アカウントハック総合対策スレ9

109 ：(^ー^*)ノ〜さん ：07/12/08 02:30 ID:+e6KErEW0

>108
アドレス自体は既出のもので、iframeでサイズ0のindex1■htmを呼び出してる。
中身は昔見た覚えのある、懐かしすぎるタイプ。
デコードしてみたところ、カスペで　Trojan-Downloader.VBS.Psyme.ds　として検出。

www■caremoon■net/blog/index■htm
->www■caremoon■net/blog/index1■htm　（Trojan-Downloader.VBS.Psyme.ds）
--->www■caremoon■net/blog/send■exe　(Trojan-PSW.Win32.Delf.aih)
--->www■caremoon■net/blog/f2■exe　（Trojan-PSW.Win32.OnLineGames.fcj）
--->www■caremoon■net/blog/reak■exe （Trojan-PSW.Win32.Magania.bph）

カスペは全部検出してるが、>104の検出結果と微妙に違ってるのが気になるところ。
既に差し替えられたのかな？

完全に駆除されて安全ですとは誰も言えないので、確実を期すなら再インストール。

再インストールしないなら、自分が安全だと自信を持てるまではそのPCは使わないこと。
打てる対策といっても、数日の間は定期的にカスペ等でフルチェックを掛けまくるぐらいしかない。

110 ：104 ：07/12/08 03:05 ID:5MAP1ayh0

>>109
丁寧な返信ありがとうございます。
情報漏れがありましたので追記しておきます。

踏んだ時点ではウイルスソフトはNOD32を使用しており、何の反応も示しませんでした。
その時点でおかしいと思って検索をした結果、垢ハックアドレスの事実を知り、
その後にカスペのインストール及びスキャンを行ったため、カスペでのスキャンは感染後（？）になってます。

双方で全く検知されないって事は「即閉じ or 何らかの理由で逃げ切れた」って可能性もありそうですが、
潜伏されてる可能性の方が高そうなので、この週末に潔くクリーンインストールしようと思います。

Trojan-PSW.Win32.OnLineGames.fcjはNOD32での撃墜事例があるようですので、
何故今回に限って検知できなかったかは疑問が残りますが、素人が余計な事すると自爆しそうなので忘れる事にします。

104のミスは申し訳ありませんでした。迅速な削除に感謝します。

カスペに乗り換えよっかな…(´･ω･`)

111 ：(^ー^*)ノ〜さん ：07/12/08 09:08 ID:9OxcJ5/B0

福建人の罠ブログを見つけた。
secondlife001■blogspot■com
自分で改竄したcaremoon入りWikiの編集画面から記事丸パクリ。

プロフィールには福建人お気に入りに女性名。（liu200711xxシリーズのプロフィールで多用）
caremoonのリンクがある。

Blogspotなんで違反ブログ申告とかはないみたい。
規約では”記事には嘘の情報や危険な情報があるかもしれない、それにアクセスするのは自己責任”としか書かれていない。
知人友人に利用者がいなければBlogspotをフィルタリングするべきかね。
そういう場所にヤフーのliu200711xxシリーズのようなマルチアカウントやられるとまずいしね。

112 ：111 ：07/12/08 09:23 ID:9OxcJ5/B0

連絡先は捜したらあったが英文のみらしい。
help.blogger.com/?page=contact&hl=en

しかもGoogleアカウントが必要。
先に日本語で書いておいたのをエキサイト翻訳して送った。

113 ：(^ー^*)ノ〜さん ：07/12/08 12:31 ID:9OxcJ5/B0

コレも福建人の罠、と。
blog2008■9966■org

/imagesディレクトリには
kele88へのステルスIFRAMEが仕込んである。

ちなみにimagesディレクトリの中身はこの掲示板のソース丸パクリの上で仕込んだもののようだ。
one-make.jp/bbs/

おそらく育成とBBSで福建人キーワードに引っかかったんだと思われ。

114 ：(^ー^*)ノ〜さん ：07/12/08 15:23 ID:+e6KErEW0

>110
NOD32で調べた結果

send■exe　(Win32/PSW.OnLineGames.FCJ　トロイの亜種)
f2■exe　（Win32/PSW.OnLineGames.FCJ）
reak■exe →　素通り

reak■exeはESETに送付済。

多分新種で検出出来なかったんでしょう。
NOD32からカスペに切り替えるのは自由だけど、過去ログ読めば判るように
カスペをスルーするように作ってるものも多い。
カスペだから安全とか、変に過信すると痛い目に遭うので注意。

115 ：(^ー^*)ノ〜さん ：07/12/08 19:28 ID:kizk7CTV0

NOD32だから安全とか、変に過信すると痛い目に遭うので注意。

116 ：104 ：07/12/08 23:49 ID:5MAP1ayh0

>>114
NOD32での検証ありがとうございます。そして、提出お疲れ様です。

そうですね。何事も妄信は危険ですね。
そのへんを肝に銘じて、今後はそれ以外の対策に気を使っていきたいと思います。
PG2とかHosts変更とか…注意力とか。

以後名無しに戻ります。ありがとうございました。

read.cgi ver5.26 + n2 (02/10/01)