レス数が1000を超えています。残念ながら全部は表示しません。

アカウントハック総合対策スレ9

1 ：夢 ★ ：07/11/25 11:04 ID:???0

アカウントハックに関する情報の集積・分析を目的とするスレです。
被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

・ 関連＆参考情報アドレス (>>2)
・ 報告用＆質問用テンプレ (>>3, >>4)
・ アカウントハック対応の要点とFAQ (>>5)
・ 安全対策の簡易まとめ (>>6)
・ アカウントハッキングについて（ガンホー公式）
　 http://www.ragnarokonline.jp/playguide/hacking/

■スレの性格上、誤って危険なURLがそのまま貼られてしまう可能性がある■
■URLを無闇に踏んで回らないこと。報告・相談はテンプレを利用すること■

※ ID/Pass/サーバ/キャラ名等の情報は公開しないでください
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません
※ ネタや程度を超えた雑談・脱線はご遠慮ください

・スレ立て依頼は>>970がしてください。反応がなければ以降10ごとに。

【一般的話題用】
セキュリティ対策、質問・雑談スレ3
　http://enif.mmobbs.com/test/read.cgi/livero/1186660300/

32 ：(^ー^*)ノ〜さん ：07/12/01 01:26 ID:UqSwecNH0

完全に安全にしたいのであればどうしてもHDDからのフォーマットになります。
新型ならば隠れているものの見逃しもあるかもしれないし、駆除でも安全かどうかは正直解りません。
過去にかかって駆除したけど、一年したら垢ハックされていたという報告もありますので。

33 ：(^ー^*)ノ〜さん ：07/12/01 06:00 ID:xswyR2By0

俺なんか心配性、もといビビリなので
PC購入したら真っ先にセキュリティ関連から知識を付けていったものだけどなあ。
ウィルス云々の怖さはPC触ってない頃でもTVやら新聞で見聞きしたし。

いい機会だと思って色々やってみるといいかもね。

34 ：(^ー^*)ノ〜さん ：07/12/01 07:44 ID:IXBi7SzP0

>>また、このままの状態でOSを入れ替えた場合ウィルスはきえているのでしょうか？
>HDDフォーマットしてからの入れ替えなら、消えてる。

OS上書きインストールの場合は、消える場合もあるし、残っている場合もある。
残っている場合でも、起動しても読み込まれない為に発動しない、ステルス化もされない為
とりあえずは安全な環境に戻る。（上書きされていない領域に残っているものを、自分で
発動させる危険はあるが）

ステルス化されていない場合、セキュリティソフト（が対応していれば）で確実に削除が行なえる。

>>【　アンチウイルスソフト 】 無し
>これはどう考えてもマズい。

同感。信頼性を考えると、カスペを買って導入することがお勧めだが、予算をすぐに出せない場合
>>2の最後に無料で使えるセキュリティソフトが３つ紹介されているのでそれを利用してもいいかと。

体験版入れて、パターン更新されなくなっても使い続けるのはダメ。パターン更新がないと
新種、新種でアタックかけているものを防げない状態になり、入れていないのと同然になる。

35 ：(^ー^*)ノ〜さん ：07/12/01 07:50 ID:4MSrh/QL0

処で、kingsoftのは昔の罠は消えているのか?
中国語フォントを入れておかないと、中国語フォントがないというエラーを出すダイアログが同じエラーを出して泥沼だったんだが。

36 ：(^ー^*)ノ〜さん ：07/12/01 08:00 ID:IXBi7SzP0

>>35
いつの話だ？

37 ：(^ー^*)ノ〜さん ：07/12/01 08:01 ID:IXBi7SzP0

>>35-36
あ、ごめん、素でスレ間違えた。移動しようか。

セキュリティ対策、質問・雑談スレ3
http://enif.mmobbs.com/test/read.cgi/livero/1186660300/

38 ：(^ー^*)ノ〜さん ：07/12/01 14:07 ID:DTK/M3vj0

>>23 (iframeで >>15 )の罠サイト、画像直リンできないITmediaに
imageタグ飛ばしまくって…どう表示されるか確認してないんだろうか。

39 ：(^ー^*)ノ〜さん ：07/12/02 23:31 ID:G/LAajpf0

福建人の罠ドメインを発見。
www■mylineagejp■net/tt■rar

罠ファイル名はリネだね、どうせroとかFF向けも置いてあるんだろうが。

40 ：(^ー^*)ノ〜さん ：07/12/03 00:02 ID:cEc66NXj0

>>39
>www■mylineagejp■net/tt■rar
Trojan-PSW.Win32.WOW.afn

NOD32,カスペ,マカフィー,AVG,Avast全て捕捉。
Symantecはスルー

41 ：(^ー^*)ノ〜さん ：07/12/03 01:44 ID:rLJT+v+v0

役立たずで正直スマンテック。

てか本当に役立たずだな。
3年ほどノートン愛用で今も2007使ってるけど、期限切れたらカスペにするんだぜ・・・

42 ：(^ー^*)ノ〜さん ：07/12/03 16:26 ID:7Bh6CauR0

初心者的な質問で申し訳ないが、上のような危険アドをhostsに手動で加えていく時
127.0.0.1 lg96☆3322△org/jp/
127.0.0.1 www☆mylineagejp△net/tt○rar
このようにURLのスラッシュを入れてもちゃんと有効になりますか？
どこできればいいかよくわからなく…
まとめサイトの一覧などを見ると/が入ってないので、/の前で切るべきなのかな

43 ：(^ー^*)ノ〜さん ：07/12/03 17:27 ID:cEc66NXj0

>>42
あくまでも、IPの生数字→hosts→DNSの順番で「名前解決」するものなので、後ろは付けないように。

127.0.0.1 lg96■3322■org
127.0.0.1 www■mylineagejp■net

あと、テンプレ位読んでくれ。
｜重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
｜対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ3
　http://enif.mmobbs.com/test/read.cgi/livero/1186660300/

44 ：(^ー^*)ノ〜さん ：07/12/04 09:40 ID:UOd+IEFW0

福建人がこのようなURL表記で爆撃をしている事を確認。
爆撃地点多数ヒット。
www■%6B%65%6C%65%38%38●%2E●com/av/　＝ kele88

いよいよ半角ドットと%2を禁止にしておくべき時が来たか。

ということであげ。

45 ：44 ：07/12/04 09:51 ID:UOd+IEFW0

%2e周辺の●はゴミ入れただけだからね。

46 ：(^ー^*)ノ〜さん ：07/12/04 19:43 ID:RrNN5dzQ0

％を禁止にすれば良いんじゃ

47 ：44 ：07/12/04 19:56 ID:UOd+IEFW0

>％を禁止にすれば
そう言われればそうかもしれないけど、
％をコメに記入したい人もいるかもと考えれば
％２の方が現実的かな、と。

48 ：(^ー^*)ノ〜さん ：07/12/04 23:32 ID:WPpSkdNN0

連中、今度はフリチケに進出した模様。
ttp://page■freett■com/xxends/wz/main■htm
-> ttp://page■freett■com/xxends/wz/Ms06014■htm
-> ttp://page■freett■com/xxends/wz/rp■html
-> ttp://page■freett■com/xxends/wz/zy■htm
-> ttp://page■freett■com/xxends/wz/Ms07004■js

49 ：(^ー^*)ノ〜さん ：07/12/04 23:51 ID:UOd+IEFW0

ちなみにこれも同じ類。
page■freett■com/ffxihackers/

いきなりスクリプトおいてやがる。

50 ：(^ー^*)ノ〜さん ：07/12/05 00:11 ID:SAMHpRiI0

もう2chなどにはかなり爆撃されてますね。
ご注意を。

51 ：(^ー^*)ノ〜さん ：07/12/05 00:16 ID:eyDG+blH0

【　　アドレス 　 】linege■1102213■com
　　　　　　　　　　www■yohoojp■com
【気付いた日時】昨日 23:20頃
【　 　　 OS　 　 】 WinXP SP2
【使用ブラウザ 】 IE6
【WindowsUpdateの有無】昨日
【　アンチウイルスソフト 】カスペ7.0 更新は本日中に２回位
【その他のSecurty対策 】
【 ウイルススキャン結果】現時点で未検出。検体提出の後、パターン更新後にスキャン予定。
【スレログやテンプレを読んだか】 Yes
【hosts変更】無し
【PeerGuardian2導入】有り/資料室の中韓台リストブロック
【説明】
余りにも怪しげなアドレスが、PG2のブロックリストに並んでいるのを発見。

アドレスの前後を削ってぐぐると、既知のアカハックに名前が載っている。
ttp://www■yohoojp■com/haha.exe

一時的に検体入手する為、PG2のHTTP許可を出して入手。VirusTotalにかけたが
AVGが検出する以外、カスペも含めて無反応。(そのためスキャンはパターン対応後を予定）

AVG 7.5.0.503 2007.12.04 Exploit

危険URLに置かれていたため、誤検知ではなく、他がすりぬけてると思われるので
検体提出に行ってきます。どこで踏んだかなぁ。

PG2の履歴を見る限りでは、結構前からブロックの形跡がある。やばいやばい。

52 ：(^ー^*)ノ〜さん ：07/12/05 00:23 ID:dRi93x1r0

>51
まさに福建人の日本人に対する意識が伺える罠ドメインの使い方。
”日本人は馬鹿だからすぐに忘れるぜ、1年位前のなんて覚えちゃいねーだろ”と福建人は思っている。

53 ：(^ー^*)ノ〜さん ：07/12/05 00:59 ID:oTrH/T8x0

>>44
Wikiや検索のURLにも%で始まるのが使われてるので
一概に禁止と言うのも難しいんですよね

あと、IE系では表示されて、Mozilla系だと表示されない傾向があるようです

54 ：(^ー^*)ノ〜さん ：07/12/05 01:27 ID:dRi93x1r0

>>53
コメント欄限定の話だから問題ないんじゃね？
普通コメント欄にそんなの書き込むやつがいるのかどうかって話だと思うし。

55 ：(^ー^*)ノ〜さん ：07/12/05 04:22 ID:qyCMMz/b0

ルータの仕様なのか何なのか判らないが、>>44 みたいな
エンコードされたドメインは名前解決できなかった。

56 ：(^ー^*)ノ〜さん ：07/12/05 13:45 ID:dRi93x1r0

福建人の罠ドメインを確認
www2■h3210■com
お約束の各種ディレクトリも確認
jp、av

/はどっかの無料サイトのページをパクリ、サイズ0のIFRAMEタグを発動し、kele88ウィルスを仕込む形。
/jp/の場合、ITMEDIAのサイトを見せてと罠発動と言う形。
/av/の方は日本のサイト（情報を見ると東芝系？）を見せて罠発動と言う形。

しかしavの方の日本サイトは空白、どういうことだろ。

57 ：(^ー^*)ノ〜さん ：07/12/05 15:17 ID:JS6t4KH10

>>48
page■freett■com/xxends/wz/hy.exe
スルー多数。上から3つ目のrp.htmlに注意。
スクリプトが動作環境を限定しており、2000・XP・2003、IE6・IE7、
RealPlayer6.0.14.536・6.0.14.543・6.0.14.544・6.0.14.550・6.0.14.552。
すなわちRealPlayer11Betaを狙い撃ちする。
Betaユーザは正式版(6.0.14.748)への更新を。
URLを削ってトップに行ったらエロサイトを偽装、
RealPlayerでエロ動画を再生(青少年有害)。

>>49
全ページ見たわけじゃないが、FFのツールが置いてあるだけじゃね?
freettはデフォで広告スクリプトてんこ盛りだが有害コードは見あたらなかった。
ツール置き場は www■mediamax■com/jameswhite333312/ (以下略)
接続できなかったので確かめてないが、仕込まれているとしたらツール側と思われる
(他所でrarファイル直リンでの爆撃も散見されたことから)。

>>51
期限切れたとかでレンサバ業者の広告になってね?

>>56
トップは前記のRealPlayer11Beta狙い撃ちスクリプト。
avとjpはいずれもiframeで
www■kele88■com/av/help.htm から
www■kele88■com/av/av.exe
avは東京新聞、jpはITmediaのパクリ。
av.exeはほぼ捕捉可能と思われる。

58 ：(^ー^*)ノ〜さん ：07/12/05 15:18 ID:oTrH/T8x0

>>44に追加情報があったので転載

> Wikipediaに次のようにあるので、Shift_JISを使った場合は
> 「.」にあたる文字を規制しても、Wikiの漢字URL関連には影響なさそうです
> > Shift_JISの2バイトコードの空間は、
> > 第1バイトが0x81-0x9Fならびに0xE0-0xFC、
> > 第2バイトが0x40-0x7Eならびに0x80-0xFCである。
>
> よって、0x2E (URLエンコード表記では0xを%に置き換える)は
> 漢字の部分には影響はなさそうです

普通に、「%2E」及び「%2e」を禁止ワードとすればよさそうです

59 ：57 ：07/12/05 15:42 ID:JS6t4KH10

>>56
トップ変更。iframeで
www■kele88■com/av/help.htm から
www■kele88■com/av/av.exe
つまりjpやavと同じ。
「無料サイト集kooss」(何これ?)のパクり。

60 ：(^ー^*)ノ〜さん ：07/12/05 17:10 ID:dRi93x1r0

>>57
FreeTTのffxihackers

Bugs,Exploits,Bots,Hacks,Cracks,Tools & Macros.....
YOUR BEST IS OUR WORST....

とてもまともなサイトには見えないんで一応通報済み。
福建人の本業といったところか。
どうせこのサービス使ったのはTT（リネ：サービス名を中華風に言えば無料リネ）が入ってたからだろうけど。

mediamaxの方は無料のストレージサービスな。
連絡先あったからこれから通報。

61 ：(^ー^*)ノ〜さん ：07/12/05 17:33 ID:dRi93x1r0

mediamaxの罠RARファイル、やばい。
現時点で検出してるのが
Avast、BitDefender、NOD32（ヒューリスティック）、Panda、Rising、Webwasherのみ。

62 ：(^ー^*)ノ〜さん ：07/12/05 18:08 ID:NUog8QzJ0

なんかあちこちに張られてるなぁ。
必死すぎｗ

63 ：(^ー^*)ノ〜さん ：07/12/05 18:20 ID:ueF2OJza0

笑えねーだろ

64 ：(^ー^*)ノ〜さん ：07/12/05 18:28 ID:kqR9Ymvx0

ついでにkele88は未実装スレにも爆撃してる

>ttp://www■yinra■com/inf/

セキュスレ>777から見てもらえば判るが、このドメインはkele88との事。
VirusTotalはほぼ全てスルーしたらしい。

65 ：(^ー^*)ノ〜さん ：07/12/05 18:32 ID:mLXgnLSI0

>>58
%2eを禁じても、
www■%6B%65%6C%65%38%38■com/av
とやられたらスルーされてしまうかと。じゃ%6B%65%6C%65%38%38ならどうか
とくれば
www■k%65%6C%65%38%38■com/av
と来れば回避できる。即ち、単純な方法じゃ無理という事です。
CGIのコードに手を入れるか、urlの投稿を禁じる等の運用で対処するかでしょう。

ちなみにエンコードされたドメイン名を含むアドレスはOperaでもアクセスできます。
この件はアプリ毎の実装の違いでしょうから仕様は余り関係ないか。

何はともあれご注意を。

66 ：(^ー^*)ノ〜さん ：07/12/05 18:42 ID:dRi93x1r0

>>65
個人レベルである程度防げりゃ良いんじゃね？
そこまで変なURLになればさすがに怪しむ方が多いと思う、
他人や知人の名前パクってウィルスリンク書いても胡散臭いリンクじゃ、ね。

殆どレンタルサービス借りてやってるだろうから
その辺の根本的対策ともなればそれこそサービス運営に要望を出さんといかん。

67 ：(^ー^*)ノ〜さん ：07/12/05 18:59 ID:eyDG+blH0

初心者スレに投下されていたもの。他にも多数のスレに投稿されている模様。
警鐘age

ttp://www■hao123■com
ttp://www■887766■com

怪しいアドレスを見掛けても踏まないように。

68 ：(^ー^*)ノ〜さん ：07/12/05 19:00 ID:mLXgnLSI0

>>66
一応現実的には問題は無いと思う。
一つの策で完全に防ぐ、というよりは複数の策で絡め取るほうが効果的でしょう。
カクテル療法って奴ですな。

ただ、%2e禁止策に関しては回避がすさまじく容易な物なのでその危険性を
把握すべき、ということです。意味無いとは言いませんが…。

ぶっちゃけ既出の、URL禁止化やコメントの管理者の検閲必須化のほうが有効でしょう。

69 ：(^ー^*)ノ〜さん ：07/12/05 19:04 ID:ueF2OJza0

もうあぷろだのURLと管理人がテンプレに書くときだけのURL以外は禁止したらいいんじゃないかなここ

70 ：(^ー^*)ノ〜さん ：07/12/05 19:05 ID:ueF2OJza0

書いて気付いたがセキュ向けだな、すまん

71 ：(^ー^*)ノ〜さん ：07/12/05 19:26 ID:9RQKcKP50

>>64の対処法を教えてもらえます？
再インストールはディスクを無くしてしまって、スキャンは出ないみたいなので・・
踏んじゃったのでなんとかしようとは思ったのですが、こういう事が初めてでして・・

72 ：(^ー^*)ノ〜さん ：07/12/05 19:28 ID:eyDG+blH0

>>71
パターン対応するまでPC起動しない。
対応されたら、パターン更新だけ接続して切断。
スキャンして除去。

ぶっちゃけ、ＯＳのインストールディスク発掘がんばれ。

73 ：(^ー^*)ノ〜さん ：07/12/05 19:33 ID:9RQKcKP50

>>72
了解です
切る前にもうひとつ質問なんですが、セットアップが出てきたので怪しいと思いキャンセルしたのですが、これでも感染はしているのでしょうか？
ブラウザはSleipnirです。

74 ：(^ー^*)ノ〜さん ：07/12/05 19:36 ID:vbusE51i0

パソコン内のイルカやらゲイツやぐーぐるに聞けばいいだろ。

75 ：(^ー^*)ノ〜さん ：07/12/05 20:11 ID:JS6t4KH10

>>73
実行していないなら問題なし。

76 ：(^ー^*)ノ〜さん ：07/12/05 20:14 ID:eyDG+blH0

>>73
キャンセルは正解。実行を阻止したなら感染していない「可能性が高い」。

感染した為に呼びだされたセットアップかもしれず、なんの保証もできない。
セキュスレによると、>>64のアドレスは、setup■exe を直接呼びだす構造なので
実行を阻止したなら感染していない「可能性」もある。

あとは自己責任で判断して欲しい。このスレで推奨するのはOS入れなおし。

77 ：(^ー^*)ノ〜さん ：07/12/05 20:54 ID:kqR9Ymvx0

>67
hao123も887766も共にcnだが、内容がなんとも。

hao123はBSWiki氏の危険ドメインに存在してるので、過去に危険だったのは間違いない。
887766はswfが多用されてて、もしかしたら脆弱性を付くタイプの代物があるのかもしれない。

ただリンクが多すぎてチェックしきれないし、IPも調べたがちょっと判断が付かない。

ただスレ爆撃の書き方からしても普通じゃないのとCNドメインだし、暫定的でも
危険アドレス扱いで良いかと。

78 ：(^ー^*)ノ〜さん ：07/12/05 20:59 ID:eyDG+blH0

>>77
乙。

わたしも887766を辿ってみてたんだが、もう、リンク多すぎで本体見つからず。どうしたものかと。

79 ：(^ー^*)ノ〜さん ：07/12/05 21:51 ID:eyDG+blH0

>>64
カスペから返答。本日多数のスレに貼られた>>64のアカハックトロイは、
パターンを更新すれば検知可能になっているとのことです。

setup■exed - Trojan.Win32.Inject.mu

This file is already detected. Please update your antivirus bases.

80 ：(^ー^*)ノ〜さん ：07/12/05 22:17 ID:eyDG+blH0

LiveROに貼られていたアカハックと思われるアドレス。多分、既出。

www■778899■jp

81 ：(^ー^*)ノ〜さん ：07/12/05 22:45 ID:dMNQ6WGG0

>80
未出と思われ。

で、ソース覗いてみたが、これまた良く分からない。
>www■778899■jp■:80
こんな感じでjpやcomの後に「.」を置く書式になってたり
whoisで見つからなかったりとか。

これは一体？

82 ：(^ー^*)ノ〜さん ：07/12/05 23:21 ID:JS6t4KH10

「サーバが見つかりませんでした」
comドメインはあるんだけど、こっちもIISの初期ページ。
何かミスったものと思われ。

83 ：(^ー^*)ノ〜さん ：07/12/06 10:03 ID:VJgmI9t80

最後の . はルートドメインだな。

84 ：(^ー^*)ノ〜さん ：07/12/06 22:21 ID:Tsw0g7h00

【　　アドレス 　 】http://www■qipilang■org/shabi/
【気付いた日時】 07/12/06　05:40頃
【　 　　 OS　 　 】 winXPSP2
【使用ブラウザ 】 IE6(Sleipnir)
【WindowsUpdateの有無】 自動更新
【　アンチウイルスソフト 】 Symantec Antivirus　定義ファイル自動更新
【その他のSecurty対策 】 ルータ Spybot S&D、Ad-Aware SE
【 ウイルススキャン結果】 未検出
【スレログやテンプレを読んだか】Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
開く途中か開かれても白かったのか不明だが表示が遅かったので気付いた。

大人しく再インストールですかね

85 ：(^ー^*)ノ〜さん ：07/12/06 22:35 ID:K5ThLcHQ0

＞大人しく再インストールですかね

うんっ(^-^)ｷｯﾊﾟﾘ

86 ：(^ー^*)ノ〜さん ：07/12/06 22:39 ID:tf0QLJTd0

FreeTTの罠サイト2つ消滅を確認。

87 ：(^ー^*)ノ〜さん ：07/12/06 22:49 ID:K5ThLcHQ0

>>84
ぶっちゃけ、こんな感じ。

カスペオンラインスキャンで入手してないかスキャンして自己責任で使い続けるって手もあるけど
（カスペは全部撃墜）正直お勧めしない。やっぱりOS入れなおしコースじゃないかな。

ttp://www■qipilang■org/shabi/index■htm
ttp://www■qipilang■org/shabi/wz■htm
ttp://www■qipilang■org/shabi/wu■htm
ttp://www■qipilang■org/shabi/dns■htm
ttp://www■qipilang■org/shabi/kiss■htm

ttp://www■xinluoqu■com/FFXI/ser■exe
ttp://www■xinluoqu■com/shagua/test■exe
ttp://www■xinluoqu■com/ied/as■exe
ttp://www■xinluoqu■com/shabi/svch■exe

全部、Symantecはスルー

ser■exe : Trojan-PSW.Win32.OnLineGames.fcj
test■exe : Trojan.Win32.Inject.ke
as■exe : Heur.Trojan.Generic
svch■exe : Trojan.Win32.Pakes.bqf

88 ：(^ー^*)ノ〜さん ：07/12/06 22:50 ID:K5ThLcHQ0

・・・「■exe」が禁止ワードっぽい。投稿しにくいったらないな。

89 ：(^ー^*)ノ〜さん ：07/12/07 00:32 ID:2Zm2pl6R0

でも■exeが使用可能だった場合を考えるとさらに被害甚大だっただろうからしかたあんめえ

90 ：(^ー^*)ノ〜さん ：07/12/07 00:34 ID:LxJp4SOU0

そもそも実行ファイルへのリンクなんて普通は不用だしな

91 ：(^ー^*)ノ〜さん ：07/12/07 07:54 ID:t9izoZp50

>>87
asがUPXなのでバラして見てみたらSecondLife用のトロイだった。
いろいろ詰め合わせなのね。

92 ：(^ー^*)ノ〜さん ：07/12/07 08:40 ID:O2fV/L3D0

kele88■com系は2chにも激しく爆撃をしてたようで、運営側で対策が取られたようです

No A057 トロイサイト 【kele88■com】 宣伝対策
http://qb5.2ch.net/test/read.cgi/sec2chd/1196775676/

IPとかが参考になるかな。・・・・やぱりODN。

93 ：(^ー^*)ノ〜さん ：07/12/07 14:49 ID:t9izoZp50

アカハックと並行してWebサーバを書き換えると思われるものもある
(プログラム中にiframeベタ書き)けど、>>92 のリモホが結構ばらばらなので
投稿するルーチン持ってる奴もあるのかもねぇ。

94 ：(^ー^*)ノ〜さん ：07/12/07 15:02 ID:mz5ezUdn0

>>92
上２つはこのスレでも既出っすね。
ttp://www■kele88■com/av/
ttp://www■%6B%65%6C%65%38%38●%2E●com/av/　　（●%2E●=%2E＝.)

>>92のスレでkele88への誘導とされているアドレス。
多分、こっちの幾つかは未出かな。見覚えあるのも混ざってるけど。

ttp://av■blog5566■com/images/
ttp://www■jp2008■co■cc/
ttp://lg96■3322■org/jp/
ttp://www■yahgoo■co■cc
ttp://kooss■2288■org

95 ：(^ー^*)ノ〜さん ：07/12/07 15:24 ID:t9izoZp50

FF関連BBSに投下されたkele88で
blog2008■9966■org/images/
ってのもあった。

96 ：(^ー^*)ノ〜さん ：07/12/07 17:50 ID:UcUtzSsTO

リンククリックしないでいれば大丈夫なのか？ 行きなりハックされたりはないの？

97 ：(^ー^*)ノ〜さん ：07/12/07 18:00 ID:O2fV/L3D0

>>95
kele88系が投入しているサブドメイン付きの物はどうも中国の無料サービスを利用しているみたいだね。
レンタルサーバかなにかかな。提供元は捜索中。

>>96
その辺の軽めな話題は姉妹スレへどうぞ。多分大丈夫。

98 ：(^ー^*)ノ〜さん ：07/12/07 19:27 ID:nXF5E7CF0

co■ccはそれっぽい名前にしてくれるっていう無料サービスだね。
例：12345■com -> abcde■co■cc
blog5566は初見、福建人はホント同じ数字2つ並べるのが好きだな。

99 ：(^ー^*)ノ〜さん ：07/12/07 20:00 ID:t9izoZp50

dj5566とか思い出すなｗ

100 ：(^ー^*)ノ〜さん ：07/12/07 21:55 ID:p5fxn2nvO

課金が切れてる場合に踏んだらどうなるの？
次インするまでは大丈夫なのかな？

101 ：(^ー^*)ノ〜さん ：07/12/07 22:35 ID:3by9wGlQ0

>100

>1
>対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。
>【一般的話題用】
>セキュリティ対策、質問・雑談スレ3
>　http://enif.mmobbs.com/test/read.cgi/livero/1186660300/

セキュスレの方で回答しておいた。

102 ：(^ー^*)ノ〜さん ：07/12/07 22:36 ID:EVLGfuRF0

>>100
ダイジョウＶ

103 ：(^ー^*)ノ〜さん ：07/12/07 22:49 ID:p5fxn2nvO

板違いだったか。ごめん＆ありがとう

104 ：にゅぼーん ：にゅぼーん

にゅぼーん

105 ：(^ー^*)ノ〜さん ：07/12/08 01:21 ID:+e6KErEW0

>104
まず最初に、急いで削除依頼してきなさい。

その結果のアドレス、ハクアドレスでブラウザからも飛べてしまう。

106 ：(^ー^*)ノ〜さん ：07/12/08 01:22 ID:3g42axh60

中華の新たな手口か

107 ：104 ：07/12/08 01:26 ID:5MAP1ayh0

さーせん。完全に見落としでした。マッハで削除依頼だしてきます orz

108 ：104 ：07/12/08 01:31 ID:5MAP1ayh0

と思ったら、どなたかが出してくれてました。
ご迷惑をおかけしました。ありがとうございます。
削除される前提で、もう一回書き込ませていただきます。

【　　アドレス 　 】tinyurl■com/yty3le
【気付いた日時】数時間前
【　 　　 OS　 　 】Win XP Pro SP2
【使用ブラウザ 】 FireFox 2.0.0.11
【WindowsUpdateの有無】でるたびに即時更新してます。確認しましたが最新でした。
【　アンチウイルスソフト 】NOD32/カスペルスキー試用版　どちらもバージョンは最新
【その他のSecurty対策 】Spybot S&D
【 ウイルススキャン結果】 NOD32製品版とカスペルスキー試用版にてスキャン。詳細は説明へ
【スレログやテンプレを読んだか】このスレと前スレは目を通しました。
【hosts変更】無
【PeerGuardian2導入】無
【説明】
ROとは無関係なゲームのwikiにて誤クリックで飛びました。飛び先は青だけの画面。
パスワード関連は別PCから変更完了しています。

短縮URLのソースチェッカーオンラインでの結果 : www■caremoon■net/blog/index■htm

前スレ990及び993とほぼ同じサイトのようです。
そちらのレスではNOD32/カスペルスキー共に撃墜したとの話だったのですが、
同名のトロイはどちらにも検知されませんでした。

スキャンはNOD→反応なし、カスペ→Trojan.Win32.Delf.ajiを検知→削除完了。
が、前スレで挙がっている名前とは違うので、別の物を見逃してたのかな…と思っています。

出来ればクリーンインストールは避けたいのですが、
「まだこれが残ってる」という対策があればご教授お願いします。
遅まきながらHosts変更とPG2は導入しました。
セキュスレ行きでしたら、その旨の指示もお願いします。

109 ：(^ー^*)ノ〜さん ：07/12/08 02:30 ID:+e6KErEW0

>108
アドレス自体は既出のもので、iframeでサイズ0のindex1■htmを呼び出してる。
中身は昔見た覚えのある、懐かしすぎるタイプ。
デコードしてみたところ、カスペで　Trojan-Downloader.VBS.Psyme.ds　として検出。

www■caremoon■net/blog/index■htm
->www■caremoon■net/blog/index1■htm　（Trojan-Downloader.VBS.Psyme.ds）
--->www■caremoon■net/blog/send■exe　(Trojan-PSW.Win32.Delf.aih)
--->www■caremoon■net/blog/f2■exe　（Trojan-PSW.Win32.OnLineGames.fcj）
--->www■caremoon■net/blog/reak■exe （Trojan-PSW.Win32.Magania.bph）

カスペは全部検出してるが、>104の検出結果と微妙に違ってるのが気になるところ。
既に差し替えられたのかな？

完全に駆除されて安全ですとは誰も言えないので、確実を期すなら再インストール。

再インストールしないなら、自分が安全だと自信を持てるまではそのPCは使わないこと。
打てる対策といっても、数日の間は定期的にカスペ等でフルチェックを掛けまくるぐらいしかない。

110 ：104 ：07/12/08 03:05 ID:5MAP1ayh0

>>109
丁寧な返信ありがとうございます。
情報漏れがありましたので追記しておきます。

踏んだ時点ではウイルスソフトはNOD32を使用しており、何の反応も示しませんでした。
その時点でおかしいと思って検索をした結果、垢ハックアドレスの事実を知り、
その後にカスペのインストール及びスキャンを行ったため、カスペでのスキャンは感染後（？）になってます。

双方で全く検知されないって事は「即閉じ or 何らかの理由で逃げ切れた」って可能性もありそうですが、
潜伏されてる可能性の方が高そうなので、この週末に潔くクリーンインストールしようと思います。

Trojan-PSW.Win32.OnLineGames.fcjはNOD32での撃墜事例があるようですので、
何故今回に限って検知できなかったかは疑問が残りますが、素人が余計な事すると自爆しそうなので忘れる事にします。

104のミスは申し訳ありませんでした。迅速な削除に感謝します。

カスペに乗り換えよっかな…(´･ω･`)

111 ：(^ー^*)ノ〜さん ：07/12/08 09:08 ID:9OxcJ5/B0

福建人の罠ブログを見つけた。
secondlife001■blogspot■com
自分で改竄したcaremoon入りWikiの編集画面から記事丸パクリ。

プロフィールには福建人お気に入りに女性名。（liu200711xxシリーズのプロフィールで多用）
caremoonのリンクがある。

Blogspotなんで違反ブログ申告とかはないみたい。
規約では”記事には嘘の情報や危険な情報があるかもしれない、それにアクセスするのは自己責任”としか書かれていない。
知人友人に利用者がいなければBlogspotをフィルタリングするべきかね。
そういう場所にヤフーのliu200711xxシリーズのようなマルチアカウントやられるとまずいしね。

112 ：111 ：07/12/08 09:23 ID:9OxcJ5/B0

連絡先は捜したらあったが英文のみらしい。
help.blogger.com/?page=contact&hl=en

しかもGoogleアカウントが必要。
先に日本語で書いておいたのをエキサイト翻訳して送った。

113 ：(^ー^*)ノ〜さん ：07/12/08 12:31 ID:9OxcJ5/B0

コレも福建人の罠、と。
blog2008■9966■org

/imagesディレクトリには
kele88へのステルスIFRAMEが仕込んである。

ちなみにimagesディレクトリの中身はこの掲示板のソース丸パクリの上で仕込んだもののようだ。
one-make.jp/bbs/

おそらく育成とBBSで福建人キーワードに引っかかったんだと思われ。

114 ：(^ー^*)ノ〜さん ：07/12/08 15:23 ID:+e6KErEW0

>110
NOD32で調べた結果

send■exe　(Win32/PSW.OnLineGames.FCJ　トロイの亜種)
f2■exe　（Win32/PSW.OnLineGames.FCJ）
reak■exe →　素通り

reak■exeはESETに送付済。

多分新種で検出出来なかったんでしょう。
NOD32からカスペに切り替えるのは自由だけど、過去ログ読めば判るように
カスペをスルーするように作ってるものも多い。
カスペだから安全とか、変に過信すると痛い目に遭うので注意。

115 ：(^ー^*)ノ〜さん ：07/12/08 19:28 ID:kizk7CTV0

NOD32だから安全とか、変に過信すると痛い目に遭うので注意。

116 ：104 ：07/12/08 23:49 ID:5MAP1ayh0

>>114
NOD32での検証ありがとうございます。そして、提出お疲れ様です。

そうですね。何事も妄信は危険ですね。
そのへんを肝に銘じて、今後はそれ以外の対策に気を使っていきたいと思います。
PG2とかHosts変更とか…注意力とか。

以後名無しに戻ります。ありがとうございました。

117 ：(^ー^*)ノ〜さん ：07/12/09 02:17 ID:4qnUIw+i0

【　　アドレス 　 】http://www■qipilang■org/shabi/
【気付いた日時】 07/12/09　01:00頃
【　 　　 OS　 　 】 winXPSP2
【使用ブラウザ 】 IE6(Sleipnir)
【WindowsUpdateの有無】 自動更新
【　アンチウイルスソフト 】 ウイルスバスター2007（アップデート日時12/08）
【その他のSecurty対策 】 ルータ
【 ウイルススキャン結果】 検出後、隔離済み
【スレログやテンプレを読んだか】Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
開こうとしたらウイルスバスターが警告出してくれたので気づいた。
TemporaryInternetFilesに入ってたのでTemporaryInternetFilesの下にあったファイルとフォルダを全消去。
消した後に再度ウイルススキャンをかけたら発見されなかった
大丈夫・・・と見ていいんでしょうか？

118 ：(^ー^*)ノ〜さん ：07/12/09 06:25 ID:a3+rbOD80

ブロックできた可能性が高いとは思うが保証はできない。

・ブロック出来たと信じ、予防のためにPG2で送信をブロックしつつそのまま使用
　（他のエンジンでオンラインスキャンをかけて全検査すれば尚よし）
・安心できないのでOS入れなおして、確実に安全な環境に戻す

好きな方を選べ。

119 ：(^ー^*)ノ〜さん ：07/12/09 08:54 ID:4oHBOaED0

>>117
>>87

120 ：(^ー^*)ノ〜さん ：07/12/10 20:37 ID:c72v0p4Q0

【　 　 　 気付いた日時　 　 　 　 　 】１２/１０　１８時前
【不審なアドレスのクリックの有無　】Wikiで踏みました
【　　アドレス 　 】 http://www■qipilang■org/shabi/
【　 　　 OS　 　 】 XPのSP２
【使用ブラウザ 】 FireFox　２．０．０．１．１
【WindowsUpdateの有無】 自動でしています
【　アンチウイルスソフト 】 ウイルスバスター２００７
【その他のSecurty対策 】 していません
【ウイルススキャン結果】 カスペルスキーオンラインスキャンでは発見されませんでした
【テンプレの参考サイトを読んだか】 ざっと読みました
【hosts変更】わかりません
【PeerGuardian2導入】無し
【説明】
セキュリティ対策、質問雑談スレの877です。
こちらのスレは見ていませんでした…。申し訳ありません。
カスペで除去してから再インストールしようとしたのですが、ウイルス自体が
発見できません。Spybotを導入してみて検索しても発見できません。
FireFoxに、NoScriptというアドオンを入れているのですが
ブロックできたと考えていいのでしょうか。もし隠れてしまっている場合
どうやって探せばいいのでしょうか。
初歩的な質問ですみません。

121 ：(^ー^*)ノ〜さん ：07/12/10 21:10 ID:EcrYiZ5U0

>>120
>>117-119

122 ：(^ー^*)ノ〜さん ：07/12/10 21:34 ID:c72v0p4Q0

今再インストールしています（書き込みは別PCから）。隠れている物は
どうやっても発見できないということですね。また感染してしまったら、ウイルスソフトは
もう意味がなくなり、再インストール以外は、どうしようもないのですね…。
今回のことはとても勉強になりました。ありがとうございました。

123 ：(^ー^*)ノ〜さん ：07/12/10 23:12 ID:5t7/Gfmu0

>>122
一般的な内容になってしまうので、セキュスレに移動しようか悩んだけど、簡単にコメント。

>隠れている物はどうやっても発見できないということですね。
セキュリティソフトを無効にする等の方法で発見できなくする（ステルス化）場合もあります。
どうやっても発見できないということはなく、感染していないシステムに、感染したHDDを繋いで
ステルス化されていない状態でスキャンするとか方法がない訳ではありません。

>また感染してしまったら、ウイルスソフトはもう意味がなくなり、
感染した場合でも、セキュリティソフトで除去したり（もちろんパターンに対応済みの場合）
別途専用のワクチンソフトを用意して除去する方法もあります。
（アカハックトロイの場合の専用ワクチン[除去]ソフトはありません）

>再インストール以外は、どうしようもないのですね…。
状況判断ができない人の取れる対応策はそういうことになります。

今回のケースも、「入手前に切断した」のでセキュリティソフトが反応していない可能性も
ありますが、自分で判断しなければなりません。他の人は実際にアカハックトロイが
存在しないことや、発動していない事を保証できません。

自分で判断できる場合は、>>118のような選択肢になりますが、「ここで質問する＝自分で判断できない」
ケースですので、再インストールするのが安心だねとしか言えません。

124 ：(^ー^*)ノ〜さん ：07/12/12 07:46 ID:LN5DvGf90

第2水曜WU日age

125 ：(^ー^*)ノ〜さん ：07/12/13 07:52 ID:0BvQHsJH0

ROセキュリティWikiの改竄リンクより
www■soracger■com/blog/
www■soracger■com/blog/index1.htm
から
www■caremoon■net/blog/send■exe
www■caremoon■net/blog/f2■exe
www■caremoon■net/blog/reak■exe

126 ：(^ー^*)ノ〜さん ：07/12/13 16:51 ID:0BvQHsJH0

リネージュ資料室より
www■boadongo■org/vbshokmm/
iframeで(略)で
www■boadongo■org/vbshokmm/fff■exe FFXI用
www■boadongo■org/vbshokmm/ttt■exe Lineage用

127 ：(^ー^*)ノ〜さん ：07/12/13 18:53 ID:SOReIsTt0

>>126
iframeで(略)で
ttp://www■boadongo■org/vbshokmm/ttani■c
ttp://www■boadongo■org/vbshokmm/ffani■c

カーソルとして読み込みってのも。これはWindowsUpdateで防げるとは思うけど。

128 ：まとめ臨時 ◆kJfhJwdLoM ：07/12/14 04:36 ID:uHkoT9b30

>>126
情報提供ありがとうございます。
今までやってなかったのもアレでしたが、
他MMOの罠は大抵共通するドメインだったりするので
今後、並列してリネージュ研究室で加えられているリストも
随時チェックすることにしました。

事後報告になりますが、
こまめに臨時サイトで更新しています。
http://sky.geocities.jp/ro_hp_add/

やっとグーグルで引っかかるようになったので安心。
こういう紹介文っぽい跡にURLを張ると罠っぽくていけない…。

129 ：(^ー^*)ノ〜さん ：07/12/14 10:43 ID:JvItf7NH0

うちのWiki(非RO)にも今朝改ざんがあったので報告。
MenuBarのリンク先が変更されてました。
　→ www■plusd-itmedia■com/web/
中にはサイズ0のiframeで www■caremoon■net/blog/index1.htm
こちらにはJSとVBSのみ。VBSは面倒だったんで解読してないけど、構成や手法から>>125と同じではないかと思われます。

plusd-itmedia ってのは初出かな?

130 ：(^ー^*)ノ〜さん ：07/12/14 11:27 ID:amFPWy4B0

>>129
VBデコードしてみたけど>>125から変化なす。

plusd-itmediaには見覚えあったんだが、気のせいだったようだ。前スレまで遡ったが出てないようだ。

131 ：(^ー^*)ノ〜さん ：07/12/14 11:36 ID:smAE9lNe0

>130
気のせいじゃないよ。

自分も見覚えあったからちょっと調べてみたら、リネ資料室さんところの
履歴に 2007/04/15 付けで plusd-itmedia が追加されてた。

その時に11件追加されてるが、その中にhomepage-niftyがあったので
昔のものが復活したっぽい。

read.cgi ver5.26 + n2 (02/10/01)