レス数が1000を超えています。残念ながら全部は表示しません。

アカウントハック総合対策スレ9

1 ：夢 ★ ：07/11/25 11:04 ID:???0

アカウントハックに関する情報の集積・分析を目的とするスレです。
被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

・ 関連＆参考情報アドレス (>>2)
・ 報告用＆質問用テンプレ (>>3, >>4)
・ アカウントハック対応の要点とFAQ (>>5)
・ 安全対策の簡易まとめ (>>6)
・ アカウントハッキングについて（ガンホー公式）
　 http://www.ragnarokonline.jp/playguide/hacking/

■スレの性格上、誤って危険なURLがそのまま貼られてしまう可能性がある■
■URLを無闇に踏んで回らないこと。報告・相談はテンプレを利用すること■

※ ID/Pass/サーバ/キャラ名等の情報は公開しないでください
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません
※ ネタや程度を超えた雑談・脱線はご遠慮ください

・スレ立て依頼は>>970がしてください。反応がなければ以降10ごとに。

【一般的話題用】
セキュリティ対策、質問・雑談スレ3
　http://enif.mmobbs.com/test/read.cgi/livero/1186660300/

117 ：(^ー^*)ノ〜さん ：07/12/09 02:17 ID:4qnUIw+i0

【　　アドレス 　 】http://www■qipilang■org/shabi/
【気付いた日時】 07/12/09　01:00頃
【　 　　 OS　 　 】 winXPSP2
【使用ブラウザ 】 IE6(Sleipnir)
【WindowsUpdateの有無】 自動更新
【　アンチウイルスソフト 】 ウイルスバスター2007（アップデート日時12/08）
【その他のSecurty対策 】 ルータ
【 ウイルススキャン結果】 検出後、隔離済み
【スレログやテンプレを読んだか】Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
開こうとしたらウイルスバスターが警告出してくれたので気づいた。
TemporaryInternetFilesに入ってたのでTemporaryInternetFilesの下にあったファイルとフォルダを全消去。
消した後に再度ウイルススキャンをかけたら発見されなかった
大丈夫・・・と見ていいんでしょうか？

118 ：(^ー^*)ノ〜さん ：07/12/09 06:25 ID:a3+rbOD80

ブロックできた可能性が高いとは思うが保証はできない。

・ブロック出来たと信じ、予防のためにPG2で送信をブロックしつつそのまま使用
　（他のエンジンでオンラインスキャンをかけて全検査すれば尚よし）
・安心できないのでOS入れなおして、確実に安全な環境に戻す

好きな方を選べ。

119 ：(^ー^*)ノ〜さん ：07/12/09 08:54 ID:4oHBOaED0

>>117
>>87

120 ：(^ー^*)ノ〜さん ：07/12/10 20:37 ID:c72v0p4Q0

【　 　 　 気付いた日時　 　 　 　 　 】１２/１０　１８時前
【不審なアドレスのクリックの有無　】Wikiで踏みました
【　　アドレス 　 】 http://www■qipilang■org/shabi/
【　 　　 OS　 　 】 XPのSP２
【使用ブラウザ 】 FireFox　２．０．０．１．１
【WindowsUpdateの有無】 自動でしています
【　アンチウイルスソフト 】 ウイルスバスター２００７
【その他のSecurty対策 】 していません
【ウイルススキャン結果】 カスペルスキーオンラインスキャンでは発見されませんでした
【テンプレの参考サイトを読んだか】 ざっと読みました
【hosts変更】わかりません
【PeerGuardian2導入】無し
【説明】
セキュリティ対策、質問雑談スレの877です。
こちらのスレは見ていませんでした…。申し訳ありません。
カスペで除去してから再インストールしようとしたのですが、ウイルス自体が
発見できません。Spybotを導入してみて検索しても発見できません。
FireFoxに、NoScriptというアドオンを入れているのですが
ブロックできたと考えていいのでしょうか。もし隠れてしまっている場合
どうやって探せばいいのでしょうか。
初歩的な質問ですみません。

121 ：(^ー^*)ノ〜さん ：07/12/10 21:10 ID:EcrYiZ5U0

>>120
>>117-119

122 ：(^ー^*)ノ〜さん ：07/12/10 21:34 ID:c72v0p4Q0

今再インストールしています（書き込みは別PCから）。隠れている物は
どうやっても発見できないということですね。また感染してしまったら、ウイルスソフトは
もう意味がなくなり、再インストール以外は、どうしようもないのですね…。
今回のことはとても勉強になりました。ありがとうございました。

123 ：(^ー^*)ノ〜さん ：07/12/10 23:12 ID:5t7/Gfmu0

>>122
一般的な内容になってしまうので、セキュスレに移動しようか悩んだけど、簡単にコメント。

>隠れている物はどうやっても発見できないということですね。
セキュリティソフトを無効にする等の方法で発見できなくする（ステルス化）場合もあります。
どうやっても発見できないということはなく、感染していないシステムに、感染したHDDを繋いで
ステルス化されていない状態でスキャンするとか方法がない訳ではありません。

>また感染してしまったら、ウイルスソフトはもう意味がなくなり、
感染した場合でも、セキュリティソフトで除去したり（もちろんパターンに対応済みの場合）
別途専用のワクチンソフトを用意して除去する方法もあります。
（アカハックトロイの場合の専用ワクチン[除去]ソフトはありません）

>再インストール以外は、どうしようもないのですね…。
状況判断ができない人の取れる対応策はそういうことになります。

今回のケースも、「入手前に切断した」のでセキュリティソフトが反応していない可能性も
ありますが、自分で判断しなければなりません。他の人は実際にアカハックトロイが
存在しないことや、発動していない事を保証できません。

自分で判断できる場合は、>>118のような選択肢になりますが、「ここで質問する＝自分で判断できない」
ケースですので、再インストールするのが安心だねとしか言えません。

124 ：(^ー^*)ノ〜さん ：07/12/12 07:46 ID:LN5DvGf90

第2水曜WU日age

125 ：(^ー^*)ノ〜さん ：07/12/13 07:52 ID:0BvQHsJH0

ROセキュリティWikiの改竄リンクより
www■soracger■com/blog/
www■soracger■com/blog/index1.htm
から
www■caremoon■net/blog/send■exe
www■caremoon■net/blog/f2■exe
www■caremoon■net/blog/reak■exe

126 ：(^ー^*)ノ〜さん ：07/12/13 16:51 ID:0BvQHsJH0

リネージュ資料室より
www■boadongo■org/vbshokmm/
iframeで(略)で
www■boadongo■org/vbshokmm/fff■exe FFXI用
www■boadongo■org/vbshokmm/ttt■exe Lineage用

127 ：(^ー^*)ノ〜さん ：07/12/13 18:53 ID:SOReIsTt0

>>126
iframeで(略)で
ttp://www■boadongo■org/vbshokmm/ttani■c
ttp://www■boadongo■org/vbshokmm/ffani■c

カーソルとして読み込みってのも。これはWindowsUpdateで防げるとは思うけど。

128 ：まとめ臨時 ◆kJfhJwdLoM ：07/12/14 04:36 ID:uHkoT9b30

>>126
情報提供ありがとうございます。
今までやってなかったのもアレでしたが、
他MMOの罠は大抵共通するドメインだったりするので
今後、並列してリネージュ研究室で加えられているリストも
随時チェックすることにしました。

事後報告になりますが、
こまめに臨時サイトで更新しています。
http://sky.geocities.jp/ro_hp_add/

やっとグーグルで引っかかるようになったので安心。
こういう紹介文っぽい跡にURLを張ると罠っぽくていけない…。

129 ：(^ー^*)ノ〜さん ：07/12/14 10:43 ID:JvItf7NH0

うちのWiki(非RO)にも今朝改ざんがあったので報告。
MenuBarのリンク先が変更されてました。
　→ www■plusd-itmedia■com/web/
中にはサイズ0のiframeで www■caremoon■net/blog/index1.htm
こちらにはJSとVBSのみ。VBSは面倒だったんで解読してないけど、構成や手法から>>125と同じではないかと思われます。

plusd-itmedia ってのは初出かな?

130 ：(^ー^*)ノ〜さん ：07/12/14 11:27 ID:amFPWy4B0

>>129
VBデコードしてみたけど>>125から変化なす。

plusd-itmediaには見覚えあったんだが、気のせいだったようだ。前スレまで遡ったが出てないようだ。

131 ：(^ー^*)ノ〜さん ：07/12/14 11:36 ID:smAE9lNe0

>130
気のせいじゃないよ。

自分も見覚えあったからちょっと調べてみたら、リネ資料室さんところの
履歴に 2007/04/15 付けで plusd-itmedia が追加されてた。

その時に11件追加されてるが、その中にhomepage-niftyがあったので
昔のものが復活したっぽい。

132 ：まとめ臨時 ◆kJfhJwdLoM ：07/12/14 22:12 ID:wiVMGBYV0

Heimdal板で書き込まれていた罠。
お約束でインラインフレームが仕込まれています。

ttp://xi24pps■blog23■fc2.com(初見)
｜-ttp://www■nlftweb■com(既出罠)

検体確保のほうはよろしくお願いします。

133 ：(^ー^*)ノ〜さん ：07/12/14 23:40 ID:amFPWy4B0

>>132
検体捕獲はしましたが、検出結果はまだ調査してないです。

ttp://xi24pps■blog23■fc2■com/
ttp://www■nlftweb■com/link179700/
ttp://www■rmtfane■com/link179700/ttmain■htm
ttp://www■rmtfane■com/link179700/main■htm
ttp://www■rmtfane■com/link179700/ttani■htm
ttp://www■rmtfane■com/link179700/ttani■c
ttp://www■rmtfane■com/link179700/Ms06014■htm
ttp://www■rmtfane■com/link179700/ani■c
ttp://www■rmtfane■com/link179700/jpmm■exe
ttp://www■rmtfane■com/link179700/ff■exe

134 ：(^ー^*)ノ〜さん ：07/12/14 23:44 ID:AvTW6i0p0

これは垢ハック?

ttp://search■cnn■com/search?query=site%3Amultisquid■com%20-1999-buick-regal-gs-superchargerrs

135 ：(^ー^*)ノ〜さん ：07/12/14 23:46 ID:AvTW6i0p0

すまん・・テンプレ付きではるの忘れてた

136 ：(^ー^*)ノ〜さん ：07/12/15 00:09 ID:kvoWVNhR0

※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※

137 ：(^ー^*)ノ〜さん ：07/12/15 00:27 ID:bAznum17O

今ローグテンプレみようとしたら真っ白でなにか文字がでてました。
これはアカハックなのでしょうか？

138 ：137 ：07/12/15 00:47 ID:bAznum17O

真っ白い画面にKurokogeって出ます

139 ：(^ー^*)ノ〜さん ：07/12/15 01:10 ID:IXzTQI2c0

ローグスレのテンプレに

□テンプレが見られない場合
　ビフレストシステムの通過認証が必要です。
　認証ページに従ってプロバイダの使用IP帯を送信してください。
　※面倒かもしれませんが垢ハック対策でもあります。ご理解・ご協力をお願いします。


と書いてある

140 ：(^ー^*)ノ〜さん ：07/12/15 02:34 ID:3ACfYbCd0

【　　アドレス 　 】www■ie6xp■com/playonline/
【気付いた日時】 12/15　01：00頃
【　 　　 OS　 　 】Windows2000
【使用ブラウザ 】IE6
【WindowsUpdateの有無】 3日前ぐらい？
【　アンチウイルスソフト 】 AVG（多分…
【 ウイルススキャン結果】 オンラインチェックでVBS_PSYME.BBEとでました
【スレログやテンプレを読んだか】 今読んでます。
【説明】
Wikiを探してる最中に踏んだら画面が真っ白。
ん？と思いソースチェッカーというものをやったら危険URLと出たので
慌ててオンラインチェックをし、ウイルスが1つ検出され削除しました。
こういう事は始めてなのでこれでいいのか不安です　よろしくお願いします。

141 ：(^ー^*)ノ〜さん ：07/12/15 03:50 ID:FiCRfeqq0

>>140
とりあえず感染したパソコンで絶対にパスやID入力の必要なことをしない
んで「感染していないパソコン」からパス変更
そしたらアンチウィルスソフトで駆除してそのまま使うか
バックアップとってHDDフォーマット後OS再インストールか
前者はウィルスが隠れてたらアウト
後者のほうはバックアップをスキャンするのを忘れずに
AVGで検出できるかわからんけどオンラインスキャンで検出できたならそこの体験版でも落せばいいかもね
後PG2みたいなファイヤーフォールソフト入れて中国にアクセスできなくしておくとより安全

142 ：(^ー^*)ノ〜さん ：07/12/15 06:42 ID:kvoWVNhR0

>>140
VBS_PSYMEというキーワードで検索すると、トロイ等をダウンロードするスクリプトの入った
HTMLページであることがわかります。

検知されたのは、多分、IEのキャッシュでしょう。
実行した結果の本体がどこかに隠れている危険な環境なのか、
本体をダウンロードするまえに切断して安全な環境なのか
判断する事ができません。

推奨する解決策：OSの入れなおしかリカバリにより確実に安全な環境にする
非推奨な自己責任：複数の方法でスキャンを行ない、安全である可能性を探り
　安全かもしれないとおもったら、自己責任で使い続ける。
　勿論、PG2などの、見落としていた場合の防御策も適切に設定する。
　見落としの結果、被害を被っても泣かない。

143 ：(^ー^*)ノ〜さん ：07/12/15 06:49 ID:kvoWVNhR0

>>133
整理してる途中に寝ちゃってたよ。検体提出でもしてきますかね。

(この４つはカスペスルー）
index■htm : HTML/Infected.WebPage.Gen
index■htm : NotDetected
ttmain■htm : JS/Downloader.Agent
main■htm : JS/Downloader.Agent

（以下はカスペ検出）
ttani■htm : Trojan-Downloader.JS.Psyme.kf
Ms06014■htm : Trojan-Downloader.JS.Psyme.kf
ff■exe : Trojan-PSW.Win32.OnLineGames.fcj
jpmm■exe : Trojan-PSW.Win32.Delf.ads
ani■c : Exploit.Win32.IMG-ANI.ac
ttani■c : Exploit.Win32.IMG-ANI.ac

（本体の検出結果）
ff■exe : カスペ○、NOD32○、マカフィー○、AVG○、Avast○、ノートン×
jpmm■exe : カスペ○、NOD32○、マカフィー○、AVG○、Avast○、ノートン○

144 ：(^ー^*)ノ〜さん ：07/12/15 07:27 ID:kvoWVNhR0

>>140
そのアドレスから読み込まれるのは
ttp://www■caremoon■net/blog/index1■htm

>>109-116辺りの情報（カスペでは全部検出できる筈とか）を参考に、スキャンしてみて下さい。
それでも検出されない場合の対応は、>141-142でよろしく。

145 ：140 ：07/12/15 14:43 ID:/3xrKsy00

>>141
幸いPCがもう一台ある環境だったので
パスワードは全て変更してきました。
初期化？する事が出来ないので、前者の方法になってしまいますが
体験版を落としてもう一度念入りにチェックしてみます。

>>142
PG2というものがよくわからないので
これからぐぐって出来る事なら設定してみようと思います。
初期化が出来ないため、万が一のを覚悟しておきます。

>>144
カスペとは別の所でやったのでカスペでもう一度やってみます。

どうしたらいいのか分からず心細かったので
適切なレスを頂けてホッとしました。
アドバイスを参考に色々やってみようと思います！
ありがとうございました。

146 ：(^ー^*)ノ〜さん ：07/12/15 15:17 ID:MM5VaBbS0

>>145
PG2でぐぐれば最初に日本語のマニュアルが出るからそこ見ればいいよ
マニュアル見ながらインストールしたら「中国　ブロックリスト」辺りでぐぐって
出てきた中国韓国台湾のIPリストをブロックリストに追加してやるだけ
ただこれをすると有名どころだとwikipediaが見れなくなったりする(鯖が韓国にある)から
見たい時はそのページだけ許可してやればいい
このへんの話はliveROのセキュスレの方がいいかな？

147 ：(^ー^*)ノ〜さん ：07/12/16 09:54 ID:CjWjbqI00

最近作られた福建人の罠ドメイン、ドメイン名ネタ切れ気味だな。

こんな記事と共に
イミュージョンイベントでイリュージョンアックスを100個OEしてみました。+10,に挑戦！,"
...lineage リネージュ vega oe=>www■iibkoto-siyouyo■com/boolean/20071213■rar"
【2007/12/13 11:46】 URL | まりぶぅ #HmsGVGSQ

iikoto-siyouyoと言う出会い系サイトがある、それをパクったね。
ぐぐると現在判明してる爆撃場所は明らかにゲーム系じゃない場所の方が多いように感じる。
とにかく書き込める場所に爆撃、その中の何人かでもゲームやれば・・と福建人は思ってるな。

この罠自体はVIRUSTOTAL見てもリネ狙いかな。
もちろん他のもあるんだろうが。

Domain name: iibkoto-siyouyo■com
Registrant Contact:
cai zi bing
zi bing cai caddd@126.com
13850687200 fax: 13850687200
Fujian longyan
longyan Fujian 364000
cn
Created: 2007-12-11

148 ：(^ー^*)ノ〜さん ：07/12/16 11:34 ID:6z4n4+V80

rarを解凍→wmv.scrをexeに→rarの自己解凍なのでさらに解凍→013■exe
今時Packerも使っていない古風なLineageトロイ。
lineagecojp■comのメールASPに送信する部分が見えるので悪口送っといた。

149 ：(^ー^*)ノ〜さん ：07/12/16 18:23 ID:3mz2sgJD0

【　　アドレス 　 】www■articlelin■com/wiki/
【気付いた日時】 今日15時ごろ
【　 　　 OS　 　 】 WinXPPro SP2
【使用ブラウザ 】 IE6
【WindowsUpdateの有無】最近のもの
【　アンチウイルスソフト 】 NIS2007　更新は随分止まってます
【その他のSecurty対策 】 ルーター
【 ウイルススキャン結果】 カスペルスキーオンラインスキャンでTrojan-Downloader.VBS.Agent.hi を検出
　　　　　　　　　　　　　一時フォルダにあったので一時フォルダを全削除　
【スレログやテンプレを読んだか】 読みながら書いてます
【hosts変更】無
【PeerGuardian2導入】無
【説明】
画面が真っ白で止まり、おかしいとおもったのでURLをぐぐってみたところ
ブログなどで罠コメントの様なものにURLが貼り付けられていたためウィルスと判断

なるべくクリーンインストールを避けたいのですが、
一時フォルダの全削除で削除されているのでしょうか？
体験版を落とし再度スキャンしなおすべきでしょうか？

150 ：(^ー^*)ノ〜さん ：07/12/16 18:49 ID:6kBceYkg0

>>149
踏んでから、ログイン等をしていないことを前提に回答すると、さっさとOS入れなおしてこい。
一度でも入ってしまったのであれば、OS入れなおしの前に「安全な環境からパスワード変更」が必須。

＞一時フォルダの全削除で削除されているのでしょうか？
無理。

＞体験版を落とし再度スキャンしなおすべきでしょうか？
当然するべき。でも、それより前にOS入れなおしに進んだ方が時間の無駄にならない。

＞NIS2007　更新は随分止まってます
＞なるべくクリーンインストールを避けたいのですが、
大馬鹿者っ。更新しないならセキュリティソフトの意味が無い。>>2を見て何か入れとけ。
そんなザルなセキュリティの場合は、他に何が潜んでいるかわかったもんじゃない。
必要なデータのバックアップを取って、早急に安全な環境の構築（OS入れなおしかリカバリ）を
進めるんだ。

セキュリティが甘いというのは、しらずに中継に使われるなど、加害者にもなりうる行為だ。
今後は慎んで欲しいと切に願う。

151 ：(^ー^*)ノ〜さん ：07/12/16 19:31 ID:CZloHfkE0

ついでに更新止まってるのならNISから他に乗り換えるべし
当方も2007だがハックに関しては最新でも検出率最悪だからな

152 ：147 ：07/12/16 20:30 ID:l7Ge4ocB0

福建人どもはなんか別の同日登録罠ドメイン使って
これまた一般サイトに爆撃かましてるようだ。
147と罠ファイル自体は同じ。
これは燻り出し作戦と見た、とにかく爆撃しまくってその中から対象ゲームをプレイするのが出てくるのに期待をしている、と。
今後はこのような燻り出し作戦が増えてきそうな予感がする。

www■peacchmax■com
これは日本の風俗情報サイトpeachmaxのパクリ。

Domain name: peacchmax■com
Registrant Contact:
cai zi bing
zi bing cai caddd@126.com
13850687200 fax: 13850687200
Fujian longyan
longyan Fujian 364000
cn
Created: 2007-12-11

153 ：(^ー^*)ノ〜さん ：07/12/16 22:51 ID:y90jnWNb0

出会い系とか風俗とか爆撃する対象を間違ってるな。

オンラインゲームやってる引き篭もり気味なリアル廃人はそんなとこ縁ねえよ。俺とか。

154 ：(^ー^*)ノ〜さん ：07/12/16 23:38 ID:6kBceYkg0

>>152
ttp://www■peacchmax■com/string/20071213■rar
検体入手に困るので、ちゃんとファイル名まで載せてもらえるとありがたい。
ファイル名こそ同じで構造も同じであったが、中身は別物でしたよ。

>147
Trojan-PSW.Win32.Delf.ads
>152
Trojan-PSW.Win32.OnLineGames.fcj

>>153
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

155 ：(^ー^*)ノ〜さん ：07/12/16 23:44 ID:6kBceYkg0

一応書いとくと、こんな構造でした。

->20071213■rar
-->20071213■wmv■scr
--->013■exe
--->mov0023■wmv
---->mms://202■210■163■74/bekk/navi■wmv(多分、無害）

156 ：(^ー^*)ノ〜さん ：07/12/17 08:16 ID:9fYx02dq0

んだね。前のは無圧縮で約60kBだったけど、今回のはUpackで70kB
(以前Maranと分類されていた物だと思う)。

157 ：(^ー^*)ノ〜さん ：07/12/17 08:18 ID:WgaUFOBK0

>検体入手に困るので、ちゃんとファイル名まで載せてもらえるとありがたい。
悪いが俺もそこまで暇じゃない、作業の合間の片手間に書いたりやったりしてるだけだ。
そういわれるのは正直心外、つまりその引用部分は余計だ。

>出会い系とか風俗とか爆撃する対象を間違ってるな。
スレ地だが間違っちゃいないと思うぜ。
焙り出すだけなら爆撃対象なんて全く関係ない。
そっちはよく見るがネトゲ系のHPとかブログや掲示板は殆ど見ない奴がいないとも限らん。

158 ：(^ー^*)ノ〜さん ：07/12/17 12:58 ID:Pet+2+lI0

雑談スレ行け

159 ：(^ー^*)ノ〜さん ：07/12/17 14:23 ID:9fYx02dq0

>>157
逆ギレすんなよ。ファイル名まで書けよ、スクリプト解読できねーなら
素直にそう言えよ、と言われてるわけじゃないだろ?

この際だから言及しておくが、余計なのは
「福建人どもは〜と思ってる」と「君が思ってる」事を書くことだ。

160 ：(^ー^*)ノ〜さん ：07/12/17 16:01 ID:QGptBZA60

コメントつけて貰ったわたしは既に移動してるんだが。
お互いコメントすることはこれ以上必要ない状態で続けられても困る。

セキュリティ対策、質問・雑談スレ3
http://enif.mmobbs.com/test/read.cgi/livero/1186660300/958

>>158-160
さ、セキュスレに帰るぞ。お邪魔いたしました。<(_ _)>

161 ：(^ー^*)ノ〜さん ：07/12/18 17:05 ID:RNWO8zHQ0

www■infosueek■com
Created: 2007-12-14
インフォスィーク。今はとりあえず iframe(略)で
www■blogplaync■com/chengzhi■exe
Last-Modified: Wed, 31 Oct 2007

162 ：137 ：07/12/18 17:17 ID:8L+ZRtbI0

>>139
返事が遅くなりすいません。ありがとうございます。
ローグスレの方で聞いてみようと思います。
すみませんでした。

163 ：(^ー^*)ノ〜さん ：07/12/19 23:31 ID:isl2Y38K0

クルセwikiの各リンクがアカハックに書き換えられてた模様

メニューバーのリンク先が以下のURLになってた
http://www■caremoon■net/blog/index1■htm

現在は一応復旧してるっぽいです

164 ：(^ー^*)ノ〜さん ：07/12/19 23:33 ID:isl2Y38K0

h抜き忘れた・・・ごめんなさい

165 ：(^ー^*)ノ〜さん ：07/12/20 03:19 ID:M9aHJQxS0

ヘイムダルwikiも同様に危ないと聞いた
関連wikiをごっそりいじったやつがいるのかもな

166 ：(^ー^*)ノ〜さん ：07/12/20 09:15 ID:NOGJzPz20

関連も何も、GoogleにPukiWiki特有のキーワード、ネトゲに関連するキーワードを
ぶち込んでhitしたサイトに総当りしてるだけだ罠・・・

167 ：129 ：07/12/20 09:34 ID:VwVQXHrz0

うちに来てたやつは、直前にGoogleで PukiWiki menubar で検索した模様。

多分、これで検索して引っかかったところを絨毯爆撃してるっぽいね。
実際に検索してみると、面白いようにWikiが釣れます。

referer　に google.co.jp pukiwiki menubar が含まれてるリクエストを遮断したら来なくなったりするのかも。
今回の(たぶん同一犯)限定になるけど。

168 ：(^ー^*)ノ〜さん ：07/12/20 14:51 ID:OWh8SdsJ0

クルセWikiメニューバーより
www■irisdti-jp■com/blog/

現在復旧済み

169 ：(^ー^*)ノ〜さん ：07/12/20 18:48 ID:30RFUeka0

しっかしあんたらも頑張るねぇ
サイト巡回するときネット専用別ＰＣ使う俺が勝ちだな
対策なんてめんどくさくてやってらんねえわ
ここで踏んだかも知れませんとか不安になってる無知な奴がいるけど
そんな気遣いするぐらいなら別ＰＣ買えよ
ＲＯやったり重要な情報が入ったＰＣは別に分けろ
なによりも垢ハック対策になるぞ

170 ：(^ー^*)ノ〜さん ：07/12/20 18:53 ID:RBDSFs5r0

>169
　まぁ垢ハック対策ならそんでいいんじゃね
ウィルスが垢ハックだけだと思って居られるならそれでいい
個人情報とかの流出とか考えないんであればいいと思うよ。

171 ：(^ー^*)ノ〜さん ：07/12/20 19:48 ID:Rmr63suj0

>>169-171
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

172 ：(^ー^*)ノ〜さん ：07/12/21 12:20 ID:im/UPLKu0

>>163,>>168
ttp://www■irisdti-jp■com/blog/
ttp://www■caremoon■net/blog/index1■htm
ttp://www■caremoon■net/blog/send■exe
ttp://www■caremoon■net/blog/f2■exe
ttp://www■caremoon■net/blog/reak■exe

Trojan-Downloader.JS.Agent.anp
Trojan-PSW.Win32.OnLineGames.kak
Trojan-PSW.Win32.Magania.bph
Trojan-PSW.Win32.Delf.aih

173 ：(^ー^*)ノ〜さん ：07/12/21 17:59 ID:ovE5fRy90

楽r天?
www■rakurten■com/wiki/
iframe(略)で
www■wacacop■net/wiki/send■exe test■exe rost■exe

174 ：(^ー^*)ノ〜さん ：07/12/21 22:12 ID:PxfIzd1G0

【　　アドレス 　 】click■linksynergy■com/fs-bin/click?id=qDyUUdo4*XM&offerid=93143■10000002&type=3&subid=0
【気付いた日時】 今日の午前２時ごろ
【　 　　 OS　 　 】 XPPro SP2
【使用ブラウザ 】 IE6
【WindowsUpdateの有無】 自動更新
【　アンチウイルスソフト 】 Avast!Home4.7
【その他のSecurty対策 】 ルーター＋Spybot S&D（定期的にアップデート＋検査してます）

【 ウイルススキャン結果】
Avast!常駐プログラム→Fngmhlib.dll（System32内、ウィルスWin32;Trojan-gen{other}）
（この通知で不安になりました）
シマンテックのオンラインスキャン→感染感知できず
トレンドのオンラインスキャン→感染感知できず
カスペルスキーオンラインスキャン→ウィルス数１・感染オブジェクト１を検出
（SystemVolumeInfomation\restore〜、not-a-virus:Monitor.Win32.KeyPressHooker.bとのこと）
Spybot：AdSpy.TCCを１エントリ検出（削除できず）

【スレログやテンプレを読んだか】 今読んでます。
【hosts変更】無
【PeerGuardian2導入】無
【説明】
（Fngmhlib.dll)
数週間前から起動時に「could not load DLL FNGMHLIB」と出始めていたものの、
エラー表示がオートメールチェッカーからであった事＋
シマンテックのオンラインスキャンでは感知されなかったので放置していましたが、
今朝２時頃、Avast!にてFngmhlib.dllがウィルスとして検出されました。

（Win32.KeyPressHooker.b）
上記に加え、ROラトリオ総合計算機ページ内上部にあった、
『ハイエンドゲームPCブランド「G-Tune」』をクリックした所、IE画面が真っ白になる症状が発生。
アカハックではないかと不安になったので、カスペルスキーにてチェックした所、検出されました。
直接の関連性があるかは不明ですが……


結構前にヤフー開いたらツールバーインストールが出て、うっかりOK押してしまったんですが。
それから上記の問題が発生し始めたように記憶しています。
これらってアカハック系なんでしょうか……

175 ：(^ー^*)ノ〜さん ：07/12/21 22:36 ID:im/UPLKu0

>>174
アカハックと断定できないような一般的相談だから、セキュスレの方がいいんじゃないかな。

回答する内容は同じなんで、ここで答えておくと、検知したものが危険かどうかは判断しかねる。
DLL不足のエラーが出ていたということなので、なんらかのマルウェアが（セキュリティソフトで
消されてしまった）ファイルをロードしようと試みていた可能性もある。正常なアプリが壊れただけ
かもしれないが。

そのＰＣの前で操作している訳でもない立場からは、診断のしようがない状況にまで踏み込んでいると
思われるので「ＯＳを入れなおすかリカバリを行ない、安全な環境に戻すこと」以外の回答は行なえない。

ＯＳ再インストールコース行ってらっしゃい。現状の報告を読む限りでは、変なところに入っている
可能性もあるので、（アプリ起動したら再発症するかも）データをバックアップとって、HDD初期化して
ＯＳ入れなおした後にアプリを改めて入れた方が安全ではないかという気がする。

多分、アカハックではない何物かだと思うよ。

>>173
index.htm : Script.Infected.WebPage.Gen
index1.htm : Trojan-Downloader.VBS.Small.gj
send．exe : Trojan-PSW.Win32.Delf.aih
test．exe : Trojan-PSW.Win32.OnLineGames.kak
rost．exe : Trojan.Win32.Inject.nk

176 ：(^ー^*)ノ〜さん ：07/12/22 03:54 ID:5bCzZRru0

リンクを踏んでしまったのですが

http://www■articlelin■com/blog/

上記にウィルスがあるかどうか調べて貰えませんでしょうか・・
クリックしたら画面が止まりました

177 ：(^ー^*)ノ〜さん ：07/12/22 04:54 ID:Kf8L41vG0

＞※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

178 ：(^ー^*)ノ〜さん ：07/12/22 06:51 ID:08FHZm8M0

深遠の騎士子たん萌えスレにうｐされてる
http://f26.aaa.livedoor.jp/~fianel/up/abys/up/abys243■jpg

ってやばい？

179 ：まとめ臨時 ◆kJfhJwdLoM ：07/12/22 07:09 ID:h9Xs8k7H0

不定期報告ですが現状 >>161 以降、
ここまで報告された罠はリストチェックで確認済みでした。
既出の物に新作トロイを仕込むのも相変わらず常套のようですね。

>>174 に関してはすべてを把握できませんが
ややこしく判断がつかない状況だと
クリーンインストールが一番安心確実かもしれません。

>>176
ログにある >4 のテンプレを読んで
何処で踏んだとかを埋めてもらえると助かりますが
緊急を要すると思いますので…。

articlelin■comは既出のアカハックリストで確認できます。

安全が確認できるまでパスワード類の入力を伴う行動は厳禁です。
対応方法は >>1-14 に記載されています。
カスペルスキーオンラインスキャンなど複数でチェックしてウイルスを駆除できても
検知できないすり抜けの可能性もあるので、
個人で安全になっているか判断が付かない場合はOSのクリーンインストールを。

180 ：(^ー^*)ノ〜さん ：07/12/22 09:57 ID:L2ALBo6S0

>>178
>>177

181 ：(^ー^*)ノ〜さん ：07/12/22 18:17 ID:PUb4h20M0

>>176 さんと同じの踏んでしまって
RO起動するとウィルスバスターがDLLのどうのこうのと警告出しました。
現在、再インストール中です。

182 ：181 ：07/12/22 18:22 ID:PUb4h20M0

テンプレに沿って書き込んだら（5回ほど）なぜか反映されなかったんだけど何でだろう・・・

183 ：(^ー^*)ノ〜さん ：07/12/22 18:27 ID:u7fSNqym0

>182
○○「.」exeをそのまま書いたから、じゃない？
「.」(半角)を「■」に置換するか「．」(全角)に置換したら通ったと思われ。

184 ：181 ：07/12/22 19:07 ID:PUb4h20M0

>>183 なるほど！
一応、報告ということで掲載しておきます。

【　　アドレス 　 】www■articlelin■com/blog/
【気付いた日時】 踏んだのは3時頃、気付いたのは16時ごろ
【　 　　 OS　 　 】 WinXPPro SP2
【使用ブラウザ 】 IE6
【WindowsUpdateの有無】最近のもの
【　アンチウイルスソフト 】 VB2008
【その他のSecurty対策 】 ルーター
【 ウイルススキャン結果】
VB2008で検出できず
カスペルスキーオンラインスキャンで検出できず　
【スレログやテンプレを読んだか】 読みました
【hosts変更】無
【PeerGuardian2導入】無
【説明】
ROとは関係ないWikiで踏んでしまいました。
ウィルススキャンで引っかからなかったので、
ROのクライアントを起動しましたが（WG選択まで）、他のIEなどが非常に重く感じました。
ログインせずに再起動後、クライアントを起動すると、VBがRagnarok．exeにDLLをダウンロードしてどうのこうのと警告。
踏んでから時間があるので別の要因の可能性もありますが、流石に恐いので再インストールしました。

185 ：(^ー^*)ノ〜さん ：07/12/23 23:11 ID:y1FiBiPl0

>>184
せっかくの報告なので検体入手して確認。

ttp://www■articlelin■com/blog/index■htm
ttp://www■panslog■net/wiki/index1■htm
ttp://www■panslog■net/wiki/send■exe
ttp://www■panslog■net/fc2/cery■exe
ttp://www■panslog■net/wiki/reco■exe

send■exe : Trojan-PSW.Win32.Delf.aih
cery■exe : Trojan-PSW.Win32.OnLineGames.kak
reco■exe : Trojan.Win32.Inject.ms

send■exe : カスペ○、NOD32○、マカフィー○、シマンテック○、Avast○、AVG○
cery■exe : カスペ○、NOD32○、マカフィー○、シマンテック○、Avast○、AVG○
reco■exe : カスペ○、NOD32○、マカフィー×、シマンテック×、Avast×、AVG○

VirusTotalでは、12/10〜13に確認済みだった模様。再度スキャンさせた結果が上。
日付からして、提出済みとは思うけど、未検出なので検体提出してきます。

186 ：(^ー^*)ノ〜さん ：07/12/24 00:03 ID:ONqpdIr10

追記
send■exe , cery■exe , reco■exe をトレンドマイクロのオンラインスキャンにかけたところ、
全て検出していました。

>>184が踏む前から対応していたのか、後から対応したのかは不明。
OS入れなおして確実に安全な環境にしたのはGOODな対応だと思った。

send■exe : TSPY_LINEAGE.GQR
cery■exe : TSPY_AGENT.ADOB
reco■exe : TROJ_SHEUR.CE

187 ：(^ー^*)ノ〜さん ：07/12/25 11:46 ID:8xwBXB3y0

【　　アドレス 　 】http://www■symphones■com/wikipedia/
【気付いた日時】 12/25
【　 　　 OS　 　 】WindowsXP
【使用ブラウザ 】 ＩＥ
【WindowsUpdateの有無】 1週間くらい前です
【　アンチウイルスソフト 】 avast
【 ウイルススキャン結果】 avastでワームが見つかりましたが、良く分かりません・・
【スレログやテンプレを読んだか】さらっとですが、目を通しました。これからじっくり読みます
【hosts変更】(なし
【PeerGuardian2導入】(なし
【説明】
友達のＲＯブログのコメントに張られていたＵＲＬを飛んでみたら、何もないページでした。
ちょっと怖いのですいませんが、書き込みさせていただきました

188 ：(^ー^*)ノ〜さん ：07/12/25 12:14 ID:gQBnrg1e0

>187
>1
>※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

で、ソースチェッカーで見たところ、iframeでサイズ0で index1.htm を呼び出し。
index1.htm はVBScriptでキャラクタ変換してるコードが仕込まれてる。

コードはデコードしてないが、手法的に9割方黒と思われ。

189 ：(^ー^*)ノ〜さん ：07/12/25 12:23 ID:8xwBXB3y0

>>187さま

レスありがとうございます。
見れないサイトではなくて、踏んでしまったので書き込みさせていただきました。

さっそく再インストールいってきようと思います。

チェックしていただいてありがとうございました。

詳しくないので、本当に助かります；´Д｀

190 ：(^ー^*)ノ〜さん ：07/12/25 12:24 ID:8xwBXB3y0

自分にレスしてどうするorz

すいません188さま。

191 ：(^ー^*)ノ〜さん ：07/12/25 12:42 ID:3mpGnJHS0

>>187さん
12/7あたりから現われている既知のアカハックアドレスです。

その時点で緑箱スルーのものがありましたので検体提出しましたが、
12/21確認時に新種のものに置き換わっていたので再提出。
現在は検出可能になっています。

3つの 実行形式ファイルを実行させようと試みますが、本日現在の
簡単な検出状況はこんな感じです。

検体1 - 黄スルー、緑検知
検体2 - 黄スルー、緑検知
検体3 - 黄検知、緑検知

緑には検体送って黄色は放置なので、いささか反則(販促?)
気味の比較ではありますが。

192 ：(^ー^*)ノ〜さん ：07/12/25 12:45 ID:h8P0GxUB0

>>191
黄とか緑って何ですか？

193 ：(^ー^*)ノ〜さん ：07/12/25 13:03 ID:Z3bgnyx60

>>1
> アカウントハックに関する情報の集積・分析を目的とするスレです。
> 被害や攻撃等のアカウントハックの具体的事例に関して扱います。
> 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
> 対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。
　~~~~~~~~~~~~
黄 シマンテック
緑 カスペルスキー
赤 ウイルスバスター

製品の箱の色から、このスレではそう呼ばれています。

194 ：(^ー^*)ノ〜さん ：07/12/25 13:10 ID:KBiCg8NA0

>製品の箱の色から、このスレではそう呼ばれています。
過去にもそういう略称が使われていた記憶が無いのですが…
一般には通じない略称はなるべく控えたほうが無難かと思います。

195 ：(^ー^*)ノ〜さん ：07/12/25 13:12 ID:9R3axBd90

初耳だわ。
過去スレみても一度もそんな呼ばれ方してないだろ。
2chの方の常識かなんかか？

196 ：(^ー^*)ノ〜さん ：07/12/25 13:14 ID:BRfTy6A40

そう呼ばれているのは>>191と>>193の脳内だけだろ
初代スレから張り付いてるけど、んな略称見たことない

197 ：(^ー^*)ノ〜さん ：07/12/25 13:20 ID:Z3bgnyx60

あれ・・・どこで見たんだろ。
>>191見て普通に認識してた・・・
まあ、すまなかった。
以降雑談は終了ということで。

198 ：(^ー^*)ノ〜さん ：07/12/25 13:50 ID:uDWTbLJJ0

>>187
ttp://www■symphones■com/wikipedia/index■htm
ttp://www■symphones■com/wikipedia/index1■htm
ttp://www■symphones■com/wikipedia/red■exe
ttp://www■symphones■com/wikipedia/sl■exe
ttp://www■symphones■com/wikipedia/fir■exe

index■htm : HTML/IFrame
index1■htm : TrojanDownloader:JS/Agent.FT
red■exe : Trojan.Win32.Inject.ox
sl■exe : Trojan-PSW.Win32.Delf.aih
fir■exe : Trojan-PSW.Win32.OnLineGames.kak

index■htm : カスペ×、NOD32×、マカフィー×、シマンテック×、Avast×、AVG×
index1■htm : カスペ×、NOD32×、マカフィー×、シマンテック×、Avast×、AVG×
red■exe : カスペ○、NOD32×、マカフィー×、シマンテック×、Avast×、AVG×
sl■exe : カスペ○、NOD32○、マカフィー○、シマンテック○、Avast○、AVG○
fir■exe : カスペ○、NOD32○、マカフィー○、シマンテック○、Avast○、AVG○

index.htmとindex1.htmはダウンローダなので、本体に対応していれば実害はない。
red■exeは、検出率悪いみたいなので、あとで検体提出しておきます。

Avastではすり抜けるものも混ざっているので、>>189のように再インストールコースは正解。
（検出できる奴の体験版で消す方法もあるけど）

>>191-198
今まで誰も使ってないような通称を使うのはやめましょう。
浸透させたければセキュスレ辺りで認知させることから。
変な呼び名は、使わないのが無難と思いますけどね。さ、わたしも含め、移動しましょ。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/

199 ：191 ：07/12/25 14:35 ID:3mpGnJHS0

なお、これに感染している場合、
%USERPROFILE%\Local Settings\Temp\ 以下に
L_hy60.pif 他 2つの実行ファイルを作成し、

レジストリキー
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\exploreb(略)

を作成するので簡易的に判定が可能です。

200 ：(^ー^*)ノ〜さん ：07/12/25 16:21 ID:muc19jHG0

【　　アドレス 　 】www■irisdti-jp■com/blog/
【気付いた日時】今さっき
【　 　　 OS　 　 】 WindowsVistaHomePremium
【使用ブラウザ 】 FireFox 2.0.0.11
【WindowsUpdateの有無】 自動更新
【　アンチウイルスソフト 】 Avast!4.7Home
【その他のSecurty対策 】 Spybot S&Dで週1回程度更新＆スキャン
【 ウイルススキャン結果】カスペはこれから、Avast!でスキャンしたら感染はゼロ
【スレログやテンプレを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】Web巡回中に>>168と同じアドレスを踏んでしまった。真っ青な画面のまま
　何も出ないので、当スレッドにて危険アドレスということを認識しました。

201 ：(^ー^*)ノ〜さん ：07/12/25 16:32 ID:uDWTbLJJ0

>>200
報告乙です。これからオンラインスキャンということですが、自己責任で使い続けるのでなければ
OSインストールコースがんばってらー。

>>168のアドレスという事ですが、【中身が差し替えられていないならば】>>172の報告通り
カスペで検出できるようです。参考までに。

202 ：200 ：07/12/25 17:06 ID:muc19jHG0

カスペのオンラインスキャンでも検出されませんでした…
ひょっとすると差し替えられ？OS再インストールですかね…

こういうスレッドがあってとても助かりました。どうもありがとうございました。

203 ：(^ー^*)ノ〜さん ：07/12/25 19:16 ID:8xwBXB3y0

187のものですが、皆さん調べていただきありがとうございました。
本当に助かりました。

無事再インスコ終えました

204 ：(^ー^*)ノ〜さん ：07/12/25 20:47 ID:uDWTbLJJ0

>>202
>カスペのオンラインスキャンでも検出されませんでした…

可能性は幾つかある。
１．入手前に切断したので、PCに入っていない（安全）
２．入手してしまったけど、新種(差し替えられて)なので検知できなかった（危険）
３．以下、可能性の低い条件の為、検知できなかった（危険）

安全か危険かは、回線の向こう側の立場からは判断できない。
よって、危険であると仮定して対応することを勧めることしかできない。OS入れなおしてらー。
勿論、安全である可能性を信じて、【自己責任】で使い続けるのは自由ですがね。

>ひょっとすると差し替えられ？

その疑問を投げかけられると、とても困る。一言で言うと「誰もそんなこと確認できん」
この辺の話題は、セキュスレでやった方がいいのかな？

・踏んだタイミングと、検証者（いるなら）の検体入手タイミングは異なるので
　同じである事の保証はできない。
・差し替えられていないか検証する際にも、最初の検証者と、後の検証者の入手
　タイミングが異なるので、MD5などの同一性を確認する手段が提供されていない限り
　差し替えられたことの確認は困難。（同じ検出名でも差し変わっている可能性がある）
・仮に、最初の検証者が、検体を保存しておいて、改めて入手した物が同じであることを
　確認しても、その間に差し替えがあった可能性は否定できない。つまり、現時点で
　同一性が確認されたとしても、質問者が踏んだ時のタイミングでも同じであったことは
　保証できない。

仮に、「手間をかけて検体を入手し」「検出名が同じor最初の検体と比較して同一」で
あることが確認できたとしても、相談者の環境で踏んだものと同じことは保証できない。

踏んだアドレスの内容がどのようなものであったかの報告は、相談者が
「自己責任で判断する参考資料でしかない。
（勿論、セキュリティベンダーに提出して対応して貰うこと等の副次的影響力は別として）

参考資料でしかない情報の為に、「誤クリックで発動させてしまう危険」
「検体入手の為に、一時的にセキュリティを緩めざるを得ない危険」
「比較確認の為の手間」を、検証者に負担させることは、実に割に合わない行為だろう。

205 ：(^ー^*)ノ〜さん ：07/12/25 21:20 ID:uDWTbLJJ0

>>202
>>ひょっとすると差し替えられ？
>その疑問を投げかけられると、とても困る。一言で言うと「誰もそんなこと確認できん」

と、だけ言っていても仕方ないので確認してきました。
ファイル構造、呼び出し方法は同じ。
但し、f2.exeの検出名が変化していましたので、差し替えは行われているようです。

ttp://www■irisdti-jp■com/blog/
ttp://www■caremoon■net/blog/index1■htm
ttp://www■caremoon■net/blog/send■exe
ttp://www■caremoon■net/blog/f2■exe
ttp://www■caremoon■net/blog/reak■exe

12/8時点
send■exe : Trojan-PSW.Win32.Delf.aih
f2■exe : Trojan-PSW.Win32.OnLineGames.fcj
reak■exe : Trojan-PSW.Win32.Magania.bph

12/21時点 >>172
index1■htm : >Trojan-Downloader.JS.Agent.anp
send■exe : >Trojan-PSW.Win32.Delf.aih
f2■exe : >Trojan-PSW.Win32.OnLineGames.kak
reak■exe : >Trojan-PSW.Win32.Magania.bph

12/25時点
index1■htm : Trojan-Downloader.JS.Agent.anp
send■exe : Trojan-PSW.Win32.Delf.aih
f2■exe : Trojan-PSW.Win32.OnLineGames.lyx
reak■exe : Trojan-PSW.Win32.Magania.bph

現時点では、カスペで全弾撃墜しておりますが、202さんが踏んだ時点の代物が
検出可能なものであるかどうかは保証しかねます。
自己責任でそのまま使うかどうかの参考情報として報告しておきます。

ちなみに、現時点のf2■exeですが、VirusTotalの結果は下記の通りです。
カスペ○、NOD32×、マカフィー○、シマンテック×、Avast○、AVG×

206 ：200、202 ：07/12/26 00:05 ID:cM9FAGce0

>>204,205さん
ありがとうございます。御礼が遅くなって申し訳ありませんでした。
再インストール行って参ります、また来る事の無いよう精進します。

207 ：(^ー^*)ノ〜さん ：07/12/26 13:07 ID:/L8XCvQx0

引っかかったかもしれないのならクリーンインストールしろと言われたのですが
そのクリーンインストールというのがよくわかりません。
ノートパソコンを買ったのですがそれにもついていますか。
サポートに電話すればいいんでしょうか。

208 ：(^ー^*)ノ〜さん ：07/12/26 13:20 ID:rqe9LpER0

リカバリ。メーカや機種によって違うんだから
説明書やヘルプを見るかサポートに聞いてくれ。板違い。

209 ：(^ー^*)ノ〜さん ：07/12/26 14:12 ID:kGe+oyTq0

>>207
ノートPCなら、メーカー付属のCD-ROMや、HDDからのリカバリなどがある。
付属のマニュアルを読んでください。

新規にXPを入れさせるところもありますが、基本は、メーカーのサポートセンターへどうぞ。
相談の際は、「PCを初期状態にリカバリしたいのですが、どうやったらいいでしょうか。
機種はXXXXで、シリアルナンバーはXXXXです」というように必要な情報を全て伝えること。

リカバリの際には、自分で作成したデータや受信したメール、ブラウザのブックマークなどが
全て消えます。必要なデータは事前にバックアップをとっておいてください。

210 ：(^ー^*)ノ〜さん ：07/12/26 20:29 ID:3K8V0xh9O

PG起動してるとNDSのWifi通信が出来なくなるな
２時間悩んだわ

211 ：(^ー^*)ノ〜さん ：07/12/26 20:30 ID:kGe+oyTq0

>>210
セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/

212 ：(^ー^*)ノ〜さん ：07/12/28 10:53 ID:CcTX8uhT0

Lydia板より
> 897 名前：lawlite12[] 投稿日：2007/12/28(金) 06:37:36 ID://fiFId2
> 通常日記とらぐな日記をそれぞれ更新しました！
> ぜひぜひ、みなさん遊びにきてくださいな
> blog■surpara■com/lawlite12/

> トロイの木馬を検出したため対処しました。
> 「FKCfb-09p1-136.ppp11.odn.ad.jp」からのため「FKC*.odn.ad.jp」を規制。

追加情報として、blog■surpara■comのIPアドレスは210■251■252■164で
日本国内のIPアドレスです

213 ：(^ー^*)ノ〜さん ：07/12/28 12:00 ID:FA7VLVBd0

>>212
報告乙です。
既知のアドレスのものを呼びだしていますが、一部、最近差し替えられたファイルが混ざっているようですね。

ttp://blog■surpara■com/lawlite12/
３箇所にサイズ０のiframe呼び出し

ttp://www■teamerblog■com/blog/

ttp://www■panslog■net/wiki/index1■htm
ttp://www■panslog■net/wiki/send■exe
ttp://www■panslog■net/fc2/cery■exe
ttp://www■panslog■net/wiki/reco■exe

cery■exe : Trojan-PSW.Win32.OnLineGames.lyx
index1■htm : Trojan-Downloader.VBS.Agent.hi
reco■exe : Trojan.Win32.Inject.ms
send■exe : Trojan-PSW.Win32.Delf.aih

214 ：(^ー^*)ノ〜さん ：07/12/28 12:01 ID:gXyQIsZa0

surparaは古くから同人やってる人ならtinamiと並んで普通に知ってるサイトのはず。
何年も見てなかったけど、ブログ始めてたのか…。
iframeが使える上にFC2のような通報フォームも見当たらんからやりたい放題だな。

215 ：(^ー^*)ノ〜さん ：07/12/28 12:21 ID:GjZ03Zpl0

>>212
元のアドレスが国内なのは、サーパラブログ自体は普通のポータルサイトが開設したレンタルBlogサービスなので自明。
fc2同様、iframeが書けてしまうBlogモジュールはセキュリティの観点からすると好ましくはないが。
一応、本家サーパラの方にあるフォームから運営に通報してみた。iframeの使用制限も要望はしてみたが、どうなるやら。

216 ：(^ー^*)ノ〜さん ：07/12/28 13:36 ID:gXyQIsZa0

お、速攻で消されてるｗ

217 ：(^ー^*)ノ〜さん ：07/12/29 01:24 ID:8sl4WqK90

>>212-215の件についての返信。
>>>
Surfersparadiseです。
いつもご利用いただきましてありがとうございます。
以下に関しましては、該当アカウントの削除を行いました。
また、こうした書き込みなどを管理するツールの実装を早急に行います。
この度はご連絡いただきましてありがとうございました。
今後ともよろしくお願いいたします。
>>>

ひとまず、surparaに関しては、今後は罠として使いにくくなると期待が持てそうな感じ。

218 ：(^ー^*)ノ〜さん ：07/12/30 12:21 ID:+YJrqs8e0

exぶろ〜ぐ
www■exbloog■com/7112886/000027■zip
www■exbloog■com/7112887/000028■zip

219 ：(^ー^*)ノ〜さん ：07/12/30 14:59 ID:h/9Epm970

>>218
->000027■wmv■scr
-->013■exe
-->mov0023■wmv
--->mms://202■210■163■74/bekk/navi■wmv

->000028■wmv■scr
-->013■exe
-->mov0023■wmv
--->mms://202■210■163■74/bekk/navi■wmv

000027■zip : Trojan-PSW.Win32.OnLineGames.fcj
000027■wmv■scr : Trojan-PSW.Win32.OnLineGames.fcj
013■exe : Trojan-PSW.Win32.OnLineGames.fcj

000028■zip : Trojan-PSW.Win32.QQPass.xw
000028■wmv■scr : Trojan-PSW.Win32.QQPass.xw
013■exe : Trojan-PSW.Win32.QQPass.xw

220 ：(^ー^*)ノ〜さん ：07/12/30 15:43 ID:+YJrqs8e0

>>217
またできてたｗ
blog■surpara■com/lulu26/
対策されるまでは blog.surpara.com/blogList.html で新着チェックかな…。

221 ：(^ー^*)ノ〜さん ：07/12/31 11:43 ID:xUXP+jj10

>>220　検体入手しようと見に行ったらもうなかった。

222 ：(^ー^*)ノ〜さん ：07/12/31 13:33 ID:NCgVyDsr0

アカだけとって記事が一つも無いのもあるけど、
既存のがバレて消されたら記事入れて爆撃なのかな。

223 ：(^ー^*)ノ〜さん ：07/12/31 13:36 ID:oHmC0qiY0

wiki見てたら踏んでしまったんだが

http://nmmdbi■blog22■fc2■com/

どうなんだろ

224 ：(^ー^*)ノ〜さん ：07/12/31 14:04 ID:UP1i+C7D0

対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

225 ：(^ー^*)ノ〜さん ：07/12/31 15:33 ID:EZhx699p0

すんません、数ヶ月ぶりにRO復帰しようと思うんで入る前に聞きたいんですけど、
ちょっと調べてみたところJavaScriptもオフ推奨って書いてるとこ見かけるんですが、
スクリプトだけでも感染するような新種がでてるんですかね？
私的にはアプレットとかActiveXは危ないと思うからROしてなくても常時オフってましたが
JavaScriptも危ない時代になっちゃってるんでしょうか？

226 ：(^ー^*)ノ〜さん ：07/12/31 15:37 ID:lWpYMDS80

>>225
>>224

227 ：(^ー^*)ノ〜さん ：07/12/31 15:44 ID:EZhx699p0

すんませんスレチでしたか。
そっちできいてみます

228 ：(^ー^*)ノ〜さん ：07/12/31 20:57 ID:cWI7hZXv0

上の方で差し替えという話題になっていて不安を覚えました
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/133
自分が踏んだ時点でどうかというのは確かに不明だと思いますが
現時点でどうなのか、詳しい方教えていただけると幸いです
ドメイン失効とあったのでリカバリしていなかったので不安でした
＞www■pangzigame■com 　　8■15■231■125:80

229 ：(^ー^*)ノ〜さん ：07/12/31 22:53 ID:xUXP+jj10

重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/

230 ：(^ー^*)ノ〜さん ：08/01/01 07:35 ID:KzP+Ud7m0

そろそろその誘導コピペで流れるだけだということに気付け

231 ：(^ー^*)ノ〜さん ：08/01/01 17:04 ID:QwMCLEQx0

>>230
>>1

232 ：(^ー^*)ノ〜さん ：08/01/01 17:09 ID:qkzbGyt40

>>230
ｵﾏｴﾓﾅｰ
…懐かしい言い回しだな。

幾つか新規の物を発見したので報告
・罠blog
　http://happeningnew■blog28■fc2■com/
　　http://www■nlftweb■com/link179700
　　　http://www■rmtfane■com/link179700/main■htm
　　　　http://www■rmtfane■com/link179700/ani■c
　　　　http://www■rmtfane■com/link179700/Ms06014■htm
・新規ドメイン
　http://www■rmt-expretss■com/ourtesf
　　http://www■lvei20■com/ourtesf/ff11■exe

233 ：(^ー^*)ノ〜さん ：08/01/01 20:35 ID:jnlIO8ey0

>>232
www■rmtfane■com/link179700/ff■exe
10/14製造。既知の物っぽい。

234 ：(^ー^*)ノ〜さん ：08/01/02 09:07 ID:H8NiTCNS0

>>231
>>1

こうですか＞＜

235 ：(^ー^*)ノ〜さん ：08/01/02 09:19 ID:dSlhvypO0

>一般的なセキュリティ対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。
前から思ってたが「総合対策スレ」なのに
なんで対策まで隔離されるという変な事態になってるんだろ？

>※ ネタや程度を超えた雑談・脱線はご遠慮ください
あと、即誘導コピペを貼る潔癖症の人は
度が過ぎなければテンプレ許容範囲だということも覚えておこうね。

236 ：(^ー^*)ノ〜さん ：08/01/02 12:24 ID:gu+DHFAB0

いろんな角度から対策を検討するスレであって、対策方法を聞きにくるスレではない。
というのが私の認識だけど、あってる？

>>236
>>1

237 ：(^ー^*)ノ〜さん ：08/01/02 16:27 ID:GyDjOENv0

www■soracger■com/blog/
→ www■caremoon■net/blog/send■exe f2■exe reak■exe
順にリネージュ、FFXI、SecondLifeのトロイ。

238 ：(^ー^*)ノ〜さん ：08/01/02 18:09 ID:cmQr9yfO0

すみません、どなたかご教授ください

www■noely■blog88■fc2■com/blog-entry-249■html

上記のサイトを踏んだら変なエフェクトと英文字が出てきて消えたのですが、
ハック等の恐れはありますでしょうか？

239 ：(^ー^*)ノ〜さん ：08/01/02 18:13 ID:3SEXPv/J0

>>238
>>229

240 ：(^ー^*)ノ〜さん ：08/01/03 23:53 ID:5Mklm+HW0

・罠blog
　http://yamunya■blog98■fc2■com/
　→http://www■teamerblog■com/blog/
　　→http://www■teamerblog■com/blog/index1■htm

241 ：(^ー^*)ノ〜さん ：08/01/04 12:33 ID:2LKpNCTV0

>>237
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

242 ：(^ー^*)ノ〜さん ：08/01/04 12:37 ID:C3QpgIGN0

237はいいだろ

243 ：(^ー^*)ノ〜さん ：08/01/04 13:15 ID:OFkCZmxY0

もうこのスレも、従前の役目は終えたな。
危険アドレス、それも勘違いが許されない、確実な危険性を持つ物以外の投稿は排除され、スレの方針を話し合う事すら排除対象。
それなら、リネージュ資料室の様に、外部に投稿可能な観測所を設けて、後は全てセキュスレで扱った方が良い気がしてきた。
ログが残るのが利点という話もあるが、再利用性等の点から、結局は再加工して外部で使う形である以上、二度手間。

244 ：(^ー^*)ノ〜さん ：08/01/04 14:46 ID:UfDvY1cY0

お前様が終えたと思ったら使うのを止めればいい
まだ役割が残ってると思った人が使いつづけていく
そういった人が一人もいなくなったら次スレが立たずに終わる。ただそれだけだ

245 ：(^ー^*)ノ〜さん ：08/01/06 13:07 ID:Pq7dsBfk0

いつもの罠ブログ
hcavaliere■blog4■fc2■com
目新しいのはiframeでtinyurl(短縮URL)を経由する点。
飛び先は既知のcaremoon(以下略)。

246 ：(^ー^*)ノ〜さん ：08/01/08 16:35 ID:xOaEUhHG0

LiveROのパッチ変更点スレ120に張られたアカハックらしきアドレス

チェックしてくれた方によりますと、
＞jibaj■blog4■fc2.com
＞->www■rakurten■com/blog
＞-->www■wacacop■net/wiki/index1.htm (VBScriptによる罠ページ)

RMT関連の怪しい文とともに張られるので怪しさですぐ判ると思いますが、
そこら中に張られる可能性や誤クリックの危険性はありますので、お気をつけ下さい。

247 ：(^ー^*)ノ〜さん ：08/01/09 07:54 ID:6dvgf49J0

livedoorbloog■com
既出の exbloog■com と同一ホスト。

248 ：(^ー^*)ノ〜さん ：08/01/09 12:31 ID:6dvgf49J0

ROと名のつく物がごっそり更新されているのはなぜだろう。
RO2ではないと思うんだが…。

バイナリは一部異なります(同一のもある)。
www■gtvxi■com/naizi/ro■exe
www■k5dionne■com/ousele/sanro■exe
www■twsunkom■com/3ro■exe
www■jbbslivedoor■com/ro■exe

249 ：(^ー^*)ノ〜さん ：08/01/09 13:07 ID:6dvgf49J0

www■bbtv-chat■com/cuvt66895/
(略)
www■bbtv-chat■com/cuvt66895/guan■exe

ちょっと古めのリネージュトロイ。

250 ：(^ー^*)ノ〜さん ：08/01/09 17:42 ID:sw7311rd0

重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/

251 ：(^ー^*)ノ〜さん ：08/01/09 18:35 ID:zuh6wqye0

>>250
自治厨（笑）乙であります＾＾＾

252 ：(^ー^*)ノ〜さん ：08/01/09 18:53 ID:IArTNO8t0

ちょっとだけ失礼。その流れは雑談じゃない。
URL貼り付け以外何でも誘導するとかと勘違いしないように。

253 ：(^ー^*)ノ〜さん ：08/01/09 18:57 ID:IArTNO8t0

そうだ、これもついでに。

ウィンドウズアップデート日age
緊急(1) 重要(1)

254 ：(^ー^*)ノ〜さん ：08/01/10 11:37 ID:uhIeHlm60

アコプリスレ362にハクアドレス貼り付けられてたので報告

infosueek■com/rosolo/index-php/
--->www■twsunkom■com/jplink/Ms06014.htm

255 ：(^ー^*)ノ〜さん ：08/01/10 22:43 ID:uJcnu+OU0

新ドメイン
rustotal■com
famitsa■com
gamehanbook■com
gamemmobbs■com
dimorphothec■com
gorsara■com

256 ：(^ー^*)ノ〜さん ：08/01/11 15:36 ID:wpwdBr0V0

>>255
gamemmobbs■com
どう見てもここがターゲットです　ありがとうございました

257 ：(^ー^*)ノ〜さん ：08/01/11 17:19 ID:rnAUeHDE0

>>256
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

258 ：(^ー^*)ノ〜さん ：08/01/11 20:09 ID:IlfP3GST0

>>257
>>251

259 ：(^ー^*)ノ〜さん ：08/01/11 20:10 ID:T8yOYrxX0

(意訳)
他の突っ込み用スレが分離しているスレ同様、ここへの投稿への突っ込みは、セキュスレにお願いします。

260 ：(^ー^*)ノ〜さん ：08/01/11 20:45 ID:n6f3oADj0

>>257

>>251
>>1
被害や攻撃等のアカウントハックの　具　体　的　事　例　に関して扱います。
>>256

261 ：(^ー^*)ノ〜さん ：08/01/11 21:49 ID:nlZLDXRR0

仮に256がスレチだとしてもそれが続くようなら誘導すればいいと思うけど
1レスごとに257みたいな誘導は不要だろ
自治厨キモス

262 ：(^ー^*)ノ〜さん ：08/01/12 05:48 ID:EVPKu5Kb0

誘導してる奴らを自治厨呼ばわりしてまで
ここで雑談しようとする奴らの方が
よっぽどウザイんだがな。

さて、俺も含めてみんなでLiveROに帰ろうか。

ここから先は何事もなかったかのように
アカウントハックに関する総合対策スレをご活用下さい。

263 ：(^ー^*)ノ〜さん ：08/01/12 08:02 ID:hfGW/uAj0

自治厨乙。

>※ ネタや程度を超えた雑談・脱線はご遠慮ください
雑談が完全に禁止されてるわけではないと以前も突っ込まれてたよな。
一々誘導コピペ貼ってる馬鹿も俺みたいなのと同様に無駄にスレを消費してることを知れ。

264 ：(^ー^*)ノ〜さん ：08/01/12 08:12 ID:t7ZYp9kp0

ミイラ取りがミイラ~じゃないけど
自治しようとしてる奴がテンプレに反して無駄にスレを荒らしてる

匿名掲示板で他人の書き込みまで抑制出来るわけないんだから
気に食わないんなら自分でまとめサイトでも作ったらどうかね？

265 ：(^ー^*)ノ〜さん ：08/01/12 09:47 ID:Yk3YgniV0

意見はこちらでお願いします。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/

266 ：(^ー^*)ノ〜さん ：08/01/12 13:19 ID:YcwEEI8X0

鯖板より罠ブログ
ttp://itsuki01azn■blog18■fc2■com/

267 ：(^ー^*)ノ〜さん ：08/01/12 17:26 ID:pW0I0jhR0

ttp://monk.s221.xrea.com/index.php?cmd=read&page=%B9%CD%BB%A1%2F%A5%BF%A5%A4%A5%D7%CA%CC%2F%C8%AF%D2%A6%B7%BF&word=%C8%AF%D2%A6
ここにはっつけてあるURLって明らかに怪しいんだが垢ハックの類だろうか
※リンク先自体はモンクテンプレに飛びます

268 ：(^ー^*)ノ〜さん ：08/01/12 18:03 ID:MSy7tGEa0

特典アイテムスレ983に貼られていたもの。
スレが埋まってるから警告が出せなかったけど、大丈夫かな……
管理板には削除依頼は出しておいた。

darkblueskp■blog34■fc2■com
--->www■gorsara■com/batteROyale
----->www■gamemmobbs■com/batteROyale/Ms06014■htm

>255の新ドメインが早速使われてる。

269 ：(^ー^*)ノ〜さん ：08/01/12 18:47 ID:j0MDNKKS0

>>267
>※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません
一応、危険性は薄いが、精神的に有害かも知れない。やっている事もspamだし。

それと、各職Wikiの運営で尽力していた羊ケミ氏が、事実上一線を退く表明を出している。
アルケミWikiはSageWiki管理人Makichan氏が、共通データテンプレは貧スレWikiのRAGwalker氏が引き継ぎで落ち着いた模様だけど、
モンク・忍者・ガンスリの各職Wikiは現状でまだ確定していない。
この辺り、悪意ある人物が承継に名乗りを挙げるような事態にならなければ良いのだが。

#一応、テンプレサイト運営側のアカハック対策に関るので、こっちに書いてみる。

270 ：(^ー^*)ノ〜さん ：08/01/12 19:52 ID:p4X9k0CW0

>>267
当該ページの最終更新時間を見れば気づくと思うけど、基本的に無関係。
Last-modified: 2006-07-05 Wed 22:42:07 JST。一昨年。

実はこの頃、そのページに記載されているような文で各Wiki/bbsを荒らしまわった
者が居るという昔話があり、そのページはそれの名残で今に至るまで削除され
なかったものと思われる。

271 ：(^ー^*)ノ〜さん ：08/01/12 23:32 ID:BhcQDT9Y0

wiki観ようとしたら踏んでしまった・・・
踏んで直ぐにカスペルが検地したから削除した

踏んだ時、踏んだ後もROは起動してない
今は完全スキャンしてるけど、HDDフォーマットとOS再インスト
別PCでパス等の変更で良いのかな？

272 ：(^ー^*)ノ〜さん ：08/01/12 23:52 ID:i5TA/NOH0

カスペが阻止したならまず大丈夫だと思うよ。
もちろん保障はできんが。

273 ：(^ー^*)ノ〜さん ：08/01/13 00:10 ID:S3lkVZJc0

>>271
おｋ。但し、相談はテンプレを利用しよう。

パス等の変更は、踏んだのが明らかな時以降パスワードを送信する行為を一切していなければ不要。
パスを変更する場合は、そのＰＣが安全な環境であるかどうかの確認もお忘れなく。

274 ：まとめ臨時 ◆kJfhJwdLoM ：08/01/13 07:02 ID:AATKg2Qs0

ttp://sportsnavi1■blog18■fc2■com
├ttp://www■ragnwiki■com/FFXI/
　├ttp://www■ragnwiki■com/read/red■exe
　├ttp://www■ragnwiki■com/read/fen■exe

罠のragnwiki■comはリネージュ資料室さんで確認されていて、
現時点のまとめ臨時分にも加えてあります。

ブログ部分はスポーツナビのパクリなのかも？
ソースチェッカーで自分が確認できたのはここまでです。
検体は確保していません。
他にも何か在るかもしれませんがよろしくお願いします。

275 ：(^ー^*)ノ〜さん ：08/01/13 13:33 ID:JXx0tzt30

自分が管理しているRO関連サイトの掲示板に、私の名前を使い、私の過去の記事をコピペしての
罠サイト（かどうかは過去ログにて確認しました）投稿がありました。
手口の一例として報告します。

スレチでしたらすみません。

276 ：(^ー^*)ノ〜さん ：08/01/13 17:25 ID:MaoQkgWY0

ライブドアブログ
記事にiframe仕込むのは面倒だと思うんだが…。
blog■livedoor■jp/ahirun1/
→www■ranninp■com/001358/
→www■anoelnet■org/FFXI/

www■ranninp■com/001358/
→www■ranninp■com/001358/t1■exe Trojan-PSW.Win32.Delf.ads, Trojan.PWS.Lineage.3678

www■anoelnet■org/FFXI/
→www■miarakure■com/wiki/lin■exe Trojan-PSW.Win32.Magania.bre, Trojan.PWS.Reggin
→www■miarakure■com/wiki/rse■exe Trojan-PSW.Win32.Delf.aih, Win32.HLLP.Lac
→www■miarakure■com/wiki/ff■exe Trojan-PSW.Win32.OnLineGames.lyx, Trojan.PWS.Gamania.6556

277 ：(^ー^*)ノ〜さん ：08/01/13 18:03 ID:0AaLFqiH0

今、アルケミwiki見てたらウイルスに進入されてしまった・・・
ro繋いだまま検出してるんだけど大丈夫かな？

278 ：ま ◆sp4Sh9QXGI ：08/01/13 18:04 ID:sM+GgGZD0

お久しぶりです。
未だ求職中でピンチのまとめの人です。
時間がとれたのでサイトを更新しました。
…が、大したことはしておりません。
作業を全てリネージュ資料室の中の人に丸投げするという
無責任な管理人でまことに申し訳ございませんorz

279 ：(^ー^*)ノ〜さん ：08/01/13 18:14 ID:m6fEI+5k0

>>277
侵入された時点で大丈夫とは言えなくなっている。
ログアウトして、そのPC以外からパスワードを変更した方がよい。
で、件のPCはクリーンインスト。

280 ：まとめ臨時 ◆kJfhJwdLoM ：08/01/13 18:34 ID:VUulR0ql0

>>278
なんだか大変そうで本当におつかれさまです。

ログはこちらに。htmに変更していただければ
ttp://sky.geocities.jp/ro_hp_add/SSZ3.txt
確保しだい削除します。

281 ：まとめ臨時 ◆kJfhJwdLoM ：08/01/13 18:47 ID:VUulR0ql0

不定期報告です。サイトのほうで定期的になんとか更新しております。
http://sky.geocities.jp/ro_hp_add/

基本的に各サイトを回られてhostsファイルを手動で編集するのがよいと思うのですが
非推奨ながら熟練者向け？に裏でUPしていたリスト
(主要サイト様方のリストをまとめすぎたリスト)を試験的にリンクしてみました。

282 ： ◆sp4Sh9QXGI ：08/01/13 19:07 ID:sM+GgGZD0

>>280さま
臨時の管理も含め、お疲れ様です。
セキュスレのログ、ありがたくいただきました。

283 ：(^ー^*)ノ〜さん ：08/01/13 20:09 ID:r0mnrqKd0

ぢつはアカウントハックスレ関連はBSWikiさん関連の場所でも保管されてたり。
http://smith.z49.org/kako/namazu.cgi

>>274
一応それだけで良い筈。

>>276
良くある対策システムはドメイン単位で可否を判定する物が多いから
各アカウントにディレクトリを掘るlivedoorとかyahooはあんまり嬉しくない物ですな。

>>277
アルケミテンプレは管理移行により流動的な部分はあると思うけど、
新管理人さんもSageテンプレでやってた人だから、書き込みうける可能性は
低そうな気がするんだけどな。
だからこそ、テンパっている時で悪いけど、有意な情報の為に報告テンプレを
使って欲しいな。

284 ：(^ー^*)ノ〜さん ：08/01/13 21:06 ID:S3lkVZJc0

>>268
一応、追記。

｜darkblueskp■blog34■fc2■com
｜--->www■gorsara■com/batteROyale
｜----->www■gamemmobbs■com/batteROyale/Ms06014■htm
　----->www■gamemmobbs■com/batteROyale/ani■c
　----->www■gamemmobbs■com/batteROyale/ro1■exe

ro1■exe : Trojan.Win32.Inject.qt

ro1■exeは1/12時点のVirusTotalでは下記の結果。
AntiVir○、Avast×、AVG○、カスペ○、マカフィー×、NOD32×、ノートン×

285 ：(^ー^*)ノ〜さん ：08/01/14 11:30 ID:OOkSgmu80

gamemmobbsには
www■gamemmobbs■com/pcent/ro3■exe
もあるのでro2もどこかにあると思う。

286 ：(^ー^*)ノ〜さん ：08/01/14 13:44 ID:SGdWojd60

少々スレの趣旨とは異なる可能性があるけど、注意して欲しい事

ここ最近ですが、exblogを使っている人のところを中心に
コメントに垢ハック系のURLが書き込まれているところが多いです
exblog利用者が知り合いに居た場合は、コメントのURLに注意してください

287 ：(^ー^*)ノ〜さん ：08/01/14 14:25 ID:Vkjgo14v0

>>285
Trojan.Win32.Inject.qt

288 ：(^ー^*)ノ〜さん ：08/01/15 19:50 ID:6j09wG6M0

すまない、垢ハックを踏んでしまったようなんだ。
友人のブログにあるコメントで、ｺﾒﾝﾄから垢ハックと判断してURL検索→まとめサイトに載ってるか探そうとして結果開いたらそのサイトだったｏｒｚ
普通のサイトで一瞬で閉じたんだがこれはどうなんだろうか。rundll132.exeもrodll.dllも発見できず、いつもなら怪しいURL踏んだら反応するAVGも反応なし。
大丈夫そうではあるんだがどうにも不安でｏｒｚ

ついていたｺﾒﾝﾄ
−−−−−−−−−−−−−−−−
■とりあえず速報

本日のＧＶを最後に　妖精輪舞-久遠の絆-　が同盟からはずれました。
ぼて創立から同盟を組んでいたので寂しいですが、同盟という形がなくなった

だけなので、
妖精の皆様、これからもどうぞ宜しくお願いしますね！

rara_gm (←ここにHPのURL)
−−−−−−−−−−−−−−−−
コメントの内容は友人のブログともリンク先ｻｲﾄとまったく関係無し。

289 ：288 ：08/01/15 20:12 ID:6j09wG6M0

か、かきこめねぇ・・・

290 ：(^ー^*)ノ〜さん ：08/01/15 20:21 ID:cWn7kEJD0

まずテンプレ読め。

291 ：(^ー^*)ノ〜さん ：08/01/15 20:31 ID:+mDWp82h0

>>rundll132.exeもrodll.dllも発見できず
いやいや、情報古すぎるから
とりあえずテンプレ読んで勉強してきてください

292 ：288 ：08/01/15 20:36 ID:6j09wG6M0

ま、まぁ落ち着いてくれ。
一番落ち着くべきは俺なんだが、何故か書き込みにエラーがでて書き込めないんだ。


【　　アドレス 　 】ttp://gtvxi■com/uplink1028/9974link/■com/uplink1028/9974link/
【気付いた日時】2008/01/15 19:30
【　 　　 OS　 　 】 WinXPSP2
【使用ブラウザ 】 Luna4
【WindowsUpdateの有無】 有　自動更新(ちょっと日時がわからないですｏｒｚ)
【　アンチウイルスソフト 】 AVGFLEE（最終更新2008/01/12)
【その他のSecurty対策 】 常時機動はしていません。
【 ウイルススキャン結果】 McAfeeオンラインスキャンで未発見
【スレログやテンプレを読んだか】 今読みましたｏｒｚ
【hosts変更】無
【PeerGuardian2導入】無
【説明】
SourceCheckerOn-lineで調べたらインラインフレームで
ttp://www■mbspro6uic■com/indexm■htm　検出、さらにその先に
ttp://www■mbspro6uic■com/naizi/nait■htm　があって、
−−−−−−−−−−−−−−−
注意！ループタグを発見！ (1)
※ windowオープンを発見しました。
\x47\x45\x54
−−−−−−−−−−−−−−−
ただのブラクラなのかなと行き着いたんだですがどうなのでしょう？

293 ：(^ー^*)ノ〜さん ：08/01/15 20:38 ID:+mDWp82h0

>>292
セキュスレの方見てもらえばわかるけど垢ハクURLです
カスペオンラインスキャンでもしつつテンプレ熟読してくださいな

294 ：(^ー^*)ノ〜さん ：08/01/16 15:44 ID:RjX5R+HV0

ちょっと質問です。
自分のブログの記事に書き込みがあって、内容がその記事にやや関係ある
文章＋　〜〜の絵です。http〜〜.zip
という内容でした。垢ハックの恐れがあるものの、もし普通のものであれば
消すのは申し訳ないので今はそのままにしてあるのですが、その内容を安全に
確かめる方法は無いでしょうか？

295 ：(^ー^*)ノ〜さん ：08/01/16 15:48 ID:CCqaI9b20

zipなんだからDLしてウィルスチェックして確かめればいいじゃん。

296 ：(^ー^*)ノ〜さん ：08/01/16 16:06 ID:bFnHZyZu0

>>294
そういう相談はセキュスレへどうぞ。

検体確保になるので、ピリオドを■に置き換えて、そのもののアドレスを書いてくれるとありがたい。
セキュスレを「zip」で検索書けると、同じ物が出てくるかもしれないよ。

いきなりファイルのアドレスを、見知らぬ人が書いてくる時点で危ないものだと思った方がいいよ。

297 ：(^ー^*)ノ〜さん ：08/01/16 17:41 ID:RjX5R+HV0

ttp://www■lineagecojp■com/movie/mov0028■zip
でした。

>>296
セキュリティスレ覗いたらよく似たものがあったので垢ハクのようです。
ありがとうございましたー

298 ：(^ー^*)ノ〜さん ：08/01/16 19:55 ID:W6FVrO2I0

先日垢ハクされ、装備が全部なくなってしまいました
メインPCはフォーマットをし
パスワードは数ヶ月使っていなかったPCから変更しました

ここで質問なのですが
やっぱり、垢ハクされた垢はもう使わないほうが良いのでしょうか？
装備はなくてもどうにかなりますが
愛着のあるキャラクターたちが心残でなかなか踏ん切りがつけられません

299 ：(^ー^*)ノ〜さん ：08/01/16 20:43 ID:qWiZB8Ns0

>メインPCはフォーマットをし
>パスワードは数ヶ月使っていなかったPCから変更しました

逆に、使わないほうが良いのでしょうか？と考える理由は何？

300 ：(^ー^*)ノ〜さん ：08/01/16 21:04 ID:bFnHZyZu0

>>298
パスワードを変更した数ヶ月使っていなかったPCとやらが「安全な環境」だったのであれば、
次にパスワードを盗まれるまでは安全であると考えて良いでしょう。保証はできませんが。

301 ：298 ：08/01/16 21:22 ID:W6FVrO2I0

>>299
もし万が一、垢ハクしてきた側の手元にIDが残っていた場合
ツール等でしらみつぶしにパスを抜かれちゃうのでは・・・と考えました


>>300
なるほど、ありがとうございます
参考にさせていただきますね

302 ：(^ー^*)ノ〜さん ：08/01/16 21:22 ID:GGsg2d/00

ハックされた事実に気がつくまでの時間、及び、パスワード変更までの猶予時間が短ければ、比較的に他のトラブルは
少ないとみて良いでしょう。
但し、他のゲームでも話に出てくる事がありますが、業者が稼ぎ用に投入していたり、ロンダリング目的で中継に使っていた場合、
一切トラブルに巻き込まれていない場合と比較してリスクは高いかもしれません。

303 ：(^ー^*)ノ〜さん ：08/01/16 21:55 ID:bFnHZyZu0

>>297
報告ありがとうございます。セキュスレの方に同じアドレスの投稿ありましたね。

カスペ検出名：Trojan.Win32.Inject.qt

304 ：(^ー^*)ノ〜さん ：08/01/18 19:37 ID:CJDmofmy0

うちのWebサイトの拍手にハクアド来ました。
Web拍手の報告ってこのスレじゃ初めてじゃないかな。

www■gamehanbook■com/esports
アドレス自体は既出

305 ：(^ー^*)ノ〜さん ：08/01/19 07:13 ID:COPwHW0a0

>>304
www■gamemmobbs■com/esports/ro2■exe
>>284-285 で予見されていたro2■exeだｗ

306 ：(^ー^*)ノ〜さん ：08/01/19 09:52 ID:lnAEscEQ0

>>304-305
ttp://www■gamehanbook■com/esports/
ttp://www■gamemmobbs■com/esports/Ms06014■htm
ttp://www■gamemmobbs■com/esports/ani■c
ttp://www■gamemmobbs■com/esports/ro2■exe

index■htm : JS/Agent.CG
Ms06014■htm : Trojan-Downloader.JS.Psyme.kf
ani■c : Exploit.Win32.IMG-ANI.ac
ro2■exe : Trojan.Win32.Inject.qt

307 ：(^ー^*)ノ〜さん ：08/01/19 14:53 ID:Pz0dBvk00

>>304
遂にweb拍手も標的にされ始めたか。
設置のお手軽さ故に、spamに狙われると被害拡大の規模が恐ろしい事になりそうだ。

とりあえず、メッセージのフィルターが可能な支援cgiが存在するので、導入を検討してみると良いかもしれない。
ttp://www.kototone.jp/com/webclap29.html

心配であれば、「web拍手支援cgi」で検索可能。
単純一致による投稿拒否、リモートホストによる拒否など、一通りの設定が出来る模様。
webclapからのレンタル版を使用している場合は、この機会にcgi版に置き換えるのも手。

後は、公式BBSでの注意喚起も、並行して行った方が良いのかもしれない。
> web拍手の荒らしについて・６
ttp://www.webclap.com/bbs2/index.html?mode=view&thread=107

308 ：(^ー^*)ノ〜さん ：08/01/20 12:40 ID:+YeV8WYx0

最近自分のブログとwiki(livedoor)に相次いで妙なアドレスが張られていたので
このスレで確認してみようと思ったら一個近いのがあったので垢ハクと判断。

ttp://www■caremoon■net/wiki/
ttp://blog186■blog34■fc2■com/
改ざんされてたのに一月近く気付かなかった代物。


ttp://gtvxi■com/uplink1028/9974link/
ttp://imbbs2t4u■com/up743205/jbbs578601/
下のはwikiとブログの両方に張られていた物。

とりあえずwikiの方は書き込み制限するようにしました。
ブログコメントに関しては常に注意呼び掛けるようにします。

309 ：(^ー^*)ノ〜さん ：08/01/22 01:54 ID:iL/ESuri0

【　 　 　 気付いた日時　 　 　 　 　 】 2008.1.15　18:33
【不審なアドレスのクリックの有無　】 ブログにコメントがあり、踏みました
ttp://infosueek■com/cooking
【他人にID/Passを教えた事の有無】 (Yes)
【他人が貴方のPCを使う可能性の有無】 (No)
【 　 　ツールの使用の有無　 　 　 】 (No)
【　 ネットカフェの利用の有無　 　　】 (Yes)
【　 　　 OS　 　 】 ＷＩＮ　ＸＰ（詳しくわかりません）
【WindowsUpdateの有無】 自動更新
【　アンチウイルスソフト 】 かかるまでウイルスセキュリティ対策　というソフトを使ってました。自動更新なので最新です
【その他のSecurty対策 】 上記のアドレスを踏んでからアドアウェイで検索し、カスペルスキー体験版を入れて検索もしました。
【スレログやテンプレを読んだか】部分的に読みました。
【hosts変更】(有/無　[有りの場合は最終更新は何時ごろか])
【PeerGuardian2導入】(無 )
【Webヘルプデスクへの報告】（無)
【説明】上記のＵＲＬに飛んだら真っ白な画面が出ました。
知り合いのハック系に少し詳しい人にこのＵＲＬ先のソースをを見てもらうと
ホスト元は中国で隠しスクプリトだらけということで断定は出来ないけど、高確率で垢ハックだろうと言われました。
アドアウェアというスパイウエア駆除ツールを勧められ、検索しました。

けど早とちりして「今作動しているプログラムだけの検索」の方で検索してしまっていて、途中でそれに気づき中断しました。
その１分たらずの検索で出てきたのが危険度８のスパイウエアでした。（ＭＡＸ１０）

それを駆除し、「ドライブすべてを検索」の方で検索すると今度は１つもスパイウェアが出てきませんでした。
教えてくれた方にそれはおかしいと言われたのですけど、このソフトで出なければ大丈夫。と言われこの話は終わってしまいました。

駆除されると思って形を変えてどこかにスパイウェアが隠れてるんじゃないかと不安で別の人に相談すると「カスペルスキーがいいよ」と言われ、それでも検索しても何１つ出てきませんでした。
この２つで検索して何も出てこないと言う事はもう大丈夫と思っていいのでしょうか？

310 ：(^ー^*)ノ〜さん ：08/01/22 01:57 ID:W8f/iqem0

・アンチウイルスソフトでウイルスが見つからないのでもう大丈夫だよね？
　　100％の保証は出来ません。ウィルスが見つからなかった場合、チェックに使った
　　アンチウィルスソフトでは発見出来なかっただけです。本当にウィルスが居ないのか、
　　それとも検知を免れているだけなのかは判りません。
　　自信が無い場合はHDDをフォーマットの上、PCの再セットアップを考えるべきです

311 ：(^ー^*)ノ〜さん ：08/01/22 14:42 ID:qgsl0Cs00

>>307
結構前から、web拍手に投下してる奴はいる
比較的マイナーなサイトでも話題に上がってた

312 ：(^ー^*)ノ〜さん ：08/01/22 22:23 ID:3SvlaUNrO

そもそも他人にID教えたことあるとか
垢共有乙じゃね？
引退オススメ

313 ：(^ー^*)ノ〜さん ：08/01/23 01:00 ID:tPy+8DyL0

【　　アドレス 　 】http://spesmist■blog28.fc2.com/
【気付いた日時】ついさっき。ROとは関係ないWikiを見た時。
【　 　　 OS　 　 】WindowsXP　HomeSP2
【使用ブラウザ 】IEです
【WindowsUpdateの有無】アップデートは入ったら入れてます
【　アンチウイルスソフト 】WindowsLiveOnecare
【その他のSecurty対策 】ルーター
【 ウイルススキャン結果】踏んだ時に対策ソフトが警告を出してくれてその時削除しました。その後カスペルスキーでスキャンして見ましたが何も出ていません。
【スレログやテンプレを読んだか】テンプレは一応読みました
【hosts変更】無し
【PeerGuardian2導入】無し
【説明】ウイルス対策ソフトが反応したため。ROにログインしている状況でWikiを見て感染したのですが、すぐ削除した場合どうなるのでしょうか。

314 ：(^ー^*)ノ〜さん ：08/01/23 01:03 ID:tPy+8DyL0

313ですが。
カスペルスキーで再度検索したところ感染がありました。

315 ：(^ー^*)ノ〜さん ：08/01/23 01:11 ID:Ie4DqmKL0

ならログアウトしたら再度ログインは控えるように

316 ：313 ：08/01/23 01:27 ID:tPy+8DyL0

カスペルスキーのスキャンで出てきた名称は"Trojan-Downloader.VBS.Agent.hi"
と"Trojan-Clicker.HTML.IFrame.il"らしいです。
全然わからないです('A')

317 ：(^ー^*)ノ〜さん ：08/01/23 02:14 ID:kzeAXSyr0

>>316
分からなかったら調べる (｀・ω・´)

Trojan-Downloader.VBS.Agent.hp(hiはなかったのでこれかな)
ttp://www.viruslistjp.com/viruses/encyclopedia/?virusid=247763
Trojan-Clicker.HTML.IFrame.g(同じくilなし)
http://www.viruslistjp.com/viruses/encyclopedia/?virusid=125408

というか、Onecareで対応した方がいいのかもね
カスペのオンラインスキャンで駆除できるわけではないし
Onecareでは何という名前で出ていたのか分からないから検索が出来なかった (´・ω・｀)

318 ：(^ー^*)ノ〜さん ：08/01/23 04:52 ID:RVYxqRSF0

>>316
それは両方とも、ダウンローダ（IEのキャッシュかな)。

なんたらIframeは、縦か横のサイズを0にしたIframe呼び出しで別サイトのhtmlを閲覧者に隠して読み込ませるもの。
VBSってのは、アカハック本体を読み込ませるものだが、VBで本体の名前が難読化されているもの。

この段階でブロックできているなら、水際阻止ということだが、今回は「事後に確認」しているので
本体を入手してしまっている可能性がある。VBSの奴は、２〜３種類落としてくるものが一般的で
LiveOneCareが本体をブロックしていても「ブロックできていない本体がいる可能性が高い」。
（あとでチェックしたカスペをすり抜けるものが含まれていたなら、発動させていると思った方がいい）

「説明」を読む限りは、接続中ではあったが「ログイン作業は行なっていない」ということのようなので、
現時点では盗まれていない筈。だけど、上に書いたようにすり抜けている可能性が十分にあるので
「あなたが踏んだ時から、ファイルの変更がなく」「カスペオンラインスキャン時のパターンで検知可能な
ものしか置かれていなかった」という２つの前提条件をクリアできない限りは、OSの入れなおししかない。

■踏んでからログインなどを一切していない場合
・早急なOSの再インストールを推奨

■一度でもログイン等してしまった場合
・安全な環境（詳細はテンプレ参照）から、パスワードの変更を行なう
・その後で、OSの再インストールをゆっくりとどうぞ。

319 ：(^ー^*)ノ〜さん ：08/01/23 05:11 ID:RVYxqRSF0

>>313
ttp://spesmist■blog28■fc2■com/
ttp://www■teamerblog■com/blog/
ttp://www■panslog■net/wiki/index1■htm

ttp://www■panslog■net/wiki/send■exe
ttp://www■panslog■net/fc2/cery■exe
ttp://www■panslog■net/wiki/reco■exe

カスペ検出名
->fc2のindex■htm（カスペすり抜け）
-->アカハックサイトのindex■htm−−−Trojan-Clicker.HTML.IFrame.il
--->VBSで本体をダウンロードするindex1■htm−−−Trojan-Downloader.VBS.Agent.hi
---->send■exe（本体１）−−−Trojan-PSW.Win32.Delf.aih
---->cery■exe（本体２）−−−Trojan-PSW.Win32.OnLineGames.lyx
---->reco■exe（本体３）−−−Trojan.Win32.Inject.ms

send■exe（PWS:Win32/Lmir.BMT）
ttp://www.virustotal.com/analisis/d74b020f6bb8c953b4aa632429764ec3
cery■exe（Microsoftすり抜け）
ttp://www.virustotal.com/analisis/9b0cf477874077a5974b7689b0ff6640
reco■exe（Microsoftすり抜け）
ttp://www.virustotal.com/analisis/98ce162e72789db5705dad5827fd2f31

多分、WindowsLiveOnecare が反応し、ブロックできたのは「send■exe」のみ。
他の２つは、切断前にダウンロードしていた可能性があるし、send■exeをブロックする
段階までいったとなると、それを読み込ませようとするレジストリへの変更などが
index1■htmのVBScript実行時点で行われてしまっている。

やはり、早急なOS入れなおしが必要と思われる。もちろん、カスペオンラインスキャンで
「Trojan-PSW.Win32.OnLineGames.lyx」と「Trojan.Win32.Inject.ms」が出てこないので
１つめを入手しようとした時点で切断しており、残りを入手していないと信じて、自己責任で
使い続ける方法もあるが、お勧めはできない。

320 ：(^ー^*)ノ〜さん ：08/01/23 05:45 ID:0Ng+OrFr0

すみません、便乗で相談させてください。
>>313さんとほぼ同じ時間で同じ罠ブログを踏んでしまいました。
（ちなみに、ROとは無関係な動画製作関連wikiのメニューを書き換えたもので、現在は修正されているようです）
状況は次の通りです。

【　　アドレス 　 】http://spesmist■blog28■fc2■com/
【気付いた日時】08/01/23　01時過ぎころ
【　 　　 OS　 　 】WindowsXP Home SP2
【使用ブラウザ 】Firefox2.0.0.11
【WindowsUpdateの有無】自動更新/最新の状態です
【　アンチウイルスソフト 】Norton internet security 2008
【その他のSecurty対策 】ルータ
【 ウイルススキャン結果】最新定義状態のノートンで検出なし、カスペオンラインで検出なし
【スレログやテンプレを読んだか】読みました
【hosts変更】無
【PeerGuardian2導入】無
【説明】踏んだ時にノートンの反応はありませんでしたが、wiki内ページのはずが外部ブログ、
それもROプレーヤーの日記を装っていたためアカウントハック目的の偽装書き換えだと思い、
こちらのスレッドを拝見したところ>>313さんの書き込みを見つけました。

すぐに感染の恐れのないPCで各種パスを変更し、キャラクターをログイン状態にしています。
踏んでしまったPCでは
・Firefoxのキャッシュとクッキーをクリア
・Temporary Internet FilesフォルダとIEのクッキーをクリアし、
・\Temp\top.exe
・\windows\system32\exploreref.exe
・\windows\system32\systemlf.dll
がHDD内に存在しないことは確認しています。

念のためOSの入れ直しを考えていますが、検索しても把握できなかったので次の2点について教えていただければ幸いです。
上記の状況では、閲覧はしたが一応食い止めたという可能性が高いと考えられてよいでしょうか。
また、上記レスで指摘されているダウンローダは、Firefoxで閲覧した場合にはどのように動作するのでしょうか。
（動作しない、IE同様に動作する等）どうぞよろしくお願いいたします。

321 ：(^ー^*)ノ〜さん ：08/01/23 06:22 ID:RVYxqRSF0

>>320
・基本的に、FireFoxでもIEと同様に動作する。
・>>319のVirusTotalの結果を見てわかるように、本体自体はパターン更新していればノートンでもブロック可能。
・本体入手前（もしくはダウンロード完了前）に切断が間に合っている可能性はあるが保証できない。
　そのため、OSの入れなおしは推奨する。

>上記の状況では、閲覧はしたが一応食い止めたという可能性が高いと考えられてよいでしょうか。
・反応していないことをもって、食い止めたと判断はできない。
　（踏んだタイミングによってはファイルが差し替えられている可能性もある）
・>>319の調査時点と踏んだ時点でファイルが同じであると仮定した場合、同じ名称（ノートンの名称では
　かかれていないが）で、すべてブロック履歴があれば、ブロックできた可能性が高いと言えるが、
　「検知されなかった」場合は、可能性が複数考えられるので、「判断のしようがない」。

322 ：(^ー^*)ノ〜さん ：08/01/23 08:34 ID:2T1RtJHM0

自ブログのコメントより垢ハックと思われるアドレス。
blogrogame■blog18■fc2■com
エキサイトブログは今年に入ってからハクアド貼り付けが多くなってますね。

323 ：313 ：08/01/23 09:00 ID:fekc07+rO

おはようございます。
今は家から出てしまったので帰宅してからOSの入れ直ししようと思います。

後から出た物はOneCareでは検出できませんでした。

324 ：(^ー^*)ノ〜さん ：08/01/23 12:33 ID:GRAYm8+l0

>>322
それ、インラインフレームでwww■symphones■comにアクセスさせ、
vbscriptで何かのコードを実行させようとしているな。hostsに追加だわ。

325 ：320 ：08/01/23 12:54 ID:0Ng+OrFr0

>>321さん

320です。わかりやすい解説ありがとうございました。
いくつか既出のことも質問してしまい申し訳ありませんでした。
仰る通り、「未検出」「無反応」ですと様々な状況が考えられますので、
重要なデータを退避させた上でOSの再インストールをすることにします。
今後はRO以外のサイトを見る時も十分注意するようにします。感謝です。

326 ：(^ー^*)ノ〜さん ：08/01/23 15:47 ID:RfsBmJpz0

lokiwikiの同盟関係のとことか、クリックしたら画面真っ白になったんだけど
これは大丈夫なのかな・・・だれか調べられませんか？

327 ：(^ー^*)ノ〜さん ：08/01/23 15:52 ID:4tXEoCCX0

対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/351n

328 ：(^ー^*)ノ〜さん ：08/01/23 15:56 ID:RfsBmJpz0

>>327
そっちに移動します、誘導ありがとう

329 ：(^ー^*)ノ〜さん ：08/01/24 03:54 ID:LN8mY3z40

うっかりどころかﾎﾟﾁっと踏んでしまった･･･
【　 　 　 気付いた日時　 　 　 　 　 】 踏んだ直後　カスペが即反応　トロイ
【不審なアドレスのクリックの有無　】 gtvxi■com/uplink1028/9974link/
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【 　 　ツールの使用の有無　 　 　 】 No
【　 ネットカフェの利用の有無　 　　】 No
【　 　　 OS　 　 】 XP professional SP2
【使用ブラウザ 】 Sleipnir v2.6.1
【WindowsUpdateの有無】 自動更新なので最新
【　アンチウイルスソフト 】 カスペルスキーインターネットセキュリティ7.0 定義データベース2008/1/23/23:23:59更新
【その他のSecurty対策 】 無し
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【スレログやテンプレを読んだか】 今から読みます
【hosts変更】無し
【PeerGuardian2導入】無し
【Webヘルプデスクへの報告】無
【説明】
とりあえずｸﾘｯｸした瞬間トロイ検知とカスペが反応して即座に遮断しました。
その後、すぐにﾙｰﾀｰ有＆別回線のPCから癌ID、垢ID、ﾊﾟｽを全て変更しました。

やはり安全策はフォーマット＆OS再インストールでしょうか？

330 ：329 ：08/01/24 04:05 ID:LN8mY3z40

ちなみに先ほどCドライブをスキャンしたら脅威はないとのことでした。
ただ、イベントレポートに
2008/01/24 3:50:28 プロセス (PID 580) は次の行為を試みました。：(PID 2144)のプロセスがカスペルスキーインターネットセキュリティにアクセスしようとしています。セルフディフェンス機能が有効に働きこの行為を防御しました。処理は完了しているので何もする必要はありません

これが表示されました
本体DLしてしまった可能性が高いでしょうか？

331 ：(^ー^*)ノ〜さん ：08/01/24 11:30 ID:TaWLDh+00

>>329
＞その後、すぐにﾙｰﾀｰ有＆別回線のPCから癌ID、垢ID、ﾊﾟｽを全て変更しました。
踏んだ後、ログインを１度も行なっていなければ盗まれる心配は無い。
アカハックの削除もしくは安全な環境の再構築だけでいい。

カスペがダウンローダの時点でブロックした「可能性」はある。
カスペのログから、何をブロックしたのか確認してみるといい。あとの判断は自己責任だ。
下記の情報で判断できないようなら、OSの再インストールをお勧めする。

ttp://gtvxi■com/uplink1028/9974link/
ttp://www■mbspro6uic■com/indexff■htm
ttp://www■mbspro6uic■com/naizi/nait■htm
ttp://www■mbspro6uic■com/naizi/tani■c
ttp://www■mbspro6uic■com/indexff■htm
ttp://www■mbspro6uic■com/naizi/nai■htm
ttp://www■mbspro6uic■com/naizi/ani■c
ttp://www■mbspro6uic■com/naizi/ff22■exe
ttp://www■mbspro6uic■com/naizi/rbt1■exe

カスペの検出名
->index■htm : サイズ0のiframe呼び出し（カスペスルー）
-->indexm■htm : Trojan-Downloader.HTML.IFrame.dv
--->nait■htm : Trojan-Downloader.JS.Psyme.kf
--->tani■c : Exploit.Win32.IMG-ANI.ac
---->rbt1■exe : Trojan-Downloader.Win32.Delf.dsz
-->indexff■htm : Trojan-Downloader.HTML.IFrame.dv
--->nai■htm : Trojan-Downloader.JS.Psyme.kf
--->ani■c : Exploit.Win32.IMG-ANI.ac
---->ff22■exe : Trojan-PSW.Win32.OnLineGames.fcj

332 ：329 ：08/01/24 12:37 ID:LN8mY3z40

>>331
-->indexm■htm : Trojan-Downloader.HTML.IFrame.dv

まさにこれですね･･･

とりあえずOS再インストールしてみます

333 ：329 ：08/01/24 15:03 ID:vtyRkbXn0

結局ﾌｫｰﾏｯﾄ&OS再ｲﾝｽﾄｰﾙしました。
まだｸﾗｲｱﾝﾄのｲﾝｽﾄｰﾙはしていません。
ただ、329を書く前にIDﾊﾟｽなどを全て変更したあとで別回線&別PCからｹﾞｰﾑにINしてしまいました。

テンプレだと厳禁となっていますが、それは踏んだPCでのINが
危険という意味だと思ったので

踏んだPCはOS再ｲﾝｽﾄｰﾙしたあとで再びIDﾊﾟｽを全て変更しましたが
あとは運でしょうか･･･

334 ：(^ー^*)ノ〜さん ：08/01/24 18:04 ID:+M+3knFF0

>>329
アカハックの手口というのは

１）URLを踏ませ、ウィルスをインストールさせる
２）ID/パスワードを盗む
３）盗んだものでログインしアイテムを盗む

という流れなわけですが、今現状確認されているウィルスの殆ど（全てとは言い切らない）が
ウィルス感染以前に入力・送信していたID/パスはウィルスにはわからないし盗めない。
２）を行うにあたって「誰かがウィルス感染PCよりID/パスワードを入力・送信する」という作業が必要。

なので、「感染PCからのログインは厳禁」となります。

このあたりの流れをきちんと自分の頭で整理してみて？
そうしたら>>333で言ってることが微妙にちんぷんかんぷんなことがわかると思う。

考えるのが嫌なら結論だけ言えば
・OSをクリーンインストールしたPCでパスを変更したならアカハックされることは99.9％ない。
（残りの0.1は現時点で確認されていないウィルスによる被害と思ってください）

335 ：(^ー^*)ノ〜さん ：08/01/24 18:56 ID:gjCW1F740

RO2時限式のワームが本日発動パッチに入っていた模様
みじんこなので駆除が精一杯で内容不明

あとは偉い人に任せます

336 ：(^ー^*)ノ〜さん ：08/01/24 18:59 ID:mTVATdqQ0

>335
日本語でおｋ

337 ：(^ー^*)ノ〜さん ：08/01/24 19:00 ID:CfV06Ed70

いや、もう来なくて良いよ

338 ：(^ー^*)ノ〜さん ：08/01/25 13:07 ID:xhv0ZMXM0

ＦＥＺもプレイしている人へ｡

ＦＥＺのＷｉｋｉがアカウントハックに書き換えられているらしい｡
未確認だがトップページからあやしいブログに飛ばされるそうだ｡
ＦＥＺ自体は装備がトレード不可だったりするわけで
アカウントハックのうまみはないが､複数の掛け持ちプレイヤーが多い｡
ＦＦやＲＯ､リネージュのアカウントをハックしようとしていると思われる｡
注意されたし｡

339 ：(^ー^*)ノ〜さん ：08/01/25 13:29 ID:iDKVREUk0

差分から抽出。
ttp://poikiy■blog98■fc2■com/
該当ユーザーBlogは既に凍結済みの為、追跡はできず。

ただ、掛け持ち狙い以外にも、ハックされたアカウントにオーブ(ROに例えればShopPoint)が残存していれば、課金アイテムを
プレゼントという形で別のアカウントに贈与する事は可能なので、ノーリスクとも言えない。
それに、自国に不利な活動を行う工作員として、盗用アカウントを活用される恐れもある。

340 ：(^ー^*)ノ〜さん ：08/01/25 19:43 ID:s4ACceQ20

GGXXwikiにも爆撃されてたね、そのURL

341 ：(^ー^*)ノ〜さん ：08/01/25 20:00 ID:AmULkVa50

後ろが違うだけの気がしますけど・・

infosueek■com/roeng/
ＩＰ：218.86.91.17

342 ：(^ー^*)ノ〜さん ：08/01/25 20:13 ID:1NbIRP2a0

>>341
infosueek■com/xin/ro■exe

343 ：(^ー^*)ノ〜さん ：08/01/26 02:22 ID:6wR6fyPc0

FEZ Wiki爆撃第二波に使われたfc2Blog。
hoshims■blog34■fc2■com/
-> www■teamerblog■com/blog/
--> www■panslog■net/wiki/index1.htm (スクランブルVBScript埋めこみ)

Wikiの方は、既に管理人が登場し、外部リンク確認ページ導入などの対策が施されたので、暫くは様子見で良さそう。

344 ：(^ー^*)ノ〜さん ：08/01/26 03:51 ID:6wR6fyPc0

FEZ Wiki改竄者のリモートホストが判明。
ofsfb-01p1-92.ppp11.odn.ad.jpとの管理者発表があった。
またOFSfbか、といった感じ。

345 ：(^ー^*)ノ〜さん ：08/01/26 13:49 ID:gdIMY3B90

ofsfbは無条件で禁止設定が吉

どこにでも現れるからな

346 ：(^ー^*)ノ〜さん ：08/01/29 10:05 ID:2nstDmnJ0

さっと検索してみたのですが、報告無いみたいなので。
ttp://secorewell999■blog5■fc2■com/
├ttp://www■testinghua.com/ie/wm■htm
　　├ttp://www■testinghua■com/ie/an■htm
　　｜　　　├ttp://www■testinghua■com/ie/test■cur
　　｜　　　├ttp://www■testinghua■com/ie/Ms06014■htm
　　├ttp://www■testinghua■com/ie/op■htm
　　｜　　　├ttp://www■testinghua■com/ie/kun■exe
　　｜ttp://www■testinghua■com/ie/re■htm

検体は提出していません。
test■curはノートンで
リスク名：HTTP ANI File Anih Hdr Size BO
危険度：高レベル
トラフィック：TCP,www-httpにて進入検知遮断

kun■exe
ノートンでは何も検出されず。
カスペのオンラインスキャン結果
スキャンしたファイル:kun■exe - 感染が見つかりました
kun■exe - に感染しています Trojan-PSW.Win32.LdPinch.beo

このほかにも有りそうだけど自分で解ったのはこれだけです。
どなたかよろしくお願いします。

347 ：(^ー^*)ノ〜さん ：08/01/29 16:38 ID:YzuDo2cG0

垢ハックはニコニコのコメントにも進出してきた模様

348 ：(^ー^*)ノ〜さん ：08/01/29 16:59 ID:3qaFWXEZ0

できれば、具体的な事例を提示してください

349 ：(^ー^*)ノ〜さん ：08/01/29 22:34 ID:88nCubdA0

アカウント登録が必要なニコニコとかmixiとかイラネ
そのコミュニティ内でやってくれ

350 ：(^ー^*)ノ〜さん ：08/01/30 02:10 ID:AynyqpUS0

重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/

351 ：(^ー^*)ノ〜さん ：08/01/30 12:14 ID:t31BX4jp0

中華っぽい名前の商人が垢ハックっぽい露店2個も立ててるなぁ
しかも相当レアいものが並んでる…可哀想に

352 ：(^ー^*)ノ〜さん ：08/01/30 23:25 ID:0LVoKzBx0

リンカーwikiのトップページに
ttp://www■hosetaibn■com/cgi-bbs

が貼られたまま放置されてるけど、これもハックだよなあ

353 ：(^ー^*)ノ〜さん ：08/01/30 23:41 ID:DlDewoGQ0

その通りでございます

354 ：(^ー^*)ノ〜さん ：08/01/31 08:40 ID:kb3lsyZc0

www■hosetaibn■com/cgi-bbs/
-> www■qyytw■com/jpt1/main.htm
--> www■qyytw■com/jpt1/Ms06014.htm
--> www■qyytw■com/jpt1/test.cur
-> www■qyytw■com/jpt1/real.htm (RealPlayerのexploit狙いJavaScript)

355 ：(^ー^*)ノ〜さん ：08/01/31 08:57 ID:7GoH/4H/O

アカハックurlを携帯で踏んだらどうなるんだろう

356 ：(^ー^*)ノ〜さん ：08/01/31 09:12 ID:DoLD1yEL0

>355
一言で言えば「”基本的”に無害」

スレチになるので、詳細が知りたいならセキュスレにて。

357 ：(^ー^*)ノ〜さん ：08/01/31 09:32 ID:QBJi7PEb0

PC用の罠だけなら無害。携帯用の罠もあれば有害。
何にしても無闇に触りに行くべきではない。

358 ：(^ー^*)ノ〜さん ：08/01/31 10:56 ID:eBuZ4t2u0

被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/

359 ：(^ー^*)ノ〜さん ：08/01/31 16:18 ID:kdP+ntMa0

チョンがテンプレコピペ連発してスレを荒らそうとしてるように見える

360 ：(^ー^*)ノ〜さん ：08/01/31 18:23 ID:PhQpFzDf0

以前スレチを指摘された奴が粘着してるんだと思う。

361 ：(^ー^*)ノ〜さん ：08/02/01 23:01 ID:ngDSKsAP0

ttp://imguploader■no-ip■org:2121/contents/ro_uploader6/index■htm
ちょっとこれが垢ハックなのかどうかで話題になっているのですが
自分では確かめられません・・・
どなたかこれが安全なのか危険なのかどうか判断できる方いたらよろしくお願いします

362 ：(^ー^*)ノ〜さん ：08/02/01 23:07 ID:Rr2XQCT10

＞※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

363 ：(^ー^*)ノ〜さん ：08/02/01 23:12 ID:mqZ2xHGA0

＞被害や攻撃等のアカウントハックの具体的事例に関して扱います。
＞重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
＞対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

＞※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

テンプレ位読みましょうね。

サーバー起動してないとかなんじゃないかと思いますが断定はしない。
セキュスレに持ち込んでも、解説スレじゃないって一蹴されて終わりかと。

相談用テンプレの>>4にも「(『怪しいアドレス』との判断した理由、症状を詳しく書く) 」と記載されています。
怪しいと判断するに足るだけの情報があれば、セキュスレで取り上げて貰えるかもしれませんね。

物凄い勢いで質問〜スレの内容程度なら、セキュスレでも扱わないかも。

364 ：(^ー^*)ノ〜さん ：08/02/02 17:18 ID:Vb1gSu4F0

自分が巡回させてもらってるblogのコメントに、かなりの
爆撃が入っているようですね。
全部コメントは以下のとおり
−−−−−−−
こんにちはぁ＾＾ 初めまして☆ フレ
いつも日記楽しみにみております
このたび私のブログに勝手にリンクはらせていただきました〜
よろしければ相互リンクお願いします.
ブログ -- akityonhuu■blog37■fc2■com/
−−−−−−−
今日更新されたとこばっかりでした。お気をつけを

365 ：(^ー^*)ノ〜さん ：08/02/02 17:19 ID:VKX/SoPK0

ttp://pharmacy-beta-bb8■150m■com/

このアドレスは既出？

366 ：(^ー^*)ノ〜さん ：08/02/02 18:18 ID:5UQxU5P00

【　 　 　 気付いた日時　 　 　 　 　 】 2月2日02時頃。Url踏んだらウイルスバスターが反応。
【不審なアドレスのクリックの有無　】 http://infosueek■com/jplink
【　 　　 OS　 　 】 WindowsXP2002
【使用ブラウザ 】 IE
【WindowsUpdateの有無】 月一くらいで更新
【　アンチウイルスソフト 】ウイルスバスター2007
【 ウイルススキャン結果】 ウイルスバスターが反応。隔離できず手動で削除してください、と出ました。
　　　　　　　　　　　　　カスペルオンラインで現在検索中。
【スレログやテンプレを読んだか】 書きながらざっと読んでます。
【hosts変更】無いと思います
【説明】RO小説系のサイトを探してて、「RO　二次」でググって一番上に来たのを不注意に踏んでしまいました。
　　　　垢ハクかどうかわからず、対処方法を求めてすぐスレ・テンプレを見て、
　　　　バスターが反応した以後はログインはせず、別PCでガンIDパスとアカウントパスを変更しました。
　　　　その後、カスペルオンラインで検索を始めました。
　　　　今、カスペルでワーム？というのが検出されました。バスターの詳細にもワームと出てました
　　　　今はOS再インストのためにデータのバックアップをとっています。
　　　　PCやセキュリティに関しては初心者なので、やれることはやったつもりですが、これで大丈夫でしょうか？

367 ：(^ー^*)ノ〜さん ：08/02/02 19:32 ID:qaPoEXhY0

>366
そのアドレスは既知の垢ハックアドレス
なので、とりあえずそのPCでの接続は止めなさい。
んでOS再インストールする意思があるようなので、OSクリーンインストールｵｽｽﾒします
データのバックアップのファイルの中にウィルス入ってると本末転倒なので、OSに関係するファイルまで保存しないようにね

368 ：(^ー^*)ノ〜さん ：08/02/02 20:00 ID:s/lzMXpn0

>>364
FC2に通報しました。

>>365
アカハックっつーよりリンクてんこ盛りのSPAMだと思う
(アメリカから来るバイアグラメールみたいな)。

369 ：(^ー^*)ノ〜さん ：08/02/02 20:06 ID:s/lzMXpn0

FC2が最も使われると思うのでとりあえず通報フォーム。
ttp://support.fc2.com/form.html
の「無料サービス」の一番上、一番右の「スパム・不適切ブログ」
名前やメルアドはてきとーで可。

370 ：(^ー^*)ノ〜さん ：08/02/02 20:20 ID:QToDiELc0

>>369
それ、セキュリティWikiに乗せといてもいいかも。

371 ：(^ー^*)ノ〜さん ：08/02/02 20:31 ID:s/lzMXpn0

wikiに載せるとなると他(livedoorとかサーパラとか)も、となるので
自分はとりあえずいいや。

372 ：(^ー^*)ノ〜さん ：08/02/02 21:21 ID:rnu2H7kc0

サーパラはここから。
ttps://ssl.surpara.com/info.php
本館のフォームだが、Blogの問い合わせもここで対応可能。

373 ：(^ー^*)ノ〜さん ：08/02/02 22:19 ID:ikHNVyK/0

【　　アドレス 　 】www■ranninp■com
【気付いた日時】 21：52
【　 　　 OS　 　 】WindowsXP　Home Edition2002
【使用ブラウザ 】IE
【WindowsUpdateの有無】自動更新
【　アンチウイルスソフト 】 NortonInternetSecurity2008
【その他のSecurty対策 】 無し
【 ウイルススキャン結果】 カスペルスキーで検索中
【スレログやテンプレを読んだか】 それなりに目は通してます。
【hosts変更】無いと思います。
【PeerGuardian2導入】していません。
【説明】
RO.Engineの伝言板にあったサイト（blog■livedoor■jp/snowlyr/）を開いた所、
ノートンが反応し進入の試みを遮断したとの事です。
ソースチェッカーに掛けてみたところ、上記のアドレスが90％（ループタグ有り）
www■ranninp■comは安全度100％でしたが、
やはりOS入れなおしたほうがいいのでしょうか？

374 ：273 ：08/02/02 22:23 ID:ikHNVyK/0

追記。
【 ウイルススキャン結果】 ノートンは検出無し。
【説明】
アドレスチェッカーでも有害なスクリプトは発見されませんでしたが、
www■ranninp■comは中国で、以前にもスレで1回名前が出ています。

375 ：373 ：08/02/02 22:24 ID:ikHNVyK/0

焦りすぎorz373です。申し訳ない。

376 ：(^ー^*)ノ〜さん ：08/02/02 23:04 ID:q3TlYdN/0

ノートンに詳しくないから、「進入の試みを遮断」が適切なメッセージがどうか
分からんけど、反応したやつに関しては大丈夫。

そこから先は、ログ読んでもらえれば分かると思うが、心配ならOS再インスコ
としか言えない。
怪しいURL踏んだこともないし、セキュリティソフトが反応したこともないけど
大丈夫ですか？と問われたとしても、心配ならOS再インスコとしか言えない
のが事実。

377 ：373 ：08/02/02 23:27 ID:ikHNVyK/0

カスペルスキーでチェックした結果見事に感染していたので、
別のPCで癌IDとROIDのパスワードはそれぞれ変更してきました。
今から再インストールしてきます。
ノートン先生、反応しただけでウィルス事態は遮断しきれてなかったorz

ちなみに調べた所、別の方のBlogのコピーBlogぽかったですorz

>>376
やはりそれが一番確実ですよね。
今回垢ハック確定っぽいのでそうします。

378 ：(^ー^*)ノ〜さん ：08/02/02 23:58 ID:Ia9954SH0

>>367
ありがとうございます。OS再インストします。

あと、感染PCでログインしない限りパスを盗まれることはないのでしょうか？
感染後ログインはしておらず、パスは別PCですでに変えてあります。
データのバックアップに少し時間がかかりそうで。

379 ：(^ー^*)ノ〜さん ：08/02/03 00:13 ID:FV8ccdlT0

>>378
Yes

380 ：(^ー^*)ノ〜さん ：08/02/03 16:38 ID:RUFsaMrG0

>>377
感染箇所と検出名を書いてないので
いつ感染したのかもわからないね

381 ：373 ：08/02/03 17:53 ID:Sn60Xui/0

>>380
>>373に感染箇所は書いていますが、解りにくかったですねorz
感染箇所はRO.Engineの伝言板です。
サイトに登録していないアドレスの場合は表示されません、との注意文があり、
大丈夫だろうと油断していた所を踏んでしまいました。

「snowlyr > 初の棚臨 [URL] 02/02 02:39」という書き込みで、
現在も伝言板に残っているので他に踏んだ人が居ない事を祈りますが。
（踏んだアドレスはttp://blog■livedoor■jp/snowlyr/）
感染は>>373に記載した時間と同時間です。
踏んだ直後にノートンが反応したのですぐ気付けましたが…

検出名はTrojan-Downloader.HTML.IFrame.baだったと思いますが、
初期化したので完全には覚えてませんorz

382 ：380 ：08/02/03 18:47 ID:RUFsaMrG0

｢感染箇所｣はPC内部の｢どこ｣から検出されたか？ということだよ

383 ：373 ：08/02/03 19:25 ID:Sn60Xui/0

>>380
あぁ、勘違いすみませんorz
初期化してしまったので確認取れませんが、
ＣのDocuments and Settings以降だったとしか覚えていません…

384 ：(^ー^*)ノ〜さん ：08/02/03 20:39 ID:FV8ccdlT0

>>381-383
それはダウンローダ。多分、IEのキャッシュが反応場所だと思うよ。

初期化したので、対処としては問題無いかと。

385 ：(^ー^*)ノ〜さん ：08/02/04 17:03 ID:M6u4r6uP0

ブログのコメントに書き込まれていました。
まとめ臨時さんの強行版に載ってるアドレスと同じものの
ようなのですが報告しておきます。

ttp://jbbslivedoor■com/mmghaoyk/

386 ：sage ：08/02/04 17:49 ID:4Luu+g7a0

今月2日頃、アサシンwikiのコメント欄に18禁サイトであろうHTMLのソースが書き込まれていました。
しかしwiki自体にはソースは組み込まれていなく、書き込もうとした人がwikiに組み込もうとして失敗したようです。
そこに書かれていたリンク等はクリックしてはいないのですが･･･やっぱりウィルススキャンしておくべきなのでしょうか？

387 ：(^ー^*)ノ〜さん ：08/02/04 18:00 ID:4Luu+g7a0

sageを書き込むところ間違えました･･･
ごめんなさい･･･orz

388 ：(^ー^*)ノ〜さん ：08/02/04 18:10 ID:JSbiAuGY0

agesageとか詰まらん事にこだわるな

389 ：(^ー^*)ノ〜さん ：08/02/04 18:14 ID:a5SPmj7F0

クリックの有無に関わらず定期的・踏んだ可能性のある時にスキャンかけるのはネット利用者として最低限のマナーだぞ。

390 ：(^ー^*)ノ〜さん ：08/02/04 18:45 ID:4Luu+g7a0

一つ書き忘れていたことがありました。
ノートンでスキャンしたのですが、ノートンでは何もひっかかりませんでした。
過去ログで、カスペルスキーではひっかかったけどノートンではなにも引っかからなかったというのを見たので、
他のスキャンソフトでもスキャンしとくべきなのでしょうか･･･と･･･

391 ：(^ー^*)ノ〜さん ：08/02/04 18:53 ID:YnTyOARVO

悩むくらいならやればいいのに・・・

392 ：(^ー^*)ノ〜さん ：08/02/04 18:55 ID:nAdFjse80

>390
簡潔に

・Wikiを閲覧しただけでは基本的に感染は無い(例外は当然ある)
・件のアドレスは warez系又はkrack系で、ただのSpamの可能性が高い
・単一のチェックでは見落とす可能性もあるので、スキャンするなら複数で調べたほうがより安心
・誰も「絶対」「安全」なんて保障は出来ない。

そろそろコピペ貼りの人が出てきそうだから、続けるならセキュスレに移動しようか。

393 ：(^ー^*)ノ〜さん ：08/02/04 19:08 ID:4Luu+g7a0

わかりやすく答えていただきありがとうございます。
参考にさせていただきます。

394 ：(^ー^*)ノ〜さん ：08/02/05 20:42 ID:xxrJlb6P0

mixiの色んな日記に書き込みしている模様

http://www■lineagecojp■com/movie/mov0028■zip

395 ：(^ー^*)ノ〜さん ：08/02/06 09:35 ID:sdq5gvaG0

ちょっと怖くて書き込みしたんだが
ROクライアント起動時の画面が「取り消されたアクション」になって
表示されないんだが、これはウィルスと関係あるのだろうか。
ただ、重いだけで表示がされないだけなのか・・・
皆さん、起動時の画面は表示されてますか？

396 ：(^ー^*)ノ〜さん ：08/02/06 09:40 ID:8niQNeCo0

対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/

397 ：(^ー^*)ノ〜さん ：08/02/06 18:04 ID:P1hLdS3P0

既出だったらすまん、mmvo.exeっての食らった。
RO含むネトゲ汎用のパスハック。
ゲームとかも入ってないPCなんで実害はありませんでしたが、
ノートン機もカスペル機もUSBチェック突破してスキャン無効化されて大暴れ。
隠しフォルダの表示も殺されて手動検索も無視される。

似た症例探して↓発見、参考にしてNOD32でようやく検出。
ttp://d■hatena■ne■jp/itsuki_hiiragi/20071214

長い戦いが終わった…。
OS入れ直し出来ない事情がある場所での感染報告ですよっと。

398 ：(^ー^*)ノ〜さん ：08/02/06 19:54 ID:TStsH1EG0

【　　アドレス 　 】wikispc■gr■jp/ercserver/というサイトにある「BOSS攻略」というリンク
【気付いた日時】 今日の午前11時半頃
【　 　　 OS　 　 】 XP Home SP2
【使用ブラウザ 】 IE6
【WindowsUpdateの有無】 有効
【　アンチウイルスソフト 】 Kaspersky Internet Security 7.0体験版　更新日2008/02/06
【その他のSecurty対策 】 ルータ
【 ウイルススキャン結果】 未検知（カスペスキャン）
【スレログやテンプレを読んだか】 yes
【hosts変更】無
【PeerGuardian2導入】無　これから導入してみようと思います
【説明】
「ランドグリス　攻略」でぐぐってトップに出てきたサイトを開き、
そこのBOSS攻略と書かれたリンクをクリックするとカスペが反応。
その後カスペがモニターの右下あたりに
「許可or拒否」の選択肢を出してきたので「拒否」を選びました。
ウェブアンチウィルスのレポートには
＜ステータス＞検知しました: トロイの木馬 Trojan-Downloader.HTML.IFrame.de
＜オブジェクト＞URL: http://www■irisdti-jp■com/blog///www■irisdti-jp
とありました。
ROは露店を出したままずっと放置中です。
これは未然に防げていると思ってもいいのでしょうか。
100％安全という事はないでしょうが・・・。

399 ：(^ー^*)ノ〜さん ：08/02/06 20:52 ID:dT51evfZ0

>>397
検体はどこじゃ〜

>>398
未然に防げている可能性が高いです。本体を落とそうとするダウンローダをブロックしたという表示ですから
本体入手のさらに手前で阻止した時のメッセージです。

でも、阻止できたという保証はできません。ブロックしていない他のなにかが発動している可能性があるからです。

400 ：(^ー^*)ノ〜さん ：08/02/07 09:35 ID:+NeB1Oqe0

BOTnews Light (ボットニュース ライト)
ttp://yaplog.jp/kyorocyan
これ垢ハックか教えてくれ　えろいひと

401 ：398 ：08/02/07 09:48 ID:IHuZ2+8V0

>>399
ありがとうございます。
OS再インスコはできないので、
取られたらシャレにならないアイテムは信頼できる知人に預け、
PGを導入し自己責任でプレイし続けようと思います。
その知人に万が一裏切られても中華に取られるよりはマシってことで。
カスペでブロックされたにも関わらずハックの被害にあった時は
また報告します。

402 ：(^ー^*)ノ〜さん ：08/02/07 09:48 ID:Jy29WGxE0

>>400
>>1

ふぁびょるとかじゃねえ、ホントお前バカだな。
それが本当にハックアドレスだったら、張ったお前の責任になるんだぞ。
いいからテンプレを全部読んで来い。

403 ：(^ー^*)ノ〜さん ：08/02/07 09:51 ID:MPgVvWAK0

重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/

404 ：(^ー^*)ノ〜さん ：08/02/07 18:46 ID:pyDB7Qom0

ここ利用してる方々、コピペNG指定まじオススメ

405 ：(^ー^*)ノ〜さん ：08/02/08 12:59 ID:GzBuXHaM0

あああ

406 ：(^ー^*)ノ〜さん ：08/02/09 06:52 ID:S4G6x39Y0

【　　アドレス 　 】http://www■panslog■net/wiki/index1■htm
【気付いた日時】 2009/2/9
【　 　　 OS　 　 】 win2k SP4
【使用ブラウザ 】オペラ9.02
【WindowsUpdateの有無】 2008/12頃？最新のはず
【　アンチウイルスソフト 】 avast
【その他のSecurty対策 】 Spybot S&D
【 ウイルススキャン結果】カスペオンライン、avast、Spybot S&Dで検知されず
【スレログやテンプレを読んだか】 No
【hosts変更】今、最新のに
【PeerGuardian2導入】無
【説明】
2chガ板、邪気眼wikiでavastが警告、殆ど読まずに回線引っこ抜いた。
リネの垢ハクのようだ。とりあえず色々調べてみたが怪しいものは全く出てこない。

警告の所に以下のログが残ってるんだけど
Sign of "HTML:Iframe" has been found in "http://www■norelet■com/fc2/" file■
avastが遮断したと認識していいのだろうか？

407 ：(^ー^*)ノ〜さん ：08/02/09 09:01 ID:PYC7kBS20

>>406
カスペ反応するぞ？

ttp://www■norelet■com/fc2/　　　Trojan-Clicker.HTML.IFrame.il
ttp://www■panslog■net/wiki/index1■htm　　　Trojan-Downloader.VBS.Agent.hi

index.htmの時点でブロックされたのでその先を入手してないから反応してないだけじゃないか？

408 ：(^ー^*)ノ〜さん ：08/02/09 09:09 ID:PYC7kBS20

やっぱ既知のファイル。中身変わってないぽ。カスペで全部検知可能。
あと、１箇所突っ込んでいいか。お前さんは未来からアクセスしとるんかとｗ

ttp://www■norelet■com/fc2/
ttp://www■panslog■net/wiki/index1■htm
ttp://www■panslog■net/wiki/send■exe
ttp://www■panslog■net/fc2/cery■exe
ttp://www■panslog■net/wiki/reco■exe

index■htm
->index1■htm
-->wiki/send■exe
-->fc2/cery■exe
-->wiki/reco■exe

index■htm : Trojan-Clicker.HTML.IFrame.il
wiki/index1■htm : Trojan-Downloader.VBS.Agent.hi
wiki/send■exe : Trojan-PSW.Win32.Delf.aih
fc2/cery■exe : Trojan-PSW.Win32.OnLineGames.lyx
wiki/reco■exe : Trojan.Win32.Inject.ms

409 ：(^ー^*)ノ〜さん ：08/02/09 17:46 ID:S4G6x39Y0

>>408
【気付いた日時】2008/2/9　で・・流石に焦ってたらしい。本体は無いっぽい

>>407
Trojan-　　ってのいうのはキャッシュって認識でいいのかな
言われて気付いたけど(多分、スキャンかける前に)キャッシュは全部削除したみたい

たまたまレジストリのバックアップがあったのでレジストリ復元した
とりあえず安心と見ていいのだろか・・

410 ：(^ー^*)ノ〜さん ：08/02/09 17:56 ID:PYC7kBS20

>>409
|>>407
|ttp://www■norelet■com/fc2/　　　Trojan-Clicker.HTML.IFrame.il
|ttp://www■panslog■net/wiki/index1■htm　　　Trojan-Downloader.VBS.Agent.hi

Trojan-Clicker.HTML.IFrame.il
サイズ0のiframeでindex.htmを呼び出そうとするもの。
IEのキャッシュに入った時点で（表示前？）反応する筈。

Trojan-Downloader.VBS.Agent.hi
VB Script でアカハックトロイの本体のダウンロードと起動させる為にレジストリへの登録などを行なうもの。
これもIEのキャッシュに入った時点で（実行前に）反応する筈。

実際に踏んだ訳ではないので、反応のタイミングに関しては間違っているかもしれないことを記載しておく。
実際に発動させていれば、IEのキャッシュにも残っている為、フルスキャンでそれも引っ掛かるだろう。

411 ：406 ：08/02/09 22:14 ID:S4G6x39Y0

>>410
Trojanが発動していればオペラのキャッシュ消しても
IE内のキャッシュに残るからカスペで引っ掛かるって事か。
(2/6の時点でIEのキャッシュは消してる)

とりあえずカスペフルスキャンでも何も出てこないが
発動自体していないか、既に消している可能性が高いって事なのかな。

412 ：(^ー^*)ノ〜さん ：08/02/10 00:15 ID:gT35jWW80

前スレ923
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1185352481/923
で挙がってた「RO店価格調査隊」のドメイン ( ro-price.net )の
有効期限は、現在も 2008/02/09 のままの模様。

413 ：(^ー^*)ノ〜さん ：08/02/10 05:25 ID:r16r2VT20

>>412
ドメイン名の有効期限は、基本的にUTC(協定標準時)で管理されていたはず。
日本時間で09:00までは期限内かと。
その後30日間が、請戻猶予期間(RGP)という形で、元の登録者が優先的に取り戻せる期間。

414 ：(^ー^*)ノ〜さん ：08/02/10 13:11 ID:QxtNNGDa0

被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/

415 ：(^ー^*)ノ〜さん ：08/02/10 15:42 ID:ssKFVq/M0

超重要な情報じゃないか。本当にただ荒らしてるだけか

416 ：(^ー^*)ノ〜さん ：08/02/10 17:39 ID:CG0t215c0

何を今更。
このスレを荒らすなり重要な情報を埋もれさせた方が利益になる業者様じゃないの。

417 ：406 ：08/02/10 22:09 ID:sVdekE4r0

とりあえずＰＧ２を導入した。無知な俺に付き合ってくれてありがとう、勉強になった。

418 ：(^ー^*)ノ〜さん ：08/02/11 01:38 ID:lpdZO5lJ0

価格調査隊のドメインがウイルスサイトになった様子。
あげておきます

419 ：(^ー^*)ノ〜さん ：08/02/11 02:11 ID:/tXDJW/h0

>>418
ドメイン失効の為、そのIPを管理しているところに飛ばされてるだけ。現時点では無害。
>>412-413参照。

420 ：(^ー^*)ノ〜さん ：08/02/11 02:13 ID:XhJsNFGo0

もとからハックされること多かったし、いかないほうがいいかと

421 ：(^ー^*)ノ〜さん ：08/02/11 09:02 ID:/tXDJW/h0

>>420
明らかな誤情報は忌むべきもの。やめてくれ。

RO店価格調査隊のBBSにアカハックへの誘導投稿が多数投げ込まれていたことは、ハックされることではない。
その書き方を見ると、サイトがクラッキングにより改竄され、アクセスしただけでiframeへ飛ばされる事例などと
同一視してしまう危険性がある。

この手のスレでは、正確な情報を扱う事が重要。注意喚起だとか言ってなんでもかんでも貼られたアドレスに
確証もなしに「それアカハック」という発言をするのと同様の迷惑。

422 ：(^ー^*)ノ〜さん ：08/02/12 14:56 ID:6yNC5Q210

なんかchaos鯖でろ。を開くと垢ハックされるとか警告チャットたっていたんだが、どうなんだろうか？調べてみたやつ情報求む。

423 ：(^ー^*)ノ〜さん ：08/02/12 14:59 ID:rPxD+tKh0

価格調査隊が垢ハックになったのっていつから？

424 ：(^ー^*)ノ〜さん ：08/02/