全部 1- 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 最新50


セキュリティ対策、質問・雑談スレ
1 名前:(○口○*)さん :07/03/14 22:14 ID:3rddyMdg0
アカウントハックが横行する昨今、セキュリティに関して話し合いましょう。
・ウイルスソフトやスパイウェアチェックソフトなどの質問。
・アカウントハック対策に関しての討論など。

アカウントハックの危険性があるURLは「.」を「■」に置き換えて貼り付けください。

最新の予防策などはこちらで
アカウントハック総合スレ 5
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1170419695/

2 名前:(○口○*)さん :07/03/14 22:29 ID:YUtjy03e0
予防策
回線切って首つって死ね

3 名前:(○口○*)さん :07/03/14 23:04 ID:sxY64XIf0
こっちにも書いとこう。
各Wikiからの外部リンクはもう必要ない気がする。
スレへのリンクも特に必要もない気もするしね。
よくスレを見る人はにゅ缶などをブックマークするなり専ブラ入れるなりでいいし、
その他外部へのリンクはスレに張っておけばいい。
もしくは信頼できるファンサイトから飛べばいい。
Wiki=ハックの最大の標的になっちゃってる感じだし、考えてみてもいいかもしれない。

4 名前:(○口○*)さん :07/03/14 23:07 ID:wg0On0250
最近はアトラクションセンターへログインする際には、1CD Linuxを使うようにしています。
比較的安全と思われる1CD Linuxですが、何か落とし穴とかはないでしょうか?
こんな危険性があるよ、とかありましたら、指摘して頂けないでしょうか。
ネットバンキングやネットショッピングでも1CD Linuxを使っているので、いろいろと打てる手は打ちたいと思ってます。

HDDはもちろん使わず、USBメモリに環境を保存とかも全くしていないので、
毎回まっさらの状態(OSクリーンインストール状態)で立ち上がると考えて良いと思います。

5 名前:(○口○*)さん :07/03/14 23:12 ID:NaBf9fPf0
きちんと対処できる知識と腕が有るところなら良いんだろうけどね。
そうじゃないところは自動リンクやらファイルのアップロードを禁止するだけで
低コストに安全寄りにできるし。管理人が居てきちんと判断取れればの話だが。

そういえば先日の件でリネージュ資料室さんに突撃した輩が多かったみたいだねぇ
(ソース:管理人さんの日記)。内容に関しては言及してないけどなんか予想できそう。
ちょっと溜息。

6 名前:(○口○*)さん :07/03/15 00:52 ID:oygr13iv0
>>4
落とし穴という訳ではないが、OS並びに内蔵ソフトがimage make時点で固定されてる点には注意
通常のHDDインスト型OSと違ってセキュリティ的な穴が見つかった場合OnlineUpdateで修正って訳には行かないので、
各自使用者が配布元なりを巡回して確認→CD焼き直しって手間がある所
基本的に1CD Linuxは実績ある枯れたカーネル利用してるから
それほど確認頻度はいらないと思うけど…ね
(Winほどセキュリティホールを狙われる訳ではないが注意点としてね)

7 名前:(○口○*)さん :07/03/15 01:11 ID:4CA60NGx0
Knoppix使うたびにPC再起動するくらいなら、中古のノートパソコン買ってきて
Linuxインストールして使った方が利便性よくない?
懐次第だが・・・

8 名前:(○口○*)さん :07/03/15 01:13 ID:Wkc0tYqZ0
VPC使えばいいじゃない

9 名前:(○口○*)さん :07/03/15 01:48 ID:lwUf/aTd0
1CD LinuxからでもローカルのHDDをマウントできる(=参照できる)のが落とし穴といえば落とし穴

わたしは各情報サイトはiBook G4上のOperaとかケータイのPCサイトビューアーで見てる

10 名前:(○口○*)さん :07/03/15 07:12 ID:EMPDHDm30
>>5
こういった、自分の無策は棚に上げて人の瑕疵を糾弾する輩が増えたから、情報サイトやWikiの管理人も
早々に畳みたくなるわな。

11 名前:(○口○*)さん :07/03/15 11:31 ID:RQ7BjGgk0
>7
使い方によるんじゃないか?

ネットブラウズにWin使わないようにするなら仮想PCなり別PCなりでLinuxその他の非Win環境を
作った方が利便性は高い。
単にハクられた時のために安全な環境を準備するのが目的なら、使用頻度も低いし1CD Linuxを
1枚焼いておくだけで済む。

自分はどちらかといえば後者の考え方。
仮想PC環境にLinux入れてて緊急用に1CD Linuxを用意してるが、普段はIE系タブブラウザ愛用。
慣れた環境を捨てるのに抵抗があるので、PG2等含めた各種対策で普段から注意した上で
緊急用の環境を準備、って感じ。


>10
あの件で教訓になるのは、資料室クラスのセキュリティ情報サイトであっても無条件に安全と
思ってはいけない、という事。
万全の対策が無いのと同様に、ヒューマンエラーが皆無ってのもありえないわけで。

しかしそこまでクレームメールが多いとか聞くと、ハク犯が組織票的にクレームメールを
送りつけて萎えさせてサイト閉鎖に持ち込もうとしたんじゃないか、とか思いたくなる。

12 名前:(○口○*)さん :07/03/16 00:15 ID:nMcvO5GA0
----------相談用テンプレ----------
● 実際にアカウントハックを受けた時の報告用

【      気付いた日時          】 (被害に気付いた日時)
【不審なアドレスのクリックの有無 】 (blog/bbs/Wiki等で踏んだ記憶の有無とそのアドレス)
【他人にID/Passを教えた事の有無】 (Yes/No)
【他人が貴方のPCを使う可能性の有無】 (Yes/No)
【    ツールの使用の有無      】 (Yes/No、Yesの場合はそのToolの説明)
【  ネットカフェの利用の有無    】 (Yes/No)
【     OS    】 (SP等まで書く)
【使用ブラウザ 】 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【 アンチウイルスソフト 】 (NortonInternetSecurity2007 等)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【総合スレのログやテンプレを読んだか】 (Yes/No/今から読みます)
【説明】
(被害状況を詳しく書く)

13 名前:(○口○*)さん :07/03/16 00:15 ID:nMcvO5GA0
● 怪しいアドレス?を踏んだ時用

【  アドレス   】 (ドット(.)を■等で置き換える事。h抜き等は駄目)
【気付いた日時】 (感染?に気付いた日時)
【     OS    】 (SP等まで書く)
【使用ブラウザ 】 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【 アンチウイルスソフト 】 (NortonInternetSecurity2007 等)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【スレログやテンプレを読んだか】 (Yes/No/今から読みます)
【説明】
(『怪しいアドレス』との判断した理由、症状を詳しく書く)

14 名前:(○口○*)さん :07/03/16 13:50 ID:rYnyKtqR0
136 :(^ー^*)ノ〜さん :07/03/16 12:24 ID:OSeBMiF30
これでもみて落ち着け
ttp://up■uppple■com/src/up2551.jpg

MMO-BBS弓手系の情報交換スレ 228
より抜粋

アップローダーそのものはノーマルのもの。
Jpeg偽装でもってくタイプですね
即座にウィルス警告だしてくれた人がいたので心配はないと思うけど一応。
会話の流れがヒートしてたところにだしてきたし、中華以外かしら(?´・ω・`)

一応実際に狐からファイル保存でDL、バイナリでチェックだけさらっとかけました。
Avastさんはトロイと認定っと。相変わらず重いけど優秀(でも時々スっとろいねん)な子だ。

15 名前:(○口○*)さん :07/03/16 14:11 ID:9JrFx3340
見事に踏んだ俺がここにorz

16 名前:(○口○*)さん :07/03/16 14:12 ID:chP61uxzO
質問なんだけど、PG2で中華IP全面遮断している状態で、
転送URL経由で踏まされてもブロックしてくれる?

17 名前:(○口○*)さん :07/03/16 14:25 ID:9JrFx3340
専ブラJaneで開いた場合もマズイ?

18 名前:(○口○*)さん :07/03/16 14:26 ID:K92v11Lj0
>>14のをJaneとOperaで踏んでしまったのですが、大丈夫でしょうか?
とりあえずウィルスバスター2007で検索かけて怪しいのは消しましたが、それじゃ足りないですか?

19 名前:(○口○*)さん :07/03/16 14:34 ID:Fa4dgJa80
>14-15
拾ってきて中身見たが、笑い事ではないが別の意味で笑った。
ブラクラだけじゃなく、かなり重複してるがbbs-qrcodeやzhangweijpのアドレスがあった。
よくまあ100kb超えるだけの代物にしたもんだとちょっと感心。

>15含めて踏んだ人は早急に駆除しないとヤバい。

これは本スレにも報告した方がいいと思われ。

>16
される。
PG2は通信先のIPを見てブロックするので転送や別ドメインを取られてもブロックされる。
転送URLとかだとhostsの変更だけではブロックできず、だからPG2の導入を勧められる。

20 名前:(○口○*)さん :07/03/16 14:40 ID:o4YB2q050
ちょっと自分の気に食わないことがあると垢ハックサイトを貼る馬鹿が増えてるな
憎むべきBOT中華に自分が貢献してることや
自分が踏んでしまった時や自分の友達が踏んでしまうかもしれないことを良く考えて欲しいものだ
自分がいかに最低なことをしているか

21 名前:(○口○*)さん :07/03/16 14:43 ID:Fa4dgJa80
>17-18
Iriaで引っこ抜いてエディタで中身みただけなので、Janeでどういう動きするかは不明。
怖くてブラウザで見る気にはなれん。

iframeが数え切れんほど仕込まれていて、ハクウィルスへの誘導だけじゃないと思われる。
マルウェアの詰め合わせセットとしか思えない内容。
アドレス的にポルノ系やらのリンクもあるだろうし、マルウェアとしては定番のSystemDocterやらの
罠も入ってても不思議じゃない。

てかここまでの詰め合わせセットだと、駆除が大変というかHDDフォーマットしてOS再インストール
するほうが早いかもしれない。

22 名前:(○口○*)さん :07/03/16 14:46 ID:9JrFx3340
よりによってそんなunkなもん踏んだのか俺は

23 名前:(○口○*)さん :07/03/16 15:19 ID:nMcvO5GA0
>>22
うん。OS再インスコいってらー。

IEで拡張子によらず云々無効にしてから開いたら、htmlのソースが表示された。
このケースの場合なら大丈夫なんだけどな。

ソースではなく変なもんがすがす表示された場合、今回は、HDDフォーマットが最善かと。
確実に、除去よりそっちのが早い。

24 名前:(○口○*)さん :07/03/16 15:21 ID:9JrFx3340
踏んだPCで癌とROパス変更してしまって、ヤバイ事に気がついて別PCから再度パス変更
したんだが、これはどうなんだろ。踏んだPCで変更したのはマズかったが再度変えたから
変わんないかな?

25 名前:(○口○*)さん :07/03/16 15:24 ID:9JrFx3340
>>23
んーIEじゃなくてJaneStyleで開いて、Janeのビューア?で開かさって
ifremeがどうとかの文字列がずらーっと出てきた。これでもアウト?

IEの設定で「IEで拡張子によらず云々無効」にはしてある。

26 名前:(○口○*)さん :07/03/16 15:33 ID:o4YB2q050
どうでもいいから再インスコしてからパスをさっさと変えたほうがいいと思う

27 名前:(○口○*)さん :07/03/16 15:38 ID:9JrFx3340
じゃ諦めてリカバリかけますわ_| ̄|○
別HDDにバックアップ取ってないデータがあるんだが…
OSのリカバリだけでいいかな?何度もすまん

28 名前:(○口○*)さん :07/03/16 15:42 ID:nMcvO5GA0
>>25
それならセーフの可能性が高い。(保証はしないので自己責任で)

そのファイルを読んだ時点ではセーフ。実際にiframeのリンク先が読み込まれた時点でアウト。

29 名前:(○口○*)さん :07/03/16 15:43 ID:o4YB2q050
大丈夫とかはわからないけど感染の有無もわからないなら安全をとってOS入れなおしたほうがいいとしか言えない
大丈夫かなとかしか書いてないがウイルスチェックはしたのか?

30 名前:(○口○*)さん :07/03/16 15:44 ID:kf+l6pn10
基本はHDDフォーマットの上、OS再インストール。
それで他ドライブにウィルスが入り込んでもレジストリはクリーンなので起動時に
読み込まれることは無い。

入れなおした後WindowsUpdateによる各種パッチ当てとウィルス対策ソフトの導入。
それで全ドライブをスキャンする。

パスに関しては別PCから変更してるから問題ないはずだが、今回のそれはどんなタイプの
ものが入ってるか分からない。
ネットワーク経由で感染するウィルスとかが入ってる可能性も十分あるので、別PCの方も
チェックしたほうがいい。
万全を期すなら1CD Linux使ってそちらからパス変更してはどうだろうか?

31 名前:(○口○*)さん :07/03/16 15:51 ID:3J9ZyEJQ0
>>24
ちなみにGunghoIDやアトラクションIDは変更することができないから、
一旦漏れてしまったら、PWを変更しても以前と同じ安全度にはならないことに注意しよう。
(IDもPWも知られていない状態が理想)

IDが漏れた場合は、特にPWの設定に注意すべし。
短いPWや辞書単語や以前と類似したPWは絶対に避けよう
(まあID漏れて無くても避けたほうがいいけど、特にということで)

32 名前:(○口○*)さん :07/03/16 17:14 ID:8Pqq7QbS0
ROのアカウントと同時に msnのアカウントをも盗み出すと思われる
ものもありますので、ROだけでなく (使っているなら) msnの
パスワードも変更しておくべきかもしれません。

33 名前:(○口○*)さん :07/03/16 17:23 ID:72TAAB5b0
どんな物がUPされてたのか気になったのでアクセス…してびっくり。
凄まじい悪意の塊だね、これ。アカハクアドレスも含まれて入るけど、
JavaScriptのブラクラ、普通のイメタグからメーラを立ち上げる
懐かしいタイプのブラクラも含まれてる。懐かしいといえば c:/con/con
もあったゾ。
そして『SourceCheckerOn-line Ver 1.54b3 』なんて文字列。
SourceCheckerOn-lineさんの検索ログでも引っ張ってきたんかなぁ…
公開されているか知りませんが。

どうもごった煮の感じからして、アカウントハッカーではなく悪意の誰かが
完全なる悪意の下にやったんだろうと推測。アプロダに管理者に連絡先が
あったら連絡するんだが…。

34 名前:(○口○*)さん :07/03/16 18:06 ID:Q/V+tfCU0
すでにあぼーんされてるけど、書き込んだ奴も書き込み永久停止くらいしないとダメだろこれ

35 名前:(○口○*)さん :07/03/16 18:23 ID:chP61uxzO
>>34
むしろリアルBANが相応かと。

36 名前:(○口○*)さん :07/03/16 18:34 ID:8XgsRSqY0
これは実質被害(金銭的にも)が出るものだから、日本国内からであれは逮捕可能かだろう。
実際被害出ている人も居るだろうし、出てる人は癌胞とサイバー警察に被害届出しておけ。
にゅ缶の管理者さんも警察からログ提出要請来た場合には応じてくれるだろうし。

37 名前:(○口○*)さん :07/03/16 18:59 ID:LBf5i+lH0
三田寛治、ν速+でよく張られる罠サイト誘導(の改変版?)かな。
URLそのまま、ソースチェッカーに投げ込んだら、[このアドレスの安全度 0%]と出てきてほろりときた。

時節柄、春が来ちゃった輩の仕業なのかもね。

38 名前:(○口○*)さん :07/03/16 19:24 ID:L9NJGDCR0
>>14のアドレスをソースチェッカーオンラインでソース見てて、
URLがいくつかあったのでそのままソースチェッカーオンラインで確認しようとして押したところ、
NOD32のウィルス警告が発動したのですがこれはNOD32の検知率が良すぎるからでしょうか・・・
カスペでは何も出なかったしFirefox使用してますし、ソース表示させただけで警告が出たので冷や汗。

39 名前:(○口○*)さん :07/03/16 19:59 ID:LBf5i+lH0
>>38
ブラクラ目的スクリプトを検知する場合、必然的にソースコードの一部をパターンマッチングする事になる。
結果として、ソースチェッカーが表示目的で出力した部分も、診断に引っ掛かる可能性がある。
一応念の為に、NOD32の検出ログに目を通した方が良いかもしれないが。

40 名前:(○口○*)さん :07/03/16 20:11 ID:L9NJGDCR0
>>38です。早速ありがとうございます。
ログでは、
ウイルスの可能性 : VBS/LoveLetter.BC ウイルス の亜種
と表示され、隔離して切断しておきました。

VBS/LoveLetterについて調べてみて、Windowsのファイル等も調べてみましたがそれらしいものは無かったので、
一応大丈夫かな・・・とは思います。
お答え頂きありがとうございました。

41 名前:(○口○*)さん :07/03/16 21:19 ID:ZMREVXG80
IEのセキュリティ設定についての質問です

信頼済みサイト以外のインターネットでACTIVE XやJava以外も
「IFRAMEのプログラムとファイルの起動」に「ダイヤログを表示」と設定し
信用が出来ないサイトでは、ほとんど全て「いいえ」で通しています

これは最近のようなトロイの予防策として有効でしょうか?
ただ無駄なことをやってるだけでしょうか?

ちなみに、真っ白なページしか出ないことがよくあり、
そういうときは諦めるか、火狐にURL貼って見ています

42 名前:(○口○*)さん :07/03/16 21:35 ID:mUg4UjlQ0
上の人がきいてるけど、この真っ白なページって何なんでしょ?

43 名前:(○口○*)さん :07/03/16 21:54 ID:ZMREVXG80
>>42
例としては今IE経由でiTunesのアップデートを
落とそうとしたら、途中で真っ白な窓になったので、
FireFoxでやりなおしました

IFRAMEとは関係ない設定のせいかもしれません

44 名前:(○口○*)さん :07/03/16 22:57 ID:3J9ZyEJQ0
iframeの簡単なテスト方法

1.メモ帳で空のファイルに以下の1行をコピーし、拡張子をhtmlにして保存(例 iframe.html)

<iframe src="http://www.google.co.jp"></iframe>

2.作ったファイルを今使っているブラウザで開く。

googleが開けば、iframeはちゃんと機能してる(=無効になっていない)ということになる。

45 名前:(○口○*)さん :07/03/16 22:59 ID:72TAAB5b0
全てScriptやなんかで記述されているページなんだと思う。試しにソースを
見てみると良いと思うよ。
あと、JavaScriptとJAVAは別モンだって定番の突込みを念の為。

Script系とかを嫌うわけじゃないし、適材適所ってのも分かるんだけど
OFFでもせめて『〜をONにしないと利用できません』という表示くらいはして欲しいよね。

あと、FirefoxでScript等のON/OFFを容易にするお勧めのプラグイン。
http://noscript.net/
通常は全部OFF、でもって信頼できるSiteを突っ込んでいく方式。

46 名前:(○口○*)さん :07/03/17 00:40 ID:SraUKERp0
スレの使い分けが微妙な件。
結構あちらにも(こういっちゃ失礼かもだが)無駄レス多い。誘導レス
入れたとしても仕切り厨といわれかねないからな。

方向性はっきりさせないとスレを分けた意味が無いからやるなら
スレが分かれ始めた今しかないと思うのな。公式告知を貼るスレと
その突込みスレ位までの厳格運用は要らないとは思うけど、でも
そのレベルには近づけた方が良い飢餓。あっちのスレのS/N比は
できるだけ高くに維持しなきゃ。

こっちの方がレベルが、ってレスされてるけどそうそう新情報は出て
こないと同時に素朴な質問を抱えている人はそれこそ星の数ほど居るからねー。
それはそれでそう見えるのはしょうがないかと。結果的にあっちのスレにも
書いたほうが良いと思うものがあったら転載すればいいし。

47 名前:(○口○*)さん :07/03/17 01:23 ID:a+t/bi1d0
>>45
NoScriptだと許可にしても表示できないページない?

48 名前:(○口○*)さん :07/03/17 02:04 ID:59JqJOKw0
スレの方向性&使い分けもう少しはっきりしたほうがいいに自分も一票。

結局二つとも読むことになってるのと、なんかこの話題はどっちってのが難しい。

特に被害に会った人の相談→対策についての書き込みや、新たな手口に対する警戒など、
これはできればログが残るMMOBBSのほうが後から検索しやすい点でいいと思う。
なぜなら、今後同じような被害に会ったときの対処方法や、手口としてのまとめは
MMOBBSのほうに集約されてたほうがいいと思うから。

また、ガンホーに対する愚痴や叩きっぽい雑談はいちいちログに残らなくていいやと思うんだけど…
こういうの書き込みする人はわざわざスレッドを選んで書き込むとも…正直思えない。

「このURLって危ない?」といった鑑定っぽいものはこっちでしようよって言ってたけど、
実際にNG判定されたものはログ残るほうにフィードバックしたほうがいいと思うとか。

色々と「バラバラになってしまった」感が個人的にはぬぐえない。

だからどうしたらいいと思う とまとめられないのがもどかしいんだが…なんかいい方法ない?

49 名前:(○口○*)さん :07/03/17 02:09 ID:sHOnBPGH0
結局は垢箔業者と自治厨に振り回されてるだけですな

50 名前:(○口○*)さん :07/03/17 02:47 ID:rYc+hioG0
にゅ缶にここと同じタイトルでもう一個建ててもらうとかはどう?

51 名前:(○口○*)さん :07/03/17 02:48 ID:/Gmix/Ix0
何がしたいんだw

52 名前:(○口○*)さん :07/03/17 03:00 ID:uPEqc7qC0
両方見てる人が殆どだろうけど、スレ違いになる部分(雑談等)の話題が
本スレで発生した場合にスルーするか、こっちに誘導するか、を徹底するしか
ないと思う。

基本的に向こうはハクアドレス等の情報を集約する場と考えて行動していけば
自然と棲み分けが出来ると思う。

こっちでハクアドレスが判明したら、向こうにフィードバックしていけばいいし。

53 名前:(○口○*)さん :07/03/17 07:22 ID:yt3UkfHo0
一覧に復帰させる為age

54 名前:(○口○*)さん :07/03/17 08:33 ID:1xjww1FZ0
FirefoxとかIE以外のブラウザって、自分は試してみようと思うけど、
PCが分からない他人に薦めにくいのが難点かな、と思ってる。
また、家族とか友達とかにも薦めたはいいけど、メンテはどうしよう?とか
アカハックスレにあったFirefox推奨ってのは良く分かるんだけど、
結局薦めるだけの投げっぱになってるのが気になった。

55 名前:(○口○*)さん :07/03/17 08:43 ID:yt3UkfHo0
>>54
取り敢えず、IEで拡張子関係無く開いてしまう機能をOFFってのが無難な解決策だと思う。
但し、XP以上でないと設定できない罠。

56 名前:41 :07/03/17 09:14 ID:dL+Z/hQc0
レスありがとうございました

>>44さんの方法でiframeをテストしてみたら、Googleの小窓が開き、
「スクリプトを実行しますか?」のダイアログが

「IFRAMEのプログラムとファイルの起動」に「ダイヤログを表示」の設定が
効いているのがこれで分かるということなのでしょうか

>>45さんの書き込みを読んだ後、別の白ページのソース
を見てみたら、「Refresh」タグがあるページでした。
今回の場合は次に飛ばないから真っ白だったんですね

定番のつっこみありがとうございます 
JAVAとかActiveXとかJavascriptとかVBSとか
区別がつかないので、とりあえず全てOFFにしてます

57 名前:(○口○*)さん :07/03/17 09:34 ID:ixqVNXwX0
>>54
まずはIEエンジン使っているブラウザで、スクリプトやActiveXのON-OFFが簡単に切り替えられるものなら
敷居が低いし、そっち方面にも興味を持ってもらいやすいかも。

でも機能が充実してるものも多いので、ますますFirefoxに移りづらくなってしまう諸刃の剣でもある。

58 名前:(○口○*)さん :07/03/17 09:58 ID:1xjww1FZ0
>>55
XPなので、拡張子関係なく開いてしまう機能OFFは全部のPCにやったかな。

>>57
なるほど、少しずつ興味を持たせていく感じのがいいんだろうね。

なんていうか、家族のPC全部オレの責任とかにさせられるから、まいってしまって…
愚痴ばかり書いたのに冷静なレスありがとう。

59 名前:(○口○*)さん :07/03/17 10:57 ID:X+HXTROW0
>スレの使い分け関係

MMOBBSのほうはアカハックURLや踏ませる手口の情報収集及び各手口への対抗法まとめ(事前対策)
らいぶろは踏んだ人・まだ踏んでないけど踏んじゃったときどうすればいいか知りたい人からの相談(事後対策)や、他セキュリティ関係の雑談
って分けるのに一票。

つーか現状踏んでワタワタしてる人をらいぶろに誘導できるだけで
MMOBBSのほうの情報密度をぐっと上げれると思うんだけどな。


>>48
なんか混乱してるなw
>特に被害に会った人の相談→対策についての書き込み
これはやっぱらいぶろに誘導したい。事後対策だし。
被害にあった相談者が欲しいのは、
「今踏んだアカハック手口に二度とかからないための対策」じゃなくて
「アカハック踏んじまったからなんとかするための対策」だろ。
前者(事前対策)はログ残したいけど、後者(事後対策)はもういいよ・・・言えること決まってるもん。
後者の場合大抵が似たようなこと相談にくるんだし、1スレッド分のこってりゃ十分だと思う。

新規ウィルス・新しい手口のを踏んだ人がらいぶろに相談にきた→MMOBBSに手口と対抗策転載
とでもしないと今までと同じようにMMOBBSに相談者が溢れてしまうと思う。

60 名前:(○口○*)さん :07/03/17 11:21 ID:UbEcczCH0
BSスレのMMOBBSのアプロダにある
2295のJPEG画像をかちゅ〜しゃで開いてしまいました。
画像が表示されただけで特に何も出ませんでしたが、
その後のレスでこれウイルスって出てました。
これは感染しちゃったんでしょうか…

61 名前:(○口○*)さん :07/03/17 11:30 ID:PXkcji310
それウィルスじゃないよ。唯のくだらない画像。
♪ ∧,_∧
   (´・ω・`) ))
 (( ( つ ヽ、 ♪
   〉 とノ )))
  (__ノ^(_)

62 名前:(○口○*)さん :07/03/17 11:34 ID:UbEcczCH0
>>61
あ、ありがとう〜。不安で仕方ありませんでした;;
良かった〜。念のためオンラインスキャンもかけてみます

63 名前:(○口○*)さん :07/03/17 11:34 ID:yt3UkfHo0
>>60
垢ハック詰め合わせなら削除されて、次に投稿された普通の画像が同じ番号で見れるようになってる。
単にそれだけのこと。

64 名前:(○口○*)さん :07/03/17 12:12 ID:Ebm7jhTB0
>>54
| 家族とか友達とかにも薦めたはいいけど、メンテはどうしよう?

今のFirefoxは新しいバージョン出たら勝手にダウンロードして
次回起動時にインストールする設定になっているので、古い
まま放っておかれるようなことは起こりにくいかも。


>>58
家族のPCは全部私が管理していますが、IEもOEも最初から無いもの
として環境設定しちゃうので全員Firefox使い。

良くわからないまま IEの設定をいじりまわすのは、かえって危険に
なる場合だってあるので、普段使いは Firefox、問題あるサイト
(DELLとか…)のために素のままのIEを残す方法を取っています。

# 客先のPCも そうできたら楽なんだけどなぁ。
# 動かないからってなんでも信頼サイトにぶち込むとかやめてよね。

65 名前:(○口○*)さん :07/03/17 12:41 ID:rYc+hioG0
>>60>>61
MMOBBSのアプロダは前のファイルが削除されると番号が詰められてしまうので、
さっき踏んだURLが今は安全ということにはなりませんので注意です。
とはいえ一日も二日も経っているなら大丈夫だと思いますが。

66 名前:(○口○*)さん :07/03/17 14:12 ID:O1l0//Nv0
MMOBBSの方ってなんだ?RAGNAROK板もLiveRO板も両方MMOBBSなんだが
他にもスレがあるの?

67 名前:(○口○*)さん :07/03/17 15:04 ID:Az544vQE0
一般的に
この板=LiveRO
アカウントハック総合スレのある板=MMOBBS(旧称にゅ缶)
と呼び分けてると思う

68 名前:(○口○*)さん :07/03/17 15:25 ID:rYc+hioG0
MMOBBSアプロダの事

69 名前:(○口○*)さん :07/03/17 15:32 ID:Zi5aYE+p0
>>67
俺もそう読んでたけど、たしかに言い方はおかしいなw

70 名前:(○口○*)さん :07/03/17 15:40 ID:1jPYpj250
>>56
44です。

>>「IFRAMEのプログラムとファイルの起動」に「ダイヤログを表示」の設定が
>>効いているのがこれで分かるということなのでしょうか

いえ、「IFRAMEのプログラムとファイルの起動」の設定とは全くの無関係です。
普通にgoogleを開いても、「スクリプトを実行しますか?」のダイアログは出ると思います。

[ツール]-[インターネットオプション]-[セキュリティ]-[レベルのカスタマイズ]を開いて
[スクリプト]-[アクティブスクリプト]が「ダイアログを表示する」になってれば、
「スクリプトを実行しますか?」のダイアログは出ます。
※アクティブスクリプトとは具体的には JavaScript(JSciprt) および VBScript を指すようです

私が調べた限りは、IEでiframeタグそのものを無効にする方法はないように思います。
「IFRAMEのプログラムとファイルの起動」を無効にしたとして、
具体的に何をブロックしてくれるのかが私にも良く分かりません。
(自分で安全なスクリプト書いて実験するしかないかなあ・・・)

ちなみにOperaではブラウザの設定で簡単にインラインフレームを非表示にできますが、
これも内部的には読み込まれていて、単に表示がOFFになってるだけな可能性もあります(未確認)

71 名前:(○口○*)さん :07/03/17 15:48 ID:JGZ3VtkD0
すいません、垢箔セキュリティとは違うと思いますが、ROセキュリティ関連ということで
こちらで質問させてください(MMOBBSもみましたが、該当スレ見つけられませんでした)

webmoneyで癌コイン買おうとしたら、webmoneyのページが「証明書が発行されてません」
「他のサイトがwebmoneyのサイトに偽装している可能性があります」という記述の警告が
出たのですが、これって癌が癌の自サイトもセキュリティ○投げで危険ってことでしょうか?
結局自分では危険と判断したので1day使いましたが・・・

詳しい方、解説お願いできますでしょうか?

72 名前:(○口○*)さん :07/03/17 15:49 ID:oDGrq0mP0
>>71
SSLの証明書期限が切れているのでは?
証明書の中身を見てみたらどうだろう

73 名前:(○口○*)さん :07/03/17 16:00 ID:JGZ3VtkD0
>>72
なるほど
ご返答ありがとうございます
今証明書見ようとしてwebmoneyページに飛ぼうとしたら、今度は警告無しですんなり
webmoneyページに飛んでしまいましたので、見れませんでした
一時的なものだったのでしょうか?

74 名前:(○口○*)さん :07/03/17 16:08 ID:qaIEl1FY0
今webmoney.ne.jpのSSL証明書を確認すると
有効期限が2007/03/16からになってるな。
SSL証明書の更新の途中で起きた一時的な不具合と見ていいんじゃないかな。

75 名前:(○口○*)さん :07/03/17 16:19 ID:JGZ3VtkD0
ありがとうございます

タイミングだけの問題だったみたいですね

76 名前:(○口○*)さん :07/03/17 16:33 ID:NYEfdHtt0
SSL証明書の運用絡みもそれなりに手間ではある、が。
ttp://slashdot.jp/askslashdot/article.pl?sid=06/10/21/001219

77 名前:(○口○*)さん :07/03/17 18:17 ID:hF2OofEw0
とりあえず「PCのことなんてわかんね」って人用に面倒でもやるべきこと まとめ(XPの人用)
重要なところは【】でかこっといた

1 WindowsUpdateをする
  手順:スタート→全てのプログラム→WindowsUpdateとクリックし、【高速ボタンで全てインストール】

2 ウィルス対策ソフトを導入する
  めんどくても必ず何かしら入れること
  推奨は【NOD32】、【カスペルスキー】のふたつのうちどちらか
  無料のソフトもあるのでその辺は検索のこと

3 InternetExplorerの設定
  スタート→コントロールパネル→ネットワークとインターネット接続→インターネットオプションを開く
  上のメニューから「セキュリティ」を選び、「レベルのカスタマイズ」をクリック
  中ごろにある【ページの自動読み込み】を【無効】にする
  その下にある【ポップアップブロックの使用】を【有効】にする
  そこからもう少し下のほうにある【拡張子ではなく、内容によってファイルを開くこと】を【無効】にする

4 2ちゃんねるブラウザ等の掲示板ブラウザの画像プレビュー表示機能、オートリンク機能をオフにする
  これは各ソフトで設定が違うので各ソフトのヘルプ等を参照のこと

78 名前:(○口○*)さん :07/03/17 19:25 ID:NSipGTQQ0
ソースチェッカーで、「このアドレスの安全度 93%」とか出ると、
ビビッて飛べない俺はチキンですか?
職業別のWikiが見たいんだけど、ヤバイ話ばかりで見れない。
見てもだいじょうぶなWikiってあります?

79 名前:(○口○*)さん :07/03/17 19:28 ID:u4mzXGUd0
wikiがやばいんじゃなくてwikiからリンクした先がやばいことがあるってだけじゃ

80 名前:(○口○*)さん :07/03/17 20:19 ID:qaIEl1FY0
私個人の話だが
アカハックのVBScriptが仕掛けられてるページで
安全度100%と出たことがあるので、安全度に関しては全く信用してない。

81 名前:(○口○*)さん :07/03/17 21:04 ID:GuswfYTR0
そんなに不安なら、デュアルブートなり仮想PCなりで、
仮に感染しても大丈夫な環境を用意しろとしか言えん。

82 名前:(○口○*)さん :07/03/17 23:47 ID:uPEqc7qC0
>81
仮想PCは便利だよな。
WindowsなりLinuxなり環境を作って検証終わったらイメージ削除で処理終了。
一度作ってそれをコピーしておけば再構築する手間が省ける。

Windowsの場合はライセンスの関係で少々問題があるが、Linuxならその問題も
無いし、ブラウズするだけならLinuxに不慣れでも必要十分。

垢ハクが流行りだした頃にどういう画面が出るのかを見たいがために仮想PCと
Linuxの組み合わせを使ってたんだが、その便利さから最近はネット関係は
全部仮想PC立ち上げてLinuxでやってる。

ちと重いのが難点だが、間違えて罠踏んでも環境を使い捨てに出来る点と
コピーするだけで元に戻る手軽さ、つまり安全性が魅力的。

83 名前:(○口○*)さん :07/03/18 04:01 ID:VckVQq2Q0
ググるのマンドクセ('A`)な人に送るポリン向け用語解説

※スクリプト
 ブラウザに於ける○○スクリプトとは、ブラウザ上で動的な表現を行ったり
 入力に対し計算し結果を表示するといったHTMLだけでは実現できない事を、
 ブラウザ側でプログラムを実行して可能にするスクリプト言語の事。
 サーバー側でこういった事を実現させる仕組みもあり、また場合によってはFlash等の
 プラグインでも似たような事ができるので、初心者には識別は難しいかもしれない。

※JavaScript
 ネットスケープがサン・マイクロシステムズの協力を得て開発したスクリプト言語。(名前似てるけどJavaとは別物)
 Netscape Navigator→FirefoxのMozilla系ブラウザに搭載されている。
 広く一般的に使用されておりJavaScriptがonでないとまともに見られないサイトも多い。(RO公式は典型的な例)
 VBScriptよりは致命的な被害は受けにくいが油断は禁物。ぁゃιぃサイトに行く前にはoff推奨。
 頻繁にメニューからたどってon/offするのは面倒な為、FirefoxにはPrefBar(ttp://prefbar.mozdev.org/)
 のようなアドオンが存在する。

※Java
 広い意味ではサンが開発したJava言語そのものや、その実行環境を意味する。
 ブラウザ上で実行されるJavaのアプリケーションは「Javaアプレット」と呼ばれる。
 JavaScriptよりも高度で強力な事ができるが、現在一般的なサイトではほとんど使用されていない為
 「Javaを有効にする」のチェックボックスは常時OFFにしておいてかまわない。(むしろOFF推奨)

※アクティブスクリプト
 IE(IEエンジンまたはIEコンポーネント)で使用するMicrosoft製スクリプト実行機能。
 JScriptとVBScriptの二つをまとめてアクティブスクリプトと呼んでいる。

 ○JScript
  MicrosoftがIEでもJavaScriptが動作するように互換性を持たせて開発し、更に独自技術を追加したスクリプト言語。
  JScriptと言っても一般人には通用しないので便宜上JavaScriptと呼ぶ事もある。
 ○VBScript
  Visual Basic風味のスクリプト言語。機能の強力さゆえに諸刃の剣(諸悪の根源)となっている。

 IE単体でアクティブスクリプトのon/offを行うには、インターネットオプションのセキュリティでやるしかないので
 非常に面倒。外部のツールを使い簡単に切り替えを行う方法もあるが、IEエンジンに拘るならば
 Sleipnir等のIEコンポーネントブラウザを導入した方が建設的だと言えるかもしれない。

84 名前:(○口○*)さん :07/03/18 04:02 ID:VckVQq2Q0
※プラグイン
 本体であるアプリケーション(ここではIEやFirefox)にあとから機能を追加する仕組みのプログラムの事。
 AdobeのFlash・Shockwave・Acrobat Readerや、ビデオ関係のプレーヤーなどが有名。
 当然セキュリティーホールも存在し狙われる事もある。
 IEやIEコンポーネントブラウザが使用するActiveXコントロール版と
 Firefoxやその他のブラウザが使用するNetscape Plugin型の2種類がある。

※ActiveX
 ActiveXというのはMicrosoftが開発した「インターネット関連技術の総称」なので
 どういう物なのかを簡単に説明するのは不可能です。またインターネット関連だけに使われている訳でもありません。
 ウィルスで主に利用されるのはこの内の「ActiveXコントロール」と呼ばれる仕組みで、そのプログラムは
 VBScriptで読み込みを開始させて(セキュリティの設定で有効にしてあると)自動的にダウンロード・実行させる事が出来ます。
 非常に高機能というかOSの用意している機能をほとんど使えるのでなんでも出来る代物です。
 ActiveXの仕組みは正しく使えばホントに便利で、「Windows Update」や「オンラインウィルススキャナ」の様に
 誰でもクリック一発で目的を達せられる優れものなのですが、最初からセキュリティ上問題があると指摘されてもいました。
 結局の所、業界をリードしたかったMicrosoftが目先の利便性を餌にゴリ押しした結果、
 ウィルス作者に付け込まれてグダグダになってしまったのが現状といえるでしょう。

※最後に
 アクティブスクリプト+ActiveXが必須なサイトも沢山あります。
 そういったサイトで確認ダイアログをいちいちOKするのが面倒くさい。
 取り合えず信頼できるサイトだし全部「有効」にしよう。あとで戻せばいいし。
 …と思っていたのに戻すの忘れていてウィルス踏んじゃった。・゚・(ノД`)・゚・。
 というのもありがちなパターンです。くれぐれもお気をつけ下さい。
 そういった観点からも通常時はFirefoxで本当に必要な場合だけIEという運用が
 初心者の方にはいいような気がしますが、あまりFirefoxばかりプッシュすると
 私がMozilla工作員だとばれてしまうのでこの辺りにしておきます。

85 名前:(○口○*)さん :07/03/18 04:13 ID:6h8ZA9ME0
>>83
Mozilla工作員乙。

冗談は置いておいて知らないことも多かった。為になるよありがとん。

86 名前:(○口○*)さん :07/03/18 04:54 ID:5NBbstFM0
ケミwikiみたら何も出てこなかったのはなんでダロ?
今見たら平気なんだけど
スキャンしたらポルノウェアしかでてこなかったwwwww

87 名前:(○口○*)さん :07/03/18 05:56 ID:yhhiBy5l0
ActiveXコントロールは、web技術の多様化には貢献したが、盲信的に(O)Kボタンを押すユーザーを増やしてしまった
功罪もある。
M$もVista時代にActiveXを引き継ぐ事を諦め、.NET Frameworkへの開発環境移行を促しているような状態。
今後は、webユーザビリティ、ユニバーサルデザインの観点からも、IEでしか動作しないサイトは、積極的に
「問題のあるwebサイトを報告」し、門戸を拡げるように訴えていくべき。

それと、非PC環境だと、なにげにOperaのシェアが増えているのだよな。
古くからのNetFrontとかも存在するけど。

88 名前:(○口○*)さん :07/03/18 07:41 ID:i6FpqTzL0
Operaは以前に比べてだいぶ使いやすくなったからな
確かにブラウザを変える、ってのはかなり力のいる作業だけど
セキュリティ対策のため、ってことで今から乗り換えるのなら
乗り換え先Operaってのは悪くないかも知れん

89 名前:(○口○*)さん :07/03/18 12:05 ID:ASPkRbTj0
Operaと言うとキーボードクラッシャー少年を思い出すから困る。

90 名前:(○口○*)さん :07/03/18 13:39 ID:eDizQNuLO
Operaは昔スパイウェアが入ってたから
携帯などに搭載されている以外では
何となく使う気になれない

今はFirefox使ってる

91 名前:(○口○*)さん :07/03/18 20:13 ID:9Y+iwXig0
質問させてもらいます。

普段、スレを見るときはJane Viewを使っています。
たとえばレス中にアドレスが書いてあった時にカーソルを合わせると
接続先の情報がポップアップ(?)みたいな形で表示されると思うんだけど
カーソルを合わせたアドレスがアカハクアドだった場合はアウトかな?
アカハクアドレスらしきアドレスでやっちゃったんで気になってます。。。

92 名前:(○口○*)さん :07/03/18 21:18 ID:izHMaZKH0
>>91
内部的にどうやってるのかが関係するので、「自分で確認する」か「作者に尋ねる」以外の方法では
回答は保証できない。普通に考えると、画像以外はポップアップに失敗するので読み込まれない筈。
(スキンのポップアップ用htmlでタイプが異なったら弾いてると思う)

jpeg偽装とかの場合、リンク切れ同様に×になるなら大丈夫。

どっかのあぷろだに、無害なhtmlをjpgの拡張子で置いて、どっかのテストスレッドか、自分の管理している
掲示板にリンク書込んで、読み込ませればわかる。

93 名前:(○口○*)さん :07/03/18 22:09 ID:wfP8xISe0
ttp://www.itmedia.co.jp/enterprise/articles/0703/17/news008.html
このようなパターンで感染させるマルウェアがあるようなので、ご注意を。

94 名前:(○口○*)さん :07/03/18 22:51 ID:mIfdzUB20
>>93見て思ったけどOSやブラウザ以外の更新作業ともなると素人には
つらいだろうなぁ。
WindowsMediaPlayer、QuickTime、AbodeReader、FlashPlayerに
JAVAにetcetc... 基本的なところだけでもこれだけあるのに人によって
導入しているソフトは結構違うし、バージョン違いやらも多々。どれ更新すべきって
聞かれても『全部』としか答えられないもどかしさ。
よくわから無い人は自動更新機能があるソフト等はONにすべきって方向性
なんだろうな。…PC使いこなしてる人にとっては自動更新機能は結構ウザイんで
手動でOFFに出来てほしいけど。

95 名前:(○口○*)さん :07/03/18 23:00 ID:wpieqUog0
メーカー製PCだといろんなソフトが最初から入ってるから、より一層危険だよな
詳しくない人の方がメーカー製PCを購入する割合が高いわけだし

96 名前:(○口○*)さん :07/03/19 01:51 ID:zzcJ6v+C0
そういえばWiki等にspamが有ったりアカハクアドレスが有ったのを修正した時に
報告を入れるかどうかってどっちが良いんだろ(そうじゃない物で瑣末な修正は別に
報告要らんと思うが)。

私は『きちんと利用者の皆さんで頑張ってますっ!とりあえず安全気味ですっ』ってのを
他の利用者さんにも知らせて多少は安心を提供できると思うんだけど中にはそれ系は
告知すべきでないって思っている人も居るらしい。どういう理由かは直に意見をぶつけて
ないし編集合戦になると思うからやってないけど。

確かに『spamを削除しました』って書込があるってことは『spamを受ける余地のあるWiki』
って事を示しているのは事実・・・なんだけど、メンテする利用者がいることの証明でも
あるから早々悪い事じゃー無いと思うんだけどな。Wiki本筋の更新情報とかが流れちゃうから
嫌だ、って言う趣旨なんかなぁ。
編集者としても、若しくは閲覧者としてどっちが皆にとっては好みなんだろ。

97 名前:(○口○*)さん :07/03/19 02:37 ID:gK0tC3bb0
あった方がいいと思う。

万が一踏んだ人が居て気付いてなかったら、それを見たら
ウィルスチェックなりするだろうし、それで発見出来たら被害から
逃れられるかもしれないし。

98 名前:(○口○*)さん :07/03/19 06:42 ID:MlWs9bT70
どっちが好みとかいうレベルの話じゃなくて
「垢ハク被害を減らそう」と思うなら報告を入れるべきだな。
修正した側から改竄されてるケースだってあるだろうから。

99 名前:(○口○*)さん :07/03/19 07:22 ID:HxRkkfll0
トップにハックアドレスが貼られる危険があるから注意しろって
書いてあっても踏んじゃう人がいるんだから、実際に今自分の
見ているWikiが業者に狙われているっていうことが分かった方が
いいと思う。
例え修正してあっても、また狙われる危険もあるわけだから、
利用者にいっそうの注意を呼びかける効果もあるかと。
特に最近の更新に警戒するようになると思うしね。

100 名前:(○口○*)さん :07/03/19 07:32 ID:3LRmTBve0
>>96
報告は必須。

管理者が、悪意ある改変者のIPを確認して、再発を防ぐために次回からIPブロックする設定をしなきゃいけない。

101 名前:(○口○*)さん :07/03/19 11:46 ID:uJ6bisHp0
>>96
あげた修正報告が片っ端から消えるトコありますねぇ…。
一見平和に見えるけど、隠蔽されているだけなのがたちが悪い。

102 名前:(○口○*)さん :07/03/19 12:53 ID:zzcJ6v+C0
>>本スレ83 (http://gemma.mmobbs.com/test/read.cgi/ragnarok/1173963316/83)
*.mobiドメインは『モバイル機器での閲覧を可能とするためのガイドラインを守る』事を
登録条件としているのでdotMOBIにチクれば何らかの処置を取ってもらえるかも。
実際にそういうのが対処された記事を見た事無いんでどうだかわからんのですが
(見た事無いだけで、対処されてるかもしれないけど)。

103 名前:(○口○*)さん :07/03/19 13:43 ID:eIaxDBVy0
ROとは関係ない所で怪しい物踏んで対策ソフトが怒り出した時に思ったんだけどさ
こういうのって対策ソフトがちゃんと反応した時でも感染しちゃってるのかな?
それとも反応した物についてはソフトがちゃんとブロックしてくれてるのかな?
もちろんそもそも対策ソフト自体は完璧ではないから
そんな物を踏めば同時に他の物も入ってきてる可能性というのはあるけど
ちゃんとソフトが反応した部分に関してはどうなんでしょう?

104 名前:(○口○*)さん :07/03/19 14:11 ID:Rlfsr2NH0
ソフトが把握してる種に関しては大丈夫だとおも。そのソフトがタコで無い限り。
亜種とかヒューリスティックで引っ掛けたとかの場合はちょっと不安ですがね。

大体は大丈夫、でも100%じゃないかも、と思っておきましょ。

105 名前:(○口○*)さん :07/03/19 14:56 ID:eIaxDBVy0
ふむふむ
一応他でも片っ端からチェックしてみてそれでも何もなかったから
今回は多分頑張ってくれたんだろうと思っておく事にします
どうもありがとうございましたー

106 名前:(○口○*)さん :07/03/19 16:11 ID:PwBwMlpG0
>>96
理想は、悪意ある投稿そのものがブロックできる事。
その点では、BSWikiは良い見本と言える。
次善の策として、閲覧者が気付き次第削除しつつチェックを促す事だが、PukiWikiのシステム上、どうしても
バックアップが多数作られる事になり、サーバや運営側への負荷が増大してしまう。
今では、機能している職Wikiで管理そのものが滞っているケースは無くなったが、万が一と言う事を考えると、
多少厳しめの投稿フィルタも止むなしと言える状況。

# そのあたり、「転ばぬ先の」機能は身につまされるものが。プログラマのバス事故問題みたいに。

107 名前:(○口○*)さん :07/03/19 17:28 ID:aOfHk8zE0
BS Wikiさんは別格ってのがあるけどな。

丁度アコプリスレで同じ話題が挙がってたが、Wikiで出来る対策って
・外部リンクへのクッション
・接続元IPによるアクセス制限
・禁止ワードによる書き込み抑制(危険ドメイン指定しておいて書き込ませない)
ってあたりかね?

編集用と閲覧用と分けて管理人が一括更新、みたいな案も出てたが
上の3点が出来るなら単独のWikiで十分事足りる気がする。

転送URL使われると最後のは抜けられてしまうかもしれないが、それは今も同じだし。

108 名前:(○口○*)さん :07/03/19 20:59 ID:QGRsG0ht0
垢ハクの仕組みって
ROを起動→ログインと同時に情報をうpって感じなの?
それとも情報を一時どっかに保存しておいてまとめて後でうp?
両方のタイプがあるのか?

前者なら接続を監視していればひっかかってもすぐわかるんだが・・・

109 名前:(○口○*)さん :07/03/19 22:54 ID:3LRmTBve0
>>108
後者がないとは言い切れないが、基本的に前者。

だが、FWで検知できると思わないほうがいい。

110 名前:(○口○*)さん :07/03/20 01:51 ID:qt/UC0T+0
>>108
具体的には、こんな感じ。
ttp://gemma.mmobbs.com/test/read.cgi/ragnarok/1170419695/887
現在の主流であるmaran系統だと、ターゲットプログラム(例えばROクライアント)起動を検出すると、
送受信パケット等の監視を開始。
キャラクタパスの通過が確認された段階で、取得したIDpw類を自前の収集サーバに対して送信。
この部分はHTTPでセッションが確立される。

一応は、問題国のIPに対して、受信だけでなく送信パケットも落とすようにすれば、流出を防げる可能性はある。
無論、国内に中継を立てられる可能性もあるが、こうなったら国内法の範疇になるので、むしろ摘発の機会とも言えよう。

111 名前:(○口○*)さん :07/03/20 02:51 ID:9R1U+fHY0
他人事ではない事件
ttp://www.4gamer.net/news.php?url=/news/history/2007.03/20070319150502detail.html
>「アトラクションIDならびに同パスワードを格納しているデータファイル」が削除された

>アトラクションIDおよびパスワードが格納されたファイルが外部に流出,
>または第三者に閲覧された事実はなく,
削除されたのに流出した事実が無い、って、そんな事ありえるのかねぇ?
激しく嘘臭いわけだが……

いくら対策やっても、大元から抜かれた日には何も出来んわけで。
癌がハク対策に必死なプレイヤーをどう見てるのかしらんが、運営を名乗るなら
ハクられるな、と言いたい……

112 名前:(○口○*)さん :07/03/20 03:45 ID:a2WGZa6p0
>>111
>>削除されたのに流出した事実が無い、って、そんな事ありえるのかねぇ?

多分その辺は、アクセスログを見ての判断なんだろうけど、
ログが改変されてたらどうするんだろうとか思ったり。

で、公式見ると
ttp://www.tantraonline.jp/support/news/notice/395.html

>この度の不正アクセスにより、当該ファイルが外部に流出または第三者に閲覧された事実はございませんが、
>お客様の情報に対する安全性の確保により万全を期するため、
>ユーザーの皆様のアトラクションIDのパスワードを運営チーム側で任意の文字列に一括強制変更させていただきました。

やっぱり自信なかったのね。

113 名前:(○口○*)さん :07/03/20 03:47 ID:o08ib39d0
何もしないで無能呼ばわりされるより一応の対策で念を入れることの方が正しいだろ

114 名前:(○口○*)さん :07/03/20 09:09 ID:qNAvi/5C0
一括でパス変更かけたってのは対応としては間違ってないが、これがROで起きたら
とんでもない騒ぎになるよな……
個人で完璧な対策をした所で癌から漏れたら被害にあうし。

しかし管理を何でやってるか知らないが、稼動中のDBファイルをデリられるって
ちょっと信じがたいんだが。
ファイル(DB)にアクセス出来る時点でローカルにコピーするのは容易だし。

今日のメンテの延長は、これの対策込みとかかねぇ?

115 名前:(○口○*)さん :07/03/20 09:19 ID:o08ib39d0
総合スレでRMC開いたらウイルスに感染したとの報告があり
それについてRMCの掲示板に何かないかと見てみたら垢ハックに対する意識の低さに愕然とした
URL踏んだかなと思ったらまずアトラクションでパス変えろって…

116 名前:(○口○*)さん :07/03/20 09:26 ID:TeSi3BEW0
アカウントハック総合対策スレの方で冗談混じりに言われてたけど

85 :(^ー^*)ノ〜さん :07/03/19 17:31 ID:/K8gVsHO0
いっそ各職業Wikiのタイトルに天安門や民主主義って名前入れておけば
防衛になるのだろうか・・・

wikiのTOPか各ページに白文字で書いとけば目立たないし魔除け程度にはなるのだろうか…

117 名前:(○口○*)さん :07/03/20 09:58 ID:qNAvi/5C0
中国はGoogleとかの検索に規制掛かってるのは有名だけど、串通せば見れるって話もある。
それにVPNで中継してたら検閲は逃れられる気がする。

あと今はどうか知らないけど、福建省って一部は台湾統治でもあったはず。
中華の本体が台湾って可能性だってあるし、そちら経由なら中国の検閲は逃れられるだろうし。

魔除けというより、おまじない程度な気がする。

118 名前:(○口○*)さん :07/03/20 10:41 ID:LzivEgwp0
>>117
かつての福建省(中華民国統治下)に関して。
ttp://ja.wikipedia.org/wiki/%E7%A6%8F%E5%BB%BA%E7%9C%81
福建省→台湾省の経緯
ttp://ja.wikipedia.org/wiki/%E5%8F%B0%E6%B9%BE%E7%9C%81

GDPで1桁違う台湾籍が、金銭目的でゴールドファーマーを行うメリットは殆どない。
むしろ注目すべきは、この地域が蛇頭の拠点となっている事。
それと、台湾との物流が盛んということもあって、中国内でのIT拠点という部分もある。

119 名前:(○口○*)さん :07/03/20 12:30 ID:BmkxGXPn0
>>115
アトラクションでパス変えるのも「安全な別PCで〜」ってしっかり付けないと知らない人は危ないぞ。
もし踏んだPCでアトラクションセンターにログインする時のパス抜かれたら
ROのパス取られるより完全に終わる。

120 名前:(○口○*)さん :07/03/20 13:50 ID:orYiHLni0
RMCのTOPにいっただけでウイルスに感染したとか書かれてるがそんなことできるのかね?

121 名前:(○口○*)さん :07/03/20 14:06 ID:qNAvi/5C0
>120
・鯖ハクされてた
・内通者が居た
こういう場合はありえるので、絶対に無いとは言い切れない。
鯖ハクってのがどこまで指すかで微妙に意味合いが変わるが、本スレ84が参考になるかな。

他で報告が無いなら誤検出とかの可能性の方が高い気がするが。

122 名前:(○口○*)さん :07/03/20 14:16 ID:qNAvi/5C0
あと誤検出と言えばアコプリスレでこういう報告があった。
ttp://gemma.mmobbs.com/test/read.cgi/ragnarok/1172652300/238-241n

ウィルス対策ソフトの過信も鵜呑みも禁物。

123 名前:(○口○*)さん :07/03/20 14:24 ID:pIDqslk20
というか、アンチウィルスソフトにも得手不得手、得意不得意な特徴があるんだぞ。
カスペ入れてりゃ万全、で止まるのがマズい。

124 名前:(○口○*)さん :07/03/20 14:57 ID:UddNnMwY0
気にしすぎなのかもしれないけど
「こういう報告があった」とかにしてもURLだけでなく軽く内容を書いたほうがいいと思うんだ
イキナリURL貼られてもいぶかしんじゃうよ

125 名前:(○口○*)さん :07/03/20 15:14 ID:shAx993C0
1つ質問。
hostsとPG2の対策についてだが併用するのは二重に保険をかけるためだけであって
同じ情報を盛り込んでる場合はPG2だけで事足りるからPG2を使用している場合は特に
hosts改変はしなくても良い?

hostsは指定したホスト名をlocalhostに変更して対応させてるが、危険IPが別ホスト名を
取得していた場合には無力。
PG2はIPフィルタなのでその場合もブロックされ、PG2はhosts改変で対応できる内容は全て
含んでいる。

この解釈で間違ってないなら、二重に保険かけるという点以外はPG2使用時のhosts変更は
特に意味が無いようにも思えるんだが。

もちろん二重に保険掛けてるほうが安全なのは当然なんだが、ちょっと気になって。

126 名前:(○口○*)さん :07/03/20 15:47 ID:nlvlCCpQ0
段階としてhosts→PG2なのはその通りだが、それ故PG2が最終防衛ラインであるため、
なるべくそこへ行かせないためにhostsも併用した方が得策。
また、PG2はIPでしか見ていないため、例えばhostsに登録されているホスト名にPG2に
載っていない別IPが割り振られていたりした時はPG2だけだと踏む。
以前、同じ垢ハクドメインに複数IPが割り振られていたこともあったし、同じホスト名だから
といって、IPまでいつまでも同じとは限らないわけだ。
大した手間じゃないんだから、リスクを減らすためにもそれくらいやっといたほうがいいぞ。

127 名前:(○口○*)さん :07/03/20 16:40 ID:qNAvi/5C0
>125
「同じ情報を盛り込んでる」というのが「ホスト名とIPが同じ情報であり、且つ欠けていない」と
いう意味なら、>125の言うように二重の保険の意味でしかないと思う。

ただ現実問題としてPG2のみで行った場合
・ホスト名がDDNSで取られている場合、IP変更されると防げない
・ホスト名に対して複数のIP取られてる場合(特に後から別IPを取られた場合)に防げない
・IP未取得状態(以前のguild-wars-onlineとか)だと予防が出来ない
という事がある。

なのでPG2使用時のhosts変更は無意味と言うわけではなく、むしろ必要とも言える。

128 名前:(○口○*)さん :07/03/20 16:58 ID:KZQSk8Tt0
>>122
そんな長くないし、コピペしてみる。

238 名前:(^ー^*)ノ〜さん[sage] 投稿日:07/03/10(土) 02:22 ID:OGZ22AiA0
やべぇGoogleで「シグナムクルシス」を検索したらウィルス警告ウィンドウでたwww

239 名前:(^ー^*)ノ〜さん[sage] 投稿日:07/03/10(土) 12:28 ID:vbvXOjT/0
なんでやねん(w
検索しただけで警告出るって何使ってるんだ?

ちなみにカスペ(KIS6.0)では出ない。

240 名前:(^ー^*)ノ〜さん[sage] 投稿日:07/03/10(土) 15:58 ID:OGZ22AiA0
>>239
使ってるのはNOD32
IEでもFireFoxでも同じ警告が出るわ・・・
ウィルス名はJS/Exploit.ADODB.Stream.BR トロイ

241 名前:239[sage] 投稿日:07/03/10(土) 19:18 ID:vbvXOjT/0
ちょwww
サブPCにNOD32入ってたから、そっちでやったら出てきたわwww


>238、疑って悪かったorz

129 名前:(○口○*)さん :07/03/20 17:05 ID:xFhpeHFF0
>>128
さっきNOD32の誤検知かって質問投げてきたよ。メーカーからの回答待ち。

130 名前:(○口○*)さん :07/03/20 17:06 ID:NFiwJzlX0
要するに、簡単に言うと

Peer Guardian 2: IPアドレス指定でブロックする。ドメイン名指定でのブロックはできない
/etc/hosts: ドメイン名指定でブロックする。IPアドレス指定でのブロックはできない

でいいのかな?

例として、
・転送URLを使われた場合、hostsでは防げないが、PG2で防げる。
・DDNSの場合、PG2では防げないが、hostsで防げる。

で合ってますかね?

131 名前:125 :07/03/20 17:25 ID:shAx993C0
>126-127
PG2の方が全部含んだ対策になると思ってたけど漏れが出来るのね。
今まで事あるごとに両方のリストを更新してたんだが、hostsが無駄に
なるような気がしてたんだわ。

今後も両方更新するよ。

132 名前:(○口○*)さん :07/03/20 17:27 ID:4N78vjA10
>>115
必要ないかとも思ったけど、アカウントハック関連の話題がやたらと出てるから
対策スレのテンプレから一部記載してきた。

しかし未だにアカウントハックがROだけって思ってる人多そうだね・・・orz

133 名前:(○口○*)さん :07/03/20 18:15 ID:04okQEds0
対策スレ自治厨ばっかで書き込みにくい

134 名前:(○口○*)さん :07/03/20 18:49 ID:lt+gnf+X0
>>133
あっちって単なる報告スレじゃ?
っというか実際前スレで雑談多くてログ流れが激しいからってこっち
こっち作る流れになったんじゃなかったっけ?
向こうは報告をまとめてくれてる人もいるし、流れはあまり速くないほうがいいと思う。

もし要望があるならこっちは雑談用なんだし、こっちで少し『両板の使い方について』話し合って、纏まったら
向こうに書き込んでみるとかにしてみたら?
流石にその話題を向こうでやったら邪魔になるし。
っというかこっちってそういうのも含めたスレじゃないの?

135 名前:(○口○*)さん :07/03/20 19:20 ID:FQB5breR0
>>あちらの106
このスレ二つの分離は区分を確立する前にできちゃった感があるから
> だったら初めからテンプレ以外書き込み禁止とかにすれば?と思った
ってのはしょうがないと思う。そもそもスレ更新の時期で十分な討議を
行う余地がなかった。だからそれはここで相談すればいいと思う。

>>133
自治厨とレッテルを貼って切り捨てちゃうとそこで論議が終わっちゃうから
きちんと意見を言ってほしいな。その為にこっちのスレがあるのだから。
なぁなぁですめば一番いいんだけど、不特定多数が利用する以上は
ある程度のルールは私も必要だと思うのよ。
上記の経緯もあるのでスレの色分けが今はまだはっきりしない段階。
区分をはっきりさせないと結局どっちかのスレが無駄になっちゃう。
かといって一本にまとめると『重要な情報が埋もれて』しうまう。
一方のスレの情報密度を濃くして重要情報ばかりにしちゃえば利用者に
とっても便利じゃない?あっちだけ読めば良くなるから。皆が皆
暇人じゃないのよ。

あっちのスレの98のいっている
> 此方(Rag板のスレ)はどちらかというと『(事前の)対策スレ』であり
> (事後の)『対応スレ』ではありません。
は方針としてわかりやすいものだと思うって事で同意。

個人的にはあちらは『事前対策系』かつ『確定情報系』『重要情報』とか。例えば
・新規アカハクアドレス/IPの報告
・新種ウイルス報告
・セキュリティホール情報
かな。こっちは『事後対応』『非確定情報』『相談』『質問』『アイディア』
『議論』『雑談』。そして有意義な情報や結論が出たらあちらに転載。

どんなかんじだろうね

136 名前:(○口○*)さん :07/03/20 19:27 ID:vwAob09Y0
ちょっと質問です。
最近、アプロダにjpgやgifに偽装された垢ハクマルウェアが仕込まれてるとこちらで
拝見しました。
今日、誤って某スレ(タブを一杯開いてたのでLiveROかにゅ缶のどこか判らない(´・ω・`)
に張られていたアプロダのpng画像?のURLを開いてしまったのですが、中身は白紙?でした。
これはヤバいということでしょうか。
当方OSがWin2kのため、IEのセキュリティのレベルのカスタマイズでの防御ができない状態です。
(IFRAMEタグの記載のあるhtmlファイルを作成して開いてみたところ、ダイアログ表示もなし
に見事に開いてしまいました)


【  アドレス   】すぐにそのウィンドウを閉じたため、末尾が■pngであったこと以外判りません。
【気付いた日時】本日(気づいてすぐ対策をはじめました)
【     OS    】Win2k/SP4
【使用ブラウザ 】Sleipnir Ver.2.5.10(IE6エンジン)
【WindowsUpdateの有無】最新(先日Update行ったばかり)
【 アンチウイルスソフト 】AVG(FreeEdition)Ver.7.5.446
【その他のSecurty対策 】ルータ、SpyBOT、Ad-AwareSE
【 ウイルススキャン結果】カスペルスキーオンラインスキャン・SpyBOT・AVGでは検出なし。Ad-Awareのみ危険度の低いものが出たので削除。
【スレログやテンプレを読んだか】Yes
【説明】「IFRAMEのプログラムとファイルの起動」での防御ができない現在、png画像への偽装はありうるのかどうかが不安です。

最善手がOSの再インストールなのは承知なのですが、pngへの偽装は聞いたことがないため、質問させていただきました。
よろしくお願いします。

137 名前:(○口○*)さん :07/03/20 19:47 ID:FQB5breR0
>>136
私も寡聞にして聞いたことがないですが、理論上は可能かもしれません。
尚怪しいアドレスですが、IEコンポーネントブラウザなのでIEの履歴から記憶を辿りつつ
探せば何とか見つからないかな。多分そのファイルのアドレスをはっきりさせる事が
対策への一番のヒントになると思うから。

138 名前:(○口○*)さん :07/03/20 19:58 ID:jA9JniBV0
偽装とは違うけど pngファイルを表示するプログラムにバグがあったりすると
バッファオーバーフロー攻撃とかされる可能性はある

今のところは聞いたこと無いけどねー

139 名前:(○口○*)さん :07/03/20 20:05 ID:gwn5HTaL0
流れぶったきりで質問すみません

今日もまとめサイトの方の更新されたHOSTSを書き換え作業しながら
ふと思ったのですが、「ファイルの属性の変更」って普通どうやるんですか?
(ウィルスやトロイに書き換えられるから読み取り推奨と書かれていたので)

自分はファイル名を指定して実行でノートパッドで開いて
別名で保存にして、出てきたHOSTSのアイコンのプロパティから
読み取り専用属性のチェックを外して、同じ名前で上書きして、
もいちど別名で保存にして、チェックを付け直して居ます

140 名前:(○口○*)さん :07/03/20 20:25 ID:lBMTZY0c0
>>139
エクスプローラからやるのが普通だろうけど、ファイル選択ダイアログのも
結局はエクスプローラと同じだからやりやすいほうで。

ちなみにこんな方法も。ファイル名を指定して実行で
attrib +r c:\windows\system32\drivers\etc\hosts

とはいえReadOnlyフラグも想定してないプログラムには有効だけど、
「立ってたら落としてからファイル書き換え」なんてすぐ書けちゃうから
過信は禁物。

141 名前:(○口○*)さん :07/03/20 20:38 ID:LzivEgwp0
>>136
jpgやpngに関らず、果てはoggやflvですら、サーバ側のMIME設定次第では偽装対象となり得る。
これはIEというより、Tridentエンジン自体の設計に起因するもので、前提環境での安全策は、Sleipnirの
Geckoモードを常用する事になると思われる。
ttp://www5e.biglobe.ne.jp/~access_r/hp/html/html_020.html

>>139
ReadOnlyの付与だけならその方法。
可能であれば、アクセス権をadmin及びSYSTEMのみフルコントロール、他を読み出しに限定して、
通常使用するユーザーから書換えが出来ないようにした方が良いが、XP HomeではNTFSのACL変更が
出来なかったか。
無論、OSの再インストールや、複数PC所持の場合に/etc/hostsのリビジョン管理は繁雑になるので、
より広汎に効力を及ぼし、安全性もある程度確保されたルータによるパケットフィルタリングの実施も
出来ればお薦めしたい。

142 名前:136 :07/03/20 20:40 ID:vwAob09Y0
見かけたスレを探しまくって、ググって自己解決しました。

踏んでしまったURL掲載のカキコは以下のもの。
ttp://enif.mmobbs.com/test/read.cgi/livero/1173277778/592

掲載URLは
ttp://asame2■web■infoseek■co■jp/1jojof28■png
某有名サイトのギャラリーコーナーだったみたいです。
単純に画像の読み込みが遅かっただけ?

このたびはお騒がせして申し訳ありませんでした。
今回の件を肝に銘じて、うかつにURLは踏まないよう心がけます・・・∧||∧

143 名前:(○口○*)さん :07/03/20 21:23 ID:9R1U+fHY0
>135
>そもそもスレ更新の時期で十分な討議を行う余地がなかった。
終わった事を言っても仕方がないが、前スレは大半は雑談で流れたわけで。

何度か雑談は抑えめにと指摘があったし、テンプレはどうしよう、スレ分けるか?と
と話が出たのにも関わらず、雑談が主だったので、このスレが先行して出来た。
論議出来るだけのレス残数は十分あったんだけどね。

でスレの使い分けだが、向こうは基本的に報告スレの扱いだと思ってる。
自分でリスト更新してる人なら判ると思うが、情報の拾い出しは結構大変だし。

ただ、だからといって向こうにアドレス貼るな、こっちでやれ、というのもどうかと思う。
情報としては既知のアドレスより未知のアドレスの方が重要だし、未知のアドレスだと
誰かが調べない限り判らないわけで。

雑談メインにならなければ多少は許されると思うけどね。

>130
それで合ってる。
なので両方使用する方が良い。

144 名前:(○口○*)さん :07/03/20 21:34 ID:ZURhNrKo0
前々スレあたりから そこそこ積極的に解析結果だの助言だの
危険URLだのの提供をしていたつもりだけれど、新スレに
移行後は、無駄に敷居が高くなって書きにくくなった感が
あるんです。
# どっちに書くか悩んだトコで投稿せずに捨てるとか。

私は事後対応含めて一連の情報と思っているから、逆に情報が
散逸してしまうように思ってます。スレ流れたらどっか
いっちゃう にゅ缶でもありますし。

とあるURLが黒なのか白なのかという話だって、一人が疑問に
思っているということは、書かないけど不安に思った人も
もっとたくさんいるんでしょう。

そうゆうの含めて、あっちもこっちも見ないとわかんない。

情報が埋もれる埋もれるいっても、課金アイテムがどーのとか
BOTがどーのとか、テレビ番組がどーの、ぬるぽ ガッ とか
ならまだしも、ある程度関連してるなら無駄な情報では
といっちゃっていいものなのかな。

経験上、ある程度玉石混交なくらいな場のほうが情報は
出てきやすいものですし、○○踏んじゃった系の質問
含めあっちでいったん引き受けてから振り分けるくらいが
いいと思います。

報告だけでほとんど流量ないなら、日に何度も読みません。
感染しちゃったどうしようという相談と、どうでもいい雑談が
混じる方が むしろたちが悪いかと。

145 名前:(○口○*)さん :07/03/20 21:40 ID:BmkxGXPn0
多数の返答が返ってきそうな場合はこっちって感じでいいんじゃないかな?

146 名前:(○口○*)さん :07/03/20 21:52 ID:Jv4J1FfD0
個人的な意見では
本スレは敷居が高くていいと思う。
あそこは「わかっている人たち」が「適切な情報交換」をするスレだと思ってます。

わかっていない人が質問するのは基本的にこちら。
わかっていない人は過去ログを読み返さない(偏見)のでLiveROで流れてもいい。
こちらの「まとめ」は適切にwikiなり本スレに転載できればいい。

ぐらいの使い分けなイメージ。

147 名前:(○口○*)さん :07/03/20 22:45 ID:FQB5breR0
>>146
それ結構いいかも。なんかけっこうわかりやすい。でも点プレとしてどうやって
書いたらいいんだろ。現状維持?

‥「雑談スレ池、だぁ?この俺の惚れ惚れするようなアイディアを
ごみ扱いするとは許せぬ」とか思う人が出ませんように。
# もちろん冗談です。

148 名前:(○口○*)さん :07/03/20 22:58 ID:/O2/g1Rs0
漏れも>>146と同じ考え。

「わかっている人」も自称含めピンキリだけど
「わかっていない人」も実にピンキリで、数レス前さえ読まずに投稿するようなのもいる。
それは時に重要な情報が見落とされるような流れを生んだり
無駄に荒れる原因となったりすることもある。
だから質問や雑談はこっちと区切った方が結果的にいいと思う。

重要であれば向こうに転載なり要点まとめて書き込むなりすればいいからね。

149 名前:139 :07/03/20 22:58 ID:gwn5HTaL0
ファイル名を指定して実行で出来る訳(>>140)ですね
そして>>141で教示頂いていることレベルがさらっと
こなせるようになるにはもっといろいろ勉強しないと

ありがとうございました

自分の使っているMcAfeeFireWallでは
hostsの書き換えがあるとアラートが出る設定に出来ます

問題は自分で書き換えるためにアラートを解除すると、
再びアラートが出るように戻すのが煩雑になってしまうこと

150 名前:(○口○*)さん :07/03/21 00:26 ID:VEimnFK+0
ttp://page■freett■com/clytie/

このアドレスにノートンが反応したんですが、垢ハクとの関連性はありますでしょうか?
リンク先はROのシミュレータかと思われますが

151 名前:(○口○*)さん :07/03/21 00:36 ID:WCFsVVRg0
みすとれ巣の“新しい方”のシミュレータだな。
新しいといっても三年位前の代物だが。

152 名前:(○口○*)さん :07/03/21 00:52 ID:X8goWNQz0
>>150
ただのJWORDかPOPUPのブロックだと思う。垢ハックとは無関係。

153 名前:(○口○*)さん :07/03/21 00:55 ID:E+GPtcpa0
JWordはなぁ…

154 名前:(○口○*)さん :07/03/21 01:10 ID:goaT8LaT0
多分だけど、アカハック露店が出てる。
看板が「////////////////////////」こんな感じ。
じわじわ被害が広がってる模様。

155 名前:(○口○*)さん :07/03/21 01:49 ID:VEimnFK+0
ありがとうございました

156 名前:(○口○*)さん :07/03/21 02:16 ID:yJTew5lj0
こっちも一応ログ残して、まとめサイトの方に上げてもらえないかな?
このLiveRO板の別スレのまとめサイトでも、ログまとめて残ってるし。
一応雑談とはいえ、こっちでも色々なセキュリティーに関してや対策なんかの
話題も出てるんだし。
一応向こうの◆sp4Sh9QXGI氏に聞いてみるかな。

157 名前:(○口○*)さん :07/03/21 02:46 ID:LuY8f5ZR0
Ragnarok板のトップからリンク張られているのは本スレ。何かあったとき
誘導されるのはアカハックスレって流れが現にあるわけです。

で、あせって質問するような人は、最初からあっちに書くわけで、
これからもずっと質問→雑談池ってのが続くんじゃないかと。

情報だけにしたいなら、公式HPの公知を速攻で書き写すスレ の
ような感じに完全にそれだけにするなり、(スレの使い分けも)
「わかっている人」の方こそが動くべきなんじゃないかと思うんです。

158 名前:(○口○*)さん :07/03/21 02:50 ID:E+GPtcpa0
動いてないとでも?

159 名前:(○口○*)さん :07/03/21 03:30 ID:h1mlqgBC0
アカハックに遭ってしまった場合に備えて、ちと整理しておきたいけど、

●ログインID&PW&キャラPWのみを盗まれた場合

ログインPWを相手に変更されることはないはずなので、
ログインPWをこちらで変更すればとりあえず安全な状態になる。
ただしキャラPWを相手に変更されてしまった場合は、しばらくこちらでログインできない状態になる。
電話orメールでの本人確認が必要(メールの場合、24時間365日受付、原則24時間以内に返事が返ってくるらしい)
(キャラPWを変更されてしまった場合は、既に被害に遭っている可能性が非常に高い)

●ガンホーID&PWのみを盗まれた場合

相手にガンホーPWおよびログインPWを変更されてしまうと、こちらからはROはおろかアトラクションセンターにも
ログインできない危険な状態になる。万一クレカのPWが漏れた場合は、限度額いっぱいまで濃縮を買われる可能性もある。
相手はキャラPWを知らないはずなので、空スロットがなければ、すぐにゲーム内にログインされないような気がするが
実は抜け道がある。アトラクションセンターにログインされた時点でメールアドレスが敵に手に落ちるため、
任意のキャラを削除することが可能である。一度空スロットに戻れば、キャラPWも解除されるため、
新規作成したノービスでゲーム内にログインされてしまい、倉庫の中身をごっそり持っていかれる。
(ちなみに住所、氏名、電話番号などの個人情報はメールによる認証手続きが必要なため、とりあえず漏れる心配はないだろう)

両方盗まれた場合は、もう書くまでもなくアウト。

【セキュリティ上問題と思われる点】
1.旧PWを入力しなくても、ログインPWを変更できてしまう。
2.キャラを削除するとキャラPWも削除されてしまう。

160 名前:(○口○*)さん :07/03/21 03:40 ID:H7Jv4+De0
>>158
俺の勘違いかもしれないが、

157は所謂「わかっている人」がスレの使い分けに関して何もしてない、といってるのではなくて、
「今の総合スレ」の方に「質問・雑談スレ」の機能を持たせ、「わかっている人」が別スレを
立てて移動したほうがいいじゃないか、といってるんじゃまいか。

酔っ払いの戯言なんで、見当違いなことをいってたらすまん。
その時は軽やかにスルーしてくれい。

161 名前:(○口○*)さん :07/03/21 03:49 ID:DKQmVnsU0
つまりにゅ缶側にオフィシャルの告知を書き写すスレのような感じの、
ハッキング関係の重要告知っぽいものを貼り付けるスレを作ると言う感じかな?

162 名前:(○口○*)さん :07/03/21 09:11 ID:8vb9ljvF0
ながれぶったぎってすまんが、
ttp://www.nostale.jp/topics.php?tt_seq=100
なんなんだこの違いはと思った。

163 名前:アカハクスレ5の652 :07/03/21 09:15 ID:Ov0YO2Ew0
進展があったので書き込み。被害に遭った人がどんな
感じになるのかという参考になればと思って書いてる
けど、日記イラネという意見があればやめようと思う。

ネカフェのセキュリティ担当の人と直接話し合ってきた。
消えたトロイについては、アカハクスレで言われたように、
バックドアで消されたか、ステルス化してしまったのだろう
という見解。

その人が言うには、せっかく出したカスペルの検出ログを
店員がPC落として保存もしてなかった(かなり怒ってたw)
ので、ネカフェ側でのこれ以上の調査は不可能とのこと。

これ以上の調査はプロバイダの協力を取り付けないと
出来ないので、ネカフェ側で被害届を出すという結論に。
ただ、証拠となる検出ログもトロイ自体も見つからない為、
実際どこまでいけるかは不透明な状況。

担当の人と所轄の警官の人がつーかーの仲らしいので、
一応期待はしてみる。


以下、その時の話で出たこと

164 名前:アカハクスレ5の652 :07/03/21 09:22 ID:Ov0YO2Ew0
セキュリティ担当としては、本音を言えばUSBポートもCD-ROMドライブも
無効化したいらしい。しかし、セキュリティを向上させれば利便性が
下がり、客から苦情になる。それに対応すれば、セキュリティの甘さを
突かれてしまうという二律背反という状況。
特にUSBメモリからプログラムを実行されると、どうしようもないらしい。
つまり現状では、リカバリーPCのセキュリティを突破されると、
やられ放題ということ。

俺もオープンから1年以上通ってたネカフェで安心しきっていたので、
信用出来るネカフェだからと言って油断は出来ない。
ネカフェでは極力アカウントや個人情報に関わる操作を行わないことを
強くお奨めする。(ネトゲ、ネットバンキング、クレカ、Blog、SNSなど)

165 名前:(○口○*)さん :07/03/21 09:43 ID:NCXdlvBe0
【  アドレス   】 ttp://www■cityhokkai■com/links/
【気付いた日時】 今日の明け方
【     OS    】 Windows XP Home Edition Version 2002 Service Pack 2
【使用ブラウザ 】 Sleipnir バージョン2.5.9
【WindowsUpdateの有無】 最新
【 アンチウイルスソフト 】 avast!version 4.7 Home Edition
【その他のSecurty対策 】 Ad-Aware SE personal
【 ウイルススキャン結果】 マカフィオンラインスキャン、カスペルスキーオンラインスキャンをかけるも何も検出されず
【スレログやテンプレを読んだか】 軽く読みました
【説明】
上記アドレスを踏むと真っ白な画面のみ
後を削ると中華っぽい文字ばかりの画面が出たため即閉じてスキャンをかけるも何も検出されず。
ROアカウントハック報告スレのまとめ?サイトを見ると危険サイト・ドメインリストに載っているのを確認

という状況なんですが
スキャンで検出されなかったからと言って安心は出来ませんよね?
一応OS再インストールを考えてるんですが、OS以外のデータ等(CGやらゲームやら)を他に移して
OSを入れなおしてから、またデータ等を入れても大丈夫なんでしょうか?
とりあえず今、課金は切れてるので垢ハックの心配は無いかなとは思ってるんですが
補償チケットのやつが今月末までだったから近々課金しようと思ってたのに
課金するのが怖い状況です…

166 名前:(○口○*)さん :07/03/21 11:01 ID:X8goWNQz0
>>165
>スキャンで検出されなかったからと言って安心は出来ませんよね?
その通りです。未知のパターンが入ってきた場合はすり抜ける可能性があります。

>一応OS再インストールを考えてるんですが、OS以外のデータ等(CGやらゲームやら)を他に移して
>OSを入れなおしてから、またデータ等を入れても大丈夫なんでしょうか?

その間、Webフォーム、ゲームともに、ログインもパスワード変更もしていないなら、原理的に読み取れませんので
HDDフォーマットからやりなおしたものは、安全な環境になると思います。

厳密にはウィルスとは異なり、垢ハックは実行ファイルなどに寄生することはありませんので、
データ等や、実行していないファイルに取り憑く心配はありません。

167 名前:(○口○*)さん :07/03/21 11:10 ID:P63N/mwX0
>>165
どういう過程で、踏んだかも
公表してくれると、助かるかも。

どこどこのwikiに貼り付けてあったのを
誤って踏んでしまったとか

最悪、初心者にその狙われやすいサイトに
行くなと、言えるし。

しかし、Roと全然関係ないところに
ぽつりと一個だけ張ってあったとかだと
もう、対処不能かもしれんね。

168 名前: ◆sp4Sh9QXGI :07/03/21 11:18 ID:tpY5cuVZ0
>>156さま
勿論こちらのログも残す予定でいますのでご安心を。

169 名前:(○口○*)さん :07/03/21 12:42 ID:4OrFBWvQ0
>>165
>>166の言うとおり。

どうしても不安ならばCG等のデータは一定期間移動先に保持して
定義ファイルがある程度更新された頃にまたカスペやマカフィーでチェックを行い
それから元の場所に戻せばいい。
手順面では無駄が多いけれどもすぐに戻すよりは安心感を得られるはずさ。

170 名前:(○口○*)さん :07/03/21 13:11 ID:74nTAzw+0
>>157
その別スレというのをRagnarok板に立てるつもりでしょうか。
Ragnarok板に新スレッド立てるには先に「新規スレ立ての是非を問うスレ」いって協議しないとだめだろうから時間かかるし、
アカウントハック系乱立、と見られて同意得られるかわからないわけですが・・・

勿論同意得られて踏んだ人の駆け込み寺(今の雑談スレ)もデータ収集の方(今の総合スレ)も
両方ともRagnarok板に残せる・移動できるならともかく、無理じゃないかなと。

ならどちらをRagnarok板に残す?って考えたとき
結局のところ踏んじゃった人への対策は同じことしかいえないわけで
掲示板公式(MMOBBS内にという意味で・・・)としてログを残す価値が高めなのは事前対策だと思います。

両方ともを残せないのであればRagnarok板のトップのリンクは変えてもらったほうがいいでしょうね・・・
といっても納得できてない人も多いでしょうし、変えてもらえないかMMOBBS管理人さんにお伺い立てにいくべきタイミングが難しいところ。
上述のような理由で住人の方々が納得できるのなら管理板目安箱(他のがいいのかな)にでも
「両方ともRagnarok板に残せるか・無理ならRagnarok板のリンクを変更してもらえないか」
について投稿してきますがいかがでしょう。

171 名前:(○口○*)さん :07/03/21 15:54 ID:zzXv6cPF0
>>170
『Ragnarok板のリンクを変更』っていい案だと思いますね。
>168でこちらのログも保存してくれると言うことなので、簡単にスレが立てられる
こっちの方が雑談目的なら使いやすそうな気がします。
Ragnarok板のトップで「垢ハクアドレスを踏んでしまったら!」とかでリンク張っておけば
自動的に流れてくるような気がしますし。

172 名前:(○口○*)さん :07/03/21 16:05 ID:/dfDdM6L0
これだけアカハックが問題になってるんだから、
両方Ragnarok板でもいい気がする。

だめもとで是非スレに持っててみてもいいんでは。

173 名前:(○口○*)さん :07/03/21 16:08 ID:mb5Z2jCZ0
【  アドレス   】http://www■wikiwiKi-game■com/8651262/
【気付いた日時】今さっき
【     OS    】 Windows XP Home Edition SP2
【使用ブラウザ 】Internet Explorer
【WindowsUpdateの有無】 最新
【 アンチウイルスソフト 】NTT西日本 セキュリティ対策ツール(トレンドマイクロ)
【その他のSecurty対策 】上記ソフトで不正アクセス・スパイウェア等一括管理
【 ウイルススキャン結果】 実行中
【スレログやテンプレを読んだか】 軽く読みました
【説明】
上記アドレスを踏むと真っ白な画面のみでした。
危険を感じたのでそのまま閉じてこことかを開く&セキュリティツールのウィルスチェック作動
5分後にセキュリティツールで全回線緊急ロック。別PCで癌IDパス・ROIDパスを変更。

174 名前:(○口○*)さん :07/03/21 16:14 ID:P111kF2f0
とりあえず、本家は
「アカハック関連情報 集積・分析スレ」
という名前にしてほしいかな。
総合対策スレだと、質問して回答もらえそう。

こちらは
「アカハック関連情報 質問・相談スレ」
ぐらいな感じ。

175 名前:にゅぼーん :にゅぼーん
にゅぼーん

176 名前:(○口○*)さん :07/03/21 16:22 ID:asV8oNaP0
>>175
しね

177 名前:(○口○*)さん :07/03/21 16:23 ID:eNwj9qBK0
ここまで来ると釣りにしか見えんな。
PC買い換えれば何もしなくてOK。

178 名前:(○口○*)さん :07/03/21 16:24 ID:mb5Z2jCZ0
>>175
気が動転してたので向こうに書き込んでしまっただけです
申し訳なかったとは思ってますが馬鹿にしないでいただけますか?

179 名前:(○口○*)さん :07/03/21 16:26 ID:P111kF2f0
>>178
申し訳ないとか思う前に、削除依頼だしてきなさい。
あれが垢ハックURLで、あなたのせいで被害者増えたらどう責任とるつもり?

180 名前:にゅぼーん :にゅぼーん
にゅぼーん

181 名前:(○口○*)さん :07/03/21 16:29 ID:6cnSDimW0
常日頃からセキュリティの基本「他に被害者を増やさない」という当然の配慮が出来ていれば踏んだとしてもあんな書き込みはしないだろ…

182 名前:(○口○*)さん :07/03/21 16:30 ID:asV8oNaP0
さわるなきけん

183 名前:(○口○*)さん :07/03/21 16:31 ID:6cnSDimW0
>>181>>178と向こうの126に対して。
馬鹿な行動の後に削除依頼という必要な行動もせず
「馬鹿にしないでいただけますか」なんて馬鹿なことを言うなんて…なあ?

184 名前:(○口○*)さん :07/03/21 16:32 ID:X8goWNQz0
>>173
癌IDとかパス変更前に、感染したかもしれないPCでログインを一切行なっていない場合は読み取りようが無い。
そのアドレスが、ドメイン取得時点のものか、それともなにか仕込まれているかは確認していないので
除去すべき何かが導入されたかどうかはわからないが、カスペのオンラインスキャンを推奨してみる。
それで、なにも出ないので、セーフだったと見るか、安全の為にOS再インストールするかは自己責任で判断を。

http://www.kaspersky.co.jp/scanforvirus/

>>175
カエレ

その中身は>>173だ。

>OS再インストールは面倒なのでしたくありません
駄目。お前はOSの入れなおしやっとけ。

面倒なんで調査もしない、気軽に踏むとかやってる奴は、踏み台になったり、撒き散らず中継点になって他人の迷惑。

185 名前:(○口○*)さん :07/03/21 16:36 ID:mb5Z2jCZ0
削除依頼出してきました。お騒がせしてすみませんでした。

>>184
私はOSの「再インストールは面倒なのでしたくない」などとは言ってません。

186 名前:(○口○*)さん :07/03/21 16:37 ID:eNwj9qBK0
まぁこういう無知な輩を狙って垢ハク仕込んでるわけで、そういう意味では
成果は上々なんだろうな。

187 名前:にゅぼーん :にゅぼーん
にゅぼーん

188 名前:(○口○*)さん :07/03/21 16:42 ID:euoRpMZN0
そりゃ、必死に垢ハク書き込みしてるんだから、いまだに引っかかる奴がかなり居る証拠だな

189 名前:(○口○*)さん :07/03/21 16:43 ID:E+GPtcpa0
>>質問など書き込みする場合は>>1をよく読んで、過去ログをチェックしてからどうぞ。

まぁ当然ながら何一つ出来てないわけだ

190 名前:(○口○*)さん :07/03/21 16:48 ID:P111kF2f0
とりあえず是非スレに書いてきてみた。
age忘れたので、内容確認ついでにageてきてくれると嬉しいかも。

いまいち、あそこに書いたからどうなるのか不明なんだが、
しばらく賛成反対の反応待ちってことかな?
どれくらい待つのかなぁ。
テンプレはここで議論してもいいしなぁ。

191 名前:(○口○*)さん :07/03/21 16:56 ID:dEBotjVV0
>>184
>>173で取りこむファイルをカスペルスキーのオンラインファイルスキャナーに突っ込んだが
ウィルス判定されなかった。
流石におかしいのでマカフィーのオンラインスキャンでチェックしたんだが
カスペルスキーのオンラインファイルスキャナーでウィルスと判定された
>>165で取り込んでるファイルと一緒にチェックしたところ
どちらも Generic PWS.b と判定された。
なので、こちらの操作ミスで無い限り、今のところカスペルスキーでは
検出できないかもしれないので注意したほうが良いと思う。

192 名前:にゅぼーん :にゅぼーん
にゅぼーん

193 名前:(○口○*)さん :07/03/21 17:00 ID:pDwDxZpa0
RO板行きは微妙。
流量の速くなりがちなスレだし、スレ建て待ちが発生するのがリスクにもなり得る。
それと、対策に必要な情報はまとめサイトへの集約、サイト持ちがもっと突っ込んだ内容が必要になれば
管理者MLという適した場所があるのだから、それぞれを必要に応じて使いこなせばよいと思う。

194 名前:(○口○*)さん :07/03/21 17:06 ID:mb5Z2jCZ0
>>192
じゃあ言わせてもらうが「怪しいURLだ」ってレスに書いてあったでしょ?
しかもh抜き(効果薄いかもしれないけど)してあるのにあえて踏むってどういうことよ
あのスレの>>1にも「URLを無闇に踏んで回らないこと」って書いてあるじゃん

しかもWinUpDateもしない、ウィルスソフトも入れてない、オンラインでもウィルススキャンしないとか
町中で「注:危険」って書いてあるビラ拾って、そこに書いてある住所に丸腰で行ってゴロツキに刺されてさらに止血すらしない と同じことだ

195 名前:(○口○*)さん :07/03/21 17:07 ID:E+GPtcpa0
正当化するな、他人の所為にするな
おまえら2人は黙ってよく読んでろ

196 名前:(○口○*)さん :07/03/21 17:08 ID:mb5Z2jCZ0
まぁ自分もうっかりその住所に足踏み入れて刺されていま止血中だから
人のこと言えないのはよーく承知してるけどさ

197 名前:(○口○*)さん :07/03/21 17:12 ID:eNwj9qBK0
専ブラで見てる奴多いのに、踏ませない目的でh抜きしても殆ど意味ないだろ・・・
意図の有無に関わらず垢ハク貼りまくってるシナと同じことしてしまったわけだが、
実際に被害者出したのにそれを反省する気は全くないってことか?
被害者から当り散らされるのは当然のことだろうに、逆ギレしてどうするんだと。

198 名前:(○口○*)さん :07/03/21 17:15 ID:IdI3HaJ+0
お前のせいで被害者がでた可能性があるんだからいいたいことはわかるが
ここは切れたりしないでおけよ・・・
お前が他のURLのように■とかにしておかないミスもあるんだから

199 名前:(○口○*)さん :07/03/21 17:15 ID:ay3ldWNO0
>>192
>>1にも書いてあるけど、これは守って下さいね。

アカウントハックの危険性があるURLは「.」を「■」に置き換えて貼り付けください。

200 名前:(○口○*)さん :07/03/21 17:15 ID:X8goWNQz0
この場合の被害者は、間接的加害者に成りうる匂いがするので、当事者叩きはどうでもいい。
ただ、S/N比が悪くなって、必要な情報が探しにくくなるので叩くのは程々にな。

>当事者
もう、このスレに来なくて済むようにがんばってこい。

201 名前:199 :07/03/21 17:15 ID:ay3ldWNO0
スマンずれた。
>>194です。

202 名前:にゅぼーん :にゅぼーん
にゅぼーん

203 名前:(○口○*)さん :07/03/21 17:38 ID:DKQmVnsU0
ちなみに専ブラだとhttp://まで抜いても、www があるとリンクされる。
リンクさせないには■で置き換えるのが無難。

あと、ブラウザによってはクリップボードにコピーしたURLに飛ぶ機能があるものがあるので
そういうものにも注意。Sleipnirなんかにはついてる。デフォルトだとOFFになってる筈だが。

204 名前:(○口○*)さん :07/03/21 17:40 ID:dQCp1JqT0
掲示板側の設定で「.」を「■」に自動的に変換するように出来ないのかな?

205 名前:(○口○*)さん :07/03/21 17:43 ID:X8goWNQz0
>>204
垢ハック専用の板作ればできるかもなーw

206 名前:(○口○*)さん :07/03/21 17:48 ID:E+GPtcpa0
こいつ運営報告して良いか?悪ふざけにも程があるだろ

207 名前:(○口○*)さん :07/03/21 17:51 ID:X8goWNQz0
>>206
許す

208 名前:(○口○*)さん :07/03/21 17:51 ID:H7Jv4+De0
いいんじゃないか?このスレは機能しなくなるとめちゃくちゃ困る

209 名前:にゅぼーん :にゅぼーん
にゅぼーん

210 名前:(○口○*)さん :07/03/21 18:16 ID:dQCp1JqT0
>>205
新しく対策スレを立てて貰わないと出来ないって事なのかな
うかつにURL踏んだりすることが少なくなってアカハックが減るかと思ったけどそう簡単にはいかないのか・・・

211 名前:(○口○*)さん :07/03/21 18:55 ID:toAuN7rK0
向こうから報告の際必要なテンプレ抜き出してきた。

■スレの性格上、誤って危険なURLがそのまま貼られてしまう可能性がある■
■URLを無闇に踏んで回らないこと。報告・相談はテンプレを利用すること■

※ ID/Pass/サーバ/キャラ名等の情報は公開しないでください
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

【投稿の際の注意】
・アカハックアドレスはMMOBBSでは禁止単語になっています。
 加えて、誤クリックによる感染を防ぐ為にそのようなアドレスは
 .(ドット)を別の文字に置き換えて報告して下さい (■がよく使われています)
 理由は>>203
・質問前後にテンプレ等を見て知識を深めると更にGoodです
・回答者はエスパーでは有りません。情報は出来るだけ多く。提供した情報の量と質
 に応じて助言の量と質は向上します
・結局は本人にしかどうにも出来ない事を忘れてはいけません

報告の際には
・ 報告用&質問用テンプレ (>>12, >>13)

アカハックに遭ってしまった場合に備えて
>>159

212 名前:(○口○*)さん :07/03/21 20:52 ID:E+GPtcpa0
誘導してもすぐ下で雑談始めるやつって何なんだろう

213 名前:(○口○*)さん :07/03/21 21:01 ID:igAdLNA20
アコプリの奴なら注意を促す情報だから問題ないだろ
カリカリする事でもない

214 名前:(○口○*)さん :07/03/21 21:02 ID:E+GPtcpa0
べ、別にモフモフなんてしてない!

215 名前:(○口○*)さん :07/03/21 22:49 ID:pDwDxZpa0
垢ハックといった部類ではなく、むしろソーシャル手法の部類だが。

ttp://www.yomiuri.co.jp/national/news/20070316i313.htm
>調べによると、楊容疑者は社内のデータベースから、産業用ロボットやディーゼル噴射ポンプなどの図面を、
>支給されたノートパソコンにダウンロードしたうえ、2月5日ごろ自宅に持ち帰った疑い。私物の携帯型ハードディ
>スクにデータを複写した形跡はあったが、楊容疑者は「パソコンは持ち帰ったが、データは複写していない」とし
>ている。

216 名前:(○口○*)さん :07/03/21 22:54 ID:euoRpMZN0
それをここに転載して、どうしろと

217 名前:(○口○*)さん :07/03/21 23:00 ID:5toCYZE70
セキュリティ対策スレとは言っても、ここで扱うのは個人・家庭レベルの話で
そういう企業レベルの情報管理(危機管理?)は対象外だと思うのだが

218 名前:(○口○*)さん :07/03/21 23:49 ID:nGgBFb8e0
そこまでモフモフすることもないだろ。

219 名前:(○口○*)さん :07/03/22 00:09 ID:fQ5dLjEk0
   |   ,、,、,、,、
   |  '´~~~~~ヽ
   | i i从ノ)リ)
   | ゞ(リ*゚〜゚ノi  もふもふ♪
   |   (O(#)O  ∬
   |  く_7ノ_)_)  旦

220 名前:(○口○*)さん :07/03/22 00:13 ID:IilCRQ6z0
すまん、ちょっと聞きたいんだが、gifファイルに偽装した垢ハックってあるもんだろうか。
卓ゲー板を専ブラで見てて、うっかり踏んづけたらデコードエラーとか表示されたんだが。

221 名前:(○口○*)さん :07/03/22 00:16 ID:+5vHzN2t0
gifでもpngでも偽装なら出来ちゃう

222 名前:(○口○*)さん :07/03/22 00:18 ID:+5vHzN2t0
要するにhtmlの拡張子をファイルの名前変更でgifとかjpgに書き換えてるだけなので、
何でも出来ちゃうと言えば出来ちゃう。
大体のアプロダ系がjpgとかじゃないと投稿できなかったりするものが多かったり、
精神的に踏ませやすいから主にjpgにしているだけだね。要はなんでも危険。

223 名前:(○口○*)さん :07/03/22 00:20 ID:IilCRQ6z0
うへ、まずいかもなあ・・・
ちなみにこんなのhttp://www■southbound-inc■com/images/pricejtopt1■gif

224 名前:(○口○*)さん :07/03/22 00:26 ID:+5vHzN2t0
あ、そのアドレスは
2007/3/14のリネージュ資料室様のお知らせに、
>上記のうち www■southbound-inc■com はフィリピン専門の日本の旅行代理店のサイトですが、
>おそらくは不正アクセスによりトラップが置かれているため(サイトへはメールで連絡済み)、
>処置されるまで暫定的にリストに入れておきます。

と書いてあるので、まだ置かれているのか向こうで削除したか・・・
俺はそこまで詳しくないので誰か詳しく知っている人いたら頼む。

225 名前:(○口○*)さん :07/03/22 01:16 ID:FmDZ3+Q90
>>223
ファイル名は変わっているけどこれ↓の系統ですね。
ttp://gemma.mmobbs.com/test/read.cgi/ragnarok/1173963316/14
gif偽装のhtmlにサイズ0のiframeがあってその中身はVBScript。
BASICのDATA文みたいな手法で何かの実行をかけてるように思います。
間違いなく悪意の有る代物ですが、相談用テンプレを埋めて貰わないと
アウトかセーフかは判りません。

それはそれとして、スレ分割に伴う棲み分けの意見集約を早急に行わないと
管理人さん達も困ってしまいそうなので、私は現状を鑑み
ttp://gemma.mmobbs.com/test/read.cgi/ragnarok/1079513434/756
この意見を支持します。

226 名前:(○口○*)さん :07/03/22 01:31 ID:IilCRQ6z0
【  アドレス   】http://www■southbound-inc■com/images/pricejtopt1■gif
【気付いた日時】 2007/3/21 深夜
【     OS    】Windows2000 プロフェッショナル
【使用ブラウザ 】 Jane
【WindowsUpdateの有無】 設定などは親に任せきりだったので不明
【 アンチウイルスソフト 】 同上。そもそも無いかもしれない
【その他のSecurty対策 】 同上
【 ウイルススキャン結果】 やり方が分からない。ソフトが無いのかも
【スレログやテンプレを読んだか】 NO
【説明】
卓上ゲーム板の「写真」というスレッド内にあり、クリックしたら画像は表示されずにDecord Errorの表示。今のところは特におかしいところも啼く動作中

>>225
こんなとこでいいのだろうか。

227 名前:(○口○*)さん :07/03/22 01:51 ID:QnFdvSPT0
>>226
JaneView、あるいはその改造系と言う前提で。
ttp://jane.cun.jp/test/read.cgi/win/1039936961/212,214
>判断してないです。Content-typeは全く見ていなくて、
>拡張子に対応するデコーダにかけてエラーが出たら
>Decord Errorにするというだけの処理をしてます。
とりあえず、素のIEよりはまし、程度。

それと、早急にWindowsUpdateの状態と、アンチウィルスの部分を確認すべき。出来れば設定した本人に。
危機管理面の不備がある状態でのネット接続はリスクが高すぎる。
WindowsUpdateの適用状況は、MSのアップデートサイトで履歴が確認できる。

228 名前:(○口○*)さん :07/03/22 02:05 ID:IilCRQ6z0
>>227
いまんとこ確実にヤバい状況…ってわけでもないのか?
あとインストールの履歴っての見てみたら一つもありませんとか言われたぜ

229 名前:(○口○*)さん :07/03/22 02:09 ID:4sH/2uog0
だいぶ時間が経ってるがオンラインスキャンとかはやったのかい?

230 名前:(○口○*)さん :07/03/22 02:26 ID:IilCRQ6z0
今、マカフィーとやらのフリースキャンでCドライブ洗ってる。
今のところは問題ないが、思ったより量あるんだな、ファイル・・・

231 名前:(○口○*)さん :07/03/22 02:29 ID:tFrMxB2x0
はっきりとは言えないが俺もそれはたまになるからなんでもないと思われ
ファイル側の問題タだと思う

232 名前:(○口○*)さん :07/03/22 02:35 ID:IilCRQ6z0
やべ、なんか一個検出された。
Keygen-XPStyle
とかいう奴なんだが・・・

233 名前:(○口○*)さん :07/03/22 04:16 ID:cmnJeEa40
これまたググっても出てこないウイルスだね…
新種が多すぎて情報が追いついてなさそう

234 名前:(○口○*)さん :07/03/22 04:45 ID:pb1jUzT90
>>232
「Keygen」で検索すれば引っかかるが、これだとウィルスとは無関係なようだな。
その検出されたファイル名で検索して、それが何か調べてみるといいかもしれない。

235 名前:(○口○*)さん :07/03/22 04:51 ID:cmnJeEa40
Keygen自体の意味は、あっち方面で使われてる物かな
詳しくはここで関係ないので割愛

Keygen-XPStyleでググると日本の情報としては出てこないけど
virusとかそういう単語が混ざって出てきてるしウイルスっぽいよ

236 名前:(○口○*)さん :07/03/22 05:28 ID:/dHGEL4u0
Keygen-XPStyleをマカフィー(US)で検索すると
ttp://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=125023

Type: Program となってるし、
This is not a trojan or worm. と書いてあるから、とりあえず無害じゃないのかな。
でも、じゃあ、なんで検出されるんだろうという疑問は残るけどね。

237 名前:(○口○*)さん :07/03/22 05:59 ID:pb1jUzT90
>>236
マカフィーの日本サイトで検索して見つからないし
>>234の事もあったのでウィルスらしくない名前だと思いつつ新種なのかと思ったが
USサイトで検索しないと見つからないとは思い至らなかった。
登録情報が同期してないのなら次からそっちで検索したほうが良いな。
で、「Keygen-XPStyle」はウィルスでは無いが真っ当なものでもない。
ProScanという所ではウィルス定義ファイルの差分情報で
SPR/Tool.Keygen.Xpstyle.Uと記載されていてSPRはSecurity Privacy Riskの略。
マカフィー側の検索結果と関連しそうな内容の検索結果を考えると
これが何かと言うのはこのスレではスレ違いなので無視するが
セキュリティの面で問題があるファイルとして警告する意味で検出したんだろう。

238 名前:(○口○*)さん :07/03/22 06:28 ID:DfspepDlO
ちょっと思いついたんだけど、垢ハクウィルスって、ユーザが入力したデータをどこかに送るんだよな?
じゃあさ、そのどこかっていう情報がウィルス内に書いてあるはずだよね?
それ調べて、そのどこかに無意味なデータを大量に送り付ければ(ROのログインIDに似せたやつね)中華もどれが本物かわからなくて、垢ハクされるまでの時間稼ぎできるんじゃないかなぁーって思ったんだけど、無理かしら…

239 名前:(○口○*)さん :07/03/22 07:26 ID:79tUgkXM0
あっちの国だと「13億人が一つ一つ調べていくアル」とかやりそうだしなぁ

240 名前:(○口○*)さん :07/03/22 08:08 ID:E8yxHtAGO
しかし、大量のダミーIDとパスワード入りのパケットを送信してやるのはありかもしれん。
やつらお得意の生成ツールか何かで。

俺に技術があれば面白そうだからやるんだけど、残念ながら、ない。
しかし、他の誰かにやってくれなんて言えないしな。

241 名前:(○口○*)さん :07/03/22 08:17 ID:rst/TXj/0
ランダムで生成されたIDとPASSを延々と送りつけるスクリプトも組めるだろうが、
そんなのしたところでIP見れば出所が同じなので無視されるのがオチ。
全ROユーザーが同じことをできれば有効だが、そんなのは無理な話だしなぁ。

242 名前:(○口○*)さん :07/03/22 08:32 ID:vihORnLI0
無視してくれれば、それはそれでありがたいんだけどね。

243 名前:(○口○*)さん :07/03/22 10:20 ID:MHahefKX0
>236
Winnyを不正ツールとして検知して削除するのと同じ、と思えばいい。
ただそれがHDDにある時点で、別の意味で問題があるわけで。
「Warezer乙」と言われても仕方が無い。

>238
中華がどうやってるのか知らないが、スクリプトで自動処理してる可能性もあるかと。
それで成否判断して通ればハクる、とかだと偽装PASS送りつけても意味が無いかもね。

しかし今まで大量のハクウィルスがばら撒かれてるわけだが、送信先って全て同一なんだろうか?
もし送信先のIPが判明してるなら、PG2に設定して保険に出来ないかな?

もっともウィルスを解析できるスキルか、感染させて挙動確認するしかないので、素人が出来る
事じゃないってのが問題だが……

244 名前:(○口○*)さん :07/03/22 10:39 ID:uusm68Xc0
220.162.104.208
http://www■yahoo-gamebbs■com/897656/

BBS
常連の名前を語って
画像UP BBSに適当な画像をつけて書き込みがありました。
書き込み内容がBBSの趣旨に合っていないためバレバレでしたが

245 名前:(○口○*)さん :07/03/22 12:51 ID:OiP5x9Q/0
>>242
それいいな。実行するだけで万単位のトロイが送るのと同じ
パケットをダミーパス&ID生成して送信しまくるソフトが
あれば中華をファビョらせることができそうだw
特に福建人は一度は痛い目に遭わせたいなぁ…。

246 名前:(○口○*)さん :07/03/22 13:14 ID:Qx6PMp+K0
攻撃されたからといって攻撃しかえすのはだめだろ……常識的に考えて……

247 名前:(○口○*)さん :07/03/22 14:13 ID:gSv/werc0
>>128-129
NOD32の件、問い合わせに返答あった。

お問い合わせ内容:
>    グーグルで「シグナムクルシス」と検索するとNOD32が警告を出して
>    遮断されてしまう。
>    検知名「JS/Exploit.ADODB.Stream.BR トロイ」です。

ご連絡いただきました件につきまして、
NOD32 バージョン 2133 (20070321) にて
ウイルスとして検出されないことを確認しました。

ということで、ただの誤検出だったようです。

248 名前:(○口○*)さん :07/03/22 14:51 ID:MvYvtxIJ0
>>246
攻撃ではないだろ・・・常識的に考えて・・・

249 名前:(○口○*)さん :07/03/22 15:08 ID:rst/TXj/0
全てにおいて一方的に攻められ、こちらは守りを固めるしかないのが現状。
しかも手口は次第に巧妙化され、被害は拡大しているにも関わらず、運営側は
注意喚起もロクにしていない。
どうせ国外だし、集団でDoS攻撃して落とすくらいしてもいいと思うけどね。

250 名前:(○口○*)さん :07/03/22 15:19 ID:34Sv/YcG0
現在は法律等整備されてないので自身が捕まる事は無いと思うが自己責任で。
しかし、場合によっては自分だけでなく同じISPや回線の人にも迷惑を与えて
しまう可能性もありうる事は忘れないように。

厨返しが悪いとは言い切らんが、やるべき事を先ずやるのが先決だと思う。

251 名前:(○口○*)さん :07/03/22 16:01 ID:FmDZ3+Q90
専ブラのビューアについての質問に対してなのですが、>>92さんが
既にアドバイスをされていますが、初心者向けに多少補足させていただきます。

2ちゃんねる専用ブラウザというのは非常に種類・派生が多いので、
それぞれのプログラムがどう動作しているのか全部把握できている人は居ないと思われます。
したがって「専ブラで罠を踏んでしまったかも><」という質問に対しては、作者様本人か
同じバージョンを使っている相当詳しい人がいない限り明確な答えを出す事ができません。
一般的にアドバイスできるのは「IEコンポーネントを使用していないJaneDoe系を
使った方がいいかもしれない」という事だけです。
内部処理をIEエンジンに任せるタイプだとそれだけ危険度が増すかもしれないという訳です。
Doe系で使用者が多く2chの叩きに耐えて長年に渡って開発が続けられてきたものならば、
単純な罠に引っ掛かったりはしないと思いますけど、それでも現状では油断は禁物です。

ついでに使用者が多いと思われる「JaneDoe View」及び派生の「Jane Doe Style」を使って
偽装拡張子の簡単なテストをしてみました。(以下はあくまでこの2種の最新版のみの話です)
実験は書き込みウィンドのプレビュー上で行いましたが、スレ上でリンクされているアドレスと
恐らく同じ動作をするのではないかと思います。

Viewのビューアは画像ビューアと簡易ブラウザの二つの動作があります。
偽装画像拡張子のリンクをクリックすると
・まずjpg,gif等の画像としてデコードを試みる(内部デコーダもしくはSusieプラグインで)
・拡張子が違っていても画像としてデコードできればそれを表示する
・画像としてデコード出来なかった場合、htmlとして解釈できるか試みる
・htmlとして解釈できた場合、ビューアは簡易ブラウザとして動作する
・同時に上記の流れで得たデータをポップアップやインラインサムネイルとして表示する
という事のようです。
この簡易ブラウザというのは本文とリンク(フレームもリンク化されます)のみを解釈し、
スクリプト等は無視する物なので安全性は比較的高いと言ってもいいと思いますが、
(クドイようですが)油断は禁物です。
また、ビューアのキャッシュファイルには先頭に
x ContentType=xxxx/xxxxx
LastModified=日付時間
URL=http://ファイルのアドレス
といった情報が付くのでひとまず実行能力は無いと考えてよさそうです。

252 名前:(○口○*)さん :07/03/22 18:44 ID:UgUCnXAc0
Jane Doe Styleのプロクシはビューワにも適用されてるからうちはAvastのウェブシールド通してるな。
どんだけ効果あるか知らんがないよりゃましかなーと。

253 名前:(○口○*)さん :07/03/22 18:48 ID:56DGMDR70
技術的なことがさっぱりわかってない状態で書きますので、見当違いだったら流してください。
わたしのサイトに以下のような書き込みがありましたが、危険だったりするでしょうか?
わたしは踏んでおらず、文面からしてとくに歓迎すべき書き込みだとも思えなかったのですでに削除しました。

▼以下引用
RO情報
槍騎士/槍クルセ以外のRO情報をまとめて放り込む場所。
ROのプレイ日記、地図、プロモーション・ムービーの特集、二次創作小説など。
参照http://www■fcty-net■com

▲以上引用
書き込み者の IP ……って晒すと、問題なかった場合に失礼にあたるでしょうか? 不安なのでとりあえず伏せます。

yahoo で 「ro bbs」で検索して来られたようです。

254 名前:(○口○*)さん :07/03/22 19:03 ID:UgUCnXAc0
>>253
exe開こうとしてるので高確率で垢ハック。

255 名前:(○口○*)さん :07/03/22 19:05 ID:+5vHzN2t0
まぁ常識ある人はいきなりそういった書き込みをする事は無いね。
いきなり宣伝っぽく来たらまず危険と思って良いかと。

256 名前:(○口○*)さん :07/03/22 19:16 ID:UgUCnXAc0
垢ハックスレ検索したら既出の垢ハックURL開こうとしてたんで黒だと思うよ。

257 名前:253 :07/03/22 19:26 ID:56DGMDR70
なるほど……情報ありがとうございました。
これまでそのテの書き込みとか来たことがなかったのですが、今後は注意する必要がありそうですね。

258 名前:(○口○*)さん :07/03/22 19:32 ID:UgUCnXAc0
掲示板運営してるならURLから自動的にリンク作成するような機能あれば省いといたほうがいい

259 名前:(○口○*)さん :07/03/22 19:38 ID:pb1jUzT90
>>253
実際にアカウントハッキング目的の書き込みをしたわけだし
その書き込み者のIPは他の人も書き込み禁止対象などにするためにも
個人的には公にするべきだと思う。

260 名前:(○口○*)さん :07/03/22 20:24 ID:uvIphr+00
> 「ro bbs」で検索
垢ハクアド貼る気満々www

>>258
リネージュ資料室やまとめサイトにある危険サイトのアドレスを
NGワードに登録して書き込めないようにするのも忘れちゃだめだよな。

261 名前:(○口○*)さん :07/03/22 22:51 ID:qbdsVc+b0
PCのセキュリティについてはあまり詳しくなくはじめての書き込みなのですが、
デスクトップのVAIOでノートンアンチウイルス2007を使用していてシステムの完全スキャンで

リスク 低レベル Trackinq Cookieを検出しました。と出てきます。

Trackinq Cookieをクリックすると
リスクのプロパティのリスクの影響
リスク名 Tracking Cookie
リスクの種類 cookie
依存関係 既知の依存関係はありません
リスク全体の影響のパフォーマンスとプライバシーと削除とステルス
全部が低レベル

リスクのプロパテイのリスクの詳細
リスク名 Tracking Cookie
リスクの種類 Cookie
危険度 低レベル
依存関係 既知の依存関係はありません
コンピュータの活動を追跡して第三者に報告する可能性があるファイルです。
影響する領域 4個のcookieによる追跡
詳細
○○○は自分の名前です(伏字にしたほうがいいと思いまして
Cookie:○○○@statse.webtrendslive.com/5005-01-8-15-233860-97119
Cookie:○○○@statse.webtrendslive.com/5113288
Cookie:○○○@statse.webtrendslive.com/
こんな感じのものが出てきます。
いま結果画面のままになってます・・

デスクトップは修理に出したばかりで、出す直前にOSの再インストールをしてるのですが・・・
帰ってきてからもRO専門になっていてたいしたサイトも見てないと思ってました・・
現状の環境はノートでサイト閲覧とRO(最近はこっちでROしてないです
ノートのほうは頻繁にウイルスチェックしてなにも出てません。
デスクトップでROしてます。ノートとデスクトップは一つのルータで繋がってます。

入れてるソフトは修理に出す前にDLLしたFFベンチとRO
かえってきてからロジクールのG5マウスと付属ソフトをいれてます

正直、ウイルスソフトが反応したのははじめてで、どうしたものかと大変パニックになってます
こちらかMMORPGのほうかと悩みましたが詳しくないのでこちらに書き込みました。
助言をお願いします;

262 名前:(○口○*)さん :07/03/22 22:53 ID:ZVgeTe+80
>>261
そりゃあもう駄目だ
PC再フォーマットが必要ですあきらめましょうあきらめましょう('A`)

263 名前:(○口○*)さん :07/03/22 22:58 ID:uvIphr+00
>>261
ttp://eazyfox.homelinux.org/Security/Beginner/beginner08.html

264 名前:(○口○*)さん :07/03/22 23:00 ID:uBCC0np10
Tracking Cookie でぐぐれば分かるけど、RO的には無害。

ttp://www.netpub.tsuzuki.yokohama.jp/security/sec-0027.html
こんな風に危機感煽るような記事も有るけど、実際やってる事は大した事無い。
『あなたがどこのサイトを見たか』というのを追跡する為のCookieというだけの代物。

ttp://blog.lucanian.net/archives/50835714.html
とか
ttp://takagi-hiromitsu.jp/diary/20070114.html
とか見れば概要は分かると思います。

265 名前:(○口○*)さん :07/03/22 23:02 ID:rst/TXj/0
>>262
答える答えないは個人の自由だが、ウソ教えるのはいかんな。

>>261
Cookieは、WEBサイトを見た時の情報を保持するためのもの。
一度ログインしたページを再度訪問してもログイン状態が維持されていたりするのはこれのおかげ。
悪用されるケースもあるにはあるが、とりあえず今問題になっている垢ハクに関連するウィルスの類
ではないので心配しなくて大丈夫。
気持ち悪ければ消しておけばいい。
ただ、今回のことでセキュリティ意識は高まったと思われるので、基礎程度でもいいからネット関連を
勉強しておくことをお勧めする。

266 名前:(○口○*)さん :07/03/22 23:03 ID:+5vHzN2t0
このスレは重要な事やっているので頼むからネタは慎んでくれ。
警察沙汰にも発展するので冗談じゃすまない事が多い。

267 名前:(○口○*)さん :07/03/22 23:03 ID:+5vHzN2t0
>>262
宛ね。

268 名前:(○口○*)さん :07/03/22 23:03 ID:ZVgeTe+80
えらいね、みんな
あからさまなつりにも…ぼくにはできないよ

269 名前:(○口○*)さん :07/03/22 23:05 ID:zt8w96qG0
>267の「宛ね」が「死ね」に見えてちょっとフイタ

270 名前:(○口○*)さん :07/03/22 23:06 ID:+5vHzN2t0
釣りでもこれを見て知らなかった人が知る事になるので構わないんよ。
とにかく危機意識もって貰えたり被害者が減ったり救われてくれれば。

271 名前:(○口○*)さん :07/03/22 23:07 ID:uvIphr+00
リンク誘導だけの漏れが言うのもなんだけどさ
釣りであろうとなかろうと同じ疑問や悩みを持つ人間が他にいるかもしれないから
みんな真面目に答えてるんだと思うがね。

ネットつないでるならぐぐって調べるくらいはして欲しいものだけど。
自分で考えて調べないと身につかないし。

272 名前:(○口○*)さん :07/03/22 23:07 ID:IftljDh10
>>269の書き込みを見るまで「死ね」だと思ってたw

273 名前:261 :07/03/22 23:19 ID:qbdsVc+b0
いま263さんと264さんが提供してくれたページを
見てますが把握するのに少し時間がかかりそうです。

あとデスクトップのほうは、いま結果画面のままになってて
要確認の処理の欄に解決と無視すると除外とあるのですが
この場合、解決と除外でどちらがいいのでしょうか
初歩的な質問ですみません。。

274 名前:(○口○*)さん :07/03/22 23:23 ID:uBCC0np10
解決で良いんじゃないかな(多分削除される)。除外は検出対象外になるんだと思う。
ノートン使いじゃないんで話半分で宜しく。

275 名前:261 :07/03/22 23:51 ID:qbdsVc+b0
よく見ると上のヘルプに書かれてました。
単純な見落としで調べるのを忘れてました。
申し訳ないです。。
無視するが推奨項目になってましたが解決で処理しました。

276 名前:(○口○*)さん :07/03/23 07:20 ID:qRritdxK0
ワンタイムパスワード導入してくれりゃかなり被害は減るんだろうけどなあ。
最近はケータイにパス表示されるのもあるみたいだけど、
どっちにしても、結構金かかるみたいね。
もっと安くならんかなあ。

277 名前:(○口○*)さん :07/03/23 11:32 ID:SxfrTOYp0
今RO関係のWikiで脆弱性を抱えてる所ってどこがあるんだろうか?

自分が良く見る所だと、アコプリスレのテンプレWikiがそれに当たるが
今避難所作りに動いてるようだし。

他にも弱点抱えてる所ってある?

278 名前:(○口○*)さん :07/03/23 12:39 ID:ztTsRDqB0
すまないが、Firefoxに関しての質問はどこにすればいいんだろうか?
2chとかで該当スレがあったら教えて欲しい。

279 名前:(○口○*)さん :07/03/23 12:52 ID:HO/QFbb10
>>278
Google > 2ch.net Firefox

280 名前:(○口○*)さん :07/03/23 12:54 ID:cmA1H42D0
今 オープンで 露店開いただけでアカハックにあうとか
そういう話してる人がいたんだけどそういうのって可能なのでしょうか?
特定の商人の名前挙げていってたけど…

281 名前:(○口○*)さん :07/03/23 12:58 ID:QyAkj2QT0
ありえない

282 名前:(○口○*)さん :07/03/23 13:02 ID:ztTsRDqB0
普段専ブラしか使わないから2ch検索使わなかったんでわからんかった。
thx

283 名前:(○口○*)さん :07/03/23 13:04 ID:cmA1H42D0
やっぱり思い込みのガセですよね
その場の反応は「こわ〜い」で終わってたけど

284 名前:(○口○*)さん :07/03/23 13:20 ID:6A3pcASg0
>>280
取り敢えず、そいつにこのスレ読ませろ。んな有り得ないガセ広げてんじゃねーって説教してやる。

285 名前:(○口○*)さん :07/03/23 13:29 ID:ztTsRDqB0
とりあえず、Firefoxは敷居が恐ろしく高いのが分かった。
少なくとも自分が完全に使いこなしていないと、まず他人からの要求には
答えられないし、対応も厳しいような感じがした。

ということで、Firefox勉強勉強!!

286 名前:(○口○*)さん :07/03/23 15:00 ID:SzU1wNlX0
>>277
チェックリストを用意すれば
スレ住人が判断してくれるんじゃないかな。

・外部リンク対策
・編集制限の有無
・アクティブユーザ(改竄を積極的に直すか、放置気味か)
・アクティブ管理者(完全放置か、なにかしら頑張っているか)

いまいちwiki対策はわからないけど、

・禁止文字列設定

とかもあるんか?

287 名前:(○口○*)さん :07/03/23 15:10 ID:yZSv1Qh60
対策が着手されてるものを挙げるのは構わないと思うけど、
そうでないwikiの名前をオープンにするのはやっていいことなのか迷う。
注意喚起になるし、対策をするきっかけにもなる反面
業者に狙ってくれと言ってるようなものでもあり。

288 名前:(○口○*)さん :07/03/23 15:15 ID:Fy7r0Qtj0
ROのWikiとはちょっとずれるかもしれないがRBOのWikiは大分ひどいことになってるっぽい。

289 名前:(○口○*)さん :07/03/23 15:16 ID:Fy7r0Qtj0
>>287
すまん・・新着レス更新してなかった

290 名前:(○口○*)さん :07/03/23 16:04 ID:HOdQv+Rh0
昔は撒かれたアイテム拾ったらハクられるとかいう噂もあったな

291 名前:(○口○*)さん :07/03/23 16:04 ID:GUsWTFmF0
>>287
荒療治ではあるが、敢えて攻めさせてどこをどう対策したらいいのか
勉強してもらうって手もある

個人的には閲覧のみできるミラーを柱にして
編集可能な方は潜水して欲しいんだけどね

292 名前:(○口○*)さん :07/03/23 16:57 ID:HUbmCahK0
こちらに誘導されたので報告いたします
  
垢ハック被害報告

【      気付いた日時          】 (3月21日)
【不審なアドレスのクリックの有無 】 (モンク、ローグ、ソウルリンカーWiki又はRMC)
【他人にID/Passを教えた事の有無】 (No)
【他人が貴方のPCを使う可能性の有無】 (No)
【    ツールの使用の有無      】 (No)
【  ネットカフェの利用の有無    】 (Yes)
【     OS    】 (WINDOWS XP home SP2 WINDOWS UPDATA最新)
【使用ブラウザ 】 (IE6)
【WindowsUpdateの有無】 (3月19日)
【 アンチウイルスソフト 】 (avest)
【その他のSecurty対策 】 (なし)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでTrojan-PSW.W32発見
【スレログやテンプレを読んだか】 (今から読みます)
【説明】
ログイン中に別の場所でのログインがされました。と表示されて
強制ログアウト。
その後パスワードを急いで変更しましたが7〜8分後にログイン出来たときには
裸で違うまMAPにいました。アイテムは全部根こそぎやられました。

メインキャラはキャラパスも変更されてる状態です。

293 名前:(○口○*)さん :07/03/23 16:59 ID:SxfrTOYp0
>287
業者も大いに利用できる情報になってしまうってのは抜けてたわ……

でも垢ハクアドレスの公開(報告)と同様に、注意喚起する方が閲覧側にとって
メリットが大きいんじゃないだろうか。

>291
ミラー形式だと転記する管理人の負担が増大する気がする。

294 名前:(○口○*)さん :07/03/23 17:16 ID:SxfrTOYp0
>292
南無……
キャラパス変えられたのは致命的だなぁ……

>その後パスワードを急いで変更しましたが
これはそのPCからROのPASSを変えたという事?
その場合は感染した状態でアトラクションセンターに入った事になるのでかなりヤバい。

例えば癌コインが残ってる状態だと癌クジやら購入させられるとか、金銭的な二次災害に
襲われるかも。

あと本スレ側も見たけど、ハクられた当日に感染したとは限らない。
それ以前含めて、不審なリンクをクリックした覚えはない?

何にせよ、癌の対応待ちだね……

295 名前:(○口○*)さん :07/03/23 17:21 ID:HJ6jz6rE0
こんだけ被害が続出してるのに癌の反応はなにもないのか・・・・

296 名前:(○口○*)さん :07/03/23 17:24 ID:6A3pcASg0
>>292
安全な環境で、改めてパスワードの変更を行なったほうがいい。

なぜなら、発見しただけで、除去していない環境でログインパスワードを変更した所で、それが読み取られていたら
変更の意味がないからだ。

証拠保全の為に、垢ハックウィルス発見のログは残しておいた方がいいかもしれない。
それと、最後に自分がアクセスした日時。その時のIPをきちんとメモしておくこと。
可能であれば、そのIPを管理会社に報告すれば、なおよし。

そのIPとは異なる箇所からの接続が確認された場合、垢ハックと認定されるからだ。

カスペルスキーやNOD32の試用版を入手して垢ハックウィルスを除去すること。
除去のログも証拠としてのこしておくこと。

クリーンな環境からログインパスワードを変更した後で、垢ハック除去済みの環境からログインし
メインキャラ以外のキャラパスもわかる範囲で変えておくこと。
この際の接続したPCのIP(ルーター経由の場合はルーターのWAN側IP)と接続時間、行なった作業も
正確に管理会社に報告すること。念のために、カプラから遠い場所に移動してログアウトとかやっても
いいかもしれない。/whereコマンドを使用して、ログアウトの座標もメモして報告しておけばグッド。

297 名前:(○口○*)さん :07/03/23 17:28 ID:mieETrZO0
>>280
>>281>>284も言っているけどあり得ない。
その阿呆は十中八九「垢ハク露店」を「開くと垢ハクされる露店」と勘違いしてる。
実際には「垢ハクで得たアイテムを売っている露店」だ。

過去にも何度か同じ質問がきているが
垢ハク対策関連のスレやサイトを読めばそんな結論にはどうやっても至れないよな。
デマを流してる奴の頭の中を見てみたい。

298 名前:(○口○*)さん :07/03/23 17:31 ID:2SaCelSz0
あり得なくは無いだろ・・・常識的に考えて。

299 名前:(○口○*)さん :07/03/23 17:33 ID:6A3pcASg0
>>298
ここは真面目なスレなので、ネタは控えてくれ。あと、垢ハック踏んだ被害者の相談優先で。

300 名前:(○口○*)さん :07/03/23 17:36 ID:T3/QVZGd0
IE系ブラウザと非IE系ブラウザの違いは何ですか?
IE系ブラウザだとIE使っていなくても同じことなんでしょうか?

301 名前:(○口○*)さん :07/03/23 17:43 ID:BNDrJHSF0
本スレはどこに向かおうとしてるのだろう・・・。
ROの具体的なアカウントハック事例とその対応策なんかは本スレのほうが
合ってると思うんだけどね。
本スレに書くと自治厨の癇に障って、大事な情報が埋もれてしまうからこっちで
愚痴っちゃう><

302 名前:(○口○*)さん :07/03/23 17:46 ID:qoqfHmjf0
>>301

本スレ:もぬすごい勢いで誰かが質問に答えるスレ
こっち:雑談込みで答えるスレ

こんな感じだと思ってる
緊急に具体的な対策を聞きたい時はあっちのが優秀だと思われ

303 名前:(○口○*)さん :07/03/23 17:59 ID:ajT2QQhR0
>>302
向こうの流れを見ると、自治厨は垢ハクURLを書き並べるスレにしたいような希ガス
垢ハクURLに関する雑談はスルーでその他の垢ハクレスには間髪置かず誘導とは
恐れ入った

俺は意味を履き違えているやっかいな自治厨がいるスレだと思ってる
緊急に具体的な対策を聞きたい時も今はこっちのほうが優秀だと思われ

304 名前:(○口○*)さん :07/03/23 18:13 ID:ViObDcSZ0
垢ハック踏んでから中華がハックするまでの期間ってどれくらいなんだろうね
ふと気になった

305 名前:(○口○*)さん :07/03/23 18:16 ID:pHKbrtXJ0
自治厨と切り捨てて論議をすっ飛ばすのもどうかと思うが、現状は
スレを分けた意味が全く無い状況だと思う。確かに分割する基準策定が
困難な上に論議が十分になされて無いきらいは有るのだが。

雑談/ネタ/煽りお断りのルールを明確化する事でスレの統合を
図ってしまった方が早い気がする。なんだかんだで需要は有ると思うので
こっちの雑談スレは残っていても良いとは思うけど。

306 名前:(○口○*)さん :07/03/23 18:19 ID:QPReyMVC0
【韓国 中国】PeerGuardian 13【YBBを弾こう】
http://tmp6.2ch.net/test/read.cgi/download/1171294407/
漏れはこれ使って中華と韓国はじいているよ

307 名前:(○口○*)さん :07/03/23 18:21 ID:OKOqaLw40
缶詰あるからここも一応ログ残るけど不安要素が大きい

垢ハックアドレスとか後世に残したい重要なものは本スレに書いて
その他はこっちでいいんじゃね?

308 名前:(○口○*)さん :07/03/23 18:24 ID:P9g3d0GQ0
カスペルスキーでウィルススキャンしたらTrojan-Downloaderってのが見つかったんですけど(htmファイル)、
これはその名前のとおりにトロイを勝手にDLする為のファイルって事だよね?
トロイには感染してなさそうなんですが、これは開かなければDLされないんでしょうか?

それと気になったのが、このファイルがごみ箱にあったって事なんです。
ごみ箱の中身を削除してもう一度スキャンしたら出て来なくなりました。
ごみ箱で活動するウィルスなんてあるんでしょうか?それとも何かに混ざってるのを知らずに自分で放り込んだのかな?

309 名前:(○口○*)さん :07/03/23 18:29 ID:SxfrTOYp0
>300
>IE系ブラウザと非IE系ブラウザの違いは何ですか?

IEのコアエンジン(Tridentエンジン)を使ってるかどうか。
IE系はIEコンポーネントブラウザという表現をしている。
非IE系はOperaのような独自エンジンやFireFox・Netscapeが使うGeckoエンジンがある。
スレイプニルはTridentエンジンとGeckoエンジンを切り替えて使う事が出来る変り種。

>IE系ブラウザだとIE使っていなくても同じことなんでしょうか?
同じ事。

>305
露骨な雑談が続くようなら誘導は必要だが、今日のような感じだとあちらで展開しても
問題ないと思うけどね……
自治厨が何か張り切ってるのもあるし、いっそのこと割り切ってしまって本スレは
報告スレにしてしまうってのも手かも。

310 名前:(○口○*)さん :07/03/23 18:29 ID:GUsWTFmF0
>>308
インターネット一時ファイルを掃除した時に
ゴミ箱に入れてくれたんじゃね?

311 名前:(○口○*)さん :07/03/23 18:32 ID:WcJLJYoq0
まず自治厨って言う言葉が荒れる原因になりがちなのでちょいと控えてくれると助かる。

312 名前:(○口○*)さん :07/03/23 18:35 ID:6A3pcASg0
>>308
そんな時には、ウィルス名でぐぐれ。対処法のページあったので置いとく。これ読んで対処してくれ。
http://www.higaitaisaku.com/removedownloader.html

>スレ分離の件
踏んじゃった人の相談、対処法なんかは基本的にこっちに誘導して、こっちで説明するってことになってたろうが。
こっちで重要な情報が出たら、フィードバックをまとめとして本スレに転記するだけ。

上にも書いたが、クリーンな環境でパスワード変更が最優先。
それと、今回確実に垢ハックとログイン時間が被ったのだから、ログを追うのに必要な情報を管理会社に。
生存垢の保全をした後は、管理会社の対応待ちしかない。

踏んだ人がんばれよー

313 名前:(○口○*)さん :07/03/23 18:39 ID:b132q7xS0
>>300
何にも設定しなければIEとIE系ブラウザはまったく同じだが
IE系はスクリプトの切り替えなどセキュリティに繋がる設定が容易にできるものが結構あるので
ベタでIEを使うよりかなりマシ。

314 名前:(○口○*)さん :07/03/23 18:40 ID:UJ+fNEk60
> 緊急に具体的な対策を聞きたい時も今はこっちのほうが優秀だと思われ
こっちにつくった目的の一つは事後対策について話すことそのものだが?
なのにおまいは何を言ってるんだ

315 名前:(○口○*)さん :07/03/23 18:41 ID:2erDVyK10
携帯からの認証で癌IDやPASSを変えられる様になったら少しはマシになるんだろうか
そうすれば踏んでしまってそのPCからROに繋げられない状況になっても
こっちの携帯で遠隔操作でPASS変えることができるのにな

316 名前:(○口○*)さん :07/03/23 18:46 ID:SzU1wNlX0
ところで、是非スレの状況はあんな感じなんだが、
あそこは誰かが解を出してくれるところじゃないよな?

1.もうしばらく様子見
2.そろそろスレ依頼実施
3.このスレが埋まるまで待って、スレ依頼実施
4.LiveROのまま

どうすればいいんだろう?

個人的には2番で両立させ、このスレ(LiveRO)は落ちるまで放置が
現状として適切っぽいと考えているんだけども。

317 名前:(○口○*)さん :07/03/23 18:52 ID:lZKA28ai0
さっさとこっち埋めて、向こうで統一スレ建て依頼しちまった方が良いんじゃね?
変なのがやけに張り切ってるし

318 名前:(○口○*)さん :07/03/23 18:53 ID:6A3pcASg0
>>316
TOPの誘導の文章を推敲して管理側に提案が妥当な所と思われる。多分、現状でスレ立て依頼しても却下食らう。

319 名前:(○口○*)さん :07/03/23 18:53 ID:AYmlENd90
とりあえず、スレッドの使い分けについて当初どうしようとしていたかとは別に、
実際に分けてみたところ、

・使い分けの明確な周知がされていない
・本スレでしていてかまわないような内容がこのスレッドで話されていると感じている人が多く存在する

こういうことが起きているように見える。

個人的には、総合対策スレをひとつと、危険URL収集スレッドって分け方はどうかな〜と…
余計に混乱させてしまうかな。(両方とも向こうで)
雑談が酷くなった時だけ、こちらにセキュリティ雑談スレを随時立てる感じで対処できないかな。

320 名前:308 :07/03/23 19:04 ID:P9g3d0GQ0
>>310
>>312
ウェブサイトに仕込まれてるファイルということですね。
調べてみたらスクリプトで読み込まれるようにしてあるとありました。(ごみ箱にあったのはキャッシュ消したから?)
ぐぐってみましたが何がDLされるのかはよく分かりませんでしたorz (正式名?は「Trojan-Downloader.JS.Psyme.ec」)
ノートンとカスペでフルスキャンしてみましたが、ウィルス本体と思われる物は見つからなかったので、とりあえず安心しておきます・・・。

ふと思ったんですが、勝手にDLされた物が無害なファイルだった場合は検出されないんでしょうか?

321 名前:(○口○*)さん :07/03/23 19:07 ID:6A3pcASg0
>>292
モンク、ローグ、リンカーWIki見てきましたが、TOPページを見る限りでは、垢ハックは現時点でなくて
修正報告も出てないようですね。RMCのどこかなのか、それとももっと前に踏んだのが発動しただけかは不明。

対処終わったら、スパイウェア関係も対策ソフト入れといた方がいいですよ。FWとか。
ちょっとPC遅くなっても、情報盗まれるよりまし。

322 名前:(○口○*)さん :07/03/23 19:10 ID:6A3pcASg0
>>320
>ふと思ったんですが、勝手にDLされた物が無害なファイルだった場合は検出されないんでしょうか?

無害、もしくは、新種でパターン未対応もしくはヒューリスティックスキャンをすりぬけたものは検出されませんね。
勝手にダウンロードする部分を検知するのが、ウィルス対策ソフトか、スパイウェア対策ソフトかはわかりませんが
片方だけで検出されるとは思わない方がいいです。複数でチェックする体制を推奨します。

323 名前:(○口○*)さん :07/03/23 19:21 ID:dPJsIcSt0
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1170419695/934-936

という話で進んでたのに、何故かテンプレ案で相談も雑談スレへという形になってて、結局それでスレ立ってるんだよね。
総合スレ5の1には関連する相談を受け入れるとあるのに、途中でそういう趣旨のスレじゃないという主張も出てきてたし。
正直分けわからん┐(;´〜`)┌

324 名前:(○口○*)さん :07/03/23 19:34 ID:AybMt+xw0
>>304
本気で調べるとしたら、

1.ガンIDとアトラクションIDを新規取得
2.セキュリティホールの多い使い捨て環境を作成し、わざと罠サイトを踏む
3.確かに感染したことを確認する(カスペなどでチェック)
4.1のアトラクションでROにログインする。(キャラ選択画面などではなく、ゲーム内に入っておくこと)

あとは「同じアトラクションIDで他の使用者がログインしました。」のダイアログが出るまで
ひたすらモニターを監視かねえ。中華の頭が多少良くて、ログイン合戦を避けるために、
わざと別のワールドグループでログインして、正規ユーザーのログインの有無を調べて、
ログインしてなかったら、ログインするという手を取ってくる可能性も考えられるけど。
いや、それ以前に感染してるPCなら、今ログインしてるかどうかぐらい分かるか。
そして資産持ってないこともバレてログインすらして来ないかも・・・

325 名前:(○口○*)さん :07/03/23 19:37 ID:6A3pcASg0
本スレに誤爆したけど気を取り直して書込み。

>>323
相談は、どの相談者に対しても、取るべき手段は殆ど同一であることから、何度も繰り返されることになる。

故に、「対策・相談・雑談は>>2に有る雑談スレを利用して下さい。 」というのが本スレのテンプレに入っている。
そうしないと必要な情報が埋まるから。

だけど、よく読むと、「垢ハック」の相談は本スレでも可。一般的なものになったらLiveROということなんだな。
自分の認識が間違ってたみたいなので、修正しとく。

だけど、駆け込み寺扱いはこっちの方がよくて、必要な情報が固まったらまとめとして本スレに転記という形で
収まったと思っていたんだけど、その辺は意識の差があるね。どっちのが利用者の役に立つんだろう。
MMOBBS/Ragnarok板の方ではTOPの誘導をこっちにという話もあるし、その決定次第で棲み分けが決まるかもな。

326 名前:(○口○*)さん :07/03/23 19:42 ID:NW2eNTSA0
クレジットカード落としたら電話すりゃ止めてくれたんじゃないかな。
同様に電話したらアカウント停止ってやってくれんかね。
別に不正者しか停止しちゃいかんてこともないだろう。
つっても、癌があてにならんのかorz

327 名前:261 :07/03/23 19:59 ID:H7VGeGBH0
昨日書き込みさせてもらった者です。
レスをしてくださった皆様、有難うございます。

トラッキングクッキーというものは、奥が深い問題のようで
すべてを理解できませんでしたが
現時点では垢ハックの危険性の低いものというのは理解できました。
サイトに普通に貼られてる広告からそういうクッキーが送られてくるのははじめて知りました。

正直、クッキーというのは閲覧したサイトのセーブデータ的なものとしか捉えてなくて
Tracking Cookie?なんだそれ??第三者に報告???
もしかして自分の知らない悪質なものなのかと焦ってしまったしだいです。
自分の見識が甘く無知を実感しました・・・

>ただ、今回のことでセキュリティ意識は高まったと思われるので、基礎程度でもいいからネット関連を
>勉強しておくことをお勧めする。
最近の垢ハックの被害を聞くと、最低限の知識のなさに危険を覚えます。
少しずつではありますが、勉強していきたいと思います。

328 名前:(○口○*)さん :07/03/23 20:02 ID:dPJsIcSt0
>>325
レスありがとう。やっぱり意識の違いはあるんだね。
というか俺も本スレの1を読み違えてたよ。
こっちのスレで、その辺りも詰められたらいいね。

329 名前:(○口○*)さん :07/03/23 20:04 ID:SGQLgUkX0
垢ハックをくらい、装備アイテムをもってかれた人に質問します。
アイテムや装備って見境なく全部とられますか?

正直レアな装備なんか、とられても、またガンバルと思えるけど
他人からもらえた思い出のアイテムや装備も価値の有り無し見境無くとられる感じですかね?

バレンタインのチョコなんて中華に取られたりしちゃう?

330 名前:(○口○*)さん :07/03/23 20:06 ID:fqMpTNWK0
>>326
クレジットカードだと、盗難窓口は24時間年中無休でやってるね。
住所や生年月日を訊かれ、正しく答えられたら止めてくれる、はず。
24時間対応だとコストもかさむし、同じことを多分したくないんだろうなあ。

代替案として、アカウントロック用のパスをあらかじめ設定しておいて、
ロック用パスでログインした場合はアカウント一時ロック。
その際(10分間、1時間、1日、解除するまで)など選べるとありがたい。
もちろん解除はアトラクションセンターのみで可。
緊急時に重宝しそうだ。万一パスが漏れても致命的じゃないし。

331 名前:300 :07/03/23 20:41 ID:T3/QVZGd0
お答え、ありがとうございます。

332 名前:(○口○*)さん :07/03/23 21:26 ID:NauvS0uj0
>>321
そういや本スレかどっかでRMCトップ開いたらカスペ反応したって報告あったな
RMC関連調べてみるのがいいかも

333 名前:(○口○*)さん :07/03/23 21:35 ID:RGu7GGWc0
>>293
一理あるけど、それは管理者に注意喚起して、ある程度対策とってからのほうがいい。
だって垢ハック業者も多分ここ観てるんだもん。

>>300
IE系は白血球のない身体みたいなもん。
よーするにウィルスが入り込んでも無抵抗に感染する。
もちろん、知識を持って対処すればIE系だろうとある程度の強度は保てるけど
デフォルトブラウザだからってIEやOUTLOOKをそのまま使ってる人のPCは無抵抗といっていい。
非IE系も安心してはいけないけど、特に何の設定しなくてもある程度の強固さはもってる。

334 名前:(○口○*)さん :07/03/23 21:58 ID:5j9uvarb0
>>333
IE系がやばいのは「ユーザーが多いので攻撃対象に選ばれやすい」事が一番の理由。
非IE系が推奨されるのは「ユーザーが少ないので狙う奴も少ない」事が理由。
要するに狙われているか狙われていないか、只それだけ。Macにウイルス少ない
から優れている、とかいう発言にも共通する誤謬。

勿論IE系の妙な仕様(偽装拡張子の件とか)が悪い方向に作用しているのは
事実だし、穴が生じないように設計するのは基本的な事。

たとえ話に突っ込むのは無粋だけど、気になったのでレス。

たとえ話って難しいよねぇ・・・・。きちんと理解して考えないと、誤解をもたらすだけになるから。

335 名前:(○口○*)さん :07/03/23 22:03 ID:RGu7GGWc0
WINとMacの話しみたいなもんだね。
でもデフォのIEはインターフェースまわりがうんこなのと、初期設定のセキュリティレベルが低すぎるってのはあるよね。
だから知識持って対処すればIEだってそこそこのもん。でも初心者はしない。

336 名前:(○口○*)さん :07/03/23 23:37 ID:3THkqXPR0
質問です。さきほどkoreスレを見ていて

>垢ハックウイルス(トロジャン)の主な動作
>@メールの添付ファイル、動画ファイル、圧縮ファイル、画像、
> ホームページ上からPCのメモリに自分の複製を生成

こういう書き込みを見たのですが画像そのものにトロイを仕込む事は可能ですか?
そのチョット前にCHAOS-BOT情報局のURLが張られていて
「そこの画像にアカハックがついてる」とレスが付いていたので
画像に仕込まれることがあった場合どのようにしたら見分けられるのでしょうか?
読み込んだ時点でアウトですか?

337 名前:(○口○*)さん :07/03/23 23:58 ID:ezz5NfAt0
>336
可能。
でもその穴はWindowsUpdateを当ててたら塞がれてる。

古い記事だが、こういうやつね。
ttp://japan.cnet.com/news/sec/story/0,2000056024,20074837,00.htm

338 名前:(○口○*)さん :07/03/24 00:02 ID:AN4ETYYy0
ありがとうございます>337
自分のアップデートはしっかりやっているのですが
例えばそういう画像がブログなどにUPされてしまっていた場合
アップデートが不完全な場合は引っかかってしまう…と言う認識でOKですか?
あ、でも2年前の記事だからそれからアップデートしてないってことは
どうしようもないってことですね

339 名前:(○口○*)さん :07/03/24 00:04 ID:Re6gnAa10
>>336
最近mmobbsのあぷろだにjpg偽装された各種スクリプト詰め合わせセットがうpされてたが
あれは踏んだ時点でアウトじゃなかったかな
詳しくは落としてないのでわからんが

340 名前:(○口○*)さん :07/03/24 00:35 ID:LwVAQ5wj0
>>338
画像そのものに仕込める穴は>>337の通り塞がれているが、画像に偽装したファイルの場合は
IEをデフォルトの設定のままだと>>338のように現在でも引っ掛かる。

向こうのスレからの引用
> ・偽装jpg対策 (IE6sp2 と IE7限定。IE6sp1以前では出来ない)
>  :インターネットオプション→セキュリティ→レベルのカスタマイズ
>   →「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする

IE6sp2が使えないWIN2000とかの場合はおとなしく非IEブラウザに乗り換えるしかない。

341 名前:(○口○*)さん :07/03/24 00:36 ID:LwVAQ5wj0
ぐあ、2行目は>>338じゃなくて>>339ね。

342 名前:(○口○*)さん :07/03/24 00:42 ID:253lVs/a0
各ブラウザのマーケットシェア
ttp://marketshare.hitslink.com/report.aspx?qprid=3

1位:Internet Explorer(79.09%)
2位:Firefox(14.18%)
3位:Safari(4.85%) ※Mac用のブラウザ
4位:Opera(0.79%)
5位:Netscape(0.74%)
(2007年2月現在)

IEがすごい勢いでシェアを減らしつつも、まだまだダントツ。
逆にFirefoxの伸びがすごい。今後は狙われる対象になっていくかも。
それ以外のブラウザはシェア的にはゴミなので、わざわざ狙うアタッカーは少ないか。

シェアが少ない=狙われにくい、というだけでセキュリティホールが少ないとか
そういうわけではないので、マイナー種を使ってる人も油断は禁物。

343 名前:(○口○*)さん :07/03/24 01:10 ID:GR3Clnk90
是非スレで意見出した者ですがはりきってるっていわれてしまった。まあそれはそうかもしれん。
でもRagnarok板トップの告知は早急に変更すべきと思ったし真面目に書いたんだけど・・・

意識の差がある、って感じるならその差を是非スレに書いたほうが相談もしやすいんじゃないかなー。
ここでやったほうがいいのだろうけど相談主のログで流れたりもするし難しいっすね。

***

何で余計に混乱が起こってるってスレッドのタイトルかなと思う今日この頃。本スレとかもいわないほうがいいようなー
用途で考えればこのスレのほうが本スレっぽいし。
とりあえず今の両スレが埋まるまでタイトルやテンプレはどうにもならないけど
スレ分割を考えたとき
A)アカハックURL・アカハック手口の収集・分析、各手口に対してとれる事前対策の考案・まとめ
B)各種セキュリティ関係のお気軽な質問・相談・雑談、踏んで慌ててる人の駆け込み寺
という分け方って何かまずいところあるかな。


http://gemma.mmobbs.com/test/read.cgi/ragnarok/1170419695/935
これみたいに
>・踏んでしまった&踏んだかもしれない人に対して事後のアドバイス。
はできるアドバイスがどうしても同じになるのでBに入れたいところ。

●BにAではまだ収集されてないURL・手口が来た場合はAに転載

344 名前:(○口○*)さん :07/03/24 01:26 ID:uHfgYJda0
IEのもう一つの問題として、OSに非常に近い点も挙げられる。
一時期はOSの一部、今でもモジュールが根幹に近い部分に存在するので、結果としてIEの脆弱性≒Windowsの
脆弱性となり易い点。
このあたりの解決は、VistaでIEの権限昇格手法が変更されて、ようやく落ち着きそうだが。

それと、プロプライエタリ、つまりソースコード非公開のIEに対し、オープンソース、つまり公開されているFirefoxと
言う違いもある。
問題点をユーザーレベルでも可視的に検証でき、ベンダー以外でも修正方法について提言できるのは、メリットと
言えなくもない。
Windows/IE関連の場合、緊急性を要する場合を除けば、月例アップデートまで待つ必要があるし。

345 名前:(○口○*)さん :07/03/24 02:15 ID:mOUnVk5F0
○Firefox感想
IEの問題点を挙げたらきりが無いのは皆分かっているところだと思うが…
ところで食わず嫌いはイカンと思ってFirefoxを使ってみることにしたんだが、
Firefoxの敵はIEではなく、IEコンポーネントの拡張ブラウザなのだな、と改めて思ったよ。
1日中触ってみたが、これが中々上手くいかない。

ある意味当たり前なのかもしれないが、今までと同じような使い方をしようと思って設定を
いじったりプラグイン?を入れてみたりしたが、なかなか上手くいかない。
例えばFirefoxのコンポーネントを使った拡張?ブラウザの出現を待つしかないのかな、と
思ってしまったりして、割とさじを投げたくなった。
と、俺が思うくらいだから、普通の人にはまずFirefoxは使えないだろうなぁと思った。
サポートページにしても「日本語でおk」と言いたくなる文調で、正直ワケがわからん。
まぁ、言いすぎだが、それにしても思った以上に敷居が高いなと言う感想。

長文で失礼した。
手前のスキルが無いんだろ?pgrだったら、それはそれでいいんだが、しかし…
この敷居の高さだと爆発的な普及は厳しそうだなぁと感じた。

追記、無論継続してモノにしてみせるつもり。

346 名前:(○口○*)さん :07/03/24 02:19 ID:aKHexslI0
IEはせめてデフォルトのセキュリティレベルが高ければそこまで問題じゃないんだけど低いんだよな、すごく。
検閲もなくなんでも通過させてしまう。

347 名前:(○口○*)さん :07/03/24 03:24 ID:Eb2iaD/q0
>>345
自分もSleipnirから移行したクチで、慣れるまでに月単位で時間かかった。
デフォルト設定からかなりいじらないと馴染んでくれないから難しいけど
でもそれは他のタブブラウザも同じだし、いじる分だけ慣れた時に手には馴染むと思う。
いっぺんに全部移行しないといけないってわけでもなくて、
RO関連だけFirefoxでっていうのでも最初は構わないと思う。
ゆっくりでいいんじゃないかな。

>Firefoxのコンポーネントを使った拡張?ブラウザの出現を待つ
>「日本語でおk」と言いたくなる文調
オープンソース界隈は基本的には自分のためにやった行為のお裾分けだから
そういう部分を丁寧にやるのは動機に乏しくて難しいかもしれない。

で、この手の話題はやりはじめるとキリがなさそうだけど…。
これは最低限必要だろっていうアドオン。
All-in-One Gestures Extension(マウスジェスチャ。要カスタマイズ。デフォルトは妙な機能を誤爆する)
All-in-One Sidebar(サイドバー拡張。これがないとサイドバー切り替えがめんどくさい)
Tab Mix Plus(タブ拡張。タブ設定のかゆいところに手が届く)
Popup ALT Attributes(<img>のalt属性ポップアップ対応。IE前提なサイトはこれに依存しているのが多い)
XHTML Ruby Support(<ruby>タグ対応。これも地味に使われる。でもなくてもいい)
IE Tab(IEコンポーネントタブ。IE依存全開のサイトを見るための最終手段)

web開発してる人ならFirebugが超オススメ。
これ使えないIEなんて対応したくないと思ってしまうぐらい便利。

でも拡張機能の入れすぎは動作速度に関わるぞ。
種類あるから目移りするけど、ページ表示が遅くなったり相性問題に悩むこともたまにあるから
出来る限り絞った方がいい。

あとRoboFormはアンインストール推奨。常駐してるだけでFirefoxが動作不良になった…。

348 名前:(○口○*)さん :07/03/24 03:28 ID:Eb2iaD/q0
>XHTML Ruby Support, IE Tab
しまった、最低限ならこの二つはいらない。
でも乗り換え組は入れておいた方がいいとは思う。

349 名前:(○口○*)さん :07/03/24 04:53 ID:xYtzxCYn0
Tab Mix Plus便利だけど重いんだよなぁ。
かといって他のTab拡張はしっくりこない・・

350 名前:(○口○*)さん :07/03/24 09:09 ID:uOt/hn6L0
>>343
そういう繰り返される質問と答えって、普通テンプレにFAQ用意しておいて
「>>○○を見てください」ってレスを付けるだけじゃない?
職スレにしろ、他の質問すれにしろ、FAQ用にスレを分けるなんて
ことはしてないと思う。

アカハックされてしまった人がテンプレ読まずに書き込むことを
完全に阻止するのは難しいから、
むしろまとめサイトさんに残してほしい情報を書き込むときに
使うテンプレなり、キーワードなりを決めておいて
その言葉を検索するようにした方がいいんじゃないだろうか。

わかってない人にレスの書き方を統一させるのはむずかしいけど、
わかっている人にレスの書き方を統一してもらうのは簡単だと思うんだけどいかが。

351 名前:(○口○*)さん :07/03/24 09:43 ID:e1HKzavA0
>>350
基本的な対処方法は既に本スレのテンプレに載ってたり。

それを読んでもわからないとか、もうちょっと説明をって人の場合は、同じことの説明でも
相手によって変化させないといけないと思うんだ。それを含めて上手くまとめられるならよろしく。

352 名前:(○口○*)さん :07/03/24 10:15 ID:hozDxLrO0
>>351
自分は神じゃないから、そんな完璧FAQは作れないよ。
>>351氏も作れないと思ってるから「まとめられるならよろしく」
って言ってるんだろうけれども。

そういうフォローさえも事前対策スレではしなくないってことなの?
事前対策スレで書いていいことって何なのかわからなくなってきた。
未出のアカハックurlと手口だけ?

353 名前:(○口○*)さん :07/03/24 10:17 ID:hozDxLrO0
ID変わってるけど>>352=350です。

354 名前:(○口○*)さん :07/03/24 10:33 ID:Cb80JQUw0
踏んじゃった人は大体パニックに陥って一秒でも早く対処法知りたいだろうから、
そういう時はテンプレとか落ち着いて読んでられないだろうしね。
あらかじめスレ読んでもらって知っておいて貰えるのが一番いいんだけども・・・

355 名前:(○口○*)さん :07/03/24 11:03 ID:e1HKzavA0
スレの用途は幾つかあると思うんだ。まとめ切れてないけど、思い付いたところを書いてみる。

・予防方法のまとめ(まとめサイト見れ&既にテンプレ入り)
・予防の為の垢ハックアドレス収集、まとめ(報告はスレ+まとめはまとめサイト)
 これはまとめてくれる人の為、検索性を高めないといけないので、雑談と分離すべき。(現在本スレで扱ってる)
・特定のセキュリティソフトでのすり抜け報告(警告?)…これもスレだな。更新されるまでの短期警告だし。
 挙動の報告も含まれるかも
・踏んでしまった人の事後対応
 基本はまとめサイト見れ
 応用や個別要素については個別にスレで(これがどっちなのか意識の差)
 (内訳)
 警察への届け出関連
  ・どの窓口? 届け出に必要なものはなに? 対応の流れってどんなもん?
   (この辺はどっちのスレでも体験者からの報告がないので、かなり欲しい情報かも。まとめサイトにも当然ない)
 管理会社への届け出関連
  ・どのフォーム?(見ればわかるだろ) どんなことを書込めばいいの? 返答ってどの位で来るの?
   (この辺も、一般的助言はできるが、体験者の報告が欲しいかも。まとまったらまとめサイト行き)
 当事者の取るべき対応(主にテンプレ入りしてる)
  ・除去方法(まとめサイト見れ)
  ・クリーンな環境の作り方(まとめサイト見れ)
  ・どんなタイミングで、どこからパスワード変更かける?
  ・再発しないための予防(まとめサイトとかテンプレ入りしてる)
  ・今後踏まない為の心得(まとめサイトとかテンプレ入りしてる)
・派生した話題
 一般的なセキュリティ対策だの、アドウェア等の話題(こっちの雑談スレ相当)
 垢ハックの手法など(雑談スレで話してまとめを本スレ入り…と、本スレでいいの意識格差あり)

356 名前:(○口○*)さん :07/03/24 11:11 ID:K80jOnM60
とりあえず、適当にgdgdしながらこのスレを埋めて、
新スレ立てる際に依頼してみるのがいいと思った。
是非スレに★持ちの人の負荷とかいろいろ書いてあったけど、
気にしすぎな気がするんだな。

>>343
相談スレをもっと全般扱いにして
収集スレは事前事後にこだわらない、情報収集特化でいいと思う。
下手に事前対策にこだわると>>352みたいな迷う人がでてくるので、
迷うくらいなら全般スレ、なんでもかんでも全般スレ、
未出のアカハックurlと手口だけを収集スレでいいんじゃない?

アコプリスレに殴りプリは書き込めるけど、
殴りプリスレは別に用意されている、くらいの位置づけで。

>>350
キーワードのつけ忘れを考慮すると、まとめの人に負荷がかかる。
新しく作るならまだしも、それがうまく動いているのだし
まとめるべき情報用の情報収集スレが別にあったほうがいい。



あと、本スレで議論するくらいなら、こっちでやろう。
なにもあちらにノイズを入れる必要もないでしょう。

357 名前:(○口○*)さん :07/03/24 11:21 ID:6ABEyjQx0
Trojan.Java.ClassLoaderってのがカスペ走らせたら見つかったけど全然関係ないよね?

358 名前:(○口○*)さん :07/03/24 11:38 ID:Eb2iaD/q0
チラシの裏的で失礼。

アカハックって「スピア型」のまさにそれなんだね。
不本意ながら時代の先端にいるという感じ。
ttp://itpro.nikkeibp.co.jp/article/COLUMN/20070322/266020/
>取引先や同僚を装って限られたユーザーをピンポイントに狙い,ウイルス・メールを
>送り付ける攻撃が国内で顕在化してきた。
>決定的な対策はない。セキュリティ・ベンダーもお手上げな状態だ。

Firefox、敷居が低くなったんだか高くなったんだかわからんな…。
ttp://www.forest.impress.co.jp/article/2007/03/23/firefox_addons_renew.html
>新サイトでは十分に審査された拡張機能のみが、一般公開される仕組みとなったため。
>2,000本を越す拡張機能のうち、審査を経て一般公開されている約150本以外は、
>“サンドボックス”と呼ばれる一般ユーザーがアクセスできないページへ移動されている。

>>356
>★持ちの人の負荷
同感。これは他の誰でもなく★持ちが判断すること。
まとめサイトの依存度をあげるのもそれはそれで負担なんだし。

というかスレ数増加が負担なら、スレ速度がそれなりで過去ログの価値の低い
既存スレをLiveROに落とせばいいんじゃないかとも思ったり…。
いらぬ反感買いそうだから、スレ名まで挙げないけど。

359 名前:(○口○*)さん :07/03/24 13:07 ID:llq4YdmV0
もともとあっちのスレは被害者が書き込むスレだったのになんかずれてるよな

360 名前:(○口○*)さん :07/03/24 13:22 ID:RHZc06gO0
>>359
スレを立てた経緯もスレタイも>>1も流れも関係なく今の俺がルールだからな。

361 名前:(○口○*)さん :07/03/24 13:24 ID:e1HKzavA0
>総合スレ203
だから、貴重な情報を埋もれさせてまでそこで話し合う必要があるのかと。こっちでやって結果を持ち込め。

362 名前:(○口○*)さん :07/03/24 13:24 ID:GNnym69y0
被害報告などをやりにくくする中国人じゃね?

363 名前:343 :07/03/24 13:53 ID:GR3Clnk90
>>352
事前対策スレっていうのが343のAのことなら、自分ではAは
>未出のアカハックurlと手口だけ?
のつもりだった。プラス、それぞれの手口に対して事前にやっておける対処法の考案ね。

結局テンプレ読まずに慌てて書き込むような踏んじゃった人は
「>>○○見てください」ってレスうけたら
「>>○○見て〜〜のようにやりました。これで大丈夫ですか?」
って聞きにくることが多いんだ。
アカハックされた人へのこまかなフォロー(でも内容はテンプレ)と
アカハックURL・手口の収集は、同じアカハック関係でも全く性質の異なるものだと思うので
一緒にしても、お互いにノイズにしかならないんじゃないかなと。

>>356
このスレ埋めないと動けないしgdgd行きましょう(´ω`)

>アコプリスレ〜位置づけで
343でA,B分けたとき感覚的にはそんな感じでした。
356の言葉を借りるとBが全般スレでAが情報収集特化ね。
ただ、情報収集特化ってのが「公式告知書き写しスレ」みたいに
完全に情報収集のみを記載するっていうのなら、それはちょっと勿体無いかなーと・・・

例えば人柱になって踏んでみた人からの手口分析や、そこからの予防法考案はAでやったほうが
個人的にはいいと思ったので>>343のような書き方の分け方に。

手口として偽装jpg出てきたとき、すぐに予防法が出てきてホントに助かったって経験があるので
事前対策・予防法考案にこだわってしまってるのかもしれんな・・・

-----------------------------------

A1)アカハックURL・手口の収集・分析+各種手口への予防策考案
B1)なんでもかんでも全般スレ

A2)アカハックURL・手口の収集(公式告知を書き写すスレみたいな?)
B2)なんでもかんでも全般スレ

のどちらかでどうっすかね・・・他よさそうなわけ方あるかな。

364 名前:(○口○*)さん :07/03/24 14:53 ID:mOUnVk5F0
>>347
>RO関連だけFirefoxでっていうのでも最初は構わないと思う。
>ゆっくりでいいんじゃないかな。

なるほど、テンプレとかそういうRO関連を見るときは使ってみる、でいいのかな。

>>「日本語でおk」と言いたくなる文調
>オープンソース界隈は基本的には自分のためにやった行為のお裾分けだから
>そういう部分を丁寧にやるのは動機に乏しくて難しいかもしれない。

弟にもFirefoxを薦めて、分からないことがあったらここを見てくれと言ったとき、
何が書いてあるのか分からない。日本語が並べてあるだけだよ、と言われ
「タダより高いものは無い」と思ったよ。
Firefoxがオープンソースが悪いなんて思ってない。むしろ俺はGPLを支持している方だから
その関係者の意識の高さや苦労も分かりたいと思う。
しかし…IEもしくは企業がバックについたソフトウェアと、その周りの力の強さと言うのを
思い知らされた気分だったよ。

速度に関しては…
俺は拡張ブラウザの中でも主に速度・軽さ重視で選択していたから、Donutシリーズを
使っていたこともあって、むしろそれが逆に動作速度に関しては、割とあきらめてる節があるw

とにかくブラウズ周りに関するところの軽さ優先で拡張ブラウザを探していたのは
まぁ、仕事先でロクなマシンが割り当てられることが少ないってことが多くてw
今自宅の環境であれば、特別軽いブラウザでなくても問題ないんだけど、
仕事で使い慣れてしまうと、どうにもw
そんなわけでDonutシリーズに行き着いたわけなんだが、当然他のブラウザが
重く思えてしまうのは仕方が無いと思う。

ゆっくり覚えていくことにするよ。

365 名前:350 :07/03/24 15:36 ID:UMXEFefQ0
>>356>>363
アコプリスレと殴りプリスレのたとえはすごくわかりやすかった。

ただ、いまのアカハック関係はは「アコプリスレ」がLiveROにあり、
「殴りプリスレ」がRagnarok板にあって「本スレ」と呼ばれてるので
すごく違和感がある。

366 名前:(○口○*)さん :07/03/24 16:13 ID:Keob5aB60
>365
そりゃ取り扱う話題の広さはハク限定の本スレより、セキュ全般語れる
このスレの方が広いわけで。

で、1つ忘れてる事があると思うが、Ragnarok板はRO主体の板でLiveRo板は
多少脱線しても平気な制限が緩い板。
何スレか前の本スレでもセキュ全般を取り扱ってもいいんじゃないか、という
話は挙がったが、板違いになるからという事でハク限定になった経緯もある。
全体の話になれば2ch等の専門板を使えばいい、という話にもなった。
(2chのセキュ板はちとアレではあるが……)

本スレがハク限定で雑談禁止なのは、情報が埋もれるからというだけではなく
そういう問題もあるから。

LiveRoの欠点はスレが保存されない・Dat落ちするという事だが、過去ログは
有志が保管すれば済む話だし、Dat落ちする心配は残念ながら無いだろう。

いずれにせよ、今の本スレは情報収集スレに限定するのが一番いいと思う。
MMOBBSの管理人氏たちの意向次第ではあるが、セキュ全般の話題がRo板で
出来るのならそれに越したことはないし、無理ならLiveRoでやればいいだけだと思う。
ただどちらの場合でも板のTOPの案内はセキュスレとして貰えば、特に問題は
出ないと思う。

367 名前:(○口○*)さん :07/03/24 16:20 ID:AejAGG6a0
雑談スレと情報収集板を分けると仮定して、Ragnarok板のTOPには雑談スレの方のリンク
だけ貼ってもらい、情報収集スレは貼らなくていいと思うのだけどどうだろう?
簡単に言うと雑談スレが表に来れば、あせってテンプレ読まないような人や雑談目的の人は来なくなる・・・かな?

っというか不思議でしょうがないのだけど、なんで現状一応向こうでは雑談は控えるって
事になったのに、わざわざ向こうで雑談したいのか理由を是非聞いてみたい。
単にRagnarok板のTOPにあるから?
あまり分けたことを良く思ってない人は、今まで使ってたのにor使いやすかったのにこっちになって
面倒になったから・・・とか?
理由によっては(2スレ見るのが面倒等)いくら同じRagnarok板に雑談スレ作ろうが、名前を変えて情報収集スレにしようが
、TOPからリンク貼ったりしようが、結局変わらないと思うのだけど。

368 名前:(○口○*)さん :07/03/24 16:26 ID:jkbJ+j5S0
RO板の方は見るけどLIVEROのほう見ないって人いるからね。

369 名前:(○口○*)さん :07/03/24 16:27 ID:Z3L8EXw50
本スレはRMT親父との橋渡ししている在日犬が商売の邪魔だってうるさく騒いでいるだけだろ。雑音みたいなもんだ

370 名前:(○口○*)さん :07/03/24 16:28 ID:q1E7nShR0
確認させていただきたいのですが、度重なる「同じ事の繰り返し」「S/N比が…」「埋もれる」
といった発言から、平たく言ってしまえば「垢ハック(アドレス・手法)に関する情報の集積と分析」
を扱うスレは脱線・雑談は勿論ちょっとした質問も可能な限り排除し、初心者は誘導するだけにしたい。
といった強い意志を持つ方々がいるように感じられ、(これは私だけの勘違いでは無いと思います)
その辺りの空気を読んだ方が、
「本来の分離案からずれてしまうかもしれないけど、運用上この際しかたないな」
と判断されて、新規スレ立て是非スレにおいて
「アカハック関連情報 集積・分析スレ」の分離(ある意味このスレは本スレに復帰)
を既に提案されているのですが、結局のところ誘導を行っていた方の単なる勘違いから
起こった事と理解して宜しいのでしょうか?

・窓口である本スレから脱線・雑談を分離したい
・集積・分析スレのノイズを無くしたい
この2つを同時に考えている場合とそうでない場合では前提に差が出来てしまうと思いますので。

371 名前:(○口○*)さん :07/03/24 16:36 ID:8fXO1qYv0
勘違いというか、スレタイも>>1もそのままでURL貼り付けスレにしようとしたが正しいかな。
スレタイと>>1を読んで書き込んだ人を有無を言わさず排除してるからgdgdになってる。

372 名前:(○口○*)さん :07/03/24 16:39 ID:aKHexslI0
仮にアカハック統合を情報収集オンリーにするならスレの名前変えるべきだとは思うね。
被害者や対策したい人が流れ着くのは間違いなくあそこなんだし。
誘導して他スレに行かせるってのは二度手間だし初心者にはわけわからんと思う。

373 名前:(○口○*)さん :07/03/24 16:42 ID:aKHexslI0
>>367
>現状一応向こうでは雑談は控えるって事になったのに
いや、それはそう言ってる人がいるだけでみんなが同意してるわけじゃないっしょ。
全員の同意なんか取れないけど大多数の同意すら取ってないし、
自分の意に添わないなら「こうしたらどうだい?」って喚起してから回りの同意を得るべきだろう。

何人かが同意したからこのスレはこういうものです、ってすぐに決めても他の人たちが納得できるわけもない。

374 名前:(○口○*)さん :07/03/24 16:48 ID:JjoWBQ7s0
何かもう勝手にやったらいいんじゃねって感じだ
なにかにつけては自治厨自治厨言われてるようだし
スレを見やすく努力してる人間が鬱陶しいよう
平行線のままならまたスレ1つにしてごった煮でやったらいいだろ
それで情報まとめる側や教える側の人間が去らなければ

375 名前:(○口○*)さん :07/03/24 16:51 ID:jkbJ+j5S0
注意を促しすぎるとそれは促しすぎじゃないか?とかなって雑談の時と大差なくなる。
正直頻度が高すぎると思う。

376 名前:(○口○*)さん :07/03/24 17:08 ID:clYogbA+0
重要な情報が埋もれるのが、後から読んだときに雑音が多すぎて…

→不必要な情報を分離して雑談スレを作る これが最初の発想だったと思う。

発想を変えて、

→重要な情報だけ抜き出してコピペしとくスレッドを作る これのほうが単純でわかりやすくね?

377 名前:(○口○*)さん :07/03/24 17:12 ID:aKHexslI0
>>376
俺はその後者のほうがいいと思うね。
今あるスレはそのまま残したほうがログの参照にもいいし、単純なデータ投稿するだけのスレを分断したほうが混乱も少ない。

378 名前:(○口○*)さん :07/03/24 17:14 ID:1l4F7rLe0
>>373
> >>367
> >現状一応向こうでは雑談は控えるって事になったのに
> いや、それはそう言ってる人がいるだけでみんなが同意してるわけじゃないっしょ。
> 全員の同意なんか取れないけど大多数の同意すら取ってないし、

前スレの990前後の流れを見てみると
「控えることになった」と言いたい気持ちも分かります
特に反対も出ていないから、同意したと思いたくなりますよ。
この一連のスレずっと読んでいる人と、たまにのぞいて雑談したい人の
意識の違い?

「自治」頑張ってくださってた方に私は個人的に感謝してます

とはいえ今後より良くなりますように
>>376は良いアイデアかなと

379 名前:総合スレ207 :07/03/24 18:16 ID:GR3Clnk90
>>総合スレ208

仰る通りです。同じ懸念(自分の書きたいことだけかいて他人はダメ)をしていたが故の
>もし移動に同意して頂ける様だったらこの書き込みへのレスもLiveROのほうで
という「お願い」でした。

スレの方向性に関することは総合スレに書くべき、そう言いたい気分もわかりますし、制限する権利も私にはありません。
ですが、折角「雑談スレ」と名のついた比較的ルールの緩いこちらのスレッドがあるのなら利用したほうがいいのでは、という提案程度だったんです。

どちらかで話す場所もまとめないと延々平行線だと感じましたし、
又、どこかで止めないと延々と続く話題でもありましたからあのような移動お願いになりました。
気分害したらすみません。

個人的にはこのままこちらで話が進むことを祈るばかりです。

380 名前:(○口○*)さん :07/03/24 18:35 ID:5nMtn9Zr0
>>378
元々は、ROハッキングに関する話題を扱って、ROに限らない一般的なセキュリティとか
ただ踏めないだけのURL確認とかはLiveROでいいじゃんという話になった。
それをどう間違ったか、勘違いなのか、強硬なのか分からないけど、スレ終了間際に
事前対策のみ言いだす人が出てきてしまったから、今の総合スレのスレタイや>>1の内容と
実際のスレ運営に差が出てしまったという現状。

お互いのスレタイと>>1を見ると、その方向性が見えるだろ?
それを無視して俺ルール全開な一部住人がいるから、おかしなことになってる。

381 名前:(○口○*)さん :07/03/24 18:57 ID:GR3Clnk90
>>373
質問形式で意見求めていた人もいます。私含めてですが。
〜でいいか?という確認のものや、〜というのはどう?というものまで。
でも質問形式で書いてものすんごいスルーとかチラっと同意のみとかばっかりだったんです(つд`)
是非スレで話をもっていっても同じ。
どうにも話が続かないので強引に>>343>>363でまとめてもみたけどなんか微妙にズレた話ばっかりに・・・

総合スレ5で分離の話が出たあたりからずっとこの話続けてますが
匿名掲示板で「大多数の同意」なんて得るのは難しすぎると感じました。
反対意見つかず、ちょっとでも同意得られたら大多数が同意って見たくなります・・・。

>>376
重要な情報を抜き出してコピペするスレッドかぁ。わかりやすいのはいいですな。
でも「重要」の基準が違うかったり、誰がコピペするのかといった問題とか
しばらく「重要」と思われる情報が出なかったら忘れてしまう・LiveROにたてると落ちるてので難しいかなとは。
あとなんか二度手間・・?まとめサイトを作ってくださってる方はおられるし
全般スレ→重要スレ→まとめサイト となるとなんとも。タイムラグもありそうだし
コピペされるタイミングが遅くなればなるほど存在意義が薄れてしまいそうです。

382 名前:(○口○*)さん :07/03/24 19:27 ID:wrDhFLNI0
>>334
まあ日本みたいにマジョリティ万歳主義ではあまり聞かないが
マイナーはマイナーなりの理由があるし、理解した上でなら利用価値は高いと言う事だな。

更に誤解の無いようにつっこめば
Macはマイナーである事をセールスポイントにしている矛盾はあるが
現状MacがPCより安全である事は誰の目が見ても明らかだ。

話をブラウザに戻せば、ディフォルトのIEがFirefoxよりも脆弱である事は間違いない。
でもブラウザを換えただけで安全になるわけではなくて、結局は利用者の意識なんだよな。
敵の攻撃手段を理解して避けようとするのと、気にせず全部受けるのでは、天と地どころではない差がある。

383 名前:(○口○*)さん :07/03/24 19:35 ID:clYogbA+0
>381
確かにいろいろ懸念はあるのですよね…
私がイメージしていたのはマジスレのまとめを、
隠れ里の冥途さんがやっていらしたのをアレンジした感じでした。
(といってもマイナーでわからないかも…)

参考までにこんな感じ(スレを冥途さんで検索してみてください)
MAGE・WIZ情報交換スレッド3
ttp://regulus.mods.jp/test/read.cgi/bbs/1080664814/

あくまでも一つの提案なので気に入らなければスルーしてください。

384 名前:(○口○*)さん :07/03/24 20:23 ID:K80jOnM60
gdgdでもいい。
どんどん議論していこう。
本スレ側も多少の雑談なんか気にしなくていいので
とりあえず、このスレが埋まって、新スレが立てばすべてはなるようになる。

本スレにしても、無理に誘導しなくてもいいさ。
今まで通りに、URL報告もいろんな話題もすればいい。
自治厨うんぬんのノイズも邪魔だし、
本スレが埋まってスレタイトル変わればあちらも丸く収まる。



個人的に重要なのは本スレ193の人が書いた
「まとめの人がやりやすくなった」という一言だけで十分。

385 名前:(○口○*)さん :07/03/24 20:51 ID:uHfgYJda0
>>382
「今の」MacがPCより安全性が高い点については同意。
但し、Intelプラットフォーム化、OS根幹のUnixベース移行、BootCampなど、リスク要素は確実に増えてきているが。
それと、Norton先生の源流であるSymantec Antivirus for Macの例でも挙げられるように、ウィルス自体の流行は
こちらの方が早期から目立っていた。
GUIベースOSによる、ユーザー環境格差の少なさ。AppleTalkによるLAN環境の構築の容易さなど。

最近では、オープンソースプロジェクトやブラウザプラグイン普及により、OS環境の壁を越えたexploitにも注意が必要。
KHTMLパーサの脆弱性問題が出てきたこともあったし、Flash PlayerやQuickTime、RealPlayer等も常連化しつつある。

386 名前:(○口○*)さん :07/03/24 22:11 ID:dzpDsENi0
総合スレの前スレ見たら、>>986が諸悪の根源だな。
それ以来、必死にがんばってるのこいつだけな気がしてきた。

387 名前:(○口○*)さん :07/03/25 00:02 ID:4evqwz4n0
統合223みたいのもいるしなんつうか俺ルールも程ほどにしないと本当に対策が必要な人が寄り付かなくなっちまうよ。
仕切り屋のためのスレじゃないのに。

388 名前:(○口○*)さん :07/03/25 00:09 ID:vV/Nx9mP0
どう見てもあれは自治厨を装った荒らしだろ

389 名前:(○口○*)さん :07/03/25 00:52 ID:0Sr2HjzH0
あっち雑談も含めた総合で、重要な部分だけ抜き出すスレ作るのが一番解決の道だと思う。
そうすれば自治装った荒らしも何も出来ないし、新規さんもスムーズに書き込める。

390 名前:(○口○*)さん :07/03/25 03:50 ID:N3OkaOv70
>>389
賛成。たとえ既出のループでも困ってる人を最優先。
そして、自衛のできる人や理性のある人のが余裕があるんだから
別な場に有益情報抜いた方が良いでしょうね。

391 名前:(○口○*)さん :07/03/25 14:54 ID:IEbbdIgM0
ハック情報を集めてる支那畜んとこにゴミパケ送る案はどうなった?

392 名前:(○口○*)さん :07/03/25 14:58 ID:edTBjGJq0
>>391
>>241

393 名前:(○口○*)さん :07/03/25 15:02 ID:2j6OFcgU0
全く0から方針を考え直すでもいいんだけど、俺は今の”本来の”形がいいと思ってる。

Rag板:ROアカハック総合スレ
 ROアカハックに関する話題
 (具体的事例に則った事前/事後対策、被害者の相談/対処)

LiveRO板:セキュリティ一般
 ROに限らない一般的なセキュリティ対策

現状は、>>1を無視した極一部がスレ違いなだけで、>>1嫁で済ませたいくらい。

394 名前:(○口○*)さん :07/03/25 23:35 ID:dgGMInvU0
【  アドレス   】http://mohumohhu■blog87■fc2■com
【気付いた日時】 本日
【     OS    】 WinXP Home SP2
【使用ブラウザ 】 IE(バージョンはわかりません)
【WindowsUpdateの有無】 最新
【 アンチウイルスソフト 】 ウィルスバスター2007
【 ウイルススキャン結果】 カスペでオンラインスキャンしましたが、結果何も出ず。
【スレログやテンプレを読んだか】 軽く読みました。
【説明】
上記アドレスがBlogにコメントとして張られていたので
グーグル先生で検索してみましたが、ただのBlogかと思い踏んでしまいました。
中身が捨てBlogっぽかったので心配になり、相談に来ました。

ただの杞憂ならいいのですが、このサイトには罠などありますか?
ソースチェッカーもやってみましたけど、素人には何がなんだかわかりませんでした(ノ∀`)
HDDフォーマットが一番なのですけど、フォーマット用のディスク?が無いためできない状況でして・・・。

395 名前: ◆sp4Sh9QXGI :07/03/25 23:50 ID:zobOBMdj0
>>394さま
このBlogはサイズ0のインラインフレームに仕込まれたHTMLファイルに
(因みにURLはwww■game-fc2blog■com/nairmt/guse.htm。
まとめサイトの危険ドメインに含まれているので、中華の捨てBlog、
或いは日本人の愉快犯とみてほぼ確実でしょう)
VBS/Psymeが含まれています。
ROの垢ハックとは直接の関係はない(と思います)が、
キーロガーの一つであることには変わりありませんので
速急な対策が必要になります。

396 名前:394 :07/03/26 02:15 ID:vu1dzo320
>>395さん
VBS/Psymeというキーロガーなのですか。
ちょっと調べてみましたけど、駆除は難しいのですかね。
ついさっきウィルスバスターで検索してみましたけど何も出てきませんでした_| ̄|○
寝ながらweidoで検索してみて、それでダメでしたらNOD32でも検索してみようと思います。
情報ありがとうございました。

397 名前:394 :07/03/26 02:18 ID:vu1dzo320
ewidoでした・・・うぇwwwidoって。・゚・(ノД`)・゚・。

398 名前:(○口○*)さん :07/03/26 03:36 ID:J0LpAx860
RAGNAROK板のTOPリンクに変更あったみたいだね。
さっき向こう見ようとしてこっちに飛んだからビックリした。
仕事速いね!

399 名前:(○口○*)さん :07/03/26 08:59 ID:M+7KOAYn0
という事は、MMOBBS管理人諸氏の見解としては>366が指摘したように、セキュ全般の
話題をRagnarok板でやるのは板違い、という事かな。

まあどっちの板にあってもどうでもいいとは思うが。
この手のは過去ログ嫁になるよりも、まとめサイト嫁になるわけで。
向こうは情報収集スレとして活用して、次スレ立つときはスレタイを変えれば
いいんじゃないかな。

400 名前:(○口○*)さん :07/03/26 09:11 ID:Jl5vvupl0
どっちに報告するか悩んだが、中身を怖くて確認できてないため予備措置でこちらに

【初心者集まれ!初心者の質問スレその41】

357 :(^ー^*)ノ〜さん :07/03/26 02:38 ID:WtKDs2/9O
剣士だけと
ttp://blog.kansai.com/blogm/index.html?user=serio
ブルジョア狩りでもこんな育成堪えられない!

ましては高レベルノビなんて…


ノビっ子がんばれ!

358 :(^ー^*)ノ〜さん :07/03/26 02:46 ID:7W2hTUIP0
うは踏んじまった。最近のは凝ってるんだな…

359 :(^ー^*)ノ〜さん :07/03/26 03:56 ID:lOJQRtEa0
マジっすか('A`)

401 名前:(○口○*)さん :07/03/26 09:21 ID:M+7KOAYn0
>400
>1
>アカウントハックの危険性があるURLは「.」を「■」に置き換えて貼り付けください。

402 名前:(○口○*)さん :07/03/26 09:54 ID:DbEUkeU20
>>400

ブログの宣伝っぽい。
(関西どっとコムblogとかいうらしい)
垢ハックではないと思うが、ROにかすってもいない。

403 名前:(○口○*)さん :07/03/26 10:00 ID:8exFEdUo0
>>400
ソースチェッカーだと何の反応もないから多分大丈夫だとは思う
ただの宣伝っぽいな

404 名前:(○口○*)さん :07/03/26 11:13 ID:K7Xv+eWm0
雑談なので移動。

>253 241 07/03/26 03:32 ID:JgXiwTC+0
>しばらく更新してなかったからかもしれんが垢消されたorz

それ究極の対策。存在しなければ、垢ハックアドレス貼られることもない!!
ROも止めてしまえばパスワードを盗まれることも(ry

405 名前:(○口○*)さん :07/03/26 12:34 ID:M3xYBryG0
>>329
俺の場合だと装備品、所持金は全てとられました。
で、倉庫内アイテムは武器防具、カード、箱類が全部とられ、
回復系アイテム収集品等だけは残っていました。

バレンタインのチョコは持っていなかったのでなんとも言えませんが
名声白スリムは残っていたので、金目の物だけかと・・・。

406 名前:(○口○*)さん :07/03/26 12:35 ID:ffSFM3530
>>399
> という事は、MMOBBS管理人諸氏の見解としては>366が指摘したように、セキュ全般の
> 話題をRagnarok板でやるのは板違い、という事かな。
どっちかっつーと、現状ではこっち来てもらった方がちゃんと答えてくれる人がいるからじゃね?
とか思ってしまった。

そういや現状の垢ハック系トロイは、Vistaだとどんな動作するんだろ?

407 名前:(○口○*)さん :07/03/26 13:15 ID:Jl5vvupl0
>>401
おっと、もうしわけない

408 名前:(○口○*)さん :07/03/26 13:31 ID:tiTkUgny0
>>406
IEの挙動としてはXP版IE7と同じようなものになると思うが
その後のレジストリ書き換えとかはVistaでROやってる人に人柱になってもらうしかない気がする

そもそもVistaでROって時点で人柱

409 名前:(○口○*)さん :07/03/26 14:37 ID:s0cEL3aY0
>>404
まずは南無…

しかしそこで思考停止してしまうと、貴方の触るオンラインでのやりとりが
RO以外の全て盗まれてしまう可能性を秘めてしまうことになる。
ROをやめてしまえば事が済むわけもなく、オンラインで取引を行わなければ
もっと言えば、オンラインにならなければ、というのが、残念だけど正解。

410 名前:(○口○*)さん :07/03/26 14:38 ID:s0cEL3aY0
ああ、なんか勘違いしていた、書き込みはスルーで。

411 名前:(○口○*)さん :07/03/26 14:47 ID:tiTkUgny0
mixiは新規垢取るのに携帯認証必要になったっていうけどどうなんだろうね
前はもにょもにょな手使えば複垢いくらでも取れたが

携帯認証って言ったって端末IDからの認証じゃなかったら逃げ道はあるわな

412 名前:(○口○*)さん :07/03/26 14:56 ID:W4YJgYqP0
>>411
先日招待されたんだが、端末ID出さないと登録が成功しないようだった(ドキュモ使い)。
拒否したらどうなるかは試してないけどね。

413 名前:(○口○*)さん :07/03/26 15:14 ID:H9UpVhgK0
TOPのリンクをこっちにして下さったのは、流れを見ていた管理人さんが
やむを得ず暫定処置として変えてみて様子をみようって事なんだと思う。
管理板に変更依頼しに行った書き込みも無いようだし。
裏返せば「おまいらどうしたいんだ。はっきり汁ヽ(`д´)ノ」
と言われているような気がする。
TOPの変更を受けて
・とりあえず”ここが窓口いわばなんでも有りの本スレ”として運用していく。
のか
・この際だから役割分担をきっちり決めてスッキリ再編しよう。
なのかだけでもハッキリしといた方がいいかも。
みんなもう相談・質問に対するレスに集中したいだろうし現状維持でいいかもしれんけど。

414 名前: ◆sp4Sh9QXGI :07/03/26 17:24 ID:7TtWte1U0
すごく今更ですが、>>83-84さまの解説をサイトに転載させていただきました。
事後報告になりますが、もしまずいようでしたら即刻削除します(;・ω・)

415 名前:(○口○*)さん :07/03/26 18:13 ID:hMOv1zJu0
ファイアーウォールの設定について質問があります。

インターネットへ向けて送信されるすべてのパケットをブロックするというのを基本設定にした後、
例外指定したもののみを送信許可するという設定にしています。(受信に関しては特に制限なし)

送信許可設定にしているのは、WEBブラウザ、ウイルスバスター、PG2、ROのみです。
ROに関しては、下記の範囲のみを送信許可設定にしています。

ragnarok.exe (RO Patch Client)
IP Address: 219.123.155.160 - 219.123.155.191 (Port 80のみ)
IP Address: 221.247.195.160 - 221.247.195.191 (Port 80のみ)

GameGuard.des (nPro)
IP Address: 219.123.155.160 - 219.123.155.191 (Port 80のみ)

ragexe.exe (RO Client)
IP Address: すべて (Port すべて)

一応これで動いていますが、ragexe.exe のIPアドレスの許可範囲を絞ったほうが、
さらに堅牢になるのかな、と考えてます。
(ragexe.exeが乗っ取られるウィルスがあるのかどうか知りませんが)

ただ、使ってるIPアドレスやポートの範囲が複雑っぽいので、
すでに設定されてる方などおられましたら、設定値を教えていただけないでしょうか?

416 名前:(○口○*)さん :07/03/26 18:42 ID:PlF8uzMO0
>>415
ragexe.exeの許可範囲というのは鯖のIPのことでいいのかな
それなら某iniに鯖のIPが載ってる(ポート番号まではわからない)
ただメンテ入って鯖IPが変わった時にini更新されないとどうにもできない罠

でも感染して常駐プロセスに化けられて情報送信してたらアウトだよなぁ

417 名前:(○口○*)さん :07/03/26 18:45 ID:DmvEXS0h0
某iniのはログインIPだけじゃ?

418 名前:(○口○*)さん :07/03/26 18:53 ID:+kOBSq010
すいません、初心者質問で申し訳ないんですが

ギルド内で、ゲームサーバーの調子が悪いときは
皆でクエストをまわってみないかと、なったのですが
「ROクエスト案内所」を見ながらすすめたいと思ってます。
トップに

不審アドレス投稿対策として、Read Onlyに設定してあります。

と有りますが、今のところROクエスト案内所は安全と考えて
大丈夫でしょうか?

もしアカハックにやられると、集団感染で
ギルドの大半が引退とかなりかねないので…

419 名前:(○口○*)さん :07/03/26 18:58 ID:DmvEXS0h0
安全といえばほいほいURL踏んじゃうのかい?
どういうサイトにしてもリンク先を確かめる注意深さを持って行動した方が良い

420 名前:415 :07/03/26 19:10 ID:hMOv1zJu0
>>416
情報ありがとうございます。で・・・すみません。
某iniというのがググったんですが、何なのか分からなくて・・・
ローカルのファイルなんでしょうか?それともどこかのサイトでしょうか?

ポートはもう全ポートでもいいかなとも考えてます。
IPだけ範囲指定しておけば、基本大丈夫なはずなので。

>>でも感染して常駐プロセスに化けられて情報送信してたらアウトだよなぁ

ですね。でも、どんな対策をしても絶対に抜け道はできるので、
だからこそ複数段の対策を設置して、
どれかの網に引っかかれば儲けものと考えるようにしています。

421 名前:(○口○*)さん :07/03/26 19:14 ID:1VuO27FU0
>>420
ヒント:支援ツールスレ

422 名前:(○口○*)さん :07/03/26 19:16 ID:DmvEXS0h0
あれ見てもしょうがないだろうから「ROSV」でググってみたら良いと思う
開く際はとりあえず注意ね

423 名前:(○口○*)さん :07/03/26 19:16 ID:aMRPcyA60
>>394-395
body要素の外にiframeが仕掛けられている事から、最初から悪意あるユーザーか、もしくはトロイ感染の被害者が
fc2のID/pwdも抜かれて改竄された可能性がある。
ひとまず、fc2には問題ページとしてフォーム経由通報済み。

>>415
inetnum: 61.215.212.0 - 61.215.212.255
netname: RAGNAROK-JP
inetnum: 61.215.214.128 - 61.215.214.255
netname: RAGNAROK-JP2
inetnum: 211.13.228.0 - 211.13.228.255
netname: RAGNAROK-JP2
inetnum: 211.13.232.0 - 211.13.232.255
netname: RAGNAROK-JP3
inetnum: 211.13.235.0 - 211.13.235.255
netname: RAGNAROK-JP4
これがjROクライアントの接続先範囲かと。

portに関しては、かなり古い情報だが
ttp://www.osakana.net/ragnarok/server.html
この頃から変わっていないかも。

>>418-419
必要なのは、踏まないことだけではなく、踏んでも被害を最小限にする事。
これは災害対策と基本は一緒。

424 名前:415 :07/03/26 19:24 ID:hMOv1zJu0
>>421-423
情報ありがとうございました。感謝です♪

425 名前:(○口○*)さん :07/03/26 20:42 ID:K7Xv+eWm0
>>420
某iniから一部引用。「○○Addr.ini」でぐぐらないと駄目、某ini じゃ出てこない。

この値は、ログイン鯖なんで、末尾の数字をゲーム鯖の分足した所までが範囲。
ゲーム鯖は1〜15だっけ。どっかの鯖は少なかった気もするけど。

[CharServers]
61.215.214.131=Odin
61.215.214.163=Thor
<略>
211.13.232.3=RJC2007
211.13.232.8=RJCPractice

いきなり鯖IP変わることが有るし、ログイン鯖とゲーム鯖は殆ど連番とはいえ、確実に連番だという保証はない。
そこで出ているIPを whois で調べてみる。ある程度の範囲のIPが判るのでこれをぶちこんでおけ。
(423のリストのが正確そうだが)

61.215.214.128/25
211.13.228.0/24
211.13.232.0/24
211.13.235.0/24

>>417
そっから+幾つとかで範囲指定すりゃOK。
厳密には、そのIPの管理者をwhoisすると、範囲が出てるかもしんない。それを使うのが正解。

>>422
ROSVはかなり前に移動した鯖のIPも対応していないのが有る。
生きてるのに常時真っ赤とか使えない鯖もある。

>>423
あれ、ポート5020だか、5021も使ってなかったけ。ソース確認すんのめんどいので、パスするが、
423のリンク先だけで足りなかったら、その辺を追加しとけ。

426 名前:(○口○*)さん :07/03/26 23:08 ID:DbEUkeU20
>>418
なぜRead Onlyになっているかを考えれば分かるかも。
それなりにいろいろ対策は取ってくれているが、
向こうも金がかかっている以上、何としても侵入させようとする。
なので、どんなサイトでもリンク先は注意して開くべき。

>>422,425
フィゲルに対応してなかったり、BBS系が業者の書き込みで埋まっているのを見ても、
もうあれは過去の遺物だと思う。
もっとも、リヒあたりまでなら登録・修正は出来るので、
そのあたりで実用性を高めるようにするしかないかな。

427 名前:(○口○*)さん :07/03/27 00:22 ID:lOMrMxih0
>>414 ◆sp4Sh9QXGIさん、いつもご苦労様です。

>83,84についてですが、ご自由にお使い下さい。
むしろ書きなぐった文章なので、どんどん加筆・修正して頂けると幸いです。
ちなみに>251も私が書いた物なのですが、書いた本人である証の代わりに
実験に使ったファイルを放置してある場所を書いておきます。
www■ジオ■jp/agent_mozilla/test1.jpg

※御注意※
このレス自体が垢ハックの釣りである可能性も
当然ながら疑ってかからなければなりません。
したがって初心者の方は上記のアドレスに行ってはいけませんよ。

428 名前:(○口○*)さん :07/03/27 02:36 ID:o47sjkM30
久しぶりにROを起動してみようと思うのですが
自分のPCが垢ハクウイルスにかかっているかどうかを判断するにはどうすれば良いでしょうか
セキュリティソフトはノートンを入れていて、ウイルスは検出されないと出ますがノートンは垢ハクウイルスに対応してないとの話も聞きました
よろしくお願いします

429 名前:(○口○*)さん :07/03/27 02:38 ID:AAiwifpr0
カスペのオンラインスキャンでもしてみたらいい
こっちで無事かどうかなんて判断できんよ

430 名前:(○口○*)さん :07/03/27 02:39 ID:o47sjkM30
カスペルスキーは垢ハクウイルスに対応しているのですね
これで何も検出されなければ一応は大丈夫ということでいいのかな?
どうもありがとうございました

431 名前:(○口○*)さん :07/03/27 03:03 ID:/vjztGCh0
出たばかりの新型であればスルーするものもあるかも知れないし、
既存のものでも見つかっておらずスルーするようなものもあるかもしれないので過信は禁物です。
ただ今はカスペが対応も早くて一番信頼できる感じです。

もし踏んだかも!って言うのであればやっぱりフォーマットしてOS再インストが一番安全ではあります。

432 名前:(○口○*)さん :07/03/27 07:45 ID:BN06TSrO0
fc2のblogにiframeが埋め込まれていたものがあり、現在は消えているとの流れの続き。

>267 (^ー^*)ノ〜さん sage New! 07/03/27 06:57 ID:AERkqbz30
>ソースチェッカーでは仕込まれていたけど、今は対処されているみたい。
>そのブログへ行ってみたがソース文末から問題のは消えている。
>すでにFC2へ連絡が行ったかな?
>これがクラックではなくどっかのブログのパクリなら今後も危険なので近寄らないほうが良いと思う。
>それにしても国内フリーブログも悪用され放題だ、海外からの登録不可にすれば良いのに。

fc2は国内じゃねーぞ。登録とか日本語でできるけど。

突っ込み入れたかったけど、雑談になるのでこっちへ移動。

433 名前:(○口○*)さん :07/03/27 09:47 ID:LUsGKttX0
>418
絶対に危険が無いとは誰にも言い切れない。

ROクエ案内Wikiは閲覧と投稿を分けてて、投稿ページが手打ちでないと入れないので
出来心の悪戯なんかはまず出来ない。
また投稿も各種対策を講じているので罠リンクは書きにくい。
(これはクエ案内Wikiに限らず、対策している他Wikiも同じ事)

しかし抜けようと思えば抜け道はあるだろうし、運営側が取れる対策も万全のものは無い。
なので、現時点では安全であっても実際に>418やギルメンがクエ開始する時点で安全かは
誰にも保障できない。

不安になって尋ねてくるのは判るが、万が一踏んだ場合の事を考えて対策した方がいい。
罠書き込みはWikiだけじゃなくBBSやBlog等どこでもあるので、危険度はどこも同じ。

434 名前:(○口○*)さん :07/03/27 10:40 ID:o47sjkM30
カスペルスキーオンラインスキャンしても平気だった
設定通常ノートンつけっぱだけど問題無かったかな?とりあえず空きスロ2つにノービスを作っておこう
>>431
ありがとうございます
踏んだ覚えはありませんが休止している期間が長くずっとこのPCを使っていた為念のため…って感じですね

435 名前:(○口○*)さん :07/03/27 10:52 ID:qGW/zAG00
>>418
必ずしも安全ではないけど他所のWikiよりはちょっとましって感じ。
まあ、外部URLだとジャンプページ出るはずだしそれさえ踏まなきゃ大丈夫かと。
あとは>>419だね。
俺らの言葉すら簡単に信じてはいけない。匿名の誰かでしかないんだし。


トロイをIFRAMEに仕込むの多いからIEの人はIFRAMEいっそオフにするか、
せめて開く際に確認出す設定にしたほうがいいんじゃないかと。
できればJavaScriptdanoActiveXだのJavaだのもオフったほうがいいけど。

436 名前:(○口○*)さん :07/03/27 11:06 ID:qGW/zAG00
大雑把な感じ

スタイルシート、CSS>ブラウザの装飾を制御し、ファイルを読み込んだりできる。危険度低
Java>Javaアプレットと呼ばれるプログラムを実行させる。危険度中。お絵かき掲示板などで使う
IFRAMEタグ>ブラウザ上で任意のファイルを読み込む。気づきにくい。危険度中。アカハックで多用される。他のプログラムと併用されることが多い
Javaスクリプト>ブラウザ上で簡単なプログラムを実行させる。危険度中。他のプログラムの発動スイッチなど組み合わせで使われやすい
VBスクリプト>OS上で簡単なプログラムを実行できる。※危険度高。
ActiveX>OS上で複雑なプログラムを実行できる。※危険度最高。ただし動画やフラッシュなどに必要

ハックの手口はスクリプトとActiveXを併用したり、組み合わせてハックウィルスをコンピュータ上で実行させる。
厳密には違うところもあるけど感じを掴むにはこんなんかと。

437 名前:(○口○*)さん :07/03/27 11:21 ID:qGW/zAG00
公式告知のnProに付いたTachyon AntiVirusてどんだけの信憑性があんだろ。
ぐぐってもよくわからないや。

438 名前:(○口○*)さん :07/03/27 11:28 ID:SxyI/5z10
nPro関連は「そんなのもあったねぇ」程度の位置づけでおk

439 名前:(○口○*)さん :07/03/27 13:08 ID:BN06TSrO0
>>437
とってもパターン更新が遅くて、信用できないけど、古い奴だと防いでくれるかもしれないね程度。

440 名前:(○口○*)さん :07/03/27 13:24 ID:/vjztGCh0
nProはカスペの10000分の1程度の力と思っていい。

441 名前:(○口○*)さん :07/03/27 13:24 ID:BFXRTG7O0
やっぱ気休めにもなんない程度か。ありがと

442 名前:(○口○*)さん :07/03/28 06:39 ID:oTe/nDOJ0
まぁ、なんだ
http://www■geocities■jp/yasu_takasi/
ここを踏んでしっかりログインして

不安になってオンラインスキャンしたら
Trojan-Spy.Win32.VB.mn
これがでてきたってことは完璧ー・・・アレですよね(´ー`)・・・


ドウスレバイイデショウカ・゚・(ノД`)・゚・
踏むわけ無いと余裕ぶっこいて何もしてませんでした。。。

443 名前:(○口○*)さん :07/03/28 07:29 ID:COsL0jAw0
別PCや仮想PCを持っていればそれでパスなどの変更を。
もって居なければ・・・どうしたものかな・・・
急いでフォーマットから再セットアップしてパスを変えるのも手。

444 名前:(○口○*)さん :07/03/28 07:35 ID:JUbIRuk80
> 踏むわけ無いと余裕ぶっこいて何もしてませんでした。。。
一番怖いパターンだな…

445 名前:(○口○*)さん :07/03/28 08:01 ID:tkdQmZSX0
もう注意していたとしても踏まないのは難しい状況だから、踏む前提で
対策しておかないと痛い目にあうのが現状。
連中はその対策してない奴を狙ってるわけだしな。

446 名前:(○口○*)さん :07/03/28 08:12 ID:0QLAkLmQ0
なんかこのスレ見てると、VBScript使ったウイルスって多そうだねえ。
VBScriptだとウイルス作りやすいのか・・・

WikipediaみるとVBScriptは終わった言語みたいな書き方されてて、
実際使われてるサイトってあんまりなさそうだから、もう常時OFFでいいのかな。

でもIEだとVBScriptをOFFにすると、なぜかJavaScriptまでOFFになってしまう罠が・・・

447 名前:(○口○*)さん :07/03/28 08:15 ID:EL4bsrBv0
大陸は世界的に終わった物を最先端で使うのが好きだからなw

448 名前:(○口○*)さん :07/03/28 08:16 ID:dxRUojLU0
課金してないからハックされようが無い…
とか余裕こいてると久しぶりにログインするとき怖ぇぇー

449 名前:(○口○*)さん :07/03/28 09:27 ID:8XSIVJKg0
>>442
1CD Linux作って、CD起動。そこからブラウザ使ってパスワード変更してこい。

それからPC再起動してHDDから起動し、除去作業。除去が終わったら、再起動して、再度スキャンかけて
安全を確認した後にROを起動する。

450 名前:(○口○*)さん :07/03/28 10:02 ID:2ElB431l0
Trojan-Spy.Win32.VB.mnはカスペのDBには詳細情報が無かったがTrendMicroと
McAfeeの情報を見るとOutlookやAOLの情報を抜くようだ。
どちらか言えば、よくあるポルノウェア系っぽい?

収集する情報のなかに「接続可能なRASの数」とかもあるので、既にbotnetとして
踏み台として悪用されてる可能性もある。


で、そのアドレスをソースチェッカオンラインで調べたら……=□○_

そこで仕掛けられたかどうかは知らんしスレ違いになるからそれ以上触れないが
正直自業自得とオモタ。

451 名前:(○口○*)さん :07/03/28 10:10 ID:WQASQnNp0
>>450
最近各所で張られてるのでよく目にするアドレスだが
お決まりの宣伝文句が付け加えられてるので「まさかひっかからんだろう」と思ってたが・・・w

どうみても自業自得です 世の中そんなに甘くアリマセーン

452 名前:(○口○*)さん :07/03/28 12:02 ID:4ZXqkP4+0
>>445
だなー。
ブログに限らずレンタル鯖でもあぷろだでも簡単に仕込めるんだし
何の防御もしてないマシンは近い将来感染すると見ていい。

今は平気でも感染するアドレス踏んでも痛くないようにするべき。
防がない人はちょっとコンビニだけって家にカギかけずに空き巣入られたり、俺事故らないよって自動車保険かけないで事故るようなもん。

453 名前:(○口○*)さん :07/03/28 12:21 ID:8QefYZ3C0
防がない人は町中で「注:危険」って書いてあるビラ拾って、
そこに書いてある住所に丸腰で行ってゴロツキに刺されて
さらに止血すらしないようなもんだな。

454 名前:(○口○*)さん :07/03/28 12:23 ID:Kzgw500e0
俺は踏まないからと油断してる馬鹿が多いからこそウィルスがなくなることはないわけで
ウィルスがなくならないからこそセキリティソフトがあるわけで・・・
家族がネット使うならウィルス対策ソフトは全部のPCにいれとけってことだ

455 名前:(○口○*)さん :07/03/28 15:42 ID:87XCYTJt0
例えば毎日情報収集し、各種対策を頑張っている人がいるとする。
Web閲覧もチェッカー等も利用して注意して見ている。
この人が罠に引っかかってない間はその成果があったと言えるだろう。

しかしこの人がゼロディの穴を突かれて新種の罠を踏んで被害にあったとする。
この場合、この人は油断や過信・慢心していたのだろうか?

踏まない対策は重要だが、後手に回る時点で限界があるわけで。
踏んだ場合の対応手段も同じぐらい準備しておいたほうがいい。

>442は複数の理由でpgrされても仕方がないと思うが、いくら対策をしてても
喰らう時は喰らう。

456 名前:(○口○*)さん :07/03/28 16:38 ID:tkdQmZSX0
当然ながら、新種や亜種が増え続ける限り完璧な対策など存在しない。
誰かがそれらを発見して初めてセキュリティ情報に反映されるわけであって、
反映される前に踏んだり、自分がその初めての人になる可能性も大いにある。
この場合はもう事故という他ない。
なので、既出のアドレスを踏まない対策としてのhosts更新はもちろんのこと、
踏んでしまった時でも、送信先IPが既知のものや海外であればPG2で水際での
遮断が可能なので、ワクチンソフトの更新を怠らないことは勿論だが、それに
加えてこれらの対策を行うことが非常に重要になると思う。
特に、垢ハクスレにてトロイ仕込む目的なのがバレバレな怪しいドメイン情報が
随時出てくるのは非常にありがたい。(blog-livedoor■netなど引っ掛ける気満々)
ただ、これらの効果は高いが、ワクチンソフトが入ってるからいいやと考えている
程度のセキュリティ意識の低い人からすると、これらを理解と、hostsの更新作業、
PG2導入は高い壁と感じてしまうのがネック。
皆に危機感を持ってこれらの対策をして欲しいところだが、難しいというのが現状。

457 名前:(○口○*)さん :07/03/28 16:54 ID:z7jM2yyS0
ソースチェッカーも勧めるべきかねぇ
知らんURLはクリックする前にソースチェッカーで調べれ、って

458 名前:(○口○*)さん :07/03/28 17:22 ID:gkIumkse0
ソースチェッカーもある程度の知識がないと何の警告なのかちんぷんかんぷんなので、
丁寧に教えられる環境でなければ混乱させるだけのような気がする。

459 名前:(○口○*)さん :07/03/28 18:17 ID:OqBq7l1I0
>>446
昔からウイルスを作るツールが出回っているから、それがVBScript対応なんだろう

460 名前:(○口○*)さん :07/03/28 19:32 ID:Tbc73zvB0
ageます

461 名前:(○口○*)さん :07/03/28 20:40 ID:yi9YJqav0
>>446
>>459
大前提としてウィルスなどに感染するためには、何かしら「実行」する必要がある。
だから、ウィルス本体や感染してるファイルをDLしただけでは感染しない。
そして、VBScriptがウィルスなどの感染に使用されているのは
外部のファイルを取り込みPCの記録媒体に書き込む事が可能なだけでなく
任意の実行ファイルを実行させる事が可能なため。
興味を引くようなファイルをDLさせて解凍や実行させる必要も無く
ただブラウザで表示させるだけで感染させることが可能なのだから
使われない方がおかしいだろう。

462 名前:(○口○*)さん :07/03/28 20:49 ID:LT4b43kr0
>>461
機能面においてVSScriptでできてJScriptでできないことってあったっけ?

463 名前:(○口○*)さん :07/03/28 22:01 ID:N+/yQ+tt0
なんとなくだが
こっちのスレを作ったことにより本スレの方が荒れるようになった気がする

464 名前:(○口○*)さん :07/03/28 22:16 ID:3NMoTp3z0
スレのすみわけしたいのはわかるけど
歴史あるスレが満場一致でわかれたわけでなし
まだ試行錯誤の段階であの対応は見てて嫌な気分になるな
だいたいスレの性質上新規の人があわてて飛び込んでくる可能性が
高い場所「セキュリティ」より「アカハック」という単語で飛びつく人だって
多いだろうさ せめてこの最初の1スレ位はもうちょっとやんわりと
移動を促してもいいんじゃ無いかと思うんだけどね
報告があっても怖くてアッチ書き込めないもんw偉そうでw

465 名前:(○口○*)さん :07/03/28 22:48 ID:yi9YJqav0
>>462
詳しいわけでもないし、ここにあがる罠サイトを読むために調べた程度なので
そうやって聞かれても困るんだが調べてみた。
で、VBScriptとJScriptは同じランタイムを使用しているらしいので
言語仕様が違う程度で機能的には同等という認識で良いと思う。

466 名前:(○口○*)さん :07/03/28 22:56 ID:dgW7tZCo0
アカウントハック総合対策スレ6より誘導されてきました。

すいません、ちょっと気になったので質問なのですが
先ほどライブドアHPにてブログ一覧から人気のページ、ブログをクリックしてみたら
意味不明な内容だったり、真っ白なページだったり・・・

これは偽ページとかじゃないですよね・・・・?

開いたページ
http■//www■livedoor■com/blog

見たのは
■よく眠るために覚えておきたい17のTips
■無料で使える大きめアイコン素材集 10サイト
です。

467 名前:(○口○*)さん :07/03/28 22:58 ID:OB7P870p0
>>466
スレ違い
勇気がなくて踏めない人のための鑑定スレPart13
http://pc11.2ch.net/test/read.cgi/hack/1173634465/

ここで聞け
春になると馬鹿がわいて嫌になるわぁw

468 名前:(○口○*)さん :07/03/28 23:11 ID:rzkYuRlx0
( ゚Д゚)・・・

469 名前:(○口○*)さん :07/03/28 23:12 ID:JUbIRuk80
釣られないぞ…

470 名前:(○口○*)さん :07/03/29 00:31 ID:tJJe1Py90
>>465
>>461は知ったような口調で述べられていて、そんな事情を察することは
できないのに「困る」と言われても困る。

でも、わざわざ調べてくれてありがとう。

471 名前:(○口○*)さん :07/03/29 01:08 ID:lvk0GWvg0
なんか長文多くなってきたな。
対策スレで持論展開はあんまり意味ないからなるたけ簡潔にしとこうよ。
長文なんて読み飛ばされる最有力候補だぞ。

472 名前:(○口○*)さん :07/03/29 07:14 ID:TNnHVFU90
ソースチェッカーで100%安全と出ても「黒」の場合もあるわけで

473 名前:(○口○*)さん :07/03/29 07:46 ID:DFZZ8RKM0
>>464
とりあえず、こっちに書いてみたら?
有用な情報なら有志が転載してくれるさ。

474 名前:(○口○*)さん :07/03/29 07:52 ID:Nl22VKWQ0
▼スパイウエアの手口と対策
http://itpro.nikkeibp.co.jp/article/COLUMN/20070322/265871/

なんか役に立ちそうなんでリンク貼っとく。一読を推奨。

475 名前:(○口○*)さん :07/03/29 08:33 ID:BmfpOd/80
>>472
HTMLやScriptを読めるなら、HTMLファイルを一旦テキストとしてダウンロードして、
テキストエディタで開いて確認という手もあるけどね。

やばそうな部分を発見したら、そこだけ除去して開くとか・・・
大きいファイルだと見逃しがありそうで怖いけど。

476 名前:(○口○*)さん :07/03/29 16:52 ID:SWrXgnfS0
読み飛ばされる最有力候補投下w

■1PC環境におけるウィルス駆除前のパスワード変更方法について
 踏んでしまった or 踏んだかもしれない時、すぐに安全な他のPCを利用できない場合どうすればいいのか、
 テンプレにもBSWikiにも記述がありますので良く読んで頂くとして、事前の準備を考えている人向けにプチまとめ。
 これまでに確認されたアカウントハックのプログラムは、感染力のあるウィルスやワーム
 と言ったものではなくトロイ・スパイウェアの類なのですが、この先どこまで高機能化するか判りませんし
 やはり「ネットからの切断・感染PCの隔離」が最優先事項といえます。
 それ故に同じPCで早急にパスワードの変更をしたい場合には、それなりの事前の準備が必要になってきます。

・1CD Linux (詳細はテンプレやBSWiki安全の為にを参照)
 Windowsではない別のOSである「Linux」をCD(DVD)から起動してGungho公式にアクセスしパスを変更します。
 [長所]
  安全度はかなり高いといえます。HDDを使わないので緊急用としてはお手軽です。
  初めてLinuxを使う人は操作に多少戸惑うかもしれませんが、ブラウザ起動さえ出来れば
  パス変更程度ならなんとかなるでしょう。
 [短所]
  CD-Rを持っていてISOイメージで焼く事のできる人のみ利用可能です。(雑誌のオマケに付いている事も有りますが)
  自分のPCで上手く動くCDを作成するまでが大変かもしれません。
  ハードウェアの認識力は高くなってきてはいますが、まれに古いPCや相性の悪いPCだと動かない事もあります。
  (その場合は別の1CD Linuxを試してみると動く事もあります。Linuxは様々な派生バージョンがありますので)

・ディアルブート
 1台のPCにWindowsを2つ(もしくはWin+Linux)入れておいて非常時にはサブの方から起動しパスを変更します。
 メインで使うWindowsからサブのWindowsが見えないように分離したい所なのですが、その辺りの設定が出来る
 ブートマネージャを導入しパーティションを不可視にするといった作業はやや難しいかもしれません。
 [長所]
  サブが使い慣れているWindowsならやり易いでしょうし、オンラインウィルススキャンをかける事も出来ます。
  Winが2つの場合安全度はウィルスの能力により大きく変動しますが、2つを分離できれば高いといえます。
 [短所]
  OSのクリーンインストールをほいほいできる程度の知識は必要です。
  建前としてWindowsを2つ所持している必要があります(サブをLinuxにすれば問題ありませんが)
  メーカー製のOSリカバリーディスクしかない場合、ディアルブート環境にするのが難しい場合もあります。

477 名前:(○口○*)さん :07/03/29 16:52 ID:SWrXgnfS0
・仮想PC
 仮想PC(仮想マシン)とは、あるOS(ホストOSと呼ぶ)の上にPCのハードウェアをエミュレートする環境を構築して、
 その上で別のOS(ゲストOSと呼ぶ)を動かす仕組みの事です。
 具体的には"Microsoft Virtual PC"等を利用してWindows上に仮想マシン環境を構築しそこに別のOSを入れる事になります。
 [長所]
  ゲストOSとホストOSの垣根を越えて悪さをする事は、基本的には出来ない筈ですから安全度は高いといえます。
  使いこなせれば利便性はかなり高いです。ROにログインしたままパス変更をする事も可能だと思います。
 [短所]
  ググればインストールの方法などは出てきますが、まったくの初心者にはやや難しいかもしれません。
  ある程度のマシンパワー(特にメモリ)が無いと重いです。

・IPフィルタ・パケットフィルタ等による一時的な送信制限
 指定したIPに対する通信をブロックするツールの中には、
 全域(0.0.0.0-255.255.255.255)をブロックした上で一部IPのみを許可できる物もあると思います。
 つまり緊急時に指定したIP(Gungho公式やRO鯖のみ)に対してだけ送信を許可して、
 パスワードを変更し時間を稼ごうという訳です。
 FW系セキュリティソフトを導入済みなら、設定によって実現できるかもしれません。
 [長所]
  うまく設定できればROにログインしたままパス変更ができます。あくまで時間稼ぎの緊急措置ですが。
 [短所]
  プライベートIPの場合は非常に話がややこしくなります。
  そこそこの知識が必要でやはり敷居が高すぎるかもしれません。設定をミスれば全く無意味なのでやる人はいないかも…


※ウィルスに対する安全性・導入の難易度・使用中PCへの影響などを総合的に考えると、
 お勧めは「1CD Linux」もしくは「仮想PC」といったところでしょうか。

Wikipediaによる1CD Linuxの解説 ja.wikipedia.org/wiki/1CD_Linux

1CD Linuxは↓をみていただくと判る通り多くの種類が有ります。
ライブCDの部屋 2.csx.jp/livecdroom/

代表的な1CD Linuxである"KNOPPIX"の入手方法 (産業技術総合研究所版 KNOPPIX)
unit.aist.go.jp/itri/knoppix/index.html
ダウンロード→CD(ISO)版→最新ダウンロードサイトの3つから選んで
knoppix_v5.1.1CD_20070104-20070122+IPAFont_AC20070123.iso
ってのをダウンロードしてみて下さい。サイズは700M位あります。
ダウンロードできたらCD-Rに書き込む訳ですが、ライティングソフトのマニュアルを熟読して
必ず「ISOイメージ」として焼いて下さい。でないと起動できないただの巨大なファイルを焼いてしまう事になります。

478 名前:にゅぼーん :にゅぼーん
にゅぼーん

479 名前:(○口○*)さん :07/03/29 18:20 ID:fDGijbdI0
最悪はネットカフェ行けばいいじゃないかなんて思ったが垢ハック踏んだPCだったら乙なんだな・・・

480 名前:(○口○*)さん :07/03/29 18:28 ID:xyIZCvHJ0
>>476-477
ウホッいい長文!
わかりやすくていいな。

>>478
ドットは■に置き換えた方がいいのでは?

481 名前:(○口○*)さん :07/03/29 18:28 ID:1bZJhO7f0
>>467
バカかお前?
>>466は「クリックして見たら」って書いてるから既に踏んでしまった
だろうに、なんで「踏めない人のための」スレ紹介してるんだよw

>>466
「よく眠る」方のリンクはどうもRSSにリンクされてたらしく意味不明に
見えたのだと思われる。サイト自体は問題なし。
「無料で使える」の方は、それっぽいのが複数出て来ててどれが
問題のものかが解らなかった。
踏んだと思われるURLとか解らないかね?

482 名前:(○口○*)さん :07/03/29 18:39 ID:u3Fz5CRe0
>>481
今更20時間前の書き込みにレスして何になるのかと

483 名前:(○口○*)さん :07/03/29 19:05 ID:SWrXgnfS0
>>476
しまった_| ̄|○||l
×ディアルブート
○デュアルブート

>>480 ウホッあり〜

484 名前:478 :07/03/29 19:06 ID:hyFH033M0
>>480
うわっと、ごめんなさい。すっかり忘れていました。
でも専用ブラウザでもリンクになっていないみたいでよかった(汗)

485 名前: ◆sp4Sh9QXGI :07/03/29 19:14 ID:rshcauVS0
某Battle Offline Wikiを見てきましたが、確かにアレはひどいですね…
リンクが全体的に書き換えられており、
掲示板にも多数危険URLが書き込まれているにも関わらず、放置されている傾向が強いようです。
外部リンクチェックなども無いようですし、対処されるまで閲覧は控えたほうがいいかもしれません。

486 名前:(○口○*)さん :07/03/29 19:15 ID:VZqdkFsV0
>484
いや、かちゅ〜しゃだとリンクになってるから……

487 名前:(○口○*)さん :07/03/29 19:28 ID:lvk0GWvg0
>>484
ブラウザによってはhやhttp://抜きでも自動的に補うし、
クリップボードのコピーから自動的に開くのすらあるんで
うっかりでも踏んでしまわないための■変換です。

488 名前:478,484 :07/03/29 19:40 ID:hyFH033M0
ごめんなさい。削除依頼書いてきました。
あわてて削除ガイドラインも斜め読みなのだけど、これでいいのかしら
>>478がリンクになってしまっている人、踏まないでください><
以後気をつけます><

489 名前:(○口○*)さん :07/03/29 19:40 ID:migEHEFv0
ttp://www■blog-livedoor■net/game/ 
のアドレス誤クリックで踏んじゃった・・・
とりあえず今PCに入ってるノートン先生使ってスキャンかけてるけど
踏んだ時点で反応しなかったところを見ると検出は望み薄

状況は
踏んだ後サバキャンで慌ててパス入力してしまった気がする
別PCは用意可能(ただし回線はルーターで分けているのみ)
スキャン実行中(現在検出なし)
です

現状で取るべき行動をご教授ください

490 名前:(○口○*)さん :07/03/29 19:47 ID:migEHEFv0
age忘れた・・・

491 名前:(○口○*)さん :07/03/29 19:56 ID:WqcwjnTX0
>489
別PCが安全と言えるなら、急いで別PCからアトラクセンターに繋いでPASSを全部変更。
安全といえないなら1CD LinuxをDLして焼いてからそっちで起動して同様に。

感染PCは駆除に専念し、安全になるまではLANケーブルは引っこ抜いておく。
どうしても駆除できそうに無いならOS再インストールも視野に入れる。

492 名前:(○口○*)さん :07/03/29 20:00 ID:migEHEFv0
LANケーブルを引っこ抜くとインターネットを介した駆除作業が実行できなくなるけど、それでも引っこ抜いた方が良い?

493 名前:(○口○*)さん :07/03/29 20:17 ID:Nl22VKWQ0
>>492
垢ハックは、ウィルスではないので、そのPCでログイン・パスワード変更作業をしなければOK。

1.まずは別PCからパス変える
2.カスペやNOD32などで検出して除去する
3.もしくはHDDフォーマットからのクリーンインストール
  (トロイなので、データには不着せず、増殖作業も行なわないからバックアップ取るのはOK)
4.元のPCの環境構築
5.元のPCでROをプレイ

494 名前:(○口○*)さん :07/03/29 20:36 ID:Mhu3swg00
>>481

>>466です。一日超えても見てた甲斐がありました!
ありがとうございます。

見たアドレスは
■よく眠るために覚えておきたい17のTips
http://clip■livedoor■com/page/http://www■popxpop■com/archives/2007/03/17tips■html

■無料で使える大きめアイコン素材集 10サイト
http://clip■livedoor■com/page/http://www■designwalker■com/2007/03/free_icons■html

です。
あと別件なのですが、踏んだか!っと心配になってカスペオンラインスキャンを
実行してみたとこ

C:\Documents and Settings\\Local Settings\Application Data\
Identities\\Microsoft\Outlook Express
受信トレイ.dbx/[From "Branch Banking and Trust" ]
[Date Sun, 4 Mar 2007 13:53:57 +0900 (JST)]/UNNAMED/html
(個人名削除)

から感染: Trojan-Spy.HTML.Bankfraud.ra と表示されました。
Trojanは垢ハックスレに良く出てくるものですが、これもそうなのでしょうか?
調べて見ましたが、詳しい情報が分かりませんでした・・・。

と言うか2007.3.4にメールで感染してるっぽい・・?
最新のノートンでメールチェックしてるのに_| ̄|○ il||li

495 名前:(○口○*)さん :07/03/29 20:37 ID:Mhu3swg00
歓喜のあまりsage忘れすいません・・・orz

496 名前:(○口○*)さん :07/03/29 20:59 ID:migEHEFv0
>>493
とりあえず1は行いました
ノートン先生は何も検出しませんでした
現在カスペでスキャンかけているところですが、今のところ検知は出来ていないようです

とりあえず張られていた場所(MMOBBSのPvスレ)
MMOBBSで何度も張られている
という事から入った可能性のあるウイルスは垢ハックと推定しているのですが
この推測を裏付けるもしくは覆す要素はあるでしょうか?

また3にバックアップを取るのはOKと書いてありますが、つまり出自を自分で知っているものならば
データをコピーしてフォーマット後再度そこから戻す、という操作でよいのでしょうか?

ローカルディスクをまとめてコピーしたらいみないですよね・・・

497 名前:(○口○*)さん :07/03/29 21:22 ID:Nl22VKWQ0
>>494
>Trojanは垢ハックスレに良く出てくるものですが、これもそうなのでしょうか?
トロイは、垢ハック以外のケースが有ります。今回も、メール経由で入ってきてますし、
垢ハック系の名称と違いますから、別件でしょう。

>最新のノートンでメールチェックしてるのに_| ̄|○ il||li
ノートン先生は、基本がウィルス対策なので、トロイやスパイウェア系は弱いかもしれません。
Spybotや、Ad-Aware などを組み合わせるといいと思います。

498 名前:(○口○*)さん :07/03/29 21:44 ID:Nl22VKWQ0
>>496
>ノートン先生は何も検出しませんでした
>現在カスペでスキャンかけているところですが、今のところ検知は出来ていないようです

View-source:〜で確認した所、確かに、VBスクリプトが入っています。
これを、保存して、スキャンをかけましたが、これ自体はNOD32では検知しませんでした。

そして、このVBスクリプト中にある「http://www■blog-livedoor■net/game/svch■exe」を
ダウンロードしようとしたところで、NOD32が反応し、「Win32/PSW.Maran トロイ の亜種」を
検知しました。

時間 モジュール 対象 名前 ウイルス アクション ユーザ システム情報
2007/03/29 21:35:00 IMON ファイル http://www■blog-livedoor■net/game/svch■exe ウイルスの可能性 : Win32/PSW.Maran トロイ の亜種

VBスクリプトが実行される時点までは、そのセキュリティソフトも反応しないと思われます。
そして、exeがダウンロードされるか、実行された時点で、始めて垢ハックウィルス(トロイ)として
検知されます。

このファイルを入手する前の段階で、ブラウザを終了させていた場合、感染しておらず、セキュリティソフトも
反応しないことになります。

499 名前:(○口○*)さん :07/03/29 21:57 ID:migEHEFv0
今カスペのスキャンが終了しました
ウイルスを一つ検知
感染: Trojan-Downloader.Win32.Dyfuca.t
という事です

えっと・・・このウイルスの動作及び駆除の方法を調べる方法はあるでしょうか?
ウイルス名で検索かけると上位が英語サイトばかりで・・・

500 名前:(○口○*)さん :07/03/29 22:06 ID:6YfGOV5C0
>>494
>[From "Branch Banking and Trust" ]
これはフィッシング詐欺メールで、ROと全く関係ないです。
「“フィッシング”に悪用可能なセキュリティ・ホールが続出」てググって見てください
ITPROのサイトに似た事例が載っています。

そして、誘導されて悪意あるサイトを見ていない限り、「感染」はしていないので
今回、ノートンに罪はありません
貴方が受信トレーにスパムメールを置きっぱなしにしているのが原因です

501 名前:(○口○*)さん :07/03/29 22:11 ID:VZqdkFsV0
>499
Downloaderという名称のものは、そのウィルスが次々に別のウィルスを勝手に
DLしてインストールしてくれるタイプ。
つまり放っておくとPCはウィルスだらけになる。

カスペのオンラインスキャンで検出したのなら、カスペの体験版をDLしてきて
駆除するのが一番早いかな。
ただNortonと干渉すると厄介なので、一度Nortonをアンインストールしてから
やったほうがいいかも。

ttp://service1.symantec.com/SUPPORT/INTER/tsgeninfojapanesekb.nsf/jdocid/20041005144122953?Open&src=jp_w
にある削除ツールで完全に消せるので、その後カスペ体験版入れて駆除。
その後またNorton入れるなら、カスペをアンインストールしてから再度Nortonを入れる、って格好で。

502 名前:(○口○*)さん :07/03/29 22:20 ID:Nl22VKWQ0
Win32.Dyfuca :(W32/Dyfuca.T (F-Secure)) 広告ダウンロード用
説明:
ttp://www.casupport.jp/virusinfo/2005/win32_dyfuca.htm

TROJ_DYFUCA.F:
>これは「トロイの木馬型」不正プログラムです。webサイトに接続して、自身のアップデートやファイルのダウンロードを行います。
ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_DYFUCA.F

この辺の亜種なので、自動で自身のUpdate等を行なう(もしくは、垢ハック用のトロイをダウンロードさせるためのものかも)
ということだと思います。その辺のつもりでチェックしたらいいかもですね。

503 名前:(○口○*)さん :07/03/29 22:21 ID:migEHEFv0
>>501
ありがとうございます
なるほど・・・とりあえずウイルスを送り込む突破口を開かれた、ということになるのですね

とりあえずスキャンが終了した時点でLANケーブルを抜いたので現状で
このウィルスの被害は拡大しなくなったと見て良いのでしょうか・・・

しかしダウンローダーが入ってるとすれば何かしらの検知できていないウイルスが
既にPCに入ってる可能性が高い、ということになるのでしょうか?

504 名前:(○口○*)さん :07/03/29 22:57 ID:VZqdkFsV0
>503
>このウィルスの被害は拡大しなくなったと見て良いのでしょうか・・・

『その』ウィルスに関しては『ほぼ』YES。
でも『それ以外の』ウィルスに関しては、存在含めて回答不能。

Nortonが見逃してカスペが検出したように、カスペが見逃して他のが
検出する事もあるし、何よりどのアンチウィルスソフトも万能じゃない。
アンチウィルスソフトがウィルスを発見出来なかった場合、文字通り
発見出来なかっただけだし。

既にPC内に別のが入り込んでるかは何とも言えない。
カスペ以外のほかのオンラインスキャン等を使うとかして見つからなければ
『多分』安全。

505 名前:(○口○*)さん :07/03/29 23:02 ID:Nl22VKWQ0
>>499
あー、そうそう。それ、多分、今回の件(>>489)とは別物で引っ掛かった奴だから。
今回踏んで導入されそうになるのは、>>498で書いたもの。

垢ハック発動させたかの確認ですが、

■作業1■
 現在の状態で、ブラウザを使用して、
  >そして、このVBスクリプト中にある「http://www■blog-livedoor■net/game/svch■exe」を
 こいつをダウンロードしてみて下さい。絶対に実行しちゃだめですよ。

 実行ではなく、あくまでも「ダウンロード」。

 ダウンロードした時点で、ノートンが検知し、警告なり、隔離なりして、保存に失敗したり、
 保存したファイルのサイズが0KBになっていた場合は、ノートンのパターンに登録されていて
 ブロックできることになります。

□作業結果1−1□
ここで、ノートンが反応する場合、jscriptが走って、垢ハック用トロイの本体を
入手しようとした時点でブロックできる訳ですので、
「今回反応しなかった」=「jscriptが実行されなかったか、本体入手前に切断した」ために、
セーフである  可 能 性 が 高 い  です。

この場合、セーフと考えてOSを入れなおさない選択肢も、"自己責任"にはなりますが、可能です。

□作業結果1−2□
残念ながら、ここでノートンが反応しなかった場合、「すり抜けた可能性が高い」ので、
削除、もしくは、OS入れなおしの処理が必須である可能性が高いです。

506 名前:(○口○*)さん :07/03/29 23:03 ID:Nl22VKWQ0

■作業2■
さて、残念ながら、ノートンでは反応せずに、本体が入手できてしまった場合です。
(以降、このファイルを検体)と呼びます。

この検体をカスペルスキーオンラインスキャンにかけてみてください。

なぜ、このような検査をするかというと、「感染状態で」あるウィルスが、自身をステルス化して、
「セキュリティソフトの検知を阻んでしまう」事例があるからです。

□作業結果2−1□
検体が検知でき、>>499で確認された「Trojan-Downloader.Win32.Dyfuca.t」とは
別の名称であった場合スキャンした時点で、今回の垢ハックは、「カスペでは検出可能」であり
「最初のスキャン時点で検出しなかった」ということは入手前であった可能性がでてきます。

この場合、jscript実行前か、実行してしまったが、本体入手前に切断したということが
考えられます。その想定通りの場合、感染していない筈ですから、"自己責任"でそのまま
使い続けることが可能です。

□作業結果2−2□
検体が検知でき、>>499で確認された「Trojan-Downloader.Win32.Dyfuca.t」であった場合、
そいつが踏んでしまったものの本体です。検知できたセキュリティソフトで除去しましょう。

ステルス化できていない[検知できる]わけですから、普通にセキュリティソフトを入れて
削除すれば、一応はOKです。ただ、なにかの感染の疑いがあるというか、感染しちゃって
いるわけですから、条件としてはよくないです。

可能な限り、別パーティションや別HDDにクリーンな環境を構築し、そこにセキュリティ
ソフトを入れ、そこから、感染したHDDをスキャンし、除去作業を行なってください。
それが完了したら、元のHDDから起動しても安心です。

□作業結果2−3□
残念ながら、入手した検体が、カスペで検知できなかった場合。これは最悪の状況ですね。
「Trojan-Downloader.Win32.Dyfuca.t」は入っている。それとは別に検知できない
「垢ハックのトロイも入っている」という訳です。

別のセキュリティソフトで対処しなければなりません。

507 名前:(○口○*)さん :07/03/29 23:03 ID:Nl22VKWQ0
(□作業結果2−3□ 続き)

今回、NOD32では検知可能という報告がありますので、NOD32を使用して、改めて、作業2を
行なってください。

NOD32は、アップデートしないと、「Win32/PSW.Maran」を検知できなかったと思いますので
(ヒューリスティックスキャンすり抜けて、検体提出後対応された)パターンの更新が必要です。
試用版状態からパターン更新を行なう為には、IDとパスを入手する為メールの送受信が必要になります。
このメールアドレスやパスワードが抜かれる危険があるので別PCや、別HDDなどで起動し、
安全な環境で試用期間用のIDとパスを入手して下さい。

該当PCにインストールしたNOD32に、安全な環境で入手したIDとパスを入力し、パターンを更新します。
その後、■作業2■をNOD32で行なってください。あとは結果2−1〜2−2のどちらかになるので
書いてある対処を。

NOD32を入れても、作業結果が□2−3□になってしまった場合、ステルス化されてしまって
検体が検知できなかったことになります。この場合、別HDDや別パーティションを作って、
そこにクリーンな環境を構築し、そこにNOD32を入れて、除去作業を行なう必要があります。
(別PCがあるなら、そっちにHDDを繋いで、クリーンな環境である別PCから除去作業をできるでしょう)

508 名前:(○口○*)さん :07/03/29 23:09 ID:Nl22VKWQ0
最後に、書き忘れ。

本当に踏んだかどうかの確認の為に入手した「検体」の廃棄方法ですが、ごみ箱にドラッグとかすると
ダブルクリックで(今まで発動させていなかったにもかかわらず)誤爆発動させてしまう危険があります。

■検体廃棄方法■
1.該当ファイルはクリックではなく、マウスカーソルをドラッグさせて、範囲指定でファイルを指定します。
2.選択したファイルは ごみ箱へドラッグせずに(ここ重要) メニューバーのファイルから、削除を選びます。
3.ごみ箱に入ったら、普通にごみ箱を空にして下さい。

以上。

509 名前:(○口○*)さん :07/03/29 23:15 ID:ipni2NYs0
オンラインスキャンってアンチウィルスソフト常駐させてるPCでやっても大丈夫?

510 名前:(○口○*)さん :07/03/29 23:15 ID:PH/GQR0+0
ノートンの有効期限がきれた今しか聞けないだ!

ぶっちゃけ、今一番有効な対策ソフトって何ですか?
田舎だけど、明日にでも買いにいくので、親切な方教えてプリーズ

511 名前:(○口○*)さん :07/03/29 23:22 ID:rqQEJFWZ0
正直、罠URLを踏む人はどれを使っても同じだよ

512 名前:(○口○*)さん :07/03/29 23:24 ID:Nl22VKWQ0
>>510
総合スレの2より。ヒューリスティックスキャン機能の充実が鍵ぽい。

【PCにウィルス対策ソフトを導入してない方へ】
・Kaspersky Anti-Virus (体験版)
 http://www.kaspersky.co.jp/trial/
・カスペルスキー:オンライン ウイルス&スパイウェアスキャナ
 http://www.kaspersky.co.jp/scanforvirus/
・NOD32 アンチウイルス (体験版)
 http://www.canon-sol.jp/product/nd/trial.html

513 名前:(○口○*)さん :07/03/29 23:27 ID:VNHFeZqd0
今までノートン使ってて、特に不満がなければノートンでいいよ。
使い慣れてるのが一番だし、次の機会(1年?)までにこれに変えたいってのが
出てきたらそれにすればいい。

514 名前:(○口○*)さん :07/03/29 23:41 ID:migEHEFv0
えっと・・・何点か質問が
今回カスペルで引っかかったものが別物だとするならば気になる現象が・・・

実は489のアドレスを踏んだ時、ページが表示できません、と表示されて、
VBスクリプトというものが動いた形跡が無いのが・・・

ところで、作業1はインターネットに繋がった状態で行わなければ意味がありませんよね?


また、VBスクリプト中に有るhttp://www■blog-livedoor■net/game/svch■exeをダウンロードするという動作は
元のhttp://www■blog-livedoor■net/game/を直にアドレスに入れて検索かければ良いのでしょうか?
それともhttp://www■blog-livedoor■net/game/svch■exeの方をいれないとまずいです?

509でrojan-Downloader.Win32.Dyfuca.tで誤爆発動の危険を指摘されていますが、
現状では発動しないかぎり危険は少ないということなのでしょうか?

515 名前:(○口○*)さん :07/03/29 23:47 ID:3sL4oF2C0
なんか生兵法見てるみたいで冷や冷やする

516 名前:(○口○*)さん :07/03/29 23:53 ID:rTngnwIQ0
ルータのフィルタリング設定が柔軟なものってなんだろう?
csvファイルで拒否IPをインポートできるような製品とか無いかな。


クライアントPCが複数あって家族共用なので上流のルータでバシッと止めたいんだ。。。

517 名前:494 :07/03/30 00:07 ID:gbZTXFOz0
>>497
>>500
ご意見ありがとうございます。
今のところ垢ハック系ウィルスには感染してないようですね。
少し安心しました。あと、迷惑メールの中にあやしいのがあるっぽいですねorz
横着せずにメールチェックと削除をやりたいと思います。

あとは
■無料で使える大きめアイコン素材集 10サイト
http://clip■livedoor■com/page/http://www■designwalker■com/2007/03/free_icons■html
これの正体が少し心配です・・・。踏んだ後、ライブドアから外のアクセスになっていたので
かなり焦りました。ライブドアのブログに見せかけた偽サイトかと思いました。

最近は、捨てブログに垢ハックウィルス仕込むのまで居たとか聞いたので
正直、怖くていけません・・・・。これを機会に初期化しやすい環境でも作ろうと思います。

518 名前:(○口○*)さん :07/03/30 00:10 ID:Y4S5AclJ0
>>514
>実は489のアドレスを踏んだ時、ページが表示できません、と表示されて、
>>514
>VBスクリプトというものが動いた形跡が無いのが・・・

それを先に言えYO!!

発動してねーよ、それは。


>また、VBスクリプト中に有るhttp://www■blog-livedoor■net/game/svch■exeをダウンロードするという動作は
>元のhttp://www■blog-livedoor■net/game/を直にアドレスに入れて検索かければ良いのでしょうか?
>それともhttp://www■blog-livedoor■net/game/svch■exeの方をいれないとまずいです?

後者だったけど、やる必要皆無。やると逆に危ないのでやっちゃだめ。
スクリプト動いてないなら実体が入ってきてないから安心しる。ノートンが検知しないのも当たり前。

どうしても試したければ、「自己責任」で後者をダウンロードして、ノートンが検知するか確認すれば
安心はできるだろう。だが、現在踏んでいないのに、安心感の為だけに誤爆で発動させる危険は
侵さないほうがいい。(>>505-508は、踏んでいることを前提にして、検知できなかった時の対処を書いた)

519 名前:(○口○*)さん :07/03/30 00:27 ID:nLhiR8nN0
そっか・・・安心した
指名手配URLを踏んだ!しかもカスペルでウイルスが引っかかった!って時点で
既に視野狭窄に陥ってた・・・
ページが・・・ってのもてっきり偽装だと思い込んでたよ・・・

んじゃ、とりあえずカスペルで引っかかったトロイダウンローダーの駆除が当面の問題ですね・・・
ノートンアンインストールして・・・って操作は私の判断でやれることを超えている(親が判断すること)
なのでとりあえずLAN抜いたまま判断は親に委ねる事にします

ノートンで引っかからない以上いつから入ってたかわから無いのにダウンローダー以外検知されないってのが怖いところですが・・・

520 名前:(○口○*)さん :07/03/30 00:28 ID:E4S0ry8J0
ttp://www.st.ryukoku.ac.jp/~kjm/security/memo/ の3/29の記事

> Windows XP SP2 上の IE 6 / 7 における ANI (アニメーションカーソル) ファイルの処理に
> 0-day 欠陥があり、攻略 ANI ファイルを使って任意のコードを実行可能な模様。
> Windows XP gold / SP1 にはこの欠陥はない。
> Firefox 2.0 にもこの欠陥はない。
> McAfee は カーソルおよびアイコンのフォーマットの処理の脆弱性により、
> リモートでコードが実行される (891711) (MS05-002) を連想させる、としている。
>
> これを利用するダウンローダが存在する模様。

XPでIE使っている人は注意だ!!
既に攻撃ファイルが出回って居るぞ

521 名前:(○口○*)さん :07/03/30 00:33 ID:Y4S5AclJ0
不正アクセス事件、未解決の半分はネット喫茶から
ttp://www.asahi.com/national/update/0329/TKY200703290297.html

セキュリティ関係のニュースなんで、一応貼っとく

> まとめでは、05年中に認知した不正アクセス事件は592件。このうち、昨年5月末時点で315件は解決。
>しかし残り277件の未解決事件のうち、約半数の139件はネット喫茶が利用されたことまでは突き止めたが、
>店に利用者の身元確認記録がなかったため、捜査が進んでいないという。

ネカフェ使うときは、うざくても、身元確認しっかりした所にしような。

522 名前:(○口○*)さん :07/03/30 00:36 ID:nLhiR8nN0
XPでIE使ってる人
定義ファイルの少し古いノートンで引っかからないダウンローダ
3/29の記事
更新バージョンを調べるとSP2・・・

まさか・・・そういうことなのか?

523 名前:(○口○*)さん :07/03/30 05:20 ID:XLx82h+X0
>>516
csvを直接流し込めるのは、聞いた事が無いな……
telnetでconfigを流し込めるのは、伝統的なメーカー(ciscoとかYAMAHA)なら当たり前なので、こっちを考えた方が。
TeraTermのマクロなどを併用すれば、それほど手間にもならないだろうし。

>>517
外部サイト参照になっているのは、livedoor clipというソーシャルブックマークツールだからだと思われ。
ttp://clip.livedoor.com/
要は、ブックマークサービスに保存される事が多いページが、話題のページという扱いで一覧されている。

524 名前:(○口○*)さん :07/03/30 13:00 ID:ylhEt75h0
「〜のオンラインスキャンを試してみたところ」って人が多いけどウィルス対策ソフトいれてないの?
それともそのウィルス対策ソフトがスルーしてるの?

ウィルス対策ソフト入れてもスルーされて感染してしまった場合は
なるだけ使っているウィルス対策ソフトの名前を書いて欲しい

525 名前:(○口○*)さん :07/03/30 13:19 ID:dHBRSlKS0
俺は一応お守りのつもりでAvast入れてるけどまったく信用してないから、
各社オンラインスキャンはよく使う。

526 名前:(○口○*)さん :07/03/30 14:11 ID:s7bqDCsx0
注意してたのにうっかり踏んじゃった…例のyahoo-gamebbsのやつ
URLクリックしてすぐブラウザの×押したけど回線光だから何かDLとかしてるかもな
Sleipnirでjava2種activeX2種オフにしてた
PG2が反応してChinaへの送信をブロック、Avastは無反応だった
現在カスペルスキーオンラインスキャン中、早急にすべきこと助言頼む

527 名前:(○口○*)さん :07/03/30 14:12 ID:RgPBpI2i0
Kaspersky Internet Securityの英語ベータおぬぬめ。
普通のベータアクティベートコードじゃエラー出るんで
ひっそりと公開されているコードを入手する必要あり。
カスペ公式フォーラム下記URLのPost #14にある00C579A9.rarにコードが入っている。
ttp://forum.kaspersky.com/index.php?showtopic=32529&st=0

このコードはType: Beta key for 2 computersで3ヶ月利用可。
期限到来後に同じコードから再アクティできるかはまだやっていないので不明。
KISに搭載されているFWは性能はいいらしいけど設定が非常にわかりにくいかも。

528 名前:(○口○*)さん :07/03/30 14:36 ID:Y4S5AclJ0
>>526
うっかりさんは、ほかのうっかりもリセットする為に、OSをクリーンインストールしたらいいと思います。

529 名前:(○口○*)さん :07/03/30 14:42 ID:grSVp8wF0
>>526
そこまで対策してるってことはそれなりに知識もありそうなもんだが、対処方法の助言がいるのか?
常識で考えればだが、PG2で接続先の中国IPを遮断し、さらにActiveXオフにしていたなら感染はしていないはず。
もちろん絶対とはいえないし、一度感染していたらスキャンしても検出されないことはある。
何度も言われているが、確実なのはOS再インストール以外にない。

530 名前:(○口○*)さん :07/03/30 14:47 ID:s7bqDCsx0
テンパってたんだ、すまない
2chのROと全然関係ないスレでうp画像に混ざっててうっかり踏んじゃったんだ
みんなも注意してくれな
>>529Thxそれでは消えます

531 名前: ◆sp4Sh9QXGI :07/03/30 17:22 ID:B7vUVDK90
Windowsに深刻な脆弱性、ゼロデイ攻撃も発生
 @ITmediaエンタープライズ
http://www.itmedia.co.jp/enterprise/articles/0703/30/news035.html

…とのことです。

532 名前: ◆sp4Sh9QXGI :07/03/30 17:23 ID:B7vUVDK90
追伸:
> 攻撃コードはアニメーションカーソルの「.ani」ファイルだけでなく、
> ファイル名をJPEGに変えたエクスプロイトが出回っているとの報告もある。

これってもしかして…

533 名前: ◆sp4Sh9QXGI :07/03/30 18:18 ID:B7vUVDK90
もう一つ。
現在RO Blogの新着順トップに表示されている
『ゞJo?rn?y 最近の記事』
というBlogですが、ハッキングされたのか
iframeタグにlovetwが仕込まれています。
ご注意ください。

…とは言っても、もう21ほど踏んでしまった人がいるようですが(´・ω・`)

534 名前: ◆sp4Sh9QXGI :07/03/30 18:20 ID:B7vUVDK90
4連すみません。

533は特にやばそうなんで一応警鐘ageときます。

535 名前:(○口○*)さん :07/03/30 18:28 ID:HVj1uym80
>>533
それ怖いですな
仮に履歴に残ってたらうっかり踏んでしまいそうだ。
履歴とかもソースチェッカーをかけてから見ないと駄目か・・・

536 名前:(○口○*)さん :07/03/30 18:35 ID:bta4pNBM0
21人踏んでるって…、気付いてるのかなその人達(;´Д`)

537 名前:(○口○*)さん :07/03/30 18:38 ID:HVj1uym80
そのRO BLOGの管理人に言っておかないとやばそうですな

538 名前:(○口○*)さん :07/03/30 18:54 ID:bgBsD+Ty0
>>533のアドレス
ttp://nikang■blog79■fc2■com/
しこまれてるiframeタグのアドレス
ttp://www■lovetw■webnow■biz/2jp/ (既出:リネ室設定のPG2でブロック可)

またまたFC2ですね。FC2やばいなあ。
しこまれてるトロイは、これもスレで何度も出てるVBS/Psymeです。

539 名前:(○口○*)さん :07/03/30 19:14 ID:uAs785O80
テレポやハエはおろか蝶すら使えないMAPというのはありますか?
BOTを隔離したいのですが。

540 名前:(○口○*)さん :07/03/30 19:18 ID:XLx82h+X0
>>533,538のBlog、ハックされたわけではなく、本物からのコピペ模造による罠Blogのようだ。
ちなみに、本物はlivedoorで運用している。

ひとまず、fc2には通報済みだが、念の為にフォームの場所も置いておく。
https://form1ssl.fc2.com/form/?id=49541

541 名前:(○口○*)さん :07/03/30 19:38 ID:Y4S5AclJ0
>>539はマルチ&スレ違いなんで放置で

542 名前:(○口○*)さん :07/03/30 19:48 ID:wcQ5XtJ00
>>539
蝶使えないMAPがあるかは分からんけど、BOT隔離MAPとして
リヒ宿とかフィゲルとかはどっかで見たことある。
蝶が切れてたら死に戻りするしかないらしく対応してないBOTには
有効らしい。

543 名前:(○口○*)さん :07/03/30 19:50 ID:HVj1uym80
うかつにブログサーフィンとかもできないなぁ・・・

544 名前:(○口○*)さん :07/03/30 20:24 ID:ylhEt75h0
>>533
何処の新着順だろうとおもったらROBLOGってサイトがあったんだな・・・
エキサイトとか探し回っちゃったよ('A`)

545 名前:(○口○*)さん :07/03/30 20:31 ID:D0rl3ztg0
IE系ブラウザでJava2種ActiveX2種無効、
Proxomitronでiframeやスクリプト系は全部書き換えて殺してるんだけど
この状態でもハックされる可能性のあるものってありますか?

546 名前:(○口○*)さん :07/03/30 20:43 ID:7ybWBEVs0
>545
脆弱性を突くタイプは穴があるかどうかすら不明だから、ハク犯が見つけた日には
ゼロディで表面化する。
その中にROの垢ハクウィルスがないとは言い切れない。
pdf・QuickTime・Flash等も含めて、の話になるが。

ブラウザ以外ならメール経由やらny等の罠ファイルやら、幾らでもあると思われ。

547 名前:(○口○*)さん :07/03/30 20:59 ID:QnUEdMhl0
>>545
可能性があるかという質問を投げたら、
ないとは言い切れないという答えしか返ってこないだろうね。
>>531みたいな例もあるし、公に知られていない脆弱性を利用されたらアウト。

極論を言えば、view-sourceしただけで任意コードが実行されるバグが
あったりするかもしれないし。ないと思うけどね。

548 名前:(○口○*)さん :07/03/30 22:16 ID:zaqYcEsc0
BSWikiさんとこにこんなのが出来てた。
http://smith.xrea.jp/riskycheck.php

なんか未だ実験中らしいけど場合によっては結構使えそうだね。

549 名前:545 :07/03/30 22:26 ID:D0rl3ztg0
なるほど
最低限ブラウザ経由で狙われないよう対策したつもりでしたが
未知の脆弱性に関してはどうしようもないですね
今後も油断しないようにします

ほんとインターネットは地獄だぜフゥハハハーハァー

550 名前:(○口○*)さん :07/03/30 23:01 ID:yhzCtRzj0
>>533
今見たら27件になってたよ、皆気をつけて!

551 名前:(○口○*)さん :07/03/30 23:16 ID:bta4pNBM0
注意は当然としてなんとからなんのかな…

552 名前:(○口○*)さん :07/03/31 00:28 ID:rmEYnVNt0
最近の中華(or国内の愉快犯)はもう 必 死 だ な 。
巡回先の2chネトゲサロン板に、「発光式を行います」ってタイトルの
いかにもROプレイヤーを対象にしたスレが立ってたからなにげにクリック。
どこぞのblogに書かれていたんであろう文面とともに
怪しげなURL(www■fcty-net■com)が書かれてたんで調べてみた。
Iframeでlovetwの例のアレが仕込まれてて、ホスト所在地は中国。

もうROは垢ごと消してあるからとはいえ、おちおち2chも巡回できないのかよ(´Д`;)

553 名前:(○口○*)さん :07/03/31 00:45 ID:FZ2RknGU0
DSBLやBBQのような、ブラックリスト関連に登録されるように働きかけるのが手っ取り早いか。
今のところ、殆どの投稿が国外からのようなので、巻き添えで害を被るケースは少ないだろうし。

554 名前:(○口○*)さん :07/03/31 01:11 ID:I1sUQnU/0
iframeを無効化する方法となると、>>545のProxomitronぐらいしかないかな?
IEのオプションいじっても意味ないよね?

555 名前:(○口○*)さん :07/03/31 03:07 ID:ZpIQ+vTK0
Proxomitronは超優良ソフトだな
個人的にはこいつなしじゃネット巡回する気も起きない
導入方法や設定がやや難解な面もあるけど
ハック予防にも効果あるし未導入の人には強くオススメしておく

556 名前:(○口○*)さん :07/03/31 03:41 ID:kyFtIcKLO
チョンに都合の悪い単語さ、HPに仕込んだらアクセス無くせるかな?

557 名前:(○口○*)さん :07/03/31 03:59 ID:P4PWgF8t0
まだ、それをすることによるアクセスの変化までを検証した人は居ないので不明だ

558 名前:(○口○*)さん :07/03/31 05:12 ID:HzrXnXag0
チョン関係あるのか?半島より大陸だと思ったんだが
単語入れることによって集中攻撃される可能性もありそうだけども

559 名前:(○口○*)さん :07/03/31 06:47 ID:LqJS+avs0
>>557
アコプリのテンプレサイトでやってみれば効果の有無ぐらいは判ったかもしれないな。

>>558
今のところ関係があるような話は無かったように思うが
リネージュ資料室にあるPG2のリストには中国・韓国・台湾のがあるから
完全に無害、無関係だと言い切るのも無理がありそうだな。

560 名前:(○口○*)さん :07/03/31 07:21 ID:zGtQW8Nh0
>>554
IEの「IFRAMEのプログラムとファイルの起動」を無効にして、実験してみました。
なお、インターネットゾーンでテストを行うため、サーバー上にHTMLファイルを上げて行いました。
(ローカルでやっても問題ないのかもですが、不明なゾーン(混在)になるのが気持ち悪かったので)

●実験で使用した環境
OS:Windows XP Professional SP2 および Windows XP Home SP2
ブラウザ:Internet Explorer 6.0 SP2

●実験手順
1.インラインフレーム内にgoogleを表示させる。
2.Windows Updateを検索し、マイクロソフトのサイトへ移動
3.Windows Updateを実行(ActiveXコントロールが使われてます)

ふつうにWindows Updateできてしまうわけですが・・・
Windows Updateができるようでは、どんな危険なコードでも走るでしょうね。
確かに「無効」に設定してるのになあ。いったいなにが無効になるというんだろう・・・

ちなみにサーバーに上げたHTMLファイルはこんなのです(↓)
<html><body>
↓↓↓Inline Frameです↓↓↓<br>
<iframe src="http://www.google.co.jp" width=80% height=80%></iframe>
</body></html>

561 名前:(○口○*)さん :07/03/31 10:32 ID:/r3BHv3O0
久々に復帰してROを立ち上げたのですが
ウィルスバスター2007が「不審な変更を発見しました」という警告を出しました。
これはアカウントハックの危険性があるのでしょうか?
一応バスターによれば「正規のプログラムの可能性があります」ということなのですが…

562 名前:(○口○*)さん :07/03/31 10:45 ID:woai+HU00
「変更を管理」だっけ?許可ボタンの隣りにそんなボタンがあるはず
そこ見ればどこのプログラムか確認できるよ

563 名前:(○口○*)さん :07/03/31 10:50 ID:/r3BHv3O0
dump_wmimmcというプログラムのようでした。
二回目以降機動ではとくに検出されません。
またぐぐってみたのですが特にそれらしいページは見つかりませんでした。

特に垢ハックとは関係ないのでしょうか。

564 名前:(○口○*)さん :07/03/31 10:55 ID:FClK2dVz0
KISはnPro(パッチクラ後、ROのウィンドウ表示前)にdriver installの
警告を出したり出さなかったりするから、そのへんかもしれない。

565 名前:(○口○*)さん :07/03/31 11:13 ID:jZLNdODx0
>>564
このスレに書込む位だからカスペだと思うが、KISって略すのやめてくれないかな。
キングソフトのセキュリティソフトと略称が被るのでわかりにくい。

566 名前:(○口○*)さん :07/03/31 11:29 ID:zGtQW8Nh0
>>563
うちもウイルスバスター2007インストールして、初回のRO起動で出ました(2回目以降は出ません)
dump_wmimmc.sys は nPro が一時的に作成するファイルのようです。

567 名前:(○口○*)さん :07/03/31 13:51 ID:/r3BHv3O0
ありがとうございました。
その後異常もないようなので一安心です。

568 名前:(○口○*)さん :07/03/31 17:22 ID:P4PWgF8t0
>>560
いまもなのかは知らないけど、IEはMS関係に関しては設定を無視するという仕様があった

569 名前: ◆sp4Sh9QXGI :07/03/31 17:34 ID:961fj5k70
リネージュ資料室さま より

> 昨日お知らせしたWindowsの不具合を悪用したリネージュ向けウィルスが確認されました。
> 亜種も作成されつつある上、まだ対応できていないウィルス対策製品も多く、非常に危険な状態です。

> Windowsパッチが最新の状態でも、 JavaScriptやActiveXを使用しない設定にしてあっても、
> IEやIEコンポーネントを利用したブラウザを使用していればウィルス感染の危険性があります。
> マイクロソフトよりパッチがリリースされるまでの間、 IEの利用を控えることを強くお勧めします。

570 名前:(○口○*)さん :07/03/31 18:25 ID:MNORiHds0
うちに来たアクセスログを徒然と眺めてたらこんなものが。
特に垢ハクアドレスを貼られたわけでもないのですが、気になったので質問。
(一部改変しています)

>catv-xxx-xxx-xxx-xxx.medias.ne.jp - - [30/Mar/2007:20:29:50 +0900] "GET (中略) "Mozilla/4.0
>(compatible; MSIE 6.0; Windows NT 5.1; SV1; EmbeddedWB 14.52 http://www.Pandora.Tv EmbeddedWB 14.52)"

ここから読み取れる事は

・medias.ne.jpのケーブルTVサービスを利用してる
・WinXP XP2あたりのOS
・EmbeddedWBとあるので、Delphiで作られたIEコンポーネントブラウザ使用

ここまでは良いのですが、UAに「www.Pandora.Tv」とあるのは、何を意味してるんでしょうか?
UAは改変出来るとはいえ、そのアドレスが韓国パンドラTVというのが気がなったもので。

571 名前:(○口○*)さん :07/03/31 19:53 ID:pFDViovS0
google先生に尋ねた。
韓国パンドラTVみたいだ。

572 名前:(○口○*)さん :07/03/31 20:06 ID:+M4mii1B0
>>570
○○Toolbarといったプラグインをブラウザに入れると
UAを変更する物が結構あるから単純にその一種なんじゃないかな。
URLをUAに入れるなんてのは確かに変かもしれないけど…。
そのURLに行くとSetPandoraTVSearchなんていうそれっぽいのがあるようだし

573 名前:(○口○*)さん :07/03/31 20:38 ID:MNORiHds0
なるほど、ツールバーの可能性がありますか。
ただ国内ispからの接続なのに、アドレスが韓国のもの、というのが気になったもので。

韓国製のツールバーなんか、インスコするかなぁ……?

574 名前:(○口○*)さん :07/03/31 20:40 ID:IOaBCf300
まぁ、かなりどうでもいいんじゃない?

575 名前:(○口○*)さん :07/03/31 21:47 ID:afcnSpQZ0
>>531のニュースの続報ですね。

>Windows狙うゼロデイ攻撃拡大の様相、被害防止の非公式パッチも
>Windowsのアニメーションカーソルの脆弱性を悪用したゼロデイ攻撃サイトが多数出現。
>eEyeは一時的に被害を食い止めるための非公式パッチをリリースした。
ttp://www.itmedia.co.jp/enterprise/articles/0703/31/news011.html

関連の記事見てると、やっぱり狙いは中華のネトゲ垢ハック目的のようで。
かなり大々的に問題視されるようになってきますかね。
RMTが法で禁止されない限りは今後ハック問題は延々続くので、どうにか法整備してもらいたいもので・・・

576 名前:(○口○*)さん :07/03/31 21:54 ID:P4PWgF8t0
法で禁止されても続くに決まってるだろ

577 名前:(○口○*)さん :07/03/31 22:01 ID:dtB6rAq/0
支那畜が法を守るとでも?

578 名前:(○口○*)さん :07/03/31 22:10 ID:afcnSpQZ0
そりゃ続くでしょうが法を恐れた日本人が買い控えるようになれば多少は減るんじゃないかと。
深みにはまっている奴は昔みたいに地下に潜るでしょうけども、
今みたいに何の咎めもなしに表に業者が出まくって軽い気持ちで買い捲れる状況よりは規模は小さくなりそう。

579 名前:(○口○*)さん :07/03/31 22:25 ID:1ya2EATW0
アカハックまとめサイトにホストの一覧とhostファイルの書き換えについてはあるけどIPの一覧てあるのかな?
ほぼ同一IPみたいなのでこれで蹴ればかなりマシになると思うのだけど

580 名前:(○口○*)さん :07/03/31 22:28 ID:HzrXnXag0
PG2リスト

581 名前:(○口○*)さん :07/03/31 22:44 ID:zGtQW8Nh0
>>579
リネージュ資料室の↓のページに掲載されてるURLね。
ttp://lineage.nyx.bne.jp/misc/security/?id=url-ip

582 名前:(○口○*)さん :07/03/31 22:57 ID:MNORiHds0
>579
>580が書いてるがまとめサイトの「ウイルスからPCを守る」の一番下にある
PG2用リストがそれに当たる。
他だとBS Wikiさんとこかリネ資料室ぐらいかね。

583 名前:(○口○*)さん :07/03/31 23:01 ID:MEV0LcCH0
こんなんのもあるな
http://smith.xrea.jp/files/vir-domain_nslookup.html

584 名前:(○口○*)さん :07/04/01 00:05 ID:1OzyXZJZ0
>570のって、国内ISPのアドレスが踏み台Or中継してて、実は訪問者が
韓国の人間だった、ってオチだったりして。

ま、実害が無ければ気にしなくていいとは思う。

585 名前:(○口○*)さん :07/04/01 04:12 ID:YTZ+/6bZ0
【     OS    】 WinXP SP2
【使用ブラウザ 】 FireFox2.0.0.3
【WindowsUpdateの有無】 この一月以内
【 アンチウイルスソフト 】 NortonInternetSecurity2007
              セキュリティ24(ニフティ会員向け月額有償ソフト)
【その他のSecurty対策 】 Spybot ルーター
【 ウイルススキャン結果】 特に異常は見つかりませんでした
【スレログやテンプレを読んだか】 Yes

先程、グーグルで検索をしようとしたところ
「お客様のリクエストを処理できません。
ウィルスまたはスパイウェアが自動的にリクエストを送信しており
お客様のコンピューターまたはネットワークも感染された可能性があります
アクセスの復旧に向け、今しばらくお待ちください」
というエラーメッセージが表示されました。
アドレスを確認しましたが、間違いなくグーグルのサイトです。
サブPCでは検索できましたので調べてみたところ
グーグルのエラーという記事が出てきました。
問題のPCを再起動したところ問題なく検索できるようになったのですが
これは感染ではなく、グーグル側のエラーだったと考えて宜しいでしょうか?

586 名前:(○口○*)さん :07/04/01 11:08 ID:0GrmhYcc0
ググれば出てくると思うけど、そのメッセージは悪意の有る検索スクリプトに対する防御みたいなもの。
まったく同じ検索キーワードで出たり出なかったりしたのなら、グーグル側のエラーと言えるけど。
当然ウィルスの類に感染している可能性もあるけど、たまたま検索しようとした文字列が
禁止文字列に該当した可能性も無いとはいえない。
"powered by PhpBB 2.0.7..1"とかで検索すれば誰でも出せるし。

その後出なければ問題ないだろうけど、心配なら他の無料のソフトでチェックしてみるか、
パケットキャプチャでおかしな送信が無いか監視してみるとかすればいい。
何も出なくてもどうにもスッキリしなかったらお約束のクリーンインストール。

587 名前:(○口○*)さん :07/04/01 14:14 ID:YTZ+/6bZ0
>>586
手持ちのアンチウィルスソフトに加え
カスペル等のオンラインスキャンも試してみましたが
問題は見つかりませんでした
パケットキャプチャでの監視というものを一度試してみようと思います
レスありがとうございました

588 名前:(○口○*)さん :07/04/02 16:34 ID:kUhd7Ypt0
IEのブラウザエンジンを使ってないブラウザなら「まだ多少」安全って事ですね。
Gekoエンジン型のOperaとかスレイプニル、ルナスケイプ等、多少使い勝手が違いますが
ハックコード受けるよりは良いと言うことでしょうかね。

589 名前:(○口○*)さん :07/04/02 17:15 ID:U3U71hXZ0
>>588
> Gekoエンジン型のOperaとかスレイプニル、ルナスケイプ等、多少使い勝手が違いますが

スマン、誰か代わりにツッコミ頼む。

590 名前:(○口○*)さん :07/04/02 17:42 ID:kUhd7Ypt0
すみません。
operaはGekoじゃないですね。

591 名前:(○口○*)さん :07/04/02 17:42 ID:G2hKz1Me0
>>588
どれ一つとしてGeckoベースのブラウザが含まれていない訳だが。
ttp://ja.wikipedia.org/wiki/Gecko
馬と月はあくまで、外部レンダリング呼び出しに過ぎないし。当然パッチベースは本家より遅れる。

592 名前:(○口○*)さん :07/04/02 17:49 ID:yVMlaK150
セキュリティ関係一般の話題なので、総合スレから移動。

>343 (^ー^*)ノ〜さん sage 07/04/02 16:11 ID:JhH5Bh/10
>リネージュ資料室を見てて気がついたけど、短縮URLを使い始めたな。
>
>あとアニメーションアイコン(ani)の脆弱性、
>既に攻撃コード開発ツールも出回っておりトロイとして拡散中。
>IE7とかでも普通にやられる。つーかやられた。
>
>検体を送ろうと拾ったファイルの拡張子をエクスプローラでaniにした途端
>実行しやがったので回線引っこ抜いた。aniを描画する過程で実行されることと、
>エクスプローラはナチュラルにaniを表示するので注意(Windows\Cursorsを見よ)。

http://internet.watch.impress.co.jp/cda/news/2007/04/02/15277.html
>マイクロソフトは、Windows用のセキュリティ更新プログラム(パッチ)を4日にリリースする。

593 名前:(○口○*)さん :07/04/02 17:51 ID:kUhd7Ypt0
挙げたモノもの全てが間違いでしたかorz
大変失礼しました。
スレイプニルもルナスケイプもGeckoエンジンを切り替えてセキュリティが云々と
うたっていたので、てっきりgeckoもベースに積んでいるモノだと誤認識していました。

ネスケと火狐で有ればGeckoベースのブラウザって事ですよね?

594 名前:(○口○*)さん :07/04/02 19:17 ID:JDID1ffR0
ヘルプデスクに掲示板などの不審なURLに注意しろって公知出すように要望出してみた。
正直焼け石に水だと思うけどライトユーザーには警戒させるのに必要だと思うんだけどやってくんないかなあ。

595 名前:(○口○*)さん :07/04/02 19:24 ID:9Jiq5TXj0
確認のために踏んでGM垢がハクられそうな気がする。

596 名前:(○口○*)さん :07/04/02 19:29 ID:j1K0xIhu0
Geckoエンジン「ベース」のブラウザなのか、Geckoエンジンが「利用できる」
ブラウザなのかの違い。
ぷにるとかは基本的にIE(Tridentエンジン)ベース。

Geckoエンジンが使えるという意味ではそれらは間違ってないし、ブラウザの
安全さに関する解釈も間違ってはないので、安心しる。

IEはユーザーの絶対数が多いから狙われやすく、Geckoは絶対数が少ないから
対象とされにくいというのがある。

しかし、少し前に一太郎の脆弱性とそれを突いたウィルスが出回ったように
マイナーだから安全かというと、そんなわけはない。
狙う側はどんな穴でも突いてくる。

597 名前:(○口○*)さん :07/04/02 19:34 ID:R/6lo/vH0
Proxomitronを導入してみたんだが、さっぱり設定がわからねぇ。
特にデフォルトで設定されているやつの内容が。

ifreamを除去?するやつは入れてみたんだが、最新の説明ページはないもんかね?
特にお勧めフィルタとか。

598 名前:(○口○*)さん :07/04/02 20:33 ID:ZQ53xgK00
>>597
wikiがあるよ(↓心配な人はソースチェッカーで確認してから踏んでくれ)
ttp://abc.s65.xrea.com/prox/wiki/

こことここから行けるリンクを一通り読むよろし

599 名前:(○口○*)さん :07/04/03 08:47 ID:WBhYq5oS0
【  アドレス   】 http://nekomimi■ws/~ro/img/1002■jpg
【気付いた日時】 つい今しがた
【     OS    】 WinXP HomeEdi SP2
【使用ブラウザ 】 IE
【WindowsUpdateの有無】 一週間程前
【 アンチウイルスソフト 】 McAfee VirusScan
【その他のSecurty対策 】 Ad-Aware
【 ウイルススキャン結果】 カスペルスキーは無反応
【スレログやテンプレを読んだか】 ざっと読みました
【説明】
スレに張られたjpgを不用意に踏んだところ、よく分からないページへ飛ばされました
ウィルススキャン等は無反応でしたがこのURLは安全なのでしょうか
ご指導お願いします

600 名前:(○口○*)さん :07/04/03 09:12 ID:JMQRzfNA0
>>599
ソースチェッカーで確認したけど、拡張子がjpgで中身はhtmlファイル。
スクリプトもIFRAMEも仕込まれてなく、今話題のANIファイルというわけでもなく、
ただ画像が表示されるだけだから無害。

前スレに似たような報告が上がってるから参考にするといいよ。
ttp://gemma.mmobbs.com/test/read.cgi/ragnarok/1170419695/966

601 名前:(○口○*)さん :07/04/03 09:18 ID:WBhYq5oS0
まさしく同じ物ですね・・・すいませんorz
ついにやらかしたかと思いお葬式ムードでした
ありがとうございましたー

602 名前:(○口○*)さん :07/04/03 09:24 ID:OoALe6SB0
ソースチェッカーってjpeg自体に仕込まれたトラップに対して反応する?
昔あったjpegの脆弱性やら突くタイプとか。

ソース見てimgタグで書かれたjpegファイルもチェッカーにかけてみたが
そこの部分が自分では判断出来なかったので直接見てないし、ブラウザで
閲覧もしてないんだが。

603 名前:600 :07/04/03 23:46 ID:JMQRzfNA0
>>602
ソースチェッカーおよびソースチェッカーオンラインは基本的にブラクラチェッカーだから、
ウイルス検出機能はおまけ程度のものと考えた方が良いように思う。
自分で踏まなくても、調べられるのが一番の利点だね。

JPEG脆弱性についてだけど、MS04-028などの既知の脆弱性に関しては、
ウイルス対策ソフトで(多分)検出できると思うから、そっちを頼るのが正解だろうね。
>>599の中に仕込まれてる画像に関しては、実際に落としてみたところ、うちのバスターでは反応しなかった。

それにJPEG脆弱性利用なら、わざわざ偽装ファイルの中に仕込まなくても、
そのままJPEGとしてUPすればOKな気がするし。

604 名前:(○口○*)さん :07/04/04 00:38 ID:2FEFc2MW0
初心者丸出しな質問いいかな?
今までフリーのアンチウィルス使ってたんだけど、なんか心元ないので
カスペルスキーを入れてみようと思ったんだ。
アンチウィルスだけで十分?ファイヤーウォールとかもいるもの?
回線が貧弱なのであまり重いものは避けたいもので・・・

605 名前:(○口○*)さん :07/04/04 01:06 ID:Dthhq3af0
FWソフトは有った方が良いかな。アンチウイルスソフトとはある意味別の
方向から守備を固める物なので併用する事で更なる安全が確保できる。

あと、ボトルネックは回線速度よりもPC性能だと思う。激しく旧式じゃない限りは
何とかなるとは思う。だから回線速度の事は気にしなくて良いかと。

カスペは初心者には結構難しいらしいけど頑張ってなー。

606 名前:(○口○*)さん :07/04/04 01:11 ID:BW+CM4bC0
>>604
カスペには30日間の体験版があるし、実際に使ってみるのがいい。
http://www.just-kaspersky.jp/

Kaspersky Anti-Virusがアンチウィルス
Kaspersky Internet Securityがアンチウィルスとファイアウォール

ファイアウォールは使ったほうがいいと思う。
利用者の多そうなZonealarm無料版でもおk

カスペのアンチウィルスは通信の検査が厳しいらしく、
回線速度はガタ落ちします。1/10ほど速度が落ちたような気がする。
その検査のせいでブラウジングはモッサリと遅くなりますが、
セキュリティは最高レベルを享受できます。

607 名前:(○口○*)さん :07/04/04 02:39 ID:ZWW52ujY0
WUに.aniの脆弱性の修正来てるお

608 名前:(○口○*)さん :07/04/04 04:13 ID:l5iljryb0
>>607に補足。
MS07-017(KB925902)
各自迅速に適用されたし。

609 名前:(○口○*)さん :07/04/04 04:15 ID:atOBHx6H0
Windows Update 推奨age

610 名前:(○口○*)さん :07/04/04 05:11 ID:mRJwqHjR0
既に中華アカウントハッカーにも使われている脆弱性です。
自動更新を切っている人は今すぐ適用をお願いします。
http://www.microsoft.com/japan/technet/security/bulletin/ms07-017.mspx

611 名前:(○口○*)さん :07/04/04 05:40 ID:u0vOKi210
専ブラで誤クリックしてしまったっぽいorz
【  アドレス   】 http://www■ahatena■com/388465
【気付いた日時】 ついさっき
【     OS    】 WinXP SP2
【使用ブラウザ 】 Sleipnir
【WindowsUpdateの有無】 .aniの脆弱性修正はまだあててなかった それまでのはとりあえずは
【 アンチウイルスソフト 】 avast!
【その他のSecurty対策 】 Spybotやルータ
【 ウイルススキャン結果】 ひとまずカスペのオンラインスキャンにかけてみた。
とりあえずは何も見つからなかったようだけど・・・
あとSpybotかけてみたら以下の二つが。Avastは特になし。
Microsoft.WindowsSecurityCenter.AntiVirusDisableNotify: 設定 (レジストリ変更, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify!=dword:0

Microsoft.WindowsSecurityCenter.FirewallDisableNotify: 設定 (レジストリ変更, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify!=dword:0

【スレログやテンプレを読んだか】 Yes
【説明】間違って踏んでしまって、飛ばされたときActiveX使用は許可しなかった。
表示されたページは真っ白。後でaguseで調べてみたところIPが222.77.185.86
どう見ても中華です。本当にありがとうございました。
その時Roにインしてたけど即座に落ちて再ログインなどはしていない。

これってどうなんだろう

612 名前:(○口○*)さん :07/04/04 06:10 ID:mRJwqHjR0
そのレジストリ2つはお前さんがXPのセキュリティセンターの
警告ウザスとか言って切ったからだろ。
件のURIは今繋がらんので見てない。

613 名前:(○口○*)さん :07/04/04 06:28 ID:9TfxAOHy0
>>611
やばいかもしれない。OS再インストールした方が良いような気がします。

>>611の罠サイトを踏むと、まず以下2つのaniファイルがダウンロードされます(拡張子はjpgですが、中身はaniです)
ttp://www■ahatena■com/388465/muxiao1■jpg
ttp://www■ahatena■com/388465/muxiao2■jpg

MS07-017の脆弱性が塞がっていない場合、以下のファイルがダウンロードされ実行されるものと思われます。
ttp://www■ahatena■com/388465/svch■exe

※上記は実際に踏んで試したわけではなく、ソースを見た上で予想される動作を憶測で書いたものです。

614 名前:(○口○*)さん :07/04/04 06:50 ID:9TfxAOHy0
>>613のファイルをvirustotalにかけてみました。
ttp://www.virustotal.com/vt/en/resultadox?0c963ca4fb9ad890ed0f642f4a2ef7c0 (muxiao1.jpg)
ttp://www.virustotal.com/vt/en/resultadox?0c19270c4073fb196c66bd8cf75fd994 (muxiao2.jpg)
ttp://www.virustotal.com/vt/en/resultadox?1bcc3ad44d290732ce7e47c8ffd490fa (svch.exe)
※↑は数時間で見れなくなるので、必要な方はローカルに保存してください。
※VirusBusterはトレンドマイクロのウイルスバスターとは別の製品です。ウイルスバスターはvirustotalでは調べられません。

ani:avast× Kaspe○ McAfee○ NOD32○ Symantec○
exe:avast○ Kaspe× McAfee○ NOD32○ Symantec×
※○=検出可、×=検出不可

615 名前:(○口○*)さん :07/04/04 07:35 ID:aNlski1f0
>>614
ttp://scanner.virus.org/
ここのTrendMicroがPC-cillinこと「ウイルスバスター」。
Symantec(Norton)とKasperskyが無いので併用を推奨。

616 名前:(○口○*)さん :07/04/04 07:47 ID:N96FsJVg0
WUパッチの情報を書いてくださった方たちありがとうございました
早速当てました
URL叩かなくても通常のWindowsUpdateから入れました

そして質問

専ブラでURL等をたたいたときブラウザで開けないようにするときは
JaneDoeだと設定>設定>機能>画像>全拡張子をビューアで処理
で良いのでしょうか?
とりあえずこれにしたらブラウザが立ち上がらなくなったんですが
このやり方では漏れがあると言う場合、教えてください

617 名前:(○口○*)さん :07/04/04 08:08 ID:aNlski1f0
それは専ブラスレで聞いたほうがいいんじゃなかろうか。
(通常使うブラウザに依存する等)専ブラで異なるだろうし。

618 名前:(○口○*)さん :07/04/04 08:11 ID:yCMVvSZb0
JaneDoeStyleだとデフォ設定がビューアだから踏む事は殆ど無いな。
読み込めないJpegは罠だと思ってる。

619 名前:(○口○*)さん :07/04/04 09:41 ID:JvViJ/rg0
今avast!!でスキャンしたら Lineage-518 [Trj] てのが出てきたんだけど
これってアカハックウィルスかな?

620 名前:(○口○*)さん :07/04/04 09:45 ID:aNlski1f0
他の何だと言うんだ? Trj=Trojan、トロイ。
チョンゲトロイの命名はまとめてLineage扱いされることがある。

621 名前:(○口○*)さん :07/04/04 09:50 ID:JvViJ/rg0
サンクス、OS再インスコしてくるわ。

622 名前:(○口○*)さん :07/04/04 15:13 ID:aCdUVL+j0
>>611
同じの踏んだっぽい。
踏んだ時刻にバスターがトロイ隔離したってログ生んでたから、
大丈夫かと思ったんだけど危ないのかな?

623 名前:(○口○*)さん :07/04/04 15:24 ID:aCdUVL+j0
ちなみにこんな感じ。ファイル名はmuxiao2[1].jpgだった。
ちなみにダウンロード途中でサイト閉じた。

ウイルスタイプ: トロイの木馬型
別 名: アニクモー
感染報告の有無 : あり
破壊活動の有無: なし
言語: 英語
プラットフォーム: Windows 2000, XP, Server 2003
暗号化: なし

624 名前:(○口○*)さん :07/04/04 16:35 ID:SytR+ZhG0
>622-623
例のaniの脆弱性突くやつだね。

TrendMicroのDBの続きを見ると

>危険度: 低
>感染報告: 低
>ダメージ度: 中
>感染力: 低

……うーん……

625 名前:(○口○*)さん :07/04/04 17:08 ID:aNlski1f0
パッチが出たから下げたんだよ。
うん、きっとそうだよ…。

Vistaでも発動するけどそこは触れてないのな。

626 名前:(○口○*)さん :07/04/04 17:24 ID:t7AzWyjL0
パッチが既にある
自らアクセスしないと感染しない
(他と比べて)数が少ない

だから低なんだよ

627 名前:(○口○*)さん :07/04/04 17:30 ID:l5iljryb0
危険度: 低→ウィルスではなくトロイ
感染報告: 低→ネトゲプレイヤーは感染しても公式機関に報告を上げるのは少数
ダメージ度: 中→レジストリの修復は少々面倒
感染力: 低→他の感染源を探してDDoSじみたことは行わない

628 名前:(○口○*)さん :07/04/04 20:31 ID:ONZ8UGJy0
うちはAVAST入れてWEBシールド通してブラウジングしてるなあ。
カスペ入れたほうがいいんだろうけどブラウザのプログラム系は全部止めてるしこれ以上重くなるのは辛い。

aniのパッチ入ったみたいだけど本当に対処されてんだろうか。
CSSだのJavaScriptだのいろいろ介したらできてしまいそうな気がすんだけど

629 名前:(○口○*)さん :07/04/04 20:37 ID:t7AzWyjL0
>aniのパッチ入ったみたいだけど本当に対処されてんだろうか。
>CSSだのJavaScriptだのいろいろ介したらできてしまいそうな気がすんだけど

aniファイルの脆弱性のパッチが配布されただけだ
他の方法での感染は対処している訳ないだろ

630 名前:(○口○*)さん :07/04/04 20:43 ID:BZ1tlDP40
アカハックにとは関係ないのだがウィルスについて質問
ウィルスの中には他人のコンピュータをウィルスに犯すことでそのコンピュータを管理者持ち主の
気づかないように勝手に操作や命令を行ってしまうものもあるそうなのですが

もしかして他人のPCにウィルスを入れることによってそのウィルスが他人のPCで勝手にRO内でBOTし始める
と言うことがありえるのでしょうか?

631 名前:(○口○*)さん :07/04/04 20:53 ID:nkiuB6+o0
>>630
>ウィルスの中には他人のコンピュータをウィルスに犯すことでそのコンピュータを管理者持ち主の
>気づかないように勝手に操作や命令を行ってしまうものもあるそうなのですが

この手のウィルスのことを通称BOTと呼びます。

■参考記事■
インターネット上の新たな脅威「ボット(bot)」に気をつけろ!(上)
http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20041215/153889/

>もしかして他人のPCにウィルスを入れることによってそのウィルスが他人のPCで勝手に
>RO内でBOTし始めると言うことがありえるのでしょうか?

ありません。ROのBOTとは別物です。

632 名前:(○口○*)さん :07/04/04 20:57 ID:t7AzWyjL0
可能性があるか無いかで言えば、ありえる

ただ、アカウントIDとパスがあれば他のPCで稼働させることが出来るから、
わざわざ他のPCを乗っ取ってまで動かす意味は無い。

633 名前:(○口○*)さん :07/04/04 21:14 ID:O6IVwaA60
>>632
PCのリソースには限界があるから
他人のPCを乗っ取ってBOTの同時稼動数を増やそうとか。
もっとも、無差別にばら撒いた上で使用するアカウントの管理をどうするかなど
問題が多すぎて非現実的だろうな。

ま、真っ先に本垢BOT使いの言い訳じゃないかと思ったのは内緒だ。

634 名前:(○口○*)さん :07/04/05 00:24 ID:/RhUCmw30
>>633
でももし、そんなのがでて
アカハック+そのアカでBOTさせられたら
それこそ黒白の区別がただでさえ付き難いのにもう何を信じていいかわからなくなる状況だ

でも中華が他人のPCでやるとしてもBOT用の中華のアカでやるでしょ
わざわざ別のキャラを使う必要もないわけ出し

他のPCまで乗っ取ってまで動かす必要は無いから今は大丈夫だけど
この手のウィルスが出るとしたらIPがばれないようにするのがメインになると思う

635 名前:(○口○*)さん :07/04/05 00:47 ID:1PnQCoua0
仮にそういうのが出てきたら中華より変なのに粘着された時が危なそうだ

636 名前:(○口○*)さん :07/04/05 00:59 ID:3wQszZUi0
つまり乗っ取られたアカでどんな迷惑行為を行われるか分からないから、
いくら取られるものがないからって無防備ではいかんということだね。

637 名前:(○口○*)さん :07/04/05 08:59 ID:+OU6ipyi0
ちょっと質問
サブPCのウイルスバスターライセンスが切れたから別のものに
変えようかと思うんだが、他のってメモリをどのくらい使ってる?

638 名前:(○口○*)さん :07/04/05 09:02 ID:GZDYaKrA0
とりあえずカスペルスキーとAvast!の試用版落として体感してみるのがいいんじゃね。
メモリとかもそうだけど使い勝手もあるし。

639 名前:(○口○*)さん :07/04/05 09:17 ID:h1OkpiS+0
>>637
NOD32は、NOD32のプロセスと判る奴の合計で 35,436 K だな。(inetinfo.exe nod32krn.exe nod32kui,exe)
サービスとか、よくわからないタスクでも使ってるかもしれん。

640 名前:(○口○*)さん :07/04/05 12:08 ID:0tOje8e00
>>637
ウイルスバスター2007を使ってるならば、他のに乗り換えたら
メモリの使用量はウイルスバスターよりかなり少ないよ。

641 名前:(○口○*)さん :07/04/05 12:20 ID:h1OkpiS+0
まぁ、ウィルスバスター2007はどれと比較しても重いであろうという評判がw

642 名前:(○口○*)さん :07/04/05 12:21 ID:+OU6ipyi0
>>640
やっぱりかなり多めなのか
プロセスで見ると70MB以上あるものなー

643 名前:(○口○*)さん :07/04/05 12:24 ID:uOMwJkQb0
■MEMORY DDR2 SDRAM DIMM大幅続落、1GBは6千円割れ
http://pc.watch.impress.co.jp/docs/2007/0403/pa_cphdd_mem.htm

 |  | ∧
 |_|ー゚)  ついでにメモリも買おう。現在史上最安値www
 |文|⊂)   メモリ価格の変動に右往左往するスレッド!115枚目も4649
 | ̄|∧|   
 ̄ ̄ ̄ ̄ ̄

644 名前:(○口○*)さん :07/04/05 13:00 ID:pnxzYUhI0
AntiVir使いが颯爽と登場。
AntiVir関連EXEは三つほど常駐してるが10〜15MBってとこかなぁ。

>>643
貴様魚竿スレの住人かいっ。
漏れも箱モノDDRで魚竿中。さがらんなぁ。

645 名前:(○口○*)さん :07/04/05 16:57 ID:+OU6ipyi0
カスペルスキー試用版を入れてみたが、プロセス数やメモリ使用量がかなり減ったなー

ただデフォルトのままだとWebブラウズが重いな

646 名前:(○口○*)さん :07/04/05 17:12 ID:uOMwJkQb0
■ネットバンキング 相次ぐ不正引き出し
http://www.itmedia.co.jp/news/articles/0704/05/news046.html

((((;゚Д゚)))ガクブル


>>645

> 【KAV日本語版で遅くなった場合のやり方】
> ウェブアンチウイルスのトラフィックのスキャンを切る
> サービス→「ネットワークの設定」の「ポートの設定...」でメール関連(SMTP/POP3/IMAP)以外を切る
> (80などが有効になっていると意味ない)

> メールアンチウイルスの接続の「トラフィックをスキャンする」自体は切らなくてもおk

647 名前:(○口○*)さん :07/04/05 19:36 ID:XzwiSQc80
スキル欄に載るものと載らない物
前者なら装備者のスキルレベルが優先される
後者は仕様によって左右される
(L10の時のみ10発動など)
つまり装備してみないとわからない

ちなみにマジ系がファイヤーブランド振ると最大レベルが発動する
装備できんが
【参考http://www■din-or■com/bbs/】

こんな内容のページがWikiに作られてたんだけど、このURL怪しいだろうか?
まぁコメント欄に書き込めばすむような事で新ページ作る時点で怪しいんだけど…。

あとキャッシュでも覗くと危険?PeerGuardianが反応したんで開ききる前に閉じたんだけど。

648 名前:(○口○*)さん :07/04/05 19:46 ID:15XBJKZP0
なにやってんだ、スクリプトが実行されてトロイがDLされるんだから
キャッシュだろうがなんだろうが同じだ。
絶対ブラウザで開くなよ。
PGが遮断したならセーフだったとは思うが。

649 名前:(○口○*)さん :07/04/05 19:56 ID:JxeGdNAK0
つい最近ローグスレにかかれた文だな。つまりにゅ缶も見てるって事か。

650 名前:(○口○*)さん :07/04/05 20:04 ID:Oi/4ybpH0
業者は中華だけでなく、日本人もいるな
中華が仕組んだスクリプトを自分用に組みなおして利用してそうだ

651 名前:(○口○*)さん :07/04/05 20:04 ID:/2PfZQ5s0
「きさま! 見ているなッ!」
で対応。

652 名前:(○口○*)さん :07/04/05 20:06 ID:+OU6ipyi0
>>649
誰も知らないようなblogですら元ネタに使われて居るんだから当然だろ

653 名前:(○口○*)さん :07/04/05 20:35 ID:4RdB7oWV0
カスペルスキーを入れようと思っているんだけど、>>647を理解できない俺はやめた方がいいですか?

654 名前:(○口○*)さん :07/04/05 22:00 ID:QSnIEA/w0
カスペの体験版いれたら以下のファイルの挙動が危険があぶないデシって言われたんだけど
D:\Games\KreanKimchiParty\Gravity\RagnarokOnline\GameGuard\GameMon.des
この検出はnProと競合してて珍しい事ではない?それともなんかヤバイのが確定で侵入してる?

655 名前:(○口○*)さん :07/04/05 22:09 ID:YZr80LhY0
>>654
もともとnProがやってることはrootkitと呼ばれるクラッキング手段。

それよりなんてところにROインストールしてるんだw

656 名前:(○口○*)さん :07/04/05 22:09 ID:wnH60OqQ0
nProって不正行為からゲームを守るためにウイルス(マルウェア)まがいのことをしてるので
セキュリティソフトによってはウイルス扱いされてもおかしくないとはよく聞く

657 名前:(○口○*)さん :07/04/05 22:09 ID:+OU6ipyi0
>KreanKimchiParty
たぶんこれがやばい

658 名前:(○口○*)さん :07/04/05 22:12 ID:BbB+/LCD0
>>654
シロちゃん乙

659 名前:(○口○*)さん :07/04/05 22:14 ID:f0sAW3md0
Kreanて何だよw

660 名前:(○口○*)さん :07/04/05 22:43 ID:h1OkpiS+0
>>653
カスペは入れとけ。わかってない奴の方が強力なセキュリティ対策が必要だ。

一応、解説しとくと、
 647 : こんな文面がWikiにあったけど大丈夫?
 回答 : 思いっきり垢ハックだろうが
ということです。

661 名前:(○口○*)さん :07/04/05 22:48 ID:KtWb7+HT0
KreanじゃなくてKoreanだろwwwww

662 名前:(○口○*)さん :07/04/05 22:55 ID:tPmHvKAf0
>>647
そこのHTMLをDLして中身を見ようとしたが、繋がらないしpingも返ってこない。
普通に考えれば鯖落ちなんだが、試しに串を使ってDLすると繋がった。
いつからかは判らないが、日本からの接続を弾いてる可能性がある。

前も一度ここで出た他のアドレスで繋がらなくて鯖落ちだと思ったんだが
まさかここに晒されたら日本からの接続を弾いて
検体の確保なんかをさせないようにしてるというのは考え過ぎだろうか?

663 名前:(○口○*)さん :07/04/05 23:26 ID:QT1epBCE0
>まさかここに晒されたら日本からの接続を弾いて
>検体の確保なんかをさせないようにしてるというのは考え過ぎだろうか?

そんなことをしたら、罠サイトとしても機能しなくなるから、本末転倒だろう。
単純に今使ってる環境が、そこのアドレスを弾くようになってるんじゃないの?と疑ってみる。

664 名前:663 :07/04/05 23:38 ID:QT1epBCE0
>>662
とか思ったけど、ホントに繋がらないな。疑ってすまなかった。

665 名前:(○口○*)さん :07/04/05 23:58 ID:tPmHvKAf0
>>664
いや、>>663と考えるのが普通だと自分でも思う。
環境やプロバイダの問題かもしれないと自分でもかなり疑ったし。
それに、「中国からMMOBBSの閲覧を禁止したら〜」とか考えながら
「串使われたら意味ないな」と考えたりしてなければ試す事も無かった。

666 名前:(○口○*)さん :07/04/06 00:07 ID:nx+iI3PW0
昨日、リネージュ資料室を見ながらPG2を導入し良い気分になっていたのですが、
今日PCを立ち上げるといきなり「PG2でエラーが発生したため、終了します。エラー報告を
送信しますか?」とお決まりの画面と共に、全くPG2が起動しなくなってしまいました。
PG2を削除して再DL、再インスコ等、何度やってもPG2を立ち上げようとすると
エラーが出てしまいます。
同じような方はいらっしゃいますか?何かへんの事を僕がやってしまったので
しょうか?

667 名前:(○口○*)さん :07/04/06 00:43 ID:SrUbBApT0
>>666

なんか、PG2のデフォのリスト(最初の起動でチェックいれたP2Pとかのリスト)が
壊れたとかで読み込みに失敗して強制終了しちゃうらしい。
今は治っているもよう。


以下、2chのPGスレから転載。

リストのロードに失敗して強制終了した場合、
1、タスクマネージャーのプロセスタブからpg2.exeのタスクを終了させる
2、PG2RecoveryToolで修復
3、PG2再起動後ListManagerを開き、各リストを開き正常に表示されないリストのチェックを外す
又は、
1、Windows再起動後、セーフティーモードからPG2インストールフォルダ内にあるunins000.exeでPG2を削除
2、Windowsを通常起動しPG2を再インストール
3、再インストール時、問題の発生するリストのチェックを外しておく

668 名前:(○口○*)さん :07/04/06 00:43 ID:9tCiHPNO0
>>666
インストールしたときに一緒にインストールされてるRecover PeerGuadianっての試してみては?
私もインストールして起動したら同じようなエラーが出たけど、これやったら直った。

669 名前:(○口○*)さん :07/04/06 03:53 ID:UYo1GZ060
RBOのWikiの中の人とコンタクトが取れたので状況が改善されそう、とメモメモ。

670 名前:(○口○*)さん :07/04/06 12:07 ID:JUL3pumS0
>>665
中国のインフラが遅い上に、犯人は広帯域なレンタルサーバより
ドメインだけ取得しての自宅サーバ(普通のパソコン)を好むので
余計遅い。スクリプトやトロイの改良その他の事情でIISを頻繁に落とす。

671 名前:(○口○*)さん :07/04/06 12:49 ID:NftxPRLc0
なにげなーくある記事からRMTサイトを見たんだ
あるサーバーは在庫なしなんだよ。RMTを行ってる会社の
ここのところ出ていた偽Blogは其処だったなーと思い出した

672 名前:(○口○*)さん :07/04/06 17:30 ID:Cax83RH80
ITmedia より
>アニメカーソルの脆弱性はFirefoxの方が深刻?
>ttp://www.itmedia.co.jp/news/articles/0704/06/news073.html

先日のWUは既に適用済みだと思うが、まだの人が居たら早急に当てるべし。

673 名前:(○口○*)さん :07/04/06 18:55 ID:S89A9kIE0
> D:\Games\KreanKimchiParty\Gravity\RagnarokOnline\GameGuard\GameMon.des
~~~~~~~~~~~~~~~~~~
>>654 自身があぶないと言うのがよく判った。

674 名前:(○口○*)さん :07/04/07 08:01 ID:WiBWbQEG0
総合対策スレ6 436
■Kasperskyのセキュリティ製品に脆弱性、最新版にアップデートを

知らせてくれた人もいらしたけど、自分もメール来て読んだときマジびびった
しかもアップデートと言っても、一度アンインストールしてから新規インストール

やっぱりPG入れなきゃだめか(Hostsはやってる)

675 名前:(○口○*)さん :07/04/07 08:36 ID:O5AwWJdk0
>>674
これってアンインストールしないとダメなのかな?
うちは自動更新でバージョン 6.0.2.614にアップデートされてるけど。

676 名前:(○口○*)さん :07/04/07 09:06 ID:WiBWbQEG0
>>675
インストールしたのが確か一月(試用版)
「Vista対応版以前の試用版(バージョン 6.0.0.306)をご使用の場合」に
該当してしまったらしい

677 名前:(○口○*)さん :07/04/07 09:25 ID:5WZqjk8i0
思ったんだけど、あらかじめ登録してあるIPアドレス以外で
ROにログインしようとしたら、サーバー側で弾くとかできないかな。
(その辺の登録はアトラクションセンターでやるとして)

プロバイダから貸与されるIPアドレスは毎回変化するから、
自分に貸与される可能性のあるIPアドレスの範囲をまるごと指定するしかなくて、
同じ地域で同じプロバイダを契約してる人が不正者ならアウトではあるんだけど。
(でも、その場合は足が付くか・・・)

678 名前:(○口○*)さん :07/04/07 10:25 ID:i70y+JbE0
やれるやれない、であれば可能な領域だとは思うけど、
・動、癌がそこまでやらない
という高い壁ががが。

あとは
・素人さんはそんな設定できない
・アトラクションのパスワード抜かれたら、結局は設定合戦になる
・ネカフェとかで動かなくなる
とかも問題かなぁ。

まぁ、利用できる人が利用する、というスタンスであれば有効だと思うけど、
なにせ動、癌側の修正が必要って時点で、妄想でしかなくなっちゃうんよね。

679 名前:(○口○*)さん :07/04/07 10:38 ID:HVnwlLA00
久々に。被害届日記の人です。段取り悪いけど勘弁。

ネットカフェが所轄に訴えを出したが、被害の証明が出来ないという
ことであっさり拒否。ネカフェにトロイが仕込まれた時点ではネカフェ
に被害は発生していないという扱いらしい。そのトロイが悪さをして、
ネカフェに被害をもたらした時点で、初めて被害届を出せるとか。
よーわからん。代理での被害の報告も×とのこと。

結局、個人で行って下さいということに。仕方ないので、私の住んでる
区の所轄に再度連絡。前に対応してくれた人の所属と名前を覚えていた
ので、さくっと話が通る。セキュ担当の人は同行しますと言ってくれたが、
そこまでして貰うのもなんだか逆に遠慮してしまうので、とりあえず
一人で行くことに。

やっぱりどこも土日は忙しいみたいで、予定は一ヶ月先まで空いて
いないとのこと。仕方ないのでこっちでなんとか都合をつけ、1日
だけ仕事を早く帰れるようにした。平日に署が閉まるのは21:24らしい。
中途半端…。

やり取りの中で分かった必要なものをリストアップすると以下になる。
 ・所轄への事前の連絡(アポ取りは必須。アポなしは無駄骨になるだけ)
 ・被害を受けたと思われる時間帯
 ・被害を受けたアカのID及び被害を受けた時点で設定してあったパスワード
 ・盗難に遭ったアイテム全部(思い出せる範囲で)
 ・癌サポートとのやり取りのコピー(被害届を出す意思を明示したもの)
 ・可能ならマルウェアの名称

心配なことは、癌がログ消しちゃってたりしないかってことだね…。
なんだかんだで1ヶ月以上経ってるし。もし消してたら全てが徒労に。
これ以上ごちゃごちゃ書いても仕方ないので、質問があれば受け付けます。

680 名前:(○口○*)さん :07/04/07 11:23 ID:Dp+9quBa0
>>679
必要な情報乙。

被害届出す手続きとか、踏んじゃった人は判らないと思うので、こういう情報は有難い。

681 名前:(○口○*)さん :07/04/07 13:36 ID:qtBUG2h10
>>679
おつかれさまー

一般的な会社なら1月は保持してそうだけどな・・・
ひどいと残してないかもしれない

682 名前:(○口○*)さん :07/04/07 15:21 ID:wOB6Q7EE0
少し前に他人のPC乗っとってBOT行為と言う話があったけど。
放置露店してる深夜にそれやられたら洒落にならんような気がする。

683 名前:(○口○*)さん :07/04/07 15:46 ID:Dp+9quBa0
>>682
>少し前に他人のPC乗っとってBOT行為と言う話があったけど。
よく読め。あれはROのBOTとは別物だ。

684 名前:(○口○*)さん :07/04/07 20:51 ID:NWjPKwsf0
個人的チラシの裏

・アニメーションカーソル問題は、OSがWin98やMeのPC使ってるユーザーには修正方法なし。
・Firefoxを使用すれば、Firefoxはcurファイルは使用するがaniファイルは使用しないので一応安全?
・しかし↓
262 :名無しさん@七周年:2007/03/31(土) 17:42:49 ID:QGOC0zmX0
  Firefoxも特定の条件ではIEと同じ脆弱性のあるコードを使っているそうだから、
  (user32.dllの"LoadAniIcon()")、攻撃を受ける可能性がある。

685 名前:(○口○*)さん :07/04/07 21:05 ID:FJ+Mo3jU0
FC2でブログ書いてるんだけど今日管理者画面見たら罠ブログが履歴で残ってた
ブログ書いてる人はうっかり踏まないようにした方がいいかと。

ちなみにサイト名は
[ 作者名 : あ桜の雪う影 ]
[ ブログ名 : RO Blog最近日記 ]
[ URL : http://■csfir■blog87■fc2■com/ ]
ホスト:203■116■61■164

ご丁寧にコメントにもURL貼ってあったのでホストが分かった

686 名前:(○口○*)さん :07/04/07 21:20 ID:QuBMKN5b0
>>685
そのホストはシンガポールにある串。
流石に連中も自国から直だと弾かれると言う認識はあるらしいな。

687 名前:666 :07/04/08 00:34 ID:xAc1/1oh0
>>667,668
ありがとうございました。無事解決しました。

688 名前:(○口○*)さん :07/04/08 02:03 ID:o0/91/hr0
>>684
こんな記事みつけた。
ttp://www.itmedia.co.jp/news/articles/0704/06/news073.html

689 名前:(○口○*)さん :07/04/08 06:39 ID:14CftHUN0
>>684>>688
>>672

690 名前:(○口○*)さん :07/04/08 15:16 ID:EM6ExKh30
ASUSのWebサイトがクラックされ、ANI脆弱性をついた攻撃が仕込まれていたらしい
ttp://www.itmedia.co.jp/news/articles/0704/07/news009.html

もうサイト巡回なんて迂闊にできないわ。

691 名前:(○口○*)さん :07/04/08 15:30 ID:anHZKVX50
話しぶった切るが、パス変更用の非常用環境構築に『wizpy』ってどうなのかね?
金はかかるが、1CDLinuxよりも敷居は低いかもしれないから有効だと思うんだが…

692 名前:(○口○*)さん :07/04/08 15:32 ID:1+e+ZtCr0
>>690
あっちで出たやつでWeb巡回で被害受けたとかあるな

中華は本当に何でもありだな('A`)

693 名前:(○口○*)さん :07/04/08 15:36 ID:tsm8B1jK0
ASUSよりも、ガンホーのサイトに置いた方が楽なんじゃないだろうかって思うの俺だけかな。
いや、ROの垢ハック以外に誘導される事例だったんだろうけどさ、癌の方がセキュリティ甘そうに感じる。

694 名前:(○口○*)さん :07/04/08 15:37 ID:Qj+/+J9Q0
ヒント:癌のサイトなど誰も見てない

695 名前:(○口○*)さん :07/04/08 15:43 ID:tsm8B1jK0
なるほど。納得した。

696 名前:(○口○*)さん :07/04/08 16:36 ID:sUX4S/NV0
課金始まった頃に公式サイトが改ざんされたことあったよな・・・。

697 名前:(○口○*)さん :07/04/08 16:39 ID:1ttOkRSs0
一つのHDDを二つの領域に分けてて、一つ目の領域にOS入れてあって、もう一つは
適当なデータ入れにしてあった場合、ウィルスを踏んでOS入れなおす時はOSの領域
だけをフォーマットでも良いんですかね?

698 名前:(○口○*)さん :07/04/08 16:40 ID:Qj+/+J9Q0
告知がキムチパーティーになってたアレのことか?

699 名前:(○口○*)さん :07/04/08 16:42 ID:Qj+/+J9Q0
>>697
ウイルスの種類による

OS以外の部分にもウイルスを置くのは良くある

700 名前:(○口○*)さん :07/04/08 16:51 ID:1ttOkRSs0
>>669
レスどうもです。ほかのみなさんの迷惑にならないようにアドレスを大分
はぶきますが、"〜〜〜/chaos"ってやつです。
全部フォーマットするのが確実ですかねぇ。

Roとはまったく関係ない場所だったので安心しきって油断してました。
ちなみに「痛いニュース(ノ∀`)」というサイト様の記事のコメント欄に
ハックアドレスの書き込みがありましたので、他にも見にいかれてる方が
おられましたらお気をつけください。

701 名前:(○口○*)さん :07/04/08 17:01 ID:JA+2ZQBS0
たまに見てるわ…そのあたりまで貼られてるのか、こえーなー

702 名前:(○口○*)さん :07/04/08 18:04 ID:cPon+/2v0
こんな記事があった
VeriSign .com .netドメイン登録料値上げへ
ttp://headlines.yahoo.co.jp/hl?a=20070406-00000004-cnet-sci

いつもの奴らにも影響はあるだろうか?

703 名前:(○口○*)さん :07/04/08 18:11 ID:tsm8B1jK0
>>702
影響はないな。ベリサイン認証なんてとる必要ねーし。

704 名前:(○口○*)さん :07/04/08 18:18 ID:TEKbm6YP0
>>703
おまwww
comとnetドメインの元締めをVeriSignがやってるんだ。
この際証明書は関係ない。

705 名前:(○口○*)さん :07/04/08 18:28 ID:fHwKhFyM0
ハッキングする事によっての収入のが多ければやり続けるだろうな・・・

706 名前:(○口○*)さん :07/04/08 18:47 ID:tsm8B1jK0
ああ、そうか。代行業者が価格に反映させるようになったら影響あるかもな。

707 名前:(○口○*)さん :07/04/08 19:52 ID:0cH7s3Fx0
値上げは微妙に効いてくるかもしれないね。
ところで中華が○○○.jpというドメインを取ってこないのは、
登録料が高いからなのだろうか。
それとも中華ではjpドメインは取得できないのか。

708 名前:(○口○*)さん :07/04/08 20:26 ID:YACCZGxt0
>>707
日本国内に住所が無ければ登録不可能、と言う事らしい。
まあ、日本にサーバを確保する必要もあるわけだし
そうなると海外にいるメリットが無くなるわけだから
今後も乗っ取りなどでなければjpのドメインを使ってくる事は無いと思う。

709 名前:(○口○*)さん :07/04/08 20:34 ID:aSWMS1Gu0
>>693
あの辺りだと、外部からのアタックではなく、本省人を装った支那のソーシャルハックによる改竄が行われた
可能性も考えられるな。
連中は都合よく台湾人を騙る事もある模様。

710 名前:(○口○*)さん :07/04/08 23:23 ID:Qj+/+J9Q0
一太郎の複数のバージョンに脆弱性
ttp://www.justsystem.co.jp/info/pd7002.html

修正パッチはまだ無いが、既に攻撃コードが出回っているので注意


ROと一太郎の両方がインストールされている人は、ほとんど居ないだろうけど

711 名前:(○口○*)さん :07/04/08 23:39 ID:dPpdYuOl0
一太郎は別にマイナーなソフトでもないでしょ。

712 名前:(○口○*)さん :07/04/09 02:26 ID:E9kGn81v0
ATOKの方が有名になっただけだな

713 名前:(○口○*)さん :07/04/09 07:48 ID:A5aMaht40
おもしろいウィルス対策を思いついたから書いておく

コンピュータウィルスの特徴をまず考えよう
ウィルスの何千何万と種類がおおく大量にでまわっているがそのほとんどがパーソナルコンピュータを対象にしたもの
そのためニンテンドーDS、やwiiでネットサーフィンすればウィルスのプログラムに対応していないので
鉄壁の無敵状態です

ネットサーフィンはwii、ネットゲやワードはPCでと言うのが俺のウィルス対策です
でもwii用のウィルスが出回っり出したらナムです

714 名前:(○口○*)さん :07/04/09 07:55 ID:w9XkXvzD0
本気なのかネタなのか区別が付きにくい

715 名前:(○口○*)さん :07/04/09 08:22 ID:laWTTDbw0
とりあえず、やあドクって言っておけば良いと思うよ。

716 名前:(○口○*)さん :07/04/09 08:42 ID:4UbgRsA90
>>690
そのASUSに仕込まれた罠ドメインをぐぐって突き止めた、やっぱ中華だった。
しかも罠入れ替えたらしい、SANの記事に出てた時点で検出していたカスペ、F-SECUREで検出しない。

どうやら仕込まれた罠はこれらしい
hxxp://www■ok8vs■com/app/ppapp/next(x)■png
(x)に数字が入る、next1-3までは確認(取り扱い注意)

典型的な出鱈目登録情報のドメイン。
Domain Name:ok8vs■com
Registrant:
wang xiansheng
beijing
666666
±±??

Administrative Contact:
wang xiansheng
wang xiansheng
beijing
bejing Beijing 666666
CN
tel: 86 021 86868686
fax: 021 86868686
piger378@hotmail.com

717 名前:(○口○*)さん :07/04/09 10:54 ID:a5xkZp7n0
>>716
ドメインの登録って、架空の組織名や連絡先でもできるのか・・・
ネトゲのアカ登録じゃないんだから、もうちょっと身元確認はしっかりして欲しいものだなあ。

718 名前:(○口○*)さん :07/04/09 12:08 ID:qozBRgJc0
>>717
>>708を書いた者だが、国内のあるドメインの登録情報を調べた時に
登録情報の電話番号がありえないものだったのを思い出した・・・
随分昔の事だったんで今まで忘れてたんだが
代行業者だと思うが国内でもいい加減な情報で登録する所があるぐらいだし
それが向こうなら金さえ貰えばなんでも登録するぐらいは普通にありそうだ。

719 名前:(○口○*)さん :07/04/09 13:25 ID:9c0xXzeH0
>717
確かアメリカだったと思うが、ドメインの虚偽登録が300万だか400万だか
あったという記事を見た事がある。
それにWhois情報自体、公開するのは問題があるとかいう意見も見た覚えがある。

ドメインの総数が何個あるのか知らないが、まともに登録されてる所の方が
少ないのかも。

720 名前:(○口○*)さん :07/04/09 13:48 ID:a5xkZp7n0
Whoisの情報も当てにならんということか。第3新東京市とかでも登録できるのか・・・
まあ逆に考えると、あからさまにでたらめな情報が登録されてたら要注意というわけだな。
まっとうな会社なら正しい情報を登録してるだろうし。

身元確認は犯罪抑止の第一歩だから、しっかりして貰いたいんだが。

721 名前:(○口○*)さん :07/04/09 15:26 ID:NKcMKbTl0
今も昔も、ドメインを「維持する」のに正確な情報が必要ってだけ。

>>719
それはメールアドレスが間違ってるものも含んだはずだから、今回の件に
関して言えば少々誇大かもしれない。

whois情報公開については別の話だね。
企業ならともかく、個人取得の場合にプライバシーが守れない。
自分の所はVALUE DOMAIN社にメアド以外の名義を借りて登録してるから
なんとかなってるけど、それでも英文spamはかなり来る。
ウィルスはまるで来ないから業者の仕業としか。

722 名前:(○口○*)さん :07/04/09 16:48 ID:YvnmVY9m0
5年ぐらい前に個人サイトで何となくcomドメインを取得してみたけど
そのときに登録したWhoisの情報は架空の住所を使ったな。
個人情報を晒すのが嫌だったし。

723 名前:(○口○*)さん :07/04/09 17:32 ID:hM2JLHLY0
>>716
ani(あるいは偽装画像)によってダウンロードされるのがそのpngならわかるけど
aniそのものがそのpngなら脆弱性の使い方間違ってるね。
中を(メモ帳でw)見たら先頭がRIFFじゃなくてMZ、つまりexe。
これではMS07-017の脆弱性を使っていない。

UPXとPECompact2で圧縮しても100kB近いのは大きすぎる
(ROアカハックなどのMaranは無圧縮100kB程度で組め、
圧縮すると半分以下になる)。多機能なバックドアか何かかな?

724 名前:(○口○*)さん :07/04/09 17:40 ID:4UbgRsA90
>>723
今のは入れ替えられているが、前のはカスペで

Kaspersky
4.0.2.24
20070406
Trojan-PSW.Win32.OnLineGames.kw

と言う検出結果を出している。
物自体がオンラインゲームがらみであることは間違いなさげ。

カスペで検出しない今の奴はキングに検体を送っておいた。

725 名前:(○口○*)さん :07/04/09 18:06 ID:TSJCoUG40
>カスペで検出しない今の奴はキングに検体を送っておいた。
GJ

最近の新型ラッシュで某国人が頑張ってくれるから、USBメモリ沢山貰えるなwww

726 名前:(○口○*)さん :07/04/09 18:55 ID:hM2JLHLY0
>>724
なるほど。それにしてもデカいな。ちなみにnext5.pngまである(6〜9は404)。
Kaspersky、Dr.WEB、Norton、McAfee、バスターwにはexeにして送付済み。

727 名前:(○口○*)さん :07/04/09 18:59 ID:4UbgRsA90
やっぱり別にANI絡みファイルあったわ。
www■ok8vs■com/app/bmw3■pig

これはカスペで検出できる。
bmw3■pig - infected by Exploit.Win32.IMG-ANI.t

彼が登録したドメイン、恐らく同様の罠が仕込まれているだろう。
Ipqwe.com
Mumy8.com
Okvs8.com
P5ip.com
Plmq.com
Y8ne.com
Yyc8.com

728 名前:(○口○*)さん :07/04/09 19:18 ID:hM2JLHLY0
>>727
bmw1〜6まであるね。こちらはきちんと(?)RIFF。
末尾に www■yyc8■com/bm/bm1■exe 〜bm6■exe
ちなみにexeは全部消えてる。

729 名前:(○口○*)さん :07/04/09 21:01 ID:ni/SQgka0
中華がなぜWarez大国だっていうのを紐解くと
zhangweiに繋がるという程メジャーなキーロガーサイトだった
かなり歴史があって、今までシリアル絡みでも放置されてきたから
この程度のパスクラックなんかはやりたい放題なんだろうな
ここまで来ると、何かしらの後ろ盾無しにこれは出来ないでししょ

730 名前:(○口○*)さん :07/04/09 21:29 ID:tN3TxgXt0
マフィア系か国自体か・・・
ハッキング関連でICPOから調査要請来たのを警察が無視したってくらいだから
国自体が後ろ盾してっかもな。

731 名前:(○口○*)さん :07/04/09 21:33 ID:hM2JLHLY0
そこらに転がってるインジェクションツールで食われたんじゃないかな。
楽天もやられたことがあったけど、セキュリティがヘボいサーバが多すぎ。
# Vectorは社内で踏んだので問題が別だけどね。

732 名前:(○口○*)さん :07/04/09 21:37 ID:hPcqmP4C0
>>730
あの国は賄賂を出せばミサイルでも買えます

733 名前:(○口○*)さん :07/04/10 12:02 ID:/Km7WVwK0
スレにURLを書き込む時、ページタイトルもつけるとだいぶ安心感違う気がした。
話題に沿って一言添えるとなおよし。

そんなわけでFirefox使いにはMake LinkやCopy URL+まじおすすめ。
前者は比較すると初心者向け?UIあるけど機能に劣るらしい。
後者はカスタマイズ幅があるけどuser.js編集の敷居が高い、
Copy URL+本家はFx2.0未対応、非公式の日本語版では対応している点に注意。

734 名前:(○口○*)さん :07/04/10 17:13 ID:h03u08Aw0
ブログのコメントにこんなのが

友達募集☆
こんばんわ!(^ω^)
ずっと前に3ヶ月くらい....でROをやったことがあるんですが、
今度PCを買って新しくROをやれることになったので
同じく新しく始める予定の方とか、GM募集してる方とか、
友達になってやるぜ!って方いませんか?
ちなみに......の予定です(^ω^;)
男女不問、愉快で楽しい方待ってます(^ω^)
http://www■archesplayer■com■games■
ホスト210■16■231■4 (韓国)

ソースチェッカーオンラインだと無反応だけどソースの中に
http://www■fanavier■net■games■server.exeへアクセスするっぽいのが書いてあった。

735 名前:(○口○*)さん :07/04/10 18:43 ID:r4zyRzC10
サイト自体はいつもの中華だね(whoisもスクリプトの組み方も)。
ネカフェか串か。

736 名前:(○口○*)さん :07/04/10 18:56 ID:r4zyRzC10
拾ってみたけどいつものUpack圧縮Maranだった。

737 名前:(○口○*)さん :07/04/10 19:03 ID:LJtH1fQl0
リネやROは完全にWindows専用クライアントなんだから、
垢ハックに限ればWindows以外のOS常用すれば安全でFA出るんじゃないか
と思ったりするんだが間違いなのか?

738 名前:(○口○*)さん :07/04/10 19:24 ID:/Km7WVwK0
>>737
RO垢のパスワードって旧パスワードなしで変更できるんだよね…。
だから汚染されたlinuxで癌垢のIDとパスワードが漏れたらけっきょく同じこと。
キャラパスは漏れないけど、ブルートフォースアタックされるんじゃない?
もし空きスロットあれば倉庫のものは出し放題だし。

739 名前:(○口○*)さん :07/04/10 20:16 ID:aweVEv0K0
うちのブログにこんなものが……。


騎士情報交換スレ

ここは騎士及び、騎士を目指す剣士の情報交換の場です。
生涯剣士を貫こうとしている方やロードナイトの方もこちらでどうぞ。
お約束・過去ログ・質問テンプレは>>2を参照。

■心得■
・礼節、目標、意思、判断、敬愛、マターリを心掛ける事。
・全てに於ト最適な育て方、最強のタイプや武器などは在りません。
・教えて君や自己完結君は当スレには不相応です。出来る限り自分で調べて下さい。
・Ctrl+Fでスレ内の検索を推奨します。過去スレと現行スレくらいは検索しましょう。
・それでも分からない場合は、>>2のテンプレに則って質問をして下さい。
・テンプレを無視した質問については、放置されても仕方がありません。
・煽り、荒らし、妬み、叩き、マナー等に関する話題はスレ違いなので徹底放置を厳守。
http://firfir1■blog90■fc2■com/


ソースチェッカかけたところ、lovetwを読みに行くっぽいです。(詳しくないのでよくわかりませんが)

ありがちなパターンですが、検索したところまだ出てないっぽいので一応。

740 名前:(○口○*)さん :07/04/10 20:17 ID:aweVEv0K0
すみません、下げ忘れました……。

741 名前:(○口○*)さん :07/04/10 20:36 ID:FsAx7XnD0
いや、このスレに関しては常時age進行でも構わんくらいだから気にせんでいいよ。

742 名前:(○口○*)さん :07/04/10 20:55 ID:hLfq2e7u0
ぎゃぁぁ。ネトゲ系サイト巡りするときはすごい気をつけてたのに
ネトゲもゲームもなーんにも関係ないwikiに張られてたリンクが
やふーげーむびーびーえす/数字 のアドレスだったよ…。
しかも踏んでから気がついたときた_| ̄|○

【  アドレス   】 yahoo-gamebbs■com■8784541
【気付いた日時】 ほんの10分程前
【     OS    】 WinXP HOME sp2
【使用ブラウザ 】 Firefox ver.2.0.0.3
【WindowsUpdateの有無】 最終updateは今月4日のやつ
【 アンチウイルスソフト 】 NortonInternetSecurity2005
【その他のSecurty対策 】 Spybot S&D、ルータ有、Ad-aware、SpywareBlaster、
                PG2(リネ系、RO系のリストと中国韓国台湾は遮断)
                あとはHOSTファイルの書き換えもしてる。
【 ウイルススキャン結果】 カスペオンラインで検索中
【スレログやテンプレを読んだか】 毎日読んでた。今も読みなおしてる。
【説明】 2ch某スレへのリンクが張られているはずが、真っ白なページが表示された
     いつもと違うブラウザの反応におかしいと思い、すぐにページを閉じた。
     改めてリンク先URLを見ると、やふーげーむびーびーえすの文字が見えたので
     もしや?と思い、ソースチェッカーとaguseにかけたらお決まりのアレが…_| ̄|○

セキュリティソフト系のアップデートはこまめにしてる方なんだけど
実際踏んでしまったらすごいびびってる。
うわもうほんとどうしよう…(;つД`)

743 名前:(○口○*)さん :07/04/10 20:58 ID:oFGw9Ijw0
>>742
hostsとか、PG2とかに使ってるなら、それで自PC見に行こうとして、なんもないので真っ白で
アクセスしてないからブロックもしてないというパターンだと思われ。

hostsにそのアドレスあるかどうか確認してみ。真っ白ページは、多分それ。

744 名前:742 :07/04/10 21:05 ID:hLfq2e7u0
>>743

レスありがとう。
とりあえずリネ系とRO系のPG2リストに、下階層の数字部分はないものの
「yahoo-gamebbs」のアドレスは登録されてた。

ノートン先生も反応なかったし、カスペも何も検出しなかったので
セーフと思っていいのかな?

745 名前:(○口○*)さん :07/04/10 21:08 ID:FsAx7XnD0
>>742
参考までに何のWikiに張られてたか教えてくれまいか?
知人も全く関係ないところ回ってて何時の間にか喰らっていたもので・・・
そん時はどうもアーケードゲームの戦場の絆のWikiに仕掛けられていた模様だった。

746 名前:(○口○*)さん :07/04/10 21:14 ID:r4zyRzC10
>>742
ahatena■com、おなじみのRDSと、aniの2つの脆弱性。トロイは同一。
怖いのは後者だけど、今月4日WindowsUpdateしていれば問題ないはず。

747 名前:742 :07/04/10 21:22 ID:hLfq2e7u0
>>745

「VIPで塗り絵@線画保管庫」のwikiです。
いわゆるスレッドから派生したスレ住人用まとめwikiみたいなものなんで
あちらさんは多分ゲームとかそういうジャンルはまったくお構いなしに
wikiとかBBSをひたすら狙い撃ちにしてるんでしょうね。

>>746
ani対策のWindowsUpdateが終わってるので大丈夫っぽいですね。
やっと安心できました。ほんとにどうもありがとうございます。
多分ここのスレッドをずっと追いかけてなかったら
今以上にパニックになってたかも。

というわけでそろそろ消えます。お世話になりました。

748 名前:(○口○*)さん :07/04/10 21:24 ID:FsAx7XnD0
>>747
ありがとん。
めちゃくちゃな所までやってくるんだな・・・
前にヘッドフォンのWikiが改竄されたってのもあったしなぁ・・・腹立たしい。

749 名前:(○口○*)さん :07/04/10 21:26 ID:DQa+n0qW0
>744
hostsを書き換えてるなら白紙ページは正常。

hostsに記載が無くてもPG2を使ってるのなら、メイン画面出して「履歴を表示」
→「ブロック」で阻止したIPが出る。
載ってたらブロックされてるので無害。

後PG2は阻止したとき、タスクトレイにPG2のアイコンが点滅するので
ブラウザの表示が異様に遅いとかエラーが表示、の場合は確認する
癖を付けた方がいい。

750 名前:(○口○*)さん :07/04/10 21:40 ID:Mix93ky80
ROの垢ハックなんてパソコンに限ったゲームなんだから
当然wiiでネットサーフィンすれば問題ないんじゃないの?

751 名前:(○口○*)さん :07/04/10 21:43 ID:hLfq2e7u0
まだレスを付けてくださった方がいらしたのでこれで最後に。

>>749

HOSTファイルにもアドレスが書かれてました。
そういやPG2が阻止したときはアイコンが赤くなるのに、何も起こらなかったんですよね。
HOSTファイルを参照して、リストにあればそこで阻止、
HOSTファイルに該当するアドレスがなければPG2で阻止、みたいな順番なんでしょうか。
セキュリティの観点においては、ちょっとやりすぎくらいの勢いで対策しておくのが一番なのかもしれませんね…。

752 名前:(○口○*)さん :07/04/10 22:25 ID:DQa+n0qW0
>751
まあそんな感じ。

ブラウザで見に行く時(に限らないが)はホスト名からIPアドレスに変換して
参照する。
最初にhostsを参照するして記載されていたらそこからIPアドレスを得る。
記載が無い場合はDNS鯖に問い合わせをして、IPアドレスを得る。

垢ハク対策の場合、hostsには危険ホスト名に対して127.0.0.1(自分自身)を
指定してるのでハクアドレスのIPアドレスではなく127.0.0.1が得られる。
このため、本来の罠アドレスではなく127.0.0.1を表示するため、普通は
白紙のページになる。

また得たIPアドレスがPG2のブロック一覧に含まれていると、PG2が通信を
ブロックする。
hostsにも記載してた場合、危険アドレスは127.0.0.1に置き換わった状態で
PG2が判定するので、PG2は反応しない。

753 名前:(○口○*)さん :07/04/10 23:49 ID:lpCcUwRr0
>>738
ブルートフォースってのは基本的にオフラインでやるものだよ。
チャレンジレスポンス方式で暗号化されたパスワードを盗聴した場合を例に取ると・・・
パスワードAをサーバーから送られてくるチャレンジBと合成して(合成関数はf()としよう)、
さらに一方向ハッシュ関数g()で暗号化した場合、暗号化後の値Cはg(f(A,B))ということになる。

実際に未知数なのは当然Aだけなので、Aの組み合わせが少なければ、
すべてのAに対してg(f(A,B))を計算し、Cと一致するまで繰り返せば良い。
当然この計算はオフラインでできるから、1回の試行が1msだとすると、
5555万5000回試行するのに55555秒しかかからない。たったの15時間半でクラックされる。

これがオンラインでサーバーに対して実際にパスを投げて、
その返事でもって成否判定するとなると、サーバーからの応答時間ってものがあるから、
仮に1回の試行が1秒で済んだとしても、55555000秒(643日)はかかる訳だ。
3回失敗したら、ログイン認証からやり直しだから、1秒程度では済まないと思うが・・・

まあ、それ以前に>>159にもある通り、キャラデリされたら終わりなんだが・・・

754 名前:(○口○*)さん :07/04/11 00:10 ID:yTnLf75p0
2chのkoreスレがやばいよ
垢ハックも悪いけど
BOTに手を出す奴も悪いけどね

755 名前:(○口○*)さん :07/04/11 00:20 ID:Xri9oikj0
kwsk

756 名前:(○口○*)さん :07/04/11 00:24 ID:8RVzzbyo0
そこら辺は自己責任だし自業自得ともいうんじゃ

757 名前:(○口○*)さん :07/04/11 01:48 ID:SdCUz4zu0
どうせBOTあります、とかで罠リンクが張られたとか、そういうのでは?
でも2chってウィルス貼り付けは個人情報の貼り付けと同じで、通報対象だったような。
まあ中華はそんな事気にしないんだろうけど。

ところで質問。
Wikiの外部ページ確認でプレビュー機能が付いてるところがあるが、もしリンク先が
罠画像とかだった場合、ウィルスはWikiを設置してる鯖にDLされてしまうんだろうか?
それとも閲覧してる個人のPCに入り込んでしまうんだろうか?

あれの仕組みが判って無くて怖かったりするんだが……

758 名前:(○口○*)さん :07/04/11 02:17 ID:NB9Vzyfi0
>>757
具体的にどこのWikiにプレビュー機能が付いてるか教えてもらえれば、調べてみますが・・・

759 名前:(○口○*)さん :07/04/11 03:34 ID:MMNdUgFP0
自分のPCを中国韓国ドメインにアクセス出来なくさせれば解決じゃね?

760 名前:(○口○*)さん :07/04/11 04:29 ID:oifYH6IP0
お前らWindowsUpdateしろよ?
今月分来てるぞ。

761 名前:(○口○*)さん :07/04/11 07:39 ID:84JQQ3XK0
>>758
弓手wikiとかにあるね。やってみるといいよ

ttp://hunter.rowiki.jp/link.php?http://www.google.co.jp/intl/ja_jp/images/logo.gif

762 名前:(○口○*)さん :07/04/11 09:39 ID:NB9Vzyfi0
>>761
これはなかなか面白いですね。

調べてみましたが、www.snap.comというサイトで提供されているSnap Preview Anywhereという機能で
リンクにマウスカーソルを合わせたときに、リンク先のプレビュー画面が表示されるというもの。
(閲覧者はブラウザのJavaScriptをONにしておく必要があります)

サービスは無料。誰でも自由に自分のサイトにプレビュー機能を搭載することができます。
(あくまでもサイト管理人が申し込むのであって、閲覧者側でプレビュー機能を搭載したいと思っても、それは無理です)

って、宣伝してどうする。

>>757
問題のプレビュー画像ですが、サーバー側で作成されています。下記のimgタグによりブラウザ上で画像が表示されます。

例:gemma.mmobbs.com/test/read.cgi/ragnarok/1175942847/l50 (弓手スレ)へ飛ぶ場合
<img title="gemma.mmobbs.com/test/read.cgi/ragnarok/1175942847/l50へ行ってください。"
(中略) src="http://spa.snap.com/preview/?url=http%3A%2F%2Fgemma.mmobbs.com%2Ftest%2F(中略);">

大元の画像が何らかの脆弱性を利用する悪意あるものだったとしても、
画像をサーバーで作り直してるので、安全だと思います。

763 名前:(○口○*)さん :07/04/11 10:13 ID:1hva4uhk0
アメリカは北朝鮮と組んで中国滅ぼせよ('A`)
中国に水爆落としまくって滅ぼせ

764 名前:(○口○*)さん :07/04/11 10:26 ID:+AKp1cik0
BOTごときで戦争おこして国滅ぼせとかお前重症

765 名前:(○口○*)さん :07/04/11 11:06 ID:Om5lAPnB0
奴らの攻撃はBOTだけじゃないけどな。

766 名前:(○口○*)さん :07/04/11 14:04 ID:n1jK29m2O
むしろ世界中にケンカうりまくりの朝鮮半島もだな…
奴らの核の問題は
俺ら悪い事しましたwwwやめてほしかったら金くれおwww>アメリカ(日本)金払う>おけww核はもうやめるおw
数年後…
また核作りましたwww経済制裁やめて金くれおwww

こんな国だろ
どう考えても犯罪国家。そこらじゅうに工作員とテロのコンボももれなくついてくる

767 名前:(○口○*)さん :07/04/11 14:25 ID:W6KEnJME0
>762
Snap鯖が取得したデータをサムネイルのように表示するだけだから、仮に罠画像が
仕込まれてたとしてもWiki鯖に入るわけじゃなくSnap鯖に入る、って感じかね?

768 名前:(○口○*)さん :07/04/11 15:44 ID:yTnLf75p0
>>766
こっちから原爆おとしてやれよwww

769 名前:(○口○*)さん :07/04/11 16:02 ID:NB9Vzyfi0
>>767
暇を持て余してたので、Firefoxの拡張機能LiveHTTPHeadersを使って、
クライアントがサーバーにどんな要求を投げたかを調べてみました。

@ ttp://hunter.rowiki.jp/link.php?(リンク先のURL)
A ttp://hunter.rowiki.jp/skin/pukiwiki.css.php?charset=Shift_JIS
B ttp://spa.snap.com/images/v1.24/theme/ice/bg/bg_462x366_bl.png
C ttp://spa.snap.com/preview/?url=(リンク先のURL)(その他のパラメータ)

@ Wikiサーバー → クライアント (HTML)
A Wikiサーバー → クライアント (スタイルシート)
B Snapサーバー → クライアント (サムネイル画像の枠)
C Snapサーバー → クライアント (サムネイル画像)

まずWikiサーバーからHTMLソースおよびCSSをダウンロード。基本画面が表示される。
このHTMLソースの中にはSnapから提供されたJavaScriptが埋め込まれており、
リンク先(つまりHTMLでいうところのaタグ)にマウスを乗せると、
JavaScriptが実行されて、クライアントはSnapサーバーにサムネイル画像を要求する。

Snapサーバーはこれを受けて、リンク先のHTMLソースをダウンロードし、
レンダリング、さらに縮小したものをJPEG形式にした上でクライアントに送信する。
クライアントはSnapサーバーからダウンロードしたサムネイル画像を表示する。

画像に関してはWikiサーバーは一切関知してなくて、Snap→クライアントに直接来ます。
ウイルスに感染する可能性があるのは、Snapサーバーのみということになりますね。
Snapサーバー大丈夫なのか・・・

770 名前:(○口○*)さん :07/04/11 16:43 ID:sXZT5x4T0
たぶん非Windows系OSだろうし、どちらにせよ実行アカウントは
権限を絞ってあるだろうから大丈夫だと思うけどね。

771 名前:(○口○*)さん :07/04/11 17:10 ID:Bk8CmJgI0
>>748
ヘッドフォンのWikiというか、Wiki@nothing自体は汎用情報集積サイトなので、多方面の記事が載っている。
それに、福建人も明らかに錯誤を狙ったドメインを取得している。

>>769-770
この場合怖いのは、ある程度著名サービスのsnap側が攻略されるよりも、呼び出し側にDNSポイゾニングを
行われて、偽snapサーバから画像が落ちてくるほうかも。
脆弱性の程度としては、対処レベルのまちまちな方が穴を空けやすいだろうし。

772 名前: ◆sp4Sh9QXGI :07/04/11 19:36 ID:csuCOJ560
>>751さま
試しに適当な危険ドメインにpingを打ってみるとすぐにわかります。
例えば「jprmthome■com」にpingを打ったとして…
  Pinging jprmthome■com [127.0.0.1] with 32 bytes of data.
  (以下省略)
と出れば、hostsでブロックされています。

  Pinging jprmthome■com [222.77.185.88] with 32 bytes of data.
  Destination host unreachable.
  (以下、↑と同じ文章が数回繰り返し)
と出れば、hostsではブロックされていませんがPG2でブロックされています。
この場合のログもしっかり残りますので、PG2のウインドウで確認してみてください。

  Pinging jprmthome■com [222.77.185.88] with 32 bytes of data.
  Reply from 222.77.185.88: bytes=32 time=23ms TTL=54
  (以下、↑と同じ文章が数回繰り返し。timeやTTLの数値は適当です)
と出た場合はhostsでもPG2でもブロックされていません。

773 名前:(○口○*)さん :07/04/12 09:24 ID:EbjJ8DD/0
ちょっと質問しようと覗いてみたが内容の95%くらい理解不可能な俺ミジンコorz
よくないけどまぁいいか・・・
んでLvの低いことで申し訳ないが質問。
サブPCのノートンが期限になったので更新、もしくは代わりに良い物があればそれを。
と思ってるんだけど、何かお勧め、これはやめとけってのある?
チラッと読んだ感じだと、NOD32とかカスペルスキーってのがお勧めされてる?
ノートンでよく言われる「重い」ってのが覿面だったからなるべく軽いのが良いんだけど・・・

OSはXP
CPUはアスロンXP1700+ 1.47G
メモリ1GBです

774 名前:(○口○*)さん :07/04/12 09:56 ID:TDzVCnUs0
軽さで言うならNOD32。
検知能力も高いがアンチウィルス機能のみのため、FW機能とかは別途用意する必要がある。
パターンファイルの対応も早い。

カスペは重さは普通。
統合版を使えばFW機能も入ってるが、設定が微妙に癖があって戸惑う事も。
パターンファイルの対応は信じられないくらい早い。

Norton・ウィルスバスター・マカフィの御三家は対応が微妙に遅く、アカハックウィルスに
関しては不得手。
バスターは2007になってNorton並に重くなってちと不安定な事もある。

カスペの統合版にするか、NOD32+他FWソフトとかの組み合わせが無難と思う。

775 名前:(○口○*)さん :07/04/12 17:41 ID:fasko+B60
>>773
軽さだけならNOD32かな。
カスペルスキーもノートンよりは軽いですね。
私も774氏と同じく、この両者がいいかなと思います。

【NOD32】
http://www.canon-sol.jp/product/nd/
【カスペルスキー】
http://www.just-kaspersky.jp/products/

776 名前:(○口○*)さん :07/04/12 19:10 ID:zJeFk3SM0
便乗で質問してもいいかな?
NODにはFW機能がないって話だけど、それは本来の意味のFW機能だけ?
それとも、Web上の危険なスクリプトなどの自動検知機能さえもないの?

現在使用しているのはNorton AntiVirusで、InternetSecurityはなし。
これと同程度の機能があればNODで十分かなと思ってるんだけど。

777 名前:(○口○*)さん :07/04/12 19:55 ID:Qh2r3Xbu0
>776
それはある。

NOD32は
AMON:常駐保護
DMON:MS Officeドキュメント保護
EMON:Outlook用メールモニタ
IMON:インターネットモニタ
と呼ばれる機能(モジュール)があり、Web上のスクリプト検知はIMONが行う。

ちなみに、先日誤検出(>128-129)した事があるが、>247で回答があったし
その時点で誤検出はしなくなったので、対応は割と迅速な部類に入る。

778 名前:(○口○*)さん :07/04/12 20:34 ID:EbjJ8DD/0
>>774-775
ありがとう
店頭で見比べてみるよ
ってかメインも近いうちに期限切れるし両方試すのも良いかな

779 名前:776 :07/04/12 20:37 ID:zJeFk3SM0
>777
わかりやすいレス、ありがとう。

そうなると、カスペルがオンラインチェックできることに甘えて、普段はNOD32
気になった場合のみカスペルオンラインを利用しての二重チェックもできるね。

780 名前:(○口○*)さん :07/04/12 20:39 ID:vtSODKlb0
便乗に便乗になっちゃうけど、FWソフトはいったい何がお薦めなんだろうね?
今だとやっぱりインターネットセキュリティスィートが多く発売されてるのもあって、
別個でFWを使ってる人は少ないかな?と思って。
自分もNOD32使ってるんだけど、FWは何がいいだろうかーと思って、
知ってる人とかお薦めが合ったら是非に教えてくださいませ。

781 名前:(○口○*)さん :07/04/12 22:34 ID:CXwCKHBy0
私的意見だが、FW単体にお金をかける(かけれる)ならルーター買った方がいいと思う。
やっぱりPCより前の段階で遮断出来るのは良いものだよ。

782 名前:(○口○*)さん :07/04/12 23:34 ID:IhOzRw9C0
・・・・・・・・FWソフトとルーターのFWは、かなり別物のような気がする。

ファイアーウォールの分類
http://www.cyberpolice.go.jp/server/rd_env/pdf/FW02.pdf

>■パケットフィルタリング型
> ・IPパケットのヘッダ情報(IPアドレス、ポート番号など)といった静的ルールで判断し、不正アクセスを防ぐ。
> ・OSI基本参照モデルで例えると、ネットワーク層で動作するファイアウォールである。
>  (ルータやスイッチのアクセスリストなどと同様。)
>■ステートフルパケットフィルタリング型
> ・パケットフィルタリングを拡張した方式。IPパケットのヘッダ情報だけでなく、時間や履歴といった、
>  動的ルールで判断する。単純にパケット単位でフィルタリングするのではなく、アプリケーションレベルで
>  双方向の通信をチェックして、パケットを通過させるか否かを判断する。
> ・OSI基本参照モデルの3層(IPヘッダ情報)と4〜7層(ペイロード情報)を参照する。
>■アプリケーションゲートウェイ型
> ・通信を中継するプロキシプログラムを利用し、内部ネットワークとインターネットの間で直接通信をできないようにする方式。
> ・アプリケーション層のファイアウォールである。(プロキシサーバと同様の動作。)

1つだけではなく、きちんと組み合わせて使おうぜ。リンク先の資料の、長所と短所の比較表も参照。

783 名前:(○口○*)さん :07/04/13 00:44 ID:q6GPnSPS0
ルーターで外部からの接続をすべて遮断してれば、
個別にFWソフトをいれる必要はないとか思っているんだけども、間違ってるかしらん。
(LAN側に1つでも感染PCがいたら、ほかのに延焼したりするだろうが、それはそれ)

>>782
これって、企業向けFW製品群の説明だったりしない?
個人向けルーターとか、個人向けFWソフトとは観点が違うような気がする。

784 名前:(○口○*)さん :07/04/13 01:36 ID:o9OJtzSM0
個人向け製品群に搭載されている、pFWと謳っているものは、実質的にIDS、所謂侵入検知システムの範疇。
プロセスや、アプリケーション群の単位で疎通の可否を決めるような動作をする訳で。
主にプロトコルやport、destinationが判断材料となるルータレベルのパケットフィルタとは、守備範囲を異にするもの。

個人向けBBルータの難点は、ある程度フィルタを増やしてしまうと処理遅延が馬鹿にならない事。
中身は組み込みLinuxのパッケージ製品だから、値段相当とも言えるけど。

785 名前:(○口○*)さん :07/04/13 06:59 ID:kBz8fRPd0
>>783
外からの進入に関していえば、それで間違ってはいない。

内部FWの意味は、もしウイルス等を食ってしまった場合に、
内部からの漏洩や踏み台にして他への感染の広まりを抑えるためには有効。

786 名前:(○口○*)さん :07/04/13 07:49 ID:gnAsRqeW0
イメージ的にはこんな感じで合ってますかね?

●外側から始まる攻撃はルーターが防ぐ
内部 外部
|R|×<----(Attacker) (外側から始まる通信なので通らない)

●内側にバックドア等を仕掛けられた場合
内部 外部
(Backdoor)--------->|R|------>(Attacker) (内側から始まる通信なので通る)
(Backdoor)<---------|R|<------(Attacker) (内側から始まった通信の返信なので通る)

ファイアーウォールがあると防げる場合もある
(Backdoor)------>×|F| |R| (FWはあらかじめ許可された通信しか通さない)

787 名前:(○口○*)さん :07/04/13 08:30 ID:q6GPnSPS0
上記のような場合、内側防御の目的としては
XP以上(だっけ?)についてるWindows付属のFWで
対応しきれないものなのだろうか。

MS製品なんて信用ならねー、というなら、まぁわからなくもないけれど
個人向けFWソフトの導入ってのはどこまで必須なんだろうなぁ。
あったほうがいいのはわかるが、ないとやばいのかしらん。

788 名前:(○口○*)さん :07/04/13 09:47 ID:jGw2UxEp0
>>787
ある程度は防げるけど、一般のFWソフト程じゃない。

789 名前:(○口○*)さん :07/04/13 09:52 ID:8nFu15px0
FC2でブログやってるんだけどいつものコピペコメントで
http://firfir1■blog90■fc2■com
http://bqdr■blog98■fc2■com 
ホストは165■228■131■11

いつもの罠ブログへのアドレスが貼ってあった。
下のアドレスはブログの管理画面にあるリンクをコピペしてソースチェッカーをかけたら
http://bqdr■blog98■fc2■com/となってウイルスのリンクがチェックに引っかからないのでびっくりした。

他のブログサービスでもこういう罠ブログがあるのかしらね・・・

790 名前:(○口○*)さん :07/04/13 12:02 ID:SibRokY40
windows firewallは外向き接続をコントロールできないから無理

791 名前:(○口○*)さん :07/04/13 12:15 ID:RkiDwDvJ0
許可してない外部へのアクセスに警告だすようにすると不審なアクセスに気づけるね。
たまに問題ないのもひっかかるけどそれはそれ。

792 名前:(○口○*)さん :07/04/13 13:45 ID:RBGDsCxI0
>780
有名どころのFWソフトだとZoneAlarmやOutpost、Kerioあたりかね。
一番よく使われてるのはZAな気がするけど。

FWは設定の自由度が高ければ高いほど、設定が難しくなる。
また運用ルールを明確に決めて設定しないと、大きな穴が開いたりする。

色々検索すれば解説ページは見つかるので、自分に合った良さそうなのを選択。

793 名前:(○口○*)さん :07/04/14 19:24 ID:umPEAch90
すみません。
らぐなろくあぷろだ2ndの1002.jpgがhtmlの拡張子をjpgに変更している
モノのようなんです。
DLして中身見てみたら、何処にも飛ばされるようなモノではなかったんですが
問題ないモノでしょうか。
友人が踏んでしまって。

昔htmlを弄っていた経験上、問題ないんじゃないかとは思えるのですが
確認いただける方が居られれば見ていただいて宜しいでしょうか?

友人にはバックアップ取って再インストールできる準備をするようにして
ネットには繋ぐなと言ってあります。

url:http://nekomimi■ws/~ro/img/1002■jpg

794 名前:(○口○*)さん :07/04/14 19:44 ID:ViEjGCQe0
>>793
>>599-603参照
ソースチェッカーで確認したけど、危険はないと思うよ。
JPEG脆弱性利用の可能性を考慮して、Windows Updateを
ちゃんとやってたかどうかは確認しておいた方がいいと思う。
(JPEG脆弱性利用ならわざわざ偽装しないとは思うけどね)

795 名前:(○口○*)さん :07/04/14 19:46 ID:JKUB7NFe0
勇気がなくて踏めない人のための鑑定スレPart13 (初級ネットワーク@2ch掲示板)
http://pc11.2ch.net/test/read.cgi/hack/1173634465/540-542
既に誰かが鑑定したらしい。

ついでに類似の件も発見。
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1170419695/965-966

HTML上の文字列でぐぐっただけで上記情報は直ぐ見つかりました。

796 名前:793 :07/04/14 21:57 ID:umPEAch90
>>794,795
有り難うございます。
過去ログまで目を通してませんでした。

windows updateの確認と共に、念のためオフライン上で各種チェックは
させておきます。

797 名前:(○口○*)さん :07/04/14 23:15 ID:JKUB7NFe0
メール可能な検体提出先(英文が基本)

Avira GmbH(AntiVir) <virus@avira.com>
Dr.WEB <vms@drweb.com >
ESET(NOD32) <samples@eset.com>
F-Secure <samples@f-secure.co.jp>
Grisoft(AVG Anti-Virus) <virus@grisoft.com>
Kaspersky Lab <newvirus@kaspersky.com>
SOFTWIN(BitDefender) <virus_submission@bitdefender.com>
CA(eTrust Vet) <support@vet.com.au>
CA(eTrust Antivirus) <virus@ca.com>
ALWIL Software(avast!) <virus@avast.com>

英文例 (2chセキュ板のをベース)

Hello.
I suspect attached file is infected with virus.
Please examine this.
Details are as follows.
Thanks in advance.

<Attached file info>
Decompression password : virus
File name : virus.zip
In file : virus.exe

<Where did I get this?>
http://exmaple.com/virus.exe

<Aditional Info>

<OS>
Windows 2000 SP4

<Country>
Japan

<Detection possible other software>
NOD32 Win32.NULPO
NORTON Win32.GATTSU

798 名前:(○口○*)さん :07/04/14 23:20 ID:QRH7GuW00
Webからの提出のみ?

Norman
 http://www.norman.com/Virus/Submit_virus_sample/
Sophos
 http://www.sophos.com/support/samples/
F-Prot
 http://www.f-prot.com/virusinfo/submission_form.html

799 名前:(○口○*)さん :07/04/14 23:31 ID:IJkoaxm+0
そういえば、以前マカフィーのサイトアドバイザーでサイトのチェック(評価)が
見れたと思うんだが、有償のが出た時点で無くなった?
有償版のやつ、購入する価値ってあるのかねぇ?

800 名前:(○口○*)さん :07/04/14 23:51 ID:BYfLxanH0
Dr.WEBで事足りるからイラネ。

801 名前:780 :07/04/15 00:08 ID:ZkNbbjP20
FWについて尋ねた者です。
色々レスありがとう。勢いで書き込みしてしまってから
「手前でもっと調べろ」って思ったので調べてたりしてました。
(今日書き込みできたのは休みだからですが…)

入門だとやはりZoneAlarmからが良さそうですね。
色々とやりたくなったら難しそうだけど、それはそれで。

アプリケーション群の単位で疎通の可否やらを知っておきたかったので
ルーターだと都合悪いので聞きました。
Win2kを使わないとならない状況ってのもあって、少しでも軽いものを〜
みたいな感じで選ぶと、どうしてもノートンクラスだと重すぎてしまって。

遅まきながら、ありがとうございました。

802 名前:(○口○*)さん :07/04/15 00:24 ID:HYRT13tv0
>>799
今でも見れるぞ。

803 名前:(○口○*)さん :07/04/15 09:13 ID:5jwyjJzr0
検体提出先(利用者が多そうなもの)

Norton
専用の提出プログラム sarcret.exe (自家製メーラ)を拾って
それで送れ、ということなんだけど
最近はプロバイダの迷惑メール規制でほぼ使い物にならない。
sarcretが送信するメールと同様のメールを作成して送ることもできるけど
やたらとめんどくさい(サブジェクト、本文、ファイル名などが固定)。
ということで英文フォーム。
https://submit.symantec.com/websubmit/retail.cgi
zipで固めてアップ。Captcha(図から字を読んで入力する)あり。
図が紛らわしくて読めない時(1とlとかhとnとか)はリロードがんばれ。

McAfee
メールで送ることもできるけどzipパスワードが「infected」限定
(自動処理されるため他のパスワードは自動返信で蹴っ飛ばされる)。
またメールは対応が遅い。
ということで英文フォーム。
https://www.webimmune.net/
zipで固めてアップ。アカウントを取得しておくこと。
アップ後1分ほど待ってからMy Accountで結果が出る。

804 名前:(○口○*)さん :07/04/15 09:15 ID:5jwyjJzr0
ウイルスバスター(PC-cillin)
日本のトレンドマイクロは提出にウイルスバスターのシリアルが必要なので無視。
ということで英文フォーム。
http://subwiz.trendmicro.com/
の Suspicious file 。Session IDが付くのでブックマークは上記で。
このフォームはIEでしか動作しない(えー)。
ウイルスバスターという選択肢は無いので「PC-cillin 2006」とか選んで
zipで固めてアップ。未知のものはそのまま受け入れられるが
既知のものはアップ後ASPがエラーになるのですぐわかる(えー)。

ウイルスセキュリティ
ソースは受け付けていないと思うので
直接インドのK7にメールで発射。
k7viruslab あっと k7computing.com

英文と言ってもそのファイルが何かを調べるのは
あっちの仕事なので「Virus」や「Trojan」の一言でいいです。

805 名前:(○口○*)さん :07/04/15 09:17 ID:5jwyjJzr0
zipのパスワード
「infected」McAfee(メールの時み。フォームでは不要)、ESET(NOD32)
「virus」Dr.WEB(メールの時のみ。フォームでは不要) Avast! eTrust(CA)
他はパスワード不要(Kaspersky AVG AntiVir BitDefender etc.)。

ただしウイルスが削除されるような契約をプロバイダとしているなら
適宜付けて本文にも明記すること。

806 名前:(○口○*)さん :07/04/15 10:59 ID:YhKIGix30
【  アドレス   】 http://runan■net/main■php
【気付いた日時】ページを見たのは1時間前
【     OS    】Windows XP Home Edition SP2
【使用ブラウザ 】IE
【WindowsUpdateの有無】 3日前
【 アンチウイルスソフト 】niftyセキュリティ24サービス
【その他のSecurty対策 】 なし
【 ウイルススキャン結果】 カスペルスキーオンラインスキャンでは検出なし
【スレログやテンプレを読んだか】 一読しました
【説明】
グーグルでぐぐったRO価格調査隊を開いたところ、見た目はいつものRO価格調査隊
だが、アイテム検索を行うとリンクエラーが発生。
その後、にゅ缶の「貧乏に胸をはれスレ」のテンプレにある価格調査隊の
アドレスと一致しないことに気がついたため。

ROやアカウントセンターにはまだログインしていません。

807 名前:(○口○*)さん :07/04/15 11:16 ID:5jwyjJzr0
>>806
踏んだけど無害。
ドメインをwhoisで見ると日本人(ro-priceと同一人物)っぽいし、
移転前とかの旧サイトを放置してるだけじゃね?

808 名前:806 :07/04/15 11:21 ID:7jeRKR7y0
>>807
そうですか、よかったぁ
807さんありがとうございます。

809 名前:(○口○*)さん :07/04/15 11:55 ID:+OggodB20
全職Wikiの垢ハック対策が高レベルになってしまって、
巡回する必要性がなくなりちょっと寂しい。
こうなるのを望んでいたのにな・・・

   ∧_∧  杉花粉撒いてやんよ
  (´・ω・)ノ>゚+。:.゚
  C□ / ゚。:.゚.:。+゚
  /  . |
  (ノ ̄∪

810 名前:(○口○*)さん :07/04/15 14:42 ID:o4gvePkd0
>>809
全国民を敵にまわしたな !!

811 名前:(○口○*)さん :07/04/15 19:09 ID:mYaeEWEA0
業者同士でハックしあってたら面白いんだがなあ

812 名前:(○口○*)さん :07/04/15 22:06 ID:BWSUqk9B0
本スレ>603
>1CDLinuxが上手く作れず上手く機動してくれません。

焼くときにISOイメージをファイルとして焼いてないかどうか。
ちゃんとイメージとして焼いたなら、PCのBIOSでCD Bootに設定してるかどうか。
起動できないという場合、このどっちかだと思うんだが。

OS入れ直しが一番確実な対処方法ではあるが、罠を踏んだ後でログイン等を
行ったかどうかで優先順位は変わる。
ログイン等してたのなら、PASS変更を一番に。
まだログイン等をしてなかったのなら、OS入れ直しが先でも問題ない。

813 名前:(○口○*)さん :07/04/15 22:24 ID:+UqQqJFi0
>>806
それ旧ドメインなんで安心していいよ
俺も前に踏んで調べたことがあるから

814 名前:(○口○*)さん :07/04/15 22:34 ID:KFVXcepG0
>>811
ワーム同士が潰し合ったことがあったなぁ(実際に敵のプロセスを潰す)。
ttp://japan.cnet.com/news/media/story/0,2000056023,20064667,00.htm

815 名前:(○口○*)さん :07/04/16 01:09 ID:NmsDNgLY0
PG2入れてみたんだが、癌のゲーム鯖もきっちりキックしてくれるのなw

許可リストに、パッチ鯖、ログイン鯖と各ゲーム鯖入れたいんだが、リストどっかになかったっけ?

816 名前:(○口○*)さん :07/04/16 01:19 ID:8cqgCaim0
>>815
それ企業リストも入れてるからじゃ?うちでは省いてるなぁ

817 名前:(○口○*)さん :07/04/16 09:31 ID:7GxxMiOV0
アカウントハック総合対策スレ6の163〜172あたりで話題に出てましたが、
自分がプレイ中にアカハックされて、ログイン合戦になってしまったとき、
どうやって対処すべきか考えてみました。

もしPCを1台しか持ってなくて、頼れる知人もいなくて、
パスワードを変更しようにも使えるのは感染したPCのみという状況の場合。
もちろん、OS再インストールなんてしてる時間はありません。
1CD Linux起動してる間にも被害が進行するかも・・・。
普通に考えると詰みのような気がしますが、こんな方法はどうでしょうか?

PG2(PeerGaurdian2)でRO以外の接続をすべて弾く設定にする。
(RO緊急時などの名称であらかじめ作成しておきましょう)

●全範囲 [禁止]
000.000.000.000 〜 255.255.255.255 All IP Block

●RO [許可]
219.123.155.160 〜 219.123.155.191 Patch Server
221.247.195.160 〜 221.247.195.191 Patch Server
061.215.212.000 〜 061.215.212.255 Game Server
061.215.214.128 〜 061.215.214.255 Game Server
211.013.228.000 〜 211.013.228.255 Game Server
211.013.232.000 〜 211.013.232.255 Game Server
211.013.235.000 〜 211.013.235.255 Game Server

この状態でROにはログインできますので、
ログイン合戦をしつつ、所持しているすべてのキャラのキャラパスを変更します。
(攻撃者によって既に変更されてしまった場合はアウト。その場合は以下の設定も追加してアトラクションセンターへ)

818 名前:(○口○*)さん :07/04/16 09:32 ID:7GxxMiOV0
>>817の続き
●ローカル [許可]
127.000.000.001 〜 127.000.000.001 Localhost
192.168.001.000 〜 192.168.001.255 LAN (※左記は例。お使いのLANのアドレス範囲を設定してください)

●アトラクションセンター [許可]
211.013.229.000 〜 211.013.229.255 Gungho Mode

●DNS [許可]
(※普段使用しているDNSアドレスを設定してください)

トップページは許可リストに入っていないアドレスも参照しているので、すごく時間がかかるかもしれません。
なので、直接ログイン専用ページへ飛ぶ方が良いです。ブックマークしておきましょう。

アトラクションセンターへログインしているときも、ROへのログイン合戦の手を緩めてはいけません。
そして、無事アトラクションパスを変更できた場合は、ROへ一度ログインして、
相手のログインを弾くことを忘れてはいけません。(アトラクションパスを変更しただけでは、弾かれません)

敵の攻撃が止んだからといって、安心してPG2のフィルタ設定を解除してはいけません。
解除した瞬間に、パスを送信される可能性があります。まずLANケーブルを抜いてください。
その後、必要なファイルのバックアップを取った後、OSを再インストールしましょう。


以上です。
PG2の機能を阻害するようなマルウェアを仕込まれてたらアウトですが、
状況的に贅沢は言えません。万一の場合を考えると、変更はキャラパスのみに留め、
OS再インストール後に、アトラクションパス変更が理想です。

PG2は一例であり、任意のIPフィルタ、ファイアウォールなどで実現できると思います。

819 名前:(○口○*)さん :07/04/16 09:57 ID:NmsDNgLY0
ああ、なるほど。PG2で盗み出したパスの送信を止めちゃうのも正しい対処の1つですね。

820 名前:(○口○*)さん :07/04/16 10:20 ID:NmsDNgLY0
ふと思ったんだが、nPro鯖への接続も解放してやらないと切断される訳だが、nProのIPってどこだ。

821 名前:(○口○*)さん :07/04/16 10:26 ID:rhj4ycDh0
>>815

P2Pリストを普段はオフにすればいい


>>819

http://gemma.mmobbs.com/test/read.cgi/ragnarok/1173963316/489-491
の事例がまさしくそうだな

822 名前:(○口○*)さん :07/04/16 10:56 ID:l/VQkgDd0
>817-818
ログイン合戦時にその方法を使うなら
・最初からアトラクションセンターに行ってPASS変更する
・RO蔵起動は相手の接続を落とすために行う
という感じになるかと。

キャラパスは5つあるから、ログイン合戦しつつ5つのパスの変更かけるよりは
アトラクションセンターでROのPASSを変更した方が早いし確実だと思う。

ログイン合戦を想定してるわけじゃないが、自分はPCにVMwareをインストールして
Linux環境がすぐに(数分)立ち上げれるようにしてる。
感染してる時点でLAN内のPCの安全性は疑った方がいいし、1CD Linuxも用意してるが
即動かすのなら仮想PCの方が手っ取り早い。

ただログイン合戦の現場に遭遇してしまった時に、冷静に対処出来るか正直自信がない。
ある程度の対策は講じてるつもりだが、出来ればそんな場面に出くわしたくないものだ……

>821
丁度送信先がlovetwだったので助かった、って例だね。
送信先が未知のIPだと防げなかっただろうし、不幸中の幸いという所だと思う。

823 名前:(○口○*)さん :07/04/16 11:07 ID:NmsDNgLY0
// パッチ鯖はUCOM内にある模様。単独IP指定で良さそう
//UCOM Corporation:219.123.155.000-219.123.155.255
//UCOM Corporation:221.247.195.000-221.247.195.255

// PG2のセーフリスト(RO接続時)
// ↓ここから↓
ragnarok2.vector.co.jp:221.247.195.165
wpatch.ragnarokonline.jp:219.123.155.165
RAGNAROK-JP:061.215.212.000-061.215.212.255
RAGNAROK-JP2:061.215.214.128-061.215.214.255
RAGNAROK-JP2:211.013.228.000-211.013.228.255
RAGNAROK-JP3:211.013.232.000-211.013.232.255
RAGNAROK-JP4:211.013.235.000-211.013.235.255
GUNGHO-MODE:211.013.229.000-211.013.229.255
update.nprotect.net:211.115.123.0-211.115.123.255
// ↑ここまで↑

----- 参考情報 -----
// 現時点の clientinfo.xml pkclientinfo.xml によるワールドセレクトのIP
ログイン鯖(RAGNAROK-JP2 の範囲)
211.13.228.22:WG1(port 6900)
211.13.228.19:WG2(port 6900)
211.13.228.20:WG3(port 6900)
211.13.228.21:WG4(port 6900)
211.13.228.23:PK(port 6900)

パッチ情報取得鯖(RAGNAROK-JP2 の範囲)
fpatch.ragnarokonline.jp:211.13.228.154
パッチ鯖(現物のある所:UCOM内)
ragnarok2.vector.co.jp:221.247.195.165
wpatch.ragnarokonline.jp:219.123.155.165

あとはnPro鯖はどうすりゃいいんだろう。nProがPG2かいくぐってたらやだなぁ。

824 名前:(○口○*)さん :07/04/16 11:37 ID:l/VQkgDd0
>823
普通の統合型アンチウィルスソフトがGameMon.desの通信許可を聞いてくるぐらいだから
PG2を掻い潜ってる事はないはず。
RO起動してからPG2の履歴→許可タブを見たらIPが見つかると思う。

GameMon.des他の目に見えるものが実はダミーで別で通信してるなら知らないけど。

825 名前:(○口○*)さん :07/04/16 11:39 ID:7GxxMiOV0
>>822
そうなんだよねえ。ログイン合戦のような超緊急時は迷わず、
アトラクションへ直行した方がいいような気がしてきました。

万一PG2が機能してなかった場合に、がんほーパスが
敵の手に渡るという問題はあるけれど、そんなこと言ってる状況でもないかな


あとログイン合戦を研究した上での注意点として、
ゲーム内にログインしない限り、敵のログインに気づきにくいという問題があります。
(要はキャラセレ画面等にいるときは、他の人がログインしても、何のメッセージも出ないので要注意)

●ログイン合戦を行う上での予備知識
・自分がゲーム内にログインしているときに、外部から不正ログインされると、
 「同じアトラクションIDで他の使用者がログインしました。」のダイアログが表示され、
 強制ログアウトさせられる。
・自分がサーバー選択画面やキャラセレ画面にいるときに、外部から不正ログインされた場合は、
 何も表示されないので一見分からないが、キャラパス認証後にサバキャンされ、
 ゲーム内にはログインできない。
・外部から不正ログインされているときに、自分がログインすると、
 「前の接続情報が残っています。しばらく後に接続してください。」というダイアログが表示され、
 ログインは失敗する。(この瞬間にすでにログインしている人は強制ログアウトさせられる)

826 名前:825 :07/04/16 11:44 ID:7GxxMiOV0
がはっ、訂正 → >>825の3行目はアトラクションではなく、アトラクションセンターです。

827 名前:(○口○*)さん :07/04/16 12:26 ID:NmsDNgLY0
>>824サンクス
拒否タブから探してみたw

219.123.155.176
221.247.195.176

ってのが見つかった。パッチ鯖はないけど、UCOM配下のIPがあった。これかもしれない。
>>823のupdate.nprotect.netってのは、別ゲームの奴を間違えて入れてた。orz
あと、WEB関係も弾いてた記録があったので追記。

>>823と差し替えて、これで暫く運用してみるよ。飯食ったらこれで繋いでみる。
UCOM Corporation:219.123.155.000-219.123.155.255
UCOM Corporation:221.247.195.000-221.247.195.255
RAGNAROK-JP:061.215.212.000-061.215.212.255
RAGNAROK-JP2:061.215.214.128-061.215.214.255
RAGNAROK-JP2:211.013.228.000-211.013.228.255
RAGNAROK-JP3:211.013.232.000-211.013.232.255
RAGNAROK-JP4:211.013.235.000-211.013.235.255
GUNGHO-MODE:211.013.229.000-211.013.229.255
WEB-SYSTEM:061.215.220.064-061.215.220.255

828 名前: ◆sp4Sh9QXGI :07/04/16 12:45 ID:Zy2ZbsNP0
こっちのほうがいいような気がするので移動。

本スレ>>624さま
近●一家♪ というユーザー(一部伏字)の書き込みですね。
一応ソースチェッカーに通してみましたが、
よくある「お小遣い稼ぎ系」のサイトのようです。
規約違反に該当する気がするので運営サイドに報告するのが得策かと。

829 名前:(○口○*)さん :07/04/16 14:53 ID:sZ0SMnS30
半分チラシの裏

向こうの垢ハックスレに報告される罠ブログ
FC2ブログが使われていることが多いのはなんでだろう

830 名前:(○口○*)さん :07/04/16 15:50 ID:TelLZxIm0
にゅ缶の総合に書いたもので、マルチポストするようで、まず謝っておきます。

220.162.116.94 94.116.162.220.board.ly.fj.dynamic.163data.com.cn
222.78.103.98 98.103.78.222.board.ly.fj.dynamic.163data.com.cn

アカハクURLへ誘導する書き込みをした人のアクセス元がこれなんですが、こういう情報提供はダメでしょうか?

831 名前:(○口○*)さん :07/04/16 15:56 ID:NmsDNgLY0
>>830
歓迎。自分のHPに設置してる拒否リストとかに載せるのに役立ちます。

Wiki管理者もこういった情報がリスト化されてると、自分の所には「まだ」きていないのを
事前にブロック設定できて助かるのではないでしょうか。

832 名前:(○口○*)さん :07/04/16 16:09 ID:NmsDNgLY0
>>829
あれは、日本語で登録できるが、FC2自体は日本の会社じゃない。
登録してないのにメール送ってくるとかもやってたしな。管理はお察しレベルだと思っている。

833 名前:(○口○*)さん :07/04/16 17:05 ID:l/VQkgDd0
fj.cn.cndata.comと163data.com.cnは中華のハク犯が良く使うので
アクセス禁止にしてる所が多い。
普通のサイト運営してたら、この2つは丸ごとブロックしても
問題ないと思う。

ところでハクドメインで使われてる登録者の zhiqiang lin だが
ググったら、なんかボロボロ出て来るんだが、本人なのかねぇ?

向こうでネットワーク系の本も出してるような感じの人なんだが
単に詐称されてるだけかな?

834 名前:(○口○*)さん :07/04/16 17:17 ID:OTIIiUzf0
一時期はでだったRBOのWikiやSoundTeMPのWikiも良くなってきてる模様。
その代わりRO以外/MMO以外の普通のWikiすら攻撃対象になっている現状。

少し前あっちのスレで話題にでた
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1173963316/516
を通報したんだけど未だに削除されず。管理の甘い転送サービスは
サイト管理者側で禁止するしかないか。

>>829
あっこは手を無駄に広げすぎて人手不足に陥り、中身はスパゲッティな構造に
なっているらしいからなぁ。そこらへんのとーしろになりふり構わずオファーして
るという話もあるらしい。どんな立場でも使わない方がいいと思うよ・・

835 名前:(○口○*)さん :07/04/16 19:57 ID:2xQDcQmo0
タグ(iframe)埋め込めるってことが知られ、アカウント取得や記事投稿手法が
マニュアル化されたorその作業すらもBOT化されている(かも)ってだけ…

836 名前:(○口○*)さん :07/04/16 19:58 ID:WTeol1Ro0
緊急用、及び平時のパスローテーション用に、アトラクションセンター内でのpass変更を行うUWSCスクリプトを使うと
いうのはどうだろうか。
万が一、ログイン合戦に陥るような事があっても、別PCで走らせるだけで相手に競り勝てるかもしれない。
それに、定期的にスケジュール実行するだけで、パスワードの強度を保つこともできる。

837 名前:(○口○*)さん :07/04/16 20:28 ID:CGi+BYe30
総合スレでこちらにと言われたので質問させてください。

先ほどゲームをログアウトしたところROクライアントと隣に
hunting〜〜〜〜というメモ帳を見つけクライアントと共に落ちるのを
確認しました。不審に思い色々検索したのですが満足いく回答を
探せませんでした。

非常に中途半端な質問なのですがhunting〜〜〜〜というのは
アカウントハックに関係するのでしょうか?

838 名前:(○口○*)さん :07/04/16 20:28 ID:CGi+BYe30
すみません上げてしましました。

839 名前:(○口○*)さん :07/04/16 20:47 ID:8cqgCaim0
曖昧すぎてなんとも…、せめて出来たファイル名をフルで書けてたらとおもふ

840 名前:(○口○*)さん :07/04/16 21:25 ID:CGi+BYe30
>>839
そのままファイルが落ちずに残ってたら当然ここにも明記したのですが
同時に落ちてしまいhunting〜〜〜〜までしか確認できませんでした。
現在ノートンでスキャンしています。

841 名前:(○口○*)さん :07/04/16 22:16 ID:9GSKXkQL0
この場合、ウイルススキャンするより、「hunting」辺りで、ファイルやフォルダの検索した方が見つかりやすかったりする。
過去に例がないウイルスであれば、新種としてウイルススキャンでは見つからなかったりする。
ノートンで見つからなかったら、
スタートメニュー->検索->ファイルやフォルダ
で検索してみるといい。
「hunting」って単語なら、一般的な単語なので関係ないファイルも見つかるかもしれないが、
怪しそうなのを並べてみれば、検証できるかもしれない。

842 名前:837 :07/04/16 22:26 ID:CGi+BYe30
報告します
ノートンインターネットセキュリティ2007でスキャンなにもでず
>>841氏の助言のキーワード検索でも何も引っかからず
以上報告いたします。

今後は一応無料スパイウェア検索とカスペの手をお借りしようと思っています
アドバイスありがとうございました。

843 名前:(○口○*)さん :07/04/16 23:22 ID:9GSKXkQL0
>>842
あー、すまん。
ファイルやフォルダの検索のときに、
ファイル名のすべてまたは一部は空で、
「ファイルに含まれる単語または句」の方に「hunting」を入れた?

こうすると、すべてのファイルの中身まで検索してくれる。
かなり時間かかるけどな。
ファイル名のすべてまたは一部は「*.exe」と入れておくと多少は早くなる。

844 名前:(○口○*)さん :07/04/17 15:23 ID:Ohc5+S6k0
ウィルスバスター2007を入れて以降Roが起動しなくなってしまいました。
正確にはパッチを当てる所まではいくのですが「ゲーム開始」を押した所で反応がなくなります。

ウィルスバスターの設定でRoを許可してやればいいんだろうな、と察せはするのですが
正直どこを弄れば許可を出せるのかが分かりません。
初歩的な所で申し訳ありませんがご存知の方いらっしゃいましたら教えてください。

845 名前:(○口○*)さん :07/04/17 15:33 ID:/GBoZn/c0
>>844
>正直どこを弄れば許可を出せるのかが分かりません。

ウィルスバスターの説明書に書いてある
でROとnPro関係のプロセスの通信を許可する

846 名前:(○口○*)さん :07/04/17 19:32 ID:v2qsS4PJ0
それがわからないとかどれだけ初心者なんだと・・・

847 名前:(○口○*)さん :07/04/17 19:48 ID:S7WBbS4u0
>>846
自分には特に考えずできてしまうことでも初心者にとっちゃ高い壁なんだよ。
この意識の違いのおかげで初心者に教えるときに苦労する。

848 名前:(○口○*)さん :07/04/17 20:32 ID:cn8TLMrQ0
>>844
もう少し詳細な情報が欲しいとこだね。
その現象はパーソナルファイアウォールを無効にしても変わらない?
一応手順を書いておくと、
1.タスクトレイのカプセルアイコンをダブルクリックして、ウイルスバスター2007の窓を立ち上げる。
2.不正進入対策/ネットワーク管理をクリック
3.パーソナルファイアウォールの有効という部分をクリックし、無効に変更する

これでつながるならファイアウォールが原因。
ファイアウォールの設定とかも指示できるけど、まずは、そこまで特定してみて欲しい。

849 名前:(○口○*)さん :07/04/17 21:37 ID:6avDMHHI0
>848の内容と重複するが、バスターのFAQから該当しそうな部分を拾ってきた。
ttp://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=JP-2060601
ttp://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=JP-210234
この辺りを確認&設定すれば、多分上手くいくと思う。

850 名前:(○口○*)さん :07/04/18 01:14 ID:l4JA4AaE0
どうやら新手らしいのが出たみたいだ。Wikiに
「%25A5%25E2%25A5%25F3%25A5%25B9%25A5%25BF%25A1%25BC%252F%25BC%25EF%25C2%25B2%252F%25CE%25B5」
というタイトルでこんなのが貼られた。

Hi all!

How you buying [url=http://www■iwannaforum■com/vacuumbags/]vacuum cleaner bag[/url]s?

Cheers :)

もしかしたらただのスパムかもしれないが確認する方法が無いので一応報告しておく。

851 名前:(○口○*)さん :07/04/18 01:25 ID:hl8JDvtu0
>>850
文面見ても、urlの内容見ても、それただのspam。
詳細まで見てはいないので、そこに垢ハックが埋め込まれてるかまでは知らん。

852 名前:(○口○*)さん :07/04/18 09:12 ID:QDI0vVis0
本スレでは今度はinfowebからの罠書き込みの情報があったわけだが、各種Wikiとかが
アクセス制限してるから、ゾンビPC使ってjpドメインで何とか罠を貼り付けようと
してるんだろうな。

もしかして連中が貼り付けるウィルスにバックドアの機能も付いてたりするのかね?
ROに関係無いサイトにも張りまくってる理由って、数撃ちゃ当たるって考えよりも
ゾンビPCを増やそうとしてるように見える。


しかし各種のWikiやBlog、BBSを運営してる人って、こういうjpドメインからの書き込みに
対する対策ってどうやってるんだろうか?
個別でブロックしてもIP変われば抜けてくるし、該当のIPの範囲をブロックしたら
巻き込まれる人も出るだろうし。
罠アドレスを禁止ワード登録して書き込み出来ないように、ってぐらいしか手が無い?

853 名前:(○口○*)さん :07/04/18 09:39 ID:hl8JDvtu0
担当者の方へ

 こんにちは、私は(自分の本名というものです。

 このたび

< >

を名乗る人物が、御社の関係するサーバを、中継サーバ、送信サーバ、
あるいはダイアルアップ接続等に悪用し、私の管理するBBSに対し
「一方的迷惑広告」(spam)書き込みが行われました。

記録されたIPを見ると、「」であり、御社管理下のものです。

 各種の情報から、この送信者は不当にかき集めた不特定多数の掲示板に
対して送信しているものと考えられ、同様な多数のアダルトサイト宣伝
投稿により私はとても迷惑しております。IP弾きや、NGワードなどにより
制限を行なってはおりますが、このような業者を放置するべきでないという点は、
ここでこれ以上言う必要がないと信じます。

 私のメールアドレス等の個人情報をspam送信者に開示すること、
spam問題解決の為「以外」に用いることはお避け下さい。

 もし貴社が対策をするつもりがあるのなら「定型文でも」「遅れても」
構いませんので、御返事頂けると有り難く思います。

 ではお願いいたします。

---掲示板のアクセスログ---

---掲示板の書き込み---

---投稿に記入されていたメールアドレス---

854 名前:(○口○*)さん :07/04/18 09:44 ID:hl8JDvtu0
うげ、送信しちゃった…

>>852
>しかし各種のWikiやBlog、BBSを運営してる人って、こういうjpドメインからの書き込みに
>対する対策ってどうやってるんだろうか?

>>853 のようなテンプレを使用して、対処依頼を出してる。
ISPのアカウント剥奪、ブロック、再登録拒否のブラックリスト入り を期待する形。
この苦情メールの送り先は、書込みIPをwhoisにかけて、そこの[技術連絡担当者]の
メールアドレスに送る。

855 名前:(○口○*)さん :07/04/18 09:48 ID:RBZZPSO50
>>850
なんだか掃除機の袋の販売っぽいけど、
踏んだらGoogleに転送された(IE7とFx3Alpha3で確認)。
世界中にspamばら撒いておいて、接続元が対象外だったら
シカトするみたいなことやってんのかねぇ。

856 名前:(○口○*)さん :07/04/18 10:10 ID:QDI0vVis0
>854
プロバイダに通報して対処を期待するしかないのか。

しかしゾンビPCだったらPC所有者が気付いてないんだろうし、対応されるまで
結構時間かかりそうだ。

857 名前:(○口○*)さん :07/04/18 12:26 ID:l4JA4AaE0
>>850,855
サンクス。最近攻撃が多いんで敏感になってるとこにスパムとか打ち込まれるとビクッとする…。

858 名前:844 :07/04/18 15:44 ID:x8IF8uS30
情報ありがとうございます。
分かる範囲で試してみたのですが相変わらずパッチ画面までしかいけません。

>>845さん
>ROとnPro関係のプロセスの通信を許可する
ここのRoはRagnarok.exeのことだと思うのですが
nProはどのファイルになるのでしょうか?
指定する.exeがどれか分かりませんでした。

>>848さん
パーソナルファイアウォールを無効にしても変化ありませんでした。
と言うか、ウィルスバスター自体を終了させてもパッチ画面までしかいけなくなってしまいました。

>>849さん
上の方のリンクが多分>>845さんの仰る所の通信の許可だと思うのですが
どれを指定すればnProを許可にして出来るかが分からない所で作業が止まってしまいました。
下の方のリンクは「2. [ネットワーク管理] → [URLフィルタ設定] をクリックします。」の
「URLフィルタの設定」が見つかりませんでした。(2007にはない?)

詳細と言うか、>>844に書かなかった事なのですが、
ウィルスバスター2007をいれて即今の状況になったわけではなく、
偶々検索をしたときに引っかかった「良く分からないもの」を「何かした」あとからパッチ画面で止まるようになりました。
多分「怖いからとりあえず削除」した気がしますがコレが原因でしょうか?
また、この状況になった後、一度Roをインストールし直しています。

あと、関連は無いかもしれませんが、同時期からIEのホームページが何度設定し直しても
「about:blank」と言うアドレスの白いページになるようになりました。

859 名前:848 :07/04/18 16:33 ID:Om1RVPY+0
>>858
うーむ。バスターが原因ではないのかもしれないね。
他の人に代わって、こちらで分かることを回答しておくと、

>ここのRoはRagnarok.exeのことだと思うのですが
>nProはどのファイルになるのでしょうか?

ROで外部と通信をしてる実行ファイルは以下の3つね。
Ragnarok.exe  (パッチクライアント)
Ragexe.exe   (ROクライアント)
GameGuard.des  (nPro)

通常なら、この3つを許可にすればプレイできるようになるはずだけど、
ファイアウォールを無効にしてもダメだったということは、多分設定しても変わらないと思う。

>下の方のリンクは「2. [ネットワーク管理] → [URLフィルタ設定] をクリックします。」の
>「URLフィルタの設定」が見つかりませんでした。(2007にはない?)

2005と2007ではユーザーインターフェースが変わってて、2007の場合、
「フィッシング詐欺/迷惑メール対策」の中に「URLフィルタ」があります。
ファイアウォールと同じ要領でURLフィルタも無効にできるので、
無効にして、つながるか試してみてくださいな。

不可思議な現象に見舞われてるね。うちもバスター使ってるので、
バスター関連の設定ならそれなりに力になれるけれど・・・

860 名前:858 :07/04/18 18:10 ID:x8IF8uS30
>>859
>Ragnarok.exe  (パッチクライアント)
>Ragexe.exe   (ROクライアント)
>GameGuard.des  (nPro)
の三つを許可してみましたが変化はありませんでした。

また、URLフィルタは見つかりましたが、チェックがついておらず
最初から無効になっていたようです。
(チェックを入れて試しましたが結果は同じでした)

バスターの検索の後に症状に気がついた為バスターの所為だと思っていましたが
別の理由があるのでしょうか。
ちなみに、バスターがウィルス(?)と判断して削除対象にするようなもので
Roをするに当たって復旧できなそうなものはありますか?
内容を深く考えずに削除したものが若干気になっています。

861 名前:848 :07/04/18 18:42 ID:Om1RVPY+0
>バスターの検索の後に症状に気がついた為バスターの所為だと思っていましたが
>別の理由があるのでしょうか。

症状からして、多分バスターをアンインストールしても改善されないんじゃないかな。
それも時間があったら試してみるといいかも。

>ちなみに、バスターがウィルス(?)と判断して削除対象にするようなもので
>Roをするに当たって復旧できなそうなものはありますか?

バスターのログを見れば、何か分かるかもしれない。
[アップデート/その他の設定]-[ログ(履歴)]を選んで、
ウイルスログとパーソナルファイアウォールログをそれぞれ表示させてみてください。

862 名前:848 :07/04/18 18:46 ID:Om1RVPY+0
言い忘れたけど、もしバスターを試しにアンインストしてみるなら、
その前にログをファイルに保存しておいた方が良いです。

863 名前:(○口○*)さん :07/04/18 20:23 ID:QDI0vVis0
何かPerl系プロセスが走ってて蔵が強制終了してるようにも見えるし、変なものが
入り込んでるようにも見える。

・PC再起動した直後でも同じなのか
・カスペのオンラインスキャンでPCをチェックした結果はどうか
・RO蔵の再インストールしてどうなるか(SSやCHATログのバックアップは忘れずに)
・バスターをアンインストールした状態でどうなるか
 (PCCTool.exeを使って強制削除した方がゴミが残らないので確実)

1つ1つ原因を切り分けていくしか無いような気がする。

864 名前:(○口○*)さん :07/04/18 20:29 ID:hl8JDvtu0
spamフィルタのPOPFileは、内部がPerlらしく、引っ掛かる。これ起動してたら、RO使う間は落とせ。

865 名前:(○口○*)さん :07/04/18 20:39 ID:iESPN1TQ0
ウイルスバスターって色々してる割りにはザルで無能ってイメージしかない

866 名前:(○口○*)さん :07/04/18 20:57 ID:qrYVyqCx0
PCに詳しくない人でも設定が比較的楽だとは思う
いまのように亜種が一日に数種ってペースで増えるのには追いつけない様だが

867 名前:(○口○*)さん :07/04/18 21:28 ID:jAD1l5X/0
知識ない奴は金払うなりして常時サポートか
詳しい人に事前に設定してもらうかしろってことだろ
ウィルスが蔓延する理由はPCユーザーが増えて質が落ちたのが一番の原因だろうからな
極論いえばネットやるなとかいう話になるけど

868 名前:(○口○*)さん :07/04/18 23:33 ID:1ZcABGNX0
TrendMicroは、法人向けのウェイトが大きい。
VBCorpやServerProtect、TMCMあたりを5年契約で売っていればやっていける企業だから。
日本国内の個人向けで、フットワークが軽くないのも致し方なし。
CPU使用率100%パターンファイルのトラブル以降、検証にも時間が掛かるようになったのもあるが。

>>867
知識の無いユーザーほど、根拠の無い自信によって、自分だけは大丈夫だと思いがち。
別にPCに限った事ではなく、健康保険や、自動車の任意保険など。

869 名前:(○口○*)さん :07/04/19 12:04 ID:xPG0h0O+0
ちょっと質問ですが
ブログやってるとリンクの依頼カキコとか結構あるんですよね。
でも最近はFC2の罠ブログなんかもありますし、書き込みも巧妙なのが多いので
どうやって調べていいか悩んでいます。

今、現在は
リンク希望サイトカキコが来る→危険サイト一覧適合調査→ソースチェッカーにかける
→検索で「lovetw」検索→ソースから最新の更新日時を見る。(依頼後から更新があるか?)

これで問題なかったらリンク先として追加しています。
もっとやった方がいいことや、注意点などあれば教えて下さい。

870 名前:(○口○*)さん :07/04/19 12:53 ID:ob4ZODp30
ウィルスにやられた総合スレの731には悪いけど、総合スレ733のレスとか見るとさ
どれだけあれこれ入れて対策しても、管理者が無知だとあっさりウィルスにやられるんだな
って、すごくよくわかるよ。

理想は「危機管理の必要ないインターネット」だろうけど、現状はそんなの夢物語だから
バカを見るのが嫌なら、やっぱり知識は必要だね。

871 名前:(○口○*)さん :07/04/19 13:25 ID:iwOkmzHJ0
入れてるだけで対策してると思ってるのも間違いだろう

872 名前:(○口○*)さん :07/04/19 14:59 ID:6ReSHNIw0
最初は誰だって無知だし、それを責めるわけにはいかないって。

ただ問題は、危機意識を持ってるかどうか。
こういうのは自分がそういう事態に遭遇しなければなかなか実感出来ないし
遭遇しても、喉元過ぎれば、になったりする。

垢ハクウィルス「その時はすっぱり引退するし」
BackDoor「盗まれて困る情報なんかないし」
IrcBot「IRCなんか使ってないし」
botnet「普段PC落としてるし」
メールワーム「鬱陶しいスパムがくるだけだし」

こういう意見が平気で出るからな……

せめてこれらに対して、怖い・気をつけないといけない、という感覚を持てたら
結構変わるんだが。

873 名前:(○口○*)さん :07/04/19 15:20 ID:ZVQ9Hhpt0
物によっては、被害者になった時点で加害者になっていることを
知って欲しかったりも。

874 名前:(○口○*)さん :07/04/19 16:29 ID:ob4ZODp30
危機意識を持ってもらおうにも、知識がないと何がどうして怖いのかがわからないだろうしなあ。

意識が先か、知識が先か。

875 名前:858 :07/04/19 18:08 ID:T8Bk6hDm0
ここ数日お力をお借りしている者です。
>>848さんにご指導頂いた所見てみたのですが良く分かりませんでした。

それとは別に、昨日まで正常に動いていたDVDドライブまで使えなくなってしまいました。
(円盤の出し入れ、読み取りは出来ても書き込めない)
CDに書き込む用があった為、本件の原因が分からないままですが
必要なものを保存した上でバスターを入れる前の日付のチェックポイントまで
システムの復旧をすることにしました。

若干不安だったものの復旧後はRoの起動、DVD、IEのHPの指定など正常(?)に戻りました。
一応、復旧後にカスペルキーのオンラインチェックをしたところ2点ほど怪しい点があったので
試用版をインストールして対処しました。(トロイ何とかと言うのが見つかりました)

原因が分からないままの解決(?)で個人的にもかなりモヤモヤしたところがありますが
目の前の問題が解決して安堵していたりもします。
(て、考え方が↑で言われている危機感の無さでしょうか)

情報ありがとうございました。

876 名前:(○口○*)さん :07/04/19 20:06 ID:NYsXlQdM0
レジストリのどこかが変になってたのかね。
復旧して何より。

……と言いたいところなんだが
>(トロイ何とかと言うのが見つかりました)

トロイが見つかってるなら、それが原因の可能性が高いんだが……
元々トロイが入っていて、アンチウィルスソフトのバスターがインストールされたのを
検知して、バスターを妨害。
その結果、Windowsが不安定に。
という、よくありがちな流れな気がする。

>863を試してたら、もっと早く解決した気がしないでもない。
あと、カスペのログから何のトロイだったのかを調べたほうがいい。
トロイが入っていた=何らかの情報(PASS等)がどこかに送信された
可能性もあるし、それこそ垢ハク系の可能性だってある。

安堵する前に最後まで処置したほうがいい。

877 名前:(○口○*)さん :07/04/19 20:58 ID:jB49WeBt0
ワロタw
トロイの痕跡があっただけでかなりヤバイだろ
俺だったら不安で夜も寝られず自殺しちまいそうだ

878 名前:(○口○*)さん :07/04/19 21:00 ID:jB49WeBt0
連柿
まあどういうトロイかにもよるが、「トロイ何とかと言うのが」とか言ってるあたり、何も調べてないんだろ

879 名前:(○口○*)さん :07/04/19 21:20 ID:Xgo6NzXL0
なんというか…OS入れなおした方がよくね?

880 名前:(○口○*)さん :07/04/19 21:22 ID:Pxd0Jz7o0
>875
今現在、真面目にヤバイ状況って気付いてる?

流れを整理すると

A)(トロイがバスターを妨害していたために)Windowが不安定・ROが起動出来なかった。
(トロイは潜伏中)

B)システム復旧実施・バスターが入ってない状態に戻る(トロイは潜伏中)

C)RO起動成功・その他不具合解消(トロイは潜伏中)

D)カスペオンライン試すとトロイ検知・体験版で駆除

E)安堵して幸せな気分に

こういう事なわけだが、問題はCの時点。

A〜Bの時点ではROが起動できないからハクウィルスだったとしても、PASSは流れてない。
しかしCの時点でROが起動できてるという事は、おそらく>875はログインしてプレイ出来ることを
確認してるだろう。

つまりトロイが潜伏してるのにログインしてしまった→垢ハクウィルスが発動→ハク犯はPASSゲット、の
コンボに繋がる。

トロイの種類を気にしてないのは論外だし、ROの起動確認するタイミングもマズすぎた。
もう一度ウィルスチェックして安全を確認した上で、PASS変更する事を勧める。
罠のスイッチを押したかもしれないのに、安堵してる場合じゃないし、一刻の猶予もないかもしれない
状況だって事に気付け……

881 名前:(○口○*)さん :07/04/19 21:49 ID:qRV2ICyH0
カスペのチェックの前か後か、あの文面では判らんな。
もしカスペでのチェックの前にROを起動してたら、罠のスイッチというか
時限爆弾のスイッチを(知らずとは言え)自分で押してしまったようなもの。

どちらにせよ、パスは変更したほうが無難。

882 名前:(○口○*)さん :07/04/19 23:36 ID:rAMBTU+u0
安堵してもうここ見てなくてアウツになる予感。
次来るときはハクられた報告でないことを祈る。

883 名前:(○口○*)さん :07/04/19 23:46 ID:Xgo6NzXL0
もう、その辺は自己責任でいいじゃん。ゲーム内の電子データは財物扱いされてすらいないし。

884 名前:(○口○*)さん :07/04/20 00:22 ID:LRu5n+aq0
だが仮に、botnet絡みのBackDoorだった場合、ネット全体に害を及ぼし始める可能性もある。

885 名前:(○口○*)さん :07/04/20 00:49 ID:G0NJI2nk0
アカハックにしたって、誰かが被害に遭えば、中華の資本を増やすことになるからな。

886 名前:(○口○*)さん :07/04/20 01:27 ID:5nbz/saj0
>880のパターンで一番怖いのが、Dで駆除したからこれで安心、と
思いこむ所だな。
先にROを動かしてたら抜かれた後で駆除してる事になるし。

しかし858からの反応が無いのが逆に怖いな。
本当に>882のパターンにならないことを祈るよ。

887 名前:(○口○*)さん :07/04/20 08:58 ID:V3CG7Q3n0
実はOSを入れなおした人間なんだけど
NIS2007をまた入れるか他に乗り換えるか迷ってるんだ
(今はPC付属のNIS2005を利用している)

現在利用してるほかのソフトは PG2とSpybot
もし乗り換えるならどれが良いか、価格ではなく安全度で答えてほしい
OSはWinXP

888 名前:(○口○*)さん :07/04/20 09:26 ID:t1I6icst0
まぁここで勧めるならカスペになるんだろうなぁ

889 名前:(○口○*)さん :07/04/20 09:35 ID:fGqShhF60
本スレで被害報告のあったpppgameskをソースチェッカーで見てみたが
別サイトをコピった割には文字化けしまくり。
他言語版Windowsとかで作るからかねぇ?

ついでにコピー元と思しきBlogを(ソースチェッカーで)見に行ったら
垢ハクの対策方法やBlogでの安全対策を書いてたり……

垢ハクの被害を無くそうと頑張ってる感じだったが、こんな形で自分の
Blogが悪用されるとは、夢にも思わなかっただろうな……

>887
NISのような統合版を求めるならカスペKIS。
NAVのようにアンチウィルス機能だけでいいならNOD32。

890 名前:(○口○*)さん :07/04/20 09:45 ID:V3CG7Q3n0
>>888
>>889

ありがとう。
NISタイプを求めてるのでカスペKISに乗り換える事にする

NIS2007で何回試行してもウイルスは出てこないがPG2によるlovetwへの
アクセスブロックログだけ増えていくのを見て乗換えを考えちゃったんだ

891 名前:(○口○*)さん :07/04/20 09:56 ID:fb8Ig7gJ0
そりゃPG2でブロックしてたら出てこないだろ・・・

892 名前:(○口○*)さん :07/04/20 10:08 ID:V3CG7Q3n0
>>891
あとつけになるんだけど

ROを起動するたびにlovetwに繋ごうとしてるログがあったんだよ
キャラ変わるたびにまたlovetwに…と言う感じのログ

ROを起動する時だけブロックが出ていたんだ
SpybotでTrojanというのが見つかったので解決を行った。
それでも不安定なのでOS再インストールという流れ

893 名前:(○口○*)さん :07/04/20 10:14 ID:fGqShhF60
>892
ちょっとp待て。
そりゃ既に垢ハクのウィルス感染してて、(PG2でブロックされてるが)ROのPASSが
送信されてるって事だぞ……
仮に別経路(lovetw以外)で送信されるタイプも入り込んでたら、PASSが抜かれてる
可能性もある。

早いところカスペの体験版をDLして、駆除した方がいい。

あと安全な環境があるならPASS変更も忘れずに。

894 名前:(○口○*)さん :07/04/20 10:19 ID:V3CG7Q3n0
>>893

893の言ってる事を疑って→NIS2007でスキャンしまくりするが本体が出てこない
→SpybotでTrojanというのが見つかったので解決を行った。
→それでも不安定&不安なのでOS再インストール→今はそういうことが無い
→887の質問にいたる

895 名前:(○口○*)さん :07/04/20 10:23 ID:fGqShhF60
あ、慌てて勘違いしてた。

そういう状態になったから再インストールして、NIS以外を、という事か。
なら今はクリーンなわけだ。

あと追記で書かせてもらうと
・OS再インストール後にPASS変更
・PG2だけじゃなくhostsの変更も導入

すぐ出来る対策はこの2点ぐらいかね。

896 名前:(○口○*)さん :07/04/20 10:23 ID:V3CG7Q3n0
894の続き

NIS2007はNIS2005の更新が切れたときちょうど発売されていたので
DL販売版を入れた、ちなみに常時(ROやってるときも)NIS2007は起動していた。

という流れでNIS以外の選択肢を探してる訳

897 名前:(○口○*)さん :07/04/20 11:40 ID:LRu5n+aq0
NISのような総合感冒薬的ソフトだと、Maranのようなスパイウェア寄りソフトには対抗力がいまいち。
X-Cleaner DX版が除去可能を謳っているけど、実際のところ亜種への対応能力はどうなのだろう。

それと、怪しげな状況の打開にはHiJackThisの併用がオヌヌメ。
TrandMicroに買収されたけど……

898 名前:(○口○*)さん :07/04/20 12:04 ID:OUvfwVsN0
>>891
いや、PG2は送受信ブロックだけだから。
動作しているのをブロックしてるんだから垢ハックトロイはPC上に存在する。

ブロックはできても、垢ハックのトロイを、スキャンで検知しないのはPG2の問題じゃない。
セキュリティソフトの定義にないのか、定義になくてなおかつ未知のウィルス検知能力が低いのかだ。

899 名前:(○口○*)さん :07/04/20 12:26 ID:G0NJI2nk0
いや、891が言いたかったのは、罠サイトを踏んだときに、PG2がブロックしていたなら、
アンチウイルスソフトで検知できないだろうってことで、それはそれで正解。

892のレスで「RO接続時に」っていうことが分かったわけで、
そうなると、トロイが既に仕込まれてるのは確実。

900 名前:858 :07/04/20 12:33 ID:VYi0xmnu0
後日談といいますか、現状の報告に参りました。

>>880さんのA〜Eの流れですが、実際はCとDを逆にいましたので
カスペオンラインチェック→体験版で駆除→Roでオンラインできるか試す
の順で行いました。
なので、駆除を通り抜けていなければ大丈夫だと思います。多分。

ちなみに、プロテクションのバックアップの、
ステータス、オブジェクトのトロイと表示された行をコピーすると

>(!)感染しています: トロイ Trojan-Spy.HTML.Bankfraud.ra ←ここまでステータス ↓この下がオブジェクト
>●\ローカル フォルダ\削除済みアイテム\[From:"BB&T" <service-11桁の数字ib@bbt■com>]
>[Subject:Message is infected : Alert - online confirmation procedure! [Thu, 08 Mar 2007 06:59:08 -0500]]
>[Time:2007/03/08 20:59:17]/text/html 1.2 KB

と、あります。
あと、似たような文章でBankfraud.raがBankfraud.riになっている物も同じように表示されました。
.raと.riがそれぞれ5つ。5組のペアになるように5種類のオブジェクトがついています。
●は私の名前、■はドット、11桁の数字は意味が良く分からないのでとりあえず置き換えました。

現在の脅威がありませんとの表示で安心していたのですが危ない状況は変わっていないのでしょうか?

901 名前:(○口○*)さん :07/04/20 13:29 ID:fGqShhF60
それ、フィッシング詐欺のメールでただのSpamメール。
銀行から送られてきたように見せかけてて、メールの通りにログインすると
その情報がハッカーに流れてしまう、ってタイプでROとは基本的に関係ない。

WinかIEか忘れたが、それらにある脆弱性を使ってるため、WindowsUpdateを
してなければ他のウィルスがPCに仕込まれる可能性もある。
でもそれ自身はただのhtmlメールであってWindowsやバスターを不安定に
させるような代物じゃないはず。

検出されたのがそれらのみで他のが見つかってないなら、取りあえずは安心しても
いいかもしれない。
※油断して良いというわけではない。

902 名前:中華の人 :07/04/20 16:49 ID:GCszNXA/0
垢ハックくらい別にいいじゃんか・・・・・・

903 名前:(○口○*)さん :07/04/20 16:54 ID:N0HTiCc80
冗談でもそういう事言うな

904 名前:(○口○*)さん :07/04/20 17:13 ID:jhFaNOE30
アカハックスレ
769 :中華の人 :07/04/20 16:45 ID:nXtAKXdb0
垢ハックくらい別にいいじゃないか・・・・・・

905 名前:(○口○*)さん :07/04/20 18:16 ID:fWXMtxHZ0
完全な犯罪だからな。万引きくらいいいじゃないとか強盗くらいいいじゃないとか言ってるようなもんだ。
決して許される事じゃない。

906 名前:858 :07/04/21 17:54 ID:x5JN1gFM0
>>901さん
解説ありがとうございます。
>>900で上げたもの以外は特に見つかっていません。
Updateは比較的頻繁にしている(つもり)なので多分大丈夫だと思います。

一段落した所で(○口○*)さんに戻ります。
お手間頂いたスレの先生方ありがとうございました。

907 名前:(○口○*)さん :07/04/21 22:36 ID:DMMfVjS60
RMCへの垢ハックURL書き込み増えたね
ro-naviって入ったURLに飛んだら白紙が表示された
対策してない人は垢ハックURLに飛ばされるっぽいね

908 名前:(○口○*)さん :07/04/21 23:05 ID:LDmQS/sv0
>>907
・・・ちょっとまて。
踏んだのが http■//www■aaa-livedoor■net/ro-navi/ なら、
http://www■ro-bot■net/ro-navi/ からyan.exeというトロイをDLされるだけで、
別途垢ハクページに飛ぶなんてことはないぞ?
お前さん、対策って何をしてるんだ?

909 名前:(○口○*)さん :07/04/21 23:53 ID:5Cxpi7zs0
微妙に表現間違えてるけど大体わかるじゃない。
そのページにトロイ仕込まれてるのも、別の垢ハクページ飛ぶのも最終的にはトロイ落として実行さすのは一緒なんだし。
いちいち突っ込むほどのもんじゃなかろ。

910 名前:(○口○*)さん :07/04/21 23:58 ID:idxNpyiM0
真っ白って、そりゃiframeでサイズ0でwz.htmとwu.htmを呼び出してるだけだし。
表示するものが無ければ真っ白に決まってる。

真っ白なページだった→つまりハクURLに飛ばされてない→つまり対策済みで見ても安全

こんな思考してない事を祈る……

911 名前:(○口○*)さん :07/04/22 12:34 ID:7FT/RcXK0
対策なり警告なり、本来管理会社がやるべきことを
ユーザーが協力してやってる現状もなんだかなぁ…

癌は、ネトゲは管理しなくても儲かる、と証明した最悪の会社だわな

912 名前:(○口○*)さん :07/04/22 12:43 ID:DEaEnyl70
まず不可能だが、ROを癌と別会社の両方で別々に運営して、別会社の方が
利益が多くなって初めて管理が重要だと気付くんじゃないかね。

913 名前:(○口○*)さん :07/04/22 16:03 ID:+/s3AMjE0
本スレ>868

念の為再確認してみた。そこまで細かい範囲乗ってたの1箇所だけだったわ。使うwhoisで絞れる範囲が違うのな。
1つ賢くなったわ。

「219.123.155.176」の方はデータセンター内にあるらしい。「221.247.195.176」はゲートウェイぽい名前があった。

■ANSのwhois(http://whois.ansi.co.jp/
JPNIC-NET-JP:219.96.0.0 - 219.127.255.255
UCOM Corp.:221.240.0.0 - 221.255.255.255

■Geek ToolsのWhois(http://www.geektools.com/cgi-bin/proxy.cgi
UCOM Corporation:219.123.155.000-219.123.155.255
UCOM Corporation:221.247.195.000-221.247.195.255

■JPNICのwhois(http://whois.nic.ad.jp/cgi-bin/whois_gw
UCOM Corporation:219.123.155.000-219.123.155.255
UCOM Corporation:221.247.195.000-221.247.195.255

■MSE(株)IPドメインSEARCH(http://www.mse.co.jp/ip_domain/index.shtml
GUNGHO-PAT1:219.123.155.160 - 219.123.155.191
GUNGHO-PAT1:221.247.195.160 - 221.247.195.191

■アクセス記録のあったIP
219.123.155.176
221.247.195.176

//---- RO関連の許可アドレス一覧(修正後) ----
GUNGHO-PAT1:219.123.155.160-219.123.155.191
GUNGHO-PAT1:221.247.195.160-221.247.195.191
RAGNAROK-JP:061.215.212.000-061.215.212.255
RAGNAROK-JP2:061.215.214.128-061.215.214.255
RAGNAROK-JP2:211.013.228.000-211.013.228.255
RAGNAROK-JP3:211.013.232.000-211.013.232.255
RAGNAROK-JP4:211.013.235.000-211.013.235.255
GUNGHO-MODE:211.013.229.000-211.013.229.255
WEB-SYSTEM:061.215.220.064-061.215.220.255

914 名前:(○口○*)さん :07/04/22 16:13 ID:nTriRDDR0
PG2でRO関係以外ブロックする場合、DNSの問題があるから万人向け設定が
作れない気がする。

判ってる人には有効な手段かもしれないが、かなり敷居が高い代物になりそう。

915 名前:(○口○*)さん :07/04/22 18:26 ID:la3hv3pH0
主要な国内サービスプロバイダのDNSを許可アドレス一覧に加えときゃいい話だろうが・・・

916 名前:(○口○*)さん :07/04/22 19:13 ID:GXck4C5c0
主要な国内ISPとはいうがCATVやらもあるんだし、かなりの数になるような。
自分で使う分には調べたら済むだけの話だけど、万人向けの共通設定として作るのは
結構大変だろうな。

それと本スレ>ID:nnZ81cIa0
ログイン競争になった時点で初めてPG2を導入・設定するのは非現実的すぎる。
設定方法を調べてる間にログイン競争に負けるだろ。

1PCでさらに事前準備無しの状態でログイン競争に勝つ手段って、殆ど無いんじゃないかね。
知り合いに連絡してPASSを代えてもらうぐらいしか手段が無い。
もちろん推奨されない方法だが、それ以外に現実的な対応策って無いと思う。

917 名前:(○口○*)さん :07/04/22 20:06 ID:DEaEnyl70
PG2導入してないということは当然使い方も知らないだろうし、ログイン合戦になってログインを
繰り返しつつ、ここ見てPG2導入してさらにIP弾いてPASS変更するのはまず無理だろうな。
テンパってると思考もまとまらないだろうし。
別PCがあるならそれで、なければ緊急措置として友人経由でPASS変えるのが現実的だと思う。

918 名前:(○口○*)さん :07/04/22 20:10 ID:g74ZiCRA0
もし知り合いもいないなら、完全にチェックメイトだろうね。
1PCの人は事前準備したPG2設定は最後の砦になると思う。
あくまでも事前準備してればだけどね。

ログイン合戦しながらとなると、あとは仮想PCぐらいか。

やったことないから知らないけど、ガンホーに電話して事情説明したら、アカウント止めてくれるのかな?
受付時間14:00〜21:00とかなってるから、時間外ならアウトだけど。

919 名前:(○口○*)さん :07/04/22 21:14 ID:gkUHJ4D30
多分癌に言っても無駄だと思う。
普通の運営だとしても、電話では本人の確認が取りにくい以上、アカウントの
一時停止のようなマネはしないだろう。

結局の所、事前に対策するしか手がないんだよな。
事前に準備してたらPG2なり仮想PCなりでログイン合戦に対応出来るが、用意が
無ければ手の打ちようがない。

920 名前:(○口○*)さん :07/04/22 21:34 ID:4mScpzHp0
さて。
こっちが920、本スレも880といい感じの進み具合なので
そろそろ1回議論し直してみてもいいと思うんだが、
次スレの位置づけはどうする?

・にゅ缶に2個、一般向け総合質問対策スレと、マニア向け報告解析スレをつくる

このスレ先頭で多少議論されたままなわけだが、
上記方向でいくってことでよいのかな。

921 名前:(○口○*)さん :07/04/22 21:42 ID:+/s3AMjE0
だからこそ短時間に設定できる方法(ログイン合戦しながら裏で設定できるって意味ね)として
「ある程度」有効な方法はなんだろうかってことだよ。

PG2のインストールと設定を、最低限の説明の通りに行なうのはできるんじゃないかな。
全拒否しちゃうと、DNS死んで自分が繋がらなくなるけど、特定国拒否+危険サイト拒否+ROと公式HP許可なら
ログイン合戦しながらでも、ぎりぎり出来るんじゃないかと思うんだ。

HPに説明載せるなら、全部完全にコピペで行けるようにしないといけないけどね。

本来は、踏んだ時点(読み出される前)に対処すべきであって、ログイン合戦になった時点では
駄目元でできることを試す状態。DNSを調べるとかなんとかやってるよりはよっぽどスマートだし
駄目元の手法に「全ブロックで完全削除」を持ってくるよりは「危険な可能性のある範囲を大至急ブロック」
という方が現実的だと思うけどなぁ。

922 名前:(○口○*)さん :07/04/22 21:45 ID:+/s3AMjE0
>>920
そろそろ次を考えるのはいいんだけど

>・にゅ缶に2個、一般向け総合質問対策スレと、マニア向け報告解析スレをつくる
>上記方向でいくってことでよいのかな。

この方向性はどっから出てきたの?

報告はまとめの人が必要とするし、解析結果は、踏んだ人への対処の説明と密接に関連する。
報告あった危険アドレスの解析やら投稿やらは分離してもいいけど、頻繁に差し替えられている現状で
踏んだ人への説明と直近時点での内容確認を分離はできないよ。

923 名前:(○口○*)さん :07/04/22 22:34 ID:dij08VjO0
【  アドレス   】MMOBBS:RO板「アカウントハック総合対策スレ」等(リンクは踏んでいないと思います)
              LiveRo板:ココ
          他RO関連Blog2箇所・Amazon
          WinメッセンジャーにAmazonからメール・メッセンジャーで友人と数時間会話
【気付いた日時】2007/04/22 21:00頃
【     OS    】WinXP SP2
【使用ブラウザ 】Mozilla Firefox バージョン2.0.0.3
【WindowsUpdateの有無】今月中旬の自動更新が最後
【 アンチウイルスソフト 】カスペルスキー インターネットセキュリティ 6.0.2.614
【その他のSecurty対策 】host書き換え・PG2・Bit Defenderコマンドライン版・Ad-Awere・SpyBot
【 ウイルススキャン結果】カスペルスキーオンラインスキャンで TrojanDownloader.Win32.Agent.bng を発見・駆除
【スレログやテンプレを読んだか】Yes
【説明】
普段からRO開始前に必ずウィルススキャン(Bit Defenderコマンドライン版・Ad-Awere・SpyBot・カスペルスキーを全て、この順で使用)
を行ってからログインするようにしていたのですが、本日カスペルスキーで完全スキャンしたところ、上記のトロイが発見されたので駆除→現在再スキャン中です
前回のスキャンが21日の23:00頃で、RO以外でインターネットを利用したのが本日夕方のみなので、その時に感染したと思うのですが
発見されたトロイ名で検索をかけても(私の検索方法が悪いのかもしれませんが)あまり情報が出てこないので書き込ませていただきました
疑問点がいくつかあり、
・TrojanDownloader しか見つからなかったのですが、これ以外に危険なモノがインストールされている可能性も高いのか
・これはROのアカウントハックと関係があるのか
・その他になにか弊害はあるのか
が主な点なのですが、私一人では解決できそうにないので、皆さんのお力を貸していただきたいです
宜しくお願いします

924 名前:(○口○*)さん :07/04/22 22:48 ID:7EdPaapV0
>>923
ぱっと見では、ブラウザがIEではない事なので、
Firefoxのキャッシュかウイルスメールに反応したんじゃないかなと思う。

メールに関する記述が無いのでFirefoxのキャッシュの可能性が非常に高い。
もしその場合であればPCは感染してないと思われる。
見つかった、TrojanDownloader がどこのディレクトリにあったか書いてくれると、
その判断がしやすい。

TrojanDownloader は名前の通り、他のトロイを拾ってきて感染させるというものなので、
ROのアカハクには直接は影響無いが間接的に影響が出てくる可能性はある。

925 名前:923 :07/04/22 23:04 ID:dij08VjO0
>>924
情報ありがとうございます
メールはWinメッセンジャーをメインで使ってるので、IEで開いていました
TrojanDownloaderがあった場所は、 c:\program files\pc-doctor 5 for Windows\xjre\bin\hpi.dll
となっていました

>>ROのアカハクには直接は影響無いが間接的に影響が出てくる可能性はある。
当方2PC環境で、もう1台のPCではなにも発見されなかったので
念のためそちらでもう1度スキャンをかけて、何も発見されなかったらIDとPass変更をしておこうと思います

926 名前:(○口○*)さん :07/04/22 23:38 ID:gkUHJ4D30
>920
にゅ缶にスレ建てするなら是非を問うスレで聞いた方がいいが、先月の相談を見る限り
良くて現状維持と言われる気がする。

雑談で埋まるケースもあるが、前スレの頃と比べると割と住み分けが出来てるし。
A)現状のまま垢ハク話題はにゅ缶、その他はこちら
B)スレの性格を明確化するため、報告はにゅ缶、その他は全てこちら
自分としてはA)でいいと思うが、重複すると思うならBのようにするのが精一杯だと思う。

>921
向こうでもこっちでも言われてるが、割と無理があると思う。
解説ページや緊急時の中韓台のリストが無意味と言ってる訳ではなく、ログイン合戦時に
スレに相談に来て・即回答が得られて・解説サイトを見て・DLして・設定して・PASS変更
この流れを行うのがね……
事前準備が無ければ知り合いに電話してパス買えて貰うのが、一番現実味のある対応だろう。

>925
pc-doctor 5 for WindowsってIBM製品とかにプリインストールされてるものだっけ?
真っ当な製品だったら、誤検出した可能性もあるかも。

まあ、早めに安全を確認した上でパス変更した方がいいだろうね。

927 名前:(○口○*)さん :07/04/22 23:50 ID:cxSJdKsf0
PC-Doctor 5 for Windows自体は真っ当な製品

同じ名前の全く別なものという可能性までは判らないが

928 名前:(○口○*)さん :07/04/23 00:48 ID:dyh2FbWo0
>>923
カスペでフルスキャンして感染0だったので

GV参加

その後、IEで少しネットをしたんだが
感染するような、アドレスを踏んだはずもないのに
全く同じ物がでた。

もしかしたら、Ro自体になにかあるやもしれん?

929 名前:(○口○*)さん :07/04/23 00:51 ID:sk6Tw5Kh0
>>928
削除後再起動かけてないんじゃないの?
ファイルは消しても、メモリ上に生き残ってたとかそういうことじゃ?

930 名前:928 :07/04/23 00:56 ID:dyh2FbWo0
ああ書き方が不味かった。すまぬ

カスペオンラインスキャンなので削除は行えず。
現在、ノートンインターネットセキュリティー2005で
スキャン中

カスペオンラインでスキャンして、7時の時点で感染0
Roと普段いってるサイトにしか、ネットに使ってないのに
今さっき検出されたのが謎すぎるのでRoを疑ってるんだ。

931 名前:(○口○*)さん :07/04/23 01:35 ID:UNXJ7PyG0
ROを疑うって・・・ちゃんと検出ログを読め

932 名前:928 :07/04/23 01:37 ID:dyh2FbWo0
紛らわしかったかも
923さんとは、928は別人です

で報告
ノートン2005で完全スキャンするも
検出0

カスペのレポート
C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\{7148F0A6-6813-11D6-A77B-00B0D0142030}\Java 2 Runtime Environment, SE v1.4.2_03.msi/Data1.cab/core1.zip/bin/hpi.dll 感染: Trojan-Downloader.Win32.Agent.bng スキップ

C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\{7148F0A6-6813-11D6-A77B-00B0D0142030}\Java 2 Runtime Environment, SE v1.4.2_03.msi/Data1.cab/core1.zip 感染: Trojan-Downloader.Win32.Agent.bng スキップ

C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\{7148F0A6-6813-11D6-A77B-00B0D0142030}\Java 2 Runtime Environment, SE v1.4.2_03.msi/Data1.cab 感染: Trojan-Downloader.Win32.Agent.bng スキップ

C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\{7148F0A6-6813-11D6-A77B-00B0D0142030}\Java 2 Runtime Environment, SE v1.4.2_03.msi Embedded: 感染 - 3 スキップ

で、質問で恐縮なんだけど
http://www■dailymotion■com/rss/featured
唯一怪しいと思われるのがここなんだけど
これってやばいのかな?
何方かご教授願えますか?

933 名前:(○口○*)さん :07/04/23 01:54 ID:sk6Tw5Kh0
>>932
紛らわしすぎ。別人が同じウィルスを検知したってだけな。

おまいさんは、JAVA消してから新しいバージョンを入れなおせ。

934 名前:(○口○*)さん :07/04/23 01:59 ID:UNXJ7PyG0
いや、だからそのログからROが怪しいと思うに至る理由は?
www.dailymotion.comはYouTubeやGoogleVideoと同じようなフランスの動画投稿ウェブサイト

怪しいと思われるとか、疑っているとか根拠がないいい加減な事を書かない
何も知らない人が見に来たりするんだから

あとJava 2 Runtime Environment SE v1.4.2_03 とか古過ぎ。現在v1.4.2_14
それにアップデート放置してるって事は特に用途がないって事でしょ
とっとと消しちゃいなよ

935 名前:928 :07/04/23 03:08 ID:dyh2FbWo0
いい加減な事を言って、本当に申し訳なかった
感染物、時期、その他状況があまりにも似ていたので
共通点である、ROを疑ってしまった。

後、完全スキャンしたところ、感染ウイルスはその一個だったんだが
感染オブジェクトが全部で19個だった。
カスペのトライアル版や、製品を今から入手して
完全に削除できるものなのか、教えて頂ければ幸いです。

936 名前:(○口○*)さん :07/04/23 03:18 ID:IstziGpL0
hostsの自動更新についてだけど、バッチファイルでは無理だったので
vbsのスクリプトで書いてみたけど、需要あるかな?
エラートラップが殆ど無いに等しいのとwget.exeが必要だけど、現状の
まとめサイトのhosts.htmから直接加工出来るようにしてある。

本スレ>884で書かれてた形に加えて>888の指摘を考慮して自分で
127.0.0.1を付加するような感じにしてみたんだけど、どんなもんでしょう?

937 名前:928 :07/04/23 06:20 ID:dyh2FbWo0
レスが900超えているところ、本当に申し訳ないと思うが
重ねて質問を許して欲しい

感染オブジェクト名 ウイルス名 前回の処理
C:\Documents and Settings\Default User\Local Settings\Application Data\{7148F0A6-6813-11D6-A77B-00B0D0142030}\Java 2 Runtime Environment, SE v1.4.2_03.msi/Data1.cab/core1.zip/bin/hpi.dll 感染: Trojan-Downloader.Win32.Agent.bng スキップ

C:\Documents and Settings\Default User\Local Settings\Application Data\{7148F0A6-6813-11D6-A77B-00B0D0142030}\Java 2 Runtime Environment, SE v1.4.2_03.msi/Data1.cab/core1.zip 感染: Trojan-Downloader.Win32.Agent.bng スキップ

C:\Documents and Settings\Default User\Local Settings\Application Data\{7148F0A6-6813-11D6-A77B-00B0D0142030}\Java 2 Runtime Environment, SE v1.4.2_03.msi/Data1.cab 感染: Trojan-Downloader.Win32.Agent.bng スキップ

C:\Documents and Settings\Default User\Local Settings\Application Data\{7148F0A6-6813-11D6-A77B-00B0D0142030}\Java 2 Runtime Environment, SE v1.4.2_03.msi Embedded: 感染 - 3 スキップ

C:\Documents and Settings\ユーザー名\Local Settings\Application Data\{7148F0A6-6813-11D6-A77B-00B0D0142030}\Java 2 Runtime Environment, SE v1.4.2_03.msi/Data1.cab/core1.zip/bin/hpi.dll 感染: Trojan-Downloader.Win32.Agent.bng スキップ

C:\Documents and Settings\ユーザー名\Local Settings\Application Data\{7148F0A6-6813-11D6-A77B-00B0D0142030}\Java 2 Runtime Environment, SE v1.4.2_03.msi/Data1.cab/core1.zip 感染: Trojan-Downloader.Win32.Agent.bng スキップ

C:\Documents and Settings\ユーザー名\Local Settings\Application Data\{7148F0A6-6813-11D6-A77B-00B0D0142030}\Java 2 Runtime Environment, SE v1.4.2_03.msi/Data1.cab 感染: Trojan-Downloader.Win32.Agent.bng スキップ

C:\Documents and Settings\ユーザー名\Local Settings\Application Data\{7148F0A6-6813-11D6-A77B-00B0D0142030}\Java 2 Runtime Environment, SE v1.4.2_03.msi Embedded: 感染 - 3 スキップ

C:\i386\Java 2 Runtime Environment, SE v1.4.2_03.msi/Data1.cab/core1.zip/bin/hpi.dll 感染: Trojan-Downloader.Win32.Agent.bng スキップ

938 名前:928 :07/04/23 06:22 ID:dyh2FbWo0
C:\i386\Java 2 Runtime Environment, SE v1.4.2_03.msi/Data1.cab/core1.zip 感染: Trojan-Downloader.Win32.Agent.bng スキップ

C:\i386\Java 2 Runtime Environment, SE v1.4.2_03.msi/Data1.cab 感染: Trojan-Downloader.Win32.Agent.bng スキップ

C:\i386\Java 2 Runtime Environment, SE v1.4.2_03.msi Embedded: 感染 - 3 スキップ

C:\Program Files\Common Files\Java\Update\Base Images\j2re1.4.2-b28\core1.zip/bin/hpi.dll 感染: Trojan-Downloader.Win32.Agent.bng スキップ

C:\Program Files\Common Files\Java\Update\Base Images\j2re1.4.2-b28\core1.zip ZIP: 感染 - 1 スキップ

C:\Program Files\Java\j2re1.4.2_03\bin\hpi.dll 感染: Trojan-Downloader.Win32.Agent.bng スキップ

C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\{7148F0A6-6813-11D6-A77B-00B0D0142030}\Java 2 Runtime Environment, SE v1.4.2_03.msi/Data1.cab/core1.zip/bin/hpi.dll 感染: Trojan-Downloader.Win32.Agent.bng スキップ

C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\{7148F0A6-6813-11D6-A77B-00B0D0142030}\Java 2 Runtime Environment, SE v1.4.2_03.msi/Data1.cab/core1.zip 感染: Trojan-Downloader.Win32.Agent.bng スキップ

C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\{7148F0A6-6813-11D6-A77B-00B0D0142030}\Java 2 Runtime Environment, SE v1.4.2_03.msi/Data1.cab 感染: Trojan-Downloader.Win32.Agent.bng スキップ

C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\{7148F0A6-6813-11D6-A77B-00B0D0142030}\Java 2 Runtime Environment, SE v1.4.2_03.msi Embedded: 感染 - 3 スキップ

スキャンプロセスは完了しました。

とよく見ると全部JAVA関係
これは、JAVAをアンインストールし
新しいJAVAを入れなおせば大丈夫という
ことだろうか?
重ねて申し訳ないと思ってるが
何方か、回答を頂けると有難い。

939 名前:(○口○*)さん :07/04/23 06:31 ID:gbXxZ17s0
大丈夫かはしらんがJavaについては上でレスもらってるのにそれは放置なん?

940 名前:(○口○*)さん :07/04/23 08:28 ID:RYFrSjTI0
>>930
ノートンは最新の2007でもRO系ウイルス対処は微妙
このスレに2007でヌルーされてアンチウイルスソフト買い換える
相談出ていたような

941 名前:(○口○*)さん :07/04/23 10:46 ID:YEtXKbwH0
>936
更新の手間が省けて楽だし導入を勧めやすいので、個人的には凄く欲しい。
hostsはPG2と違って手動更新だから、一度変更した後は更新してない、って人も多いだろうし。
潜在的な需要は結構多いと思う。

でも、だからこそ、そのスクリプトは公開しない方がいいと思う。

>936の書いたコードは問題なくても、それを改造した罠バージョンが出てくるのが目に見えてる。
そしてそれに引っかかるとPG2以外ブロックする手段が無いし、新IPなら100%踏む事になる。

利便性より後々の危険性の方が大きい。
配布するにしても身内だけに直接配布する形にした方がいいだろうね。

942 名前:(○口○*)さん :07/04/23 11:02 ID:8iraVos90
質問です
最近PG2を導入したのですが、気になるブロックの履歴が・・・

>GungHo Online Entertainment, Inc

たまに、自分のPC側からオフィシャルサイトに
何らかのパケットを送信しようとしているようで、それをPG2がブロック、という感じです
オフィシャルサイトを開いていないときでも、この動作があるので気になります
原因はなんでしょうか

943 名前:(○口○*)さん :07/04/23 12:00 ID:9tnC28HQ0
>>936
個人的には欲しいかも。
941さんがご指摘の通り、そのスクリプトを改ざんしたバージョンが
出回ったらとか考えると、匿名掲示板での配布は怖いものがあるのも事実ですね。

一つの方法として、まとめサイトの管理人さんとメールなどで直接連絡とって、
ファイルを渡す。(あるいは暗号化ZIPなどで暗号化してMMOBBSのアップローダに
上げて、パスワードをまとめサイトのWEB拍手で送るとか)
管理人さんに中身を検証してもらい、安全だと分かれば、まとめサイトの方に上げてもらう。
MD5やSHA1などのハッシュ値も併せて上げてもらう。使う人はまとめサイトからダウンロードして使う。

これも、まとめサイトにアップされたスクリプト&ハッシュ値が改ざんされたらという
問題があるにはありますが・・・。あと管理人さんに負担がかかりますね。

944 名前:(○口○*)さん :07/04/23 13:04 ID:9tnC28HQ0
>>942
そのGungHo Online Entertainment, Incってのは、
IPの禁止リスト作ったときに付けた名前だと思いますが、
具体的にはどの範囲のIPアドレスを指してるんですか?

945 名前:928 :07/04/23 14:26 ID:dyh2FbWo0
>>939
933氏と934氏が消せと指示をくれたので
それでJAVAの消去を実行しようと。
ただ、感染が酷かったのでそれでも大丈夫か
と思っただけだ。

946 名前:(○口○*)さん :07/04/23 15:28 ID:sk6Tw5Kh0
>>945
削除→検査→残骸あればセキュリティソフトで削除→最新版のJAVAを再インストール

感染したファイルを削除するのにためらう理由はないだろ。上書きだと残る可能性あるのでアウトな。

947 名前:(○口○*)さん :07/04/23 16:00 ID:sk6Tw5Kh0
PG2用 RO許可リスト再修正

RAGNAROK-JP:61.215.212.0-61.215.212.255
RAGNAROK-JP2:61.215.214.128-61.215.214.255
WEB-SYSTEM:61.215.220.64-61.215.220.255
RAGNAROK-JP2:211.13.228.0-211.13.228.255
GUNGHO-MODE:211.13.229.0-211.13.229.255
RAGNAROK-JP3:211.13.232.0-211.13.232.255
RAGNAROK-JP4:211.13.235.0-211.13.235.255
GUNGHO-PAT1:219.123.155.160-219.123.155.191
GUNGHO-PAT1:221.247.195.160-221.247.195.191
GUNGHO-PAT3:125.101.19.64-125.101.19.95

ホムのデフォルトAIのダウンロード先がここでした
ftp://download.gungho.jp = 125.101.19.67 = GUNGHO-PAT3

948 名前:(○口○*)さん :07/04/23 16:26 ID:9tnC28HQ0
>>947
download.gungho.jpを逆引きして、↓なのが見つかったけど、これは使われてないのかな。
GUNGHO-PAT4:124.32.117.192-124.32.117.223

使われてないかもしれませんが、一応報告。

949 名前:(○口○*)さん :07/04/23 17:22 ID:8iraVos90
>>944
ガンホーを禁止リストへは入れていませんが、HTTPブロックの状態にしています

アクセス先IPは
61.215.220.74
61.215.220.76
61.215.220.77
61.215.220.79
の4種です

Whoisで調べると
inetnum: 61.215.220.64 - 61.215.220.127
netname: WEB-SYSTEM
descr: GungHo Online Entertainment, Inc.
となっています

950 名前:(○口○*)さん :07/04/23 17:40 ID:/auzjnsV0
いや禁止リストに入ってるんだろ
「HTTPブロック」にチェック付ける意味分かってるのか?

951 名前:(○口○*)さん :07/04/23 18:08 ID:vnKRzLlq0
http://www■fcty-net■com
ブログに張られていて踏むとよくわかんない画像が表示されました
その時はノートンは反応しませんでした

カスペルスキーオンラインスキャンで検出なし、ノートンでも検出なし

感染してる可能性が低いってことでいいんですかね?

念のためにRoはログインしてないです
ブログの管理ページに入るのは止めておいた方がいいですか?

952 名前:944 :07/04/23 18:13 ID:9tnC28HQ0
>>949
それはおかしいです。禁止リストに入れてないものがブロックされることはありえません。

HTTPをブロックに設定してるのはそれでいいです。HTTPを許可にしてしまうと、
禁止リストに入れてるIPアドレスに対しても、PORT80(HTTP)とPORT443(HTTPS)に関しては
ブロックされなくなってしまい、とても危険な状態になりますので。
(HTTPをブロックに設定しても、禁止リストにIPアドレスを登録しない限りブロックはされません)

[履歴を表示]-[ブロック]タブを開いたときに、
送信先アドレス欄に、>>949で書かれたIPアドレスが表示されてるということですよね??

もしそうだとしたら、メイン画面から[リスト管理]で表示される一覧のうち、
種類がブロックになっているものを選んで[リストを開く]ボタンを押してください。
絶対どこかに、>>949のIPアドレスが登録されているはずです。

でなければブロックされることはありえません。

953 名前:(○口○*)さん :07/04/23 18:17 ID:bwVooU3p0
>>951
ソースチェッカーオンラインでみると
危険!VBS/Psymeを発見!
だとさ

954 名前:928 :07/04/23 18:58 ID:dyh2FbWo0
報告:まずは結果を完結に

Trojan-Downloader.Win32.Agent.bng

上記の物は、カスペルスキーの誤検知
カスペルスキー社からのメールの本文をソースとして提示

Hello.

This was a false alarm.
Problem already fixed. Please, update your antivirus bases.

意訳:これは誤った警報でした
すでに修正したので、アップデートして下さい。

955 名前:928 :07/04/23 19:08 ID:dyh2FbWo0
以下詳細
カスペでスキャンし発見:レポートを保存

ステルス化確認のため、再起動して再スキャン
同一の結果:ステルスではなさそう、一応レポート保存

12時間後、感染状況確認のためスキャン
なぜか検知せず:ステルスと疑う
しかし、先ほど検知はされてるのだから
ウイルスリストに載ってるはず、だが
カスペの辞典を検索したが発見できず。

カスペ社に確認メールを送信
30分ほどで誤検知との返信がくる。
日本の公式サイトのサポートページから
日本語で送ったが、返信は英語。

レスを下さった方々、アドバイス等本当に、有難う。
そして、必要以上に騒ぎ立てて本当に申し訳なかった。

>>923
もう、見ておられないかもしれないが
それに限っては、誤検知との事なんでご安心を。

956 名前:(○口○*)さん :07/04/23 20:32 ID:8iraVos90
>>952
確認したところ、「P2P」リストが有効になっており、登録されていました
ごめんなさい・・・

その点は解決したということで改めて
ブロックされているということは、なんらかの情報を送信しようとしていると思われますが、
気にするほどのことではないのでしょうか
>>821ではP2Pを普段オフにすべき、とありますが・・・

957 名前:(○口○*)さん :07/04/23 20:50 ID:gbXxZ17s0
P2Pに関しては気にしなくて良いと思う
気にし始めたらネット出来なくなるよ

958 名前:(○口○*)さん :07/04/23 20:57 ID:8iraVos90
>>957
そうですか、どうもありがとうございました

959 名前:923 :07/04/23 22:03 ID:WXu3Je2d0
ID変わってると思いますが>>923です
仕事が遅くなってしまい、その後の報告等できずに申し訳ありませんでした
>>925の後、完全スキャンをかけている途中に寝てしまいまして…
起きたのが朝だったのでIDもPassも変更できず、1日中少し不安でしたが>>928さんの>>954を読んで安心できました
色々と教えてくださった皆様、本当にありがとうございました
アカウントハックが無くなることを切に願いつつ、ここから名無しに戻らせていただきます

960 名前:(○口○*)さん :07/04/23 22:27 ID:KRz4/ptW0
にゅ缶のスレ見てて思ったんですが、拡張子偽装でなく、画像に罠を埋め込むって可能なのかしら?
アプロダに張られた、しっかり表示可能な画像とかは特に問題ないのでしょうか?

961 名前:(○口○*)さん :07/04/23 22:47 ID:sk6Tw5Kh0
>>960
「JPEG 脆弱性」でぐぐってごらん。危険性はあるよ。

WindowsUpdateきちんとかけてれば大丈夫な可能性が高い。

962 名前:(○口○*)さん :07/04/23 22:54 ID:KRz4/ptW0
>>961
調べてみました。今のところは大体平気みたいですが、
過去にそういったものがあったことが判りました。技術的に出来るってだけでも怖いですね・・・
ありがとうございました。

963 名前:(○口○*)さん :07/04/23 23:15 ID:vmtMtrcp0
一見普通に表示できる画像ファイルに、あれやこれやと
色々詰め込む事は今も昔も普通に出来ます。
問題になるのは画像を表示するプログラムが、
埋め込まれたデータの塊をEXEと認識して実行してしまうとか、
リンクと認識して勝手に読み込みに行ってしまうといったケース。
こういうのは発見される度に塞がれていくんだけど、
未知の脆弱性がまだまだ有る可能性も否定できません。
こないだのアニメカーソルが正にそんな感じのセキュリティホールで、
「いまさらそんなとこに穴があったのか」って感じなので、
いつまでたっても油断は出来ない訳なのですよ。

964 名前:936 :07/04/23 23:29 ID:IstziGpL0
hostsの自動更新スクリプトですが、現在知り合い数人に配布して
使って貰ってますが、特に問題なし。
スタートアップ及びタスクに組み込んで自動更新出来てます。

ただスクリプトなだけに改竄容易なのが、なんとも。
配布するにしても良い案が浮かばない……

965 名前:(○口○*)さん :07/04/24 00:15 ID:nPtI3iyC0
リスト取得する時に、exeのMD5も取得して、自分が改変されていることを確認したら動作中止するとか。
って、実行形式じゃないのか。

スクリプトならexe化するだけで結構違うけどね。

966 名前:(○口○*)さん :07/04/24 11:18 ID:jiglBTp90
「このスクリプトを使用していかなる損害が発生しても、作者は一切の責任を持ちません」
とでも言っておいて、あとは使う側の自己責任ってことで、良いような気もするけどねえ。

スクリプトだから、EXEと比べれば内容の検証ははるかに楽だし、
内容の安全が確認できない人は使うなってことで。
忠告を無視して使うようなヤツはもう知らんと。

967 名前:(○口○*)さん :07/04/24 14:38 ID:0PhpnrxH0
・一次配布元でMD5等を記載
・二次配布禁止
・使用は自己責任
という事にすれば問題ないと思う。

改竄版が出回ったとしてもスクリプトなら中身を確認できるし、出来たhostsを
確認すれば済む。
一言で言えば127.0.0.1以外の記述があれば変なわけで、スクリプトを読めなくても
問題ない。

一次配布元さえ用意できれば、改竄は大きな問題にはならないと思う。
二次配布の出所が怪しいものを使うほうが悪い、と言えるわけだし。


それより書いてて思ったんだが、中華のトロイがhosts改変するタイプをばら撒くと
かなり厄介になる気が。
改竄版のスクリプトでやられる分には実行後確認すれば済む話だが、これがトロイで
やられると下手すればGoogleや癌公式、MMOBBSとかを覗こうとして別種に感染とかも
ありえる。

改竄スクリプトで何かやられても既知のIPならPG2でブロックできるし、今後はPG2も
必須の対策と説明した方がいいような気がしてきた。

968 名前:(○口○*)さん :07/04/25 00:29 ID:EEH132dx0
それでも、勝手に変なところから拾ってきて、文句を言い出す奴が腐るほど出てくるんだよな

969 名前:936 :07/04/25 01:15 ID:gDGvy1n80
あこすれてんぷら避難所を間借りする事で公開しました。
ttp://acopri.s250.xrea.com/index.php?hostsRenewScript

一応説明を付けていますが、自己責任、という事でお願いします。
cfgとvbsの2ファイル構成で、動作に必要なwget等は付属してません。

配布ページとファイルを見て使ってみてください。

970 名前:(○口○*)さん :07/04/25 04:01 ID:sYiymgas0
【  アドレス   】 http://simcity■s14■xrea■com/irisup/img/irisup833■jpg
834 835の可能性もあります
【気付いた日時】 ログによれば2007/04/27 3:17
【     OS    】 WindowsXP Pro SP2
【使用ブラウザ 】 Sleipnir 2.5.9
【WindowsUpdateの有無】今月頭にアップデート
【 アンチウイルスソフト 】 NortonInternetSecurity2007
【その他のSecurty対策 】 Spybot ルータ使用
【 ウイルススキャン結果】 再スキャンによれば発見されず
【スレログやテンプレを読んだか】 今から読みます
【説明】
アドレスを踏んだところノートンによりDownloader発見、高危険度のウィルスとアラート。
Downloaderという名前に覚えがあったのでびっくりしてつないでいたROを落としました。
最初は削除できませんでしたと表示されたため無線LAN受信機を引っこ抜きました。
先ほど再スキャンが終わり脅威は発見されず。

ノートンのログをみると、
3:19:54 C:\Documents and Settings\・・・\Content.IE5\HO8RH5K9\index[2].htm 自動的に削除
3:19:36 C:\Documents and Settings\・・・\Content.IE5\6HFGD03U\index[2].htm アクセスが拒否
3:19:36 C:\Documents and Settings\・・・\Content.IE5\6HFGD03U\index[2].htm 修復できませんでした
3:17:54 C:\Documents and Settings\・・・\Content.IE5\HO8RH5K9\index[2].htm アクセスが拒否
3:17:54 C:\Documents and Settings\・・・\Content.IE5\HO8RH5K9\index[2].htm 修復できませんでした
とのこと。
6HFGD03Uのほうのファイルがアクセス拒否のままで終わっているのが気になります。
17分に落として以来、公式アクセス・ROログインはしていません。
これからすべき対処は何でしょうか?

971 名前:970 :07/04/25 06:00 ID:sYiymgas0
カスペのオンラインスキャンが終わりました。
C:\Program Files\Norton AntiVirus\Quarantine\2DF02AF4.exe 感染: Trojan.Win32.DNSChanger.fb スキップ

C:\Program Files\Norton AntiVirus\Quarantine\2DF02AF4.IE5 感染: Trojan.Win32.DNSChanger.fb スキップ

C:\Program Files\Norton AntiVirus\Quarantine\44646531.dat 疑わしい: Exploit.HTML.Mht スキップ

C:\Program Files\Norton AntiVirus\Quarantine\5B540DDC.htm 感染: Trojan-Downloader.JS.Inor.a スキップ

C:\WINDOWS\system32\drivers\etc\1.hosts 感染: Trojan.VBS.Qhost.c スキップ

C:\WINDOWS\Temp\stt1.tmp/st 感染: Worm.Win32.Antinny.i スキップ

C:\WINDOWS\Temp\stt1.tmp ZIP: 感染 - 1 スキップ

・・・ノートンのフォルダが感染とはどういうことなのか・・・(´・ω・`)
こいつら駆除して、他PCから各種パスワード変えればいいんでしょうか?
駆除方法もいまいちわからないですし、他に対処法があればぜひお教えください。

972 名前:(○口○*)さん :07/04/25 06:13 ID:8Z/Qdoqz0
>>971
C:\Program Files\Norton AntiVirus\Quarantine系はノートンが隔離してくれてるから問題ないよ

973 名前:(○口○*)さん :07/04/25 07:26 ID:YX5btO5G0
>>971
972が言ったとおりだけど、Quarantineを辞書で訳してみ、意味が分かるから。
ついでにhelpもその後で検索すればより理解が深まるでしょう。
ノートンの検疫の画面からそのファイルがウイルス名とともに認識されているなら
それに関しては放置でOK。表示されててもウイルス名が特定されてないような
状況だったら検体提出をしてみよう。

…で、それ以外のファイルも多少気になりますが(AntinnyとかTrojan.VBS.Qhost.cとか)、
ROに関係ナサゲなのでその辺は自分で調べてくれ。

833は通常の画像やばいのは834と835
画像は実はHTMLで、imgで画像を呼び出し偽装しつつiframeでVBScriptを呼ぶ
 ifame >http://www■zhangweijp■com/tt1/index■htm (VBScript)
     >http://www■zhangweijp■com/tt1/tt1■exe
     >http://www■zhangweijp■com/tmsn/tmsn■exe

zhangweijp系か、なんかなんちゃってドメインじゃなくて素のドメインで来るのは
逆に懐かしい気がした。そんなこともいってらんないのですけど。

974 名前:(○口○*)さん :07/04/25 08:16 ID:TBqw+9zw0
>>971
Trojan.VBS.Qhost.cはhostsを改竄するので、"c:\windows\system32\etc\hosts"に
以下が追加されてると思われるので削除しておくこと。
恐らく見ることのないページだとは思うが、escrow.com系列にアクセスしようとすると
類似のフィッシングサイトに誘導される。
208.116.11.196 escrow.com
208.116.11.196 i-escrow.com
208.116.11.196 my.escrow.com
208.116.11.196 www.escrow.com
208.116.11.196 www.i-escrow.com

これを機会に、まとめページのhosts更新をしてみたらどうか。
タイミング良く>>969に自動更新されるスクリプトがあることだし。

>>969
乙、問題なく使えてる。
ただ、動作そのものは問題なかったが、導入に際してwget.exeなどの必要ファイルを他に
用意しなければならないことと、そのための説明文が初心者には難しいと感じた。
スクリプトの改竄や予期せぬエラー、無理解での使用による障害を恐れる気持ちは非常に
よくわかるのだが、垢ハック対策の裾野を広げる意味でも、使う上での敷居は極力下げた
低いほうが良いと思うんだ。
これだけ便利なものなんだし、自動更新はそれこそ初心者向きであるわけで、無理解者を
切り捨てるのではなく、簡単な導入方法も用意しておくとかなり違うんじゃないかな。
例えば、必要ファイルを全て同梱し、それをC:\に展開すれば書き換えなしのダブルクリック
だけで更新できる、とか。(OS別に用意する必要があるが)
これが出来ると、今は他人にhosts更新を勧める時にいちいち長い説明を必要とするのが、
「ここのファイルを落として実行」と一言で済むようになるので、これだけ簡単ならかなりhosts
更新を浸透させることが出来るのではないかと思うわけだ。
さらに言えば、自動でスタートアップ登録や、万一に備えてバックアップから戻すような機能
もあると便利ではと思った。
勿論、怖い事なのはわかっているが、それくらいしないとhostsの存在すら知らず対策をして
いない層に訴えかけるのは難しいのが現状ではないかと。
個人的には、無理解使用による弊害よりも、hosts更新で垢ハック被害にあう可能性が減る
メリットのほうが遥かに大きいと感じるがどうか。
製作者としては障害発生時のクレームが怖いと思うのだが、いくら免責したところでクレーム
を言う奴は世の中にいくらでもいるわけで、そこはある程度割り切る必要もあると思う。

975 名前:(○口○*)さん :07/04/25 08:57 ID:Z5z0yIfA0
なんだか、「そこまで言うならお前がやれよ」と感じる意見がちらほら。
自己責任と一言書いて放置でいいじゃん。

976 名前:(○口○*)さん :07/04/25 09:03 ID:UcXa1jIe0
対アカハクウィルスをばら撒いて、自動更新してあげればいいじゃん。

977 名前:(○口○*)さん :07/04/25 09:23 ID:DWh5J2mI0
>>970の検疫ディレクトリに隔離されているマルウェア、恐らくPsyme系を踏んだ結果なのだろう。
ttp://www.mcafee.com/japan/security/virD2005.asp?v=DNSChanger.a

ここにあるように、DNSポイゾニングが行われている訳で。
hosts変更による対策は、DNS正引きの時点では有効だが、導入して安心しきっていると、新たな罠にやられる。
何しろ福建人の連中はビジネスとやっているのだから、手段は問わないだろう。

そういった意味では、とりあえずの対策を施し、その上で、ルータレベルでのIPブロック方法を学ぶ必要がある。
ブリッジモデムやONU直結なら、この機会に導入を考えた方が良い。

# 玄箱のNATBOXパッケージなんて需要あるかな……

978 名前:(○口○*)さん :07/04/25 09:59 ID:GXByZGxL0
>>970-971
970氏が踏んだサイトを調べたけど、毎度おなじみのVBS/Psymeだった。
今回はそれをノートンが検出してくれたということなんだけど、
971のカスペで検出されたものは、ノートンが隔離してるのも含めて、
今日踏んだものじゃないような気がする。

多分それらは、もっと過去に感染したもので、
それがたまたま今日のチェックで発覚したんだろう。
970のサイトを踏んでも971の結果になるとは思えない。
971で検出されたファイルのタイムスタンプを調べてみるよろし。

まあ経緯はどうあれ、隔離されてるやつ以外は本当に感染してるっぽいので、
早急に対処するべし。ところで>>974の最初の行のパスに誤りがある。
正しくは"c:\windows\system32\drivers\etc\hosts"です。

979 名前:(○口○*)さん :07/04/25 11:11 ID:dQEocZtn0
>969
公開乙。
こちらも問題なく動作してる。
ショートカット作ってスタートアップに放り込んでも動いたので、自動更新も問題なし。
無茶苦茶楽だわ、これ。

敢えて言うなら、エラーメッセージを出すモードがあった方が親切かも、ってぐらいかな。

>970
自動更新が引き起こすトラブル考えたら、あの書き方ぐらいで丁度いいと思うけど。
wgetもcfg見れば入手先が判るし。
内容を理解せずに無理して使う方が危険だよ。

>977
あれば使う人も居るとは思うが、玄箱使ってるROプレイヤーってどれくらい居るんだろう?


ところで次スレと本スレ、どうする?
どちらもそろそろ埋まりそうな気配だけど。

980 名前:970 :07/04/25 11:48 ID:HRpB926l0
>972-973
辞書ひきました・・・
お恥ずかしい、隔離済みってことだったんですね これらは放置します。

>>974,977
c:\windows\system32\drivers\etc\hostsをみましたがescrow関連のものはありませんでした。
ローカルホストと0.0.0.0ばかりで・・・
これはもうこのままでいいんでしょうかね?
まとめページはもう1回見てみます。

>>978
タイムスタンプを調べてみたら確かに去年とかでした。
ノートンで検出されないので駆除ができない状況なんですが
カスペの導入を考えたほうがいいんでしょうか?

みなさんありがとうございました。ちょっと落ち着いてきました・・・

981 名前:(○口○*)さん :07/04/25 12:33 ID:vNNVVg0/0
>>980=970

NIS2007は残念ながら最近のネトゲを狙うウイルスには弱いです。
と言う事で以前ここで助言をもらってKISを入れた人です

KISはNIS2007より軽く、裏でKISが動いてもNISよりRO動作への影響が低い
(アンチハッカーは速度重視の設定にしてる)

ただメールソフト(Outlook系)をROの裏で起動すると突然カスペの「受け取りました」
と言う処理画面が出て驚く事になるので狩中はメールソフトは起動しないほうがいいと思う

KISとNISの違いはあまり感じないってところ。
nProの行儀の悪さ絡みででいきなりrag.exeがウイルスと誤判定されるが
OSクリーンインストール直後とかならこれは無視していい

982 名前:(○口○*)さん :07/04/25 12:50 ID:zPbxeFp10
KISと略すと何だかわからなくなるのでやめたほうがいい。
キングソフトかと思ったよ…。

983 名前:(○口○*)さん :07/04/25 12:52 ID:+aId5Xrz0
思わないってw
キミ前から何度もそれ言ってるなぁ。

984 名前:(○口○*)さん :07/04/25 12:54 ID:zPbxeFp10
前から何度もって、そもそもそんな略し方初めて見たんだがなぁ。
セキュ板での騙りや煽りで頭おかしくなったんじゃねーの?

985 名前:(○口○*)さん :07/04/25 12:58 ID:+aId5Xrz0
そんなに怒らないでよ^^;

986 名前:(○口○*)さん :07/04/25 13:01 ID:fmImtIZ30
>>982-985
ウザいから死んでね

987 名前:(○口○*)さん :07/04/25 13:04 ID:GXByZGxL0
>>969
スクリプトありがとう。使わせてもらってます。
リネージュ資料室のもダウンロードするようにしたので、
ちょっとスクリプトいじったけど、問題なく動いてます。
感謝感謝。

988 名前:(○口○*)さん :07/04/25 13:04 ID:zPbxeFp10
>>985-986
ウザいから死んでね

989 名前:(○口○*)さん :07/04/25 14:01 ID:2a4usTN10
>>983
いや、前にそれ言ったの俺だから別人。
 KIS=キングソフトインターネットセキュリティー
 カスペ=カスペルスキー
の方が「確実に伝わる」。

>>979
>ところで次スレと本スレ、どうする?
>どちらもそろそろ埋まりそうな気配だけど。

この話題の方が名称よりも重要だと思うんだが。
>343 >350-356
>>920 >>922 >>926 辺りにも話題として出てますが、個人的には>>926さんの意見に賛成。

>雑談で埋まるケースもあるが、前スレの頃と比べると割と住み分けが出来てるし。
>A)現状のまま垢ハク話題はにゅ缶、その他はこちら
>B)スレの性格を明確化するため、報告はにゅ缶、その他は全てこちら
>自分としてはA)でいいと思うが、重複すると思うならBのようにするのが精一杯だと思う。

わたしも、Aでいいと思う。テンプレに追記、削除等すべき点があったら出し合って、現状維持でいいんじゃないかな。
将来的には、本スレの新アドレスと新検体の話題の後者は分離した方が見とおしが良さそうだとは思うけど
今の所はいじらない方が混乱ないかと。

テンプレに含めた方が良さそうなもの。
>>77 : 危機回避の為にできそうなこと。特に、IEでの拡張子偽装対策は挙げておきたい。(>>340みたいな)
>>476-477:1PC環境におけるウィルス駆除前のパスワード変更方法について
>>512:ウィルス対策ソフトを入れていない人へ(総合スレテンプレ2より)
>>797-798,>>803-805:各社検体提出先(LiveROはスレ消えちゃうし、保存希望)
>>947-948:PG2のRO許可範囲
>>969:hostsの更新の推奨(リンク先見てもらうだけでいいかと)

990 名前:光の軌跡 :07/04/25 14:17 ID:qwHbOanS0
RO公認店舗であってもIDやパスが無断で保存されてますよ!再度立ち上げれば表示されるんでわかります!

991 名前:光の軌跡 :07/04/25 14:25 ID:qwHbOanS0
次のお客さんにはすでにIDとか入力された状態でうけわたされます!(電源おとしても!)です

992 名前:(○口○*)さん :07/04/25 14:30 ID:F5Qx21Pg0
ただ単にID&パス入力画面でID保存のチェックが入ってるだけじゃ。。。

993 名前:光の軌跡 :07/04/25 14:34 ID:qwHbOanS0
つまり同じ席にすわってROを行ったひとみんなにID知られてることに・・

994 名前:(○口○*)さん :07/04/25 14:54 ID:TEBZosT60
チェックはずせばいいだけだろ
お前なんでメール欄にアドレス書いてるんだよ

995 名前:(○口○*)さん :07/04/25 14:57 ID:cil/UhgN0
とりあえずカスペはカスペと呼んでくれたほうがわかる。
KISだと複数あるからわからん。

996 名前:(○口○*)さん :07/04/25 15:04 ID:fmImtIZ30
>>991
cookieってなんだろうね?

997 名前:(○口○*)さん :07/04/25 16:20 ID:2a4usTN10
埋りそうなんで立ててきた。テンプレの相談は次スレでだな。

セキュリティ対策、質問・雑談スレ2
http://enif.mmobbs.com/test/read.cgi/livero/1177485590/

998 名前:(○口○*)さん :07/04/25 17:59 ID:BFmwCGoT0
こんなスレ必要ねえ

そんな時代がいつか来るといいな

999 名前:(○口○*)さん :07/04/25 18:07 ID:FnHRUGXz0
ROが無くなれば…ROのアカハックはなくなるな。PCがなくなれば…(ry
うめ

1000 名前:(○口○*)さん :07/04/25 18:10 ID:+aId5Xrz0


1001 名前:1001 :Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。


全部 最新50
DAT2HTML 0.33h Converted.