アカウントハック総合対策スレ9

1 ：夢 ★ ：07/11/25 11:04 ID:???0

アカウントハックに関する情報の集積・分析を目的とするスレです。
被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

・ 関連＆参考情報アドレス (>>2)
・ 報告用＆質問用テンプレ (>>3, >>4)
・ アカウントハック対応の要点とFAQ (>>5)
・ 安全対策の簡易まとめ (>>6)
・ アカウントハッキングについて（ガンホー公式）
　 http://www.ragnarokonline.jp/playguide/hacking/

■スレの性格上、誤って危険なURLがそのまま貼られてしまう可能性がある■
■URLを無闇に踏んで回らないこと。報告・相談はテンプレを利用すること■

※ ID/Pass/サーバ/キャラ名等の情報は公開しないでください
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません
※ ネタや程度を超えた雑談・脱線はご遠慮ください

・スレ立て依頼は>>970がしてください。反応がなければ以降10ごとに。

【一般的話題用】
セキュリティ対策、質問・雑談スレ3
　http://enif.mmobbs.com/test/read.cgi/livero/1186660300/

2 ：夢 ★ ：07/11/25 11:04 ID:???0

【過去スレ】
　8 : http://gemma.mmobbs.com/test/read.cgi/ragnarok/1185352481/
　7 : http://gemma.mmobbs.com/ragnarok/kako/117/1177507128.html.gz
　6 : http://gemma.mmobbs.com/ragnarok/kako/117/1173963316.html.gz
　5 : http://gemma.mmobbs.com/ragnarok/kako/117/1170419695.html.gz
　4 : http://gemma.mmobbs.com/ragnarok/kako/116/1164984508.html.gz
　3 : http://gemma.mmobbs.com/ragnarok/kako/116/1160787177.html.gz
　2 : http://gemma.mmobbs.com/ragnarok/kako/114/1147966576.html.gz
　1 : http://gemma.mmobbs.com/ragnarok/kako/107/1075385114.html.gz

【参考アドレス】
・ROアカウントハック報告スレのまとめ？サイト
　http://sky.geocities.jp/vs_ro_hack/
・安全の為に (BSWikiより)
　http://smith.xrea.jp/?Security
・ROセキュリティWiki
　http://rosafe.rowiki.jp/
・リネージュ資料室 (応用可能な情報が多数)
　http://lineage.nyx.bne.jp/

【このスレでよく出てくるアプリケーション】
・PeerGuardian2
　http://sky.geocities.jp/vs_ro_hack/pg2.htm
・WindowsUpdate
　http://www.update.microsoft.com/

【PCにウィルス対策ソフトを導入してない方へ】
・Kaspersky Internet Security 試用版
　http://www.just-kaspersky.jp/products/try/
・カスペルスキー：オンライン ウイルス＆スパイウェアスキャナ
　http://www.kaspersky.co.jp/scanforvirus/
・NOD32アンチウイルス体験版
　http://www.canon-sol.jp/product/nd/trial.html

・AVG7.5 free
　http://free.grisoft.com/doc/download-free-anti-virus/jp/frt/0
・Avast4 HomeEdition
　http://www.avast.com/jpn/download-avast-home.html
・KINGSOFT InternetSecurty Free
　http://download.kingsoft.jp/kisfree/

3 ：夢 ★ ：07/11/25 11:04 ID:???0

【投稿の際の注意】
・アカハックアドレスはMMOBBSでは禁止単語になっています。
　加えて、誤クリックによる感染を防ぐ為にそのようなアドレスは
　.(ドット)を別の文字に置き換えて報告して下さい (■がよく使われています)
・URLを貼り付ける場合は ドメイン名の「.」を全て「■」に置換して下さい。
・質問前後にテンプレ等を見て知識を深めると更にGoodです
・回答者はエスパーでは有りません。情報は出来るだけ多く。
　提供した情報の量と質に応じて助言の量と質は向上します
・結局は本人にしかどうにも出来ない事を忘れてはいけません

----------報告用テンプレ----------
● 実際にアカウントハックを受けた時の報告用

【　 　 　 気付いた日時　 　 　 　 　 】 (被害に気付いた日時)
【不審なアドレスのクリックの有無　】 (blog/bbs/Wiki等で踏んだ記憶の有無とそのアドレス)
　　　　　　　　　　　　　　　　　　 (ドメインのドット(.)を■等で置き換える事。h抜き等は駄目)
【他人にID/Passを教えた事の有無】 (Yes/No)
【他人が貴方のPCを使う可能性の有無】 (Yes/No)
【 　 　ツールの使用の有無　 　 　 】 (Yes/No、Yesの場合はそのToolの説明)
【　 ネットカフェの利用の有無　 　　】 (Yes/No)
【　 　　 OS　 　 】 (SP等まで書く)
【使用ブラウザ 】 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【　アンチウイルスソフト 】 (NortonInternetSecurity2007 等の名称、及びパターン更新日)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【スレログやテンプレを読んだか】 (Yes/No/今から読みます)
【hosts変更】(有/無　[有りの場合は最終更新は何時ごろか])
【PeerGuardian2導入】(有/無 [有りの場合は参照元サイトはどこか)
【Webヘルプデスクへの報告】（有/無/これからします)
【説明】
(被害状況を詳しく書く)

4 ：夢 ★ ：07/11/25 11:05 ID:???0

● 怪しいアドレス？を踏んだ時の相談用（アカハック以外の事例は>>2のセキュスレへ）

【　　アドレス 　 】www■xxx■yyy/index.htm(ドメインのドット(.)を■等で置き換える事。h抜き等は駄目)
【気付いた日時】 (感染？に気付いた日時)
【　 　　 OS　 　 】 (SP等まで書く)
【使用ブラウザ 】 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【　アンチウイルスソフト 】 (NortonInternetSecurity2007 等の名称、及びパターン更新日)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【スレログやテンプレを読んだか】 (Yes/No/今から読みます)
【hosts変更】(有/無　[有りの場合は最終更新は何時ごろか])
【PeerGuardian2導入】(有/無 [有りの場合は参照元サイトはどこか)
【説明】
(『怪しいアドレス』との判断した理由、症状を詳しく書く)

※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

5 ：夢 ★ ：07/11/25 11:05 ID:???0

【アカウントハック対応の要点とFAQ】
以下は要点となります。詳細な物は BSWikiの『安全の為に』が参考になると思われます。

● 『アカウントハックアドレスを踏んだ』もしくは『ウィルスが見つかった』場合
　1) 速やかに感染PCのネットワークケーブルを外す
　2) 『安全な環境』から諸々のパスワードを変更
　3) ウィルス駆除 もしくは OSのクリーンインストールやPCの再セットアップを行う

注)
　・安全確認されるまでNetworkに接続・ROクライアント起動・公式にログインは厳禁
　・各種メッセンジャーソフトやメールクライアントの起動も避ける
　・変更するべき物は以下のとおり
　　『GungHo-IDパスワード』『アトラクションIDパスワード』『キャラパスワード』『メールアドレス』
　・アンチウイルスソフトの過信は禁物。自信がなければOSのクリーンインストールを第1選択枝とする事
　・対応は慎重かつ迅速に行う事。早期に対応できればアカウントハックを防げる確率が上がる

● 関連FAQ
・『安全な環境』ってどんな物？
　　ウイルスの感染が無いと思われる環境です。別PCや据置型ゲーム機、1CD Linux等が挙げられます。
　　インターネットカフェ等不特定多数が使用する環境は危険性の高い環境です。
　　また知人友人のPCもインターネットカフェ並の危険があるものと考えるべきです。
　　信頼できる友人にパスワード変更を依頼するのは最後の手段であり、安全な環境を
　　構築次第、再度パスワードを変更しましょう。
・オンラインウイルススキャンをしたいんだけど、やっぱりネットにつないじゃ駄目？
　　駄目です。
・アンチウイルスソフトでウイルスが見つからないのでもう大丈夫だよね？
　　100％の保証は出来ません。ウィルスが見つからなかった場合、チェックに使った
　　アンチウィルスソフトでは発見出来なかっただけです。本当にウィルスが居ないのか、
　　それとも検知を免れているだけなのかは判りません。
　　自信が無い場合はHDDをフォーマットの上、PCの再セットアップを考えるべきです
・1CD Linuxってなに？
　　CDを入れてPCを起動するだけでLinux環境が起動しちゃうというものです。
　　ある意味クリーンインストールに近い状態なので汚染はゼロといえますし、
　　そもそもWindowsではないのでアカウントハックウイルスも働きません。
　　大概はWindows類似のデスクトップ環境やWebブラウザも組み込まれているので
　　パスワード変更作業くらいなら問題なく出来ます。
　　"KNOPPIX" や "Ubuntu"が人気が有ります。

6 ：夢 ★ ：07/11/25 11:05 ID:???0

【安全対策の簡易まとめ】
以下は要点となります。higaitaisaku.comさんの『被害対策』→『転ばぬ先の杖』
(http://www.higaitaisaku.com/korobanu.html)が参考になるでしょう。
『ROアカウントハック報告スレのまとめ？サイト』や
BSWikiの『安全の為に』も参考になると思われます。

●基本
　・定期的なMicrosoftUpdate及び、各種ソフト(各種Player、Reader等)のアップデート
　・アンチウイルスソフトの導入とウイルス定義ファイルの積極的な更新
　・パーソナルファイアウォールソフトの導入
　・アドレスをホイホイ踏まない。よく確認する
　・出所の怪しいプログラムやスクリプトを実行しない

●応用
　・IEの使用を止め、他のブラウザに乗り換える(Firefox、Opera)
　・IEコンポーネント使用のブラウザを使う(セキュリティ設定が容易な物が多い)
　・信頼できるSite以外ではスクリプトやActiveXを切る
　　：インターネットオプションのセキュリティの部分で設定可能
　・偽装jpg対策(IE7とIE6SP2限定。IE6SP1以前では出来ない)
　　：インターネットオプション→セキュリティ→レベルのカスタマイズ
　　　→「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする
　・Firefoxを使用する場合、URI自動補完を停止する
　　：http://nhh.mo-blog.jp/ttt/2006/10/firefox__bf2b.html
　　：>「browser.fixup.alternate.enabled」をfalse
　　　→このスレ閲覧中に誤操作により危険URLに飛ぶ危険を回避します

7 ：(^ー^*)ノ〜さん ：07/11/25 11:18 ID:ITDHDQRQ0

【このスレでよく出てくるアプリケーション】 （追加）
・ソースチェッカーオンライン
　http://so.7walker.net/guide.php

>>1　乙です

8 ：(^ー^*)ノ〜さん ：07/11/25 23:35 ID:xodT0THL0

>>2
BSWikiは移転しているようです

[正]
・安全の為に (BSWikiより)
　http://smith.rowiki.jp/?Security

同サイト内にURLが既出の危険なドメインかどうか調べるチェッカーもあるようです
http://smith.rowiki.jp/riskycheck.php

9 ：(^ー^*)ノ〜さん ：07/11/26 20:14 ID:AuPEyZhv0

・上記にあるまとめサイトさんのhostsファイルに追加分を手動で追加しようというサイトです
http://sky.geocities.jp/ro_hp_add/

10 ：(^ー^*)ノ〜さん ：07/11/27 13:18 ID:Rl5H0P0a0

PeerGuardian2を導入して
リネ2やったんですけど「222.231.15.60」
というアドレスに送信してて、それをブロックしてる
これってやばいですか？

11 ：(^ー^*)ノ〜さん ：07/11/27 13:24 ID:X4L3wsqJ0

>>10
>対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

あっちにコメントしときますね。

12 ：(^ー^*)ノ〜さん ：07/11/27 14:48 ID:Rl5H0P0a0

>>11
はーい　ありがとー

13 ：(^ー^*)ノ〜さん ：07/11/29 23:47 ID:iz9Crv5m0

垢ハックを間違えて踏んでしまったらＯＳの再インストールというものが重要だといわれているけど
私もうっかりふんでしまったため、XPの再インストールをしてみた所
Windowsが入っているCドライブは初期化されたけど、Dドライブの中身はあまり変化ありませんでした
やはり安全をきすためDドライブも初期化した方がいいですか？ちなみにROはCドライブでした。

14 ：(^ー^*)ノ〜さん ：07/11/29 23:54 ID:d0pbTNIV0

一般的な相談・質問はセキュスレへ

簡単に答えておくと、データにトロイは付着しません。

15 ：(^ー^*)ノ〜さん ：07/11/30 16:21 ID:k42wwL7a0

LiveRoのラグクジでハクアドレス貼り付けあり

------------
463 名前：lg96 Mail： 投稿日：07/11/30 (金) 16:08 ID:U4ZLnuLS0
lg96■3322■org/jp/

467 名前：（○口○*）さん Mail：sage 投稿日：07/11/30 (金) 16:17 ID:ZSYS7kxo0
>463
マジで垢ハック注意。
lg96■3322■org/jp/
->www■kele88■com/av/help.htm
--->www■kele88■com/av/av.exe
------------

16 ：(^ー^*)ノ〜さん ：07/11/30 16:24 ID:k42wwL7a0

クレクレスレの100にも同じものが張ってあった。
他のスレにも爆撃があるかも。

17 ：(^ー^*)ノ〜さん ：07/11/30 19:07 ID:3SqRK7Xx0

>>15
今回、カスペより早く、Fortinetから返答

The samples you submitted will be detected as follows:
av.exe - W32/Agent.IRS!tr
index.htm - HTML/Agent.IDS!tr.dldr
help.htm - VBS/Agent.IDT!tr.dldr

18 ：(^ー^*)ノ〜さん ：07/11/30 19:34 ID:3SqRK7Xx0

>>15
カスペからも返答あり。いろんなスレに貼られたようなので警告age

av.exe_ - Trojan-Downloader.Win32.Agent.fnj,
help.htm_ - Trojan-Downloader.VBS.Psyme.kq,
index.htm_ - Trojan-Downloader.HTML.IFrame.ba

19 ：(^ー^*)ノ〜さん ：07/11/30 21:51 ID:sVfmmqNi0

とりまセキュリティスレから飛んできました。
>>15にもあるＵＲＬを誤クリ→怖くなって即出る→
カスペルキーとやらでスキャンをかけ、そのままネカフェにダッシュ→
ＩＤは変え方がよくわからずとりあえず帰還。→
カスペと同時起動で知人にやってみろっていわれた「av,exe」を検索（該当なし）→
カスペ検索終了、感染無し→報告中（今ココ）

とりあえずココからどうすればいいかわからない状況なんですが･･･
ご教授いただければ幸いです

20 ：(^ー^*)ノ〜さん ：07/11/30 22:09 ID:ZNiQwvSO0

>19
あっちでも言ったが、まず>4のテンプレを埋めてくれ。
でなければ、回答する側も的外れな回答になりがちになる。

21 ：(^ー^*)ノ〜さん ：07/11/30 22:27 ID:M/+KXmRb0

>>19
怖いなら、クリーンインストールしろ

22 ：(^ー^*)ノ〜さん ：07/11/30 22:31 ID:3SqRK7Xx0

>>19
まず、ログインは絶対にしないように。

アカハックのサイトをクリックした後にログイン・踏んだIDからのパスワード変更はやっていませんね？
（アカハックのサイトクリック→ログアウトなら問題ありません）

パターンＡ
必要なデータをバックアップして速効でＯＳ入れなおしかＰＣリカバリ（確実に安全になります）

パターンＢ
カスペ体験版を入れてスキャンする。パターンが最新であれば検出可能な筈です。
（本日対応したばかりなのでパターン更新しないと検出されません）

で、検出されるようなら削除して完了。

検出されない時は、「本体入手前に切断が間に合ったのでセーフ」の場合、
「新種の為すり抜ける場合（今回はカスペで検出可能なので考えなくていい）」
「発動させてしまいステルス化されているので検出できない場合」のパターンが
考えられます。対応方法は下記の通り。

１．"自己責任で"そのまま使ってｏｋ
２．パターンが更新されるまでネットに繋がない、IDパスの入力・変更しない。
　　一時的にネットに繋いでパターンを更新してからＢの最初に戻る。（今回はこのケースにならない）
３．ＯＳ入れなおすしかない

23 ：(^ー^*)ノ〜さん ：07/11/30 22:32 ID:sVfmmqNi0

【　　アドレス 　 】lg96■3322■org/jp/
【気付いた日時】今日の18;30くらい
【　 　　 OS　 　 】 WindowsXP(SPが何かわかりません＞＜；)
【使用ブラウザ 】 ﾀﾌﾞﾝIE７
【WindowsUpdateの有無】 有効
【　アンチウイルスソフト 】 無し
【その他のSecurty対策 】 FW
【 ウイルススキャン結果】 カスペルスキースキャンで感染無し
【スレログやテンプレを読んだか】 今から読みます
【hosts変更】PC関連疎いのでよくわからないですが､PCかってほぼそのまんまの状態
【PeerGuardian2導入】同上
【説明】
垢ﾊｯｸっていろんなとこに書いてあったから･･･つд

よろしくお願いします

24 ：(^ー^*)ノ〜さん ：07/11/30 22:32 ID:3SqRK7Xx0

このスレ的には
　検出されて入手をブロック→辛うじてセーフ
　踏んだ後に検出して除去→他にもいる可能性もあるが、自己責任で使うかOS入れなおしか選ぶ
　検出されない→入手前と信じる根拠があるなら自己責任で使ってもいいが、OS入れなおしが基本

自己責任で使い続ける場合、PG2を導入し、中国への接続をブロックすることで、リスクを最小限に
減らす事ができます。

>>19の投稿時間に、パターンが更新完了していたかはわかりませんが（パターン更新前だったら、
スキャンしても検出されません）２２：２０の段階では、オンラインスキャンでも検出可能に
なっていましたので、もう１回パターンを更新してスキャンしてみて下さい。
（オンラインのファイルスキャナは、更新が11-29だったのですり抜けてましたが）
http://www.kaspersky.co.jp/virusscanner

現時点のパターンを適用して、全スキャンしても見つからない場合、
↑の検出されない場合１or３になります。

ブロックできたかどうかの保証はできないので、このスレとしては、安全な環境を作るために
ＯＳ入れなおしを推奨することになります。

25 ：(^ー^*)ノ〜さん ：07/11/30 22:36 ID:Dp3j+zRj0

まぁある程度の状況は分かるので、今まででた情報で答えるとするならば
「ＯＳクリーンインストール」をしろ、としか言いようがない。

　アドレス自体どれを踏んだかもわかっているわけだし、そこから辿れるav.exeのファイルが見つからないのであれば
なんらかのアンチウィルスソフトで防衛できた可能性もあるが、
その防衛した可能性のあるソフト名もバージョンも何もまだ>>19からは提示されていないわけだ。
　こちらがわから見た場合、もしかしたら防御できてるのかもしれないし、感染してるのかもわからない状況。
仮に感染していた場合、（ROに限って言うと）ウィルス除去しないままROにin、もしくはガンホーのサイト等でPASSとか入力しちゃったりすると
そのまま垢ハックされる。
　
　なので現状ウィルスを除去する方法として回答者がわから答えられる回答はひとつ「OSを再インストールせよ」しか提示できないわけ。
OS再インストールすればウィルスは必ず除去できる（が、今PCの中にあるデータは全部なくなる）。のでこれを薦めるわけ。

　OSクリーンインストール後にそのPCかPASS変更すれば、多分垢ハックの害は防げるとは思うけれど（確定ではない）
ので、テンプレをまずは分かる範囲だけでもいいので埋めて報告しなさい。

　最終的にはクリーンインストールを薦めることになる気はするけれど……

26 ：(^ー^*)ノ〜さん ：07/11/30 22:44 ID:3SqRK7Xx0

>>25
踏んだとされる時刻の時点では、カスペも未対応だった訳なので、ブロックできた可能性は消える。
入手完了前にIE落とすのが間に合っていた場合が、僅かな可能性として残っているのみ。

VirusTotalで確認しても、現時点では、eSafeとカスペ（あとはFortinetも次回パターン更新で対応）
でないと検出できない為、防衛できた可能性は考えなくていいかも。

・入手してしまったものをカスペで検出して除去して終わり（自己責任）
・ＯＳ再インストール（推奨）
・パターン更新済みのカスペで検出できない→危険が残っているのでOS入れなおし

27 ：(^ー^*)ノ〜さん ：07/11/30 22:44 ID:ZMpMLujR0

狩場情報ひっそりのジュピ１Fのページがなんかバグってるんですが、
これも垢ハックなどの改変によるものですか＞＜？

28 ：(^ー^*)ノ〜さん ：07/11/30 22:55 ID:301M6v7/0

>>23
もうほぼ終了した事だけど…
基本的なことですがブラウザのヘルプからバージョン情報を確認。
マイ コンピュータを右クリックでプロパティでシステムを確認。
(スタートメニューのファイル名を指定して実行、winverで詳細が判る)
検索サイトで調べる癖をつけておくといいです。

>PC関連疎いのでよくわからないですが
ならば尚の事、これを機会にアンチウイルスソフトだけでもインストールするべきかと。
PG2やhosts変更は勉強するつもりで説明をよく読んでやっておくと
今後何かあったときに慌てなくて済む筈です。

29 ：(^ー^*)ノ〜さん ：07/11/30 23:21 ID:3SqRK7Xx0

>>27
｜重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
｜対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

30 ：(^ー^*)ノ〜さん ：07/12/01 01:13 ID:KJb5vLMF0

>>23です(´・ω・｀)
いま>>24にあったのでカスペで再スキャンしてみたところ･･･
help.htm_ - Trojan-Downloader.VBS.Psyme.kq,
index.htm_ - Trojan-Downloader.HTML.IFrame.ba
の二つがみつかりました。
とりあえずOS入れ替えｶﾅとは思うのですが、
一応除去方法を教えていただけないでしょうか？
また、このままの状態でOSを入れ替えた場合ウィルスはきえているのでしょうか？

31 ：(^ー^*)ノ〜さん ：07/12/01 01:22 ID:5y+DhBse0

>30
カスペのオンラインでスキャンして見つかったのなら、カスペの体験版を
DLしてきて、インストールして再度検索すれば、駆除出来る。

他のトロイは居ないと思うが、誰も安全、と断言は出来ないので
HDDフォーマットの後、OS再インストールを勧める。

>また、このままの状態でOSを入れ替えた場合ウィルスはきえているのでしょうか？
HDDフォーマットしてからの入れ替えなら、消えてる。


それと
>【　アンチウイルスソフト 】 無し
これはどう考えてもマズい。
カスペなりを購入してインストールする事を勧める。

32 ：(^ー^*)ノ〜さん ：07/12/01 01:26 ID:UqSwecNH0

完全に安全にしたいのであればどうしてもHDDからのフォーマットになります。
新型ならば隠れているものの見逃しもあるかもしれないし、駆除でも安全かどうかは正直解りません。
過去にかかって駆除したけど、一年したら垢ハックされていたという報告もありますので。

33 ：(^ー^*)ノ〜さん ：07/12/01 06:00 ID:xswyR2By0

俺なんか心配性、もといビビリなので
PC購入したら真っ先にセキュリティ関連から知識を付けていったものだけどなあ。
ウィルス云々の怖さはPC触ってない頃でもTVやら新聞で見聞きしたし。

いい機会だと思って色々やってみるといいかもね。

34 ：(^ー^*)ノ〜さん ：07/12/01 07:44 ID:IXBi7SzP0

>>また、このままの状態でOSを入れ替えた場合ウィルスはきえているのでしょうか？
>HDDフォーマットしてからの入れ替えなら、消えてる。

OS上書きインストールの場合は、消える場合もあるし、残っている場合もある。
残っている場合でも、起動しても読み込まれない為に発動しない、ステルス化もされない為
とりあえずは安全な環境に戻る。（上書きされていない領域に残っているものを、自分で
発動させる危険はあるが）

ステルス化されていない場合、セキュリティソフト（が対応していれば）で確実に削除が行なえる。

>>【　アンチウイルスソフト 】 無し
>これはどう考えてもマズい。

同感。信頼性を考えると、カスペを買って導入することがお勧めだが、予算をすぐに出せない場合
>>2の最後に無料で使えるセキュリティソフトが３つ紹介されているのでそれを利用してもいいかと。

体験版入れて、パターン更新されなくなっても使い続けるのはダメ。パターン更新がないと
新種、新種でアタックかけているものを防げない状態になり、入れていないのと同然になる。

35 ：(^ー^*)ノ〜さん ：07/12/01 07:50 ID:4MSrh/QL0

処で、kingsoftのは昔の罠は消えているのか?
中国語フォントを入れておかないと、中国語フォントがないというエラーを出すダイアログが同じエラーを出して泥沼だったんだが。

36 ：(^ー^*)ノ〜さん ：07/12/01 08:00 ID:IXBi7SzP0

>>35
いつの話だ？

37 ：(^ー^*)ノ〜さん ：07/12/01 08:01 ID:IXBi7SzP0

>>35-36
あ、ごめん、素でスレ間違えた。移動しようか。

セキュリティ対策、質問・雑談スレ3
http://enif.mmobbs.com/test/read.cgi/livero/1186660300/

38 ：(^ー^*)ノ〜さん ：07/12/01 14:07 ID:DTK/M3vj0

>>23 (iframeで >>15 )の罠サイト、画像直リンできないITmediaに
imageタグ飛ばしまくって…どう表示されるか確認してないんだろうか。

39 ：(^ー^*)ノ〜さん ：07/12/02 23:31 ID:G/LAajpf0

福建人の罠ドメインを発見。
www■mylineagejp■net/tt■rar

罠ファイル名はリネだね、どうせroとかFF向けも置いてあるんだろうが。

40 ：(^ー^*)ノ〜さん ：07/12/03 00:02 ID:cEc66NXj0

>>39
>www■mylineagejp■net/tt■rar
Trojan-PSW.Win32.WOW.afn

NOD32,カスペ,マカフィー,AVG,Avast全て捕捉。
Symantecはスルー

41 ：(^ー^*)ノ〜さん ：07/12/03 01:44 ID:rLJT+v+v0

役立たずで正直スマンテック。

てか本当に役立たずだな。
3年ほどノートン愛用で今も2007使ってるけど、期限切れたらカスペにするんだぜ・・・

42 ：(^ー^*)ノ〜さん ：07/12/03 16:26 ID:7Bh6CauR0

初心者的な質問で申し訳ないが、上のような危険アドをhostsに手動で加えていく時
127.0.0.1 lg96☆3322△org/jp/
127.0.0.1 www☆mylineagejp△net/tt○rar
このようにURLのスラッシュを入れてもちゃんと有効になりますか？
どこできればいいかよくわからなく…
まとめサイトの一覧などを見ると/が入ってないので、/の前で切るべきなのかな

43 ：(^ー^*)ノ〜さん ：07/12/03 17:27 ID:cEc66NXj0

>>42
あくまでも、IPの生数字→hosts→DNSの順番で「名前解決」するものなので、後ろは付けないように。

127.0.0.1 lg96■3322■org
127.0.0.1 www■mylineagejp■net

あと、テンプレ位読んでくれ。
｜重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
｜対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ3
　http://enif.mmobbs.com/test/read.cgi/livero/1186660300/

44 ：(^ー^*)ノ〜さん ：07/12/04 09:40 ID:UOd+IEFW0

福建人がこのようなURL表記で爆撃をしている事を確認。
爆撃地点多数ヒット。
www■%6B%65%6C%65%38%38●%2E●com/av/　＝ kele88

いよいよ半角ドットと%2を禁止にしておくべき時が来たか。

ということであげ。

45 ：44 ：07/12/04 09:51 ID:UOd+IEFW0

%2e周辺の●はゴミ入れただけだからね。

46 ：(^ー^*)ノ〜さん ：07/12/04 19:43 ID:RrNN5dzQ0

％を禁止にすれば良いんじゃ

47 ：44 ：07/12/04 19:56 ID:UOd+IEFW0

>％を禁止にすれば
そう言われればそうかもしれないけど、
％をコメに記入したい人もいるかもと考えれば
％２の方が現実的かな、と。

48 ：(^ー^*)ノ〜さん ：07/12/04 23:32 ID:WPpSkdNN0

連中、今度はフリチケに進出した模様。
ttp://page■freett■com/xxends/wz/main■htm
-> ttp://page■freett■com/xxends/wz/Ms06014■htm
-> ttp://page■freett■com/xxends/wz/rp■html
-> ttp://page■freett■com/xxends/wz/zy■htm
-> ttp://page■freett■com/xxends/wz/Ms07004■js

49 ：(^ー^*)ノ〜さん ：07/12/04 23:51 ID:UOd+IEFW0

ちなみにこれも同じ類。
page■freett■com/ffxihackers/

いきなりスクリプトおいてやがる。

50 ：(^ー^*)ノ〜さん ：07/12/05 00:11 ID:SAMHpRiI0

もう2chなどにはかなり爆撃されてますね。
ご注意を。

51 ：(^ー^*)ノ〜さん ：07/12/05 00:16 ID:eyDG+blH0

【　　アドレス 　 】linege■1102213■com
　　　　　　　　　　www■yohoojp■com
【気付いた日時】昨日 23:20頃
【　 　　 OS　 　 】 WinXP SP2
【使用ブラウザ 】 IE6
【WindowsUpdateの有無】昨日
【　アンチウイルスソフト 】カスペ7.0 更新は本日中に２回位
【その他のSecurty対策 】
【 ウイルススキャン結果】現時点で未検出。検体提出の後、パターン更新後にスキャン予定。
【スレログやテンプレを読んだか】 Yes
【hosts変更】無し
【PeerGuardian2導入】有り/資料室の中韓台リストブロック
【説明】
余りにも怪しげなアドレスが、PG2のブロックリストに並んでいるのを発見。

アドレスの前後を削ってぐぐると、既知のアカハックに名前が載っている。
ttp://www■yohoojp■com/haha.exe

一時的に検体入手する為、PG2のHTTP許可を出して入手。VirusTotalにかけたが
AVGが検出する以外、カスペも含めて無反応。(そのためスキャンはパターン対応後を予定）

AVG 7.5.0.503 2007.12.04 Exploit

危険URLに置かれていたため、誤検知ではなく、他がすりぬけてると思われるので
検体提出に行ってきます。どこで踏んだかなぁ。

PG2の履歴を見る限りでは、結構前からブロックの形跡がある。やばいやばい。

52 ：(^ー^*)ノ〜さん ：07/12/05 00:23 ID:dRi93x1r0

>51
まさに福建人の日本人に対する意識が伺える罠ドメインの使い方。
”日本人は馬鹿だからすぐに忘れるぜ、1年位前のなんて覚えちゃいねーだろ”と福建人は思っている。

53 ：(^ー^*)ノ〜さん ：07/12/05 00:59 ID:oTrH/T8x0

>>44
Wikiや検索のURLにも%で始まるのが使われてるので
一概に禁止と言うのも難しいんですよね

あと、IE系では表示されて、Mozilla系だと表示されない傾向があるようです

54 ：(^ー^*)ノ〜さん ：07/12/05 01:27 ID:dRi93x1r0

>>53
コメント欄限定の話だから問題ないんじゃね？
普通コメント欄にそんなの書き込むやつがいるのかどうかって話だと思うし。

55 ：(^ー^*)ノ〜さん ：07/12/05 04:22 ID:qyCMMz/b0

ルータの仕様なのか何なのか判らないが、>>44 みたいな
エンコードされたドメインは名前解決できなかった。

56 ：(^ー^*)ノ〜さん ：07/12/05 13:45 ID:dRi93x1r0

福建人の罠ドメインを確認
www2■h3210■com
お約束の各種ディレクトリも確認
jp、av

/はどっかの無料サイトのページをパクリ、サイズ0のIFRAMEタグを発動し、kele88ウィルスを仕込む形。
/jp/の場合、ITMEDIAのサイトを見せてと罠発動と言う形。
/av/の方は日本のサイト（情報を見ると東芝系？）を見せて罠発動と言う形。

しかしavの方の日本サイトは空白、どういうことだろ。

57 ：(^ー^*)ノ〜さん ：07/12/05 15:17 ID:JS6t4KH10

>>48
page■freett■com/xxends/wz/hy.exe
スルー多数。上から3つ目のrp.htmlに注意。
スクリプトが動作環境を限定しており、2000・XP・2003、IE6・IE7、
RealPlayer6.0.14.536・6.0.14.543・6.0.14.544・6.0.14.550・6.0.14.552。
すなわちRealPlayer11Betaを狙い撃ちする。
Betaユーザは正式版(6.0.14.748)への更新を。
URLを削ってトップに行ったらエロサイトを偽装、
RealPlayerでエロ動画を再生(青少年有害)。

>>49
全ページ見たわけじゃないが、FFのツールが置いてあるだけじゃね?
freettはデフォで広告スクリプトてんこ盛りだが有害コードは見あたらなかった。
ツール置き場は www■mediamax■com/jameswhite333312/ (以下略)
接続できなかったので確かめてないが、仕込まれているとしたらツール側と思われる
(他所でrarファイル直リンでの爆撃も散見されたことから)。

>>51
期限切れたとかでレンサバ業者の広告になってね?

>>56
トップは前記のRealPlayer11Beta狙い撃ちスクリプト。
avとjpはいずれもiframeで
www■kele88■com/av/help.htm から
www■kele88■com/av/av.exe
avは東京新聞、jpはITmediaのパクリ。
av.exeはほぼ捕捉可能と思われる。

58 ：(^ー^*)ノ〜さん ：07/12/05 15:18 ID:oTrH/T8x0

>>44に追加情報があったので転載

> Wikipediaに次のようにあるので、Shift_JISを使った場合は
> 「.」にあたる文字を規制しても、Wikiの漢字URL関連には影響なさそうです
> > Shift_JISの2バイトコードの空間は、
> > 第1バイトが0x81-0x9Fならびに0xE0-0xFC、
> > 第2バイトが0x40-0x7Eならびに0x80-0xFCである。
>
> よって、0x2E (URLエンコード表記では0xを%に置き換える)は
> 漢字の部分には影響はなさそうです

普通に、「%2E」及び「%2e」を禁止ワードとすればよさそうです

59 ：57 ：07/12/05 15:42 ID:JS6t4KH10

>>56
トップ変更。iframeで
www■kele88■com/av/help.htm から
www■kele88■com/av/av.exe
つまりjpやavと同じ。
「無料サイト集kooss」(何これ?)のパクり。

60 ：(^ー^*)ノ〜さん ：07/12/05 17:10 ID:dRi93x1r0

>>57
FreeTTのffxihackers

Bugs,Exploits,Bots,Hacks,Cracks,Tools & Macros.....
YOUR BEST IS OUR WORST....

とてもまともなサイトには見えないんで一応通報済み。
福建人の本業といったところか。
どうせこのサービス使ったのはTT（リネ：サービス名を中華風に言えば無料リネ）が入ってたからだろうけど。

mediamaxの方は無料のストレージサービスな。
連絡先あったからこれから通報。

61 ：(^ー^*)ノ〜さん ：07/12/05 17:33 ID:dRi93x1r0

mediamaxの罠RARファイル、やばい。
現時点で検出してるのが
Avast、BitDefender、NOD32（ヒューリスティック）、Panda、Rising、Webwasherのみ。

62 ：(^ー^*)ノ〜さん ：07/12/05 18:08 ID:NUog8QzJ0

なんかあちこちに張られてるなぁ。
必死すぎｗ

63 ：(^ー^*)ノ〜さん ：07/12/05 18:20 ID:ueF2OJza0

笑えねーだろ

64 ：(^ー^*)ノ〜さん ：07/12/05 18:28 ID:kqR9Ymvx0

ついでにkele88は未実装スレにも爆撃してる

>ttp://www■yinra■com/inf/

セキュスレ>777から見てもらえば判るが、このドメインはkele88との事。
VirusTotalはほぼ全てスルーしたらしい。

65 ：(^ー^*)ノ〜さん ：07/12/05 18:32 ID:mLXgnLSI0

>>58
%2eを禁じても、
www■%6B%65%6C%65%38%38■com/av
とやられたらスルーされてしまうかと。じゃ%6B%65%6C%65%38%38ならどうか
とくれば
www■k%65%6C%65%38%38■com/av
と来れば回避できる。即ち、単純な方法じゃ無理という事です。
CGIのコードに手を入れるか、urlの投稿を禁じる等の運用で対処するかでしょう。

ちなみにエンコードされたドメイン名を含むアドレスはOperaでもアクセスできます。
この件はアプリ毎の実装の違いでしょうから仕様は余り関係ないか。

何はともあれご注意を。

66 ：(^ー^*)ノ〜さん ：07/12/05 18:42 ID:dRi93x1r0

>>65
個人レベルである程度防げりゃ良いんじゃね？
そこまで変なURLになればさすがに怪しむ方が多いと思う、
他人や知人の名前パクってウィルスリンク書いても胡散臭いリンクじゃ、ね。

殆どレンタルサービス借りてやってるだろうから
その辺の根本的対策ともなればそれこそサービス運営に要望を出さんといかん。

67 ：(^ー^*)ノ〜さん ：07/12/05 18:59 ID:eyDG+blH0

初心者スレに投下されていたもの。他にも多数のスレに投稿されている模様。
警鐘age

ttp://www■hao123■com
ttp://www■887766■com

怪しいアドレスを見掛けても踏まないように。

68 ：(^ー^*)ノ〜さん ：07/12/05 19:00 ID:mLXgnLSI0

>>66
一応現実的には問題は無いと思う。
一つの策で完全に防ぐ、というよりは複数の策で絡め取るほうが効果的でしょう。
カクテル療法って奴ですな。

ただ、%2e禁止策に関しては回避がすさまじく容易な物なのでその危険性を
把握すべき、ということです。意味無いとは言いませんが…。

ぶっちゃけ既出の、URL禁止化やコメントの管理者の検閲必須化のほうが有効でしょう。

69 ：(^ー^*)ノ〜さん ：07/12/05 19:04 ID:ueF2OJza0

もうあぷろだのURLと管理人がテンプレに書くときだけのURL以外は禁止したらいいんじゃないかなここ

70 ：(^ー^*)ノ〜さん ：07/12/05 19:05 ID:ueF2OJza0

書いて気付いたがセキュ向けだな、すまん

71 ：(^ー^*)ノ〜さん ：07/12/05 19:26 ID:9RQKcKP50

>>64の対処法を教えてもらえます？
再インストールはディスクを無くしてしまって、スキャンは出ないみたいなので・・
踏んじゃったのでなんとかしようとは思ったのですが、こういう事が初めてでして・・

72 ：(^ー^*)ノ〜さん ：07/12/05 19:28 ID:eyDG+blH0

>>71
パターン対応するまでPC起動しない。
対応されたら、パターン更新だけ接続して切断。
スキャンして除去。

ぶっちゃけ、ＯＳのインストールディスク発掘がんばれ。

73 ：(^ー^*)ノ〜さん ：07/12/05 19:33 ID:9RQKcKP50

>>72
了解です
切る前にもうひとつ質問なんですが、セットアップが出てきたので怪しいと思いキャンセルしたのですが、これでも感染はしているのでしょうか？
ブラウザはSleipnirです。

74 ：(^ー^*)ノ〜さん ：07/12/05 19:36 ID:vbusE51i0

パソコン内のイルカやらゲイツやぐーぐるに聞けばいいだろ。

75 ：(^ー^*)ノ〜さん ：07/12/05 20:11 ID:JS6t4KH10

>>73
実行していないなら問題なし。

76 ：(^ー^*)ノ〜さん ：07/12/05 20:14 ID:eyDG+blH0

>>73
キャンセルは正解。実行を阻止したなら感染していない「可能性が高い」。

感染した為に呼びだされたセットアップかもしれず、なんの保証もできない。
セキュスレによると、>>64のアドレスは、setup■exe を直接呼びだす構造なので
実行を阻止したなら感染していない「可能性」もある。

あとは自己責任で判断して欲しい。このスレで推奨するのはOS入れなおし。

77 ：(^ー^*)ノ〜さん ：07/12/05 20:54 ID:kqR9Ymvx0

>67
hao123も887766も共にcnだが、内容がなんとも。

hao123はBSWiki氏の危険ドメインに存在してるので、過去に危険だったのは間違いない。
887766はswfが多用されてて、もしかしたら脆弱性を付くタイプの代物があるのかもしれない。

ただリンクが多すぎてチェックしきれないし、IPも調べたがちょっと判断が付かない。

ただスレ爆撃の書き方からしても普通じゃないのとCNドメインだし、暫定的でも
危険アドレス扱いで良いかと。

78 ：(^ー^*)ノ〜さん ：07/12/05 20:59 ID:eyDG+blH0

>>77
乙。

わたしも887766を辿ってみてたんだが、もう、リンク多すぎで本体見つからず。どうしたものかと。

79 ：(^ー^*)ノ〜さん ：07/12/05 21:51 ID:eyDG+blH0

>>64
カスペから返答。本日多数のスレに貼られた>>64のアカハックトロイは、
パターンを更新すれば検知可能になっているとのことです。

setup■exed - Trojan.Win32.Inject.mu

This file is already detected. Please update your antivirus bases.

80 ：(^ー^*)ノ〜さん ：07/12/05 22:17 ID:eyDG+blH0

LiveROに貼られていたアカハックと思われるアドレス。多分、既出。

www■778899■jp

81 ：(^ー^*)ノ〜さん ：07/12/05 22:45 ID:dMNQ6WGG0

>80
未出と思われ。

で、ソース覗いてみたが、これまた良く分からない。
>www■778899■jp■:80
こんな感じでjpやcomの後に「.」を置く書式になってたり
whoisで見つからなかったりとか。

これは一体？

82 ：(^ー^*)ノ〜さん ：07/12/05 23:21 ID:JS6t4KH10

「サーバが見つかりませんでした」
comドメインはあるんだけど、こっちもIISの初期ページ。
何かミスったものと思われ。

83 ：(^ー^*)ノ〜さん ：07/12/06 10:03 ID:VJgmI9t80

最後の . はルートドメインだな。

84 ：(^ー^*)ノ〜さん ：07/12/06 22:21 ID:Tsw0g7h00

【　　アドレス 　 】http://www■qipilang■org/shabi/
【気付いた日時】 07/12/06　05:40頃
【　 　　 OS　 　 】 winXPSP2
【使用ブラウザ 】 IE6(Sleipnir)
【WindowsUpdateの有無】 自動更新
【　アンチウイルスソフト 】 Symantec Antivirus　定義ファイル自動更新
【その他のSecurty対策 】 ルータ Spybot S&D、Ad-Aware SE
【 ウイルススキャン結果】 未検出
【スレログやテンプレを読んだか】Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
開く途中か開かれても白かったのか不明だが表示が遅かったので気付いた。

大人しく再インストールですかね

85 ：(^ー^*)ノ〜さん ：07/12/06 22:35 ID:K5ThLcHQ0

＞大人しく再インストールですかね

うんっ(^-^)ｷｯﾊﾟﾘ

86 ：(^ー^*)ノ〜さん ：07/12/06 22:39 ID:tf0QLJTd0

FreeTTの罠サイト2つ消滅を確認。

87 ：(^ー^*)ノ〜さん ：07/12/06 22:49 ID:K5ThLcHQ0

>>84
ぶっちゃけ、こんな感じ。

カスペオンラインスキャンで入手してないかスキャンして自己責任で使い続けるって手もあるけど
（カスペは全部撃墜）正直お勧めしない。やっぱりOS入れなおしコースじゃないかな。

ttp://www■qipilang■org/shabi/index■htm
ttp://www■qipilang■org/shabi/wz■htm
ttp://www■qipilang■org/shabi/wu■htm
ttp://www■qipilang■org/shabi/dns■htm
ttp://www■qipilang■org/shabi/kiss■htm

ttp://www■xinluoqu■com/FFXI/ser■exe
ttp://www■xinluoqu■com/shagua/test■exe
ttp://www■xinluoqu■com/ied/as■exe
ttp://www■xinluoqu■com/shabi/svch■exe

全部、Symantecはスルー

ser■exe : Trojan-PSW.Win32.OnLineGames.fcj
test■exe : Trojan.Win32.Inject.ke
as■exe : Heur.Trojan.Generic
svch■exe : Trojan.Win32.Pakes.bqf

88 ：(^ー^*)ノ〜さん ：07/12/06 22:50 ID:K5ThLcHQ0

・・・「■exe」が禁止ワードっぽい。投稿しにくいったらないな。

89 ：(^ー^*)ノ〜さん ：07/12/07 00:32 ID:2Zm2pl6R0

でも■exeが使用可能だった場合を考えるとさらに被害甚大だっただろうからしかたあんめえ

90 ：(^ー^*)ノ〜さん ：07/12/07 00:34 ID:LxJp4SOU0

そもそも実行ファイルへのリンクなんて普通は不用だしな

91 ：(^ー^*)ノ〜さん ：07/12/07 07:54 ID:t9izoZp50

>>87
asがUPXなのでバラして見てみたらSecondLife用のトロイだった。
いろいろ詰め合わせなのね。

92 ：(^ー^*)ノ〜さん ：07/12/07 08:40 ID:O2fV/L3D0

kele88■com系は2chにも激しく爆撃をしてたようで、運営側で対策が取られたようです

No A057 トロイサイト 【kele88■com】 宣伝対策
http://qb5.2ch.net/test/read.cgi/sec2chd/1196775676/

IPとかが参考になるかな。・・・・やぱりODN。

93 ：(^ー^*)ノ〜さん ：07/12/07 14:49 ID:t9izoZp50

アカハックと並行してWebサーバを書き換えると思われるものもある
(プログラム中にiframeベタ書き)けど、>>92 のリモホが結構ばらばらなので
投稿するルーチン持ってる奴もあるのかもねぇ。

94 ：(^ー^*)ノ〜さん ：07/12/07 15:02 ID:mz5ezUdn0

>>92
上２つはこのスレでも既出っすね。
ttp://www■kele88■com/av/
ttp://www■%6B%65%6C%65%38%38●%2E●com/av/　　（●%2E●=%2E＝.)

>>92のスレでkele88への誘導とされているアドレス。
多分、こっちの幾つかは未出かな。見覚えあるのも混ざってるけど。

ttp://av■blog5566■com/images/
ttp://www■jp2008■co■cc/
ttp://lg96■3322■org/jp/
ttp://www■yahgoo■co■cc
ttp://kooss■2288■org

95 ：(^ー^*)ノ〜さん ：07/12/07 15:24 ID:t9izoZp50

FF関連BBSに投下されたkele88で
blog2008■9966■org/images/
ってのもあった。

96 ：(^ー^*)ノ〜さん ：07/12/07 17:50 ID:UcUtzSsTO

リンククリックしないでいれば大丈夫なのか？ 行きなりハックされたりはないの？

97 ：(^ー^*)ノ〜さん ：07/12/07 18:00 ID:O2fV/L3D0

>>95
kele88系が投入しているサブドメイン付きの物はどうも中国の無料サービスを利用しているみたいだね。
レンタルサーバかなにかかな。提供元は捜索中。

>>96
その辺の軽めな話題は姉妹スレへどうぞ。多分大丈夫。

98 ：(^ー^*)ノ〜さん ：07/12/07 19:27 ID:nXF5E7CF0

co■ccはそれっぽい名前にしてくれるっていう無料サービスだね。
例：12345■com -> abcde■co■cc
blog5566は初見、福建人はホント同じ数字2つ並べるのが好きだな。

99 ：(^ー^*)ノ〜さん ：07/12/07 20:00 ID:t9izoZp50

dj5566とか思い出すなｗ

100 ：(^ー^*)ノ〜さん ：07/12/07 21:55 ID:p5fxn2nvO

課金が切れてる場合に踏んだらどうなるの？
次インするまでは大丈夫なのかな？

read.cgi ver5.26 + n2 (02/10/01)