アカウントハック総合対策スレ9

■掲示板に戻る■ 全部 1- 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 最新50

レス数が1000を超えています。残念ながら全部は表示しません。

アカウントハック総合対策スレ9

1 ：夢 ★ ：07/11/25 11:04 ID:???0: アカウントハックに関する情報の集積・分析を目的とするスレです。
被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

・関連＆参考情報アドレス (>>2)
・報告用＆質問用テンプレ (>>3, >>4)
・アカウントハック対応の要点とFAQ (>>5)
・安全対策の簡易まとめ (>>6)
・アカウントハッキングについて（ガンホー公式）
　 http://www.ragnarokonline.jp/playguide/hacking/

■スレの性格上、誤って危険なURLがそのまま貼られてしまう可能性がある■
■URLを無闇に踏んで回らないこと。報告・相談はテンプレを利用すること■

※ ID/Pass/サーバ/キャラ名等の情報は公開しないでください
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません
※ ネタや程度を超えた雑談・脱線はご遠慮ください

・スレ立て依頼は>>970がしてください。反応がなければ以降10ごとに。

【一般的話題用】
セキュリティ対策、質問・雑談スレ3
　http://enif.mmobbs.com/test/read.cgi/livero/1186660300/
675 ：(^ー^*)ノ～さん ：08/05/13 21:28 ID:803LoA8v0: >>674
>>648
676 ：(^ー^*)ノ～さん ：08/05/15 21:17 ID:yfGu3Gcc0: 誘導に見せかけた荒らしがまだいるんだな
677 ：(^ー^*)ノ～さん ：08/05/15 21:26 ID:lzwxq9FT0: ここ数ヶ月インジェクションされているURIを集めてみました
(上に行くほど新しい)。死活チェックはしていません。

www■adword71■com
www■wowgm2■cn
www■wow112■cn
www■wowgm1■cn
www■killwow1■cn
9i5t■cn
www■kisswow■com■cn
www■wowyeye■cn
www■ririwow■cn
www■caocaowow■cn
www■direct84■com
www■11910■net
computershello■cn
winzipices■cn
www■nihaorr1■com
www■aspder■com
www■nmidahena■com
www■414151■com
www■fccja■com
www■hellh■net
www■dda3■net
www■2117966■net
yl18■net
c■uc8010■com
ucmal■com
free■hostpinoy■info
xprmn4u■info
bbs■jueduizuan■com
free■edivid■info
www■z008■net
www■bluell■cn
www■pkck■cn
usuc■us
h28■8800■org
b15■3322■org
678 ：まとめ臨時 ◆kJfhJwdLoM ：08/05/16 04:04 ID:W5gQDi0+0: 情報ありがとうございます。
早速抜け落ちている部分を追加しました。

照合する際にFFXI(仮)というブログに行き着いたのですが、
FF関連も確認している方なのかな…とか。

リネージュ２関連やFF関連で
ここのようなアカウントハック対策の最前線スレをご存知であれば
そちらの方もチェックしてみたいので是非教えていただきたく。
679 ：(^ー^*)ノ～さん ：08/05/16 05:14 ID:yptqHu080: >>678
ネ実1(FFXI)
●● RMT業者の垢ハックが多発している件19 ●●
http://live27.2ch.net/test/read.cgi/ogame/1210116788/

リネ2に関しては、資料室が代表格になっているので、他にこれというべき情報は無いかもしれない。
680 ：(^ー^*)ノ～さん ：08/05/16 12:43 ID:YTXXOpnV0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
681 ：(^ー^*)ノ～さん ：08/05/16 18:50 ID:SiCTqLDm0: 【　　アドレス　】不明
【気付いた日時】今日の14時ころ
【　　　 OS　　】Windows Vista
【使用ブラウザ】IE7
【WindowsUpdateの有無】自動更新
【　アンチウイルスソフト】 NortonInternetSecurity2007、最新まで更新済み
【その他のSecurty対策】なし
【ウイルススキャン結果】カスペルスキーオンラインスキャンで発見
【スレログやテンプレを読んだか】 Yes
【hosts変更】
【PeerGuardian2導入】無
【説明】
パソコンは旦那と共有で使っています。
普段はノートンのスキャンをしていて、週末や多くブログ見た時だけカスペのスキャンしていました。
ノートンの方では反応しなかったのですがカスペの方で下の結果が出ました。

C:\Users\PC名\AppData\Local\Temp\symlcsv1.exe
Trojan-Clicker.Win32.Agent.aig

別のパソコンからパスの変更を終えて垢が無事なのは確認しました。
上のウィルスがROの垢ハックなのか知ってる人がいたら教えていただきたいです。
また削除してカスペのスキャンで感染がなくなってたらリカバリは必要ないでしょうか？
682 ：(^ー^*)ノ～さん ：08/05/16 19:05 ID:J6UupXqf0: セキュスレ向きな内容なので簡単に。

Trojan-Clicker は特定のサイトのカウンタを回すトロイ。
どちらかと言えばスパイウェア。
アフィ稼ぎみたいな奴で　基　本　的　にはハクとは無関係。

しかしハク機能を持ってるかどうかは不明だし、他にも未検出の
トロイがいるかもしれない。

検出出来たものは駆除出来ても、検出出来ない物は駆除出来ない。
駆除して100%無害であるとは誰も保証できない。

なので、検出結果を信用して駆除して安心するか、念には念を入れて
リカバリをするか、は好きな方を選べばいい。
683 ：まとめ臨時 ◆kJfhJwdLoM ：08/05/16 19:39 ID:Ia5vrROC0: >>682さんが回答しているので補足？として。

カスペ検索で見つかった現物と該当名のファイルが同じかは判りませんが、
とりあえず単純にGoogle先生で検索を掛けると
ノートン2007で自動生成されるファイルのとのこと。
起動時に勝手に作るそうです。詳しくは上記URL参照。

●デジタルわかめ "ノートン2007が生成するsymlcsv1.exe"
ttp://blitzkrieg.paslog.jp/article/612531.html

Googleで検索する癖をつけるとよいかもですね。
684 ：まとめ臨時 ◆kJfhJwdLoM ：08/05/16 19:56 ID:Ia5vrROC0: >>679
情報ありがとうございます。
あちらで危険ドメインを早期に取得できるようであれば拾ってきます。
リネージュ資料室さんはいつも手早く拾ってきていらっしゃるので、
どこかそのような場所があるのかなと気になっていたのです。

そしてリスト更新しました。→　http://sky.geocities.jp/ro_hp_add/
685 ：(^ー^*)ノ～さん ：08/05/16 20:48 ID:UfGuTnCaO: >>682>>683
レスありがとうございます。
後付けなので先に書けばよかったと激しく後悔したんですが
Trojan～をgoogleで検索したんですが英語サイトのみでROに繋がらず
カスペのウィルス名検索(？)でもヒットしなかったので書き込ませていただきました。
本当にありがとうございました。
686 ：(^ー^*)ノ～さん ：08/05/17 16:38 ID:TpoRdpFA0: どうしよう
REDSTONEというネトゲのしたらばに書いてあったURLに
エロ単語が入ってたからつい入っちゃって・・・
で、書いてたURLと違うURLが表示されてたんだけど
これってよくあるパターン？
再インストールしないといけないかな・・・
687 ：(^ー^*)ノ～さん ：08/05/17 16:39 ID:TpoRdpFA0: あ、ここってラグナロク板のスレだったのか。スマソ
688 ：(^ー^*)ノ～さん ：08/05/17 18:29 ID:MMLxYGfy0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
689 ：(^ー^*)ノ～さん ：08/05/20 02:16 ID:QXU0ajFu0: スレ違いだったらすまん。

ttp://yaplog■jp/lmhtmy/
知り合いのブログのコメントから↑のブログに行ったんだが
AntiVirが何度も反応したんだ。
んで仲介してる（？）アドレスを調べたら、発信源は中国と出たんだ。
（こいつ→ttp://www■wacacop■net/wiki/index1■htm）
こいつは垢ハックウイルスを落とさせようとしてるサイトでいいんだろうか？

ブログを書いてる知り合いに注意を呼びかけたいと思うんで、どうなのかを知りたい。
無知ですまん。
690 ：(^ー^*)ノ～さん ：08/05/20 02:18 ID:HPYbAYFu0: まずは"wacacop"でこのスレを検索するところから始めようか
691 ：(^ー^*)ノ～さん ：08/05/20 02:42 ID:aF7yzAC+0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
692 ：(^ー^*)ノ～さん ：08/05/20 03:06 ID:NZCtfbYw0: >>689
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/606-
スレ違いではないけど南無
693 ：(^ー^*)ノ～さん ：08/05/20 10:12 ID:0wY639Cb0: タイトルとテンプレを見ても何をするためのスレなのかいまいち
分かりにくいから、スレ違いとかでてきちゃうんだろうなぁ。
694 ：sage ：08/05/20 11:17 ID:z/vNdz/U0: 【　　　気付いた日時　　　　　】5月19日
【不審なアドレスのクリックの有無　】No
【他人にID/Passを教えた事の有無】No
【他人が貴方のPCを使う可能性の有無】Yes
【　　ツールの使用の有無　　　】No
【　ネットカフェの利用の有無　　　】Yes
【　　　 OS　　】WindowsVista HomeEdition
【使用ブラウザ】IE
【WindowsUpdateの有無】No
【　アンチウイルスソフト】Kaspersky Internet Security 7.0
【その他のSecurty対策】No
【ウイルススキャン結果】ウィルスは発見できませんでした。
【スレログやテンプレを読んだか】Yes
【hosts変更】No
【PeerGuardian2導入】No
【Webヘルプデスクへの報告】Yes
【説明】
19日ＲＯにログインしようとするも、アトラクションパスワードが変更されており、ＲＯにログインすることができませんでした。
アトラクションセンターにログインし、アトラクションパスワードを変更後、ＲＯにログイン。
アイテムをチェックしたところ、約３０種類程のアイテムとＺｅｎｙが一部がハックされていました。
ＰＣが１台しかない為、ウィルス感染したと思われるＰＣでＲＯにログインしました。
その後ガンホーに通報し、友人に頼み友人のＰＣからガンホーＩＤ、パスワード、アトラクションパスワード、キャラクターパスワードの
変更をしてもらいました。
その後は１度もＲＯ、アトラクションセンターにログインしておりません。
この後すぐにＰＣはメーカーに引き取って貰い、クリーンインストールしてもらう予定です。
スキャンしてもウィルスがみつからない為、クリーンインストールした後ＲＯにログインしても大丈夫かどうかすごく不安です・・・。
695 ：(^ー^*)ノ～さん ：08/05/20 11:37 ID:ve66P2Iq0: >694
南無……

>【　ネットカフェの利用の有無　　　】Yes
>【　アンチウイルスソフト】Kaspersky Internet Security 7.0
>【ウイルススキャン結果】ウィルスは発見できませんでした。

ネットカフェからROやアトラクションセンターに入った事があるなら
そこで漏れた可能性が高い気がする。

知人にPASS変更してもらったと言うことなので、その知人のPCが安全なら
これ以上の被害は出ない。

>スキャンしてもウィルスがみつからない為、クリーンインストールした後
>ＲＯにログインしても大丈夫かどうかすごく不安です・・・。

クリーンインストールをした時点で、PC内部からウィルスは(居たとしても)
消えてる。
別ドライブに残ってても発動はしないので、即ウィンドウズアップデートして
アンチウィルスソフト入れて、チェックすればOK。

それと
>【WindowsUpdateの有無】No
これは非常にマズイ。
自分のPCから感染したかどうかは定かじゃないとはいえ、WUは毎月必ずしないとダメ。

後、アカハックは立派な犯罪なので、警察に被害届を。
警察からじゃないと癌は動かない。

それとまとめ臨時の人の所(>9)に、警察への通報から救済までのレポが
載ってるので一読を。
696 ：(^ー^*)ノ～さん ：08/05/20 11:52 ID:gWrmPH5T0: ＞【他人が貴方のPCを使う可能性の有無】Yes
むしろここも問題では？…
ID･パスまで知られてるかどうかはわからないけど。
697 ：(^ー^*)ノ～さん ：08/05/20 11:54 ID:z/vNdz/U0: >695さん
丁寧に有難うございます。
書き忘れていたのですが、ネカフェから帰宅後、自宅のＰＣでパスワード変更を行いました。
ですので何かしらのウィルスに感染していると思われます・・・。
WindowsUpdateはよくわからなかったので今までやっていなかったのですが、今後はきちんとやろうと思います。
アンチウィルスソフトはカスペ以外にも入れておいた方が良いのでしょうか？

また、一、二度友人のPCからROにログインしたことがあるのですが、友人宅のブロバイダ名が分からなかった為、
通報の際に友人宅のブロバイダ名を入力しなかったのですが、友人宅に警察が捜査に行くことになる、ということはあるのでしょうか？

少々テンパっていて文章がおかしいかと思いますがすいません・・・。
698 ：(^ー^*)ノ～さん ：08/05/20 11:55 ID:iqeGDvW10: その他人が家族なのか、本当に他人なのかだな
699 ：(^ー^*)ノ～さん ：08/05/20 11:57 ID:z/vNdz/U0: 追記です。
>696さん
家族とPCを兼用ですが、ROのIDパスワードは誰にも教えていないし、保存もしていないので
家族の誰かがROをやるということは不可能です。
自分以外の誰かが垢ハックを踏んでしまっていたらそれまでですが・・・。
700 ：(^ー^*)ノ～さん ：08/05/20 12:07 ID:0wY639Cb0: GungHo-IDとpassが割れたらゲームアカウントのセキュリティは皆無です。
どの場面でそれを入力する機会があったか思い出してください。
701 ：(^ー^*)ノ～さん ：08/05/20 12:08 ID:ve66P2Iq0: ちょいと情報整理

A)ネカフェ利用時の状況
　　1.ROをプレイ
　　2.アトラクションセンターもログイン
　　3.パスが絡むものは何もなし

B)帰宅後のパス変更について
　　1.ROのパスを変更
　　2.アトラクションセンターのパスも変更
　　3.その他ネカフェで使った他のパスワードも変更

C)友人宅でROを遊んだ時の状況
　　1.アンチウィルス対策は万全
　　2.セキュリティには無頓着で何もしてない

D)パス変更を頼んだ友人は
　　1.Cと同じ人
　　2.Cとは別人で、セキュリティ万全
　　3.Cとは別人で、セキュリティには無頓着

>アンチウィルスソフトはカスペ以外にも入れておいた方が良いのでしょうか？
複数入れると干渉して不安定になりがちなので、一度アンインストールしてから
別のを入れる、という形になる

念のため、パターンを更新して再度カスペでHDD全チェック。
次にカスペを消して、AVGあたりを入れて再度チェック、かな。
702 ：694 ：08/05/20 12:19 ID:z/vNdz/U0: 返信ありがとうございます。
>A)ネカフェ利用時の状況
　　>1.ROをプレイ
　　>2.アトラクションセンターもログイン
　　>3.パスが絡むものは何もなし

ネカフェからアトラクションセンターにログインし、パワーアップチケットの入力、１Dayチケットの入力をしました。

>B)帰宅後のパス変更について
　　>1.ROのパスを変更
　　>2.アトラクションセンターのパスも変更
　　>3.その他ネカフェで使った他のパスワードも変更

ROにログインする為に必要なパスワードしか変更していませんでした。

>C)友人宅でROを遊んだ時の状況
　　>1.アンチウィルス対策は万全
　　>2.セキュリティには無頓着で何もしてない

ウィルスバスターが入っていたと思います。
バージョン等は覚えておりません。

>D)パス変更を頼んだ友人は
　　>1.Cと同じ人
　　>2.Cとは別人で、セキュリティ万全
　　>3.Cとは別人で、セキュリティには無頓着

Cとは別の人です。
ただ、セキュリティソフトは何が入っているかわかりませんが、入っていたと思います。

>700さん
そうだったんですか・・・。
ネカフェから帰ってROログインに必要なパスワードしか変更していなかったのがいけなかったんですねorz
703 ：(^ー^*)ノ～さん ：08/05/20 13:50 ID:XD2h5pY20: >>694,702
ネカフェからの利用履歴があるみたいだけど、LiveROのネカフェスレで推奨されていた事前チェックはどの程度行っていたかな。
具体的には、利用開始時に手動でのシャットダウン、環境復元ソフトの正常動作確認、何らかのウイルススキャン、利用終了時の
手動シャットダウンなど。

それと、利用時点でのレシートが手元に残っているならば、それも今後の追跡調査で必要になるかもしれない。
何らかの「仕込み」が行われていた場合に、状況特定に繋がる可能性がある事に加え、自宅以外からの接続点を明確に限定する
材料にもなるから。
704 ：(^ー^*)ノ～さん ：08/05/20 14:19 ID:ve66P2Iq0: >702
感染源がネカフェと断定された訳じゃない。
あくまでも状況分析のために聞いただけ。

カスペで再チェック＋他のアンチウィルスソフトでもチェックして、トロイが見つかれば
自PCが感染源だった、で終わる話。
しかし、もし見つからなかった場合は他で抜かれたことになる。

つまり、ROを遊んだ友人のPC、又はネカフェが感染してる可能性が高いという事に。
705 ：694 ：08/05/20 14:40 ID:z/vNdz/U0: 返信ありがとうございます。
>703さん
環境復元ソフトの正常動作確認、利用終了時の手動シャットダウンは行いました。
ウイルススキャンは時間がかかりすぎてしまう為、行いませんでした。
（環境復元ソフトが正常に動作していた為、大丈夫だろうと思いました。）
利用時のレシートは手元に残っておりません。

>704さん
カスペで再チェックをしましたが、ウイルスは発見できませんでした。
ROを遊んだ友人のPCですが、その友人も一緒にROをプレイしているのですが、被害はないそうです。

また、今分かった事なのですが、２～３か月程前に私がログインできない状況なのに、
ROに一瞬ログインしたことが何度かある、という話をその友人から聞きました。
当初はネカフェにでも行ってROをしているのかな？と思っていたらしいです。
ですので、もしかしたら結構前にどこかでウイルスに感染している可能性があるかと思います・・・。

警察の方にはきちんと通報し、調査依頼を出すことにします。
PCのクリーンインストールが終わり、手元に戻ってきたらガンホーへの通報に対する返信を確認し、
サイバー犯罪対策センターに電話してみようと思います。
706 ：694 ：08/05/20 15:47 ID:z/vNdz/U0: 追記です。
avast!でスキャンをかけてみましたが、やはりウイルスは発見できませんでした。
自宅のPCではなくネカフェでガンホーID、パスワードを抜かれたんですかね・・・？
とにかくヨドバシに行ってPCリカバリーをお願いしてきます。
707 ：(^ー^*)ノ～さん ：08/05/20 16:23 ID:ve66P2Iq0: ・以前、どこかでパスを抜かれた
・その後数ヶ月泳がされてた
・どうやら自分のPCからの流出ではなさそう
という事なら

>ROを遊んだ友人のPCですが、その友人も一緒にROをプレイしているのですが、被害はないそうです。

その友人のPCも疑う対象になる。
今も泳がされてるだけ、って可能性が無きにしも非ずなので、念のためにその友人にも
HDDをフルチェックしてもらい、確実に安全と言える環境からパスを変更してもらった方が
いいと思う。

もしその友人のPCも綺麗だったら、ネットカフェが原因って事になるだろうけど
利用してる店が複数あるなら厄介な事に。
708 ：694 ：08/05/20 16:26 ID:z/vNdz/U0: 返信ありがとうございます。
>・以前、どこかでパスを抜かれた
>・その後数ヶ月泳がされてた
>・どうやら自分のPCからの流出ではなさそう

多分この状況だと思います。
友人のPCもウイルスチェックしてもらいます。
ネカフェは３件の店でROにログインしたことがあります。
709 ：(^ー^*)ノ～さん ：08/05/20 17:56 ID:YkSEbAsH0: これを機に再インストールくらい自分でできるようになろうぜ
710 ：(^ー^*)ノ～さん ：08/05/21 21:31 ID:Bzh5Pj//0: 中３、高１男子がオンラインゲームに不正アクセス
ttp://sankei.jp.msn.com/affairs/crime/080521/crm0805212011027-n1.htm
711 ：(^ー^*)ノ～さん ：08/05/21 22:59 ID:AxAm/g4q0: 被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
712 ：(^ー^*)ノ～さん ：08/05/22 01:32 ID:n52tVv5g0: >>711
>>600
>>609
>>610
>>614
>>631
>>648
>>657
713 ：(^ー^*)ノ～さん ：08/05/22 01:41 ID:5BqqbrRQ0: http://enif.mmobbs.com/test/read.cgi/livero/1205488101/540-566
714 ：(^ー^*)ノ～さん ：08/05/22 10:00 ID:7Itg5rj70: 朝からごめん、助けてほしい……

【　　アドレス　】www3■atwiki■jp/furin/　だと思う……
【気付いた日時】 5月22日09時前後
【　　　 OS　　】 XPPro SP2
【使用ブラウザ】 IE6.0
【WindowsUpdateの有無】有　自動更新任せ
【　アンチウイルスソフト】 Avast!4.7？
【その他のSecurty対策】 SpyBot＋ルーター
【ウイルススキャン結果】
　カスペオンラインスキャンで
C:\Program Files\Hudson\MasterOfEpic\cgMoEDrv.dll
が
Backdoor.Win32.Rbot.psr
に感染しているらしい。
【スレログやテンプレを読んだか】 YES
【hosts変更】
【PeerGuardian2導入】無
【説明】
上記のURLの更新一覧から、最新更新分（5月20日洗面鬼）をクリックした所、
本文が何も書いていないページが出現した。
更新忘れかと放置したものの、動作がやけに重いので、不安になってチェックをかけてみたら、ROとは違うMMOのファイルがウィルスとして出てきた。
（上のMOEはかれこれ半年以上触ってもいない）
毎晩寝る前にスキャンをしていて、昨日の時点では出ていなかったので、今日中に踏んだっぽい。

上の結果を見てすぐに、携帯のPCサイトビューアーからID・アカウントパスを変更したんだが、
Backdoorというウィルスの種類はあっても、Backdoor.Win32.Rbot.psrなんてウィルスはぐぐっても出てこないんだorz

垢ハックなのかも不明だけど、感染ファイルが格納されている\Hudsonごと削除すれば問題ないのかな(´･ω･`)
715 ：(^ー^*)ノ～さん ：08/05/22 10:12 ID:L7LozTmd0: cgMoEDrv.dll でググる
716 ：714 ：08/05/22 11:46 ID:7Itg5rj70: >>715
ググってきた。

＞409 ：名無しオンライン：2007/12/27(木) 21:48:22.42 ID:F68edPSR
＞Openβ時代からcgMoEDrv.dll の挙動にはいろいろ問題が報告されているが
＞それは仕様がムチャクチャだからなだけで別にトロイじゃないって事

誤検出っぽいかな？
同じソフト入れてるもう一台の方は、バスターなんだが、そっちじゃ引っかからなかったし。
Avast!じゃなくて、今まで検出しなかったカスペで引っかかったって点が引っかかるけど、
幾分か気が楽になったよｱﾘｶﾞﾄｳ(´･ω･`)ﾉｼ仕事行ってくる。
717 ：(^ー^*)ノ～さん ：08/05/22 11:53 ID:FQ7kOWzm0: ところで、垢ハック系のウィルス・トロイは、
キーロガーみたいな感じで情報を抜かれるのですか？
それとも、PCの情報ごと全て抜くみたいな感じですか？
718 ：(^ー^*)ノ～さん ：08/05/22 12:03 ID:leZUNaZJ0: >>717
前者は知られている。後者は知られていないが今後ないとは言い切れない。
でも、漠然とした質問はセキュスレが担当なので、次回からはセキュスレをご利用ください。
719 ：(^ー^*)ノ～さん ：08/05/22 13:01 ID:FQ7kOWzm0: >>717
thx

そしてすみませんです。
720 ：(^ー^*)ノ～さん ：08/05/22 13:01 ID:FQ7kOWzm0: >>718だった。orz
721 ：(^ー^*)ノ～さん ：08/05/22 15:36 ID:Js/ltnHJ0: >714
誤検出っぽいが、VirusTotalに投げてみるべし。
722 ：(^ー^*)ノ～さん ：08/05/22 16:50 ID:aMvBXJ4J0: MoEの板・スレで聞けよ…。
723 ：(^ー^*)ノ～さん ：08/05/22 18:23 ID:280h973c0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
724 ：(^ー^*)ノ～さん ：08/05/22 20:50 ID:aMvBXJ4J0: Nice bot.
725 ：(^ー^*)ノ～さん ：08/05/22 21:30 ID:5BqqbrRQ0: http://enif.mmobbs.com/test/read.cgi/livero/1205488101/540-566
726 ：(^ー^*)ノ～さん ：08/05/23 20:49 ID:vi9p8Zrz0: >>714 >>716
MoE公式サイトにて、カスペルスキーでの誤検知であると正式に発表が出たようです。
727 ：(^ー^*)ノ～さん ：08/05/25 01:13 ID:aPWCWA060: >>661に似たようなリンクがうちのmixiにも貼られてて何を血迷ったかアドレス削って
http://www■sakerver■com/を踏んでしまったんですが・・・アウトですか？

真っ赤な背景でアドオンがどうたらって出てきました・・・
728 ：(^ー^*)ノ～さん ：08/05/25 01:25 ID:09zaY6VG0: >>727
それは既知のアカハックアドレスっすね。アウト。
ブロックされたか、なにかがすり抜けたかは不明。

対処方法は、OS入れなおし。（自己責任でセキュリティソフトを過信してもいいがお勧めできない）
729 ：(^ー^*)ノ～さん ：08/05/25 19:19 ID:aPWCWA060: アウトですか・・・ありがとうございます。

ウイルススキャンしたところ、VBS_PSYME.BDGというやつがみつかりました。
おそらくIEのキャッシュかな？
心配なのでバックアップをとってクリーンインストールをしようと思います。
730 ：(^ー^*)ノ～さん ：08/05/26 01:10 ID:4IZFGe9YO: >>729
ざまぁｗｗｗ
731 ：(^ー^*)ノ～さん ：08/05/26 01:52 ID:NdcR0UJD0: http://world2001■blog39■fc2■com/

思いっきり踏んだんだけど、ここ大丈夫じゃないよね？
732 ：(^ー^*)ノ～さん ：08/05/26 01:57 ID:JRUdJg340: >>4
733 ：(^ー^*)ノ～さん ：08/05/26 03:10 ID:NZMnjggp0: >>1
734 ：(^ー^*)ノ～さん ：08/05/26 05:15 ID:2EzGD5rL0: なんかうちのBlogに来てたんで報告しておきます。

ttp://www■yaplogjp■com/Blog/

"ro blog 2008"というキーワード検索でたどり着いた、日本のホストからの接続なので
こちらも一つ一つ禁止語句設定していくしかないというイタチゴッコです
735 ：(^ー^*)ノ～さん ：08/05/26 07:54 ID:xCWl1vcj0: >>734
同様に情報提供として…検索サイトから「武器 2008/05」というようなのも定期的に来る。
736 ：(^ー^*)ノ～さん ：08/05/26 09:49 ID:A3frDjA80: >731
セキュスレ506から頻繁に出てるハクアドレス。
罠に引っかかってるかどうかは、エスパーじゃないので判らん。

>734
yaplogjp
-->www■yaplogjp■com/Blog/jp3■exe

VBScriptによる、いつものパターン。
今、チェックできる環境が無いので、検体チェックはしてません。
737 ：(^ー^*)ノ～さん ：08/05/26 11:24 ID:t6VyPnlZ0: >>736
5/25時点のログ。
VirusTotal: analisis/26e9108175a5e9ee456e4da0ca8a6532
738 ：(^ー^*)ノ～さん ：08/05/26 11:33 ID:ai2zBodt0: そろそろ blog の類に、逆引きしたIPの所有国が中国／朝鮮だった場合は
エラーも何も出さないけど書き込みを拒否する、みたいな仕組がほしいねぇ。
739 ：(^ー^*)ノ～さん ：08/05/27 03:13 ID:EX18CBoP0: >>734のアドレスなんですが、ソースチェッカーオンラインでチェックしても
安全度100%と表示されてしまうので（ソースを見れば明らかな感はあるんですが）
仮に、チェッカーに対し全信頼を置かれている方やソースが読めない方がもし居られましたら
注意喚起をしてあげてください。

# ちなみにaguseでも全セーフと表示されてしまいます。
740 ：(^ー^*)ノ～さん ：08/05/27 09:09 ID:SgXz54Qv0: 【　アドレス　】www■kyu9■net/cat125
【気付いた日時】５月２７日8:30位
【　　　 OS　　】 winXPSP2
【使用ブラウザ】 IE7　だと思います・・・
【WindowsUpdateの有無】自動更新になっています
【　アンチウイルスソフト】ウィルスバスター2008
【その他のSecurty対策】ないです
【ウイルススキャン結果】今カスペルで検索中です
【スレログやテンプレを読んだか】読みました
【hosts変更】無いです
【PeerGuardian2導入】無いです
【説明】
病気の症状を調べようとヤフーで検索していてクリックしたら真っ白いページが出るだけで何も表示されなかったので心配に・・・
バスターは特に何も動かなかったです。
ROとは何も関係ないのですが、垢ハックなのでしょうか・・・
今は別のPCで書き込んでいます。
クリーンインストールしたほうがいいのでしょうか・・・？

宜しくお願い致します＞＜
741 ：(^ー^*)ノ～さん ：08/05/27 09:27 ID:w+miYmnQ0: ※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません
742 ：(^ー^*)ノ～さん ：08/05/27 09:39 ID:jJeSyX2p0: >>740
「病気の症状に関する用語集」。アカハック関係無い。
Safari3.1、Firefox3RC1、Opera9.5Betaでは表示できるが
IE7では真っ白。CSSかHTMLがどこか間違っているんだろう
(実装がクソなIE6でしか確認していないなど)。
今後鑑定依頼は他所でやるように。
743 ：(^ー^*)ノ～さん ：08/05/27 10:27 ID:kaGJwkDL0: >>742
IE6でも表示できません。憶測で余計なことを書くのは如何なものかと。
最後の行については同意。
744 ：(^ー^*)ノ～さん ：08/05/27 10:32 ID:WVEPQ9vd0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
745 ：(^ー^*)ノ～さん ：08/05/27 11:33 ID:8+DLahm20: またアレか。日本語文字コードの自動判別失敗。
746 ：(^ー^*)ノ～さん ：08/05/27 13:15 ID:vbnxctW30: >>6
>・IEの使用を止め、他のブラウザに乗り換える(Firefox、Opera)
747 ：(^ー^*)ノ～さん ：08/05/29 00:08 ID:AktTSB9K0: 【　　アドレス　】http://softa■softkills■net/soft1■exe
　　　　　　　　　　その他類似アドレス多数
【気付いた日時】本日19時半頃
【　　　 OS　　】 WinXP SP2
【使用ブラウザ】 Sleipnir 2.7.1
【WindowsUpdateの有無】自動更新有、最新Verの模様
【　アンチウイルスソフト】 NOD32 バージョン3137
【その他のSecurty対策】 Spybot S&D
【ウイルススキャン結果】 NOD32のIMONとAMONで『Win32/PSW.OnLineGames.NWBの亜種』、『Win32/Small.NDW』を検出
　　　　　　　　　　　　　　　　カスペルスキーオンラインスキャン(20時頃)に『Trojan-Downloader.Win32.Small.wga』と『Trojan.Win32.Agent.nbl』を検出
　　　　　　　　　　　　　　　　 ※NOD32の隔離フォルダから『Trojan.Win32.Agent.nbj』と『Trojan-PSW.Win32.OnLineGames.ajss』と『Trojan-PSW.Win32.OnLineGames.ajsw』を検出
【スレログやテンプレを読んだか】今から読みます
【hosts変更】無
【PeerGuardian2導入】有
【説明】どこのサイトからこのURLを踏んだのかは不明だがRO関係のサイトは見ていないときに検出されました
「orz.exe」というプロセスがLocalSettingsフォルダ内に作成され、どっかに接続しようとしていたのも確認。削除済み
スタートアップ書き換えなし、全ファイル削除後NOD32でウィルス検出なし
手動駆除活動後、orz.exeや接続しようとするプロセス、怪しいプロセスの出現なし
ROには踏んでからまだ未ログイン、パスワード変更済み

大丈夫だとは思うけど万全を期してクリーンインスコをしたい
バックアップというのはどうやるもの？欲しいデータをDVDに写していくだけ？
748 ：(^ー^*)ノ～さん ：08/05/29 00:11 ID:PmD70TAe0: 欲しい物というか自分で必要だと思う物
辞書なりお気に入りなりフォントなり、各種設定とか
そこら辺は個人で違ってくるから調べてみて
749 ：(^ー^*)ノ～さん ：08/05/29 00:13 ID:AktTSB9K0: 追記

もちろんexeなんてつくアドレスをホイホイ踏むわけもなく、どこかからの自動転送で送られてしまったと思われます
その自動転送URLはわかりません
一番重要なところなのにすいません
750 ：(^ー^*)ノ～さん ：08/05/29 00:46 ID:SGc4kIq00: >>747
どこかのインジェクションされたサイトを踏み、そこのscript(あるいはiframe)から
君の使っているアンチウイルスで検知できないexeが実行された。
んでそのexeはダウンローダで、別なサイトからダウンロードリストを取得して
片っ端から拾って30匹ほど実行した。
xiaobai01■net/update.txt
でググってみてね(■はピリオドで)。
751 ：(^ー^*)ノ～さん ：08/06/01 18:35 ID:WqzubEki0: ゆずソフトのサイト改竄のってROは大丈夫？
>>1リネージュ資料室見るとリネージュ関連ウィルスで載ってるけど
752 ：(^ー^*)ノ～さん ：08/06/01 18:39 ID:GMrXX9rS0: なにがどう大丈夫なんだか…

自分がやってないゲームのアカウントだけが対象ならいいかとか
ヌルい考えはやめたほうがいい。
753 ：(^ー^*)ノ～さん ：08/06/01 18:41 ID:yJ2JczoG0: 【　　アドレス　】http://www■berseek■com/wiki/cinema/videonews/fwFN5bSBp8■zip
【気付いた日時】本日１７時半頃（踏んだ瞬間）
【　　　 OS　　】 WinXP SP2
【使用ブラウザ】 FireFox (2.0.0.14)
【WindowsUpdateの有無】自動更新になってます
【　アンチウイルスソフト】 Mcfee
【その他のSecurty対策】なしです
【ウイルススキャン結果】現在カスペルスキャン中です
【スレログやテンプレを読んだか】今から読みます
【hosts変更】なしです
【PeerGuardian2導入】なしです
【説明】
mixiのRO関連コミュで踏みました。
zip直置き、DL確認画面でやばいと思いキャンセルしました。
捨て垢じゃないようなのですが、不安です・・・

別PCからアトラクションIDパスは変更済みです。
クリーンインストールしたほうがいいのでしょうか・・・
754 ：(^ー^*)ノ～さん ：08/06/01 18:59 ID:WqzubEki0: そうは言ってもどうしたらいいのか分からん・・・
janeのビューアで
http://www■tongji123■org/4561■swf
http://dm■htifns■com■cn/4561■swf
http://dm■htifns■com■cn/4562■swf
こんだけ開いただけなんだけど
755 ：(^ー^*)ノ～さん ：08/06/01 18:59 ID:pPzkP7gc0: >>753
zipのダウンロード中で解凍すらしてないならセーフ。
気になるならクリーンインストールコースどうぞ～
756 ：(^ー^*)ノ～さん ：08/06/01 19:00 ID:pPzkP7gc0: >>754
OSから入れなおしGO～
757 ：(^ー^*)ノ～さん ：08/06/01 19:02 ID:1VZHgfvC0: どうしたらいいのかわからなかったらまずスレのテンプレ熟読ぐらいしてくれ
758 ：(^ー^*)ノ～さん ：08/06/01 19:08 ID:uGD8CtCu0: 今mixiで「RO」と「カムバックキャンペーン」という単語を入れた日記を書くと、
もれなくマルウェア・ZIPのアドレスを書いたコメントをつけられる模様。
気をつけて－。
759 ：(^ー^*)ノ～さん ：08/06/01 19:16 ID:JVtmz9qh0: >754
セキュスレ見た？

そのswfはゆずソフトに仕掛けられたのと同一アドレス。
有志が調査してカスペに投げてくれてくれたので
そのうち対応する（と回答済み)

発動したかどうかはテンプレに沿って無いので何とも。
最悪OS再インストールだな

つーか、慌ててるのは分かるが、テンプレに沿ってくれ
回答する方も情報不足で何とも言えん
760 ：(^ー^*)ノ～さん ：08/06/01 19:44 ID:WqzubEki0: >>759
今見てきました

janeでゆずソフトがハッキングされたってスレでビューアでURL全部開いて>>754です
テンプレ守らずすみません

【　　アドレス　】 http://www■tongji123■org/4561■swf
【　　アドレス　】 http://dm■htifns■com■cn/4561■swf
【　　アドレス　】 http://dm■htifns■com■cn/4562■swf
【気付いた日時】今日
【　　　 OS　　】 WinXP SP2
【使用ブラウザ】 JaneDoeViewα080508
【WindowsUpdateの有無】有、最新
【　アンチウイルスソフト】 Avast4.8
【その他のSecurty対策】 Spybot S&D
【ウイルススキャン結果】スキャン中
【スレログやテンプレを読んだか】 Yes
【hosts変更】有[最終更新は去年、問題のアドレスの記述は無]
【PeerGuardian2導入】無
【説明】リネージュ資料室より
「ゆずソフト」という会社（PC用18禁ソフトのメーカーだそうです）のサイトが改竄され、ウィルスが仕込まれています。 6月1日 17:00時点では、まだ危険なままの状態です。
仕込まれたウィルスは、RealPlayerの脆弱性や、先日お知らせしたFlashの脆弱性などを悪用してインストールしようとされ、 OSだけでなくプラグインもすべて最新の状態になっていないと感染します。

現状で把握しているリネージュ関連ウィルスファイル
http://www■tongji123■org/4561■swf 200 2008/06/01 16:43:01 817 application/x-shockwave-flash
http://dm■htifns■com■cn/4561■swf 200 2008/06/01 16:43:01 817 application/x-shockwave-flash
http://dm■htifns■com■cn/4562■swf 200 2008/06/01 16:43:01 729 application/x-shockwave-flash
761 ：(^ー^*)ノ～さん ：08/06/01 20:28 ID:42OwCWSm0: >753
fwFN5bSBp8■zip （実際は拡張子をzipに替えただけのrarファイル）
---->fwFN5bSBp8■exe(Trojan.Win32.Inject.ceo)

>755の言う通りかな。

>760
4561と4562のswfファイルは現時点でもカスペのパターンに入ってない。
(カスペの傾向からして、配布まであと数時間かかると予想)

janeは使ってないので知らんが、url開いたのなら、Flashのプラグインを
最新にしてないと確実にアウトだろうね。

というか、危険なスレと判ってたら開いたらダメだろ……
762 ：(^ー^*)ノ～さん ：08/06/01 23:20 ID:42OwCWSm0: 一応転載
--------------------
>799 名前：788 MAIL:sage 投稿日：08/06/01 22:29 ID:t/Q2xJTn0
>先ほどチェックした所、PCのカスペで検出・削除した事を確認。
>VTでも検出された。
--------------------
念のため、踏んだ人はカスペのオンラインスキャンへGO
763 ：(^ー^*)ノ～さん ：08/06/02 07:12 ID:Y3/1rAiv0: カスペのオンラインスキャンで4561と4562のswfファイルのキャッシュが
Trojan-Downloader.SWF.Small.ax
Trojan-Downloader.SWF.Small.ay
で検出されたんだけどこれ削除しとけばOKかな？
他の不正プログラムをダウンロードする攻撃コードって書いてたけど
他には何も検出されなかったからダウンロードされなかったってこと？
764 ：(^ー^*)ノ～さん ：08/06/02 07:16 ID:v62fzaHG0: FlashPlayerが9.0.124なら実行されない。
765 ：(^ー^*)ノ～さん ：08/06/02 20:33 ID:canR36t90: Aviraも次のうｐだてで対応のこと

> The file '4561.swf' has been determined to be 'MALWARE'. Our analysts named the threat EXP.Flash.lok.729. Detection will be added to our virus definition file (VDF) with one of the next updates.
> The file '4562.swf' has been determined to be 'MALWARE'. Our analysts named the threat EXP.Flash.lok.729. Detection will be added to our virus definition file (VDF) with one of the next updates.
766 ：(^ー^*)ノ～さん ：08/06/04 11:02 ID:hIMykLwX0: RO起動するとｎProが作動してctfmon.exeがbackdoorだとか出るんだけどさ
ctfmon.exeって別に問題ないソフトでそれに偽造してるものがbackdoorらしいんだけど
nProは正規のものをウイルスだと断定してｱﾗｰﾄしてんの？
767 ：(^ー^*)ノ～さん ：08/06/04 11:07 ID:zh6DIDAk0: うちのは出ないが。
768 ：(^ー^*)ノ～さん ：08/06/04 11:20 ID:/kTrGChq0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
769 ：(^ー^*)ノ～さん ：08/06/04 12:28 ID:PdV+w5ONO: Nice b0t.
てめえのカキコでスレ無駄に埋めてりゃ世話ねーや
770 ：(^ー^*)ノ～さん ：08/06/04 12:50 ID:wmuzvScr0: >>1
771 ：(^ー^*)ノ～さん ：08/06/04 21:56 ID:+9weN9mW0: なんか罠を踏んだ。
問題のURL：tp://moor■sugoize■com/

上記URLにアクセスした覚えは無いんで何処かに仕込まれた罠から更に飛んだんだと思うけど、キャッシュや履歴からは
特定できなかったのでリンクを仕掛けられた場所は不明；（他の履歴に全てにアクセスしてみたけれどPG2は無反応だった）

ぐぐってみると、元はゲーム攻略サイトか何かがドメイン失効した跡地らしい(?)。
aguseでサイトSSを見た所では、失効ドメインで表示されるような案内やら広告メニューが表示されるているだけ…かと
思いきや、上記URLへアクセスするとPG2が反応を示して 666■lyzh■com へのアクセスをブロックしたと出る。

この moor■sugoize■com/ のソースを火狐で見た所、0サイズのフレームが記述されていて
dummy■htmlからimage■phpを読み込むようになっている。
こっから先は素人だから分からないけどimage■phpから666■lyzh■comを読み込む仕掛けなのだと思う。
これは失効ドメイン跡地を中華が改竄して罠に仕立てたって事かな？

で、666■lyzh■comはリネ資料室のウィルス置場一覧に書かれている既知の罠ドメイン。
ROも関係ありそうな予感なので一応報告。
772 ：(^ー^*)ノ～さん ：08/06/04 22:03 ID:HZKVBrdm0: >>771
>dummy■htmlからimage■phpを読み込むようになっている。
こんなの無いぞ?
773 ：(^ー^*)ノ～さん ：08/06/04 22:08 ID:l0uRTOjQ0: ないな、普通に失効してるページぽいけど
あとは掘っていったけどDomainSearchBar.msiのDLくらいかねぇ
774 ：(^ー^*)ノ～さん ：08/06/04 22:17 ID:HZKVBrdm0: つーか、ページの作りがまんまドメイン業者の広告だな
775 ：(^ー^*)ノ～さん ：08/06/04 22:40 ID:+9weN9mW0: あれ？ホントだ。
踏んだのは2日のam3：57で、少なくとも昨日のpm4：34まではdummy.htmlとimage.phpもあったんだ。
（履歴洗ったりソース見ようとして再度pg2がブロックしたりしたので）
その時はこんな長いソースじゃなくてフレームタグで構成された短いソースだった。
管理者が気付いて削除したのかな…？
776 ：(^ー^*)ノ～さん ：08/06/05 01:54 ID:m267oBxh0: 【　　アドレス　】アドレス確認しにいったらもう編集されてた・・・どう確認すれば
【気付いた日時】踏んだのは午前1時ごろ
【　　　 OS　　】winXP SP2
【使用ブラウザ】 IEです、バージョンはわかりません
【WindowsUpdateの有無】自動更新
【　アンチウイルスソフト】ウイルスバスター２００６(更新は５/３０日)
【その他のSecurty対策】特になし
【ウイルススキャン結果】 Mell.なんとかっていうのがウイルスバスターで見つかりました
【スレログやテンプレを読んだか】今読んでます
【hosts変更】無
【PeerGuardian2導入】無
【説明】
職別のwikiを見ていたのですが、ステタイプ説明文の途中の「武器カードについてはこちら」
みたいなのをクリックしてアドレスを特に確認もせずに飛んでしまいました
その飛んだ先は普通のblogでしたが、あまりに変だと思い相談
善意を装ったblogで気づかぬうちに・・・という可能性が・・・
どこかにfc2blogはヤバイみたいなことを書いてた気がしました
URLにもfc2があった記憶がかすかにあります・・・
OSを再インストしないとまずいでしょうか？とりあえずＲＯはアンインスト
してみました
777 ：(^ー^*)ノ～さん ：08/06/05 02:06 ID:ZvGXuHon0: URLはわからずともどのWikiなのかわからないと確認しようもない
IEのバージョンは同ヘルプから確認可能
VB2006ってまだサポートしてるの？

とりあえず踏んでる臭いからカスペのオンラインスキャンで再確認してみて
778 ：776 ：08/06/05 02:17 ID:m267oBxh0: Wikiはハンターwikiです
IEのバージョンは６でした
VB2006はどうなんでしょう・・・最新の更新はしています

今からオンラインスキャンしてきます
779 ：(^ー^*)ノ～さん ：08/06/05 02:33 ID:2cRJ9EQq0: 弓手Wikiの改竄部分を確認。粘着的に編集が行われている様子が見うけられる。

fsbahsygg■269g■net/
-> www■gawezuki■com/Blog/
--> www■skywebsv■com/Blog/index1■htm
www■bluewoon■com/Blog/k1■exe

PukiWikiであれば、ページヘッダ部分で「差分」や「バックアップ」と表記されている部分をクリックすれば、変更点の確認が出来る。
こんな感じで。
ttp://hunter.rowiki.jp/index.php?cmd=diff&page=%C9%F0%B4%EF.
ttp://hunter.rowiki.jp/index.php?cmd=backup&page=%C9%F0%B4%EF.&age=120&action=diff
この部分は、左側のMenuBarと違い、PukiWikiのスクリプト自体でハードコーディングされているので、ハッキング改竄の心配は少ない。
各種Wikiを利用する上で、覚えておいて損はない。
780 ：(^ー^*)ノ～さん ：08/06/05 02:54 ID:6+d/FfD30: アルケミテンプレサイトが同様なので報告に参りました
先ほどまでは普通に使えてたのでリアルタイム遭遇orz

アルケミスレテンプレサイト www.ragfun■net/alchemist/ にて
fsbahsygg■269g■net/へのリンクへ左のメニュー部分が全部変更されてました
781 ：(^ー^*)ノ～さん ：08/06/05 03:02 ID:XHLEMw600: 殴りアコプリテンプレもトップ・メニューのリンクがfsbahsygg■269g■net/に書き換えられてたっぽい…とりあえずバックアップまで戻したけど。
782 ：(^ー^*)ノ～さん ：08/06/05 03:15 ID:RQ5aTWZi0: >779
VTの結果
index1■htm　(18/32)　ttp://www.virustotal.com/analisis/36e520fd57c79804994ae3f93f8210c1
k1■exe　(19/32)　ttp://www.virustotal.com/analisis/29a1557bbe11cc9055eea4427b8aea56

約6割が検出してるとはいえ、未検出のもあるので注意
783 ：(^ー^*)ノ～さん ：08/06/05 03:25 ID:RQ5aTWZi0: 追記

>782現在で、両方スルーしてるのはAvast。
それ以外はどちらかを引っかけてるので、なんとかなるけど
Avast使いはご注意を。

それと gawezuki のIPは61■139■126■91で
BS Wikiさんのリストに寄れば

coconlovely■com
gamelaone■com
gawezuki■com
hotgome■net
okireng■com
2ch22■com
bluewoon■com
skywebsv■com
ff11bloglina■com
play0nlink■com
playhaogame■com
playncc■com

が同一IP、つまり>779のアドレスは全て一緒。
784 ：(^ー^*)ノ～さん ：08/06/05 03:30 ID:ZvGXuHon0: 警告ageしておくかな、各Wikiはご注意
785 ：(^ー^*)ノ～さん ：08/06/05 03:57 ID:fJRalupV0: ハンタ、ケミ、クルセ、殴りプリ Wikiで改竄確認。
うちケミのところはIP規制入りました。
786 ：776 ：08/06/05 03:59 ID:m267oBxh0: いまさらなんですが、オンラインスキャンはしないほうがいいと
ＦＡＱに書いてました・・・抜いたほうがいいですよね
手遅れかな・・・orz
787 ：(^ー^*)ノ～さん ：08/06/05 04:15 ID:6DAC/ucZ0: うわ、これだったのか。Firefoxなんですが
さっきリンカーwikiでスキルの欄を押したら、外部に接続しますけどいいですか？
みたいな文字と、その外部のアドレスが出てきた。アドレスにカーソル合わせるとポンプアップで
行き先の画像が出てきたんだが、これは垢ハックを喰らったことになるんでしょうか？
788 ：(^ー^*)ノ～さん ：08/06/05 04:24 ID:eOp2J/ZJ0: >>787

それは違う、最近ガンホーのサイトにも実装されたが
リンカーＷｉｋｉの外に出ますけど良いですか？っていうクッションページ
789 ：(^ー^*)ノ～さん ：08/06/05 05:08 ID:Lm+ppeIg0: >787
ポップアップを表示させただけなら平気。リンク先が安全かどうかの参考にするためのプレビュー機能。
790 ：(^ー^*)ノ～さん ：08/06/05 09:07 ID:Y8m/2NTl0: >>782
特定の製品のことをあれこれ言いたくないんだけど、
avastは最近誤検知が目立つ割にはスカるね…。
791 ：(^ー^*)ノ～さん ：08/06/05 12:37 ID:Ej6AlMoUO: 巡回先調べてみた
ローグ・モンク・忍者Wikiは異常な死
792 ：(^ー^*)ノ～さん ：08/06/05 12:49 ID:Toqel1OI0: その誤変換は誤解を招く。ぱっと見で、逆の状況かと思った。落ち着いて書き込んでホスィ
793 ：(^ー^*)ノ～さん ：08/06/05 15:31 ID:oyEeN5ty0: ぱっとみ異常があるようにみえた
794 ：(^ー^*)ノ～さん ：08/06/05 16:38 ID:+2z7XEce0: クルセスレにも有ったので報告
fsbahsygg■269g■net/に全て変更されてました
795 ：(^ー^*)ノ～さん ：08/06/05 16:48 ID:fJRalupV0: クルセWIKI、殴りプリWIKI、リンカーWIKIにまた湧き始めた。
796 ：787 ：08/06/05 17:07 ID:HmRZ3nkB0: >>788 >>789
そうだったんですか、どうもありがとうございます。
こんな便利な機能があったんですね
797 ：(^ー^*)ノ～さん ：08/06/05 17:13 ID:vopKwCZ90: 業者怖いなぁ･･･
アoサoシoンoうぃきは大丈夫なんだろうか。怖くてみれない。
（MMOBBSで業者がキーワードに反応するそうなので念のため伏字しておく。）
WIKIのTOP踏んだくらいなら（WIKI内のリンクを踏まなければ）大丈夫なんでしょうか？
798 ：(^ー^*)ノ～さん ：08/06/05 17:37 ID:c3DHXmoIO: 踏んだらＯＳ入れ直しが基本だな
799 ：(^ー^*)ノ～さん ：08/06/05 17:50 ID:KpAUBQKk0: 転送確認プラグインで止めれば大丈夫だよね？
それでもOS入れ直すの？
800 ：(^ー^*)ノ～さん ：08/06/05 18:37 ID:PIhxLf2E0: >>797
開いたページ(トップページ)に物(ウィルス)が仕込まれていなければその通り。
よくわかんないなら見ないのが一番賢い。
801 ：(^ー^*)ノ～さん ：08/06/05 18:43 ID:iLoCkhkk0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
802 ：(^ー^*)ノ～さん ：08/06/05 19:09 ID:9ZC/zZZF0: セキュスレと並行してるけど、この話題はここで続けても問題無いよ。
803 ：(^ー^*)ノ～さん ：08/06/05 19:50 ID:gO+jrK7I0: 不覚にも垢ハクサイトをクリックしてしまった…（fsbahsygg■269g■net/）
avastで検索したら1件だけ有ってRootkitのみだったから出てきてない気がする
OS入れなおすべきか？
804 ：(^ー^*)ノ～さん ：08/06/05 20:10 ID:fJRalupV0: 管理の甘い殴りプリWikiが集中砲火されてるな…。
秒刻みで改竄入ってるぞ…。
805 ：(^ー^*)ノ～さん ：08/06/05 20:10 ID:zSqlla/h0: ローグでも改変あったので注意
806 ：(^ー^*)ノ～さん ：08/06/05 20:35 ID:fJRalupV0: ツール改変っぽいな。
クルセ、殴りプリ、リンカWikiの同時改変確認。
807 ：(^ー^*)ノ～さん ：08/06/05 21:06 ID:fJRalupV0: もうだめだな…大本叩くか管理人がIPBANするかしないと収拾付かないわ。
とりあえず管理人ほぼ不在のクルセ、殴りプリ、リンカWikiは当分諦めた方がいいかも。
808 ：(^ー^*)ノ～さん ：08/06/05 21:30 ID:phv3ur0l0: すいません、ローグWikiを見ようとしたら
Fatal error: Call to undefined function area_pickup() in /virtual/mohige/public_html/lib/spam.php on line 599
という表示がでたのですが、これは垢ハックなのでしょうか？
809 ：(^ー^*)ノ～さん ：08/06/05 21:33 ID:9ZC/zZZF0: >>808
それはphpのエラーメッセージ。
サーバー側の設定ミスかファイル破損かは不明。
810 ：(^ー^*)ノ～さん ：08/06/05 21:35 ID:phv3ur0l0: >>809さん
ありがとうございました！

今後、このようなメッセージがでてもあせらないように勉強しようと
思います。
811 ：Ｓ県七瀬 ◆/II.DEADh. ：08/06/05 22:14 ID:jUCPDArM0: >808
おそらくspam.php＞新バージョン　spam.ini.php＞旧バージョン
の時に踏んじゃってエラー吐いたんだとおもう。
今はもう直ってるよ。
812 ：(^ー^*)ノ～さん ：08/06/05 23:07 ID:UuUFtxvp0: ｵｳﾞｧｰ今さっきリンカーwikiの対人のとこ見たばっかだ・・・
俺ｵﾜﾀ
813 ：(^ー^*)ノ～さん ：08/06/05 23:12 ID:9ZC/zZZF0: >>803
>>812

はい、テンプレ読んでから、OSの再インストールコース行ってらっしゃい。
814 ：(^ー^*)ノ～さん ：08/06/05 23:13 ID:Toqel1OI0: Wikiを見ただけで喰らうタイプじゃなくて、リンク改竄にて外部の
危険サイトに飛んだら喰らうって状態だと思うのだが>>812は
落ち着け・・・？

そして>>1
815 ：(^ー^*)ノ～さん ：08/06/05 23:47 ID:RQ5aTWZi0: fsbahsygg■269g■netがファイル差し替えてた風味なので再チェック

fsbahsygg■269g■net
--->www■teamerblog■com/blog/
----->www■panslog■net/wiki/index1.htm
------->www■teamerblog■com/wiki/cer.exe

fsbahsygg　2/32　ttp://www.virustotal.com/analisis/0ecf87db56561661882c94aff0cdad51
AntiVir：Script.Infected.WebPage.Gen

teamerblog　13/32　ttp://www.virustotal.com/analisis/8371fd97e3507cf1462607bf07bcab4f
カスペ：Trojan-Clicker.HTML.IFrame.il

index1.htm　18/32　ttp://www.virustotal.com/analisis/b58672185315b7644062ddb595a5a633
カスペ：Trojan-Downloader.JS.Agent.brl

cer.exe　22/32　ttp://www.virustotal.com/analisis/94d922a15b8c08a4a0ad9911e79c0015
カスペ：Trojan.Win32.Inject.cbd

ファイルの差し替えを確認したのでチェックしたら、こんな感じに。
iframeの罠が仕込まれてるhtmlも検出するようになったらしい。

>803
踏んだ時間次第な気もするが、avastはteamerblogのやつで引っかけた感じなので
最悪、exeまで進んでるかも。
ただMS06-014の脆弱性だし、これに引っかかる人はかなりレアなんじゃないだろうか。

定番のカスペのオンラインスキャンした上で、安全策をとってOS入れ直すかどうか
考えればいいんじゃないかな。
816 ：(^ー^*)ノ～さん ：08/06/05 23:51 ID:fJRalupV0: リンカーWikiの管理人さんの応答がありました。現在対策中とのことです。
817 ：(^ー^*)ノ～さん ：08/06/06 00:41 ID:oUSUtpAt0: ここのROセキュリティWiki
見てハック感染とかもありえるの？

セキュリティとか書いてるのに；
818 ：(^ー^*)ノ～さん ：08/06/06 00:54 ID:OgLyARe/0: セキュリティ情報が書いてあるWikiであって、そのWikiや鯖自体が
セキュアな訳ではないので勘違いしないように
819 ：(^ー^*)ノ～さん ：08/06/06 01:00 ID:snbgn9Mr0: >>1
820 ：(^ー^*)ノ～さん ：08/06/06 01:14 ID:45hWg3390: ねんがんの　PG　を　どうにゅうしたぞ！！

PG2βだが、色んなとこで紹介されてるのが6bに対してグーグル先生の検索だと6cが頭にくるのだがどっちも変わらないでおｋかな。
別に日本語じゃなくても問題ないから6c入れたけど。
821 ：(^ー^*)ノ～さん ：08/06/06 01:15 ID:IQE1Ys5/0: >>820
>>801
822 ：(^ー^*)ノ～さん ：08/06/06 01:44 ID:4ir4MHD00: リンカーWiki対策終了。
クルセ、殴りプリWikiは依然被害を受けている状態。
（どっちのWikiの管理人もここしばらく動いた形跡無し…IP対策は絶望的か…？）
823 ：(^ー^*)ノ～さん ：08/06/06 02:12 ID:5NCvrwgh0: 殴りプリWikiの管理人は、ディレクトリを遡ると判るけど、最近FEZからROに復帰した様子なのだが。
日記に示唆コメントを落としておいた方が良いのかね。
824 ：(^ー^*)ノ～さん ：08/06/06 02:25 ID:4ir4MHD00: とりあえず日記の方に書き込んできた。後は気付いてくれるかどうか…。
825 ：(^ー^*)ノ～さん ：08/06/06 02:27 ID:LcrM5Ned0: 昨日クルセイダーWikiの外部リンク踏んだんだけど垢八苦だったんだね
ウィルススキャン（ウイルスバスター2007）してみたけど、見つからなかったな。
本当にハッキングされたのか？
826 ：(^ー^*)ノ～さん ：08/06/06 02:29 ID:4ir4MHD00: >>825
過去ログくらいみる癖くらいをつけような。
827 ：(^ー^*)ノ～さん ：08/06/06 03:10 ID:LcrM5Ned0: すみません、事故解決しました。
リアルタイム検索でブロックしてたっぽいです。
すみませんでした。
828 ：(^ー^*)ノ～さん ：08/06/08 14:43 ID:qAjWdUrd0: 拳聖WIkiも改変されている模様。
NOD32がトロイ警告？をだしたんだが。

http://61■238■148■112:81■i115.swf
CVE-2007-0071　トロイ

リアルタイムでとめたっぽいけど怖い事この上なし。
829 ：(^ー^*)ノ～さん ：08/06/08 15:02 ID:rRm4M7/e0: あれだけ騒がれたのにFlashPlayer更新してないのか?

FlashPlayerのバージョンテスト
ttp://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm

FlashPlayer9.0.124
ttp://www.adobe.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash
830 ：(^ー^*)ノ～さん ：08/06/08 15:27 ID:8x3qfWo90: >828
何処のページ？それらしきものが見当たらないんだが…
831 ：(^ー^*)ノ～さん ：08/06/08 15:28 ID:rRm4M7/e0: i16.swf i28.swf i45.swf i47.swf i64.swf i115.swf
f16.swf f28.swf f45.swf f47.swf f64.swf f115.swf
(f64.swfは無し、残り全てKasperskyでExploit.SWF.Downloader.c)
i～はActiveXコントロール用(IE)、
f～はNetscapeプラグイン用(Firefox、Opera、Safari)。
数字はFlashPlayer9.0.～のバージョン。
i115.swfならIE+FlashPlayer9.0.115用。
これはJavaScriptでブラウザとFlashPlayerの両方を調べて分岐するパターン。

他にJavaScriptでブラウザを調べ(例:IEなら4561.swf 他なら4562.swf)、
Flash内のActionScriptでFlashPlayerを調べて分岐するパターン、
JavaScriptでFlashPlayerを調べ、ActionScriptでブラウザを調べて分岐するパターン、
ActionScriptで両方調べるパターンなどもある。
832 ：(^ー^*)ノ～さん ：08/06/08 15:30 ID:c2ldaM/s0: >829
更新してても、怖いのは怖いだろ。
それに9.0.124でも感染したという話もあるから注意しろ、とニュースサイトでも出てた。
もし別の穴があって、それを使ってたら、と考えると、更新してるから安全、と過信するのは
危険じゃないか？
XP SP3のFlashの罠もあった事だし。

それとセキュスレで、今後のスレの方向性について話し合いをしてるので参考にされたし。
833 ：(^ー^*)ノ～さん ：08/06/08 15:33 ID:rRm4M7/e0: >>832
>9.0.124でも感染したという話もあるから注意しろ、とニュースサイトでも出てた
これは今のところ根拠が無い(各ベンダのラボで再現していない)。
>XP SP3のFlashの罠
これも誤報。
ttp://itpro.nikkeibp.co.jp/article/NEWS/20080604/306088/
834 ：(^ー^*)ノ～さん ：08/06/08 19:17 ID:9H05lSfh0: 最初に「最新バージョンにも穴がある」というのがそもそも間違いだったしなぁ。
835 ：(^ー^*)ノ～さん ：08/06/09 20:20 ID:6d1z9jRA0: 続報だからこっちでいいか

クルセWiki、管理人がデータロールバックで対応
しかしアク禁等の対策が行われたのかどうかは不明
またWiki管理を引退希望しているので、Wikiは誰かに引き継がれる模様

これで被害のあった職Wikiは、全部管理人が動いた形になるかな
836 ：(^ー^*)ノ～さん ：08/06/10 02:06 ID:8wlBvE710: 殴りプリWiki、再びアタックかけられてるな。
トップ、メニューバー、更新履歴、リンクの改竄を確認、修正。（まぁまた変えられるだろうけど）
変えられていたURL先は、
http://ixiadiary■269g■net/
837 ：(^ー^*)ノ～さん ：08/06/10 11:52 ID:YUJszmOR0: 朝から雷鳥Wikiを見ていたらバスターが反応。
無視成功になっていたけれどカスペでオンラインスキャンをしてみたら
i115.swfがExploit.SWF.Downloader.cで引っかかっていました
とりあえず該当ファイルは削除したけど怖いな…
838 ：(^ー^*)ノ～さん ：08/06/10 12:53 ID:sM46XtJU0: ブラウズの時だけKnoppix等を光学ドライブから起動するとか。
839 ：(^ー^*)ノ～さん ：08/06/10 15:16 ID:SSc+GEmw0: >837
雷鳥Wikiを見ていただけで反応？
罠リンクを踏まない限りは反応しないと思うんだが。
まるでWiki内にiframeの罠でも仕込まれてるように聞こえる。

そしてWikiでは罠らしきものは発見できず。
雷鳥スレでもそんな話出てない。
840 ：(^ー^*)ノ～さん ：08/06/10 15:19 ID:mqDrafA00: 拳聖スレにそれらしきコピペがあったのでコピペ。

377 ：(^ー^*)ノ～さん：sage ：08/06/09 06:11 ID:zVC/S0gO0
Wikiにあったavast反応の件、関係ありそうなのでコピペ。

422 名前：ヴァナｍ ◆ZrzGMHfgII [] 投稿日：2008/06/08(日) 22:23:01.66 ID:SvqVY72t
どうも6/5～今日の夕方頃までxreaの自動挿入広告を表示すると
61■238■148■112:81に接続するようになってたようだ。
俺のPGが6/5～今日までの間このIP弾いてる。
４日まではこんなことはなかった。
ちなみに試しに他のxreaのサイトも確認してみたが、
ヴァナモンだけじゃなくて他のサイトでも61■238■148■112を弾いた。
これをノートンやらセキュリティソフトが反応してたんだと思われる。
丁度えふめもでどうこう言ってるのが出たタイミングと符号する。
PGで弾いてなかったらどうなるのかは不明。
現時点でどのサイトのxrea広告も61■238■148■112には接続しなくなっている。
今日の夕方頃に修正されたようだが
これが危険なものだったかどうなのかはわからない。
841 ：(^ー^*)ノ～さん ：08/06/10 16:11 ID:8wlBvE710: 殴りプリWiki、再び改竄
http://ixiadiary■269g■net/
http://zhangty■269g■net/
http://fuyuhaa2005■blog39■fc2■com/
842 ：(^ー^*)ノ～さん ：08/06/10 16:27 ID:0r1inNfq0: つまり経路汚染か大元が狙われたか分らないが、罠が仕込まれたフラッシュが
広告で表示されていた。
FlashPlayerを更新していなければ、それ経由で感染してる可能性がある、と。

そっち狙われたら、レン鯖利用だと管理人でも手がだせんぞ。
広告無しの有料レン鯖か、自宅鯖で運営でもしない限り、広告付きサイトは
全て危険、ってな事になりかねん。
843 ：(^ー^*)ノ～さん ：08/06/10 17:58 ID:n1Jwvedp0: 弓手Wiki、再び改竄
http://zhangty■269g■net/
管理者のブロックを回避してきている模様。
844 ：(^ー^*)ノ～さん ：08/06/10 18:10 ID:rov1Rf3S0: 269gへのリンクばっかりだな
845 ：(^ー^*)ノ～さん ：08/06/10 18:25 ID:z3hNRPox0: 269gのやつ踏んじまった・・・
すぐページ閉じてＶＢでスキャンして何も引っかからなかったけど大丈夫かな・・・？
846 ：(^ー^*)ノ～さん ：08/06/10 18:26 ID:sM46XtJU0: すぐ閉じてって、落とした食べ物の3秒ルールじゃねーんだからさ。笑
心配ならカスペとか他の無料オンラインスキャンしとき。
847 ：(^ー^*)ノ～さん ：08/06/10 18:29 ID:YUJszmOR0: 837です
フルスキャン完了後、更にTrojan-PSW.Win32.Nilage.djlが出てきました
他PCでIDパスは変更済みです

とりあえずバスターが反応したのがAM10：00
その時他に開いていたHPはRMCとよく巡回するRO関係のBlogで
雷鳥Wikiもそうですが、リンクから別ページに飛んだりはしていません

思い当たるミスはこのPCのFlashPlayerの更新を忘れていた点ですね
もしかすると雷鳥Wikiではなく他HPの広告から感染したのかもしれません
お騒がせして申し訳ありませんでした
848 ：(^ー^*)ノ～さん ：08/06/10 18:34 ID:HK+UAR4/0: 今回の改竄者のIP
IP : 219.66.138.252(nwtfa-04p4-252.ppp11.odn.ad.jp)
記入されたアドレスは上記の報告にあるもの。

ODN通報済み。
849 ：(^ー^*)ノ～さん ：08/06/10 19:23 ID:6u1CeS/V0: リンカーWikiからコピペ。
>ODN東京FTTH関連は、2ch運営-規制関連スレッドでも度重なる投稿規制(再発5回)を受けており、
>ISPの強制退会処分を受けても別名義で契約を取り直している模様です。
>影響範囲はどうしても出てしまいますが、当面の間はdeny対象とした方が無難でしょう。
>また、269g.netのBlogサービスも、iframeが記述できてしまうことと、運営の対応に要するフットワークに疑問がある為、
>まとめて禁止URLに指定するのが望ましいかと思われます。 -- 2008-06-09 (月) 06:25:36

隙のあるISPやコンテンツプロバイダはつけ込まれやすいな。
850 ：(^ー^*)ノ～さん ：08/06/10 19:30 ID:sM46XtJU0: それならfc2blogも同様だな。
851 ：(^ー^*)ノ～さん ：08/06/10 21:29 ID:8N2uCEnV0: いっそ、にゅ缶とLiveROとwikiのある鯖以外のURLを書き込み不可能にしたらいいんじゃね？
852 ：(^ー^*)ノ～さん ：08/06/10 22:17 ID:8wlBvE710: >>851
ひっそりとかわむてるらぶとかRAGtimeとかへのリンクが出来なくなると思うんだが…。
853 ：(^ー^*)ノ～さん ：08/06/10 22:23 ID:kE15dsGg0: する必要もなくね？
854 ：(^ー^*)ノ～さん ：08/06/10 22:26 ID:VcCMNUPm0: >>1
855 ：(^ー^*)ノ～さん ：08/06/10 22:26 ID:8wlBvE710: >>853
ひっそりもわむてるも狩場情報からのリンクが張ってあること多いし、
InterWikiName共通化計画で既に設定されてしまってるWikiが殆ど。
そっちブロックしちゃうわけにもいかないんじゃないかと。
856 ：(^ー^*)ノ～さん ：08/06/10 23:18 ID:QOhMzaS20: InterWikiNameで設定されてるなら、直で書く必要なくね？

むしろ気になるのは>840あたりの話。
61■238■148■112は香港。
単にxreaの広告の置き場がそっちだったというだけならいいんだが
変に仕込まれた広告が表示されて、それが通信してたとかだと
厄介な話になる。

xreaに限らず、各種バナーを全て疑う必要が出てくるし、そうなると
Web閲覧用専用環境が必須な状態に陥りかねない。
857 ：(^ー^*)ノ～さん ：08/06/10 23:21 ID:6u1CeS/V0: 逆に、InterWikiNameに記述してあるURIはallowするようにして、それ以外は原則denyでもいいような気もした。
必要なサイトは、共通リストに盛り込むようにするホワイトリスト方式で。
858 ：(^ー^*)ノ～さん ：08/06/10 23:24 ID:VcCMNUPm0: では、それを実現するPukiWikiパッチを期待したいと思う次第です。
859 ：(^ー^*)ノ～さん ：08/06/10 23:37 ID:6u1CeS/V0: spam.ini.phpを導入してあれば、ほぼ似たような事が実現可能だとは思うけど。
ただ、spam.ini.php導入の為に、PukiWikiのCVS版か、あるいは1.4.7に対してdiffを当てる必要はあるが。
860 ：(^ー^*)ノ～さん ：08/06/10 23:38 ID:z3hNRPox0: オンラインスキャンもしてみたけど何も検出されなかった・・・
一安心
861 ：(^ー^*)ノ～さん ：08/06/10 23:40 ID:nHsNnEbh0: 無料サーバーの広告すらウイルスの疑いとかになると
Wiki管理者達は身銭を切ることになることが多くなるんだなぁ。
※少なくともXREAは広告免除を払えば広告つかなくなる。

>>851
そして管理者個人のページも巻き込まれるんですね
わかります。

Common Wikiが今現在そんな状態になってるんだがｗｗｗｗ

>>858
できなくはない、というか未実装Wikiがホワイトリスト以外の書き込み制限を行っている
あと今現在はURIの再構築を行ってるみたいだが貧スレWikiもホワイトリスト制の用意済み
862 ：(^ー^*)ノ～さん ：08/06/11 00:33 ID:XSL99Eza0: 今ブラックリスト制を敷けてるんなら、逆にホワイトリスト制に転換するのは
そう難しくはないんじゃないかな。管理人同士で情報交換もしてるし。
次のネックはホワイトリストの管理だけど、ブラックリストの管理よりは簡単…か？

>861
ただでさえなり手の少ないWiki管理者がさらに減るようなことにならなきゃいいんだけどなあ（´・ω・`）
863 ：(^ー^*)ノ～さん ：08/06/11 02:24 ID:Cfg4z6M40: >>840のやつに引っかかってしまったかもしれない・・・

xreaドメインのサイト閲覧中にバスター反応
リアルタイム検索で無視できたんだが不安だったのでカスペでオンラインスキャン。
Trojan-PSW.Win32.Nilage.djlが検出されたんだが、まずトライアル版で駆除するとして
OSのクリーンインストールもしなきゃだめかな？
こういうの初めてでよくわからないんだ・・
ちなみにROとは全然関係ないサイトでした。
864 ：(^ー^*)ノ～さん ：08/06/11 03:02 ID:PfUvYwU90: >861
xrea使ってる職Wikiの管理人の中には、身銭を切ってる人もいるね。
慈善活動みたいなものなのに、頭が下がる。

>863
出来れば報告・相談はテンプレに沿って欲しかった。

>OSのクリーンインストールもしなきゃだめかな？
取りあえずテンプレ読もう。
そして関連サイトに目を通そう。

ちなみに Trojan-PSW.Win32.Nilage系は6/8に報告があって対応された新種。
カスペのウィルスウォッチで見れば判るが、亜種が次々に生まれてる。
(※これはNilage系に限った話ではない)
ttp://www.kaspersky.co.jp/viruswatchlite?hour_offset=-4&search_virus=nilage

まだ未検出の何かが居るかもしれないし、居ないかもしれない。
誰も「安全です」とは言ってくれない。

万全を期すなら、クリーンインストール。
あとそのPC以外での安全な環境から、各種PASSを変更するのをお忘れ無く。
865 ：(^ー^*)ノ～さん ：08/06/11 03:02 ID:ZSVsasnc0: >>863
レジストリの削除とかやる事はあるけど、正直まとめてクリーンインストールした方が良いと思うわ
何かあるかもしれない・・・よりは０から再構築した方が安心だよね
866 ：(^ー^*)ノ～さん ：08/06/11 03:04 ID:PfUvYwU90: というか、>837、>840、>863から考えるに、やはり無料広告に
罠が混ざっていたと考えるのが無難なのか？

だとすれば、真面目に洒落にならん事になるぞ……
867 ：(^ー^*)ノ～さん ：08/06/11 03:12 ID:ngNzTwhJ0: XREAの掲示板見てきた、ガチっぽい
i115[1].swfとorz.exeが報告されてました
868 ：(^ー^*)ノ～さん ：08/06/11 03:15 ID:PfUvYwU90: xreaのユーザー掲示板に報告が上がってる

トロイの木馬検出
ttp://sb.xrea.com/showthread.php?t=12819

avast!でマルウェア警告
ttp://sb.xrea.com/showthread.php?t=12820

ちとヤバいね……
869 ：sage ：08/06/11 04:24 ID:Cfg4z6M40: ＞864＞865ごめん。焦っててそこまで考えが及ばなかった。
まだRO､公式にログインしてないし落ち着いて対処してみるよ。
答えてくれてありがとう。
870 ：(^ー^*)ノ～さん ：08/06/11 05:35 ID:d8jcy4GO0: xreaの広告枠、確かに怪しいな。

imgj■xrea■com/xa■j
-> imgj■xrea■com/ad_iframe■html
--> 10390 45744:81/jp■js (!)

ソースで見た限り、わざわざロングIP表記がされている時点で、どう考えても不自然さを感じる。
試しに逆引きしてみたところ、061238148112■ctinets■com と解決された。
このドメイン、以前にebay.comのフィッシングサイトが置かれていた事もあるようだ。
ttp://www.rbl.jp/phishing/index.php?mode=show&date=20061113
871 ：まとめ臨時 ◆kJfhJwdLoM ：08/06/11 06:43 ID:sHPaJxUK0: 今回の870さんの報告分二件は内容だけにリスト入りさせてみました。

無料広告枠と言う点がちょっと気になります。
問題が無ければいいのですが、何かあればリストからまた省きますので
つっこみよろしくお願いします。
872 ：(^ー^*)ノ～さん ：08/06/11 08:00 ID:r8w51nfb0: 該当のIPが香港だとしたら、PG2で中韓台のリスト突っ込んでても
危険なわけで。

過信しないように注意。
873 ：(^ー^*)ノ～さん ：08/06/11 08:07 ID:r8w51nfb0: この件はリネージュ資料室でも書かれてる。
xrea使用の各種Wikiは、それぞれ警告発した方がいいかも。
874 ：(^ー^*)ノ～さん ：08/06/11 10:17 ID:XWVwAziO0: 今は、香港のIPが一番危険なんだっけ。
875 ：(^ー^*)ノ～さん ：08/06/11 12:11 ID:+s/xukhL0: xrea使用じゃなくて無料広告出してる所だけだろ
雷鳥と拳聖wiki以外は全部有料じゃなかったっけ？
876 ：(^ー^*)ノ～さん ：08/06/11 12:25 ID:5vPH4xMd0: >>872
資料室さんのは中国の中に香港IPも入ってるね。
恐らく>>840のコピペ元の人も入れておいたんじゃないだろうか。
877 ：(^ー^*)ノ～さん ：08/06/11 12:39 ID:QovRT5T/0: 広告で感染とか
防ぐ方法あるの？
878 ：(^ー^*)ノ～さん ：08/06/11 12:39 ID:uqKaTZJfO: 今、出先雷鳥wikiみてからログインして
仕事出たけどヤバいかな？
879 ：(^ー^*)ノ～さん ：08/06/11 13:27 ID:ngNzTwhJ0: 昨日夜にはXREA側で対応はなされたようだけど安心は出来ないかもね
880 ：(^ー^*)ノ～さん ：08/06/11 14:12 ID:71ux5SKe0: >>877
ゼロデイ攻撃なら方法あんまりないかも。
CD起動のOSからだとか、WiiやPS3からアクセスするとか。
881 ：(^ー^*)ノ～さん ：08/06/11 17:31 ID:l0TRhlMB0: 突然知り合いからオフライン状態のメッセでURLが送られてきた。
チェッカーではちょっと分からずで、サーバー位置情報が香港でした。
ttp://ayuoki_hinata■h0stp1cs■info
882 ：↑ ：08/06/11 17:59 ID:+5p0MFO80: メッセURL部分の削除申請をしたいのに、ホスト規制で管理に書けない･･･orz
883 ：(^ー^*)ノ～さん ：08/06/11 18:17 ID:pbwJix1P0: >>881
自分にもメッセで知り合いから同様のURLが送られてきました
踏んでしまったので現在カスペでチェック中です･･･
884 ：(^ー^*)ノ～さん ：08/06/11 18:19 ID:IlTNNY5F0: 400 - Bad Request
885 ：(^ー^*)ノ～さん ：08/06/11 18:47 ID:a0zZbkzW0: h0stp1cs■info はmsnのパス抜きみたいだね。
886 ：(^ー^*)ノ～さん ：08/06/11 19:31 ID:pbwJix1P0: 調べた感じURL開いただけなら問題ない模様
ROとも関係ないようなのでこの辺でー
887 ：(^ー^*)ノ～さん ：08/06/11 23:15 ID:d8jcy4GO0: xreaの広告フレームに含まれていた問題の記述は、現時点では削除されている様子。
ただ、有料契約なのに広告が表示されるなどのトラブルも少し前にあった感じなので、何ともいえない部分がある。
それと、xreaスレで出てきた話だが、今回の広告サーバの一部が置かれているのがSAKURAだったらしい。
まだ断定は出来ないが、もしかするともしかするかも。
888 ：(^ー^*)ノ～さん ：08/06/12 00:06 ID:DHUYPBGI0: 罠swfの設置場所、fccjaらしい。FC2ブログ犯の。
889 ：(^ー^*)ノ～さん ：08/06/12 11:52 ID:TPrUv1pR0: xreaってさくらのをもともと使ってるんじゃないのか？
890 ：(^ー^*)ノ～さん ：08/06/12 12:09 ID:Hu5SE7210: 2ちゃんねるのさくらとxreaのスレでもちょっとした騒ぎになっている。
891 ：(^ー^*)ノ～さん ：08/06/12 12:35 ID:HT34cRii0: ROとは関係ないかもしれないけどi115[1].swfで検索していたら
リネージュ資料室というHPを開こうとしたときに
カスペがTrojan-Downloder.JS.Small.lxを検知していたな
俺は接続拒否したからどんなものかまではわからないけど…
892 ：(^ー^*)ノ～さん ：08/06/12 13:56 ID:DHUYPBGI0: FFの板で拾った。トロイは既出のもの。
www■undenow■com/woodem.htm
→www■makgcat■com/rm.exe
893 ：(^ー^*)ノ～さん ：08/06/12 14:29 ID:bLQm+piq0: >>881と同じように
ttp://（メッセ名）■h0stp1cs■info
でいきなりアドレス送られてきたんだが、Roとは関係ないのか。
894 ：(^ー^*)ノ～さん ：08/06/12 14:33 ID:cHBMguLz0: >891
誤検出との事

>2008/6/12
>当サイトの「ウィルス情報 - 更新履歴」のページにてカスペルスキーの
>Anti-VirusがTrojan-Downloder.JS.Small.lxを検出するとの問い合わせを
>数件いただきましたが、これは誤検出です。
>
>カスペルスキーへは報告済みで、出来る限り早く修正したいとのことです。
895 ：(^ー^*)ノ～さん ：08/06/12 19:28 ID:m/oOOtiq0: >>893
>>885

いつ何と置き換えられるかわからんし怪しいものは踏むなとしか
896 ：(^ー^*)ノ～さん ：08/06/12 22:14 ID:W2UaSPyq0: >>894
891とは別人だけど11日にうちのカスペさんが
「ウィルス検体」と「ウィルス更新状況」でTrojan-Downloder.JS.Agent.bzpを、
「ウィルス置場一覧」と「更新履歴」でTrojan-Downloder.JS.Small.lxを検出してる

「更新履歴」のページのことしか載ってないけどこれも誤検出だったのかな？
（同日にLinuxから見たけど異常はなかったと思う）
ちなみに今はどれも普通に見えるから修正されたみたい
897 ：(^ー^*)ノ～さん ：08/06/13 22:38 ID:I+iyp1XY0: 住民が被ってるだろうから不要な気がしないでもないが、セキュスレの
次スレ（というか、こことの統合スレ）が建ったので一応報告。

アカウントハック対策・セキュリティ総合スレ
http://enif.mmobbs.com/test/read.cgi/livero/1213363112/

こちらは埋まり次第、そこに合流。

>887
ラウンドロビンしてる関係で、汚染鯖に当たった場合は引っかかる。
汚染鯖は今も危険な状態で、タイミング次第では罠アドレスにぶち当たる。

先ほど検体拾ってきたが、VTの結果は、16/32。
ttp://www.virustotal.com/analisis/cdb0e5b62438df8b6ee925fdca3fc6d7
御三家系やBitDefender、NODがスルー。

ちなみにファイル置き場は、報告があった通りで香港のIPだった。
898 ：にゅぼーん ：にゅぼーん: にゅぼーん
899 ：(^ー^*)ノ～さん ：08/06/15 13:13 ID:Fmb4NgIp0: >>898
金払ってないとかでドメイン業者の広告になってるだけかと。
900 ：(^ー^*)ノ～さん ：08/06/15 13:15 ID:5dbJfvvl0: ※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

詳しいことは調べていないが、www■heimlink■com → 208■73■212■12 (US)
PG2では、666■lyzh■comへのアクセス履歴を検出。リネージュ資料室のトロイリストのIPに該当。

ドメイン失効か転送アドレスか不明。

きちんと管理されているか不明なWikiは避けた方が無難ですよ。
901 ：(^ー^*)ノ～さん ：08/06/15 13:21 ID:wNIBGhhI0: >>899-900
ありがとうございます
一応URLもいつも見るようにはしてるのですが、heimlinkの字があったので油断してしまって…
もうWikiには行かない様にします…
今avastのスキャンしてますので、何もないように祈っておきます
902 ：(^ー^*)ノ～さん ：08/06/15 13:33 ID:l9C1ckXj0: その前に、898は削除依頼してこい。
危険アドを生で貼ったら、被害者増える
903 ：(^ー^*)ノ～さん ：08/06/15 13:42 ID:5dbJfvvl0: >>902
貼り方に問題があるのは確かだが、多分失効ドメインなので、現時点では危険性ないかと。
Wikiのあった方の管理人が失効したままにして、危険サイトの方だけが復帰させた場合は
危険が出てくるが、殆どの場合、危険URLのドメイン名は使い捨てなので、復帰される可能性低いと思う。

運営側に手間賭けて貰うほど危険なもんじゃないよ。
904 ：(^ー^*)ノ～さん ：08/06/15 16:11 ID:Sq9iJLNv0: >>898
>　 Status: clientDeleteProhibited
>　 Status: clientTransferProhibited
>　 Updated Date: 10-jun-2008
>　 Creation Date: 06-may-2008
>　 Expiration Date: 06-may-2009
このステータスから判断するに、元の所有者との契約が打ち切られて、レジストラに取り戻された状態と思われる。
なので、表示されるページは、所謂「ドメインパーキング」状態かと。
現状では危険性が薄いが、今後どうなるかは予測不能。

>>900
Wikiに限らず、デッドリンクのメンテナンスが行われていないWebサイト自体が、リスクを含んでいるとも言える。
これは、サイト管理者への自戒の意味も込めて。

>>902,903
一応、まだ失効した訳ではないかと。
今後、悪意ある新オーナーが現れた場合には問題となるが、そんな事例はどのドメインにも言えることでもある。
例えば、企業がPR目的で取得したドメインでさえ、時期が過ぎれば赤の他人の手に渡っている事さえあり得る訳で。
905 ：(^ー^*)ノ～さん ：08/06/15 23:19 ID:Ss70jmxu0: 【　　アドレス　】http://picopico■dip■jp/ragnarok/data/1/1213526673172■jpg
【気付いた日時】 (23時)
【　　　 OS　　】 (XP)
【使用ブラウザ】 (IE7)
【WindowsUpdateの有無】 (更新は今日)
【　アンチウイルスソフト】 (マカフィ)
【その他のSecurty対策】 (なし)
【ウイルススキャン結果】 (現在スキャン中)
【スレログやテンプレを読んだか】 (今から読みます)
【説明】
(ただのブラクラなのか判断できません)
906 ：(^ー^*)ノ～さん ：08/06/15 23:33 ID:5dbJfvvl0: >>905
偽装jpegのhtml。テンプレ>>6にあるような偽装JPEG防止をしてれば問題なし。

http://www17■plala.or■jp/suigin/4■swf や http://x5■yukihotaru■com/ufo/068174800 が読み込まれる。
後者は、カウンターの模様。多分、踏んだ人の人数をカウントするだけの悪趣味なブラフかと。

4■swfは、VirusTotalでは、0/32ですし。
907 ：(^ー^*)ノ～さん ：08/06/15 23:36 ID:5dbJfvvl0: Forsety板雑談スレッド
ttp://jbbs.livedoor.jp/bbs/read.cgi/computer/39736/1201350763/366-

という訳で、悪戯確定のようです。
908 ：(^ー^*)ノ～さん ：08/06/16 01:53 ID:v+9CEIwi0: 丁寧にありがとうございますm(_ _)m
お手数かけましたー。
909 ：(^ー^*)ノ～さん ：08/06/17 15:29 ID:ctcShCr40: いつもメンテ前にウイルス検索ソフト掛けてるんだけど
メンテ後入ろうとしたらバスターが
種類 APIEvent
検出リソース NtUserSetWindowsHookEx
ファイル名Ragexe.exe
該当ポリシーDLLインジェクション
危険度大
とか掛けてきたのでオンラインスキャンと別PCでパス変更中
調べてもあんまり出てこないので何か知恵を拝借したく・・・
910 ：(^ー^*)ノ～さん ：08/06/17 15:37 ID:N9ShNxI10: nProさまを検知しただけだろ。
911 ：(^ー^*)ノ～さん ：08/06/17 16:58 ID:Hjww9SjJ0: ＰＣやセキュリティのことをあまり良く知らないので教えてほしいのですが、
トロイの木馬ウィルスなどでアカウント名やパスワードを勝手に送信される可能性があることはわかったのですが、
キャラクタセレクトで表示されるパスワードは欄がランダムで移動したりして、とても読み取られないような
気がするのですが・・・・
どのような方法であのパスを盗み取ってるのか教えていただけませんか？
912 ：(^ー^*)ノ～さん ：08/06/17 17:00 ID:rqp1X5WP0: パケット解析されていたら意味ない
913 ：(^ー^*)ノ～さん ：08/06/17 17:07 ID:7SRAlYTF0: >911
LiveRo側のスレ向きな気もするので簡単に

・マウスポインタ回りをキャプチャーして(SSとって)送信
・クリックした時の情報(RO鯖への通信)を傍受して送信
・PCのメモリ内部の情報を読み取って送信

など
914 ：(^ー^*)ノ～さん ：08/06/17 17:11 ID:7SRAlYTF0: >909
公式にも対策入れたと告知出てるし、>910の言う通りで
nProが更新されたのが原因かと

他のトロイの影響って可能性も０じゃないだろうけど
99.9%nProだろうな
915 ：(^ー^*)ノ～さん ：08/06/17 17:22 ID:Hjww9SjJ0: >>913
なるほど！クリックした先はデータとして送信されるから、
傍受すればできるわけですか・・・・意味無いじゃん。
あとＳＳを取るとは思いもよりませんでした。
ハイテクハッカーがいるんですねぇ。
916 ：(^ー^*)ノ～さん ：08/06/17 18:22 ID:ctcShCr40: >909　>914
過去3年バスターとRoやってきて初めて検出したので
あれ？どっかで踏んだのかな。とドキドキ物でした
カスペも一応検出無しだったので安心して入ります。
ありがとうございました
917 ：(^ー^*)ノ～さん ：08/06/17 23:15 ID:wnJ1lCpg0: あっち向けかもしれないが幾つかのRO系Wikiに関係したここなのでここにも書いておく

XREAの無料サーバー広告のウイルス騒ぎは収束した。
http://sb.xrea.com/showthread.php?p=83947

発覚から解決まで時間がかかりすぎた感は否めないが
918 ：(^ー^*)ノ～さん ：08/06/18 09:41 ID:kbiiELRd0: ここはやくめようぜ
919 ：(^ー^*)ノ～さん ：08/06/18 12:51 ID:d7RACUHg0: >>918
日本語でおｋ
920 ：(^ー^*)ノ～さん ：08/06/18 13:03 ID:urh6w50dO: 垢ハクにあった場合はどうすればいいんでしょうか？一応、癌に通報してから警察にいこうと思うのですが。。
921 ：(^ー^*)ノ～さん ：08/06/18 13:24 ID:5pJKFfql0: 被害にあってしまったら
http://www.ragnarokonline.jp/playguide/hacking/hacking_04.html

原因が分からんけどID・パスワードを変更する場合は安全な環境で行わないと意味なし
922 ：(^ー^*)ノ～さん ：08/06/18 14:47 ID:FE2VfoyK0: >>917
>○原因：
>広告配信や画像読み込み用として、外部に構築依頼をしておりました分散キャッシュサーバー内の1台の
>広告配信用サイト管理パスワードが、受託会社外の者に渡り、使用され、不正なファイルがアップロードされておりました。

この経緯をきっちり追求して貰わないと、今後、第二・第三のXREA事変が起こってしまうかもしれない。
一方で、従業員数など会社規模に対して、事業が拡大し過ぎた体質的問題もあるだろうから、その辺の見直しも必要だろうが。
923 ：(^ー^*)ノ～さん ：08/06/18 15:12 ID:hDbvE1k20: >>918-919
LiveROの新スレへの誘導＋スレストを★持ち管理人さんにやって貰うといいかもね？
924 ：(^ー^*)ノ～さん ：08/06/18 17:20 ID:d7fIIVss0: >>917
この発表で「配布されているウィルスについてですが、特定のオンラインゲームの
ID情報を盗む動作をするということです。」と書いてあるが
そのゲーム名すら出さないってどういうことだ？
ユーザー登録しないと質問も投稿できないし、ふざけてんのかこの会社
925 ：(^ー^*)ノ～さん ：08/06/18 17:25 ID:c+i4B1rV0: ゲーム名を出したらそのゲームに対するネガティブキャンペーンになりかねないし、
ユーザー以外からの迷惑メールが殺到した前例があるのかもしれない

という考え方もないこともない
926 ：(^ー^*)ノ～さん ：08/06/18 18:50 ID:d7RACUHg0: >>924
あっちとこっちで似たような文を投稿している暇があるなら
行動起こせば？
927 ：(^ー^*)ノ～さん ：08/06/18 19:46 ID:HmQ762100: アタックされるゲームをやってないから関係ない、と考える能天気なやつが少なくないからな
罠を仕込まれたことが重要なのであって、罠のターゲットなんて関係ないのに
928 ：(^ー^*)ノ～さん ：08/06/18 21:59 ID:3GyNOatY0: 【　　　気付いた日時　　　　　】１７日　午後２３時
【不審なアドレスのクリックの有無　】 61■238■148■112
【他人にID/Passを教えた事の有無】 (No)
【他人が貴方のPCを使う可能性の有無】 (No)
【　　ツールの使用の有無　　　】 (No)
【　ネットカフェの利用の有無　　　】 (Yes)
【　　　 OS　　】 winXP　SP２
【使用ブラウザ】 IE６
【WindowsUpdateの有無】最新版まで更新
【　アンチウイルスソフト】 (NortonInternetSecurity2008　最新版まで更新
【その他のSecurty対策】 (ルータ
【ウイルススキャン結果】 (カスペルスキーオンラインスキャンでしたところウィルスなし)
【スレログやテンプレを読んだか】 (Yes)
【hosts変更】(無）
【PeerGuardian2導入】(無)
【Webヘルプデスクへの報告】（無)
【説明】

　正確にはクリックしたのではなく、８４０にあるXEREAサーバーのサイトを見たところ
（１３日２２時半ごろ）、上記アドレスからのアタックをノートン先生がブロックしました。
　あとで、XREAの広告にウィルスが仕込まれていたことをしり、オンラインスキャン等で
スキャンをしました。そのときには、何もでてきませんでした。
フラッシュプレイヤーは最新版ではなかったため、今は最新版に更新していますが、この場合、
アタックをしかけられて、ウィルスをダウンロードする手前でとめられた、ということなのでしょうか。
もちろん、検体がないウィルスなら、意味のない質問ではありますが、教えていただければと思います。
よろしくお願いします。
929 ：(^ー^*)ノ～さん ：08/06/19 00:44 ID:93woR3LM0: >928
恐らく防げてると思うが、確実な事は言えない。
そのIPは>870にあるアドレスで、xreaの無料広告に
仕掛けられてたやつ。

取りあえず今から出来る事は、カスペのオンラインスキャンで
再度PCをチェック。

引っかかってなかった場合、それを信じるか、それとも念を入れて
OS再インストールするかは自己責任で好きな方を選ぶ、といった所。

あとROなりアトラクションセンターなりログインしてるのなら
安全な環境からPASS変更をお忘れ無く。
引っかかってないにせよ、PASSは定期的に変更した方が安全だし。
930 ：(^ー^*)ノ～さん ：08/06/19 05:41 ID:TdI00/Bf0: >>929
ありがとうございました。そうしてみます。
931 ：(^ー^*)ノ～さん ：08/06/19 19:22 ID:ga3M3ESF0: 垢ハック注意
http://www■jplineagejp■com/wiki/
mixiで全体公開にしてRO関連のこともしくはROと単語をつけただけで
コメ欄に垢ハク貼られるんだな('A`)こえー
932 ：(^ー^*)ノ～さん ：08/06/19 19:42 ID:8rhIu8hc0: >>931
ある意味「検体入手に便利」だったりもしますが(笑)
933 ：(^ー^*)ノ～さん ：08/06/19 19:48 ID:JsFYraqi0: ハニーポットいいかもしれんね。
934 ：(^ー^*)ノ～さん ：08/06/19 20:03 ID:qT2dDFCM0: しかし懐かしいアドだな
この調子だと、なんちゃってプロバイダ系とかも復活してくるんじゃね？
935 ：(^ー^*)ノ～さん ：08/06/19 23:07 ID:eVLAg1uy0: >>931
俺も同じ被害にあった。
mixiでアカハックが流行ってるのはこのスレとか見て知ってたから
俺は問題なかったんだけど、全体公開だから自分以外の人が踏んだりしないかと心配…
936 ：(^ー^*)ノ～さん ：08/06/19 23:15 ID:JsFYraqi0: 被害っつうのは実害があったときに言おう。
精神的被害を実害って言うならアレだけれどさ。
937 ：(^ー^*)ノ～さん ：08/06/20 00:58 ID:YD6Fhe+b0: リネージュなのにROなのか。中華はしょせん中華だな。
938 ：(^ー^*)ノ～さん ：08/06/20 01:04 ID:U0kH7G2S0: OSをクリーンインストールしたら、RO内でマップ切り替えの時に画面がバグるようになった件
俺だけか？
939 ：(^ー^*)ノ～さん ：08/06/20 02:34 ID:MiyJceE20: >>938
グラボを256にしてみると幸せが訪れるかもしれない
940 ：(^ー^*)ノ～さん ：08/06/20 02:35 ID:MiyJceE20: 256色設定だorz
941 ：(^ー^*)ノ～さん ：08/06/20 03:15 ID:U0kH7G2S0: >>939
設定変えてみたら、普通にプレイできるようになったよ！
ありがとう！ヽ(ﾟ∀ﾟ)ﾉ
942 ：(^ー^*)ノ～さん ：08/06/20 13:33 ID:sTRn2XP20: >>931
本当にROって書いてあるだけで来るんだね。
いま書き込んだ人と周辺を見ているんだけれど、どうみても
即席IDでなく普通の人なので、IDクラックされてしまったんじゃ
ないかと。運営には報告するよ。
943 ：(^ー^*)ノ～さん ：08/06/20 13:37 ID:xRQ21Ug00: あ、貼られたURL
http://www■testinghua■com/flash■htm
aguse.jpはSCO/KikenUrlで引っかかった
944 ：にゅぼーん ：にゅぼーん: にゅぼーん
945 ：(^ー^*)ノ～さん ：08/06/20 17:37 ID:sTRn2XP20: 乳蓮ｗｗｗ
946 ：(^ー^*)ノ～さん ：08/06/20 17:53 ID:jqQN/0s00: >>944
グロ画像だから削除依頼してこい。精神的被害を被った。謝罪を要求する。
947 ：(^ー^*)ノ～さん ：08/06/20 17:57 ID:eaMXP4Dp0: >931

それが原因でローグwikiの中の人がmixi止めてるな。
948 ：(^ー^*)ノ～さん ：08/06/20 18:44 ID:cxwAIqst0: 946>>
削除依頼して来ました。
申し訳ないです。
949 ：(^ー^*)ノ～さん ：08/06/20 19:54 ID:NjbyAt850: >943
URL通り、swfが置かれてる
チェックしてないが、どう考えてもFlashPlayerの脆弱性の罠だろうな
そのアド自体は既知のものだし

しかし中華はなぜ罠ページや罠ファイルに脆弱性に因んだ名前を
つけるんだろうか？
警戒しやすくていいんだけど
950 ：(^ー^*)ノ～さん ：08/06/20 19:57 ID:c02Sodyd0: どうせ引っかかるのは警戒心無い馬鹿だし、
名前ひねる必要性無いんじゃないかと。
951 ：(^ー^*)ノ～さん ：08/06/20 20:12 ID:yAnFebAN0: やっている（やらされている？）人間が人間だから、
手口が全く進歩してないな。ｗ
952 ：(^ー^*)ノ～さん ：08/06/20 20:33 ID:i8FRUNii0: >>949
ツールキットがデフォルトでそゆ名前で生成するから。
変えればいいんだけど、変えない奴が多い。
953 ：(^ー^*)ノ～さん ：08/06/20 22:27 ID:JHs2erXd0: 知っているのか雷電！
954 ：(^ー^*)ノ～さん ：08/06/20 22:59 ID:i8FRUNii0: たとえば
ttp://blog-imgs-21.fc2.com/i/l/i/ilion/2008042101.jpg
こゆので生成する(これはRealPlayer11には対応しているが
FlashPlayer未対応なので少し古い)。
Ms06014.htmとかAjax.gifとか見たことあるっしょ?
踏むような人はそもそもファイル名を注視しない
(せいぜい踏んでから気がつく)から
ファイル名そのままでも実用上は問題ないんだろうね。
955 ：(^ー^*)ノ～さん ：08/06/20 23:39 ID:hkX6vbXm0: それCuteQQの奴だな

Ms06014.htmとかはソースに「I LOVE CUTEQQ TEAM」の
一文が入ってたりするけど、そう言うのは全部そのツールで
作られた奴なんだろうな
956 ：(^ー^*)ノ～さん ：08/06/21 00:54 ID:VFGRyjoD0: うん。似たようなツールキットは山ほどある
957 ：(^ー^*)ノ～さん ：08/06/21 04:06 ID:dkfWDGnZ0: 【　　アドレス　】http://picopico■dip■jp/ragnarok/data/1/1213984243169■jpg
【気付いた日時】 (今日3時)
【　　　 OS　　】 (XP)
【使用ブラウザ】 (IE6.0)
【WindowsUpdateの有無】 (最近更新)
【　アンチウイルスソフト】 (ノートン)
【その他のSecurty対策】 (なし)
【ウイルススキャン結果】 (スキャン中)
【スレログやテンプレを読んだか】 (今から読みます)
【hosts変更】(無)
【PeerGuardian2導入】(無)
【説明】
>>905に似てるようなのですが、これもブラクラだけなのでしょうか…？
IDとパスワードをハッキングした、みたいな表示が出たのですが…。
お手数をお掛けしますが、どなたか教えてください。
958 ：(^ー^*)ノ～さん ：08/06/21 04:15 ID:xHnP+vtz0: idiot.swf　結果: 0/33 (0%)
あとmp3の再生、多分905同様かと
959 ：(^ー^*)ノ～さん ：08/06/21 09:22 ID:R/pLK3Sa0: ぴころだのForsety関連のファイルははまじでクリックしない方がいい
うｐってるやつがゲーム内で枝テロやIW妨害等やってるRMTerなんで
今はいたずらとか言ってやってるがいつ垢ハックアドに飛ばされるブラクラになるか分からない
960 ：(^ー^*)ノ～さん ：08/06/21 20:40 ID:eeIWVaetO: わたしも>>957を踏んでしまいました。お願いします。
961 ：(^ー^*)ノ～さん ：08/06/21 21:11 ID:xHnP+vtz0: 何をどうおねがいしますなんだよ…
962 ：(^ー^*)ノ～さん ：08/06/21 21:24 ID:eeIWVaetO: >>961
揚げ足とらないでください。
解説お願いします。
963 ：(^ー^*)ノ～さん ：08/06/21 21:27 ID:JGek8upG0: >962
>958
964 ：(^ー^*)ノ～さん ：08/06/21 21:34 ID:eeIWVaetO: とりあえず>>957は大丈夫ってことですかね？
965 ：(^ー^*)ノ～さん ：08/06/21 21:42 ID:qvegjoZj0: そんなに心配なら、いっそOS再インストールでもしちゃったほうがいいと思います。
966 ：(^ー^*)ノ～さん ：08/06/21 21:48 ID:MAO6GyEh0: >>962
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません
967 ：(^ー^*)ノ～さん ：08/06/21 22:07 ID:7KbdWIaA0: スレッドごとにある程度の許容は変化する
この垢ハックスレと初心者スレはある程度の稚拙な質問ぐらいは親切に答えてやるべきだぞ
答えられない人、答えられない人は無駄な煽りはやめたほうがいい
968 ：(^ー^*)ノ～さん ：08/06/21 22:09 ID:zox9uFo00: 誘導先なくなっちゃったしねぇ…。
969 ：(^ー^*)ノ～さん ：08/06/21 22:16 ID:UgdOC38f0: もうこっちはｻｸｻｸ埋めちゃって、向こうで一本化したほうがいいと思うんだけどなぁ……
970 ：(^ー^*)ノ～さん ：08/06/21 22:22 ID:JGek8upG0: >968
逆に考えるんだ。スレの埋めに使える。そう考えるんだ（AA略

で、埋め兼ねて解説しようと思ったが、>957のは解説するほどの
ものじゃない。

ただの拡張子偽装のjpgで、中身はhtml。
>6にある偽装JPEG防止をしてればすぐ判る。
Flashを表示してるが、VTの結果は>958が書いてくれたとおりで
今も0/33。

結論言えば、ただの悪戯。
ただ>959が書いてるとおりで、同様の手口で毎回悪戯と思わせて
慣らした後、ある時本当の罠が仕込まれるって可能性もある。

まあ見ないのが一番。
971 ：(^ー^*)ノ～さん ：08/06/21 22:24 ID:z9rRjeZA0: アカウントハック対策・セキュリティ総合スレ
http://enif.mmobbs.com/test/read.cgi/livero/1213363112/
972 ：(^ー^*)ノ～さん ：08/06/21 22:46 ID:xHnP+vtz0: スレを読んで理解しようともせず、質問もテンプレにそってるわけじゃないのに
なんでこんな偉そうなんだ、前にも似たようなのいたけど
「～と同じなんですが」じゃないだろ、踏んだ物同じでもPC環境がそれぞれ違うわけだ
その環境の違いで、もしウイルス踏んだとしたら防げてるかどうかも変わる
973 ：(^ー^*)ノ～さん ：08/06/21 22:58 ID:z9rRjeZA0: >>972
親身になって考えるからアレなんです。

このご時世に、なんの対策もしないまま踏んじゃうことのリスクを
考えないような人がいるんだなぁ、と生ぬるく見守ればいいんです。
垢ハックされようが、個人情報盗まれようが、我々には関係ありません。

スレ住人だって、なんら義務も責任も持たないボランティアですし、
へんなのきたなーと思いながら、軽くスルーしておけばいいんです。
すべての質問／問合せに対応する必要はないんですから。

>>967
稚拙と、礼儀を知らないのはまた違うと思うんです。
974 ：(^ー^*)ノ～さん ：08/06/21 23:58 ID:7KbdWIaA0: 垢ハックにかかったかもしれないという相手の心情を察するべき
このような場でテンプレ通りの対応がこないことがあることを考えれば
ある程度、柔軟に対応するべきだといってる

スルーするのが一番いいとおもうけど
相手が礼儀しらなかったり稚拙でも煽る行為は御法度
975 ：(^ー^*)ノ～さん ：08/06/22 00:04 ID:x9I+luKX0: まあこのスレで煽り合いをして無駄な書き込みでスレを潰そうとするのは
ウイルスを仕掛けた中華の自演と考えてもおかしくはないわなｗ
教えませんってわざと言うのは効果的にやり方だ
このような宣言はわざわざ書く必要などない
976 ：(^ー^*)ノ～さん ：08/06/22 02:04 ID:c3PDEjWB0: 確かに踏んだ時は超焦るし冗談抜きに小・中学生なんかの質問者も居るだろうから、
ある程度は許容して答えるのがいいとおもうけど、
>>1にもある通り鑑定スレって言う訳ではない（鑑定可にすると収集がつかなくなる）のと、
今回の場合みたいにすぐ上に答えが書いてあったり、
ちょい前に聞きに来た人のようにやけに上の立場からのような態度の物言いでの質問だったりすると、
さすがにこっちもちょっと気分がもやもやして答える気が減ってしまいます。
答えてくれる方も皆ボランティアで、誰も答える義務があってやっている訳では無いですしね。
が、かといってそれに対して煽りっぽいレスを入れると更にもやもやな流れになっちゃうので、
そこはガマンしてスルーしましょう。
977 ：(^ー^*)ノ～さん ：08/06/22 02:29 ID:mqv9iD8A0: 垢ハックにかかった質問者の心境を考える前に、
乱暴で適当な質問して回答者がどう思うかを考える方が先だろ…
煽られるのは自業自得じゃね。
978 ：(^ー^*)ノ～さん ：08/06/22 02:37 ID:wseJZLqG0: 小中学生だからゆとりを持たせるのもどうかと。
979 ：(^ー^*)ノ～さん ：08/06/22 04:30 ID:PdQ6/HQg0: 気に入らなかったら無視しろ
それだけ
980 ：(^ー^*)ノ～さん ：08/06/22 11:33 ID:v0G2T3l/0: 「ここは鑑定スレではありません」と一言返せばいい。
981 ：(^ー^*)ノ～さん ：08/06/22 11:35 ID:sDc+icOC0: 相手したいやつはすればいいし、
したくないやつは無視すればいい。
でもって、何でも良いが場を荒らすなと。
982 ：(^ー^*)ノ～さん ：08/06/23 05:45 ID:nGUFjkQa0: >>977
んなわけない
無視すればいいだけ
どんなことだろうと煽るやつが悪い

>>980みたいに煽らず返答するのも良い
983 ：(^ー^*)ノ～さん ：08/06/23 06:43 ID:/aQviQFD0: 【　　アドレス　】ttp://yaplog■jp/tshysy/
【気付いた日時】 (6/23 ６時)
【　　　 OS　　】 (windowsXP)
【使用ブラウザ】 (IE６)
【WindowsUpdateの有無】 (２週間ほど前)
【　アンチウイルスソフト】 (ウイルスバスター２００８)
【その他のSecurty対策】 (Spybot)
【ウイルススキャン結果】 (VBS_PSYME.SD)
【スレログやテンプレを読んだか】 (今から読みます)
【hosts変更】(無)
【PeerGuardian2導入】(無)
【説明】
携帯から見ると普通のブログだったので、安心してＰＣで開いてみたらウイル
スバスターが反応してウイルスに感染しているとの事。
すぐにスキャンして削除し、２代目のＰＣでガンホーＰＡＳＳ、ゲームにログイン
時のＰＡＳＳ，キャラクターＰＡＳＳ、メールアドレスをそれぞれ変更しまし
た。
この後にすべき処理を教えていただきたく投稿してみました。
Windowsの再インストールも考えているのですが、他の方法も何かありましたら
教えていただきたいです。
又、再インストールをすればウイルスの危険も１００％無くなるのでしょうか。
ＰＣ初心者でまったく何も分からず、不備な点が有ると思うのですがよろしく
お願いします。
984 ：(^ー^*)ノ～さん ：08/06/23 07:13 ID:q7nFJxeu0: 【　　アドレス　】www■1ive■net/i.exe
www■1ive■net/anright■dat
【気付いた日時】 6/23AM3:30
【　　　 OS　　】 XP(SPまで調べられませんでした）
【使用ブラウザ】 IE（Ver7.0.5730.13）
【WindowsUpdateの有無】随時更新とはなってました
【　アンチウイルスソフト】ウイルスバスター2007（最終更新が6/21）
【その他のSecurty対策】 Spybot
【ウイルススキャン結果】カスペルスキーで検索したところ垢ハックウイルスを確認
【スレログやテンプレを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
ラグナロクのサイト（ラグナロク情報局経験値テーブル）を開いた時に突然ウイルスバスターの警告で開いても居ないサイトのアドレス出てきました。
慌ててウインドを閉じたのですが、その後こちらのテンプレートに書かれていたカスペルスキーで検索したところsystem32内のLoveFlyと言うファイルが垢ハックウイルスとして検出されました

手動で削除を行ったのですが

LoveFlyを削除できません。アクセスできません。
ディスクがいっぱいでないか、書き込みが禁止になっていないか
またはファイルが使用中でないか確認してください。

と表示されて削除が行えませんでした。
この場合クリーンインストールをするのが最善かとは思うのですが、データの問題でなるべく問題のファイルを消すだけにとどめたいのですがどなたかお知恵をお貸しいただけないでしょうか。お願いいたします。

現在ネカフェからでIDパス、アトラクションIDは全て変更致しました。
985 ：(^ー^*)ノ～さん ：08/06/23 07:33 ID:rBaiieGi0: まずはセーフモード
986 ：(^ー^*)ノ～さん ：08/06/23 10:35 ID:CYDaUBSR0: ネカフェからのパス更新ってのもなかなか怖いな。
感染後ログインを一切してないなら、安全な環境を構築するまで変えなくてもいいのに。

>>983 >>984
両方OSの再インストールコースをお勧めする。

必要なデータのバックアップの後、OS入れなおし。

>又、再インストールをすればウイルスの危険も１００％無くなるのでしょうか。
基本的にはそう。ウイルス本体をどこかにおきっぱなしで、ＯＳ入れなおした後に、そいつを叩くと、再度感染するので
ＯＳ入れなおした後、残骸がないかどうか確認を。本当のクリーンインストール（HDDまっさらから）や、リカバリの場合は
残骸も残ってないのでその心配はない。

>データの問題でなるべく問題のファイルを消すだけにとどめたいのですが
ＯＳの上書きだけなら、データ部分は消えませんよ。
でも、バックアップ→HDD抹消→OSの入れなおしが最善です。

上書きインストールで、データ保持したまま安全な環境を構築しても、残骸が残っていてそれを起動させたらアウトです。
（メーカー製リカバリディスクの場合は問答無用でデータ消えますが）

他になにが残っているのか判らないので、OS入れなおししか推奨できませんが、別HDDやパーティションにOSを入れて
そちらから起動して、ウイルスを削除する方法もあります。この場合、削除に使用するセキュリティソフトが対応していない
新種が残ったりしますので、自己責任ということになります。

SP+メーカーを使用して、SP適用済みディスクを作ってからインストールするとインストールの手間が大幅に省けますよ。
987 ：(^ー^*)ノ～さん ：08/06/24 17:27 ID:91yninzu0: 【　　アドレス　】ttp://www.nicovideo.jp/search/Ro
ttp://www.nicovideo.jp/watch/sm3750703

【気付いた日時】 6/24AM17:25
【　　　 OS　　】 XP
【使用ブラウザ】 IE（Ver7.0.5730.13）
【WindowsUpdateの有無】随時更新
【　アンチウイルスソフト】 AVG Anti-Virus Free
【その他のSecurty対策】
【ウイルススキャン結果】これから
【スレログやテンプレを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無

ニコニコ動画のＲＯリンクに、変な動画があってそれをクリックしてしまいました。
内容はただのニュースで、ＡＶＧやウィルスソフトの反応はなかったのですが
動画のタイトルを見ると
「飛騨牛客か・一番よく分かってるそうて・す」と・・いかにも中華な感じで
心配です。
最近はフラッシュでも感染すると聞きましたが、・・こういう場合どうしたら良いでしょうか？
988 ：(^ー^*)ノ～さん ：08/06/24 17:32 ID:0tvy7D280: >>987
>>1
989 ：(^ー^*)ノ～さん ：08/06/24 17:38 ID:91yninzu0: ぶ、らいぶろに立ってたんですね。
スレ落ちだと思ってこっちに来てしまいました、すみません。
987の書き込みもって移動します、ありがとう。
990 ：(^ー^*)ノ～さん ：08/06/24 21:41 ID:tfhD5pIB0: やっぱりここはｻｸｻｸ埋めちゃおうぜ
そのほうが混乱しなくていい。
991 ：(^ー^*)ノ～さん ：08/06/24 22:05 ID:cZrKxQuf0: 次スレ

アカウントハック対策・セキュリティ総合スレ
http://enif.mmobbs.com/test/read.cgi/livero/1213363112/
992 ：(^ー^*)ノ～さん ：08/06/24 22:16 ID:NicfVTeW0: 埋め埋め
993 ：(^ー^*)ノ～さん ：08/06/24 22:41 ID:e7EgvqvF0: 梅
994 ：(^ー^*)ノ～さん ：08/06/24 23:27 ID:o7KDBVbf0: うめ
995 ：(^ー^*)ノ～さん ：08/06/24 23:27 ID:o7KDBVbf0: 梅
996 ：(^ー^*)ノ～さん ：08/06/25 00:04 ID:Nty+DHLf0: 松竹梅
997 ：(^ー^*)ノ～さん ：08/06/25 00:32 ID:cyKaSKS10: んにぃ
998 ：(^ー^*)ノ～さん ：08/06/25 00:35 ID:67Vltz240: 多めに張っておこう
次スレからはLiveROのスレで統合です。

次スレ

アカウントハック対策・セキュリティ総合スレ
http://enif.mmobbs.com/test/read.cgi/livero/1213363112/
999 ：(^ー^*)ノ～さん ：08/06/25 00:36 ID:1GTa2eD80: 999
1000 ：(^ー^*)ノ～さん ：08/06/25 00:38 ID:yVilm0S/0: 次にお前は

「このスレッドは１０００を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。」

と言う
1001 ：１００１ ：Over 1000 Thread: このスレッドは１０００を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。

掲示板に戻る全部前100 次100 最新50

read.cgi ver5.26 + n2 (02/10/01)