アカウントハック総合対策スレ9

1 ：夢 ★ ：07/11/25 11:04 ID:???0

アカウントハックに関する情報の集積・分析を目的とするスレです。
被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

・ 関連＆参考情報アドレス (>>2)
・ 報告用＆質問用テンプレ (>>3, >>4)
・ アカウントハック対応の要点とFAQ (>>5)
・ 安全対策の簡易まとめ (>>6)
・ アカウントハッキングについて（ガンホー公式）
　 http://www.ragnarokonline.jp/playguide/hacking/

■スレの性格上、誤って危険なURLがそのまま貼られてしまう可能性がある■
■URLを無闇に踏んで回らないこと。報告・相談はテンプレを利用すること■

※ ID/Pass/サーバ/キャラ名等の情報は公開しないでください
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません
※ ネタや程度を超えた雑談・脱線はご遠慮ください

・スレ立て依頼は>>970がしてください。反応がなければ以降10ごとに。

【一般的話題用】
セキュリティ対策、質問・雑談スレ3
　http://enif.mmobbs.com/test/read.cgi/livero/1186660300/

301 ：298 ：08/01/16 21:22 ID:W6FVrO2I0

>>299
もし万が一、垢ハクしてきた側の手元にIDが残っていた場合
ツール等でしらみつぶしにパスを抜かれちゃうのでは・・・と考えました


>>300
なるほど、ありがとうございます
参考にさせていただきますね

302 ：(^ー^*)ノ〜さん ：08/01/16 21:22 ID:GGsg2d/00

ハックされた事実に気がつくまでの時間、及び、パスワード変更までの猶予時間が短ければ、比較的に他のトラブルは
少ないとみて良いでしょう。
但し、他のゲームでも話に出てくる事がありますが、業者が稼ぎ用に投入していたり、ロンダリング目的で中継に使っていた場合、
一切トラブルに巻き込まれていない場合と比較してリスクは高いかもしれません。

303 ：(^ー^*)ノ〜さん ：08/01/16 21:55 ID:bFnHZyZu0

>>297
報告ありがとうございます。セキュスレの方に同じアドレスの投稿ありましたね。

カスペ検出名：Trojan.Win32.Inject.qt

304 ：(^ー^*)ノ〜さん ：08/01/18 19:37 ID:CJDmofmy0

うちのWebサイトの拍手にハクアド来ました。
Web拍手の報告ってこのスレじゃ初めてじゃないかな。

www■gamehanbook■com/esports
アドレス自体は既出

305 ：(^ー^*)ノ〜さん ：08/01/19 07:13 ID:COPwHW0a0

>>304
www■gamemmobbs■com/esports/ro2■exe
>>284-285 で予見されていたro2■exeだｗ

306 ：(^ー^*)ノ〜さん ：08/01/19 09:52 ID:lnAEscEQ0

>>304-305
ttp://www■gamehanbook■com/esports/
ttp://www■gamemmobbs■com/esports/Ms06014■htm
ttp://www■gamemmobbs■com/esports/ani■c
ttp://www■gamemmobbs■com/esports/ro2■exe

index■htm : JS/Agent.CG
Ms06014■htm : Trojan-Downloader.JS.Psyme.kf
ani■c : Exploit.Win32.IMG-ANI.ac
ro2■exe : Trojan.Win32.Inject.qt

307 ：(^ー^*)ノ〜さん ：08/01/19 14:53 ID:Pz0dBvk00

>>304
遂にweb拍手も標的にされ始めたか。
設置のお手軽さ故に、spamに狙われると被害拡大の規模が恐ろしい事になりそうだ。

とりあえず、メッセージのフィルターが可能な支援cgiが存在するので、導入を検討してみると良いかもしれない。
ttp://www.kototone.jp/com/webclap29.html

心配であれば、「web拍手支援cgi」で検索可能。
単純一致による投稿拒否、リモートホストによる拒否など、一通りの設定が出来る模様。
webclapからのレンタル版を使用している場合は、この機会にcgi版に置き換えるのも手。

後は、公式BBSでの注意喚起も、並行して行った方が良いのかもしれない。
> web拍手の荒らしについて・６
ttp://www.webclap.com/bbs2/index.html?mode=view&thread=107

308 ：(^ー^*)ノ〜さん ：08/01/20 12:40 ID:+YeV8WYx0

最近自分のブログとwiki(livedoor)に相次いで妙なアドレスが張られていたので
このスレで確認してみようと思ったら一個近いのがあったので垢ハクと判断。

ttp://www■caremoon■net/wiki/
ttp://blog186■blog34■fc2■com/
改ざんされてたのに一月近く気付かなかった代物。


ttp://gtvxi■com/uplink1028/9974link/
ttp://imbbs2t4u■com/up743205/jbbs578601/
下のはwikiとブログの両方に張られていた物。

とりあえずwikiの方は書き込み制限するようにしました。
ブログコメントに関しては常に注意呼び掛けるようにします。

309 ：(^ー^*)ノ〜さん ：08/01/22 01:54 ID:iL/ESuri0

【　 　 　 気付いた日時　 　 　 　 　 】 2008.1.15　18:33
【不審なアドレスのクリックの有無　】 ブログにコメントがあり、踏みました
ttp://infosueek■com/cooking
【他人にID/Passを教えた事の有無】 (Yes)
【他人が貴方のPCを使う可能性の有無】 (No)
【 　 　ツールの使用の有無　 　 　 】 (No)
【　 ネットカフェの利用の有無　 　　】 (Yes)
【　 　　 OS　 　 】 ＷＩＮ　ＸＰ（詳しくわかりません）
【WindowsUpdateの有無】 自動更新
【　アンチウイルスソフト 】 かかるまでウイルスセキュリティ対策　というソフトを使ってました。自動更新なので最新です
【その他のSecurty対策 】 上記のアドレスを踏んでからアドアウェイで検索し、カスペルスキー体験版を入れて検索もしました。
【スレログやテンプレを読んだか】部分的に読みました。
【hosts変更】(有/無　[有りの場合は最終更新は何時ごろか])
【PeerGuardian2導入】(無 )
【Webヘルプデスクへの報告】（無)
【説明】上記のＵＲＬに飛んだら真っ白な画面が出ました。
知り合いのハック系に少し詳しい人にこのＵＲＬ先のソースをを見てもらうと
ホスト元は中国で隠しスクプリトだらけということで断定は出来ないけど、高確率で垢ハックだろうと言われました。
アドアウェアというスパイウエア駆除ツールを勧められ、検索しました。

けど早とちりして「今作動しているプログラムだけの検索」の方で検索してしまっていて、途中でそれに気づき中断しました。
その１分たらずの検索で出てきたのが危険度８のスパイウエアでした。（ＭＡＸ１０）

それを駆除し、「ドライブすべてを検索」の方で検索すると今度は１つもスパイウェアが出てきませんでした。
教えてくれた方にそれはおかしいと言われたのですけど、このソフトで出なければ大丈夫。と言われこの話は終わってしまいました。

駆除されると思って形を変えてどこかにスパイウェアが隠れてるんじゃないかと不安で別の人に相談すると「カスペルスキーがいいよ」と言われ、それでも検索しても何１つ出てきませんでした。
この２つで検索して何も出てこないと言う事はもう大丈夫と思っていいのでしょうか？

310 ：(^ー^*)ノ〜さん ：08/01/22 01:57 ID:W8f/iqem0

・アンチウイルスソフトでウイルスが見つからないのでもう大丈夫だよね？
　　100％の保証は出来ません。ウィルスが見つからなかった場合、チェックに使った
　　アンチウィルスソフトでは発見出来なかっただけです。本当にウィルスが居ないのか、
　　それとも検知を免れているだけなのかは判りません。
　　自信が無い場合はHDDをフォーマットの上、PCの再セットアップを考えるべきです

311 ：(^ー^*)ノ〜さん ：08/01/22 14:42 ID:qgsl0Cs00

>>307
結構前から、web拍手に投下してる奴はいる
比較的マイナーなサイトでも話題に上がってた

312 ：(^ー^*)ノ〜さん ：08/01/22 22:23 ID:3SvlaUNrO

そもそも他人にID教えたことあるとか
垢共有乙じゃね？
引退オススメ

313 ：(^ー^*)ノ〜さん ：08/01/23 01:00 ID:tPy+8DyL0

【　　アドレス 　 】http://spesmist■blog28.fc2.com/
【気付いた日時】ついさっき。ROとは関係ないWikiを見た時。
【　 　　 OS　 　 】WindowsXP　HomeSP2
【使用ブラウザ 】IEです
【WindowsUpdateの有無】アップデートは入ったら入れてます
【　アンチウイルスソフト 】WindowsLiveOnecare
【その他のSecurty対策 】ルーター
【 ウイルススキャン結果】踏んだ時に対策ソフトが警告を出してくれてその時削除しました。その後カスペルスキーでスキャンして見ましたが何も出ていません。
【スレログやテンプレを読んだか】テンプレは一応読みました
【hosts変更】無し
【PeerGuardian2導入】無し
【説明】ウイルス対策ソフトが反応したため。ROにログインしている状況でWikiを見て感染したのですが、すぐ削除した場合どうなるのでしょうか。

314 ：(^ー^*)ノ〜さん ：08/01/23 01:03 ID:tPy+8DyL0

313ですが。
カスペルスキーで再度検索したところ感染がありました。

315 ：(^ー^*)ノ〜さん ：08/01/23 01:11 ID:Ie4DqmKL0

ならログアウトしたら再度ログインは控えるように

316 ：313 ：08/01/23 01:27 ID:tPy+8DyL0

カスペルスキーのスキャンで出てきた名称は"Trojan-Downloader.VBS.Agent.hi"
と"Trojan-Clicker.HTML.IFrame.il"らしいです。
全然わからないです('A')

317 ：(^ー^*)ノ〜さん ：08/01/23 02:14 ID:kzeAXSyr0

>>316
分からなかったら調べる (｀・ω・´)

Trojan-Downloader.VBS.Agent.hp(hiはなかったのでこれかな)
ttp://www.viruslistjp.com/viruses/encyclopedia/?virusid=247763
Trojan-Clicker.HTML.IFrame.g(同じくilなし)
http://www.viruslistjp.com/viruses/encyclopedia/?virusid=125408

というか、Onecareで対応した方がいいのかもね
カスペのオンラインスキャンで駆除できるわけではないし
Onecareでは何という名前で出ていたのか分からないから検索が出来なかった (´・ω・｀)

318 ：(^ー^*)ノ〜さん ：08/01/23 04:52 ID:RVYxqRSF0

>>316
それは両方とも、ダウンローダ（IEのキャッシュかな)。

なんたらIframeは、縦か横のサイズを0にしたIframe呼び出しで別サイトのhtmlを閲覧者に隠して読み込ませるもの。
VBSってのは、アカハック本体を読み込ませるものだが、VBで本体の名前が難読化されているもの。

この段階でブロックできているなら、水際阻止ということだが、今回は「事後に確認」しているので
本体を入手してしまっている可能性がある。VBSの奴は、２〜３種類落としてくるものが一般的で
LiveOneCareが本体をブロックしていても「ブロックできていない本体がいる可能性が高い」。
（あとでチェックしたカスペをすり抜けるものが含まれていたなら、発動させていると思った方がいい）

「説明」を読む限りは、接続中ではあったが「ログイン作業は行なっていない」ということのようなので、
現時点では盗まれていない筈。だけど、上に書いたようにすり抜けている可能性が十分にあるので
「あなたが踏んだ時から、ファイルの変更がなく」「カスペオンラインスキャン時のパターンで検知可能な
ものしか置かれていなかった」という２つの前提条件をクリアできない限りは、OSの入れなおししかない。

■踏んでからログインなどを一切していない場合
・早急なOSの再インストールを推奨

■一度でもログイン等してしまった場合
・安全な環境（詳細はテンプレ参照）から、パスワードの変更を行なう
・その後で、OSの再インストールをゆっくりとどうぞ。

319 ：(^ー^*)ノ〜さん ：08/01/23 05:11 ID:RVYxqRSF0

>>313
ttp://spesmist■blog28■fc2■com/
ttp://www■teamerblog■com/blog/
ttp://www■panslog■net/wiki/index1■htm

ttp://www■panslog■net/wiki/send■exe
ttp://www■panslog■net/fc2/cery■exe
ttp://www■panslog■net/wiki/reco■exe

カスペ検出名
->fc2のindex■htm（カスペすり抜け）
-->アカハックサイトのindex■htm−−−Trojan-Clicker.HTML.IFrame.il
--->VBSで本体をダウンロードするindex1■htm−−−Trojan-Downloader.VBS.Agent.hi
---->send■exe（本体１）−−−Trojan-PSW.Win32.Delf.aih
---->cery■exe（本体２）−−−Trojan-PSW.Win32.OnLineGames.lyx
---->reco■exe（本体３）−−−Trojan.Win32.Inject.ms

send■exe（PWS:Win32/Lmir.BMT）
ttp://www.virustotal.com/analisis/d74b020f6bb8c953b4aa632429764ec3
cery■exe（Microsoftすり抜け）
ttp://www.virustotal.com/analisis/9b0cf477874077a5974b7689b0ff6640
reco■exe（Microsoftすり抜け）
ttp://www.virustotal.com/analisis/98ce162e72789db5705dad5827fd2f31

多分、WindowsLiveOnecare が反応し、ブロックできたのは「send■exe」のみ。
他の２つは、切断前にダウンロードしていた可能性があるし、send■exeをブロックする
段階までいったとなると、それを読み込ませようとするレジストリへの変更などが
index1■htmのVBScript実行時点で行われてしまっている。

やはり、早急なOS入れなおしが必要と思われる。もちろん、カスペオンラインスキャンで
「Trojan-PSW.Win32.OnLineGames.lyx」と「Trojan.Win32.Inject.ms」が出てこないので
１つめを入手しようとした時点で切断しており、残りを入手していないと信じて、自己責任で
使い続ける方法もあるが、お勧めはできない。

320 ：(^ー^*)ノ〜さん ：08/01/23 05:45 ID:0Ng+OrFr0

すみません、便乗で相談させてください。
>>313さんとほぼ同じ時間で同じ罠ブログを踏んでしまいました。
（ちなみに、ROとは無関係な動画製作関連wikiのメニューを書き換えたもので、現在は修正されているようです）
状況は次の通りです。

【　　アドレス 　 】http://spesmist■blog28■fc2■com/
【気付いた日時】08/01/23　01時過ぎころ
【　 　　 OS　 　 】WindowsXP Home SP2
【使用ブラウザ 】Firefox2.0.0.11
【WindowsUpdateの有無】自動更新/最新の状態です
【　アンチウイルスソフト 】Norton internet security 2008
【その他のSecurty対策 】ルータ
【 ウイルススキャン結果】最新定義状態のノートンで検出なし、カスペオンラインで検出なし
【スレログやテンプレを読んだか】読みました
【hosts変更】無
【PeerGuardian2導入】無
【説明】踏んだ時にノートンの反応はありませんでしたが、wiki内ページのはずが外部ブログ、
それもROプレーヤーの日記を装っていたためアカウントハック目的の偽装書き換えだと思い、
こちらのスレッドを拝見したところ>>313さんの書き込みを見つけました。

すぐに感染の恐れのないPCで各種パスを変更し、キャラクターをログイン状態にしています。
踏んでしまったPCでは
・Firefoxのキャッシュとクッキーをクリア
・Temporary Internet FilesフォルダとIEのクッキーをクリアし、
・\Temp\top.exe
・\windows\system32\exploreref.exe
・\windows\system32\systemlf.dll
がHDD内に存在しないことは確認しています。

念のためOSの入れ直しを考えていますが、検索しても把握できなかったので次の2点について教えていただければ幸いです。
上記の状況では、閲覧はしたが一応食い止めたという可能性が高いと考えられてよいでしょうか。
また、上記レスで指摘されているダウンローダは、Firefoxで閲覧した場合にはどのように動作するのでしょうか。
（動作しない、IE同様に動作する等）どうぞよろしくお願いいたします。

321 ：(^ー^*)ノ〜さん ：08/01/23 06:22 ID:RVYxqRSF0

>>320
・基本的に、FireFoxでもIEと同様に動作する。
・>>319のVirusTotalの結果を見てわかるように、本体自体はパターン更新していればノートンでもブロック可能。
・本体入手前（もしくはダウンロード完了前）に切断が間に合っている可能性はあるが保証できない。
　そのため、OSの入れなおしは推奨する。

>上記の状況では、閲覧はしたが一応食い止めたという可能性が高いと考えられてよいでしょうか。
・反応していないことをもって、食い止めたと判断はできない。
　（踏んだタイミングによってはファイルが差し替えられている可能性もある）
・>>319の調査時点と踏んだ時点でファイルが同じであると仮定した場合、同じ名称（ノートンの名称では
　かかれていないが）で、すべてブロック履歴があれば、ブロックできた可能性が高いと言えるが、
　「検知されなかった」場合は、可能性が複数考えられるので、「判断のしようがない」。

322 ：(^ー^*)ノ〜さん ：08/01/23 08:34 ID:2T1RtJHM0

自ブログのコメントより垢ハックと思われるアドレス。
blogrogame■blog18■fc2■com
エキサイトブログは今年に入ってからハクアド貼り付けが多くなってますね。

323 ：313 ：08/01/23 09:00 ID:fekc07+rO

おはようございます。
今は家から出てしまったので帰宅してからOSの入れ直ししようと思います。

後から出た物はOneCareでは検出できませんでした。

324 ：(^ー^*)ノ〜さん ：08/01/23 12:33 ID:GRAYm8+l0

>>322
それ、インラインフレームでwww■symphones■comにアクセスさせ、
vbscriptで何かのコードを実行させようとしているな。hostsに追加だわ。

325 ：320 ：08/01/23 12:54 ID:0Ng+OrFr0

>>321さん

320です。わかりやすい解説ありがとうございました。
いくつか既出のことも質問してしまい申し訳ありませんでした。
仰る通り、「未検出」「無反応」ですと様々な状況が考えられますので、
重要なデータを退避させた上でOSの再インストールをすることにします。
今後はRO以外のサイトを見る時も十分注意するようにします。感謝です。

326 ：(^ー^*)ノ〜さん ：08/01/23 15:47 ID:RfsBmJpz0

lokiwikiの同盟関係のとことか、クリックしたら画面真っ白になったんだけど
これは大丈夫なのかな・・・だれか調べられませんか？

327 ：(^ー^*)ノ〜さん ：08/01/23 15:52 ID:4tXEoCCX0

対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/351n

328 ：(^ー^*)ノ〜さん ：08/01/23 15:56 ID:RfsBmJpz0

>>327
そっちに移動します、誘導ありがとう

329 ：(^ー^*)ノ〜さん ：08/01/24 03:54 ID:LN8mY3z40

うっかりどころかﾎﾟﾁっと踏んでしまった･･･
【　 　 　 気付いた日時　 　 　 　 　 】 踏んだ直後　カスペが即反応　トロイ
【不審なアドレスのクリックの有無　】 gtvxi■com/uplink1028/9974link/
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【 　 　ツールの使用の有無　 　 　 】 No
【　 ネットカフェの利用の有無　 　　】 No
【　 　　 OS　 　 】 XP professional SP2
【使用ブラウザ 】 Sleipnir v2.6.1
【WindowsUpdateの有無】 自動更新なので最新
【　アンチウイルスソフト 】 カスペルスキーインターネットセキュリティ7.0 定義データベース2008/1/23/23:23:59更新
【その他のSecurty対策 】 無し
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【スレログやテンプレを読んだか】 今から読みます
【hosts変更】無し
【PeerGuardian2導入】無し
【Webヘルプデスクへの報告】無
【説明】
とりあえずｸﾘｯｸした瞬間トロイ検知とカスペが反応して即座に遮断しました。
その後、すぐにﾙｰﾀｰ有＆別回線のPCから癌ID、垢ID、ﾊﾟｽを全て変更しました。

やはり安全策はフォーマット＆OS再インストールでしょうか？

330 ：329 ：08/01/24 04:05 ID:LN8mY3z40

ちなみに先ほどCドライブをスキャンしたら脅威はないとのことでした。
ただ、イベントレポートに
2008/01/24 3:50:28 プロセス (PID 580) は次の行為を試みました。：(PID 2144)のプロセスがカスペルスキーインターネットセキュリティにアクセスしようとしています。セルフディフェンス機能が有効に働きこの行為を防御しました。処理は完了しているので何もする必要はありません

これが表示されました
本体DLしてしまった可能性が高いでしょうか？

331 ：(^ー^*)ノ〜さん ：08/01/24 11:30 ID:TaWLDh+00

>>329
＞その後、すぐにﾙｰﾀｰ有＆別回線のPCから癌ID、垢ID、ﾊﾟｽを全て変更しました。
踏んだ後、ログインを１度も行なっていなければ盗まれる心配は無い。
アカハックの削除もしくは安全な環境の再構築だけでいい。

カスペがダウンローダの時点でブロックした「可能性」はある。
カスペのログから、何をブロックしたのか確認してみるといい。あとの判断は自己責任だ。
下記の情報で判断できないようなら、OSの再インストールをお勧めする。

ttp://gtvxi■com/uplink1028/9974link/
ttp://www■mbspro6uic■com/indexff■htm
ttp://www■mbspro6uic■com/naizi/nait■htm
ttp://www■mbspro6uic■com/naizi/tani■c
ttp://www■mbspro6uic■com/indexff■htm
ttp://www■mbspro6uic■com/naizi/nai■htm
ttp://www■mbspro6uic■com/naizi/ani■c
ttp://www■mbspro6uic■com/naizi/ff22■exe
ttp://www■mbspro6uic■com/naizi/rbt1■exe

カスペの検出名
->index■htm : サイズ0のiframe呼び出し（カスペスルー）
-->indexm■htm : Trojan-Downloader.HTML.IFrame.dv
--->nait■htm : Trojan-Downloader.JS.Psyme.kf
--->tani■c : Exploit.Win32.IMG-ANI.ac
---->rbt1■exe : Trojan-Downloader.Win32.Delf.dsz
-->indexff■htm : Trojan-Downloader.HTML.IFrame.dv
--->nai■htm : Trojan-Downloader.JS.Psyme.kf
--->ani■c : Exploit.Win32.IMG-ANI.ac
---->ff22■exe : Trojan-PSW.Win32.OnLineGames.fcj

332 ：329 ：08/01/24 12:37 ID:LN8mY3z40

>>331
-->indexm■htm : Trojan-Downloader.HTML.IFrame.dv

まさにこれですね･･･

とりあえずOS再インストールしてみます

333 ：329 ：08/01/24 15:03 ID:vtyRkbXn0

結局ﾌｫｰﾏｯﾄ&OS再ｲﾝｽﾄｰﾙしました。
まだｸﾗｲｱﾝﾄのｲﾝｽﾄｰﾙはしていません。
ただ、329を書く前にIDﾊﾟｽなどを全て変更したあとで別回線&別PCからｹﾞｰﾑにINしてしまいました。

テンプレだと厳禁となっていますが、それは踏んだPCでのINが
危険という意味だと思ったので

踏んだPCはOS再ｲﾝｽﾄｰﾙしたあとで再びIDﾊﾟｽを全て変更しましたが
あとは運でしょうか･･･

334 ：(^ー^*)ノ〜さん ：08/01/24 18:04 ID:+M+3knFF0

>>329
アカハックの手口というのは

１）URLを踏ませ、ウィルスをインストールさせる
２）ID/パスワードを盗む
３）盗んだものでログインしアイテムを盗む

という流れなわけですが、今現状確認されているウィルスの殆ど（全てとは言い切らない）が
ウィルス感染以前に入力・送信していたID/パスはウィルスにはわからないし盗めない。
２）を行うにあたって「誰かがウィルス感染PCよりID/パスワードを入力・送信する」という作業が必要。

なので、「感染PCからのログインは厳禁」となります。

このあたりの流れをきちんと自分の頭で整理してみて？
そうしたら>>333で言ってることが微妙にちんぷんかんぷんなことがわかると思う。

考えるのが嫌なら結論だけ言えば
・OSをクリーンインストールしたPCでパスを変更したならアカハックされることは99.9％ない。
（残りの0.1は現時点で確認されていないウィルスによる被害と思ってください）

335 ：(^ー^*)ノ〜さん ：08/01/24 18:56 ID:gjCW1F740

RO2時限式のワームが本日発動パッチに入っていた模様
みじんこなので駆除が精一杯で内容不明

あとは偉い人に任せます

336 ：(^ー^*)ノ〜さん ：08/01/24 18:59 ID:mTVATdqQ0

>335
日本語でおｋ

337 ：(^ー^*)ノ〜さん ：08/01/24 19:00 ID:CfV06Ed70

いや、もう来なくて良いよ

338 ：(^ー^*)ノ〜さん ：08/01/25 13:07 ID:xhv0ZMXM0

ＦＥＺもプレイしている人へ｡

ＦＥＺのＷｉｋｉがアカウントハックに書き換えられているらしい｡
未確認だがトップページからあやしいブログに飛ばされるそうだ｡
ＦＥＺ自体は装備がトレード不可だったりするわけで
アカウントハックのうまみはないが､複数の掛け持ちプレイヤーが多い｡
ＦＦやＲＯ､リネージュのアカウントをハックしようとしていると思われる｡
注意されたし｡

339 ：(^ー^*)ノ〜さん ：08/01/25 13:29 ID:iDKVREUk0

差分から抽出。
ttp://poikiy■blog98■fc2■com/
該当ユーザーBlogは既に凍結済みの為、追跡はできず。

ただ、掛け持ち狙い以外にも、ハックされたアカウントにオーブ(ROに例えればShopPoint)が残存していれば、課金アイテムを
プレゼントという形で別のアカウントに贈与する事は可能なので、ノーリスクとも言えない。
それに、自国に不利な活動を行う工作員として、盗用アカウントを活用される恐れもある。

340 ：(^ー^*)ノ〜さん ：08/01/25 19:43 ID:s4ACceQ20

GGXXwikiにも爆撃されてたね、そのURL

341 ：(^ー^*)ノ〜さん ：08/01/25 20:00 ID:AmULkVa50

後ろが違うだけの気がしますけど・・

infosueek■com/roeng/
ＩＰ：218.86.91.17

342 ：(^ー^*)ノ〜さん ：08/01/25 20:13 ID:1NbIRP2a0

>>341
infosueek■com/xin/ro■exe

343 ：(^ー^*)ノ〜さん ：08/01/26 02:22 ID:6wR6fyPc0

FEZ Wiki爆撃第二波に使われたfc2Blog。
hoshims■blog34■fc2■com/
-> www■teamerblog■com/blog/
--> www■panslog■net/wiki/index1.htm (スクランブルVBScript埋めこみ)

Wikiの方は、既に管理人が登場し、外部リンク確認ページ導入などの対策が施されたので、暫くは様子見で良さそう。

344 ：(^ー^*)ノ〜さん ：08/01/26 03:51 ID:6wR6fyPc0

FEZ Wiki改竄者のリモートホストが判明。
ofsfb-01p1-92.ppp11.odn.ad.jpとの管理者発表があった。
またOFSfbか、といった感じ。

345 ：(^ー^*)ノ〜さん ：08/01/26 13:49 ID:gdIMY3B90

ofsfbは無条件で禁止設定が吉

どこにでも現れるからな

346 ：(^ー^*)ノ〜さん ：08/01/29 10:05 ID:2nstDmnJ0

さっと検索してみたのですが、報告無いみたいなので。
ttp://secorewell999■blog5■fc2■com/
├ttp://www■testinghua.com/ie/wm■htm
　　├ttp://www■testinghua■com/ie/an■htm
　　｜　　　├ttp://www■testinghua■com/ie/test■cur
　　｜　　　├ttp://www■testinghua■com/ie/Ms06014■htm
　　├ttp://www■testinghua■com/ie/op■htm
　　｜　　　├ttp://www■testinghua■com/ie/kun■exe
　　｜ttp://www■testinghua■com/ie/re■htm

検体は提出していません。
test■curはノートンで
リスク名：HTTP ANI File Anih Hdr Size BO
危険度：高レベル
トラフィック：TCP,www-httpにて進入検知遮断

kun■exe
ノートンでは何も検出されず。
カスペのオンラインスキャン結果
スキャンしたファイル:kun■exe - 感染が見つかりました
kun■exe - に感染しています Trojan-PSW.Win32.LdPinch.beo

このほかにも有りそうだけど自分で解ったのはこれだけです。
どなたかよろしくお願いします。

347 ：(^ー^*)ノ〜さん ：08/01/29 16:38 ID:YzuDo2cG0

垢ハックはニコニコのコメントにも進出してきた模様

348 ：(^ー^*)ノ〜さん ：08/01/29 16:59 ID:3qaFWXEZ0

できれば、具体的な事例を提示してください

349 ：(^ー^*)ノ〜さん ：08/01/29 22:34 ID:88nCubdA0

アカウント登録が必要なニコニコとかmixiとかイラネ
そのコミュニティ内でやってくれ

350 ：(^ー^*)ノ〜さん ：08/01/30 02:10 ID:AynyqpUS0

重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/

351 ：(^ー^*)ノ〜さん ：08/01/30 12:14 ID:t31BX4jp0

中華っぽい名前の商人が垢ハックっぽい露店2個も立ててるなぁ
しかも相当レアいものが並んでる…可哀想に

352 ：(^ー^*)ノ〜さん ：08/01/30 23:25 ID:0LVoKzBx0

リンカーwikiのトップページに
ttp://www■hosetaibn■com/cgi-bbs

が貼られたまま放置されてるけど、これもハックだよなあ

353 ：(^ー^*)ノ〜さん ：08/01/30 23:41 ID:DlDewoGQ0

その通りでございます

354 ：(^ー^*)ノ〜さん ：08/01/31 08:40 ID:kb3lsyZc0

www■hosetaibn■com/cgi-bbs/
-> www■qyytw■com/jpt1/main.htm
--> www■qyytw■com/jpt1/Ms06014.htm
--> www■qyytw■com/jpt1/test.cur
-> www■qyytw■com/jpt1/real.htm (RealPlayerのexploit狙いJavaScript)

355 ：(^ー^*)ノ〜さん ：08/01/31 08:57 ID:7GoH/4H/O

アカハックurlを携帯で踏んだらどうなるんだろう

356 ：(^ー^*)ノ〜さん ：08/01/31 09:12 ID:DoLD1yEL0

>355
一言で言えば「”基本的”に無害」

スレチになるので、詳細が知りたいならセキュスレにて。

357 ：(^ー^*)ノ〜さん ：08/01/31 09:32 ID:QBJi7PEb0

PC用の罠だけなら無害。携帯用の罠もあれば有害。
何にしても無闇に触りに行くべきではない。

358 ：(^ー^*)ノ〜さん ：08/01/31 10:56 ID:eBuZ4t2u0

被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/

359 ：(^ー^*)ノ〜さん ：08/01/31 16:18 ID:kdP+ntMa0

チョンがテンプレコピペ連発してスレを荒らそうとしてるように見える

360 ：(^ー^*)ノ〜さん ：08/01/31 18:23 ID:PhQpFzDf0

以前スレチを指摘された奴が粘着してるんだと思う。

361 ：(^ー^*)ノ〜さん ：08/02/01 23:01 ID:ngDSKsAP0

ttp://imguploader■no-ip■org:2121/contents/ro_uploader6/index■htm
ちょっとこれが垢ハックなのかどうかで話題になっているのですが
自分では確かめられません・・・
どなたかこれが安全なのか危険なのかどうか判断できる方いたらよろしくお願いします

362 ：(^ー^*)ノ〜さん ：08/02/01 23:07 ID:Rr2XQCT10

＞※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

363 ：(^ー^*)ノ〜さん ：08/02/01 23:12 ID:mqZ2xHGA0

＞被害や攻撃等のアカウントハックの具体的事例に関して扱います。
＞重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
＞対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

＞※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

テンプレ位読みましょうね。

サーバー起動してないとかなんじゃないかと思いますが断定はしない。
セキュスレに持ち込んでも、解説スレじゃないって一蹴されて終わりかと。

相談用テンプレの>>4にも「(『怪しいアドレス』との判断した理由、症状を詳しく書く) 」と記載されています。
怪しいと判断するに足るだけの情報があれば、セキュスレで取り上げて貰えるかもしれませんね。

物凄い勢いで質問〜スレの内容程度なら、セキュスレでも扱わないかも。

364 ：(^ー^*)ノ〜さん ：08/02/02 17:18 ID:Vb1gSu4F0

自分が巡回させてもらってるblogのコメントに、かなりの
爆撃が入っているようですね。
全部コメントは以下のとおり
−−−−−−−
こんにちはぁ＾＾ 初めまして☆ フレ
いつも日記楽しみにみております
このたび私のブログに勝手にリンクはらせていただきました〜
よろしければ相互リンクお願いします.
ブログ -- akityonhuu■blog37■fc2■com/
−−−−−−−
今日更新されたとこばっかりでした。お気をつけを

365 ：(^ー^*)ノ〜さん ：08/02/02 17:19 ID:VKX/SoPK0

ttp://pharmacy-beta-bb8■150m■com/

このアドレスは既出？

366 ：(^ー^*)ノ〜さん ：08/02/02 18:18 ID:5UQxU5P00

【　 　 　 気付いた日時　 　 　 　 　 】 2月2日02時頃。Url踏んだらウイルスバスターが反応。
【不審なアドレスのクリックの有無　】 http://infosueek■com/jplink
【　 　　 OS　 　 】 WindowsXP2002
【使用ブラウザ 】 IE
【WindowsUpdateの有無】 月一くらいで更新
【　アンチウイルスソフト 】ウイルスバスター2007
【 ウイルススキャン結果】 ウイルスバスターが反応。隔離できず手動で削除してください、と出ました。
　　　　　　　　　　　　　カスペルオンラインで現在検索中。
【スレログやテンプレを読んだか】 書きながらざっと読んでます。
【hosts変更】無いと思います
【説明】RO小説系のサイトを探してて、「RO　二次」でググって一番上に来たのを不注意に踏んでしまいました。
　　　　垢ハクかどうかわからず、対処方法を求めてすぐスレ・テンプレを見て、
　　　　バスターが反応した以後はログインはせず、別PCでガンIDパスとアカウントパスを変更しました。
　　　　その後、カスペルオンラインで検索を始めました。
　　　　今、カスペルでワーム？というのが検出されました。バスターの詳細にもワームと出てました
　　　　今はOS再インストのためにデータのバックアップをとっています。
　　　　PCやセキュリティに関しては初心者なので、やれることはやったつもりですが、これで大丈夫でしょうか？

367 ：(^ー^*)ノ〜さん ：08/02/02 19:32 ID:qaPoEXhY0

>366
そのアドレスは既知の垢ハックアドレス
なので、とりあえずそのPCでの接続は止めなさい。
んでOS再インストールする意思があるようなので、OSクリーンインストールｵｽｽﾒします
データのバックアップのファイルの中にウィルス入ってると本末転倒なので、OSに関係するファイルまで保存しないようにね

368 ：(^ー^*)ノ〜さん ：08/02/02 20:00 ID:s/lzMXpn0

>>364
FC2に通報しました。

>>365
アカハックっつーよりリンクてんこ盛りのSPAMだと思う
(アメリカから来るバイアグラメールみたいな)。

369 ：(^ー^*)ノ〜さん ：08/02/02 20:06 ID:s/lzMXpn0

FC2が最も使われると思うのでとりあえず通報フォーム。
ttp://support.fc2.com/form.html
の「無料サービス」の一番上、一番右の「スパム・不適切ブログ」
名前やメルアドはてきとーで可。

370 ：(^ー^*)ノ〜さん ：08/02/02 20:20 ID:QToDiELc0

>>369
それ、セキュリティWikiに乗せといてもいいかも。

371 ：(^ー^*)ノ〜さん ：08/02/02 20:31 ID:s/lzMXpn0

wikiに載せるとなると他(livedoorとかサーパラとか)も、となるので
自分はとりあえずいいや。

372 ：(^ー^*)ノ〜さん ：08/02/02 21:21 ID:rnu2H7kc0

サーパラはここから。
ttps://ssl.surpara.com/info.php
本館のフォームだが、Blogの問い合わせもここで対応可能。

373 ：(^ー^*)ノ〜さん ：08/02/02 22:19 ID:ikHNVyK/0

【　　アドレス 　 】www■ranninp■com
【気付いた日時】 21：52
【　 　　 OS　 　 】WindowsXP　Home Edition2002
【使用ブラウザ 】IE
【WindowsUpdateの有無】自動更新
【　アンチウイルスソフト 】 NortonInternetSecurity2008
【その他のSecurty対策 】 無し
【 ウイルススキャン結果】 カスペルスキーで検索中
【スレログやテンプレを読んだか】 それなりに目は通してます。
【hosts変更】無いと思います。
【PeerGuardian2導入】していません。
【説明】
RO.Engineの伝言板にあったサイト（blog■livedoor■jp/snowlyr/）を開いた所、
ノートンが反応し進入の試みを遮断したとの事です。
ソースチェッカーに掛けてみたところ、上記のアドレスが90％（ループタグ有り）
www■ranninp■comは安全度100％でしたが、
やはりOS入れなおしたほうがいいのでしょうか？

374 ：273 ：08/02/02 22:23 ID:ikHNVyK/0

追記。
【 ウイルススキャン結果】 ノートンは検出無し。
【説明】
アドレスチェッカーでも有害なスクリプトは発見されませんでしたが、
www■ranninp■comは中国で、以前にもスレで1回名前が出ています。

375 ：373 ：08/02/02 22:24 ID:ikHNVyK/0

焦りすぎorz373です。申し訳ない。

376 ：(^ー^*)ノ〜さん ：08/02/02 23:04 ID:q3TlYdN/0

ノートンに詳しくないから、「進入の試みを遮断」が適切なメッセージがどうか
分からんけど、反応したやつに関しては大丈夫。

そこから先は、ログ読んでもらえれば分かると思うが、心配ならOS再インスコ
としか言えない。
怪しいURL踏んだこともないし、セキュリティソフトが反応したこともないけど
大丈夫ですか？と問われたとしても、心配ならOS再インスコとしか言えない
のが事実。

377 ：373 ：08/02/02 23:27 ID:ikHNVyK/0

カスペルスキーでチェックした結果見事に感染していたので、
別のPCで癌IDとROIDのパスワードはそれぞれ変更してきました。
今から再インストールしてきます。
ノートン先生、反応しただけでウィルス事態は遮断しきれてなかったorz

ちなみに調べた所、別の方のBlogのコピーBlogぽかったですorz

>>376
やはりそれが一番確実ですよね。
今回垢ハック確定っぽいのでそうします。

378 ：(^ー^*)ノ〜さん ：08/02/02 23:58 ID:Ia9954SH0

>>367
ありがとうございます。OS再インストします。

あと、感染PCでログインしない限りパスを盗まれることはないのでしょうか？
感染後ログインはしておらず、パスは別PCですでに変えてあります。
データのバックアップに少し時間がかかりそうで。

379 ：(^ー^*)ノ〜さん ：08/02/03 00:13 ID:FV8ccdlT0

>>378
Yes

380 ：(^ー^*)ノ〜さん ：08/02/03 16:38 ID:RUFsaMrG0

>>377
感染箇所と検出名を書いてないので
いつ感染したのかもわからないね

381 ：373 ：08/02/03 17:53 ID:Sn60Xui/0

>>380
>>373に感染箇所は書いていますが、解りにくかったですねorz
感染箇所はRO.Engineの伝言板です。
サイトに登録していないアドレスの場合は表示されません、との注意文があり、
大丈夫だろうと油断していた所を踏んでしまいました。

「snowlyr > 初の棚臨 [URL] 02/02 02:39」という書き込みで、
現在も伝言板に残っているので他に踏んだ人が居ない事を祈りますが。
（踏んだアドレスはttp://blog■livedoor■jp/snowlyr/）
感染は>>373に記載した時間と同時間です。
踏んだ直後にノートンが反応したのですぐ気付けましたが…

検出名はTrojan-Downloader.HTML.IFrame.baだったと思いますが、
初期化したので完全には覚えてませんorz

382 ：380 ：08/02/03 18:47 ID:RUFsaMrG0

｢感染箇所｣はPC内部の｢どこ｣から検出されたか？ということだよ

383 ：373 ：08/02/03 19:25 ID:Sn60Xui/0

>>380
あぁ、勘違いすみませんorz
初期化してしまったので確認取れませんが、
ＣのDocuments and Settings以降だったとしか覚えていません…

384 ：(^ー^*)ノ〜さん ：08/02/03 20:39 ID:FV8ccdlT0

>>381-383
それはダウンローダ。多分、IEのキャッシュが反応場所だと思うよ。

初期化したので、対処としては問題無いかと。

385 ：(^ー^*)ノ〜さん ：08/02/04 17:03 ID:M6u4r6uP0

ブログのコメントに書き込まれていました。
まとめ臨時さんの強行版に載ってるアドレスと同じものの
ようなのですが報告しておきます。

ttp://jbbslivedoor■com/mmghaoyk/

386 ：sage ：08/02/04 17:49 ID:4Luu+g7a0

今月2日頃、アサシンwikiのコメント欄に18禁サイトであろうHTMLのソースが書き込まれていました。
しかしwiki自体にはソースは組み込まれていなく、書き込もうとした人がwikiに組み込もうとして失敗したようです。
そこに書かれていたリンク等はクリックしてはいないのですが･･･やっぱりウィルススキャンしておくべきなのでしょうか？

387 ：(^ー^*)ノ〜さん ：08/02/04 18:00 ID:4Luu+g7a0

sageを書き込むところ間違えました･･･
ごめんなさい･･･orz

388 ：(^ー^*)ノ〜さん ：08/02/04 18:10 ID:JSbiAuGY0

agesageとか詰まらん事にこだわるな

389 ：(^ー^*)ノ〜さん ：08/02/04 18:14 ID:a5SPmj7F0

クリックの有無に関わらず定期的・踏んだ可能性のある時にスキャンかけるのはネット利用者として最低限のマナーだぞ。

390 ：(^ー^*)ノ〜さん ：08/02/04 18:45 ID:4Luu+g7a0

一つ書き忘れていたことがありました。
ノートンでスキャンしたのですが、ノートンでは何もひっかかりませんでした。
過去ログで、カスペルスキーではひっかかったけどノートンではなにも引っかからなかったというのを見たので、
他のスキャンソフトでもスキャンしとくべきなのでしょうか･･･と･･･

391 ：(^ー^*)ノ〜さん ：08/02/04 18:53 ID:YnTyOARVO

悩むくらいならやればいいのに・・・

392 ：(^ー^*)ノ〜さん ：08/02/04 18:55 ID:nAdFjse80

>390
簡潔に

・Wikiを閲覧しただけでは基本的に感染は無い(例外は当然ある)
・件のアドレスは warez系又はkrack系で、ただのSpamの可能性が高い
・単一のチェックでは見落とす可能性もあるので、スキャンするなら複数で調べたほうがより安心
・誰も「絶対」「安全」なんて保障は出来ない。

そろそろコピペ貼りの人が出てきそうだから、続けるならセキュスレに移動しようか。

393 ：(^ー^*)ノ〜さん ：08/02/04 19:08 ID:4Luu+g7a0

わかりやすく答えていただきありがとうございます。
参考にさせていただきます。

394 ：(^ー^*)ノ〜さん ：08/02/05 20:42 ID:xxrJlb6P0

mixiの色んな日記に書き込みしている模様

http://www■lineagecojp■com/movie/mov0028■zip

395 ：(^ー^*)ノ〜さん ：08/02/06 09:35 ID:sdq5gvaG0

ちょっと怖くて書き込みしたんだが
ROクライアント起動時の画面が「取り消されたアクション」になって
表示されないんだが、これはウィルスと関係あるのだろうか。
ただ、重いだけで表示がされないだけなのか・・・
皆さん、起動時の画面は表示されてますか？

396 ：(^ー^*)ノ〜さん ：08/02/06 09:40 ID:8niQNeCo0

対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/

397 ：(^ー^*)ノ〜さん ：08/02/06 18:04 ID:P1hLdS3P0

既出だったらすまん、mmvo.exeっての食らった。
RO含むネトゲ汎用のパスハック。
ゲームとかも入ってないPCなんで実害はありませんでしたが、
ノートン機もカスペル機もUSBチェック突破してスキャン無効化されて大暴れ。
隠しフォルダの表示も殺されて手動検索も無視される。

似た症例探して↓発見、参考にしてNOD32でようやく検出。
ttp://d■hatena■ne■jp/itsuki_hiiragi/20071214

長い戦いが終わった…。
OS入れ直し出来ない事情がある場所での感染報告ですよっと。

398 ：(^ー^*)ノ〜さん ：08/02/06 19:54 ID:TStsH1EG0

【　　アドレス 　 】wikispc■gr■jp/ercserver/というサイトにある「BOSS攻略」というリンク
【気付いた日時】 今日の午前11時半頃
【　 　　 OS　 　 】 XP Home SP2
【使用ブラウザ 】 IE6
【WindowsUpdateの有無】 有効
【　アンチウイルスソフト 】 Kaspersky Internet Security 7.0体験版　更新日2008/02/06
【その他のSecurty対策 】 ルータ
【 ウイルススキャン結果】 未検知（カスペスキャン）
【スレログやテンプレを読んだか】 yes
【hosts変更】無
【PeerGuardian2導入】無　これから導入してみようと思います
【説明】
「ランドグリス　攻略」でぐぐってトップに出てきたサイトを開き、
そこのBOSS攻略と書かれたリンクをクリックするとカスペが反応。
その後カスペがモニターの右下あたりに
「許可or拒否」の選択肢を出してきたので「拒否」を選びました。
ウェブアンチウィルスのレポートには
＜ステータス＞検知しました: トロイの木馬 Trojan-Downloader.HTML.IFrame.de
＜オブジェクト＞URL: http://www■irisdti-jp■com/blog///www■irisdti-jp
とありました。
ROは露店を出したままずっと放置中です。
これは未然に防げていると思ってもいいのでしょうか。
100％安全という事はないでしょうが・・・。

399 ：(^ー^*)ノ〜さん ：08/02/06 20:52 ID:dT51evfZ0

>>397
検体はどこじゃ〜

>>398
未然に防げている可能性が高いです。本体を落とそうとするダウンローダをブロックしたという表示ですから
本体入手のさらに手前で阻止した時のメッセージです。

でも、阻止できたという保証はできません。ブロックしていない他のなにかが発動している可能性があるからです。

400 ：(^ー^*)ノ〜さん ：08/02/07 09:35 ID:+NeB1Oqe0

BOTnews Light (ボットニュース ライト)
ttp://yaplog.jp/kyorocyan
これ垢ハックか教えてくれ　えろいひと

read.cgi ver5.26 + n2 (02/10/01)