アカウントハック総合対策スレ9

■掲示板に戻る■ 全部 1- 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 最新50

レス数が1000を超えています。残念ながら全部は表示しません。

アカウントハック総合対策スレ9

1 ：夢 ★ ：07/11/25 11:04 ID:???0: アカウントハックに関する情報の集積・分析を目的とするスレです。
被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

・関連＆参考情報アドレス (>>2)
・報告用＆質問用テンプレ (>>3, >>4)
・アカウントハック対応の要点とFAQ (>>5)
・安全対策の簡易まとめ (>>6)
・アカウントハッキングについて（ガンホー公式）
　 http://www.ragnarokonline.jp/playguide/hacking/

■スレの性格上、誤って危険なURLがそのまま貼られてしまう可能性がある■
■URLを無闇に踏んで回らないこと。報告・相談はテンプレを利用すること■

※ ID/Pass/サーバ/キャラ名等の情報は公開しないでください
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません
※ ネタや程度を超えた雑談・脱線はご遠慮ください

・スレ立て依頼は>>970がしてください。反応がなければ以降10ごとに。

【一般的話題用】
セキュリティ対策、質問・雑談スレ3
　http://enif.mmobbs.com/test/read.cgi/livero/1186660300/
201 ：(^ー^*)ノ～さん ：07/12/25 16:32 ID:uDWTbLJJ0: >>200
報告乙です。これからオンラインスキャンということですが、自己責任で使い続けるのでなければ
OSインストールコースがんばってらー。

>>168のアドレスという事ですが、【中身が差し替えられていないならば】>>172の報告通り
カスペで検出できるようです。参考までに。
202 ：200 ：07/12/25 17:06 ID:muc19jHG0: カスペのオンラインスキャンでも検出されませんでした…
ひょっとすると差し替えられ？OS再インストールですかね…

こういうスレッドがあってとても助かりました。どうもありがとうございました。
203 ：(^ー^*)ノ～さん ：07/12/25 19:16 ID:8xwBXB3y0: 187のものですが、皆さん調べていただきありがとうございました。
本当に助かりました。

無事再インスコ終えました
204 ：(^ー^*)ノ～さん ：07/12/25 20:47 ID:uDWTbLJJ0: >>202
>カスペのオンラインスキャンでも検出されませんでした…

可能性は幾つかある。
１．入手前に切断したので、PCに入っていない（安全）
２．入手してしまったけど、新種(差し替えられて)なので検知できなかった（危険）
３．以下、可能性の低い条件の為、検知できなかった（危険）

安全か危険かは、回線の向こう側の立場からは判断できない。
よって、危険であると仮定して対応することを勧めることしかできない。OS入れなおしてらー。
勿論、安全である可能性を信じて、【自己責任】で使い続けるのは自由ですがね。

>ひょっとすると差し替えられ？

その疑問を投げかけられると、とても困る。一言で言うと「誰もそんなこと確認できん」
この辺の話題は、セキュスレでやった方がいいのかな？

・踏んだタイミングと、検証者（いるなら）の検体入手タイミングは異なるので
　同じである事の保証はできない。
・差し替えられていないか検証する際にも、最初の検証者と、後の検証者の入手
　タイミングが異なるので、MD5などの同一性を確認する手段が提供されていない限り
　差し替えられたことの確認は困難。（同じ検出名でも差し変わっている可能性がある）
・仮に、最初の検証者が、検体を保存しておいて、改めて入手した物が同じであることを
　確認しても、その間に差し替えがあった可能性は否定できない。つまり、現時点で
　同一性が確認されたとしても、質問者が踏んだ時のタイミングでも同じであったことは
　保証できない。

仮に、「手間をかけて検体を入手し」「検出名が同じor最初の検体と比較して同一」で
あることが確認できたとしても、相談者の環境で踏んだものと同じことは保証できない。

踏んだアドレスの内容がどのようなものであったかの報告は、相談者が
「自己責任で判断する参考資料でしかない。
（勿論、セキュリティベンダーに提出して対応して貰うこと等の副次的影響力は別として）

参考資料でしかない情報の為に、「誤クリックで発動させてしまう危険」
「検体入手の為に、一時的にセキュリティを緩めざるを得ない危険」
「比較確認の為の手間」を、検証者に負担させることは、実に割に合わない行為だろう。
205 ：(^ー^*)ノ～さん ：07/12/25 21:20 ID:uDWTbLJJ0: >>202
>>ひょっとすると差し替えられ？
>その疑問を投げかけられると、とても困る。一言で言うと「誰もそんなこと確認できん」

と、だけ言っていても仕方ないので確認してきました。
ファイル構造、呼び出し方法は同じ。
但し、f2.exeの検出名が変化していましたので、差し替えは行われているようです。

ttp://www■irisdti-jp■com/blog/
ttp://www■caremoon■net/blog/index1■htm
ttp://www■caremoon■net/blog/send■exe
ttp://www■caremoon■net/blog/f2■exe
ttp://www■caremoon■net/blog/reak■exe

12/8時点
send■exe : Trojan-PSW.Win32.Delf.aih
f2■exe : Trojan-PSW.Win32.OnLineGames.fcj
reak■exe : Trojan-PSW.Win32.Magania.bph

12/21時点 >>172
index1■htm : >Trojan-Downloader.JS.Agent.anp
send■exe : >Trojan-PSW.Win32.Delf.aih
f2■exe : >Trojan-PSW.Win32.OnLineGames.kak
reak■exe : >Trojan-PSW.Win32.Magania.bph

12/25時点
index1■htm : Trojan-Downloader.JS.Agent.anp
send■exe : Trojan-PSW.Win32.Delf.aih
f2■exe : Trojan-PSW.Win32.OnLineGames.lyx
reak■exe : Trojan-PSW.Win32.Magania.bph

現時点では、カスペで全弾撃墜しておりますが、202さんが踏んだ時点の代物が
検出可能なものであるかどうかは保証しかねます。
自己責任でそのまま使うかどうかの参考情報として報告しておきます。

ちなみに、現時点のf2■exeですが、VirusTotalの結果は下記の通りです。
カスペ○、NOD32×、マカフィー○、シマンテック×、Avast○、AVG×
206 ：200、202 ：07/12/26 00:05 ID:cM9FAGce0: >>204,205さん
ありがとうございます。御礼が遅くなって申し訳ありませんでした。
再インストール行って参ります、また来る事の無いよう精進します。
207 ：(^ー^*)ノ～さん ：07/12/26 13:07 ID:/L8XCvQx0: 引っかかったかもしれないのならクリーンインストールしろと言われたのですが
そのクリーンインストールというのがよくわかりません。
ノートパソコンを買ったのですがそれにもついていますか。
サポートに電話すればいいんでしょうか。
208 ：(^ー^*)ノ～さん ：07/12/26 13:20 ID:rqe9LpER0: リカバリ。メーカや機種によって違うんだから
説明書やヘルプを見るかサポートに聞いてくれ。板違い。
209 ：(^ー^*)ノ～さん ：07/12/26 14:12 ID:kGe+oyTq0: >>207
ノートPCなら、メーカー付属のCD-ROMや、HDDからのリカバリなどがある。
付属のマニュアルを読んでください。

新規にXPを入れさせるところもありますが、基本は、メーカーのサポートセンターへどうぞ。
相談の際は、「PCを初期状態にリカバリしたいのですが、どうやったらいいでしょうか。
機種はXXXXで、シリアルナンバーはXXXXです」というように必要な情報を全て伝えること。

リカバリの際には、自分で作成したデータや受信したメール、ブラウザのブックマークなどが
全て消えます。必要なデータは事前にバックアップをとっておいてください。
210 ：(^ー^*)ノ～さん ：07/12/26 20:29 ID:3K8V0xh9O: PG起動してるとNDSのWifi通信が出来なくなるな
２時間悩んだわ
211 ：(^ー^*)ノ～さん ：07/12/26 20:30 ID:kGe+oyTq0: >>210
セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/
212 ：(^ー^*)ノ～さん ：07/12/28 10:53 ID:CcTX8uhT0: Lydia板より
> 897 名前：lawlite12[] 投稿日：2007/12/28(金) 06:37:36 ID://fiFId2
> 通常日記とらぐな日記をそれぞれ更新しました！
> ぜひぜひ、みなさん遊びにきてくださいな
> blog■surpara■com/lawlite12/

> トロイの木馬を検出したため対処しました。
> 「FKCfb-09p1-136.ppp11.odn.ad.jp」からのため「FKC*.odn.ad.jp」を規制。

追加情報として、blog■surpara■comのIPアドレスは210■251■252■164で
日本国内のIPアドレスです
213 ：(^ー^*)ノ～さん ：07/12/28 12:00 ID:FA7VLVBd0: >>212
報告乙です。
既知のアドレスのものを呼びだしていますが、一部、最近差し替えられたファイルが混ざっているようですね。

ttp://blog■surpara■com/lawlite12/
３箇所にサイズ０のiframe呼び出し

ttp://www■teamerblog■com/blog/

ttp://www■panslog■net/wiki/index1■htm
ttp://www■panslog■net/wiki/send■exe
ttp://www■panslog■net/fc2/cery■exe
ttp://www■panslog■net/wiki/reco■exe

cery■exe : Trojan-PSW.Win32.OnLineGames.lyx
index1■htm : Trojan-Downloader.VBS.Agent.hi
reco■exe : Trojan.Win32.Inject.ms
send■exe : Trojan-PSW.Win32.Delf.aih
214 ：(^ー^*)ノ～さん ：07/12/28 12:01 ID:gXyQIsZa0: surparaは古くから同人やってる人ならtinamiと並んで普通に知ってるサイトのはず。
何年も見てなかったけど、ブログ始めてたのか…。
iframeが使える上にFC2のような通報フォームも見当たらんからやりたい放題だな。
215 ：(^ー^*)ノ～さん ：07/12/28 12:21 ID:GjZ03Zpl0: >>212
元のアドレスが国内なのは、サーパラブログ自体は普通のポータルサイトが開設したレンタルBlogサービスなので自明。
fc2同様、iframeが書けてしまうBlogモジュールはセキュリティの観点からすると好ましくはないが。
一応、本家サーパラの方にあるフォームから運営に通報してみた。iframeの使用制限も要望はしてみたが、どうなるやら。
216 ：(^ー^*)ノ～さん ：07/12/28 13:36 ID:gXyQIsZa0: お、速攻で消されてるｗ
217 ：(^ー^*)ノ～さん ：07/12/29 01:24 ID:8sl4WqK90: >>212-215の件についての返信。
>>>
Surfersparadiseです。
いつもご利用いただきましてありがとうございます。
以下に関しましては、該当アカウントの削除を行いました。
また、こうした書き込みなどを管理するツールの実装を早急に行います。
この度はご連絡いただきましてありがとうございました。
今後ともよろしくお願いいたします。
>>>

ひとまず、surparaに関しては、今後は罠として使いにくくなると期待が持てそうな感じ。
218 ：(^ー^*)ノ～さん ：07/12/30 12:21 ID:+YJrqs8e0: exぶろ～ぐ
www■exbloog■com/7112886/000027■zip
www■exbloog■com/7112887/000028■zip
219 ：(^ー^*)ノ～さん ：07/12/30 14:59 ID:h/9Epm970: >>218
->000027■wmv■scr
-->013■exe
-->mov0023■wmv
--->mms://202■210■163■74/bekk/navi■wmv

->000028■wmv■scr
-->013■exe
-->mov0023■wmv
--->mms://202■210■163■74/bekk/navi■wmv

000027■zip : Trojan-PSW.Win32.OnLineGames.fcj
000027■wmv■scr : Trojan-PSW.Win32.OnLineGames.fcj
013■exe : Trojan-PSW.Win32.OnLineGames.fcj

000028■zip : Trojan-PSW.Win32.QQPass.xw
000028■wmv■scr : Trojan-PSW.Win32.QQPass.xw
013■exe : Trojan-PSW.Win32.QQPass.xw
220 ：(^ー^*)ノ～さん ：07/12/30 15:43 ID:+YJrqs8e0: >>217
またできてたｗ
blog■surpara■com/lulu26/
対策されるまでは blog.surpara.com/blogList.html で新着チェックかな…。
221 ：(^ー^*)ノ～さん ：07/12/31 11:43 ID:xUXP+jj10: >>220　検体入手しようと見に行ったらもうなかった。
222 ：(^ー^*)ノ～さん ：07/12/31 13:33 ID:NCgVyDsr0: アカだけとって記事が一つも無いのもあるけど、
既存のがバレて消されたら記事入れて爆撃なのかな。
223 ：(^ー^*)ノ～さん ：07/12/31 13:36 ID:oHmC0qiY0: wiki見てたら踏んでしまったんだが

http://nmmdbi■blog22■fc2■com/

どうなんだろ
224 ：(^ー^*)ノ～さん ：07/12/31 14:04 ID:UP1i+C7D0: 対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。
225 ：(^ー^*)ノ～さん ：07/12/31 15:33 ID:EZhx699p0: すんません、数ヶ月ぶりにRO復帰しようと思うんで入る前に聞きたいんですけど、
ちょっと調べてみたところJavaScriptもオフ推奨って書いてるとこ見かけるんですが、
スクリプトだけでも感染するような新種がでてるんですかね？
私的にはアプレットとかActiveXは危ないと思うからROしてなくても常時オフってましたが
JavaScriptも危ない時代になっちゃってるんでしょうか？
226 ：(^ー^*)ノ～さん ：07/12/31 15:37 ID:lWpYMDS80: >>225
>>224
227 ：(^ー^*)ノ～さん ：07/12/31 15:44 ID:EZhx699p0: すんませんスレチでしたか。
そっちできいてみます
228 ：(^ー^*)ノ～さん ：07/12/31 20:57 ID:cWI7hZXv0: 上の方で差し替えという話題になっていて不安を覚えました
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/133
自分が踏んだ時点でどうかというのは確かに不明だと思いますが
現時点でどうなのか、詳しい方教えていただけると幸いです
ドメイン失効とあったのでリカバリしていなかったので不安でした
＞www■pangzigame■com 　　8■15■231■125:80
229 ：(^ー^*)ノ～さん ：07/12/31 22:53 ID:xUXP+jj10: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/
230 ：(^ー^*)ノ～さん ：08/01/01 07:35 ID:KzP+Ud7m0: そろそろその誘導コピペで流れるだけだということに気付け
231 ：(^ー^*)ノ～さん ：08/01/01 17:04 ID:QwMCLEQx0: >>230
>>1
232 ：(^ー^*)ノ～さん ：08/01/01 17:09 ID:qkzbGyt40: >>230
ｵﾏｴﾓﾅｰ
…懐かしい言い回しだな。

幾つか新規の物を発見したので報告
・罠blog
　http://happeningnew■blog28■fc2■com/
　　http://www■nlftweb■com/link179700
　　　http://www■rmtfane■com/link179700/main■htm
　　　　http://www■rmtfane■com/link179700/ani■c
　　　　http://www■rmtfane■com/link179700/Ms06014■htm
・新規ドメイン
　http://www■rmt-expretss■com/ourtesf
　　http://www■lvei20■com/ourtesf/ff11■exe
233 ：(^ー^*)ノ～さん ：08/01/01 20:35 ID:jnlIO8ey0: >>232
www■rmtfane■com/link179700/ff■exe
10/14製造。既知の物っぽい。
234 ：(^ー^*)ノ～さん ：08/01/02 09:07 ID:H8NiTCNS0: >>231
>>1

こうですか＞＜
235 ：(^ー^*)ノ～さん ：08/01/02 09:19 ID:dSlhvypO0: >一般的なセキュリティ対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。
前から思ってたが「総合対策スレ」なのに
なんで対策まで隔離されるという変な事態になってるんだろ？

>※ ネタや程度を超えた雑談・脱線はご遠慮ください
あと、即誘導コピペを貼る潔癖症の人は
度が過ぎなければテンプレ許容範囲だということも覚えておこうね。
236 ：(^ー^*)ノ～さん ：08/01/02 12:24 ID:gu+DHFAB0: いろんな角度から対策を検討するスレであって、対策方法を聞きにくるスレではない。
というのが私の認識だけど、あってる？

>>236
>>1
237 ：(^ー^*)ノ～さん ：08/01/02 16:27 ID:GyDjOENv0: www■soracger■com/blog/
→ www■caremoon■net/blog/send■exe f2■exe reak■exe
順にリネージュ、FFXI、SecondLifeのトロイ。
238 ：(^ー^*)ノ～さん ：08/01/02 18:09 ID:cmQr9yfO0: すみません、どなたかご教授ください

www■noely■blog88■fc2■com/blog-entry-249■html

上記のサイトを踏んだら変なエフェクトと英文字が出てきて消えたのですが、
ハック等の恐れはありますでしょうか？
239 ：(^ー^*)ノ～さん ：08/01/02 18:13 ID:3SEXPv/J0: >>238
>>229
240 ：(^ー^*)ノ～さん ：08/01/03 23:53 ID:5Mklm+HW0: ・罠blog
　http://yamunya■blog98■fc2■com/
　→http://www■teamerblog■com/blog/
　　→http://www■teamerblog■com/blog/index1■htm
241 ：(^ー^*)ノ～さん ：08/01/04 12:33 ID:2LKpNCTV0: >>237
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。
242 ：(^ー^*)ノ～さん ：08/01/04 12:37 ID:C3QpgIGN0: 237はいいだろ
243 ：(^ー^*)ノ～さん ：08/01/04 13:15 ID:OFkCZmxY0: もうこのスレも、従前の役目は終えたな。
危険アドレス、それも勘違いが許されない、確実な危険性を持つ物以外の投稿は排除され、スレの方針を話し合う事すら排除対象。
それなら、リネージュ資料室の様に、外部に投稿可能な観測所を設けて、後は全てセキュスレで扱った方が良い気がしてきた。
ログが残るのが利点という話もあるが、再利用性等の点から、結局は再加工して外部で使う形である以上、二度手間。
244 ：(^ー^*)ノ～さん ：08/01/04 14:46 ID:UfDvY1cY0: お前様が終えたと思ったら使うのを止めればいい
まだ役割が残ってると思った人が使いつづけていく
そういった人が一人もいなくなったら次スレが立たずに終わる。ただそれだけだ
245 ：(^ー^*)ノ～さん ：08/01/06 13:07 ID:Pq7dsBfk0: いつもの罠ブログ
hcavaliere■blog4■fc2■com
目新しいのはiframeでtinyurl(短縮URL)を経由する点。
飛び先は既知のcaremoon(以下略)。
246 ：(^ー^*)ノ～さん ：08/01/08 16:35 ID:xOaEUhHG0: LiveROのパッチ変更点スレ120に張られたアカハックらしきアドレス

チェックしてくれた方によりますと、
＞jibaj■blog4■fc2.com
＞->www■rakurten■com/blog
＞-->www■wacacop■net/wiki/index1.htm (VBScriptによる罠ページ)

RMT関連の怪しい文とともに張られるので怪しさですぐ判ると思いますが、
そこら中に張られる可能性や誤クリックの危険性はありますので、お気をつけ下さい。
247 ：(^ー^*)ノ～さん ：08/01/09 07:54 ID:6dvgf49J0: livedoorbloog■com
既出の exbloog■com と同一ホスト。
248 ：(^ー^*)ノ～さん ：08/01/09 12:31 ID:6dvgf49J0: ROと名のつく物がごっそり更新されているのはなぜだろう。
RO2ではないと思うんだが…。

バイナリは一部異なります(同一のもある)。
www■gtvxi■com/naizi/ro■exe
www■k5dionne■com/ousele/sanro■exe
www■twsunkom■com/3ro■exe
www■jbbslivedoor■com/ro■exe
249 ：(^ー^*)ノ～さん ：08/01/09 13:07 ID:6dvgf49J0: www■bbtv-chat■com/cuvt66895/
(略)
www■bbtv-chat■com/cuvt66895/guan■exe

ちょっと古めのリネージュトロイ。
250 ：(^ー^*)ノ～さん ：08/01/09 17:42 ID:sw7311rd0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/
251 ：(^ー^*)ノ～さん ：08/01/09 18:35 ID:zuh6wqye0: >>250
自治厨（笑）乙であります＾＾＾
252 ：(^ー^*)ノ～さん ：08/01/09 18:53 ID:IArTNO8t0: ちょっとだけ失礼。その流れは雑談じゃない。
URL貼り付け以外何でも誘導するとかと勘違いしないように。
253 ：(^ー^*)ノ～さん ：08/01/09 18:57 ID:IArTNO8t0: そうだ、これもついでに。

ウィンドウズアップデート日age
緊急(1) 重要(1)
254 ：(^ー^*)ノ～さん ：08/01/10 11:37 ID:uhIeHlm60: アコプリスレ362にハクアドレス貼り付けられてたので報告

infosueek■com/rosolo/index-php/
--->www■twsunkom■com/jplink/Ms06014.htm
255 ：(^ー^*)ノ～さん ：08/01/10 22:43 ID:uJcnu+OU0: 新ドメイン
rustotal■com
famitsa■com
gamehanbook■com
gamemmobbs■com
dimorphothec■com
gorsara■com
256 ：(^ー^*)ノ～さん ：08/01/11 15:36 ID:wpwdBr0V0: >>255
gamemmobbs■com
どう見てもここがターゲットです　ありがとうございました
257 ：(^ー^*)ノ～さん ：08/01/11 17:19 ID:rnAUeHDE0: >>256
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。
258 ：(^ー^*)ノ～さん ：08/01/11 20:09 ID:IlfP3GST0: >>257
>>251
259 ：(^ー^*)ノ～さん ：08/01/11 20:10 ID:T8yOYrxX0: (意訳)
他の突っ込み用スレが分離しているスレ同様、ここへの投稿への突っ込みは、セキュスレにお願いします。
260 ：(^ー^*)ノ～さん ：08/01/11 20:45 ID:n6f3oADj0: >>257

>>251
>>1
被害や攻撃等のアカウントハックの　具　体　的　事　例　に関して扱います。
>>256
261 ：(^ー^*)ノ～さん ：08/01/11 21:49 ID:nlZLDXRR0: 仮に256がスレチだとしてもそれが続くようなら誘導すればいいと思うけど
1レスごとに257みたいな誘導は不要だろ
自治厨キモス
262 ：(^ー^*)ノ～さん ：08/01/12 05:48 ID:EVPKu5Kb0: 誘導してる奴らを自治厨呼ばわりしてまで
ここで雑談しようとする奴らの方が
よっぽどウザイんだがな。

さて、俺も含めてみんなでLiveROに帰ろうか。

ここから先は何事もなかったかのように
アカウントハックに関する総合対策スレをご活用下さい。
263 ：(^ー^*)ノ～さん ：08/01/12 08:02 ID:hfGW/uAj0: 自治厨乙。

>※ ネタや程度を超えた雑談・脱線はご遠慮ください
雑談が完全に禁止されてるわけではないと以前も突っ込まれてたよな。
一々誘導コピペ貼ってる馬鹿も俺みたいなのと同様に無駄にスレを消費してることを知れ。
264 ：(^ー^*)ノ～さん ：08/01/12 08:12 ID:t7ZYp9kp0: ミイラ取りがミイラ~じゃないけど
自治しようとしてる奴がテンプレに反して無駄にスレを荒らしてる

匿名掲示板で他人の書き込みまで抑制出来るわけないんだから
気に食わないんなら自分でまとめサイトでも作ったらどうかね？
265 ：(^ー^*)ノ～さん ：08/01/12 09:47 ID:Yk3YgniV0: 意見はこちらでお願いします。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/
266 ：(^ー^*)ノ～さん ：08/01/12 13:19 ID:YcwEEI8X0: 鯖板より罠ブログ
ttp://itsuki01azn■blog18■fc2■com/
267 ：(^ー^*)ノ～さん ：08/01/12 17:26 ID:pW0I0jhR0: ttp://monk.s221.xrea.com/index.php?cmd=read&page=%B9%CD%BB%A1%2F%A5%BF%A5%A4%A5%D7%CA%CC%2F%C8%AF%D2%A6%B7%BF&word=%C8%AF%D2%A6
ここにはっつけてあるURLって明らかに怪しいんだが垢ハックの類だろうか
※リンク先自体はモンクテンプレに飛びます
268 ：(^ー^*)ノ～さん ：08/01/12 18:03 ID:MSy7tGEa0: 特典アイテムスレ983に貼られていたもの。
スレが埋まってるから警告が出せなかったけど、大丈夫かな……
管理板には削除依頼は出しておいた。

darkblueskp■blog34■fc2■com
--->www■gorsara■com/batteROyale
----->www■gamemmobbs■com/batteROyale/Ms06014■htm

>255の新ドメインが早速使われてる。
269 ：(^ー^*)ノ～さん ：08/01/12 18:47 ID:j0MDNKKS0: >>267
>※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません
一応、危険性は薄いが、精神的に有害かも知れない。やっている事もspamだし。

それと、各職Wikiの運営で尽力していた羊ケミ氏が、事実上一線を退く表明を出している。
アルケミWikiはSageWiki管理人Makichan氏が、共通データテンプレは貧スレWikiのRAGwalker氏が引き継ぎで落ち着いた模様だけど、
モンク・忍者・ガンスリの各職Wikiは現状でまだ確定していない。
この辺り、悪意ある人物が承継に名乗りを挙げるような事態にならなければ良いのだが。

#一応、テンプレサイト運営側のアカハック対策に関るので、こっちに書いてみる。
270 ：(^ー^*)ノ～さん ：08/01/12 19:52 ID:p4X9k0CW0: >>267
当該ページの最終更新時間を見れば気づくと思うけど、基本的に無関係。
Last-modified: 2006-07-05 Wed 22:42:07 JST。一昨年。

実はこの頃、そのページに記載されているような文で各Wiki/bbsを荒らしまわった
者が居るという昔話があり、そのページはそれの名残で今に至るまで削除され
なかったものと思われる。
271 ：(^ー^*)ノ～さん ：08/01/12 23:32 ID:BhcQDT9Y0: wiki観ようとしたら踏んでしまった・・・
踏んで直ぐにカスペルが検地したから削除した

踏んだ時、踏んだ後もROは起動してない
今は完全スキャンしてるけど、HDDフォーマットとOS再インスト
別PCでパス等の変更で良いのかな？
272 ：(^ー^*)ノ～さん ：08/01/12 23:52 ID:i5TA/NOH0: カスペが阻止したならまず大丈夫だと思うよ。
もちろん保障はできんが。
273 ：(^ー^*)ノ～さん ：08/01/13 00:10 ID:S3lkVZJc0: >>271
おｋ。但し、相談はテンプレを利用しよう。

パス等の変更は、踏んだのが明らかな時以降パスワードを送信する行為を一切していなければ不要。
パスを変更する場合は、そのＰＣが安全な環境であるかどうかの確認もお忘れなく。
274 ：まとめ臨時 ◆kJfhJwdLoM ：08/01/13 07:02 ID:AATKg2Qs0: ttp://sportsnavi1■blog18■fc2■com
├ttp://www■ragnwiki■com/FFXI/
　├ttp://www■ragnwiki■com/read/red■exe
　├ttp://www■ragnwiki■com/read/fen■exe

罠のragnwiki■comはリネージュ資料室さんで確認されていて、
現時点のまとめ臨時分にも加えてあります。

ブログ部分はスポーツナビのパクリなのかも？
ソースチェッカーで自分が確認できたのはここまでです。
検体は確保していません。
他にも何か在るかもしれませんがよろしくお願いします。
275 ：(^ー^*)ノ～さん ：08/01/13 13:33 ID:JXx0tzt30: 自分が管理しているRO関連サイトの掲示板に、私の名前を使い、私の過去の記事をコピペしての
罠サイト（かどうかは過去ログにて確認しました）投稿がありました。
手口の一例として報告します。

スレチでしたらすみません。
276 ：(^ー^*)ノ～さん ：08/01/13 17:25 ID:MaoQkgWY0: ライブドアブログ
記事にiframe仕込むのは面倒だと思うんだが…。
blog■livedoor■jp/ahirun1/
→www■ranninp■com/001358/
→www■anoelnet■org/FFXI/

www■ranninp■com/001358/
→www■ranninp■com/001358/t1■exe Trojan-PSW.Win32.Delf.ads, Trojan.PWS.Lineage.3678

www■anoelnet■org/FFXI/
→www■miarakure■com/wiki/lin■exe Trojan-PSW.Win32.Magania.bre, Trojan.PWS.Reggin
→www■miarakure■com/wiki/rse■exe Trojan-PSW.Win32.Delf.aih, Win32.HLLP.Lac
→www■miarakure■com/wiki/ff■exe Trojan-PSW.Win32.OnLineGames.lyx, Trojan.PWS.Gamania.6556
277 ：(^ー^*)ノ～さん ：08/01/13 18:03 ID:0AaLFqiH0: 今、アルケミwiki見てたらウイルスに進入されてしまった・・・
ro繋いだまま検出してるんだけど大丈夫かな？
278 ：ま ◆sp4Sh9QXGI ：08/01/13 18:04 ID:sM+GgGZD0: お久しぶりです。
未だ求職中でピンチのまとめの人です。
時間がとれたのでサイトを更新しました。
…が、大したことはしておりません。
作業を全てリネージュ資料室の中の人に丸投げするという
無責任な管理人でまことに申し訳ございませんorz
279 ：(^ー^*)ノ～さん ：08/01/13 18:14 ID:m6fEI+5k0: >>277
侵入された時点で大丈夫とは言えなくなっている。
ログアウトして、そのPC以外からパスワードを変更した方がよい。
で、件のPCはクリーンインスト。
280 ：まとめ臨時 ◆kJfhJwdLoM ：08/01/13 18:34 ID:VUulR0ql0: >>278
なんだか大変そうで本当におつかれさまです。

ログはこちらに。htmに変更していただければ
ttp://sky.geocities.jp/ro_hp_add/SSZ3.txt
確保しだい削除します。
281 ：まとめ臨時 ◆kJfhJwdLoM ：08/01/13 18:47 ID:VUulR0ql0: 不定期報告です。サイトのほうで定期的になんとか更新しております。
http://sky.geocities.jp/ro_hp_add/

基本的に各サイトを回られてhostsファイルを手動で編集するのがよいと思うのですが
非推奨ながら熟練者向け？に裏でUPしていたリスト
(主要サイト様方のリストをまとめすぎたリスト)を試験的にリンクしてみました。
282 ： ◆sp4Sh9QXGI ：08/01/13 19:07 ID:sM+GgGZD0: >>280さま
臨時の管理も含め、お疲れ様です。
セキュスレのログ、ありがたくいただきました。
283 ：(^ー^*)ノ～さん ：08/01/13 20:09 ID:r0mnrqKd0: ぢつはアカウントハックスレ関連はBSWikiさん関連の場所でも保管されてたり。
http://smith.z49.org/kako/namazu.cgi

>>274
一応それだけで良い筈。

>>276
良くある対策システムはドメイン単位で可否を判定する物が多いから
各アカウントにディレクトリを掘るlivedoorとかyahooはあんまり嬉しくない物ですな。

>>277
アルケミテンプレは管理移行により流動的な部分はあると思うけど、
新管理人さんもSageテンプレでやってた人だから、書き込みうける可能性は
低そうな気がするんだけどな。
だからこそ、テンパっている時で悪いけど、有意な情報の為に報告テンプレを
使って欲しいな。
284 ：(^ー^*)ノ～さん ：08/01/13 21:06 ID:S3lkVZJc0: >>268
一応、追記。

｜darkblueskp■blog34■fc2■com
｜--->www■gorsara■com/batteROyale
｜----->www■gamemmobbs■com/batteROyale/Ms06014■htm
　----->www■gamemmobbs■com/batteROyale/ani■c
　----->www■gamemmobbs■com/batteROyale/ro1■exe

ro1■exe : Trojan.Win32.Inject.qt

ro1■exeは1/12時点のVirusTotalでは下記の結果。
AntiVir○、Avast×、AVG○、カスペ○、マカフィー×、NOD32×、ノートン×
285 ：(^ー^*)ノ～さん ：08/01/14 11:30 ID:OOkSgmu80: gamemmobbsには
www■gamemmobbs■com/pcent/ro3■exe
もあるのでro2もどこかにあると思う。
286 ：(^ー^*)ノ～さん ：08/01/14 13:44 ID:SGdWojd60: 少々スレの趣旨とは異なる可能性があるけど、注意して欲しい事

ここ最近ですが、exblogを使っている人のところを中心に
コメントに垢ハック系のURLが書き込まれているところが多いです
exblog利用者が知り合いに居た場合は、コメントのURLに注意してください
287 ：(^ー^*)ノ～さん ：08/01/14 14:25 ID:Vkjgo14v0: >>285
Trojan.Win32.Inject.qt
288 ：(^ー^*)ノ～さん ：08/01/15 19:50 ID:6j09wG6M0: すまない、垢ハックを踏んでしまったようなんだ。
友人のブログにあるコメントで、ｺﾒﾝﾄから垢ハックと判断してURL検索→まとめサイトに載ってるか探そうとして結果開いたらそのサイトだったｏｒｚ
普通のサイトで一瞬で閉じたんだがこれはどうなんだろうか。rundll132.exeもrodll.dllも発見できず、いつもなら怪しいURL踏んだら反応するAVGも反応なし。
大丈夫そうではあるんだがどうにも不安でｏｒｚ

ついていたｺﾒﾝﾄ
－－－－－－－－－－－－－－－－
■とりあえず速報

本日のＧＶを最後に　妖精輪舞-久遠の絆-　が同盟からはずれました。
ぼて創立から同盟を組んでいたので寂しいですが、同盟という形がなくなった

だけなので、
妖精の皆様、これからもどうぞ宜しくお願いしますね！

rara_gm (←ここにHPのURL)
－－－－－－－－－－－－－－－－
コメントの内容は友人のブログともリンク先ｻｲﾄとまったく関係無し。
289 ：288 ：08/01/15 20:12 ID:6j09wG6M0: か、かきこめねぇ・・・
290 ：(^ー^*)ノ～さん ：08/01/15 20:21 ID:cWn7kEJD0: まずテンプレ読め。
291 ：(^ー^*)ノ～さん ：08/01/15 20:31 ID:+mDWp82h0: >>rundll132.exeもrodll.dllも発見できず
いやいや、情報古すぎるから
とりあえずテンプレ読んで勉強してきてください
292 ：288 ：08/01/15 20:36 ID:6j09wG6M0: ま、まぁ落ち着いてくれ。
一番落ち着くべきは俺なんだが、何故か書き込みにエラーがでて書き込めないんだ。

【　　アドレス　】ttp://gtvxi■com/uplink1028/9974link/■com/uplink1028/9974link/
【気付いた日時】2008/01/15 19:30
【　　　 OS　　】 WinXPSP2
【使用ブラウザ】 Luna4
【WindowsUpdateの有無】有　自動更新(ちょっと日時がわからないですｏｒｚ)
【　アンチウイルスソフト】 AVGFLEE（最終更新2008/01/12)
【その他のSecurty対策】常時機動はしていません。
【ウイルススキャン結果】 McAfeeオンラインスキャンで未発見
【スレログやテンプレを読んだか】今読みましたｏｒｚ
【hosts変更】無
【PeerGuardian2導入】無
【説明】
SourceCheckerOn-lineで調べたらインラインフレームで
ttp://www■mbspro6uic■com/indexm■htm　検出、さらにその先に
ttp://www■mbspro6uic■com/naizi/nait■htm　があって、
－－－－－－－－－－－－－－－
注意！ループタグを発見！ (1)
※ windowオープンを発見しました。
\x47\x45\x54
－－－－－－－－－－－－－－－
ただのブラクラなのかなと行き着いたんだですがどうなのでしょう？
293 ：(^ー^*)ノ～さん ：08/01/15 20:38 ID:+mDWp82h0: >>292
セキュスレの方見てもらえばわかるけど垢ハクURLです
カスペオンラインスキャンでもしつつテンプレ熟読してくださいな
294 ：(^ー^*)ノ～さん ：08/01/16 15:44 ID:RjX5R+HV0: ちょっと質問です。
自分のブログの記事に書き込みがあって、内容がその記事にやや関係ある
文章＋　～～の絵です。http～～.zip
という内容でした。垢ハックの恐れがあるものの、もし普通のものであれば
消すのは申し訳ないので今はそのままにしてあるのですが、その内容を安全に
確かめる方法は無いでしょうか？
295 ：(^ー^*)ノ～さん ：08/01/16 15:48 ID:CCqaI9b20: zipなんだからDLしてウィルスチェックして確かめればいいじゃん。
296 ：(^ー^*)ノ～さん ：08/01/16 16:06 ID:bFnHZyZu0: >>294
そういう相談はセキュスレへどうぞ。

検体確保になるので、ピリオドを■に置き換えて、そのもののアドレスを書いてくれるとありがたい。
セキュスレを「zip」で検索書けると、同じ物が出てくるかもしれないよ。

いきなりファイルのアドレスを、見知らぬ人が書いてくる時点で危ないものだと思った方がいいよ。
297 ：(^ー^*)ノ～さん ：08/01/16 17:41 ID:RjX5R+HV0: ttp://www■lineagecojp■com/movie/mov0028■zip
でした。

>>296
セキュリティスレ覗いたらよく似たものがあったので垢ハクのようです。
ありがとうございましたー
298 ：(^ー^*)ノ～さん ：08/01/16 19:55 ID:W6FVrO2I0: 先日垢ハクされ、装備が全部なくなってしまいました
メインPCはフォーマットをし
パスワードは数ヶ月使っていなかったPCから変更しました

ここで質問なのですが
やっぱり、垢ハクされた垢はもう使わないほうが良いのでしょうか？
装備はなくてもどうにかなりますが
愛着のあるキャラクターたちが心残でなかなか踏ん切りがつけられません
299 ：(^ー^*)ノ～さん ：08/01/16 20:43 ID:qWiZB8Ns0: >メインPCはフォーマットをし
>パスワードは数ヶ月使っていなかったPCから変更しました

逆に、使わないほうが良いのでしょうか？と考える理由は何？
300 ：(^ー^*)ノ～さん ：08/01/16 21:04 ID:bFnHZyZu0: >>298
パスワードを変更した数ヶ月使っていなかったPCとやらが「安全な環境」だったのであれば、
次にパスワードを盗まれるまでは安全であると考えて良いでしょう。保証はできませんが。
301 ：298 ：08/01/16 21:22 ID:W6FVrO2I0: >>299
もし万が一、垢ハクしてきた側の手元にIDが残っていた場合
ツール等でしらみつぶしにパスを抜かれちゃうのでは・・・と考えました

>>300
なるほど、ありがとうございます
参考にさせていただきますね
302 ：(^ー^*)ノ～さん ：08/01/16 21:22 ID:GGsg2d/00: ハックされた事実に気がつくまでの時間、及び、パスワード変更までの猶予時間が短ければ、比較的に他のトラブルは
少ないとみて良いでしょう。
但し、他のゲームでも話に出てくる事がありますが、業者が稼ぎ用に投入していたり、ロンダリング目的で中継に使っていた場合、
一切トラブルに巻き込まれていない場合と比較してリスクは高いかもしれません。
303 ：(^ー^*)ノ～さん ：08/01/16 21:55 ID:bFnHZyZu0: >>297
報告ありがとうございます。セキュスレの方に同じアドレスの投稿ありましたね。

カスペ検出名：Trojan.Win32.Inject.qt
304 ：(^ー^*)ノ～さん ：08/01/18 19:37 ID:CJDmofmy0: うちのWebサイトの拍手にハクアド来ました。
Web拍手の報告ってこのスレじゃ初めてじゃないかな。

www■gamehanbook■com/esports
アドレス自体は既出
305 ：(^ー^*)ノ～さん ：08/01/19 07:13 ID:COPwHW0a0: >>304
www■gamemmobbs■com/esports/ro2■exe
>>284-285 で予見されていたro2■exeだｗ
306 ：(^ー^*)ノ～さん ：08/01/19 09:52 ID:lnAEscEQ0: >>304-305
ttp://www■gamehanbook■com/esports/
ttp://www■gamemmobbs■com/esports/Ms06014■htm
ttp://www■gamemmobbs■com/esports/ani■c
ttp://www■gamemmobbs■com/esports/ro2■exe

index■htm : JS/Agent.CG
Ms06014■htm : Trojan-Downloader.JS.Psyme.kf
ani■c : Exploit.Win32.IMG-ANI.ac
ro2■exe : Trojan.Win32.Inject.qt
307 ：(^ー^*)ノ～さん ：08/01/19 14:53 ID:Pz0dBvk00: >>304
遂にweb拍手も標的にされ始めたか。
設置のお手軽さ故に、spamに狙われると被害拡大の規模が恐ろしい事になりそうだ。

とりあえず、メッセージのフィルターが可能な支援cgiが存在するので、導入を検討してみると良いかもしれない。
ttp://www.kototone.jp/com/webclap29.html

心配であれば、「web拍手支援cgi」で検索可能。
単純一致による投稿拒否、リモートホストによる拒否など、一通りの設定が出来る模様。
webclapからのレンタル版を使用している場合は、この機会にcgi版に置き換えるのも手。

後は、公式BBSでの注意喚起も、並行して行った方が良いのかもしれない。
> web拍手の荒らしについて・６
ttp://www.webclap.com/bbs2/index.html?mode=view&thread=107
308 ：(^ー^*)ノ～さん ：08/01/20 12:40 ID:+YeV8WYx0: 最近自分のブログとwiki(livedoor)に相次いで妙なアドレスが張られていたので
このスレで確認してみようと思ったら一個近いのがあったので垢ハクと判断。

ttp://www■caremoon■net/wiki/
ttp://blog186■blog34■fc2■com/
改ざんされてたのに一月近く気付かなかった代物。

ttp://gtvxi■com/uplink1028/9974link/
ttp://imbbs2t4u■com/up743205/jbbs578601/
下のはwikiとブログの両方に張られていた物。

とりあえずwikiの方は書き込み制限するようにしました。
ブログコメントに関しては常に注意呼び掛けるようにします。
309 ：(^ー^*)ノ～さん ：08/01/22 01:54 ID:iL/ESuri0: 【　　　気付いた日時　　　　　】 2008.1.15　18:33
【不審なアドレスのクリックの有無　】ブログにコメントがあり、踏みました
ttp://infosueek■com/cooking
【他人にID/Passを教えた事の有無】 (Yes)
【他人が貴方のPCを使う可能性の有無】 (No)
【　　ツールの使用の有無　　　】 (No)
【　ネットカフェの利用の有無　　　】 (Yes)
【　　　 OS　　】ＷＩＮ　ＸＰ（詳しくわかりません）
【WindowsUpdateの有無】自動更新
【　アンチウイルスソフト】かかるまでウイルスセキュリティ対策　というソフトを使ってました。自動更新なので最新です
【その他のSecurty対策】上記のアドレスを踏んでからアドアウェイで検索し、カスペルスキー体験版を入れて検索もしました。
【スレログやテンプレを読んだか】部分的に読みました。
【hosts変更】(有/無　[有りの場合は最終更新は何時ごろか])
【PeerGuardian2導入】(無 )
【Webヘルプデスクへの報告】（無)
【説明】上記のＵＲＬに飛んだら真っ白な画面が出ました。
知り合いのハック系に少し詳しい人にこのＵＲＬ先のソースをを見てもらうと
ホスト元は中国で隠しスクプリトだらけということで断定は出来ないけど、高確率で垢ハックだろうと言われました。
アドアウェアというスパイウエア駆除ツールを勧められ、検索しました。

けど早とちりして「今作動しているプログラムだけの検索」の方で検索してしまっていて、途中でそれに気づき中断しました。
その１分たらずの検索で出てきたのが危険度８のスパイウエアでした。（ＭＡＸ１０）

それを駆除し、「ドライブすべてを検索」の方で検索すると今度は１つもスパイウェアが出てきませんでした。
教えてくれた方にそれはおかしいと言われたのですけど、このソフトで出なければ大丈夫。と言われこの話は終わってしまいました。

駆除されると思って形を変えてどこかにスパイウェアが隠れてるんじゃないかと不安で別の人に相談すると「カスペルスキーがいいよ」と言われ、それでも検索しても何１つ出てきませんでした。
この２つで検索して何も出てこないと言う事はもう大丈夫と思っていいのでしょうか？
310 ：(^ー^*)ノ～さん ：08/01/22 01:57 ID:W8f/iqem0: ・アンチウイルスソフトでウイルスが見つからないのでもう大丈夫だよね？
　　100％の保証は出来ません。ウィルスが見つからなかった場合、チェックに使った
　　アンチウィルスソフトでは発見出来なかっただけです。本当にウィルスが居ないのか、
　　それとも検知を免れているだけなのかは判りません。
　　自信が無い場合はHDDをフォーマットの上、PCの再セットアップを考えるべきです
311 ：(^ー^*)ノ～さん ：08/01/22 14:42 ID:qgsl0Cs00: >>307
結構前から、web拍手に投下してる奴はいる
比較的マイナーなサイトでも話題に上がってた
312 ：(^ー^*)ノ～さん ：08/01/22 22:23 ID:3SvlaUNrO: そもそも他人にID教えたことあるとか
垢共有乙じゃね？
引退オススメ
313 ：(^ー^*)ノ～さん ：08/01/23 01:00 ID:tPy+8DyL0: 【　　アドレス　】http://spesmist■blog28.fc2.com/
【気付いた日時】ついさっき。ROとは関係ないWikiを見た時。
【　　　 OS　　】WindowsXP　HomeSP2
【使用ブラウザ】IEです
【WindowsUpdateの有無】アップデートは入ったら入れてます
【　アンチウイルスソフト】WindowsLiveOnecare
【その他のSecurty対策】ルーター
【ウイルススキャン結果】踏んだ時に対策ソフトが警告を出してくれてその時削除しました。その後カスペルスキーでスキャンして見ましたが何も出ていません。
【スレログやテンプレを読んだか】テンプレは一応読みました
【hosts変更】無し
【PeerGuardian2導入】無し
【説明】ウイルス対策ソフトが反応したため。ROにログインしている状況でWikiを見て感染したのですが、すぐ削除した場合どうなるのでしょうか。
314 ：(^ー^*)ノ～さん ：08/01/23 01:03 ID:tPy+8DyL0: 313ですが。
カスペルスキーで再度検索したところ感染がありました。
315 ：(^ー^*)ノ～さん ：08/01/23 01:11 ID:Ie4DqmKL0: ならログアウトしたら再度ログインは控えるように
316 ：313 ：08/01/23 01:27 ID:tPy+8DyL0: カスペルスキーのスキャンで出てきた名称は"Trojan-Downloader.VBS.Agent.hi"
と"Trojan-Clicker.HTML.IFrame.il"らしいです。
全然わからないです('A')
317 ：(^ー^*)ノ～さん ：08/01/23 02:14 ID:kzeAXSyr0: >>316
分からなかったら調べる (｀・ω・´)

Trojan-Downloader.VBS.Agent.hp(hiはなかったのでこれかな)
ttp://www.viruslistjp.com/viruses/encyclopedia/?virusid=247763
Trojan-Clicker.HTML.IFrame.g(同じくilなし)
http://www.viruslistjp.com/viruses/encyclopedia/?virusid=125408

というか、Onecareで対応した方がいいのかもね
カスペのオンラインスキャンで駆除できるわけではないし
Onecareでは何という名前で出ていたのか分からないから検索が出来なかった (´・ω・｀)
318 ：(^ー^*)ノ～さん ：08/01/23 04:52 ID:RVYxqRSF0: >>316
それは両方とも、ダウンローダ（IEのキャッシュかな)。

なんたらIframeは、縦か横のサイズを0にしたIframe呼び出しで別サイトのhtmlを閲覧者に隠して読み込ませるもの。
VBSってのは、アカハック本体を読み込ませるものだが、VBで本体の名前が難読化されているもの。

この段階でブロックできているなら、水際阻止ということだが、今回は「事後に確認」しているので
本体を入手してしまっている可能性がある。VBSの奴は、２～３種類落としてくるものが一般的で
LiveOneCareが本体をブロックしていても「ブロックできていない本体がいる可能性が高い」。
（あとでチェックしたカスペをすり抜けるものが含まれていたなら、発動させていると思った方がいい）

「説明」を読む限りは、接続中ではあったが「ログイン作業は行なっていない」ということのようなので、
現時点では盗まれていない筈。だけど、上に書いたようにすり抜けている可能性が十分にあるので
「あなたが踏んだ時から、ファイルの変更がなく」「カスペオンラインスキャン時のパターンで検知可能な
ものしか置かれていなかった」という２つの前提条件をクリアできない限りは、OSの入れなおししかない。

■踏んでからログインなどを一切していない場合
・早急なOSの再インストールを推奨

■一度でもログイン等してしまった場合
・安全な環境（詳細はテンプレ参照）から、パスワードの変更を行なう
・その後で、OSの再インストールをゆっくりとどうぞ。
319 ：(^ー^*)ノ～さん ：08/01/23 05:11 ID:RVYxqRSF0: >>313
ttp://spesmist■blog28■fc2■com/
ttp://www■teamerblog■com/blog/
ttp://www■panslog■net/wiki/index1■htm

ttp://www■panslog■net/wiki/send■exe
ttp://www■panslog■net/fc2/cery■exe
ttp://www■panslog■net/wiki/reco■exe

カスペ検出名
->fc2のindex■htm（カスペすり抜け）
-->アカハックサイトのindex■htm－－－Trojan-Clicker.HTML.IFrame.il
--->VBSで本体をダウンロードするindex1■htm－－－Trojan-Downloader.VBS.Agent.hi
---->send■exe（本体１）－－－Trojan-PSW.Win32.Delf.aih
---->cery■exe（本体２）－－－Trojan-PSW.Win32.OnLineGames.lyx
---->reco■exe（本体３）－－－Trojan.Win32.Inject.ms

send■exe（PWS:Win32/Lmir.BMT）
ttp://www.virustotal.com/analisis/d74b020f6bb8c953b4aa632429764ec3
cery■exe（Microsoftすり抜け）
ttp://www.virustotal.com/analisis/9b0cf477874077a5974b7689b0ff6640
reco■exe（Microsoftすり抜け）
ttp://www.virustotal.com/analisis/98ce162e72789db5705dad5827fd2f31

多分、WindowsLiveOnecare が反応し、ブロックできたのは「send■exe」のみ。
他の２つは、切断前にダウンロードしていた可能性があるし、send■exeをブロックする
段階までいったとなると、それを読み込ませようとするレジストリへの変更などが
index1■htmのVBScript実行時点で行われてしまっている。

やはり、早急なOS入れなおしが必要と思われる。もちろん、カスペオンラインスキャンで
「Trojan-PSW.Win32.OnLineGames.lyx」と「Trojan.Win32.Inject.ms」が出てこないので
１つめを入手しようとした時点で切断しており、残りを入手していないと信じて、自己責任で
使い続ける方法もあるが、お勧めはできない。
320 ：(^ー^*)ノ～さん ：08/01/23 05:45 ID:0Ng+OrFr0: すみません、便乗で相談させてください。
>>313さんとほぼ同じ時間で同じ罠ブログを踏んでしまいました。
（ちなみに、ROとは無関係な動画製作関連wikiのメニューを書き換えたもので、現在は修正されているようです）
状況は次の通りです。

【　　アドレス　】http://spesmist■blog28■fc2■com/
【気付いた日時】08/01/23　01時過ぎころ
【　　　 OS　　】WindowsXP Home SP2
【使用ブラウザ】Firefox2.0.0.11
【WindowsUpdateの有無】自動更新/最新の状態です
【　アンチウイルスソフト】Norton internet security 2008
【その他のSecurty対策】ルータ
【ウイルススキャン結果】最新定義状態のノートンで検出なし、カスペオンラインで検出なし
【スレログやテンプレを読んだか】読みました
【hosts変更】無
【PeerGuardian2導入】無
【説明】踏んだ時にノートンの反応はありませんでしたが、wiki内ページのはずが外部ブログ、
それもROプレーヤーの日記を装っていたためアカウントハック目的の偽装書き換えだと思い、
こちらのスレッドを拝見したところ>>313さんの書き込みを見つけました。

すぐに感染の恐れのないPCで各種パスを変更し、キャラクターをログイン状態にしています。
踏んでしまったPCでは
・Firefoxのキャッシュとクッキーをクリア
・Temporary Internet FilesフォルダとIEのクッキーをクリアし、
・\Temp\top.exe
・\windows\system32\exploreref.exe
・\windows\system32\systemlf.dll
がHDD内に存在しないことは確認しています。

念のためOSの入れ直しを考えていますが、検索しても把握できなかったので次の2点について教えていただければ幸いです。
上記の状況では、閲覧はしたが一応食い止めたという可能性が高いと考えられてよいでしょうか。
また、上記レスで指摘されているダウンローダは、Firefoxで閲覧した場合にはどのように動作するのでしょうか。
（動作しない、IE同様に動作する等）どうぞよろしくお願いいたします。
321 ：(^ー^*)ノ～さん ：08/01/23 06:22 ID:RVYxqRSF0: >>320
・基本的に、FireFoxでもIEと同様に動作する。
・>>319のVirusTotalの結果を見てわかるように、本体自体はパターン更新していればノートンでもブロック可能。
・本体入手前（もしくはダウンロード完了前）に切断が間に合っている可能性はあるが保証できない。
　そのため、OSの入れなおしは推奨する。

>上記の状況では、閲覧はしたが一応食い止めたという可能性が高いと考えられてよいでしょうか。
・反応していないことをもって、食い止めたと判断はできない。
　（踏んだタイミングによってはファイルが差し替えられている可能性もある）
・>>319の調査時点と踏んだ時点でファイルが同じであると仮定した場合、同じ名称（ノートンの名称では
　かかれていないが）で、すべてブロック履歴があれば、ブロックできた可能性が高いと言えるが、
　「検知されなかった」場合は、可能性が複数考えられるので、「判断のしようがない」。
322 ：(^ー^*)ノ～さん ：08/01/23 08:34 ID:2T1RtJHM0: 自ブログのコメントより垢ハックと思われるアドレス。
blogrogame■blog18■fc2■com
エキサイトブログは今年に入ってからハクアド貼り付けが多くなってますね。
323 ：313 ：08/01/23 09:00 ID:fekc07+rO: おはようございます。
今は家から出てしまったので帰宅してからOSの入れ直ししようと思います。

後から出た物はOneCareでは検出できませんでした。
324 ：(^ー^*)ノ～さん ：08/01/23 12:33 ID:GRAYm8+l0: >>322
それ、インラインフレームでwww■symphones■comにアクセスさせ、
vbscriptで何かのコードを実行させようとしているな。hostsに追加だわ。
325 ：320 ：08/01/23 12:54 ID:0Ng+OrFr0: >>321さん

320です。わかりやすい解説ありがとうございました。
いくつか既出のことも質問してしまい申し訳ありませんでした。
仰る通り、「未検出」「無反応」ですと様々な状況が考えられますので、
重要なデータを退避させた上でOSの再インストールをすることにします。
今後はRO以外のサイトを見る時も十分注意するようにします。感謝です。
326 ：(^ー^*)ノ～さん ：08/01/23 15:47 ID:RfsBmJpz0: lokiwikiの同盟関係のとことか、クリックしたら画面真っ白になったんだけど
これは大丈夫なのかな・・・だれか調べられませんか？
327 ：(^ー^*)ノ～さん ：08/01/23 15:52 ID:4tXEoCCX0: 対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/351n
328 ：(^ー^*)ノ～さん ：08/01/23 15:56 ID:RfsBmJpz0: >>327
そっちに移動します、誘導ありがとう
329 ：(^ー^*)ノ～さん ：08/01/24 03:54 ID:LN8mY3z40: うっかりどころかﾎﾟﾁっと踏んでしまった･･･
【　　　気付いた日時　　　　　】踏んだ直後　カスペが即反応　トロイ
【不審なアドレスのクリックの有無　】 gtvxi■com/uplink1028/9974link/
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【　　ツールの使用の有無　　　】 No
【　ネットカフェの利用の有無　　　】 No
【　　　 OS　　】 XP professional SP2
【使用ブラウザ】 Sleipnir v2.6.1
【WindowsUpdateの有無】自動更新なので最新
【　アンチウイルスソフト】カスペルスキーインターネットセキュリティ7.0 定義データベース2008/1/23/23:23:59更新
【その他のSecurty対策】無し
【ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見等)
【スレログやテンプレを読んだか】今から読みます
【hosts変更】無し
【PeerGuardian2導入】無し
【Webヘルプデスクへの報告】無
【説明】
とりあえずｸﾘｯｸした瞬間トロイ検知とカスペが反応して即座に遮断しました。
その後、すぐにﾙｰﾀｰ有＆別回線のPCから癌ID、垢ID、ﾊﾟｽを全て変更しました。

やはり安全策はフォーマット＆OS再インストールでしょうか？
330 ：329 ：08/01/24 04:05 ID:LN8mY3z40: ちなみに先ほどCドライブをスキャンしたら脅威はないとのことでした。
ただ、イベントレポートに
2008/01/24 3:50:28 プロセス (PID 580) は次の行為を試みました。：(PID 2144)のプロセスがカスペルスキーインターネットセキュリティにアクセスしようとしています。セルフディフェンス機能が有効に働きこの行為を防御しました。処理は完了しているので何もする必要はありません

これが表示されました
本体DLしてしまった可能性が高いでしょうか？
331 ：(^ー^*)ノ～さん ：08/01/24 11:30 ID:TaWLDh+00: >>329
＞その後、すぐにﾙｰﾀｰ有＆別回線のPCから癌ID、垢ID、ﾊﾟｽを全て変更しました。
踏んだ後、ログインを１度も行なっていなければ盗まれる心配は無い。
アカハックの削除もしくは安全な環境の再構築だけでいい。

カスペがダウンローダの時点でブロックした「可能性」はある。
カスペのログから、何をブロックしたのか確認してみるといい。あとの判断は自己責任だ。
下記の情報で判断できないようなら、OSの再インストールをお勧めする。

ttp://gtvxi■com/uplink1028/9974link/
ttp://www■mbspro6uic■com/indexff■htm
ttp://www■mbspro6uic■com/naizi/nait■htm
ttp://www■mbspro6uic■com/naizi/tani■c
ttp://www■mbspro6uic■com/indexff■htm
ttp://www■mbspro6uic■com/naizi/nai■htm
ttp://www■mbspro6uic■com/naizi/ani■c
ttp://www■mbspro6uic■com/naizi/ff22■exe
ttp://www■mbspro6uic■com/naizi/rbt1■exe

カスペの検出名
->index■htm : サイズ0のiframe呼び出し（カスペスルー）
-->indexm■htm : Trojan-Downloader.HTML.IFrame.dv
--->nait■htm : Trojan-Downloader.JS.Psyme.kf
--->tani■c : Exploit.Win32.IMG-ANI.ac
---->rbt1■exe : Trojan-Downloader.Win32.Delf.dsz
-->indexff■htm : Trojan-Downloader.HTML.IFrame.dv
--->nai■htm : Trojan-Downloader.JS.Psyme.kf
--->ani■c : Exploit.Win32.IMG-ANI.ac
---->ff22■exe : Trojan-PSW.Win32.OnLineGames.fcj
332 ：329 ：08/01/24 12:37 ID:LN8mY3z40: >>331
-->indexm■htm : Trojan-Downloader.HTML.IFrame.dv

まさにこれですね･･･

とりあえずOS再インストールしてみます
333 ：329 ：08/01/24 15:03 ID:vtyRkbXn0: 結局ﾌｫｰﾏｯﾄ&OS再ｲﾝｽﾄｰﾙしました。
まだｸﾗｲｱﾝﾄのｲﾝｽﾄｰﾙはしていません。
ただ、329を書く前にIDﾊﾟｽなどを全て変更したあとで別回線&別PCからｹﾞｰﾑにINしてしまいました。

テンプレだと厳禁となっていますが、それは踏んだPCでのINが
危険という意味だと思ったので

踏んだPCはOS再ｲﾝｽﾄｰﾙしたあとで再びIDﾊﾟｽを全て変更しましたが
あとは運でしょうか･･･
334 ：(^ー^*)ノ～さん ：08/01/24 18:04 ID:+M+3knFF0: >>329
アカハックの手口というのは

１）URLを踏ませ、ウィルスをインストールさせる
２）ID/パスワードを盗む
３）盗んだものでログインしアイテムを盗む

という流れなわけですが、今現状確認されているウィルスの殆ど（全てとは言い切らない）が
ウィルス感染以前に入力・送信していたID/パスはウィルスにはわからないし盗めない。
２）を行うにあたって「誰かがウィルス感染PCよりID/パスワードを入力・送信する」という作業が必要。

なので、「感染PCからのログインは厳禁」となります。

このあたりの流れをきちんと自分の頭で整理してみて？
そうしたら>>333で言ってることが微妙にちんぷんかんぷんなことがわかると思う。

考えるのが嫌なら結論だけ言えば
・OSをクリーンインストールしたPCでパスを変更したならアカハックされることは99.9％ない。
（残りの0.1は現時点で確認されていないウィルスによる被害と思ってください）
335 ：(^ー^*)ノ～さん ：08/01/24 18:56 ID:gjCW1F740: RO2時限式のワームが本日発動パッチに入っていた模様
みじんこなので駆除が精一杯で内容不明

あとは偉い人に任せます
336 ：(^ー^*)ノ～さん ：08/01/24 18:59 ID:mTVATdqQ0: >335
日本語でおｋ
337 ：(^ー^*)ノ～さん ：08/01/24 19:00 ID:CfV06Ed70: いや、もう来なくて良いよ
338 ：(^ー^*)ノ～さん ：08/01/25 13:07 ID:xhv0ZMXM0: ＦＥＺもプレイしている人へ｡

ＦＥＺのＷｉｋｉがアカウントハックに書き換えられているらしい｡
未確認だがトップページからあやしいブログに飛ばされるそうだ｡
ＦＥＺ自体は装備がトレード不可だったりするわけで
アカウントハックのうまみはないが､複数の掛け持ちプレイヤーが多い｡
ＦＦやＲＯ､リネージュのアカウントをハックしようとしていると思われる｡
注意されたし｡
339 ：(^ー^*)ノ～さん ：08/01/25 13:29 ID:iDKVREUk0: 差分から抽出。
ttp://poikiy■blog98■fc2■com/
該当ユーザーBlogは既に凍結済みの為、追跡はできず。

ただ、掛け持ち狙い以外にも、ハックされたアカウントにオーブ(ROに例えればShopPoint)が残存していれば、課金アイテムを
プレゼントという形で別のアカウントに贈与する事は可能なので、ノーリスクとも言えない。
それに、自国に不利な活動を行う工作員として、盗用アカウントを活用される恐れもある。
340 ：(^ー^*)ノ～さん ：08/01/25 19:43 ID:s4ACceQ20: GGXXwikiにも爆撃されてたね、そのURL
341 ：(^ー^*)ノ～さん ：08/01/25 20:00 ID:AmULkVa50: 後ろが違うだけの気がしますけど・・

infosueek■com/roeng/
ＩＰ：218.86.91.17
342 ：(^ー^*)ノ～さん ：08/01/25 20:13 ID:1NbIRP2a0: >>341
infosueek■com/xin/ro■exe
343 ：(^ー^*)ノ～さん ：08/01/26 02:22 ID:6wR6fyPc0: FEZ Wiki爆撃第二波に使われたfc2Blog。
hoshims■blog34■fc2■com/
-> www■teamerblog■com/blog/
--> www■panslog■net/wiki/index1.htm (スクランブルVBScript埋めこみ)

Wikiの方は、既に管理人が登場し、外部リンク確認ページ導入などの対策が施されたので、暫くは様子見で良さそう。
344 ：(^ー^*)ノ～さん ：08/01/26 03:51 ID:6wR6fyPc0: FEZ Wiki改竄者のリモートホストが判明。
ofsfb-01p1-92.ppp11.odn.ad.jpとの管理者発表があった。
またOFSfbか、といった感じ。
345 ：(^ー^*)ノ～さん ：08/01/26 13:49 ID:gdIMY3B90: ofsfbは無条件で禁止設定が吉

どこにでも現れるからな
346 ：(^ー^*)ノ～さん ：08/01/29 10:05 ID:2nstDmnJ0: さっと検索してみたのですが、報告無いみたいなので。
ttp://secorewell999■blog5■fc2■com/
├ttp://www■testinghua.com/ie/wm■htm
　　├ttp://www■testinghua■com/ie/an■htm
　　｜　　　├ttp://www■testinghua■com/ie/test■cur
　　｜　　　├ttp://www■testinghua■com/ie/Ms06014■htm
　　├ttp://www■testinghua■com/ie/op■htm
　　｜　　　├ttp://www■testinghua■com/ie/kun■exe
　　｜ttp://www■testinghua■com/ie/re■htm

検体は提出していません。
test■curはノートンで
リスク名：HTTP ANI File Anih Hdr Size BO
危険度：高レベル
トラフィック：TCP,www-httpにて進入検知遮断

kun■exe
ノートンでは何も検出されず。
カスペのオンラインスキャン結果
スキャンしたファイル:kun■exe - 感染が見つかりました
kun■exe - に感染しています Trojan-PSW.Win32.LdPinch.beo

このほかにも有りそうだけど自分で解ったのはこれだけです。
どなたかよろしくお願いします。
347 ：(^ー^*)ノ～さん ：08/01/29 16:38 ID:YzuDo2cG0: 垢ハックはニコニコのコメントにも進出してきた模様
348 ：(^ー^*)ノ～さん ：08/01/29 16:59 ID:3qaFWXEZ0: できれば、具体的な事例を提示してください
349 ：(^ー^*)ノ～さん ：08/01/29 22:34 ID:88nCubdA0: アカウント登録が必要なニコニコとかmixiとかイラネ
そのコミュニティ内でやってくれ
350 ：(^ー^*)ノ～さん ：08/01/30 02:10 ID:AynyqpUS0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/
351 ：(^ー^*)ノ～さん ：08/01/30 12:14 ID:t31BX4jp0: 中華っぽい名前の商人が垢ハックっぽい露店2個も立ててるなぁ
しかも相当レアいものが並んでる…可哀想に
352 ：(^ー^*)ノ～さん ：08/01/30 23:25 ID:0LVoKzBx0: リンカーwikiのトップページに
ttp://www■hosetaibn■com/cgi-bbs

が貼られたまま放置されてるけど、これもハックだよなあ
353 ：(^ー^*)ノ～さん ：08/01/30 23:41 ID:DlDewoGQ0: その通りでございます
354 ：(^ー^*)ノ～さん ：08/01/31 08:40 ID:kb3lsyZc0: www■hosetaibn■com/cgi-bbs/
-> www■qyytw■com/jpt1/main.htm
--> www■qyytw■com/jpt1/Ms06014.htm
--> www■qyytw■com/jpt1/test.cur
-> www■qyytw■com/jpt1/real.htm (RealPlayerのexploit狙いJavaScript)
355 ：(^ー^*)ノ～さん ：08/01/31 08:57 ID:7GoH/4H/O: アカハックurlを携帯で踏んだらどうなるんだろう
356 ：(^ー^*)ノ～さん ：08/01/31 09:12 ID:DoLD1yEL0: >355
一言で言えば「”基本的”に無害」

スレチになるので、詳細が知りたいならセキュスレにて。
357 ：(^ー^*)ノ～さん ：08/01/31 09:32 ID:QBJi7PEb0: PC用の罠だけなら無害。携帯用の罠もあれば有害。
何にしても無闇に触りに行くべきではない。
358 ：(^ー^*)ノ～さん ：08/01/31 10:56 ID:eBuZ4t2u0: 被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/
359 ：(^ー^*)ノ～さん ：08/01/31 16:18 ID:kdP+ntMa0: チョンがテンプレコピペ連発してスレを荒らそうとしてるように見える
360 ：(^ー^*)ノ～さん ：08/01/31 18:23 ID:PhQpFzDf0: 以前スレチを指摘された奴が粘着してるんだと思う。
361 ：(^ー^*)ノ～さん ：08/02/01 23:01 ID:ngDSKsAP0: ttp://imguploader■no-ip■org:2121/contents/ro_uploader6/index■htm
ちょっとこれが垢ハックなのかどうかで話題になっているのですが
自分では確かめられません・・・
どなたかこれが安全なのか危険なのかどうか判断できる方いたらよろしくお願いします
362 ：(^ー^*)ノ～さん ：08/02/01 23:07 ID:Rr2XQCT10: ＞※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません
363 ：(^ー^*)ノ～さん ：08/02/01 23:12 ID:mqZ2xHGA0: ＞被害や攻撃等のアカウントハックの具体的事例に関して扱います。
＞重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
＞対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

＞※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

テンプレ位読みましょうね。

サーバー起動してないとかなんじゃないかと思いますが断定はしない。
セキュスレに持ち込んでも、解説スレじゃないって一蹴されて終わりかと。

相談用テンプレの>>4にも「(『怪しいアドレス』との判断した理由、症状を詳しく書く) 」と記載されています。
怪しいと判断するに足るだけの情報があれば、セキュスレで取り上げて貰えるかもしれませんね。

物凄い勢いで質問～スレの内容程度なら、セキュスレでも扱わないかも。
364 ：(^ー^*)ノ～さん ：08/02/02 17:18 ID:Vb1gSu4F0: 自分が巡回させてもらってるblogのコメントに、かなりの
爆撃が入っているようですね。
全部コメントは以下のとおり
－－－－－－－
こんにちはぁ＾＾初めまして☆ フレ
いつも日記楽しみにみております
このたび私のブログに勝手にリンクはらせていただきました～
よろしければ相互リンクお願いします.
ブログ -- akityonhuu■blog37■fc2■com/
－－－－－－－
今日更新されたとこばっかりでした。お気をつけを
365 ：(^ー^*)ノ～さん ：08/02/02 17:19 ID:VKX/SoPK0: ttp://pharmacy-beta-bb8■150m■com/

このアドレスは既出？
366 ：(^ー^*)ノ～さん ：08/02/02 18:18 ID:5UQxU5P00: 【　　　気付いた日時　　　　　】 2月2日02時頃。Url踏んだらウイルスバスターが反応。
【不審なアドレスのクリックの有無　】 http://infosueek■com/jplink
【　　　 OS　　】 WindowsXP2002
【使用ブラウザ】 IE
【WindowsUpdateの有無】月一くらいで更新
【　アンチウイルスソフト】ウイルスバスター2007
【ウイルススキャン結果】ウイルスバスターが反応。隔離できず手動で削除してください、と出ました。
　　　　　　　　　　　　　カスペルオンラインで現在検索中。
【スレログやテンプレを読んだか】書きながらざっと読んでます。
【hosts変更】無いと思います
【説明】RO小説系のサイトを探してて、「RO　二次」でググって一番上に来たのを不注意に踏んでしまいました。
　　　　垢ハクかどうかわからず、対処方法を求めてすぐスレ・テンプレを見て、
　　　　バスターが反応した以後はログインはせず、別PCでガンIDパスとアカウントパスを変更しました。
　　　　その後、カスペルオンラインで検索を始めました。
　　　　今、カスペルでワーム？というのが検出されました。バスターの詳細にもワームと出てました
　　　　今はOS再インストのためにデータのバックアップをとっています。
　　　　PCやセキュリティに関しては初心者なので、やれることはやったつもりですが、これで大丈夫でしょうか？
367 ：(^ー^*)ノ～さん ：08/02/02 19:32 ID:qaPoEXhY0: >366
そのアドレスは既知の垢ハックアドレス
なので、とりあえずそのPCでの接続は止めなさい。
んでOS再インストールする意思があるようなので、OSクリーンインストールｵｽｽﾒします
データのバックアップのファイルの中にウィルス入ってると本末転倒なので、OSに関係するファイルまで保存しないようにね
368 ：(^ー^*)ノ～さん ：08/02/02 20:00 ID:s/lzMXpn0: >>364
FC2に通報しました。

>>365
アカハックっつーよりリンクてんこ盛りのSPAMだと思う
(アメリカから来るバイアグラメールみたいな)。
369 ：(^ー^*)ノ～さん ：08/02/02 20:06 ID:s/lzMXpn0: FC2が最も使われると思うのでとりあえず通報フォーム。
ttp://support.fc2.com/form.html
の「無料サービス」の一番上、一番右の「スパム・不適切ブログ」
名前やメルアドはてきとーで可。
370 ：(^ー^*)ノ～さん ：08/02/02 20:20 ID:QToDiELc0: >>369
それ、セキュリティWikiに乗せといてもいいかも。
371 ：(^ー^*)ノ～さん ：08/02/02 20:31 ID:s/lzMXpn0: wikiに載せるとなると他(livedoorとかサーパラとか)も、となるので
自分はとりあえずいいや。
372 ：(^ー^*)ノ～さん ：08/02/02 21:21 ID:rnu2H7kc0: サーパラはここから。
ttps://ssl.surpara.com/info.php
本館のフォームだが、Blogの問い合わせもここで対応可能。
373 ：(^ー^*)ノ～さん ：08/02/02 22:19 ID:ikHNVyK/0: 【　　アドレス　】www■ranninp■com
【気付いた日時】 21：52
【　　　 OS　　】WindowsXP　Home Edition2002
【使用ブラウザ】IE
【WindowsUpdateの有無】自動更新
【　アンチウイルスソフト】 NortonInternetSecurity2008
【その他のSecurty対策】無し
【ウイルススキャン結果】カスペルスキーで検索中
【スレログやテンプレを読んだか】それなりに目は通してます。
【hosts変更】無いと思います。
【PeerGuardian2導入】していません。
【説明】
RO.Engineの伝言板にあったサイト（blog■livedoor■jp/snowlyr/）を開いた所、
ノートンが反応し進入の試みを遮断したとの事です。
ソースチェッカーに掛けてみたところ、上記のアドレスが90％（ループタグ有り）
www■ranninp■comは安全度100％でしたが、
やはりOS入れなおしたほうがいいのでしょうか？
374 ：273 ：08/02/02 22:23 ID:ikHNVyK/0: 追記。
【ウイルススキャン結果】ノートンは検出無し。
【説明】
アドレスチェッカーでも有害なスクリプトは発見されませんでしたが、
www■ranninp■comは中国で、以前にもスレで1回名前が出ています。
375 ：373 ：08/02/02 22:24 ID:ikHNVyK/0: 焦りすぎorz373です。申し訳ない。
376 ：(^ー^*)ノ～さん ：08/02/02 23:04 ID:q3TlYdN/0: ノートンに詳しくないから、「進入の試みを遮断」が適切なメッセージがどうか
分からんけど、反応したやつに関しては大丈夫。

そこから先は、ログ読んでもらえれば分かると思うが、心配ならOS再インスコ
としか言えない。
怪しいURL踏んだこともないし、セキュリティソフトが反応したこともないけど
大丈夫ですか？と問われたとしても、心配ならOS再インスコとしか言えない
のが事実。
377 ：373 ：08/02/02 23:27 ID:ikHNVyK/0: カスペルスキーでチェックした結果見事に感染していたので、
別のPCで癌IDとROIDのパスワードはそれぞれ変更してきました。
今から再インストールしてきます。
ノートン先生、反応しただけでウィルス事態は遮断しきれてなかったorz

ちなみに調べた所、別の方のBlogのコピーBlogぽかったですorz

>>376
やはりそれが一番確実ですよね。
今回垢ハック確定っぽいのでそうします。
378 ：(^ー^*)ノ～さん ：08/02/02 23:58 ID:Ia9954SH0: >>367
ありがとうございます。OS再インストします。

あと、感染PCでログインしない限りパスを盗まれることはないのでしょうか？
感染後ログインはしておらず、パスは別PCですでに変えてあります。
データのバックアップに少し時間がかかりそうで。
379 ：(^ー^*)ノ～さん ：08/02/03 00:13 ID:FV8ccdlT0: >>378
Yes
380 ：(^ー^*)ノ～さん ：08/02/03 16:38 ID:RUFsaMrG0: >>377
感染箇所と検出名を書いてないので
いつ感染したのかもわからないね
381 ：373 ：08/02/03 17:53 ID:Sn60Xui/0: >>380
>>373に感染箇所は書いていますが、解りにくかったですねorz
感染箇所はRO.Engineの伝言板です。
サイトに登録していないアドレスの場合は表示されません、との注意文があり、
大丈夫だろうと油断していた所を踏んでしまいました。

「snowlyr > 初の棚臨 [URL] 02/02 02:39」という書き込みで、
現在も伝言板に残っているので他に踏んだ人が居ない事を祈りますが。
（踏んだアドレスはttp://blog■livedoor■jp/snowlyr/）
感染は>>373に記載した時間と同時間です。
踏んだ直後にノートンが反応したのですぐ気付けましたが…

検出名はTrojan-Downloader.HTML.IFrame.baだったと思いますが、
初期化したので完全には覚えてませんorz
382 ：380 ：08/02/03 18:47 ID:RUFsaMrG0: ｢感染箇所｣はPC内部の｢どこ｣から検出されたか？ということだよ
383 ：373 ：08/02/03 19:25 ID:Sn60Xui/0: >>380
あぁ、勘違いすみませんorz
初期化してしまったので確認取れませんが、
ＣのDocuments and Settings以降だったとしか覚えていません…
384 ：(^ー^*)ノ～さん ：08/02/03 20:39 ID:FV8ccdlT0: >>381-383
それはダウンローダ。多分、IEのキャッシュが反応場所だと思うよ。

初期化したので、対処としては問題無いかと。
385 ：(^ー^*)ノ～さん ：08/02/04 17:03 ID:M6u4r6uP0: ブログのコメントに書き込まれていました。
まとめ臨時さんの強行版に載ってるアドレスと同じものの
ようなのですが報告しておきます。

ttp://jbbslivedoor■com/mmghaoyk/
386 ：sage ：08/02/04 17:49 ID:4Luu+g7a0: 今月2日頃、アサシンwikiのコメント欄に18禁サイトであろうHTMLのソースが書き込まれていました。
しかしwiki自体にはソースは組み込まれていなく、書き込もうとした人がwikiに組み込もうとして失敗したようです。
そこに書かれていたリンク等はクリックしてはいないのですが･･･やっぱりウィルススキャンしておくべきなのでしょうか？
387 ：(^ー^*)ノ～さん ：08/02/04 18:00 ID:4Luu+g7a0: sageを書き込むところ間違えました･･･
ごめんなさい･･･orz
388 ：(^ー^*)ノ～さん ：08/02/04 18:10 ID:JSbiAuGY0: agesageとか詰まらん事にこだわるな
389 ：(^ー^*)ノ～さん ：08/02/04 18:14 ID:a5SPmj7F0: クリックの有無に関わらず定期的・踏んだ可能性のある時にスキャンかけるのはネット利用者として最低限のマナーだぞ。
390 ：(^ー^*)ノ～さん ：08/02/04 18:45 ID:4Luu+g7a0: 一つ書き忘れていたことがありました。
ノートンでスキャンしたのですが、ノートンでは何もひっかかりませんでした。
過去ログで、カスペルスキーではひっかかったけどノートンではなにも引っかからなかったというのを見たので、
他のスキャンソフトでもスキャンしとくべきなのでしょうか･･･と･･･
391 ：(^ー^*)ノ～さん ：08/02/04 18:53 ID:YnTyOARVO: 悩むくらいならやればいいのに・・・
392 ：(^ー^*)ノ～さん ：08/02/04 18:55 ID:nAdFjse80: >390
簡潔に

・Wikiを閲覧しただけでは基本的に感染は無い(例外は当然ある)
・件のアドレスは warez系又はkrack系で、ただのSpamの可能性が高い
・単一のチェックでは見落とす可能性もあるので、スキャンするなら複数で調べたほうがより安心
・誰も「絶対」「安全」なんて保障は出来ない。

そろそろコピペ貼りの人が出てきそうだから、続けるならセキュスレに移動しようか。
393 ：(^ー^*)ノ～さん ：08/02/04 19:08 ID:4Luu+g7a0: わかりやすく答えていただきありがとうございます。
参考にさせていただきます。
394 ：(^ー^*)ノ～さん ：08/02/05 20:42 ID:xxrJlb6P0: mixiの色んな日記に書き込みしている模様

http://www■lineagecojp■com/movie/mov0028■zip
395 ：(^ー^*)ノ～さん ：08/02/06 09:35 ID:sdq5gvaG0: ちょっと怖くて書き込みしたんだが
ROクライアント起動時の画面が「取り消されたアクション」になって
表示されないんだが、これはウィルスと関係あるのだろうか。
ただ、重いだけで表示がされないだけなのか・・・
皆さん、起動時の画面は表示されてますか？
396 ：(^ー^*)ノ～さん ：08/02/06 09:40 ID:8niQNeCo0: 対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/
397 ：(^ー^*)ノ～さん ：08/02/06 18:04 ID:P1hLdS3P0: 既出だったらすまん、mmvo.exeっての食らった。
RO含むネトゲ汎用のパスハック。
ゲームとかも入ってないPCなんで実害はありませんでしたが、
ノートン機もカスペル機もUSBチェック突破してスキャン無効化されて大暴れ。
隠しフォルダの表示も殺されて手動検索も無視される。

似た症例探して↓発見、参考にしてNOD32でようやく検出。
ttp://d■hatena■ne■jp/itsuki_hiiragi/20071214

長い戦いが終わった…。
OS入れ直し出来ない事情がある場所での感染報告ですよっと。
398 ：(^ー^*)ノ～さん ：08/02/06 19:54 ID:TStsH1EG0: 【　　アドレス　】wikispc■gr■jp/ercserver/というサイトにある「BOSS攻略」というリンク
【気付いた日時】今日の午前11時半頃
【　　　 OS　　】 XP Home SP2
【使用ブラウザ】 IE6
【WindowsUpdateの有無】有効
【　アンチウイルスソフト】 Kaspersky Internet Security 7.0体験版　更新日2008/02/06
【その他のSecurty対策】ルータ
【ウイルススキャン結果】未検知（カスペスキャン）
【スレログやテンプレを読んだか】 yes
【hosts変更】無
【PeerGuardian2導入】無　これから導入してみようと思います
【説明】
「ランドグリス　攻略」でぐぐってトップに出てきたサイトを開き、
そこのBOSS攻略と書かれたリンクをクリックするとカスペが反応。
その後カスペがモニターの右下あたりに
「許可or拒否」の選択肢を出してきたので「拒否」を選びました。
ウェブアンチウィルスのレポートには
＜ステータス＞検知しました: トロイの木馬 Trojan-Downloader.HTML.IFrame.de
＜オブジェクト＞URL: http://www■irisdti-jp■com/blog///www■irisdti-jp
とありました。
ROは露店を出したままずっと放置中です。
これは未然に防げていると思ってもいいのでしょうか。
100％安全という事はないでしょうが・・・。
399 ：(^ー^*)ノ～さん ：08/02/06 20:52 ID:dT51evfZ0: >>397
検体はどこじゃ～

>>398
未然に防げている可能性が高いです。本体を落とそうとするダウンローダをブロックしたという表示ですから
本体入手のさらに手前で阻止した時のメッセージです。

でも、阻止できたという保証はできません。ブロックしていない他のなにかが発動している可能性があるからです。
400 ：(^ー^*)ノ～さん ：08/02/07 09:35 ID:+NeB1Oqe0: BOTnews Light (ボットニュースライト)
ttp://yaplog.jp/kyorocyan
これ垢ハックか教えてくれ　えろいひと
401 ：398 ：08/02/07 09:48 ID:IHuZ2+8V0: >>399
ありがとうございます。
OS再インスコはできないので、
取られたらシャレにならないアイテムは信頼できる知人に預け、
PGを導入し自己責任でプレイし続けようと思います。
その知人に万が一裏切られても中華に取られるよりはマシってことで。
カスペでブロックされたにも関わらずハックの被害にあった時は
また報告します。
402 ：(^ー^*)ノ～さん ：08/02/07 09:48 ID:Jy29WGxE0: >>400
>>1

ふぁびょるとかじゃねえ、ホントお前バカだな。
それが本当にハックアドレスだったら、張ったお前の責任になるんだぞ。
いいからテンプレを全部読んで来い。
403 ：(^ー^*)ノ～さん ：08/02/07 09:51 ID:MPgVvWAK0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/
404 ：(^ー^*)ノ～さん ：08/02/07 18:46 ID:pyDB7Qom0: ここ利用してる方々、コピペNG指定まじオススメ
405 ：(^ー^*)ノ～さん ：08/02/08 12:59 ID:GzBuXHaM0: あああ
406 ：(^ー^*)ノ～さん ：08/02/09 06:52 ID:S4G6x39Y0: 【　　アドレス　】http://www■panslog■net/wiki/index1■htm
【気付いた日時】 2009/2/9
【　　　 OS　　】 win2k SP4
【使用ブラウザ】オペラ9.02
【WindowsUpdateの有無】 2008/12頃？最新のはず
【　アンチウイルスソフト】 avast
【その他のSecurty対策】 Spybot S&D
【ウイルススキャン結果】カスペオンライン、avast、Spybot S&Dで検知されず
【スレログやテンプレを読んだか】 No
【hosts変更】今、最新のに
【PeerGuardian2導入】無
【説明】
2chガ板、邪気眼wikiでavastが警告、殆ど読まずに回線引っこ抜いた。
リネの垢ハクのようだ。とりあえず色々調べてみたが怪しいものは全く出てこない。

警告の所に以下のログが残ってるんだけど
Sign of "HTML:Iframe" has been found in "http://www■norelet■com/fc2/" file■
avastが遮断したと認識していいのだろうか？
407 ：(^ー^*)ノ～さん ：08/02/09 09:01 ID:PYC7kBS20: >>406
カスペ反応するぞ？

ttp://www■norelet■com/fc2/　　　Trojan-Clicker.HTML.IFrame.il
ttp://www■panslog■net/wiki/index1■htm　　　Trojan-Downloader.VBS.Agent.hi

index.htmの時点でブロックされたのでその先を入手してないから反応してないだけじゃないか？
408 ：(^ー^*)ノ～さん ：08/02/09 09:09 ID:PYC7kBS20: やっぱ既知のファイル。中身変わってないぽ。カスペで全部検知可能。
あと、１箇所突っ込んでいいか。お前さんは未来からアクセスしとるんかとｗ

ttp://www■norelet■com/fc2/
ttp://www■panslog■net/wiki/index1■htm
ttp://www■panslog■net/wiki/send■exe
ttp://www■panslog■net/fc2/cery■exe
ttp://www■panslog■net/wiki/reco■exe

index■htm
->index1■htm
-->wiki/send■exe
-->fc2/cery■exe
-->wiki/reco■exe

index■htm : Trojan-Clicker.HTML.IFrame.il
wiki/index1■htm : Trojan-Downloader.VBS.Agent.hi
wiki/send■exe : Trojan-PSW.Win32.Delf.aih
fc2/cery■exe : Trojan-PSW.Win32.OnLineGames.lyx
wiki/reco■exe : Trojan.Win32.Inject.ms
409 ：(^ー^*)ノ～さん ：08/02/09 17:46 ID:S4G6x39Y0: >>408
【気付いた日時】2008/2/9　で・・流石に焦ってたらしい。本体は無いっぽい

>>407
Trojan-　　ってのいうのはキャッシュって認識でいいのかな
言われて気付いたけど(多分、スキャンかける前に)キャッシュは全部削除したみたい

たまたまレジストリのバックアップがあったのでレジストリ復元した
とりあえず安心と見ていいのだろか・・
410 ：(^ー^*)ノ～さん ：08/02/09 17:56 ID:PYC7kBS20: >>409
|>>407
|ttp://www■norelet■com/fc2/　　　Trojan-Clicker.HTML.IFrame.il
|ttp://www■panslog■net/wiki/index1■htm　　　Trojan-Downloader.VBS.Agent.hi

Trojan-Clicker.HTML.IFrame.il
サイズ0のiframeでindex.htmを呼び出そうとするもの。
IEのキャッシュに入った時点で（表示前？）反応する筈。

Trojan-Downloader.VBS.Agent.hi
VB Script でアカハックトロイの本体のダウンロードと起動させる為にレジストリへの登録などを行なうもの。
これもIEのキャッシュに入った時点で（実行前に）反応する筈。

実際に踏んだ訳ではないので、反応のタイミングに関しては間違っているかもしれないことを記載しておく。
実際に発動させていれば、IEのキャッシュにも残っている為、フルスキャンでそれも引っ掛かるだろう。
411 ：406 ：08/02/09 22:14 ID:S4G6x39Y0: >>410
Trojanが発動していればオペラのキャッシュ消しても
IE内のキャッシュに残るからカスペで引っ掛かるって事か。
(2/6の時点でIEのキャッシュは消してる)

とりあえずカスペフルスキャンでも何も出てこないが
発動自体していないか、既に消している可能性が高いって事なのかな。
412 ：(^ー^*)ノ～さん ：08/02/10 00:15 ID:gT35jWW80: 前スレ923
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1185352481/923
で挙がってた「RO店価格調査隊」のドメイン ( ro-price.net )の
有効期限は、現在も 2008/02/09 のままの模様。
413 ：(^ー^*)ノ～さん ：08/02/10 05:25 ID:r16r2VT20: >>412
ドメイン名の有効期限は、基本的にUTC(協定標準時)で管理されていたはず。
日本時間で09:00までは期限内かと。
その後30日間が、請戻猶予期間(RGP)という形で、元の登録者が優先的に取り戻せる期間。
414 ：(^ー^*)ノ～さん ：08/02/10 13:11 ID:QxtNNGDa0: 被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/
415 ：(^ー^*)ノ～さん ：08/02/10 15:42 ID:ssKFVq/M0: 超重要な情報じゃないか。本当にただ荒らしてるだけか
416 ：(^ー^*)ノ～さん ：08/02/10 17:39 ID:CG0t215c0: 何を今更。
このスレを荒らすなり重要な情報を埋もれさせた方が利益になる業者様じゃないの。
417 ：406 ：08/02/10 22:09 ID:sVdekE4r0: とりあえずＰＧ２を導入した。無知な俺に付き合ってくれてありがとう、勉強になった。
418 ：(^ー^*)ノ～さん ：08/02/11 01:38 ID:lpdZO5lJ0: 価格調査隊のドメインがウイルスサイトになった様子。
あげておきます
419 ：(^ー^*)ノ～さん ：08/02/11 02:11 ID:/tXDJW/h0: >>418
ドメイン失効の為、そのIPを管理しているところに飛ばされてるだけ。現時点では無害。
>>412-413参照。
420 ：(^ー^*)ノ～さん ：08/02/11 02:13 ID:XhJsNFGo0: もとからハックされること多かったし、いかないほうがいいかと
421 ：(^ー^*)ノ～さん ：08/02/11 09:02 ID:/tXDJW/h0: >>420
明らかな誤情報は忌むべきもの。やめてくれ。

RO店価格調査隊のBBSにアカハックへの誘導投稿が多数投げ込まれていたことは、ハックされることではない。
その書き方を見ると、サイトがクラッキングにより改竄され、アクセスしただけでiframeへ飛ばされる事例などと
同一視してしまう危険性がある。

この手のスレでは、正確な情報を扱う事が重要。注意喚起だとか言ってなんでもかんでも貼られたアドレスに
確証もなしに「それアカハック」という発言をするのと同様の迷惑。
422 ：(^ー^*)ノ～さん ：08/02/12 14:56 ID:6yNC5Q210: なんかchaos鯖でろ。を開くと垢ハックされるとか警告チャットたっていたんだが、どうなんだろうか？調べてみたやつ情報求む。
423 ：(^ー^*)ノ～さん ：08/02/12 14:59 ID:rPxD+tKh0: 価格調査隊が垢ハックになったのっていつから？
424 ：(^ー^*)ノ～さん ：08/02/12 15:14 ID:4U2Sy4tR0: >>423
>421
425 ：(^ー^*)ノ～さん ：08/02/12 15:20 ID:KWs5aZGK0: 誤情報に踊らされるやつ多すぎ。
警告するのはいいがどっからどこまでが
ウィルスなのかもわかってないで看板たてんのはどうかとおもうよ。
426 ：(^ー^*)ノ～さん ：08/02/12 17:27 ID:j//rgLHjO: SESには垢ハク露店の横で
｢垢ハックが怖くてこの周辺の露店を開く(見る)ことが出来ない｣
なんて発言する転生職がいるんだぜ
勘違いにも程がある
427 ：(^ー^*)ノ～さん ：08/02/12 17:31 ID:DzELcJok0: リスクに対しての対処法を、自分から知ろうとする事がまず重要な対策な訳で。
危ない危ない言っているだけでは、狼少年と変わらん。

そろそろテンプレ厨が来そうだから、この偏に留めておくか。
428 ：(^ー^*)ノ～さん ：08/02/12 18:00 ID:pPaVl7Ad0: 調査隊戻ってね？
429 ：(^ー^*)ノ～さん ：08/02/12 18:27 ID:opX9Mp7C0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/

RO店価格調査隊の復帰に関しては、セキュスレでどうぞ。
430 ：(^ー^*)ノ～さん ：08/02/15 16:08 ID:kkRmEoMY0: infosueekにはだいぶやられていますね
1見有名アドっぽいのでうっかりしやすいのかも

ttp://infosueek■com/diary/rolink/

ttp://shamoneko■blog118■fc2■com/
ｆｃ２ブログですが他のROブログから内容をコピペでもってきている偽装で
0サイズインラインフレームで危険URLttp://www■infosueek■com/cookingへ飛ばされます
ご注意ください。
431 ：(^ー^*)ノ～さん ：08/02/15 17:07 ID:o0KaYOXC0: >>430
先月16日製造。
/xin/ro■exe
スクリプトのYahoo■htmはYahoo!Messengerの脆弱性狙いの模様。
432 ：(^ー^*)ノ～さん ：08/02/16 02:30 ID:qO5p9MJn0: >>430と同じかな

ttp://fuurozhu■blog10■fc2■com/

0サイズiframeにて既知アドレスttp://www■teamerblog■com/blog/を読み込み
433 ：(^ー^*)ノ～さん ：08/02/16 12:16 ID:2Z8FLsjw0: 知人のブログコメントにあったURL。危険かどうかは謎ですが文面からアカハックと思われます。

ttp://sigotonai■blog22■fc2■com/
434 ：まとめ臨時 ◆kJfhJwdLoM ：08/02/16 13:59 ID:w2/xzKe+0: インラインフレームが仕込まれている模様。
把握できたのは以下の通りです。

sigotonai■blog22■fc2■com
├www■k5dionne■com/ousele/usmm■htm(www■k5dionne■comは既出アドレス)
　www■k5dionne■com/ousele/aniro■c
　www■k5dionne■com/ousele/aniro■htm
　├www■k5dionne■com/ousele/sanro■exe
　├www■k5dionne■com/ousele/\x47\x45\x54
　　(ソースから見るに似非マイクロソフトみたいなページなのかも？)

ソースチェッカーでaniro■htmを覗いてみたら
バックスラッシュの多さにちょっと驚いた。
何かしらの処理をやっているのでしょうけど当方には理解できませんでした。
435 ：(^ー^*)ノ～さん ：08/02/16 16:24 ID:a40XIbwI0: >>432
ttp://fuurozhu■blog10■fc2■com/
　-> ttp://www■teamerblog■com/blog/
　　-> ttp://www■panslog■net/wiki/index1.htm

トロイの木馬　VBS/Psyme　を検出(MacAfee)

> VBS/PsymeはVBScriptで、リモート実行ファイルのダウンロード、
> ローカルディスクの特定のロケーションへの保存、および実行を指示します。
436 ：(^ー^*)ノ～さん ：08/02/16 16:57 ID:XCtgqz4b0: >>434
\xは16進数(%と同じ)。\だけだと8進数。
\xは%に置き換えてから、あとはいつもの。
437 ：(^ー^*)ノ～さん ：08/02/16 17:01 ID:XCtgqz4b0: しかしFC2の罠ブログ、鎮まってきたと思ったのにまた復活してるのね…。
FFXI関係で投下されたもの
ffxiwaruo■blog102■fc2■com
　www■infosueek■com/ff11diary
　　www■infosueek■com/xin/xia■exe
438 ：(^ー^*)ノ～さん ：08/02/16 19:19 ID:+U3bwwbc0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/
439 ：(^ー^*)ノ～さん ：08/02/16 20:06 ID:/Z1U/l/N0: それはもしかしてギャグで
440 ：(^ー^*)ノ～さん ：08/02/17 02:25 ID:wrXxW/Bk0: >>438
中稼のコピペ工作員
441 ：(^ー^*)ノ～さん ：08/02/18 17:44 ID:OyV5kfw/0: 春節(旧正月)の帰省ラッシュ(大雪で大変だったらしい)が終わったのか
トロイが更新されつつあるので注意。

www■lvei20■com/ourtesf/ff11■exe
1時間ほど前に更新。ファイル名からするとFFXIっぽいけど
実際はLotRO(Lord of the Rings Online)トロイ。

www■gamanir■com/systemin■scr (twurbbsから転送)
昨日更新。

www■testinghua■com/ie/kun■exe
一昨日更新。

etc. etc.
442 ：(^ー^*)ノ～さん ：08/02/19 00:11 ID:oyuawRcCO: 今、ROのGVGのwikiって大丈夫ですか？
さっき見に行ったらノートンが起動しまして
443 ：(^ー^*)ノ～さん ：08/02/19 00:17 ID:3S2QE+us0: >>442
>>438
一般的な相談はセキュスレをどうぞ。

LokiやForsetyは、管理放棄されており、仕込まれ放題であるという報告が上がっています。

それらの鯖のGvGWikiでリンク踏んでセキュリティソフトが反応した場合、ほぼ確実にアカハックでしょう。
ダウンローダの時点でブロックできている可能性もありますが、(中略)OSの入れなおしを推奨します。
この発言にコメントを付けたい場合は、セキュスレにお願いします。
444 ：(^ー^*)ノ～さん ：08/02/20 01:12 ID:27wzzeHm0: 価格調査隊は現在はアカハックサイトではないけれど
一度ドメインを失効してる以上、現在の管理者が以前と同じとは限らないため
ある日突然アカハックサイトに化ける可能性があります
なので今後二度とアクセスしないようにしましょう

というようなことを主張してるblogがあるのだけれど、この意見は妥当なのでしょうか？
445 ：(^ー^*)ノ～さん ：08/02/20 01:17 ID:P4yfMHPF0: >>444
一般的な相談はセキュスレへどうぞ。あっちでコメントしておきます。
446 ：(^ー^*)ノ～さん ：08/02/20 01:19 ID:Jy0p/WXy0: 全てのサイトが、現在の管理者が以前と同じとは限らないので
ある日突然アカハックサイトに化ける可能性があります。
なので今後二度とインターネットに接続しないようにしましょう

と、ほぼ同じ意味
447 ：(^ー^*)ノ～さん ：08/02/20 01:31 ID:AcYmxHsg0: >>444
ドメイン失効ではなく有効期限切れ。
ドメインは有効期限が切れてから、状況により異なるけど1～2ヶ月ほど
たたないと完全には失効せず、その間に他の人が取得することはできない。

今回有効期限が切れてから1週間もたたないうちに復活してたと思うので
ドメイン業者が悪人だったなんてことでもない限り答えはノー、に一票
448 ：(^ー^*)ノ～さん ：08/02/20 01:43 ID:27wzzeHm0: >>446,447
なるほど、そのblogに書かれてることは頓珍漢なことが書いてあるという認識でよさそうですね。
ありがとうございました。
449 ：(^ー^*)ノ～さん ：08/02/21 00:54 ID:lF5QCNtc0: 【　　アドレス　】http://shuahdhsk■blog103■fc2■com
【気付いた日時】 2008/2/1921:30
【　　　 OS　　】 winVista Home Edition
【使用ブラウザ】IE7
【WindowsUpdateの有無】自動更新のため最新だともわれる
【　アンチウイルスソフト】ウィルスバスター2007
【その他のSecurty対策】
【ウイルススキャン結果】ﾊﾞｽﾀｰ検出無しカスペも検出無し
【スレログやテンプレを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
Wikiで改ざんされたURLを踏んだ模様
ｆｃ２のサービスのエラーページ？に飛んだことに気づき
そのURLをソースチェッカー等で調べたとこ垢ハックのソースを含むブログと判明
メッセやゲーム等は一切ログインしていませんがただちに念のため別PCでパス等変更しました。
赤と白のｆｃ２の接続エラーページのようなとこに飛んだのですが履歴に残ってないのでわかりませんが
450 ：まとめ臨時 ◆kJfhJwdLoM ：08/02/21 01:24 ID:NNURqZBn0: shuahdhsk■blog103■fc2■com
├www■teamerblog■com/blog/(既知)
　├www■panslog■net/wiki/index1■htm(既知)

ソースチェッカーでソースを見る限りは
teamerblog側ではcurやらexeの仕込みが見当たらず、
panslog側でスクリプトを組んでなにやらやっている模様でした。
ちょっと当方では解りかねるので判る人待ちと言う事で…。

とりあえず別PCで既に変更されたとのことで、
踏んだPCでROやメッセ等のパスワード類を入力する行為をしていなければ、
被害は無いと考えられます。

現状で確実に対応できるとしたら
OSのリカバリーないしクリーンインストールと言う事に。
451 ：(^ー^*)ノ～さん ：08/02/21 08:08 ID:FMeUdVto0: >>450
スクリプトはアスキーコードで書かれていて、次のURLを呼び出すようです
ttp://www■panslog■net/wiki/send.exe
ttp://www■panslog■net/fc2/cery.exe
ttp://www■panslog■net/wiki/reco.exe
452 ：(^ー^*)ノ～さん ：08/02/22 04:03 ID:8r4Mt/I90: 殴りプリWikiで下記URLの投下がありました。
ttp://infosueek■com/diary/rolink/ （既知のドメイン）
ttp://ayakasio■blog5■fc2■com/　（罠用Blog）

下のblogのソース内に ttp://www■infosueek■com/cooking を読み込むサイズ0のiframeタグを確認。
453 ：(^ー^*)ノ～さん ：08/02/22 22:47 ID:8r4Mt/I90: >>452の罠blogはfc2に通報した結果凍結されました。
（aguseとソースチェッカーオンラインで間接的に確認）
454 ：(^ー^*)ノ～さん ：08/02/26 01:36 ID:nwNQRbNY0: 約一ヶ月前に、>313 と同じサイトを踏んだ
ノートンは特に反応しなかったけど、別ＰＣでパス変更とＯＳを入れ直した
課金も切れてたし、その後も無課金のまま

で、ＯＳ入れ直したのはいいが、最近それがフォーマットをしてないただのＯＳ入れ直しだと分かった・・・
やっぱり、HDDフォーマットしないと効果無いよね？
455 ：(^ー^*)ノ～さん ：08/02/26 02:14 ID:XPtqxLze0: >>454
一般的な相談の部類だと思うのでセキュスレの方が適当だと思う。

OSだけの上書きだと、OS部分に感染していた場合は上書きされている。
他の部分に残っていて、そいつを発動させた時点で再発する可能性もあるが、

既知のサイトを以前に踏んだ場合のように、セキュリティソフトの更新をしていれば
対応している（後から発動させようとした瞬間にブロックできる）可能性が高いものもある。

不安なら、HDDのフォーマットからやりなおしを。大丈夫ですという保証は、回線越しの誰にも保証できません。
456 ：(^ー^*)ノ～さん ：08/02/26 17:26 ID:WVAJQueq0: >455
返答ありがとう
一応フォーマットしてクリーンインストールしてみるよ
RO復帰直前に気が付いてよかったよ・・・
457 ：にゅぼーん ：にゅぼーん: にゅぼーん
458 ：L ★ ：08/02/28 02:37 ID:???0: 457 名前：(^ー^*)ノ～さん[] 投稿日：08/02/28(木) 02:28 ID:iEgl304S0
http://■www■testinghua■com/ie/ragnarokonline/
459 ：にゅぼーん ：にゅぼーん: にゅぼーん
460 ：(^ー^*)ノ～さん ：08/02/28 03:43 ID:W4rSKHdI0: あ、しまった。>>459は削除以来しときますー。

>>458
Registrant Contact:
HuangQiang
Qiang Huang suniuqing001@163.com
05972562288 fax: 13559988127
Fujian longyan
longyan Fujian 364000
cn
461 ：にゅぼーん ：にゅぼーん: にゅぼーん
462 ：(^ー^*)ノ～さん ：08/02/28 17:57 ID:sdrPoaW10: >>461
>>3読もうぜ
【投稿の際の注意】
・アカハックアドレスはMMOBBSでは禁止単語になっています。
　加えて、誤クリックによる感染を防ぐ為にそのようなアドレスは
　.(ドット)を別の文字に置き換えて報告して下さい (■がよく使われています)
・URLを貼り付ける場合はドメイン名の「.」を全て「■」に置換して下さい。
463 ：(^ー^*)ノ～さん ：08/02/28 18:01 ID:umyjCSEU0: 削除依頼してきた、マジで危ないわ
464 ：(^ー^*)ノ～さん ：08/02/28 18:05 ID:sdrPoaW10: 削除依頼もついでにしてきた
消えたら情報も消えるんでコピペっとく

/以下コピペ
Mixiで出回ってるのかな、怪しい書き込みがあったので参考程度に
ttp://www■ff11free■com/ro_diary.htm

どうにも怪しいと思って検索したら案の定
シマンテックがTrojan.Exploit.131を検出

どうみてもパス抜きです本当にありがとうございました
exeじゃないと思って油断したら、回覧がトリガーとは・・・
465 ：(^ー^*)ノ～さん ：08/02/28 18:29 ID:Pm7zdaZE0: >461,>464
www■ff11free■com/ro_diary■htm
->www■testinghua■com/ie/ragnarokonline/index■htm
--->www■testinghua■com/ie/ragnarokonline/test■cur
--->www■testinghua■com/ie/ragnarokonline/Ms06014■htm
466 ：(^ー^*)ノ～さん ：08/02/29 01:01 ID:maW39Ci+0: 【　　アドレス　】http://www■kireidekawaii■com/zatudan/joyful/joyful■cgi
【気付いた日時】2月28日
【　　　 OS　　】Windows XP
【使用ブラウザ】
【WindowsUpdateの有無】最後は先週ごろ
【　アンチウイルスソフト】 Anti-Virus freeEdition
【その他のSecurty対策】 Spybot S&D
【ウイルススキャン結果】検出されませんでした
【スレログやテンプレを読んだか】 Yes
【hosts変更　無
【PeerGuardian2導入】無
【説明】
『怪しいアドレス』との判断した理由　アドレスを踏んだ後レスをみたら
あからさまな垢ハックとレスがあったので
467 ：(^ー^*)ノ～さん ：08/02/29 01:46 ID:dIg9gcIq0: chaosのあるGの掲示板
アカハックじゃないぽ
468 ：(^ー^*)ノ～さん ：08/02/29 02:15 ID:oGTIfTUX0: 管理人様、削除おつかれさまです。
469 ：(^ー^*)ノ～さん ：08/02/29 08:37 ID:UlyRODtM0: >あからさまな垢ハックとレスがあったので
事実に基づくコメントか、流言飛語の類かを見分けられるように頑張りましょう。
470 ：466 ：08/02/29 11:28 ID:maW39Ci+0: >>469
自分が未熟でした＞＜
これからはがんばります
471 ：(^ー^*)ノ～さん ：08/03/03 20:06 ID:bpXVj5Js0: 未だにアカハック露店を確認した
ひっかかる馬鹿はほんと絶えないな
472 ：(^ー^*)ノ～さん ：08/03/03 20:53 ID:+u0z47270: MMOBBSあぷろだ４３４０のZiｐ垢ハックVirus
みたいなのだが削除されないんだろうか
473 ：(^ー^*)ノ～さん ：08/03/03 20:55 ID:60CT3O/Y0: パス付きだし(このスレとしては)いいんじゃね?
ツールとかだったら削除してほしいが。
474 ：(^ー^*)ノ～さん ：08/03/03 21:01 ID:RwseLEJ30: >>472
アカハック付きと判断した理由は？

>>473
動画キャプチャ用ソフトのなんかの削除用ぽい。ほっといていいんじゃね。
どこのスレだか知らないけど、動画はOKって公式見解出てるし。
475 ：(^ー^*)ノ～さん ：08/03/03 22:48 ID:IoP5qJxH0: 被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/
476 ：(^ー^*)ノ～さん ：08/03/04 00:21 ID:TcyL7f2v0: >>472
いあカスペルスキーが反応したもんで…
今思うと過剰反応すぎたかもしれない

無駄にスレ埋めてすまない、これで消えるﾉｼ
477 ：(^ー^*)ノ～さん ：08/03/04 00:50 ID:PyjETge00: >>476
それは、「パスワード保護されたファイル」だから反応しただけ。次からはセキュスレで聞いてくれ。ﾉｼ

Password-protected-EXE

http://www.f-secure.co.jp/glossary/?KEYWORD=PSW-Worm
478 ：(^ー^*)ノ～さん ：08/03/04 10:26 ID:EBZMeWw20: あちこちの(中華罠ブログではない)FC2ブログのテンプレにiframeが仕込まれているらしい。
FC2内で踏んじゃったのか本人の管理画面から抜かれたのかは不明。
www■dda3■net
(略)
www■dda3■net/sys.exe
VirusTotalでまったく検知できなかった
(一部の何でも有害判定する誤検知大王は除く)。
479 ：(^ー^*)ノ～さん ：08/03/04 10:52 ID:PyjETge00: >>478
セキュスレに転記しておきますね。続はセキュスレで。
480 ：(^ー^*)ノ～さん ：08/03/04 10:58 ID:1VpCO9+W0: 罠の報告までセキュスレに飛ばしてどうするんだ……
481 ：(^ー^*)ノ～さん ：08/03/04 14:41 ID:uf276bb90: いつもの人だろ
482 ：(^ー^*)ノ～さん ：08/03/04 15:37 ID:1VpCO9+W0: 見慣れないドメインなので調べてみたら案の定福建省。
しかも出来立てのホヤホヤ。

>dda3■net
>61■238■148■106

>Domain name: dda3■net
>Creation Date:2008-02-26
>Expiration Date:2009-02-26

>Registrant Name: chenyuan
>Registrant Organization:
>Registrant Street1: longyan
>Registrant Street2:
>Registrant Street3:
>Registrant City: longyan
> Province: Fujian
> Country: China
483 ：(^ー^*)ノ～さん ：08/03/06 16:38 ID:+U55i0+10: お久しぶり･･･と書いていいのかな。
前スレッドの71です。

この度警察の方から最終的な報告を受けました。
結論としては、通信事業社にログが残っていない為それ以上辿る事が出来ず立件は無理であるようです。
（相手の中国人が分かり、警察の方々も東京で張り込みをしてくれたようです）

アカウントハッキングがあったと言う事実は分かったので
その旨をガンホーには伝え済みで、返答待ちとなっています。
画像UPをどこにしていいか分からないので、教えてもらえれば現状の画像をUPいたします。
484 ：(^ー^*)ノ～さん ：08/03/06 16:40 ID:DnxvJyRV0: ここでいいんじゃないか？
ttp://www.mmobbs.com/uploader/
485 ：(^ー^*)ノ～さん ：08/03/06 16:49 ID:+U55i0+10: >>484
ありがとうございます。

http://www.mmobbs.com/uploader/files/4368.jpg
アカウントハッキングにあった時の投稿。

http://www.mmobbs.com/uploader/files/4369.jpg
今日送った投稿の現在。

調べ事や忙しくアカウントハッキングにあっての３日後に警察へ行きました。
何か動きがあれば、再度画像UPします。
486 ：(^ー^*)ノ～さん ：08/03/06 16:55 ID:+U55i0+10: ちなみに運営から警察へ送られた資料などを一部見せてもらいましたが
アイテムの移動（誰から誰へ）とアイテム名のログがありました。

日時、IP、アカウント名、キャラ名、移動先キャラ名、アイテム名
といった順のログ資料です。
487 ：(^ー^*)ノ～さん ：08/03/06 17:05 ID:ROwxuFgf0: URI欄のセッションIDや投稿Noみたいなユニーク(一意)っぽいのは
消したほうがいいぞ。
488 ：(^ー^*)ノ～さん ：08/03/06 17:19 ID:+U55i0+10: 一部削除と画像変更でUPしなおしました。

今までの流れ
2007/08/10アカウントハッキングに遭う。
↓通報
テンプレ回答：不審な接続有無を現在調査（略）
↓（状況説明などを送る）
テンプレ回答：現在調査を行って（略）

この時点で一度警察へ相談。
次の日調書をまとめてもらいました。
↓
最終的に、一致しないID使用形跡が運営に確認される。

（何度か警察出向き、説明など）

2008/03/06
警察よりの回答＆運営に報告　→　現在：返答待ち
489 ：(^ー^*)ノ～さん ：08/03/06 18:31 ID:+U55i0+10: http://www.mmobbs.com/uploader/files/4370.jpg
そして返答来ていました。
490 ：(^ー^*)ノ～さん ：08/03/07 00:53 ID:fRe+2VPB0: 【　　アドレス　】www■geocities■jp/rofline/
【気付いた日時】昨日の23：50ぐらい
【　　　 OS　　】 WindowsXP SP2
【使用ブラウザ】IE6
【WindowsUpdateの有無】自動更新
【　アンチウイルスソフト】ウイルスキラー（イーフロンティア社製
【その他のSecurty対策】Spybot
【ウイルススキャン結果】検出されませんでした
【スレログやテンプレを読んだか】Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】とある掲示板でこれを踏んだのですが、その後垢ハックじゃないか？と
　　　　レスが付けられており、怪しいと判断しました。
491 ：(^ー^*)ノ～さん ：08/03/07 01:15 ID:ruitn25A0: >490
アカハックではないが、エミュ鯖のページっぽい。
削除依頼してきた方が無難かも。

というか「アカハックかも」というレスを見てハクと判断するのは
混乱を招くだけ。
警戒するに越したことはないけど鵜呑みは禁物。
492 ：(^ー^*)ノ～さん ：08/03/11 17:14 ID:ysgds8z+0: サーパラブログをチェックしていて見かけたもの。
罠iframe入りのブログを4つ見つけたので通報済み。

www■skywebsv■com/Blog/
www■skywebsv■com/Blog/k1■exe
k1は自己解凍cabで、2匹入っているので
2匹とも検知できることが望ましい(Dr.WEBとNOD32が両方捕獲)。

FC2ブログでも酷似したトロイが爆撃されており
先週あたりからFC2ブログそのもののアカハック
(というか罠iframeを勝手に突っ込まれる)が騒がれていた。
憶測だけど、2匹の片方はネトゲのアカハックだけど
片方はブログのアカハック(というよりインジェクション)なんじゃなかろうか。
493 ：(^ー^*)ノ～さん ：08/03/12 07:32 ID:KLyAGeXZ0: ↑検出率が悪い方を再スキャン。
各社に検体を送付してから15時間経過、AVGとKasperskyも捕獲。
ttp://www.virustotal.com/analisis/b1f0d3af89749ed3ea7cf1c9839555d2
494 ：(^ー^*)ノ～さん ：08/03/12 17:17 ID:KLyAGeXZ0: >>478 と同じ奴がまたFC2ブログで大暴れ中。
www■hellh■net/
(略)
www■hellh■net/win.exe
VirusTotalではDr.WEBとMicrosoft(笑)が撃墜。
各社に検体提出済み。
495 ：(^ー^*)ノ～さん ：08/03/12 23:16 ID:A0FoK2Io0: 936 名前：（○口○*）さん[sage] 投稿日：08/03/12(水) 17:21 ID:Ad3+AZap0
トレンドマイクロのウイルス情報ページが改竄、ウイルスを埋め込まれる
ttp://internet.watch.impress.co.jp/cda/news/2008/03/12/18775.html
バスター何やってんの…
496 ：(^ー^*)ノ～さん ：08/03/12 23:32 ID:CSTUPrv90: >>495
そういう一般的話題はセキュスレだから、あっちであってるよ。ここに持ち込まなくてok

>>494
ttp://%77%77%77■%68%65%6C%6C%68■%6E%65%74/%69%6E%64%65%78■%68%74%6D
ttp://%77%77%77■%68%65%6C%6C%68■%6E%65%74/%72%65■%68%74%6D

ttp://www■hellh■net/index■htm
ttp://www■hellh■net/re■htm

このファイルも提出しといたよ。

ttp://www■hellh■net/ と ttp://www■hellh■net/index■htm で
同じファイル名で、別のファイルが落ちてくるけど、気にせず両方提出。

*** index■htm ***
HTML/Infected.WebPage.Gen(AntiVir),HTML/Exploit!IFrame.G(F-Secure),
HTML/Exploit!IFrame.G(Norman),Script.Infected.WebPage.Gen(Webwasher-Gateway)

*** index(1)■htm ***
HTML/ADODB.Exploit.Gen(AntiVir),JS/Downloader.Agent(AVG),
Generic.XPL.ADODB.F2AD52C8(BitDefender),Downloader.AniLoad.nae(Ewido),
TrojanDownloader:JS/Psyme.MU(TrojanDownloader:JS/Psyme.MU),
Trojan.DL.JS.Agent.lio(Rising),Script.ADODB.Exploit.Gen(Webwasher-Gateway)

*** re■htm ***
HEUR/Exploit.HTML(AntiVir),Exploit(AVG),Exploit.HTML.Agent.Z(BitDefender),
Downloader.AniLoad.nae(Ewido),Exploit-RealPlay(McAfee),Exploit:HTML/Repl.B(Microsoft),
Hack.Exploit.Script.JS.RealPlayer.b(Rising),Heuristic.Exploit.HTML(Webwasher-Gateway)

*** win■exe ***
Trojan.MulDrop.origin(DrWeb),Trojan-PWS.Win32.OnLineGames.ssu(Ikarus),
Trojan-PSW.Win32.Nilage.cdj(Kaspersky),TrojanSpy:Win32/Lineage(Microsoft),
Heuristic: Suspicious Self Modifying File(Prevx1)
497 ：(^ー^*)ノ～さん ：08/03/12 23:33 ID:qf5xJ6ZJ0: www■testinghua■com/ragnarokonline/archives/2008/03/1112/20080311mov■zip

mixi米で見かけたんだが、ホントにあんなとこまで出張してんのか…
498 ：(^ー^*)ノ～さん ：08/03/12 23:47 ID:KLyAGeXZ0: >ttp://www■hellh■net/ と ttp://www■hellh■net/index■htm で
>同じファイル名で、別のファイルが落ちてくるけど、気にせず両方提出

dda3の時にもLiveROで書いた気がするけど、同じじゃないよ。
www■hellh■net/ のHTTPヘッダでは
Content-Location: www■hellh■net/Default.htm
Default.htmがindex.htmとre.htmをiframeで呼ぶ。
499 ：(^ー^*)ノ～さん ：08/03/13 05:35 ID:acTXxhlD0: >496
>そういう一般的話題はセキュスレだから、あっちであってるよ。ここに持ち込まなくてok
アフォか必要以上の自治はうざいだけだ
雑談してるなら、ともかくウィルス対策ソフトの情報ページが改竄されていたという情報は重要な情報だろう
アカウントハック対策にVBとか使ってる人だっているんだしな。
ただしこの話題に関して雑談するならセキュレスレへ移動だが
500 ：(^ー^*)ノ～さん ：08/03/13 06:27 ID:aWBFdBUN0: >>497
まだ、VirusTotalでは３社しか対応してない模様。カスペも定義更新する前はすり抜けていた。

Trojan.Win32.Inject.adp(F-Secure,Kaspersky)
Suspicious File(eSafe)

>>498
重ね重ねありがとう。いっつもHTTPヘッダ見てなくてすまん。orz
501 ：(^ー^*)ノ～さん ：08/03/13 17:07 ID:sHE/c0LN0: トレンドマイクロのページ改ざんで飛ばされた先はネトゲアカハックウィルスの模様
注意
502 ：(^ー^*)ノ～さん ：08/03/14 02:02 ID:RWCinNPO0: >>501
注意って…どうやって注意すりゃいいんだよと
503 ：(^ー^*)ノ～さん ：08/03/14 03:51 ID:r4V9lJel0: 被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/
504 ：(^ー^*)ノ～さん ：08/03/14 10:12 ID:Iyd5R/kmO: 497のやつ、ミクシーで踏んでしまったんですが
ノートン先生じゃ見つけられないし
OS再インスコしたほうがいいでしょうか
505 ：(^ー^*)ノ～さん ：08/03/14 10:23 ID:+qQ48ahO0: >>504
確かに、現時点のVirusTotal(パターンが最新とは限らない）ではシマンテックでスルーされてますね。
提出のかいあって、３社→１１社まで対応してますけど。
http://www.virustotal.com/analisis/e34d3623b8f647bb40b836792f962e89

で、こいつは、解凍して叩かない限りは感染しない。（自己解凍型じゃない）
カスペでは対応してるのでオンラインスキャンで見付けることは可能。

でも、安全かどうかの保証はできないので、推奨される（確実な）のは、ＯＳ再インストールコース。
506 ：(^ー^*)ノ～さん ：08/03/14 10:48 ID:Dte0SFCV0: ノートンは対応がめちゃくちゃ遅い。最初検知できなくて
後で送ってみたいなケースの場合は正直言って厳しい
(バスターやMicrosoftよりはるかに遅い)。
507 ：(^ー^*)ノ～さん ：08/03/14 11:23 ID:Iyd5R/kmO: >505.506

ありがとうございます
素直に再インスコします
508 ：(^ー^*)ノ～さん ：08/03/14 14:44 ID:Dte0SFCV0: 1つのFC2ブログに3匹もiframeを仕込んだ例(一部短縮URIを経由)
www■soracger■com/blog/
www■gamtyblog■net/wiki/
www■homepuon■net/blog/
↓iframe
www■caremoon■net/wiki/main.htm
↓MS06-014スクリプト
www■soracger■com/wiki/admin.exe
8日製造。
509 ：(^ー^*)ノ～さん ：08/03/15 03:46 ID:4KtTDZpn0: ガンスリスレに貼られていたもの。

｜375 ナリタレ New! 08/03/14 11:09 ID:xvHgBTuu0
｜RO イフリート戦
｜RO Ragnarok ラグナロク...RO Ragnarok ラグナロク
｜ttp://www■livedoorbloog■com/lin885/885■zip

カスペスルー。HIDDENEXT/Worm.Gen(AntiVir),Trojan.Inject.796(Dr.Web)
解凍すると入っているのは下記のファイル。何故か、解凍すると、AntiVirスルー…

->885.zip
-->mov000029.wmv.scr
--->013.exe
--->mov0023.wmv

新種っぽいので検体提出してきますね。
510 ：(^ー^*)ノ～さん ：08/03/15 10:33 ID:4KtTDZpn0: >>509

10:11 カスペより返答。次の定義更新で対応とのこと。
mov000029.wmv.scr_ - Trojan.Win32.Inject.aeu
511 ：(^ー^*)ノ～さん ：08/03/15 13:24 ID:ncFS/0bT0: lin886/886.zipもlin887/887.zipもある。撃墜。
512 ：にゅぼーん ：にゅぼーん: にゅぼーん
513 ：にゅぼーん ：にゅぼーん: にゅぼーん
514 ：(^ー^*)ノ～さん ：08/03/19 07:30 ID:nb5yj3Fr0: FFXI系のFC2ブログの偽装。
blog20fc2■com/ff11diary/
iframeは既出のinfosueek(略)。
515 ：(^ー^*)ノ～さん ：08/03/19 09:11 ID:6C1I9Ril0: どう考えても警察に出頭なんて気にはなれん！
ROよ５年間ｻﾝｸｽｸﾞｯﾊﾞｲ
516 ：(^ー^*)ノ～さん ：08/03/19 09:38 ID:S4sexCFy0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
517 ：(^ー^*)ノ～さん ：08/03/19 14:36 ID:E/nIV+2T0: >>509
うちのはてなダイアリな日記にも張ってあったので書いておく

Dr.マリオのメロで、「はじめてのともだち」【ヒャダイン】
ヒャダイン、11作目です。最初に謝っておきます、サーセンｗｗｗmixiのリクエストにドクターマリオがあ...
http://www■livedoorbloog■com/lin885/885■zip

こんな感じ。しかも本人が書き込んでいる。
はてなユーザーがログイン状態で他のはてなの日記に書き込んだら、ユーザーネームからLinkでその人のはてな日記に飛べる。

っhttp://d.hatena.ne.jp/Uncool/　　　←ここが配布元のサイトの模様、何せ日記にZIPはってる。
※↑ははてなダイアリのため垢ハックアドレスではありません、ご安心ください。
518 ：(^ー^*)ノ～さん ：08/03/19 18:22 ID:em6QsCyE0: 垢ハック・又は罠を踏んでから、OSの再インストールをせずにカスペル等で
駆除した後被害にあった報告って今までにありました？
519 ：(^ー^*)ノ～さん ：08/03/19 20:17 ID:pkeYl+BT0: >>518
ありました。再インストがんば
520 ：(^ー^*)ノ～さん ：08/03/19 20:29 ID:Lx5lyYJ80: たとえ今までなくても
これから間違いなく起こるであろう事例だな
521 ：(^ー^*)ノ～さん ：08/03/19 21:03 ID:em6QsCyE0: そうですよね
OSのCDなくしちゃって、買うか迷ってましたが買うことにします
522 ：(^ー^*)ノ～さん ：08/03/20 10:45 ID:I9JGKeR80: 【　　アドレス　】http://momohac■blog34■fc2■com/blog-entry-1■html
【気付いた日時】今日の10時過ぎ
【　　　 OS　　】 WindowsXP　SP2
【使用ブラウザ】 FireFox2.0
【WindowsUpdateの有無】自動更新時
【　アンチウイルスソフト】
【その他のSecurty対策】 Spybot、ルータ
【ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見等)
【スレログやテンプレを読んだか】今から読みます
【hosts変更】　無
【PeerGuardian2導入】　有
【説明】
RMC閲覧時、URLを踏んだところPGが反応+ブログ内容がおかしかった為

ソースチェッカーで調べたところ
インラインフレームタグにVBSスクリプトでttp://www■shagigi■net/navi/admin■exe
接続先が中国だったので一応報告。

念のためこれから再インストール行ってきます
523 ：(^ー^*)ノ～さん ：08/03/20 10:52 ID:QfCWB+lE0: >>522
同アドレスはセキュスレで報告例あり。１つのexeだが２種類入れられることに注意。
もろに発動させてPG2で水際阻止したみたいですね。念のためどころか、しっかりがっつり感染してます。

OS入れ直したら、PG2だけでなくセキュリティソフトもちゃんと入れとけ。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/52
524 ：(^ー^*)ノ～さん ：08/03/20 17:05 ID:vMNSN/130: ずっと前に踏んでたんじゃねーの?
いまどきのトロイは
>RODLL.DLL
こんなわかりやすい名前は付けない(あるいは囮)。
525 ：(^ー^*)ノ～さん ：08/03/20 18:14 ID:H6YOy+AK0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
526 ：(^ー^*)ノ～さん ：08/03/21 02:21 ID:yH1XR5bS0: ○○のひとつ覚えみたいに誘導URL貼り付けるバカがいるから
次からのタイトルは

【雑談・対策・相談は】アカハク情報集積・分析スレ【LiveROへ!!】

にしようぜ。
なまじ総合なんて付けるから色々書き込みされるって
ずっーと前から言われてるからな。

次にお前は｢ＬｉｖｅRoへの誘導URLを貼り付ける！！
527 ：(^ー^*)ノ～さん ：08/03/21 07:19 ID:a7FvJ+Go0: 公知書き写しスレでの突っ込み誘導は叩かれないのに、
なんでこっちだと
親の敵みたいに叩かれるんだろうな。

まあ>>526のタイトルには賛成。

あと誘導は

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/

これだけでいい気がする。
528 ：(^ー^*)ノ～さん ：08/03/21 15:00 ID:Yt9uSxT+0: 土日に向けて新種が大量に投下(あるいは更新)されているので注意。
例 ttp://www.virustotal.com/analisis/ac9b75b1bfca82b29a5801da2ff0aa36
主だったベンダには提出済み。
529 ：483 ：08/03/23 07:18 ID:ewN9Gn620: http://www.mmobbs.com/uploader/files/4447.jpg
１８日の定期メンテでアイテムZenyが復旧しました。
どのぐらい復旧されたか見た所、大体８割のアイテムは戻ってきていました。
Zenyはさすがに分かりません。
530 ：(^ー^*)ノ～さん ：08/03/23 14:27 ID:F9lx3zZZ0: dda3、hellhと同じ奴の新種
www■fccja■com
(スクリプトは省略)
www■fccja■com/com.exe
スルー多め。しかしこの手のはDr.WEB強いな
531 ：(^ー^*)ノ～さん ：08/03/23 16:33 ID:xgw+DUnZ0: >>530
捕獲した検体を、スクリプトも含め、各社に提出しときました。/(^^)

e.js -> d1.asp -> com.exe

d1.aspはVirusTotalで全部スルーされてました。
スクリプトの検知避けで、数値を直接キャラクタに変換せず、数値を演算してからキャラコードに直して書き出す形式。
書き出されたもの自体は幾つかのソフトが捕獲するようです。

ダウンローダで検体落とす時に、すんなり行った（PG2でブロックしなかった）と思えば、IPがUSでした。
PG2での防御避けか、他国にサイトをおいてありますが、今後は、送信先も他国に移行する可能性があるのかな。
本体そのものより、そっちに警戒が必要かも。
532 ：(^ー^*)ノ～さん ：08/03/25 00:22 ID:LwVKZiLL0: 【　　アドレス　】http://www■baldur■jp/kimoloader/src/kimo0903.jpg
【気付いた日時】 (感染？に気付いた日時) 昨日
【　　　 OS　　】 (SP等まで書く) XP sp2
【使用ブラウザ】 (バージョン等まで分かれば書く)　火狐 2.0.0.12
【WindowsUpdateの有無】 (一番最後はいつ頃か、等) 今月頭くらい
【　アンチウイルスソフト】ノートン先生 2004
【その他のSecurty対策】 (Spybot S&D、ルータ、等) ルータは有
【ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見等) 　スキャン中
【スレログやテンプレを読んだか】 (Yes/No/今から読みます) Y
【hosts変更】(有/無　[有りの場合は最終更新は何時ごろか])　有　昨年夏ごろ
【PeerGuardian2導入】(有/無 [有りの場合は参照元サイトはどこか) 有　リネ資料室
【説明】開いたら真っ白…なんとなく怪しく思えたので。
533 ：(^ー^*)ノ～さん ：08/03/25 00:22 ID:LwVKZiLL0: sage忘れた…失礼。
534 ：(^ー^*)ノ～さん ：08/03/25 00:46 ID:/OJK24Me0: ただの真っ白な画像だ
535 ：(^ー^*)ノ～さん ：08/03/25 09:09 ID:BiEtcRBs0: 【　　アドレス　】http://f13■aaa■livedoor■jp/~ragd/cgi/upld/img/191■jpg
【気付いた日時】1時間ほど前
【　　　 OS　　】WinXP SP2
【使用ブラウザ】IE6
【WindowsUpdateの有無】ごく最近。改めてチェックした所更新ファイルは無し
【　アンチウイルスソフト】KingsoftInternetSecurity
【その他のSecurty対策】無し
【ウイルススキャン結果】上記ソフトで完全スキャンの結果異常なし
【スレログやテンプレを読んだか】テンプレは読みました、スレログはアドレスで検索しました
【hosts変更】無し
【PeerGuardian2導入】無し
【説明】
リンクをクリックした所、表示不能マークが左上ではなく中央に出て
普通なら出ないはずのポップアップ（XP標準の機能によってブロック）が出ました。
直感的に不安を覚えソースチェッカーオンラインでチェックしたところ、
どうやらjpg形式は偽装で中身はhtml構文らしく、
リンクが内部的に「www■zhangweijp■com」にアクセスが繋がっている事が分かりました。
調べてみたところリネージュ中心の垢ハックサイトと言う事のようです。
ページを開いた際にはウィルスをガードした旨のウィンドウは表示されませんでした。
画像の投稿日時が2007年3月と古いものなので正常に動作しているかわかりませんが、
心配なので相談させていただきま