アカウントハック総合対策スレ9

■掲示板に戻る■ 全部 1- 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 最新50

レス数が1000を超えています。残念ながら全部は表示しません。

アカウントハック総合対策スレ9

1 ：夢 ★ ：07/11/25 11:04 ID:???0: アカウントハックに関する情報の集積・分析を目的とするスレです。
被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

・関連＆参考情報アドレス (>>2)
・報告用＆質問用テンプレ (>>3, >>4)
・アカウントハック対応の要点とFAQ (>>5)
・安全対策の簡易まとめ (>>6)
・アカウントハッキングについて（ガンホー公式）
　 http://www.ragnarokonline.jp/playguide/hacking/

■スレの性格上、誤って危険なURLがそのまま貼られてしまう可能性がある■
■URLを無闇に踏んで回らないこと。報告・相談はテンプレを利用すること■

※ ID/Pass/サーバ/キャラ名等の情報は公開しないでください
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません
※ ネタや程度を超えた雑談・脱線はご遠慮ください

・スレ立て依頼は>>970がしてください。反応がなければ以降10ごとに。

【一般的話題用】
セキュリティ対策、質問・雑談スレ3
　http://enif.mmobbs.com/test/read.cgi/livero/1186660300/
301 ：298 ：08/01/16 21:22 ID:W6FVrO2I0: >>299
もし万が一、垢ハクしてきた側の手元にIDが残っていた場合
ツール等でしらみつぶしにパスを抜かれちゃうのでは・・・と考えました

>>300
なるほど、ありがとうございます
参考にさせていただきますね
302 ：(^ー^*)ノ～さん ：08/01/16 21:22 ID:GGsg2d/00: ハックされた事実に気がつくまでの時間、及び、パスワード変更までの猶予時間が短ければ、比較的に他のトラブルは
少ないとみて良いでしょう。
但し、他のゲームでも話に出てくる事がありますが、業者が稼ぎ用に投入していたり、ロンダリング目的で中継に使っていた場合、
一切トラブルに巻き込まれていない場合と比較してリスクは高いかもしれません。
303 ：(^ー^*)ノ～さん ：08/01/16 21:55 ID:bFnHZyZu0: >>297
報告ありがとうございます。セキュスレの方に同じアドレスの投稿ありましたね。

カスペ検出名：Trojan.Win32.Inject.qt
304 ：(^ー^*)ノ～さん ：08/01/18 19:37 ID:CJDmofmy0: うちのWebサイトの拍手にハクアド来ました。
Web拍手の報告ってこのスレじゃ初めてじゃないかな。

www■gamehanbook■com/esports
アドレス自体は既出
305 ：(^ー^*)ノ～さん ：08/01/19 07:13 ID:COPwHW0a0: >>304
www■gamemmobbs■com/esports/ro2■exe
>>284-285 で予見されていたro2■exeだｗ
306 ：(^ー^*)ノ～さん ：08/01/19 09:52 ID:lnAEscEQ0: >>304-305
ttp://www■gamehanbook■com/esports/
ttp://www■gamemmobbs■com/esports/Ms06014■htm
ttp://www■gamemmobbs■com/esports/ani■c
ttp://www■gamemmobbs■com/esports/ro2■exe

index■htm : JS/Agent.CG
Ms06014■htm : Trojan-Downloader.JS.Psyme.kf
ani■c : Exploit.Win32.IMG-ANI.ac
ro2■exe : Trojan.Win32.Inject.qt
307 ：(^ー^*)ノ～さん ：08/01/19 14:53 ID:Pz0dBvk00: >>304
遂にweb拍手も標的にされ始めたか。
設置のお手軽さ故に、spamに狙われると被害拡大の規模が恐ろしい事になりそうだ。

とりあえず、メッセージのフィルターが可能な支援cgiが存在するので、導入を検討してみると良いかもしれない。
ttp://www.kototone.jp/com/webclap29.html

心配であれば、「web拍手支援cgi」で検索可能。
単純一致による投稿拒否、リモートホストによる拒否など、一通りの設定が出来る模様。
webclapからのレンタル版を使用している場合は、この機会にcgi版に置き換えるのも手。

後は、公式BBSでの注意喚起も、並行して行った方が良いのかもしれない。
> web拍手の荒らしについて・６
ttp://www.webclap.com/bbs2/index.html?mode=view&thread=107
308 ：(^ー^*)ノ～さん ：08/01/20 12:40 ID:+YeV8WYx0: 最近自分のブログとwiki(livedoor)に相次いで妙なアドレスが張られていたので
このスレで確認してみようと思ったら一個近いのがあったので垢ハクと判断。

ttp://www■caremoon■net/wiki/
ttp://blog186■blog34■fc2■com/
改ざんされてたのに一月近く気付かなかった代物。

ttp://gtvxi■com/uplink1028/9974link/
ttp://imbbs2t4u■com/up743205/jbbs578601/
下のはwikiとブログの両方に張られていた物。

とりあえずwikiの方は書き込み制限するようにしました。
ブログコメントに関しては常に注意呼び掛けるようにします。
309 ：(^ー^*)ノ～さん ：08/01/22 01:54 ID:iL/ESuri0: 【　　　気付いた日時　　　　　】 2008.1.15　18:33
【不審なアドレスのクリックの有無　】ブログにコメントがあり、踏みました
ttp://infosueek■com/cooking
【他人にID/Passを教えた事の有無】 (Yes)
【他人が貴方のPCを使う可能性の有無】 (No)
【　　ツールの使用の有無　　　】 (No)
【　ネットカフェの利用の有無　　　】 (Yes)
【　　　 OS　　】ＷＩＮ　ＸＰ（詳しくわかりません）
【WindowsUpdateの有無】自動更新
【　アンチウイルスソフト】かかるまでウイルスセキュリティ対策　というソフトを使ってました。自動更新なので最新です
【その他のSecurty対策】上記のアドレスを踏んでからアドアウェイで検索し、カスペルスキー体験版を入れて検索もしました。
【スレログやテンプレを読んだか】部分的に読みました。
【hosts変更】(有/無　[有りの場合は最終更新は何時ごろか])
【PeerGuardian2導入】(無 )
【Webヘルプデスクへの報告】（無)
【説明】上記のＵＲＬに飛んだら真っ白な画面が出ました。
知り合いのハック系に少し詳しい人にこのＵＲＬ先のソースをを見てもらうと
ホスト元は中国で隠しスクプリトだらけということで断定は出来ないけど、高確率で垢ハックだろうと言われました。
アドアウェアというスパイウエア駆除ツールを勧められ、検索しました。

けど早とちりして「今作動しているプログラムだけの検索」の方で検索してしまっていて、途中でそれに気づき中断しました。
その１分たらずの検索で出てきたのが危険度８のスパイウエアでした。（ＭＡＸ１０）

それを駆除し、「ドライブすべてを検索」の方で検索すると今度は１つもスパイウェアが出てきませんでした。
教えてくれた方にそれはおかしいと言われたのですけど、このソフトで出なければ大丈夫。と言われこの話は終わってしまいました。

駆除されると思って形を変えてどこかにスパイウェアが隠れてるんじゃないかと不安で別の人に相談すると「カスペルスキーがいいよ」と言われ、それでも検索しても何１つ出てきませんでした。
この２つで検索して何も出てこないと言う事はもう大丈夫と思っていいのでしょうか？
310 ：(^ー^*)ノ～さん ：08/01/22 01:57 ID:W8f/iqem0: ・アンチウイルスソフトでウイルスが見つからないのでもう大丈夫だよね？
　　100％の保証は出来ません。ウィルスが見つからなかった場合、チェックに使った
　　アンチウィルスソフトでは発見出来なかっただけです。本当にウィルスが居ないのか、
　　それとも検知を免れているだけなのかは判りません。
　　自信が無い場合はHDDをフォーマットの上、PCの再セットアップを考えるべきです
311 ：(^ー^*)ノ～さん ：08/01/22 14:42 ID:qgsl0Cs00: >>307
結構前から、web拍手に投下してる奴はいる
比較的マイナーなサイトでも話題に上がってた
312 ：(^ー^*)ノ～さん ：08/01/22 22:23 ID:3SvlaUNrO: そもそも他人にID教えたことあるとか
垢共有乙じゃね？
引退オススメ
313 ：(^ー^*)ノ～さん ：08/01/23 01:00 ID:tPy+8DyL0: 【　　アドレス　】http://spesmist■blog28.fc2.com/
【気付いた日時】ついさっき。ROとは関係ないWikiを見た時。
【　　　 OS　　】WindowsXP　HomeSP2
【使用ブラウザ】IEです
【WindowsUpdateの有無】アップデートは入ったら入れてます
【　アンチウイルスソフト】WindowsLiveOnecare
【その他のSecurty対策】ルーター
【ウイルススキャン結果】踏んだ時に対策ソフトが警告を出してくれてその時削除しました。その後カスペルスキーでスキャンして見ましたが何も出ていません。
【スレログやテンプレを読んだか】テンプレは一応読みました
【hosts変更】無し
【PeerGuardian2導入】無し
【説明】ウイルス対策ソフトが反応したため。ROにログインしている状況でWikiを見て感染したのですが、すぐ削除した場合どうなるのでしょうか。
314 ：(^ー^*)ノ～さん ：08/01/23 01:03 ID:tPy+8DyL0: 313ですが。
カスペルスキーで再度検索したところ感染がありました。
315 ：(^ー^*)ノ～さん ：08/01/23 01:11 ID:Ie4DqmKL0: ならログアウトしたら再度ログインは控えるように
316 ：313 ：08/01/23 01:27 ID:tPy+8DyL0: カスペルスキーのスキャンで出てきた名称は"Trojan-Downloader.VBS.Agent.hi"
と"Trojan-Clicker.HTML.IFrame.il"らしいです。
全然わからないです('A')
317 ：(^ー^*)ノ～さん ：08/01/23 02:14 ID:kzeAXSyr0: >>316
分からなかったら調べる (｀・ω・´)

Trojan-Downloader.VBS.Agent.hp(hiはなかったのでこれかな)
ttp://www.viruslistjp.com/viruses/encyclopedia/?virusid=247763
Trojan-Clicker.HTML.IFrame.g(同じくilなし)
http://www.viruslistjp.com/viruses/encyclopedia/?virusid=125408

というか、Onecareで対応した方がいいのかもね
カスペのオンラインスキャンで駆除できるわけではないし
Onecareでは何という名前で出ていたのか分からないから検索が出来なかった (´・ω・｀)
318 ：(^ー^*)ノ～さん ：08/01/23 04:52 ID:RVYxqRSF0: >>316
それは両方とも、ダウンローダ（IEのキャッシュかな)。

なんたらIframeは、縦か横のサイズを0にしたIframe呼び出しで別サイトのhtmlを閲覧者に隠して読み込ませるもの。
VBSってのは、アカハック本体を読み込ませるものだが、VBで本体の名前が難読化されているもの。

この段階でブロックできているなら、水際阻止ということだが、今回は「事後に確認」しているので
本体を入手してしまっている可能性がある。VBSの奴は、２～３種類落としてくるものが一般的で
LiveOneCareが本体をブロックしていても「ブロックできていない本体がいる可能性が高い」。
（あとでチェックしたカスペをすり抜けるものが含まれていたなら、発動させていると思った方がいい）

「説明」を読む限りは、接続中ではあったが「ログイン作業は行なっていない」ということのようなので、
現時点では盗まれていない筈。だけど、上に書いたようにすり抜けている可能性が十分にあるので
「あなたが踏んだ時から、ファイルの変更がなく」「カスペオンラインスキャン時のパターンで検知可能な
ものしか置かれていなかった」という２つの前提条件をクリアできない限りは、OSの入れなおししかない。

■踏んでからログインなどを一切していない場合
・早急なOSの再インストールを推奨

■一度でもログイン等してしまった場合
・安全な環境（詳細はテンプレ参照）から、パスワードの変更を行なう
・その後で、OSの再インストールをゆっくりとどうぞ。
319 ：(^ー^*)ノ～さん ：08/01/23 05:11 ID:RVYxqRSF0: >>313
ttp://spesmist■blog28■fc2■com/
ttp://www■teamerblog■com/blog/
ttp://www■panslog■net/wiki/index1■htm

ttp://www■panslog■net/wiki/send■exe
ttp://www■panslog■net/fc2/cery■exe
ttp://www■panslog■net/wiki/reco■exe

カスペ検出名
->fc2のindex■htm（カスペすり抜け）
-->アカハックサイトのindex■htm－－－Trojan-Clicker.HTML.IFrame.il
--->VBSで本体をダウンロードするindex1■htm－－－Trojan-Downloader.VBS.Agent.hi
---->send■exe（本体１）－－－Trojan-PSW.Win32.Delf.aih
---->cery■exe（本体２）－－－Trojan-PSW.Win32.OnLineGames.lyx
---->reco■exe（本体３）－－－Trojan.Win32.Inject.ms

send■exe（PWS:Win32/Lmir.BMT）
ttp://www.virustotal.com/analisis/d74b020f6bb8c953b4aa632429764ec3
cery■exe（Microsoftすり抜け）
ttp://www.virustotal.com/analisis/9b0cf477874077a5974b7689b0ff6640
reco■exe（Microsoftすり抜け）
ttp://www.virustotal.com/analisis/98ce162e72789db5705dad5827fd2f31

多分、WindowsLiveOnecare が反応し、ブロックできたのは「send■exe」のみ。
他の２つは、切断前にダウンロードしていた可能性があるし、send■exeをブロックする
段階までいったとなると、それを読み込ませようとするレジストリへの変更などが
index1■htmのVBScript実行時点で行われてしまっている。

やはり、早急なOS入れなおしが必要と思われる。もちろん、カスペオンラインスキャンで
「Trojan-PSW.Win32.OnLineGames.lyx」と「Trojan.Win32.Inject.ms」が出てこないので
１つめを入手しようとした時点で切断しており、残りを入手していないと信じて、自己責任で
使い続ける方法もあるが、お勧めはできない。
320 ：(^ー^*)ノ～さん ：08/01/23 05:45 ID:0Ng+OrFr0: すみません、便乗で相談させてください。
>>313さんとほぼ同じ時間で同じ罠ブログを踏んでしまいました。
（ちなみに、ROとは無関係な動画製作関連wikiのメニューを書き換えたもので、現在は修正されているようです）
状況は次の通りです。

【　　アドレス　】http://spesmist■blog28■fc2■com/
【気付いた日時】08/01/23　01時過ぎころ
【　　　 OS　　】WindowsXP Home SP2
【使用ブラウザ】Firefox2.0.0.11
【WindowsUpdateの有無】自動更新/最新の状態です
【　アンチウイルスソフト】Norton internet security 2008
【その他のSecurty対策】ルータ
【ウイルススキャン結果】最新定義状態のノートンで検出なし、カスペオンラインで検出なし
【スレログやテンプレを読んだか】読みました
【hosts変更】無
【PeerGuardian2導入】無
【説明】踏んだ時にノートンの反応はありませんでしたが、wiki内ページのはずが外部ブログ、
それもROプレーヤーの日記を装っていたためアカウントハック目的の偽装書き換えだと思い、
こちらのスレッドを拝見したところ>>313さんの書き込みを見つけました。

すぐに感染の恐れのないPCで各種パスを変更し、キャラクターをログイン状態にしています。
踏んでしまったPCでは
・Firefoxのキャッシュとクッキーをクリア
・Temporary Internet FilesフォルダとIEのクッキーをクリアし、
・\Temp\top.exe
・\windows\system32\exploreref.exe
・\windows\system32\systemlf.dll
がHDD内に存在しないことは確認しています。

念のためOSの入れ直しを考えていますが、検索しても把握できなかったので次の2点について教えていただければ幸いです。
上記の状況では、閲覧はしたが一応食い止めたという可能性が高いと考えられてよいでしょうか。
また、上記レスで指摘されているダウンローダは、Firefoxで閲覧した場合にはどのように動作するのでしょうか。
（動作しない、IE同様に動作する等）どうぞよろしくお願いいたします。
321 ：(^ー^*)ノ～さん ：08/01/23 06:22 ID:RVYxqRSF0: >>320
・基本的に、FireFoxでもIEと同様に動作する。
・>>319のVirusTotalの結果を見てわかるように、本体自体はパターン更新していればノートンでもブロック可能。
・本体入手前（もしくはダウンロード完了前）に切断が間に合っている可能性はあるが保証できない。
　そのため、OSの入れなおしは推奨する。

>上記の状況では、閲覧はしたが一応食い止めたという可能性が高いと考えられてよいでしょうか。
・反応していないことをもって、食い止めたと判断はできない。
　（踏んだタイミングによってはファイルが差し替えられている可能性もある）
・>>319の調査時点と踏んだ時点でファイルが同じであると仮定した場合、同じ名称（ノートンの名称では
　かかれていないが）で、すべてブロック履歴があれば、ブロックできた可能性が高いと言えるが、
　「検知されなかった」場合は、可能性が複数考えられるので、「判断のしようがない」。
322 ：(^ー^*)ノ～さん ：08/01/23 08:34 ID:2T1RtJHM0: 自ブログのコメントより垢ハックと思われるアドレス。
blogrogame■blog18■fc2■com
エキサイトブログは今年に入ってからハクアド貼り付けが多くなってますね。
323 ：313 ：08/01/23 09:00 ID:fekc07+rO: おはようございます。
今は家から出てしまったので帰宅してからOSの入れ直ししようと思います。

後から出た物はOneCareでは検出できませんでした。
324 ：(^ー^*)ノ～さん ：08/01/23 12:33 ID:GRAYm8+l0: >>322
それ、インラインフレームでwww■symphones■comにアクセスさせ、
vbscriptで何かのコードを実行させようとしているな。hostsに追加だわ。
325 ：320 ：08/01/23 12:54 ID:0Ng+OrFr0: >>321さん

320です。わかりやすい解説ありがとうございました。
いくつか既出のことも質問してしまい申し訳ありませんでした。
仰る通り、「未検出」「無反応」ですと様々な状況が考えられますので、
重要なデータを退避させた上でOSの再インストールをすることにします。
今後はRO以外のサイトを見る時も十分注意するようにします。感謝です。
326 ：(^ー^*)ノ～さん ：08/01/23 15:47 ID:RfsBmJpz0: lokiwikiの同盟関係のとことか、クリックしたら画面真っ白になったんだけど
これは大丈夫なのかな・・・だれか調べられませんか？
327 ：(^ー^*)ノ～さん ：08/01/23 15:52 ID:4tXEoCCX0: 対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/351n
328 ：(^ー^*)ノ～さん ：08/01/23 15:56 ID:RfsBmJpz0: >>327
そっちに移動します、誘導ありがとう
329 ：(^ー^*)ノ～さん ：08/01/24 03:54 ID:LN8mY3z40: うっかりどころかﾎﾟﾁっと踏んでしまった･･･
【　　　気付いた日時　　　　　】踏んだ直後　カスペが即反応　トロイ
【不審なアドレスのクリックの有無　】 gtvxi■com/uplink1028/9974link/
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【　　ツールの使用の有無　　　】 No
【　ネットカフェの利用の有無　　　】 No
【　　　 OS　　】 XP professional SP2
【使用ブラウザ】 Sleipnir v2.6.1
【WindowsUpdateの有無】自動更新なので最新
【　アンチウイルスソフト】カスペルスキーインターネットセキュリティ7.0 定義データベース2008/1/23/23:23:59更新
【その他のSecurty対策】無し
【ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見等)
【スレログやテンプレを読んだか】今から読みます
【hosts変更】無し
【PeerGuardian2導入】無し
【Webヘルプデスクへの報告】無
【説明】
とりあえずｸﾘｯｸした瞬間トロイ検知とカスペが反応して即座に遮断しました。
その後、すぐにﾙｰﾀｰ有＆別回線のPCから癌ID、垢ID、ﾊﾟｽを全て変更しました。

やはり安全策はフォーマット＆OS再インストールでしょうか？
330 ：329 ：08/01/24 04:05 ID:LN8mY3z40: ちなみに先ほどCドライブをスキャンしたら脅威はないとのことでした。
ただ、イベントレポートに
2008/01/24 3:50:28 プロセス (PID 580) は次の行為を試みました。：(PID 2144)のプロセスがカスペルスキーインターネットセキュリティにアクセスしようとしています。セルフディフェンス機能が有効に働きこの行為を防御しました。処理は完了しているので何もする必要はありません

これが表示されました
本体DLしてしまった可能性が高いでしょうか？
331 ：(^ー^*)ノ～さん ：08/01/24 11:30 ID:TaWLDh+00: >>329
＞その後、すぐにﾙｰﾀｰ有＆別回線のPCから癌ID、垢ID、ﾊﾟｽを全て変更しました。
踏んだ後、ログインを１度も行なっていなければ盗まれる心配は無い。
アカハックの削除もしくは安全な環境の再構築だけでいい。

カスペがダウンローダの時点でブロックした「可能性」はある。
カスペのログから、何をブロックしたのか確認してみるといい。あとの判断は自己責任だ。
下記の情報で判断できないようなら、OSの再インストールをお勧めする。

ttp://gtvxi■com/uplink1028/9974link/
ttp://www■mbspro6uic■com/indexff■htm
ttp://www■mbspro6uic■com/naizi/nait■htm
ttp://www■mbspro6uic■com/naizi/tani■c
ttp://www■mbspro6uic■com/indexff■htm
ttp://www■mbspro6uic■com/naizi/nai■htm
ttp://www■mbspro6uic■com/naizi/ani■c
ttp://www■mbspro6uic■com/naizi/ff22■exe
ttp://www■mbspro6uic■com/naizi/rbt1■exe

カスペの検出名
->index■htm : サイズ0のiframe呼び出し（カスペスルー）
-->indexm■htm : Trojan-Downloader.HTML.IFrame.dv
--->nait■htm : Trojan-Downloader.JS.Psyme.kf
--->tani■c : Exploit.Win32.IMG-ANI.ac
---->rbt1■exe : Trojan-Downloader.Win32.Delf.dsz
-->indexff■htm : Trojan-Downloader.HTML.IFrame.dv
--->nai■htm : Trojan-Downloader.JS.Psyme.kf
--->ani■c : Exploit.Win32.IMG-ANI.ac
---->ff22■exe : Trojan-PSW.Win32.OnLineGames.fcj
332 ：329 ：08/01/24 12:37 ID:LN8mY3z40: >>331
-->indexm■htm : Trojan-Downloader.HTML.IFrame.dv

まさにこれですね･･･

とりあえずOS再インストールしてみます
333 ：329 ：08/01/24 15:03 ID:vtyRkbXn0: 結局ﾌｫｰﾏｯﾄ&OS再ｲﾝｽﾄｰﾙしました。
まだｸﾗｲｱﾝﾄのｲﾝｽﾄｰﾙはしていません。
ただ、329を書く前にIDﾊﾟｽなどを全て変更したあとで別回線&別PCからｹﾞｰﾑにINしてしまいました。

テンプレだと厳禁となっていますが、それは踏んだPCでのINが
危険という意味だと思ったので

踏んだPCはOS再ｲﾝｽﾄｰﾙしたあとで再びIDﾊﾟｽを全て変更しましたが
あとは運でしょうか･･･
334 ：(^ー^*)ノ～さん ：08/01/24 18:04 ID:+M+3knFF0: >>329
アカハックの手口というのは

１）URLを踏ませ、ウィルスをインストールさせる
２）ID/パスワードを盗む
３）盗んだものでログインしアイテムを盗む

という流れなわけですが、今現状確認されているウィルスの殆ど（全てとは言い切らない）が
ウィルス感染以前に入力・送信していたID/パスはウィルスにはわからないし盗めない。
２）を行うにあたって「誰かがウィルス感染PCよりID/パスワードを入力・送信する」という作業が必要。

なので、「感染PCからのログインは厳禁」となります。

このあたりの流れをきちんと自分の頭で整理してみて？
そうしたら>>333で言ってることが微妙にちんぷんかんぷんなことがわかると思う。

考えるのが嫌なら結論だけ言えば
・OSをクリーンインストールしたPCでパスを変更したならアカハックされることは99.9％ない。
（残りの0.1は現時点で確認されていないウィルスによる被害と思ってください）
335 ：(^ー^*)ノ～さん ：08/01/24 18:56 ID:gjCW1F740: RO2時限式のワームが本日発動パッチに入っていた模様
みじんこなので駆除が精一杯で内容不明

あとは偉い人に任せます
336 ：(^ー^*)ノ～さん ：08/01/24 18:59 ID:mTVATdqQ0: >335
日本語でおｋ
337 ：(^ー^*)ノ～さん ：08/01/24 19:00 ID:CfV06Ed70: いや、もう来なくて良いよ
338 ：(^ー^*)ノ～さん ：08/01/25 13:07 ID:xhv0ZMXM0: ＦＥＺもプレイしている人へ｡

ＦＥＺのＷｉｋｉがアカウントハックに書き換えられているらしい｡
未確認だがトップページからあやしいブログに飛ばされるそうだ｡
ＦＥＺ自体は装備がトレード不可だったりするわけで
アカウントハックのうまみはないが､複数の掛け持ちプレイヤーが多い｡
ＦＦやＲＯ､リネージュのアカウントをハックしようとしていると思われる｡
注意されたし｡
339 ：(^ー^*)ノ～さん ：08/01/25 13:29 ID:iDKVREUk0: 差分から抽出。
ttp://poikiy■blog98■fc2■com/
該当ユーザーBlogは既に凍結済みの為、追跡はできず。

ただ、掛け持ち狙い以外にも、ハックされたアカウントにオーブ(ROに例えればShopPoint)が残存していれば、課金アイテムを
プレゼントという形で別のアカウントに贈与する事は可能なので、ノーリスクとも言えない。
それに、自国に不利な活動を行う工作員として、盗用アカウントを活用される恐れもある。
340 ：(^ー^*)ノ～さん ：08/01/25 19:43 ID:s4ACceQ20: GGXXwikiにも爆撃されてたね、そのURL
341 ：(^ー^*)ノ～さん ：08/01/25 20:00 ID:AmULkVa50: 後ろが違うだけの気がしますけど・・

infosueek■com/roeng/
ＩＰ：218.86.91.17
342 ：(^ー^*)ノ～さん ：08/01/25 20:13 ID:1NbIRP2a0: >>341
infosueek■com/xin/ro■exe
343 ：(^ー^*)ノ～さん ：08/01/26 02:22 ID:6wR6fyPc0: FEZ Wiki爆撃第二波に使われたfc2Blog。
hoshims■blog34■fc2■com/
-> www■teamerblog■com/blog/
--> www■panslog■net/wiki/index1.htm (スクランブルVBScript埋めこみ)

Wikiの方は、既に管理人が登場し、外部リンク確認ページ導入などの対策が施されたので、暫くは様子見で良さそう。
344 ：(^ー^*)ノ～さん ：08/01/26 03:51 ID:6wR6fyPc0: FEZ Wiki改竄者のリモートホストが判明。
ofsfb-01p1-92.ppp11.odn.ad.jpとの管理者発表があった。
またOFSfbか、といった感じ。
345 ：(^ー^*)ノ～さん ：08/01/26 13:49 ID:gdIMY3B90: ofsfbは無条件で禁止設定が吉

どこにでも現れるからな
346 ：(^ー^*)ノ～さん ：08/01/29 10:05 ID:2nstDmnJ0: さっと検索してみたのですが、報告無いみたいなので。
ttp://secorewell999■blog5■fc2■com/
├ttp://www■testinghua.com/ie/wm■htm
　　├ttp://www■testinghua■com/ie/an■htm
　　｜　　　├ttp://www■testinghua■com/ie/test■cur
　　｜　　　├ttp://www■testinghua■com/ie/Ms06014■htm
　　├ttp://www■testinghua■com/ie/op■htm
　　｜　　　├ttp://www■testinghua■com/ie/kun■exe
　　｜ttp://www■testinghua■com/ie/re■htm

検体は提出していません。
test■curはノートンで
リスク名：HTTP ANI File Anih Hdr Size BO
危険度：高レベル
トラフィック：TCP,www-httpにて進入検知遮断

kun■exe
ノートンでは何も検出されず。
カスペのオンラインスキャン結果
スキャンしたファイル:kun■exe - 感染が見つかりました
kun■exe - に感染しています Trojan-PSW.Win32.LdPinch.beo

このほかにも有りそうだけど自分で解ったのはこれだけです。
どなたかよろしくお願いします。
347 ：(^ー^*)ノ～さん ：08/01/29 16:38 ID:YzuDo2cG0: 垢ハックはニコニコのコメントにも進出してきた模様
348 ：(^ー^*)ノ～さん ：08/01/29 16:59 ID:3qaFWXEZ0: できれば、具体的な事例を提示してください
349 ：(^ー^*)ノ～さん ：08/01/29 22:34 ID:88nCubdA0: アカウント登録が必要なニコニコとかmixiとかイラネ
そのコミュニティ内でやってくれ
350 ：(^ー^*)ノ～さん ：08/01/30 02:10 ID:AynyqpUS0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/
351 ：(^ー^*)ノ～さん ：08/01/30 12:14 ID:t31BX4jp0: 中華っぽい名前の商人が垢ハックっぽい露店2個も立ててるなぁ
しかも相当レアいものが並んでる…可哀想に
352 ：(^ー^*)ノ～さん ：08/01/30 23:25 ID:0LVoKzBx0: リンカーwikiのトップページに
ttp://www■hosetaibn■com/cgi-bbs

が貼られたまま放置されてるけど、これもハックだよなあ
353 ：(^ー^*)ノ～さん ：08/01/30 23:41 ID:DlDewoGQ0: その通りでございます
354 ：(^ー^*)ノ～さん ：08/01/31 08:40 ID:kb3lsyZc0: www■hosetaibn■com/cgi-bbs/
-> www■qyytw■com/jpt1/main.htm
--> www■qyytw■com/jpt1/Ms06014.htm
--> www■qyytw■com/jpt1/test.cur
-> www■qyytw■com/jpt1/real.htm (RealPlayerのexploit狙いJavaScript)
355 ：(^ー^*)ノ～さん ：08/01/31 08:57 ID:7GoH/4H/O: アカハックurlを携帯で踏んだらどうなるんだろう
356 ：(^ー^*)ノ～さん ：08/01/31 09:12 ID:DoLD1yEL0: >355
一言で言えば「”基本的”に無害」

スレチになるので、詳細が知りたいならセキュスレにて。
357 ：(^ー^*)ノ～さん ：08/01/31 09:32 ID:QBJi7PEb0: PC用の罠だけなら無害。携帯用の罠もあれば有害。
何にしても無闇に触りに行くべきではない。
358 ：(^ー^*)ノ～さん ：08/01/31 10:56 ID:eBuZ4t2u0: 被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/
359 ：(^ー^*)ノ～さん ：08/01/31 16:18 ID:kdP+ntMa0: チョンがテンプレコピペ連発してスレを荒らそうとしてるように見える
360 ：(^ー^*)ノ～さん ：08/01/31 18:23 ID:PhQpFzDf0: 以前スレチを指摘された奴が粘着してるんだと思う。
361 ：(^ー^*)ノ～さん ：08/02/01 23:01 ID:ngDSKsAP0: ttp://imguploader■no-ip■org:2121/contents/ro_uploader6/index■htm
ちょっとこれが垢ハックなのかどうかで話題になっているのですが
自分では確かめられません・・・
どなたかこれが安全なのか危険なのかどうか判断できる方いたらよろしくお願いします
362 ：(^ー^*)ノ～さん ：08/02/01 23:07 ID:Rr2XQCT10: ＞※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません
363 ：(^ー^*)ノ～さん ：08/02/01 23:12 ID:mqZ2xHGA0: ＞被害や攻撃等のアカウントハックの具体的事例に関して扱います。
＞重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
＞対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

＞※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

テンプレ位読みましょうね。

サーバー起動してないとかなんじゃないかと思いますが断定はしない。
セキュスレに持ち込んでも、解説スレじゃないって一蹴されて終わりかと。

相談用テンプレの>>4にも「(『怪しいアドレス』との判断した理由、症状を詳しく書く) 」と記載されています。
怪しいと判断するに足るだけの情報があれば、セキュスレで取り上げて貰えるかもしれませんね。

物凄い勢いで質問～スレの内容程度なら、セキュスレでも扱わないかも。
364 ：(^ー^*)ノ～さん ：08/02/02 17:18 ID:Vb1gSu4F0: 自分が巡回させてもらってるblogのコメントに、かなりの
爆撃が入っているようですね。
全部コメントは以下のとおり
－－－－－－－
こんにちはぁ＾＾初めまして☆ フレ
いつも日記楽しみにみております
このたび私のブログに勝手にリンクはらせていただきました～
よろしければ相互リンクお願いします.
ブログ -- akityonhuu■blog37■fc2■com/
－－－－－－－
今日更新されたとこばっかりでした。お気をつけを
365 ：(^ー^*)ノ～さん ：08/02/02 17:19 ID:VKX/SoPK0: ttp://pharmacy-beta-bb8■150m■com/

このアドレスは既出？
366 ：(^ー^*)ノ～さん ：08/02/02 18:18 ID:5UQxU5P00: 【　　　気付いた日時　　　　　】 2月2日02時頃。Url踏んだらウイルスバスターが反応。
【不審なアドレスのクリックの有無　】 http://infosueek■com/jplink
【　　　 OS　　】 WindowsXP2002
【使用ブラウザ】 IE
【WindowsUpdateの有無】月一くらいで更新
【　アンチウイルスソフト】ウイルスバスター2007
【ウイルススキャン結果】ウイルスバスターが反応。隔離できず手動で削除してください、と出ました。
　　　　　　　　　　　　　カスペルオンラインで現在検索中。
【スレログやテンプレを読んだか】書きながらざっと読んでます。
【hosts変更】無いと思います
【説明】RO小説系のサイトを探してて、「RO　二次」でググって一番上に来たのを不注意に踏んでしまいました。
　　　　垢ハクかどうかわからず、対処方法を求めてすぐスレ・テンプレを見て、
　　　　バスターが反応した以後はログインはせず、別PCでガンIDパスとアカウントパスを変更しました。
　　　　その後、カスペルオンラインで検索を始めました。
　　　　今、カスペルでワーム？というのが検出されました。バスターの詳細にもワームと出てました
　　　　今はOS再インストのためにデータのバックアップをとっています。
　　　　PCやセキュリティに関しては初心者なので、やれることはやったつもりですが、これで大丈夫でしょうか？
367 ：(^ー^*)ノ～さん ：08/02/02 19:32 ID:qaPoEXhY0: >366
そのアドレスは既知の垢ハックアドレス
なので、とりあえずそのPCでの接続は止めなさい。
んでOS再インストールする意思があるようなので、OSクリーンインストールｵｽｽﾒします
データのバックアップのファイルの中にウィルス入ってると本末転倒なので、OSに関係するファイルまで保存しないようにね
368 ：(^ー^*)ノ～さん ：08/02/02 20:00 ID:s/lzMXpn0: >>364
FC2に通報しました。

>>365
アカハックっつーよりリンクてんこ盛りのSPAMだと思う
(アメリカから来るバイアグラメールみたいな)。
369 ：(^ー^*)ノ～さん ：08/02/02 20:06 ID:s/lzMXpn0: FC2が最も使われると思うのでとりあえず通報フォーム。
ttp://support.fc2.com/form.html
の「無料サービス」の一番上、一番右の「スパム・不適切ブログ」
名前やメルアドはてきとーで可。
370 ：(^ー^*)ノ～さん ：08/02/02 20:20 ID:QToDiELc0: >>369
それ、セキュリティWikiに乗せといてもいいかも。
371 ：(^ー^*)ノ～さん ：08/02/02 20:31 ID:s/lzMXpn0: wikiに載せるとなると他(livedoorとかサーパラとか)も、となるので
自分はとりあえずいいや。
372 ：(^ー^*)ノ～さん ：08/02/02 21:21 ID:rnu2H7kc0: サーパラはここから。
ttps://ssl.surpara.com/info.php
本館のフォームだが、Blogの問い合わせもここで対応可能。
373 ：(^ー^*)ノ～さん ：08/02/02 22:19 ID:ikHNVyK/0: 【　　アドレス　】www■ranninp■com
【気付いた日時】 21：52
【　　　 OS　　】WindowsXP　Home Edition2002
【使用ブラウザ】IE
【WindowsUpdateの有無】自動更新
【　アンチウイルスソフト】 NortonInternetSecurity2008
【その他のSecurty対策】無し
【ウイルススキャン結果】カスペルスキーで検索中
【スレログやテンプレを読んだか】それなりに目は通してます。
【hosts変更】無いと思います。
【PeerGuardian2導入】していません。
【説明】
RO.Engineの伝言板にあったサイト（blog■livedoor■jp/snowlyr/）を開いた所、
ノートンが反応し進入の試みを遮断したとの事です。
ソースチェッカーに掛けてみたところ、上記のアドレスが90％（ループタグ有り）
www■ranninp■comは安全度100％でしたが、
やはりOS入れなおしたほうがいいのでしょうか？
374 ：273 ：08/02/02 22:23 ID:ikHNVyK/0: 追記。
【ウイルススキャン結果】ノートンは検出無し。
【説明】
アドレスチェッカーでも有害なスクリプトは発見されませんでしたが、
www■ranninp■comは中国で、以前にもスレで1回名前が出ています。
375 ：373 ：08/02/02 22:24 ID:ikHNVyK/0: 焦りすぎorz373です。申し訳ない。
376 ：(^ー^*)ノ～さん ：08/02/02 23:04 ID:q3TlYdN/0: ノートンに詳しくないから、「進入の試みを遮断」が適切なメッセージがどうか
分からんけど、反応したやつに関しては大丈夫。

そこから先は、ログ読んでもらえれば分かると思うが、心配ならOS再インスコ
としか言えない。
怪しいURL踏んだこともないし、セキュリティソフトが反応したこともないけど
大丈夫ですか？と問われたとしても、心配ならOS再インスコとしか言えない
のが事実。
377 ：373 ：08/02/02 23:27 ID:ikHNVyK/0: カスペルスキーでチェックした結果見事に感染していたので、
別のPCで癌IDとROIDのパスワードはそれぞれ変更してきました。
今から再インストールしてきます。
ノートン先生、反応しただけでウィルス事態は遮断しきれてなかったorz

ちなみに調べた所、別の方のBlogのコピーBlogぽかったですorz

>>376
やはりそれが一番確実ですよね。
今回垢ハック確定っぽいのでそうします。
378 ：(^ー^*)ノ～さん ：08/02/02 23:58 ID:Ia9954SH0: >>367
ありがとうございます。OS再インストします。

あと、感染PCでログインしない限りパスを盗まれることはないのでしょうか？
感染後ログインはしておらず、パスは別PCですでに変えてあります。
データのバックアップに少し時間がかかりそうで。
379 ：(^ー^*)ノ～さん ：08/02/03 00:13 ID:FV8ccdlT0: >>378
Yes
380 ：(^ー^*)ノ～さん ：08/02/03 16:38 ID:RUFsaMrG0: >>377
感染箇所と検出名を書いてないので
いつ感染したのかもわからないね
381 ：373 ：08/02/03 17:53 ID:Sn60Xui/0: >>380
>>373に感染箇所は書いていますが、解りにくかったですねorz
感染箇所はRO.Engineの伝言板です。
サイトに登録していないアドレスの場合は表示されません、との注意文があり、
大丈夫だろうと油断していた所を踏んでしまいました。

「snowlyr > 初の棚臨 [URL] 02/02 02:39」という書き込みで、
現在も伝言板に残っているので他に踏んだ人が居ない事を祈りますが。
（踏んだアドレスはttp://blog■livedoor■jp/snowlyr/）
感染は>>373に記載した時間と同時間です。
踏んだ直後にノートンが反応したのですぐ気付けましたが…

検出名はTrojan-Downloader.HTML.IFrame.baだったと思いますが、
初期化したので完全には覚えてませんorz
382 ：380 ：08/02/03 18:47 ID:RUFsaMrG0: ｢感染箇所｣はPC内部の｢どこ｣から検出されたか？ということだよ
383 ：373 ：08/02/03 19:25 ID:Sn60Xui/0: >>380
あぁ、勘違いすみませんorz
初期化してしまったので確認取れませんが、
ＣのDocuments and Settings以降だったとしか覚えていません…
384 ：(^ー^*)ノ～さん ：08/02/03 20:39 ID:FV8ccdlT0: >>381-383
それはダウンローダ。多分、IEのキャッシュが反応場所だと思うよ。

初期化したので、対処としては問題無いかと。
385 ：(^ー^*)ノ～さん ：08/02/04 17:03 ID:M6u4r6uP0: ブログのコメントに書き込まれていました。
まとめ臨時さんの強行版に載ってるアドレスと同じものの
ようなのですが報告しておきます。

ttp://jbbslivedoor■com/mmghaoyk/
386 ：sage ：08/02/04 17:49 ID:4Luu+g7a0: 今月2日頃、アサシンwikiのコメント欄に18禁サイトであろうHTMLのソースが書き込まれていました。
しかしwiki自体にはソースは組み込まれていなく、書き込もうとした人がwikiに組み込もうとして失敗したようです。
そこに書かれていたリンク等はクリックしてはいないのですが･･･やっぱりウィルススキャンしておくべきなのでしょうか？
387 ：(^ー^*)ノ～さん ：08/02/04 18:00 ID:4Luu+g7a0: sageを書き込むところ間違えました･･･
ごめんなさい･･･orz
388 ：(^ー^*)ノ～さん ：08/02/04 18:10 ID:JSbiAuGY0: agesageとか詰まらん事にこだわるな
389 ：(^ー^*)ノ～さん ：08/02/04 18:14 ID:a5SPmj7F0: クリックの有無に関わらず定期的・踏んだ可能性のある時にスキャンかけるのはネット利用者として最低限のマナーだぞ。
390 ：(^ー^*)ノ～さん ：08/02/04 18:45 ID:4Luu+g7a0: 一つ書き忘れていたことがありました。
ノートンでスキャンしたのですが、ノートンでは何もひっかかりませんでした。
過去ログで、カスペルスキーではひっかかったけどノートンではなにも引っかからなかったというのを見たので、
他のスキャンソフトでもスキャンしとくべきなのでしょうか･･･と･･･
391 ：(^ー^*)ノ～さん ：08/02/04 18:53 ID:YnTyOARVO: 悩むくらいならやればいいのに・・・
392 ：(^ー^*)ノ～さん ：08/02/04 18:55 ID:nAdFjse80: >390
簡潔に

・Wikiを閲覧しただけでは基本的に感染は無い(例外は当然ある)
・件のアドレスは warez系又はkrack系で、ただのSpamの可能性が高い
・単一のチェックでは見落とす可能性もあるので、スキャンするなら複数で調べたほうがより安心
・誰も「絶対」「安全」なんて保障は出来ない。

そろそろコピペ貼りの人が出てきそうだから、続けるならセキュスレに移動しようか。
393 ：(^ー^*)ノ～さん ：08/02/04 19:08 ID:4Luu+g7a0: わかりやすく答えていただきありがとうございます。
参考にさせていただきます。
394 ：(^ー^*)ノ～さん ：08/02/05 20:42 ID:xxrJlb6P0: mixiの色んな日記に書き込みしている模様

http://www■lineagecojp■com/movie/mov0028■zip
395 ：(^ー^*)ノ～さん ：08/02/06 09:35 ID:sdq5gvaG0: ちょっと怖くて書き込みしたんだが
ROクライアント起動時の画面が「取り消されたアクション」になって
表示されないんだが、これはウィルスと関係あるのだろうか。
ただ、重いだけで表示がされないだけなのか・・・
皆さん、起動時の画面は表示されてますか？
396 ：(^ー^*)ノ～さん ：08/02/06 09:40 ID:8niQNeCo0: 対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/
397 ：(^ー^*)ノ～さん ：08/02/06 18:04 ID:P1hLdS3P0: 既出だったらすまん、mmvo.exeっての食らった。
RO含むネトゲ汎用のパスハック。
ゲームとかも入ってないPCなんで実害はありませんでしたが、
ノートン機もカスペル機もUSBチェック突破してスキャン無効化されて大暴れ。
隠しフォルダの表示も殺されて手動検索も無視される。

似た症例探して↓発見、参考にしてNOD32でようやく検出。
ttp://d■hatena■ne■jp/itsuki_hiiragi/20071214

長い戦いが終わった…。
OS入れ直し出来ない事情がある場所での感染報告ですよっと。
398 ：(^ー^*)ノ～さん ：08/02/06 19:54 ID:TStsH1EG0: 【　　アドレス　】wikispc■gr■jp/ercserver/というサイトにある「BOSS攻略」というリンク
【気付いた日時】今日の午前11時半頃
【　　　 OS　　】 XP Home SP2
【使用ブラウザ】 IE6
【WindowsUpdateの有無】有効
【　アンチウイルスソフト】 Kaspersky Internet Security 7.0体験版　更新日2008/02/06
【その他のSecurty対策】ルータ
【ウイルススキャン結果】未検知（カスペスキャン）
【スレログやテンプレを読んだか】 yes
【hosts変更】無
【PeerGuardian2導入】無　これから導入してみようと思います
【説明】
「ランドグリス　攻略」でぐぐってトップに出てきたサイトを開き、
そこのBOSS攻略と書かれたリンクをクリックするとカスペが反応。
その後カスペがモニターの右下あたりに
「許可or拒否」の選択肢を出してきたので「拒否」を選びました。
ウェブアンチウィルスのレポートには
＜ステータス＞検知しました: トロイの木馬 Trojan-Downloader.HTML.IFrame.de
＜オブジェクト＞URL: http://www■irisdti-jp■com/blog///www■irisdti-jp
とありました。
ROは露店を出したままずっと放置中です。
これは未然に防げていると思ってもいいのでしょうか。
100％安全という事はないでしょうが・・・。
399 ：(^ー^*)ノ～さん ：08/02/06 20:52 ID:dT51evfZ0: >>397
検体はどこじゃ～

>>398
未然に防げている可能性が高いです。本体を落とそうとするダウンローダをブロックしたという表示ですから
本体入手のさらに手前で阻止した時のメッセージです。

でも、阻止できたという保証はできません。ブロックしていない他のなにかが発動している可能性があるからです。
400 ：(^ー^*)ノ～さん ：08/02/07 09:35 ID:+NeB1Oqe0: BOTnews Light (ボットニュースライト)
ttp://yaplog.jp/kyorocyan
これ垢ハックか教えてくれ　えろいひと
401 ：398 ：08/02/07 09:48 ID:IHuZ2+8V0: >>399
ありがとうございます。
OS再インスコはできないので、
取られたらシャレにならないアイテムは信頼できる知人に預け、
PGを導入し自己責任でプレイし続けようと思います。
その知人に万が一裏切られても中華に取られるよりはマシってことで。
カスペでブロックされたにも関わらずハックの被害にあった時は
また報告します。
402 ：(^ー^*)ノ～さん ：08/02/07 09:48 ID:Jy29WGxE0: >>400
>>1

ふぁびょるとかじゃねえ、ホントお前バカだな。
それが本当にハックアドレスだったら、張ったお前の責任になるんだぞ。
いいからテンプレを全部読んで来い。
403 ：(^ー^*)ノ～さん ：08/02/07 09:51 ID:MPgVvWAK0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/
404 ：(^ー^*)ノ～さん ：08/02/07 18:46 ID:pyDB7Qom0: ここ利用してる方々、コピペNG指定まじオススメ
405 ：(^ー^*)ノ～さん ：08/02/08 12:59 ID:GzBuXHaM0: あああ
406 ：(^ー^*)ノ～さん ：08/02/09 06:52 ID:S4G6x39Y0: 【　　アドレス　】http://www■panslog■net/wiki/index1■htm
【気付いた日時】 2009/2/9
【　　　 OS　　】 win2k SP4
【使用ブラウザ】オペラ9.02
【WindowsUpdateの有無】 2008/12頃？最新のはず
【　アンチウイルスソフト】 avast
【その他のSecurty対策】 Spybot S&D
【ウイルススキャン結果】カスペオンライン、avast、Spybot S&Dで検知されず
【スレログやテンプレを読んだか】 No
【hosts変更】今、最新のに
【PeerGuardian2導入】無
【説明】
2chガ板、邪気眼wikiでavastが警告、殆ど読まずに回線引っこ抜いた。
リネの垢ハクのようだ。とりあえず色々調べてみたが怪しいものは全く出てこない。

警告の所に以下のログが残ってるんだけど
Sign of "HTML:Iframe" has been found in "http://www■norelet■com/fc2/" file■
avastが遮断したと認識していいのだろうか？
407 ：(^ー^*)ノ～さん ：08/02/09 09:01 ID:PYC7kBS20: >>406
カスペ反応するぞ？

ttp://www■norelet■com/fc2/　　　Trojan-Clicker.HTML.IFrame.il
ttp://www■panslog■net/wiki/index1■htm　　　Trojan-Downloader.VBS.Agent.hi

index.htmの時点でブロックされたのでその先を入手してないから反応してないだけじゃないか？
408 ：(^ー^*)ノ～さん ：08/02/09 09:09 ID:PYC7kBS20: やっぱ既知のファイル。中身変わってないぽ。カスペで全部検知可能。
あと、１箇所突っ込んでいいか。お前さんは未来からアクセスしとるんかとｗ

ttp://www■norelet■com/fc2/
ttp://www■panslog■net/wiki/index1■htm
ttp://www■panslog■net/wiki/send■exe
ttp://www■panslog■net/fc2/cery■exe
ttp://www■panslog■net/wiki/reco■exe

index■htm
->index1■htm
-->wiki/send■exe
-->fc2/cery■exe
-->wiki/reco■exe

index■htm : Trojan-Clicker.HTML.IFrame.il
wiki/index1■htm : Trojan-Downloader.VBS.Agent.hi
wiki/send■exe : Trojan-PSW.Win32.Delf.aih
fc2/cery■exe : Trojan-PSW.Win32.OnLineGames.lyx
wiki/reco■exe : Trojan.Win32.Inject.ms
409 ：(^ー^*)ノ～さん ：08/02/09 17:46 ID:S4G6x39Y0: >>408
【気付いた日時】2008/2/9　で・・流石に焦ってたらしい。本体は無いっぽい

>>407
Trojan-　　ってのいうのはキャッシュって認識でいいのかな
言われて気付いたけど(多分、スキャンかける前に)キャッシュは全部削除したみたい

たまたまレジストリのバックアップがあったのでレジストリ復元した
とりあえず安心と見ていいのだろか・・
410 ：(^ー^*)ノ～さん ：08/02/09 17:56 ID:PYC7kBS20: >>409
|>>407
|ttp://www■norelet■com/fc2/　　　Trojan-Clicker.HTML.IFrame.il
|ttp://www■panslog■net/wiki/index1■htm　　　Trojan-Downloader.VBS.Agent.hi

Trojan-Clicker.HTML.IFrame.il
サイズ0のiframeでindex.htmを呼び出そうとするもの。
IEのキャッシュに入った時点で（表示前？）反応する筈。

Trojan-Downloader.VBS.Agent.hi
VB Script でアカハックトロイの本体のダウンロードと起動させる為にレジストリへの登録などを行なうもの。
これもIEのキャッシュに入った時点で（実行前に）反応する筈。

実際に踏んだ訳ではないので、反応のタイミングに関しては間違っているかもしれないことを記載しておく。
実際に発動させていれば、IEのキャッシュにも残っている為、フルスキャンでそれも引っ掛かるだろう。
411 ：406 ：08/02/09 22:14 ID:S4G6x39Y0: >>410
Trojanが発動していればオペラのキャッシュ消しても
IE内のキャッシュに残るからカスペで引っ掛かるって事か。
(2/6の時点でIEのキャッシュは消してる)

とりあえずカスペフルスキャンでも何も出てこないが
発動自体していないか、既に消している可能性が高いって事なのかな。
412 ：(^ー^*)ノ～さん ：08/02/10 00:15 ID:gT35jWW80: 前スレ923
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1185352481/923
で挙がってた「RO店価格調査隊」のドメイン ( ro-price.net )の
有効期限は、現在も 2008/02/09 のままの模様。
413 ：(^ー^*)ノ～さん ：08/02/10 05:25 ID:r16r2VT20: >>412
ドメイン名の有効期限は、基本的にUTC(協定標準時)で管理されていたはず。
日本時間で09:00までは期限内かと。
その後30日間が、請戻猶予期間(RGP)という形で、元の登録者が優先的に取り戻せる期間。
414 ：(^ー^*)ノ～さん ：08/02/10 13:11 ID:QxtNNGDa0: 被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/
415 ：(^ー^*)ノ～さん ：08/02/10 15:42 ID:ssKFVq/M0: 超重要な情報じゃないか。本当にただ荒らしてるだけか
416 ：(^ー^*)ノ～さん ：08/02/10 17:39 ID:CG0t215c0: 何を今更。
このスレを荒らすなり重要な情報を埋もれさせた方が利益になる業者様じゃないの。
417 ：406 ：08/02/10 22:09 ID:sVdekE4r0: とりあえずＰＧ２を導入した。無知な俺に付き合ってくれてありがとう、勉強になった。
418 ：(^ー^*)ノ～さん ：08/02/11 01:38 ID:lpdZO5lJ0: 価格調査隊のドメインがウイルスサイトになった様子。
あげておきます
419 ：(^ー^*)ノ～さん ：08/02/11 02:11 ID:/tXDJW/h0: >>418
ドメイン失効の為、そのIPを管理しているところに飛ばされてるだけ。現時点では無害。
>>412-413参照。
420 ：(^ー^*)ノ～さん ：08/02/11 02:13 ID:XhJsNFGo0: もとからハックされること多かったし、いかないほうがいいかと
421 ：(^ー^*)ノ～さん ：08/02/11 09:02 ID:/tXDJW/h0: >>420
明らかな誤情報は忌むべきもの。やめてくれ。

RO店価格調査隊のBBSにアカハックへの誘導投稿が多数投げ込まれていたことは、ハックされることではない。
その書き方を見ると、サイトがクラッキングにより改竄され、アクセスしただけでiframeへ飛ばされる事例などと
同一視してしまう危険性がある。

この手のスレでは、正確な情報を扱う事が重要。注意喚起だとか言ってなんでもかんでも貼られたアドレスに
確証もなしに「それアカハック」という発言をするのと同様の迷惑。
422 ：(^ー^*)ノ～さん ：08/02/12 14:56 ID:6yNC5Q210: なんかchaos鯖でろ。を開くと垢ハックされるとか警告チャットたっていたんだが、どうなんだろうか？調べてみたやつ情報求む。
423 ：(^ー^*)ノ～さん ：08/02/12 14:59 ID:rPxD+tKh0: 価格調査隊が垢ハックになったのっていつから？
424 ：(^ー^*)ノ～さん ：08/02/12 15:14 ID:4U2Sy4tR0: >>423
>421
425 ：(^ー^*)ノ～さん ：08/02/12 15:20 ID:KWs5aZGK0: 誤情報に踊らされるやつ多すぎ。
警告するのはいいがどっからどこまでが
ウィルスなのかもわかってないで看板たてんのはどうかとおもうよ。
426 ：(^ー^*)ノ～さん ：08/02/12 17:27 ID:j//rgLHjO: SESには垢ハク露店の横で
｢垢ハックが怖くてこの周辺の露店を開く(見る)ことが出来ない｣
なんて発言する転生職がいるんだぜ
勘違いにも程がある
427 ：(^ー^*)ノ～さん ：08/02/12 17:31 ID:DzELcJok0: リスクに対しての対処法を、自分から知ろうとする事がまず重要な対策な訳で。
危ない危ない言っているだけでは、狼少年と変わらん。

そろそろテンプレ厨が来そうだから、この偏に留めておくか。
428 ：(^ー^*)ノ～さん ：08/02/12 18:00 ID:pPaVl7Ad0: 調査隊戻ってね？
429 ：(^ー^*)ノ～さん ：08/02/12 18:27 ID:opX9Mp7C0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/

RO店価格調査隊の復帰に関しては、セキュスレでどうぞ。
430 ：(^ー^*)ノ～さん ：08/02/15 16:08 ID:kkRmEoMY0: infosueekにはだいぶやられていますね
1見有名アドっぽいのでうっかりしやすいのかも

ttp://infosueek■com/diary/rolink/

ttp://shamoneko■blog118■fc2■com/
ｆｃ２ブログですが他のROブログから内容をコピペでもってきている偽装で
0サイズインラインフレームで危険URLttp://www■infosueek■com/cookingへ飛ばされます
ご注意ください。
431 ：(^ー^*)ノ～さん ：08/02/15 17:07 ID:o0KaYOXC0: >>430
先月16日製造。
/xin/ro■exe
スクリプトのYahoo■htmはYahoo!Messengerの脆弱性狙いの模様。
432 ：(^ー^*)ノ～さん ：08/02/16 02:30 ID:qO5p9MJn0: >>430と同じかな

ttp://fuurozhu■blog10■fc2■com/

0サイズiframeにて既知アドレスttp://www■teamerblog■com/blog/を読み込み
433 ：(^ー^*)ノ～さん ：08/02/16 12:16 ID:2Z8FLsjw0: 知人のブログコメントにあったURL。危険かどうかは謎ですが文面からアカハックと思われます。

ttp://sigotonai■blog22■fc2■com/
434 ：まとめ臨時 ◆kJfhJwdLoM ：08/02/16 13:59 ID:w2/xzKe+0: インラインフレームが仕込まれている模様。
把握できたのは以下の通りです。

sigotonai■blog22■fc2■com
├www■k5dionne■com/ousele/usmm■htm(www■k5dionne■comは既出アドレス)
　www■k5dionne■com/ousele/aniro■c
　www■k5dionne■com/ousele/aniro■htm
　├www■k5dionne■com/ousele/sanro■exe
　├www■k5dionne■com/ousele/\x47\x45\x54
　　(ソースから見るに似非マイクロソフトみたいなページなのかも？)

ソースチェッカーでaniro■htmを覗いてみたら
バックスラッシュの多さにちょっと驚いた。
何かしらの処理をやっているのでしょうけど当方には理解できませんでした。
435 ：(^ー^*)ノ～さん ：08/02/16 16:24 ID:a40XIbwI0: >>432
ttp://fuurozhu■blog10■fc2■com/
　-> ttp://www■teamerblog■com/blog/
　　-> ttp://www■panslog■net/wiki/index1.htm

トロイの木馬　VBS/Psyme　を検出(MacAfee)

> VBS/PsymeはVBScriptで、リモート実行ファイルのダウンロード、
> ローカルディスクの特定のロケーションへの保存、および実行を指示します。
436 ：(^ー^*)ノ～さん ：08/02/16 16:57 ID:XCtgqz4b0: >>434
\xは16進数(%と同じ)。\だけだと8進数。
\xは%に置き換えてから、あとはいつもの。
437 ：(^ー^*)ノ～さん ：08/02/16 17:01 ID:XCtgqz4b0: しかしFC2の罠ブログ、鎮まってきたと思ったのにまた復活してるのね…。
FFXI関係で投下されたもの
ffxiwaruo■blog102■fc2■com
　www■infosueek■com/ff11diary
　　www■infosueek■com/xin/xia■exe
438 ：(^ー^*)ノ～さん ：08/02/16 19:19 ID:+U3bwwbc0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/
439 ：(^ー^*)ノ～さん ：08/02/16 20:06 ID:/Z1U/l/N0: それはもしかしてギャグで
440 ：(^ー^*)ノ～さん ：08/02/17 02:25 ID:wrXxW/Bk0: >>438
中稼のコピペ工作員
441 ：(^ー^*)ノ～さん ：08/02/18 17:44 ID:OyV5kfw/0: 春節(旧正月)の帰省ラッシュ(大雪で大変だったらしい)が終わったのか
トロイが更新されつつあるので注意。

www■lvei20■com/ourtesf/ff11■exe
1時間ほど前に更新。ファイル名からするとFFXIっぽいけど
実際はLotRO(Lord of the Rings Online)トロイ。

www■gamanir■com/systemin■scr (twurbbsから転送)
昨日更新。

www■testinghua■com/ie/kun■exe
一昨日更新。

etc. etc.
442 ：(^ー^*)ノ～さん ：08/02/19 00:11 ID:oyuawRcCO: 今、ROのGVGのwikiって大丈夫ですか？
さっき見に行ったらノートンが起動しまして
443 ：(^ー^*)ノ～さん ：08/02/19 00:17 ID:3S2QE+us0: >>442
>>438
一般的な相談はセキュスレをどうぞ。

LokiやForsetyは、管理放棄されており、仕込まれ放題であるという報告が上がっています。

それらの鯖のGvGWikiでリンク踏んでセキュリティソフトが反応した場合、ほぼ確実にアカハックでしょう。
ダウンローダの時点でブロックできている可能性もありますが、(中略)OSの入れなおしを推奨します。
この発言にコメントを付けたい場合は、セキュスレにお願いします。
444 ：(^ー^*)ノ～さん ：08/02/20 01:12 ID:27wzzeHm0: 価格調査隊は現在はアカハックサイトではないけれど
一度ドメインを失効してる以上、現在の管理者が以前と同じとは限らないため
ある日突然アカハックサイトに化ける可能性があります
なので今後二度とアクセスしないようにしましょう

というようなことを主張してるblogがあるのだけれど、この意見は妥当なのでしょうか？
445 ：(^ー^*)ノ～さん ：08/02/20 01:17 ID:P4yfMHPF0: >>444
一般的な相談はセキュスレへどうぞ。あっちでコメントしておきます。
446 ：(^ー^*)ノ～さん ：08/02/20 01:19 ID:Jy0p/WXy0: 全てのサイトが、現在の管理者が以前と同じとは限らないので
ある日突然アカハックサイトに化ける可能性があります。
なので今後二度とインターネットに接続しないようにしましょう

と、ほぼ同じ意味
447 ：(^ー^*)ノ～さん ：08/02/20 01:31 ID:AcYmxHsg0: >>444
ドメイン失効ではなく有効期限切れ。
ドメインは有効期限が切れてから、状況により異なるけど1～2ヶ月ほど
たたないと完全には失効せず、その間に他の人が取得することはできない。

今回有効期限が切れてから1週間もたたないうちに復活してたと思うので
ドメイン業者が悪人だったなんてことでもない限り答えはノー、に一票
448 ：(^ー^*)ノ～さん ：08/02/20 01:43 ID:27wzzeHm0: >>446,447
なるほど、そのblogに書かれてることは頓珍漢なことが書いてあるという認識でよさそうですね。
ありがとうございました。
449 ：(^ー^*)ノ～さん ：08/02/21 00:54 ID:lF5QCNtc0: 【　　アドレス　】http://shuahdhsk■blog103■fc2■com
【気付いた日時】 2008/2/1921:30
【　　　 OS　　】 winVista Home Edition
【使用ブラウザ】IE7
【WindowsUpdateの有無】自動更新のため最新だともわれる
【　アンチウイルスソフト】ウィルスバスター2007
【その他のSecurty対策】
【ウイルススキャン結果】ﾊﾞｽﾀｰ検出無しカスペも検出無し
【スレログやテンプレを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
Wikiで改ざんされたURLを踏んだ模様
ｆｃ２のサービスのエラーページ？に飛んだことに気づき
そのURLをソースチェッカー等で調べたとこ垢ハックのソースを含むブログと判明
メッセやゲーム等は一切ログインしていませんがただちに念のため別PCでパス等変更しました。
赤と白のｆｃ２の接続エラーページのようなとこに飛んだのですが履歴に残ってないのでわかりませんが
450 ：まとめ臨時 ◆kJfhJwdLoM ：08/02/21 01:24 ID:NNURqZBn0: shuahdhsk■blog103■fc2■com
├www■teamerblog■com/blog/(既知)
　├www■panslog■net/wiki/index1■htm(既知)

ソースチェッカーでソースを見る限りは
teamerblog側ではcurやらexeの仕込みが見当たらず、
panslog側でスクリプトを組んでなにやらやっている模様でした。
ちょっと当方では解りかねるので判る人待ちと言う事で…。

とりあえず別PCで既に変更されたとのことで、
踏んだPCでROやメッセ等のパスワード類を入力する行為をしていなければ、
被害は無いと考えられます。

現状で確実に対応できるとしたら
OSのリカバリーないしクリーンインストールと言う事に。
451 ：(^ー^*)ノ～さん ：08/02/21 08:08 ID:FMeUdVto0: >>450
スクリプトはアスキーコードで書かれていて、次のURLを呼び出すようです
ttp://www■panslog■net/wiki/send.exe
ttp://www■panslog■net/fc2/cery.exe
ttp://www■panslog■net/wiki/reco.exe
452 ：(^ー^*)ノ～さん ：08/02/22 04:03 ID:8r4Mt/I90: 殴りプリWikiで下記URLの投下がありました。
ttp://infosueek■com/diary/rolink/ （既知のドメイン）
ttp://ayakasio■blog5■fc2■com/　（罠用Blog）

下のblogのソース内に ttp://www■infosueek■com/cooking を読み込むサイズ0のiframeタグを確認。
453 ：(^ー^*)ノ～さん ：08/02/22 22:47 ID:8r4Mt/I90: >>452の罠blogはfc2に通報した結果凍結されました。
（aguseとソースチェッカーオンラインで間接的に確認）
454 ：(^ー^*)ノ～さん ：08/02/26 01:36 ID:nwNQRbNY0: 約一ヶ月前に、>313 と同じサイトを踏んだ
ノートンは特に反応しなかったけど、別ＰＣでパス変更とＯＳを入れ直した
課金も切れてたし、その後も無課金のまま

で、ＯＳ入れ直したのはいいが、最近それがフォーマットをしてないただのＯＳ入れ直しだと分かった・・・
やっぱり、HDDフォーマットしないと効果無いよね？
455 ：(^ー^*)ノ～さん ：08/02/26 02:14 ID:XPtqxLze0: >>454
一般的な相談の部類だと思うのでセキュスレの方が適当だと思う。

OSだけの上書きだと、OS部分に感染していた場合は上書きされている。
他の部分に残っていて、そいつを発動させた時点で再発する可能性もあるが、

既知のサイトを以前に踏んだ場合のように、セキュリティソフトの更新をしていれば
対応している（後から発動させようとした瞬間にブロックできる）可能性が高いものもある。

不安なら、HDDのフォーマットからやりなおしを。大丈夫ですという保証は、回線越しの誰にも保証できません。
456 ：(^ー^*)ノ～さん ：08/02/26 17:26 ID:WVAJQueq0: >455
返答ありがとう
一応フォーマットしてクリーンインストールしてみるよ
RO復帰直前に気が付いてよかったよ・・・
457 ：にゅぼーん ：にゅぼーん: にゅぼーん
458 ：L ★ ：08/02/28 02:37 ID:???0: 457 名前：(^ー^*)ノ～さん[] 投稿日：08/02/28(木) 02:28 ID:iEgl304S0
http://■www■testinghua■com/ie/ragnarokonline/
459 ：にゅぼーん ：にゅぼーん: にゅぼーん
460 ：(^ー^*)ノ～さん ：08/02/28 03:43 ID:W4rSKHdI0: あ、しまった。>>459は削除以来しときますー。

>>458
Registrant Contact:
HuangQiang
Qiang Huang suniuqing001@163.com
05972562288 fax: 13559988127
Fujian longyan
longyan Fujian 364000
cn
461 ：にゅぼーん ：にゅぼーん: にゅぼーん
462 ：(^ー^*)ノ～さん ：08/02/28 17:57 ID:sdrPoaW10: >>461
>>3読もうぜ
【投稿の際の注意】
・アカハックアドレスはMMOBBSでは禁止単語になっています。
　加えて、誤クリックによる感染を防ぐ為にそのようなアドレスは
　.(ドット)を別の文字に置き換えて報告して下さい (■がよく使われています)
・URLを貼り付ける場合はドメイン名の「.」を全て「■」に置換して下さい。
463 ：(^ー^*)ノ～さん ：08/02/28 18:01 ID:umyjCSEU0: 削除依頼してきた、マジで危ないわ
464 ：(^ー^*)ノ～さん ：08/02/28 18:05 ID:sdrPoaW10: 削除依頼もついでにしてきた
消えたら情報も消えるんでコピペっとく

/以下コピペ
Mixiで出回ってるのかな、怪しい書き込みがあったので参考程度に
ttp://www■ff11free■com/ro_diary.htm

どうにも怪しいと思って検索したら案の定
シマンテックがTrojan.Exploit.131を検出

どうみてもパス抜きです本当にありがとうございました
exeじゃないと思って油断したら、回覧がトリガーとは・・・
465 ：(^ー^*)ノ～さん ：08/02/28 18:29 ID:Pm7zdaZE0: >461,>464
www■ff11free■com/ro_diary■htm
->www■testinghua■com/ie/ragnarokonline/index■htm
--->www■testinghua■com/ie/ragnarokonline/test■cur
--->www■testinghua■com/ie/ragnarokonline/Ms06014■htm
466 ：(^ー^*)ノ～さん ：08/02/29 01:01 ID:maW39Ci+0: 【　　アドレス　】http://www■kireidekawaii■com/zatudan/joyful/joyful■cgi
【気付いた日時】2月28日
【　　　 OS　　】Windows XP
【使用ブラウザ】
【WindowsUpdateの有無】最後は先週ごろ
【　アンチウイルスソフト】 Anti-Virus freeEdition
【その他のSecurty対策】 Spybot S&D
【ウイルススキャン結果】検出されませんでした
【スレログやテンプレを読んだか】 Yes
【hosts変更　無
【PeerGuardian2導入】無
【説明】
『怪しいアドレス』との判断した理由　アドレスを踏んだ後レスをみたら
あからさまな垢ハックとレスがあったので
467 ：(^ー^*)ノ～さん ：08/02/29 01:46 ID:dIg9gcIq0: chaosのあるGの掲示板
アカハックじゃないぽ
468 ：(^ー^*)ノ～さん ：08/02/29 02:15 ID:oGTIfTUX0: 管理人様、削除おつかれさまです。
469 ：(^ー^*)ノ～さん ：08/02/29 08:37 ID:UlyRODtM0: >あからさまな垢ハックとレスがあったので
事実に基づくコメントか、流言飛語の類かを見分けられるように頑張りましょう。
470 ：466 ：08/02/29 11:28 ID:maW39Ci+0: >>469
自分が未熟でした＞＜
これからはがんばります
471 ：(^ー^*)ノ～さん ：08/03/03 20:06 ID:bpXVj5Js0: 未だにアカハック露店を確認した
ひっかかる馬鹿はほんと絶えないな
472 ：(^ー^*)ノ～さん ：08/03/03 20:53 ID:+u0z47270: MMOBBSあぷろだ４３４０のZiｐ垢ハックVirus
みたいなのだが削除されないんだろうか
473 ：(^ー^*)ノ～さん ：08/03/03 20:55 ID:60CT3O/Y0: パス付きだし(このスレとしては)いいんじゃね?
ツールとかだったら削除してほしいが。
474 ：(^ー^*)ノ～さん ：08/03/03 21:01 ID:RwseLEJ30: >>472
アカハック付きと判断した理由は？

>>473
動画キャプチャ用ソフトのなんかの削除用ぽい。ほっといていいんじゃね。
どこのスレだか知らないけど、動画はOKって公式見解出てるし。
475 ：(^ー^*)ノ～さん ：08/03/03 22:48 ID:IoP5qJxH0: 被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/
476 ：(^ー^*)ノ～さん ：08/03/04 00:21 ID:TcyL7f2v0: >>472
いあカスペルスキーが反応したもんで…
今思うと過剰反応すぎたかもしれない

無駄にスレ埋めてすまない、これで消えるﾉｼ
477 ：(^ー^*)ノ～さん ：08/03/04 00:50 ID:PyjETge00: >>476
それは、「パスワード保護されたファイル」だから反応しただけ。次からはセキュスレで聞いてくれ。ﾉｼ

Password-protected-EXE

http://www.f-secure.co.jp/glossary/?KEYWORD=PSW-Worm
478 ：(^ー^*)ノ～さん ：08/03/04 10:26 ID:EBZMeWw20: あちこちの(中華罠ブログではない)FC2ブログのテンプレにiframeが仕込まれているらしい。
FC2内で踏んじゃったのか本人の管理画面から抜かれたのかは不明。
www■dda3■net
(略)
www■dda3■net/sys.exe
VirusTotalでまったく検知できなかった
(一部の何でも有害判定する誤検知大王は除く)。
479 ：(^ー^*)ノ～さん ：08/03/04 10:52 ID:PyjETge00: >>478
セキュスレに転記しておきますね。続はセキュスレで。
480 ：(^ー^*)ノ～さん ：08/03/04 10:58 ID:1VpCO9+W0: 罠の報告までセキュスレに飛ばしてどうするんだ……
481 ：(^ー^*)ノ～さん ：08/03/04 14:41 ID:uf276bb90: いつもの人だろ
482 ：(^ー^*)ノ～さん ：08/03/04 15:37 ID:1VpCO9+W0: 見慣れないドメインなので調べてみたら案の定福建省。
しかも出来立てのホヤホヤ。

>dda3■net
>61■238■148■106

>Domain name: dda3■net
>Creation Date:2008-02-26
>Expiration Date:2009-02-26

>Registrant Name: chenyuan
>Registrant Organization:
>Registrant Street1: longyan
>Registrant Street2:
>Registrant Street3:
>Registrant City: longyan
> Province: Fujian
> Country: China
483 ：(^ー^*)ノ～さん ：08/03/06 16:38 ID:+U55i0+10: お久しぶり･･･と書いていいのかな。
前スレッドの71です。

この度警察の方から最終的な報告を受けました。
結論としては、通信事業社にログが残っていない為それ以上辿る事が出来ず立件は無理であるようです。
（相手の中国人が分かり、警察の方々も東京で張り込みをしてくれたようです）

アカウントハッキングがあったと言う事実は分かったので
その旨をガンホーには伝え済みで、返答待ちとなっています。
画像UPをどこにしていいか分からないので、教えてもらえれば現状の画像をUPいたします。
484 ：(^ー^*)ノ～さん ：08/03/06 16:40 ID:DnxvJyRV0: ここでいいんじゃないか？
ttp://www.mmobbs.com/uploader/
485 ：(^ー^*)ノ～さん ：08/03/06 16:49 ID:+U55i0+10: >>484
ありがとうございます。

http://www.mmobbs.com/uploader/files/4368.jpg
アカウントハッキングにあった時の投稿。

http://www.mmobbs.com/uploader/files/4369.jpg
今日送った投稿の現在。

調べ事や忙しくアカウントハッキングにあっての３日後に警察へ行きました。
何か動きがあれば、再度画像UPします。
486 ：(^ー^*)ノ～さん ：08/03/06 16:55 ID:+U55i0+10: ちなみに運営から警察へ送られた資料などを一部見せてもらいましたが
アイテムの移動（誰から誰へ）とアイテム名のログがありました。

日時、IP、アカウント名、キャラ名、移動先キャラ名、アイテム名
といった順のログ資料です。
487 ：(^ー^*)ノ～さん ：08/03/06 17:05 ID:ROwxuFgf0: URI欄のセッションIDや投稿Noみたいなユニーク(一意)っぽいのは
消したほうがいいぞ。
488 ：(^ー^*)ノ～さん ：08/03/06 17:19 ID:+U55i0+10: 一部削除と画像変更でUPしなおしました。

今までの流れ
2007/08/10アカウントハッキングに遭う。
↓通報
テンプレ回答：不審な接続有無を現在調査（略）
↓（状況説明などを送る）
テンプレ回答：現在調査を行って（略）

この時点で一度警察へ相談。
次の日調書をまとめてもらいました。
↓
最終的に、一致しないID使用形跡が運営に確認される。

（何度か警察出向き、説明など）

2008/03/06
警察よりの回答＆運営に報告　→　現在：返答待ち
489 ：(^ー^*)ノ～さん ：08/03/06 18:31 ID:+U55i0+10: http://www.mmobbs.com/uploader/files/4370.jpg
そして返答来ていました。
490 ：(^ー^*)ノ～さん ：08/03/07 00:53 ID:fRe+2VPB0: 【　　アドレス　】www■geocities■jp/rofline/
【気付いた日時】昨日の23：50ぐらい
【　　　 OS　　】 WindowsXP SP2
【使用ブラウザ】IE6
【WindowsUpdateの有無】自動更新
【　アンチウイルスソフト】ウイルスキラー（イーフロンティア社製
【その他のSecurty対策】Spybot
【ウイルススキャン結果】検出されませんでした
【スレログやテンプレを読んだか】Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】とある掲示板でこれを踏んだのですが、その後垢ハックじゃないか？と
　　　　レスが付けられており、怪しいと判断しました。
491 ：(^ー^*)ノ～さん ：08/03/07 01:15 ID:ruitn25A0: >490
アカハックではないが、エミュ鯖のページっぽい。
削除依頼してきた方が無難かも。

というか「アカハックかも」というレスを見てハクと判断するのは
混乱を招くだけ。
警戒するに越したことはないけど鵜呑みは禁物。
492 ：(^ー^*)ノ～さん ：08/03/11 17:14 ID:ysgds8z+0: サーパラブログをチェックしていて見かけたもの。
罠iframe入りのブログを4つ見つけたので通報済み。

www■skywebsv■com/Blog/
www■skywebsv■com/Blog/k1■exe
k1は自己解凍cabで、2匹入っているので
2匹とも検知できることが望ましい(Dr.WEBとNOD32が両方捕獲)。

FC2ブログでも酷似したトロイが爆撃されており
先週あたりからFC2ブログそのもののアカハック
(というか罠iframeを勝手に突っ込まれる)が騒がれていた。
憶測だけど、2匹の片方はネトゲのアカハックだけど
片方はブログのアカハック(というよりインジェクション)なんじゃなかろうか。
493 ：(^ー^*)ノ～さん ：08/03/12 07:32 ID:KLyAGeXZ0: ↑検出率が悪い方を再スキャン。
各社に検体を送付してから15時間経過、AVGとKasperskyも捕獲。
ttp://www.virustotal.com/analisis/b1f0d3af89749ed3ea7cf1c9839555d2
494 ：(^ー^*)ノ～さん ：08/03/12 17:17 ID:KLyAGeXZ0: >>478 と同じ奴がまたFC2ブログで大暴れ中。
www■hellh■net/
(略)
www■hellh■net/win.exe
VirusTotalではDr.WEBとMicrosoft(笑)が撃墜。
各社に検体提出済み。
495 ：(^ー^*)ノ～さん ：08/03/12 23:16 ID:A0FoK2Io0: 936 名前：（○口○*）さん[sage] 投稿日：08/03/12(水) 17:21 ID:Ad3+AZap0
トレンドマイクロのウイルス情報ページが改竄、ウイルスを埋め込まれる
ttp://internet.watch.impress.co.jp/cda/news/2008/03/12/18775.html
バスター何やってんの…
496 ：(^ー^*)ノ～さん ：08/03/12 23:32 ID:CSTUPrv90: >>495
そういう一般的話題はセキュスレだから、あっちであってるよ。ここに持ち込まなくてok

>>494
ttp://%77%77%77■%68%65%6C%6C%68■%6E%65%74/%69%6E%64%65%78■%68%74%6D
ttp://%77%77%77■%68%65%6C%6C%68■%6E%65%74/%72%65■%68%74%6D

ttp://www■hellh■net/index■htm
ttp://www■hellh■net/re■htm

このファイルも提出しといたよ。

ttp://www■hellh■net/ と ttp://www■hellh■net/index■htm で
同じファイル名で、別のファイルが落ちてくるけど、気にせず両方提出。

*** index■htm ***
HTML/Infected.WebPage.Gen(AntiVir),HTML/Exploit!IFrame.G(F-Secure),
HTML/Exploit!IFrame.G(Norman),Script.Infected.WebPage.Gen(Webwasher-Gateway)

*** index(1)■htm ***
HTML/ADODB.Exploit.Gen(AntiVir),JS/Downloader.Agent(AVG),
Generic.XPL.ADODB.F2AD52C8(BitDefender),Downloader.AniLoad.nae(Ewido),
TrojanDownloader:JS/Psyme.MU(TrojanDownloader:JS/Psyme.MU),
Trojan.DL.JS.Agent.lio(Rising),Script.ADODB.Exploit.Gen(Webwasher-Gateway)

*** re■htm ***
HEUR/Exploit.HTML(AntiVir),Exploit(AVG),Exploit.HTML.Agent.Z(BitDefender),
Downloader.AniLoad.nae(Ewido),Exploit-RealPlay(McAfee),Exploit:HTML/Repl.B(Microsoft),
Hack.Exploit.Script.JS.RealPlayer.b(Rising),Heuristic.Exploit.HTML(Webwasher-Gateway)

*** win■exe ***
Trojan.MulDrop.origin(DrWeb),Trojan-PWS.Win32.OnLineGames.ssu(Ikarus),
Trojan-PSW.Win32.Nilage.cdj(Kaspersky),TrojanSpy:Win32/Lineage(Microsoft),
Heuristic: Suspicious Self Modifying File(Prevx1)
497 ：(^ー^*)ノ～さん ：08/03/12 23:33 ID:qf5xJ6ZJ0: www■testinghua■com/ragnarokonline/archives/2008/03/1112/20080311mov■zip

mixi米で見かけたんだが、ホントにあんなとこまで出張してんのか…
498 ：(^ー^*)ノ～さん ：08/03/12 23:47 ID:KLyAGeXZ0: >ttp://www■hellh■net/ と ttp://www■hellh■net/index■htm で
>同じファイル名で、別のファイルが落ちてくるけど、気にせず両方提出

dda3の時にもLiveROで書いた気がするけど、同じじゃないよ。
www■hellh■net/ のHTTPヘッダでは
Content-Location: www■hellh■net/Default.htm
Default.htmがindex.htmとre.htmをiframeで呼ぶ。
499 ：(^ー^*)ノ～さん ：08/03/13 05:35 ID:acTXxhlD0: >496
>そういう一般的話題はセキュスレだから、あっちであってるよ。ここに持ち込まなくてok
アフォか必要以上の自治はうざいだけだ
雑談してるなら、ともかくウィルス対策ソフトの情報ページが改竄されていたという情報は重要な情報だろう
アカウントハック対策にVBとか使ってる人だっているんだしな。
ただしこの話題に関して雑談するならセキュレスレへ移動だが
500 ：(^ー^*)ノ～さん ：08/03/13 06:27 ID:aWBFdBUN0: >>497
まだ、VirusTotalでは３社しか対応してない模様。カスペも定義更新する前はすり抜けていた。

Trojan.Win32.Inject.adp(F-Secure,Kaspersky)
Suspicious File(eSafe)

>>498
重ね重ねありがとう。いっつもHTTPヘッダ見てなくてすまん。orz
501 ：(^ー^*)ノ～さん ：08/03/13 17:07 ID:sHE/c0LN0: トレンドマイクロのページ改ざんで飛ばされた先はネトゲアカハックウィルスの模様
注意
502 ：(^ー^*)ノ～さん ：08/03/14 02:02 ID:RWCinNPO0: >>501
注意って…どうやって注意すりゃいいんだよと
503 ：(^ー^*)ノ～さん ：08/03/14 03:51 ID:r4V9lJel0: 被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/
504 ：(^ー^*)ノ～さん ：08/03/14 10:12 ID:Iyd5R/kmO: 497のやつ、ミクシーで踏んでしまったんですが
ノートン先生じゃ見つけられないし
OS再インスコしたほうがいいでしょうか
505 ：(^ー^*)ノ～さん ：08/03/14 10:23 ID:+qQ48ahO0: >>504
確かに、現時点のVirusTotal(パターンが最新とは限らない）ではシマンテックでスルーされてますね。
提出のかいあって、３社→１１社まで対応してますけど。
http://www.virustotal.com/analisis/e34d3623b8f647bb40b836792f962e89

で、こいつは、解凍して叩かない限りは感染しない。（自己解凍型じゃない）
カスペでは対応してるのでオンラインスキャンで見付けることは可能。

でも、安全かどうかの保証はできないので、推奨される（確実な）のは、ＯＳ再インストールコース。
506 ：(^ー^*)ノ～さん ：08/03/14 10:48 ID:Dte0SFCV0: ノートンは対応がめちゃくちゃ遅い。最初検知できなくて
後で送ってみたいなケースの場合は正直言って厳しい
(バスターやMicrosoftよりはるかに遅い)。
507 ：(^ー^*)ノ～さん ：08/03/14 11:23 ID:Iyd5R/kmO: >505.506

ありがとうございます
素直に再インスコします
508 ：(^ー^*)ノ～さん ：08/03/14 14:44 ID:Dte0SFCV0: 1つのFC2ブログに3匹もiframeを仕込んだ例(一部短縮URIを経由)
www■soracger■com/blog/
www■gamtyblog■net/wiki/
www■homepuon■net/blog/
↓iframe
www■caremoon■net/wiki/main.htm
↓MS06-014スクリプト
www■soracger■com/wiki/admin.exe
8日製造。
509 ：(^ー^*)ノ～さん ：08/03/15 03:46 ID:4KtTDZpn0: ガンスリスレに貼られていたもの。

｜375 ナリタレ New! 08/03/14 11:09 ID:xvHgBTuu0
｜RO イフリート戦
｜RO Ragnarok ラグナロク...RO Ragnarok ラグナロク
｜ttp://www■livedoorbloog■com/lin885/885■zip

カスペスルー。HIDDENEXT/Worm.Gen(AntiVir),Trojan.Inject.796(Dr.Web)
解凍すると入っているのは下記のファイル。何故か、解凍すると、AntiVirスルー…

->885.zip
-->mov000029.wmv.scr
--->013.exe
--->mov0023.wmv

新種っぽいので検体提出してきますね。
510 ：(^ー^*)ノ～さん ：08/03/15 10:33 ID:4KtTDZpn0: >>509

10:11 カスペより返答。次の定義更新で対応とのこと。
mov000029.wmv.scr_ - Trojan.Win32.Inject.aeu
511 ：(^ー^*)ノ～さん ：08/03/15 13:24 ID:ncFS/0bT0: lin886/886.zipもlin887/887.zipもある。撃墜。
512 ：にゅぼーん ：にゅぼーん: にゅぼーん
513 ：にゅぼーん ：にゅぼーん: にゅぼーん
514 ：(^ー^*)ノ～さん ：08/03/19 07:30 ID:nb5yj3Fr0: FFXI系のFC2ブログの偽装。
blog20fc2■com/ff11diary/
iframeは既出のinfosueek(略)。
515 ：(^ー^*)ノ～さん ：08/03/19 09:11 ID:6C1I9Ril0: どう考えても警察に出頭なんて気にはなれん！
ROよ５年間ｻﾝｸｽｸﾞｯﾊﾞｲ
516 ：(^ー^*)ノ～さん ：08/03/19 09:38 ID:S4sexCFy0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
517 ：(^ー^*)ノ～さん ：08/03/19 14:36 ID:E/nIV+2T0: >>509
うちのはてなダイアリな日記にも張ってあったので書いておく

Dr.マリオのメロで、「はじめてのともだち」【ヒャダイン】
ヒャダイン、11作目です。最初に謝っておきます、サーセンｗｗｗmixiのリクエストにドクターマリオがあ...
http://www■livedoorbloog■com/lin885/885■zip

こんな感じ。しかも本人が書き込んでいる。
はてなユーザーがログイン状態で他のはてなの日記に書き込んだら、ユーザーネームからLinkでその人のはてな日記に飛べる。

っhttp://d.hatena.ne.jp/Uncool/　　　←ここが配布元のサイトの模様、何せ日記にZIPはってる。
※↑ははてなダイアリのため垢ハックアドレスではありません、ご安心ください。
518 ：(^ー^*)ノ～さん ：08/03/19 18:22 ID:em6QsCyE0: 垢ハック・又は罠を踏んでから、OSの再インストールをせずにカスペル等で
駆除した後被害にあった報告って今までにありました？
519 ：(^ー^*)ノ～さん ：08/03/19 20:17 ID:pkeYl+BT0: >>518
ありました。再インストがんば
520 ：(^ー^*)ノ～さん ：08/03/19 20:29 ID:Lx5lyYJ80: たとえ今までなくても
これから間違いなく起こるであろう事例だな
521 ：(^ー^*)ノ～さん ：08/03/19 21:03 ID:em6QsCyE0: そうですよね
OSのCDなくしちゃって、買うか迷ってましたが買うことにします
522 ：(^ー^*)ノ～さん ：08/03/20 10:45 ID:I9JGKeR80: 【　　アドレス　】http://momohac■blog34■fc2■com/blog-entry-1■html
【気付いた日時】今日の10時過ぎ
【　　　 OS　　】 WindowsXP　SP2
【使用ブラウザ】 FireFox2.0
【WindowsUpdateの有無】自動更新時
【　アンチウイルスソフト】
【その他のSecurty対策】 Spybot、ルータ
【ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見等)
【スレログやテンプレを読んだか】今から読みます
【hosts変更】　無
【PeerGuardian2導入】　有
【説明】
RMC閲覧時、URLを踏んだところPGが反応+ブログ内容がおかしかった為

ソースチェッカーで調べたところ
インラインフレームタグにVBSスクリプトでttp://www■shagigi■net/navi/admin■exe
接続先が中国だったので一応報告。

念のためこれから再インストール行ってきます
523 ：(^ー^*)ノ～さん ：08/03/20 10:52 ID:QfCWB+lE0: >>522
同アドレスはセキュスレで報告例あり。１つのexeだが２種類入れられることに注意。
もろに発動させてPG2で水際阻止したみたいですね。念のためどころか、しっかりがっつり感染してます。

OS入れ直したら、PG2だけでなくセキュリティソフトもちゃんと入れとけ。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/52
524 ：(^ー^*)ノ～さん ：08/03/20 17:05 ID:vMNSN/130: ずっと前に踏んでたんじゃねーの?
いまどきのトロイは
>RODLL.DLL
こんなわかりやすい名前は付けない(あるいは囮)。
525 ：(^ー^*)ノ～さん ：08/03/20 18:14 ID:H6YOy+AK0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
526 ：(^ー^*)ノ～さん ：08/03/21 02:21 ID:yH1XR5bS0: ○○のひとつ覚えみたいに誘導URL貼り付けるバカがいるから
次からのタイトルは

【雑談・対策・相談は】アカハク情報集積・分析スレ【LiveROへ!!】

にしようぜ。
なまじ総合なんて付けるから色々書き込みされるって
ずっーと前から言われてるからな。

次にお前は｢ＬｉｖｅRoへの誘導URLを貼り付ける！！
527 ：(^ー^*)ノ～さん ：08/03/21 07:19 ID:a7FvJ+Go0: 公知書き写しスレでの突っ込み誘導は叩かれないのに、
なんでこっちだと
親の敵みたいに叩かれるんだろうな。

まあ>>526のタイトルには賛成。

あと誘導は

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/

これだけでいい気がする。
528 ：(^ー^*)ノ～さん ：08/03/21 15:00 ID:Yt9uSxT+0: 土日に向けて新種が大量に投下(あるいは更新)されているので注意。
例 ttp://www.virustotal.com/analisis/ac9b75b1bfca82b29a5801da2ff0aa36
主だったベンダには提出済み。
529 ：483 ：08/03/23 07:18 ID:ewN9Gn620: http://www.mmobbs.com/uploader/files/4447.jpg
１８日の定期メンテでアイテムZenyが復旧しました。
どのぐらい復旧されたか見た所、大体８割のアイテムは戻ってきていました。
Zenyはさすがに分かりません。
530 ：(^ー^*)ノ～さん ：08/03/23 14:27 ID:F9lx3zZZ0: dda3、hellhと同じ奴の新種
www■fccja■com
(スクリプトは省略)
www■fccja■com/com.exe
スルー多め。しかしこの手のはDr.WEB強いな
531 ：(^ー^*)ノ～さん ：08/03/23 16:33 ID:xgw+DUnZ0: >>530
捕獲した検体を、スクリプトも含め、各社に提出しときました。/(^^)

e.js -> d1.asp -> com.exe

d1.aspはVirusTotalで全部スルーされてました。
スクリプトの検知避けで、数値を直接キャラクタに変換せず、数値を演算してからキャラコードに直して書き出す形式。
書き出されたもの自体は幾つかのソフトが捕獲するようです。

ダウンローダで検体落とす時に、すんなり行った（PG2でブロックしなかった）と思えば、IPがUSでした。
PG2での防御避けか、他国にサイトをおいてありますが、今後は、送信先も他国に移行する可能性があるのかな。
本体そのものより、そっちに警戒が必要かも。
532 ：(^ー^*)ノ～さん ：08/03/25 00:22 ID:LwVKZiLL0: 【　　アドレス　】http://www■baldur■jp/kimoloader/src/kimo0903.jpg
【気付いた日時】 (感染？に気付いた日時) 昨日
【　　　 OS　　】 (SP等まで書く) XP sp2
【使用ブラウザ】 (バージョン等まで分かれば書く)　火狐 2.0.0.12
【WindowsUpdateの有無】 (一番最後はいつ頃か、等) 今月頭くらい
【　アンチウイルスソフト】ノートン先生 2004
【その他のSecurty対策】 (Spybot S&D、ルータ、等) ルータは有
【ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見等) 　スキャン中
【スレログやテンプレを読んだか】 (Yes/No/今から読みます) Y
【hosts変更】(有/無　[有りの場合は最終更新は何時ごろか])　有　昨年夏ごろ
【PeerGuardian2導入】(有/無 [有りの場合は参照元サイトはどこか) 有　リネ資料室
【説明】開いたら真っ白…なんとなく怪しく思えたので。
533 ：(^ー^*)ノ～さん ：08/03/25 00:22 ID:LwVKZiLL0: sage忘れた…失礼。
534 ：(^ー^*)ノ～さん ：08/03/25 00:46 ID:/OJK24Me0: ただの真っ白な画像だ
535 ：(^ー^*)ノ～さん ：08/03/25 09:09 ID:BiEtcRBs0: 【　　アドレス　】http://f13■aaa■livedoor■jp/~ragd/cgi/upld/img/191■jpg
【気付いた日時】1時間ほど前
【　　　 OS　　】WinXP SP2
【使用ブラウザ】IE6
【WindowsUpdateの有無】ごく最近。改めてチェックした所更新ファイルは無し
【　アンチウイルスソフト】KingsoftInternetSecurity
【その他のSecurty対策】無し
【ウイルススキャン結果】上記ソフトで完全スキャンの結果異常なし
【スレログやテンプレを読んだか】テンプレは読みました、スレログはアドレスで検索しました
【hosts変更】無し
【PeerGuardian2導入】無し
【説明】
リンクをクリックした所、表示不能マークが左上ではなく中央に出て
普通なら出ないはずのポップアップ（XP標準の機能によってブロック）が出ました。
直感的に不安を覚えソースチェッカーオンラインでチェックしたところ、
どうやらjpg形式は偽装で中身はhtml構文らしく、
リンクが内部的に「www■zhangweijp■com」にアクセスが繋がっている事が分かりました。
調べてみたところリネージュ中心の垢ハックサイトと言う事のようです。
ページを開いた際にはウィルスをガードした旨のウィンドウは表示されませんでした。
画像の投稿日時が2007年3月と古いものなので正常に動作しているかわかりませんが、
心配なので相談させていただきます。
536 ：(^ー^*)ノ～さん ：08/03/25 10:23 ID:eV0jorpO0: >>535
ttp://www■zhangweijp■com/t1swm/index■htm
ttp://www■zhangweijp■com/jpg/005■jpg

ご想像の通り、サイズ0のiframeで別のサイトを呼び出し、偽装画像を表示するものですね。
ドメイン失効の為にファイル自体は存在しなくなって、ドメイン管理業者のサイトが表示されて
いるようです。今回は、>>535記載のアドレスに関しては、踏んでも実害はなかったと思われます。

テンプレ >>6 の、応用にある設定をお勧めします。

｜　・偽装jpg対策(IE7とIE6SP2限定。IE6SP1以前では出来ない)
｜　　：インターネットオプション→セキュリティ→レベルのカスタマイズ
｜　　　→「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする
537 ：(^ー^*)ノ～さん ：08/03/25 15:02 ID:eV0jorpO0: セキュスレに相談のあったアドレス。様々な手法でro.exeを呼び出そうとしている。

ttp://www■exbloog■com/7112888/

ttp://www■exbloog■com/7112888/Ms06014■htm
ttp://www■exbloog■com/7112888/Ms07004■js
ttp://www■exbloog■com/7112888/Ms06046■htm
ttp://www■exbloog■com/7112888/ani■c
ttp://www■exbloog■com/7112888/ani■asp?id=1314
ttp://www■exbloog■com/7112888/Xunlei■htm
ttp://www■exbloog■com/7112888/StormII■htm
ttp://www■exbloog■com/7112888/Yahoo■htm

ttp://www■exbloog■com/7112888/ro■exe

ani.asp : Exploit.Win32.IMG-ANI.n
ani.c : Exploit.Win32.IMG-ANI.n
index.htm : Trojan-Downloader.HTML.IFrame.dv
Ms06014.htm : Trojan-Downloader.JS.Psyme.kf
Ms06046.htm : Exploit.HTML.Ascii.ai
Ms07004.js : Trojan-Downloader.JS.VML.a
ro.exe : Trojan.Win32.Inject.aad
StormII.htm : Exploit.JS.Agent.aw
Xunlei.htm : Trojan-Downloader.JS.Small.ft
Yahoo.htm : Exploit.HTML.IESlice.z

ro.exe のVirustotal結果
ttp://www.virustotal.com/reanalisis.html?3de452449ad5742bc14acaeee128c233
538 ：(^ー^*)ノ～さん ：08/03/25 15:31 ID:9HX5OvbF0: inject系ってことは2ch22■comと同じ系統かぁ。
539 ：(^ー^*)ノ～さん ：08/03/25 18:01 ID:eV0jorpO0: 2ch22ってなんだっけと思ってぐぐったら、結構な数のBlogにコメントspamで撒かれてたのね。
（.comを入れるとサイトを直接開こうとするので、ぐぐるの危険）

ついでに同じBlogで見掛けたのも、ついでに全部拾ってみた。

ttp://www■2ch22■com/2ch00356/00356■zip
ttp://www■2ch22■com/2ch00358/00358■zip
ttp://www■2ch22■com/2ch00359/00359■zip
ttp://linainfo■net/movie/mov0028■zip
ttp://www■lineagecojp■com/movie/mov0028■zip
ttp://www■playenline■com/ff11/index/mov■zip

00356.zip : Trojan.Win32.Inject.ado
00358.zip : Trojan-PSW.Win32.OnLineGames.sfa
00359.zip : Trojan-PSW.Win32.OnLineGames.lbb
mov0028.zip : Trojan.Win32.Inject.zo
mov.zip : Trojan-Spy.Win32.Agent.avp
540 ：(^ー^*)ノ～さん ：08/03/25 19:43 ID:9HX5OvbF0: >（.comを入れるとサイトを直接開こうとするので、ぐぐるの危険）
これは無い。Googleツールバーとかの仕業じゃね?
541 ：(^ー^*)ノ～さん ：08/03/26 09:47 ID:FXIdMXGw0: www■bluewoon■com/Blog/k1.exe
www■skywebsv■com/Blog/k1.exe
同一ホスト
542 ：(^ー^*)ノ～さん ：08/03/26 10:01 ID:/8JK83MJ0: >>541
また差し替えか。3/17に拾った検体と中身が違うようだ。

->k1.exe
-->f2.exe
-->gawezuki.exe

gawezuki.exe : Trojan.Win32.Inject.akb
f2.exe : Trojan-PSW.Win32.OnLineGames.vxq

3/14版(3/17に拾った)は、Trojan.Win32.Inject.aex。
3/11に拾った奴は、中身が「gawezuki.exe/f111.exe」で検出名が「Trojan-PSW.Win32.OnLineGames.tge/Trojan.Win32.Inject.adj」
543 ：(^ー^*)ノ～さん ：08/03/26 10:11 ID:FXIdMXGw0: >>542
うむ。同じ系統でk2もある。
www■coconlovely■com/Blog/k2.exe
544 ：(^ー^*)ノ～さん ：08/03/26 13:25 ID:/8JK83MJ0: >>543
なるほど。昼前の入手時点ではこいつはカスペすり抜けてたが、今は検知するな。
しかし、よく見付けてくるものだと感心するよ。GJだ。

Trojan.Win32.Inject.ajx : k2.exe//data0000.cab/hotgome.exe
Trojan-PSW.Win32.OnLineGames.vxq : k2.exe//data0000.cab/f3.exe//PE_Patch//UPack
545 ：(^ー^*)ノ～さん ：08/03/26 13:32 ID:FXIdMXGw0: >>492 と同じなので監視対象にしてるんだけど
bluewoonは初めて見たなーと。

入手先はやっぱりサーパラブログ。利用者が少ないので
ttp://blog.surpara.com/blogList.html
で新着全部見てiframe探してるとすぐ見つかるｗ
利用者が恐ろしく多いFC2クラスになるとやってらんないけど。
546 ：(^ー^*)ノ～さん ：08/03/26 16:49 ID:/8JK83MJ0: >>545
なるほど、おもしろい方法だ。参考になったよ。
547 ：(^ー^*)ノ～さん ：08/03/27 03:16 ID:PX9du1DS0: 【　　アドレス　】http://www5■uploader■jp/user/tane/images/tane_uljp00326■jpg
【気付いた日時】先ほど
【　　　 OS　　】Windows XP SP2
【使用ブラウザ】FireFox
【WindowsUpdateの有無】最後は先週ごろ
【　アンチウイルスソフト】 Macfee
【その他のSecurty対策】 Spybot S&D
【ウイルススキャン結果】検出されず
【スレログやテンプレを読んだか】 Yes
【hosts変更】　有
【PeerGuardian2導入】　有
【説明】
トロイ？というレスがあったので。
548 ：(^ー^*)ノ～さん ：08/03/27 08:04 ID:T3+LltHm0: セキュ板から持ってくんなよ。
ブラクラの類だからあっちに持ち帰ってくれ。
549 ：(^ー^*)ノ～さん ：08/03/27 10:25 ID:T3+LltHm0: >>541-543 のk1、k2含め20匹ほど更新されているのを確認。
550 ：(^ー^*)ノ～さん ：08/03/27 12:12 ID:QcACWMi90: 先日垢ﾊｯｸを受け、それが救済されたのですが、
一連の流れを参考になるようにお伝えしたら、
私の他にも助かる人が出てくるかもしれないと思うのですが、
そういうのをまとめていたり、投稿？出来る場所はあるでしょうか。
垢ハックまとめサイトさんにはそういうのが無かったように思えますが…

スレ違いと感じられたらスルーして頂ければ。
551 ：(^ー^*)ノ～さん ：08/03/27 13:44 ID:YJBQrF2m0: LiveRO
セキュリティ対策、質問・雑談スレ
552 ：(^ー^*)ノ～さん ：08/03/27 15:45 ID:368tmXtn0: まった、LiveROはログが流れた場合消えてしまう
具体的事例でもある事だし、こっちにもなんらかの跡は残して欲しい
LiveROで仮発表して、向こうで文章量を煮詰めてからこっちに転載とかでもいい
とにかくLiveROだけで終わらせるのは止めてくれ
553 ：(^ー^*)ノ～さん ：08/03/27 15:58 ID:PFiru0yl0: >>552

向こうのログ
つhttp://sky.geocities.jp/vs_ro_hack/
差分
つhttp://common.ragna.info/?rosafe_log

一応有志が残してるから気にしなくていいと思う
554 ：(^ー^*)ノ～さん ：08/03/27 16:22 ID:rqtj/8lU0: >>550
投稿はセキュスレに行われることが多いが、こちらでもいい。

スレの趣旨からして、出来たら、ここに書いてくれるとうれしい。
555 ：550 ：08/03/27 17:25 ID:QcACWMi90: >>551-554
上記の方の流れを見る限り、一応こちらで書いた方が良さそうなので、
少し文章を推敲して来ます。
当然必要であればLiveROの方にも転載OKと言うことで。

あまり長くならないようにしますが、長かったらすみません。
少々お待ち下さい。
556 ：550 ：08/03/27 18:48 ID:QcACWMi90: 以下に、アカウントハッキング被害から救済されるまでの一連の流れを紹介します。
ケースバイケースのところもあると思うので、必ずしも同じような流れになるとは限りませんが、
一例と言うことで、他の方々への参考になれば幸いです。

----------------------------------------
01：2月某日にアカウントハックの被害を受けました。
　　この際偶然私はプレイ中だったので、即座に対応に移ることが出来ました。
02：パスワードの変更を試みましたが、キャラクターパスワードはアカウントハック者によって変えられていた為不可能でした。
　　ログインパスワードの方は公式サイト(ガンホーゲームズ)の方で変更しました。
03：ガンホーゲームズのヘルプデスクに被害届を出しました。
　　この際、すぐにゲーム内で私のアイテムを露店で売り出しているキャラを発見したので、その旨も追加で報告しました。
04：翌日、ガンホーの方でアカウントハッキングについて調査を行うとの返答がありました。
　　しかし、ガンホーに任せきりなのは不安だったので、すぐに警察に電話をすることにしました。
05：ガンホーからの返答を受けた翌日、電話で警察に連絡しました。
　　しかし、土日だった為にすぐに警察には動いてもらえず、また、私自身の仕事の都合もあって詳細は後日確認することに。
06：後日、所轄の警察の生活安全課の方と電話で簡単な経緯確認しました。また、今後の方針についても確認しました。
　　内容としては次の通りになります。
　　・いつ被害を受けたか
　　・どの程度の被害を受けたか
　　・被害を救済して欲しいかどうか
　　・犯人の逮捕をどうするか、などです。
07：所轄の警察に出頭要請を受けたので、改めてに警察へ出頭しました。
　　そこで、被害に至までの経緯や今後について詳細を確認、打ち合わせなどを行いました。
　　ここで警察に正式に捜査を依頼したことになります。

- ここまでで基本的に私の対応は終わりになり、以下警察とガンホーの対応になります -
557 ：550 ：08/03/27 18:49 ID:QcACWMi90: 08：警察が、ガンホーに事件の詳細を説明し、捜査協力を要請。(私が警察に話をした事です)
　　ガンホーも協力に応じることを約束してくれます。
　　また、この時点で「不正アクセスによる被害であった場合に限り」データの復旧をしてもらえることを確約してもらっています。
09：警察が、事件のあった日付前後のアクセスログをガンホーに要請。
　　私のケースでは2ヶ月分程度のアクセスログを要請したようです。
　　ガンホーからの解答は、アクセスログは膨大で特定の人間(アカウント)の物だけを抜き出すのには時間が掛かるとの事。
　　また、更に公的機関(警察)への提出文書として体裁を整えるのにも時間が掛かるとの事。
　　この部分が一番時間的に掛かる場所のようです。
10：アクセスログが届くまでの間、警察の方はROの実情、他鯖などの情報、他のアカウントハックに関しての情報、
　　露店の相場etcetc、細かい情報を集めていました。
11：約20日後、アクセスログの解答がガンホーより到着。
　　正確なデータ量は公開出来ませんが、印刷すると2ヶ月分のデータでコピー用紙4,000枚ほどになるらしいです。
　　実際はエクセルか何かかな？のデータだったようですが。
12：アクセスログを閲覧したところ、私の普段接続するIPアドレス以外からのアクセスを、合計6件確認出来ました。
　　これは全て同じIPアドレスからのアクセスでした。
　　なお、私はネットカフェや他人の家などからのログインが一切無かった為、不正アクセス者のIP割り出しが早く出来たようです。
　　ネットカフェなど、複数の場所からログインしている方は、ここで更に時間を食ってしまう事になるかもしれません。
13：アクセスログの不審アクセスは、最初が1月某日に1回で、次が実際にアカウント内アイテムを盗んだ日に5回。
　　1月の件は恐らくアイテムなどの財産の下見では？　というのが警察の分析です。
　　5回と言うのは、アカウントハックされている際に私が自分のアカウントに入り直しなど行った為、
　　相手もやり返しを行った為、回数が増えています。
14：不審アクセスを行っているIPを調べたところ、プロバイダの特定に至ります。
15：更に捜査を進めたところ、東京にある某企業のIPである事が判明します。
　　しかし企業からアカウントハッキングをしたとは考えにくいので、更にIPに関して調査を進めます。
558 ：550 ：08/03/27 18:50 ID:QcACWMi90: 16：調査の結果、中国にある日本向けのプロキシのIPらしい事が、中国の2chのような掲示板に書かれていたようです。
　　中国のサイトだった為、翻訳に少々手間取ったようですが、間違いなく日本向けのプロキシであることが判明しました。。
　　この時点で相手が中国である為、犯人の検挙は出来ない事になりました。
17：不正アクセスのIPをガンホーに照会し、そのIPからどの程度のアクセスがあったかのアクセスログを依頼しました。
18：ガンホーからの解答として、不正アクセスのIPからのアクセスが、160アカウントにもなることが判明。
　　そのうちの数個は自分のアカウントと思われるので、それを除いた約150アカウントが私と同様の被害にあったと予想されました。
19：中国からの不正アクセスであることがほぼ立証出来た為、警察からガンホーの方に私のデータを復旧するよう依頼。
　　ガンホーからの確認項目として以下の点を確認された模様です。
　　・他人にアカウント情報を貸与したりしていないかどうか。
　　・ウィルス対策ソフトはインストールしていたかどうか。
　　・また、ウィルス対策ソフトのパターンファイルは最新版だったかどうか。
　　・その他、不正アクセスにつながるような行為をしていないかどうか。
20：警察が上記確認項目に問題なしとガンホーに通達した為、ガンホーの方で3/13の17:30付けで、
　　アイテムの復旧を行う事をヘルプデスクに返信していました。

- 以下、警察の方との経緯の確認など -

21：ヘルプデスクに返答が来た翌日、警察から電話が来て簡単な経緯を教えてもらいました。
　　また、実際に警察に出頭し、細かい経緯(上記説明)を受けました。
27：ガンホーにアイテム復旧するよう依頼しました。
　　復旧には1～2週間掛かり、かつ復旧のタイミングは基本的に定期メンテの際に行うとの事。

28：約1週間後、アイテムの復旧を確認しました。
　　アイテムの復旧方法は以下の通りでした。
　　・Zenyは全額復旧。ただし、アカウントハック者が倉庫をあけるのに利用した額は補償されません。
　　・装備は全て、武具とカードが分離された状態で復旧。
　　・精錬値はそのまま復旧されました。
　　・属性武器だけは、精錬値同等の店売り武器になりました。
　　　よく聞く名無しの属性武器にはなりませんでした。
559 ：550 ：08/03/27 18:50 ID:QcACWMi90: 長々となってしまいましたが、上記が報告→調査→解答→復旧の流れになります。
順番が前後してしまいましたが、重要な点を挙げておきますと

・ガンホーのヘルプデスクだけではガンホーは殆ど動きません。
　必ず警察に連絡しましょう。
・警察は、いわゆるサイバー犯罪担当の方がベストではありますが、
　地方の方などでサイバー犯罪担当が居ない場合は、私のように生活安全課が担当になるかもしれません。
・警察に出頭する際、捜査費用は基本的に掛かりません。
　警察に行く手間や移動費は当然自己負担ですが。
・日頃からアカウントハッキングに対する対策をしておくことが重要です。
　アンチウィルスソフトなどが入っていないなど、自己防衛の意識に欠けると判断された場合は、
　捜査は行われても、アイテムの補償はされない可能性があります。
・出来るだけ接続箇所(プレイ場所)を少なくすることが、早期解決への道になります。
　ネットカフェ、知人友人の家、学校や会社などからの接続がある場合、
　それらのIPを逐一照会しなくてはならないので、時間が掛かるようになります。
・あまり書くべきではないでしょうが、他人にアカウントを貸与しているような場合は、
　捜査の段階でそれらが露見する可能性があります。
　最悪の場合、アカウントBANに発展する可能性もあると思います。
・犯人検挙に関しては、相手が日本国内の在住であった場合に限り可能なようです。
　外国からの接続は、現在の日本の法整備では対処のしようがないようです。
　また、犯人検挙に関しても、アカウントハッキングの被害者は基本的にガンホーになるので、
　(ガンホーのサーバー内のデータが荒らされた、と見なされるため)
　ガンホー自身が承諾しない場合は、犯人検挙には結びつかない事もあるようです。

以上で、私のケースの紹介になります。
長々となってしまい、申し訳ありませんでした。
ただこれが、別の方の参考になれば幸いです。
長文、連投失礼致しました。
560 ：550 ：08/03/27 18:54 ID:QcACWMi90: あ、最後になりますが。
上記の文は、LiveRO他、基本的にどこでも転載OKですので、
必要な際に自由に利用して下さい。

ただ、一部で故意に垢ハックされて装備とCを分離しようというような動きがあるようですが、
必ずしもアイテムが補償されるわけではないですし、故意にそのようなことを行うのは
非常に問題だと思われますので、それらを含む悪用には使わないようお願い致します。
561 ：(^ー^*)ノ～さん ：08/03/27 19:23 ID:SBtc1PqX0: 【不審なアドレスのクリックの有無　】 http://nicowiki■com/howtomovie■htmlに15時ごろアクセス
【OS】 Windows XP SP2
【使用ブラウザ】 Opera 9
【WindowsUpdateの有無】今週
【　アンチウイルスソフト】ウイルスバスター2008 Updateは3/27（時刻不明）
【その他のSecurty対策】ルータ経由
【ウイルススキャン結果】検出されず
【スレログやテンプレを読んだか】今から読みます
【hosts変更】有りだが、数ヶ月前
【PeerGuardian2導入】無
【Webヘルプデスクへの報告】無
【説明】
上記サイトのリンク先がhttp://www■skywebsv■com/Blog/であり、表示が白紙であることからソースコード確認、
iFrameがあったことからマズイと判断し、起動中のROを終了、
ネットワークケーブルを引っこ抜いてウイルススキャンするも検出されず。
ネットワークケーブル抜いたままいったん再起動後、再度スキャン中。
現在は別のPCから書き込み中。
直近のログ
>>541-542
にもあるようで。。。
感染しているかどうか判別したいので相談させていただきます。
562 ：(^ー^*)ノ～さん ：08/03/27 19:51 ID:rqtj/8lU0: >>561
感染しているかどうかは、>>541-542辺りでカスペが検出可能であることが書かれているので
「差し替えられていなければ」カスペでスキャンすればわかる可能性が高いです。

バスターで検出可能かは、献体を持っている人がバスターのオンラインスキャンをかければわかります。
563 ：(^ー^*)ノ～さん ：08/03/28 03:45 ID:xs/Gf7Rl0: 当方ウイルスバスターユーザーでトレンドマイクロに>>541の検体を提出し、
パターンファイル5.189.00(3/27昼アップデート)での検出を確認しています。
しかし、現在ダウンロードできるものは検出しないため、差し替えられた可能性大です。

>>541検体回収＆提出日時
3/26 12:08
564 ：(^ー^*)ノ～さん ：08/03/28 07:13 ID:O3hXW84h0: 差し替えは >>549 入れ違いになったねｗ
565 ：561 ：08/03/28 09:53 ID:kWZHsqTB0: 経過報告。
朝の時点でカスペルスキーのオンラインスキャンで検出されず。
再インストールの時間が割けないため、該当PCをネットワークから切断して様子見。
しばらく経ってもう一度カスペのオンラインスキャンをかけようかと。
なお、561時点のパターンファイルが5.187.00、20:14に5.189.00にアップデートでした。。。
566 ：(^ー^*)ノ～さん ：08/03/28 10:05 ID:O3hXW84h0: Operaだから罠スクリプトが動かなかったんじゃないか?
567 ：(^ー^*)ノ～さん ：08/03/28 11:05 ID:/0FSiuw30: ゲーム中に発覚したからあれだろうけど
>>550の件も、RO関係しか触れてないけど
並行して他の情報も抜かれたりしないの？

それともROに限定したバックドアなら作りやすいってことなのかな？
568 ：(^ー^*)ノ～さん ：08/03/28 11:11 ID:O3hXW84h0: FFXIのジョブ板に爆撃されたもの

www■falurl■com/
temateman■com/
www■6828teacup■com/
www■yahddjp■org■cn/bo-boka/a220899a.jpg
www■yahddjp■org■cn/2cnf1/assdo/1203585309085.jpg

全て
www■k5dionne■com/ma/
www■k5dionne■com/ma/xia.exe

Kaspersky Trojan-Downloader.Win32.Delf.dsz
Dr.WEB Trojan.PWS.Gamania.6603
569 ：561 ：08/03/28 11:33 ID:kWZHsqTB0: >>566
割とそれに期待。マイナーなOperaのマイナーさを頼りに・・・
正直、無理に取ったリフレ休暇を再インストに使いたくはないorz
570 ：(^ー^*)ノ～さん ：08/03/28 11:38 ID:O3hXW84h0: >>569
もー。見てきた。
MDACのActiveXコントロールの脆弱性狙いだから
IEでしか動かんよ。
571 ：(^ー^*)ノ～さん ：08/03/28 12:58 ID:yK/lnLIl0: 普段バスター2008を使ってるんだけど、試しにカスペのオンラインスキャン掛けたら
ウィルスが1個引っかかった。
system volume informationの中にあるっぽいんだけど、バスターじゃ処理できないし、
個別に削除してやろうと思ったらファイルが表示されない。
そもそもぐぐっても英語のサイトで、roに関係あるウィルスかは分からないんだけど…
どうしたらいいでしょうか？

以下カスペで検出した際のログのコピペ
D:\System Volume Information\_restore{BD271FAB-74A3-41F7-A6E5-AAA9D401697E}\RP49\A0009514.EXE/stream/data0019 感染: not-a-virus:AdWare.Win32.Gator.3202 スキップ

D:\System Volume Information\_restore{BD271FAB-74A3-41F7-A6E5-AAA9D401697E}\RP49\A0009514.EXE/stream 感染: not-a-virus:AdWare.Win32.Gator.3202 スキップ

D:\System Volume Information\_restore{BD271FAB-74A3-41F7-A6E5-AAA9D401697E}\RP49\A0009514.EXE NSIS: 感染 - 2 スキップ

D:\System Volume Information\_restore{BD271FAB-74A3-41F7-A6E5-AAA9D401697E}\RP86\change.log ロックされていますスキップ

G:\System Volume Information\MountPointManagerRemoteDatabase ロックされていますスキップ

G:\System Volume Information\_restore{BD271FAB-74A3-41F7-A6E5-AAA9D401697E}\RP33\A0003524.exe/stream/data0019 感染: not-a-virus:AdWare.Win32.Gator.3202 スキップ

G:\System Volume Information\_restore{BD271FAB-74A3-41F7-A6E5-AAA9D401697E}\RP33\A0003524.exe/stream 感染: not-a-virus:AdWare.Win32.Gator.3202 スキップ

G:\System Volume Information\_restore{BD271FAB-74A3-41F7-A6E5-AAA9D401697E}\RP33\A0003524.exe

なお、DドライブとGドライブはミラリング…でもないけど、バックアップで時々同期してるから
恐らく同一ファイルのはず。
対処方法あったらよろしくお願いします。
572 ：(^ー^*)ノ～さん ：08/03/28 13:00 ID:O3hXW84h0: Gator踏んだのか。アカハック関係ないのでググってね。
ちなみにSystem Volume Informationはシステムの復元の時にしか使わないので
復元しないなら放置でおっけ。
573 ：(^ー^*)ノ～さん ：08/03/28 13:02 ID:yK/lnLIl0: あ、ちなみにファイルが表示されないと言うのは
sysvolume～が表示されないのではなくて、
{BD271～以下略\RP33\　の中でA0003524.exeのみ表示されないです。
そのほかのファイルは表示されてるようです。
574 ：(^ー^*)ノ～さん ：08/03/28 13:02 ID:xTF+ruD70: >>517
その手の一般的なセキュリティについてはセキュスレへどうぞ
書いてあるとおりに、アドウェアで、ウイルスではないので、消さなくても構わない。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
575 ：(^ー^*)ノ～さん ：08/03/28 13:11 ID:yK/lnLIl0: >>572,574
垢ハック関係なかったってことで安心したよ。
後でもう少し調べて見ます。
ありがとうございました。
576 ：561 ：08/03/28 13:24 ID:kWZHsqTB0: >>570
確認Thanks
先頃もっかいカスペでスキャンしたが感染無しでした。
ありがとうございました。
577 ：(^ー^*)ノ～さん ：08/03/29 13:30 ID:wUl6oFc40: >2にある
>・リネージュ資料室 (応用可能な情報が多数)
>　http://lineage.nyx.bne.jp/
が、3/29付で移転しております。
ttp://lineage.paix.jp/
に、自動で転送されますが、PeerGuardian2用リストは登録し直しが必要になるそうです。
578 ：(^ー^*)ノ～さん ：08/03/29 14:42 ID:70aOROei0: >577
当然ながら、hostsリストもアドが変更になってる。

特にhostsRenew使ってて、更に自動更新かけてる人は必ず設定の変更を。
BSWikiさんのリストを組み込んでたり、hostsAppend=0にしてたらまだ平気だけど
デフォ設定のままだと、ごっそりと情報が欠落することになる。
579 ：(^ー^*)ノ～さん ：08/03/29 14:45 ID:70aOROei0: って、重要な話なので、ageときます
580 ：(^ー^*)ノ～さん ：08/03/29 16:16 ID:BhUqmq+C0: www■gamerost■com/
(略)
www■gamerost■com/npceok.exe
581 ：(^ー^*)ノ～さん ：08/03/30 16:06 ID:4aQKC+mK0: ｜1 尾崎 New! 08/03/30 14:35:06 ID:PjqA86Ad
｜（カブキ忍者）ブローチ（小龍舞）ブレッシング１０速度増加１０ハイスピードポーション AGI10料理 DEX10料理使用...RO アサクロ AX ASPD 190
｜www■livedoor-bbs■com/pics0216/0216■zip

鯖板に立てられていたスレから。

カスペ検出名：Trojan.Win32.Inject.aiv
582 ：(^ー^*)ノ～さん ：08/03/30 17:19 ID:XV9To9iG0: ttp://uk.groups.yahoo.com/group/Mp3_Ringtones_from_Ringtones_World/

↑のアドレスって垢ハク？

どこかに判断識別サイトってなかったっけ？
583 ：(^ー^*)ノ～さん ：08/03/30 17:21 ID:30IInOwT0: そういうスレじゃねーからここ
584 ：(^ー^*)ノ～さん ：08/03/30 17:22 ID:csTynZLH0: >>582
「 . 」を「■」に変えてください。
とりあえず、削除依頼に行ってきて下さい。
585 ：(^ー^*)ノ～さん ：08/03/30 17:22 ID:um7r45Ds0: 1を死ぬまで読み返して来世で質問しろ
586 ：(^ー^*)ノ～さん ：08/03/30 17:24 ID:4aQKC+mK0: >>582
まずは、管理板@MMOBBSに削除依頼を。

・ここは鑑定スレではない
・ソースチェッカーオンラインなら>>7
・危険かもしれないアドレスを■への置き換えなしで貼り付ける行為は削除対象
・相談などはテンプレにて
587 ：(^ー^*)ノ～さん ：08/03/30 17:29 ID:4aQKC+mK0: >>580
あー、検体拾ってフォルダに格納する際に（指が震えたのか…ダブルクリック扱いに…）発動させました。orz

慌ててカスペをアクティブにしたところ、C:\WINDOWS\Debug\0C9C4681802F.dll が検知されました。
反面教師な、発動させた時の報告でした。（再起動時に削除し、除去完了）

即刻削除した為に、データの送信先は未確認です。

検出名は、Trojan-PSW.Win32.Magania.imm。検出されたDLLも検体として保存しましたが、exeと同じ検出名でした。
588 ：(^ー^*)ノ～さん ：08/04/01 22:01 ID:Yjdb7tZ/0: 目の前で垢ハック露店に並んだレアな品々が一気に買われていった
何か切なくなった
589 ：(^ー^*)ノ～さん ：08/04/02 01:37 ID:jyy2mltz0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
590 ：(^ー^*)ノ～さん ：08/04/04 21:35 ID:F/sn0v+o0: >>589のようなｱﾌｫが重要な情報を埋めてしまわないように
とっとと埋めてタイトル変えようぜ
591 ：(^ー^*)ノ～さん ：08/04/04 21:57 ID:5U68yTrB0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
592 ：(^ー^*)ノ～さん ：08/04/06 18:42 ID:fVrHMNfX0: PSU-Wikiで採れたて。
www■skywebsv■com/Blog/
-> www■skywebsv■com/Blog/index1.htm
--> www■bluewoon■com/Blog/k1■exe

昨日の時点でVirusTotalの履歴あり。
ttp://www.virustotal.com/jp/analisis/93ef9a0ebe73e332549056baf065dcf7
593 ：(^ー^*)ノ～さん ：08/04/09 20:16 ID:wLkYeswI0: バッジョ 2008/04/09 14:53
おっくせんまん - Ver.☆ (Anime)
てます。動画のアニメはDNAという人が作ったものを使わせていただきました。「DNAのどうRO」
http://www■exbloog■com/7112888/000029■zip

ｳｳﾞｧｰ('A
594 ：(^ー^*)ノ～さん ：08/04/09 20:59 ID:pt9EcMtV0: >>593
カスペで類似も全部撃墜。
000027の検出名は、2/25に検体提出したものと同じでした。この辺は、入れ代わっていないかも。

ttp://www■exbloog■com/7112888/000029■zip
ttp://www■exbloog■com/7112887/000028■zip
ttp://www■exbloog■com/7112886/000027■zip
ttp://www■exbloog■com/7112885/000026■zip
ttp://www■exbloog■com/Ragnarok/roeng■zip

Trojan-PSW.Win32.Delf.ads : 000026.zip/000026.wmv.scr//data.rar/013.exe
Trojan-PSW.Win32.OnLineGames.sfa : 000027.zip/000027.wmv.scr//data.rar/013.exe
Trojan-PSW.Win32.QQPass.xw : 000028.zip/000028.wmv.scr//data.rar/013.exe//UPack
Trojan.Win32.Inject.aad : 000029.zip/mov000029.wmv.scr//data.rar/013.exe
Trojan.Win32.Inject.aad : roeng.zip
595 ：(^ー^*)ノ～さん ：08/04/16 03:07 ID:pCfHgaLf0: ここでも何度か報告例のあったSURPARA BLOG、いよいよiframeタグの一時的な使用停止に乗り出した。
ttp://blog.surpara.com/staffblog/archive/2008/04/48875.html
>こちらの改修により、IFRAMEタグ及びそれに囲まれた範囲の文書は確認画面の段階で消去されます。
>後日、許可されたドメインに向けたものに限りIFRAMEタグを利用できるよう改修を行う予定です（ドメインの許可方法等に
>つきましては後日改修時に告知致します）。

未だにiframeを透過してしまう同業他社サービスも、これに追随するようにユーザーが働きかける流れが出来れば幸いと思い、
あえてこちらに書く。

# 一般的な対策ではなく、コンテンツプロバイダに対しての啓蒙運動みたいなものだし。
596 ：(^ー^*)ノ～さん ：08/04/16 13:13 ID:Q6/4PDFF0: NOD32アンチウイルス体験版て期限切れたらまた入れなおして使ってもok？
597 ：(^ー^*)ノ～さん ：08/04/16 13:16 ID:jYvVWh+Q0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
598 ：(^ー^*)ノ～さん ：08/04/17 01:31 ID:hlIIq9ty0: 3分で糞レス返すなんてどんだけ暇なんだｗｗｗｗｗｗｗｗｗｗ
休日なら休め！　ニートなら仕事探せ！
599 ：(^ー^*)ノ～さん ：08/04/17 07:23 ID:O0CvWP9J0: BOTだと思おうぜ
600 ：(^ー^*)ノ～さん ：08/04/17 09:12 ID:wmQbZk390: Nice bot.
601 ：(^ー^*)ノ～さん ：08/04/17 09:57 ID:tk0Umh170: >>598-601
>テンプレ　もしくは >>597
602 ：(^ー^*)ノ～さん ：08/04/17 12:17 ID:RWXyg3JT0: >>601
>>600
603 ：(^ー^*)ノ～さん ：08/04/20 12:59 ID:9K1VGOkx0: カスペのオンラインスキャンでウイルスなし
SpyBOTでいくつか見つかって削除
ハックウイルスだった可能性ってありますか？
名前めもらずに消してしまったので不安です
604 ：(^ー^*)ノ～さん ：08/04/20 13:36 ID:fdIj/7Jj0: つ[フォーマット再インスト]
605 ：(^ー^*)ノ～さん ：08/04/20 13:39 ID:kGGgKmna0: Spybotはトラッキングクッキーに代表される
「それ自体は無害だけど悪用される可能性も否めない」要素も多数検出するし
大丈夫なんじゃないか、と予想までは出来るが

さんざん言われてるとおりスレ住民では大丈夫か否かの保証は不可能
606 ：(^ー^*)ノ～さん ：08/04/20 13:58 ID:RSnMln8C0: 名前メモらずって時点でわかるわけがない
607 ：(^ー^*)ノ～さん ：08/04/20 14:21 ID:yt8BA4Xi0: >>603
そういった「漠然とした」質問は、次回からセキュスレでお願いします。

ウイルスとスパイウェアの違いを理解するようにおすすめします。アカハックに利用されるトロイの木馬は
ウイルスの１形態です。wikipediaのスパイウェアの項目の中に「スパイウェアとコンピュータウイルスの違い」と
いう項目がありますので、参考までに読んでみてください。

Wikipediaより
コンピュータウイルス
http://ja.wikipedia.org/wiki/%E3%82%B3%E3%83%B3%E3%83%94%E3%83%A5%E3%83%BC%E3%82%BF%E3%82%A6%E3%82%A4%E3%83%AB%E3%82%B9

スパイウェア
http://ja.wikipedia.org/wiki/%E3%82%B9%E3%83%91%E3%82%A4%E3%82%A6%E3%82%A7%E3%82%A2
608 ：(^ー^*)ノ～さん ：08/04/20 14:37 ID:XgYtVoVx0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
609 ：(^ー^*)ノ～さん ：08/04/20 18:58 ID:sIMAMXhj0: Nice bot.
610 ：(^ー^*)ノ～さん ：08/04/20 23:19 ID:EaTOsuLN0: Nice bot.
611 ：(^ー^*)ノ～さん ：08/04/21 00:04 ID:jIxisESX0: >>603
最近のトロイの流行のひとつに
役割を終えたら自動消滅するといったスパイ大作戦的なものがあるので
カスペで調べた時点で検出されなかったから安全とは言いがたい
612 ：(^ー^*)ノ～さん ：08/04/21 02:25 ID:AOVZrPwe0: 最近はmixiにまで垢ハックコメくるんだなぁ・・・
613 ：(^ー^*)ノ～さん ：08/04/21 02:37 ID:Q8sABQkM0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
614 ：(^ー^*)ノ～さん ：08/04/21 04:32 ID:eyJyO6Zi0: Nice bot.
615 ：(^ー^*)ノ～さん ：08/04/21 10:49 ID:pWZBJ/m10: ちょっと前に大流行(414151や2117966やnmidahena)した
iframe・scriptの続き。

aspder.com 2008-04-11
www■aspder■com/1.js
-(略)→www■worldofwarcraftn■com/xp.exe

nihaorr1■com 2008-04-11
www■nihaorr1■com/1.js
-(略)→www■nihaorr1■com/test.exe
616 ：(^ー^*)ノ～さん ：08/04/24 23:56 ID:Z+pymAZF0: カスペルスキーオンラインスキャンでTrojan-Downloader.Win32.Zlob.lpsが検出された…
ググっても情報でてこないんですが、垢ハックの可能性高いですかねぇ
617 ：(^ー^*)ノ～さん ：08/04/25 00:17 ID:gvJa8Kpf0: Zlobはネトゲアカハックではないね。
動画のcodecを装ってエロサイトなんかに仕込まれてる。
618 ：(^ー^*)ノ～さん ：08/04/25 01:35 ID:XHi/azmZO: >>616
この変態め
619 ：(^ー^*)ノ～さん ：08/04/25 02:01 ID:8yR6+AKH0: 酷いこと言うなあ。
Nintendou64エミュに混入させる例もあるようですよ。
620 ：(^ー^*)ノ～さん ：08/04/25 09:09 ID:gvJa8Kpf0: この割れ厨め