アカウントハック総合対策スレ9

■掲示板に戻る■ 全部 1- 101- 201- 301- 401- 501- 601- 最新50

アカウントハック総合対策スレ9

1 ：夢 ★ ：07/11/25 11:04 ID:???0: アカウントハックに関する情報の集積・分析を目的とするスレです。
被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

・関連＆参考情報アドレス (>>2)
・報告用＆質問用テンプレ (>>3, >>4)
・アカウントハック対応の要点とFAQ (>>5)
・安全対策の簡易まとめ (>>6)
・アカウントハッキングについて（ガンホー公式）
　 http://www.ragnarokonline.jp/playguide/hacking/

■スレの性格上、誤って危険なURLがそのまま貼られてしまう可能性がある■
■URLを無闇に踏んで回らないこと。報告・相談はテンプレを利用すること■

※ ID/Pass/サーバ/キャラ名等の情報は公開しないでください
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません
※ ネタや程度を超えた雑談・脱線はご遠慮ください

・スレ立て依頼は>>970がしてください。反応がなければ以降10ごとに。

【一般的話題用】
セキュリティ対策、質問・雑談スレ3
　http://enif.mmobbs.com/test/read.cgi/livero/1186660300/
501 ：(^ー^*)ノ～さん ：08/03/13 17:07 ID:sHE/c0LN0: トレンドマイクロのページ改ざんで飛ばされた先はネトゲアカハックウィルスの模様
注意
502 ：(^ー^*)ノ～さん ：08/03/14 02:02 ID:RWCinNPO0: >>501
注意って…どうやって注意すりゃいいんだよと
503 ：(^ー^*)ノ～さん ：08/03/14 03:51 ID:r4V9lJel0: 被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/
504 ：(^ー^*)ノ～さん ：08/03/14 10:12 ID:Iyd5R/kmO: 497のやつ、ミクシーで踏んでしまったんですが
ノートン先生じゃ見つけられないし
OS再インスコしたほうがいいでしょうか
505 ：(^ー^*)ノ～さん ：08/03/14 10:23 ID:+qQ48ahO0: >>504
確かに、現時点のVirusTotal(パターンが最新とは限らない）ではシマンテックでスルーされてますね。
提出のかいあって、３社→１１社まで対応してますけど。
http://www.virustotal.com/analisis/e34d3623b8f647bb40b836792f962e89

で、こいつは、解凍して叩かない限りは感染しない。（自己解凍型じゃない）
カスペでは対応してるのでオンラインスキャンで見付けることは可能。

でも、安全かどうかの保証はできないので、推奨される（確実な）のは、ＯＳ再インストールコース。
506 ：(^ー^*)ノ～さん ：08/03/14 10:48 ID:Dte0SFCV0: ノートンは対応がめちゃくちゃ遅い。最初検知できなくて
後で送ってみたいなケースの場合は正直言って厳しい
(バスターやMicrosoftよりはるかに遅い)。
507 ：(^ー^*)ノ～さん ：08/03/14 11:23 ID:Iyd5R/kmO: >505.506

ありがとうございます
素直に再インスコします
508 ：(^ー^*)ノ～さん ：08/03/14 14:44 ID:Dte0SFCV0: 1つのFC2ブログに3匹もiframeを仕込んだ例(一部短縮URIを経由)
www■soracger■com/blog/
www■gamtyblog■net/wiki/
www■homepuon■net/blog/
↓iframe
www■caremoon■net/wiki/main.htm
↓MS06-014スクリプト
www■soracger■com/wiki/admin.exe
8日製造。
509 ：(^ー^*)ノ～さん ：08/03/15 03:46 ID:4KtTDZpn0: ガンスリスレに貼られていたもの。

｜375 ナリタレ New! 08/03/14 11:09 ID:xvHgBTuu0
｜RO イフリート戦
｜RO Ragnarok ラグナロク...RO Ragnarok ラグナロク
｜ttp://www■livedoorbloog■com/lin885/885■zip

カスペスルー。HIDDENEXT/Worm.Gen(AntiVir),Trojan.Inject.796(Dr.Web)
解凍すると入っているのは下記のファイル。何故か、解凍すると、AntiVirスルー…

->885.zip
-->mov000029.wmv.scr
--->013.exe
--->mov0023.wmv

新種っぽいので検体提出してきますね。
510 ：(^ー^*)ノ～さん ：08/03/15 10:33 ID:4KtTDZpn0: >>509

10:11 カスペより返答。次の定義更新で対応とのこと。
mov000029.wmv.scr_ - Trojan.Win32.Inject.aeu
511 ：(^ー^*)ノ～さん ：08/03/15 13:24 ID:ncFS/0bT0: lin886/886.zipもlin887/887.zipもある。撃墜。
512 ：にゅぼーん ：にゅぼーん: にゅぼーん
513 ：にゅぼーん ：にゅぼーん: にゅぼーん
514 ：(^ー^*)ノ～さん ：08/03/19 07:30 ID:nb5yj3Fr0: FFXI系のFC2ブログの偽装。
blog20fc2■com/ff11diary/
iframeは既出のinfosueek(略)。
515 ：(^ー^*)ノ～さん ：08/03/19 09:11 ID:6C1I9Ril0: どう考えても警察に出頭なんて気にはなれん！
ROよ５年間ｻﾝｸｽｸﾞｯﾊﾞｲ
516 ：(^ー^*)ノ～さん ：08/03/19 09:38 ID:S4sexCFy0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
517 ：(^ー^*)ノ～さん ：08/03/19 14:36 ID:E/nIV+2T0: >>509
うちのはてなダイアリな日記にも張ってあったので書いておく

Dr.マリオのメロで、「はじめてのともだち」【ヒャダイン】
ヒャダイン、11作目です。最初に謝っておきます、サーセンｗｗｗmixiのリクエストにドクターマリオがあ...
http://www■livedoorbloog■com/lin885/885■zip

こんな感じ。しかも本人が書き込んでいる。
はてなユーザーがログイン状態で他のはてなの日記に書き込んだら、ユーザーネームからLinkでその人のはてな日記に飛べる。

っhttp://d.hatena.ne.jp/Uncool/　　　←ここが配布元のサイトの模様、何せ日記にZIPはってる。
※↑ははてなダイアリのため垢ハックアドレスではありません、ご安心ください。
518 ：(^ー^*)ノ～さん ：08/03/19 18:22 ID:em6QsCyE0: 垢ハック・又は罠を踏んでから、OSの再インストールをせずにカスペル等で
駆除した後被害にあった報告って今までにありました？
519 ：(^ー^*)ノ～さん ：08/03/19 20:17 ID:pkeYl+BT0: >>518
ありました。再インストがんば
520 ：(^ー^*)ノ～さん ：08/03/19 20:29 ID:Lx5lyYJ80: たとえ今までなくても
これから間違いなく起こるであろう事例だな
521 ：(^ー^*)ノ～さん ：08/03/19 21:03 ID:em6QsCyE0: そうですよね
OSのCDなくしちゃって、買うか迷ってましたが買うことにします
522 ：(^ー^*)ノ～さん ：08/03/20 10:45 ID:I9JGKeR80: 【　　アドレス　】http://momohac■blog34■fc2■com/blog-entry-1■html
【気付いた日時】今日の10時過ぎ
【　　　 OS　　】 WindowsXP　SP2
【使用ブラウザ】 FireFox2.0
【WindowsUpdateの有無】自動更新時
【　アンチウイルスソフト】
【その他のSecurty対策】 Spybot、ルータ
【ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見等)
【スレログやテンプレを読んだか】今から読みます
【hosts変更】　無
【PeerGuardian2導入】　有
【説明】
RMC閲覧時、URLを踏んだところPGが反応+ブログ内容がおかしかった為

ソースチェッカーで調べたところ
インラインフレームタグにVBSスクリプトでttp://www■shagigi■net/navi/admin■exe
接続先が中国だったので一応報告。

念のためこれから再インストール行ってきます
523 ：(^ー^*)ノ～さん ：08/03/20 10:52 ID:QfCWB+lE0: >>522
同アドレスはセキュスレで報告例あり。１つのexeだが２種類入れられることに注意。
もろに発動させてPG2で水際阻止したみたいですね。念のためどころか、しっかりがっつり感染してます。

OS入れ直したら、PG2だけでなくセキュリティソフトもちゃんと入れとけ。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/52
524 ：(^ー^*)ノ～さん ：08/03/20 17:05 ID:vMNSN/130: ずっと前に踏んでたんじゃねーの?
いまどきのトロイは
>RODLL.DLL
こんなわかりやすい名前は付けない(あるいは囮)。
525 ：(^ー^*)ノ～さん ：08/03/20 18:14 ID:H6YOy+AK0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
526 ：(^ー^*)ノ～さん ：08/03/21 02:21 ID:yH1XR5bS0: ○○のひとつ覚えみたいに誘導URL貼り付けるバカがいるから
次からのタイトルは

【雑談・対策・相談は】アカハク情報集積・分析スレ【LiveROへ!!】

にしようぜ。
なまじ総合なんて付けるから色々書き込みされるって
ずっーと前から言われてるからな。

次にお前は｢ＬｉｖｅRoへの誘導URLを貼り付ける！！
527 ：(^ー^*)ノ～さん ：08/03/21 07:19 ID:a7FvJ+Go0: 公知書き写しスレでの突っ込み誘導は叩かれないのに、
なんでこっちだと
親の敵みたいに叩かれるんだろうな。

まあ>>526のタイトルには賛成。

あと誘導は

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/

これだけでいい気がする。
528 ：(^ー^*)ノ～さん ：08/03/21 15:00 ID:Yt9uSxT+0: 土日に向けて新種が大量に投下(あるいは更新)されているので注意。
例 ttp://www.virustotal.com/analisis/ac9b75b1bfca82b29a5801da2ff0aa36
主だったベンダには提出済み。
529 ：483 ：08/03/23 07:18 ID:ewN9Gn620: http://www.mmobbs.com/uploader/files/4447.jpg
１８日の定期メンテでアイテムZenyが復旧しました。
どのぐらい復旧されたか見た所、大体８割のアイテムは戻ってきていました。
Zenyはさすがに分かりません。
530 ：(^ー^*)ノ～さん ：08/03/23 14:27 ID:F9lx3zZZ0: dda3、hellhと同じ奴の新種
www■fccja■com
(スクリプトは省略)
www■fccja■com/com.exe
スルー多め。しかしこの手のはDr.WEB強いな
531 ：(^ー^*)ノ～さん ：08/03/23 16:33 ID:xgw+DUnZ0: >>530
捕獲した検体を、スクリプトも含め、各社に提出しときました。/(^^)

e.js -> d1.asp -> com.exe

d1.aspはVirusTotalで全部スルーされてました。
スクリプトの検知避けで、数値を直接キャラクタに変換せず、数値を演算してからキャラコードに直して書き出す形式。
書き出されたもの自体は幾つかのソフトが捕獲するようです。

ダウンローダで検体落とす時に、すんなり行った（PG2でブロックしなかった）と思えば、IPがUSでした。
PG2での防御避けか、他国にサイトをおいてありますが、今後は、送信先も他国に移行する可能性があるのかな。
本体そのものより、そっちに警戒が必要かも。
532 ：(^ー^*)ノ～さん ：08/03/25 00:22 ID:LwVKZiLL0: 【　　アドレス　】http://www■baldur■jp/kimoloader/src/kimo0903.jpg
【気付いた日時】 (感染？に気付いた日時) 昨日
【　　　 OS　　】 (SP等まで書く) XP sp2
【使用ブラウザ】 (バージョン等まで分かれば書く)　火狐 2.0.0.12
【WindowsUpdateの有無】 (一番最後はいつ頃か、等) 今月頭くらい
【　アンチウイルスソフト】ノートン先生 2004
【その他のSecurty対策】 (Spybot S&D、ルータ、等) ルータは有
【ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見等) 　スキャン中
【スレログやテンプレを読んだか】 (Yes/No/今から読みます) Y
【hosts変更】(有/無　[有りの場合は最終更新は何時ごろか])　有　昨年夏ごろ
【PeerGuardian2導入】(有/無 [有りの場合は参照元サイトはどこか) 有　リネ資料室
【説明】開いたら真っ白…なんとなく怪しく思えたので。
533 ：(^ー^*)ノ～さん ：08/03/25 00:22 ID:LwVKZiLL0: sage忘れた…失礼。
534 ：(^ー^*)ノ～さん ：08/03/25 00:46 ID:/OJK24Me0: ただの真っ白な画像だ
535 ：(^ー^*)ノ～さん ：08/03/25 09:09 ID:BiEtcRBs0: 【　　アドレス　】http://f13■aaa■livedoor■jp/~ragd/cgi/upld/img/191■jpg
【気付いた日時】1時間ほど前
【　　　 OS　　】WinXP SP2
【使用ブラウザ】IE6
【WindowsUpdateの有無】ごく最近。改めてチェックした所更新ファイルは無し
【　アンチウイルスソフト】KingsoftInternetSecurity
【その他のSecurty対策】無し
【ウイルススキャン結果】上記ソフトで完全スキャンの結果異常なし
【スレログやテンプレを読んだか】テンプレは読みました、スレログはアドレスで検索しました
【hosts変更】無し
【PeerGuardian2導入】無し
【説明】
リンクをクリックした所、表示不能マークが左上ではなく中央に出て
普通なら出ないはずのポップアップ（XP標準の機能によってブロック）が出ました。
直感的に不安を覚えソースチェッカーオンラインでチェックしたところ、
どうやらjpg形式は偽装で中身はhtml構文らしく、
リンクが内部的に「www■zhangweijp■com」にアクセスが繋がっている事が分かりました。
調べてみたところリネージュ中心の垢ハックサイトと言う事のようです。
ページを開いた際にはウィルスをガードした旨のウィンドウは表示されませんでした。
画像の投稿日時が2007年3月と古いものなので正常に動作しているかわかりませんが、
心配なので相談させていただきます。
536 ：(^ー^*)ノ～さん ：08/03/25 10:23 ID:eV0jorpO0: >>535
ttp://www■zhangweijp■com/t1swm/index■htm
ttp://www■zhangweijp■com/jpg/005■jpg

ご想像の通り、サイズ0のiframeで別のサイトを呼び出し、偽装画像を表示するものですね。
ドメイン失効の為にファイル自体は存在しなくなって、ドメイン管理業者のサイトが表示されて
いるようです。今回は、>>535記載のアドレスに関しては、踏んでも実害はなかったと思われます。

テンプレ >>6 の、応用にある設定をお勧めします。

｜　・偽装jpg対策(IE7とIE6SP2限定。IE6SP1以前では出来ない)
｜　　：インターネットオプション→セキュリティ→レベルのカスタマイズ
｜　　　→「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする
537 ：(^ー^*)ノ～さん ：08/03/25 15:02 ID:eV0jorpO0: セキュスレに相談のあったアドレス。様々な手法でro.exeを呼び出そうとしている。

ttp://www■exbloog■com/7112888/

ttp://www■exbloog■com/7112888/Ms06014■htm
ttp://www■exbloog■com/7112888/Ms07004■js
ttp://www■exbloog■com/7112888/Ms06046■htm
ttp://www■exbloog■com/7112888/ani■c
ttp://www■exbloog■com/7112888/ani■asp?id=1314
ttp://www■exbloog■com/7112888/Xunlei■htm
ttp://www■exbloog■com/7112888/StormII■htm
ttp://www■exbloog■com/7112888/Yahoo■htm

ttp://www■exbloog■com/7112888/ro■exe

ani.asp : Exploit.Win32.IMG-ANI.n
ani.c : Exploit.Win32.IMG-ANI.n
index.htm : Trojan-Downloader.HTML.IFrame.dv
Ms06014.htm : Trojan-Downloader.JS.Psyme.kf
Ms06046.htm : Exploit.HTML.Ascii.ai
Ms07004.js : Trojan-Downloader.JS.VML.a
ro.exe : Trojan.Win32.Inject.aad
StormII.htm : Exploit.JS.Agent.aw
Xunlei.htm : Trojan-Downloader.JS.Small.ft
Yahoo.htm : Exploit.HTML.IESlice.z

ro.exe のVirustotal結果
ttp://www.virustotal.com/reanalisis.html?3de452449ad5742bc14acaeee128c233
538 ：(^ー^*)ノ～さん ：08/03/25 15:31 ID:9HX5OvbF0: inject系ってことは2ch22■comと同じ系統かぁ。
539 ：(^ー^*)ノ～さん ：08/03/25 18:01 ID:eV0jorpO0: 2ch22ってなんだっけと思ってぐぐったら、結構な数のBlogにコメントspamで撒かれてたのね。
（.comを入れるとサイトを直接開こうとするので、ぐぐるの危険）

ついでに同じBlogで見掛けたのも、ついでに全部拾ってみた。

ttp://www■2ch22■com/2ch00356/00356■zip
ttp://www■2ch22■com/2ch00358/00358■zip
ttp://www■2ch22■com/2ch00359/00359■zip
ttp://linainfo■net/movie/mov0028■zip
ttp://www■lineagecojp■com/movie/mov0028■zip
ttp://www■playenline■com/ff11/index/mov■zip

00356.zip : Trojan.Win32.Inject.ado
00358.zip : Trojan-PSW.Win32.OnLineGames.sfa
00359.zip : Trojan-PSW.Win32.OnLineGames.lbb
mov0028.zip : Trojan.Win32.Inject.zo
mov.zip : Trojan-Spy.Win32.Agent.avp
540 ：(^ー^*)ノ～さん ：08/03/25 19:43 ID:9HX5OvbF0: >（.comを入れるとサイトを直接開こうとするので、ぐぐるの危険）
これは無い。Googleツールバーとかの仕業じゃね?
541 ：(^ー^*)ノ～さん ：08/03/26 09:47 ID:FXIdMXGw0: www■bluewoon■com/Blog/k1.exe
www■skywebsv■com/Blog/k1.exe
同一ホスト
542 ：(^ー^*)ノ～さん ：08/03/26 10:01 ID:/8JK83MJ0: >>541
また差し替えか。3/17に拾った検体と中身が違うようだ。

->k1.exe
-->f2.exe
-->gawezuki.exe

gawezuki.exe : Trojan.Win32.Inject.akb
f2.exe : Trojan-PSW.Win32.OnLineGames.vxq

3/14版(3/17に拾った)は、Trojan.Win32.Inject.aex。
3/11に拾った奴は、中身が「gawezuki.exe/f111.exe」で検出名が「Trojan-PSW.Win32.OnLineGames.tge/Trojan.Win32.Inject.adj」
543 ：(^ー^*)ノ～さん ：08/03/26 10:11 ID:FXIdMXGw0: >>542
うむ。同じ系統でk2もある。
www■coconlovely■com/Blog/k2.exe
544 ：(^ー^*)ノ～さん ：08/03/26 13:25 ID:/8JK83MJ0: >>543
なるほど。昼前の入手時点ではこいつはカスペすり抜けてたが、今は検知するな。
しかし、よく見付けてくるものだと感心するよ。GJだ。

Trojan.Win32.Inject.ajx : k2.exe//data0000.cab/hotgome.exe
Trojan-PSW.Win32.OnLineGames.vxq : k2.exe//data0000.cab/f3.exe//PE_Patch//UPack
545 ：(^ー^*)ノ～さん ：08/03/26 13:32 ID:FXIdMXGw0: >>492 と同じなので監視対象にしてるんだけど
bluewoonは初めて見たなーと。

入手先はやっぱりサーパラブログ。利用者が少ないので
ttp://blog.surpara.com/blogList.html
で新着全部見てiframe探してるとすぐ見つかるｗ
利用者が恐ろしく多いFC2クラスになるとやってらんないけど。
546 ：(^ー^*)ノ～さん ：08/03/26 16:49 ID:/8JK83MJ0: >>545
なるほど、おもしろい方法だ。参考になったよ。
547 ：(^ー^*)ノ～さん ：08/03/27 03:16 ID:PX9du1DS0: 【　　アドレス　】http://www5■uploader■jp/user/tane/images/tane_uljp00326■jpg
【気付いた日時】先ほど
【　　　 OS　　】Windows XP SP2
【使用ブラウザ】FireFox
【WindowsUpdateの有無】最後は先週ごろ
【　アンチウイルスソフト】 Macfee
【その他のSecurty対策】 Spybot S&D
【ウイルススキャン結果】検出されず
【スレログやテンプレを読んだか】 Yes
【hosts変更】　有
【PeerGuardian2導入】　有
【説明】
トロイ？というレスがあったので。
548 ：(^ー^*)ノ～さん ：08/03/27 08:04 ID:T3+LltHm0: セキュ板から持ってくんなよ。
ブラクラの類だからあっちに持ち帰ってくれ。
549 ：(^ー^*)ノ～さん ：08/03/27 10:25 ID:T3+LltHm0: >>541-543 のk1、k2含め20匹ほど更新されているのを確認。
550 ：(^ー^*)ノ～さん ：08/03/27 12:12 ID:QcACWMi90: 先日垢ﾊｯｸを受け、それが救済されたのですが、
一連の流れを参考になるようにお伝えしたら、
私の他にも助かる人が出てくるかもしれないと思うのですが、
そういうのをまとめていたり、投稿？出来る場所はあるでしょうか。
垢ハックまとめサイトさんにはそういうのが無かったように思えますが…

スレ違いと感じられたらスルーして頂ければ。
551 ：(^ー^*)ノ～さん ：08/03/27 13:44 ID:YJBQrF2m0: LiveRO
セキュリティ対策、質問・雑談スレ
552 ：(^ー^*)ノ～さん ：08/03/27 15:45 ID:368tmXtn0: まった、LiveROはログが流れた場合消えてしまう
具体的事例でもある事だし、こっちにもなんらかの跡は残して欲しい
LiveROで仮発表して、向こうで文章量を煮詰めてからこっちに転載とかでもいい
とにかくLiveROだけで終わらせるのは止めてくれ
553 ：(^ー^*)ノ～さん ：08/03/27 15:58 ID:PFiru0yl0: >>552

向こうのログ
つhttp://sky.geocities.jp/vs_ro_hack/
差分
つhttp://common.ragna.info/?rosafe_log

一応有志が残してるから気にしなくていいと思う
554 ：(^ー^*)ノ～さん ：08/03/27 16:22 ID:rqtj/8lU0: >>550
投稿はセキュスレに行われることが多いが、こちらでもいい。

スレの趣旨からして、出来たら、ここに書いてくれるとうれしい。
555 ：550 ：08/03/27 17:25 ID:QcACWMi90: >>551-554
上記の方の流れを見る限り、一応こちらで書いた方が良さそうなので、
少し文章を推敲して来ます。
当然必要であればLiveROの方にも転載OKと言うことで。

あまり長くならないようにしますが、長かったらすみません。
少々お待ち下さい。
556 ：550 ：08/03/27 18:48 ID:QcACWMi90: 以下に、アカウントハッキング被害から救済されるまでの一連の流れを紹介します。
ケースバイケースのところもあると思うので、必ずしも同じような流れになるとは限りませんが、
一例と言うことで、他の方々への参考になれば幸いです。

----------------------------------------
01：2月某日にアカウントハックの被害を受けました。
　　この際偶然私はプレイ中だったので、即座に対応に移ることが出来ました。
02：パスワードの変更を試みましたが、キャラクターパスワードはアカウントハック者によって変えられていた為不可能でした。
　　ログインパスワードの方は公式サイト(ガンホーゲームズ)の方で変更しました。
03：ガンホーゲームズのヘルプデスクに被害届を出しました。
　　この際、すぐにゲーム内で私のアイテムを露店で売り出しているキャラを発見したので、その旨も追加で報告しました。
04：翌日、ガンホーの方でアカウントハッキングについて調査を行うとの返答がありました。
　　しかし、ガンホーに任せきりなのは不安だったので、すぐに警察に電話をすることにしました。
05：ガンホーからの返答を受けた翌日、電話で警察に連絡しました。
　　しかし、土日だった為にすぐに警察には動いてもらえず、また、私自身の仕事の都合もあって詳細は後日確認することに。
06：後日、所轄の警察の生活安全課の方と電話で簡単な経緯確認しました。また、今後の方針についても確認しました。
　　内容としては次の通りになります。
　　・いつ被害を受けたか
　　・どの程度の被害を受けたか
　　・被害を救済して欲しいかどうか
　　・犯人の逮捕をどうするか、などです。
07：所轄の警察に出頭要請を受けたので、改めてに警察へ出頭しました。
　　そこで、被害に至までの経緯や今後について詳細を確認、打ち合わせなどを行いました。
　　ここで警察に正式に捜査を依頼したことになります。

- ここまでで基本的に私の対応は終わりになり、以下警察とガンホーの対応になります -
557 ：550 ：08/03/27 18:49 ID:QcACWMi90: 08：警察が、ガンホーに事件の詳細を説明し、捜査協力を要請。(私が警察に話をした事です)
　　ガンホーも協力に応じることを約束してくれます。
　　また、この時点で「不正アクセスによる被害であった場合に限り」データの復旧をしてもらえることを確約してもらっています。
09：警察が、事件のあった日付前後のアクセスログをガンホーに要請。
　　私のケースでは2ヶ月分程度のアクセスログを要請したようです。
　　ガンホーからの解答は、アクセスログは膨大で特定の人間(アカウント)の物だけを抜き出すのには時間が掛かるとの事。
　　また、更に公的機関(警察)への提出文書として体裁を整えるのにも時間が掛かるとの事。
　　この部分が一番時間的に掛かる場所のようです。
10：アクセスログが届くまでの間、警察の方はROの実情、他鯖などの情報、他のアカウントハックに関しての情報、
　　露店の相場etcetc、細かい情報を集めていました。
11：約20日後、アクセスログの解答がガンホーより到着。
　　正確なデータ量は公開出来ませんが、印刷すると2ヶ月分のデータでコピー用紙4,000枚ほどになるらしいです。
　　実際はエクセルか何かかな？のデータだったようですが。
12：アクセスログを閲覧したところ、私の普段接続するIPアドレス以外からのアクセスを、合計6件確認出来ました。
　　これは全て同じIPアドレスからのアクセスでした。
　　なお、私はネットカフェや他人の家などからのログインが一切無かった為、不正アクセス者のIP割り出しが早く出来たようです。
　　ネットカフェなど、複数の場所からログインしている方は、ここで更に時間を食ってしまう事になるかもしれません。
13：アクセスログの不審アクセスは、最初が1月某日に1回で、次が実際にアカウント内アイテムを盗んだ日に5回。
　　1月の件は恐らくアイテムなどの財産の下見では？　というのが警察の分析です。
　　5回と言うのは、アカウントハックされている際に私が自分のアカウントに入り直しなど行った為、
　　相手もやり返しを行った為、回数が増えています。
14：不審アクセスを行っているIPを調べたところ、プロバイダの特定に至ります。
15：更に捜査を進めたところ、東京にある某企業のIPである事が判明します。
　　しかし企業からアカウントハッキングをしたとは考えにくいので、更にIPに関して調査を進めます。
558 ：550 ：08/03/27 18:50 ID:QcACWMi90: 16：調査の結果、中国にある日本向けのプロキシのIPらしい事が、中国の2chのような掲示板に書かれていたようです。
　　中国のサイトだった為、翻訳に少々手間取ったようですが、間違いなく日本向けのプロキシであることが判明しました。。
　　この時点で相手が中国である為、犯人の検挙は出来ない事になりました。
17：不正アクセスのIPをガンホーに照会し、そのIPからどの程度のアクセスがあったかのアクセスログを依頼しました。
18：ガンホーからの解答として、不正アクセスのIPからのアクセスが、160アカウントにもなることが判明。
　　そのうちの数個は自分のアカウントと思われるので、それを除いた約150アカウントが私と同様の被害にあったと予想されました。
19：中国からの不正アクセスであることがほぼ立証出来た為、警察からガンホーの方に私のデータを復旧するよう依頼。
　　ガンホーからの確認項目として以下の点を確認された模様です。
　　・他人にアカウント情報を貸与したりしていないかどうか。
　　・ウィルス対策ソフトはインストールしていたかどうか。
　　・また、ウィルス対策ソフトのパターンファイルは最新版だったかどうか。
　　・その他、不正アクセスにつながるような行為をしていないかどうか。
20：警察が上記確認項目に問題なしとガンホーに通達した為、ガンホーの方で3/13の17:30付けで、
　　アイテムの復旧を行う事をヘルプデスクに返信していました。

- 以下、警察の方との経緯の確認など -

21：ヘルプデスクに返答が来た翌日、警察から電話が来て簡単な経緯を教えてもらいました。
　　また、実際に警察に出頭し、細かい経緯(上記説明)を受けました。
27：ガンホーにアイテム復旧するよう依頼しました。
　　復旧には1～2週間掛かり、かつ復旧のタイミングは基本的に定期メンテの際に行うとの事。

28：約1週間後、アイテムの復旧を確認しました。
　　アイテムの復旧方法は以下の通りでした。
　　・Zenyは全額復旧。ただし、アカウントハック者が倉庫をあけるのに利用した額は補償されません。
　　・装備は全て、武具とカードが分離された状態で復旧。
　　・精錬値はそのまま復旧されました。
　　・属性武器だけは、精錬値同等の店売り武器になりました。
　　　よく聞く名無しの属性武器にはなりませんでした。
559 ：550 ：08/03/27 18:50 ID:QcACWMi90: 長々となってしまいましたが、上記が報告→調査→解答→復旧の流れになります。
順番が前後してしまいましたが、重要な点を挙げておきますと

・ガンホーのヘルプデスクだけではガンホーは殆ど動きません。
　必ず警察に連絡しましょう。
・警察は、いわゆるサイバー犯罪担当の方がベストではありますが、
　地方の方などでサイバー犯罪担当が居ない場合は、私のように生活安全課が担当になるかもしれません。
・警察に出頭する際、捜査費用は基本的に掛かりません。
　警察に行く手間や移動費は当然自己負担ですが。
・日頃からアカウントハッキングに対する対策をしておくことが重要です。
　アンチウィルスソフトなどが入っていないなど、自己防衛の意識に欠けると判断された場合は、
　捜査は行われても、アイテムの補償はされない可能性があります。
・出来るだけ接続箇所(プレイ場所)を少なくすることが、早期解決への道になります。
　ネットカフェ、知人友人の家、学校や会社などからの接続がある場合、
　それらのIPを逐一照会しなくてはならないので、時間が掛かるようになります。
・あまり書くべきではないでしょうが、他人にアカウントを貸与しているような場合は、
　捜査の段階でそれらが露見する可能性があります。
　最悪の場合、アカウントBANに発展する可能性もあると思います。
・犯人検挙に関しては、相手が日本国内の在住であった場合に限り可能なようです。
　外国からの接続は、現在の日本の法整備では対処のしようがないようです。
　また、犯人検挙に関しても、アカウントハッキングの被害者は基本的にガンホーになるので、
　(ガンホーのサーバー内のデータが荒らされた、と見なされるため)
　ガンホー自身が承諾しない場合は、犯人検挙には結びつかない事もあるようです。

以上で、私のケースの紹介になります。
長々となってしまい、申し訳ありませんでした。
ただこれが、別の方の参考になれば幸いです。
長文、連投失礼致しました。
560 ：550 ：08/03/27 18:54 ID:QcACWMi90: あ、最後になりますが。
上記の文は、LiveRO他、基本的にどこでも転載OKですので、
必要な際に自由に利用して下さい。

ただ、一部で故意に垢ハックされて装備とCを分離しようというような動きがあるようですが、
必ずしもアイテムが補償されるわけではないですし、故意にそのようなことを行うのは
非常に問題だと思われますので、それらを含む悪用には使わないようお願い致します。
561 ：(^ー^*)ノ～さん ：08/03/27 19:23 ID:SBtc1PqX0: 【不審なアドレスのクリックの有無　】 http://nicowiki■com/howtomovie■htmlに15時ごろアクセス
【OS】 Windows XP SP2
【使用ブラウザ】 Opera 9
【WindowsUpdateの有無】今週
【　アンチウイルスソフト】ウイルスバスター2008 Updateは3/27（時刻不明）
【その他のSecurty対策】ルータ経由
【ウイルススキャン結果】検出されず
【スレログやテンプレを読んだか】今から読みます
【hosts変更】有りだが、数ヶ月前
【PeerGuardian2導入】無
【Webヘルプデスクへの報告】無
【説明】
上記サイトのリンク先がhttp://www■skywebsv■com/Blog/であり、表示が白紙であることからソースコード確認、
iFrameがあったことからマズイと判断し、起動中のROを終了、
ネットワークケーブルを引っこ抜いてウイルススキャンするも検出されず。
ネットワークケーブル抜いたままいったん再起動後、再度スキャン中。
現在は別のPCから書き込み中。
直近のログ
>>541-542
にもあるようで。。。
感染しているかどうか判別したいので相談させていただきます。
562 ：(^ー^*)ノ～さん ：08/03/27 19:51 ID:rqtj/8lU0: >>561
感染しているかどうかは、>>541-542辺りでカスペが検出可能であることが書かれているので
「差し替えられていなければ」カスペでスキャンすればわかる可能性が高いです。

バスターで検出可能かは、献体を持っている人がバスターのオンラインスキャンをかければわかります。
563 ：(^ー^*)ノ～さん ：08/03/28 03:45 ID:xs/Gf7Rl0: 当方ウイルスバスターユーザーでトレンドマイクロに>>541の検体を提出し、
パターンファイル5.189.00(3/27昼アップデート)での検出を確認しています。
しかし、現在ダウンロードできるものは検出しないため、差し替えられた可能性大です。

>>541検体回収＆提出日時
3/26 12:08
564 ：(^ー^*)ノ～さん ：08/03/28 07:13 ID:O3hXW84h0: 差し替えは >>549 入れ違いになったねｗ
565 ：561 ：08/03/28 09:53 ID:kWZHsqTB0: 経過報告。
朝の時点でカスペルスキーのオンラインスキャンで検出されず。
再インストールの時間が割けないため、該当PCをネットワークから切断して様子見。
しばらく経ってもう一度カスペのオンラインスキャンをかけようかと。
なお、561時点のパターンファイルが5.187.00、20:14に5.189.00にアップデートでした。。。
566 ：(^ー^*)ノ～さん ：08/03/28 10:05 ID:O3hXW84h0: Operaだから罠スクリプトが動かなかったんじゃないか?
567 ：(^ー^*)ノ～さん ：08/03/28 11:05 ID:/0FSiuw30: ゲーム中に発覚したからあれだろうけど
>>550の件も、RO関係しか触れてないけど
並行して他の情報も抜かれたりしないの？

それともROに限定したバックドアなら作りやすいってことなのかな？
568 ：(^ー^*)ノ～さん ：08/03/28 11:11 ID:O3hXW84h0: FFXIのジョブ板に爆撃されたもの

www■falurl■com/
temateman■com/
www■6828teacup■com/
www■yahddjp■org■cn/bo-boka/a220899a.jpg
www■yahddjp■org■cn/2cnf1/assdo/1203585309085.jpg

全て
www■k5dionne■com/ma/
www■k5dionne■com/ma/xia.exe

Kaspersky Trojan-Downloader.Win32.Delf.dsz
Dr.WEB Trojan.PWS.Gamania.6603
569 ：561 ：08/03/28 11:33 ID:kWZHsqTB0: >>566
割とそれに期待。マイナーなOperaのマイナーさを頼りに・・・
正直、無理に取ったリフレ休暇を再インストに使いたくはないorz
570 ：(^ー^*)ノ～さん ：08/03/28 11:38 ID:O3hXW84h0: >>569
もー。見てきた。
MDACのActiveXコントロールの脆弱性狙いだから
IEでしか動かんよ。
571 ：(^ー^*)ノ～さん ：08/03/28 12:58 ID:yK/lnLIl0: 普段バスター2008を使ってるんだけど、試しにカスペのオンラインスキャン掛けたら
ウィルスが1個引っかかった。
system volume informationの中にあるっぽいんだけど、バスターじゃ処理できないし、
個別に削除してやろうと思ったらファイルが表示されない。
そもそもぐぐっても英語のサイトで、roに関係あるウィルスかは分からないんだけど…
どうしたらいいでしょうか？

以下カスペで検出した際のログのコピペ
D:\System Volume Information\_restore{BD271FAB-74A3-41F7-A6E5-AAA9D401697E}\RP49\A0009514.EXE/stream/data0019 感染: not-a-virus:AdWare.Win32.Gator.3202 スキップ

D:\System Volume Information\_restore{BD271FAB-74A3-41F7-A6E5-AAA9D401697E}\RP49\A0009514.EXE/stream 感染: not-a-virus:AdWare.Win32.Gator.3202 スキップ

D:\System Volume Information\_restore{BD271FAB-74A3-41F7-A6E5-AAA9D401697E}\RP49\A0009514.EXE NSIS: 感染 - 2 スキップ

D:\System Volume Information\_restore{BD271FAB-74A3-41F7-A6E5-AAA9D401697E}\RP86\change.log ロックされていますスキップ

G:\System Volume Information\MountPointManagerRemoteDatabase ロックされていますスキップ

G:\System Volume Information\_restore{BD271FAB-74A3-41F7-A6E5-AAA9D401697E}\RP33\A0003524.exe/stream/data0019 感染: not-a-virus:AdWare.Win32.Gator.3202 スキップ

G:\System Volume Information\_restore{BD271FAB-74A3-41F7-A6E5-AAA9D401697E}\RP33\A0003524.exe/stream 感染: not-a-virus:AdWare.Win32.Gator.3202 スキップ

G:\System Volume Information\_restore{BD271FAB-74A3-41F7-A6E5-AAA9D401697E}\RP33\A0003524.exe

なお、DドライブとGドライブはミラリング…でもないけど、バックアップで時々同期してるから
恐らく同一ファイルのはず。
対処方法あったらよろしくお願いします。
572 ：(^ー^*)ノ～さん ：08/03/28 13:00 ID:O3hXW84h0: Gator踏んだのか。アカハック関係ないのでググってね。
ちなみにSystem Volume Informationはシステムの復元の時にしか使わないので
復元しないなら放置でおっけ。
573 ：(^ー^*)ノ～さん ：08/03/28 13:02 ID:yK/lnLIl0: あ、ちなみにファイルが表示されないと言うのは
sysvolume～が表示されないのではなくて、
{BD271～以下略\RP33\　の中でA0003524.exeのみ表示されないです。
そのほかのファイルは表示されてるようです。
574 ：(^ー^*)ノ～さん ：08/03/28 13:02 ID:xTF+ruD70: >>517
その手の一般的なセキュリティについてはセキュスレへどうぞ
書いてあるとおりに、アドウェアで、ウイルスではないので、消さなくても構わない。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
575 ：(^ー^*)ノ～さん ：08/03/28 13:11 ID:yK/lnLIl0: >>572,574
垢ハック関係なかったってことで安心したよ。
後でもう少し調べて見ます。
ありがとうございました。
576 ：561 ：08/03/28 13:24 ID:kWZHsqTB0: >>570
確認Thanks
先頃もっかいカスペでスキャンしたが感染無しでした。
ありがとうございました。
577 ：(^ー^*)ノ～さん ：08/03/29 13:30 ID:wUl6oFc40: >2にある
>・リネージュ資料室 (応用可能な情報が多数)
>　http://lineage.nyx.bne.jp/
が、3/29付で移転しております。
ttp://lineage.paix.jp/
に、自動で転送されますが、PeerGuardian2用リストは登録し直しが必要になるそうです。
578 ：(^ー^*)ノ～さん ：08/03/29 14:42 ID:70aOROei0: >577
当然ながら、hostsリストもアドが変更になってる。

特にhostsRenew使ってて、更に自動更新かけてる人は必ず設定の変更を。
BSWikiさんのリストを組み込んでたり、hostsAppend=0にしてたらまだ平気だけど
デフォ設定のままだと、ごっそりと情報が欠落することになる。
579 ：(^ー^*)ノ～さん ：08/03/29 14:45 ID:70aOROei0: って、重要な話なので、ageときます
580 ：(^ー^*)ノ～さん ：08/03/29 16:16 ID:BhUqmq+C0: www■gamerost■com/
(略)
www■gamerost■com/npceok.exe
581 ：(^ー^*)ノ～さん ：08/03/30 16:06 ID:4aQKC+mK0: ｜1 尾崎 New! 08/03/30 14:35:06 ID:PjqA86Ad
｜（カブキ忍者）ブローチ（小龍舞）ブレッシング１０速度増加１０ハイスピードポーション AGI10料理 DEX10料理使用...RO アサクロ AX ASPD 190
｜www■livedoor-bbs■com/pics0216/0216■zip

鯖板に立てられていたスレから。

カスペ検出名：Trojan.Win32.Inject.aiv
582 ：(^ー^*)ノ～さん ：08/03/30 17:19 ID:XV9To9iG0: ttp://uk.groups.yahoo.com/group/Mp3_Ringtones_from_Ringtones_World/

↑のアドレスって垢ハク？

どこかに判断識別サイトってなかったっけ？
583 ：(^ー^*)ノ～さん ：08/03/30 17:21 ID:30IInOwT0: そういうスレじゃねーからここ
584 ：(^ー^*)ノ～さん ：08/03/30 17:22 ID:csTynZLH0: >>582
「 . 」を「■」に変えてください。
とりあえず、削除依頼に行ってきて下さい。
585 ：(^ー^*)ノ～さん ：08/03/30 17:22 ID:um7r45Ds0: 1を死ぬまで読み返して来世で質問しろ
586 ：(^ー^*)ノ～さん ：08/03/30 17:24 ID:4aQKC+mK0: >>582
まずは、管理板@MMOBBSに削除依頼を。

・ここは鑑定スレではない
・ソースチェッカーオンラインなら>>7
・危険かもしれないアドレスを■への置き換えなしで貼り付ける行為は削除対象
・相談などはテンプレにて
587 ：(^ー^*)ノ～さん ：08/03/30 17:29 ID:4aQKC+mK0: >>580
あー、検体拾ってフォルダに格納する際に（指が震えたのか…ダブルクリック扱いに…）発動させました。orz

慌ててカスペをアクティブにしたところ、C:\WINDOWS\Debug\0C9C4681802F.dll が検知されました。
反面教師な、発動させた時の報告でした。（再起動時に削除し、除去完了）

即刻削除した為に、データの送信先は未確認です。

検出名は、Trojan-PSW.Win32.Magania.imm。検出されたDLLも検体として保存しましたが、exeと同じ検出名でした。
588 ：(^ー^*)ノ～さん ：08/04/01 22:01 ID:Yjdb7tZ/0: 目の前で垢ハック露店に並んだレアな品々が一気に買われていった
何か切なくなった
589 ：(^ー^*)ノ～さん ：08/04/02 01:37 ID:jyy2mltz0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
590 ：(^ー^*)ノ～さん ：08/04/04 21:35 ID:F/sn0v+o0: >>589のようなｱﾌｫが重要な情報を埋めてしまわないように
とっとと埋めてタイトル変えようぜ
591 ：(^ー^*)ノ～さん ：08/04/04 21:57 ID:5U68yTrB0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
592 ：(^ー^*)ノ～さん ：08/04/06 18:42 ID:fVrHMNfX0: PSU-Wikiで採れたて。
www■skywebsv■com/Blog/
-> www■skywebsv■com/Blog/index1.htm
--> www■bluewoon■com/Blog/k1■exe

昨日の時点でVirusTotalの履歴あり。
ttp://www.virustotal.com/jp/analisis/93ef9a0ebe73e332549056baf065dcf7
593 ：(^ー^*)ノ～さん ：08/04/09 20:16 ID:wLkYeswI0: バッジョ 2008/04/09 14:53
おっくせんまん - Ver.☆ (Anime)
てます。動画のアニメはDNAという人が作ったものを使わせていただきました。「DNAのどうRO」
http://www■exbloog■com/7112888/000029■zip

ｳｳﾞｧｰ('A
594 ：(^ー^*)ノ～さん ：08/04/09 20:59 ID:pt9EcMtV0: >>593
カスペで類似も全部撃墜。
000027の検出名は、2/25に検体提出したものと同じでした。この辺は、入れ代わっていないかも。

ttp://www■exbloog■com/7112888/000029■zip
ttp://www■exbloog■com/7112887/000028■zip
ttp://www■exbloog■com/7112886/000027■zip
ttp://www■exbloog■com/7112885/000026■zip
ttp://www■exbloog■com/Ragnarok/roeng■zip

Trojan-PSW.Win32.Delf.ads : 000026.zip/000026.wmv.scr//data.rar/013.exe
Trojan-PSW.Win32.OnLineGames.sfa : 000027.zip/000027.wmv.scr//data.rar/013.exe
Trojan-PSW.Win32.QQPass.xw : 000028.zip/000028.wmv.scr//data.rar/013.exe//UPack
Trojan.Win32.Inject.aad : 000029.zip/mov000029.wmv.scr//data.rar/013.exe
Trojan.Win32.Inject.aad : roeng.zip
595 ：(^ー^*)ノ～さん ：08/04/16 03:07 ID:pCfHgaLf0: ここでも何度か報告例のあったSURPARA BLOG、いよいよiframeタグの一時的な使用停止に乗り出した。
ttp://blog.surpara.com/staffblog/archive/2008/04/48875.html
>こちらの改修により、IFRAMEタグ及びそれに囲まれた範囲の文書は確認画面の段階で消去されます。
>後日、許可されたドメインに向けたものに限りIFRAMEタグを利用できるよう改修を行う予定です（ドメインの許可方法等に
>つきましては後日改修時に告知致します）。

未だにiframeを透過してしまう同業他社サービスも、これに追随するようにユーザーが働きかける流れが出来れば幸いと思い、
あえてこちらに書く。

# 一般的な対策ではなく、コンテンツプロバイダに対しての啓蒙運動みたいなものだし。
596 ：(^ー^*)ノ～さん ：08/04/16 13:13 ID:Q6/4PDFF0: NOD32アンチウイルス体験版て期限切れたらまた入れなおして使ってもok？
597 ：(^ー^*)ノ～さん ：08/04/16 13:16 ID:jYvVWh+Q0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
598 ：(^ー^*)ノ～さん ：08/04/17 01:31 ID:hlIIq9ty0: 3分で糞レス返すなんてどんだけ暇なんだｗｗｗｗｗｗｗｗｗｗ
休日なら休め！　ニートなら仕事探せ！
599 ：(^ー^*)ノ～さん ：08/04/17 07:23 ID:O0CvWP9J0: BOTだと思おうぜ
600 ：(^ー^*)ノ～さん ：08/04/17 09:12 ID:wmQbZk390: Nice bot.

掲示板に戻る全部前100 次100 最新50

read.cgi ver5.26 + n2 (02/10/01)