アカウントハック総合対策スレ9

■掲示板に戻る■ 全部 1- 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 最新50

レス数が1000を超えています。残念ながら全部は表示しません。

アカウントハック総合対策スレ9

1 ：夢 ★ ：07/11/25 11:04 ID:???0: アカウントハックに関する情報の集積・分析を目的とするスレです。
被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

・関連＆参考情報アドレス (>>2)
・報告用＆質問用テンプレ (>>3, >>4)
・アカウントハック対応の要点とFAQ (>>5)
・安全対策の簡易まとめ (>>6)
・アカウントハッキングについて（ガンホー公式）
　 http://www.ragnarokonline.jp/playguide/hacking/

■スレの性格上、誤って危険なURLがそのまま貼られてしまう可能性がある■
■URLを無闇に踏んで回らないこと。報告・相談はテンプレを利用すること■

※ ID/Pass/サーバ/キャラ名等の情報は公開しないでください
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません
※ ネタや程度を超えた雑談・脱線はご遠慮ください

・スレ立て依頼は>>970がしてください。反応がなければ以降10ごとに。

【一般的話題用】
セキュリティ対策、質問・雑談スレ3
　http://enif.mmobbs.com/test/read.cgi/livero/1186660300/
501 ：(^ー^*)ノ～さん ：08/03/13 17:07 ID:sHE/c0LN0: トレンドマイクロのページ改ざんで飛ばされた先はネトゲアカハックウィルスの模様
注意
502 ：(^ー^*)ノ～さん ：08/03/14 02:02 ID:RWCinNPO0: >>501
注意って…どうやって注意すりゃいいんだよと
503 ：(^ー^*)ノ～さん ：08/03/14 03:51 ID:r4V9lJel0: 被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/
504 ：(^ー^*)ノ～さん ：08/03/14 10:12 ID:Iyd5R/kmO: 497のやつ、ミクシーで踏んでしまったんですが
ノートン先生じゃ見つけられないし
OS再インスコしたほうがいいでしょうか
505 ：(^ー^*)ノ～さん ：08/03/14 10:23 ID:+qQ48ahO0: >>504
確かに、現時点のVirusTotal(パターンが最新とは限らない）ではシマンテックでスルーされてますね。
提出のかいあって、３社→１１社まで対応してますけど。
http://www.virustotal.com/analisis/e34d3623b8f647bb40b836792f962e89

で、こいつは、解凍して叩かない限りは感染しない。（自己解凍型じゃない）
カスペでは対応してるのでオンラインスキャンで見付けることは可能。

でも、安全かどうかの保証はできないので、推奨される（確実な）のは、ＯＳ再インストールコース。
506 ：(^ー^*)ノ～さん ：08/03/14 10:48 ID:Dte0SFCV0: ノートンは対応がめちゃくちゃ遅い。最初検知できなくて
後で送ってみたいなケースの場合は正直言って厳しい
(バスターやMicrosoftよりはるかに遅い)。
507 ：(^ー^*)ノ～さん ：08/03/14 11:23 ID:Iyd5R/kmO: >505.506

ありがとうございます
素直に再インスコします
508 ：(^ー^*)ノ～さん ：08/03/14 14:44 ID:Dte0SFCV0: 1つのFC2ブログに3匹もiframeを仕込んだ例(一部短縮URIを経由)
www■soracger■com/blog/
www■gamtyblog■net/wiki/
www■homepuon■net/blog/
↓iframe
www■caremoon■net/wiki/main.htm
↓MS06-014スクリプト
www■soracger■com/wiki/admin.exe
8日製造。
509 ：(^ー^*)ノ～さん ：08/03/15 03:46 ID:4KtTDZpn0: ガンスリスレに貼られていたもの。

｜375 ナリタレ New! 08/03/14 11:09 ID:xvHgBTuu0
｜RO イフリート戦
｜RO Ragnarok ラグナロク...RO Ragnarok ラグナロク
｜ttp://www■livedoorbloog■com/lin885/885■zip

カスペスルー。HIDDENEXT/Worm.Gen(AntiVir),Trojan.Inject.796(Dr.Web)
解凍すると入っているのは下記のファイル。何故か、解凍すると、AntiVirスルー…

->885.zip
-->mov000029.wmv.scr
--->013.exe
--->mov0023.wmv

新種っぽいので検体提出してきますね。
510 ：(^ー^*)ノ～さん ：08/03/15 10:33 ID:4KtTDZpn0: >>509

10:11 カスペより返答。次の定義更新で対応とのこと。
mov000029.wmv.scr_ - Trojan.Win32.Inject.aeu
511 ：(^ー^*)ノ～さん ：08/03/15 13:24 ID:ncFS/0bT0: lin886/886.zipもlin887/887.zipもある。撃墜。
512 ：にゅぼーん ：にゅぼーん: にゅぼーん
513 ：にゅぼーん ：にゅぼーん: にゅぼーん
514 ：(^ー^*)ノ～さん ：08/03/19 07:30 ID:nb5yj3Fr0: FFXI系のFC2ブログの偽装。
blog20fc2■com/ff11diary/
iframeは既出のinfosueek(略)。
515 ：(^ー^*)ノ～さん ：08/03/19 09:11 ID:6C1I9Ril0: どう考えても警察に出頭なんて気にはなれん！
ROよ５年間ｻﾝｸｽｸﾞｯﾊﾞｲ
516 ：(^ー^*)ノ～さん ：08/03/19 09:38 ID:S4sexCFy0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
517 ：(^ー^*)ノ～さん ：08/03/19 14:36 ID:E/nIV+2T0: >>509
うちのはてなダイアリな日記にも張ってあったので書いておく

Dr.マリオのメロで、「はじめてのともだち」【ヒャダイン】
ヒャダイン、11作目です。最初に謝っておきます、サーセンｗｗｗmixiのリクエストにドクターマリオがあ...
http://www■livedoorbloog■com/lin885/885■zip

こんな感じ。しかも本人が書き込んでいる。
はてなユーザーがログイン状態で他のはてなの日記に書き込んだら、ユーザーネームからLinkでその人のはてな日記に飛べる。

っhttp://d.hatena.ne.jp/Uncool/　　　←ここが配布元のサイトの模様、何せ日記にZIPはってる。
※↑ははてなダイアリのため垢ハックアドレスではありません、ご安心ください。
518 ：(^ー^*)ノ～さん ：08/03/19 18:22 ID:em6QsCyE0: 垢ハック・又は罠を踏んでから、OSの再インストールをせずにカスペル等で
駆除した後被害にあった報告って今までにありました？
519 ：(^ー^*)ノ～さん ：08/03/19 20:17 ID:pkeYl+BT0: >>518
ありました。再インストがんば
520 ：(^ー^*)ノ～さん ：08/03/19 20:29 ID:Lx5lyYJ80: たとえ今までなくても
これから間違いなく起こるであろう事例だな
521 ：(^ー^*)ノ～さん ：08/03/19 21:03 ID:em6QsCyE0: そうですよね
OSのCDなくしちゃって、買うか迷ってましたが買うことにします
522 ：(^ー^*)ノ～さん ：08/03/20 10:45 ID:I9JGKeR80: 【　　アドレス　】http://momohac■blog34■fc2■com/blog-entry-1■html
【気付いた日時】今日の10時過ぎ
【　　　 OS　　】 WindowsXP　SP2
【使用ブラウザ】 FireFox2.0
【WindowsUpdateの有無】自動更新時
【　アンチウイルスソフト】
【その他のSecurty対策】 Spybot、ルータ
【ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見等)
【スレログやテンプレを読んだか】今から読みます
【hosts変更】　無
【PeerGuardian2導入】　有
【説明】
RMC閲覧時、URLを踏んだところPGが反応+ブログ内容がおかしかった為

ソースチェッカーで調べたところ
インラインフレームタグにVBSスクリプトでttp://www■shagigi■net/navi/admin■exe
接続先が中国だったので一応報告。

念のためこれから再インストール行ってきます
523 ：(^ー^*)ノ～さん ：08/03/20 10:52 ID:QfCWB+lE0: >>522
同アドレスはセキュスレで報告例あり。１つのexeだが２種類入れられることに注意。
もろに発動させてPG2で水際阻止したみたいですね。念のためどころか、しっかりがっつり感染してます。

OS入れ直したら、PG2だけでなくセキュリティソフトもちゃんと入れとけ。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/52
524 ：(^ー^*)ノ～さん ：08/03/20 17:05 ID:vMNSN/130: ずっと前に踏んでたんじゃねーの?
いまどきのトロイは
>RODLL.DLL
こんなわかりやすい名前は付けない(あるいは囮)。
525 ：(^ー^*)ノ～さん ：08/03/20 18:14 ID:H6YOy+AK0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
526 ：(^ー^*)ノ～さん ：08/03/21 02:21 ID:yH1XR5bS0: ○○のひとつ覚えみたいに誘導URL貼り付けるバカがいるから
次からのタイトルは

【雑談・対策・相談は】アカハク情報集積・分析スレ【LiveROへ!!】

にしようぜ。
なまじ総合なんて付けるから色々書き込みされるって
ずっーと前から言われてるからな。

次にお前は｢ＬｉｖｅRoへの誘導URLを貼り付ける！！
527 ：(^ー^*)ノ～さん ：08/03/21 07:19 ID:a7FvJ+Go0: 公知書き写しスレでの突っ込み誘導は叩かれないのに、
なんでこっちだと
親の敵みたいに叩かれるんだろうな。

まあ>>526のタイトルには賛成。

あと誘導は

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/

これだけでいい気がする。
528 ：(^ー^*)ノ～さん ：08/03/21 15:00 ID:Yt9uSxT+0: 土日に向けて新種が大量に投下(あるいは更新)されているので注意。
例 ttp://www.virustotal.com/analisis/ac9b75b1bfca82b29a5801da2ff0aa36
主だったベンダには提出済み。
529 ：483 ：08/03/23 07:18 ID:ewN9Gn620: http://www.mmobbs.com/uploader/files/4447.jpg
１８日の定期メンテでアイテムZenyが復旧しました。
どのぐらい復旧されたか見た所、大体８割のアイテムは戻ってきていました。
Zenyはさすがに分かりません。
530 ：(^ー^*)ノ～さん ：08/03/23 14:27 ID:F9lx3zZZ0: dda3、hellhと同じ奴の新種
www■fccja■com
(スクリプトは省略)
www■fccja■com/com.exe
スルー多め。しかしこの手のはDr.WEB強いな
531 ：(^ー^*)ノ～さん ：08/03/23 16:33 ID:xgw+DUnZ0: >>530
捕獲した検体を、スクリプトも含め、各社に提出しときました。/(^^)

e.js -> d1.asp -> com.exe

d1.aspはVirusTotalで全部スルーされてました。
スクリプトの検知避けで、数値を直接キャラクタに変換せず、数値を演算してからキャラコードに直して書き出す形式。
書き出されたもの自体は幾つかのソフトが捕獲するようです。

ダウンローダで検体落とす時に、すんなり行った（PG2でブロックしなかった）と思えば、IPがUSでした。
PG2での防御避けか、他国にサイトをおいてありますが、今後は、送信先も他国に移行する可能性があるのかな。
本体そのものより、そっちに警戒が必要かも。
532 ：(^ー^*)ノ～さん ：08/03/25 00:22 ID:LwVKZiLL0: 【　　アドレス　】http://www■baldur■jp/kimoloader/src/kimo0903.jpg
【気付いた日時】 (感染？に気付いた日時) 昨日
【　　　 OS　　】 (SP等まで書く) XP sp2
【使用ブラウザ】 (バージョン等まで分かれば書く)　火狐 2.0.0.12
【WindowsUpdateの有無】 (一番最後はいつ頃か、等) 今月頭くらい
【　アンチウイルスソフト】ノートン先生 2004
【その他のSecurty対策】 (Spybot S&D、ルータ、等) ルータは有
【ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見等) 　スキャン中
【スレログやテンプレを読んだか】 (Yes/No/今から読みます) Y
【hosts変更】(有/無　[有りの場合は最終更新は何時ごろか])　有　昨年夏ごろ
【PeerGuardian2導入】(有/無 [有りの場合は参照元サイトはどこか) 有　リネ資料室
【説明】開いたら真っ白…なんとなく怪しく思えたので。
533 ：(^ー^*)ノ～さん ：08/03/25 00:22 ID:LwVKZiLL0: sage忘れた…失礼。
534 ：(^ー^*)ノ～さん ：08/03/25 00:46 ID:/OJK24Me0: ただの真っ白な画像だ
535 ：(^ー^*)ノ～さん ：08/03/25 09:09 ID:BiEtcRBs0: 【　　アドレス　】http://f13■aaa■livedoor■jp/~ragd/cgi/upld/img/191■jpg
【気付いた日時】1時間ほど前
【　　　 OS　　】WinXP SP2
【使用ブラウザ】IE6
【WindowsUpdateの有無】ごく最近。改めてチェックした所更新ファイルは無し
【　アンチウイルスソフト】KingsoftInternetSecurity
【その他のSecurty対策】無し
【ウイルススキャン結果】上記ソフトで完全スキャンの結果異常なし
【スレログやテンプレを読んだか】テンプレは読みました、スレログはアドレスで検索しました
【hosts変更】無し
【PeerGuardian2導入】無し
【説明】
リンクをクリックした所、表示不能マークが左上ではなく中央に出て
普通なら出ないはずのポップアップ（XP標準の機能によってブロック）が出ました。
直感的に不安を覚えソースチェッカーオンラインでチェックしたところ、
どうやらjpg形式は偽装で中身はhtml構文らしく、
リンクが内部的に「www■zhangweijp■com」にアクセスが繋がっている事が分かりました。
調べてみたところリネージュ中心の垢ハックサイトと言う事のようです。
ページを開いた際にはウィルスをガードした旨のウィンドウは表示されませんでした。
画像の投稿日時が2007年3月と古いものなので正常に動作しているかわかりませんが、
心配なので相談させていただきます。
536 ：(^ー^*)ノ～さん ：08/03/25 10:23 ID:eV0jorpO0: >>535
ttp://www■zhangweijp■com/t1swm/index■htm
ttp://www■zhangweijp■com/jpg/005■jpg

ご想像の通り、サイズ0のiframeで別のサイトを呼び出し、偽装画像を表示するものですね。
ドメイン失効の為にファイル自体は存在しなくなって、ドメイン管理業者のサイトが表示されて
いるようです。今回は、>>535記載のアドレスに関しては、踏んでも実害はなかったと思われます。

テンプレ >>6 の、応用にある設定をお勧めします。

｜　・偽装jpg対策(IE7とIE6SP2限定。IE6SP1以前では出来ない)
｜　　：インターネットオプション→セキュリティ→レベルのカスタマイズ
｜　　　→「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする
537 ：(^ー^*)ノ～さん ：08/03/25 15:02 ID:eV0jorpO0: セキュスレに相談のあったアドレス。様々な手法でro.exeを呼び出そうとしている。

ttp://www■exbloog■com/7112888/

ttp://www■exbloog■com/7112888/Ms06014■htm
ttp://www■exbloog■com/7112888/Ms07004■js
ttp://www■exbloog■com/7112888/Ms06046■htm
ttp://www■exbloog■com/7112888/ani■c
ttp://www■exbloog■com/7112888/ani■asp?id=1314
ttp://www■exbloog■com/7112888/Xunlei■htm
ttp://www■exbloog■com/7112888/StormII■htm
ttp://www■exbloog■com/7112888/Yahoo■htm

ttp://www■exbloog■com/7112888/ro■exe

ani.asp : Exploit.Win32.IMG-ANI.n
ani.c : Exploit.Win32.IMG-ANI.n
index.htm : Trojan-Downloader.HTML.IFrame.dv
Ms06014.htm : Trojan-Downloader.JS.Psyme.kf
Ms06046.htm : Exploit.HTML.Ascii.ai
Ms07004.js : Trojan-Downloader.JS.VML.a
ro.exe : Trojan.Win32.Inject.aad
StormII.htm : Exploit.JS.Agent.aw
Xunlei.htm : Trojan-Downloader.JS.Small.ft
Yahoo.htm : Exploit.HTML.IESlice.z

ro.exe のVirustotal結果
ttp://www.virustotal.com/reanalisis.html?3de452449ad5742bc14acaeee128c233
538 ：(^ー^*)ノ～さん ：08/03/25 15:31 ID:9HX5OvbF0: inject系ってことは2ch22■comと同じ系統かぁ。
539 ：(^ー^*)ノ～さん ：08/03/25 18:01 ID:eV0jorpO0: 2ch22ってなんだっけと思ってぐぐったら、結構な数のBlogにコメントspamで撒かれてたのね。
（.comを入れるとサイトを直接開こうとするので、ぐぐるの危険）

ついでに同じBlogで見掛けたのも、ついでに全部拾ってみた。

ttp://www■2ch22■com/2ch00356/00356■zip
ttp://www■2ch22■com/2ch00358/00358■zip
ttp://www■2ch22■com/2ch00359/00359■zip
ttp://linainfo■net/movie/mov0028■zip
ttp://www■lineagecojp■com/movie/mov0028■zip
ttp://www■playenline■com/ff11/index/mov■zip

00356.zip : Trojan.Win32.Inject.ado
00358.zip : Trojan-PSW.Win32.OnLineGames.sfa
00359.zip : Trojan-PSW.Win32.OnLineGames.lbb
mov0028.zip : Trojan.Win32.Inject.zo
mov.zip : Trojan-Spy.Win32.Agent.avp
540 ：(^ー^*)ノ～さん ：08/03/25 19:43 ID:9HX5OvbF0: >（.comを入れるとサイトを直接開こうとするので、ぐぐるの危険）
これは無い。Googleツールバーとかの仕業じゃね?
541 ：(^ー^*)ノ～さん ：08/03/26 09:47 ID:FXIdMXGw0: www■bluewoon■com/Blog/k1.exe
www■skywebsv■com/Blog/k1.exe
同一ホスト
542 ：(^ー^*)ノ～さん ：08/03/26 10:01 ID:/8JK83MJ0: >>541
また差し替えか。3/17に拾った検体と中身が違うようだ。

->k1.exe
-->f2.exe
-->gawezuki.exe

gawezuki.exe : Trojan.Win32.Inject.akb
f2.exe : Trojan-PSW.Win32.OnLineGames.vxq

3/14版(3/17に拾った)は、Trojan.Win32.Inject.aex。
3/11に拾った奴は、中身が「gawezuki.exe/f111.exe」で検出名が「Trojan-PSW.Win32.OnLineGames.tge/Trojan.Win32.Inject.adj」
543 ：(^ー^*)ノ～さん ：08/03/26 10:11 ID:FXIdMXGw0: >>542
うむ。同じ系統でk2もある。
www■coconlovely■com/Blog/k2.exe
544 ：(^ー^*)ノ～さん ：08/03/26 13:25 ID:/8JK83MJ0: >>543
なるほど。昼前の入手時点ではこいつはカスペすり抜けてたが、今は検知するな。
しかし、よく見付けてくるものだと感心するよ。GJだ。

Trojan.Win32.Inject.ajx : k2.exe//data0000.cab/hotgome.exe
Trojan-PSW.Win32.OnLineGames.vxq : k2.exe//data0000.cab/f3.exe//PE_Patch//UPack
545 ：(^ー^*)ノ～さん ：08/03/26 13:32 ID:FXIdMXGw0: >>492 と同じなので監視対象にしてるんだけど
bluewoonは初めて見たなーと。

入手先はやっぱりサーパラブログ。利用者が少ないので
ttp://blog.surpara.com/blogList.html
で新着全部見てiframe探してるとすぐ見つかるｗ
利用者が恐ろしく多いFC2クラスになるとやってらんないけど。
546 ：(^ー^*)ノ～さん ：08/03/26 16:49 ID:/8JK83MJ0: >>545
なるほど、おもしろい方法だ。参考になったよ。
547 ：(^ー^*)ノ～さん ：08/03/27 03:16 ID:PX9du1DS0: 【　　アドレス　】http://www5■uploader■jp/user/tane/images/tane_uljp00326■jpg
【気付いた日時】先ほど
【　　　 OS　　】Windows XP SP2
【使用ブラウザ】FireFox
【WindowsUpdateの有無】最後は先週ごろ
【　アンチウイルスソフト】 Macfee
【その他のSecurty対策】 Spybot S&D
【ウイルススキャン結果】検出されず
【スレログやテンプレを読んだか】 Yes
【hosts変更】　有
【PeerGuardian2導入】　有
【説明】
トロイ？というレスがあったので。
548 ：(^ー^*)ノ～さん ：08/03/27 08:04 ID:T3+LltHm0: セキュ板から持ってくんなよ。
ブラクラの類だからあっちに持ち帰ってくれ。
549 ：(^ー^*)ノ～さん ：08/03/27 10:25 ID:T3+LltHm0: >>541-543 のk1、k2含め20匹ほど更新されているのを確認。
550 ：(^ー^*)ノ～さん ：08/03/27 12:12 ID:QcACWMi90: 先日垢ﾊｯｸを受け、それが救済されたのですが、
一連の流れを参考になるようにお伝えしたら、
私の他にも助かる人が出てくるかもしれないと思うのですが、
そういうのをまとめていたり、投稿？出来る場所はあるでしょうか。
垢ハックまとめサイトさんにはそういうのが無かったように思えますが…

スレ違いと感じられたらスルーして頂ければ。
551 ：(^ー^*)ノ～さん ：08/03/27 13:44 ID:YJBQrF2m0: LiveRO
セキュリティ対策、質問・雑談スレ
552 ：(^ー^*)ノ～さん ：08/03/27 15:45 ID:368tmXtn0: まった、LiveROはログが流れた場合消えてしまう
具体的事例でもある事だし、こっちにもなんらかの跡は残して欲しい
LiveROで仮発表して、向こうで文章量を煮詰めてからこっちに転載とかでもいい
とにかくLiveROだけで終わらせるのは止めてくれ
553 ：(^ー^*)ノ～さん ：08/03/27 15:58 ID:PFiru0yl0: >>552

向こうのログ
つhttp://sky.geocities.jp/vs_ro_hack/
差分
つhttp://common.ragna.info/?rosafe_log

一応有志が残してるから気にしなくていいと思う
554 ：(^ー^*)ノ～さん ：08/03/27 16:22 ID:rqtj/8lU0: >>550
投稿はセキュスレに行われることが多いが、こちらでもいい。

スレの趣旨からして、出来たら、ここに書いてくれるとうれしい。
555 ：550 ：08/03/27 17:25 ID:QcACWMi90: >>551-554
上記の方の流れを見る限り、一応こちらで書いた方が良さそうなので、
少し文章を推敲して来ます。
当然必要であればLiveROの方にも転載OKと言うことで。

あまり長くならないようにしますが、長かったらすみません。
少々お待ち下さい。
556 ：550 ：08/03/27 18:48 ID:QcACWMi90: 以下に、アカウントハッキング被害から救済されるまでの一連の流れを紹介します。
ケースバイケースのところもあると思うので、必ずしも同じような流れになるとは限りませんが、
一例と言うことで、他の方々への参考になれば幸いです。

----------------------------------------
01：2月某日にアカウントハックの被害を受けました。
　　この際偶然私はプレイ中だったので、即座に対応に移ることが出来ました。
02：パスワードの変更を試みましたが、キャラクターパスワードはアカウントハック者によって変えられていた為不可能でした。
　　ログインパスワードの方は公式サイト(ガンホーゲームズ)の方で変更しました。
03：ガンホーゲームズのヘルプデスクに被害届を出しました。
　　この際、すぐにゲーム内で私のアイテムを露店で売り出しているキャラを発見したので、その旨も追加で報告しました。
04：翌日、ガンホーの方でアカウントハッキングについて調査を行うとの返答がありました。
　　しかし、ガンホーに任せきりなのは不安だったので、すぐに警察に電話をすることにしました。
05：ガンホーからの返答を受けた翌日、電話で警察に連絡しました。
　　しかし、土日だった為にすぐに警察には動いてもらえず、また、私自身の仕事の都合もあって詳細は後日確認することに。
06：後日、所轄の警察の生活安全課の方と電話で簡単な経緯確認しました。また、今後の方針についても確認しました。
　　内容としては次の通りになります。
　　・いつ被害を受けたか
　　・どの程度の被害を受けたか
　　・被害を救済して欲しいかどうか
　　・犯人の逮捕をどうするか、などです。
07：所轄の警察に出頭要請を受けたので、改めてに警察へ出頭しました。
　　そこで、被害に至までの経緯や今後について詳細を確認、打ち合わせなどを行いました。
　　ここで警察に正式に捜査を依頼したことになります。

- ここまでで基本的に私の対応は終わりになり、以下警察とガンホーの対応になります -
557 ：550 ：08/03/27 18:49 ID:QcACWMi90: 08：警察が、ガンホーに事件の詳細を説明し、捜査協力を要請。(私が警察に話をした事です)
　　ガンホーも協力に応じることを約束してくれます。
　　また、この時点で「不正アクセスによる被害であった場合に限り」データの復旧をしてもらえることを確約してもらっています。
09：警察が、事件のあった日付前後のアクセスログをガンホーに要請。
　　私のケースでは2ヶ月分程度のアクセスログを要請したようです。
　　ガンホーからの解答は、アクセスログは膨大で特定の人間(アカウント)の物だけを抜き出すのには時間が掛かるとの事。
　　また、更に公的機関(警察)への提出文書として体裁を整えるのにも時間が掛かるとの事。
　　この部分が一番時間的に掛かる場所のようです。
10：アクセスログが届くまでの間、警察の方はROの実情、他鯖などの情報、他のアカウントハックに関しての情報、
　　露店の相場etcetc、細かい情報を集めていました。
11：約20日後、アクセスログの解答がガンホーより到着。
　　正確なデータ量は公開出来ませんが、印刷すると2ヶ月分のデータでコピー用紙4,000枚ほどになるらしいです。
　　実際はエクセルか何かかな？のデータだったようですが。
12：アクセスログを閲覧したところ、私の普段接続するIPアドレス以外からのアクセスを、合計6件確認出来ました。
　　これは全て同じIPアドレスからのアクセスでした。
　　なお、私はネットカフェや他人の家などからのログインが一切無かった為、不正アクセス者のIP割り出しが早く出来たようです。
　　ネットカフェなど、複数の場所からログインしている方は、ここで更に時間を食ってしまう事になるかもしれません。
13：アクセスログの不審アクセスは、最初が1月某日に1回で、次が実際にアカウント内アイテムを盗んだ日に5回。
　　1月の件は恐らくアイテムなどの財産の下見では？　というのが警察の分析です。
　　5回と言うのは、アカウントハックされている際に私が自分のアカウントに入り直しなど行った為、
　　相手もやり返しを行った為、回数が増えています。
14：不審アクセスを行っているIPを調べたところ、プロバイダの特定に至ります。
15：更に捜査を進めたところ、東京にある某企業のIPである事が判明します。
　　しかし企業からアカウントハッキングをしたとは考えにくいので、更にIPに関して調査を進めます。
558 ：550 ：08/03/27 18:50 ID:QcACWMi90: 16：調査の結果、中国にある日本向けのプロキシのIPらしい事が、中国の2chのような掲示板に書かれていたようです。
　　中国のサイトだった為、翻訳に少々手間取ったようですが、間違いなく日本向けのプロキシであることが判明しました。。
　　この時点で相手が中国である為、犯人の検挙は出来ない事になりました。
17：不正アクセスのIPをガンホーに照会し、そのIPからどの程度のアクセスがあったかのアクセスログを依頼しました。
18：ガンホーからの解答として、不正アクセスのIPからのアクセスが、160アカウントにもなることが判明。
　　そのうちの数個は自分のアカウントと思われるので、それを除いた約150アカウントが私と同様の被害にあったと予想されました。
19：中国からの不正アクセスであることがほぼ立証出来た為、警察からガンホーの方に私のデータを復旧するよう依頼。
　　ガンホーからの確認項目として以下の点を確認された模様です。
　　・他人にアカウント情報を貸与したりしていないかどうか。
　　・ウィルス対策ソフトはインストールしていたかどうか。
　　・また、ウィルス対策ソフトのパターンファイルは最新版だったかどうか。
　　・その他、不正アクセスにつながるような行為をしていないかどうか。
20：警察が上記確認項目に問題なしとガンホーに通達した為、ガンホーの方で3/13の17:30付けで、
　　アイテムの復旧を行う事をヘルプデスクに返信していました。

- 以下、警察の方との経緯の確認など -

21：ヘルプデスクに返答が来た翌日、警察から電話が来て簡単な経緯を教えてもらいました。
　　また、実際に警察に出頭し、細かい経緯(上記説明)を受けました。
27：ガンホーにアイテム復旧するよう依頼しました。
　　復旧には1～2週間掛かり、かつ復旧のタイミングは基本的に定期メンテの際に行うとの事。

28：約1週間後、アイテムの復旧を確認しました。
　　アイテムの復旧方法は以下の通りでした。
　　・Zenyは全額復旧。ただし、アカウントハック者が倉庫をあけるのに利用した額は補償されません。
　　・装備は全て、武具とカードが分離された状態で復旧。
　　・精錬値はそのまま復旧されました。
　　・属性武器だけは、精錬値同等の店売り武器になりました。
　　　よく聞く名無しの属性武器にはなりませんでした。
559 ：550 ：08/03/27 18:50 ID:QcACWMi90: 長々となってしまいましたが、上記が報告→調査→解答→復旧の流れになります。
順番が前後してしまいましたが、重要な点を挙げておきますと

・ガンホーのヘルプデスクだけではガンホーは殆ど動きません。
　必ず警察に連絡しましょう。
・警察は、いわゆるサイバー犯罪担当の方がベストではありますが、
　地方の方などでサイバー犯罪担当が居ない場合は、私のように生活安全課が担当になるかもしれません。
・警察に出頭する際、捜査費用は基本的に掛かりません。
　警察に行く手間や移動費は当然自己負担ですが。
・日頃からアカウントハッキングに対する対策をしておくことが重要です。
　アンチウィルスソフトなどが入っていないなど、自己防衛の意識に欠けると判断された場合は、
　捜査は行われても、アイテムの補償はされない可能性があります。
・出来るだけ接続箇所(プレイ場所)を少なくすることが、早期解決への道になります。
　ネットカフェ、知人友人の家、学校や会社などからの接続がある場合、
　それらのIPを逐一照会しなくてはならないので、時間が掛かるようになります。
・あまり書くべきではないでしょうが、他人にアカウントを貸与しているような場合は、
　捜査の段階でそれらが露見する可能性があります。
　最悪の場合、アカウントBANに発展する可能性もあると思います。
・犯人検挙に関しては、相手が日本国内の在住であった場合に限り可能なようです。
　外国からの接続は、現在の日本の法整備では対処のしようがないようです。
　また、犯人検挙に関しても、アカウントハッキングの被害者は基本的にガンホーになるので、
　(ガンホーのサーバー内のデータが荒らされた、と見なされるため)
　ガンホー自身が承諾しない場合は、犯人検挙には結びつかない事もあるようです。

以上で、私のケースの紹介になります。
長々となってしまい、申し訳ありませんでした。
ただこれが、別の方の参考になれば幸いです。
長文、連投失礼致しました。
560 ：550 ：08/03/27 18:54 ID:QcACWMi90: あ、最後になりますが。
上記の文は、LiveRO他、基本的にどこでも転載OKですので、
必要な際に自由に利用して下さい。

ただ、一部で故意に垢ハックされて装備とCを分離しようというような動きがあるようですが、
必ずしもアイテムが補償されるわけではないですし、故意にそのようなことを行うのは
非常に問題だと思われますので、それらを含む悪用には使わないようお願い致します。
561 ：(^ー^*)ノ～さん ：08/03/27 19:23 ID:SBtc1PqX0: 【不審なアドレスのクリックの有無　】 http://nicowiki■com/howtomovie■htmlに15時ごろアクセス
【OS】 Windows XP SP2
【使用ブラウザ】 Opera 9
【WindowsUpdateの有無】今週
【　アンチウイルスソフト】ウイルスバスター2008 Updateは3/27（時刻不明）
【その他のSecurty対策】ルータ経由
【ウイルススキャン結果】検出されず
【スレログやテンプレを読んだか】今から読みます
【hosts変更】有りだが、数ヶ月前
【PeerGuardian2導入】無
【Webヘルプデスクへの報告】無
【説明】
上記サイトのリンク先がhttp://www■skywebsv■com/Blog/であり、表示が白紙であることからソースコード確認、
iFrameがあったことからマズイと判断し、起動中のROを終了、
ネットワークケーブルを引っこ抜いてウイルススキャンするも検出されず。
ネットワークケーブル抜いたままいったん再起動後、再度スキャン中。
現在は別のPCから書き込み中。
直近のログ
>>541-542
にもあるようで。。。
感染しているかどうか判別したいので相談させていただきます。
562 ：(^ー^*)ノ～さん ：08/03/27 19:51 ID:rqtj/8lU0: >>561
感染しているかどうかは、>>541-542辺りでカスペが検出可能であることが書かれているので
「差し替えられていなければ」カスペでスキャンすればわかる可能性が高いです。

バスターで検出可能かは、献体を持っている人がバスターのオンラインスキャンをかければわかります。
563 ：(^ー^*)ノ～さん ：08/03/28 03:45 ID:xs/Gf7Rl0: 当方ウイルスバスターユーザーでトレンドマイクロに>>541の検体を提出し、
パターンファイル5.189.00(3/27昼アップデート)での検出を確認しています。
しかし、現在ダウンロードできるものは検出しないため、差し替えられた可能性大です。

>>541検体回収＆提出日時
3/26 12:08
564 ：(^ー^*)ノ～さん ：08/03/28 07:13 ID:O3hXW84h0: 差し替えは >>549 入れ違いになったねｗ
565 ：561 ：08/03/28 09:53 ID:kWZHsqTB0: 経過報告。
朝の時点でカスペルスキーのオンラインスキャンで検出されず。
再インストールの時間が割けないため、該当PCをネットワークから切断して様子見。
しばらく経ってもう一度カスペのオンラインスキャンをかけようかと。
なお、561時点のパターンファイルが5.187.00、20:14に5.189.00にアップデートでした。。。
566 ：(^ー^*)ノ～さん ：08/03/28 10:05 ID:O3hXW84h0: Operaだから罠スクリプトが動かなかったんじゃないか?
567 ：(^ー^*)ノ～さん ：08/03/28 11:05 ID:/0FSiuw30: ゲーム中に発覚したからあれだろうけど
>>550の件も、RO関係しか触れてないけど
並行して他の情報も抜かれたりしないの？

それともROに限定したバックドアなら作りやすいってことなのかな？
568 ：(^ー^*)ノ～さん ：08/03/28 11:11 ID:O3hXW84h0: FFXIのジョブ板に爆撃されたもの

www■falurl■com/
temateman■com/
www■6828teacup■com/
www■yahddjp■org■cn/bo-boka/a220899a.jpg
www■yahddjp■org■cn/2cnf1/assdo/1203585309085.jpg

全て
www■k5dionne■com/ma/
www■k5dionne■com/ma/xia.exe

Kaspersky Trojan-Downloader.Win32.Delf.dsz
Dr.WEB Trojan.PWS.Gamania.6603
569 ：561 ：08/03/28 11:33 ID:kWZHsqTB0: >>566
割とそれに期待。マイナーなOperaのマイナーさを頼りに・・・
正直、無理に取ったリフレ休暇を再インストに使いたくはないorz
570 ：(^ー^*)ノ～さん ：08/03/28 11:38 ID:O3hXW84h0: >>569
もー。見てきた。
MDACのActiveXコントロールの脆弱性狙いだから
IEでしか動かんよ。
571 ：(^ー^*)ノ～さん ：08/03/28 12:58 ID:yK/lnLIl0: 普段バスター2008を使ってるんだけど、試しにカスペのオンラインスキャン掛けたら
ウィルスが1個引っかかった。
system volume informationの中にあるっぽいんだけど、バスターじゃ処理できないし、
個別に削除してやろうと思ったらファイルが表示されない。
そもそもぐぐっても英語のサイトで、roに関係あるウィルスかは分からないんだけど…
どうしたらいいでしょうか？

以下カスペで検出した際のログのコピペ
D:\System Volume Information\_restore{BD271FAB-74A3-41F7-A6E5-AAA9D401697E}\RP49\A0009514.EXE/stream/data0019 感染: not-a-virus:AdWare.Win32.Gator.3202 スキップ

D:\System Volume Information\_restore{BD271FAB-74A3-41F7-A6E5-AAA9D401697E}\RP49\A0009514.EXE/stream 感染: not-a-virus:AdWare.Win32.Gator.3202 スキップ

D:\System Volume Information\_restore{BD271FAB-74A3-41F7-A6E5-AAA9D401697E}\RP49\A0009514.EXE NSIS: 感染 - 2 スキップ

D:\System Volume Information\_restore{BD271FAB-74A3-41F7-A6E5-AAA9D401697E}\RP86\change.log ロックされていますスキップ

G:\System Volume Information\MountPointManagerRemoteDatabase ロックされていますスキップ

G:\System Volume Information\_restore{BD271FAB-74A3-41F7-A6E5-AAA9D401697E}\RP33\A0003524.exe/stream/data0019 感染: not-a-virus:AdWare.Win32.Gator.3202 スキップ

G:\System Volume Information\_restore{BD271FAB-74A3-41F7-A6E5-AAA9D401697E}\RP33\A0003524.exe/stream 感染: not-a-virus:AdWare.Win32.Gator.3202 スキップ

G:\System Volume Information\_restore{BD271FAB-74A3-41F7-A6E5-AAA9D401697E}\RP33\A0003524.exe

なお、DドライブとGドライブはミラリング…でもないけど、バックアップで時々同期してるから
恐らく同一ファイルのはず。
対処方法あったらよろしくお願いします。
572 ：(^ー^*)ノ～さん ：08/03/28 13:00 ID:O3hXW84h0: Gator踏んだのか。アカハック関係ないのでググってね。
ちなみにSystem Volume Informationはシステムの復元の時にしか使わないので
復元しないなら放置でおっけ。
573 ：(^ー^*)ノ～さん ：08/03/28 13:02 ID:yK/lnLIl0: あ、ちなみにファイルが表示されないと言うのは
sysvolume～が表示されないのではなくて、
{BD271～以下略\RP33\　の中でA0003524.exeのみ表示されないです。
そのほかのファイルは表示されてるようです。
574 ：(^ー^*)ノ～さん ：08/03/28 13:02 ID:xTF+ruD70: >>517
その手の一般的なセキュリティについてはセキュスレへどうぞ
書いてあるとおりに、アドウェアで、ウイルスではないので、消さなくても構わない。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
575 ：(^ー^*)ノ～さん ：08/03/28 13:11 ID:yK/lnLIl0: >>572,574
垢ハック関係なかったってことで安心したよ。
後でもう少し調べて見ます。
ありがとうございました。
576 ：561 ：08/03/28 13:24 ID:kWZHsqTB0: >>570
確認Thanks
先頃もっかいカスペでスキャンしたが感染無しでした。
ありがとうございました。
577 ：(^ー^*)ノ～さん ：08/03/29 13:30 ID:wUl6oFc40: >2にある
>・リネージュ資料室 (応用可能な情報が多数)
>　http://lineage.nyx.bne.jp/
が、3/29付で移転しております。
ttp://lineage.paix.jp/
に、自動で転送されますが、PeerGuardian2用リストは登録し直しが必要になるそうです。
578 ：(^ー^*)ノ～さん ：08/03/29 14:42 ID:70aOROei0: >577
当然ながら、hostsリストもアドが変更になってる。

特にhostsRenew使ってて、更に自動更新かけてる人は必ず設定の変更を。
BSWikiさんのリストを組み込んでたり、hostsAppend=0にしてたらまだ平気だけど
デフォ設定のままだと、ごっそりと情報が欠落することになる。
579 ：(^ー^*)ノ～さん ：08/03/29 14:45 ID:70aOROei0: って、重要な話なので、ageときます
580 ：(^ー^*)ノ～さん ：08/03/29 16:16 ID:BhUqmq+C0: www■gamerost■com/
(略)
www■gamerost■com/npceok.exe
581 ：(^ー^*)ノ～さん ：08/03/30 16:06 ID:4aQKC+mK0: ｜1 尾崎 New! 08/03/30 14:35:06 ID:PjqA86Ad
｜（カブキ忍者）ブローチ（小龍舞）ブレッシング１０速度増加１０ハイスピードポーション AGI10料理 DEX10料理使用...RO アサクロ AX ASPD 190
｜www■livedoor-bbs■com/pics0216/0216■zip

鯖板に立てられていたスレから。

カスペ検出名：Trojan.Win32.Inject.aiv
582 ：(^ー^*)ノ～さん ：08/03/30 17:19 ID:XV9To9iG0: ttp://uk.groups.yahoo.com/group/Mp3_Ringtones_from_Ringtones_World/

↑のアドレスって垢ハク？

どこかに判断識別サイトってなかったっけ？
583 ：(^ー^*)ノ～さん ：08/03/30 17:21 ID:30IInOwT0: そういうスレじゃねーからここ
584 ：(^ー^*)ノ～さん ：08/03/30 17:22 ID:csTynZLH0: >>582
「 . 」を「■」に変えてください。
とりあえず、削除依頼に行ってきて下さい。
585 ：(^ー^*)ノ～さん ：08/03/30 17:22 ID:um7r45Ds0: 1を死ぬまで読み返して来世で質問しろ
586 ：(^ー^*)ノ～さん ：08/03/30 17:24 ID:4aQKC+mK0: >>582
まずは、管理板@MMOBBSに削除依頼を。

・ここは鑑定スレではない
・ソースチェッカーオンラインなら>>7
・危険かもしれないアドレスを■への置き換えなしで貼り付ける行為は削除対象
・相談などはテンプレにて
587 ：(^ー^*)ノ～さん ：08/03/30 17:29 ID:4aQKC+mK0: >>580
あー、検体拾ってフォルダに格納する際に（指が震えたのか…ダブルクリック扱いに…）発動させました。orz

慌ててカスペをアクティブにしたところ、C:\WINDOWS\Debug\0C9C4681802F.dll が検知されました。
反面教師な、発動させた時の報告でした。（再起動時に削除し、除去完了）

即刻削除した為に、データの送信先は未確認です。

検出名は、Trojan-PSW.Win32.Magania.imm。検出されたDLLも検体として保存しましたが、exeと同じ検出名でした。
588 ：(^ー^*)ノ～さん ：08/04/01 22:01 ID:Yjdb7tZ/0: 目の前で垢ハック露店に並んだレアな品々が一気に買われていった
何か切なくなった
589 ：(^ー^*)ノ～さん ：08/04/02 01:37 ID:jyy2mltz0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
590 ：(^ー^*)ノ～さん ：08/04/04 21:35 ID:F/sn0v+o0: >>589のようなｱﾌｫが重要な情報を埋めてしまわないように
とっとと埋めてタイトル変えようぜ
591 ：(^ー^*)ノ～さん ：08/04/04 21:57 ID:5U68yTrB0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
592 ：(^ー^*)ノ～さん ：08/04/06 18:42 ID:fVrHMNfX0: PSU-Wikiで採れたて。
www■skywebsv■com/Blog/
-> www■skywebsv■com/Blog/index1.htm
--> www■bluewoon■com/Blog/k1■exe

昨日の時点でVirusTotalの履歴あり。
ttp://www.virustotal.com/jp/analisis/93ef9a0ebe73e332549056baf065dcf7
593 ：(^ー^*)ノ～さん ：08/04/09 20:16 ID:wLkYeswI0: バッジョ 2008/04/09 14:53
おっくせんまん - Ver.☆ (Anime)
てます。動画のアニメはDNAという人が作ったものを使わせていただきました。「DNAのどうRO」
http://www■exbloog■com/7112888/000029■zip

ｳｳﾞｧｰ('A
594 ：(^ー^*)ノ～さん ：08/04/09 20:59 ID:pt9EcMtV0: >>593
カスペで類似も全部撃墜。
000027の検出名は、2/25に検体提出したものと同じでした。この辺は、入れ代わっていないかも。

ttp://www■exbloog■com/7112888/000029■zip
ttp://www■exbloog■com/7112887/000028■zip
ttp://www■exbloog■com/7112886/000027■zip
ttp://www■exbloog■com/7112885/000026■zip
ttp://www■exbloog■com/Ragnarok/roeng■zip

Trojan-PSW.Win32.Delf.ads : 000026.zip/000026.wmv.scr//data.rar/013.exe
Trojan-PSW.Win32.OnLineGames.sfa : 000027.zip/000027.wmv.scr//data.rar/013.exe
Trojan-PSW.Win32.QQPass.xw : 000028.zip/000028.wmv.scr//data.rar/013.exe//UPack
Trojan.Win32.Inject.aad : 000029.zip/mov000029.wmv.scr//data.rar/013.exe
Trojan.Win32.Inject.aad : roeng.zip
595 ：(^ー^*)ノ～さん ：08/04/16 03:07 ID:pCfHgaLf0: ここでも何度か報告例のあったSURPARA BLOG、いよいよiframeタグの一時的な使用停止に乗り出した。
ttp://blog.surpara.com/staffblog/archive/2008/04/48875.html
>こちらの改修により、IFRAMEタグ及びそれに囲まれた範囲の文書は確認画面の段階で消去されます。
>後日、許可されたドメインに向けたものに限りIFRAMEタグを利用できるよう改修を行う予定です（ドメインの許可方法等に
>つきましては後日改修時に告知致します）。

未だにiframeを透過してしまう同業他社サービスも、これに追随するようにユーザーが働きかける流れが出来れば幸いと思い、
あえてこちらに書く。

# 一般的な対策ではなく、コンテンツプロバイダに対しての啓蒙運動みたいなものだし。
596 ：(^ー^*)ノ～さん ：08/04/16 13:13 ID:Q6/4PDFF0: NOD32アンチウイルス体験版て期限切れたらまた入れなおして使ってもok？
597 ：(^ー^*)ノ～さん ：08/04/16 13:16 ID:jYvVWh+Q0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
598 ：(^ー^*)ノ～さん ：08/04/17 01:31 ID:hlIIq9ty0: 3分で糞レス返すなんてどんだけ暇なんだｗｗｗｗｗｗｗｗｗｗ
休日なら休め！　ニートなら仕事探せ！
599 ：(^ー^*)ノ～さん ：08/04/17 07:23 ID:O0CvWP9J0: BOTだと思おうぜ
600 ：(^ー^*)ノ～さん ：08/04/17 09:12 ID:wmQbZk390: Nice bot.
601 ：(^ー^*)ノ～さん ：08/04/17 09:57 ID:tk0Umh170: >>598-601
>テンプレ　もしくは >>597
602 ：(^ー^*)ノ～さん ：08/04/17 12:17 ID:RWXyg3JT0: >>601
>>600
603 ：(^ー^*)ノ～さん ：08/04/20 12:59 ID:9K1VGOkx0: カスペのオンラインスキャンでウイルスなし
SpyBOTでいくつか見つかって削除
ハックウイルスだった可能性ってありますか？
名前めもらずに消してしまったので不安です
604 ：(^ー^*)ノ～さん ：08/04/20 13:36 ID:fdIj/7Jj0: つ[フォーマット再インスト]
605 ：(^ー^*)ノ～さん ：08/04/20 13:39 ID:kGGgKmna0: Spybotはトラッキングクッキーに代表される
「それ自体は無害だけど悪用される可能性も否めない」要素も多数検出するし
大丈夫なんじゃないか、と予想までは出来るが

さんざん言われてるとおりスレ住民では大丈夫か否かの保証は不可能
606 ：(^ー^*)ノ～さん ：08/04/20 13:58 ID:RSnMln8C0: 名前メモらずって時点でわかるわけがない
607 ：(^ー^*)ノ～さん ：08/04/20 14:21 ID:yt8BA4Xi0: >>603
そういった「漠然とした」質問は、次回からセキュスレでお願いします。

ウイルスとスパイウェアの違いを理解するようにおすすめします。アカハックに利用されるトロイの木馬は
ウイルスの１形態です。wikipediaのスパイウェアの項目の中に「スパイウェアとコンピュータウイルスの違い」と
いう項目がありますので、参考までに読んでみてください。

Wikipediaより
コンピュータウイルス
http://ja.wikipedia.org/wiki/%E3%82%B3%E3%83%B3%E3%83%94%E3%83%A5%E3%83%BC%E3%82%BF%E3%82%A6%E3%82%A4%E3%83%AB%E3%82%B9

スパイウェア
http://ja.wikipedia.org/wiki/%E3%82%B9%E3%83%91%E3%82%A4%E3%82%A6%E3%82%A7%E3%82%A2
608 ：(^ー^*)ノ～さん ：08/04/20 14:37 ID:XgYtVoVx0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
609 ：(^ー^*)ノ～さん ：08/04/20 18:58 ID:sIMAMXhj0: Nice bot.
610 ：(^ー^*)ノ～さん ：08/04/20 23:19 ID:EaTOsuLN0: Nice bot.
611 ：(^ー^*)ノ～さん ：08/04/21 00:04 ID:jIxisESX0: >>603
最近のトロイの流行のひとつに
役割を終えたら自動消滅するといったスパイ大作戦的なものがあるので
カスペで調べた時点で検出されなかったから安全とは言いがたい
612 ：(^ー^*)ノ～さん ：08/04/21 02:25 ID:AOVZrPwe0: 最近はmixiにまで垢ハックコメくるんだなぁ・・・
613 ：(^ー^*)ノ～さん ：08/04/21 02:37 ID:Q8sABQkM0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
614 ：(^ー^*)ノ～さん ：08/04/21 04:32 ID:eyJyO6Zi0: Nice bot.
615 ：(^ー^*)ノ～さん ：08/04/21 10:49 ID:pWZBJ/m10: ちょっと前に大流行(414151や2117966やnmidahena)した
iframe・scriptの続き。

aspder.com 2008-04-11
www■aspder■com/1.js
-(略)→www■worldofwarcraftn■com/xp.exe

nihaorr1■com 2008-04-11
www■nihaorr1■com/1.js
-(略)→www■nihaorr1■com/test.exe
616 ：(^ー^*)ノ～さん ：08/04/24 23:56 ID:Z+pymAZF0: カスペルスキーオンラインスキャンでTrojan-Downloader.Win32.Zlob.lpsが検出された…
ググっても情報でてこないんですが、垢ハックの可能性高いですかねぇ
617 ：(^ー^*)ノ～さん ：08/04/25 00:17 ID:gvJa8Kpf0: Zlobはネトゲアカハックではないね。
動画のcodecを装ってエロサイトなんかに仕込まれてる。
618 ：(^ー^*)ノ～さん ：08/04/25 01:35 ID:XHi/azmZO: >>616
この変態め
619 ：(^ー^*)ノ～さん ：08/04/25 02:01 ID:8yR6+AKH0: 酷いこと言うなあ。
Nintendou64エミュに混入させる例もあるようですよ。
620 ：(^ー^*)ノ～さん ：08/04/25 09:09 ID:gvJa8Kpf0: この割れ厨め
621 ：(^ー^*)ノ～さん ：08/04/25 09:44 ID:HQ02sG9e0: Nintendou（笑）
622 ：(^ー^*)ノ～さん ：08/04/26 16:08 ID:mjKQ7ofN0: 深淵の騎士子アプロダにあるファイルを順番に見ていたら
cPanelとかいうサイトに飛んだんだが、なんぞこれ？

http://f26■aaa■livedoor■jp/~fianel/up/abys/up/abys243■jpg
623 ：(^ー^*)ノ～さん ：08/04/26 16:26 ID:rKvsbZtE0: >>622
ネトゲのアカハックではないが、フィッシングサイト用ゾンビPCを増やすための罠リンク入りだった模様。
飛び先のexeファイル自体は消されている様子。

RBL.jpでの解説。
ttp://www.rbl.jp/phishing/index.php?mode=show&date=20070906
624 ：(^ー^*)ノ～さん ：08/04/26 16:34 ID:HiDAHseA0: 初めまして。
テンプレのwikiとかみても全然判らない素人ROプレイヤーです。

今日家のパソコンを久しぶりに赤傘でスキャンしたら↓のウィルスが
ROのフォルダから発見されてしまった・・・orz

TR/Rootkit■Gen

半年もチェックを怠けてたのがまずかった。
deleteしたんだけど、RO機動する度に赤傘が反応するんだ。
これってHDDフォーマットからOS入れ直しした方が良いんだろうか？
ガチムチな兄貴達、アドバイスをお願いします。
625 ：(^ー^*)ノ～さん ：08/04/26 16:41 ID:4Zc+d4D00: ガチムチの兄貴もいないし、テンプレ,も埋めずに質問する奴にまともな回答が貰えると思うな。
なんというファイル名に反応してるのかもわからないで回答できるかよ。

多分、AntiVirがnProをルートキットとして検知してるんだろう。自己責任でどうぞ。
安心したければ、OS入れなおしと複数のスキャンエンジンでの検索を。
626 ：(^ー^*)ノ～さん ：08/04/26 17:43 ID:mjKQ7ofN0: >>623

アカハックではないようですね。
安心しました。ありがとうございます。
627 ：(^ー^*)ノ～さん ：08/04/26 22:14 ID:pF6kwUDa0: とか言いながらちゃんと答えてる625にほれた
dump_wmimmc.sysが誤認されてるんだと思うが
赤傘っていうとAAVだよな？
俺も同じ環境で反応してる
が、もう1台のPCは無反応なので恐らく誤認だろう
それでも心配ならクリーンインストール(AAｒｙ
用心することに越した事はないからな
628 ：(^ー^*)ノ～さん ：08/04/27 10:41 ID:fGqc4FQT0: >>625さん、627さん
回答ありがとう！
どうも627さんと同じ状況みたいです。
そっかnPROTECTだったんですね、勉強不足ですいません。
これで安心して家でＲＯがやれます、ありがとうございました。
629 ：(^ー^*)ノ～さん ：08/04/27 13:22 ID:UPbizE4f0: nProは普通にスパイウェアみたいなもんだからな
検出されても仕方ない
ROのプログラムを組み直して、nPro使わないようにできないものかなぁ
630 ：(^ー^*)ノ～さん ：08/04/27 16:40 ID:2ThQYIvr0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
631 ：(^ー^*)ノ～さん ：08/04/27 17:12 ID://Qr58uQ0: Nice bot.
632 ：(^ー^*)ノ～さん ：08/04/30 03:34 ID:63Z+SRzx0: www■jplineage■com
→ www■jplineage■com/ss.exe
scriptはMDACのみの素直でシンプルなタイプだけど
exeはRO、Lineage、FFXI、mixiの複合アカウントハック。製造は23日。
exe ttp://www.virustotal.com/analisis/d07236e9f1459a7ae55db8194900985a
dll ttp://www.virustotal.com/analisis/9ba5abc79fe0fb41a95494eb0d9b84fd
avast、Norton、McAfee、Microsoft、バスターなどに提出済み。
633 ：(^ー^*)ノ～さん ：08/04/30 19:59 ID:63Z+SRzx0: www■yyjjoopp■com/abc.exe
これも同じ系統。
634 ：(^ー^*)ノ～さん ：08/05/01 15:36 ID:AxQmABJVO: 渋谷の某ネカフェいってきたけど垢ハック仕込んであったので渋谷行くやつ注意な
635 ：(^ー^*)ノ～さん ：08/05/01 16:22 ID:dI2fZJ2I0: >>634
このスレは「具体的事例」推奨なので、きちんと名称を挙げるべし。
また、アカハックが仕込んであったと断定した根拠もきちんと提示すること。

そうでなければ、根拠のない噂や風評扱いしかできない。

ガセネタでないと言うのであれば、アカハックが仕込まれていたと判断した手法を「セキュスレで」説明してくれないだろうか。
636 ：(^ー^*)ノ～さん ：08/05/01 16:56 ID:DJmcwruM0: ネカフェ関連の情報交換ならここがいいよ
http://enif.mmobbs.com/test/read.cgi/livero/1209449748/
ハック関連もそうだけど他にも色々情報交換されてるから
あとは言われてるように詳しくね
637 ：(^ー^*)ノ～さん ：08/05/01 17:11 ID:LVQG6iVW0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
638 ：(^ー^*)ノ～さん ：08/05/01 21:01 ID:r95z3fNB0: >>637
　>>631
639 ：(^ー^*)ノ～さん ：08/05/05 16:25 ID:lZQ3uzqH0: すいません質問なんですが
最近垢ハック露店がよく出ているので、心配になり今日カスペ6.0でスキャンをしたら
トロイのTrojan-PSW.Win32.WOW.elってのが出てきました・・危なそうなんで削除してパスを全部変えておいたんですが
これってやはり垢ハックウィルスなんでしょうか？
どこで踏んだかも全然見覚えがないんです。
いつも友達のブログやにゅ缶くらいしか見ないので＞＜
640 ：(^ー^*)ノ～さん ：08/05/05 16:30 ID:BzR54dhd0: ＞＜
641 ：(^ー^*)ノ～さん ：08/05/05 16:31 ID:nnjo0ukT0: (　ﾟ∀ﾟ)<ﾌﾟｯﾌﾟｰ
642 ：(^ー^*)ノ～さん ：08/05/05 16:38 ID:0eYI3fCR0: >>639
>>4のわかる範囲だけでも最低限埋めろ
あとは聞くだけじゃなく少しは自分で調べろ

煽るだけの馬鹿も自重しろ
643 ：(^ー^*)ノ～さん ：08/05/05 17:01 ID:w02o79oc0: ここぞとばかりに、馬鹿といいたいだけの方もお呼びじゃないのです＾＾；
644 ：(^ー^*)ノ～さん ：08/05/05 17:37 ID:j1n+kFD20: > 友達のブログ

そのBlogに変なURLが書いてあったり、
そこからのリンク先を見たりしなかったのかね？

ttp://www.viruslistjp.com/viruses/encyclopedia/?virusid=130036

対処方法も書いてあるし、とりあえずよく読んでやっとき。
645 ：(^ー^*)ノ～さん ：08/05/05 19:44 ID:lZQ3uzqH0: >>644
そうします。
変なURLは踏んでいないんですが、あと友達のブログもすべてソースチェッカーしてみましたけど
それっぽいのは出ませんでした
心当たりがあるとしたら、今日飛行船のルートを調べようと検索したとき
見たことないWikiがひかかってそれを見たことくらいです
内容は普通のWikiでしたけど・・・
646 ：(^ー^*)ノ～さん ：08/05/05 21:31 ID:eG+mJvRc0: >>637
その書き込み自体が必要な情報を埋めていることに気がついて欲しい

ここから本題、FC2ブログの足跡機能にご注意ください
本物のブログとアドレスを似せた偽物のブログを作成し、内容をコピーし
他人のブログに足跡を残す事例が見られます
ソースチェッカーにかけたところインラインフレームの記述はないですが
ソースを見るとインラインフレームで別ページを開いていました
647 ：(^ー^*)ノ～さん ：08/05/05 21:47 ID:Wbnqdr8R0: 被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
648 ：(^ー^*)ノ～さん ：08/05/05 21:51 ID:j1n+kFD20: Nice bot.
649 ：(^ー^*)ノ～さん ：08/05/05 22:18 ID:dkFhp0Lz0: お前>>646の１行目しか読んでないだろｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ
650 ：(^ー^*)ノ～さん ：08/05/05 22:28 ID:dAMbvrRI0: 誘導を装った嵐の相手するなよ…
651 ：(^ー^*)ノ～さん ：08/05/06 01:38 ID:bqNtW90d0: 同じようなもので、livedoorのブログのIDと同じものをFC2に作成し
内容の一部をコピペして本人を装った罠ブログが存在します

アドレス等は(元のブログ主の)晒しに該当すると思われるので
少々危険ですが割愛させていただきます
ちなみに、Googleの検索では1件目に本人、2件目に罠がかかりました

Livedoorなど、他のブログを利用されている方は罠に使用されていないか
ブログ名で検索をかけ、FC2のブログにコピーされていないか確認をお願いいたします
FC2のブログを利用されている方は、むやみに足跡の追跡をしない方が良いと思います
652 ：(^ー^*)ノ～さん ：08/05/06 04:24 ID:bqNtW90d0: 元のFC2ブログ(個人を特定できる為割愛)
　→　ttp://tinyurl■com/6722xv
　→　ttp://tinyurl■com/preview.php?num=6722xv
　　(このあたり不明)
　→　ttp://www■articlelin■com/blog/
　→　ttp://www■panslog■net/wiki/index1.htm
　→　ttp://www■teamerblog■com/wiki/cer.exe

McAfeeのウイルス情報だとPWS-Mmorpg.gen
> PWS-MmorpgはBorland Delphiで作成され、人気のあるオンラインMMORPGゲームの
> パスワード情報を盗み出そうとするトロイの木馬です。
> 盗み出した情報をリモートWebサイトにポストする機能も組み込まれています。
653 ：(^ー^*)ノ～さん ：08/05/07 18:30 ID:Qu7j+rKw0: http://yaplog■jp/■■■■0327/
っていうアドレスがmixiに張られてて
クリックしちゃったんだけどヤプログだったら別に垢ハックじゃなくて大丈夫？
中身もblogだったんだけど
654 ：(^ー^*)ノ～さん ：08/05/07 18:49 ID:CcUdl1fw0: >653
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

最低限テンプレに沿ってくれないとどうしようもない。
その書き方じゃエスパーじゃない限り回答できない。

１つだけ言うなら「○○だから安全」なんて事は無い。
大手のサイトやアンチウィルスメーカーのサイトがクラックされて
罠を仕込まれた事だって過去何回もある。
655 ：(^ー^*)ノ～さん ：08/05/07 19:00 ID:HH1fEY7Q0: ３倍期間でネカフェ利用した奴でハックくらった奴いないか？
656 ：(^ー^*)ノ～さん ：08/05/07 20:11 ID:3plA0eJw0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
657 ：(^ー^*)ノ～さん ：08/05/07 20:23 ID:5T3xSVhe0: Nice Bot.
658 ：(^ー^*)ノ～さん ：08/05/08 06:53 ID:oP+tEemS0: ヤプログでもアカハックブログあるみたいですよー
どこどこだから大丈夫とか100％の安全の保障はないので
自己責任で確認しましょう
ていうか確認できる知恵を身につけましょう
659 ：(^ー^*)ノ～さん ：08/05/08 12:42 ID:ohALz1Ob0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
660 ：(^ー^*)ノ～さん ：08/05/08 12:51 ID:D8hD0YGg0: >>659
>>657
661 ：(^ー^*)ノ～さん ：08/05/09 22:16 ID:Q2i2302W0: mixiのコメント

｜【RO】HiPriがペアでDL【HiPri】
｜
｜またDLなんだ、すまない。音声ノイズやらアイテムウィンドやらしょんぼりな動画です。
｜しかもまたエコノミー涙目だけど我慢してね。
｜http://www■sakerver■com/~iroha-do/RO/ROMOVIE/theme-10004812497■zip

zipの中身：Trojan.Win32.Inject.aix
662 ：(^ー^*)ノ～さん ：08/05/11 13:00 ID:G/+dAriG0: ＞質問スレから誘導されてきた人

まずは、自宅からパスワード変更して、それ以上の被害を防ぐ事。

あとは、公式のここを見るんだ。他の人の事例は、セキュスレの過去ログを読むといいよ。
http://www.ragnarokonline.jp/playguide/hacking/
663 ：(^ー^*)ノ～さん ：08/05/11 16:08 ID:UbpVhb280: >質問スレから誘導されてきた人

できればネカフェ関連スレにそのネットカフェの店名を教えて欲しいです

公認ネットカフェ関連スレッド3【ネカフェ】
http://enif.mmobbs.com/test/read.cgi/livero/1210178607/

でも今はそれどころじゃないかもしれないかな・・
664 ：(^ー^*)ノ～さん ：08/05/11 18:14 ID:hZejAlzh0: どんなリンクを踏む時もハックか？と疑っておけ
「戦場では慎重くらいが丁度いいンだよ」とダークナイトの人が言ってた
665 ：(^ー^*)ノ～さん ：08/05/11 18:59 ID:UGG7B0Bc0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
666 ：(^ー^*)ノ～さん ：08/05/11 22:53 ID:7DC1r+b40: >>665
>>657
667 ：(^ー^*)ノ～さん ：08/05/12 09:34 ID:9skvCatN0: このスレ見てる人は全員セキュリティ対策、質問・雑談スレ5の540以降を読みに行って欲しい。
スレの存続に関わる重要なことだ。
668 ：(^ー^*)ノ～さん ：08/05/13 06:38 ID:KCzxoALw0: Infected: Trojan program Trojan-PSW.Win32.WOW.arz C:\WINDOWS\system32\LoveFly.dll 36.5 KB

どこで踏んだかは今から探すがAVSが感知した
669 ：(^ー^*)ノ～さん ：08/05/13 14:08 ID:3KMSeH9O0: ブログに見知らぬコメントがあって最初は放置してたんだけど
よく見るとＵＲＬが貼られていました

www■lyjpyx■com/boy/

怪しかったので一応消しておきましたがやはり垢ハックでしょうか？
670 ：(^ー^*)ノ～さん ：08/05/13 14:12 ID:/iHPOARE0: Domain name: lyjpyx■com

Registrant Contact:
　 wuwei Network
　 wei wu wuwei2556052@yahoo.cn
　(略)
　 long yan Fujian 364000
　 cn
671 ：(^ー^*)ノ～さん ：08/05/13 15:10 ID:9vNY4GfW0: >>669
うん。
物はRO・リネージュ・FF・mixiの4種複合アカハック。
672 ：(^ー^*)ノ～さん ：08/05/13 15:18 ID:5n8jgL9U0: >>669
でも、ここは、鑑定スレじゃないってことも覚えておこうね。
673 ：(^ー^*)ノ～さん ：08/05/13 15:54 ID:ryqnT8B10: 新しくでたブログパーツって、
パーツ貼ってあるブログにランダム訪問なんだよね。
罠blogに貼られたら危なくない？
674 ：(^ー^*)ノ～さん ：08/05/13 16:29 ID:OLiH3suV0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
675 ：(^ー^*)ノ～さん ：08/05/13 21:28 ID:803LoA8v0: >>674
>>648
676 ：(^ー^*)ノ～さん ：08/05/15 21:17 ID:yfGu3Gcc0: 誘導に見せかけた荒らしがまだいるんだな
677 ：(^ー^*)ノ～さん ：08/05/15 21:26 ID:lzwxq9FT0: ここ数ヶ月インジェクションされているURIを集めてみました
(上に行くほど新しい)。死活チェックはしていません。

www■adword71■com
www■wowgm2■cn
www■wow112■cn
www■wowgm1■cn
www■killwow1■cn
9i5t■cn
www■kisswow■com■cn
www■wowyeye■cn
www■ririwow■cn
www■caocaowow■cn
www■direct84■com
www■11910■net
computershello■cn
winzipices■cn
www■nihaorr1■com
www■aspder■com
www■nmidahena■com
www■414151■com
www■fccja■com
www■hellh■net
www■dda3■net
www■2117966■net
yl18■net
c■uc8010■com
ucmal■com
free■hostpinoy■info
xprmn4u■info
bbs■jueduizuan■com
free■edivid■info
www■z008■net
www■bluell■cn
www■pkck■cn
usuc■us
h28■8800■org
b15■3322■org
678 ：まとめ臨時 ◆kJfhJwdLoM ：08/05/16 04:04 ID:W5gQDi0+0: 情報ありがとうございます。
早速抜け落ちている部分を追加しました。

照合する際にFFXI(仮)というブログに行き着いたのですが、
FF関連も確認している方なのかな…とか。

リネージュ２関連やFF関連で
ここのようなアカウントハック対策の最前線スレをご存知であれば
そちらの方もチェックしてみたいので是非教えていただきたく。
679 ：(^ー^*)ノ～さん ：08/05/16 05:14 ID:yptqHu080: >>678
ネ実1(FFXI)
●● RMT業者の垢ハックが多発している件19 ●●
http://live27.2ch.net/test/read.cgi/ogame/1210116788/

リネ2に関しては、資料室が代表格になっているので、他にこれというべき情報は無いかもしれない。
680 ：(^ー^*)ノ～さん ：08/05/16 12:43 ID:YTXXOpnV0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
681 ：(^ー^*)ノ～さん ：08/05/16 18:50 ID:SiCTqLDm0: 【　　アドレス　】不明
【気付いた日時】今日の14時ころ
【　　　 OS　　】Windows Vista
【使用ブラウザ】IE7
【WindowsUpdateの有無】自動更新
【　アンチウイルスソフト】 NortonInternetSecurity2007、最新まで更新済み
【その他のSecurty対策】なし
【ウイルススキャン結果】カスペルスキーオンラインスキャンで発見
【スレログやテンプレを読んだか】 Yes
【hosts変更】
【PeerGuardian2導入】無
【説明】
パソコンは旦那と共有で使っています。
普段はノートンのスキャンをしていて、週末や多くブログ見た時だけカスペのスキャンしていました。
ノートンの方では反応しなかったのですがカスペの方で下の結果が出ました。

C:\Users\PC名\AppData\Local\Temp\symlcsv1.exe
Trojan-Clicker.Win32.Agent.aig

別のパソコンからパスの変更を終えて垢が無事なのは確認しました。
上のウィルスがROの垢ハックなのか知ってる人がいたら教えていただきたいです。
また削除してカスペのスキャンで感染がなくなってたらリカバリは必要ないでしょうか？
682 ：(^ー^*)ノ～さん ：08/05/16 19:05 ID:J6UupXqf0: セキュスレ向きな内容なので簡単に。

Trojan-Clicker は特定のサイトのカウンタを回すトロイ。
どちらかと言えばスパイウェア。
アフィ稼ぎみたいな奴で　基　本　的　にはハクとは無関係。

しかしハク機能を持ってるかどうかは不明だし、他にも未検出の
トロイがいるかもしれない。

検出出来たものは駆除出来ても、検出出来ない物は駆除出来ない。
駆除して100%無害であるとは誰も保証できない。

なので、検出結果を信用して駆除して安心するか、念には念を入れて
リカバリをするか、は好きな方を選べばいい。
683 ：まとめ臨時 ◆kJfhJwdLoM ：08/05/16 19:39 ID:Ia5vrROC0: >>682さんが回答しているので補足？として。

カスペ検索で見つかった現物と該当名のファイルが同じかは判りませんが、
とりあえず単純にGoogle先生で検索を掛けると
ノートン2007で自動生成されるファイルのとのこと。
起動時に勝手に作るそうです。詳しくは上記URL参照。

●デジタルわかめ "ノートン2007が生成するsymlcsv1.exe"
ttp://blitzkrieg.paslog.jp/article/612531.html

Googleで検索する癖をつけるとよいかもですね。
684 ：まとめ臨時 ◆kJfhJwdLoM ：08/05/16 19:56 ID:Ia5vrROC0: >>679
情報ありがとうございます。
あちらで危険ドメインを早期に取得できるようであれば拾ってきます。
リネージュ資料室さんはいつも手早く拾ってきていらっしゃるので、
どこかそのような場所があるのかなと気になっていたのです。

そしてリスト更新しました。→　http://sky.geocities.jp/ro_hp_add/
685 ：(^ー^*)ノ～さん ：08/05/16 20:48 ID:UfGuTnCaO: >>682>>683
レスありがとうございます。
後付けなので先に書けばよかったと激しく後悔したんですが
Trojan～をgoogleで検索したんですが英語サイトのみでROに繋がらず
カスペのウィルス名検索(？)でもヒットしなかったので書き込ませていただきました。
本当にありがとうございました。
686 ：(^ー^*)ノ～さん ：08/05/17 16:38 ID:TpoRdpFA0: どうしよう
REDSTONEというネトゲのしたらばに書いてあったURLに
エロ単語が入ってたからつい入っちゃって・・・
で、書いてたURLと違うURLが表示されてたんだけど
これってよくあるパターン？
再インストールしないといけないかな・・・
687 ：(^ー^*)ノ～さん ：08/05/17 16:39 ID:TpoRdpFA0: あ、ここってラグナロク板のスレだったのか。スマソ
688 ：(^ー^*)ノ～さん ：08/05/17 18:29 ID:MMLxYGfy0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
689 ：(^ー^*)ノ～さん ：08/05/20 02:16 ID:QXU0ajFu0: スレ違いだったらすまん。

ttp://yaplog■jp/lmhtmy/
知り合いのブログのコメントから↑のブログに行ったんだが
AntiVirが何度も反応したんだ。
んで仲介してる（？）アドレスを調べたら、発信源は中国と出たんだ。
（こいつ→ttp://www■wacacop■net/wiki/index1■htm）
こいつは垢ハックウイルスを落とさせようとしてるサイトでいいんだろうか？

ブログを書いてる知り合いに注意を呼びかけたいと思うんで、どうなのかを知りたい。
無知ですまん。
690 ：(^ー^*)ノ～さん ：08/05/20 02:18 ID:HPYbAYFu0: まずは"wacacop"でこのスレを検索するところから始めようか
691 ：(^ー^*)ノ～さん ：08/05/20 02:42 ID:aF7yzAC+0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
692 ：(^ー^*)ノ～さん ：08/05/20 03:06 ID:NZCtfbYw0: >>689
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/606-
スレ違いではないけど南無
693 ：(^ー^*)ノ～さん ：08/05/20 10:12 ID:0wY639Cb0: タイトルとテンプレを見ても何をするためのスレなのかいまいち
分かりにくいから、スレ違いとかでてきちゃうんだろうなぁ。
694 ：sage ：08/05/20 11:17 ID:z/vNdz/U0: 【　　　気付いた日時　　　　　】5月19日
【不審なアドレスのクリックの有無　】No
【他人にID/Passを教えた事の有無】No
【他人が貴方のPCを使う可能性の有無】Yes
【　　ツールの使用の有無　　　】No
【　ネットカフェの利用の有無　　　】Yes
【　　　 OS　　】WindowsVista HomeEdition
【使用ブラウザ】IE
【WindowsUpdateの有無】No
【　アンチウイルスソフト】Kaspersky Internet Security 7.0
【その他のSecurty対策】No
【ウイルススキャン結果】ウィルスは発見できませんでした。
【スレログやテンプレを読んだか】Yes
【hosts変更】No
【PeerGuardian2導入】No
【Webヘルプデスクへの報告】Yes
【説明】
19日ＲＯにログインしようとするも、アトラクションパスワードが変更されており、ＲＯにログインすることができませんでした。
アトラクションセンターにログインし、アトラクションパスワードを変更後、ＲＯにログイン。
アイテムをチェックしたところ、約３０種類程のアイテムとＺｅｎｙが一部がハックされていました。
ＰＣが１台しかない為、ウィルス感染したと思われるＰＣでＲＯにログインしました。
その後ガンホーに通報し、友人に頼み友人のＰＣからガンホーＩＤ、パスワード、アトラクションパスワード、キャラクターパスワードの
変更をしてもらいました。
その後は１度もＲＯ、アトラクションセンターにログインしておりません。
この後すぐにＰＣはメーカーに引き取って貰い、クリーンインストールしてもらう予定です。
スキャンしてもウィルスがみつからない為、クリーンインストールした後ＲＯにログインしても大丈夫かどうかすごく不安です・・・。
695 ：(^ー^*)ノ～さん ：08/05/20 11:37 ID:ve66P2Iq0: >694
南無……

>【　ネットカフェの利用の有無　　　】Yes
>【　アンチウイルスソフト】Kaspersky Internet Security 7.0
>【ウイルススキャン結果】ウィルスは発見できませんでした。

ネットカフェからROやアトラクションセンターに入った事があるなら
そこで漏れた可能性が高い気がする。

知人にPASS変更してもらったと言うことなので、その知人のPCが安全なら
これ以上の被害は出ない。

>スキャンしてもウィルスがみつからない為、クリーンインストールした後
>ＲＯにログインしても大丈夫かどうかすごく不安です・・・。

クリーンインストールをした時点で、PC内部からウィルスは(居たとしても)
消えてる。
別ドライブに残ってても発動はしないので、即ウィンドウズアップデートして
アンチウィルスソフト入れて、チェックすればOK。

それと
>【WindowsUpdateの有無】No
これは非常にマズイ。
自分のPCから感染したかどうかは定かじゃないとはいえ、WUは毎月必ずしないとダメ。

後、アカハックは立派な犯罪なので、警察に被害届を。
警察からじゃないと癌は動かない。

それとまとめ臨時の人の所(>9)に、警察への通報から救済までのレポが
載ってるので一読を。
696 ：(^ー^*)ノ～さん ：08/05/20 11:52 ID:gWrmPH5T0: ＞【他人が貴方のPCを使う可能性の有無】Yes
むしろここも問題では？…
ID･パスまで知られてるかどうかはわからないけど。
697 ：(^ー^*)ノ～さん ：08/05/20 11:54 ID:z/vNdz/U0: >695さん
丁寧に有難うございます。
書き忘れていたのですが、ネカフェから帰宅後、自宅のＰＣでパスワード変更を行いました。
ですので何かしらのウィルスに感染していると思われます・・・。
WindowsUpdateはよくわからなかったので今までやっていなかったのですが、今後はきちんとやろうと思います。
アンチウィルスソフトはカスペ以外にも入れておいた方が良いのでしょうか？

また、一、二度友人のPCからROにログインしたことがあるのですが、友人宅のブロバイダ名が分からなかった為、
通報の際に友人宅のブロバイダ名を入力しなかったのですが、友人宅に警察が捜査に行くことになる、ということはあるのでしょうか？

少々テンパっていて文章がおかしいかと思いますがすいません・・・。
698 ：(^ー^*)ノ～さん ：08/05/20 11:55 ID:iqeGDvW10: その他人が家族なのか、本当に他人なのかだな
699 ：(^ー^*)ノ～さん ：08/05/20 11:57 ID:z/vNdz/U0: 追記です。
>696さん
家族とPCを兼用ですが、ROのIDパスワードは誰にも教えていないし、保存もしていないので
家族の誰かがROをやるということは不可能です。
自分以外の誰かが垢ハックを踏んでしまっていたらそれまでですが・・・。
700 ：(^ー^*)ノ～さん ：08/05/20 12:07 ID:0wY639Cb0: GungHo-IDとpassが割れたらゲームアカウントのセキュリティは皆無です。
どの場面でそれを入力する機会があったか思い出してください。
701 ：(^ー^*)ノ～さん ：08/05/20 12:08 ID:ve66P2Iq0: ちょいと情報整理

A)ネカフェ利用時の状況
　　1.ROをプレイ
　　2.アトラクションセンターもログイン
　　3.パスが絡むものは何もなし

B)帰宅後のパス変更について
　　1.ROのパスを変更
　　2.アトラクションセンターのパスも変更
　　3.その他ネカフェで使った他のパスワードも変更

C)友人宅でROを遊んだ時の状況
　　1.アンチウィルス対策は万全
　　2.セキュリティには無頓着で何もしてない

D)パス変更を頼んだ友人は
　　1.Cと同じ人
　　2.Cとは別人で、セキュリティ万全
　　3.Cとは別人で、セキュリティには無頓着

>アンチウィルスソフトはカスペ以外にも入れておいた方が良いのでしょうか？
複数入れると干渉して不安定になりがちなので、一度アンインストールしてから
別のを入れる、という形になる

念のため、パターンを更新して再度カスペでHDD全チェック。
次にカスペを消して、AVGあたりを入れて再度チェック、かな。
702 ：694 ：08/05/20 12:19 ID:z/vNdz/U0: 返信ありがとうございます。
>A)ネカフェ利用時の状況
　　>1.ROをプレイ
　　>2.アトラクションセンターもログイン
　　>3.パスが絡むものは何もなし

ネカフェからアトラクションセンターにログインし、パワーアップチケットの入力、１Dayチケットの入力をしました。

>B)帰宅後のパス変更について
　　>1.ROのパスを変更
　　>2.アトラクションセンターのパスも変更
　　>3.その他ネカフェで使った他のパスワードも変更

ROにログインする為に必要なパスワードしか変更していませんでした。

>C)友人宅でROを遊んだ時の状況
　　>1.アンチウィルス対策は万全
　　>2.セキュリティには無頓着で何もしてない

ウィルスバスターが入っていたと思います。
バージョン等は覚えておりません。

>D)パス変更を頼んだ友人は
　　>1.Cと同じ人
　　>2.Cとは別人で、セキュリティ万全
　　>3.Cとは別人で、セキュリティには無頓着

Cとは別の人です。
ただ、セキュリティソフトは何が入っているかわかりませんが、入っていたと思います。

>700さん
そうだったんですか・・・。
ネカフェから帰ってROログインに必要なパスワードしか変更していなかったのがいけなかったんですねorz
703 ：(^ー^*)ノ～さん ：08/05/20 13:50 ID:XD2h5pY20: >>694,702
ネカフェからの利用履歴があるみたいだけど、LiveROのネカフェスレで推奨されていた事前チェックはどの程度行っていたかな。
具体的には、利用開始時に手動でのシャットダウン、環境復元ソフトの正常動作確認、何らかのウイルススキャン、利用終了時の
手動シャットダウンなど。

それと、利用時点でのレシートが手元に残っているならば、それも今後の追跡調査で必要になるかもしれない。
何らかの「仕込み」が行われていた場合に、状況特定に繋がる可能性がある事に加え、自宅以外からの接続点を明確に限定する
材料にもなるから。
704 ：(^ー^*)ノ～さん ：08/05/20 14:19 ID:ve66P2Iq0: >702
感染源がネカフェと断定された訳じゃない。
あくまでも状況分析のために聞いただけ。

カスペで再チェック＋他のアンチウィルスソフトでもチェックして、トロイが見つかれば
自PCが感染源だった、で終わる話。
しかし、もし見つからなかった場合は他で抜かれたことになる。

つまり、ROを遊んだ友人のPC、又はネカフェが感染してる可能性が高いという事に。
705 ：694 ：08/05/20 14:40 ID:z/vNdz/U0: 返信ありがとうございます。
>703さん
環境復元ソフトの正常動作確認、利用終了時の手動シャットダウンは行いました。
ウイルススキャンは時間がかかりすぎてしまう為、行いませんでした。
（環境復元ソフトが正常に動作していた為、大丈夫だろうと思いました。）
利用時のレシートは手元に残っておりません。

>704さん
カスペで再チェックをしましたが、ウイルスは発見できませんでした。
ROを遊んだ友人のPCですが、その友人も一緒にROをプレイしているのですが、被害はないそうです。

また、今分かった事なのですが、２～３か月程前に私がログインできない状況なのに、
ROに一瞬ログインしたことが何度かある、という話をその友人から聞きました。
当初はネカフェにでも行ってROをしているのかな？と思っていたらしいです。
ですので、もしかしたら結構前にどこかでウイルスに感染している可能性があるかと思います・・・。

警察の方にはきちんと通報し、調査依頼を出すことにします。
PCのクリーンインストールが終わり、手元に戻ってきたらガンホーへの通報に対する返信を確認し、
サイバー犯罪対策センターに電話してみようと思います。
706 ：694 ：08/05/20 15:47 ID:z/vNdz/U0: 追記です。
avast!でスキャンをかけてみましたが、やはりウイルスは発見できませんでした。
自宅のPCではなくネカフェでガンホーID、パスワードを抜かれたんですかね・・・？
とにかくヨドバシに行ってPCリカバリーをお願いしてきます。
707 ：(^ー^*)ノ～さん ：08/05/20 16:23 ID:ve66P2Iq0: ・以前、どこかでパスを抜かれた
・その後数ヶ月泳がされてた
・どうやら自分のPCからの流出ではなさそう
という事なら

>ROを遊んだ友人のPCですが、その友人も一緒にROをプレイしているのですが、被害はないそうです。

その友人のPCも疑う対象になる。
今も泳がされてるだけ、って可能性が無きにしも非ずなので、念のためにその友人にも
HDDをフルチェックしてもらい、確実に安全と言える環境からパスを変更してもらった方が
いいと思う。

もしその友人のPCも綺麗だったら、ネットカフェが原因って事になるだろうけど
利用してる店が複数あるなら厄介な事に。
708 ：694 ：08/05/20 16:26 ID:z/vNdz/U0: 返信ありがとうございます。
>・以前、どこかでパスを抜かれた
>・その後数ヶ月泳がされてた
>・どうやら自分のPCからの流出ではなさそう

多分この状況だと思います。
友人のPCもウイルスチェックしてもらいます。
ネカフェは３件の店でROにログインしたことがあります。
709 ：(^ー^*)ノ～さん ：08/05/20 17:56 ID:YkSEbAsH0: これを機に再インストールくらい自分でできるようになろうぜ
710 ：(^ー^*)ノ～さん ：08/05/21 21:31 ID:Bzh5Pj//0: 中３、高１男子がオンラインゲームに不正アクセス
ttp://sankei.jp.msn.com/affairs/crime/080521/crm0805212011027-n1.htm
711 ：(^ー^*)ノ～さん ：08/05/21 22:59 ID:AxAm/g4q0: 被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
712 ：(^ー^*)ノ～さん ：08/05/22 01:32 ID:n52tVv5g0: >>711
>>600
>>609
>>610
>>614
>>631
>>648
>>657
713 ：(^ー^*)ノ～さん ：08/05/22 01:41 ID:5BqqbrRQ0: http://enif.mmobbs.com/test/read.cgi/livero/1205488101/540-566
714 ：(^ー^*)ノ～さん ：08/05/22 10:00 ID:7Itg5rj70: 朝からごめん、助けてほしい……

【　　アドレス　】www3■atwiki■jp/furin/　だと思う……
【気付いた日時】 5月22日09時前後
【　　　 OS　　】 XPPro SP2
【使用ブラウザ】 IE6.0
【WindowsUpdateの有無】有　自動更新任せ
【　アンチウイルスソフト】 Avast!4.7？
【その他のSecurty対策】 SpyBot＋ルーター
【ウイルススキャン結果】
　カスペオンラインスキャンで
C:\Program Files\Hudson\MasterOfEpic\cgMoEDrv.dll
が
Backdoor.Win32.Rbot.psr
に感染しているらしい。
【スレログやテンプレを読んだか】 YES
【hosts変更】
【PeerGuardian2導入】無
【説明】
上記のURLの更新一覧から、最新更新分（5月20日洗面鬼）をクリックした所、
本文が何も書いていないページが出現した。
更新忘れかと放置したものの、動作がやけに重いので、不安になってチェックをかけてみたら、ROとは違うMMOのファイルがウィルスとして出てきた。
（上のMOEはかれこれ半年以上触ってもいない）
毎晩寝る前にスキャンをしていて、昨日の時点では出ていなかったので、今日中に踏んだっぽい。

上の結果を見てすぐに、携帯のPCサイトビューアーからID・アカウントパスを変更したんだが、
Backdoorというウィルスの種類はあっても、Backdoor.Win32.Rbot.psrなんてウィルスはぐぐっても出てこないんだorz

垢ハックなのかも不明だけど、感染ファイルが格納されている\Hudsonごと削除すれば問題ないのかな(´･ω･`)
715 ：(^ー^*)ノ～さん ：08/05/22 10:12 ID:L7LozTmd0: cgMoEDrv.dll でググる
716 ：714 ：08/05/22 11:46 ID:7Itg5rj70: >>715
ググってきた。

＞409 ：名無しオンライン：2007/12/27(木) 21:48:22.42 ID:F68edPSR
＞Openβ時代からcgMoEDrv.dll の挙動にはいろいろ問題が報告されているが
＞それは仕様がムチャクチャだからなだけで別にトロイじゃないって事

誤検出っぽいかな？
同じソフト入れてるもう一台の方は、バスターなんだが、そっちじゃ引っかからなかったし。
Avast!じゃなくて、今まで検出しなかったカスペで引っかかったって点が引っかかるけど、
幾分か気が楽になったよｱﾘｶﾞﾄｳ(´･ω･`)ﾉｼ仕事行ってくる。
717 ：(^ー^*)ノ～さん ：08/05/22 11:53 ID:FQ7kOWzm0: ところで、垢ハック系のウィルス・トロイは、
キーロガーみたいな感じで情報を抜かれるのですか？
それとも、PCの情報ごと全て抜くみたいな感じですか？
718 ：(^ー^*)ノ～さん ：08/05/22 12:03 ID:leZUNaZJ0: >>717
前者は知られている。後者は知られていないが今後ないとは言い切れない。
でも、漠然とした質問はセキュスレが担当なので、次回からはセキュスレをご利用ください。
719 ：(^ー^*)ノ～さん ：08/05/22 13:01 ID:FQ7kOWzm0: >>717
thx

そしてすみませんです。
720 ：(^ー^*)ノ～さん ：08/05/22 13:01 ID:FQ7kOWzm0: >>718だった。orz
721 ：(^ー^*)ノ～さん ：08/05/22 15:36 ID:Js/ltnHJ0: >714
誤検出っぽいが、VirusTotalに投げてみるべし。
722 ：(^ー^*)ノ～さん ：08/05/22 16:50 ID:aMvBXJ4J0: MoEの板・スレで聞けよ…。
723 ：(^ー^*)ノ～さん ：08/05/22 18:23 ID:280h973c0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
724 ：(^ー^*)ノ～さん ：08/05/22 20:50 ID:aMvBXJ4J0: Nice bot.
725 ：(^ー^*)ノ～さん ：08/05/22 21:30 ID:5BqqbrRQ0: http://enif.mmobbs.com/test/read.cgi/livero/1205488101/540-566
726 ：(^ー^*)ノ～さん ：08/05/23 20:49 ID:vi9p8Zrz0: >>714 >>716
MoE公式サイトにて、カスペルスキーでの誤検知であると正式に発表が出たようです。
727 ：(^ー^*)ノ～さん ：08/05/25 01:13 ID:aPWCWA060: >>661に似たようなリンクがうちのmixiにも貼られてて何を血迷ったかアドレス削って
http://www■sakerver■com/を踏んでしまったんですが・・・アウトですか？

真っ赤な背景でアドオンがどうたらって出てきました・・・
728 ：(^ー^*)ノ～さん ：08/05/25 01:25 ID:09zaY6VG0: >>727
それは既知のアカハックアドレスっすね。アウト。
ブロックされたか、なにかがすり抜けたかは不明。

対処方法は、OS入れなおし。（自己責任でセキュリティソフトを過信してもいいがお勧めできない）
729 ：(^ー^*)ノ～さん ：08/05/25 19:19 ID:aPWCWA060: アウトですか・・・ありがとうございます。

ウイルススキャンしたところ、VBS_PSYME.BDGというやつがみつかりました。
おそらくIEのキャッシュかな？
心配なのでバックアップをとってクリーンインストールをしようと思います。
730 ：(^ー^*)ノ～さん ：08/05/26 01:10 ID:4IZFGe9YO: >>729
ざまぁｗｗｗ
731 ：(^ー^*)ノ～さん ：08/05/26 01:52 ID:NdcR0UJD0: http://world2001■blog39■fc2■com/

思いっきり踏んだんだけど、ここ大丈夫じゃないよね？
732 ：(^ー^*)ノ～さん ：08/05/26 01:57 ID:JRUdJg340: >>4
733 ：(^ー^*)ノ～さん ：08/05/26 03:10 ID:NZMnjggp0: >>1
734 ：(^ー^*)ノ～さん ：08/05/26 05:15 ID:2EzGD5rL0: なんかうちのBlogに来てたんで報告しておきます。

ttp://www■yaplogjp■com/Blog/

"ro blog 2008"というキーワード検索でたどり着いた、日本のホストからの接続なので
こちらも一つ一つ禁止語句設定していくしかないというイタチゴッコです
735 ：(^ー^*)ノ～さん ：08/05/26 07:54 ID:xCWl1vcj0: >>734
同様に情報提供として…検索サイトから「武器 2008/05」というようなのも定期的に来る。
736 ：(^ー^*)ノ～さん ：08/05/26 09:49 ID:A3frDjA80: >731
セキュスレ506から頻繁に出てるハクアドレス。
罠に引っかかってるかどうかは、エスパーじゃないので判らん。

>734
yaplogjp
-->www■yaplogjp■com/Blog/jp3■exe

VBScriptによる、いつものパターン。
今、チェックできる環境が無いので、検体チェックはしてません。
737 ：(^ー^*)ノ～さん ：08/05/26 11:24 ID:t6VyPnlZ0: >>736
5/25時点のログ。
VirusTotal: analisis/26e9108175a5e9ee456e4da0ca8a6532
738 ：(^ー^*)ノ～さん ：08/05/26 11:33 ID:ai2zBodt0: そろそろ blog の類に、逆引きしたIPの所有国が中国／朝鮮だった場合は
エラーも何も出さないけど書き込みを拒否する、みたいな仕組がほしいねぇ。
739 ：(^ー^*)ノ～さん ：08/05/27 03:13 ID:EX18CBoP0: >>734のアドレスなんですが、ソースチェッカーオンラインでチェックしても
安全度100%と表示されてしまうので（ソースを見れば明らかな感はあるんですが）
仮に、チェッカーに対し全信頼を置かれている方やソースが読めない方がもし居られましたら
注意喚起をしてあげてください。

# ちなみにaguseでも全セーフと表示されてしまいます。
740 ：(^ー^*)ノ～さん ：08/05/27 09:09 ID:SgXz54Qv0: 【　アドレス　】www■kyu9■net/cat125
【気付いた日時】５月２７日8:30位
【　　　 OS　　】 winXPSP2
【使用ブラウザ】 IE7　だと思います・・・
【WindowsUpdateの有無】自動更新になっています
【　アンチウイルスソフト】ウィルスバスター2008
【その他のSecurty対策】ないです
【ウイルススキャン結果】今カスペルで検索中です
【スレログやテンプレを読んだか】読みました
【hosts変更】無いです
【PeerGuardian2導入】無いです
【説明】
病気の症状を調べようとヤフーで検索していてクリックしたら真っ白いページが出るだけで何も表示されなかったので心配に・・・
バスターは特に何も動かなかったです。
ROとは何も関係ないのですが、垢ハックなのでしょうか・・・
今は別のPCで書き込んでいます。
クリーンインストールしたほうがいいのでしょうか・・・？

宜しくお願い致します＞＜
741 ：(^ー^*)ノ～さん ：08/05/27 09:27 ID:w+miYmnQ0: ※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません
742 ：(^ー^*)ノ～さん ：08/05/27 09:39 ID:jJeSyX2p0: >>740
「病気の症状に関する用語集」。アカハック関係無い。
Safari3.1、Firefox3RC1、Opera9.5Betaでは表示できるが
IE7では真っ白。CSSかHTMLがどこか間違っているんだろう
(実装がクソなIE6でしか確認していないなど)。
今後鑑定依頼は他所でやるように。
743 ：(^ー^*)ノ～さん ：08/05/27 10:27 ID:kaGJwkDL0: >>742
IE6でも表示できません。憶測で余計なことを書くのは如何なものかと。
最後の行については同意。
744 ：(^ー^*)ノ～さん ：08/05/27 10:32 ID:WVEPQ9vd0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
745 ：(^ー^*)ノ～さん ：08/05/27 11:33 ID:8+DLahm20: またアレか。日本語文字コードの自動判別失敗。
746 ：(^ー^*)ノ～さん ：08/05/27 13:15 ID:vbnxctW30: >>6
>・IEの使用を止め、他のブラウザに乗り換える(Firefox、Opera)
747 ：(^ー^*)ノ～さん ：08/05/29 00:08 ID:AktTSB9K0: 【　　アドレス　】http://softa■softkills■net/soft1■exe
　　　　　　　　　　その他類似アドレス多数
【気付いた日時】本日19時半頃
【　　　 OS　　】 WinXP SP2
【使用ブラウザ】 Sleipnir 2.7.1
【WindowsUpdateの有無】自動更新有、最新Verの模様
【　アンチウイルスソフト】 NOD32 バージョン3137
【その他のSecurty対策】 Spybot S&D
【ウイルススキャン結果】 NOD32のIMONとAMONで『Win32/PSW.OnLineGames.NWBの亜種』、『Win32/Small.NDW』を検出
　　　　　　　　　　　　　　　　カスペルスキーオンラインスキャン(20時頃)に『Trojan-Downloader.Win32.Small.wga』と『Trojan.Win32.Agent.nbl』を検出
　　　　　　　　　　　　　　　　 ※NOD32の隔離フォルダから『Trojan.Win32.Agent.nbj』と『Trojan-PSW.Win32.OnLineGames.ajss』と『Trojan-PSW.Win32.OnLineGames.ajsw』を検出
【スレログやテンプレを読んだか】今から読みます
【hosts変更】無
【PeerGuardian2導入】有
【説明】どこのサイトからこのURLを踏んだのかは不明だがRO関係のサイトは見ていないときに検出されました
「orz.exe」というプロセスがLocalSettingsフォルダ内に作成され、どっかに接続しようとしていたのも確認。削除済み
スタートアップ書き換えなし、全ファイル削除後NOD32でウィルス検出なし
手動駆除活動後、orz.exeや接続しようとするプロセス、怪しいプロセスの出現なし
ROには踏んでからまだ未ログイン、パスワード変更済み

大丈夫だとは思うけど万全を期してクリーンインスコをしたい
バックアップというのはどうやるもの？欲しいデータをDVDに写していくだけ？
748 ：(^ー^*)ノ～さん ：08/05/29 00:11 ID:PmD70TAe0: 欲しい物というか自分で必要だと思う物
辞書なりお気に入りなりフォントなり、各種設定とか
そこら辺は個人で違ってくるから調べてみて
749 ：(^ー^*)ノ～さん ：08/05/29 00:13 ID:AktTSB9K0: 追記

もちろんexeなんてつくアドレスをホイホイ踏むわけもなく、どこかからの自動転送で送られてしまったと思われます
その自動転送URLはわかりません
一番重要なところなのにすいません
750 ：(^ー^*)ノ～さん ：08/05/29 00:46 ID:SGc4kIq00: >>747
どこかのインジェクションされたサイトを踏み、そこのscript(あるいはiframe)から
君の使っているアンチウイルスで検知できないexeが実行された。
んでそのexeはダウンローダで、別なサイトからダウンロードリストを取得して
片っ端から拾って30匹ほど実行した。
xiaobai01■net/update.txt
でググってみてね(■はピリオドで)。
751 ：(^ー^*)ノ～さん ：08/06/01 18:35 ID:WqzubEki0: ゆずソフトのサイト改竄のってROは大丈夫？
>>1リネージュ資料室見るとリネージュ関連ウィルスで載ってるけど
752 ：(^ー^*)ノ～さん ：08/06/01 18:39 ID:GMrXX9rS0: なにがどう大丈夫なんだか…

自分がやってないゲームのアカウントだけが対象ならいいかとか
ヌルい考えはやめたほうがいい。
753 ：(^ー^*)ノ～さん ：08/06/01 18:41 ID:yJ2JczoG0: 【　　アドレス　】http://www■berseek■com/wiki/cinema/videonews/fwFN5bSBp8■zip
【気付いた日時】本日１７時半頃（踏んだ瞬間）
【　　　 OS　　】 WinXP SP2
【使用ブラウザ】 FireFox (2.0.0.14)
【WindowsUpdateの有無】自動更新になってます
【　アンチウイルスソフト】 Mcfee
【その他のSecurty対策】なしです
【ウイルススキャン結果】現在カスペルスキャン中です
【スレログやテンプレを読んだか】今から読みます
【hosts変更】なしです
【PeerGuardian2導入】なしです
【説明】
mixiのRO関連コミュで踏みました。
zip直置き、DL確認画面でやばいと思いキャンセルしました。
捨て垢じゃないようなのですが、不安です・・・

別PCからアトラクションIDパスは変更済みです。
クリーンインストールしたほうがいいのでしょうか・・・
754 ：(^ー^*)ノ～さん ：08/06/01 18:59 ID:WqzubEki0: そうは言ってもどうしたらいいのか分からん・・・
janeのビューアで
http://www■tongji123■org/4561■swf
http://dm■htifns■com■cn/4561■swf
http://dm■htifns■com■cn/4562■swf
こんだけ開いただけなんだけど
755 ：(^ー^*)ノ～さん ：08/06/01 18:59 ID:pPzkP7gc0: >>753
zipのダウンロード中で解凍すらしてないならセーフ。
気になるならクリーンインストールコースどうぞ～
756 ：(^ー^*)ノ～さん ：08/06/01 19:00 ID:pPzkP7gc0: >>754
OSから入れなおしGO～
757 ：(^ー^*)ノ～さん ：08/06/01 19:02 ID:1VZHgfvC0: どうしたらいいのかわからなかったらまずスレのテンプレ熟読ぐらいしてくれ
758 ：(^ー^*)ノ～さん ：08/06/01 19:08 ID:uGD8CtCu0: 今mixiで「RO」と「カムバックキャンペーン」という単語を入れた日記を書くと、
もれなくマルウェア・ZIPのアドレスを書いたコメントをつけられる模様。
気をつけて－。
759 ：(^ー^*)ノ～さん ：08/06/01 19:16 ID:JVtmz9qh0: >754
セキュスレ見た？

そのswfはゆずソフトに仕掛けられたのと同一アドレス。
有志が調査してカスペに投げてくれてくれたので
そのうち対応する（と回答済み)

発動したかどうかはテンプレに沿って無いので何とも。
最悪OS再インストールだな

つーか、慌ててるのは分かるが、テンプレに沿ってくれ
回答する方も情報不足で何とも言えん
760 ：(^ー^*)ノ～さん ：08/06/01 19:44 ID:WqzubEki0: >>759
今見てきました

janeでゆずソフトがハッキングされたってスレでビューアでURL全部開いて>>754です
テンプレ守らずすみません

【　　アドレス　】 http://www■tongji123■org/4561■swf
【　　アドレス　】 http://dm■htifns■com■cn/4561■swf
【　　アドレス　】 http://dm■htifns■com■cn/4562■swf
【気付いた日時】今日
【　　　 OS　　】 WinXP SP2
【使用ブラウザ】 JaneDoeViewα080508
【WindowsUpdateの有無】有、最新
【　アンチウイルスソフト】 Avast4.8
【その他のSecurty対策】 Spybot S&D
【ウイルススキャン結果】スキャン中
【スレログやテンプレを読んだか】 Yes
【hosts変更】有[最終更新は去年、問題のアドレスの記述は無]
【PeerGuardian2導入】無
【説明】リネージュ資料室より
「ゆずソフト」という会社（PC用18禁ソフトのメーカーだそうです）のサイトが改竄され、ウィルスが仕込まれています。 6月1日 17:00時点では、まだ危険なままの状態です。
仕込まれたウィルスは、RealPlayerの脆弱性や、先日お知らせしたFlashの脆弱性などを悪用してインストールしようとされ、 OSだけでなくプラグインもすべて最新の状態になっていないと感染します。

現状で把握しているリネージュ関連ウィルスファイル
http://www■tongji123■org/4561■swf 200 2008/06/01 16:43:01 817 application/x-shockwave-flash
http://dm■htifns■com■cn/4561■swf 200 2008/06/01 16:43:01 817 application/x-shockwave-flash
http://dm■htifns■com■cn/4562■swf 200 2008/06/01 16:43:01 729 application/x-shockwave-flash
761 ：(^ー^*)ノ～さん ：08/06/01 20:28 ID:42OwCWSm0: >753
fwFN5bSBp8■zip （実際は拡張子をzipに替えただけのrarファイル）
---->fwFN5bSBp8■exe(Trojan.Win32.Inject.ceo)

>755の言う通りかな。

>760
4561と4562のswfファイルは現時点でもカスペのパターンに入ってない。
(カスペの傾向からして、配布まであと数時間かかると予想)

janeは使ってないので知らんが、url開いたのなら、Flashのプラグインを
最新にしてないと確実にアウトだろうね。

というか、危険なスレと判ってたら開いたらダメだろ……
762 ：(^ー^*)ノ～さん ：08/06/01 23:20 ID:42OwCWSm0: 一応転載
--------------------
>799 名前：788 MAIL:sage 投稿日：08/06/01 22:29 ID:t/Q2xJTn0
>先ほどチェックした所、PCのカスペで検出・削除した事を確認。
>VTでも検出された。
--------------------
念のため、踏んだ人はカスペのオンラインスキャンへGO
763 ：(^ー^*)ノ～さん ：08/06/02 07:12 ID:Y3/1rAiv0: カスペのオンラインスキャンで4561と4562のswfファイルのキャッシュが
Trojan-Downloader.SWF.Small.ax
Trojan-Downloader.SWF.Small.ay
で検出されたんだけどこれ削除しとけばOKかな？
他の不正プログラムをダウンロードする攻撃コードって書いてたけど
他には何も検出されなかったからダウンロードされなかったってこと？
764 ：(^ー^*)ノ～さん ：08/06/02 07:16 ID:v62fzaHG0: FlashPlayerが9.0.124なら実行されない。
765 ：(^ー^*)ノ～さん ：08/06/02 20:33 ID:canR36t90: Aviraも次のうｐだてで対応のこと

> The file '4561.swf' has been determined to be 'MALWARE'. Our analysts named the threat EXP.Flash.lok.729. Detection will be added to our virus definition file (VDF) with one of the next updates.
> The file '4562.swf' has been determined to be 'MALWARE'. Our analysts named the threat EXP.Flash.lok.729. Detection will be added to our virus definition file (VDF) with one of the next updates.
766 ：(^ー^*)ノ～さん ：08/06/04 11:02 ID:hIMykLwX0: RO起動するとｎProが作動してctfmon.exeがbackdoorだとか出るんだけどさ
ctfmon.exeって別に問題ないソフトでそれに偽造してるものがbackdoorらしいんだけど
nProは正規のものをウイルスだと断定してｱﾗｰﾄしてんの？
767 ：(^ー^*)ノ～さん ：08/06/04 11:07 ID:zh6DIDAk0: うちのは出ないが。
768 ：(^ー^*)ノ～さん ：08/06/04 11:20 ID:/kTrGChq0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
769 ：(^ー^*)ノ～さん ：08/06/04 12:28 ID:PdV+w5ONO: Nice b0t.
てめえのカキコでスレ無駄に埋めてりゃ世話ねーや
770 ：(^ー^*)ノ～さん ：08/06/04 12:50 ID:wmuzvScr0: >>1
771 ：(^ー^*)ノ～さん ：08/06/04 21:56 ID:+9weN9mW0: なんか罠を踏んだ。
問題のURL：tp://moor■sugoize■com/

上記URLにアクセスした覚えは無いんで何処かに仕込まれた罠から更に飛んだんだと思うけど、キャッシュや履歴からは
特定できなかったのでリンクを仕掛けられた場所は不明；（他の履歴に全てにアクセスしてみたけれどPG2は無反応だった）

ぐぐってみると、元はゲーム攻略サイトか何かがドメイン失効した跡地らしい(?)。
aguseでサイトSSを見た所では、失効ドメインで表示されるような案内やら広告メニューが表示されるているだけ…かと
思いきや、上記URLへアクセスするとPG2が反応を示して 666■lyzh■com へのアクセスをブロックしたと出る。

この moor■sugoize■com/ のソースを火狐で見た所、0サイズのフレームが記述されていて
dummy■htmlからimage■phpを読み込むようになっている。
こっから先は素人だから分からないけどimage■phpから666■lyzh■comを読み込む仕掛けなのだと思う。
これは失効ドメイン跡地を中華が改竄して罠に仕立てたって事かな？

で、666■lyzh■comはリネ資料室のウィルス置場一覧に書かれている既知の罠ドメイン。
ROも関係ありそうな予感なので一応報告。
772 ：(^ー^*)ノ～さん ：08/06/04 22:03 ID:HZKVBrdm0: >>771
>dummy■htmlからimage■phpを読み込むようになっている。
こんなの無いぞ?
773 ：(^ー^*)ノ～さん ：08/06/04 22:08 ID:l0uRTOjQ0: ないな、普通に失効してるページぽいけど
あとは掘っていったけどDomainSearchBar.msiのDLくらいかねぇ
774 ：(^ー^*)ノ～さん ：08/06/04 22:17 ID:HZKVBrdm0: つーか、ページの作りがまんまドメイン業者の広告だな
775 ：(^ー^*)ノ～さん ：08/06/04 22:40 ID:+9weN9mW0: あれ？ホントだ。
踏んだのは2日のam3：57で、少なくとも昨日のpm4：34まではdummy.htmlとimage.phpもあったんだ。
（履歴洗ったりソース見ようとして再度pg2がブロックしたりしたので）
その時はこんな長いソースじゃなくてフレームタグで構成された短いソースだった。
管理者が気付いて削除したのかな…？
776 ：(^ー^*)ノ～さん ：08/06/05 01:54 ID:m267oBxh0: 【　　アドレス　】アドレス確認しにいったらもう編集されてた・・・どう確認すれば
【気付いた日時】踏んだのは午前1時ごろ
【　　　 OS　　】winXP SP2
【使用ブラウザ】 IEです、バージョンはわかりません
【WindowsUpdateの有無】自動更新
【　アンチウイルスソフト】ウイルスバスター２００６(更新は５/３０日)
【その他のSecurty対策】特になし
【ウイルススキャン結果】 Mell.なんとかっていうのがウイルスバスターで見つかりました
【スレログやテンプレを読んだか】今読んでます
【hosts変更】無
【PeerGuardian2導入】無
【説明】
職別のwikiを見ていたのですが、ステタイプ説明文の途中の「武器カードについてはこちら」
みたいなのをクリックしてアドレスを特に確認もせずに飛んでしまいました
その飛んだ先は普通のblogでしたが、あまりに変だと思い相談
善意を装ったblogで気づかぬうちに・・・という可能性が・・・
どこかにfc2blogはヤバイみたいなことを書いてた気がしました
URLにもfc2があった記憶がかすかにあります・・・
OSを再インストしないとまずいでしょうか？とりあえずＲＯはアンインスト
してみました
777 ：(^ー^*)ノ～さん ：08/06/05 02:06 ID:ZvGXuHon0: URLはわからずともどのWikiなのかわからないと確認しようもない
IEのバージョンは同ヘルプから確認可能
VB2006ってまだサポートしてるの？

とりあえず踏んでる臭いからカスペのオンラインスキャンで再確認してみて
778 ：776 ：08/06/05 02:17 ID:m267oBxh0: Wikiはハンターwikiです
IEのバージョンは６でした
VB2006はどうなんでしょう・・・最新の更新はしています

今からオンラインスキャンしてきます
779 ：(^ー^*)ノ～さん ：08/06/05 02:33 ID:2cRJ9EQq0: 弓手Wikiの改竄部分を確認。粘着的に編集が行われている様子が見うけられる。

fsbahsygg■269g■net/
-> www■gawezuki■com/Blog/
--> www■skywebsv■com/Blog/index1■htm
www■bluewoon■com/Blog/k1■exe

PukiWikiであれば、ページヘッダ部分で「差分」や「バックアップ」と表記されている部分をクリックすれば、変更点の確認が出来る。
こんな感じで。
ttp://hunter.rowiki.jp/index.php?cmd=diff&page=%C9%F0%B4%EF.
ttp://hunter.rowiki.jp/index.php?cmd=backup&page=%C9%F0%B4%EF.&age=120&action=diff
この部分は、左側のMenuBarと違い、PukiWikiのスクリプト自体でハードコーディングされているので、ハッキング改竄の心配は少ない。
各種Wikiを利用する上で、覚えておいて損はない。
780 ：(^ー^*)ノ～さん ：08/06/05 02:54 ID:6+d/FfD30: アルケミテンプレサイトが同様なので報告に参りました
先ほどまでは普通に使えてたのでリアルタイム遭遇orz

アルケミスレテンプレサイト www.ragfun■net/alchemist/ にて
fsbahsygg■269g■net/へのリンクへ左のメニュー部分が全部変更されてました
781 ：(^ー^*)ノ～さん ：08/06/05 03:02 ID:XHLEMw600: 殴りアコプリテンプレもトップ・メニューのリンクがfsbahsygg■269g■net/に書き換えられてたっぽい…とりあえずバックアップまで戻したけど。
782 ：(^ー^*)ノ～さん ：08/06/05 03:15 ID:RQ5aTWZi0: >779
VTの結果
index1■htm　(18/32)　ttp://www.virustotal.com/analisis/36e520fd57c79804994ae3f93f8210c1
k1■exe　(19/32)　ttp://www.virustotal.com/analisis/29a1557bbe11cc9055eea4427b8aea56

約6割が検出してるとはいえ、未検出のもあるので注意
783 ：(^ー^*)ノ～さん ：08/06/05 03:25 ID:RQ5aTWZi0: 追記

>782現在で、両方スルーしてるのはAvast。
それ以外はどちらかを引っかけてるので、なんとかなるけど
Avast使いはご注意を。

それと gawezuki のIPは61■139■126■91で
BS Wikiさんのリストに寄れば

coconlovely■com
gamelaone■com
gawezuki■com
hotgome■net
okireng■com
2ch22■com
bluewoon■com
skywebsv■com
ff11bloglina■com
play0nlink■com
playhaogame■com
playncc■com

が同一IP、つまり>779のアドレスは全て一緒。
784 ：(^ー^*)ノ～さん ：08/06/05 03:30 ID:ZvGXuHon0: 警告ageしておくかな、各Wikiはご注意
785 ：(^ー^*)ノ～さん ：08/06/05 03:57 ID:fJRalupV0: ハンタ、ケミ、クルセ、殴りプリ Wikiで改竄確認。
うちケミのところはIP規制入りました。
786 ：776 ：08/06/05 03:59 ID:m267oBxh0: いまさらなんですが、オンラインスキャンはしないほうがいいと
ＦＡＱに書いてました・・・抜いたほうがいいですよね
手遅れかな・・・orz
787 ：(^ー^*)ノ～さん ：08/06/05 04:15 ID:6DAC/ucZ0: うわ、これだったのか。Firefoxなんですが
さっきリンカーwikiでスキルの欄を押したら、外部に接続しますけどいいですか？
みたいな文字と、その外部のアドレスが出てきた。アドレスにカーソル合わせるとポンプアップで
行き先の画像が出てきたんだが、これは垢ハックを喰らったことになるんでしょうか？
788 ：(^ー^*)ノ～さん ：08/06/05 04:24 ID:eOp2J/ZJ0: >>787

それは違う、最近ガンホーのサイトにも実装されたが
リンカーＷｉｋｉの外に出ますけど良いですか？っていうクッションページ
789 ：(^ー^*)ノ～さん ：08/06/05 05:08 ID:Lm+ppeIg0: >787
ポップアップを表示させただけなら平気。リンク先が安全かどうかの参考にするためのプレビュー機能。
790 ：(^ー^*)ノ～さん ：08/06/05 09:07 ID:Y8m/2NTl0: >>782
特定の製品のことをあれこれ言いたくないんだけど、
avastは最近誤検知が目立つ割にはスカるね…。
791 ：(^ー^*)ノ～さん ：08/06/05 12:37 ID:Ej6AlMoUO: 巡回先調べてみた
ローグ・モンク・忍者Wikiは異常な死
792 ：(^ー^*)ノ～さん ：08/06/05 12:49 ID:Toqel1OI0: その誤変換は誤解を招く。ぱっと見で、逆の状況かと思った。落ち着いて書き込んでホスィ
793 ：(^ー^*)ノ～さん ：08/06/05 15:31 ID:oyEeN5ty0: ぱっとみ異常があるようにみえた
794 ：(^ー^*)ノ～さん ：08/06/05 16:38 ID:+2z7XEce0: クルセスレにも有ったので報告
fsbahsygg■269g■net/に全て変更されてました
795 ：(^ー^*)ノ～さん ：08/06/05 16:48 ID:fJRalupV0: クルセWIKI、殴りプリWIKI、リンカーWIKIにまた湧き始めた。
796 ：787 ：08/06/05 17:07 ID:HmRZ3nkB0: >>788 >>789
そうだったんですか、どうもありがとうございます。
こんな便利な機能があったんですね
797 ：(^ー^*)ノ～さん ：08/06/05 17:13 ID:vopKwCZ90: 業者怖いなぁ･･･
アoサoシoンoうぃきは大丈夫なんだろうか。怖くてみれない。
（MMOBBSで業者がキーワードに反応するそうなので念のため伏字しておく。）
WIKIのTOP踏んだくらいなら（WIKI内のリンクを踏まなければ）大丈夫なんでしょうか？
798 ：(^ー^*)ノ～さん ：08/06/05 17:37 ID:c3DHXmoIO: 踏んだらＯＳ入れ直しが基本だな
799 ：(^ー^*)ノ～さん ：08/06/05 17:50 ID:KpAUBQKk0: 転送確認プラグインで止めれば大丈夫だよね？
それでもOS入れ直すの？
800 ：(^ー^*)ノ～さん ：08/06/05 18:37 ID:PIhxLf2E0: >>797
開いたページ(トップページ)に物(ウィルス)が仕込まれていなければその通り。
よくわかんないなら見ないのが一番賢い。
801 ：(^ー^*)ノ～さん ：08/06/05 18:43 ID:iLoCkhkk0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
802 ：(^ー^*)ノ～さん ：08/06/05 19:09 ID:9ZC/zZZF0: セキュスレと並行してるけど、この話題はここで続けても問題無いよ。
803 ：(^ー^*)ノ～さん ：08/06/05 19:50 ID:gO+jrK7I0: 不覚にも垢ハクサイトをクリックしてしまった…（fsbahsygg■269g■net/）
avastで検索したら1件だけ有ってRootkitのみだったから出てきてない気がする
OS入れなおすべきか？
804 ：(^ー^*)ノ～さん ：08/06/05 20:10 ID:fJRalupV0: 管理の甘い殴りプリWikiが集中砲火されてるな…。
秒刻みで改竄入ってるぞ…。
805 ：(^ー^*)ノ～さん ：08/06/05 20:10 ID:zSqlla/h0: ローグでも改変あったので注意
806 ：(^ー^*)ノ～さん ：08/06/05 20:35 ID:fJRalupV0: ツール改変っぽいな。
クルセ、殴りプリ、リンカWikiの同時改変確認。
807 ：(^ー^*)ノ～さん ：08/06/05 21:06 ID:fJRalupV0: もうだめだな…大本叩くか管理人がIPBANするかしないと収拾付かないわ。
とりあえず管理人ほぼ不在のクルセ、殴りプリ、リンカWikiは当分諦めた方がいいかも。
808 ：(^ー^*)ノ～さん ：08/06/05 21:30 ID:phv3ur0l0: すいません、ローグWikiを見ようとしたら
Fatal error: Call to undefined function area_pickup() in /virtual/mohige/public_html/lib/spam.php on line 599
という表示がでたのですが、これは垢ハックなのでしょうか？
809 ：(^ー^*)ノ～さん ：08/06/05 21:33 ID:9ZC/zZZF0: >>808
それはphpのエラーメッセージ。
サーバー側の設定ミスかファイル破損かは不明。
810 ：(^ー^*)ノ～さん ：08/06/05 21:35 ID:phv3ur0l0: >>809さん
ありがとうございました！

今後、このようなメッセージがでてもあせらないように勉強しようと
思います。
811 ：Ｓ県七瀬 ◆/II.DEADh. ：08/06/05 22:14 ID:jUCPDArM0: >808
おそらくspam.php＞新バージョン　spam.ini.php＞旧バージョン
の時に踏んじゃってエラー吐いたんだとおもう。
今はもう直ってるよ。
812 ：(^ー^*)ノ～さん ：08/06/05 23:07 ID:UuUFtxvp0: ｵｳﾞｧｰ今さっきリンカーwikiの対人のとこ見たばっかだ・・・
俺ｵﾜﾀ
813 ：(^ー^*)ノ～さん ：08/06/05 23:12 ID:9ZC/zZZF0: >>803
>>812

はい、テンプレ読んでから、OSの再インストールコース行ってらっしゃい。
814 ：(^ー^*)ノ～さん ：08/06/05 23:13 ID:Toqel1OI0: Wikiを見ただけで喰らうタイプじゃなくて、リンク改竄にて外部の
危険サイトに飛んだら喰らうって状態だと思うのだが>>812は
落ち着け・・・？

そして>>1
815 ：(^ー^*)ノ～さん ：08/06/05 23:47 ID:RQ5aTWZi0: fsbahsygg■269g■netがファイル差し替えてた風味なので再チェック

fsbahsygg■269g■net
--->www■teamerblog■com/blog/
----->www■panslog■net/wiki/index1.htm
------->www■teamerblog■com/wiki/cer.exe

fsbahsygg　2/32　ttp://www.virustotal.com/analisis/0ecf87db56561661882c94aff0cdad51
AntiVir：Script.Infected.WebPage.Gen

teamerblog　13/32　ttp://www.virustotal.com/analisis/8371fd97e3507cf1462607bf07bcab4f
カスペ：Trojan-Clicker.HTML.IFrame.il

index1.htm　18/32　ttp://www.virustotal.com/analisis/b58672185315b7644062ddb595a5a633
カスペ：Trojan-Downloader.JS.Agent.brl

cer.exe　22/32　ttp://www.virustotal.com/analisis/94d922a15b8c08a4a0ad9911e79c0015
カスペ：Trojan.Win32.Inject.cbd

ファイルの差し替えを確認したのでチェックしたら、こんな感じに。
iframeの罠が仕込まれてるhtmlも検出するようになったらしい。

>803
踏んだ時間次第な気もするが、avastはteamerblogのやつで引っかけた感じなので
最悪、exeまで進んでるかも。
ただMS06-014の脆弱性だし、これに引っかかる人はかなりレアなんじゃないだろうか。

定番のカスペのオンラインスキャンした上で、安全策をとってOS入れ直すかどうか
考えればいいんじゃないかな。
816 ：(^ー^*)ノ～さん ：08/06/05 23:51 ID:fJRalupV0: リンカーWikiの管理人さんの応答がありました。現在対策中とのことです。
817 ：(^ー^*)ノ～さん ：08/06/06 00:41 ID:oUSUtpAt0: ここのROセキュリティWiki
見てハック感染とかもありえるの？

セキュリティとか書いてるのに；
818 ：(^ー^*)ノ～さん ：08/06/06 00:54 ID:OgLyARe/0: セキュリティ情報が書いてあるWikiであって、そのWikiや鯖自体が
セキュアな訳ではないので勘違いしないように
819 ：(^ー^*)ノ～さん ：08/06/06 01:00 ID:snbgn9Mr0: >>1
820 ：(^ー^*)ノ～さん ：08/06/06 01:14 ID:45hWg3390: ねんがんの　PG　を　どうにゅうしたぞ！！

PG2βだが、色んなとこで紹介されてるのが6bに対してグーグル先生の検索だと6cが頭にくるのだがどっちも変わらないでおｋかな。
別に日本語じゃなくても問題ないから6c入れたけど。
821 ：(^ー^*)ノ～さん ：08/06/06 01:15 ID:IQE1Ys5/0: >>820
>>801
822 ：(^ー^*)ノ～さん ：08/06/06 01:44 ID:4ir4MHD00: リンカーWiki対策終了。
クルセ、殴りプリWikiは依然被害を受けている状態。
（どっちのWikiの管理人もここしばらく動いた形跡無し…IP対策は絶望的か…？）
823 ：(^ー^*)ノ～さん ：08/06/06 02:12 ID:5NCvrwgh0: 殴りプリWikiの管理人は、ディレクトリを遡ると判るけど、最近FEZからROに復帰した様子なのだが。
日記に示唆コメントを落としておいた方が良いのかね。
824 ：(^ー^*)ノ～さん ：08/06/06 02:25 ID:4ir4MHD00: とりあえず日記の方に書き込んできた。後は気付いてくれるかどうか…。
825 ：(^ー^*)ノ～さん ：08/06/06 02:27 ID:LcrM5Ned0: 昨日クルセイダーWikiの外部リンク踏んだんだけど垢八苦だったんだね
ウィルススキャン（ウイルスバスター2007）してみたけど、見つからなかったな。
本当にハッキングされたのか？
826 ：(^ー^*)ノ～さん ：08/06/06 02:29 ID:4ir4MHD00: >>825
過去ログくらいみる癖くらいをつけような。
827 ：(^ー^*)ノ～さん ：08/06/06 03:10 ID:LcrM5Ned0: すみません、事故解決しました。
リアルタイム検索でブロックしてたっぽいです。
すみませんでした。
828 ：(^ー^*)ノ～さん ：08/06/08 14:43 ID:qAjWdUrd0: 拳聖WIkiも改変されている模様。
NOD32がトロイ警告？をだしたんだが。

http://61■238■148■112:81■i115.swf
CVE-2007-0071　トロイ

リアルタイムでとめたっぽいけど怖い事この上なし。
829 ：(^ー^*)ノ～さん ：08/06/08 15:02 ID:rRm4M7/e0: あれだけ騒がれたのにFlashPlayer更新してないのか?

FlashPlayerのバージョンテスト
ttp://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm

FlashPlayer9.0.124
ttp://www.adobe.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash
830 ：(^ー^*)ノ～さん ：08/06/08 15:27 ID:8x3qfWo90: >828
何処のページ？それらしきものが見当たらないんだが…
831 ：(^ー^*)ノ～さん ：08/06/08 15:28 ID:rRm4M7/e0: i16.swf i28.swf i45.swf i47.swf i64.swf i115.swf
f16.swf f28.swf f45.swf f47.swf f64.swf f115.swf
(f64.swfは無し、残り全てKasperskyでExploit.SWF.Downloader.c)
i～はActiveXコントロール用(IE)、
f～はNetscapeプラグイン用(Firefox、Opera、Safari)。
数字はFlashPlayer9.0.～のバージョン。
i115.swfならIE+FlashPlayer9.0.115用。
これはJavaScriptでブラウザとFlashPlayerの両方を調べて分岐するパターン。

他にJavaScriptでブラウザを調べ(例:IEなら4561.swf 他なら4562.swf)、
Flash内のActionScriptでFlashPlayerを調べて分岐するパターン、
JavaScriptでFlashPlayerを調べ、ActionScriptでブラウザを調べて分岐するパターン、
ActionScriptで両方調べるパターンなどもある。
832 ：(^ー^*)ノ～さん ：08/06/08 15:30 ID:c2ldaM/s0: >829
更新してても、怖いのは怖いだろ。
それに9.0.124でも感染したという話もあるから注意しろ、とニュースサイトでも出てた。
もし別の穴があって、それを使ってたら、と考えると、更新してるから安全、と過信するのは
危険じゃないか？
XP SP3のFlashの罠もあった事だし。

それとセキュスレで、今後のスレの方向性について話し合いをしてるので参考にされたし。
833 ：(^ー^*)ノ～さん ：08/06/08 15:33 ID:rRm4M7/e0: >>832
>9.0.124でも感染したという話もあるから注意しろ、とニュースサイトでも出てた
これは今のところ根拠が無い(各ベンダのラボで再現していない)。
>XP SP3のFlashの罠
これも誤報。
ttp://itpro.nikkeibp.co.jp/article/NEWS/20080604/306088/
834 ：(^ー^*)ノ～さん ：08/06/08 19:17 ID:9H05lSfh0: 最初に「最新バージョンにも穴がある」というのがそもそも間違いだったしなぁ。
835 ：(^ー^*)ノ～さん ：08/06/09 20:20 ID:6d1z9jRA0: 続報だからこっちでいいか

クルセWiki、管理人がデータロールバックで対応
しかしアク禁等の対策が行われたのかどうかは不明
またWiki管理を引退希望しているので、Wikiは誰かに引き継がれる模様

これで被害のあった職Wikiは、全部管理人が動いた形になるかな
836 ：(^ー^*)ノ～さん ：08/06/10 02:06 ID:8wlBvE710: 殴りプリWiki、再びアタックかけられてるな。
トップ、メニューバー、更新履歴、リンクの改竄を確認、修正。（まぁまた変えられるだろうけど）
変えられていたURL先は、
http://ixiadiary■269g■net/
837 ：(^ー^*)ノ～さん ：08/06/10 11:52 ID:YUJszmOR0: 朝から雷鳥Wikiを見ていたらバスターが反応。
無視成功になっていたけれどカスペでオンラインスキャンをしてみたら
i115.swfがExploit.SWF.Downloader.cで引っかかっていました
とりあえず該当ファイルは削除したけど怖いな…
838 ：(^ー^*)ノ～さん ：08/06/10 12:53 ID:sM46XtJU0: ブラウズの時だけKnoppix等を光学ドライブから起動するとか。
839 ：(^ー^*)ノ～さん ：08/06/10 15:16 ID:SSc+GEmw0: >837
雷鳥Wikiを見ていただけで反応？
罠リンクを踏まない限りは反応しないと思うんだが。
まるでWiki内にiframeの罠でも仕込まれてるように聞こえる。

そしてWikiでは罠らしきものは発見できず。
雷鳥スレでもそんな話出てない。
840 ：(^ー^*)ノ～さん ：08/06/10 15:19 ID:mqDrafA00: 拳聖スレにそれらしきコピペがあったのでコピペ。

377 ：(^ー^*)ノ～さん：sage ：08/06/09 06:11 ID:zVC/S0gO0
Wikiにあったavast反応の件、関係ありそうなのでコピペ。

422 名前：ヴァナｍ ◆ZrzGMHfgII [] 投稿日：2008/06/08(日) 22:23:01.66 ID:SvqVY72t
どうも6/5～今日の夕方頃までxreaの自動挿入広告を表示すると
61■238■148■112:81に接続するようになってたようだ。
俺のPGが6/5～今日までの間このIP弾いてる。
４日まではこんなことはなかった。
ちなみに試しに他のxreaのサイトも確認してみたが、
ヴァナモンだけじゃなくて他のサイトでも61■238■148■112を弾いた。
これをノートンやらセキュリティソフトが反応してたんだと思われる。
丁度えふめもでどうこう言ってるのが出たタイミングと符号する。
PGで弾いてなかったらどうなるのかは不明。
現時点でどのサイトのxrea広告も61■238■148■112には接続しなくなっている。