス以外にも,入力機器があると思うんだが?

907 名前:(○口○*)さん:09/04/26 08:47 ID:aYUTy/Vm0
tp://www■adobeus■com/go/getflashplayer/flashplayer■exe

USドメインだけど、検出名からするとWoWのアカハック。
ROに関係あるかどうかは知らないけれど、一応報告。

ttp://www.virustotal.com/analisis/b8d827a0533bf85bf966e10170b8eaa1 flashplayer■exe(15/40)

908 名前:(○口○*)さん:09/04/26 12:43 ID:aYUTy/Vm0
>>907の件、情報提供元からコピペ

>616 名無しさん@お腹いっぱい。 sage 2009/04/26(日) 12:07:03
>情報としてはこのへんかな
>Fake Flashplayer installer get wild
>http://www3.atword.jp/gnome/2009/04/26/fake-flashplayer-installer-get-wild/
>
>adobeusって紛らわしいなあ

abuseだとUSって出たけど、cnの間違いみたい。リネージュ資料室のPG2リストの範囲外ぽいから
このフェイクドメインの範囲も手動で追加しといた方がいいかもなー。

909 名前:(○口○*)さん:09/04/28 14:38 ID:3qQsgCN20
firefox 3.10リリース
ttp://www.mozilla-japan.org/security/known-vulnerabilities/firefox30.html#firefox3.0.10

910 名前:(○口○*)さん:09/04/28 22:12 ID:vx9+5VPMO
nPro更新された?

911 名前:(○口○*)さん:09/04/28 22:19 ID:f1p8dayp0
されてない

912 名前:871:09/04/29 13:19 ID:7Lq9nzslO
一度報告したので一応経過報告
無事アイテム復活してもらうことが出来ました
丸々四ヶ月かかりました。一応移動させられたアイテム特定にあと三週間くらいと、
復旧作業に二週間くらいかかるらしいので実際五ヶ月かな

被害受けてしまった人に少しでも希望を!諦めずに頑張ってください

913 名前:(○口○*)さん:09/04/29 13:34 ID:tP3Lqd+i0
とりあえず復旧までの手順と、せっついた経緯を教えてくれると嬉しい
捜査を加速させるために何をすればいいのか?っていう知恵はけっこう重要かも

914 名前:871:09/04/29 14:48 ID:7Lq9nzslO
今ちょっと仕事中なんで帰ったら流れを書き込みますよ

確かに、こうしてたらもっと早く終わっていたかもっていうのはあったので

915 名前:(○口○*)さん:09/04/29 17:30 ID:YEmLBVPG0
Adobe Readerに未解決の脆弱性、アップデートは準備中
ttp://www.itmedia.co.jp/enterprise/articles/0904/29/news003.html

>US-CERTによると、この脆弱性はJavaScript機能関連のエラーに起因する。
>悪用された場合、リモートの攻撃者に任意のコードを実行される恐れがある。

>影響を受けるのはAdobe ReaderとAcrobatの現行バージョンである9.1と8.1.4、
>7.1.1までの全バージョン。
>Adobeは各バージョンとOS向けに、脆弱性解決のためのアップデートを開発中。
>リリース日程が決まり次第、公開する予定だとしている。

>Adobeはアップデートが公開されるまでの回避措置として、Adobe Readerと
>AcrobatでJavaScriptを無効にする方法を紹介している。

916 名前:(○口○*)さん:09/04/29 18:36 ID:4hqpD8QH0
>>912
お〜おめでとう!
自分のとこにも今日連絡が来たので、
一斉に処理しだしたのかな?
なんか同じ管轄の匂いがする・・・w

917 名前:(○口○*)さん:09/04/30 12:30 ID:k1xwQsgWO
携帯から失礼します。
友達が垢ハックされたんですが二回目でもガンホーは対応してくれますか?

本人曰く昨日はケミwikiのスキル詳細をみただけらしいですが…

918 名前:(○口○*)さん:09/04/30 12:55 ID:U2q9bbue0
ここに聞くより癌に連絡したら?

919 名前:(○口○*)さん:09/04/30 13:14 ID:sM3vXUoX0
復旧は一回のみみたいな事書いてあった気がするけど、
さすがに詳しい事はユーザー側にはわからないので
ガンホーに問い合わせてみるしか無いかと。

920 名前:(○口○*)さん:09/04/30 13:26 ID:hskkleFA0
>>919
その記述に見覚えあるんだけど、今公式調べたら見つからなかった。

921 名前:(○口○*)さん:09/04/30 14:32 ID:k1ZUcx3h0
公式じゃなくて、警察の捜査終わって癌から届く復旧確認のメールに
書いてあるんじゃなかったっけ?
「今回は補填してやるけど、次はないぞ?」的な。

922 名前:まとめ臨時 ◆kJfhJwdLoM:09/04/30 16:52 ID:jau3wBV/0
>871,912,916
救済報告が連続して…。
もしかしたらサイバー課で調査した結果が纏めて各所にって印象。
救済おめでとうございます。そしておつかれさまです。


>>917
とりあえず内輪で推測しあうよりは、
被害を受けた本人が
ガンホーのサポートセンターに問い合わせたほうが早いと思います。
電話だと早そうですけど、もうやられてしまった後なら
クリーンインストールしながらメールの返事を待ったほうがいいかもです。

やらないよりは、やっるだけやって待ったほうがよいかも。


>>919-921
テンプレにもあるアルケミストサービスの方のところに
アイテムを復旧する際の確認メールの部分に記載があるようです。
以前こちらにあった救済された報告でもそんな事があった気がします。

923 名前:(○口○*)さん:09/04/30 21:04 ID:SAg2veufO
>>917
確かにアイテム復旧は一回、って記述はあった。
ただ完全に別件で期間も開いてるならやるだけの価値はあると思う
組織ぐるみでやられるのを警戒してるんじゃないかと
もしくは、足りないアイテムがあってもそれは復旧しないよ。って意味だと思う

924 名前:(○口○*)さん:09/05/01 13:37 ID:ixW0ebti0
【      気付いた日時          】 2009 5/1
【不審なアドレスのクリックの有無 】 ケンセイWiki http://taekwon■s239■xrea■com/index■php?%A5%CD%A1%BC%A5%E0%A5%EC%A5%B9%A5%A2%A5%A4%A5%E9%A5%F3%A5%C9
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【    ツールの使用の有無      】 No
【  ネットカフェの利用の有無    】 No
【     OS    】windowsXP SP3
【使用ブラウザ 】FireFox 3.10
【WindowsUpdateの有無】 先週の土曜日
【 アンチウイルスソフト 】 avast
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 F-Secure nifty オンラインスキャンで発見されず
【スレログやテンプレを読んだか】 Yes
【hostsファイルの変更】無し
【PeerGuardian2の導入】無し
【説明】 ケンセイについてグーグルで調べていて、「アヌビス アプチャ」でググると上にあるケンセイWikiのページがでてきたので、踏むと
タブのタイトルが文字化けしていてページは真っ白でした。(何回か踏んだけど全部同じ)
ケンセイWikiから探すと同じアドレスのページがあり、踏むと普通に表示されるようなんですが、これはウイルスとは関係ないのでしょうか?

925 名前:(○口○*)さん:09/05/01 15:06 ID:865vO4rZ0
どうせエンコード違ってただけだろ

926 名前:(○口○*)さん:09/05/01 15:57 ID:ixW0ebti0
ありがとうございます。
でも心配性なんで、もうリカバリしちゃいました。

927 名前:(○口○*)さん:09/05/01 23:58 ID:ftK7dhW00
>>926
ならばよし

928 名前:(○口○*)さん:09/05/02 14:05 ID:4FRnEFXD0
カスペのオンラインスキャンがPCが対応してないらしく出来ないのですが、
垢ハックに対して検出しやすい他のオススメのオンラインスキャンって何でしょうか?

929 名前:(○口○*)さん:09/05/02 14:28 ID:SxQYos4M0
カスペはSunのJavaがきちんと動く必要があったような…
(そのかわりそこらのActiveXのと違ってIE以外でも動く)。

930 名前:(○口○*)さん:09/05/02 14:47 ID:VYTCBr1J0
>>928
カスペ系のオンラインスキャンを一旦アンインストールして入れなおせ。

a-squared Free でも入れて(毎回定義更新は手動だが)スキャンすればよくね?

931 名前:(○口○*)さん:09/05/02 15:25 ID:4FRnEFXD0
すいません入れなおしたら出来ました。
以前は何回入れなおしても出来なかったんですが・・・

932 名前:(○口○*)さん:09/05/02 16:44 ID:VYTCBr1J0
セキュリティWIkiの編集で、画面が真っ白になって更新できない状況になってるのでこっちにメモ。

検体提出先追加

メール
NictaTech Software <newvirus@nictasoft.com>

Webフォーム
-[[Malwarebytes>http://uploads.malwarebytes.org/]]
--ファイルサイズ25MBまで
--パスワード指定の記載がないので、パスなしZIPが無難かも

933 名前:(○口○*)さん:09/05/02 19:39 ID:RPxuBFhP0
>>画面が真っ白に

なんらかのNGワードが含まれていると、そうなる。

934 名前:(○口○*)さん:09/05/02 20:13 ID:VYTCBr1J0
アカハックではないですが、2chセキュリティ板より転記。

pdfの脆弱性を利用して感染し、バックドアを仕掛けるもの。
感染している状態で、自分のHPにftp接続すると、こいつらを呼び出すコードを
仕込んでくれるらしい。ある程度頻繁に入れ替えられる模様。

ルクセンブルクだったのがcnドメインでも出まわりだしたとか。
PG2の個人的拒否リストへの追加を推奨。

>zlkon■lv(GENOなどに仕込まれたあれ)ウイルスの新ドメイン「gumblar■cn」、ブロック推奨。
>zlkon時代と同様に更新が激しいと思われるので検出結果は一時的なものと考えてください。
>gumblar■cn/rss/?id=2 (←pdf)
>gumblar■cn/rss/?id=3 (←swf)
>gumblar■cn/rss/?id=10 (←exe)
>いずれもアクセス制御あり(pdfやswfやexeが降ってこない場合は蹴られてます)。

ttp://www.virustotal.com/analisis/6f4cfdaafafed7ee82d31a3ab44c5c4d gumblar.exe(3/40)
ttp://www.virustotal.com/analisis/2f81cb4ffdf69998e9606e217b043647 gumblar.pdf(2/40)
ttp://www.virustotal.com/analisis/400c9248635147d3e6605c118a68877c gumblar.swf(4/40)
ttp://www.virustotal.com/analisis/8ca8201a2abc0a859531f92a66b2c462 gumblar_fws.swf(4/40)
ttp://www.virustotal.com/analisis/ca6671d65e6372d91c192fa53ebd2da1 gumblar_upx.exe(5/39)

935 名前:(○口○*)さん:09/05/04 15:27 ID:LiXF602G0
ttp://www■freelotto■com/register■asp?skin=Cert&noepu=1&partner=1060373&affiliateid=
いつの間にかポップアップで開いてたんだけどこれアウト?

936 名前:(○口○*)さん:09/05/04 16:09 ID:mPIuqM/h0
>>1
>■ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ■

つーかアフィリエイトって書いてあるだろ

937 名前:(○口○*)さん:09/05/06 02:14 ID:oMMik6Qn0
mixiに報告のあったもの。

p://www■atwikisjp■com/user/3522938■zip

938 名前:(○口○*)さん:09/05/06 13:14 ID:kGYof8j80
>>937
既出(>>768)かと思ったら、ちょっと違うのか。。。atwiki人気だな

939 名前:(○口○*)さん:09/05/06 13:19 ID:oMMik6Qn0
>>937-938
ttp://www.virustotal.com/analisis/70347e7be5feb5692739a7269126c089 3522938.zip(17/41)
ttp://www.virustotal.com/analisis/9f41c85ab1c5cc3ae392cf51e2c4a894 3522938.exe(12/40)

検体提出時の状況。

言われてみれば、sが入っててドメイン違うのか。

940 名前:(○口○*)さん:09/05/06 13:56 ID:wKwOq+1+0
最近は何かとatwikiの使用が多いから、atwikiのリンクバー改竄した場合なんかにも
パッと見のリンク先を同じWiki内に見えて踏ますのが狙いかね。

941 名前:(○口○*)さん:09/05/08 19:17 ID:fz6Rhi8m0
mixiに貼られていたもの。夕飯食べたら検体提出に行ってきます。

p://www■nicovedeo■com/watch/
 p://www■nicovedeo■com/watch/Ms06014■htm
 p://www■nicovedeo■com/watch/Ms07004■htm
 p://www■nicovedeo■com/watch/MsAccess■htm
 p://www■nicovedeo■com/watch/Ms08011■htm
 p://www■nicovedeo■com/watch/Ms08053■htm
 p://www■nicovedeo■com/watch/Real■htm
  p://www■nicovedeo■com/watch/ma■exe

942 名前:(○口○*)さん:09/05/08 20:29 ID:Dyo3W0K40
これは良く見ないと普通に引っかかる奴いそうだな

943 名前:(○口○*)さん:09/05/08 21:38 ID:DP0G3TrKO
…マジで一瞬気付かなかった

944 名前:(○口○*)さん:09/05/08 22:48 ID:miYW8ZJ40
ひとまずspam.ini.phpへ追加と…

945 名前:(○口○*)さん:09/05/08 22:53 ID:FFCJFdJm0
spam.ini.phpが8058行になった
失効ドメインチェックしたほうがいいんだろうけど面倒すぎる

946 名前:(○口○*)さん:09/05/09 11:14 ID:gbkpBZhG0
アカハックされてそろそろ半年たつけど何の進展もないな。
今は月に1度ぐらい電話してるけど返答はいつも同じ・・・・
途中、こっちに報告なしで担当の人変わってるし。
担当の名前言って初めて移動しているって事実に驚愕したな。
後半年以上かかりそうだ・・・・

947 名前:(○口○*)さん:09/05/09 12:59 ID:M1C3c3Fb0
ここらへんに乗ってる ドメイン(?)をHostsファイルに
127.0.0.1 nicovedeo■com

って書き込めば、ある程度は自衛できるかな?

948 名前:(○口○*)さん:09/05/09 13:32 ID:e8EUC7U/0
>>947
なるね。そのための、hosts書換用のまとめが公開されてたり、PG2が推奨されてる訳ですから。

949 名前:(○口○*)さん:09/05/09 13:34 ID:e8EUC7U/0
>>941
今頃思い出した。Ms08011,Ms08053 以外のファイルは、なんらかのセキュリティソフトが反応してます。

950 名前:(○口○*)さん:09/05/12 16:05 ID:oZLHyC9e0

【      気付いた日時          】 2009年5月12日
【不審なアドレスのクリックの有無 】 Picoろだ
http://picopico2■dip■jp/uploader/data/1/1242048515588■3gp
【他人にID/Passを教えた事の有無】 なし
【他人が貴方のPCを使う可能性の有無】 なし
【    ツールの使用の有無      】 なし
【  ネットカフェの利用の有無    】 なし
【     OS    】 WindowsXP
【使用ブラウザ 】 Firefox2.0
【WindowsUpdateの有無】 ずっとしてないです。
【 アンチウイルスソフト 】 K7 ウィルスセキュリティ
【その他のSecurty対策 】 していないです。
【 ウイルススキャン結果】 エラーが出て検証できませんでした・・・。
【スレログやテンプレを読んだか】 はい
【hostsファイルの変更】なし
【PeerGuardian2の導入】なし
【説明】 Picoロダの画像を見た際に、「JPG」だと思い込み「3GP」というファイルを開いてしまいました。
開くと、エロ画像のようなものが出てきてハッっと思いすぐにウィンドウを閉じました。
コメント欄に垢ハックと書かれていたので怖くなって質問させていただきました。

951 名前:(○口○*)さん:09/05/12 16:26 ID:sVLb8Xfb0
>>950
ここは鑑定スレじゃないけど…ただのエロ動画。青少年有害。

>コメント欄に垢ハックと書かれていたので怖くなって質問させていただきました。
これは嘘っぱち。

わけのわからないアドレスがあったらなにも考えずにアカハックと書いてまわるような善意の迷惑行為者だな。
真実かどうかには関係無く警告すればいいって考えなんだろうけど、狼が来たぞ〜じゃないんだから、
関係無い時にまで騒ぐなと。

ただ、ぴころだに乗せとく範疇のものじゃなさそうだね。

952 名前:(○口○*)さん:09/05/12 16:26 ID:sVLb8Xfb0
一応、これも張っとくか。

VirusTotalでは検出無し。
ttp://www.virustotal.com/analisis/2f9c66792c34b9ae7b171718e0f9ce25 1242048515588.3gp(0/40)

953 名前:(○口○*)さん:09/05/12 16:45 ID:IxEjsJDx0
3gpを再生出来る環境なのに3gpを知らないとかありえないな。

954 名前:(○口○*)さん:09/05/12 17:43 ID:uNo1qny90
この調子だと、QuickTimeも現行の7.5ではなく、脆弱性を抱えたバージョンのまま使っていそうだけど。
つか、突っ込みどころが大杉。

と言う訳で、>>950はせめて、
>【使用ブラウザ 】 Firefox2.0
>【WindowsUpdateの有無】 ずっとしてないです。
>【その他のSecurty対策 】 していないです。
だけでもどうにか改善する努力をしてくれ。現状のままではあまりに無防備すぎる。

本当ならば
>【 アンチウイルスソフト 】 K7 ウィルスセキュリティ
これもどうかとは思うが、まずは前述の方が優先。

955 名前:(○口○*)さん:09/05/12 19:09 ID:mPQVM6wv0
一度被害に遭うなり、ヒヤっとする経験あってこそ、
セキュリティ意識を持つようになるんだよ。
この機会にいろいろ勉強して対策取ればいいよ。

956 名前:(○口○*)さん:09/05/13 01:17 ID:7p3K98va0
USBワーム対策とスキャン軽量化「ESET Smart Security V4.0」
ttp://internet.watch.impress.co.jp/cda/news/2009/05/12/23400.html

レスキューCDはちょっと興味あるな。Dr.WebのLiveCDのように、CD起動でもパターン更新できるかどうか。
作成時のパターンでしかスキャンできないなら、効用は限定的になって、ないよりまし程度かも。


↓はアカハック関係のニュース。

mixiでコミュニティや日記にスパム投稿、ウイルス感染の恐れも
ttp://internet.watch.impress.co.jp/cda/news/2009/05/12/23405.html

告知遅すぎ。1年以上前からやられてるというのに。
トロイでmixiのアカウントとパスを抜かれて、不正アクセスで投稿しているパターンが多いことに
触れられていないところも、この告知の評価を下げているとおもう。これを踏んでからmixiの垢を
盗まれるんじゃないってのに。

957 名前:(○口○*)さん:09/05/13 02:14 ID:dU7f+xCp0
記事内容からすると、この間のニコに似せた奴に掛かった人が多かったのかもしれないね。
で、問い合わせが多くて告知出したとかかも。

958 名前:(○口○*)さん:09/05/13 08:37 ID:7p3K98va0
Adobe Acrobat Reader 更新。

959 名前:(○口○*)さん:09/05/13 08:44 ID:7p3K98va0
一応、これも張っといたほうがいいか。
通称zlkon・GENOウイルスと呼ばれている奴への対策になるか…な?

Adobe ReaderおよびAcrobat用セキュリティアップデート公開
http://www.adobe.com/jp/support/security/bulletins/apsb09-04.html

>Adobe Reader 9、Acrobat 9およびこれらの旧バージョンに、クリティカルな脆弱性が
>存在することが確認されました。これらの脆弱性が原因でアプリケーションがクラッシュ
>したり、場合によっては、攻撃者が対象システムを制御できるようになる恐れがあります。
>この脆弱性については、既にその悪用事例が報告されています(CVE- 2009-0658)。
>
>Adobe Reader 9およびAcrobat 9をご利用のお客様には、Adobe Reader 9.1およびAcrobat 9.1への
>アップグレードを推奨します。Acrobat 8をご利用のお客様にはAcrobat 8.1.4へのアップグレードを、
>Acrobat 7をご利用のお客様にはAcrobat 7.1.1へのアップグレードをそれぞれ推奨します。
>なお、Adobe Reader 9.1へのアップグレードを望まないAdobe Readerユーザの方に対しては、
>Adobe Reader 8.1.4アップデートおよびAdobe Reader 7.1.1アップデートを用意しています。

960 名前:(○口○*)さん:09/05/13 09:47 ID:7p3K98va0
…やられた。

最新だと思っていれたら、AcrobatReader 9.1.1→9.1.0 に戻された(笑)
9.1入れちゃった人は、更新チェックして、9.1.1にしとくよーに。Webのインストーラ古いぞ〜。

961 名前:(○口○*)さん:09/05/13 10:15 ID:5diuAgY3O
誘導されましたので、こちらで改めて相談させてください。

自宅PCがもしかしたらマルウェア?って言うのに侵入されたかも知れません。

このマルウェアを自分なりに少し調べた所、危ないプログラム?などを勝手にDLするとか書かれてましたが
マルウェアってROの垢ハクウィルスみたいに入力した情報を飛ばすキーロガー?みたいな事ってやりますか?

後、そのDLって侵入されてたらすぐさま実行される物ですか?それと、その際の怪しいDLの挙動って目に見えて解りますか?
今のところ、怪しいDLの挙動や残り容量の増減は確認出来ないのですが、もし目に見えない裏ででだと心配なので。

後、今のとは別件ですが、カスペルキーのオンラインスキャンをやろうとした所
うちはOSがXPのブラウザはスレイプニルでやってるんですが、まずスキャンの制約に同意
次にチェックをするためにファイルのアップデートを行い、その後にようやくスキャン開始になると思いますが
このアップデートの際に、ファイルの取得に失敗?とかってありえるのでしょうか?

最後の更新が失敗とか出て、もう一度ファイルを取得してくださいとか警告が出てしまいます。
なので仕方なくもう一度アップデート行っても、なぜか更新に失敗とかでアップデートする事が出来ません。

ちなみに、このカスペルキーのアップデートファイルはPCのどのフォルダに保存されてるんでしょうか?
タグブラウザのスレイプニルでやったのが悪かったか?と思うので、そのアップデートファイルを一度消して、IEで再取得したいと考えているのですが。

それとも、これはマルウェア?とかが本当に侵入していて、オンラインスキャンをさせない様に阻害してるんでしょうか。


お手数ですが、詳しく解る方は助言お願いします。
特に怪しいサイトを見たり、ファイルをDLしたとかは無いはずですが。

一応、スペックなどは夕方帰宅後なら書けます。今の話だけでも、なんとなくコレじゃないか?など心当たりがあれば教えてください。

962 名前:(○口○*)さん:09/05/13 10:43 ID:qUu20tb50
>>961
初心者である→ http://pc11.2ch.net/pcqa/
初心者ではない→ http://pc11.2ch.net/sec/

963 名前:(○口○*)さん:09/05/13 12:03 ID:x3+iixiT0
>>960
自分はいまだに8だったので今回9を入れようとFTPを見たら
バージョン9.1.1は約2MBの.mspファイルしかなかった。
9.1.1は現状パッチだけの提供でフルパッケージはまだないのかな?

>>961
ここは情報提供スレであって質問スレではないというのが定説らしいよ

964 名前:(○口○*)さん:09/05/13 12:10 ID:qUu20tb50
>>963
そういうこと。フルパッケージ落とすと9.1.0が降ってくるので
ヘルプから更新するか直接パッチ拾うかになる。

965 名前:(○口○*)さん:09/05/13 12:30 ID:X6XcNZNH0
>>961

・マルウェアにキーロガー機能はあるか
→あるものもある、ないものもある
・マルウェアは侵入後即常駐?
→するものもあるし、しないのもある
・常駐の様子は目に見える?
→プロセス監視ソフトを使えば分かることが多い、初戦はプログラムなので
 但しBIOSに潜むようなタイプもあるので、そういうのだと分からない
・カスペルスキーのオンラインスキャンでファイル取得に失敗
→何についてもそうだが、エラーメッセージは一言一句正確に転記すること
 そのエラーの内容で対処方法も変わる
 [ERROR: の後ろを ]まで全部書き写しよろしく
・ダウンロードしたファイルはどこに保存?
→エクスプローラーで「kso*.jar」で「c:ドライブのファイルすべて」を検索
 「ブラウザのキャッシュディレクトリではない」ようなので、何で開こうが変わらないと思われる

966 名前:(○口○*)さん:09/05/13 12:33 ID:dU7f+xCp0
カスペのオンラインスキャンはスレイプニルだとなんかうまく動かないのでIEでやるようにしてるな。

967 名前:(○口○*)さん:09/05/13 12:44 ID:5diuAgY3O
>>965
質問スレでは無いとの事なのに、詳しく返信ありがとうございます。本当に助かります。
エラーメッセージは、今出先で確認出来ないので、自宅に帰り次第改めて全て書かせて頂きますね。

>>962
こちらも帰宅後に向こうにも書いてみようと思います。
誘導ありがとうございました。

968 名前:(○口○*)さん:09/05/13 16:23 ID:ZEmeC2af0
正月明けにハッキング被害に遭った者ですが、
ようやくアイテム補填の流れまで辿りつけましたので一応報告。

警察へ届けてから4ヶ月半ちょっとで捜査終了の連絡。
以後ガンホーとの確認のやり取りに10日程(たぶんGW中だったため)。
復旧まではここから3週間〜かかるとのこと。
データ量が多いからおそらく1ヶ月ぐらいはかかると思うので、
全体でちょうど6ヶ月ぐらいでしょうか。

サイバー課のない署だったので、生活安全課でした。
捜査中に催促や確認の電話などは一切してません。

ここでの情報をいろいろ参考にさせていただいたおかげです。
皆様に感謝!

969 名前:(○口○*)さん:09/05/13 20:25 ID:7p3K98va0
おつかれー。アイテム復帰(予定)おめでとう。

970 名前:(○口○*)さん:09/05/13 20:51 ID:0craP10U0
遅くなりましたが、>>961です。
カスペルキーのエラーメッセージは以下の様なものでした。
----

アップデートに失敗しました。プログラムの開始に失敗しました。
オンラインスキャナのウインドウを一旦閉じ、再度開いてプログラムをインストールしてください。

オンラインスキャナの定義データベースをアップデートするにはネット接続が必要です。
最新の定義データベースにする事で新しいウィルスや脅威が見つける事が可能になります。
ネット接続をお確かめの上、再度オンラインスキャナを実行してください。
[ERROR:ファイルの操作に失敗しました]

----
こんな感じになります。
ちなみに再度インストしようとしても、上記と同じ警告が出て再インストも出来ません…。

お手数ですが、改善に向けてのアドバイスお願いします。

971 名前:(○口○*)さん:09/05/13 21:03 ID:7p3K98va0
>>970
オンラインスキャンのインストールの話かな。
プログラムの追加と削除から、残骸を削除してからやりなおしてみてください。

972 名前:(○口○*)さん:09/05/13 21:04 ID:7p3K98va0
さて、970過ぎた訳だが、テンプレの変更点ある?

973 名前:(○口○*)さん:09/05/13 21:09 ID:7p3K98va0
PG2をVistaで使う場合は、PG2英語版のβしかない上に、PG2をWindows起動時に自動実行しても
動作開始しないので、別途ローダーを落としてきて、ローダー経由で起動しなきゃいけない。

その辺を上手く解説してるサイトないかな。あれば、テンプレの>3辺りで紹介したいんだけど。

974 名前:(○口○*)さん:09/05/13 21:13 ID:0craP10U0
>>971
申し訳ないです。残骸って何て名前なんでしょうか?
Kaspel?カスペル?どちらもそれらしいファイルは追加と削除には見当たらないのですが…。

975 名前:(○口○*)さん:09/05/13 21:25 ID:dU7f+xCp0
アプリケーションの追加と削除にKaspersky Online Scannerが無ければ入ってないかな?
私も昔にSleipnirでやろうとしてうまく動かないので、
そのまま何もせずIEで繋いだら出来ましたので、ちょっとIEで試してみてください。

976 名前:(○口○*)さん:09/05/13 21:36 ID:0craP10U0
>>975
「アプリケーションの追加と削除」とはコンパネの「プログラムの追加と削除」の事ですよね?
それだと、その中には英名でも和名でもカスペルキーっぽいのは見当たらないですね…。
「k」や「カ」で始まる物自体1個も見当たりませんでした。

977 名前:(○口○*)さん:09/05/13 21:41 ID:7QPtHKJn0
>>957
単にmixiでお知らせがでたからじゃないかね?
今まで無かったし

>>956
期間限定で何ヶ月かだが、無料で使えるのは良いね。
気軽に動作チェックできる。

978 名前:(○口○*)さん:09/05/13 21:44 ID:7p3K98va0
970は質問者さんだし、前後を踏んだのでスレ立て試してきます。

979 名前:(○口○*)さん:09/05/13 22:01 ID:7p3K98va0
アカウントハック対策・セキュリティ 総合スレ Lv.4
ttp://enif.mmobbs.com/test/read.cgi/livero/1242218790/

テンプレ変更箇所
・過去スレのアドレスにここを追記
・オンラインスキャナ辺りのアドレス修正
・NOD32の体験版へのリンク削除
 リンク切れ(2.7はなくなって3.0になっていた)していたのと、現状のアカハックトロイ新種への対応状況では、
 NOD32は決してお勧めできるものとは言いかねるので、削除しました。
・参考リンクの順序入れ替え
 RO公式のアドレスを先頭に。VirusTotalが落ちている時用にVirSCAN.orgも追加。
・PG2導入の手引きへのリンクと補足説明を書き足し
・aguseの説明に1行書き足し
・カスペオンラインスキャナのアドレスをグローバルサイトのものも併記

幾つか勝手にいじってしまいましたが、問題箇所があればご指摘ください。(この件は次スレの方がいいかな?)

980 名前:(○口○*)さん:09/05/13 22:07 ID:X6XcNZNH0
文章でググってみた
ttp://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1023154940
回答は「向こうの問題なので何ともかんとも」
あと「カスペのActiveXを削除」ということで、%WINDIR%Downloaded program filesも見てみたんだが
そんなActiveXコントロールはなさそうだし…

カスペの入っていないWin2000PCで、Firefox3.0.10からやってみた
プログラム・データベース共にアップデート成功、今重要な領域を検索させているけどスキャンは出来る模様

同様にSleipnir2.8.4 ビルド2804400で実行中
セキュリティを甘くして(右下盾のマークを右クリックして全てにチェック)
master.xml.klzしかダウンロードできてないが、特にエラーは出てない…?

ただこれはFirefoxで先にやっていたからかもしれない、
既に言ったように、保存される場所はブラウザに依存しないから、2度落とすこともない

なので、他ブラウザで実行してから、ぷにるでやると成功するかも
または、ぷにるのセキュリティを見直すか

個人的には、30日無料なのでこの際カスペを入れてしまうとか
何にしてもセキュリティ対策ソフトは必須

>>979
スレ立て乙です、テンプレメンテにも感謝

981 名前:(○口○*)さん:09/05/13 22:09 ID:qUu20tb50
>>974
特定のアンチウイルスの質問とかされても困るんで移動しような。
http://pc11.2ch.net/sec/

982 名前:(○口○*)さん:09/05/13 22:12 ID:7p3K98va0
>>974
>975さんの説明にあるものが入ってないのであれば、オンラインスキャナのインストールが成功していない
ことになりますね。

仮に、インストールが完了して(プログラムの追加と削除に入っている)、なおかつ、>970のエラーが出る場合
 ・マルウェアが起動を阻害している(定義サーバーへの接続ブロック、プロセスの起動ブロック…など)
 ・定義DBサーバーが落ちているか、自分の側でブロックしている
 ・カスペルスキーが入っているのに、カスペルスキーオンラインスキャナを入れようとしている(バージョン不整合)
…とか考えられるんですが、そんなことよりも

>>961
>自宅PCがもしかしたらマルウェア?って言うのに侵入されたかも知れません。
>このマルウェアを自分なりに少し調べた所、危ないプログラム?などを勝手にDLするとか書かれてましたが
>マルウェアってROの垢ハクウィルスみたいに入力した情報を飛ばすキーロガー?みたいな事ってやりますか?

「検出された名称、検出したソフト、検出したファイルの名前」をしっかり書いてください。
マルウェアの感染が確実であれば、オンラインスキャンをやろうとしても無駄ですから。

ダウンローダーは、「複数の」マルウェアを落としてきますので、アカハックのようなキーロガー系のトロイを含む
なにを落としてくるかわかりません。

ぶっちゃけると、あなたのケースの場合、PCリカバリ(もしくはOS再インストール)以外の対策はお勧めできません。

オンラインスキャナを頑張って入れて、それで除去しても無駄です。マルウェア感染中にOSの設定を書き換えられて
いたり、重要なファイルを壊されていたりするので、完全復旧は、熟練した人でも非常に困難です。
このスレの>>6を参考にしてPCを安全な状況に戻してください。

983 名前:(○口○*)さん:09/05/13 22:59 ID:0craP10U0
>>982
詳しくありがとうございます。
アレからも自分なりに色々試してみたところ、無事に正常な状態に戻ったと思われます。

大変申し訳ないのですが、正直に言いますと自分は物凄いの>>134でした。
他人のように偽ってしまい本当にすみませんでした。

最近バスタがPC起動すると急にアクセスランプが激しく光ってPCの残り容量が減り始め
大体1GBほど減るとランプの点灯がぱったりと止まって、その減ったはずの1GBが元に戻るという現象が起きてました。
更にこの状態を改善するのにバスタを一度アンインストして再インストした所
今度はPCを起動するとどう言う訳かタスクバーが無反応になる、タスクマネジャが出ないなどが起きてました。

それで、最後に物凄いの>>134の様にアンインストが出来ない状況に陥ってしまい
本当にどうしようもなくて、自宅PCのみならず携帯でも相談してしまいました。偽って相談して本当にすみませんでした。


そして改めて色々試した結果レジストリクリーンと言うツールでバスタのレジストリを削除して再起動した所
無事にバスタの再インストが可能になり、つい先程インスト&アップデート&スキャンが無事に完了する事が出来
今の所は上記に書いた異常も起きず、動作は安定している感じです。

ちなみにマルウェアが侵入したかも云々は物凄いの>>144-145さんに言われたからです。
それで自分なりに情報を調べたらキーロガーみたいなのもあると知り、不安になってこちらでも相談していました。

とりあえず、今は何も怪しい挙動等も見られないのでこのまま様子を見て
特に何も起きないならウィルスやマルウェアのせいではなく、バスタの不良?になると思います。
ただ、もしまた怪しくなったら大人しく退避出来るデータを移して、OSのクリーンインストールをしたいと思います。

おかげで本当に助かりました。どうもありがとうございました。

984 名前:(○口○*)さん:09/05/14 09:23 ID:p1+CJaz9O
先日友人から、要らなくなったPCを譲り受けました。
そのPCには元々カスペルスキーが入っていたのですが
譲り受けてからアバストに入れかえて検索したところ
デーモンツールというのが引っ掛かりました。
それは削除したのですが、友人にこの事を報告したところ
「それはDLしたファイルを読むために使ってたソフトだよ」と。
ROのセキュリティ関連のHPでは、そのフォルダがあるだけでも
やばいと言われているのに、これは一体どういう事なのでしょうか?

985 名前:(○口○*)さん:09/05/14 09:36 ID:UwTFA+KD0
デーモンツールは仮想CDのソフト。特定のバージョンにはスパイウェアが含まれている。

ttp://daemontools.gusoku.net/daemon_faq/
>Q:デーモンツールにウィルスが入っていると言う噂を聞くのですが
>A:デーモンツールver4以降に入っているアドウェア(スパイウェア)のことだと思います。
>  DAEMON Tools Search Barをインストールしなければ大丈夫です。インストール時のコンポーネント選択画面で
>  「DAEMON Tools Search Bar」のチェックをOFFにしてインストールしてください。また、ver3系列まではスパイウェアの
>  心配は無いので、当サイトではver3.47のインストール方法を解説しています。

986 名前:(○口○*)さん:09/05/14 10:38 ID:p1+CJaz9O
ありがとうございます。
検知に引っ掛かったのは正に「それ」でした。
削除はしたものの、何か残ってたら怖いので
(ROは削除後インストールしたのですが…)
OSを再インストールしようと思います。

しかし、普通に使うためのソフトに、ウイルスが含まれているとは…

987 名前:(○口○*)さん:09/05/14 10:55 ID:rZbQvrSx0
ク、クマー…

988 名前:(○口○*)さん:09/05/14 11:02 ID:oN63Dpv70
ファーストオーナー以外がOSを再インストールせずに、譲渡された状態のままPCを使うのは色々と問題がありあり。
セキュリティリスクになり得るソフトウェアがそのまま残っていたりするとか、システムの設定が一般的な状態でなく
使用に際して支障が生じる可能性もある。
また、ソフトウェア関係以外にも個人情報に類する物が残留していて、何らかのトラブルによって流出したりすれば
それはそれで問題になったりする訳で。
他にも、インストールされているソフトウェアがライセンス違反の状態で使い続けられることも危惧されるし。

989 名前:(○口○*)さん:09/05/14 11:37 ID:UwTFA+KD0
定義ファイル使わない国産ウイルス対策ソフト、鵜飼裕司氏ら開発
http://internet.watch.impress.co.jp/cda/news/2009/05/14/23427.html

うへぇ、ヒューリスティックのみのセキュリティソフトとはまた怖いものを開発したなぁ。
「パターンの定義」と併用して補完するから使い物になるものだと思うのだけど。

ヒューリスティックに「定義された振る舞い」以外のものはすり抜けてしまう訳で…怖い怖い。

990 名前:(○口○*)さん:09/05/14 11:45 ID:LXaS0FkS0
UNYUNが作ったんなら面白そうだ

991 名前:(○口○*)さん:09/05/14 11:47 ID:UwTFA+KD0
>>989
既存のセキュリティソフトと併用するものらしい。記事についてのコメントを撤回。

992 名前:(○口○*)さん:09/05/14 11:47 ID:oMeL6rDc0
>>989
ちゃんと読め。
「その反面、パターンファイルに依存しないため、WordやExcelのマクロウイルスなどの古いウイルスは
検知できないこともある。そのため同社は、他社製品との併用を推奨している。」

993 名前:(○口○*)さん:09/05/14 14:18 ID:dRO2e1BI0
yaraiないか!

使ってみたいモノだが、企業向けのみか…。
社長だまくらかして買ってもらうかな。

994 名前:(○口○*)さん:09/05/14 15:18 ID:UwTFA+KD0
今、流行中(?)の通称zlkon・GENOウイルス(現在は、zlkonではなくgumblarですが)に対応するには
有効だろうね。もろにこの型に対応するためのものっぽいし。HP更新するPCが感染すると、自分の所が
二次感染の加害者になっちゃうので、企業では入れといたほうが安心かもしれない。

>933
有効そうな事例(小林製薬などのzlkonウイルス感染例)
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1884

加害者になっちまうと、企業の責任がうんたら〜っつって購入して貰うのは悪いことじゃないだろう。
自社でHPの更新やってないなら他に購入理由考えてくれ。

995 名前:(○口○*)さん:09/05/14 17:33 ID:WOb7sfCX0
>誤検知を防ぐために、企業で多く使われる商用ソフトのほか、
>「窓の杜」や「Vector」などからダウンロード可能なすべての
>フリーソフト・シェアソフトについても「ホワイトリスト」として登録済み。

これはどうなんだろう危険な気もするが
企業ならサーバー側でもチェックされているから良いのかな

996 名前:(○口○*)さん:09/05/14 18:19 ID:5dvAI+lm0
Vectorって過去何度もウイルス混入騒ぎおこしてね?

997 名前:(○口○*)さん:09/05/14 19:23 ID:gCo4wV9J0
>>990
その名前久々に聞いたw
Officeが馬鹿なハッキングデモやらなかったら、今頃なにしてたんだろうな。

998 名前:(○口○*)さん:09/05/15 07:03 ID:psmG02sG0
埋めついでに

本物そっくりの「Flash Player」偽サイト出現、目的はウイルス配布
ttp://itpro.nikkeibp.co.jp/article/NEWS/20090514/330029/

IE8だと警告してくれるな。IE7でもなるかな?
このドメインのトップページを開こうとするとAdobeの正しいサイトに飛ばしてくれる。

検体入手元
p://addobeflashplayer■com/flashplayer/thankyou/?installer=Flash_player_10_for_windows
p://addobeflashplayer■com/get/flashplayer/current/install_flash_player■exe

うちの環境では、(↓の上の方)が落ちてきた。
他の人が落としたら、同じアドレスで別のもの(↓の下)が落ちてきたそうな。

ttp://www.virustotal.com/analisis/5d6e8f1c4e61ec70f9aeb8dac954ea87
ttp://www.virustotal.com/analisis/56af703e9e0ecedd0e64ff99a841fc94

999 名前:(○口○*)さん:09/05/15 07:05 ID:psmG02sG0
zlkon(gumblar)といい、これといい、環境によって落ちてくるものが違ったり、
感染できそうにない環境だと落ちてこなかったりするのは厄介だねぇ。

1000 名前:(○口○*)さん:09/05/15 07:05 ID:psmG02sG0
では、次スレへ

アカウントハック対策・セキュリティ 総合スレ Lv.4
ttp://enif.mmobbs.com/test/read.cgi/livero/1242218790/

1001 名前:1001:Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。


全部 最新50
DAT2HTML 0.35f FIX Converted.