レス数が1000を超えています。残念ながら全部は表示しません。

アカウントハック総合対策スレ9

1 ：夢 ★ ：07/11/25 11:04 ID:???0

アカウントハックに関する情報の集積・分析を目的とするスレです。
被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

・ 関連＆参考情報アドレス (>>2)
・ 報告用＆質問用テンプレ (>>3, >>4)
・ アカウントハック対応の要点とFAQ (>>5)
・ 安全対策の簡易まとめ (>>6)
・ アカウントハッキングについて（ガンホー公式）
　 http://www.ragnarokonline.jp/playguide/hacking/

■スレの性格上、誤って危険なURLがそのまま貼られてしまう可能性がある■
■URLを無闇に踏んで回らないこと。報告・相談はテンプレを利用すること■

※ ID/Pass/サーバ/キャラ名等の情報は公開しないでください
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません
※ ネタや程度を超えた雑談・脱線はご遠慮ください

・スレ立て依頼は>>970がしてください。反応がなければ以降10ごとに。

【一般的話題用】
セキュリティ対策、質問・雑談スレ3
　http://enif.mmobbs.com/test/read.cgi/livero/1186660300/

14 ：(^ー^*)ノ〜さん ：07/11/29 23:54 ID:d0pbTNIV0

一般的な相談・質問はセキュスレへ

簡単に答えておくと、データにトロイは付着しません。

15 ：(^ー^*)ノ〜さん ：07/11/30 16:21 ID:k42wwL7a0

LiveRoのラグクジでハクアドレス貼り付けあり

------------
463 名前：lg96 Mail： 投稿日：07/11/30 (金) 16:08 ID:U4ZLnuLS0
lg96■3322■org/jp/

467 名前：（○口○*）さん Mail：sage 投稿日：07/11/30 (金) 16:17 ID:ZSYS7kxo0
>463
マジで垢ハック注意。
lg96■3322■org/jp/
->www■kele88■com/av/help.htm
--->www■kele88■com/av/av.exe
------------

16 ：(^ー^*)ノ〜さん ：07/11/30 16:24 ID:k42wwL7a0

クレクレスレの100にも同じものが張ってあった。
他のスレにも爆撃があるかも。

17 ：(^ー^*)ノ〜さん ：07/11/30 19:07 ID:3SqRK7Xx0

>>15
今回、カスペより早く、Fortinetから返答

The samples you submitted will be detected as follows:
av.exe - W32/Agent.IRS!tr
index.htm - HTML/Agent.IDS!tr.dldr
help.htm - VBS/Agent.IDT!tr.dldr

18 ：(^ー^*)ノ〜さん ：07/11/30 19:34 ID:3SqRK7Xx0

>>15
カスペからも返答あり。いろんなスレに貼られたようなので警告age

av.exe_ - Trojan-Downloader.Win32.Agent.fnj,
help.htm_ - Trojan-Downloader.VBS.Psyme.kq,
index.htm_ - Trojan-Downloader.HTML.IFrame.ba

19 ：(^ー^*)ノ〜さん ：07/11/30 21:51 ID:sVfmmqNi0

とりまセキュリティスレから飛んできました。
>>15にもあるＵＲＬを誤クリ→怖くなって即出る→
カスペルキーとやらでスキャンをかけ、そのままネカフェにダッシュ→
ＩＤは変え方がよくわからずとりあえず帰還。→
カスペと同時起動で知人にやってみろっていわれた「av,exe」を検索（該当なし）→
カスペ検索終了、感染無し→報告中（今ココ）

とりあえずココからどうすればいいかわからない状況なんですが･･･
ご教授いただければ幸いです

20 ：(^ー^*)ノ〜さん ：07/11/30 22:09 ID:ZNiQwvSO0

>19
あっちでも言ったが、まず>4のテンプレを埋めてくれ。
でなければ、回答する側も的外れな回答になりがちになる。

21 ：(^ー^*)ノ〜さん ：07/11/30 22:27 ID:M/+KXmRb0

>>19
怖いなら、クリーンインストールしろ

22 ：(^ー^*)ノ〜さん ：07/11/30 22:31 ID:3SqRK7Xx0

>>19
まず、ログインは絶対にしないように。

アカハックのサイトをクリックした後にログイン・踏んだIDからのパスワード変更はやっていませんね？
（アカハックのサイトクリック→ログアウトなら問題ありません）

パターンＡ
必要なデータをバックアップして速効でＯＳ入れなおしかＰＣリカバリ（確実に安全になります）

パターンＢ
カスペ体験版を入れてスキャンする。パターンが最新であれば検出可能な筈です。
（本日対応したばかりなのでパターン更新しないと検出されません）

で、検出されるようなら削除して完了。

検出されない時は、「本体入手前に切断が間に合ったのでセーフ」の場合、
「新種の為すり抜ける場合（今回はカスペで検出可能なので考えなくていい）」
「発動させてしまいステルス化されているので検出できない場合」のパターンが
考えられます。対応方法は下記の通り。

１．"自己責任で"そのまま使ってｏｋ
２．パターンが更新されるまでネットに繋がない、IDパスの入力・変更しない。
　　一時的にネットに繋いでパターンを更新してからＢの最初に戻る。（今回はこのケースにならない）
３．ＯＳ入れなおすしかない

23 ：(^ー^*)ノ〜さん ：07/11/30 22:32 ID:sVfmmqNi0

【　　アドレス 　 】lg96■3322■org/jp/
【気付いた日時】今日の18;30くらい
【　 　　 OS　 　 】 WindowsXP(SPが何かわかりません＞＜；)
【使用ブラウザ 】 ﾀﾌﾞﾝIE７
【WindowsUpdateの有無】 有効
【　アンチウイルスソフト 】 無し
【その他のSecurty対策 】 FW
【 ウイルススキャン結果】 カスペルスキースキャンで感染無し
【スレログやテンプレを読んだか】 今から読みます
【hosts変更】PC関連疎いのでよくわからないですが､PCかってほぼそのまんまの状態
【PeerGuardian2導入】同上
【説明】
垢ﾊｯｸっていろんなとこに書いてあったから･･･つд

よろしくお願いします

24 ：(^ー^*)ノ〜さん ：07/11/30 22:32 ID:3SqRK7Xx0

このスレ的には
　検出されて入手をブロック→辛うじてセーフ
　踏んだ後に検出して除去→他にもいる可能性もあるが、自己責任で使うかOS入れなおしか選ぶ
　検出されない→入手前と信じる根拠があるなら自己責任で使ってもいいが、OS入れなおしが基本

自己責任で使い続ける場合、PG2を導入し、中国への接続をブロックすることで、リスクを最小限に
減らす事ができます。

>>19の投稿時間に、パターンが更新完了していたかはわかりませんが（パターン更新前だったら、
スキャンしても検出されません）２２：２０の段階では、オンラインスキャンでも検出可能に
なっていましたので、もう１回パターンを更新してスキャンしてみて下さい。
（オンラインのファイルスキャナは、更新が11-29だったのですり抜けてましたが）
http://www.kaspersky.co.jp/virusscanner

現時点のパターンを適用して、全スキャンしても見つからない場合、
↑の検出されない場合１or３になります。

ブロックできたかどうかの保証はできないので、このスレとしては、安全な環境を作るために
ＯＳ入れなおしを推奨することになります。

25 ：(^ー^*)ノ〜さん ：07/11/30 22:36 ID:Dp3j+zRj0

まぁある程度の状況は分かるので、今まででた情報で答えるとするならば
「ＯＳクリーンインストール」をしろ、としか言いようがない。

　アドレス自体どれを踏んだかもわかっているわけだし、そこから辿れるav.exeのファイルが見つからないのであれば
なんらかのアンチウィルスソフトで防衛できた可能性もあるが、
その防衛した可能性のあるソフト名もバージョンも何もまだ>>19からは提示されていないわけだ。
　こちらがわから見た場合、もしかしたら防御できてるのかもしれないし、感染してるのかもわからない状況。
仮に感染していた場合、（ROに限って言うと）ウィルス除去しないままROにin、もしくはガンホーのサイト等でPASSとか入力しちゃったりすると
そのまま垢ハックされる。
　
　なので現状ウィルスを除去する方法として回答者がわから答えられる回答はひとつ「OSを再インストールせよ」しか提示できないわけ。
OS再インストールすればウィルスは必ず除去できる（が、今PCの中にあるデータは全部なくなる）。のでこれを薦めるわけ。

　OSクリーンインストール後にそのPCかPASS変更すれば、多分垢ハックの害は防げるとは思うけれど（確定ではない）
ので、テンプレをまずは分かる範囲だけでもいいので埋めて報告しなさい。

　最終的にはクリーンインストールを薦めることになる気はするけれど……

26 ：(^ー^*)ノ〜さん ：07/11/30 22:44 ID:3SqRK7Xx0

>>25
踏んだとされる時刻の時点では、カスペも未対応だった訳なので、ブロックできた可能性は消える。
入手完了前にIE落とすのが間に合っていた場合が、僅かな可能性として残っているのみ。

VirusTotalで確認しても、現時点では、eSafeとカスペ（あとはFortinetも次回パターン更新で対応）
でないと検出できない為、防衛できた可能性は考えなくていいかも。

・入手してしまったものをカスペで検出して除去して終わり（自己責任）
・ＯＳ再インストール（推奨）
・パターン更新済みのカスペで検出できない→危険が残っているのでOS入れなおし

27 ：(^ー^*)ノ〜さん ：07/11/30 22:44 ID:ZMpMLujR0

狩場情報ひっそりのジュピ１Fのページがなんかバグってるんですが、
これも垢ハックなどの改変によるものですか＞＜？

28 ：(^ー^*)ノ〜さん ：07/11/30 22:55 ID:301M6v7/0

>>23
もうほぼ終了した事だけど…
基本的なことですがブラウザのヘルプからバージョン情報を確認。
マイ コンピュータを右クリックでプロパティでシステムを確認。
(スタートメニューのファイル名を指定して実行、winverで詳細が判る)
検索サイトで調べる癖をつけておくといいです。

>PC関連疎いのでよくわからないですが
ならば尚の事、これを機会にアンチウイルスソフトだけでもインストールするべきかと。
PG2やhosts変更は勉強するつもりで説明をよく読んでやっておくと
今後何かあったときに慌てなくて済む筈です。

29 ：(^ー^*)ノ〜さん ：07/11/30 23:21 ID:3SqRK7Xx0

>>27
｜重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
｜対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

30 ：(^ー^*)ノ〜さん ：07/12/01 01:13 ID:KJb5vLMF0

>>23です(´・ω・｀)
いま>>24にあったのでカスペで再スキャンしてみたところ･･･
help.htm_ - Trojan-Downloader.VBS.Psyme.kq,
index.htm_ - Trojan-Downloader.HTML.IFrame.ba
の二つがみつかりました。
とりあえずOS入れ替えｶﾅとは思うのですが、
一応除去方法を教えていただけないでしょうか？
また、このままの状態でOSを入れ替えた場合ウィルスはきえているのでしょうか？

31 ：(^ー^*)ノ〜さん ：07/12/01 01:22 ID:5y+DhBse0

>30
カスペのオンラインでスキャンして見つかったのなら、カスペの体験版を
DLしてきて、インストールして再度検索すれば、駆除出来る。

他のトロイは居ないと思うが、誰も安全、と断言は出来ないので
HDDフォーマットの後、OS再インストールを勧める。

>また、このままの状態でOSを入れ替えた場合ウィルスはきえているのでしょうか？
HDDフォーマットしてからの入れ替えなら、消えてる。


それと
>【　アンチウイルスソフト 】 無し
これはどう考えてもマズい。
カスペなりを購入してインストールする事を勧める。

32 ：(^ー^*)ノ〜さん ：07/12/01 01:26 ID:UqSwecNH0

完全に安全にしたいのであればどうしてもHDDからのフォーマットになります。
新型ならば隠れているものの見逃しもあるかもしれないし、駆除でも安全かどうかは正直解りません。
過去にかかって駆除したけど、一年したら垢ハックされていたという報告もありますので。

33 ：(^ー^*)ノ〜さん ：07/12/01 06:00 ID:xswyR2By0

俺なんか心配性、もといビビリなので
PC購入したら真っ先にセキュリティ関連から知識を付けていったものだけどなあ。
ウィルス云々の怖さはPC触ってない頃でもTVやら新聞で見聞きしたし。

いい機会だと思って色々やってみるといいかもね。

34 ：(^ー^*)ノ〜さん ：07/12/01 07:44 ID:IXBi7SzP0

>>また、このままの状態でOSを入れ替えた場合ウィルスはきえているのでしょうか？
>HDDフォーマットしてからの入れ替えなら、消えてる。

OS上書きインストールの場合は、消える場合もあるし、残っている場合もある。
残っている場合でも、起動しても読み込まれない為に発動しない、ステルス化もされない為
とりあえずは安全な環境に戻る。（上書きされていない領域に残っているものを、自分で
発動させる危険はあるが）

ステルス化されていない場合、セキュリティソフト（が対応していれば）で確実に削除が行なえる。

>>【　アンチウイルスソフト 】 無し
>これはどう考えてもマズい。

同感。信頼性を考えると、カスペを買って導入することがお勧めだが、予算をすぐに出せない場合
>>2の最後に無料で使えるセキュリティソフトが３つ紹介されているのでそれを利用してもいいかと。

体験版入れて、パターン更新されなくなっても使い続けるのはダメ。パターン更新がないと
新種、新種でアタックかけているものを防げない状態になり、入れていないのと同然になる。

35 ：(^ー^*)ノ〜さん ：07/12/01 07:50 ID:4MSrh/QL0

処で、kingsoftのは昔の罠は消えているのか?
中国語フォントを入れておかないと、中国語フォントがないというエラーを出すダイアログが同じエラーを出して泥沼だったんだが。

36 ：(^ー^*)ノ〜さん ：07/12/01 08:00 ID:IXBi7SzP0

>>35
いつの話だ？

37 ：(^ー^*)ノ〜さん ：07/12/01 08:01 ID:IXBi7SzP0

>>35-36
あ、ごめん、素でスレ間違えた。移動しようか。

セキュリティ対策、質問・雑談スレ3
http://enif.mmobbs.com/test/read.cgi/livero/1186660300/

38 ：(^ー^*)ノ〜さん ：07/12/01 14:07 ID:DTK/M3vj0

>>23 (iframeで >>15 )の罠サイト、画像直リンできないITmediaに
imageタグ飛ばしまくって…どう表示されるか確認してないんだろうか。

39 ：(^ー^*)ノ〜さん ：07/12/02 23:31 ID:G/LAajpf0

福建人の罠ドメインを発見。
www■mylineagejp■net/tt■rar

罠ファイル名はリネだね、どうせroとかFF向けも置いてあるんだろうが。

40 ：(^ー^*)ノ〜さん ：07/12/03 00:02 ID:cEc66NXj0

>>39
>www■mylineagejp■net/tt■rar
Trojan-PSW.Win32.WOW.afn

NOD32,カスペ,マカフィー,AVG,Avast全て捕捉。
Symantecはスルー

41 ：(^ー^*)ノ〜さん ：07/12/03 01:44 ID:rLJT+v+v0

役立たずで正直スマンテック。

てか本当に役立たずだな。
3年ほどノートン愛用で今も2007使ってるけど、期限切れたらカスペにするんだぜ・・・

42 ：(^ー^*)ノ〜さん ：07/12/03 16:26 ID:7Bh6CauR0

初心者的な質問で申し訳ないが、上のような危険アドをhostsに手動で加えていく時
127.0.0.1 lg96☆3322△org/jp/
127.0.0.1 www☆mylineagejp△net/tt○rar
このようにURLのスラッシュを入れてもちゃんと有効になりますか？
どこできればいいかよくわからなく…
まとめサイトの一覧などを見ると/が入ってないので、/の前で切るべきなのかな

43 ：(^ー^*)ノ〜さん ：07/12/03 17:27 ID:cEc66NXj0

>>42
あくまでも、IPの生数字→hosts→DNSの順番で「名前解決」するものなので、後ろは付けないように。

127.0.0.1 lg96■3322■org
127.0.0.1 www■mylineagejp■net

あと、テンプレ位読んでくれ。
｜重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
｜対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ3
　http://enif.mmobbs.com/test/read.cgi/livero/1186660300/

44 ：(^ー^*)ノ〜さん ：07/12/04 09:40 ID:UOd+IEFW0

福建人がこのようなURL表記で爆撃をしている事を確認。
爆撃地点多数ヒット。
www■%6B%65%6C%65%38%38●%2E●com/av/　＝ kele88

いよいよ半角ドットと%2を禁止にしておくべき時が来たか。

ということであげ。

45 ：44 ：07/12/04 09:51 ID:UOd+IEFW0

%2e周辺の●はゴミ入れただけだからね。

46 ：(^ー^*)ノ〜さん ：07/12/04 19:43 ID:RrNN5dzQ0

％を禁止にすれば良いんじゃ

47 ：44 ：07/12/04 19:56 ID:UOd+IEFW0

>％を禁止にすれば
そう言われればそうかもしれないけど、
％をコメに記入したい人もいるかもと考えれば
％２の方が現実的かな、と。

48 ：(^ー^*)ノ〜さん ：07/12/04 23:32 ID:WPpSkdNN0

連中、今度はフリチケに進出した模様。
ttp://page■freett■com/xxends/wz/main■htm
-> ttp://page■freett■com/xxends/wz/Ms06014■htm
-> ttp://page■freett■com/xxends/wz/rp■html
-> ttp://page■freett■com/xxends/wz/zy■htm
-> ttp://page■freett■com/xxends/wz/Ms07004■js

49 ：(^ー^*)ノ〜さん ：07/12/04 23:51 ID:UOd+IEFW0

ちなみにこれも同じ類。
page■freett■com/ffxihackers/

いきなりスクリプトおいてやがる。

50 ：(^ー^*)ノ〜さん ：07/12/05 00:11 ID:SAMHpRiI0

もう2chなどにはかなり爆撃されてますね。
ご注意を。

51 ：(^ー^*)ノ〜さん ：07/12/05 00:16 ID:eyDG+blH0

【　　アドレス 　 】linege■1102213■com
　　　　　　　　　　www■yohoojp■com
【気付いた日時】昨日 23:20頃
【　 　　 OS　 　 】 WinXP SP2
【使用ブラウザ 】 IE6
【WindowsUpdateの有無】昨日
【　アンチウイルスソフト 】カスペ7.0 更新は本日中に２回位
【その他のSecurty対策 】
【 ウイルススキャン結果】現時点で未検出。検体提出の後、パターン更新後にスキャン予定。
【スレログやテンプレを読んだか】 Yes
【hosts変更】無し
【PeerGuardian2導入】有り/資料室の中韓台リストブロック
【説明】
余りにも怪しげなアドレスが、PG2のブロックリストに並んでいるのを発見。

アドレスの前後を削ってぐぐると、既知のアカハックに名前が載っている。
ttp://www■yohoojp■com/haha.exe

一時的に検体入手する為、PG2のHTTP許可を出して入手。VirusTotalにかけたが
AVGが検出する以外、カスペも含めて無反応。(そのためスキャンはパターン対応後を予定）

AVG 7.5.0.503 2007.12.04 Exploit

危険URLに置かれていたため、誤検知ではなく、他がすりぬけてると思われるので
検体提出に行ってきます。どこで踏んだかなぁ。

PG2の履歴を見る限りでは、結構前からブロックの形跡がある。やばいやばい。

52 ：(^ー^*)ノ〜さん ：07/12/05 00:23 ID:dRi93x1r0

>51
まさに福建人の日本人に対する意識が伺える罠ドメインの使い方。
”日本人は馬鹿だからすぐに忘れるぜ、1年位前のなんて覚えちゃいねーだろ”と福建人は思っている。

53 ：(^ー^*)ノ〜さん ：07/12/05 00:59 ID:oTrH/T8x0

>>44
Wikiや検索のURLにも%で始まるのが使われてるので
一概に禁止と言うのも難しいんですよね

あと、IE系では表示されて、Mozilla系だと表示されない傾向があるようです

54 ：(^ー^*)ノ〜さん ：07/12/05 01:27 ID:dRi93x1r0

>>53
コメント欄限定の話だから問題ないんじゃね？
普通コメント欄にそんなの書き込むやつがいるのかどうかって話だと思うし。

55 ：(^ー^*)ノ〜さん ：07/12/05 04:22 ID:qyCMMz/b0

ルータの仕様なのか何なのか判らないが、>>44 みたいな
エンコードされたドメインは名前解決できなかった。

56 ：(^ー^*)ノ〜さん ：07/12/05 13:45 ID:dRi93x1r0

福建人の罠ドメインを確認
www2■h3210■com
お約束の各種ディレクトリも確認
jp、av

/はどっかの無料サイトのページをパクリ、サイズ0のIFRAMEタグを発動し、kele88ウィルスを仕込む形。
/jp/の場合、ITMEDIAのサイトを見せてと罠発動と言う形。
/av/の方は日本のサイト（情報を見ると東芝系？）を見せて罠発動と言う形。

しかしavの方の日本サイトは空白、どういうことだろ。

57 ：(^ー^*)ノ〜さん ：07/12/05 15:17 ID:JS6t4KH10

>>48
page■freett■com/xxends/wz/hy.exe
スルー多数。上から3つ目のrp.htmlに注意。
スクリプトが動作環境を限定しており、2000・XP・2003、IE6・IE7、
RealPlayer6.0.14.536・6.0.14.543・6.0.14.544・6.0.14.550・6.0.14.552。
すなわちRealPlayer11Betaを狙い撃ちする。
Betaユーザは正式版(6.0.14.748)への更新を。
URLを削ってトップに行ったらエロサイトを偽装、
RealPlayerでエロ動画を再生(青少年有害)。

>>49
全ページ見たわけじゃないが、FFのツールが置いてあるだけじゃね?
freettはデフォで広告スクリプトてんこ盛りだが有害コードは見あたらなかった。
ツール置き場は www■mediamax■com/jameswhite333312/ (以下略)
接続できなかったので確かめてないが、仕込まれているとしたらツール側と思われる
(他所でrarファイル直リンでの爆撃も散見されたことから)。

>>51
期限切れたとかでレンサバ業者の広告になってね?

>>56
トップは前記のRealPlayer11Beta狙い撃ちスクリプト。
avとjpはいずれもiframeで
www■kele88■com/av/help.htm から
www■kele88■com/av/av.exe
avは東京新聞、jpはITmediaのパクリ。
av.exeはほぼ捕捉可能と思われる。

58 ：(^ー^*)ノ〜さん ：07/12/05 15:18 ID:oTrH/T8x0

>>44に追加情報があったので転載

> Wikipediaに次のようにあるので、Shift_JISを使った場合は
> 「.」にあたる文字を規制しても、Wikiの漢字URL関連には影響なさそうです
> > Shift_JISの2バイトコードの空間は、
> > 第1バイトが0x81-0x9Fならびに0xE0-0xFC、
> > 第2バイトが0x40-0x7Eならびに0x80-0xFCである。
>
> よって、0x2E (URLエンコード表記では0xを%に置き換える)は
> 漢字の部分には影響はなさそうです

普通に、「%2E」及び「%2e」を禁止ワードとすればよさそうです

59 ：57 ：07/12/05 15:42 ID:JS6t4KH10

>>56
トップ変更。iframeで
www■kele88■com/av/help.htm から
www■kele88■com/av/av.exe
つまりjpやavと同じ。
「無料サイト集kooss」(何これ?)のパクり。

60 ：(^ー^*)ノ〜さん ：07/12/05 17:10 ID:dRi93x1r0

>>57
FreeTTのffxihackers

Bugs,Exploits,Bots,Hacks,Cracks,Tools & Macros.....
YOUR BEST IS OUR WORST....

とてもまともなサイトには見えないんで一応通報済み。
福建人の本業といったところか。
どうせこのサービス使ったのはTT（リネ：サービス名を中華風に言えば無料リネ）が入ってたからだろうけど。

mediamaxの方は無料のストレージサービスな。
連絡先あったからこれから通報。

61 ：(^ー^*)ノ〜さん ：07/12/05 17:33 ID:dRi93x1r0

mediamaxの罠RARファイル、やばい。
現時点で検出してるのが
Avast、BitDefender、NOD32（ヒューリスティック）、Panda、Rising、Webwasherのみ。

62 ：(^ー^*)ノ〜さん ：07/12/05 18:08 ID:NUog8QzJ0

なんかあちこちに張られてるなぁ。
必死すぎｗ

63 ：(^ー^*)ノ〜さん ：07/12/05 18:20 ID:ueF2OJza0

笑えねーだろ

64 ：(^ー^*)ノ〜さん ：07/12/05 18:28 ID:kqR9Ymvx0

ついでにkele88は未実装スレにも爆撃してる

>ttp://www■yinra■com/inf/

セキュスレ>777から見てもらえば判るが、このドメインはkele88との事。
VirusTotalはほぼ全てスルーしたらしい。

65 ：(^ー^*)ノ〜さん ：07/12/05 18:32 ID:mLXgnLSI0

>>58
%2eを禁じても、
www■%6B%65%6C%65%38%38■com/av
とやられたらスルーされてしまうかと。じゃ%6B%65%6C%65%38%38ならどうか
とくれば
www■k%65%6C%65%38%38■com/av
と来れば回避できる。即ち、単純な方法じゃ無理という事です。
CGIのコードに手を入れるか、urlの投稿を禁じる等の運用で対処するかでしょう。

ちなみにエンコードされたドメイン名を含むアドレスはOperaでもアクセスできます。
この件はアプリ毎の実装の違いでしょうから仕様は余り関係ないか。

何はともあれご注意を。

66 ：(^ー^*)ノ〜さん ：07/12/05 18:42 ID:dRi93x1r0

>>65
個人レベルである程度防げりゃ良いんじゃね？
そこまで変なURLになればさすがに怪しむ方が多いと思う、
他人や知人の名前パクってウィルスリンク書いても胡散臭いリンクじゃ、ね。

殆どレンタルサービス借りてやってるだろうから
その辺の根本的対策ともなればそれこそサービス運営に要望を出さんといかん。

67 ：(^ー^*)ノ〜さん ：07/12/05 18:59 ID:eyDG+blH0

初心者スレに投下されていたもの。他にも多数のスレに投稿されている模様。
警鐘age

ttp://www■hao123■com
ttp://www■887766■com

怪しいアドレスを見掛けても踏まないように。

68 ：(^ー^*)ノ〜さん ：07/12/05 19:00 ID:mLXgnLSI0

>>66
一応現実的には問題は無いと思う。
一つの策で完全に防ぐ、というよりは複数の策で絡め取るほうが効果的でしょう。
カクテル療法って奴ですな。

ただ、%2e禁止策に関しては回避がすさまじく容易な物なのでその危険性を
把握すべき、ということです。意味無いとは言いませんが…。

ぶっちゃけ既出の、URL禁止化やコメントの管理者の検閲必須化のほうが有効でしょう。

69 ：(^ー^*)ノ〜さん ：07/12/05 19:04 ID:ueF2OJza0

もうあぷろだのURLと管理人がテンプレに書くときだけのURL以外は禁止したらいいんじゃないかなここ

70 ：(^ー^*)ノ〜さん ：07/12/05 19:05 ID:ueF2OJza0

書いて気付いたがセキュ向けだな、すまん

71 ：(^ー^*)ノ〜さん ：07/12/05 19:26 ID:9RQKcKP50

>>64の対処法を教えてもらえます？
再インストールはディスクを無くしてしまって、スキャンは出ないみたいなので・・
踏んじゃったのでなんとかしようとは思ったのですが、こういう事が初めてでして・・

72 ：(^ー^*)ノ〜さん ：07/12/05 19:28 ID:eyDG+blH0

>>71
パターン対応するまでPC起動しない。
対応されたら、パターン更新だけ接続して切断。
スキャンして除去。

ぶっちゃけ、ＯＳのインストールディスク発掘がんばれ。

73 ：(^ー^*)ノ〜さん ：07/12/05 19:33 ID:9RQKcKP50

>>72
了解です
切る前にもうひとつ質問なんですが、セットアップが出てきたので怪しいと思いキャンセルしたのですが、これでも感染はしているのでしょうか？
ブラウザはSleipnirです。

74 ：(^ー^*)ノ〜さん ：07/12/05 19:36 ID:vbusE51i0

パソコン内のイルカやらゲイツやぐーぐるに聞けばいいだろ。

75 ：(^ー^*)ノ〜さん ：07/12/05 20:11 ID:JS6t4KH10

>>73
実行していないなら問題なし。

76 ：(^ー^*)ノ〜さん ：07/12/05 20:14 ID:eyDG+blH0

>>73
キャンセルは正解。実行を阻止したなら感染していない「可能性が高い」。

感染した為に呼びだされたセットアップかもしれず、なんの保証もできない。
セキュスレによると、>>64のアドレスは、setup■exe を直接呼びだす構造なので
実行を阻止したなら感染していない「可能性」もある。

あとは自己責任で判断して欲しい。このスレで推奨するのはOS入れなおし。

77 ：(^ー^*)ノ〜さん ：07/12/05 20:54 ID:kqR9Ymvx0

>67
hao123も887766も共にcnだが、内容がなんとも。

hao123はBSWiki氏の危険ドメインに存在してるので、過去に危険だったのは間違いない。
887766はswfが多用されてて、もしかしたら脆弱性を付くタイプの代物があるのかもしれない。

ただリンクが多すぎてチェックしきれないし、IPも調べたがちょっと判断が付かない。

ただスレ爆撃の書き方からしても普通じゃないのとCNドメインだし、暫定的でも
危険アドレス扱いで良いかと。

78 ：(^ー^*)ノ〜さん ：07/12/05 20:59 ID:eyDG+blH0

>>77
乙。

わたしも887766を辿ってみてたんだが、もう、リンク多すぎで本体見つからず。どうしたものかと。

79 ：(^ー^*)ノ〜さん ：07/12/05 21:51 ID:eyDG+blH0

>>64
カスペから返答。本日多数のスレに貼られた>>64のアカハックトロイは、
パターンを更新すれば検知可能になっているとのことです。

setup■exed - Trojan.Win32.Inject.mu

This file is already detected. Please update your antivirus bases.

80 ：(^ー^*)ノ〜さん ：07/12/05 22:17 ID:eyDG+blH0

LiveROに貼られていたアカハックと思われるアドレス。多分、既出。

www■778899■jp

81 ：(^ー^*)ノ〜さん ：07/12/05 22:45 ID:dMNQ6WGG0

>80
未出と思われ。

で、ソース覗いてみたが、これまた良く分からない。
>www■778899■jp■:80
こんな感じでjpやcomの後に「.」を置く書式になってたり
whoisで見つからなかったりとか。

これは一体？

82 ：(^ー^*)ノ〜さん ：07/12/05 23:21 ID:JS6t4KH10

「サーバが見つかりませんでした」
comドメインはあるんだけど、こっちもIISの初期ページ。
何かミスったものと思われ。

83 ：(^ー^*)ノ〜さん ：07/12/06 10:03 ID:VJgmI9t80

最後の . はルートドメインだな。

84 ：(^ー^*)ノ〜さん ：07/12/06 22:21 ID:Tsw0g7h00

【　　アドレス 　 】http://www■qipilang■org/shabi/
【気付いた日時】 07/12/06　05:40頃
【　 　　 OS　 　 】 winXPSP2
【使用ブラウザ 】 IE6(Sleipnir)
【WindowsUpdateの有無】 自動更新
【　アンチウイルスソフト 】 Symantec Antivirus　定義ファイル自動更新
【その他のSecurty対策 】 ルータ Spybot S&D、Ad-Aware SE
【 ウイルススキャン結果】 未検出
【スレログやテンプレを読んだか】Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
開く途中か開かれても白かったのか不明だが表示が遅かったので気付いた。

大人しく再インストールですかね

85 ：(^ー^*)ノ〜さん ：07/12/06 22:35 ID:K5ThLcHQ0

＞大人しく再インストールですかね

うんっ(^-^)ｷｯﾊﾟﾘ

86 ：(^ー^*)ノ〜さん ：07/12/06 22:39 ID:tf0QLJTd0

FreeTTの罠サイト2つ消滅を確認。

87 ：(^ー^*)ノ〜さん ：07/12/06 22:49 ID:K5ThLcHQ0

>>84
ぶっちゃけ、こんな感じ。

カスペオンラインスキャンで入手してないかスキャンして自己責任で使い続けるって手もあるけど
（カスペは全部撃墜）正直お勧めしない。やっぱりOS入れなおしコースじゃないかな。

ttp://www■qipilang■org/shabi/index■htm
ttp://www■qipilang■org/shabi/wz■htm
ttp://www■qipilang■org/shabi/wu■htm
ttp://www■qipilang■org/shabi/dns■htm
ttp://www■qipilang■org/shabi/kiss■htm

ttp://www■xinluoqu■com/FFXI/ser■exe
ttp://www■xinluoqu■com/shagua/test■exe
ttp://www■xinluoqu■com/ied/as■exe
ttp://www■xinluoqu■com/shabi/svch■exe

全部、Symantecはスルー

ser■exe : Trojan-PSW.Win32.OnLineGames.fcj
test■exe : Trojan.Win32.Inject.ke
as■exe : Heur.Trojan.Generic
svch■exe : Trojan.Win32.Pakes.bqf

88 ：(^ー^*)ノ〜さん ：07/12/06 22:50 ID:K5ThLcHQ0

・・・「■exe」が禁止ワードっぽい。投稿しにくいったらないな。

89 ：(^ー^*)ノ〜さん ：07/12/07 00:32 ID:2Zm2pl6R0

でも■exeが使用可能だった場合を考えるとさらに被害甚大だっただろうからしかたあんめえ

90 ：(^ー^*)ノ〜さん ：07/12/07 00:34 ID:LxJp4SOU0

そもそも実行ファイルへのリンクなんて普通は不用だしな

91 ：(^ー^*)ノ〜さん ：07/12/07 07:54 ID:t9izoZp50

>>87
asがUPXなのでバラして見てみたらSecondLife用のトロイだった。
いろいろ詰め合わせなのね。

92 ：(^ー^*)ノ〜さん ：07/12/07 08:40 ID:O2fV/L3D0

kele88■com系は2chにも激しく爆撃をしてたようで、運営側で対策が取られたようです

No A057 トロイサイト 【kele88■com】 宣伝対策
http://qb5.2ch.net/test/read.cgi/sec2chd/1196775676/

IPとかが参考になるかな。・・・・やぱりODN。

93 ：(^ー^*)ノ〜さん ：07/12/07 14:49 ID:t9izoZp50

アカハックと並行してWebサーバを書き換えると思われるものもある
(プログラム中にiframeベタ書き)けど、>>92 のリモホが結構ばらばらなので
投稿するルーチン持ってる奴もあるのかもねぇ。

94 ：(^ー^*)ノ〜さん ：07/12/07 15:02 ID:mz5ezUdn0

>>92
上２つはこのスレでも既出っすね。
ttp://www■kele88■com/av/
ttp://www■%6B%65%6C%65%38%38●%2E●com/av/　　（●%2E●=%2E＝.)

>>92のスレでkele88への誘導とされているアドレス。
多分、こっちの幾つかは未出かな。見覚えあるのも混ざってるけど。

ttp://av■blog5566■com/images/
ttp://www■jp2008■co■cc/
ttp://lg96■3322■org/jp/
ttp://www■yahgoo■co■cc
ttp://kooss■2288■org

95 ：(^ー^*)ノ〜さん ：07/12/07 15:24 ID:t9izoZp50

FF関連BBSに投下されたkele88で
blog2008■9966■org/images/
ってのもあった。

96 ：(^ー^*)ノ〜さん ：07/12/07 17:50 ID:UcUtzSsTO

リンククリックしないでいれば大丈夫なのか？ 行きなりハックされたりはないの？

97 ：(^ー^*)ノ〜さん ：07/12/07 18:00 ID:O2fV/L3D0

>>95
kele88系が投入しているサブドメイン付きの物はどうも中国の無料サービスを利用しているみたいだね。
レンタルサーバかなにかかな。提供元は捜索中。

>>96
その辺の軽めな話題は姉妹スレへどうぞ。多分大丈夫。

98 ：(^ー^*)ノ〜さん ：07/12/07 19:27 ID:nXF5E7CF0

co■ccはそれっぽい名前にしてくれるっていう無料サービスだね。
例：12345■com -> abcde■co■cc
blog5566は初見、福建人はホント同じ数字2つ並べるのが好きだな。

99 ：(^ー^*)ノ〜さん ：07/12/07 20:00 ID:t9izoZp50

dj5566とか思い出すなｗ

100 ：(^ー^*)ノ〜さん ：07/12/07 21:55 ID:p5fxn2nvO

課金が切れてる場合に踏んだらどうなるの？
次インするまでは大丈夫なのかな？

101 ：(^ー^*)ノ〜さん ：07/12/07 22:35 ID:3by9wGlQ0

>100

>1
>対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。
>【一般的話題用】
>セキュリティ対策、質問・雑談スレ3
>　http://enif.mmobbs.com/test/read.cgi/livero/1186660300/

セキュスレの方で回答しておいた。

102 ：(^ー^*)ノ〜さん ：07/12/07 22:36 ID:EVLGfuRF0

>>100
ダイジョウＶ

103 ：(^ー^*)ノ〜さん ：07/12/07 22:49 ID:p5fxn2nvO

板違いだったか。ごめん＆ありがとう

104 ：にゅぼーん ：にゅぼーん

にゅぼーん

105 ：(^ー^*)ノ〜さん ：07/12/08 01:21 ID:+e6KErEW0

>104
まず最初に、急いで削除依頼してきなさい。

その結果のアドレス、ハクアドレスでブラウザからも飛べてしまう。

106 ：(^ー^*)ノ〜さん ：07/12/08 01:22 ID:3g42axh60

中華の新たな手口か

107 ：104 ：07/12/08 01:26 ID:5MAP1ayh0

さーせん。完全に見落としでした。マッハで削除依頼だしてきます orz

108 ：104 ：07/12/08 01:31 ID:5MAP1ayh0

と思ったら、どなたかが出してくれてました。
ご迷惑をおかけしました。ありがとうございます。
削除される前提で、もう一回書き込ませていただきます。

【　　アドレス 　 】tinyurl■com/yty3le
【気付いた日時】数時間前
【　 　　 OS　 　 】Win XP Pro SP2
【使用ブラウザ 】 FireFox 2.0.0.11
【WindowsUpdateの有無】でるたびに即時更新してます。確認しましたが最新でした。
【　アンチウイルスソフト 】NOD32/カスペルスキー試用版　どちらもバージョンは最新
【その他のSecurty対策 】Spybot S&D
【 ウイルススキャン結果】 NOD32製品版とカスペルスキー試用版にてスキャン。詳細は説明へ
【スレログやテンプレを読んだか】このスレと前スレは目を通しました。
【hosts変更】無
【PeerGuardian2導入】無
【説明】
ROとは無関係なゲームのwikiにて誤クリックで飛びました。飛び先は青だけの画面。
パスワード関連は別PCから変更完了しています。

短縮URLのソースチェッカーオンラインでの結果 : www■caremoon■net/blog/index■htm

前スレ990及び993とほぼ同じサイトのようです。
そちらのレスではNOD32/カスペルスキー共に撃墜したとの話だったのですが、
同名のトロイはどちらにも検知されませんでした。

スキャンはNOD→反応なし、カスペ→Trojan.Win32.Delf.ajiを検知→削除完了。
が、前スレで挙がっている名前とは違うので、別の物を見逃してたのかな…と思っています。

出来ればクリーンインストールは避けたいのですが、
「まだこれが残ってる」という対策があればご教授お願いします。
遅まきながらHosts変更とPG2は導入しました。
セキュスレ行きでしたら、その旨の指示もお願いします。

109 ：(^ー^*)ノ〜さん ：07/12/08 02:30 ID:+e6KErEW0

>108
アドレス自体は既出のもので、iframeでサイズ0のindex1■htmを呼び出してる。
中身は昔見た覚えのある、懐かしすぎるタイプ。
デコードしてみたところ、カスペで　Trojan-Downloader.VBS.Psyme.ds　として検出。

www■caremoon■net/blog/index■htm
->www■caremoon■net/blog/index1■htm　（Trojan-Downloader.VBS.Psyme.ds）
--->www■caremoon■net/blog/send■exe　(Trojan-PSW.Win32.Delf.aih)
--->www■caremoon■net/blog/f2■exe　（Trojan-PSW.Win32.OnLineGames.fcj）
--->www■caremoon■net/blog/reak■exe （Trojan-PSW.Win32.Magania.bph）

カスペは全部検出してるが、>104の検出結果と微妙に違ってるのが気になるところ。
既に差し替えられたのかな？

完全に駆除されて安全ですとは誰も言えないので、確実を期すなら再インストール。

再インストールしないなら、自分が安全だと自信を持てるまではそのPCは使わないこと。
打てる対策といっても、数日の間は定期的にカスペ等でフルチェックを掛けまくるぐらいしかない。

110 ：104 ：07/12/08 03:05 ID:5MAP1ayh0

>>109
丁寧な返信ありがとうございます。
情報漏れがありましたので追記しておきます。

踏んだ時点ではウイルスソフトはNOD32を使用しており、何の反応も示しませんでした。
その時点でおかしいと思って検索をした結果、垢ハックアドレスの事実を知り、
その後にカスペのインストール及びスキャンを行ったため、カスペでのスキャンは感染後（？）になってます。

双方で全く検知されないって事は「即閉じ or 何らかの理由で逃げ切れた」って可能性もありそうですが、
潜伏されてる可能性の方が高そうなので、この週末に潔くクリーンインストールしようと思います。

Trojan-PSW.Win32.OnLineGames.fcjはNOD32での撃墜事例があるようですので、
何故今回に限って検知できなかったかは疑問が残りますが、素人が余計な事すると自爆しそうなので忘れる事にします。

104のミスは申し訳ありませんでした。迅速な削除に感謝します。

カスペに乗り換えよっかな…(´･ω･`)

111 ：(^ー^*)ノ〜さん ：07/12/08 09:08 ID:9OxcJ5/B0

福建人の罠ブログを見つけた。
secondlife001■blogspot■com
自分で改竄したcaremoon入りWikiの編集画面から記事丸パクリ。

プロフィールには福建人お気に入りに女性名。（liu200711xxシリーズのプロフィールで多用）
caremoonのリンクがある。

Blogspotなんで違反ブログ申告とかはないみたい。
規約では”記事には嘘の情報や危険な情報があるかもしれない、それにアクセスするのは自己責任”としか書かれていない。
知人友人に利用者がいなければBlogspotをフィルタリングするべきかね。
そういう場所にヤフーのliu200711xxシリーズのようなマルチアカウントやられるとまずいしね。

112 ：111 ：07/12/08 09:23 ID:9OxcJ5/B0

連絡先は捜したらあったが英文のみらしい。
help.blogger.com/?page=contact&hl=en

しかもGoogleアカウントが必要。
先に日本語で書いておいたのをエキサイト翻訳して送った。

113 ：(^ー^*)ノ〜さん ：07/12/08 12:31 ID:9OxcJ5/B0

コレも福建人の罠、と。
blog2008■9966■org

/imagesディレクトリには
kele88へのステルスIFRAMEが仕込んである。

ちなみにimagesディレクトリの中身はこの掲示板のソース丸パクリの上で仕込んだもののようだ。
one-make.jp/bbs/

おそらく育成とBBSで福建人キーワードに引っかかったんだと思われ。

read.cgi ver5.26 + n2 (02/10/01)