アカウントハック総合対策スレ9

1 ：夢 ★ ：07/11/25 11:04 ID:???0

アカウントハックに関する情報の集積・分析を目的とするスレです。
被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

・ 関連＆参考情報アドレス (>>2)
・ 報告用＆質問用テンプレ (>>3, >>4)
・ アカウントハック対応の要点とFAQ (>>5)
・ 安全対策の簡易まとめ (>>6)
・ アカウントハッキングについて（ガンホー公式）
　 http://www.ragnarokonline.jp/playguide/hacking/

■スレの性格上、誤って危険なURLがそのまま貼られてしまう可能性がある■
■URLを無闇に踏んで回らないこと。報告・相談はテンプレを利用すること■

※ ID/Pass/サーバ/キャラ名等の情報は公開しないでください
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません
※ ネタや程度を超えた雑談・脱線はご遠慮ください

・スレ立て依頼は>>970がしてください。反応がなければ以降10ごとに。

【一般的話題用】
セキュリティ対策、質問・雑談スレ3
　http://enif.mmobbs.com/test/read.cgi/livero/1186660300/

101 ：(^ー^*)ノ〜さん ：07/12/07 22:35 ID:3by9wGlQ0

>100

>1
>対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。
>【一般的話題用】
>セキュリティ対策、質問・雑談スレ3
>　http://enif.mmobbs.com/test/read.cgi/livero/1186660300/

セキュスレの方で回答しておいた。

102 ：(^ー^*)ノ〜さん ：07/12/07 22:36 ID:EVLGfuRF0

>>100
ダイジョウＶ

103 ：(^ー^*)ノ〜さん ：07/12/07 22:49 ID:p5fxn2nvO

板違いだったか。ごめん＆ありがとう

104 ：にゅぼーん ：にゅぼーん

にゅぼーん

105 ：(^ー^*)ノ〜さん ：07/12/08 01:21 ID:+e6KErEW0

>104
まず最初に、急いで削除依頼してきなさい。

その結果のアドレス、ハクアドレスでブラウザからも飛べてしまう。

106 ：(^ー^*)ノ〜さん ：07/12/08 01:22 ID:3g42axh60

中華の新たな手口か

107 ：104 ：07/12/08 01:26 ID:5MAP1ayh0

さーせん。完全に見落としでした。マッハで削除依頼だしてきます orz

108 ：104 ：07/12/08 01:31 ID:5MAP1ayh0

と思ったら、どなたかが出してくれてました。
ご迷惑をおかけしました。ありがとうございます。
削除される前提で、もう一回書き込ませていただきます。

【　　アドレス 　 】tinyurl■com/yty3le
【気付いた日時】数時間前
【　 　　 OS　 　 】Win XP Pro SP2
【使用ブラウザ 】 FireFox 2.0.0.11
【WindowsUpdateの有無】でるたびに即時更新してます。確認しましたが最新でした。
【　アンチウイルスソフト 】NOD32/カスペルスキー試用版　どちらもバージョンは最新
【その他のSecurty対策 】Spybot S&D
【 ウイルススキャン結果】 NOD32製品版とカスペルスキー試用版にてスキャン。詳細は説明へ
【スレログやテンプレを読んだか】このスレと前スレは目を通しました。
【hosts変更】無
【PeerGuardian2導入】無
【説明】
ROとは無関係なゲームのwikiにて誤クリックで飛びました。飛び先は青だけの画面。
パスワード関連は別PCから変更完了しています。

短縮URLのソースチェッカーオンラインでの結果 : www■caremoon■net/blog/index■htm

前スレ990及び993とほぼ同じサイトのようです。
そちらのレスではNOD32/カスペルスキー共に撃墜したとの話だったのですが、
同名のトロイはどちらにも検知されませんでした。

スキャンはNOD→反応なし、カスペ→Trojan.Win32.Delf.ajiを検知→削除完了。
が、前スレで挙がっている名前とは違うので、別の物を見逃してたのかな…と思っています。

出来ればクリーンインストールは避けたいのですが、
「まだこれが残ってる」という対策があればご教授お願いします。
遅まきながらHosts変更とPG2は導入しました。
セキュスレ行きでしたら、その旨の指示もお願いします。

109 ：(^ー^*)ノ〜さん ：07/12/08 02:30 ID:+e6KErEW0

>108
アドレス自体は既出のもので、iframeでサイズ0のindex1■htmを呼び出してる。
中身は昔見た覚えのある、懐かしすぎるタイプ。
デコードしてみたところ、カスペで　Trojan-Downloader.VBS.Psyme.ds　として検出。

www■caremoon■net/blog/index■htm
->www■caremoon■net/blog/index1■htm　（Trojan-Downloader.VBS.Psyme.ds）
--->www■caremoon■net/blog/send■exe　(Trojan-PSW.Win32.Delf.aih)
--->www■caremoon■net/blog/f2■exe　（Trojan-PSW.Win32.OnLineGames.fcj）
--->www■caremoon■net/blog/reak■exe （Trojan-PSW.Win32.Magania.bph）

カスペは全部検出してるが、>104の検出結果と微妙に違ってるのが気になるところ。
既に差し替えられたのかな？

完全に駆除されて安全ですとは誰も言えないので、確実を期すなら再インストール。

再インストールしないなら、自分が安全だと自信を持てるまではそのPCは使わないこと。
打てる対策といっても、数日の間は定期的にカスペ等でフルチェックを掛けまくるぐらいしかない。

110 ：104 ：07/12/08 03:05 ID:5MAP1ayh0

>>109
丁寧な返信ありがとうございます。
情報漏れがありましたので追記しておきます。

踏んだ時点ではウイルスソフトはNOD32を使用しており、何の反応も示しませんでした。
その時点でおかしいと思って検索をした結果、垢ハックアドレスの事実を知り、
その後にカスペのインストール及びスキャンを行ったため、カスペでのスキャンは感染後（？）になってます。

双方で全く検知されないって事は「即閉じ or 何らかの理由で逃げ切れた」って可能性もありそうですが、
潜伏されてる可能性の方が高そうなので、この週末に潔くクリーンインストールしようと思います。

Trojan-PSW.Win32.OnLineGames.fcjはNOD32での撃墜事例があるようですので、
何故今回に限って検知できなかったかは疑問が残りますが、素人が余計な事すると自爆しそうなので忘れる事にします。

104のミスは申し訳ありませんでした。迅速な削除に感謝します。

カスペに乗り換えよっかな…(´･ω･`)

111 ：(^ー^*)ノ〜さん ：07/12/08 09:08 ID:9OxcJ5/B0

福建人の罠ブログを見つけた。
secondlife001■blogspot■com
自分で改竄したcaremoon入りWikiの編集画面から記事丸パクリ。

プロフィールには福建人お気に入りに女性名。（liu200711xxシリーズのプロフィールで多用）
caremoonのリンクがある。

Blogspotなんで違反ブログ申告とかはないみたい。
規約では”記事には嘘の情報や危険な情報があるかもしれない、それにアクセスするのは自己責任”としか書かれていない。
知人友人に利用者がいなければBlogspotをフィルタリングするべきかね。
そういう場所にヤフーのliu200711xxシリーズのようなマルチアカウントやられるとまずいしね。

112 ：111 ：07/12/08 09:23 ID:9OxcJ5/B0

連絡先は捜したらあったが英文のみらしい。
help.blogger.com/?page=contact&hl=en

しかもGoogleアカウントが必要。
先に日本語で書いておいたのをエキサイト翻訳して送った。

113 ：(^ー^*)ノ〜さん ：07/12/08 12:31 ID:9OxcJ5/B0

コレも福建人の罠、と。
blog2008■9966■org

/imagesディレクトリには
kele88へのステルスIFRAMEが仕込んである。

ちなみにimagesディレクトリの中身はこの掲示板のソース丸パクリの上で仕込んだもののようだ。
one-make.jp/bbs/

おそらく育成とBBSで福建人キーワードに引っかかったんだと思われ。

114 ：(^ー^*)ノ〜さん ：07/12/08 15:23 ID:+e6KErEW0

>110
NOD32で調べた結果

send■exe　(Win32/PSW.OnLineGames.FCJ　トロイの亜種)
f2■exe　（Win32/PSW.OnLineGames.FCJ）
reak■exe →　素通り

reak■exeはESETに送付済。

多分新種で検出出来なかったんでしょう。
NOD32からカスペに切り替えるのは自由だけど、過去ログ読めば判るように
カスペをスルーするように作ってるものも多い。
カスペだから安全とか、変に過信すると痛い目に遭うので注意。

115 ：(^ー^*)ノ〜さん ：07/12/08 19:28 ID:kizk7CTV0

NOD32だから安全とか、変に過信すると痛い目に遭うので注意。

116 ：104 ：07/12/08 23:49 ID:5MAP1ayh0

>>114
NOD32での検証ありがとうございます。そして、提出お疲れ様です。

そうですね。何事も妄信は危険ですね。
そのへんを肝に銘じて、今後はそれ以外の対策に気を使っていきたいと思います。
PG2とかHosts変更とか…注意力とか。

以後名無しに戻ります。ありがとうございました。

117 ：(^ー^*)ノ〜さん ：07/12/09 02:17 ID:4qnUIw+i0

【　　アドレス 　 】http://www■qipilang■org/shabi/
【気付いた日時】 07/12/09　01:00頃
【　 　　 OS　 　 】 winXPSP2
【使用ブラウザ 】 IE6(Sleipnir)
【WindowsUpdateの有無】 自動更新
【　アンチウイルスソフト 】 ウイルスバスター2007（アップデート日時12/08）
【その他のSecurty対策 】 ルータ
【 ウイルススキャン結果】 検出後、隔離済み
【スレログやテンプレを読んだか】Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
開こうとしたらウイルスバスターが警告出してくれたので気づいた。
TemporaryInternetFilesに入ってたのでTemporaryInternetFilesの下にあったファイルとフォルダを全消去。
消した後に再度ウイルススキャンをかけたら発見されなかった
大丈夫・・・と見ていいんでしょうか？

118 ：(^ー^*)ノ〜さん ：07/12/09 06:25 ID:a3+rbOD80

ブロックできた可能性が高いとは思うが保証はできない。

・ブロック出来たと信じ、予防のためにPG2で送信をブロックしつつそのまま使用
　（他のエンジンでオンラインスキャンをかけて全検査すれば尚よし）
・安心できないのでOS入れなおして、確実に安全な環境に戻す

好きな方を選べ。

119 ：(^ー^*)ノ〜さん ：07/12/09 08:54 ID:4oHBOaED0

>>117
>>87

120 ：(^ー^*)ノ〜さん ：07/12/10 20:37 ID:c72v0p4Q0

【　 　 　 気付いた日時　 　 　 　 　 】１２/１０　１８時前
【不審なアドレスのクリックの有無　】Wikiで踏みました
【　　アドレス 　 】 http://www■qipilang■org/shabi/
【　 　　 OS　 　 】 XPのSP２
【使用ブラウザ 】 FireFox　２．０．０．１．１
【WindowsUpdateの有無】 自動でしています
【　アンチウイルスソフト 】 ウイルスバスター２００７
【その他のSecurty対策 】 していません
【ウイルススキャン結果】 カスペルスキーオンラインスキャンでは発見されませんでした
【テンプレの参考サイトを読んだか】 ざっと読みました
【hosts変更】わかりません
【PeerGuardian2導入】無し
【説明】
セキュリティ対策、質問雑談スレの877です。
こちらのスレは見ていませんでした…。申し訳ありません。
カスペで除去してから再インストールしようとしたのですが、ウイルス自体が
発見できません。Spybotを導入してみて検索しても発見できません。
FireFoxに、NoScriptというアドオンを入れているのですが
ブロックできたと考えていいのでしょうか。もし隠れてしまっている場合
どうやって探せばいいのでしょうか。
初歩的な質問ですみません。

121 ：(^ー^*)ノ〜さん ：07/12/10 21:10 ID:EcrYiZ5U0

>>120
>>117-119

122 ：(^ー^*)ノ〜さん ：07/12/10 21:34 ID:c72v0p4Q0

今再インストールしています（書き込みは別PCから）。隠れている物は
どうやっても発見できないということですね。また感染してしまったら、ウイルスソフトは
もう意味がなくなり、再インストール以外は、どうしようもないのですね…。
今回のことはとても勉強になりました。ありがとうございました。

123 ：(^ー^*)ノ〜さん ：07/12/10 23:12 ID:5t7/Gfmu0

>>122
一般的な内容になってしまうので、セキュスレに移動しようか悩んだけど、簡単にコメント。

>隠れている物はどうやっても発見できないということですね。
セキュリティソフトを無効にする等の方法で発見できなくする（ステルス化）場合もあります。
どうやっても発見できないということはなく、感染していないシステムに、感染したHDDを繋いで
ステルス化されていない状態でスキャンするとか方法がない訳ではありません。

>また感染してしまったら、ウイルスソフトはもう意味がなくなり、
感染した場合でも、セキュリティソフトで除去したり（もちろんパターンに対応済みの場合）
別途専用のワクチンソフトを用意して除去する方法もあります。
（アカハックトロイの場合の専用ワクチン[除去]ソフトはありません）

>再インストール以外は、どうしようもないのですね…。
状況判断ができない人の取れる対応策はそういうことになります。

今回のケースも、「入手前に切断した」のでセキュリティソフトが反応していない可能性も
ありますが、自分で判断しなければなりません。他の人は実際にアカハックトロイが
存在しないことや、発動していない事を保証できません。

自分で判断できる場合は、>>118のような選択肢になりますが、「ここで質問する＝自分で判断できない」
ケースですので、再インストールするのが安心だねとしか言えません。

124 ：(^ー^*)ノ〜さん ：07/12/12 07:46 ID:LN5DvGf90

第2水曜WU日age

125 ：(^ー^*)ノ〜さん ：07/12/13 07:52 ID:0BvQHsJH0

ROセキュリティWikiの改竄リンクより
www■soracger■com/blog/
www■soracger■com/blog/index1.htm
から
www■caremoon■net/blog/send■exe
www■caremoon■net/blog/f2■exe
www■caremoon■net/blog/reak■exe

126 ：(^ー^*)ノ〜さん ：07/12/13 16:51 ID:0BvQHsJH0

リネージュ資料室より
www■boadongo■org/vbshokmm/
iframeで(略)で
www■boadongo■org/vbshokmm/fff■exe FFXI用
www■boadongo■org/vbshokmm/ttt■exe Lineage用

127 ：(^ー^*)ノ〜さん ：07/12/13 18:53 ID:SOReIsTt0

>>126
iframeで(略)で
ttp://www■boadongo■org/vbshokmm/ttani■c
ttp://www■boadongo■org/vbshokmm/ffani■c

カーソルとして読み込みってのも。これはWindowsUpdateで防げるとは思うけど。

128 ：まとめ臨時 ◆kJfhJwdLoM ：07/12/14 04:36 ID:uHkoT9b30

>>126
情報提供ありがとうございます。
今までやってなかったのもアレでしたが、
他MMOの罠は大抵共通するドメインだったりするので
今後、並列してリネージュ研究室で加えられているリストも
随時チェックすることにしました。

事後報告になりますが、
こまめに臨時サイトで更新しています。
http://sky.geocities.jp/ro_hp_add/

やっとグーグルで引っかかるようになったので安心。
こういう紹介文っぽい跡にURLを張ると罠っぽくていけない…。

129 ：(^ー^*)ノ〜さん ：07/12/14 10:43 ID:JvItf7NH0

うちのWiki(非RO)にも今朝改ざんがあったので報告。
MenuBarのリンク先が変更されてました。
　→ www■plusd-itmedia■com/web/
中にはサイズ0のiframeで www■caremoon■net/blog/index1.htm
こちらにはJSとVBSのみ。VBSは面倒だったんで解読してないけど、構成や手法から>>125と同じではないかと思われます。

plusd-itmedia ってのは初出かな?

130 ：(^ー^*)ノ〜さん ：07/12/14 11:27 ID:amFPWy4B0

>>129
VBデコードしてみたけど>>125から変化なす。

plusd-itmediaには見覚えあったんだが、気のせいだったようだ。前スレまで遡ったが出てないようだ。

131 ：(^ー^*)ノ〜さん ：07/12/14 11:36 ID:smAE9lNe0

>130
気のせいじゃないよ。

自分も見覚えあったからちょっと調べてみたら、リネ資料室さんところの
履歴に 2007/04/15 付けで plusd-itmedia が追加されてた。

その時に11件追加されてるが、その中にhomepage-niftyがあったので
昔のものが復活したっぽい。

132 ：まとめ臨時 ◆kJfhJwdLoM ：07/12/14 22:12 ID:wiVMGBYV0

Heimdal板で書き込まれていた罠。
お約束でインラインフレームが仕込まれています。

ttp://xi24pps■blog23■fc2.com(初見)
｜-ttp://www■nlftweb■com(既出罠)

検体確保のほうはよろしくお願いします。

133 ：(^ー^*)ノ〜さん ：07/12/14 23:40 ID:amFPWy4B0

>>132
検体捕獲はしましたが、検出結果はまだ調査してないです。

ttp://xi24pps■blog23■fc2■com/
ttp://www■nlftweb■com/link179700/
ttp://www■rmtfane■com/link179700/ttmain■htm
ttp://www■rmtfane■com/link179700/main■htm
ttp://www■rmtfane■com/link179700/ttani■htm
ttp://www■rmtfane■com/link179700/ttani■c
ttp://www■rmtfane■com/link179700/Ms06014■htm
ttp://www■rmtfane■com/link179700/ani■c
ttp://www■rmtfane■com/link179700/jpmm■exe
ttp://www■rmtfane■com/link179700/ff■exe

134 ：(^ー^*)ノ〜さん ：07/12/14 23:44 ID:AvTW6i0p0

これは垢ハック?

ttp://search■cnn■com/search?query=site%3Amultisquid■com%20-1999-buick-regal-gs-superchargerrs

135 ：(^ー^*)ノ〜さん ：07/12/14 23:46 ID:AvTW6i0p0

すまん・・テンプレ付きではるの忘れてた

136 ：(^ー^*)ノ〜さん ：07/12/15 00:09 ID:kvoWVNhR0

※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※

137 ：(^ー^*)ノ〜さん ：07/12/15 00:27 ID:bAznum17O

今ローグテンプレみようとしたら真っ白でなにか文字がでてました。
これはアカハックなのでしょうか？

138 ：137 ：07/12/15 00:47 ID:bAznum17O

真っ白い画面にKurokogeって出ます

139 ：(^ー^*)ノ〜さん ：07/12/15 01:10 ID:IXzTQI2c0

ローグスレのテンプレに

□テンプレが見られない場合
　ビフレストシステムの通過認証が必要です。
　認証ページに従ってプロバイダの使用IP帯を送信してください。
　※面倒かもしれませんが垢ハック対策でもあります。ご理解・ご協力をお願いします。


と書いてある

140 ：(^ー^*)ノ〜さん ：07/12/15 02:34 ID:3ACfYbCd0

【　　アドレス 　 】www■ie6xp■com/playonline/
【気付いた日時】 12/15　01：00頃
【　 　　 OS　 　 】Windows2000
【使用ブラウザ 】IE6
【WindowsUpdateの有無】 3日前ぐらい？
【　アンチウイルスソフト 】 AVG（多分…
【 ウイルススキャン結果】 オンラインチェックでVBS_PSYME.BBEとでました
【スレログやテンプレを読んだか】 今読んでます。
【説明】
Wikiを探してる最中に踏んだら画面が真っ白。
ん？と思いソースチェッカーというものをやったら危険URLと出たので
慌ててオンラインチェックをし、ウイルスが1つ検出され削除しました。
こういう事は始めてなのでこれでいいのか不安です　よろしくお願いします。

141 ：(^ー^*)ノ〜さん ：07/12/15 03:50 ID:FiCRfeqq0

>>140
とりあえず感染したパソコンで絶対にパスやID入力の必要なことをしない
んで「感染していないパソコン」からパス変更
そしたらアンチウィルスソフトで駆除してそのまま使うか
バックアップとってHDDフォーマット後OS再インストールか
前者はウィルスが隠れてたらアウト
後者のほうはバックアップをスキャンするのを忘れずに
AVGで検出できるかわからんけどオンラインスキャンで検出できたならそこの体験版でも落せばいいかもね
後PG2みたいなファイヤーフォールソフト入れて中国にアクセスできなくしておくとより安全

142 ：(^ー^*)ノ〜さん ：07/12/15 06:42 ID:kvoWVNhR0

>>140
VBS_PSYMEというキーワードで検索すると、トロイ等をダウンロードするスクリプトの入った
HTMLページであることがわかります。

検知されたのは、多分、IEのキャッシュでしょう。
実行した結果の本体がどこかに隠れている危険な環境なのか、
本体をダウンロードするまえに切断して安全な環境なのか
判断する事ができません。

推奨する解決策：OSの入れなおしかリカバリにより確実に安全な環境にする
非推奨な自己責任：複数の方法でスキャンを行ない、安全である可能性を探り
　安全かもしれないとおもったら、自己責任で使い続ける。
　勿論、PG2などの、見落としていた場合の防御策も適切に設定する。
　見落としの結果、被害を被っても泣かない。

143 ：(^ー^*)ノ〜さん ：07/12/15 06:49 ID:kvoWVNhR0

>>133
整理してる途中に寝ちゃってたよ。検体提出でもしてきますかね。

(この４つはカスペスルー）
index■htm : HTML/Infected.WebPage.Gen
index■htm : NotDetected
ttmain■htm : JS/Downloader.Agent
main■htm : JS/Downloader.Agent

（以下はカスペ検出）
ttani■htm : Trojan-Downloader.JS.Psyme.kf
Ms06014■htm : Trojan-Downloader.JS.Psyme.kf
ff■exe : Trojan-PSW.Win32.OnLineGames.fcj
jpmm■exe : Trojan-PSW.Win32.Delf.ads
ani■c : Exploit.Win32.IMG-ANI.ac
ttani■c : Exploit.Win32.IMG-ANI.ac

（本体の検出結果）
ff■exe : カスペ○、NOD32○、マカフィー○、AVG○、Avast○、ノートン×
jpmm■exe : カスペ○、NOD32○、マカフィー○、AVG○、Avast○、ノートン○

144 ：(^ー^*)ノ〜さん ：07/12/15 07:27 ID:kvoWVNhR0

>>140
そのアドレスから読み込まれるのは
ttp://www■caremoon■net/blog/index1■htm

>>109-116辺りの情報（カスペでは全部検出できる筈とか）を参考に、スキャンしてみて下さい。
それでも検出されない場合の対応は、>141-142でよろしく。

145 ：140 ：07/12/15 14:43 ID:/3xrKsy00

>>141
幸いPCがもう一台ある環境だったので
パスワードは全て変更してきました。
初期化？する事が出来ないので、前者の方法になってしまいますが
体験版を落としてもう一度念入りにチェックしてみます。

>>142
PG2というものがよくわからないので
これからぐぐって出来る事なら設定してみようと思います。
初期化が出来ないため、万が一のを覚悟しておきます。

>>144
カスペとは別の所でやったのでカスペでもう一度やってみます。

どうしたらいいのか分からず心細かったので
適切なレスを頂けてホッとしました。
アドバイスを参考に色々やってみようと思います！
ありがとうございました。

146 ：(^ー^*)ノ〜さん ：07/12/15 15:17 ID:MM5VaBbS0

>>145
PG2でぐぐれば最初に日本語のマニュアルが出るからそこ見ればいいよ
マニュアル見ながらインストールしたら「中国　ブロックリスト」辺りでぐぐって
出てきた中国韓国台湾のIPリストをブロックリストに追加してやるだけ
ただこれをすると有名どころだとwikipediaが見れなくなったりする(鯖が韓国にある)から
見たい時はそのページだけ許可してやればいい
このへんの話はliveROのセキュスレの方がいいかな？

147 ：(^ー^*)ノ〜さん ：07/12/16 09:54 ID:CjWjbqI00

最近作られた福建人の罠ドメイン、ドメイン名ネタ切れ気味だな。

こんな記事と共に
イミュージョンイベントでイリュージョンアックスを100個OEしてみました。+10,に挑戦！,"
...lineage リネージュ vega oe=>www■iibkoto-siyouyo■com/boolean/20071213■rar"
【2007/12/13 11:46】 URL | まりぶぅ #HmsGVGSQ

iikoto-siyouyoと言う出会い系サイトがある、それをパクったね。
ぐぐると現在判明してる爆撃場所は明らかにゲーム系じゃない場所の方が多いように感じる。
とにかく書き込める場所に爆撃、その中の何人かでもゲームやれば・・と福建人は思ってるな。

この罠自体はVIRUSTOTAL見てもリネ狙いかな。
もちろん他のもあるんだろうが。

Domain name: iibkoto-siyouyo■com
Registrant Contact:
cai zi bing
zi bing cai caddd@126.com
13850687200 fax: 13850687200
Fujian longyan
longyan Fujian 364000
cn
Created: 2007-12-11

148 ：(^ー^*)ノ〜さん ：07/12/16 11:34 ID:6z4n4+V80

rarを解凍→wmv.scrをexeに→rarの自己解凍なのでさらに解凍→013■exe
今時Packerも使っていない古風なLineageトロイ。
lineagecojp■comのメールASPに送信する部分が見えるので悪口送っといた。

149 ：(^ー^*)ノ〜さん ：07/12/16 18:23 ID:3mz2sgJD0

【　　アドレス 　 】www■articlelin■com/wiki/
【気付いた日時】 今日15時ごろ
【　 　　 OS　 　 】 WinXPPro SP2
【使用ブラウザ 】 IE6
【WindowsUpdateの有無】最近のもの
【　アンチウイルスソフト 】 NIS2007　更新は随分止まってます
【その他のSecurty対策 】 ルーター
【 ウイルススキャン結果】 カスペルスキーオンラインスキャンでTrojan-Downloader.VBS.Agent.hi を検出
　　　　　　　　　　　　　一時フォルダにあったので一時フォルダを全削除　
【スレログやテンプレを読んだか】 読みながら書いてます
【hosts変更】無
【PeerGuardian2導入】無
【説明】
画面が真っ白で止まり、おかしいとおもったのでURLをぐぐってみたところ
ブログなどで罠コメントの様なものにURLが貼り付けられていたためウィルスと判断

なるべくクリーンインストールを避けたいのですが、
一時フォルダの全削除で削除されているのでしょうか？
体験版を落とし再度スキャンしなおすべきでしょうか？

150 ：(^ー^*)ノ〜さん ：07/12/16 18:49 ID:6kBceYkg0

>>149
踏んでから、ログイン等をしていないことを前提に回答すると、さっさとOS入れなおしてこい。
一度でも入ってしまったのであれば、OS入れなおしの前に「安全な環境からパスワード変更」が必須。

＞一時フォルダの全削除で削除されているのでしょうか？
無理。

＞体験版を落とし再度スキャンしなおすべきでしょうか？
当然するべき。でも、それより前にOS入れなおしに進んだ方が時間の無駄にならない。

＞NIS2007　更新は随分止まってます
＞なるべくクリーンインストールを避けたいのですが、
大馬鹿者っ。更新しないならセキュリティソフトの意味が無い。>>2を見て何か入れとけ。
そんなザルなセキュリティの場合は、他に何が潜んでいるかわかったもんじゃない。
必要なデータのバックアップを取って、早急に安全な環境の構築（OS入れなおしかリカバリ）を
進めるんだ。

セキュリティが甘いというのは、しらずに中継に使われるなど、加害者にもなりうる行為だ。
今後は慎んで欲しいと切に願う。

151 ：(^ー^*)ノ〜さん ：07/12/16 19:31 ID:CZloHfkE0

ついでに更新止まってるのならNISから他に乗り換えるべし
当方も2007だがハックに関しては最新でも検出率最悪だからな

152 ：147 ：07/12/16 20:30 ID:l7Ge4ocB0

福建人どもはなんか別の同日登録罠ドメイン使って
これまた一般サイトに爆撃かましてるようだ。
147と罠ファイル自体は同じ。
これは燻り出し作戦と見た、とにかく爆撃しまくってその中から対象ゲームをプレイするのが出てくるのに期待をしている、と。
今後はこのような燻り出し作戦が増えてきそうな予感がする。

www■peacchmax■com
これは日本の風俗情報サイトpeachmaxのパクリ。

Domain name: peacchmax■com
Registrant Contact:
cai zi bing
zi bing cai caddd@126.com
13850687200 fax: 13850687200
Fujian longyan
longyan Fujian 364000
cn
Created: 2007-12-11

153 ：(^ー^*)ノ〜さん ：07/12/16 22:51 ID:y90jnWNb0

出会い系とか風俗とか爆撃する対象を間違ってるな。

オンラインゲームやってる引き篭もり気味なリアル廃人はそんなとこ縁ねえよ。俺とか。

154 ：(^ー^*)ノ〜さん ：07/12/16 23:38 ID:6kBceYkg0

>>152
ttp://www■peacchmax■com/string/20071213■rar
検体入手に困るので、ちゃんとファイル名まで載せてもらえるとありがたい。
ファイル名こそ同じで構造も同じであったが、中身は別物でしたよ。

>147
Trojan-PSW.Win32.Delf.ads
>152
Trojan-PSW.Win32.OnLineGames.fcj

>>153
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

155 ：(^ー^*)ノ〜さん ：07/12/16 23:44 ID:6kBceYkg0

一応書いとくと、こんな構造でした。

->20071213■rar
-->20071213■wmv■scr
--->013■exe
--->mov0023■wmv
---->mms://202■210■163■74/bekk/navi■wmv(多分、無害）

156 ：(^ー^*)ノ〜さん ：07/12/17 08:16 ID:9fYx02dq0

んだね。前のは無圧縮で約60kBだったけど、今回のはUpackで70kB
(以前Maranと分類されていた物だと思う)。

157 ：(^ー^*)ノ〜さん ：07/12/17 08:18 ID:WgaUFOBK0

>検体入手に困るので、ちゃんとファイル名まで載せてもらえるとありがたい。
悪いが俺もそこまで暇じゃない、作業の合間の片手間に書いたりやったりしてるだけだ。
そういわれるのは正直心外、つまりその引用部分は余計だ。

>出会い系とか風俗とか爆撃する対象を間違ってるな。
スレ地だが間違っちゃいないと思うぜ。
焙り出すだけなら爆撃対象なんて全く関係ない。
そっちはよく見るがネトゲ系のHPとかブログや掲示板は殆ど見ない奴がいないとも限らん。

158 ：(^ー^*)ノ〜さん ：07/12/17 12:58 ID:Pet+2+lI0

雑談スレ行け

159 ：(^ー^*)ノ〜さん ：07/12/17 14:23 ID:9fYx02dq0

>>157
逆ギレすんなよ。ファイル名まで書けよ、スクリプト解読できねーなら
素直にそう言えよ、と言われてるわけじゃないだろ?

この際だから言及しておくが、余計なのは
「福建人どもは〜と思ってる」と「君が思ってる」事を書くことだ。

160 ：(^ー^*)ノ〜さん ：07/12/17 16:01 ID:QGptBZA60

コメントつけて貰ったわたしは既に移動してるんだが。
お互いコメントすることはこれ以上必要ない状態で続けられても困る。

セキュリティ対策、質問・雑談スレ3
http://enif.mmobbs.com/test/read.cgi/livero/1186660300/958

>>158-160
さ、セキュスレに帰るぞ。お邪魔いたしました。<(_ _)>

161 ：(^ー^*)ノ〜さん ：07/12/18 17:05 ID:RNWO8zHQ0

www■infosueek■com
Created: 2007-12-14
インフォスィーク。今はとりあえず iframe(略)で
www■blogplaync■com/chengzhi■exe
Last-Modified: Wed, 31 Oct 2007

162 ：137 ：07/12/18 17:17 ID:8L+ZRtbI0

>>139
返事が遅くなりすいません。ありがとうございます。
ローグスレの方で聞いてみようと思います。
すみませんでした。

163 ：(^ー^*)ノ〜さん ：07/12/19 23:31 ID:isl2Y38K0

クルセwikiの各リンクがアカハックに書き換えられてた模様

メニューバーのリンク先が以下のURLになってた
http://www■caremoon■net/blog/index1■htm

現在は一応復旧してるっぽいです

164 ：(^ー^*)ノ〜さん ：07/12/19 23:33 ID:isl2Y38K0

h抜き忘れた・・・ごめんなさい

165 ：(^ー^*)ノ〜さん ：07/12/20 03:19 ID:M9aHJQxS0

ヘイムダルwikiも同様に危ないと聞いた
関連wikiをごっそりいじったやつがいるのかもな

166 ：(^ー^*)ノ〜さん ：07/12/20 09:15 ID:NOGJzPz20

関連も何も、GoogleにPukiWiki特有のキーワード、ネトゲに関連するキーワードを
ぶち込んでhitしたサイトに総当りしてるだけだ罠・・・

167 ：129 ：07/12/20 09:34 ID:VwVQXHrz0

うちに来てたやつは、直前にGoogleで PukiWiki menubar で検索した模様。

多分、これで検索して引っかかったところを絨毯爆撃してるっぽいね。
実際に検索してみると、面白いようにWikiが釣れます。

referer　に google.co.jp pukiwiki menubar が含まれてるリクエストを遮断したら来なくなったりするのかも。
今回の(たぶん同一犯)限定になるけど。

168 ：(^ー^*)ノ〜さん ：07/12/20 14:51 ID:OWh8SdsJ0

クルセWikiメニューバーより
www■irisdti-jp■com/blog/

現在復旧済み

169 ：(^ー^*)ノ〜さん ：07/12/20 18:48 ID:30RFUeka0

しっかしあんたらも頑張るねぇ
サイト巡回するときネット専用別ＰＣ使う俺が勝ちだな
対策なんてめんどくさくてやってらんねえわ
ここで踏んだかも知れませんとか不安になってる無知な奴がいるけど
そんな気遣いするぐらいなら別ＰＣ買えよ
ＲＯやったり重要な情報が入ったＰＣは別に分けろ
なによりも垢ハック対策になるぞ

170 ：(^ー^*)ノ〜さん ：07/12/20 18:53 ID:RBDSFs5r0

>169
　まぁ垢ハック対策ならそんでいいんじゃね
ウィルスが垢ハックだけだと思って居られるならそれでいい
個人情報とかの流出とか考えないんであればいいと思うよ。

171 ：(^ー^*)ノ〜さん ：07/12/20 19:48 ID:Rmr63suj0

>>169-171
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

172 ：(^ー^*)ノ〜さん ：07/12/21 12:20 ID:im/UPLKu0

>>163,>>168
ttp://www■irisdti-jp■com/blog/
ttp://www■caremoon■net/blog/index1■htm
ttp://www■caremoon■net/blog/send■exe
ttp://www■caremoon■net/blog/f2■exe
ttp://www■caremoon■net/blog/reak■exe

Trojan-Downloader.JS.Agent.anp
Trojan-PSW.Win32.OnLineGames.kak
Trojan-PSW.Win32.Magania.bph
Trojan-PSW.Win32.Delf.aih

173 ：(^ー^*)ノ〜さん ：07/12/21 17:59 ID:ovE5fRy90

楽r天?
www■rakurten■com/wiki/
iframe(略)で
www■wacacop■net/wiki/send■exe test■exe rost■exe

174 ：(^ー^*)ノ〜さん ：07/12/21 22:12 ID:PxfIzd1G0

【　　アドレス 　 】click■linksynergy■com/fs-bin/click?id=qDyUUdo4*XM&offerid=93143■10000002&type=3&subid=0
【気付いた日時】 今日の午前２時ごろ
【　 　　 OS　 　 】 XPPro SP2
【使用ブラウザ 】 IE6
【WindowsUpdateの有無】 自動更新
【　アンチウイルスソフト 】 Avast!Home4.7
【その他のSecurty対策 】 ルーター＋Spybot S&D（定期的にアップデート＋検査してます）

【 ウイルススキャン結果】
Avast!常駐プログラム→Fngmhlib.dll（System32内、ウィルスWin32;Trojan-gen{other}）
（この通知で不安になりました）
シマンテックのオンラインスキャン→感染感知できず
トレンドのオンラインスキャン→感染感知できず
カスペルスキーオンラインスキャン→ウィルス数１・感染オブジェクト１を検出
（SystemVolumeInfomation\restore〜、not-a-virus:Monitor.Win32.KeyPressHooker.bとのこと）
Spybot：AdSpy.TCCを１エントリ検出（削除できず）

【スレログやテンプレを読んだか】 今読んでます。
【hosts変更】無
【PeerGuardian2導入】無
【説明】
（Fngmhlib.dll)
数週間前から起動時に「could not load DLL FNGMHLIB」と出始めていたものの、
エラー表示がオートメールチェッカーからであった事＋
シマンテックのオンラインスキャンでは感知されなかったので放置していましたが、
今朝２時頃、Avast!にてFngmhlib.dllがウィルスとして検出されました。

（Win32.KeyPressHooker.b）
上記に加え、ROラトリオ総合計算機ページ内上部にあった、
『ハイエンドゲームPCブランド「G-Tune」』をクリックした所、IE画面が真っ白になる症状が発生。
アカハックではないかと不安になったので、カスペルスキーにてチェックした所、検出されました。
直接の関連性があるかは不明ですが……


結構前にヤフー開いたらツールバーインストールが出て、うっかりOK押してしまったんですが。
それから上記の問題が発生し始めたように記憶しています。
これらってアカハック系なんでしょうか……

175 ：(^ー^*)ノ〜さん ：07/12/21 22:36 ID:im/UPLKu0

>>174
アカハックと断定できないような一般的相談だから、セキュスレの方がいいんじゃないかな。

回答する内容は同じなんで、ここで答えておくと、検知したものが危険かどうかは判断しかねる。
DLL不足のエラーが出ていたということなので、なんらかのマルウェアが（セキュリティソフトで
消されてしまった）ファイルをロードしようと試みていた可能性もある。正常なアプリが壊れただけ
かもしれないが。

そのＰＣの前で操作している訳でもない立場からは、診断のしようがない状況にまで踏み込んでいると
思われるので「ＯＳを入れなおすかリカバリを行ない、安全な環境に戻すこと」以外の回答は行なえない。

ＯＳ再インストールコース行ってらっしゃい。現状の報告を読む限りでは、変なところに入っている
可能性もあるので、（アプリ起動したら再発症するかも）データをバックアップとって、HDD初期化して
ＯＳ入れなおした後にアプリを改めて入れた方が安全ではないかという気がする。

多分、アカハックではない何物かだと思うよ。

>>173
index.htm : Script.Infected.WebPage.Gen
index1.htm : Trojan-Downloader.VBS.Small.gj
send．exe : Trojan-PSW.Win32.Delf.aih
test．exe : Trojan-PSW.Win32.OnLineGames.kak
rost．exe : Trojan.Win32.Inject.nk

176 ：(^ー^*)ノ〜さん ：07/12/22 03:54 ID:5bCzZRru0

リンクを踏んでしまったのですが

http://www■articlelin■com/blog/

上記にウィルスがあるかどうか調べて貰えませんでしょうか・・
クリックしたら画面が止まりました

177 ：(^ー^*)ノ〜さん ：07/12/22 04:54 ID:Kf8L41vG0

＞※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

178 ：(^ー^*)ノ〜さん ：07/12/22 06:51 ID:08FHZm8M0

深遠の騎士子たん萌えスレにうｐされてる
http://f26.aaa.livedoor.jp/~fianel/up/abys/up/abys243■jpg

ってやばい？

179 ：まとめ臨時 ◆kJfhJwdLoM ：07/12/22 07:09 ID:h9Xs8k7H0

不定期報告ですが現状 >>161 以降、
ここまで報告された罠はリストチェックで確認済みでした。
既出の物に新作トロイを仕込むのも相変わらず常套のようですね。

>>174 に関してはすべてを把握できませんが
ややこしく判断がつかない状況だと
クリーンインストールが一番安心確実かもしれません。

>>176
ログにある >4 のテンプレを読んで
何処で踏んだとかを埋めてもらえると助かりますが
緊急を要すると思いますので…。

articlelin■comは既出のアカハックリストで確認できます。

安全が確認できるまでパスワード類の入力を伴う行動は厳禁です。
対応方法は >>1-14 に記載されています。
カスペルスキーオンラインスキャンなど複数でチェックしてウイルスを駆除できても
検知できないすり抜けの可能性もあるので、
個人で安全になっているか判断が付かない場合はOSのクリーンインストールを。

180 ：(^ー^*)ノ〜さん ：07/12/22 09:57 ID:L2ALBo6S0

>>178
>>177

181 ：(^ー^*)ノ〜さん ：07/12/22 18:17 ID:PUb4h20M0

>>176 さんと同じの踏んでしまって
RO起動するとウィルスバスターがDLLのどうのこうのと警告出しました。
現在、再インストール中です。

182 ：181 ：07/12/22 18:22 ID:PUb4h20M0

テンプレに沿って書き込んだら（5回ほど）なぜか反映されなかったんだけど何でだろう・・・

183 ：(^ー^*)ノ〜さん ：07/12/22 18:27 ID:u7fSNqym0

>182
○○「.」exeをそのまま書いたから、じゃない？
「.」(半角)を「■」に置換するか「．」(全角)に置換したら通ったと思われ。

184 ：181 ：07/12/22 19:07 ID:PUb4h20M0

>>183 なるほど！
一応、報告ということで掲載しておきます。

【　　アドレス 　 】www■articlelin■com/blog/
【気付いた日時】 踏んだのは3時頃、気付いたのは16時ごろ
【　 　　 OS　 　 】 WinXPPro SP2
【使用ブラウザ 】 IE6
【WindowsUpdateの有無】最近のもの
【　アンチウイルスソフト 】 VB2008
【その他のSecurty対策 】 ルーター
【 ウイルススキャン結果】
VB2008で検出できず
カスペルスキーオンラインスキャンで検出できず　
【スレログやテンプレを読んだか】 読みました
【hosts変更】無
【PeerGuardian2導入】無
【説明】
ROとは関係ないWikiで踏んでしまいました。
ウィルススキャンで引っかからなかったので、
ROのクライアントを起動しましたが（WG選択まで）、他のIEなどが非常に重く感じました。
ログインせずに再起動後、クライアントを起動すると、VBがRagnarok．exeにDLLをダウンロードしてどうのこうのと警告。
踏んでから時間があるので別の要因の可能性もありますが、流石に恐いので再インストールしました。

185 ：(^ー^*)ノ〜さん ：07/12/23 23:11 ID:y1FiBiPl0

>>184
せっかくの報告なので検体入手して確認。

ttp://www■articlelin■com/blog/index■htm
ttp://www■panslog■net/wiki/index1■htm
ttp://www■panslog■net/wiki/send■exe
ttp://www■panslog■net/fc2/cery■exe
ttp://www■panslog■net/wiki/reco■exe

send■exe : Trojan-PSW.Win32.Delf.aih
cery■exe : Trojan-PSW.Win32.OnLineGames.kak
reco■exe : Trojan.Win32.Inject.ms

send■exe : カスペ○、NOD32○、マカフィー○、シマンテック○、Avast○、AVG○
cery■exe : カスペ○、NOD32○、マカフィー○、シマンテック○、Avast○、AVG○
reco■exe : カスペ○、NOD32○、マカフィー×、シマンテック×、Avast×、AVG○

VirusTotalでは、12/10〜13に確認済みだった模様。再度スキャンさせた結果が上。
日付からして、提出済みとは思うけど、未検出なので検体提出してきます。

186 ：(^ー^*)ノ〜さん ：07/12/24 00:03 ID:ONqpdIr10

追記
send■exe , cery■exe , reco■exe をトレンドマイクロのオンラインスキャンにかけたところ、
全て検出していました。

>>184が踏む前から対応していたのか、後から対応したのかは不明。
OS入れなおして確実に安全な環境にしたのはGOODな対応だと思った。

send■exe : TSPY_LINEAGE.GQR
cery■exe : TSPY_AGENT.ADOB
reco■exe : TROJ_SHEUR.CE

187 ：(^ー^*)ノ〜さん ：07/12/25 11:46 ID:8xwBXB3y0

【　　アドレス 　 】http://www■symphones■com/wikipedia/
【気付いた日時】 12/25
【　 　　 OS　 　 】WindowsXP
【使用ブラウザ 】 ＩＥ
【WindowsUpdateの有無】 1週間くらい前です
【　アンチウイルスソフト 】 avast
【 ウイルススキャン結果】 avastでワームが見つかりましたが、良く分かりません・・
【スレログやテンプレを読んだか】さらっとですが、目を通しました。これからじっくり読みます
【hosts変更】(なし
【PeerGuardian2導入】(なし
【説明】
友達のＲＯブログのコメントに張られていたＵＲＬを飛んでみたら、何もないページでした。
ちょっと怖いのですいませんが、書き込みさせていただきました

188 ：(^ー^*)ノ〜さん ：07/12/25 12:14 ID:gQBnrg1e0

>187
>1
>※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

で、ソースチェッカーで見たところ、iframeでサイズ0で index1.htm を呼び出し。
index1.htm はVBScriptでキャラクタ変換してるコードが仕込まれてる。

コードはデコードしてないが、手法的に9割方黒と思われ。

189 ：(^ー^*)ノ〜さん ：07/12/25 12:23 ID:8xwBXB3y0

>>187さま

レスありがとうございます。
見れないサイトではなくて、踏んでしまったので書き込みさせていただきました。

さっそく再インストールいってきようと思います。

チェックしていただいてありがとうございました。

詳しくないので、本当に助かります；´Д｀

190 ：(^ー^*)ノ〜さん ：07/12/25 12:24 ID:8xwBXB3y0

自分にレスしてどうするorz

すいません188さま。

191 ：(^ー^*)ノ〜さん ：07/12/25 12:42 ID:3mpGnJHS0

>>187さん
12/7あたりから現われている既知のアカハックアドレスです。

その時点で緑箱スルーのものがありましたので検体提出しましたが、
12/21確認時に新種のものに置き換わっていたので再提出。
現在は検出可能になっています。

3つの 実行形式ファイルを実行させようと試みますが、本日現在の
簡単な検出状況はこんな感じです。

検体1 - 黄スルー、緑検知
検体2 - 黄スルー、緑検知
検体3 - 黄検知、緑検知

緑には検体送って黄色は放置なので、いささか反則(販促?)
気味の比較ではありますが。

192 ：(^ー^*)ノ〜さん ：07/12/25 12:45 ID:h8P0GxUB0

>>191
黄とか緑って何ですか？

193 ：(^ー^*)ノ〜さん ：07/12/25 13:03 ID:Z3bgnyx60

>>1
> アカウントハックに関する情報の集積・分析を目的とするスレです。
> 被害や攻撃等のアカウントハックの具体的事例に関して扱います。
> 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
> 対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。
　~~~~~~~~~~~~
黄 シマンテック
緑 カスペルスキー
赤 ウイルスバスター

製品の箱の色から、このスレではそう呼ばれています。

194 ：(^ー^*)ノ〜さん ：07/12/25 13:10 ID:KBiCg8NA0

>製品の箱の色から、このスレではそう呼ばれています。
過去にもそういう略称が使われていた記憶が無いのですが…
一般には通じない略称はなるべく控えたほうが無難かと思います。

195 ：(^ー^*)ノ〜さん ：07/12/25 13:12 ID:9R3axBd90

初耳だわ。
過去スレみても一度もそんな呼ばれ方してないだろ。
2chの方の常識かなんかか？

196 ：(^ー^*)ノ〜さん ：07/12/25 13:14 ID:BRfTy6A40

そう呼ばれているのは>>191と>>193の脳内だけだろ
初代スレから張り付いてるけど、んな略称見たことない

197 ：(^ー^*)ノ〜さん ：07/12/25 13:20 ID:Z3bgnyx60

あれ・・・どこで見たんだろ。
>>191見て普通に認識してた・・・
まあ、すまなかった。
以降雑談は終了ということで。

198 ：(^ー^*)ノ〜さん ：07/12/25 13:50 ID:uDWTbLJJ0

>>187
ttp://www■symphones■com/wikipedia/index■htm
ttp://www■symphones■com/wikipedia/index1■htm
ttp://www■symphones■com/wikipedia/red■exe
ttp://www■symphones■com/wikipedia/sl■exe
ttp://www■symphones■com/wikipedia/fir■exe

index■htm : HTML/IFrame
index1■htm : TrojanDownloader:JS/Agent.FT
red■exe : Trojan.Win32.Inject.ox
sl■exe : Trojan-PSW.Win32.Delf.aih
fir■exe : Trojan-PSW.Win32.OnLineGames.kak

index■htm : カスペ×、NOD32×、マカフィー×、シマンテック×、Avast×、AVG×
index1■htm : カスペ×、NOD32×、マカフィー×、シマンテック×、Avast×、AVG×
red■exe : カスペ○、NOD32×、マカフィー×、シマンテック×、Avast×、AVG×
sl■exe : カスペ○、NOD32○、マカフィー○、シマンテック○、Avast○、AVG○
fir■exe : カスペ○、NOD32○、マカフィー○、シマンテック○、Avast○、AVG○

index.htmとindex1.htmはダウンローダなので、本体に対応していれば実害はない。
red■exeは、検出率悪いみたいなので、あとで検体提出しておきます。

Avastではすり抜けるものも混ざっているので、>>189のように再インストールコースは正解。
（検出できる奴の体験版で消す方法もあるけど）

>>191-198
今まで誰も使ってないような通称を使うのはやめましょう。
浸透させたければセキュスレ辺りで認知させることから。
変な呼び名は、使わないのが無難と思いますけどね。さ、わたしも含め、移動しましょ。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/

199 ：191 ：07/12/25 14:35 ID:3mpGnJHS0

なお、これに感染している場合、
%USERPROFILE%\Local Settings\Temp\ 以下に
L_hy60.pif 他 2つの実行ファイルを作成し、

レジストリキー
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\exploreb(略)

を作成するので簡易的に判定が可能です。

200 ：(^ー^*)ノ〜さん ：07/12/25 16:21 ID:muc19jHG0

【　　アドレス 　 】www■irisdti-jp■com/blog/
【気付いた日時】今さっき
【　 　　 OS　 　 】 WindowsVistaHomePremium
【使用ブラウザ 】 FireFox 2.0.0.11
【WindowsUpdateの有無】 自動更新
【　アンチウイルスソフト 】 Avast!4.7Home
【その他のSecurty対策 】 Spybot S&Dで週1回程度更新＆スキャン
【 ウイルススキャン結果】カスペはこれから、Avast!でスキャンしたら感染はゼロ
【スレログやテンプレを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】Web巡回中に>>168と同じアドレスを踏んでしまった。真っ青な画面のまま
　何も出ないので、当スレッドにて危険アドレスということを認識しました。

read.cgi ver5.26 + n2 (02/10/01)