アカウントハック総合対策スレ9

1 ：夢 ★ ：07/11/25 11:04 ID:???0

アカウントハックに関する情報の集積・分析を目的とするスレです。
被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

・ 関連＆参考情報アドレス (>>2)
・ 報告用＆質問用テンプレ (>>3, >>4)
・ アカウントハック対応の要点とFAQ (>>5)
・ 安全対策の簡易まとめ (>>6)
・ アカウントハッキングについて（ガンホー公式）
　 http://www.ragnarokonline.jp/playguide/hacking/

■スレの性格上、誤って危険なURLがそのまま貼られてしまう可能性がある■
■URLを無闇に踏んで回らないこと。報告・相談はテンプレを利用すること■

※ ID/Pass/サーバ/キャラ名等の情報は公開しないでください
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません
※ ネタや程度を超えた雑談・脱線はご遠慮ください

・スレ立て依頼は>>970がしてください。反応がなければ以降10ごとに。

【一般的話題用】
セキュリティ対策、質問・雑談スレ3
　http://enif.mmobbs.com/test/read.cgi/livero/1186660300/

2 ：夢 ★ ：07/11/25 11:04 ID:???0

【過去スレ】
　8 : http://gemma.mmobbs.com/test/read.cgi/ragnarok/1185352481/
　7 : http://gemma.mmobbs.com/ragnarok/kako/117/1177507128.html.gz
　6 : http://gemma.mmobbs.com/ragnarok/kako/117/1173963316.html.gz
　5 : http://gemma.mmobbs.com/ragnarok/kako/117/1170419695.html.gz
　4 : http://gemma.mmobbs.com/ragnarok/kako/116/1164984508.html.gz
　3 : http://gemma.mmobbs.com/ragnarok/kako/116/1160787177.html.gz
　2 : http://gemma.mmobbs.com/ragnarok/kako/114/1147966576.html.gz
　1 : http://gemma.mmobbs.com/ragnarok/kako/107/1075385114.html.gz

【参考アドレス】
・ROアカウントハック報告スレのまとめ？サイト
　http://sky.geocities.jp/vs_ro_hack/
・安全の為に (BSWikiより)
　http://smith.xrea.jp/?Security
・ROセキュリティWiki
　http://rosafe.rowiki.jp/
・リネージュ資料室 (応用可能な情報が多数)
　http://lineage.nyx.bne.jp/

【このスレでよく出てくるアプリケーション】
・PeerGuardian2
　http://sky.geocities.jp/vs_ro_hack/pg2.htm
・WindowsUpdate
　http://www.update.microsoft.com/

【PCにウィルス対策ソフトを導入してない方へ】
・Kaspersky Internet Security 試用版
　http://www.just-kaspersky.jp/products/try/
・カスペルスキー：オンライン ウイルス＆スパイウェアスキャナ
　http://www.kaspersky.co.jp/scanforvirus/
・NOD32アンチウイルス体験版
　http://www.canon-sol.jp/product/nd/trial.html

・AVG7.5 free
　http://free.grisoft.com/doc/download-free-anti-virus/jp/frt/0
・Avast4 HomeEdition
　http://www.avast.com/jpn/download-avast-home.html
・KINGSOFT InternetSecurty Free
　http://download.kingsoft.jp/kisfree/

3 ：夢 ★ ：07/11/25 11:04 ID:???0

【投稿の際の注意】
・アカハックアドレスはMMOBBSでは禁止単語になっています。
　加えて、誤クリックによる感染を防ぐ為にそのようなアドレスは
　.(ドット)を別の文字に置き換えて報告して下さい (■がよく使われています)
・URLを貼り付ける場合は ドメイン名の「.」を全て「■」に置換して下さい。
・質問前後にテンプレ等を見て知識を深めると更にGoodです
・回答者はエスパーでは有りません。情報は出来るだけ多く。
　提供した情報の量と質に応じて助言の量と質は向上します
・結局は本人にしかどうにも出来ない事を忘れてはいけません

----------報告用テンプレ----------
● 実際にアカウントハックを受けた時の報告用

【　 　 　 気付いた日時　 　 　 　 　 】 (被害に気付いた日時)
【不審なアドレスのクリックの有無　】 (blog/bbs/Wiki等で踏んだ記憶の有無とそのアドレス)
　　　　　　　　　　　　　　　　　　 (ドメインのドット(.)を■等で置き換える事。h抜き等は駄目)
【他人にID/Passを教えた事の有無】 (Yes/No)
【他人が貴方のPCを使う可能性の有無】 (Yes/No)
【 　 　ツールの使用の有無　 　 　 】 (Yes/No、Yesの場合はそのToolの説明)
【　 ネットカフェの利用の有無　 　　】 (Yes/No)
【　 　　 OS　 　 】 (SP等まで書く)
【使用ブラウザ 】 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【　アンチウイルスソフト 】 (NortonInternetSecurity2007 等の名称、及びパターン更新日)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【スレログやテンプレを読んだか】 (Yes/No/今から読みます)
【hosts変更】(有/無　[有りの場合は最終更新は何時ごろか])
【PeerGuardian2導入】(有/無 [有りの場合は参照元サイトはどこか)
【Webヘルプデスクへの報告】（有/無/これからします)
【説明】
(被害状況を詳しく書く)

4 ：夢 ★ ：07/11/25 11:05 ID:???0

● 怪しいアドレス？を踏んだ時の相談用（アカハック以外の事例は>>2のセキュスレへ）

【　　アドレス 　 】www■xxx■yyy/index.htm(ドメインのドット(.)を■等で置き換える事。h抜き等は駄目)
【気付いた日時】 (感染？に気付いた日時)
【　 　　 OS　 　 】 (SP等まで書く)
【使用ブラウザ 】 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【　アンチウイルスソフト 】 (NortonInternetSecurity2007 等の名称、及びパターン更新日)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【スレログやテンプレを読んだか】 (Yes/No/今から読みます)
【hosts変更】(有/無　[有りの場合は最終更新は何時ごろか])
【PeerGuardian2導入】(有/無 [有りの場合は参照元サイトはどこか)
【説明】
(『怪しいアドレス』との判断した理由、症状を詳しく書く)

※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

5 ：夢 ★ ：07/11/25 11:05 ID:???0

【アカウントハック対応の要点とFAQ】
以下は要点となります。詳細な物は BSWikiの『安全の為に』が参考になると思われます。

● 『アカウントハックアドレスを踏んだ』もしくは『ウィルスが見つかった』場合
　1) 速やかに感染PCのネットワークケーブルを外す
　2) 『安全な環境』から諸々のパスワードを変更
　3) ウィルス駆除 もしくは OSのクリーンインストールやPCの再セットアップを行う

注)
　・安全確認されるまでNetworkに接続・ROクライアント起動・公式にログインは厳禁
　・各種メッセンジャーソフトやメールクライアントの起動も避ける
　・変更するべき物は以下のとおり
　　『GungHo-IDパスワード』『アトラクションIDパスワード』『キャラパスワード』『メールアドレス』
　・アンチウイルスソフトの過信は禁物。自信がなければOSのクリーンインストールを第1選択枝とする事
　・対応は慎重かつ迅速に行う事。早期に対応できればアカウントハックを防げる確率が上がる

● 関連FAQ
・『安全な環境』ってどんな物？
　　ウイルスの感染が無いと思われる環境です。別PCや据置型ゲーム機、1CD Linux等が挙げられます。
　　インターネットカフェ等不特定多数が使用する環境は危険性の高い環境です。
　　また知人友人のPCもインターネットカフェ並の危険があるものと考えるべきです。
　　信頼できる友人にパスワード変更を依頼するのは最後の手段であり、安全な環境を
　　構築次第、再度パスワードを変更しましょう。
・オンラインウイルススキャンをしたいんだけど、やっぱりネットにつないじゃ駄目？
　　駄目です。
・アンチウイルスソフトでウイルスが見つからないのでもう大丈夫だよね？
　　100％の保証は出来ません。ウィルスが見つからなかった場合、チェックに使った
　　アンチウィルスソフトでは発見出来なかっただけです。本当にウィルスが居ないのか、
　　それとも検知を免れているだけなのかは判りません。
　　自信が無い場合はHDDをフォーマットの上、PCの再セットアップを考えるべきです
・1CD Linuxってなに？
　　CDを入れてPCを起動するだけでLinux環境が起動しちゃうというものです。
　　ある意味クリーンインストールに近い状態なので汚染はゼロといえますし、
　　そもそもWindowsではないのでアカウントハックウイルスも働きません。
　　大概はWindows類似のデスクトップ環境やWebブラウザも組み込まれているので
　　パスワード変更作業くらいなら問題なく出来ます。
　　"KNOPPIX" や "Ubuntu"が人気が有ります。

6 ：夢 ★ ：07/11/25 11:05 ID:???0

【安全対策の簡易まとめ】
以下は要点となります。higaitaisaku.comさんの『被害対策』→『転ばぬ先の杖』
(http://www.higaitaisaku.com/korobanu.html)が参考になるでしょう。
『ROアカウントハック報告スレのまとめ？サイト』や
BSWikiの『安全の為に』も参考になると思われます。

●基本
　・定期的なMicrosoftUpdate及び、各種ソフト(各種Player、Reader等)のアップデート
　・アンチウイルスソフトの導入とウイルス定義ファイルの積極的な更新
　・パーソナルファイアウォールソフトの導入
　・アドレスをホイホイ踏まない。よく確認する
　・出所の怪しいプログラムやスクリプトを実行しない

●応用
　・IEの使用を止め、他のブラウザに乗り換える(Firefox、Opera)
　・IEコンポーネント使用のブラウザを使う(セキュリティ設定が容易な物が多い)
　・信頼できるSite以外ではスクリプトやActiveXを切る
　　：インターネットオプションのセキュリティの部分で設定可能
　・偽装jpg対策(IE7とIE6SP2限定。IE6SP1以前では出来ない)
　　：インターネットオプション→セキュリティ→レベルのカスタマイズ
　　　→「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする
　・Firefoxを使用する場合、URI自動補完を停止する
　　：http://nhh.mo-blog.jp/ttt/2006/10/firefox__bf2b.html
　　：>「browser.fixup.alternate.enabled」をfalse
　　　→このスレ閲覧中に誤操作により危険URLに飛ぶ危険を回避します

7 ：(^ー^*)ノ〜さん ：07/11/25 11:18 ID:ITDHDQRQ0

【このスレでよく出てくるアプリケーション】 （追加）
・ソースチェッカーオンライン
　http://so.7walker.net/guide.php

>>1　乙です

8 ：(^ー^*)ノ〜さん ：07/11/25 23:35 ID:xodT0THL0

>>2
BSWikiは移転しているようです

[正]
・安全の為に (BSWikiより)
　http://smith.rowiki.jp/?Security

同サイト内にURLが既出の危険なドメインかどうか調べるチェッカーもあるようです
http://smith.rowiki.jp/riskycheck.php

9 ：(^ー^*)ノ〜さん ：07/11/26 20:14 ID:AuPEyZhv0

・上記にあるまとめサイトさんのhostsファイルに追加分を手動で追加しようというサイトです
http://sky.geocities.jp/ro_hp_add/

10 ：(^ー^*)ノ〜さん ：07/11/27 13:18 ID:Rl5H0P0a0

PeerGuardian2を導入して
リネ2やったんですけど「222.231.15.60」
というアドレスに送信してて、それをブロックしてる
これってやばいですか？

11 ：(^ー^*)ノ〜さん ：07/11/27 13:24 ID:X4L3wsqJ0

>>10
>対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

あっちにコメントしときますね。

12 ：(^ー^*)ノ〜さん ：07/11/27 14:48 ID:Rl5H0P0a0

>>11
はーい　ありがとー

13 ：(^ー^*)ノ〜さん ：07/11/29 23:47 ID:iz9Crv5m0

垢ハックを間違えて踏んでしまったらＯＳの再インストールというものが重要だといわれているけど
私もうっかりふんでしまったため、XPの再インストールをしてみた所
Windowsが入っているCドライブは初期化されたけど、Dドライブの中身はあまり変化ありませんでした
やはり安全をきすためDドライブも初期化した方がいいですか？ちなみにROはCドライブでした。

14 ：(^ー^*)ノ〜さん ：07/11/29 23:54 ID:d0pbTNIV0

一般的な相談・質問はセキュスレへ

簡単に答えておくと、データにトロイは付着しません。

15 ：(^ー^*)ノ〜さん ：07/11/30 16:21 ID:k42wwL7a0

LiveRoのラグクジでハクアドレス貼り付けあり

------------
463 名前：lg96 Mail： 投稿日：07/11/30 (金) 16:08 ID:U4ZLnuLS0
lg96■3322■org/jp/

467 名前：（○口○*）さん Mail：sage 投稿日：07/11/30 (金) 16:17 ID:ZSYS7kxo0
>463
マジで垢ハック注意。
lg96■3322■org/jp/
->www■kele88■com/av/help.htm
--->www■kele88■com/av/av.exe
------------

16 ：(^ー^*)ノ〜さん ：07/11/30 16:24 ID:k42wwL7a0

クレクレスレの100にも同じものが張ってあった。
他のスレにも爆撃があるかも。

17 ：(^ー^*)ノ〜さん ：07/11/30 19:07 ID:3SqRK7Xx0

>>15
今回、カスペより早く、Fortinetから返答

The samples you submitted will be detected as follows:
av.exe - W32/Agent.IRS!tr
index.htm - HTML/Agent.IDS!tr.dldr
help.htm - VBS/Agent.IDT!tr.dldr

18 ：(^ー^*)ノ〜さん ：07/11/30 19:34 ID:3SqRK7Xx0

>>15
カスペからも返答あり。いろんなスレに貼られたようなので警告age

av.exe_ - Trojan-Downloader.Win32.Agent.fnj,
help.htm_ - Trojan-Downloader.VBS.Psyme.kq,
index.htm_ - Trojan-Downloader.HTML.IFrame.ba

19 ：(^ー^*)ノ〜さん ：07/11/30 21:51 ID:sVfmmqNi0

とりまセキュリティスレから飛んできました。
>>15にもあるＵＲＬを誤クリ→怖くなって即出る→
カスペルキーとやらでスキャンをかけ、そのままネカフェにダッシュ→
ＩＤは変え方がよくわからずとりあえず帰還。→
カスペと同時起動で知人にやってみろっていわれた「av,exe」を検索（該当なし）→
カスペ検索終了、感染無し→報告中（今ココ）

とりあえずココからどうすればいいかわからない状況なんですが･･･
ご教授いただければ幸いです

20 ：(^ー^*)ノ〜さん ：07/11/30 22:09 ID:ZNiQwvSO0

>19
あっちでも言ったが、まず>4のテンプレを埋めてくれ。
でなければ、回答する側も的外れな回答になりがちになる。

21 ：(^ー^*)ノ〜さん ：07/11/30 22:27 ID:M/+KXmRb0

>>19
怖いなら、クリーンインストールしろ

22 ：(^ー^*)ノ〜さん ：07/11/30 22:31 ID:3SqRK7Xx0

>>19
まず、ログインは絶対にしないように。

アカハックのサイトをクリックした後にログイン・踏んだIDからのパスワード変更はやっていませんね？
（アカハックのサイトクリック→ログアウトなら問題ありません）

パターンＡ
必要なデータをバックアップして速効でＯＳ入れなおしかＰＣリカバリ（確実に安全になります）

パターンＢ
カスペ体験版を入れてスキャンする。パターンが最新であれば検出可能な筈です。
（本日対応したばかりなのでパターン更新しないと検出されません）

で、検出されるようなら削除して完了。

検出されない時は、「本体入手前に切断が間に合ったのでセーフ」の場合、
「新種の為すり抜ける場合（今回はカスペで検出可能なので考えなくていい）」
「発動させてしまいステルス化されているので検出できない場合」のパターンが
考えられます。対応方法は下記の通り。

１．"自己責任で"そのまま使ってｏｋ
２．パターンが更新されるまでネットに繋がない、IDパスの入力・変更しない。
　　一時的にネットに繋いでパターンを更新してからＢの最初に戻る。（今回はこのケースにならない）
３．ＯＳ入れなおすしかない

23 ：(^ー^*)ノ〜さん ：07/11/30 22:32 ID:sVfmmqNi0

【　　アドレス 　 】lg96■3322■org/jp/
【気付いた日時】今日の18;30くらい
【　 　　 OS　 　 】 WindowsXP(SPが何かわかりません＞＜；)
【使用ブラウザ 】 ﾀﾌﾞﾝIE７
【WindowsUpdateの有無】 有効
【　アンチウイルスソフト 】 無し
【その他のSecurty対策 】 FW
【 ウイルススキャン結果】 カスペルスキースキャンで感染無し
【スレログやテンプレを読んだか】 今から読みます
【hosts変更】PC関連疎いのでよくわからないですが､PCかってほぼそのまんまの状態
【PeerGuardian2導入】同上
【説明】
垢ﾊｯｸっていろんなとこに書いてあったから･･･つд

よろしくお願いします

24 ：(^ー^*)ノ〜さん ：07/11/30 22:32 ID:3SqRK7Xx0

このスレ的には
　検出されて入手をブロック→辛うじてセーフ
　踏んだ後に検出して除去→他にもいる可能性もあるが、自己責任で使うかOS入れなおしか選ぶ
　検出されない→入手前と信じる根拠があるなら自己責任で使ってもいいが、OS入れなおしが基本

自己責任で使い続ける場合、PG2を導入し、中国への接続をブロックすることで、リスクを最小限に
減らす事ができます。

>>19の投稿時間に、パターンが更新完了していたかはわかりませんが（パターン更新前だったら、
スキャンしても検出されません）２２：２０の段階では、オンラインスキャンでも検出可能に
なっていましたので、もう１回パターンを更新してスキャンしてみて下さい。
（オンラインのファイルスキャナは、更新が11-29だったのですり抜けてましたが）
http://www.kaspersky.co.jp/virusscanner

現時点のパターンを適用して、全スキャンしても見つからない場合、
↑の検出されない場合１or３になります。

ブロックできたかどうかの保証はできないので、このスレとしては、安全な環境を作るために
ＯＳ入れなおしを推奨することになります。

25 ：(^ー^*)ノ〜さん ：07/11/30 22:36 ID:Dp3j+zRj0

まぁある程度の状況は分かるので、今まででた情報で答えるとするならば
「ＯＳクリーンインストール」をしろ、としか言いようがない。

　アドレス自体どれを踏んだかもわかっているわけだし、そこから辿れるav.exeのファイルが見つからないのであれば
なんらかのアンチウィルスソフトで防衛できた可能性もあるが、
その防衛した可能性のあるソフト名もバージョンも何もまだ>>19からは提示されていないわけだ。
　こちらがわから見た場合、もしかしたら防御できてるのかもしれないし、感染してるのかもわからない状況。
仮に感染していた場合、（ROに限って言うと）ウィルス除去しないままROにin、もしくはガンホーのサイト等でPASSとか入力しちゃったりすると
そのまま垢ハックされる。
　
　なので現状ウィルスを除去する方法として回答者がわから答えられる回答はひとつ「OSを再インストールせよ」しか提示できないわけ。
OS再インストールすればウィルスは必ず除去できる（が、今PCの中にあるデータは全部なくなる）。のでこれを薦めるわけ。

　OSクリーンインストール後にそのPCかPASS変更すれば、多分垢ハックの害は防げるとは思うけれど（確定ではない）
ので、テンプレをまずは分かる範囲だけでもいいので埋めて報告しなさい。

　最終的にはクリーンインストールを薦めることになる気はするけれど……

26 ：(^ー^*)ノ〜さん ：07/11/30 22:44 ID:3SqRK7Xx0

>>25
踏んだとされる時刻の時点では、カスペも未対応だった訳なので、ブロックできた可能性は消える。
入手完了前にIE落とすのが間に合っていた場合が、僅かな可能性として残っているのみ。

VirusTotalで確認しても、現時点では、eSafeとカスペ（あとはFortinetも次回パターン更新で対応）
でないと検出できない為、防衛できた可能性は考えなくていいかも。

・入手してしまったものをカスペで検出して除去して終わり（自己責任）
・ＯＳ再インストール（推奨）
・パターン更新済みのカスペで検出できない→危険が残っているのでOS入れなおし

27 ：(^ー^*)ノ〜さん ：07/11/30 22:44 ID:ZMpMLujR0

狩場情報ひっそりのジュピ１Fのページがなんかバグってるんですが、
これも垢ハックなどの改変によるものですか＞＜？

28 ：(^ー^*)ノ〜さん ：07/11/30 22:55 ID:301M6v7/0

>>23
もうほぼ終了した事だけど…
基本的なことですがブラウザのヘルプからバージョン情報を確認。
マイ コンピュータを右クリックでプロパティでシステムを確認。
(スタートメニューのファイル名を指定して実行、winverで詳細が判る)
検索サイトで調べる癖をつけておくといいです。

>PC関連疎いのでよくわからないですが
ならば尚の事、これを機会にアンチウイルスソフトだけでもインストールするべきかと。
PG2やhosts変更は勉強するつもりで説明をよく読んでやっておくと
今後何かあったときに慌てなくて済む筈です。

29 ：(^ー^*)ノ〜さん ：07/11/30 23:21 ID:3SqRK7Xx0

>>27
｜重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
｜対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

30 ：(^ー^*)ノ〜さん ：07/12/01 01:13 ID:KJb5vLMF0

>>23です(´・ω・｀)
いま>>24にあったのでカスペで再スキャンしてみたところ･･･
help.htm_ - Trojan-Downloader.VBS.Psyme.kq,
index.htm_ - Trojan-Downloader.HTML.IFrame.ba
の二つがみつかりました。
とりあえずOS入れ替えｶﾅとは思うのですが、
一応除去方法を教えていただけないでしょうか？
また、このままの状態でOSを入れ替えた場合ウィルスはきえているのでしょうか？

31 ：(^ー^*)ノ〜さん ：07/12/01 01:22 ID:5y+DhBse0

>30
カスペのオンラインでスキャンして見つかったのなら、カスペの体験版を
DLしてきて、インストールして再度検索すれば、駆除出来る。

他のトロイは居ないと思うが、誰も安全、と断言は出来ないので
HDDフォーマットの後、OS再インストールを勧める。

>また、このままの状態でOSを入れ替えた場合ウィルスはきえているのでしょうか？
HDDフォーマットしてからの入れ替えなら、消えてる。


それと
>【　アンチウイルスソフト 】 無し
これはどう考えてもマズい。
カスペなりを購入してインストールする事を勧める。

32 ：(^ー^*)ノ〜さん ：07/12/01 01:26 ID:UqSwecNH0

完全に安全にしたいのであればどうしてもHDDからのフォーマットになります。
新型ならば隠れているものの見逃しもあるかもしれないし、駆除でも安全かどうかは正直解りません。
過去にかかって駆除したけど、一年したら垢ハックされていたという報告もありますので。

33 ：(^ー^*)ノ〜さん ：07/12/01 06:00 ID:xswyR2By0

俺なんか心配性、もといビビリなので
PC購入したら真っ先にセキュリティ関連から知識を付けていったものだけどなあ。
ウィルス云々の怖さはPC触ってない頃でもTVやら新聞で見聞きしたし。

いい機会だと思って色々やってみるといいかもね。

34 ：(^ー^*)ノ〜さん ：07/12/01 07:44 ID:IXBi7SzP0

>>また、このままの状態でOSを入れ替えた場合ウィルスはきえているのでしょうか？
>HDDフォーマットしてからの入れ替えなら、消えてる。

OS上書きインストールの場合は、消える場合もあるし、残っている場合もある。
残っている場合でも、起動しても読み込まれない為に発動しない、ステルス化もされない為
とりあえずは安全な環境に戻る。（上書きされていない領域に残っているものを、自分で
発動させる危険はあるが）

ステルス化されていない場合、セキュリティソフト（が対応していれば）で確実に削除が行なえる。

>>【　アンチウイルスソフト 】 無し
>これはどう考えてもマズい。

同感。信頼性を考えると、カスペを買って導入することがお勧めだが、予算をすぐに出せない場合
>>2の最後に無料で使えるセキュリティソフトが３つ紹介されているのでそれを利用してもいいかと。

体験版入れて、パターン更新されなくなっても使い続けるのはダメ。パターン更新がないと
新種、新種でアタックかけているものを防げない状態になり、入れていないのと同然になる。

35 ：(^ー^*)ノ〜さん ：07/12/01 07:50 ID:4MSrh/QL0

処で、kingsoftのは昔の罠は消えているのか?
中国語フォントを入れておかないと、中国語フォントがないというエラーを出すダイアログが同じエラーを出して泥沼だったんだが。

36 ：(^ー^*)ノ〜さん ：07/12/01 08:00 ID:IXBi7SzP0

>>35
いつの話だ？

37 ：(^ー^*)ノ〜さん ：07/12/01 08:01 ID:IXBi7SzP0

>>35-36
あ、ごめん、素でスレ間違えた。移動しようか。

セキュリティ対策、質問・雑談スレ3
http://enif.mmobbs.com/test/read.cgi/livero/1186660300/

38 ：(^ー^*)ノ〜さん ：07/12/01 14:07 ID:DTK/M3vj0

>>23 (iframeで >>15 )の罠サイト、画像直リンできないITmediaに
imageタグ飛ばしまくって…どう表示されるか確認してないんだろうか。

39 ：(^ー^*)ノ〜さん ：07/12/02 23:31 ID:G/LAajpf0

福建人の罠ドメインを発見。
www■mylineagejp■net/tt■rar

罠ファイル名はリネだね、どうせroとかFF向けも置いてあるんだろうが。

40 ：(^ー^*)ノ〜さん ：07/12/03 00:02 ID:cEc66NXj0

>>39
>www■mylineagejp■net/tt■rar
Trojan-PSW.Win32.WOW.afn

NOD32,カスペ,マカフィー,AVG,Avast全て捕捉。
Symantecはスルー

41 ：(^ー^*)ノ〜さん ：07/12/03 01:44 ID:rLJT+v+v0

役立たずで正直スマンテック。

てか本当に役立たずだな。
3年ほどノートン愛用で今も2007使ってるけど、期限切れたらカスペにするんだぜ・・・

42 ：(^ー^*)ノ〜さん ：07/12/03 16:26 ID:7Bh6CauR0

初心者的な質問で申し訳ないが、上のような危険アドをhostsに手動で加えていく時
127.0.0.1 lg96☆3322△org/jp/
127.0.0.1 www☆mylineagejp△net/tt○rar
このようにURLのスラッシュを入れてもちゃんと有効になりますか？
どこできればいいかよくわからなく…
まとめサイトの一覧などを見ると/が入ってないので、/の前で切るべきなのかな

43 ：(^ー^*)ノ〜さん ：07/12/03 17:27 ID:cEc66NXj0

>>42
あくまでも、IPの生数字→hosts→DNSの順番で「名前解決」するものなので、後ろは付けないように。

127.0.0.1 lg96■3322■org
127.0.0.1 www■mylineagejp■net

あと、テンプレ位読んでくれ。
｜重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
｜対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ3
　http://enif.mmobbs.com/test/read.cgi/livero/1186660300/

44 ：(^ー^*)ノ〜さん ：07/12/04 09:40 ID:UOd+IEFW0

福建人がこのようなURL表記で爆撃をしている事を確認。
爆撃地点多数ヒット。
www■%6B%65%6C%65%38%38●%2E●com/av/　＝ kele88

いよいよ半角ドットと%2を禁止にしておくべき時が来たか。

ということであげ。

45 ：44 ：07/12/04 09:51 ID:UOd+IEFW0

%2e周辺の●はゴミ入れただけだからね。

46 ：(^ー^*)ノ〜さん ：07/12/04 19:43 ID:RrNN5dzQ0

％を禁止にすれば良いんじゃ

47 ：44 ：07/12/04 19:56 ID:UOd+IEFW0

>％を禁止にすれば
そう言われればそうかもしれないけど、
％をコメに記入したい人もいるかもと考えれば
％２の方が現実的かな、と。

48 ：(^ー^*)ノ〜さん ：07/12/04 23:32 ID:WPpSkdNN0

連中、今度はフリチケに進出した模様。
ttp://page■freett■com/xxends/wz/main■htm
-> ttp://page■freett■com/xxends/wz/Ms06014■htm
-> ttp://page■freett■com/xxends/wz/rp■html
-> ttp://page■freett■com/xxends/wz/zy■htm
-> ttp://page■freett■com/xxends/wz/Ms07004■js

49 ：(^ー^*)ノ〜さん ：07/12/04 23:51 ID:UOd+IEFW0

ちなみにこれも同じ類。
page■freett■com/ffxihackers/

いきなりスクリプトおいてやがる。

50 ：(^ー^*)ノ〜さん ：07/12/05 00:11 ID:SAMHpRiI0

もう2chなどにはかなり爆撃されてますね。
ご注意を。

51 ：(^ー^*)ノ〜さん ：07/12/05 00:16 ID:eyDG+blH0

【　　アドレス 　 】linege■1102213■com
　　　　　　　　　　www■yohoojp■com
【気付いた日時】昨日 23:20頃
【　 　　 OS　 　 】 WinXP SP2
【使用ブラウザ 】 IE6
【WindowsUpdateの有無】昨日
【　アンチウイルスソフト 】カスペ7.0 更新は本日中に２回位
【その他のSecurty対策 】
【 ウイルススキャン結果】現時点で未検出。検体提出の後、パターン更新後にスキャン予定。
【スレログやテンプレを読んだか】 Yes
【hosts変更】無し
【PeerGuardian2導入】有り/資料室の中韓台リストブロック
【説明】
余りにも怪しげなアドレスが、PG2のブロックリストに並んでいるのを発見。

アドレスの前後を削ってぐぐると、既知のアカハックに名前が載っている。
ttp://www■yohoojp■com/haha.exe

一時的に検体入手する為、PG2のHTTP許可を出して入手。VirusTotalにかけたが
AVGが検出する以外、カスペも含めて無反応。(そのためスキャンはパターン対応後を予定）

AVG 7.5.0.503 2007.12.04 Exploit

危険URLに置かれていたため、誤検知ではなく、他がすりぬけてると思われるので
検体提出に行ってきます。どこで踏んだかなぁ。

PG2の履歴を見る限りでは、結構前からブロックの形跡がある。やばいやばい。

52 ：(^ー^*)ノ〜さん ：07/12/05 00:23 ID:dRi93x1r0

>51
まさに福建人の日本人に対する意識が伺える罠ドメインの使い方。
”日本人は馬鹿だからすぐに忘れるぜ、1年位前のなんて覚えちゃいねーだろ”と福建人は思っている。

53 ：(^ー^*)ノ〜さん ：07/12/05 00:59 ID:oTrH/T8x0

>>44
Wikiや検索のURLにも%で始まるのが使われてるので
一概に禁止と言うのも難しいんですよね

あと、IE系では表示されて、Mozilla系だと表示されない傾向があるようです

54 ：(^ー^*)ノ〜さん ：07/12/05 01:27 ID:dRi93x1r0

>>53
コメント欄限定の話だから問題ないんじゃね？
普通コメント欄にそんなの書き込むやつがいるのかどうかって話だと思うし。

55 ：(^ー^*)ノ〜さん ：07/12/05 04:22 ID:qyCMMz/b0

ルータの仕様なのか何なのか判らないが、>>44 みたいな
エンコードされたドメインは名前解決できなかった。

56 ：(^ー^*)ノ〜さん ：07/12/05 13:45 ID:dRi93x1r0

福建人の罠ドメインを確認
www2■h3210■com
お約束の各種ディレクトリも確認
jp、av

/はどっかの無料サイトのページをパクリ、サイズ0のIFRAMEタグを発動し、kele88ウィルスを仕込む形。
/jp/の場合、ITMEDIAのサイトを見せてと罠発動と言う形。
/av/の方は日本のサイト（情報を見ると東芝系？）を見せて罠発動と言う形。

しかしavの方の日本サイトは空白、どういうことだろ。

57 ：(^ー^*)ノ〜さん ：07/12/05 15:17 ID:JS6t4KH10

>>48
page■freett■com/xxends/wz/hy.exe
スルー多数。上から3つ目のrp.htmlに注意。
スクリプトが動作環境を限定しており、2000・XP・2003、IE6・IE7、
RealPlayer6.0.14.536・6.0.14.543・6.0.14.544・6.0.14.550・6.0.14.552。
すなわちRealPlayer11Betaを狙い撃ちする。
Betaユーザは正式版(6.0.14.748)への更新を。
URLを削ってトップに行ったらエロサイトを偽装、
RealPlayerでエロ動画を再生(青少年有害)。

>>49
全ページ見たわけじゃないが、FFのツールが置いてあるだけじゃね?
freettはデフォで広告スクリプトてんこ盛りだが有害コードは見あたらなかった。
ツール置き場は www■mediamax■com/jameswhite333312/ (以下略)
接続できなかったので確かめてないが、仕込まれているとしたらツール側と思われる
(他所でrarファイル直リンでの爆撃も散見されたことから)。

>>51
期限切れたとかでレンサバ業者の広告になってね?

>>56
トップは前記のRealPlayer11Beta狙い撃ちスクリプト。
avとjpはいずれもiframeで
www■kele88■com/av/help.htm から
www■kele88■com/av/av.exe
avは東京新聞、jpはITmediaのパクリ。
av.exeはほぼ捕捉可能と思われる。

58 ：(^ー^*)ノ〜さん ：07/12/05 15:18 ID:oTrH/T8x0

>>44に追加情報があったので転載

> Wikipediaに次のようにあるので、Shift_JISを使った場合は
> 「.」にあたる文字を規制しても、Wikiの漢字URL関連には影響なさそうです
> > Shift_JISの2バイトコードの空間は、
> > 第1バイトが0x81-0x9Fならびに0xE0-0xFC、
> > 第2バイトが0x40-0x7Eならびに0x80-0xFCである。
>
> よって、0x2E (URLエンコード表記では0xを%に置き換える)は
> 漢字の部分には影響はなさそうです

普通に、「%2E」及び「%2e」を禁止ワードとすればよさそうです

59 ：57 ：07/12/05 15:42 ID:JS6t4KH10

>>56
トップ変更。iframeで
www■kele88■com/av/help.htm から
www■kele88■com/av/av.exe
つまりjpやavと同じ。
「無料サイト集kooss」(何これ?)のパクり。

60 ：(^ー^*)ノ〜さん ：07/12/05 17:10 ID:dRi93x1r0

>>57
FreeTTのffxihackers

Bugs,Exploits,Bots,Hacks,Cracks,Tools & Macros.....
YOUR BEST IS OUR WORST....

とてもまともなサイトには見えないんで一応通報済み。
福建人の本業といったところか。
どうせこのサービス使ったのはTT（リネ：サービス名を中華風に言えば無料リネ）が入ってたからだろうけど。

mediamaxの方は無料のストレージサービスな。
連絡先あったからこれから通報。

61 ：(^ー^*)ノ〜さん ：07/12/05 17:33 ID:dRi93x1r0

mediamaxの罠RARファイル、やばい。
現時点で検出してるのが
Avast、BitDefender、NOD32（ヒューリスティック）、Panda、Rising、Webwasherのみ。

62 ：(^ー^*)ノ〜さん ：07/12/05 18:08 ID:NUog8QzJ0

なんかあちこちに張られてるなぁ。
必死すぎｗ

63 ：(^ー^*)ノ〜さん ：07/12/05 18:20 ID:ueF2OJza0

笑えねーだろ

64 ：(^ー^*)ノ〜さん ：07/12/05 18:28 ID:kqR9Ymvx0

ついでにkele88は未実装スレにも爆撃してる

>ttp://www■yinra■com/inf/

セキュスレ>777から見てもらえば判るが、このドメインはkele88との事。
VirusTotalはほぼ全てスルーしたらしい。

65 ：(^ー^*)ノ〜さん ：07/12/05 18:32 ID:mLXgnLSI0

>>58
%2eを禁じても、
www■%6B%65%6C%65%38%38■com/av
とやられたらスルーされてしまうかと。じゃ%6B%65%6C%65%38%38ならどうか
とくれば
www■k%65%6C%65%38%38■com/av
と来れば回避できる。即ち、単純な方法じゃ無理という事です。
CGIのコードに手を入れるか、urlの投稿を禁じる等の運用で対処するかでしょう。

ちなみにエンコードされたドメイン名を含むアドレスはOperaでもアクセスできます。
この件はアプリ毎の実装の違いでしょうから仕様は余り関係ないか。

何はともあれご注意を。

66 ：(^ー^*)ノ〜さん ：07/12/05 18:42 ID:dRi93x1r0

>>65
個人レベルである程度防げりゃ良いんじゃね？
そこまで変なURLになればさすがに怪しむ方が多いと思う、
他人や知人の名前パクってウィルスリンク書いても胡散臭いリンクじゃ、ね。

殆どレンタルサービス借りてやってるだろうから
その辺の根本的対策ともなればそれこそサービス運営に要望を出さんといかん。

67 ：(^ー^*)ノ〜さん ：07/12/05 18:59 ID:eyDG+blH0

初心者スレに投下されていたもの。他にも多数のスレに投稿されている模様。
警鐘age

ttp://www■hao123■com
ttp://www■887766■com

怪しいアドレスを見掛けても踏まないように。

68 ：(^ー^*)ノ〜さん ：07/12/05 19:00 ID:mLXgnLSI0

>>66
一応現実的には問題は無いと思う。
一つの策で完全に防ぐ、というよりは複数の策で絡め取るほうが効果的でしょう。
カクテル療法って奴ですな。

ただ、%2e禁止策に関しては回避がすさまじく容易な物なのでその危険性を
把握すべき、ということです。意味無いとは言いませんが…。

ぶっちゃけ既出の、URL禁止化やコメントの管理者の検閲必須化のほうが有効でしょう。

69 ：(^ー^*)ノ〜さん ：07/12/05 19:04 ID:ueF2OJza0

もうあぷろだのURLと管理人がテンプレに書くときだけのURL以外は禁止したらいいんじゃないかなここ

70 ：(^ー^*)ノ〜さん ：07/12/05 19:05 ID:ueF2OJza0

書いて気付いたがセキュ向けだな、すまん

71 ：(^ー^*)ノ〜さん ：07/12/05 19:26 ID:9RQKcKP50

>>64の対処法を教えてもらえます？
再インストールはディスクを無くしてしまって、スキャンは出ないみたいなので・・
踏んじゃったのでなんとかしようとは思ったのですが、こういう事が初めてでして・・

72 ：(^ー^*)ノ〜さん ：07/12/05 19:28 ID:eyDG+blH0

>>71
パターン対応するまでPC起動しない。
対応されたら、パターン更新だけ接続して切断。
スキャンして除去。

ぶっちゃけ、ＯＳのインストールディスク発掘がんばれ。

73 ：(^ー^*)ノ〜さん ：07/12/05 19:33 ID:9RQKcKP50

>>72
了解です
切る前にもうひとつ質問なんですが、セットアップが出てきたので怪しいと思いキャンセルしたのですが、これでも感染はしているのでしょうか？
ブラウザはSleipnirです。

74 ：(^ー^*)ノ〜さん ：07/12/05 19:36 ID:vbusE51i0

パソコン内のイルカやらゲイツやぐーぐるに聞けばいいだろ。

75 ：(^ー^*)ノ〜さん ：07/12/05 20:11 ID:JS6t4KH10

>>73
実行していないなら問題なし。

76 ：(^ー^*)ノ〜さん ：07/12/05 20:14 ID:eyDG+blH0

>>73
キャンセルは正解。実行を阻止したなら感染していない「可能性が高い」。

感染した為に呼びだされたセットアップかもしれず、なんの保証もできない。
セキュスレによると、>>64のアドレスは、setup■exe を直接呼びだす構造なので
実行を阻止したなら感染していない「可能性」もある。

あとは自己責任で判断して欲しい。このスレで推奨するのはOS入れなおし。

77 ：(^ー^*)ノ〜さん ：07/12/05 20:54 ID:kqR9Ymvx0

>67
hao123も887766も共にcnだが、内容がなんとも。

hao123はBSWiki氏の危険ドメインに存在してるので、過去に危険だったのは間違いない。
887766はswfが多用されてて、もしかしたら脆弱性を付くタイプの代物があるのかもしれない。

ただリンクが多すぎてチェックしきれないし、IPも調べたがちょっと判断が付かない。

ただスレ爆撃の書き方からしても普通じゃないのとCNドメインだし、暫定的でも
危険アドレス扱いで良いかと。

78 ：(^ー^*)ノ〜さん ：07/12/05 20:59 ID:eyDG+blH0

>>77
乙。

わたしも887766を辿ってみてたんだが、もう、リンク多すぎで本体見つからず。どうしたものかと。

79 ：(^ー^*)ノ〜さん ：07/12/05 21:51 ID:eyDG+blH0

>>64
カスペから返答。本日多数のスレに貼られた>>64のアカハックトロイは、
パターンを更新すれば検知可能になっているとのことです。

setup■exed - Trojan.Win32.Inject.mu

This file is already detected. Please update your antivirus bases.

80 ：(^ー^*)ノ〜さん ：07/12/05 22:17 ID:eyDG+blH0

LiveROに貼られていたアカハックと思われるアドレス。多分、既出。

www■778899■jp

81 ：(^ー^*)ノ〜さん ：07/12/05 22:45 ID:dMNQ6WGG0

>80
未出と思われ。

で、ソース覗いてみたが、これまた良く分からない。
>www■778899■jp■:80
こんな感じでjpやcomの後に「.」を置く書式になってたり
whoisで見つからなかったりとか。

これは一体？

82 ：(^ー^*)ノ〜さん ：07/12/05 23:21 ID:JS6t4KH10

「サーバが見つかりませんでした」
comドメインはあるんだけど、こっちもIISの初期ページ。
何かミスったものと思われ。

83 ：(^ー^*)ノ〜さん ：07/12/06 10:03 ID:VJgmI9t80

最後の . はルートドメインだな。

84 ：(^ー^*)ノ〜さん ：07/12/06 22:21 ID:Tsw0g7h00

【　　アドレス 　 】http://www■qipilang■org/shabi/
【気付いた日時】 07/12/06　05:40頃
【　 　　 OS　 　 】 winXPSP2
【使用ブラウザ 】 IE6(Sleipnir)
【WindowsUpdateの有無】 自動更新
【　アンチウイルスソフト 】 Symantec Antivirus　定義ファイル自動更新
【その他のSecurty対策 】 ルータ Spybot S&D、Ad-Aware SE
【 ウイルススキャン結果】 未検出
【スレログやテンプレを読んだか】Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
開く途中か開かれても白かったのか不明だが表示が遅かったので気付いた。

大人しく再インストールですかね

85 ：(^ー^*)ノ〜さん ：07/12/06 22:35 ID:K5ThLcHQ0

＞大人しく再インストールですかね

うんっ(^-^)ｷｯﾊﾟﾘ

86 ：(^ー^*)ノ〜さん ：07/12/06 22:39 ID:tf0QLJTd0

FreeTTの罠サイト2つ消滅を確認。

87 ：(^ー^*)ノ〜さん ：07/12/06 22:49 ID:K5ThLcHQ0

>>84
ぶっちゃけ、こんな感じ。

カスペオンラインスキャンで入手してないかスキャンして自己責任で使い続けるって手もあるけど
（カスペは全部撃墜）正直お勧めしない。やっぱりOS入れなおしコースじゃないかな。

ttp://www■qipilang■org/shabi/index■htm
ttp://www■qipilang■org/shabi/wz■htm
ttp://www■qipilang■org/shabi/wu■htm
ttp://www■qipilang■org/shabi/dns■htm
ttp://www■qipilang■org/shabi/kiss■htm

ttp://www■xinluoqu■com/FFXI/ser■exe
ttp://www■xinluoqu■com/shagua/test■exe
ttp://www■xinluoqu■com/ied/as■exe
ttp://www■xinluoqu■com/shabi/svch■exe

全部、Symantecはスルー

ser■exe : Trojan-PSW.Win32.OnLineGames.fcj
test■exe : Trojan.Win32.Inject.ke
as■exe : Heur.Trojan.Generic
svch■exe : Trojan.Win32.Pakes.bqf

88 ：(^ー^*)ノ〜さん ：07/12/06 22:50 ID:K5ThLcHQ0

・・・「■exe」が禁止ワードっぽい。投稿しにくいったらないな。

89 ：(^ー^*)ノ〜さん ：07/12/07 00:32 ID:2Zm2pl6R0

でも■exeが使用可能だった場合を考えるとさらに被害甚大だっただろうからしかたあんめえ

90 ：(^ー^*)ノ〜さん ：07/12/07 00:34 ID:LxJp4SOU0

そもそも実行ファイルへのリンクなんて普通は不用だしな

91 ：(^ー^*)ノ〜さん ：07/12/07 07:54 ID:t9izoZp50

>>87
asがUPXなのでバラして見てみたらSecondLife用のトロイだった。
いろいろ詰め合わせなのね。

92 ：(^ー^*)ノ〜さん ：07/12/07 08:40 ID:O2fV/L3D0

kele88■com系は2chにも激しく爆撃をしてたようで、運営側で対策が取られたようです

No A057 トロイサイト 【kele88■com】 宣伝対策
http://qb5.2ch.net/test/read.cgi/sec2chd/1196775676/

IPとかが参考になるかな。・・・・やぱりODN。

93 ：(^ー^*)ノ〜さん ：07/12/07 14:49 ID:t9izoZp50

アカハックと並行してWebサーバを書き換えると思われるものもある
(プログラム中にiframeベタ書き)けど、>>92 のリモホが結構ばらばらなので
投稿するルーチン持ってる奴もあるのかもねぇ。

94 ：(^ー^*)ノ〜さん ：07/12/07 15:02 ID:mz5ezUdn0

>>92
上２つはこのスレでも既出っすね。
ttp://www■kele88■com/av/
ttp://www■%6B%65%6C%65%38%38●%2E●com/av/　　（●%2E●=%2E＝.)

>>92のスレでkele88への誘導とされているアドレス。
多分、こっちの幾つかは未出かな。見覚えあるのも混ざってるけど。

ttp://av■blog5566■com/images/
ttp://www■jp2008■co■cc/
ttp://lg96■3322■org/jp/
ttp://www■yahgoo■co■cc
ttp://kooss■2288■org

95 ：(^ー^*)ノ〜さん ：07/12/07 15:24 ID:t9izoZp50

FF関連BBSに投下されたkele88で
blog2008■9966■org/images/
ってのもあった。

96 ：(^ー^*)ノ〜さん ：07/12/07 17:50 ID:UcUtzSsTO

リンククリックしないでいれば大丈夫なのか？ 行きなりハックされたりはないの？

97 ：(^ー^*)ノ〜さん ：07/12/07 18:00 ID:O2fV/L3D0

>>95
kele88系が投入しているサブドメイン付きの物はどうも中国の無料サービスを利用しているみたいだね。
レンタルサーバかなにかかな。提供元は捜索中。

>>96
その辺の軽めな話題は姉妹スレへどうぞ。多分大丈夫。

98 ：(^ー^*)ノ〜さん ：07/12/07 19:27 ID:nXF5E7CF0

co■ccはそれっぽい名前にしてくれるっていう無料サービスだね。
例：12345■com -> abcde■co■cc
blog5566は初見、福建人はホント同じ数字2つ並べるのが好きだな。

99 ：(^ー^*)ノ〜さん ：07/12/07 20:00 ID:t9izoZp50

dj5566とか思い出すなｗ

100 ：(^ー^*)ノ〜さん ：07/12/07 21:55 ID:p5fxn2nvO

課金が切れてる場合に踏んだらどうなるの？
次インするまでは大丈夫なのかな？

101 ：(^ー^*)ノ〜さん ：07/12/07 22:35 ID:3by9wGlQ0

>100

>1
>対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。
>【一般的話題用】
>セキュリティ対策、質問・雑談スレ3
>　http://enif.mmobbs.com/test/read.cgi/livero/1186660300/

セキュスレの方で回答しておいた。

102 ：(^ー^*)ノ〜さん ：07/12/07 22:36 ID:EVLGfuRF0

>>100
ダイジョウＶ

103 ：(^ー^*)ノ〜さん ：07/12/07 22:49 ID:p5fxn2nvO

板違いだったか。ごめん＆ありがとう

104 ：にゅぼーん ：にゅぼーん

にゅぼーん

105 ：(^ー^*)ノ〜さん ：07/12/08 01:21 ID:+e6KErEW0

>104
まず最初に、急いで削除依頼してきなさい。

その結果のアドレス、ハクアドレスでブラウザからも飛べてしまう。

106 ：(^ー^*)ノ〜さん ：07/12/08 01:22 ID:3g42axh60

中華の新たな手口か

107 ：104 ：07/12/08 01:26 ID:5MAP1ayh0

さーせん。完全に見落としでした。マッハで削除依頼だしてきます orz

108 ：104 ：07/12/08 01:31 ID:5MAP1ayh0

と思ったら、どなたかが出してくれてました。
ご迷惑をおかけしました。ありがとうございます。
削除される前提で、もう一回書き込ませていただきます。

【　　アドレス 　 】tinyurl■com/yty3le
【気付いた日時】数時間前
【　 　　 OS　 　 】Win XP Pro SP2
【使用ブラウザ 】 FireFox 2.0.0.11
【WindowsUpdateの有無】でるたびに即時更新してます。確認しましたが最新でした。
【　アンチウイルスソフト 】NOD32/カスペルスキー試用版　どちらもバージョンは最新
【その他のSecurty対策 】Spybot S&D
【 ウイルススキャン結果】 NOD32製品版とカスペルスキー試用版にてスキャン。詳細は説明へ
【スレログやテンプレを読んだか】このスレと前スレは目を通しました。
【hosts変更】無
【PeerGuardian2導入】無
【説明】
ROとは無関係なゲームのwikiにて誤クリックで飛びました。飛び先は青だけの画面。
パスワード関連は別PCから変更完了しています。

短縮URLのソースチェッカーオンラインでの結果 : www■caremoon■net/blog/index■htm

前スレ990及び993とほぼ同じサイトのようです。
そちらのレスではNOD32/カスペルスキー共に撃墜したとの話だったのですが、
同名のトロイはどちらにも検知されませんでした。

スキャンはNOD→反応なし、カスペ→Trojan.Win32.Delf.ajiを検知→削除完了。
が、前スレで挙がっている名前とは違うので、別の物を見逃してたのかな…と思っています。

出来ればクリーンインストールは避けたいのですが、
「まだこれが残ってる」という対策があればご教授お願いします。
遅まきながらHosts変更とPG2は導入しました。
セキュスレ行きでしたら、その旨の指示もお願いします。

109 ：(^ー^*)ノ〜さん ：07/12/08 02:30 ID:+e6KErEW0

>108
アドレス自体は既出のもので、iframeでサイズ0のindex1■htmを呼び出してる。
中身は昔見た覚えのある、懐かしすぎるタイプ。
デコードしてみたところ、カスペで　Trojan-Downloader.VBS.Psyme.ds　として検出。

www■caremoon■net/blog/index■htm
->www■caremoon■net/blog/index1■htm　（Trojan-Downloader.VBS.Psyme.ds）
--->www■caremoon■net/blog/send■exe　(Trojan-PSW.Win32.Delf.aih)
--->www■caremoon■net/blog/f2■exe　（Trojan-PSW.Win32.OnLineGames.fcj）
--->www■caremoon■net/blog/reak■exe （Trojan-PSW.Win32.Magania.bph）

カスペは全部検出してるが、>104の検出結果と微妙に違ってるのが気になるところ。
既に差し替えられたのかな？

完全に駆除されて安全ですとは誰も言えないので、確実を期すなら再インストール。

再インストールしないなら、自分が安全だと自信を持てるまではそのPCは使わないこと。
打てる対策といっても、数日の間は定期的にカスペ等でフルチェックを掛けまくるぐらいしかない。

110 ：104 ：07/12/08 03:05 ID:5MAP1ayh0

>>109
丁寧な返信ありがとうございます。
情報漏れがありましたので追記しておきます。

踏んだ時点ではウイルスソフトはNOD32を使用しており、何の反応も示しませんでした。
その時点でおかしいと思って検索をした結果、垢ハックアドレスの事実を知り、
その後にカスペのインストール及びスキャンを行ったため、カスペでのスキャンは感染後（？）になってます。

双方で全く検知されないって事は「即閉じ or 何らかの理由で逃げ切れた」って可能性もありそうですが、
潜伏されてる可能性の方が高そうなので、この週末に潔くクリーンインストールしようと思います。

Trojan-PSW.Win32.OnLineGames.fcjはNOD32での撃墜事例があるようですので、
何故今回に限って検知できなかったかは疑問が残りますが、素人が余計な事すると自爆しそうなので忘れる事にします。

104のミスは申し訳ありませんでした。迅速な削除に感謝します。

カスペに乗り換えよっかな…(´･ω･`)

111 ：(^ー^*)ノ〜さん ：07/12/08 09:08 ID:9OxcJ5/B0

福建人の罠ブログを見つけた。
secondlife001■blogspot■com
自分で改竄したcaremoon入りWikiの編集画面から記事丸パクリ。

プロフィールには福建人お気に入りに女性名。（liu200711xxシリーズのプロフィールで多用）
caremoonのリンクがある。

Blogspotなんで違反ブログ申告とかはないみたい。
規約では”記事には嘘の情報や危険な情報があるかもしれない、それにアクセスするのは自己責任”としか書かれていない。
知人友人に利用者がいなければBlogspotをフィルタリングするべきかね。
そういう場所にヤフーのliu200711xxシリーズのようなマルチアカウントやられるとまずいしね。

112 ：111 ：07/12/08 09:23 ID:9OxcJ5/B0

連絡先は捜したらあったが英文のみらしい。
help.blogger.com/?page=contact&hl=en

しかもGoogleアカウントが必要。
先に日本語で書いておいたのをエキサイト翻訳して送った。

113 ：(^ー^*)ノ〜さん ：07/12/08 12:31 ID:9OxcJ5/B0

コレも福建人の罠、と。
blog2008■9966■org

/imagesディレクトリには
kele88へのステルスIFRAMEが仕込んである。

ちなみにimagesディレクトリの中身はこの掲示板のソース丸パクリの上で仕込んだもののようだ。
one-make.jp/bbs/

おそらく育成とBBSで福建人キーワードに引っかかったんだと思われ。

114 ：(^ー^*)ノ〜さん ：07/12/08 15:23 ID:+e6KErEW0

>110
NOD32で調べた結果

send■exe　(Win32/PSW.OnLineGames.FCJ　トロイの亜種)
f2■exe　（Win32/PSW.OnLineGames.FCJ）
reak■exe →　素通り

reak■exeはESETに送付済。

多分新種で検出出来なかったんでしょう。
NOD32からカスペに切り替えるのは自由だけど、過去ログ読めば判るように
カスペをスルーするように作ってるものも多い。
カスペだから安全とか、変に過信すると痛い目に遭うので注意。

115 ：(^ー^*)ノ〜さん ：07/12/08 19:28 ID:kizk7CTV0

NOD32だから安全とか、変に過信すると痛い目に遭うので注意。

116 ：104 ：07/12/08 23:49 ID:5MAP1ayh0

>>114
NOD32での検証ありがとうございます。そして、提出お疲れ様です。

そうですね。何事も妄信は危険ですね。
そのへんを肝に銘じて、今後はそれ以外の対策に気を使っていきたいと思います。
PG2とかHosts変更とか…注意力とか。

以後名無しに戻ります。ありがとうございました。

117 ：(^ー^*)ノ〜さん ：07/12/09 02:17 ID:4qnUIw+i0

【　　アドレス 　 】http://www■qipilang■org/shabi/
【気付いた日時】 07/12/09　01:00頃
【　 　　 OS　 　 】 winXPSP2
【使用ブラウザ 】 IE6(Sleipnir)
【WindowsUpdateの有無】 自動更新
【　アンチウイルスソフト 】 ウイルスバスター2007（アップデート日時12/08）
【その他のSecurty対策 】 ルータ
【 ウイルススキャン結果】 検出後、隔離済み
【スレログやテンプレを読んだか】Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
開こうとしたらウイルスバスターが警告出してくれたので気づいた。
TemporaryInternetFilesに入ってたのでTemporaryInternetFilesの下にあったファイルとフォルダを全消去。
消した後に再度ウイルススキャンをかけたら発見されなかった
大丈夫・・・と見ていいんでしょうか？

118 ：(^ー^*)ノ〜さん ：07/12/09 06:25 ID:a3+rbOD80

ブロックできた可能性が高いとは思うが保証はできない。

・ブロック出来たと信じ、予防のためにPG2で送信をブロックしつつそのまま使用
　（他のエンジンでオンラインスキャンをかけて全検査すれば尚よし）
・安心できないのでOS入れなおして、確実に安全な環境に戻す

好きな方を選べ。

119 ：(^ー^*)ノ〜さん ：07/12/09 08:54 ID:4oHBOaED0

>>117
>>87

120 ：(^ー^*)ノ〜さん ：07/12/10 20:37 ID:c72v0p4Q0

【　 　 　 気付いた日時　 　 　 　 　 】１２/１０　１８時前
【不審なアドレスのクリックの有無　】Wikiで踏みました
【　　アドレス 　 】 http://www■qipilang■org/shabi/
【　 　　 OS　 　 】 XPのSP２
【使用ブラウザ 】 FireFox　２．０．０．１．１
【WindowsUpdateの有無】 自動でしています
【　アンチウイルスソフト 】 ウイルスバスター２００７
【その他のSecurty対策 】 していません
【ウイルススキャン結果】 カスペルスキーオンラインスキャンでは発見されませんでした
【テンプレの参考サイトを読んだか】 ざっと読みました
【hosts変更】わかりません
【PeerGuardian2導入】無し
【説明】
セキュリティ対策、質問雑談スレの877です。
こちらのスレは見ていませんでした…。申し訳ありません。
カスペで除去してから再インストールしようとしたのですが、ウイルス自体が
発見できません。Spybotを導入してみて検索しても発見できません。
FireFoxに、NoScriptというアドオンを入れているのですが
ブロックできたと考えていいのでしょうか。もし隠れてしまっている場合
どうやって探せばいいのでしょうか。
初歩的な質問ですみません。

121 ：(^ー^*)ノ〜さん ：07/12/10 21:10 ID:EcrYiZ5U0

>>120
>>117-119

122 ：(^ー^*)ノ〜さん ：07/12/10 21:34 ID:c72v0p4Q0

今再インストールしています（書き込みは別PCから）。隠れている物は
どうやっても発見できないということですね。また感染してしまったら、ウイルスソフトは
もう意味がなくなり、再インストール以外は、どうしようもないのですね…。
今回のことはとても勉強になりました。ありがとうございました。

123 ：(^ー^*)ノ〜さん ：07/12/10 23:12 ID:5t7/Gfmu0

>>122
一般的な内容になってしまうので、セキュスレに移動しようか悩んだけど、簡単にコメント。

>隠れている物はどうやっても発見できないということですね。
セキュリティソフトを無効にする等の方法で発見できなくする（ステルス化）場合もあります。
どうやっても発見できないということはなく、感染していないシステムに、感染したHDDを繋いで
ステルス化されていない状態でスキャンするとか方法がない訳ではありません。

>また感染してしまったら、ウイルスソフトはもう意味がなくなり、
感染した場合でも、セキュリティソフトで除去したり（もちろんパターンに対応済みの場合）
別途専用のワクチンソフトを用意して除去する方法もあります。
（アカハックトロイの場合の専用ワクチン[除去]ソフトはありません）

>再インストール以外は、どうしようもないのですね…。
状況判断ができない人の取れる対応策はそういうことになります。

今回のケースも、「入手前に切断した」のでセキュリティソフトが反応していない可能性も
ありますが、自分で判断しなければなりません。他の人は実際にアカハックトロイが
存在しないことや、発動していない事を保証できません。

自分で判断できる場合は、>>118のような選択肢になりますが、「ここで質問する＝自分で判断できない」
ケースですので、再インストールするのが安心だねとしか言えません。

124 ：(^ー^*)ノ〜さん ：07/12/12 07:46 ID:LN5DvGf90

第2水曜WU日age

125 ：(^ー^*)ノ〜さん ：07/12/13 07:52 ID:0BvQHsJH0

ROセキュリティWikiの改竄リンクより
www■soracger■com/blog/
www■soracger■com/blog/index1.htm
から
www■caremoon■net/blog/send■exe
www■caremoon■net/blog/f2■exe
www■caremoon■net/blog/reak■exe

126 ：(^ー^*)ノ〜さん ：07/12/13 16:51 ID:0BvQHsJH0

リネージュ資料室より
www■boadongo■org/vbshokmm/
iframeで(略)で
www■boadongo■org/vbshokmm/fff■exe FFXI用
www■boadongo■org/vbshokmm/ttt■exe Lineage用

127 ：(^ー^*)ノ〜さん ：07/12/13 18:53 ID:SOReIsTt0

>>126
iframeで(略)で
ttp://www■boadongo■org/vbshokmm/ttani■c
ttp://www■boadongo■org/vbshokmm/ffani■c

カーソルとして読み込みってのも。これはWindowsUpdateで防げるとは思うけど。

128 ：まとめ臨時 ◆kJfhJwdLoM ：07/12/14 04:36 ID:uHkoT9b30

>>126
情報提供ありがとうございます。
今までやってなかったのもアレでしたが、
他MMOの罠は大抵共通するドメインだったりするので
今後、並列してリネージュ研究室で加えられているリストも
随時チェックすることにしました。

事後報告になりますが、
こまめに臨時サイトで更新しています。
http://sky.geocities.jp/ro_hp_add/

やっとグーグルで引っかかるようになったので安心。
こういう紹介文っぽい跡にURLを張ると罠っぽくていけない…。

129 ：(^ー^*)ノ〜さん ：07/12/14 10:43 ID:JvItf7NH0

うちのWiki(非RO)にも今朝改ざんがあったので報告。
MenuBarのリンク先が変更されてました。
　→ www■plusd-itmedia■com/web/
中にはサイズ0のiframeで www■caremoon■net/blog/index1.htm
こちらにはJSとVBSのみ。VBSは面倒だったんで解読してないけど、構成や手法から>>125と同じではないかと思われます。

plusd-itmedia ってのは初出かな?

130 ：(^ー^*)ノ〜さん ：07/12/14 11:27 ID:amFPWy4B0

>>129
VBデコードしてみたけど>>125から変化なす。

plusd-itmediaには見覚えあったんだが、気のせいだったようだ。前スレまで遡ったが出てないようだ。

131 ：(^ー^*)ノ〜さん ：07/12/14 11:36 ID:smAE9lNe0

>130
気のせいじゃないよ。

自分も見覚えあったからちょっと調べてみたら、リネ資料室さんところの
履歴に 2007/04/15 付けで plusd-itmedia が追加されてた。

その時に11件追加されてるが、その中にhomepage-niftyがあったので
昔のものが復活したっぽい。

132 ：まとめ臨時 ◆kJfhJwdLoM ：07/12/14 22:12 ID:wiVMGBYV0

Heimdal板で書き込まれていた罠。
お約束でインラインフレームが仕込まれています。

ttp://xi24pps■blog23■fc2.com(初見)
｜-ttp://www■nlftweb■com(既出罠)

検体確保のほうはよろしくお願いします。

133 ：(^ー^*)ノ〜さん ：07/12/14 23:40 ID:amFPWy4B0

>>132
検体捕獲はしましたが、検出結果はまだ調査してないです。

ttp://xi24pps■blog23■fc2■com/
ttp://www■nlftweb■com/link179700/
ttp://www■rmtfane■com/link179700/ttmain■htm
ttp://www■rmtfane■com/link179700/main■htm
ttp://www■rmtfane■com/link179700/ttani■htm
ttp://www■rmtfane■com/link179700/ttani■c
ttp://www■rmtfane■com/link179700/Ms06014■htm
ttp://www■rmtfane■com/link179700/ani■c
ttp://www■rmtfane■com/link179700/jpmm■exe
ttp://www■rmtfane■com/link179700/ff■exe

134 ：(^ー^*)ノ〜さん ：07/12/14 23:44 ID:AvTW6i0p0

これは垢ハック?

ttp://search■cnn■com/search?query=site%3Amultisquid■com%20-1999-buick-regal-gs-superchargerrs

135 ：(^ー^*)ノ〜さん ：07/12/14 23:46 ID:AvTW6i0p0

すまん・・テンプレ付きではるの忘れてた

136 ：(^ー^*)ノ〜さん ：07/12/15 00:09 ID:kvoWVNhR0

※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※

137 ：(^ー^*)ノ〜さん ：07/12/15 00:27 ID:bAznum17O

今ローグテンプレみようとしたら真っ白でなにか文字がでてました。
これはアカハックなのでしょうか？

138 ：137 ：07/12/15 00:47 ID:bAznum17O

真っ白い画面にKurokogeって出ます

139 ：(^ー^*)ノ〜さん ：07/12/15 01:10 ID:IXzTQI2c0

ローグスレのテンプレに

□テンプレが見られない場合
　ビフレストシステムの通過認証が必要です。
　認証ページに従ってプロバイダの使用IP帯を送信してください。
　※面倒かもしれませんが垢ハック対策でもあります。ご理解・ご協力をお願いします。


と書いてある

140 ：(^ー^*)ノ〜さん ：07/12/15 02:34 ID:3ACfYbCd0

【　　アドレス 　 】www■ie6xp■com/playonline/
【気付いた日時】 12/15　01：00頃
【　 　　 OS　 　 】Windows2000
【使用ブラウザ 】IE6
【WindowsUpdateの有無】 3日前ぐらい？
【　アンチウイルスソフト 】 AVG（多分…
【 ウイルススキャン結果】 オンラインチェックでVBS_PSYME.BBEとでました
【スレログやテンプレを読んだか】 今読んでます。
【説明】
Wikiを探してる最中に踏んだら画面が真っ白。
ん？と思いソースチェッカーというものをやったら危険URLと出たので
慌ててオンラインチェックをし、ウイルスが1つ検出され削除しました。
こういう事は始めてなのでこれでいいのか不安です　よろしくお願いします。

141 ：(^ー^*)ノ〜さん ：07/12/15 03:50 ID:FiCRfeqq0

>>140
とりあえず感染したパソコンで絶対にパスやID入力の必要なことをしない
んで「感染していないパソコン」からパス変更
そしたらアンチウィルスソフトで駆除してそのまま使うか
バックアップとってHDDフォーマット後OS再インストールか
前者はウィルスが隠れてたらアウト
後者のほうはバックアップをスキャンするのを忘れずに
AVGで検出できるかわからんけどオンラインスキャンで検出できたならそこの体験版でも落せばいいかもね
後PG2みたいなファイヤーフォールソフト入れて中国にアクセスできなくしておくとより安全

142 ：(^ー^*)ノ〜さん ：07/12/15 06:42 ID:kvoWVNhR0

>>140
VBS_PSYMEというキーワードで検索すると、トロイ等をダウンロードするスクリプトの入った
HTMLページであることがわかります。

検知されたのは、多分、IEのキャッシュでしょう。
実行した結果の本体がどこかに隠れている危険な環境なのか、
本体をダウンロードするまえに切断して安全な環境なのか
判断する事ができません。

推奨する解決策：OSの入れなおしかリカバリにより確実に安全な環境にする
非推奨な自己責任：複数の方法でスキャンを行ない、安全である可能性を探り
　安全かもしれないとおもったら、自己責任で使い続ける。
　勿論、PG2などの、見落としていた場合の防御策も適切に設定する。
　見落としの結果、被害を被っても泣かない。

143 ：(^ー^*)ノ〜さん ：07/12/15 06:49 ID:kvoWVNhR0

>>133
整理してる途中に寝ちゃってたよ。検体提出でもしてきますかね。

(この４つはカスペスルー）
index■htm : HTML/Infected.WebPage.Gen
index■htm : NotDetected
ttmain■htm : JS/Downloader.Agent
main■htm : JS/Downloader.Agent

（以下はカスペ検出）
ttani■htm : Trojan-Downloader.JS.Psyme.kf
Ms06014■htm : Trojan-Downloader.JS.Psyme.kf
ff■exe : Trojan-PSW.Win32.OnLineGames.fcj
jpmm■exe : Trojan-PSW.Win32.Delf.ads
ani■c : Exploit.Win32.IMG-ANI.ac
ttani■c : Exploit.Win32.IMG-ANI.ac

（本体の検出結果）
ff■exe : カスペ○、NOD32○、マカフィー○、AVG○、Avast○、ノートン×
jpmm■exe : カスペ○、NOD32○、マカフィー○、AVG○、Avast○、ノートン○

144 ：(^ー^*)ノ〜さん ：07/12/15 07:27 ID:kvoWVNhR0

>>140
そのアドレスから読み込まれるのは
ttp://www■caremoon■net/blog/index1■htm

>>109-116辺りの情報（カスペでは全部検出できる筈とか）を参考に、スキャンしてみて下さい。
それでも検出されない場合の対応は、>141-142でよろしく。

145 ：140 ：07/12/15 14:43 ID:/3xrKsy00

>>141
幸いPCがもう一台ある環境だったので
パスワードは全て変更してきました。
初期化？する事が出来ないので、前者の方法になってしまいますが
体験版を落としてもう一度念入りにチェックしてみます。

>>142
PG2というものがよくわからないので
これからぐぐって出来る事なら設定してみようと思います。
初期化が出来ないため、万が一のを覚悟しておきます。

>>144
カスペとは別の所でやったのでカスペでもう一度やってみます。

どうしたらいいのか分からず心細かったので
適切なレスを頂けてホッとしました。
アドバイスを参考に色々やってみようと思います！
ありがとうございました。

146 ：(^ー^*)ノ〜さん ：07/12/15 15:17 ID:MM5VaBbS0

>>145
PG2でぐぐれば最初に日本語のマニュアルが出るからそこ見ればいいよ
マニュアル見ながらインストールしたら「中国　ブロックリスト」辺りでぐぐって
出てきた中国韓国台湾のIPリストをブロックリストに追加してやるだけ
ただこれをすると有名どころだとwikipediaが見れなくなったりする(鯖が韓国にある)から
見たい時はそのページだけ許可してやればいい
このへんの話はliveROのセキュスレの方がいいかな？

147 ：(^ー^*)ノ〜さん ：07/12/16 09:54 ID:CjWjbqI00

最近作られた福建人の罠ドメイン、ドメイン名ネタ切れ気味だな。

こんな記事と共に
イミュージョンイベントでイリュージョンアックスを100個OEしてみました。+10,に挑戦！,"
...lineage リネージュ vega oe=>www■iibkoto-siyouyo■com/boolean/20071213■rar"
【2007/12/13 11:46】 URL | まりぶぅ #HmsGVGSQ

iikoto-siyouyoと言う出会い系サイトがある、それをパクったね。
ぐぐると現在判明してる爆撃場所は明らかにゲーム系じゃない場所の方が多いように感じる。
とにかく書き込める場所に爆撃、その中の何人かでもゲームやれば・・と福建人は思ってるな。

この罠自体はVIRUSTOTAL見てもリネ狙いかな。
もちろん他のもあるんだろうが。

Domain name: iibkoto-siyouyo■com
Registrant Contact:
cai zi bing
zi bing cai caddd@126.com
13850687200 fax: 13850687200
Fujian longyan
longyan Fujian 364000
cn
Created: 2007-12-11

148 ：(^ー^*)ノ〜さん ：07/12/16 11:34 ID:6z4n4+V80

rarを解凍→wmv.scrをexeに→rarの自己解凍なのでさらに解凍→013■exe
今時Packerも使っていない古風なLineageトロイ。
lineagecojp■comのメールASPに送信する部分が見えるので悪口送っといた。

149 ：(^ー^*)ノ〜さん ：07/12/16 18:23 ID:3mz2sgJD0

【　　アドレス 　 】www■articlelin■com/wiki/
【気付いた日時】 今日15時ごろ
【　 　　 OS　 　 】 WinXPPro SP2
【使用ブラウザ 】 IE6
【WindowsUpdateの有無】最近のもの
【　アンチウイルスソフト 】 NIS2007　更新は随分止まってます
【その他のSecurty対策 】 ルーター
【 ウイルススキャン結果】 カスペルスキーオンラインスキャンでTrojan-Downloader.VBS.Agent.hi を検出
　　　　　　　　　　　　　一時フォルダにあったので一時フォルダを全削除　
【スレログやテンプレを読んだか】 読みながら書いてます
【hosts変更】無
【PeerGuardian2導入】無
【説明】
画面が真っ白で止まり、おかしいとおもったのでURLをぐぐってみたところ
ブログなどで罠コメントの様なものにURLが貼り付けられていたためウィルスと判断

なるべくクリーンインストールを避けたいのですが、
一時フォルダの全削除で削除されているのでしょうか？
体験版を落とし再度スキャンしなおすべきでしょうか？

150 ：(^ー^*)ノ〜さん ：07/12/16 18:49 ID:6kBceYkg0

>>149
踏んでから、ログイン等をしていないことを前提に回答すると、さっさとOS入れなおしてこい。
一度でも入ってしまったのであれば、OS入れなおしの前に「安全な環境からパスワード変更」が必須。

＞一時フォルダの全削除で削除されているのでしょうか？
無理。

＞体験版を落とし再度スキャンしなおすべきでしょうか？
当然するべき。でも、それより前にOS入れなおしに進んだ方が時間の無駄にならない。

＞NIS2007　更新は随分止まってます
＞なるべくクリーンインストールを避けたいのですが、
大馬鹿者っ。更新しないならセキュリティソフトの意味が無い。>>2を見て何か入れとけ。
そんなザルなセキュリティの場合は、他に何が潜んでいるかわかったもんじゃない。
必要なデータのバックアップを取って、早急に安全な環境の構築（OS入れなおしかリカバリ）を
進めるんだ。

セキュリティが甘いというのは、しらずに中継に使われるなど、加害者にもなりうる行為だ。
今後は慎んで欲しいと切に願う。

151 ：(^ー^*)ノ〜さん ：07/12/16 19:31 ID:CZloHfkE0

ついでに更新止まってるのならNISから他に乗り換えるべし
当方も2007だがハックに関しては最新でも検出率最悪だからな

152 ：147 ：07/12/16 20:30 ID:l7Ge4ocB0

福建人どもはなんか別の同日登録罠ドメイン使って
これまた一般サイトに爆撃かましてるようだ。
147と罠ファイル自体は同じ。
これは燻り出し作戦と見た、とにかく爆撃しまくってその中から対象ゲームをプレイするのが出てくるのに期待をしている、と。
今後はこのような燻り出し作戦が増えてきそうな予感がする。

www■peacchmax■com
これは日本の風俗情報サイトpeachmaxのパクリ。

Domain name: peacchmax■com
Registrant Contact:
cai zi bing
zi bing cai caddd@126.com
13850687200 fax: 13850687200
Fujian longyan
longyan Fujian 364000
cn
Created: 2007-12-11

153 ：(^ー^*)ノ〜さん ：07/12/16 22:51 ID:y90jnWNb0

出会い系とか風俗とか爆撃する対象を間違ってるな。

オンラインゲームやってる引き篭もり気味なリアル廃人はそんなとこ縁ねえよ。俺とか。

154 ：(^ー^*)ノ〜さん ：07/12/16 23:38 ID:6kBceYkg0

>>152
ttp://www■peacchmax■com/string/20071213■rar
検体入手に困るので、ちゃんとファイル名まで載せてもらえるとありがたい。
ファイル名こそ同じで構造も同じであったが、中身は別物でしたよ。

>147
Trojan-PSW.Win32.Delf.ads
>152
Trojan-PSW.Win32.OnLineGames.fcj

>>153
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

155 ：(^ー^*)ノ〜さん ：07/12/16 23:44 ID:6kBceYkg0

一応書いとくと、こんな構造でした。

->20071213■rar
-->20071213■wmv■scr
--->013■exe
--->mov0023■wmv
---->mms://202■210■163■74/bekk/navi■wmv(多分、無害）

156 ：(^ー^*)ノ〜さん ：07/12/17 08:16 ID:9fYx02dq0

んだね。前のは無圧縮で約60kBだったけど、今回のはUpackで70kB
(以前Maranと分類されていた物だと思う)。

157 ：(^ー^*)ノ〜さん ：07/12/17 08:18 ID:WgaUFOBK0

>検体入手に困るので、ちゃんとファイル名まで載せてもらえるとありがたい。
悪いが俺もそこまで暇じゃない、作業の合間の片手間に書いたりやったりしてるだけだ。
そういわれるのは正直心外、つまりその引用部分は余計だ。

>出会い系とか風俗とか爆撃する対象を間違ってるな。
スレ地だが間違っちゃいないと思うぜ。
焙り出すだけなら爆撃対象なんて全く関係ない。
そっちはよく見るがネトゲ系のHPとかブログや掲示板は殆ど見ない奴がいないとも限らん。

158 ：(^ー^*)ノ〜さん ：07/12/17 12:58 ID:Pet+2+lI0

雑談スレ行け

159 ：(^ー^*)ノ〜さん ：07/12/17 14:23 ID:9fYx02dq0

>>157
逆ギレすんなよ。ファイル名まで書けよ、スクリプト解読できねーなら
素直にそう言えよ、と言われてるわけじゃないだろ?

この際だから言及しておくが、余計なのは
「福建人どもは〜と思ってる」と「君が思ってる」事を書くことだ。

160 ：(^ー^*)ノ〜さん ：07/12/17 16:01 ID:QGptBZA60

コメントつけて貰ったわたしは既に移動してるんだが。
お互いコメントすることはこれ以上必要ない状態で続けられても困る。

セキュリティ対策、質問・雑談スレ3
http://enif.mmobbs.com/test/read.cgi/livero/1186660300/958

>>158-160
さ、セキュスレに帰るぞ。お邪魔いたしました。<(_ _)>

161 ：(^ー^*)ノ〜さん ：07/12/18 17:05 ID:RNWO8zHQ0

www■infosueek■com
Created: 2007-12-14
インフォスィーク。今はとりあえず iframe(略)で
www■blogplaync■com/chengzhi■exe
Last-Modified: Wed, 31 Oct 2007

162 ：137 ：07/12/18 17:17 ID:8L+ZRtbI0

>>139
返事が遅くなりすいません。ありがとうございます。
ローグスレの方で聞いてみようと思います。
すみませんでした。

163 ：(^ー^*)ノ〜さん ：07/12/19 23:31 ID:isl2Y38K0

クルセwikiの各リンクがアカハックに書き換えられてた模様

メニューバーのリンク先が以下のURLになってた
http://www■caremoon■net/blog/index1■htm

現在は一応復旧してるっぽいです

164 ：(^ー^*)ノ〜さん ：07/12/19 23:33 ID:isl2Y38K0

h抜き忘れた・・・ごめんなさい

165 ：(^ー^*)ノ〜さん ：07/12/20 03:19 ID:M9aHJQxS0

ヘイムダルwikiも同様に危ないと聞いた
関連wikiをごっそりいじったやつがいるのかもな

166 ：(^ー^*)ノ〜さん ：07/12/20 09:15 ID:NOGJzPz20

関連も何も、GoogleにPukiWiki特有のキーワード、ネトゲに関連するキーワードを
ぶち込んでhitしたサイトに総当りしてるだけだ罠・・・

167 ：129 ：07/12/20 09:34 ID:VwVQXHrz0

うちに来てたやつは、直前にGoogleで PukiWiki menubar で検索した模様。

多分、これで検索して引っかかったところを絨毯爆撃してるっぽいね。
実際に検索してみると、面白いようにWikiが釣れます。

referer　に google.co.jp pukiwiki menubar が含まれてるリクエストを遮断したら来なくなったりするのかも。
今回の(たぶん同一犯)限定になるけど。

168 ：(^ー^*)ノ〜さん ：07/12/20 14:51 ID:OWh8SdsJ0

クルセWikiメニューバーより
www■irisdti-jp■com/blog/

現在復旧済み

169 ：(^ー^*)ノ〜さん ：07/12/20 18:48 ID:30RFUeka0

しっかしあんたらも頑張るねぇ
サイト巡回するときネット専用別ＰＣ使う俺が勝ちだな
対策なんてめんどくさくてやってらんねえわ
ここで踏んだかも知れませんとか不安になってる無知な奴がいるけど
そんな気遣いするぐらいなら別ＰＣ買えよ
ＲＯやったり重要な情報が入ったＰＣは別に分けろ
なによりも垢ハック対策になるぞ

170 ：(^ー^*)ノ〜さん ：07/12/20 18:53 ID:RBDSFs5r0

>169
　まぁ垢ハック対策ならそんでいいんじゃね
ウィルスが垢ハックだけだと思って居られるならそれでいい
個人情報とかの流出とか考えないんであればいいと思うよ。

171 ：(^ー^*)ノ〜さん ：07/12/20 19:48 ID:Rmr63suj0

>>169-171
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

172 ：(^ー^*)ノ〜さん ：07/12/21 12:20 ID:im/UPLKu0

>>163,>>168
ttp://www■irisdti-jp■com/blog/
ttp://www■caremoon■net/blog/index1■htm
ttp://www■caremoon■net/blog/send■exe
ttp://www■caremoon■net/blog/f2■exe
ttp://www■caremoon■net/blog/reak■exe

Trojan-Downloader.JS.Agent.anp
Trojan-PSW.Win32.OnLineGames.kak
Trojan-PSW.Win32.Magania.bph
Trojan-PSW.Win32.Delf.aih

173 ：(^ー^*)ノ〜さん ：07/12/21 17:59 ID:ovE5fRy90

楽r天?
www■rakurten■com/wiki/
iframe(略)で
www■wacacop■net/wiki/send■exe test■exe rost■exe

174 ：(^ー^*)ノ〜さん ：07/12/21 22:12 ID:PxfIzd1G0

【　　アドレス 　 】click■linksynergy■com/fs-bin/click?id=qDyUUdo4*XM&offerid=93143■10000002&type=3&subid=0
【気付いた日時】 今日の午前２時ごろ
【　 　　 OS　 　 】 XPPro SP2
【使用ブラウザ 】 IE6
【WindowsUpdateの有無】 自動更新
【　アンチウイルスソフト 】 Avast!Home4.7
【その他のSecurty対策 】 ルーター＋Spybot S&D（定期的にアップデート＋検査してます）

【 ウイルススキャン結果】
Avast!常駐プログラム→Fngmhlib.dll（System32内、ウィルスWin32;Trojan-gen{other}）
（この通知で不安になりました）
シマンテックのオンラインスキャン→感染感知できず
トレンドのオンラインスキャン→感染感知できず
カスペルスキーオンラインスキャン→ウィルス数１・感染オブジェクト１を検出
（SystemVolumeInfomation\restore〜、not-a-virus:Monitor.Win32.KeyPressHooker.bとのこと）
Spybot：AdSpy.TCCを１エントリ検出（削除できず）

【スレログやテンプレを読んだか】 今読んでます。
【hosts変更】無
【PeerGuardian2導入】無
【説明】
（Fngmhlib.dll)
数週間前から起動時に「could not load DLL FNGMHLIB」と出始めていたものの、
エラー表示がオートメールチェッカーからであった事＋
シマンテックのオンラインスキャンでは感知されなかったので放置していましたが、
今朝２時頃、Avast!にてFngmhlib.dllがウィルスとして検出されました。

（Win32.KeyPressHooker.b）
上記に加え、ROラトリオ総合計算機ページ内上部にあった、
『ハイエンドゲームPCブランド「G-Tune」』をクリックした所、IE画面が真っ白になる症状が発生。
アカハックではないかと不安になったので、カスペルスキーにてチェックした所、検出されました。
直接の関連性があるかは不明ですが……


結構前にヤフー開いたらツールバーインストールが出て、うっかりOK押してしまったんですが。
それから上記の問題が発生し始めたように記憶しています。
これらってアカハック系なんでしょうか……

175 ：(^ー^*)ノ〜さん ：07/12/21 22:36 ID:im/UPLKu0

>>174
アカハックと断定できないような一般的相談だから、セキュスレの方がいいんじゃないかな。

回答する内容は同じなんで、ここで答えておくと、検知したものが危険かどうかは判断しかねる。
DLL不足のエラーが出ていたということなので、なんらかのマルウェアが（セキュリティソフトで
消されてしまった）ファイルをロードしようと試みていた可能性もある。正常なアプリが壊れただけ
かもしれないが。

そのＰＣの前で操作している訳でもない立場からは、診断のしようがない状況にまで踏み込んでいると
思われるので「ＯＳを入れなおすかリカバリを行ない、安全な環境に戻すこと」以外の回答は行なえない。

ＯＳ再インストールコース行ってらっしゃい。現状の報告を読む限りでは、変なところに入っている
可能性もあるので、（アプリ起動したら再発症するかも）データをバックアップとって、HDD初期化して
ＯＳ入れなおした後にアプリを改めて入れた方が安全ではないかという気がする。

多分、アカハックではない何物かだと思うよ。

>>173
index.htm : Script.Infected.WebPage.Gen
index1.htm : Trojan-Downloader.VBS.Small.gj
send．exe : Trojan-PSW.Win32.Delf.aih
test．exe : Trojan-PSW.Win32.OnLineGames.kak
rost．exe : Trojan.Win32.Inject.nk

176 ：(^ー^*)ノ〜さん ：07/12/22 03:54 ID:5bCzZRru0

リンクを踏んでしまったのですが

http://www■articlelin■com/blog/

上記にウィルスがあるかどうか調べて貰えませんでしょうか・・
クリックしたら画面が止まりました

177 ：(^ー^*)ノ〜さん ：07/12/22 04:54 ID:Kf8L41vG0

＞※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

178 ：(^ー^*)ノ〜さん ：07/12/22 06:51 ID:08FHZm8M0

深遠の騎士子たん萌えスレにうｐされてる
http://f26.aaa.livedoor.jp/~fianel/up/abys/up/abys243■jpg

ってやばい？

179 ：まとめ臨時 ◆kJfhJwdLoM ：07/12/22 07:09 ID:h9Xs8k7H0

不定期報告ですが現状 >>161 以降、
ここまで報告された罠はリストチェックで確認済みでした。
既出の物に新作トロイを仕込むのも相変わらず常套のようですね。

>>174 に関してはすべてを把握できませんが
ややこしく判断がつかない状況だと
クリーンインストールが一番安心確実かもしれません。

>>176
ログにある >4 のテンプレを読んで
何処で踏んだとかを埋めてもらえると助かりますが
緊急を要すると思いますので…。

articlelin■comは既出のアカハックリストで確認できます。

安全が確認できるまでパスワード類の入力を伴う行動は厳禁です。
対応方法は >>1-14 に記載されています。
カスペルスキーオンラインスキャンなど複数でチェックしてウイルスを駆除できても
検知できないすり抜けの可能性もあるので、
個人で安全になっているか判断が付かない場合はOSのクリーンインストールを。

180 ：(^ー^*)ノ〜さん ：07/12/22 09:57 ID:L2ALBo6S0

>>178
>>177

181 ：(^ー^*)ノ〜さん ：07/12/22 18:17 ID:PUb4h20M0

>>176 さんと同じの踏んでしまって
RO起動するとウィルスバスターがDLLのどうのこうのと警告出しました。
現在、再インストール中です。

182 ：181 ：07/12/22 18:22 ID:PUb4h20M0

テンプレに沿って書き込んだら（5回ほど）なぜか反映されなかったんだけど何でだろう・・・

183 ：(^ー^*)ノ〜さん ：07/12/22 18:27 ID:u7fSNqym0

>182
○○「.」exeをそのまま書いたから、じゃない？
「.」(半角)を「■」に置換するか「．」(全角)に置換したら通ったと思われ。

184 ：181 ：07/12/22 19:07 ID:PUb4h20M0

>>183 なるほど！
一応、報告ということで掲載しておきます。

【　　アドレス 　 】www■articlelin■com/blog/
【気付いた日時】 踏んだのは3時頃、気付いたのは16時ごろ
【　 　　 OS　 　 】 WinXPPro SP2
【使用ブラウザ 】 IE6
【WindowsUpdateの有無】最近のもの
【　アンチウイルスソフト 】 VB2008
【その他のSecurty対策 】 ルーター
【 ウイルススキャン結果】
VB2008で検出できず
カスペルスキーオンラインスキャンで検出できず　
【スレログやテンプレを読んだか】 読みました
【hosts変更】無
【PeerGuardian2導入】無
【説明】
ROとは関係ないWikiで踏んでしまいました。
ウィルススキャンで引っかからなかったので、
ROのクライアントを起動しましたが（WG選択まで）、他のIEなどが非常に重く感じました。
ログインせずに再起動後、クライアントを起動すると、VBがRagnarok．exeにDLLをダウンロードしてどうのこうのと警告。
踏んでから時間があるので別の要因の可能性もありますが、流石に恐いので再インストールしました。

185 ：(^ー^*)ノ〜さん ：07/12/23 23:11 ID:y1FiBiPl0

>>184
せっかくの報告なので検体入手して確認。

ttp://www■articlelin■com/blog/index■htm
ttp://www■panslog■net/wiki/index1■htm
ttp://www■panslog■net/wiki/send■exe
ttp://www■panslog■net/fc2/cery■exe
ttp://www■panslog■net/wiki/reco■exe

send■exe : Trojan-PSW.Win32.Delf.aih
cery■exe : Trojan-PSW.Win32.OnLineGames.kak
reco■exe : Trojan.Win32.Inject.ms

send■exe : カスペ○、NOD32○、マカフィー○、シマンテック○、Avast○、AVG○
cery■exe : カスペ○、NOD32○、マカフィー○、シマンテック○、Avast○、AVG○
reco■exe : カスペ○、NOD32○、マカフィー×、シマンテック×、Avast×、AVG○

VirusTotalでは、12/10〜13に確認済みだった模様。再度スキャンさせた結果が上。
日付からして、提出済みとは思うけど、未検出なので検体提出してきます。

186 ：(^ー^*)ノ〜さん ：07/12/24 00:03 ID:ONqpdIr10

追記
send■exe , cery■exe , reco■exe をトレンドマイクロのオンラインスキャンにかけたところ、
全て検出していました。

>>184が踏む前から対応していたのか、後から対応したのかは不明。
OS入れなおして確実に安全な環境にしたのはGOODな対応だと思った。

send■exe : TSPY_LINEAGE.GQR
cery■exe : TSPY_AGENT.ADOB
reco■exe : TROJ_SHEUR.CE

187 ：(^ー^*)ノ〜さん ：07/12/25 11:46 ID:8xwBXB3y0

【　　アドレス 　 】http://www■symphones■com/wikipedia/
【気付いた日時】 12/25
【　 　　 OS　 　 】WindowsXP
【使用ブラウザ 】 ＩＥ
【WindowsUpdateの有無】 1週間くらい前です
【　アンチウイルスソフト 】 avast
【 ウイルススキャン結果】 avastでワームが見つかりましたが、良く分かりません・・
【スレログやテンプレを読んだか】さらっとですが、目を通しました。これからじっくり読みます
【hosts変更】(なし
【PeerGuardian2導入】(なし
【説明】
友達のＲＯブログのコメントに張られていたＵＲＬを飛んでみたら、何もないページでした。
ちょっと怖いのですいませんが、書き込みさせていただきました

188 ：(^ー^*)ノ〜さん ：07/12/25 12:14 ID:gQBnrg1e0

>187
>1
>※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

で、ソースチェッカーで見たところ、iframeでサイズ0で index1.htm を呼び出し。
index1.htm はVBScriptでキャラクタ変換してるコードが仕込まれてる。

コードはデコードしてないが、手法的に9割方黒と思われ。

189 ：(^ー^*)ノ〜さん ：07/12/25 12:23 ID:8xwBXB3y0

>>187さま

レスありがとうございます。
見れないサイトではなくて、踏んでしまったので書き込みさせていただきました。

さっそく再インストールいってきようと思います。

チェックしていただいてありがとうございました。

詳しくないので、本当に助かります；´Д｀

190 ：(^ー^*)ノ〜さん ：07/12/25 12:24 ID:8xwBXB3y0

自分にレスしてどうするorz

すいません188さま。

191 ：(^ー^*)ノ〜さん ：07/12/25 12:42 ID:3mpGnJHS0

>>187さん
12/7あたりから現われている既知のアカハックアドレスです。

その時点で緑箱スルーのものがありましたので検体提出しましたが、
12/21確認時に新種のものに置き換わっていたので再提出。
現在は検出可能になっています。

3つの 実行形式ファイルを実行させようと試みますが、本日現在の
簡単な検出状況はこんな感じです。

検体1 - 黄スルー、緑検知
検体2 - 黄スルー、緑検知
検体3 - 黄検知、緑検知

緑には検体送って黄色は放置なので、いささか反則(販促?)
気味の比較ではありますが。

192 ：(^ー^*)ノ〜さん ：07/12/25 12:45 ID:h8P0GxUB0

>>191
黄とか緑って何ですか？

193 ：(^ー^*)ノ〜さん ：07/12/25 13:03 ID:Z3bgnyx60

>>1
> アカウントハックに関する情報の集積・分析を目的とするスレです。
> 被害や攻撃等のアカウントハックの具体的事例に関して扱います。
> 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
> 対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。
　~~~~~~~~~~~~
黄 シマンテック
緑 カスペルスキー
赤 ウイルスバスター

製品の箱の色から、このスレではそう呼ばれています。

194 ：(^ー^*)ノ〜さん ：07/12/25 13:10 ID:KBiCg8NA0

>製品の箱の色から、このスレではそう呼ばれています。
過去にもそういう略称が使われていた記憶が無いのですが…
一般には通じない略称はなるべく控えたほうが無難かと思います。

195 ：(^ー^*)ノ〜さん ：07/12/25 13:12 ID:9R3axBd90

初耳だわ。
過去スレみても一度もそんな呼ばれ方してないだろ。
2chの方の常識かなんかか？

196 ：(^ー^*)ノ〜さん ：07/12/25 13:14 ID:BRfTy6A40

そう呼ばれているのは>>191と>>193の脳内だけだろ
初代スレから張り付いてるけど、んな略称見たことない

197 ：(^ー^*)ノ〜さん ：07/12/25 13:20 ID:Z3bgnyx60

あれ・・・どこで見たんだろ。
>>191見て普通に認識してた・・・
まあ、すまなかった。
以降雑談は終了ということで。

198 ：(^ー^*)ノ〜さん ：07/12/25 13:50 ID:uDWTbLJJ0

>>187
ttp://www■symphones■com/wikipedia/index■htm
ttp://www■symphones■com/wikipedia/index1■htm
ttp://www■symphones■com/wikipedia/red■exe
ttp://www■symphones■com/wikipedia/sl■exe
ttp://www■symphones■com/wikipedia/fir■exe

index■htm : HTML/IFrame
index1■htm : TrojanDownloader:JS/Agent.FT
red■exe : Trojan.Win32.Inject.ox
sl■exe : Trojan-PSW.Win32.Delf.aih
fir■exe : Trojan-PSW.Win32.OnLineGames.kak

index■htm : カスペ×、NOD32×、マカフィー×、シマンテック×、Avast×、AVG×
index1■htm : カスペ×、NOD32×、マカフィー×、シマンテック×、Avast×、AVG×
red■exe : カスペ○、NOD32×、マカフィー×、シマンテック×、Avast×、AVG×
sl■exe : カスペ○、NOD32○、マカフィー○、シマンテック○、Avast○、AVG○
fir■exe : カスペ○、NOD32○、マカフィー○、シマンテック○、Avast○、AVG○

index.htmとindex1.htmはダウンローダなので、本体に対応していれば実害はない。
red■exeは、検出率悪いみたいなので、あとで検体提出しておきます。

Avastではすり抜けるものも混ざっているので、>>189のように再インストールコースは正解。
（検出できる奴の体験版で消す方法もあるけど）

>>191-198
今まで誰も使ってないような通称を使うのはやめましょう。
浸透させたければセキュスレ辺りで認知させることから。
変な呼び名は、使わないのが無難と思いますけどね。さ、わたしも含め、移動しましょ。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/

199 ：191 ：07/12/25 14:35 ID:3mpGnJHS0

なお、これに感染している場合、
%USERPROFILE%\Local Settings\Temp\ 以下に
L_hy60.pif 他 2つの実行ファイルを作成し、

レジストリキー
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\exploreb(略)

を作成するので簡易的に判定が可能です。

200 ：(^ー^*)ノ〜さん ：07/12/25 16:21 ID:muc19jHG0

【　　アドレス 　 】www■irisdti-jp■com/blog/
【気付いた日時】今さっき
【　 　　 OS　 　 】 WindowsVistaHomePremium
【使用ブラウザ 】 FireFox 2.0.0.11
【WindowsUpdateの有無】 自動更新
【　アンチウイルスソフト 】 Avast!4.7Home
【その他のSecurty対策 】 Spybot S&Dで週1回程度更新＆スキャン
【 ウイルススキャン結果】カスペはこれから、Avast!でスキャンしたら感染はゼロ
【スレログやテンプレを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】Web巡回中に>>168と同じアドレスを踏んでしまった。真っ青な画面のまま
　何も出ないので、当スレッドにて危険アドレスということを認識しました。

201 ：(^ー^*)ノ〜さん ：07/12/25 16:32 ID:uDWTbLJJ0

>>200
報告乙です。これからオンラインスキャンということですが、自己責任で使い続けるのでなければ
OSインストールコースがんばってらー。

>>168のアドレスという事ですが、【中身が差し替えられていないならば】>>172の報告通り
カスペで検出できるようです。参考までに。

202 ：200 ：07/12/25 17:06 ID:muc19jHG0

カスペのオンラインスキャンでも検出されませんでした…
ひょっとすると差し替えられ？OS再インストールですかね…

こういうスレッドがあってとても助かりました。どうもありがとうございました。

203 ：(^ー^*)ノ〜さん ：07/12/25 19:16 ID:8xwBXB3y0

187のものですが、皆さん調べていただきありがとうございました。
本当に助かりました。

無事再インスコ終えました

204 ：(^ー^*)ノ〜さん ：07/12/25 20:47 ID:uDWTbLJJ0

>>202
>カスペのオンラインスキャンでも検出されませんでした…

可能性は幾つかある。
１．入手前に切断したので、PCに入っていない（安全）
２．入手してしまったけど、新種(差し替えられて)なので検知できなかった（危険）
３．以下、可能性の低い条件の為、検知できなかった（危険）

安全か危険かは、回線の向こう側の立場からは判断できない。
よって、危険であると仮定して対応することを勧めることしかできない。OS入れなおしてらー。
勿論、安全である可能性を信じて、【自己責任】で使い続けるのは自由ですがね。

>ひょっとすると差し替えられ？

その疑問を投げかけられると、とても困る。一言で言うと「誰もそんなこと確認できん」
この辺の話題は、セキュスレでやった方がいいのかな？

・踏んだタイミングと、検証者（いるなら）の検体入手タイミングは異なるので
　同じである事の保証はできない。
・差し替えられていないか検証する際にも、最初の検証者と、後の検証者の入手
　タイミングが異なるので、MD5などの同一性を確認する手段が提供されていない限り
　差し替えられたことの確認は困難。（同じ検出名でも差し変わっている可能性がある）
・仮に、最初の検証者が、検体を保存しておいて、改めて入手した物が同じであることを
　確認しても、その間に差し替えがあった可能性は否定できない。つまり、現時点で
　同一性が確認されたとしても、質問者が踏んだ時のタイミングでも同じであったことは
　保証できない。

仮に、「手間をかけて検体を入手し」「検出名が同じor最初の検体と比較して同一」で
あることが確認できたとしても、相談者の環境で踏んだものと同じことは保証できない。

踏んだアドレスの内容がどのようなものであったかの報告は、相談者が
「自己責任で判断する参考資料でしかない。
（勿論、セキュリティベンダーに提出して対応して貰うこと等の副次的影響力は別として）

参考資料でしかない情報の為に、「誤クリックで発動させてしまう危険」
「検体入手の為に、一時的にセキュリティを緩めざるを得ない危険」
「比較確認の為の手間」を、検証者に負担させることは、実に割に合わない行為だろう。

205 ：(^ー^*)ノ〜さん ：07/12/25 21:20 ID:uDWTbLJJ0

>>202
>>ひょっとすると差し替えられ？
>その疑問を投げかけられると、とても困る。一言で言うと「誰もそんなこと確認できん」

と、だけ言っていても仕方ないので確認してきました。
ファイル構造、呼び出し方法は同じ。
但し、f2.exeの検出名が変化していましたので、差し替えは行われているようです。

ttp://www■irisdti-jp■com/blog/
ttp://www■caremoon■net/blog/index1■htm
ttp://www■caremoon■net/blog/send■exe
ttp://www■caremoon■net/blog/f2■exe
ttp://www■caremoon■net/blog/reak■exe

12/8時点
send■exe : Trojan-PSW.Win32.Delf.aih
f2■exe : Trojan-PSW.Win32.OnLineGames.fcj
reak■exe : Trojan-PSW.Win32.Magania.bph

12/21時点 >>172
index1■htm : >Trojan-Downloader.JS.Agent.anp
send■exe : >Trojan-PSW.Win32.Delf.aih
f2■exe : >Trojan-PSW.Win32.OnLineGames.kak
reak■exe : >Trojan-PSW.Win32.Magania.bph

12/25時点
index1■htm : Trojan-Downloader.JS.Agent.anp
send■exe : Trojan-PSW.Win32.Delf.aih
f2■exe : Trojan-PSW.Win32.OnLineGames.lyx
reak■exe : Trojan-PSW.Win32.Magania.bph

現時点では、カスペで全弾撃墜しておりますが、202さんが踏んだ時点の代物が
検出可能なものであるかどうかは保証しかねます。
自己責任でそのまま使うかどうかの参考情報として報告しておきます。

ちなみに、現時点のf2■exeですが、VirusTotalの結果は下記の通りです。
カスペ○、NOD32×、マカフィー○、シマンテック×、Avast○、AVG×

206 ：200、202 ：07/12/26 00:05 ID:cM9FAGce0

>>204,205さん
ありがとうございます。御礼が遅くなって申し訳ありませんでした。
再インストール行って参ります、また来る事の無いよう精進します。

207 ：(^ー^*)ノ〜さん ：07/12/26 13:07 ID:/L8XCvQx0

引っかかったかもしれないのならクリーンインストールしろと言われたのですが
そのクリーンインストールというのがよくわかりません。
ノートパソコンを買ったのですがそれにもついていますか。
サポートに電話すればいいんでしょうか。

208 ：(^ー^*)ノ〜さん ：07/12/26 13:20 ID:rqe9LpER0

リカバリ。メーカや機種によって違うんだから
説明書やヘルプを見るかサポートに聞いてくれ。板違い。

209 ：(^ー^*)ノ〜さん ：07/12/26 14:12 ID:kGe+oyTq0

>>207
ノートPCなら、メーカー付属のCD-ROMや、HDDからのリカバリなどがある。
付属のマニュアルを読んでください。

新規にXPを入れさせるところもありますが、基本は、メーカーのサポートセンターへどうぞ。
相談の際は、「PCを初期状態にリカバリしたいのですが、どうやったらいいでしょうか。
機種はXXXXで、シリアルナンバーはXXXXです」というように必要な情報を全て伝えること。

リカバリの際には、自分で作成したデータや受信したメール、ブラウザのブックマークなどが
全て消えます。必要なデータは事前にバックアップをとっておいてください。

210 ：(^ー^*)ノ〜さん ：07/12/26 20:29 ID:3K8V0xh9O

PG起動してるとNDSのWifi通信が出来なくなるな
２時間悩んだわ

211 ：(^ー^*)ノ〜さん ：07/12/26 20:30 ID:kGe+oyTq0

>>210
セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/

212 ：(^ー^*)ノ〜さん ：07/12/28 10:53 ID:CcTX8uhT0

Lydia板より
> 897 名前：lawlite12[] 投稿日：2007/12/28(金) 06:37:36 ID://fiFId2
> 通常日記とらぐな日記をそれぞれ更新しました！
> ぜひぜひ、みなさん遊びにきてくださいな
> blog■surpara■com/lawlite12/

> トロイの木馬を検出したため対処しました。
> 「FKCfb-09p1-136.ppp11.odn.ad.jp」からのため「FKC*.odn.ad.jp」を規制。

追加情報として、blog■surpara■comのIPアドレスは210■251■252■164で
日本国内のIPアドレスです

213 ：(^ー^*)ノ〜さん ：07/12/28 12:00 ID:FA7VLVBd0

>>212
報告乙です。
既知のアドレスのものを呼びだしていますが、一部、最近差し替えられたファイルが混ざっているようですね。

ttp://blog■surpara■com/lawlite12/
３箇所にサイズ０のiframe呼び出し

ttp://www■teamerblog■com/blog/

ttp://www■panslog■net/wiki/index1■htm
ttp://www■panslog■net/wiki/send■exe
ttp://www■panslog■net/fc2/cery■exe
ttp://www■panslog■net/wiki/reco■exe

cery■exe : Trojan-PSW.Win32.OnLineGames.lyx
index1■htm : Trojan-Downloader.VBS.Agent.hi
reco■exe : Trojan.Win32.Inject.ms
send■exe : Trojan-PSW.Win32.Delf.aih

214 ：(^ー^*)ノ〜さん ：07/12/28 12:01 ID:gXyQIsZa0

surparaは古くから同人やってる人ならtinamiと並んで普通に知ってるサイトのはず。
何年も見てなかったけど、ブログ始めてたのか…。
iframeが使える上にFC2のような通報フォームも見当たらんからやりたい放題だな。

215 ：(^ー^*)ノ〜さん ：07/12/28 12:21 ID:GjZ03Zpl0

>>212
元のアドレスが国内なのは、サーパラブログ自体は普通のポータルサイトが開設したレンタルBlogサービスなので自明。
fc2同様、iframeが書けてしまうBlogモジュールはセキュリティの観点からすると好ましくはないが。
一応、本家サーパラの方にあるフォームから運営に通報してみた。iframeの使用制限も要望はしてみたが、どうなるやら。

216 ：(^ー^*)ノ〜さん ：07/12/28 13:36 ID:gXyQIsZa0

お、速攻で消されてるｗ

217 ：(^ー^*)ノ〜さん ：07/12/29 01:24 ID:8sl4WqK90

>>212-215の件についての返信。
>>>
Surfersparadiseです。
いつもご利用いただきましてありがとうございます。
以下に関しましては、該当アカウントの削除を行いました。
また、こうした書き込みなどを管理するツールの実装を早急に行います。
この度はご連絡いただきましてありがとうございました。
今後ともよろしくお願いいたします。
>>>

ひとまず、surparaに関しては、今後は罠として使いにくくなると期待が持てそうな感じ。

218 ：(^ー^*)ノ〜さん ：07/12/30 12:21 ID:+YJrqs8e0

exぶろ〜ぐ
www■exbloog■com/7112886/000027■zip
www■exbloog■com/7112887/000028■zip

219 ：(^ー^*)ノ〜さん ：07/12/30 14:59 ID:h/9Epm970

>>218
->000027■wmv■scr
-->013■exe
-->mov0023■wmv
--->mms://202■210■163■74/bekk/navi■wmv

->000028■wmv■scr
-->013■exe
-->mov0023■wmv
--->mms://202■210■163■74/bekk/navi■wmv

000027■zip : Trojan-PSW.Win32.OnLineGames.fcj
000027■wmv■scr : Trojan-PSW.Win32.OnLineGames.fcj
013■exe : Trojan-PSW.Win32.OnLineGames.fcj

000028■zip : Trojan-PSW.Win32.QQPass.xw
000028■wmv■scr : Trojan-PSW.Win32.QQPass.xw
013■exe : Trojan-PSW.Win32.QQPass.xw

220 ：(^ー^*)ノ〜さん ：07/12/30 15:43 ID:+YJrqs8e0

>>217
またできてたｗ
blog■surpara■com/lulu26/
対策されるまでは blog.surpara.com/blogList.html で新着チェックかな…。

221 ：(^ー^*)ノ〜さん ：07/12/31 11:43 ID:xUXP+jj10

>>220　検体入手しようと見に行ったらもうなかった。

222 ：(^ー^*)ノ〜さん ：07/12/31 13:33 ID:NCgVyDsr0

アカだけとって記事が一つも無いのもあるけど、
既存のがバレて消されたら記事入れて爆撃なのかな。

223 ：(^ー^*)ノ〜さん ：07/12/31 13:36 ID:oHmC0qiY0

wiki見てたら踏んでしまったんだが

http://nmmdbi■blog22■fc2■com/

どうなんだろ

224 ：(^ー^*)ノ〜さん ：07/12/31 14:04 ID:UP1i+C7D0

対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

225 ：(^ー^*)ノ〜さん ：07/12/31 15:33 ID:EZhx699p0

すんません、数ヶ月ぶりにRO復帰しようと思うんで入る前に聞きたいんですけど、
ちょっと調べてみたところJavaScriptもオフ推奨って書いてるとこ見かけるんですが、
スクリプトだけでも感染するような新種がでてるんですかね？
私的にはアプレットとかActiveXは危ないと思うからROしてなくても常時オフってましたが
JavaScriptも危ない時代になっちゃってるんでしょうか？

226 ：(^ー^*)ノ〜さん ：07/12/31 15:37 ID:lWpYMDS80

>>225
>>224

227 ：(^ー^*)ノ〜さん ：07/12/31 15:44 ID:EZhx699p0

すんませんスレチでしたか。
そっちできいてみます

228 ：(^ー^*)ノ〜さん ：07/12/31 20:57 ID:cWI7hZXv0

上の方で差し替えという話題になっていて不安を覚えました
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/133
自分が踏んだ時点でどうかというのは確かに不明だと思いますが
現時点でどうなのか、詳しい方教えていただけると幸いです
ドメイン失効とあったのでリカバリしていなかったので不安でした
＞www■pangzigame■com 　　8■15■231■125:80

229 ：(^ー^*)ノ〜さん ：07/12/31 22:53 ID:xUXP+jj10

重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/

230 ：(^ー^*)ノ〜さん ：08/01/01 07:35 ID:KzP+Ud7m0

そろそろその誘導コピペで流れるだけだということに気付け

231 ：(^ー^*)ノ〜さん ：08/01/01 17:04 ID:QwMCLEQx0

>>230
>>1

232 ：(^ー^*)ノ〜さん ：08/01/01 17:09 ID:qkzbGyt40

>>230
ｵﾏｴﾓﾅｰ
…懐かしい言い回しだな。

幾つか新規の物を発見したので報告
・罠blog
　http://happeningnew■blog28■fc2■com/
　　http://www■nlftweb■com/link179700
　　　http://www■rmtfane■com/link179700/main■htm
　　　　http://www■rmtfane■com/link179700/ani■c
　　　　http://www■rmtfane■com/link179700/Ms06014■htm
・新規ドメイン
　http://www■rmt-expretss■com/ourtesf
　　http://www■lvei20■com/ourtesf/ff11■exe

233 ：(^ー^*)ノ〜さん ：08/01/01 20:35 ID:jnlIO8ey0

>>232
www■rmtfane■com/link179700/ff■exe
10/14製造。既知の物っぽい。

234 ：(^ー^*)ノ〜さん ：08/01/02 09:07 ID:H8NiTCNS0

>>231
>>1

こうですか＞＜

235 ：(^ー^*)ノ〜さん ：08/01/02 09:19 ID:dSlhvypO0

>一般的なセキュリティ対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。
前から思ってたが「総合対策スレ」なのに
なんで対策まで隔離されるという変な事態になってるんだろ？

>※ ネタや程度を超えた雑談・脱線はご遠慮ください
あと、即誘導コピペを貼る潔癖症の人は
度が過ぎなければテンプレ許容範囲だということも覚えておこうね。

236 ：(^ー^*)ノ〜さん ：08/01/02 12:24 ID:gu+DHFAB0

いろんな角度から対策を検討するスレであって、対策方法を聞きにくるスレではない。
というのが私の認識だけど、あってる？

>>236
>>1

237 ：(^ー^*)ノ〜さん ：08/01/02 16:27 ID:GyDjOENv0

www■soracger■com/blog/
→ www■caremoon■net/blog/send■exe f2■exe reak■exe
順にリネージュ、FFXI、SecondLifeのトロイ。

238 ：(^ー^*)ノ〜さん ：08/01/02 18:09 ID:cmQr9yfO0

すみません、どなたかご教授ください

www■noely■blog88■fc2■com/blog-entry-249■html

上記のサイトを踏んだら変なエフェクトと英文字が出てきて消えたのですが、
ハック等の恐れはありますでしょうか？

239 ：(^ー^*)ノ〜さん ：08/01/02 18:13 ID:3SEXPv/J0

>>238
>>229

240 ：(^ー^*)ノ〜さん ：08/01/03 23:53 ID:5Mklm+HW0

・罠blog
　http://yamunya■blog98■fc2■com/
　→http://www■teamerblog■com/blog/
　　→http://www■teamerblog■com/blog/index1■htm

241 ：(^ー^*)ノ〜さん ：08/01/04 12:33 ID:2LKpNCTV0

>>237
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

242 ：(^ー^*)ノ〜さん ：08/01/04 12:37 ID:C3QpgIGN0

237はいいだろ

243 ：(^ー^*)ノ〜さん ：08/01/04 13:15 ID:OFkCZmxY0

もうこのスレも、従前の役目は終えたな。
危険アドレス、それも勘違いが許されない、確実な危険性を持つ物以外の投稿は排除され、スレの方針を話し合う事すら排除対象。
それなら、リネージュ資料室の様に、外部に投稿可能な観測所を設けて、後は全てセキュスレで扱った方が良い気がしてきた。
ログが残るのが利点という話もあるが、再利用性等の点から、結局は再加工して外部で使う形である以上、二度手間。

244 ：(^ー^*)ノ〜さん ：08/01/04 14:46 ID:UfDvY1cY0

お前様が終えたと思ったら使うのを止めればいい
まだ役割が残ってると思った人が使いつづけていく
そういった人が一人もいなくなったら次スレが立たずに終わる。ただそれだけだ

245 ：(^ー^*)ノ〜さん ：08/01/06 13:07 ID:Pq7dsBfk0

いつもの罠ブログ
hcavaliere■blog4■fc2■com
目新しいのはiframeでtinyurl(短縮URL)を経由する点。
飛び先は既知のcaremoon(以下略)。

246 ：(^ー^*)ノ〜さん ：08/01/08 16:35 ID:xOaEUhHG0

LiveROのパッチ変更点スレ120に張られたアカハックらしきアドレス

チェックしてくれた方によりますと、
＞jibaj■blog4■fc2.com
＞->www■rakurten■com/blog
＞-->www■wacacop■net/wiki/index1.htm (VBScriptによる罠ページ)

RMT関連の怪しい文とともに張られるので怪しさですぐ判ると思いますが、
そこら中に張られる可能性や誤クリックの危険性はありますので、お気をつけ下さい。

247 ：(^ー^*)ノ〜さん ：08/01/09 07:54 ID:6dvgf49J0

livedoorbloog■com
既出の exbloog■com と同一ホスト。

248 ：(^ー^*)ノ〜さん ：08/01/09 12:31 ID:6dvgf49J0

ROと名のつく物がごっそり更新されているのはなぜだろう。
RO2ではないと思うんだが…。

バイナリは一部異なります(同一のもある)。
www■gtvxi■com/naizi/ro■exe
www■k5dionne■com/ousele/sanro■exe
www■twsunkom■com/3ro■exe
www■jbbslivedoor■com/ro■exe

249 ：(^ー^*)ノ〜さん ：08/01/09 13:07 ID:6dvgf49J0

www■bbtv-chat■com/cuvt66895/
(略)
www■bbtv-chat■com/cuvt66895/guan■exe

ちょっと古めのリネージュトロイ。

250 ：(^ー^*)ノ〜さん ：08/01/09 17:42 ID:sw7311rd0

重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/

251 ：(^ー^*)ノ〜さん ：08/01/09 18:35 ID:zuh6wqye0

>>250
自治厨（笑）乙であります＾＾＾

252 ：(^ー^*)ノ〜さん ：08/01/09 18:53 ID:IArTNO8t0

ちょっとだけ失礼。その流れは雑談じゃない。
URL貼り付け以外何でも誘導するとかと勘違いしないように。

253 ：(^ー^*)ノ〜さん ：08/01/09 18:57 ID:IArTNO8t0

そうだ、これもついでに。

ウィンドウズアップデート日age
緊急(1) 重要(1)

254 ：(^ー^*)ノ〜さん ：08/01/10 11:37 ID:uhIeHlm60

アコプリスレ362にハクアドレス貼り付けられてたので報告

infosueek■com/rosolo/index-php/
--->www■twsunkom■com/jplink/Ms06014.htm

255 ：(^ー^*)ノ〜さん ：08/01/10 22:43 ID:uJcnu+OU0

新ドメイン
rustotal■com
famitsa■com
gamehanbook■com
gamemmobbs■com
dimorphothec■com
gorsara■com

256 ：(^ー^*)ノ〜さん ：08/01/11 15:36 ID:wpwdBr0V0

>>255
gamemmobbs■com
どう見てもここがターゲットです　ありがとうございました

257 ：(^ー^*)ノ〜さん ：08/01/11 17:19 ID:rnAUeHDE0

>>256
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

258 ：(^ー^*)ノ〜さん ：08/01/11 20:09 ID:IlfP3GST0

>>257
>>251

259 ：(^ー^*)ノ〜さん ：08/01/11 20:10 ID:T8yOYrxX0

(意訳)
他の突っ込み用スレが分離しているスレ同様、ここへの投稿への突っ込みは、セキュスレにお願いします。

260 ：(^ー^*)ノ〜さん ：08/01/11 20:45 ID:n6f3oADj0

>>257

>>251
>>1
被害や攻撃等のアカウントハックの　具　体　的　事　例　に関して扱います。
>>256

261 ：(^ー^*)ノ〜さん ：08/01/11 21:49 ID:nlZLDXRR0

仮に256がスレチだとしてもそれが続くようなら誘導すればいいと思うけど
1レスごとに257みたいな誘導は不要だろ
自治厨キモス

262 ：(^ー^*)ノ〜さん ：08/01/12 05:48 ID:EVPKu5Kb0

誘導してる奴らを自治厨呼ばわりしてまで
ここで雑談しようとする奴らの方が
よっぽどウザイんだがな。

さて、俺も含めてみんなでLiveROに帰ろうか。

ここから先は何事もなかったかのように
アカウントハックに関する総合対策スレをご活用下さい。

263 ：(^ー^*)ノ〜さん ：08/01/12 08:02 ID:hfGW/uAj0

自治厨乙。

>※ ネタや程度を超えた雑談・脱線はご遠慮ください
雑談が完全に禁止されてるわけではないと以前も突っ込まれてたよな。
一々誘導コピペ貼ってる馬鹿も俺みたいなのと同様に無駄にスレを消費してることを知れ。

264 ：(^ー^*)ノ〜さん ：08/01/12 08:12 ID:t7ZYp9kp0

ミイラ取りがミイラ~じゃないけど
自治しようとしてる奴がテンプレに反して無駄にスレを荒らしてる

匿名掲示板で他人の書き込みまで抑制出来るわけないんだから
気に食わないんなら自分でまとめサイトでも作ったらどうかね？

265 ：(^ー^*)ノ〜さん ：08/01/12 09:47 ID:Yk3YgniV0

意見はこちらでお願いします。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/

266 ：(^ー^*)ノ〜さん ：08/01/12 13:19 ID:YcwEEI8X0

鯖板より罠ブログ
ttp://itsuki01azn■blog18■fc2■com/

267 ：(^ー^*)ノ〜さん ：08/01/12 17:26 ID:pW0I0jhR0

ttp://monk.s221.xrea.com/index.php?cmd=read&page=%B9%CD%BB%A1%2F%A5%BF%A5%A4%A5%D7%CA%CC%2F%C8%AF%D2%A6%B7%BF&word=%C8%AF%D2%A6
ここにはっつけてあるURLって明らかに怪しいんだが垢ハックの類だろうか
※リンク先自体はモンクテンプレに飛びます

268 ：(^ー^*)ノ〜さん ：08/01/12 18:03 ID:MSy7tGEa0

特典アイテムスレ983に貼られていたもの。
スレが埋まってるから警告が出せなかったけど、大丈夫かな……
管理板には削除依頼は出しておいた。

darkblueskp■blog34■fc2■com
--->www■gorsara■com/batteROyale
----->www■gamemmobbs■com/batteROyale/Ms06014■htm

>255の新ドメインが早速使われてる。

269 ：(^ー^*)ノ〜さん ：08/01/12 18:47 ID:j0MDNKKS0

>>267
>※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません
一応、危険性は薄いが、精神的に有害かも知れない。やっている事もspamだし。

それと、各職Wikiの運営で尽力していた羊ケミ氏が、事実上一線を退く表明を出している。
アルケミWikiはSageWiki管理人Makichan氏が、共通データテンプレは貧スレWikiのRAGwalker氏が引き継ぎで落ち着いた模様だけど、
モンク・忍者・ガンスリの各職Wikiは現状でまだ確定していない。
この辺り、悪意ある人物が承継に名乗りを挙げるような事態にならなければ良いのだが。

#一応、テンプレサイト運営側のアカハック対策に関るので、こっちに書いてみる。

270 ：(^ー^*)ノ〜さん ：08/01/12 19:52 ID:p4X9k0CW0

>>267
当該ページの最終更新時間を見れば気づくと思うけど、基本的に無関係。
Last-modified: 2006-07-05 Wed 22:42:07 JST。一昨年。

実はこの頃、そのページに記載されているような文で各Wiki/bbsを荒らしまわった
者が居るという昔話があり、そのページはそれの名残で今に至るまで削除され
なかったものと思われる。

271 ：(^ー^*)ノ〜さん ：08/01/12 23:32 ID:BhcQDT9Y0

wiki観ようとしたら踏んでしまった・・・
踏んで直ぐにカスペルが検地したから削除した

踏んだ時、踏んだ後もROは起動してない
今は完全スキャンしてるけど、HDDフォーマットとOS再インスト
別PCでパス等の変更で良いのかな？

272 ：(^ー^*)ノ〜さん ：08/01/12 23:52 ID:i5TA/NOH0

カスペが阻止したならまず大丈夫だと思うよ。
もちろん保障はできんが。

273 ：(^ー^*)ノ〜さん ：08/01/13 00:10 ID:S3lkVZJc0

>>271
おｋ。但し、相談はテンプレを利用しよう。

パス等の変更は、踏んだのが明らかな時以降パスワードを送信する行為を一切していなければ不要。
パスを変更する場合は、そのＰＣが安全な環境であるかどうかの確認もお忘れなく。

274 ：まとめ臨時 ◆kJfhJwdLoM ：08/01/13 07:02 ID:AATKg2Qs0

ttp://sportsnavi1■blog18■fc2■com
├ttp://www■ragnwiki■com/FFXI/
　├ttp://www■ragnwiki■com/read/red■exe
　├ttp://www■ragnwiki■com/read/fen■exe

罠のragnwiki■comはリネージュ資料室さんで確認されていて、
現時点のまとめ臨時分にも加えてあります。

ブログ部分はスポーツナビのパクリなのかも？
ソースチェッカーで自分が確認できたのはここまでです。
検体は確保していません。
他にも何か在るかもしれませんがよろしくお願いします。

275 ：(^ー^*)ノ〜さん ：08/01/13 13:33 ID:JXx0tzt30

自分が管理しているRO関連サイトの掲示板に、私の名前を使い、私の過去の記事をコピペしての
罠サイト（かどうかは過去ログにて確認しました）投稿がありました。
手口の一例として報告します。

スレチでしたらすみません。

276 ：(^ー^*)ノ〜さん ：08/01/13 17:25 ID:MaoQkgWY0

ライブドアブログ
記事にiframe仕込むのは面倒だと思うんだが…。
blog■livedoor■jp/ahirun1/
→www■ranninp■com/001358/
→www■anoelnet■org/FFXI/

www■ranninp■com/001358/
→www■ranninp■com/001358/t1■exe Trojan-PSW.Win32.Delf.ads, Trojan.PWS.Lineage.3678

www■anoelnet■org/FFXI/
→www■miarakure■com/wiki/lin■exe Trojan-PSW.Win32.Magania.bre, Trojan.PWS.Reggin
→www■miarakure■com/wiki/rse■exe Trojan-PSW.Win32.Delf.aih, Win32.HLLP.Lac
→www■miarakure■com/wiki/ff■exe Trojan-PSW.Win32.OnLineGames.lyx, Trojan.PWS.Gamania.6556

277 ：(^ー^*)ノ〜さん ：08/01/13 18:03 ID:0AaLFqiH0

今、アルケミwiki見てたらウイルスに進入されてしまった・・・
ro繋いだまま検出してるんだけど大丈夫かな？

278 ：ま ◆sp4Sh9QXGI ：08/01/13 18:04 ID:sM+GgGZD0

お久しぶりです。
未だ求職中でピンチのまとめの人です。
時間がとれたのでサイトを更新しました。
…が、大したことはしておりません。
作業を全てリネージュ資料室の中の人に丸投げするという
無責任な管理人でまことに申し訳ございませんorz

279 ：(^ー^*)ノ〜さん ：08/01/13 18:14 ID:m6fEI+5k0

>>277
侵入された時点で大丈夫とは言えなくなっている。
ログアウトして、そのPC以外からパスワードを変更した方がよい。
で、件のPCはクリーンインスト。

280 ：まとめ臨時 ◆kJfhJwdLoM ：08/01/13 18:34 ID:VUulR0ql0

>>278
なんだか大変そうで本当におつかれさまです。

ログはこちらに。htmに変更していただければ
ttp://sky.geocities.jp/ro_hp_add/SSZ3.txt
確保しだい削除します。

281 ：まとめ臨時 ◆kJfhJwdLoM ：08/01/13 18:47 ID:VUulR0ql0

不定期報告です。サイトのほうで定期的になんとか更新しております。
http://sky.geocities.jp/ro_hp_add/

基本的に各サイトを回られてhostsファイルを手動で編集するのがよいと思うのですが
非推奨ながら熟練者向け？に裏でUPしていたリスト
(主要サイト様方のリストをまとめすぎたリスト)を試験的にリンクしてみました。

282 ： ◆sp4Sh9QXGI ：08/01/13 19:07 ID:sM+GgGZD0

>>280さま
臨時の管理も含め、お疲れ様です。
セキュスレのログ、ありがたくいただきました。

283 ：(^ー^*)ノ〜さん ：08/01/13 20:09 ID:r0mnrqKd0

ぢつはアカウントハックスレ関連はBSWikiさん関連の場所でも保管されてたり。
http://smith.z49.org/kako/namazu.cgi

>>274
一応それだけで良い筈。

>>276
良くある対策システムはドメイン単位で可否を判定する物が多いから
各アカウントにディレクトリを掘るlivedoorとかyahooはあんまり嬉しくない物ですな。

>>277
アルケミテンプレは管理移行により流動的な部分はあると思うけど、
新管理人さんもSageテンプレでやってた人だから、書き込みうける可能性は
低そうな気がするんだけどな。
だからこそ、テンパっている時で悪いけど、有意な情報の為に報告テンプレを
使って欲しいな。

284 ：(^ー^*)ノ〜さん ：08/01/13 21:06 ID:S3lkVZJc0

>>268
一応、追記。

｜darkblueskp■blog34■fc2■com
｜--->www■gorsara■com/batteROyale
｜----->www■gamemmobbs■com/batteROyale/Ms06014■htm
　----->www■gamemmobbs■com/batteROyale/ani■c
　----->www■gamemmobbs■com/batteROyale/ro1■exe

ro1■exe : Trojan.Win32.Inject.qt

ro1■exeは1/12時点のVirusTotalでは下記の結果。
AntiVir○、Avast×、AVG○、カスペ○、マカフィー×、NOD32×、ノートン×

285 ：(^ー^*)ノ〜さん ：08/01/14 11:30 ID:OOkSgmu80

gamemmobbsには
www■gamemmobbs■com/pcent/ro3■exe
もあるのでro2もどこかにあると思う。

286 ：(^ー^*)ノ〜さん ：08/01/14 13:44 ID:SGdWojd60

少々スレの趣旨とは異なる可能性があるけど、注意して欲しい事

ここ最近ですが、exblogを使っている人のところを中心に
コメントに垢ハック系のURLが書き込まれているところが多いです
exblog利用者が知り合いに居た場合は、コメントのURLに注意してください

287 ：(^ー^*)ノ〜さん ：08/01/14 14:25 ID:Vkjgo14v0

>>285
Trojan.Win32.Inject.qt

288 ：(^ー^*)ノ〜さん ：08/01/15 19:50 ID:6j09wG6M0

すまない、垢ハックを踏んでしまったようなんだ。
友人のブログにあるコメントで、ｺﾒﾝﾄから垢ハックと判断してURL検索→まとめサイトに載ってるか探そうとして結果開いたらそのサイトだったｏｒｚ
普通のサイトで一瞬で閉じたんだがこれはどうなんだろうか。rundll132.exeもrodll.dllも発見できず、いつもなら怪しいURL踏んだら反応するAVGも反応なし。
大丈夫そうではあるんだがどうにも不安でｏｒｚ

ついていたｺﾒﾝﾄ
−−−−−−−−−−−−−−−−
■とりあえず速報

本日のＧＶを最後に　妖精輪舞-久遠の絆-　が同盟からはずれました。
ぼて創立から同盟を組んでいたので寂しいですが、同盟という形がなくなった

だけなので、
妖精の皆様、これからもどうぞ宜しくお願いしますね！

rara_gm (←ここにHPのURL)
−−−−−−−−−−−−−−−−
コメントの内容は友人のブログともリンク先ｻｲﾄとまったく関係無し。

289 ：288 ：08/01/15 20:12 ID:6j09wG6M0

か、かきこめねぇ・・・

290 ：(^ー^*)ノ〜さん ：08/01/15 20:21 ID:cWn7kEJD0

まずテンプレ読め。

291 ：(^ー^*)ノ〜さん ：08/01/15 20:31 ID:+mDWp82h0

>>rundll132.exeもrodll.dllも発見できず
いやいや、情報古すぎるから
とりあえずテンプレ読んで勉強してきてください

292 ：288 ：08/01/15 20:36 ID:6j09wG6M0

ま、まぁ落ち着いてくれ。
一番落ち着くべきは俺なんだが、何故か書き込みにエラーがでて書き込めないんだ。


【　　アドレス 　 】ttp://gtvxi■com/uplink1028/9974link/■com/uplink1028/9974link/
【気付いた日時】2008/01/15 19:30
【　 　　 OS　 　 】 WinXPSP2
【使用ブラウザ 】 Luna4
【WindowsUpdateの有無】 有　自動更新(ちょっと日時がわからないですｏｒｚ)
【　アンチウイルスソフト 】 AVGFLEE（最終更新2008/01/12)
【その他のSecurty対策 】 常時機動はしていません。
【 ウイルススキャン結果】 McAfeeオンラインスキャンで未発見
【スレログやテンプレを読んだか】 今読みましたｏｒｚ
【hosts変更】無
【PeerGuardian2導入】無
【説明】
SourceCheckerOn-lineで調べたらインラインフレームで
ttp://www■mbspro6uic■com/indexm■htm　検出、さらにその先に
ttp://www■mbspro6uic■com/naizi/nait■htm　があって、
−−−−−−−−−−−−−−−
注意！ループタグを発見！ (1)
※ windowオープンを発見しました。
\x47\x45\x54
−−−−−−−−−−−−−−−
ただのブラクラなのかなと行き着いたんだですがどうなのでしょう？

293 ：(^ー^*)ノ〜さん ：08/01/15 20:38 ID:+mDWp82h0

>>292
セキュスレの方見てもらえばわかるけど垢ハクURLです
カスペオンラインスキャンでもしつつテンプレ熟読してくださいな

294 ：(^ー^*)ノ〜さん ：08/01/16 15:44 ID:RjX5R+HV0

ちょっと質問です。
自分のブログの記事に書き込みがあって、内容がその記事にやや関係ある
文章＋　〜〜の絵です。http〜〜.zip
という内容でした。垢ハックの恐れがあるものの、もし普通のものであれば
消すのは申し訳ないので今はそのままにしてあるのですが、その内容を安全に
確かめる方法は無いでしょうか？

295 ：(^ー^*)ノ〜さん ：08/01/16 15:48 ID:CCqaI9b20

zipなんだからDLしてウィルスチェックして確かめればいいじゃん。

296 ：(^ー^*)ノ〜さん ：08/01/16 16:06 ID:bFnHZyZu0

>>294
そういう相談はセキュスレへどうぞ。

検体確保になるので、ピリオドを■に置き換えて、そのもののアドレスを書いてくれるとありがたい。
セキュスレを「zip」で検索書けると、同じ物が出てくるかもしれないよ。

いきなりファイルのアドレスを、見知らぬ人が書いてくる時点で危ないものだと思った方がいいよ。

297 ：(^ー^*)ノ〜さん ：08/01/16 17:41 ID:RjX5R+HV0

ttp://www■lineagecojp■com/movie/mov0028■zip
でした。

>>296
セキュリティスレ覗いたらよく似たものがあったので垢ハクのようです。
ありがとうございましたー

298 ：(^ー^*)ノ〜さん ：08/01/16 19:55 ID:W6FVrO2I0

先日垢ハクされ、装備が全部なくなってしまいました
メインPCはフォーマットをし
パスワードは数ヶ月使っていなかったPCから変更しました

ここで質問なのですが
やっぱり、垢ハクされた垢はもう使わない