セキュリティ対策、質問・雑談スレ

1 ：（○口○*）さん ： 2007/03/14(水) 22:14 ID:3rddyMdg0

アカウントハックが横行する昨今、セキュリティに関して話し合いましょう。
・ウイルスソフトやスパイウェアチェックソフトなどの質問。
・アカウントハック対策に関しての討論など。

アカウントハックの危険性があるURLは「.」を「■」に置き換えて貼り付けください。

最新の予防策などはこちらで
アカウントハック総合スレ 5
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1170419695/

2 ：（○口○*）さん sage ： 2007/03/14(水) 22:29 ID:YUtjy03e0

予防策
回線切って首つって死ね

3 ：（○口○*）さん sage ： 2007/03/14(水) 23:04 ID:sxY64XIf0

こっちにも書いとこう。
各Wikiからの外部リンクはもう必要ない気がする。
スレへのリンクも特に必要もない気もするしね。
よくスレを見る人はにゅ缶などをブックマークするなり専ブラ入れるなりでいいし、
その他外部へのリンクはスレに張っておけばいい。
もしくは信頼できるファンサイトから飛べばいい。
Wiki=ハックの最大の標的になっちゃってる感じだし、考えてみてもいいかもしれない。

4 ：（○口○*）さん sage ： 2007/03/14(水) 23:07 ID:wg0On0250

最近はアトラクションセンターへログインする際には、1CD Linuxを使うようにしています。
比較的安全と思われる1CD Linuxですが、何か落とし穴とかはないでしょうか？
こんな危険性があるよ、とかありましたら、指摘して頂けないでしょうか。
ネットバンキングやネットショッピングでも1CD Linuxを使っているので、いろいろと打てる手は打ちたいと思ってます。

HDDはもちろん使わず、USBメモリに環境を保存とかも全くしていないので、
毎回まっさらの状態(OSクリーンインストール状態)で立ち上がると考えて良いと思います。

5 ：（○口○*）さん sage ： 2007/03/14(水) 23:12 ID:NaBf9fPf0

きちんと対処できる知識と腕が有るところなら良いんだろうけどね。
そうじゃないところは自動リンクやらファイルのアップロードを禁止するだけで
低コストに安全寄りにできるし。管理人が居てきちんと判断取れればの話だが。

そういえば先日の件でリネージュ資料室さんに突撃した輩が多かったみたいだねぇ
(ソース：管理人さんの日記)。内容に関しては言及してないけどなんか予想できそう。
ちょっと溜息。

6 ：（○口○*）さん sage ： 2007/03/15(木) 00:52 ID:oygr13iv0

>>4
落とし穴という訳ではないが、OS並びに内蔵ソフトがimage make時点で固定されてる点には注意
通常のHDDインスト型OSと違ってセキュリティ的な穴が見つかった場合OnlineUpdateで修正って訳には行かないので、
各自使用者が配布元なりを巡回して確認→CD焼き直しって手間がある所
基本的に1CD Linuxは実績ある枯れたカーネル利用してるから
それほど確認頻度はいらないと思うけど…ね
(Winほどセキュリティホールを狙われる訳ではないが注意点としてね)

7 ：（○口○*）さん sage ： 2007/03/15(木) 01:11 ID:4CA60NGx0

Knoppix使うたびにPC再起動するくらいなら、中古のノートパソコン買ってきて
Linuxインストールして使った方が利便性よくない？
懐次第だが･･･

8 ：（○口○*）さん sage ： 2007/03/15(木) 01:13 ID:Wkc0tYqZ0

VPC使えばいいじゃない

9 ：（○口○*）さん sage ： 2007/03/15(木) 01:48 ID:lwUf/aTd0

1CD LinuxからでもローカルのHDDをマウントできる(＝参照できる)のが落とし穴といえば落とし穴

わたしは各情報サイトはiBook G4上のOperaとかケータイのPCサイトビューアーで見てる

10 ：（○口○*）さん sage ： 2007/03/15(木) 07:12 ID:EMPDHDm30

>>5
こういった、自分の無策は棚に上げて人の瑕疵を糾弾する輩が増えたから、情報サイトやWikiの管理人も
早々に畳みたくなるわな。

11 ：（○口○*）さん sage ： 2007/03/15(木) 11:31 ID:RQ7BjGgk0

>7
使い方によるんじゃないか？

ネットブラウズにWin使わないようにするなら仮想PCなり別PCなりでLinuxその他の非Win環境を
作った方が利便性は高い。
単にハクられた時のために安全な環境を準備するのが目的なら、使用頻度も低いし1CD Linuxを
1枚焼いておくだけで済む。

自分はどちらかといえば後者の考え方。
仮想PC環境にLinux入れてて緊急用に1CD Linuxを用意してるが、普段はIE系タブブラウザ愛用。
慣れた環境を捨てるのに抵抗があるので、PG2等含めた各種対策で普段から注意した上で
緊急用の環境を準備、って感じ。


>10
あの件で教訓になるのは、資料室クラスのセキュリティ情報サイトであっても無条件に安全と
思ってはいけない、という事。
万全の対策が無いのと同様に、ヒューマンエラーが皆無ってのもありえないわけで。

しかしそこまでクレームメールが多いとか聞くと、ハク犯が組織票的にクレームメールを
送りつけて萎えさせてサイト閉鎖に持ち込もうとしたんじゃないか、とか思いたくなる。

12 ：（○口○*）さん sage ： 2007/03/16(金) 00:15 ID:nMcvO5GA0

----------相談用テンプレ----------
● 実際にアカウントハックを受けた時の報告用

【　 　 　 気付いた日時　 　 　 　 　 】 (被害に気付いた日時)
【不審なアドレスのクリックの有無　】 (blog/bbs/Wiki等で踏んだ記憶の有無とそのアドレス)
【他人にID/Passを教えた事の有無】 (Yes/No)
【他人が貴方のPCを使う可能性の有無】 (Yes/No)
【 　 　ツールの使用の有無　 　 　 】 (Yes/No、Yesの場合はそのToolの説明)
【　 ネットカフェの利用の有無　 　　】 (Yes/No)
【　 　　 OS　 　 】 (SP等まで書く)
【使用ブラウザ 】 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【　アンチウイルスソフト 】 (NortonInternetSecurity2007 等)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【総合スレのログやテンプレを読んだか】 (Yes/No/今から読みます)
【説明】
(被害状況を詳しく書く)

13 ：（○口○*）さん sage ： 2007/03/16(金) 00:15 ID:nMcvO5GA0

● 怪しいアドレス？を踏んだ時用

【　　アドレス 　 】 (ドット(.)を■等で置き換える事。h抜き等は駄目)
【気付いた日時】 (感染？に気付いた日時)
【　 　　 OS　 　 】 (SP等まで書く)
【使用ブラウザ 】 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【　アンチウイルスソフト 】 (NortonInternetSecurity2007 等)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【スレログやテンプレを読んだか】 (Yes/No/今から読みます)
【説明】
(『怪しいアドレス』との判断した理由、症状を詳しく書く)

14 ：（○口○*）さん sage ： 2007/03/16(金) 13:50 ID:rYnyKtqR0

136 ：(^ー^*)ノ〜さん ：07/03/16 12:24 ID:OSeBMiF30
これでもみて落ち着け
ttp://up■uppple■com/src/up2551.jpg

MMO-BBS弓手系の情報交換スレ　228
より抜粋

アップローダーそのものはノーマルのもの。
Jpeg偽装でもってくタイプですね
即座にウィルス警告だしてくれた人がいたので心配はないと思うけど一応。
会話の流れがヒートしてたところにだしてきたし、中華以外かしら(？´・ω・｀)

一応実際に狐からファイル保存でＤＬ、バイナリでチェックだけさらっとかけました。
Avastさんはトロイと認定っと。相変わらず重いけど優秀（でも時々スっとろいねん）な子だ。

15 ：（○口○*）さん sage ： 2007/03/16(金) 14:11 ID:9JrFx3340

見事に踏んだ俺がここにorz

16 ：（○口○*）さん sage ： 2007/03/16(金) 14:12 ID:chP61uxzO

質問なんだけど、PG2で中華IP全面遮断している状態で、
転送URL経由で踏まされてもブロックしてくれる？

17 ：（○口○*）さん sage ： 2007/03/16(金) 14:25 ID:9JrFx3340

専ブラJaneで開いた場合もマズイ？

18 ：（○口○*）さん sage ： 2007/03/16(金) 14:26 ID:K92v11Lj0

>>14のをJaneとOperaで踏んでしまったのですが、大丈夫でしょうか？
とりあえずウィルスバスター2007で検索かけて怪しいのは消しましたが、それじゃ足りないですか？

19 ：（○口○*）さん sage ： 2007/03/16(金) 14:34 ID:Fa4dgJa80

>14-15
拾ってきて中身見たが、笑い事ではないが別の意味で笑った。
ブラクラだけじゃなく、かなり重複してるがbbs-qrcodeやzhangweijpのアドレスがあった。
よくまあ100kb超えるだけの代物にしたもんだとちょっと感心。

>15含めて踏んだ人は早急に駆除しないとヤバい。

これは本スレにも報告した方がいいと思われ。

>16
される。
PG2は通信先のIPを見てブロックするので転送や別ドメインを取られてもブロックされる。
転送URLとかだとhostsの変更だけではブロックできず、だからPG2の導入を勧められる。

20 ：（○口○*）さん sage ： 2007/03/16(金) 14:40 ID:o4YB2q050

ちょっと自分の気に食わないことがあると垢ハックサイトを貼る馬鹿が増えてるな
憎むべきBOT中華に自分が貢献してることや
自分が踏んでしまった時や自分の友達が踏んでしまうかもしれないことを良く考えて欲しいものだ
自分がいかに最低なことをしているか

21 ：（○口○*）さん sage ： 2007/03/16(金) 14:43 ID:Fa4dgJa80

>17-18
Iriaで引っこ抜いてエディタで中身みただけなので、Janeでどういう動きするかは不明。
怖くてブラウザで見る気にはなれん。

iframeが数え切れんほど仕込まれていて、ハクウィルスへの誘導だけじゃないと思われる。
マルウェアの詰め合わせセットとしか思えない内容。
アドレス的にポルノ系やらのリンクもあるだろうし、マルウェアとしては定番のSystemDocterやらの
罠も入ってても不思議じゃない。

てかここまでの詰め合わせセットだと、駆除が大変というかHDDフォーマットしてOS再インストール
するほうが早いかもしれない。

22 ：（○口○*）さん sage ： 2007/03/16(金) 14:46 ID:9JrFx3340

よりによってそんなunkなもん踏んだのか俺は

23 ：（○口○*）さん sage ： 2007/03/16(金) 15:19 ID:nMcvO5GA0

>>22
うん。OS再インスコいってらー。

IEで拡張子によらず云々無効にしてから開いたら、htmlのソースが表示された。
このケースの場合なら大丈夫なんだけどな。

ソースではなく変なもんがすがす表示された場合、今回は、HDDフォーマットが最善かと。
確実に、除去よりそっちのが早い。

24 ：（○口○*）さん sage ： 2007/03/16(金) 15:21 ID:9JrFx3340

踏んだPCで癌とROﾊﾟｽ変更してしまって、ヤバイ事に気がついて別PCから再度パス変更
したんだが、これはどうなんだろ。踏んだPCで変更したのはマズかったが再度変えたから
変わんないかな？

25 ：（○口○*）さん sage ： 2007/03/16(金) 15:24 ID:9JrFx3340

>>23
んーIEじゃなくてJaneStyleで開いて、Janeのビューア？で開かさって
ifremeがどうとかの文字列がずらーっと出てきた。これでもアウト？

IEの設定で「IEで拡張子によらず云々無効」にはしてある。

26 ：（○口○*）さん sage ： 2007/03/16(金) 15:33 ID:o4YB2q050

どうでもいいから再インスコしてからパスをさっさと変えたほうがいいと思う

27 ：（○口○*）さん sage ： 2007/03/16(金) 15:38 ID:9JrFx3340

じゃ諦めてリカバリかけますわ＿|￣|○
別HDDにバックアップ取ってないデータがあるんだが…
OSのリカバリだけでいいかな？何度もすまん

28 ：（○口○*）さん sage ： 2007/03/16(金) 15:42 ID:nMcvO5GA0

>>25
それならセーフの可能性が高い。（保証はしないので自己責任で）

そのファイルを読んだ時点ではセーフ。実際にiframeのリンク先が読み込まれた時点でアウト。

29 ：（○口○*）さん sage ： 2007/03/16(金) 15:43 ID:o4YB2q050

大丈夫とかはわからないけど感染の有無もわからないなら安全をとってOS入れなおしたほうがいいとしか言えない
大丈夫かなとかしか書いてないがウイルスチェックはしたのか？

30 ：（○口○*）さん sage ： 2007/03/16(金) 15:44 ID:kf+l6pn10

基本はHDDフォーマットの上、OS再インストール。
それで他ドライブにウィルスが入り込んでもレジストリはクリーンなので起動時に
読み込まれることは無い。

入れなおした後WindowsUpdateによる各種パッチ当てとウィルス対策ソフトの導入。
それで全ドライブをスキャンする。

パスに関しては別PCから変更してるから問題ないはずだが、今回のそれはどんなタイプの
ものが入ってるか分からない。
ネットワーク経由で感染するウィルスとかが入ってる可能性も十分あるので、別PCの方も
チェックしたほうがいい。
万全を期すなら1CD Linux使ってそちらからパス変更してはどうだろうか？

31 ：（○口○*）さん sage ： 2007/03/16(金) 15:51 ID:3J9ZyEJQ0

>>24
ちなみにGunghoIDやアトラクションIDは変更することができないから、
一旦漏れてしまったら、PWを変更しても以前と同じ安全度にはならないことに注意しよう。
(IDもPWも知られていない状態が理想)

IDが漏れた場合は、特にPWの設定に注意すべし。
短いPWや辞書単語や以前と類似したPWは絶対に避けよう
(まあID漏れて無くても避けたほうがいいけど、特にということで)

32 ：（○口○*）さん sage ： 2007/03/16(金) 17:14 ID:8Pqq7QbS0

ROのアカウントと同時に msnのアカウントをも盗み出すと思われる
ものもありますので、ROだけでなく (使っているなら) msnの
パスワードも変更しておくべきかもしれません。

33 ：（○口○*）さん sage ： 2007/03/16(金) 17:23 ID:72TAAB5b0

どんな物がUPされてたのか気になったのでアクセス…してびっくり。
凄まじい悪意の塊だね、これ。アカハクアドレスも含まれて入るけど、
JavaScriptのブラクラ、普通のイメタグからメーラを立ち上げる
懐かしいタイプのブラクラも含まれてる。懐かしいといえば c:/con/con
もあったゾ。
そして『SourceCheckerOn-line Ver 1.54b3 』なんて文字列。
SourceCheckerOn-lineさんの検索ログでも引っ張ってきたんかなぁ…
公開されているか知りませんが。

どうもごった煮の感じからして、アカウントハッカーではなく悪意の誰かが
完全なる悪意の下にやったんだろうと推測。アプロダに管理者に連絡先が
あったら連絡するんだが…。

34 ：（○口○*）さん sage ： 2007/03/16(金) 18:06 ID:Q/V+tfCU0

すでにあぼーんされてるけど、書き込んだ奴も書き込み永久停止くらいしないとダメだろこれ

35 ：（○口○*）さん sage ： 2007/03/16(金) 18:23 ID:chP61uxzO

>>34
むしろリアルBANが相応かと。

36 ：（○口○*）さん sage ： 2007/03/16(金) 18:34 ID:8XgsRSqY0

これは実質被害（金銭的にも）が出るものだから、日本国内からであれは逮捕可能かだろう。
実際被害出ている人も居るだろうし、出てる人は癌胞とサイバー警察に被害届出しておけ。
にゅ缶の管理者さんも警察からログ提出要請来た場合には応じてくれるだろうし。

37 ：（○口○*）さん sage ： 2007/03/16(金) 18:59 ID:LBf5i+lH0

三田寛治、ν速+でよく張られる罠サイト誘導(の改変版?)かな。
URLそのまま、ソースチェッカーに投げ込んだら、[このアドレスの安全度 0%]と出てきてほろりときた。

時節柄、春が来ちゃった輩の仕業なのかもね。

38 ：（○口○*）さん sage ： 2007/03/16(金) 19:24 ID:L9NJGDCR0

>>14のアドレスをソースチェッカーオンラインでソース見てて、
URLがいくつかあったのでそのままソースチェッカーオンラインで確認しようとして押したところ、
NOD32のウィルス警告が発動したのですがこれはNOD32の検知率が良すぎるからでしょうか・・・
カスペでは何も出なかったしFirefox使用してますし、ソース表示させただけで警告が出たので冷や汗。

39 ：（○口○*）さん sage ： 2007/03/16(金) 19:59 ID:LBf5i+lH0

>>38
ブラクラ目的スクリプトを検知する場合、必然的にソースコードの一部をパターンマッチングする事になる。
結果として、ソースチェッカーが表示目的で出力した部分も、診断に引っ掛かる可能性がある。
一応念の為に、NOD32の検出ログに目を通した方が良いかもしれないが。

40 ：（○口○*）さん sage ： 2007/03/16(金) 20:11 ID:L9NJGDCR0

>>38です。早速ありがとうございます。
ログでは、
ウイルスの可能性 : VBS/LoveLetter.BC ウイルス の亜種
と表示され、隔離して切断しておきました。

VBS/LoveLetterについて調べてみて、Windowsのファイル等も調べてみましたがそれらしいものは無かったので、
一応大丈夫かな・・・とは思います。
お答え頂きありがとうございました。

41 ：（○口○*）さん sage ： 2007/03/16(金) 21:19 ID:ZMREVXG80

IEのセキュリティ設定についての質問です

信頼済みサイト以外のインターネットでACTIVE　XやJava以外も
「IFRAMEのプログラムとファイルの起動」に「ダイヤログを表示」と設定し
信用が出来ないサイトでは、ほとんど全て「いいえ」で通しています

これは最近のようなトロイの予防策として有効でしょうか？
ただ無駄なことをやってるだけでしょうか？

ちなみに、真っ白なページしか出ないことがよくあり、
そういうときは諦めるか、火狐にURL貼って見ています

42 ：（○口○*）さん sage ： 2007/03/16(金) 21:35 ID:mUg4UjlQ0

上の人がきいてるけど、この真っ白なページって何なんでしょ？

43 ：（○口○*）さん sage ： 2007/03/16(金) 21:54 ID:ZMREVXG80

>>42
例としては今IE経由でiTunesのアップデートを
落とそうとしたら、途中で真っ白な窓になったので、
FireFoxでやりなおしました

IFRAMEとは関係ない設定のせいかもしれません

44 ：（○口○*）さん sage ： 2007/03/16(金) 22:57 ID:3J9ZyEJQ0

iframeの簡単なテスト方法

１．メモ帳で空のファイルに以下の１行をコピーし、拡張子をhtmlにして保存(例 iframe.html)

<iframe src="http://www.google.co.jp"></iframe>

２．作ったファイルを今使っているブラウザで開く。

googleが開けば、iframeはちゃんと機能してる(＝無効になっていない)ということになる。

45 ：（○口○*）さん sage ： 2007/03/16(金) 22:59 ID:72TAAB5b0

全てScriptやなんかで記述されているページなんだと思う。試しにソースを
見てみると良いと思うよ。
あと、JavaScriptとJAVAは別モンだって定番の突込みを念の為。

Script系とかを嫌うわけじゃないし、適材適所ってのも分かるんだけど
OFFでもせめて『〜をONにしないと利用できません』という表示くらいはして欲しいよね。

あと、FirefoxでScript等のON/OFFを容易にするお勧めのプラグイン。
http://noscript.net/
通常は全部OFF、でもって信頼できるSiteを突っ込んでいく方式。

46 ：（○口○*）さん sage ： 2007/03/17(土) 00:40 ID:SraUKERp0

スレの使い分けが微妙な件。
結構あちらにも(こういっちゃ失礼かもだが)無駄レス多い。誘導レス
入れたとしても仕切り厨といわれかねないからな。

方向性はっきりさせないとスレを分けた意味が無いからやるなら
スレが分かれ始めた今しかないと思うのな。公式告知を貼るスレと
その突込みスレ位までの厳格運用は要らないとは思うけど、でも
そのレベルには近づけた方が良い飢餓。あっちのスレのS/N比は
できるだけ高くに維持しなきゃ。

こっちの方がレベルが、ってレスされてるけどそうそう新情報は出て
こないと同時に素朴な質問を抱えている人はそれこそ星の数ほど居るからねー。
それはそれでそう見えるのはしょうがないかと。結果的にあっちのスレにも
書いたほうが良いと思うものがあったら転載すればいいし。

47 ：（○口○*）さん sage ： 2007/03/17(土) 01:23 ID:a+t/bi1d0

>>45
NoScriptだと許可にしても表示できないページない？

48 ：（○口○*）さん sage ： 2007/03/17(土) 02:04 ID:59JqJOKw0

スレの方向性＆使い分けもう少しはっきりしたほうがいいに自分も一票。

結局二つとも読むことになってるのと、なんかこの話題はどっちってのが難しい。

特に被害に会った人の相談→対策についての書き込みや、新たな手口に対する警戒など、
これはできればログが残るMMOBBSのほうが後から検索しやすい点でいいと思う。
なぜなら、今後同じような被害に会ったときの対処方法や、手口としてのまとめは
MMOBBSのほうに集約されてたほうがいいと思うから。

また、ガンホーに対する愚痴や叩きっぽい雑談はいちいちログに残らなくていいやと思うんだけど…
こういうの書き込みする人はわざわざスレッドを選んで書き込むとも…正直思えない。

「このURLって危ない？」といった鑑定っぽいものはこっちでしようよって言ってたけど、
実際にNG判定されたものはログ残るほうにフィードバックしたほうがいいと思うとか。

色々と「バラバラになってしまった」感が個人的にはぬぐえない。

だからどうしたらいいと思う　とまとめられないのがもどかしいんだが…なんかいい方法ない？

49 ：（○口○*）さん sage ： 2007/03/17(土) 02:09 ID:sHOnBPGH0

結局は垢箔業者と自治厨に振り回されてるだけですな

50 ：（○口○*）さん sage ： 2007/03/17(土) 02:47 ID:rYc+hioG0

にゅ缶にここと同じタイトルでもう一個建ててもらうとかはどう？

51 ：（○口○*）さん sage ： 2007/03/17(土) 02:48 ID:/Gmix/Ix0

何がしたいんだｗ

52 ：（○口○*）さん sage ： 2007/03/17(土) 03:00 ID:uPEqc7qC0

両方見てる人が殆どだろうけど、スレ違いになる部分（雑談等）の話題が
本スレで発生した場合にスルーするか、こっちに誘導するか、を徹底するしか
ないと思う。

基本的に向こうはハクアドレス等の情報を集約する場と考えて行動していけば
自然と棲み分けが出来ると思う。

こっちでハクアドレスが判明したら、向こうにフィードバックしていけばいいし。

53 ：（○口○*）さん age ： 2007/03/17(土) 07:22 ID:yt3UkfHo0

一覧に復帰させる為age

54 ：（○口○*）さん sage ： 2007/03/17(土) 08:33 ID:1xjww1FZ0

FirefoxとかIE以外のブラウザって、自分は試してみようと思うけど、
PCが分からない他人に薦めにくいのが難点かな、と思ってる。
また、家族とか友達とかにも薦めたはいいけど、メンテはどうしよう？とか
アカハックスレにあったFirefox推奨ってのは良く分かるんだけど、
結局薦めるだけの投げっぱになってるのが気になった。

55 ：（○口○*）さん sage ： 2007/03/17(土) 08:43 ID:yt3UkfHo0

>>54
取り敢えず、IEで拡張子関係無く開いてしまう機能をOFFってのが無難な解決策だと思う。
但し、XP以上でないと設定できない罠。

56 ：41 sage ： 2007/03/17(土) 09:14 ID:dL+Z/hQc0

レスありがとうございました

>>44さんの方法でiframeをテストしてみたら、Googleの小窓が開き、
「スクリプトを実行しますか？」のダイアログが

「IFRAMEのプログラムとファイルの起動」に「ダイヤログを表示」の設定が
効いているのがこれで分かるということなのでしょうか

>>45さんの書き込みを読んだ後、別の白ページのソース
を見てみたら、「Refresh」タグがあるページでした。
今回の場合は次に飛ばないから真っ白だったんですね

定番のつっこみありがとうございます　
JAVAとかActiveXとかJavascriptとかVBSとか
区別がつかないので、とりあえず全てOFFにしてます

57 ：（○口○*）さん sage ： 2007/03/17(土) 09:34 ID:ixqVNXwX0

>>54
まずはIEエンジン使っているブラウザで、スクリプトやActiveXのON-OFFが簡単に切り替えられるものなら
敷居が低いし、そっち方面にも興味を持ってもらいやすいかも。

でも機能が充実してるものも多いので、ますますFirefoxに移りづらくなってしまう諸刃の剣でもある。

58 ：（○口○*）さん sage ： 2007/03/17(土) 09:58 ID:1xjww1FZ0

>>55
XPなので、拡張子関係なく開いてしまう機能OFFは全部のPCにやったかな。

>>57
なるほど、少しずつ興味を持たせていく感じのがいいんだろうね。

なんていうか、家族のPC全部オレの責任とかにさせられるから、まいってしまって…
愚痴ばかり書いたのに冷静なレスありがとう。

59 ：（○口○*）さん sage ： 2007/03/17(土) 10:57 ID:X+HXTROW0

>スレの使い分け関係

MMOBBSのほうはアカハックURLや踏ませる手口の情報収集及び各手口への対抗法まとめ（事前対策）
らいぶろは踏んだ人・まだ踏んでないけど踏んじゃったときどうすればいいか知りたい人からの相談（事後対策）や、他セキュリティ関係の雑談
って分けるのに一票。

つーか現状踏んでワタワタしてる人をらいぶろに誘導できるだけで
MMOBBSのほうの情報密度をぐっと上げれると思うんだけどな。


>>48
なんか混乱してるなｗ
>特に被害に会った人の相談→対策についての書き込み
これはやっぱらいぶろに誘導したい。事後対策だし。
被害にあった相談者が欲しいのは、
「今踏んだアカハック手口に二度とかからないための対策」じゃなくて
「アカハック踏んじまったからなんとかするための対策」だろ。
前者（事前対策）はログ残したいけど、後者（事後対策）はもういいよ･･･言えること決まってるもん。
後者の場合大抵が似たようなこと相談にくるんだし、１スレッド分のこってりゃ十分だと思う。

新規ウィルス・新しい手口のを踏んだ人がらいぶろに相談にきた→MMOBBSに手口と対抗策転載
とでもしないと今までと同じようにMMOBBSに相談者が溢れてしまうと思う。

60 ：（○口○*）さん sage ： 2007/03/17(土) 11:21 ID:UbEcczCH0

BSスレのMMOBBSのアプロダにある
2295のJPEG画像をかちゅ〜しゃで開いてしまいました。
画像が表示されただけで特に何も出ませんでしたが、
その後のレスでこれウイルスって出てました。
これは感染しちゃったんでしょうか…

61 ：（○口○*）さん sage ： 2007/03/17(土) 11:30 ID:PXkcji310

それウィルスじゃないよ。唯のくだらない画像。
♪　∧,＿∧
　　 (´･ω･`) ))
　(( (　つ　ヽ、　♪
　　　〉 とノ　)))
　　（__ノ^(＿)

62 ：（○口○*）さん sage ： 2007/03/17(土) 11:34 ID:UbEcczCH0

>>61
あ、ありがとう〜。不安で仕方ありませんでした；；
良かった〜。念のためオンラインスキャンもかけてみます

63 ：（○口○*）さん sage ： 2007/03/17(土) 11:34 ID:yt3UkfHo0

>>60
垢ハック詰め合わせなら削除されて、次に投稿された普通の画像が同じ番号で見れるようになってる。
単にそれだけのこと。

64 ：（○口○*）さん sage ： 2007/03/17(土) 12:12 ID:Ebm7jhTB0

>>54
| 家族とか友達とかにも薦めたはいいけど、メンテはどうしよう？

今のFirefoxは新しいバージョン出たら勝手にダウンロードして
次回起動時にインストールする設定になっているので、古い
まま放っておかれるようなことは起こりにくいかも。


>>58
家族のPCは全部私が管理していますが、IEもOEも最初から無いもの
として環境設定しちゃうので全員Firefox使い。

良くわからないまま IEの設定をいじりまわすのは、かえって危険に
なる場合だってあるので、普段使いは Firefox、問題あるサイト
(DELLとか…)のために素のままのIEを残す方法を取っています。

# 客先のPCも そうできたら楽なんだけどなぁ。
# 動かないからってなんでも信頼サイトにぶち込むとかやめてよね。

65 ：（○口○*）さん sage ： 2007/03/17(土) 12:41 ID:rYc+hioG0

>>60>>61
MMOBBSのアプロダは前のファイルが削除されると番号が詰められてしまうので、
さっき踏んだURLが今は安全ということにはなりませんので注意です。
とはいえ一日も二日も経っているなら大丈夫だと思いますが。

66 ：（○口○*）さん sage ： 2007/03/17(土) 14:12 ID:O1l0//Nv0

MMOBBSの方ってなんだ？RAGNAROK板もLiveRO板も両方MMOBBSなんだが
他にもスレがあるの？

67 ：（○口○*）さん sage ： 2007/03/17(土) 15:04 ID:Az544vQE0

一般的に
この板＝LiveRO
アカウントハック総合スレのある板＝MMOBBS（旧称にゅ缶）
と呼び分けてると思う

68 ：（○口○*）さん sage ： 2007/03/17(土) 15:25 ID:rYc+hioG0

MMOBBSアプロダの事

69 ：（○口○*）さん sage ： 2007/03/17(土) 15:32 ID:Zi5aYE+p0

>>67
俺もそう読んでたけど、たしかに言い方はおかしいなｗ

70 ：（○口○*）さん sage ： 2007/03/17(土) 15:40 ID:1jPYpj250

>>56
44です。

>>「IFRAMEのプログラムとファイルの起動」に「ダイヤログを表示」の設定が
>>効いているのがこれで分かるということなのでしょうか

いえ、「IFRAMEのプログラムとファイルの起動」の設定とは全くの無関係です。
普通にgoogleを開いても、「スクリプトを実行しますか？」のダイアログは出ると思います。

[ツール]-[インターネットオプション]-[セキュリティ]-[レベルのカスタマイズ]を開いて
[スクリプト]-[アクティブスクリプト]が「ダイアログを表示する」になってれば、
「スクリプトを実行しますか？」のダイアログは出ます。
※アクティブスクリプトとは具体的には JavaScript(JSciprt) および VBScript を指すようです

私が調べた限りは、IEでiframeタグそのものを無効にする方法はないように思います。
「IFRAMEのプログラムとファイルの起動」を無効にしたとして、
具体的に何をブロックしてくれるのかが私にも良く分かりません。
（自分で安全なスクリプト書いて実験するしかないかなあ・・・）

ちなみにOperaではブラウザの設定で簡単にインラインフレームを非表示にできますが、
これも内部的には読み込まれていて、単に表示がOFFになってるだけな可能性もあります(未確認)

71 ：（○口○*）さん sage ： 2007/03/17(土) 15:48 ID:JGZ3VtkD0

すいません、垢箔セキュリティとは違うと思いますが、ROセキュリティ関連ということで
こちらで質問させてください（MMOBBSもみましたが、該当スレ見つけられませんでした）

webmoneyで癌コイン買おうとしたら、webmoneyのページが「証明書が発行されてません」
「他のサイトがwebmoneyのサイトに偽装している可能性があります」という記述の警告が
出たのですが、これって癌が癌の自サイトもセキュリティ○投げで危険ってことでしょうか？
結局自分では危険と判断したので1day使いましたが・・・

詳しい方、解説お願いできますでしょうか？

72 ：（○口○*）さん sage ： 2007/03/17(土) 15:49 ID:oDGrq0mP0

>>71
SSLの証明書期限が切れているのでは？
証明書の中身を見てみたらどうだろう

73 ：（○口○*）さん sage ： 2007/03/17(土) 16:00 ID:JGZ3VtkD0

>>72
なるほど
ご返答ありがとうございます
今証明書見ようとしてwebmoneyページに飛ぼうとしたら、今度は警告無しですんなり
webmoneyページに飛んでしまいましたので、見れませんでした
一時的なものだったのでしょうか？

74 ：（○口○*）さん sage ： 2007/03/17(土) 16:08 ID:qaIEl1FY0

今webmoney.ne.jpのSSL証明書を確認すると
有効期限が2007/03/16からになってるな。
SSL証明書の更新の途中で起きた一時的な不具合と見ていいんじゃないかな。

75 ：（○口○*）さん sage ： 2007/03/17(土) 16:19 ID:JGZ3VtkD0

ありがとうございます

タイミングだけの問題だったみたいですね

76 ：（○口○*）さん sage ： 2007/03/17(土) 16:33 ID:NYEfdHtt0

SSL証明書の運用絡みもそれなりに手間ではある、が。
ttp://slashdot.jp/askslashdot/article.pl?sid=06/10/21/001219

77 ：（○口○*）さん sage ： 2007/03/17(土) 18:17 ID:hF2OofEw0

とりあえず「PCのことなんてわかんね」って人用に面倒でもやるべきこと　まとめ（XPの人用）
重要なところは【】でかこっといた

1　WindowsUpdateをする
　 手順：スタート→全てのプログラム→WindowsUpdateとクリックし、【高速ボタンで全てインストール】

2　ウィルス対策ソフトを導入する
　 めんどくても必ず何かしら入れること
　 推奨は【NOD32】、【カスペルスキー】のふたつのうちどちらか
　 無料のソフトもあるのでその辺は検索のこと

3　InternetExplorerの設定
　 スタート→コントロールパネル→ネットワークとインターネット接続→インターネットオプションを開く
　 上のメニューから「セキュリティ」を選び、「レベルのカスタマイズ」をクリック
　 中ごろにある【ページの自動読み込み】を【無効】にする
　 その下にある【ポップアップブロックの使用】を【有効】にする
　 そこからもう少し下のほうにある【拡張子ではなく、内容によってファイルを開くこと】を【無効】にする

4　２ちゃんねるブラウザ等の掲示板ブラウザの画像プレビュー表示機能、オートリンク機能をオフにする
　 これは各ソフトで設定が違うので各ソフトのヘルプ等を参照のこと

78 ：（○口○*）さん sage ： 2007/03/17(土) 19:25 ID:NSipGTQQ0

ソースチェッカーで、「このアドレスの安全度 93%」とか出ると、
ビビッて飛べない俺はチキンですか？
職業別のWikiが見たいんだけど、ヤバイ話ばかりで見れない。
見てもだいじょうぶなWikiってあります？

79 ：（○口○*）さん sage ： 2007/03/17(土) 19:28 ID:u4mzXGUd0

wikiがやばいんじゃなくてwikiからリンクした先がやばいことがあるってだけじゃ

80 ：（○口○*）さん sage ： 2007/03/17(土) 20:19 ID:qaIEl1FY0

私個人の話だが
アカハックのVBScriptが仕掛けられてるページで
安全度100%と出たことがあるので、安全度に関しては全く信用してない。

81 ：（○口○*）さん sage ： 2007/03/17(土) 21:04 ID:GuswfYTR0

そんなに不安なら、デュアルブートなり仮想PCなりで、
仮に感染しても大丈夫な環境を用意しろとしか言えん。

82 ：（○口○*）さん sage ： 2007/03/17(土) 23:47 ID:uPEqc7qC0

>81
仮想PCは便利だよな。
WindowsなりLinuxなり環境を作って検証終わったらイメージ削除で処理終了。
一度作ってそれをコピーしておけば再構築する手間が省ける。

Windowsの場合はライセンスの関係で少々問題があるが、Linuxならその問題も
無いし、ブラウズするだけならLinuxに不慣れでも必要十分。

垢ハクが流行りだした頃にどういう画面が出るのかを見たいがために仮想PCと
Linuxの組み合わせを使ってたんだが、その便利さから最近はネット関係は
全部仮想PC立ち上げてLinuxでやってる。

ちと重いのが難点だが、間違えて罠踏んでも環境を使い捨てに出来る点と
コピーするだけで元に戻る手軽さ、つまり安全性が魅力的。

83 ：（○口○*）さん sage ： 2007/03/18(日) 04:01 ID:VckVQq2Q0

ググるのﾏﾝﾄﾞｸｾ('A`)な人に送るポリン向け用語解説

※スクリプト
　ブラウザに於ける○○スクリプトとは、ブラウザ上で動的な表現を行ったり
　入力に対し計算し結果を表示するといったHTMLだけでは実現できない事を、
　ブラウザ側でプログラムを実行して可能にするスクリプト言語の事。
　サーバー側でこういった事を実現させる仕組みもあり、また場合によってはFlash等の
　プラグインでも似たような事ができるので、初心者には識別は難しいかもしれない。

※JavaScript
　ネットスケープがサン・マイクロシステムズの協力を得て開発したスクリプト言語。（名前似てるけどJavaとは別物）
　Netscape Navigator→FirefoxのMozilla系ブラウザに搭載されている。
　広く一般的に使用されておりJavaScriptがonでないとまともに見られないサイトも多い。（RO公式は典型的な例）
　VBScriptよりは致命的な被害は受けにくいが油断は禁物。ぁゃιぃサイトに行く前にはoff推奨。
　頻繁にメニューからたどってon/offするのは面倒な為、FirefoxにはPrefBar(ttp://prefbar.mozdev.org/)
　のようなアドオンが存在する。

※Java
　広い意味ではサンが開発したJava言語そのものや、その実行環境を意味する。
　ブラウザ上で実行されるJavaのアプリケーションは「Javaアプレット」と呼ばれる。
　JavaScriptよりも高度で強力な事ができるが、現在一般的なサイトではほとんど使用されていない為
　「Javaを有効にする」のチェックボックスは常時OFFにしておいてかまわない。（むしろOFF推奨）

※アクティブスクリプト
　IE（IEエンジンまたはIEコンポーネント）で使用するMicrosoft製スクリプト実行機能。
　JScriptとVBScriptの二つをまとめてアクティブスクリプトと呼んでいる。

　○JScript
　　MicrosoftがIEでもJavaScriptが動作するように互換性を持たせて開発し、更に独自技術を追加したスクリプト言語。
　　JScriptと言っても一般人には通用しないので便宜上JavaScriptと呼ぶ事もある。
　○VBScript
　　Visual Basic風味のスクリプト言語。機能の強力さゆえに諸刃の剣（諸悪の根源）となっている。

　IE単体でアクティブスクリプトのon/offを行うには、インターネットオプションのセキュリティでやるしかないので
　非常に面倒。外部のツールを使い簡単に切り替えを行う方法もあるが、IEエンジンに拘るならば
　Sleipnir等のIEコンポーネントブラウザを導入した方が建設的だと言えるかもしれない。

84 ：（○口○*）さん sage ： 2007/03/18(日) 04:02 ID:VckVQq2Q0

※プラグイン
　本体であるアプリケーション（ここではIEやFirefox）にあとから機能を追加する仕組みのプログラムの事。
　AdobeのFlash・Shockwave・Acrobat Readerや、ビデオ関係のプレーヤーなどが有名。
　当然セキュリティーホールも存在し狙われる事もある。
　IEやIEコンポーネントブラウザが使用するActiveXコントロール版と
　Firefoxやその他のブラウザが使用するNetscape Plugin型の２種類がある。

※ActiveX
　ActiveXというのはMicrosoftが開発した「インターネット関連技術の総称」なので
　どういう物なのかを簡単に説明するのは不可能です。またインターネット関連だけに使われている訳でもありません。
　ウィルスで主に利用されるのはこの内の「ActiveXコントロール」と呼ばれる仕組みで、そのプログラムは
　VBScriptで読み込みを開始させて(セキュリティの設定で有効にしてあると)自動的にダウンロード・実行させる事が出来ます。
　非常に高機能というかOSの用意している機能をほとんど使えるのでなんでも出来る代物です。
　ActiveXの仕組みは正しく使えばホントに便利で、「Windows Update」や「オンラインウィルススキャナ」の様に
　誰でもクリック一発で目的を達せられる優れものなのですが、最初からセキュリティ上問題があると指摘されてもいました。
　結局の所、業界をリードしたかったMicrosoftが目先の利便性を餌にゴリ押しした結果、
　ウィルス作者に付け込まれてグダグダになってしまったのが現状といえるでしょう。

※最後に
　アクティブスクリプト＋ActiveXが必須なサイトも沢山あります。
　そういったサイトで確認ダイアログをいちいちOKするのが面倒くさい。
　取り合えず信頼できるサイトだし全部「有効」にしよう。あとで戻せばいいし。
　…と思っていたのに戻すの忘れていてウィルス踏んじゃった｡･ﾟ･(ﾉД`)･ﾟ･｡
　というのもありがちなパターンです。くれぐれもお気をつけ下さい。
　そういった観点からも通常時はFirefoxで本当に必要な場合だけIEという運用が
　初心者の方にはいいような気がしますが、あまりFirefoxばかりプッシュすると
　私がMozilla工作員だとばれてしまうのでこの辺りにしておきます。

85 ：（○口○*）さん sage ： 2007/03/18(日) 04:13 ID:6h8ZA9ME0

>>83
Mozilla工作員乙。

冗談は置いておいて知らないことも多かった。為になるよありがとん。

86 ：（○口○*）さん sage ： 2007/03/18(日) 04:54 ID:5NBbstFM0

ケミwikiみたら何も出てこなかったのはなんでダロ？
今見たら平気なんだけど
スキャンしたらポルノウェアしかでてこなかったｗｗｗｗｗ

87 ：（○口○*）さん sage ： 2007/03/18(日) 05:56 ID:yhhiBy5l0

ActiveXコントロールは、web技術の多様化には貢献したが、盲信的に(O)Kボタンを押すユーザーを増やしてしまった
功罪もある。
M$もVista時代にActiveXを引き継ぐ事を諦め、.NET Frameworkへの開発環境移行を促しているような状態。
今後は、webユーザビリティ、ユニバーサルデザインの観点からも、IEでしか動作しないサイトは、積極的に
「問題のあるwebサイトを報告」し、門戸を拡げるように訴えていくべき。

それと、非PC環境だと、なにげにOperaのシェアが増えているのだよな。
古くからのNetFrontとかも存在するけど。

88 ：（○口○*）さん sage ： 2007/03/18(日) 07:41 ID:i6FpqTzL0

Operaは以前に比べてだいぶ使いやすくなったからな
確かにブラウザを変える、ってのはかなり力のいる作業だけど
セキュリティ対策のため、ってことで今から乗り換えるのなら
乗り換え先Operaってのは悪くないかも知れん

89 ：（○口○*）さん sage ： 2007/03/18(日) 12:05 ID:ASPkRbTj0

Operaと言うとキーボードクラッシャー少年を思い出すから困る。

90 ：（○口○*）さん ： 2007/03/18(日) 13:39 ID:eDizQNuLO

Operaは昔スパイウェアが入ってたから
携帯などに搭載されている以外では
何となく使う気になれない

今はFirefox使ってる

91 ：（○口○*）さん sage ： 2007/03/18(日) 20:13 ID:9Y+iwXig0

質問させてもらいます。

普段、スレを見るときはJane Viewを使っています。
たとえばレス中にアドレスが書いてあった時にカーソルを合わせると
接続先の情報がポップアップ(?)みたいな形で表示されると思うんだけど
カーソルを合わせたアドレスがアカハクアドだった場合はアウトかな？
アカハクアドレスらしきアドレスでやっちゃったんで気になってます。。。

92 ：（○口○*）さん sage ： 2007/03/18(日) 21:18 ID:izHMaZKH0

>>91
内部的にどうやってるのかが関係するので、「自分で確認する」か「作者に尋ねる」以外の方法では
回答は保証できない。普通に考えると、画像以外はポップアップに失敗するので読み込まれない筈。
（スキンのポップアップ用htmlでタイプが異なったら弾いてると思う）

jpeg偽装とかの場合、リンク切れ同様に×になるなら大丈夫。

どっかのあぷろだに、無害なhtmlをjpgの拡張子で置いて、どっかのテストスレッドか、自分の管理している
掲示板にリンク書込んで、読み込ませればわかる。

93 ：（○口○*）さん sage ： 2007/03/18(日) 22:09 ID:wfP8xISe0

ttp://www.itmedia.co.jp/enterprise/articles/0703/17/news008.html
このようなパターンで感染させるマルウェアがあるようなので、ご注意を。

94 ：（○口○*）さん sage ： 2007/03/18(日) 22:51 ID:mIfdzUB20

>>93見て思ったけどOSやブラウザ以外の更新作業ともなると素人には
つらいだろうなぁ。
WindowsMediaPlayer、QuickTime、AbodeReader、FlashPlayerに
JAVAにetcetc... 基本的なところだけでもこれだけあるのに人によって
導入しているソフトは結構違うし、バージョン違いやらも多々。どれ更新すべきって
聞かれても『全部』としか答えられないもどかしさ。
よくわから無い人は自動更新機能があるソフト等はONにすべきって方向性
なんだろうな。…PC使いこなしてる人にとっては自動更新機能は結構ウザイんで
手動でOFFに出来てほしいけど。

95 ：（○口○*）さん sage ： 2007/03/18(日) 23:00 ID:wpieqUog0

メーカー製PCだといろんなソフトが最初から入ってるから、より一層危険だよな
詳しくない人の方がメーカー製PCを購入する割合が高いわけだし

96 ：（○口○*）さん sage ： 2007/03/19(月) 01:51 ID:zzcJ6v+C0

そういえばWiki等にspamが有ったりアカハクアドレスが有ったのを修正した時に
報告を入れるかどうかってどっちが良いんだろ(そうじゃない物で瑣末な修正は別に
報告要らんと思うが)。

私は『きちんと利用者の皆さんで頑張ってますっ！とりあえず安全気味ですっ』ってのを
他の利用者さんにも知らせて多少は安心を提供できると思うんだけど中にはそれ系は
告知すべきでないって思っている人も居るらしい。どういう理由かは直に意見をぶつけて
ないし編集合戦になると思うからやってないけど。

確かに『spamを削除しました』って書込があるってことは『spamを受ける余地のあるWiki』
って事を示しているのは事実・・・なんだけど、メンテする利用者がいることの証明でも
あるから早々悪い事じゃー無いと思うんだけどな。Wiki本筋の更新情報とかが流れちゃうから
嫌だ、って言う趣旨なんかなぁ。
編集者としても、若しくは閲覧者としてどっちが皆にとっては好みなんだろ。

97 ：（○口○*）さん sage ： 2007/03/19(月) 02:37 ID:gK0tC3bb0

あった方がいいと思う。

万が一踏んだ人が居て気付いてなかったら、それを見たら
ウィルスチェックなりするだろうし、それで発見出来たら被害から
逃れられるかもしれないし。

98 ：（○口○*）さん sage ： 2007/03/19(月) 06:42 ID:MlWs9bT70

どっちが好みとかいうレベルの話じゃなくて
「垢ハク被害を減らそう」と思うなら報告を入れるべきだな。
修正した側から改竄されてるケースだってあるだろうから。

99 ：（○口○*）さん sage ： 2007/03/19(月) 07:22 ID:HxRkkfll0

トップにハックアドレスが貼られる危険があるから注意しろって
書いてあっても踏んじゃう人がいるんだから、実際に今自分の
見ているWikiが業者に狙われているっていうことが分かった方が
いいと思う。
例え修正してあっても、また狙われる危険もあるわけだから、
利用者にいっそうの注意を呼びかける効果もあるかと。
特に最近の更新に警戒するようになると思うしね。

100 ：（○口○*）さん sage ： 2007/03/19(月) 07:32 ID:3LRmTBve0

>>96
報告は必須。

管理者が、悪意ある改変者のＩＰを確認して、再発を防ぐために次回からIPブロックする設定をしなきゃいけない。

101 ：（○口○*）さん sage ： 2007/03/19(月) 11:46 ID:uJ6bisHp0

>>96
あげた修正報告が片っ端から消えるトコありますねぇ…。
一見平和に見えるけど、隠蔽されているだけなのがたちが悪い。

102 ：（○口○*）さん sage ： 2007/03/19(月) 12:53 ID:zzcJ6v+C0

>>本スレ83 (http://gemma.mmobbs.com/test/read.cgi/ragnarok/1173963316/83)
*.mobiドメインは『モバイル機器での閲覧を可能とするためのガイドラインを守る』事を
登録条件としているのでdotMOBIにチクれば何らかの処置を取ってもらえるかも。
実際にそういうのが対処された記事を見た事無いんでどうだかわからんのですが
(見た事無いだけで、対処されてるかもしれないけど)。

103 ：（○口○*）さん sage ： 2007/03/19(月) 13:43 ID:eIaxDBVy0

ROとは関係ない所で怪しい物踏んで対策ソフトが怒り出した時に思ったんだけどさ
こういうのって対策ソフトがちゃんと反応した時でも感染しちゃってるのかな？
それとも反応した物についてはソフトがちゃんとブロックしてくれてるのかな？
もちろんそもそも対策ソフト自体は完璧ではないから
そんな物を踏めば同時に他の物も入ってきてる可能性というのはあるけど
ちゃんとソフトが反応した部分に関してはどうなんでしょう？

104 ：（○口○*）さん sage ： 2007/03/19(月) 14:11 ID:Rlfsr2NH0

ソフトが把握してる種に関しては大丈夫だとおも。そのソフトがタコで無い限り。
亜種とかヒューリスティックで引っ掛けたとかの場合はちょっと不安ですがね。

大体は大丈夫、でも100％じゃないかも、と思っておきましょ。

105 ：（○口○*）さん sage ： 2007/03/19(月) 14:56 ID:eIaxDBVy0

ふむふむ
一応他でも片っ端からチェックしてみてそれでも何もなかったから
今回は多分頑張ってくれたんだろうと思っておく事にします
どうもありがとうございましたー

106 ：（○口○*）さん sage ： 2007/03/19(月) 16:11 ID:PwBwMlpG0

>>96
理想は、悪意ある投稿そのものがブロックできる事。
その点では、BSWikiは良い見本と言える。
次善の策として、閲覧者が気付き次第削除しつつチェックを促す事だが、PukiWikiのシステム上、どうしても
バックアップが多数作られる事になり、サーバや運営側への負荷が増大してしまう。
今では、機能している職Wikiで管理そのものが滞っているケースは無くなったが、万が一と言う事を考えると、
多少厳しめの投稿フィルタも止むなしと言える状況。

# そのあたり、「転ばぬ先の」機能は身につまされるものが。プログラマのバス事故問題みたいに。

107 ：（○口○*）さん sage ： 2007/03/19(月) 17:28 ID:aOfHk8zE0

BS Wikiさんは別格ってのがあるけどな。

丁度アコプリスレで同じ話題が挙がってたが、Wikiで出来る対策って
・外部リンクへのクッション
・接続元IPによるアクセス制限
・禁止ワードによる書き込み抑制(危険ドメイン指定しておいて書き込ませない)
ってあたりかね？

編集用と閲覧用と分けて管理人が一括更新、みたいな案も出てたが
上の３点が出来るなら単独のWikiで十分事足りる気がする。

転送URL使われると最後のは抜けられてしまうかもしれないが、それは今も同じだし。

108 ：（○口○*）さん sage ： 2007/03/19(月) 20:59 ID:QGRsG0ht0

垢ハクの仕組みって
ROを起動→ログインと同時に情報をうｐって感じなの？
それとも情報を一時どっかに保存しておいてまとめて後でうｐ？
両方のタイプがあるのか？

前者なら接続を監視していればひっかかってもすぐわかるんだが・・・

109 ：（○口○*）さん sage ： 2007/03/19(月) 22:54 ID:3LRmTBve0

>>108
後者がないとは言い切れないが、基本的に前者。

だが、ＦＷで検知できると思わないほうがいい。

110 ：（○口○*）さん sage ： 2007/03/20(火) 01:51 ID:qt/UC0T+0

>>108
具体的には、こんな感じ。
ttp://gemma.mmobbs.com/test/read.cgi/ragnarok/1170419695/887
現在の主流であるmaran系統だと、ターゲットプログラム(例えばROクライアント)起動を検出すると、
送受信パケット等の監視を開始。
キャラクタパスの通過が確認された段階で、取得したIDpw類を自前の収集サーバに対して送信。
この部分はHTTPでセッションが確立される。

一応は、問題国のIPに対して、受信だけでなく送信パケットも落とすようにすれば、流出を防げる可能性はある。
無論、国内に中継を立てられる可能性もあるが、こうなったら国内法の範疇になるので、むしろ摘発の機会とも言えよう。

111 ：（○口○*）さん sage ： 2007/03/20(火) 02:51 ID:9R1U+fHY0

他人事ではない事件
ttp://www.4gamer.net/news.php?url=/news/history/2007.03/20070319150502detail.html
>「アトラクションIDならびに同パスワードを格納しているデータファイル」が削除された

>アトラクションIDおよびパスワードが格納されたファイルが外部に流出，
>または第三者に閲覧された事実はなく，
削除されたのに流出した事実が無い、って、そんな事ありえるのかねぇ？
激しく嘘臭いわけだが……

いくら対策やっても、大元から抜かれた日には何も出来んわけで。
癌がハク対策に必死なプレイヤーをどう見てるのかしらんが、運営を名乗るなら
ハクられるな、と言いたい……

112 ：（○口○*）さん sage ： 2007/03/20(火) 03:45 ID:a2WGZa6p0

>>111
>>削除されたのに流出した事実が無い、って、そんな事ありえるのかねぇ？

多分その辺は、アクセスログを見ての判断なんだろうけど、
ログが改変されてたらどうするんだろうとか思ったり。

で、公式見ると
ttp://www.tantraonline.jp/support/news/notice/395.html

>この度の不正アクセスにより、当該ファイルが外部に流出または第三者に閲覧された事実はございませんが、
>お客様の情報に対する安全性の確保により万全を期するため、
>ユーザーの皆様のアトラクションIDのパスワードを運営チーム側で任意の文字列に一括強制変更させていただきました。

やっぱり自信なかったのね。

113 ：（○口○*）さん sage ： 2007/03/20(火) 03:47 ID:o08ib39d0

何もしないで無能呼ばわりされるより一応の対策で念を入れることの方が正しいだろ

114 ：（○口○*）さん sage ： 2007/03/20(火) 09:09 ID:qNAvi/5C0

一括でパス変更かけたってのは対応としては間違ってないが、これがROで起きたら
とんでもない騒ぎになるよな……
個人で完璧な対策をした所で癌から漏れたら被害にあうし。

しかし管理を何でやってるか知らないが、稼動中のDBファイルをデリられるって
ちょっと信じがたいんだが。
ファイル(DB)にアクセス出来る時点でローカルにコピーするのは容易だし。

今日のメンテの延長は、これの対策込みとかかねぇ？

115 ：（○口○*）さん sage ： 2007/03/20(火) 09:19 ID:o08ib39d0

総合スレでRMC開いたらウイルスに感染したとの報告があり
それについてRMCの掲示板に何かないかと見てみたら垢ハックに対する意識の低さに愕然とした
URL踏んだかなと思ったらまずアトラクションでパス変えろって…

116 ：（○口○*）さん sage ： 2007/03/20(火) 09:26 ID:TeSi3BEW0

アカウントハック総合対策スレの方で冗談混じりに言われてたけど

85 ：(^ー^*)ノ〜さん ：07/03/19 17:31 ID:/K8gVsHO0
いっそ各職業Ｗｉｋｉのタイトルに天安門や民主主義って名前入れておけば
防衛になるのだろうか・・・

wikiのTOPか各ページに白文字で書いとけば目立たないし魔除け程度にはなるのだろうか…

117 ：（○口○*）さん sage ： 2007/03/20(火) 09:58 ID:qNAvi/5C0

中国はGoogleとかの検索に規制掛かってるのは有名だけど、串通せば見れるって話もある。
それにVPNで中継してたら検閲は逃れられる気がする。

あと今はどうか知らないけど、福建省って一部は台湾統治でもあったはず。
中華の本体が台湾って可能性だってあるし、そちら経由なら中国の検閲は逃れられるだろうし。

魔除けというより、おまじない程度な気がする。

118 ：（○口○*）さん sage ： 2007/03/20(火) 10:41 ID:LzivEgwp0

>>117
かつての福建省(中華民国統治下)に関して。
ttp://ja.wikipedia.org/wiki/%E7%A6%8F%E5%BB%BA%E7%9C%81
福建省→台湾省の経緯
ttp://ja.wikipedia.org/wiki/%E5%8F%B0%E6%B9%BE%E7%9C%81

GDPで1桁違う台湾籍が、金銭目的でゴールドファーマーを行うメリットは殆どない。
むしろ注目すべきは、この地域が蛇頭の拠点となっている事。
それと、台湾との物流が盛んということもあって、中国内でのIT拠点という部分もある。

119 ：（○口○*）さん sage ： 2007/03/20(火) 12:30 ID:BmkxGXPn0

>>115
アトラクションでパス変えるのも「安全な別PCで〜」ってしっかり付けないと知らない人は危ないぞ。
もし踏んだPCでアトラクションセンターにログインする時のパス抜かれたら
ROのパス取られるより完全に終わる。

120 ：（○口○*）さん sage ： 2007/03/20(火) 13:50 ID:orYiHLni0

RMCのTOPにいっただけでウイルスに感染したとか書かれてるがそんなことできるのかね？

121 ：（○口○*）さん sage ： 2007/03/20(火) 14:06 ID:qNAvi/5C0

>120
・鯖ハクされてた
・内通者が居た
こういう場合はありえるので、絶対に無いとは言い切れない。
鯖ハクってのがどこまで指すかで微妙に意味合いが変わるが、本スレ84が参考になるかな。

他で報告が無いなら誤検出とかの可能性の方が高い気がするが。

122 ：（○口○*）さん sage ： 2007/03/20(火) 14:16 ID:qNAvi/5C0

あと誤検出と言えばアコプリスレでこういう報告があった。
ttp://gemma.mmobbs.com/test/read.cgi/ragnarok/1172652300/238-241n

ウィルス対策ソフトの過信も鵜呑みも禁物。

123 ：（○口○*）さん sage ： 2007/03/20(火) 14:24 ID:pIDqslk20

というか、アンチウィルスソフトにも得手不得手、得意不得意な特徴があるんだぞ。
カスペ入れてりゃ万全、で止まるのがマズい。

124 ：（○口○*）さん sage ： 2007/03/20(火) 14:57 ID:UddNnMwY0

気にしすぎなのかもしれないけど
「こういう報告があった」とかにしてもURLだけでなく軽く内容を書いたほうがいいと思うんだ
ｲｷﾅﾘURL貼られてもいぶかしんじゃうよ

125 ：（○口○*）さん sage ： 2007/03/20(火) 15:14 ID:shAx993C0

1つ質問。
hostsとPG2の対策についてだが併用するのは二重に保険をかけるためだけであって
同じ情報を盛り込んでる場合はPG2だけで事足りるからPG2を使用している場合は特に
hosts改変はしなくても良い？

hostsは指定したホスト名をlocalhostに変更して対応させてるが、危険IPが別ホスト名を
取得していた場合には無力。
PG2はIPフィルタなのでその場合もブロックされ、PG2はhosts改変で対応できる内容は全て
含んでいる。

この解釈で間違ってないなら、二重に保険かけるという点以外はPG2使用時のhosts変更は
特に意味が無いようにも思えるんだが。

もちろん二重に保険掛けてるほうが安全なのは当然なんだが、ちょっと気になって。

126 ：（○口○*）さん sage ： 2007/03/20(火) 15:47 ID:nlvlCCpQ0

段階としてhosts→PG2なのはその通りだが、それ故PG2が最終防衛ラインであるため、
なるべくそこへ行かせないためにhostsも併用した方が得策。
また、PG2はIPでしか見ていないため、例えばhostsに登録されているホスト名にPG2に
載っていない別IPが割り振られていたりした時はPG2だけだと踏む。
以前、同じ垢ハクドメインに複数IPが割り振られていたこともあったし、同じホスト名だから
といって、IPまでいつまでも同じとは限らないわけだ。
大した手間じゃないんだから、リスクを減らすためにもそれくらいやっといたほうがいいぞ。

127 ：（○口○*）さん sage ： 2007/03/20(火) 16:40 ID:qNAvi/5C0

>125
「同じ情報を盛り込んでる」というのが「ホスト名とIPが同じ情報であり、且つ欠けていない」と
いう意味なら、>125の言うように二重の保険の意味でしかないと思う。

ただ現実問題としてPG2のみで行った場合
・ホスト名がDDNSで取られている場合、IP変更されると防げない
・ホスト名に対して複数のIP取られてる場合(特に後から別IPを取られた場合)に防げない
・IP未取得状態(以前のguild-wars-onlineとか)だと予防が出来ない
という事がある。

なのでPG2使用時のhosts変更は無意味と言うわけではなく、むしろ必要とも言える。

128 ：（○口○*）さん sage ： 2007/03/20(火) 16:58 ID:KZQSk8Tt0

>>122
そんな長くないし、コピペしてみる。

238 名前：(^ー^*)ノ〜さん[sage] 投稿日：07/03/10(土) 02:22 ID:OGZ22AiA0
やべぇGoogleで「シグナムクルシス」を検索したらウィルス警告ウィンドウでたｗｗｗ

239 名前：(^ー^*)ノ〜さん[sage] 投稿日：07/03/10(土) 12:28 ID:vbvXOjT/0
なんでやねん（ｗ
検索しただけで警告出るって何使ってるんだ？

ちなみにカスペ(KIS6.0)では出ない。

240 名前：(^ー^*)ノ〜さん[sage] 投稿日：07/03/10(土) 15:58 ID:OGZ22AiA0
>>239
使ってるのはNOD32
IEでもFireFoxでも同じ警告が出るわ・・・
ウィルス名はJS/Exploit.ADODB.Stream.BR トロイ

241 名前：239[sage] 投稿日：07/03/10(土) 19:18 ID:vbvXOjT/0
ちょｗｗｗ
サブPCにNOD32入ってたから、そっちでやったら出てきたわｗｗｗ


>238、疑って悪かったorz

129 ：（○口○*）さん sage ： 2007/03/20(火) 17:05 ID:xFhpeHFF0

>>128
さっきNOD32の誤検知かって質問投げてきたよ。メーカーからの回答待ち。

130 ：（○口○*）さん sage ： 2007/03/20(火) 17:06 ID:NFiwJzlX0

要するに、簡単に言うと

Peer Guardian 2: IPアドレス指定でブロックする。ドメイン名指定でのブロックはできない
/etc/hosts: ドメイン名指定でブロックする。IPアドレス指定でのブロックはできない

でいいのかな？

例として、
・転送URLを使われた場合、hostsでは防げないが、PG2で防げる。
・DDNSの場合、PG2では防げないが、hostsで防げる。

で合ってますかね？

131 ：125 sage ： 2007/03/20(火) 17:25 ID:shAx993C0

>126-127
PG2の方が全部含んだ対策になると思ってたけど漏れが出来るのね。
今まで事あるごとに両方のリストを更新してたんだが、hostsが無駄に
なるような気がしてたんだわ。

今後も両方更新するよ。

132 ：（○口○*）さん sage ： 2007/03/20(火) 17:27 ID:4N78vjA10

>>115
必要ないかとも思ったけど、アカウントハック関連の話題がやたらと出てるから
対策スレのテンプレから一部記載してきた。

しかし未だにアカウントハックがＲＯだけって思ってる人多そうだね･･･orz

133 ：（○口○*）さん sage ： 2007/03/20(火) 18:15 ID:04okQEds0

対策スレ自治厨ばっかで書き込みにくい

134 ：（○口○*）さん sage ： 2007/03/20(火) 18:49 ID:lt+gnf+X0

>>133
あっちって単なる報告スレじゃ？
っというか実際前スレで雑談多くてログ流れが激しいからってこっち
こっち作る流れになったんじゃなかったっけ？
向こうは報告をまとめてくれてる人もいるし、流れはあまり速くないほうがいいと思う。

もし要望があるならこっちは雑談用なんだし、こっちで少し『両板の使い方について』話し合って、纏まったら
向こうに書き込んでみるとかにしてみたら？
流石にその話題を向こうでやったら邪魔になるし。
っというかこっちってそういうのも含めたスレじゃないの？

135 ：（○口○*）さん sage ： 2007/03/20(火) 19:20 ID:FQB5breR0

>>あちらの106
このスレ二つの分離は区分を確立する前にできちゃった感があるから
> だったら初めからテンプレ以外書き込み禁止とかにすれば？と思った
ってのはしょうがないと思う。そもそもスレ更新の時期で十分な討議を
行う余地がなかった。だからそれはここで相談すればいいと思う。

>>133
自治厨とレッテルを貼って切り捨てちゃうとそこで論議が終わっちゃうから
きちんと意見を言ってほしいな。その為にこっちのスレがあるのだから。
なぁなぁですめば一番いいんだけど、不特定多数が利用する以上は
ある程度のルールは私も必要だと思うのよ。
上記の経緯もあるのでスレの色分けが今はまだはっきりしない段階。
区分をはっきりさせないと結局どっちかのスレが無駄になっちゃう。
かといって一本にまとめると『重要な情報が埋もれて』しうまう。
一方のスレの情報密度を濃くして重要情報ばかりにしちゃえば利用者に
とっても便利じゃない？あっちだけ読めば良くなるから。皆が皆
暇人じゃないのよ。

あっちのスレの98のいっている
> 此方(Rag板のスレ)はどちらかというと『(事前の)対策スレ』であり
> (事後の)『対応スレ』ではありません。
は方針としてわかりやすいものだと思うって事で同意。

個人的にはあちらは『事前対策系』かつ『確定情報系』『重要情報』とか。例えば
・新規アカハクアドレス/IPの報告
・新種ウイルス報告
・セキュリティホール情報
かな。こっちは『事後対応』『非確定情報』『相談』『質問』『アイディア』
『議論』『雑談』。そして有意義な情報や結論が出たらあちらに転載。

どんなかんじだろうね

136 ：（○口○*）さん sage ： 2007/03/20(火) 19:27 ID:vwAob09Y0

ちょっと質問です。
最近、アプロダにjpgやgifに偽装された垢ハクマルウェアが仕込まれてるとこちらで
拝見しました。
今日、誤って某スレ（タブを一杯開いてたのでLiveROかにゅ缶のどこか判らない(´･ω･`)
に張られていたアプロダのpng画像？のURLを開いてしまったのですが、中身は白紙？でした。
これはヤバいということでしょうか。
当方OSがWin2kのため、IEのセキュリティのレベルのカスタマイズでの防御ができない状態です。
（IFRAMEタグの記載のあるhtmlファイルを作成して開いてみたところ、ダイアログ表示もなし
に見事に開いてしまいました）


【　　アドレス 　 】すぐにそのウィンドウを閉じたため、末尾が■pngであったこと以外判りません。
【気付いた日時】本日（気づいてすぐ対策をはじめました）
【　 　　 OS　 　 】Win2k/SP4
【使用ブラウザ 】Sleipnir　Ver.2.5.10（IE6エンジン）
【WindowsUpdateの有無】最新（先日Update行ったばかり）
【　アンチウイルスソフト 】AVG（FreeEdition）Ver.7.5.446
【その他のSecurty対策 】ルータ、SpyBOT、Ad-AwareSE
【 ウイルススキャン結果】カスペルスキーオンラインスキャン・SpyBOT・AVGでは検出なし。Ad-Awareのみ危険度の低いものが出たので削除。
【スレログやテンプレを読んだか】Yes
【説明】「IFRAMEのプログラムとファイルの起動」での防御ができない現在、png画像への偽装はありうるのかどうかが不安です。

最善手がOSの再インストールなのは承知なのですが、pngへの偽装は聞いたことがないため、質問させていただきました。
よろしくお願いします。

137 ：（○口○*）さん sage ： 2007/03/20(火) 19:47 ID:FQB5breR0

>>136
私も寡聞にして聞いたことがないですが、理論上は可能かもしれません。
尚怪しいアドレスですが、IEコンポーネントブラウザなのでIEの履歴から記憶を辿りつつ
探せば何とか見つからないかな。多分そのファイルのアドレスをはっきりさせる事が
対策への一番のヒントになると思うから。

138 ：（○口○*）さん sage ： 2007/03/20(火) 19:58 ID:jA9JniBV0

偽装とは違うけど pngファイルを表示するプログラムにバグがあったりすると
バッファオーバーフロー攻撃とかされる可能性はある

今のところは聞いたこと無いけどねー

139 ：（○口○*）さん sage ： 2007/03/20(火) 20:05 ID:gwn5HTaL0

流れぶったきりで質問すみません

今日もまとめサイトの方の更新されたHOSTSを書き換え作業しながら
ふと思ったのですが、「ファイルの属性の変更」って普通どうやるんですか？
（ウィルスやトロイに書き換えられるから読み取り推奨と書かれていたので）

自分はファイル名を指定して実行でノートパッドで開いて
別名で保存にして、出てきたHOSTSのアイコンのプロパティから
読み取り専用属性のチェックを外して、同じ名前で上書きして、
もいちど別名で保存にして、チェックを付け直して居ます

140 ：（○口○*）さん sage ： 2007/03/20(火) 20:25 ID:lBMTZY0c0

>>139
エクスプローラからやるのが普通だろうけど、ファイル選択ダイアログのも
結局はエクスプローラと同じだからやりやすいほうで。

ちなみにこんな方法も。ファイル名を指定して実行で
attrib +r c:\windows\system32\drivers\etc\hosts

とはいえReadOnlyフラグも想定してないプログラムには有効だけど、
「立ってたら落としてからファイル書き換え」なんてすぐ書けちゃうから
過信は禁物。

141 ：（○口○*）さん sage ： 2007/03/20(火) 20:38 ID:LzivEgwp0

>>136
jpgやpngに関らず、果てはoggやflvですら、サーバ側のMIME設定次第では偽装対象となり得る。
これはIEというより、Tridentエンジン自体の設計に起因するもので、前提環境での安全策は、Sleipnirの
Geckoモードを常用する事になると思われる。
ttp://www5e.biglobe.ne.jp/~access_r/hp/html/html_020.html

>>139
ReadOnlyの付与だけならその方法。
可能であれば、アクセス権をadmin及びSYSTEMのみフルコントロール、他を読み出しに限定して、
通常使用するユーザーから書換えが出来ないようにした方が良いが、XP HomeではNTFSのACL変更が
出来なかったか。
無論、OSの再インストールや、複数PC所持の場合に/etc/hostsのリビジョン管理は繁雑になるので、
より広汎に効力を及ぼし、安全性もある程度確保されたルータによるパケットフィルタリングの実施も
出来ればお薦めしたい。

142 ：136 sage ： 2007/03/20(火) 20:40 ID:vwAob09Y0

見かけたスレを探しまくって、ググって自己解決しました。

踏んでしまったURL掲載のカキコは以下のもの。
ttp://enif.mmobbs.com/test/read.cgi/livero/1173277778/592

掲載URLは
ttp://asame2■web■infoseek■co■jp/1jojof28■png
某有名サイトのギャラリーコーナーだったみたいです。
単純に画像の読み込みが遅かっただけ？

このたびはお騒がせして申し訳ありませんでした。
今回の件を肝に銘じて、うかつにURLは踏まないよう心がけます・・・∧||∧

143 ：（○口○*）さん sage ： 2007/03/20(火) 21:23 ID:9R1U+fHY0

>135
>そもそもスレ更新の時期で十分な討議を行う余地がなかった。
終わった事を言っても仕方がないが、前スレは大半は雑談で流れたわけで。

何度か雑談は抑えめにと指摘があったし、テンプレはどうしよう、スレ分けるか？と
と話が出たのにも関わらず、雑談が主だったので、このスレが先行して出来た。
論議出来るだけのレス残数は十分あったんだけどね。

でスレの使い分けだが、向こうは基本的に報告スレの扱いだと思ってる。
自分でリスト更新してる人なら判ると思うが、情報の拾い出しは結構大変だし。

ただ、だからといって向こうにアドレス貼るな、こっちでやれ、というのもどうかと思う。
情報としては既知のアドレスより未知のアドレスの方が重要だし、未知のアドレスだと
誰かが調べない限り判らないわけで。

雑談メインにならなければ多少は許されると思うけどね。

>130
それで合ってる。
なので両方使用する方が良い。

144 ：（○口○*）さん sage ： 2007/03/20(火) 21:34 ID:ZURhNrKo0

前々スレあたりから そこそこ積極的に解析結果だの助言だの
危険URLだのの提供をしていたつもりだけれど、新スレに
移行後は、無駄に敷居が高くなって書きにくくなった感が
あるんです。
# どっちに書くか悩んだトコで投稿せずに捨てるとか。

私は事後対応含めて一連の情報と思っているから、逆に情報が
散逸してしまうように思ってます。スレ流れたらどっか
いっちゃう にゅ缶でもありますし。

とあるURLが黒なのか白なのかという話だって、一人が疑問に
思っているということは、書かないけど不安に思った人も
もっとたくさんいるんでしょう。

そうゆうの含めて、あっちもこっちも見ないとわかんない。

情報が埋もれる埋もれるいっても、課金アイテムがどーのとか
BOTがどーのとか、テレビ番組がどーの、ぬるぽ ガッ とか
ならまだしも、ある程度関連してるなら無駄な情報では
といっちゃっていいものなのかな。

経験上、ある程度玉石混交なくらいな場のほうが情報は
出てきやすいものですし、○○踏んじゃった系の質問
含めあっちでいったん引き受けてから振り分けるくらいが
いいと思います。

報告だけでほとんど流量ないなら、日に何度も読みません。
感染しちゃったどうしようという相談と、どうでもいい雑談が
混じる方が むしろたちが悪いかと。

145 ：（○口○*）さん sage ： 2007/03/20(火) 21:40 ID:BmkxGXPn0

多数の返答が返ってきそうな場合はこっちって感じでいいんじゃないかな？

146 ：（○口○*）さん sage ： 2007/03/20(火) 21:52 ID:Jv4J1FfD0

個人的な意見では
本スレは敷居が高くていいと思う。
あそこは「わかっている人たち」が「適切な情報交換」をするスレだと思ってます。

わかっていない人が質問するのは基本的にこちら。
わかっていない人は過去ログを読み返さない（偏見）のでLiveROで流れてもいい。
こちらの「まとめ」は適切にwikiなり本スレに転載できればいい。

ぐらいの使い分けなイメージ。

147 ：（○口○*）さん sage ： 2007/03/20(火) 22:45 ID:FQB5breR0

>>146
それ結構いいかも。なんかけっこうわかりやすい。でも点プレとしてどうやって
書いたらいいんだろ。現状維持？

‥「雑談スレ池、だぁ？この俺の惚れ惚れするようなアイディアを
ごみ扱いするとは許せぬ」とか思う人が出ませんように。
# もちろん冗談です。

148 ：（○口○*）さん sage ： 2007/03/20(火) 22:58 ID:/O2/g1Rs0

漏れも>>146と同じ考え。

「わかっている人」も自称含めピンキリだけど
「わかっていない人」も実にピンキリで、数レス前さえ読まずに投稿するようなのもいる。
それは時に重要な情報が見落とされるような流れを生んだり
無駄に荒れる原因となったりすることもある。
だから質問や雑談はこっちと区切った方が結果的にいいと思う。

重要であれば向こうに転載なり要点まとめて書き込むなりすればいいからね。

149 ：139 sage ： 2007/03/20(火) 22:58 ID:gwn5HTaL0

ファイル名を指定して実行で出来る訳（>>140）ですね
そして>>141で教示頂いていることレベルがさらっと
こなせるようになるにはもっといろいろ勉強しないと

ありがとうございました

自分の使っているMcAfeeFireWallでは
hostsの書き換えがあるとアラートが出る設定に出来ます

問題は自分で書き換えるためにアラートを解除すると、
再びアラートが出るように戻すのが煩雑になってしまうこと

150 ：（○口○*）さん sage ： 2007/03/21(水) 00:26 ID:VEimnFK+0

ttp://page■freett■com/clytie/

このアドレスにノートンが反応したんですが、垢ハクとの関連性はありますでしょうか？
リンク先はROのシミュレータかと思われますが

151 ：（○口○*）さん sage ： 2007/03/21(水) 00:36 ID:WCFsVVRg0

みすとれ巣の“新しい方”のシミュレータだな。
新しいといっても三年位前の代物だが。

152 ：（○口○*）さん sage ： 2007/03/21(水) 00:52 ID:X8goWNQz0

>>150
ただのJWORDかPOPUPのブロックだと思う。垢ハックとは無関係。

153 ：（○口○*）さん sage ： 2007/03/21(水) 00:55 ID:E+GPtcpa0

JWordはなぁ…

154 ：（○口○*）さん ： 2007/03/21(水) 01:10 ID:goaT8LaT0

多分だけど、アカハック露店が出てる。
看板が「////////////////////////」こんな感じ。
じわじわ被害が広がってる模様。

155 ：（○口○*）さん sage ： 2007/03/21(水) 01:49 ID:VEimnFK+0

ありがとうございました

156 ：（○口○*）さん sage ： 2007/03/21(水) 02:16 ID:yJTew5lj0

こっちも一応ログ残して、まとめサイトの方に上げてもらえないかな？
このLiveRO板の別スレのまとめサイトでも、ログまとめて残ってるし。
一応雑談とはいえ、こっちでも色々なセキュリティーに関してや対策なんかの
話題も出てるんだし。
一応向こうの◆sp4Sh9QXGI氏に聞いてみるかな。

157 ：（○口○*）さん sage ： 2007/03/21(水) 02:46 ID:LuY8f5ZR0

Ragnarok板のトップからリンク張られているのは本スレ。何かあったとき
誘導されるのはアカハックスレって流れが現にあるわけです。

で、あせって質問するような人は、最初からあっちに書くわけで、
これからもずっと質問→雑談池ってのが続くんじゃないかと。

情報だけにしたいなら、公式HPの公知を速攻で書き写すスレ の
ような感じに完全にそれだけにするなり、(スレの使い分けも)
「わかっている人」の方こそが動くべきなんじゃないかと思うんです。

158 ：（○口○*）さん sage ： 2007/03/21(水) 02:50 ID:E+GPtcpa0

動いてないとでも？

159 ：（○口○*）さん sage ： 2007/03/21(水) 03:30 ID:h1mlqgBC0

アカハックに遭ってしまった場合に備えて、ちと整理しておきたいけど、

●ログインＩＤ＆ＰＷ＆キャラＰＷのみを盗まれた場合

ログインＰＷを相手に変更されることはないはずなので、
ログインＰＷをこちらで変更すればとりあえず安全な状態になる。
ただしキャラＰＷを相手に変更されてしまった場合は、しばらくこちらでログインできない状態になる。
電話orメールでの本人確認が必要（メールの場合、24時間365日受付、原則24時間以内に返事が返ってくるらしい）
（キャラＰＷを変更されてしまった場合は、既に被害に遭っている可能性が非常に高い）

●ガンホーＩＤ＆ＰＷのみを盗まれた場合

相手にガンホーＰＷおよびログインＰＷを変更されてしまうと、こちらからはＲＯはおろかアトラクションセンターにも
ログインできない危険な状態になる。万一クレカのＰＷが漏れた場合は、限度額いっぱいまで濃縮を買われる可能性もある。
相手はキャラＰＷを知らないはずなので、空スロットがなければ、すぐにゲーム内にログインされないような気がするが
実は抜け道がある。アトラクションセンターにログインされた時点でメールアドレスが敵に手に落ちるため、
任意のキャラを削除することが可能である。一度空スロットに戻れば、キャラＰＷも解除されるため、
新規作成したノービスでゲーム内にログインされてしまい、倉庫の中身をごっそり持っていかれる。
（ちなみに住所、氏名、電話番号などの個人情報はメールによる認証手続きが必要なため、とりあえず漏れる心配はないだろう）

両方盗まれた場合は、もう書くまでもなくアウト。

【セキュリティ上問題と思われる点】
１．旧ＰＷを入力しなくても、ログインＰＷを変更できてしまう。
２．キャラを削除するとキャラＰＷも削除されてしまう。

160 ：（○口○*）さん sage ： 2007/03/21(水) 03:40 ID:H7Jv4+De0

>>158
俺の勘違いかもしれないが、

157は所謂「わかっている人」がスレの使い分けに関して何もしてない、といってるのではなくて、
「今の総合スレ」の方に「質問・雑談スレ」の機能を持たせ、「わかっている人」が別スレを
立てて移動したほうがいいじゃないか、といってるんじゃまいか。

酔っ払いの戯言なんで、見当違いなことをいってたらすまん。
その時は軽やかにスルーしてくれい。

161 ：（○口○*）さん sage ： 2007/03/21(水) 03:49 ID:DKQmVnsU0

つまりにゅ缶側にオフィシャルの告知を書き写すスレのような感じの、
ハッキング関係の重要告知っぽいものを貼り付けるスレを作ると言う感じかな？

162 ：（○口○*）さん sage ： 2007/03/21(水) 09:11 ID:8vb9ljvF0

ながれぶったぎってすまんが、
ttp://www.nostale.jp/topics.php?tt_seq=100
なんなんだこの違いはと思った。

163 ：アカハクスレ5の652 sage ： 2007/03/21(水) 09:15 ID:Ov0YO2Ew0

進展があったので書き込み。被害に遭った人がどんな
感じになるのかという参考になればと思って書いてる
けど、日記ｲﾗﾈという意見があればやめようと思う。

ネカフェのセキュリティ担当の人と直接話し合ってきた。
消えたトロイについては、アカハクスレで言われたように、
バックドアで消されたか、ステルス化してしまったのだろう
という見解。

その人が言うには、せっかく出したカスペルの検出ログを
店員がPC落として保存もしてなかった(かなり怒ってたｗ)
ので、ネカフェ側でのこれ以上の調査は不可能とのこと。

これ以上の調査はプロバイダの協力を取り付けないと
出来ないので、ネカフェ側で被害届を出すという結論に。
ただ、証拠となる検出ログもトロイ自体も見つからない為、
実際どこまでいけるかは不透明な状況。

担当の人と所轄の警官の人がつーかーの仲らしいので、
一応期待はしてみる。


以下、その時の話で出たこと

164 ：アカハクスレ5の652 sage ： 2007/03/21(水) 09:22 ID:Ov0YO2Ew0

セキュリティ担当としては、本音を言えばUSBポートもCD-ROMドライブも
無効化したいらしい。しかし、セキュリティを向上させれば利便性が
下がり、客から苦情になる。それに対応すれば、セキュリティの甘さを
突かれてしまうという二律背反という状況。
特にUSBメモリからプログラムを実行されると、どうしようもないらしい。
つまり現状では、リカバリーPCのセキュリティを突破されると、
やられ放題ということ。

俺もオープンから１年以上通ってたネカフェで安心しきっていたので、
信用出来るネカフェだからと言って油断は出来ない。
ネカフェでは極力アカウントや個人情報に関わる操作を行わないことを
強くお奨めする。(ネトゲ、ネットバンキング、クレカ、Blog、SNSなど)

165 ：（○口○*）さん sage ： 2007/03/21(水) 09:43 ID:NCXdlvBe0

【　　アドレス 　 】 ttp://www■cityhokkai■com/links/
【気付いた日時】 今日の明け方
【　 　　 OS　 　 】 Windows XP Home Edition Version 2002 Service Pack 2
【使用ブラウザ 】 Sleipnir バージョン2.5.9
【WindowsUpdateの有無】 最新
【　アンチウイルスソフト 】 avast!version 4.7 Home Edition
【その他のSecurty対策 】 Ad-Aware SE personal
【 ウイルススキャン結果】 マカフィオンラインスキャン、カスペルスキーオンラインスキャンをかけるも何も検出されず
【スレログやテンプレを読んだか】 軽く読みました
【説明】
上記アドレスを踏むと真っ白な画面のみ
後を削ると中華っぽい文字ばかりの画面が出たため即閉じてスキャンをかけるも何も検出されず。
ROアカウントハック報告スレのまとめ？サイトを見ると危険サイト・ドメインリストに載っているのを確認

という状況なんですが
スキャンで検出されなかったからと言って安心は出来ませんよね？
一応OS再インストールを考えてるんですが、OS以外のデータ等（CGやらゲームやら）を他に移して
OSを入れなおしてから、またデータ等を入れても大丈夫なんでしょうか？
とりあえず今、課金は切れてるので垢ハックの心配は無いかなとは思ってるんですが
補償チケットのやつが今月末までだったから近々課金しようと思ってたのに
課金するのが怖い状況です…

166 ：（○口○*）さん sage ： 2007/03/21(水) 11:01 ID:X8goWNQz0

>>165
>スキャンで検出されなかったからと言って安心は出来ませんよね？
その通りです。未知のパターンが入ってきた場合はすり抜ける可能性があります。

>一応OS再インストールを考えてるんですが、OS以外のデータ等（CGやらゲームやら）を他に移して
>OSを入れなおしてから、またデータ等を入れても大丈夫なんでしょうか？

その間、Webフォーム、ゲームともに、ログインもパスワード変更もしていないなら、原理的に読み取れませんので
HDDフォーマットからやりなおしたものは、安全な環境になると思います。

厳密にはウィルスとは異なり、垢ハックは実行ファイルなどに寄生することはありませんので、
データ等や、実行していないファイルに取り憑く心配はありません。

167 ：（○口○*）さん sage ： 2007/03/21(水) 11:10 ID:P63N/mwX0

>>165
どういう過程で、踏んだかも
公表してくれると、助かるかも。

どこどこのwikiに貼り付けてあったのを
誤って踏んでしまったとか

最悪、初心者にその狙われやすいサイトに
行くなと、言えるし。

しかし、Ｒｏと全然関係ないところに
ぽつりと一個だけ張ってあったとかだと
もう、対処不能かもしれんね。

168 ： ◆sp4Sh9QXGI sage ： 2007/03/21(水) 11:18 ID:tpY5cuVZ0

>>156さま
勿論こちらのログも残す予定でいますのでご安心を。

169 ：（○口○*）さん sage ： 2007/03/21(水) 12:42 ID:4OrFBWvQ0

>>165
>>166の言うとおり。

どうしても不安ならばCG等のデータは一定期間移動先に保持して
定義ファイルがある程度更新された頃にまたカスペやマカフィーでチェックを行い
それから元の場所に戻せばいい。
手順面では無駄が多いけれどもすぐに戻すよりは安心感を得られるはずさ。

170 ：（○口○*）さん sage ： 2007/03/21(水) 13:11 ID:74nTAzw+0

>>157
その別スレというのをRagnarok板に立てるつもりでしょうか。
Ragnarok板に新スレッド立てるには先に「新規スレ立ての是非を問うスレ」いって協議しないとだめだろうから時間かかるし、
アカウントハック系乱立、と見られて同意得られるかわからないわけですが･･･

勿論同意得られて踏んだ人の駆け込み寺（今の雑談スレ）もデータ収集の方（今の総合スレ）も
両方ともRagnarok板に残せる・移動できるならともかく、無理じゃないかなと。

ならどちらをRagnarok板に残す？って考えたとき
結局のところ踏んじゃった人への対策は同じことしかいえないわけで
掲示板公式（MMOBBS内にという意味で･･･）としてログを残す価値が高めなのは事前対策だと思います。

両方ともを残せないのであればRagnarok板のトップのリンクは変えてもらったほうがいいでしょうね･･･
といっても納得できてない人も多いでしょうし、変えてもらえないかMMOBBS管理人さんにお伺い立てにいくべきタイミングが難しいところ。
上述のような理由で住人の方々が納得できるのなら管理板目安箱（他のがいいのかな）にでも
「両方ともRagnarok板に残せるか・無理ならRagnarok板のリンクを変更してもらえないか」
について投稿してきますがいかがでしょう。

171 ：（○口○*）さん sage ： 2007/03/21(水) 15:54 ID:zzXv6cPF0

>>170
『Ragnarok板のリンクを変更』っていい案だと思いますね。
>168でこちらのログも保存してくれると言うことなので、簡単にスレが立てられる
こっちの方が雑談目的なら使いやすそうな気がします。
Ragnarok板のトップで「垢ハクアドレスを踏んでしまったら！」とかでリンク張っておけば
自動的に流れてくるような気がしますし。

172 ：（○口○*）さん sage ： 2007/03/21(水) 16:05 ID:/dfDdM6L0

これだけアカハックが問題になってるんだから、
両方Ragnarok板でもいい気がする。

だめもとで是非スレに持っててみてもいいんでは。

173 ：（○口○*）さん sage ： 2007/03/21(水) 16:08 ID:mb5Z2jCZ0

【　　アドレス 　 】http://www■wikiwiKi-game■com/8651262/
【気付いた日時】今さっき
【　 　　 OS　 　 】 Windows XP Home Edition SP2
【使用ブラウザ 】Internet Explorer
【WindowsUpdateの有無】 最新
【　アンチウイルスソフト 】NTT西日本 セキュリティ対策ツール(トレンドマイクロ)
【その他のSecurty対策 】上記ソフトで不正アクセス・スパイウェア等一括管理
【 ウイルススキャン結果】 実行中
【スレログやテンプレを読んだか】 軽く読みました
【説明】
上記アドレスを踏むと真っ白な画面のみでした。
危険を感じたのでそのまま閉じてこことかを開く＆セキュリティツールのウィルスチェック作動
5分後にセキュリティツールで全回線緊急ロック。別PCで癌IDパス・ROIDパスを変更。

174 ：（○口○*）さん sage ： 2007/03/21(水) 16:14 ID:P111kF2f0

とりあえず、本家は
「アカハック関連情報 集積・分析スレ」
という名前にしてほしいかな。
総合対策スレだと、質問して回答もらえそう。

こちらは
「アカハック関連情報 質問・相談スレ」
ぐらいな感じ。

175 ：にゅぼーん にゅぼーん ： にゅぼーん

にゅぼーん

176 ：（○口○*）さん ： 2007/03/21(水) 16:22 ID:asV8oNaP0

>>175
しね

177 ：（○口○*）さん sage ： 2007/03/21(水) 16:23 ID:eNwj9qBK0

ここまで来ると釣りにしか見えんな。
PC買い換えれば何もしなくてOK。

178 ：（○口○*）さん sage ： 2007/03/21(水) 16:24 ID:mb5Z2jCZ0

>>175
気が動転してたので向こうに書き込んでしまっただけです
申し訳なかったとは思ってますが馬鹿にしないでいただけますか？

179 ：（○口○*）さん sage ： 2007/03/21(水) 16:26 ID:P111kF2f0

>>178
申し訳ないとか思う前に、削除依頼だしてきなさい。
あれが垢ハックURLで、あなたのせいで被害者増えたらどう責任とるつもり？

180 ：にゅぼーん にゅぼーん ： にゅぼーん

にゅぼーん

181 ：（○口○*）さん sage ： 2007/03/21(水) 16:29 ID:6cnSDimW0

常日頃からセキュリティの基本「他に被害者を増やさない」という当然の配慮が出来ていれば踏んだとしてもあんな書き込みはしないだろ…

182 ：（○口○*）さん ： 2007/03/21(水) 16:30 ID:asV8oNaP0

さわるなきけん

183 ：（○口○*）さん sage ： 2007/03/21(水) 16:31 ID:6cnSDimW0

>>181は>>178と向こうの126に対して。
馬鹿な行動の後に削除依頼という必要な行動もせず
「馬鹿にしないでいただけますか」なんて馬鹿なことを言うなんて…なあ？

184 ：（○口○*）さん sage ： 2007/03/21(水) 16:32 ID:X8goWNQz0

>>173
癌IDとかパス変更前に、感染したかもしれないＰＣでログインを一切行なっていない場合は読み取りようが無い。
そのアドレスが、ドメイン取得時点のものか、それともなにか仕込まれているかは確認していないので
除去すべき何かが導入されたかどうかはわからないが、カスペのオンラインスキャンを推奨してみる。
それで、なにも出ないので、セーフだったと見るか、安全の為にＯＳ再インストールするかは自己責任で判断を。

http://www.kaspersky.co.jp/scanforvirus/

>>175
ｶｴﾚ

その中身は>>173だ。

＞OS再インストールは面倒なのでしたくありません
駄目。お前はＯＳの入れなおしやっとけ。

面倒なんで調査もしない、気軽に踏むとかやってる奴は、踏み台になったり、撒き散らず中継点になって他人の迷惑。

185 ：（○口○*）さん sage ： 2007/03/21(水) 16:36 ID:mb5Z2jCZ0

削除依頼出してきました。お騒がせしてすみませんでした。

>>184
私はOSの「再インストールは面倒なのでしたくない」などとは言ってません。

186 ：（○口○*）さん sage ： 2007/03/21(水) 16:37 ID:eNwj9qBK0

まぁこういう無知な輩を狙って垢ハク仕込んでるわけで、そういう意味では
成果は上々なんだろうな。

187 ：にゅぼーん にゅぼーん ： にゅぼーん

にゅぼーん

188 ：（○口○*）さん sage ： 2007/03/21(水) 16:42 ID:euoRpMZN0

そりゃ、必死に垢ハク書き込みしてるんだから、いまだに引っかかる奴がかなり居る証拠だな

189 ：（○口○*）さん sage ： 2007/03/21(水) 16:43 ID:E+GPtcpa0

>>質問など書き込みする場合は>>1をよく読んで、過去ログをチェックしてからどうぞ。

まぁ当然ながら何一つ出来てないわけだ

190 ：（○口○*）さん sage ： 2007/03/21(水) 16:48 ID:P111kF2f0

とりあえず是非スレに書いてきてみた。
age忘れたので、内容確認ついでにageてきてくれると嬉しいかも。

いまいち、あそこに書いたからどうなるのか不明なんだが、
しばらく賛成反対の反応待ちってことかな？
どれくらい待つのかなぁ。
テンプレはここで議論してもいいしなぁ。

191 ：（○口○*）さん sage ： 2007/03/21(水) 16:56 ID:dEBotjVV0

>>184
>>173で取りこむファイルをカスペルスキーのオンラインファイルスキャナーに突っ込んだが
ウィルス判定されなかった。
流石におかしいのでマカフィーのオンラインスキャンでチェックしたんだが
カスペルスキーのオンラインファイルスキャナーでウィルスと判定された
>>165で取り込んでるファイルと一緒にチェックしたところ
どちらも Generic PWS.b と判定された。
なので、こちらの操作ミスで無い限り、今のところカスペルスキーでは
検出できないかもしれないので注意したほうが良いと思う。

192 ：にゅぼーん にゅぼーん ： にゅぼーん

にゅぼーん

193 ：（○口○*）さん sage ： 2007/03/21(水) 17:00 ID:pDwDxZpa0

RO板行きは微妙。
流量の速くなりがちなスレだし、スレ建て待ちが発生するのがリスクにもなり得る。
それと、対策に必要な情報はまとめサイトへの集約、サイト持ちがもっと突っ込んだ内容が必要になれば
管理者MLという適した場所があるのだから、それぞれを必要に応じて使いこなせばよいと思う。

194 ：（○口○*）さん sage ： 2007/03/21(水) 17:06 ID:mb5Z2jCZ0

>>192
じゃあ言わせてもらうが「怪しいURLだ」ってレスに書いてあったでしょ？
しかもh抜き（効果薄いかもしれないけど）してあるのにあえて踏むってどういうことよ
あのスレの>>1にも「URLを無闇に踏んで回らないこと」って書いてあるじゃん

しかもWinUpDateもしない、ウィルスソフトも入れてない、オンラインでもウィルススキャンしないとか
町中で「注：危険」って書いてあるビラ拾って、そこに書いてある住所に丸腰で行ってゴロツキに刺されてさらに止血すらしない　と同じことだ

195 ：（○口○*）さん sage ： 2007/03/21(水) 17:07 ID:E+GPtcpa0

正当化するな、他人の所為にするな
おまえら2人は黙ってよく読んでろ

196 ：（○口○*）さん sage ： 2007/03/21(水) 17:08 ID:mb5Z2jCZ0

まぁ自分もうっかりその住所に足踏み入れて刺されていま止血中だから
人のこと言えないのはよーく承知してるけどさ

197 ：（○口○*）さん sage ： 2007/03/21(水) 17:12 ID:eNwj9qBK0

専ブラで見てる奴多いのに、踏ませない目的でh抜きしても殆ど意味ないだろ・・・
意図の有無に関わらず垢ハク貼りまくってるｼﾅと同じことしてしまったわけだが、
実際に被害者出したのにそれを反省する気は全くないってことか？
被害者から当り散らされるのは当然のことだろうに、逆ギレしてどうするんだと。

198 ：（○口○*）さん sage ： 2007/03/21(水) 17:15 ID:IdI3HaJ+0

お前のせいで被害者がでた可能性があるんだからいいたいことはわかるが
ここは切れたりしないでおけよ・・・
お前が他のURLのように■とかにしておかないミスもあるんだから

199 ：（○口○*）さん sage ： 2007/03/21(水) 17:15 ID:ay3ldWNO0

>>192
>>1にも書いてあるけど、これは守って下さいね。

アカウントハックの危険性があるURLは「.」を「■」に置き換えて貼り付けください。

200 ：（○口○*）さん sage ： 2007/03/21(水) 17:15 ID:X8goWNQz0

この場合の被害者は、間接的加害者に成りうる匂いがするので、当事者叩きはどうでもいい。
ただ、S/N比が悪くなって、必要な情報が探しにくくなるので叩くのは程々にな。

＞当事者
もう、このスレに来なくて済むようにがんばってこい。

201 ：199 sage ： 2007/03/21(水) 17:15 ID:ay3ldWNO0

スマンずれた。
>>194です。

202 ：にゅぼーん にゅぼーん ： にゅぼーん

にゅぼーん

203 ：（○口○*）さん sage ： 2007/03/21(水) 17:38 ID:DKQmVnsU0

ちなみに専ブラだとhttp://まで抜いても、www　があるとリンクされる。
リンクさせないには■で置き換えるのが無難。

あと、ブラウザによってはクリップボードにコピーしたURLに飛ぶ機能があるものがあるので
そういうものにも注意。Sleipnirなんかにはついてる。デフォルトだとOFFになってる筈だが。

204 ：（○口○*）さん sage ： 2007/03/21(水) 17:40 ID:dQCp1JqT0

掲示板側の設定で「.」を「■」に自動的に変換するように出来ないのかな？

205 ：（○口○*）さん sage ： 2007/03/21(水) 17:43 ID:X8goWNQz0

>>204
垢ハック専用の板作ればできるかもなーｗ

206 ：（○口○*）さん sage ： 2007/03/21(水) 17:48 ID:E+GPtcpa0

こいつ運営報告して良いか？悪ふざけにも程があるだろ

207 ：（○口○*）さん sage ： 2007/03/21(水) 17:51 ID:X8goWNQz0

>>206
許す

208 ：（○口○*）さん sage ： 2007/03/21(水) 17:51 ID:H7Jv4+De0

いいんじゃないか？このスレは機能しなくなるとめちゃくちゃ困る

209 ：にゅぼーん にゅぼーん ： にゅぼーん

にゅぼーん

210 ：（○口○*）さん sage ： 2007/03/21(水) 18:16 ID:dQCp1JqT0

>>205
新しく対策スレを立てて貰わないと出来ないって事なのかな
うかつにＵＲＬ踏んだりすることが少なくなってアカハックが減るかと思ったけどそう簡単にはいかないのか・・・

211 ：（○口○*）さん sage ： 2007/03/21(水) 18:55 ID:toAuN7rK0

向こうから報告の際必要なテンプレ抜き出してきた。

■スレの性格上、誤って危険なURLがそのまま貼られてしまう可能性がある■
■URLを無闇に踏んで回らないこと。報告・相談はテンプレを利用すること■

※ ID/Pass/サーバ/キャラ名等の情報は公開しないでください
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

【投稿の際の注意】
・アカハックアドレスはMMOBBSでは禁止単語になっています。
　加えて、誤クリックによる感染を防ぐ為にそのようなアドレスは
　.(ドット)を別の文字に置き換えて報告して下さい (■がよく使われています)
　理由は>>203
・質問前後にテンプレ等を見て知識を深めると更にGoodです
・回答者はエスパーでは有りません。情報は出来るだけ多く。提供した情報の量と質
　に応じて助言の量と質は向上します
・結局は本人にしかどうにも出来ない事を忘れてはいけません

報告の際には
・ 報告用＆質問用テンプレ (>>12, >>13)

アカハックに遭ってしまった場合に備えて
>>159

212 ：（○口○*）さん sage ： 2007/03/21(水) 20:52 ID:E+GPtcpa0

誘導してもすぐ下で雑談始めるやつって何なんだろう

213 ：（○口○*）さん sage ： 2007/03/21(水) 21:01 ID:igAdLNA20

アコプリの奴なら注意を促す情報だから問題ないだろ
カリカリする事でもない

214 ：（○口○*）さん sage ： 2007/03/21(水) 21:02 ID:E+GPtcpa0

べ、別にモフモフなんてしてない！

215 ：（○口○*）さん sage ： 2007/03/21(水) 22:49 ID:pDwDxZpa0

垢ハックといった部類ではなく、むしろソーシャル手法の部類だが。

ttp://www.yomiuri.co.jp/national/news/20070316i313.htm
>調べによると、楊容疑者は社内のデータベースから、産業用ロボットやディーゼル噴射ポンプなどの図面を、
>支給されたノートパソコンにダウンロードしたうえ、２月５日ごろ自宅に持ち帰った疑い。私物の携帯型ハードディ
>スクにデータを複写した形跡はあったが、楊容疑者は「パソコンは持ち帰ったが、データは複写していない」とし
>ている。

216 ：（○口○*）さん sage ： 2007/03/21(水) 22:54 ID:euoRpMZN0

それをここに転載して、どうしろと

217 ：（○口○*）さん sage ： 2007/03/21(水) 23:00 ID:5toCYZE70

セキュリティ対策スレとは言っても、ここで扱うのは個人・家庭レベルの話で
そういう企業レベルの情報管理（危機管理？）は対象外だと思うのだが

218 ：（○口○*）さん sage ： 2007/03/21(水) 23:49 ID:nGgBFb8e0

そこまでモフモフすることもないだろ。

219 ：（○口○*）さん sage ： 2007/03/22(木) 00:09 ID:fQ5dLjEk0

　　　|　　 ,､,､,､,､
　　　|　 '´~~~~~ヽ
　　　|　i　i从ﾉ）ﾘ）
　　　|　ゞ(ﾘ*ﾟ〜ﾟﾉi 　もふもふ♪
　　　| 　 （O(#)O　 ∬
　　　|　 く_7ノ_)_) 　旦

220 ：（○口○*）さん sage ： 2007/03/22(木) 00:13 ID:IilCRQ6z0

すまん、ちょっと聞きたいんだが、gifファイルに偽装した垢ハックってあるもんだろうか。
卓ゲー板を専ブラで見てて、うっかり踏んづけたらデコードエラーとか表示されたんだが。

221 ：（○口○*）さん sage ： 2007/03/22(木) 00:16 ID:+5vHzN2t0

gifでもpngでも偽装なら出来ちゃう

222 ：（○口○*）さん sage ： 2007/03/22(木) 00:18 ID:+5vHzN2t0

要するにhtmlの拡張子をファイルの名前変更でgifとかjpgに書き換えてるだけなので、
何でも出来ちゃうと言えば出来ちゃう。
大体のアプロダ系がjpgとかじゃないと投稿できなかったりするものが多かったり、
精神的に踏ませやすいから主にjpgにしているだけだね。要はなんでも危険。

223 ：（○口○*）さん sage ： 2007/03/22(木) 00:20 ID:IilCRQ6z0

うへ、まずいかもなあ・・・
ちなみにこんなのhttp://www■southbound-inc■com/images/pricejtopt1■gif

224 ：（○口○*）さん sage ： 2007/03/22(木) 00:26 ID:+5vHzN2t0

あ、そのアドレスは
2007/3/14のリネージュ資料室様のお知らせに、
>上記のうち www■southbound-inc■com はフィリピン専門の日本の旅行代理店のサイトですが、
>おそらくは不正アクセスによりトラップが置かれているため（サイトへはメールで連絡済み）、
>処置されるまで暫定的にリストに入れておきます。

と書いてあるので、まだ置かれているのか向こうで削除したか･･･
俺はそこまで詳しくないので誰か詳しく知っている人いたら頼む。

225 ：（○口○*）さん sage ： 2007/03/22(木) 01:16 ID:FmDZ3+Q90

>>223
ファイル名は変わっているけどこれ↓の系統ですね。
ttp://gemma.mmobbs.com/test/read.cgi/ragnarok/1173963316/14
gif偽装のhtmlにサイズ0のiframeがあってその中身はVBScript。
BASICのDATA文みたいな手法で何かの実行をかけてるように思います。
間違いなく悪意の有る代物ですが、相談用テンプレを埋めて貰わないと
アウトかセーフかは判りません。

それはそれとして、スレ分割に伴う棲み分けの意見集約を早急に行わないと
管理人さん達も困ってしまいそうなので、私は現状を鑑み
ttp://gemma.mmobbs.com/test/read.cgi/ragnarok/1079513434/756
この意見を支持します。

226 ：（○口○*）さん sage ： 2007/03/22(木) 01:31 ID:IilCRQ6z0

【　　アドレス 　 】http://www■southbound-inc■com/images/pricejtopt1■gif
【気付いた日時】 2007/3/21 深夜
【　 　　 OS　 　 】Windows2000　プロフェッショナル
【使用ブラウザ 】 Jane
【WindowsUpdateの有無】 設定などは親に任せきりだったので不明
【　アンチウイルスソフト 】 同上。そもそも無いかもしれない
【その他のSecurty対策 】 同上
【 ウイルススキャン結果】 やり方が分からない。ソフトが無いのかも
【スレログやテンプレを読んだか】 NO
【説明】
卓上ゲーム板の「写真」というスレッド内にあり、クリックしたら画像は表示されずにDecord Errorの表示。今のところは特におかしいところも啼く動作中

>>225
こんなとこでいいのだろうか。

227 ：（○口○*）さん sage ： 2007/03/22(木) 01:51 ID:QnFdvSPT0

>>226
JaneView、あるいはその改造系と言う前提で。
ttp://jane.cun.jp/test/read.cgi/win/1039936961/212,214
>判断してないです。Content-typeは全く見ていなくて、
>拡張子に対応するデコーダにかけてエラーが出たら
>Decord Errorにするというだけの処理をしてます。
とりあえず、素のIEよりはまし、程度。

それと、早急にWindowsUpdateの状態と、アンチウィルスの部分を確認すべき。出来れば設定した本人に。
危機管理面の不備がある状態でのネット接続はリスクが高すぎる。
WindowsUpdateの適用状況は、MSのアップデートサイトで履歴が確認できる。

228 ：（○口○*）さん sage ： 2007/03/22(木) 02:05 ID:IilCRQ6z0

>>227
いまんとこ確実にヤバい状況…ってわけでもないのか？
あとインストールの履歴っての見てみたら一つもありませんとか言われたぜ

229 ：（○口○*）さん sage ： 2007/03/22(木) 02:09 ID:4sH/2uog0

だいぶ時間が経ってるがオンラインスキャンとかはやったのかい？

230 ：（○口○*）さん sage ： 2007/03/22(木) 02:26 ID:IilCRQ6z0

今、マカフィーとやらのフリースキャンでCドライブ洗ってる。
今のところは問題ないが、思ったより量あるんだな、ファイル・・・

231 ：（○口○*）さん sage ： 2007/03/22(木) 02:29 ID:tFrMxB2x0

はっきりとは言えないが俺もそれはたまになるからなんでもないと思われ
ファイル側の問題ﾀだと思う

232 ：（○口○*）さん sage ： 2007/03/22(木) 02:35 ID:IilCRQ6z0

やべ、なんか一個検出された。
Keygen-XPStyle
とかいう奴なんだが・・・

233 ：（○口○*）さん sage ： 2007/03/22(木) 04:16 ID:cmnJeEa40

これまたググっても出てこないウイルスだね…
新種が多すぎて情報が追いついてなさそう

234 ：（○口○*）さん sage ： 2007/03/22(木) 04:45 ID:pb1jUzT90

>>232
「Keygen」で検索すれば引っかかるが、これだとウィルスとは無関係なようだな。
その検出されたファイル名で検索して、それが何か調べてみるといいかもしれない。

235 ：（○口○*）さん sage ： 2007/03/22(木) 04:51 ID:cmnJeEa40

Keygen自体の意味は、あっち方面で使われてる物かな
詳しくはここで関係ないので割愛

Keygen-XPStyleでググると日本の情報としては出てこないけど
virusとかそういう単語が混ざって出てきてるしウイルスっぽいよ

236 ：（○口○*）さん sage ： 2007/03/22(木) 05:28 ID:/dHGEL4u0

Keygen-XPStyleをマカフィー(US)で検索すると
ttp://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=125023

Type: Program となってるし、
This is not a trojan or worm. と書いてあるから、とりあえず無害じゃないのかな。
でも、じゃあ、なんで検出されるんだろうという疑問は残るけどね。

237 ：（○口○*）さん sage ： 2007/03/22(木) 05:59 ID:pb1jUzT90

>>236
マカフィーの日本サイトで検索して見つからないし
>>234の事もあったのでウィルスらしくない名前だと思いつつ新種なのかと思ったが
USサイトで検索しないと見つからないとは思い至らなかった。
登録情報が同期してないのなら次からそっちで検索したほうが良いな。
で、「Keygen-XPStyle」はウィルスでは無いが真っ当なものでもない。
ProScanという所ではウィルス定義ファイルの差分情報で
SPR/Tool.Keygen.Xpstyle.Uと記載されていてSPRはSecurity Privacy Riskの略。
マカフィー側の検索結果と関連しそうな内容の検索結果を考えると
これが何かと言うのはこのスレではスレ違いなので無視するが
セキュリティの面で問題があるファイルとして警告する意味で検出したんだろう。

238 ：（○口○*）さん sage ： 2007/03/22(木) 06:28 ID:DfspepDlO

ちょっと思いついたんだけど、垢ハクウィルスって、ユーザが入力したデータをどこかに送るんだよな？
じゃあさ、そのどこかっていう情報がウィルス内に書いてあるはずだよね？
それ調べて、そのどこかに無意味なデータを大量に送り付ければ（ROのログインIDに似せたやつね）中華もどれが本物かわからなくて、垢ハクされるまでの時間稼ぎできるんじゃないかなぁーって思ったんだけど、無理かしら…

239 ：（○口○*）さん sage ： 2007/03/22(木) 07:26 ID:79tUgkXM0

あっちの国だと「13億人が一つ一つ調べていくアル」とかやりそうだしなぁ

240 ：（○口○*）さん sage ： 2007/03/22(木) 08:08 ID:E8yxHtAGO

しかし、大量のダミーIDとパスワード入りのパケットを送信してやるのはありかもしれん。
やつらお得意の生成ツールか何かで。

俺に技術があれば面白そうだからやるんだけど、残念ながら、ない。
しかし、他の誰かにやってくれなんて言えないしな。

241 ：（○口○*）さん sage ： 2007/03/22(木) 08:17 ID:rst/TXj/0

ランダムで生成されたIDとPASSを延々と送りつけるスクリプトも組めるだろうが、
そんなのしたところでIP見れば出所が同じなので無視されるのがオチ。
全ROユーザーが同じことをできれば有効だが、そんなのは無理な話だしなぁ。

242 ：（○口○*）さん sage ： 2007/03/22(木) 08:32 ID:vihORnLI0

無視してくれれば、それはそれでありがたいんだけどね。

243 ：（○口○*）さん sage ： 2007/03/22(木) 10:20 ID:MHahefKX0

>236
Winnyを不正ツールとして検知して削除するのと同じ、と思えばいい。
ただそれがHDDにある時点で、別の意味で問題があるわけで。
「Warezer乙」と言われても仕方が無い。

>238
中華がどうやってるのか知らないが、スクリプトで自動処理してる可能性もあるかと。
それで成否判断して通ればハクる、とかだと偽装PASS送りつけても意味が無いかもね。

しかし今まで大量のハクウィルスがばら撒かれてるわけだが、送信先って全て同一なんだろうか？
もし送信先のIPが判明してるなら、PG2に設定して保険に出来ないかな？

もっともウィルスを解析できるスキルか、感染させて挙動確認するしかないので、素人が出来る
事じゃないってのが問題だが……

244 ：（○口○*）さん sage ： 2007/03/22(木) 10:39 ID:uusm68Xc0

220.162.104.208
http://www■yahoo-gamebbs■com/897656/

BBS
常連の名前を語って
画像UP　BBSに適当な画像をつけて書き込みがありました。
書き込み内容がBBSの趣旨に合っていないためバレバレでしたが

245 ：（○口○*）さん sage ： 2007/03/22(木) 12:51 ID:OiP5x9Q/0

>>242
それいいな。実行するだけで万単位のトロイが送るのと同じ
パケットをダミーパス＆ID生成して送信しまくるソフトが
あれば中華をﾌｧﾋﾞｮらせることができそうだｗ
特に福建人は一度は痛い目に遭わせたいなぁ…。

246 ：（○口○*）さん sage ： 2007/03/22(木) 13:14 ID:Qx6PMp+K0

攻撃されたからといって攻撃しかえすのはだめだろ……常識的に考えて……

247 ：（○口○*）さん sage ： 2007/03/22(木) 14:13 ID:gSv/werc0

>>128-129
NOD32の件、問い合わせに返答あった。

お問い合わせ内容：
> 　　 グーグルで「シグナムクルシス」と検索するとNOD32が警告を出して
> 　　 遮断されてしまう。
> 　　 検知名「JS/Exploit.ADODB.Stream.BR トロイ」です。

ご連絡いただきました件につきまして、
NOD32 バージョン 2133 (20070321) にて
ウイルスとして検出されないことを確認しました。

ということで、ただの誤検出だったようです。

248 ：（○口○*）さん sage ： 2007/03/22(木) 14:51 ID:MvYvtxIJ0

>>246
攻撃ではないだろ・・・常識的に考えて・・・

249 ：（○口○*）さん sage ： 2007/03/22(木) 15:08 ID:rst/TXj/0

全てにおいて一方的に攻められ、こちらは守りを固めるしかないのが現状。
しかも手口は次第に巧妙化され、被害は拡大しているにも関わらず、運営側は
注意喚起もロクにしていない。
どうせ国外だし、集団でDoS攻撃して落とすくらいしてもいいと思うけどね。

250 ：（○口○*）さん sage ： 2007/03/22(木) 15:19 ID:34Sv/YcG0

現在は法律等整備されてないので自身が捕まる事は無いと思うが自己責任で。
しかし、場合によっては自分だけでなく同じISPや回線の人にも迷惑を与えて
しまう可能性もありうる事は忘れないように。

厨返しが悪いとは言い切らんが、やるべき事を先ずやるのが先決だと思う。

251 ：（○口○*）さん sage ： 2007/03/22(木) 16:01 ID:FmDZ3+Q90

専ブラのビューアについての質問に対してなのですが、>>92さんが
既にアドバイスをされていますが、初心者向けに多少補足させていただきます。

２ちゃんねる専用ブラウザというのは非常に種類・派生が多いので、
それぞれのプログラムがどう動作しているのか全部把握できている人は居ないと思われます。
したがって「専ブラで罠を踏んでしまったかも＞＜」という質問に対しては、作者様本人か
同じバージョンを使っている相当詳しい人がいない限り明確な答えを出す事ができません。
一般的にアドバイスできるのは「IEコンポーネントを使用していないJaneDoe系を
使った方がいいかもしれない」という事だけです。
内部処理をIEエンジンに任せるタイプだとそれだけ危険度が増すかもしれないという訳です。
Doe系で使用者が多く2chの叩きに耐えて長年に渡って開発が続けられてきたものならば、
単純な罠に引っ掛かったりはしないと思いますけど、それでも現状では油断は禁物です。

ついでに使用者が多いと思われる「JaneDoe View」及び派生の「Jane Doe Style」を使って
偽装拡張子の簡単なテストをしてみました。（以下はあくまでこの２種の最新版のみの話です）
実験は書き込みウィンドのプレビュー上で行いましたが、スレ上でリンクされているアドレスと
恐らく同じ動作をするのではないかと思います。

Viewのビューアは画像ビューアと簡易ブラウザの二つの動作があります。
偽装画像拡張子のリンクをクリックすると
・まずjpg,gif等の画像としてデコードを試みる（内部デコーダもしくはSusieプラグインで）
・拡張子が違っていても画像としてデコードできればそれを表示する
・画像としてデコード出来なかった場合、htmlとして解釈できるか試みる
・htmlとして解釈できた場合、ビューアは簡易ブラウザとして動作する
・同時に上記の流れで得たデータをポップアップやインラインサムネイルとして表示する
という事のようです。
この簡易ブラウザというのは本文とリンク（フレームもリンク化されます）のみを解釈し、
スクリプト等は無視する物なので安全性は比較的高いと言ってもいいと思いますが、
（クドイようですが）油断は禁物です。
また、ビューアのキャッシュファイルには先頭に
x ContentType=xxxx/xxxxx
LastModified=日付時間
URL=http://ファイルのアドレス
といった情報が付くのでひとまず実行能力は無いと考えてよさそうです。

252 ：（○口○*）さん sage ： 2007/03/22(木) 18:44 ID:UgUCnXAc0

Ｊａｎｅ Ｄｏｅ Ｓｔｙｌｅのプロクシはビューワにも適用されてるからうちはＡｖａｓｔのウェブシールド通してるな。
どんだけ効果あるか知らんがないよりゃましかなーと。

253 ：（○口○*）さん sage ： 2007/03/22(木) 18:48 ID:56DGMDR70

技術的なことがさっぱりわかってない状態で書きますので、見当違いだったら流してください。
わたしのサイトに以下のような書き込みがありましたが、危険だったりするでしょうか？
わたしは踏んでおらず、文面からしてとくに歓迎すべき書き込みだとも思えなかったのですでに削除しました。

▼以下引用
RO情報
槍騎士/槍クルセ以外のRO情報をまとめて放り込む場所。
ROのプレイ日記、地図、プロモーション・ムービーの特集、二次創作小説など。
参照http:／／www■fcty-net■com

▲以上引用
書き込み者の IP ……って晒すと、問題なかった場合に失礼にあたるでしょうか？　不安なのでとりあえず伏せます。

yahoo で 「ro bbs」で検索して来られたようです。

254 ：（○口○*）さん sage ： 2007/03/22(木) 19:03 ID:UgUCnXAc0

>>253
exe開こうとしてるので高確率で垢ハック。

255 ：（○口○*）さん sage ： 2007/03/22(木) 19:05 ID:+5vHzN2t0

まぁ常識ある人はいきなりそういった書き込みをする事は無いね。
いきなり宣伝っぽく来たらまず危険と思って良いかと。

256 ：（○口○*）さん sage ： 2007/03/22(木) 19:16 ID:UgUCnXAc0

垢ハックスレ検索したら既出の垢ハックURL開こうとしてたんで黒だと思うよ。

257 ：253 sage ： 2007/03/22(木) 19:26 ID:56DGMDR70

なるほど……情報ありがとうございました。
これまでそのテの書き込みとか来たことがなかったのですが、今後は注意する必要がありそうですね。

258 ：（○口○*）さん sage ： 2007/03/22(木) 19:32 ID:UgUCnXAc0

掲示板運営してるならURLから自動的にリンク作成するような機能あれば省いといたほうがいい

259 ：（○口○*）さん sage ： 2007/03/22(木) 19:38 ID:pb1jUzT90

>>253
実際にアカウントハッキング目的の書き込みをしたわけだし
その書き込み者のIPは他の人も書き込み禁止対象などにするためにも
個人的には公にするべきだと思う。

260 ：（○口○*）さん sage ： 2007/03/22(木) 20:24 ID:uvIphr+00

> 「ro bbs」で検索
垢ハクアド貼る気満々ｗｗｗ

>>258
リネージュ資料室やまとめサイトにある危険サイトのアドレスを
NGワードに登録して書き込めないようにするのも忘れちゃだめだよな。

261 ：（○口○*）さん ： 2007/03/22(木) 22:51 ID:qbdsVc+b0

ＰＣのセキュリティについてはあまり詳しくなくはじめての書き込みなのですが、
デスクトップのＶＡＩＯでノートンアンチウイルス２００７を使用していてシステムの完全スキャンで

リスク　低レベル　Trackinq Cookieを検出しました。と出てきます。

Trackinq Cookieをクリックすると
リスクのプロパティのリスクの影響
リスク名　Tracking Cookie
リスクの種類　cookie
依存関係　既知の依存関係はありません
リスク全体の影響のパフォーマンスとプライバシーと削除とステルス
全部が低レベル

リスクのプロパテイのリスクの詳細
リスク名　Tracking Cookie
リスクの種類　Cookie
危険度　低レベル
依存関係　既知の依存関係はありません
コンピュータの活動を追跡して第三者に報告する可能性があるファイルです。
影響する領域　４個のcookieによる追跡
詳細
○○○は自分の名前です（伏字にしたほうがいいと思いまして
Cookie:○○○@statse.webtrendslive.com/5005-01-8-15-233860-97119
Cookie:○○○@statse.webtrendslive.com/5113288
Cookie:○○○@statse.webtrendslive.com/
こんな感じのものが出てきます。
いま結果画面のままになってます・・

デスクトップは修理に出したばかりで、出す直前にＯＳの再インストールをしてるのですが・・・
帰ってきてからもＲＯ専門になっていてたいしたサイトも見てないと思ってました・・
現状の環境はノートでサイト閲覧とＲＯ（最近はこっちでＲＯしてないです
ノートのほうは頻繁にウイルスチェックしてなにも出てません。
デスクトップでＲＯしてます。ノートとデスクトップは一つのルータで繋がってます。

入れてるソフトは修理に出す前にＤＬＬしたＦＦベンチとＲＯ
かえってきてからロジクールのＧ５マウスと付属ソフトをいれてます

正直、ウイルスソフトが反応したのははじめてで、どうしたものかと大変パニックになってます
こちらかＭＭＯＲＰＧのほうかと悩みましたが詳しくないのでこちらに書き込みました。
助言をお願いします；

262 ：（○口○*）さん ： 2007/03/22(木) 22:53 ID:ZVgeTe+80

>>261
そりゃあもう駄目だ
PC再フォーマットが必要ですあきらめましょうあきらめましょう('A`)

263 ：（○口○*）さん sage ： 2007/03/22(木) 22:58 ID:uvIphr+00

>>261
ttp://eazyfox.homelinux.org/Security/Beginner/beginner08.html

264 ：（○口○*）さん sage ： 2007/03/22(木) 23:00 ID:uBCC0np10

Tracking Cookie でぐぐれば分かるけど、RO的には無害。

ttp://www.netpub.tsuzuki.yokohama.jp/security/sec-0027.html
こんな風に危機感煽るような記事も有るけど、実際やってる事は大した事無い。
『あなたがどこのサイトを見たか』というのを追跡する為のCookieというだけの代物。

ttp://blog.lucanian.net/archives/50835714.html
とか
ttp://takagi-hiromitsu.jp/diary/20070114.html
とか見れば概要は分かると思います。

265 ：（○口○*）さん sage ： 2007/03/22(木) 23:02 ID:rst/TXj/0

>>262
答える答えないは個人の自由だが、ウソ教えるのはいかんな。

>>261
Cookieは、WEBサイトを見た時の情報を保持するためのもの。
一度ログインしたページを再度訪問してもログイン状態が維持されていたりするのはこれのおかげ。
悪用されるケースもあるにはあるが、とりあえず今問題になっている垢ハクに関連するウィルスの類
ではないので心配しなくて大丈夫。
気持ち悪ければ消しておけばいい。
ただ、今回のことでセキュリティ意識は高まったと思われるので、基礎程度でもいいからネット関連を
勉強しておくことをお勧めする。

266 ：（○口○*）さん sage ： 2007/03/22(木) 23:03 ID:+5vHzN2t0

このスレは重要な事やっているので頼むからネタは慎んでくれ。
警察沙汰にも発展するので冗談じゃすまない事が多い。

267 ：（○口○*）さん sage ： 2007/03/22(木) 23:03 ID:+5vHzN2t0

>>262
宛ね。

268 ：（○口○*）さん ： 2007/03/22(木) 23:03 ID:ZVgeTe+80

えらいね、みんな
あからさまなつりにも…ぼくにはできないよ

269 ：（○口○*）さん sage ： 2007/03/22(木) 23:05 ID:zt8w96qG0

>267の「宛ね」が「死ね」に見えてちょっとﾌｲﾀ

270 ：（○口○*）さん sage ： 2007/03/22(木) 23:06 ID:+5vHzN2t0

釣りでもこれを見て知らなかった人が知る事になるので構わないんよ。
とにかく危機意識もって貰えたり被害者が減ったり救われてくれれば。

271 ：（○口○*）さん sage ： 2007/03/22(木) 23:07 ID:uvIphr+00

リンク誘導だけの漏れが言うのもなんだけどさ
釣りであろうとなかろうと同じ疑問や悩みを持つ人間が他にいるかもしれないから
みんな真面目に答えてるんだと思うがね。

ネットつないでるならぐぐって調べるくらいはして欲しいものだけど。
自分で考えて調べないと身につかないし。

272 ：（○口○*）さん sage ： 2007/03/22(木) 23:07 ID:IftljDh10

>>269の書き込みを見るまで「死ね」だと思ってたw

273 ：261 ： 2007/03/22(木) 23:19 ID:qbdsVc+b0

いま２６３さんと２６４さんが提供してくれたページを
見てますが把握するのに少し時間がかかりそうです。

あとデスクトップのほうは、いま結果画面のままになってて
要確認の処理の欄に解決と無視すると除外とあるのですが
この場合、解決と除外でどちらがいいのでしょうか
初歩的な質問ですみません。。

274 ：（○口○*）さん sage ： 2007/03/22(木) 23:23 ID:uBCC0np10

解決で良いんじゃないかな(多分削除される)。除外は検出対象外になるんだと思う。
ノートン使いじゃないんで話半分で宜しく。

275 ：261 ： 2007/03/22(木) 23:51 ID:qbdsVc+b0

よく見ると上のヘルプに書かれてました。
単純な見落としで調べるのを忘れてました。
申し訳ないです。。
無視するが推奨項目になってましたが解決で処理しました。

276 ：（○口○*）さん sage ： 2007/03/23(金) 07:20 ID:qRritdxK0

ワンタイムパスワード導入してくれりゃかなり被害は減るんだろうけどなあ。
最近はケータイにパス表示されるのもあるみたいだけど、
どっちにしても、結構金かかるみたいね。
もっと安くならんかなあ。

277 ：（○口○*）さん sage ： 2007/03/23(金) 11:32 ID:SxfrTOYp0

今RO関係のWikiで脆弱性を抱えてる所ってどこがあるんだろうか？

自分が良く見る所だと、アコプリスレのテンプレWikiがそれに当たるが
今避難所作りに動いてるようだし。

他にも弱点抱えてる所ってある？

278 ：（○口○*）さん sage ： 2007/03/23(金) 12:39 ID:ztTsRDqB0

すまないが、Firefoxに関しての質問はどこにすればいいんだろうか？
2chとかで該当スレがあったら教えて欲しい。

279 ：（○口○*）さん sage ： 2007/03/23(金) 12:52 ID:HO/QFbb10

>>278
Google > 2ch.net Firefox

280 ：（○口○*）さん sage ： 2007/03/23(金) 12:54 ID:cmA1H42D0

今　オープンで　露店開いただけでアカハックにあうとか
そういう話してる人がいたんだけどそういうのって可能なのでしょうか？
特定の商人の名前挙げていってたけど…

281 ：（○口○*）さん sage ： 2007/03/23(金) 12:58 ID:QyAkj2QT0

ありえない

282 ：（○口○*）さん sage ： 2007/03/23(金) 13:02 ID:ztTsRDqB0

普段専ブラしか使わないから2ch検索使わなかったんでわからんかった。
ｔｈｘ

283 ：（○口○*）さん sage ： 2007/03/23(金) 13:04 ID:cmA1H42D0

やっぱり思い込みのガセですよね
その場の反応は「こわ〜い」で終わってたけど

284 ：（○口○*）さん sage ： 2007/03/23(金) 13:20 ID:6A3pcASg0

>>280
取り敢えず、そいつにこのスレ読ませろ。んな有り得ないガセ広げてんじゃねーって説教してやる。

285 ：（○口○*）さん sage ： 2007/03/23(金) 13:29 ID:ztTsRDqB0

とりあえず、Firefoxは敷居が恐ろしく高いのが分かった。
少なくとも自分が完全に使いこなしていないと、まず他人からの要求には
答えられないし、対応も厳しいような感じがした。

ということで、Firefox勉強勉強！！

286 ：（○口○*）さん sage ： 2007/03/23(金) 15:00 ID:SzU1wNlX0

>>277
チェックリストを用意すれば
スレ住人が判断してくれるんじゃないかな。

・外部リンク対策
・編集制限の有無
・アクティブユーザ（改竄を積極的に直すか、放置気味か）
・アクティブ管理者（完全放置か、なにかしら頑張っているか）

いまいちwiki対策はわからないけど、

・禁止文字列設定

とかもあるんか？

287 ：（○口○*）さん sage ： 2007/03/23(金) 15:10 ID:yZSv1Qh60

対策が着手されてるものを挙げるのは構わないと思うけど、
そうでないwikiの名前をオープンにするのはやっていいことなのか迷う。
注意喚起になるし、対策をするきっかけにもなる反面
業者に狙ってくれと言ってるようなものでもあり。

288 ：（○口○*）さん sage ： 2007/03/23(金) 15:15 ID:Fy7r0Qtj0

ROのWikiとはちょっとずれるかもしれないがRBOのWikiは大分ひどいことになってるっぽい。

289 ：（○口○*）さん sage ： 2007/03/23(金) 15:16 ID:Fy7r0Qtj0

>>287
すまん・・新着レス更新してなかった

290 ：（○口○*）さん sage ： 2007/03/23(金) 16:04 ID:HOdQv+Rh0

昔は撒かれたｱｲﾃﾑ拾ったらﾊｸられるとかいう噂もあったな

291 ：（○口○*）さん sage ： 2007/03/23(金) 16:04 ID:GUsWTFmF0

>>287
荒療治ではあるが、敢えて攻めさせてどこをどう対策したらいいのか
勉強してもらうって手もある

個人的には閲覧のみできるミラーを柱にして
編集可能な方は潜水して欲しいんだけどね

292 ：（○口○*）さん sage ： 2007/03/23(金) 16:57 ID:HUbmCahK0

こちらに誘導されたので報告いたします
　　
垢ハック被害報告

【　 　 　 気付いた日時　 　 　 　 　 】 (3月21日)
【不審なアドレスのクリックの有無　】 (モンク、ローグ、ソウルリンカーWiki又はRMC)
【他人にID/Passを教えた事の有無】 (No)
【他人が貴方のPCを使う可能性の有無】 (No)
【 　 　ツールの使用の有無　 　 　 】 (No)
【　 ネットカフェの利用の有無　 　　】 (Yes)
【　 　　 OS　 　 】 (WINDOWS　XP　home　SP2　WINDOWS　UPDATA最新)
【使用ブラウザ 】 (IE6)
【WindowsUpdateの有無】 (3月19日)
【　アンチウイルスソフト 】 (avest)
【その他のSecurty対策 】 (なし)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでTrojan-PSW.W32発見
【スレログやテンプレを読んだか】 (今から読みます)
【説明】
ログイン中に別の場所でのログインがされました。と表示されて
強制ログアウト。
その後パスワードを急いで変更しましたが７〜８分後にログイン出来たときには
裸で違うまMAPにいました。アイテムは全部根こそぎやられました。

メインキャラはキャラパスも変更されてる状態です。

293 ：（○口○*）さん sage ： 2007/03/23(金) 16:59 ID:SxfrTOYp0

>287
業者も大いに利用できる情報になってしまうってのは抜けてたわ……

でも垢ハクアドレスの公開(報告)と同様に、注意喚起する方が閲覧側にとって
メリットが大きいんじゃないだろうか。

>291
ミラー形式だと転記する管理人の負担が増大する気がする。

294 ：（○口○*）さん sage ： 2007/03/23(金) 17:16 ID:SxfrTOYp0

>292
南無……
キャラパス変えられたのは致命的だなぁ……

>その後パスワードを急いで変更しましたが
これはそのPCからROのPASSを変えたという事？
その場合は感染した状態でアトラクションセンターに入った事になるのでかなりヤバい。

例えば癌コインが残ってる状態だと癌クジやら購入させられるとか、金銭的な二次災害に
襲われるかも。

あと本スレ側も見たけど、ハクられた当日に感染したとは限らない。
それ以前含めて、不審なリンクをクリックした覚えはない？

何にせよ、癌の対応待ちだね……

295 ：（○口○*）さん sage ： 2007/03/23(金) 17:21 ID:HJ6jz6rE0

こんだけ被害が続出してるのに癌の反応はなにもないのか・・・・

296 ：（○口○*）さん sage ： 2007/03/23(金) 17:24 ID:6A3pcASg0

>>292
安全な環境で、改めてパスワードの変更を行なったほうがいい。

なぜなら、発見しただけで、除去していない環境でログインパスワードを変更した所で、それが読み取られていたら
変更の意味がないからだ。

証拠保全の為に、垢ハックウィルス発見のログは残しておいた方がいいかもしれない。
それと、最後に自分がアクセスした日時。その時のＩＰをきちんとメモしておくこと。
可能であれば、そのＩＰを管理会社に報告すれば、なおよし。

そのＩＰとは異なる箇所からの接続が確認された場合、垢ハックと認定されるからだ。

カスペルスキーやNOD32の試用版を入手して垢ハックウィルスを除去すること。
除去のログも証拠としてのこしておくこと。

クリーンな環境からログインパスワードを変更した後で、垢ハック除去済みの環境からログインし
メインキャラ以外のキャラパスもわかる範囲で変えておくこと。
この際の接続したＰＣのＩＰ（ルーター経由の場合はルーターのＷＡＮ側ＩＰ）と接続時間、行なった作業も
正確に管理会社に報告すること。念のために、カプラから遠い場所に移動してログアウトとかやっても
いいかもしれない。/whereコマンドを使用して、ログアウトの座標もメモして報告しておけばグッド。

297 ：（○口○*）さん sage ： 2007/03/23(金) 17:28 ID:mieETrZO0

>>280
>>281>>284も言っているけどあり得ない。
その阿呆は十中八九「垢ハク露店」を「開くと垢ハクされる露店」と勘違いしてる。
実際には「垢ハクで得たアイテムを売っている露店」だ。

過去にも何度か同じ質問がきているが
垢ハク対策関連のスレやサイトを読めばそんな結論にはどうやっても至れないよな。
デマを流してる奴の頭の中を見てみたい。

298 ：（○口○*）さん sage ： 2007/03/23(金) 17:31 ID:2SaCelSz0

あり得なくは無いだろ・・・常識的に考えて。

299 ：（○口○*）さん sage ： 2007/03/23(金) 17:33 ID:6A3pcASg0

>>298
ここは真面目なスレなので、ネタは控えてくれ。あと、垢ハック踏んだ被害者の相談優先で。

300 ：（○口○*）さん sage ： 2007/03/23(金) 17:36 ID:T3/QVZGd0

IE系ブラウザと非IE系ブラウザの違いは何ですか？
IE系ブラウザだとIE使っていなくても同じことなんでしょうか？

301 ：（○口○*）さん sage ： 2007/03/23(金) 17:43 ID:BNDrJHSF0

本スレはどこに向かおうとしてるのだろう・・・。
ROの具体的なアカウントハック事例とその対応策なんかは本スレのほうが
合ってると思うんだけどね。
本スレに書くと自治厨の癇に障って、大事な情報が埋もれてしまうからこっちで
愚痴っちゃう＞＜

302 ：（○口○*）さん sage ： 2007/03/23(金) 17:46 ID:qoqfHmjf0

>>301

本スレ：もぬすごい勢いで誰かが質問に答えるスレ
こっち：雑談込みで答えるスレ

こんな感じだと思ってる
緊急に具体的な対策を聞きたい時はあっちのが優秀だと思われ

303 ：（○口○*）さん sage ： 2007/03/23(金) 17:59 ID:ajT2QQhR0

>>302
向こうの流れを見ると、自治厨は垢ハクURLを書き並べるスレにしたいような希ガス
垢ハクURLに関する雑談はスルーでその他の垢ハクレスには間髪置かず誘導とは
恐れ入った

俺は意味を履き違えているやっかいな自治厨がいるスレだと思ってる
緊急に具体的な対策を聞きたい時も今はこっちのほうが優秀だと思われ

304 ：（○口○*）さん sage ： 2007/03/23(金) 18:13 ID:ViObDcSZ0

垢ハック踏んでから中華がハックするまでの期間ってどれくらいなんだろうね
ふと気になった

305 ：（○口○*）さん sage ： 2007/03/23(金) 18:16 ID:pHKbrtXJ0

自治厨と切り捨てて論議をすっ飛ばすのもどうかと思うが、現状は
スレを分けた意味が全く無い状況だと思う。確かに分割する基準策定が
困難な上に論議が十分になされて無いきらいは有るのだが。

雑談/ネタ/煽りお断りのルールを明確化する事でスレの統合を
図ってしまった方が早い気がする。なんだかんだで需要は有ると思うので
こっちの雑談スレは残っていても良いとは思うけど。

306 ：（○口○*）さん sage ： 2007/03/23(金) 18:19 ID:QPReyMVC0

【韓国　中国】PeerGuardian 13【YBBを弾こう】
http://tmp6.2ch.net/test/read.cgi/download/1171294407/
漏れはこれ使って中華と韓国はじいているよ

307 ：（○口○*）さん sage ： 2007/03/23(金) 18:21 ID:OKOqaLw40

缶詰あるからここも一応ログ残るけど不安要素が大きい

垢ハックアドレスとか後世に残したい重要なものは本スレに書いて
その他はこっちでいいんじゃね？

308 ：（○口○*）さん sage ： 2007/03/23(金) 18:24 ID:P9g3d0GQ0

カスペルスキーでウィルススキャンしたらTrojan-Downloaderってのが見つかったんですけど（htmファイル）、
これはその名前のとおりにトロイを勝手にDLする為のファイルって事だよね？
トロイには感染してなさそうなんですが、これは開かなければDLされないんでしょうか？

それと気になったのが、このファイルがごみ箱にあったって事なんです。
ごみ箱の中身を削除してもう一度スキャンしたら出て来なくなりました。
ごみ箱で活動するウィルスなんてあるんでしょうか？それとも何かに混ざってるのを知らずに自分で放り込んだのかな？

309 ：（○口○*）さん sage ： 2007/03/23(金) 18:29 ID:SxfrTOYp0

>300
>IE系ブラウザと非IE系ブラウザの違いは何ですか？

IEのコアエンジン(Tridentエンジン)を使ってるかどうか。
IE系はIEコンポーネントブラウザという表現をしている。
非IE系はOperaのような独自エンジンやFireFox・Netscapeが使うGeckoエンジンがある。
スレイプニルはTridentエンジンとGeckoエンジンを切り替えて使う事が出来る変り種。

>IE系ブラウザだとIE使っていなくても同じことなんでしょうか？
同じ事。

>305
露骨な雑談が続くようなら誘導は必要だが、今日のような感じだとあちらで展開しても
問題ないと思うけどね……
自治厨が何か張り切ってるのもあるし、いっそのこと割り切ってしまって本スレは
報告スレにしてしまうってのも手かも。

310 ：（○口○*）さん sage ： 2007/03/23(金) 18:29 ID:GUsWTFmF0

>>308
インターネット一時ファイルを掃除した時に
ゴミ箱に入れてくれたんじゃね？

311 ：（○口○*）さん sage ： 2007/03/23(金) 18:32 ID:WcJLJYoq0

まず自治厨って言う言葉が荒れる原因になりがちなのでちょいと控えてくれると助かる。

312 ：（○口○*）さん sage ： 2007/03/23(金) 18:35 ID:6A3pcASg0

>>308
そんな時には、ウィルス名でぐぐれ。対処法のページあったので置いとく。これ読んで対処してくれ。
http://www.higaitaisaku.com/removedownloader.html

>スレ分離の件
踏んじゃった人の相談、対処法なんかは基本的にこっちに誘導して、こっちで説明するってことになってたろうが。
こっちで重要な情報が出たら、フィードバックをまとめとして本スレに転記するだけ。

上にも書いたが、クリーンな環境でパスワード変更が最優先。
それと、今回確実に垢ハックとログイン時間が被ったのだから、ログを追うのに必要な情報を管理会社に。
生存垢の保全をした後は、管理会社の対応待ちしかない。

踏んだ人がんばれよー

313 ：（○口○*）さん sage ： 2007/03/23(金) 18:39 ID:b132q7xS0

>>300
何にも設定しなければIEとIE系ブラウザはまったく同じだが
IE系はスクリプトの切り替えなどセキュリティに繋がる設定が容易にできるものが結構あるので
ベタでIEを使うよりかなりマシ。

314 ：（○口○*）さん sage ： 2007/03/23(金) 18:40 ID:UJ+fNEk60

> 緊急に具体的な対策を聞きたい時も今はこっちのほうが優秀だと思われ
こっちにつくった目的の一つは事後対策について話すことそのものだが?
なのにおまいは何を言ってるんだ

315 ：（○口○*）さん sage ： 2007/03/23(金) 18:41 ID:2erDVyK10

携帯からの認証で癌IDやPASSを変えられる様になったら少しはマシになるんだろうか
そうすれば踏んでしまってそのPCからROに繋げられない状況になっても
こっちの携帯で遠隔操作でPASS変えることができるのにな

316 ：（○口○*）さん sage ： 2007/03/23(金) 18:46 ID:SzU1wNlX0

ところで、是非スレの状況はあんな感じなんだが、
あそこは誰かが解を出してくれるところじゃないよな？

１．もうしばらく様子見
２．そろそろスレ依頼実施
３．このスレが埋まるまで待って、スレ依頼実施
４．LiveROのまま

どうすればいいんだろう？

個人的には２番で両立させ、このスレ(LiveRO)は落ちるまで放置が
現状として適切っぽいと考えているんだけども。

317 ：（○口○*）さん sage ： 2007/03/23(金) 18:52 ID:lZKA28ai0

さっさとこっち埋めて、向こうで統一スレ建て依頼しちまった方が良いんじゃね？
変なのがやけに張り切ってるし

318 ：（○口○*）さん sage ： 2007/03/23(金) 18:53 ID:6A3pcASg0

>>316
TOPの誘導の文章を推敲して管理側に提案が妥当な所と思われる。多分、現状でスレ立て依頼しても却下食らう。

319 ：（○口○*）さん sage ： 2007/03/23(金) 18:53 ID:AYmlENd90

とりあえず、スレッドの使い分けについて当初どうしようとしていたかとは別に、
実際に分けてみたところ、

・使い分けの明確な周知がされていない
・本スレでしていてかまわないような内容がこのスレッドで話されていると感じている人が多く存在する

こういうことが起きているように見える。

個人的には、総合対策スレをひとつと、危険URL収集スレッドって分け方はどうかな〜と…
余計に混乱させてしまうかな。（両方とも向こうで）
雑談が酷くなった時だけ、こちらにセキュリティ雑談スレを随時立てる感じで対処できないかな。

320 ：308 sage ： 2007/03/23(金) 19:04 ID:P9g3d0GQ0

>>310
>>312
ウェブサイトに仕込まれてるファイルということですね。
調べてみたらスクリプトで読み込まれるようにしてあるとありました。（ごみ箱にあったのはキャッシュ消したから？）
ぐぐってみましたが何がDLされるのかはよく分かりませんでしたorz　（正式名？は「Trojan-Downloader.JS.Psyme.ec」）
ノートンとカスペでフルスキャンしてみましたが、ウィルス本体と思われる物は見つからなかったので、とりあえず安心しておきます･･･。

ふと思ったんですが、勝手にDLされた物が無害なファイルだった場合は検出されないんでしょうか？

321 ：（○口○*）さん sage ： 2007/03/23(金) 19:07 ID:6A3pcASg0

>>292
モンク、ローグ、リンカーWIki見てきましたが、TOPページを見る限りでは、垢ハックは現時点でなくて
修正報告も出てないようですね。RMCのどこかなのか、それとももっと前に踏んだのが発動しただけかは不明。

対処終わったら、スパイウェア関係も対策ソフト入れといた方がいいですよ。ＦＷとか。
ちょっとＰＣ遅くなっても、情報盗まれるよりまし。

322 ：（○口○*）さん sage ： 2007/03/23(金) 19:10 ID:6A3pcASg0

>>320
>ふと思ったんですが、勝手にDLされた物が無害なファイルだった場合は検出されないんでしょうか？

無害、もしくは、新種でパターン未対応もしくはヒューリスティックスキャンをすりぬけたものは検出されませんね。
勝手にダウンロードする部分を検知するのが、ウィルス対策ソフトか、スパイウェア対策ソフトかはわかりませんが
片方だけで検出されるとは思わない方がいいです。複数でチェックする体制を推奨します。

323 ：（○口○*）さん sage ： 2007/03/23(金) 19:21 ID:dPJsIcSt0

http://gemma.mmobbs.com/test/read.cgi/ragnarok/1170419695/934-936

という話で進んでたのに、何故かテンプレ案で相談も雑談スレへという形になってて、結局それでスレ立ってるんだよね。
総合スレ5の1には関連する相談を受け入れるとあるのに、途中でそういう趣旨のスレじゃないという主張も出てきてたし。
正直分けわからん┐（;´〜｀）┌

324 ：（○口○*）さん sage ： 2007/03/23(金) 19:34 ID:AybMt+xw0

>>304
本気で調べるとしたら、

１．ガンＩＤとアトラクションＩＤを新規取得
２．セキュリティホールの多い使い捨て環境を作成し、わざと罠サイトを踏む
３．確かに感染したことを確認する（カスペなどでチェック）
４．１のアトラクションでＲＯにログインする。（キャラ選択画面などではなく、ゲーム内に入っておくこと）

あとは「同じアトラクションＩＤで他の使用者がログインしました。」のダイアログが出るまで
ひたすらモニターを監視かねえ。中華の頭が多少良くて、ログイン合戦を避けるために、
わざと別のワールドグループでログインして、正規ユーザーのログインの有無を調べて、
ログインしてなかったら、ログインするという手を取ってくる可能性も考えられるけど。
いや、それ以前に感染してるＰＣなら、今ログインしてるかどうかぐらい分かるか。
そして資産持ってないこともバレてログインすらして来ないかも・・・

325 ：（○口○*）さん sage ： 2007/03/23(金) 19:37 ID:6A3pcASg0

本スレに誤爆したけど気を取り直して書込み。

>>323
相談は、どの相談者に対しても、取るべき手段は殆ど同一であることから、何度も繰り返されることになる。

故に、「対策・相談・雑談は>>2に有る雑談スレを利用して下さい。 」というのが本スレのテンプレに入っている。
そうしないと必要な情報が埋まるから。

だけど、よく読むと、「垢ハック」の相談は本スレでも可。一般的なものになったらLiveROということなんだな。
自分の認識が間違ってたみたいなので、修正しとく。

だけど、駆け込み寺扱いはこっちの方がよくて、必要な情報が固まったらまとめとして本スレに転記という形で
収まったと思っていたんだけど、その辺は意識の差があるね。どっちのが利用者の役に立つんだろう。
MMOBBS/Ragnarok板の方ではTOPの誘導をこっちにという話もあるし、その決定次第で棲み分けが決まるかもな。

326 ：（○口○*）さん sage ： 2007/03/23(金) 19:42 ID:NW2eNTSA0

クレジットカード落としたら電話すりゃ止めてくれたんじゃないかな。
同様に電話したらアカウント停止ってやってくれんかね。
別に不正者しか停止しちゃいかんてこともないだろう。
つっても、癌があてにならんのかorz

327 ：261 ： 2007/03/23(金) 19:59 ID:H7VGeGBH0

昨日書き込みさせてもらった者です。
レスをしてくださった皆様、有難うございます。

トラッキングクッキーというものは、奥が深い問題のようで
すべてを理解できませんでしたが
現時点では垢ハックの危険性の低いものというのは理解できました。
サイトに普通に貼られてる広告からそういうクッキーが送られてくるのははじめて知りました。

正直、クッキーというのは閲覧したサイトのセーブデータ的なものとしか捉えてなくて
Tracking Cookie?なんだそれ？？第三者に報告？？？
もしかして自分の知らない悪質なものなのかと焦ってしまったしだいです。
自分の見識が甘く無知を実感しました・・・

>ただ、今回のことでセキュリティ意識は高まったと思われるので、基礎程度でもいいからネット関連を
>勉強しておくことをお勧めする。
最近の垢ハックの被害を聞くと、最低限の知識のなさに危険を覚えます。
少しずつではありますが、勉強していきたいと思います。

328 ：（○口○*）さん sage ： 2007/03/23(金) 20:02 ID:dPJsIcSt0

>>325
レスありがとう。やっぱり意識の違いはあるんだね。
というか俺も本スレの1を読み違えてたよ。
こっちのスレで、その辺りも詰められたらいいね。

329 ：（○口○*）さん sage ： 2007/03/23(金) 20:04 ID:SGQLgUkX0

垢ハックをくらい、装備アイテムをもってかれた人に質問します。
アイテムや装備って見境なく全部とられますか？

正直レアな装備なんか、とられても、またガンバルと思えるけど
他人からもらえた思い出のアイテムや装備も価値の有り無し見境無くとられる感じですかね？

バレンタインのチョコなんて中華に取られたりしちゃう？

330 ：（○口○*）さん sage ： 2007/03/23(金) 20:06 ID:fqMpTNWK0

>>326
クレジットカードだと、盗難窓口は２４時間年中無休でやってるね。
住所や生年月日を訊かれ、正しく答えられたら止めてくれる、はず。
２４時間対応だとコストもかさむし、同じことを多分したくないんだろうなあ。

代替案として、アカウントロック用のパスをあらかじめ設定しておいて、
ロック用パスでログインした場合はアカウント一時ロック。
その際（１０分間、１時間、１日、解除するまで）など選べるとありがたい。
もちろん解除はアトラクションセンターのみで可。
緊急時に重宝しそうだ。万一パスが漏れても致命的じゃないし。

331 ：300 sage ： 2007/03/23(金) 20:41 ID:T3/QVZGd0

お答え、ありがとうございます。

332 ：（○口○*）さん sage ： 2007/03/23(金) 21:26 ID:NauvS0uj0

>>321
そういや本スレかどっかでRMCトップ開いたらカスペ反応したって報告あったな
RMC関連調べてみるのがいいかも

333 ：（○口○*）さん sage ： 2007/03/23(金) 21:35 ID:RGu7GGWc0

>>293
一理あるけど、それは管理者に注意喚起して、ある程度対策とってからのほうがいい。
だって垢ハック業者も多分ここ観てるんだもん。

>>300
IE系は白血球のない身体みたいなもん。
よーするにウィルスが入り込んでも無抵抗に感染する。
もちろん、知識を持って対処すればIE系だろうとある程度の強度は保てるけど
デフォルトブラウザだからってIEやOUTLOOKをそのまま使ってる人のPCは無抵抗といっていい。
非IE系も安心してはいけないけど、特に何の設定しなくてもある程度の強固さはもってる。

334 ：（○口○*）さん ： 2007/03/23(金) 21:58 ID:5j9uvarb0

>>333
IE系がやばいのは「ユーザーが多いので攻撃対象に選ばれやすい」事が一番の理由。
非IE系が推奨されるのは「ユーザーが少ないので狙う奴も少ない」事が理由。
要するに狙われているか狙われていないか、只それだけ。Macにウイルス少ない
から優れている、とかいう発言にも共通する誤謬。

勿論IE系の妙な仕様(偽装拡張子の件とか)が悪い方向に作用しているのは
事実だし、穴が生じないように設計するのは基本的な事。

たとえ話に突っ込むのは無粋だけど、気になったのでレス。

たとえ話って難しいよねぇ・・・・。きちんと理解して考えないと、誤解をもたらすだけになるから。

335 ：（○口○*）さん sage ： 2007/03/23(金) 22:03 ID:RGu7GGWc0

WINとMacの話しみたいなもんだね。
でもデフォのIEはインターフェースまわりがうんこなのと、初期設定のセキュリティレベルが低すぎるってのはあるよね。
だから知識持って対処すればIEだってそこそこのもん。でも初心者はしない。

336 ：（○口○*）さん sage ： 2007/03/23(金) 23:37 ID:3THkqXPR0

質問です。さきほどkoreスレを見ていて

＞垢ハックウイルス(トロジャン)の主な動作
＞�@メールの添付ファイル、動画ファイル、圧縮ファイル、画像、
＞　ホームページ上からPCのメモリに自分の複製を生成

こういう書き込みを見たのですが画像そのものにトロイを仕込む事は可能ですか？
そのﾁｮｯﾄ前にCHAOS-BOT情報局のURLが張られていて
「そこの画像にアカハックがついてる」とレスが付いていたので
画像に仕込まれることがあった場合どのようにしたら見分けられるのでしょうか？
読み込んだ時点でアウトですか？

337 ：（○口○*）さん sage ： 2007/03/23(金) 23:58 ID:ezz5NfAt0

>336
可能。
でもその穴はWindowsUpdateを当ててたら塞がれてる。

古い記事だが、こういうやつね。
ttp://japan.cnet.com/news/sec/story/0,2000056024,20074837,00.htm

338 ：（○口○*）さん sage ： 2007/03/24(土) 00:02 ID:AN4ETYYy0

ありがとうございます＞337
自分のアップデートはしっかりやっているのですが
例えばそういう画像がブログなどにUPされてしまっていた場合
アップデートが不完全な場合は引っかかってしまう…と言う認識でOKですか？
あ、でも2年前の記事だからそれからアップデートしてないってことは
どうしようもないってことですね

339 ：（○口○*）さん sage ： 2007/03/24(土) 00:04 ID:Re6gnAa10

>>336
最近mmobbsのあぷろだにjpg偽装された各種スクリプト詰め合わせセットがうｐされてたが
あれは踏んだ時点でアウトじゃなかったかな
詳しくは落としてないのでわからんが

340 ：（○口○*）さん sage ： 2007/03/24(土) 00:35 ID:LwVAQ5wj0

>>338
画像そのものに仕込める穴は>>337の通り塞がれているが、画像に偽装したファイルの場合は
IEをデフォルトの設定のままだと>>338のように現在でも引っ掛かる。

向こうのスレからの引用
＞　・偽装jpg対策 (IE6sp2 と IE7限定。IE6sp1以前では出来ない)
＞　　：インターネットオプション→セキュリティ→レベルのカスタマイズ
＞　　　→「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする

IE6sp2が使えないWIN2000とかの場合はおとなしく非IEブラウザに乗り換えるしかない。

341 ：（○口○*）さん sage ： 2007/03/24(土) 00:36 ID:LwVAQ5wj0

ぐあ、２行目は>>338じゃなくて>>339ね。

342 ：（○口○*）さん sage ： 2007/03/24(土) 00:42 ID:253lVs/a0

各ブラウザのマーケットシェア
ttp://marketshare.hitslink.com/report.aspx?qprid=3

１位：Internet Explorer(79.09%)
２位：Firefox(14.18%)
３位：Safari(4.85%) ※Mac用のブラウザ
４位：Opera(0.79%)
５位：Netscape(0.74%)
（２００７年２月現在）

IEがすごい勢いでシェアを減らしつつも、まだまだダントツ。
逆にFirefoxの伸びがすごい。今後は狙われる対象になっていくかも。
それ以外のブラウザはシェア的にはゴミなので、わざわざ狙うアタッカーは少ないか。

シェアが少ない＝狙われにくい、というだけでセキュリティホールが少ないとか
そういうわけではないので、マイナー種を使ってる人も油断は禁物。

343 ：（○口○*）さん sage ： 2007/03/24(土) 01:10 ID:GR3Clnk90

是非スレで意見出した者ですがはりきってるっていわれてしまった。まあそれはそうかもしれん。
でもRagnarok板トップの告知は早急に変更すべきと思ったし真面目に書いたんだけど･･･

意識の差がある、って感じるならその差を是非スレに書いたほうが相談もしやすいんじゃないかなー。
ここでやったほうがいいのだろうけど相談主のログで流れたりもするし難しいっすね。

***

何で余計に混乱が起こってるってスレッドのタイトルかなと思う今日この頃。本スレとかもいわないほうがいいようなー
用途で考えればこのスレのほうが本スレっぽいし。
とりあえず今の両スレが埋まるまでタイトルやテンプレはどうにもならないけど
スレ分割を考えたとき
Ａ）アカハックＵＲＬ・アカハック手口の収集・分析、各手口に対してとれる事前対策の考案・まとめ
Ｂ）各種セキュリティ関係のお気軽な質問・相談・雑談、踏んで慌ててる人の駆け込み寺
という分け方って何かまずいところあるかな。


●http://gemma.mmobbs.com/test/read.cgi/ragnarok/1170419695/935
これみたいに
>・踏んでしまった＆踏んだかもしれない人に対して事後のアドバイス。
はできるアドバイスがどうしても同じになるのでＢに入れたいところ。

●ＢにＡではまだ収集されてないＵＲＬ・手口が来た場合はＡに転載

344 ：（○口○*）さん sage ： 2007/03/24(土) 01:26 ID:uHfgYJda0

IEのもう一つの問題として、OSに非常に近い点も挙げられる。
一時期はOSの一部、今でもモジュールが根幹に近い部分に存在するので、結果としてIEの脆弱性≒Windowsの
脆弱性となり易い点。
このあたりの解決は、VistaでIEの権限昇格手法が変更されて、ようやく落ち着きそうだが。

それと、プロプライエタリ、つまりソースコード非公開のIEに対し、オープンソース、つまり公開されているFirefoxと
言う違いもある。
問題点をユーザーレベルでも可視的に検証でき、ベンダー以外でも修正方法について提言できるのは、メリットと
言えなくもない。
Windows/IE関連の場合、緊急性を要する場合を除けば、月例アップデートまで待つ必要があるし。

345 ：（○口○*）さん sage ： 2007/03/24(土) 02:15 ID:mOUnVk5F0

○Firefox感想
IEの問題点を挙げたらきりが無いのは皆分かっているところだと思うが…
ところで食わず嫌いはイカンと思ってFirefoxを使ってみることにしたんだが、
Firefoxの敵はIEではなく、IEコンポーネントの拡張ブラウザなのだな、と改めて思ったよ。
１日中触ってみたが、これが中々上手くいかない。

ある意味当たり前なのかもしれないが、今までと同じような使い方をしようと思って設定を
いじったりプラグイン？を入れてみたりしたが、なかなか上手くいかない。
例えばFirefoxのコンポーネントを使った拡張？ブラウザの出現を待つしかないのかな、と
思ってしまったりして、割とさじを投げたくなった。
と、俺が思うくらいだから、普通の人にはまずFirefoxは使えないだろうなぁと思った。
サポートページにしても「日本語でおｋ」と言いたくなる文調で、正直ワケがわからん。
まぁ、言いすぎだが、それにしても思った以上に敷居が高いなと言う感想。

長文で失礼した。
手前のスキルが無いんだろ？ｐｇｒだったら、それはそれでいいんだが、しかし…
この敷居の高さだと爆発的な普及は厳しそうだなぁと感じた。

追記、無論継続してモノにしてみせるつもり。

346 ：（○口○*）さん sage ： 2007/03/24(土) 02:19 ID:aKHexslI0

IEはせめてデフォルトのセキュリティレベルが高ければそこまで問題じゃないんだけど低いんだよな、すごく。
検閲もなくなんでも通過させてしまう。

347 ：（○口○*）さん sage ： 2007/03/24(土) 03:24 ID:Eb2iaD/q0

>>345
自分もSleipnirから移行したクチで、慣れるまでに月単位で時間かかった。
デフォルト設定からかなりいじらないと馴染んでくれないから難しいけど
でもそれは他のタブブラウザも同じだし、いじる分だけ慣れた時に手には馴染むと思う。
いっぺんに全部移行しないといけないってわけでもなくて、
RO関連だけFirefoxでっていうのでも最初は構わないと思う。
ゆっくりでいいんじゃないかな。

＞Firefoxのコンポーネントを使った拡張？ブラウザの出現を待つ
＞「日本語でおｋ」と言いたくなる文調
オープンソース界隈は基本的には自分のためにやった行為のお裾分けだから
そういう部分を丁寧にやるのは動機に乏しくて難しいかもしれない。

で、この手の話題はやりはじめるとキリがなさそうだけど…。
これは最低限必要だろっていうアドオン。
All-in-One Gestures Extension（マウスジェスチャ。要カスタマイズ。デフォルトは妙な機能を誤爆する）
All-in-One Sidebar（サイドバー拡張。これがないとサイドバー切り替えがめんどくさい）
Tab Mix Plus（タブ拡張。タブ設定のかゆいところに手が届く）
Popup ALT Attributes（<img>のalt属性ポップアップ対応。IE前提なサイトはこれに依存しているのが多い）
XHTML Ruby Support（<ruby>タグ対応。これも地味に使われる。でもなくてもいい）
IE Tab（IEコンポーネントタブ。IE依存全開のサイトを見るための最終手段）

web開発してる人ならFirebugが超オススメ。
これ使えないIEなんて対応したくないと思ってしまうぐらい便利。

でも拡張機能の入れすぎは動作速度に関わるぞ。
種類あるから目移りするけど、ページ表示が遅くなったり相性問題に悩むこともたまにあるから
出来る限り絞った方がいい。

あとRoboFormはアンインストール推奨。常駐してるだけでFirefoxが動作不良になった…。

348 ：（○口○*）さん sage ： 2007/03/24(土) 03:28 ID:Eb2iaD/q0

＞XHTML Ruby Support, IE Tab
しまった、最低限ならこの二つはいらない。
でも乗り換え組は入れておいた方がいいとは思う。

349 ：（○口○*）さん sage ： 2007/03/24(土) 04:53 ID:xYtzxCYn0

Tab Mix Plus便利だけど重いんだよなぁ。
かといって他のTab拡張はしっくりこない・・

350 ：（○口○*）さん sage ： 2007/03/24(土) 09:09 ID:uOt/hn6L0

>>343
そういう繰り返される質問と答えって、普通テンプレにＦＡＱ用意しておいて
「>>○○を見てください」ってレスを付けるだけじゃない？
職スレにしろ、他の質問すれにしろ、ＦＡＱ用にスレを分けるなんて
ことはしてないと思う。

アカハックされてしまった人がテンプレ読まずに書き込むことを
完全に阻止するのは難しいから、
むしろまとめサイトさんに残してほしい情報を書き込むときに
使うテンプレなり、キーワードなりを決めておいて
その言葉を検索するようにした方がいいんじゃないだろうか。

わかってない人にレスの書き方を統一させるのはむずかしいけど、
わかっている人にレスの書き方を統一してもらうのは簡単だと思うんだけどいかが。

351 ：（○口○*）さん sage ： 2007/03/24(土) 09:43 ID:e1HKzavA0

>>350
基本的な対処方法は既に本スレのテンプレに載ってたり。

それを読んでもわからないとか、もうちょっと説明をって人の場合は、同じことの説明でも
相手によって変化させないといけないと思うんだ。それを含めて上手くまとめられるならよろしく。

352 ：（○口○*）さん sage ： 2007/03/24(土) 10:15 ID:hozDxLrO0

>>351
自分は神じゃないから、そんな完璧ＦＡＱは作れないよ。
>>351氏も作れないと思ってるから「まとめられるならよろしく」
って言ってるんだろうけれども。

そういうフォローさえも事前対策スレではしなくないってことなの？
事前対策スレで書いていいことって何なのかわからなくなってきた。
未出のアカハックurlと手口だけ？

353 ：（○口○*）さん sage ： 2007/03/24(土) 10:17 ID:hozDxLrO0

ＩＤ変わってるけど>>352=350です。

354 ：（○口○*）さん sage ： 2007/03/24(土) 10:33 ID:Cb80JQUw0

踏んじゃった人は大体パニックに陥って一秒でも早く対処法知りたいだろうから、
そういう時はテンプレとか落ち着いて読んでられないだろうしね。
あらかじめスレ読んでもらって知っておいて貰えるのが一番いいんだけども･･･

355 ：（○口○*）さん sage ： 2007/03/24(土) 11:03 ID:e1HKzavA0

スレの用途は幾つかあると思うんだ。まとめ切れてないけど、思い付いたところを書いてみる。

・予防方法のまとめ（まとめサイト見れ＆既にテンプレ入り）
・予防の為の垢ハックアドレス収集、まとめ（報告はスレ＋まとめはまとめサイト）
　これはまとめてくれる人の為、検索性を高めないといけないので、雑談と分離すべき。（現在本スレで扱ってる）
・特定のセキュリティソフトでのすり抜け報告（警告？）…これもスレだな。更新されるまでの短期警告だし。
　挙動の報告も含まれるかも
・踏んでしまった人の事後対応
　基本はまとめサイト見れ
　応用や個別要素については個別にスレで（これがどっちなのか意識の差）
　（内訳）
　警察への届け出関連
　　・どの窓口？　届け出に必要なものはなに？　対応の流れってどんなもん？
　　　（この辺はどっちのスレでも体験者からの報告がないので、かなり欲しい情報かも。まとめサイトにも当然ない）
　管理会社への届け出関連
　　・どのフォーム？（見ればわかるだろ）　どんなことを書込めばいいの？　返答ってどの位で来るの？
　　　（この辺も、一般的助言はできるが、体験者の報告が欲しいかも。まとまったらまとめサイト行き）
　当事者の取るべき対応（主にテンプレ入りしてる）
　　・除去方法（まとめサイト見れ）
　　・クリーンな環境の作り方（まとめサイト見れ）
　　・どんなタイミングで、どこからパスワード変更かける？
　　・再発しないための予防（まとめサイトとかテンプレ入りしてる）
　　・今後踏まない為の心得（まとめサイトとかテンプレ入りしてる）
・派生した話題
　一般的なセキュリティ対策だの、アドウェア等の話題（こっちの雑談スレ相当）
　垢ハックの手法など（雑談スレで話してまとめを本スレ入り…と、本スレでいいの意識格差あり）

356 ：（○口○*）さん sage ： 2007/03/24(土) 11:11 ID:K80jOnM60

とりあえず、適当にｇｄｇｄしながらこのスレを埋めて、
新スレ立てる際に依頼してみるのがいいと思った。
是非スレに★持ちの人の負荷とかいろいろ書いてあったけど、
気にしすぎな気がするんだな。

>>343
相談スレをもっと全般扱いにして
収集スレは事前事後にこだわらない、情報収集特化でいいと思う。
下手に事前対策にこだわると>>352みたいな迷う人がでてくるので、
迷うくらいなら全般スレ、なんでもかんでも全般スレ、
未出のアカハックurlと手口だけを収集スレでいいんじゃない？

アコプリスレに殴りプリは書き込めるけど、
殴りプリスレは別に用意されている、くらいの位置づけで。

>>350
キーワードのつけ忘れを考慮すると、まとめの人に負荷がかかる。
新しく作るならまだしも、それがうまく動いているのだし
まとめるべき情報用の情報収集スレが別にあったほうがいい。



あと、本スレで議論するくらいなら、こっちでやろう。
なにもあちらにノイズを入れる必要もないでしょう。

357 ：（○口○*）さん sage ： 2007/03/24(土) 11:21 ID:6ABEyjQx0

Trojan.Java.ClassLoaderってのがカスペ走らせたら見つかったけど全然関係ないよね？

358 ：（○口○*）さん sage ： 2007/03/24(土) 11:38 ID:Eb2iaD/q0

チラシの裏的で失礼。

アカハックって「スピア型」のまさにそれなんだね。
不本意ながら時代の先端にいるという感じ。
ttp://itpro.nikkeibp.co.jp/article/COLUMN/20070322/266020/
＞取引先や同僚を装って限られたユーザーをピンポイントに狙い，ウイルス・メールを
＞送り付ける攻撃が国内で顕在化してきた。
＞決定的な対策はない。セキュリティ・ベンダーもお手上げな状態だ。

Firefox、敷居が低くなったんだか高くなったんだかわからんな…。
ttp://www.forest.impress.co.jp/article/2007/03/23/firefox_addons_renew.html
＞新サイトでは十分に審査された拡張機能のみが、一般公開される仕組みとなったため。
＞2,000本を越す拡張機能のうち、審査を経て一般公開されている約150本以外は、
＞“サンドボックス”と呼ばれる一般ユーザーがアクセスできないページへ移動されている。

>>356
＞★持ちの人の負荷
同感。これは他の誰でもなく★持ちが判断すること。
まとめサイトの依存度をあげるのもそれはそれで負担なんだし。

というかスレ数増加が負担なら、スレ速度がそれなりで過去ログの価値の低い
既存スレをLiveROに落とせばいいんじゃないかとも思ったり…。
いらぬ反感買いそうだから、スレ名まで挙げないけど。

359 ：（○口○*）さん sage ： 2007/03/24(土) 13:07 ID:llq4YdmV0

もともとあっちのスレは被害者が書き込むスレだったのになんかずれてるよな

360 ：（○口○*）さん sage ： 2007/03/24(土) 13:22 ID:RHZc06gO0

>>359
スレを立てた経緯もスレタイも>>1も流れも関係なく今の俺がルールだからな。

361 ：（○口○*）さん sage ： 2007/03/24(土) 13:24 ID:e1HKzavA0

＞総合スレ203
だから、貴重な情報を埋もれさせてまでそこで話し合う必要があるのかと。こっちでやって結果を持ち込め。

362 ：（○口○*）さん sage ： 2007/03/24(土) 13:24 ID:GNnym69y0

被害報告などをやりにくくする中国人じゃね？

363 ：343 sage ： 2007/03/24(土) 13:53 ID:GR3Clnk90

>>352
事前対策スレっていうのが343のＡのことなら、自分ではＡは
>未出のアカハックurlと手口だけ？
のつもりだった。プラス、それぞれの手口に対して事前にやっておける対処法の考案ね。

結局テンプレ読まずに慌てて書き込むような踏んじゃった人は
「>>○○見てください」ってレスうけたら
「>>○○見て〜〜のようにやりました。これで大丈夫ですか？」
って聞きにくることが多いんだ。
アカハックされた人へのこまかなフォロー（でも内容はテンプレ）と
アカハックＵＲＬ・手口の収集は、同じアカハック関係でも全く性質の異なるものだと思うので
一緒にしても、お互いにノイズにしかならないんじゃないかなと。

>>356
このスレ埋めないと動けないしｇｄｇｄ行きましょう(´ω｀)

>アコプリスレ〜位置づけで
343でＡ，Ｂ分けたとき感覚的にはそんな感じでした。
356の言葉を借りるとＢが全般スレでＡが情報収集特化ね。
ただ、情報収集特化ってのが「公式告知書き写しスレ」みたいに
完全に情報収集のみを記載するっていうのなら、それはちょっと勿体無いかなーと･･･

例えば人柱になって踏んでみた人からの手口分析や、そこからの予防法考案はＡでやったほうが
個人的にはいいと思ったので>>343のような書き方の分け方に。

手口として偽装jpg出てきたとき、すぐに予防法が出てきてホントに助かったって経験があるので
事前対策・予防法考案にこだわってしまってるのかもしれんな･･･

-----------------------------------

Ａ１）アカハックＵＲＬ・手口の収集・分析+各種手口への予防策考案
Ｂ１）なんでもかんでも全般スレ

Ａ２）アカハックＵＲＬ・手口の収集（公式告知を書き写すスレみたいな？）
Ｂ２）なんでもかんでも全般スレ

のどちらかでどうっすかね･･･他よさそうなわけ方あるかな。

364 ：（○口○*）さん sage ： 2007/03/24(土) 14:53 ID:mOUnVk5F0

>>347
>RO関連だけFirefoxでっていうのでも最初は構わないと思う。
>ゆっくりでいいんじゃないかな。

なるほど、テンプレとかそういうRO関連を見るときは使ってみる、でいいのかな。

>＞「日本語でおｋ」と言いたくなる文調
>オープンソース界隈は基本的には自分のためにやった行為のお裾分けだから
>そういう部分を丁寧にやるのは動機に乏しくて難しいかもしれない。

弟にもFirefoxを薦めて、分からないことがあったらここを見てくれと言ったとき、
何が書いてあるのか分からない。日本語が並べてあるだけだよ、と言われ
「タダより高いものは無い」と思ったよ。
Firefoxがオープンソースが悪いなんて思ってない。むしろ俺はGPLを支持している方だから
その関係者の意識の高さや苦労も分かりたいと思う。
しかし…IEもしくは企業がバックについたソフトウェアと、その周りの力の強さと言うのを
思い知らされた気分だったよ。

速度に関しては…
俺は拡張ブラウザの中でも主に速度・軽さ重視で選択していたから、Donutシリーズを
使っていたこともあって、むしろそれが逆に動作速度に関しては、割とあきらめてる節があるｗ

とにかくブラウズ周りに関するところの軽さ優先で拡張ブラウザを探していたのは
まぁ、仕事先でロクなマシンが割り当てられることが少ないってことが多くてｗ
今自宅の環境であれば、特別軽いブラウザでなくても問題ないんだけど、
仕事で使い慣れてしまうと、どうにもｗ
そんなわけでDonutシリーズに行き着いたわけなんだが、当然他のブラウザが
重く思えてしまうのは仕方が無いと思う。

ゆっくり覚えていくことにするよ。

365 ：350 sage ： 2007/03/24(土) 15:36 ID:UMXEFefQ0

>>356>>363
アコプリスレと殴りプリスレのたとえはすごくわかりやすかった。

ただ、いまのアカハック関係はは「アコプリスレ」がLiveROにあり、
「殴りプリスレ」がRagnarok板にあって「本スレ」と呼ばれてるので
すごく違和感がある。

366 ：（○口○*）さん sage ： 2007/03/24(土) 16:13 ID:Keob5aB60

>365
そりゃ取り扱う話題の広さはハク限定の本スレより、セキュ全般語れる
このスレの方が広いわけで。

で、１つ忘れてる事があると思うが、Ragnarok板はRO主体の板でLiveRo板は
多少脱線しても平気な制限が緩い板。
何スレか前の本スレでもセキュ全般を取り扱ってもいいんじゃないか、という
話は挙がったが、板違いになるからという事でハク限定になった経緯もある。
全体の話になれば2ch等の専門板を使えばいい、という話にもなった。
(2chのセキュ板はちとアレではあるが……)

本スレがハク限定で雑談禁止なのは、情報が埋もれるからというだけではなく
そういう問題もあるから。

LiveRoの欠点はスレが保存されない・Dat落ちするという事だが、過去ログは
有志が保管すれば済む話だし、Dat落ちする心配は残念ながら無いだろう。

いずれにせよ、今の本スレは情報収集スレに限定するのが一番いいと思う。
MMOBBSの管理人氏たちの意向次第ではあるが、セキュ全般の話題がRo板で
出来るのならそれに越したことはないし、無理ならLiveRoでやればいいだけだと思う。
ただどちらの場合でも板のTOPの案内はセキュスレとして貰えば、特に問題は
出ないと思う。

367 ：（○口○*）さん sage ： 2007/03/24(土) 16:20 ID:AejAGG6a0

雑談スレと情報収集板を分けると仮定して、Ragnarok板のＴＯＰには雑談スレの方のリンク
だけ貼ってもらい、情報収集スレは貼らなくていいと思うのだけどどうだろう？
簡単に言うと雑談スレが表に来れば、あせってテンプレ読まないような人や雑談目的の人は来なくなる･･･かな？

っというか不思議でしょうがないのだけど、なんで現状一応向こうでは雑談は控えるって
事になったのに、わざわざ向こうで雑談したいのか理由を是非聞いてみたい。
単にRagnarok板のＴＯＰにあるから？
あまり分けたことを良く思ってない人は、今まで使ってたのにｏｒ使いやすかったのにこっちになって
面倒になったから･･･とか？
理由によっては（２スレ見るのが面倒等）いくら同じRagnarok板に雑談スレ作ろうが、名前を変えて情報収集スレにしようが
、ＴＯＰからリンク貼ったりしようが、結局変わらないと思うのだけど。

368 ：（○口○*）さん sage ： 2007/03/24(土) 16:26 ID:jkbJ+j5S0

RO板の方は見るけどLIVEROのほう見ないって人いるからね。

369 ：（○口○*）さん sage ： 2007/03/24(土) 16:27 ID:Z3L8EXw50

本スレはRMT親父との橋渡ししている在日犬が商売の邪魔だってうるさく騒いでいるだけだろ。雑音みたいなもんだ

370 ：（○口○*）さん sage ： 2007/03/24(土) 16:28 ID:q1E7nShR0

確認させていただきたいのですが、度重なる「同じ事の繰り返し」「S/N比が…」「埋もれる」
といった発言から、平たく言ってしまえば「垢ハック（アドレス・手法）に関する情報の集積と分析」
を扱うスレは脱線・雑談は勿論ちょっとした質問も可能な限り排除し、初心者は誘導するだけにしたい。
といった強い意志を持つ方々がいるように感じられ、（これは私だけの勘違いでは無いと思います）
その辺りの空気を読んだ方が、
「本来の分離案からずれてしまうかもしれないけど、運用上この際しかたないな」
と判断されて、新規スレ立て是非スレにおいて
「アカハック関連情報 集積・分析スレ」の分離（ある意味このスレは本スレに復帰）
を既に提案されているのですが、結局のところ誘導を行っていた方の単なる勘違いから
起こった事と理解して宜しいのでしょうか？

・窓口である本スレから脱線・雑談を分離したい
・集積・分析スレのノイズを無くしたい
この２つを同時に考えている場合とそうでない場合では前提に差が出来てしまうと思いますので。

371 ：（○口○*）さん sage ： 2007/03/24(土) 16:36 ID:8fXO1qYv0

勘違いというか、スレタイも>>1もそのままでURL貼り付けスレにしようとしたが正しいかな。
スレタイと>>1を読んで書き込んだ人を有無を言わさず排除してるからｇｄｇｄになってる。

372 ：（○口○*）さん sage ： 2007/03/24(土) 16:39 ID:aKHexslI0

仮にアカハック統合を情報収集オンリーにするならスレの名前変えるべきだとは思うね。
被害者や対策したい人が流れ着くのは間違いなくあそこなんだし。
誘導して他スレに行かせるってのは二度手間だし初心者にはわけわからんと思う。

373 ：（○口○*）さん sage ： 2007/03/24(土) 16:42 ID:aKHexslI0

>>367
>現状一応向こうでは雑談は控えるって事になったのに
いや、それはそう言ってる人がいるだけでみんなが同意してるわけじゃないっしょ。
全員の同意なんか取れないけど大多数の同意すら取ってないし、
自分の意に添わないなら「こうしたらどうだい？」って喚起してから回りの同意を得るべきだろう。

何人かが同意したからこのスレはこういうものです、ってすぐに決めても他の人たちが納得できるわけもない。

374 ：（○口○*）さん sage ： 2007/03/24(土) 16:48 ID:JjoWBQ7s0

何かもう勝手にやったらいいんじゃねって感じだ
なにかにつけては自治厨自治厨言われてるようだし
スレを見やすく努力してる人間が鬱陶しいよう
平行線のままならまたスレ1つにしてごった煮でやったらいいだろ
それで情報まとめる側や教える側の人間が去らなければ

375 ：（○口○*）さん sage ： 2007/03/24(土) 16:51 ID:jkbJ+j5S0

注意を促しすぎるとそれは促しすぎじゃないか？とかなって雑談の時と大差なくなる。
正直頻度が高すぎると思う。

376 ：（○口○*）さん sage ： 2007/03/24(土) 17:08 ID:clYogbA+0

重要な情報が埋もれるのが、後から読んだときに雑音が多すぎて…

→不必要な情報を分離して雑談スレを作る　これが最初の発想だったと思う。

発想を変えて、

→重要な情報だけ抜き出してコピペしとくスレッドを作る　これのほうが単純でわかりやすくね？

377 ：（○口○*）さん sage ： 2007/03/24(土) 17:12 ID:aKHexslI0

>>376
俺はその後者のほうがいいと思うね。
今あるスレはそのまま残したほうがログの参照にもいいし、単純なデータ投稿するだけのスレを分断したほうが混乱も少ない。

378 ：（○口○*）さん sage ： 2007/03/24(土) 17:14 ID:1l4F7rLe0

>>373
> >>367
> >現状一応向こうでは雑談は控えるって事になったのに
> いや、それはそう言ってる人がいるだけでみんなが同意してるわけじゃないっしょ。
> 全員の同意なんか取れないけど大多数の同意すら取ってないし、

前スレの990前後の流れを見てみると
「控えることになった」と言いたい気持ちも分かります
特に反対も出ていないから、同意したと思いたくなりますよ。
この一連のスレずっと読んでいる人と、たまにのぞいて雑談したい人の
意識の違い？

「自治」頑張ってくださってた方に私は個人的に感謝してます

とはいえ今後より良くなりますように
>>376は良いアイデアかなと

379 ：総合スレ207 sage ： 2007/03/24(土) 18:16 ID:GR3Clnk90

>>総合スレ208

仰る通りです。同じ懸念（自分の書きたいことだけかいて他人はダメ）をしていたが故の
>もし移動に同意して頂ける様だったらこの書き込みへのレスもLiveROのほうで
という「お願い」でした。

スレの方向性に関することは総合スレに書くべき、そう言いたい気分もわかりますし、制限する権利も私にはありません。
ですが、折角「雑談スレ」と名のついた比較的ルールの緩いこちらのスレッドがあるのなら利用したほうがいいのでは、という提案程度だったんです。

どちらかで話す場所もまとめないと延々平行線だと感じましたし、
又、どこかで止めないと延々と続く話題でもありましたからあのような移動お願いになりました。
気分害したらすみません。

個人的にはこのままこちらで話が進むことを祈るばかりです。

380 ：（○口○*）さん sage ： 2007/03/24(土) 18:35 ID:5nMtn9Zr0

>>378
元々は、ROハッキングに関する話題を扱って、ROに限らない一般的なセキュリティとか
ただ踏めないだけのURL確認とかはLiveROでいいじゃんという話になった。
それをどう間違ったか、勘違いなのか、強硬なのか分からないけど、スレ終了間際に
事前対策のみ言いだす人が出てきてしまったから、今の総合スレのスレタイや>>1の内容と
実際のスレ運営に差が出てしまったという現状。

お互いのスレタイと>>1を見ると、その方向性が見えるだろ？
それを無視して俺ルール全開な一部住人がいるから、おかしなことになってる。

381 ：（○口○*）さん sage ： 2007/03/24(土) 18:57 ID:GR3Clnk90

>>373
質問形式で意見求めていた人もいます。私含めてですが。
〜でいいか？という確認のものや、〜というのはどう？というものまで。
でも質問形式で書いてものすんごいスルーとかチラっと同意のみとかばっかりだったんです(つд｀)
是非スレで話をもっていっても同じ。
どうにも話が続かないので強引に>>343>>363でまとめてもみたけどなんか微妙にズレた話ばっかりに･･･

総合スレ５で分離の話が出たあたりからずっとこの話続けてますが
匿名掲示板で「大多数の同意」なんて得るのは難しすぎると感じました。
反対意見つかず、ちょっとでも同意得られたら大多数が同意って見たくなります･･･。

>>376
重要な情報を抜き出してコピペするスレッドかぁ。わかりやすいのはいいですな。
でも「重要」の基準が違うかったり、誰がコピペするのかといった問題とか
しばらく「重要」と思われる情報が出なかったら忘れてしまう・LiveROにたてると落ちるてので難しいかなとは。
あとなんか二度手間・・？まとめサイトを作ってくださってる方はおられるし
全般スレ→重要スレ→まとめサイト　となるとなんとも。タイムラグもありそうだし
コピペされるタイミングが遅くなればなるほど存在意義が薄れてしまいそうです。

382 ：（○口○*）さん sage ： 2007/03/24(土) 19:27 ID:wrDhFLNI0

>>334
まあ日本みたいにマジョリティ万歳主義ではあまり聞かないが
マイナーはマイナーなりの理由があるし、理解した上でなら利用価値は高いと言う事だな。

更に誤解の無いようにつっこめば
Macはマイナーである事をセールスポイントにしている矛盾はあるが
現状MacがPCより安全である事は誰の目が見ても明らかだ。

話をブラウザに戻せば、ディフォルトのIEがFirefoxよりも脆弱である事は間違いない。
でもブラウザを換えただけで安全になるわけではなくて、結局は利用者の意識なんだよな。
敵の攻撃手段を理解して避けようとするのと、気にせず全部受けるのでは、天と地どころではない差がある。

383 ：（○口○*）さん sage ： 2007/03/24(土) 19:35 ID:clYogbA+0

>381
確かにいろいろ懸念はあるのですよね…
私がイメージしていたのはマジスレのまとめを、
隠れ里の冥途さんがやっていらしたのをアレンジした感じでした。
（といってもマイナーでわからないかも…）

参考までにこんな感じ（スレを冥途さんで検索してみてください）
MAGE・WIZ情報交換スレッド3
ttp://regulus.mods.jp/test/read.cgi/bbs/1080664814/

あくまでも一つの提案なので気に入らなければスルーしてください。

384 ：（○口○*）さん sage ： 2007/03/24(土) 20:23 ID:K80jOnM60

ｇｄｇｄでもいい。
どんどん議論していこう。
本スレ側も多少の雑談なんか気にしなくていいので
とりあえず、このスレが埋まって、新スレが立てばすべてはなるようになる。

本スレにしても、無理に誘導しなくてもいいさ。
今まで通りに、URL報告もいろんな話題もすればいい。
自治厨うんぬんのノイズも邪魔だし、
本スレが埋まってスレタイトル変わればあちらも丸く収まる。



個人的に重要なのは本スレ193の人が書いた
「まとめの人がやりやすくなった」という一言だけで十分。

385 ：（○口○*）さん sage ： 2007/03/24(土) 20:51 ID:uHfgYJda0

>>382
「今の」MacがPCより安全性が高い点については同意。
但し、Intelプラットフォーム化、OS根幹のUnixベース移行、BootCampなど、リスク要素は確実に増えてきているが。
それと、Norton先生の源流であるSymantec Antivirus for Macの例でも挙げられるように、ウィルス自体の流行は
こちらの方が早期から目立っていた。
GUIベースOSによる、ユーザー環境格差の少なさ。AppleTalkによるLAN環境の構築の容易さなど。

最近では、オープンソースプロジェクトやブラウザプラグイン普及により、OS環境の壁を越えたexploitにも注意が必要。
KHTMLパーサの脆弱性問題が出てきたこともあったし、Flash PlayerやQuickTime、RealPlayer等も常連化しつつある。

386 ：（○口○*）さん sage ： 2007/03/24(土) 22:11 ID:dzpDsENi0

総合スレの前スレ見たら、>>986が諸悪の根源だな。
それ以来、必死にがんばってるのこいつだけな気がしてきた。

387 ：（○口○*）さん sage ： 2007/03/25(日) 00:02 ID:4evqwz4n0

統合223みたいのもいるしなんつうか俺ルールも程ほどにしないと本当に対策が必要な人が寄り付かなくなっちまうよ。
仕切り屋のためのスレじゃないのに。

388 ：（○口○*）さん sage ： 2007/03/25(日) 00:09 ID:vV/Nx9mP0

どう見てもあれは自治厨を装った荒らしだろ

389 ：（○口○*）さん sage ： 2007/03/25(日) 00:52 ID:0Sr2HjzH0

あっち雑談も含めた総合で、重要な部分だけ抜き出すスレ作るのが一番解決の道だと思う。
そうすれば自治装った荒らしも何も出来ないし、新規さんもスムーズに書き込める。

390 ：（○口○*）さん sage ： 2007/03/25(日) 03:50 ID:N3OkaOv70

>>389
賛成。たとえ既出のループでも困ってる人を最優先。
そして、自衛のできる人や理性のある人のが余裕があるんだから
別な場に有益情報抜いた方が良いでしょうね。

391 ：（○口○*）さん sage ： 2007/03/25(日) 14:54 ID:IEbbdIgM0

ハック情報を集めてる支那畜んとこにゴミパケ送る案はどうなった？

392 ：（○口○*）さん sage ： 2007/03/25(日) 14:58 ID:edTBjGJq0

>>391
>>241

393 ：（○口○*）さん sage ： 2007/03/25(日) 15:02 ID:2j6OFcgU0

全く0から方針を考え直すでもいいんだけど、俺は今の”本来の”形がいいと思ってる。

Rag板：ROアカハック総合スレ
　ROアカハックに関する話題
　（具体的事例に則った事前/事後対策、被害者の相談/対処）

LiveRO板：セキュリティ一般
　ROに限らない一般的なセキュリティ対策

現状は、>>1を無視した極一部がスレ違いなだけで、>>1嫁で済ませたいくらい。

394 ：（○口○*）さん sage ： 2007/03/25(日) 23:35 ID:dgGMInvU0

【　　アドレス 　 】http://mohumohhu■blog87■fc2■com
【気付いた日時】 本日
【　 　　 OS　 　 】 WinXP Home SP2
【使用ブラウザ 】 IE(バージョンはわかりません)
【WindowsUpdateの有無】 最新
【　アンチウイルスソフト 】 ウィルスバスター2007
【 ウイルススキャン結果】 カスペでオンラインスキャンしましたが、結果何も出ず。
【スレログやテンプレを読んだか】 軽く読みました。
【説明】
上記アドレスがBlogにコメントとして張られていたので
グーグル先生で検索してみましたが、ただのBlogかと思い踏んでしまいました。
中身が捨てBlogっぽかったので心配になり、相談に来ました。

ただの杞憂ならいいのですが、このサイトには罠などありますか？
ソースチェッカーもやってみましたけど、素人には何がなんだかわかりませんでした(ﾉ∀｀)
HDDフォーマットが一番なのですけど、フォーマット用のディスク？が無いためできない状況でして・・・。

395 ： ◆sp4Sh9QXGI sage ： 2007/03/25(日) 23:50 ID:zobOBMdj0

>>394さま
このBlogはサイズ0のインラインフレームに仕込まれたHTMLファイルに
(因みにURLはwww■game-fc2blog■com/nairmt/guse.htm。
まとめサイトの危険ドメインに含まれているので、中華の捨てBlog、
或いは日本人の愉快犯とみてほぼ確実でしょう)
VBS/Psymeが含まれています。
ROの垢ハックとは直接の関係はない(と思います)が、
キーロガーの一つであることには変わりありませんので
速急な対策が必要になります。

396 ：394 sage ： 2007/03/26(月) 02:15 ID:vu1dzo320

>>395さん
VBS/Psymeというキーロガーなのですか。
ちょっと調べてみましたけど、駆除は難しいのですかね。
ついさっきウィルスバスターで検索してみましたけど何も出てきませんでした＿|￣|○
寝ながらweidoで検索してみて、それでダメでしたらNOD32でも検索してみようと思います。
情報ありがとうございました。

397 ：394 sage ： 2007/03/26(月) 02:18 ID:vu1dzo320

ewidoでした・・・うぇｗｗｗidoって｡･ﾟ･(ﾉД`)･ﾟ･｡

398 ：（○口○*）さん sage ： 2007/03/26(月) 03:36 ID:J0LpAx860

RAGNAROK板のＴＯＰリンクに変更あったみたいだね。
さっき向こう見ようとしてこっちに飛んだからビックリした。
仕事速いね！

399 ：（○口○*）さん sage ： 2007/03/26(月) 08:59 ID:M+7KOAYn0

という事は、MMOBBS管理人諸氏の見解としては>366が指摘したように、セキュ全般の
話題をRagnarok板でやるのは板違い、という事かな。

まあどっちの板にあってもどうでもいいとは思うが。
この手のは過去ログ嫁になるよりも、まとめサイト嫁になるわけで。
向こうは情報収集スレとして活用して、次スレ立つときはスレタイを変えれば
いいんじゃないかな。

400 ：（○口○*）さん sage ： 2007/03/26(月) 09:11 ID:Jl5vvupl0

どっちに報告するか悩んだが、中身を怖くて確認できてないため予備措置でこちらに

【初心者集まれ！初心者の質問スレその41】

357 ：(^ー^*)ノ〜さん ：07/03/26 02:38 ID:WtKDs2/9O
剣士だけと
ttp://blog.kansai.com/blogm/index.html?user=serio
ブルジョア狩りでもこんな育成堪えられない！

ましては高レベルノビなんて…


ノビっ子がんばれ！

358 ：(^ー^*)ノ〜さん ：07/03/26 02:46 ID:7W2hTUIP0
うは踏んじまった。最近のは凝ってるんだな…

359 ：(^ー^*)ノ〜さん ：07/03/26 03:56 ID:lOJQRtEa0
マジっすか('A`)

401 ：（○口○*）さん sage ： 2007/03/26(月) 09:21 ID:M+7KOAYn0

>400
>1
>アカウントハックの危険性があるURLは「.」を「■」に置き換えて貼り付けください。

402 ：（○口○*）さん sage ： 2007/03/26(月) 09:54 ID:DbEUkeU20

>>400

ブログの宣伝っぽい。
(関西どっとコムblogとかいうらしい)
垢ハックではないと思うが、ROにかすってもいない。

403 ：（○口○*）さん sage ： 2007/03/26(月) 10:00 ID:8exFEdUo0

>>400
ソースチェッカーだと何の反応もないから多分大丈夫だとは思う
ただの宣伝っぽいな

404 ：（○口○*）さん sage ： 2007/03/26(月) 11:13 ID:K7Xv+eWm0

雑談なので移動。

>253 241 07/03/26 03:32 ID:JgXiwTC+0
>しばらく更新してなかったからかもしれんが垢消されたorz

それ究極の対策。存在しなければ、垢ハックアドレス貼られることもない！！
ＲＯも止めてしまえばパスワードを盗まれることも(ry

405 ：（○口○*）さん sage ： 2007/03/26(月) 12:34 ID:M3xYBryG0

>>329
俺の場合だと装備品、所持金は全てとられました。
で、倉庫内アイテムは武器防具、カード、箱類が全部とられ、
回復系アイテム収集品等だけは残っていました。

バレンタインのチョコは持っていなかったのでなんとも言えませんが
名声白スリムは残っていたので、金目の物だけかと・・・。

406 ：（○口○*）さん sage ： 2007/03/26(月) 12:35 ID:ffSFM3530

>>399
> という事は、MMOBBS管理人諸氏の見解としては>366が指摘したように、セキュ全般の
> 話題をRagnarok板でやるのは板違い、という事かな。
どっちかっつーと、現状ではこっち来てもらった方がちゃんと答えてくれる人がいるからじゃね？
とか思ってしまった。

そういや現状の垢ハック系トロイは、Vistaだとどんな動作するんだろ？

407 ：（○口○*）さん sage ： 2007/03/26(月) 13:15 ID:Jl5vvupl0

>>401
おっと、もうしわけない

408 ：（○口○*）さん sage ： 2007/03/26(月) 13:31 ID:tiTkUgny0

>>406
IEの挙動としてはXP版IE7と同じようなものになると思うが
その後のレジストリ書き換えとかはVistaでROやってる人に人柱になってもらうしかない気がする

そもそもVistaでROって時点で人柱

409 ：（○口○*）さん sage ： 2007/03/26(月) 14:37 ID:s0cEL3aY0

>>404
まずは南無…

しかしそこで思考停止してしまうと、貴方の触るオンラインでのやりとりが
RO以外の全て盗まれてしまう可能性を秘めてしまうことになる。
ROをやめてしまえば事が済むわけもなく、オンラインで取引を行わなければ
もっと言えば、オンラインにならなければ、というのが、残念だけど正解。

410 ：（○口○*）さん sage ： 2007/03/26(月) 14:38 ID:s0cEL3aY0

ああ、なんか勘違いしていた、書き込みはスルーで。

411 ：（○口○*）さん sage ： 2007/03/26(月) 14:47 ID:tiTkUgny0

mixiは新規垢取るのに携帯認証必要になったっていうけどどうなんだろうね
前はもにょもにょな手使えば複垢いくらでも取れたが

携帯認証って言ったって端末IDからの認証じゃなかったら逃げ道はあるわな

412 ：（○口○*）さん sage ： 2007/03/26(月) 14:56 ID:W4YJgYqP0

>>411
先日招待されたんだが、端末ID出さないと登録が成功しないようだった(ﾄﾞｷｭﾓ使い)。
拒否したらどうなるかは試してないけどね。

413 ：（○口○*）さん sage ： 2007/03/26(月) 15:14 ID:H9UpVhgK0

TOPのリンクをこっちにして下さったのは、流れを見ていた管理人さんが
やむを得ず暫定処置として変えてみて様子をみようって事なんだと思う。
管理板に変更依頼しに行った書き込みも無いようだし。
裏返せば「おまいらどうしたいんだ。はっきり汁ヽ(｀д´)ノ」
と言われているような気がする。
TOPの変更を受けて
・とりあえず”ここが窓口いわばなんでも有りの本スレ”として運用していく。
のか
・この際だから役割分担をきっちり決めてスッキリ再編しよう。
なのかだけでもハッキリしといた方がいいかも。
みんなもう相談・質問に対するレスに集中したいだろうし現状維持でいいかもしれんけど。

414 ： ◆sp4Sh9QXGI sage ： 2007/03/26(月) 17:24 ID:7TtWte1U0

すごく今更ですが、>>83-84さまの解説をサイトに転載させていただきました。
事後報告になりますが、もしまずいようでしたら即刻削除します(；・ω・)

415 ：（○口○*）さん sage ： 2007/03/26(月) 18:13 ID:hMOv1zJu0

ファイアーウォールの設定について質問があります。

インターネットへ向けて送信されるすべてのパケットをブロックするというのを基本設定にした後、
例外指定したもののみを送信許可するという設定にしています。（受信に関しては特に制限なし）

送信許可設定にしているのは、WEBブラウザ、ウイルスバスター、PG2、ROのみです。
ROに関しては、下記の範囲のみを送信許可設定にしています。

ragnarok.exe (RO Patch Client)
IP Address: 219.123.155.160 - 219.123.155.191 (Port 80のみ)
IP Address: 221.247.195.160 - 221.247.195.191 (Port 80のみ)

GameGuard.des (nPro)
IP Address: 219.123.155.160 - 219.123.155.191 (Port 80のみ)

ragexe.exe (RO Client)
IP Address: すべて (Port すべて)

一応これで動いていますが、ragexe.exe のIPアドレスの許可範囲を絞ったほうが、
さらに堅牢になるのかな、と考えてます。
(ragexe.exeが乗っ取られるウィルスがあるのかどうか知りませんが）

ただ、使ってるIPアドレスやポートの範囲が複雑っぽいので、
すでに設定されてる方などおられましたら、設定値を教えていただけないでしょうか？

416 ：（○口○*）さん sage ： 2007/03/26(月) 18:42 ID:PlF8uzMO0

>>415
ragexe.exeの許可範囲というのは鯖のIPのことでいいのかな
それなら某iniに鯖のIPが載ってる（ポート番号まではわからない）
ただメンテ入って鯖IPが変わった時にini更新されないとどうにもできない罠

でも感染して常駐プロセスに化けられて情報送信してたらアウトだよなぁ

417 ：（○口○*）さん sage ： 2007/03/26(月) 18:45 ID:DmvEXS0h0

某iniのはログインIPだけじゃ？

418 ：（○口○*）さん sage ： 2007/03/26(月) 18:53 ID:+kOBSq010

すいません、初心者質問で申し訳ないんですが

ギルド内で、ゲームサーバーの調子が悪いときは
皆でクエストをまわってみないかと、なったのですが
「ＲＯクエスト案内所」を見ながらすすめたいと思ってます。
トップに

不審アドレス投稿対策として、Read Onlyに設定してあります。

と有りますが、今のところＲＯクエスト案内所は安全と考えて
大丈夫でしょうか？

もしアカハックにやられると、集団感染で
ギルドの大半が引退とかなりかねないので…

419 ：（○口○*）さん sage ： 2007/03/26(月) 18:58 ID:DmvEXS0h0

安全といえばほいほいURL踏んじゃうのかい？
どういうサイトにしてもリンク先を確かめる注意深さを持って行動した方が良い

420 ：415 sage ： 2007/03/26(月) 19:10 ID:hMOv1zJu0

>>416
情報ありがとうございます。で・・・すみません。
某iniというのがググったんですが、何なのか分からなくて・・・
ローカルのファイルなんでしょうか？それともどこかのサイトでしょうか？

ポートはもう全ポートでもいいかなとも考えてます。
ＩＰだけ範囲指定しておけば、基本大丈夫なはずなので。

>>でも感染して常駐プロセスに化けられて情報送信してたらアウトだよなぁ

ですね。でも、どんな対策をしても絶対に抜け道はできるので、
だからこそ複数段の対策を設置して、
どれかの網に引っかかれば儲けものと考えるようにしています。

421 ：（○口○*）さん sage ： 2007/03/26(月) 19:14 ID:1VuO27FU0

>>420
ヒント：支援ツールスレ

422 ：（○口○*）さん sage ： 2007/03/26(月) 19:16 ID:DmvEXS0h0

あれ見てもしょうがないだろうから「ROSV」でググってみたら良いと思う
開く際はとりあえず注意ね

423 ：（○口○*）さん sage ： 2007/03/26(月) 19:16 ID:aMRPcyA60

>>394-395
body要素の外にiframeが仕掛けられている事から、最初から悪意あるユーザーか、もしくはトロイ感染の被害者が
fc2のID/pwdも抜かれて改竄された可能性がある。
ひとまず、fc2には問題ページとしてフォーム経由通報済み。

>>415
inetnum: 61.215.212.0 - 61.215.212.255
netname: RAGNAROK-JP
inetnum: 61.215.214.128 - 61.215.214.255
netname: RAGNAROK-JP2
inetnum: 211.13.228.0 - 211.13.228.255
netname: RAGNAROK-JP2
inetnum: 211.13.232.0 - 211.13.232.255
netname: RAGNAROK-JP3
inetnum: 211.13.235.0 - 211.13.235.255
netname: RAGNAROK-JP4
これがjROクライアントの接続先範囲かと。

portに関しては、かなり古い情報だが
ttp://www.osakana.net/ragnarok/server.html
この頃から変わっていないかも。

>>418-419
必要なのは、踏まないことだけではなく、踏んでも被害を最小限にする事。
これは災害対策と基本は一緒。

424 ：415 sage ： 2007/03/26(月) 19:24 ID:hMOv1zJu0

>>421-423
情報ありがとうございました。感謝です♪

425 ：（○口○*）さん sage ： 2007/03/26(月) 20:42 ID:K7Xv+eWm0

>>420
某iniから一部引用。「○○Addr.ini」でぐぐらないと駄目、某ini じゃ出てこない。

この値は、ログイン鯖なんで、末尾の数字をゲーム鯖の分足した所までが範囲。
ゲーム鯖は１〜１５だっけ。どっかの鯖は少なかった気もするけど。

[CharServers]
61.215.214.131=Odin
61.215.214.163=Thor
<略>
211.13.232.3=RJC2007
211.13.232.8=RJCPractice

いきなり鯖IP変わることが有るし、ログイン鯖とゲーム鯖は殆ど連番とはいえ、確実に連番だという保証はない。
そこで出ているIPを whois で調べてみる。ある程度の範囲のIPが判るのでこれをぶちこんでおけ。
（423のリストのが正確そうだが）

61.215.214.128/25
211.13.228.0/24
211.13.232.0/24
211.13.235.0/24

>>417
そっから＋幾つとかで範囲指定すりゃＯＫ。
厳密には、そのＩＰの管理者をwhoisすると、範囲が出てるかもしんない。それを使うのが正解。

>>422
ROSVはかなり前に移動した鯖のIPも対応していないのが有る。
生きてるのに常時真っ赤とか使えない鯖もある。

>>423
あれ、ポート5020だか、5021も使ってなかったけ。ソース確認すんのめんどいので、パスするが、
423のリンク先だけで足りなかったら、その辺を追加しとけ。

426 ：（○口○*）さん sage ： 2007/03/26(月) 23:08 ID:DbEUkeU20

>>418
なぜRead Onlyになっているかを考えれば分かるかも。
それなりにいろいろ対策は取ってくれているが、
向こうも金がかかっている以上、何としても侵入させようとする。
なので、どんなサイトでもリンク先は注意して開くべき。

>>422,425
フィゲルに対応してなかったり、BBS系が業者の書き込みで埋まっているのを見ても、
もうあれは過去の遺物だと思う。
もっとも、リヒあたりまでなら登録・修正は出来るので、
そのあたりで実用性を高めるようにするしかないかな。

427 ：（○口○*）さん sage ： 2007/03/27(火) 00:22 ID:lOMrMxih0

>>414 ◆sp4Sh9QXGIさん、いつもご苦労様です。

>83,84についてですが、ご自由にお使い下さい。
むしろ書きなぐった文章なので、どんどん加筆・修正して頂けると幸いです。
ちなみに>251も私が書いた物なのですが、書いた本人である証の代わりに
実験に使ったファイルを放置してある場所を書いておきます。
www■ジオ■jp/agent_mozilla/test1.jpg

※御注意※
このレス自体が垢ハックの釣りである可能性も
当然ながら疑ってかからなければなりません。
したがって初心者の方は上記のアドレスに行ってはいけませんよ。

428 ：（○口○*）さん sage ： 2007/03/27(火) 02:36 ID:o47sjkM30

久しぶりにROを起動してみようと思うのですが
自分のPCが垢ハクウイルスにかかっているかどうかを判断するにはどうすれば良いでしょうか
セキュリティソフトはノートンを入れていて、ウイルスは検出されないと出ますがノートンは垢ハクウイルスに対応してないとの話も聞きました
よろしくお願いします

429 ：（○口○*）さん sage ： 2007/03/27(火) 02:38 ID:AAiwifpr0

カスペのオンラインスキャンでもしてみたらいい
こっちで無事かどうかなんて判断できんよ

430 ：（○口○*）さん sage ： 2007/03/27(火) 02:39 ID:o47sjkM30

カスペルスキーは垢ハクウイルスに対応しているのですね
これで何も検出されなければ一応は大丈夫ということでいいのかな？
どうもありがとうございました

431 ：（○口○*）さん sage ： 2007/03/27(火) 03:03 ID:/vjztGCh0

出たばかりの新型であればスルーするものもあるかも知れないし、
既存のものでも見つかっておらずスルーするようなものもあるかもしれないので過信は禁物です。
ただ今はカスペが対応も早くて一番信頼できる感じです。

もし踏んだかも！って言うのであればやっぱりフォーマットしてOS再インストが一番安全ではあります。

432 ：（○口○*）さん sage ： 2007/03/27(火) 07:45 ID:BN06TSrO0

fc2のblogにiframeが埋め込まれていたものがあり、現在は消えているとの流れの続き。

>267 (^ー^*)ノ〜さん sage New! 07/03/27 06:57 ID:AERkqbz30
>ソースチェッカーでは仕込まれていたけど、今は対処されているみたい。
>そのブログへ行ってみたがソース文末から問題のは消えている。
>すでにFC2へ連絡が行ったかな？
>これがクラックではなくどっかのブログのパクリなら今後も危険なので近寄らないほうが良いと思う。
>それにしても国内フリーブログも悪用され放題だ、海外からの登録不可にすれば良いのに。

fc2は国内じゃねーぞ。登録とか日本語でできるけど。

突っ込み入れたかったけど、雑談になるのでこっちへ移動。

433 ：（○口○*）さん sage ： 2007/03/27(火) 09:47 ID:LUsGKttX0

>418
絶対に危険が無いとは誰にも言い切れない。

ROクエ案内Wikiは閲覧と投稿を分けてて、投稿ページが手打ちでないと入れないので
出来心の悪戯なんかはまず出来ない。
また投稿も各種対策を講じているので罠リンクは書きにくい。
(これはクエ案内Wikiに限らず、対策している他Wikiも同じ事)

しかし抜けようと思えば抜け道はあるだろうし、運営側が取れる対策も万全のものは無い。
なので、現時点では安全であっても実際に>418やギルメンがクエ開始する時点で安全かは
誰にも保障できない。

不安になって尋ねてくるのは判るが、万が一踏んだ場合の事を考えて対策した方がいい。
罠書き込みはWikiだけじゃなくBBSやBlog等どこでもあるので、危険度はどこも同じ。

434 ：（○口○*）さん sage ： 2007/03/27(火) 10:40 ID:o47sjkM30

カスペルスキーオンラインスキャンしても平気だった
設定通常ノートンつけっぱだけど問題無かったかな？とりあえず空きスロ２つにノービスを作っておこう
>>431
ありがとうございます
踏んだ覚えはありませんが休止している期間が長くずっとこのＰＣを使っていた為念のため…って感じですね

435 ：（○口○*）さん sage ： 2007/03/27(火) 10:52 ID:qGW/zAG00

>>418
必ずしも安全ではないけど他所のＷｉｋｉよりはちょっとましって感じ。
まあ、外部ＵＲＬだとジャンプページ出るはずだしそれさえ踏まなきゃ大丈夫かと。
あとは>>419だね。
俺らの言葉すら簡単に信じてはいけない。匿名の誰かでしかないんだし。


トロイをIFRAMEに仕込むの多いからＩＥの人はIFRAMEいっそオフにするか、
せめて開く際に確認出す設定にしたほうがいいんじゃないかと。
できればJavaScriptdanoActiveXだのＪａｖａだのもオフったほうがいいけど。

436 ：（○口○*）さん sage ： 2007/03/27(火) 11:06 ID:qGW/zAG00

大雑把な感じ

スタイルシート、CSS＞ブラウザの装飾を制御し、ファイルを読み込んだりできる。危険度低
Java＞Javaアプレットと呼ばれるプログラムを実行させる。危険度中。お絵かき掲示板などで使う
IFRAMEタグ＞ブラウザ上で任意のファイルを読み込む。気づきにくい。危険度中。アカハックで多用される。他のプログラムと併用されることが多い
Ｊａｖａスクリプト＞ブラウザ上で簡単なプログラムを実行させる。危険度中。他のプログラムの発動スイッチなど組み合わせで使われやすい
ＶＢスクリプト＞OS上で簡単なプログラムを実行できる。※危険度高。
ActiveX＞OS上で複雑なプログラムを実行できる。※危険度最高。ただし動画やフラッシュなどに必要

ハックの手口はスクリプトとActiveXを併用したり、組み合わせてハックウィルスをコンピュータ上で実行させる。
厳密には違うところもあるけど感じを掴むにはこんなんかと。

437 ：（○口○*）さん sage ： 2007/03/27(火) 11:21 ID:qGW/zAG00

公式告知のｎProに付いたTachyon AntiVirusてどんだけの信憑性があんだろ。
ぐぐってもよくわからないや。

438 ：（○口○*）さん sage ： 2007/03/27(火) 11:28 ID:SxyI/5z10

nPro関連は「そんなのもあったねぇ」程度の位置づけでおｋ

439 ：（○口○*）さん sage ： 2007/03/27(火) 13:08 ID:BN06TSrO0

>>437
とってもパターン更新が遅くて、信用できないけど、古い奴だと防いでくれるかもしれないね程度。

440 ：（○口○*）さん sage ： 2007/03/27(火) 13:24 ID:/vjztGCh0

nProはカスペの10000分の1程度の力と思っていい。

441 ：（○口○*）さん sage ： 2007/03/27(火) 13:24 ID:BFXRTG7O0

やっぱ気休めにもなんない程度か。ありがと

442 ：（○口○*）さん sage ： 2007/03/28(水) 06:39 ID:oTe/nDOJ0

まぁ、なんだ
http://www■geocities■jp/yasu_takasi/
ここを踏んでしっかりﾛｸﾞｲﾝして

不安になってｵﾝﾗｲﾝｽｷｬﾝしたら
Trojan-Spy.Win32.VB.mn
これがでてきたってことは完璧ー・・・アレですよね（´ー｀）・・・


ﾄﾞｳｽﾚﾊﾞｲｲﾃﾞｼｮｳｶ･ﾟ･(ﾉД`)･ﾟ･
踏むわけ無いと余裕ぶっこいて何もしてませんでした。。。

443 ：（○口○*）さん sage ： 2007/03/28(水) 07:29 ID:COsL0jAw0

別PCや仮想PCを持っていればそれでパスなどの変更を。
もって居なければ･･･どうしたものかな･･･
急いでフォーマットから再セットアップしてパスを変えるのも手。

444 ：（○口○*）さん sage ： 2007/03/28(水) 07:35 ID:JUbIRuk80

> 踏むわけ無いと余裕ぶっこいて何もしてませんでした。。。
一番怖いパターンだな…

445 ：（○口○*）さん sage ： 2007/03/28(水) 08:01 ID:tkdQmZSX0

もう注意していたとしても踏まないのは難しい状況だから、踏む前提で
対策しておかないと痛い目にあうのが現状。
連中はその対策してない奴を狙ってるわけだしな。

446 ：（○口○*）さん sage ： 2007/03/28(水) 08:12 ID:0QLAkLmQ0

なんかこのスレ見てると、VBScript使ったウイルスって多そうだねえ。
VBScriptだとウイルス作りやすいのか・・・

WikipediaみるとVBScriptは終わった言語みたいな書き方されてて、
実際使われてるサイトってあんまりなさそうだから、もう常時OFFでいいのかな。

でもIEだとVBScriptをOFFにすると、なぜかJavaScriptまでOFFになってしまう罠が・・・

447 ：（○口○*）さん sage ： 2007/03/28(水) 08:15 ID:EL4bsrBv0

大陸は世界的に終わった物を最先端で使うのが好きだからなｗ

448 ：（○口○*）さん sage ： 2007/03/28(水) 08:16 ID:dxRUojLU0

課金してないからハックされようが無い…
とか余裕こいてると久しぶりにログインするとき怖ぇぇー

449 ：（○口○*）さん sage ： 2007/03/28(水) 09:27 ID:8XSIVJKg0

>>442
１CD Linux作って、CD起動。そこからブラウザ使ってパスワード変更してこい。

それからPC再起動してHDDから起動し、除去作業。除去が終わったら、再起動して、再度スキャンかけて
安全を確認した後にROを起動する。

450 ：（○口○*）さん sage ： 2007/03/28(水) 10:02 ID:2ElB431l0

Trojan-Spy.Win32.VB.mnはカスペのDBには詳細情報が無かったがTrendMicroと
McAfeeの情報を見るとOutlookやAOLの情報を抜くようだ。
どちらか言えば、よくあるポルノウェア系っぽい？

収集する情報のなかに「接続可能なRASの数」とかもあるので、既にbotnetとして
踏み台として悪用されてる可能性もある。


で、そのアドレスをソースチェッカオンラインで調べたら……＝□○＿

そこで仕掛けられたかどうかは知らんしスレ違いになるからそれ以上触れないが
正直自業自得とｵﾓﾀ。

451 ：（○口○*）さん sage ： 2007/03/28(水) 10:10 ID:WQASQnNp0

>>450
最近各所で張られてるのでよく目にするアドレスだが
お決まりの宣伝文句が付け加えられてるので「まさかひっかからんだろう」と思ってたが・・・ｗ

どうみても自業自得です　世の中そんなに甘くｱﾘﾏｾｰﾝ

452 ：（○口○*）さん sage ： 2007/03/28(水) 12:02 ID:4ZXqkP4+0

>>445
だなー。
ブログに限らずレンタル鯖でもあぷろだでも簡単に仕込めるんだし
何の防御もしてないマシンは近い将来感染すると見ていい。

今は平気でも感染するアドレス踏んでも痛くないようにするべき。
防がない人はちょっとコンビニだけって家にカギかけずに空き巣入られたり、俺事故らないよって自動車保険かけないで事故るようなもん。

453 ：（○口○*）さん sage ： 2007/03/28(水) 12:21 ID:8QefYZ3C0

防がない人は町中で「注：危険」って書いてあるビラ拾って、
そこに書いてある住所に丸腰で行ってゴロツキに刺されて
さらに止血すらしないようなもんだな。

454 ：（○口○*）さん sage ： 2007/03/28(水) 12:23 ID:Kzgw500e0

俺は踏まないからと油断してる馬鹿が多いからこそウィルスがなくなることはないわけで
ウィルスがなくならないからこそセキリティソフトがあるわけで・・・
家族がネット使うならウィルス対策ソフトは全部のPCにいれとけってことだ

455 ：（○口○*）さん sage ： 2007/03/28(水) 15:42 ID:87XCYTJt0

例えば毎日情報収集し、各種対策を頑張っている人がいるとする。
Web閲覧もチェッカー等も利用して注意して見ている。
この人が罠に引っかかってない間はその成果があったと言えるだろう。

しかしこの人がゼロディの穴を突かれて新種の罠を踏んで被害にあったとする。
この場合、この人は油断や過信・慢心していたのだろうか？

踏まない対策は重要だが、後手に回る時点で限界があるわけで。
踏んだ場合の対応手段も同じぐらい準備しておいたほうがいい。

>442は複数の理由でpgrされても仕方がないと思うが、いくら対策をしてても
喰らう時は喰らう。

456 ：（○口○*）さん sage ： 2007/03/28(水) 16:38 ID:tkdQmZSX0

当然ながら、新種や亜種が増え続ける限り完璧な対策など存在しない。
誰かがそれらを発見して初めてセキュリティ情報に反映されるわけであって、
反映される前に踏んだり、自分がその初めての人になる可能性も大いにある。
この場合はもう事故という他ない。
なので、既出のアドレスを踏まない対策としてのhosts更新はもちろんのこと、
踏んでしまった時でも、送信先IPが既知のものや海外であればPG2で水際での
遮断が可能なので、ワクチンソフトの更新を怠らないことは勿論だが、それに
加えてこれらの対策を行うことが非常に重要になると思う。
特に、垢ハクスレにてトロイ仕込む目的なのがバレバレな怪しいドメイン情報が
随時出てくるのは非常にありがたい。(blog-livedoor■netなど引っ掛ける気満々)
ただ、これらの効果は高いが、ワクチンソフトが入ってるからいいやと考えている
程度のセキュリティ意識の低い人からすると、これらを理解と、hostsの更新作業、
PG2導入は高い壁と感じてしまうのがネック。
皆に危機感を持ってこれらの対策をして欲しいところだが、難しいというのが現状。

457 ：（○口○*）さん sage ： 2007/03/28(水) 16:54 ID:z7jM2yyS0

ソースチェッカーも勧めるべきかねぇ
知らんURLはクリックする前にソースチェッカーで調べれ、って

458 ：（○口○*）さん sage ： 2007/03/28(水) 17:22 ID:gkIumkse0

ソースチェッカーもある程度の知識がないと何の警告なのかちんぷんかんぷんなので、
丁寧に教えられる環境でなければ混乱させるだけのような気がする。

459 ：（○口○*）さん sage ： 2007/03/28(水) 18:17 ID:OqBq7l1I0

>>446
昔からウイルスを作るツールが出回っているから、それがVBScript対応なんだろう

460 ：（○口○*）さん ： 2007/03/28(水) 19:32 ID:Tbc73zvB0

ageます

461 ：（○口○*）さん sage ： 2007/03/28(水) 20:40 ID:yi9YJqav0

>>446
>>459
大前提としてウィルスなどに感染するためには、何かしら「実行」する必要がある。
だから、ウィルス本体や感染してるファイルをDLしただけでは感染しない。
そして、VBScriptがウィルスなどの感染に使用されているのは
外部のファイルを取り込みPCの記録媒体に書き込む事が可能なだけでなく
任意の実行ファイルを実行させる事が可能なため。
興味を引くようなファイルをDLさせて解凍や実行させる必要も無く
ただブラウザで表示させるだけで感染させることが可能なのだから
使われない方がおかしいだろう。

462 ：（○口○*）さん sage ： 2007/03/28(水) 20:49 ID:LT4b43kr0

>>461
機能面においてVSScriptでできてJScriptでできないことってあったっけ？

463 ：（○口○*）さん sage ： 2007/03/28(水) 22:01 ID:N+/yQ+tt0

なんとなくだが
こっちのスレを作ったことにより本スレの方が荒れるようになった気がする

464 ：（○口○*）さん sage ： 2007/03/28(水) 22:16 ID:3NMoTp3z0

スレのすみわけしたいのはわかるけど
歴史あるスレが満場一致でわかれたわけでなし
まだ試行錯誤の段階であの対応は見てて嫌な気分になるな
だいたいスレの性質上新規の人があわてて飛び込んでくる可能性が
高い場所「セキュリティ」より「アカハック」という単語で飛びつく人だって
多いだろうさ　せめてこの最初の１スレ位はもうちょっとやんわりと
移動を促してもいいんじゃ無いかと思うんだけどね
報告があっても怖くてアッチ書き込めないもんｗ偉そうでｗ

465 ：（○口○*）さん sage ： 2007/03/28(水) 22:48 ID:yi9YJqav0

>>462
詳しいわけでもないし、ここにあがる罠サイトを読むために調べた程度なので
そうやって聞かれても困るんだが調べてみた。
で、VBScriptとJScriptは同じランタイムを使用しているらしいので
言語仕様が違う程度で機能的には同等という認識で良いと思う。

466 ：（○口○*）さん sage ： 2007/03/28(水) 22:56 ID:dgW7tZCo0

アカウントハック総合対策スレ6より誘導されてきました。

すいません、ちょっと気になったので質問なのですが
先ほどライブドアＨＰにてブログ一覧から人気のページ、ブログをクリックしてみたら
意味不明な内容だったり、真っ白なページだったり・・・

これは偽ページとかじゃないですよね・・・・？

開いたページ
http■//www■livedoor■com/blog

見たのは
■よく眠るために覚えておきたい17のTips
■無料で使える大きめアイコン素材集 10サイト
です。

467 ：（○口○*）さん ： 2007/03/28(水) 22:58 ID:OB7P870p0

>>466
スレ違い
勇気がなくて踏めない人のための鑑定ｽﾚPart13
http://pc11.2ch.net/test/read.cgi/hack/1173634465/

ここで聞け
春になると馬鹿がわいて嫌になるわぁｗ

468 ：（○口○*）さん sage ： 2007/03/28(水) 23:11 ID:rzkYuRlx0

( ﾟДﾟ)・・・

469 ：（○口○*）さん sage ： 2007/03/28(水) 23:12 ID:JUbIRuk80

釣られないぞ…

470 ：（○口○*）さん sage ： 2007/03/29(木) 00:31 ID:tJJe1Py90

>>465
>>461は知ったような口調で述べられていて、そんな事情を察することは
できないのに「困る」と言われても困る。

でも、わざわざ調べてくれてありがとう。

471 ：（○口○*）さん sage ： 2007/03/29(木) 01:08 ID:lvk0GWvg0

なんか長文多くなってきたな。
対策スレで持論展開はあんまり意味ないからなるたけ簡潔にしとこうよ。
長文なんて読み飛ばされる最有力候補だぞ。

472 ：（○口○*）さん sage ： 2007/03/29(木) 07:14 ID:TNnHVFU90

ソースチェッカーで100％安全と出ても「黒」の場合もあるわけで

473 ：（○口○*）さん sage ： 2007/03/29(木) 07:46 ID:DFZZ8RKM0

>>464
とりあえず、こっちに書いてみたら？
有用な情報なら有志が転載してくれるさ。

474 ：（○口○*）さん sage ： 2007/03/29(木) 07:52 ID:Nl22VKWQ0

▼スパイウエアの手口と対策
http://itpro.nikkeibp.co.jp/article/COLUMN/20070322/265871/

なんか役に立ちそうなんでリンク貼っとく。一読を推奨。

475 ：（○口○*）さん sage ： 2007/03/29(木) 08:33 ID:BmfpOd/80

>>472
HTMLやScriptを読めるなら、HTMLファイルを一旦テキストとしてダウンロードして、
テキストエディタで開いて確認という手もあるけどね。

やばそうな部分を発見したら、そこだけ除去して開くとか・・・
大きいファイルだと見逃しがありそうで怖いけど。

476 ：（○口○*）さん sage ： 2007/03/29(木) 16:52 ID:SWrXgnfS0

読み飛ばされる最有力候補投下ｗ

■1PC環境におけるウィルス駆除前のパスワード変更方法について
　踏んでしまった or 踏んだかもしれない時、すぐに安全な他のPCを利用できない場合どうすればいいのか、
　テンプレにもBSWikiにも記述がありますので良く読んで頂くとして、事前の準備を考えている人向けにﾌﾟﾁまとめ。
　これまでに確認されたアカウントハックのプログラムは、感染力のあるウィルスやワーム
　と言ったものではなくトロイ・スパイウェアの類なのですが、この先どこまで高機能化するか判りませんし
　やはり「ネットからの切断・感染PCの隔離」が最優先事項といえます。
　それ故に同じPCで早急にパスワードの変更をしたい場合には、それなりの事前の準備が必要になってきます。

・1CD Linux （詳細はテンプレやBSWiki安全の為にを参照）
　Windowsではない別のOSである「Linux」をCD(DVD)から起動してGungho公式にアクセスしパスを変更します。
　[長所]
　　安全度はかなり高いといえます。HDDを使わないので緊急用としてはお手軽です。
　　初めてLinuxを使う人は操作に多少戸惑うかもしれませんが、ブラウザ起動さえ出来れば
　　パス変更程度ならなんとかなるでしょう。
　[短所]
　　CD-Rを持っていてISOイメージで焼く事のできる人のみ利用可能です。(雑誌のオマケに付いている事も有りますが)
　　自分のPCで上手く動くCDを作成するまでが大変かもしれません。
　　ハードウェアの認識力は高くなってきてはいますが、まれに古いPCや相性の悪いPCだと動かない事もあります。
　　（その場合は別の1CD Linuxを試してみると動く事もあります。Linuxは様々な派生バージョンがありますので）

・ディアルブート
　1台のPCにWindowsを2つ(もしくはWin+Linux)入れておいて非常時にはサブの方から起動しパスを変更します。
　メインで使うWindowsからサブのWindowsが見えないように分離したい所なのですが、その辺りの設定が出来る
　ブートマネージャを導入しパーティションを不可視にするといった作業はやや難しいかもしれません。
　[長所]
　　サブが使い慣れているWindowsならやり易いでしょうし、オンラインウィルススキャンをかける事も出来ます。
　　Winが2つの場合安全度はウィルスの能力により大きく変動しますが、2つを分離できれば高いといえます。
　[短所]
　　OSのクリーンインストールをほいほいできる程度の知識は必要です。
　　建前としてWindowsを2つ所持している必要があります（サブをLinuxにすれば問題ありませんが）
　　メーカー製のOSリカバリーディスクしかない場合、ディアルブート環境にするのが難しい場合もあります。

477 ：（○口○*）さん sage ： 2007/03/29(木) 16:52 ID:SWrXgnfS0

・仮想PC
　仮想PC（仮想マシン）とは、あるOS（ホストOSと呼ぶ）の上にPCのハードウェアをエミュレートする環境を構築して、
　その上で別のOS（ゲストOSと呼ぶ）を動かす仕組みの事です。
　具体的には"Microsoft Virtual PC"等を利用してWindows上に仮想マシン環境を構築しそこに別のOSを入れる事になります。
　[長所]
　　ゲストOSとホストOSの垣根を越えて悪さをする事は、基本的には出来ない筈ですから安全度は高いといえます。
　　使いこなせれば利便性はかなり高いです。ROにログインしたままパス変更をする事も可能だと思います。
　[短所]
　　ググればインストールの方法などは出てきますが、まったくの初心者にはやや難しいかもしれません。
　　ある程度のマシンパワー（特にメモリ）が無いと重いです。

・IPフィルタ・パケットフィルタ等による一時的な送信制限
　指定したIPに対する通信をブロックするツールの中には、
　全域(0.0.0.0-255.255.255.255)をブロックした上で一部IPのみを許可できる物もあると思います。
　つまり緊急時に指定したIP（Gungho公式やRO鯖のみ）に対してだけ送信を許可して、
　パスワードを変更し時間を稼ごうという訳です。
　FW系セキュリティソフトを導入済みなら、設定によって実現できるかもしれません。
　[長所]
　　うまく設定できればROにログインしたままパス変更ができます。あくまで時間稼ぎの緊急措置ですが。
　[短所]
　　プライベートIPの場合は非常に話がややこしくなります。
　　そこそこの知識が必要でやはり敷居が高すぎるかもしれません。設定をミスれば全く無意味なのでやる人はいないかも…


※ウィルスに対する安全性・導入の難易度・使用中PCへの影響などを総合的に考えると、
　お勧めは「1CD Linux」もしくは「仮想PC」といったところでしょうか。

Wikipediaによる1CD Linuxの解説 ja.wikipedia.org/wiki/1CD_Linux

1CD Linuxは↓をみていただくと判る通り多くの種類が有ります。
ライブCDの部屋 2.csx.jp/livecdroom/

代表的な1CD Linuxである"KNOPPIX"の入手方法　(産業技術総合研究所版 KNOPPIX)
unit.aist.go.jp/itri/knoppix/index.html
ダウンロード→CD(ISO)版→最新ダウンロードサイトの3つから選んで
knoppix_v5.1.1CD_20070104-20070122+IPAFont_AC20070123.iso
ってのをダウンロードしてみて下さい。サイズは700M位あります。
ダウンロードできたらCD-Rに書き込む訳ですが、ライティングソフトのマニュアルを熟読して
必ず「ISOイメージ」として焼いて下さい。でないと起動できないただの巨大なファイルを焼いてしまう事になります。

478 ：にゅぼーん にゅぼーん ： にゅぼーん

にゅぼーん

479 ：（○口○*）さん sage ： 2007/03/29(木) 18:20 ID:fDGijbdI0

最悪はネットカフェ行けばいいじゃないかなんて思ったが垢ハック踏んだPCだったら乙なんだな･･･

480 ：（○口○*）さん sage ： 2007/03/29(木) 18:28 ID:xyIZCvHJ0

>>476-477
ウホッいい長文！
わかりやすくていいな。

>>478
ドットは■に置き換えた方がいいのでは？

481 ：（○口○*）さん sage ： 2007/03/29(木) 18:28 ID:1bZJhO7f0

>>467
バカかお前？
>>466は「クリックして見たら」って書いてるから既に踏んでしまった
だろうに、なんで「踏めない人のための」スレ紹介してるんだよｗ

>>466
「よく眠る」方のリンクはどうもRSSにリンクされてたらしく意味不明に
見えたのだと思われる。サイト自体は問題なし。
「無料で使える」の方は、それっぽいのが複数出て来ててどれが
問題のものかが解らなかった。
踏んだと思われるＵＲＬとか解らないかね？

482 ：（○口○*）さん sage ： 2007/03/29(木) 18:39 ID:u3Fz5CRe0

>>481
今更20時間前の書き込みにレスして何になるのかと

483 ：（○口○*）さん sage ： 2007/03/29(木) 19:05 ID:SWrXgnfS0

>>476
しまった_|￣|○||l
×ディアルブート
○デュアルブート

>>480 ウホッあり〜

484 ：478 sage ： 2007/03/29(木) 19:06 ID:hyFH033M0

>>480
うわっと、ごめんなさい。すっかり忘れていました。
でも専用ブラウザでもリンクになっていないみたいでよかった（汗）

485 ： ◆sp4Sh9QXGI sage ： 2007/03/29(木) 19:14 ID:rshcauVS0

某Battle Offline Wikiを見てきましたが、確かにアレはひどいですね…
リンクが全体的に書き換えられており、
掲示板にも多数危険URLが書き込まれているにも関わらず、放置されている傾向が強いようです。
外部リンクチェックなども無いようですし、対処されるまで閲覧は控えたほうがいいかもしれません。

486 ：（○口○*）さん sage ： 2007/03/29(木) 19:15 ID:VZqdkFsV0

>484
いや、かちゅ〜しゃだとリンクになってるから……

487 ：（○口○*）さん sage ： 2007/03/29(木) 19:28 ID:lvk0GWvg0

>>484
ブラウザによってはhやhttp://抜きでも自動的に補うし、
クリップボードのコピーから自動的に開くのすらあるんで
うっかりでも踏んでしまわないための■変換です。

488 ：478,484 sage ： 2007/03/29(木) 19:40 ID:hyFH033M0

ごめんなさい。削除依頼書いてきました。
あわてて削除ガイドラインも斜め読みなのだけど、これでいいのかしら
>>478がリンクになってしまっている人、踏まないでください＞＜
以後気をつけます＞＜

489 ：（○口○*）さん sage ： 2007/03/29(木) 19:40 ID:migEHEFv0

ttp://www■blog-livedoor■net/game/　
のアドレス誤クリックで踏んじゃった・・・
とりあえず今ＰＣに入ってるノートン先生使ってスキャンかけてるけど
踏んだ時点で反応しなかったところを見ると検出は望み薄

状況は
踏んだ後サバキャンで慌ててパス入力してしまった気がする
別ＰＣは用意可能（ただし回線はルーターで分けているのみ）
スキャン実行中（現在検出なし）
です

現状で取るべき行動をご教授ください

490 ：（○口○*）さん ： 2007/03/29(木) 19:47 ID:migEHEFv0

age忘れた･･･

491 ：（○口○*）さん sage ： 2007/03/29(木) 19:56 ID:WqcwjnTX0

>489
別PCが安全と言えるなら、急いで別PCからアトラクセンターに繋いでPASSを全部変更。
安全といえないなら1CD LinuxをDLして焼いてからそっちで起動して同様に。

感染PCは駆除に専念し、安全になるまではLANケーブルは引っこ抜いておく。
どうしても駆除できそうに無いならOS再インストールも視野に入れる。

492 ：（○口○*）さん ： 2007/03/29(木) 20:00 ID:migEHEFv0

ＬＡＮケーブルを引っこ抜くとインターネットを介した駆除作業が実行できなくなるけど、それでも引っこ抜いた方が良い?

493 ：（○口○*）さん sage ： 2007/03/29(木) 20:17 ID:Nl22VKWQ0

>>492
垢ハックは、ウィルスではないので、そのＰＣでログイン・パスワード変更作業をしなければOK。

１．まずは別ＰＣからパス変える
２．カスペやNOD32などで検出して除去する
３．もしくはHDDフォーマットからのクリーンインストール
　　（トロイなので、データには不着せず、増殖作業も行なわないからバックアップ取るのはＯＫ）
４．元のＰＣの環境構築
５．元のＰＣでＲＯをプレイ

494 ：（○口○*）さん ： 2007/03/29(木) 20:36 ID:Mhu3swg00

>>481様

>>466です。一日超えても見てた甲斐がありました！
ありがとうございます。

見たアドレスは
■よく眠るために覚えておきたい17のTips
http://clip■livedoor■com/page/http://www■popxpop■com/archives/2007/03/17tips■html

■無料で使える大きめアイコン素材集 10サイト
http://clip■livedoor■com/page/http://www■designwalker■com/2007/03/free_icons■html

です。
あと別件なのですが、踏んだか！っと心配になってカスペオンラインスキャンを
実行してみたとこ

C:\Documents and Settings\\Local Settings\Application Data\
Identities\\Microsoft\Outlook Express
受信トレイ.dbx/[From "Branch Banking and Trust" ]
[Date Sun, 4 Mar 2007 13:53:57 +0900 (JST)]/UNNAMED/html
（個人名削除）

から感染: Trojan-Spy.HTML.Bankfraud.ra と表示されました。
Trojanは垢ハックスレに良く出てくるものですが、これもそうなのでしょうか？
調べて見ましたが、詳しい情報が分かりませんでした・・・。

と言うか2007.3.4にメールで感染してるっぽい・・？
最新のノートンでメールチェックしてるのに＿|￣|○ il||li

495 ：（○口○*）さん sage ： 2007/03/29(木) 20:37 ID:Mhu3swg00

歓喜のあまりsage忘れすいません・・・orz

496 ：（○口○*）さん ： 2007/03/29(木) 20:59 ID:migEHEFv0

>>493
とりあえず1は行いました
ノートン先生は何も検出しませんでした
現在カスペでスキャンかけているところですが、今のところ検知は出来ていないようです

とりあえず張られていた場所（ＭＭＯＢＢＳのＰｖスレ）
ＭＭＯＢＢＳで何度も張られている
という事から入った可能性のあるウイルスは垢ハックと推定しているのですが
この推測を裏付けるもしくは覆す要素はあるでしょうか?

また3にバックアップを取るのはＯＫと書いてありますが、つまり出自を自分で知っているものならば
データをコピーしてフォーマット後再度そこから戻す、という操作でよいのでしょうか?

ローカルディスクをまとめてコピーしたらいみないですよね･･･

497 ：（○口○*）さん sage ： 2007/03/29(木) 21:22 ID:Nl22VKWQ0

>>494
>Trojanは垢ハックスレに良く出てくるものですが、これもそうなのでしょうか？
トロイは、垢ハック以外のケースが有ります。今回も、メール経由で入ってきてますし、
垢ハック系の名称と違いますから、別件でしょう。

>最新のノートンでメールチェックしてるのに＿|￣|○ il||li
ノートン先生は、基本がウィルス対策なので、トロイやスパイウェア系は弱いかもしれません。
Spybotや、Ad-Aware などを組み合わせるといいと思います。

498 ：（○口○*）さん sage ： 2007/03/29(木) 21:44 ID:Nl22VKWQ0

>>496
>ノートン先生は何も検出しませんでした
>現在カスペでスキャンかけているところですが、今のところ検知は出来ていないようです

View-source：〜で確認した所、確かに、VBスクリプトが入っています。
これを、保存して、スキャンをかけましたが、これ自体はNOD32では検知しませんでした。

そして、このVBスクリプト中にある「http://www■blog-livedoor■net/game/svch■exe」を
ダウンロードしようとしたところで、NOD32が反応し、「Win32/PSW.Maran トロイ の亜種」を
検知しました。

時間 モジュール 対象 名前 ウイルス アクション ユーザ システム情報
2007/03/29 21:35:00 IMON ファイル http://www■blog-livedoor■net/game/svch■exe ウイルスの可能性 : Win32/PSW.Maran トロイ の亜種

ＶＢスクリプトが実行される時点までは、そのセキュリティソフトも反応しないと思われます。
そして、exeがダウンロードされるか、実行された時点で、始めて垢ハックウィルス（トロイ）として
検知されます。

このファイルを入手する前の段階で、ブラウザを終了させていた場合、感染しておらず、セキュリティソフトも
反応しないことになります。

499 ：（○口○*）さん ： 2007/03/29(木) 21:57 ID:migEHEFv0

今カスペのスキャンが終了しました
ウイルスを一つ検知
感染: Trojan-Downloader.Win32.Dyfuca.t
という事です

えっと・・・このウイルスの動作及び駆除の方法を調べる方法はあるでしょうか?
ウイルス名で検索かけると上位が英語サイトばかりで・・・

500 ：（○口○*）さん sage ： 2007/03/29(木) 22:06 ID:6YfGOV5C0

>>494
＞[From "Branch Banking and Trust" ]
これはフィッシング詐欺メールで、ROと全く関係ないです。
「“フィッシング”に悪用可能なセキュリティ・ホールが続出」てググって見てください
ITPROのサイトに似た事例が載っています。

そして、誘導されて悪意あるサイトを見ていない限り、「感染」はしていないので
今回、ノートンに罪はありません
貴方が受信トレーにスパムメールを置きっぱなしにしているのが原因です

501 ：（○口○*）さん sage ： 2007/03/29(木) 22:11 ID:VZqdkFsV0

>499
Downloaderという名称のものは、そのウィルスが次々に別のウィルスを勝手に
DLしてインストールしてくれるタイプ。
つまり放っておくとPCはウィルスだらけになる。

カスペのオンラインスキャンで検出したのなら、カスペの体験版をDLしてきて
駆除するのが一番早いかな。
ただNortonと干渉すると厄介なので、一度Nortonをアンインストールしてから
やったほうがいいかも。

ttp://service1.symantec.com/SUPPORT/INTER/tsgeninfojapanesekb.nsf/jdocid/20041005144122953?Open&src=jp_w
にある削除ツールで完全に消せるので、その後カスペ体験版入れて駆除。
その後またNorton入れるなら、カスペをアンインストールしてから再度Nortonを入れる、って格好で。

502 ：（○口○*）さん sage ： 2007/03/29(木) 22:20 ID:Nl22VKWQ0

Win32.Dyfuca ：（W32/Dyfuca.T (F-Secure)） 広告ダウンロード用
説明：
ttp://www.casupport.jp/virusinfo/2005/win32_dyfuca.htm

TROJ_DYFUCA.F：
>これは「トロイの木馬型」不正プログラムです｡webサイトに接続して、自身のアップデートやファイルのダウンロードを行います｡
ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_DYFUCA.F

この辺の亜種なので、自動で自身のUpdate等を行なう（もしくは、垢ハック用のトロイをダウンロードさせるためのものかも）
ということだと思います。その辺のつもりでチェックしたらいいかもですね。

503 ：（○口○*）さん sage ： 2007/03/29(木) 22:21 ID:migEHEFv0

>>501
ありがとうございます
なるほど・・・とりあえずウイルスを送り込む突破口を開かれた、ということになるのですね

とりあえずスキャンが終了した時点でLANケーブルを抜いたので現状で
このウィルスの被害は拡大しなくなったと見て良いのでしょうか・・・

しかしダウンローダーが入ってるとすれば何かしらの検知できていないウイルスが
既にPCに入ってる可能性が高い、ということになるのでしょうか?

504 ：（○口○*）さん sage ： 2007/03/29(木) 22:57 ID:VZqdkFsV0

>503
>このウィルスの被害は拡大しなくなったと見て良いのでしょうか・・・

『その』ウィルスに関しては『ほぼ』YES。
でも『それ以外の』ウィルスに関しては、存在含めて回答不能。

Nortonが見逃してカスペが検出したように、カスペが見逃して他のが
検出する事もあるし、何よりどのアンチウィルスソフトも万能じゃない。
アンチウィルスソフトがウィルスを発見出来なかった場合、文字通り
発見出来なかっただけだし。

既にPC内に別のが入り込んでるかは何とも言えない。
カスペ以外のほかのオンラインスキャン等を使うとかして見つからなければ
『多分』安全。

505 ：（○口○*）さん sage ： 2007/03/29(木) 23:02 ID:Nl22VKWQ0

>>499
あー、そうそう。それ、多分、今回の件(>>489)とは別物で引っ掛かった奴だから。
今回踏んで導入されそうになるのは、>>498で書いたもの。

垢ハック発動させたかの確認ですが、

■作業１■
　現在の状態で、ブラウザを使用して、
　　>そして、このVBスクリプト中にある「http://www■blog-livedoor■net/game/svch■exe」を
　こいつをダウンロードしてみて下さい。絶対に実行しちゃだめですよ。

　実行ではなく、あくまでも「ダウンロード」。

　ダウンロードした時点で、ノートンが検知し、警告なり、隔離なりして、保存に失敗したり、
　保存したファイルのサイズが0KBになっていた場合は、ノートンのパターンに登録されていて
　ブロックできることになります。

□作業結果１−１□
ここで、ノートンが反応する場合、jscriptが走って、垢ハック用トロイの本体を
入手しようとした時点でブロックできる訳ですので、
「今回反応しなかった」＝「jscriptが実行されなかったか、本体入手前に切断した」ために、
セーフである　 可　能　性　が　高　い 　です。

この場合、セーフと考えてＯＳを入れなおさない選択肢も、"自己責任"にはなりますが、可能です。

□作業結果１−２□
残念ながら、ここでノートンが反応しなかった場合、「すり抜けた可能性が高い」ので、
削除、もしくは、ＯＳ入れなおしの処理が必須である可能性が高いです。

506 ：（○口○*）さん sage ： 2007/03/29(木) 23:03 ID:Nl22VKWQ0

■作業２■
さて、残念ながら、ノートンでは反応せずに、本体が入手できてしまった場合です。
（以降、このファイルを検体）と呼びます。

この検体をカスペルスキーオンラインスキャンにかけてみてください。

なぜ、このような検査をするかというと、「感染状態で」あるウィルスが、自身をステルス化して、
「セキュリティソフトの検知を阻んでしまう」事例があるからです。

□作業結果２−１□
検体が検知でき、>>499で確認された「Trojan-Downloader.Win32.Dyfuca.t」とは
別の名称であった場合スキャンした時点で、今回の垢ハックは、「カスペでは検出可能」であり
「最初のスキャン時点で検出しなかった」ということは入手前であった可能性がでてきます。

この場合、jscript実行前か、実行してしまったが、本体入手前に切断したということが
考えられます。その想定通りの場合、感染していない筈ですから、"自己責任"でそのまま
使い続けることが可能です。

□作業結果２−２□
検体が検知でき、>>499で確認された「Trojan-Downloader.Win32.Dyfuca.t」であった場合、
そいつが踏んでしまったものの本体です。検知できたセキュリティソフトで除去しましょう。

ステルス化できていない[検知できる]わけですから、普通にセキュリティソフトを入れて
削除すれば、一応はOKです。ただ、なにかの感染の疑いがあるというか、感染しちゃって
いるわけですから、条件としてはよくないです。

可能な限り、別パーティションや別ＨＤＤにクリーンな環境を構築し、そこにセキュリティ
ソフトを入れ、そこから、感染したHDDをスキャンし、除去作業を行なってください。
それが完了したら、元のHDDから起動しても安心です。

□作業結果２−３□
残念ながら、入手した検体が、カスペで検知できなかった場合。これは最悪の状況ですね。
「Trojan-Downloader.Win32.Dyfuca.t」は入っている。それとは別に検知できない
「垢ハックのトロイも入っている」という訳です。

別のセキュリティソフトで対処しなければなりません。

507 ：（○口○*）さん sage ： 2007/03/29(木) 23:03 ID:Nl22VKWQ0

（□作業結果２−３□ 続き）

今回、NOD32では検知可能という報告がありますので、NOD32を使用して、改めて、作業２を
行なってください。

NOD32は、アップデートしないと、「Win32/PSW.Maran」を検知できなかったと思いますので
（ヒューリスティックスキャンすり抜けて、検体提出後対応された）パターンの更新が必要です。
試用版状態からパターン更新を行なう為には、IDとパスを入手する為メールの送受信が必要になります。
このメールアドレスやパスワードが抜かれる危険があるので別ＰＣや、別HDDなどで起動し、
安全な環境で試用期間用のIDとパスを入手して下さい。

該当PCにインストールしたNOD32に、安全な環境で入手したIDとパスを入力し、パターンを更新します。
その後、■作業２■をNOD32で行なってください。あとは結果２−１〜２−２のどちらかになるので
書いてある対処を。

NOD32を入れても、作業結果が□２−３□になってしまった場合、ステルス化されてしまって
検体が検知できなかったことになります。この場合、別HDDや別パーティションを作って、
そこにクリーンな環境を構築し、そこにNOD32を入れて、除去作業を行なう必要があります。
（別PCがあるなら、そっちにHDDを繋いで、クリーンな環境である別PCから除去作業をできるでしょう）

508 ：（○口○*）さん sage ： 2007/03/29(木) 23:09 ID:Nl22VKWQ0

最後に、書き忘れ。

本当に踏んだかどうかの確認の為に入手した「検体」の廃棄方法ですが、ごみ箱にドラッグとかすると
ダブルクリックで（今まで発動させていなかったにもかかわらず）誤爆発動させてしまう危険があります。

■検体廃棄方法■
１．該当ファイルはクリックではなく、マウスカーソルをドラッグさせて、範囲指定でファイルを指定します。
２．選択したファイルは　ごみ箱へドラッグせずに（ここ重要）　メニューバーのファイルから、削除を選びます。
３．ごみ箱に入ったら、普通にごみ箱を空にして下さい。

以上。

509 ：（○口○*）さん sage ： 2007/03/29(木) 23:15 ID:ipni2NYs0

オンラインスキャンってアンチウィルスソフト常駐させてるPCでやっても大丈夫？

510 ：（○口○*）さん age ： 2007/03/29(木) 23:15 ID:PH/GQR0+0

ノートンの有効期限がきれた今しか聞けないだ！

ぶっちゃけ、今一番有効な対策ソフトって何ですか？
田舎だけど、明日にでも買いにいくので、親切な方教えてプリーズ

511 ：（○口○*）さん sage ： 2007/03/29(木) 23:22 ID:rqQEJFWZ0

正直、罠URLを踏む人はどれを使っても同じだよ

512 ：（○口○*）さん sage ： 2007/03/29(木) 23:24 ID:Nl22VKWQ0

>>510
総合スレの2より。ヒューリスティックスキャン機能の充実が鍵ぽい。

【PCにウィルス対策ソフトを導入してない方へ】
・Kaspersky Anti-Virus (体験版)
　http://www.kaspersky.co.jp/trial/
・カスペルスキー：オンライン ウイルス＆スパイウェアスキャナ
　http://www.kaspersky.co.jp/scanforvirus/
・NOD32 アンチウイルス (体験版)
　http://www.canon-sol.jp/product/nd/trial.html

513 ：（○口○*）さん sage ： 2007/03/29(木) 23:27 ID:VNHFeZqd0

今までノートン使ってて、特に不満がなければノートンでいいよ。
使い慣れてるのが一番だし、次の機会（1年？）までにこれに変えたいってのが
出てきたらそれにすればいい。

514 ：（○口○*）さん sage ： 2007/03/29(木) 23:41 ID:migEHEFv0

えっと・・・何点か質問が
今回カスペルで引っかかったものが別物だとするならば気になる現象が・・・

実は489のアドレスを踏んだ時、ページが表示できません、と表示されて、
VBスクリプトというものが動いた形跡が無いのが・・・

ところで、作業1はインターネットに繋がった状態で行わなければ意味がありませんよね?


また、VBスクリプト中に有るhttp://www■blog-livedoor■net/game/svch■exeをダウンロードするという動作は
元のhttp://www■blog-livedoor■net/game/を直にアドレスに入れて検索かければ良いのでしょうか?
それともhttp://www■blog-livedoor■net/game/svch■exeの方をいれないとまずいです?

509でrojan-Downloader.Win32.Dyfuca.tで誤爆発動の危険を指摘されていますが、
現状では発動しないかぎり危険は少ないということなのでしょうか？

515 ：（○口○*）さん sage ： 2007/03/29(木) 23:47 ID:3sL4oF2C0

なんか生兵法見てるみたいで冷や冷やする

516 ：（○口○*）さん sage ： 2007/03/29(木) 23:53 ID:rTngnwIQ0

ルータのフィルタリング設定が柔軟なものってなんだろう？
csvファイルで拒否IPをインポートできるような製品とか無いかな。


クライアントPCが複数あって家族共用なので上流のルータでバシッと止めたいんだ。。。

517 ：494 sage ： 2007/03/30(金) 00:07 ID:gbZTXFOz0

>>497
>>500
ご意見ありがとうございます。
今のところ垢ハック系ウィルスには感染してないようですね。
少し安心しました。あと、迷惑メールの中にあやしいのがあるっぽいですねorz
横着せずにメールチェックと削除をやりたいと思います。

あとは
■無料で使える大きめアイコン素材集 10サイト
http://clip■livedoor■com/page/http://www■designwalker■com/2007/03/free_icons■html
これの正体が少し心配です・・・。踏んだ後、ライブドアから外のアクセスになっていたので
かなり焦りました。ライブドアのブログに見せかけた偽サイトかと思いました。

最近は、捨てブログに垢ハックウィルス仕込むのまで居たとか聞いたので
正直、怖くていけません・・・・。これを機会に初期化しやすい環境でも作ろうと思います。

518 ：（○口○*）さん sage ： 2007/03/30(金) 00:10 ID:Y4S5AclJ0

>>514
>実は489のアドレスを踏んだ時、ページが表示できません、と表示されて、
>>514
>VBスクリプトというものが動いた形跡が無いのが・・・

それを先に言えYO！！

発動してねーよ、それは。


>また、VBスクリプト中に有るhttp://www■blog-livedoor■net/game/svch■exeをダウンロードするという動作は
>元のhttp://www■blog-livedoor■net/game/を直にアドレスに入れて検索かければ良いのでしょうか?
>それともhttp://www■blog-livedoor■net/game/svch■exeの方をいれないとまずいです?

後者だったけど、やる必要皆無。やると逆に危ないのでやっちゃだめ。
スクリプト動いてないなら実体が入ってきてないから安心しる。ノートンが検知しないのも当たり前。

どうしても試したければ、「自己責任」で後者をダウンロードして、ノートンが検知するか確認すれば
安心はできるだろう。だが、現在踏んでいないのに、安心感の為だけに誤爆で発動させる危険は
侵さないほうがいい。（>>505-508は、踏んでいることを前提にして、検知できなかった時の対処を書いた）

519 ：（○口○*）さん sage ： 2007/03/30(金) 00:27 ID:nLhiR8nN0

そっか・・・安心した
指名手配URLを踏んだ！しかもカスペルでウイルスが引っかかった！って時点で
既に視野狭窄に陥ってた・・・
ページが・・・ってのもてっきり偽装だと思い込んでたよ・・・

んじゃ、とりあえずカスペルで引っかかったトロイダウンローダーの駆除が当面の問題ですね・・・
ノートンアンインストールして・・・って操作は私の判断でやれることを超えている（親が判断すること）
なのでとりあえずLAN抜いたまま判断は親に委ねる事にします

ノートンで引っかからない以上いつから入ってたかわから無いのにダウンローダー以外検知されないってのが怖いところですが・・・

520 ：（○口○*）さん sage ： 2007/03/30(金) 00:28 ID:E4S0ry8J0

ttp://www.st.ryukoku.ac.jp/~kjm/security/memo/ の３／２９の記事

> Windows XP SP2 上の IE 6 / 7 における ANI (アニメーションカーソル) ファイルの処理に
> 0-day 欠陥があり、攻略 ANI ファイルを使って任意のコードを実行可能な模様。
> Windows XP gold / SP1 にはこの欠陥はない。
> Firefox 2.0 にもこの欠陥はない。
> McAfee は カーソルおよびアイコンのフォーマットの処理の脆弱性により、
> リモートでコードが実行される (891711) (MS05-002) を連想させる、としている。
>
> これを利用するダウンローダが存在する模様。

XPでIE使っている人は注意だ!!
既に攻撃ファイルが出回って居るぞ

521 ：（○口○*）さん sage ： 2007/03/30(金) 00:33 ID:Y4S5AclJ0

不正アクセス事件、未解決の半分はネット喫茶から
ttp://www.asahi.com/national/update/0329/TKY200703290297.html

セキュリティ関係のニュースなんで、一応貼っとく

＞　まとめでは、０５年中に認知した不正アクセス事件は５９２件。このうち、昨年５月末時点で３１５件は解決。
＞しかし残り２７７件の未解決事件のうち、約半数の１３９件はネット喫茶が利用されたことまでは突き止めたが、
＞店に利用者の身元確認記録がなかったため、捜査が進んでいないという。

ネカフェ使うときは、うざくても、身元確認しっかりした所にしような。

522 ：（○口○*）さん sage ： 2007/03/30(金) 00:36 ID:nLhiR8nN0

XPでIE使ってる人
定義ファイルの少し古いノートンで引っかからないダウンローダ
3/29の記事
更新バージョンを調べるとSP2・・・

まさか・・・そういうことなのか?

523 ：（○口○*）さん sage ： 2007/03/30(金) 05:20 ID:XLx82h+X0

>>516
csvを直接流し込めるのは、聞いた事が無いな……
telnetでconfigを流し込めるのは、伝統的なメーカー(ciscoとかYAMAHA)なら当たり前なので、こっちを考えた方が。
TeraTermのマクロなどを併用すれば、それほど手間にもならないだろうし。

>>517
外部サイト参照になっているのは、livedoor clipというソーシャルブックマークツールだからだと思われ。
ttp://clip.livedoor.com/
要は、ブックマークサービスに保存される事が多いページが、話題のページという扱いで一覧されている。

524 ：（○口○*）さん sage ： 2007/03/30(金) 13:00 ID:ylhEt75h0

「〜のオンラインスキャンを試してみたところ」って人が多いけどウィルス対策ソフトいれてないの？
それともそのウィルス対策ソフトがスルーしてるの？

ウィルス対策ソフト入れてもスルーされて感染してしまった場合は
なるだけ使っているウィルス対策ソフトの名前を書いて欲しい

525 ：（○口○*）さん sage ： 2007/03/30(金) 13:19 ID:dHBRSlKS0

俺は一応お守りのつもりでAvast入れてるけどまったく信用してないから、
各社オンラインスキャンはよく使う。

526 ：（○口○*）さん sage ： 2007/03/30(金) 14:11 ID:s7bqDCsx0

注意してたのにうっかり踏んじゃった…例のyahoo-gamebbsのやつ
URLクリックしてすぐブラウザの×押したけど回線光だから何かDLとかしてるかもな
Sleipnirでjava2種activeX2種オフにしてた
PG2が反応してChinaへの送信をブロック、Avastは無反応だった
現在カスペルスキーオンラインスキャン中、早急にすべきこと助言頼む

527 ：（○口○*）さん sage ： 2007/03/30(金) 14:12 ID:RgPBpI2i0

Kaspersky Internet Securityの英語ベータおぬぬめ。
普通のベータアクティベートコードじゃエラー出るんで
ひっそりと公開されているコードを入手する必要あり。
カスペ公式フォーラム下記URLのPost #14にある00C579A9.rarにコードが入っている。
ttp://forum.kaspersky.com/index.php?showtopic=32529&st=0

このコードはType: Beta key for 2 computersで3ヶ月利用可。
期限到来後に同じコードから再アクティできるかはまだやっていないので不明。
KISに搭載されているFWは性能はいいらしいけど設定が非常にわかりにくいかも。

528 ：（○口○*）さん sage ： 2007/03/30(金) 14:36 ID:Y4S5AclJ0

>>526
うっかりさんは、ほかのうっかりもリセットする為に、ＯＳをクリーンインストールしたらいいと思います。

529 ：（○口○*）さん sage ： 2007/03/30(金) 14:42 ID:grSVp8wF0

>>526
そこまで対策してるってことはそれなりに知識もありそうなもんだが、対処方法の助言がいるのか？
常識で考えればだが、PG2で接続先の中国IPを遮断し、さらにActiveXオフにしていたなら感染はしていないはず。
もちろん絶対とはいえないし、一度感染していたらスキャンしても検出されないことはある。
何度も言われているが、確実なのはOS再インストール以外にない。

530 ：（○口○*）さん sage ： 2007/03/30(金) 14:47 ID:s7bqDCsx0

テンパってたんだ、すまない
2chのROと全然関係ないスレでうｐ画像に混ざっててうっかり踏んじゃったんだ
みんなも注意してくれな
>>529Thxそれでは消えます

531 ： ◆sp4Sh9QXGI sage ： 2007/03/30(金) 17:22 ID:B7vUVDK90

Windowsに深刻な脆弱性、ゼロデイ攻撃も発生
　＠ITmediaエンタープライズ
http://www.itmedia.co.jp/enterprise/articles/0703/30/news035.html

…とのことです。

532 ： ◆sp4Sh9QXGI sage ： 2007/03/30(金) 17:23 ID:B7vUVDK90

追伸：
> 攻撃コードはアニメーションカーソルの「.ani」ファイルだけでなく、
> ファイル名をJPEGに変えたエクスプロイトが出回っているとの報告もある。

これってもしかして…

533 ： ◆sp4Sh9QXGI sage ： 2007/03/30(金) 18:18 ID:B7vUVDK90

もう一つ。
現在RO Blogの新着順トップに表示されている
『ゞJo?rn?y 最近の記事』
というBlogですが、ハッキングされたのか
iframeタグにlovetwが仕込まれています。
ご注意ください。

…とは言っても、もう21ほど踏んでしまった人がいるようですが(´･ω･`)

534 ： ◆sp4Sh9QXGI ： 2007/03/30(金) 18:20 ID:B7vUVDK90

4連すみません。

533は特にやばそうなんで一応警鐘ageときます。

535 ：（○口○*）さん sage ： 2007/03/30(金) 18:28 ID:HVj1uym80

>>533
それ怖いですな
仮に履歴に残ってたらうっかり踏んでしまいそうだ。
履歴とかもソースチェッカーをかけてから見ないと駄目か・・・

536 ：（○口○*）さん sage ： 2007/03/30(金) 18:35 ID:bta4pNBM0

21人踏んでるって…、気付いてるのかなその人達（；´Д｀）

537 ：（○口○*）さん sage ： 2007/03/30(金) 18:38 ID:HVj1uym80

そのRO BLOGの管理人に言っておかないとやばそうですな

538 ：（○口○*）さん sage ： 2007/03/30(金) 18:54 ID:bgBsD+Ty0

>>533のアドレス
ttp://nikang■blog79■fc2■com/
しこまれてるiframeタグのアドレス
ttp://www■lovetw■webnow■biz/2jp/ (既出:リネ室設定のPG2でブロック可)

またまたFC2ですね。FC2やばいなあ。
しこまれてるトロイは、これもスレで何度も出てるVBS/Psymeです。

539 ：（○口○*）さん sage ： 2007/03/30(金) 19:14 ID:uAs785O80

テレポやハエはおろか蝶すら使えないMAPというのはありますか？
BOTを隔離したいのですが。

540 ：（○口○*）さん sage ： 2007/03/30(金) 19:18 ID:XLx82h+X0

>>533,538のBlog、ハックされたわけではなく、本物からのコピペ模造による罠Blogのようだ。
ちなみに、本物はlivedoorで運用している。

ひとまず、fc2には通報済みだが、念の為にフォームの場所も置いておく。
https://form1ssl.fc2.com/form/?id=49541

541 ：（○口○*）さん sage ： 2007/03/30(金) 19:38 ID:Y4S5AclJ0

>>539はマルチ＆スレ違いなんで放置で

542 ：（○口○*）さん sage ： 2007/03/30(金) 19:48 ID:wcQ5XtJ00

>>539
蝶使えないMAPがあるかは分からんけど、BOT隔離MAPとして
リヒ宿とかフィゲルとかはどっかで見たことある。
蝶が切れてたら死に戻りするしかないらしく対応してないBOTには
有効らしい。

543 ：（○口○*）さん sage ： 2007/03/30(金) 19:50 ID:HVj1uym80

うかつにブログサーフィンとかもできないなぁ・・・

544 ：（○口○*）さん sage ： 2007/03/30(金) 20:24 ID:ylhEt75h0

>>533
何処の新着順だろうとおもったらROBLOGってサイトがあったんだな・・・
エキサイトとか探し回っちゃったよ('A`)

545 ：（○口○*）さん sage ： 2007/03/30(金) 20:31 ID:D0rl3ztg0

IE系ブラウザでJava2種ActiveX2種無効、
Proxomitronでiframeやスクリプト系は全部書き換えて殺してるんだけど
この状態でもハックされる可能性のあるものってありますか？

546 ：（○口○*）さん sage ： 2007/03/30(金) 20:43 ID:7ybWBEVs0

>545
脆弱性を突くタイプは穴があるかどうかすら不明だから、ハク犯が見つけた日には
ゼロディで表面化する。
その中にROの垢ハクウィルスがないとは言い切れない。
pdf・QuickTime・Flash等も含めて、の話になるが。

ブラウザ以外ならメール経由やらny等の罠ファイルやら、幾らでもあると思われ。

547 ：（○口○*）さん sage ： 2007/03/30(金) 20:59 ID:QnUEdMhl0

>>545
可能性があるかという質問を投げたら、
ないとは言い切れないという答えしか返ってこないだろうね。
>>531みたいな例もあるし、公に知られていない脆弱性を利用されたらアウト。

極論を言えば、view-sourceしただけで任意コードが実行されるバグが
あったりするかもしれないし。ないと思うけどね。

548 ：（○口○*）さん sage ： 2007/03/30(金) 22:16 ID:zaqYcEsc0

BSWikiさんとこにこんなのが出来てた。
http://smith.xrea.jp/riskycheck.php

なんか未だ実験中らしいけど場合によっては結構使えそうだね。

549 ：545 sage ： 2007/03/30(金) 22:26 ID:D0rl3ztg0

なるほど
最低限ブラウザ経由で狙われないよう対策したつもりでしたが
未知の脆弱性に関してはどうしようもないですね
今後も油断しないようにします

ほんとインターネットは地獄だぜフゥハハハーハァー

550 ：（○口○*）さん age ： 2007/03/30(金) 23:01 ID:yhzCtRzj0

>>533
今見たら27件になってたよ、皆気をつけて！

551 ：（○口○*）さん sage ： 2007/03/30(金) 23:16 ID:bta4pNBM0

注意は当然としてなんとからなんのかな…

552 ：（○口○*）さん sage ： 2007/03/31(土) 00:28 ID:rmEYnVNt0

最近の中華(or国内の愉快犯)はもう　必　死　だ　な　。
巡回先の2chネトゲサロン板に、「発光式を行います」ってタイトルの
いかにもROプレイヤーを対象にしたスレが立ってたからなにげにクリック。
どこぞのblogに書かれていたんであろう文面とともに
怪しげなURL(www■fcty-net■com)が書かれてたんで調べてみた。
Iframeでlovetwの例のアレが仕込まれてて、ホスト所在地は中国。

もうROは垢ごと消してあるからとはいえ、おちおち2chも巡回できないのかよ（´Д｀；)

553 ：（○口○*）さん sage ： 2007/03/31(土) 00:45 ID:FZ2RknGU0

DSBLやBBQのような、ブラックリスト関連に登録されるように働きかけるのが手っ取り早いか。
今のところ、殆どの投稿が国外からのようなので、巻き添えで害を被るケースは少ないだろうし。

554 ：（○口○*）さん sage ： 2007/03/31(土) 01:11 ID:I1sUQnU/0

iframeを無効化する方法となると、>>545のProxomitronぐらいしかないかな？
IEのオプションいじっても意味ないよね？

555 ：（○口○*）さん sage ： 2007/03/31(土) 03:07 ID:ZpIQ+vTK0

Proxomitronは超優良ソフトだな
個人的にはこいつなしじゃネット巡回する気も起きない
導入方法や設定がやや難解な面もあるけど
ハック予防にも効果あるし未導入の人には強くオススメしておく

556 ：（○口○*）さん ： 2007/03/31(土) 03:41 ID:kyFtIcKLO

チョンに都合の悪い単語さ、HPに仕込んだらアクセス無くせるかな？

557 ：（○口○*）さん sage ： 2007/03/31(土) 03:59 ID:P4PWgF8t0

まだ、それをすることによるアクセスの変化までを検証した人は居ないので不明だ

558 ：（○口○*）さん sage ： 2007/03/31(土) 05:12 ID:HzrXnXag0

チョン関係あるのか？半島より大陸だと思ったんだが
単語入れることによって集中攻撃される可能性もありそうだけども

559 ：（○口○*）さん sage ： 2007/03/31(土) 06:47 ID:LqJS+avs0

>>557
アコプリのテンプレサイトでやってみれば効果の有無ぐらいは判ったかもしれないな。

>>558
今のところ関係があるような話は無かったように思うが
リネージュ資料室にあるPG2のリストには中国・韓国・台湾のがあるから
完全に無害、無関係だと言い切るのも無理がありそうだな。

560 ：（○口○*）さん sage ： 2007/03/31(土) 07:21 ID:zGtQW8Nh0

>>554
IEの「IFRAMEのプログラムとファイルの起動」を無効にして、実験してみました。
なお、インターネットゾーンでテストを行うため、サーバー上にＨＴＭＬファイルを上げて行いました。
（ローカルでやっても問題ないのかもですが、不明なゾーン（混在）になるのが気持ち悪かったので）

●実験で使用した環境
ＯＳ：Windows XP Professional SP2 および Windows XP Home SP2
ブラウザ：Internet Explorer 6.0 SP2

●実験手順
１．インラインフレーム内にgoogleを表示させる。
２．Windows Updateを検索し、マイクロソフトのサイトへ移動
３．Windows Updateを実行（ActiveXコントロールが使われてます）

ふつうにWindows Updateできてしまうわけですが・・・
Windows Updateができるようでは、どんな危険なコードでも走るでしょうね。
確かに「無効」に設定してるのになあ。いったいなにが無効になるというんだろう・・・

ちなみにサーバーに上げたHTMLファイルはこんなのです(↓)
<html><body>
↓↓↓Inline Frameです↓↓↓<br>
<iframe src="http://www.google.co.jp" width=80% height=80%></iframe>
</body></html>

561 ：（○口○*）さん ： 2007/03/31(土) 10:32 ID:/r3BHv3O0

久々に復帰してROを立ち上げたのですが
ウィルスバスター2007が「不審な変更を発見しました」という警告を出しました。
これはアカウントハックの危険性があるのでしょうか？
一応バスターによれば「正規のプログラムの可能性があります」ということなのですが…

562 ：（○口○*）さん sage ： 2007/03/31(土) 10:45 ID:woai+HU00

「変更を管理」だっけ？許可ボタンの隣りにそんなボタンがあるはず
そこ見ればどこのプログラムか確認できるよ

563 ：（○口○*）さん sage ： 2007/03/31(土) 10:50 ID:/r3BHv3O0

dump_wmimmcというプログラムのようでした。
二回目以降機動ではとくに検出されません。
またぐぐってみたのですが特にそれらしいページは見つかりませんでした。

特に垢ハックとは関係ないのでしょうか。

564 ：（○口○*）さん sage ： 2007/03/31(土) 10:55 ID:FClK2dVz0

KISはnPro（パッチクラ後、ROのウィンドウ表示前）にdriver installの
警告を出したり出さなかったりするから、そのへんかもしれない。

565 ：（○口○*）さん sage ： 2007/03/31(土) 11:13 ID:jZLNdODx0

>>564
このスレに書込む位だからカスペだと思うが、KISって略すのやめてくれないかな。
キングソフトのセキュリティソフトと略称が被るのでわかりにくい。

566 ：（○口○*）さん sage ： 2007/03/31(土) 11:29 ID:zGtQW8Nh0

>>563
うちもウイルスバスター２００７インストールして、初回のＲＯ起動で出ました(２回目以降は出ません)
dump_wmimmc.sys は nPro が一時的に作成するファイルのようです。

567 ：（○口○*）さん sage ： 2007/03/31(土) 13:51 ID:/r3BHv3O0

ありがとうございました。
その後異常もないようなので一安心です。

568 ：（○口○*）さん sage ： 2007/03/31(土) 17:22 ID:P4PWgF8t0

>>560
いまもなのかは知らないけど、IEはMS関係に関しては設定を無視するという仕様があった

569 ： ◆sp4Sh9QXGI sky.geocities.jp/vs_ro_hack/ ： 2007/03/31(土) 17:34 ID:961fj5k70

リネージュ資料室さま　より

> 昨日お知らせしたWindowsの不具合を悪用したリネージュ向けウィルスが確認されました。
> 亜種も作成されつつある上、まだ対応できていないウィルス対策製品も多く、非常に危険な状態です。

> Windowsパッチが最新の状態でも、 JavaScriptやActiveXを使用しない設定にしてあっても、
> IEやIEコンポーネントを利用したブラウザを使用していればウィルス感染の危険性があります。
> マイクロソフトよりパッチがリリースされるまでの間、 IEの利用を控えることを強くお勧めします。

570 ：（○口○*）さん sage ： 2007/03/31(土) 18:25 ID:MNORiHds0

うちに来たアクセスログを徒然と眺めてたらこんなものが。
特に垢ハクアドレスを貼られたわけでもないのですが、気になったので質問。
(一部改変しています)

>catv-xxx-xxx-xxx-xxx.medias.ne.jp - - [30/Mar/2007:20:29:50 +0900] "GET (中略) "Mozilla/4.0
>(compatible; MSIE 6.0; Windows NT 5.1; SV1; EmbeddedWB 14.52 http://www.Pandora.Tv EmbeddedWB 14.52)"

ここから読み取れる事は

・medias.ne.jpのケーブルTVサービスを利用してる
・WinXP XP2あたりのOS
・EmbeddedWBとあるので、Delphiで作られたIEコンポーネントブラウザ使用

ここまでは良いのですが、UAに「www.Pandora.Tv」とあるのは、何を意味してるんでしょうか？
UAは改変出来るとはいえ、そのアドレスが韓国パンドラTVというのが気がなったもので。

571 ：（○口○*）さん sage ： 2007/03/31(土) 19:53 ID:pFDViovS0

google先生に尋ねた。
韓国パンドラTVみたいだ。

572 ：（○口○*）さん sage ： 2007/03/31(土) 20:06 ID:+M4mii1B0

>>570
○○Toolbarといったプラグインをブラウザに入れると
UAを変更する物が結構あるから単純にその一種なんじゃないかな。
URLをUAに入れるなんてのは確かに変かもしれないけど…。
そのURLに行くとSetPandoraTVSearchなんていうそれっぽいのがあるようだし

573 ：（○口○*）さん sage ： 2007/03/31(土) 20:38 ID:MNORiHds0

なるほど、ツールバーの可能性がありますか。
ただ国内ispからの接続なのに、アドレスが韓国のもの、というのが気になったもので。

韓国製のツールバーなんか、インスコするかなぁ……？

574 ：（○口○*）さん sage ： 2007/03/31(土) 20:40 ID:IOaBCf300

まぁ、かなりどうでもいいんじゃない？

575 ：（○口○*）さん sage ： 2007/03/31(土) 21:47 ID:afcnSpQZ0

>>531のニュースの続報ですね。

>Windows狙うゼロデイ攻撃拡大の様相、被害防止の非公式パッチも
>Windowsのアニメーションカーソルの脆弱性を悪用したゼロデイ攻撃サイトが多数出現。
>eEyeは一時的に被害を食い止めるための非公式パッチをリリースした。
ttp://www.itmedia.co.jp/enterprise/articles/0703/31/news011.html

関連の記事見てると、やっぱり狙いは中華のネトゲ垢ハック目的のようで。
かなり大々的に問題視されるようになってきますかね。
RMTが法で禁止されない限りは今後ハック問題は延々続くので、どうにか法整備してもらいたいもので･･･

576 ：（○口○*）さん sage ： 2007/03/31(土) 21:54 ID:P4PWgF8t0

法で禁止されても続くに決まってるだろ

577 ：（○口○*）さん sage ： 2007/03/31(土) 22:01 ID:dtB6rAq/0

支那畜が法を守るとでも？

578 ：（○口○*）さん sage ： 2007/03/31(土) 22:10 ID:afcnSpQZ0

そりゃ続くでしょうが法を恐れた日本人が買い控えるようになれば多少は減るんじゃないかと。
深みにはまっている奴は昔みたいに地下に潜るでしょうけども、
今みたいに何の咎めもなしに表に業者が出まくって軽い気持ちで買い捲れる状況よりは規模は小さくなりそう。

579 ：（○口○*）さん sage ： 2007/03/31(土) 22:25 ID:1ya2EATW0

アカハックまとめサイトにホストの一覧とhostファイルの書き換えについてはあるけどIPの一覧てあるのかな？
ほぼ同一IPみたいなのでこれで蹴ればかなりマシになると思うのだけど

580 ：（○口○*）さん sage ： 2007/03/31(土) 22:28 ID:HzrXnXag0

PG2リスト

581 ：（○口○*）さん sage ： 2007/03/31(土) 22:44 ID:zGtQW8Nh0

>>579
リネージュ資料室の↓のページに掲載されてるＵＲＬね。
ttp://lineage.nyx.bne.jp/misc/security/?id=url-ip

582 ：（○口○*）さん sage ： 2007/03/31(土) 22:57 ID:MNORiHds0

>579
>580が書いてるがまとめサイトの「ウイルスからPCを守る」の一番下にある
PG2用リストがそれに当たる。
他だとBS Wikiさんとこかリネ資料室ぐらいかね。

583 ：（○口○*）さん sage ： 2007/03/31(土) 23:01 ID:MEV0LcCH0

こんなんのもあるな
http://smith.xrea.jp/files/vir-domain_nslookup.html

584 ：（○口○*）さん sage ： 2007/04/01(日) 00:05 ID:1OzyXZJZ0

>570のって、国内ISPのアドレスが踏み台Or中継してて、実は訪問者が
韓国の人間だった、ってオチだったりして。

ま、実害が無ければ気にしなくていいとは思う。

585 ：（○口○*）さん sage ： 2007/04/01(日) 04:12 ID:YTZ+/6bZ0

【　 　　 OS　 　 】 WinXP SP2
【使用ブラウザ 】 FireFox2.0.0.3
【WindowsUpdateの有無】 この一月以内
【　アンチウイルスソフト 】 NortonInternetSecurity2007
　　　　　　　　　　　　　　セキュリティ24（ニフティ会員向け月額有償ソフト）
【その他のSecurty対策 】 Spybot ルーター
【 ウイルススキャン結果】 特に異常は見つかりませんでした
【スレログやテンプレを読んだか】 Yes

先程、グーグルで検索をしようとしたところ
「お客様のリクエストを処理できません。
ウィルスまたはスパイウェアが自動的にリクエストを送信しており
お客様のコンピューターまたはネットワークも感染された可能性があります
アクセスの復旧に向け、今しばらくお待ちください」
というエラーメッセージが表示されました。
アドレスを確認しましたが、間違いなくグーグルのサイトです。
サブPCでは検索できましたので調べてみたところ
グーグルのエラーという記事が出てきました。
問題のPCを再起動したところ問題なく検索できるようになったのですが
これは感染ではなく、グーグル側のエラーだったと考えて宜しいでしょうか？

586 ：（○口○*）さん sage ： 2007/04/01(日) 11:08 ID:0GrmhYcc0

ググれば出てくると思うけど、そのメッセージは悪意の有る検索スクリプトに対する防御みたいなもの。
まったく同じ検索キーワードで出たり出なかったりしたのなら、グーグル側のエラーと言えるけど。
当然ウィルスの類に感染している可能性もあるけど、たまたま検索しようとした文字列が
禁止文字列に該当した可能性も無いとはいえない。
"powered by PhpBB 2.0.7..1"とかで検索すれば誰でも出せるし。

その後出なければ問題ないだろうけど、心配なら他の無料のソフトでチェックしてみるか、
パケットキャプチャでおかしな送信が無いか監視してみるとかすればいい。
何も出なくてもどうにもスッキリしなかったらお約束のクリーンインストール。

587 ：（○口○*）さん sage ： 2007/04/01(日) 14:14 ID:YTZ+/6bZ0

>>586
手持ちのアンチウィルスソフトに加え
カスペル等のオンラインスキャンも試してみましたが
問題は見つかりませんでした
パケットキャプチャでの監視というものを一度試してみようと思います
レスありがとうございました

588 ：（○口○*）さん sage ： 2007/04/02(月) 16:34 ID:kUhd7Ypt0

IEのブラウザエンジンを使ってないブラウザなら「まだ多少」安全って事ですね。
Gekoエンジン型のOperaとかスレイプニル、ルナスケイプ等、多少使い勝手が違いますが
ハックコード受けるよりは良いと言うことでしょうかね。

589 ：（○口○*）さん sage ： 2007/04/02(月) 17:15 ID:U3U71hXZ0

>>588
> Gekoエンジン型のOperaとかスレイプニル、ルナスケイプ等、多少使い勝手が違いますが

スマン、誰か代わりにツッコミ頼む。

590 ：（○口○*）さん sage ： 2007/04/02(月) 17:42 ID:kUhd7Ypt0

すみません。
operaはGekoじゃないですね。

591 ：（○口○*）さん sage ： 2007/04/02(月) 17:42 ID:G2hKz1Me0

>>588
どれ一つとしてGeckoベースのブラウザが含まれていない訳だが。
ttp://ja.wikipedia.org/wiki/Gecko
馬と月はあくまで、外部レンダリング呼び出しに過ぎないし。当然パッチベースは本家より遅れる。

592 ：（○口○*）さん sage ： 2007/04/02(月) 17:49 ID:yVMlaK150

セキュリティ関係一般の話題なので、総合スレから移動。

>343 (^ー^*)ノ〜さん sage 07/04/02 16:11 ID:JhH5Bh/10
>リネージュ資料室を見てて気がついたけど、短縮URLを使い始めたな。
>
>あとアニメーションアイコン(ani)の脆弱性、
>既に攻撃コード開発ツールも出回っておりトロイとして拡散中。
>IE7とかでも普通にやられる。つーかやられた。
>
>検体を送ろうと拾ったファイルの拡張子をエクスプローラでaniにした途端
>実行しやがったので回線引っこ抜いた。aniを描画する過程で実行されることと、
>エクスプローラはナチュラルにaniを表示するので注意(Windows\Cursorsを見よ)。

http://internet.watch.impress.co.jp/cda/news/2007/04/02/15277.html
＞マイクロソフトは、Windows用のセキュリティ更新プログラム（パッチ）を4日にリリースする。

593 ：（○口○*）さん sage ： 2007/04/02(月) 17:51 ID:kUhd7Ypt0

挙げたモノもの全てが間違いでしたかorz
大変失礼しました。
スレイプニルもルナスケイプもGeckoエンジンを切り替えてセキュリティが云々と
うたっていたので、てっきりgeckoもベースに積んでいるモノだと誤認識していました。

ネスケと火狐で有ればGeckoベースのブラウザって事ですよね？

594 ：（○口○*）さん sage ： 2007/04/02(月) 19:17 ID:JDID1ffR0

ヘルプデスクに掲示板などの不審なURLに注意しろって公知出すように要望出してみた。
正直焼け石に水だと思うけどライトユーザーには警戒させるのに必要だと思うんだけどやってくんないかなあ。

595 ：（○口○*）さん sage ： 2007/04/02(月) 19:24 ID:9Jiq5TXj0

確認のために踏んでGM垢がハクられそうな気がする。

596 ：（○口○*）さん sage ： 2007/04/02(月) 19:29 ID:j1K0xIhu0

Geckoエンジン「ベース」のブラウザなのか、Geckoエンジンが「利用できる」
ブラウザなのかの違い。
ぷにるとかは基本的にIE(Tridentエンジン)ベース。

Geckoエンジンが使えるという意味ではそれらは間違ってないし、ブラウザの
安全さに関する解釈も間違ってはないので、安心しる。

IEはユーザーの絶対数が多いから狙われやすく、Geckoは絶対数が少ないから
対象とされにくいというのがある。

しかし、少し前に一太郎の脆弱性とそれを突いたウィルスが出回ったように
マイナーだから安全かというと、そんなわけはない。
狙う側はどんな穴でも突いてくる。

597 ：（○口○*）さん sage ： 2007/04/02(月) 19:34 ID:R/6lo/vH0

Proxomitronを導入してみたんだが、さっぱり設定がわからねぇ。
特にデフォルトで設定されているやつの内容が。

ifreamを除去?するやつは入れてみたんだが、最新の説明ページはないもんかね？
特にお勧めフィルタとか。

598 ：（○口○*）さん sage ： 2007/04/02(月) 20:33 ID:ZQ53xgK00

>>597
wikiがあるよ（↓心配な人はソースチェッカーで確認してから踏んでくれ）
ttp://abc.s65.xrea.com/prox/wiki/

こことここから行けるリンクを一通り読むよろし

599 ：（○口○*）さん sage ： 2007/04/03(火) 08:47 ID:WBhYq5oS0

【　　アドレス 　 】 http://nekomimi■ws/~ro/img/1002■jpg
【気付いた日時】 つい今しがた
【　 　　 OS　 　 】 WinXP HomeEdi SP2
【使用ブラウザ 】 IE
【WindowsUpdateの有無】 一週間程前
【　アンチウイルスソフト 】 McAfee VirusScan
【その他のSecurty対策 】 Ad-Aware
【 ウイルススキャン結果】 カスペルスキーは無反応
【スレログやテンプレを読んだか】 ざっと読みました
【説明】
スレに張られたjpgを不用意に踏んだところ、よく分からないページへ飛ばされました
ウィルススキャン等は無反応でしたがこのURLは安全なのでしょうか
ご指導お願いします

600 ：（○口○*）さん sage ： 2007/04/03(火) 09:12 ID:JMQRzfNA0

>>599
ソースチェッカーで確認したけど、拡張子がjpgで中身はhtmlファイル。
スクリプトもIFRAMEも仕込まれてなく、今話題のANIファイルというわけでもなく、
ただ画像が表示されるだけだから無害。

前スレに似たような報告が上がってるから参考にするといいよ。
ttp://gemma.mmobbs.com/test/read.cgi/ragnarok/1170419695/966

601 ：（○口○*）さん sage ： 2007/04/03(火) 09:18 ID:WBhYq5oS0

まさしく同じ物ですね・・・すいませんorz
ついにやらかしたかと思いお葬式ムードでした
ありがとうございましたー

602 ：（○口○*）さん sage ： 2007/04/03(火) 09:24 ID:OoALe6SB0

ソースチェッカーってjpeg自体に仕込まれたトラップに対して反応する？
昔あったjpegの脆弱性やら突くタイプとか。

ソース見てimgタグで書かれたjpegファイルもチェッカーにかけてみたが
そこの部分が自分では判断出来なかったので直接見てないし、ブラウザで
閲覧もしてないんだが。

603 ：600 sage ： 2007/04/03(火) 23:46 ID:JMQRzfNA0

>>602
ソースチェッカーおよびソースチェッカーオンラインは基本的にブラクラチェッカーだから、
ウイルス検出機能はおまけ程度のものと考えた方が良いように思う。
自分で踏まなくても、調べられるのが一番の利点だね。

JPEG脆弱性についてだけど、MS04-028などの既知の脆弱性に関しては、
ウイルス対策ソフトで(多分)検出できると思うから、そっちを頼るのが正解だろうね。
>>599の中に仕込まれてる画像に関しては、実際に落としてみたところ、うちのバスターでは反応しなかった。

それにJPEG脆弱性利用なら、わざわざ偽装ファイルの中に仕込まなくても、
そのままJPEGとしてUPすればOKな気がするし。

604 ：（○口○*）さん sage ： 2007/04/04(水) 00:38 ID:2FEFc2MW0

初心者丸出しな質問いいかな？
今までフリーのアンチウィルス使ってたんだけど、なんか心元ないので
カスペルスキーを入れてみようと思ったんだ。
アンチウィルスだけで十分？ファイヤーウォールとかもいるもの？
回線が貧弱なのであまり重いものは避けたいもので･･･

605 ：（○口○*）さん sage ： 2007/04/04(水) 01:06 ID:Dthhq3af0

FWソフトは有った方が良いかな。アンチウイルスソフトとはある意味別の
方向から守備を固める物なので併用する事で更なる安全が確保できる。

あと、ボトルネックは回線速度よりもPC性能だと思う。激しく旧式じゃない限りは
何とかなるとは思う。だから回線速度の事は気にしなくて良いかと。

カスペは初心者には結構難しいらしいけど頑張ってなー。

606 ：（○口○*）さん sage ： 2007/04/04(水) 01:11 ID:BW+CM4bC0

>>604
カスペには30日間の体験版があるし、実際に使ってみるのがいい。
http://www.just-kaspersky.jp/

Kaspersky Anti-Virusがアンチウィルス
Kaspersky Internet Securityがアンチウィルスとファイアウォール

ファイアウォールは使ったほうがいいと思う。
利用者の多そうなZonealarm無料版でもおｋ

カスペのアンチウィルスは通信の検査が厳しいらしく、
回線速度はガタ落ちします。1/10ほど速度が落ちたような気がする。
その検査のせいでブラウジングはモッサリと遅くなりますが、
セキュリティは最高レベルを享受できます。

607 ：（○口○*）さん sage ： 2007/04/04(水) 02:39 ID:ZWW52ujY0

WUに.aniの脆弱性の修正来てるお

608 ：（○口○*）さん sage ： 2007/04/04(水) 04:13 ID:l5iljryb0

>>607に補足。
MS07-017(KB925902)
各自迅速に適用されたし。

609 ：（○口○*）さん ： 2007/04/04(水) 04:15 ID:atOBHx6H0

Windows Update 推奨age

610 ：（○口○*）さん sage ： 2007/04/04(水) 05:11 ID:mRJwqHjR0

既に中華アカウントハッカーにも使われている脆弱性です。
自動更新を切っている人は今すぐ適用をお願いします。
http://www.microsoft.com/japan/technet/security/bulletin/ms07-017.mspx

611 ：（○口○*）さん sage ： 2007/04/04(水) 05:40 ID:u0vOKi210

専ブラで誤クリックしてしまったっぽいorz
【　　アドレス 　 】 http://www■ahatena■com/388465
【気付いた日時】 ついさっき
【　 　　 OS　 　 】 WinXP　SP2
【使用ブラウザ 】 Sleipnir
【WindowsUpdateの有無】 .aniの脆弱性修正はまだあててなかった　それまでのはとりあえずは
【　アンチウイルスソフト 】 avast!
【その他のSecurty対策 】 Spybotやルータ
【 ウイルススキャン結果】 ひとまずカスペのオンラインスキャンにかけてみた。
とりあえずは何も見つからなかったようだけど・・・
あとSpybotかけてみたら以下の二つが。Avastは特になし。
Microsoft.WindowsSecurityCenter.AntiVirusDisableNotify: 設定 (レジストリ変更, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify!=dword:0

Microsoft.WindowsSecurityCenter.FirewallDisableNotify: 設定 (レジストリ変更, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify!=dword:0

【スレログやテンプレを読んだか】 Yes
【説明】間違って踏んでしまって、飛ばされたときActiveX使用は許可しなかった。
表示されたページは真っ白。後でaguseで調べてみたところIPが222.77.185.86
どう見ても中華です。本当にありがとうございました。
その時Roにインしてたけど即座に落ちて再ログインなどはしていない。

これってどうなんだろう

612 ：（○口○*）さん sage ： 2007/04/04(水) 06:10 ID:mRJwqHjR0

そのレジストリ2つはお前さんがXPのセキュリティセンターの
警告ウザスとか言って切ったからだろ。
件のURIは今繋がらんので見てない。

613 ：（○口○*）さん sage ： 2007/04/04(水) 06:28 ID:9TfxAOHy0

>>611
やばいかもしれない。ＯＳ再インストールした方が良いような気がします。

>>611の罠サイトを踏むと、まず以下２つのaniファイルがダウンロードされます(拡張子はjpgですが、中身はaniです)
ttp://www■ahatena■com/388465/muxiao1■jpg
ttp://www■ahatena■com/388465/muxiao2■jpg

MS07-017の脆弱性が塞がっていない場合、以下のファイルがダウンロードされ実行されるものと思われます。
ttp://www■ahatena■com/388465/svch■exe

※上記は実際に踏んで試したわけではなく、ソースを見た上で予想される動作を憶測で書いたものです。

614 ：（○口○*）さん sage ： 2007/04/04(水) 06:50 ID:9TfxAOHy0

>>613のファイルをvirustotalにかけてみました。
ttp://www.virustotal.com/vt/en/resultadox?0c963ca4fb9ad890ed0f642f4a2ef7c0 (muxiao1.jpg)
ttp://www.virustotal.com/vt/en/resultadox?0c19270c4073fb196c66bd8cf75fd994 (muxiao2.jpg)
ttp://www.virustotal.com/vt/en/resultadox?1bcc3ad44d290732ce7e47c8ffd490fa (svch.exe)
※↑は数時間で見れなくなるので、必要な方はローカルに保存してください。
※VirusBusterはトレンドマイクロのウイルスバスターとは別の製品です。ウイルスバスターはvirustotalでは調べられません。

ani：avast× Kaspe○ McAfee○ NOD32○ Symantec○
exe：avast○ Kaspe× McAfee○ NOD32○ Symantec×
※○＝検出可、×＝検出不可

615 ：（○口○*）さん sage ： 2007/04/04(水) 07:35 ID:aNlski1f0

>>614
ttp://scanner.virus.org/
ここのTrendMicroがPC-cillinこと「ウイルスバスター」。
Symantec(Norton)とKasperskyが無いので併用を推奨。

616 ：（○口○*）さん sage ： 2007/04/04(水) 07:47 ID:N96FsJVg0

WUパッチの情報を書いてくださった方たちありがとうございました
早速当てました
URL叩かなくても通常のWindowsUpdateから入れました

そして質問

専ブラでURL等をたたいたときブラウザで開けないようにするときは
JaneDoeだと設定＞設定＞機能＞画像＞全拡張子をビューアで処理
で良いのでしょうか？
とりあえずこれにしたらブラウザが立ち上がらなくなったんですが
このやり方では漏れがあると言う場合、教えてください

617 ：（○口○*）さん sage ： 2007/04/04(水) 08:08 ID:aNlski1f0

それは専ブラスレで聞いたほうがいいんじゃなかろうか。
(通常使うブラウザに依存する等)専ブラで異なるだろうし。

618 ：（○口○*）さん sage ： 2007/04/04(水) 08:11 ID:yCMVvSZb0

JaneDoeStyleだとデフォ設定がビューアだから踏む事は殆ど無いな。
読み込めないJpegは罠だと思ってる。

619 ：（○口○*）さん sage ： 2007/04/04(水) 09:41 ID:JvViJ/rg0

今avast!!でスキャンしたら　Lineage-518 [Trj]　てのが出てきたんだけど
これってアカハックウィルスかな？

620 ：（○口○*）さん sage ： 2007/04/04(水) 09:45 ID:aNlski1f0

他の何だと言うんだ? Trj=Trojan、トロイ。
チョンゲトロイの命名はまとめてLineage扱いされることがある。

621 ：（○口○*）さん sage ： 2007/04/04(水) 09:50 ID:JvViJ/rg0

サンクス、OS再インスコしてくるわ。

622 ：（○口○*）さん sage ： 2007/04/04(水) 15:13 ID:aCdUVL+j0

>>611
同じの踏んだっぽい。
踏んだ時刻にバスターがトロイ隔離したってログ生んでたから、
大丈夫かと思ったんだけど危ないのかな？

623 ：（○口○*）さん sage ： 2007/04/04(水) 15:24 ID:aCdUVL+j0

ちなみにこんな感じ。ファイル名はmuxiao2[1].jpgだった。
ちなみにダウンロード途中でサイト閉じた。

ウイルスタイプ: トロイの木馬型
別　名: アニクモー
感染報告の有無 : あり
破壊活動の有無: なし
言語: 英語
プラットフォーム: Windows 2000, XP, Server 2003
暗号化: なし

624 ：（○口○*）さん sage ： 2007/04/04(水) 16:35 ID:SytR+ZhG0

>622-623
例のaniの脆弱性突くやつだね。

TrendMicroのDBの続きを見ると

>危険度: 低
>感染報告: 低
>ダメージ度: 中
>感染力: 低

……うーん……

625 ：（○口○*）さん sage ： 2007/04/04(水) 17:08 ID:aNlski1f0

パッチが出たから下げたんだよ。
うん、きっとそうだよ…。

Vistaでも発動するけどそこは触れてないのな。

626 ：（○口○*）さん sage ： 2007/04/04(水) 17:24 ID:t7AzWyjL0

パッチが既にある
自らアクセスしないと感染しない
（他と比べて）数が少ない

だから低なんだよ

627 ：（○口○*）さん sage ： 2007/04/04(水) 17:30 ID:l5iljryb0

危険度: 低→ウィルスではなくトロイ
感染報告: 低→ネトゲプレイヤーは感染しても公式機関に報告を上げるのは少数
ダメージ度: 中→レジストリの修復は少々面倒
感染力: 低→他の感染源を探してDDoSじみたことは行わない

628 ：（○口○*）さん sage ： 2007/04/04(水) 20:31 ID:ONZ8UGJy0

うちはAVAST入れてWEBシールド通してブラウジングしてるなあ。
カスペ入れたほうがいいんだろうけどブラウザのプログラム系は全部止めてるしこれ以上重くなるのは辛い。

aniのパッチ入ったみたいだけど本当に対処されてんだろうか。
CSSだのJavaScriptだのいろいろ介したらできてしまいそうな気がすんだけど

629 ：（○口○*）さん sage ： 2007/04/04(水) 20:37 ID:t7AzWyjL0

>aniのパッチ入ったみたいだけど本当に対処されてんだろうか。
>CSSだのJavaScriptだのいろいろ介したらできてしまいそうな気がすんだけど

aniファイルの脆弱性のパッチが配布されただけだ
他の方法での感染は対処している訳ないだろ

630 ：（○口○*）さん sage ： 2007/04/04(水) 20:43 ID:BZ1tlDP40

アカハックにとは関係ないのだがウィルスについて質問
ウィルスの中には他人のコンピュータをウィルスに犯すことでそのコンピュータを管理者持ち主の
気づかないように勝手に操作や命令を行ってしまうものもあるそうなのですが

もしかして他人のＰＣにウィルスを入れることによってそのウィルスが他人のＰＣで勝手にＲＯ内でＢＯＴし始める
と言うことがありえるのでしょうか？

631 ：（○口○*）さん sage ： 2007/04/04(水) 20:53 ID:nkiuB6+o0

>>630
>ウィルスの中には他人のコンピュータをウィルスに犯すことでそのコンピュータを管理者持ち主の
>気づかないように勝手に操作や命令を行ってしまうものもあるそうなのですが

この手のウィルスのことを通称BOTと呼びます。

■参考記事■
インターネット上の新たな脅威「ボット(bot)」に気をつけろ！(上)
http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20041215/153889/

>もしかして他人のＰＣにウィルスを入れることによってそのウィルスが他人のＰＣで勝手に
>ＲＯ内でＢＯＴし始めると言うことがありえるのでしょうか？

ありません。ROのBOTとは別物です。

632 ：（○口○*）さん sage ： 2007/04/04(水) 20:57 ID:t7AzWyjL0

可能性があるか無いかで言えば、ありえる

ただ、アカウントIDとパスがあれば他のPCで稼働させることが出来るから、
わざわざ他のPCを乗っ取ってまで動かす意味は無い。

633 ：（○口○*）さん sage ： 2007/04/04(水) 21:14 ID:O6IVwaA60

>>632
PCのリソースには限界があるから
他人のPCを乗っ取ってBOTの同時稼動数を増やそうとか。
もっとも、無差別にばら撒いた上で使用するアカウントの管理をどうするかなど
問題が多すぎて非現実的だろうな。

ま、真っ先に本垢BOT使いの言い訳じゃないかと思ったのは内緒だ。

634 ：（○口○*）さん sage ： 2007/04/05(木) 00:24 ID:/RhUCmw30

>>633
でももし、そんなのがでて
アカハック＋そのアカでＢＯＴさせられたら
それこそ黒白の区別がただでさえ付き難いのにもう何を信じていいかわからなくなる状況だ

でも中華が他人のＰＣでやるとしてもＢＯＴ用の中華のアカでやるでしょ
わざわざ別のキャラを使う必要もないわけ出し

他のＰＣまで乗っ取ってまで動かす必要は無いから今は大丈夫だけど
この手のウィルスが出るとしたらＩＰがばれないようにするのがメインになると思う

635 ：（○口○*）さん sage ： 2007/04/05(木) 00:47 ID:1PnQCoua0

仮にそういうのが出てきたら中華より変なのに粘着された時が危なそうだ

636 ：（○口○*）さん sage ： 2007/04/05(木) 00:59 ID:3wQszZUi0

つまり乗っ取られたアカでどんな迷惑行為を行われるか分からないから、
いくら取られるものがないからって無防備ではいかんということだね。

637 ：（○口○*）さん sage ： 2007/04/05(木) 08:59 ID:+OU6ipyi0

ちょっと質問
サブPCのウイルスバスターライセンスが切れたから別のものに
変えようかと思うんだが、他のってメモリをどのくらい使ってる？

638 ：（○口○*）さん sage ： 2007/04/05(木) 09:02 ID:GZDYaKrA0

とりあえずカスペルスキーとAvast!の試用版落として体感してみるのがいいんじゃね。
メモリとかもそうだけど使い勝手もあるし。

639 ：（○口○*）さん sage ： 2007/04/05(木) 09:17 ID:h1OkpiS+0

>>637
NOD32は、NOD32のプロセスと判る奴の合計で 35,436 K だな。(inetinfo.exe nod32krn.exe nod32kui,exe）
サービスとか、よくわからないタスクでも使ってるかもしれん。

640 ：（○口○*）さん sage ： 2007/04/05(木) 12:08 ID:0tOje8e00

>>637
ウイルスバスター2007を使ってるならば、他のに乗り換えたら
メモリの使用量はウイルスバスターよりかなり少ないよ。

641 ：（○口○*）さん sage ： 2007/04/05(木) 12:20 ID:h1OkpiS+0

まぁ、ウィルスバスター2007はどれと比較しても重いであろうという評判がｗ

642 ：（○口○*）さん sage ： 2007/04/05(木) 12:21 ID:+OU6ipyi0

>>640
やっぱりかなり多めなのか
プロセスで見ると70MB以上あるものなー

643 ：（○口○*）さん sage ： 2007/04/05(木) 12:24 ID:uOMwJkQb0

■MEMORY　DDR2 SDRAM DIMM大幅続落、1GBは6千円割れ
http://pc.watch.impress.co.jp/docs/2007/0403/pa_cphdd_mem.htm

　|　 | ∧
　|＿|ーﾟ)　 ついでにメモリも買おう。現在史上最安値ｗｗｗ
　|文|⊂） 　　メモリ価格の変動に右往左往するスレッド！115枚目も4649
　|￣|∧| 　　
￣￣￣￣￣

644 ：（○口○*）さん sage ： 2007/04/05(木) 13:00 ID:pnxzYUhI0

AntiVir使いが颯爽と登場。
AntiVir関連EXEは三つほど常駐してるが10〜15MBってとこかなぁ。

>>643
貴様魚竿スレの住人かいっ。
漏れも箱モノDDRで魚竿中。さがらんなぁ。

645 ：（○口○*）さん sage ： 2007/04/05(木) 16:57 ID:+OU6ipyi0

カスペルスキー試用版を入れてみたが、プロセス数やメモリ使用量がかなり減ったなー

ただデフォルトのままだとWebブラウズが重いな

646 ：（○口○*）さん sage ： 2007/04/05(木) 17:12 ID:uOMwJkQb0

■ネットバンキング　相次ぐ不正引き出し
http://www.itmedia.co.jp/news/articles/0704/05/news046.html

((((；ﾟДﾟ)))ｶﾞｸﾌﾞﾙ


>>645

>　【KAV日本語版で遅くなった場合のやり方】
>　ウェブアンチウイルスのトラフィックのスキャンを切る
>　サービス→「ネットワークの設定」の「ポートの設定...」でメール関連(SMTP/POP3/IMAP)以外を切る
>　（80などが有効になっていると意味ない）

>　メールアンチウイルスの接続の「トラフィックをスキャンする」自体は切らなくてもおk

647 ：（○口○*）さん sage ： 2007/04/05(木) 19:36 ID:XzwiSQc80

スキル欄に載るものと載らない物
前者なら装備者のスキルレベルが優先される
後者は仕様によって左右される
（L10の時のみ10発動など）
つまり装備してみないとわからない

ちなみにマジ系がファイヤーブランド振ると最大レベルが発動する
装備できんが
【参考http://www■din-or■com/bbs/】

こんな内容のページがWikiに作られてたんだけど、このURL怪しいだろうか？
まぁコメント欄に書き込めばすむような事で新ページ作る時点で怪しいんだけど…。

あとキャッシュでも覗くと危険？PeerGuardianが反応したんで開ききる前に閉じたんだけど。

648 ：（○口○*）さん sage ： 2007/04/05(木) 19:46 ID:15XBJKZP0

なにやってんだ、スクリプトが実行されてトロイがDLされるんだから
キャッシュだろうがなんだろうが同じだ。
絶対ブラウザで開くなよ。
PGが遮断したならセーフだったとは思うが。

649 ：（○口○*）さん sage ： 2007/04/05(木) 19:56 ID:JxeGdNAK0

つい最近ローグスレにかかれた文だな。つまりにゅ缶も見てるって事か。

650 ：（○口○*）さん sage ： 2007/04/05(木) 20:04 ID:Oi/4ybpH0

業者は中華だけでなく、日本人もいるな
中華が仕組んだスクリプトを自分用に組みなおして利用してそうだ

651 ：（○口○*）さん sage ： 2007/04/05(木) 20:04 ID:/2PfZQ5s0

「きさま！　見ているなッ！」
で対応。

652 ：（○口○*）さん sage ： 2007/04/05(木) 20:06 ID:+OU6ipyi0

>>649
誰も知らないようなblogですら元ネタに使われて居るんだから当然だろ

653 ：（○口○*）さん ： 2007/04/05(木) 20:35 ID:4RdB7oWV0

カスペルスキーを入れようと思っているんだけど、>>647を理解できない俺はやめた方がいいですか？

654 ：（○口○*）さん sage ： 2007/04/05(木) 22:00 ID:QSnIEA/w0

カスペの体験版いれたら以下のファイルの挙動が危険があぶないデシって言われたんだけど
D:\Games\KreanKimchiParty\Gravity\RagnarokOnline\GameGuard\GameMon.des
この検出はnProと競合してて珍しい事ではない？それともなんかヤバイのが確定で侵入してる？

655 ：（○口○*）さん sage ： 2007/04/05(木) 22:09 ID:YZr80LhY0

>>654
もともとnProがやってることはrootkitと呼ばれるクラッキング手段。

それよりなんてところにROインストールしてるんだｗ

656 ：（○口○*）さん sage ： 2007/04/05(木) 22:09 ID:wnH60OqQ0

nProって不正行為からゲームを守るためにウイルス(マルウェア)まがいのことをしてるので
セキュリティソフトによってはウイルス扱いされてもおかしくないとはよく聞く

657 ：（○口○*）さん sage ： 2007/04/05(木) 22:09 ID:+OU6ipyi0

>KreanKimchiParty
たぶんこれがやばい

658 ：（○口○*）さん sage ： 2007/04/05(木) 22:12 ID:BbB+/LCD0

>>654
シロちゃん乙

659 ：（○口○*）さん sage ： 2007/04/05(木) 22:14 ID:f0sAW3md0

Kreanて何だよｗ

660 ：（○口○*）さん sage ： 2007/04/05(木) 22:43 ID:h1OkpiS+0

>>653
カスペは入れとけ。わかってない奴の方が強力なセキュリティ対策が必要だ。

一応、解説しとくと、
　647　：　こんな文面がWikiにあったけど大丈夫？
　回答 ：　思いっきり垢ハックだろうが
ということです。

661 ：（○口○*）さん sage ： 2007/04/05(木) 22:48 ID:KtWb7+HT0

KreanじゃなくてKoreanだろｗｗｗｗｗ

662 ：（○口○*）さん sage ： 2007/04/05(木) 22:55 ID:tPmHvKAf0

>>647
そこのHTMLをDLして中身を見ようとしたが、繋がらないしpingも返ってこない。
普通に考えれば鯖落ちなんだが、試しに串を使ってDLすると繋がった。
いつからかは判らないが、日本からの接続を弾いてる可能性がある。

前も一度ここで出た他のアドレスで繋がらなくて鯖落ちだと思ったんだが
まさかここに晒されたら日本からの接続を弾いて
検体の確保なんかをさせないようにしてるというのは考え過ぎだろうか？

663 ：（○口○*）さん sage ： 2007/04/05(木) 23:26 ID:QT1epBCE0

>まさかここに晒されたら日本からの接続を弾いて
>検体の確保なんかをさせないようにしてるというのは考え過ぎだろうか？

そんなことをしたら、罠サイトとしても機能しなくなるから、本末転倒だろう。
単純に今使ってる環境が、そこのアドレスを弾くようになってるんじゃないの？と疑ってみる。

664 ：663 sage ： 2007/04/05(木) 23:38 ID:QT1epBCE0

>>662
とか思ったけど、ホントに繋がらないな。疑ってすまなかった。

665 ：（○口○*）さん sage ： 2007/04/05(木) 23:58 ID:tPmHvKAf0

>>664
いや、>>663と考えるのが普通だと自分でも思う。
環境やプロバイダの問題かもしれないと自分でもかなり疑ったし。
それに、「中国からMMOBBSの閲覧を禁止したら〜」とか考えながら
「串使われたら意味ないな」と考えたりしてなければ試す事も無かった。

666 ：（○口○*）さん sage ： 2007/04/06(金) 00:07 ID:nx+iI3PW0

昨日、リネージュ資料室を見ながらPG２を導入し良い気分になっていたのですが、
今日PCを立ち上げるといきなり「PG2でエラーが発生したため、終了します。エラー報告を
送信しますか？」とお決まりの画面と共に、全くPG2が起動しなくなってしまいました。
PG２を削除して再DL、再ｲﾝｽｺ等、何度やってもPG２を立ち上げようとすると
エラーが出てしまいます。
同じような方はいらっしゃいますか？何かへんの事を僕がやってしまったので
しょうか？

667 ：（○口○*）さん sage ： 2007/04/06(金) 00:43 ID:SrUbBApT0

>>666

なんか、PG2のデフォのリスト(最初の起動でチェックいれたP2Pとかのリスト)が
壊れたとかで読み込みに失敗して強制終了しちゃうらしい。
今は治っているもよう。


以下、2ｃｈのPGスレから転載。

リストのロードに失敗して強制終了した場合、
１、タスクマネージャーのプロセスタブからpg2.exeのタスクを終了させる
２、PG2RecoveryToolで修復
３、PG2再起動後ListManagerを開き、各リストを開き正常に表示されないリストのチェックを外す
又は、
１、Windows再起動後、セーフティーモードからPG2インストールフォルダ内にあるunins000.exeでPG2を削除
２、Windowsを通常起動しPG2を再インストール
３、再インストール時、問題の発生するリストのチェックを外しておく

668 ：（○口○*）さん sage ： 2007/04/06(金) 00:43 ID:9tCiHPNO0

>>666
インストールしたときに一緒にインストールされてるRecover PeerGuadianっての試してみては？
私もインストールして起動したら同じようなエラーが出たけど、これやったら直った。

669 ：（○口○*）さん sage ： 2007/04/06(金) 03:53 ID:UYo1GZ060

RBOのWikiの中の人とコンタクトが取れたので状況が改善されそう、とメモメモ。

670 ：（○口○*）さん sage ： 2007/04/06(金) 12:07 ID:JUL3pumS0

>>665
中国のインフラが遅い上に、犯人は広帯域なレンタルサーバより
ドメインだけ取得しての自宅サーバ(普通のパソコン)を好むので
余計遅い。スクリプトやトロイの改良その他の事情でIISを頻繁に落とす。

671 ：（○口○*）さん sage ： 2007/04/06(金) 12:49 ID:NftxPRLc0

なにげなーくある記事からRMTサイトを見たんだ
あるサーバーは在庫なしなんだよ。RMTを行ってる会社の
ここのところ出ていた偽Blogは其処だったなーと思い出した

672 ：（○口○*）さん sage ： 2007/04/06(金) 17:30 ID:Cax83RH80

ITmedia より
>アニメカーソルの脆弱性はFirefoxの方が深刻？
>ttp://www.itmedia.co.jp/news/articles/0704/06/news073.html

先日のWUは既に適用済みだと思うが、まだの人が居たら早急に当てるべし。

673 ：（○口○*）さん sage ： 2007/04/06(金) 18:55 ID:S89A9kIE0

> D:\Games\KreanKimchiParty\Gravity\RagnarokOnline\GameGuard\GameMon.des
~~~~~~~~~~~~~~~~~~
>>654 自身があぶないと言うのがよく判った。

674 ：（○口○*）さん sage ： 2007/04/07(土) 08:01 ID:WiBWbQEG0

総合対策スレ6　436
■Kasperskyのセキュリティ製品に脆弱性、最新版にアップデートを

知らせてくれた人もいらしたけど、自分もメール来て読んだときマジびびった
しかもアップデートと言っても、一度アンインストールしてから新規インストール

やっぱりPG入れなきゃだめか（Hostsはやってる）

675 ：（○口○*）さん sage ： 2007/04/07(土) 08:36 ID:O5AwWJdk0

>>674
これってアンインストールしないとダメなのかな？
うちは自動更新でバージョン 6.0.2.614にアップデートされてるけど。

676 ：（○口○*）さん sage ： 2007/04/07(土) 09:06 ID:WiBWbQEG0

>>675
インストールしたのが確か一月（試用版）
「Vista対応版以前の試用版（バージョン 6.0.0.306）をご使用の場合」に
該当してしまったらしい

677 ：（○口○*）さん sage ： 2007/04/07(土) 09:25 ID:5WZqjk8i0

思ったんだけど、あらかじめ登録してあるＩＰアドレス以外で
ＲＯにログインしようとしたら、サーバー側で弾くとかできないかな。
（その辺の登録はアトラクションセンターでやるとして）

プロバイダから貸与されるＩＰアドレスは毎回変化するから、
自分に貸与される可能性のあるＩＰアドレスの範囲をまるごと指定するしかなくて、
同じ地域で同じプロバイダを契約してる人が不正者ならアウトではあるんだけど。
（でも、その場合は足が付くか・・・）

678 ：（○口○*）さん sage ： 2007/04/07(土) 10:25 ID:i70y+JbE0

やれるやれない、であれば可能な領域だとは思うけど、
・動、癌がそこまでやらない
という高い壁ががが。

あとは
・素人さんはそんな設定できない
・アトラクションのパスワード抜かれたら、結局は設定合戦になる
・ネカフェとかで動かなくなる
とかも問題かなぁ。

まぁ、利用できる人が利用する、というスタンスであれば有効だと思うけど、
なにせ動、癌側の修正が必要って時点で、妄想でしかなくなっちゃうんよね。

679 ：（○口○*）さん sage ： 2007/04/07(土) 10:38 ID:HVnwlLA00

久々に。被害届日記の人です。段取り悪いけど勘弁。

ネットカフェが所轄に訴えを出したが、被害の証明が出来ないという
ことであっさり拒否。ネカフェにトロイが仕込まれた時点ではネカフェ
に被害は発生していないという扱いらしい。そのトロイが悪さをして、
ネカフェに被害をもたらした時点で、初めて被害届を出せるとか。
よーわからん。代理での被害の報告も×とのこと。

結局、個人で行って下さいということに。仕方ないので、私の住んでる
区の所轄に再度連絡。前に対応してくれた人の所属と名前を覚えていた
ので、さくっと話が通る。セキュ担当の人は同行しますと言ってくれたが、
そこまでして貰うのもなんだか逆に遠慮してしまうので、とりあえず
一人で行くことに。

やっぱりどこも土日は忙しいみたいで、予定は一ヶ月先まで空いて
いないとのこと。仕方ないのでこっちでなんとか都合をつけ、１日
だけ仕事を早く帰れるようにした。平日に署が閉まるのは21:24らしい。
中途半端…。

やり取りの中で分かった必要なものをリストアップすると以下になる。
　・所轄への事前の連絡(アポ取りは必須。アポなしは無駄骨になるだけ)
　・被害を受けたと思われる時間帯
　・被害を受けたアカのID及び被害を受けた時点で設定してあったパスワード
　・盗難に遭ったアイテム全部(思い出せる範囲で)
　・癌サポートとのやり取りのコピー(被害届を出す意思を明示したもの)
　・可能ならマルウェアの名称

心配なことは、癌がログ消しちゃってたりしないかってことだね…。
なんだかんだで１ヶ月以上経ってるし。もし消してたら全てが徒労に。
これ以上ごちゃごちゃ書いても仕方ないので、質問があれば受け付けます。

680 ：（○口○*）さん sage ： 2007/04/07(土) 11:23 ID:Dp+9quBa0

>>679
必要な情報乙。

被害届出す手続きとか、踏んじゃった人は判らないと思うので、こういう情報は有難い。

681 ：（○口○*）さん sage ： 2007/04/07(土) 13:36 ID:qtBUG2h10

>>679
おつかれさまー

一般的な会社なら１月は保持してそうだけどな・・・
ひどいと残してないかもしれない

682 ：（○口○*）さん sage ： 2007/04/07(土) 15:21 ID:wOB6Q7EE0

少し前に他人のPC乗っとってBOT行為と言う話があったけど。
放置露店してる深夜にそれやられたら洒落にならんような気がする。

683 ：（○口○*）さん sage ： 2007/04/07(土) 15:46 ID:Dp+9quBa0

>>682
>少し前に他人のPC乗っとってBOT行為と言う話があったけど。
よく読め。あれはROのBOTとは別物だ。

684 ：（○口○*）さん sage ： 2007/04/07(土) 20:51 ID:NWjPKwsf0

個人的チラシの裏

・アニメーションカーソル問題は、OSがWin98やMeのPC使ってるユーザーには修正方法なし。
・Firefoxを使用すれば、Firefoxはcurファイルは使用するがaniファイルは使用しないので一応安全？
・しかし↓
262 ：名無しさん＠七周年：2007/03/31(土) 17:42:49 ID:QGOC0zmX0
　　Firefoxも特定の条件ではIEと同じ脆弱性のあるコードを使っているそうだから、
　　(user32.dllの"LoadAniIcon()")、攻撃を受ける可能性がある。

685 ：（○口○*）さん sage ： 2007/04/07(土) 21:05 ID:FJ+Mo3jU0

FC2でブログ書いてるんだけど今日管理者画面見たら罠ブログが履歴で残ってた
ブログ書いてる人はうっかり踏まないようにした方がいいかと。

ちなみにサイト名は
[ 作者名 : あ桜の雪う影 ]
[ ブログ名 : RO Blog最近日記 ]
[ ＵＲＬ : http://■csfir■blog87■fc2■com/ ]
ホスト：203■116■61■164

ご丁寧にコメントにもURL貼ってあったのでホストが分かった

686 ：（○口○*）さん sage ： 2007/04/07(土) 21:20 ID:QuBMKN5b0

>>685
そのホストはシンガポールにある串。
流石に連中も自国から直だと弾かれると言う認識はあるらしいな。

687 ：666 sage ： 2007/04/08(日) 00:34 ID:xAc1/1oh0

>>667,668
ありがとうございました。無事解決しました。

688 ：（○口○*）さん sage ： 2007/04/08(日) 02:03 ID:o0/91/hr0

>>684
こんな記事みつけた。
ttp://www.itmedia.co.jp/news/articles/0704/06/news073.html

689 ：（○口○*）さん sage ： 2007/04/08(日) 06:39 ID:14CftHUN0

>>684>>688
>>672

690 ：（○口○*）さん sage ： 2007/04/08(日) 15:16 ID:EM6ExKh30

ASUSのWebサイトがクラックされ、ANI脆弱性をついた攻撃が仕込まれていたらしい
ttp://www.itmedia.co.jp/news/articles/0704/07/news009.html

もうサイト巡回なんて迂闊にできないわ。

691 ：（○口○*）さん sage ： 2007/04/08(日) 15:30 ID:anHZKVX50

話しぶった切るが、パス変更用の非常用環境構築に『wizpy』ってどうなのかね？
金はかかるが、1CDLinuxよりも敷居は低いかもしれないから有効だと思うんだが…

692 ：（○口○*）さん sage ： 2007/04/08(日) 15:32 ID:1+e+ZtCr0

>>690
あっちで出たやつでWeb巡回で被害受けたとかあるな

中華は本当に何でもありだな('A`)

693 ：（○口○*）さん sage ： 2007/04/08(日) 15:36 ID:tsm8B1jK0

ASUSよりも、ガンホーのサイトに置いた方が楽なんじゃないだろうかって思うの俺だけかな。
いや、ROの垢ハック以外に誘導される事例だったんだろうけどさ、癌の方がセキュリティ甘そうに感じる。

694 ：（○口○*）さん sage ： 2007/04/08(日) 15:37 ID:Qj+/+J9Q0

ヒント：癌のサイトなど誰も見てない

695 ：（○口○*）さん sage ： 2007/04/08(日) 15:43 ID:tsm8B1jK0

なるほど。納得した。

696 ：（○口○*）さん sage ： 2007/04/08(日) 16:36 ID:sUX4S/NV0

課金始まった頃に公式サイトが改ざんされたことあったよな・・・。

697 ：（○口○*）さん sage ： 2007/04/08(日) 16:39 ID:1ttOkRSs0

一つのHDDを二つの領域に分けてて、一つ目の領域にOS入れてあって、もう一つは
適当なデータ入れにしてあった場合、ウィルスを踏んでOS入れなおす時はOSの領域
だけをフォーマットでも良いんですかね？

698 ：（○口○*）さん sage ： 2007/04/08(日) 16:40 ID:Qj+/+J9Q0

告知がキムチパーティーになってたアレのことか？

699 ：（○口○*）さん sage ： 2007/04/08(日) 16:42 ID:Qj+/+J9Q0

>>697
ウイルスの種類による

OS以外の部分にもウイルスを置くのは良くある

700 ：（○口○*）さん sage ： 2007/04/08(日) 16:51 ID:1ttOkRSs0

>>669
レスどうもです。ほかのみなさんの迷惑にならないようにアドレスを大分
はぶきますが、"〜〜〜/chaos"ってやつです。
全部フォーマットするのが確実ですかねぇ。

Roとはまったく関係ない場所だったので安心しきって油断してました。
ちなみに「痛いニュース(ﾉ∀`)」というサイト様の記事のコメント欄に
ハックアドレスの書き込みがありましたので、他にも見にいかれてる方が
おられましたらお気をつけください。

701 ：（○口○*）さん sage ： 2007/04/08(日) 17:01 ID:JA+2ZQBS0

たまに見てるわ…そのあたりまで貼られてるのか、こえーなー

702 ：（○口○*）さん sage ： 2007/04/08(日) 18:04 ID:cPon+/2v0

こんな記事があった
VeriSign　.com .netドメイン登録料値上げへ
ttp://headlines.yahoo.co.jp/hl?a=20070406-00000004-cnet-sci

いつもの奴らにも影響はあるだろうか？

703 ：（○口○*）さん sage ： 2007/04/08(日) 18:11 ID:tsm8B1jK0

>>702
影響はないな。ベリサイン認証なんてとる必要ねーし。

704 ：（○口○*）さん sage ： 2007/04/08(日) 18:18 ID:TEKbm6YP0

>>703
おまｗｗｗ
comとnetドメインの元締めをVeriSignがやってるんだ。
この際証明書は関係ない。

705 ：（○口○*）さん sage ： 2007/04/08(日) 18:28 ID:fHwKhFyM0

ハッキングする事によっての収入のが多ければやり続けるだろうな･･･

706 ：（○口○*）さん sage ： 2007/04/08(日) 18:47 ID:tsm8B1jK0

ああ、そうか。代行業者が価格に反映させるようになったら影響あるかもな。

707 ：（○口○*）さん sage ： 2007/04/08(日) 19:52 ID:0cH7s3Fx0

値上げは微妙に効いてくるかもしれないね。
ところで中華が○○○.jpというドメインを取ってこないのは、
登録料が高いからなのだろうか。
それとも中華ではjpドメインは取得できないのか。

708 ：（○口○*）さん sage ： 2007/04/08(日) 20:26 ID:YACCZGxt0

>>707
日本国内に住所が無ければ登録不可能、と言う事らしい。
まあ、日本にサーバを確保する必要もあるわけだし
そうなると海外にいるメリットが無くなるわけだから
今後も乗っ取りなどでなければjpのドメインを使ってくる事は無いと思う。

709 ：（○口○*）さん sage ： 2007/04/08(日) 20:34 ID:aSWMS1Gu0

>>693
あの辺りだと、外部からのアタックではなく、本省人を装った支那のソーシャルハックによる改竄が行われた
可能性も考えられるな。
連中は都合よく台湾人を騙る事もある模様。

710 ：（○口○*）さん sage ： 2007/04/08(日) 23:23 ID:Qj+/+J9Q0

一太郎の複数のバージョンに脆弱性
ttp://www.justsystem.co.jp/info/pd7002.html

修正パッチはまだ無いが、既に攻撃コードが出回っているので注意


ROと一太郎の両方がインストールされている人は、ほとんど居ないだろうけど

711 ：（○口○*）さん sage ： 2007/04/08(日) 23:39 ID:dPpdYuOl0

一太郎は別にマイナーなソフトでもないでしょ。

712 ：（○口○*）さん sage ： 2007/04/09(月) 02:26 ID:E9kGn81v0

ATOKの方が有名になっただけだな

713 ：（○口○*）さん sage ： 2007/04/09(月) 07:48 ID:A5aMaht40

おもしろいウィルス対策を思いついたから書いておく

コンピュータウィルスの特徴をまず考えよう
ウィルスの何千何万と種類がおおく大量にでまわっているがそのほとんどがパーソナルコンピュータを対象にしたもの
そのためニンテンドーＤＳ、やwiiでネットサーフィンすればウィルスのプログラムに対応していないので
鉄壁の無敵状態です

ネットサーフィンはwii、ネットゲやワードはＰＣでと言うのが俺のウィルス対策です
でもwii用のウィルスが出回っり出したらナムです

714 ：（○口○*）さん sage ： 2007/04/09(月) 07:55 ID:w9XkXvzD0

本気なのかネタなのか区別が付きにくい

715 ：（○口○*）さん sage ： 2007/04/09(月) 08:22 ID:laWTTDbw0

とりあえず、やあドクって言っておけば良いと思うよ。

716 ：（○口○*）さん sage ： 2007/04/09(月) 08:42 ID:4UbgRsA90

>>690
そのASUSに仕込まれた罠ドメインをぐぐって突き止めた、やっぱ中華だった。
しかも罠入れ替えたらしい、SANの記事に出てた時点で検出していたカスペ、F-SECUREで検出しない。

どうやら仕込まれた罠はこれらしい
hxxp://www■ok8vs■com/app/ppapp/next(x)■png
(x)に数字が入る、next1-3までは確認(取り扱い注意)

典型的な出鱈目登録情報のドメイン。
Domain Name:ok8vs■com
Registrant:
wang xiansheng
beijing
666666
±±？？

Administrative Contact:
wang xiansheng
wang xiansheng
beijing
bejing Beijing 666666
CN
tel: 86 021 86868686
fax: 021 86868686
piger378@hotmail.com

717 ：（○口○*）さん sage ： 2007/04/09(月) 10:54 ID:a5xkZp7n0

>>716
ドメインの登録って、架空の組織名や連絡先でもできるのか・・・
ネトゲのアカ登録じゃないんだから、もうちょっと身元確認はしっかりして欲しいものだなあ。

718 ：（○口○*）さん sage ： 2007/04/09(月) 12:08 ID:qozBRgJc0

>>717
>>708を書いた者だが、国内のあるドメインの登録情報を調べた時に
登録情報の電話番号がありえないものだったのを思い出した・・・
随分昔の事だったんで今まで忘れてたんだが
代行業者だと思うが国内でもいい加減な情報で登録する所があるぐらいだし
それが向こうなら金さえ貰えばなんでも登録するぐらいは普通にありそうだ。

719 ：（○口○*）さん sage ： 2007/04/09(月) 13:25 ID:9c0xXzeH0

>717
確かアメリカだったと思うが、ドメインの虚偽登録が300万だか400万だか
あったという記事を見た事がある。
それにWhois情報自体、公開するのは問題があるとかいう意見も見た覚えがある。

ドメインの総数が何個あるのか知らないが、まともに登録されてる所の方が
少ないのかも。

720 ：（○口○*）さん sage ： 2007/04/09(月) 13:48 ID:a5xkZp7n0

Whoisの情報も当てにならんということか。第３新東京市とかでも登録できるのか・・・
まあ逆に考えると、あからさまにでたらめな情報が登録されてたら要注意というわけだな。
まっとうな会社なら正しい情報を登録してるだろうし。

身元確認は犯罪抑止の第一歩だから、しっかりして貰いたいんだが。

721 ：（○口○*）さん sage ： 2007/04/09(月) 15:26 ID:NKcMKbTl0

今も昔も、ドメインを「維持する」のに正確な情報が必要ってだけ。

>>719
それはメールアドレスが間違ってるものも含んだはずだから、今回の件に
関して言えば少々誇大かもしれない。

whois情報公開については別の話だね。
企業ならともかく、個人取得の場合にプライバシーが守れない。
自分の所はVALUE DOMAIN社にメアド以外の名義を借りて登録してるから
なんとかなってるけど、それでも英文spamはかなり来る。
ウィルスはまるで来ないから業者の仕業としか。

722 ：（○口○*）さん sage ： 2007/04/09(月) 16:48 ID:YvnmVY9m0

5年ぐらい前に個人サイトで何となくcomドメインを取得してみたけど
そのときに登録したWhoisの情報は架空の住所を使ったな。
個人情報を晒すのが嫌だったし。

723 ：（○口○*）さん sage ： 2007/04/09(月) 17:32 ID:hM2JLHLY0

>>716
ani(あるいは偽装画像)によってダウンロードされるのがそのpngならわかるけど
aniそのものがそのpngなら脆弱性の使い方間違ってるね。
中を(メモ帳でｗ)見たら先頭がRIFFじゃなくてMZ、つまりexe。
これではMS07-017の脆弱性を使っていない。

UPXとPECompact2で圧縮しても100kB近いのは大きすぎる
(ROアカハックなどのMaranは無圧縮100kB程度で組め、
圧縮すると半分以下になる)。多機能なバックドアか何かかな?

724 ：（○口○*）さん sage ： 2007/04/09(月) 17:40 ID:4UbgRsA90

>>723
今のは入れ替えられているが、前のはカスペで

Kaspersky
4.0.2.24
20070406
Trojan-PSW.Win32.OnLineGames.kw

と言う検出結果を出している。
物自体がオンラインゲームがらみであることは間違いなさげ。

カスペで検出しない今の奴はキングに検体を送っておいた。

725 ：（○口○*）さん sage ： 2007/04/09(月) 18:06 ID:TSJCoUG40

>カスペで検出しない今の奴はキングに検体を送っておいた。
ＧＪ

最近の新型ラッシュで某国人が頑張ってくれるから、USBメモリ沢山貰えるなｗｗｗ

726 ：（○口○*）さん sage ： 2007/04/09(月) 18:55 ID:hM2JLHLY0

>>724
なるほど。それにしてもデカいな。ちなみにnext5.pngまである(6〜9は404)。
Kaspersky、Dr.WEB、Norton、McAfee、バスターｗにはexeにして送付済み。

727 ：（○口○*）さん sage ： 2007/04/09(月) 18:59 ID:4UbgRsA90

やっぱり別にANI絡みファイルあったわ。
www■ok8vs■com/app/bmw3■pig

これはカスペで検出できる。
bmw3■pig - infected by Exploit.Win32.IMG-ANI.t

彼が登録したドメイン、恐らく同様の罠が仕込まれているだろう。
Ipqwe.com
Mumy8.com
Okvs8.com
P5ip.com
Plmq.com
Y8ne.com
Yyc8.com

728 ：（○口○*）さん sage ： 2007/04/09(月) 19:18 ID:hM2JLHLY0

>>727
bmw1〜6まであるね。こちらはきちんと(?)RIFF。
末尾に www■yyc8■com/bm/bm1■exe 〜bm6■exe
ちなみにexeは全部消えてる。

729 ：（○口○*）さん sage ： 2007/04/09(月) 21:01 ID:ni/SQgka0

中華がなぜWarez大国だっていうのを紐解くと
zhangweiに繋がるという程メジャーなキーロガーサイトだった
かなり歴史があって、今までシリアル絡みでも放置されてきたから
この程度のパスクラックなんかはやりたい放題なんだろうな
ここまで来ると、何かしらの後ろ盾無しにこれは出来ないでししょ

730 ：（○口○*）さん sage ： 2007/04/09(月) 21:29 ID:tN3TxgXt0

マフィア系か国自体か･･･
ハッキング関連でICPOから調査要請来たのを警察が無視したってくらいだから
国自体が後ろ盾してっかもな。

731 ：（○口○*）さん sage ： 2007/04/09(月) 21:33 ID:hM2JLHLY0

そこらに転がってるインジェクションツールで食われたんじゃないかな。
楽天もやられたことがあったけど、セキュリティがヘボいサーバが多すぎ。
# Vectorは社内で踏んだので問題が別だけどね。

732 ：（○口○*）さん sage ： 2007/04/09(月) 21:37 ID:hPcqmP4C0

>>730
あの国は賄賂を出せばミサイルでも買えます

733 ：（○口○*）さん sage ： 2007/04/10(火) 12:02 ID:/Km7WVwK0

スレにURLを書き込む時、ページタイトルもつけるとだいぶ安心感違う気がした。
話題に沿って一言添えるとなおよし。

そんなわけでFirefox使いにはMake LinkやCopy URL+まじおすすめ。
前者は比較すると初心者向け？UIあるけど機能に劣るらしい。
後者はカスタマイズ幅があるけどuser.js編集の敷居が高い、
Copy URL+本家はFx2.0未対応、非公式の日本語版では対応している点に注意。

734 ：（○口○*）さん sage ： 2007/04/10(火) 17:13 ID:h03u08Aw0

ブログのコメントにこんなのが

友達募集☆
こんばんわ！(^ω^)
ずっと前に3ヶ月くらい....でROをやったことがあるんですが、
今度PCを買って新しくROをやれることになったので
同じく新しく始める予定の方とか、GM募集してる方とか、
友達になってやるぜ！って方いませんか？
ちなみに......の予定です(^ω^;)
男女不問、愉快で楽しい方待ってます(^ω^)
http://www■archesplayer■com■games■
ホスト210■16■231■4　（韓国）

ソースチェッカーオンラインだと無反応だけどソースの中に
http://www■fanavier■net■games■server.exeへアクセスするっぽいのが書いてあった。

735 ：（○口○*）さん sage ： 2007/04/10(火) 18:43 ID:r4zyRzC10

サイト自体はいつもの中華だね(whoisもスクリプトの組み方も)。
ネカフェか串か。

736 ：（○口○*）さん sage ： 2007/04/10(火) 18:56 ID:r4zyRzC10

拾ってみたけどいつものUpack圧縮Maranだった。

737 ：（○口○*）さん sage ： 2007/04/10(火) 19:03 ID:LJtH1fQl0

リネやROは完全にWindows専用クライアントなんだから、
垢ハックに限ればWindows以外のOS常用すれば安全でFA出るんじゃないか
と思ったりするんだが間違いなのか？

738 ：（○口○*）さん sage ： 2007/04/10(火) 19:24 ID:/Km7WVwK0

>>737
RO垢のパスワードって旧パスワードなしで変更できるんだよね…。
だから汚染されたlinuxで癌垢のIDとパスワードが漏れたらけっきょく同じこと。
キャラパスは漏れないけど、ブルートフォースアタックされるんじゃない？
もし空きスロットあれば倉庫のものは出し放題だし。

739 ：（○口○*）さん ： 2007/04/10(火) 20:16 ID:aweVEv0K0

うちのブログにこんなものが……。


騎士情報交換スレ

ここは騎士及び、騎士を目指す剣士の情報交換の場です。
生涯剣士を貫こうとしている方やロードナイトの方もこちらでどうぞ。
お約束・過去ログ・質問テンプレは>>2を参照。

■心得■
・礼節、目標、意思、判断、敬愛、マターリを心掛ける事。
・全てに於ﾄ最適な育て方、最強のタイプや武器などは在りません。
・教えて君や自己完結君は当スレには不相応です。出来る限り自分で調べて下さい。
・Ctrl+Fでスレ内の検索を推奨します。過去スレと現行スレくらいは検索しましょう。
・それでも分からない場合は、>>2のテンプレに則って質問をして下さい。
・テンプレを無視した質問については、放置されても仕方がありません。
・煽り、荒らし、妬み、叩き、マナー等に関する話題はスレ違いなので徹底放置を厳守。
http://firfir1■blog90■fc2■com/


ソースチェッカかけたところ、lovetwを読みに行くっぽいです。（詳しくないのでよくわかりませんが）

ありがちなパターンですが、検索したところまだ出てないっぽいので一応。

740 ：（○口○*）さん sage ： 2007/04/10(火) 20:17 ID:aweVEv0K0

すみません、下げ忘れました……。

741 ：（○口○*）さん sage ： 2007/04/10(火) 20:36 ID:FsAx7XnD0

いや、このスレに関しては常時age進行でも構わんくらいだから気にせんでいいよ。

742 ：（○口○*）さん sage ： 2007/04/10(火) 20:55 ID:hLfq2e7u0

ぎゃぁぁ。ネトゲ系サイト巡りするときはすごい気をつけてたのに
ネトゲもゲームもなーんにも関係ないwikiに張られてたリンクが
やふーげーむびーびーえす/数字　のアドレスだったよ…。
しかも踏んでから気がついたときた＿|￣|○

【　　アドレス 　 】 yahoo-gamebbs■com■8784541
【気付いた日時】 ほんの10分程前
【　 　　 OS　 　 】 WinXP HOME sp2
【使用ブラウザ 】 Firefox ver.2.0.0.3
【WindowsUpdateの有無】 最終updateは今月4日のやつ
【　アンチウイルスソフト 】 NortonInternetSecurity2005
【その他のSecurty対策 】 Spybot S&D、ルータ有、Ad-aware、SpywareBlaster、
　　　　　　　　　　　　　　　　PG2(リネ系、RO系のリストと中国韓国台湾は遮断)
　　　　　　　　　　　　　　　　あとはHOSTファイルの書き換えもしてる。
【 ウイルススキャン結果】 カスペオンラインで検索中
【スレログやテンプレを読んだか】 毎日読んでた。今も読みなおしてる。
【説明】　2ch某スレへのリンクが張られているはずが、真っ白なページが表示された
　　　　　いつもと違うブラウザの反応におかしいと思い、すぐにページを閉じた。
　　　　　改めてリンク先URLを見ると、やふーげーむびーびーえすの文字が見えたので
　　　　　もしや？と思い、ソースチェッカーとaguseにかけたらお決まりのアレが…＿|￣|○

セキュリティソフト系のアップデートはこまめにしてる方なんだけど
実際踏んでしまったらすごいびびってる。
うわもうほんとどうしよう…（；つД｀）

743 ：（○口○*）さん sage ： 2007/04/10(火) 20:58 ID:oFGw9Ijw0

>>742
hostsとか、PG2とかに使ってるなら、それで自ＰＣ見に行こうとして、なんもないので真っ白で
アクセスしてないからブロックもしてないというパターンだと思われ。

hostsにそのアドレスあるかどうか確認してみ。真っ白ページは、多分それ。

744 ：742 sage ： 2007/04/10(火) 21:05 ID:hLfq2e7u0

>>743

レスありがとう。
とりあえずリネ系とRO系のPG2リストに、下階層の数字部分はないものの
「yahoo-gamebbs」のアドレスは登録されてた。

ノートン先生も反応なかったし、カスペも何も検出しなかったので
セーフと思っていいのかな？

745 ：（○口○*）さん sage ： 2007/04/10(火) 21:08 ID:FsAx7XnD0

>>742
参考までに何のWikiに張られてたか教えてくれまいか？
知人も全く関係ないところ回ってて何時の間にか喰らっていたもので･･･
そん時はどうもアーケードゲームの戦場の絆のWikiに仕掛けられていた模様だった。

746 ：（○口○*）さん sage ： 2007/04/10(火) 21:14 ID:r4zyRzC10

>>742
ahatena■com、おなじみのRDSと、aniの2つの脆弱性。トロイは同一。
怖いのは後者だけど、今月4日WindowsUpdateしていれば問題ないはず。

747 ：742 sage ： 2007/04/10(火) 21:22 ID:hLfq2e7u0

>>745

「VIPで塗り絵＠線画保管庫」のwikiです。
いわゆるスレッドから派生したスレ住人用まとめwikiみたいなものなんで
あちらさんは多分ゲームとかそういうジャンルはまったくお構いなしに
wikiとかBBSをひたすら狙い撃ちにしてるんでしょうね。

>>746
ani対策のWindowsUpdateが終わってるので大丈夫っぽいですね。
やっと安心できました。ほんとにどうもありがとうございます。
多分ここのスレッドをずっと追いかけてなかったら
今以上にパニックになってたかも。

というわけでそろそろ消えます。お世話になりました。

748 ：（○口○*）さん sage ： 2007/04/10(火) 21:24 ID:FsAx7XnD0

>>747
ありがとん。
めちゃくちゃな所までやってくるんだな･･・
前にヘッドフォンのWikiが改竄されたってのもあったしなぁ･･･腹立たしい。

749 ：（○口○*）さん sage ： 2007/04/10(火) 21:26 ID:DQa+n0qW0

>744
hostsを書き換えてるなら白紙ページは正常。

hostsに記載が無くてもPG2を使ってるのなら、メイン画面出して「履歴を表示」
→「ブロック」で阻止したIPが出る。
載ってたらブロックされてるので無害。

後PG2は阻止したとき、タスクトレイにPG2のアイコンが点滅するので
ブラウザの表示が異様に遅いとかエラーが表示、の場合は確認する
癖を付けた方がいい。

750 ：（○口○*）さん sage ： 2007/04/10(火) 21:40 ID:Mix93ky80

ＲＯの垢ハックなんてパソコンに限ったゲームなんだから
当然wiiでネットサーフィンすれば問題ないんじゃないの？

751 ：（○口○*）さん sage ： 2007/04/10(火) 21:43 ID:hLfq2e7u0

まだレスを付けてくださった方がいらしたのでこれで最後に。

>>749

HOSTファイルにもアドレスが書かれてました。
そういやPG2が阻止したときはアイコンが赤くなるのに、何も起こらなかったんですよね。
HOSTファイルを参照して、リストにあればそこで阻止、
HOSTファイルに該当するアドレスがなければPG2で阻止、みたいな順番なんでしょうか。
セキュリティの観点においては、ちょっとやりすぎくらいの勢いで対策しておくのが一番なのかもしれませんね…。

752 ：（○口○*）さん sage ： 2007/04/10(火) 22:25 ID:DQa+n0qW0

>751
まあそんな感じ。

ブラウザで見に行く時(に限らないが)はホスト名からIPアドレスに変換して
参照する。
最初にhostsを参照するして記載されていたらそこからIPアドレスを得る。
記載が無い場合はDNS鯖に問い合わせをして、IPアドレスを得る。

垢ハク対策の場合、hostsには危険ホスト名に対して127.0.0.1(自分自身)を
指定してるのでハクアドレスのIPアドレスではなく127.0.0.1が得られる。
このため、本来の罠アドレスではなく127.0.0.1を表示するため、普通は
白紙のページになる。

また得たIPアドレスがPG2のブロック一覧に含まれていると、PG2が通信を
ブロックする。
hostsにも記載してた場合、危険アドレスは127.0.0.1に置き換わった状態で
PG2が判定するので、PG2は反応しない。

753 ：（○口○*）さん sage ： 2007/04/10(火) 23:49 ID:lpCcUwRr0

>>738
ブルートフォースってのは基本的にオフラインでやるものだよ。
チャレンジレスポンス方式で暗号化されたパスワードを盗聴した場合を例に取ると・・・
パスワードＡをサーバーから送られてくるチャレンジＢと合成して(合成関数はf()としよう)、
さらに一方向ハッシュ関数g()で暗号化した場合、暗号化後の値Ｃはg(f(A,B))ということになる。

実際に未知数なのは当然Ａだけなので、Ａの組み合わせが少なければ、
すべてのＡに対してg(f(A,B))を計算し、Ｃと一致するまで繰り返せば良い。
当然この計算はオフラインでできるから、１回の試行が1msだとすると、
5555万5000回試行するのに55555秒しかかからない。たったの15時間半でクラックされる。

これがオンラインでサーバーに対して実際にパスを投げて、
その返事でもって成否判定するとなると、サーバーからの応答時間ってものがあるから、
仮に１回の試行が１秒で済んだとしても、55555000秒（643日）はかかる訳だ。
３回失敗したら、ログイン認証からやり直しだから、１秒程度では済まないと思うが・・・

まあ、それ以前に>>159にもある通り、キャラデリされたら終わりなんだが・・・

754 ：（○口○*）さん sage ： 2007/04/11(水) 00:10 ID:yTnLf75p0

2ｃｈのkoreスレがやばいよ
垢ハックも悪いけど
ＢＯＴに手を出す奴も悪いけどね

755 ：（○口○*）さん sage ： 2007/04/11(水) 00:20 ID:Xri9oikj0

ｋｗｓｋ

756 ：（○口○*）さん sage ： 2007/04/11(水) 00:24 ID:8RVzzbyo0

そこら辺は自己責任だし自業自得ともいうんじゃ

757 ：（○口○*）さん sage ： 2007/04/11(水) 01:48 ID:SdCUz4zu0

どうせBOTあります、とかで罠リンクが張られたとか、そういうのでは？
でも2chってウィルス貼り付けは個人情報の貼り付けと同じで、通報対象だったような。
まあ中華はそんな事気にしないんだろうけど。

ところで質問。
Wikiの外部ページ確認でプレビュー機能が付いてるところがあるが、もしリンク先が
罠画像とかだった場合、ウィルスはWikiを設置してる鯖にDLされてしまうんだろうか？
それとも閲覧してる個人のPCに入り込んでしまうんだろうか？

あれの仕組みが判って無くて怖かったりするんだが……

758 ：（○口○*）さん sage ： 2007/04/11(水) 02:17 ID:NB9Vzyfi0

>>757
具体的にどこのWikiにプレビュー機能が付いてるか教えてもらえれば、調べてみますが・・・

759 ：（○口○*）さん sage ： 2007/04/11(水) 03:34 ID:MMNdUgFP0

自分のPCを中国韓国ドメインにアクセス出来なくさせれば解決じゃね？

760 ：（○口○*）さん sage ： 2007/04/11(水) 04:29 ID:oifYH6IP0

お前らWindowsUpdateしろよ?
今月分来てるぞ。

761 ：（○口○*）さん sage ： 2007/04/11(水) 07:39 ID:84JQQ3XK0

>>758
弓手wikiとかにあるね。やってみるといいよ

ttp://hunter.rowiki.jp/link.php?http://www.google.co.jp/intl/ja_jp/images/logo.gif

762 ：（○口○*）さん sage ： 2007/04/11(水) 09:39 ID:NB9Vzyfi0

>>761
これはなかなか面白いですね。

調べてみましたが、www.snap.comというサイトで提供されているSnap Preview Anywhereという機能で
リンクにマウスカーソルを合わせたときに、リンク先のプレビュー画面が表示されるというもの。
(閲覧者はブラウザのJavaScriptをONにしておく必要があります)

サービスは無料。誰でも自由に自分のサイトにプレビュー機能を搭載することができます。
（あくまでもサイト管理人が申し込むのであって、閲覧者側でプレビュー機能を搭載したいと思っても、それは無理です）

って、宣伝してどうする。

>>757
問題のプレビュー画像ですが、サーバー側で作成されています。下記のimgタグによりブラウザ上で画像が表示されます。

例：gemma.mmobbs.com/test/read.cgi/ragnarok/1175942847/l50 (弓手スレ)へ飛ぶ場合
<img title="gemma.mmobbs.com/test/read.cgi/ragnarok/1175942847/l50へ行ってください。"
(中略) src="http://spa.snap.com/preview/?url=http%3A%2F%2Fgemma.mmobbs.com%2Ftest%2F(中略);">

大元の画像が何らかの脆弱性を利用する悪意あるものだったとしても、
画像をサーバーで作り直してるので、安全だと思います。

763 ：（○口○*）さん ： 2007/04/11(水) 10:13 ID:1hva4uhk0

アメリカは北朝鮮と組んで中国滅ぼせよ('A`)
中国に水爆落としまくって滅ぼせ

764 ：（○口○*）さん sage ： 2007/04/11(水) 10:26 ID:+AKp1cik0

ＢＯＴごときで戦争おこして国滅ぼせとかお前重症

765 ：（○口○*）さん sage ： 2007/04/11(水) 11:06 ID:Om5lAPnB0

奴らの攻撃はBOTだけじゃないけどな。

766 ：（○口○*）さん sage ： 2007/04/11(水) 14:04 ID:n1jK29m2O

むしろ世界中にケンカうりまくりの朝鮮半島もだな…
奴らの核の問題は
俺ら悪い事しましたwwwやめてほしかったら金くれおwww>アメリカ（日本）金払う>おけww核はもうやめるおw
数年後…
また核作りましたwww経済制裁やめて金くれおwww

こんな国だろ
どう考えても犯罪国家。そこらじゅうに工作員とテロのコンボももれなくついてくる

767 ：（○口○*）さん sage ： 2007/04/11(水) 14:25 ID:W6KEnJME0

>762
Snap鯖が取得したデータをサムネイルのように表示するだけだから、仮に罠画像が
仕込まれてたとしてもWiki鯖に入るわけじゃなくSnap鯖に入る、って感じかね？

768 ：（○口○*）さん sage ： 2007/04/11(水) 15:44 ID:yTnLf75p0

>>766
こっちから原爆おとしてやれよｗｗｗ

769 ：（○口○*）さん sage ： 2007/04/11(水) 16:02 ID:NB9Vzyfi0

>>767
暇を持て余してたので、Firefoxの拡張機能LiveHTTPHeadersを使って、
クライアントがサーバーにどんな要求を投げたかを調べてみました。

�@ ttp://hunter.rowiki.jp/link.php?(リンク先のURL)
�A ttp://hunter.rowiki.jp/skin/pukiwiki.css.php?charset=Shift_JIS
�B ttp://spa.snap.com/images/v1.24/theme/ice/bg/bg_462x366_bl.png
�C ttp://spa.snap.com/preview/?url=(リンク先のURL)(その他のパラメータ)

�@ Wikiサーバー → クライアント (HTML)
�A Wikiサーバー → クライアント (スタイルシート)
�B Snapサーバー → クライアント (サムネイル画像の枠)
�C Snapサーバー → クライアント (サムネイル画像)

まずWikiサーバーからHTMLソースおよびCSSをダウンロード。基本画面が表示される。
このHTMLソースの中にはSnapから提供されたJavaScriptが埋め込まれており、
リンク先(つまりHTMLでいうところのaタグ）にマウスを乗せると、
JavaScriptが実行されて、クライアントはSnapサーバーにサムネイル画像を要求する。

Snapサーバーはこれを受けて、リンク先のHTMLソースをダウンロードし、
レンダリング、さらに縮小したものをJPEG形式にした上でクライアントに送信する。
クライアントはSnapサーバーからダウンロードしたサムネイル画像を表示する。

画像に関してはWikiサーバーは一切関知してなくて、Snap→クライアントに直接来ます。
ウイルスに感染する可能性があるのは、Snapサーバーのみということになりますね。
Snapサーバー大丈夫なのか・・・

770 ：（○口○*）さん sage ： 2007/04/11(水) 16:43 ID:sXZT5x4T0

たぶん非Windows系OSだろうし、どちらにせよ実行アカウントは
権限を絞ってあるだろうから大丈夫だと思うけどね。

771 ：（○口○*）さん sage ： 2007/04/11(水) 17:10 ID:Bk8CmJgI0

>>748
ヘッドフォンのWikiというか、Wiki@nothing自体は汎用情報集積サイトなので、多方面の記事が載っている。
それに、福建人も明らかに錯誤を狙ったドメインを取得している。

>>769-770
この場合怖いのは、ある程度著名サービスのsnap側が攻略されるよりも、呼び出し側にDNSポイゾニングを
行われて、偽snapサーバから画像が落ちてくるほうかも。
脆弱性の程度としては、対処レベルのまちまちな方が穴を空けやすいだろうし。

772 ： ◆sp4Sh9QXGI sage ： 2007/04/11(水) 19:36 ID:csuCOJ560

>>751さま
試しに適当な危険ドメインにpingを打ってみるとすぐにわかります。
例えば「jprmthome■com」にpingを打ったとして…
　　Pinging jprmthome■com [127.0.0.1] with 32 bytes of data.
　　(以下省略)
と出れば、hostsでブロックされています。

　　Pinging jprmthome■com [222.77.185.88] with 32 bytes of data.
　　Destination host unreachable.
　　(以下、↑と同じ文章が数回繰り返し)
と出れば、hostsではブロックされていませんがPG2でブロックされています。
この場合のログもしっかり残りますので、PG2のウインドウで確認してみてください。

　　Pinging jprmthome■com [222.77.185.88] with 32 bytes of data.
　　Reply from 222.77.185.88: bytes=32 time=23ms TTL=54
　　(以下、↑と同じ文章が数回繰り返し。timeやTTLの数値は適当です)
と出た場合はhostsでもPG2でもブロックされていません。

773 ：（○口○*）さん sage ： 2007/04/12(木) 09:24 ID:EbjJ8DD/0

ちょっと質問しようと覗いてみたが内容の95％くらい理解不可能な俺ミジンコorz
よくないけどまぁいいか・・・
んでLvの低いことで申し訳ないが質問。
サブPCのノートンが期限になったので更新、もしくは代わりに良い物があればそれを。
と思ってるんだけど、何かお勧め、これはやめとけってのある？
チラッと読んだ感じだと、NOD32とかカスペルスキーってのがお勧めされてる？
ノートンでよく言われる「重い」ってのが覿面だったからなるべく軽いのが良いんだけど・・・

OSはXP
CPUはアスロンXP1700+　1.47G
メモリ1GBです

774 ：（○口○*）さん sage ： 2007/04/12(木) 09:56 ID:TDzVCnUs0

軽さで言うならNOD32。
検知能力も高いがアンチウィルス機能のみのため、FW機能とかは別途用意する必要がある。
パターンファイルの対応も早い。

カスペは重さは普通。
統合版を使えばFW機能も入ってるが、設定が微妙に癖があって戸惑う事も。
パターンファイルの対応は信じられないくらい早い。

Norton・ウィルスバスター・マカフィの御三家は対応が微妙に遅く、アカハックウィルスに
関しては不得手。
バスターは2007になってNorton並に重くなってちと不安定な事もある。

カスペの統合版にするか、NOD32＋他FWソフトとかの組み合わせが無難と思う。

775 ：（○口○*）さん sage ： 2007/04/12(木) 17:41 ID:fasko+B60

>>773
軽さだけならNOD32かな。
カスペルスキーもノートンよりは軽いですね。
私も774氏と同じく、この両者がいいかなと思います。

【NOD32】
http://www.canon-sol.jp/product/nd/
【カスペルスキー】
http://www.just-kaspersky.jp/products/

776 ：（○口○*）さん sage ： 2007/04/12(木) 19:10 ID:zJeFk3SM0

便乗で質問してもいいかな？
NODにはFW機能がないって話だけど、それは本来の意味のFW機能だけ？
それとも、Web上の危険なスクリプトなどの自動検知機能さえもないの？

現在使用しているのはNorton AntiVirusで、InternetSecurityはなし。
これと同程度の機能があればNODで十分かなと思ってるんだけど。

777 ：（○口○*）さん sage ： 2007/04/12(木) 19:55 ID:Qh2r3Xbu0

>776
それはある。

NOD32は
AMON：常駐保護
DMON：MS Officeドキュメント保護
EMON：Outlook用メールモニタ
IMON：インターネットモニタ
と呼ばれる機能（モジュール）があり、Web上のスクリプト検知はIMONが行う。

ちなみに、先日誤検出(>128-129)した事があるが、>247で回答があったし
その時点で誤検出はしなくなったので、対応は割と迅速な部類に入る。

778 ：（○口○*）さん sage ： 2007/04/12(木) 20:34 ID:EbjJ8DD/0

>>774-775
ありがとう
店頭で見比べてみるよ
ってかメインも近いうちに期限切れるし両方試すのも良いかな

779 ：776 sage ： 2007/04/12(木) 20:37 ID:zJeFk3SM0

>777
わかりやすいレス、ありがとう。

そうなると、カスペルがオンラインチェックできることに甘えて、普段はNOD32
気になった場合のみカスペルオンラインを利用しての二重チェックもできるね。

780 ：（○口○*）さん sage ： 2007/04/12(木) 20:39 ID:vtSODKlb0

便乗に便乗になっちゃうけど、FWソフトはいったい何がお薦めなんだろうね？
今だとやっぱりインターネットセキュリティスィートが多く発売されてるのもあって、
別個でFWを使ってる人は少ないかな？と思って。
自分もNOD32使ってるんだけど、FWは何がいいだろうかーと思って、
知ってる人とかお薦めが合ったら是非に教えてくださいませ。

781 ：（○口○*）さん sage ： 2007/04/12(木) 22:34 ID:CXwCKHBy0

私的意見だが、FW単体にお金をかける(かけれる)ならルーター買った方がいいと思う。
やっぱりPCより前の段階で遮断出来るのは良いものだよ。

782 ：（○口○*）さん sage ： 2007/04/12(木) 23:34 ID:IhOzRw9C0

・・・・・・・・ＦＷソフトとルーターのＦＷは、かなり別物のような気がする。

ファイアーウォールの分類
http://www.cyberpolice.go.jp/server/rd_env/pdf/FW02.pdf

＞■パケットフィルタリング型
＞　・IPパケットのヘッダ情報（ＩＰアドレス、ポート番号など）といった静的ルールで判断し、不正アクセスを防ぐ。
＞　・OSI基本参照モデルで例えると、ネットワーク層で動作するファイアウォールである。
＞　　（ルータやスイッチのアクセスリストなどと同様。）
＞■ステートフルパケットフィルタリング型
＞　・パケットフィルタリングを拡張した方式。IPパケットのヘッダ情報だけでなく、時間や履歴といった、
＞　　動的ルールで判断する。単純にパケット単位でフィルタリングするのではなく、アプリケーションレベルで
＞　　双方向の通信をチェックして、パケットを通過させるか否かを判断する。
＞　・OSI基本参照モデルの3層（IPヘッダ情報）と4〜7層（ペイロード情報）を参照する。
＞■アプリケーションゲートウェイ型
＞　・通信を中継するプロキシプログラムを利用し、内部ネットワークとインターネットの間で直接通信をできないようにする方式。
＞　・アプリケーション層のファイアウォールである。（プロキシサーバと同様の動作。）

１つだけではなく、きちんと組み合わせて使おうぜ。リンク先の資料の、長所と短所の比較表も参照。

783 ：（○口○*）さん sage ： 2007/04/13(金) 00:44 ID:q6GPnSPS0

ルーターで外部からの接続をすべて遮断してれば、
個別にFWソフトをいれる必要はないとか思っているんだけども、間違ってるかしらん。
（LAN側に１つでも感染PCがいたら、ほかのに延焼したりするだろうが、それはそれ）

>>782
これって、企業向けFW製品群の説明だったりしない？
個人向けルーターとか、個人向けFWソフトとは観点が違うような気がする。

784 ：（○口○*）さん sage ： 2007/04/13(金) 01:36 ID:o9OJtzSM0

個人向け製品群に搭載されている、pFWと謳っているものは、実質的にIDS、所謂侵入検知システムの範疇。
プロセスや、アプリケーション群の単位で疎通の可否を決めるような動作をする訳で。
主にプロトコルやport、destinationが判断材料となるルータレベルのパケットフィルタとは、守備範囲を異にするもの。

個人向けBBルータの難点は、ある程度フィルタを増やしてしまうと処理遅延が馬鹿にならない事。
中身は組み込みLinuxのパッケージ製品だから、値段相当とも言えるけど。

785 ：（○口○*）さん sage ： 2007/04/13(金) 06:59 ID:kBz8fRPd0

>>783
外からの進入に関していえば、それで間違ってはいない。

内部FWの意味は、もしウイルス等を食ってしまった場合に、
内部からの漏洩や踏み台にして他への感染の広まりを抑えるためには有効。

786 ：（○口○*）さん sage ： 2007/04/13(金) 07:49 ID:gnAsRqeW0

イメージ的にはこんな感じで合ってますかね？

●外側から始まる攻撃はルーターが防ぐ
内部 外部
|R|×<----(Attacker) (外側から始まる通信なので通らない)

●内側にバックドア等を仕掛けられた場合
内部 外部
(Backdoor)--------->|R|------>(Attacker) (内側から始まる通信なので通る)
(Backdoor)<---------|R|<------(Attacker) (内側から始まった通信の返信なので通る)

ファイアーウォールがあると防げる場合もある
(Backdoor)------>×|F| |R| (FWはあらかじめ許可された通信しか通さない)

787 ：（○口○*）さん sage ： 2007/04/13(金) 08:30 ID:q6GPnSPS0

上記のような場合、内側防御の目的としては
XP以上（だっけ？）についてるWindows付属のFWで
対応しきれないものなのだろうか。

MS製品なんて信用ならねー、というなら、まぁわからなくもないけれど
個人向けFWソフトの導入ってのはどこまで必須なんだろうなぁ。
あったほうがいいのはわかるが、ないとやばいのかしらん。

788 ：（○口○*）さん sage ： 2007/04/13(金) 09:47 ID:jGw2UxEp0

>>787
ある程度は防げるけど、一般のＦＷソフト程じゃない。

789 ：（○口○*）さん sage ： 2007/04/13(金) 09:52 ID:8nFu15px0

FC2でブログやってるんだけどいつものコピペコメントで
http://firfir1■blog90■fc2■com
http://bqdr■blog98■fc2■com　
ホストは165■228■131■11

いつもの罠ブログへのアドレスが貼ってあった。
下のアドレスはブログの管理画面にあるリンクをコピペしてソースチェッカーをかけたら
http://bqdr■blog98■fc2■com/となってウイルスのリンクがチェックに引っかからないのでびっくりした。

他のブログサービスでもこういう罠ブログがあるのかしらね・・・

790 ：（○口○*）さん sage ： 2007/04/13(金) 12:02 ID:SibRokY40

windows firewallは外向き接続をコントロールできないから無理

791 ：（○口○*）さん sage ： 2007/04/13(金) 12:15 ID:RkiDwDvJ0

許可してない外部へのアクセスに警告だすようにすると不審なアクセスに気づけるね。
たまに問題ないのもひっかかるけどそれはそれ。

792 ：（○口○*）さん sage ： 2007/04/13(金) 13:45 ID:RBGDsCxI0

>780
有名どころのFWソフトだとZoneAlarmやOutpost、Kerioあたりかね。
一番よく使われてるのはZAな気がするけど。

FWは設定の自由度が高ければ高いほど、設定が難しくなる。
また運用ルールを明確に決めて設定しないと、大きな穴が開いたりする。

色々検索すれば解説ページは見つかるので、自分に合った良さそうなのを選択。

793 ：（○口○*）さん sage ： 2007/04/14(土) 19:24 ID:umPEAch90

すみません。
らぐなろくあぷろだ2ndの1002.jpgがhtmlの拡張子をjpgに変更している
モノのようなんです。
DLして中身見てみたら、何処にも飛ばされるようなモノではなかったんですが
問題ないモノでしょうか。
友人が踏んでしまって。

昔htmlを弄っていた経験上、問題ないんじゃないかとは思えるのですが
確認いただける方が居られれば見ていただいて宜しいでしょうか？

友人にはバックアップ取って再インストールできる準備をするようにして
ネットには繋ぐなと言ってあります。

url：http://nekomimi■ws/~ro/img/1002■jpg

794 ：（○口○*）さん sage ： 2007/04/14(土) 19:44 ID:ViEjGCQe0

>>793
>>599-603参照
ソースチェッカーで確認したけど、危険はないと思うよ。
JPEG脆弱性利用の可能性を考慮して、Windows Updateを
ちゃんとやってたかどうかは確認しておいた方がいいと思う。
(JPEG脆弱性利用ならわざわざ偽装しないとは思うけどね)

795 ：（○口○*）さん sage ： 2007/04/14(土) 19:46 ID:JKUB7NFe0

勇気がなくて踏めない人のための鑑定ｽﾚPart13 (初級ネットワーク＠2ch掲示板)
http://pc11.2ch.net/test/read.cgi/hack/1173634465/540-542
既に誰かが鑑定したらしい。

ついでに類似の件も発見。
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1170419695/965-966

HTML上の文字列でぐぐっただけで上記情報は直ぐ見つかりました。

796 ：793 sage ： 2007/04/14(土) 21:57 ID:umPEAch90

>>794,795
有り難うございます。
過去ログまで目を通してませんでした。

windows updateの確認と共に、念のためオフライン上で各種チェックは
させておきます。

797 ：（○口○*）さん sage ： 2007/04/14(土) 23:15 ID:JKUB7NFe0

メール可能な検体提出先(英文が基本)

Avira GmbH(AntiVir) <virus@avira.com>
Dr.WEB <vms@drweb.com >
ESET(NOD32) <samples@eset.com>
F-Secure <samples@f-secure.co.jp>
Grisoft(AVG Anti-Virus) <virus@grisoft.com>
Kaspersky Lab <newvirus@kaspersky.com>
SOFTWIN(BitDefender) <virus_submission@bitdefender.com>
CA(eTrust Vet) <support@vet.com.au>
CA(eTrust Antivirus) <virus@ca.com>
ALWIL Software(avast!) <virus@avast.com>

英文例 (2chセキュ板のをベース)

Hello.
I suspect attached file is infected with virus.
Please examine this.
Details are as follows.
Thanks in advance.

<Attached file info>
Decompression password : virus
File name : virus.zip
In file : virus.exe

<Where did I get this?>
http://exmaple.com/virus.exe

<Aditional Info>

<OS>
Windows 2000 SP4

<Country>
Japan

<Detection possible other software>
NOD32 Win32.NULPO
NORTON Win32.GATTSU

798 ：（○口○*）さん sage ： 2007/04/14(土) 23:20 ID:QRH7GuW00

Webからの提出のみ？

Norman
　http://www.norman.com/Virus/Submit_virus_sample/
Sophos
　http://www.sophos.com/support/samples/
F-Prot
　http://www.f-prot.com/virusinfo/submission_form.html

799 ：（○口○*）さん sage ： 2007/04/14(土) 23:31 ID:IJkoaxm+0

そういえば、以前マカフィーのサイトアドバイザーでサイトのチェック(評価)が
見れたと思うんだが、有償のが出た時点で無くなった？
有償版のやつ、購入する価値ってあるのかねぇ？

800 ：（○口○*）さん sage ： 2007/04/14(土) 23:51 ID:BYfLxanH0

Dr.WEBで事足りるからイラネ。

801 ：780 sage ： 2007/04/15(日) 00:08 ID:ZkNbbjP20

FWについて尋ねた者です。
色々レスありがとう。勢いで書き込みしてしまってから
「手前でもっと調べろ」って思ったので調べてたりしてました。
（今日書き込みできたのは休みだからですが…）

入門だとやはりZoneAlarmからが良さそうですね。
色々とやりたくなったら難しそうだけど、それはそれで。

アプリケーション群の単位で疎通の可否やらを知っておきたかったので
ルーターだと都合悪いので聞きました。
Win2kを使わないとならない状況ってのもあって、少しでも軽いものを〜
みたいな感じで選ぶと、どうしてもノートンクラスだと重すぎてしまって。

遅まきながら、ありがとうございました。

802 ：（○口○*）さん sage ： 2007/04/15(日) 00:24 ID:HYRT13tv0

>>799
今でも見れるぞ。

803 ：（○口○*）さん sage ： 2007/04/15(日) 09:13 ID:5jwyjJzr0

検体提出先(利用者が多そうなもの)

Norton
専用の提出プログラム sarcret.exe (自家製メーラ)を拾って
それで送れ、ということなんだけど
最近はプロバイダの迷惑メール規制でほぼ使い物にならない。
sarcretが送信するメールと同様のメールを作成して送ることもできるけど
やたらとめんどくさい(サブジェクト、本文、ファイル名などが固定)。
ということで英文フォーム。
https://submit.symantec.com/websubmit/retail.cgi
zipで固めてアップ。Captcha(図から字を読んで入力する)あり。
図が紛らわしくて読めない時(1とlとかhとnとか)はリロードがんばれ。

McAfee
メールで送ることもできるけどzipパスワードが「infected」限定
(自動処理されるため他のパスワードは自動返信で蹴っ飛ばされる)。
またメールは対応が遅い。
ということで英文フォーム。
https://www.webimmune.net/
zipで固めてアップ。アカウントを取得しておくこと。
アップ後1分ほど待ってからMy Accountで結果が出る。

804 ：（○口○*）さん sage ： 2007/04/15(日) 09:15 ID:5jwyjJzr0

ウイルスバスター(PC-cillin)
日本のトレンドマイクロは提出にウイルスバスターのシリアルが必要なので無視。
ということで英文フォーム。
http://subwiz.trendmicro.com/
の Suspicious file 。Session IDが付くのでブックマークは上記で。
このフォームはIEでしか動作しない(えー)。
ウイルスバスターという選択肢は無いので「PC-cillin 2006」とか選んで
zipで固めてアップ。未知のものはそのまま受け入れられるが
既知のものはアップ後ASPがエラーになるのですぐわかる(えー)。

ウイルスセキュリティ
ソースは受け付けていないと思うので
直接インドのK7にメールで発射。
k7viruslab あっと k7computing.com

英文と言ってもそのファイルが何かを調べるのは
あっちの仕事なので「Virus」や「Trojan」の一言でいいです。

805 ：（○口○*）さん sage ： 2007/04/15(日) 09:17 ID:5jwyjJzr0

zipのパスワード
「infected」McAfee(メールの時み。フォームでは不要)、ESET(NOD32)
「virus」Dr.WEB(メールの時のみ。フォームでは不要) Avast! eTrust(CA)
他はパスワード不要(Kaspersky AVG AntiVir BitDefender etc.)。

ただしウイルスが削除されるような契約をプロバイダとしているなら
適宜付けて本文にも明記すること。

806 ：（○口○*）さん sage ： 2007/04/15(日) 10:59 ID:YhKIGix30

【　　アドレス 　 】 http://runan■net/main■php
【気付いた日時】ページを見たのは1時間前
【　 　　 OS　 　 】Windows XP Home Edition SP2
【使用ブラウザ 】IE
【WindowsUpdateの有無】 3日前
【　アンチウイルスソフト 】niftyセキュリティ24サービス
【その他のSecurty対策 】 なし
【 ウイルススキャン結果】 カスペルスキーオンラインスキャンでは検出なし
【スレログやテンプレを読んだか】 一読しました
【説明】
グーグルでぐぐったRO価格調査隊を開いたところ、見た目はいつものRO価格調査隊
だが、アイテム検索を行うとリンクエラーが発生。
その後、にゅ缶の「貧乏に胸をはれスレ」のテンプレにある価格調査隊の
アドレスと一致しないことに気がついたため。

ROやアカウントセンターにはまだログインしていません。

807 ：（○口○*）さん sage ： 2007/04/15(日) 11:16 ID:5jwyjJzr0

>>806
踏んだけど無害。
ドメインをwhoisで見ると日本人(ro-priceと同一人物)っぽいし、
移転前とかの旧サイトを放置してるだけじゃね?

808 ：806 sage ： 2007/04/15(日) 11:21 ID:7jeRKR7y0

>>807
そうですか、よかったぁ
807さんありがとうございます。

809 ：（○口○*）さん sage ： 2007/04/15(日) 11:55 ID:+OggodB20

全職Wikiの垢ハック対策が高レベルになってしまって、
巡回する必要性がなくなりちょっと寂しい。
こうなるのを望んでいたのにな・・・

　　 ∧_∧　 杉花粉撒いてやんよ
　　(´･ω･）ノ>ﾟ+｡:.ﾟ
　　Ｃ□　／　ﾟ｡:.ﾟ.:｡+ﾟ
　　/　　. |
　 （ノ￣∪

810 ：（○口○*）さん sage ： 2007/04/15(日) 14:42 ID:o4gvePkd0

>>809
全国民を敵にまわしたな !!

811 ：（○口○*）さん sage ： 2007/04/15(日) 19:09 ID:mYaeEWEA0

業者同士でハックしあってたら面白いんだがなあ

812 ：（○口○*）さん sage ： 2007/04/15(日) 22:06 ID:BWSUqk9B0

本スレ>603
>1CDLinuxが上手く作れず上手く機動してくれません。

焼くときにISOイメージをファイルとして焼いてないかどうか。
ちゃんとイメージとして焼いたなら、PCのBIOSでCD Bootに設定してるかどうか。
起動できないという場合、このどっちかだと思うんだが。

OS入れ直しが一番確実な対処方法ではあるが、罠を踏んだ後でログイン等を
行ったかどうかで優先順位は変わる。
ログイン等してたのなら、PASS変更を一番に。
まだログイン等をしてなかったのなら、OS入れ直しが先でも問題ない。

813 ：（○口○*）さん sage ： 2007/04/15(日) 22:24 ID:+UqQqJFi0

>>806
それ旧ドメインなんで安心していいよ
俺も前に踏んで調べたことがあるから

814 ：（○口○*）さん sage ： 2007/04/15(日) 22:34 ID:KFVXcepG0

>>811
ワーム同士が潰し合ったことがあったなぁ(実際に敵のプロセスを潰す)。
ttp://japan.cnet.com/news/media/story/0,2000056023,20064667,00.htm

815 ：（○口○*）さん sage ： 2007/04/16(月) 01:09 ID:NmsDNgLY0

PG2入れてみたんだが、癌のゲーム鯖もきっちりキックしてくれるのなｗ

許可リストに、パッチ鯖、ログイン鯖と各ゲーム鯖入れたいんだが、リストどっかになかったっけ？

816 ：（○口○*）さん sage ： 2007/04/16(月) 01:19 ID:8cqgCaim0

>>815
それ企業リストも入れてるからじゃ？うちでは省いてるなぁ

817 ：（○口○*）さん sage ： 2007/04/16(月) 09:31 ID:7GxxMiOV0

アカウントハック総合対策スレ６の163〜172あたりで話題に出てましたが、
自分がプレイ中にアカハックされて、ログイン合戦になってしまったとき、
どうやって対処すべきか考えてみました。

もしＰＣを１台しか持ってなくて、頼れる知人もいなくて、
パスワードを変更しようにも使えるのは感染したＰＣのみという状況の場合。
もちろん、ＯＳ再インストールなんてしてる時間はありません。
1CD Linux起動してる間にも被害が進行するかも・・・。
普通に考えると詰みのような気がしますが、こんな方法はどうでしょうか？

ＰＧ２(PeerGaurdian2)でＲＯ以外の接続をすべて弾く設定にする。
（ＲＯ緊急時などの名称であらかじめ作成しておきましょう）

●全範囲 [禁止]
000.000.000.000 〜 255.255.255.255 All IP Block

●ＲＯ [許可]
219.123.155.160 〜 219.123.155.191 Patch Server
221.247.195.160 〜 221.247.195.191 Patch Server
061.215.212.000 〜 061.215.212.255 Game Server
061.215.214.128 〜 061.215.214.255 Game Server
211.013.228.000 〜 211.013.228.255 Game Server
211.013.232.000 〜 211.013.232.255 Game Server
211.013.235.000 〜 211.013.235.255 Game Server

この状態でＲＯにはログインできますので、
ログイン合戦をしつつ、所持しているすべてのキャラのキャラパスを変更します。
（攻撃者によって既に変更されてしまった場合はアウト。その場合は以下の設定も追加してアトラクションセンターへ）

818 ：（○口○*）さん sage ： 2007/04/16(月) 09:32 ID:7GxxMiOV0

>>817の続き
●ローカル [許可]
127.000.000.001 〜 127.000.000.001 Localhost
192.168.001.000 〜 192.168.001.255 LAN (※左記は例。お使いのLANのアドレス範囲を設定してください)

●アトラクションセンター [許可]
211.013.229.000 〜 211.013.229.255 Gungho Mode

●ＤＮＳ [許可]
(※普段使用しているＤＮＳアドレスを設定してください)

トップページは許可リストに入っていないアドレスも参照しているので、すごく時間がかかるかもしれません。
なので、直接ログイン専用ページへ飛ぶ方が良いです。ブックマークしておきましょう。

アトラクションセンターへログインしているときも、ＲＯへのログイン合戦の手を緩めてはいけません。
そして、無事アトラクションパスを変更できた場合は、ＲＯへ一度ログインして、
相手のログインを弾くことを忘れてはいけません。（アトラクションパスを変更しただけでは、弾かれません）

敵の攻撃が止んだからといって、安心してＰＧ２のフィルタ設定を解除してはいけません。
解除した瞬間に、パスを送信される可能性があります。まずＬＡＮケーブルを抜いてください。
その後、必要なファイルのバックアップを取った後、ＯＳを再インストールしましょう。


以上です。
ＰＧ２の機能を阻害するようなマルウェアを仕込まれてたらアウトですが、
状況的に贅沢は言えません。万一の場合を考えると、変更はキャラパスのみに留め、
ＯＳ再インストール後に、アトラクションパス変更が理想です。

ＰＧ２は一例であり、任意のＩＰフィルタ、ファイアウォールなどで実現できると思います。

819 ：（○口○*）さん sage ： 2007/04/16(月) 09:57 ID:NmsDNgLY0

ああ、なるほど。ＰＧ２で盗み出したパスの送信を止めちゃうのも正しい対処の１つですね。

820 ：（○口○*）さん sage ： 2007/04/16(月) 10:20 ID:NmsDNgLY0

ふと思ったんだが、nPro鯖への接続も解放してやらないと切断される訳だが、nProのIPってどこだ。

821 ：（○口○*）さん sage ： 2007/04/16(月) 10:26 ID:rhj4ycDh0

>>815

P2Pリストを普段はオフにすればいい


>>819

http://gemma.mmobbs.com/test/read.cgi/ragnarok/1173963316/489-491
の事例がまさしくそうだな

822 ：（○口○*）さん sage ： 2007/04/16(月) 10:56 ID:l/VQkgDd0

>817-818
ログイン合戦時にその方法を使うなら
・最初からアトラクションセンターに行ってPASS変更する
・RO蔵起動は相手の接続を落とすために行う
という感じになるかと。

キャラパスは5つあるから、ログイン合戦しつつ5つのパスの変更かけるよりは
アトラクションセンターでROのPASSを変更した方が早いし確実だと思う。

ログイン合戦を想定してるわけじゃないが、自分はPCにVMwareをインストールして
Linux環境がすぐに(数分)立ち上げれるようにしてる。
感染してる時点でLAN内のPCの安全性は疑った方がいいし、1CD Linuxも用意してるが
即動かすのなら仮想PCの方が手っ取り早い。

ただログイン合戦の現場に遭遇してしまった時に、冷静に対処出来るか正直自信がない。
ある程度の対策は講じてるつもりだが、出来ればそんな場面に出くわしたくないものだ……

>821
丁度送信先がlovetwだったので助かった、って例だね。
送信先が未知のIPだと防げなかっただろうし、不幸中の幸いという所だと思う。

823 ：（○口○*）さん sage ： 2007/04/16(月) 11:07 ID:NmsDNgLY0

// パッチ鯖はUCOM内にある模様。単独IP指定で良さそう
//UCOM Corporation:219.123.155.000-219.123.155.255
//UCOM Corporation:221.247.195.000-221.247.195.255

// PG2のセーフリスト（RO接続時）
// ↓ここから↓
ragnarok2.vector.co.jp:221.247.195.165
wpatch.ragnarokonline.jp:219.123.155.165
RAGNAROK-JP:061.215.212.000-061.215.212.255
RAGNAROK-JP2:061.215.214.128-061.215.214.255
RAGNAROK-JP2:211.013.228.000-211.013.228.255
RAGNAROK-JP3:211.013.232.000-211.013.232.255
RAGNAROK-JP4:211.013.235.000-211.013.235.255
GUNGHO-MODE:211.013.229.000-211.013.229.255
update.nprotect.net:211.115.123.0-211.115.123.255
// ↑ここまで↑

----- 参考情報 -----
// 現時点の clientinfo.xml pkclientinfo.xml によるワールドセレクトのIP
ログイン鯖（RAGNAROK-JP2 の範囲）
211.13.228.22:WG1(port 6900)
211.13.228.19:WG2(port 6900)
211.13.228.20:WG3(port 6900)
211.13.228.21:WG4(port 6900)
211.13.228.23:PK(port 6900)

パッチ情報取得鯖（RAGNAROK-JP2 の範囲）
fpatch.ragnarokonline.jp:211.13.228.154
パッチ鯖（現物のある所：UCOM内）
ragnarok2.vector.co.jp:221.247.195.165
wpatch.ragnarokonline.jp:219.123.155.165

あとはnPro鯖はどうすりゃいいんだろう。nProがPG2かいくぐってたらやだなぁ。

824 ：（○口○*）さん sage ： 2007/04/16(月) 11:37 ID:l/VQkgDd0

>823
普通の統合型アンチウィルスソフトがGameMon.desの通信許可を聞いてくるぐらいだから
PG2を掻い潜ってる事はないはず。
RO起動してからPG2の履歴→許可タブを見たらIPが見つかると思う。

GameMon.des他の目に見えるものが実はダミーで別で通信してるなら知らないけど。

825 ：（○口○*）さん sage ： 2007/04/16(月) 11:39 ID:7GxxMiOV0

>>822
そうなんだよねえ。ログイン合戦のような超緊急時は迷わず、
アトラクションへ直行した方がいいような気がしてきました。

万一ＰＧ２が機能してなかった場合に、がんほーパスが
敵の手に渡るという問題はあるけれど、そんなこと言ってる状況でもないかな


あとログイン合戦を研究した上での注意点として、
ゲーム内にログインしない限り、敵のログインに気づきにくいという問題があります。
（要はキャラセレ画面等にいるときは、他の人がログインしても、何のメッセージも出ないので要注意）

●ログイン合戦を行う上での予備知識
・自分がゲーム内にログインしているときに、外部から不正ログインされると、
　「同じアトラクションＩＤで他の使用者がログインしました。」のダイアログが表示され、
　強制ログアウトさせられる。
・自分がサーバー選択画面やキャラセレ画面にいるときに、外部から不正ログインされた場合は、
　何も表示されないので一見分からないが、キャラパス認証後にサバキャンされ、
　ゲーム内にはログインできない。
・外部から不正ログインされているときに、自分がログインすると、
　「前の接続情報が残っています。しばらく後に接続してください。」というダイアログが表示され、
　ログインは失敗する。（この瞬間にすでにログインしている人は強制ログアウトさせられる）

826 ：825 sage ： 2007/04/16(月) 11:44 ID:7GxxMiOV0

がはっ、訂正 → >>825の３行目はアトラクションではなく、アトラクションセンターです。

827 ：（○口○*）さん sage ： 2007/04/16(月) 12:26 ID:NmsDNgLY0

>>824サンクス
拒否タブから探してみたｗ

219.123.155.176
221.247.195.176

ってのが見つかった。パッチ鯖はないけど、UCOM配下のIPがあった。これかもしれない。
>>823のupdate.nprotect.netってのは、別ゲームの奴を間違えて入れてた。orz
あと、WEB関係も弾いてた記録があったので追記。

>>823と差し替えて、これで暫く運用してみるよ。飯食ったらこれで繋いでみる。
UCOM Corporation:219.123.155.000-219.123.155.255
UCOM Corporation:221.247.195.000-221.247.195.255
RAGNAROK-JP:061.215.212.000-061.215.212.255
RAGNAROK-JP2:061.215.214.128-061.215.214.255
RAGNAROK-JP2:211.013.228.000-211.013.228.255
RAGNAROK-JP3:211.013.232.000-211.013.232.255
RAGNAROK-JP4:211.013.235.000-211.013.235.255
GUNGHO-MODE:211.013.229.000-211.013.229.255
WEB-SYSTEM:061.215.220.064-061.215.220.255

828 ： ◆sp4Sh9QXGI sage ： 2007/04/16(月) 12:45 ID:Zy2ZbsNP0

こっちのほうがいいような気がするので移動。

本スレ>>624さま
近●一家♪　というユーザー(一部伏字)の書き込みですね。
一応ソースチェッカーに通してみましたが、
よくある「お小遣い稼ぎ系」のサイトのようです。
規約違反に該当する気がするので運営サイドに報告するのが得策かと。

829 ：（○口○*）さん sage ： 2007/04/16(月) 14:53 ID:sZ0SMnS30

半分チラシの裏

向こうの垢ハックスレに報告される罠ブログ
FC2ブログが使われていることが多いのはなんでだろう

830 ：（○口○*）さん sage ： 2007/04/16(月) 15:50 ID:TelLZxIm0

にゅ缶の総合に書いたもので、マルチポストするようで、まず謝っておきます。

220.162.116.94 94.116.162.220.board.ly.fj.dynamic.163data.com.cn
222.78.103.98 98.103.78.222.board.ly.fj.dynamic.163data.com.cn

アカハクURLへ誘導する書き込みをした人のアクセス元がこれなんですが、こういう情報提供はダメでしょうか？

831 ：（○口○*）さん sage ： 2007/04/16(月) 15:56 ID:NmsDNgLY0

>>830
歓迎。自分のＨＰに設置してる拒否リストとかに載せるのに役立ちます。

Wiki管理者もこういった情報がリスト化されてると、自分の所には「まだ」きていないのを
事前にブロック設定できて助かるのではないでしょうか。

832 ：（○口○*）さん sage ： 2007/04/16(月) 16:09 ID:NmsDNgLY0

>>829
あれは、日本語で登録できるが、FC2自体は日本の会社じゃない。
登録してないのにメール送ってくるとかもやってたしな。管理はお察しレベルだと思っている。

833 ：（○口○*）さん sage ： 2007/04/16(月) 17:05 ID:l/VQkgDd0

fj.cn.cndata.comと163data.com.cnは中華のハク犯が良く使うので
アクセス禁止にしてる所が多い。
普通のサイト運営してたら、この２つは丸ごとブロックしても
問題ないと思う。

ところでハクドメインで使われてる登録者の zhiqiang lin だが
ググったら、なんかボロボロ出て来るんだが、本人なのかねぇ？

向こうでネットワーク系の本も出してるような感じの人なんだが
単に詐称されてるだけかな？

834 ：（○口○*）さん sage ： 2007/04/16(月) 17:17 ID:OTIIiUzf0

一時期はでだったRBOのWikiやSoundTeMPのWikiも良くなってきてる模様。
その代わりRO以外/MMO以外の普通のWikiすら攻撃対象になっている現状。

少し前あっちのスレで話題にでた
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1173963316/516
を通報したんだけど未だに削除されず。管理の甘い転送サービスは
サイト管理者側で禁止するしかないか。

>>829
あっこは手を無駄に広げすぎて人手不足に陥り、中身はスパゲッティな構造に
なっているらしいからなぁ。そこらへんのとーしろになりふり構わずオファーして
るという話もあるらしい。どんな立場でも使わない方がいいと思うよ・・

835 ：（○口○*）さん sage ： 2007/04/16(月) 19:57 ID:2xQDcQmo0

ﾀｸﾞ(iframe)埋め込めるってことが知られ、アカウント取得や記事投稿手法が
マニュアル化されたorその作業すらもBOT化されている(かも)ってだけ…

836 ：（○口○*）さん sage ： 2007/04/16(月) 19:58 ID:WTeol1Ro0

緊急用、及び平時のパスローテーション用に、アトラクションセンター内でのpass変更を行うUWSCスクリプトを使うと
いうのはどうだろうか。
万が一、ログイン合戦に陥るような事があっても、別PCで走らせるだけで相手に競り勝てるかもしれない。
それに、定期的にスケジュール実行するだけで、パスワードの強度を保つこともできる。

837 ：（○口○*）さん ： 2007/04/16(月) 20:28 ID:CGi+BYe30

総合スレでこちらにと言われたので質問させてください。

先ほどゲームをログアウトしたところＲＯクライアントと隣に
hunting〜〜〜〜というメモ帳を見つけクライアントと共に落ちるのを
確認しました。不審に思い色々検索したのですが満足いく回答を
探せませんでした。

非常に中途半端な質問なのですがhunting〜〜〜〜というのは
アカウントハックに関係するのでしょうか？

838 ：（○口○*）さん sage ： 2007/04/16(月) 20:28 ID:CGi+BYe30

すみません上げてしましました。

839 ：（○口○*）さん sage ： 2007/04/16(月) 20:47 ID:8cqgCaim0

曖昧すぎてなんとも…、せめて出来たファイル名をフルで書けてたらとおもふ

840 ：（○口○*）さん sage ： 2007/04/16(月) 21:25 ID:CGi+BYe30

>>839
そのままファイルが落ちずに残ってたら当然ここにも明記したのですが
同時に落ちてしまいhunting〜〜〜〜までしか確認できませんでした。
現在ノートンでスキャンしています。

841 ：（○口○*）さん sage ： 2007/04/16(月) 22:16 ID:9GSKXkQL0

この場合、ウイルススキャンするより、「hunting」辺りで、ファイルやフォルダの検索した方が見つかりやすかったりする。
過去に例がないウイルスであれば、新種としてウイルススキャンでは見つからなかったりする。
ノートンで見つからなかったら、
スタートメニュー->検索->ファイルやフォルダ
で検索してみるといい。
「hunting」って単語なら、一般的な単語なので関係ないファイルも見つかるかもしれないが、
怪しそうなのを並べてみれば、検証できるかもしれない。

842 ：837 sage ： 2007/04/16(月) 22:26 ID:CGi+BYe30

報告します
ノートンインターネットセキュリティ2007でスキャンなにもでず
>>841氏の助言のキーワード検索でも何も引っかからず
以上報告いたします。

今後は一応無料スパイウェア検索とカスペの手をお借りしようと思っています
アドバイスありがとうございました。

843 ：（○口○*）さん sage ： 2007/04/16(月) 23:22 ID:9GSKXkQL0

>>842
あー、すまん。
ファイルやフォルダの検索のときに、
ファイル名のすべてまたは一部は空で、
「ファイルに含まれる単語または句」の方に「hunting」を入れた?

こうすると、すべてのファイルの中身まで検索してくれる。
かなり時間かかるけどな。
ファイル名のすべてまたは一部は「*.exe」と入れておくと多少は早くなる。

844 ：（○口○*）さん sage ： 2007/04/17(火) 15:23 ID:Ohc5+S6k0

ウィルスバスター2007を入れて以降Roが起動しなくなってしまいました。
正確にはパッチを当てる所まではいくのですが「ゲーム開始」を押した所で反応がなくなります。

ウィルスバスターの設定でRoを許可してやればいいんだろうな、と察せはするのですが
正直どこを弄れば許可を出せるのかが分かりません。
初歩的な所で申し訳ありませんがご存知の方いらっしゃいましたら教えてください。

845 ：（○口○*）さん sage ： 2007/04/17(火) 15:33 ID:/GBoZn/c0

>>844
>正直どこを弄れば許可を出せるのかが分かりません。

ウィルスバスターの説明書に書いてある
でROとnPro関係のプロセスの通信を許可する

846 ：（○口○*）さん sage ： 2007/04/17(火) 19:32 ID:v2qsS4PJ0

それがわからないとかどれだけ初心者なんだと・・・

847 ：（○口○*）さん sage ： 2007/04/17(火) 19:48 ID:S7WBbS4u0

>>846
自分には特に考えずできてしまうことでも初心者にとっちゃ高い壁なんだよ。
この意識の違いのおかげで初心者に教えるときに苦労する。

848 ：（○口○*）さん sage ： 2007/04/17(火) 20:32 ID:cn8TLMrQ0

>>844
もう少し詳細な情報が欲しいとこだね。
その現象はパーソナルファイアウォールを無効にしても変わらない？
一応手順を書いておくと、
１．タスクトレイのカプセルアイコンをダブルクリックして、ウイルスバスター２００７の窓を立ち上げる。
２．不正進入対策/ネットワーク管理をクリック
３．パーソナルファイアウォールの有効という部分をクリックし、無効に変更する

これでつながるならファイアウォールが原因。
ファイアウォールの設定とかも指示できるけど、まずは、そこまで特定してみて欲しい。

849 ：（○口○*）さん sage ： 2007/04/17(火) 21:37 ID:6avDMHHI0

>848の内容と重複するが、バスターのFAQから該当しそうな部分を拾ってきた。
ttp://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=JP-2060601
ttp://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=JP-210234
この辺りを確認＆設定すれば、多分上手くいくと思う。

850 ：（○口○*）さん sage ： 2007/04/18(水) 01:14 ID:l4JA4AaE0

どうやら新手らしいのが出たみたいだ。Wikiに
「%25A5%25E2%25A5%25F3%25A5%25B9%25A5%25BF%25A1%25BC%252F%25BC%25EF%25C2%25B2%252F%25CE%25B5」
というタイトルでこんなのが貼られた。

Hi all!

How you buying [url=http://www■iwannaforum■com/vacuumbags/]vacuum cleaner bag[/url]s?

Cheers :)

もしかしたらただのスパムかもしれないが確認する方法が無いので一応報告しておく。

851 ：（○口○*）さん sage ： 2007/04/18(水) 01:25 ID:hl8JDvtu0

>>850
文面見ても、urlの内容見ても、それただのspam。
詳細まで見てはいないので、そこに垢ハックが埋め込まれてるかまでは知らん。

852 ：（○口○*）さん sage ： 2007/04/18(水) 09:12 ID:QDI0vVis0

本スレでは今度はinfowebからの罠書き込みの情報があったわけだが、各種Wikiとかが
アクセス制限してるから、ゾンビPC使ってjpドメインで何とか罠を貼り付けようと
してるんだろうな。

もしかして連中が貼り付けるウィルスにバックドアの機能も付いてたりするのかね？
ROに関係無いサイトにも張りまくってる理由って、数撃ちゃ当たるって考えよりも
ゾンビPCを増やそうとしてるように見える。


しかし各種のWikiやBlog、BBSを運営してる人って、こういうjpドメインからの書き込みに
対する対策ってどうやってるんだろうか？
個別でブロックしてもIP変われば抜けてくるし、該当のIPの範囲をブロックしたら
巻き込まれる人も出るだろうし。
罠アドレスを禁止ワード登録して書き込み出来ないように、ってぐらいしか手が無い？

853 ：（○口○*）さん sage ： 2007/04/18(水) 09:39 ID:hl8JDvtu0

担当者の方へ

　こんにちは、私は(自分の本名というものです。

　このたび

< >

を名乗る人物が、御社の関係するサーバを、中継サーバ、送信サーバ、
あるいはダイアルアップ接続等に悪用し、私の管理するＢＢＳに対し
「一方的迷惑広告」（spam）書き込みが行われました。

記録されたＩＰを見ると、「」であり、御社管理下のものです。

　各種の情報から、この送信者は不当にかき集めた不特定多数の掲示板に
対して送信しているものと考えられ、同様な多数のアダルトサイト宣伝
投稿により私はとても迷惑しております。IP弾きや、NGワードなどにより
制限を行なってはおりますが、このような業者を放置するべきでないという点は、
ここでこれ以上言う必要がないと信じます。

　私のメールアドレス等の個人情報をspam送信者に開示すること、
spam問題解決の為「以外」に用いることはお避け下さい。

　もし貴社が対策をするつもりがあるのなら「定型文でも」「遅れても」
構いませんので、御返事頂けると有り難く思います。

　ではお願いいたします。

---掲示板のアクセスログ---

---掲示板の書き込み---

---投稿に記入されていたメールアドレス---

854 ：（○口○*）さん sage ： 2007/04/18(水) 09:44 ID:hl8JDvtu0

うげ、送信しちゃった…

>>852
>しかし各種のWikiやBlog、BBSを運営してる人って、こういうjpドメインからの書き込みに
>対する対策ってどうやってるんだろうか？

>>853 のようなテンプレを使用して、対処依頼を出してる。
ＩＳＰのアカウント剥奪、ブロック、再登録拒否のブラックリスト入り を期待する形。
この苦情メールの送り先は、書込みIPをwhoisにかけて、そこの[技術連絡担当者]の
メールアドレスに送る。

855 ：（○口○*）さん sage ： 2007/04/18(水) 09:48 ID:RBZZPSO50

>>850
なんだか掃除機の袋の販売っぽいけど、
踏んだらGoogleに転送された(IE7とFx3Alpha3で確認)。
世界中にspamばら撒いておいて、接続元が対象外だったら
シカトするみたいなことやってんのかねぇ。

856 ：（○口○*）さん sage ： 2007/04/18(水) 10:10 ID:QDI0vVis0

>854
プロバイダに通報して対処を期待するしかないのか。

しかしゾンビPCだったらPC所有者が気付いてないんだろうし、対応されるまで
結構時間かかりそうだ。

857 ：（○口○*）さん sage ： 2007/04/18(水) 12:26 ID:l4JA4AaE0

>>850,855
サンクス。最近攻撃が多いんで敏感になってるとこにスパムとか打ち込まれるとビクッとする…。

858 ：844 sage ： 2007/04/18(水) 15:44 ID:x8IF8uS30

情報ありがとうございます。
分かる範囲で試してみたのですが相変わらずパッチ画面までしかいけません。

>>845さん
>ROとnPro関係のプロセスの通信を許可する
ここのRoはRagnarok.exeのことだと思うのですが
nProはどのファイルになるのでしょうか？
指定する.exeがどれか分かりませんでした。

>>848さん
パーソナルファイアウォールを無効にしても変化ありませんでした。
と言うか、ウィルスバスター自体を終了させてもパッチ画面までしかいけなくなってしまいました。

>>849さん
上の方のリンクが多分>>845さんの仰る所の通信の許可だと思うのですが
どれを指定すればnProを許可にして出来るかが分からない所で作業が止まってしまいました。
下の方のリンクは「2. [ネットワーク管理] → [URLフィルタ設定] をクリックします。」の
「URLフィルタの設定」が見つかりませんでした。（2007にはない？）

詳細と言うか、>>844に書かなかった事なのですが、
ウィルスバスター2007をいれて即今の状況になったわけではなく、
偶々検索をしたときに引っかかった「良く分からないもの」を「何かした」あとからパッチ画面で止まるようになりました。
多分「怖いからとりあえず削除」した気がしますがコレが原因でしょうか？
また、この状況になった後、一度Roをインストールし直しています。

あと、関連は無いかもしれませんが、同時期からIEのホームページが何度設定し直しても
「about:blank」と言うアドレスの白いページになるようになりました。

859 ：848 sage ： 2007/04/18(水) 16:33 ID:Om1RVPY+0

>>858
うーむ。バスターが原因ではないのかもしれないね。
他の人に代わって、こちらで分かることを回答しておくと、

>ここのRoはRagnarok.exeのことだと思うのですが
>nProはどのファイルになるのでしょうか？

ＲＯで外部と通信をしてる実行ファイルは以下の３つね。
Ragnarok.exe　　（パッチクライアント）
Ragexe.exe　　　（ＲＯクライアント）
GameGuard.des　　（nPro）

通常なら、この３つを許可にすればプレイできるようになるはずだけど、
ファイアウォールを無効にしてもダメだったということは、多分設定しても変わらないと思う。

>下の方のリンクは「2. [ネットワーク管理] → [URLフィルタ設定] をクリックします。」の
>「URLフィルタの設定」が見つかりませんでした。（2007にはない？）

2005と2007ではユーザーインターフェースが変わってて、2007の場合、
「フィッシング詐欺/迷惑メール対策」の中に「URLフィルタ」があります。
ファイアウォールと同じ要領でＵＲＬフィルタも無効にできるので、
無効にして、つながるか試してみてくださいな。

不可思議な現象に見舞われてるね。うちもバスター使ってるので、
バスター関連の設定ならそれなりに力になれるけれど・・・

860 ：858 sage ： 2007/04/18(水) 18:10 ID:x8IF8uS30

>>859
>Ragnarok.exe　　（パッチクライアント）
>Ragexe.exe　　　（ＲＯクライアント）
>GameGuard.des　　（nPro）
の三つを許可してみましたが変化はありませんでした。

また、URLフィルタは見つかりましたが、チェックがついておらず
最初から無効になっていたようです。
（チェックを入れて試しましたが結果は同じでした）

バスターの検索の後に症状に気がついた為バスターの所為だと思っていましたが
別の理由があるのでしょうか。
ちなみに、バスターがウィルス（？）と判断して削除対象にするようなもので
Roをするに当たって復旧できなそうなものはありますか？
内容を深く考えずに削除したものが若干気になっています。

861 ：848 sage ： 2007/04/18(水) 18:42 ID:Om1RVPY+0

>バスターの検索の後に症状に気がついた為バスターの所為だと思っていましたが
>別の理由があるのでしょうか。

症状からして、多分バスターをアンインストールしても改善されないんじゃないかな。
それも時間があったら試してみるといいかも。

>ちなみに、バスターがウィルス（？）と判断して削除対象にするようなもので
>Roをするに当たって復旧できなそうなものはありますか？

バスターのログを見れば、何か分かるかもしれない。
[アップデート/その他の設定]-[ログ(履歴)]を選んで、
ウイルスログとパーソナルファイアウォールログをそれぞれ表示させてみてください。

862 ：848 sage ： 2007/04/18(水) 18:46 ID:Om1RVPY+0

言い忘れたけど、もしバスターを試しにアンインストしてみるなら、
その前にログをファイルに保存しておいた方が良いです。

863 ：（○口○*）さん sage ： 2007/04/18(水) 20:23 ID:QDI0vVis0

何かPerl系プロセスが走ってて蔵が強制終了してるようにも見えるし、変なものが
入り込んでるようにも見える。

・PC再起動した直後でも同じなのか
・カスペのオンラインスキャンでPCをチェックした結果はどうか
・RO蔵の再インストールしてどうなるか(SSやCHATログのバックアップは忘れずに)
・バスターをアンインストールした状態でどうなるか
　(PCCTool.exeを使って強制削除した方がゴミが残らないので確実)

１つ１つ原因を切り分けていくしか無いような気がする。

864 ：（○口○*）さん sage ： 2007/04/18(水) 20:29 ID:hl8JDvtu0

spamフィルタのPOPFileは、内部がPerlらしく、引っ掛かる。これ起動してたら、RO使う間は落とせ。

865 ：（○口○*）さん sage ： 2007/04/18(水) 20:39 ID:iESPN1TQ0

ウイルスバスターって色々してる割りにはザルで無能ってイメージしかない

866 ：（○口○*）さん sage ： 2007/04/18(水) 20:57 ID:qrYVyqCx0

PCに詳しくない人でも設定が比較的楽だとは思う
いまのように亜種が一日に数種ってペースで増えるのには追いつけない様だが

867 ：（○口○*）さん sage ： 2007/04/18(水) 21:28 ID:jAD1l5X/0

知識ない奴は金払うなりして常時サポートか
詳しい人に事前に設定してもらうかしろってことだろ
ウィルスが蔓延する理由はＰＣユーザーが増えて質が落ちたのが一番の原因だろうからな
極論いえばネットやるなとかいう話になるけど

868 ：（○口○*）さん sage ： 2007/04/18(水) 23:33 ID:1ZcABGNX0

TrendMicroは、法人向けのウェイトが大きい。
VBCorpやServerProtect、TMCMあたりを5年契約で売っていればやっていける企業だから。
日本国内の個人向けで、フットワークが軽くないのも致し方なし。
CPU使用率100%パターンファイルのトラブル以降、検証にも時間が掛かるようになったのもあるが。

>>867
知識の無いユーザーほど、根拠の無い自信によって、自分だけは大丈夫だと思いがち。
別にPCに限った事ではなく、健康保険や、自動車の任意保険など。

869 ：（○口○*）さん sage ： 2007/04/19(木) 12:04 ID:xPG0h0O+0

ちょっと質問ですが
ブログやってるとリンクの依頼カキコとか結構あるんですよね。
でも最近はFC2の罠ブログなんかもありますし、書き込みも巧妙なのが多いので
どうやって調べていいか悩んでいます。

今、現在は
リンク希望サイトカキコが来る→危険サイト一覧適合調査→ソースチェッカーにかける
→検索で「lovetw」検索→ソースから最新の更新日時を見る。（依頼後から更新があるか？）

これで問題なかったらリンク先として追加しています。
もっとやった方がいいことや、注意点などあれば教えて下さい。

870 ：（○口○*）さん sage ： 2007/04/19(木) 12:53 ID:ob4ZODp30

ウィルスにやられた総合スレの731には悪いけど、総合スレ733のレスとか見るとさ
どれだけあれこれ入れて対策しても、管理者が無知だとあっさりウィルスにやられるんだな
って、すごくよくわかるよ。

理想は「危機管理の必要ないインターネット」だろうけど、現状はそんなの夢物語だから
バカを見るのが嫌なら、やっぱり知識は必要だね。

871 ：（○口○*）さん sage ： 2007/04/19(木) 13:25 ID:iwOkmzHJ0

入れてるだけで対策してると思ってるのも間違いだろう

872 ：（○口○*）さん sage ： 2007/04/19(木) 14:59 ID:6ReSHNIw0

最初は誰だって無知だし、それを責めるわけにはいかないって。

ただ問題は、危機意識を持ってるかどうか。
こういうのは自分がそういう事態に遭遇しなければなかなか実感出来ないし
遭遇しても、喉元過ぎれば、になったりする。

垢ハクウィルス「その時はすっぱり引退するし」
BackDoor「盗まれて困る情報なんかないし」
IrcBot「IRCなんか使ってないし」
botnet「普段PC落としてるし」
メールワーム「鬱陶しいスパムがくるだけだし」

こういう意見が平気で出るからな……

せめてこれらに対して、怖い・気をつけないといけない、という感覚を持てたら
結構変わるんだが。

873 ：（○口○*）さん sage ： 2007/04/19(木) 15:20 ID:ZVQ9Hhpt0

物によっては、被害者になった時点で加害者になっていることを
知って欲しかったりも。

874 ：（○口○*）さん sage ： 2007/04/19(木) 16:29 ID:ob4ZODp30

危機意識を持ってもらおうにも、知識がないと何がどうして怖いのかがわからないだろうしなあ。

意識が先か、知識が先か。

875 ：858 sage ： 2007/04/19(木) 18:08 ID:T8Bk6hDm0

ここ数日お力をお借りしている者です。
>>848さんにご指導頂いた所見てみたのですが良く分かりませんでした。

それとは別に、昨日まで正常に動いていたDVDドライブまで使えなくなってしまいました。
（円盤の出し入れ、読み取りは出来ても書き込めない）
CDに書き込む用があった為、本件の原因が分からないままですが
必要なものを保存した上でバスターを入れる前の日付のチェックポイントまで
システムの復旧をすることにしました。

若干不安だったものの復旧後はRoの起動、DVD、IEのHPの指定など正常（？）に戻りました。
一応、復旧後にカスペルキーのオンラインチェックをしたところ2点ほど怪しい点があったので
試用版をインストールして対処しました。（トロイ何とかと言うのが見つかりました）

原因が分からないままの解決（？）で個人的にもかなりモヤモヤしたところがありますが
目の前の問題が解決して安堵していたりもします。
（て、考え方が↑で言われている危機感の無さでしょうか）

情報ありがとうございました。

876 ：（○口○*）さん sage ： 2007/04/19(木) 20:06 ID:NYsXlQdM0

レジストリのどこかが変になってたのかね。
復旧して何より。

……と言いたいところなんだが
>（トロイ何とかと言うのが見つかりました）

トロイが見つかってるなら、それが原因の可能性が高いんだが……
元々トロイが入っていて、アンチウィルスソフトのバスターがインストールされたのを
検知して、バスターを妨害。
その結果、Windowsが不安定に。
という、よくありがちな流れな気がする。

>863を試してたら、もっと早く解決した気がしないでもない。
あと、カスペのログから何のトロイだったのかを調べたほうがいい。
トロイが入っていた＝何らかの情報(PASS等)がどこかに送信された
可能性もあるし、それこそ垢ハク系の可能性だってある。

安堵する前に最後まで処置したほうがいい。

877 ：（○口○*）さん sage ： 2007/04/19(木) 20:58 ID:jB49WeBt0

ワロタｗ
トロイの痕跡があっただけでかなりヤバイだろ
俺だったら不安で夜も寝られず自殺しちまいそうだ

878 ：（○口○*）さん sage ： 2007/04/19(木) 21:00 ID:jB49WeBt0

連柿
まあどういうトロイかにもよるが、「トロイ何とかと言うのが」とか言ってるあたり、何も調べてないんだろ

879 ：（○口○*）さん sage ： 2007/04/19(木) 21:20 ID:Xgo6NzXL0

なんというか…ＯＳ入れなおした方がよくね？

880 ：（○口○*）さん sage ： 2007/04/19(木) 21:22 ID:Pxd0Jz7o0

>875
今現在、真面目にヤバイ状況って気付いてる？

流れを整理すると

A)（トロイがバスターを妨害していたために）Windowが不安定・ROが起動出来なかった。
（トロイは潜伏中）
↓
B)システム復旧実施・バスターが入ってない状態に戻る（トロイは潜伏中）
↓
C)RO起動成功・その他不具合解消（トロイは潜伏中）
↓
D)カスペオンライン試すとトロイ検知・体験版で駆除
↓
E)安堵して幸せな気分に

こういう事なわけだが、問題はCの時点。

A〜Bの時点ではROが起動できないからハクウィルスだったとしても、PASSは流れてない。
しかしCの時点でROが起動できてるという事は、おそらく>875はログインしてプレイ出来ることを
確認してるだろう。

つまりトロイが潜伏してるのにログインしてしまった→垢ハクウィルスが発動→ハク犯はPASSゲット、の
コンボに繋がる。

トロイの種類を気にしてないのは論外だし、ROの起動確認するタイミングもマズすぎた。
もう一度ウィルスチェックして安全を確認した上で、PASS変更する事を勧める。
罠のスイッチを押したかもしれないのに、安堵してる場合じゃないし、一刻の猶予もないかもしれない
状況だって事に気付け……

881 ：（○口○*）さん sage ： 2007/04/19(木) 21:49 ID:qRV2ICyH0

カスペのチェックの前か後か、あの文面では判らんな。
もしカスペでのチェックの前にROを起動してたら、罠のスイッチというか
時限爆弾のスイッチを(知らずとは言え)自分で押してしまったようなもの。

どちらにせよ、パスは変更したほうが無難。

882 ：（○口○*）さん sage ： 2007/04/19(木) 23:36 ID:rAMBTU+u0

安堵してもうここ見てなくてアウツになる予感。
次来るときはハクられた報告でないことを祈る。

883 ：（○口○*）さん sage ： 2007/04/19(木) 23:46 ID:Xgo6NzXL0

もう、その辺は自己責任でいいじゃん。ゲーム内の電子データは財物扱いされてすらいないし。

884 ：（○口○*）さん sage ： 2007/04/20(金) 00:22 ID:LRu5n+aq0

だが仮に、botnet絡みのBackDoorだった場合、ネット全体に害を及ぼし始める可能性もある。

885 ：（○口○*）さん sage ： 2007/04/20(金) 00:49 ID:G0NJI2nk0

アカハックにしたって、誰かが被害に遭えば、中華の資本を増やすことになるからな。

886 ：（○口○*）さん sage ： 2007/04/20(金) 01:27 ID:5nbz/saj0

>880のパターンで一番怖いのが、Dで駆除したからこれで安心、と
思いこむ所だな。
先にROを動かしてたら抜かれた後で駆除してる事になるし。

しかし858からの反応が無いのが逆に怖いな。
本当に>882のパターンにならないことを祈るよ。

887 ：（○口○*）さん sage ： 2007/04/20(金) 08:58 ID:V3CG7Q3n0

実はOSを入れなおした人間なんだけど
NIS2007をまた入れるか他に乗り換えるか迷ってるんだ
（今はPC付属のNIS2005を利用している）

現在利用してるほかのソフトは　PG2とSpybot
もし乗り換えるならどれが良いか、価格ではなく安全度で答えてほしい
OSはWinXP

888 ：（○口○*）さん sage ： 2007/04/20(金) 09:26 ID:t1I6icst0

まぁここで勧めるならカスペになるんだろうなぁ

889 ：（○口○*）さん sage ： 2007/04/20(金) 09:35 ID:fGqShhF60

本スレで被害報告のあったpppgameskをソースチェッカーで見てみたが
別サイトをコピった割には文字化けしまくり。
他言語版Windowsとかで作るからかねぇ？

ついでにコピー元と思しきBlogを(ソースチェッカーで)見に行ったら
垢ハクの対策方法やBlogでの安全対策を書いてたり……

垢ハクの被害を無くそうと頑張ってる感じだったが、こんな形で自分の
Blogが悪用されるとは、夢にも思わなかっただろうな……

>887
NISのような統合版を求めるならカスペKIS。
NAVのようにアンチウィルス機能だけでいいならNOD32。

890 ：（○口○*）さん sage ： 2007/04/20(金) 09:45 ID:V3CG7Q3n0

>>888
>>889

ありがとう。
NISタイプを求めてるのでカスペKISに乗り換える事にする

NIS2007で何回試行してもウイルスは出てこないがPG2によるlovetwへの
アクセスブロックログだけ増えていくのを見て乗換えを考えちゃったんだ

891 ：（○口○*）さん sage ： 2007/04/20(金) 09:56 ID:fb8Ig7gJ0

そりゃPG2でブロックしてたら出てこないだろ・・・

892 ：（○口○*）さん sage ： 2007/04/20(金) 10:08 ID:V3CG7Q3n0

>>891
あとつけになるんだけど

ROを起動するたびにlovetwに繋ごうとしてるログがあったんだよ
キャラ変わるたびにまたlovetwに…と言う感じのログ

ROを起動する時だけブロックが出ていたんだ
SpybotでTrojanというのが見つかったので解決を行った。
それでも不安定なのでOS再インストールという流れ

893 ：（○口○*）さん sage ： 2007/04/20(金) 10:14 ID:fGqShhF60

>892
ちょっとｐ待て。
そりゃ既に垢ハクのウィルス感染してて、(PG2でブロックされてるが)ROのPASSが
送信されてるって事だぞ……
仮に別経路(lovetw以外)で送信されるタイプも入り込んでたら、PASSが抜かれてる
可能性もある。

早いところカスペの体験版をDLして、駆除した方がいい。

あと安全な環境があるならPASS変更も忘れずに。

894 ：（○口○*）さん sage ： 2007/04/20(金) 10:19 ID:V3CG7Q3n0

>>893

893の言ってる事を疑って→NIS2007でスキャンしまくりするが本体が出てこない
→SpybotでTrojanというのが見つかったので解決を行った。
→それでも不安定＆不安なのでOS再インストール→今はそういうことが無い
→887の質問にいたる

895 ：（○口○*）さん sage ： 2007/04/20(金) 10:23 ID:fGqShhF60

あ、慌てて勘違いしてた。

そういう状態になったから再インストールして、NIS以外を、という事か。
なら今はクリーンなわけだ。

あと追記で書かせてもらうと
・OS再インストール後にPASS変更
・PG2だけじゃなくhostsの変更も導入

すぐ出来る対策はこの２点ぐらいかね。

896 ：（○口○*）さん sage ： 2007/04/20(金) 10:23 ID:V3CG7Q3n0

894の続き

NIS2007はNIS2005の更新が切れたときちょうど発売されていたので
DL販売版を入れた、ちなみに常時（ROやってるときも）NIS2007は起動していた。

という流れでNIS以外の選択肢を探してる訳

897 ：（○口○*）さん sage ： 2007/04/20(金) 11:40 ID:LRu5n+aq0

NISのような総合感冒薬的ソフトだと、Maranのようなスパイウェア寄りソフトには対抗力がいまいち。
X-Cleaner DX版が除去可能を謳っているけど、実際のところ亜種への対応能力はどうなのだろう。

それと、怪しげな状況の打開にはHiJackThisの併用がｵﾇﾇﾒ。
TrandMicroに買収されたけど……

898 ：（○口○*）さん sage ： 2007/04/20(金) 12:04 ID:OUvfwVsN0

>>891
いや、PG2は送受信ブロックだけだから。
動作しているのをブロックしてるんだから垢ハックトロイはＰＣ上に存在する。

ブロックはできても、垢ハックのトロイを、スキャンで検知しないのはＰＧ２の問題じゃない。
セキュリティソフトの定義にないのか、定義になくてなおかつ未知のウィルス検知能力が低いのかだ。

899 ：（○口○*）さん sage ： 2007/04/20(金) 12:26 ID:G0NJI2nk0

いや、891が言いたかったのは、罠サイトを踏んだときに、PG2がブロックしていたなら、
アンチウイルスソフトで検知できないだろうってことで、それはそれで正解。

892のレスで「RO接続時に」っていうことが分かったわけで、
そうなると、トロイが既に仕込まれてるのは確実。

900 ：858 sage ： 2007/04/20(金) 12:33 ID:VYi0xmnu0

後日談といいますか、現状の報告に参りました。

>>880さんのA〜Eの流れですが、実際はCとDを逆にいましたので
カスペオンラインチェック→体験版で駆除→Roでオンラインできるか試す
の順で行いました。
なので、駆除を通り抜けていなければ大丈夫だと思います。多分。

ちなみに、プロテクションのバックアップの、
ステータス、オブジェクトのトロイと表示された行をコピーすると

＞（！）感染しています: トロイ Trojan-Spy.HTML.Bankfraud.ra ←ここまでステータス　↓この下がオブジェクト
＞●\ローカル フォルダ\削除済みアイテム\[From:"BB&T" <service-11桁の数字ib@bbt■com>]
＞[Subject:Message is infected : Alert - online confirmation procedure! [Thu, 08 Mar 2007 06:59:08 -0500]]
＞[Time:2007/03/08 20:59:17]/text/html 1.2 KB

と、あります。
あと、似たような文章でBankfraud.raがBankfraud.riになっている物も同じように表示されました。
.raと.riがそれぞれ5つ。5組のペアになるように5種類のオブジェクトがついています。
●は私の名前、■はドット、11桁の数字は意味が良く分からないのでとりあえず置き換えました。

現在の脅威がありませんとの表示で安心していたのですが危ない状況は変わっていないのでしょうか？

901 ：（○口○*）さん sage ： 2007/04/20(金) 13:29 ID:fGqShhF60

それ、フィッシング詐欺のメールでただのSpamメール。
銀行から送られてきたように見せかけてて、メールの通りにログインすると
その情報がハッカーに流れてしまう、ってタイプでROとは基本的に関係ない。

WinかIEか忘れたが、それらにある脆弱性を使ってるため、WindowsUpdateを
してなければ他のウィルスがPCに仕込まれる可能性もある。
でもそれ自身はただのhtmlメールであってWindowsやバスターを不安定に
させるような代物じゃないはず。

検出されたのがそれらのみで他のが見つかってないなら、取りあえずは安心しても
いいかもしれない。
※油断して良いというわけではない。

902 ：中華の人 sage ： 2007/04/20(金) 16:49 ID:GCszNXA/0

垢ハックくらい別にいいじゃんか・・・・・・

903 ：（○口○*）さん sage ： 2007/04/20(金) 16:54 ID:N0HTiCc80

冗談でもそういう事言うな

904 ：（○口○*）さん sage ： 2007/04/20(金) 17:13 ID:jhFaNOE30

アカハックスレ
769 ：中華の人 ：07/04/20 16:45 ID:nXtAKXdb0
垢ハックくらい別にいいじゃないか・・・・・・

905 ：（○口○*）さん sage ： 2007/04/20(金) 18:16 ID:fWXMtxHZ0

完全な犯罪だからな。万引きくらいいいじゃないとか強盗くらいいいじゃないとか言ってるようなもんだ。
決して許される事じゃない。

906 ：858 sage ： 2007/04/21(土) 17:54 ID:x5JN1gFM0

>>901さん
解説ありがとうございます。
>>900で上げたもの以外は特に見つかっていません。
Updateは比較的頻繁にしている（つもり）なので多分大丈夫だと思います。

一段落した所で（○口○*）さんに戻ります。
お手間頂いたスレの先生方ありがとうございました。

907 ：（○口○*）さん sage ： 2007/04/21(土) 22:36 ID:DMMfVjS60

RMCへの垢ハックURL書き込み増えたね
ro-naviって入ったURLに飛んだら白紙が表示された
対策してない人は垢ハックURLに飛ばされるっぽいね

908 ：（○口○*）さん sage ： 2007/04/21(土) 23:05 ID:LDmQS/sv0

>>907
・・・ちょっとまて。
踏んだのが http■//www■aaa-livedoor■net/ro-navi/ なら、
http://www■ro-bot■net/ro-navi/ からyan.exeというトロイをDLされるだけで、
別途垢ハクページに飛ぶなんてことはないぞ？
お前さん、対策って何をしてるんだ？

909 ：（○口○*）さん sage ： 2007/04/21(土) 23:53 ID:5Cxpi7zs0

微妙に表現間違えてるけど大体わかるじゃない。
そのページにトロイ仕込まれてるのも、別の垢ハクページ飛ぶのも最終的にはトロイ落として実行さすのは一緒なんだし。
いちいち突っ込むほどのもんじゃなかろ。

910 ：（○口○*）さん sage ： 2007/04/21(土) 23:58 ID:idxNpyiM0

真っ白って、そりゃiframeでサイズ0でwz.htmとwu.htmを呼び出してるだけだし。
表示するものが無ければ真っ白に決まってる。

真っ白なページだった→つまりハクURLに飛ばされてない→つまり対策済みで見ても安全

こんな思考してない事を祈る……

911 ：（○口○*）さん sage ： 2007/04/22(日) 12:34 ID:7FT/RcXK0

対策なり警告なり、本来管理会社がやるべきことを
ユーザーが協力してやってる現状もなんだかなぁ…

癌は、ネトゲは管理しなくても儲かる、と証明した最悪の会社だわな

912 ：（○口○*）さん sage ： 2007/04/22(日) 12:43 ID:DEaEnyl70

まず不可能だが、ROを癌と別会社の両方で別々に運営して、別会社の方が
利益が多くなって初めて管理が重要だと気付くんじゃないかね。

913 ：（○口○*）さん sage ： 2007/04/22(日) 16:03 ID:+/s3AMjE0

本スレ>868

念の為再確認してみた。そこまで細かい範囲乗ってたの１箇所だけだったわ。使うwhoisで絞れる範囲が違うのな。
１つ賢くなったわ。

「219.123.155.176」の方はデータセンター内にあるらしい。「221.247.195.176」はゲートウェイぽい名前があった。

■ANSのwhois（http://whois.ansi.co.jp/）
JPNIC-NET-JP:219.96.0.0 - 219.127.255.255
UCOM Corp.:221.240.0.0 - 221.255.255.255

■Geek ToolsのWhois（http://www.geektools.com/cgi-bin/proxy.cgi）
UCOM Corporation:219.123.155.000-219.123.155.255
UCOM Corporation:221.247.195.000-221.247.195.255

■JPNICのwhois（http://whois.nic.ad.jp/cgi-bin/whois_gw）
UCOM Corporation:219.123.155.000-219.123.155.255
UCOM Corporation:221.247.195.000-221.247.195.255

■MSE(株)IPドメインSEARCH（http://www.mse.co.jp/ip_domain/index.shtml）
GUNGHO-PAT1:219.123.155.160 - 219.123.155.191
GUNGHO-PAT1:221.247.195.160 - 221.247.195.191

■アクセス記録のあったIP
219.123.155.176
221.247.195.176

//---- RO関連の許可アドレス一覧(修正後) ----
GUNGHO-PAT1:219.123.155.160-219.123.155.191
GUNGHO-PAT1:221.247.195.160-221.247.195.191
RAGNAROK-JP:061.215.212.000-061.215.212.255
RAGNAROK-JP2:061.215.214.128-061.215.214.255
RAGNAROK-JP2:211.013.228.000-211.013.228.255
RAGNAROK-JP3:211.013.232.000-211.013.232.255
RAGNAROK-JP4:211.013.235.000-211.013.235.255
GUNGHO-MODE:211.013.229.000-211.013.229.255
WEB-SYSTEM:061.215.220.064-061.215.220.255

914 ：（○口○*）さん sage ： 2007/04/22(日) 16:13 ID:nTriRDDR0

PG2でRO関係以外ブロックする場合、DNSの問題があるから万人向け設定が
作れない気がする。

判ってる人には有効な手段かもしれないが、かなり敷居が高い代物になりそう。

915 ：（○口○*）さん sage ： 2007/04/22(日) 18:26 ID:la3hv3pH0

主要な国内サービスプロバイダのDNSを許可アドレス一覧に加えときゃいい話だろうが・・・

916 ：（○口○*）さん sage ： 2007/04/22(日) 19:13 ID:GXck4C5c0

主要な国内ISPとはいうがCATVやらもあるんだし、かなりの数になるような。
自分で使う分には調べたら済むだけの話だけど、万人向けの共通設定として作るのは
結構大変だろうな。

それと本スレ>ID:nnZ81cIa0
ログイン競争になった時点で初めてPG2を導入・設定するのは非現実的すぎる。
設定方法を調べてる間にログイン競争に負けるだろ。

1PCでさらに事前準備無しの状態でログイン競争に勝つ手段って、殆ど無いんじゃないかね。
知り合いに連絡してPASSを代えてもらうぐらいしか手段が無い。
もちろん推奨されない方法だが、それ以外に現実的な対応策って無いと思う。

917 ：（○口○*）さん sage ： 2007/04/22(日) 20:06 ID:DEaEnyl70

PG2導入してないということは当然使い方も知らないだろうし、ログイン合戦になってログインを
繰り返しつつ、ここ見てPG2導入してさらにIP弾いてPASS変更するのはまず無理だろうな。
テンパってると思考もまとまらないだろうし。
別PCがあるならそれで、なければ緊急措置として友人経由でPASS変えるのが現実的だと思う。

918 ：（○口○*）さん sage ： 2007/04/22(日) 20:10 ID:g74ZiCRA0

もし知り合いもいないなら、完全にチェックメイトだろうね。
１ＰＣの人は事前準備したＰＧ２設定は最後の砦になると思う。
あくまでも事前準備してればだけどね。

ログイン合戦しながらとなると、あとは仮想ＰＣぐらいか。

やったことないから知らないけど、ガンホーに電話して事情説明したら、アカウント止めてくれるのかな？
受付時間14：00〜21：00とかなってるから、時間外ならアウトだけど。

919 ：（○口○*）さん sage ： 2007/04/22(日) 21:14 ID:gkUHJ4D30

多分癌に言っても無駄だと思う。
普通の運営だとしても、電話では本人の確認が取りにくい以上、アカウントの
一時停止のようなマネはしないだろう。

結局の所、事前に対策するしか手がないんだよな。
事前に準備してたらPG2なり仮想PCなりでログイン合戦に対応出来るが、用意が
無ければ手の打ちようがない。

920 ：（○口○*）さん sage ： 2007/04/22(日) 21:34 ID:4mScpzHp0

さて。
こっちが920、本スレも880といい感じの進み具合なので
そろそろ１回議論し直してみてもいいと思うんだが、
次スレの位置づけはどうする？

・にゅ缶に２個、一般向け総合質問対策スレと、マニア向け報告解析スレをつくる

このスレ先頭で多少議論されたままなわけだが、
上記方向でいくってことでよいのかな。

921 ：（○口○*）さん sage ： 2007/04/22(日) 21:42 ID:+/s3AMjE0

だからこそ短時間に設定できる方法（ログイン合戦しながら裏で設定できるって意味ね）として
「ある程度」有効な方法はなんだろうかってことだよ。

PG2のインストールと設定を、最低限の説明の通りに行なうのはできるんじゃないかな。
全拒否しちゃうと、DNS死んで自分が繋がらなくなるけど、特定国拒否＋危険サイト拒否＋ROと公式HP許可なら
ログイン合戦しながらでも、ぎりぎり出来るんじゃないかと思うんだ。

ＨＰに説明載せるなら、全部完全にコピペで行けるようにしないといけないけどね。

本来は、踏んだ時点（読み出される前）に対処すべきであって、ログイン合戦になった時点では
駄目元でできることを試す状態。DNSを調べるとかなんとかやってるよりはよっぽどスマートだし
駄目元の手法に「全ブロックで完全削除」を持ってくるよりは「危険な可能性のある範囲を大至急ブロック」
という方が現実的だと思うけどなぁ。

922 ：（○口○*）さん sage ： 2007/04/22(日) 21:45 ID:+/s3AMjE0

>>920
そろそろ次を考えるのはいいんだけど

＞・にゅ缶に２個、一般向け総合質問対策スレと、マニア向け報告解析スレをつくる
＞上記方向でいくってことでよいのかな。

この方向性はどっから出てきたの？

報告はまとめの人が必要とするし、解析結果は、踏んだ人への対処の説明と密接に関連する。
報告あった危険アドレスの解析やら投稿やらは分離してもいいけど、頻繁に差し替えられている現状で
踏んだ人への説明と直近時点での内容確認を分離はできないよ。

923 ：（○口○*）さん sage ： 2007/04/22(日) 22:34 ID:dij08VjO0

【　　アドレス 　 】MMOBBS：RO板「アカウントハック総合対策スレ」等（リンクは踏んでいないと思います）
　　　　　　　　　　　　　　LiveRo板：ココ
　　　　　　　　　　他RO関連Blog2箇所・Amazon
　　　　　　　　　　WinメッセンジャーにAmazonからメール・メッセンジャーで友人と数時間会話
【気付いた日時】2007/04/22　21：00頃
【　 　　 OS　 　 】WinXP　SP2
【使用ブラウザ 】Mozilla Firefox バージョン2.0.0.3
【WindowsUpdateの有無】今月中旬の自動更新が最後
【　アンチウイルスソフト 】カスペルスキー　インターネットセキュリティ　6.0.2.614
【その他のSecurty対策 】host書き換え・PG2・Bit Defenderコマンドライン版・Ad-Awere・SpyBot
【 ウイルススキャン結果】カスペルスキーオンラインスキャンで　TrojanDownloader.Win32.Agent.bng　を発見・駆除
【スレログやテンプレを読んだか】Yes
【説明】
普段からRO開始前に必ずウィルススキャン（Bit Defenderコマンドライン版・Ad-Awere・SpyBot・カスペルスキーを全て、この順で使用）
を行ってからログインするようにしていたのですが、本日カスペルスキーで完全スキャンしたところ、上記のトロイが発見されたので駆除→現在再スキャン中です
前回のスキャンが21日の23：00頃で、RO以外でインターネットを利用したのが本日夕方のみなので、その時に感染したと思うのですが
発見されたトロイ名で検索をかけても（私の検索方法が悪いのかもしれませんが）あまり情報が出てこないので書き込ませていただきました
疑問点がいくつかあり、
・TrojanDownloader　しか見つからなかったのですが、これ以外に危険なモノがインストールされている可能性も高いのか
・これはROのアカウントハックと関係があるのか
・その他になにか弊害はあるのか
が主な点なのですが、私一人では解決できそうにないので、皆さんのお力を貸していただきたいです
宜しくお願いします

924 ：（○口○*）さん sage ： 2007/04/22(日) 22:48 ID:7EdPaapV0

>>923
ぱっと見では、ブラウザがIEではない事なので、
Firefoxのキャッシュかウイルスメールに反応したんじゃないかなと思う。

メールに関する記述が無いのでFirefoxのキャッシュの可能性が非常に高い。
もしその場合であればPCは感染してないと思われる。
見つかった、TrojanDownloader がどこのディレクトリにあったか書いてくれると、
その判断がしやすい。

TrojanDownloader は名前の通り、他のトロイを拾ってきて感染させるというものなので、
ROのアカハクには直接は影響無いが間接的に影響が出てくる可能性はある。

925 ：923 sage ： 2007/04/22(日) 23:04 ID:dij08VjO0

>>924
情報ありがとうございます
メールはWinメッセンジャーをメインで使ってるので、IEで開いていました
TrojanDownloaderがあった場所は、 c:\program files\pc-doctor 5 for Windows\xjre\bin\hpi.dll
となっていました

>>ROのアカハクには直接は影響無いが間接的に影響が出てくる可能性はある。
当方2PC環境で、もう1台のPCではなにも発見されなかったので
念のためそちらでもう1度スキャンをかけて、何も発見されなかったらIDとPass変更をしておこうと思います

926 ：（○口○*）さん sage ： 2007/04/22(日) 23:38 ID:gkUHJ4D30

>920
にゅ缶にスレ建てするなら是非を問うスレで聞いた方がいいが、先月の相談を見る限り
良くて現状維持と言われる気がする。

雑談で埋まるケースもあるが、前スレの頃と比べると割と住み分けが出来てるし。
A)現状のまま垢ハク話題はにゅ缶、その他はこちら
B)スレの性格を明確化するため、報告はにゅ缶、その他は全てこちら
自分としてはA)でいいと思うが、重複すると思うならBのようにするのが精一杯だと思う。

>921
向こうでもこっちでも言われてるが、割と無理があると思う。
解説ページや緊急時の中韓台のリストが無意味と言ってる訳ではなく、ログイン合戦時に
スレに相談に来て・即回答が得られて・解説サイトを見て・DLして・設定して・PASS変更
この流れを行うのがね……
事前準備が無ければ知り合いに電話してパス買えて貰うのが、一番現実味のある対応だろう。

>925
pc-doctor 5 for WindowsってIBM製品とかにプリインストールされてるものだっけ？
真っ当な製品だったら、誤検出した可能性もあるかも。

まあ、早めに安全を確認した上でパス変更した方がいいだろうね。

927 ：（○口○*）さん sage ： 2007/04/22(日) 23:50 ID:cxSJdKsf0

PC-Doctor 5 for Windows自体は真っ当な製品

同じ名前の全く別なものという可能性までは判らないが

928 ：（○口○*）さん sage ： 2007/04/23(月) 00:48 ID:dyh2FbWo0

>>923
カスペでフルスキャンして感染0だったので

ＧＶ参加

その後、ＩＥで少しネットをしたんだが
感染するような、アドレスを踏んだはずもないのに
全く同じ物がでた。

もしかしたら、Ｒｏ自体になにかあるやもしれん？

929 ：（○口○*）さん sage ： 2007/04/23(月) 00:51 ID:sk6Tw5Kh0

>>928
削除後再起動かけてないんじゃないの？
ファイルは消しても、メモリ上に生き残ってたとかそういうことじゃ？

930 ：928 sage ： 2007/04/23(月) 00:56 ID:dyh2FbWo0

ああ書き方が不味かった。すまぬ

カスペオンラインスキャンなので削除は行えず。
現在、ノートンインターネットセキュリティー2005で
スキャン中

カスペオンラインでスキャンして、7時の時点で感染0
Ｒｏと普段いってるサイトにしか、ネットに使ってないのに
今さっき検出されたのが謎すぎるのでＲｏを疑ってるんだ。

931 ：（○口○*）さん sage ： 2007/04/23(月) 01:35 ID:UNXJ7PyG0

ROを疑うって・・・ちゃんと検出ログを読め

932 ：928 sage ： 2007/04/23(月) 01:37 ID:dyh2FbWo0

紛らわしかったかも
923さんとは、928は別人です

で報告
ノートン2005で完全スキャンするも
検出0

カスペのレポート
C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\{7148F0A6-6813-11D6-A77B-00B0D0142030}\Java 2 Runtime Environment, SE v1.4.2_03.msi/Data1.cab/core1.zip/bin/hpi.dll 感染: Trojan-Downloader.Win32.Agent.bng スキップ

C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\{7148F0A6-6813-11D6-A77B-00B0D0142030}\Java 2 Runtime Environment, SE v1.4.2_03.msi/Data1.cab/core1.zip 感染: Trojan-Downloader.Win32.Agent.bng スキップ

C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\{7148F0A6-6813-11D6-A77B-00B0D0142030}\Java 2 Runtime Environment, SE v1.4.2_03.msi/Data1.cab 感染: Trojan-Downloader.Win32.Agent.bng スキップ

C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\{7148F0A6-6813-11D6-A77B-00B0D0142030}\Java 2 Runtime Environment, SE v1.4.2_03.msi Embedded: 感染 - 3 スキップ

で、質問で恐縮なんだけど
http://www■dailymotion■com/rss/featured
唯一怪しいと思われるのがここなんだけど
これってやばいのかな？
何方かご教授願えますか？

933 ：（○口○*）さん sage ： 2007/04/23(月) 01:54 ID:sk6Tw5Kh0

>>932
紛らわしすぎ。別人が同じウィルスを検知したってだけな。

おまいさんは、JAVA消してから新しいバージョンを入れなおせ。

934 ：（○口○*）さん sage ： 2007/04/23(月) 01:59 ID:UNXJ7PyG0

いや、だからそのログからROが怪しいと思うに至る理由は？
www.dailymotion.comはYouTubeやGoogleVideoと同じようなフランスの動画投稿ウェブサイト

怪しいと思われるとか、疑っているとか根拠がないいい加減な事を書かない
何も知らない人が見に来たりするんだから

あとJava 2 Runtime Environment SE v1.4.2_03 とか古過ぎ。現在v1.4.2_14
それにアップデート放置してるって事は特に用途がないって事でしょ
とっとと消しちゃいなよ

935 ：928 sage ： 2007/04/23(月) 03:08 ID:dyh2FbWo0

いい加減な事を言って、本当に申し訳なかった
感染物、時期、その他状況があまりにも似ていたので
共通点である、ＲＯを疑ってしまった。

後、完全スキャンしたところ、感染ウイルスはその一個だったんだが
感染オブジェクトが全部で19個だった。
カスペのトライアル版や、製品を今から入手して
完全に削除できるものなのか、教えて頂ければ幸いです。

936 ：（○口○*）さん sage ： 2007/04/23(月) 03:18 ID:IstziGpL0

hostsの自動更新についてだけど、バッチファイルでは無理だったので
vbsのスクリプトで書いてみたけど、需要あるかな？
エラートラップが殆ど無いに等しいのとwget.exeが必要だけど、現状の
まとめサイトのhosts.htmから直接加工出来るようにしてある。

本スレ>884で書かれてた形に加えて>888の指摘を考慮して自分で
127.0.0.1を付加するような感じにしてみたんだけど、どんなもんでしょう？

937 ：928 sage ： 2007/04/23(月) 06:20 ID:dyh2FbWo0

レスが900超えているところ、本当に申し訳ないと思うが
重ねて質問を許して欲しい

感染オブジェクト名 ウイルス名 前回の処理
C:\Documents and Settings\Default User\Local Settings\Application Data\{7148F0A6-6813-11D6-A77B-00B0D0142030}\Java 2 Runtime Environment, SE v1.4.2_03.msi/Data1.cab/core1.zip/bin/hpi.dll 感染: Trojan-Downloader.Win32.Agent.bng スキップ

C:\Documents and Settings\Default User\Local Settings\Application Data\{7148F0A6-6813-11D6-A77B-00B0D0142030}\Java 2 Runtime Environment, SE v1.4.2_03.msi/Data1.cab/core1.zip 感染: Trojan-Downloader.Win32.Agent.bng スキップ

C:\Documents and Settings\Default User\Local Settings\Application Data\{7148F0A6-6813-11D6-A77B-00B0D0142030}\Java 2 Runtime Environment, SE v1.4.2_03.msi/Data1.cab 感染: Trojan-Downloader.Win32.Agent.bng スキップ

C:\Documents and Settings\Default User\Local Settings\Application Data\{7148F0A6-6813-11D6-A77B-00B0D0142030}\Java 2 Runtime Environment, SE v1.4.2_03.msi Embedded: 感染 - 3 スキップ

C:\Documents and Settings\ユーザー名\Local Settings\Application Data\{7148F0A6-6813-11D6-A77B-00B0D0142030}\Java 2 Runtime Environment, SE v1.4.2_03.msi/Data1.cab/core1.zip/bin/hpi.dll 感染: Trojan-Downloader.Win32.Agent.bng スキップ

C:\Documents and Settings\ユーザー名\Local Settings\Application Data\{7148F0A6-6813-11D6-A77B-00B0D0142030}\Java 2 Runtime Environment, SE v1.4.2_03.msi/Data1.cab/core1.zip 感染: Trojan-Downloader.Win32.Agent.bng スキップ

C:\Documents and Settings\ユーザー名\Local Settings\Application Data\{7148F0A6-6813-11D6-A77B-00B0D0142030}\Java 2 Runtime Environment, SE v1.4.2_03.msi/Data1.cab 感染: Trojan-Downloader.Win32.Agent.bng スキップ

C:\Documents and Settings\ユーザー名\Local Settings\Application Data\{7148F0A6-6813-11D6-A77B-00B0D0142030}\Java 2 Runtime Environment, SE v1.4.2_03.msi Embedded: 感染 - 3 スキップ

C:\i386\Java 2 Runtime Environment, SE v1.4.2_03.msi/Data1.cab/core1.zip/bin/hpi.dll 感染: Trojan-Downloader.Win32.Agent.bng スキップ

938 ：928 sage ： 2007/04/23(月) 06:22 ID:dyh2FbWo0

C:\i386\Java 2 Runtime Environment, SE v1.4.2_03.msi/Data1.cab/core1.zip 感染: Trojan-Downloader.Win32.Agent.bng スキップ

C:\i386\Java 2 Runtime Environment, SE v1.4.2_03.msi/Data1.cab 感染: Trojan-Downloader.Win32.Agent.bng スキップ

C:\i386\Java 2 Runtime Environment, SE v1.4.2_03.msi Embedded: 感染 - 3 スキップ

C:\Program Files\Common Files\Java\Update\Base Images\j2re1.4.2-b28\core1.zip/bin/hpi.dll 感染: Trojan-Downloader.Win32.Agent.bng スキップ

C:\Program Files\Common Files\Java\Update\Base Images\j2re1.4.2-b28\core1.zip ZIP: 感染 - 1 スキップ

C:\Program Files\Java\j2re1.4.2_03\bin\hpi.dll 感染: Trojan-Downloader.Win32.Agent.bng スキップ

C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\{7148F0A6-6813-11D6-A77B-00B0D0142030}\Java 2 Runtime Environment, SE v1.4.2_03.msi/Data1.cab/core1.zip/bin/hpi.dll 感染: Trojan-Downloader.Win32.Agent.bng スキップ

C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\{7148F0A6-6813-11D6-A77B-00B0D0142030}\Java 2 Runtime Environment, SE v1.4.2_03.msi/Data1.cab/core1.zip 感染: Trojan-Downloader.Win32.Agent.bng スキップ

C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\{7148F0A6-6813-11D6-A77B-00B0D0142030}\Java 2 Runtime Environment, SE v1.4.2_03.msi/Data1.cab 感染: Trojan-Downloader.Win32.Agent.bng スキップ

C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\{7148F0A6-6813-11D6-A77B-00B0D0142030}\Java 2 Runtime Environment, SE v1.4.2_03.msi Embedded: 感染 - 3 スキップ

スキャンプロセスは完了しました。

とよく見ると全部ＪＡＶＡ関係
これは、ＪＡＶＡをアンインストールし
新しいＪＡＶＡを入れなおせば大丈夫という
ことだろうか？
重ねて申し訳ないと思ってるが
何方か、回答を頂けると有難い。

939 ：（○口○*）さん sage ： 2007/04/23(月) 06:31 ID:gbXxZ17s0

大丈夫かはしらんがJavaについては上でレスもらってるのにそれは放置なん？

940 ：（○口○*）さん sage ： 2007/04/23(月) 08:28 ID:RYFrSjTI0

>>930
ノートンは最新の2007でもRO系ウイルス対処は微妙
このスレに2007でヌルーされてアンチウイルスソフト買い換える
相談出ていたような

941 ：（○口○*）さん sage ： 2007/04/23(月) 10:46 ID:YEtXKbwH0

>936
更新の手間が省けて楽だし導入を勧めやすいので、個人的には凄く欲しい。
hostsはPG2と違って手動更新だから、一度変更した後は更新してない、って人も多いだろうし。
潜在的な需要は結構多いと思う。

でも、だからこそ、そのスクリプトは公開しない方がいいと思う。

>936の書いたコードは問題なくても、それを改造した罠バージョンが出てくるのが目に見えてる。
そしてそれに引っかかるとPG2以外ブロックする手段が無いし、新IPなら100%踏む事になる。

利便性より後々の危険性の方が大きい。
配布するにしても身内だけに直接配布する形にした方がいいだろうね。

942 ：（○口○*）さん sage ： 2007/04/23(月) 11:02 ID:8iraVos90

質問です
最近PG2を導入したのですが、気になるブロックの履歴が・・・

＞GungHo Online Entertainment, Inc

たまに、自分のPC側からオフィシャルサイトに
何らかのパケットを送信しようとしているようで、それをPG2がブロック、という感じです
オフィシャルサイトを開いていないときでも、この動作があるので気になります
原因はなんでしょうか

943 ：（○口○*）さん sage ： 2007/04/23(月) 12:00 ID:9tnC28HQ0

>>936
個人的には欲しいかも。
941さんがご指摘の通り、そのスクリプトを改ざんしたバージョンが
出回ったらとか考えると、匿名掲示板での配布は怖いものがあるのも事実ですね。

一つの方法として、まとめサイトの管理人さんとメールなどで直接連絡とって、
ファイルを渡す。（あるいは暗号化ZIPなどで暗号化してMMOBBSのアップローダに
上げて、パスワードをまとめサイトのWEB拍手で送るとか）
管理人さんに中身を検証してもらい、安全だと分かれば、まとめサイトの方に上げてもらう。
MD5やSHA1などのハッシュ値も併せて上げてもらう。使う人はまとめサイトからダウンロードして使う。

これも、まとめサイトにアップされたスクリプト＆ハッシュ値が改ざんされたらという
問題があるにはありますが・・・。あと管理人さんに負担がかかりますね。

944 ：（○口○*）さん sage ： 2007/04/23(月) 13:04 ID:9tnC28HQ0

>>942
そのGungHo Online Entertainment, Incってのは、
IPの禁止リスト作ったときに付けた名前だと思いますが、
具体的にはどの範囲のIPアドレスを指してるんですか？

945 ：928 sage ： 2007/04/23(月) 14:26 ID:dyh2FbWo0

>>939
933氏と934氏が消せと指示をくれたので
それでＪＡＶＡの消去を実行しようと。
ただ、感染が酷かったのでそれでも大丈夫か
と思っただけだ。

946 ：（○口○*）さん sage ： 2007/04/23(月) 15:28 ID:sk6Tw5Kh0

>>945
削除→検査→残骸あればセキュリティソフトで削除→最新版のJAVAを再インストール

感染したファイルを削除するのにためらう理由はないだろ。上書きだと残る可能性あるのでアウトな。

947 ：（○口○*）さん sage ： 2007/04/23(月) 16:00 ID:sk6Tw5Kh0

PG2用 RO許可リスト再修正

RAGNAROK-JP:61.215.212.0-61.215.212.255
RAGNAROK-JP2:61.215.214.128-61.215.214.255
WEB-SYSTEM:61.215.220.64-61.215.220.255
RAGNAROK-JP2:211.13.228.0-211.13.228.255
GUNGHO-MODE:211.13.229.0-211.13.229.255
RAGNAROK-JP3:211.13.232.0-211.13.232.255
RAGNAROK-JP4:211.13.235.0-211.13.235.255
GUNGHO-PAT1:219.123.155.160-219.123.155.191
GUNGHO-PAT1:221.247.195.160-221.247.195.191
GUNGHO-PAT3:125.101.19.64-125.101.19.95

ホムのデフォルトＡＩのダウンロード先がここでした
ftp://download.gungho.jp ＝ 125.101.19.67 ＝ GUNGHO-PAT3

948 ：（○口○*）さん sage ： 2007/04/23(月) 16:26 ID:9tnC28HQ0

>>947
download.gungho.jpを逆引きして、↓なのが見つかったけど、これは使われてないのかな。
GUNGHO-PAT4:124.32.117.192-124.32.117.223

使われてないかもしれませんが、一応報告。

949 ：（○口○*）さん sage ： 2007/04/23(月) 17:22 ID:8iraVos90

>>944
ガンホーを禁止リストへは入れていませんが、HTTPブロックの状態にしています

アクセス先IPは
61.215.220.74
61.215.220.76
61.215.220.77
61.215.220.79
の4種です

Whoisで調べると
inetnum: 61.215.220.64 - 61.215.220.127
netname: WEB-SYSTEM
descr: GungHo Online Entertainment, Inc.
となっています

950 ：（○口○*）さん sage ： 2007/04/23(月) 17:40 ID:/auzjnsV0

いや禁止リストに入ってるんだろ
「HTTPブロック」にチェック付ける意味分かってるのか？

951 ：（○口○*）さん sage ： 2007/04/23(月) 18:08 ID:vnKRzLlq0

http://www■fcty-net■com
ブログに張られていて踏むとよくわかんない画像が表示されました
その時はノートンは反応しませんでした

カスペルスキーオンラインスキャンで検出なし、ノートンでも検出なし

感染してる可能性が低いってことでいいんですかね？

念のためにRoはログインしてないです
ブログの管理ページに入るのは止めておいた方がいいですか？

952 ：944 sage ： 2007/04/23(月) 18:13 ID:9tnC28HQ0

>>949
それはおかしいです。禁止リストに入れてないものがブロックされることはありえません。

HTTPをブロックに設定してるのはそれでいいです。HTTPを許可にしてしまうと、
禁止リストに入れてるIPアドレスに対しても、PORT80(HTTP)とPORT443(HTTPS)に関しては
ブロックされなくなってしまい、とても危険な状態になりますので。
（HTTPをブロックに設定しても、禁止リストにIPアドレスを登録しない限りブロックはされません）

[履歴を表示]-[ブロック]タブを開いたときに、
送信先アドレス欄に、>>949で書かれたIPアドレスが表示されてるということですよね？？

もしそうだとしたら、メイン画面から[リスト管理]で表示される一覧のうち、
種類がブロックになっているものを選んで[リストを開く]ボタンを押してください。
絶対どこかに、>>949のIPアドレスが登録されているはずです。

でなければブロックされることはありえません。

953 ：（○口○*）さん sage ： 2007/04/23(月) 18:17 ID:bwVooU3p0

>>951
ソースチェッカーオンラインでみると
危険！VBS/Psymeを発見！
だとさ

954 ：928 sage ： 2007/04/23(月) 18:58 ID:dyh2FbWo0

報告：まずは結果を完結に

Trojan-Downloader.Win32.Agent.bng

上記の物は、カスペルスキーの誤検知
カスペルスキー社からのメールの本文をソースとして提示

Hello.

This was a false alarm.
Problem already fixed. Please, update your antivirus bases.

意訳：これは誤った警報でした
すでに修正したので、アップデートして下さい。

955 ：928 sage ： 2007/04/23(月) 19:08 ID:dyh2FbWo0

以下詳細
カスペでスキャンし発見：レポートを保存

ステルス化確認のため、再起動して再スキャン
同一の結果：ステルスではなさそう、一応レポート保存

12時間後、感染状況確認のためスキャン
なぜか検知せず：ステルスと疑う
しかし、先ほど検知はされてるのだから
ウイルスリストに載ってるはず、だが
カスペの辞典を検索したが発見できず。

カスペ社に確認メールを送信
30分ほどで誤検知との返信がくる。
日本の公式サイトのサポートページから
日本語で送ったが、返信は英語。

レスを下さった方々、アドバイス等本当に、有難う。
そして、必要以上に騒ぎ立てて本当に申し訳なかった。

>>923
もう、見ておられないかもしれないが
それに限っては、誤検知との事なんでご安心を。

956 ：（○口○*）さん sage ： 2007/04/23(月) 20:32 ID:8iraVos90

>>952
確認したところ、「P2P」リストが有効になっており、登録されていました
ごめんなさい・・・

その点は解決したということで改めて
ブロックされているということは、なんらかの情報を送信しようとしていると思われますが、
気にするほどのことではないのでしょうか
>>821ではP2Pを普段オフにすべき、とありますが・・・

957 ：（○口○*）さん sage ： 2007/04/23(月) 20:50 ID:gbXxZ17s0

P2Pに関しては気にしなくて良いと思う
気にし始めたらネット出来なくなるよ

958 ：（○口○*）さん sage ： 2007/04/23(月) 20:57 ID:8iraVos90

>>957
そうですか、どうもありがとうございました

959 ：923 sage ： 2007/04/23(月) 22:03 ID:WXu3Je2d0

ID変わってると思いますが>>923です
仕事が遅くなってしまい、その後の報告等できずに申し訳ありませんでした
>>925の後、完全スキャンをかけている途中に寝てしまいまして…
起きたのが朝だったのでIDもPassも変更できず、1日中少し不安でしたが>>928さんの>>954を読んで安心できました
色々と教えてくださった皆様、本当にありがとうございました
アカウントハックが無くなることを切に願いつつ、ここから名無しに戻らせていただきます

960 ：（○口○*）さん sage ： 2007/04/23(月) 22:27 ID:KRz4/ptW0

にゅ缶のスレ見てて思ったんですが、拡張子偽装でなく、画像に罠を埋め込むって可能なのかしら？
アプロダに張られた、しっかり表示可能な画像とかは特に問題ないのでしょうか？

961 ：（○口○*）さん sage ： 2007/04/23(月) 22:47 ID:sk6Tw5Kh0

>>960
「JPEG 脆弱性」でぐぐってごらん。危険性はあるよ。

WindowsUpdateきちんとかけてれば大丈夫な可能性が高い。

962 ：（○口○*）さん sage ： 2007/04/23(月) 22:54 ID:KRz4/ptW0

>>961
調べてみました。今のところは大体平気みたいですが、
過去にそういったものがあったことが判りました。技術的に出来るってだけでも怖いですね･･･
ありがとうございました。

963 ：（○口○*）さん sage ： 2007/04/23(月) 23:15 ID:vmtMtrcp0

一見普通に表示できる画像ファイルに、あれやこれやと
色々詰め込む事は今も昔も普通に出来ます。
問題になるのは画像を表示するプログラムが、
埋め込まれたデータの塊をEXEと認識して実行してしまうとか、
リンクと認識して勝手に読み込みに行ってしまうといったケース。
こういうのは発見される度に塞がれていくんだけど、
未知の脆弱性がまだまだ有る可能性も否定できません。
こないだのアニメカーソルが正にそんな感じのセキュリティホールで、
「いまさらそんなとこに穴があったのか」って感じなので、
いつまでたっても油断は出来ない訳なのですよ。

964 ：936 sage ： 2007/04/23(月) 23:29 ID:IstziGpL0

hostsの自動更新スクリプトですが、現在知り合い数人に配布して
使って貰ってますが、特に問題なし。
スタートアップ及びタスクに組み込んで自動更新出来てます。

ただスクリプトなだけに改竄容易なのが、なんとも。
配布するにしても良い案が浮かばない……

965 ：（○口○*）さん sage ： 2007/04/24(火) 00:15 ID:nPtI3iyC0

リスト取得する時に、exeのMD5も取得して、自分が改変されていることを確認したら動作中止するとか。
って、実行形式じゃないのか。

スクリプトならexe化するだけで結構違うけどね。

966 ：（○口○*）さん sage ： 2007/04/24(火) 11:18 ID:jiglBTp90

「このスクリプトを使用していかなる損害が発生しても、作者は一切の責任を持ちません」
とでも言っておいて、あとは使う側の自己責任ってことで、良いような気もするけどねえ。

スクリプトだから、EXEと比べれば内容の検証ははるかに楽だし、
内容の安全が確認できない人は使うなってことで。
忠告を無視して使うようなヤツはもう知らんと。

967 ：（○口○*）さん sage ： 2007/04/24(火) 14:38 ID:0PhpnrxH0

・一次配布元でMD5等を記載
・二次配布禁止
・使用は自己責任
という事にすれば問題ないと思う。

改竄版が出回ったとしてもスクリプトなら中身を確認できるし、出来たhostsを
確認すれば済む。
一言で言えば127.0.0.1以外の記述があれば変なわけで、スクリプトを読めなくても
問題ない。

一次配布元さえ用意できれば、改竄は大きな問題にはならないと思う。
二次配布の出所が怪しいものを使うほうが悪い、と言えるわけだし。


それより書いてて思ったんだが、中華のトロイがhosts改変するタイプをばら撒くと
かなり厄介になる気が。
改竄版のスクリプトでやられる分には実行後確認すれば済む話だが、これがトロイで
やられると下手すればGoogleや癌公式、MMOBBSとかを覗こうとして別種に感染とかも
ありえる。

改竄スクリプトで何かやられても既知のIPならPG2でブロックできるし、今後はPG2も
必須の対策と説明した方がいいような気がしてきた。

968 ：（○口○*）さん sage ： 2007/04/25(水) 00:29 ID:EEH132dx0

それでも、勝手に変なところから拾ってきて、文句を言い出す奴が腐るほど出てくるんだよな

969 ：936 sage ： 2007/04/25(水) 01:15 ID:gDGvy1n80

あこすれてんぷら避難所を間借りする事で公開しました。
ttp://acopri.s250.xrea.com/index.php?hostsRenewScript

一応説明を付けていますが、自己責任、という事でお願いします。
cfgとvbsの２ファイル構成で、動作に必要なwget等は付属してません。

配布ページとファイルを見て使ってみてください。

970 ：（○口○*）さん sage ： 2007/04/25(水) 04:01 ID:sYiymgas0

【　　アドレス 　 】 http://simcity■s14■xrea■com/irisup/img/irisup833■jpg
834 835の可能性もあります
【気付いた日時】 ログによれば2007/04/27 3:17
【　 　　 OS　 　 】 WindowsXP Pro SP2
【使用ブラウザ 】 Sleipnir 2.5.9
【WindowsUpdateの有無】今月頭にアップデート
【　アンチウイルスソフト 】 NortonInternetSecurity2007
【その他のSecurty対策 】 Spybot ルータ使用
【 ウイルススキャン結果】 再スキャンによれば発見されず
【スレログやテンプレを読んだか】 今から読みます
【説明】
アドレスを踏んだところノートンによりDownloader発見、高危険度のウィルスとアラート。
Downloaderという名前に覚えがあったのでびっくりしてつないでいたROを落としました。
最初は削除できませんでしたと表示されたため無線LAN受信機を引っこ抜きました。
先ほど再スキャンが終わり脅威は発見されず。

ノートンのログをみると、
3:19:54 C:\Documents and Settings\･･･\Content.IE5\HO8RH5K9\index[2].htm　自動的に削除
3:19:36 C:\Documents and Settings\･･･\Content.IE5\6HFGD03U\index[2].htm　アクセスが拒否
3:19:36 C:\Documents and Settings\･･･\Content.IE5\6HFGD03U\index[2].htm　修復できませんでした
3:17:54 C:\Documents and Settings\･･･\Content.IE5\HO8RH5K9\index[2].htm　アクセスが拒否
3:17:54 C:\Documents and Settings\･･･\Content.IE5\HO8RH5K9\index[2].htm　修復できませんでした
とのこと。
6HFGD03Uのほうのファイルがアクセス拒否のままで終わっているのが気になります。
17分に落として以来、公式アクセス・ROログインはしていません。
これからすべき対処は何でしょうか？

971 ：970 sage ： 2007/04/25(水) 06:00 ID:sYiymgas0

カスペのオンラインスキャンが終わりました。
C:\Program Files\Norton AntiVirus\Quarantine\2DF02AF4.exe 感染: Trojan.Win32.DNSChanger.fb スキップ

C:\Program Files\Norton AntiVirus\Quarantine\2DF02AF4.IE5 感染: Trojan.Win32.DNSChanger.fb スキップ

C:\Program Files\Norton AntiVirus\Quarantine\44646531.dat 疑わしい: Exploit.HTML.Mht スキップ

C:\Program Files\Norton AntiVirus\Quarantine\5B540DDC.htm 感染: Trojan-Downloader.JS.Inor.a スキップ

C:\WINDOWS\system32\drivers\etc\1.hosts 感染: Trojan.VBS.Qhost.c スキップ

C:\WINDOWS\Temp\stt1.tmp/st 感染: Worm.Win32.Antinny.i スキップ

C:\WINDOWS\Temp\stt1.tmp ZIP: 感染 - 1 スキップ

･･･ノートンのフォルダが感染とはどういうことなのか・・・(´・ω・｀)
こいつら駆除して、他PCから各種パスワード変えればいいんでしょうか？
駆除方法もいまいちわからないですし、他に対処法があればぜひお教えください。

972 ：（○口○*）さん sage ： 2007/04/25(水) 06:13 ID:8Z/Qdoqz0

>>971
C:\Program Files\Norton AntiVirus\Quarantine系はノートンが隔離してくれてるから問題ないよ

973 ：（○口○*）さん sage ： 2007/04/25(水) 07:26 ID:YX5btO5G0

>>971
972が言ったとおりだけど、Quarantineを辞書で訳してみ、意味が分かるから。
ついでにhelpもその後で検索すればより理解が深まるでしょう。
ノートンの検疫の画面からそのファイルがウイルス名とともに認識されているなら
それに関しては放置でOK。表示されててもウイルス名が特定されてないような
状況だったら検体提出をしてみよう。

…で、それ以外のファイルも多少気になりますが(AntinnyとかTrojan.VBS.Qhost.cとか)、
ROに関係ナサゲなのでその辺は自分で調べてくれ。

833は通常の画像やばいのは834と835
画像は実はHTMLで、imgで画像を呼び出し偽装しつつiframeでVBScriptを呼ぶ
　ifame >http://www■zhangweijp■com/tt1/index■htm (VBScript)
　　　　　>http://www■zhangweijp■com/tt1/tt1■exe
　　　　　>http://www■zhangweijp■com/tmsn/tmsn■exe

zhangweijp系か、なんかなんちゃってドメインじゃなくて素のドメインで来るのは
逆に懐かしい気がした。そんなこともいってらんないのですけど。

974 ：（○口○*）さん sage ： 2007/04/25(水) 08:16 ID:TBqw+9zw0

>>971
Trojan.VBS.Qhost.cはhostsを改竄するので、"c:\windows\system32\etc\hosts"に
以下が追加されてると思われるので削除しておくこと。
恐らく見ることのないページだとは思うが、escrow.com系列にアクセスしようとすると
類似のフィッシングサイトに誘導される。
208.116.11.196 escrow.com
208.116.11.196 i-escrow.com
208.116.11.196 my.escrow.com
208.116.11.196 www.escrow.com
208.116.11.196 www.i-escrow.com

これを機会に、まとめページのhosts更新をしてみたらどうか。
タイミング良く>>969に自動更新されるスクリプトがあることだし。

>>969
乙、問題なく使えてる。
ただ、動作そのものは問題なかったが、導入に際してwget.exeなどの必要ファイルを他に
用意しなければならないことと、そのための説明文が初心者には難しいと感じた。
スクリプトの改竄や予期せぬエラー、無理解での使用による障害を恐れる気持ちは非常に
よくわかるのだが、垢ハック対策の裾野を広げる意味でも、使う上での敷居は極力下げた
低いほうが良いと思うんだ。
これだけ便利なものなんだし、自動更新はそれこそ初心者向きであるわけで、無理解者を
切り捨てるのではなく、簡単な導入方法も用意しておくとかなり違うんじゃないかな。
例えば、必要ファイルを全て同梱し、それをC:\に展開すれば書き換えなしのダブルクリック
だけで更新できる、とか。（OS別に用意する必要があるが）
これが出来ると、今は他人にhosts更新を勧める時にいちいち長い説明を必要とするのが、
「ここのファイルを落として実行」と一言で済むようになるので、これだけ簡単ならかなりhosts
更新を浸透させることが出来るのではないかと思うわけだ。
さらに言えば、自動でスタートアップ登録や、万一に備えてバックアップから戻すような機能
もあると便利ではと思った。
勿論、怖い事なのはわかっているが、それくらいしないとhostsの存在すら知らず対策をして
いない層に訴えかけるのは難しいのが現状ではないかと。
個人的には、無理解使用による弊害よりも、hosts更新で垢ハック被害にあう可能性が減る
メリットのほうが遥かに大きいと感じるがどうか。
製作者としては障害発生時のクレームが怖いと思うのだが、いくら免責したところでクレーム
を言う奴は世の中にいくらでもいるわけで、そこはある程度割り切る必要もあると思う。

975 ：（○口○*）さん sage ： 2007/04/25(水) 08:57 ID:Z5z0yIfA0

なんだか、「そこまで言うならお前がやれよ」と感じる意見がちらほら。
自己責任と一言書いて放置でいいじゃん。

976 ：（○口○*）さん sage ： 2007/04/25(水) 09:03 ID:UcXa1jIe0

対アカハクウィルスをばら撒いて、自動更新してあげればいいじゃん。

977 ：（○口○*）さん sage ： 2007/04/25(水) 09:23 ID:DWh5J2mI0

>>970の検疫ディレクトリに隔離されているマルウェア、恐らくPsyme系を踏んだ結果なのだろう。
ttp://www.mcafee.com/japan/security/virD2005.asp?v=DNSChanger.a

ここにあるように、DNSポイゾニングが行われている訳で。
hosts変更による対策は、DNS正引きの時点では有効だが、導入して安心しきっていると、新たな罠にやられる。
何しろ福建人の連中はビジネスとやっているのだから、手段は問わないだろう。

そういった意味では、とりあえずの対策を施し、その上で、ルータレベルでのIPブロック方法を学ぶ必要がある。
ブリッジモデムやONU直結なら、この機会に導入を考えた方が良い。

# 玄箱のNATBOXパッケージなんて需要あるかな……

978 ：（○口○*）さん sage ： 2007/04/25(水) 09:59 ID:GXByZGxL0

>>970-971
970氏が踏んだサイトを調べたけど、毎度おなじみのVBS/Psymeだった。
今回はそれをノートンが検出してくれたということなんだけど、
971のカスペで検出されたものは、ノートンが隔離してるのも含めて、
今日踏んだものじゃないような気がする。

多分それらは、もっと過去に感染したもので、
それがたまたま今日のチェックで発覚したんだろう。
970のサイトを踏んでも971の結果になるとは思えない。
971で検出されたファイルのタイムスタンプを調べてみるよろし。

まあ経緯はどうあれ、隔離されてるやつ以外は本当に感染してるっぽいので、
早急に対処するべし。ところで>>974の最初の行のパスに誤りがある。
正しくは"c:\windows\system32\drivers\etc\hosts"です。

979 ：（○口○*）さん sage ： 2007/04/25(水) 11:11 ID:dQEocZtn0

>969
公開乙。
こちらも問題なく動作してる。
ショートカット作ってスタートアップに放り込んでも動いたので、自動更新も問題なし。
無茶苦茶楽だわ、これ。

敢えて言うなら、エラーメッセージを出すモードがあった方が親切かも、ってぐらいかな。

>970
自動更新が引き起こすトラブル考えたら、あの書き方ぐらいで丁度いいと思うけど。
wgetもcfg見れば入手先が判るし。
内容を理解せずに無理して使う方が危険だよ。

>977
あれば使う人も居るとは思うが、玄箱使ってるROプレイヤーってどれくらい居るんだろう？


ところで次スレと本スレ、どうする？
どちらもそろそろ埋まりそうな気配だけど。

980 ：970 sage ： 2007/04/25(水) 11:48 ID:HRpB926l0

>972-973
辞書ひきました・・・
お恥ずかしい、隔離済みってことだったんですね　これらは放置します。

>>974,977
c:\windows\system32\drivers\etc\hostsをみましたがescrow関連のものはありませんでした。
ローカルホストと0.0.0.0ばかりで・・・
これはもうこのままでいいんでしょうかね？
まとめページはもう1回見てみます。

>>978
タイムスタンプを調べてみたら確かに去年とかでした。
ノートンで検出されないので駆除ができない状況なんですが
カスペの導入を考えたほうがいいんでしょうか？

みなさんありがとうございました。ちょっと落ち着いてきました・・・

981 ：（○口○*）さん sage ： 2007/04/25(水) 12:33 ID:vNNVVg0/0

>>980=970

NIS2007は残念ながら最近のネトゲを狙うウイルスには弱いです。
と言う事で以前ここで助言をもらってKISを入れた人です

KISはNIS2007より軽く、裏でKISが動いてもNISよりRO動作への影響が低い
（アンチハッカーは速度重視の設定にしてる）

ただメールソフト(Outlook系)をROの裏で起動すると突然カスペの「受け取りました」
と言う処理画面が出て驚く事になるので狩中はメールソフトは起動しないほうがいいと思う

KISとNISの違いはあまり感じないってところ。
nProの行儀の悪さ絡みででいきなりrag.exeがウイルスと誤判定されるが
OSクリーンインストール直後とかならこれは無視していい

982 ：（○口○*）さん sage ： 2007/04/25(水) 12:50 ID:zPbxeFp10

KISと略すと何だかわからなくなるのでやめたほうがいい。
キングソフトかと思ったよ…。

983 ：（○口○*）さん sage ： 2007/04/25(水) 12:52 ID:+aId5Xrz0

思わないってｗ
キミ前から何度もそれ言ってるなぁ。

984 ：（○口○*）さん sage ： 2007/04/25(水) 12:54 ID:zPbxeFp10

前から何度もって、そもそもそんな略し方初めて見たんだがなぁ。
セキュ板での騙りや煽りで頭おかしくなったんじゃねーの?

985 ：（○口○*）さん sage ： 2007/04/25(水) 12:58 ID:+aId5Xrz0

そんなに怒らないでよ^^；

986 ：（○口○*）さん sage ： 2007/04/25(水) 13:01 ID:fmImtIZ30

>>982-985
ウザいから死んでね

987 ：（○口○*）さん sage ： 2007/04/25(水) 13:04 ID:GXByZGxL0

>>969
スクリプトありがとう。使わせてもらってます。
リネージュ資料室のもダウンロードするようにしたので、
ちょっとスクリプトいじったけど、問題なく動いてます。
感謝感謝。

988 ：（○口○*）さん sage ： 2007/04/25(水) 13:04 ID:zPbxeFp10

>>985-986
ウザいから死んでね

989 ：（○口○*）さん sage ： 2007/04/25(水) 14:01 ID:2a4usTN10

>>983
いや、前にそれ言ったの俺だから別人。
　KIS＝キングソフトインターネットセキュリティー
　カスペ＝カスペルスキー
の方が「確実に伝わる」。

>>979
>ところで次スレと本スレ、どうする？
>どちらもそろそろ埋まりそうな気配だけど。

この話題の方が名称よりも重要だと思うんだが。
>343 >350-356
>>920 >>922 >>926 辺りにも話題として出てますが、個人的には>>926さんの意見に賛成。

＞雑談で埋まるケースもあるが、前スレの頃と比べると割と住み分けが出来てるし。
＞A)現状のまま垢ハク話題はにゅ缶、その他はこちら
＞B)スレの性格を明確化するため、報告はにゅ缶、その他は全てこちら
＞自分としてはA)でいいと思うが、重複すると思うならBのようにするのが精一杯だと思う。

わたしも、Ａでいいと思う。テンプレに追記、削除等すべき点があったら出し合って、現状維持でいいんじゃないかな。
将来的には、本スレの新アドレスと新検体の話題の後者は分離した方が見とおしが良さそうだとは思うけど
今の所はいじらない方が混乱ないかと。

テンプレに含めた方が良さそうなもの。
>>77 ： 危機回避の為にできそうなこと。特に、IEでの拡張子偽装対策は挙げておきたい。（>>340みたいな）
>>476-477：1PC環境におけるウィルス駆除前のパスワード変更方法について
>>512：ウィルス対策ソフトを入れていない人へ（総合スレテンプレ2より）
>>797-798,>>803-805：各社検体提出先（LiveROはスレ消えちゃうし、保存希望）
>>947-948：PG2のRO許可範囲
>>969：hostsの更新の推奨（リンク先見てもらうだけでいいかと）

990 ：光の軌跡 godarm777@yahoo.co.jp ： 2007/04/25(水) 14:17 ID:qwHbOanS0

RO公認店舗であってもIDやパスが無断で保存されてますよ！再度立ち上げれば表示されるんでわかります！

991 ：光の軌跡 godarm777@yahoo.co.jp ： 2007/04/25(水) 14:25 ID:qwHbOanS0

次のお客さんにはすでにIDとか入力された状態でうけわたされます！（電源おとしても！）です

992 ：（○口○*）さん sage ： 2007/04/25(水) 14:30 ID:F5Qx21Pg0

ただ単にID＆パス入力画面でID保存のチェックが入ってるだけじゃ。。。

993 ：光の軌跡 godarm777@yahoo.co.jp ： 2007/04/25(水) 14:34 ID:qwHbOanS0

つまり同じ席にすわってROを行ったひとみんなにID知られてることに・・

994 ：（○口○*）さん sage ： 2007/04/25(水) 14:54 ID:TEBZosT60

チェックはずせばいいだけだろ
お前なんでメール欄にアドレス書いてるんだよ

995 ：（○口○*）さん sage ： 2007/04/25(水) 14:57 ID:cil/UhgN0

とりあえずカスペはカスペと呼んでくれたほうがわかる。
KISだと複数あるからわからん。

996 ：（○口○*）さん sage ： 2007/04/25(水) 15:04 ID:fmImtIZ30

>>991
cookieってなんだろうね？

997 ：（○口○*）さん sage ： 2007/04/25(水) 16:20 ID:2a4usTN10

埋りそうなんで立ててきた。テンプレの相談は次スレでだな。

セキュリティ対策、質問・雑談スレ2
http://enif.mmobbs.com/test/read.cgi/livero/1177485590/

998 ：（○口○*）さん sage ： 2007/04/25(水) 17:59 ID:BFmwCGoT0

こんなスレ必要ねえ

そんな時代がいつか来るといいな

999 ：（○口○*）さん ： 2007/04/25(水) 18:07 ID:FnHRUGXz0

ROが無くなれば…ROのアカハックはなくなるな。PCがなくなれば…（ｒｙ
うめ

1000 ：（○口○*）さん sage ： 2007/04/25(水) 18:10 ID:+aId5Xrz0

梅

1001 ：１００１ ： Over 1000 Thread

このスレッドは１０００を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。