全部 1- 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 最新50  

セキュリティ対策、質問・雑談スレ4
1 名前:(○口○*)さん :07/12/17 20:05 ID:mv4GNvCz0

※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※

アカウントハックが横行する昨今、セキュリティに関して話し合いましょう。
・ウイルスソフトやスパイウェアチェックソフトなどの一般的な質問。
・アカウントハック対策に関しての討論など。
・セキュリティ関係の最新情報、ニュースなど。
・アカハックを踏んでしまった/アカハックと関係のないものを踏んでしまった時の相談
・アカハックに関してはRO板の総合対策スレでも回答しますが、極力こちらをご利用下さい。
・アカハックと関係無いものに関する相談が総合スレに書き込まれた場合、こちらに誘導を。
・危険性があるURLは必ず「.」を「■」に置き換えて貼り付けください。

アカウントハック総合対策スレ9
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/

■スレの性格上、誤って危険なURLがそのまま貼られてしまう可能性がある■
■URLを無闇に踏んで回らないこと。報告・相談はテンプレを利用すること■

現在のテンプレは暫定的なものです。スレの話し合いの結果はROセキュリティWikiへ。

・ROセキュリティWiki
  http://rosafe.rowiki.jp/

※ ID/Pass/サーバ/キャラ名等の情報は公開しないでください
※ ネタや程度を超えた雑談・脱線はご遠慮ください

・スレ立て依頼は>>970がしてください。反応がなければ以降10ごとに。

【過去スレ】
セキュリティ対策、質問・雑談スレ3
http://enif.mmobbs.com/test/read.cgi/livero/1186660300/

2 名前:(○口○*)さん:07/12/17 20:06 ID:mv4GNvCz0
【参考アドレス】
・ROアカウントハック報告スレのまとめサイト
  http://sky.geocities.jp/vs_ro_hack/
・安全の為に (BSWikiより)
  http://smith.xrea.jp/?Security
・リネージュ資料室 (応用可能な情報が多数)
  http://lineage.nyx.bne.jp/
【このスレでよく出てくるアプリケーション】
・PeerGuardian2
  http://sky.geocities.jp/vs_ro_hack/pg2.htm
・WindowsUpdate
  http://www.update.microsoft.com/
【PCにウィルス対策ソフトを導入してない方へ】
・カスペルスキー:オンライン ウイルス&スパイウェアスキャナ
  http://www.kaspersky.co.jp/scanforvirus/
・Kaspersky Anti-Virus (体験版)
  http://www.kaspersky.co.jp/trial/
  http://www.just-kaspersky.jp/products/try/
・NOD32 アンチウイルス (体験版)
  http://www.canon-sol.jp/product/nd/trial.html
・ESET Smart Security(体験版)NOD32+FW機能
  http://canon-sol.jp/product/ess/trial.html
・AVG7.5 free(無料)
 http://free.grisoft.com/doc/download-free-anti-virus/jp/frt/0
・Avast4 HomeEdition(無料)
 http://www.avast.com/jpn/download-avast-home.html
・KINGSOFT InternetSecurty Free(無料)
 http://download.kingsoft.jp/kisfree/

3 名前:(○口○*)さん:07/12/17 20:07 ID:mv4GNvCz0

■PG2用 RO許可リスト■
RAGNAROK-JP:61.215.212.0-61.215.212.255
RAGNAROK-JP2:61.215.214.128-61.215.214.255
WEB-SYSTEM:61.215.220.64-61.215.220.255
RAGNAROK-JP2:211.13.228.0-211.13.228.255
GUNGHO-MODE:211.13.229.0-211.13.229.255
RAGNAROK-JP3:211.13.232.0-211.13.232.255
RAGNAROK-JP4:211.13.235.0-211.13.235.255
GUNGHO-PAT1:219.123.155.160-219.123.155.191
GUNGHO-PAT1:221.247.195.160-221.247.195.191
GUNGHO-PAT3:125.101.19.64-125.101.19.95
GUNGHO-PAT4:124.32.117.192-124.32.117.22

■セキュスレ2-969によるhosts更新支援スクリプト■

あこすれてんぷら避難所を間借りする事で公開しました。
ttp://acopri.s250.xrea.com/index.php?hostsRenewScript

一応説明を付けていますが、自己責任、という事でお願いします。
cfgとvbsの2ファイル構成で、動作に必要なwget等は付属してません。

※ 配布ページとファイルをよく読んで、【自己責任にて】 ご利用ください

4 名前:(○口○*)さん:07/12/17 20:07 ID:mv4GNvCz0

【質問・相談の際の注意】
・誤クリックによる感染を防ぐ為に危険なアドレスは .(ドット)を別の文字に
 置き換えて報告して下さい (■がよく使われています)
・質問前後にテンプレやまとめサイト等を見て知識を深めると更にGoodです
・回答者はエスパーでは有りません。情報は出来るだけ多く。提供した情報の量と質に
 応じて助言の量と質は向上します
・結局は本人にしかどうにも出来ない事を忘れてはいけません
・基本的な対処方法は、総合対策スレの>>5をお読みください。
 http://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/5

----------相談用テンプレ----------

【      気付いた日時          】 (感染?に気付いた日時)
【不審なアドレスのクリックの有無 】 (blog/bbs/Wiki等で踏んだ記憶の有無とそのアドレス)
【  アドレス   】www■xxx■yyy/index.htm(ドメインのドット(.)を■等で置き換える事。h抜き等は駄目)
【     OS    】WindowsXP Home SP2 (SP等まで正確に書く)
【使用ブラウザ 】IE6.0 sp2 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【 アンチウイルスソフト 】 (NortonInternetSecurity2007 等)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンで Trojan-PSW.Win32.〜 発見 等)
【テンプレの参考サイトを読んだか】 (Yes/No/今から読みます)
【hosts変更】(有/無 [有りの場合は最終更新は何時ごろか])
【PeerGuardian2導入】(有/無 [有りの場合は参照元サイトはどこか)
【説明】
(『怪しいアドレス』との判断した理由、症状を詳しく書く)

5 名前:(○口○*)さん:07/12/17 20:07 ID:mv4GNvCz0
【安全対策の簡易まとめ】
以下は要点となります。詳しくは関連サイトを見てください。

 ・アドレスをホイホイ踏まない。よく確認する。
 ・出所の怪しいプログラムやスクリプトを実行しない。
 ・定期的なMicrosoftUpdate及び、各種ソフト(各種Player、Reader等)のアップデートを行う
 ・アンチウイルスソフトの導入とウイルス定義ファイルの積極的な更新を行う
 ・パーソナルファイアウォールソフト等を導入する
   ・hostsの利用した危険ドメインのブロック
   ・PeerGuardian2を使った危険IPのブロック など
 ・IEコンポーネント未使用のブラウザに乗り換える(Firefox、Opera等)
 ・IEを使う場合は下記を設定
  ・信頼できるSite以外ではスクリプトやActiveXを切る
   :インターネットオプションのセキュリティの部分で設定可能
  ・偽装jpg対策(IE7とIE6SP2限定。IE6SP1以前では出来ない)
   :インターネットオプション→セキュリティ→レベルのカスタマイズ
    →「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする

6 名前:(○口○*)さん:07/12/17 20:14 ID:mv4GNvCz0
■なにか踏んだ時に取るべき対処■
0.解決するまで、ログインやパスワード変更を行なわない。踏んだ後にパスワード入力などを行なってしまった場合
  安全な環境(テンプレぽいものや、Ragnarok板側のテンプレ、Wikiを参照)からパスワード変更。

1.除去し、クリーンな環境に戻す
1−1.発見された場合。
それを削除して完了

1−2.発見されなかった場合
1−2−1.リスクを覚悟でそのまま使う(非推奨)
       リスクを減らす為に、NOD32、カスペなど複数のソフト(試用版が入手できる筈)でスキャンを繰り返し
       安全である可能性が高いことを確認すること。
       ただし複数のソフトを同時にインストールすると干渉してOSが不安定になる事があるので注意。
1−2−2.再インストール
メーカー製の場合、データのバックアップをとって、リカバリーをかける。
自作やショップブランドの場合、データのバックアップをとって、OSを入れなおす。

1−3.安全な環境にする
1−3−1.WindowsUpdateをかける
1−3−2.ウィルス対策ソフト・FW・PG2を導入し、設定する。
         (可能なら、スパイウェア対策のソフトも導入し、定期的にスキャンする)
1−3−3.セキュリティソフトの定義ファイルを最新にする。(当然定期的に自動更新する設定に)

1−4.環境を戻す
     バックアップした「データ」を戻す。各種ソフトを再インストール。
     その後、ウィルススキャンを再度実行。
     ウィルスはバックアップしたデータ内に潜んでいる可能性があります。

1−5.ガンホーIDを削除す…ではなくて、ようやくROをプレイできる環境になりました、おめでとう。

7 名前:(○口○*)さん:07/12/17 20:15 ID:mv4GNvCz0
【このリンクは危険?と思ったときに】
変なリンクを見つけた場合、次の方法でチェックしましょう。

1.まとめサイトやリネージュ資料室のhostsや危険ドメイン一覧で確認
 過去に見つかった罠サイトは、これらのサイトに載っています。
 まずはここに載っていないかを確認しましょう。

2.ソースチェッカーオンラインを使って調べる
 多少の知識が必要ですが、ソースチェッカーを使うことでリンク先を調べる事が出来ます。
 ソース内に怪しいコード・スクリプトが無いか調べましょう。
 ※安全か危険かの判断は自分で行う必要があります。
  また画像ファイルをチェックする場合、罠画像ファイルだと発動する恐れもあるので
  注意してください。

3.スレで質問する
 1.2の方法でも判断出来ない場合、スレで聞いてみるのも手です。
 ただし、このスレは『勇気が無くて見れないサイト解説スレ』ではありません。
 その点だけは注意してください。

質問・報告する場合は「.」を「■」に置き換えるのを忘れないようにしてください。

8 名前:(○口○*)さん:07/12/17 20:20 ID:mv4GNvCz0
テンプレは以上です。

>>2
BSWiki移転前のアドレスを載せていました。ごめんなさい。下記が正しいものです。

・安全の為に (BSWikiより)
  http://smith.rowiki.jp/?Security

9 名前:(○口○*)さん:07/12/17 23:16 ID:qcFHR01Z0
>3
hostsRenewScriptの一時配布先が、アコプリWikiのrowiki.jp移転に伴って替わってる。
xreaの方でアクセスしても自動的に飛ばされてるけど。

ttp://acopri.rowiki.jp/index.php?hostsRenewScript

10 名前:(○口○*)さん:07/12/18 19:33 ID:sc4eHBaD0
カスペウェブスキャンのレコード数485950かな?でウィルスが40個くらい発見された
びっくりしてサブPCで垢のパスとキャラパスを変えた後にサブPCのほうでカスペウェブスキャンを開くとレコード数が486213・・・

感染したブツをみてみればシステムボリュームインフォ39個とavast!さんのファイル一個・・・
誤検出かとおもいきや新しくなってもどんどん検出されていくーさっきと同じのが両方のPCでwwwwww
誰か助けてサブPCにいたってはウィルス一個に感染オブジェクト71とかwwwwwもうなにがなんだか

これ、誤検出だよね!?そうだよね!?サブPC検索中にROの画面は固まるわああああああ

見つかったウィルスはTrojan.Win32.Gorshok.aです

11 名前:(○口○*)さん:07/12/18 19:51 ID:NXIVpdiu0
テンプレ使わんと、ネタと思われても文句言えんぞ。

12 名前:前スレ998:07/12/18 19:58 ID:A5UuKoesO
前スレ999さん、ありがとうございました。
フルスキャンで何も見つからないようなので、許可してみます。

>10さん
とりあえず落ち着いて頑張れ…!
お節介かもしれませんが、一応アゲておきますね。

13 名前:ぺこぺこ:07/12/18 20:17 ID:CiXgEpcw0
Trojan.Win32.Gorshok.aは、G Data のウイルス研究所では、ウイルス辞書にちゃんとあります。
12月17日に確認されてます。

Trojan.Win32.Gorshok.aはウイルスですよ。

14 名前:ぺこぺこ:07/12/18 20:20 ID:CiXgEpcw0
Trojan.Win32.Gorshok.aは、私のところでは、以下のように検出されました。

When opening file "C:\System Volume Information\_restore{8DE3B3B8-EB90-42FF-8E83-F75BF634D0B2}\RP151\A0052575.dll" the virus "Trojan.Win32.Gorshok.a" from engine "KAV" has been detected. File cleaned: no. File deleted: no. Quarantine: yes.

ウイルス辞書では、次のようになっています。

・Trojan.Win32.Gorshok.a AVK 18.2082 17.Dez.2007
・ちなみに、ウイルス辞書の場所は以下ですので、ご自身でも検索して確認してください。
http://www.antiviruslab.com/jp/

15 名前:ぺこぺこ:07/12/18 20:22 ID:CiXgEpcw0
私の複数のパソコンでも、ほぼ同時に検出されてます。
1つのパソコンで1日2から3回Trojan.Win32.Gorshok.aが検出されてますので、このウイルスは、いますごい勢いで広まっているものと思われます。

16 名前:(○口○*)さん:07/12/18 20:24 ID:sc4eHBaD0
C:\Program Files\Alwil Software\Avast4\DATA\clnr0.dll 感染: Trojan.Win32.Gorshok.a
C:\System Volume Information\_restore{6222528F-BAD9-4AB2-BE88-1641FC25AFF1}\RP〜〜〜.dll

誤検出の場合はカスペさんに発見されたファイルとレポートを提出でしょうか・・・?
でも\System Volume Information\ってどこにあるんだあああああ
それ以前に自分ひとりの判断じゃ誤検出かどうかも自信がない・・・いったいどうすればぁ・・・

17 名前:ぺこぺこ:07/12/18 20:26 ID:CiXgEpcw0
ちなみに、メーラを起動してないパソコンでもTrojan.Win32.Gorshok.aは検出されてます。
このパソコンでは、ちょっとだけIE7でネットサーフィンしただけなのにウイルスが検出されました。
もちろん、別に怪しいHPを見たわけじゃないんです。

いったい、どういう感染経路なんでしょうね??

まさか、1時間に1回のウイルス定義自体に感染してるとか?ww

18 名前:ぺこぺこ:07/12/18 20:29 ID:CiXgEpcw0
\System Volume Information\は、ふつうは非表示です。

表示するには、エクスプローラで、次のようにしてください。
(1)[ツール]−[フォルダオプション]メニューをクリック
(2)[フォルダオプション]画面で、[表示]タブをクリック
(3)詳細設定のリスト内の一番下、[保護されたオペレーティングシステムを表示しない]をOFFにする

ただし、私が試したら、上の操作でフォルダだけは見れますが、中身はアクセスが拒否されました。

19 名前:(○口○*)さん:07/12/18 20:30 ID:RDHh+HT20
>>10
誤検出の可能性もある。
セキュWikiの検体提出窓口のカスペのところに、現物のファイル送れ。

Trojan.Win32.Gorshok.a という名称のものは、カスペのページを見ると
12/17 16:04に対応したことになっているので比較的新しいもんだな。

20 名前:ぺこぺこ:07/12/18 20:30 ID:CiXgEpcw0
>>16

誤検出じゃないです。
>>14
を参照してください。

21 名前:(○口○*)さん:07/12/18 20:33 ID:RDHh+HT20
>>17
その時点で、誤検出の可能性が高いと気付け。
賢(さか)しらげに、それはウィルスですとか断言すんな。

セキュリティソフトの検出は万能ではない。すりぬけもあれば、誤検出もある。

すりぬけないこと、新種への対応が早いこと、誤検出の修正が早い事で顧客の信用を
勝ち得ているシステムでも、ユーザーからの報告がなければ、修正はできないんだぞ。

22 名前:(○口○*)さん:07/12/18 20:33 ID:sc4eHBaD0
>>19
わかりました。>>18さんのやり方でファイルをコピーとってzipにつめて送ってみます

23 名前:(○口○*)さん:07/12/18 20:35 ID:sc4eHBaD0
表示したものもアクセスを拒否されてしまった・・・
とりあえず感染したavast!のファイルと検査結果を送ってみます

24 名前:ぺこぺこ:07/12/18 20:36 ID:CiXgEpcw0
ちなみに、私もすでに同様に送りました。
怪しい時は、>>18さんの方法がいいと思います。

25 名前:(○口○*)さん:07/12/18 20:41 ID:Ms73a0WY0
そろそろ終わった?

26 名前:ぺこぺこ:07/12/18 20:42 ID:CiXgEpcw0
>>21

あなたのほうが、よっぽど賢(さか)しらげに言ってる。
しかも、あなた、言葉遣いが乱暴すぎでは?
どうしていきなり食って掛かるのでしょう??

>>「賢(さか)しらげに、それはウィルスですとか断言すんな」

それをいいたいなら、ウイルス辞書を書いている研究所に言うべきでは?
さっきあげた研究所が「ウイルス」だと書いているのだから。

むしろ、「ウイルスでないかもしれないものは、ウイルスだ」と疑ってかかるべき。
ウイルスかどうかわからないものを、「ウイルスではないかも」というあなたのような甘い方向に疑うほうがよほど危険。

ウイルス対策は、厳重で疑い深くやらなきゃだめ。
素人か?

27 名前:(○口○*)さん:07/12/18 20:49 ID:JSPprVBO0
専ブラにはNGIDという素晴らしい機能があるじゃないか
皆も有効活用しようぜ

こういうのもセキュリティの一環だと思う

28 名前:(○口○*)さん:07/12/18 20:54 ID:RDHh+HT20
>>23
1.検体を1つ(可能なら検出されたもの全部)パスワード付のzipに固める。
 パスワードは、infected か virus が良いようだ。
2.カスペの検体受付窓口に、提出する。Kaspersky Lab <newvirus@kaspersky.com>
3.メールのタイトルは何でもいいが、「sample with the possibility of incorrect detection」
 とでもしとけ。

(文例の日本語のコメントは消すんだぞ)

−−− 文例ここから −−−
Hello.
I suspect attached file is infected with virus.
Please examine this.
Details are as follows.
Thanks in advance.

<Attached file info>
Decompression password : infected(←ここは設定したパスワード)
File name : virus.zip(←添付するファイル名)
In file : virus.exe(←圧縮ファイル内の実体のファイル名)

<Where did I get this?>
http://exmaple.com/virus.exe(←アドレスの代わりにフォルダとファイル名かな)

<Aditional Info>
(ここに追加情報を記入。「Avast使用」「誤検出の可能性あるので確認下さい」と記載)
(カスペのパターン番号が判れば、それも記載)
I am using Avast!
Since there is possibility of incorrect detection, please check.
DB File:2007/12/18 18:15:28 Record.486220

<OS>
Windows XP pro SP2

<Country>
Japan

<Detection possible other software>
Trojan.Win32.Gorshok.a
−−− 文例ここまで −−−

29 名前:(○口○*)さん:07/12/18 20:55 ID:RDHh+HT20
>>26
その名称のウイルスの存在は否定してないよ。
検出状況が異常なのに、誤検出の可能性を排除して、感染してますとか断言するなと。

このスレも含めて、正確な情報を伝達して欲しい。可能性は可能性として扱ってくれ。
可能性を断定情報としてかかれると、他の人が困るからやめてくれ。

>>27
それもそうだな。でも、不正確な情報を自信たっぷりに発言する迷惑行為は、
ここでは許すべきじゃないと思うんだ。

30 名前:(○口○*)さん:07/12/18 21:42 ID:NQXf47/S0
486280にレコード数変わってるな

31 名前:まとめ臨時 ◆kJfhJwdLoM:07/12/18 22:30 ID:/in5RRbj0
>>10
もう終わった事かも知れませんが
とりあえずテンプレを埋めていただければ
後から来る人も同じ事象で迷うことも少なくなりますので
よろしくお願いします。

その後どうなったか、
誤検出だったかそうでなかったかの報告があると助かります。

32 名前:(○口○*)さん:07/12/18 23:59 ID:lbHWX/eI0
カスペルスキーから連絡がないですねぇ・・・
現在のデータベースのリリース日は 2007年12月18日 レコード数は 486393 です。

が、まだ検知されるようです

33 名前:(○口○*)さん:07/12/19 00:10 ID:Fuusr6UR0
同様に検知されている人がいるのか聞きたいですわ

しかし、どんなウィルスなんだろ

34 名前:(○口○*)さん:07/12/19 03:50 ID:VA6IaOgc0
昔から、デマウイルスは存在したな。それこそ、LHA等は有名であったが故に何度となく混入疑惑が流れた。
これが所謂デマウイルス。人づてに不明瞭な情報が感染していき、フレームが発生するのはまさにウイルスの一種とも言えよう。

個人的な過信、民間療法を大袈裟に広めるのは、それ自体が危険性を含んでいるのだ。

35 名前:(○口○*)さん:07/12/19 05:10 ID:CBMoAUGK0
これ、Avast!を使ってる人は全員検出されるんじゃなかろうか。
まぁ、無視したけどね。


Ω<実はこれは、Avast!シェアを奪うためのカスペの戦略だったんだよ!
Ω ΩΩ<ry

36 名前:(○口○*)さん:07/12/19 05:14 ID:Fuusr6UR0
とりあえず俺はアヴェスト一度消してみたけど
結局隠しファイルのエグゼ全部同じのに感染してるって言われたわ

うん、我慢できなくてROにinしてしもた

37 名前:(○口○*)さん:07/12/19 09:28 ID:A43KE3vz0
PicoLogのWorld4スレに.rtfというファイルがあるけれど、これはなんだろう?
何も見れないわ、踏んでしまったわで…

38 名前:(○口○*)さん:07/12/19 09:39 ID:jutueG6S0
※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※

37が見てらんないほど情けないからレスするけど、知らない拡張子はぐぐるくらいしろ
RTF=リッチテキストフォーマット、Wordなどワープロソフトのデータフォーマットと出る
ワープロソフトで開けば会話ログ含めた晒し文書

39 名前:(○口○*)さん:07/12/19 11:47 ID:Ycek487EO
>>33

ちょっと調べてみた。
英文字のサイトだったから翻訳した一文をそのまま写しただけなので悪しからず。

torjan.win32.gorshok.aはtorjan.win32.agent.akkの変種である。
torjan.win32.gorshok.aは偽のアンチスパイウェア団体名プログラムです。


全文写そうかと思ったけど翻訳が変だからやめとこ…
んで「torjan.win32.agent.akk」ってなんぞ?と思って調べたらお使いのブラウザがハイジャックされたと警告が出るよくわからんスパイウェアなんだねぇ。
つまりgorshok.aはこれと同じ様な動作を行うんだと思う…多分。

ちなみにどうでもいいと思うけどagent.akkに感染した人によると感染原はアメリカらしい。

40 名前:(○口○*)さん:07/12/19 11:49 ID:Ycek487EO
ごめんsageミス;

なんだよsagdって…しっかりしろ自分orz

41 名前:(○口○*)さん:07/12/19 15:29 ID:OPYjuxWf0
向こうのスレ動いてねー

42 名前:(○口○*)さん:07/12/19 15:54 ID:8ilWOfRj0
動かせよ

43 名前:(○口○*)さん:07/12/19 15:59 ID:MC9topyo0
昨日までHITしていたファイルが検出されなくなりました
検体掲出してみたけどカスペからは反応はなし

でも誤検出でFAだったようだ

44 名前:(○口○*)さん:07/12/19 22:56 ID:s9VXeTs90
とりあえずだけども、少し前から爆撃してる中華の新しい奴を
別のMMOのスレで見かけたから一応乗っけておきます。
順々にMMO系のスレに爆撃してるっぽいので一応警戒用に。
auction camp bot ^^
http://205■209■140■213:8080/auction■rar
中身はauction■exeのみはいっててカスペはスルーしたのでVirusTotalに投げてみた。
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - Potentially harmful program Ardamax.NI
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - Trojan.Dropper-3067
DrWeb - - BackDoor.Pigeon.origin
eSafe - - -
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - -
F-Secure - - W32/Delf.BDOS.dropper
Ikarus - - Trojan.Agent.Delf.CS
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32v2 - - probably unknown NewHeur_PE virus
Norman - - W32/Ardamax.CRT
Panda - - Suspicious file
Prevx1 - - -
Rising - - -
Sophos - - Mal/Delf-G
Sunbelt - - -
Symantec - - -
TheHacker - - Backdoor/Hupigon.acma
VBA32 - - Backdoor.Win32.Delf.cir
VirusBuster - - -
Webwasher-Gateway - - -

検出率は低いので一応注意を。

45 名前:(○口○*)さん:07/12/20 00:21 ID:Ktg2t2WP0
auction■exeも自己解凍書庫。
222■exeがトロイ、他は国産BOT(保障はしない)。

46 名前:(○口○*)さん:07/12/20 00:57 ID:3ONecbQM0
>>44-45
報告乙。わたしも未検出の所に一通り出してきました。

auction■exeはrarと検出率同じでしたが、ばらして出てきた222■exeの方が
検出率が落ちる謎。検体提出したからいずれ対応されるだろう。多分。

47 名前:(○口○*)さん:07/12/20 02:15 ID:3ONecbQM0
「ウイルスバスター2008」の修正プログラム緊急公開
http://internet.watch.impress.co.jp/cda/news/2007/12/19/17940.html

サポート情報
http://www.trendmicro.co.jp/support/news.asp?id=1037

48 名前:(○口○*)さん:07/12/20 08:05 ID:9KaYkP7VO
今朝、カスペ使っててワーム見つかった人いる?
カスペで誤検知くさいらしい。
携帯だから詳細は書けないけど、エクスプローラがワームとして見られてしまってるみたいだ。
削除すると起動できなくなるから様子見しておいたほうがよさそうです。
まぁ、削除しちゃって起動できなくなって、リカバリ中だから携帯なんだけどね…

49 名前:(○口○*)さん:07/12/20 12:45 ID:Ktg2t2WP0
もうパターン修正されて引っかからないよ。

50 名前:まとめ臨時 ◆kJfhJwdLoM:07/12/20 16:49 ID:YI53+fjB0
>>44
件のものは徐々に爆撃されているようです。
ただIP表記だとhostsに加えても駄目なので
とりあえずwhoisで調べてみました。で、出てきた結果に

ReferralServer: rwhois://rwhois■managedsg-inc■com:4321
NameServer: RDNS1■MANAGEDSG-INC■COM

とありましたが…
この場合managedsg-inc■comの部分をリストに記述すればよいのでしょうか?
過去のIP表記のものを見直して調べたのですが判断がつかなかったので
解る偉い人ご教授願います。

51 名前:(○口○*)さん:07/12/20 17:13 ID:3ONecbQM0
>>50
出てきたドメイン名→IP変換で確認の上登録すればいいんじゃないかな。
50に出てくる表記だと、正引きでIPにならないから「今回は」アウト。

IPの管理してるとこの名前が出ちゃってるだけじゃないかな。
現時点で、>44のIPは逆引きできるドメイン名の登録ないみたい。

52 名前:(○口○*)さん:07/12/20 17:22 ID:3ONecbQM0
(危険じゃないけど、混乱をまねくと嫌なので変換)
ttp://www2■cyberoz■net/city/novice/domaintool.html#DNSreverse

ここで、DNS逆引きできるようです。実行結果を見ると ANSWER: 0 です。

>44の検体入手時も、最初は404で、暫くリトライさせてたら繋がってダウンロードされたので
時々、サーバー落としてるような気がしないでもない。

53 名前:(○口○*)さん:07/12/20 17:24 ID:Ktg2t2WP0
だめでしょ。
hostsはあくまで名前解決のための物なのでIP直書きにはどうにも。
シカトするかファイアウォールでちまちま設定するか。
ツールを装ってるんだからわざわざrarを解凍して実行するような
BOTer予備軍は放っときゃいいんじゃね?

54 名前:(○口○*)さん:07/12/20 18:21 ID:pUC7UGfa0
>53
しかし例えばその222■exeをiframeで仕込むようなhtmlを作り、それを新規の
罠ドメインでセットされてURL爆撃をされた場合、被害に会う人が出る。
更にそれが各種アンチウィルスソフトをスルーする新型なら、尚更危険。

先日にゅ缶でURL爆撃があり、使われたトロイは新種でカスペがスルーして数時間の
対応待ち状態になった事があった。
あの時踏んだ人が何人か居たけど、あれと同じ状況がまた起きる可能性がある。

配布元が怪しいツールだろうが、検体入手してメーカーに提出する分には損にはならない。

BOTer予備軍を守る気は更々無いが、スルーされるトロイをそのまま放置するのは危険すぎる。
怪しいツールに手を出して感染・ハク受けるってのは自業自得だと思うし同情する気には
なれんけど、検体提出等はそれとはまた別の問題だと思う。

55 名前:まとめ臨時 ◆kJfhJwdLoM:07/12/20 19:27 ID:PaebUuVh0
書き込んだらサーバーが重くて全部跳んでしまった…。
コピペ確保怠ってを油断して涙目。

>>47
バスター住人なのでドッキリ。

>>51
ありがとうございます。そこまで頭が回っていませんでした…。
確かに出てきた結果を検索掛けてIPが出てくれば存在するドメインって事になるのですね。

>>52
サイト情報ありがとうございます。
それにしてもあのIPの所は自家サーバーで直接罠をばら撒いているんでしょうか…。
51の人が言われるようにドメイン名が無いのが厄介です。

>>53
以前質問したときにIP直書きはスルーと指摘されたので、
今回の罠のドメインが判ればと思いwhois検索してみたのですが残念です。
ツール装いというのが当方ぱっと見で判らなかったりしますが、
そんな風に何も知らない人が踏んでしまうと思うと厄介だなと…。

>>54
検体確保提出してくれる人が居てくれて
手間を考えると本当に感謝しきりなのです。

56 名前:(○口○*)さん:07/12/20 20:40 ID:8SC8+4Aw0
「Flash Player」に危険な脆弱性が多数、最新版にバージョンアップを
ttp://itpro.nikkeibp.co.jp/article/NEWS/20071220/289875/

既出かも知れないが念のため書いておく

複数のブラウザを使っている人は、各ブラウザで同じ作業を繰り返す必要あり

57 名前:(○口○*)さん:07/12/20 21:06 ID:Ktg2t2WP0
FlashPlayer9.0.115は4日に入れたな…。

58 名前:(○口○*)さん:07/12/21 01:06 ID:SR6/SSnt0
hostsによる防衛策が浸透してきたので、連中もIP直での記述を増やしてくるだろう。ドメイン取得も無料ではないので、限度があるだろうし。
FF11の方でも、PG2の導入推奨が進んできたので、今後は、これらをターゲットにした攻撃が出てくる可能性も考えられる。
以前より、アンチウイルスソフトを機能停止させるマルウェアは存在したが、オンラインゲームにターゲットを絞ったスピア攻撃なら、より容易であろう。
賢いルータなら、CIDRのような形式で特定IPレンジを塞ぐ。そうでないなら、Linux+iptablesのようなFWの導入も検討してよいかもしれない。

「普通のサイトももはや信用できない」―ラック新井氏が警告:ITpro
ttp://itpro.nikkeibp.co.jp/article/NEWS/20071219/289841/
「油断は禁物」、官公庁やオンライン辞書のサイトにも「わな」:ITpro
ttp://itpro.nikkeibp.co.jp/article/NEWS/20071218/289684/

このように、もはやInternet上に「聖域」は存在しない。

59 名前:(○口○*)さん:07/12/21 02:23 ID:Oy6WtyYB0
こんな時間に失礼します。
非常に基本的なことで詰まってしまいました;
今日買って来たカスペ7.0をインストールして、早速ROを起動しようとすると
右下に、プロアクティブディフェンスの通知ウインドウが出たので許可。
しかし、その後今までのようにROの窓が出ません。
念の為カスペを開いて「レポート→監視イベント」を見ても許可になっています。
ROをするのに何か方法があるのでしょうか?;
こちらでよいのかわからないのですが、教えて頂ければと思い伺いました。
よろしくお願いします。

60 名前:(○口○*)さん:07/12/21 02:28 ID:xhsnxhUW0
信頼ゾーンに起動ファイル入れてみ

61 名前:59:07/12/21 03:20 ID:Oy6WtyYB0
早速のお返事有難うございます。
設定→脅威と除外→信頼ゾーンの設定→信頼するアプリケーション→
C:\Gravity\RagnarokOnline\ragexe■exeを追加しましたがやはりダメでした。
一度目は開いているファイルをスキャンしない、だけにチェックしていたので、
二度目はアプリの動作を監視しない、レジストリへの操作を監視しない
にもチェックを入れましたが、やはりダメでした。

ちなみに
先ほどの監視イベントでは
2007/12/21 2:11:42 C:\Gravity\RagnarokOnline\GameGuard\GameMon■des この処理は許可されました
この処理は許可されました、でした。

信頼ゾーンに入れるものが間違っているのか、それさえもわからなくて
非常に恐縮ですが、何かお答えを頂ければ幸いです。

62 名前:(○口○*)さん:07/12/21 03:44 ID:xhsnxhUW0
あーそれも一緒に入れないとダメかな
信頼ゾーン見てみたらGameMon.desも入ってたわ

63 名前:59:07/12/21 04:08 ID:Oy6WtyYB0
有難うございました、立ち上がりました!
説明書読みながら、今度は除外マスクの方にGameMon.desとragexeを入れて
要求されたので再起動後立ち上げ(最初の窓はいつも出る)クリックしたところ
さっきとは違う真っ赤な通知ウインドウが出たので再度信頼ゾーン(上から3番目)
にいれたら、無事動きました!
凄い叫び声が出てえらいびっくりしましたが;;
本当に本当に60番さんのおかげです、本当に感謝しています。
こんな時間に何度もお答え頂いて、本当に有難うございました。

64 名前:(○口○*)さん:07/12/21 13:51 ID:HTk8rmYI0
なんかIE6XPSP2用のWUがきた

65 名前:(○口○*)さん:07/12/21 14:16 ID:XVz6nBgT0
>>64
XP SP3 RC(リリース候補)当てた後だとなんも来てないな。

66 名前:(○口○*)さん:07/12/21 14:25 ID:nqFf1VZW0
>>64
XPSP2+IE6SP2のセキュリティパッチで一部で問題が出たので
それを回避するパッチ。

67 名前:(○口○*)さん:07/12/22 02:31 ID:KjgQYo9X0
火曜のパッチ後、初めてログインしたがカスペが稼働していると異常に重いな
アイテム拾ったり露店を開くだけで一瞬停止するし

カスペ止めると以前と同じように動けるが

68 名前:(○口○*)さん:07/12/22 03:53 ID:DF4NRFG/0
【      気付いた日時          】 12月22日
【不審なアドレスのクリックの有無 】 (blog/bbs/Wiki等で踏んだ記憶の有無とそのアドレス)
【  アドレス   】ttp://wikiroom■com/nakky/index■php?Odinwiki 内のリンクにあった
ttp://www■interzq■com/bbs を踏んだ時にウィルスバスターが反応
【     OS    】WindowsXP Home
【使用ブラウザ 】IE6.0
【WindowsUpdateの有無】 自動更新があるごとにアップデートしていました
【 アンチウイルスソフト 】 ウィルスバスター2005(アップデートは欠かさずしていました)
【その他のSecurty対策 】 不明
【 ウイルススキャン結果】 まだ検索中ですが、現段階でJET.AGENT.OLT、TROJ_Generic、VBS_PSYME.XR検出
【テンプレの参考サイトを読んだか】 読みながらウィルススキャン中
【hosts変更】わかりません;
【PeerGuardian2導入】わかりません・・・
【説明】
上記のアドレスをクリックしたところ、Odin Gv板というページ名は出てきたのですが
真っ青な背景ページが表示されただけで、なかなかページが表示されずPCが重いのかと思っていたところ
ウィルスバスターが反応しました。アドレスを踏んでしまったPCはROをインストールしていないPCで
アドレスを踏む以前にはこのPCで、アトラクションセンターにログインした事もありますが、
アドレスを踏んだ後にログインをしたり、ROをインストールしたりといった事はしていません。
しかしこのアドレスを踏んだPCはROをインストールしてあるPCの回線から無線LANを使い、ネットをしています。
その場合、ROをインストールしてあるPC(アドレスを踏んでいないPC)にも危険が及ぶ事はあるのでしょうか。
ウィルスの種類がアカウントハック系なのかもこれから調べるのですが
無線LANといえど、ウィルスバスターでアドレスを踏んだPCは対策をしますが、
ROのインストールしてあるPCと関係があると思うと不安です。


よろしければご回答よろしくおねがいします。

69 名前:(○口○*)さん:07/12/22 03:53 ID:DF4NRFG/0
【      気付いた日時          】 12月22日
【不審なアドレスのクリックの有無 】 (blog/bbs/Wiki等で踏んだ記憶の有無とそのアドレス)
【  アドレス   】ttp://wikiroom■com/nakky/index■php?Odinwiki 内のリンクにあった
ttp://www■interzq■com/bbs を踏んだ時にウィルスバスターが反応
【     OS    】WindowsXP Home
【使用ブラウザ 】IE6.0
【WindowsUpdateの有無】 自動更新があるごとにアップデートしていました
【 アンチウイルスソフト 】 ウィルスバスター2005(アップデートは欠かさずしていました)
【その他のSecurty対策 】 不明
【 ウイルススキャン結果】 まだ検索中ですが、現段階でJET.AGENT.OLT、TROJ_Generic、VBS_PSYME.XR検出
【テンプレの参考サイトを読んだか】 読みながらウィルススキャン中
【hosts変更】わかりません;
【PeerGuardian2導入】わかりません・・・
【説明】
上記のアドレスをクリックしたところ、Odin Gv板というページ名は出てきたのですが
真っ青な背景ページが表示されただけで、なかなかページが表示されずPCが重いのかと思っていたところ
ウィルスバスターが反応しました。アドレスを踏んでしまったPCはROをインストールしていないPCで
アドレスを踏む以前にはこのPCで、アトラクションセンターにログインした事もありますが、
アドレスを踏んだ後にログインをしたり、ROをインストールしたりといった事はしていません。
しかしこのアドレスを踏んだPCはROをインストールしてあるPCの回線から無線LANを使い、ネットをしています。
その場合、ROをインストールしてあるPC(アドレスを踏んでいないPC)にも危険が及ぶ事はあるのでしょうか。
ウィルスの種類がアカウントハック系なのかもこれから調べるのですが
無線LANといえど、ウィルスバスターでアドレスを踏んだPCは対策をしますが、
ROのインストールしてあるPCと関係があると思うと不安です。


よろしければご回答よろしくおねがいします。

70 名前:(○口○*)さん:07/12/22 03:54 ID:DF4NRFG/0
しまった・・・二重投稿になってしまいました、すみません;

71 名前:(○口○*)さん:07/12/22 05:08 ID:0XFcJwYF0
手短に
>>68
該当URLはアカハックURLで間違いないです。
今回は「ROに使っていないPC」側で踏んだようなので
「ROで使ってるPC」に影響を及ぼす可能性は比較的低めです。
ですが絶対に ない とは言い切れないので、不安ならばアカハックURL踏んだPCだけでなく、ROプレイしてるPCもリカバリーをお勧めします。

72 名前:(○口○*)さん:07/12/22 19:35 ID:xr9h5kf6O
カスペのプロアクティブディフェンスを有効にしてると、かなり重くなるんだけど何故?
これ有効のままじゃ狩りできないぜ
無効にしていいもんか教えてくり

73 名前:(○口○*)さん:07/12/22 19:42 ID:1Kb3MDtc0
>>72
カスペWiki(非公式)…閲覧は自己責任で
ttp://kaspe.2chv.net/wiki/index.php
ここによると無効でも問題ないみたい

74 名前:(○口○*)さん:07/12/22 19:44 ID:KjgQYo9X0
尋常じゃないレベルで重いので無効にした
それでもパッチ前よりは重いけど問題ないレベルになる

当然ウイルスに対する防御は弱くなるので自己責任でどうぞ


重い原因は糞nProのせいで引っかかりまくっているから

75 名前:(○口○*)さん:07/12/22 20:00 ID:xr9h5kf6O
早速ありがとう
かなり重いから無効にしちまうよ

76 名前:(○口○*)さん:07/12/23 03:09 ID://O76/Fb0
はて、うちだとプロアクティブディフェンス有効でもなんともないのだが。
設定が違うのかな。

77 名前:(○口○*)さん:07/12/23 04:12 ID:Gw7Ook8W0
>>69で質問したものです。
>>71さんありがとうございました。
アドレスを踏んでしまったPCのほうは検索をかけて、出てきたファイルを隔離&処理しました。
そのあとにまたウィルス検索をしてみたところ、ウィルスは発見できなかったので
おそらく対処できたかなと思います。ありがとうございました。
お礼のレスが遅れてしまいすみませんでした;

78 名前:(○口○*)さん:07/12/23 08:50 ID:b6/t2T1V0
リネージュ資料室さんの更新情報にあったもの
red■exeは検出率悪いので要注意。

ttp://www■motewiki■net/web/index■htm
ttp://www■motewiki■net/web/index1■htm
ttp://www■sakerver■com/web/red■exe
ttp://www■sakerver■com/web/for■exe

ttp://www■sakerver■com/wiki/index■htm
ttp://www■symphones■com/bbs/index1■htm
ttp://www■symphones■com/bbs/ragner■exe
ttp://www■symphones■com/bbs/send■exe
ttp://www■symphones■com/bbs/fenrir■exe

ttp://www■twurbbs■com/
ttp://www■gamanir■com/systemin■scr
->maikmr■exe
->m6■jpg

index■htm : HTML/IFrame
index1■htm : Trojan-Downloader.VBS.Psyme.ds
red■exe : Trojan.Win32.Inject.pe
for■exe : Trojan-PSW.Win32.OnLineGames.kak

index■htm : HTML/Infected.WebPage.Gen
index1■htm : Trojan.Downloader.Js.Agent.FT
ragner■exe : Trojan-Downloader.Win32.Agent.fpp
send■exe : Trojan-PSW.Win32.Delf.aih
fenrir■exe : Trojan-PSW.Win32.OnLineGames.fcj

systemin■scr : Trojan-PSW.Win32.OnLineGames.lti
maikmr■exe : Trojan-PSW.Win32.OnLineGames.lti

79 名前:(○口○*)さん:07/12/23 20:25 ID:GpgJtfhS0
誘導して頂いた所からのコピーで失礼します
ウィルス対策のソフトをバージョンアップさせたら重くなってしまいました。

プレイ前にウィルス対策ソフトを終了すると軽くなったので
問題ないならこれからもプレイ中は切ってゲーム終了後に起動しようと思うのですが
終了させてる間はネット閲覧などはしないつもりですが危険でしょうか?

誘導元で危険なのでプロアクティブディフェンスを調整すればいいとのレスを頂きましたが
現在使用してるセキュリティソフトがウィルスバスターで前述の単語を検索した所
別のセキュリティソフトの機能という検索結果でしたので迷っております。

80 名前:(○口○*)さん:07/12/23 20:32 ID:jRWhFmJ70
危険か危険じゃないかの二択なら危険
ただし、即ウィルスに感染するって意味ではない

ウィルスバスターは使っていないので、設定については使っている人に任せる

81 名前:(○口○*)さん:07/12/23 20:40 ID:b6/t2T1V0
>>79
ソフト名(ウイルスバスターなら2007か2008かまできっちり)・現在の定義ファイル・PC環境 全部書け

■PCの種類(メーカ、ショップブランド、自作):
■OS         :
■マザーボード..  :
■CPU..       :
■メモリ       :
■ビデオカード.   :
■RO表示サイズ  :
■ネット接続方法. :

■セキュリティソフト:
■定義ファイルのバージョン:

■症状       :
■特記事項     :

82 名前:(○口○*)さん:07/12/23 21:25 ID:GpgJtfhS0
>>80
起動してない状態と比較すれば当然リスキーだとというのは理解していますが
切らないと狩りだと支障出る程重いのが辛い所です
>>81
失礼しました、環境は以下の通りです
■PCの種類(メーカ、ショップブランド、自作): メーカ
■OS         :Windows XP Home Edition SP2
■マザーボード..  : PC-VL3509D
■CPU..       :Intel(R) Celeron(R) 2.70Ghz
■メモリ       :992MB(512MB*2)
■ビデオカード.   :SiS 651 Rev 00 32MB
■RO表示サイズ  :800*600*16
■ネット接続方法. :無線LAN

■セキュリティソフト:ウィルスバスター
■定義ファイルのバージョン:2008

■症状       :アンチウィルスソフトをバージョンアップさせた所
           する前に比べて極端に重くなった
■特記事項     :ウィルスバスター2007は重いと聞いて敬遠しており
           2006から2008へバージョンアップさせました

以上です、PCに疎いので記入に不備があればご指摘いただければ追記させて頂ます。

83 名前:(○口○*)さん:07/12/23 21:48 ID:b6/t2T1V0
アドレス自体は既出。(既出アドレス出してもしょうがないので総合スレには転記不要かな?)
リネージュ資料室の更新状況で 2007/12/22 00:43:04 更新だったのでチェックしてみました。

ttp://www■dyparagon■co■kr/gon/m■htm
ttp://www■dyparagon■co■kr/gon/gmsex■exe

gmsex■exe : Trojan-PSW.Win32.OnLineGames.lrt
m■htm : Not Detected
m_edit■htm : HTML/ADODB.Exploit.Gen (decoded m.htm)

m■htmはVirusTotalでは未検出。編集してゴミを除去(空文字列をわざわざ挿入している箇所、
文字列の連結)すると幾つかのセキュリティソフトで検出可能。ダウンローダなので
こいつはすり抜けても、実害がないのでどうでもいい。

本体は、VirusTotalでは 16/32 で半数がすりぬけ。
カスペ○、NOD32○、マカフィー×、ノートン×、Avast×、AVG×

一通り検体提出済み。

>>82
バスターは使ってないからコメントできないけど、このスレ住人に利用者が数名いた筈なので
(前スレでは2007→2008で少し軽くなったって人がいた気がする)解決策がわかるといいですね。

あと「ウイルスバスター2008」までが名前で定義ファイルのバージョンや日付が「2008」では
ありませんよ。下記のページにあるような(ビルド16.0.1645)というのが、定義ファイルの
バージョン番号になります。ソフトベンダーによっては、検索エンジン・定義ファイルの
2種類ある場合もあります。

ウイルスバスター 2008(ビルド16.0.1645)の緊急公開につきまして
http://www.trendmicro.co.jp/support/news.asp?id=1037

84 名前:(○口○*)さん:07/12/23 21:58 ID:GpgJtfhS0
>>83
なるほど、誤記入箇所理解しました。
アップデートの際に自動入手との事で
現在更新確認した所最新の状態の様ですので
ウイルスバスター 2008(ビルド16.0.1645)
であると思います。

ご親切なレスありがとうございました。

85 名前:まとめ臨時 ◆kJfhJwdLoM:07/12/23 23:22 ID:faWBxekF0
>>79
当方Pentium3-800MHzメモリ384MBと現在ではロースペックの部類で
ウイルスバスター2008の動作環境のスペックを満たしていなかったりします。
それでもVB2007から2008に乗り換えて軽くなった部類です。

各機能の設定では無線LANとURLフィルタ以外はONでフィッシング詐欺対策はデフォルトの中、
FWのセキュリティレベルは変更して高に設定しています。
こんな環境でも大魔法が乱発されなければ、通常MAPでそれなりに快適にプレイできます。

>>82 での使用環境を見るに十分スペックが足りていると思われるので
本来のVB2008の動作とROの通常MAPでの狩りにはなんら問題ないと思われます。
素人考えで推測するならば、アップデートのときに
何かしらデータが破損してしまった可能性があるのかもしれません。

体験ですがVB以外に別のスパイウェア対策ソフトが入ってると
時々モジュールが破損とか出ていた気がします。
今はVBだけでなんとかやりくりしていますがモジュールの破損等の表示は出なくなりました。

よろしければ一度OSを最新の状態にアップデートしてから
回線を抜いてVB2008をアンインストールしてWindowsのFWをONにしてから再起動。
インストールしなおした後で回線をつなげてVBのアップデートをしてみては如何でしょうか?

86 名前:(○口○*)さん:07/12/23 23:29 ID:gxiUEWZb0
カスペオンラインスキャナって今落ちてますか?
ページすら表示されないのですが

87 名前:まとめ臨時 ◆kJfhJwdLoM:07/12/23 23:36 ID:faWBxekF0
>>86
こちらではホムペもオンラインスキャンもいつも通りに表示されました。

88 名前:(○口○*)さん:07/12/23 23:46 ID:GpgJtfhS0
>>85
レスありがとうございます。
以前にアンチウィルスソフトのみのスパイウェア対策では十分ではないと聞いたので
Ad-Aware SE Personalというフリーの対策ソフトをインストールしています。

なるほど、データ破損などの可能性があるのですか
示して頂いた内容をこれから試してみようと思います
丁寧で詳しいご解説ありがとうございました。

89 名前:(○口○*)さん:07/12/23 23:49 ID:gxiUEWZb0
>>87
Active Xをダイアログ許可設定にしていた為に動かなかったようです
有効にしたら動きました、即レスありがとうございます

90 名前:(○口○*)さん:07/12/24 01:30 ID:DHSejnZj0
ウイルスバスターは2007からスパイバスターというスパイウェア対策ソフトが組み込まれてる
これによりAd-Awareとかspybotとかと衝突するようになってるから
spybotの免疫と同じような予防機能を使うと不具合が出やすい
但しAd-Awareでの検索のみなら衝突しないはず

ちなみに2008は検索エンジンも2007/11/28に8.550.1001バーションアップしてる
こちらはオートアップデートでは更新されないので手動でダウンロード

91 名前:まとめ臨時 ◆kJfhJwdLoM:07/12/24 08:22 ID:zDTZe/9a0
>>90
情報ありがとうございます。補足として追記事項を。

・トレンドマイクロ〜ウイルス検索エンジンVSAPI 8.550 のサポート情報
http://www.trendmicro.co.jp/support/news.asp?id=1018

リンク先の下の方に検索エンジンアップデートページ、
更に跳んだ先の一番下の方に2008の検索エンジンのファイルがあります。
ただ一部環境では正常にアップデートが実施できない問題があるとの事。

そしてその該当者で涙目。
色々調べていくうちに他にもちょっと気になることがあったので、
休みが明けたらサポートに電話してみる予定です。

とりあえずパッチを当てたらヘルプのバージョン情報はともかく
上記不具合組でもこんな風にアップデート/その他の"アップデート情報"でこんな風になっていれば多分OK。
ウイルス検索エンジン(32ビット) 8.500.1002
ウイルス検索ドライバ(32ビット) 8.550.1001

92 名前:まとめ臨時 ◆kJfhJwdLoM:07/12/24 08:55 ID:zDTZe/9a0
>Ad-Aware
SEの時は特に何も無かったのですがAd-Aware2007だとVB2008インストール時に
「Ad-Aware 2007は競合しています、アンインストールしますか」とか出て
先日クリーンインストールした折に削除してしまいました。

またAd-Aware2007をインストールするべきなのかと悩んでいますが…。
とりあえず既出として常駐の解除を見つけたので転記というかメモ。
・Ad-Aware2007のaawservice■exe常駐プロセス解除
コントロールパネルの管理ツール→サービス→
→Ad-ware2007Serviceの種類で自動→手動
(またAd-Aware2007を使用するとaawservice■exeが残るので
タスクマネージャーのプロセスでaawserviceを終了させる)

93 名前:(○口○*)さん:07/12/24 11:22 ID:f7ur4Urp0
■ウイルススキャンサービスの「暗黒面」
http://www.itmedia.co.jp/enterprise/articles/0712/24/news007.html

> VirusScan、VirusTotalなどのサービスはデフォルトで、
> 怪しいファイルをウイルス対策ソフトメーカー各社に送る仕組みになっている。

そんなふうになってたのかぁ。検体送ったことないですが。

94 名前:(○口○*)さん:07/12/24 12:38 ID:CoEenKAh0
virustotalの/jp/なら「このサンプルを配布しない」オプションの?に書いてる
virus.orgなら
>Viruses uploaded here maybe be distributed to antivirus vendors.
>If you do not want your files to be distributed, please do not send them at all.
と記述がある

と言っても直接送った方が確実で早いけどね
更新の早いカスペなら差が顕著

95 名前:(○口○*)さん:07/12/24 22:41 ID:c+4W3LR10
【      気付いた日時          】 12/24 22時
【不審なアドレスのクリックの有無 】 RMCにあったアドレスを踏んでしまいました。
【  アドレス   】 www■shagigi■net/navi/
【     OS    】WindowsXP Home SP2
【使用ブラウザ 】IE7.0
【WindowsUpdateの有無】 一番最後は一週間程度前だと思います
【 アンチウイルスソフト 】 ウイルスバスター2006
【その他のSecurty対策 】
【 ウイルススキャン結果】 ウイルスバスターでは特に見つかりませんでした
【テンプレの参考サイトを読んだか】 今から読むところです。
【hosts変更】 無
【PeerGuardian2導入】無
【説明】
RMCにて特に前後の会話に関係のない意味のわからない内容+アドレスという形で貼り付けてあったため。

96 名前:(○口○*)さん:07/12/24 22:45 ID:CWTYBAbn0
間違いなく垢ハックサイトだな

97 名前:(○口○*)さん:07/12/24 23:01 ID:c+4W3LR10
>>96
やはりそうでしょうか
今カスペルスキーオンラインスキャンを試しているのですが
マイコンピューターを調べてみるとウイルスが一個見つかりました…

98 名前:(○口○*)さん:07/12/24 23:03 ID:nI3muN060
まとめ臨時さんのとこに記載のあるサイトだな
悪いことは言わんのでOSクリーンインストして追加でPG2いれておけ

99 名前:(○口○*)さん:07/12/24 23:14 ID:c+4W3LR10
>>98
ありがとうございます
おっしゃるような対策をとってみようと思います

100 名前:(○口○*)さん:07/12/25 00:20 ID:hEs0DyED0
>>95-99
ちょっと確認してみました。
トレンドマイクロの最新パターンなら、本体を検知できる筈です。

入手前に切断していたので、見つからないのか、なんらかの原因で
検出不能状態に陥っていたのかはわかりません。
(カスペオンラインスキャンで見つかったのは、index1.htmがブラウザの
キャッシュに残っていたもの[Trojan-Downloader.VBS.Psyme.ds]かもしれません)

対処方法としては、OS入れなおしか、自己責任で使うかになりますが
OS入れなおしコースを選ばれているようですので、問題ないですね。

ttp://www■shagigi■net/navi/index■htm
ttp://www■shagigi■net/navi/index1■htm
ttp://www■shagigi■net/navi/l1■exe
ttp://www■shagigi■net/navi/f■exe

->index■htm
-->index1■htm
--->l1■exe
--->f■exe

index■htm : HTML/Infected.WebPage.Gen(VirusTotalでAntiVir以外はスルー)
index1■htm : Trojan-Downloader.VBS.Psyme.ds
l1■exe : Trojan-PSW.Win32.Magania.brd
f■exe : Trojan-PSW.Win32.OnLineGames.kak

トレンドマイクロオンラインスキャン検出名
index■htm : -
index1■htm : -
l1■exe : TROJ_SHEUR.BJ
f■exe : TSPY_ONLINEG.PAX

参考情報 VirusTotalの検出率
l1■exe 20/32->27/32エンジン(スキャン日:12/10->12/24)
f■exe 13/32->13/32エンジン(スキャン日:12/16->12/24)

101 名前:(○口○*)さん:07/12/25 06:22 ID:hEs0DyED0
リネージュ資料室さんの更新履歴より。(更新はhtmlだけで、本体は既知のものぽい)

ttp://www■k5dionne■com/ousele/ttmm■htm
ttp://www■k5dionne■com/ousele/anitt■htm
ttp://www■k5dionne■com/ousele/anitt■c
ttp://www■k5dionne■com/ousele/sant1■exe

ttmm■htm JS/Agent!tr.dldr
anitt■c Exploit.Win32.IMG-ANI.ac
anitt■htm Trojan-Downloader.JS.Psyme.kf
sant1■exe Trojan-PSW.Win32.Delf.ads

102 名前:(○口○*)さん:07/12/25 13:05 ID:LhjEwF8/0
総合スレ>>193
>黄 シマンテック
>緑 カスペルスキー
>赤 ウイルスバスター

>製品の箱の色から、このスレではそう呼ばれています。

初めて見た気がします・・・とりあえず記憶しておこう。

103 名前:(○口○*)さん:07/12/25 13:19 ID:hEs0DyED0
>>102
総合スレ、セキュスレ、他も含めて始めて見た気がする。
覚えなくても問題無い。というか、積極的に忘れたほうがいい。

他人に通じない言葉は覚えるだけ無駄。

104 名前:(○口○*)さん:07/12/25 13:29 ID:ytleHPq80
それ某所(というかとあるML)で使ってる人が居るが、ハクスレやセキュスレでは
初めてじゃないかね。

覚えなくても問題ない、ってのには同意。

105 名前:総合スレ193:07/12/25 14:46 ID:pWq1LneS0
向こうにも書いたけど、混乱させてすまなかったです。

赤箱黄箱ってのは自分でもよく使ってて、緑もその延長で勝手に脳内変換してて全く違和感なかった。
どこで見たのか自分でも疑問になったんで、ググってみたら結構引っかかった。
多分この中のどれかを過去に見てて、それがインプットされてたんだと思う。
この表現自体広めようとかそういう考えは毛頭ないので、スレでは今まで通りわかりやすい表記でいいと思う。

106 名前:(○口○*)さん:07/12/25 15:58 ID:wzr/20Me0
NOD32は何色なんだろうなw

107 名前:(○口○*)さん:07/12/25 16:05 ID:uykK66Zn0
箱色ねぇ・・・マカフィーとかソースネクストあたりも気になるところです。

108 名前:(○口○*)さん:07/12/25 16:50 ID:tpoKtK5P0
NODも緑色だし特に覚える意味は無い言葉だな

カスペ、ノートン、バスター、NOD、マカフィーって言って何が悪いのやら

109 名前:(○口○*)さん:07/12/25 17:25 ID:FaLNgJhZ0
こんにちは。
ウィルスバスターを使用しているんですが、
怪しいリンク踏んでも、右下のほうに窓がでて「トロイの木馬が・・・」
などとでればセーフなんですか?
また、これが検出ということなのでしょうか?

110 名前:(○口○*)さん:07/12/25 17:33 ID:+YwZB6VS0
局地的なスラングを、さも当然の様に行使すると混乱を招くだけ。
パッケージ色なんて、イメージ戦略やコーポレートカラーの類いであって、永続的なものとも限らないし。
まして、ダウンロード購入なら尚更無意味になる。法人向けパッケージが色違いや、無漂白段ボールの例も有るし。

それに、Symantec自体が、主力製品を買収で増やしていったメーカー。
カスペの国内代理店を引き受けているジャストシステムだって、一太郎シリーズ=赤地に白のロゴイメージ。

セキュスレの話題からは外れるが、B's Recorder関連の権利をBHAがソースネクストに譲渡する話があった。
メーカー単位で考えるより、製品単位で考えないと落とし穴にはまる時代だな。

#どんなメーカーにも、当たり製品と外れ製品は存在する

111 名前:(○口○*)さん:07/12/25 17:41 ID:CXx8gfml0
カスペの
ネットワーク設定>ポートの設定>一般的なHTTP80 のチェック外したら
垢ハックのセキュリティ的に不味い?

112 名前:(○口○*)さん:07/12/25 17:54 ID:ytleHPq80
>109
バスターは使ってないが、その手のメッセージは該当のサイトからファイル
(htmlファイル・ページそのもの含む)をDLしようとした時に危険な何かを
検出した場合に出るもの。
だとすれば、バスターなり何なりが「検知した」ものはブロックされてる。

しかし「検知できなかった」ものは素通りしてるわけで。
極端な話、ファイルが2個仕込まれてて、片方ブロックしたが片方はスルー、とかだと
結局感染した、ってオチになりかねない。

大抵は平気と「思われる」が、ブロックされたから100%安全とは断言できない。


>111
それ外したらhttpの通信をスルーするんじゃないか?
セキュリティ的に不味いが、ネットワーク速度等でネックになってるならOFFればいい。

つまり、自己責任で、って事。

113 名前:109:07/12/25 18:06 ID:FaLNgJhZ0
>>112さん
わかりやすい説明ありがとうございました。

114 名前:(○口○*)さん:07/12/25 22:45 ID:ESWwQ1lO0
【      気付いた日時          】 12月25日
【不審なアドレスのクリックの有無 】 Googleから
【  アドレス   】ttp://zeesclub■com/forum/index■php?showtopic=609
【     OS    】WindowsXP Home
【使用ブラウザ 】FireFox2.00.11
【WindowsUpdateの有無】 自動更新があるごとにアップデート
【 アンチウイルスソフト 】 AntiVir
【その他のSecurty対策 】 1ヶ月に1回ぐらいカスペなどのオンラインスキャン
【 ウイルススキャン結果】 今やっている所だけどPCが重いのか時間がかかりそう
【テンプレの参考サイトを読んだか】 読みました
【hosts変更】漏れがありそうな気がするが、まとめサイトのコピペをして変更はしてある
【PeerGuardian2導入】よくわからないので未
【説明】
適当にクリックしていた所、妙に重くいつまでも表示されないので怖くなって閉じました。
重くてガクガクになるので丁度ウィルスソフトも切っていたので心配に。
ソースチェッカーでは以下のように出ましたが、漢字っぽい文字がソースにあるので垢ハックサイトではないかと心配です。
※ 隠しスクリプトを発見しました。(19)
[このアドレスの安全度 72%]

115 名前:(○口○*)さん:07/12/25 23:01 ID:hEs0DyED0
>>114
※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※
※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※
※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※

多分、サーバーがBUSYなだけ。リンク先は知らんが、サイズ0なiframeのタグはなかった。

116 名前:(○口○*)さん:07/12/25 23:09 ID:ESWwQ1lO0
どうもすいませんでした。でも垢ハックサイトじゃなかったようなので安心しました。
これを機会にPGというのを導入しました。説明サイトを見たら簡単だったのでよかったです。

117 名前:(○口○*)さん:07/12/26 04:46 ID:tBskC8kj0
物凄い勢いで削除されてた一品

ttp://goodragnarok■blog35■fc2■com/blog-entry-1■html
ttp://www■caremoon■net/wiki/
ttp://www■caremoon■net/blog/index1■htm
ttp://www■caremoon■net/blog/send■exe
ttp://www■caremoon■net/blog/f2■exe
ttp://www■caremoon■net/blog/reak■exe

f2■exeのファイル日付が12/24更新になっていたので、差し替えたので貼ってまわってる?
総合スレへのコメントの為確認した www■caremoon■net/blog/f2■exe と同じものの模様。

index■htm : HTML/Infected.WebPage.Gen
index1■htm : Trojan-Downloader.JS.Agent.anp
send■exe : Trojan-PSW.Win32.Delf.aih
f2■exe : Trojan-PSW.Win32.OnLineGames.lyx
reak■exe : Trojan-PSW.Win32.Magania.bph

アカウントハック総合対策スレ9
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/205
|ちなみに、現時点のf2■exeですが、VirusTotalの結果は下記の通りです。
|カスペ○、NOD32×、マカフィー○、シマンテック×、Avast○、AVG×

検体は各社に提出済みです。

118 名前:(○口○*)さん:07/12/26 04:49 ID:tBskC8kj0
追記:
reak■exe : カスペ○、NOD32×、マカフィー×、シマンテック×、Avast×、AVG○
send■exe : カスペ○、NOD32○、マカフィー○、シマンテック○、Avast○、AVG○

一部を敢えて検知させて、安全だと思い込ませて新種を潜り込ませておく手法かもしれませんね。
やっぱり、対応策は、OS入れなおし推奨の形になりますか。

119 名前:(○口○*)さん:07/12/26 06:44 ID:bMpI+lpR0
aguseの件、続報。

ttp://www.aguse.jp/hot.php
>(2007/12/17) http://www.aguse.nethttp://www.aguse.jp として正式に運用を再開しました。
>お手数ですがブックマークの変更をお願いいたします。

>aguse 2007/12/18 11:54 aguseのご利用ありがとうございます。

>ドメイン失効に伴い、今後はサービスをaguse.jpドメインで提供していくことを決定し、プレスリリースを出しました。
>http://www.value-press.com/pressrelease.php?article_id=20323
>関連して、プラグインもaguse.jp対応に修正したものを再配布しております。

との事で、ブックマークや、検索プラグインの更新は怠らずに。

120 名前:(○口○*)さん:07/12/26 09:30 ID:3gPgwy360
>>118
AntiVirも撃墜。

121 名前:(○口○*)さん:07/12/26 09:58 ID:L2RoyYb90
6種類使ってみた感じ

検出率では
カスペ>avast>NOD>バスター>マカフィー>>ノートン

軽さとシステム不安定率の低さでは
avast>カスペ=NOD=マカフィー>>バスター>>>>ノートン

新種垢ハックウイルスの対応速度では

カスペ>>NOD>>>avast>マカフィー=バスター>>ノートン


ノートン(笑)
重いしマジノートン使う理由が見当たらんわ。
セキュリティ界の癌

122 名前:(○口○*)さん:07/12/26 10:29 ID:pJJvtvNm0
その手のランク付けは信者が沸くから止めたほうがいい。
2chのセキュ板見たら良く判る。


それと少々古いがReal Mediaの脆弱性とRealPlayerの脆弱性について。
ttp://www.itmedia.co.jp/enterprise/articles/0712/14/news023.html
ttp://www.itmedia.co.jp/enterprise/articles/0712/25/news028.html

メディアファイルだからと不用意にクリックすると大変な目に合うのでご注意を。

123 名前:(○口○*)さん:07/12/26 11:22 ID:3gPgwy360
メディアファイルへのリンクじゃなくてもHTMLとスクリプトで読ませますね。
あっちの前スレでも書いたけど、RealPlayer11Betaも普通にやられます。
11で切られたOSは10.5をアンインストールする等を考えたほうがいいかも。
# QuickTimePlayerやAdobeReaderやFlashPlayerも同様。

124 名前:(○口○*)さん:07/12/26 11:30 ID:3gPgwy360
現行スレだった。
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/57

125 名前:(○口○*)さん:07/12/26 11:50 ID:tBskC8kj0
>>121
Avastは、ファイル新規作成時のCPU占有が高く、nProの通信遅延による切断につながりやすい。
パターン更新時もCPU占有率が異様に高い感触がある。これは過去のセキュスレでも複数の
報告が上がっていた。

カスペとNOD32(EsetSmartSecurty)は、カスペ使用時は、時々スキャンやパターン更新で
PCの反応が鈍くなる。NOD32は殆どストレスなし。新種への対応が遅いのが難点>NOD32。

結論を言うと、>>121の比較は、自分の体感や経験と異なる箇所が多々あり、信用できない。

>>122
>その手のランク付けは信者が沸くから止めたほうがいい。
同感。

126 名前:(○口○*)さん:07/12/26 12:47 ID:3gPgwy360
俺の体感ではESETの検体への対応はスマンテッコ並みに遅い。
シカトしてるんじゃないかってくらい。ヒューリスティックに頼りすぎか。
前は良かったのに最近ちょっと…なのはMcAfeeとBitDefender、
落ち込んでいたのに最近復活してきたのはAVGとDr.WEBかな。
あと今はavastよりはAntiVirかなぁ。対応も早い(数時間程度)。
バスターは現状すり抜けが多すぎる。フィリピンの対応が
そこそこ早い(CPRなら半日程度)のでなんとか持ってる。

127 名前:(○口○*)さん:07/12/26 12:52 ID:tBskC8kj0
検体提出の返答状況見てると、AntiVirとDr.Webは結構対応早いね。
あとはFortinetもここんとこ新種への対応が早い。

Esetはシマンテック程じゃないけど遅い方だったわ。

Avastは対応状況の返答来ないからわからん。

128 名前:(○口○*)さん:07/12/26 14:36 ID:tBskC8kj0
先程、スレ立てて宣伝してった奴。アドレス自体は既知。ファイル差し替えを確認。

ttp://www■symphones■com/wikipedia/
ttp://www■symphones■com/wikipedia/index1■htm
ttp://www■symphones■com/wikipedia/red■exe
ttp://www■symphones■com/wikipedia/sl■exe
ttp://www■symphones■com/wikipedia/fir■exe

12/25
index■htm : HTML/IFrame
index1■htm : TrojanDownloader:JS/Agent.FT
red■exe : Trojan.Win32.Inject.ox
sl■exe : Trojan-PSW.Win32.Delf.aih
fir■exe : Trojan-PSW.Win32.OnLineGames.kak

12/26
index■htm : Trojan-Downloader.VBS.Agent.ic
index1■htm : TrojanDownloader:JS/Agent.FT
red■exe : Trojan.Win32.Inject.ox
sl■exe : Trojan-PSW.Win32.Delf.aih
fir■exe : Trojan-PSW.Win32.OnLineGames.lyx

Fir■exeが差し替えになっています。ファイルの日付は12/25 20:39:22
>>117のf2■exeと検出名は同じですが、ファイルは異なってました。

index1■htm : カスペがパターン更新で、反応するようになりました。
red■exe : カスペ○、NOD32×、マカフィー×、シマンテック×、Avast×、AVG×
sl■exe : カスペ○、NOD32○、マカフィー○、シマンテック○、Avast○、AVG○
fir■exe : カスペ○、NOD32×、マカフィー○、シマンテック×、Avast○、AVG○

129 名前:(○口○*)さん:07/12/26 14:38 ID:tBskC8kj0
コピペするとこ間違えた。こっちが正解。

12/26
index■htm : HTML/IFrame(カスペは反応せず)
index1■htm : Trojan-Downloader.VBS.Agent.ic

130 名前:(○口○*)さん:07/12/26 15:04 ID:3gPgwy360
>>128
そのタイムスタンプはGMT(UTC)ね。日本時間では今朝5:39。
www■wacacop■net/wiki/test■exe はその亜種、5:20。

131 名前:(○口○*)さん:07/12/26 15:10 ID:5JPpIiac0
RO系の色々なサイトを見まくっていたら、重くなりMP3プレイヤーなどが無反応になり
終了もできないので一度再起動しようとして強制終了をかけた所、
起動した際にPG2が点滅し「あれ!?」と思い履歴のブロック欄を見たら
見事にハックサイトのブロック跡がありました。
>www■pangzigame■com   8■15■231■125:80
最初はただのアジアホストのサイトかと思い、GoogleでURLをぐぐると
一番トップにでかでかとそれらしく出たのでアクセスしたら、
即サーバーが見つかりませんとでて、「あ」と思った次第です。

幸いセキュスレのおかげでhosts変更やPG2を導入していたため
Googleからクリックしてもサイト表示せずに済んだのかな。
>127.0.0.1 pangzigame■com と載っていました。
フリーのウィルスソフトしかもっていないため、現在カスペオンラインスキャン中ですが
何か気持ち悪いし心配です。ROにログインもためらってしまいます。
hosts変更をしていたりPG2を常時動かしていたら(そのIPは常にブロック設定にしました)
このままでも大丈夫なんでしょうか?それともやっぱりリカバリーすべきでしょうか?

今まで4年以上ROをやってきて、月1はスキャンなどをしてきて
ただの1度もウィルスやトロイにかかったことがなかったので慢心してました。
今回は正直どこで踏んだのか全く想定できなくて…ショックなので
これを機にカスペ製品版の購入を決めました。
あとこのスレの人はInternet Security 7とAnti-Virus 7のどちらを使ってますか?
Internet Securityの方だと重くてROプレイに支障が出たりするかなと心配で
カスペスレではなくROをやってる人がいるこちらで質問しました。PCのスペックは低めでメモリも512MBしかないです。

132 名前:88:07/12/26 15:16 ID:FUbqBdQq0
>90-92
ゲームプレイの時間が取れず、事後報告遅くなって申し訳ありません。

示して頂いた手順を試してみましたが重さが改善されなかったので
一旦アンチスパイウェアのアンインストール等も試してみましたが
同様に改善されませんでした。
結局以前に使っていたウィルスバスター2006へダウングレードした所
体感として以前と同程度まで重さが落ち着きました。

ダウングレードでのデメリットも大きいかも知れませんが
2008をインストールした状態での問題解消方法を見つけるのが困難ですので
暫くは2006を使用しようと思います。
レス下さった方々本当にありがとうございました。

133 名前:まとめ臨時 ◆kJfhJwdLoM:07/12/26 15:34 ID:Zvn6qERd0
ベテランな兄者達には必要ないものかもしれませんが
総合対策スレ9の207の質問流れで、
踏んだ人がクリーンインストールする際に
リカバリーすると購入時の状態に戻ってイヤンな人の為に
OSのみの綺麗な体になる方法が書いてあるリンクをメモしてみました。

・メーカー品でアップグレード版Xpをリカバリーディスクを使ってクリーンインストール
ttp://tomcat.nyanta.jp/t_html/contents/Me-XP.shtml
・アップグレード版Xpでクリーンインストール
ttp://www1.odn.ne.jp/mediahunter/xpinstall.html
・アップグレード版Vistaでクリーンインストール
ttp://japanese.engadget.com/2007/02/01/windows-vista-upgrade/

>>117
ものすごい勢いで見逃していました…。
goodragnarok■blog35■fc2■comはすぐ追加してきます。

>>126
もうバスターと三年契約してしまったので涙目。
頑張りにすごく期待…したいです…。
あと >>92 の手順でAD-Aware2007のよく判らない常駐を解除したら
ロースペックなPCの起動時の変な不具合が無くなった模様。
心持かもしれませんがなんともな感じ。

>総合対策スレ9の204-205
痒い所に手が届くレスに感動。

134 名前:まとめ臨時 ◆kJfhJwdLoM:07/12/26 16:42 ID:Zvn6qERd0
>>88 >>132
他の常駐プログラムとの兼ね合いとかPC自体の相性とかあるのでしょうか…。
お役に立てず申し訳なく。

前回自己責任になってしまうので書かずにそのままになっていたのですが
アンインストール後に
2008のインストールフォルダにあるTISSuprt.exeを使った方法で
手動での完全アンインストールを実行してから再インストールすると
状態が改善される事があるそうです。
(2008以前だとPCCTool.exeでのアンインストール)
なんでも前のバージョンと整合が取れていないとか何とか…。
前のバージョンのフォルダも残っていたらそれらも実行しておくといいかもしれません。

公式でも完全アンインストールツールが
どっかにあった気がするのですがちょっと見つけられませんでした…。

これで駄目ならもう年明けまで日が無いですがサポートセンターに電話という手しか。

135 名前:(○口○*)さん:07/12/26 17:48 ID:FGMpC9i10
>>131
>www■pangzigame■com   8■15■231■125:80
BSWikiで見てみると
http://smith.rowiki.jp/domain/?domain=pangzigame■com (NG対策でドットを置換)
Domain失効してるっぽいんだよね。同じIP範囲を見てみると
http://smith.rowiki.jp/domain/?cidr=8.0.0.0-8
失効物ばかり。恐らくドロップキャッチしたドメインをプールさせておくサービスのサーバ
なんじゃないかと思う。つまりその遮断はPG2リストに起因する誤爆と思われる。
…とはいえ、ドメイン失効が確実に断定できる物ではない為無闇にリストから除外も
出来ないか。
アカウントハッカーの活動も長い為、失効ドメインも増えてきており、このような誤爆
を疑う事例も増えてきそう。PG2導入したらWikipediaに繋がらなくなった、レベルの
FAQになったらそれはそれでいやだなぁ。

安全だろうとは推測できるけど、確証は無いので自信が無ければ再セットアップ一択。
アンチウイルスソフトについてはPCスペックを提示した方がアドバイスもらえると思う。

>>133
普通にPCを使う層ならバスター等の大手3社でも大方は問題ないんだけど、この分野では
非力に過ぎるから勧めにくいよね。そもそも肥大化しすぎて不具合の塊だったりするし…。

136 名前:(○口○*)さん:07/12/26 17:54 ID:ZxqckdDJ0
今のバスターは一ライセンスで三ユーザーまで使えてお得なんだっけ
まぁ、一昔前の更新パターンファイル不具合でOS起動不可の売上低迷から良く立ち直ったよ
ただ昨今のネトゲ用途にはちょっとね…
しかし、大手各社はwin2kをもう完全切り捨てだね

137 名前:(○口○*)さん:07/12/26 19:01 ID:RFdfXte40
>>132
Ad-awareやSpybotとの競合問題は実は根が深くてVB2007の時では
アンインストールしても残るレジストリその他と競合してメモリ消費量が全然違ってた
その時の対策が2008にも使えるかも知れないので2chの2007スレから転載

ttp://sonobelab■com/knowhow/computer/vb2007■html#taisaku

138 名前:131:07/12/26 19:57 ID:5JPpIiac0
>>135
ご丁寧にありがとうございます。
オンラインスキャンのあと、試用版をDLし完全スキャンを行ったところ
どちらもウィルスや脅威は発見されませんでしたと出ました。
その後PGも1度も反応していません。
これは安全と見ていいのか迷いますね…。年末で忙しいしリカバリー大変なのに。

スペックは、P4のCPU2.5GHz メモリ512MBでビデオカードが
GeForceの3,4年前の古いタイプです。
学生であまりお金に余裕がないため、なるべく安くつく方法を模索してるんですが
ノートと2台のPCがあるため2台ライセンスは少し厳しいので
片方を1ヶ月に1回リカバリー必須の試用版使い続けに使用かなと思いました。
KIS7の方で新規1dayでROを動かしてみて、そこまでストレスはなかったけど
ノビなので大魔法飛び交うGvGやスキル連打はできないのでまだわからないです。
FWソフトを併用していてセキュリティに気をつける自信があればKAVの方だけでいいのかなぁと悩みます。

139 名前:(○口○*)さん:07/12/26 21:52 ID:iRi6rZlH0
125avastってnProと相性悪いのか・・・
別ゲームで申し訳ないけど、FEZしてる途中に数秒通信が固まるのもそこが悪いのかな。

140 名前:(○口○*)さん:07/12/26 21:53 ID:iRi6rZlH0
間違えた、>>125へのレスです。
悪いというより、CPUを局所的に食うから?

141 名前:(○口○*)さん:07/12/26 22:36 ID:tBskC8kj0
>>140 セキュスレじゃなくエラースレだった。2つ前か。一部引用してみますね。

いろんなエラーに悩まされている人の相談室 その22
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1188398830/

|262 258 sage New! 07/09/23 12:12 ID:EnTLtvey0
>>261
|いえ、Ro窓がSS撮ったみたいに前触れ無く固まって一切操作できなくなるんです。
|別の作業でのフリーズは一切無いのが不思議なんですよね・・
|Ro窓が固まるまでに立ち上げていた物は普通に使えて終了もできるんですが。
|PC自体は去年組んだ物です。HDDも6月に換えたんで多分大丈夫だと思います。

|266 125 sage New! 07/09/23 13:00 ID:AnjtFw/q0
|以前相談させて頂いた者です。
|結果から、Avastの常駐保護を切ると症状は今のところ出ていません。
|以前のPCでもAvastを使用していましたが、このような症状は出ていなかったので
|Avastは関係ないかと思っていたのですが…。
|AvastとROの相性が余りよくないのかもしれないですね。
|他のウィルスソフトの乗り換えを検討したいと思います。
|回答をくれた方ありがとうございました。

|258>>
|症状が非常に似ているようなので、一度Avastの常駐保護を一時停止して
|試してみるのはいかがでしょうか?
|常駐保護を切るのは危険なので、自己責任になりますが…。

|268 (^ー^*)ノ〜さん sage New! 07/09/24 09:55 ID:EVsMT3u70
|Avastはうちの環境でも不具合出たよ。
|症状:超重力なラグが定期的に発生する。
|はじめは回線かサーバー状況か疑ったんだが・・・
|常駐保護を解除したとたん、不具合も収まったわさw

|フリーソフトで優秀だったと思ってが相性は出る事あるね。
|Avast好きだったんだけどな。

142 名前:(○口○*)さん:07/12/26 22:36 ID:tBskC8kj0

|269 (^ー^*)ノ〜さん sage New! 07/09/24 10:11 ID:xSfDofBn0
>>258
|うちも特定のPCでそれと全く同じ症状出るな

|状況は>>264と同じく 演奏+追尾させていると時々固まって動かない。
|数分待っていると早送りのようになって今の時間に追いつくような感じに見える
|Avastが悪いのだろうか?不具合の出るPCは切ってみようかな・・・

|312 258 sage New! 07/09/28 13:47 ID:aTX97UXt0
|ウイルスソフトをavastからAVGに換えて以降、3日ほど経ちますがどうやら症状が出な
|くなったようです。
|avastのせいだったみたいですね。レス下さった方々ありがとうございました。

|462 (^ー^*)ノ〜さん sage New! 07/10/31 15:19 ID:C5qsuL+z0
>>460
|avastの常駐保護一度切ってみて。
|RO(nPro)とavastの相性が悪かろうという報告が
|このスレだけでもかなりある。

|463 (^ー^*)ノ〜さん sage New! 07/10/31 23:42 ID:Ntf6zonM0
|タスクマネージャでプロセスを睨んでるとわかる。

|avastsetupだったかなんだかが起動すると
|CPUパワーをほぼ100%持っていくんでROが激重になる。

|名前からしてavastの自動更新関係と思われる。

143 名前:(○口○*)さん:07/12/26 23:03 ID:3gPgwy360
>>138
お金が無いならフリーのAV+フリーのFWでもいいんだけど
Kasperskyを超えるFWは実は少なかったりする。
リークテスト ttp://www.firewallleaktester.com/ の集計
ttp://www.matousec.com/projects/windows-personal-firewall-analysis/leak-tests-results.php
2つ目の表でGood(バスター)以上は欲しい。
ZAやアウポなどのFree版とPro版の差に注意。

もちろん変なのを絶対に踏まない自信があるのならXP付属のFWでもいいw

144 名前:(○口○*)さん:07/12/27 01:31 ID:+aik5PVR0
>>139
どう考えてもnproが自重すべきなんだけどな・・・
avastの自動更新はリソースをバースト的に確保するから、
シングルスレッド(だったかは忘れたけど)のROとはすごく相性悪いとおもう。

前々から気になってたんで、ここ3ヶ月ぐらいAVGに切り替えて大分楽になってる。

145 名前:(○口○*)さん:07/12/27 04:11 ID:L1IjKDZv0
>>144
ラヘルかどっかから、複数CPUに分散するようにはなったようだぞ>RO

露店放置すると使用メモリがじわじわ増え続け、使用しているタスクが見えない
(つまり、nProでプロセス隠蔽しているROが食ってる)状況は相変わらずだけど。

146 名前:(○口○*)さん:07/12/27 04:16 ID:59Wsk1j30
ROしてるときにavastで手動更新すると、explorerごと固まるんだ。
自動更新なら問題ないのに。

147 名前:139:07/12/27 04:26 ID:wtJrFzEa0
ウィルスデータベースとプログラムはマニュアルで更新するようにしてます。
とりあえず、常駐保護を切って暫くプレイしてみます。他のに乗り換えるかな・・・
引用までしてもらって、ありがとうございます。

148 名前:(○口○*)さん:07/12/27 07:15 ID:AlNV6yAo0
>>126
今でこそ迅速なほうかもしれないが、IBM大和で行われている検証機能を統合する話が出ているので、今後は不透明かもしれない。
ttp://www.st.ryukoku.ac.jp/~kjm/security/memo/2007/12.html#20071221__trendmicro

>>136
大手のwin2k切り捨ても、あくまで個人向け製品に限られるけど。
法人向け製品(Corp. Edition)は、まだまだ無視できないユーザー数を抱えている関係で、当面はサポートされる模様。

おまけ:
KasperskyがExplorerを誤検出していた話。2007/12/19の配布パターン。
ttp://japan.cnet.com/news/media/story/0,2000056023,20363937,00.htm

149 名前:(○口○*)さん:07/12/27 12:35 ID:VR47tl0R0
>>148
>>48-49

150 名前:(○口○*)さん:07/12/28 03:35 ID:xbEIncodO
どこに書いていいか迷いましたがnProも関わるのでこちらに
ゲーマーズキーボード買おうと思っているんですけど使えますか?
あとマクロ扱いで不正してることになるんでしょうか…

151 名前:(○口○*)さん:07/12/28 05:51 ID:VgCc1PTk0
【      気付いた日時          】 12/22
【不審なアドレスのクリックの有無 】 未実装Wikiのクエストのリンク
【  アドレス   】
【     OS    】Windows2000
【使用ブラウザ 】IE6
【WindowsUpdateの有無】 11月末
【 アンチウイルスソフト 】 無し
【その他のSecurty対策 】 無し
【 ウイルススキャン結果】 カスペルスキーオンラインスキャンで Backdoor.Win32.Agent.dhb など発見
【テンプレの参考サイトを読んだか】 Yes
【hosts変更】 無
【PeerGuardian2導入】 無
【説明】
リンク先が明らかに中華系のものだったのでわかりました

総合スレなどで一通り見てカスペルスキーのフリー版を入れて駆除してみました
クリーンインストールはしておらず、ウィルスの駆除のみ行いました
それからROをプレイすると稀に

検知しました: リスクウェア Hidden object
プロセスを実行します: C:\WINNT\system32\SMSS.EXE

のような警告が出てきてしまい、ROが落ちてPCが固まったり
マウスが反応しなかったりといった症状が出てしまいGoogleなどで調べて見ましたが
いまいちよく把握できずどう対処していいのか判断に困ったので相談してみます
よろしくお願いします

152 名前:(○口○*)さん:07/12/28 08:31 ID:330zKs9g0
ウイルスバスターで検索した結果下のスパイウェアが見つかったのですが
コレは危険なものなのでしょうか?
インターネットのblogを閲覧中に突然

your die

という文字がFlashっぽい感じで流れて出たあと検索してみたのですが・・・

http://www.trendmicro.co.jp/vinfo/grayware/ve_graywareDetails.asp?GNAME=Adware_BestOffers

153 名前:(○口○*)さん:07/12/28 08:34 ID:AJyKM1FE0
>>150
うーん、ここも微妙に違うっちゃー違う肝。
質問スレッド その69
http://gemma.mmobbs.com/test/read.cgi?bbs=ragnarok&key=1197203982
とかどう?

>>151
>リンク先が明らかに中華系のものだったのでわかりました
いあ、だからそのアドレスが無いと判らないし、あなたには分かっても我々には
全く明らかじゃないのでアドレスも書いてくれと・・。
あればウイルスのタイプも推測できることだし。

SMSS.EXEに関しては、最初からあるものにはMicrosoftの電子署名があるから
区別がしやすいだろうけど、ウイルス除去って癌を外科手術で除去したような物だから
不安だったり自信が無ければやっぱり再インストールしかないと思う。

154 名前:(○口○*)さん:07/12/28 08:36 ID:iXDMUJGw0
>>150
使えません。nProにブロックされます。153も言ってるようにここではスレ違い気味かと。

155 名前:(○口○*)さん:07/12/28 08:47 ID:iXDMUJGw0
>>151
不審なアドレスが判らんって苦情言ってもいいよな。見に行って履歴も確認したけどなんもないし。
(アカハック業者の更新検知を避けるため、日付を更新せずに上書き修正している場合は履歴に残らないし)

対処法:OS入れなおしかPCリカバリしとけ。

理由:対処方法がいい加減、WindowsUpdateも怠っている、他になにが潜んでるかわからない。
    不具合の原因がウイルスによるものと断定する根拠が無い。

156 名前:(○口○*)さん:07/12/28 08:50 ID:iXDMUJGw0
>>152
リンク先の説明文の通りとしか言い様が無い。

同じようにいきなり表示を行なうタイプでも、表示だけするジョーク的なものから
裏でやばいものを入れてくるものまで千差万別。

亜種ではなく、そのものずばりのものが検出されたのなら、書いてあるとおりの対応しとけ。

157 名前:(○口○*)さん:07/12/28 10:27 ID:5GVHCEZ90
58 名前:(○口○*)さん[sage] 投稿日:07/12/28(金) 10:04 ID:dvMqtOBu0
http://mipagina■aol■com■mx/DinoGreene32/index5■html
こことか見るとホントPSのないWIZってクズだと思うな・・・


これ何だ?
踏んだらJavaScriptがなんとかいうウィンドウが出たから、
「このページのJavaScript」の実行を停止する」をチェックした(当方Operaブラウザ)
そのせいか、踏んでも何も起こらず
カスペルスキーは無反応
上記のアドレスをaguse.jpで調べてみたら所在地は米カンザス州
踏んだらhttp://scanner■spyshredderscanner■com/4/?advid=1507
ってアドレスが開いたんだが、こっちの所在地はモスクワだった

>>157
日本語でおk

158 名前:(○口○*)さん:07/12/28 10:54 ID:pB7Dewxs0
ハックにせよ違うにしろ
警戒心と危機感なさすぎじゃね?
踏んでからjava切ったりaguseで見たりとか遅すぎ

159 名前:(○口○*)さん:07/12/28 11:17 ID:5GVHCEZ90
まぁ、そう言われるのもやむを得まいな…

160 名前:(○口○*)さん:07/12/28 11:44 ID:/qYa7QvC0
>>157
ソースレベルで判断する限り、限りなくアダルト系。
垢ハックは入っていなくても、botnet spamの仲間入りする可能性は否定できない。
ついでに、Operaは先週に9.25がリリースされている。セキュリティ周りのアップデートが中心だが、忘れずに更新していれば幸い。

161 名前:(○口○*)さん:07/12/28 12:05 ID:rVDEFj7i0
>>157
スクリプトから飛んだ先はWinFixerやSystemDoctorやWinAntiVirusみたいな
よくあるインチキセキュリティソフトだろ。

162 名前:(○口○*)さん:07/12/29 11:25 ID:5KES4ZJV0
質問です。
PG2でブロックされたIPを調べようと、BSwikiからのIPで企業名を調べるページで見てみました

K○DIやN○Tのものは住所が千代田区なのでみて分かったんですが、
翻訳したら詳細は(アフリカがどうとかのページ)を参照…といった文面の時等、
企業名が分からない怪しいものはブロックという対応で大丈夫ですか?

ファイルチェックに関しては常駐カスペルスキーインターネット7.0.0.138と時々spybot、
他の対策としてはFireFoxとPG2、hostファイル変更です。
よろしくお願いします

163 名前:(○口○*)さん:07/12/29 12:05 ID:5ypocSPR0
>企業名が分からない怪しいものはブロックという対応で大丈夫ですか?
なにを怪しいと見るかは自己責任の判断。

全てブロックし、必要なところだけ解除していくのを推奨。

164 名前:(○口○*)さん:07/12/30 17:44 ID:nlPXE13R0
リネージュ資料室の更新情報から、差し替えがあったと思われるもの。
一応、カスペでは1つを覗いて撃墜しているが、検出率の悪い新種もあるので注意。
検体提出してきます。

ttp://777■za123■cn/cc/999■exe

ttp://www■gamesmusic-realcgi■net/
ttp://www■runbal-fc2web■com/
ttp://www■runbal-fc2web■com/web/index1■htm
ttp://www■runbal-fc2web■com/web/fudng■exe
ttp://www■runbal-fc2web■com/web/ridvi■exe

ttp://lg96■3322■org/jp/
ttp://www2■h3210■com/jp/
ttp://www■kele88■com/images/images■htm
ttp://www■kele88■com/images/images■exe


999■exe : Trojan-Spy.Win32.Pophot.za
index1■htm : Trojan-Downloader.VBS.Psyme.ds
fudng■exe : Trojan-PSW.Win32.OnLineGames.lyx
ridvi■exe : Trojan.Win32.Inject.pt
images■htm : VBS/Psyme.CY
images■exe : W32/PackJC.A

165 名前:(○口○*)さん:07/12/30 17:47 ID:nlPXE13R0
最近、サイズ0なiframeの呼び出しで、iFramEなどの大文字小文字混在を用いて、
ダウンローダ検出ブロックを回避しようと試みている様子が見受けられる。

ようやく、iframeでの0サイズで別ページを呼びだす手法が引っ掛けるようになった
セキュリティソフトも増えてきたが、このパターンだとすり抜けるケースがあるようで。

166 名前:(○口○*)さん:07/12/30 17:51 ID:eL/kWkD50
大文字小文字の区別をしていることに驚きだ

167 名前:(○口○*)さん:07/12/31 03:05 ID:Yf4/dNQ50
ROの垢ハックに関してはどのセキュリティソフトが一番信頼性高いのかな
今バスターだけど何か最近OSが不安定。
試しに一度バスターをアンインストールしたら途端に安定するし
いいのがあったらそっちに乗り換えようかと思う

168 名前:(○口○*)さん:07/12/31 03:31 ID:R01aNOfL0
一応、これについても貼っておくな。
ttp://www13.atwiki.jp/burakura_hdd/

169 名前:(○口○*)さん:07/12/31 06:26 ID:gJXJ7w0q0
>>168
何のサイトか書かないと不安に思われるから書いてくれ

ちなみに>>168は今話題のHDDフォーマットするブラクラの対策まとめページ

170 名前:(○口○*)さん:07/12/31 11:59 ID:NvTEqKX30
あほらしい質問かもしれませんが調べても不明だったので聞いてみます。

カスペに乗り換えて、スキャン高速化のために新規・変更ファイルのみスキャンの設定にしました。
この場合例えば、0:00分の次点で定義されてなかったウイルスAに感染したとします。
そして完全スキャンを実行、Aは発見されなかったとします。
1:00分でAに対する定義ファイルが更新されたとします。
その定義ファイルを更新後、再び完全スキャンを実行した場合Aは検出されるのでしょうか?

171 名前:(○口○*)さん:07/12/31 12:53 ID:3eo+cdTW0
>>170
されない可能性が高い。手動でそのファイルorフォルダ指定で検出かければ出てくると思うけど。

172 名前:(○口○*)さん:07/12/31 12:54 ID:3eo+cdTW0
あ、でも、実行しようとメモリにロードした時点で検出してブロック&削除は働くはずなんで
完全にすりぬける訳ではないよ。

173 名前:(○口○*)さん:07/12/31 13:09 ID:NvTEqKX30
回答ありがとうございます。
たまにはチェック外して完全スキャンもすることにします。

174 名前:(○口○*)さん:07/12/31 14:55 ID:7Uv7RIuF0
IEでは拡張子をjpgにしたgif画像をjpgとしてではなくgifとして再生する
グロやホラー画像を付けたGIFアニメを開かせる精神的ブラクラがあったりする

175 名前:(○口○*)さん:07/12/31 15:47 ID:CyhKFsDl0
すんません、数ヶ月ぶりにRO復帰しようと思うんで入る前に聞きたいんですけど、
ちょっと調べてみたところJavaScriptもオフ推奨って書いてるとこ見かけるんですが、
スクリプトだけでも感染するような新種がでてるんですかね?
私的にはアプレットとかActiveXは危ないと思うからROしてなくても常時オフってましたが
JavaScriptも危ない時代になっちゃってるんでしょうか?

176 名前:(○口○*)さん:07/12/31 15:50 ID:5WChpHSZ0
昔から危ない時代だったが正しい

ただOFFにしちゃうと見れないサイトが出てくるから、サイト毎に
ON/OFF出来るツール等を入れるのがいいよ

177 名前:(○口○*)さん:07/12/31 15:51 ID:HwNBmafM0
wikiでこのアドレス踏んでしまったんだけど
http://nmmdbi■blog22■fc2■com/

中身は11の内容で以前は中華系のサイトがあったらしいけど
垢ハックの可能性あるかわかる方法ってあります?

あと対策で一番いいのは今の所カスペ?

178 名前:(○口○*)さん:07/12/31 16:00 ID:CyhKFsDl0
>>176
早レスどもです。
SleipnirでJavaScript以外は常時オフしてるから普段はJavaScriptしかオンになってないんですけど、
ぶっちゃけこれだけで感染させるのって原理的に可能なのかなあと思いまして。
一応カスペルスキーやその他のウィルスソフトでも何にもでなかったんだけどやっぱりクリーンインストールしてからやる方がいいのかなぁ・・・

179 名前:(○口○*)さん:07/12/31 16:07 ID:7Uv7RIuF0
原理的にどうだろうと人が扱う以上はあり得ないとは言い切れない
現状で大丈夫とは誰も保証できないので
可能性を疑うならクリーンインストールお勧め

180 名前:(○口○*)さん:07/12/31 16:26 ID:CyhKFsDl0
>>179
なるほど、そういうことですか。
レスどもでしたー

181 名前:(○口○*)さん:07/12/31 16:38 ID:02R5Cfmh0
>>177
iframe無いし、記事も1つも無い。1ヶ月放置広告も出てる。
たぶん無害。
どのアンチウイルスがいいかは主観が混じるのであれだが
個人的にはKasperskyかAntiVir。

182 名前:(○口○*)さん:07/12/31 16:44 ID:R01aNOfL0
>>169
すまん。次からは書くようにする。

183 名前:(○口○*)さん:07/12/31 20:25 ID:3eo+cdTW0
>>177
※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※
※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※
※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※
※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※
※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※

184 名前:(○口○*)さん:07/12/31 20:46 ID:19YEauKZ0
>>183
もうさテンプレに2chのそのスレのリンクはっておいたほうがいいのかねえ

185 名前:(○口○*)さん:08/01/01 09:46 ID:JeS+ubCH0
アカハック検体捕獲クエストの結果を報告します。

リネージュ資料室さんの更新情報から検体確認。
12/30とかにも差し替え発生してたようで。業者さん頑張ってます。
(systemin.scr 12/30のVirusTotal結果ではカスペすりぬけ→今日のパターンで検査 撃墜)

ttp://www■dyparagon■co■kr/gon/h■htm
ttp://www■dyparagon■co■kr/gon/m■htm
ttp://www■dyparagon■co■kr/gon/real■htm
ttp://www■dyparagon■co■kr/gon/gmsex■exe

ttp://www■maplestorfy■com/lunimkabuges/
ttp://www■maplestorfy■com/holy_immortals/tals2/main■htm
ttp://www■maplestorfy■com/holy_immortals/tals2/Ms06014■htm
ttp://www■maplestorfy■com/holy_immortals/tals2/weie■exe

ttp://www■twurbbs■com/
ttp://www■twurbbs■com/systemin■scr

real.htm : JavaScript.CodeUnfolding.gen!High (suspicious)
gmsex■exe : Trojan-PSW.Win32.OnLineGames.mpw
weie■exe : Trojan-PSW.Win32.OnLineGames.mmp
systemin■scr : Win32:OnLineGames-BKJ
systemin■scr/maikmr■exe : Trojan-PSW.Win32.OnLineGames.mpk

real■htmはリアルプレイヤーを利用する奴かな。

そのままのhtmlでは引っ掛からない。t=〜をVB Scriptでキャラクターに変換するいつものパターン。
区切り文字を,ではなく|にしたり、そのままキャラに変換するのではなく、配列の数値-6したものを
変換するとか一手間余分にかけている感じ。ダウンロード用スクリプトの入ったhtmlも最近提出して
セキュリティソフト側のパターンに入り始めているから、こっちも検出避けを始めたのかなという
雰囲気。いたちごっこですねぇ。real■htm を検出できるのは、確認時点のVirusTotalで、
Webwasher-Gateway だけだったり。t=〜の文字列を解体(解読と言うほど高尚なもんじゃない)した
結果の文字列をかけると4社程で検出可能になります。

186 名前:(○口○*)さん:08/01/01 09:56 ID:JeS+ubCH0
gmsex■exeが、リネージュ資料室さんのリストでは、exe単体になってたので
呼び出し元を確認するために「dyparagon」でぐぐって見ました。

※※※ 迂闊にドメイン名全部でぐぐると、ちょくせつそのサイトのTOPページを
※※※ 開こうとするので大変危険です。ご注意下さい。

# Malware Block List - http://www.malware.com.br
# Generated at: 20080101002027 UTC

とか言うものが出てきて、その中に、このサイトのドメイン名が含まれていました。

アカハック以外のものも含んでいると思いますが、防ぐべき対象のリストとして
結構有効に感じました。TOPページから、新規登録要請のフォームもあるようだし
これ、上手く活用できないかな。

ttp://www.malware.com.br/cgi/submit-agressive?action=list&type=agressive

187 名前:(○口○*)さん:08/01/01 12:56 ID:sC4hBMya0
>>185
ま、スクリプトに関しては6引いたのをブロックできたとして
6足したら? 5引いたら? とか正直言ってきりがないので
バイナリのみ阻止できりゃいいやというスタンスで
バイナリしか検体送ってないです。

188 名前:(○口○*)さん:08/01/01 12:58 ID:sC4hBMya0
アカハックとは関係ないけど、Happy New Year 2008みたいなのが
メールでバンバン届いてるので注意。
ttp://www.avertlabs.com/research/blog/index.php/2007/12/24/merry-christmas-nuwar-style/
ttp://www.avertlabs.com/research/blog/index.php/2007/12/25/and-a-happy-nuwar/
ttp://blog.trendmicro.com/happy-stormy-new-year/

189 名前:(○口○*)さん:08/01/02 09:37 ID:z9fTc/Vr0
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/235

総合スレから移動

>235 (^ー^*)ノ〜さん sage New! 08/01/02 09:19 ID:dSlhvypO0
>>一般的なセキュリティ対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。
>前から思ってたが「総合対策スレ」なのに
>なんで対策まで隔離されるという変な事態になってるんだろ?
>
>>※ ネタや程度を超えた雑談・脱線はご遠慮ください
>あと、即誘導コピペを貼る潔癖症の人は
>度が過ぎなければテンプレ許容範囲だということも覚えておこうね。

一部、読み落としてやしませんかね。理由もちゃんと書かれてますよ。
誘導してんのは潔癖症という以上に、セキュスレの方がコメントし易いって事情もある。

|重要な情報が埋れてしまわないようにする為、一般的なセキュリティ

相談・分析・対策・一般話題・雑談がごちゃまぜになり、使いにくくなった為に、相談の上
セキュスレ(雑談スレ)が分離された。その後、相談への対応も、セキュスレが適当って
ことになってきてる。

総合スレが、まとめの役割を果たしてるかどうかってことはちょっと疑問だけどね。

190 名前:(○口○*)さん:08/01/02 11:23 ID:o2GLY2mF0
やっぱりあそこを雑談おkのこのスレ状態にして、
URL情報はもう一個にゅ缶に別スレ建ててもらってのスタイルのがいいかなぁ?
やっぱりにゅ缶の方が目に付くし、危機を感じた人は「ハック」とかで検索すると思うし。

191 名前:(○口○*)さん:08/01/02 11:34 ID:z9fTc/Vr0
>>190
RO板、LiveRO板TOPの誘導はちゃんとセキュスレになってるよ。

192 名前:(○口○*)さん:08/01/02 11:44 ID:o2GLY2mF0
あるけど、専ブラが多くて見れないor気付かない人って多いんじゃないかねぇ

193 名前:(○口○*)さん:08/01/02 12:32 ID:z9fTc/Vr0
それはそれで総合スレのテンプレ読めで済ます所かと。

194 名前:(○口○*)さん:08/01/02 12:51 ID:SQWk5P5j0
散々言われてるが向こうのスレタイが紛らわしいからな
アカウントハックURL収集所みたいにしたほうがいいんじゃまいか
こっちのスレもスレタイにアカウントハックの文字いれたいけど長すぎるかw

195 名前:(○口○*)さん:08/01/02 13:22 ID:z9fTc/Vr0
総合スレ236
>いろんな角度から対策を検討するスレであって、対策方法を聞きにくるスレではない。
>というのが私の認識だけど、あってる?

対策を聞きに来るスレじゃないってのは同意。こっちのセキュスレが担当。
対策の検討も…セキュスレぽい気がする。

検討の結果を貼り付ける、アカハックと断定できている事例について、危険アドレスなどを
まとめる人が確認しやすいような仕方で書いておくスレになってるかな>総合スレ

正しい使い方というか、有効な使い方かどうかは疑問の余地があるけど。
前スレ末尾に出てきたように、スレの使い分けは、まだ完全に固定化できてないので
こっちで話し合って、その結果をゆっくり反映させていく方向じゃないかな。

196 名前:(○口○*)さん:08/01/02 18:19 ID:PLIKX+WC0
誘導されて参りました。
すみません、どなたかご教授ください

www■noely■blog88■fc2■com/blog-entry-249■html

上記のサイトを踏んだら変なエフェクトと英文字が出てきて消えたのですが、
ハック等の恐れはありますでしょうか?

197 名前:(○口○*)さん:08/01/02 18:55 ID:KBF2MwwD0
質問があるので書き込ませていただきます。

【      気付いた日時          】 1/1
【不審なアドレスのクリックの有無 】 RO.Engineでサイト閲覧中にクリック
【  アドレス   】http://solarer■blog34■fc2■com/
【     OS    】WindowsXP Home SP2
【使用ブラウザ 】Sleipnir2.6.1
【WindowsUpdateの有無】 常時確認(自動通知が表示されたらすぐ更新)
【 アンチウイルスソフト 】 ウイルスバスター2007(今年8月末まで更新済み)
【その他のSecurty対策 】 オンラインスキャン
【 ウイルススキャン結果】 下記に詳しく書きます。
【テンプレの参考サイトを読んだか】 YES
【hosts変更】無
【PeerGuardian2導入】アドレスを踏む前は無。クリーンインストール後に導入。
導入するとき、リネージュ資料室とROアカウントハック報告スレのまとめ?サイト
を参考に設定を行いました。
【説明】
上記アドレスを踏んだ瞬間、ウイルスバスターの常時ウイルススキャンが
反応。「VBS_PSYME.BFYを隔離しました」というポップアップが現れました。
その後、隔離されたファイルを削除しました。
そのときはそれで終わるつもりだったのですが、ROサイトでのこともあり、上記
アドレスのソースチェックと、テンプレの危険ホストを照らし合わせてみると、
www■teamerblog■com/blog/ という危険サイトが仕込まれていることがわかり、
すぐに回線を抜きました。

前置きが長くなってしまいましたが、ここからが質問です。
クリーンインストールを行った後、ROのパスワード変更・ROへのログインを行った
のですが、PG2でブロック履歴が出てしまいました。
名前が「Korea」「Taiwan」となっており、送信元が無線LANのルーターのアドレスに
なっています。
これはまだトロイが取り除けてないということなのでしょうか? スレ内を検索してみ
ましたが、いまいち分からないので質問させていただきました。

198 名前:まとめ臨時 ◆kJfhJwdLoM:08/01/02 19:30 ID:ryn7Nvy90
>>196
素人ながら上記アドレスをソースチェッカーとaguse.jpで調べてみました。
なにやら自動転送でFC2のブログサイトに跳んでいるみたいです。
ソースで手繰ってみても変なものは見当たらなかったですが
罠URLやら変なものは特に何も無いと思われます。
それ以上のものが仕込まれていたら当方判りません。

あとソースチェッカーの右下の方に出るキャッシュの文字に
"何か適当なブログ"とありましたのでふと聞き覚えがあったので思い当たり
Googleで検索をかけるとダブルメギン持ちの日記サイトが出てきました。
ttp://noely■blog88■fc2■com

どこのサイトで記述されたURLを踏んだのか判りませんが
単にアドレスの記入ミスでFC2のブログページに転送した時の挙動や
広告ブロックリストに登録されている部分があるようなので、
そこで引っかかったのかも?

心配ならカスペルスキーオンラインスキャンの実行と
PG2やhosts対策をテンプレを読んで試してみてはいかがでしょうか?

199 名前:(○口○*)さん:08/01/02 19:35 ID:z9fTc/Vr0
総合スレ238
>>196
存在しないので、fc2のエラーページに飛ばされるだけ。
転送しますって表示のページに文字コードが指定されていないので文字化けしただけだろ。

200 名前:(○口○*)さん:08/01/02 19:42 ID:z9fTc/Vr0
>>197
>名前が「Korea」「Taiwan」となっており、送信元が無線LANのルーターのアドレスに
>なっています。

サイトの閲覧(WikipediaやPC部材のメーカー等でも)をした際にブロックされる可能性はあります。
安全である保証はできませんので、ブロックされたIPの所有者を確認するなどの方法で
自分で判断することをお勧めします。

IPがどこのものかチェックするのに、わたしはこんなページを利用しています。
http://www.iphiroba.jp/ip.php

殆どのアカハックは中国宛になると思いますので、関係無いサイト等の表示や
各種アプリが、起動時に最新情報をチェックする時などをブロックした履歴かも
しれません。ブロックしたIPにもよりますが、スレのテンプレにあるアドレスが
失効したドメインだったりすると、ブロック履歴に残ることがあります。

201 名前:まとめ臨時 ◆kJfhJwdLoM:08/01/02 19:58 ID:ryn7Nvy90
>>ttp://noely■blog88■fc2■com
でもaguse.jpで表示されるスクショはなぜか真っ暗なんですよね…。
何かワンクッション在るのかなあ・・・とか。

>>197
HDDを完全フォーマットするクリーンインストールをした後で
罠サイトを踏んでいなければ問題は無いはずです。
ただ…当方PG2を入れていますがアトラクションセンターに跳んだ時に
PG2でガードされたことがなかったりします。

なので安心できる回答をすることが出来ませんが
PG2でブロックされるIPが >>3 に書かれているPG2用RO許可リストのIPであれば
許可してしまってよろしいのかも…?
いい加減なレスで申し訳なく。

もっとえらい判る解説できる人よろしくお願いします。

202 名前:まとめ臨時 ◆kJfhJwdLoM:08/01/02 20:10 ID:ryn7Nvy90
>>199-200
簡潔ですごい判りやすいレスが。本当にありがとうございます。

蛇足ですが、まとめ臨時でまとめてあるアドレスも
失効された物について確認や削除はしていなかったりします。

203 名前:197:08/01/02 20:22 ID:KBF2MwwD0
 レスありがとうございます。

>>200
 ブロックされたIPを、教えていただいたサイトで検索してみました。
 どうやらスパムなどでよく使われる有名なドメインらしく、中にはどこかの大学
の名前まで出てきました。
 油断はできないですが、ちょっと気分が楽になりました。

>>201
 クリーンインストール後は、ROに関係したブログサイト自体を見ることを自粛
していますし、見ていて「おや?」と思ったこともないので、多分大丈夫だと思い
ます。

>>ただ…当方PG2を入れていますがアトラクションセンターに跳んだ時に
>>PG2でガードされたことがなかったりします。
 ブロックされたときは、RO終了後〜ブロックに気づくまでの間だったような気が
します。アトラクションセンターでは特に問題はありませんでした。

>>PG2用RO許可リスト
 先ほどからウィキペディアなどでもはじかれてしまうので、様子を見ながら設定
してみようかと思います。
 
 こういったことは初めてだったので、ちょっと神経質になりすぎていたかもしれま
せん。安全かどうかは、もう少し様子を見てから判断したいと思います。
 答えてくださった方、ありがとうございました。

204 名前:(○口○*)さん:08/01/02 21:48 ID:PLIKX+WC0
>>198 >>199

お返事ありがとうございます。
URLは
http://noely■blog88■fc2■com/blog-entry-249■html

でした。張り間違えてすみません。

安全なブログサイトという事で大丈夫そうですね。
どうもありがとうございました。お手数おかけしました。

205 名前:(○口○*)さん:08/01/03 16:07 ID:OgA177iD0
ウイルスバスター2008を使ってるんですが、ウイルスを検索して、検出数〜件
と出ているのに、検索終了後の処理済数では、〜より1件少ない処理数が表示されることがあります。
セキュリティホールではないようなんですが、これってどういうことなんでしょうか?
曖昧な質問で申し訳ないですが、ご存知の方がいたら回答をお願いします。

206 名前:まとめ臨時 ◆kJfhJwdLoM:08/01/04 03:20 ID:9beCuvhb0
「ウイルスバスター2008 処理済数」でGoogle検索をかけると
二件目にこのような記事が。

http://aol.okwave.jp/qa3527830.html

207 名前:まとめ臨時 ◆kJfhJwdLoM:08/01/04 03:35 ID:9beCuvhb0
>>205
アンカー付け忘れていました。上の記事がそんな感じです。

208 名前:(○口○*)さん:08/01/04 03:38 ID:YAEYMR/Y0
【      気付いた日時          】 1月4日1時頃
【不審なアドレスのクリックの有無 】 クリック有り 
【  アドレス   】http://www■irisdti-jp■com/blog/
【     OS    】WindowsXP Home SP2
【使用ブラウザ 】OPERA 9.25
【WindowsUpdateの有無】 常に最新。自動更新しても更新物無し
【 アンチウイルスソフト 】 AntiVir PersonalEdition Classic
【その他のSecurty対策 】 Spybot S&D、PC TOOL FIREWALL PLUS、非常駐でAD-Aware
【 ウイルススキャン結果】 AntiVirにて、'HTML/Infected.WebPage.Gen' [virus]発見
【テンプレの参考サイトを読んだか】 今から読みます
【hosts変更】
【PeerGuardian2導入】無
【説明】踏んだ直後にAntiVirの警告を受け、Deny Accessを選択。
すぐにスキャンし発見したのを削除。
別PCにてID等変更済み。
一昨日スキャンした際には何も発見されなかったのですが、これで駆除しきったと言えるでしょうか?


気づいたらこんな時間に・・・orz

209 名前:208:08/01/04 03:43 ID:YAEYMR/Y0
>【WindowsUpdateの有無】 常に最新。自動更新しても更新物無し
× 自動更新
○ 手動更新


ついさっきSpybotのスキャンも完了。
virtumonde[13]、virtumonde[46]でチェック中にエラーが発生したほかはスパイウェア無し。

210 名前:まとめ臨時 ◆kJfhJwdLoM:08/01/04 04:16 ID:9beCuvhb0
確実に安心安全な状況にしたい場合は
テンプレの >>6 に在りますようにクリーンインストールしたほうが確実です。

既出の罠サイトですし駆除できた可能性もありますが
定評のあるカスペルスキー等でも
仕込まれていたウイルスが差し替えられたり、
新種になっていたりしてすり抜けられてしまう可能性等もありますし
こちらからはPCから駆除しきれたかどうか確認が出来ないので
確実なOSの入れなおしが推奨されています。

211 名前:(○口○*)さん:08/01/04 06:35 ID:U+8cEfy70
>>208
>一昨日スキャンした際には何も発見されなかったのですが、これで駆除しきったと言えるでしょうか?
駆除できた可能性は高いが保証はできない。

212 名前:(○口○*)さん:08/01/04 06:55 ID:U+8cEfy70
>>208
テンプレに沿った適切な相談に好感を持ったので、ちょいと調べて見ました。

ttp://www■irisdti-jp■com/blog/
ttp://www■caremoon■net/blog/index1■htm
ttp://www■caremoon■net/blog/send■exe
ttp://www■caremoon■net/blog/f2■exe
ttp://www■caremoon■net/blog/reak■exe

AntiVirでの検出名
index■htm : HTML/Infected.WebPage.Gen
index1■htm : HTML/Dldr.NSAnti.B
send■exe : TR/Copiet.B.1
f2■exe : TR/Spy.Agent.ash
reak■exe : TR/PSW.Magania.bph

呼び出し順序
->index■htm
-->index1■htm
--->send■exe
--->f2■exe
--->reak■exe

>>208の投稿を見ると、ブロックしたのは'HTML/Infected.WebPage.Gen'なので
一番最初のindex.htmでブロックしている。その次のダウンローダや本体までは
入手していないと見るのが妥当。(保証はできないけど、多分、安心して良い)

踏んだ時刻が1:00頃で、この検体を確認したのが6:40頃なので、差し替えが
あった可能性はあるが、VirusTotalにかけたところ、全く同一(MD5が等しい)の
ファイルを確認した履歴が残っており、確認日もそれなりに古い為、今回は、
差し替えられていないと思う。ファイルの日付も12/24だし。
(f2■exeがよく差し替えられるが、VirusTotalで1/3に確認されているものとMD5一致)

参考までに、VirusTotalにかけた結果。
index■htm:ttp://www.virustotal.com/analisis/1562cdd16d440377c715584c72cc0f04
index1■htm:ttp://www.virustotal.com/analisis/0a5ad61be2df5402628713274052bd0e
send■exe:ttp://www.virustotal.com/analisis/265f87493774a98b3a924ce7d200bcc4
f2■exe:ttp://www.virustotal.com/analisis/866ccf90e821f152ff6ebd862ef8dbc3
reak■exe:ttp://www.virustotal.com/analisis/9c7567b17ac97eacf721f7e31ad3acb8

213 名前:(○口○*)さん:08/01/04 11:03 ID:U+8cEfy70
リネージュ資料室の更新情報より。最近更新されたもの。

systemin■scrはカスペすりぬけ。各社に検体提出済み。
他のセキュリティソフトも、ファイル差し替えで検知できなくなっている可能性あり。

ttp://777■za123■cn/cc/999■exe
ttp://mail■8u8y■com/ad/pic/temp■exe
ttp://u■uu500■com/a8da234k8asdf■exe

ttp://www■hosetaibn■com/cgi-bbs/
ttp://www■mebertw■com/cgi-bbs/
ttp://www■qyytw■com/jpt1/main■htm
ttp://www■qyytw■com/jpt1/real■htm
ttp://www■qyytw■com/jpt1/Ms06014■htm
ttp://www■qyytw■com/jpt1/test■cur
ttp://www■qyytw■com/jpt1/jpt1■exe

ttp://www■twurbbs■com/
ttp://www■gamanir■com/systemin■scr

214 名前:(○口○*)さん:08/01/04 11:13 ID:QxLfcE9B0
8u8y(略)temp■exe って落ちてくる? こっちでは「This domain has been blocked」。
資料室でも(exeならapplication/octet-stream)のはずなのにtext/htmlになってる。
頻繁に更新チェックしてる俺らだけ蹴られたのか、単純に海外総蹴りなのか…。

215 名前:(○口○*)さん:08/01/04 11:26 ID:U+8cEfy70
>>214
ダウンローダで落としたら来たよ。hosts辺りでブロックしてない?

8u8y(略)temp■exe
カスペ検出名:Backdoor.Win32.Agent.dev
AntiVir検出名:TR/Crypt.FKM.Gen
http://www.virustotal.com/analisis/dcaed977059f951d043d1f9f866beb0c
VirusTotalではPrevx1以外は全ソフトで撃墜してるので、さほど心配する事ないかも。

んでもって、カスペさんから返答。カスペでも、ようやく0サイズのifram呼び出しがブロック対象かな。
index.htmk - Trojan-Downloader.HTML.IFrame.dd,
systemin.scrk, maikmr■exek - Trojan-PSW.Win32.OnLineGames.myi,
index.htmk - Trojan-Downloader.HTML.IFrame.de

ttp://mail■8u8y■com/ad/pic/temp■exe
こっちは、悪性のコードなしだそうな。VirusTotalでも全ソフトでスルーしてる。

216 名前:(○口○*)さん:08/01/04 11:54 ID:QxLfcE9B0
ブロックはしてない。
あちゃー、資料室や俺が蹴られてるのかw
(ISPはOCN)。他の人に任せます。

217 名前:(○口○*)さん:08/01/04 13:01 ID:U+8cEfy70
総合スレ241
寝言は寝て言えやw ROのアカハックじゃないからセキュスレ行けという意図なのか?

>>216
検体入手ブロックされてんのかって思える時もあるけど、リトライ繰り返させれば
大抵は落ちてくるんだが。

「This domain has been blocked」ってメッセージは見た事無いが、プロクシか
セキュリティソフトのWebフィルターで危険なドメインとしてブロックしてないだろうか。
多分、なんかのフィルタがかかってると思うぞ。

218 名前:(○口○*)さん:08/01/04 14:14 ID:U+8cEfy70
総合スレ243
スレの方針・使い分けについての話はこっちが担当ですよと。

219 名前:205:08/01/04 14:16 ID:tnGBhVWC0
>>206 >>207
質問は友人宅のPCからしたのでID変わってますが…
なるほど、同じのが検出されているってことなんですね。
てっきり2008で処理できないウイルスかと…
わかりやすい回答ありがとうございました!

220 名前:(○口○*)さん:08/01/04 15:37 ID:QxLfcE9B0
>>217
mail■8u8y■com/ad/pic/temp■exe
これ落としてメモ帳で見るとただのテキストで
「This domain has been blocked」ってなってない?
なってないなら俺とかの一部ホストが蹴られてる
(IrvineでもWWWDでのHTTPヘッダ取得でも変わらん)。
検体収集PCなのでXPSP2付属のFWしか使ってないし
ISP側でのオプションも設定せずhostsもXPインスコ時のまま。

221 名前:(○口○*)さん:08/01/04 15:53 ID:U+8cEfy70
>>220
あ、なってた。28バイトだし、そこまで見てなかったな。道理で危険なコード入ってない訳だ。

222 名前:(○口○*)さん:08/01/04 16:00 ID:QxLfcE9B0
>>221
んじゃ国外蹴ってるのかもね〜。VirusTotalに投げたんかいw

223 名前:(○口○*)さん:08/01/04 16:11 ID:U+8cEfy70
ドメインからIP検索かけて見た。出てきたIPの管理者はカナダのものらしい。

どうやら、ドメイン失効(メッセージからすると停止?)に伴って、ファイルが見えなくなって、
リネージュ資料室の更新チェックで変化があったと検知しただけぽい。

Comment: ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE
RegDate: 2001-01-04
Updated: 2006-11-20
# ARIN WHOIS database, last updated 2008-01-03 19:10

復活しなければ、mail■8u8y■comはhosts等から外しても良さそうだが、入れっぱなしでも
実害はないので放置していいと思う。

224 名前:(○口○*)さん:08/01/04 16:12 ID:U+8cEfy70
>>222
うむ。なーんも考えずに検体提出の中にも混ぜといた(笑)
各社の担当者の皆さん、ごめんなさい。

225 名前:(○口○*)さん:08/01/04 17:11 ID:jL6lBza30
858 名前:(^ー^*)ノ〜さん[sage] 投稿日:08/01/03(木) 23:08 ID:PA8IQZey0
http://www.mmobbs.com/uploader/files/3999.jpg

859 名前:(^ー^*)ノ〜さん[sage] 投稿日:08/01/03(木) 23:36 ID:xMgjcLNz0
暫くスレの反応見てからじゃないと押せない俺が居る

860 名前:(^ー^*)ノ〜さん[sage] 投稿日:08/01/03(木) 23:42 ID:u1BWyxuS0
jpegは最近ウィルスの可能性高いから怖いよな
中身はちょっと前にボススレやバグスレで釣りに張られてた、不良在庫の血鉄球を大量に持ってるだけのSSだ

861 名前:(^ー^*)ノ〜さん[sage] 投稿日:08/01/03(木) 23:42 ID:FUcxUz9v0
>>859
>>858はアカハックだから気をつけてね

jpgだから大丈夫だとおもったのにorz
何も言わずにURLだけ書いてるなんて怪しすぎると気づけよ、俺


本当にまったく無知なんだがこれって垢ハクですか?

226 名前:208:08/01/04 17:14 ID:YAEYMR/Y0
>>210 >>211 >>212
丁寧かつ迅速な回答ありがとうございます。
index■htmからさらにメインのとなるトロイがダウンロードされるのですね。

意味があるかは分かりませんが、一応踏んだ時間前後のSpybot-SD Residentのログを晒してみますと、
2008/01/03 18:40:32 許可 (based on user decision) value "{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}" (new data: "") 追加 in Browser Helper Object!
2008/01/04 15:41:29 許可 (based on user decision) value "PeerGuardian" (new data: "C:\Program Files\PeerGuardian2\pg2.exe") 追加 in System Startup user entry!
2008/01/04 15:41:33 許可 (based on user decision) value "SunJavaUpdateSched" (new data: ""C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"") 追加 in System Startup global entry!
3日の奴がちょっと気になりますが、少なくとも4日深夜以降にレジストリをいじられてはいない?

今後の対策としてPG2によるhostsの導入をしてみました。

227 名前:(○口○*)さん:08/01/04 17:15 ID:Ymz0jrKt0
とりあえずLisa鯖と言うことだけ判った

228 名前:(○口○*)さん:08/01/04 17:24 ID:U+8cEfy70
※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※
・危険性があるURLは必ず「.」を「■」に置き換えて貼り付けください。

229 名前:(○口○*)さん:08/01/04 17:25 ID:QxLfcE9B0
>>225
違う。ただのjpg画像(HTTPヘッダでContent-Type: image/jpeg)。

230 名前:(○口○*)さん:08/01/04 17:31 ID:U+8cEfy70
>>225
単純に答えてもしょうがないのでテンプレから引用しとく

|  ・偽装jpg対策(IE7とIE6SP2限定。IE6SP1以前では出来ない)
|   :インターネットオプション→セキュリティ→レベルのカスタマイズ
|    →「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする

この設定をしておけば、HTMLを偽装jpegで開こうとして、罠を発動させることはなくなる。
(脆弱性を付く場合は別として)

>>225のような嘘情報で惑わされるような奴は、テンプレ読むことからやっていこうな。

231 名前:225:08/01/04 17:42 ID:jL6lBza30
ここの住人の優しさに泣いた
丁寧に答えていただきありがとうございました
勉強してきます

232 名前:(○口○*)さん:08/01/04 20:44 ID:av7/Fth20
PeerGuardian導入してみたんだけど
RO垢ハックまとめのリストとLineage資料室の2つ
ついでにググルで見つけた中韓香のIPリストの計4つを登録したら
ブロック数が9億近くになってるんだけどこれで正常なの?

233 名前:(○口○*)さん:08/01/04 20:46 ID:Ymz0jrKt0
RO垢ハックまとめリストは登録してないけど、約1.6億あるな

234 名前:(○口○*)さん:08/01/04 20:53 ID:av7/Fth20
dクス。
中韓香リスト無効にすると1.6億弱だからこれでいいのかな。

235 名前:(○口○*)さん:08/01/05 02:34 ID:TJBEulRc0
【      気付いた日時          】 1/4
【不審なアドレスのクリックの有無 】 有。思いっきり踏んだ・・
【  アドレス   】www■articlelin■com/wiki/
【     OS    】WindowsXP Home SP2
【使用ブラウザ 】IE6.0 SP2
【WindowsUpdateの有無】 有。手動で試しても最新
【 アンチウイルスソフト 】 McAfee VirusScan
【その他のSecurty対策 】 カスペルスキーオンラインスキャン
【 ウイルススキャン結果】 上二つどちらも検出無し。
【テンプレの参考サイトを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
初めに踏んだ際に、表示に時間かかるなーと思っていたら
「ページを表示できません。」になる。(このときマカフィー反応無し)
しかし30分後ぐらいに二度目踏んだ際に警告がでる。内容は「コンピュータ上で実行されている
スクリプトから項目が検出され、削除されました。検出名:VBS/Psyme(ウイルス)」
といった感じ。

その後念のためスキャンするも検出無しだったんですが
一度目に反応なかったので不安なのですが大丈夫でしょうか・・

236 名前:(○口○*)さん:08/01/05 07:49 ID:3PtTw2DI0
>>235
>一度目に反応なかったので不安なのですが大丈夫でしょうか・・
誰も、大丈夫ですという保証はできません。可能性があるかどうかという観点で指摘できるだけ。
最初に踏んだ後、検知する前までの間に、パスワード入力とかしてたら、危険な状態である可能性が
ありますので、安全な環境からのパスワード変更をお勧めします。

安全な環境の作り方はテンプレ参照。

ttp://www■articlelin■com/wiki/
ttp://www■panslog■net/wiki/index1■htm
ttp://www■panslog■net/wiki/send■exe
ttp://www■panslog■net/fc2/cery■exe
ttp://www■panslog■net/wiki/reco■exe

->index■htm
-->index1■htm
--->send■exe
--->cery■exe
--->reco■exe

index1■htmのマカフィーでの検出名が「VBS/Psyme」

二回目に関しては、メッセージからすると、このダウンローダをブロックしている筈なので、
下3つの本体入手に至っていない可能性は高い。(VirusTotalに投げた結果は、12/31に
投げたものと同一で、その時点でマカフィーで検知可能だったということになっていた)

一回目に関しては、タイムアウトでindex1■htmの表示に至ってすらいなかった
「可能性はあるが、保証できない」。危険な状態の可能性もある
(最初のindex■htmが差し替えられており、飛ばし先が別だった可能性もある)

237 名前:(○口○*)さん:08/01/05 07:49 ID:3PtTw2DI0
(続き)
マカフィー/カスペの検出名
index■htm : AntiVirでは検知するが、他社は殆ど無視する。
index1■htm : VBS/Psyme / Trojan-Downloader.VBS.Agent.hi
send■exe : PWS-Lineage.dr / Trojan-PSW.Win32.Delf.aih
cery■exe : New Malware.aj / Trojan-PSW.Win32.OnLineGames.lyx
reco■exe : − / Trojan.Win32.Inject.ms

reco.exeについては、VirusTotalの表示だと12/25のスキャンではすり抜け。
再スキャンさせた所、現在のパターンでもすり抜けている。12/28に検体提出して
いるものと同じなので、多分、もう暫くすれば対応するとは思うのだが・・・
(こいつはNOD32もすり抜けています)

もし、本体を踏んでいた場合でも、カスペのスキャンなら全部撃墜できる筈。
だから、発動させた後に、検知阻害のなにかが働いていなければ、何も出てこないなら、
安全な「可能性」はある。しかし、保証はできない。
(アドレスが差し替えられていた場合、検知できない何かを入れられていることも
十分にあり得る。早ければ5分で差し替えとかあるし)

不安が残るならOSの入れなおしから。
上記の確認情報を見て、安全である可能性を信じるなら、自己責任でどうぞ。
(盲目的に)信じるものは、(足元を)救われます。

238 名前:(○口○*)さん:08/01/05 18:40 ID:M31FL7Dw0
ttp://www.st.ryukoku.ac.jp/~kjm/security/memo/2008/01.html#20080105_RealPlayer

RealPlayer11にバッファオーバーフローの脆弱性があるらしい
パッチはまだない

239 名前:235:08/01/05 22:24 ID:TJBEulRc0
>>236,237
やはり不安なのでパス変更とOSの入れ直ししたいとおもいます。
丁寧にありがとうございました。

240 名前:(○口○*)さん:08/01/07 08:32 ID:7k1MFHtA0
リネージュ資料室の更新情報から、差し替えがあったらしいもの。
Virustotalで、カスペは全ての本体を撃墜していました。

うちのカスペは何故か、999■exeと、fenrir■exe、index1■htmがすりぬけるなーと思って
パターンの更新かけたらようやく検知するようになりました。パターンの更新を怠ると、
セキュリティソフト入っていても無意味だってことの、いい実例ですね。

パターン自動更新だったんだけど、更新前に新種が入ってくるとだめですね(苦笑)

JavaScriptでsetup■exeを直接ロードしようとするhtmを、VirusTotalでは
全部スルーしていましたが、本体をブロックできれば、それでよし。

ttp://777■za123■cn/cc/999■exe
ttp://www■gamesmusic-realcgi■net/
ttp://www■runbal-fc2web■com/
ttp://www■sakerver■com/real/index1■htm
ttp://www■berseek■com/real/ragna■exe
ttp://www■berseek■com/real/fenrir■exe
ttp://www■yinra■com/inf/
ttp://www■yinra■com/inf/setup■exe

999■exe : Trojan-Spy.Win32.Pophot.zp
index■htm : HTML/Infected.WebPage.Gen(AntiVir)
index1■htm : Trojan-Downloader.VBS.Psyme.ds
ragna■exe : Trojan.Win32.Inject.qk
fenrir■exe : Trojan-PSW.Win32.OnLineGames.lyx
index■htm : - (Not Detected)
setup■exe : Trojan.Win32.Inject.mu

241 名前:(○口○*)さん:08/01/07 23:00 ID:TUeH4RHc0
Fenrir板派生の犬猫板(ttp://www■ro-fenrir■com/bbs/)が閉鎖されたのち、
アカハックアドレス(livedoor1■com)に繋がるようになってる模様。

新しいアドレスではないので対策済みなら問題ないとは思いますが、お知らせまでに。

242 名前:help:08/01/08 00:18 ID:n4tu2V5B0
ROやりたいんですけど、ものすごく困ってます。
クライアントをDLして接続までは行くんですけど
アイテムの名前がでてなかったり説明がなかったり文字化けしてるんです
プロンテラで原因不明の原因でエラーがでて強制終了になります
エラーの中身は Ragexe.exeが何とかかんとか です。
一度アンインストールしてみたんですけど直りませんでした。解決法ないですか?

243 名前:(○口○*)さん:08/01/08 00:22 ID:2IFIcjAV0
それは、こっちのスレの方が良いな

いろんなエラーに悩まされている人の相談室 その24
ttp://gemma.mmobbs.com/test/read.cgi/ragnarok/1198365438/

244 名前:(○口○*)さん:08/01/08 00:42 ID:EUeXCbSl0
>>242
Vistaなら、ProgramFiles以外にインストールしなおせ。基本的にはエラースレ行け。
そして、思いっきりスレ違いだ。セキュリティ関係ねー。

あ、いや、待てよ。Vistaのセキュリティ(改変対策)という意味では、バーチャルストアについては
一般的な話題になるんだろうか???

物凄い勢いで誰かが質問に答えるスレ Lv93
ttp://enif.mmobbs.com/test/read.cgi/livero/1199300213/480,519

245 名前:(○口○*)さん:08/01/08 00:53 ID:B/9c+b2Q0
>>241
実際にアクセスして試したのかい?PG2のログだけ見ていると見誤ってしまうぞ。

両ドメインともドメイン失効。つまり、誰かがDropCatchして同じサーバに
ドメインを向けてるだけ。断言は出来ないけど、両方安全。

246 名前:(○口○*)さん:08/01/08 01:25 ID:EUeXCbSl0
>>241
確認したけど、危険なサイトに飛ばされている訳じゃないよ。
この件は、前スレに出ていました。もうスレ流れてるので、手元のログから引用。

|839 (○口○*)さん sage 07/12/09 10:57 ID:fy9VHi1X0
|最近、PG2のログに、www■yohoojp■com が頻繁に出てくるのが
|気になっていたのですが原因判明しました。

|PG2反応時にnetstatの画面を見るとアクセス先は
|TCP ****:2806 www■ro-fenrir■com:http SYN_SENT

|RO環境を晒してみるスレテンプレのdxdiag画像があったアドレスが
http://www■ro-fenrir■com/directx_shindan.gif であり、現在は404。
|専ブラでこのスレを開く度に反応していた模様。ただのドメイン失効かな。

http://www■ro-fenrir■com -> 8■15■231■108
http://www■yohoojp■com -> 8■15■231■108

|検出できない何かが残ってる訳ではなかったようで一安心。

247 名前:(○口○*)さん:08/01/08 02:21 ID:CrJnrqcY0
>>245>>246
踏んだ本人です。他に被害がー、と思ったので>>241は友人に頼んで代理で書き込みをお願いしました。
その間にカスペスキャンしてましたが当然何事もなく一安心していたところです。
これからも油断せずにセキュリティはしっかりとチェックしようと。お騒がせしました。

248 名前:(○口○*)さん:08/01/08 16:35 ID:BPqL5+3M0
パッチスレ120にて罠アドレス貼り付けあり

jibaj■blog4■fc2.com
->www■rakurten■com/blog
-->www■wacacop■net/wiki/index1.htm (VBScriptによる罠ページ)

「楽r天」で既知のアドレス。
スクリプトはデコードしてない(=検体入手してない)ので、アンチウィルスソフトが
検出するのか見落とす可能性があるのかは不明。

249 名前:(○口○*)さん:08/01/08 17:25 ID:2IFIcjAV0
Rag板の過去ログを保存している ttp://www■ragcan■com/ だけど
PG2にリネージュ垢ハックサイトとしてブロックされるな

ドメイン無効とかで乗っ取られた?

250 名前:(○口○*)さん:08/01/08 17:40 ID:OdY/4j4Q0
>>249
調べてみたが、>>246の最終オクテットが108→106になっているだけで、表示されるページはほぼ同様。
DropCatch済みなのか、それともeNom配下レジストラがDomainParkingしているのかは不明。

ブロックリストに追加されているのは、勘違いか、それとも万が一の危険性回避を考えた物かは知らない。

251 名前:(○口○*)さん:08/01/08 21:55 ID:se8j8jry0
>>248
wiki/
test■exe 2007/12/26
rost■exe 2007/12/07
send■exe 2007/11/27
古いので大丈夫だと思う。

252 名前:(○口○*)さん:08/01/09 09:02 ID:p9IZhrwA0
>>238 のRealPlayerで脚光を浴びた(笑)uc8010■com、
物としてはWoWとLotROのパス抜きだった模様。
ttp://www.mcafee.com/japan/security/virPQ.asp?v=PWS-Onlinegames.e!c5e557dd
LotROは初めて見た…。

253 名前:(○口○*)さん:08/01/09 10:07 ID:p9IZhrwA0
あ、今日(というか昨夜)はWindowsUpdateの日だった。

254 名前:(○口○*)さん:08/01/09 13:51 ID:N+Lo6y+20
緊急(1) 重要(1)
ttp://www.microsoft.com/japan/technet/security/bulletin/ms08-jan.mspx

>今月よりポッドキャスティング (RSS フィード) 配信を開始致します。
これがちょっと興味深い。

255 名前:(○口○*)さん:08/01/09 14:26 ID:pYmjSGg40
>>254
ttp://www.microsoft.com/japan/technet/community/events/webcasts/security.mspx
これですな

眠れない時にこのビデオを見ると安眠間違いなし
ていうか早口&抑揚なさすぎる

RSSならこちらの方がいいかも
ttp://www.microsoft.com/japan/technet/rss/rssfeed.aspx?security
但し個人的にはこちらの方がお勧め
素人:ttp://www.microsoft.com/japan/athome/security/whatsnew/default.mspx
玄人:ttp://www.microsoft.com/japan/technet/security/recent/default.mspx

256 名前:(○口○*)さん:08/01/09 14:27 ID:pYmjSGg40
>>254
ttp://www.microsoft.com/japan/technet/community/events/webcasts/security.mspx
これですな

眠れない時にこのビデオを見ると安眠間違いなし
ていうか早口&抑揚なさすぎる

RSSならこちらの方がいいかも
ttp://www.microsoft.com/japan/technet/rss/rssfeed.aspx?security
但し個人的にはこちらの方がお勧め
素人:ttp://www.microsoft.com/japan/athome/security/whatsnew/default.mspx
玄人:ttp://www.microsoft.com/japan/technet/security/recent/default.mspx

257 名前:(○口○*)さん:08/01/09 14:31 ID:pYmjSGg40
>>254
ttp://www.microsoft.com/japan/technet/community/events/webcasts/security.mspx
これですな

眠れない時にこのビデオを見ると安眠間違いなし
ていうか早口&抑揚なさすぎる

RSSならこちらの方がいいかも
ttp://www.microsoft.com/japan/technet/rss/rssfeed.aspx?security
但し個人的にはこちらの方がお勧め
素人:ttp://www.microsoft.com/japan/athome/security/whatsnew/default.mspx
玄人:ttp://www.microsoft.com/japan/technet/security/recent/default.mspx

258 名前:(○口○*)さん:08/01/09 14:43 ID:pYmjSGg40
あああ3連発かよかよかよ

259 名前:(○口○*)さん:08/01/09 16:24 ID:ZA7BFhAI0
( ´д) ヒソヒソ (´д`) ヒソヒソ (д` )

260 名前:(○口○*)さん:08/01/09 17:47 ID:3xkbSNIU0
突如質問申し訳ありません。
PG2の許可リストを作りたいのですが、
ガンホーの所有サーバーのIP(公式やゲームサーバー)が判るサイトなどはありませんでしょうか?
宜しくお願いします。

261 名前:(○口○*)さん:08/01/09 17:50 ID:sTviKyfF0
>>3

262 名前:(○口○*)さん:08/01/09 18:35 ID:3xkbSNIU0
ぐわー物凄い見逃ししていたようで・・・ありがとうございました!

263 名前:(○口○*)さん:08/01/09 21:38 ID:s9yfxRvd0
今ブログのコメントを見てたらこんなのがありました。

通りすがり2
RO イフリート戦
"RO Ragnarok ラグナロク...RO Ragnarok ラグナロク ",tp://linainfo■net■movie■mov0028.zip
ホストは58■22■238■11 (中国)

中身見てないけど多分ウイルスだと。中国からだし。
殆どラグナロクの話題書いてないのに久々に来たのでカキコ。

264 名前:(○口○*)さん:08/01/09 22:10 ID:ebEfXWgV0
>263
linainfoは既知の危険アドレス。

ついでに「mov0028.zip」の中身は「mov0028.wmv.scr」が入っていて
カスペにかけるとTrojan.Win32.Inject.qtとして検出。

265 名前:(○口○*)さん:08/01/09 22:13 ID:J9sXP7eA0
>>263
スラッシュ置き換えられると判りにくいねん。ピリオド(ドット)だけの置き換えを希望。
ttp://linainfo■net/movie/mov0028■zip

->mov0028■zip
-->mov0028■wmv■scr
--->013■exe
--->mov0023■wmv

mov0028■zip : Trojan.Win32.Inject.qt
mov0028■wmv■scr : Trojan.Win32.Inject.qt
013■exe : Trojan.Win32.Inject.qt

266 名前:(○口○*)さん:08/01/09 22:43 ID:J9sXP7eA0
「linainfo」でぐぐってみたら、022,025,026も発見。構造は同じ
(.netまでつけてぐぐると、そのサイトのトップページを開こうとするので危険)

間の数字も試しに叩いたら落ちてきた。027と前後は落ちてこないのでファイルなしかも。

ttp://linainfo■net/movie/mov0022■zip
ttp://linainfo■net/movie/mov0023■zip
ttp://linainfo■net/movie/mov0024■zip
ttp://linainfo■net/movie/mov0025■zip
ttp://linainfo■net/movie/mov0026■zip

mov0022■zip : Trojan-PSW.Win32.Delf.ads
mov0023■zip : Trojan-PSW.Win32.Delf.ads
mov0024■zip : Trojan-PSW.Win32.Maran.by
mov0025■zip : Trojan-PSW.Win32.OnLineGames.fcj
mov0026■zip : Trojan-PSW.Win32.QQPass.xw

267 名前:(○口○*)さん:08/01/09 23:22 ID:lV8qP3Ud0
知り合いのブログに書かれてたトロイ
ttp://www■livedoorbloog■com/7112888/000029.zip
->000029.zip
-->mov0028.wmv.exe 圧縮RarSFX
--->data.rar       圧縮RAR
---->archive comment
---->mov0023.wmv
---->013.exe         Trojan.Win32.Inject.qt

268 名前:(○口○*)さん:08/01/09 23:32 ID:p9IZhrwA0
exbloog■com
fc2-blog■com
偽ブログがお好きなようだw

269 名前:(○口○*)さん:08/01/10 05:31 ID:jt0j8TeT0
質問です。
最近PG2を導入したばかりなのですが、起動するときに、時々ブロック履歴に
青い字のHTTPブロックの跡が出ています。
このHTTPとは、具体的にどのような行動をブロックしているのでしょうか?
見たところ、送信元はこちら側のようなので、こちらからの何かの情報を
持ち出そうとしているということでしょうか?

270 名前:(○口○*)さん:08/01/10 11:32 ID:XCR4pNQr0
アコプリスレ362にハクアドレス貼り付けあり

infosueek■com/rosolo/index-php/
--->www■twsunkom■com/jplink/Ms06014.htm

271 名前:(○口○*)さん:08/01/10 15:42 ID:m28ehP+J0
韓国製ノートPCの爆発対策はどうすればいいですか?

272 名前:(○口○*)さん:08/01/10 17:46 ID:aPxd5Mz90
他所でやれ。

273 名前:(○口○*)さん:08/01/10 18:48 ID:/JbLc1Vf0
>>271
窓から投げ捨てろ

274 名前:(○口○*)さん:08/01/10 21:00 ID:Ov0TNVnK0
>>271
爆発する前に爆破しろ

275 名前:(○口○*)さん:08/01/10 21:19 ID:lmYbLoQC0
マスターブートレコードに感染するrootkitが出回る、Symantecなどが警告
http://internet.watch.impress.co.jp/cda/news/2008/01/10/18085.html

276 名前:(○口○*)さん:08/01/11 03:03 ID:PKdqIr1E0
回線につないだだけで感染するようなウィルスってあるのでしょうか?
免許合宿にノーパソもってくーって話をしたら回線面とセキュリティ面でやめておいたほうがいいと言われたのですが・・・

277 名前:(○口○*)さん:08/01/11 03:33 ID:Wows1z1p0
盗難にあいやすいという方のセキュリティではないかな

278 名前:(○口○*)さん:08/01/11 06:48 ID:nMVW04UA0
>回線につないだだけで感染するようなウィルスってあるのでしょうか?
OSのバグを付くタイプで以前はあったけど、最近は無いな

279 名前:(○口○*)さん:08/01/11 07:02 ID:9o5mKw650
XPSP2以降ならまず問題ないな。

280 名前:(○口○*)さん:08/01/11 08:00 ID:gPydGY9R0
随分前のブラスターとか

281 名前:(○口○*)さん:08/01/11 08:13 ID:oOrSe+0x0
セキュリティソフトなしで回線に「繋ぐだけ」でかかることはない。
「繋いでいる間にアタックを受けると」感染してしまう。
「アタックを受ける確率」は極めて高い。

結果、セキュリティなしで回線に繋ぐのは非常に危険なのでやめた方がいい。
意図せぬ加害者になってしまう可能性も高い。

実験例
こんなPCはネットにつなぐな! 3日間放置した無防備PCの結末は?
http://trendy.nikkeibp.co.jp/article/col/20050510/112145/
| ルーターなしでインターネットに接続した瞬間、外部のコンピューターがこのIPアドレスめがけて
|攻撃してきた。ウイルスを送り込もうとしているのだ。その後も、ノーガードマシンはサンドバッグの
|ごとく連続攻撃を受け、1時間後にはPCにボット型のウイルスが侵入していた。ユーザーは何の
|操作もしていないのに、ウイルスに感染してしまったのだ。

282 名前:(○口○*)さん:08/01/11 08:41 ID:u+w2DCLP0
>269
送信元が自分なら、何か送信(接続)しようとしたのを防いだと言うことだが
接続要求のリクエストも送信になるので、ブロックした=何かの情報が
送られるのを防いだ、というわけではない。

その内容が何か、というのはどういうリストを設定してるかによる。
例えば広告系をブロックするようにしていて、閲覧したHPに広告バナー等が
ついてると、PG2は反応する。

>276
ウィルス等の観点からすれば、アンチウィルスソフト(FW含む)を導入してれば
危険度は自宅使用と大差ない。
ただ盗難や情報漏洩の可能性があるので要注意。

免許合宿なら無線LANが使える訳じゃないだろうけど、第三者がLAN経由で
接続出来て情報がダダ漏れだった、なんてケースもあるし。

283 名前:(○口○*)さん:08/01/11 13:27 ID:gB8z9SOn0
スレ違いな気もするが
ちょっと1年ぶりに復帰してみようかと思ったんだが、キャラクターパスワードをメモってなかったから忘れた。
コールセンターにメールして聞いてみたら、パスワードリセットは、出来れば電話で手続きして欲しいと。
面倒くさくなった俺は、復帰するのを辞めた!
不正対策は歓迎なんだが、復帰の障壁が微妙に上がるなw しょうがないけどな

ちなみに俺はBOTerなどではない

284 名前:(○口○*)さん:08/01/11 13:43 ID:XowrAKXk0
ラスト1行がなんで出てくるのか分からん…

285 名前:(○口○*)さん:08/01/11 13:50 ID:emsf9Ekn0
パスワード関係はどこでも電話
これ常識な

286 名前:(○口○*)さん:08/01/11 14:18 ID:yjW71Rqx0
>>276
夜中にPCがあるばかりに夜更かしし過ぎて、肝腎の合宿の方が疎かになるリスクを指摘されているのかもしれない。

287 名前:(○口○*)さん:08/01/11 14:22 ID:Rrnsy9AZ0
>>285
電話でパスワード教えるって対応自体そもそも非常識じゃないか?
癌がそういう対応してるのかどうかは知らないけど。

288 名前:(○口○*)さん:08/01/11 14:27 ID:XowrAKXk0
手続きのための問い合わせが電話って意味じゃないの?
慎重なところだと電話で問い合わせさせて本人確認して
その後、あらかじめ登録されている住所宛に郵送で送られてきたりするな。
登録されているメールアドレス宛に通知メールが来るようなのもあるけど。

289 名前:(○口○*)さん:08/01/11 14:31 ID:OXmTXEJf0
>>287
2回ほどキャラパス間違って登録してサポセン電話したけど、電話じゃ教えてくれないよ
癌ID登録の住所氏名聞かれて、2時間ほどで登録メアドにパス変更完了のメールがきた

290 名前:(○口○*)さん:08/01/11 14:33 ID:emsf9Ekn0
>>287
ああ言葉足らずだった
電話→本人確認→その場で仮パスワード発行→本人が後で変更
少なくともROとFFはそうだった
ネット(Web・メール)で連絡しても、結局本人が電話することになる
>>288のように、さらに郵送という手段を踏むこともあるが、
大抵は急いでいるのでその場でリセットしてくれる

291 名前:(○口○*)さん:08/01/11 14:36 ID:emsf9Ekn0
ってごめん、自分の事例確認したらROはメールだった
>>289の通り

ネトゲに限らず、例えばプロバイダのパス忘れても電話だったような

292 名前:(○口○*)さん:08/01/11 15:54 ID:9o5mKw650
QuickTimeにまた危険度の高い脆弱性、実証コードも公開済み
ttp://internet.watch.impress.co.jp/cda/news/2008/01/11/18096.html

293 名前:(○口○*)さん:08/01/11 20:17 ID:hwqTsom80
総合スレの誘導、ちょっと反応過剰すぎるというか荒らしだなあれ。

294 名前:(○口○*)さん:08/01/11 20:20 ID:oOrSe+0x0
某所BBSに貼られていたもの。

ttp://lmhtmy■blog34■fc2.com/

295 名前:(○口○*)さん:08/01/11 20:27 ID:Y49hLAfx0
>>294
iframeを用いて危険URLのrakurten■comを呼び出してるね

296 名前:(○口○*)さん:08/01/11 21:00 ID:yjW71Rqx0
>>293
実際荒らしたいだけだと思われ。
自治厨の振りをしたスレの食い潰し。

297 名前:(○口○*)さん:08/01/11 23:57 ID:jUI5TLkK0
a261
それは自治厨ではなくタダの荒らし
面白いくらいに食いついてくるからサルのように遊べる

飽きたら凄まじくつまんねーけどな

298 名前:(○口○*)さん:08/01/12 17:10 ID:XxGtWADS0
知り合いのブログに張られていた物
ttp://www■oirooke■com/link/5656028■zip
Trojan.Win32.Inject.qt 5656028.zip/5656028.wmv.scr//data.rar/013.exe

299 名前:(○口○*)さん:08/01/12 22:21 ID:5IKzmKsr0
>>249
遅レスだが、既にらぐなのかんづめ(ragcan■com)は2006年12月1日付けで機能停止してる

300 名前:(○口○*)さん:08/01/13 11:03 ID:r1ENSAG10
特典アイテムスレ6からサルベージ

983 :(○口○*)さん :08/01/12 11:41 ID:ZJTW0QYR0
パンダ帽が好きな人のための同盟です!
是非ぜひご参加くださいヾ(*'ω'*)?
バナーリクエスト受付中です〜
ttp://darkblueskp■blog34■fc2■com/

301 名前:(○口○*)さん:08/01/13 19:41 ID:3ErBBUaI0
以前うちのサイトの投稿フォームから
「シニョンキャップ好きな(ry」ってURLが来たけどあれも垢ハックだったのだろうか
踏まなかったけど

302 名前:(○口○*)さん:08/01/13 21:31 ID:gf3LVyy70
>>293-294
今更だけど、内容確認。

ttp://lmhtmy■blog34■fc2■com/
ttp://www■rakurten■com/blog/
ttp://www■wacacop■net/wiki/index1■htm
ttp://www■wacacop■net/wiki/send■exe
ttp://www■wacacop■net/wiki/test■exe
ttp://www■wacacop■net/wiki/rost■exe

send■exe//UPX : Trojan-PSW.Win32.Delf.aih
test■exe//PE_Patch//UPack : Trojan-PSW.Win32.OnLineGames.lyx
rost■exe : Trojan.Win32.Inject.nk

303 名前:(○口○*)さん:08/01/13 23:51 ID:6CqLgwNP0
【      気付いた日時          】 1/13 18時
【不審なアドレスのクリックの有無 】 アルケミテンプレのオリジナルアイテム欄をクリック
【  アドレス   】 テンパってて確認できず
【     OS    】WindowsXP pro
【使用ブラウザ 】IE7.0
【WindowsUpdateの有無】 一番最後は一週間程度前だと思います
【 アンチウイルスソフト 】 ウイルスバスター2008
【その他のSecurty対策 】
【 ウイルススキャン結果】 ウイルスバスターでトロイの木馬を検知して削除(朝、やったときには見つからなかった)
【テンプレの参考サイトを読んだか】 今から読むところです。
【hosts変更】 無
【PeerGuardian2導入】無
【説明】
別にアルケミを持ってる訳ではないのにアルケミテンプレ見てしまい、感染してしまいました



それで質問なのですが、不審なアドレスを踏んでしまった場合、ウイルスって一度に
たくさん入ってくるものなのでしょうか?今回の検知では1つだったのですが心配で・・・

304 名前:(○口○*)さん:08/01/14 00:12 ID:JIV0Ru370
>>303
アルケミテンプレって言っても新旧有るけどどっちかな?サイトのアドレスで頂戴。
そして"オリジナルアイテム欄"ってどこにあるのかな?"オリジナル"で単語検索しても
それっぽいのはHitしない。かといって削除されたページでもなし。
http://www.ragfun.net/alchemist/index.php?RecentDeleted

どのアドレスのサイトにアクセスして、どの位置のどの文字をクリックした位は説明できません?
自分でまた見に行く必要は無いけど、それくらいは覚えていませんか?
それすらないと踏んだアドレスをこちらが探そうとしても見つけられません。

> 【WindowsUpdateの有無】 一番最後は一週間程度前だと思います
だとしたらRealPlayerやQuickTimeの脆弱性かねぇ。
つか、ウイルスチェックソフトのログにウイルス名とか出ているはずだからそれも
教えて欲しい。

情報は有ればあるだけ重要。不案内な人はどれが重要か分からないおかげで
得てして回答者が困惑してしまうことがあるんだけど、そういう風に成らないように
つまらない事でも全て書いていってくれればなんとかなる、という事を助言しておきます。
よろしく!

>ウイルスって一度にたくさん入ってくるものなのでしょうか?
場合によっては複数同時に違う種類の物がダウンロードされることがあると思います。

305 名前:(○口○*)さん:08/01/14 00:27 ID:uuW8CnFE0
>>303
確認してみたが、現時点で存在せず。変更履歴もなし。
(アカハックやってる業者の更新日時チェックにかからないよう日付を更新しないで修正した場合は
痕跡が残っていない場合もある)

バスターのログから、正確なトロイの名称もってこれないでしょうか。

多分、他の所で踏んだ代物だと思われます。

306 名前:(○口○*)さん:08/01/14 01:07 ID:F/qENMPF0
ttp://www■wacacop■net    (69.139.126.56)
ttp://www■rakurten■com    (69.139.126.56)
ttp://www■oirooke■com    (69.139.126.53)

上二つが同じIPで、登録は3つとも同一会社。 by IPドメインSEARCH
中国系鯖みたい。

> inetnum: 61.139.0.0 - 61.139.127.255

ってなってるから、この範囲は全部はじいても問題ないかな?

307 名前:(○口○*)さん:08/01/14 01:14 ID:98JvdfLF0
>>304
ttp://wiki■spc■gr■jp/ercserver
でした。wikiってこれじゃないんですね・・・
すみません。間違えたみたいです




>>305
オリジナルアイテム欄をクリックした後にウイルス告知が出てきたので
間違いないと思うのですが・・・

308 名前:(○口○*)さん:08/01/14 01:15 ID:F/qENMPF0
>>307
ウィルス疑惑のURLをアルケミスレに書き込んで、いったい何をしたいんだ?
嫌がらせ?

309 名前:(○口○*)さん:08/01/14 01:30 ID:5KOM7cME0
>>308
何か間違えて貼ってしまったみたいだぞ
本人も削除依頼出してるみたいだし、それにあれ踏んでみたけど
あのサイトのオリジナルアイテム欄?の項目であって直接は害ないんじゃね?
見てみるとオリジナルアイテム欄に直リンじゃなさそうやし
他人の間違いを責めるのはよそうぜ



>>307も悪いけどな

310 名前:(○口○*)さん:08/01/14 02:04 ID:uuW8CnFE0
>>307
エミュのWikiじゃねーか。自業自得だ。とっととOS入れなおしてこい。

そのWikiのリンク先全てがアカハックに書き換えられている模様。
中身は既出の奴ですな。1/4に各社に検体提出済みの奴だ。

ttp://www■irisdti-jp■com/blog/
ttp://www■caremoon■net/blog/index1■htm
ttp://www■caremoon■net/blog/send■exe
ttp://www■caremoon■net/blog/f2■exe
ttp://www■caremoon■net/blog/reak■exe

index■htm : Trojan-Downloader.HTML.IFrame.de
index1■htm : Trojan-Downloader.JS.Agent.anp
send■exe : Trojan-PSW.Win32.Delf.aih
f2■exe : Trojan-PSW.Win32.OnLineGames.lyx
reak■exe : Trojan-PSW.Win32.Magania.bph

↑はカスペの検出名。

バスターも検知可能って返答来てる。(number 493001, and scan engine 8.5001002 or later.)
reak■exe : TROJ_SHEUR■DK
index1■htm : VBS_PSYME■BBE
send■exe : TSPY_LINEAGE■GQR
f2■exe : TSPY_AGENT■ADOB

311 名前:(○口○*)さん:08/01/14 17:39 ID:zGtQhwz00
IBMもこんなことやってんのね。
ttp://www.isskk.co.jp/soc_report/SOC_report_20071211.html
見たことのあるドメインもいくつか。

312 名前:(○口○*)さん:08/01/15 07:43 ID:MfUckkJM0
ちょっと間違ってクリックしたアドレスが
安全かどうかわからなくて・・。一応ウイルススキャンとかはして
検知もなかったんですが
ttp://yaplog.jp/kyorocyan/
ここが安全かどうかわかるひといらっしゃいますか・・

313 名前:(○口○*)さん:08/01/15 07:44 ID:PQyjAKhr0
せめて、「 . 」→「■」 くらいはしておけよ。

314 名前:(○口○*)さん:08/01/15 09:17 ID:t3bgAZKE0
>>312
>>1
※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※

315 名前:(○口○*)さん:08/01/15 09:49 ID:4WxJe8X80
DSやWiiとWi-Fi通信をたまにするのですが、最近つながらなくなりました。
試行錯誤した結果、垢ハク対策に導入したPG2を起動しているとつながらないのがわかりました。
PG2を起動した状態でWi-Fiの通信を行うにはどうすればいいのでしょうか?

316 名前:(○口○*)さん:08/01/15 10:09 ID:D5Mn59k00
つながらないのがでたらこの手順でやってる
1.他のアプリを全部とめて、PG2のログが増えてないのを確認の上、PG2のログを削除。
2.許可したい接続先へつなぐ。IEのページだったりソフト起動だったり
3.ログにブロックのログがでるから、右クリックで許可リストに追加

317 名前:(○口○*)さん:08/01/15 10:09 ID:mD+M9Agw0
>>315
リスト管理でそのPC(やLAN接続されている機器)のIPを許可してみてもだめか?

318 名前:(○口○*)さん:08/01/15 10:09 ID:D5Mn59k00
あ、ちゃんと接続先が安全なのを確認してから許可ね!

319 名前:(○口○*)さん:08/01/15 10:44 ID:bsqCYQ8D0
>>312
母乳ightか

次スレからはこれもテンプレに入れた方がいいのかも
■ソースチェッカーオンライン
ttp://so.7walker.net/guide.php

320 名前:(○口○*)さん:08/01/15 12:22 ID:mD+M9Agw0
にゅぽーんされてたスレの内容。管理人さまがコピペしておいて下さったので確保できました。
アドレス自体は既出。

->ttp://gtvxi■com/uplink1028/9974link/
-->ttp://www■mbspro6uic■com/indexm■htm
--->ttp://www■mbspro6uic■com/naizi/nait■htm
--->ttp://www■mbspro6uic■com/naizi/tani■c
---->ttp://www■mbspro6uic■com/naizi/rbt1■exe
-->ttp://www■mbspro6uic■com/indexff■htm
--->ttp://www■mbspro6uic■com/naizi/nai■htm
--->ttp://www■mbspro6uic■com/naizi/ani■c
---->ttp://www■mbspro6uic■com/naizi/ff22■exe

->ttp://gtvxi■com/uplink1028/9974link/
-->ttp://www■mbspro6uic■com/indexm■htm
--->ttp://www■mbspro6uic■com/naizi/nait■htm
--->ttp://www■mbspro6uic■com/naizi/tani■c
---->ttp://www■mbspro6uic■com/naizi/rbt1■exe
-->ttp://www■mbspro6uic■com/indexff■htm
--->ttp://www■mbspro6uic■com/naizi/nai■htm
--->ttp://www■mbspro6uic■com/naizi/ani■c
---->ttp://www■mbspro6uic■com/naizi/ff22■exe

indexm.htm : Trojan-Downloader.HTML.IFrame.cj
indexff.htm : Trojan-Downloader.HTML.IFrame.cj
nait.htm : Trojan-Downloader.JS.Psyme.kf
tani.c : Exploit.Win32.IMG-ANI.ac
rbt1.exe : Trojan-Downloader.Win32.Delf.dsz
nai.htm : Trojan-Downloader.JS.Psyme.kf
ani.c : Exploit.Win32.IMG-ANI.ac
ff22.exe : Trojan-PSW.Win32.OnLineGames.fcj

321 名前:(○口○*)さん:08/01/15 12:42 ID:hpcvpzh50
最近、アカウントハックのウィルス貼られる量が尋常じゃない…

ROブログとイラストサイト2つ持ってるけど
ブログの方は昨年まで月1くらいで貼られてたけど、今年に入ってほぼ毎日
イラストサイトの方はRO絵を描いてる記事にウィルス貼られてたりとか
RO関連のブログ等を持ってる人はご注意を…

322 名前:L ★:08/01/15 13:20 ID:???0
> 89 名前::(^ー^*)ノ〜さん [] 投稿日:08/01/15(火) 13:13 ID:a1VWb3/F0

>***メンバーを募集しています。
>興味のある人はご連絡を。
http://■mirchan■blog18■fc2■com/

61.116.180.15*<>tepte-15p15*.ppp17.odn.ad.jp

323 名前:(○口○*)さん:08/01/15 13:25 ID:0w9tOtRL0
>322
お疲れ様です
322のアドをチェックしたところ
以下にインラインフレームで飛ぶ模様
www■blogplaync■com/jplink

324 名前:(○口○*)さん:08/01/15 14:11 ID:tUg1cXBt0
かぶとむし@PUBより
二行目以降の先頭になぜか半角スペースが入ってる
>>320と同一URL

74 :名無しさん :08/01/09 17:13 ID:b97Yaf9j0
本日のGVを最後に 妖精輪舞-久遠の絆- が同盟からはずれました。
ぼて創立から同盟を組んでいたので寂しいですが、同盟という形がなくなっただけなので、
妖精の皆様、これからもどうぞ宜しくお願いしますね!
ttp://gtvxi■com/uplink1028/9974link/

325 名前:315:08/01/15 19:27 ID:1qG3HaDw0
>>316
Wi-Fiで接続テストを行っても何故かログにブロックした形跡がでないんですよね…。
違うhttpをブロックしたときなんかはしっかり出るんですけど。

>>317
ローカル接続1(現在使用している接続)、ローカル接続2(Wi-Fi USBコネクタ)のIPをリスト管理で許可してみましたが
効果なしでした。

326 名前:(○口○*)さん:08/01/15 22:03 ID:9xZteml30
>>325
TrendMicroの、Wi-Fi USBコネクタ使用時の設定手順。
PG2もこれの応用で何とかなるかと。
ttp://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=JP-2060773

あとは、Wi-Fiコネクタではなく、DSやWiiのIPを許可する必要もあるかもしれない。
このばあい、192.168.xxx.yyyの何処かしらになるであろうが、DHCPなので特定は難しいかと。
範囲指定するのが無難だろうか。

327 名前:315:08/01/15 23:05 ID:1qG3HaDw0
>>326
わざわざありがとうございます。
ですが、そのURLと同じ事をPG2でどう設定すればいいのかよくわかりません…。

328 名前:(○口○*)さん:08/01/15 23:07 ID:mD+M9Agw0
192.168.1.0-192.168.1.255 という範囲を、ROの許可リストと同じように設定するだけ。

329 名前:(○口○*)さん:08/01/15 23:27 ID:1qG3HaDw0
Wi-FiUSBコネクタのIPアドレスが192.168.0.1なのですが、192.168.1.0-192.168.1.255でいいのですか?
念のため192.168.1.0-192.168.1.255と192.168.0.0-192.168.0.255を許可してみましたがつながりませんでした。

330 名前:(○口○*)さん:08/01/15 23:35 ID:KcEnOeUn0
PG2の設定で、通知イベントは『ブロック全て』になってる?

331 名前:(○口○*)さん:08/01/16 00:22 ID:4DgaeO2g0
こういうスレ見ていると垢ハックアドレスってどこにでもあって
気付かないうちに踏んでそうで怖いな

wiki見るときはアドレス確認後にクリックしてるけど、これって
偽装とかで変な所に行く場合もあるんだろうか?
自分はカスペを入れてて今までハックされたことはないけど
運がいいだけかと思えてくるから困る

332 名前:(○口○*)さん:08/01/16 00:33 ID:f6XNHcys0
偽装は場合によるから何とも言えないな

見た目が似ている違うアドレスで偽装とか
無いと思うけどJavaScriptを埋め込んで表示されるアドレスを偽装とか

333 名前:(○口○*)さん:08/01/16 00:52 ID:tVQWN4PL0
www■mbspro6uic■com   69.139.126.9
www■blogplaync■com   69.139.126.19


306と同じところになった。
69.136.126.* はまとめてブロックしておいたほうがヨサゲ。

334 名前:315:08/01/16 00:53 ID:BtZ93fI/0
>>330
なっています。
もうどうすればいいのかさっぱり…。

335 名前:(○口○*)さん:08/01/16 16:00 ID:uL76loKb0
>>292
>QuickTimeにまた危険度の高い脆弱性、実証コードも公開済み
ttp://internet.watch.impress.co.jp/cda/news/2008/01/11/18096.html

「QuickTime 7.4」公開、4件の脆弱性を修正
http://internet.watch.impress.co.jp/cda/news/2008/01/16/18122.html

336 名前:(○口○*)さん:08/01/16 16:34 ID:1WkGJbXD0
>>263を少しだけ変えたモノが、excite系に爆撃盛んだな〜。
excite側がろくに制限掛けてないから、凄い標的に成ってる。
自分所だけで、もう5パターン着た ('A`)

このURLだけ未報告ぽかったので (中身は既知

sぱm
どうせこんなブログにSPAMはないだろとタカをくくってました。
甘かった(n゜ω゜`)
コメントの画像承認機能とトラックバックの承認機能を有効化(`ω′)
雑記 |
ttp://www■lineagecojp■com/movie/mov0028.zip

337 名前:(○口○*)さん:08/01/16 19:30 ID:Zjyzn2eE0
exciteも落ち目の部分があるし、過度の期待は出来ないかも。
2001年の米国本体破綻を引き金に、伊藤忠商事傘下入りしてから、これといった特徴も無い凡庸なポータル業になった印象。
Tripodがinfoseek傘下に降って以降の凋落ぶりと被るものがある。

338 名前:(○口○*)さん:08/01/16 19:58 ID:hbATaW+i0
別スレに書かれていたので転載
> Magniにて金ゴキ盾が99Mで露店に出品されました
> 皆さんも垢ハクを改めて気をつけましょうage

339 名前:(○口○*)さん:08/01/17 00:28 ID:IF4R7ZJm0
すみませんがこの場合はウィルスに感染したのか教えていただけないでしょうか?
よろしくお願いします
【      気付いた日時          】 1/16 20時頃
【不審なアドレスのクリックの有無 】 クリックはしてません
【  アドレス   】 アカウントハック総合対策スレ9の240
【     OS    】WindowsXP Media Center Edtion Version 2002 SP2
【使用ブラウザ 】IE6 SP2
【WindowsUpdateの有無】 一週間くらい前が最後だと思います
【 アンチウイルスソフト 】 ウイルスバスター2008
【その他のSecurty対策 】 無
【 ウイルススキャン結果】 検出せず
【テンプレの参考サイトを読んだか】 今から読むところです。
【hosts変更】 無
【PeerGuardian2導入】無
【説明】自分のブログコメントにリンクとコメントが載っており
    踏むのが怖かったので、Googleのツールバーにコピーし検索したところ
    すぐに閉じてしまったのでうろ覚えなのですが、検索結果画面が出ずに
    「このサイトの表示が認められていません」みたいなことが書かれた画面が表示されました

340 名前:339:08/01/17 00:32 ID:IF4R7ZJm0
すみません、240には3つアドレスがあったので
検索をかけたアドレスはこれです
http://yamunya■blog98■fc2■com/

341 名前:(○口○*)さん:08/01/17 00:59 ID:qHnT7qbj0
>>339
FC2ブログの管理者側で削除されたブログですね
たぶん大丈夫だとは思います

> このページの表示は許可されていません
> このブログは下記の理由などにより凍結されています。
>  規約上の違反があった
>  多数のユーザーに迷惑をかける行為を行った。

342 名前:339:08/01/17 19:53 ID:IF4R7ZJm0
>>341さんありがとうございます

今後はもっと気をつけていきたいと思います

343 名前:(○口○*)さん:08/01/18 03:41 ID:nw43wHO/0
2ちゃんねる気団板の「嫁のメシがまずい」スレのまとめサイトの
メニュー改変されて
ttp://www■ragnwiki■com/FFXI/
へのリンクにされてたよ。
もうなんでもありなんだね。

344 名前:(○口○*)さん:08/01/18 11:11 ID:Y7kJb3tS0
BOT変更点スレで書かれてた Forsety wiki の改竄の痕跡

www■teamerblog■com/wiki
--->www■panslog■net/wiki/index1■htm

teamerblogもpanslogも既知のアドレスだけど、一応報告。

Forsety wiki は管理放棄されたらしく、改竄し放題の模様。
閲覧する際はご注意を。

345 名前:(○口○*)さん:08/01/18 13:00 ID:e+T9ix//0
ブログのコメにハクアド貼られてたので報告。
ttp://infosueek■com/jplink
うちはso-netのブログですがここ3日で3件の垢ハクのコメがありました。

346 名前:(○口○*)さん:08/01/18 17:45 ID:4NEFjGgn0
>>344
Forsetyだと、後継Wikiが出来る前に、下手すると鯖が吸収されていそうだ。

347 名前:(○口○*)さん:08/01/18 23:05 ID:dscd694R0
>>306,333系

www■teamerblog■com   61.139.126.16
www■panslognet■net    61.139.126.16
infosueek■com         61.139.126.19

ここまでくると必死すぎで笑えるな。

348 名前:(○口○*)さん:08/01/19 00:24 ID:LAXRVfg/0
【      気付いた日時          】 2008/01/19 0:07頃
【不審なアドレスのクリックの有無 】もろクリック。
【  アドレス   】www■teamerblog■com/blog
【     OS    】WindowsXP Pro(Update) SP2
【使用ブラウザ 】IE6.0 sp2
【WindowsUpdateの有無】 一週間以内(1月の悪意の(ry等)。リブート済み。
【 アンチウイルスソフト 】 NortonInternetSecurity2007
【その他のSecurty対策 】 Spybot S&D。hostsとかルーティングはしてなす。
【 ウイルススキャン結果】 Nortonログ
発生源: C:\Documents and Settings\UserName\Local Settings\Temporary Internet Files\Content.IE5\WXEB49IR\index1[1].htm
リスクのカテゴリ: ウイルス
リスク全体の影響: 高
パフォーマンス: 1
クリックでこのリスクについての詳しい情報を表示 : Downloader
適用した処理: 遮断しました

【テンプレの参考サイトを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】LokiWiki見たくてYahooでtopに出たところがブクマ(Yahoo機能の)6名だったので何も考えずクリック
     表紙以下すべて上記URLに書き換えられてました。俺バカす('A`)
NortonログによるとDL前でスクリプト遮断しているようだけど大丈夫だろうか?

あと、最新のリダイレクト用hostsをまとめているところがどこだかわからなかった(´・ω・`)

349 名前:(○口○*)さん:08/01/19 00:38 ID:85revE+F0
>>348
ダウンローダをブロックしてれば、本体まで行った可能性は低い。あくまでも、可能性だがな。

>あと、最新のリダイレクト用hostsをまとめているところがどこだかわからなかった(´・ω・`)
テンプレ>>2の【参考アドレス】を良く見るんだ。

350 名前:348:08/01/19 01:02 ID:LAXRVfg/0
>>349
まとめからリネの対策ページの方に一元化されてたのですね。
急いてたみたいです。申し訳ない。
リネ対策+追加(臨時)+上の4オク目が同じところをローカルリダイレクト設定しました。
上の4オク目が同じヤツらは>>336さんのおっしゃるようにルータではじいた方が早いでしょうかね?

とりあえず、DLerをはじいたというNortonを信じて何もしない(リストアとか)で様子みてみます。
めっちゃはやい返信ありがとうございました。

351 名前:(○口○*)さん:08/01/19 01:17 ID:85revE+F0
LokiWikiの書き換えられていた転送先。>>344同様、既出アドレスだけど、一応。

ttp://www■teamerblog■com/blog/
ttp://www■panslog■net/wiki/index1■htm
ttp://www■panslog■net/wiki/send■exe
ttp://www■panslog■net/fc2/cery■exe
ttp://www■panslog■net/wiki/reco■exe

index■htm : HTML/Infected.WebPage.Gen(カスペ等はスルー)
index1■htm : Trojan-Downloader.VBS.Agent.hi
send■exe : Trojan-PSW.Win32.Delf.aih
cery■exe : Trojan-PSW.Win32.OnLineGames.lyx
reco■exe : Trojan.Win32.Inject.ms

352 名前:まとめ臨時 ◆kJfhJwdLoM:08/01/19 01:17 ID:xgZEhTIx0
>>350
まとめ臨時分はリネージュ資料室さんからも取得しているので
重複分が多々あったりします。
一応重複していても問題は多分…無いと思われますが、
もしテキストの量が半端ないなあという場合には
テキストツールなどで重複分を除去していただければ…と。

353 名前:(○口○*)さん:08/01/19 01:34 ID:85revE+F0
>>350
ノートンはすり抜け多いから、念のために他のオンラインスキャン併用してチェックしとけ。
踏んでしまったというはっきりした状況があるのだから、複数のエンジンで検索かけれ。

index1.htmをブロックしてるようだから、大丈夫だとは思うが、保証はできないからな。
あくまでも自己責任だ。

>>348>>351は同じアドレスなので、一応、どの階層でブロックしたか確認。
(確認時点で内容が同じ保証はないがVirusTotalの1/15検査内容と同じだった)

階層構造
->index■htm
-->index1■htm
--->send■exe
--->cery■exe
--->reco■exe

ノートン検出状況
index■htm : −
index1■htm : Downloader
 多分、ここでブロックして、下記の3ファイルまで行ってない。
 本体も、今回に限っては、ノートンが全部対応してますな。
send■exe : Infostealer.Gampass
cery■exe : Infostealer.Gampass
reco■exe : Trojan Horse

各社対応状況。NOD32だめぽ。マカフィーもびみょ〜ん。
index■htm : AntiVir○、Avast×、AVG×、カスペ×、マカフィー×、NOD32×、ノートン×
index1■htm : AntiVir○、Avast×、AVG×、カスペ○、マカフィー○、NOD32×、ノートン○
send■exe : AntiVir○、Avast○、AVG○、カスペ○、マカフィー○、NOD32○、ノートン○
cery■exe : AntiVir○、Avast○、AVG○、カスペ○、マカフィー○、NOD32×、ノートン○
reco■exe : AntiVir○、Avast○、AVG○、カスペ○、マカフィー×、NOD32×、ノートン○

354 名前:(○口○*)さん:08/01/19 10:25 ID:85revE+F0
リネージュ資料室の更新チェックしてたら、久しぶりにアイコン偽装のファイルがあった。
開いたフォルダのアイコン。

ttp://www■jplineage■com/smss■exe
ttp://www■pinkdoo■com/smss■exe
ttp://www■pinkdoo■com/mumy■exe

smss■exe : Trojan-PSW.Win32.OnLineGames.onz
mumy■exe : Trojan-PSW.Win32.OnLineGames.onz

355 名前:(○口○*)さん:08/01/19 12:48 ID:85revE+F0
キングソフトの検体提出窓口のアドレス変更
http://www.kingsoft.jp/support/is/kentai.htm(404 Not Found)
  ↓
http://www.kingsoft.jp/is/kentai.html

356 名前:(○口○*)さん:08/01/19 17:11 ID:oTkJ9VaR0
>>355
wikiに反映しました。
前はUSBメモリだったと思ったけどクオカードになったのね。

357 名前:(○口○*)さん:08/01/19 20:24 ID:85revE+F0
>>356
先月はUSBメモリだったが、別便でクオカードも2枚貰ったよ。

報告が新種だった分のUSBメモリは一通り貰ってあったが、年末だったし、
キングソフトからのお歳暮だと思って有難く頂戴しときました。w

週に3回位報告入れて、月に2〜5つは新種だったりすると名前覚えられたのかもしれんwww

358 名前:(○口○*)さん:08/01/19 22:59 ID:TRyhX1o40
キングソフトとか言うとまともに聞こえるから困る

ちゃんと正式名称である「金山軟件有限公司」って言わないと。

359 名前:(○口○*)さん:08/01/19 23:08 ID:85revE+F0
>>358
それを言うなら、KISと略すと(ry

360 名前:(○口○*)さん:08/01/19 23:20 ID:8FbXJ0pX0
でもキングソフトって出た当初は本当酷い噂しかなかったよな、随分マシになったよ

361 名前:(○口○*)さん:08/01/20 04:02 ID:1fXYowc00
>>358
金山軟件有限公司の前身は香港金山公司、1973年設立だから純粋な中共メーカーではないな。

362 名前:(○口○*)さん:08/01/20 07:40 ID:f9Evi9CdO
最近Gチャの話題に上がったので知ったソフトなんですが
GDATAて対RO系性能や全体的な性能ってどうなんでしょう?
普段使わない、バスタの期間切れたPCで体験版入れてみたらカスペみたいなカクカクは起こらないようなので信用に足る性能が期待できるなら乗り換えようかと思ったんですが

363 名前:(○口○*)さん:08/01/20 07:58 ID:GgJ4AVma0
対RO系なら何も言わずカスペかNOD入れとけ
他はゴミ。
俺のは3PCにそれぞれメインにカスペ・サブにNOD・どうでもいいノートにマカフィーって入れてるけど
新種ウイルス検体のテストスキャンで真っ先にスルーするのがマカフィーwww
御三家はマジゴミだわ

カスペでカクカクするのはプロアクティブディフェンスのせい
蛇足だが回線速度激減はウェブアンチウイルスのHTTP(ポート80)スキャンのせい
これらを切れば安定する。
常時プロアクティブディフェンスONは高スペックPCじゃないと重くて使えたもんじゃない
最低でもCore2Duo以上のCPUでなければ論外
ガンホーお勧めPentium4あたりだとマップ移動時の読み込みが更に酷くなるだけで使えん
カスペは2/13にOSでいうサービスパックに当たるMP1が来るらしいが、この辺改善されて欲しいな

364 名前:(○口○*)さん:08/01/20 08:23 ID:AoMCR10L0
>>326
カスペのエンジンも使用(3種類だっけ)してる筈なので検知率自体はいい筈だが
その分重くなるんじゃないかな。設定次第だと思うが。

365 名前:(○口○*)さん:08/01/20 12:21 ID:4U/88luI0
NOD入れるくらいならAntiVirのほうがいいかなぁ。

366 名前:(○口○*)さん:08/01/20 12:38 ID:SCLHldOF0
NODは低スペック向けかもね、軽いってイメージが強い

367 名前:(○口○*)さん:08/01/20 16:23 ID:VIKlkQHP0
最近はNODよりは、AntiVirかAVGの方がいい気がする
しかしこのふたつは他に比べてあまりに認知度が低いのが・・・
スペックに自信があるなら、素直にカスペ選んでおきなさいと思うけどね

368 名前:(○口○*)さん:08/01/20 17:17 ID:AoMCR10L0
どこぞのBBSより。

ttp://www■oirooke■com/link/5656028■zip

Trojan.Win32.Inject.qt
5656028■zip/5656028■wmv■scr//data■rar/013■exe

369 名前:(○口○*)さん:08/01/20 18:56 ID:6fI8fvpU0
先ほどモンクテンプレにある狩場の「アコライト向け」というところをクリックしたらDL中の時間の目安みたいなバーが一瞬出てきてすぐ消えたんですが・・・これって垢ハックの前兆ですか??
心配で頭混乱してるので文章へんかもわからないですが検討のほうお願いします;;

370 名前:(○口○*)さん:08/01/20 19:01 ID:t67saEzf0
とりあえず落ち着け

仮に垢ハックサイトだとしても、ROにログインや公式サイトにログイン等を
しない限りは平気だ

371 名前:(○口○*)さん:08/01/20 19:04 ID:6fI8fvpU0
早い返事ありがとです。。
わかりました、とりあえずログイン控えます;;

372 名前:(○口○*)さん:08/01/20 19:05 ID:beHoNWI40
>>369
ホームページを見るというのは、そのHTMLをダウンロードするということなんだ
だから状況によってはどんなページでもDL中の窓は出る可能性がある

一応中も見てみたけど、問題なし
しかしここの管理人さん手を引かざるを得ないようですなあ…
そろそろ卒業・入社入学・異動シーズンだし仕方ないか

373 名前:(○口○*)さん:08/01/20 19:10 ID:6fI8fvpU0
そーなんだ・・ よかった・・・
確認ありがとです、助かります(*^^)

374 名前:(○口○*)さん:08/01/20 23:02 ID:tm3ZAJrU0
うちのブログのコメントにあったもの

超ひさびさに更新w
そしてびっくり!この日記始めたときLV98だったのか〜今じゃ・・・
ブログ -- http://ponns■blog28■fc2■com/
IPアドレス 116■212■124■64
ホスト名 idc-64-124-212-116■firstnetcom■com
IPアドレス割当国 香港 ( hk )

もうラグナロクの話題が殆ど無いからブログのタイトルからROを外すか・・・。

375 名前:(○口○*)さん:08/01/21 02:45 ID:h3AI18jJ0
鯖板にマルチポストされていたアドレス。
アドレスも中身も既知のサイトだがディレクトリ名を%〜で記載するのは珍しい気がした。

ttp://www■mbspro6uic■com/%25%25%25%23@@@/%23%23%23%23&&&/

ttp://www■mbspro6uic■com/indexm■htm
ttp://www■mbspro6uic■com/naizi/nait■htm
ttp://www■mbspro6uic■com/naizi/tani■c
ttp://www■mbspro6uic■com/indexff■htm
ttp://www■mbspro6uic■com/naizi/nai■htm
ttp://www■mbspro6uic■com/naizi/ani■c
ttp://www■mbspro6uic■com/naizi/ff22■exe
ttp://www■mbspro6uic■com/naizi/rbt1■exe

index■htm : HTML/IFrame
indexm■htm : Trojan-Downloader.HTML.IFrame.dv
indexff■htm : Trojan-Downloader.HTML.IFrame.dv
nai■htm : Trojan-Downloader.JS.Psyme.kf
ani■c : Exploit.Win32.IMG-ANI.ac
nait■htm : Trojan-Downloader.JS.Psyme.kf
tani■c : Exploit.Win32.IMG-ANI.ac
rbt1■exe : Trojan-Downloader.Win32.Delf.dsz
ff22■exe : Trojan-PSW.Win32.OnLineGames.fcj

376 名前:(○口○*)さん:08/01/21 02:55 ID:h3AI18jJ0
>>374
カスペで全機撃墜を確認。ダウンローダの最初の段は抜けるけど、次で止めるので実害なし。

ttp://ponns■blog28■fc2■com/
ttp://www■teamerblog■com/blog/
ttp://www■panslog■net/wiki/index1■h
ttp://www■panslog■net/wiki/send■exe
ttp://www■panslog■net/fc2/cery■exe
ttp://www■panslog■net/wiki/reco■exe

index■htm : Exploit.IFrame.Gen-1(ClamAV)
index■htm : HTML/IFrame(AntiVir)
index1■htm : Trojan-Downloader.VBS.Agent.hi
send■exe : Trojan-PSW.Win32.Delf.aih
cery■exe : Trojan-PSW.Win32.OnLineGames.lyx
reco■exe : Trojan.Win32.Inject.ms

377 名前:(○口○*)さん:08/01/21 07:50 ID:Dw2lqxM60
最近トロイの更新頻度が下がってる気がする。

378 名前:362:08/01/21 08:37 ID:dpO4dwYw0
わかりました
メイン機はC2Dなので問題ないのでPen4のサブ機はRO中プロアクティブディフェンスを切って遊ぶことにします

そして蛇足のほうも非常に助かりました
おかげで測定で46/37Mbpsだったのが460/110Mbpsまでのびてかなり快適になりました(^^;

379 名前:(○口○*)さん:08/01/21 16:28 ID:6stYnyei0
すみません、今しがたRO起動したらnProが「Joke.win32.ghost(以下よく見てなかった」というウイルスを検知したとか言ったので
ウイルス辞典等で検索してみたのですが該当しそうなウイルスが見つからないのです。
一応念のためと駆除にYesを押して今カスペルスキーを回しているのですがこれはやっちゃった系でしょうか。

380 名前:(○口○*)さん:08/01/21 17:53 ID:5G0dXWuZ0
>>379
セキュリティソフトのメーカーによって、名前の付け方が違うから
完全あっているとはいえないれど、名前がJoke(ジョーク)だから
トレンドマイクロで言うJOKE_GHOSTに該当すると考えると次の答えになります

ttp://www.trendmicro.co.jp/vinfo/jokes/jokesDetails.asp?JNAME=JOKE_GHOST
> これはユーザーの混乱を目的としたジョークプログラムの一種です。
> トロイの木馬の一種と言えますが感染活動や悪質な破壊活動は
> ありませんので実行しても問題はありません。
> 一個の独立したプログラムなので駆除は出来ません。
> 発見したファイルを削除してください。

381 名前:(○口○*)さん:08/01/21 21:54 ID:vDOYDPiB0
【      気付いた日時          】1/21 20時
【不審なアドレスのクリックの有無 】無
【  アドレス   】ttp://www■ragnarokonlinejpportal■net/bbs2/test/read■cgi/ROMoe/1180448144/l50
またはttp://ro-blue■net/seitai/up/
【     OS    】WindowsVISTA Home Premium
【使用ブラウザ 】IE7.0.6000.16575
【WindowsUpdateの有無】最終確認日時が今日の19時で更新インストール日時は1/10
【 アンチウイルスソフト 】 NortonInternetSecurity2008
【その他のSecurty対策 】 ノートンに頼りっぱなしなのでしてないと思う
【 ウイルススキャン結果】Trojan.Webkit!htmlをウイルススキャナが検出しました
リスクの状態 完全に削除しました
【テンプレの参考サイトを読んだか】これから読みます
【hosts変更】無
【PeerGuardian2導入】無
【説明】
生体萌えスレ住民。
専ろだ2の方を見てたまには裏も見に行こうとしたらウイルススキャンが始まる。
そのまま放置して裏のスレを見ていたらウイルス検出したので
どっちにあったのかわからない状態。
もう一度スキャンしてみて出なかったので駆除し切れたとは思うけど
念の為に他のオンラインスキャンもやってみようと思う。

382 名前:(○口○*)さん:08/01/21 22:02 ID:6stYnyei0
>>380
ありがとうございます
詳しい知り合いにも相談したところ以下のウイルスじゃないかと言われました
ttp://www.haurijapan.com/virus/virus03.php?Vcode=JKW3000047&gStart=1&gSrchValue=joke
悪質な破壊活動はないものの実行したらちょっと面倒なことになりそうだったので削除してよかったようです
しかし、nProにウイルス検出機能があるとは知りませんでした
初めてのことでスレの内容とはずれた方で騒いでしまって申し訳ありませんでした

383 名前:(○口○*)さん:08/01/21 22:26 ID:h3AI18jJ0
nProの検出に引っかかるのは、かなりレアな事例。運がよかったなwww

384 名前:(○口○*)さん:08/01/21 22:28 ID:h3AI18jJ0
あ、書くの忘れてた。

nProが検出するってことは、その前段階のセキュリティソフトをすり抜けてるってことになるので、
導入してなければ、なんか入れとけ。導入しているのならパターン更新しろ。

385 名前:(○口○*)さん:08/01/21 22:53 ID:6stYnyei0
セキュリティはAVGとZA頼みで気になるときにカスペルスキーかけるくらいなので油断してました
ウイルススキャンは毎日やるべきなのでしょうか、数時間かかってしまうので週に一度くらいの頻度にしているのですが

386 名前:(○口○*)さん:08/01/22 00:01 ID:py00cXKt0
まさか常駐させてないのか?
基本的にパターン更新してて常駐保護があれば手動検索は週に一度で問題ない
ちゃんと設定された常駐保護をすり抜けるなら手動検索も(基本的に)すり抜けるよ

387 名前:(○口○*)さん:08/01/22 02:33 ID:x7LmzjZ00
自分のHPの投稿フォームから送られてきたURL
怪しさ満点だったのでaguseにかけたら案の定from China
残念ながら完全に削除しちまったのでここに貼ることはできないんだが

で、そのURLに添えられてたメッセージが、とても中華が書いたとは思えないほど巧妙なものだったので、
Googleにぶち込んでみた

結果、RO.Engineに登録されている某サイトの紹介文がヒットした
ごく普通のRO関連のサイトだった
どうやら中華が勝手にこの人のサイト紹介文を引用して、垢ハックURLを添えて爆撃しているようだ

なんか悲しくなったよ…

388 名前:(○口○*)さん:08/01/22 12:32 ID:72gnT67M0
とある画像掲示板にて詳細として検索したところハングルぽいサイトに繋がりました。
ttp://www■qinggu■com/traver/jiage■htm
予期してなかったので後ほどソークチェッカーオンラインとaguse.netでチェックしましたが何も出ませんでした。
どなたかここにトロイの木馬等設置されてる可能性とか分かる方はいますか?
稚拙な質問ですがよろしくお願いします。

389 名前:(○口○*)さん:08/01/22 13:11 ID:2I9q9lKX0
アカハックとは無関係。

390 名前:(○口○*)さん:08/01/22 13:36 ID:72gnT67M0
>>389さん
どうもありがとうございます。
カスペでスキャンしましたが何も出なかったので安心しました。
ゲームCGの趣味でROに影響してしまう可能性があるのは悲しいです。

391 名前:(○口○*)さん:08/01/22 21:45 ID:gywOsACf0
「Lunascape 4.6」正式版、最新Geckoエンジンでセキュリティも改善
ttp://internet.watch.impress.co.jp/cda/news/2008/01/22/18191.html

Geckoエンジンだとview-sourceが使えるので、LunaScape入れてたのでチェック。
そういや、最近は、ダウンローダで落としてエディタで開いて確認してるから使ってないな。

392 名前:(○口○*)さん:08/01/23 16:04 ID:HkuRuEb10
総合スレ9-326
>>348-351でlokiWikiの書き換え先が出ている。直しといたんだけど、またやられたのかもな。
あそこは編集不可で固定されてて、メニューだけが書き換え対象になっている。
踏んだらアウトなのでOS入れなおしコース行ってこい。

393 名前:(○口○*)さん:08/01/23 16:06 ID:H2dW5C3L0
行数制限にはじかれてしまう気がするので分割して投稿します

>そういう質問はこちらでどうぞ

>ロムサイトの情報が活発にやりとりされている日本でも有数のBBS
>BOB'S BBS Z
ttp://imbbs2t4u■com/up743205/jbbs578601/

自分が間借りしてる掲示板に↑の怪しい書き込みがあったのでソースチェッカーオンラインで
調べてみたところ
※ インラインフレームタグを発見しました。 (2)
ttp://www■mbspro6uic■com/indexm■htm
と、出ました

394 名前:(○口○*)さん:08/01/23 16:09 ID:H2dW5C3L0
上記URLもチェックするようにとあったので、チェックしてみたところ
※このアドレスは危険URLのひとつです。
★ブラクラチェックが終了しました。

※ インラインフレームタグを発見しました。 (1)
ttp://www■mbspro6uic■com/naizi/nait■htm
と、出ました

また↑のURLをチェックするようにとあったのでチェックしてみたところ
※このアドレスは危険URLのひとつです。
注意!ループタグを発見! (1)
★ブラクラチェックが終了しました。

※ windowオープンを発見しました。(2)
\x47\x45\x54
と、出ました

395 名前:(○口○*)さん:08/01/23 16:09 ID:HkuRuEb10
追記:
今、確認したら、やっぱりttp://www■teamerblog■com/blog/に書き換えられてます。
危険URLですので、踏んだ後一度もログインしてなかったら速効でOS入れなおしコースいってらー。

396 名前:(○口○*)さん:08/01/23 16:11 ID:H2dW5C3L0
さらに上記URLをチェックするようにとあったのでまたチェックしてみたところ
※このアドレスは危険URLのひとつです。
★ブラクラチェックが終了しました。
と、出ました

知識不足でよくわかりませんが、危険なURLであるということはなんとなくわかりました
幸い踏みませんでしたが、皆様もご注意を…

397 名前:(○口○*)さん:08/01/23 16:13 ID:HkuRuEb10
>>393-394
はい、既知の危険URLですね。確実にアカハックです。

踏んだ場合の対処

・ログインしていない→即OS入れなおし
・ログインしてしまった→安全な環境を用意して即パスワード変更→OS入れなおし

特定のセキュリティソフトで検知と除去ができるかどうかは、調査してくれる人の誤操作による発動の危険があり
確認してくれと頼むのは無理だと思っておきましょう。このスレは、『勇気が無くて見れないサイト解説スレ』では
ありませんのであしからず。

398 名前:(○口○*)さん:08/01/23 16:19 ID:H2dW5C3L0
>>397
了解しました
鑑定のために書き込んだと思われたのであれば大変申し訳ありませんでした

399 名前:(○口○*)さん:08/01/23 16:21 ID:HkuRuEb10
lokiwikiの話が出たのでloki板を見に行ったらこんなものが目につきました。

|539 名前:まったり名無しさん 投稿日: 2008/01/14(月) 14:19:15 ID:VU0eRI4A0
|意見交換
|日記は更新する、非常に!!助言する!
|p(#^▽゜)q
|itsuki01azn■blog18■fc2■com/

このアドレス自体は、fc2によって既に消されているようですが、文面にワラタ

400 名前:(○口○*)さん:08/01/23 19:23 ID:WwfzHQSV0
>>399
文面はブログペットの書き込みがベースじゃないかな

401 名前:(○口○*)さん:08/01/23 19:52 ID:Xkt6zdXJ0
以前に可能性検証レベルで話に挙がっていた手法が、現実に使われ始めたという話。

「ファーミング」攻撃の脅威が現実に――メール閲覧だけでルータ設定を変更 - ITmedia News
ttp://www.itmedia.co.jp/news/articles/0801/23/news091.html

>Webページや電子メールに組み込まれた悪質なHTMLやJavaScriptを参照しただけで、被害者のブロードバンドルータのDNS設定が
>変更され、以後すべてのDNSリクエストが攻撃者のDNSサーバを経由する状態になる。つまり、被害者のインターネット接続は実質的に、
>攻撃者にコントロールされることになる。

日本国内向けに、フレッツ光のCTUや、eAccessやACCAのルータ向けにカスタマイズされた代物が登場するのも、そう遠くは無いのかもしれない。
レンタルルータと言えど、デフォルトのパスワードのままでは運用しない。出来れば、ユーザー名も変更するのが望ましいが、固定されている場合も
少なくないのでこっちはある程度諦め。
出来る事なら、ルータの管理コンソールに接続できるIPを限定する設定を行い、それ以外のPCからはログオン出来ないような設定を施すのも
良いだろう。

402 名前:(○口○*)さん:08/01/24 12:55 ID:4/bmUgjj0
今さっきアサテンプレ見に行ったら、TOP画面がフレームと広告以外真っ白というか真っ黒というか
告知文とかが何にもない状態だったのですが
これって垢ハックとかが仕込まれてるのでしょうか・・・?
一応ソースチェッカーで見たのですが、特に何か仕掛けられてる様子ではないようでした
(素人目には、ですが)
どなたか詳しくわかるかた、もしよろしければご助言お願いします。
とりあえずウィルスチェックしてこようかと思います。

403 名前:(○口○*)さん:08/01/24 13:01 ID:PLpHPZQX0
※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※

404 名前:(○口○*)さん:08/01/24 22:29 ID:lqFvKsTM0
見に行って変だったから助言を求めてるのに>>403はおかしいだろ

アサテンプレ見に行ったけどもう普通に見られるな

405 名前:(○口○*)さん:08/01/24 22:42 ID:GAhXUDVP0
>>402の直後にアサwikiみたけど何も変じゃなかったからなぁ。
状況からして文字コード認識失敗だっただけじゃないのかと。

(広告iframe内との文字コードが別で)

406 名前:cc ◆FrYglD0YaE:08/01/25 03:41 ID:o0XpL05d0
【      気付いた日時          】 2008年01月25日0時
【不審なアドレスのクリックの有無 】google検索結果TOPにあって踏んだ。
【  アドレス   】http://yaplog■jp/petal_saya/monthly/200606/
【     OS    】WindowsXP Home SP2
【使用ブラウザ 】firefox 2.0.0.11
【WindowsUpdateの有無】毎日確認
【 アンチウイルスソフト 】 AVG7.5
【その他のSecurty対策 】ルータ
【 ウイルススキャン結果】 AVG7.5で感染無し、カスペルスキーオンラインスキャンで現在進行中
【テンプレの参考サイトを読んだか】 Yes
【hosts変更】不明
【PeerGuardian2導入】無
【説明】
鯖で有名なチート、BOT使用公言ギルドのBANされたはずのキャラが居たため運営に報告。
その際に情報収集でキャラ名でぐぐったら出てきたギルドのURL。

開いた瞬間、複数のダイアログが表示されたためLANを引っこ抜いてAVGによるウイルスチェック。
別PCによりROのパスワードは変更済み。
感染無しとの報告だったのでカスペルスキーで確認しながら情報収集。
しかし、ソースチェッカーオンラインにて隠しスクリプトが発見。
アラートオープン、ループタグがそれぞれ仕込まれていました。
ウイルスチェッカの報告が額面どおり信用できず、知識のある人に助言頂こうと書き込みした次第です。
OSのクリーンインストールまで行くべきでしょうか?

407 名前:(○口○*)さん:08/01/25 08:07 ID:VEYEb9EJ0
アカハックは仕込まれてないよ。

408 名前:cc ◆FrYglD0YaE:08/01/25 09:18 ID:o0XpL05d0
>>407
感謝します。
今後はセキュリティレベルもっと引き上げようと思っています。
ありがとうございます。

409 名前:402:08/01/25 12:21 ID:X7LFsWT50
>>403
気分を害されたのでしたらすみませんでした。

>>404,405
ありがとうございます。
垢ハックでよく聞くのが「真っ白のページ」なので、まさかと思いました。
ウィルスチェックの結果は何も検出されませんでした。
遅くなりましたが、一応報告まで。

410 名前:(○口○*)さん:08/01/25 19:28 ID:dogubbYa0
【      気付いた日時          】 1/25 15時頃
【不審なアドレスのクリックの有無 】 クリックしました
【  アドレス   】www■teamerblog■com/wiki
【     OS    】WindowsXP Home SP2
【使用ブラウザ 】IE6.0 sp2
【WindowsUpdateの有無】 常に最新にしてます
【 アンチウイルスソフト 】 ウィルスバスター2007
【その他のSecurty対策 】 カスペのオンラインスキャンを月一程度 AD-Aware
【 ウイルススキャン結果】 カスペのオンラインスキャンとウィルスバスターで見つからず
【テンプレの参考サイトを読んだか】 まだざっと目を通す程度でしか見てません
【hosts変更】 無
【PeerGuardian2導入】 無
【説明】
Forsety wiki内のリンクをうっかり踏んでしまい、ウィルスバスターが反応し
「VBS_PSYME.BFY」というウィルスが見つかったとのポップアップが出ました。
しかし、隔離できませんでしたと書いてあったのでスキャンしたのですが見つかりませんでした。
一応カスペルスキーのオンラインスキャンでも試してみたけどこちらも見つからず。

感染してしまったとは思うのですがスキャンしても見つからないってことは
ウィルスがどこかに潜伏してるということなのでしょうか?
また、削除することはできないのでしょうか?

411 名前:(○口○*)さん:08/01/25 20:10 ID:VEYEb9EJ0
「たぶん」大丈夫。

412 名前:(○口○*)さん:08/01/25 21:37 ID:fqTiZdjN0
>>411
ありがとうございます。

ということは、感染しそうになったけどバスターが防いでくれたってことでいいんですかね?
あくまで「多分」なのでしょうが・・・

413 名前:(○口○*)さん:08/01/25 22:05 ID:ugal4eyc0
そのブロックの表示が出たのは、本体を落とそうとするダウンローダ。
ダウンローダをブロックできれば、本体までいかない。

隔離できませんでしたというのは、削除したのが隔離を試みるタイミングより前だったり、
発動中でアクセス権なかったとか(って、セキュリティソフトであるのかな?)いろいろ
可能性は考えられるが、「もう存在しないので、隔離に失敗した」という意味の場合が多い。

1/23時点での調査だが、ファイルが差し替えられていなければ下記の通り。

ttp://www■teamerblog■com/blog/
ttp://www■panslog■net/wiki/index1■htm
ttp://www■panslog■net/wiki/send■exe
ttp://www■panslog■net/fc2/cery■exe
ttp://www■panslog■net/wiki/reco■exe

<<カスペの検出名>>
index■htm : Trojan-Clicker.HTML.IFrame.il
index1■htm : Trojan-Downloader.VBS.Agent.hi
send■exe : Trojan-PSW.Win32.Delf.aih
cery■exe : Trojan-PSW.Win32.OnLineGames.lyx
reco■exe : Trojan.Win32.Inject.ms

<<呼び出し順序>>
->index■htm
-->index1■htm
--->send■exe
--->cery■exe
--->reco■exe

VirusBusterは…名称未確認だが、「VBS_PSYME.BFY」という名称からすると
ブロックしたのは「index1■htm」と思われる。

まだ潜伏していると思ってOS入れなおしコースに進むか、上記流れを理解した上で
自己責任でそのまま使い続けるかどうかは、>>410さんの判断となります。

「なぜ隔離できなかったのか」について、よく考えた上で結論を出してくださいね。

414 名前:(○口○*)さん:08/01/25 22:11 ID:ugal4eyc0
あ、ごめん、フォルダ名が違うのな。blog→wiki。

でも、呼びだしてる内容は同じだった。以下同文ってことで参考にして欲しい。

ttp://www■teamerblog■com/wiki/
ttp://www■panslog■net/wiki/index1■htm

415 名前:(○口○*)さん:08/01/25 23:56 ID:SF36ehsh0
あっちのスレでも書かれてたけど、FEZのwikiが凄いことになってるなぁ。
メニューバーのほぼ全てが垢ハクへのリンク→直す→即座に改変
ってのを半日ぐらい続けてるらしく、FEZプレイヤが手作業で一々直している模様……
根本的な対策取れないもんかねぇ。

416 名前:(○口○*)さん:08/01/26 00:24 ID:OZjbnD0G0
管理人いたら、接続IPブロックとか禁止ワードとかいろいろできるんじゃないのかな?

417 名前:(○口○*)さん:08/01/26 00:30 ID:3c6HT9Mm0
>>413-414
ありがとうございます。
おっしゃるとおりファイルは「index1■htm」でした。
いい機会だし安心したいのでOS入れなおしコースに進みたいと思います。

418 名前:(○口○*)さん:08/01/26 00:39 ID:O2eZgtOl0
>>415-416
管理人が動いた模様。
今までいなかったから、有志が人力で……っていう感じだったみたい。

419 名前:(○口○*)さん:08/01/26 00:54 ID:7jBW+0q70
これで、FEZ住人にも危機感が芽生え、OCN経由で中継(?)接続している不届き者や、fc2にも焚き付けになると
もう少し状況が改善されるかもしれないのだけどなぁ。

420 名前:(○口○*)さん:08/01/26 00:57 ID:/BV0PeWt0
注意喚起しても垢ハク「だけ」だと思われるからな…
仕込まれるプログラム次第で被害はどうにでもなるのに

421 名前:(○口○*)さん:08/01/26 08:05 ID:1Ar4Fsn20
なんだか昨日のメンテ後からRO起動するたびに
毎回カスペからRagexe.exeが更新されてるって警告が出るな・・・

422 名前:(○口○*)さん:08/01/26 08:12 ID:OZjbnD0G0
>>421
同じフォルダの同じファイル名で同じファイルが日付だけ変わってるからだと思う。
うちも出てるよ。面倒だからルールから一旦削除して許可出しなおすかね。

423 名前:(○口○*)さん:08/01/27 08:05 ID:ff6npms9O
>>421

自分もポップブロックで同じのが出てくるんですがこれは大丈夫なんでしょうか?

とりあえず拒否にして、ウイルススキャンしたんですが何もでてこなかったです。

424 名前:(○口○*)さん:08/01/27 16:57 ID:RIwchi9y0
先日KIS7.0導入したものです。

NIS2006からの乗り換えを行ったのですが、
ROでの様々な動作が遅く(重く?)なってしまいました。
MAP移動時(同鯖)が一瞬だったのが、ワンテンポ遅れたり、
スキルエフェクト時に一瞬止まるといった感じです。

ファイアーウォールの設定を速度重視に変更したり、
信頼にROを設定して、プロアクティブディフェンスをOFFにしても改善されません。
もっと調べれば参考になる情報があるかもしれませんが、
上記症状で悩んでおります。
有識者の方がいらっしゃいましたら、アドバイスを頂きたいです。

■OS         :Windows XP PRO SP2
■CPU..       :PEN4 2.8G
■メモリ       :2GB
■ビデオカード.   :RADEON X1600XT
■セキュリティソフト:KIS7.0

425 名前:(○口○*)さん:08/01/27 17:21 ID:pz97qzam0
ノートンよりは軽いと思うんだけどなぁ。

試用期間なら、正式購入やめてNOD32かESS辺りを使ってみるとか。
安全と軽さのどっちを重視するかですね。

軽いけど、対応遅くて基本的にダウンローダはブロックしないので
アカハックに警戒するなら、NOD32は避けた方がいい方向なんだけど。

426 名前:424:08/01/27 17:25 ID:RIwchi9y0
>>425さん
ご返答ありがとうございます。

ノートンより良い噂を聞いたので乗り換えたんですが...
環境依存なのでしょうかね??

狩などでは、グラグラ描画される感じで酔ってしまいそうです!
期待して買っただけに困ったものです。

427 名前:(○口○*)さん:08/01/27 17:27 ID:AbTrEYqM0
ノートンからカスペ移住組み。

理由としては、ノートンの自動Updateが完全に切れないから。
まぁ、移住してもカスペも完全に切れなくてイラついてるわけだが。

自分がカスペの動作を重く感じるのは、0時になるタイミング。
Updateチェックらしく、一瞬ROが止まる。
あと、ROしてる間はメーラーは止めておくべき。
スパムチェックは阿呆のように重いから。
メッセも止めたほうがいいかも。
ずっとパケチェックが走ってるような感じで重い。

Loadingが100%で長く止まるのはPen4のセイだと思って諦めてる。

428 名前:(○口○*)さん:08/01/27 17:31 ID:xbDWrV890
>>424
ファイアウォールは「互換性重視の設定」のままで問題ない

ウェブアンチウイルスの「HTTPトラフィックをスキャンする」をOFFする

ネットワークの設定の「ポートの設定」を「指定したポートのみ監視する」にする。
(上でOFFにしているから関係ない?)

429 名前:(○口○*)さん:08/01/28 02:07 ID:x9y3Qny70
RO店価格調査隊のドメインがあと二週間ほど(2月9日)で切れるのがちょっと気がかり

余談だけど作成日が2003年2月ってそんな前からあったのかとちょっと驚いた

430 名前:(○口○*)さん:08/01/28 03:46 ID:UjuZG4ud0
罠URLを踏んだ場合、実際画面上ではどんなアクションが起こるのですか?

431 名前:(○口○*)さん:08/01/28 05:00 ID:ZN1zfGz90
>>424
ウェブアンチウイルスのHTTPスキャン(ポート80)のせいじゃないか?
ポート80がオンになっていると通常の通信によるパケットも全スキャンするので糞重くなる。
個人利用ならHTTPスキャンは特にオンにするメリットは無い。
何らかのウイルスはキャッシュに落ちた時点でファイルアンチウイルスが反応するしな

>>427
ノートンの自動updateは切れる。
ノートン自体の更新項目だけでなく、コントロールパネルのLiveUpdateも切れば
手動でやらない限り更新作業は一切行われなくなるぞ
まぁ、俺はもうカスペに移っちゃったから2008版はしらないんだけどさ。
2007版ならそれで切れる

432 名前:(○口○*)さん:08/01/28 05:14 ID:uktL02DS0
>>430
・偽装のページが表示されて気づかない
・真っ白なページが表示される
・他のページに飛ばされる

など、様々ですので、これといって確実に見分ける方法はありません。

433 名前:(○口○*)さん:08/01/28 07:05 ID:J2TP2HDx0
そろそろ期限が近いのと、ページが表示されなくなった為
RO店価格調査隊( ro-price.net )のドメイン有効期限が2008/02/09と
なっております。ご注意ください

> Domain name: ro-price.net
> (個人情報を含むため省略)
> Creation date: 09 Feb 2003 00:00:00
> Expiration date: 09 Feb 2008 00:00:00

434 名前:(○口○*)さん:08/01/28 07:08 ID:pjAjrzhv0
最近ROの起動時たまに「smss.exe」がどうとかでカスペが叫びを上げるんだが、これ何なんだろう
操作を拒否するとROが起動しないから、nProかクライアントの関係だと思うだんが…

435 名前:(○口○*)さん:08/01/28 08:25 ID:J2TP2HDx0
>>434
nProがWindowsのメモリ関連に干渉して起こる現象と思われます

smss.exeはセッションマネージャーサブシステムと呼ばれる
Windowsの動作に必要不可欠なプログラムです
OSが資源とアクセスする際のメモリの管理を行っているところに
nProが干渉して、カスペが叫んでいると思われますが
詳細はカスペユーザーの意見に任せます

436 名前:(○口○*)さん:08/01/28 08:28 ID:hxS+9a/W0
smssは、Windowsのシステムファイル

nProが起動時に使用している?、nProにより処理を乗っ取られている?関係で
警告が出る時がある。

437 名前:(○口○*)さん:08/01/28 08:33 ID:pjAjrzhv0
なるほど
ありがとう

438 名前:(○口○*)さん:08/01/29 01:55 ID:/7BgKPB70
今まで静かだったPGさんが
CN(jprmthome)
といういかにもな名前のをブロックしまくってるのですが、
もしかして垢ハック踏んじゃった可能性高いですか?

439 名前:(○口○*)さん:08/01/29 01:56 ID:kKmqSvvA0
そう思うならまずスキャンせい

440 名前:(○口○*)さん:08/01/29 03:59 ID:Y6KTLHIS0
438と同じくjprmthomeをブロックしている。
jprmthomeは、既知のハック所の模様で・・ ('A`) 現在スキャン中

441 名前:(○口○*)さん:08/01/29 04:08 ID:Y1GwaoD80
ドメイン失効で飛ばされてるのか、それとも踏んじまってるのかの判断はできないからな。

442 名前:(○口○*)さん:08/01/29 04:14 ID:cfp1N+rw0
なんかそれらしい所を踏んだ記憶はないかな?

443 名前:440:08/01/29 05:19 ID:Y6KTLHIS0
カスペのオンラインスキャン、AVGのスキャン終了。
ちょっと違う様な気がするものの、テンプレに沿って―

【      気付いた日時          】 2008/1/29 3:34
【不審なアドレスのクリックの有無 】 無
【  アドレス   】
【     OS    】WindowsXP Home SP2
【使用ブラウザ 】FireFox
【WindowsUpdateの有無】 自動更新+手動チェック
【 アンチウイルスソフト 】 AVG
【その他のSecurty対策 】 ルータ、Hitman Pro(Spybot S&D、PREVX、CoolWWWsearch、SpywareDoctor、SpywareBlaster、ewido、AdWare SE)
【 ウイルススキャン結果】 感染無し
【テンプレの参考サイトを読んだか】 セキュ・BS Wiki以外 YES
【hosts変更】有 Lineage資料室さんのhosts前回更新
【PeerGuardian2導入】有 RO・Lineageの危険IP、中韓台、中韓香
【説明】 WU、FireFOX、AVG、PG2は最新、HitmanProは2日前に更新しています。
      最近見たサイトは、自分のブログ+わむてるらぶ等と
      未実装Wiki[TOP・防具]、sageWiki[TOP・GvG・支援対人]のみ
      PGの履歴を見ると、未実装Wikiを開いた時程にブロックしているようです。

念の為別PCでPASS変更をして、該当PCは2日程家をあける間 放置します。

444 名前:(○口○*)さん:08/01/29 06:36 ID:Y1GwaoD80
jprmthome■comはCNではなく、USになってるな。

Level 3 Communications 所有のIPになってるし、どっかから飛ばされた(失効した)IPを見て
リスト中のjprmthome■comと同じIPとして認識している可能性もありそう。

445 名前:(○口○*)さん:08/01/30 16:53 ID:SE5WX27W0
>>433
薬屋関連のドメインだったのか

446 名前:(○口○*)さん:08/01/30 23:44 ID:H4q3wHp10
垢ハックアドレスぽいのを踏んでしまったみたいです。
スレを読んで、カスペルキーのオンラインスキャンをしたところ3つのウィルスがでました。

不安だったので、
ハードディスクから復元するをして、(これでウィルスは完全に消えた?)
カスペルキーのお試し版をインストールし、完全スキャンをして何も出ませんでした。

再インストールすれば、また踏まなければ、安心していいものなんですかね?

あと今後の対策としてお勧めソフトがあればご教授願いたいです。
現在、カスペルスキーのお試し版とスパイボットが入ってます。

447 名前:(○口○*)さん:08/01/31 00:24 ID:1o145qiQ0
駆除せず復元か、おっかねーな
再インストールをちゃんと理解してるかが怪しいが
不安ならカスペを購入しておいたらいいんじゃないか?

448 名前:446:08/01/31 01:04 ID:TF/OvcSp0
>>447
レスありがとございます。
この状態だとまずいですか?

パソコンの取り扱い説明書によると、
1.ハードディスクから復元する。
2.リカバリディスクから復元する。

のどちらかをやれば、買ったときの状態に戻ることが書かれたので1を試したのですが、

これだと、まだウィルス残ってる可能性高いですか?

カスペはお試し版終わった後購入を考えてたのですが、お試し版だと機能がちがうのでしょうか?
即購入したほうがよいのでしょうか?

今までは、ソースネクストのウィルスセキュリティゼロが入っていて、スキャンしたのですが、
検出できず、カスペオンラインスキャンでウィルスが検出されたので、
今回のことでカスペに乗り換えようと考えています。
アドバイスよろしくお願いします。

449 名前:(○口○*)さん:08/01/31 01:05 ID:EXkpVO9W0
復元するくらいならクリーンインストールだろ・・・
垢ハックされる可能性が捨てきれないが、それでもいいならそのままでどうぞ

450 名前:(○口○*)さん:08/01/31 01:20 ID:1o145qiQ0
お試しってのはずっと使えるわけじゃないぞ?
使用期限があるからそのうち機能しなくなる
期限まで使ってみて良さそうなら購入したらいいよ

451 名前:(○口○*)さん:08/01/31 01:47 ID:/pG/H62O0
>>449
今回、>>446が書いている復元は、XP付属機能であるシステムの復元ではなく、メーカーが出荷時状態に戻せるように
HDDにディスクイメージを入れ込んである方、所謂DtoDリカバリかと。
リカバリディスクの方は、CD-RやDVD-Rを自前で用意して、ディスクイメージを外部媒体に書き出した場合。
HDDだけだとクラッシュなどでイメージごと壊れる事もあるので、用意しておくにこしたことはないが。

452 名前:(○口○*)さん:08/01/31 01:48 ID:zCErsxXF0
>>448
ああ、なにかをインストールした時点(復元ポイント)までの戻しではなく、HDD内のイメージからの復元か。
それなら安全な環境に戻ってますよ。データとかも全て飛んでるけど。

HDDフォーマットからの新規インストールと等価です。この状態では、危険なファイルは存在しませんので
パスワード等を盗みだされる心配はありません。但し、セキュリティの穴を塞ぐためのWindowsUpdateと、
セキュリティソフトのインストールとパターン更新は必須ですが。

今後の対策として
・WindowsUpdate
 自動更新の設定にしておくこと
・セキュリティソフト
 カスペでもAntiVirでも好きなのをどうぞ。PCの能力にあまり余裕ないならNOD32辺りでも。
・スパイウェア対策
 Spybot、Ad-Aware SE(2007はあまりお薦めできない)、SpywareBlaster辺りを入れておけばいいかと。
 これらは全て併用可能ですので(同時にスキャンは知らせるとかはNGですが)入れちゃいましょう。
・防御策
 PG2でリネージュ資料室のリストを使用し、中国等をブロック。注意事項はPG2導入の解説サイト参照。

蛇足:
単に復元と呼ぶと、>.447さんやわたしのように、復元ポイントまでの復元と理解するのが普通じゃないかな。
HDD内のイメージからの復元のことは「リカバリ」と呼べば正確に伝わると思います。

>>449
448をよく見てくれ。復元ポイントではなく、HDDのイメージからの復元だから、クリーンインストールと等価だよ。

453 名前:(○口○*)さん:08/01/31 06:57 ID:SikvRQCx0
【      気付いた日時          】 1/31 6時頃
【不審なアドレスのクリックの有無 】 無し
【  アドレス   】
【     OS    】Windows2000
【使用ブラウザ 】Sleipnir
【WindowsUpdateの有無】 一週間以内
【 アンチウイルスソフト 】 NortonInternetSecurity2006
【その他のSecurty対策 】
【 ウイルススキャン結果】 ノートンでは未検出 現在カスペルオンラインスキャン中
【テンプレの参考サイトを読んだか】 今読んでます
【hosts変更】
【PeerGuardian2導入】
【説明】
サイト閲覧はしないサブPCで、2PCする為にROがインストールされているのですが、プレイ中にフリーズし再起動後ログイン出来なくなりました。
クライアントを再インストしようと思い、スキンとSSを保存しようとROフォルダを開いたところ、メインPCでは見かけた事のないexeファイルがありました。
なんだろうと思って詳細を見るだけのつもりが、ダブルクリックになってしまい、なにか英語で窓が出たあとそのexeファイルは消えてしまいました。
これはウィルスの類なのでしょうか?

454 名前:(○口○*)さん:08/01/31 07:00 ID:afo1ezmW0
不審なexeをわざわざ実行し、結果として消えてしまうという
怪しげな挙動を示したのにわざわざ聞く必要あんの?

455 名前:(○口○*)さん:08/01/31 07:19 ID:SikvRQCx0
言い訳にしかなりませんが、いつ作られたのかプロパティを見ようとしたらダブルクリックに・・・
オンラインスキャン半分終わりましたが今のところなにも検出されてません。
同じような経験がある方がいないかと思い書き込みました。

456 名前:(○口○*)さん:08/01/31 08:17 ID:pZv5F4Gn0
npkjpnuninst.exeじゃないかな。
昔の残骸。
npkcryptだったかを実装したときに不具合がでて
これを解除するときに配られたファイルだった気がする。
実行したら「This programうんたらかんたら」出て自身が消える。
あってもなくても関係なし。
俺はなんとなく実行させて消した。

457 名前:(○口○*)さん:08/01/31 08:24 ID:SikvRQCx0
オンラインスキャン終わりましたが何も発見されませんでした。
456さん、情報ありがとうございます。
きちんとファイル名と出てきた英語は覚えてませんが、恐らく同じかと思います。
お騒がせしました。

458 名前:(○口○*)さん:08/01/31 08:25 ID:pZv5F4Gn0
補足
npkjpnuninst.exe
nProtect KeyCrypt Uninstaller
「This program〜〜〜」じゃなくて
「The Program has been removed successfully」だった。

459 名前:(○口○*)さん:08/01/31 10:47 ID:Vwrkth7jO
怪しいファイルを選択するのに左クリックを使うのは、やめとけ。
右クリックで選択→メニューが出るのでそのままプロパティー
がまだ安全。

460 名前:(○口○*)さん:08/01/31 12:24 ID:mkRfmNgu0
向こうの358、上のほうでセキュスレへと既に言っているんだから誘導張る必要は皆無。

461 名前:(○口○*)さん:08/01/31 14:57 ID:Rx6YdGsN0
右クリックでも、コンテキストメニュー表示→うっかり連打で「実行」を選択、という罠がある。
Alt+Enterが最も安全。Alt+左ダブルクリックも等価。

462 名前:446:08/01/31 20:27 ID:TF/OvcSp0
449〜452の方返信ありがとうございます。

>>451
リカバリディスクの方は、あらかじめ準備してないとダメそうだったので、HDDからの復元を選択しました。
今回の件で、リカバリディスクは事前に準備しておかないといざ使えないことが分かりました。

>>452
リカバリといえばよかったのですね。
分かりやすい解説ありがとうございます。

とりあえず、セキュリティソフトはカスペのお試し版、
スパイウェア対策は、Spybot、SpywareBlasterをインストールしました。
またPG2の導入もしました。

あとAd-Aware SEを探したのですが、Ad-Aware2007Freeしか見当たらなかったので、
まだ検討中です。

今回の件でいろいろ勉強になりました。
相談に乗ってくれた方ありがとうございました。

463 名前:(○口○*)さん:08/02/01 00:14 ID:198Jltex0
>>461
そして、ALTがちゃんと押されてなくて実行してしまう、と。

464 名前:(○口○*)さん:08/02/01 00:50 ID:Rs7EY1xNO
質問です。
jword2.exeというのが消えたり増えたりしています。これはなんなのでしょうか?パソコン自体去年買ったばかりで怖くてネットに繋げません。
携帯から繋げられるところがここしかなかったのでお知恵を拝借させていただきたく…
マカフィーでスキャンしたのですが感染していないという結果になります。しかしCPUが100から90パーセントで唸っているので気持ちわるくてしかたないのです(つд`)

465 名前:(○口○*)さん:08/02/01 01:04 ID:4lGejfkh0
何かインストールしたときに同時に入れたんだろうな

JWordプラグインには次の問題点がある。
* スパイウェアの疑い
* 強引なインストール
* インストールされると、システムに常駐し、コンピュータ全体の動作が不安定となる原因となる
* 過去のバージョンはアンインストールが困難
そのため、スパイウェアのほか、アドウェアやマルウェア、ブラウザハイジャッカーとして扱われることもある。

wikipediaより
ウイルスの類ではないけど近い物ではある、出来れば入れない方が良い
しかしjword2.exeだったかな?

466 名前:(○口○*)さん:08/02/01 01:10 ID:2lzt73EX0
>>464
「JWORD」ってググってみたら、でてくるよ。
実際にはIEのアドレスバー上で日本語検索&ジャンプを行うソフト
ソースの一部にマルウェア扱いの中国製ソフトと同一のがあって、危険視されてた。
まぁ、もちょっと自分で調べてみなされ。
自分的にはアンインストールした方が良いかもなーと言っておく。
ちなみに、よくそれ、市販のPCはデフォルトインストール状態で入ってくることがある。

467 名前:(○口○*)さん:08/02/01 01:23 ID:Rs7EY1xNO
なるほど、つまりウィルス並みにしつこい何かということですか?
jword2.exeでググって出てこなかったので今からもう一度調べてみます。削除できないということにドキドキですが調べてからアンインストールしていいものか考えてから頑張ってみます。
ありがとうございました!(`・ω・´)

468 名前:(○口○*)さん:08/02/01 02:35 ID:0utBx+4p0
ちょっとやられちゃったんだけど被害にあった人でアイテムとか戻ってきた方いる?

469 名前:(○口○*)さん:08/02/01 03:16 ID:SJ+JTiN/0
なんか雰囲気軽そうだがともあれご愁傷様です。
過去の報告によると、ペットの卵(消耗品もかな?)などを抜かしての装備系は、
警察の調査終了後に大体戻っては来るらしい。
ただ私が実際やった訳じゃないので本当かどうかは判りませんが、
何度か戻ってきたという報告はありました。
ただ皆さん半年とか掛かっているっぽいですが。

とりあえずPCフォーマットからOS再インストして、
安全な状態に戻してから癌胞のアカハックのフォームから送り、警察に連絡などを。

470 名前:(○口○*)さん:08/02/01 03:36 ID:0utBx+4p0
まさかこんなにはやくレスくれるとは感謝感激です
総額がかなり行っちゃったんで軽くしないとやっていけなかっただけですw

癌のことだし・・と落胆してたのですがおかげさまで希望が持てそうです
ありがとうございます!

471 名前:(○口○*)さん:08/02/01 04:12 ID:yuJvWJsU0
私も前に被害にあって癌と警察に通報して話したことはありますが、
調査が終わった後調査した結果等は教えたもらえましたが
アイテムはやはり戻っては来ませんでしたね

癌はそういった垢ハックの被害での補償は基本的にしないと思ったほうがいいです

何かよほど特殊な場合による被害であれば対応してくれるかもしれませんが

472 名前:まとめ臨時 ◆kJfhJwdLoM:08/02/01 05:17 ID:BjBJ9Ft90
>>468
もう知っているかもしれませんがご参考までに…。
アカウントハック体験記 http://air1.fc2web.com/as/id.html

この方以外にもアカウントハックから
アイテムが帰ってきたって看板を立てていた露店さんやら見かけたことも。
やれることはやっておいて経験になりますし損は無いかもです。

473 名前:(○口○*)さん:08/02/01 05:56 ID:lSernppZ0
>>462
AD-Awareは確かに2007は使い辛く、SEの頃が良かったんだが
肝心のSEは先月12月に更新配信を終了した。
よって新しいスパイウェアはもう発見できなくなる。
だから素直に2007でいい。

2007は一度起動すると同時にaawservice.exeが勝手に常駐されてリソース食うんで
(常駐保護プログラム。無料版では使えない機能)
コントロールパネル→管理ツール→サービス で
AD-Awareの部分のプロパティを開いて手動にすべし。(無効にすると起動しなくなるからダメ。同じ理由でmsconfigのAD-Aware項目も切ってはいけない)

474 名前:(○口○*)さん:08/02/01 06:17 ID:4lGejfkh0
糞アスキーは日本語パッチ潰しただけでそのあと音沙汰ないとか糞過ぎるよな

475 名前:(○口○*)さん:08/02/01 07:40 ID:ykF3yOSs0
私もカスペに乗り換えた途端重くなって困っていた一人ですが、こちらのスレのおかげで改善できました。
ウェブアンチウイルスのHTTPスキャン切ったら移動が軽くなって、プロアクティブディフェンス切るとスキル使用も大分ましになりました。
Core2Duoなのにプロアクティブディフェンスつけてると、移動しながら矢を持ち替えただけでガクガクに・・・

こちらでヒントくれた方々サンクス。

476 名前:(○口○*)さん:08/02/01 23:25 ID:0JRiUCEW0
HTTPスキャンとプロアクティブを切った場合
どんな危険性があるかわかりますか?とりあえず切ってみましたが・・・

477 名前:(○口○*)さん:08/02/01 23:26 ID:O+lr35/z0
> 肝心のSEは先月12月に更新配信を終了した。
> よって新しいスパイウェアはもう発見できなくなる。

SEの定義ファイルは、ここからダウンロードできる。
http://www.lavasoft.com/support/securitycenter/blog/
が、それもいつまで続くか分からないので、Spybot辺りに乗り換えるのが良いかもしれない。

SE1.05はまだオンラインアップデート出来るみたいだね。
日本語パッチもあった筈なので、持ってる人は大事に使い続けてください。

478 名前:(○口○*)さん:08/02/01 23:31 ID:4lGejfkh0
危険性と言うほどのことはない、+が0になるだけで−と考えれば
とかなり適当なことを言ってみる

479 名前:(○口○*)さん:08/02/02 00:07 ID:CKxgIRus0
最近私のブログにこんなURLが張られるようになりました

ttp://op■8e8a?■???/GO48M/

ソースチェッカーやagusaでも検索したんですがサイトとしては存在していないみたいです
自分にこのようなアドレスを調べれる知識も環境もないのでこちらで質問させていただきました
分かる方がいらっしゃいましたらご教授願います

480 名前:(○口○*)さん:08/02/02 00:11 ID:Zw8dUP3Z0
>>479
そりゃ、記載が間違ってなければ、アドレスとして成立しないしな。全角の?混じりなんて。

481 名前:(○口○*)さん:08/02/02 00:12 ID:CKxgIRus0
文字化けしてしまってる・・・OTL

http://op.8e&#x38;&#x61;&#101;■&#110;&#101;&#116;&#x2f;/GO48M/

文字化けしてたところだけ全角にしてみました

482 名前:(○口○*)さん:08/02/02 00:42 ID:VuRRTYkn0
>>481
とほほのWWW入門より
ttp://www.tohoho-web.com/html/char.htm
ttp://www.tohoho-web.com/lng/200002/00020303.htm

「&#」と「;」の間はアスキーコードで10進数表記すれば、HTML上では
文字として表示されるらしいです、「&#x」として16進で出来るかは不明
>>481の例だと、「 op■8e8aen■net//GO48M/ 」になるのかな
もうちょっと調べてみます

483 名前:(○口○*)さん:08/02/02 01:14 ID:+ugIhxkX0
AsciiじゃなくてUnicodeだけどね。
数値文字参照でURL貼るなんて、悪意があるに決まってる。

484 名前:(○口○*)さん:08/02/02 01:21 ID:RFrq/xYd0
今の時点だとアダルトサイトに転送されるね。
ソースチェッカーは
※このアドレスはワンクリック詐欺サイトのひとつです。
と言ってる。
危険なスクリプトは無さそうだけど怪しすぎ。

485 名前:(○口○*)さん:08/02/02 01:30 ID:VuRRTYkn0
したらばの掲示板を利用している場合、上記の書き込み方法で
禁止ワードに指定されている文字列も書き込めるので注意が必要です

486 名前:481:08/02/02 01:30 ID:CKxgIRus0
>>482〜484
感謝です
あの訳の分からない文字列にそんなのが・・・
どーも携帯から投稿してるのでブログ設定のアク禁にするのが無理っぽい・・・

487 名前:(○口○*)さん:08/02/02 02:44 ID:HdxPyWWw0
携帯・・・。
日本の携帯なら個人特定したようなものだよな。

488 名前:(○口○*)さん:08/02/02 02:56 ID:VuRRTYkn0
>>481
少しURLを間違えてるかも
ttp://op■8e&#x38;&#x61;■&#110;&#101;&#116;/GO48M/
だったりしないかな?

これだと、8e8ae■net という、アダルト系サイトになると思う
ただ、iframeが用いられていたり、少々怪しいサイトではあります

489 名前:481:08/02/02 05:31 ID:CKxgIRus0
それに似たようなのがこのアドレス含み3種ほど張られていました
嫌がらせの意味を込めてであればその携帯のメアド(受信で自動記録される)がわかりますが・・・
こっちからそういう人間にメールを送りたくないのが本音ですね
機種はドコモってことだけ報告です

というか携帯からこういうアドレスを張るっていうバイトでもあるんですかね?(やたら張られるので)

490 名前:(○口○*)さん:08/02/02 07:38 ID:eoYqm6RV0
アダルト系spamは、携帯からのみ投稿できるサイトにも投稿できるように、移動機から送信していることも珍しくない。
この手のは、人海戦術で行っている場合と、リスト作成PC等から事前準備を行ったものを、携帯メールに転送してたたき台にしている
場合などが考えられる。
バイトで賄っている可能性も否定できない。一時期出会い系サクラ募集が求人誌面を賑わせていたように。簡単な入力バイト等と
表現して人手を集めていた模様。

spamは原則、キャリアへの通報に限る。
文面をそのまま、情報提供アドレスに転送すればよい。リモートホスト情報も添えて。
ttp://www.nttdocomo.co.jp/info/spam_mail/if/index05.html (ドコモの案内ページ)
ttp://www.ne.jp/asahi/makoto88/angel/love017-tsuhou.htm (解説サイト。ページ内の参考リンクは古いが)

491 名前:(○口○*)さん:08/02/02 08:53 ID:Zw8dUP3Z0
不正使用の携帯の可能性もあるけどな。

送信元IPが割れているなら、そこの管理者宛に苦情を出すこともできる。
IPの所有者をwhoisで検索して、
 技術連絡担当者
 技術管理者
 Technical-Contact
 Tech-C
 Tech-Email
というのを探します。この、Tech-Emailが連絡先になります。

492 名前:(○口○*)さん:08/02/02 08:55 ID:Zw8dUP3Z0

私が、掲示板へのspam投稿をされた時の苦情送信テンプレを参考に紹介しておきましょう。
「私の管理するBBSに対し〜」を「私の管理するBlogに対し〜」にすればいいかと。
対処依頼メールの送信先は、>>491の探し方で。

Subject:御社を利用したspam送信対処依頼

>担当者の方へ
>
> こんにちは、私は****(自分の本名)****というものです。
> このたび
> < >
>を名乗る人物が、御社の関係するサーバを、中継サーバ、送信サーバ、
>あるいはダイアルアップ接続等に悪用し、私の管理するBBSに対し
>「一方的迷惑広告」(spam)書き込みが行われました。
>
>記録されたIPを見ると、「」であり、御社管理下のものです。
>
> 各種の情報から、この送信者は不当にかき集めた不特定多数の掲示板に
>対して送信しているものと考えられ、同様な多数のアダルトサイト宣伝
>投稿により私はとても迷惑しております。IP弾きや、NGワードなどにより
>制限を行なってはおりますが、このような業者を放置するべきでないという点は、
>ここでこれ以上言う必要がないと信じます。
>
> 私のメールアドレス等の個人情報をspam送信者に開示すること、
>spam問題解決の為「以外」に用いることはお避け下さい。
>
> もし貴社が対策をするつもりがあるのなら「定型文でも」「遅れても」
>構いませんので、御返事頂けると有り難く思います。
>
> ではお願いいたします。
>
>---掲示板のアクセスログ---
>
>---掲示板の書き込み内容---
>
>---掲示板のアドレス---
>

493 名前:(○口○*)さん:08/02/02 09:43 ID:H2rjnMbWO
物質スレの>>670は安全?

494 名前:(○口○*)さん:08/02/02 09:55 ID:2g8WJ6Zv0
もう元に戻ってるよ
ただ開いても真っ白だった時は安全だったのかどうか知らん

495 名前:(○口○*)さん:08/02/02 10:15 ID:qPwFoSsW0
>>493
>>7
しかも何処のスレだかわからね…

496 名前:(○口○*)さん:08/02/02 11:49 ID:JxeweO/I0
物質 ×ぶっしつ ○物凄い勢いで誰かが質問に答えるスレ

497 名前:(○口○*)さん:08/02/02 12:20 ID:02i3ZLIC0
そこは時々調子悪くなるからさっぱりわからん。

498 名前:(○口○*)さん:08/02/02 12:52 ID:qPwFoSsW0
>>496
説明ありがとさ〜

499 名前:(○口○*)さん:08/02/04 09:03 ID:V/SheAzs0
リネージュ資料室の日記より。
ttp://lineage.nyx.bne.jp/diary/20080130.html
>で、中国の人にそのページを見てもらって内容を大雑把に英訳してくれたようで、今日その結果を送ってくれました。いわく
>「当方、高性能なトロイの木馬を所有。この個人サイト(うちのこと)に侵入してトロイを仕掛けてくれる協力者を募集します。
>ゲームのアカウント情報を得て、現金収入にしませんか」。 ……。やはり…。だけどさー。どうしてうちのサイト名指しなのよ。はぁ…。

個々のユーザー狙いもそろそろ分が悪くなってきたのだろうか、対策サイトなどにスピア狙いにシフトしつつある傾向が見え隠れする。
PC環境のセキュリティ整備も重要だが、情報発信手段を持ち合わせているユーザーは、そちらの警戒も抜かり無く。

500 名前:(○口○*)さん:08/02/04 09:34 ID:yYCb85Cz0
リネージュ資料室の更新チェック→検体提出 で結構な数の新型に対応して貰ったからなぁ。
あそこを潰せばセキュリティソフトの対応速度が落ちるという判断は間違ってないかも。
頑張れ、リネージュ資料室の中の人。

最近の報告も、誘導される先は同じものだし、業者サイトの更新頻度は鈍っている模様。

501 名前:(○口○*)さん:08/02/04 09:39 ID:PwOrLHkU0
すげぇな・・・寄生虫もここまで進化すると本当に存在自体が害だな。

502 名前:(○口○*)さん:08/02/04 16:22 ID:In49zrb40
某国のギョーザ工場で働いてる人の月収は日本円にすると1万5千円だそうだ
垢ハク→RMTがいかに莫大な収入になるのかよくわかるな('A`)

503 名前:(○口○*)さん:08/02/04 17:05 ID:HkWBQZFp0
資料室さんの所は、言わば各種ネトゲの垢ハック対策の総本山的扱い。
単に中華から敵視されてるだけって気もするけど、負けないで欲しいな。

しかし個人サイトやWikiで、こうやって狙われた場合の対策って、何があるんだろうか?

・サイトのPASSを定期的に変更する
・htaccess使って中韓台からのアクセスを拒否する(他を踏み台にされると無力だけど)
他に何か有効な対策ってある?

Wikiで改竄防止なら(pukiwikiだと)spam.iniの導入などいくつかあるけど、サイトそのものを
対象とした攻撃については、レン鯖使用の管理人レベルではどうしようもないのかねぇ?

504 名前:(○口○*)さん:08/02/04 17:15 ID:thCkGYEl0
>>499
発想としてはセキュリティソフト無効化の延長だな。

505 名前:(○口○*)さん:08/02/04 21:49 ID:zNo4l5XyO
最近はニコニコ動画も危ないらしいんだけど
どう危ないんだ…?

506 名前:(○口○*)さん:08/02/04 21:50 ID:sS7vU3Db0
「らしい」「友達に聞いた」
これらの方がよっぽど危険だよ

507 名前:(○口○*)さん:08/02/04 22:52 ID:eZsykleE0
誰でも書き込むことが出来るなら危険度は大差ない

508 名前:(○口○*)さん:08/02/05 00:55 ID:yodlLaea0
リネージュ資料室と言えば、あそこのドメインを提供しているjspeed、
DDNSの提供はとっくの昔に中止してるよね。
突然接続出来なくなるとか、ドメイン変更先が分からないなんてことも
今後ありうると思う。

みんなその辺の対策はしてる?

509 名前:(○口○*)さん:08/02/05 01:05 ID:4d96vFXo0
>管理人日記 2008/02/01 (Fri) タダほど高いモノ

を読んでおこう

510 名前:(○口○*)さん:08/02/05 02:03 ID:wfgr4qOG0
>>505
MMO関連の動画の頭にアカハクサイトのURLはってくやつがいる。
NGIDにいれておけばきれいに全部消えるから張ってるのは少数の模様。

511 名前:(○口○*)さん:08/02/05 11:10 ID:fW734EPt0
バレンタインデー関連のウイルスに注意、トレンドマイクロが警告
http://internet.watch.impress.co.jp/cda/news/2008/02/04/18343.html

512 名前:(○口○*)さん:08/02/05 13:29 ID:z9+QHcPp0
この前プロで露店巡り中にAFKてたらいつのまにか同一セルに中華が湧いてて
ハック露店を立ててた。なんとなく邪魔してやろうという気になって露店を重ねてみる。
しかし最初にその座標にいたのはこちらだが、先に露店立てたのは中華。はてどちらが優先だろうか。
早速別PCで確認しに行ってみた。すると優先されてたのは見事にこちらの露店。ハック露店は完全に隠れてた。

そんだけ。

513 名前:(○口○*)さん:08/02/05 15:26 ID:TVWD8cSF0
もう一度画面外へ移動して再度見てみろ

514 名前:(○口○*)さん:08/02/05 15:34 ID:GDb0v5hW0
先ほど垢ハックらしきものを踏んでしまったのでPCリカバリーしたのですが、HDDのフォーマットしてからと書いてあるのを見ないでしてしまい、リカバリーしてからしようと思い、フォーマットしようとしたのですが、Cがフォーマットできません><
HDDフォーマットしないとやはり危ないのでしょうか?
別PCからパスやIDは変更済みです。
HDDフォーマットの仕方を色々調べてやってみたのですが、できません;;
分かる方いらっしゃったらご教授お願い致します><

515 名前:(○口○*)さん:08/02/05 15:40 ID:e1LA5hNH0
以前は先に開いた窓が優先されてたけど今はどうなんだろう

516 名前:(○口○*)さん:08/02/05 15:53 ID:n9Zg3Vgt0
だから座標進入時間優先という話だろう

517 名前:(○口○*)さん:08/02/05 16:50 ID:fW734EPt0
>>514
メーカー製PCのリカバリ(専用ディスクかHDD内のイメージから)であれば、問題無い。
OS再インストールであれば、OS以外の部分に残っていて後で発動させてしまう可能性が残る。

518 名前:(○口○*)さん:08/02/05 16:52 ID:fW734EPt0
>>516
サーバーから来る順序が先入れ先出しになっているとは限らない。
別PCから自分が上に見えていたとしても、他のPCからは逆の場合もありうる。

まぁ1/2の確率かそれ以上かはわからないが、BOTの露店が見えない人もいる状態にしてやったと
いうことなんだろう。

519 名前:514:08/02/05 17:01 ID:GDb0v5hW0
>>517
メーカー製のリカバリディスクからやりました。
問題ないとのこと、ほっとしました。
本当にありがとうございました。
これから踏まないように気をつけたいと思います。
素早い返信本当にありがとうございました。

520 名前:(○口○*)さん:08/02/05 17:11 ID:nl4uOIrr0
>>518
ROの露店看板の表示は元々早い者順だぞ(縦移動の場合)
それを踏まえた上での同じ座標の場合の報告だろ

521 名前:(○口○*)さん:08/02/06 09:50 ID:3pRT8/ZF0
アカハクスレから指摘されて来ました
焦っていてスレ間違えてしまったorz

ROクライアント起動時の画面が「取り消されたアクション」になって
表示されないんだが、これはウィルスと関係あるのだろうか。
ただ、重いだけで表示がされないだけなのか・・・
皆さん、起動時の画面は表示されてますか?

522 名前:(○口○*)さん:08/02/06 09:54 ID:P9V+tKOI0
今、パッチ鯖が落ちてるみたいだよ

523 名前:(○口○*)さん:08/02/06 09:55 ID:3pRT8/ZF0
そうでしたか!
ありがとうございます・・・!

524 名前:(○口○*)さん:08/02/06 09:57 ID:enAeSJNh0
>521
蜂鯖が不調っぽくて、告知がDL出来てないだけと思われ。
鯖落ちスレでも同様の報告が上がってるから、「多分」ハクとは関係ない。

スレタイ:鯖落ち状況報告スレッド〜その82
ttp://gemma.mmobbs.com/test/read.cgi/ragnarok/1201257408/l50

525 名前:(○口○*)さん:08/02/06 09:59 ID:P9V+tKOI0
直ったみたい

526 名前:(○口○*)さん:08/02/06 10:41 ID:IZilJO5s0
======================[ 2008-02-06 ]======================
[ パッチサーバ接続障害に関して ]

2月6日(水) 8:30頃より、
一部のお客様においてパッチのダウンロードができない障害が
発生していることを確認いたしました。

そのため現在、
復旧の為の作業を行わせていただいております。
復旧作業が完了いたしましたら、
改めてご案内させていただきます。

ユーザーの皆様に
ご迷惑をお掛けいたしました事をお詫び申し上げます。

527 名前:(○口○*)さん:08/02/06 18:47 ID:qh9MtezY0
すみません、質問させていただきたいのですが、
兄が買ったPCにPGを導入しようと思ったのですが、OSがVistaでした。
リネージュ資料室さんの方で紹介されているPG2は対応OSにVistaの文字が無いのですが、
Vista対応のPG2というものはあるのでしょうか?
宜しくお願いします。

528 名前:(○口○*)さん:08/02/06 19:38 ID:enAeSJNh0
公式で配布されてるものはVistaでは動かない。
Vista対応版は今開発中で、RC1(RCというよりかは人柱版な気がするが)なら一応出てる。

自分はVista使ってないのでRC1版も入れてない。
なので実際の動作/安定性は不明。
過去スレでもRC版を使ってるって人は居なかった気がする。

公式からリリースの発表が出るまでは、Vistaでの動作は諦めた方がいいかも。

529 名前:(○口○*)さん:08/02/06 19:41 ID:qh9MtezY0
なるほど、厳しそうですね。ありがとうございました。
もうPG2無いと全裸で戦場歩くような気分だ…

530 名前:(○口○*)さん:08/02/06 19:48 ID:fAYCy1e00
PG2あっても中継局通した鯖からやられるとダメだし
まぁ、無いよりはマシって程度。

無くても下手なリンク踏まないよう常に心がけていればまず感染はしない
リンク見る時は周囲の反応を見るのと
必ずソースチェッカーやaguseで見るのを忘れずに。
あと疲れている時&酒飲んだ時は無理にPC触らない事だw
そういう時はうっかりクリックしがちだからな

531 名前:(○口○*)さん:08/02/07 02:28 ID:wByMf1PF0
さきほどPCをスキャンしたら「sys keylogger pro」というキーロガーが検出されました。
隔離はしたんですが・・・。
不安なのでこのキーロガーについて詳しく教えて下さい。
今までログインする時に使っていたパスワードなどは変えた方がいいのでしょうか?

532 名前:(○口○*)さん:08/02/07 03:05 ID:A2dIG85b0
>>531
検知したセキュリティソフトによって、名称が異なるので、その辺の情報も書いてくれると嬉しいな。
>>4のテンプレを利用してみてくれ。

キーロガーは、キーボードからの入力をかっさらう(もしくは、それと類似の動作をする)ものの名称。
パスワードを盗みだすものなのか、IMEのように横取りして、他のタスクに戻すものなのかは
わからない。カスペのプロアクティブディフェンスで、Keyloggerのダイアログが出た場合のように
正当なソフトのふるまいがキーロガーと似ていた為に検知しただけで、安全なものである可能性もある。

検知されたファイルがどこのなんていうファイルで、誤認ではないのかどうかも判断のしようがない。
パスワード変更の必要性も、何を対象とした危険アプリで、なにを変えないといけないかは判断できない。

詳細がわからない場合、1CD Lunuxのブラウザなどの安全な環境からパスワードを変更し、
該当PCはリカバリかOS入れなおし(必要なデータのバックアップは忘れずに)することを推奨。


「sys keylogger pro」でぐぐってみると、子供がどんなことをしたのか記録しておいて確認するとか
そんな説明文のソフトが出てきました。ユーザ名やパスワードもばっちり記録するぽいです。

テンプレを埋めて貰っても、大したことはわからない可能性は高いですが、
・危険かどうかの判断はできない
・いつどこで入手したかがわからない
という状況ですので、「安全な環境」から「すべてのパスワード類」を変更するのが安心でしょう。
安全なファイルの誤検知であった場合でも、パスワードを変更して自分が困ることはないですし。

533 名前:(○口○*)さん:08/02/07 04:22 ID:wByMf1PF0
>>532
ごめんなさい、あまりに驚いて焦っていたのでログも見ずに書き込んでしまいました;
そうですね。とりあえずパスワード類は全て変えようと思います。


【      気付いた日時          】 (2月6日)
【不審なアドレスのクリックの有無 】 (無)
【  アドレス   】
【     OS    】(Windows Vista Home Basic)
【使用ブラウザ 】( IE7.0 Grani)
【WindowsUpdateの有無】 (有 最終更新日:2月7日)
【 アンチウイルスソフト 】 (スパイスウィーパー ウィルス対策付き)
【その他のSecurty対策 】 (スパイスウィーパー)
【 ウイルススキャン結果】 (スパイスウィーパースキャンで sys keylogger pro 検出)
【テンプレの参考サイトを読んだか】 (Yes)
【hosts変更】(無)
【PeerGuardian2導入】(無)
【説明】
PCをスパイスウィーパーでスキャンしたところ、とてもリスクランキングの高いキーロガーが検出されたので隔離をしました。
名前は「sys keylogger pro」で、カテゴリは「System Monitor」と書いてあります。
前回スキャンしたとき(二週間以上前)は検出されませんでした。

機械には疎い方なので、詳細が分からない場合は自分で色々いじるよりお店に行って診てもらった方がいいのでしょうか。

534 名前:(○口○*)さん:08/02/07 05:37 ID:A2dIG85b0
最近検出された理由は複数考えられる
 ・最近感染したので検知した
 ・前から感染していたが、最近パターンの更新で検知できるようになった
 ・パターン更新した際の誤検知が発生した
どれかは、判定できない。

スキャンし、除去した後に、再検知されないのでクリーンになったと信じてそのまま使う
(パスワードは変更する)という手段もありですが、他にナニが潜んでいるかわかりませんので
他社のウィルススキャンも併用する必要がありますし、それでも完全という保証はできません。

確実に安全な環境にする為には、「PCメーカーの付属してきたディスクorHDD内のイメージからのリカバリ」
「Windowsの再インストール」のどちらでもいいです。

>機械には疎い方なので、詳細が分からない場合は自分で色々いじるよりお店に行って診てもらった方がいいのでしょうか。
いや、これは、自分でやるべき内容です。

どうしても判らない場合は、メーカーに送ってリカバリしてくれと言えばやってくれますが、
無駄にお金を取られるだけですし、これはやって覚える性質のものでもあります。

リカバリの方法はマニュアルに書いてあると思いますので、それを見ながらその通りにやってみてください。
やってみて、再起不能になったと思った時にはメーカーに送り返しましょう。

ワードやエクセルで作った文書、メールの内容やブラウザのお気に入りなども消えてしまうので、
バックアップを取らなければならないことだけは忘れないように。ROのSSなども消えますし、
インストール用のクライアントも消えてしまいますので、再度ダウンロードするか、DVD等に保存して
おくとよいでしょう。

再インストールしたら、WindowsUpdateの実行とセキュリティソフトの再導入を忘れずに

535 名前:(○口○*)さん:08/02/07 09:10 ID:lknxWuIb0
BOTnews Light (ボットニュース ライト)
ttp://yaplog.jp/kyorocyan
これ垢ハックか教えてくれ えろいひと

536 名前:(○口○*)さん:08/02/07 09:28 ID:7fu7f2x70
>>535
>>1

537 名前:(○口○*)さん:08/02/07 09:34 ID:lknxWuIb0
ふぁびょったすまんこ

538 名前:(○口○*)さん:08/02/07 10:56 ID:ylRl3V6t0
ファビョったって意味も解ってない気がする。
とりあえずURL鑑定は2chに該当スレがあるのでそっちに任せとる。

539 名前:(○口○*)さん:08/02/07 12:47 ID:JHTidzWH0
2chの方で鑑定してもらって
もし有害なら2chで聞いた事を述べた上でここにリンクにならないように貼り、
ここは既出サイトなのか、どんなウイルスに感染するか聞く程度ならいいんじゃね

最初からここは有害ですか?だと無視されるか>>1嫁って言われて以後スルーだな

540 名前:(○口○*)さん:08/02/07 13:29 ID:IG6agcuU0
日本語も礼儀もわからいやつは最初から無視で良いと思うよ

541 名前:(○口○*)さん:08/02/07 13:29 ID:IG6agcuU0
な、が抜けてるし、俺も日本語わかってない/(^o^)\

542 名前:(○口○*)さん:08/02/07 14:46 ID:JCHLlxCB0
>>総合スレ397,398
OS再インストールが不可能な環境で使い続けるって、どれだけリスキーな事か本当に理解して/できているのだろうか。
リスクはアカハックだけではない。
物理/論理的にOSがダメージを受ける事もあるだろうし、つい最近も、HDDフォーマット狙いのマルウェアが流行したばかりだ。

543 名前:(○口○*)さん:08/02/07 15:08 ID:x+uRb0YY0
当人が被害受けるだけならいいんだけどゾンビPC化なんてこともありうるからなあ…

544 名前:(○口○*)さん:08/02/07 15:40 ID:6y+y8VAP0
teamerblog踏んじまった
AVSさんが警告出してたから防げたと信じたいが・・・
とりあえず今カスペル中

問題は今絶賛ログイン中なんだよな。
とりあえず資産を別垢に非難させておくか・・・

545 名前:(○口○*)さん:08/02/07 15:46 ID:wByMf1PF0
>>534
分かりました、自分でなんとか頑張ってみます。
丁寧に教えて下さって本当にありがとうございました。

546 名前:(○口○*)さん:08/02/07 15:53 ID:t//imlYK0
今までURLクリック→ブロックとか、
スキャン→検知→削除したのにハックされた事例ってあった?

547 名前:(○口○*)さん:08/02/07 15:56 ID:ylRl3V6t0
気付いた人は相談しに来てフォーマットやリカバリしているのでサッパリ。
ただ検知抜ける新型報告は多数あるんで、
対応前のや検知できないの混じってりゃアウトなんじゃないかね。

548 名前:(○口○*)さん:08/02/07 16:06 ID:c2MAhYQv0
AdobeReader8.1.2、およびQuickTime7.4.1+iTunes7.6が出ているので
踏みたくない人は更新しましょう。RealPlayerは絶賛放置中。

549 名前:(○口○*)さん:08/02/07 16:16 ID:0r7ir13cO
>>548
それらソフトの更新とアカハックウィルスの関連性を
無知な自分に教えてもらえないだろうか。
ウィルスソフトやwindows updateの更新が必要なのは分かるんだが…。

550 名前:(○口○*)さん:08/02/07 16:19 ID:x+uRb0YY0
垢ハクに無関係なら他のソフトの脆弱性を放置してもかまわないってものじゃなかろ。
この二つは利用者がかなり多いし。

ttp://itpro.nikkeibp.co.jp/article/NEWS/20080207/293238/
ttp://internet.watch.impress.co.jp/cda/news/2008/02/07/18384.html

551 名前:(○口○*)さん:08/02/07 16:32 ID:GdCvdeec0
>549
>ウィルスソフトやwindows updateの更新が必要なのは分かるんだが…。
一言で言えば、WindowsUpdateを行うのと同じ理由。
WUする理由が判ってるなら、言うまでもない事だと思うけど。


脆弱性はどんなウィルスが使うのか判らない。
既知の垢ハクのトロイの中にその2種の脆弱性を利用するものが「今」存在しなくても
「今後」出てくる可能性は十分ある。

Aniカーソルの脆弱性(これはOS側だが)が広まった途端、垢ハクにも利用されただろ。
それと同じパターンが発生しないとは誰にも言えない。

ついでに言えば、未だにその手法で罠をばら撒き、さらに被害者が出てるぐらい。
別種の脆弱性を突くタイプで作成されたら、どれだけ被害者が出ることやら。

AdobeReaderやらの更新を行うのも行わないのも、その人の自由。
でも被害に合ってからでは遅いし、加害者に転じてしまってからでも遅い。

552 名前:(○口○*)さん:08/02/07 16:41 ID:x+uRb0YY0
>>550のリンク先はそれぞれAdobeReaderとQuickTimeの今回のアップデート・脆弱性に関する記事だ。
注意書き書くのをすっかり忘れてた。すまん。

553 名前:総合スレ397:08/02/07 16:58 ID:/VVr66rz0
>>542
そうはいうがな…、閉鎖環境で100台200台並列で動かしてる所とか、
OS再インスコとかなると億単位の予算が必要な場所もあるんだよ…。

外からそんな場所にUSB突っ込むな?ごもっとも。
でも外部からのファイル移動も必要で出来無いと作業やってられない。
ブレーキの無いバイクでフルスロットルで山道走ってるような気分だぜ。
,、'`,、(ノ∀`)'`,、'`

554 名前:(○口○*)さん:08/02/07 17:03 ID:JCHLlxCB0
RealPlayerをターゲットにしたと思われる、アカハックリンクは既出。
詳細は対策スレ↓を参照。
ttp://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/352-354

QuickTimeが問題視され易いのは、デフォルト設定でインストールした場合、多くのメディアファイルをQT Playerに関連付ける
行儀、作法の悪さ。
各種フォーマットに偽装したトロイを、数撃ちゃ当たる的にばら撒かれた場合、どうしても引っ掛かり易くなる訳で。

AdobeReaderは、PDF形式が事実上、Web上での公式文書類の掲載・頒布でのデファクトスタンダードとなっていること。
官公庁や企業等が多用している為、偽サイトやサイトクラックで標的にされた場合、インストールしているユーザーが多いことから
被害が拡大し易い。

555 名前:(○口○*)さん:08/02/07 18:52 ID:t//imlYK0
>>2にあるサイト参考にPeerGuardian2入れてみたら
Lineageトロイって説明のファイルに載ってるIPへの送信がブロックされまくってる
これやばい?
スキャンでは未検知だったんだが

556 名前:(○口○*)さん:08/02/07 18:53 ID:GdCvdeec0
>553
いや、どう考えても始末書ものの騒ぎなんだが、それ。

USBメモリからの感染だとしても

・情報漏洩を鑑みて、外部メディアは禁止
・外部メディアを使う場合でも私物は禁止
・社用の媒体を使用する場合は中身がブランクである事を確認してから使用し
 使用後はメディアをクリアして返却
・第三者(管理者)がその手のチェックを行う
・プログラム・データ等を持ち込む際は、ウィルスチェックは実施済み

最低限これぐらいは求められてしかるべきなわけで。

そういう事態が起きるという事は、逆に言えば情報漏洩に繋がる可能性が大。
コピったUSBメモリの内容がnyみたいな所に流れた日には、上長含めて
何人もクビが飛ぶし。

俺はそんなヘマはしねぇよ!と言いたくなるだろうが、別の人間がやらかす恐れもある。
そもそも、そういう事が起きないならUSBメモリ経由で閉鎖環境へのウィルス騒ぎも
起きないわけで。

環境含めていろいろ問題ありそうだから、気をつけたほうがいいと思う。

557 名前:(○口○*)さん:08/02/07 18:57 ID:GdCvdeec0
>555
ブロックされてるIPを調べるしかない。
昔罠IPだったけど、今は所有者が別で安全な所なのかもしれないし。

で、PG2が反応するのはどのタイミング?
ブラウザも立ち上げてないのに反応しまくりとか、RO起動すると反応しまくりとかだと
感染してる可能性はある。

取り合えずヤバそうな雰囲気を醸し出してるので、カスペのオンラインスキャンとか
複数でチェックするがよろし。

558 名前:(○口○*)さん:08/02/07 20:13 ID:EMWyUCyj0
>>555
Googleで画像検索した時なんかによく反応する
対象のドメインが失効してる可能性もある
用心に越したことはないけどね

559 名前:総合スレ397 :08/02/07 20:49 ID:YG8Mdo4Y0
いい加減スレチなりそうなんでラスト

当然持ち込んだ人はこの後説教とか色々あると思う。
ないなら尻拭いした俺がやってられねぇ。
MMOのMも知らない人が韓MMO専用アカハックウイルス持ち込むとか皮肉な話。

経路は音編集所(MA)から来たUSBHDD。
常時外部からの素材を扱わなければいけないので持ち込み禁止もできず。
かといって実害ないからいいよね〜とかアフォ花咲かせる訳にもいかず。
必死で情報収集とレジストリにらめっこの3日間でした。
ノウハウ出来たんで経路元に売りつけてやる…。

セキュリティ専用のマシン(ノートン+カスペル)もあるけど、
今回はそいつが検知せず素通りさせたのがそもそもの問題。

個人的に常時隠しファイルを表示してたのが、
「強制的に隠しファイル不可視化」された為発見できた訳でして。
これが自分だけ不可視にする奴とか
ゲームのアカハックとか平和的なのでなく攻撃的な奴だと終了フラグだった。

複数エンジンつかっててもダメなときはダメって見本で板に書いた訳です。
家庭用PCはインスコ速攻しなおす事をお勧めする、そっちのがよっぽど楽で早い。
大丈夫、最初は誰でも初心者だ、一回やれば痛くない。

俺は家でROやっててカスペルだから青くなって再チェックしたぜwww

560 名前:(○口○*)さん:08/02/07 20:59 ID:/WD69H1ZO
既出だったらすまん

【      気付いた日時          】 ついさっき
【不審なアドレスのクリックの有無 】 http://hack■tv
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【    ツールの使用の有無      】
【  ネットカフェの利用の有無    】 No
【     OS    】 WindowsXPSP2
【使用ブラウザ 】 スレイプニル最新版
【WindowsUpdateの有無】 先週末
【 アンチウイルスソフト 】 NortonInternetSecurity2008
【その他のSecurty対策 】なし
【 ウイルススキャン結果】 カスペルスキーオンラインスキャンでトロイの木馬 Trojan-Downloader.HTML.IFrame.de発見
【スレログやテンプレを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
【Webヘルプデスクへの報告】無
【説明】
未実装wikiの上部のリンクをうっかりクリック
アドレスがあからさまなのでチェックしたらひっかかりました
OS再セットアップ中につき携帯から失礼します

561 名前:(○口○*)さん:08/02/07 21:12 ID:CuOKqVMD0
>>560
そのアドレスはPukiWikiのConvert_Cacheという負荷低減化改造を配布している
サイト。但し、ドメイン失効により、配布場所(http://puki.0hit.net/)には行けず。

要するに、そのアドレス自体は無害なものの、既にあなたはよそのどこかで
Trojan-Downloader.HTML.IFrame.deを踏んでいます。手遅れかもしれませんし、
未然に防げているのかもしれません(WindowsUpdateで何とかなっているかも
しれないし、Nortonがスルーしたかもしれないし、RealPlayerとかはUpdate
していたか報告じゃ分からないから、そこを突かれたかも知れない)。その辺は
判断がつかないのでヤバイと思うならPass変更とOS入れなおしをどうぞ。

報告テンプレにAdobeReaderとかRealとかQuickTime等の奴も入れるほうがいいかな、と
思った。

562 名前:(○口○*)さん:08/02/07 21:15 ID:IG6agcuU0
RealPlayerが「バッドウェア」認定
http://www.itmedia.co.jp/news/articles/0802/04/news012.html

放置の上にこういう認定もされてるからしばらくはインストールしない方が良いね

563 名前:(○口○*)さん:08/02/07 21:21 ID:/WD69H1ZO
すまんスレ自体まちがえた
どこで踏んだか不明なのは怖いな
手遅れでないことを祈りつつスキャン終わったらログインしてみるわ、ありがとう

564 名前:(○口○*)さん:08/02/07 21:32 ID:A2dIG85b0
>>544
ログイン中に踏んだものは、パスワードもアカウントIDもよみとる方法がないから
その時点では大丈夫だが、ログアウト後、除去前にパスワードとかの入力しちゃだめだぞ。

※ ログイン画面の、ID横のkeepにチェック入っているとアカウントIDだけはレジストリから
  読み取れる状態になっていることには注意。パスワードとセットでないと意味が無いので
  ログイン時のみ読み取るとは思うけど保証はできない。

565 名前:(○口○*)さん:08/02/07 22:12 ID:6y+y8VAP0
>>564
アドバイスthx
その後のスキャンでも特に反応はなかったから多分大丈夫だと思ったんだが、結局リカバリかけた。
丁度最近PCの動きも不安定だったからいい機会だし。

566 名前:(○口○*)さん:08/02/07 22:45 ID:A2dIG85b0
>>565
リカバリ乙でした。定期的に再インストールしてると、インストール直後が軽いのを実感できるよな。w

567 名前:(○口○*)さん:08/02/08 00:29 ID:rNbdBS3Z0
暫定まとめにあるお顔様のサイトって何が原因でリスト入りされてるんだ?
mutu■s143■xrea■com
ROのエロ絵サイトだけじゃなかったのかな、気がつくと繋がらなくてしばらく悩んだよ…

568 名前:(○口○*)さん:08/02/08 01:05 ID:hIzCTsqp0
中華にクラックされたことがあったから

569 名前:(○口○*)さん:08/02/08 01:09 ID:rNbdBS3Z0
そうだったんだ…、ありがとう

570 名前:(○口○*)さん:08/02/08 04:26 ID:U5Mwr4WHO
>>560と同じダウンローダーをアカハックスレの398が踏んでて
あっちはカスペでブロックされてるんだよね。
やっぱノートンだめかなぁ…。

571 名前:(○口○*)さん:08/02/08 07:38 ID:d3NPicfc0
>>568
ぬ、それは何時頃の話なのでしょう?
数日前にサイトが見れないという書き込みを見た事があるのですがその時なのかな?

572 名前:(○口○*)さん:08/02/08 08:00 ID:rNbdBS3Z0
>>571
某二板なら自分の書き込みです、こっち系と知らずあっちの方が情報あると思ったので

573 名前:(○口○*)さん:08/02/08 08:06 ID:d3NPicfc0
ええ見事にそこです。
ここにも相談が来てましたが、
当時はアップローダーの方が何たらでそっちばっかりに目が行ってたけど、
host導入してたからみれなかったのですね。

574 名前:(○口○*)さん:08/02/08 09:59 ID:VH2bRmhS0
>>553,559
リムーバブルデバイスを扱う機会が多いなら、AutoRun関係は原則切るべき。
またいつか、同様のトラブルが起こるとも限らない。

それと、作業環境自体の脆弱性も山盛りに見えるな。
>並列で動かしてる
>億単位の予算
予備機や代替機は無いの? ブートパーティションのGhostイメージくらい作ってないの?
作業環境のリスク管理見積もりが甘杉と言われても仕方がない状況だと思うよ。

そういう職場は、得てして労働環境でも個人に依存し過ぎている事が多い。
誰か欠員が生じたら、瞬く間にデスマーチの足音が聞こえてくるかもしれないね。
一度、そういった部分も含めたセーフティネットのあり方について検討する良い機会だと思うよ。

575 名前:(○口○*)さん:08/02/08 13:08 ID:yCoEW1e60
>>574
同じ奴なのか知らないけど、どうしても問題化しなきゃ溜飲が下げられないわけ?
ロクに環境も知らない部外者が想像で余所の会社の体制に苦言を呈するとか
大きなお世話にも程があるだろ。

576 名前:(○口○*)さん:08/02/08 13:23 ID:li85DMnsO
今目の前にPCない&携帯から書き込み申し訳ありません。
Googleで「生体萌えスレ wiki」で検索TOPにでてくるページにアクセスしたのですが、見た目はこの板の生体萌えスレテンプレにあるまとめwikiと似ていますが、TOPからのメニューバー、コメント欄などがURL表記になっていました。
また、テンプレとのURLとも一致せず、あやしいサイトにアクセスしたのではないかと不安になっております。(マカフィは反応なしでしたが…)
具体的なイメージ、対象のURLが出せず、大変申し訳ありませんが、上記URLが安全であるか判断願いますでしょうか?

577 名前:(○口○*)さん:08/02/08 14:04 ID:gw+5tWYr0
勇気がなくて踏めないURL鑑定スレinMMOBBS
をそろそろ立てた方がいいのかもしれんな

578 名前:(○口○*)さん:08/02/08 15:54 ID:K1r1ssUR0
link.phpの仕様として、?に続くURLへジャンプするためのページを作成する
というだけのことのような気が。
link.php?http:://www.google.co.jp/でぐぐるへ行くための緩衝ページを作成するみたいな。

>>577
いい加減作るべきかと

579 名前:(○口○*)さん:08/02/08 15:55 ID:K1r1ssUR0
ちなみに試したら本当にGoogleへジャンプするページが出来てワロタ

580 名前:(○口○*)さん:08/02/08 17:26 ID:ZGICgOWY0
>>577
テンプレに「鑑定する勇者がいなくても泣かない」とか「本当に鑑定して欲しいなら2chへ」とか
書いといて、2chの鑑定スレへのリンクを更新するだk

581 名前:(○口○*)さん:08/02/08 18:22 ID:dKH8gwGD0
板ごとにあるスレだし、鑑定してやってもいいって奴がいるならこっちに立てとくに越した事はないだろ
俺はしないけど

582 名前:(○口○*)さん:08/02/08 20:12 ID:9NOjdq6N0
【      気付いた日時          】2月5日
【不審なアドレスのクリックの有無 】クリックしました
【  アドレス   】www■teamerblog■com/blog/
【     OS    】WindowsXP Home SP2
【使用ブラウザ 】Donut Q
【WindowsUpdateの有無】 自動更新
【 アンチウイルスソフト 】 NortonInternetSecurity2007
【その他のSecurty対策 】 Spybot S&D1.5.2 Ad-Aware2007
【 ウイルススキャン結果】 クリックした時にNortonがDownloaderを検出して遮断
その後セーフモードでNortonでスキャン→検出なし
カスペのオンラインスキャンで「マイコンピュータ」をスキャン→検出なし
カスペの「重要な領域」でのスキャンはまだしていません
【テンプレの参考サイトを読んだか】まだ一部のみです
【hosts変更】
【PeerGuardian2導入】無
【説明】
荒らされたwikiのTOPからteamerblogなるものを踏んでNortonが反応しました
今までROに触れたことがないのですが、検索した結果ここまで流れて来ました
検出場所は
Temporary Internet Files\Content.IE5\2TCPKJUL\index1[1].htm
検出名はDownloaderで、適用した処理は「遮断しました」です

583 名前:まとめ臨時 ◆kJfhJwdLoM:08/02/08 21:26 ID:dCCehRDb0
>>567-569 >>571-573
該当のCGサイトは去年の12月初頭に前スレ853-857にて
報告と確認があったものです。
恥ずかしながらこちらでは報告があったものを追加しているだけの状態で、
その後の確認というのはやっていません。

今回の報告を受けまして非常に丸投げな対応なのですが、
hostsリストの記述の最初のほうにソースチェッカーオンライン、
aguse.jp、BS-Tte,plateさんの危険文字検索での安全確認を記述を追加してみました。

あとセキュリティ対策、質問・雑談スレ3のログが見られないようなので
まとめ臨時からはリンクしていませんがこちらにあげておきます。
(ログのデータが多い為か当方のPCでは編集できなくてこのような形を取らせていただきました)

584 名前:まとめ臨時 ◆kJfhJwdLoM:08/02/08 21:28 ID:dCCehRDb0
そしてリンクを忘れたオチ。

・セキュリティ対策、質問・雑談スレ3(前ログ)
http://sky.geocities.jp/ro_hp_add/ssz3.htm

585 名前:555:08/02/08 22:49 ID:epkrWCqB0
>>557>>558
あれ以来LineageトロイのIPは送信されてないみたいだ。
念の為新規チケとってダミーIDとパスをRO起動して入力してみたけど、
特に韓国・中国・台湾への送信もなかった(PG)。
あと勇気を出して(ryスレにドメインをチェックしてもらったら、

408 名前:権平 ◆T0e.kDbaK2 [sage] 投稿日:2008/02/07(木) 20:59:55 ID:???
>>404
Welcome to rarbrc.comというタイトルの外国のサーチ系サイトへ行きました。
当環境ではそこまでノートン無反応、マカフィーアドバイザーは安全判定

との返答があった。IP主が変わったのだろうか。
スキャンはカスペでもノートンでも未検出。
ん〜・・・どうやら大丈夫っぽいかな?

586 名前:(○口○*)さん:08/02/09 04:47 ID:GEMBylpl0
すみません
無知な質問申し訳ありません
先日、AntiVirでスキャンをした所ラグナロクオンラインフォルダの
rdefk.dfdファイルがTR/Crypt.XDR.Genとしてウィルスとして検知しました
これは誤検知として扱って宜しいでしょうか?

587 名前:(○口○*)さん:08/02/09 06:23 ID:tN1knijw0
>>586
AntiVirの検体提出窓口に送って返事を待て。

Avira(AntiVir) <virus@avira.com>

日本語で送りたければ、ここの技術的内容についてという宛て先でいいだろう。

http://www.promark-inc.com/support/email.html

588 名前:(○口○*)さん:08/02/10 13:19 ID:LlgLjA3l0
ハクスレで事あるごとに誘導かけてるやつはなんなんだろうな

589 名前:(○口○*)さん:08/02/10 13:47 ID:0N6IQ9ua0
杓子定規でしか物事を図れないだけか、それとも只のテンプレ厨か。
ドメイン有効期限の話なんて、一般的な話題とはいい辛い部分もあるし、むしろサイト運営側にとって必要な知識なんだが。

590 名前:(○口○*)さん:08/02/10 13:58 ID:+1k+HTl70
あれは多分同じ奴が延々やってるんだろうし、アク禁依頼してもいいと思う。

591 名前:(○口○*)さん:08/02/10 14:00 ID:niT3xo8J0
誘導がなくなっても困るからほっとけ。

592 名前:(○口○*)さん:08/02/10 15:45 ID:KHtngEJx0
価格調査隊の跡地って、どうなんだろう。
久しぶりに見たら、別のページに飛んでビックリしたんだが。

593 名前:(○口○*)さん:08/02/10 16:34 ID:niT3xo8J0
ドメイン名失効だから気にするな。危険なページではない(今のところ)

594 名前:(○口○*)さん:08/02/10 16:41 ID:KHtngEJx0
ありがとう!

595 名前:(○口○*)さん:08/02/10 18:42 ID:IE2D5RBG0
雰囲気からして、以前の「.」と「■」で俺ルール展開してフルボッコされた人に思えるが、それはお居ておいて。

価格調査隊の方は動きがはっきりするまで、暫定的にでもhosts登録した方がいいのかもしれんね。
現状レジストラ管理とはいえ、このままじゃ危険だし。

596 名前:(○口○*)さん:08/02/10 19:22 ID:LlgLjA3l0
末期の状態を見てると継続はなさそうだし、決まるまで暫定に賛成ですね〜

597 名前:まとめ臨時 ◆kJfhJwdLoM:08/02/10 20:01 ID:31wk7rzB0
hostsに加える前に跡地を覗いてみようとGoogleでサイトを調べて
ro-price■netに移動してみたらPG2が反応した次第です。
どうやらbailishidai■comをHTTPブロックしている模様。
久しぶりの反応なのでドッキリ。

bailishidai■comはリネージュ資料室さんの06/07/03の時点で
危険サイト・危険ドメインにリスト入りしていました。

とりあえずスキャンしてからサイト更新ということで…。

598 名前:(○口○*)さん:08/02/10 21:06 ID:niT3xo8J0
>>597
つまり危険URLが失効して飛ばされる先と、価格調査隊跡地が失効して、飛ばされる先が一緒なので
発生する事ですね。前にもあったな、こんなん。

599 名前:(○口○*)さん:08/02/11 01:48 ID:K5bFKpNp0
要するに今のところはまだ安全なの?

600 名前:(○口○*)さん:08/02/11 02:12 ID:bUww7kIk0
現時点ではね。

601 名前:(○口○*)さん:08/02/11 02:35 ID:JoyC4ACg0
ろ。あたりが30日+5日後あたりに拾ってくれれば一応は解決をみるだろうか。

602 名前:(○口○*)さん:08/02/11 03:21 ID:zVJ4VC0i0
30日なのか。取得しようとしたら取得できません。って言われたぜ

603 名前:まとめ臨時 ◆kJfhJwdLoM:08/02/11 12:57 ID:7eAJ8Jwm0
書いた文章を読み直すと総合対策の418の人のように
誤解を招いた表現になっているので反省しきり。

PG2が危険サイト名でHTTPブロックしても心理的にスキャンしておかないと
どうも心配してしまうもので…。

ちょっとログを見直したら最近だと
www■pangzigame■comをHTTPブロックしていた模様で久々ではなかった。

604 名前:(○口○*)さん:08/02/11 17:51 ID:lvQYs9kX0
普通に調査隊見れるんだが俺は何か間違ってるのか

605 名前:(○口○*)さん:08/02/11 18:21 ID:JoyC4ACg0
>>604
>  Status: ok
>  Updated Date: 11-feb-2008
>  Creation Date: 09-feb-2003
>  Expiration Date: 09-feb-2009
という事で、更新が行われた模様。
今後、どうなるかは不明だけど。確かここって、自宅鯖で運用していたような気が。

606 名前:(○口○*)さん:08/02/11 19:56 ID:bUww7kIk0
>>604
うはwwwおkwww右フレームだけの復帰確認

でもドメイン維持するなら、左フレームとかデータ受信用鯖とかも直してくれ。
取得データの受信してくれないから、ここ半年以上調査機の起動してないよ。

607 名前:(○口○*)さん:08/02/11 20:40 ID:BexH0HU20
調査隊としての機能はもう続ける気は無いんじゃないか?

別用途で使用しているから更新しただけとか?

608 名前:(○口○*)さん:08/02/11 21:14 ID:4DbtBCPd0
閉鎖しましたってちゃんと告知してくれた方がいいなぁ
中途半端が一番怖い

609 名前:(○口○*)さん:08/02/11 21:39 ID:+tF4Xt2G0
左フレームが死んでるのは荒らされまくった結果だろうし、
その頃に散々叩かれたからもう再開する気もないんじゃね
一応RAGDとかに利用されてるからハック防止に維持するついでに継続しただけだろうな

610 名前:(○口○*)さん:08/02/11 21:51 ID:miTShjPN0
調査隊としての復帰はもう無いだろう。ゲーム内インサイダーも今では旨味が殆どないし。
一応、他からリンクされている事が多いのと、他人の手にドメインが渡るのが嫌なのが継続の本音なんじゃね。

611 名前:(○口○*)さん:08/02/11 22:02 ID:zvgFB+z70
管理する気が無いならリンク先にきちんと伝えてリンク解除をしたり、
周囲に閉鎖を伝えてから消すべきだな。有名サイトなら尚更だ
放置が一番良くない、最もやってはいけない事

放置でハックされてウイルスが仕込まれ、
事情を知らない奴がたまたまアクセスして感染したら
管理者も責任を問われるぞ

612 名前:(○口○*)さん:08/02/11 22:10 ID:BexH0HU20
へー

613 名前:(○口○*)さん:08/02/11 22:11 ID:R1muHTfS0
>>611
お前みたいのがいるからああなったんだ wikiと混同してるようだが
あと一番良くないのは突然消える事だ 放置は一番ではない

614 名前:(○口○*)さん:08/02/11 23:32 ID:K5bFKpNp0
自己責任でネット使えない>>611はネット使わない方がいいと思う

615 名前:(○口○*)さん:08/02/11 23:54 ID:miTShjPN0
ただ、単なる静的webサイトと違って、PHP+SQLが動いていたりする以上は、メンテされなくなった場合のリスクは上まわる。
PHP4系列は既にアップデート終息、PHP5への移行が前提になっているし。
別口でデータ受信のインタフェースも保有しているなら、そこが狙われる危険性も考えられる。

616 名前:(○口○*)さん:08/02/12 14:44 ID:syIDlNvL0
緊急 (7) 重要 (5)
ttp://www.microsoft.com/japan/technet/security/bulletin/ms08-feb.mspx
今回はある意味での目玉、IE7への準強制(?)アップデートが含まれている。
一応、インストールの可否はユーザー側が選択できるが、自動更新の場合、ダウンロードまでは行われるらしい。

とりあえず、セキュリティ関係に自信の無い場合は、すんなりIE7にアップデートした方が正解かもしれない。
W3Cとの整合性も、IE6よりは遥かにましになっている側面もあるし。

617 名前:(○口○*)さん:08/02/12 15:00 ID:fKfOn+E/0
RO店価格調査隊の左メニューも表示されるようになったね
ドメインの状態については不明な為、もう少し調べてみます

618 名前:(○口○*)さん:08/02/12 18:02 ID:9xQkwYXO0
>>617
まじだ・・・何ヶ月ぶりだ?やる気出たのかね・・・

619 名前:(○口○*)さん:08/02/12 19:43 ID:iLeNlDdg0
今日、垢ハックされた装備をガンホーに復旧してもらったんだけど
流れとか書いたほうがいいかな?

620 名前:(○口○*)さん:08/02/12 19:50 ID:tHVe3Omp0
>>619
是非に

621 名前:(○口○*)さん:08/02/12 20:00 ID:40cUYRMv0
>>617-618
でも、Apache/2.0.54 + PHP/4.4.4 なんだよな……
元通りに再開するつもりはあるのだろうか。

622 名前:(○口○*)さん:08/02/12 20:10 ID:WrQNuY1k0
>>619
是非お願いします。
当方この週末にハックされ、通報したばかりのところなので参考にさせていただきたく。
自分も復旧までこぎつけたら投下します。

623 名前:(○口○*)さん:08/02/12 20:31 ID:40cUYRMv0
スラッシュドット・ジャパン | DivX Stage6が何者かによってクラックされる
ttp://slashdot.jp/security/article.pl?sid=08/02/11/0021205

>2008/02/10未明に、DivX社が運営する動画共有サイト、Stage6のサイトがクラックされ、トップページにアクセスすると
>グロ画像やポルノサイトなど複数のサイトへリダイレクトされるように書き換えられるという事件が発生した

Internet上のメジャーコンテンツの一角を占めるようになった投稿型動画サイト。
当然、クラックのターゲットにもなり易く、実際に行われた場合の被害も想像以上に拡大する危険性があるな。

624 名前:619:08/02/12 21:25 ID:iLeNlDdg0
アカウントハック体験談の人と似たようなものですが書かせていただきます。
私の場合、ギルドメンバーが過去にアカウントハックにあいガンホーにアイテム等復旧してもらった人がいたので
その人に色々聞きながら警察などに連絡していきました。

2007年10月24日:垢ハック被害にあったことに気づき、RO公式サイトのプレイマナー>アカウントハッキングの欄から見ながら被害報告をしました。
その日のうちに「お客様が使用されていない期間にアトラクションIDが利用された形跡があるかを調査させていただきます。」といった内容の返信がありました。

2007年11月02日:「ご報告いただいた情報を元に調査を行った結果、お客様のご報告内容と一致しない、アトラクションIDの使用形跡を確認致しました。」ということと
アイテム復旧に関しては、警察に「不正アクセス禁止法に違反する犯罪行為があった」と判断された場合のみ復旧をするという内容の返答をもらいました。

2007年11月04日:警察に行き事情を説明。その際、RO公式サイトのプレイマナー>アカウントハッキングの欄をコピーして持って行きました。
やはりこのケースは大体、海外からの犯罪なので犯人を特定し逮捕することは難しい、時間もかかるかもしれない。ということを伝えられました。それでも調査してほしいことを伝えると
この日は日曜で当直の人しかいなかったため担当の人に聞いてから捜査する。と言われ一週間後ぐらいに連絡を入れるということなので、この日は退散

625 名前:619:08/02/12 21:27 ID:iLeNlDdg0
2007年11月20日:2週間たっても警察から連絡がなかったのでこちらから連絡をすると、もう捜査に入っていて現在ガンホーに資料の提示を求めているということでした。
捜査終了のほうは遅くなると1月末になると言われたのでここからは待ちの一手で

2008年02月04日:遅くなると言われた一月の末になっても連絡がこなかったのでまたもこちらから警察へ連絡。
もう捜査は終了していて「不正アクセス禁止法に違反する犯罪行為の被害を受けていた」ということを確認できたそうです。
ただやはり海外からのアクセスだったそうで犯人の特定はできないということを伝えられました。
その日のうちにガンホーに警察に伝えられた内容を報告しました

2008年02月05日:ガンホーの方から「不正アクセスに関する警察機関の捜査が終了したとのご報告をいただいた件について、神奈川県中原警察署に照会いたしました結果、
ご投稿いただいておりますアトラクションIDが「不正アクセス禁止法に違反する犯罪行為の被害を受けていた」事実があることを
確認いたしました。」との返答があり、アイテムを復旧するかどうか聞かれました。当然復旧してほしいということを伝えました。

2008年02月12日:メンテ終了後ROにインすると倉庫の中とBSに、全ての装備を把握しているわけではなかったので全部戻ってきたかどうかはわかりませんが
記憶に残っている限りではほとんどのアイテム・お金が復旧していることを確認しました。ちなみに装備はカードと分離している状態で手元に戻ってきました。

こんな感じです。読みにくい文章+長文失礼しましたぁ

626 名前:(○口○*)さん:08/02/12 21:31 ID:sGFHY0Ym0
>>619 おつかれさまー
報告ありがとう

627 名前:(○口○*)さん:08/02/12 21:37 ID:0b392VL50
>>619
乙、あれ程ク●会社と言われたガンホーもここまでやれるようになったんだねぇ


>装備はカードと分離している
それはちょっとうらやましいw

628 名前:(○口○*)さん:08/02/12 21:39 ID:bJZUI2A00
>>621
本当に古いバージョンなのか、ワザとニセの情報を出しているのかが問題だな

629 名前:(○口○*)さん:08/02/12 21:45 ID:WrQNuY1k0
>>619
ありがとうございました。お疲れ様でした。
体験談の人も警察に通報してから3ヶ月半ほどかかったようですが、
期間的にはそのくらいと見てよさそうですね。

当方、2/9にハッキングに気付きすぐガンホーに被害報告を出し、本日ハイテク犯罪センターにも電話入れました。
ガンホーからの結果が出次第、最寄の署にまずは電話で説明するようにとのことで、
被害にあったIDとパス・連絡先・おおまかな状況と、心当たりを聞かれました。
(友人や家族・ネットカフェ経由で漏れたのではなくトロイによる流出の可能性が極めて高いことを確認)
センターの方は手馴れた感じで、理解があり、説明も親切で話しやすかったです。
最寄署の連絡先を教えていただいたので、ガンホーからの調査結果を待っているところです。
ハックされたことは悔しいし猛省しているところですが、これも良い経験と思って最後まで対応するつもりです。

630 名前:(○口○*)さん:08/02/12 21:48 ID:WrQNuY1k0
余談ですが、センターはお昼時はずっと話中で繋がりませんでした。
(週明けということもあり混んでいたのだと思います)
繋がったのは14時半ごろで、賞味12分程度のやり取りでした。
今後、被害に会われた方のご参考になれば。

631 名前:(○口○*)さん:08/02/12 22:05 ID:Si1YWr3/0
しかし、復旧までに4ヶ月かー

632 名前:(○口○*)さん:08/02/12 22:09 ID:/PKRjL+L0
>>627
既に刺さってる中段を垢ハックで無くしたら、
数ヶ月待った特典(お詫びか?)として、分離されてるのはすごいな・・・

633 名前:(○口○*)さん:08/02/12 22:18 ID:MfO6sHF00
つまり

1.捨て垢を作る
2.適当にLvを上げて、適当にアイテムを持たせる
3.糞カードの刺さったs中段を買う
4.垢ハックサイトを踏む
5.垢ハックされたことを確認する
6.垢のパス変更
7.HDDフォーマット&OS再インストール
8.垢ハック救済を申請
9.果報は寝て待て

ってことだな。

634 名前:(○口○*)さん:08/02/12 22:19 ID:o8bZSYNa0
そういう発想になるのってどうなの?子供じみたことやめた方が良いよ

635 名前:(○口○*)さん:08/02/12 22:46 ID:I6PmaO240
冗談でもそういうことは書き込まないほうがいい。
仮にそういうことをする人間が出た場合、せっかくいい方向に向いてきたアカハック復旧の流れを不可逆的に逆行させる可能性がある。

636 名前:(○口○*)さん:08/02/12 23:04 ID:mMRRAj1J0
俺がするなら、>>634-635みたいに他人を牽制しつつ実行するな。

637 名前:(○口○*)さん:08/02/12 23:21 ID:q8rzHFuv0
やれるもんならやってみろ

638 名前:(○口○*)さん:08/02/13 00:39 ID:qVRhW7fa0
むしろ、中継担当の自称留学生あたりが実行するんじゃね。

639 名前:(○口○*)さん:08/02/13 00:56 ID:1+PP+5ze0
寝て待っていっても警察と直接話したり署に出向いたりなんだりすんだぜ。色々な記録も残る。
しかも協力を求める相手は現実に存在しているネット上ではトップクラスのヤバイ犯罪者集団だ。

640 名前:(○口○*)さん:08/02/13 08:17 ID:vaL2eOlr0
WindowsUpdateいっぱい来てるぞー

641 名前:(○口○*)さん:08/02/13 08:43 ID:/cw5xEF/0
IE7を当てるかどうかは自己責任の判断でだな。

俺はタブ型がどうも慣れない(IE7もタブにならないように設定できなくもないが)ので、
もう暫くIE6使うわ。

せっかく、DualDisplay環境にしてるのに、1ウィンドウ内のタブになったら閲覧性悪くなって困る。

642 名前:(○口○*)さん:08/02/13 09:11 ID:Qv7VoV4N0
そもそもIEを使わない…

643 名前:(○口○*)さん:08/02/13 10:27 ID:vaL2eOlr0
ついでにFx3Beta3も出てた\(^o^)/

644 名前:(○口○*)さん:08/02/13 12:44 ID:nRkU3doV0
すみません、もしお分かりになられる方がいらっしゃったら教えて下さい。
昨日忍者WIKIを見ようとしたらHPが開かず、リンクサイトから見に行ったら
ファイルをダウンロードしますか?、と出てきました。
焦ってファイル名を確認する前にブラウザを消して、カスペルスキーで
スキャンをかけたのですが何も検知されませんでした。
アドレス自体は変わっていなかったので、大丈夫だとは思いますが
今までそんなことは一度もなかったので、悩んでいます。
OSはWIN2000 ブラウザはオペラ6を使用しています。
ちなみに今朝は問題無くWIKIは見れました。

645 名前:(○口○*)さん:08/02/13 16:30 ID:lfb1Swp/0
とはいえ、web制作側から見れば、IE6ユーザーは早急にIE7に移行するか、あるいはGecko系かKHTML系、ないしOperaに
乗り換えて貰いたいくらいの部分もある。
それくらい、IE6は非互換部分が多く、例外処理の手間が嵩んでいる訳で。

646 名前:(○口○*)さん:08/02/13 16:41 ID:1RNxe5L60
IE6はほんとバグだらけだからなぁ
Web作成してると、ほんと「IE氏ね」と思うときがある。

647 名前:(○口○*)さん:08/02/13 16:58 ID:/z8sUR5S0
>644
忍者スレ覗いてみたけど全く話に上がってなかったから、良く判らないな。
単にサイトが不調だっただけの可能性が高い気がする。
スキャンで何も無かったのなら、数日様子見しつつ判断するしか無いかも。


それとJustSystemからカスペ7.0 MP1(メンテナンスパック1) の案内が来てた。
機能強化と脆弱性の修正だそうな。

> ■機能強化点
>  IPv6 対応、次世代キーロガーの検出機能追加、セルフディフェンスの改良、
>  信頼するリモート管理プログラムの除外オプションの追加など、いくつか
>  機能強化点があります。

> ■脆弱性の修正
>  次の3つの脆弱性の修正を行いました。
>  ・悪意のあるプログラムによるシステム時間の改ざんで、カスペルスキー
>   製品が無効になる可能性があります。
>  ・klif.sysドライバがNtCreateSectionパラメータを正確に起動させない
>   ため、システムエラーを引き起こす可能性があります。
>  ・klif.sysドライバ中に不正なコードが含まれていたため、悪意ある
>   コードをローカルで実行することによってシステムエラーを引き起こす
>   可能性があります。

> ■制限事項
>  Windows Vista(64ビット版を含む)とWindows XP Professional x64
>  Edition上では、プロアクティブディフェンス機能とセルフディフェンス
>  機能の一部をお使いいただけません。

648 名前:(○口○*)さん:08/02/13 17:24 ID:nRkU3doV0
>647さん
ご返答ありがとうございます。仰られるように、忍者スレでは
話題にも出ていてないので、どんなものかと思っていました。
WIKIから飛んだ先ではなく、WIKI自体だったので
自分自身どう判断したらいいかと悩んでおりました。
このまましばらく様子を見ていこうと思います。

649 名前:(○口○*)さん:08/02/13 17:39 ID:WLUxqdfY0
>>648
ページが見れない理由は分からないけど、ブログとかでも
ドメインが見つからないというエラーが返ってくる事があるから
その可能性はあります。
また、リンクから飛んだというところから、そのリンクサイトがWikiであれば
書き換えられている可能性もあるので、そっちの確認もお願いします

650 名前:(○口○*)さん:08/02/13 18:40 ID:nRkU3doV0
>649さん
リンクで飛んだところは、Ragnarok Network様という総合情報サイトと
忍者スレの先頭にある外部テンプレの2箇所からやりました。
飛ぶ際には必ずリンク先を見るのですが、両方とも忍者WIKIのアドレス
でした。
見れないというのはまだ理解できるのですが、ファイルを保存しますか?
というメッセージが気になっています・・・
もちろん実行はしていません

651 名前:(○口○*)さん:08/02/13 19:16 ID:wkALW+UN0
IE7はwin2kで使えないみたいでうちは6使うしかないんだよな

>>ファイルをダウンロードしますか?、と出てきました。
これが謎だよな。しかし俺ではよくわからん

652 名前:(○口○*)さん:08/02/13 19:17 ID:h4g+u08B0
タイミングよくMicrosoftアップデートが来たってオチじゃないだろうかw

653 名前:(○口○*)さん:08/02/13 19:30 ID:Qv7VoV4N0
ファイル保存のダイアログはでないよ

654 名前:(○口○*)さん:08/02/13 21:10 ID:0NQmsL/K0
ユーザーの多くがIE7への移行フェーズに乗る形で、今後はCSS2がデファクトスタンダードになるだろう。
今までの様に、IE6で表示できないから駄目、とは言えず、レイアウト崩れなどは容認すべき段階になるか。
どうしてもIE6を使い続ける必要がある場合、表示周りの整合性を面倒見てくれるIE7.jsと言うのも存在する。

ところで、TrendMicroがまたやってくれました。
ttp://www.trendmicro.co.jp/support/news.asp?id=1058
>ウイルスパターンファイル4.995.00を弊社製品に適用後、特定条件においてウイルス検索に時間がかかる現象が発生することを確認
>いたしました。
>この現象はウイルスパターンファイル 4.995.00 適用後に、メールファイルやデータベースなどの大容量(大きいサイズ)のファイル検
>索を行う際に発生する可能性があります。

400M以上のファイルで引っ掛かるらしく、ROなら例えば、data.grfが余裕でアウト。

655 名前:(○口○*)さん:08/02/13 21:38 ID:V7TSvoIN0
どこに書くべきかわからないのでここに報告を
検索ワード「モンク WIKI」のグーグル検索6番目に出る
ercserver's Wiki - モンク/チャンピオン

このサイトは危なげです
同様の検索ワードで検索する人が多そうなのでご注意ください

656 名前:(○口○*)さん:08/02/13 21:43 ID:hkXohfa80
Domain Information: [ドメイン情報]
a. [ドメイン名] SPC.GR.JP
e. [そしきめい] エスピーシー
f. [組織名] S.P.C.
g. [Organization] S.P.C.
k. [組織種別] 任意団体
l. [Organization Type] Group
m. [登録担当者] TT1400JP
n. [技術連絡担当者] TT1400JP
p. [ネームサーバ] ns.spc.gr.jp
p. [ネームサーバ] ns2.spc.gr.jp
[状態] Connected (2008/06/30)
[登録年月日] 1998/06/22
[接続年月日] 2007/08/09
[最終更新] 2007/08/09 20:39:54 (JST)

657 名前:(○口○*)さん:08/02/13 21:47 ID:Qv7VoV4N0
どう危なげなんだ…

658 名前:(○口○*)さん:08/02/13 21:50 ID:c3+F7qpF0
>>655
詳細は?

>>656
あまり意味無いな。
問題はwikiファームがどう利用されてるかだが、>>655の続報待ちか。

659 名前:(○口○*)さん:08/02/13 21:51 ID:/z8sUR5S0
何が危険かと思えば、メニュー改竄。
www■irisdti-jp■com/blog/

エミュ鯖用のWikiっぽいから関係ないと切り捨てたいが、その検索ワードだと
普通に見に行く人も出そうだな……

シャクだが戻しておくか、と思ったら、直前の履歴も同じ内容だった罠。
ざっくりと消した方がいいのかねぇ?

660 名前:(○口○*)さん:08/02/13 22:16 ID:/cw5xEF/0
そだねー。

(本音:むしろ、全ページ消す位の勢いで)

661 名前:(○口○*)さん:08/02/13 22:48 ID:GaSb4rAg0
取り合えずメニューバーだけ消しておいた。

見る限り、去年からずっと放置されてた感じ。
EMU鯖というのは置くとしても、数ヶ月メンテ無しと言うことは
管理人不在で利用者も居ないと判断していいだろう。

ググって上位に出る以上、事故にあう人が増える方が問題だわ。


しかし報告するなら、抽象的な書き方はやめて欲しい。
チェック等、余計な手間が増えるだけで益が無い。

662 名前:(○口○*)さん:08/02/14 00:09 ID:BWqgnQDG0
カスペ更新して7.0.1.321 bになったが
プロアクティブディフェンスで「キーロガーの検知」を外さないと
パスワード入力後キャラセレ画面が出ない。

全体的なもっさり感はだいぶ改善されたように感じる

663 名前:(○口○*)さん:08/02/14 00:42 ID:K1kWDyhQ0
そりゃnPro自体がキーロガーだしな
カスペのMP1でキーロガー検知力が結構上がったからそれで弾いてるんだろう

プロアクティブディフェンスは所詮ふるまい検知だし、外してもいいぞ
onにしてるとROは確実に重くなる
Core2Quad2.66GHz メモリ2Gでもプロアクティブディフェンスがオンだと余裕で重くなった

664 名前:(○口○*)さん:08/02/14 01:09 ID:wnfg0bX10
>>661
作りっぱなし放置が害悪になる典型だな。
削除だけでなく、WikiFarm運営元への通報も検討すべきか。
共通で禁止文字列が設定できるロジックなら、被害拡大を阻止できる可能性も考えられるし。

665 名前:(○口○*)さん:08/02/14 10:15 ID:s0C58yA60
>663
ふるまい検知は怪しいものを炙りだすもので、確実性が無いのは確か。
誤検出(という表現も変な気がするが)も当然ありえる。

でもウィルス作成されてからパターンファイルが出来上がるまでの、所謂空白期間は
これが無いと守れないわけで。

・確実性は無いし。カスペだったら更新も早い。だから切っても平気。
・意図的にカスペを回避するものもあるし、手持ちのカードは1枚でも多いほうがいい。

NOD32が有名になった価格コムの事件とかを考えると、無闇に切っていいなんて言えない。
次に同じような事が起きたときに、ON/OFFの差が感染したしないを分けるかもしれないし。

メリットとデメリットを理解してから外す分には構わないんだけどね。

666 名前:(○口○*)さん:08/02/14 23:08 ID:1d9JoFVe0
>あと一番良くないのは突然消える事だ 放置は一番ではない
消えてしまえば改竄されることも無くなるし時間が経てば
誰かが偽サイトを立ち上げても間違ってアクセスする人は少ないだろう
wikiであるかどうかは無関係

667 名前:(○口○*)さん:08/02/14 23:16 ID:UQR8Xxxr0
突然消えたことの問題が今回のRO店の問題だろう。
後はいきなり消えたせいで色々なデータが消失したり、難民が出たりってのも昔はあったな。

668 名前:(○口○*)さん:08/02/15 00:26 ID:7kW+TpUu0
カスペを7.0.1.321にバージョンアップしたせいなのか、他の原因なのかは不明だが
pixia(フリーのお絵かきソフト)がアクセス違反で起動しなくなった

669 名前:(○口○*)さん:08/02/15 08:52 ID:S5DgqlI20
カスペバージョンアップ直後から、RO起動してから1時間ほど経過すると激しい
ラグに見舞われるようになりました。3回続いたのでプロアクティブディフェン
スをオフにしてみたところ、今のところラグ発生はせず。
カスペがこのラグに関連しているのかは謎ですが…。

670 名前:(○口○*)さん:08/02/15 09:54 ID:sh+38ljD0
>>629です。
一昨日ガンホーから返答がありました。
「ご報告いただいた情報を元に調査を行った結果、お客様のご報告内容と一致しない、
アトラクションIDの使用形跡を確認致しました。」
ということで、ハイテク犯罪センターで言われたとおり、最寄署に昨日電話入れました。

生活課に繋いでもらったのですが、ここがなかなか酷く。
説明中に2回電話が代わられ、最後に出た方と話しました。
オンラインゲームのIDとパスワードを不正に第3者に使用された形跡を確認した旨。
PCは家族は使用しておらず、遊びにきていた相方が相方自身のIDでログインしており、
私は私で自分のIDでログインしていたが、二人とも被害に合った旨。
(相方は自宅の最寄署に相談中)
ネットカフェではログインしたことがなく、ハッキングを受けた直後にウイルススキャンでトロイが検出された旨。
説明するとゲーム名を聞かれましたが、オンラインゲームには全く無知な担当者のようでした。

671 名前:(○口○*)さん:08/02/15 10:03 ID:sh+38ljD0
>>670続きです。
すでに管理会社に連絡し、怪しい形跡が確認されていることを伝えましたが、
「ちょっとまって」といわれ電話の向こうから話し声が。
「こういうのはプロバイダまではわかる。でもプロキシとか使っていて、その先がわからない。
海外からだとまず犯人がわからないから困る」
と話している人がおり、3回ほど「困る」連発してました…。

その後、「捜査しても犯人検挙に至らず、事件として成立しない場合が多いので…」
「管理会社に問い合わせても結局調べきれないので…」
「以前にも似た案件があったが、データについては管理会社と相談していただくしか…」
とかなり捜査を渋る返答。

頭にきたので、
「犯人検挙に至らずとも不正アクセス禁止法に触れる違法行為があった可能性が高く、
違法行為があったということまででも捜査していただきたい。
そこまで判明しないと私のほうも管理会社と話が進められない」
と強気に出てみると、
「では話を詳しくうかがいますので来ていただけますか。週末は別件捜査があるので火曜に…」
「IDやパスワードを伺うことがありますけど、個人情報なので大丈夫ですか」
とのことなので、仕事が終わったら向かうことにしました。

相方のほうはもう少し話を聞いてくれそうなようで、土曜に行くことになってるそうです。
同じPCを使い同じタイミングでやられているので、あちらが捜査するならこちらもしないわけにいかないでしょうし、
それを材料にがんばってきたいと思います。
もし、どなたか経験者さんで助言ありましたらお願いいたします。

672 名前:(○口○*)さん:08/02/15 10:04 ID:sh+38ljD0
ちなみに、「火曜日どなた宛にお伺いすればよろしいでしょうか」と聞いたところ、
「2階に生活課があるからそこにきて。受け付けで聞けばわかる」と回答。
担当者の名前は教えてもらえませんでした。

673 名前:(○口○*)さん:08/02/15 13:45 ID:prRpCHuK0
>>627
癌も変わったけど警察も変わったと思う。
数年前相方がハックにあったときにハイテク犯罪センターへかけたら
「たかがゲームの世界でしょ」って感じで鼻で笑われて
まともに相手にされず終わったらしいからね。
ちなみに癌からの返答は「警察からの要請があれば調べます。」だけ。
警察が上記の対応だから当然癌も何もせず泣き寝入りになってたよ。

674 名前:(○口○*)さん:08/02/15 14:10 ID:3EkIEm43O
IE7に抵抗あったけどこの際入れてみるか…
6に戻すのも簡単みたいだし

675 名前:(○口○*)さん:08/02/15 16:22 ID:DuLuLNxi0
こちらでいいのか悩みながら書き込み。
1月末ごろにマカフィーからカスペルスキーに乗り換えました。
はじめの数日間はいろいろ警告を出されつつ、なんとかROをプレイできていたのですが、
ここ最近RO起動してから最初の10分程でPC自体が再起動を繰り返すようになりました。
ただサイト閲覧をしている場合などは落ちたりはしません。
この事からnproがらみでカスペルスキーが何かをはじいてるんじゃないかとは予測は出来るのですが、
ROファイルの更新の有無に関わらず(クライアント等)、落ちたり落ちなかったりします。
また、ROが終了するだけでなくいきなりPCの電源が落ちるのはなんなんだろうと
不思議に思っています。
とりあえず、再起動が起こってしまったらRagexe.exe・Ragnarok.exe・GameMon.desを
「信頼するアプリケーション」から一旦削除し再度設定しなおしてみるとなんとか再起動しないと
言う感じです。
でもいきなり落ちたりするのは心臓にも悪いですし、PCにも良くないのでなんとか事前に
防げないかなと思いまして、先輩方のお力を貸していただきたく思います。
ちなみにOSはWinXP HomeEdition SP2、Pen4 3.00GHz、メモリ1Gです。

676 名前:(○口○*)さん:08/02/15 16:42 ID:MhPXuhZC0
>>673
んでも >>671 とか見るとまだまだダメだねぇ。
法的にもいい加減なので警察署によって対応がバラバラ。

>>675
OSごと落ちるのは電源や熱や故障といったハード的な問題だと思うぞ。

677 名前:(○口○*)さん:08/02/15 16:55 ID:lGyQkui+0
Kaspersky 7.0 メンテナンスパック1(MP1)の公開停止のお知らせ
ttp://www.just-kaspersky.jp/support/v7mp1/?m=jui15k01

678 名前:(○口○*)さん:08/02/15 17:11 ID:99b/eWGN0
>>675
>>676のいうようにハード面も疑った方がいいね。
とりあえずMemtest86でメモリのチェックでも。

679 名前:(○口○*)さん:08/02/15 18:39 ID:rC4NWHYL0
>対象製品を実行中、コンピュータとウェブブラウザ(Microsoft Internet Explorer、Mozilla、Firefox)の処理速度が遅くなる

MP1入れた後、時々ROの画面が歪んだ状態のまま数秒止まることがあったんだけどこれのせいかもしれないな。
タゲられてる時に起こると死が見えてかなり焦る。

680 名前:(○口○*)さん:08/02/15 18:44 ID:CPVmVJpX0
PG2導入したんだけど、PC終了時や再起動時にフリーズというか
すっごい時間かかる時があるんだけど、どうすればいいだろう

681 名前:(○口○*)さん:08/02/15 18:55 ID:uhBmoLR50
ガンホー,「ラグナロク」の2008年度アップデート予定とプロモーションプランを発表
ttp://www.4gamer.net/games/001/G000183/20080215036/

>プロモーションの一環として,シマンテックとタイアップし,
>本作のプレイチケットと新ゲーム内アイテムが付属したセキュリティソフト,
>「ノートン インターネットセキュリティ 2008」を,2月20日(水)から期間限定で発売する。

何故ノートン

682 名前:(○口○*)さん:08/02/15 18:56 ID:oCaeesR20
>>680
Win2kの時は完全に止まったことがあったよ
仕方ないから終了させてからPC落とすようにしてた

683 名前:(○口○*)さん:08/02/15 20:34 ID:0JRr+37c0
>>680
起動時にリストをチェックしているせいじゃないかな。設定タブのアップデート内の更新確認辺りが引っ掛かってないかな。

684 名前:(○口○*)さん:08/02/15 21:06 ID:wcqwruWk0
windows終了時(厳密にはログオフ時点)で引っ掛かるのは、user profileのアンロード失敗絡みかも。
UPHCleanをサービスとして導入する事で、解決出来るかもしれない。
ttp://akari.kabe.co.jp/MagSite/Content.modf?id=20060824114733
ttp://support.microsoft.com/kb/837115

685 名前:(○口○*)さん:08/02/15 21:14 ID:7kW+TpUu0
>>680
PG2が終了する際に上手く終了出来ないようで、タイムアウトする1分間まで進まなくなることがある。
逆に1分何もしないで放置してると、正常に終了or再起動する。

XPなら終了or再起動する時の画面が完全にモノクロになるまで待ってから、
終了or再起動のボタンを押すとすぐに始まる。

もしくはPG2を手動で終了させてから、終了or再起動でもすぐに始まる


MSで公開しているフリーソフトで1分間タイムアウトを待たなくするのがあるらしいけど、
それでも対処可能かは不明

686 名前:(○口○*)さん:08/02/15 21:58 ID:MhPXuhZC0
>>684
ああ、これは絶対に入れておいたほうがいいな。
2000もXPも。

687 名前:675:08/02/15 22:32 ID:DuLuLNxi0
>>676
>>678
出かけていたもので返事が遅くなってしまい申し訳ありません。
なるほど、PCの電源が落ちてしまうというのでなんかおかしいなとは思っていたのですが。
早速箱を開けて掃除から始めていろいろ試してみます。
アドバイスどうもありがとうございました!

688 名前:680:08/02/15 22:39 ID:CPVmVJpX0
沢山のレスありがたいぜ。とりあえず684を入れてみた

689 名前:まとめ臨時 ◆kJfhJwdLoM:08/02/15 23:35 ID:tL8g5eBb0
>>680-687
684氏の件は今度の新スレを立てるときの
テンプレートに組み込んだ方がよいかもしれませんね。

地味かもしれませんが正常終了できないと言うのは
やはり心配の種だと思いますから…。
と言う自分もこの恩恵にあずからせていただきました。
すぐ終了しない事に疑問を抱かなかったのは
VBやらMEの挙動に飼いならされてしまった所為なのだろうか…。


あと現スレにてアカウントハック被害を受けた方々、
対処体験談の報告を知らせていただいて本当にありがとうございます。
何かの折に被害を受けた方に少しでも指針になるかもしれないと思うと
本当に貴重な書き込みだと思います。


そして最近は新種の報告が無いところを見るに沈静したのか
単にRO関係で見当たらなくなったのか…なんとも。

690 名前:まとめ臨時 ◆kJfhJwdLoM:08/02/15 23:38 ID:tL8g5eBb0
アカウントハックの被害を受けた方々って言い回しも変でした。
アカハックから復旧した方々というべきだったかも…。

691 名前:(○口○*)さん:08/02/16 01:12 ID:Rj0qmR4s0
hostsRenewScriptはhttp://sky.geocities.jp/ro_hp_add/の書式を解さないんだね。
http://sky.geocities.jp/ro_hp_add/ro_hp_add_hosts.txt を指定しないといけない。
どうやら行頭と行末のスペースやタグを無視してはくれないらしい。

692 名前:(○口○*)さん:08/02/16 07:40 ID:k1B+FV3L0
>>681
SB-BB向けに、SymantecがASP型セキュリティサービスを提供している縁なのでは。
NTT東西向けがTrendMicroであるのと同様に。

693 名前:まとめ臨時 ◆kJfhJwdLoM:08/02/16 13:30 ID:WrcW/IAr0
>>691
以前に#trojan trap sitesの記述を入れないと
自動取得できないと言う話だったので入れてみたのですが
TOPページの書式では処理できない記述になってしまっているのかも。

当ページはhostsファイルへ直接コピーアンドペーストで
貼り付けしてもらえばって言う形を取っているので
お手数ですがテキストのほうを指定していただければと思います。

hostsRenewScriptの方は使用していませんが
リネージュ資料室さんとBSテンプレさんの方を拾いにいっていると思われます。
まとめ臨時の方は指定が無くても、
前記の二箇所に載っているドメイン名を
後追いで重複していることが殆どなので
当方をチェックされていなくてもhostsRenewScriptの信頼性は高いはずです。

694 名前:(○口○*)さん:08/02/16 17:28 ID:OKK8xvIV0
VBS見たら判るけど、hostsRenewScriptは処理範囲を決め打ちしてる。
それとデフォルトではリネージュ資料室と本家まとめの2つしか見てない。
(現在のVer0.08公開時点では、まとめ臨時のサイトはまだ存在してなかった)

今のVerはgzに対応してるからBS Wikiのリストも処理できるけど、デフォルトの
cfgでは指定されてないので、読みに行かない。

BS Wikiの人が自作のリストについて
「自動作成してるリストで人の目を介して更新してるわけじゃないから
何かあった場合に困る。だから参考程度で使って欲しい」
みたいな発言をした事があったから、初期値では指定されてないんだと思う。

695 名前:(○口○*)さん:08/02/16 17:49 ID:/wqAD9Lp0
カスペルスキーを導入しようと思いますが
みなさんはAnti-VirusとInternet Securityのどちらを使っていますか?

696 名前:(○口○*)さん:08/02/16 17:54 ID:TdLR3ljP0
大半がNISじゃね
FWが欲しいならNIS。アンチウイルス機能だけならNAV

697 名前:(○口○*)さん:08/02/16 17:55 ID:TdLR3ljP0
何書いてんだ俺w

ノートンじゃねーよwwwwwKISとKAVだwwwwww

698 名前:まとめ臨時 ◆kJfhJwdLoM:08/02/16 19:33 ID:536UGstw0
>総合対策436
教えていただいたのでwww■k5dionne■com/ousele/aniro■htmから
該当の部分を抜き出してURLエンコード/デコードフォーム
(http://home.kendomo.net/board/decode/decode.php)にかけてみました。

スクリプトの関数部分?がエンコードされているもので
そこから抜き出した物をデコードすると
\system32","cmd■exe /cとかあったので、sanro■exeを落としてきて、
勝手にコマンドライン開いて即時実行するのだなあと素人目線で判断。
総合対策435でもコメントがあったように
いわゆるいつもの手と言う奴のでしょうけど…
エンコードしているのは、
ぱっと見で判断付かないように策を講じているって事なのかな…とか。

>>694
憶測でコメントしてしまって申し訳ありませんでした。
BSテンプレさんのほうにはデフォルト指定されていなかったのですね。
うむむ、責任重大だ…。

699 名前:(○口○*)さん:08/02/16 19:36 ID:C7V5OXPc0
そろそろ向こうの誘導厨は何らかの処置されて欲しいところ

700 名前:(○口○*)さん:08/02/16 19:55 ID:pANR9ixG0
冗談抜きにアク金依頼してもいいと思う。
本当に度が過ぎた時は他の人が張ればいいんだし。

701 名前:680:08/02/16 20:57 ID:oiF2t+KX0
報告が遅れたけど>>684入れても終了時PG2で引っかかるぽい、ちなみにOSはwin2k

702 名前:(○口○*)さん:08/02/16 21:01 ID:GX5W3zU/0
PG2起動してるとPCシャットダウン時に異常に時間かかることあるから、俺はシャットダウン前に必ずPG2を手動で終了するようにしてる

703 名前:691:08/02/17 00:12 ID:U2XHGoJa0
BS Wiki のリストって、/files/hosts.sample.gz を指定すれば良いのかな。
やってみたら400ほどドメインが増えててびっくり。

>>698
デフォルトで指定されていないからって、責任重大に感じる事も無いと思いますよ。
このスレ見るような人で、デフォで使う人はまずいないでしょうから。

書式のことは、これから導入する人への注意として書いたつもりです。

704 名前:(○口○*)さん:08/02/17 17:14 ID:hOp28zZM0
一部でアカウントハッキングを悪用する動きがあります。
以下の要望をヘルプデスクから投稿し、悪用を未然に防ぎましょう。
多数の投稿があれば救済条件が変わるかもしれません。


アカウントハッキングの悪用

・適当なアカウントを取得してボスカードや不要なカードの刺さった高精錬装備品や
 スロット中段品等の高額品を持たせてアカウントハッキングのURLを踏む。
・倉庫の品がなくなっていたら被害届けを出す。
・4〜5ヶ月後に装備とカードが分離されて戻ってくる。

ということが現状の救済では意図的にできてしまいます。
悪用されないためにも、救済条件から中段装備やボスカード、
高精錬装備などを除外していただけますようお願いします。


アカウントハッキングの偽装

・適当なアカウントを取得してボスカードや不要なカードの刺さった高精錬装備品や
 スロット中段品等の高額品を持たせる。
・海外の知人にアカウントとパスワードを使わせ、
 アイテムを別のアカウント等に退避させる。
・被害届けを出す。
・4〜5ヶ月後に装備とカードが分離されて戻ってくる。
・退避させたアイテムを露店等を介して受け取り。
・事実上、公式にDUPEが成立。

ボスカードや高額品を簡単に増やすことができてしまうため、完全な救済はしないようにお願いします。

705 名前:(○口○*)さん:08/02/17 17:16 ID:QN2t78YH0
>>704
そんな現実的ではないことにいちいち触るな。

706 名前:(○口○*)さん:08/02/17 17:19 ID:R6igQz8n0
>>704
ageんなよ

707 名前:(○口○*)さん:08/02/17 17:21 ID:6Y6vehPh0
痛いな…

708 名前:(○口○*)さん:08/02/17 17:32 ID:bk2MTjIx0
向こうの誘導厨について、目安箱に投げてみた。
我慢しる、で終わる気もするが、何かしらの運営の見解が聞けたらいいなぁ、と。

>まとめ臨時の人
以前からそうだが、ちょっと気負いすぎじゃないかな。
もう少し肩の力を抜いたほうがいいと思う。


>704
痛すぎるが1つだけ。
共犯/教唆/幇助のどれに当たるかは別にして、それは犯罪行為だ。

709 名前:(○口○*)さん:08/02/17 17:32 ID:/7g5qcjm0
そこまでせんでも、分離した状態で帰ってこないようにすりゃいいだけだと思った

710 名前:(○口○*)さん:08/02/17 17:46 ID:NByc0fti0
まったくだ

711 名前:(○口○*)さん:08/02/17 22:49 ID:UN5+zzfg0
というか、>>704自体が中華の差し金じゃね?
垢ハック踏めば、中華の懐は潤うわけで。

712 名前:(○口○*)さん:08/02/18 01:33 ID:iP9dHRGS0
あと中国以外じゃ逮捕される可能性はあるからな。

713 名前:セキュスレ1-936:08/02/18 02:30 ID:HM4as4MY0
hostsRenewの人です。
また少々手を加えたので、Ver0.09として公開致します。

hostsRenew Version 0.09
ttp://acopri.rowiki.jp/index.php?hostsRenewScript

・処理対象の範囲の判定を変更
 リストの先頭行の空白及びタグを無視して取り込み
 (タグの「<」が来たら行終了扱い)
・excepthostsPath(除外リスト)の追加
 除外リストを指定した場合、その文字列を含む行は
 処理対象外として省きます。
・hostsAppend(Appendモード)の追加
 既存のhostsに危険ドメインの指定(「# Trojan trap sites」から
 「# End of trojan trap sites」の記述)がある場合、それも取り込みます
・Append3wの追加
 強制的に「www.」付きのレコードを作成します
・初期設定の取得URLを変更
  削除:まとめサイト
  追加:臨時まとめサイト
  変更:リネージュ資料室

これに伴い、cfgの設定項目が追加されています。

・excepthostsPathの追加
・hostsAppendの追加
・Append3wの追加

今回もcfgは基本的に設定不要にしており、初期値のままですとVer0.08と
同等の動作をします。

またタスク等で自動処理されてる方はErrMsgFlgの指定に注意してください。

714 名前:セキュスレ1-936:08/02/18 02:45 ID:HM4as4MY0
それと危険アドレスのリストに関して注意点を。

hostsRenewで利用している各アドレスのうち、Ver0.08公開時点から比べると
-リネージュ資料室さんのアドレスが変更になっている
(DLは出来るけど、実際には飛ばされている)
-まとめサイトさんの所では既に危険hostsの一覧は提供していない
このように変わっています。

また
-まとめ臨時さんのサイトで新たに一覧の公開がされている
というのもあります。

スクリプトで自動処理している場合、このようなサイト移転・変更には
特に注意してください。

それとgzファイルに対応したものの、初期値でBS Wikiさんのリストを
読み込んでいない理由は>694氏が書かれている通りです。
hostsRenewもそうですが、利用される場合は自己判断でお願いいたします。

715 名前:(○口○*)さん:08/02/18 19:32 ID:ZyAtt4y00
ああ、ここしばらく垢ハク落ち着いてたのは
旧正月だったからか……激しく納得した

716 名前:(○口○*)さん:08/02/18 19:41 ID:iRkQHn530
迷惑メールフィルタを覗いてみたら、
正月三が日だけスパムが異様に少なかったなぁ…

717 名前:(○口○*)さん:08/02/19 00:19 ID:k6XhN08F0
>総合スレ442
テンプレも埋めずに相談するんじゃねーよ。しかも鑑定依頼ぽい内容だし。

718 名前:(○口○*)さん:08/02/19 01:40 ID:XjTppWcj0
704がバカすぎてわろた

719 名前:(○口○*)さん:08/02/19 05:25 ID:sPURH49E0
ネタを本気にしちゃった>>704かわいいよ

720 名前:(○口○*)さん:08/02/19 06:14 ID:alE6QJMr0
鯖にボスC増やすほどガンホーも馬鹿じゃないだろう。
またかよ鯖の裸サクロはボスC救済されなかったしな。

721 名前:(○口○*)さん:08/02/19 06:32 ID:50rDsZel0
ボスCは産出の余地があるからそこまで問題でもないかと。
むしろ、今のようなバランスが考慮外の過去に使用されたs中段やらたれ人形が、リユース可能な状態になる方がネック。
これらが新たに入手出来ない事を前提に、課金アイテムなどのバランス取りが行われているのだから。

722 名前:(○口○*)さん:08/02/19 06:40 ID:fJlxJWF+0
そういうスレじゃないってんだよ

723 名前:(○口○*)さん:08/02/19 21:05 ID:ExFpVh1q0
誰も書いていないので一応。
「FirefoxとOperaはすぐにアップデートを」セキュリティ組織が警告:ITpro
ttp://itpro.nikkeibp.co.jp/article/NEWS/20080219/294094/

Firefoxは2.0.0.12、Operaは9.25へアップデートが行われていない場合、速やかに更新する事を強く推奨。

724 名前:(○口○*)さん:08/02/20 01:20 ID:Pf3bYAqJ0
総合スレより

|444 (^ー^*)ノ〜さん sage New! 08/02/20 01:12 ID:27wzzeHm0
|価格調査隊は現在はアカハックサイトではないけれど
|一度ドメインを失効してる以上、現在の管理者が以前と同じとは限らないため
|ある日突然アカハックサイトに化ける可能性があります
|なので今後二度とアクセスしないようにしましょう

|というようなことを主張してるblogがあるのだけれど、この意見は妥当なのでしょうか?

一時的にドメイン失効した段階では書かれていることが生じる「可能性」はありました。
二度とアクセスしないようにというのは、度を越した対応だとは思いますが、危険性という意味ではありです。

但し、数日後に管理者がドメインを再取得した為に(一応は)安全な状態に戻っております。
そのため、「現時点では」的外れです。

725 名前:(○口○*)さん:08/02/20 01:22 ID:Pf3bYAqJ0
>総合スレ446
誘導出てるのに、あっちで続けんなっつーに

726 名前:(○口○*)さん:08/02/20 01:34 ID:Pf3bYAqJ0
よく読んだら、私のコメントもちょっとずれてるな。

そのBlogの人の主張は、以前の調査隊のサイトと、現在のサイトが外見が同じでも、アカの他人がなりすまして
同じに見えるものを設置している(管理者が違う)から、フィッシングサイトのように、知らないうちに危険なものに
なってしまうかもしれないと主張している訳だ。

「ドメイン失効前の管理人と、現在の管理人が異なる」という主張はとんでもない誤り。

ドメイン失効の後、30日間は買い戻し猶予期間となっていて、同じ人の再取得しかできない。
RO店露店調査隊のドメインは、この期間内に復帰していることから、「別人が保持している可能性はない」

そのため、総合スレ444に書かれていることを主張するようなBlogは、指差して笑ってやってもいい。

727 名前:(○口○*)さん:08/02/20 01:48 ID:fwI7qlWA0
あちらの444です。
以前あちらで調査隊が話題になっていたのであちらに書いてしまいすみませんでした。
今後も今まで通りの感覚で使えば大丈夫ということですね。
コメントどうもありがとうございました。

728 名前:(○口○*)さん:08/02/20 01:56 ID:r+FJ1xGJ0
ドメイン失効前後のルールは、向こうのスレで既出なので一応リンク。
ttp://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/412-413

念のために補足として、JPNICによる請戻猶予期間導入後のフロー解説。
ttp://jpnic.jp/ja/dom/gtld-policy/rgp.html

以前にpukiwiki■orgが失効に至ったまでの流れ。これも参考になる。

独自ドメインホルダーは、ドメインの有効期限をきっちり自己管理する事が必要。レジストラから事前通知がくるだろうと
任せきりにするのは良くない。mailの不達や、そもそもそういった面倒を見てくれない業者だって存在する。
各種ToDoツールなども、こういった長いスパンでの備忘録として有効でもある。

729 名前:(○口○*)さん:08/02/20 01:58 ID:r+FJ1xGJ0
あと、そのBlogでの主張は、単にルールについて無知だっただけか、それともツール憎しの考えで悪質な出鱈目を
広めようとしているのか、一概に区別が出来るものではない。念の為に。

730 名前:(○口○*)さん:08/02/20 07:25 ID:WIUFLgOB0
中途半端な質問失礼します。
自分のブログに〜mov0025.zip(アドレスは怖いから速攻削除して不明)
が張られたのでダウンロードして解凍してみたらウィンドウズメディアプレイヤーのマークがついて
スクリーンセイバー扱いなファイルがでました。
怖くなったからそのままクリックしないで削除したけど、これって感染しちゃっているのかな?
一応今ファイル検索しているけど、仕事に行かないといけないのにまだまだ時間かかりそうです
解凍した時点でアウトかどうか教えてください。>後で色々いじりますけど

731 名前:(○口○*)さん:08/02/20 08:12 ID:Pf3bYAqJ0
>>730
解凍だけならセーフだが速効で消しとけ

732 名前:(○口○*)さん:08/02/20 10:45 ID:uTjpd/wa0
神奈川サイバーつながらねええええええええええ

733 名前:(○口○*)さん:08/02/20 13:06 ID:8f5Uw7Ht0
>>704
>悪用されないためにも、救済条件から中段装備やボスカード、
>高精錬装備などを除外していただけますようお願いします。

cを装備に挿したまま返すよう要望すればいいだけなのに
これじゃ高級装備もってる人をひがんでるようにしか見えないぞ

734 名前:730:08/02/20 15:30 ID:WIUFLgOB0
>>731
保障?を確約してくれて有難う。
問題のファイルは投稿する前にゴミ箱にいれてそこも空っぽにして削除しました。
圧縮状態のときにファイルチェックして解凍してからもファイルチェックして安全って
出ていたので油断していました。以後気をつけます。
あと礼(ここのルール)を欠けた質問をした事を深くお詫び申し上げます。
有難うございました。

735 名前:(○口○*)さん:08/02/20 17:30 ID:ovhokLJj0
>>733
Cが刺さったまま戻ってくるとしても、下に書いてある偽装のほうだと
ハックでとられた事になってる元のアイテムも回収できるから
結局高級品増やせるんだよな。

もちろん偽装も犯罪だ。

>>720に救済されなかった事例もあるし問題ないと思う。
意図的にやられたら嫌なんで似たような要望は送ったけどな。

736 名前:(○口○*)さん:08/02/20 18:33 ID:DP7qf/B/0
未実装スレ見てて思ったんだが

・アンチウィルスソフト導入済み・パターンファイルは自動更新
・WUは自動更新
・PG2導入済み・自動更新
・hosts変更済み・hostsRenewで自動更新
・アプリのアップデートは気が付いたら/気が向いたら行う
・自発的な各種情報収集(ハクスレ/セキュスレ閲覧含む)は特に無し

こういう人は「アンチウィルスソフトに任せっきりで何もしない」人になるんだろうか?

737 名前:(○口○*)さん:08/02/20 18:54 ID:hSybzzd80
なんでまたノートンw

ttp://www.ragnarokonline.jp/goods/symantec/index.html

738 名前:(○口○*)さん:08/02/20 19:03 ID:8f5Uw7Ht0
色々な意味で一番宣伝=金になるんじゃね

739 名前:(○口○*)さん:08/02/20 19:44 ID:r+FJ1xGJ0
>>692で既出だけど、既存パイプからのコネクションだと思われ。
ttp://bbservice.yahoo.co.jp/service/bbsecurity/

その一方で、TrendMicroのASPサービスは切り捨て。
ttps://ybb.softbank.jp/vista/
ロビー活動の差なのカネ。

740 名前:629=670,671:08/02/20 19:47 ID:KQzRG+s70
昨日署に出向くはずでしたが、その前に向こうから電話がありました。

まずガンホーに確認を取るので、いくつか情報を教えて欲しいとのこと。
アトラクションID、最後に正常ログインした日時、異常に気付いた日時を聞かれました。
>670の時はゲーム名を言っても「らぐなろく…?もう一度お願いします」状態でしたが、
今回は「ガンホー」「アトラクションID」という言葉を使っていました)

こちらからも相方が自宅の最寄署に相談済であることを伝え、
(相方は土曜に署に呼ばれており、向こうの署では状況把握済み)
同一案件としてあちらから連絡し連携したいとのことなので、担当者の名前を聞き出しました。
まずはガンホーに連絡を取り、方針が決まったらまたこちらに連絡をくれるとのことでした。

ここまでで感じたのは、最寄署に連絡する前にまず「ハイテク犯罪対策センター」に一報入れたほうがいいということです。
センターはかなり手馴れてましたので、私のケースのように最寄署に知識が無くても
「本庁のハイテク犯罪センターに相談したところ、こちらで詳しく相談するように言われまして…」
と切り出しておけば連携も取ってくれるようだし、話が通じやすくなると思います。
センターではかなり詳しく状況を聞かれるので、記録も取ってくれているでしょう。


>>732
神奈川県警にはサイバー課があるんですか?
サイバー犯罪専門の課がある管轄と、生活相談課が兼ねてる管轄ではやはり対応違ってきますかね…。

741 名前:にゅぼーん:にゅぼーん
にゅぼーん

742 名前:(○口○*)さん:08/02/20 21:25 ID:7AOEgo0U0
テンプレも守れないで個人blog晒すバカは削除依頼して2度と来るな

743 名前:(○口○*)さん:08/02/20 23:26 ID:E/UoNiRq0
>>726
某レジストラに勤めてる人間からの補足だけど、有効期限満了後に
更新手続きが行われなかった場合、猶予期間はレジストリ管理になる。
このとき、WHOISの有効期限は1年更新されたかのように表示されるので注意が必要。
つまり有効期限満了後のWHOISのexpireを見るだけでは、更新されたかどうかの判断はできない。
さらにDNSサーバも有効期限満了前のサーバが指定されているようにWHOISだと表示されるが、
実際はレジストリのDNSサーバに変更されてたりする(まぁここら辺はレジストリによって違うのかも)

某blogのコメント欄でWHOISのexpire情報が変わっただけで「更新された」と判断してた人がいたので、
ここでも勘違いしてる人がいるんじゃないかなぁとお節介なアドバイスを。

744 名前:(○口○*)さん:08/02/22 08:57 ID:vsMb8MXD0
【      気付いた日時          】 今朝
【不審なアドレスのクリックの有無 】 不明
【  アドレス   】
【     OS    】WindowsXP Home SP2
【使用ブラウザ 】Sleipnir(常時、ActiveX切)
【WindowsUpdateの有無】 有
【 アンチウイルスソフト 】 NOD32
【その他のSecurty対策 】 PeerGuardian2
【 ウイルススキャン結果】 下記に詳細
【テンプレの参考サイトを読んだか】 Yes
【hosts変更】 有
【PeerGuardian2導入】 有
【説明】PCに詳しくないので、質問させて下さい。

今朝、パソコンを起動したら、NOD32がPeerGuardianからウィルス検出とのメッセージ。
よく分からなかったので、とりあえずPeerGuardianを削除し、再インストールをすることに。
リネージュ資料室を参考に、「PeerGuardian2 for Windows β6b 日本語」をダウンロード
し始めたのですが、ダウンロード中にNOD32がPG2からウィルス検出と警告。

ファイル:C:\ProglamFiles\PeerGuardian2\is-DIREF.tmp  ←たしかこんな名前だったような?
ウィルス:Win32/PeerGuardian アプリケーションの亜種

これと同様の症状が出た方は、他にもいるのでしょうか?

745 名前:(○口○*)さん:08/02/22 09:23 ID:m8kkeu+d0
2/21の更新でPG2をVirusとして検出するようになったっぽい。
phoenixlabsのフォーラムでも話題になってる。
ttp://forums.phoenixlabs.org/showthread.php?p=114097

理由は不明だが、「Win32/PeerGuardian」と検出してる時点で誤検出じゃなく
決め撃ちだと思う。
(Winnyを危険ソフトと検出するのと似たようなものか?)

公式からDLしてる分には問題ないだろうから、例外扱いにして無視するしか
PG2を使わないようにするかの2択だと思う。

746 名前:(○口○*)さん:08/02/22 09:36 ID:vsMb8MXD0
>>745
素早い返答ありがとうございます。
とりあえず様子を見ることにします。

747 名前:(○口○*)さん:08/02/22 11:45 ID:OvLO+fjL0
>>740

ttp://air1.fc2web.com/as/id.html
こちらの方がサイバー課にかけたそうなので

748 名前:(○口○*)さん:08/02/22 13:33 ID:eaPmq5hl0
PG2の作成動機の一つとして、P2Pアプリでの個人特定防止や、特定ホストの接続拒否によるネットパトロール回避があるから。
多分、政治的圧力みたいな背景なんだろうか。

749 名前:(○口○*)さん:08/02/22 14:08 ID:RUq6Cglm0
カスペルスキーのオンラインスキャンについて質問です。
どのスキャン選べばいいですか?
重要な領域、メモリ、マイコンピュータとありますが、
どれスキャンすればいいですか?

750 名前:(○口○*)さん:08/02/22 14:11 ID:kewnap5V0
(゚Д゚)……。

751 名前:(○口○*)さん:08/02/22 15:20 ID:wIxnnrmF0
まぁ初心者さんなんだろう。セキュリティについて興味を持ってくれたのはいい事です。
とりあえず初めてならマイコンピューターでPCフルチェックして貰っていいんでないかね。
時間は掛かるけどね。

752 名前:(○口○*)さん:08/02/22 15:21 ID:PDk+lJnv0
ドメインをwhoisにかけても
表示されてる意味がさっぱりわからん頭の悪い私がいる

753 名前:(○口○*)さん:08/02/22 15:26 ID:xxLm7jAM0
>>752
分かりやすいのをもってきた

Domain Name] RAGNAROKONLINE.JP

[登録者名] ガンホー・オンライン・エンターテイメント株式会社
[Registrant] Gungho Online Entertainment,Inc.

[Name Server] ns1.gungho.jp
[Name Server] ns02.idc.jp
[Name Server] ns2.gungho.jp
[Name Server] ns03.idc.jp

[登録年月日] 2002/08/01
[有効期限] 2008/08/31
[状態] Active
[最終更新] 2007/09/01 01:05:05 (JST)

Contact Information: [公開連絡窓口]
[名前] ガンホー・オンライン・エンターテイメント株式会社
[Name] Gungho Online Entertainment,Inc.
[Email] yterai@gungho.jp
[Web Page]
[郵便番号] 100-0006
[住所] 東京都千代田区有楽町
[Postal Address] yurakuchou, Chiyoda-ku, Tokyo
[電話番号] 03-5511-1400
[FAX番号]

754 名前:750:08/02/22 17:10 ID:RUq6Cglm0
>>751
どうもありがとう。
ではアドバイスどおりマイコンピュータでスキャンかけてみます。

755 名前:(○口○*)さん:08/02/22 19:44 ID:trWAw6rC0
>>747
ああ、なるほど。
そこの「サイバー課」でリンクしてあるところから見ると、
神奈川県警には「サイバー犯罪対策センター」があるようですね。
東京都だと警視庁本庁の「ハイテク犯罪対策総合センター」が窓口で、
そこから誘導されて最寄署の生活安全課に行くという感じです。

756 名前:(○口○*)さん:08/02/23 01:46 ID:EQErZHq10
>744
今自分がまさにそうなりました。
ログはこんな感じ。

検査時間: 2008/02/23 1:23:22
検査ログ
NOD32 バージョン2896 (20080222) NT
コマンドライン: c:\program files\peerguardian2\pg2.exe C:\Program Files\PeerGuardian2\pg2.exe

日付(日.月.年):23.2.2008 時間:01:23:24
アンチステルス技術は有効にされます。
検査したディスク、フォルダ、ファイル:c:\program files\peerguardian2\pg2.exe
c:\program files\peerguardian2\pg2.exe - Win32/PeerGuardian アプリケーション の亜種
検査したファイル数:1
検出されたウイルス数:1
駆除されたファイル数:1
検査終了時刻:01:23:35検査に要した時間:11秒(00:00:11)

注意:
[2]ファイルは使用中です。駆除を完了するには、システムを再起動する必要があります。

わけわからんと思いつつ、再起動してPG2を削除。
さて…入れなおすかorz

757 名前:(○口○*)さん:08/02/23 01:54 ID:47yqwTU90
NODがカスツールと化したか

758 名前:(○口○*)さん:08/02/23 02:17 ID:EQErZHq10
とりあえずPG2入れなおした。

手順は、PG2インストールの際に、インストール先のフォルダを選ぶところまで進めたら、
NODのAMON/設定/除外から、追加...で、フォルダボタンを押し、PG2をインストール
する予定のフォルダを選択して決定ボタンを押す。
これでPG2のインストールを進めても隔離されないで済むので、インストールを進める。

PG2のインストールが完了したら、さらに、フォルダではなくPG2本体を除外設定するために、
AMON/設定/除外から、追加...で、次はファイルボタンを押し、PG2本体を指定して決定ボタンを押す。
本体への除外設定が済んだら、先に除外設定しておいたフォルダの設定を選択し、削除する。
これでPG2本体のみ除外設定が完了。

って感じで入れなおしてみた。なんか変なことしてそうだったら指摘ください。
どういう理由でPG2を隔離対象にしたんだろう…

759 名前:(○口○*)さん:08/02/23 02:22 ID:+8POwZRQ0
時間 モジュール 対象 名前 ウイルス アクション ユーザ システム情報
2008/02/22 20:28:30 Kernel ファイル C:\Program Files\PeerGuardian2\pg2.exe Win32/PeerGuardian アプリケーション の亜種

もしやと思いログを見てみたらうちにも上記ログが3つ並んでた
pg2.exeはそのまま残ってたので設定から除外に、なんでしょねこれ

760 名前:(○口○*)さん:08/02/23 03:00 ID:qZzHmgQu0
聞いて欲しい
レースしながらニコニコ見てたら急にIRCの自分のニックネームが
意味不明な文字列に勝手に変わったんだ

この現象は垢ハクと何か関係あるのか教えて欲しい

761 名前:(○口○*)さん:08/02/23 03:11 ID:qZzHmgQu0
自分でもよくわからないんでスルーお願いします
申し訳ない

762 名前:(○口○*)さん:08/02/23 04:27 ID:TnIJfCMt0
PeerGuardianの公式にも告知でてるな
乱暴に解釈すると、

ESETがPG2を入れられてるとウイルス感染少なくなって利益でねーからってウイルス扱いした
ESET使ってる人はAvastとかノートン先生に変えてくれ。あとESETのアホ

763 名前:(○口○*)さん:08/02/23 05:16 ID:+8POwZRQ0
>>762
いや、違うでしょw
P2Pソフト(Winnyなど)を利用してるときに、PG2を使って警察機関などからのアクセスをブロックして見つかりにくくしてるから
っていうことじゃないのかな、悪く言うとPG2が犯罪の助長してるというか
「Winnyはウイルスです!」みたいな本当、悪い方だけの極端な扱われ方されたのかも

764 名前:(○口○*)さん:08/02/23 05:34 ID:pCn1Fvui0
>>760-761
エンコードが化けただけでは?

765 名前:(○口○*)さん:08/02/23 05:39 ID:+h7P0SmL0
【      気付いた日時          】2月23日 3時ごろ
【不審なアドレスのクリックの有無 】クリックしました 
【  アドレス   】www■teamerblog■com/wiki/
【     OS    】WindowsXP Home SP2 
【使用ブラウザ 】FireFox 
【WindowsUpdateの有無】 自動更新 
【 アンチウイルスソフト 】 ESET Smart Security 
【その他のSecurty対策 】 Spybotとルータ 
【 ウイルススキャン結果】 クリックした時にESETが反応して遮断 
その後でESETでスキャン→検出なし 

【テンプレの参考サイトを読んだか】9割がた読んだと思います
【hosts変更】 無
【PeerGuardian2導入】無 
【説明】 
ROと無関係のwikiでうっかり踏んでしまいESETが反応しました 
検査方法はHTTPフィルタとなっており
脅威名がVBS/TrojanDownloader.Agentの亜種である可能性 トロイの木馬
対応が接続切って隔離となっています(隔離したファイル名はURLになっているのですが…)
以来、そのPCではROには触れずサブPCで色々手段を探したりしています
最終的にはOS再インストールの運びになると思いますが
今のうちに聞いておきたいのは

1.おそらく感染する前にブロックした?(ESETのログファイルの見方が今ひとつ分かって無いorz)
2.これってROのアカハック関係のトロイ?
3.このウィルスの感染?の5分程度前にDNSキャッシュポイズニング攻撃が5回ほど検出
されているのですが、上記と何か関連性はあるのか

いや、リネのアカハックだけならリネやってないから(気分的に)助かるなぁとか
そんな事を思ったりしているのですが

お手すきの識者の方、よろしければ回答いただけると助かります

766 名前:(○口○*)さん:08/02/23 05:45 ID:pCn1Fvui0
>1.おそらく感染する前にブロックした?(ESETのログファイルの見方が今ひとつ分かって無いorz)
可能性が高い。

サイズ0のiframeでVB Scriptを呼び出し(これはスルー)
呼びだされたVB Scriptが本体を呼び出そうとするが、それをブロック(した筈)

>2.これってROのアカハック関係のトロイ?
勿論。既知のアカハックアドレスですし。

>3.このウィルスの感染?の5分程度前にDNSキャッシュポイズニング攻撃が5回ほど検出
>されているのですが、上記と何か関連性はあるのか
多分無いけど保証はできない。

>最終的にはOS再インストールの運びになると思いますが
うん、まぁ、何がどうブロックされたり、隔離されたのかわかってない場合はその方がいいね。

767 名前:(○口○*)さん:08/02/23 05:55 ID:O71WQi9r0
今使ってるノートンの期限が切れ次第NODに乗り換えようと思ってたのに…どうするかなぁ。

768 名前:(○口○*)さん:08/02/23 08:25 ID:QgMT1pk90
うちでもNOD32とPG2が喧嘩した。
期限切れたらカスペルに移行かなぁ・・・

769 名前:(○口○*)さん:08/02/23 08:33 ID:xN+pdGQm0
>>758を参考に、PG2だけ除外設定すれば良いだけなのでは?

770 名前:765:08/02/23 09:17 ID:+h7P0SmL0
>>766
早急なご回答助かりました
勉強になりました
あとは時間が出来次第さっくりOS再インストール
しようと思います
ありがとうございました

771 名前:(○口○*)さん:08/02/23 09:55 ID:lC76xzJA0
>>755
基本的には、各都道府県の警察本部(道府県警/東京都は警視庁)にサイバー犯罪相談窓口が置かれているような状況。
各所轄に専任で置けるほど、人員に余裕がないだろうし。
相談窓口を通して話をしておけば、所轄への申し送りや資料伝達の面でもスムーズに進められるだろうから、地域署にまず
話を持っていくよりも無難だろう。

↓都道府県警察本部のサイバー犯罪相談窓口等一覧。これもテンプレ入りさせた方がよいかも?
ttp://www.npa.go.jp/cyber/soudan.htm

772 名前:(○口○*)さん:08/02/23 10:33 ID:lnldAjhn0
>>771
しかしそこまったくつながらない・・

773 名前:(○口○*)さん:08/02/23 10:41 ID:+8POwZRQ0
>>772
警察関連弾いてたりしない?PG2なんかで

774 名前:(○口○*)さん:08/02/23 12:52 ID:lroCrcaL0
>>771
ガンホーに被害報告した時、被害に会ったらどうするかというページのURLも送られてきますが
そこにそのURLも載っていました。
でもガンホーにいかずいきなり警察に行く人もいると思うので、載せたほうが良いかもですね。
連絡は早いほうがいいと思いますし。

>>772
私は月曜の昼休みに電話したのですが、全く繋がらず
10分おきにかけるなどし続けて、14時半くらいにつながりました。
どうしても繋がらなければ、センターの番号ではなく署の代表番号にかけてみては?
繋がらない旨を言えば、向こうからかけてもらえるようお願いできると思いますよ。

>>773 サイトではなく、電話が繋がらないのでは?

775 名前:(○口○*)さん:08/02/23 13:44 ID:fymXDZXg0
社保庁も電話繋がりにくいよ

776 名前:(○口○*)さん:08/02/23 14:35 ID:dLAB9mnw0
NOD32とPG2使ってるけど、そのエラー出ないな。
除外設定とかしてないし、PG2のフォルダやEXEそのものを指定しても
手動検索かけても検出せず。
環境とも思えないんだが、なんでかねぇ?

OS:Windows2000Server SP4
   (自宅鯖だが、稼働状況の関係でWUは先月分まで)
NOS32:バージョン2897(20080222)NT
PG2:2.0 Bata6b(2005/09/18) (※DukeDogの日本語第2版)

PG2で入れてるリストはデフォ分から
・PG2アップデート
・広告
・スパイウェア

追加設定が
・リネージュ資料室のアカハック分
・リネージュ資料室の中韓台リスト
・まとめサイトの垢ハック分

もしかして公式配布純正版だけ引っかかって、日本語版(パッチ当て版)は
引っかからないとか?
もしそうなら亜種を検知してない事になるから、それはそれで問題な気も
するんだが……

777 名前:(○口○*)さん:08/02/23 15:19 ID:EQErZHq10
自分が入れて引っかかったのは、「PeerGuardian2 for Windows β6b 日本語」なのでそれは無いかと。
>744氏と同様に、リネージュ資料室のPG2導入の手順を踏んでる。

NODの定義ファイルの更新履歴を見ると、Win32/PeerGuardianが追加されているのは21日と22日に
配布されている2894と2895らしい。
http://canon-sol.jp/product/nd/virusupd/index.html

778 名前:(○口○*)さん:08/02/23 16:08 ID:EQErZHq10
色々あさってたら、理由らしきものの手がかりになりそうなのを見つけた。

ドイツ語のフォーラムっぽいところだけど
http://www.computerbase.de/forum/showthread.php?s=2f1e0c7817f5e29a3b83d82271e46dd3&p=3849693#post3849693
そのなかに、下記のような書き込みがあって、
das ist kein fehlalarm. peerguardian blockiert ein paar update server von eset,
also hat eset peerguardian in die liste der "unwanted applications" aufgenommen.

機械翻訳にかけると、

>Nod32は、PeerGuardianを削除します−これは、少しも誤ってアラームでありません。
>peerguardianは、esetの2、3の最新版サーバーをブロックします、
>したがって、esetは「不必要なアプリケーション」が彼ら/彼女/それに拾ったリストpeerguardianを持ちます。

となる。

参考にしろといわれているURLが↓なんだけど、P2P監視にまつわるアレコレの知識が
無いのでよく分からなかった…
http://www.wilderssecurity.com/showthread.php?t=201030

779 名前:(○口○*)さん:08/02/23 17:17 ID:ZSsLWOOp0
初期導入(追加でも入るけど)のブロックリストを見に行ってるんじゃないか?
そこにESETのIP範囲が入ってたら反応するとか。

NOD32が反応した人、導入してるブロックリストとNOD32の設定(不要/疑わしいプログラムのチェック)は
どうなってる?

780 名前:(○口○*)さん:08/02/23 19:08 ID:EQErZHq10
導入しているブロックリストは、下記の3つ。
・Lineageトロイ byリネージュ資料室
・中国・韓国・台湾 byリネージュ資料室
・ROのアカウントハック対策まとめサイトのリスト

PG2本体がブロックする対象のほうが問題のようなので、追加リストは多分関係ないんじゃないかなぁ。
NOD32の設定は、

AMON設定
 「潜在的に不要なアプリケーション」 有効
 [潜在的に安全ではないアプリケーション] 無効
IMON設定
 「潜在的に不要なアプリケーション」の検査 有効
  [潜在的に安全ではないアプリケーション] 無効

試しにこれを、潜在的に不要なアプリケーションの検査を無効にして、除外設定を解除してみた。→検出されなかった。
さらに試しに、潜在的に不要な〜を有効に戻してみた。→検出されなかった。(除外設定は削除したまま)
理由は分からないが、現在は何の除外設定もせず、NOD32の設定も元に戻して問題なく動いている。

なんでだ?定義ファイル2896か2897で検出対象から外されたのか?
それともPG2がesetの特定のサーバへのアクセスをブロックした段階で検出されるのか?
もう、どうなってるのか分からない。

781 名前:(○口○*)さん:08/02/24 08:36 ID:Pe3DUNvd0
PC初心者なので、無知なところが多いのですが
ご容赦お願いします。
【      気付いた日時          】2月23日2時ごろ
【不審なアドレスのクリックの有無 】有
【  アドレス   】慌てて閉じてしまったので確認していません
【     OS    】WindowsXP Home Edition
【使用ブラウザ 】IE
【WindowsUpdateの有無】 自動更新
【 アンチウイルスソフト 】 キングスソフトセキュリティ
【その他のSecurty対策 】 WINDOS初期のままの状態です
【 ウイルススキャン結果】ウイルスが1個見つかりました
【テンプレの参考サイトを読んだか】現在読んでいます
【hosts変更】 無
【PeerGuardian2導入】無
【説明】
ROのブログのコメントの名前をクリックしたところ、真っ白のHPが開いて
セキュリティソフトの警告ポップアップ(このHPはアクセス許可できません、みたいな感じだったと思います)が出ました。

慌ててセキュリティソフトを開いて確認したところ
ウィルス 2008-02-23 01:30:53 ファイルC:\Documents and Settings\個人名\Local Settings\Temporary Internet Files
    \Content.IE5\FSN6GY78\ani[1].c中にウィルス発見 Win32.Troj.ExpAni.a.794 処理失敗(ファイルを操作できない)
とのログがあり、慌てて完全スキャンを実施。
実施後のログは「Win32.Troj.ExpAni.a.794 駆除成功」
今回のスキャンで1個のウィルス及び危険なコードを発見しました。
今回のスキャンで1個のウィルスを駆除しました。
と、出て、」その後隔離する場所に該当ファイルがあったので削除しました。

以上の操作が終わった後に、パス変更をしたのですが
出来ればPC初期化は素人が弄るのは怖いので、避けたいと思っています;
これで当面の緊急対策は大丈夫でしょうか?
他にやったほうがいいことなどあったら、アドバイス頂ければ幸いです。
ROは現在週1回、1DAYで入っている状態で未課金の日が多いのですが
課金していない状態でもアカハックは可能なのでしょうか?
またRO以外のMMOのパスも、全部変えたほうがいいのでしょうか?
質問ばかりで申し訳ないのですが、助言宜しくお願いいたします。

782 名前:(○口○*)さん:08/02/24 08:58 ID:OTcAccQA0
ウイルス名で検索しても大陸サイトばかりで詳細がわかりませんね。。
踏んだURLがわかればそこで判断付くかもですが

パス変更は出来れば踏んでないPCでパス変えておいた方が良かったけど
不安がらせるワケじゃないけど、1つのソフトでは完全に駆除できてないこともあるから
テンプレのカスペオンラインスキャンでも調べてみて引っかからなければ『多分』大丈夫
・カスペルスキー:オンライン ウイルス&スパイウェアスキャナ
  http://www.kaspersky.co.jp/scanforvirus/
より安全を求めるならOS再インストールは免れないかと

課金してない状態なら大丈夫だけど、感染していたら課金時に癌IDなどを抜かれる可能性が
ID・Passを入力した際に抜く手口が一般的ですので
他のネットゲーやWebパスも物によっては危ないですね

783 名前:(○口○*)さん:08/02/24 09:39 ID:1AX8hJzt0
どこのBlogの何月何日の記事のコメントか書いてあると調査できるんだけどね。

過去に提出したアカハック本体を落とさせるアニメカーソル使用のダウンローダについて、キングソフトから
「ウイルス名:Win32.Troj.ExpAni.a」(ファイル名:ani.asp)
「ウイルス名:Win32.Troj.ExpAni.a」(ファイル名:ani.c)
「ウイルス名:Win32.Troj.ExpAni.a」(ファイル名:ffani.c)
「ウイルス名:Win32.Troj.ExpAni.a」(ファイル名:ttani.c)
という名称で検知されたと報告を受けています。末尾の794は、危険なファイルの名称など、
亜種を示すものですので、カスペの検出名「Exploit.Win32.IMG-ANI.ac」と同じものと思って
間違い無いと思います。

784 名前:(○口○*)さん:08/02/25 00:03 ID:rqspy8D80
>>781
垢ハックする方が自腹で課金してくる時があると昔どっかで読んだ
癌IDとパス抜かれてるならそういう事もあるのかもしれん

785 名前:781です:08/02/25 00:39 ID:Exej8AUT0
皆様ご助言ありがとうございます。

>>782さん
先ほど張ってくださった、オンラインスキャンをやってみました。
最初に出たウイルスは検出されなかったのですが、今度は違うものが検出されました;
「Trojan-Downloader.Win32.Agent.alr」というものが出てきたのですが・・・
ウイルス事態は危険地低(緑)と書いてありましたが、これもROアカハック関連でしょうか?

とりあえずこれから、KISをアンインストして皆様の評価が高いようなので
カスペさんのほうで、お試しを使ってみようと思っています。

カスペさんを入れた後、またパス等変えておこうと思います。
今日GVGで1DAY課金しちゃったのでかなりビクビクしています;orz

>>783さん
個人のブログなので、ここに張るのはちょっと悩みます。
張られたコメントなのですが「ジャン@おでん鯖」という名前で
同じ記事をあちこちのブログに張りまくってるようで、mns検索したら数件ヒットがありました。
このような情報からでも調べることは出来ますでしょうか・・・?

素人ながら、知人にIPを調べるサイトを教えてもらったのでやってみたのですが
IPアドレス => 「 121■206■67■225 」
ホスト名変換 => 「 225■67■206■121■board■ly■fj■dynamic■163data■com■cn 」

inetnum: 121■204■0■0 - 121■207■255■255
netname: CHINANET-FJ
descr:CHINANET福建行政区ネットワーク
descr:中国Telecom
descr:7,East通り,Fuzhou ,Fujian ,PRC
国:CN → (中国
という結果になりました。(やっぱり中国でした・・・

>>784さん
自腹で課金ですかΣ
先日アトラクションセンターが、国外IPでは接続が不可能になったと聞いたので
保守率がアップしたから「多分」大丈夫だろう・・・と期待してたのですが、甘いでしょうか。
「絶対大丈夫」というのは無いと思いますが、多少の効果は・・・(希望)

それではまた、何か変化がありましたら書き込ませていただきます。
ありがとうございました。

786 名前:(○口○*)さん:08/02/25 01:01 ID:gSWAgw8w0
>>785
それはパス抜きトロイなので早急なパス変更が必要です
自宅にない場合は信用できる友達のPCでパス変更した方がいいと思います
駆除していない状態で課金しているとなると尚危険なので安全性の高いPCで、
出来るだけ早くパス変更した方がいいと思いますよ

787 名前:(○口○*)さん:08/02/25 01:09 ID:rqspy8D80
本スレで出てくる福建人ってそいつの事だったんだな

>>785
そいや最近、国外から弾くようになったんだっけ
自分が784の話を読んだのは確かに結構昔の話ではあるよ

788 名前:(○口○*)さん:08/02/25 04:21 ID:X71rzPTe0
>>785
続報に感謝。検索条件としては必要十分です。
ファイルの差し替えがあったのか、外のアドレスを踏んでいたのか、>785で上がっているものは検知されませんでしたね。
ro4■exeは検出率が悪いので、差し替えられたばかりなのかもしれません。


ttp://www■gamemmobbs■com/ragnaroklink
ttp://www■gamemmobbs■com/ragnaroklink/Ms06014■htm
ttp://www■gamemmobbs■com/ragnaroklink/ani■c
ttp://www■gamemmobbs■com/ragnaroklink/ro4■exe

index■htm : Trojan-Downloader.HTML.IFrame.dv
Ms06014■htm : Trojan-Downloader.JS.Psyme.kf
ani■c : Exploit.Win32.IMG-ANI.ac
ro4■exe : Trojan.Win32.Inject.qt

789 名前:(○口○*)さん:08/02/25 05:05 ID:X71rzPTe0
んー、同じ名前での投稿では、下記のものが見つかったけど、「Trojan-Downloader.Win32.Agent.alr」の該当はないなぁ。
本気で差し替えられた後かも知れん。

ttp://linainfo■net/movie/mov0028■zip
ttp://www■rmtro-jp■com/blog/
ttp://www■wacacop■net/wiki/index1■htm
ttp://www■wacacop■net/wiki/send■exe
ttp://www■wacacop■net/wiki/test■exe
ttp://www■wacacop■net/wiki/rost■exe
ttp://linainfo■net/movie/mov0028■zip
ttp://blog■livedoor■jp/ahirun1/
ttp://www■ranninp■com/001358/
ttp://www■ranninp■com/001358/Ms06014■htm
ttp://www■ranninp■com/001358/ani■c
ttp://www■ranninp■com/001358/t1■exe
ttp://www■anoelnet■org/FFXI/
ttp://www■miarakure■com/wiki/index1■htm
ttp://www■miarakure■com/wiki/lin■exe
ttp://www■miarakure■com/wiki/rse■exe
ttp://www■miarakure■com/wiki/ff■exe

index■htm : HTML/Dldr.Rangwik.C(AntiVir)
index■htm : Trojan-Downloader.HTML.IFrame.dv
Ms06014■htm : Trojan-Downloader.JS.Psyme.kf
ani■c : Exploit.Win32.IMG-ANI.ac
t1■exe : Trojan-Downloader.Win32.Delf.dsz
index■htm : Trojan-Clicker.HTML.IFrame.fy
index1■htm : Trojan-Downloader.VBS.Agent.ar
lin■exe : Trojan-PSW.Win32.Magania.bre
rse■exe : Trojan-PSW.Win32.Delf.aih
ff■exe : Trojan-PSW.Win32.OnLineGames.lyx

790 名前:(○口○*)さん:08/02/25 05:12 ID:X71rzPTe0
>>785
Trojan-Downloader.Win32.Agent.alr について
http://www.viruslistjp.com/viruses/encyclopedia/?virusid=124722

791 名前:(○口○*)さん:08/02/25 12:19 ID:7LZvJLK+0
>760
IRCネットワークは複数のサーバのリレー上連結が行われているわけですが、
そのネットワーク上で一部経路の切断があることがあります。
この状態から復帰した時に、分断されていたそれぞれのネット内に同じnickの
人がいた場合、IRCの絶対条件であるnickの一意性が確保できなくなります。
これをnick衝突とかnick collisionといいます。このとき一意性確保のために
・古いサーバの場合→双方をIRCから切断する
・新しいサーバの場合→それぞれのnickをランダム文字列に変更する
という処理がなされます。

ので正常動作の範囲です。アカハックとは何の関係もありません。

792 名前:781です:08/02/25 21:35 ID:6UlF+VPr0
再びこんばんわ。
前回の書き込み中、カスペお試しのソフトでスキャンを掛けていたのですが
最終的には2つウイルスがでました。
1つは完全にROのフォルダでした・・・orz
またあわてて、駆除をしてパスを変更をしました。

今回検出されたのが以下の2つです。

削除しました: トロイの木馬 Trojan-Downloader.HTML.IFrame.dv
ファイル: C:\Documents and Settings\個人名\Local Settings\Temporary Internet Files\Content.IE5\4A0IJ6FX\ragnaroklink[1].htm

削除しました: トロイの木馬 Trojan-Downloader.Win32.Agent.alr
ファイル: C:\WINDOWS\Downloaded Program Files\UERSS_0001_N86M0607NetInstaller.exe

削除後、効果はないかもしれませんが一応ROクライアントを入れなおそうと思い
再度DLを試みているのですがうまく落ちてきません。

他にも今まで使っていたブログのログイン画面に入れなかったりしているのですが
これはカスペさんが何か作用しているのでしょうか?
なにか方法がありましたらご教授ください;

793 名前:(○口○*)さん:08/02/25 21:50 ID:gSWAgw8w0
tempとインストールされてしまった物に見えるけどクライアントは関係ないんじゃないかな?
というか蔵入れ直すならOS事の方が…、出来ればパス変更は別PCの方が良いとあれh…んがんぐぐっ

794 名前:781です:08/02/25 22:03 ID:6UlF+VPr0
>tempとインストールされてしまった物に見えるけどクライアントは関係ないんじゃないかな?

だと思ったのですが、なんか気分的な問題で・・・

>出来ればパス変更は別PCの方が良いと
コレも2PCなどの環境があれば、こちらのほうが断然良いのは判るのですが
PC1台しかないので;
ネカフェに行くのも怖い感じがするので迷ってます。

OSを入れなおすのが安全面では、最善なのは知っているのですが
PCに不慣れで怖いのも合って、色々バックアップとらなければならないのも多いので
簡単に出来るほうを選んでみたのです;

カスペを色々弄ってみているのですが、
ROの公式すらつながりませんorz

これは素直にリカバリーにチャレンジするべきでしょうか・・・

795 名前:(○口○*)さん:08/02/25 22:17 ID:Br1hU5w00
>>794
レッツチャレンジ!
リカバリーは決して怖くなーい 勇気を持てくださーい

796 名前:(○口○*)さん:08/02/25 22:58 ID:X71rzPTe0
>>792
>Trojan-Downloader.HTML.IFrame.dv
これはIEのキャッシュ。0サイズのiframeでアカハックサイトを読み込ませようと試みるもの。

>Trojan-Downloader.Win32.Agent.alr
>ファイル: C:\WINDOWS\Downloaded Program Files\UERSS_0001_N86M0607NetInstaller.exe
これは発動させた形跡ですね。>>790のリンク先の解説参照。
このインストーラがそのフォルダに落とされた後、インストーラの形式で、他のトロイをダウンロードしようとする訳です。
こいつも、本体ではなく、ダウンローダ。

で、本体はどこかというと、「新種なので見つからない」「ダウンローダまでは入手したが、それを発動させていない」
などの可能性があり、判断できません。>>781で書かれているのが、こいつが落としてきた本体、または、次のダウンローダ
をブロックしたものと思われますが保証できません。

そんな訳で、OS再インストールコースを勧めることになります。がんばってらー。

797 名前:(○口○*)さん:08/02/25 23:06 ID:X71rzPTe0
>>794
追記

|OSを入れなおすのが安全面では、最善なのは知っているのですが
|PCに不慣れで怖いのも合って、色々バックアップとらなければならないのも多いので
|簡単に出来るほうを選んでみたのです;
使って覚えないと、永遠に不慣れのままですよ。HDDを飛ばした数だけPCマスターに近づきます(偏見)。

どうしても不安なら、HDDもう1台つけて、そっちに新規にインストールして、データが必要になったら、
古いのをつなぐとか…

キングソフトのブロックが、本体発動前だとは思いますが、保証はできないですからね。

|ROの公式すらつながりませんorz
クライアントのダウンロードは、がんばれとしか。分割して落とすと壊れやすいようですが、
レジューム付のダウンローダを使って落としてみるのがいいと思います。落としたファイルが壊れていないかは
ZIPファイルを読めるもの(7zやLHMeltなど)で、書庫のテストを行って壊れていなければOKです。

798 名前:(○口○*)さん:08/02/26 00:13 ID:zoXsC70bO
垢ハックを踏んでからROを起動しない内にウィルス削除してもハックされる可能性はありますか?
踏んでから怖くてネットすら繋いでないので携帯からの書き込みです・・・

2PCはなくて、セキュリティソフトはフレッツウィルスクリア、OSはXPSP2です
他にも書いた方がいいものがあれば分かる範囲ですが書き込みます

今、フレッツウィルスクリアの方で感染したファイルを削除して
カスペのオンラインスキャンをしたら別のものが見つかったので削除して再起動させてから再びオンラインスキャンしてます
垢ハック踏んだのが初めてでパソコン初心者なので、初心者でも分かるように教えてほしいです
よろしくお願いします

799 名前:781です:08/02/26 00:22 ID:EVHUk+go0
皆様色々ありがとうございます・・・
なんだかリカバリに対する勇気が沸いてきたような・・・っ

>使って覚えないと、永遠に不慣れのままですよ。HDDを飛ばした数だけPCマスターに近づきます(偏見

確かにそうですね。
今までウイルス自体にあまり引っかかることがなかったので、こういうことでもおきなかったら
ずっと未経験のままだったでしょうし・・・
でも必要ないときにHDDが飛ぶのは勘弁して欲しいです。。。

とりあえず休日を使ってリカバリーに挑戦してみようかな、と。

リカバリをするに当たって、SSやスキン・エンブレムデータ(自分の所の)なんかを
一度CDに落としてリカバリ後に戻したいのですが、そういう場合
ウイルスが残ってたりする可能性はあるのでしょうか?

>|ROの公式すらつながりませんorz
>クライアントのダウンロードは、がんばれとしか

カスペさんが何かしちゃってるみたいでして
公式HPのTOP自体が開いてくれないのです;
これって閲覧するHPを登録する必要があったりするのでしょうか?

Kaspersky Internet Security 7.0
The requested URL http://www.ragnarokonline.jp/ is forbidden

というメッセージが出てしまうのですが
この理由をご存知の方いらっしゃいましたら、お教え頂けませんでしょうか。
色々お手数掛けて申し訳ありませんorz

800 名前:781です:08/02/26 00:24 ID:EVHUk+go0
あああぁ・・・ごめんなさい!
ピリオドを変換するのを忘れて投稿してしまいました。
重ねてお詫び申し上げます;

801 名前:(○口○*)さん:08/02/26 00:47 ID:LviOJRWY0
>>798
ROのログイン時やアトラクションセンターログイン時に盗むので、
ログインなどをしてなければ問題は無いです。
物によっては別ゲーやMixiやメッセンジャー、ブログやメールのなどのパスも盗むのもあるようですので、
とりあえずはそういったパス入力系のものをしてなければ被害は無いです。
対策としてはやはりOS再セットアップしてからのパス変更がいいと思います。

>>799
>リカバリをするに当たって、SSやスキン・エンブレムデータ(自分の所の)なんかを
>一度CDに落としてリカバリ後に戻したいのですが、そういう場合
>ウイルスが残ってたりする可能性はあるのでしょうか?
今の所の垢ハックトロイはその辺りに感染するものは無いようですが、
今後そういう所に紛れ込むタイプが出る可能性とかはありますので、
こちらの口から「100%安心!」とは言えない、といった所ですね。

あとOSのリカバリは、OSのCD入れてフォーマット選んでフォーマットしてから、
あとは軽い入力して画面見てるだけで勝手に終わらせてくれますよ。
物によってはOSのディスクにフォーマットの項目ないので自分でコマンド打つ事になりますが、
予想以上に簡単な物ですので安心してください。時間がちょっとかかる程度です。
あとはネットに繋ぐ時に設定とかパスとかが必要ならそこら辺をメモしておくなりすれば大丈夫。

802 名前:798:08/02/26 01:00 ID:zoXsC70bO
>>801
お早い返答ありがとうございます!
私もご教授のあった通りOSのリカバリしてみます。
その際に必要なものはCDに移さないと消えますか?

携帯からで、しかも素早く対処したかったのでテンプレ通り書いていなくて申し訳ありませんでした。

803 名前:(○口○*)さん:08/02/26 01:58 ID:bEJJhGLe0
>Kaspersky Internet Security 7.0
>The requested URL http://www.ragnarokonline.jp/ is forbidden

>というメッセージが出てしまうのですが

ああ、それね。カスペのペアレンタルコントロール切らないと、18禁サイトとか不適切なとこはブロックされます。
そのブロック時のメッセージですね。ちなみに2chもブロック対象です。(笑)

ペアレンタルコントロールを切るか、大人に切り替えましょう。

804 名前:(○口○*)さん:08/02/26 02:02 ID:bEJJhGLe0
そうそう、OSインストール後は、WindowsUpdateをまとめて一気に当てるのが大変です。

そんな貴方にSP+メーカー。
http://www.ak-office.jp/

SP適用済みCDを作成してOSの入れ直しを支援してくれますが、画面の「高度な設定」をクリックし、
「HotFix専用インストールCDを作成する」にチェックを入れると、サービスパッチ、WindowsUpdateを
まとめて全部当ててくれるCDをつくってくれます。

805 名前:(○口○*)さん:08/02/26 02:04 ID:LviOJRWY0
OS入れなおしの前にフォーマット(初期化)するので勿論消えてしまいます。
OSの入っているHDD以外にもHDDがあるならそちらに残したいものを移せば消えません。
もしくはCDやDVDに焼くとかですね。

私も昔踏んだときに死ぬほど焦ったのでお気持ちはわかります。
とりあえずはログインさえしなければ被害は無いはずですので、
焦っていると色々ミスをしやすいので、ゆっくりと落ち着いて対処してください。

あとはお二方とも復帰後はWindowsUpdateをお忘れの無きよう…PG2の導入もマジオヌヌメ。
バックアップしたデータも、あらかじめウィルスチェックしてから戻すといいかもですね。

806 名前:781です:08/02/26 02:05 ID:EVHUk+go0
>>801さん

ありがとうございます、早速明日あたりに挑戦して見ます。

>物によっては別ゲーやMixiやメッセンジャー、ブログやメールのなどのパスも盗むのもある
これはPCに記憶してあるもの(クッキー?でしたっけ)も読み取られちゃうのでしょうか。

色々初体験で怖いこともありますが、
こういうのを聞ける機会が出来てよかったと思うことにします。
まずはバックアップとる所からがんばってみます。
ありがとうございました!

問題はカスペさんだー・・・

807 名前:(○口○*)さん:08/02/26 02:36 ID:+9mVusFQ0
RO系のブログ巡りをしてたら
ブログを開いた所で
Trojan downloader:JS/Agent,FT
と言うのが検出されました。そのまま即時削除実行。
ROにINしてない状態でしたので、
ウィルスとスパイウェアスキャンを2回実行して何も検出されなかったのでもう大丈夫でしょうか?

808 名前:798:08/02/26 02:42 ID:zoXsC70bO
>>805
なるほど、やはり消えてしまいますか・・・
丁寧なアドバイスありがとうございます!

連続質問で申し訳ありません
カスペのオンラインスキャンでロックされているファイル以外は感染してなかったのですが
ロックされたファイルにウィルスが入り込んでいることはないのでしょうか?

809 名前:(○口○*)さん:08/02/26 07:49 ID:9l/2i6lw0
>>807
たぶん大丈夫。
JSってことはスクリプトで、これを止めたのなら
exeが実行されることはまずない。

810 名前:(○口○*)さん:08/02/26 11:29 ID:+9mVusFQ0
>>809さん
返答ありがとうです。

811 名前:791です:08/02/27 00:30 ID:uLEhav8m0
事後報告になりますが、今日リカバリーをして見ました。
リカバリ後に、癌パスとアトラクションパスのほうも再度変更をして
ROのほうもアカの様子を見てきたのですが、現状だと大丈夫のようです。
ご助言くださった方々、本当にありがとうございました!

ただROを起動しようとしたら、カスペさんが悲鳴上げまして

「疑わしいオブジェクトです:
 リスクウェア Hidden object C:\Gravity\RagnarokOnline\Ragexe■exe」
というものが出てしまって、隔離後にROが起動しなくなったのですが

解除しようとすると「これは悪意のある〜」とかいう警告が出てしまって、どうしていいか困っています。
これは誤検出なのでしょうか・・・
それともクラDL時に、また何かくっついてたのでしょうか;

812 名前:(○口○*)さん:08/02/27 01:07 ID:dF7wkw7H0
不正ツール対策でクライアントを隠蔽しようとする行為が、
プログラム的には相当行儀が悪いので、それを警告してる。
誤検出ではないし、警告出たからって即アウトという話でもない。

813 名前:(○口○*)さん:08/02/27 01:27 ID:cRDwfroO0
「リスクウェア Hidden object」というのは、>812さんの言っているように、「プロセス隠蔽」の挙動のこと。
検知を免れようとするウイルスなどがよくこの手法を使う。(rootkitという言葉に聞き覚えあるんじゃないかな)
だから、リスクのある挙動をするプログラムとして警告されているんです。

タスクマネージャの画面見てると、Ragexe.exeが一瞬起動して、すぐに隠れてしまうことがわかると思いますが
これがROの挙動です。

こんな怪しげな動作をしていても実行していいよという場合は、解除してプレイしましょう。
なんかやだなと思ったら、ROをアンインストールして、癌ID削除してPCをきれいにしましょう。

リスクウェアを動作させるかどうかは、あくまでも自己責任です。
なお、プロアクチブディフェンスをONにしていると、nPro自体がキーロガーとして検知され、RO起動画面で
警告されますが、プロセスが隠蔽されている為、許可リストに加えることができません。
面倒でも、毎回許可を出す必要があっても泣かない。

814 名前:791です:08/02/27 02:45 ID:uLEhav8m0
>>812>>813さん

なるほど、リスクウェアというのは
必ずしもウイルスに感染している物とは限らないんですね。
人でいうならば挙動不審などの怪しい行為も入るのですか・・・

アカハックなどの感染でないのなら
安心して解除してプレイすることにします。

>不正ツール対策でクライアントを隠蔽しようとする行為が、
>プログラム的には相当行儀が悪い

>Ragexe.exeが一瞬起動して、すぐに隠れてしまう

今までプログラムを意識して考えたこともなく、プレイしていましたが
今回のことで、ただゲームをするだけでなく知っておいたほうがいい事が沢山あるんだなと思いました。
ここでは大変お世話になって、(これからもなるかもしれませんが)
本当に助かりました。
ありがとうございました!

815 名前:(○口○*)さん:08/02/27 03:27 ID:srajTQzo0
SpybotのアップデータDLしようとしたら不良なチェックサムだらけ
なんだこりゃ(´・ω・`)

816 名前:798:08/02/27 09:48 ID:xNp7K8wIO
えっと、OSのリカバリをするといいというアドバイスをいただいてしようと思ったのですが
付属しているどのCD-ROMを使ったらいいのか分かりません・・・。
分かる方がいたら教えていただけませんか?
パソコンはVAIOを使っています。

817 名前:(○口○*)さん:08/02/27 10:00 ID:9qG5NrCv0
バイオの何を使っているのか、型番を書けばおせっかいな人が教えてくれるかもしれないが、
あまりにも基本的なことだし、まずは自分で付属のマニュアルを
読んでみるくらいの努力はしてから質問しよう。

パソコンを買ってきた時の状態に戻す(OSのリカバリの)方法は
マニュアルに必ず書いてあるはず。目次をたどれば、それっぽい項目があるだろう。
(「困ったときは」とか多分そんな項目があるはず)
そこに、どのCDを使うかとかもちゃんと書いてあるはず。
バイオなんかのマニュアルなら、パソコンの初心者さんでも分かるように書いてあるはずだし、
どうしてもマニュアルを読んでも分からなければサポートセンターに電話してみるという手もある。

どうしてもここで質問したいならば、最低限マニュアルに目を通して、
もっと具体的に何が分からないのかハッキリさせてから質問しよう。

818 名前:(○口○*)さん:08/02/27 10:00 ID:U3F8p9KQ0
>>816
それは同じ機種を持っている人じゃないとわからないことなので、
聞くなら2ちゃんのVAIOスレ行って機種名言ってアドバイスもらったほうがいいかと思います。
というか、説明書とかついていませんか?
普通どのディスクがどの用途なのか、載っていると思いますが。

819 名前:(○口○*)さん:08/02/27 10:01 ID:oi8bveQN0
っていうかいまどきリカバリーディスクなんてついてるの?
自分でCD-RなりDVD-Rなり買って焼けってなってね?

820 名前:(○口○*)さん:08/02/27 10:14 ID:TuQeMpu00
ROエラースレから誘導されてきました。
ウィルスバスター2008の挙動に関しての質問なのですが…
現ログを見ても同様の例が見あたらず、過去ログもdat落ちしていたので質問させて下さい。


【OS】WindowsXP Home SP2 (SP等まで正確に書く)
【使用ブラウザ】IE7.0 / Sleipnir2.62
【WindowsUpdateの有無】 有り(現時点でソフトウェア関係で無いものは全て適用済み)
【アンチウイルスソフト】 ウィルスバスター2008
【その他のSecurty対策】 特になし
【 ウイルススキャン結果】 特になし
【テンプレの参考サイトを読んだか】 バスターがないのですが、必要であれば読みます
【hosts変更】無だと思います(バスターでの検出もない為)
【PeerGuardian2導入】無

【説明】ROを起動した際、ウィルスバスターが「Ragnarok.exeがdllを不正に変更しようとしたのを拒否しました」という旨のアラートを出すことが時々あります。
 原文を見ようと思って何度かRoを再起動してみたのですが、警告が出なかったのでログを漁ってみました。
 ログは一応あったのですが、1件1件の詳細が表示されるものの、表示が完璧でない(長いフォルダ構造などが略されてしまう)ので
 情報が足りないかもしれませんが…
 ログには次のような詳細が記載されていました。

[種類]API Event
[検出リソース/プロセスID]NtUserSetWindowsHookEx
[ファイル名]C:\Gravity\RagnarokOnlin...(恐らくRagnarok.exeの事だと思います)
[該当ポリシー]DLL(プログラムライブラリ)インジェクション
[実行した処理]拒否

これに関しては、ウィルスバスター2008の方の例外処理によって許可してしまっても良いのでしょうか?

821 名前:798:08/02/27 10:14 ID:xNp7K8wIO
すみません。
えっと、マニュアルを読んだのですが
Windowsからリカバリをする
本機を出荷状態に戻す
Windowsが起動しない状態でリカバリをする
パーティションサイズを変更する
ハードディスク上のリカバリ領域を削除する
という項目があってOSをリカバリするというのが見当たらなかったのです。
どれに当てはまるのかも判断できずにいたので聞きました。
使っているPCはVAIOのPCV-HX50Bです。

822 名前:(○口○*)さん:08/02/27 10:18 ID:nIeK5FG+0
>>821
わからないなら本機を出荷状態に戻すを選べばOK。

823 名前:(○口○*)さん:08/02/27 10:19 ID:9qG5NrCv0
ようするに全部何もかもリセット→出荷状態に戻せってコトです。
本機を出荷状態に戻すを実行してください。

824 名前:798:08/02/27 10:25 ID:xNp7K8wIO
>>822、823
なるほど。分かりました。
以前システムリカバリした時は専用のCD-ROMがあったのでOSリカバリのCD-ROMもあるのかと思っていました…。
教えてくださった方々ありがとうございました。

825 名前:(○口○*)さん:08/02/27 11:20 ID:uoB4dHge0
すいません、ちょっと質問させてください
aguseでチェックしようと思いましwww■aguse■net/のほうに繋いでしました
本家のほうはnetではなくjpに変わったという事がわかりましたが
netのほうを開いたらポップアップブロックがされたり、勝手に違う画面になったんですが
スパイウェアとかマルウェアが仕込まれてるページになってしまったんでしょうか?

826 名前:(○口○*)さん:08/02/27 11:26 ID:qGPkaCso0
不安になった即スキャン
これが俺のまさよし

827 名前:(○口○*)さん:08/02/27 12:27 ID:dwa5e8Mb0
リネージュ資料室さんの中国・韓国・台湾リスト(@危険URLも)が更新されてるね

828 名前:(○口○*)さん:08/02/27 17:37 ID:cRDwfroO0
事前コメント

>物質スレで質問してる人
いいから黙ってOS再インストール(もしくはPCのリカバリ)コース行ってこい。

どうしても、安全だと思い込みたいなら、カスペのオンラインスキャンでもやった後にしとけ。

829 名前:(○口○*)さん:08/02/27 17:55 ID:2W3MYo610
>>828
今完全スキャンしているところです
こんなところまで助言しにきていただけるとは、痛み入ります

830 名前:(○口○*)さん:08/02/27 23:49 ID:iiF3did90
C:\WINDOWS\system32\smss.exe
リスクウェア 「Hidden object」。の亜種として検知しました!

と上記のがカスペルスキーでキャラセ画面で出たのですが
信頼ゾーンに追加で大丈夫なのでしょうか?

831 名前:(○口○*)さん:08/02/27 23:58 ID:k8nZ+OwU0
それは、nProの副作用で出てるので個別に入れるときりがなくなる。

(ROをインストールしている場所)\RagnarokOnlineをサブフォルダ含むで信頼ゾーンに入れて、
指定タスクをプロアクティブディフェンスにするのが手っ取り早い。

もしくは、プロアクティブディフェンス自体を無効化する。


どっちの設定にしてもガードは弱くなるので注意

832 名前:830:08/02/28 00:10 ID:xFKmi7M10
なるほど とりあえず一安心です。
設定はこれからにらめっこしてみることに
ありがとうー

833 名前:(○口○*)さん:08/02/28 00:52 ID:tVWOOXPr0
【      気付いた日時          】 2008年2月28日0時30分くらい
【不審なアドレスのクリックの有無 】有り アプリコットカフェに貼り付けてあったアドレス
【  アドレス   】www■geocities■jp/mbgytro1/hrk/
【     OS    】WindowsXP Home SP2
【使用ブラウザ 】Sleipnir2.6.2 JaneDoe View α ( build date: 060528 )
【WindowsUpdateの有無】 2週間くらい前
【 アンチウイルスソフト 】 NOD32(2905)
【その他のSecurty対策 】
【 ウイルススキャン結果】 NOD32検出なし カスペルスキーオンラインスキャン ただいまスキャン中
【テンプレの参考サイトを読んだか】 Yes
【hosts変更】有 
【PeerGuardian2導入】導入済み(リネージュ資料室のリスト+まとめサイトのリスト)
【説明】
JaneでNG設定しようとして寝ぼけてクリックしましたorz
クリックした瞬間「あ」と思って閉じてしまったので挙動はよくわかりません。
ただのアダルトサイトだといいのですが不安になってカスペでスキャン中です。
アドバイスいただけると助かります。

ソースチェッカーオンラインの結果は下記の通りです。
-- 「2008/02/27 13:39」のキャッシュをチェックしています。 --
★ブラクラチェックが終了しました。

※ ジャンプタグを発見しました。(1)
http://cloudxxxangel■web■fc2■com/i/
※ 隠しスクリプトを発見しました。(7)
http://js6■infoseek■co■jp/bin/96/25014■js
http://js5■infoseek■co■jp/bin/12/20465■js
http://bc■geocities■yahoo.co■jp/js/gg■js
http://bc■geocities■yahoo■co■jp/js/geov2■js

834 名前:(○口○*)さん:08/02/28 08:04 ID:xjdWdUeX0
エロ業者。アカハック関係無い。

835 名前:(○口○*)さん:08/02/28 08:41 ID:tVWOOXPr0
ありがとうございます。カスペのスキャンでも検出なしでした。
1クリックで飛ばないようにJaneの設定変えてきます。

836 名前:(○口○*)さん:08/02/28 16:06 ID:qclPEwIj0
お尋ねします。かすぺがData Executionというのに反応したのですが
これは感染しているのでしょうか。
ご存知のかたいらっしゃいましたらよろしくおねがいします。

837 名前:(○口○*)さん:08/02/28 16:43 ID:6T8dpdbFO
南無

838 名前:(○口○*)さん:08/02/28 16:51 ID:qclPEwIj0
ああ、感染ですか・・・。
露店をしていたらいきなり、かすぺが悲鳴をあげたので・・・
感染しているにもかかわらずログインしてしまいました・・・orz

839 名前:(○口○*)さん:08/02/28 17:09 ID:Jjy4jZ4A0
Data Execution はメモリのデータエリアでプログラムが動作した時に反応するものだったような。
XP以降ならDEPという機能で保護が掛けれる。

それ単体は、古いプログラムや無作法なプログラムでも反応する事がある。
XPのSP2が出た当時に動かないプログラムが出たが、内何割かはこれが原因。
勿論ウィルスもその手法を使ったりするので、それだけでは無害かどうかは何とも言えない。

>838
反応したプロセス名やプログラム名とか、もう少し詳しい情報が無いと何とも言えない。
露店中に反応というが、他の常駐プログラムが反応した可能性もある。

840 名前:(○口○*)さん:08/02/28 17:23 ID:3I3gj8N+0
ちと亀だが、>>815
アップデートのダウンロード先の鯖を別のにすれば、問題ないみたい。

841 名前:(○口○*)さん:08/02/28 18:04 ID:0My1s2hA0
>>839
レスありがとうございます。
カスペでチェックして、何も出てきませんでした。
ハックURLを踏んだ記憶もないので、ROとは関係ないものなのでしょうか。
一応、別PCではパスワードを変更しましたが、リカバリーが一番なのでしょうか?

カスペが悲鳴をあげたときに、拒否して、カスペでチェックしたら何もなかったと
いうのは、どういうことなのでしょうか?
拒否=駆除なのですか?
初歩的な質問かもしれませんがよろしくお願いします。

842 名前:(○口○*)さん:08/02/28 21:09 ID:BQCsap990
だから、何にどういう反応をしたのか書かんと、
悲鳴を上げたとかふざけてるとしか思えんよ。

843 名前:(○口○*)さん:08/02/28 21:29 ID:MPDmjetG0
mixiの日記コメントにアカハックらしきURL張られてしまいました。
(あからさまに怪しかったので私は踏んではいない)
状況は
・今日の16時すぎにアカハックコメント書き込まれる
・20時過ぎに気づいてコメント削除
・踏んだ可能性のある人にはその旨通知済み

で、運営側には通報する準備中。
これ以外になにかするべき事(公的機関に通報しないといけないの?とか)
あったら教えていただけませんか?

844 名前:(○口○*)さん:08/02/28 22:03 ID:TVowHpCR0
【      気付いた日時          】 2008年2月28日 21:20
【不審なアドレスのクリックの有無 】 なし
【  アドレス   】なし
【     OS    】WindowsXP Home SP2
【使用ブラウザ 】firefox 2.0.0.12
【WindowsUpdateの有無】 2008年2月28日 20時頃まとめて
【 アンチウイルスソフト 】 カスペルスキー7.0
【その他のSecurty対策 】 ルータ、PG2
【 ウイルススキャン結果】 検出なし
【テンプレの参考サイトを読んだか】 Yes
【hosts変更】なし
【PeerGuardian2導入】有り(リネ対策室、アカハック対策スレまとめ)

もしスレ違いでしたらすみません。
今現在PCのクリーンインストールが終わって環境復旧中なのですが、
うっかりカスペのプロテクトを切ってしまって(一瞬でしたが)その時に
PG2がlineaga.comというドメインをブロックしました。
OS入れ替えたばかりでHDDの中は綺麗なはずですし、カスペもPG2も
最新に更新済み。スキャンでも問題ありませんでした。

本題なのですが、クリーンな状態のPCでもPG2が危険ドメインをブロックする
というケースはありますか?
誤ブロックならいいのですが、不安になってしまって…。
初歩的な質問かもしれませんが、御教授ください。

845 名前:844:08/02/28 22:20 ID:TVowHpCR0
連投申し訳ありません。
lineaga.comをブロックしたタイミングですが、どうやらVGA
ドライバ更新の参考に開いたBBSの過去ログを閲覧した時のようです。
一応URLを記載しておきます。
ttp://winxp■pasokoma■jp/6_123123■html

846 名前:(○口○*)さん:08/02/28 23:12 ID:AHf+6Xv90
>841
>839の言うように詳しい情報が無いと何とも言えない。
ログに残ってるだろうから、それを書いては?

>842
カスペはウィルス検出するとm9(^Д^)プギャーとも聞こえる
悲鳴音っぽいので警告するんだ

>845
そこ見てきたが確かにPG2が反応してる。
で、結論から言えば「恐らく」無害。

該当のIPが「8■15■231■109」で、ソースに記載されたアドレスを調べた結果
「www■googlecounter■com/gcount■js」がこのIPだった。

名前にgoogleが入ってるが多分本家googleとは無関係。
今はカウンターサービスもやってないみたい。

このIPは昔はzhangweijp系の罠ドメインがあったIPで今もPG2のリストに
載ってるから反応した。
つまりPG2の動作そのものは正常。

後ここはどうもドメインが失効してる感じなので、「多分」無害と「自分は」思う。
どちらにせよPG2がブロックしてて、更にカスペのチェックでも何も見つからなかったのなら
PCは「多分」汚染されてない。

不安ならもう一回クリーンインストールって手もあるけど。

847 名前:844:08/02/28 23:53 ID:TVowHpCR0
>846さん

レスありがとうございます。
罠ドメインの抜け殻に反応した、という解釈でいいのですかね。
さすがに再度のクリーンインストールは骨が折れるので、このまま
様子を見てみます。
…ちなみに、クリーンインストールした理由は今回と同じ、不審なブロックが
多数有ったのにカスペが反応していなかったから…だったりします。
カスペで検出できないトロイでも入り込んだかなと思って、なら再インストール
してしまえと。
最近CR連打やハエ連打で鯖キャンすることがよく有ったもので、
「鯖キャンが不自然に多いのはアカハックを疑った方がいい」という
書き込みを某所で見たのもあり、少々神経質になりすぎていたようです。
鯖キャンは回線の問題だったのかな…光にしてからほとんど落ちなかった
のだけど。
なにはともあれ、本当にありがとうございました。

848 名前:(○口○*)さん:08/03/03 17:21 ID:B6iuYTQt0
自分のブログにも謎の書き込みがありました。
危険と感じてすぐにコメントを削除したためURLなどは覚えてませんが、DLしてしまいました。
ファイルは100k程度のzipで開いてみるとスクリーンセイバーとなっており、書き込みのホストを見てみると数字のみのホストでした。

すでにそのファイル自体は削除してゴミ箱からも消しましたがまだ危険なのでしょうか、また危険ならばやはりOSを再セットアップする他ないのでしょうか?質問ばかりすみません。

849 名前:(○口○*)さん:08/03/03 17:37 ID:zoPZvtzu0
>848
質問用テンプレを埋めて欲しいところだが……
どちらにせよそれだけの情報では何とも。


基本的にZIPファイルをDLしただけなら無害。
解凍しただけでは基本的には罠が仕込まれてても実行されてない。

ただそのZIPに脆弱性を付くタイプの罠が仕込まれてた場合、解凍時に
罠を発動させることも可能。
もし脆弱性を持つ解凍ツール等を使ってた場合、解凍した時点で罠に
引っかかった可能性もある。

取り合えず罠を踏んだという想定の元で、テンプレ読んでカスペの
オンラインスキャン等でHDDを全部チェック。

万全を期すならOS再インストール。

850 名前:(○口○*)さん:08/03/03 17:47 ID:B6iuYTQt0
>>849
本当にありがとうございました。テンプレ使うの忘れてました。
今からカスペルしてきます。
一応解凍はラプラスです。

851 名前:(○口○*)さん:08/03/03 18:21 ID:ZYEhGERN0
なんで怪しいと思うファイルを展開するんだ…?

852 名前:(○口○*)さん:08/03/03 19:32 ID:0k+wcBXY0
そこにエロがあるからさ・・・!

853 名前:(○口○*)さん:08/03/03 21:32 ID:14VJqhUJ0
>>848
謎の書き込みの時点で削除だけで終わらせればいいのに、
DLしてしまうのが理解不能。セキュリティ意識が低いと言わざるを得ない

854 名前:(○口○*)さん:08/03/04 01:31 ID:Zs7WSaV60
昨日というか一昨日2chでウィルスURL踏んだんだが
垢ハクじゃねーだろうな('A`)

踏んだ際Avast!先生が反応したからすぐ遮断して、
RO起動してたから、すぐ消してカスペルオンライン→Avast!→spybotの順で
削除させたんだが
その間のスパイウェアやウィルスは検出されなかったけど

因みに踏んだ場所は例の奈良人形のスレでのURL
友達がRoとなんら関係の無い文体とスレで油断して踏んで垢ハック被害受けたから
怖すぎる

855 名前:(○口○*)さん:08/03/04 01:39 ID:wEVCvgxl0
そのURLがないとどうしようもないしなぁ
かといってこのURLは安全ですか?スレでもないし

まぁ不安ならOS入れ直しておけとしか

856 名前:(○口○*)さん:08/03/04 01:53 ID:Zs7WSaV60
未だにdat行かずに残ってたのでURL晒してみる
とうぜん■で隠します
ttp://up■oda.2ch■library.com/s■c/lib013■28.jpg

857 名前:(○口○*)さん:08/03/04 02:03 ID:4Zt1BAJb0
取りあえずテンプレ読んでこい。
話はそれからだ。

858 名前:(○口○*)さん:08/03/04 02:38 ID:R9ZgfL5iO
カスペにノートンから乗り換えたのですが、
注意を促すアラートがRoに対して頻度が多く困っています
nProが反応しているんだねと友達はいいますが、余りの頻度に
ソロ狩りしていても、アラートを許可する作業中に死んでしまいます
何か対処ほうはありますか?

859 名前:(○口○*)さん:08/03/04 03:11 ID:BHS+xIuP0
ROを除外リストに入れなきゃダメだろ
俺もノートンからカスペに乗り換えたクチだけど
何にもエラー出ないぞ

860 名前:(○口○*)さん:08/03/04 05:32 ID:Uqj/oFMf0
>>854
はいはい、OS入れ直してから出直しておいで。

861 名前:(○口○*)さん:08/03/04 10:37 ID:GZmV2LPv0
>>854
RO(に限らずMMO全体だが)の垢ハックアドは、
今じゃどこにでもあるぞ。
まったく関係ないスレでROやらリネやらの垢ハックなんて腐るほど見た。

862 名前:(○口○*)さん:08/03/04 10:55 ID:WOE236fu0
今はサービス終了してるが、その昔カゴメの野菜生活ネットに罠書き込みがあったって
報告もあったし。
関係ないスレどころか関係ないBBSやSNSとか、中華は手当たり次第に爆撃してる。

それよりも>856
せめてテンプレ、それが無理なら>1ぐらいは読もう。
>とうぜん■で隠します
アドレスの一部を伏字にして「とうぜん」なんて言われても、その、なんだ、困る。

863 名前:(○口○*)さん:08/03/04 10:55 ID:Uqj/oFMf0
総合スレではなく、こちらが担当と思われるので転記。

分解してみた結果<sCrIpT lAnGuAgE="jAvAsCrIpT">のような検知避けと思われる文字列が出てきたりするので
あまりいいものではないと思うが、アカハックかどうかはわかりません。

478 (^ー^*)ノ〜さん sage New! 08/03/04 10:26 ID:EBZMeWw20
あちこちの(中華罠ブログではない)FC2ブログのテンプレにiframeが仕込まれているらしい。
FC2内で踏んじゃったのか本人の管理画面から抜かれたのかは不明。
www■dda3■net
(略)
www■dda3■net/sys.exe
VirusTotalでまったく検知できなかった
(一部の何でも有害判定する誤検知大王は除く)。

864 名前:(○口○*)さん:08/03/04 11:13 ID:Uqj/oFMf0
総合スレ
|480 (^ー^*)ノ〜さん sage New! 08/03/04 10:58 ID:1VpCO9+W0
|罠の報告までセキュスレに飛ばしてどうするんだ……

アカハックではないかもしれない事例はこっちだよ。
怪しげではあるけどトロイかどうかもわからないし。
RealPlayer呼び出そうとしてるのは見て取れた。

index.htmの中のt.jsがサイズ0のiframe呼び出しだったりする。
が、こいつ、index.htmとhead.htmを呼び出していて、再帰呼び出しで変。

865 名前:(○口○*)さん:08/03/04 11:33 ID:HrSmSdRH0
HTTPヘッダ見たか? Content-Location:はDefault.htmだから再帰じゃない。
おまけにバイナリ見たら明確なアカハックだ。

866 名前:(○口○*)さん:08/03/04 14:48 ID:zcwMhWkp0
おかしな誘導をしてるくらいですし

867 名前:(○口○*)さん:08/03/04 15:52 ID:Uqj/oFMf0
>>863
今回は、Fortinetの方がカスペより返答早かった。F-Protからも新種として次で対応と返答。

sys.exe - W32/Lineaget.EU!tr
head.htm - JS/RealPlr.AL!exploit

868 名前:(○口○*)さん:08/03/04 17:15 ID:Uqj/oFMf0
返事は来てないけど、カスペもsys■exeに対応を確認。「Trojan-Downloader.Win32.Agent.khm」

869 名前:(○口○*)さん:08/03/04 17:49 ID:HrSmSdRH0
Kasperskyからは13:04に返事来てた。

vvsg.batの投下やCLSIDなどコードが似ているので同一犯だろうけど
world0fwarcraft■net/lese■exe
(WoWのパス抜き?)もスルー多数。というかまともに捕獲したのはAntiVirのみ…。

870 名前:(○口○*)さん:08/03/04 19:23 ID:Uqj/oFMf0
>>869
報告と捕獲乙です。

lese■exe は現時点では下記が捕獲可能な模様。とりあえず、各社に提出してきました。

TR/Agent.ssd.65536(AntiVir)
suspicious Trojan/Worm(eSafe)
Suspicious:W32/Malware!Gemini(F-Secure)
Trojan-Downloader.Gen(vf) (Sunbelt)
Trojan.Agent.ssd.65536(Webwasher-Gateway)

871 名前:(○口○*)さん:08/03/05 06:04 ID:z97R1LPv0
しかしまあ、1万前後のウイルスソフトの使用権を毎年購入し続けるという気には
どうしてもなれないのだが、世間一般的にはそれが当然なのですかい?

872 名前:(○口○*)さん:08/03/05 06:57 ID:iDdtclTl0
商品名に2008とか付けるのはイラネ

873 名前:(○口○*)さん:08/03/05 08:21 ID:X3kt1/z50
保険料と一緒だ。PC運用の必要経費(電気代と一緒)だと思え。

自己責任の意味がわかっていて、なおかつ、メリットとデメリットを理解した上で無料のセキュリティソフトを
使用するのはあり。(有料でも無料のもの以下のものもあるしな)

874 名前:(○口○*)さん:08/03/05 08:30 ID:7oAzxUjB0
明日警察行くことになったんだけど何持って行ったらいいでしょう・・
癌の調査報告と体験談のほうは印刷して行こうと思ってるのですが

875 名前:(○口○*)さん:08/03/05 08:53 ID:iDdtclTl0
とりあえずハンコ。調書に署名捺印するんだけど
ハンコ持っていかないと俺みたいに指紋とられるw

876 名前:(○口○*)さん:08/03/05 10:45 ID:D0nYfWnU0
うちは無料のしか入れてないな、つか年間1万払うなら
もう1台ネット用PC買えそうな気もするが

877 名前:(○口○*)さん:08/03/05 10:48 ID:D0nYfWnU0
>>つか年間1万払うなら
っと、そこまで高くはないな

878 名前:(○口○*)さん:08/03/05 11:38 ID:iDdtclTl0
Wikiの検体提出先にMicrosoftを追加しました。
ttps://www.microsoft.com/security/portal/submit.aspx

たとえばProductでOneCareを選んだ場合に
ForefrontやDefenderに反映されるかどうかは不明
(チームがバラバラのはずだが、何回も送るのは面倒なのでやらない)。

879 名前:(○口○*)さん:08/03/05 14:19 ID:X3kt1/z50
>>878
GJ 前に問い合わせたら、窓口ないってはっきり返答来たんだ。最近できたんだな。

せっかくなんで、昨日各社に送った検体でも送付してみようかな。

880 名前:(○口○*)さん:08/03/05 15:07 ID:X3kt1/z50
Microsoft宛に(分類はotherで)送りまくってみた。機械的にこんな返答が入ってくるね。
思わず3ヶ月分送って見ちゃった。

セキュリティソフト専門メーカーじゃないからか、数ヶ月前の検体でも、未検出なので調査する(Not Yet Analyzed)のが多いね。

Per-file summary:
=================
sys.exe | Malware: PWS:Win32/Lineage.WI.dr
http://go.microsoft.com/fwlink/?linkid=95666&name=PWS%3aWin32%2fLineage.WI.dr
head.htm | Not Yet Analyzed
index.htm | Not Yet Analyzed
stat.php | Not Yet Analyzed
t.js | Not Yet Analyzed
20080304_212449382_0_20080304.zip | Malware Container

=================

881 名前:(○口○*)さん:08/03/05 19:19 ID:YBmmCukH0
>>874
>670ですが、私の相方はなにも持たずに行きましたが大丈夫でしたよ。
他の方の書かれているように、はんこと身分証くらいはあったほうがいいかもですね。
私達は「被害者(ガンホー)の参考人」の立場ですから、緊張せず堂々と行ってきてください。

私のほうはその後、相方が相談中の署に
私のほうの署の担当者名を伝えてもらい、以降連絡待ちとなっています。
担当者名を伝えた際、他の案件も多くまだ進捗がないです、ごめんなさいと言っていたそうです。
サイバー犯罪以外も兼ねていると案件がかなり多いようで、
それが3ヶ月待ちとかの要因なのでしょうね。

882 名前:(○口○*)さん:08/03/05 21:19 ID:iDdtclTl0
とりあえずMicrosoftに送るべく監視用WWWDからIrvineに放り込んでダウンロード中。
7月以前のはあまりリンク生きていないのでそれ以降ということにしたけど
それでも100匹以上あってげんなり。

883 名前:(○口○*)さん:08/03/05 21:53 ID:iDdtclTl0
Microsoftの自動返信。
Total Files: 104
Malware: 49
Not Yet Analyzed: 49
(他の項目は省略)
打率半分くらいかw

884 名前:(○口○*)さん:08/03/05 22:34 ID:75gtnlak0
無料のアンチウィルスソフトだってお
Moon Secure Antivirus
ttp://www.moonsecure.com/

ヒューリスティックあり
リアルタイムあり
トロイ検知あり
スパイウェア検知あり

使い勝手はシラネ

885 名前:(○口○*)さん:08/03/05 22:38 ID:iDdtclTl0
そういううさんくさい人柱っぽいのは2chセキュ板あたりでやってくれ。
普通はa-squaredあたりが限界じゃなかろうか。

886 名前:(○口○*)さん:08/03/05 23:24 ID:buwtoecc0
>>884
SourceForgeに置いてあるようなもんだから問題はないだろうがね。
検出能力はClamベースなんだから期待すんな、と。

887 名前:(○口○*)さん:08/03/06 00:01 ID:jUWgGuukO
カスペを使って人に質問何ですが、ROをどんな風に設定してますか?教えてくださると助かります

888 名前:(○口○*)さん:08/03/06 00:54 ID:SohBebKK0
>>875
>>881
なるほど・・判子だけもって行くことにします
品物帰ってきたらまたレポしますです

889 名前:(○口○*)さん:08/03/06 17:52 ID:EAnSSOVy0
昨夜Microsoft(MMPC)に100匹ほど送った結果が昼前に来てた。
解析は想像していたより速い(12時間ほど)。
パターンにすぐ反映されるのかは知らんけど。

890 名前:(○口○*)さん:08/03/06 18:53 ID:3pOkzBmQ0
【      気付いた日時          】 3/6
【不審なアドレスのクリックの有無 】たぶん無し
【  アドレス   】怪しいと思われるURLは踏んだ記憶がないですが・・・
【     OS    】WindowsXP Professional
【使用ブラウザ 】IE6.0 sp2
【WindowsUpdateの有無】 自動更新です
【 アンチウイルスソフト 】 Anti-Virus Free Edition
【その他のSecurty対策 】 無し
【 ウイルススキャン結果】 Anti-Virus Free Editionで検知後削除してカスペルスキーオンラインスキャンでは検知無し
【テンプレの参考サイトを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
怪しいアドレスを踏んだ憶えはなく、ひっそりや弓師Wiki等の
日頃からよく見るRO関連サイトとMMOBBSのROの掲示板のみ閲覧です。
起動時のAnti-Virus Free Editionのスキャンで「Virus Found BakDoor.Ragnarok」を
ROのセットアップExeから検知しました。
即削除しましたが、やはり危険な物でしょうか?
気になってしかたありません。
パソコンの知識がほとんどないもので、対処法のご教授よろしくお願いします。

891 名前:(○口○*)さん:08/03/06 19:33 ID:EAnSSOVy0
>Anti-Virus Free Edition
これ何?

892 名前:890:08/03/06 19:39 ID:3pOkzBmQ0
連投すいません。

今再スキャンしたところ、外付けHDの
J:\System Volume Information\_restore{01C5BF26-11F5-457D-A661-B59CF3D305A0}\RP201\A0035833.exe:\RO_SETUP_JP\DATA1.cab:\Ragexe.exe
J:\System Volume Information\_restore{01C5BF26-11F5-457D-A661-B59CF3D305A0}\RP201\A0035833.exe
に「Virus Found BakDoor.Ragnarok」が検知されました。

893 名前:(○口○*)さん:08/03/06 19:42 ID:UoCq7NaS0
多分6日配布のパターンがおかしい
他にAVG使ってる人いないかな?

894 名前:890:08/03/06 19:43 ID:3pOkzBmQ0
更に連投すいません。
Anti-Virus Free Editionは>2の【PCにウィルス対策ソフトを導入してない方へ】の

・AVG7.5 free(無料)

のソフトを入れて、起動するとその名前だったのです。

895 名前:(○口○*)さん:08/03/06 19:48 ID:EAnSSOVy0
おおっとIE8Beta1入れたらVirusTotalが動作しねぇ。
しばらくIE7エミュモードで使うか。

896 名前:(○口○*)さん:08/03/06 20:11 ID:56txAKlo0
今ググったんだがAVG FREE FORUMと個人のブログでも同様の症状が挙がってたわ
AVG切った状態でROを再インストールして、AVGのアップデート後にもう一度スキャンしてみたらどうだろう?

897 名前:(○口○*)さん:08/03/06 20:50 ID:Jm1OgGm00
現在の Ragexe.exe が幾つかのセキュリティソフトで検知されてるな。ヒューリスティックで検知してるのもあるし
また不届きな振る舞いをしているって検知されてるだけだろう。nProとの通信内容が、怪しげなので出てるだけかも。
感染していると言うより、振る舞い検知に引っかかってるだけだと思う。

今回のパッチでの挙動がなんか変(アプリエラーでMicrosoftにデータ送信したり、Ragnarok.exeが壊れたり)なので
余計なコード入れてきた可能性がないとは言わない。危険な振る舞いをするnProにデータを渡すので、振る舞い自体は
間接的に危険なコードと言われてもおかしくなかろう。

これは、各社に提出して、反応させて、顧客からのクレームを入れてもらう形に持ち込んだ方がいいのかな。
プレイの際は、警告を無視してセーフリストに加えていいと思う。

Ragexe.exe
http://www.virustotal.com/analisis/a342292dbe4690cfaebce14228bb1d54
eSafe 7.0.15.0 2008.02.28 Suspicious File
Ikarus T3.1.1.20 2008.03.06 Packed.Win32.CryptExe
Sophos 4.27.0 2008.03.06 Sus/ComPack-C
Sunbelt 3.0.930.0 2008.03.05 VIPRE.Suspicious

Ragurdrexe.exe
http://www.virustotal.com/analisis/88baf4306d4c348b32a9de8c3c2e1438
eSafe 7.0.15.0 2008.02.28 Suspicious File
F-Secure 6.70.13260.0 2008.03.06 Suspicious:W32/Malware!Gemini
Ikarus T3.1.1.20 2008.03.06 Packed.Win32.CryptExe
Sophos 4.27.0 2008.03.06 Sus/ComPack-C
Sunbelt 3.0.930.0 2008.03.05 VIPRE.Suspicious

898 名前:890:08/03/06 21:15 ID:v9I2Mru00
とりあえず、AVGのアップデートをして再スキャンしたところ
「脅威は見つかりませんでした」だったので、6日分の配布パターンがおかしいっていうことだったのかな?

検知されたウィルス名がVirus Found BakDoor.Ragnarokだっただけに、物凄く不安ですけど・・・
とにかく対応ありがとうございました。
でも、パッケージPCでリカバリーCDとかが付いてないので、
もうしばらく様子を見ようかと思います。

899 名前:(○口○*)さん:08/03/07 13:12 ID:BcpztBl0O
カスペ使ってるんだけど、プロアクティブディフェンス切らないとかくかくして最悪なんだけど、除外にもいれたし、信頼アプリにも入れたんだけどなんでだろうか

900 名前:(○口○*)さん:08/03/07 13:47 ID:Cdpk7va70
プロアクティブディフェンス自体が重いから仕方ないだろ。

901 名前:(○口○*)さん:08/03/07 14:59 ID:lSXOzGBo0
>>898
パッケージPCというのが良くわからないが、メーカーPCの事かな。
それなら大抵、HDDリカバリ(DtoD)か、リカバリメディア作成アプリが存在しているだろうから、万が一の為にバックアップを作成しておいた
方がいいよ。
仮に、本当のマルウェアの感染が起きた時などに、即座にリカバリを行ってクリーンな環境を用意できないなど、惨事対応にタイムラグが
発生すること自体がセキュリティリスクになり得る。

普段から、必要な情報はこまめに外部バックアップを用意しておくことが肝腎。
例えば、パスワードを忘れた際のリマインダーが悪用されたケースもあるし。

902 名前:890:08/03/07 18:37 ID:D4N+rjwC0
>>901
パッケージPCっていうかパソコンショップがパーツを厳選(?)して、
お店の方で組み立ててあるパソコンです。
もう一度パソコンの箱とかをくまなく探すと未開封の袋から再セットアップ用CDが出てきました。

バックアップとかも今まで取ったことなかったので、この機に取っておこうかと思います。

903 名前:(○口○*)さん:08/03/07 18:45 ID:BcpztBl0O
ラグナ中は切ってやるか。プロアクティブディフェンスを

904 名前:(○口○*)さん:08/03/07 20:08 ID:/gJk9Di/0
カスペはパケット監視してるからonだと重くなるんだよな
設定の注意事項にもネトゲで遅くなる〜的な事かかれてるし
他の部分では良いのにそこだけが残念
しょうがないのでNAVに戻した

905 名前:(○口○*)さん:08/03/07 21:43 ID:Q+6iEFEj0
>>904
もったいないなw

906 名前:(○口○*)さん:08/03/07 21:43 ID:Q+6iEFEj0
途中送信してしまったOTL
プロアクティブだけ切ってカスペ使えばいいのに

907 名前:(○口○*)さん:08/03/07 21:57 ID:OCpbqG/f0
http://uratakuz■h■fc2■com/

↑これって垢ハックない?

908 名前:(○口○*)さん:08/03/07 21:58 ID:+C7LdDw10
>>907
>>1
※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※

909 名前:(○口○*)さん:08/03/08 16:00 ID:YDkfay9J0
【ネット】中国人ハッカー「100%安全なサイトはない」「中国政府から金を受け取った」 CNNの取材に
http://mamono.2ch.net/test/read.cgi/newsplus/1204948295/

【ネット】既に始まった米中サイバー戦争 中国の仮想敵に位置づけられてる日本、直接狙われる可能性も大きいと産経新聞
http://mamono.2ch.net/test/read.cgi/newsplus/1204764053/

910 名前:(○口○*)さん:08/03/10 03:16 ID:/xhNkHJP0
【      気付いた日時          】 03/10
【不審なアドレスのクリックの有無 】クリックしてしまいました。
【  アドレス   】http://xhdssacd■blog98■fc2■com/
【     OS    】WindowsXP Home SP2
【使用ブラウザ 】IE6.0 sp2
【WindowsUpdateの有無】自動更新です。
【 アンチウイルスソフト 】 マカフィー
【その他のSecurty対策 】 不明。
【 ウイルススキャン結果】 発見されませんでした。
【テンプレの参考サイトを読んだか】 Yes(理解できていないところ有り)
【hosts変更】よく分からないのでないと思います。
【PeerGuardian2導入】無し(今回始めて知りました)
【説明】
RMCに上記のアドレスが書き込まれており、
それについて垢ハックアドレスなので踏まないようにというレスがついたので。
いつもはマカフィーが反応してくれるのですが今回はしてくれませんでした。
カスペについては試用版を試してみようと思いましたがマカフィーと両立できないと言うことで
いまオンラインのカスペなるものを試しているところです。
完全に感染してしまっているのでしょうか?

911 名前:(○口○*)さん:08/03/10 07:37 ID:JIGlsHzH0
>>910
スクリプトは略で
www■shagigi■net/navi/admin■exe
ここ数日でばら撒かれた自己解凍cabトロイの1つ。
AntiVirとKasperskyは撃墜したけど
McAfeeはまだじゃないかな。

WindowsUpdateしているならスクリプトは動かないはず。

912 名前:(○口○*)さん:08/03/10 08:37 ID:qc8/ZRQZ0
uorysと言うシステムファイルが出てきたのですがこれってウイルスですか?
google先生も中国語ばっかでよく解らなかったので教えてもらえると助かります

913 名前:(○口○*)さん:08/03/10 09:01 ID:1VicRqbx0
>>912
ここはこう答えるしか。「知るかボケ」

情報少なすぎて判断できんわ。気になるなら、VirusTotalにでも投げとけ。

914 名前:(○口○*)さん:08/03/10 09:23 ID:PoKVFdCs0
中国語のフォーラムにVirusTotalへのリンクがなかったかい
ttp://www.virustotal.com/analisis/bc1f08748b5ff502cb35165ad37c1c1e

915 名前:910:08/03/10 09:47 ID:A8IhciJY0
>>911
お答えありがとうございます。
動いてはないけどその元があり、マカフィーでは検知できないため
マカフィーの対応待ちということでしょうか。
(よく解らなくてそう解釈してみました)

マカフィーでどうにもならない場合のことを考えてスレを読んでいくと
OSのクリーンインストールというものが推奨されているようですが
Cドライブのみの再セットアップという作業でその行為をこなしていると思うのですが
間違いないか教えていただけないでしょうか。

いまは別PCからつないでおります。

916 名前:(○口○*)さん:08/03/10 10:05 ID:fgU4JzTw0
>915
基本的にそれでOK。
ただウィルスの種類によっては他のドライブに潜む事もある。
(仮に潜んでても再インストールした時点で自動で動作はしないけど)

手順としては
1.必要データのバックアップ(メールやネット設定等含む)
2.HDDフォーマットの上再インストール
3.WindowsUpdateやアンチウィルスソフト(マカフィー)の導入
4.HDD全検査(マカフィーだけじゃなく、カスペのオンラインスキャンも使って念入りに)
5.安全と分かった段階で普通に使用

別PCがあるなら、先にROやアトラクションセンターののパスは変更しておいた方がいい。
またテンプレ等を見てPG2やhostsの変更もした方がいい。

917 名前:(○口○*)さん:08/03/10 10:38 ID:xqmFJN4F0
ついさっき、アルデバランのカプラからすこし↓に歩いたところでROを落としてPC再起動したんだが
十数分後に再びログインしたら、アルデバランの→の端っこあたりにいた…
こういうエラーってあるの…?

俺が操作してここに来たわけでは断じてないし、そもそもこんな何もないところに来る意味がない
不気味だ…

918 名前:(○口○*)さん:08/03/10 10:43 ID:vnwgqRfe0
ログイン時、同座標がIWで埋められていた場合、ランダムで飛ばされるというのはある

919 名前:(○口○*)さん:08/03/10 11:31 ID:RLJ3QLfe0
町の復活ポイントにIWを出してて訳の分からない場所へ現れるのはよくある

920 名前:(○口○*)さん:08/03/10 13:20 ID:4sjGnW1A0
もしくはアカハックの中の人がログインしてアイテムを移動させようとしていたのかもな!

921 名前:(○口○*)さん:08/03/10 14:30 ID:OON+G7At0
2005年の年始頃からROを始めて、
今の今まで一度もキュリティソフトを入れてない。
それでも、ハックは今まででされていないけれど、
このスレを読んでいるうちに何だか怖くなってきた…。

今からPC初期化して、念の為にパス変更。
その後何らかのセキュリティソフト導入することにしますわ。
ガンがシマンテックとタイアップしている、NIS2008ってどうなんだろ?
カスペの方がいいのかな?

922 名前:(○口○*)さん:08/03/10 14:53 ID:OhgxxsMiO
ルーターありで危険なサイト行かなければ被害はないだろうさ、カスペはガードは固いけど重いし設定だるいねー  
ノートンはかなり軽いけどあってないようなものかな

923 名前:910:08/03/10 18:23 ID:A8IhciJY0
>916
外付記憶装置を購入しある程度外部にデータを移し
一部をそのままにしてやっとバックアップまでこぎつけました。
HDDフォーマットの上再インストールということですが、
説明書を見たところHDDのフォーマットについての記述が抜けていてよく解りません。
HDDフォーマットを行っても
再セットアップ
(電源を切る→電源を入れる→F11を押す作業で再セットアップを行う)
は問題なくできるのか教えていただけないでしょうか。
状態としてはパソコンはNECのTZという4年弱くらいのモデルで
リカバリーディスクは付属してない上に
DVDRAMのところが壊れていて読み込みも書き込みもできません(数年前から)

HDDフォーマットというのはCドライブをフォーマットすることだと理解してます
(理由はDドライブにバックアップデータが格納されたので)

924 名前:(○口○*)さん:08/03/10 18:31 ID:1VicRqbx0
>>923
>リカバリーディスクは付属してない上に
>DVDRAMのところが壊れていて読み込みも書き込みもできません(数年前から)
安いドライブ買ってきて交換しろ

>HDDフォーマットというのはCドライブをフォーマットすることだと理解してます
その考え方で問題はない。

Cドライブの論理フォーマットだけで起動領域にあるデータは消える。他パーティションのオートランなどで呼びだされる
箇所に取り憑かれている場合は、他パーティションをOSが認識し、オートランが走った時点で感染するが。

物理フォーマットすると、他パーティションも消え、HDDに残っているかも知れない購入時のイメージファイルが
消失する可能性があることに注意すること。

>HDDフォーマットを行っても
>再セットアップ
>(電源を切る→電源を入れる→F11を押す作業で再セットアップを行う)
>は問題なくできるのか教えていただけないでしょうか。
これはできる。BIOSがプログラムをロードするから。
但し、HDDイメージがHDD上(Dドライブか、不可視にになっている部分か)に残っているか、
DVDメディアなどに作成されていることが前提条件。

>状態としてはパソコンはNECのTZという4年弱くらいのモデルで
型番全部書け。

925 名前:910:08/03/10 19:28 ID:A8IhciJY0
すいません。型番はPC−VG30VVZGMでした。

やり方としてはNECのサポートにあるフォーマットのやり方を見る限り
論理フォーマットのやり方が自分自身で理解できているようです。
(Cドライブを右クリックのフォーマット)
サポートにも載ってるくらいなので一般的なのだと思うのですが
これだと不十分でしょうか?

>HDDイメージがHDDイメージがHDD上(Dドライブか、不可視にになっている部分か)に残っているか、
>DVDメディアなどに作成されていることが前提条件。
これの確認方法を教えていただけないでしょうか。
HDDイメージというのがよくわからなくて。

バックアップは付属していたバックアップ−NXというものを使用しました。

926 名前:(○口○*)さん:08/03/10 21:09 ID:1VicRqbx0
>>925
同じ機種持ってる訳ではないから、汎用的なことしか回答できん。(´・ω・)っ ⌒ ●
マニュアル読んでその通りにやってくれ。
http://121ware.com/e-manual/m/nx/vg/200504/html/vg30vvm.html

マニュアルではHDDから再セットアップしろとしか書いてない。(DVDなどの作成は任意)
特にいじった記憶がなければ残ってるよ。

こいつの8章読みながらがんばれ。
http://121ware.com/e-manual/m/nx/vg/200504/pdf/ps/v1/mst/vspcomn4.pdf

927 名前:910:08/03/10 23:56 ID:A8IhciJY0
HDDのフォーマットはやらずにマニュアル通りにやってみました。
その際にフォーマットも行われるような説明がありました。
その後カスペのオンラインスキャンをやり、マカフィーもやりウィルスは検出されませんでした。
二日くらいまってその後もう一度オンラインスキャンをやってみて
ウィルス検知されなかった場合にラグナロクにはつないでみようと思います。
色々アドバイスの内容を調べることで少しは知識も増えました。
ありがとうございました。

928 名前:(○口○*)さん:08/03/11 10:22 ID:Zzu3u+Eu0
悪用されると決まったわけじゃないが……
ttp://headlines.yahoo.co.jp/hl?a=20080310-00000016-maiall-game

こういう事態もあるのでご注意を。

929 名前:(○口○*)さん:08/03/11 14:53 ID:WcaRv4eT0
Panda(スペインのアンチウイルス)のブログより。
WoWのLv70カンストキャラが27,000ドル(300万円以上)。
MMORPGは金になるのでオークションでのフィッシングも出てきている。
ttp://pandalabs.pandasecurity.com/archive/Not-all-phishing-is-about-banking.aspx
規約違反のRMTをする奴が消えなければアカハックは消えない。

930 名前:(○口○*)さん:08/03/11 19:04 ID:FeoFffN30
【     OS    】WindowsXP Home SP2
【使用ブラウザ 】Opera 9.25
【WindowsUpdateの有無】 最新
【 アンチウイルスソフト 】 Avira Antivir PersonalEdition Classic
【その他のSecurty対策 】 Spybot S&D、Ad-aware2007などで時折スキャン
【 ウイルススキャン結果】 カスペ未検出
【テンプレの参考サイトを読んだか】 Yes
【hosts変更】無 
【PeerGuardian2導入】リネージュ資料室のものを利用


最近PG2がよく、Limelight Networks Asia Pacificというところへの送信をブロックしているのですが、
これは垢ハックを受けているのでしょうか?

931 名前:(○口○*)さん:08/03/11 20:19 ID:QYLMUgq+0
winアップデートするとその接続たくさんみられるよ

932 名前:(○口○*)さん:08/03/11 20:49 ID:eO6DSlKH0
資料室のだけだとそれはカットしないはず。恐らくP2Pリスト入れたんだろう。
マイクロソフトがよく使ってるトコなんで、アップデートの際にガンガン来る。

933 名前:(○口○*)さん:08/03/11 20:49 ID:JTEj8xA10
緊急(4)
ttp://www.microsoft.com/japan/technet/security/bulletin/ms08-mar.mspx

とはいえ、MS Office関連のアップデートだけなので、あまり関係は無いかも。

>>930
Limelight Networksは、CDS(Contents Delivery Network)事業者のうち一つ。コンテンツプロバイダの類いか。
各種分散ミラーなどを引き受け、MSのサイトにもAkamai等と並んで名が挙げられている。
ttp://www.microsoft.com/japan/presspass/detail.aspx?newsid=3028
ttp://e-words.jp/w/CDS.html

934 名前:(○口○*)さん:08/03/11 21:33 ID:FeoFffN30
>>931,932,933
なるほど。確かにP2Pのリストも入れていました。
どうやら安全、というか一般的につながるところだったのですね。
早い返答ありがとうございました。

935 名前:(○口○*)さん:08/03/12 14:50 ID:dgD7CnW10
マイクロソフトが3月の月例パッチ4件を公開、いずれもOffice関連の修正
ttp://internet.watch.impress.co.jp/cda/news/2008/03/12/18771.html

936 名前:(○口○*)さん:08/03/12 17:21 ID:Ad3+AZap0
トレンドマイクロのウイルス情報ページが改竄、ウイルスを埋め込まれる
ttp://internet.watch.impress.co.jp/cda/news/2008/03/12/18775.html
バスター何やってんの…

937 名前:(○口○*)さん:08/03/13 01:16 ID:UTVkKEhy0
日本をターゲットとしたSQLインジェクションによるホームページ改ざん行為と、
同行為により改ざんされたページへのアクセスによるマルウェア感染について
ttp://www.lac.co.jp/news/press20080312.html

トレンドマイクロのサイト改ざんは「SQLインジェクション」によるものと思われます。
自社製品の欠陥ではないが、ユーザから信頼型落ちだぞこれ…。

938 名前:(○口○*)さん:08/03/13 06:15 ID:kbLrAEkv0
>>937がアタウントハック対策スレにそっくり転記された件についてのコメント

|499 (^ー^*)ノ〜さん sage New! 08/03/13 05:35 ID:acTXxhlD0
>496
|>そういう一般的話題はセキュスレだから、あっちであってるよ。ここに持ち込まなくてok
|アフォか必要以上の自治はうざいだけだ
|雑談してるなら、ともかくウィルス対策ソフトの情報ページが改竄されていたという情報は重要な情報だろう
|アカウントハック対策にVBとか使ってる人だっているんだしな。
|ただしこの話題に関して雑談するならセキュレスレへ移動だが

だからあっちは「具体的事例」だってばよー。警察に行ったときのやりとりや必要なものとかを転載するならわかるが
「一般的な内容」についてまで持ち込んでどうするのさ。そして、499のコメントもこっちでつけるべき内容じゃないのか?

939 名前:(○口○*)さん:08/03/13 07:19 ID:kbLrAEkv0
>>937
>2.改ざんされたページについて
> 今回観測されている改ざん行為は、SQLインジェクションにより企業や組織等のサーバの
> Webページの一部にwww■2117966■netへのリンクを埋め込むことです。このリンクは、
> 通常ブラウザ等では確認できないSCRIPTタグのSRC要素として埋め込まれます。

ということで「2117966」でぐぐってみると、改竄されたページが結構出てきますね。
しかし、このスクリプト名もふざけてるよなー。ttp://www■2117966■net/fuckjp■js

注意:www■2117966■net でぐぐると、危険サイトを直接開いてしまうのでやっちゃだめ

940 名前:(○口○*)さん:08/03/13 07:52 ID:kbLrAEkv0
(続き)
http://www.virustotal.com/analisis/36fe394f0b12f9506aaeacd8375b99ab
http://www.virustotal.com/analisis/6e1fe1e413f55b00796904c8b2fc494b

ttp://www■2117966■net/fuckjp■js
F-Secure,カスペ,Noton が対応

ttp://www■2117966■net/q■htm
AntiVir,AVG,F-Secure,カスペ,Webwasher-Gateway が対応

q■htm が落とす本体の所在解読はパス。q■htm の eval() を仮想PCで実行してやればいいんだろうけど
安全な実験環境構築してないから。

941 名前:(○口○*)さん:08/03/13 08:40 ID:GEtOSoeh0
>>940
0.exeとxp.exeかな。

942 名前:(○口○*)さん:08/03/13 10:04 ID:kbLrAEkv0
>>941
さんきゅー。検体確保。カスペは両方とも撃墜。

ttp://www■2117966■net/0■exe : Trojan-Downloader.Win32.Agent.hcl
ttp://www■2117966■net/xp■exe : Trojan-Downloader.Win32.Agent.kdr

943 名前:(○口○*)さん:08/03/13 10:33 ID:GEtOSoeh0
AntiVir、Dr.WEBも撃墜。
つーかラックは(fuckjpというスクリプト名からか)
日本をターゲットと言っているが、世界中がやられている模様。
ttp://www.avertlabs.com/research/blog/index.php/2008/03/12/another-mass-attack-underway/
未確認情報でトレンドマイクロのもこれとか聞いた。

0とxpのどっちかは知らんけど、インジェクションコード入りで
踏んだ人が踏み台になって攻撃を開始するタイプかと
(ブログのアカウントハックもこの手法じゃないかと思ってる)。

McAfeeで見つけたのは1万ページ程度ということなので
ttp://www.itmedia.co.jp/news/articles/0711/09/news019.html
ttp://isc.sans.org/diary.html?storyid=3621
の4万ページとかよりは被害は小さいか。

944 名前:(○口○*)さん:08/03/13 10:39 ID:kbLrAEkv0
>>943
確かに出てきたのは外国の方が多かったね。スクリプトの名前から標的は日本とか書いたんだろうけど。

余談だけど、>939のキーワードでぐぐった最後のところに、アダルトビデオを販売してるらしいページがあった。
心当たりの方はカスペのオンラインスキャン推奨(笑)

945 名前:(○口○*)さん:08/03/13 13:38 ID:s+BzOmMz0
【      気付いた日時          】 2008/3/13
【不審なアドレスのクリックの有無 】 特になし
【  アドレス   】
【     OS    】WindowsXP Home SP2
【使用ブラウザ 】メインOpera9.24 ホットメールやオンラインスキャン時IE7
【WindowsUpdateの有無】 2008/3/13 1:00前後 PC終了時の自動更新インストール
【 アンチウイルスソフト 】 NortonInternetSecurity2006 毎火曜日にアップデートと完全スキャン実行
【その他のSecurty対策 】 気が向いたときにSpybot、ルータあり
【 ウイルススキャン結果】 カスペルスキーオンラインスキャンでTrojan-Dropper.Win32.Agent.fvr発見
【テンプレの参考サイトを読んだか】 Yes
【hosts変更】 有 最終更新日2008/1/13
【PeerGuardian2導入】無
【説明】

さっきカスペオンラインスキャンでウィルスをひとつ発見したようだけど、レポートでドクロマークついてるやつですよね?
引っかかったのはDELLNetworkAssistantのintoroexe
クリックで飛べるカスペの検索ではHIT0、ぐぐる検索しても中国語らしきページがひとつ出てくるのみでした
今からノートンでもスキャンしてきますが、このウィルスは実際存在しているんでしょうか

946 名前:(○口○*)さん:08/03/13 13:43 ID:GEtOSoeh0
誤検知かと。

947 名前:945:08/03/13 15:39 ID:s+BzOmMz0
ノートンの完全スキャンではなにも引っかかりませんでした
元々DELLNetworkAssistant自体が怪しそうなアプリなんですが、とうとうTrojan認定されるようになったのかと一瞬思ってしまいましたw
今回はカスペの誤検出として、しばらく様子を見ようと思います

948 名前:(○口○*)さん:08/03/13 16:34 ID:kbLrAEkv0
>>947
と、言うより、カスペに検体提出すれば済むことだろうに。誤検出ならそう返答帰ってくるし。
提出先は、セキュWiki参照で

949 名前:(○口○*)さん:08/03/13 16:40 ID:GEtOSoeh0
そのまま送るとalready detect(もう検知するよ)とか返事がくるかもしれんので
false positive(誤検知)と一言書いてね。

950 名前:945:08/03/13 17:40 ID:s+BzOmMz0
カスペの検体提出はメールのみのようですが、
私はプロバイダアドレスを取得してなく、フリーメールしかないんですけど提出は受け付けてもらえるんでしょうか?
とりあえず>>28を参考にしてメール作成してきます

951 名前:(○口○*)さん:08/03/13 17:41 ID:GEtOSoeh0
大丈夫じゃね?
日本語の広告が入って苦笑されるかもしれんが。

952 名前:(○口○*)さん:08/03/13 17:59 ID:4Cz7WVYv0
>>945
カスペ、最新定義で検出せず。
一時的な誤検出の可能性が高いかと。

953 名前:(○口○*)さん:08/03/13 18:00 ID:s+BzOmMz0
広告が入らないフリメも使っているので、そちらで送るようにしますね
<Where did I get this?>にはレポートの感染オブジェクト名に記載されてる場所、
<Detection possible other software>は検出されたウィルス名を書いておけばいいんでしょうか

検体提出初めてなので、質問ばっかりですみませんorz

954 名前:(○口○*)さん:08/03/13 18:06 ID:4Cz7WVYv0
>>953
それで大丈夫かと。

955 名前:(○口○*)さん:08/03/13 18:14 ID:GEtOSoeh0
>>953
ああ、Kasperskyはフォームとか無いのに何かと思ったらwikiのあれか。
俺めんどくさいからいつもメールはタイトルも本文も
TrojanとかFalsePositiveとかで送ってるよ。
あまり長い英文書いても先方も苦痛だと思う。ロシア語ならともかく。

956 名前:945:08/03/13 18:34 ID:s+BzOmMz0
メール送信完了しました
スレ住民のみなさん、質問に答えてくださりありがとうございました

>>952
さきほどピンポイントでスキャンしてみましたがやはり検出され、ウィルス検索も0HITと同じ結果でした

>>955
ウィルススキャンで検出自体が初めてなので、その発想はなかったですね
<Attached file info>の部分とそれだけでよかったんですかorz

それでは名無しに戻ります

957 名前:(○口○*)さん:08/03/13 19:18 ID:4Cz7WVYv0
>>956
名無しに戻る前に、定義の更新をするんだ。

後、カスペからの返信がきたら、是非ここに書いて欲しい。

958 名前:945:08/03/13 19:48 ID:26+tUQw9O
携帯から失礼

>>957
承諾をクリックしたら、次画面で定義更新されませんか?
返信は最初から報告させてもらうつもりでしたので、ご安心を

959 名前:(○口○*)さん:08/03/13 22:22 ID:7el9lUfL0
質問
ウィンドウズのアップデートができないウイルスってあるのかな?
ノートン360入れてて最近PCが物理的に壊れました

それと>>922をチラッと見て気になるのが
ハブを使って2PCしてたんですがハブもルーターも変わらないですか?

960 名前:(○口○*)さん:08/03/13 22:25 ID:Qp6fJ7sz0
>ウィンドウズのアップデートができないウイルス
昔からいっぱいある

961 名前:(○口○*)さん:08/03/14 01:16 ID:qRW8QiS40
>>959
ハブはハブだし、ルータはルータだが。
ハブ機能つきのルータがほとんどとはいえ。

962 名前:(○口○*)さん:08/03/14 04:09 ID:86avEaFy0
2〜3レスで雑談しただけで、それも盛り上がってなく数時間経過しても誘導張るやつって本当何なの…

963 名前:(○口○*)さん:08/03/14 04:20 ID:fQr4tDku0
なんというかスレタイが勘違いさせてる気がしてならない

アカウントハック具体的事例対策スレ とかにならんものか
なまじ総合とか付いてるから書き込んじゃう人もいるわけで

964 名前:(○口○*)さん:08/03/14 06:00 ID:NTYnTIph0
あそこ実態は総合スレじゃないんだから、総合スレの看板をはずして
テンプレも改定したほうが良いよな

ラックによると、トレドマイクロのサイトはアカハックウィルスをDLするように改ざんされていたんだけど
一般企業のサイトがアカハックサイトに改ざんされていたというアカハック関係の情報すらスレ違い扱いするんだから

それと向こうのテンプレ
>※ ネタや程度を超えた雑談・脱線はご遠慮ください

これも改定した方がいいよな
実態は、程度を超えた雑談・脱線ではなくて、雑談や脱線は一切認めません。なんだから
しかも、今回は、一般企業のサイトがアカハックサイトに改ざんされていたとう情報すらアカハックスレに書きこむ事を認めません。なんだから

965 名前:(○口○*)さん:08/03/14 06:10 ID:86avEaFy0
スレタイやテンプレを変えたところでちょっと話の違う書き込みは出てくると思う
それが出た瞬間に誘導張りたがる奴も出現するのが問題だと思う

966 名前:(○口○*)さん:08/03/14 07:54 ID:K00qIQ4E0
>>964
こっちで投稿して、さらにあっちに転記したのが問題だっただけだろ。
二重に扱う必要ないし。

ところで、次スレのテンプレで修正するとこある?
現状のままだと、連投規制に引っかかるのだが。

967 名前:(○口○*)さん:08/03/14 08:13 ID:cgzZxmTb0
誘導してる本人?は>938二重だから扱わないと言ってるんじゃなくて、アカハック関係の情報でも具体的事例じゃないから扱わないと言ってるみたいだけどね
そしてテンプレは削れる所を思いつかないし連投規制に引っかかっちゃうのはしょうがないんじゃないのかな?
大変だろうけど、時間を置いて書き込むしかないと思う

968 名前:(○口○*)さん:08/03/14 10:59 ID:ZO1QwZ7/0
質問させて下さい

知り合いが垢ハックにあったんですが、
垢ハックと思われるアドレスを踏んだあと(この段階でまだ知り合いは気づいていない)
自分とメッセンジャーをしていて、ROに入ったら全て盗まれていたらしいんですが
メッセをしていた自分にも感染の可能性はあるのでしょうか?;
会話のみでファイルのやり取りは行っていません。

メッセをしていたパソコンが普段露店のみのRO以外使用しないノートだったのでウイルス対策ソフトをまだ入れていませんでした…
本日ウイルスバスターかカスペ?を購入して入れようと思っています;
今はやっている垢ハックのウイルスの感染力が良くわからなかったため質問させていただきました;
教えていただければ嬉しいです;

969 名前:(○口○*)さん:08/03/14 11:17 ID:K00qIQ4E0
>>968
メッセしてただけじゃ(まず)感染しないよ。

メッセ経由で届けられるマルウェアとかもあるけど、アカハックで、そういう拡散のしかたするって報告はまだないし、
メッセ経由も、ファイルを送りつけようとするような挙どうするのですぐわかるよ。

カスペは、対応早いけど、結構PCスペック要求するのでそこんとこ注意してな。
バスターさんは、検出率の点でちょっと不安が残るかも。

970 名前:(○口○*)さん:08/03/14 11:22 ID:ZO1QwZ7/0
>>968
素早い返答ありがとうございました!ちょっとだけ安心しました;

今後のこともこわいのでウイルス対策ソフトは入れます
スペックの心配もありがとうございました!自分のパソコンに合ったものを入れたいと思います

971 名前:(○口○*)さん:08/03/14 11:26 ID:ZO1QwZ7/0
>>969 の間違いですorz 自分に言ってどうするんだ…アウアウア

972 名前:(○口○*)さん:08/03/14 11:36 ID:K00qIQ4E0
あわてんぼさんな>>970さんは、スレ立てGOだ。

スレタイ:セキュリティ対策、質問・雑談スレ5

テンプレ
>>1-7

テンプレ修正箇所
>2の安全のためにのアドレスが間違っているので、>8のアドレスに書き換えて
>1の過去スレをこのスレに変更

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/

とりあえずこんだけかな。スレ立てわからんって場合は、>>980さんにパスしてね。

973 名前:945:08/03/14 12:17 ID:yBeDAkLu0
カスペからの返信きました
>Hello. This file is already detected. Please update your bases.
>-----------------
>Regards, Vladimir Lebedev
>Virus Analyst, Kaspersky Lab.

確かにオンラインスキャンで検出されるんですが、結果は0HITで対策とれず
ウィルスについて
ttp://www.viruslistjp.com/find?search_mode=virus&words=Trojan-Dropper.Win32.Agent.fvr&x=7&y=3
サイト全体
ttp://www.viruslistjp.com/find?search_mode=full&words=Trojan-Dropper.Win32.Agent.fvr&x=17&y=17

ノートンのほうでも再びアップデートとスキャンをかけましたが検出されませんでしたorzノートンファイターシッカリシテヨ
今度はノートンのほうに検体提出して、処理待ちになってます

以上、報告でした

974 名前:(○口○*)さん:08/03/14 13:38 ID:XCnyNueQ0
ttp://itpro.nikkeibp.co.jp/article/NEWS/20080313/296134/
一万サイト改竄の件、垢ハックとは書いてあるんだけど
どこの国のどのゲームが標的か詳しく解説されてる記事ってどこかにある?

975 名前:(○口○*)さん:08/03/14 14:48 ID:K00qIQ4E0
>>974
少なくとも私は目にしてないな。

976 名前:(○口○*)さん:08/03/14 15:23 ID:2XOI0B/A0
>>974
何が降ってくるかは >>940-941 ということで。

xp.exeは「Der Herr der Ringe Online」
つまりLotROのパス抜きの模様(uc8010とコードが似ている。同一犯?)。

0.exeは「wiie://rr.vpbt3dktg.rdb/rr.phe」
という文字列があり、何かをPOSTするか拾いそうに見えますが
規則性がわかりません
wiie→http(ほぼ確定かと)
rdb→comかorg(netならwiie=httpにならい3文字目がiになるはずということから)
phe→asp(wiie=httpにならい3文字目がpだろうということから)

xp.exeが抜いたLotROのパスを0.exeがPOSTするのか
全く別の働きをするのかは不明。

977 名前:(○口○*)さん:08/03/14 15:30 ID:3T+fmj1Q0
>>973
カスペ日本公式では、2008年3月13日付けに配信した
ウイルス向け定義データベースにおいて
Trojan-Dropper.Win32.Agent.fvr を誤検知する事を確認、さらに
現在の最新の定義データベースでは修正済みとのこと。

カスペジャパンっていう日本語の公式があるんだし、慣れてないなら
素直にカスペジャパンのサポセンって手もあるぞ。

978 名前:(○口○*)さん:08/03/14 15:37 ID:2XOI0B/A0
>>973
まんま >>949 >>955 じゃないか。
false positive (DELL なんたらんたら)と一言書いて送ればよかったのに。

979 名前:(○口○*)さん:08/03/14 16:24 ID:hUTASMcD0
>>974
米国でWebサイト改ざん攻撃が多発、2万ページ以上が被害に
ttp://www.itmedia.co.jp/news/articles/0803/14/news018.html

からたどれるDancho Danchev's Blogに一応載ってるかな
More CNET Sites Under IFRAME Attack
ttp://ddanchev.blogspot.com/2008/03/more-cnet-sites-under-iframe-attack.html

980 名前:(○口○*)さん:08/03/14 17:46 ID:YP1hbvgt0
4Gamer.net お金をかければよいわけではない? その道のプロに聞く,オンラインゲームの不正アクセス対策
ttp://www.4gamer.net/games/000/G000000/20080314003/

前半は自社のシステムの売り込みだけど、中盤から「現在多く見られる不正アクセスの手口」や
「クレジットカードの不正課金で運営と信販会社がしばしばぶつかり始めている」といった話題など。

981 名前:945:08/03/14 18:21 ID:yBeDAkLu0
>>977
18:00時点でttp://www.kaspersky.co.jp/virusscannerにて検出
18:00時点でttp://www.virustotal.com/jp/でのintro。exeは0/32で検出されず
18:00時点で同じくカスペエンジンを使っているttp://www.nifty.com/security/vcheck/にて検出
そして誤検出のことが書いてあるページを発見できませんでした、よろしければ教えてくださいorz
サポセンは製品版ユーザーじゃないので遠慮していました、最後の手段として考慮してみます

>>978
false positiveの一文も添えたんですが、その真上にusingNortonInternetSecurity2006と添えたせいですかね・・・
カスペ非公式Wikiも見てみましたが、確かにもっと簡便なメールのほうがよかったようです

982 名前:(○口○*)さん:08/03/14 18:25 ID:K00qIQ4E0
>>980
970の反応が無いので、スレ立て頼む。修正箇所は>>972参照。

983 名前:629=670,671,740:08/03/14 18:51 ID:6UAdEEfm0
スレも終わりそうですが進展ありましたので報告します。
本日、最寄署の担当者より連絡があり、確認したいことがあるとのこと。
折り返してみると最後の正常ログイン時間の再確認と、キャラクター名を確認されました。
その後、とられたと思われるアイテム名をいくつかあげていましたが、
ガンホーからもらったデータを見ているらしく、ゲーム中の表示名ではなく
データ上の名前らしきもの(蝶の羽なら、なんとかバタフライとか)を読み上げていたので
「それはデータ上の名前ではないか。ゲーム上では日本語表記されているが、だいたい合っているのではと思う」
と告げると、詳しく内容を確認したいので署まで出向いて欲しいとのこと。
18日の業務終了後に伺うことになりました。

984 名前:980:08/03/14 18:55 ID:YP1hbvgt0
>>982
次スレ立てましたー
セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/

985 名前:(○口○*)さん:08/03/14 18:58 ID:K00qIQ4E0
>>984
乙ですー

>>983
報告GJです。続きもがんばって下さい。

986 名前:(○口○*)さん:08/03/14 20:21 ID:2XOI0B/A0
>>981
いやほんと
 サブジェクト False Positive
 本文 False Positive(DELL なんたらかんたら)
だけでいいから。

俺ウイルス送るとき
 サブジェクト Trojan
 本文 Trojan
これだけだよ。まじで。

正直言ってテンプレのあれは長すぎて
日常的に(家庭でも)英語話す人じゃないと読まんよ。

987 名前:(○口○*)さん:08/03/14 20:27 ID:3T+fmj1Q0
>>981
ちゃんと一時ファイルとか消してるか?
消してなかったら、誤検知が出続けるかもしれん。

>誤検出のことが書いてあるページ
すまん、サポセンに問い合わせたら返信がきた。
後ユーザーじゃなくても、よっぽどじゃない限り
返信はくるかと。
なんせ情報なんぼの商売だから、DELLユーザーのトラブルの
一例としてきちんとした形で報告すれば、少なくても迷惑には
ならないと思う。

てかDELLのページに、これはウイルスやマルウェアでは
ありませんとか、言い訳がましく書いてあるページなら
見たことがある。1回DELLのページを見てみたらどうだろう。

988 名前:(○口○*)さん:08/03/14 22:47 ID:yBeDAkLu0
F-Secureでオンラインスキャン実行、検出されたので駆除をクリックしたところ、intro。exeが0kbのファイルに変身
ここでどうでもよくなり、元々NetworkAssistantも使っていなかったし予定もないのでコンパネから削除しました
再起動ののちカスペオンラインスキャンでフルスキャン
C:\System Volume Informationに同じものが発見されましたが、復元ポイントのフォルダですし>>987さんの情報もありますので削除は控えておきます
色々とお騒がせしましたが、助言ありがとうございました

>>986
もし次があるならそうしますね
アドバイスありがとうございました

>>987
履歴と一時ファイルは消してました
ネットワークアシスタントは以前調べましたので、挙動不審なアプリということは理解してます

989 名前:L ★:08/03/15 10:36 ID:???0
375 名前:ナリタレ[] 投稿日:08/03/14(金) 11:09 ID:xvHgBTuu0
RO イフリート戦
RO Ragnarok ラグナロク...RO Ragnarok ラグナロク
http://■www■livedoorbloog■com/lin885/885.zip

nwtfb-10p5-8*.ppp11.odn.ad.jp
210.237.200.8*

990 名前:(○口○*)さん:08/03/15 12:56 ID:kam+vWBa0
>>989
lin886/886.zipもlin887/887.zipもあるね。

991 名前:(○口○*)さん:08/03/15 20:57 ID:rPWTUzqX0
もしかしたらスレ違いかもしれませんが、お分かりの方がいらっしゃいましたら
教えていただけるでしょうか?
垢ハクウィルスなのかも分からないのですが…
以下一応テンプレで記述します。

【気付いた日時】2008年3月15日
【不審なアドレスのクリックの有無 】無
【アドレス】色々見ていたのでどれだか特定できず。
【OS】WindowsXP Home SP2
【使用ブラウザ 】IE6.0 sp2
【WindowsUpdateの有無】3月14日
【 アンチウイルスソフト 】McAfee
【その他のSecurty対策 】 最近とくになし
【 ウイルススキャン結果】 カスペオンラインスキャンにてBackdoor.Win32.IRCBot.gen
【テンプレの参考サイトを読んだか】 今から読みます
【hosts変更】無 
【PeerGuardian2導入】無
【説明】
自業自得なのですが、セキュリティをきちんとしてない事もあって本日WEBを
見ていて怪しそうなサイトを踏んでしまい何となくカスペのオンラインスキャンをしたところ
上記ウィルスBackdoor.Win32.IRCBot.genが発見されました。
ぐーぐる先生に尋ねても余り検索結果が出てこなく、また発見されたフォルダが
McAfeeのツールが置いてあるフォルダなので誤検索かな?とも思ったのですが
もしお分かりの方がいらっしゃるのでしたら教えていただきたく書き込ました。

もし垢ハックでないにしろ、今ですと余りセキュリティ対策をしていないので
今後強めたいと思います…。

992 名前:(○口○*)さん:08/03/15 22:36 ID:Br486Hxs0
セキュWikiの検体提出先で、Normanが間違っていたので修正。(誤検出の提出先が書かれていた)
>>986 の文面も一例として記載してみた。


>>991
アカハックではないものの危険ファイルですね。
カスペ検出名「Backdoor.Win32.IRCBot.gen」でぐぐったところ、トレンドマイクロのページが出てきました。

英文ですが、ご参考までに。
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SDBOT.APA

WORM_SDBOT.APA
Backdoor.Win32.IRCBot.gen (Kaspersky),
W32/Sdbot.worm.gen (McAfee),
W32.Randex.gen (Symantec),
DR/Yabinder.20.E (Avira),
W32/Sdbot-PW (Sophos),

IRCで出された指示を受け取って稼働するBOT(RO内のものとは違います)の一種のようです。
誤検知かどうかは知りませんので、誤検知の可能性があると思ったら検体提出を。

993 名前:(○口○*)さん:08/03/16 07:52 ID:kzvO5b1I0
埋めついでに。

昨日、リネージュ資料室さんのウィルス置場一覧を見て更新されてっとこから検体を拾ってみた。

ttp://sammitr■co■za/toyota■htm
ttp://www■caremoon■net/wiki/main■htm
ttp://www■soracger■com/wiki/admin■exe
ttp://www■gamemmobbs■com/batteROyale/ro1■exe
ttp://www■infosueek■com/rosolo/index-php/
ttp://www■infosueek■com/xin/Ms06014tt■htm
ttp://www■infosueek■com/xin/Ms07004tt■js
ttp://www■infosueek■com/xin/Ms06046tt■htm
ttp://www■infosueek■com/xin/anitt■c
ttp://www■infosueek■com/xin/Yahoott■htm
ttp://www■infosueek■com/xin/xia■exe
ttp://www■infosueek■com/xin/ro■exe
ttp://www■k5dionne■com/ousele/ttmm■htm
ttp://www■k5dionne■com/ma/Ms06014■htm
ttp://www■k5dionne■com/ma/ani■c
ttp://www■k5dionne■com/ma/Yahoo■htm
ttp://www■k5dionne■com/ma/xia■exe
ttp://www■kaukoo■com/
ttp://www■kaukoo■com/dvd/104■scr
ttp://www■panslog■net/wiki/index1■htm
ttp://www■articlelin■com/wiki/cer■exe
ttp://www■ragnwiki■com/read/index1■htm
ttp://www■ragnwiki■com/read/server■exe
ttp://www■teamerblog■com/wiki/cer■exe
ttp://www■temateman■com/lineage/bbs-cgi/
ttp://www■wacacop■net/wiki/index1■htm
ttp://www■wacacop■net/wiki/sever■exe

994 名前:(○口○*)さん:08/03/16 07:53 ID:kzvO5b1I0
(続き)

=== Kaspersky ===
admin.exe : Trojan.Win32.Inject.aev
ani.c : Exploit.Win32.IMG-ANI.ac
anitt.c : Exploit.Win32.IMG-ANI.ac
cer.exe : Trojan.Win32.Inject.aew
index(2).htm : Trojan-Downloader.HTML.IFrame.dv
index.htm : Trojan-Downloader.HTML.IFrame.dv
Ms06014.htm : Trojan-Downloader.JS.Psyme.kf
Ms06014tt.htm : Trojan-Downloader.JS.Psyme.kf
Ms06046tt.htm : Exploit.HTML.Ascii.ai
Ms07004tt.js : Trojan-Downloader.JS.VML.a
Ms07004tt_js_1.htm : Trojan-Downloader.JS.VML.b
ro1.exe : Trojan.Win32.Inject.adw
sever.exe : Trojan.Win32.Inject.aey
ttmm.htm : Trojan-Downloader.HTML.IFrame.dv
xia(1).exe : Trojan-Downloader.Win32.Delf.dsz
xia.exe : Trojan-Downloader.Win32.Delf.dsz
Yahoo.htm : Exploit.HTML.IESlice.z
Yahoott.htm : Exploit.HTML.IESlice.z

=== Kaspersky(新種の返答があったもの) ===
index1(1).htm : Trojan-Downloader.JS.Agent.bmk
index1(2).htm : Trojan-Downloader.JS.Agent.bml
index1.htm , main.htm : Trojan-Downloader.JS.Agent.bmj
ro.exe : Trojan.Win32.Inject.afb
server.exe : Trojan.Win32.Inject.afd
toyota.htm : Exploit.VBS.Agent.j

=== Other ===
104.scr : clean
index(1).htm : clean

995 名前:(○口○*)さん:08/03/16 09:37 ID:rtI/4ljr0
せめて中身見てから送ったほうが。
www■kaukoo■com/dvd/104.scr
とかドメイン業者のページになってるし。
有用ではない物を送りまくるのは妨害というかSPAMと変わらんというか。

# スクリプトは自分で読んでバイナリだけ送ってる。

996 名前:(○口○*)さん:08/03/16 09:52 ID:kzvO5b1I0
>>995
ああ、それで104.scrとindex.htmの中身が同じだったのか。
変なコードないけど、自分が見落としてるだけかもしれないと思って送ったさ。
徹底的に調べるのは、こっちの仕事じゃないし。

バイナリだけって考え方も、本体がブロックされれば実害はないのでいいんだけど(NOD32がその傾向ある)、
ダウンローダになるスクリプトにも対応してもらえれば、新種の(すり抜ける)本体を入手する前に
ブロックできるようになるから、スクリプトも、極力送るようにしてる。水際阻止の可能性上がった方がいいからね。

997 名前:(○口○*)さん:08/03/16 10:26 ID:rtI/4ljr0
いやモスクワに30人くらいしかいないからさ。
ゴミを大量に送るのは売りの対応速度を落とすことになりかねないなと。

スクリプトはバイナリに比べて容易に改変できる
(メモ帳で子供でも、なんならCGIで自動生成も)ので
その意味で送ってないだけ。自分はね。

998 名前:(○口○*)さん:08/03/16 12:47 ID:kzvO5b1I0
ま、ね。対応すべき内容かどうかの判断は、セキュリティベンダに任せるべきだと思うんだ。

それはともかく、次スレはこちら

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/

999 名前:(○口○*)さん:08/03/16 14:28 ID:rtI/4ljr0
だからスクリプトは送ってもいいよ。
104.scrみたいなのは排除してくれ。

1000 名前:(○口○*)さん:08/03/16 14:39 ID:rtI/4ljr0
埋め

1001 名前:1001:Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。


全部 最新50
DAT2HTML 0.35a Converted.