アカウントハック総合対策スレ9

■掲示板に戻る■ 全部 1- 101- 201- 301- 401- 501- 601- 最新50

アカウントハック総合対策スレ9

1 ：夢 ★ ：07/11/25 11:04 ID:???0: アカウントハックに関する情報の集積・分析を目的とするスレです。
被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

・関連＆参考情報アドレス (>>2)
・報告用＆質問用テンプレ (>>3, >>4)
・アカウントハック対応の要点とFAQ (>>5)
・安全対策の簡易まとめ (>>6)
・アカウントハッキングについて（ガンホー公式）
　 http://www.ragnarokonline.jp/playguide/hacking/

■スレの性格上、誤って危険なURLがそのまま貼られてしまう可能性がある■
■URLを無闇に踏んで回らないこと。報告・相談はテンプレを利用すること■

※ ID/Pass/サーバ/キャラ名等の情報は公開しないでください
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません
※ ネタや程度を超えた雑談・脱線はご遠慮ください

・スレ立て依頼は>>970がしてください。反応がなければ以降10ごとに。

【一般的話題用】
セキュリティ対策、質問・雑談スレ3
　http://enif.mmobbs.com/test/read.cgi/livero/1186660300/
401 ：398 ：08/02/07 09:48 ID:IHuZ2+8V0: >>399
ありがとうございます。
OS再インスコはできないので、
取られたらシャレにならないアイテムは信頼できる知人に預け、
PGを導入し自己責任でプレイし続けようと思います。
その知人に万が一裏切られても中華に取られるよりはマシってことで。
カスペでブロックされたにも関わらずハックの被害にあった時は
また報告します。
402 ：(^ー^*)ノ～さん ：08/02/07 09:48 ID:Jy29WGxE0: >>400
>>1

ふぁびょるとかじゃねえ、ホントお前バカだな。
それが本当にハックアドレスだったら、張ったお前の責任になるんだぞ。
いいからテンプレを全部読んで来い。
403 ：(^ー^*)ノ～さん ：08/02/07 09:51 ID:MPgVvWAK0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/
404 ：(^ー^*)ノ～さん ：08/02/07 18:46 ID:pyDB7Qom0: ここ利用してる方々、コピペNG指定まじオススメ
405 ：(^ー^*)ノ～さん ：08/02/08 12:59 ID:GzBuXHaM0: あああ
406 ：(^ー^*)ノ～さん ：08/02/09 06:52 ID:S4G6x39Y0: 【　　アドレス　】http://www■panslog■net/wiki/index1■htm
【気付いた日時】 2009/2/9
【　　　 OS　　】 win2k SP4
【使用ブラウザ】オペラ9.02
【WindowsUpdateの有無】 2008/12頃？最新のはず
【　アンチウイルスソフト】 avast
【その他のSecurty対策】 Spybot S&D
【ウイルススキャン結果】カスペオンライン、avast、Spybot S&Dで検知されず
【スレログやテンプレを読んだか】 No
【hosts変更】今、最新のに
【PeerGuardian2導入】無
【説明】
2chガ板、邪気眼wikiでavastが警告、殆ど読まずに回線引っこ抜いた。
リネの垢ハクのようだ。とりあえず色々調べてみたが怪しいものは全く出てこない。

警告の所に以下のログが残ってるんだけど
Sign of "HTML:Iframe" has been found in "http://www■norelet■com/fc2/" file■
avastが遮断したと認識していいのだろうか？
407 ：(^ー^*)ノ～さん ：08/02/09 09:01 ID:PYC7kBS20: >>406
カスペ反応するぞ？

ttp://www■norelet■com/fc2/　　　Trojan-Clicker.HTML.IFrame.il
ttp://www■panslog■net/wiki/index1■htm　　　Trojan-Downloader.VBS.Agent.hi

index.htmの時点でブロックされたのでその先を入手してないから反応してないだけじゃないか？
408 ：(^ー^*)ノ～さん ：08/02/09 09:09 ID:PYC7kBS20: やっぱ既知のファイル。中身変わってないぽ。カスペで全部検知可能。
あと、１箇所突っ込んでいいか。お前さんは未来からアクセスしとるんかとｗ

ttp://www■norelet■com/fc2/
ttp://www■panslog■net/wiki/index1■htm
ttp://www■panslog■net/wiki/send■exe
ttp://www■panslog■net/fc2/cery■exe
ttp://www■panslog■net/wiki/reco■exe

index■htm
->index1■htm
-->wiki/send■exe
-->fc2/cery■exe
-->wiki/reco■exe

index■htm : Trojan-Clicker.HTML.IFrame.il
wiki/index1■htm : Trojan-Downloader.VBS.Agent.hi
wiki/send■exe : Trojan-PSW.Win32.Delf.aih
fc2/cery■exe : Trojan-PSW.Win32.OnLineGames.lyx
wiki/reco■exe : Trojan.Win32.Inject.ms
409 ：(^ー^*)ノ～さん ：08/02/09 17:46 ID:S4G6x39Y0: >>408
【気付いた日時】2008/2/9　で・・流石に焦ってたらしい。本体は無いっぽい

>>407
Trojan-　　ってのいうのはキャッシュって認識でいいのかな
言われて気付いたけど(多分、スキャンかける前に)キャッシュは全部削除したみたい

たまたまレジストリのバックアップがあったのでレジストリ復元した
とりあえず安心と見ていいのだろか・・
410 ：(^ー^*)ノ～さん ：08/02/09 17:56 ID:PYC7kBS20: >>409
|>>407
|ttp://www■norelet■com/fc2/　　　Trojan-Clicker.HTML.IFrame.il
|ttp://www■panslog■net/wiki/index1■htm　　　Trojan-Downloader.VBS.Agent.hi

Trojan-Clicker.HTML.IFrame.il
サイズ0のiframeでindex.htmを呼び出そうとするもの。
IEのキャッシュに入った時点で（表示前？）反応する筈。

Trojan-Downloader.VBS.Agent.hi
VB Script でアカハックトロイの本体のダウンロードと起動させる為にレジストリへの登録などを行なうもの。
これもIEのキャッシュに入った時点で（実行前に）反応する筈。

実際に踏んだ訳ではないので、反応のタイミングに関しては間違っているかもしれないことを記載しておく。
実際に発動させていれば、IEのキャッシュにも残っている為、フルスキャンでそれも引っ掛かるだろう。
411 ：406 ：08/02/09 22:14 ID:S4G6x39Y0: >>410
Trojanが発動していればオペラのキャッシュ消しても
IE内のキャッシュに残るからカスペで引っ掛かるって事か。
(2/6の時点でIEのキャッシュは消してる)

とりあえずカスペフルスキャンでも何も出てこないが
発動自体していないか、既に消している可能性が高いって事なのかな。
412 ：(^ー^*)ノ～さん ：08/02/10 00:15 ID:gT35jWW80: 前スレ923
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1185352481/923
で挙がってた「RO店価格調査隊」のドメイン ( ro-price.net )の
有効期限は、現在も 2008/02/09 のままの模様。
413 ：(^ー^*)ノ～さん ：08/02/10 05:25 ID:r16r2VT20: >>412
ドメイン名の有効期限は、基本的にUTC(協定標準時)で管理されていたはず。
日本時間で09:00までは期限内かと。
その後30日間が、請戻猶予期間(RGP)という形で、元の登録者が優先的に取り戻せる期間。
414 ：(^ー^*)ノ～さん ：08/02/10 13:11 ID:QxtNNGDa0: 被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/
415 ：(^ー^*)ノ～さん ：08/02/10 15:42 ID:ssKFVq/M0: 超重要な情報じゃないか。本当にただ荒らしてるだけか
416 ：(^ー^*)ノ～さん ：08/02/10 17:39 ID:CG0t215c0: 何を今更。
このスレを荒らすなり重要な情報を埋もれさせた方が利益になる業者様じゃないの。
417 ：406 ：08/02/10 22:09 ID:sVdekE4r0: とりあえずＰＧ２を導入した。無知な俺に付き合ってくれてありがとう、勉強になった。
418 ：(^ー^*)ノ～さん ：08/02/11 01:38 ID:lpdZO5lJ0: 価格調査隊のドメインがウイルスサイトになった様子。
あげておきます
419 ：(^ー^*)ノ～さん ：08/02/11 02:11 ID:/tXDJW/h0: >>418
ドメイン失効の為、そのIPを管理しているところに飛ばされてるだけ。現時点では無害。
>>412-413参照。
420 ：(^ー^*)ノ～さん ：08/02/11 02:13 ID:XhJsNFGo0: もとからハックされること多かったし、いかないほうがいいかと
421 ：(^ー^*)ノ～さん ：08/02/11 09:02 ID:/tXDJW/h0: >>420
明らかな誤情報は忌むべきもの。やめてくれ。

RO店価格調査隊のBBSにアカハックへの誘導投稿が多数投げ込まれていたことは、ハックされることではない。
その書き方を見ると、サイトがクラッキングにより改竄され、アクセスしただけでiframeへ飛ばされる事例などと
同一視してしまう危険性がある。

この手のスレでは、正確な情報を扱う事が重要。注意喚起だとか言ってなんでもかんでも貼られたアドレスに
確証もなしに「それアカハック」という発言をするのと同様の迷惑。
422 ：(^ー^*)ノ～さん ：08/02/12 14:56 ID:6yNC5Q210: なんかchaos鯖でろ。を開くと垢ハックされるとか警告チャットたっていたんだが、どうなんだろうか？調べてみたやつ情報求む。
423 ：(^ー^*)ノ～さん ：08/02/12 14:59 ID:rPxD+tKh0: 価格調査隊が垢ハックになったのっていつから？
424 ：(^ー^*)ノ～さん ：08/02/12 15:14 ID:4U2Sy4tR0: >>423
>421
425 ：(^ー^*)ノ～さん ：08/02/12 15:20 ID:KWs5aZGK0: 誤情報に踊らされるやつ多すぎ。
警告するのはいいがどっからどこまでが
ウィルスなのかもわかってないで看板たてんのはどうかとおもうよ。
426 ：(^ー^*)ノ～さん ：08/02/12 17:27 ID:j//rgLHjO: SESには垢ハク露店の横で
｢垢ハックが怖くてこの周辺の露店を開く(見る)ことが出来ない｣
なんて発言する転生職がいるんだぜ
勘違いにも程がある
427 ：(^ー^*)ノ～さん ：08/02/12 17:31 ID:DzELcJok0: リスクに対しての対処法を、自分から知ろうとする事がまず重要な対策な訳で。
危ない危ない言っているだけでは、狼少年と変わらん。

そろそろテンプレ厨が来そうだから、この偏に留めておくか。
428 ：(^ー^*)ノ～さん ：08/02/12 18:00 ID:pPaVl7Ad0: 調査隊戻ってね？
429 ：(^ー^*)ノ～さん ：08/02/12 18:27 ID:opX9Mp7C0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/

RO店価格調査隊の復帰に関しては、セキュスレでどうぞ。
430 ：(^ー^*)ノ～さん ：08/02/15 16:08 ID:kkRmEoMY0: infosueekにはだいぶやられていますね
1見有名アドっぽいのでうっかりしやすいのかも

ttp://infosueek■com/diary/rolink/

ttp://shamoneko■blog118■fc2■com/
ｆｃ２ブログですが他のROブログから内容をコピペでもってきている偽装で
0サイズインラインフレームで危険URLttp://www■infosueek■com/cookingへ飛ばされます
ご注意ください。
431 ：(^ー^*)ノ～さん ：08/02/15 17:07 ID:o0KaYOXC0: >>430
先月16日製造。
/xin/ro■exe
スクリプトのYahoo■htmはYahoo!Messengerの脆弱性狙いの模様。
432 ：(^ー^*)ノ～さん ：08/02/16 02:30 ID:qO5p9MJn0: >>430と同じかな

ttp://fuurozhu■blog10■fc2■com/

0サイズiframeにて既知アドレスttp://www■teamerblog■com/blog/を読み込み
433 ：(^ー^*)ノ～さん ：08/02/16 12:16 ID:2Z8FLsjw0: 知人のブログコメントにあったURL。危険かどうかは謎ですが文面からアカハックと思われます。

ttp://sigotonai■blog22■fc2■com/
434 ：まとめ臨時 ◆kJfhJwdLoM ：08/02/16 13:59 ID:w2/xzKe+0: インラインフレームが仕込まれている模様。
把握できたのは以下の通りです。

sigotonai■blog22■fc2■com
├www■k5dionne■com/ousele/usmm■htm(www■k5dionne■comは既出アドレス)
　www■k5dionne■com/ousele/aniro■c
　www■k5dionne■com/ousele/aniro■htm
　├www■k5dionne■com/ousele/sanro■exe
　├www■k5dionne■com/ousele/\x47\x45\x54
　　(ソースから見るに似非マイクロソフトみたいなページなのかも？)

ソースチェッカーでaniro■htmを覗いてみたら
バックスラッシュの多さにちょっと驚いた。
何かしらの処理をやっているのでしょうけど当方には理解できませんでした。
435 ：(^ー^*)ノ～さん ：08/02/16 16:24 ID:a40XIbwI0: >>432
ttp://fuurozhu■blog10■fc2■com/
　-> ttp://www■teamerblog■com/blog/
　　-> ttp://www■panslog■net/wiki/index1.htm

トロイの木馬　VBS/Psyme　を検出(MacAfee)

> VBS/PsymeはVBScriptで、リモート実行ファイルのダウンロード、
> ローカルディスクの特定のロケーションへの保存、および実行を指示します。
436 ：(^ー^*)ノ～さん ：08/02/16 16:57 ID:XCtgqz4b0: >>434
\xは16進数(%と同じ)。\だけだと8進数。
\xは%に置き換えてから、あとはいつもの。
437 ：(^ー^*)ノ～さん ：08/02/16 17:01 ID:XCtgqz4b0: しかしFC2の罠ブログ、鎮まってきたと思ったのにまた復活してるのね…。
FFXI関係で投下されたもの
ffxiwaruo■blog102■fc2■com
　www■infosueek■com/ff11diary
　　www■infosueek■com/xin/xia■exe
438 ：(^ー^*)ノ～さん ：08/02/16 19:19 ID:+U3bwwbc0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/
439 ：(^ー^*)ノ～さん ：08/02/16 20:06 ID:/Z1U/l/N0: それはもしかしてギャグで
440 ：(^ー^*)ノ～さん ：08/02/17 02:25 ID:wrXxW/Bk0: >>438
中稼のコピペ工作員
441 ：(^ー^*)ノ～さん ：08/02/18 17:44 ID:OyV5kfw/0: 春節(旧正月)の帰省ラッシュ(大雪で大変だったらしい)が終わったのか
トロイが更新されつつあるので注意。

www■lvei20■com/ourtesf/ff11■exe
1時間ほど前に更新。ファイル名からするとFFXIっぽいけど
実際はLotRO(Lord of the Rings Online)トロイ。

www■gamanir■com/systemin■scr (twurbbsから転送)
昨日更新。

www■testinghua■com/ie/kun■exe
一昨日更新。

etc. etc.
442 ：(^ー^*)ノ～さん ：08/02/19 00:11 ID:oyuawRcCO: 今、ROのGVGのwikiって大丈夫ですか？
さっき見に行ったらノートンが起動しまして
443 ：(^ー^*)ノ～さん ：08/02/19 00:17 ID:3S2QE+us0: >>442
>>438
一般的な相談はセキュスレをどうぞ。

LokiやForsetyは、管理放棄されており、仕込まれ放題であるという報告が上がっています。

それらの鯖のGvGWikiでリンク踏んでセキュリティソフトが反応した場合、ほぼ確実にアカハックでしょう。
ダウンローダの時点でブロックできている可能性もありますが、(中略)OSの入れなおしを推奨します。
この発言にコメントを付けたい場合は、セキュスレにお願いします。
444 ：(^ー^*)ノ～さん ：08/02/20 01:12 ID:27wzzeHm0: 価格調査隊は現在はアカハックサイトではないけれど
一度ドメインを失効してる以上、現在の管理者が以前と同じとは限らないため
ある日突然アカハックサイトに化ける可能性があります
なので今後二度とアクセスしないようにしましょう

というようなことを主張してるblogがあるのだけれど、この意見は妥当なのでしょうか？
445 ：(^ー^*)ノ～さん ：08/02/20 01:17 ID:P4yfMHPF0: >>444
一般的な相談はセキュスレへどうぞ。あっちでコメントしておきます。
446 ：(^ー^*)ノ～さん ：08/02/20 01:19 ID:Jy0p/WXy0: 全てのサイトが、現在の管理者が以前と同じとは限らないので
ある日突然アカハックサイトに化ける可能性があります。
なので今後二度とインターネットに接続しないようにしましょう

と、ほぼ同じ意味
447 ：(^ー^*)ノ～さん ：08/02/20 01:31 ID:AcYmxHsg0: >>444
ドメイン失効ではなく有効期限切れ。
ドメインは有効期限が切れてから、状況により異なるけど1～2ヶ月ほど
たたないと完全には失効せず、その間に他の人が取得することはできない。

今回有効期限が切れてから1週間もたたないうちに復活してたと思うので
ドメイン業者が悪人だったなんてことでもない限り答えはノー、に一票
448 ：(^ー^*)ノ～さん ：08/02/20 01:43 ID:27wzzeHm0: >>446,447
なるほど、そのblogに書かれてることは頓珍漢なことが書いてあるという認識でよさそうですね。
ありがとうございました。
449 ：(^ー^*)ノ～さん ：08/02/21 00:54 ID:lF5QCNtc0: 【　　アドレス　】http://shuahdhsk■blog103■fc2■com
【気付いた日時】 2008/2/1921:30
【　　　 OS　　】 winVista Home Edition
【使用ブラウザ】IE7
【WindowsUpdateの有無】自動更新のため最新だともわれる
【　アンチウイルスソフト】ウィルスバスター2007
【その他のSecurty対策】
【ウイルススキャン結果】ﾊﾞｽﾀｰ検出無しカスペも検出無し
【スレログやテンプレを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
Wikiで改ざんされたURLを踏んだ模様
ｆｃ２のサービスのエラーページ？に飛んだことに気づき
そのURLをソースチェッカー等で調べたとこ垢ハックのソースを含むブログと判明
メッセやゲーム等は一切ログインしていませんがただちに念のため別PCでパス等変更しました。
赤と白のｆｃ２の接続エラーページのようなとこに飛んだのですが履歴に残ってないのでわかりませんが
450 ：まとめ臨時 ◆kJfhJwdLoM ：08/02/21 01:24 ID:NNURqZBn0: shuahdhsk■blog103■fc2■com
├www■teamerblog■com/blog/(既知)
　├www■panslog■net/wiki/index1■htm(既知)

ソースチェッカーでソースを見る限りは
teamerblog側ではcurやらexeの仕込みが見当たらず、
panslog側でスクリプトを組んでなにやらやっている模様でした。
ちょっと当方では解りかねるので判る人待ちと言う事で…。

とりあえず別PCで既に変更されたとのことで、
踏んだPCでROやメッセ等のパスワード類を入力する行為をしていなければ、
被害は無いと考えられます。

現状で確実に対応できるとしたら
OSのリカバリーないしクリーンインストールと言う事に。
451 ：(^ー^*)ノ～さん ：08/02/21 08:08 ID:FMeUdVto0: >>450
スクリプトはアスキーコードで書かれていて、次のURLを呼び出すようです
ttp://www■panslog■net/wiki/send.exe
ttp://www■panslog■net/fc2/cery.exe
ttp://www■panslog■net/wiki/reco.exe
452 ：(^ー^*)ノ～さん ：08/02/22 04:03 ID:8r4Mt/I90: 殴りプリWikiで下記URLの投下がありました。
ttp://infosueek■com/diary/rolink/ （既知のドメイン）
ttp://ayakasio■blog5■fc2■com/　（罠用Blog）

下のblogのソース内に ttp://www■infosueek■com/cooking を読み込むサイズ0のiframeタグを確認。
453 ：(^ー^*)ノ～さん ：08/02/22 22:47 ID:8r4Mt/I90: >>452の罠blogはfc2に通報した結果凍結されました。
（aguseとソースチェッカーオンラインで間接的に確認）
454 ：(^ー^*)ノ～さん ：08/02/26 01:36 ID:nwNQRbNY0: 約一ヶ月前に、>313 と同じサイトを踏んだ
ノートンは特に反応しなかったけど、別ＰＣでパス変更とＯＳを入れ直した
課金も切れてたし、その後も無課金のまま

で、ＯＳ入れ直したのはいいが、最近それがフォーマットをしてないただのＯＳ入れ直しだと分かった・・・
やっぱり、HDDフォーマットしないと効果無いよね？
455 ：(^ー^*)ノ～さん ：08/02/26 02:14 ID:XPtqxLze0: >>454
一般的な相談の部類だと思うのでセキュスレの方が適当だと思う。

OSだけの上書きだと、OS部分に感染していた場合は上書きされている。
他の部分に残っていて、そいつを発動させた時点で再発する可能性もあるが、

既知のサイトを以前に踏んだ場合のように、セキュリティソフトの更新をしていれば
対応している（後から発動させようとした瞬間にブロックできる）可能性が高いものもある。

不安なら、HDDのフォーマットからやりなおしを。大丈夫ですという保証は、回線越しの誰にも保証できません。
456 ：(^ー^*)ノ～さん ：08/02/26 17:26 ID:WVAJQueq0: >455
返答ありがとう
一応フォーマットしてクリーンインストールしてみるよ
RO復帰直前に気が付いてよかったよ・・・
457 ：にゅぼーん ：にゅぼーん: にゅぼーん
458 ：L ★ ：08/02/28 02:37 ID:???0: 457 名前：(^ー^*)ノ～さん[] 投稿日：08/02/28(木) 02:28 ID:iEgl304S0
http://■www■testinghua■com/ie/ragnarokonline/
459 ：にゅぼーん ：にゅぼーん: にゅぼーん
460 ：(^ー^*)ノ～さん ：08/02/28 03:43 ID:W4rSKHdI0: あ、しまった。>>459は削除以来しときますー。

>>458
Registrant Contact:
HuangQiang
Qiang Huang suniuqing001@163.com
05972562288 fax: 13559988127
Fujian longyan
longyan Fujian 364000
cn
461 ：にゅぼーん ：にゅぼーん: にゅぼーん
462 ：(^ー^*)ノ～さん ：08/02/28 17:57 ID:sdrPoaW10: >>461
>>3読もうぜ
【投稿の際の注意】
・アカハックアドレスはMMOBBSでは禁止単語になっています。
　加えて、誤クリックによる感染を防ぐ為にそのようなアドレスは
　.(ドット)を別の文字に置き換えて報告して下さい (■がよく使われています)
・URLを貼り付ける場合はドメイン名の「.」を全て「■」に置換して下さい。
463 ：(^ー^*)ノ～さん ：08/02/28 18:01 ID:umyjCSEU0: 削除依頼してきた、マジで危ないわ
464 ：(^ー^*)ノ～さん ：08/02/28 18:05 ID:sdrPoaW10: 削除依頼もついでにしてきた
消えたら情報も消えるんでコピペっとく

/以下コピペ
Mixiで出回ってるのかな、怪しい書き込みがあったので参考程度に
ttp://www■ff11free■com/ro_diary.htm

どうにも怪しいと思って検索したら案の定
シマンテックがTrojan.Exploit.131を検出

どうみてもパス抜きです本当にありがとうございました
exeじゃないと思って油断したら、回覧がトリガーとは・・・
465 ：(^ー^*)ノ～さん ：08/02/28 18:29 ID:Pm7zdaZE0: >461,>464
www■ff11free■com/ro_diary■htm
->www■testinghua■com/ie/ragnarokonline/index■htm
--->www■testinghua■com/ie/ragnarokonline/test■cur
--->www■testinghua■com/ie/ragnarokonline/Ms06014■htm
466 ：(^ー^*)ノ～さん ：08/02/29 01:01 ID:maW39Ci+0: 【　　アドレス　】http://www■kireidekawaii■com/zatudan/joyful/joyful■cgi
【気付いた日時】2月28日
【　　　 OS　　】Windows XP
【使用ブラウザ】
【WindowsUpdateの有無】最後は先週ごろ
【　アンチウイルスソフト】 Anti-Virus freeEdition
【その他のSecurty対策】 Spybot S&D
【ウイルススキャン結果】検出されませんでした
【スレログやテンプレを読んだか】 Yes
【hosts変更　無
【PeerGuardian2導入】無
【説明】
『怪しいアドレス』との判断した理由　アドレスを踏んだ後レスをみたら
あからさまな垢ハックとレスがあったので
467 ：(^ー^*)ノ～さん ：08/02/29 01:46 ID:dIg9gcIq0: chaosのあるGの掲示板
アカハックじゃないぽ
468 ：(^ー^*)ノ～さん ：08/02/29 02:15 ID:oGTIfTUX0: 管理人様、削除おつかれさまです。
469 ：(^ー^*)ノ～さん ：08/02/29 08:37 ID:UlyRODtM0: >あからさまな垢ハックとレスがあったので
事実に基づくコメントか、流言飛語の類かを見分けられるように頑張りましょう。
470 ：466 ：08/02/29 11:28 ID:maW39Ci+0: >>469
自分が未熟でした＞＜
これからはがんばります
471 ：(^ー^*)ノ～さん ：08/03/03 20:06 ID:bpXVj5Js0: 未だにアカハック露店を確認した
ひっかかる馬鹿はほんと絶えないな
472 ：(^ー^*)ノ～さん ：08/03/03 20:53 ID:+u0z47270: MMOBBSあぷろだ４３４０のZiｐ垢ハックVirus
みたいなのだが削除されないんだろうか
473 ：(^ー^*)ノ～さん ：08/03/03 20:55 ID:60CT3O/Y0: パス付きだし(このスレとしては)いいんじゃね?
ツールとかだったら削除してほしいが。
474 ：(^ー^*)ノ～さん ：08/03/03 21:01 ID:RwseLEJ30: >>472
アカハック付きと判断した理由は？

>>473
動画キャプチャ用ソフトのなんかの削除用ぽい。ほっといていいんじゃね。
どこのスレだか知らないけど、動画はOKって公式見解出てるし。
475 ：(^ー^*)ノ～さん ：08/03/03 22:48 ID:IoP5qJxH0: 被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/
476 ：(^ー^*)ノ～さん ：08/03/04 00:21 ID:TcyL7f2v0: >>472
いあカスペルスキーが反応したもんで…
今思うと過剰反応すぎたかもしれない

無駄にスレ埋めてすまない、これで消えるﾉｼ
477 ：(^ー^*)ノ～さん ：08/03/04 00:50 ID:PyjETge00: >>476
それは、「パスワード保護されたファイル」だから反応しただけ。次からはセキュスレで聞いてくれ。ﾉｼ

Password-protected-EXE

http://www.f-secure.co.jp/glossary/?KEYWORD=PSW-Worm
478 ：(^ー^*)ノ～さん ：08/03/04 10:26 ID:EBZMeWw20: あちこちの(中華罠ブログではない)FC2ブログのテンプレにiframeが仕込まれているらしい。
FC2内で踏んじゃったのか本人の管理画面から抜かれたのかは不明。
www■dda3■net
(略)
www■dda3■net/sys.exe
VirusTotalでまったく検知できなかった
(一部の何でも有害判定する誤検知大王は除く)。
479 ：(^ー^*)ノ～さん ：08/03/04 10:52 ID:PyjETge00: >>478
セキュスレに転記しておきますね。続はセキュスレで。
480 ：(^ー^*)ノ～さん ：08/03/04 10:58 ID:1VpCO9+W0: 罠の報告までセキュスレに飛ばしてどうするんだ……
481 ：(^ー^*)ノ～さん ：08/03/04 14:41 ID:uf276bb90: いつもの人だろ
482 ：(^ー^*)ノ～さん ：08/03/04 15:37 ID:1VpCO9+W0: 見慣れないドメインなので調べてみたら案の定福建省。
しかも出来立てのホヤホヤ。

>dda3■net
>61■238■148■106

>Domain name: dda3■net
>Creation Date:2008-02-26
>Expiration Date:2009-02-26

>Registrant Name: chenyuan
>Registrant Organization:
>Registrant Street1: longyan
>Registrant Street2:
>Registrant Street3:
>Registrant City: longyan
> Province: Fujian
> Country: China
483 ：(^ー^*)ノ～さん ：08/03/06 16:38 ID:+U55i0+10: お久しぶり･･･と書いていいのかな。
前スレッドの71です。

この度警察の方から最終的な報告を受けました。
結論としては、通信事業社にログが残っていない為それ以上辿る事が出来ず立件は無理であるようです。
（相手の中国人が分かり、警察の方々も東京で張り込みをしてくれたようです）

アカウントハッキングがあったと言う事実は分かったので
その旨をガンホーには伝え済みで、返答待ちとなっています。
画像UPをどこにしていいか分からないので、教えてもらえれば現状の画像をUPいたします。
484 ：(^ー^*)ノ～さん ：08/03/06 16:40 ID:DnxvJyRV0: ここでいいんじゃないか？
ttp://www.mmobbs.com/uploader/
485 ：(^ー^*)ノ～さん ：08/03/06 16:49 ID:+U55i0+10: >>484
ありがとうございます。

http://www.mmobbs.com/uploader/files/4368.jpg
アカウントハッキングにあった時の投稿。

http://www.mmobbs.com/uploader/files/4369.jpg
今日送った投稿の現在。

調べ事や忙しくアカウントハッキングにあっての３日後に警察へ行きました。
何か動きがあれば、再度画像UPします。
486 ：(^ー^*)ノ～さん ：08/03/06 16:55 ID:+U55i0+10: ちなみに運営から警察へ送られた資料などを一部見せてもらいましたが
アイテムの移動（誰から誰へ）とアイテム名のログがありました。

日時、IP、アカウント名、キャラ名、移動先キャラ名、アイテム名
といった順のログ資料です。
487 ：(^ー^*)ノ～さん ：08/03/06 17:05 ID:ROwxuFgf0: URI欄のセッションIDや投稿Noみたいなユニーク(一意)っぽいのは
消したほうがいいぞ。
488 ：(^ー^*)ノ～さん ：08/03/06 17:19 ID:+U55i0+10: 一部削除と画像変更でUPしなおしました。

今までの流れ
2007/08/10アカウントハッキングに遭う。
↓通報
テンプレ回答：不審な接続有無を現在調査（略）
↓（状況説明などを送る）
テンプレ回答：現在調査を行って（略）

この時点で一度警察へ相談。
次の日調書をまとめてもらいました。
↓
最終的に、一致しないID使用形跡が運営に確認される。

（何度か警察出向き、説明など）

2008/03/06
警察よりの回答＆運営に報告　→　現在：返答待ち
489 ：(^ー^*)ノ～さん ：08/03/06 18:31 ID:+U55i0+10: http://www.mmobbs.com/uploader/files/4370.jpg
そして返答来ていました。
490 ：(^ー^*)ノ～さん ：08/03/07 00:53 ID:fRe+2VPB0: 【　　アドレス　】www■geocities■jp/rofline/
【気付いた日時】昨日の23：50ぐらい
【　　　 OS　　】 WindowsXP SP2
【使用ブラウザ】IE6
【WindowsUpdateの有無】自動更新
【　アンチウイルスソフト】ウイルスキラー（イーフロンティア社製
【その他のSecurty対策】Spybot
【ウイルススキャン結果】検出されませんでした
【スレログやテンプレを読んだか】Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】とある掲示板でこれを踏んだのですが、その後垢ハックじゃないか？と
　　　　レスが付けられており、怪しいと判断しました。
491 ：(^ー^*)ノ～さん ：08/03/07 01:15 ID:ruitn25A0: >490
アカハックではないが、エミュ鯖のページっぽい。
削除依頼してきた方が無難かも。

というか「アカハックかも」というレスを見てハクと判断するのは
混乱を招くだけ。
警戒するに越したことはないけど鵜呑みは禁物。
492 ：(^ー^*)ノ～さん ：08/03/11 17:14 ID:ysgds8z+0: サーパラブログをチェックしていて見かけたもの。
罠iframe入りのブログを4つ見つけたので通報済み。

www■skywebsv■com/Blog/
www■skywebsv■com/Blog/k1■exe
k1は自己解凍cabで、2匹入っているので
2匹とも検知できることが望ましい(Dr.WEBとNOD32が両方捕獲)。

FC2ブログでも酷似したトロイが爆撃されており
先週あたりからFC2ブログそのもののアカハック
(というか罠iframeを勝手に突っ込まれる)が騒がれていた。
憶測だけど、2匹の片方はネトゲのアカハックだけど
片方はブログのアカハック(というよりインジェクション)なんじゃなかろうか。
493 ：(^ー^*)ノ～さん ：08/03/12 07:32 ID:KLyAGeXZ0: ↑検出率が悪い方を再スキャン。
各社に検体を送付してから15時間経過、AVGとKasperskyも捕獲。
ttp://www.virustotal.com/analisis/b1f0d3af89749ed3ea7cf1c9839555d2
494 ：(^ー^*)ノ～さん ：08/03/12 17:17 ID:KLyAGeXZ0: >>478 と同じ奴がまたFC2ブログで大暴れ中。
www■hellh■net/
(略)
www■hellh■net/win.exe
VirusTotalではDr.WEBとMicrosoft(笑)が撃墜。
各社に検体提出済み。
495 ：(^ー^*)ノ～さん ：08/03/12 23:16 ID:A0FoK2Io0: 936 名前：（○口○*）さん[sage] 投稿日：08/03/12(水) 17:21 ID:Ad3+AZap0
トレンドマイクロのウイルス情報ページが改竄、ウイルスを埋め込まれる
ttp://internet.watch.impress.co.jp/cda/news/2008/03/12/18775.html
バスター何やってんの…
496 ：(^ー^*)ノ～さん ：08/03/12 23:32 ID:CSTUPrv90: >>495
そういう一般的話題はセキュスレだから、あっちであってるよ。ここに持ち込まなくてok

>>494
ttp://%77%77%77■%68%65%6C%6C%68■%6E%65%74/%69%6E%64%65%78■%68%74%6D
ttp://%77%77%77■%68%65%6C%6C%68■%6E%65%74/%72%65■%68%74%6D

ttp://www■hellh■net/index■htm
ttp://www■hellh■net/re■htm

このファイルも提出しといたよ。

ttp://www■hellh■net/ と ttp://www■hellh■net/index■htm で
同じファイル名で、別のファイルが落ちてくるけど、気にせず両方提出。

*** index■htm ***
HTML/Infected.WebPage.Gen(AntiVir),HTML/Exploit!IFrame.G(F-Secure),
HTML/Exploit!IFrame.G(Norman),Script.Infected.WebPage.Gen(Webwasher-Gateway)

*** index(1)■htm ***
HTML/ADODB.Exploit.Gen(AntiVir),JS/Downloader.Agent(AVG),
Generic.XPL.ADODB.F2AD52C8(BitDefender),Downloader.AniLoad.nae(Ewido),
TrojanDownloader:JS/Psyme.MU(TrojanDownloader:JS/Psyme.MU),
Trojan.DL.JS.Agent.lio(Rising),Script.ADODB.Exploit.Gen(Webwasher-Gateway)

*** re■htm ***
HEUR/Exploit.HTML(AntiVir),Exploit(AVG),Exploit.HTML.Agent.Z(BitDefender),
Downloader.AniLoad.nae(Ewido),Exploit-RealPlay(McAfee),Exploit:HTML/Repl.B(Microsoft),
Hack.Exploit.Script.JS.RealPlayer.b(Rising),Heuristic.Exploit.HTML(Webwasher-Gateway)

*** win■exe ***
Trojan.MulDrop.origin(DrWeb),Trojan-PWS.Win32.OnLineGames.ssu(Ikarus),
Trojan-PSW.Win32.Nilage.cdj(Kaspersky),TrojanSpy:Win32/Lineage(Microsoft),
Heuristic: Suspicious Self Modifying File(Prevx1)
497 ：(^ー^*)ノ～さん ：08/03/12 23:33 ID:qf5xJ6ZJ0: www■testinghua■com/ragnarokonline/archives/2008/03/1112/20080311mov■zip

mixi米で見かけたんだが、ホントにあんなとこまで出張してんのか…
498 ：(^ー^*)ノ～さん ：08/03/12 23:47 ID:KLyAGeXZ0: >ttp://www■hellh■net/ と ttp://www■hellh■net/index■htm で
>同じファイル名で、別のファイルが落ちてくるけど、気にせず両方提出

dda3の時にもLiveROで書いた気がするけど、同じじゃないよ。
www■hellh■net/ のHTTPヘッダでは
Content-Location: www■hellh■net/Default.htm
Default.htmがindex.htmとre.htmをiframeで呼ぶ。
499 ：(^ー^*)ノ～さん ：08/03/13 05:35 ID:acTXxhlD0: >496
>そういう一般的話題はセキュスレだから、あっちであってるよ。ここに持ち込まなくてok
アフォか必要以上の自治はうざいだけだ
雑談してるなら、ともかくウィルス対策ソフトの情報ページが改竄されていたという情報は重要な情報だろう
アカウントハック対策にVBとか使ってる人だっているんだしな。
ただしこの話題に関して雑談するならセキュレスレへ移動だが
500 ：(^ー^*)ノ～さん ：08/03/13 06:27 ID:aWBFdBUN0: >>497
まだ、VirusTotalでは３社しか対応してない模様。カスペも定義更新する前はすり抜けていた。

Trojan.Win32.Inject.adp(F-Secure,Kaspersky)
Suspicious File(eSafe)

>>498
重ね重ねありがとう。いっつもHTTPヘッダ見てなくてすまん。orz

掲示板に戻る全部前100 次100 最新50

read.cgi ver5.26 + n2 (02/10/01)