レス数が1000を超えています。残念ながら全部は表示しません。

アカウントハック総合対策スレ9

1 ：夢 ★ ：07/11/25 11:04 ID:???0

アカウントハックに関する情報の集積・分析を目的とするスレです。
被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

・ 関連＆参考情報アドレス (>>2)
・ 報告用＆質問用テンプレ (>>3, >>4)
・ アカウントハック対応の要点とFAQ (>>5)
・ 安全対策の簡易まとめ (>>6)
・ アカウントハッキングについて（ガンホー公式）
　 http://www.ragnarokonline.jp/playguide/hacking/

■スレの性格上、誤って危険なURLがそのまま貼られてしまう可能性がある■
■URLを無闇に踏んで回らないこと。報告・相談はテンプレを利用すること■

※ ID/Pass/サーバ/キャラ名等の情報は公開しないでください
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません
※ ネタや程度を超えた雑談・脱線はご遠慮ください

・スレ立て依頼は>>970がしてください。反応がなければ以降10ごとに。

【一般的話題用】
セキュリティ対策、質問・雑談スレ3
　http://enif.mmobbs.com/test/read.cgi/livero/1186660300/

675 ：(^ー^*)ノ〜さん ：08/05/13 21:28 ID:803LoA8v0

>>674
>>648

676 ：(^ー^*)ノ〜さん ：08/05/15 21:17 ID:yfGu3Gcc0

誘導に見せかけた荒らしがまだいるんだな

677 ：(^ー^*)ノ〜さん ：08/05/15 21:26 ID:lzwxq9FT0

ここ数ヶ月インジェクションされているURIを集めてみました
(上に行くほど新しい)。死活チェックはしていません。

www■adword71■com
www■wowgm2■cn
www■wow112■cn
www■wowgm1■cn
www■killwow1■cn
9i5t■cn
www■kisswow■com■cn
www■wowyeye■cn
www■ririwow■cn
www■caocaowow■cn
www■direct84■com
www■11910■net
computershello■cn
winzipices■cn
www■nihaorr1■com
www■aspder■com
www■nmidahena■com
www■414151■com
www■fccja■com
www■hellh■net
www■dda3■net
www■2117966■net
yl18■net
c■uc8010■com
ucmal■com
free■hostpinoy■info
xprmn4u■info
bbs■jueduizuan■com
free■edivid■info
www■z008■net
www■bluell■cn
www■pkck■cn
usuc■us
h28■8800■org
b15■3322■org

678 ：まとめ臨時 ◆kJfhJwdLoM ：08/05/16 04:04 ID:W5gQDi0+0

情報ありがとうございます。
早速抜け落ちている部分を追加しました。

照合する際にFFXI(仮)というブログに行き着いたのですが、
FF関連も確認している方なのかな…とか。

リネージュ２関連やFF関連で
ここのようなアカウントハック対策の最前線スレをご存知であれば
そちらの方もチェックしてみたいので是非教えていただきたく。

679 ：(^ー^*)ノ〜さん ：08/05/16 05:14 ID:yptqHu080

>>678
ネ実1(FFXI)
●● RMT業者の垢ハックが多発している件19 ●●
http://live27.2ch.net/test/read.cgi/ogame/1210116788/

リネ2に関しては、資料室が代表格になっているので、他にこれというべき情報は無いかもしれない。

680 ：(^ー^*)ノ〜さん ：08/05/16 12:43 ID:YTXXOpnV0

重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/

681 ：(^ー^*)ノ〜さん ：08/05/16 18:50 ID:SiCTqLDm0

【　　アドレス 　 】不明
【気付いた日時】 今日の14時ころ
【　 　　 OS　 　 】Windows Vista
【使用ブラウザ 】IE7
【WindowsUpdateの有無】 自動更新
【　アンチウイルスソフト 】 NortonInternetSecurity2007、最新まで更新済み
【その他のSecurty対策 】 なし
【 ウイルススキャン結果】 カスペルスキーオンラインスキャンで発見
【スレログやテンプレを読んだか】 Yes
【hosts変更】
【PeerGuardian2導入】無
【説明】
パソコンは旦那と共有で使っています。
普段はノートンのスキャンをしていて、週末や多くブログ見た時だけカスペのスキャンしていました。
ノートンの方では反応しなかったのですがカスペの方で下の結果が出ました。

C:\Users\PC名\AppData\Local\Temp\symlcsv1.exe
Trojan-Clicker.Win32.Agent.aig

別のパソコンからパスの変更を終えて垢が無事なのは確認しました。
上のウィルスがROの垢ハックなのか知ってる人がいたら教えていただきたいです。
また削除してカスペのスキャンで感染がなくなってたらリカバリは必要ないでしょうか？

682 ：(^ー^*)ノ〜さん ：08/05/16 19:05 ID:J6UupXqf0

セキュスレ向きな内容なので簡単に。

Trojan-Clicker は特定のサイトのカウンタを回すトロイ。
どちらかと言えばスパイウェア。
アフィ稼ぎみたいな奴で　基　本　的　にはハクとは無関係。

しかしハク機能を持ってるかどうかは不明だし、他にも未検出の
トロイがいるかもしれない。

検出出来たものは駆除出来ても、検出出来ない物は駆除出来ない。
駆除して100%無害であるとは誰も保証できない。

なので、検出結果を信用して駆除して安心するか、念には念を入れて
リカバリをするか、は好きな方を選べばいい。

683 ：まとめ臨時 ◆kJfhJwdLoM ：08/05/16 19:39 ID:Ia5vrROC0

>>682さんが回答しているので補足？として。

カスペ検索で見つかった現物と該当名のファイルが同じかは判りませんが、
とりあえず単純にGoogle先生で検索を掛けると
ノートン2007で自動生成されるファイルのとのこと。
起動時に勝手に作るそうです。詳しくは上記URL参照。

●デジタルわかめ "ノートン2007が生成するsymlcsv1.exe"
ttp://blitzkrieg.paslog.jp/article/612531.html

Googleで検索する癖をつけるとよいかもですね。

684 ：まとめ臨時 ◆kJfhJwdLoM ：08/05/16 19:56 ID:Ia5vrROC0

>>679
情報ありがとうございます。
あちらで危険ドメインを早期に取得できるようであれば拾ってきます。
リネージュ資料室さんはいつも手早く拾ってきていらっしゃるので、
どこかそのような場所があるのかなと気になっていたのです。

そしてリスト更新しました。→　http://sky.geocities.jp/ro_hp_add/

685 ：(^ー^*)ノ〜さん ：08/05/16 20:48 ID:UfGuTnCaO

>>682>>683
レスありがとうございます。
後付けなので先に書けばよかったと激しく後悔したんですが
Trojan〜をgoogleで検索したんですが英語サイトのみでROに繋がらず
カスペのウィルス名検索(？)でもヒットしなかったので書き込ませていただきました。
本当にありがとうございました。

686 ：(^ー^*)ノ〜さん ：08/05/17 16:38 ID:TpoRdpFA0

どうしよう
REDSTONEというネトゲのしたらばに書いてあったURLに
エロ単語が入ってたからつい入っちゃって・・・
で、書いてたURLと違うURLが表示されてたんだけど
これってよくあるパターン？
再インストールしないといけないかな・・・

687 ：(^ー^*)ノ〜さん ：08/05/17 16:39 ID:TpoRdpFA0

あ、ここってラグナロク板のスレだったのか。スマソ

688 ：(^ー^*)ノ〜さん ：08/05/17 18:29 ID:MMLxYGfy0

重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/

689 ：(^ー^*)ノ〜さん ：08/05/20 02:16 ID:QXU0ajFu0

スレ違いだったらすまん。

ttp://yaplog■jp/lmhtmy/
知り合いのブログのコメントから↑のブログに行ったんだが
AntiVirが何度も反応したんだ。
んで仲介してる（？）アドレスを調べたら、発信源は中国と出たんだ。
（こいつ→ttp://www■wacacop■net/wiki/index1■htm）
こいつは垢ハックウイルスを落とさせようとしてるサイトでいいんだろうか？

ブログを書いてる知り合いに注意を呼びかけたいと思うんで、どうなのかを知りたい。
無知ですまん。

690 ：(^ー^*)ノ〜さん ：08/05/20 02:18 ID:HPYbAYFu0

まずは"wacacop"でこのスレを検索するところから始めようか

691 ：(^ー^*)ノ〜さん ：08/05/20 02:42 ID:aF7yzAC+0

重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/

692 ：(^ー^*)ノ〜さん ：08/05/20 03:06 ID:NZCtfbYw0

>>689
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/606-
スレ違いではないけど南無

693 ：(^ー^*)ノ〜さん ：08/05/20 10:12 ID:0wY639Cb0

タイトルとテンプレを見ても何をするためのスレなのかいまいち
分かりにくいから、スレ違いとかでてきちゃうんだろうなぁ。

694 ：sage ：08/05/20 11:17 ID:z/vNdz/U0

【　 　 　 気付いた日時　 　 　 　 　 】5月19日
【不審なアドレスのクリックの有無　】No
【他人にID/Passを教えた事の有無】No
【他人が貴方のPCを使う可能性の有無】Yes
【 　 　ツールの使用の有無　 　 　 】No
【　 ネットカフェの利用の有無　 　　】Yes
【　 　　 OS　 　 】WindowsVista HomeEdition
【使用ブラウザ 】IE
【WindowsUpdateの有無】No
【　アンチウイルスソフト 】Kaspersky Internet Security 7.0
【その他のSecurty対策 】No
【 ウイルススキャン結果】ウィルスは発見できませんでした。
【スレログやテンプレを読んだか】Yes
【hosts変更】No
【PeerGuardian2導入】No
【Webヘルプデスクへの報告】Yes
【説明】
19日ＲＯにログインしようとするも、アトラクションパスワードが変更されており、ＲＯにログインすることができませんでした。
アトラクションセンターにログインし、アトラクションパスワードを変更後、ＲＯにログイン。
アイテムをチェックしたところ、約３０種類程のアイテムとＺｅｎｙが一部がハックされていました。
ＰＣが１台しかない為、ウィルス感染したと思われるＰＣでＲＯにログインしました。
その後ガンホーに通報し、友人に頼み友人のＰＣからガンホーＩＤ、パスワード、アトラクションパスワード、キャラクターパスワードの
変更をしてもらいました。
その後は１度もＲＯ、アトラクションセンターにログインしておりません。
この後すぐにＰＣはメーカーに引き取って貰い、クリーンインストールしてもらう予定です。
スキャンしてもウィルスがみつからない為、クリーンインストールした後ＲＯにログインしても大丈夫かどうかすごく不安です・・・。

695 ：(^ー^*)ノ〜さん ：08/05/20 11:37 ID:ve66P2Iq0

>694
南無……

>【　 ネットカフェの利用の有無　 　　】Yes
>【　アンチウイルスソフト 】Kaspersky Internet Security 7.0
>【 ウイルススキャン結果】ウィルスは発見できませんでした。

ネットカフェからROやアトラクションセンターに入った事があるなら
そこで漏れた可能性が高い気がする。

知人にPASS変更してもらったと言うことなので、その知人のPCが安全なら
これ以上の被害は出ない。

>スキャンしてもウィルスがみつからない為、クリーンインストールした後
>ＲＯにログインしても大丈夫かどうかすごく不安です・・・。

クリーンインストールをした時点で、PC内部からウィルスは(居たとしても)
消えてる。
別ドライブに残ってても発動はしないので、即ウィンドウズアップデートして
アンチウィルスソフト入れて、チェックすればOK。

それと
>【WindowsUpdateの有無】No
これは非常にマズイ。
自分のPCから感染したかどうかは定かじゃないとはいえ、WUは毎月必ずしないとダメ。

後、アカハックは立派な犯罪なので、警察に被害届を。
警察からじゃないと癌は動かない。

それとまとめ臨時の人の所(>9)に、警察への通報から救済までのレポが
載ってるので一読を。

696 ：(^ー^*)ノ〜さん ：08/05/20 11:52 ID:gWrmPH5T0

＞【他人が貴方のPCを使う可能性の有無】Yes
むしろここも問題では？…
ID･パスまで知られてるかどうかはわからないけど。

697 ：(^ー^*)ノ〜さん ：08/05/20 11:54 ID:z/vNdz/U0

>695さん
丁寧に有難うございます。
書き忘れていたのですが、ネカフェから帰宅後、自宅のＰＣでパスワード変更を行いました。
ですので何かしらのウィルスに感染していると思われます・・・。
WindowsUpdateはよくわからなかったので今までやっていなかったのですが、今後はきちんとやろうと思います。
アンチウィルスソフトはカスペ以外にも入れておいた方が良いのでしょうか？

また、一、二度友人のPCからROにログインしたことがあるのですが、友人宅のブロバイダ名が分からなかった為、
通報の際に友人宅のブロバイダ名を入力しなかったのですが、友人宅に警察が捜査に行くことになる、ということはあるのでしょうか？

少々テンパっていて文章がおかしいかと思いますがすいません・・・。

698 ：(^ー^*)ノ〜さん ：08/05/20 11:55 ID:iqeGDvW10

その他人が家族なのか、本当に他人なのかだな

699 ：(^ー^*)ノ〜さん ：08/05/20 11:57 ID:z/vNdz/U0

追記です。
>696さん
家族とPCを兼用ですが、ROのIDパスワードは誰にも教えていないし、保存もしていないので
家族の誰かがROをやるということは不可能です。
自分以外の誰かが垢ハックを踏んでしまっていたらそれまでですが・・・。

700 ：(^ー^*)ノ〜さん ：08/05/20 12:07 ID:0wY639Cb0

GungHo-IDとpassが割れたらゲームアカウントのセキュリティは皆無です。
どの場面でそれを入力する機会があったか思い出してください。

701 ：(^ー^*)ノ〜さん ：08/05/20 12:08 ID:ve66P2Iq0

ちょいと情報整理

A)ネカフェ利用時の状況
　　1.ROをプレイ
　　2.アトラクションセンターもログイン
　　3.パスが絡むものは何もなし

B)帰宅後のパス変更について
　　1.ROのパスを変更
　　2.アトラクションセンターのパスも変更
　　3.その他ネカフェで使った他のパスワードも変更

C)友人宅でROを遊んだ時の状況
　　1.アンチウィルス対策は万全
　　2.セキュリティには無頓着で何もしてない

D)パス変更を頼んだ友人は
　　1.Cと同じ人
　　2.Cとは別人で、セキュリティ万全
　　3.Cとは別人で、セキュリティには無頓着

>アンチウィルスソフトはカスペ以外にも入れておいた方が良いのでしょうか？
複数入れると干渉して不安定になりがちなので、一度アンインストールしてから
別のを入れる、という形になる

念のため、パターンを更新して再度カスペでHDD全チェック。
次にカスペを消して、AVGあたりを入れて再度チェック、かな。

702 ：694 ：08/05/20 12:19 ID:z/vNdz/U0

返信ありがとうございます。
>A)ネカフェ利用時の状況
　　>1.ROをプレイ
　　>2.アトラクションセンターもログイン
　　>3.パスが絡むものは何もなし

ネカフェからアトラクションセンターにログインし、パワーアップチケットの入力、１Dayチケットの入力をしました。


>B)帰宅後のパス変更について
　　>1.ROのパスを変更
　　>2.アトラクションセンターのパスも変更
　　>3.その他ネカフェで使った他のパスワードも変更

ROにログインする為に必要なパスワードしか変更していませんでした。


>C)友人宅でROを遊んだ時の状況
　　>1.アンチウィルス対策は万全
　　>2.セキュリティには無頓着で何もしてない

ウィルスバスターが入っていたと思います。
バージョン等は覚えておりません。


>D)パス変更を頼んだ友人は
　　>1.Cと同じ人
　　>2.Cとは別人で、セキュリティ万全
　　>3.Cとは別人で、セキュリティには無頓着

Cとは別の人です。
ただ、セキュリティソフトは何が入っているかわかりませんが、入っていたと思います。


>700さん
そうだったんですか・・・。
ネカフェから帰ってROログインに必要なパスワードしか変更していなかったのがいけなかったんですねorz

703 ：(^ー^*)ノ〜さん ：08/05/20 13:50 ID:XD2h5pY20

>>694,702
ネカフェからの利用履歴があるみたいだけど、LiveROのネカフェスレで推奨されていた事前チェックはどの程度行っていたかな。
具体的には、利用開始時に手動でのシャットダウン、環境復元ソフトの正常動作確認、何らかのウイルススキャン、利用終了時の
手動シャットダウンなど。

それと、利用時点でのレシートが手元に残っているならば、それも今後の追跡調査で必要になるかもしれない。
何らかの「仕込み」が行われていた場合に、状況特定に繋がる可能性がある事に加え、自宅以外からの接続点を明確に限定する
材料にもなるから。

704 ：(^ー^*)ノ〜さん ：08/05/20 14:19 ID:ve66P2Iq0

>702
感染源がネカフェと断定された訳じゃない。
あくまでも状況分析のために聞いただけ。

カスペで再チェック＋他のアンチウィルスソフトでもチェックして、トロイが見つかれば
自PCが感染源だった、で終わる話。
しかし、もし見つからなかった場合は他で抜かれたことになる。

つまり、ROを遊んだ友人のPC、又はネカフェが感染してる可能性が高いという事に。

705 ：694 ：08/05/20 14:40 ID:z/vNdz/U0

返信ありがとうございます。
>703さん
環境復元ソフトの正常動作確認、利用終了時の手動シャットダウンは行いました。
ウイルススキャンは時間がかかりすぎてしまう為、行いませんでした。
（環境復元ソフトが正常に動作していた為、大丈夫だろうと思いました。）
利用時のレシートは手元に残っておりません。

>704さん
カスペで再チェックをしましたが、ウイルスは発見できませんでした。
ROを遊んだ友人のPCですが、その友人も一緒にROをプレイしているのですが、被害はないそうです。

また、今分かった事なのですが、２〜３か月程前に私がログインできない状況なのに、
ROに一瞬ログインしたことが何度かある、という話をその友人から聞きました。
当初はネカフェにでも行ってROをしているのかな？と思っていたらしいです。
ですので、もしかしたら結構前にどこかでウイルスに感染している可能性があるかと思います・・・。

警察の方にはきちんと通報し、調査依頼を出すことにします。
PCのクリーンインストールが終わり、手元に戻ってきたらガンホーへの通報に対する返信を確認し、
サイバー犯罪対策センターに電話してみようと思います。

706 ：694 ：08/05/20 15:47 ID:z/vNdz/U0

追記です。
avast!でスキャンをかけてみましたが、やはりウイルスは発見できませんでした。
自宅のPCではなくネカフェでガンホーID、パスワードを抜かれたんですかね・・・？
とにかくヨドバシに行ってPCリカバリーをお願いしてきます。

707 ：(^ー^*)ノ〜さん ：08/05/20 16:23 ID:ve66P2Iq0

・以前、どこかでパスを抜かれた
・その後数ヶ月泳がされてた
・どうやら自分のPCからの流出ではなさそう
という事なら

>ROを遊んだ友人のPCですが、その友人も一緒にROをプレイしているのですが、被害はないそうです。

その友人のPCも疑う対象になる。
今も泳がされてるだけ、って可能性が無きにしも非ずなので、念のためにその友人にも
HDDをフルチェックしてもらい、確実に安全と言える環境からパスを変更してもらった方が
いいと思う。

もしその友人のPCも綺麗だったら、ネットカフェが原因って事になるだろうけど
利用してる店が複数あるなら厄介な事に。

708 ：694 ：08/05/20 16:26 ID:z/vNdz/U0

返信ありがとうございます。
>・以前、どこかでパスを抜かれた
>・その後数ヶ月泳がされてた
>・どうやら自分のPCからの流出ではなさそう

多分この状況だと思います。
友人のPCもウイルスチェックしてもらいます。
ネカフェは３件の店でROにログインしたことがあります。

709 ：(^ー^*)ノ〜さん ：08/05/20 17:56 ID:YkSEbAsH0

これを機に再インストールくらい自分でできるようになろうぜ

710 ：(^ー^*)ノ〜さん ：08/05/21 21:31 ID:Bzh5Pj//0

中３、高１男子がオンラインゲームに不正アクセス
ttp://sankei.jp.msn.com/affairs/crime/080521/crm0805212011027-n1.htm

711 ：(^ー^*)ノ〜さん ：08/05/21 22:59 ID:AxAm/g4q0

被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/

712 ：(^ー^*)ノ〜さん ：08/05/22 01:32 ID:n52tVv5g0

>>711
>>600
>>609
>>610
>>614
>>631
>>648
>>657

713 ：(^ー^*)ノ〜さん ：08/05/22 01:41 ID:5BqqbrRQ0

http://enif.mmobbs.com/test/read.cgi/livero/1205488101/540-566

714 ：(^ー^*)ノ〜さん ：08/05/22 10:00 ID:7Itg5rj70

朝からごめん、助けてほしい……

【　　アドレス 　 】www3■atwiki■jp/furin/　だと思う……
【気付いた日時】 5月22日09時前後
【　 　　 OS　 　 】 XPPro SP2
【使用ブラウザ 】 IE6.0
【WindowsUpdateの有無】 有　自動更新任せ
【　アンチウイルスソフト 】 Avast!4.7？
【その他のSecurty対策 】 SpyBot＋ルーター
【 ウイルススキャン結果】
　カスペオンラインスキャンで
C:\Program Files\Hudson\MasterOfEpic\cgMoEDrv.dll
が
Backdoor.Win32.Rbot.psr
に感染しているらしい。
【スレログやテンプレを読んだか】 YES
【hosts変更】
【PeerGuardian2導入】無
【説明】
上記のURLの更新一覧から、最新更新分（5月20日洗面鬼）をクリックした所、
本文が何も書いていないページが出現した。
更新忘れかと放置したものの、動作がやけに重いので、不安になってチェックをかけてみたら、ROとは違うMMOのファイルがウィルスとして出てきた。
（上のMOEはかれこれ半年以上触ってもいない）
毎晩寝る前にスキャンをしていて、昨日の時点では出ていなかったので、今日中に踏んだっぽい。

上の結果を見てすぐに、携帯のPCサイトビューアーからID・アカウントパスを変更したんだが、
Backdoorというウィルスの種類はあっても、Backdoor.Win32.Rbot.psrなんてウィルスはぐぐっても出てこないんだorz

垢ハックなのかも不明だけど、感染ファイルが格納されている\Hudsonごと削除すれば問題ないのかな(´･ω･`)

715 ：(^ー^*)ノ〜さん ：08/05/22 10:12 ID:L7LozTmd0

cgMoEDrv.dll でググる

716 ：714 ：08/05/22 11:46 ID:7Itg5rj70

>>715
ググってきた。

＞409 ：名無しオンライン：2007/12/27(木) 21:48:22.42 ID:F68edPSR
＞Openβ時代からcgMoEDrv.dll の挙動にはいろいろ問題が報告されているが
＞それは仕様がムチャクチャだからなだけで別にトロイじゃないって事

誤検出っぽいかな？
同じソフト入れてるもう一台の方は、バスターなんだが、そっちじゃ引っかからなかったし。
Avast!じゃなくて、今まで検出しなかったカスペで引っかかったって点が引っかかるけど、
幾分か気が楽になったよｱﾘｶﾞﾄｳ(´･ω･`)ﾉｼ仕事行ってくる。

717 ：(^ー^*)ノ〜さん ：08/05/22 11:53 ID:FQ7kOWzm0

ところで、垢ハック系のウィルス・トロイは、
キーロガーみたいな感じで情報を抜かれるのですか？
それとも、PCの情報ごと全て抜くみたいな感じですか？

718 ：(^ー^*)ノ〜さん ：08/05/22 12:03 ID:leZUNaZJ0

>>717
前者は知られている。後者は知られていないが今後ないとは言い切れない。
でも、漠然とした質問はセキュスレが担当なので、次回からはセキュスレをご利用ください。

719 ：(^ー^*)ノ〜さん ：08/05/22 13:01 ID:FQ7kOWzm0

>>717
thx

そしてすみませんです。

720 ：(^ー^*)ノ〜さん ：08/05/22 13:01 ID:FQ7kOWzm0

>>718だった。orz

721 ：(^ー^*)ノ〜さん ：08/05/22 15:36 ID:Js/ltnHJ0

>714
誤検出っぽいが、VirusTotalに投げてみるべし。

722 ：(^ー^*)ノ〜さん ：08/05/22 16:50 ID:aMvBXJ4J0

MoEの板・スレで聞けよ…。

723 ：(^ー^*)ノ〜さん ：08/05/22 18:23 ID:280h973c0

重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/

724 ：(^ー^*)ノ〜さん ：08/05/22 20:50 ID:aMvBXJ4J0

Nice bot.

725 ：(^ー^*)ノ〜さん ：08/05/22 21:30 ID:5BqqbrRQ0

http://enif.mmobbs.com/test/read.cgi/livero/1205488101/540-566

726 ：(^ー^*)ノ〜さん ：08/05/23 20:49 ID:vi9p8Zrz0

>>714 >>716
MoE公式サイトにて、カスペルスキーでの誤検知であると正式に発表が出たようです。

727 ：(^ー^*)ノ〜さん ：08/05/25 01:13 ID:aPWCWA060

>>661に似たようなリンクがうちのmixiにも貼られてて何を血迷ったかアドレス削って
http://www■sakerver■com/を踏んでしまったんですが・・・アウトですか？

真っ赤な背景でアドオンがどうたらって出てきました・・・

728 ：(^ー^*)ノ〜さん ：08/05/25 01:25 ID:09zaY6VG0

>>727
それは既知のアカハックアドレスっすね。アウト。
ブロックされたか、なにかがすり抜けたかは不明。

対処方法は、OS入れなおし。（自己責任でセキュリティソフトを過信してもいいがお勧めできない）

729 ：(^ー^*)ノ〜さん ：08/05/25 19:19 ID:aPWCWA060

アウトですか・・・ありがとうございます。

ウイルススキャンしたところ、VBS_PSYME.BDGというやつがみつかりました。
おそらくIEのキャッシュかな？
心配なのでバックアップをとってクリーンインストールをしようと思います。

730 ：(^ー^*)ノ〜さん ：08/05/26 01:10 ID:4IZFGe9YO

>>729
ざまぁｗｗｗ

731 ：(^ー^*)ノ〜さん ：08/05/26 01:52 ID:NdcR0UJD0

http://world2001■blog39■fc2■com/

思いっきり踏んだんだけど、ここ大丈夫じゃないよね？

732 ：(^ー^*)ノ〜さん ：08/05/26 01:57 ID:JRUdJg340

>>4

733 ：(^ー^*)ノ〜さん ：08/05/26 03:10 ID:NZMnjggp0

>>1

734 ：(^ー^*)ノ〜さん ：08/05/26 05:15 ID:2EzGD5rL0

なんかうちのBlogに来てたんで報告しておきます。

ttp://www■yaplogjp■com/Blog/

"ro blog 2008"というキーワード検索でたどり着いた、日本のホストからの接続なので
こちらも一つ一つ禁止語句設定していくしかないというイタチゴッコです

735 ：(^ー^*)ノ〜さん ：08/05/26 07:54 ID:xCWl1vcj0

>>734
同様に情報提供として…検索サイトから「武器 2008/05」というようなのも定期的に来る。

736 ：(^ー^*)ノ〜さん ：08/05/26 09:49 ID:A3frDjA80

>731
セキュスレ506から頻繁に出てるハクアドレス。
罠に引っかかってるかどうかは、エスパーじゃないので判らん。


>734
yaplogjp
-->www■yaplogjp■com/Blog/jp3■exe

VBScriptによる、いつものパターン。
今、チェックできる環境が無いので、検体チェックはしてません。

737 ：(^ー^*)ノ〜さん ：08/05/26 11:24 ID:t6VyPnlZ0

>>736
5/25時点のログ。
VirusTotal: analisis/26e9108175a5e9ee456e4da0ca8a6532

738 ：(^ー^*)ノ〜さん ：08/05/26 11:33 ID:ai2zBodt0

そろそろ blog の類に、逆引きしたIPの所有国が中国／朝鮮だった場合は
エラーも何も出さないけど書き込みを拒否する、みたいな仕組がほしいねぇ。

739 ：(^ー^*)ノ〜さん ：08/05/27 03:13 ID:EX18CBoP0

>>734のアドレスなんですが、ソースチェッカーオンラインでチェックしても
安全度100%と表示されてしまうので（ソースを見れば明らかな感はあるんですが）
仮に、チェッカーに対し全信頼を置かれている方やソースが読めない方がもし居られましたら
注意喚起をしてあげてください。

# ちなみにaguseでも全セーフと表示されてしまいます。

740 ：(^ー^*)ノ〜さん ：08/05/27 09:09 ID:SgXz54Qv0

【　アドレス　】www■kyu9■net/cat125
【気付いた日時】 ５月２７日8:30位
【　 　　 OS　 　 】 winXPSP2
【使用ブラウザ 】 IE7　だと思います・・・
【WindowsUpdateの有無】 自動更新になっています
【　アンチウイルスソフト 】 ウィルスバスター2008
【その他のSecurty対策 】 ないです
【 ウイルススキャン結果】 今カスペルで検索中です
【スレログやテンプレを読んだか】 読みました
【hosts変更】無いです
【PeerGuardian2導入】無いです
【説明】
病気の症状を調べようとヤフーで検索していてクリックしたら真っ白いページが出るだけで何も表示されなかったので心配に・・・
バスターは特に何も動かなかったです。
ROとは何も関係ないのですが、垢ハックなのでしょうか・・・
今は別のPCで書き込んでいます。
クリーンインストールしたほうがいいのでしょうか・・・？

宜しくお願い致します＞＜

741 ：(^ー^*)ノ〜さん ：08/05/27 09:27 ID:w+miYmnQ0

※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

742 ：(^ー^*)ノ〜さん ：08/05/27 09:39 ID:jJeSyX2p0

>>740
「病気の症状に関する用語集」。アカハック関係無い。
Safari3.1、Firefox3RC1、Opera9.5Betaでは表示できるが
IE7では真っ白。CSSかHTMLがどこか間違っているんだろう
(実装がクソなIE6でしか確認していないなど)。
今後鑑定依頼は他所でやるように。

743 ：(^ー^*)ノ〜さん ：08/05/27 10:27 ID:kaGJwkDL0

>>742
IE6でも表示できません。憶測で余計なことを書くのは如何なものかと。
最後の行については同意。

744 ：(^ー^*)ノ〜さん ：08/05/27 10:32 ID:WVEPQ9vd0

重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/

745 ：(^ー^*)ノ〜さん ：08/05/27 11:33 ID:8+DLahm20

またアレか。日本語文字コードの自動判別失敗。

746 ：(^ー^*)ノ〜さん ：08/05/27 13:15 ID:vbnxctW30

>>6
>・IEの使用を止め、他のブラウザに乗り換える(Firefox、Opera)

747 ：(^ー^*)ノ〜さん ：08/05/29 00:08 ID:AktTSB9K0

【　　アドレス 　 】http://softa■softkills■net/soft1■exe
　　　　　　　　　　その他類似アドレス多数
【気付いた日時】 本日19時半頃
【　 　　 OS　 　 】 WinXP SP2
【使用ブラウザ 】 Sleipnir 2.7.1
【WindowsUpdateの有無】 自動更新有、最新Verの模様
【　アンチウイルスソフト 】 NOD32 バージョン3137
【その他のSecurty対策 】 Spybot S&D
【 ウイルススキャン結果】 NOD32のIMONとAMONで『Win32/PSW.OnLineGames.NWBの亜種』、『Win32/Small.NDW』を検出
　　　　　　　　　　　　　　　　 カスペルスキーオンラインスキャン(20時頃)に『Trojan-Downloader.Win32.Small.wga』と『Trojan.Win32.Agent.nbl』を検出
　　　　　　　　　　　　　　　　 ※NOD32の隔離フォルダから『Trojan.Win32.Agent.nbj』と『Trojan-PSW.Win32.OnLineGames.ajss』と『Trojan-PSW.Win32.OnLineGames.ajsw』を検出
【スレログやテンプレを読んだか】 今から読みます
【hosts変更】 無
【PeerGuardian2導入】 有
【説明】 どこのサイトからこのURLを踏んだのかは不明だがRO関係のサイトは見ていないときに検出されました
「orz.exe」というプロセスがLocalSettingsフォルダ内に作成され、どっかに接続しようとしていたのも確認。削除済み
スタートアップ書き換えなし、全ファイル削除後NOD32でウィルス検出なし
手動駆除活動後、orz.exeや接続しようとするプロセス、怪しいプロセスの出現なし
ROには踏んでからまだ未ログイン、パスワード変更済み

大丈夫だとは思うけど万全を期してクリーンインスコをしたい
バックアップというのはどうやるもの？欲しいデータをDVDに写していくだけ？

748 ：(^ー^*)ノ〜さん ：08/05/29 00:11 ID:PmD70TAe0

欲しい物というか自分で必要だと思う物
辞書なりお気に入りなりフォントなり、各種設定とか
そこら辺は個人で違ってくるから調べてみて

749 ：(^ー^*)ノ〜さん ：08/05/29 00:13 ID:AktTSB9K0

追記

もちろんexeなんてつくアドレスをホイホイ踏むわけもなく、どこかからの自動転送で送られてしまったと思われます
その自動転送URLはわかりません
一番重要なところなのにすいません

750 ：(^ー^*)ノ〜さん ：08/05/29 00:46 ID:SGc4kIq00

>>747
どこかのインジェクションされたサイトを踏み、そこのscript(あるいはiframe)から
君の使っているアンチウイルスで検知できないexeが実行された。
んでそのexeはダウンローダで、別なサイトからダウンロードリストを取得して
片っ端から拾って30匹ほど実行した。
xiaobai01■net/update.txt
でググってみてね(■はピリオドで)。

751 ：(^ー^*)ノ〜さん ：08/06/01 18:35 ID:WqzubEki0

ゆずソフトのサイト改竄のってROは大丈夫？
>>1リネージュ資料室見るとリネージュ関連ウィルスで載ってるけど

752 ：(^ー^*)ノ〜さん ：08/06/01 18:39 ID:GMrXX9rS0

なにがどう大丈夫なんだか…

自分がやってないゲームのアカウントだけが対象ならいいかとか
ヌルい考えはやめたほうがいい。

753 ：(^ー^*)ノ〜さん ：08/06/01 18:41 ID:yJ2JczoG0

【　　アドレス 　 】http://www■berseek■com/wiki/cinema/videonews/fwFN5bSBp8■zip
【気付いた日時】 本日１７時半頃（踏んだ瞬間）
【　 　　 OS　 　 】 WinXP SP2
【使用ブラウザ 】 FireFox (2.0.0.14)
【WindowsUpdateの有無】 自動更新になってます
【　アンチウイルスソフト 】 Mcfee
【その他のSecurty対策 】 なしです
【 ウイルススキャン結果】 現在カスペルスキャン中です
【スレログやテンプレを読んだか】 今から読みます
【hosts変更】なしです
【PeerGuardian2導入】なしです
【説明】
mixiのRO関連コミュで踏みました。
zip直置き、DL確認画面でやばいと思いキャンセルしました。
捨て垢じゃないようなのですが、不安です・・・

別PCからアトラクションIDパスは変更済みです。
クリーンインストールしたほうがいいのでしょうか・・・

754 ：(^ー^*)ノ〜さん ：08/06/01 18:59 ID:WqzubEki0

そうは言ってもどうしたらいいのか分からん・・・
janeのビューアで
http://www■tongji123■org/4561■swf
http://dm■htifns■com■cn/4561■swf
http://dm■htifns■com■cn/4562■swf
こんだけ開いただけなんだけど

755 ：(^ー^*)ノ〜さん ：08/06/01 18:59 ID:pPzkP7gc0

>>753
zipのダウンロード中で解凍すらしてないならセーフ。
気になるならクリーンインストールコースどうぞ〜

756 ：(^ー^*)ノ〜さん ：08/06/01 19:00 ID:pPzkP7gc0

>>754
OSから入れなおしGO〜

757 ：(^ー^*)ノ〜さん ：08/06/01 19:02 ID:1VZHgfvC0

どうしたらいいのかわからなかったらまずスレのテンプレ熟読ぐらいしてくれ

758 ：(^ー^*)ノ〜さん ：08/06/01 19:08 ID:uGD8CtCu0

今mixiで「RO」と「カムバックキャンペーン」という単語を入れた日記を書くと、
もれなくマルウェア・ZIPのアドレスを書いたコメントをつけられる模様。
気をつけて−。

759 ：(^ー^*)ノ〜さん ：08/06/01 19:16 ID:JVtmz9qh0

>754
セキュスレ見た？

そのswfはゆずソフトに仕掛けられたのと同一アドレス。
有志が調査してカスペに投げてくれてくれたので
そのうち対応する（と回答済み)

発動したかどうかはテンプレに沿って無いので何とも。
最悪OS再インストールだな


つーか、慌ててるのは分かるが、テンプレに沿ってくれ
回答する方も情報不足で何とも言えん

760 ：(^ー^*)ノ〜さん ：08/06/01 19:44 ID:WqzubEki0

>>759
今見てきました

janeでゆずソフトがハッキングされたってスレでビューアでURL全部開いて>>754です
テンプレ守らずすみません

【　　アドレス 　 】 http://www■tongji123■org/4561■swf
【　　アドレス 　 】 http://dm■htifns■com■cn/4561■swf
【　　アドレス 　 】 http://dm■htifns■com■cn/4562■swf
【気付いた日時】 今日
【　 　　 OS　 　 】 WinXP SP2
【使用ブラウザ 】 JaneDoeViewα080508
【WindowsUpdateの有無】 有、最新
【　アンチウイルスソフト 】 Avast4.8
【その他のSecurty対策 】 Spybot S&D
【 ウイルススキャン結果】 スキャン中
【スレログやテンプレを読んだか】 Yes
【hosts変更】 有[最終更新は去年、問題のアドレスの記述は無]
【PeerGuardian2導入】 無
【説明】 リネージュ資料室より
「ゆずソフト」という会社（PC用18禁ソフトのメーカーだそうです）のサイトが改竄され、ウィルスが仕込まれています。 6月1日 17:00時点では、まだ危険なままの状態です。
仕込まれたウィルスは、RealPlayerの脆弱性や、先日お知らせしたFlashの脆弱性などを悪用してインストールしようとされ、 OSだけでなくプラグインもすべて最新の状態になっていないと感染します。

現状で把握しているリネージュ関連ウィルスファイル
http://www■tongji123■org/4561■swf 200 2008/06/01 16:43:01 817 application/x-shockwave-flash
http://dm■htifns■com■cn/4561■swf 200 2008/06/01 16:43:01 817 application/x-shockwave-flash
http://dm■htifns■com■cn/4562■swf 200 2008/06/01 16:43:01 729 application/x-shockwave-flash

761 ：(^ー^*)ノ〜さん ：08/06/01 20:28 ID:42OwCWSm0

>753
fwFN5bSBp8■zip （実際は拡張子をzipに替えただけのrarファイル）
---->fwFN5bSBp8■exe(Trojan.Win32.Inject.ceo)

>755の言う通りかな。


>760
4561と4562のswfファイルは現時点でもカスペのパターンに入ってない。
(カスペの傾向からして、配布まであと数時間かかると予想)

janeは使ってないので知らんが、url開いたのなら、Flashのプラグインを
最新にしてないと確実にアウトだろうね。

というか、危険なスレと判ってたら開いたらダメだろ……

762 ：(^ー^*)ノ〜さん ：08/06/01 23:20 ID:42OwCWSm0

一応転載
--------------------
>799 名前：788 MAIL:sage 投稿日：08/06/01 22:29 ID:t/Q2xJTn0
>先ほどチェックした所、PCのカスペで検出・削除した事を確認。
>VTでも検出された。
--------------------
念のため、踏んだ人はカスペのオンラインスキャンへGO

763 ：(^ー^*)ノ〜さん ：08/06/02 07:12 ID:Y3/1rAiv0

カスペのオンラインスキャンで4561と4562のswfファイルのキャッシュが
Trojan-Downloader.SWF.Small.ax
Trojan-Downloader.SWF.Small.ay
で検出されたんだけどこれ削除しとけばOKかな？
他の不正プログラムをダウンロードする攻撃コードって書いてたけど
他には何も検出されなかったからダウンロードされなかったってこと？

764 ：(^ー^*)ノ〜さん ：08/06/02 07:16 ID:v62fzaHG0

FlashPlayerが9.0.124なら実行されない。

765 ：(^ー^*)ノ〜さん ：08/06/02 20:33 ID:canR36t90

Aviraも次のうｐだてで対応のこと

> The file '4561.swf' has been determined to be 'MALWARE'. Our analysts named the threat EXP.Flash.lok.729. Detection will be added to our virus definition file (VDF) with one of the next updates.
> The file '4562.swf' has been determined to be 'MALWARE'. Our analysts named the threat EXP.Flash.lok.729. Detection will be added to our virus definition file (VDF) with one of the next updates.

766 ：(^ー^*)ノ〜さん ：08/06/04 11:02 ID:hIMykLwX0

RO起動するとｎProが作動してctfmon.exeがbackdoorだとか出るんだけどさ
ctfmon.exeって別に問題ないソフトでそれに偽造してるものがbackdoorらしいんだけど
nProは正規のものをウイルスだと断定してｱﾗｰﾄしてんの？

767 ：(^ー^*)ノ〜さん ：08/06/04 11:07 ID:zh6DIDAk0

うちのは出ないが。

768 ：(^ー^*)ノ〜さん ：08/06/04 11:20 ID:/kTrGChq0

重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/

769 ：(^ー^*)ノ〜さん ：08/06/04 12:28 ID:PdV+w5ONO

Nice b0t.
てめえのカキコでスレ無駄に埋めてりゃ世話ねーや

770 ：(^ー^*)ノ〜さん ：08/06/04 12:50 ID:wmuzvScr0

>>1

771 ：(^ー^*)ノ〜さん ：08/06/04 21:56 ID:+9weN9mW0

なんか罠を踏んだ。
問題のURL：tp://moor■sugoize■com/

上記URLにアクセスした覚えは無いんで何処かに仕込まれた罠から更に飛んだんだと思うけど、キャッシュや履歴からは
特定できなかったのでリンクを仕掛けられた場所は不明；（他の履歴に全てにアクセスしてみたけれどPG2は無反応だった）

ぐぐってみると、元はゲーム攻略サイトか何かがドメイン失効した跡地らしい(?)。
aguseでサイトSSを見た所では、失効ドメインで表示されるような案内やら広告メニューが表示されるているだけ…かと
思いきや、上記URLへアクセスするとPG2が反応を示して 666■lyzh■com へのアクセスをブロックしたと出る。

この moor■sugoize■com/ のソースを火狐で見た所、0サイズのフレームが記述されていて
dummy■htmlからimage■phpを読み込むようになっている。
こっから先は素人だから分からないけどimage■phpから666■lyzh■comを読み込む仕掛けなのだと思う。
これは失効ドメイン跡地を中華が改竄して罠に仕立てたって事かな？

で、666■lyzh■comはリネ資料室のウィルス置場一覧に書かれている既知の罠ドメイン。
ROも関係ありそうな予感なので一応報告。

772 ：(^ー^*)ノ〜さん ：08/06/04 22:03 ID:HZKVBrdm0

>>771
>dummy■htmlからimage■phpを読み込むようになっている。
こんなの無いぞ?

773 ：(^ー^*)ノ〜さん ：08/06/04 22:08 ID:l0uRTOjQ0

ないな、普通に失効してるページぽいけど
あとは掘っていったけどDomainSearchBar.msiのDLくらいかねぇ

774 ：(^ー^*)ノ〜さん ：08/06/04 22:17 ID:HZKVBrdm0

つーか、ページの作りがまんまドメイン業者の広告だな

read.cgi ver5.26 + n2 (02/10/01)