アカウントハック総合対策スレ7

1 ：どり ★ ： 2007/04/25(水) 22:18 ID:???0

アカウントハックに関する情報の集積・分析を目的とするスレです。
被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談は>>2に有る雑談スレを利用して下さい。

・ 関連＆参考情報アドレス (>>2)
・ 報告用＆質問用テンプレ (>>3, >>4)
・ アカウントハック対応の要点とFAQ (>>5)
・ 安全対策の簡易まとめ (>>6)

■スレの性格上、誤って危険なURLがそのまま貼られてしまう可能性がある■
■URLを無闇に踏んで回らないこと。報告・相談はテンプレを利用すること■

※ ID/Pass/サーバ/キャラ名等の情報は公開しないでください
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません
※ ネタや程度を超えた雑談・脱線はご遠慮ください

・スレ立て依頼は>>970がしてください。反応がなければ以降10ごとに。

2 ：どり ★ ： 2007/04/25(水) 22:18 ID:???0

【一般的話題用】
セキュリティ対策、質問・雑談スレ2
　http://enif.mmobbs.com/test/read.cgi/livero/1177485590/

【過去スレ】
アカウントハック総合対策スレ6
　http://gemma.mmobbs.com/test/read.cgi/ragnarok/1173963316/
アカウントハック総合スレ 5
　http://gemma.mmobbs.com/test/read.cgi/ragnarok/1170419695/
アカウントハック被害報告スレ4
　http://gemma.mmobbs.com/ragnarok/kako/116/1164984508.html.gz
アカウントハック被害報告スレ3
　http://gemma.mmobbs.com/ragnarok/kako/116/1160787177.html.gz
アカウントハック被害報告スレ2
　http://gemma.mmobbs.com/ragnarok/kako/114/1147966576.html.gz
アカハック被害報告スレ
　http://gemma.mmobbs.com/ragnarok/kako/107/1075385114.html.gz

【参考アドレス】
・ROアカウントハック報告スレのまとめ？サイト
　http://sky.geocities.jp/vs_ro_hack/
・安全の為に (BSWikiより)
　http://smith.xrea.jp/?Security
・リネージュ資料室 (応用可能な情報が多数)
　http://lineage.nyx.bne.jp/

【このスレでよく出てくるアプリケーション】
・PeerGuardian2
　http://sky.geocities.jp/vs_ro_hack/pg2.htm

【PCにウィルス対策ソフトを導入してない方へ】
・Kaspersky Internet Security 試用版
　http://www.just-kaspersky.jp/products/try/
・カスペルスキー：オンライン ウイルス＆スパイウェアスキャナ
　http://www.kaspersky.co.jp/scanforvirus/
・NOD32アンチウイルス体験版
　http://www.canon-sol.jp/product/nd/trial.html

3 ：どり ★ ： 2007/04/25(水) 22:19 ID:???0

【投稿の際の注意】
・アカハックアドレスはMMOBBSでは禁止単語になっています。
　加えて、誤クリックによる感染を防ぐ為にそのようなアドレスは
　.(ドット)を別の文字に置き換えて報告して下さい (■がよく使われています)
・質問前後にテンプレ等を見て知識を深めると更にGoodです
・回答者はエスパーでは有りません。情報は出来るだけ多く。提供した情報の量と質
　に応じて助言の量と質は向上します
・結局は本人にしかどうにも出来ない事を忘れてはいけません

----------報告用テンプレ----------
● 実際にアカウントハックを受けた時の報告用

【　 　 　 気付いた日時　 　 　 　 　 】 (被害に気付いた日時)
【不審なアドレスのクリックの有無　】 (blog/bbs/Wiki等で踏んだ記憶の有無とそのアドレス)
【他人にID/Passを教えた事の有無】 (Yes/No)
【他人が貴方のPCを使う可能性の有無】 (Yes/No)
【 　 　ツールの使用の有無　 　 　 】 (Yes/No、Yesの場合はそのToolの説明)
【　 ネットカフェの利用の有無　 　　】 (Yes/No)
【　 　　 OS　 　 】 (SP等まで書く)
【使用ブラウザ 】 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【　アンチウイルスソフト 】 (NortonInternetSecurity2007 等)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【スレログやテンプレを読んだか】 (Yes/No/今から読みます)
【hosts変更】(有/無　[有りの場合は最終更新は何時ごろか])
【PeerGuardian2導入】(有/無 [有りの場合は参照元サイトはどこか)
【説明】
(被害状況を詳しく書く)

4 ：どり ★ ： 2007/04/25(水) 22:19 ID:???0

● 怪しいアドレス？を踏んだ時用

【　　アドレス 　 】 (ドット(.)を■等で置き換える事。h抜き等は駄目)
【気付いた日時】 (感染？に気付いた日時)
【　 　　 OS　 　 】 (SP等まで書く)
【使用ブラウザ 】 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【　アンチウイルスソフト 】 (NortonInternetSecurity2007 等)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【スレログやテンプレを読んだか】 (Yes/No/今から読みます)
【hosts変更】(有/無　[有りの場合は最終更新は何時ごろか])
【PeerGuardian2導入】(有/無 [有りの場合は参照元サイトはどこか)
【説明】
(『怪しいアドレス』との判断した理由、症状を詳しく書く)

5 ：どり ★ ： 2007/04/25(水) 22:19 ID:???0

【アカウントハック対応の要点とFAQ】
以下は要点となります。詳細な物は BSWikiの『安全の為に』が参考になると思われます。

● 『アカウントハックアドレスを踏んだ』もしくは『ウィルスが見つかった』場合
　1) 速やかに感染PCのネットワークケーブルを外す
　2) 『安全な環境』から諸々のパスワードを変更
　3) ウィルス駆除 もしくは OSのクリーンインストールやPCの再セットアップを行う

注)
　・安全確認されるまでNetworkに接続・ROクライアント起動・公式にログインは厳禁
　・各種メッセンジャーソフトやメールクライアントの起動も避ける
　・変更するべき物は以下のとおり
　　『GungHo-IDパスワード』『アトラクションIDパスワード』『キャラパスワード』『メールアドレス』
　・アンチウイルスソフトの過信は禁物。自信がなければ再セットアップを第1選択枝とする事
　・対応は慎重かつ迅速に行う事。早期に対応できればアカウントハックを防げる確率が上がる

● 関連FAQ
・『安全な環境』ってどんな物？
　　ウイルスの感染が無いと思われる環境です。別PCや据置型ゲーム機、1CD Linux等が挙げられます。
　　インターネットカフェ等不特定多数が使用する環境は危険性の高い環境です。
　　また知人友人のPCもインターネットカフェ並の危険があるものと考えるべきです。
　　信頼できる友人にパスワード変更を依頼するのは最後の手段であり、安全な環境を
　　構築次第、再度パスワードを変更しましょう。
・オンラインウイルススキャンをしたいんだけど、やっぱりネットにつないじゃ駄目？
　　駄目です。
・アンチウイルスソフトでウイルスが見つからないのでもう大丈夫だよね？
　　100％の保証は出来ません。ウィルスが見つからなかった場合、チェックに使った
　　アンチウィルスソフトでは発見出来なかっただけです。本当にウィルスが居ないのか、
　　それとも検知を免れているだけなのかは判りません。
　　自信が無い場合はHDDをフォーマットの上、PCの再セットアップを考えるべきです
・1CD Linuxってなに？
　　CDを入れてPCを起動するだけでLinux環境が起動しちゃうというものです。
　　ある意味クリーンインストールに近い状態なので汚染はゼロといえますし、
　　そもそもWindowsではないのでアカウントハックウイルスも働きません。
　　大概はWindows類似のデスクトップ環境やWebブラウザも組み込まれているので
　　パスワード変更作業くらいなら問題なく出来ます。
　　"KNOPPIX" や "Ubuntu"が人気が有ります。

6 ：どり ★ ： 2007/04/25(水) 22:19 ID:???0

【安全対策の簡易まとめ】
以下は要点となります。higaitaisaku.comさんの『被害対策』→『転ばぬ先の杖』
(http://www.higaitaisaku.com/korobanu.html)が参考になるでしょう。
『ROアカウントハック報告スレのまとめ？サイト』や
BSWikiの『安全の為に』も参考になると思われます。

●基本
　・定期的なMicrosoftUpdate及び、各種ソフト(各種Player、Reader等)のアップデート
　・アンチウイルスソフトの導入とウイルス定義ファイルの積極的な更新
　・パーソナルファイアウォールソフトの導入
　・アドレスをホイホイ踏まない。よく確認する
　・出所の怪しいプログラムやスクリプトを実行しない

●応用
　・IEの使用を止め、他のブラウザに乗り換える(Firefox、Opera)
　・IEコンポーネント使用のブラウザを使う(セキュリティ設定が容易な物が多い)
　・信頼できるSite以外ではスクリプトやActiveXを切る
　　：インターネットオプションのセキュリティの部分で設定可能
　・偽装jpg対策(IE7とIE6SP2限定。IE6SP1以前では出来ない)
　　：インターネットオプション→セキュリティ→レベルのカスタマイズ
　　　→「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする

7 ：(^ー^*)ノ〜さん ： 2007/04/25(水) 22:26 ID:x6J3crh40

7get

8 ：(^ー^*)ノ〜さん ： 2007/04/25(水) 22:33 ID:xzVsMz0j0

・以下、アカウントハックを面白おかしくおおげさに対応するスレをお楽しみ下さい

9 ：(^ー^*)ノ〜さん sage ： 2007/04/25(水) 22:44 ID:O1SGHZOT0

うわぁ？なんてことだ？

10 ：(^ー^*)ノ〜さん sage ： 2007/04/25(水) 22:51 ID:5m9Rb6CI0

blogを追っていたら、こぉ〜んなものを見つけてしまった！どうしよう……？

11 ：(^ー^*)ノ〜さん sage ： 2007/04/25(水) 23:23 ID:XyEv0Jlt0

>>8-10
テンプレをお読み下さい。

>※ ネタや程度を超えた雑談・脱線はご遠慮ください
>
>【一般的話題用】
>セキュリティ対策、質問・雑談スレ2
>　http://enif.mmobbs.com/test/read.cgi/livero/1177485590/

12 ：(^ー^*)ノ〜さん ： 2007/04/26(木) 00:11 ID:+KbPU//70

いつものキチガイか

13 ：(^ー^*)ノ〜さん sage ： 2007/04/26(木) 03:25 ID:iAN4cbSy0

Forsety wiki で垢ハックらしきURL発見。
よく見る住人さんは注意を。

【　　アドレス 　 】 www■getamped-garm■com/chaos

踏んじゃったので用心の為再インスコしてきます…(´･ω･｀)

14 ：(^ー^*)ノ〜さん sage ： 2007/04/26(木) 10:18 ID:6zk3nbrl0

.htaccessでOFSfb*.ppp11.odn.ad.jpからのPOSTを禁止したいけど
他への影響もでかいしイマイチスマートにいかないなぁ。

OFSfb-21p4-127.ppp11.odn.ad.jp 210.197.151.127
OFSfb-22p1-187.ppp11.odn.ad.jp 210.197.152.187
OFSfb-12p1-64.ppp11.odn.ad.jp 211.3.148.64
OFSfb-21p3-184.ppp11.odn.ad.jp 210.197.150.184
OFSfb-23p3-108.ppp11.odn.ad.jp 210.197.158.108
OFSfb-21p4-156.ppp11.odn.ad.jp 210.197.151.156
→210.197.144.0/20？

なんかこのへんいい方法ありますかね。

15 ：(^ー^*)ノ〜さん sage ： 2007/04/26(木) 10:34 ID:NL2AXhzN0

>>14
これでどう？実験してないので上手く行くかわからないけど。

SetEnvIfNoCase Remote_Host "OFSfb-.+\.odn\.ad\.jp" virODN
<Limt POST>
Order Allow,Deny
Deny from env=virODN
</Limit>

16 ：(^ー^*)ノ〜さん sage ： 2007/04/26(木) 10:39 ID:Xwz+SYtR0

>13
南無。
getamped-garmはまとめサイトの危険hostsに載ってる既知の危険アドレスで
スレ調べたら1月末に報告が上がってた。

hosts更新やPG2を導入してたら踏んでも問題なかったはずなので、再インスコが
終わったら、これらの対策もするがよろし。
対策はしてたけどhostsの更新をサボってて踏んでしまったというなら、自動更新
スクリプトを導入した方がいいかもね。

17 ：(^ー^*)ノ〜さん sage ： 2007/04/26(木) 10:40 ID:6zk3nbrl0

ホスト名の正規表現でマッチングはパフォーマンスによろしくないとか
そういう表記を見たんだけどそもそも.cnとかそのへんdenyしてるのと
あんまり変わらないかね？

18 ：(^ー^*)ノ〜さん sage ： 2007/04/26(木) 14:21 ID:m8KUbqAG0

前スレ777にあったドメインby福建人
BBSにｵｰストラリア経由で書き込み

＞明日24日はBOT露店不買運動の日です

＞先週はsesにお邪魔しましたが
＞今週は自鯖で露店を出す予定です。

＞本日追加したBOT産販売店
＞http://www■23styles■com/bbs
＞寵行天下：2007/4/26(Thu)12:50 [38]

IPアドレス 165.228.132.11
ホスト名 way-cache1-1.cache.telstra.net
IPアドレス
　割当国　※ オーストラリア (AU)

ソースチェッカーかけたら
危険！VBS/Psymeを発見！　とでました。

19 ：(^ー^*)ノ〜さん sage ： 2007/04/26(木) 15:34 ID:lZG4P2hW0

フリーサービス使った垢ハック、zhangweijp入り。
すでにあちこちヒットする。
www■dentsu■itgo■com/skating/mao_asada■html

サブドメイン名とか見るといかにも福建人っぽい。
素で読むと電通(dentsu)だからね。

また錯誤狙いなんだろうな、一応運営に苦情を発射済み。

20 ：(^ー^*)ノ〜さん sage ： 2007/04/26(木) 16:21 ID:DfOHjUe60

>>19
既に404、対応早いな。
それにしても、フィギュア関係狙いとは、連中もチケット関係フィッシングに進出する気でもあるのか。
あの界隈は、RS席を筆頭にダフ屋紛いの高値取引が横行している状態だし。

21 ：前スレ950,960,991 sage ： 2007/04/26(木) 18:24 ID:CKVAVRy80

トレンドマイクロから返事が来ました。
次回のウイルスパターンファイルで検出可になるとの返事でしたが、早速対応したようで
先ほどリリースされた最新パターンで下記のファイルすべて検出できることを確認しました。
(前スレ991と一部報告が被りますが)

>前スレ950
www■gomeodc■com/mmkk■com　　（ウイルス名：TSPY_NILAGE.IH）
www■vviccd520■com/img/mmdd■exe　　（ウイルス名：TSPY_NILAGE.HU）
上記２つに含まれる22.exe　　（ウイルス名：TSPY_NILAGE.BJD）

>前スレ960
www■blog-livedoor■net/boss/mangame■exe　　（ウイルス名：TROJ_MARAN.JV）

22 ：(^ー^*)ノ〜さん sage ： 2007/04/26(木) 18:52 ID:fZPSdoMZ0

>>18
www■ezbbsy■com/bbs/ro.exe
いつものMaranでした。

23 ：(^ー^*)ノ〜さん sage ： 2007/04/26(木) 21:14 ID:97PVjrWn0

>>17
あなたのサイトに毎日数万人規模で人が来るなら影響あるかもな

24 ：(^ー^*)ノ〜さん sage ： 2007/04/26(木) 21:55 ID:XLu4aHXn0

>>23
ページビューで50kぐらいだ。迷うな…。

25 ： ◆sp4Sh9QXGI sage ： 2007/04/27(金) 01:20 ID:fgwy01EV0

ご無沙汰してます、中の人です。
スレがいいタイミングで両方(こちらと雑談)とも移行していましたので
まとめサイトに追加させていただきました。

せっかくなので、かねてから変更しようと考えていたサイト名も
ROアカウントハック報告スレのまとめ？サイト
↓
ROアカウントハック対策スレのまとめサイト
になりました。とは言え、あまり変わってません。

それでは。

26 ：(^ー^*)ノ〜さん sage ： 2007/04/27(金) 11:24 ID:TGdugAMZ0

>>18
同URIの書き込み被害は当方にも。

IPアドレス：　165.228.128.11
ホスト名：　civ-cache1-1.cache.telstra.net

wikiだったので既存URIの書き換えされて、ましてや…自分で踏んでしまった。
PCアップグレード前だったので購入したカスペをインストールしてなかったのが悔やまれる…。

感染はしてないっぽいけど…なんともなぁ、福建のヤツ、手当たり次第だね。

27 ：(^ー^*)ノ〜さん ： 2007/04/27(金) 13:22 ID:+E+tVD7s0

【　 　 　 気付いた日時　 　 　 　 　 】 4-27
【不審なアドレスのクリックの有無　】 記憶なし
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【 　 　ツールの使用の有無　 　 　 】 No
【　 ネットカフェの利用の有無　 　　】 No
【　 　　 OS　 　 】 世界のme
【使用ブラウザ 】 IE5.5
【WindowsUpdateの有無】 かなり前
【　アンチウイルスソフト 】 antivir
【その他のSecurty対策 】 無し
【 ウイルススキャン結果】 えいちてぃーえむえる/exploit.mえいちてぃーえむえる発見
【スレログやテンプレを読んだか】 読んだ
【hosts変更】無し
【PeerGuardian2導入】無し
【説明】ＩＥを起動したらいきなり笑点のオープニングみたいな音楽が流れて、
　　　　（実は昨日も鳴ったんですが、気のせいかと思って放置）
　　　　ウイルススキャンしたらこのウイルスが検出されました。
　　　　このスレに辿り着く前に、ウイルスを削除だか検閲だかをして、
　　　　各種パスワード変更。
　　　　あと、不思議な事に、ＩＤはオートコンプリート？ですか、あれで、
　　　　ＩＥに記憶されてて画面開くとパス入れるだけになってるんですが、
　　　　フリーメールも他のＩＤやパスもオートコンプリートからそっくり全部削除されてた。

28 ：(^ー^*)ノ〜さん sage ： 2007/04/27(金) 13:54 ID:sZ3uFTFb0

>>27
この説明読んどけ
http://www.viruslistjp.com/viruses/encyclopedia/?virusid=48656

対処：HDDフォーマットしてOS入れなおせ。以上。

理由：情報が少なく、セキュリティ意識も低い状況の為、他にも多数危険な要素があることが想定される。
　　　　確実な対応はOSの入れなおしと、セキュリティ対策ソフトの導入となる。

備考：MEに関してはWindowsUpdateの提供が終了しており、危険性が高い。XPへの更新をお薦めする。

29 ：(^ー^*)ノ〜さん sage ： 2007/04/27(金) 14:08 ID:61XrifEm0

MEもだがIE5.5ってのも…、とにかくその状態はこれからも心配だから丸ごと入れ直しお勧め

30 ：(^ー^*)ノ〜さん sage ： 2007/04/27(金) 14:09 ID:iyV1MmIj0

>>18,26

> IPアドレス：　165.228.128.11
> ホスト名：　civ-cache1-1.cache.telstra.net
BBQで焼かれ済みの串だね。

>>27
文書いてる内に28が簡潔にまとめてくれたのでお蔵入り。でも内容は28の言うところと同じ。
そもそも、MeやIE5.5でネットワークに繋ぐなんて恐ろしい事出来ません。

>【 ウイルススキャン結果】 えいちてぃーえむえる/exploit.mえいちてぃーえむえる発見
いや、そんなところを分かりにくく書いても意味が無いってばさ。
絶対言い換えるべきはアカハクアドレスやドメイン名だけで、それ以外は無意味。
・・と最近思った事をこの機会だから言ってみる。マニュアル脳に成ってしまうのは
忌むべき事だ。

31 ：27 ： 2007/04/27(金) 14:44 ID:+E+tVD7s0

>>28
ありがとうございます。
ちょっと見たらハックツールなんて言葉が・・・
恐いので再インストします。
meに愛着があるんですが、何かあると恐いので
とりあえずこのパソコンは止めておきます。感謝

>>29
全然頓着ないので5.5のままでした・・
久々にさっぱりしてみます。感謝

>>30
＞そもそも、MeやIE5.5でネットワークに繋ぐなんて恐ろしい事出来ません。
そうなんですか？！んががが恐い。
大したデータも入ってないから・・・とあまり気にしてなかったんですが、
恐いので改めます。
えいちてぃーえむえるの件、なるほど納得です。
以後気をつけます。感謝

32 ：27 sage ： 2007/04/27(金) 14:58 ID:+E+tVD7s0

検索してみたら、一昨日このウイルスが張られて騒いでるスレが
ありました。
場所はフジ実況だったけど、多分ニュー速あたりに誰かが張り直したのを
踏んだ悪寒・・・

33 ：(^ー^*)ノ〜さん sage ： 2007/04/27(金) 16:31 ID:dT+4h6vi0

>25
更新乙です。
前スレの終わりぐらいに何点か要望が挙がってたので、可能なら対応を希望。

>31
セキュリティホールを塞げないOSだと、脆弱性を利用したウィルスの亜種が次々と
作成されると、アンチウィルスソフトが検出できなければ簡単に感染する。

これがXPとかならWindowsUpdateで穴を塞げるので、亜種が検出出来なくても
被害は出ない。

MEやIE5.5が論外と言われるのはこういう事が理由。
さらにロクに対策を取ってなければ、それはハッカーに感染してくださいと
言ってるようなもの。

34 ：(^ー^*)ノ〜さん sage ： 2007/04/27(金) 18:58 ID:bGaP98a10

【　　アドレス 　 】 http://www■soultakerbbs■net/388465/
【気付いた日時】 07/04/27 18時頃
【　 　　 OS　 　 】 XP SP1
【使用ブラウザ 】 IE6.0
【WindowsUpdateの有無】 基本自動でやってます
【　アンチウイルスソフト 】 トレンドマイクロ　ウィルスバスター2006
【その他のSecurty対策 】 ルータ
【 ウイルススキャン結果】 感染時にEXPL_ANICMOO.GEN aniカーソル系の感染を確認
　　　　　　　　　　　　　その後のフル検索では問題なし
【スレログやテンプレを読んだか】 今から読みます
【hosts変更】無
【PeerGuardian2導入】無
【説明】
うっかり踏んでしまった・・しかもRO起動中に
ウィルスバスターが感染確認ウィンドウ出してきたので
とりあえず緊急ロックで遮断して、駆除
その後aniカーソルの脆弱性修正アップデートしたけど・・・
再インストールした方が良いですかね？

35 ：(^ー^*)ノ〜さん sage ： 2007/04/27(金) 19:00 ID:Oq+suEc70

>>34
バスターが反応したなら大丈夫っぽい気がするが。
WinUpdateが自動となってるけど、ani脆弱性のUpdateはされてなかったってこと？

36 ：34 sage ： 2007/04/27(金) 19:04 ID:bGaP98a10

自動にしてるけど念のため、そのアップデートだけファイル落として個別にやり直ししたのです。
たぶん自分でも大丈夫と思ったけど、不安なもんですね

37 ：(^ー^*)ノ〜さん sage ： 2007/04/27(金) 19:12 ID:k0pwDN4z0

>>35
SP1になってるのは気のせいかね。

SP2じゃないとその辺りのUpdateは利用できないんじゃ。

38 ：34 sage ： 2007/04/27(金) 19:15 ID:bGaP98a10

失礼、書き間違いです。SP2入れてました。

39 ：(^ー^*)ノ〜さん sage ： 2007/04/27(金) 21:06 ID:Oq+suEc70

なら「多分」大丈夫だと思う。
心配なら再インストールするしかない。

40 ：(^ー^*)ノ〜さん sage ： 2007/04/27(金) 23:50 ID:ieyYyRj70

最近勝手にキャラクターのパスが変更されてるんだけど・・・
これって垢ハック？

41 ：(^ー^*)ノ〜さん sage ： 2007/04/27(金) 23:52 ID:b71WEu4e0

パスが変わっているだけ？

42 ：(^ー^*)ノ〜さん sage ： 2007/04/28(土) 00:01 ID:KHDfH+D90

>>40
誰かに自キャラのIDとパスを教えたりはしていませんか？
踏んだかどうか定かでない場合の相談とか、なんとなく不安なんだけどみたいな相談は、LiveROへ。

セキュリティ対策、質問・雑談スレ2
http://enif.mmobbs.com/test/read.cgi/livero/1177485590/

43 ：(^ー^*)ノ〜さん sage ： 2007/04/28(土) 01:14 ID:HMI5ly/P0

運営側が勝手に変えたりはしないから、まぁアカハックでいいんじゃないか。
知り合いにパス教えるとかは論外として。

44 ：(^ー^*)ノ〜さん sage ： 2007/04/28(土) 01:34 ID:ln7jxRpF0

最近ってことは継続的に変わってるって事で、それでどうやってROしてるの？

45 ：(^ー^*)ノ〜さん sage ： 2007/04/28(土) 03:16 ID:paisq1Ch0

>>34 やいくつかのサイト、およびlovejpjpが新型に差し替わってるね。
スクリプトの仕込みが全く同じなので同一犯。

iframeが2つ。
ani.htmあるいは直接test.curを踏むのは名前のとおりaniカーソル。
ms06014.htmは名前のとおりActiveXコントロールの奴だけど、
0x80を足したUS-ASCIIなので一見読めない(& 0x7fすれば読める)。
降ってくるexeはlovejpjp以外はMaran。

以下はjROとは関係ない話。
lovejpjpだけexeが全く異なる(前スレの22.exeと基本的には同じ)。
どうもターゲットは台湾のGamaniaの模様
(台湾ではリネージュ、マビノギ、メイプルストーリーなど
NCSoftやNexonのコンテンツもGamaniaが運営している)。

46 ：(^ー^*)ノ〜さん sage ： 2007/04/28(土) 04:34 ID:XcRNijCJ0

すみません。ウイルスに感染してしまったのですが、
こういう場合は再インスコしろという回答が出ているのですが、
再インスコとか再インストールのことでいいのでしょうか？
もしそうなら再インストールのやりかたを教えていただけないでしょうか？

47 ：(^ー^*)ノ〜さん sage ： 2007/04/28(土) 04:57 ID:/Kklx6D+0

再インスコ＝再インストールで合っているが、そのやり方についてはスレ違いだし、
そこまで初心者の相手などしていられない。
メーカー製PCならついてきたCDとか説明書とか読め。
でなければ親なり友人なり、そのPCを組み上げた人間に相談しろ。

48 ：(^ー^*)ノ〜さん sage ： 2007/04/28(土) 04:58 ID:259a9NTr0

PCについてきたリカバリーCDかOSのCDを入れて再起動。
で、うまくいけばラッキー。

これでうまくいかないような場合、
たぶんPCに詳しくないあなたから、適切に情報を聞き出して
どうやればいいかの手順を示すことは、我々には困難かと。

「windows 手順 再インストール」くらいでぐぐると、
それっぽいページは見あたるので、参考にどうぞ。

49 ：(^ー^*)ノ〜さん sage ： 2007/04/28(土) 05:00 ID:259a9NTr0

>>46
以降、なにか書き込みたくなったら

【一般的話題用】
セキュリティ対策、質問・雑談スレ2
　http://enif.mmobbs.com/test/read.cgi/livero/1177485590/

のほうへどうぞ。

50 ：(^ー^*)ノ〜さん sage ： 2007/04/28(土) 07:40 ID:CtI5/KAK0

毎度おなじみ福建人の新ドメイン。

Domain Name ..................... editco-jp■com
Expiration Date ................. 2008-04-26 11:43:24

51 ：(^ー^*)ノ〜さん sage ： 2007/04/28(土) 11:37 ID:QVpkxVVx0

Lisa鯖じゃ、どこかのGVギルドのマスターが垢ハックされて
ゴス装備と他に高額装備がぱくられたらしい。

52 ：(^ー^*)ノ〜さん sage ： 2007/04/28(土) 12:34 ID:eFsXe/eu0

>>51
鯖2位の同盟のマスターだな
+7ゴスフォマル +8天使メイル +9狐マント +9廃靴とか他色々
以前も誰かの+7ゴスグリッタが南無ってる

53 ：(^ー^*)ノ〜さん sage ： 2007/04/28(土) 12:55 ID:KHDfH+D90

>>51-53
ザマーミロとは思うが、スレ違いだ。雑談はLiveROに移動しようじゃないか。

セキュリティ対策、質問・雑談スレ2
http://enif.mmobbs.com/test/read.cgi/livero/1177485590/

54 ：(^ー^*)ノ〜さん sage ： 2007/04/28(土) 12:56 ID:8Y+M+YrX0

LiveROだからって何でもありだと思うなよ

55 ：(^ー^*)ノ〜さん sage ： 2007/04/28(土) 12:58 ID:ZSVVFMg/0

>>54RO専用板なにゅ缶で何をほざいてるんだ

56 ：(^ー^*)ノ〜さん sage ： 2007/04/28(土) 18:35 ID:+Migv6SB0

ウィルス1つで同盟崩壊、鯖のパワーバランスが崩れる可能性があると考えれば、強ちスレ違いと言えなくもないな。
ゲームの知識だけでなく、PCやInternetに関しても学ぶように心がければ良いということ。

57 ：(^ー^*)ノ〜さん sage ： 2007/04/28(土) 19:57 ID:gSD6TJD60

金ゴキとかで俺tueeeしてた奴が取られたりしたら復帰する気にならんだろな

58 ：(^ー^*)ノ〜さん sage ： 2007/04/28(土) 20:16 ID:ta7/UmNz0

それは見くびりすぎってもんだぞ。
垢ハックで引退するようなヤツはもう今のROにはいない。

59 ：(^ー^*)ノ〜さん sage ： 2007/04/28(土) 20:46 ID:gCFzdw6T0

いや被害者は結構引退してる。そして一人が止めた事によって仲間が釣られて引退なんてのも結構見てる。
自分の中のイメージをこういうスレで語るのは止せ。

60 ：(^ー^*)ノ〜さん sage ： 2007/04/28(土) 20:52 ID:LEEM4TsJ0

その9割が復帰して、全員廃装備を持っている。

61 ：(^ー^*)ノ〜さん sage ： 2007/04/28(土) 23:57 ID:ta7/UmNz0

そうは言うが一年前と人数変わってないのがな。
変わってないのは全部BOTのせいというのが世間の判断らしいが、
それはどうかなと思うがどうでもいい話でまじごめんなさい終わり。

62 ：(^ー^*)ノ〜さん ： 2007/04/29(日) 00:41 ID:rXlmlVJR0

すみません、先ほど自分が活動してる鯖のGvWikiの移転先を踏み、白紙のページが出てきました。
ソースを覗いててみると、サイズ0で別htmファイルのURLが書かれていました。
マカフィーでは何も反応は出なかったのですが、不安なのでどなたか調べていただけないでしょうか？
ttp://www■blog-livedoor■net/game/

63 ：(^ー^*)ノ〜さん sage ： 2007/04/29(日) 00:44 ID:ytZha9IO0

>>62
-- 「2007/04/01 6:54」のキャッシュをチェックしています。 --
※このアドレスは危険URLのひとつです。
ブラクラチェックが終了しました。


南無、と。

64 ：(^ー^*)ノ〜さん sage ： 2007/04/29(日) 00:44 ID:BL7NJQvs0

それは垢ハックアドレスです。
>>2-6を読んで対処しましょう。

65 ：(^ー^*)ノ〜さん sage ： 2007/04/29(日) 00:45 ID:CliIH5iT0

>>62
ウィルスベンダーが休みのこの時期に無用心なお前さんはネット控えた方がいいんじゃ無いか？
GWでウィルス対策ソフトのパターン更新がお休みの可能性がある

66 ：(^ー^*)ノ〜さん sage ： 2007/04/29(日) 01:20 ID:6intQzD10

>>52
それ狼だな
天使グリッタとゴスグリッタがやられて、それを購入した別のプレイヤーが
二種類のグリッタを転売してたので問題になった
垢ハックは当然最低だが、こういうモラルのない肉入りも十分最悪だな

67 ：(^ー^*)ノ〜さん sage ： 2007/04/29(日) 01:40 ID:9Kg6aRQ50

>>62
罠サイトの危険性をたずねるときは、あなたの環境を晒すことも重要ですよ。
（テンプレ>>4による報告推奨）

★理由★
罠サイトを踏む→無条件で感染するような万能な罠があるなら、みんなそれを使います。
実際にはそんな万能な罠などあるはずもなく、特定の条件を満たしたときに罠が発動します。
その特定の条件というのが、ＯＳの種類やバージョンであったり、ブラウザの種類であったり、
Windows Updateの有無であったり、スクリプトON/OFF状態であったり・・・

68 ：(^ー^*)ノ〜さん sage ： 2007/04/29(日) 06:25 ID:ievbwVfC0

大型連休(中国にもある)で一気に更新されとる…。
とても全部は拾いきれないので1つずつ。

Upack圧縮Maran
先週(前スレの最後くらい)よりさらに検知しにくくなり、Dr.WEBが脱落。
相変わらず小さい(48kBほど)。
バスターはスルー、McAfeeは捕捉。Nortonは未確認。
他ではAntiVir、Avast!、BitDefender、Kaspersky、NOD32あたりが捕捉。
www■ahatena■com/388465/svch.exe >>34
etc.
lovetw・zhangweijp系全域にわたって100匹は生息していると思われる既存の
Maranの多くが(犯人が忘れていなければ)新型に置換されていくものと思われ。

nPack圧縮Maran
圧縮が今ひとつ(74kBほど)だけど増加中。
そろそろベンダに対応されつつあるか?
バスターとMcAfeeがスルー。Nortonは未確認(たぶんだめ)。
他ではAntiVir、Avast!、BitDefender、Dr.WEB、Kaspersky、NOD32あたりが捕捉。
www■blog-livedoor■net/game/svch.exe >>62
etc.
こちらも増加中。Upackと併用していくのか比較検討中なのか今ひとつ不明。

これら新型はkasperskyではMaran.cjではなくMaran.ejとなるようです。

69 ：(^ー^*)ノ〜さん sage ： 2007/04/29(日) 06:35 ID:ievbwVfC0

↑とりあえずSymantec、McAfee、Trendmicro、
Dr.WEB、K7(笑)には提出済み。

70 ：(^ー^*)ノ〜さん sage ： 2007/04/29(日) 06:39 ID:blD47vu90

>>69
検体提出乙です

71 ：(^ー^*)ノ〜さん ： 2007/04/29(日) 07:50 ID:0OmPfpzB0

しかしこんなゲームよくやってるよなお前等

72 ：(^ー^*)ノ〜さん sage ： 2007/04/29(日) 08:45 ID:IaiFEihM0

俺はやってるが、ここにいるほとんどの人間は引退済のような気がする

73 ：(^ー^*)ノ〜さん sage ： 2007/04/29(日) 09:20 ID:N6JVFa5S0

そだな、ウィルス報告受けて分析、検出、報告してる集団に見えるｗ

74 ：(^ー^*)ノ〜さん sage ： 2007/04/29(日) 09:49 ID:IK0iOMmg0

各種Wiki管理者に、引退・休止者が多いのと同義。
要は、老後の道楽みたいなものだ。

75 ：(^ー^*)ノ〜さん sage ： 2007/04/29(日) 12:36 ID:hpzX9TA3O

けどその人達のおかげで助けられてる人も多いんだし。感謝です。

76 ：(^ー^*)ノ〜さん sage ： 2007/04/29(日) 17:28 ID:Ff/V3HQc0

仮想PC内の%TEMP%フォルダに9vx5715s.exeとかいう怪しげなファイルがいたので、
念のため、VIRUSTOTALに投げてみたら、MARANだった。
http://www.virustotal.com/vt/en/resultadof?4c5298ada2107715f2c598dcb4210e34

調査用環境のため、わざとWindows Updateしてなかったりするので
感染したのは別にいいんですが、どこのサイトを踏んだときに感染したのか不明。
検出率がものすごく悪かったので一応報告。
といってもどこのサイトか分からなきゃ意味ないか・・・

77 ：(^ー^*)ノ〜さん sage ： 2007/04/29(日) 17:41 ID:TnFWAnes0

>>76
どこのサイトかわからなくても、検出率の悪かったものは、各社に検体提出することで意義はあると思います。
PiED等で、新種の圧縮形式かどうか確認してみるとかもありかもしれません。

78 ：(^ー^*)ノ〜さん sage ： 2007/04/29(日) 17:42 ID:TnFWAnes0

あ、検体の提出先は、LiveROの方にまとめられているのを参照で。

セキュリティ対策、質問・雑談スレ2
http://enif.mmobbs.com/test/read.cgi/livero/1177485590/7-8

79 ：76 sage ： 2007/04/29(日) 17:46 ID:Ff/V3HQc0

すみません。今から出かけますので、帰宅後提出しておきます。

80 ：(^ー^*)ノ〜さん sage ： 2007/04/29(日) 18:23 ID:JjJgaoUg0

HeimdalWikiのGvG同盟関係(別窓)の所が
www■biglobe-ne■com/bbs　に改変されていました。
Wikiは編集はじめてだったのですが向こうを先に直してこちらにも書き込み。
で、ソースチェッカーで調べたら
IP:222.77.185.101(Chinanet Fujian Province Network)

自分のサイトとかの安全性がどんな風に見えるかの流れで
そのままソースチェッカーをやっていたのが幸いしました。
でも自分も踏んでいないか心配なので今チェック中。

81 ：80 sage ： 2007/04/29(日) 19:16 ID:JjJgaoUg0

今フルスキャン中なのですが対策スレまとめの危険サイト・ドメインリスト、
先のURLが既に登録済みだった様です。

このhostsリスト自体はWiki修正前に導入してあったんですけども
サイト記述の
"誤って罠URLを踏んでしまってもアクセスできないようにします。"
という事、これは文字通り
"万が一URLをクリックしてもそのURLにアクセスできないからウイルスが読み込まれない実行されない"
と言う認識で正しいですか？

凄いお子様な質問ですみません。

82 ：(^ー^*)ノ〜さん sage ： 2007/04/29(日) 19:37 ID:jIcUQfLN0

>81
ほぼアタリかな。
スクリプト中にIPアドレスを直接書かれていたら、hostsファイル無視されるので
アクセスしてしまう可能性がある。要注意だ

83 ：(^ー^*)ノ〜さん sage ： 2007/04/29(日) 20:06 ID:fsTQAGyj0

>81
その認識で合ってる。
本来のhostsの使い方とはちと違うがね。

hostsはホスト名とIPアドレスを変換するファイルで設定しておけば
そのIPアドレスに対して通信するので、罠サイトには飛ばなくなる。

まとめサイトのリストは随時更新されてるから、こまめに更新する
必要がある。
それが面倒に感じるなら、あこすれてんぷら避難所で配布されてる
自動更新スクリプトを使った方が良い。

ただしその場合は説明読んで、自己責任で使う事。

ちなみに自分は自動更新スクリプトをスタートアップにショトカ入れて
使ってる。
あれは楽でいいが、使う場合は改竄されてないかをチェックしてから
使うこと。
改竄版使うと>82の言うように元も子もない。

84 ：80 sage ： 2007/04/29(日) 20:56 ID:JjJgaoUg0

>>82 >>83
ご返答ありがとうございます。
踏んだ先に直にスクリプトが入っているとやばいのですか…。
やはりしつこい位に前もってURLの確認は本当に必要ですね。
すこしでも怪しいと感じたらソースチェッカー。
>>80の罠URL、Wikiの方で一回確認ページでクッションがあるので
その点は多分大丈夫だろうと思うしか。

自分の場合は回線切って緊急ロックかけてからメモ帳で編集。
新種の情報を知る意味でもこまめに更新する様に心がけてます。

そして今スキャン終わったので書き込み。特に何も無かった様です。
後でもう一度別種でスキャンかけてみる事にします。
今回は編集する時に罠URLコピペするときにもしかしたら…
とか思ってしまってたので少し安心。
次はCTRL+Aでメモ帳にコピーしてからチェッカーに貼り付けようと思いました。

85 ：(^ー^*)ノ〜さん sage ： 2007/04/29(日) 23:52 ID:PxmmcRvb0

>>80
正しく理解されているかちょっと怪しく感じたので、
hostsに関してもうちょっと詳しく解説しておくと、

hostsファイルというのはローカルのDNSだと思ってください。
DNS=ホスト名をIPアドレスに変換してくれるもの

例えば、ホスト名www.google.co.jpのIPアドレスは、66.249.89.104です。
そして、ホスト名www.yahoo.co.jpのIPアドレスは、203.216.243.218です。
（↑自体が罠かもしれないので、実験するときは自分で調べましょう）

以下に３つの例を出します。

�@ 203.216.243.218　　www.google.co.jp
�A (罠サイトのIPアドレス)　　www.google.co.jp
�B 127.0.0.1　　(罠サイトのホスト名)

もし、hostsに�@の記述があれば、ブラウザにwww.google.co.jpと打ち込んだときにYAHOOのHPが表示されます。
これぐらいなら悪戯で済みますが、�Aだったらどうでしょう。ググろうと思った瞬間に罠サイトに飛ばされます。
これがhostsの改ざんによる危険性です。そして�Bの場合、あやまって罠サイトへのリンクを踏んでも
127.0.0.1に飛ばされるので、事なきを得るわけです。(127.0.0.1とは自分自身のコンピュータを指します）

>>82さんが言っていたのは、HTMLソースに<iframe src="66.249.89.104">(←これはグーグルなので安全)のように
直接IPアドレスが記述されてた場合、ホスト名→IPアドレスの変換が不要なので、hostsファイルは
役に立たないわけです。この場合、PG2が役に立ちます。

86 ：(^ー^*)ノ〜さん sage ： 2007/04/30(月) 02:03 ID:PR/5PytI0

80氏ではないが、すごく分かりやすい説明ありがとうございます。
勉強になりました。

87 ：(^ー^*)ノ〜さん sage ： 2007/04/30(月) 04:00 ID:Mx0+9KJ40

前スレ773(http://gemma.mmobbs.com/test/read.cgi/ragnarok/1173963316/773)で
VBS/Psymeについて書いた者ですが、壮絶に勘違いをしておりましたので、訂正致します。

Psyme(サイミー)自体、亜種の多いウイルスのため、定義がいまいち良く分かってませんが、
今現在中華がメインで使っているタイプということに限定した場合、
以下のActiveXコントロール５種�@〜�DをVBScript(またはJScript)により生成し、
任意のファイル(大抵の場合Maran系トロイ)をダウンロードし、実行するというものです。

�@ RDS.Dataspace　(�A〜�Dを生成します)
→�A Microsoft.XMLHTTP　(サーバーからファイルをダウンロードします)
→�B Adodb.Stream　(ダウンロードしたファイルを�Cのパスに保存します)
→�C Scripting.FileSystemObject　(%TEMP%パス名を取得します)
→�D Shell.Application　(�Bが保存したファイルを実行します)
※�@はクラスＩＤ名(BD96C556-65A3-11D0-983A-00C04FC29E36)でスクリプト内に埋め込まれています
　
�@が親玉だと思ってください。�A〜�Dは�@の子として生成されます。これがミソです。
実際に悪さをするのは�A〜�Dなのですが、�A〜�Dを直接生成しようとすると
前スレ７７３に紹介したようなレジストリの設定により、生成が失敗する可能性があります。
そこで�@なのです。�@の子としてならレジストリの設定など無視して生成できてしまいます。

このセキュリティホールを塞ぐ修正パッチは約１年前にMicrosoftから出ています。それが、
「Microsoft Data Access Components (MDAC) の機能の脆弱性…(MS06-014)」になります。
http://www.microsoft.com/japan/technet/security/Bulletin/MS06-014.mspx
(一部例外もありますがWindows Updateをしておけば、この修正パッチは勝手に当たります）

このパッチを当てておけば�A〜�Dの生成はみごとに全部失敗してくれます。
（�@は相変わらず生成できますが、�@だけでは何もできません）

前スレ773に紹介した方法では、中華VBS/Psymeは防げませんが、MS06-014のパッチを当てておけば防げます。
結論として「Windows Updateをしておけば問題なし」という点では変わりありませんのでご安心を。

PS.前スレ773のレジストリキーがまったく無意味ということはなく、あれで防げるタイプの攻撃もあります。

88 ：(^ー^*)ノ〜さん ： 2007/04/30(月) 09:42 ID:QXEo0WCW0

>>27さんと同症状でIE起動で笑点のテーマが一瞬流れましたよ、昨日。
情報が少ないので色々調べるのが大変でしたが結局yahooトップページの
サントリーと笑点のコラボFLASHが原因だったようです。
>>27さんもトップページをyahooに設定していたのではないでしょうか。
yahooのTOPで音が流れる事自体異例で不具合だったのではと思います。
yahooからのアナウンスが無いのが少しだけ疑問ですが…
まあ、お陰でスパイウェアとか色々見つけ、また気苦労がｗ
検知ソフトも、たまには新しいの入れてみるもんですね。

89 ：(^ー^*)ノ〜さん sage ： 2007/04/30(月) 10:09 ID:J6zWwwyo0

>>66
それ思い当たる節があるが結局ただのデマで流れたネタじゃないか。
しかも垢ハク露天で確認されたのは天使鎧だけ。
同じ鯖のプレイヤとして一応突っ込んどくぜ。

90 ：(^ー^*)ノ〜さん ： 2007/04/30(月) 10:21 ID:/iuguEvb0

【　　アドレス 　 】 http://www■ragnarokonline■com/jp/r_main.htm
【気付いた日時】4/30
【　 　　 OS　 　 】 XPまでしか・・
【使用ブラウザ 】 IE
【WindowsUpdateの有無】 おそらく3月の末
【　アンチウイルスソフト 】 Avast
【その他のSecurty対策 】 なし
【 ウイルススキャン結果】 カスペルスキーとウイルスバスターでスキャンしたけ感染はなし
【スレログやテンプレを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】踏んでから導入しました
【説明】
最初このアドレスを踏んだとき韓国文字と中国文字の画面が出てきてやばい！
って思ったのですが、知り合いに聞いてみると悪意性をもったものかどうかは判断
できないと言われましたがウイルスを仕掛けられている可能性は低いようなことは言われました。
一応スキャンして感染はなかったのでそれを信用して念のためPG2を入れて様子見しようと思ってますが
このスレ見てるみなさんでこのアドレスは悪意のあるものかどうか判断できるのならば教えてくれると幸いです。

91 ：(^ー^*)ノ〜さん sage ： 2007/04/30(月) 10:27 ID:rw1kjgW80

>>90

>>1より再掲
アカウントハックに関する情報の集積・分析を目的とするスレです。
被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談は>>2に有る雑談スレを利用して下さい。

※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません


垢ハックと断定できない相談は、下記のスレへどうぞ

セキュリティ対策、質問・雑談スレ2
http://enif.mmobbs.com/test/read.cgi/livero/1177485590/

92 ：(^ー^*)ノ〜さん sage ： 2007/04/30(月) 10:46 ID:cR2fjM7p0

公式HPだと気づかないほど慌ててるのに
テンプレの様式は守っててちょっと笑った。

93 ：(^ー^*)ノ〜さん ： 2007/04/30(月) 10:54 ID:/iuguEvb0

>>90さん
指摘ありがとうございます。
以後気をつけます。

>>92
一応疑ってはいましたがやはり公式HPでしたか･･･
とりあえず危険ではないということがわかって安心しました。

94 ：(^ー^*)ノ〜さん sage ： 2007/04/30(月) 14:50 ID:sMMEiRF40

>56
お前さんはまず現実に目をむけて生活固めてからネットやったほうがいいとおもうぞw

95 ： ◆sp4Sh9QXGI sage ： 2007/04/30(月) 17:00 ID:EstyBqU90

jprmthomeのIPって222.77.185.83-222.77.185.110のどれかだったような気がするんですが
今見たら125.65.112.15に変わってます。
hostsを導入していない方はご注意を…。

96 ： ◆sp4Sh9QXGI sage ： 2007/04/30(月) 17:07 ID:EstyBqU90

とりあえずPG2のリスト(通常・積極双方とも)に
125.64.0.0-125.71.255.255
を追加しておきました。様子見で制限帯域を縮小したりしようかと。

97 ：87の補足です sage ： 2007/04/30(月) 17:41 ID:Mx0+9KJ40

以下に示すIEの設定が共に「有効にする」になっている場合は、MS06-014のパッチを当てていても、
>>87の�@〜�Dはすべて成功し、結果トロイが落ちてきて実行されますのでご注意を。
（両方とも「無効にする」を推奨します）

IEのメニューで、[ツール]-[インターネットオプション]-[セキュリティ]-[レベルのカスタマイズ]
・スクリプトを実行しても安全だとマークされていないActiveXコントロールの初期化とスクリプトの実行
・ドメイン間でのデータソースのアクセス

実際には、上記の設定を「有効」にしている人など、ほとんどいないとは思いますが、念のため。

98 ：(^ー^*)ノ〜さん sage ： 2007/04/30(月) 18:01 ID:zEe2j8A20

>95
BSWikiさんの所の安全のために、に記載されてるIPは222.77.185.88ですが
同Junkにあるnslookupのリストやリネ資料室さんのPG2のリストでは
125.65.112.15になってますね。

いつ変わったんだろう？

99 ：80 sage ： 2007/04/30(月) 19:29 ID:uZ3T1muV0

>>81　hostsリストの質問
>>82 >>83　hostsリストについて
>>85　hostsの判りやすい動作一例
>>95 PG2とhostsの簡単な実例

後の人の為にも流れを纏めてみました。
82、83、85の様方、本当にありがとうございます。

簡単なスクリプトを記述しないといけないと言う程度の認識でした。
自分は危機感がまだまだ甘かったです。
おかげでIP直書きの恐ろしさが理解できました。
ホスト名で制限するhosts、IPを直に制限するPG2、
どちらにも利点欠点があるのですね。勉強になります。

対策スレまとめの方にも上の説明記述があると初心者さんは安心かもしれないですね。
それにしても両方あれば好ましいという状況がなんともですね。

100 ：Logue ◆grDYeooZwg sage ： 2007/04/30(月) 19:55 ID:TkjTlvlf0

EventWikiに来た罠サイトらしき荒らしあり。以下はそのリスト。
昨日の０時頃までに復旧済み。

知らないうちに改編されていたものもあるので、
Wiki運営者は、単語検索でアドレスを確認するといいかと。
http://pukiwiki.sourceforge.jp/dev/?BugTrack2%2F208

蛇足ながら、フォーラム側にも同一ホストからの同じような投稿がありました。
人力によるもの（※）と考えられます。
※Captcha（画像認証）が破られていただけでなく、ユーザー登録して投稿してあった。

ezbbsy■com
23styles■com
livedoor-game■com
yy14-kakiko■com
m-phage■com

101 ：(^ー^*)ノ〜さん sage ： 2007/04/30(月) 22:08 ID:EstyBqU90

>>98さま
editco-jp■comを追加した28日時点では222.77.185.110だったのですが
ただいま確認したところ125.65.112.95となっていました。
ということで、ここ3日の間にサーバが移転したことになるのでしょうか？
aguseによれば前者のサーバ位置は北京でしたが、現在は成都になっています。

102 ： ◆sp4Sh9QXGI sage ： 2007/04/30(月) 22:09 ID:EstyBqU90

うっかりトリップ忘れ(´・ω・`)

103 ：(^ー^*)ノ〜さん sage ： 2007/05/01(火) 00:13 ID:MSUGZT3V0

ログを確認すると、此方の環境では29日時点では222.77.185.88、30日で
125.65.112.15に変わっています。DNSキャッシュの関係もあり正確
ではないでしょうがその辺でしょうな。

104 ：(^ー^*)ノ〜さん sage ： 2007/05/01(火) 07:22 ID:TXbEriDD0

23日　某鯖でﾊｯｷﾝｸﾞされた方の補填が確認された模様。
１月前半にハッキングに会い警察に駆け込む。（生活安全課）
癌呆に連絡して本人とは違うＩＤからのアクセスを確認との報告。
警察に言って来いとの事で、本人が暇見つけて警察に。

警察から連絡が来て、その事を癌呆に連絡。
３週間後に癌呆から連絡&補填。

補填内容
被害者が癌呆に渡した装備等が写ってる垢ハック露店のＳＳ分のみで
zeny等の補填は無かった模様（？）

補填受けた人の言葉
ＳＳは撮っておく。
さらに具体的にＺＥＮＹやアイテムも報告するようにする。
補償は一回きりだそうなので、再発防止対策。

ハッキング当日通報から補填までの時間
約４ヶ月

もうどっかに報告上がってたらゴメンよ。

105 ：(^ー^*)ノ〜さん sage ： 2007/05/01(火) 09:15 ID:Vnwcu7df0

いつもの福建人、ココログのリダイレクトを使って誘引する手口を確認。

掲示板などにリダイレクトアドレスを書き込む。
gameurdrにとばされる。
app■cocolog-nifty■com/t/comments?__mode=red&id=12886212

106 ：(^ー^*)ノ〜さん sage ： 2007/05/01(火) 10:00 ID:JC0qcgIw0

>>62-64
つい最近それを踏んでしまったんだけど確認方法を教えて貰えませんか？
>>64で垢ハックアドレス、と言い切ってるけど具体的に何かプロセスが動いたりするのでしょうか？
今のところハッキングされた形跡がないのですが、本当に垢ハックサイトなんですか？

107 ：(^ー^*)ノ〜さん sage ： 2007/05/01(火) 10:12 ID:Vnwcu7df0

>>106
＞本当に垢ハックサイトなんですか？
垢ハックサイトと言うかドメインね。
言うまでもなく危険。

このドメインの登録情報、毎度おなじみ福建人のドメイン。
Domain Name ..................... blog-livedoor■net
Registrant Name ................. lin zhiqiang
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 364000
Registrant Country Code ......... CN

108 ：(^ー^*)ノ〜さん sage ： 2007/05/01(火) 10:18 ID:xHcnRjRF0

>>100
ドメイン自体は既出ばかりだけど、人力投稿って方には今後の対応に
注目したいところですなぁ。

109 ：(^ー^*)ノ〜さん sage ： 2007/05/01(火) 10:23 ID:JC0qcgIw0

ありがとうございます
でもavastもあちこちのオンラインスキャンしてもウィルスが出てこないし、
更に週2回くらい1DAYでちょくちょく遊ぶんだけど一向にハッキングされないんですよ
NEGiESで通信監視しても怪しい通信しないし（むしろプロセス名が出ないRagexe.exeのほうが不審）
タスクマネージャーみても変なexeが稼動してる様子もないし、
そもそも踏んだのがROじゃなくAngelLoveOnline本スレとかROと関係ないとこだったのでROと関係なさそうだな、と・・・

真っ白サイトだったけどウィルスインストールされる前に閉じちゃったのかな、中国サイト重いし・・・

110 ：(^ー^*)ノ〜さん sage ： 2007/05/01(火) 11:42 ID:XBUIIOr40

>>109
>>67を読みなさい。
見ただけで「どんなPCでも絶対に感染するサイト」を作るなど不可能なのですよ。
単にあなたのPCが感染条件を満たさなかっただけかもしれない。
敵は数打ちゃ当たる戦法を取ってきてるようなものなので、
１００人踏んで１０人も感染すれば儲けものと考えているだろう。
そして自分がいつその１０人になるかも分からないから、
十分に対策しておけと言うわけですよ。

111 ：(^ー^*)ノ〜さん sage ： 2007/05/01(火) 11:49 ID:leq8ITBs0

>109
まとめサイトなりリネージュ資料室なり見て来れば、 blog-livedoorが
危険ホスト名に載ってるのが判ると思う。
LiveDoorの名前に似せたドメインを取ることで信用させる手段。
このスレでは「なんちゃってプロバイダ」と呼ばれてるが似たようなのに
niftyやbiglobeに似せたものもある。

危険ドメインかどうかの確認方法は上述のサイトに載ってるか、とか
Whois情報確認(>107)とか、ソースチェッカーオンライン使うとか。
既知の危険ドメインに関しては、何通りか調べる手段はある。

踏んだ時点で感染するかどうかは各自の対策によって変わる。
WindowsUpdateや使用したブラウザ、ブラウザの設定、hostsの
変更有無やPG2の導入の有無など。

>そもそも踏んだのがROじゃなくAngelLoveOnline本スレとかROと関係ないとこだったので
それが最近の中華の手口。
DDO(Dungeons & Dragons Online)やWiiのWikiにも貼られてるという
報告もあった。
ROに関係ないサイトだから無害、と言えたのは昔の話。

112 ：(^ー^*)ノ〜さん sage ： 2007/05/01(火) 13:20 ID:vytBPrJD0

>>109
ひぐらしが鳴く頃にwikiの本スレURLをexeファイル仕込んだサイトのURLに改ざんして行ったり、
スカッとゴルフパンヤ公式サイトのふれあいBBSに既存のスレタイトルを騙って、
こっちに引っ越しましたと言ってexeファイル仕込んだサイトのURLを貼って行ってたり
（空白ページでしたよ？URL間違ってないですか？とか書き込みがあり、何人も踏んでいるのがわかる；；）
また、ゲームとは全く繋がり無いYouTubeなどからおもしろい動画などを拾ってきては紹介しているサイトに貼っていったりもしている。
（相方プリさんと結婚します。式にはお世話になった方を呼びますので(省略)最後にURL誘導って書き込みがいきなりあって
浮きまくってたが、なんだこりゃ？って不思議に思った人が何人か踏んでた；；）
↑でも言われてるが手当たりしだいに貼っていってるのでROと関係ないサイト・スレだからとか全く関係なし。
貼られてるURLは先にチェックをするっていうのが身の安全を守れる手段となってる今のご時世。

113 ：109 sage ： 2007/05/01(火) 13:23 ID:JC0qcgIw0

判りやすい説明ありがとうございました
どうせ殆ど遊ばないしあとでレアアイテムは別垢に移しつつLinuxからPass変えて封印しときます
PCリカバリーはGW終わってから・・・

114 ：(^ー^*)ノ〜さん ： 2007/05/01(火) 13:35 ID:C+7Nqkh70

垢ハックひどくなってない？

115 ：(^ー^*)ノ〜さん sage ： 2007/05/01(火) 13:53 ID:kAI0au5V0

ひどいよ。
注意喚起すらしない運営はもっとひどいよ。

116 ：(^ー^*)ノ〜さん sage ： 2007/05/01(火) 14:02 ID:i6tnxuIX0

>>111
ちょっと前の記事だけど、「なんちゃってプロバイダ」について
so-netのセキュリティ関連ニュースでも取り上げられてました。
http://www.so-net.ne.jp/security/news/library/923.html

ＵＲＬの確認は本当に細心の注意が必要ですね。
１文字違いとかだから、パッと見ただけじゃ全然分からないし。
（本物）homepage3.nifty.com
（中華）homepage3-nifty■com

117 ：(^ー^*)ノ〜さん sage ： 2007/05/01(火) 14:22 ID:XEX/Mh0G0

ヘルプデスクで注意喚起すんのかって質問したんだけどご意見ありがとうございますで終わってた。
違うよ俺が聞きたいのは対策する気あるのかどうかだよ。

118 ：(^ー^*)ノ〜さん sage ： 2007/05/01(火) 14:29 ID:h9K+D7750

恒例のテンプレ回答だな・・・。
俺もそうだった。

119 ：(^ー^*)ノ〜さん sage ： 2007/05/01(火) 15:20 ID:kAI0au5V0

垢ハックさせてからプレイヤーにアイテムの補償をすれば、社内規定（あるのか不明だが）に
触れることなく高額アイテムを生成できるしな。
間接的に生成したアイテムを中華に貢いでるのと変わらん。

120 ：(^ー^*)ノ〜さん sage ： 2007/05/01(火) 16:14 ID:D6RE/DIwO

いや注意や警告はもちろんだが保障の問題だろ…
実際に被害食らって報告しても俺らは知らないから警察いけよっていうテンプレ回答

実際警察行くと馬鹿みたいに手間と時間かかる
癌にアカハック報告してもまったく意味ないのがなんともね
対策もしなけりゃ救済もしない
キャラパスなんて一週間持たずに看破されたし、不正者の技術>>>>癌じゃ無理あるわ
警察が丸腰で犯罪者がみんな武装してるようなもん

癌のヘルプデスクに不正を助長するサイトですと
アカハックURLをダイレクトに送りまくってやろうかね
まぁバイトが使うテンプレ返信PCじゃ癌はRO起動してないだろうが…

121 ：(^ー^*)ノ〜さん sage ： 2007/05/01(火) 17:10 ID:VmWlwHHG0

>>116
他社だからか、痛烈な批判だな。
サブドメインで済むサービスまで、用途別の独自ドメインを濫用取得している事への。

122 ：(^ー^*)ノ〜さん sage ： 2007/05/01(火) 17:21 ID:9+vqYbww0

お金払えばどんな名前でも貰える状況も、なんだかな

123 ：(^ー^*)ノ〜さん sage ： 2007/05/01(火) 17:24 ID:leq8ITBs0

しかし他人事のような書き方だな。
中華の事だから、そのうちblog-sonetとかのドメインが出現しても何ら不思議じゃないのに。

そういうなんちゃってSonetなドメインが出てきた日にはどうする気なんだか。
厳重抗議した所で、そのドメインを閉鎖に持ち込めるかどうか。
もしなんだかんだ、のらりくらりと逃げられて閉鎖に持ち込めなかった日には、ねぇ……

で、Sonetのその記事にしても、注意しろ、というだけ。
結局ユーザーサイドとしては、hosts変更やPG2で自衛するしかないのは今までと変わりなし。

124 ：(^ー^*)ノ〜さん sage ： 2007/05/02(水) 00:44 ID:LoZYoAQH0

なんちゃってドメインは阻止しようがないかもね。
goo.ne.jpのなんちゃってエロサイトのgoo.co.jpが訴えられて閉鎖になったけど
ttp://www.watch.impress.co.jp/internet/www/article/2002/1017/goo.htm
これはドメインが同一で尚且つ両社とも国内の話だからなぁ。
whitehouseと名のつくURIがいくつもある(正解は政府関係なので.gov)
ことも考えると、server.domainと錯誤させるようなserver-dimain程度では
微妙じゃないかな。URIには気をつけよう、としか。

125 ：(^ー^*)ノ〜さん sage ： 2007/05/02(水) 03:45 ID:1YE9v1Eo0

癌の対応ワロスｗｗ
これギャクじゃなく企業がしてる回答なんだよな
信じられんわ。。。そりゃ株価最安値更新するよ
これから先ＳＢ系列関係は絶対に加入やら購入しないわ

126 ：(^ー^*)ノ〜さん sage ： 2007/05/02(水) 06:32 ID:VEE7cvDG0

ガンホーテンプレ話とか持ち出すと内容が
雑談板っぽくなってるのでそういう話は該当スレでどうぞ。


以下　アカウントハック総合対策スレ7 をどうぞー

>>126自治厨乙！

127 ：(^ー^*)ノ〜さん sage ： 2007/05/02(水) 08:15 ID:UejZUQ4t0

垢ハックによるRMCへの書き込みが酷い。

128 ：(^ー^*)ノ〜さん sage ： 2007/05/02(水) 08:33 ID:g1T3iJpY0

言いたいことは分かるが、それを言うなら「RMCへの垢ハックの書き込みが酷い」だろ。
垢ハックされるとRMCへ自動で書き込みされそうな物言いが気になったので一応。

129 ：(^ー^*)ノ〜さん sage ： 2007/05/02(水) 10:37 ID:7LSeeyYS0

RMCの記事に直にexeファイルのリンクが書いてあったね。
さすがにこれは…と思ったけどｗ

130 ：(^ー^*)ノ〜さん sage ： 2007/05/02(水) 14:04 ID:UFEDSyjf0

そのExeうっかり踏んじまった…
NOD32だとウィルス検出はされなかったんだが大丈夫かね

131 ：(^ー^*)ノ〜さん sage ： 2007/05/02(水) 14:08 ID:SSdfQ2oP0

何を言ってるのか誰か翻訳頼む

132 ：(^ー^*)ノ〜さん sage ： 2007/05/02(水) 14:23 ID:xadkgGNm0

RMCのその記事はみてないが、exe直貼りでそれをクリックしたって事は
基本的にDL/実行の窓が出るんじゃ？
罠サイトに飛ばされて仕込まれるなら兎も角、exeのurlが貼られてる分には
そうそう被害出ないと思うんだが。

133 ：(^ー^*)ノ〜さん sage ： 2007/05/02(水) 14:42 ID:Z7eIhRVs0

それ以前にRMCの掲示板にURL貼り付けてもリンクには変換されないと思うんだけど、
カキコするときに、aタグ使えばリンクになるのかな？
それともブラウザによってはURLを勝手にリンクに変換するとか？？

134 ：(^ー^*)ノ〜さん sage ： 2007/05/02(水) 15:42 ID:Vy1AOVvY0

2chをち板の鯖スレの書き込み

15 名前：おすすめ２ちゃんねる 投稿日：2007/05/01(火) 19:00:18 ID:BNQQQxJh
無題

このステに対する意見募集します。
装備のアドバイスなどあるとうれしいです。

詳しくは:http://www■gamesragnaroklink■net/news/



iframeによる　www■acyberhome■com/news/Ms06014■htm　の呼び出しと
カーソルの　www■acyberhome■com/news/test■cur

あと、Microsoft.XMLHTTP　で何かオブジェクトを生成してたけど私はよくわからないので。

gamesragnaroklink■net　[125.65.112.14]
acyberhome■com　[125.65.112.14]
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan

散々既出のドメインですが

135 ：(^ー^*)ノ〜さん sage ： 2007/05/02(水) 17:18 ID:Z7eIhRVs0

>>134
ダウンローダの方は
www■acyberhome■com/news/Ms06014■htm が名前の通りMS06-014脆弱性利用(0x7Fと&取らないと読めない)
www■acyberhome■com/news/test■cur はMS07-017脆弱性利用

どっち経由でも落ちてくるトロイ本体は同じ
www■acyberhome■com/news/svch■exe
(カスペ様でのウイルス名はTrojan-PSW.Win32.Maran.ei、他のソフトでも検出率良好)

136 ：(^ー^*)ノ〜さん sage ： 2007/05/02(水) 17:45 ID:xadkgGNm0

>98／Meは使うな、どうしても使うならネットワークにつなぐな
ttp://www.itmedia.co.jp/news/articles/0705/02/news039.html

サポート終了してるOSを使うのは辞めた方がいい、という話。
つい最近似たような話題をしたと思ったら>27からの話だった。

137 ：(^ー^*)ノ〜さん sage ： 2007/05/03(木) 09:11 ID:RSvFqes10

とあるRO系板の書き込み

www■soultakerbbs■net/897656/
と言う書き込みを見つけたのでソースチェックをしてみた。


exe
www■ahatena■com/897656/svch■exe

jpg
www■ahatena■com/897656\/muxiao1■jpg
www■ahatena■com/897656\/muxiao2■jpg

138 ：(^ー^*)ノ〜さん sage ： 2007/05/03(木) 09:44 ID:DWvwy2P60

料理の成功率
--------------------------------------------------------------------------------
１に関しては、Dex50程度の騎士とDex140程度のハンターで僅かながら差があったので正しいかと思われます。
２と３に関しては、「ソバ打ち1000本」とかが有名ですね。
成功数600を越えた辺りから成功率が上がったような気がすると聞きます。
どちらかと言うと、２で成功数を稼ぐが有力かと。

あと、調理器具によっても違いますね。
レア度の高い物ほど成功率寄与度が高くなります。
野外＜家庭＜高級＜宮廷＜幻
の順で高くなったと記憶しています。

JobLvも関係すると耳にしましたが真偽の程は確認できていません。
（料理をしたのがJob50キャラのみのため）

参考にどうぞ
www■jpxpie6-7net■com/web/read_cgi/

某価格調査隊BBSへの投稿。

139 ：(^ー^*)ノ〜さん sage ： 2007/05/03(木) 09:57 ID:i5t+JpkI0

>>137
自分のとこにも同じのあったから便乗。

wz.htm−何も無し？
wu.htm−iframeで↓の2つを開かせる。

1.htm
VBScriptでsvch.exeを拾わせようとする。
んで、変な暗号で次も実行させてる。
Microsoft.XMLHTTPで何かオブジェクトを生成してデータ抜こうとしてる？
ADODB.StreamでHDDアクセス命令？
2.htm
さらにiframeでwww■ahatena■com/897656/muxiao■jsを開き、
muxiao1.jpgとmuxiao2.jpgを表示。

こんな流れみたい。
ADODB.StreamとMicrosoft.XMLHTTPって勉強不足で
実のところよく分かってない；；

140 ：(^ー^*)ノ〜さん sage ： 2007/05/03(木) 10:16 ID:DWvwy2P60

>>138
www■jpxpie6-7net■com/web/read_cgi/
javaスクリプト

http://www■jpxpie6-7net■com/web/read_cgi/Ms06014■htm と
http://www■jpxpie6-7net■com/web/read_cgi/test■cur を読み込ませようとする。

Ms06014.htm は、タイトルが
<title>super IE 0Day</title>
というページ。

文字化けしていて内容不明だが、セキュリティの穴を攻撃するものと思われる。

curは、いつものように Win32/TrojanDownloader.Ani.Gen トロイ の亜種
新しい亜種らしく、NOD32が自動提出。

141 ：(^ー^*)ノ〜さん sage ： 2007/05/03(木) 10:25 ID:DWvwy2P60

140に追記
カスペオンラインスキャンでは、Exploit.Win32.IMG-ANI.ac として検知するので、カスペもブロック可能な筈。

142 ：(^ー^*)ノ〜さん sage ： 2007/05/03(木) 12:45 ID:yq4/SndV0

>>140
Exploits of MDAC(MS06-014)攻撃用スクリプトということか。
だが、今更0Dayを称しているのも少々間が抜けている。
ttp://www.microsoft.com/japan/technet/security/Bulletin/MS06-014.mspx

143 ：(^ー^*)ノ〜さん sage ： 2007/05/03(木) 12:47 ID:i5t+JpkI0

www■soultakerbbs■net/897656/

>>137,139だったが、仕込んであるものが>>140のものに変わってた。

144 ：(^ー^*)ノ〜さん sage ： 2007/05/03(木) 12:50 ID:TN+tK3uy0

>139
>87にあるようにMDACの脆弱性を突くトラップ。
簡単に言えばsvch.exeをレジストリに登録して起動するように仕込んでる。
その手法としてADODB.Streamが使われてる。

WindowsUpdateをしてたら防げるけど、当ててない人も意外と多いので
この手の手法が今でも通じる。


余談だが、FWのログ見てると未だにCordRedの攻撃が日に２桁ほど来てる。
WindowsUpdateとかのパッチ当たってないマシンが数多い事の証拠でもあるが
全世界に未パッチ状態のマシンが何台あるんだ、ホントに……

145 ：(^ー^*)ノ〜さん sage ： 2007/05/03(木) 12:51 ID:mAaYgELZ0

>>137
ソースチェッカーオンラインで調べたのかな？
さっき見たら4/8のキャッシュになってたから、削除して調べなおし。
(キャッシュが古い場合は削除お勧め。左下の方に削除と書かれたリンクがあります)
ファイルは差し替わってました。

�@ www■soultakerbbs■net/897656/

ドキュメントの一部はJavaScriptにより作成される。
不可視iframeおよびdivタグ内のスタイル設定により下記２つをダウンロード
�A www■soultakerbbs■net/897656/Ms06014■htm
�B www■soultakerbbs■net/897656/test■cur

上記�A�Bはいずれもダウンローダ。
�Aはcharset=US-ASCII。最上位ビットを取り除かないと読めない。
中身はいつものVBScript＆ActiveX（MS06-014脆弱性(MDAC)利用）
�Bはアニメーションカーソル（MS07-017脆弱性(ANI)利用）

ダウンロードするファイルはいずれも同じ
�C www■soultakerbbs■net/897656/svch■exe
(カスペルスキー検出名Trojan-PSW.Win32.Maran.ei)

中華は今のところ、馬鹿のひとつ覚えのように、MS06-014とMS07-017の脆弱性を突いてきてる。
犯人が実は一人しかいないのか・・・模倣犯が真似してるだけなのか・・・

146 ：(^ー^*)ノ〜さん sage ： 2007/05/03(木) 13:15 ID:TN+tK3uy0

MS06-014やMS07-017の脆弱性は基本的にWindowsUpdateをしてたら
防げるものではあるが、Win9x系に向けたパッチは提供されてない。
だから既知の脆弱性を突くタイプのが出回ってるんだと思う。

そういえば知り合いにこの手の脆弱性の話をしてたら
「パッチ対象はWin2k/XP/2003SVか。ならWin98使ってるうちは安全だな」
と、真顔で答えられたっけ……

サポート終了してるからパッチが提供されてないだけ、ってのを、パッチが
提供されない＝安全、と勘違いしてる人も多いようで……

147 ：(^ー^*)ノ〜さん sage ： 2007/05/04(金) 01:51 ID:ow2KP6cD0

パッチの配布がないからこそ危ないって考えはないんかね・・・。
俺の知り合いにもそんなことを言う奴がいた。

148 ：(^ー^*)ノ〜さん sage ： 2007/05/04(金) 02:09 ID:AbH3eyZC0

パッチが無い＝（とりあえず）安全というのは間違いではないだろ

前提条件の『サポート終了してるからパッチが提供されない』を知っていればだが

149 ：(^ー^*)ノ〜さん sage ： 2007/05/04(金) 04:16 ID:fh+thd8H0

それ以前に、ゲーム目的が少しでも絡むと、9x系でやってられない訳だが。
1GB以上のメモリを認識できない、64kBリソースの壁もある。
ファイルサイズ上限が4GB=DVDイメージすら扱う事が出来ない。
OSカーネルの根幹に16bitサンクレイヤが混在→システムが落ちやすい。
Unicodeにまともに対応してない→web文書の編集でも支障が出る。

セットトップボックスの延長線上くらいの使い方しかしていないから、9x系で不自由しない、と言うだけだろうな。

150 ：(^ー^*)ノ〜さん sage ： 2007/05/04(金) 10:51 ID:B8SUI/hs0

今朝「売り装備」って看板の典型的なアカハック露店を発見。
まだまだ引っかかる人はいますね。月に2,3回は見かけます。
皆様も注意されたし。

ってココ見てるような人はたいがい注意はしてるんでしょうけど。
問題はココ見ない関心薄い人ですね
とりあえずギルメンには注意しとくか・・・。

151 ：(^ー^*)ノ〜さん sage ： 2007/05/04(金) 10:51 ID:k3sBdZKX0

Posted by ダーツ五郎 2007年05月03日 21:06
神器材料買取してます、何かあればお声をおかけください。
白ポ?青ポ?白スリム?塩酸?火炎瓶は販売の他、材料との交換も行ってます。
販売価格及び交換比率は各自お問い合わせください。
その他応相談　※身内特典あり（詳しくは本人まで）
http://www■southbound-inc■com/index■asp
------------------------------------------------

相変わらずこの旅行代理店はなにもしてないのかなぁー・・・
貼られてたよ；；

152 ：151 sage ： 2007/05/04(金) 11:14 ID:k3sBdZKX0

ソースチェッカーのキャッシュクリアしてからソース調べてみたけど、
何も怪しい点はなかったんだ。
で、何もしてないのに貼っていくのは不思議なのでもう一度キャッシュクリアして検索したら
今まさに現行で改ざん中＾＾；

153 ：151 sage ： 2007/05/04(金) 13:08 ID:k3sBdZKX0

連投ごめん。
改ざん結果を見に行ったのですが、気が付いたらしく修正されてました。
さすがに過去にやられていたから何らかの処置をしていたようですね。
しかしハッカーに狙われて、またクラックされてましたから
この旅行代理店は危険IPのままで良いでしょうね。

154 ：(^ー^*)ノ〜さん sage ： 2007/05/04(金) 13:37 ID:euXhnIPE0

どっかの掲示板より

AAA級 ヴィトン、シャネル、グッチ、高級腕時計
--------------------------------------------------------------------------------
在庫処分価格なのでヴィトン、エルメス、グッチ、シャネルなどが激安です。当店の主要な経営のブランド：Louis Vuitton(ヴィトン ) C.Dior(ディオール)Chanel(シャネル) Gucci(グッチ) Coach(コーチ) Rolex(ロレックス)AAA級,,S級 ヴィトン、シャネル、グッチ、財布、バッグ。高級腕時計ROLEX 、OMEGA 、CARTIER 、 BVLGARI.興味あれば、是非ご覧下さい
www■jpxpie6-7net■com/web/read_cgi/ ご覧下さい
商品の数量は多い、品質はよい、価格は低い、現物写真！当店の商品は特恵を与える。等の新作から型落までが2000〜8000程度(>_<。)店舗運営責任者　中国問屋 (lvgood)
★☆★━━━━━━━━━━━━━━★☆★
■URL：www■jpxpie6-7net■com/web/read_cgi/
■店長：玲木辰美
■連絡先：lysh830525@yahoo.co.jp />
★☆★━━━━━━━━━━━━━━★☆★

155 ：(^ー^*)ノ〜さん sage ： 2007/05/04(金) 13:48 ID:euXhnIPE0

spamというか、垢ハックアドレス収集場所になってしまっているROSVのBBSより

↓垢ハックと思われるアドレス
http://bqdr■blog98■fc2■com
http://urpoka■blog75■fc2■com/
http://www■blog-livedoor■net/game/
http://www■cityblog-fc2web■com/boss/
http://www■d-jamesinfo■com/blog/
http://www■dtg-gamania■com/rormtga/
http://www■game62chjp■net/test/1087006635/
http://www■game-fc2blog■com/chaos
http://www■gameurdr■com/rormtga/
http://www■getamped-garm■com/chaos/
http://www■gsisdokf■net/online/
http://www■k5dionne■com/bbs
http://www■kotonohax■com/blog/nc■htm
http://www■livedoor-game■com/bbs
http://www■omakase-net■com/minamiblog/index■html
http://www■playsese■com/bbs/
http://www■ragnarokonline1■com/ro■htm
http://www■ro-bot■net/10657/
http://www■shoopivdoor■com/fczdun
http://www■southbound-inc■com/index■asp
http://www■ywdgigkb-jp■com/online/

↓RMTの宣伝か、垢ハックか、中を見てないので不明のもの
http://www■rmt-trade■com

↓18禁サイトのspamぽいもの↓
http://www■18girl-av■com/bbs/

156 ：(^ー^*)ノ〜さん sage ： 2007/05/04(金) 14:02 ID:euXhnIPE0

既に閉鎖しているイベントのＢＢＳも垢ハックアドレスほいほいになってました。
笑った書込みだけ１つ引用し、あとはアドレスだけ。
垢ハック業者が文面では警戒を呼び掛けてるｗ

↓投稿されていた内容
−−−−−
それ、中国人組織のトロイの木馬トラップ！
内容 リネージュのアカウントを狙ってキー炉がーなどのハッキングツールを仕込もうと
投稿規制されていない国内掲示板を無差別攻撃中。
海外からの投稿拒否しても問題ないならさっさと対策しないと何度でも
鼠のように来ちゃいますよ。
鼠は餌場を覚えると何度でも来るようになってしまいます。

手口はこちらで、ページ全体にも目を通しましょう。

対策方法
http://www■ragnarokonline1■com/ro■htm

↓その他の垢ハックと思われるアドレス
http://www■rokonline-jp■com/blog
http://www■southbound-inc■com/images/pricejtopro■gif
http://www■conecojp■net/online/
http://www■yahoo-gamebbs■com/8784541/
http://www■k5dionne■com/sanbbs
http://www■fcty-net■com
http://www■good1688■com/info/ro■htm
http://www■netgamelivedoor■com/online/
http://www■lingamesjp■com/bbs/index■htm

157 ：(^ー^*)ノ〜さん sage ： 2007/05/04(金) 14:51 ID:wiHdnmHp0

southbound-incはおそらく個人経営に近いような物なんだろうな。
んで、サイトは「株式会社てくのろ」とやらに丸投げしてるんじゃないかな。

脱力したのがこのページ（Last-Modifiedが2002年だけど）
www■tekunoro■co■jp/works.html
セキュリティ雑誌に連載してたらしい。

158 ：(^ー^*)ノ〜さん sage ： 2007/05/04(金) 15:05 ID:fh+thd8H0

余計なサービスもセットで付いてくる、win2k上のIIS5で運用しているくらいだからな……
まともなセキュリティメンテナンスが行われないまま、連中のターゲットにされているのだろう。

この手のタケノコIT屋なんて、人員の定着性が悪いから、構築した人間が残っていなければ、まともな
ドキュメントも用意してないことなんて珍しくないのがまたなんとも。

159 ：(^ー^*)ノ〜さん sage ： 2007/05/04(金) 15:16 ID:hJ+whqYS0

>>156
それしってる、リンクだけウィルスに書き換えたパクリね。
連中の攻撃文書のテンプレになってるみたいだね。
それの原文のリンクはリネージュ資料室だったり。

長文＋リンクは悪用されやすいと言う典型的なものだね。

160 ：(^ー^*)ノ〜さん sage ： 2007/05/05(土) 04:19 ID:UUFz724k0

>>151-153
zhangweijpは未だ健在に見えます。
前に書きましたように、/ と /index.asp は別物です。
アカハックが埋め込まれているのは /index.aspの方。

>>155
18girl-avは既知のアカハックドメインです。

>>156
lingamesjp が ここでは未出ドメインかな。
-> jprmthome

>>157
サウスバウンドの会社 (株式会社アティックツアーズ) あてにメール入れても
無反応だったので、今度は てくのろのほうに対応依頼かけてみました。
# 無駄だと思いますが。


----
PukiWikiのcvsにあるブロック定義ファイルの spam.ini.phpは
随時更新されており、ここで出てきたアカハックドメインも
それなりに間は空きますが取り込まれています。

161 ：(^ー^*)ノ〜さん sage ： 2007/05/05(土) 06:57 ID:MnCVoQD90

FKCfb-05p1-157.ppp11.odn.ad.jp
からのアカハックアドレス書込を捕捉したので報告。
書き込まれたアドレスは既出の危険なドメイン名を含む
http://www■fcty-net■com

上記アドレスにアクセスすると
http://www■good1688■com/info/cezhi
を呼び出す。そこでVBScriptが実行され
　http://www■good1688■com/info/cezhi/ro■exe
　http://www■good1688■com/info/cezhi/t1■exe
　http://www■good1688■com/info/cezhi/msn■exe
が呼び出される。VBScriptは定番の奴。

投稿者のブラウザは
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
と代わり映えしないが、言語が中国語になっていた。

ODNには通報済。
Hostの前の文字列(地域毎に違う筈)が以前と違うから別のUserか？

でもって。書き込みされそうになった投稿内容を見て一寸失笑してしまった。

ＲＯアカウントハック報告スレまとめ？サイトhttp://www■fcty-net■com

有名税？w

162 ：(^ー^*)ノ〜さん sage ： 2007/05/05(土) 07:10 ID:FwNviEn20

でも日本語わかる奴（もしくは日本人がつるんでる）が、そこら辺もチェックしてるって事だな。
対策のサイトと言われれば知らない人は踏んでしまうかも知れない。結構騙されやすいきつい手。

163 ：(^ー^*)ノ〜さん sage ： 2007/05/05(土) 08:49 ID:nh2+0jmp0

>>162

日本語わかる奴　＞　まず間違いなく国内滞在者か留学生と言う名の協力者、と。
日本人のつるみは薄いとおもう。
中華なら危険を察したらとっとと本国に戻ればよいのだから。
留学生が突然いなくなる、実は帰国してたなんて事例もよく聞くしね。
華僑ネットワークかなんかで協力者要員をかき集めたんだろうかねぇ。

164 ：151 sage ： 2007/05/05(土) 09:15 ID:9we1Z3pT0

>>160
お疲れさま。
わたしがソースチェッカーオンラインで調べたときは、
氏が言われる「/index.asp」も「/」もなんら変わりなく同じだった。
で、キャッシュクリアして再検索したら表示が変わり、
あれ？っておもったから念のためまたキャッシュクリアして再検索したら
iframeが増えていったりアラートやらが再検査ごとに増えていって
仕込んでる最中らしかったから2時間後にどうなったか見に行ったのさ。
そしたら改ざん前に戻ってたので気が付いたんだと思ったのですよ。
んで、今見に行ったらまた・・・
完璧に標的にされてるね。てか、この鯖管理者ダメダメだ。

165 ：にゅぼーん にゅぼーん ： にゅぼーん

にゅぼーん

166 ：165 sage ： 2007/05/05(土) 16:21 ID:QdbyhpF/0

画像に関しては、拡張子がjpgかgifのサーバー上に無いファイルを指定した場合、
常に同じ画像を返すよう設定されてるみたいです。
sutete■net/(出鱈目なファイル名).gif で常に同じ画像が返ってきます。
（というわけで拡張子違いだから、怪しいということなさそうです）

とは言っても、高速道路？の画像を返す意図が良く分かりませんが・・・

167 ：(^ー^*)ノ〜さん sage ： 2007/05/05(土) 18:11 ID:yuJmgpX10

sutete■net と zn360■com、前者は日本で、
後者はアメリカで取得したドメインだけど
IP同じだし、表示されるコンテンツも同じ。
同じレンサバ業者のデフォルトページなんじゃねーの?
(nuseek■comでの広告クリックによる小遣い稼ぎ?)
借りた奴がまだコンテンツ置いてないのか撤退したのか
下のディレクトリに罠仕込んであるのかは知らんけど、
調べようがないからドメインだけじゃなくフルパスで書いてくれ。

168 ：(^ー^*)ノ〜さん sage ： 2007/05/05(土) 18:11 ID:9we1Z3pT0

>>165
サイドメニューがすべてトロイURLへのリンクになってるじゃねーか＾＾；
TOPに戻ろうとしてうっかり間違って踏んじゃったよorz
おまえは垢ハクIPを知らせたいのか、被害者増やしたいのかどっちだよ。
てか、新手の垢ハク誘導かよ！
バックアップから直しておいたが、
そういったIP知らせにくるんだったらついでに直しておけアホタレ！
まぁ、俺も間抜けだったが。

sutete■netのことだが、絵師サイトがツインテールリングなるものに登録していて
リンクをそこに貼っていたんだろうな。
で、そのドメインつかってツインテールリングなるものを作ってた人がサイト閉鎖して
その後誰かがまったく同じアドレスでサイト開いちゃっただけだろ。よくあることだ。
よく理解せずに安全対策だといってPG2導入してまとめてIP弾くからそういうことになる。
もうちょっと勉強しとき。

169 ：165 sage ： 2007/05/05(土) 19:21 ID:QdbyhpF/0

>>168
ぐは、まじですか・・・・私が調べたときは、サイドメニューは確かに正常だったので、
今日、私がカキコしたのを見て、誰かが編集したということか・・・
なんにしても、すみませんでした。165は削除依頼を出しておきます。

165の１行目のサイトは今現在は危険URLは貼られてないと思いますが、
念のため、これから見に行く人は注意を・・・いや、見に行かないでください。
（自分で貼っといてなんですが・・・・）

それとWikiのアドレスはここには貼らない方が良いということになりそうです。
どうしてもな場合は.を■にした上、「Wikiなので危険です。閲覧は十分注意して！！」
などのように、危険であることをアピールした方が良いかな。

>>167
まず画像の方が sutete■net/twintail/ban_twintail■gif
そして、その画像に張られているリンクが sutete■net/twintail/twintail■html
出鱈目なファイル名を打ち込んでも、同じ内容が表示されることから、
どちらもサーバー上にはすでに無いファイルだと思います。

これは私の予想ですが、リネージュ資料室の管理人さんが、
そのIPを危険リストに登録した段階では、なんらかの危険なコンテンツが、
そのサーバー上のどこかに存在していたんだと思います。
そして、それは現在も存在するのかもしれないけど、
パスが分からないから、確認しようがないです。

IP単位でブロックするから、関係ない他のコンテンツ（今回が多分それ）も
ブロックされてしまったということなのでしょう。

ということを165を書いた時点では、頭が回ってなかったので申し訳ない。
なんにしても削除依頼を出しておきます。ご迷惑をおかけしました。

170 ：(^ー^*)ノ〜さん sage ： 2007/05/05(土) 19:43 ID:9we1Z3pT0

こちらこそ自分の間抜けを棚に上げて当たってしまいスマン(汗
で、「サーバー上にはすでに無いファイル」というのは正解でしょう。
試しにそのフルパスや、ドメイン/適当なアドレス/と打っても、
どれも同じ物が返ってきた。
>167氏がいってるように業者のデフォルトページでFA

171 ：(^ー^*)ノ〜さん sage ： 2007/05/05(土) 19:50 ID:9we1Z3pT0

southbound-inc■comのようにまたウィルス置かれるかもしれないから
PG2の設定そのままにしておいて弾いていて良いかと。

172 ：にゅぼーん にゅぼーん ： にゅぼーん

にゅぼーん

173 ：(^ー^*)ノ〜さん sage ： 2007/05/05(土) 20:45 ID:9we1Z3pT0

自前で(無料)BBS用意してきましたよｗ
----------------------------------------
1. Posted by ダーツ五郎 2007年05月05日 15:16

底部獲得経験値倍率 50倍
工作獲得経験値倍率 50倍
ア本家ＲＯと比較すると
イテムドロップ率 8倍
装備ドロップ率 8倍
カードドロップ率 40倍
最新マップとオリジナルモンスター実装。
オリジナルＮＰＣ有り。
ペットボーナス付加有り
タナトス、テコン、忍者、ガンスリンガー実装
生体実験所、氷の洞窟、フレア神殿、
アルナペルツ教国、オーディン神殿、キルハイル等実装
関連サイトを参照して下さい
BBS: http://jbbs■livedoor■jp/game/37818/
http://www■aehatena-jp■com/games
---------------------------------------

下のURLはすでに既出だけど、
ライブドアの無料BBS借りてまで騙そうとしてきてます。
書き込みがコピペであったり、翻訳つかって貼り付けとか
違和感ありすぎｗｗ　てか色使いがキモすぎです。

ライブドアに削除依頼だしてくる。

174 ：(^ー^*)ノ〜さん sage ： 2007/05/05(土) 21:09 ID:avStpz850

昨日の事だけども良いかな
ROと全く関係ない物(地名)をgoogleで検索したら、検索で出た1件目に
「このサイトはコンピュータに損害を与える可能性があります」と付いてたのよ
ソースチェッカーで検索したら
1×1のインラインフレームでttp://quickcnt■com/ld/axhst/に接続、
そこからttp://quickcnt■com/ld/axhst/ani■htmlへの転送があったんだ

検索元のキャッシュを消したらインラインフレームは消えてた上、普通のサイトっぽい
これは中華か何処かにクラッキングされたと考えても良いのかな？
後quickcntは垢ハク(というよりウィルス)のアドレスであってるだろうか

ちなみにその後ani■htmlをチェックしていたら、
ani■html→ani■htmlに飛ばすだけになってから404になった

175 ：(^ー^*)ノ〜さん sage ： 2007/05/05(土) 22:00 ID:dhckDsc70

>>172
有名なBOT配布サイトじゃん。
iframeはYahoo!がGeoCitiesに強制で仕込むアクセス解析か何かだろ。
LiveROでやってくれ。

>>174
ググると欧米あたりで「踏んじまった」って書き込みが多いから
日韓のネトゲや中華ハッカーとは関係無いと思われ。
使う脆弱性はやや見飽きたいつものアレだけど
スクリプトは中華に比べてややこしい上に変数にピンインも無い。
銀行系を狙ったロシア製キーロガーかと。
ttp://www.mmobbs.com/uploader/files/2550.png
まーこれもスレ違いだな。

176 ：(^ー^*)ノ〜さん sage ： 2007/05/06(日) 01:13 ID:QINfxQwm0

>>175
成る程、すっきりした。Thx

177 ：(^ー^*)ノ〜さん sage ： 2007/05/06(日) 12:14 ID:RGLYKS/O0

数ヶ月ぶりにＲＯでもやろうかと思ったが、ここ見てると不安になるな。
何かやばいもの踏んでるかと思うと心配で…
WindowsのUpdateはほぼ欠かさずやってるし、マカフィーやカスペでスキャンしても
怪しいのは見つからなかったが、これって一応は安心と思っていいのかな？
本当なら再インストールが一番なんだろうが、あまりそっち方面の知識がなくてorz

178 ：(^ー^*)ノ〜さん sage ： 2007/05/06(日) 12:59 ID:l6kEfcCd0

質問者のPCを直接チェックできないここでは
再インストール以外では安心とは言いきることができない。
それが日々進化している垢ハックの対策のもどかしいところ。

チラシの裏
そのうち再インストールしても生き残るウイルスとか出てきたりして
と、これは妄想

179 ：(^ー^*)ノ〜さん sage ： 2007/05/06(日) 13:08 ID:7aDjpiNe0

だいたいフォーマットするのはCだけだし、
ウィルスがそれ以外のドライブに入っていたらｗｋｔｋ

180 ：(^ー^*)ノ〜さん sage ： 2007/05/06(日) 13:34 ID:ze5dfF5z0

どんなにウィルスやトロイが進歩したとしても、ロードされなければ一切の活動は不可能。
OS再インストールは、そのロードを断ち切る確実な手段。
問題は、ウィルスがシステム以外の領域に入っていて再度実行してしまった時。
あからさまな物ならアンチウィルスソフトが反応するとは思うが、抜けてしまったらアウト。
ここで語られているようなスクリプトで罠を仕込むタイプならその心配はないが。

181 ：(^ー^*)ノ〜さん sage ： 2007/05/06(日) 14:48 ID:Z8b4JEsv0

ただROやリネをやめた所で、この手のトロイを踏まなくなるわけじゃない。
サイトハックさえやる連中で、どこに行っても危険は付きまとう。

そして感染した所でROやリネやってないから、なんて発言は免罪符にならない。
踏んでしまった場合、ハク犯が別種の情報を抜こうとして別のタイプのトロイを
仕掛けてたら踏んでるという事だし。
インターネットを利用してる以上、危険性はどれも同じで危機意識はROやリネとは
関係なく、同じように持つ必要がある。

>178
仮に質問者のPCを直接チェック出来たとしても、同じ事だけどね。
ウィルスが発見されないというのは見付ける事が出来なかっただけ。
検出漏れが絶対にないとは言い切れないし、結局「多分安全」としか言えない。

182 ：(^ー^*)ノ〜さん sage ： 2007/05/06(日) 15:20 ID:z9l6pQSN0

パスワードを抜き取るタイプのウイルスに限定した話になるけど、
ウイルスの進入を確実に防ぐ方法がない以上、
最初から抜かれても大丈夫なシステムにすることが重要だと思う。

一部の銀行で使われてるトークンを使ったワンタイムパスワードなんかは
一つの答えではないかと思ってる。

盗んだパスワードが、再利用不可能なものであれば、盗む意味がなくなる。
パスワードを１分以内に利用されたり、セッションハイジャックされたら
終わりだから、完全ではないと言われているけど、例えば土日や時間外に
振り込み予約をすれば、パスを奪われても即振込みなどできないので、
事実上の完全防御ができる。（トークンを物理的に盗まれない限り）

オンラインゲームで言えば、ログイン後１分以内にログインされるということは
正規ユーザーのログイン中にログインすることになり、ハックの事実が一発で発覚する。
あとはいわゆるログイン合戦にならぬよう、アカウントロック用のパスワードを別途容易すればＯＫ。

このようなシステムを今現在組めと言われても無理かもしれないが、
将来的には、お手軽に組める時代が来るかもしれない。
いや、そういう風になっていかないとダメだろう。

183 ：(^ー^*)ノ〜さん sage ： 2007/05/06(日) 15:47 ID:KPTtIDk/0

ttp://www■din-or■com/bbs
ここはアカウントハックサイトなんでしょうか？生体萌えスレwikiにあったのですが・・・

184 ：(^ー^*)ノ〜さん sage ： 2007/05/06(日) 15:48 ID:bU+JZZBn0

ttp://www8.atwiki.jp/rmt_sagi_wiki/pages/110.html
だれかチェックおねがい。

185 ：(^ー^*)ノ〜さん sage ： 2007/05/06(日) 15:50 ID:lXiyJ4YG0

>>1
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

186 ：(^ー^*)ノ〜さん sage ： 2007/05/06(日) 15:54 ID:JJz3pb7x0

あと>>3も
(垢ハックもしくはその疑いのあるURLは)
　.(ドット)を別の文字に置き換えて報告して下さい (■がよく使われています)

187 ：(^ー^*)ノ〜さん sage ： 2007/05/06(日) 16:07 ID:OWgY0C2t0

>>183
危険なのでとりあえず答えだけ書いておけば紛れも無くアカハック。既に誰か治してくれたようだが。

>>184
URLからして踏む気もおきない。そういうスレではないのでチェックする気もない。

188 ：(^ー^*)ノ〜さん sage ： 2007/05/06(日) 16:12 ID:Z8b4JEsv0

>183
YES
既知の罠サイトです。

>184
URLの通りRMTで詐欺やってる集団の晒しWikiらしいが
そんなURLに縁がある時点で、どうかと思うがね……

振込先の銀行口座やら載ってるので、いろんな意味で削除依頼してら。

189 ：(^ー^*)ノ〜さん sage ： 2007/05/06(日) 16:41 ID:Z8b4JEsv0

ちょっと早いが、次スレのテンプレ追加案

-------------------------------------------------
【怪しいアドレスを見付けた時には】
既知の危険アドレスかどうかは次の方法で確認が出来ます。

・ソースチェッカーオンラインで調べる
　ttp://so.7walker.net/guide.php
　　　<URL:>欄にアドレスを入力してCheckをクリック
　　　「※このアドレスは危険URLのひとつです。」と赤字で表示された場合
　　　既知の危険アドレスです。

・まとめサイト・リネージュ資料室の危険ホスト名一覧で調べる
　まとめサイト：ttp://sky.geocities.jp/vs_ro_hack/hosts.htm
　リネージュ資料室：ttp://lineage.nyx.bne.jp/misc/security/?id=url-site
　　　Ctrl+Fでドメイン名を検索して見つかった場合、危険アドレスです。
　　　(検索する場合はドメイン名(○○.com等)で検索)

※これらで見つからなかった場合でも、新しい罠アドレスの可能性もあります。
　　完全に無害とは限らないので注意してください。
※もし危険アドレスを踏んだ場合は>5を読んでウィルスの駆除及びパスワードの
　　変更を行ってください。
-------------------------------------------------

自分はhosts更新スクリプトから危険ホスト名一覧をファイルに落として、それで
検索するようにしてる。
まとめサイトとリネ資料室の内容を合わせた状態でファイル化してくれてるので
簡易DBとして使えて便利。

190 ：(^ー^*)ノ〜さん sage ： 2007/05/06(日) 17:06 ID:Ve0nXWSX0

(生体萌えスレWiki関連)

>>187
16時50分頃に私が確認したときは MenuBarとトップページが汚染状態。
気づいた時点でバックアップで巻き戻しちゃったので、
再改変か修正漏れかは不明。

最新のn件が 改変検出のあてにならない設定なので要注意。

191 ：(^ー^*)ノ〜さん sage ： 2007/05/06(日) 19:26 ID:OWgY0C2t0

>>190
先ほど、タイムスタンプは管理人専用に変更なさってくれたようです。
ありがたい事です。

192 ：(^ー^*)ノ〜さん ： 2007/05/06(日) 22:27 ID:0Uc+z0Ln0

http://www■ragcans■com/kako2/1108350472■html

ここ大丈夫か教えていただけるとありがたいすorz

193 ：(^ー^*)ノ〜さん sage ： 2007/05/06(日) 22:28 ID:mIpnHg2J0

このスレは『勇気が無くて見れないサイト解説スレ』ではありません

何度言えば…

194 ：(^ー^*)ノ〜さん sage ： 2007/05/06(日) 22:29 ID:0mwvKfSM0

サクッとIDあぼーん

195 ：(^ー^*)ノ〜さん sage ： 2007/05/06(日) 22:33 ID:8svRuAMj0

毎度おなじみ福建人組織の新ドメイン、今度の登録地は福建省アモイだ。
www■twurbbs■com/

IFRAME
www■gamanir■com/exe/wm■htm

これが呼び出される。
6日22時20分時点のVIRUSTOTALではカスペ系、シマンテックを回避している。
NOD32、マカフィーは検知。
www■gamanir■com/exe/lineage■exe


登録情報、後者のなんちゃってガマニアことガマニルは相当に寝かせてたものだね。
今だ気づかれていない寝かせドメインがまだ相当数あると思われる。
Domain Name ..................... twurbbs■com
Registrant ID ................... hc826666280-cn
Registrant Name ................. mingzhong ni
Registrant Organization ......... mingzhong ni
Registrant Address .............. haichangchanglinload no67
Registrant City ................. xiamen (アモイ市）
Registrant Province/State ....... fujian
Registrant Postal Code .......... 610000 　(郵便番号だけ四川省成都市)
Registrant Country Code ......... CN
Expiration Date ................. 2008-05-04 13:53:28


Domain Name:gamanir■com
Registrant:
yangjianhe
longyan
361000

Administrative Contact:
yangjianhe
yangjianhe
longyan
fujian Fujian
CN
Registration Date: 2006-01-03
Expiration Date: 2008-01-03

196 ：(^ー^*)ノ〜さん sage ： 2007/05/07(月) 01:50 ID:9tJJDyrB0

【　　アドレス 　 】 http://www6■atwiki■jp/battleroyale/pages/568■html
【気付いた日時】 ５／７　00:10
【　 　　 OS　 　 】 xp sp2
【使用ブラウザ 】 Firefox 2.0.0.3
【WindowsUpdateの有無】 ４月中旬
【　アンチウイルスソフト 】 カスペルスキー
【その他のSecurty対策 】 無し
【 ウイルススキャン結果】 カスペルで主管したが、とりあえず、感染なし
【スレログやテンプレを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
バトルROワギャラリーからの各リンクが全て、
http://www■aaa-livedoor■net/ro-navi/　になっていた。

ネットラジオでバトルROワの事で盛り上がっていて、
その関連で、画像を検索していたら、
踏んでしまった。

ネットラジオ関係者も踏んでしまってる模様。
とりあえず、向こうにも報告はしてます。

wikiの方は、修正済み。

197 ：(^ー^*)ノ〜さん sage ： 2007/05/07(月) 01:58 ID:zzPGfmgp0

>>195
台湾Gamaniaのパス抜きの模様。
>>45 の後半のlovejpjpと同一犯(IPも2つ違い)。
yzlove■comという台湾の出会い系(?)サイトを丁寧に丸パクリしたり
PackerがPEC2だったりと、いつもの日本向けMaran爆撃部隊とは
微妙に芸風が異なる。台湾ってことでトレンドマイクロには発射しました。

198 ：(^ー^*)ノ〜さん sage ： 2007/05/07(月) 03:24 ID:g61EFIrZ0

http://www■mbspro6uic■com/mbsplink
当方のブログに中国のIPからのコメントに付いてたURLで、
内容は確認してませんがコメントの投稿者名、投稿内容は
ある掲示板からのコピペでしたのでアカハックと思われます。

既出かもしれないけど気にせず投稿

199 ：(^ー^*)ノ〜さん sage ： 2007/05/07(月) 03:29 ID:puat0h9C0

あこすれてんぷら(本家)で5/1あたりにアカハックアドレスへ誘導する
改竄がされてたので報告。

リンク先は www■biglobe-ne■com/bbs 。
ただ書式を間違ってて、変な状態だったけど。

さらにリンクは無かったけど「転生オーラ名簿」なるページも出来てました。
-------------------------------
[[LordKnight (21)>http://www■biglobe-ne■com/bbs]]
[[Sniper (4)>http://www■biglobe-ne■com/bbs]]

以下転生職がずらり。

わざわざ手打ちで書いたんだろうか？
その割にはページに対するリンクが無いし、良く分からん……

一週間近く報告が無かったので、誰も見なかった(踏まなかった)と思いたい所。

200 ：(^ー^*)ノ〜さん sage ： 2007/05/07(月) 03:35 ID:eQiLtPl80

旧アコプリテンプレのURLもう消しちゃったので見れないのだが、TOPにデッカデカと
現在、こちらのwikiはアカハック改竄が多発している為、アコプリテンプレは避難所に移動しています。
アカハックURL対策の為に、新URLはにゅ缶のアコプリスレのテンプレートから飛ばれると安全です。
てな感じの事を書いておけばそうそう踏まないんじゃなかろうか。

内容はたぶんテンプレ的なものが用意してあってそこからコピペしているか、
スクリプト的なもので自動に巡回してかましているんじゃないかね。

201 ：(^ー^*)ノ〜さん sage ： 2007/05/07(月) 03:41 ID:puat0h9C0

>198
リネージュ資料室に載ってる危険URLの１つ。
ソースチェッカーで見ると、MDACの脆弱性(xiaogui.exe)と
aniカーソルの脆弱性(mbsp.cur)を使った罠に見えた。

ROに関係するかどうかは不明だけど、そのアドレスはこのスレでは
初出じゃないかな。
そのため、まとめサイトさんの所には載ってないので要注意。

>200
避難所が出来た時点で、本家テンプレのTOPには誘導が書かれてて
今はWikiの内容はほぼ全て削除されてるから、まず平気と思われ。

ただクリック一発で飛んでしまうため、間違えて見に行った人が
被害に遭う可能性は否定できない。
管理人が多忙でページの凍結も出来ないようだし、避難所がある
今でも結構怖い状態ではある。

202 ：198 sage ： 2007/05/07(月) 03:53 ID:g61EFIrZ0

>>201
ご丁寧な解説ｔｈｘ。すごいスッキリした

203 ：(^ー^*)ノ〜さん sage ： 2007/05/07(月) 07:05 ID:qYjpc2WF0

>>198,201
もちっと詳しく調べてみた。

www■mbspro6uic■com/mbsplink/
MS06-014脆弱性があるかどうかを調べ、ある場合はmbsp■htmを、ない場合はmbsp■curを使う。
最近このチェックが入ってるパターンを良く見かける。

www■mbspro6uic■com/mbsplink/mbsp■htm
いつものパターンのVBScript。MS06-014脆弱性利用。xiaogui■exeをダウンロード。

www■mbspro6uic■com/mbsplink/mbsp■cur
アニメーションカーソル。MS07-017脆弱性利用。xiaogui■exeをダウンロード。
カスペでのウイルス名Exploit.Win32.IMG-ANI.ac
他のアンチウイルスソフトでも検出率は良好。

www■mbspro6uic■com/mbsplink/xiaogui■exe
UPack maran。カスペでのウイルス名Trojan-PSW.Win32.Maran.ei
他のアンチウイルスソフトでも検出率は良好。

204 ：(^ー^*)ノ〜さん sage ： 2007/05/07(月) 09:50 ID:jZWC5kVN0

旧アコプリWikiの件は、避難所への移行がほぼ完了してる証でもあるだろうね。
でなければ1週間近くも放置されてないだろうし。

ただ逆に言えば、目が行き届かなくなって危険度が増す恐れもあるんだよな。
ググったらさらに前身と思われるWikiも引っかかるし、ちょっと危険。

旧アコプリWikiに限らないが、元々閲覧者が多く現在放置状態のサイトがあるなら
それらは一括して危険ホスト扱いにした方が安全かも。
職Wikiなんかだと何度か移転してる事もあるし、紛らわしさと潜在的な危険を防ぐ
目的で、hostsに登録した方がいいような気がする。

205 ：(^ー^*)ノ〜さん sage ： 2007/05/07(月) 09:57 ID:xkKA/A+Z0

移転とかするなら移転先URL表示にだけして凍結しておけよと。
垢ハック仕込まれて感染者が出たら
それはそのサイトの管理者の責任になるからな。

管理人がアホだとパスなくしたりそのまま放置したりで
周りの人間に迷惑がかかる。

206 ：(^ー^*)ノ〜さん sage ： 2007/05/07(月) 10:08 ID:ToDhrV090

放置されてるからこそ避難というか移転したところも多いんだろう

207 ：(^ー^*)ノ〜さん sage ： 2007/05/07(月) 10:13 ID:0f+aBfY60

Google　から消すには
ttp://www.google.co.jp/intl/ja/remove.html
を見れば判るけど管理人しかできないんだな

閉鎖するにも放置ではなく安全にしていく必要が出てきたみたいだな。

208 ：(^ー^*)ノ〜さん sage ： 2007/05/07(月) 14:26 ID:DHREqoVF0

管理人も長いこと着手していない事が判明した場合、wiki spam的手法では済まなくなる恐れがある。
PHPの脆弱性を攻撃されたり、管理者アカウントそのものがブルートフォースの対象になったり。
そして、サイトそのものが制御を奪われ、垢ハックどころか、サイバー攻撃の道具として転用されるかも知れない。

必要の無いサービスは立ち上げない、使われていないwebサービスをいつまでも放置しておかない。
レンタルサービスの場合も、したらばBBSのような生存確認が今後必須になってくるかも。

209 ：(^ー^*)ノ〜さん sage ： 2007/05/07(月) 18:02 ID:qYjpc2WF0

閲覧者側で防御しようと思ったら、やはりhostsとPG2に登録するのが一番だろうね。
可能であれば、まとめサイトの管理人さんに協力してもらって、
従来の危険リストとは別に、準危険リストみたいな感じで
罠そのものが置かれてるサイトではなく、踏み台にされているサイト集みたいな
リストを別途作ってもらって、それをhostsとPG2に登録するみたいな。
例の旅行会社なんかも、どちらかというと準危険リストに分類されると思う。

210 ：209 sage ： 2007/05/07(月) 18:07 ID:qYjpc2WF0

良く考えたら、踏み台にされてるサイトに、直接罠が置かれる可能性もあるから、定義変更。

危険リスト＝アカウントハッカーが直接所持してると思われるサイト
準危険リスト＝踏み台にされているサイト

211 ：(^ー^*)ノ〜さん sage ： 2007/05/07(月) 20:48 ID:puat0h9C0

踏み台にされてたら、それは危険リスト入りだと思うが。
放置・廃棄されてそのままのWikiやらBBSやら、悪用されやすい
サイトをまとめたものを準危険リストと呼ぶなら、まだ判るけど。

一覧化するのは悪用される恐れもあるが、そもそもどれだけの数が
あるのか判らない。
移転した職Wikiにしても、元サイトが今どうなってるかを把握してる人は
居ないだろうし。

取りあえずセキュスレの方で思いつくサイトを列記していけば
一覧化が必要かどうか判るんじゃない？

212 ：(^ー^*)ノ〜さん sage ： 2007/05/07(月) 21:22 ID:j9rzjnUD0

黒と灰色の線引きは自分でやれ、と言うしか。
価格comやVectorやITMediaやASUSやZalmanにトロイが仕掛けられたからといって
こいつら全部危険リスト入りにするといろいろ支障をきたす人もいるだろうし
んじゃ誰が危険じゃなくなったことを確認すんの? てことにもなるし。

213 ：(^ー^*)ノ〜さん sage ： 2007/05/07(月) 21:43 ID:puat0h9C0

>212
それもそうだねぇ。
必要分だけ個別にとなると、結局各自が処理するしかないし。

ところで>195のは、カスペで Trojan-PSW.Win32.Magania.py として検出された。
朝には対応してた模様。
てか、仕事が早い……

214 ：(^ー^*)ノ〜さん sage ： 2007/05/07(月) 22:14 ID:DHREqoVF0

今のInternetは、WhiteList以外は全てグレーと考えるべき、な状態。
FirefoxアドインのNoScriptも、そういった発想の元に設計されている。
IE5.5の頃までは、net性善説に基づいたデフォルト設定がなされていたが、そういう時代では無くなったという事。

mail spam対策を目的としたGreyListingは存在するが、これをそのままwebに応用するのは難しそう。
最終的に、攻撃を回避できる、すり抜けてきた攻撃を受けても迅速に復旧できる環境を構築するのが、現段階での上策。

215 ：(^ー^*)ノ〜さん sage ： 2007/05/08(火) 00:30 ID:HYrx0IVe0

知り合いの所に張られてた書き込み。
成りすましは相変わらずですね…。
-----以下書き込み

タイトル通りギルドブレイクをしようと思っています。
理由はキャラの作り直しのためです。
アルケミもレベル77になりましたがまた１から、ノビからやり直したいと思っています。それに伴
いギルドも一度壊さないといけません。またすぐ作り直す予定ではありますが、ギルドブレイク
についてみんなと相談したいなと思ってスレ立ててみました。反対意見がなければブレイクし
ます。突然ですいませんがよろしくおねがいします〜＞＜

Posted by レティシア at May 05, 2007 00:32
--------ここまで
で、名前のところにURLで
www■mbspro6uic■com/mbsplink

ソースチェッカー
IP:125.65.112.91(Chinanet Sichuan Province Network)
手繰っていくと
インラインフレームで　mbsp.cur　と仕込まれています。

先ほどのhostsリスト更新分に含まれていたので更新してからスキャンしに行ってきます。

216 ：(^ー^*)ノ〜さん sage ： 2007/05/08(火) 02:02 ID:4uSAocLq0

垢ハックじゃないけど
先週からWindows2000＋カスペルスキーで
nProがカスペに反応してROを落すようになったMyPC　orz

217 ：(^ー^*)ノ〜さん sage ： 2007/05/08(火) 02:22 ID:aN5k4URY0

カスペがnProを挙動の怪しいプログラムとして検出するという話は聞いたことがあるけど、
逆のパターンもあるのか・・・よっぽど相性が悪いんやね。その２人は

218 ：(^ー^*)ノ〜さん sage ： 2007/05/08(火) 02:25 ID:52ec3/q70

むしろnProがどうも・・・
現状全くBOTを止められないくせに重いは挙動おかしいわもうね

219 ：(^ー^*)ノ〜さん sage ： 2007/05/08(火) 03:42 ID:DMhvCIa30

中華のアカハックを止めてくれるカスペ！
そのカスペの邪魔をする癌胞のnPro！つまり癌胞は・・・
冗談はさておき、ちょっとその辺癌胞に送ってカスペに反応しないようにしてもらうしかないんじゃないか。

220 ：(^ー^*)ノ〜さん sage ： 2007/05/08(火) 08:58 ID:nCCzaunC0

ここ暫くnProって更新されてないような。
それにWin2k＋カスペの組み合わせってそんなにレアな構成でもないだろうし
常にその構成でプレイ出来ないなら、もう少し騒ぎになってる気がする。

取りあえずこちらで聞いてきてはどうだろうか？
>いろんなエラーに悩まされている人の相談室 その21
>ttp://gemma.mmobbs.com/test/read.cgi/ragnarok/1178541870/

221 ：(^ー^*)ノ〜さん sage ： 2007/05/08(火) 09:06 ID:sTfKqeqB0

カスペの設定をきつくしすぎている気もするな

Win2k+カスペだが、いまはチケット切れなので確認出来ない

222 ：(^ー^*)ノ〜さん sage ： 2007/05/08(火) 09:24 ID:U35N6RN+0

>>221
nProの挙動見るだけならタイトル画面まで進むだけでわかるんじゃない？

223 ：(^ー^*)ノ〜さん sage ： 2007/05/08(火) 09:41 ID:JDV0/2K70

RO起動したの3ヶ月ぶりの俺様がきましたよ。

win2ksp4
kis6.0.2.671英語版

この状況でログイン画面まで正常に行けました。
課金してないのでそれ以降は不明だが問題ないと思われ。

224 ：(^ー^*)ノ〜さん sage ： 2007/05/08(火) 17:19 ID:iLiMAQNh0

ハックされるような奴ってバカが多いな

225 ：(^ー^*)ノ〜さん sage ： 2007/05/08(火) 17:49 ID:Mz1gxkWR0

Eirのプロで現在被害者が抗議中ですｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ

226 ：(^ー^*)ノ〜さん sage ： 2007/05/08(火) 17:53 ID:iLiMAQNh0

>>225
正直笑った
被害者がバカすぎる
しかも装備が戻ってくると思っているし
さらに犯人が日本人だと思っている

227 ：(^ー^*)ノ〜さん ： 2007/05/08(火) 17:56 ID:Mz1gxkWR0

友人のサイトに怪しいURLがあったから消そうとして間違えてクリックしたらしいけどさ
クリックしたあとに何でログインしたんだろうね
ログインしたらID、パスワードを業者に知られるに決まってるんだよ

228 ：(^ー^*)ノ〜さん sage ： 2007/05/08(火) 17:58 ID:iLiMAQNh0

あと、多分この書き込みだと思うけど

狩友達募集です＾＾ 紅夏 2007/04/06 09:49:00

久しぶりに復帰したのでお友達を募集したいです
男性、女性どちらでも構いません
当方のキャラ：みそかつ.ゴッグ
ＬＶ８９「シールドチェーン型パラディン」
接続時間：19：00ぐらいから２４時ぐらいまで「平日」
連絡方法：夜２０時〜２３時ぐらいにwisか書き込んでくださいな
※Ｇは入ってないのでどこか入れてもらえるとありがたいです。
そのさいはＧの名前等詳しく書き込んでくださいね
Ｇｖは基本的に仕事が休みの日は参加します。
※使ってるスキル一例
シールドチェーン5プレッシャー5ＨＸ6ＧＸ4こんなもんです
http://www■fcty-net■com

天国の装備は売買します ＭＭＯファイナンス 2007/04/04 15:35:50

本人は長期にわたり天国の遊ぶ各種の装備を売って、中の伝言を招く装備しなければならないのがあって、ウェブサイトの中に本人の連絡用電話があります:http://www■blog-livedoor■net/game/


こんなん踏むのもどうかしてる

229 ：(^ー^*)ノ〜さん sage ： 2007/05/08(火) 18:02 ID:Mz1gxkWR0

こういうスレを見てないんだろうな
危機に対する意識が低すぎ
自分は被害に遭わないと思ってたら大間違いだ

230 ：(^ー^*)ノ〜さん sage ： 2007/05/08(火) 18:02 ID:sTfKqeqB0

間違えてクリックというのは誰にでも起こりえることだが、
問題なのは対策を全くしていないってことだな

231 ：(^ー^*)ノ〜さん sage ： 2007/05/08(火) 18:07 ID:avKUgDlK0

危機に対する意識がかけているのは確かだが、しかし誰もがこういったスレを見ているわけでもない。
さすがに被害者に対して口が悪いぞ。

232 ：(^ー^*)ノ〜さん sage ： 2007/05/08(火) 18:07 ID:Mz1gxkWR0

ゲーム内で言い争いに発展してんだけどｗ

233 ：(^ー^*)ノ〜さん sage ： 2007/05/08(火) 18:09 ID:2q83JbrH0

いい加減ウザイ。続けたいなら鯖板にでも行けよ。

234 ：(^ー^*)ノ〜さん sage ： 2007/05/08(火) 18:09 ID:mcnwVOOY0

>>231
触ったら負けだ、冷やかしに来てるのは目に見えてるからスルー汁

235 ：(^ー^*)ノ〜さん sage ： 2007/05/08(火) 18:23 ID:nCCzaunC0

そういえばRO内で知り合った何人かに、PG2とhosts変更を勧めたんだが、にゅ缶自体
見てない人が多かった。
当然このスレやまとめサイトの存在は知らなかった。

ownが無くなってからこっち、情報の入手手段が無い、って人が多いっぽい。


>自分は被害に遭わないと思ってたら大間違いだ
これは被害者を卑下してるんじゃなくて、自分自身に対しても戒めてる言葉だよな？

万能の対策が無い以上、自分自身が被害者になる可能性はいつだってある。
そう考えるとハク被害者を馬鹿にするような発言は、単に慢心してるだけにしか
見えないわけで。

過信・慢心は怪我の元。
自分含め、全ての人はご注意を。

236 ：(^ー^*)ノ〜さん sage ： 2007/05/08(火) 18:55 ID:U35N6RN+0

もしOWNが残ってて、まとめサイトへリンク貼ってもらえてたら、少なくとも意識レベルは違ってたかもしれないな。

237 ：(^ー^*)ノ〜さん sage ： 2007/05/08(火) 19:13 ID:CsADd5VD0

多くのMaran(例 >>68 )が今朝7時頃新型に差し替えられた模様。

238 ：(^ー^*)ノ〜さん sage ： 2007/05/08(火) 19:48 ID:DpaSZmCp0

今現在残っている大手ファンサイトやらに
アクセス数が多そうなROサイトにアカウントハックの注意を呼びかけて
対策スレのまとめサイトに誘導するようにお願いするとかどうなんだろう。
と思って、とりあえずブックマークラグナロクに一言で送ってみた。

自分の場合は運良く対策スレを知る事が出来たけど、
正直対策を知らない人や自衛していない人は
目隠ししてビルとビルの間を綱渡りしているような物だ。


ここからチラシの裏↓

知っていた所で気休めに過ぎないのは確かなのだけど。
常に警戒を怠らないように。

サイトを見るときや新しいサイトに飛んだりしたら
マウスのボタンから指を離して操作しています。
銃のトリガーに常時指をかけていたら危ないのと同じで
いつ事故るか判らない…。

こういうのは臆病なぐらいがちょうどいいってじっちゃがいってた。

239 ：(^ー^*)ノ〜さん sage ： 2007/05/08(火) 20:37 ID:avKUgDlK0

今で言えばR.O.M776さんくらいかのぅ。
あそこはたまに注意の呼びかけやってくれている気がする。

240 ：(^ー^*)ノ〜さん sage ： 2007/05/08(火) 21:08 ID:RzRFhXrM0

公式は声かけないけどな

241 ：(^ー^*)ノ〜さん sage ： 2007/05/08(火) 21:11 ID:aN5k4URY0

>>195の構成が変わってた。

www■twurbbs■com ＝ www■gamanir■com ＝ 125■65■112■93

�@ www■twurbbs■com/
�A www■gamanir■com/614.htm
�B www■gamanir■com/072.html
�C www■gamanir■com/miansha.gif　　（EXPL_ANICMOO.GEN）
�D www■gamanir■com/2007mmm.exe　　（TSPY_MARAN.KX）
※括弧内はウイルスバスター(TrendMicro)でのウイルス名

�@ → �A�B　　　　（IFRAME x 2個）
�A → �D　　　　　（VBScript MS06-014脆弱性利用）
�B → �C → �D　　（ANIカーソル MS07-017脆弱性利用）

�Dのファイルが結構でかくて、105984バイトもあり、なかなか落ちてこなかった。
こんなに重いんじゃ踏んでも感染しないんじゃないかと思うぐらい重かった。
まあタイミング次第ではさくっと落ちてくるが・・・

�Dに関しては、VirusTotalで検出可なのは下記の通り。
AntiVir、Avast、AVG、BitDefender、CAT-QuickHeal、DrWeb、eSafe
Ewido、F-Secure、Ikarus、Kaspersky、McAfee、Microsoft、NOD32v2
Panda、Sunbelt、TheHacker、Webwasher-Gateway

242 ：216 sage ： 2007/05/08(火) 23:41 ID:4uSAocLq0

アドバイスありがとうございます。
ｶｽﾍﾟver6.0.2.614日本語

落ちるタイミングはログイン→キャラセレ→フィールドにキャラ出てきて数秒後
ってところです。
保護の一時停止中ならゲーム続行可能

昨日はKASの再インスコしてみました→ダメ
ROクライアントの再インスコしてみます。
ダメならエラー板行きを検討します。

スレ違い失礼しました

243 ：(^ー^*)ノ〜さん sage ： 2007/05/08(火) 23:52 ID:ympt0OwN0

>>242
それは、nProが更新されたので、前のVerのnProは通信許可してるのに、現在のVerは許可出してないだけじゃ。
カスペのFWの設定をよ〜〜〜く見直せ。そして、踏んじまった場合の相談じゃないし、LiveROに移動しような。

244 ：(^ー^*)ノ〜さん ： 2007/05/09(水) 03:01 ID:ZlYB4jnV0

危険URLに指定されている23stylesのURLを踏んでしまいました
アクセス先は/bbs となっていたんですが、リンクを踏んで2秒後くらいにブラウザバック
その間画面は真っ白でした。
一応、即ROにアクセスし、ギルメンに高額装備を預けた後
スパイウェア検索とウイルス検索をしました（VB2007最新）
ウイルスはゼロ。スパイウェアは20件ほどでアドウェアも含め全部削除しました。
VVSNというフォルダ関係のアドウェアは削除後
トレンドマイクロでそのスパイウェアに指定されたレジストリの値を削除して
ほかのアドウェアも対処しようとしましたがレジストリがなかったので放置（？）

値を削除した後にGungHoGamesでガンホーパスとアトラクションパスを変更しましたが
ハックされてると・・・おもうなぁ・・・。どうでしょうか？
WinUpdateは完了済みですが、無理だとおもいますか？
思いつく限りで抜けてる対処法があれば教えてくださいorz
WindowsXPsp2 最新更新済み　ウィルスバスター2007

245 ：(^ー^*)ノ〜さん sage ： 2007/05/09(水) 03:21 ID:ya+govou0

>>244
＞一応、即ROにアクセスし、ギルメンに高額装備を預けた後
＞値を削除した後にGungHoGamesでガンホーパスとアトラクションパスを変更しましたが

それは別ＰＣでやったのかな？
間違っても感染したＰＣでやってはいけないよ。

246 ：244 ： 2007/05/09(水) 03:30 ID:ZlYB4jnV0

同じPCでやってしまったorz
でも変更前にウイルススパウウェアゼロを確認して、システム復元もしたんですが
駄目でしたかね。。。
OS再インストールはめんどうだけど最悪せねばならんでしょうか

247 ：(^ー^*)ノ〜さん sage ： 2007/05/09(水) 03:45 ID:X6rDmanh0

不安ならOS入れ直せばいいじゃない

自分で大丈夫だと思ってるならOS再インスコしなくても構わないが
なにがあっても自己責任で。

248 ：(^ー^*)ノ〜さん sage ： 2007/05/09(水) 03:51 ID:ya+govou0

244氏に限らず、どうも基本的なことが分かってない人が結構いるような気がした。

ＰＣが情報漏えい型ウイルス感染するということは、リアルでいえば盗聴器を仕掛けられるようなもので、
盗聴器を仕掛けるよりも、前に行われた会話を盗聴されることってありえないよね？
同じ理屈で、ＰＣが感染するよりも前に打ち込んだパスが抜かれることもありえないよね？

つまり、感染したと自覚してたのなら、ＲＯにもアトラクションセンターにも繋がなければ、
パスワードを抜かれることはありえないのですよ。
（パスワードを書いたファイルをＨＤＤ上に保存しておいたとかなら、また話は別だけどね）


まあ、過ぎたことを言っても、あとの祭りなので、これからの対処方法。
確実なのはＯＳを再インストールした後、パスを変更する。
最近の中華の手口を見る限りはWindows Updateしてれば防げる可能性は非常に高いんだけどね。
ま、あなたのＰＣにどんなセキュリティホールがあるかも分からないし、確認しようもないので、
ＯＳ再インストール以外のアドバイスはできません。

249 ：248 sage ： 2007/05/09(水) 04:36 ID:ya+govou0

248の補足。

ROログイン時にIDの横のkeepにチェックを入れてる人は、
レジストリにアトラクションIDが保存されてしまうので注意。

HKEY_LOCAL_MACHINE\SOFTWARE\Gravity Soft\Ragnarok の中のIDに保存されます。
keepを外して、もう１回ログインすれば、保存されたIDは消えます。

keepしてる人は、もしかしたら罠を踏んだ瞬間にIDを抜かれるかも（パスは抜かれませんよ）。
たとえIDだけでも、抜かれるとそれだけ安全性が下がるので、なるべくkeepは使わない方が良いでしょう。
特にネカフェでプレイするときは、keepがチェックされてたら必ず外してからログインしましょう。

あとパスワードは当然ながら、どこにも保存されません。
されたらネカフェではプレイできないゲームになっちゃうしね・・・
（どっちにしても、ネカフェではあんまりプレイしない方がいいけど）

250 ：(^ー^*)ノ〜さん sage ： 2007/05/09(水) 09:41 ID:UMBfr9FG0

>244
テンプレに基づいて報告しないと答えにくい部分があるんだが、まだ感染してる
可能性がある。

>18と>22を見る限り23styleは今もMaranが仕掛けられてる可能性があり、>237を
見る限り、新型が設置されてた可能性がある。
バスターはフットワークが軽いとは言えないし、VB2007が見落とす可能性もある。

WindowsUpdateしてたのなら感染してない可能性もあるし、システムの復元したなら
レジストリが戻って安全になってたかもしれないけど、なんとも言えない。

まずは安全な環境から再度パス変更。
それからカスペのオンラインスキャンを使って再度検索。
それで見つからなかったとしても、不安が残るならOS再インストール。

251 ：244 ： 2007/05/09(水) 10:25 ID:ZlYB4jnV0

>>250
一応言われてからカスペで再検索かけてみましたがなにもありませんでした。
wikiのほうは私の書き込み後にアカハックアドレスだったとして書き換えられていました。
今のところRO内では変化ないです。
1週間程度狩り等は休止して、様子を見てみます。
普通はどれくらいでアイテム盗まれるんでしょうかね

不安でいまいち地に足がついてない状態なので、近日中にOSは再インストールして
キャラもガンホーIDも作り直そうと思います。
課金済みだったのがきっついですが（汗）

252 ：(^ー^*)ノ〜さん sage ： 2007/05/09(水) 10:41 ID:f46IKqcW0

>>250
ドロップするのは >>22 と同じだけど、
このro.exe(Maran)は4日に更新されてる。
同じく4日に差し替えられている >>203 とほぼ同じかと。

253 ：(^ー^*)ノ〜さん sage ： 2007/05/09(水) 11:49 ID:UMBfr9FG0

やっぱりテンプレ使ってもらわないと書きにくい。

>251
現行OS使ってて4月分のWindowsUpdateもしてたのなら、カスペでも検出されてないなら
「多分」感染してない。
>252の情報もあるし未然に防げてた可能性が高い。

ただ絶対とは誰にも言えないので「安全な環境から」パス変更は必須で早急に行う事。
安全な環境についてはテンプレ参照。

トロイのチェック・駆除はその後。
安全な環境からパス変更さえしてしまえば、ログイン等をしない限り抜かれる恐れはないし
もし既に抜かれていても、パス変更してるから被害に合わない。

ログインは厳禁なので被害確認も出来ないが、今現在ハク犯にログインされていないという
想定の上、安全な環境からパス変更。
パス変更さえしてしまえば、後はゆっくり対応できる。

254 ：(^ー^*)ノ〜さん sage ： 2007/05/09(水) 12:20 ID:UMBfr9FG0

それと新垢取ってキャラ作り直しって、安全ではあるが個人的にはあまり意味が無いと思う。

感染しててIDがバレてる場合はブルートフォースに弱くなってるのは事実。
でもブルートフォースは基本的にオフラインでやるもの。
オンラインの場合は鯖が返す時間があるから、いくら鯖やクラックPC、通信環境が
良くても限界がある。

数字だけのパスでも10桁とかあれば、軽く年単位の時間がかかる。
さらに無作為の英数文字で長い桁数のパスを設定すれば、ブルートフォースで抜くのは
非現実的。

そう考えると、完全新垢の方が安全なのは確かだけど、今までの垢を捨てるほどの事じゃ
ないと思う。

255 ：(^ー^*)ノ〜さん sage ： 2007/05/09(水) 13:00 ID:/dLcxI7+0

この程度でまだ被害も確認されてないのに新垢とかアッガイかよ
課金済みだったのがきっついとかいう問題じゃねえだろ

256 ：(^ー^*)ノ〜さん sage ： 2007/05/09(水) 14:02 ID:JZX1lWenO

たまにアッガイってでるけど、どういう意味？

257 ：(^ー^*)ノ〜さん ： 2007/05/09(水) 14:17 ID:3DT5mYr/0

アッガイ
1．ジオン公国軍の量産型水陸両用モビルスーツ
2．垢買い

258 ：(^ー^*)ノ〜さん sage ： 2007/05/09(水) 14:23 ID:2Gf8AAYU0

>>255
高額装備は既にギルメンに渡してるみたいだし
キャラ作り直しに関しては苦労と感じるかは人それぞれじゃね？
育成環境も違うしな。
お前さんが感じてるキャラ等の価値と
他人が感じるキャラの価値は等しくないっての忘れちゃいかん。

>>256
アカウント買い＞アカ買い＞アッガイ

259 ：(^ー^*)ノ〜さん sage ： 2007/05/09(水) 17:34 ID:+l1HQU9V0

唐突だけど、>>6にある

　・偽装jpg対策(IE7とIE6SP2限定。IE6SP1以前では出来ない)
　　：インターネットオプション→セキュリティ→レベルのカスタマイズ
　　　→「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする

って無効じゃなくて有効にしなきゃいけないんじゃないのか？

260 ：(^ー^*)ノ〜さん sage ： 2007/05/09(水) 17:55 ID:XGnMo3GE0

>>259
有効にすると「拡張子ではなく、内容によってファイルを開く」ようになる。
無効にすると「内容ではなく、拡張子によってファイルを開く」ようになる。
つまり、有効にすると中身exeで拡張子jpgのファイルをexeとして実行してしまうわけだ。
無効にすればjpgとして開こうとするが、当然開けないので実行して感染してしまうことはない。
どこも間違ってないぞ。

261 ：(^ー^*)ノ〜さん sage ： 2007/05/09(水) 18:08 ID:llEc2Zfu0

>>244,251
なんというか最初から諦めの境地な理由が分からん。むしろこれから何を為すかじゃないのか？？
踏んだのが↓なのかは知らんけど。

�@ www■23styles■com/bbs/　　　　　（VBScript MS06-014脆弱性利用で�Aをダウンロード）
�A www■ezbbsy■com/bbs/ro■exe　　　（UPack maran。ウイルスバスターでのウイルス名TSPY_MARAN.D）

どこまで当てになるのか分からないけど、SCOでの�@�AのLast-Modifiedの時刻は↓
�@ Sat, 21 Apr 2007 06:59:34 GMT
�A Wed, 09 May 2007 06:38:42 GMT

ちなみにカスペでは�@�Aともに検出できる。ウイルス名は↓
�@ Trojan-Downloader.VBS.Psyme.gj
�A Trojan-PSW.Win32.Maran.cj

感染条件は順当に考えれば、IE系ブラウザをつかってて、アクティブスクリプトとActiveXを有効にしてて、
Window Updateを長期間してなくて、ウイルス対策ソフトを入れてなくて、PG2やhostsによるブロックをしてないこと。
(ウイルス対策ソフトはすり抜ける可能性もあるけど、VIRUSTOTALで調べた限りは検出率はメチャ良いよ)

ま、上記は例外もあるので、不安ならOS再インストール推奨ってのは変わらない。
このスレで推奨されてるhosts変更やPG2を導入してれば、そもそも踏むことすらなかったわけで、
今後は事前の対策を十分にすることをお勧めするよ。
OS再インストールしても、何の対策も打たなかったら、また同じ目に遭うよ。

262 ：(^ー^*)ノ〜さん sage ： 2007/05/09(水) 18:14 ID:+l1HQU9V0

>>260
ごめん、何か勘違いしてたみたいだ・・・。
ということは、たしかBSWikiのセキュリティ対策ページには反対のことが書かれていたと思うから
あっちは間違ったままになってしまってるんだね。

263 ：244 ： 2007/05/09(水) 18:36 ID:ZlYB4jnV0

一応遅いですがテンプレも
【　　アドレス 　 】 www■23styles■com/bbs/
【気付いた日時】 2007/05/09　深夜2時頃
【　 　　 OS　 　 】 WindowsXP sp2
【使用ブラウザ 】 IE6
【WindowsUpdateの有無】 踏んだ前の最後の更新は2007/04/25
XP用の更新プログラム(KB934238)

【　アンチウイルスソフト 】ウイルスバスター2007
【その他のSecurty対策 】
【 ウイルススキャン結果】 カスペオンラインスキャンは無検出でした
【スレログやテンプレを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
ホムの各種wikiのあるhttp://www15■atwiki■jp/x_homu/にて
トップページに.com系のURLに注意！と書かれているにもかかわらず
レベル81-90の場所にのみ仕掛けられたアドレスを踏みました
クリック後いままでﾊﾟｯと表示されていたのにIE画面が白くなり、アドレスの所に気がつき
2秒から3秒程度たつ前にブラウザバック。
ｱｶﾊｯｸのまとめサイトの危険URLで確認後、ROで装備を渡し
VB2007でスパイウェアとウィルスの検索。
ウイルスは無し、スパイウェアは削除してレジストリの値も変更しました。
確認後、再度ガンホーIDトアカウントIDのパスを変更。今に至ります。
ゼロからの復帰1ヶ月目でしたので、何とかなるといえばなんとかなるんですが・・・。

>>261
23styleからはどこにも飛んでなかったと思います。
Last-Modifiedの時刻というのはどういった意味があるのでしょうか？

ひと段落したらhosts変更やPG2とやらもやってみようと思います。
本当に危ない世界になったなぁ、と身にしみております（；；）
今現在、被害は出ていない模様です。

264 ：244 ： 2007/05/09(水) 19:19 ID:ZlYB4jnV0

追記ですが今朝9時の段階でカスペでオンラインスキャンしましたが無傷。
先ほどPG2を導入して、ROアカハクまとめサイトのリストと
リネージュ資料室のリスト２つをブロック追加しました。

265 ：261 sage ： 2007/05/09(水) 19:19 ID:llEc2Zfu0

>>263
Last-ModifiedってのはHTTPレスポンスヘッダに含まれる情報で、
これからダウンロードしようとするファイルの最終更新日時のこと。
ローカルで作成したときの最終更新日時なのか、
それをサーバーに上げた時間が最終更新日時になるのかは知らない。
詳細はググって調べてください。

サーバー自体が敵の管理下にある以上、その気になれば、
嘘の日時を返すこともできるので、信頼しきるのはやばいんだけど、
もし、正しい日時を返してたとすれば、�@のスクリプトは先月21日以降変化しておらず、
�Aのトロイ本体はつい３〜４時間前に置き換えられたということに・・・
(261書いたときにGMTの解釈を勘違いしてた。GMT+９時間＝日本時間なのに、GMT-9時間してたorz)

Windows Updateしてれば、�@の時点でブロックされるから、�Aは落ちてこない。
したがって感染はしないし、落ちてこないものはバスターで検出されるはずもない。
というのが、まあ順当な解釈。（例外はあるから保証はしないよ）

最終的にどうするかは自己責任でよろしく。

266 ：(^ー^*)ノ〜さん sage ： 2007/05/09(水) 19:35 ID:UMBfr9FG0

>264
カスペはほぼ1時間ごとにパターンファイルが更新(追加)されるので、気になるなら
時々チェックした方が安心できるかも。

それとPG2だけでは片手落ちなので、hostsの変更も併せて導入した方がいい。
まとめサイトとリネージュ資料室のリストをPG2に入れたのなら、hostsも
両サイトの内容を入れた方が漏れが無い。

PG2のリストは自動更新するが、hostsは自分の手で更新する必要がある。
割とサボりがちになるが、サボって被害に遭ったら元も子もない。
マメに更新した方がいい。

267 ：(^ー^*)ノ〜さん sage ： 2007/05/09(水) 21:40 ID:cpsK8vQy0

>>244氏へ
どうやらこっちの方が進んでるようなので
７７６に書いた方は削除依頼出しとけ？マルチいかんぞｗ

268 ：244 ： 2007/05/09(水) 22:04 ID:ZlYB4jnV0

ウイルスバスターでウィルススパイウェアかけても、カスペで検索しても大丈夫そうなので
どうも無事な様子です
一応対策には念をいれますが。
ありがとうございました

>>267さん
マルチだめなんですね＾＾；削除依頼だしておきました
ご指摘ありがとうございました。

269 ：(^ー^*)ノ〜さん sage ： 2007/05/09(水) 22:29 ID:ZcNr7BDt0

>266
サボりがちなら、あこすれてんぷら避難所にあるhosts更新スクリプトを
使えばいいんじゃないの？
勿論自己責任で、だけど。

270 ：(^ー^*)ノ〜さん sage ： 2007/05/10(木) 01:08 ID:rQvJmdtg0

某ドット絵・掲示板サイトの書き込みなんだが
--------------------------------------------------
属性武器の銘が名無しになる時（... 投稿者：雲 OFSfb-10p2-147.ppp11.odn.ad.jp 219.66.191.147

先月パンダカートになったソロの製造BSです。モチベーションが下がったと言えば格好付けですが、後２月程で課金が切れてチャージはしないつもりです。
心残りは自分で打った属性武器が名無しになる事です。キャラが居なくなれば名無しになる、の表現は既知ですが。削除したり、
削除せずに課金が切れた状態で、半年チャージしないでれば名無しになるんですよね？名無しにしない為、半年未満に１Dayチケット一枚なら買っちゃうし。
１０枚は必要にもならないでしょうし。違うよって方、教えていただけないでしょうか。アトラクションセンターに聞く、のが正解の１つですが...。
有りがちの不運で、関わりたくも無いのです、すいません。

UTL : http://www●jpxpie6-7net●com/web/read_cgi/
ご覧下さい
------------------------------------------------------------------
Re: 属性武器の銘が名無しになる... 陸バカ 46.215.58.59.board.ly.fj.dynamic.163data.com.cn
【ギルド名】--------------
【現Ｍ数/平均lv】３１名/lv７０
【Ｇ構想】マッタリでも賑やかなＧを
【ＧＶＧ】非参加
【定例狩り】毎週金曜日２２時〜
【ＩＮ率】毎日平均１０名程で２１時〜深夜にかけて上がります
【特徴】マッタリ風味。会話と狩りが盛んです
【溜り場】プロンテラ内
【多い職業】支援職(転生５名、転生前５名＞Lv７０〜９０)

◆ＧＭ募集
【募集数】１〜３名
【条件】Ｌｖ職業不問ですがＩＮ率は夜中接続以上
【加入後】２週間程は体験メンバーとなり以降正規メンバーへ

◆友好ギルド募集
毎週金曜日一緒に合同狩りしませんか的なコンセプトです
毎週でなくても可。新設Ｇ歓迎☆
【条件】溜り場がプロンテラ内かその周辺でＧv非参加ギルド
http://www●omakase-net●com/
---------------------------------------------------------------
の2件。 ギルド名は伏せました。

綺麗にホストが出てるんだけど、こっからプロバ側でBANとか･･･無理ですかね･･･

271 ：(^ー^*)ノ〜さん sage ： 2007/05/10(木) 01:19 ID:ODtlFBve0

日時とIPを添えてプロバにメール発射しとけば?
何もしないよりいいだろ。

272 ：(^ー^*)ノ〜さん sage ： 2007/05/10(木) 01:19 ID:slDr9nQQ0

BANというか、アクセス制限が良いところかと。
fj.dynamic.163data.com.cnって有名すぎるぐらいの中華だし。

273 ：(^ー^*)ノ〜さん sage ： 2007/05/10(木) 01:20 ID:voDkgEU50

報告乙。

ウィルス（トロイ）配布サイトの宣伝をspam投稿したという報告をプロバイダに上げることで
プロバイダと回線契約者の契約解除に繋がる可能性は高い。だが、それ以上の効能は可能性すらない。

プロバイダへの報告窓口の探し方は判るか？
そいつがブラックリストに載って、回線契約できなくなるなら万々歳なんで頑張って報告してみてくれ。

OFSfb-10p2-147.ppp11.odn.ad.jp 219.66.191.147 -> abuse＠odn.ad.jp
46.215.58.59.board.ly.fj.dynamic.163data.com.cn -> CNなので英語堪能でなければ諦めよう
　　spam＠jsinfo.net , anti-spam＠ns.chinanet.cn.net , anti_spam＠wz.zj.cn , antispam＠dcb.hz.zj.cn

274 ：(^ー^*)ノ〜さん sage ： 2007/05/10(木) 04:52 ID:9q1h/Ie10

spam通報は精力的に行うべき。
だが、ODNの場合は、過度の期待は禁物。
日本テレコム時代はそれなりの対応があったが、SB配下になってからどうにも動きが悪くなった。
業者spam対策のまとめサイトでも、
>ODN
>* ここも規制対応が遅いので慶征監理が良く利用している。
と辛口の評価を受けている。

275 ：(^ー^*)ノ〜さん sage ： 2007/05/10(木) 07:56 ID:jiFpH3OX0

>>270
そのODNホスト、リネージュ資料室のハエ取り紙(拒否履歴)に大量にかかっている。
2007/05/09 22:18:30　から　2007/05/09 23:04:03　まで１６回。

下のは言うまでも無く福建人の生IPだろうね。
殆どの罠ドメイン登録地と同じ場所( 福建省：fj　竜岩市：ly )だし。

276 ：(^ー^*)ノ〜さん sage ： 2007/05/10(木) 13:14 ID:m85dNPoz0

この福建人とやら、1万人のROプレイヤーの前に引きずり出して・・・
　

　∧＿∧
　(　･ω･)＝つ≡つ　ﾎﾞｺﾎﾞｺにしたいな、おい
　(っ　≡つ＝つ
　/　　　) ﾊﾞﾊﾞﾊﾞﾊﾞ
　( /￣∪

277 ：(^ー^*)ノ〜さん sage ： 2007/05/10(木) 21:40 ID:VV6N17oM0

>>270 の www●omakase-net●com
いつもの中華ドメインかと思ったら国内の個人サイトだった。
メールを送ってみたら罠は撤去されたけど、再発防止に
何をしたのかは不明なのでまた食われる可能性はある。

# きちんと管理できない自宅サーバはレンサバなどより遥かに危険。

278 ：(^ー^*)ノ〜さん sage ： 2007/05/10(木) 23:35 ID:gI/dIQ8B0

カスペルスキー オンラインスキャナ バージョン: 5.0.78.0
Microsoft Windows XP Professional, Service Pack 3

貰ったウィルス：Trojan-PSW.Win32.Maran.ei

C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\tj9viewer.dll

に感染していたのですが、どの様に対処すればいいのか…；；

279 ：(^ー^*)ノ〜さん sage ： 2007/05/10(木) 23:54 ID:8LGunp4w0

そりゃテンプレ見てないなら、FAQも見てないわな。

280 ：(^ー^*)ノ〜さん sage ： 2007/05/10(木) 23:58 ID:slDr9nQQ0

>278
まず最初にする事は、このスレのテンプレを読む事だ。
それからテンプレに従って再度報告。

281 ：(^ー^*)ノ〜さん sage ： 2007/05/11(金) 00:03 ID:lpnLSScn0

>>278
とりあえず、パスワードが必要なサイトやゲームにログインしない限り
ハックされることはないから落ち着いて対処方法を読むんだ


　　そ　れ　ま　で　は　絶　対　ロ　グ　イ　ン　す　る　な　よ　！！
　　~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

282 ：(^ー^*)ノ〜さん sage ： 2007/05/11(金) 00:13 ID:JBBhwV5s0

>>278
XPProSP3ﾜﾛｽｗｗｗｗｗｗ

283 ：(^ー^*)ノ〜さん sage ： 2007/05/11(金) 00:39 ID:FNh0v85i0

ここでのお馴染みchinanet CN、不正コードを世界に撒き散らすとして槍玉に挙げられる。
ttp://opentechpress.jp/security/article.pl?sid=07%2F05%2F09%2F0344245

中国政府(外局?)のspam対応窓口アカウント、機能停止。
ttp://www2g.biglobe.ne.jp/~stakasa/nospam_bbs/past/log/022967.html

毒物を市場に流通させるような国家は、Internetからも締め出していい時期が来ているかもしれない。

284 ：(^ー^*)ノ〜さん sage ： 2007/05/11(金) 00:57 ID:AYk/R/t80

>278
少し前のレスを読めば判るが、テンプレを埋めて貰わないと
的確なアドバイスとかが無理なわけで。
答える側も推測混じりで答えるので、ズレが出来る。

取りあえず、カスペのオンラインスキャンで見つかったのなら
カスペの体験版をDLしてきて、それで駆除すればいい。

あと発見に至る過程がどうだったのか。
先に「安全な環境から」パス変更をしないと手遅れになる場合もある。

踏んだ事に気付いてスキャンしたのか、何気なくスキャンしたら
見つかったのか。
罠を踏んでからログインしてしまったのか、まだしてないのか。
それすらも判らないのか。

それらの状況・状態によって、最優先で取る行動が変わる。

285 ：(^ー^*)ノ〜さん sage ： 2007/05/11(金) 00:59 ID:TxDu654m0

リアルだけじゃなくネット上でも毒バラ撒いてるってホント救いようがないな

286 ：(^ー^*)ノ〜さん sage ： 2007/05/11(金) 01:12 ID:yYm9j/Wj0

放置露店していて…サバキャンしていたので、再度キャラセレ画面に
行ったら…装備、ｚ、倉庫等全部ないと言ったところなのです…

287 ：(^ー^*)ノ〜さん sage ： 2007/05/11(金) 01:36 ID:AYk/R/t80

>286
南無……
日が変わってID変わってるから確認するが、>278？

まず確認するが、もってる垢はその被害にあった１つだけ？
もし複数垢もってるなら、感染してる状態で他の垢の生存確認は「してはいけない」。

安全な環境からパスを変更して、それからウィルスの駆除して、それで初めて
ログインして状況を確認。
もし感染に気付かず今初めてハク喰らったのなら、無事だったかもしれない
他の垢が、ログインしたために被害に遭う恐れがある。
(既に被害に遭ってる場合、確認しても手遅れのため、ログインは意味がない)

もし１つしかない垢で被害に遭ってしまったのなら、今から出来ることは
ウィルス駆除しつつ、癌に問い合わせて対応してくれるのを待つだけ。
時間は掛かるかも知れないが、対応してくれたという人もいる。

それとショックが大きいのは判るが、>1-6を読んで、テンプレ埋めて欲しい。

288 ：270 sage ： 2007/05/11(金) 03:53 ID:UgKQjmpz0

返信送れて失礼。ここのとこ帰宅遅すぎてもうだめぽorz
というのはともかく、レス下さった方ありがとう。
とりあえず暇見てメール送っておきます。

>>273
メアドまでありがとう。最後の行は2件目のほうのヤツなのかね。何故複数･･･？

>>277
それは予想外だった。怖くて踏んでなかったんですがそんなこともあるんですね･･･気をつけないと。

289 ：(^ー^*)ノ〜さん sage ： 2007/05/11(金) 05:14 ID:LqQVyhEO0

少々お聞きしたいのですがレスを見る限り単純にＯＳリカバ再インストールで
垢ハク問題解消って事でもよいのでしょうか？

290 ：278 sage ： 2007/05/11(金) 05:22 ID:yYm9j/Wj0

【気付いた日時】2007 05 10 22時ほど
【不審なアドレスのクリックの有無】ちょっと覚えていません
【他人にID/Passを教えた事の有無】No
【他人が貴方のPCを使う可能性の有無】No
【ツールの使用の有無】No
【ネットカフェの利用の有無】No
【OS】Microsoft Windows XP Professional, Service Pack 3
【使用ブラウザ 】Lunascape4.13
【WindowsUpdateの有無】自動更新をしていました
【アンチウイルスソフト】NortonInternetSecurity2007
【その他のSecurty対策 】
ROアカウントハック対策スレのまとめサイト
2007年5月7日(月)危険サイト ドメインリストをhostsファイルで127.0.0.1設定
【 ウイルススキャン結果】
kasperskyｵﾝﾗｲﾝｽｷｬﾝにてTrojan-PSW.Win32.Maran.eiに感染

C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\tj9viewer.dll
【スレログやテンプレを読んだか】
先ほど見てきましたが、再度落ち着いて…
【hosts変更】
ROアカウントハック対策スレのまとめサイト参照
2007年5月7日 (月)　読み込み専用にしていました。
【PeerGuardian2導入】
無(現在は、ﾘﾈ�U対策ｻｲﾄを参考にして導入しました）
【説明】
放置露店していてサバキャンしていたので、再度ﾛｸﾞｲﾝしたところ
別の場所に移動されて、装備、ｚ、倉庫等全部ない。他のｱｶｳﾝﾄも同様でした。

Webヘルプデスクに投稿、Gパス、キャラパス変更済み

291 ：(^ー^*)ノ〜さん sage ： 2007/05/11(金) 05:45 ID:VmWxqQT70

>>290
OK。１個ずつ確認していこう。

まず、ウイルスとして検出された２つのファイルの作成日時はいつになってる？
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\tj9viewer.dll

次にOSのバージョンを再確認。
Windows XP SP3は2008年前半にリリース予定だそうですが、現在は存在しません。
以下のいずれかの方法でService Packいくつなのか確認しよう。
・マイコンピュータのプロパティ
・[スタート]-[ファイル名を指定して実行]でwinverを起動

292 ：(^ー^*)ノ〜さん sage ： 2007/05/11(金) 06:27 ID:VmWxqQT70

>>290
質問攻めになってすまない。

今月発表された脆弱性(MS07-027)が利用された可能性もあるから、
確認しておきたいけど、Windows Updateが最後に行われたのはいつかな？

確認方法だけど、まずWindows Updateのサイトに繋いでもらって、
左側のメニューから、更新履歴の表示をクリック。
「製品」欄がWindows XPになってるもののうち、
一番上に表示されてるものの日付と更新プログラムを教えて欲しい。

あとついでにLunaScapeのブラウザエンジンは何を使ってたかな？
左下にＩＥのアイコン（青色のｅ）が表示されてたらＩＥだし、
緑色の変なアイコンならGeckoだと思うけど。

293 ：(^ー^*)ノ〜さん sage ： 2007/05/11(金) 09:11 ID:Tzjpfs7z0

WindowsUpdateもhosts更新も、被害に遭ってからではなく事前に導入していたんだよな？
Maran系は頻繁に更新されてるけど、eiは遅くてもこのGWあたりに報告が上がってる。

現状知られている手法はMDACとaniカーソルの脆弱性を突いてDLさせるタイプで
4月に先行して配布されたWindowsUpdateをしていれば感染はしないはず。
それが抜けられてるとなると新型のダウンローダーが出回ってるのか、それとも
以前に踏んで抜かれていたのが、今になって中華が行動に出たのか……

294 ：278 sage ： 2007/05/11(金) 10:33 ID:yYm9j/Wj0

XPRroSP2です。(ずっと前に入れていた2ｋSP3と混同…お恥ずかしい書込みをしてしまいました。

ファイルの作成日は1617年12月12日、6:52:33と出ていました。

ブラウザエンジンはIEのものです。

更新のたぐいは2月の頃から導入していました。

295 ：(^ー^*)ノ〜さん sage ： 2007/05/11(金) 10:53 ID:Tzjpfs7z0

>294
出来れば>292が書いてるWindowsUpdateの日付を確認してもらえないかな。
話を聞く限り、新しい脆弱性をつくタイプに引っかかってしまった気がする。

それとtj9viewer.dll でググったら、韓国のMyV3というアンチウィルスのページが引っかかった。
報告日(対応日？)が5/9らしい。
日本でも販売してるようだが評判を聞いた事が無いので、対応が速いのか遅いのかは不明。

296 ：(^ー^*)ノ〜さん sage ： 2007/05/11(金) 11:43 ID:Sw6Q9KSM0

>>294
そのPCで友人や家族の誰かが踏んだ可能性は?
あと「ActiveXコントロールを実行しますか?」などとIEに聞かれていて
自分の意思で踏んだのならパッチも無駄なんだけど。

>>295
V3はアンラボかと思われ。韓国最大手のアンチウイルスメーカ。

297 ：291,292 sage ： 2007/05/11(金) 12:01 ID:VmWxqQT70

>>294
ファイルのタイムスタンプはうまくいけば、罠を踏んだ時間が分かるかと思ったけど、甘かったか。
踏んだ時間が分かれば、ブラウザのキャッシュ調べて、どこのサイト見に行ったときか分かるかなとか思ったけど・・・

自動更新機能をONにしてても、エラーが発生してインストールが失敗することもあるから、要注意。
その辺も、Windows Updateのサイトで更新履歴を見れば分かるから、確認してみよう。

あと、あれか。自動更新って、確かデフォルトでは毎日午前３時指定になってるはずだから、
その時間にＰＣがＯＦＦになってれば更新されないわけだ。今月のパッチが5/9リリースだから、
罠踏んだのが5/10だとすると、まだ更新されてなかった可能性も高いなあ。

298 ：(^ー^*)ノ〜さん sage ： 2007/05/11(金) 13:16 ID:Sw6Q9KSM0

tj7viewer.dllとかでググると結構引っかかるねぇ。

299 ：278 sage ： 2007/05/11(金) 20:07 ID:yYm9j/Wj0

細かく指示して頂けて幸いです。確認しましたところ

・2007 05 10
・Internet Explorer for Windows XP Service Pack 2 用
　セキュリティ更新プログラム (KB931768)

となっていました

300 ：(^ー^*)ノ〜さん sage ： 2007/05/11(金) 21:01 ID:VmWxqQT70

>>299
最近パッチが当たってるね。5/10か・・・罠を踏んだ前なのか後なのか・・・
あとはIEのキャッシュを調べるぐらいかなあ。

IEのメニューから[ツール]-[インターネットオプション]-[全般]-[設定]-[ファイルの表示]
またはLunascapeで[ツール]-[Internet Explorerの設定]-[全般]-[設定]-[ファイルの表示]
どちらでも同じフォルダが開くはず。

最終アクセス日時でソートをかけて、5/9〜5/10あたりに
怪しいアドレスへのアクセスがないか調べてみてはどうだろうか。
危険URLは>>2のまとめサイトやリネージュ資料室に載ってるから、それと照らし合わせて。

一般的なウイルスだとWEBサイトの訪問は感染経路の１つに過ぎず、
他にもメールの添付ファイルを開くとか、
ダウンロードしたファイル（フリーソフトなど）を実行するとか、
いろいろあるんだけどね。アカハックウイルスに関しては、
WEBサイトの訪問以外の感染例は聞いたことはないけど、ないとは言い切れないしなあ。
（ネカフェの場合は、トロイをUSBメモリで直接仕込むとかいう例が過去スレで挙がってたけど）

301 ：(^ー^*)ノ〜さん sage ： 2007/05/11(金) 21:24 ID:VmWxqQT70

もし、これから警察に届けを出すつもりがあるのであれば、
カスペが検出したファイル２個は駆除する前に暗号化ZIPなどで圧縮して、
証拠として保存しておいた方が良いかもしれない。
（暗号化しておかないと、今使ってるアンチウイルスソフトの
　パターンが更新されたときに勝手に駆除してしまうかもしれないので注意）

302 ：(^ー^*)ノ〜さん sage ： 2007/05/12(土) 15:16 ID:e1UV00/z0

Blogに張られてたので報告。

またまた新武器です
+9クワドロプルハードヒットバリアスジュル（+9QHhVJ）
対不死十七ｃを四枚挿したバリアスジュルです。
スリーパー飽きたら騎士団ソロしてるのですよ。
以前+8DHhKを作ったけど、騎士団1Fだと+9DAKとｓｃが被ってやりづらかったのと、
より特化するために今回作り直したのです
勿論、騎士団の不死と言えばカーリッツバーグ。
以下計算結果。頑張って載せよう（→詳細日記の更新 訪問を歓迎します

ttp://www◆conecojp◆net/online/



それと、最近管理人の名前を騙ってのｱｶﾊｺ誘導書き込みが多々見られます。
もう何でもありって感じで怖いですね。

303 ：sage ： 2007/05/12(土) 17:23 ID:HXFO6zRk0

情報不足は重々承知ですが、ご返答いただければ幸いです。
知人が、今年の三月ごろのメールを開き、URLをクリックしたところ中国語のサイトにとんでしまったらしいのです。
メールの内容はROに関係するものらしいのですが、あわてて消してしまったため詳細は不明です。
ブラウザの履歴から考えて、

http:すらっしゅすらっしゅwwww■wikiwiKi-game■comすらっしゅ8651262

らしいのです。
調べてみたところ、リネ関連のウイルス系らしいのですが、ROにも影響があるものでしょうか。
もし何か情報があれば、よろしくお願いします。

304 ：(^ー^*)ノ〜さん sage ： 2007/05/12(土) 17:26 ID:HXFO6zRk0

あああ、sageるところを間違った…
ご容赦を。

305 ：(^ー^*)ノ〜さん sage ： 2007/05/12(土) 17:31 ID:wYvaWV4E0

>303
「恐らく」ある。

最近ROの垢ハクに使われるトロイはROやリネ、メイプルといった複数の
ネトゲのパスを抜くタイプと言われている。
ただしトロイは次々に進化してるので、踏んだ時点でのトロイの現物を
拾わない限りは確認のしようが無い。

踏んだのが3月として今も被害に遭ってないのなら、WU等で感染が防げたのか
単にトロイのDLに時間が掛かってDL完了してなかったのか、それとも泳がされてる
だけなのか、それは不明。

テンプレとか読ませてチェックと対策を行った方が無難。

306 ：(^ー^*)ノ〜さん sage ： 2007/05/12(土) 17:36 ID:HXFO6zRk0

>305
踏んだのはつい先ほどのことで、まだ挙動は不明です。
nod32でのスキャンでは問題なしとのことでした。
今はカスペを使ってスキャンをしています。
チェックと対策は進言しておきます。
どうもありがとうございました。

307 ：(^ー^*)ノ〜さん sage ： 2007/05/12(土) 17:57 ID:wYvaWV4E0

>306
チェックするに越したことはないが、ソースチェッカーで見る限り今は404で
ページが無い模様。
中国語版のIISのメッセージが出たっぽい。

ただそのアドレスは結構前に危険アドレスとして報告のあったところなので
未対策のままじゃ、やっぱり危ない。
対策必須。

308 ：(^ー^*)ノ〜さん sage ： 2007/05/12(土) 17:58 ID:o1yl4yxo0

>>303
wwww.(以下略)ではなく、wwwだよね？
ソースチェッカーで調べたところ

●「2007/05/09 16:46」のキャッシュ
MDAC脆弱性利用のVBScriptにより次のファイルをダウンロードする
http://www■slower-qth■com/8651262/svch■exe

●「2007/05/12 17:50」のキャッシュ
HTTP/1.1 404 Not Found

現在は404ということで、ファイルは削除されてるけど、
少なくとも３日前には罠が配置されてたようです。

なお404の場合でも、中国語で404用のページが表示されます。
それ自体は一見したところ罠はないけれど。

309 ：278 sage ： 2007/05/12(土) 20:04 ID:oKrtnNJ60

キャッシュを一生懸命見ているところです。

すでに削除してしまっているのですが、
Kasperskyのデータファイルにバックアップと言う部分がありまして
其処には残っている模様。これは証拠としては不十分でしょうか…？

310 ：(^ー^*)ノ〜さん sage ： 2007/05/12(土) 23:48 ID:b1wyw6L00

それは警察が判断すること。

311 ：(^ー^*)ノ〜さん sage ： 2007/05/13(日) 00:14 ID:+M+KRhBF0

>>309
捜査の手がかりになりそうなものは片っ端から保存しておいた方が良いと思うよ。
・カスペのログ
・ウイルス検体（隔離された状態などで残っているなら）
・事件前後に自分がＲＯに繋いだ時間
・盗まれたアイテムおよびゼニーの詳細(>>104参照)

などなど思いつくものがあったら全部。そして、あとは警察の判断に任せよう。

312 ：(^ー^*)ノ〜さん sage ： 2007/05/13(日) 01:53 ID:QgjVdrWO0

fc2ブログ狙い撃ちされてる？

------------------------------------------------
のパッチ内容について 投稿者：風祭Ragnarok Online 投稿日：2007/05/13(Sun) 00:27 No.47

■「春だ！祭だ！アマツにいこう?〜アマツ春興薫風祭〜」を終了いたしました。
■アイテム「魔法のやかん」のオートスペルでデリュージが発動した際、
　イエロージェムストーンを必要としないよう修正いたしました。
■アイテム「ひよこちゃん」「風車のかんざし」「避暑地の帽子」が特定条件下において、
　グラフィックに異常が発生する不具合を修正いたしました。
■アイテム「ペコペコのヘアバンド」装備時のグラフィックを変更いたしました。
　※詳細:http://crnde■blog87■fc2■com/
----------------------------------------------

313 ：(^ー^*)ノ〜さん sage ： 2007/05/13(日) 01:54 ID:QgjVdrWO0

２件目

----------------------------------------------------------------
ハイパースレッドになる 投稿者：あ桜の雪う影 投稿日：2007/05/13(Sun) 00:28 No.48

ハイパースレッドになる！　かも
【いよいよ本格始動？　パイストーリー】
3D酔いを克服（というか進行方向にカメラ固定なら酔わないだけ）した
わたしですが、やっぱり2Dの低頭身キャラが好きでして…。

ROのようなキャラ2Dで背景3Dなのが一番好みではありますが、
TWにもどっぷりのめり込めた体験からすると、背景2Dでも問題なさ気。

そんな中、しばらく前から気になっていたタイトルが、
ついに今月末、本格始動するようですね、それが「パイストーリー」です。
公式サイト　http://bqdr■blog98■fc2■com/

-このあと非常に長いので中略させていただきます。

【web拍手】
> いつもROBBSなどの更新ありがとうございます
> ひよこの動きこんな感じです（心配でしたらソースチェッカーオンラインなどで確認を）
> ではまたっ(*'ヮ')?
わーお、ありがとうございます。
ふむふむ、なから合ってますね、よかったｖ
…え、「なから」って何、って…？　これって方言なのかしら…、なから。
（なから＝だいたいという意味です、ローカルなのかー！？） http://bqdr■blog98■fc2■com/
---------------------------------------------------

２件目はひじょーにコメントが長かった為に省略させていただきました。
で、チェッカーでみるとインフレームがあったけど、
キャッシュ削除して最新状態にしたらなくなってました。
検体とれなかったorz

314 ：(^ー^*)ノ〜さん sage ： 2007/05/13(日) 02:02 ID:QgjVdrWO0

３匹目はfc2ブログじゃないけど、連続であったのでついでに。
こちらは既知のドメイン

----------------------------------------------------------
ココで特集やっててイベントの様子 投稿者：ダメット 投稿日：2007/05/13(Sun) 01:27 No.49

ココで特集やっててイベントの様子
なんかを動画でみれますよ！
プレゼントもあるもたいです！

HPのとこにhttp://www■jpxpie6-7net■com
----------------------------------------------------------

３匹連続書き込み・・・・；；
中華ウザ過ぎです

315 ：(^ー^*)ノ〜さん sage ： 2007/05/13(日) 08:16 ID:E1NrDXNP0

>>312-314
中華の記事は他所のパクリだから記事文面の引用は2、3行で良いんじゃないかと。

316 ：(^ー^*)ノ〜さん sage ： 2007/05/13(日) 08:18 ID:VJkcAFxL0

>>312-313
www■gameurdr■com/a2gua/a21.exe
今朝6時(!)更新。

>>314
www■jpxpie6-7net■com/svchost.exe
一昨日の朝8時更新。

そのうち拾ってみるけど、サイズからするとよくあるUpackのMaranだねぇ。

317 ：(^ー^*)ノ〜さん sage ： 2007/05/13(日) 09:04 ID:E1NrDXNP0

www■gameurdr■com/a2gua/a21■exe

8時55分頃VIRUSTOTALで調べて見たが何故かNOD32が検知していなかった。
他はおおむね検知していたが。

318 ：(^ー^*)ノ〜さん sage ： 2007/05/13(日) 10:11 ID:VJkcAFxL0

eset、最近シグネチャ作るのをサボってる気がするなぁ。
いやヒューリスティックは優秀なんだが、いざ見逃して
検体を送った後の対応が遅いというかシカトされてるというか
(zipのパスはinfectedでいいんだよな?)。
そのうちAntiVirあたりに抜かれる予感。

319 ：(^ー^*)ノ〜さん sage ： 2007/05/13(日) 11:20 ID:+M+KRhBF0

検体取得用のバッチファイル作ってたときに、たまたま発見したものだけど、
>>241のexeが２日前ぐらいに差し替えられてて、PECompact圧縮であることは変わらないんだけど、
VIRUSTOTALで半分ぐらいはスルーします。自分の使ってるバスターでもスルーするので、
TrendMicroには検体送っときます。他社に送りたい人はよろしく。
www■gamanir■com/2007mmm■exe

320 ：(^ー^*)ノ〜さん sage ： 2007/05/13(日) 11:21 ID:rbPQ9bdh0

>>317
入手してみたが、NOD32が確かに反応しないな。ちょっと検体送ってくるわ。

a21.exe
圧縮形式 : Upack 2.4 - 2.9 beta -> Dwing
Kaspersky : Trojan-PSW.Win32.Maran.ei
NOD32 : 現時点ではすりぬけ

321 ：(^ー^*)ノ〜さん sage ： 2007/05/13(日) 11:37 ID:rbPQ9bdh0

>>319
NOD32では、Maranの亜種と検知して自動提出された。

322 ：(^ー^*)ノ〜さん sage ： 2007/05/13(日) 15:37 ID:GCn60lwd0

最近検索をかけた時の大手情報サイトのWikipediaが見られないので
ふと思い当たり、タスクバーの
PeerGuardian2の「HTTPのブロック」のチェックを外してみて
グーグルで出たWikipediaの検索結果にアクセスしてみた…ら…
ちょろっと二項目ほど見ただけでも
ログにkorea、korea、koreaと一杯に埋まって…
恐ろしくて直ぐブロックして、もう一度アクセスしてみたら
読み込みできない状態に戻りました。

コレってWikipediaの全体に
アカウントハックが仕込まれているって事なのでしょうか?

323 ：(^ー^*)ノ〜さん sage ： 2007/05/13(日) 15:40 ID:DFNs5OAr0

韓国のIP全てがアカハックだとでも言うのかお前は。

324 ：322 sage ： 2007/05/13(日) 16:09 ID:GCn60lwd0

>323
雑談なネタですみません。
PG2でなぜ三つの国のIPを弾く設定を入れているのは理解していますが
Wikipediaの記事の内容がどうして韓国IPを読みにいく動作をするのかさっぱり判らないんです。
勉強不足ですみません。

325 ：(^ー^*)ノ〜さん sage ： 2007/05/13(日) 16:13 ID:FMK2+QL00

>322はPG2の動作原理を理解する事と、設定を見直す事を勧める。
何事もそうだが、理解せずに使うのは危険すぎる。

答えを言うなら、PG2使うの止めるか、中韓台リストを外すか、例外設定するか。
好きなのをどうぞ。

326 ：(^ー^*)ノ〜さん sage ： 2007/05/13(日) 16:18 ID:hhutPhLT0

>>322
ROがどこのゲームかご存知で?

327 ：(^ー^*)ノ〜さん sage ： 2007/05/13(日) 16:19 ID:yBdJKvSh0

>>326
いやRO関係のwikiじゃなくて、ってことだから
それはあんまりだ

328 ：(^ー^*)ノ〜さん sage ： 2007/05/13(日) 16:20 ID:IINNooTi0

もう触るなよ

329 ：(^ー^*)ノ〜さん sage ： 2007/05/13(日) 16:30 ID:FMK2+QL00

>Wikipediaの記事の内容がどうして韓国IPを読みにいく動作をするのかさっぱり判らないんです。
Wikipediaって韓国にあるんだし、そりゃ当たり前。

ja.wikipedia.orgをNslookupで見るとIPアドレスは211.115.107.162と返ってくる。
これをwhoisで見ると
inetnum: 211.104.0.0 - 211.119.255.255
netname: KRNIC-KR
descr: KRNIC
descr: Korea Network Information Center
country: KR
(以下略)


知らずに使うから、そうなる。
中韓台リストを外すか、絶対安全と信じて例外指定するか、スパっとPG2使うのをやめるか
好きなのをどうぞ。

330 ：(^ー^*)ノ〜さん sage ： 2007/05/13(日) 17:13 ID:BmcFh5rU0

まぁwikipediaが韓国にあったなんて普通知らないよな。常識的に考えて。

理由も言わずに簡単にPG2使うのやめろと連呼するのは
垢ハック業者の新戦法かもしれない。

331 ：(^ー^*)ノ〜さん sage ： 2007/05/13(日) 17:23 ID:4QLPWf4b0

正しくは日本のwikipediaの鯖が韓国にアル

332 ：312-313 sage ： 2007/05/13(日) 17:32 ID:eEIxCxv70

私が確認した後にまた仕込みにいってたのかー。
検査ありがとうございます。
検体提出おつかれさまです。

ソースやイメージ画像を見たところ普通のブログだったし(ブログ管理人の名前が日本語不自由状態だけど)　
しかも放置してるブログぽくないから、既存を丸写しなのかねー。

333 ：322 sage ： 2007/05/13(日) 17:40 ID:GCn60lwd0

>325 >329-331
なるほど…Wikipediaが韓国にあるとは全く露知らず。
日本語版と銘打たれているので日本にあるものとばかり思い込んでいました。
今まで知らずにウィキペディアを使っていたんですね。
ROについての記事を上記サイトで見ようとしたら反応したので、てっきり何か仕込まれているものだとばかり…。
本当に無知で申し訳ない。丁寧に解説してもらえて助かりました。

>326-328
RO外の話ですみません。動転してこのスレッドの善意に頼ってしまいました。

334 ：(^ー^*)ノ〜さん sage ： 2007/05/13(日) 19:26 ID:rbPQ9bdh0

>>333
まぁ、次からはLiveRO使おうぜと。

335 ：(^ー^*)ノ〜さん sage ： 2007/05/13(日) 21:51 ID:FMK2+QL00

>333
言い方がキツかったかもしれんが、PG2を使う場合には注意点がある。
中韓台リストを入れてる場合、当然ながら中国・韓国・台湾の全てのサイトをブロックする。

これが何を意味するかと言えば、普通のサイトもブロックされる、という事。
例えばマザボメーカーのサイトは台湾が多いが、そこもブロックされるため
Biosの更新やらDriverのダウンロードが出来ない。
またROに限ればラグナゲートの情報が未実装スレに貼られたとしても、当然見れない。

他にもP2Pリストを突っ込んだら各社メーカーサイトが見れないやら、トラブルが起きる。

ブロックする範囲が広いために起きる事だが、見れないからと無条件で許可する癖が
付いてしまうのも問題があるわけで。

閲覧に支障が出ないレベルで使うなら、まとめサイトとリネ資料室の危険アドレスだけを
突っ込んでた方が無難。
判らないなら中韓台リストを使うな、というのはそういう意味。

336 ：(^ー^*)ノ〜さん sage ： 2007/05/14(月) 09:30 ID:50j0c7dM0

>>319 深夜に更新。PEC2(PECompact2)からUpackに変更。

337 ：(^ー^*)ノ〜さん sage ： 2007/05/14(月) 09:45 ID:hMRjVW1V0

>>336
NOD32で検出。やっぱり亜種で自動提出になった。正式なパターンでは対応してないが検知可能。

338 ：(^ー^*)ノ〜さん sage ： 2007/05/14(月) 09:50 ID:hMRjVW1V0

追記：
カスペオンラインスキャナにかけたら、検知しなかった。ちょっと検体提出行って来る。

Upack 0.3.9 beta2s -> Dwing ということで、Upackのバージョン替えたものの模様。

しかし、よく気付くな…更新されてるのを。

339 ：(^ー^*)ノ〜さん sage ： 2007/05/14(月) 10:59 ID:hMRjVW1V0

>>338
カスペから返答。次回updateで対応予定。
（現時点のオンラインスキャンでは検知できないが暫く後で対応すると思われ）

2007mmm.exe_ - Trojan-PSW.Win32.Maran.ev

340 ：(^ー^*)ノ〜さん sage ： 2007/05/14(月) 11:36 ID:DUXoY9Dx0

アプリコットカフェの殴りプリスレに貼られていたもの
----------------------------------------------------
>154 名前：マフラー猫 Mail： 投稿日：2007/05/13(日) 16:52:20 [ pk6iiGsQ ]
>
>オリジナルアートエンブレム素材を扱っております
>各テーマごとにわかれていて一括ダウンロードできます
>370種以上のエンブレムがあり、加工は自由ですｖ
>幻想綺麗・透明、蒼や翠、空・森などの自然系から鮮やかに彩る世界 ダーク系植物苔系追加しました
>ttp://www■grandchasse■com/wikblog
----------------------------------------------------

リネージュ資料室さんの所にはあったけど、このスレでは初出と思われ。
ソースチェッカーでパッと見たところ、いつものようにaniカーソルとMDACの
脆弱性を利用したものと思われる。
www■maplestorfy■comに飛ばされてるが、そこにあるbodg■htmが行頭に「Rar!」と
入ってるのがよく判らない。
(無圧縮rarファイルに偽装？)

殴りプリスレでは直後から警告レスが付いてたので被害はないと思われ。

341 ：(^ー^*)ノ〜さん sage ： 2007/05/14(月) 11:45 ID:50j0c7dM0

>>338
WWWCやWWWDが便利なんだぜ。
無ければHTTPヘッダ拾うスクリプト書いてもいいけど
(リネージュ資料室のウィルス更新状況CGIみたいなやつ)。

Upackは1月には3.9Finalになっている(3.99もある)。
UPXみたいにPEヘッダにバージョンを書くわけじゃないので
PEiD等での識別の細かい部分は参考程度で。

342 ：(^ー^*)ノ〜さん sage ： 2007/05/14(月) 12:02 ID:50j0c7dM0

>>340
www■maplestorfy■com/lunimkabuges/zhixiaogui.exe
Rar!は特に意味はないものと思われる。
MDACのActiveXオブジェクトをtryしてだめならaniでcatchと
window.onloadイベントでIEのソース表示を阻止するのが
最近の福建ドメイン乱立Maran部隊のスタンダードになってる気がするなぁ。

343 ：(^ー^*)ノ〜さん sage ： 2007/05/14(月) 17:51 ID:b5l0B+1+0

www■maplestorfy■com/lunimkabuges/zhixiaogui■exe
17時45分にVIRUSTOTALで調べるとこれまたNOD32で検知しない。
他の主要なものはおおむね検知している。
NOD32はこの手のには弱いのだろうか。

344 ：(^ー^*)ノ〜さん sage ： 2007/05/14(月) 17:53 ID:Dh51xGxS0

NOD32はトロイに弱いと聞くが、こういうの見るとそう思えてくるな

345 ：(^ー^*)ノ〜さん sage ： 2007/05/14(月) 18:09 ID:9Q8eeLsW0

www■toriningena■net/news/100658432/

blogの書き込みからURLだけ転載。
ソースチェッカーにかけた感じ、VBScriptでsvch.exeを落とそうとしてるのかな？

346 ：(^ー^*)ノ〜さん sage ： 2007/05/14(月) 18:13 ID:9Q8eeLsW0

ってリスト見たら既出のURLでしたね、失礼しました。

347 ：(^ー^*)ノ〜さん sage ： 2007/05/14(月) 18:49 ID:hMRjVW1V0

>>343
報告サンクス。検体提出いってくらぁ。

348 ：(^ー^*)ノ〜さん sage ： 2007/05/14(月) 19:14 ID:Pg1/dds00

>>345
MDAC脆弱性利用で以下のトロイを落として実行する。
www■aehatena-jp■com/news/100658432/svch■exe

ほとんどのアンチウイルスソフトで検出できるけど、
またまたNOD32はすり抜けるみたい。

349 ：(^ー^*)ノ〜さん sage ： 2007/05/14(月) 19:20 ID:6MlZw3HU0

ＮＯＤどうしてしまったんだ

350 ：(^ー^*)ノ〜さん sage ： 2007/05/14(月) 19:32 ID:92ul0Wz70

アカハクアドレス書込試行を捕捉したので報告。
投稿者は61.22.13.63(61-22-13-63.rev.home.ne.jp)。
UAがMozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler ; .NET CLR 1.1.4322)
で中国語設定。
投稿されたウイルスアドレスはhttp://www■din-or■com/bbs
home.ne.jpには通報済み。

TencentTravelerは既出だと思うが中国で流行るタブブラウザ。.htaccessで
弾いても良いかもしれない。IPに関しては深く調べてないが、ネカフェか踏み台か、
はたまた留学生か。

尚、>>161で報告した通報の返事は『該当と思われる弊社会員に対し注意喚起』したそうで。
ま、ODNだしねぇ…。

351 ：(^ー^*)ノ〜さん sage ： 2007/05/14(月) 19:56 ID:hMRjVW1V0

>>348
ほい。NOD32に提出してきた。

352 ：(^ー^*)ノ〜さん sage ： 2007/05/14(月) 20:06 ID:SEn4rdON0

いつもおつかれさまです

353 ：(^ー^*)ノ〜さん sage ： 2007/05/14(月) 22:23 ID:b5l0B+1+0

>>270にあるODNホスト、日付が変わっても相変わらずリネージュ資料室のハエ取り紙にかかっている模様。
OFSfb-10p2-147.ppp11.odn.ad.jp

この事から常時接続環境である事は間違いない。
これはネカフェの可能性が高いね、次点で踏み台か。

ちなみに>>350のは福岡のCATV回線らしい、調べるとCATVのネカフェってのもあるみたいだねぇ。

ネカフェなら行った折にホスト名を自分で調べておけばある程度データベース化できるとは思う。
連中の協力者が何処から書きこんでいるのかも、ね。

2007/05/12 04:56:31 OFSfb-10p2-147.ppp11.odn.ad.jp
2007/05/12 08:16:37 OFSfb-10p2-147.ppp11.odn.ad.jp
2007/05/14 10:51:25 OFSfb-10p2-147.ppp11.odn.ad.jp

上の2つは明らかに中華と思われる文字を含むGoogleリファラ入り。
”Google 搜索&lr=lang_ja”

14日のは”ro ドメイン 掲示板”をGoogle検索している模様。

354 ：(^ー^*)ノ〜さん sage ： 2007/05/14(月) 22:29 ID:XLqmEjQm0

そのホストは数年前からBBS荒らしとして使われてるよ

355 ：(^ー^*)ノ〜さん sage ： 2007/05/14(月) 23:28 ID:b5l0B+1+0

>>354
なるほど、数年前からならほぼネカフェと見た。
そのホストをピンポイントで塞いでもよさそうな気もするな。
そのネカフェから書き込もうとしない限り問題が無いわけだ。

356 ：(^ー^*)ノ〜さん sage ： 2007/05/14(月) 23:33 ID:b5l0B+1+0

毎度おなじみ福建人の新ドメインを発見。
取れたてほやほや。
なんちゃってライブドアは福建人に大人気の模様。

Domain Name ..................... rinku-livedoor■com
Registrant Name ................. zhiqiang lin
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 610000
Registrant Country Code ......... CN
Expiration Date ................. 2008-05-13 11:06:40

357 ：(^ー^*)ノ〜さん sage ： 2007/05/15(火) 06:34 ID:xQdR6UXY0

>>356
既に稼動しておりました。
www■rinku-livedoor■com/ ↓
www■blogplaync■com/kin.htm ↓
www■blogplaync■com/chengzhi.exe
物はいつものUpackなMaran。更新は >>317 の8分前なので
ほぼ同時に作った物と思われ。

358 ：(^ー^*)ノ〜さん sage ： 2007/05/15(火) 14:18 ID:8KLUeHFp0

>>357
Upack 2.4 - 2.9 beta -> Dwing

Kaspersky : Trojan-PSW.Win32.Maran.ei
NOD32検査すりぬけ

と言う訳で検体提出いってくるわ。

359 ：(^ー^*)ノ〜さん sage ： 2007/05/15(火) 16:58 ID:QsaPhTQD0

今回は早めに気がついた。

あこすれてんぷら(本家)がまたハクアドレスの改ざんに。

しかも
>現在このサイトはリンクが１つも無い状態にしています。
>リンクは全てアカハックサイトへのリンクだと思ってください。
この警告文全体が www■din-or■com/bbs のリンクにされるというタチの悪さ。

アコプリスレからもリンクは外されてるので、テンプレサイトをチェックしてる人
以外はもう見てないと思うが、真面目にあそこはヤバすぎる……
ググるとトップに出るし、ラグナロク通りのリンクが生きてるから間違えて踏む人が
出かねない。
管理人多忙なのは仕方ないとして、なんとか良い手はないものかね……

360 ：(^ー^*)ノ〜さん sage ： 2007/05/15(火) 17:55 ID:ofpPpLbc0

多忙なんじゃなくて、もうROに興味なくなり心の底からあのwikiはどうでもいいんだろう。
すでにwikiなんて記憶の中にも無いと思われる。

鯖はs78.xrea.comであっているのかな？
誰か通報してるだろうけど私からもしてみる。

361 ：(^ー^*)ノ〜さん sage ： 2007/05/15(火) 19:05 ID:VbbqnzSq0

最悪だ・・・冤罪BANくらったorz
RMTなんかしてないっての！総資産7M程度だよ！てかこないだ転生して、やっと転職だと思ったのに！ヽ(`Д´)ﾉﾌｻﾞｹﾝﾅ
ヘルプデスクに投稿しても癌崩は証拠があるから凍結解除できないとか頭悪いこと抜かすし。
その証拠が見せられないんだったら証拠なんて意味ないだろ。納得できるかよ！ヽ(`Д´)ﾉ

>>うちの弟が冤罪垢BANを食らいました．うちの弟はBOTは当然，
>>ツール類も使っていないのに，不正ツールの特徴が見られたためとしてBANされました．

>>弟に話を聞くと，実家のネットは回線が悪く，鯖缶の回数が異常に多いようです．
>>同様に鯖缶が多い弟の知り合いの中にもBANされた人が居る模様で，癌は単にログインの回数が多い人を不正ツールの特徴とみなしてBANしていると思われます．

>>弟が抗議したところ，解除されて，二日分（停止してた期間）のチケット補償がありました．
>>でも，回答内容が「この度は，不正ツール調査の為にご協力いただき誠にありがとうございました．
>>今後とも，不正ツール利用者，不正行為者の取締りの為，調査にご理解ご協力いただくことがあるかと存じますが，

>>その際には，何卒よろしくお願い申し上げます．」というものでした．
>>これって，冤罪BANがわかったので調査ということにしておきます，
>>チケット返すから文句ないでしょ？と言われてるような気がするんですけどキノセイでしょうか…

でもこういう例もあるみたいなので、最後までやってみるぞ！ヽ(`Д´)ﾉ

362 ：(^ー^*)ノ〜さん sage ： 2007/05/15(火) 19:10 ID:sjjNBHWI0

つーかスレ違い

363 ：(^ー^*)ノ〜さん sage ： 2007/05/15(火) 19:23 ID:zODgTtxx0

転生もちで総資産7Mってどんだけ貧乏なんだよｗｗ

364 ：(^ー^*)ノ〜さん sage ： 2007/05/15(火) 19:28 ID:8KLUeHFp0

いや、マルチだからほっとけ。

365 ：(^ー^*)ノ〜さん sage ： 2007/05/15(火) 19:55 ID:yAK1+0ga0

某支援ツールのBBSに、新規スレで貼り付けられていた。
文章に違和感はないから、どっかのブログからコピペかな？
URLは既出。

----------------------------------------
アカウントハック
----------------------------------------
1 名前：ねこムス[] 投稿日：07/05/15(火) 17:16:01 ID:euMQuTaK
今日はちょっとアカウントハックのお話。
ROアカウントハックの二次被害にあいました。（￣▽￣）
アカウントハックされてアイテムを奪われたわけでなく、
アカウントハックをするために、私の書いた記事が使われていたようです。
他人のサイトのBBSやコメント覧に、ウチの記事に
アカウントハック用のURLをつけた物が、貼り付けられていたようです。
ROとは関係ないサイトにも貼られていました。
ユーザーイベントを盛り上げようとして書いたものを、逆の事に使われるとはとても残念です。
該当記事と似た書き込みがあった場合、削除して頂ければと思います。
http://www■aehatena-jp■com/news/100658432/
↑Web拍手（コメント送信可能）
----------------------------------------

366 ：(^ー^*)ノ〜さん sage ： 2007/05/15(火) 20:00 ID:yAK1+0ga0

スレ違いだが・・・・

> 転生もちで総資産7Mってどんだけ貧乏なんだよｗｗ

俺なんか、たぶん5M無いぞ？
支援プリで、身内で狩していて、3年かけてようやく転生した。
清算テキトーだし、効率＜＜＜楽しさメインの狩をしていると、金も装備もたまらんｗ
垢ハク対策だけは必死にしているが、あまり意味は無いと思われ。

367 ：(^ー^*)ノ〜さん sage ： 2007/05/15(火) 20:19 ID:Q1I5Z3WW0

EXCITEブログでID取った模様？
http://ragnarokol■exblog■jp/
で宣伝書き込みがあった「訪問ありがとうございます」ってことだったけど
訪問した覚えがないので調べたところ
自動で飛ばす物は見つからなかったけど
興味を引きそうな記事に危険URLがリンクで貼ってあった

excite以外のリンクは↓の三つ
http://www■jklomo-jp■com/game/
http://www■fanavier■net/links/
http://www■cityhokkai■com/games/

木更津キャッツアイのスキン使ってるのかTV局へのリンクもあったけどそれは除外

368 ：(^ー^*)ノ〜さん sage ： 2007/05/15(火) 21:20 ID:8KLUeHFp0

>>343 >>348 >>357
対応報告自体ははまだきてないですが、NOD32で検査すりぬけを起こしていたファイルについて
最初の報告から約24時間で対応済みになってました。

2007/05/15 18:58:45 に自動更新した、ウイルス定義ファイル
バージョン 2267 (20070515)にて、下記の３ファイルが
Win32/PSW.Maran.EI トロイ として検知できるようになっているのを、つい先程確認。

chengzhi■exe
svch■exe
zhixiaogui■exe

369 ：(^ー^*)ノ〜さん sage ： 2007/05/15(火) 21:27 ID:EvtqpBCb0

超乙。

370 ：(^ー^*)ノ〜さん sage ： 2007/05/15(火) 21:27 ID:UzJI0zok0

>>366
ゆとりってことか・・・
資産って言葉を辞書引いてしっかり理解しといた方がいいぞ。
資産と所持金って違うって理解しようね。

>>367
見に行ってきた。表示されてる画像などもすべてハックトロイURL誘導になっててわらったｗ
exciteだとインフレーム仕込めないからどうにか誘導しようと必死すぎ。
どれも既知のドメインで、VBScriptを突いたトロイだね。
あと、そのブログをexcitに通報してブログ削除と管理人を追わせた方が良いかと。

371 ：(^ー^*)ノ〜さん sage ： 2007/05/15(火) 21:35 ID:WAaZ9k960

>>367
一番下にある「祝！exblog ブログ創設！」のエントリにある旧blogへの
参照URLは、見かけは実在するblogのURLだが実際のリンクは以下の通り。

http://www.homepage-nifty■com/blog/
Registrant Name ................. zhiqiang lin
Expiration Date ................. 2008-04-13 06:49:02


ついでに…

ダメダメ旅行代理店のサウスバウンドですが、うすのろにクレーム入れた
結果 index.aspからは消えていました。

駄菓子菓子。新URL登場。
http://www.southbound-inc■com/list.asp

もうだめぽ。

372 ：367 sage ： 2007/05/15(火) 23:30 ID:Q1I5Z3WW0

exciteに通報してきました
あとは対応を待つばかり

373 ：(^ー^*)ノ〜さん sage ： 2007/05/16(水) 02:10 ID:PqwBNS0X0

>>371
ここまで酷いと、root権限(IISだからadmin権限か)を奪われているか、或いは、どちらかの社内に実行犯が
入り込んでいる可能性を疑う必要が出てきそうだな。

374 ：(^ー^*)ノ〜さん sage ： 2007/05/16(水) 07:00 ID:778H8Qbs0

>>373
Administratorsの既存のアカウントのパスが割れたのは想像できるが
(そのまま使われているのか別のアカウントを作成されたのかは知らんが)
現存するアカウント全ての権限のチェックと、なぜ奪われたのかを調べて
再発を防止しないと何度でも改竄されるだろうになぁ。
フィリピンの旅行代理店もこんなクソ業者に頼んでると信用無くすだろうに…。

375 ：(^ー^*)ノ〜さん sage ： 2007/05/16(水) 10:57 ID:778H8Qbs0

うすのろのサーバをいくつか見てみた。
Apache/1.3.12 (Unix) (Red Hat/Linux)
Apache/1.3.22 (Unix) PHP/4.0.6
Apache/1.3.27 (Unix) PHP/4.3.2
Apache/1.3.37 (Unix) PHP/4.4.4
Apache/2.0.49 (Unix) PHP/4.3.4
Apache/2.0.53 (Unix) PHP/4.3.11
Microsoft-IIS/5.0　　　　　　　　←southbound-inc
見事にバラバラというか、ApacheやPHPが無駄に古い。
これは釣堀(ハニーポット)なのか? コレクションなのかは知らんが
(その割にはApache2.2やPHP5が見当たらんが)物騒だな。

376 ：(^ー^*)ノ〜さん sage ： 2007/05/16(水) 11:08 ID:778H8Qbs0

www■ezbbsy■com/bbs/ro.exe
www■lineage321■com/bbs/dsgdfhr.exe
今日の0時〜2時くらいに更新。
古い形式(カスペでMaran.cj)だったので
普通に検知できるものと思われ。

377 ：(^ー^*)ノ〜さん sage ： 2007/05/16(水) 13:44 ID:th/Un/HH0

>>290
今更だが、Trojan-PSW.Win32.Maran.eiの情報を見つけたから、参考までに。
ttp://www.ahnlab.co.jp/virusinfo/view.asp?seq=2652

DLLインジェクションという手法により、Windows上で動いているすべてのプロセスにDLLを注入して、
キー入力処理を横取りし、打ち込んだ文字を盗むという方法を取っているようだ。

378 ：(^ー^*)ノ〜さん sage ： 2007/05/16(水) 17:06 ID:PTUaM5Y20

>>372
俺も苦情入れたらこんな返答が帰ってきた
---
いつもエキサイトをご利用いただきまして誠にありがとうございます。
エキサイトカスタマーサポート○○と申します。
詳細なご報告いただきまして、ありがとうございます。
お知らせいただきましたブログにつきましては、エキサイトブログ管理
者にて
確認の上、必要に応じ、弊社既定の対応をさせていただきます。
---
だとさ。

379 ：(^ー^*)ノ〜さん sage ： 2007/05/16(水) 17:23 ID:mcJckO+P0

>>377
あれ、独自のサービス使うのか。
WinSockに寄生するタイプ(昔のMaran)とは違うのね。
Upackで固められると何やってるんだかわかんね。

380 ：(^ー^*)ノ〜さん ： 2007/05/16(水) 18:10 ID:qZ26gAud0

【　　アドレス 　 】 http://www■maplestorfy■com/lunimkabuges
【気付いた日時】 2007/05/16 15:40:24
【　 　　 OS　 　 】 Windows XP HomeEdi SP2
【使用ブラウザ 】 IEバージョンまではわかりません
【WindowsUpdateの有無】 ２〜3日前
【　アンチウイルスソフト 】 avast! Windows Defenfer
【その他のSecurty対策 】 ルータ
【 ウイルススキャン結果】avast! Windows Defenfer共に
【スレログやテンプレを読んだか】 軽く目を通した程度
【説明】
メイン・サブPC共にRo起動中にサブPCにてブログを見て回っている時にうっかり踏んでしまい
avast!とWindows Defenferが同時に反応、Defenderが警告と同時に接続をストップ
しばらくRo起動して回線つないだままでしたが、踏んだほうのPCは回線RO共にストップ
現在メインPCで書き込み中、メインPCつなぎっぱなしだけどﾀﾞｲｼﾞｮｳﾌﾞかな・・・？

381 ：(^ー^*)ノ〜さん sage ： 2007/05/16(水) 18:11 ID:qZ26gAud0

って、ごめんなさい、若干気が動転しててあげちゃいました。

382 ：(^ー^*)ノ〜さん sage ： 2007/05/16(水) 18:28 ID:TRVF/cU00

ageるのは、警鐘の意味で問題無い。

セキュリティソフトが反応してブロックしていれば問題無い。
念のため、カスペオンラインスキャンでフルスキャンかけてなにも出なかったら基本的には安心していい。

383 ：(^ー^*)ノ〜さん sage ： 2007/05/16(水) 18:32 ID:xNQEV7WC0

喰らったと思ったらOS入れなおし
これが確実

384 ：377 sage ： 2007/05/16(水) 20:32 ID:th/Un/HH0

>>379
いや、WinSock感染型も依然猛威を振るってると考えて良いと思う。
トレンドマイクロのウイルス情報ページを見ると、
ttp://www.trendmicro.co.jp/vinfo/grayware/ve_graywareDetails.asp?GNAME=TSPY_MARAN.D&VSect=Td
ttp://www.trendmicro.co.jp/vinfo/grayware/ve_graywareDetails.asp?GNAME=TSPY_MARAN.KZ&VSect=Td

このスレでも良く出てくるTSPY_MARAN.Dや、最近登場したTSPY_MARAN.KZなどを見ると、
マルウェア(DLL)がWinSock2のLSP(Layered Service Provider)として登録されて、
ブラウザを起動したときなどに、DLLが自動的に組み込まれ、パスワードなどを盗むようだ。

●WinSock
アプリケーション向けWindowsネットワークソケット機能。
これを使えば、アプリケーションからお手軽にネットワーク機能を利用できる。

●LSP(Layered Service Provider)
これにDLLを登録すると、WinSockの機能を拡張できる。
悪意のある拡張を施されると、SSL暗号化前のパケットを盗むことも可能なので、
パスワードを盗むトロイなどに利用されている。
LSPはWinSock2(WinSockのバージョン2)で新たに実装された機能である。

参考記事 ⇒ ttp://journal.mycom.co.jp/news/2007/03/26/383.html

385 ：(^ー^*)ノ〜さん sage ： 2007/05/16(水) 20:45 ID:X9q0/Z5l0

ああ、うん、それはわかる。>>376 見てもわかるとおり旧型も混ぜてる。

386 ：(^ー^*)ノ〜さん sage ： 2007/05/16(水) 21:40 ID:0qtHwe/L0

ウイルスチェックしたら

janeのログに検出されました
削除で駆除できるのでしょうか

387 ：(^ー^*)ノ〜さん sage ： 2007/05/16(水) 21:43 ID:1m4023Mk0

そんな質問内容で判る奴は居ない

388 ：377 sage ： 2007/05/16(水) 21:47 ID:th/Un/HH0

>>377の情報ページに単にWinSockに関して書かれてないだけかなと思ったので、
試しにTrojan-PSW.Win32.Maran.eiとして検出されるトロイをPE Explorerで調べてみた。

今回調べたのはこれ↓ (>>342-343、また>>380がダウンロードするトロイもこれ)
www■maplestorfy■com/lunimkabuges/zhixiaogui■exe

ImportTableを覗くとWS2_32.dll内のWSCInstallProvider関数が使用されてることが分かるので、
WinSock感染型と見て良さそう。WinSockに感染するだけでは、パケがアプリ側で暗号化された場合に、
解読できなくなってしまうので、キーロガー型と併用してるんだと予想してみる。

389 ：(^ー^*)ノ〜さん sage ： 2007/05/16(水) 21:47 ID:kxYN4J8C0

大方ノートンがウイルスコードに反応しただけだろうな
なんにせよスレ違いなのでお引き取りください

390 ：(^ー^*)ノ〜さん sage ： 2007/05/16(水) 21:57 ID:0qtHwe/L0

>>389
ありがと

セキュリティーは入れてないので
メールとかもwebでやってるし
垢ハックされたら引退するからいいや

391 ：(^ー^*)ノ〜さん sage ： 2007/05/16(水) 22:06 ID:zmBM4SNY0

引退おめ

392 ：(^ー^*)ノ〜さん age ： 2007/05/16(水) 22:29 ID:fBJiFMI60

Liveroのほうに書き込んでしまいました。
こちらのほうが良さそうなので、こちらで質問させていただきます。

今習慣になってるカスペスキャンしたんですが
Trojan-Downloader.Java.Agent.c　ZIP:感染-1なるものが検出されました。

半日前にスキャンしたときは異常なく、その後お気に入りのページを数箇所回った
程度で、怪しいアドレスを踏んだ記憶もありません。
ググってもこのトロイの実体がつかめなかったので、何かお解りの方がいたらご教授お願いします。
ROに影響のあるトロイなのかすら解らないもので・・・申し訳ありません。

393 ：(^ー^*)ノ〜さん sage ： 2007/05/16(水) 22:47 ID:9hs7jkbw0

>>392
スパム電子メールに添付されたトロイの木馬じゃないの？

394 ：(^ー^*)ノ〜さん sage ： 2007/05/16(水) 22:48 ID:HOYfQp+P0

>>390
小学生並の理論だな・・・
ウィルスがＲＯの垢ハックだけだとでも思ってるのか？

ｗｅｂメールなんぞキーロガーやＳＳ連続送信系の罠でも貰ってたら
簡単にハッキングされるんだよ？
そして君のアドレスから友人達にウィルス添付メールばら撒かれるかもしれん。

悪い事言わないから今からでもセキュリティを見直すんだ。

395 ：(^ー^*)ノ〜さん sage ： 2007/05/16(水) 23:11 ID:PTUaM5Y20

毎度おなじみ福建人が複数ドメインを短時間で４つ登録。
なんちゃってXREA初登場。

Domain Name ..................... rentalbbs-livedoor■com
Registrant Name ................. zhiqiang lin
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 610000
Registrant Country Code ......... CN
Expiration Date ................. 2008-05-15 07:11:45


Domain Name ..................... samples112xrea■com
Expiration Date ................. 2008-05-15 06:56:50


Domain Name ..................... raginfoy■com
Expiration Date ................. 2008-05-15 06:51:00


Domain Name ..................... ragnarokgvg■com
Expiration Date ................. 2008-05-15 07:01:40

396 ：(^ー^*)ノ〜さん sage ： 2007/05/16(水) 23:21 ID:L4rCpZbP0

旧未実装wikiのアドか

397 ：(^ー^*)ノ〜さん sage ： 2007/05/17(木) 04:34 ID:ZBhs7HvH0

ttp://vil.nai.com/vil/content/v_142170.htm
(下のAll Information参照)
ここでも何度か出ている台湾Gamania用のトロイだけど、感染すると
USBメモリ等にもドロップしてAutorunするのが新しいか。
Autorunは昔から切れと言われているが、ネカフェ等に持ち込む人は注意。

398 ：(^ー^*)ノ〜さん sage ： 2007/05/17(木) 04:37 ID:ZBhs7HvH0

↑あ、アドレスが一見うさんくさいけど
NAI=NetworkAssociates、McAfeeです。AVERTも。

399 ：(^ー^*)ノ〜さん sage ： 2007/05/17(木) 04:58 ID:p1N1Ta/n0

>>397-398
日本語のページもあるようなので一応。
ttp://www.mcafee.com/japan/security/virPQ.asp?v=PWS-Mmorpg.gen

400 ：(^ー^*)ノ〜さん sage ： 2007/05/17(木) 08:40 ID:djjMvujc0

>>395
4つともIP同じだね。香港か…。

401 ：(^ー^*)ノ〜さん sage ： 2007/05/17(木) 09:08 ID:yn/9kb8U0

>400
割り当て的にも中国では？
IPが125.65.112.32で、125.64.0.0 - 125.71.255.255 は CHINANET になってるし。

402 ：(^ー^*)ノ〜さん sage ： 2007/05/17(木) 09:20 ID:p1N1Ta/n0

ネットワークから隔離した仮想ＰＣ内(Windows2000 SP4)で、わざとmaran(↓)に感染させてみた。
www■maplestorfy■com/lunimkabuges/zhixiaogui■exe
(MD5:23C190849CA2353936A403B9079990E8)

最低でも２つのファイルが作成されることを確認。なお、元のEXEは実行後、消滅する。
C:\WINNT\svchost.exe
C:\WINNT\system32\tj9viewer.dll

svchost.exeの方はサービスとして登録され、
tj9viewer.dllの方はWinSock Providerとして登録された。

svchost.exeの方は常駐するようで、タスクマネージャでも確認できるが、
正規のsvchost.exeが多数立ち上がってるので、確認しづらい。
(フルパス表示できるソフトなら判別できる)

感染テストの結果を画像ファイルに保存しておいたので、興味のある方はどうぞ
ttp://www.mmobbs.com/uploader/files/2612.zip

403 ：(^ー^*)ノ〜さん sage ： 2007/05/17(木) 10:11 ID:VCR5BBAc0

スレ読んでてあまり理解できなかったので質問ですが
270の方の1個目の記事のURLってアカハックですか？
間違って踏んでavastで遮断され、ウイルススキャンでは何も出なかったんですが、その場合は大丈夫なんでしょうか？

404 ：(^ー^*)ノ〜さん sage ： 2007/05/17(木) 10:13 ID:yn/9kb8U0

>402
検証乙です。

>元のファイルが検出可であれば、感染後のファイルも検出可なのかと言うと、必ずしもそうではないようだ。

これが怖いねぇ……

405 ：(^ー^*)ノ〜さん sage ： 2007/05/17(木) 10:18 ID:yn/9kb8U0

>403
jpxpie6-7netもomakase-netもアカハックアドレス。

遮断されたのなら多分平気と思うが、念のためカスペのオンラインスキャンで
チェックして、見つからなければ恐らく平気。

ちなみに誰も「大丈夫」なんて保障は出来ない。
「多分」「恐らく」というレベル。

それとどちらのアドレスも既知のアドレスのため、hostsの変更やPG2の導入と
いった対策が有効。
スレやまとめサイトを読んで導入した方が無難。

406 ：(^ー^*)ノ〜さん sage ： 2007/05/17(木) 10:22 ID:VCR5BBAc0

>405
早い返信どうもありがとうございます。
色々調べて早速導入してみます。

407 ：(^ー^*)ノ〜さん sage ： 2007/05/17(木) 10:37 ID:yn/9kb8U0

またしても、あこすれてんぷら(本家)に罠ページが作成されてた。
貼られたアドレスは既知のものばかりだし、罠ページもTOPからのリンクは無い
（ページ一覧から探す必要がある）ので、被害者はいないと思うけど。

---------------
> *各職業別Wiki [#j7ee113f]
> 各職業に特化して書かれたWikiです。
> いろいろなテクニックや装備、ｽｷﾙ考察などがあるので、勉強になりますよ
(中略)
> ▼あこすれてんぷら
> [[http://applepie■leminx■com/>http://www■interzq■com/bbs]]
>
> ▼Crusader Template
> [[http://crsdr■netgamers■jp/>http://www■interzq■com/bbs]]
>
> ▼マジスレテンプレ
> [[http://www■eldgasyk■jp/~wizard/>http://www■ragnarok-search■com/bbs]]
>
> ▼ローグテンプレ
> [[http://mohige■s253■xrea■com>http://www■biglobe-ne■com/bbs]]
(以下略)
---------------
見かけは普通のリンクだが、バーに出るのは罠アドレスというパターン。
中華も必死というか、なんというか。

408 ：(^ー^*)ノ〜さん sage ： 2007/05/17(木) 11:05 ID:djjMvujc0

>>401
ごめん、名前が引けたのが61.15.141.234だったんで早とちりした。

409 ：(^ー^*)ノ〜さん sage ： 2007/05/17(木) 11:46 ID:djjMvujc0

>>402
乙。踏んでばらけたファイルまで検知・駆除できるかどうかは
解析チームがいい仕事するかどうかにかかってるんだよねぇ
(送ったファイルに対してだけシグネチャを作っていたら感染後にスキャンしても無駄)。
その辺も考えて、ドロッパとトロイが綺麗に分かれていた頃は
こちらでPEヘッダ前後でバラして送っていたんだが…。

410 ：(^ー^*)ノ〜さん sage ： 2007/05/17(木) 12:07 ID:djjMvujc0

>>407
3つとも同じなのね。
wu.htm wz.htm → happy1.htm happy2.htm happy3.htm
ちょっと懐かしい(ani発覚前の)形式。
www■interzq■com/bbs/t1.exe 5月4日製造のよくあるMaran。
今更こんなのを爆撃するところを見ると、どうも本部と
爆撃部隊との意思疎通がとれていない気がするなぁ。

411 ：(^ー^*)ノ〜さん sage ： 2007/05/17(木) 22:49 ID:VoX9lqte0

毎度おなじみ福建人の新ドメイン。

今回のも法則性がある、キーワードはTWだ。
TWなんたらと言う福建人の罠ドメインはすでに幾つか確認されている。

Domain Name ..................... twyaooplay■com
Registrant Name ................. zhiqiang lin
Expiration Date ................. 2008-05-16 11:32:29

412 ：(^ー^*)ノ〜さん sage ： 2007/05/18(金) 00:38 ID:sUQ9fRa40

いつもお世話になっています。
＜ツールのバグ報告のコピペ＞
引き続き出来る範囲で調べてみます。
http://www■runbal-fc2web■com/test/100865889/
　　↓iframeで下記を呼び出し↓
http://www■gamesmusic-realcgi■net/test/100865889/Ms06014■htm

413 ：(^ー^*)ノ〜さん sage ： 2007/05/18(金) 06:41 ID:jVYMRpw60

>>411
xp.htmからスクリプト経由で、sp2.htmから0day.jpg経由で
www■twyaooplay■com/gisl.exe
100kBほど。台湾向けと思われ。昨夜20時過ぎに製造、gamanirと同一犯?
そのgamanirは今日の0時過ぎに2007mmm.exe更新。

>>412
www■gamesmusic-realcgi■net/test/100865889/svch.exe
try〜catchな最近よく見るMaran。8日製造。
ドメインのネーミングセンスは www■jpxpie6-7net■com っぽいけど
ディレクトリの数字の羅列はahatenaやsoultakerbbsの人かなぁ。

さて、検体スキャンしてきます…。

414 ：(^ー^*)ノ〜さん sage ： 2007/05/18(金) 07:23 ID:jVYMRpw60

とりあえずKasperskyとMcAfeeが3匹とも捕獲。

415 ：(^ー^*)ノ〜さん sage ： 2007/05/18(金) 12:07 ID:nCVQ4+3C0

>>413が実行された場合・・・

www■gamanir■com/2007mmm■exe
(MD5:2B92ADB67BFBFA39876C582A2DA11842)
→ %WinDir%\avp.exe　　(サービス名 vGADown で登録）
→ %WinDir%\system32\hsvwer9.dll　　(Winsock Providersに登録）

www■gamesmusic-realcgi■net/test/100865889/svch■exe
(MD5:EF39239F1A48554AE11963898E72F38C)
→ %WinDir%\svchost.exe　　(サービス名 ADIDown で登録）
→ %WinDir%\system32\tj9viewer.dll　　(Winsock Providersに登録）

www■twyaooplay■com/gisl■exe
(MD5:E0C003E0F08DD80E2D3BD02146046210)
→ %WinDir%\avp.exe　　(サービス名 VGADown で登録）
→ %WinDir%\system32\hsvwer9.dll　　(Winsock Providersに登録）

しばらくの間、感染後のファイルがどこに登録されるか調べてみようと思う。
傾向が掴めれば、特にそこを重点的に防御することも可能だし。

感染後のファイル名は検体毎に異なるけど、exeをサービスに登録し、
dllをWinsock Providerに登録するという点では今のところ同じ手口と言える。

416 ：(^ー^*)ノ〜さん sage ： 2007/05/18(金) 12:20 ID:EbI3IP330

手法は同じなんだね。同じUpackで固めてあっても
台湾向けのサイズは2倍以上と明らかに大きいので、
機能は異なりそう。

417 ：415 sage ： 2007/05/18(金) 12:27 ID:nCVQ4+3C0

ごめ。>>415のMD5間違ってた。検体の差し替えが頻繁に行われてるから、
同一性確認のためにMD5も書いておいたんだが、うっかりUPack解凍後のMD5を書いてしまった。
というわけで、正しくは↓です。

www■gamanir■com/2007mmm■exe
(MD5:B81E3A9FCC07E2B633063DD52DB1F626)

www■gamesmusic-realcgi■net/test/100865889/svch■exe
(MD5:E392313EE9C31AAFC0453F1C50189BA4)

www■twyaooplay■com/gisl■exe
(MD5:515DC3D1FE10CF5F52E0901611560158)

418 ：415 sage ： 2007/05/18(金) 13:28 ID:nCVQ4+3C0

バスターがスルーしたので、以下の検体２種をトレンドマイクロに発射しときました。
www■gamanir■com/2007mmm■exe
www■twyaooplay■com/gisl■exe

>>416
機能が違うのか、あるいはターゲットとしているゲームが違うのかも。

hsvwer9.dllをバイナリエディタで開いて、httpで検索かけると
URLが18個ほど見つかって、全部gananiaだった。一例を挙げると↓
https://tw■login■gamania■com/home_login■asp　　（危険アドレスではないが一応■＝ピリオド）

ROが関係ないかというと、そんなことはなく、
61.220.60.11 (Ragnarok-Alfheim)
のような文字列も埋まってた。でもこれjROじゃないな。

tj9viewer.dllの方も調べてみたけど、こちらは、
211.13.228.22 (Ragexe-worldgroup1)
など明らかにjRO狙いと思われる文字列を発見。
URLらしきものは見つからなかった。

419 ：(^ー^*)ノ〜さん sage ： 2007/05/18(金) 13:57 ID:NKd7RSvx0

TWって、台湾だよね。
台湾も中国だとかいいつつ狙うとは、支那人って節操ないね(；´д｀)

台湾のgamaniaも狙われているとなると、もうMMO全般は狙っていると考えていいのかな…。
・・・まぁ、MMO「だけ」じゃないだろうけど。

420 ：(^ー^*)ノ〜さん sage ： 2007/05/18(金) 14:09 ID:P+e7wGFv0

台湾はLineageもGamaniaが運営してるからなー。

421 ：(^ー^*)ノ〜さん sage ： 2007/05/18(金) 15:53 ID:lgRcjVQk0

えーと・・・ハックされた場合、癌に報告しても一切の追跡調査も無く、
被ハックアカとハックアカの間での巻き戻りも期待は全く出来ない、
ってことでいいんでしたっけ？

422 ：(^ー^*)ノ〜さん sage ： 2007/05/18(金) 15:55 ID:uZp/ydns0

数ヶ月かかったようですが一応装備は戻ってきたと言う報告は何件かあった。
ちなみに癌だけじゃなくて警察にも通報しないとダメよ。

423 ：(^ー^*)ノ〜さん sage ： 2007/05/18(金) 16:00 ID:lgRcjVQk0

一応諦めずに報告しておけって事ですかね。
しかし警察にも・・・ですか・・・サイバーポリスってやつですか？
ttps://www.cyberpolice.go.jp/request/index.html
ここら辺から問い合わせていけば良さそうですね、どうもです。

424 ：(^ー^*)ノ〜さん sage ： 2007/05/18(金) 16:08 ID:uZp/ydns0

そこら辺は実体験ある人やもっと詳しい人がいるはずなので、
また時間たって見に来てみればもっといいアドバイスがあるかも。
とりあえず喰らってしまってまだウィルスが残っているようならば駆除をしましょう。
更に他のパスワードや入力を読み取られてしまうかもしれない。

425 ：(^ー^*)ノ〜さん sage ： 2007/05/18(金) 16:23 ID:P+e7wGFv0

んー、直接出向くことになるよ。何回か。
自宅からメール送っただけで警察が動いてくれると思うなよ?

426 ：(^ー^*)ノ〜さん sage ： 2007/05/18(金) 21:43 ID:Kt76YVAB0

みんななんか勘違いしてるけど、トロイ等により垢ハックにあったのは個人のPCで、
被害者はあくまでも個人ユーザー。ガンホーとしては垢ハッキングによる実被害は無い。
ハッキングは犯罪だからハッキング被害者として警察に相談するようにとテンプレが返ってくるわけ。

ガンホーが動く理由は不正アクセス。
ハッカーがハッキングして盗んだID等で不正アクセスしたことにより不正アクセス被害者になる。OK？

427 ：(^ー^*)ノ〜さん sage ： 2007/05/18(金) 21:47 ID:P+e7wGFv0

みんな? 一部じゃね?

428 ：(^ー^*)ノ〜さん sage ： 2007/05/19(土) 01:46 ID:BvmNNpCB0

>>417
後れ馳せながらチェック。NOD32もカスペもちゃんと検出しました。

NOD32
2007mmm.exe : Win32/PSW.Maranの亜種（自動提出済）
gisl.exe : Win32/PSW.Maranの亜種（自動提出済）
svch.exe : Win32/PSW.Maran.EI

Kaspersky
2007mmm.exe : Trojan-PSW.Win32.Maran.ez
gisl.exe : Trojan-PSW.Win32.Maran.eq
svch.exe : Trojan-PSW.Win32.Maran.ei

429 ：(^ー^*)ノ〜さん sage ： 2007/05/19(土) 03:07 ID:feMa2qWK0

またもや、あこすれてんぷら本家のTOPが改竄されてた。
……のだが、何を考えてるのか良く分からない改竄の仕方になってた……

-----------
元
-----------
// セキュリティ面の不安を考慮すると、このWikiそのもの、むしろPHP自体を停止した方が
// 良い時期なのではないでしょうか。
// ttp://wiki■ohgaki■net/index.php?PHP%2F%C0%C8%BC%E5%C0%AD%A5%EA%A5%B9%A5%C8%2FPHP4#content_1_5
// ttp://www■php■net/ChangeLog-4.php
-----------
改竄
-----------
// セキュリティ面の不安を考慮すると、このWikiそのもの、むしろPHP自体を停止した方が
// 良い時期なのではないでしょうか。
// http://www■netgamelivedoor■com/online/
// http://www■netgamelivedoor■com/online/
-----------
いや、そこコメントアウトされてる部分だから……

ついでにその最期に「・・・・・・・・」という１行が先日から追記されてたが、無害なので放置してたら
こういう事態に。
Wikiを見回りしてる人が居るかどうかのチェックに使ってたのかもしれないが、つまり人力手動で
書き換えてるって事だよねぇ……
改竄部隊って書き換えた後にリンクが生きてるかの確認もしないんだろうか？

430 ：(^ー^*)ノ〜さん sage ： 2007/05/19(土) 03:27 ID:feMa2qWK0

ついでにソースチェッカーで見てみると
www■conecojp■net/online/jpt1.exeをDLさせてる。
パッと見、MDACの脆弱性の罠に見えた。
%temp%にL_iy80.scrとして保存して実行してるのかな？

netgamelivedoorもconecojpも既知のアドレスでまとめサイトさんの所に
載ってるし、何よりコメントアウトされてる部分の改竄なので無害なわけですが。

それともWikiをメンテする人を狙った罠のつもりだったんだろうか？

431 ：(^ー^*)ノ〜さん sage ： 2007/05/19(土) 06:05 ID:9kkpv1aV0

>>419
台湾はマザーボードメーカーが多数存在するほど、技術の水準も生活水準も高い訳で。
一部のエリートを除けば見るも無い大陸側からは、当然のごとく標的にされる。
外省人が犯罪行為に及ぶ際に、本省人を騙るのも良くある事のようだし。

432 ： ◆sp4Sh9QXGI sage ： 2007/05/19(土) 10:11 ID:oVJADcar0

えぇと。
1週間ほど消失しておりましたが先ほど更新しました…(っ´-ω-)っ

433 ：(^ー^*)ノ〜さん sage ： 2007/05/19(土) 10:19 ID:s9jpOUix0

おつかれさまです。

434 ：(^ー^*)ノ〜さん sage ： 2007/05/19(土) 17:39 ID:CAzVMgFt0

乙であります。

435 ：(^ー^*)ノ〜さん sage ： 2007/05/19(土) 19:32 ID:LTFrWOas0

>>376および>>430の感染後調査

www■lineage321■com/bbs/dsgdfhr■exe
(MD5:0C6722CD823F9A6F7F8D3282A231F4BB)　(Trojan-PSW.Win32.Maran.cj)
→ %WinDir%\svchost.exe　　　　　　　(サービス名 ADIDown で登録）
→ %WinDir%\system32\tj2viewer.dll　　(Winsock Providersに登録）

www■ezbbsy■com/bbs/ro■exe
(MD5:77599D6CB1DA8C1DB95EF04DB6093DC1)　(Trojan-PSW.Win32.Maran.ei)
→ %WinDir%\svchost.exe　　　　　　　(サービス名 ADIDown で登録）
→ %WinDir%\system32\tj9viewer.dll　　(Winsock Providersに登録）

www■conecojp■net/online/jpt1■exe
(MD5:49A9DFDD4EEFE317285EEE10E63A6AC3)　(Trojan-PSW.Win32.Maran.ei)
→ %WinDir%\svchost.exe　　　　　　　(サービス名 ADIDown で登録）
→ %WinDir%\system32\tj9viewer.dll　　(Winsock Providersに登録）

MD5の右側のはカスペでのウイルス名です。
旧種？ということでTrojan-PSW.Win32.Maran.cjも調べてみたけど、
サービスやWinsockに登録しているという点では、他と同じでした。
SysInternalsのFilemonで調べた限りは、上記以外に作ってるファイルは
自分自身を消去するためのバッチファイルのみでした。

436 ：(^ー^*)ノ〜さん sage ： 2007/05/20(日) 02:54 ID:/3VSYIRn0

捨て垢２つ取ってキャラ名を天安門事件1　天安門事件2と全鯖埋めて
お試し期間切れた後に罠サイト踏みまくって垢ハクされてみた。
1dayで課金してくれるらしく捨て垢がちょくちょく有効になってる

またかよ鯖の倉庫にいれといたやわ毛２個取られたので通報してきますwwww

437 ：(^ー^*)ノ〜さん sage ： 2007/05/20(日) 08:21 ID:gnHs7e820

ボクのやわ毛返してｗｗｗ

438 ：(^ー^*)ノ〜さん sage ： 2007/05/20(日) 09:54 ID:lMmpYWKO0

　hostsリストの導入をしたのですが、チャントできているかが不安で、自分でやった
手順を書きますので、正しいか教えていただけませんか。

「ファイル名を指定して実行」→notepad %Systemroot%\system32\drivers\etc\hosts
開いたメモ帳に、リストを追加。

# System Hosts File
# DO NOT REMOVE IT !
127.0.0.1 localhost
#
# Trojan trap sites
#
(中略)
#
# End of trojan trap sites
#

　と、なったら上書き保存。属性を「読み取り専用」に変更。
　以上の事をやりました。これで正しいのでしょうか？

439 ：(^ー^*)ノ〜さん sage ： 2007/05/20(日) 10:24 ID:vxgvGmSN0

www■mbspro6uic■com/mbsplink/xiaogui.exe
Packし忘れた(?)、生のMaran(151kBほど)。
教本としてはいいかと。PEヘッダは3つ。
適当にぶった切ってスキャンすると手抜きなシグネチャがばれる。

>>438
いいんじゃね? LiveROでどぞ。

440 ：(^ー^*)ノ〜さん sage ： 2007/05/20(日) 11:09 ID:cYAmwYwB0

>>438
正しいかどうかを判断できないなら導入するべきではない。

441 ：(^ー^*)ノ〜さん sage ： 2007/05/20(日) 11:17 ID:DveE+V+10

>>440
438はたぶん手動更新なので、やるのはよいんじゃないかな。
自動ツールはお勧めしないけど。

442 ：(^ー^*)ノ〜さん sage ： 2007/05/20(日) 12:08 ID:9ElOLeej0

>>438
おｋです。質問は次からLiveROの方でするといいです。

>>440
この場合においてその返答はちょっと宜しくない。

443 ：(^ー^*)ノ〜さん sage ： 2007/05/20(日) 14:39 ID:lMmpYWKO0

　皆さん返答ありがとうございます。
　質問はLiveROだったのですね。次からは気をつけたいと思います。

444 ：(^ー^*)ノ〜さん sage ： 2007/05/20(日) 15:44 ID:yjDLCDWG0

理解せずに書き換えるのなら手動も自動も危険性は同じ。
理解して書き換え出来るなら手動にしようが自動にしようが、これまた同じ。

同じ危険性なら自動ツール導入した方がマシだと思うな。
更新忘れて被害に遭うよりはいいだろうし。

一番いいのは、理解した上で日々更新するぐらいの姿勢になる事だろうけど。

445 ：(^ー^*)ノ〜さん sage ： 2007/05/20(日) 15:46 ID:9ElOLeej0

まぁ俺も最初そこで迷った。やっぱり判る人に確認して欲しいってのはあるよ。

446 ：(^ー^*)ノ〜さん sage ： 2007/05/20(日) 15:55 ID:Cs11Lga/0

hostsを変更するなら、セットでping,nslookupあたりの使い方も覚える。
どちらもnetwork diagnosticsに於いて基本のコマンドラインツールだし、機能解説のドキュメントは
web上に幾らでもある。

手段だけ学んで、原理に目を向けないと、道具に使われるだけのユーザーになってしまう。

447 ：(^ー^*)ノ〜さん sage ： 2007/05/20(日) 15:58 ID:zmqmGI+70

http://www.abcoroti.com/~kimo/cgi-bin/all.html?1159355145
の中のkimo0903.jpg
画像が1KBとかめちゃめちゃ怪しいんだが垢ハックかな？
うっかり踏んじまって不安だわ。
誰か情報もとむ。

448 ：(^ー^*)ノ〜さん sage ： 2007/05/20(日) 16:00 ID:p41jOIU40

tracertも覚えたほうがいいねぇ。
pathpingはちょっとびっくりした。

449 ：(^ー^*)ノ〜さん sage ： 2007/05/20(日) 16:01 ID:1LjoMk5q0

※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

450 ：447 sage ： 2007/05/20(日) 17:56 ID:zmqmGI+70

>>449
すまんテンプレあったの気付かなかった。
【　　アドレス 　 】 http://www■abcoroti■com/~kimo/cgi-bin/src/kimo0903■jpg
【気付いた日時】 07/05/20　15：30頃
【　 　　 OS　 　 】 WinXP Version2002 SP2
【使用ブラウザ 】 IE7
【WindowsUpdateの有無】 不明
【　アンチウイルスソフト 】 ウイルスバスター2006
【その他のSecurty対策 】
【 ウイルススキャン結果】 ウイルスバスターで現在検索中
【スレログやテンプレを読んだか】 今から読むところです。
【hosts変更】無　
【PeerGuardian2導入】無
【説明】
　クリックし、画像が表示されずおかしいとおもい
画像の参照をみたところ、サイズが1KBだったので
不信に思い投稿してます

451 ：(^ー^*)ノ〜さん sage ： 2007/05/20(日) 18:00 ID:8iPMB2av0

▲1▼ BOT露店不買運動の日です (Res:1) All First100 Last50 SubjectList ReLoad ▲1▼

1 名前：夢香 投稿日： 2007/05/19(土) 12:15:53
本日は　BOT露店不買運動の日です。
御用とお急ぎでないかたはご協力お願いします。

皆さん忙しいようですが
無理せずゆっくり
できる範囲でいろいろやっていきましょう
BOT露店不買運動詳細はこちら
www■deco030-cscblog■com/
--------------------------------------------------------
ソースチェッカーで調べると
www■blog-livedoor■net/Ms06014.htm　(名前のとおりMS06-014の虚弱性を突く奴）
www■blog-livedoor■net/test.cur　(アニメーションカーソルの虚弱性を突く奴)

452 ：(^ー^*)ノ〜さん sage ： 2007/05/20(日) 18:07 ID:f61Eb4zf0

>>450
スレ違いだ。おとなしくLiveROへ行け。

453 ：447 sage ： 2007/05/20(日) 18:24 ID:zmqmGI+70

>>452,449
すまん。自己解決した。
空白の対象に保存して、同じものを作ってみたらサイズが一致した。
txtにして見てみたがまったく同じだった。

454 ：(^ー^*)ノ〜さん sage ： 2007/05/20(日) 20:10 ID:p41jOIU40

>>451
www■blog-livedoor■net/mangame.exe
UpackなMaran。

あとネタかもしれんが、とりあえず突っ込ませてくれ。
虚弱性じゃない。脆弱性(ぜいじゃくせい)。

455 ：(^ー^*)ノ〜さん sage ： 2007/05/20(日) 20:55 ID:Pb3N3+pH0

今日何人もハックされたってチャットしてるの見たんだけど
またどこかRO系の掲示板に貼られたのかなぁ
癌方もRMTerの調査ができるなら、ハックも対応してくれればいいのに。
ハック対策も自己責任のうちだろうけど、やったもん勝ちの状況だから
ハックがあとを絶たないわけで。

456 ：(^ー^*)ノ〜さん sage ： 2007/05/20(日) 21:32 ID:p41jOIU40

踏んだのが最近とは限らないんじゃない?
危機感無い人はパスワードを頻繁には変更しないだろうし、
ずっと前に踏んで抜かれていたのを今頃使われたのかも
(いつでも引き出せる預金みたいなもんだ)。

457 ：(^ー^*)ノ〜さん sage ： 2007/05/20(日) 23:46 ID:kX0bObwS0

fc2のブログに繰り返し張られているURL。
ttp://www■grandchasse■com/wikblog

458 ：(^ー^*)ノ〜さん sage ： 2007/05/21(月) 01:11 ID:F3lg5O7l0

>457
maplestorfyに繋いでbodg.curとzhixiaogui.exeを落とさせるタイプっぽい

459 ：(^ー^*)ノ〜さん sage ： 2007/05/21(月) 01:16 ID:DWjR9i0f0

そのURLはうちも張られてたな。
コメント見て怪しいから削除したけど、やっぱりウィルスか。

460 ：(^ー^*)ノ〜さん sage ： 2007/05/21(月) 01:23 ID:FwfeW/Zc0

>>457
www■maplestorfy■com/lunimkabuges/zhixiaogui■exe
が落ちてくる。>>402とMD5が一致したので、差し替えは行われていない模様。

461 ：(^ー^*)ノ〜さん sage ： 2007/05/21(月) 08:13 ID:ty2GcRvV0

自分の絵のサイトに貼られてたので報告〜
http://www●rmt-navip●com/game/

462 ：(^ー^*)ノ〜さん sage ： 2007/05/21(月) 19:13 ID:p7qSzk890

http://mohige.s253.xrea.com/pukiwiki.php?%3A%A5%AD%A5%E3%A5%F3%A5%DA%A1%BC%A5%F3

wikiの外部リンク飛ばして移動とかできるの？

463 ：(^ー^*)ノ〜さん sage ： 2007/05/21(月) 19:28 ID:9Z3cDAHK0

wikiとサーバが一緒だから内部リンクと判断されたんじゃないか？

しかしFirefox限定キャンペーンって熱烈な(Firefoxの)ファンか

464 ：(^ー^*)ノ〜さん sage ： 2007/05/21(月) 20:14 ID:7woBLyPs0

ROSVの掲示板は相変わらず、垢ハックほいほい状態ですね。殆どが既出かな。

http://bqdr■blog98■fc2■com/
http://nikang■blog79■fc2■com
http://www■cityblog-fc2web■com/boss/
http://www■d-jamesinfo■com/blog/
http://www■dtg-gamania■com/rormtga/
http://www■game62chjp■net/test/1087006635/
http://www■game-fc2blog■com/chaos
http://www■gameurdr■com/rormtga/
http://www■getamped-garm■com/chaos/
http://www■gsisdokf■net/online/
http://www■k5dionne■com/bbs
http://www■kotonohax■com/blog/nc■htm
http://www■livedoor-game■com/bbs
http://www■mbspro6uic■com/mbsplink
http://www■m-phage■com/bbs/
http://www■omakase-net■com/minamiblog/index■html
http://www■playsese■com/bbs/
http://www■rmt-trade■com
http://www■ro-bot■net/10657/
http://www■shoopivdoor■com/fczdun
http://www■southbound-inc■com/list■asp
http://www■ywdgigkb-jp■com/online/

465 ：(^ー^*)ノ〜さん sage ： 2007/05/21(月) 21:41 ID:OVQH+K+o0

「オンラインゲームのパスワードが狙われている」、専門家が警告
ttp://itpro.nikkeibp.co.jp/article/NEWS/20070521/271719/

ユーザからはいまさらだが、やっと一般向けの記事にもなるようになったな

466 ：(^ー^*)ノ〜さん sage ： 2007/05/22(火) 04:45 ID:GOI4JAoA0

垢ハックだけに限らずいい加減ネット関係の法規制進めて欲しいな
法規制が遅れているせいでネット社会では日本が発展途上国なんていわれてるザマだし

467 ：(^ー^*)ノ〜さん sage ： 2007/05/22(火) 05:22 ID:QAnVS5qZ0

>>464の感染後調査
MD5の下はカスペでのウイルス名です。その隣はファイルの最終更新日(日本時間)です。

MD5:30D161292355A051A3E048DD5ECE005B　www■zhangweijp■com/tt1/tt1■exe
Trojan-PSW.Win32.Nilage.bdy　　　　2006/12/27
→ C:\Program Files\Internet Explorer\explorer.exe　（レジストリHKCU\Software\Microsoft\Windows

NT\CurrentVersion\Windows\Loadに登録）
→ %WinDir%\system32\ccdll.dll

MD5:BCC22DEDB9D2AE01BF13A4AA6D4E7C5E　www■zhangweijp■com/tmsn/tmsn■exe
Trojan-PSW.Win32.Agent.ka　　　　　2007/01/04
→ %WinDir%\system32\Kcrner.exe　　　（レジストリHKCU\Software\Microsoft\Windows\CurrentVersion\Runに登録）
→ %WinDir%\system32\Kcrner.dll

MD5:C72ACCE22CF7AF31F7988244243610F3　www■zhangweijp■com/tro/tro■exe
Trojan-PSW.Win32.Maran.by　　　　　2007/03/16
→ %WinDir%\svchost.exe　　　　　　　　（サービスに登録 → サービス名ADIDown 表示名Power Adapter）
→ %WinDir%\system32\ojviewer.dll　　　（Winsock Providerに登録）

MD5:869F39CE797B135177241291363A8C68　www■game-fc2blog■com/nairmt/ro■exe
Trojan-PSW.Win32.Maran.cj　　　　　2007/04/04
→ %WinDir%\svchost.exe　　　　　　　　（サービスに登録 → サービス名ADIDown 表示名Power Adapter）
→ %WinDir%\system32\tj6viewer.dll　　　（Winsock Providerに登録）

MD5:2A08461A388D581B5E24E60828B7DB6C　www■acyberhome■com/game/svch■exe
Trojan-PSW.Win32.Maran.cj　　　　　2007/04/19
→ %WinDir%\svchost.exe　　　　　　　　（サービスに登録 → サービス名ADIDown 表示名Power Adapter）
→ %WinDir%\system32\tj7viewer.dll　　　（Winsock Providerに登録）

468 ：(^ー^*)ノ〜さん sage ： 2007/05/22(火) 05:23 ID:QAnVS5qZ0

>>467の続き

MD5:DD1638033B51A139A13141B056DD4103　www■blog-livedoor■net/boss/mangame■exe
Trojan-PSW.Win32.Maran.ei　　　　　2007/05/08
MD5:D6DD2F9474CA0B3920A3CE8919C1E95A　www■cityhokkai■com/games/server■exe
Trojan-PSW.Win32.Maran.ei　　　　　2007/05/08
MD5:ADBE924EE0A92E88E761465C6F29A845　www■game62chjp■net/test/1087006635/svch■exe
Trojan-PSW.Win32.Maran.ei　　　　　2007/05/08
MD5:62BEDB8221A85163C87BFBDA9CDA28D6　www■maplestorfy■com/sixiaogui/sigui■exe
Trojan-PSW.Win32.Maran.ei　　　　　2007/05/13
MD5:3CD5F9CDDC4073E767BCBAEC53CFEE76　www■mbspro6uic■com/mbsplink/xiaogui■exe
Trojan-PSW.Win32.Maran.ei　　　　　2007/05/17
MD5:BCCF3223180CC9073937F7E1DDCAD1ED　www■ro-bot■net/10657/yan■exe
Trojan-PSW.Win32.Maran.ei　　　　　2007/05/08
上記６つに対して共通↓
→ %WinDir%\svchost.exe　　　　　　　　（サービスに登録 → サービス名ADIDown 表示名Power Adapter）
→ %WinDir%\system32\tj9viewer.dll　　　（Winsock Providerに登録）

ここ最近は、Service＆Winsock登録型一辺倒のようです。
トロイはなんらかの形で自動実行されるようレジストリなどを書き換えてくると思われますので、
SysInternalsのAutoRunsで怪しいプログラムが登録されていないか調べるのが、
一つの防御策になると思います。（ここ最近みたいにワンパターンだと楽なのですが）

469 ：(^ー^*)ノ〜さん sage ： 2007/05/22(火) 08:51 ID:ml5gYZOB0

ttp://www.kaspersky.com/viruswatchlite
を見ていると今はMaran.feまでいるみたい。
たぶん(ROやリネージュといった)ターゲットではなく
構造や手法による分類なんだろう。

md %WinDir%\svchost.exe
md %WinDir%\system32\tj9viewer.dll
とかやっとけば短期的には潰せるかな。

470 ： ◆sp4Sh9QXGI sage ： 2007/05/22(火) 11:12 ID:qWE42PFv0

まとめサイトのWeb拍手に来ていた奴。
URLについての調査http://www■extd-web■com/blog
木馬対策方法http://www■aehatena-jp■com/news/100658432/

中華どもは私を引っ掛けようとでも言うのでしょうか。

471 ：(^ー^*)ノ〜さん sage ： 2007/05/22(火) 11:16 ID:2d5s57J80

>470
>429-430もそうだけど、まとめサイトの人やWikiをメンテする人って、中華からすれば
憎むべき敵だろうしね。
狙われるのも仕方が無いというか、有名税と考えるしかないんじゃないかな。

472 ：467-468 sage ： 2007/05/22(火) 11:21 ID:QAnVS5qZ0

ojviewer.dll, tj?viewer.dll の中身見ると、
最低でもjROとリネージュ(1の方)をターゲットとしているであろう文字列(↓)が埋まってた。
(それ以外のゲームをターゲットとしていそうな文字列は見つからなかった。暗号化されてるだけかもだけど)

211.13.228.22 (Ragexe-worldgroup1)
211.13.228.19 (Ragexe-worldgroup2)
211.13.228.20 (Ragexe-worldgroup3)
211.13.228.21 (Ragexe-worldgroup4)
211.13.228.23 (Ragurdrexe)

61.215.117.34 L1:Canopus(
61.215.117.36 L1:Arcturus(
61.215.117.37 L1:Rigel(
61.215.117.33 L1:Sirius(
61.215.117.35 L1:Vega(Non-PvP)(
61.215.117.38 L1:Altair(Non-PvP)(

>>469
その方法で潰せることを確認。現状フォルダを消して来たりはしないけど、
消されるのが心配な場合は、フォルダの中にEXE作って常時実行させとくとか。
(OSが限定されるけどソフトウェア制限のポリシーを設定する手もあり。ただしDLLは防げない)

ファイル名なんてノーコストで変えられるし、その気になれば存在しないファイル名を探すことも可能だから
脆い防御方法ではあるけど、フォルダ作るだけだから、駄目もとでやっとくのはいいかもしれない。

473 ：(^ー^*)ノ〜さん sage ： 2007/05/22(火) 11:43 ID:ml5gYZOB0

>>472
ROとリネの両用なのは結構前からだね。
情報の送信先はさすがにベタには書いてない模様
(FFXIのトロイで逆襲されたからか?)。

普段aaaaでログオンしているならbbbbでログオンして
ファイルやフォルダを作成、bbbb以外のアクセス権を
全て削除するほうが手軽かな。bbbbはフルコンで。

474 ：(^ー^*)ノ〜さん sage ： 2007/05/22(火) 17:20 ID:ml5gYZOB0

www■jpxpie6-7net■com/web/read_cgi/svchost.exe
www■jpxpie6-7net■com/svchost.exe
同じ物なので、お持ち帰りはお好きなほうを。2kBほどダイエット。
Upack圧縮で5%も削るのは難しいと思うんだけど、機能削減版?
ROだけとかリネだけとか。

Kasperskyで検知できず発射したところ「Maran.ff」として対応すると返答。
他はほぼ検知(Norton、McAfee、AntiVir、Avast!、BitDefender、NOD32など)。
AVGとトレンドマイクロには発射済み。

475 ：(^ー^*)ノ〜さん sage ： 2007/05/22(火) 17:34 ID:AXjyF9sO0

乙です。セキュリティ会社も大変だ・・・

476 ：(^ー^*)ノ〜さん sage ： 2007/05/22(火) 17:56 ID:VO7Xc8Wl0

>>474
乙ですよ。カスペはその対応の早さが安心だ

477 ：(^ー^*)ノ〜さん sage ： 2007/05/22(火) 18:24 ID:ml5gYZOB0

返信のメールヘッダを見たら発射後10分で返信してる。はえーよ…。
トレンドマイクロの「受け取ったよ」自動返信メールよりはえーよ。
オンラインスキャンしたら既に検知した。

478 ：(^ー^*)ノ〜さん sage ： 2007/05/22(火) 18:50 ID:AXjyF9sO0

その一万分の1でもどっかの会社に見習って欲しいもんで。

479 ：(^ー^*)ノ〜さん sage ： 2007/05/22(火) 19:42 ID:2d5s57J80

>トレンドマイクロ、国内専門のセキュリティ対策に特化したラボ稼働
>WinnyやShareをクローリングして暴露ウイルスの検体も収集
>ttp://internet.watch.impress.co.jp/cda/news/2007/05/22/15786.html

カスペとかと比べてフットワークが軽いとは言えなかったバスターだけど
今後はフットワークが軽くなるかもしれない？

480 ：(^ー^*)ノ〜さん sage ： 2007/05/22(火) 19:57 ID:QZAMJXiU0

フットワークもいいがプログラムも軽くしてくれと切実に

481 ：(^ー^*)ノ〜さん sage ： 2007/05/22(火) 20:13 ID:+aePwDdK0

下がりすぎなので上げ
カスペ頑張ってるなぁ、期限切れたらノートン先生からカスペに乗り換えよう

482 ：(^ー^*)ノ〜さん ： 2007/05/22(火) 20:14 ID:+aePwDdK0

上げてNEEEEE　orz

483 ：(^ー^*)ノ〜さん sage ： 2007/05/22(火) 20:21 ID:ml5gYZOB0

>>479
「TRACKING」(「受け取ったよ」の自動返信)は早いのに
「CLOSING」が3日後とかに来るNortonよりははるかに早いよ。
驚異的なのは、この「CLOSING」で解決していないこと。
「サーバでスキャンしたけど有害とは認識できなかったので
解析チームにまわすね」という自動返信なんだ。
サーバの中の小人さんが手作業してるんじゃないかと。
ちなみに解析チームにまわされた後の返信は来ない。

同じ3日もあればトレンドマイクロからは受け取ったよ、
命名したよ、パターンリリース(CPR)するよ、したよ、
の告知が(ちょっとウザいほど)来る。

484 ：(^ー^*)ノ〜さん sage ： 2007/05/22(火) 20:22 ID:hc4N1JLo0

トレンドマイクロは過去５回ぐらい検体送ったことあるけど、
パターンに対応するまで、約２営業日ぐらいかかる。
カスペル君の足元にも及ばないけど、まずまずの対応だと思う。

485 ：(^ー^*)ノ〜さん sage ： 2007/05/22(火) 21:35 ID:2d5s57J80

何となく癌の黒歴史を見直したくなって、まとめサイトを探してたら
「がんほーうぉっちwiki」(ttp://f55■aaa■livedoor■jp/~gunghow)という
ページに辿り着いたんですが、ここのページの事を知ってる人は居ますか？

管理放棄されてるのか、外部リンクのほぼ全てが罠アドレスに置き換わってて
修正しようにもどこから手をつけていいのか判らない状態……
今までこのスレで報告を見た事が無いのと荒れ具合からして、かなりの期間
放置され続けてた＆見る人が皆無だった、とは思うのですが。

あまりにも危険すぎるサイトになってるんですが、検体収集所じゃないですよね？

486 ：(^ー^*)ノ〜さん sage ： 2007/05/22(火) 21:50 ID:WFq5jNd60

>>485
恐らくは、件のキャンギャル告発の頃に作成されたサイトと思われるが。
旧母乳などからもリンクされてはいたので、それなりの閲覧者数はあったのでは。
……と思ったら、
>since:2004/08/28
の表記があったので、まあそういうことだろう。

で、ここのFrontPageの改竄内容でぐぐって見たら、中々けったいなページに辿り着いた。
以下、その投稿内容。
>めｯちゃ仲良くなれるﾒﾙ友募集中 vivianさん
>
>住みゎどこでも男女どっちでもぃぃです⌒+ﾟ
>高校生以上の人が嬉しぃｯ
>ﾌﾟﾛﾌ書ぃて気軽にメｰルしてね
>http://www■deco030-cscblog■com/game/ (2007年04月20日 12時58分46秒)

この組み合わせはないだろ、常識的に考えて。
だが、潜在的な罹患者は確実に増えているだろうと推測される。
仮に連中が、BackDoorなどをフル活用して別の用途に転用した場合、かなりの脅威にもなり得るな。

487 ：(^ー^*)ノ〜さん sage ： 2007/05/22(火) 22:15 ID:ml5gYZOB0

まー放置してるんだろうな。
WikiやBlogやBBSはやる気なくなったら閉鎖すべきだな。
不正アクセスして改竄と敷居が高いただのHTMLを置いてあるサイトに比べて
子供でも危険なリンクを置けるから。

488 ：(^ー^*)ノ〜さん sage ： 2007/05/22(火) 22:55 ID:hc4N1JLo0

本日差し替えられたと思われるff型トロイの感染後調査

MD5:40B8E67AB40577E1BEE3AEBBCEFC2BB1　www■game62chjp■net/test/1087006635/svch■exe
MD5:6B801516A2EDEF5B39B17A4D45EA658C　www■cityhokkai■com/games/server■exe
MD5:BD2643AE260EB7613358F7EF583CEC23　www■blog-livedoor■net/mangame■exe
MD5:BD2643AE260EB7613358F7EF583CEC23　www■blog-livedoor■net/boss/mangame■exe
MD5:6B523E3DBCD0A16FA72AC8D240862EF3　www■jpxpie6-7net■com/web/read_cgi/svchost■exe
MD5:6B523E3DBCD0A16FA72AC8D240862EF3　www■jpxpie6-7net■com/svchost■exe

上記すぺてに共通↓
カスペルスキー検出名：Trojan-PSW.Win32.Maran.ff
→ %WinDir%\svchost.exe　　　　　　　　（サービスに登録 → サービス名ADIDown 表示名Power Adapter）
→ %WinDir%\system32\tjviwer.dll　　　（Winsock Providerに登録）

今まで主流だったei型と比べて違う点は
・svchost.exeのファイルサイズが34k → 22kまでシェイプアップしてる（dllの方は今までと同じサイズ）
・dllのファイル名がtj9viewer.dll → tjviwer.dll に変わった（新型の方はviewerではなくviwerなので注意）
相変わらず、jROとリネージュ�Tの共用トロイっぽいです。また新型が現れたら報告しにきま。

489 ：(^ー^*)ノ〜さん sage ： 2007/05/22(火) 23:45 ID:ml5gYZOB0

乙。一気に差し替えたな…。

490 ：(^ー^*)ノ〜さん sage ： 2007/05/23(水) 01:38 ID:LiThnJxz0

>>488
乙。NOD32で確認してみたが、全部亜種扱いではあるものの、検出可能でした。

491 ：(^ー^*)ノ〜さん sage ： 2007/05/23(水) 03:01 ID:h69Txles0

>>488のファイルすべてバスター（TrendMicro）でTSPY_MARAN.Dとして検出できることを確認しました。

492 ：(^ー^*)ノ〜さん sage ： 2007/05/23(水) 16:03 ID:iP5TO9IZ0

福建人の罠はてなダイアリー再び、つくりたて。
d■hatena■ne■jp/sh830525/20070520
パクリ記事の文末にrunbal-fc2web入り。

493 ：(^ー^*)ノ〜さん sage ： 2007/05/23(水) 16:05 ID:/RzDwwZw0

ne.jpやられると間違えやすいな・・・これは要警戒

494 ：(^ー^*)ノ〜さん sage ： 2007/05/23(水) 16:12 ID:HjA5t/PF0

それってfc2(正規)に作られた罠サイトと同様、はてなに言って取り締まって貰う以外に
対応策が無いような。
なんちゃってドメインならhostsなりPG2なりで防げるけど、はてなが対応するまでは
注意するしか手がないねぇ……

495 ：(^ー^*)ノ〜さん sage ： 2007/05/23(水) 18:21 ID:iP5TO9IZ0

492のをここに投稿する前に、はてなには苦情を入れておいたのだが
速攻で公開停止、対応は良好だ。

−−−ここから
はてなスタッフの○○と申します。
いつもはてなをご利用いただき、ありがとうございます。

このたびはお知らせいただきありがとうございました。
該当のダイアリーにつきましては運営者に警告の上、公開停止とさせて
いただきました。

これからもお気づきの点などおありの際には、ぜひお知らせください。
どうぞよろしくお願い申し上げます。
−−−ここまで

496 ：(^ー^*)ノ〜さん sage ： 2007/05/23(水) 18:26 ID:bf3MGeVG0

どっかの運営会社と違って素晴らしい対応だな

497 ：(^ー^*)ノ〜さん sage ： 2007/05/23(水) 19:50 ID:4q4O+KVm0

どっかだけが異常なんだけどな

498 ：(^ー^*)ノ〜さん sage ： 2007/05/23(水) 20:32 ID:IvOUlGEB0

おお、hatenaはえーな。fc2は結構残ってたような…。

499 ：(^ー^*)ノ〜さん sage ： 2007/05/23(水) 22:44 ID:LiThnJxz0

だって、fc2の本拠は日本じゃないし、spam送ってくることもあるし（苦情入れても止まらなかったので
結局フィルターであぼんしたが）まともな対応するのを期待する方が間違ってるだろ。

と、ここまで書いてなんだが、そろそろ雑談スレに移動すべき話題じゃないか？

500 ：(^ー^*)ノ〜さん sage ： 2007/05/24(木) 09:00 ID:wdaeohkq0

福建人の罠Wiki発見。
このURLからして福建人自ら登録たもので間違いなさげ。
zb00999はライブドアの罠ブログでも使われているし。
内容を確認したので苦情を入れておいたがどうなるか。

www24■atwiki■jp/zb00999

501 ：(^ー^*)ノ〜さん sage ： 2007/05/24(木) 09:33 ID:mTrqEjvW0

罠ドメインはコストかかるのと、hostsやPG2で対策されるとどうしようもないから
既存のサービスを利用した罠サイト構築に向かい出したんだろうか？

管理が甘い所(fc2とか)だと長生きするし、hosts等のブロックでは阻止できないし。

502 ：(^ー^*)ノ〜さん sage ： 2007/05/24(木) 09:52 ID:yjCzmmC60

罠ドメインの方にはダウンローダのスクリプトやトロイ本体が置かれているのに対し、
日本のブログやWikiには罠ドメインへのリンクしか貼られていない。

というのが今までの傾向。
あまり詳しく知らないのだが、ブログやWikiに直接罠を置いてこないのは、
技術的に簡単にはできないからなのだろうか？？
直接置いてこられたら、hostsやPG2でのブロックが難しくなってくるわけだが。

503 ：(^ー^*)ノ〜さん sage ： 2007/05/24(木) 10:37 ID:kS461Xcr0

バイナリはアップできないか、面倒なんじゃないかな。
Wikiで編集押してもぱっと見テキストしかいじれない。

504 ：(^ー^*)ノ〜さん sage ： 2007/05/24(木) 13:30 ID:HMo6hH4Z0

blogはやったことがないので分かりませんが。
wikiの場合、バイナリをアップしても編集でリンク付けさせないと意味ないですからね。
リンク付けも置いた場所によって書き換えないといけないし、
アップされたファイル名も表示される方が多いのですぐにバレちゃう。
それとサイトによっては、バイナリアップ時にPASSを入れないと無理なところもある。

wikiの性質上、外部へのリンクは編集で記述したらすぐに出来てしまうし、
リンク定型文も分かっているから、ソースを開いて置換させる方が早い。

まぁ、直接置くのは面倒ということだと思います。

505 ：(^ー^*)ノ〜さん sage ： 2007/05/24(木) 17:24 ID:WUE20xjC0

報告です。
自分のサイト(ROメインではない)の掲示板なのですが
FKCfb-01p2-88.ppp11.odn.ad.jpが来ていました。
(アク解みてもどこからたどってきたのか不明)

内容は過去ログから適当にコピペしたもので、友人のHPリンク先として
http://www■soultakerbbs■net/が貼られていました。

>>273をみて、odnのサイト内に
・ E-Mailによるお問い合わせ
　　net-abuse@odn.ad.jp
を見つけたので、通報してみます。

506 ：(^ー^*)ノ〜さん sage ： 2007/05/24(木) 17:46 ID:QFi3AFG20

>>504
blogの場合は、レンタル型の場合、添付可能なファイルがmedia系に限定されている事が多いかと。
自力でMTなりを設置した場合だと、基本的にはどんなファイルでも添付できる。サイズ制限はあるが。

あと、>>500の@Wikiの場合、拡張機能としてインラインhtmlを記述可能になっている。
これを利用して、iframe等を仕込む事が可能かどうか不明だが、警戒するに越したことはない。

507 ：(^ー^*)ノ〜さん sage ： 2007/05/24(木) 22:29 ID:9LhjEF+d0

垢ハックを踏んでしまったのですが、どうしたらいいでしょうか？

508 ：(^ー^*)ノ〜さん sage ： 2007/05/24(木) 22:32 ID:t0e0XwbU0

>>507
安全な環境からのパス変更
垢ハックの除去、あるいは、ＯＳ入れなおし（データのバックアップは自己責任で）

安全な環境とか、除去とかわからないのがどこか具体的に質問を。
なお、質問の際には、テンプレを埋めてくれ。

509 ：(^ー^*)ノ〜さん sage ： 2007/05/25(金) 09:02 ID:G9vd26XH0

とりあえず踏んだ後にパスワードを打つ行動さえしていなければ安全なので、
そのPCでは絶対にパスを変えに行かないように。他PCがあれば他PCのウィルスをチェックしてそっちでやろう。
あとネカフェも危険性がある。

510 ：(^ー^*)ノ〜さん sage ： 2007/05/25(金) 11:45 ID:/7PCAjPI0

【　　アドレス 　 】 http://serio■ne■jp/~little-witch/
【気付いた日時】 2007.05.25
【　 　　 OS　 　 】 XP　SP2
【使用ブラウザ 】 DonutP
【WindowsUpdateの有無】 先週末だから18日ぐらいかな
【　アンチウイルスソフト 】 NortonInternetSecurity2005
【その他のSecurty対策 】 Spybot、Adwre
【 ウイルススキャン結果】 今カスペでスキャン中
【スレログやテンプレを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
本来のサイト→http://www■serio■ne■jp/~little-witch/
のwww抜けでした。
踏んだところ真っ白なサイズ０のページに飛んだため、とりあえず
カスペオンラインスキャンとノートン先生にスキャンしてもらってます。
しかしながらとりあえず白いページ出たらOSクリーンしようかと思ってましたので
スキャン終わりしだいOS再インスコしてきます。
Url自体悪質なものだったのかどうかわかりませんが・・・・・・

511 ：(^ー^*)ノ〜さん sage ： 2007/05/25(金) 11:54 ID:Zd2Zkoaz0

>>510
それは、ページが存在しないときに飛ばされるページだと思う。
文面が一切記入されていないので真っ白だが、垢ハックの危険は（少なくとも現時点では）ない。

512 ：(^ー^*)ノ〜さん sage ： 2007/05/25(金) 11:58 ID:t0srvg280

アカハックだと確定できないならLiveROの雑談スレでと何度言えば。
そこは無害。

513 ：(^ー^*)ノ〜さん sage ： 2007/05/25(金) 11:59 ID:JoSb/FYz0

>>510
本人のBlogによると、
それは旧アドレスで、今は移転済み。中身はないっぽい
今はwwwが必須らしい。

514 ：(^ー^*)ノ〜さん sage ： 2007/05/25(金) 12:05 ID:LH/wi4Et0

>510
それ、罠ページと全く関係ないから。
一言で言えばSerio-netの仕様で、りとるりとるうぃっちだけの話じゃない。
ttp://www.serio.ne.jp/
ttp://serio.ne.jp/
それぞれアクセスすれば判ると思う。


それと白紙ページが罠ページというわけじゃない。
罠ページの中には白紙状態のページがある、というだけ。

他のサイトをパクって偽装して罠を仕込ませる場合もあるから、白紙かどうかで
罠サイトかどうかの判断をする事は出来ない。

515 ：(^ー^*)ノ〜さん sage ： 2007/05/25(金) 12:11 ID:+m/qLt+80

>>510
www.serio.ne.jp = 219.117.209.163
serio.ne.jp = 219.117.209.162

白いページ＝危険という発想はどうなんだ。
確かに空のコンテンツに罠スクリプトだけ置かれていて、
危険である可能性はあるのだが・・・
ソースチェッカー使うなりして、罠かどうか調べようぜ。

>>511
どうでもいいことだが、serio.ne.jp上で出鱈目なファイル名打ち込むと、404が返ってくるが
serio.ne.jp/~little-witch/に関しては200が返ってくる。

516 ：(^ー^*)ノ〜さん sage ： 2007/05/25(金) 12:15 ID:Zd2Zkoaz0

>>515
空白ページ置いてある（本来は移転先を書く？）だけかも。
とにかく、今回の相談は、510の勘違いということで終了だな。

517 ：(^ー^*)ノ〜さん sage ： 2007/05/25(金) 20:04 ID:AIYETt/d0

www無しの方は、301を返してくるようだが。
どちらにしても、通常は.htaccessによるリダイレクトで、www有りの方へ飛ばされる模様。
ブラウザの設定か何かで、リダイレクトを禁止してはいないだろうか。

518 ：515 sage ： 2007/05/26(土) 00:21 ID:r7/Sn2OB0

>>517
うお、本当だ。301が返ってくる。ちゃんとリダイレクトされるね。
昼間試したときは、確かに200が返って来た。
（FirefoxのLive HTTP Headerと、あとソースチェッカーでも確認した）
管理人さんが設定を変更したんだろう。

519 ：(^ー^*)ノ〜さん sage ： 2007/05/26(土) 01:20 ID:K9LRJ3cx0

はーい新型Maranのお時間ですよ orz
今回は54kBとちょっと太っちゃいました。てへ。

www■jpxpie6-7net■com/web/read_cgi/svchost.exe
www■jpxpie6-7net■com/svchost.exe
上2つ同じ。

www■soultakerbbs■net/388465/svch.exe
こちらはsoultakerbbs■netをahatena■comにしても同じ。

AntiVir・BitDefender・NOD32・Nortonが検知
(検知する名前が怪しげな、びみょ〜なのもある)。
Kaspersky・McAfee・Dr.WEB・Avast!・AVGがスルー。
各社に提出しました。
Kasperskyからは早速Maran.fkにすると返答あり。
最近はこの犯人はKasperskyで検知できなければいいや、な感じで
作ってる気がするので別なのも併用したほうがいいかも。
最近のテストを見てるとAVIRA AntiVirがやたらと強いので、
可能ならおすすめしたいところです。

520 ：(^ー^*)ノ〜さん sage ： 2007/05/26(土) 01:29 ID:K9LRJ3cx0

あ、バスターにも発射しました。

521 ：(^ー^*)ノ〜さん sage ： 2007/05/26(土) 03:13 ID:K9LRJ3cx0

さらに太って56kB。でもKasperskyでMaran.cj。古い?
www■acyberhome■com/game/svch.exe
www■acyberhome■com/link/server.exe
www■acyberhome■com/news/svch.exe
下2つは同じなので上2つをスキャン。
検知 AntiVir・Avast・BitDefender・Kaspersky・NOD32・Norton・バスター
スルー AVG・McAfee
上はスルーで下は検知と不思議な結果を見せたのはDr.WEB。
どうしたMcAfee…。WebImmuneにアップしたけど間違いじゃなかった。
>>519 がKaspersky狙いならこちらはMcAfee狙いと判断
(AVGってことはないだろう)。各社に提出しました。

順番が前後しますが、こちらは24日製造、
>>519 は25日製造となっております。

522 ：(^ー^*)ノ〜さん sage ： 2007/05/26(土) 03:51 ID:EGaEc4Ke0

新型maran(>>519)の感染後調査

MD5:4FD6CE2F1835F6924D416CFB5C8C71B6　www■jpxpie6-7net■com/svchost■exe
MD5:F12EF3B627FF7F70BA2855D337C25985　www■soultakerbbs■net/388465/svch■exe

上記すぺてに共通↓
カスペルスキー検出名：Trojan-PSW.Win32.Maran.fk
→ %WinDir%\svchost.exe　　　　　　　　（サービスに登録 → サービス名ADIDown 表示名Power Adapter）
→ %WinDir%\system32\tjviwer.dll　　　（Winsock Providerに登録）
(感染後のファイルは共にTrojan-PSW.Win32.Maran.ffとして検出されます)

jpxpie6-7netの方に関して、>>488で調べたファイルと比較してみましたが、
MD5:6B523E3DBCD0A16FA72AC8D240862EF3　www■jpxpie6-7net■com/svchost■exe　（>>488）
MD5:4FD6CE2F1835F6924D416CFB5C8C71B6　www■jpxpie6-7net■com/svchost■exe　（今回）

上記２つに共通↓
MD5:17A6424A777022289C6B86D784F58C4F　→ %WinDir%\svchost.exe
MD5:D7C0D46F22B75E7526DA76A0CCE8FDB2　→ %WinDir%\system32\tjviwer.dll

圧縮形式が変更されただけで、展開後に作成されるファイルは>>488で調査したものと同じものができるようです。
UPack圧縮のようですが、私の手持ちのソフトではUPackとして認識できませんでした。
VirusTotalでは、NSANTI, UPACKと表示されます。

523 ：522 sage ： 2007/05/26(土) 04:03 ID:EGaEc4Ke0

誤解を招くかもしれないので補足しておきますと、

＞ 上記すぺてに共通↓
＞ カスペルスキー検出名：Trojan-PSW.Win32.Maran.fk
＞ → %WinDir%\svchost.exe　　　　　　　　（サービスに登録 → サービス名ADIDown 表示名Power Adapter）
＞ → %WinDir%\system32\tjviwer.dll　　　（Winsock Providerに登録）

というのは、どれに感染しても、同じ名前のファイルが作成され、サービスやWinsockに登録されるのも同じという意味で、
作成されるファイルの中身まで完全に同じという意味ではありません。
（といってもsvchost.exeは完全一致し、tjviwer.dllも相違箇所は100バイト程度しかありませんが）

で>>522のjpxpie6-7netに関しては、ファイルの中身まで完全に一致しましたよ、という意味です。

524 ：(^ー^*)ノ〜さん sage ： 2007/05/26(土) 10:11 ID:EGaEc4Ke0

●新パック型maran(>>521)の感染後調査

�@MD5:0934AD466DF075F92D6C47C586F39421　www■acyberhome■com/game/svch■exe■virus
�AMD5:9AE3A12B307346F3E4FBD324A7C00B7B　→ %WinDir%\svchost.exe
�BMD5:A2C67ACCCE9F1DA9034030B8C67495C1　→ %WinDir%\system32\tj7viewer.dll

�CMD5:E4C52AB61E57C31A7090529D3F5FF114　www■acyberhome■com/link/server■exe
�DMD5:95A3CE582DEDDF276C263F660F8C848D　→ %WinDir%\svchost.exe
�EMD5:E852E42DE3F3148AA41FBAE027BB2CF8　→ %WinDir%\system32\tj9viewer.dll

�A�D サービスに登録（サービス名ADIDown 表示名Power Adapter）
�B�E Winsock Providerに登録

Trojan-PSW.Win32.Maran.cj �@�A�B�C
Trojan-PSW.Win32.Maran.ei �D�E

前者は>>467で調査したものと、感染後ファイルのMD5が一致します。
つまり「中身は古いがパッカーが新しい」ものと思われます。

525 ：(^ー^*)ノ〜さん sage ： 2007/05/26(土) 10:13 ID:EGaEc4Ke0

●台湾向けmaranの感染後調査

�@MD5:7529CAC509BD1C89CD7FE3500B4A18E7　www■gamanir■com/2007mmm■exe
�AMD5:A41869E28288F6E25CEAF0EAB5845847　→ %WinDir%\avp.exe
�BMD5:50813D8795F9AAD495E4DB7B7908DA4F　→ %WinDir%\system32\hsvwer9.dll

�CMD5:003DF3296DB109CC26F5AD1C08AC9A39　www■twyaooplay■com/gisl■exe
�DMD5:EE452E2BA0B7EEA67965BA7D16035267　→ %WinDir%\avp.exe
�EMD5:F4B0BB0BE8A50D57CBFD1EE19F546B1A　→ %WinDir%\system32\hs3midia.dll

�A�D サービスに登録（サービス名VGADown 表示名Audio Adapter）
�B�E Winsock Providerに登録

Trojan-PSW.Win32.Maran.gen �@
Trojan-PSW.Win32.Maran.ev �A�B
Trojan-PSW.Win32.Maran.cs �C
検出不可 �D�E

�@のパッカー：PECompact 2.x -> Jeremy Collake
�Cのパッカー：Upack 0.3.9 beta2s -> Dwing

数日前に差し替えられたものです。jROはターゲット外かもしれませんが、一応調査しておきました。
新しいパッカーは使われてません。

526 ：(^ー^*)ノ〜さん sage ： 2007/05/26(土) 11:58 ID:yWNa998j0

肥大化しているのはnsAntiかけた上でUpackかけたからかな
(Dwingは最近エロゲの翻訳に夢中でUpackは0.399で止まってる)。
nsAnti自体がググってもBloodhoundなどばかりが引っかかるので
その手の用途を目的としたPackerなんだろうね。
(配布も77169とか520hackとか物騒なとこばかり)。

527 ：(^ー^*)ノ〜さん sage ： 2007/05/26(土) 12:11 ID:yWNa998j0

って今カスペのサイト見たらMaran.flまであった。
これはどこがターゲットなんだろう…。

528 ：(^ー^*)ノ〜さん sage ： 2007/05/26(土) 17:14 ID:QQkQspRR0

「.com」とか禁止ワードにしていたら新しい書き込みが
該当するページはソースチェッカーで見てみると赤文字で
「Page was deleted from this hosting」と書かれているだけで
なんのリンクもないページのようでした
aguesによるとロシア　モスクワ
ロシアは情報等に規制が厳しそう（イメージ）なので即効き消されたのかも？

chain-saw-sharpeners■dll7■info/

コメント書き込み自体は「: , ""」とか「, , !」という（「」除く）というイミフなもの
書き込み名前は「cordless chain saw」で2回書き込みがありました。
ホストはocnっぽいけどどうも串刺してる様子？

529 ：(^ー^*)ノ〜さん sage ： 2007/05/26(土) 18:44 ID:PpU5c8N40

>>528
いまのところ、中華のハッキングなのかエロサイト業者のスパムなのか
すでにページが存在してないのでわからないです。
そのページはしばらく様子をみるしかなさそうです。

530 ：(^ー^*)ノ〜さん sage ： 2007/05/26(土) 19:35 ID:yWNa998j0

ただのスパム(誰かがスパム投稿プログラムを踏んだとか)じゃない?
ttp://www.google.co.jp/search?hl=ja&q=%22chain-saw-sharpeners%22
ttp://www.google.co.jp/search?hl=ja&q=%22chainmillsaw%22
チェンソー砥ぎ器? 砥石? て海外では需要あるんかねぇ。で、>>512

531 ：(^ー^*)ノ〜さん sage ： 2007/05/27(日) 00:34 ID:6OgLIpbZ0

毎度おなじみ福建人の新ドメイン３つ。
登録情報同じなんで２つ目からはドメイン名と期限だけ。

Domain Name ..................... romaker■com
Registrant Name ................. zhiqiang lin
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 610000
Registrant Country Code ......... CN
Expiration Date ................. 2008-05-25 06:49:32

Domain Name ..................... sagewikoo■com
Expiration Date ................. 2008-05-25 06:30:08

Domain Name ..................... wiki-house■com
Expiration Date ................. 2008-05-25 06:49:12

532 ：(^ー^*)ノ〜さん ： 2007/05/27(日) 05:19 ID:WPeASfQn0

http//www.ragnarok2■co■kr/teaser/index■html

すいませんro2で検索したらこうゆうURLの韓国語のページに飛んだんですが
これって垢ハックURLなんでしょうか。どなたか教えてくださると幸いです。

533 ：(^ー^*)ノ〜さん sage ： 2007/05/27(日) 05:41 ID:LDXe+J5o0

>>532
何をもって、そのサイトがアカハックかもしれないと思ったかを聞かせて欲しいね。
そして以降のレスはLiveRO版でよろ。

534 ：(^ー^*)ノ〜さん sage ： 2007/05/27(日) 08:50 ID:eT2TMEA00

>>532
ragnarok2.co.kr はRO2の韓国公式サイト。
これ以上は言わなくても分かるよな？

535 ：(^ー^*)ノ〜さん sage ： 2007/05/27(日) 12:01 ID:6OgLIpbZ0

毎度おなじみ福建人のドメイン群、リネージュ資料室に現時点で記載なし。
サイトTOPは全て共通の語句になっている。
なんちゃってアメブロ初登場。
数字入りドメインで８が目に付くのはあっちでは縁起ものだから。

www■twreatch■com
www■love888888■com
www■tooalt■com
www■antuclt■com
www■litcan■com
www■saussrea■com
www■muantang■com
www■fotblong■com
www■lzy88588■com
www■ameblog-jp■net
www■luobuogood■com
www■yahoodoor-blog■com
www■tuankong■com
www■ourafamily■com
www■emeriss■com

536 ：(^ー^*)ノ〜さん sage ： 2007/05/27(日) 12:12 ID:vFeGC+Js0

>>531
sagewikooってSageWikiのなんちゃって（？）なのか？

wiki-house　は明らかにwikihouswのなんちゃってドメイン


>>535
ameblog はアメーバブログのなんちゃって系か

なんちゃってとか有名サイトのタイトルパクリ・なんちゃってが多い傾向にあるな

537 ：(^ー^*)ノ〜さん sage ： 2007/05/27(日) 12:33 ID:6OgLIpbZ0

535のourafamily、中にはかなり前に使われていたものが残っている。
台湾のセキュア系サイトに情報があった。

www■ourafamily■com/new/line■exe

VIRUSTOTALでもモノが古すぎて検出しないほうが少ない。

538 ：(^ー^*)ノ〜さん sage ： 2007/05/27(日) 15:20 ID:xIUGn8gM0

初歩的な質問で申し訳ありませんが教えてください。
デスクトップとノート２台のPCが同一ネットワーク上にあり、
どうやらデスクトップの方で垢ハックサイトと思われるサイトを踏んでしまったようです。
現在デスクトップの方はウイルススキャンをかけています。

この場合ノートPCからのパス変更、またはROへのログイン等はしても問題ないのでしょうか？
お手数おかけしますがどなたか回答お願い致します。

539 ：(^ー^*)ノ〜さん sage ： 2007/05/27(日) 15:48 ID:LDXe+J5o0

アカハックサイトを踏んでから、一度もパスを打ち込む行為をしていないなら、
パスが抜かれることはありえないので、安全が確認できるまでパス変更もＲＯへのログインもしない方が良いです。

ネットワーク感染がありうるかどうかは、一概には言えません。
（増殖能力を持つアカハックウイルスというのは、今のところ報告が上がってなかったとは思いますが）

踏んだサイトがどこなのか分かれば、より精度の高い回答ができると思うので、
テンプレ>>4で報告した方が良いでしょう。

540 ：538 sage ： 2007/05/27(日) 16:27 ID:xIUGn8gM0

>>539
回答ありがとうございます。
では改めてテンプレにて報告させていただきます。

【　　アドレス 　 】 http://www■aaa-livedoor■net/ro-navi/
【気付いた日時】　踏んだあと即時
【　 　　 OS　 　 】 WindowsXP Service Pack2
【使用ブラウザ 】 Mozilla Firefox 2.0.0.1
【WindowsUpdateの有無】 正確な日時は不明。多分ここ2-3日中に行ったと思われる。
【　アンチウイルスソフト 】 NortonInternetSecurity2005
【その他のSecurty対策 】 Spybot S&D、Ad-aware　等
【 ウイルススキャン結果】 カスペルスキーオンラインスキャンを現在実行中。
【スレログやテンプレを読んだか】 Yes
【hosts変更】無し
【PeerGuardian2導入】無し
【説明】
最近騒ぎが大きくなっているので気をつけてはいましたが、
ついボーっとしてて何の気なしにRMCを閲覧している時に踏んでしまいました。
リンク先が真っ白で何も表示されなかったため、すぐにおかしいと気づき閉じました。

ちょっと気が動転しアドレスを踏んだ後に何度かログインを繰り返してしまったので、
友人に頼んでガンホーIDのパス、ログインIDのパスを変更してもらいました。

オンラインスキャンがまだ終了していませんが、この後NortonInternetSecurity2005
、Spybot S&D、Ad-Awareにてスキャンを行う予定です。
他に何か必要事項があればお教えください。追記いたします。

以上

541 ：(^ー^*)ノ〜さん sage ： 2007/05/27(日) 17:19 ID:LDXe+J5o0

>>540
www■aaa-livedoor■net/ro-navi/
を踏んだ場合、MDAC脆弱性またはANIカーソル脆弱性を利用して、以下のファイルをダウンロードして実行します。
www■ro-bot■net/ro-navi/yan■exe
Windows Updateを行っていれば、ダウンロードは失敗するはずです。
MDAC脆弱性に関しては、VBScriptで記述されているため、
VBScriptを実行できないFirefoxはこの点において安全です。

上記yan.exeの最終更新日は日本時間で5/27 3:49です。KasperskyおよびSymantecで検出可能です。
Kaspersky： Trojan-PSW.Win32.Maran.ei
Symantec： Bloodhound.NsAnti

以上を踏まえると、感染していない可能性が非常に高いと思われます。
カスペルスキーとノートンのウイルスチェックで何もでなければ恐らく大丈夫でしょう。
（恐らくとしか言えませんので、最終判断は自己責任でお願いします）

542 ：(^ー^*)ノ〜さん sage ： 2007/05/27(日) 17:31 ID:VGNskWPO0

げー、またMaran更新されてるのか…。
>>519 からあたりのは何か別なPacker(というか暗号化?)使った後に
Upackしてるっぽいなぁ。各社苦戦するようになってきた。

543 ：(^ー^*)ノ〜さん sage ： 2007/05/27(日) 22:28 ID:VGNskWPO0

白状しよう。SymantecのBloodhoundが
ヒューリスティックの意味だと今知った。
# そういうトロイがあるのかと必死にググったぜ。

544 ：テンプレ ◆/II.DEADh. sage ： 2007/05/28(月) 02:21 ID:L1yd9wFK0

たった今来たやつ
netgamero■net
先週更新したスパムフィルタと外部チェッカーが動作しなかったので注意。

545 ：(^ー^*)ノ〜さん ： 2007/05/28(月) 02:32 ID:L1yd9wFK0

ぐあ、名前が。
念のため上げときますね。

546 ：(^ー^*)ノ〜さん sage ： 2007/05/28(月) 05:59 ID:CEIjY3Zk0

>>544の奴、いつもの福建人のだけど、
登録時間から取ってすぐ使い始めてる。
記事の時間から24時間経過してないし。

Domain Name ..................... netgamero■net
Registrant Name ................. zhiqiang lin
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 610000
Registrant Country Code ......... CN
Expiration Date ................. 2008-05-27 05:04:49

547 ：(^ー^*)ノ〜さん sage ： 2007/05/28(月) 14:35 ID:BUaX6osW0

【　　アドレス 　 】 www■thtml■com
【気付いた日時】 2007/05/28
【　 　　 OS　 　 】 XP　SP2
【使用ブラウザ 】 FireFox2.0.0.3
【WindowsUpdateの有無】 正確には不明。アップデート自体は随時。
【　アンチウイルスソフト 】 McAfee（SecurityCenter）
【その他のSecurty対策 】 ルータくらい
【 ウイルススキャン結果】 まだ
【スレログやテンプレを読んだか】 Yes
【hosts変更】 有（2007/04/06　読み取り専用）
【PeerGuardian2導入】 有（リネージュ資料室）
【説明】
PG2のブロックログにひっかかっていたのでリネ資料室を見たら同ドメインがリスト内にあったことを発見。
（05/06に3回ほどブロックして以後特になし）
現状被害は無し。
まとめサイトの危険ドメインリストには同ドメインの記載がないが、リネ専用？

548 ：(^ー^*)ノ〜さん sage ： 2007/05/28(月) 15:01 ID:45o8dPmJ0

>>547
既に撤退しているものと思われ。
業者がドメインの売却先を探しているようにしか見えん。

549 ：(^ー^*)ノ〜さん sage ： 2007/05/28(月) 15:46 ID:+CCqcNqe0

×まとめサイトのリストにない＝リネ専用
○まとめサイトのリストにない＝このスレで報告されてない

スレで上がった情報をまとめてくれてるのが、まとめサイト。
まとめサイトの人が自分で見つけた場合は別だろうけど、基本的にスレで報告が
無かった場合は載ってない。

でも転売のドメインに対してアクセスしてて、PG2が反応ってのも変な話な気がするなぁ……


後アカハックには直接関係ないけど、こういう記事が。

>リッチテキストマルウェアがウイルス対策ソフトの盲点を突く？
>ttp://www.itmedia.co.jp/enterprise/articles/0705/28/news011.html

この手法で仕込んでくるケースは稀だと思うけど、お気を付けを。

550 ：(^ー^*)ノ〜さん sage ： 2007/05/28(月) 16:12 ID:iQP6uS0L0

PG2はIP単位でしかブロックできないから、
仮に同一IP上にページ数が1000あって、うち罠が置かれてるのが1ページだけだとした場合、
そこをブロックすれば、999の無罪なページもブロックすることになるからね。

64■14■244■60
www■adfka■com
www■thtml■com
はすべて同じIP使ってるけど、表示される内容は違うしね。

64■14■244■60に関しては、中華が所持してるIPっぽくないし、
某旅行会社みたく過去に踏み台にされたことがあったから登録されてるってパターンじゃないのかね。

551 ：(^ー^*)ノ〜さん sage ： 2007/05/28(月) 16:16 ID:BUaX6osW0

>>548-550
さんくす。

552 ：(^ー^*)ノ〜さん sage ： 2007/05/28(月) 16:27 ID:wEhDrowx0

>>547
アカハッカーがドメインを使い捨てて有効期限が切れたのをアメリカのだれかが
拾ったものと推測。多分ドメイン転売erかね。勿論確証は無し。
どうもそういう感じなドメイン名もちらほら出てきている(lovetw系だったavtw1068■comとか)
のを考えるとアカハッカーの暗躍も結構続いているんだなぁ、と嘆息。

>>549
多分、ドメイン名からIPを引いてそれをPG2のリストにしている
(ある意味機械的処理)と思うから引っかかっても不思議なじゃ無い気がする。
Created: 10-jun-2006
で結構(拾われた？のが)古めだし。

553 ：(^ー^*)ノ〜さん sage ： 2007/05/28(月) 17:09 ID:+CCqcNqe0

>552
PG2のリストに登録されてるのは別に不思議じゃないんだが

>05/06に3回ほどブロックして
とあったのが気になっただけね。

……って、5月6日じゃなくて、2005年6月って意味？

554 ：(^ー^*)ノ〜さん sage ： 2007/05/28(月) 17:15 ID:BUaX6osW0

いや、今月6日っす。

んでもって再度見たら3回じゃなくて2回だった。
特になんかした覚えはないんだけどなー…一応その後カスペルもかけてみて何もなし。

555 ：(^ー^*)ノ〜さん sage ： 2007/05/28(月) 17:28 ID:iQP6uS0L0

>>554
547にはwww■thtml■comと書かれているけど、それはあくまでも、ＰＧ２のブロック履歴みて、
リネージュ資料室の危険ドメインリストからドメイン名を引いたというだけで、実際に踏んだのは、
www■adfka■com なのか
www■seek2■com なのか
www■thtml■com なのかとか、分からないわけだよね？

>>553
普通にネットサーフィンしてて、たまたま上記リンクを踏んだか、
ページ内に上記ドメインへの参照（imgタグなど）があったらブロック履歴は残るわけで、
別に不思議でもなんでもないと思いますが。

556 ：(^ー^*)ノ〜さん sage ： 2007/05/28(月) 17:56 ID:BUaX6osW0

ブロック履歴の名前欄がwww■thtml■comになってますね。
実際にどう踏んだのかは不明です（

557 ：(^ー^*)ノ〜さん sage ： 2007/05/28(月) 18:07 ID:CEIjY3Zk0

thtml■comだがリネージュ資料室の感染源サイトページに出ている。
かなり古い為下のほうにある。
lineage.nyx.bne.jp/misc/security/?id=virus-site

サイト名を伏せている為、ページ上からthtmlを検索すると出る。
2005年頃に実際使ったことは間違いない。

−−−引用ここから
2005/4/27確認
各ページ内に次のようにiframeを使い、 画面上表示させずに外部のファイルを読み込んでいる箇所があります。
＜中略＞
伏せてあるドメイン部には thtml が入ります。 このbanner■htmlは、 OSのバッファオーバーフローの不具合を利用して、 ブラウザにプログラムを勝手にインストールさせる種類のトラップです。 ウィルス対策ソフトによっては、このファイル自体をウィルスとして検出します。
インストールされてしまった場合、 リネージュのIDとパスワードを盗み出すトロイの木馬に感染します。
Internet Explorerの不具合を悪用した手口のため、 IEエンジンを使っていないFirefoxやOperaなどのブラウザを使用していれば感染しません。
−−−ここまで

558 ：(^ー^*)ノ〜さん sage ： 2007/05/28(月) 18:15 ID:iQP6uS0L0

>>556
なるほど。ちなみに、名前欄に出てくる名称は、分かりやすく名前を付けてあるだけなので、
実際にどのドメイン名で踏んだのかをあらわしているわけではないので、念のため。
コマンドプロンプトからPINGを打ってみると、同じ名称でブロックされるのが分かるでしょう。
ping www■nokiaaccessories■com
ping www■sonynotebook■com
ping www■thtml■com

PG2にはURL名を判断する機能はないので、同じIPならまとめてブロックされてしまうわけです。
危険リストが純粋なブラックリストであれば良いのですが、実際にはグレーリストも混じっているので
中韓台リストでなくても、無害なサイトがブロックされることがあるということを
念頭に置いておいた方が良いでしょう。

559 ：(^ー^*)ノ〜さん sage ： 2007/05/28(月) 19:34 ID:+CCqcNqe0

>555
IPが登録されていたらPG2は反応するからそれ自体は別に不思議じゃないけど
過去にグレーなIPとして登録されていたものを最近になって踏んだ、という事が
気になった、って事。

今現在が無害なIPならいいんだけどね。

560 ：(^ー^*)ノ〜さん sage ： 2007/05/28(月) 19:53 ID:FLsyJwBA0

>>549
ITMediaの記事、ちょっと理解できていないんだけれども、
どういうときに盲点が突かれるんだろう。

拡張子 *.rtf な怪しいファイルをダウンロードして開くと
その内側からOLE経由で PDFやらTXTに偽装されたexeを実行する？

561 ：(^ー^*)ノ〜さん sage ： 2007/05/28(月) 20:02 ID:L1yd9wFK0

福建人の登録ＩＰ探るのってどうやるんですか？
これから登録即攻撃になりそうなんで早めに情報得たいんですが。

562 ：(^ー^*)ノ〜さん sage ： 2007/05/28(月) 20:17 ID:8mVoCqzt0

俺もやり方知らないが、奴らもここを見ているっぽい関係上、書くと覗けないように塞いできたりはしないかなぁ・・・

563 ：(^ー^*)ノ〜さん sage ： 2007/05/28(月) 20:59 ID:ovCyfy+60

>>560
ttp://www.avertlabs.com/research/blog/index.php/2007/05/25/rich-text-malware/
RTFに埋め込むといくつかのアンチウイルスをスルーしたまま
(メールなどで)届けることが可能、というお話。
OLEオブジェクトを起動した時点でトラップされるんじゃないか?
とかはまた別の話。あくまでブログのネタなので。

564 ：ま＠1週間ほど多忙 ◆sp4Sh9QXGI sage ： 2007/05/28(月) 21:37 ID:+r29ZH+N0

某大手ドット絵投稿掲示板より採れたてを一つ。

www■playboss-jp■com
IP　→　203.171.230.39

登録者名は“liu huangjun”と、いつもの福建人ではない模様？
RO系の善良サイトを装い(本物はぐぐればすぐに出てきました)、
iframeから
www■playboss-jp■com/real_cgi/real■htm
を呼び出しています。
ソースチェッカー逃れなのかどうかはわかりませんが、
ソースは全てJavascriptのescape関数によってどえらいことになってます。
ココから先は解読が可能な方にお任せします　orz

565 ： ◆sp4Sh9QXGI sage ： 2007/05/28(月) 21:47 ID:+r29ZH+N0

えぇと、どうにか文字列をデコードできるサイトを見つけまして

www■playboss-jp■com/real_cgi/hua■exe
とie.exeとie.vbsを呼び出すような挙動をするようです。
(この辺の細かい挙動がわかる方、お願いします)
一ついえることは、javascriptで全て動いていますので、
無効にしておけばこれらが実行されることはないでしょう。

ソースなどを見る限り、zhawangjpやlovetw等とは違うグループなのかな？

566 ：(^ー^*)ノ〜さん sage ： 2007/05/28(月) 22:22 ID:ovCyfy+60

んー、「Rar!」は前に見たなぁ。
www■playboss-jp■com/real_cgi/hua.exe
前はMSXMLだけだったのが、MSXML2とXMLHttpRequestも試すのが新しいか?
AJAXではこの試行による分岐は多くのブラウザで動かすためのいわば定石
(IE6はXMLHttpRequestが実装されていないためMSXMLを使うしかない)。
お勉強したのかな? 後半のぐちゃぐちゃ書いてあるのはCLSIDなのでスルー。

567 ：(^ー^*)ノ〜さん sage ： 2007/05/28(月) 22:49 ID:/aFoJ9C50

www■playboss-jp■com/real_cgi/hua.exe

NOD32 : Win32/TrojanDownloader.Delf.ADE トロイ の亜種（自動提出発動）
Kaspersky : すりぬけ

ちょっと検体提出行って来るわ。

568 ：(^ー^*)ノ〜さん sage ： 2007/05/28(月) 23:03 ID:ovCyfy+60

むむむ。hua.exeを見てみたが、今までの奴とは明らかに違う。
予想だけど、こいつ前に見たことがある。
スキルはいつもの福建Maran部隊とは比較にならんので注意されたし。

569 ：(^ー^*)ノ〜さん sage ： 2007/05/28(月) 23:04 ID:iQP6uS0L0

>>564-566
クラスIDについて、レジストリエディタで検索かけたのと、ググって調べた結果↓

BD96C556-65A3-11D0-983A-00C04FC29E36　　RDS.DataSpace
AB9BCEDD-EC7E-47E1-9322-D4A210617116　　Business Object Factory
0006F033-0000-0000-C000-000000000046　　Microsoft Outlook 8.0 Object Library
0006F03A-0000-0000-C000-000000000046　　Microsoft Outlook
6e32070a-766d-4ee6-879c-dc1fa91d2fc3　　MUWebControl Class
6414512B-B978-451D-A0D8-FCFDF33E833C　　WUWebControl Class
7F5B7F63-F06F-4331-8A26-339E03C0AE3D　　WMI Object Broker
06723E09-F4C2-43c8-8358-09FCD1DB0766　　VsmIDE.DTE
639F725F-1B2D-4831-A9FD-874847682010　　DExplore.AppObj.8.0
BA018599-1DB3-44f9-83B4-461454C84BF8　　VisualStudio.DTE.8.0
D0C07D56-7C69-43F1-B4A0-25F5A11FAB19　　Microsoft.DbgClr.DTE.8.0
E8CCCDDF-CA28-496b-B050-6C07C962476B　　VsaIDE.DTE

ハーバード大学のブログに似たようなエクスプロイトコードを発見。多分このあたりをベースに書いたんだろうなあ。
ttp://blogs.law.harvard.edu/zeroday/2006/12/page/2/

570 ：(^ー^*)ノ〜さん sage ： 2007/05/28(月) 23:05 ID:CEIjY3Zk0

>>564
ちょっと調べてみたんだけど、
登録情報のplayboss-jpのメアドは
idc-8■comと言う何らかのサービスサイト？に表示されてるメアドそのものだ。
ことごとく対策をされているため注意を逸らそうとしていると見る。
連中の行動からそう考えておくのが賢明。

余談だが
過去には罠ドメイン登録情報で福建省の住所を書きながらFJ(福建)のFの字を弄って
BJ(北京)にしていたものがあった。

571 ：(^ー^*)ノ〜さん sage ： 2007/05/28(月) 23:32 ID:ovCyfy+60

くそ、ダミーまで仕込みやがって…。
検体送ってくる。

572 ：(^ー^*)ノ〜さん sage ： 2007/05/28(月) 23:40 ID:/aFoJ9C50

>>567
www■playboss-jp■com/real_cgi/hua.exe

トレンドマイクロ：Undetected Malware ／ Pending

発見できないマルウェア／処理待ち…ということなので、近いうちにパターン更新されることでしょう。

>>571
LiveROの方に報告先一覧のあるところは全て検体提出済みです。
571さんの解析結果つけて報告すれば、対応が速くなる…かも？

573 ：(^ー^*)ノ〜さん sage ： 2007/05/28(月) 23:44 ID:CEIjY3Zk0

hua■exeを23時35分にVIRUSTOTALにかけてみたところ。
メジャーものではNOD32以外芳しくない。
マカフィー、シマンテックすり抜け。

検体送付、と。

574 ：(^ー^*)ノ〜さん sage ： 2007/05/28(月) 23:54 ID:ovCyfy+60

こっちはhua.exeのままでは送っていないのでかぶらないと思う。
フェイクの電卓を踏んだぜちくしょー。

575 ：(^ー^*)ノ〜さん sage ： 2007/05/29(火) 00:21 ID:lbJkZYsk0

ttp://www.mmobbs.com/uploader/files/2671.png
ええ、どう見ても中国語版WindowsXP付属の電卓です
(もちろんフェイク。本命はちくしょーの方)。

576 ：(^ー^*)ノ〜さん sage ： 2007/05/29(火) 00:42 ID:uWZRqUHw0

>>565
とりあえず、ざっと分かったことだけ。

�@MD5:8090868B542B27E2C92879A0DDFF4374　www■playboss-jp■com/real_cgi/hua■exe
�AMD5:BC90090F4E131836BC492469D5D26C28　→ C:\Program Files\explord.exe
�BMD5:B46FBDE092651D31FACA3BE6E459258D　→ %WinDir%\system32\systemlj.dll

カスペルスキー
現時点では�@�A�Bすべて検出不可

�@を実行と同時に下記IP宛てに何かが送信される。
125■65■112■95:80 (TCP)

�Aは下記のレジストリに登録され、次回以降自動で起動される。
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

�BのDLLは稼動中の他のプロセスにインジェクションされることを確認。

�Aのファイルの中に下記のURLが埋まっていた。
http://ff11ma■vicp■net/888■txt

577 ：(^ー^*)ノ〜さん sage ： 2007/05/29(火) 01:00 ID:lbJkZYsk0

乙です。
仮想環境で遠慮なく踏めればいいんだけどなぁ。
ちなみに888.txtを拾ってくると6666.exeが書いてあって、
それが電卓(もちろん今後も無害とは限らない)。

ff11ma(略)はFF11のトロイの攻防戦で見かけたドメイン。
当時の奴と中の人が同じなら、リネやROでは飽き足らず
FF11やマビノギや信長のトロイまで作った奴。

578 ：(^ー^*)ノ〜さん sage ： 2007/05/29(火) 01:27 ID:UKFJo87S0

>>567
カスペから返答。（報告 22:54／返答 0:29）

hua.exe - Trojan-Downloader.Win32.Delf.ade

次回アップデートで対応とのこと。

579 ：(^ー^*)ノ〜さん sage ： 2007/05/29(火) 01:39 ID:7fmVjrR10

仮想PC＋Ubuntuの捨て駒環境を作って踏んでみたんだけど
何も起こらなかったのは仕様？

自力でhuaをDLしにいったら拾えたけど、ff11maには繋がらなかったし
ここでの報告を見て何かリアクション起こしたんだろうか？

しかしこのJavaScript、手が込んでるというか何というか。
自力でデコードしたけど、見て思わず笑ってしまった。
でもなんとなく、実験的コードに見えたのは自分だけかなぁ？

580 ：(^ー^*)ノ〜さん sage ： 2007/05/29(火) 01:55 ID:7fmVjrR10

追記

wgetで今検体拾いに行ったら、カスペが反応。
>578にあるように、Trojan-Downloader.Win32.Delf.adeとしてhuaを検出しました。

ttp://www.viruslistjp.com/search?VN=Trojan-Downloader.Win32.Delf.ade&referer=kis

581 ：(^ー^*)ノ〜さん ： 2007/05/29(火) 03:02 ID:3P1xr1f50

いつもおつかれさまです。いったん警告age

582 ：(^ー^*)ノ〜さん sage ： 2007/05/29(火) 09:50 ID:uWZRqUHw0

>>576の「�@を実行と同時に下記IP宛てに何かが送信される」の具体的なURLが判明しました。
実際には送信ではなく受信なんですが・・・
http://www■jpxpie6-7net■com/muma■txt

上記ファイルの中身↓
---ここから---
http://www■jpxpie6-7net■com/server■exe
1.0
http://www■jpxpie6-7net■com/svch■exe
1.0
---ここまで---

Trojan.Downloaderである以上、何らかのファイルをダウンロードしに行くはずですが、
恐らくその情報をmuma.txtから取得しているということでしょう。
ちなみにIEを起動するたびに、muma.txtを取得しに行く仕様になってます。
感染すると常に最新のトロイを落とせる素敵な環境になってしまうわけですね(涙)。

推測ではありますが、hua.exe(あるいはexplord.exe)は、自分自身でトロイをダウンロードしに行くのではなく、
IEにsystemlj.dllを強制挿入することにより、ダウンロード作業をさせていると思われます。
FWで不信なプロセスをブロックする手法では、防げない可能性が高そうです。

583 ：582 sage ： 2007/05/29(火) 11:18 ID:uWZRqUHw0

582の補足です。

>ちなみにIEを起動するたびに、muma.txtを取得しに行く仕様になってます。

正確にはiexplore.exeという名前のファイルを実行したときに、muma.txtを取りに行くようです。
メモ帳だろうがなんだろうが、iexplore.exeという名前にすれば、取りに行きますし、
本物のiexplore.exeも別の名前にリネームすれば取りに行きません。

と言っても、iexplore.exeは脅威の復元能力を持ってるっぽいので、
名前を変えたところで、すぐに元の名称で復活してしまいますがorz。

なお、普段IEを使ってない人は大丈夫かというとそんなことはありません。
hua.exeとexplord.exeが、勝手にIEを起動してしまいますので。

584 ：(^ー^*)ノ〜さん sage ： 2007/05/29(火) 14:46 ID:dBwwOIFA0

とにかく踏まないこと(WindowsUpdateなどをしておく、
IEのセキュリティ設定を既定かそれ以上にしておく)が
鉄則ですねぇ。

585 ：(^ー^*)ノ〜さん ： 2007/05/29(火) 19:25 ID:RfN/1Ckc0

先ほどメッセンジャーにこんなものが
2007/05/29 18:58:30 Christian Check this out Give me your opinion http://21956■buhiokasdeintionsa■com/237/9287/

ウイルス対策ソフトが即座にウイルスが含まれていることを知らせてくれましたが
新手の垢ハックでしょうか？

586 ：(^ー^*)ノ〜さん sage ： 2007/05/29(火) 19:30 ID:T4PFfMSV0

上海かｗ

587 ：(^ー^*)ノ〜さん sage ： 2007/05/29(火) 19:37 ID:6L7YyFpM0

>585
微妙にスレ違いな気がしないでもないが
>21956■buhiokasdeintionsa■com/m11/file■exe

>ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_STRATION.IH
ウィルスバスターでは「TROJ_STRATION.IH」として検出されるが詳細不明。
ワームの一種で垢ハックとは関係ないと思われる。

※だから無害というわけではない

588 ：(^ー^*)ノ〜さん sage ： 2007/05/29(火) 19:44 ID:UKFJo87S0

まちがってLiveROに投稿してたのでこっちに。hostsでブロックしてたので多分既出だと思う。

鯖板に貼られたリンク。確認した所、ソースの中にはっきりとファイル名がありました。
ソースチェッカーオンラインでは、安全度100%と出ますが信用しないように。 （←この辺だけ注意）
ファイル自体は、Maran.FFのようです。

http://www■blog-ekndesign■com/wiki/see■exe

−以下、投稿された内容−
1 Saraの中の名無しさん 07/05/29 16:49:11 ID:vDHKlg1c
もう限界ﾃﾞｽﾖ

ttp://www■blog-ekndesign■com/wiki/
↑に引っ越しました。
MSNとここのGv動画のログだけ移しました。
というわけで今後は上のリンク先で更新します。

589 ：(^ー^*)ノ〜さん sage ： 2007/05/29(火) 19:55 ID:ABAsdpTh0

>>585
ttp://www.avast.com/jpn/win32-warezov-family.html
ttp://www.viruslistjp.com/viruses/encyclopedia/?virusid=154565
そのspamを踏めばゾンビPCの仲間入りする可能性大。

590 ：(^ー^*)ノ〜さん sage ： 2007/05/29(火) 20:03 ID:UKFJo87S0

>>576
検体提出先で解説ページがupされた模様。（メール貰った直後はページが存在しなかったｗ）

For information on Troj/Dloadr-AYW please see:
ttp://www.sophos.com/virusinfo/analyses/trojdloadrayw.html

576の解説と同じ説明よりちょっと簡易な説明かも。

591 ：(^ー^*)ノ〜さん ： 2007/05/29(火) 20:32 ID:RfN/1Ckc0

ゾンビPCとは何でしょう・・・？
ファイル保存や実行はしていませんが危険ですか？

592 ：(^ー^*)ノ〜さん sage ： 2007/05/29(火) 20:40 ID:GVfo7p9J0

>>591
ゾンビPCってのは、罠踏んだ被害者が、今度は加害者になるってことだよ。
そのまま放置してると、ﾀｲｰﾎとかあるので気をつけてくださいね。

593 ：(^ー^*)ノ〜さん sage ： 2007/05/29(火) 20:44 ID:UKFJo87S0

>>591
垢ハックと直接関係のない質問は、次からはLiveROのスレでよろしく。

インターネット上の新たな脅威「ボット(bot)」に気をつけろ！(上)
ttp://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20041215/153889/
>ボットと同じような言葉として「ゾンビ（zombie）」や「エージェント（agent）」などがある。

594 ：(^ー^*)ノ〜さん sage ： 2007/05/29(火) 20:46 ID:6L7YyFpM0

>591
簡単に言えば、ハッカーに操られるPCの事。
自分が知らない間に、サーバアタックの攻撃者の一人になったり、ウィルスメールの
送信元になったりする。
そして最悪の場合、攻撃者の一人として訴えられて逮捕される恐れもある。

ttp://e-words.jp/w/E382BEE383B3E38393PC.html などを参照。

これ以上はセキュスレに話題を移した方がいいかな。

595 ：(^ー^*)ノ〜さん sage ： 2007/05/29(火) 21:21 ID:egTTMfPi0

Gメンバーの垢ハック被害者のアイテムが帰って来た。

癌に報告（同時に装備売りさばいて居た商人報告）
→警察へ被害届出せとの事

警察に通報→中国からのハックらしいがこれ以上は捜査できないとの事。
捜査終了を癌に報告
アイテムが帰ってくる。（ここまで半年）
ｃと過剰武器防具が分離されて帰って来たらしい。

ハックされたアイテムを売りさばいて居た商人は
先々週位前にハック装備を売っていてまだ生きていたと本人は言って居た。

596 ：(^ー^*)ノ〜さん sage ： 2007/05/29(火) 23:40 ID:OhFVgEey0

>>582
svch.exeはsvchost.exeと同じ60kBくらいの奴。
server.exeが70kBとMaranにしては大きいので、こちらは新型の予感。

597 ：(^ー^*)ノ〜さん sage ： 2007/05/30(水) 01:16 ID:ybYRi8PE0

server.exe Trojan-Spy.Win32.Agent.nq

598 ：(^ー^*)ノ〜さん sage ： 2007/05/30(水) 02:35 ID:nXlGUEr70

>>582 >>597
NOD32検出結果
svch.exe Win32/Pacex.Gen（自動提出）
server.exe Win32/Genetik トロイ の亜種（自動提出）

svch.exe 圧縮形式：なし
server.exe 圧縮形式：WinUpack 0.39 final -> By Dwing

599 ：(^ー^*)ノ〜さん sage ： 2007/05/30(水) 03:12 ID:ybYRi8PE0

これも同じタイプか…。
www■korunowish■com/win.exe
↓
www■korunowish■com/muma.txt
svch.exe
server.exe
更新チェックが面倒だな〜。

600 ：(^ー^*)ノ〜さん sage ： 2007/05/30(水) 03:59 ID:nXlGUEr70

>>599
NOD32は全部自動提出になったものの、NOD32でもカスペでも検出可能ですた。

Kaspersky
win.exe : Trojan-Downloader.Win32.Delf.ade
svch.exe : Trojan-Spy.Win32.Agent.nq
server.exe : Trojan-PSW.Win32.Maran.ff

NOD32
server.exe : Win32/Pacex.Gen ウイルス
svch.exe : Win32/Genetik トロイ の亜種
win.exe : Win32/TrojanDownloader.Delf.ADE トロイ の亜種

601 ：(^ー^*)ノ〜さん sage ： 2007/05/30(水) 04:33 ID:GGOe++L20

>>595
帰ってくることなんてあるのか
それにしても警察使えねーな、一個人に労力なんて割きたくないし国外には無力か
自衛大事

602 ：(^ー^*)ノ〜さん sage ： 2007/05/30(水) 06:34 ID:5EZCCra70

>>601
現状では、ICPO経由か、外交ルートを通じて働きかける事のできるレベルの事件でないと、越境捜査が難しい現実。
犯罪件数の絶対数増加により、ようやく、日中捜査共助条約の締結に向けて動きが見えてきたけど。
ttp://www.nikkei.co.jp/china/news/20070410c3s1000d10.html

603 ：(^ー^*)ノ〜さん sage ： 2007/05/30(水) 07:31 ID:8wEJoJIC0

ROの被害は無かったけどテンプレこっちでいいのかな？

【　 　 　 気付いた日時　 　 　 　 　 】2007/5/29 0:28:08
【不審なアドレスのクリックの有無　】不明
【他人にID/Passを教えた事の有無】No
【他人が貴方のPCを使う可能性の有無】No
【 　 　ツールの使用の有無　 　 　 】No
【　 ネットカフェの利用の有無　 　　】No
【　 　　 OS　 　 】XP SP2
【使用ブラウザ 】IE 6.0
【WindowsUpdateの有無】自動及び手動で一週間以内
【　アンチウイルスソフト 】Norton Internet Security 2005
【その他のSecurty対策 】Spybot
【 ウイルススキャン結果 】
C:\〜\Temporary Internet Files\Content.IE5\JAB19P77\ani221[1].zip 疑わしい: Exploit.Win32.IMG-ANI.gen
C:\〜\Temporary Internet Files\Content.IE5\QWYDB908\ied[1].txt/ied.exe 感染: Trojan-Downloader.Win32.Mediket.dt
C:\〜\Temporary Internet Files\Content.IE5\QWYDB908\ied[1].txt CAB: 感染 - 1
【スレログやテンプレを読んだか】たまに見てた
【hosts変更】有だけど4/30頃
【PeerGuardian2導入】無
【説明】
定期で掛けたカスペのオンラインスキャンで上記の3つを検出
4日程前のチェックでは検出されてなかったので極最近だと思いますが
踏んだ直後ではなかったのでURLは判らないです。
すぐに普段使ってないサブPC（WIN2k SP4 IE6 NIS2005 UPDATEは定期的にやってた）の方で
『GungHo-IDパスワード』『アトラクションIDパスワード』『キャラパスワード』『メールアドレス』の変更と
被害無いのを確認。
オフライン環境で駆除とカスペ・トレンドフレックス・X-Cleanerのオンラインでチェックして
今は何も検出されてない状態ですが、調べてみてもウイルスの概要が判らなかったので
宜しければアドバイスお願いします。

604 ：(^ー^*)ノ〜さん sage ： 2007/05/30(水) 09:10 ID:nXlGUEr70

んー。踏んじゃった対策だからこっちでもいいか。
WindowsUpdateしてるなら、大丈夫な気もするけど。

引っ掛かっているのはIEキャッシュのようですね。
１．ブラウザがキャッシュに読み込む
２．実際に表示や指定フォルダに保存の作業を行なおうとする
３．実行してしまう

この２の段階で検知してブロックした場合、１の作業ファイルは
ＩＥの作業ファイルとして残っています。フルスキャンを行なった
場合に、この作業ファイルを検知したというだけではないでしょうか。
（最近、自動でブロックされたことはありませんか？）

ウィルスの詳細については、末尾は亜種の区分なので末尾を削ると
似たような動作をするものが出てくると思います。

Exploit.Win32.IMG-ANI.gen
　　 : アニメカーソルの脆弱性を突くものでWindowsUpdateかかってれば多分大丈夫
Trojan-Downloader.Win32.Mediket.dt
　　 : 末尾がcvの奴の説明↓。圧縮形式やファイル名などが異なるとは思うが概要は同じ。
　　 　要するに他のトロイなどの本体を落とそうとするもの。データを直接盗み出すものではない。
ttp://www.avira.com/jp/threats/section/fulldetails/id_vir/3404/tr_dldr.mediket.di.html

そのied.txtというのが、踏んだページのキャッシュで、そこからied.exeというのを
入手させようとしたのかもしれない。そこで入手してしまったダウンローダが、
Win32.IMG-ANI.genをダウンロードしてきた（別のフォルダのキャッシュにある）が、
WindowsUpdateでブロックされた…筈。（断定はできないけど）

Trojan-Downloader.Win32.Mediketのみを発動させたんじゃないかと推測。

>オフライン環境で駆除とカスペ・トレンドフレックス・X-Cleanerのオンラインでチェックして
除去できているので、安心してもいいと思うが、あくまでも自己責任で。
どこで踏んだのかわからない不安が残るのなら、ＯＳの再インストールコースを。

605 ：(^ー^*)ノ〜さん sage ： 2007/05/30(水) 09:17 ID:3ol7GVul0

Temporary Internet Filesから見つかってるので、それらはIEのキャッシュという事。
ファイルのタイムスタンプ見てIEの履歴調べたら、いつどこで踏んだかってのは判るかも。

aniカーソルの脆弱性を突いた奴からDropperを掴まされたって感じだけど、詳細不明のため
アカハック系かどうかも不明。

>402-404の検証にもあるが、
>元のファイルが検出可であれば、感染後のファイルも検出可なのかと言うと、必ずしもそうではないようだ。
こういう事もありえるので、今見つかってないからといって、クリーンであるという保障にはならない。

特にキャッシュにだけ見つかって、発動本体と思われるものが検出されてないから
A)発動しなかったので検出できない
B)他の形になったので検出出来ない
>402の検証では、元ファイルは削除されるらしいし、どちらのパターンなのか判断が微妙。

すっかり安全、という自信が出来るまでは暫くはそのPCからのWeb閲覧やRO等は避けた方がいいかも。
不安が拭えないならOS再インストールのコースへ。

606 ：(^ー^*)ノ〜さん sage ： 2007/05/30(水) 10:44 ID:94EhAgqx0

>>582の感染後調査

�@MD5:7FBBBC283BEF9121536A244CC9D8B947　www■jpxpie6-7net■com/server■exe
�AMD5:7FBBBC283BEF9121536A244CC9D8B947　→ %WinDir%\system32\explorerf.exe
�BMD5:957C50AB96BF1E2CC5A9DED16E01E14A　→ %WinDir%\system32\systemlf.dll

�CMD5:DDEA4475B4A10D5DDC1D28180EDA2BE4　www■jpxpie6-7net■com/svch■exe
�DMD5:17A6424A777022289C6B86D784F58C4F　→ %WinDir%\svchost.exe
�EMD5:D7C0D46F22B75E7526DA76A0CCE8FDB2　→ %WinDir%\system32\tjviwer.dll

[自動起動設定]
�AHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runに登録
�Dサービスに登録（サービス名ADIDown 表示名Power Adapter）
�EWinsock Providerに登録

[カスペルスキー検出名]
�@�A�BTrojan-Spy.Win32.Agent.nq
�C�D�ETrojan-PSW.Win32.Maran.ff

�@と�Aは同じファイルです。�Bの中にターゲットはFFかなと思わせる文字列がちらほら。
�C〜�Eはいつものmaran。jROとリネ１がターゲット。感染後ファイルは>>522と同じものです。

607 ：(^ー^*)ノ〜さん sage ： 2007/05/30(水) 10:46 ID:94EhAgqx0

>>576,605と同じタイプのウイルスと思われる>>599の感染後調査

�@MD5:0EBDDF044F5AE1AA5086319D4EA2746F　www■korunowish■com/win■exe
�AMD5:0EBDDF044F5AE1AA5086319D4EA2746F　→ C:\Program Files\explord.exe
�BMD5:B46FBDE092651D31FACA3BE6E459258D　→ %WinDir%\system32\systemlj.dll

�CMD5:9927630F2D42D27276CCC25EA4FD23D5　www■korunowish■com/svch■exe
�DMD5:9927630F2D42D27276CCC25EA4FD23D5　→ %WinDir%\system32\explorerf.exe
�EMD5:957C50AB96BF1E2CC5A9DED16E01E14A　→ %WinDir%\system32\systemlf.dll

�FMD5:89F35450C6D160265FAB884EE2E7F378　www■korunowish■com/server■exe
�GMD5:17A6424A777022289C6B86D784F58C4F　→ %WinDir%\svchost.exe
�HMD5:C9028A19C60FBF246C1B39123A5DBED6　→ %WinDir%\system32\tj1viwer.dll

�A�DHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runに登録
�Gサービスに登録（サービス名ADIDown 表示名Power Adapter）
�HWinsock Providerに登録

カスペルスキー検出名
�@�A�BTrojan-Downloader.Win32.Delf.ade
�C�D�ETrojan-Spy.Win32.Agent.nq
�F�G�HTrojan-PSW.Win32.Maran.ff

�Bは>>576の�Bと一致します。
�Eは>>606の�Bと一致します。
�Gは>>606の�Dおよび>>522と一致します。

608 ：603 sage ： 2007/05/30(水) 17:09 ID:5H97cS4m0

>>604
>（最近、自動でブロックされたことはありませんか？）
NIS2005では完全にスルーだったので実行までされてた可能性が高そうです

>>605
一応履歴も辿って感染元になったURLです判明しましたので
【不審なアドレスのクリックの有無　】http://cosplay-gallery■com/


再度貰ったので軽く見てみた所
ied[1].txtはヘッダがMSCFのCAB偽装ファイルで内部にide.exe

ani221[1].zipをテキストで開くと末尾に
md /c for /D %a in (%TEMP%\..\tempor~1\Content.ie5\*) DO if EXIST %a\ied[1].txt
expand %a\ied[1].txt \eied_s7_c_221ani.exe &\eied_s7_c_221ani.EXE &del \eied_s7_c_221ani.exe
の記述（Javaで>>604氏の説明にあったwww2.p0rt2.comからダウンされたっぽい？）

なんにしてもハッキリと得体が知れないの部分もあるので
お二人の仰る通り再インストールした方が良さそうですね・・・
助言ありがとうございました。

609 ：(^ー^*)ノ〜さん sage ： 2007/05/30(水) 17:54 ID:XR/PvFmc0

>>601
ハック業者は捨てノビを何体も作り受け渡してはキャラ削除、ガンホーID削除していて
それだけでアイテムログが膨大になっていき、結局垢ハック露店にまでたどり着けないらしいよ。
ROの古いシステムが追跡を困難にもしているみたいです。
で、ログ追えたりSSなどで分かるアイテムだけはガンホーが補填してくれるようです。

610 ：(^ー^*)ノ〜さん sage ： 2007/05/30(水) 18:20 ID:3ol7GVul0

>608
mdに/cなんてオプションあったっけ？と暫く悩んだが、cmd /cの事か。

そのコードは、Temporary Internet Filesの中に ied[1].txt が無いか探して
見つかった場合、eied_s7_c_221ani.exeとして解凍→exeを実行→exeを削除
という動き。


以下想像

閲覧時にキャッシュにani221[1].zipとied[1].txtが保存された。
本来ならaniカーソルの脆弱性を突いてコードが発動、ied[1].txtに仕込まれた
eied_s7_c_221ani.exe が実行される。

しかしWindowsUpdateをしていたので罠コードは発動せず、IEのキャッシュにその
２ファイルが残っただけになっていて、カスペがそれを検出した。

こんな感じで、罠の発動・感染はしてなかったんじゃないかと思う。

ただ確証がないので、あくまで想像だけど。

611 ：(^ー^*)ノ〜さん sage ： 2007/05/30(水) 21:10 ID:CuWrk/WE0

The Eir in Ragnarok Online !! コミュニティの
はBOT撲滅デー というトピックより
(投稿した人のmixiネームは一応伏せておきます)

2007年05月30日
17:27

明日はアサシンギルド事件から一年が経過します。
この事件からＲＯは色んな事件や騒ぎが起きましたが、現状のＲＯでは去年よりＢＯＴが減ったり、プレイしやすい環境に変化したのでしょうか？

「ＢＯＴを見ても、いつもの事･･･」

で、ＢＯＴを受け入れてしまわないように　5/20　は、ユーザーがＢＯＴに対して「ＢＯＴは違反」と言う認識を再確認する

「ＢＯＴ撲滅デー」

と言う事にしませんか？
アサシンギルド事件のやり方問題は別として、彼らのお陰で全てが始まったのですからね。


※アサシンギルド事件を知らない方は下記参照です　ＢＯＴＮＥＷＳより
http://www■ro-bot■net/10657/

612 ：(^ー^*)ノ〜さん sage ： 2007/05/30(水) 21:13 ID:CuWrk/WE0

書き忘れ

URLは既出が多いですがmixiのコミュニティのいろいろな所に本文と危険URLを変えて貼られているようなのでその内の一つを掲載しました。

613 ：(^ー^*)ノ〜さん sage ： 2007/05/30(水) 21:30 ID:noEjIf/z0

>>611
sesコミュニティの方にもまったく同じ書き込みが・・・。

614 ：(^ー^*)ノ〜さん sage ： 2007/05/30(水) 21:54 ID:arMq2jgL0

本文の選択がむかつくな糞中華め･･･
とりあえず張った奴をmixi側に通報したいところだが、トロイでmixiのパスを盗まれた人のかもしれんのだよね。

615 ：(^ー^*)ノ〜さん sage ： 2007/05/30(水) 22:04 ID:G+U91kkX0

なんにせよ野放しにして置くわけにはいかないでしょ
「mixi垢事盗まれてるのだとしたらその人が可哀想」なんて言ってる場合ではないと思う

616 ：(^ー^*)ノ〜さん ： 2007/05/30(水) 22:08 ID:ZLxcIuI80

垢盗まれて何のｱｸｼｮﾝも起こさないのは、被害者ではなくむしろ加害者であると

617 ：(^ー^*)ノ〜さん sage ： 2007/05/30(水) 22:20 ID:arGC51BY0

ところで、友達登録で垢ﾊｯｸってされますか？？

618 ：(^ー^*)ノ〜さん sage ： 2007/05/30(水) 22:25 ID:PaHpXzrV0

されません

619 ：(^ー^*)ノ〜さん sage ： 2007/05/30(水) 22:34 ID:5EZCCra70

ゲーム中の、なら無理な話。
mixiの場合だと、挨拶文に誘導リンクを盛り込むことは可能だが、リンク自体を踏まなければ発動はしない。

620 ：(^ー^*)ノ〜さん sage ： 2007/05/30(水) 22:38 ID:arGC51BY0

当方IRISですが、受諾で垢ﾊｯｸされるという友録が飛び交っています。
真偽はわかりませんが、人ごみの中でも発信するあたり、何らかのﾂｰﾙを使っているものかと。

621 ：(^ー^*)ノ〜さん sage ： 2007/05/30(水) 22:42 ID:hviFas2S0

ん？そんなの仕様的に無理じゃないか？

622 ：(^ー^*)ノ〜さん sage ： 2007/05/30(水) 22:54 ID:nXlGUEr70

>>620
ツールを使っても、飛び交ってないデータは取得できません。単なるデマです。
間違った情報を、不正確な理解で流布しないように注意して下さいね。

623 ：(^ー^*)ノ〜さん sage ： 2007/05/30(水) 22:57 ID:yEISwhrk0

「ボクの知り合いのｽﾊﾟｰﾊｶｰ」みたいなものと思えばOK。

ログイン時に鯖と認証するためIDとPASSは流れるが、そこで終わり。
認証が済めばプレイできるが、ROのプレイ中にはPASSは一切流れない。
ゲーム内で流れてないものを、どうやって傍受するのかと。

PASS等を傍受するには、ログイン時に傍受するしかなく、そのためには
結局トロイを踏ませるとかの手段しかない。
ゲーム内でそれを行うことは不可能で、トロイや何らかの罠ツールといった
ゲーム外での仕込みが必要。

だいたいそんな事でハクれるなら、中華がわざわざ次々にトロイを
改良したり、ドメインとりまくったり、罠URL貼りまくったり、と涙ぐましい
努力をしてる意味がない。
そんな事しなくても、中華は簡単にハクれるって事になる。

ちなみにその噂を流してるのは、取引要請で倉庫キャラと狩りキャラの
取引が邪魔されるのを嫌ったBOTer、という説もあるぐらい、昔からある
都市伝説じみた話。

624 ：(^ー^*)ノ〜さん sage ： 2007/05/30(水) 22:58 ID:PaHpXzrV0

どうせなら中華露店から買うとハクられるって噂流してくれ

625 ：(^ー^*)ノ〜さん sage ： 2007/05/30(水) 23:13 ID:nXlGUEr70

>>624
不正確な情報と思い込みが一番困るんだ。相談受ける立場の人が困るからやめてくれ。

>>623
取り引き確認の為に要請出したBOT（または商人かのび側）が友達登録を飛ばしてくることはある。
（取り引きの間のタイミングだったり、要請窓開いちゃったりした後の行動として）
だけど、要請飛ばしてくるのは商人１０体に１体もいない。飛ばしてくる奴は、執拗に要請を出す。

試したことは無いが、同じMAP内であれば、1:1ウィンドウの右クリックでも友達要請が飛ばせるらしい。
その場合、620の言うような人ごみでも要請飛ばしてくるに該当するかもしれない。
要請を飛ばしてくる相手がキャラを右クリックして送ってるとは限らないということ。

友達登録の要請理由はわからないが、垢ハックと無関係。

626 ：(^ー^*)ノ〜さん sage ： 2007/05/31(木) 00:49 ID:TwxBrHCC0

友達要請を受けたら、BOTの飼い主として晒す罠とか

627 ：(^ー^*)ノ〜さん sage ： 2007/05/31(木) 00:51 ID:Sh/9mmse0

BANされる時に巻き添え食わそうとしているとかいう可能性も考えられるな。
とりあえずは要請は蹴った方が無難という事で。
移動中とかに出されるとミスクリックでok押したりしそうで嫌だが･･

628 ：(^ー^*)ノ〜さん sage ： 2007/05/31(木) 08:48 ID:8lloDV3t0

>>606,607
マカフィーのウイルス情報
ttp://www.mcafee.com/japan/security/virPQ2006.asp?v=PWS-FFantasy
を見ると、カスペのウイルス名、ドロップするファイル名、レジストリへの登録が、
606の�@〜�B、607の�C〜�Eと一致するので、FinalFantasy狙いということで合ってそう。

629 ：(^ー^*)ノ〜さん sage ： 2007/05/31(木) 08:55 ID:cAMoJaJ80

既知の罠ドメインだけどMEスレに張られていたので報告

>985 名前：Alfons☆ Mail： 投稿日：2007/05/31(木) 01:38:43 [ TJOsrnIg ]
>
>[RO]第6回ガンホーオフミは6月17日に新潟で
>第6回ガンホーオフラインミーティングの開催概要が発表され、参加者募集が開始されました。
>・「第6回ガンホーオフラインミーティング」開催のご案内(ガンホー)
>[参考] www■cityhokkai■com/games/
>***第6回ガンホーオフミ概要*** ■日時
>　2007年6月17日（日）13：00〜16：00
>■開催場所
>（以下略）

httpつけてないあたり、専ブラ使いを狙ったのか、単に置き換えただけで
そこまで気が付いてなかっただけなのか。

スレ住人がすぐに警告出すから大きな問題にはならないと思うけど、あそこは管理人の
不在期間が長すぎて、3月ぐらいに貼られた罠アドレス書き込みや罠スレも削除されてない。
ちょっと危険かも。

630 ：(^ー^*)ノ〜さん sage ： 2007/05/31(木) 15:47 ID:BnIKcrFW0

【　 　 　 気付いた日時　 　 　 　 　 】 5/31 13:45
【不審なアドレスのクリックの有無　】 職wikiは見てたがリンクは全てチェッカー掛けてから使用
【他人にID/Passを教えた事の有無】 (No)
【他人が貴方のPCを使う可能性の有無】 (No)
【 　 　ツールの使用の有無　 　 　 】 (No)
【　 ネットカフェの利用の有無　 　　】 (No)
【　 　　 OS　 　 】 (Windows2000)
【WindowsUpdateの有無】 (先月の２０日ぐらい)
【 ウイルススキャン結果】 現在確認中
【スレログやテンプレを読んだか】 (Yes)
【hosts変更】(無
【PeerGuardian2導入】(無 )
【説明】
３０日の夜中から頻繁にMAP移動の際、ログアウトするようになっており
自分はＰＣ性能低い為、それが原因だと思っていましたが今思うと中華がログインしてたんだと思われます

本日１３時にログインすると装備、Zeny、がサイン以外全て無くなっていました
癌に通告後、警察に出向く予定ですが実際行った人居ればどうすればいいかご教授願いたい

631 ：(^ー^*)ノ〜さん sage ： 2007/05/31(木) 16:02 ID:HREh4d1L0

1つ聞きたいんだけど、MAP移動の際にログアウトっていつもそうだったの？
同垢ログインされたら、「同じアカウントでログインが〜」みたいなメッセージが出てから叩き落されたんだと思うけど。
普通にMAP移動の時に「サーバーとの接続がキャンセルされました」って出たら、そりゃ気づかないわなぁ

632 ：(^ー^*)ノ〜さん sage ： 2007/05/31(木) 16:08 ID:BnIKcrFW0

普通にクライアント自体が終了ですね

633 ：(^ー^*)ノ〜さん sage ： 2007/05/31(木) 16:21 ID:8lloDV3t0

>>630
警察に行った人ではないんだけど、
トロイが見つかったら、証拠としてキープしておいた方が良いかも。
捜査の役に立つかもしれないし、消してしまったらそれまでだから。

634 ：(^ー^*)ノ〜さん sage ： 2007/05/31(木) 17:10 ID:PcwTJkRd0

質問です。
このアドレス、
ttp://ruizatan■shonbori■com/blog/
は、アカウントハックの危険性はあるのでしょうか…。

一応自分なりに調べてはみたのですが、結局のところよくわからず…
皆様の助言をいただきたいです。

635 ：(^ー^*)ノ〜さん sage ： 2007/05/31(木) 17:14 ID:NHKznjde0

>>634
>>1

636 ：(^ー^*)ノ〜さん sage ： 2007/05/31(木) 17:16 ID:uFgE2Zd50

>>634
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

昔ROの記事を書いていたようだが？長期放置の後、いまや空白。
空白なんだから行ってもなんにも無い、ソースもからっぽ。

637 ：(^ー^*)ノ〜さん sage ： 2007/05/31(木) 17:17 ID:NHKznjde0

俺NHKだ…、集金してくる

638 ：634 sage ： 2007/05/31(木) 17:19 ID:PcwTJkRd0

ぐあ、申し訳ない…
1にも目を通していたつもりだったんですが、もっとしっかり見ておくべきでした。
申し訳ありません。

実は自分で踏んでしまいまして、噂の「真っ白なページ」だった為に、もしや！と思った次第でした。
スレ汚し失礼しましたーm(_ _)m

639 ：(^ー^*)ノ〜さん sage ： 2007/05/31(木) 17:57 ID:XcVJEgbk0

>>630
少なくとも、セキュリティソフトが発見・削除した際のログがあればいいと思う。
本体の保存は、知識がないと難しいかも。

警察に行った経験のある人の報告が非常に少ないのが困り物か。
思い付くだけの資料を書き出してみる。

■申し立ての概要をまとめた文書■
　オンラインゲーム「RagnarokOnlin」の、アカウントハッキングによる
　不正アクセスの為、ゲーム内通貨・ゲーム内アイテムを盗まれてしまった。

　オンラインゲーム管理会社：
　　ガンホー・オンライン・エンターテイメント株式会社
　　〒100-0006　東京都千代田区有楽町一丁目2番2号　東宝日比谷ビル
　　TEL 03-5511-1400(代表)
　ガンホーゲームズコールセンター：
　　メールサポート
　　billsup@gungho.jp (受付時間:24時間365日)
　コールサポート
　　TEL：03-5651-6068 (受付時間:14：00〜21：00 )

■以下、別紙資料■
・報告者の、住所氏名、連絡先（日中と、その他の時間帯の連絡先を両方記載する）
　メールアドレスではなく、電話番号など。メールアドレスはあくまでもおまけ。
・ガンホーID／アカウントID
　（パスワードは記載しないこと／IDは必要ないかもしれないので、
　記載したものと未記載の２枚用意して必要な方を提出すること）
・プレイサーバー名／盗難のあったキャラクター名
・下記のページのプリントアウト（下記の部分）
　ttp://www.ragnarokonline.jp/news/play/032.html
>■運営チームの対応■
>　警察等から捜査を行うため協力して欲しいと連絡があった場合、運営チームで得られた調査結果を
>警察等に提出させていただくことがあります。なお、警察等の公的機関「以外」から情報を公開して欲しいと
>依頼があっても、運営チームが保有する機密情報や他のユーザー様の個人情報等を公開することはありません。

640 ：(^ー^*)ノ〜さん sage ： 2007/05/31(木) 17:57 ID:XcVJEgbk0

>>630（続き）

・ガンホーに報告した文面の印刷。Webフォームへの投稿内容でいいでしょう。
・もしガンホーのフォームに返答が入っていれば、その内容も

・自分が正常にログアウトした日時（一番最近）
・頻繁に切断された日時（アカウントハックが行われたであろう日時）
　クライアントが終了したという挙動も報告。
・実際にアイテム等が無くなっていたのを確認した日時（2007/05/31 13:45）
・>>630に書いたテンプレの内容（ツール・パス教え・ネカフェなど）の印刷
・ウィルス検査結果のログ（プリントアウト/データはもちろん保存しておく）
・自分が接続しているIPアドレス（固定IPでないのであれば、接続業者名でもいいかな）
・所持していた物品をわかる範囲で正確に。
　あれば証拠として直近のＳＳ（アイテムなどの写っているもの）の印刷
・現時点で、倉庫・アイテム・Zenyが消失していることのわかるＳＳを印刷したもの全キャラクター分。

　ログと比較し、虚偽があれば、時間がかかるうえにアイテムが戻ってこないこともあり得る。
　絶対に嘘は書かないこと。わからないことは、はっきりとわからないと記載。

報告先
ttp://www.ragnarokonline.jp/playguide/play_manner/account_management.html#t3
>すぐにWEBヘルプデスクより報告してください。また、最寄りの警察署や「サイバー犯罪相談窓口」に
>ご相談することをおすすめします。

641 ：633 sage ： 2007/05/31(木) 18:37 ID:8lloDV3t0

>>639
いや、トロイの本体は極力あった方が良いと思うのです。
というのも、トロイ本体を解析すれば、パスの送信先が確実に分かるので、
プロバイダのログと照らし合わせることにより、
アカハックにあったという事実を証明しやすいと思うからです。

ウイルスチェックのログだけでは、結局残るのはウイルス名だけで、
トロイの機能はまったく同じで、送信先だけが異なる亜種が例えば１０種類存在したとすれば、
その１０種は多分同じウイルス名で扱われることになると思います。
なので、あとで警察がウイルス対策ソフト会社に
「このウイルス名のウイルスに感染した場合の、送信先を教えて下さい」と
問い合わせても、一概には答えられない可能性があると思うのです。

ウイルス対策ソフト会社が該当ウイルスの亜種を全種キープしてれば別ですが、
そうとも限らないと思うので、感染した本体そのものがあった方が確実だと思った次第です。

642 ：(^ー^*)ノ〜さん sage ： 2007/05/31(木) 19:00 ID:XcVJEgbk0

>>641
事実を証明しやすいのは確かだけどね、殆どの人は、除去が精一杯で、誤爆の危険がないように
保存する方法なんて説明するだけの労力に合いません。

なんせ、国外からであることが判明した時点で、それ以上の捜査はほぼ停止するのですから。
管理会社からの接続記録だけで十分でしょう。

求められるのは、盗まれた、zenyとitemの復元であり、場合によっては（調査の為に）プレイできなかった期間に
対するなんらかの保証程度でしょう。垢ハックを行なった「相手への追求」というのは、現実的ではありません。

だから、結局、本体があればそれも提出。但し、必須条件ではないということで。

※ LiveROに移動した方がいいですかね？

643 ：630 sage ： 2007/05/31(木) 19:13 ID:BnIKcrFW0

630ですがスキャン終了してウィルス見つかりました
名前の方upしておきます
svchost
ti2.viewer.dllの二つです　後者はいかにもって感じですね
後情報の後だしみたいで失礼ですが被害の前日の
頻繁にログアウトしていた時、再度接続したさい、自キャラにパスワード打たないで入れました

644 ：630 sage ： 2007/05/31(木) 19:25 ID:BnIKcrFW0

ってウィルス名は別でした　すみませぬ
感染: Trojan-PSW.Win32.Maran.cj
両方とも上記のウィルスに感染しておりました

645 ：(^ー^*)ノ〜さん sage ： 2007/05/31(木) 19:29 ID:XcVJEgbk0

>>643
>頻繁にログアウトしていた時、再度接続したさい、自キャラにパスワード打たないで入れました

それは関係無いので気にするな。

>スキャン終了してウィルス見つかりました

可能なら、zipか何かに固めてFDDかCD-Rに書込んで添付。誤爆感染があり得るので、生で書込まないように。
ただ、固める時点でもセキュリティソフト反応するので一時的に切るとか面倒くさい。戻し忘れると危険な状態なので
注意すること。自信がなければ、本体の添付よりも除去を優先で。

盗まれちゃった後だと、除去（安全な環境の作成）と、パスワード変更はそんなに緊急でもないんだけどね。
（これ以上盗まれるもんない訳だし orz）

646 ：633 sage ： 2007/05/31(木) 19:49 ID:8lloDV3t0

すみません。大事なことだと思ってるので、もう一レスだけ・・・

>>642
＞なんせ、国外からであることが判明した時点で、それ以上の捜査はほぼ停止するのですから。
＞垢ハックを行なった「相手への追求」というのは、現実的ではありません。

いえ、そうではなくて・・・・。
本体の確保は、あくまでも送信先を１点に絞り、プロバのログと照らし合わせて
アカハックの事実を証明する。またその時間を短縮するためのものと考えて下さい。
犯人を特定するために本体を確保するのではありません。

毎日一人あたり何十Ｍ、何百Ｍ、あるいはＧ単位の送受信があってもおかしくないですし、
パケの内容までプロバに残ってるとも思えません。残ってるのは多分送信先だけだと思うので、
中国国内へのアクセスログがあったところで、それがトロイによるパスの送信なのか、
単にブラウザで閲覧してただけなのか、その区別も付かないような気がします。

でも実際のところ、警察がどう動くのかもまったく分からないので、
そんなのいらないよと言われるかもしれませんが、消してしまっては
取り返しが付かなくなるので、確保して置いた方がよいかなと思った次第です。

でも、危険があるのも事実ですからね。
ごめんなさい。もうこれ以上のレスはやめておきます。
630さん、これから大変だと思いますが、がんばってください。

647 ：(^ー^*)ノ〜さん sage ： 2007/05/31(木) 20:27 ID:+7rneYkT0

正直な所、中華相手に詐欺やっても追求されないってことじゃね。

中華からzeny格安で買い取りかけて踏み倒そうぜ。

648 ：(^ー^*)ノ〜さん sage ： 2007/05/31(木) 20:36 ID:XcVJEgbk0

>>646
プロバイダでも、そこまでの資料残してるかな？

言っちゃ悪いけど、「たかが、(財物としての価値が法的に確定していない)オンラインゲームのアイテムと仮想通貨」の為に
垢ハックトロイの解析をする程の無駄な人件費を、公的機関がかけるとは思えない。
（車の当て逃げとかの物的損害があった場合でも、人身事故でもない限り、殆ど捜査しないし）

>消してしまっては 取り返しが付かなくなるので、確保して置いた方がよいかなと思った次第です。

だから、そこは誰も否定してないって。

と、ここまでの流れでわかるように、「実際のところ、警察がどう動くのかもまったく分からない」というのが現実で
どんな資料を要求されたとか、どんなことを聞かれたといったことだけでも、実際に動いた630さんの証言が
投稿されることを期待しています。

649 ：(^ー^*)ノ〜さん sage ： 2007/05/31(木) 21:22 ID:5ErxpHs90

>>648
タバコやガムを道端に投棄した奴がいたとして
DNA鑑定までするか? てことだね。
殺人事件ならするだろうけどねぇ。

警察に行く時は印鑑と身分証明を忘れずに。印鑑を忘れて
代わりに調書に指紋を押して嫌な気分になったことがある。

650 ：630 sage ： 2007/05/31(木) 22:06 ID:BnIKcrFW0

自分の装備を売ってる中華露店を見つけた
ＳＳは撮ったが癌に提出するべき？

651 ：(^ー^*)ノ〜さん sage ： 2007/05/31(木) 22:30 ID:XcVJEgbk0

>>650
しとけ

652 ：(^ー^*)ノ〜さん sage ： 2007/05/31(木) 22:33 ID:NHKznjde0

1から10まで聞くんでなくて自分で考えてやれることはやっておいたらいいんでないかい？

653 ：630 sage ： 2007/05/31(木) 22:46 ID:BnIKcrFW0

これに関しては確実に証拠無いと癌に何か言われそうだったんで…すみませぬ
通報してきました

654 ：(^ー^*)ノ〜さん sage ： 2007/05/31(木) 23:41 ID:3Vc7wkoB0

ＲＯのイラスト系のブログに貼られていた垢ハクアドレスを報告します

http://www■rinku-livedoor■com

これに添えて、「私もＲＯの絵描いてます。来てください」みたいなコメントあり

655 ：(^ー^*)ノ〜さん sage ： 2007/05/31(木) 23:58 ID:qOCewXH90

>>630
ハッキングは犯罪なので、ガンホーは警察へいけとしか言わないとおもう。
虚偽かもしれんし、ハッキング被害だけみるとガンホーに実害がないわけだしね。
で、警察からの照会があって初めてガンホーは動く。
そしてログなどから被害者以外のIPからの接続が判明して、ガンホーが許可した人意外のアクセスになるので
不正なアクセスとしてこんどはガンホーが不正アクセス被害者になる。
最近装備が返ってくるとの報告が結構あって、ガンホーが思ったより協力的だったとか言うけど、
ガンホーがハック調査に協力的なんじゃなくて不正アクセス被害者だから警察からの調査要請に協力せざるえないだけ。
ガンホーにはいつ頃ハックURLを踏んでしまったとか、倉庫に装備やらアイテムが無くなっていた日付。
そしてわたしの装備だと思われるものを売っている露店商人って感じの連絡で良いと思います。
あとは警察にガンホーに連絡した文章とか証拠になるものを揃えて駆け込み。
時間経過によるログの自然消滅とかある為に時間勝負になるから早く警察に行く事。

656 ：630 ◆tr.t4dJfuU sage ： 2007/06/01(金) 00:12 ID:N1Jq7jOd0

今日中に準備整えて１７時ぐらいに旅立ちます
聞かれた内容などは明日報告させて貰います
一応コテつけましたが邪魔なら言ってください

657 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 01:58 ID:tiUHKJm40

>>630
630から目を通したんだけど
セキュリティソフトの有無が書かれてないので
気になった。

自分のＰＣにどんなセキュリティソフトを導入していて
感染時に警告以外の反応すらなかったのか
それとスキャンして特定した時の使用ソフトを
書いてもらえると、参考になるから
できれば書いてもらいたいな。

658 ：630 ◆tr.t4dJfuU sage ： 2007/06/01(金) 02:02 ID:N1Jq7jOd0

AVG Anti Virusを使用してますね
スキャンして特定したのかカスペルキーとAVG両方で調べました
AVGで調べた場合は　svchost　ti2.viewer.dllのうち前者は削除されましたが
後者は引っかかりませんでしたね

659 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 02:37 ID:tiUHKJm40

>>658
有難う。

取りあえずお返しになるかわからないけど

俺には何のことかさっぱりだけど
「もって行くなら商品券より、ビール券」
ってばっちゃが言ってた。

660 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 02:43 ID:tiUHKJm40

ゴメン、主語がなかったね。
ばっちゃにもう少し具体的にって言ったら
何かさ、「被害届けじゃ捜査義務は生まれない」
とか、「警察に持って行くなら商品券より、ビール券」

うーん、俺にはさ、何のことか全然わからないし
ばっちゃももう歳だしな、やっぱ気にしないでくれ。

661 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 04:28 ID:tXPm7u6H0

>>630
感染原因が気になるが、WindowsUpdateの最終実施が先月の２０日ぐらいってのが、問題だったのか。
最近新しいタイプのスクリプト使ってたようだし、５月のアップデートをしてなかったのが感染原因かもしれないな。

>>643-644
その２つのファイルは>>435に上がってるのと同じ名称だな。ウイルス名も一致するし。

>>648
オンラインゲームのアイテムと仮想通貨のために捜査をするのではない。
あくまでも不正アクセスという犯罪に対して捜査するんだ。
ウイルスの解析は一般人から見たら難しく思えるが、
専門の会社に依頼すれば、カスペじゃないが、それこそ１時間とかで片が付くよ。
だらだら普通に調査するよりはよっぽど安く付く。

>>649
不正アクセスはれっきとした犯罪だ。
ガムのポイ捨てと同レベルにするのはさすがに無理がある。

>>650
>>104も参考にするべし。もちろんそのSSも大事だが、
そこだけが補填されるということにならないように。

662 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 13:11 ID:5W6SKyEw0

ぐぐった先のWikiから罠アドを踏みました（旧ｸﾙｾWiki
丁寧に全てのアドが罠アドにリンクされてます
Trojan-Downloader.JS.Agent.dv
Trojan-Downloader.JS.Agent.bw
Trojan-Downloader.JS.Agent.di
に感染したようですが駆除
rundl132.exeが作成されてましたが削除(rundll132.exeに似ている
被害はまだありませんが対処法がありましたらお願いします

663 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 13:32 ID:Akb+MKWF0

>>662
スキャンして削除で心配ならＯＳ再インストール。それ以外の対処はない。

あと、安全な環境からのパス変更も忘れずに。

664 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 13:49 ID:MUWa0L500

垢ハック露店出してる奴や中華っぽいBOTが普通に日本語を話している所を見ると
中華を装った日本人に見えて仕方ない

665 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 14:41 ID:vH6dGDwf0

>>664
大勢いるよ
例えばキャラメルMAPのシーフはキャラ名、ギルド名、職位はBOT露店商人のような
違和感を感じないし、しかも丁寧な作りのギルドエンブレムまで用意してる

でもキャラの動作は横しないだけでBOTそのものだし
きゃらくえで検索するとシーフの癖にBaseLv70〜90とか明らかに普通じゃない

中華にもうんざりするけど、こんな連中の皮を被る日本人には心底呆れるね

666 ：630 ◆tr.t4dJfuU sage ： 2007/06/01(金) 15:04 ID:N1Jq7jOd0

今から行ってきます
色々ご教授ありがとうございました

667 ：630 ◆tr.t4dJfuU sage ： 2007/06/01(金) 16:44 ID:N1Jq7jOd0

えっと行ってきました
結論のみ言うと「これは管理会社が悪い」らしいです
公式のハックについての文章持っていきましたが「これは管理会社が逃げてるだけだね」
「警察は犯人を処罰するだけ　だが犯人見つかる可能性は全然無し」
「復旧も諦めた方がいい　続けるなとは言わないけど盗まれるの承知で」
まぁこんな事言われました
質問あれば答えますよと

668 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 16:52 ID:tXPm7u6H0

>>667
いや、その返答は警察も逃げ出してるだけのような気もするんだが・・・
過去に装備が戻ってきたという報告もあるわけで、
警察が動いてくれなきゃどうにもならんのに、そんな返答してくるということは、
最初から警察はやる気ないから、装備は諦めろということなのか？

669 ：630 ◆tr.t4dJfuU sage ： 2007/06/01(金) 16:54 ID:N1Jq7jOd0

>>668
あくまでこういう事件があった参考として資料は貰っておく
こういう処理はガンホーがするものであって警察が見つける物ではない
僕「警察などの機関からの要請無ければハックの情報出さないらしいんですが」
警「それは警察に責任なすりつけてるだけ　巧いことやるねこの会社も」
だそうです
＠装備とかに関しては関わるつもり無い
「あくまで処罰するだけ」この言葉が目立ってました

670 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 16:57 ID:kFnqRVr10

>復旧も諦めた方がいい
これの意味がいまいちわからないなー
管理会社がお察しだから対応してくれないという意味なのか668のような意味なのかが

>続けるなとは言わないけど盗まれるの承知で
これはガンIDは変えられないからパス変えてもばれる可能性が高まるからという事かな

671 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 16:58 ID:kFnqRVr10

リロードしてなかったorz
それと630さんおつかれさま

672 ：630 ◆tr.t4dJfuU sage ： 2007/06/01(金) 16:59 ID:N1Jq7jOd0

犯人捕まる見込みは無いし、捜査する気無しって感じでしたね
「どうにかしてでもこいつ探してほしいのか？」など強い口調で聞かれこっちが悪い気分だった
捜査しない→癌の復旧条件にならない　からかな
復旧に関しては君と癌でやってくれだそうだ

>続けるなとは言わないけど盗まれるの承知で

ハックされることを前提にゲームやれ　みたい感じです

673 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 17:02 ID:kFnqRVr10

>>672
なるほど捜査しても国外の可能性が高い事がわかってるから
あんまり捜査したくないのかな
ほんとならガンが積極的に対応するべきことなのにね

674 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 17:06 ID:tXPm7u6H0

>>672
いや、それはなんか外れを引いた感じだな。
確かに警察と一口に言っても、届け出る警察署そして担当者によって
対応が千差万別だとは思う。にして、あまりにも酷い対応なような。

675 ：630 ◆tr.t4dJfuU sage ： 2007/06/01(金) 17:08 ID:N1Jq7jOd0

二人居たんだがどっちもネトゲは知らない人だったとは言っておく

676 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 17:08 ID:Qcv87Fyw0

やる気ねーなーその警察(県警?)。

677 ：630 ◆tr.t4dJfuU sage ： 2007/06/01(金) 17:11 ID:N1Jq7jOd0

リアルの金で騒動にならなくて良かったな
高い授業料みたいもんだと思えば良かったんではないか？
だそうですよ

678 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 17:18 ID:vH6dGDwf0

とりあえず面倒くさがってる県警に押し切られる形で被害届け出さなかったって事？

679 ：630 ◆tr.t4dJfuU sage ： 2007/06/01(金) 17:19 ID:N1Jq7jOd0

完全に押し切られましたね
被害届は癌が出す物とか言われてそれ以降一度も話題に出なかった

680 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 17:20 ID:tXPm7u6H0

日本人が日本国内から自分のIP堂々と使って犯行に及んだとしても、
その警察署じゃ絶対に捕まらないな。

都道府県警察本部のサイバー犯罪相談窓口等一覧
ttp://www.npa.go.jp/cyber/soudan.htm
なんてのがあるが、こういうところに行かないと駄目ということなのか。
ちなみに630氏は普通の警察署に行ったのかな？

681 ：630 ◆tr.t4dJfuU sage ： 2007/06/01(金) 17:21 ID:N1Jq7jOd0

北海道在住なんだが一番最寄りの警察署ですね
サイバー犯罪では電話で相談したが、その警察署で届け出出せしか言われなかった

682 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 17:31 ID:FReOAXxK0

なんか上手いこと丸め込まれた感があるな。

まず、癌はそれが垢ハックであることを証明できない。
ハックされたアカウントがどのIPから接続されたかは分かっても、
それがどこの誰かというところまでは追えないから。
国内に限るが、当事者以外でIPに紐付けられる個人を特定できる
のは警察だけなんだよ。

683 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 17:31 ID:Akb+MKWF0

つまり
・届け出は出したが、管理会社の責任であると明確に言われた
・管理会社として、不正アクセスかどうか確認し、復旧の措置を要請する
ということを強硬に申し立てるのみだな。

オプションとして
・復旧が行われるまでの間、（支払い済期間分の）利用権は、管理会社により正常に保存されるべきデータが
　保持されていないことにより、プレイを阻害されることになる。この期間分について何等かの形で補填を求める。
　（１dayで課金のケースには当てはまらない）

このオプションは、多分通らない。なぜなら、垢ハックを「踏んでしまった責任・踏んだ後気づかなかった責任・
踏んだ後盗まれるまで放置していた責任」がユーザー側に存在するからだ。

ただし、要求はすべきだろう。調査期間短縮を求める理由になるから。そして、対応しない場合、支払いをしているのに
プレイできない環境となっており、対応しないことを消費者センター辺りに報告するのもいいだろう。

684 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 17:32 ID:0NZyXmRH0

もう一度サイバーの方に連絡して、その警察にサイバー側から連絡してもらう事もできるかな？
とりあえずやってみれ。盗まれたものがリアル金にされてる事も伝えてみるんだ。
諦めたら負けだよ。

685 ：630 ◆tr.t4dJfuU sage ： 2007/06/01(金) 17:33 ID:N1Jq7jOd0

届けだけは出したかったがそこに行くのが厳しい罠

686 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 17:33 ID:EijVtsxA0

被害届けが出された場合、警察は受け取りを拒否することはできないので、
何を言われようが出すという意思表示することが原則。
その警官は面倒事が増えると思ってで出させないよう誘導したんだろうな。

687 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 17:34 ID:tiUHKJm40

いや、押し切られてるのが嫌なら
告発調書とってくれって何でいわなかったん？

688 ：630 ◆tr.t4dJfuU sage ： 2007/06/01(金) 17:35 ID:N1Jq7jOd0

２名に強硬な口調で言われたら流石に対処が厳しかった

689 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 17:36 ID:Akb+MKWF0

いや、警察の方も妥当な対応だと思うぞ。癌の対応基準が顧客をなめてるだけで。
書込まれた内容を読む限りでは、警察の対応は至極真っ当。

690 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 17:36 ID:vH6dGDwf0

警察が面倒事はお断りなんてよく言えるよ、ホント

691 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 17:41 ID:EijVtsxA0

そもそもユーザーが警察へ行くっていうのは、垢ハクでアイテム奪われたのを癌に申し立てしたら、
警察へ行って被害届けを出せと言われたのが発端だったよな。
警察経由じゃないと癌が動かないのが最大の問題というのはひとまず置いといて、この辺の手順を
きっちり確立しておきたいものだ。
今回のように警察によって対応が違うのは厄介な事この上ない。

692 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 17:43 ID:tiUHKJm40

てか本当に警察署行って来たのか？
警察官が強硬な口調だと刑訴法無視とか明らかにヤバイんだが。

693 ：630 ◆tr.t4dJfuU sage ： 2007/06/01(金) 17:43 ID:N1Jq7jOd0

サイバーの方に電話考えてみたが流石に今回のようにまた押し切られる形になると不味い

纏まり次第電話する予定ですが具体的にはどう攻めれば押し切られずに済むのだろうか

694 ：630 ◆tr.t4dJfuU sage ： 2007/06/01(金) 17:44 ID:N1Jq7jOd0

「この犯人どうしても取り締まってほしいならやるけど？」
「でも国外だろうからまず捕まらないから情報流すだけくらいだね」
のような会話でした

695 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 17:44 ID:tiUHKJm40

すまんミスった・・・
×警察官が強硬な口調だと刑訴法無視とか明らかにヤバイんだが。
○警察官が強硬な口調だと刑訴法無視してよくなると思ってるとか明らかにヤバイんだが。

696 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 17:49 ID:EijVtsxA0

>>693
具体的な内容はともかく、自分に非がない場合は何事においても会話内容を録音するのが
簡単かつ確実に有効な手段。
録音することをあらかじめ先方に伝えておけば、そうそう邪険な対応をされることもない。
相手が録音を拒否したとしても拒否できる法的根拠はないので突っぱねろ。

697 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 17:51 ID:Qcv87Fyw0

警察も役所も人間だから、人によって対応がまちまちなのは
仕方がない(いいことだとは思わないが)。

こいつは助けてやりたいと思わせるよう心象を良くするか、
こいつは拒否できないと思わせる材料を用意しつつ
強い意志でこちらが押し通すかだね。

698 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 17:53 ID:tiUHKJm40

>>696
630はもういいんじゃね？
この調子だと「警察は鉄砲もってるしおっかない。」とか言い出しかねない。

警察も役所も人間だが、対応する人間によって
法律が変わるとか聞いたこと無い。

699 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 17:54 ID:Akb+MKWF0

警察への要求内容
×垢ハックのアイテムを取り返してくれ→管理会社の仕事なんで受け付けない
○垢ハックしてパスワード盗み出した犯人を捕まえてくれ→まず捕まらないと思うが受理だけはしなければならない

癌への要求内容
○垢ハックであるので調査し、確認が取れたらアイテムとzenyを復旧せよ→正当な要求
　　　但し、調査の結果、パスワード盗難ではなかったり、偽証の場合は対応されない。
　　　偽りの依頼の場合、業務妨害扱いになる。
　　　パスワードが盗まれた原因がユーザー側にある場合（ＰＣのディスプレイに張ってあり誰もが見れたとか）
　　　管理会社の責ではないので対応されない。今回は、垢ハックトロイの為、ユーザーに責任がないのか
　　　踏んでしまったり、気づかないで放置した責任がユーザーにあると定義するのかによって対応されるかが
　　　変動することに注意。垢ハックに関する責任の所在は、現在グレーライン。（悪いのは盗む奴ではあるが）
△垢ハックの相手のアカウントを剥奪してくれ→癌の仕事だがユーザーが指図するのは間違い
△垢ハックの相手のIPを全部弾いて防止してくれ→（同上）
×垢ハックの相手を捕まえてくれ→警察の仕事

700 ：630 ◆tr.t4dJfuU sage ： 2007/06/01(金) 17:55 ID:N1Jq7jOd0

両者ともアカウントハックという単語自体知らなかったな
因みに自分未成年でpcの事まったくわからん親付きだったからそれで強硬な態度で来たのかもな

701 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 17:57 ID:/QILbAHm0

リアルタイムで質疑応答できるしこっちならログも残るけど
この調子だとあまり役には立たない
警察行ってもダメでしたって事なわけだし

今が続くと情報まとめるのにスレが流れすぎる気がするな

702 ：630 ◆tr.t4dJfuU sage ： 2007/06/01(金) 17:59 ID:N1Jq7jOd0

サイバー自体には昨日電話したのですが「少なくとも不法アクセスでは届け出せる」
だったのですが実際に行った警察は
「それは管理会社が出す物」の一点張り

703 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 18:02 ID:FReOAXxK0

>>693
ゲーム内でアイテムを盗まれたというのはとりあえず脇に置いておくんだ。
で、「自分のアカウント」が「自分以外の誰か」によって「不正にアクセス」された
という点を強調する。

被害としては、金銭を支払った自分にのみ提供されるべきサービスを犯人は
不当に享受し、また犯人がログインしている間、自分はサービスを受けられない。
更に、サーバ上にある自分のデータを書き換えられた（←アイテム移動のこと）。
ゲーム内アイテムと言われると、ネットゲームを理解しない人は「それぐらい…」
となりかねないので、ゲーム色を薄めた話に変換するといいかもしれない。

704 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 18:04 ID:Akb+MKWF0

>>702
実際の警察で、「サイバー窓口ではこのように言われているので受理（または、担当部署に回して）くれ」と
述べるのが正解だったかもな。現時点では、今更…なことだけど。

今後、同じように門前払いされる人が増えないように、サイバー窓口に対し、警察署の名前（わかれば担当者名も）を
伝えて、「このような対応で受理して貰えなかった。わたしは不正アクセスとして届け出たい。どのようにしたら良いか」
と聞いてみてくれ。担当窓口というか上から言ってもらうのが一番だ。

705 ：630 ◆tr.t4dJfuU sage ： 2007/06/01(金) 18:06 ID:N1Jq7jOd0

703-704
了解しました
取りあえずそれで今から電話してきます

706 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 18:10 ID:tiUHKJm40

>>702
まあ、本当に何もしらんのならあれなんで
一応これだけ書いとく。

一番いいのは、大きめの署にいくこと。
被害者が管理会社でも、君は告発はできる。
告発は口頭でもできて、告発を受けた場合
職員は調書をとらなければならなくなる。
被害届けと違って、捜査義務も生まれる。

これらは警察に受理、不受理の裁量権はない。
根拠条文は刑事訴訟法　239条〜242条

以上の事を親にみせてから、もう一度
他をあたってみると良い結果がでるかもしれない。
本当は、親じゃなくて法律屋を連れて行くのが
いいんだがな。

後上でもいわれてるが、サイバー窓口との矛盾をつくのは
効果的とはあまりいえないかも。
もう向こうは法律すら無視する勢いだぞ、そんな輩が
素直にサイバー窓口の指示に従うとは思えん。
あと、警察官でも本当に刑事訴訟法をしらない連中もいるから
注意な。知らないから、自分は正しいと思い込んでる分
本当にどうにもならん。逆切れしてくるかもしれんしな。

707 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 18:14 ID:AFjbwSDW0

すいません。

http://www■grandchasse■com/wikblog

ここを踏んでしまったのですがどうしたらいいですか？
ウイルススキャンでbodg curなんたらとtest curなんたらはひっかかって削除したんですが
他にするべきことがあったら教えてください・・

708 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 18:17 ID:/QILbAHm0

まずは落ちついてテンプレを読んでください
他にPCがあれば感染したPCは回線を切ってそちらから見るのが良いでしょう
ROへのログインは控えておきましょう

709 ：630 ◆tr.t4dJfuU sage ： 2007/06/01(金) 18:19 ID:N1Jq7jOd0

サイバー今現在電話保留
警察は近辺の行けそうな場所今調べています

710 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 18:22 ID:938aAawv0

LiveROいけ

711 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 18:23 ID:tiUHKJm40

>>709
まあ法律無視するような奴らに
法的に捜査義務が生まれようが
本当に捜査するかあやしいけどな。

まあ、いくらか包むしかないんじゃないの？

712 ：630 ◆tr.t4dJfuU sage ： 2007/06/01(金) 18:26 ID:N1Jq7jOd0

らいぶろの
http://enif.mmobbs.com/test/read.cgi/livero/1177485590/でいいんかな
サイバー取り扱ってる人間は平日は17:30までだそうなのでまた月曜日かな

713 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 19:13 ID:S9mb/5kt0

>>712
そのスレでOK。
そこを追い出されるようならまたこのスレに戻ってくるしかない。

>>698
ハズレを引くと、こちらが法に詳しくないのをいいことに適当なこと言ってくるよ。

714 ：630 ◆tr.t4dJfuU sage ： 2007/06/01(金) 19:27 ID:N1Jq7jOd0

癌から返答来たのでらいぶろの該当スレにうｐしておきました

715 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 19:41 ID:Akb+MKWF0

>>714
回答を晒すのなら、この辺のスレだと思うが、どこに誤爆したんだ？
資料性のありそうな内容ならここでもいい気がする。

サポートの回答を晒すスレ 11
ttp://gemma.mmobbs.com/test/read.cgi/ragnarok/1120741309/

セキュリティ対策、質問・雑談スレ2
ttp://enif.mmobbs.com/test/read.cgi/livero/1177485590/

716 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 19:50 ID:AFjbwSDW0

あの〜、感染してすぐ回線抜いて該当ファイルを削除できたのですが
これで大丈夫なんでしょうか・・？

717 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 19:57 ID:yr5n0CC60

テンプレくらい読め。

718 ：(^ー^*)ノ〜さん ： 2007/06/01(金) 20:01 ID:kZWKentL0

12月暮れにアカハクに会いまして、ガンホーと数度のメール交換後、PCでサイバー警察にメールしたところ、地元の警察に不正アクセスに関することって電話してくださいと言われました。

生活安全課ですね　と言われそちらで対応していただきました。

電話で数回やりとり後に、警察がログの提出して欲しい＋連絡してくださいとメールだしたりして、
私は被害者ではなく、あくまでも被害者はガンホーですので、不正アクセスに関する調書を取りたいので、警察まで来てくださいと言われ、1〜2時間話をしてきました。

こちらの警察は対応も馬鹿にした感じはなく、真面目に対応してくれました。

まだ返事はこないですが、警察は不正アクセスを調べるだけですので、その後の対応は私対ガンホーですので、ゼニーやアイテムの事は言わないほうが言いと思います。

６３０さんに対する対応は異常だと思います（その場に居なかったのでどの程度かわかりませんが）

地元の警察ででは対応が納得いかないので、その上に相当する警察署に文書なり、電話で言ってみてはいかがでしょうか？

他人ごとながら納得いかないです

719 ：sage ： 2007/06/01(金) 22:14 ID:lENEek1V0

北海道警察のサイト見てきたけど
相談窓口とか見ても不正アクセスとかサイバー犯罪の
相談窓口とかなかったし、たよりにならなそうだね。

720 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 22:39 ID:3cWvNuD+0

ゲーム中に、ROリンク集の宣伝ってチャットが立ってるのですが、
これはアカハックサイトですか？
http://www■rojapan■jp

721 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 22:40 ID:7NTpHq6Q0

※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

722 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 23:08 ID:Qcv87Fyw0

>>719
北海道と言ってもめちゃくちゃ広いからなぁ。札幌みたいな都市ならともかく
牛が逃げたとかの相談しか受けたことがないようなところだと
ネットかゲームの片方を聞いただけでも拒絶反応が起きそう。

723 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 23:30 ID:USTA7+VY0

垢ハックサイトの報告→このスレ
垢ハックサイトでしょうかという質問→セキュリティスレ(LiveRO)

724 ：(^ー^*)ノ〜さん sage ： 2007/06/01(金) 23:38 ID:/QILbAHm0

何度言えばわかってもらえるんだろうな、鑑定スレじゃないってことを
>>720はLiveROで既に報告されてる、Roリンク集で無害と言うことで落ちついてる

725 ：(^ー^*)ノ〜さん sage ： 2007/06/02(土) 00:16 ID:CjiR8inF0

>>1 にでっかく書かないとだめだなこりゃ。

726 ：(^ー^*)ノ〜さん sage ： 2007/06/02(土) 00:30 ID:gXHzJwl90

※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

>>1のこの表現が微妙に分かりにくいんだよなー。
あたかも、そういうスレが別に存在するから、そっちで訊け、みたいな言い回しだけど
実際にはそんなスレどこにもないしなー。普通に

※ このスレは危険ＵＲＬを鑑定するスレではありません

の方が良いような気がした。

727 ：(^ー^*)ノ〜さん sage ： 2007/06/02(土) 00:43 ID:2NxRswYC0

>>720
ノビの名前も英字だし宣伝としか書いてないからな
俺もアカハックだと思ってたよ、どうみても怪しすぎる

728 ：(^ー^*)ノ〜さん sage ： 2007/06/02(土) 00:51 ID:zYgGDCm+0

>>726
このスレは「勇気が無くて見られないサイト解説スレ」ではありません

に訂正するべきだな。

729 ：(^ー^*)ノ〜さん sage ： 2007/06/02(土) 04:40 ID:wJvGnALw0

>>726
そういうスレはあるぞ。ROの垢ハックのみに対応したスレではないし、
どちらかといえばスレ違いだけど。

730 ：(^ー^*)ノ〜さん sage ： 2007/06/02(土) 06:29 ID:pePNKmyN0

>>726
2chのどっかにあるらしいぞ。

731 ：(^ー^*)ノ〜さん sage ： 2007/06/02(土) 06:46 ID:d/2V01XR0

あまりひっぱってもしゃあないがな。

732 ：(^ー^*)ノ〜さん sage ： 2007/06/02(土) 06:53 ID:aLeT0/ZM0

BSwikiには「『安全であろうと思われる復元ポイント』まで戻してしまう事でウイルスを削除する方法も有ります。」
とありますが、これって確実であろうと思われるポイントで復元したあとならばそのPCでパスの変更はしても大丈夫ということ？

733 ：(^ー^*)ノ〜さん sage ： 2007/06/02(土) 07:31 ID:pePNKmyN0

>>732
システムファイルに取り憑いたウィルスであれば、復元で未感染のファイルに戻っていますが、
それ以外のファイルに取り憑いている場合は除去できていません。除去できて、安全な環境に
戻っているかどうかは、ケースによって異なりますので自己責任で判断して下さい。

そして、一般的な質問ですので、次からは、LiveROのセキュスレをご利用下さい。

セキュリティ対策、質問・雑談スレ2
ttp://enif.mmobbs.com/test/read.cgi/livero/1177485590/

734 ：(^ー^*)ノ〜さん sage ： 2007/06/02(土) 17:01 ID:49mCu9Oc0

ttp://picopico.dip.jp/ragnarok/upload.do?actionType=1&srvGrp=2
ぴころだの「誰か訳してください。NO!RMT! 」鯖chaos

中華のアカハックサイトの画像の日本語がおかしいって趣向の投稿だろうから安全だとは思うけど、この画像見たらウィルスってことあるかな・・・？

735 ：(^ー^*)ノ〜さん sage ： 2007/06/02(土) 17:10 ID:pePNKmyN0

>>734
安全かわからないけど、どうでしょうかっていう相談は、こっちのスレじゃないですよ。

>>1-2
>対策・相談・雑談は>>2に有る雑談スレを利用して下さい。
>※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

>【一般的話題用】
>セキュリティ対策、質問・雑談スレ2
>　http://enif.mmobbs.com/test/read.cgi/livero/1177485590/

736 ：(^ー^*)ノ〜さん sage ： 2007/06/02(土) 17:16 ID:49mCu9Oc0

>>735
なるほどそうでしたか申し訳ない
そっちいってきます

737 ：にゅぼーん にゅぼーん ： にゅぼーん

にゅぼーん

738 ：(^ー^*)ノ〜さん sage ： 2007/06/03(日) 05:32 ID:BnryPc8d0

飲み会が終わってちょっと寝るためにネカフェに来てみた
ROできるしちょっとだけログインしようかと思ったんだが
ﾈｶﾌｪでやるのは危険か？
もしかしたら俺よりも前に使ってた人が危険サイトにいってしまった可能性もある
ログインせずに寝るわ・・・Zzzzz

739 ：にゅぼーん にゅぼーん ： にゅぼーん

にゅぼーん

740 ：にゅぼーん にゅぼーん ： にゅぼーん

にゅぼーん

741 ：(^ー^*)ノ〜さん sage ： 2007/06/03(日) 08:21 ID:DdM9EzP30

ログ読めばわかるが中国の犯罪者が荒稼ぎしているだけだ。
RMT業者なのかマフィアなのかその両方なのかは知らんが
連中にとっちゃただの損得勘定のビジネスだ。

742 ：(^ー^*)ノ〜さん sage ： 2007/06/03(日) 09:25 ID:sO/HHBdP0

先週アカハックアドレスと思われるURLを踏んでしまい、
すぐに対策をしまして、いまのところ被害には遭っていないのですが、
罠URLを踏むとどのくらいの時間で被害に遭うのでしょうか？
ギルメンにアイテムとゼニーを預けてあるのですがもう返してもらっても平気かな？

743 ：(^ー^*)ノ〜さん sage ： 2007/06/03(日) 09:32 ID:df48rnaj0

というかパスを変更してあるのなら、大丈夫ではないかえ？

744 ：(^ー^*)ノ〜さん sage ： 2007/06/03(日) 10:43 ID:E7J/ljq60

>>738
ネカフェのＰＣ起動時の段階がクリーンであることを確信できれば大丈夫だろう。使う前にＰＣ再起動しろ。
この手の雑談は、LiveROのセキュスレ推奨

>>742-743
・踏んでからどの程度の期間でアクセスされるか
　実験報告が上がっていないので、誰にもわかりません。少なくとも踏んで即座にというのは考えにくいですが。
・除去を行ない、安全な環境からパス変更した後はどうか
　変更後のパスが盗まれていないのにどうやったら盗まれるのか理解に苦しむ

>>738-744
おまいら、まとめてセキュスレ行けや

745 ：630 ◆tr.t4dJfuU sage ： 2007/06/03(日) 12:56 ID:HrFs9Hgf0

完全に関係無いスレに誤爆してた…
セキュスレの方に返答張っておきました

746 ：(^ー^*)ノ〜さん sage ： 2007/06/04(月) 20:06 ID:SzZKSF3s0

福建人ドメインを探すのに便利なDOMAINTOOLSがここ数日おかしい、
仕様変更でもしたのか？5月30日以降のドメインを確認出来ない。

そんな中リネージュ資料室においてこんなドメインが。
www■playonlinenc■com

登録情報はこのスレで以前に出てた。
おなじみの福建人の仲間と思われる。
どのくらい密接なのかは今のところわからないが、
最低でもQQメッセで日夜罠情報の交換くらいはしてるだろう。
ネット上なら直接顔を合わせて対話する必要も無いしね。

そのURLにはカーソル脆弱性を悪用した罠が1つ、おなじみのインラインフレームがある。
前者はClamWin(ClamAV)でも検出するようなもの。
ClamWIn
test■cur: Exploit.W32.MS05-002 FOUND

カスペ
test■cur - infected by Exploit.Win32.IMG-ANI.ac


登録情報
Domain name: playonlinenc■com

Registrant Contact:
liu huangjun
liu huangjun liu huangjun 51shell@163.com
+86.037167451278 fax: +86.037167451278
hl zz
hl zz hl zz 450000
cn

747 ：(^ー^*)ノ〜さん sage ： 2007/06/04(月) 21:01 ID:hEZYRP3r0

EventWikiサーバ別ページ内のアドレスが
www■netgamero■net
に書き換えられていました。ここにアクセスするとjprmthome■comドメインにとばされ、
カーソルの脆弱性をついた攻撃をされる可能性があります。

いずれも222.122.12.32（KOREA TELECOM：222.96.0.0/222.122.255.255）からの犯行。

というわけで、↓のブラックリストに追加。参考までにどうぞ。
ttp://ro.logue.tk/%3Aconfig/spam/BlackList.html
※注意：このリストは、EventWikiやThorWikiのRO系Wikiだけでなく、自サイト、Vana'diel Wiki（FF11）、MarathonWiki（FPS）、PlanetWiki（天文学）を荒らしたホストも含まれています。

中華、韓国以外だとRIPEからのスパムが多い。

748 ：(^ー^*)ノ〜さん sage ： 2007/06/04(月) 21:48 ID:tdeZ4q7R0

>746
iframeのはASCIIの7bitの脆弱性を突くタイプっぽかった。
福建人の仲間かどうかは知らないけど、いつものとはちょっと違うタイプにも見えた。

749 ：(^ー^*)ノ〜さん sage ： 2007/06/05(火) 03:36 ID:xSYM728Y0

>>746
毎度おなじみのアニメカーソル＆MDAC脆弱性利用で下記�@のEXEを落とします。実行すると�A�Bが作成されます。

�@MD5:74FD9155419A0208BE877F46FB57D157　www■playonlinenc■com/svch■exe
�AMD5:17A6424A777022289C6B86D784F58C4F　→ %WinDir%\svchost.exe
�BMD5:C9028A19C60FBF246C1B39123A5DBED6　→ %WinDir%\system32\tj1viwer.dll

[自動起動設定]
�Aサービスに登録（サービス名ADIDown 表示名Power Adapter）
�BWinsock Providerに登録

[カスペルスキー検出名]
�@Packed.Win32.Morphine.a
�A�BTrojan-PSW.Win32.Maran.ff

�@が初めて見るウイルス名だったので、中身を調べてみたら、
いつも通りのjRO＆リネ１狙いのmaranでした。

750 ：(^ー^*)ノ〜さん sage ： 2007/06/05(火) 08:10 ID:gTkeo6Ts0

Morphine(モルヒネ)はヨーロッパ(スロバキア?)のrootkit付属の暗号化プログラムで、
基本的には何らかのPackerと併用するようです(今回はUpackに使用)。
ライセンスがGNU GPLのオープソースとなっていてソースが公開されているため
まともなアンチウイルスベンダなら復号できると思われます。
付属のドキュメントには以下のステキな文言が見られることから
カスペには速攻で対応された模様。
　Version 1.6 is about fucking KAV :).
　Well, not only fucking KAV, also second decrypting unit is before loader.

…で、Delphiのソースが公開されているため中国語のGUI版も出回っていて、
それを使ったものかと思われます。PEiDのプラグインも出ている模様。

751 ：(^ー^*)ノ〜さん sage ： 2007/06/05(火) 10:38 ID:gTkeo6Ts0

ちょっと面白かったもの。
リネージュ資料室さんの更新状況で見つけたこれ。
www■lovejpjp■com/gr/3he1.exe
メモ帳(笑)でがーっと読むと、途中から何かおかしい。
「23niW rednu nur eb tsum margorp sihT」
これはWin32PEヘッダの
「This program must be run under Win32」
を逆転した物…というか「MZ」が「ZM」、「UPX」が「XPU」、
全バイトひっくり返ってる。これは暗号化と言っていいのか?
すげぇ。ばかばかしいけど、すげぇ。
既知の www■lovejpjp■com/ceshi/ceshi.exe
(このURIもひっくり返ってる)も拾って実行する、
ドロッパやトロイの詰め合わせのようです。
スルーしたNorton、McAfee、バスター、Avast!、AVGなどには提出済み。

ひっくり返っていない最初の方に見えるのはAvenger by NhT。
Google先生に聞いたらロシアのNhT-TeaMの物のようです。

752 ：(^ー^*)ノ〜さん sage ： 2007/06/05(火) 11:09 ID:uzqlmZDq0

>751のやつもClamWin（ClamAV）で検出。
ceshi■exe: Trojan.Spy-6001 FOUND

753 ：にゅぼーん にゅぼーん ： にゅぼーん

にゅぼーん

754 ：(^ー^*)ノ〜さん sage ： 2007/06/05(火) 19:28 ID:9twMpJ500

>>753
報告乙だけどギルド名っぽいものは
一応伏せておいた方が良かったんじゃないかな

755 ：(^ー^*)ノ〜さん sage ： 2007/06/05(火) 20:02 ID:4PKu8DVo0

あぁっ、配慮が足りませんで申し訳ない
一応削除依頼出しておきます

756 ：(^ー^*)ノ〜さん sage ： 2007/06/05(火) 20:12 ID:4PKu8DVo0

受理はやっ！ということで伏せて再度…
既出URLですが掲示板に書き込まれてたのでご報告

×××鯖で活動する「○○○○」は
■交流を深めながら楽しくＲＯができるＧ
■Ｇｖが終わったときに「楽しかったね」と言い合えるＧ
を目標に毎日みんなでわいわい楽しんでいます♪
こんな○○○○は一緒にＲＯを楽しんでいく仲間を募集しています！！
詳しいＧ規約はこちら
http://www■rinku-livedoor■com/

書き込みホストは210■197■156■240からでした

757 ：(^ー^*)ノ〜さん sage ： 2007/06/05(火) 21:58 ID:uzqlmZDq0

>書き込みホストは210■197■156■240からでした
OFSfb-23p1-240■ppp11■odn■ad■jp

あらら、またもやODNですかい。
ODNは愛されてるな。
そのIPをPingしたらタイムアウト。

とりあえずはODNへ苦情発射で良いかもね。

758 ：(^ー^*)ノ〜さん sage ： 2007/06/06(水) 18:01 ID:RUXkDqyE0

pad-cache2-1.cache.telstra.net (HTTP_X_FORWARDED_FOR:222.78.86.228)(HTTP_VIA:1.0 pad-cache2 (NetCache NetApp/5.5R5))()

chaosx0■com
raginfo■com

ホスト名丸わかりなのに、PukiWikiのアンチスパムでも、改造して付け加えたAkismet、CAPTICHAでも防ぎ切れてねー（汗

759 ：(^ー^*)ノ〜さん sage ： 2007/06/06(水) 18:45 ID:nL7ASlLe0

>758
なんちゃって餃子板はリネージュ資料室にも載ってなかった。
なんちゃってraginfoはよく判らない。

www■chaosx0■com/roblog/
　↓
www■raginfoy■com/roblog/ro■exe

raginfoyはまとめサイトにものってる既知のアドレスで、なんちゃって餃子板のも
こっちを読んでた。
パッと見、昔風の手口っぽい？

760 ：(^ー^*)ノ〜さん sage ： 2007/06/06(水) 18:58 ID:kgZIaB1X0

chaosx0はおなじみ福建人のもの、ドメイン名から罠と判断できずに見落としだろうね。
WHOISで一目瞭然。

ro■exeは18時55分のVIRUSTOTALではシマンテックが検出していない。
マカフィー、カスペは検出。

761 ：(^ー^*)ノ〜さん sage ： 2007/06/06(水) 19:07 ID:kgZIaB1X0

758のtelstra■netだけど、これはホスト規制しておいた方がいいね。
福建人御愛用プロキシなのは間違いないところだし、国外だから規制の影響も無いだろう。

762 ：(^ー^*)ノ〜さん sage ： 2007/06/06(水) 20:57 ID:ZwhUWDcc0

LiveROとこっちとどっちにしようか迷ったけど、とりあえずこっちに。
LiveROのほうで中韓台リストを入れて「つながらないんです〜」って話題が
またあったのを見て、こうしてみたらどうだろうと思ったので書き込んでみる。

まとめサイトのPG2の導入の最後の部分に、
（http://sky.geocities.jp/vs_ro_hack/pg2.htm）

>補足：
>　このサイトにアップロードされているリストと併せて、
>　リネージュ資料室様にアップロードされているリストも登録しておくことをおすすめします。
>　(上記画像中では既に登録済みになっています)。

っていう一文が入っていて、リンク先に飛ぶとリネージュ資料室の遮断リストのページ
（http://lineage.nyx.bne.jp/misc/security/?id=url-ip）
に飛ぶようになってる。

で、ここに中国・韓国・台湾の全ブロックも書かれているので、
素直にそのまま導入する人が多く、上にあるような質問が何度も出るのだと思われる。

リネージュ資料室のほうには別ページにあるPG2の導入解説のところに、
（http://lineage.nyx.bne.jp/misc/security/?id=basic-ipfilter#PG2）

>なお、ここで説明した設定では中国や韓国のIPアドレスとの通信すべて遮断するため、
>韓国のリネージュ関連サイトにアクセスしたい場合などにも、遮断されてしまいます
>（翻訳サイト経由のアクセスの場合には遮断されません）。
>その場合には、次の手順でアクセス許可することができます。（ 以下方法の説明）

と、中韓台のリストについての説明があるので、
同様にそのあたりの説明をまとめサイトのほうへも付け加えておくと
「よくわからないけどPG2入れてみよう」という人には懇切丁寧さがますますUPなのではないかと
ちょっと思ったんだが、まとめサイトの方、どうでしょう…

763 ：(^ー^*)ノ〜さん sage ： 2007/06/06(水) 22:03 ID:n9z8D6Fe0

実際のところ、既知の罠サイトの国別分布はどんなものかなと思ったので、ちょっと調べてみました。
リネージュ資料室の「Lineageトロイ」リストの最初の100件について、
「中国・韓国・台湾」リストのみをブロック状態にして、pingを打ってみました。その内訳は

中国 80件
韓国 3件
香港 2件
台湾 1件
スルー 14件

予想通り、中国が飛びぬけて多かったです。
このスレとセキュスレで「ＰＧ２にブロックされました。大丈夫でしょうか？」という質問はKoreaが多いような気がしますが、
100件中3件程度で韓国を一国丸々ブロックする価値があるのかなと思いました。

中国のみのリストを作りたい場合は、「中国・韓国・台湾」リストをダウンロードして、
中国以外の部分を削除した後、ローカルファイルとしてリスト追加すれば良いだけではありますが、
初心者に勧めるにはちょっと敷居が高いかなあ。

764 ：(^ー^*)ノ〜さん sage ： 2007/06/06(水) 22:05 ID:XHeDGXf60

そこまで心配するなら中国のみファイルをつくって配布すれば？

765 ：(^ー^*)ノ〜さん sage ： 2007/06/06(水) 22:07 ID:vRWbPvnX0

>>760
NOD32でも、Win32/PSW.Maran.EI として検出してます。一安心。（なにが？）

766 ：(^ー^*)ノ〜さん sage ： 2007/06/06(水) 22:12 ID:LkBI8sU50

>>763
じつはBSWikiさんとこにこんなのが。
http://smith.xrea.jp/files/vir-domain_lookup.html.gz
中国が飛びぬけて多いのは同じ結論みたいですけどね。

767 ：(^ー^*)ノ〜さん sage ： 2007/06/06(水) 22:42 ID:pfC8Jgv10

>762
まとめサイトからリネ資料室に飛んだページ(危険URL - 危険IP)には
>利用法については「基本の対策 - IPフィルタ」を参照してください
とリンクがある。

そして「基本の対策 - IPフィルタ」ページには
>なお、ここで説明した設定では中国や韓国のIPアドレスとの通信すべて遮断するため
とある。

つまり説明をちゃんと読んでたら、そういうトラブルは出ないと思うんだ。

PG2も、hostsの更新も、hostsの更新スクリプトにしても、この手のものは「理解した上で
自分で使う」事が大切。

緊急を要するから対策を先、理解は後回し、ってのでも構わないけど、最低限説明ぐらいは
読まないとダメだと思う。

768 ：(^ー^*)ノ〜さん sage ： 2007/06/06(水) 23:50 ID:ZwhUWDcc0

最低限説明を読めというのは正しいと思う。

しかし、現にそこで引っかかって助けを求めてくる人が存在するわけで、
いったい何故そんなことを質問してくるのかということをシミュレートすると、
>利用法については「基本の対策 - IPフィルタ」を参照してください
の先に飛んでわざわざ読まない人があるわけだ。

これは実際にユーザー（閲覧者）に飛んで読むことを期待してるわけだが、
実際にはそれが活用されていないという現実があるということだ。

では、閲覧者に対して「お前が説明を読まないのが悪い」というのは正論だが、
リンクで飛ぶ前に注意を促せるならば、そこで一言添えたらいいんじゃないかと
一つの提案として書いてみたんだ。

これはこのことに限った話じゃなくて、セキュリティに関して詳しくない人、慌てている人
ろくに理解しようとしない人までフォローしようと思ったらそういう方向に動いたほうが
基本コンセプトに合っているのではないか。という個人的な考え方からきているもので、
わざわざボランティアで動いているまとめサイトの人にそこまで要求するのはどうなの？
という気持ちも一方であるので、判断はまとめサイトの人にまかせる。

769 ：(^ー^*)ノ〜さん sage ： 2007/06/07(木) 02:02 ID:ActuFWxg0

>>759-760
でかっ(151kB)。圧縮していない裸のMaran(RO+リネージュ)でした。

770 ：(^ー^*)ノ〜さん sage ： 2007/06/07(木) 15:57 ID:OF/7pG7c0

アコプリWiki(本家)でまた改竄発生。
どこにもリンクされて無いページ(Frontpageならぬfrontpage)だったから被害は無いはず。

内容は自動投稿SPAM＋Tyr鯖GvWikiをパクったもの。
ハクアドレスは殆どがa-hatenaでdin-orがポツポツ。

その中に見慣れない exblog.jpとfc2.com のが3つほどあったので、新規サイトか？と
調査に行ったら、tyrで活動中の人の本物のblogでしたorz

そりゃリンクが数10個もあったら見落としが出るのは判らないでも無いが……

書き換えるなら全部書き換えろヽ(`Д´)ﾉ

771 ：(^ー^*)ノ〜さん sage ： 2007/06/07(木) 16:34 ID:ElmD2zKn0

木を隠すなら森の中ってことだな…

772 ：(^ー^*)ノ〜さん sage ： 2007/06/07(木) 21:05 ID:guD7IWDb0

そういやウイルスにかかるとその時点でIDパス取られちゃうの？
それとも感染したままRO起動すると取られちゃうのかな

773 ：(^ー^*)ノ〜さん sage ： 2007/06/07(木) 21:06 ID:BGquGI4e0

>>772
ログ読んで下さい

774 ：(^ー^*)ノ〜さん sage ： 2007/06/07(木) 21:07 ID:hSrEro740

キーロガーがどんなものか勉強し直せ

775 ：(^ー^*)ノ〜さん sage ： 2007/06/07(木) 21:10 ID:guD7IWDb0

なんだ、キーロガーなのか、理解

776 ：(^ー^*)ノ〜さん sage ： 2007/06/07(木) 21:50 ID:GNMOBH5+0

デスクトップとか特定のフォルダにあるファイルを盗むタイプに感染
　　＋
そこにＩＤやパスワードを書いたファイルを保存していた
　　＋
そのファイルを垢ハック犯が見た


これくらい偶然が重なれば感染した時点で取られるな

777 ：(^ー^*)ノ〜さん sage ： 2007/06/07(木) 21:53 ID:hSrEro740

まーでも中華が何仕込んでくるか分からん以上
その位警戒しておいていいんじゃね？＜感染した時点でパス抜かれる
現状は感染したら別PCからパス変更でOS再インスコで大丈夫だけど。

778 ：にゅぼーん にゅぼーん ： にゅぼーん

にゅぼーん

779 ：(^ー^*)ノ〜さん sage ： 2007/06/08(金) 01:19 ID:AzuyKSPz0

↑これなんだ？jpgだし、どうもジャニ掲示板にメインに貼られているようだが・・・
あと後藤まき・上戸彩は女じゃないのか？

780 ：(^ー^*)ノ〜さん sage ： 2007/06/08(金) 01:27 ID:AzuyKSPz0

む、既に削除依頼済みか。乙と言わざるをえない

781 ：(^ー^*)ノ〜さん sage ： 2007/06/08(金) 09:05 ID:hOeDsitA0

福建人の罠ブログ、記事中、コメントに罠入り。
言うまでも無く記事はパクリの寄せ集め。
blogs■yahoo■co■jp/sunny8787jp2000/

782 ：(^ー^*)ノ〜さん sage ： 2007/06/08(金) 12:05 ID:Tsqf3lzL0

>781
aehatena-jpのリンクがあるのを確認。

www■aehatena-jp■com/news/100658432/
svch■exeが置いてあった。

階層掘ってる辺り、偽装なんだろうなぁ。

783 ：(^ー^*)ノ〜さん sage ： 2007/06/08(金) 17:09 ID:vqa+L/FY0

>>781
今見たら削除されている。管理側によるものだと思うんだけど、対応はやっ。
fc2は言わずもがな、exblogよりも遥かに迅速。柔銀系のくせにやるなー。

ちなみにaehatena-jp以外にも
grandchasse■com, ragnarok-sara■com, extd-web■com, game-mmobbs■com,
18girl-av■com, aurasoul-visjp■com, slower-qth■com
が有ったのを報告。

784 ：(^ー^*)ノ〜さん ： 2007/06/09(土) 22:48 ID:z9zbsB2r0

www■blogplaync■com/
なんか最新ぽい奴みたいなので報告(´･ω･`)
すでにあったらすみません

785 ：(^ー^*)ノ〜さん sage ： 2007/06/09(土) 23:54 ID:aL50zfOV0

うん、あるね…

786 ：(^ー^*)ノ〜さん sage ： 2007/06/10(日) 02:14 ID:q1oyy/8u0

とりあえずスレ内検索だ

787 ：(^ー^*)ノ〜さん sage ： 2007/06/10(日) 05:14 ID:K+dSylLZ0

ＲＯとは全く無関係な絵描きコミュニティサイトのお絵描き掲示板にて
過去に投稿されたイラスト+コメントにアカハックＵＲＬはられてました（；´д｀）
現行スレ+まとめサイトの一覧の検索かけてなさそうだったので報告。
http://www■amatou-fc2■com/

788 ：(^ー^*)ノ〜さん sage ： 2007/06/10(日) 07:59 ID:S358hNm/0

>>787
ドメイン登録情報が変わったね、BIZCN登録に替わっている。
やりかたと言い福建人ので間違いないだろうが。
URLぐぐると刀剣売買でのカキコがヒットしたが、典型的なパクリ具合がよく分かる。
手口として覚えておいて損は無い。
ログが数ページに渡る掲示板の場合、1ページ前とか1年前とかのものを悪用する。

これをぐぐるよろし、最初に2件ヒットするはず。
”日本刀・骨董品買います！”
上がパクリ、下が原文で同一掲示板の半年くらい前のをパクっていることが明白。
日本人は過去のなんて見ないだろうと言う福建人の日本人に対する考えが伺える。

789 ：(^ー^*)ノ〜さん sage ： 2007/06/10(日) 22:02 ID:crIBNkCm0

なんだこりゃ。ROと関係ない一般人も踏んじまうじゃねえか。

790 ：(^ー^*)ノ〜さん sage ： 2007/06/11(月) 00:19 ID:z70XgkTA0

アカウントハック受けてOS再ｲﾝｽﾄしてもまたﾎｽﾄ攻撃されてﾄﾛｲやらﾊﾞｯｸﾄﾞｱやら
ｽﾊﾟｲｳｪｱ送りつけてくるんだけどこれ警察いったほうがいいかね？

791 ：(^ー^*)ノ〜さん sage ： 2007/06/11(月) 01:38 ID:0U2+MA7Q0

>>790
そう判断した理由が不明。LiveROのセキュスレで相談しろ。誤認の可能性もある。

792 ：(^ー^*)ノ〜さん sage ： 2007/06/11(月) 01:55 ID:klJOSUQV0

ルータのログを初めて見たんだろ

793 ：790 ： 2007/06/11(月) 02:40 ID:n6LJFLq10

今もずっと戦ってるんだけど・・・
ｽﾊﾟｲｳｪｱﾄﾞｸﾀｰとavast再ｲﾝｽｺ後速攻でいれたのにしばらくすると攻撃受けてます
の表示がでる。そしてトロイが次々と送られてきてavastじゃ通り抜けられてるんだ
マジ勘弁IPが色々相手変わりながら攻撃してくるしどうにかなんないか？
まともにﾈｯﾄさえできない状況なんだ

794 ：(^ー^*)ノ〜さん sage ： 2007/06/11(月) 03:08 ID:2FfW19GR0

そういえばこの前久々にアナログモデムでネットしたら(=ルータやFW介さない丸腰)
10分おきにウイルスバスターがネットワークウイルスをブロックしたと報告してきて
ちょっとびびったな(ウイルスはLSASS_EXPLOITなど数種)。固定IPでもDDNSでもないのに。

もはや多少の攻撃を受けるのはネットでは当たり前なのか。

>>790
とりあえずセキュスレでウイルス名晒してみたら？

795 ：(^ー^*)ノ〜さん sage ： 2007/06/11(月) 03:08 ID:pdbERKbE0

>>793
警告メッセージやらダイアログ等に有るであろう参考URLをそのまま貼り付けてみ。
それだけじゃ汝の為したい様に為すが良い、としかいえない。助言もへったくれも
出来んのよ。情報が欲しい時は出来る限りの情報を提供し、何らかの判断を
していた場合はそう思った根拠も示す。質問時の一般的な基本だゾ。

微妙なところも有るんでセキュスレの方が良い鴨試練。

796 ：(^ー^*)ノ〜さん sage ： 2007/06/11(月) 03:08 ID:nBBzdTSw0

それだけじゃわからんなぁ、環境も書いてくれないと
少なくともルーター、FW、PG2は入れてるのかどうかとか
どんなトロイだとかどういう攻撃かとか

797 ：(^ー^*)ノ〜さん sage ： 2007/06/11(月) 04:33 ID:JvGrFcCn0

OS再インストールだけやって、WindowsUpdate未完のxp SP1以前なんじゃないか。
これなら脆弱性攻撃の対象になってもおかしくない。

798 ：790 ： 2007/06/11(月) 05:35 ID:s05UqNeb0

>>797
最初そうでうｐデート中に送られまくってトロイ送られまくった・・・
やっととりあえず攻撃なくなったよ・・・攻撃対象になるとこれほどひどいもの
なのかと思う
なんとかｽﾊﾟｲｳｪｱﾄﾞｸﾀｰとＦＷとavastとwindowsうｐﾃﾞｰﾄしてから攻撃止まったけど
トロイがまだ中にいっぱいいるからしばらく攻撃されないか様子みて再ｲﾝｽｺしなおしだなー・・・
対象リストからはずれてくれればいいが・・・・
垢ハックされる前は丸裸ＰＣだったからそれで対象になっちゃったのかな・・・
本当次から気をつけないとだ・・・
でも常駐系だと低ｽﾍﾟｯｸＰＣだからｹﾞｰﾑするの難しいんだよな・・・
あの攻撃の仕方は間違いなく中華だぜ・・・・
Backdoor.Rbot ってやつの処理が大変だった・・
もう朝だぜまいったな・・・

799 ：(^ー^*)ノ〜さん sage ： 2007/06/11(月) 05:41 ID:nBBzdTSw0

WindowsUpdateのファイルを個別に落として焼いておいたら良いんじゃ？
再インストール後にそのCDから適用すればそれまでの脆弱性は防げるかと
Microsoftダウンロードセンターで個別DL可能な

800 ：790 ： 2007/06/11(月) 05:49 ID:s05UqNeb0

>>799
なるほどー
今までこういう事には無縁だったから良い薬にはなったかな・・・
ｹﾞｰﾑのＩＤ3つ消されたしさすがに今度はちゃんと対策するわ
トロイがavastだと検知しても除去できないからﾉｰﾄﾝ買うか・・・
お騒がせしてどうもでした

801 ：(^ー^*)ノ〜さん ： 2007/06/11(月) 06:06 ID:nBBzdTSw0

…反映されてない、上げで出るかな

802 ：(^ー^*)ノ〜さん sage ： 2007/06/11(月) 09:04 ID:pdbERKbE0

いろいろ言いたい事は有るけど解決って言っているので触れません。

MSのパッチファイルを落とすならhttp://wud.jcarle.com/の
Windows Updates Downloaderが便利。使い方は自分で調べてね、
難しくないから。

因みに、悪意のPC侵入攻撃は基本的に無作為アタックです。つまり、あなたが
攻撃されているのではなく皆が(ほぼ同等に)攻撃されている訳。無警戒な
状態は故にとても危険と言える訳。
攻撃者はアジアも多いですが、そうでない者も多数。一概にはなんとも。

垢と装備だけで済むレベルでいい勉強が出来たのは本当に運が良かったし
今後の為になったかと思いますよ。

803 ：(^ー^*)ノ〜さん sage ： 2007/06/11(月) 09:58 ID:0U2+MA7Q0

790氏よ、いい加減、LiveROへ移動してくれ。一般的なセキュリティの話題はあっちだ。

>重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
>対策・相談・雑談は>>2に有る雑談スレを利用して下さい。

あと、スパイウェアドクター自体がちょっと疑惑のあるソフト（類似のシステムドクターは真っ黒）なので
一旦外して、他のものを導入してみることをお勧めする。（SpybotとAd-Awareなら大丈夫）


続きはこっちで頼む。マジで。

セキュリティ対策、質問・雑談スレ2
ttp://enif.mmobbs.com/test/read.cgi/livero/1177485590/

804 ：(^ー^*)ノ〜さん sage ： 2007/06/11(月) 17:36 ID:BHEqxLGG0

まぁ・・・場違いスレ違いなのもわかるんだが、ここまで疑心暗鬼に
ならざるを得ない状況も状況なんだよなぁ・・・

既にたかがネット、たかがゲームと言ってられない状況なのに
結局信じられるのは自分の知識とツールだけってのもな・・・

805 ：Logue ◆grDYeooZwg sage ： 2007/06/11(月) 20:08 ID:dTf7D6540

EventWikiでこんなアクセスを確認・・・。
166.136.143.219.broad.bj.bj.dynamic.163data.com.cn (HTTP_VIA:1.1 wa01proxy02.ezweb.ne.jp, HTTP/1.1 cc1[AC1AAAA0] (Traffic-Server/5.2.2-55205 [uSc ]))()

UAはUP.Browserになっているが、どうも怪しい。
ezwebはハクられてないか？（なぜかUAがドコモになってたのもあるし）

806 ：(^ー^*)ノ〜さん sage ： 2007/06/11(月) 20:44 ID:P6jH0cPd0

>>805
どの文字列がどの環境変数に相当するのかその内容だと全然判らないので、
なんともいえないなぁ。HTTP_なブツはほぼ簡単に偽装できるし。詳細きぼん。

807 ：(^ー^*)ノ〜さん sage ： 2007/06/11(月) 21:05 ID:4yelBVpe0

>163data.com.cn

これだけでおなかいっぱい

808 ：(^ー^*)ノ〜さん sage ： 2007/06/11(月) 21:17 ID:uOCPYXEx0

Viaなんかは自称ヘッダだからね。（Forwarded-Forとか）

それらは "普通"は proxyが付加し、proxyを通過した場合はremote_addr(host)がproxyのアドレスを、
Forwarded-ForだとかViaだとかには元アドレス関連情報っていう使い方になるわけで、
なるべくアクセス元に近い情報をチェックしたいというスクリプトなんかはForwarded-ForやViaがあった場合は、
そっちの情報を記録したり、チェックしたりする場合もあったりする。

また、匿名性の無い普通の(というか?)proxyサーバは、受けとった追加ヘッダは、そのまま送る。

それを逆手にとって、自前でForwarded-Forを書いてPOSTするなんてこともあり得る。

というか…だいぶ昔のLet's RAGNAROKの掲示板（c-board）では、実際そういうことが起こっていて
go.jpだの.govだのをREMOTEとして表示されている投稿がいっぱいあったよ('A`)

809 ：(^ー^*)ノ〜さん sage ： 2007/06/12(火) 00:50 ID:uTtoxXcr0

>>794
いまは何もパッチをあててないPCをネットに繋ぐと30分もしないうちに感染するぞ

810 ：(^ー^*)ノ〜さん sage ： 2007/06/12(火) 01:23 ID:ME4y+7B/0

俺のされたHACK経験からするとHACKERはまずbiosから相手がｾｷｭﾘﾃｨ甘いかどうか
調べてくるからパーソナルファイアウォールいれてれば問題ないと思う
そこでﾌﾞﾛｯｸされたら諦めて帰っていくやつが多かったぜ
一応貼っとく
http://dorubako.nishitokyo-city.com/muryo_firewall.html

811 ：(^ー^*)ノ〜さん sage ： 2007/06/12(火) 01:35 ID:ci8PhMH20

【　　アドレス 　 】 http://www■aaa-livedoor■net/ro-navi/
【気付いた日時】　踏んだあとすぐに
【　 　　 OS　 　 】 WindowsXP Service Pack2
【使用ブラウザ 】 IE、バージョンは不明だが恐らく最新版
【WindowsUpdateの有無】 一応有
【　アンチウイルスソフト 】 avast！
【その他のSecurty対策 】 特になし、今後導入予定
【 ウイルススキャン結果】 avast！にて現在実行中、カスペルスキーも行う予定
【スレログやテンプレを読んだか】 Yes
【hosts変更】無し
【PeerGuardian2導入】無し
【説明】
ふたばちゃんねるにそれらしきスレが立てられており、若干酔っていたこともありついうっかり…
avast！の警告があり即座に遮断はしました。それ以降ROへの接続は行っていません。

812 ：(^ー^*)ノ〜さん sage ： 2007/06/12(火) 01:49 ID:ME4y+7B/0

無料ソフトで固めるならスパイボットとavastと壁だな
知らない人のために
avast
http://www.avast.com/jpn/download-avast-home.html
spybot
http://enchanting.cside.com/security/spybot1.html

813 ：(^ー^*)ノ〜さん sage ： 2007/06/12(火) 01:52 ID:cAv8BwWX0

>>811
セキュリティソフトが反応し、その反応に応じて遮断した場合、セキュリティソフトにバグがない限りは
「反応したウィルスに対してのみ」は防御できていると思われる。

安心の為に他社オンラインスキャンをかけるか、ブロック出来たことだけで安心するか、
HDDをフォーマットしてOSから入れなおすかは、全て自己責任で判断すること。

814 ：(^ー^*)ノ〜さん sage ： 2007/06/12(火) 02:00 ID:jpVCOmRl0

>>811
HACKされた経験のある俺からするとavast!だけでは全てのトロイに対応できなかったので
FWとかがﾌﾞﾛｯｸとかその後反応してるのならｽｷｬﾝを進める
ﾄﾛｲやらbot入ってると自動送信行うからFWが反応してたら危険

815 ：(^ー^*)ノ〜さん sage ： 2007/06/12(火) 02:05 ID:ci8PhMH20

>>814
その後は一応何の反応もありませんが…avast!が終了次第カスペルスキー使います

816 ：(^ー^*)ノ〜さん sage ： 2007/06/12(火) 02:41 ID:jpVCOmRl0

>>815
なら問題ないと思われる
壁あるなら絶対何かしら反応あると思うので

817 ：(^ー^*)ノ〜さん sage ： 2007/06/12(火) 17:42 ID:IUK2GH+a0

avast!に関しては一般に言うFW機能はIDS機能とWebフィルタ位なので
絶対というような過言は出来ません。　IDS機能の説明でも
『このモジュールはよく知られたインターネットワーム/攻撃から保護します』
とあります。過信は禁物。

この世界にそういう方面の『絶対』は有りません。

818 ：Logue ◆grDYeooZwg sage ： 2007/06/12(火) 18:57 ID:bOVDKMaB0

>>808
うーむ。てっきりezweb.ne.jpをハックして踏み台に使って書き込もうとしたまではいいが、
実際は、漏れ串で投稿できなかったというオチを期待していたが・・・、

勝手にezweb.ne.jpを詐称しているのか？これ。

819 ：(^ー^*)ノ〜さん sage ： 2007/06/12(火) 20:12 ID:Gn/DtMXS0

今回のwa01proxy02.ezweb.ne.jpは単純に、多段串の１つに使われただけの話では…

820 ：(^ー^*)ノ〜さん sage ： 2007/06/12(火) 22:43 ID:IUK2GH+a0

>>818
いや、だから806の指摘のように、詳しいログでもないとあなた以外は
何もいえないと思うぞ、と。分析は正確な情報が無ければ無意味となる。

そして、セキュスレ向きの話題かとも思う。

821 ：(^ー^*)ノ〜さん sage ： 2007/06/13(水) 14:01 ID:8pwK/0pY0

国内サービスを悪用した福建人の罠ブログ発見。
ここのブログサービスは宣伝以外のリンクを貼れない？
タイトルは”RO Blog最近日記”、ぐぐればこれを含め、FC2の罠ブログが上位に出る。
csfir■269g■net

今年4月に登録、ブログタイトルと内容が全く一致しない。
特に4月の最初の2件はどこからどう見てもどこかの教えてサイトのパクリ。
最新の記事もパクリ、タイトルをぐぐって確認。
コメントが1つあるが、言うまでもなく福建人のウィルス。

試しに6月10日の記事のタイトルをぐぐって見ると良い、スポーツ新聞の記事丸パクリ。
”「ナントカ還元水」商標登録申請されていた”
やり方から間違いあるまい。

ある程度の記事数を用意して信用させようとしていると考えられる。
上のようにリンクが貼れない？のか様子をみて罠入りブログに変化させるかを測っているものと推測。

822 ：(^ー^*)ノ〜さん sage ： 2007/06/13(水) 16:34 ID:QrIDqW3G0

>>821 (csfir■269g■net)

| このブログは事務局により利用を凍結しています。
| このブログは下記の理由などにより凍結されています。
| ・規約上の違反があった。

いい仕事してますね。

823 ：(^ー^*)ノ〜さん sageなぁ ： 2007/06/13(水) 20:08 ID:gR3dMkfr0

なぁ聞いてくれ
今さっき仕事からかえってきてメッセ(msn)ＩＮしたんだけど
なんか明らかにしらん中華っぽいサインネームで登録がきてたんだ・・・
これってなんかハックと関係あるのかな？
別PCで自分のアカウントは無事なのは確認したんだけど・・・

824 ：(^ー^*)ノ〜さん sage ： 2007/06/13(水) 20:15 ID:5NVXfpSz0

向こうで無碍にされたからってこっち持ってくるなよ

825 ：(^ー^*)ノ〜さん sage ： 2007/06/13(水) 21:44 ID:zTLgIDVs0

>>823
>一般的なセキュリティ対策・相談・雑談は>>2に有る雑談スレを利用して下さい。

無関係にランダムに送り付けられているもの。気にせず拒否っとけ。

826 ：(^ー^*)ノ〜さん sage ： 2007/06/13(水) 21:52 ID:gR3dMkfr0

大変失礼しました(´･ω･`)

INしてみたら近い人でも3〜4人いたようで。。。
あちらのほういってみます

827 ：(^ー^*)ノ〜さん sage ： 2007/06/13(水) 22:05 ID:5NVXfpSz0

いや、既に向こうでも同様の質問が出ていて「気にするな」で終わってるんだわ
それでこっち来たのかと思ったんだが勘違いだったようだ、すまん

828 ：sage ： 2007/06/14(木) 13:36 ID:4OKiQhli0

質問なんですが　ナイト　ステＵＰ板　で検索
上から二番目をｸﾘｯｸしたら英語でWARNINNGって出たんですけど、
これって垢ハックでしょうか？もしそうだったら対処法など教えてください。
よろしくお願いします；；

829 ：８２８ sage ： 2007/06/14(木) 13:38 ID:4OKiQhli0

すいません！間違って名前のところにsageと・・・

830 ：(^ー^*)ノ〜さん sage ： 2007/06/14(木) 13:45 ID:f+LF33n80

>>828-829

>>1
>※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

このスレでもLiveROのセキュスレでも対応範囲外。
検索サイトによっても順番は変わるが、グーグルで検索した２番目だと出ないな。

取り敢えず、セキュスレへ行って「怪しいサイトに思えた場合の対処法」を読んで来い。

セキュリティ対策、質問・雑談スレ2
ttp://enif.mmobbs.com/test/read.cgi/livero/1177485590/535

831 ：(^ー^*)ノ〜さん sage ： 2007/06/14(木) 14:39 ID:voA/Ijzh0

>>828-829
とりあえずはっきりした事がわかるまで
RO繋ぐのはやめとけ、とだけは言っておく。

832 ：(^ー^*)ノ〜さん sage ： 2007/06/14(木) 15:48 ID:Pjosww4ZO

830 831さん
返答ありがとうございました。とりあえずRO繋ぐのやめてｾｷｭﾘﾃｨｽﾚ行ってきま

833 ：(^ー^*)ノ〜さん ： 2007/06/19(火) 19:44 ID:vynyf2vI0

最近情報が途絶えてますが落ちついてると見て良いのかな
ついでに少し下がり気味なので上げておきます

834 ：(^ー^*)ノ〜さん sage ： 2007/06/19(火) 20:04 ID:836ZoCps0

カムバックキャンペーンで、休止中の人はアカハック騒ぎ知らない人も多いだろうから、
既にかかっていた人やちょっとWiki見てから繋いで見るかーと言った人に被害出る可能性も多数あるな。

835 ：(^ー^*)ノ〜さん sage ： 2007/06/21(木) 10:08 ID:/ixquR/I0

この報告無し状態が逆に怖いねぇ。
各種Wikiとかが対策されてるから貼り付け被害が軽減してると思いたい。

ただ癌の海外発行クレカの使用禁止とMPACKの事を考えると、そのうち
アウトブレイクしそうでこれまた怖い。

それとリネージュ資料室さんに、報告されてたので転載。
資料室さん、サイトリニューアルしてたんだね。

www■goooog1e■cn

836 ：(^ー^*)ノ〜さん sage ： 2007/06/21(木) 16:15 ID:Yn583UIz0

海外発行カードの利用停止も、遅きに失した感が強いけど。
CardSystem社の流出事件から丸2年、福建の連中等が手を出していないとは考えにくい訳で。
それに、明細到着のタイムラグや、提携-イシュア間のプロセスが余分に必要な部分も含めて、国内カード以外を
行使するメリットが薄い。

837 ：(^ー^*)ノ〜さん sage ： 2007/06/21(木) 19:11 ID:cr7b6QKe0

>>835
リネージュ資料室がそのアドレスになったのかと一瞬勘違いした。
よく見れば怪しさ爆発だったけど。

838 ：(^ー^*)ノ〜さん sage ： 2007/06/21(木) 22:09 ID:RujmrWVG0

爆発した後の残骸くらい怪しい

839 ：(^ー^*)ノ〜さん ： 2007/06/22(金) 08:54 ID:l5srdgKO0

【　　アドレス 　 】 http://23840■polinrhueshishuerinda■com/99/67773/
【気付いた日時】 2007/06/22
【　 　　 OS　 　 】 WindowsXP HomeEdition SP2
【使用ブラウザ 】 IE6.0
【WindowsUpdateの有無】 自動インストールON 2007/06/22に確認したが特になし。
【　アンチウイルスソフト 】 K7 ウィルスセキュリティ
【その他のSecurty対策 】 Spybot S&D
【 ウイルススキャン結果】 現在進行中
【スレログやテンプレを読んだか】 読んでる最中
【hosts変更】無し
【PeerGuardian2導入】無し
【説明】
知らない人からメッセで話しかけられ
My pirty pics; アドレス
という形で張られてきた。返答などには反応無し。
アドレスクリックしたところ何かのファイルをＤＬするか否かのページに。
ちなみに相手のアドレスはreia1209@hotmail■co■jp
相手の名前はsakura@〜〜(日本語で変な詩みたいの書いてある）
相手に心当たりは無い

840 ：(^ー^*)ノ〜さん sage ： 2007/06/22(金) 08:58 ID:Pyq6Ib290

知らない相手から送られてきたアドレス踏むなんて不注意にも程があるだろ・・・

841 ：(^ー^*)ノ〜さん ： 2007/06/22(金) 09:02 ID:l5srdgKO0

その前日メッセをギルメンに教えててそれかと思ってついな・・・

842 ：839 sage ： 2007/06/22(金) 09:45 ID:l5srdgKO0

アドレスをクリックした際にＤＬさせられそうになるpic.pifと言うファイル。
調べてみたらワームの一種らしいので上記アドレスに飛ぼうという猛者は気をつけて。
いないだろうけど。

843 ：(^ー^*)ノ〜さん sage ： 2007/06/22(金) 10:01 ID:bYVValr+0

>>842

W32.Stration.CX@mm
http://securityresponse.symantec.com/ja/jp/security_response/writeup.jsp?docid=2006-101910-1040-99

844 ：(^ー^*)ノ〜さん ： 2007/06/23(土) 23:02 ID:CxwVCcYk0

そういや647氏だっけ　垢ハックされて警察言ったけど相手されなかった人
今はしっかり話聞いてもらえたのだろうか
知ってる人居たら教えて

845 ：(^ー^*)ノ〜さん sage ： 2007/06/23(土) 23:04 ID:qWDldW1b0

LiveROの方でしばらく報告続けてたけど最近みないなぁ、というわけで続きはあちらで

846 ：(^ー^*)ノ〜さん ： 2007/06/26(火) 12:54 ID:uE6dV61M0

【　　アドレス 　 】 ttp://www■aaa-livedoor■net/cett/
【気付いた日時】 踏んだ直後
【　 　　 OS　 　 】 WindowsXP HomeEdition SP2
【使用ブラウザ 】 IE
【WindowsUpdateの有無】 自動インストール
【　アンチウイルスソフト 】 K7 ウィルスセキュリティ
【その他のSecurty対策 】 無し
【 ウイルススキャン結果】 踏んだときにセキュリティソフトが反応、ファイルを削除
【スレログやテンプレを読んだか】 今から読みます
【hosts変更】調べましたが意味がよくわかりませんでした
【PeerGuardian2導入】無し
【説明】
三国志オンラインのWikiを見ていたところ、不覚にも踏んでしまいました・・・。
セキュリティソフトが反応したとはいえ、不安なのでPCクリーンインストールしてきます。

847 ：(^ー^*)ノ〜さん sage ： 2007/06/26(火) 12:59 ID:Cnp6cGCs0

ＩＥのバージョンを書けよ・・・

848 ：846 sage ： 2007/06/26(火) 13:03 ID:uE6dV61M0

申し訳ありません、IE　6.0　です

849 ：(^ー^*)ノ〜さん sage ： 2007/06/26(火) 13:08 ID:kKR610Wf0

>セキュリティソフトが反応したとはいえ、不安なのでPCクリーンインストールしてきます。
まぁ、確実ではあるな。頑張ってこい。

850 ：(^ー^*)ノ〜さん sage ： 2007/06/26(火) 14:24 ID:mE+XM0UW0

気付いたらPG2のブロックのログにwww■5xuan■comが大量に並んでた
いつの間に・・・

851 ：(^ー^*)ノ〜さん ： 2007/06/26(火) 14:40 ID:N/KKsKXU0

>>850
http://enif.mmobbs.com/test/read.cgi/livero/1177485590/732-753

852 ：(^ー^*)ノ〜さん sage ： 2007/06/26(火) 16:37 ID:mE+XM0UW0

>>851
スレ汚し申し訳なかったそしてありがとう
今OS再インストの準備してたものだから助かった

てっきりどこかで危ないもの拾ってきたのかと思って・・・

853 ：(^ー^*)ノ〜さん sage ： 2007/06/26(火) 22:42 ID:eUprFTWv0

PG2の仕様も知らずに入れているならいっそ消しちゃえば？
むしろ挙動の分からない何かを安心して使うその神経の方がヤバい

854 ：(^ー^*)ノ〜さん sage ： 2007/06/26(火) 23:44 ID:dHQRAlE50

想定外の動作だし驚いても仕方ない
俺もめちゃあせったし

855 ：(^ー^*)ノ〜さん sage ： 2007/06/26(火) 23:49 ID:u37u7uV50

今回のは仕方ない。資料室側さんも想定外だったっぽいし。
俺も知り合いがその現象になっているって言われるまでそんな事起きてるとは気づかなかった。

856 ：(^ー^*)ノ〜さん sage ： 2007/06/27(水) 06:47 ID:IuRVVTr50

gTLDは国籍を問わない実装だからね。
当時のarpaやIANAが、もうちょっとccTLDを厳密に運用する思想だったら、現状がまた違ってきたかもしれないけど。

857 ：Logue ◆grDYeooZwg sage ： 2007/06/27(水) 19:18 ID:cAQiJz/+0

初回限定のAI配布。さんの外部リンク確認　JavaScript版を参考に
こんなものを作ってみました。
http://forum.logue.be/index.php/topic,353.0.html

JavaScript使用可能なblogならどこでも使えます。
・安全ドメイン
・リファラー消し機能
・javaScriptで描画しているため、検索エンジンへのヒット率への影響なし

858 ：(^ー^*)ノ〜さん sage ： 2007/06/29(金) 09:50 ID:uRySI7xd0

本家あこすれてんぷらのTOPが改竄されてた。
既知のアドレスなので報告不要な気もするけど。

---------------------------
Thor鯖で活動中のヘタレGvGer
基本はプレイ日記、週1でGvレポ、たまーに考察なども。
http://www■mbspro6uic■com/mbsplink
---------------------------

>846もそうだけど中華はまだまだ諦めてないっぽいというか
海外クレカ規制でまた激化しそうな予感。

859 ：(^ー^*)ノ〜さん sage ： 2007/06/29(金) 11:50 ID:uK9W6ikP0

結局変なurlは踏むなって事だけどな

怪しい所踏んでウィルスソフトが何も反応無かったら、再インスコ

860 ：(^ー^*)ノ〜さん ： 2007/06/29(金) 21:45 ID:MiW3fScd0

age

861 ：(^ー^*)ノ〜さん sage ： 2007/06/30(土) 02:07 ID:4hhAY9bv0

踏んだ時のPCの挙動ってどんな感じなんだろう？
さっきいきなり正体不明なアラートが鳴ってｶﾞｸﾌﾞﾙ

862 ：(^ー^*)ノ〜さん sage ： 2007/06/30(土) 02:14 ID:hvnhaI470

>>861

>>1
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談は>>2に有る雑談スレを利用して下さい。

セキュリティ対策、質問・雑談スレ2
ttp://enif.mmobbs.com/test/read.cgi/livero/1177485590/

863 ：(^ー^*)ノ〜さん sage ： 2007/06/30(土) 15:13 ID:TvZS72tV0

【　　アドレス 　 】 http://www■mbspro6uic■com/mbsplink
【気付いた日時】 今日の11:30
【　 　　 OS　 　 】 Windows XP Home Edition ver.2002 SP2
【使用ブラウザ 】 IE6.0.2900.2180 sp2
【WindowsUpdateの有無】 最終は一週間前程、自動インストール
【　アンチウイルスソフト 】 Kaspersky Internet Security 6.0 試用版
【その他のSecurity対策 】 特になし
【 ウイルススキャン結果】 Trojan-Downloader.JS.Agent.hf
Exploit.Win32.IMG-ANI.ac 検出、削除
【スレログやテンプレを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】殴りアコプリスレテンプレの真っ黒なブツを踏んでしまった。
とりあえずカスペルスキーでひっかかった物だけ削除しておいたけれど、
PCは一台しかない。
Passは変更したほうがいいのだろうけれど、このPCにウィルスが残っていたら詰み。
次に打つべき手をご教授願いたい。

864 ：(^ー^*)ノ〜さん sage ： 2007/06/30(土) 15:17 ID:61vXSDb30

不安ならOS再インスコ汁

865 ：(^ー^*)ノ〜さん sage ： 2007/06/30(土) 21:17 ID:ntgS5PS80

ROと関係あるかどうか、素人の自分には判断つかなかったのですが一応報告

www■qsmoviex■com/

www■qsmoviex■com/1■exe
www■qsmoviex■com/flash■js

数日前に見つけて以来
通報→「Maran.xxで対応する」→即ファイル置き換え、検出不可…のイタチごっこ状態
この場合bit-driveに通報した方が早いのだろうか

866 ：(^ー^*)ノ〜さん sage ： 2007/07/01(日) 12:12 ID:Vvt9EYzE0

bit-drive、ソニーのサービスか…。

867 ：(^ー^*)ノ〜さん sage ： 2007/07/01(日) 13:09 ID:gGuTPCA70

>>865
Kaspersky
1.exe - infected by Trojan.Win32.Agent.are

NOD32
すりぬけ

久しぶりにちょっくら報告いってくるわ

868 ：(^ー^*)ノ〜さん sage ： 2007/07/01(日) 20:30 ID:Vvt9EYzE0

んー、敵さんカスペ入れてるな。
パターンが降ってきて消されたらアップしてる感じ。
他のベンダの対応は追いつかんと思う。
Dr.WEBが何気にひっかけてるなぁ。

869 ：(^ー^*)ノ〜さん sage ： 2007/07/01(日) 20:31 ID:4R6ISrz50

そりゃ、ここでカスペを推奨してるんだから、当然カスペでは引っかからないように作るだろ

870 ：(^ー^*)ノ〜さん sage ： 2007/07/01(日) 20:51 ID:Vvt9EYzE0

ここだけを見てるわけでもないだろ。
今までのトロイサイト(最近静かな福建ドメイン乱立部隊を含む)は
パターンが降ってきたと思われるタイミングで
リアルタイムに消されることはなかったんだよ
(qsmoviexはWindowsServer2003だが、これにカスペを入れているんだろう)。

ちなみに日本国内のシェアを考えると、Nortonとバスターにさえスルーされれば
大半のPCを食える(ソースネクストは性能がアレなので検証する必要がない)。

871 ：(^ー^*)ノ〜さん sage ： 2007/07/01(日) 21:15 ID:7//pDu5x0

今日の2つ(今朝4時過ぎと夕方18時過ぎ)、昨日のまでと比べて
サイズが2倍ほどになってる。機能が違う予感。
NortonとMcAfeeには提出、バスターは通信事情で送れないので誰か頼む。

872 ：(^ー^*)ノ〜さん sage ： 2007/07/01(日) 21:42 ID:gGuTPCA70

>>871
私が送ったのは、13:07の奴だな。21:39現在、ファイルサイズは同一だが、FCで比較したら異なってた。
現時点で、カスペもNOD32もすり抜ける。もっかい報告行って来るわ。

873 ：(^ー^*)ノ〜さん sage ： 2007/07/01(日) 22:45 ID:gGuTPCA70

1.exe の検体

13:07−121,856Byte−Trojan.Win32.Agent.are,NOD32すりぬけ
MD5:ead1077bee10483a062c0899f3037e31

21:45−121,856Byte−カスペ、NOD32ともに検出すりぬけ
MD5:a1ac691edfa585c817d00f1e62d725d2


セキュスレテンプレにある宛先、キングソフトに両方の検体送付完了。
どの程度の頻度で差し変えているんだか。ROの垢ハックなのか不明な（多分別物？）ものだけど
ここで続けてていいのかな。セキュスレに移動すべき？

874 ：(^ー^*)ノ〜さん sage ： 2007/07/01(日) 23:07 ID:w3PZueeY0

このドメインについては日に数回差し替わるので
このスレ的にはhostsに書いたら終わりってことで、
あとは気がついたら送付でいいんでない?
こちらはHTTPヘッダの定期チェックに放り込んだ。

しかし何に使うのかがわからん。どこかのBlogやBBSに
爆撃してるんだと思ったんだけど、ググっても出てこない。
メールやメッセンジャで送ってるのかな。

875 ：(^ー^*)ノ〜さん sage ： 2007/07/01(日) 23:18 ID:5+h0sj1B0

qsmoviexドメインだが、調べたらこれまた福建。
福建省福州市住所になってんな、また福建人どもか、と。

owner-contact: P-PSL118
owner-fname: Paul
owner-lname: lau
owner-street: fujian　(福建省)
owner-city: fuzhou　(福州市：福建省の州都)
owner-zip: 000001
owner-country: CN

876 ：(^ー^*)ノ〜さん sage ： 2007/07/02(月) 00:04 ID:hCCmPOsS0

あれ、PG2で企業関係ブロックしててSONYなんちゃらって出てたから、別件だと思ってたけどCNドメインだったか。
開発して他のサイトで使うように配布してるのかな？

877 ：(^ー^*)ノ〜さん sage ： 2007/07/02(月) 01:30 ID:p4IcFVYA0

IPから引くとソニーのbit-driveっつーne.jpが返るんだよね。
bit-driveのVPNか何か知らんけど(いちおうチクってある)、
これでファイアウォールの類の突破を狙ってるのかなぁ。
今のところDr.WEBが全部捕まえてる。
この手のはBitDefenderが健闘していい気もするんだが…。

878 ：(^ー^*)ノ〜さん sage ： 2007/07/02(月) 05:28 ID:i4XtmMmT0

>>874
＞しかし何に使うのかがわからん。
自分が見つけた経緯は、秒ナビ(画像共有サイト)のメインページ(index.html)が
改ざんされて、末尾にスクリプトが書き加えられていた事からです
内容は>>865のflash.jsとほとんど同じでした
サイト管理者も異常に気づいたのか、今は削除されています

なんちゃってプロバイダのように錯誤狙いできるURLでは無いので
このように強引な手法をとるか、あるいは他の罠サイトから呼び出される形になるかなぁと

RO関係とは自身では断定できなかったので報告は迷ったのですが
トロイがMaranやOkaragと命名された事や、その他これまでの罠サイトと比較して
色々と物珍しい特徴があったので一応、という事で

879 ：(^ー^*)ノ〜さん sage ： 2007/07/02(月) 13:59 ID:b5FZxU7W0

ソニー(bit-drive)から返信来ましたよ。
ウイルスが確認できませんでした、とさ。
カスペから逃げ回るように更新してるのに
他のプロダクトでそう簡単に検知できるわけねーだろ…。

880 ：(^ー^*)ノ〜さん sage ： 2007/07/02(月) 18:57 ID:Zju5Fs/20

それを追記してもう一回送ってみてはくれまいか

881 ：(^ー^*)ノ〜さん sage ： 2007/07/02(月) 19:06 ID:WEX+4ebO0

17:45にアップされたので今送った。これ3度目。
さっきカスペに対応されて消されたみたいでさ。
404だったって返事が来た。どうしたもんかねこれ。

882 ：(^ー^*)ノ〜さん sage ： 2007/07/02(月) 19:12 ID:klOdCECl0

さすがソニーだな

883 ：(^ー^*)ノ〜さん sage ： 2007/07/02(月) 19:17 ID:Zju5Fs/20

ソニー側で更新したログくらいは見れそうなもんだが･･･
犯罪に繋がる事なので少し監視しておいてくれみたいな事付け加えてみるとかはどうかな？

884 ：(^ー^*)ノ〜さん sage ： 2007/07/02(月) 19:31 ID:WEX+4ebO0

こちらがメールを送ってからソニーの中の人が確認する数時間の間に
カスペが掃討しちゃうんだよなぁ。ま、のんびりやりますわ。

885 ：(^ー^*)ノ〜さん sage ： 2007/07/02(月) 19:55 ID:hCCmPOsS0

1.exe

Kaspersky
07/01 13:07 - infected by Trojan.Win32.Agent.are(20070701.zip)
07/01 21:45 - Trojan-PSW.Win32.Maran.ey(20070701_1.zip)
07/02 19:36 - 検出すり抜け（ファイル差し替えられています）

NOD32
いずれもすり抜け

886 ：(^ー^*)ノ〜さん sage ： 2007/07/02(月) 19:59 ID:/CwbezVB0

いい加減LiveRO行けば？

887 ：(^ー^*)ノ〜さん sage ： 2007/07/02(月) 20:23 ID:hCCmPOsS0

>>886

>>878
どうやら、垢ハック関連ぽいのでこっちでいいかと。

888 ：(^ー^*)ノ〜さん sage ： 2007/07/03(火) 00:50 ID:VMTlKK6i0

なんかメンヘラっぽいな

http://chru.blog86.fc2.com/

889 ：(^ー^*)ノ〜さん sage ： 2007/07/03(火) 00:51 ID:VMTlKK6i0

おう、スマン誤爆だ

890 ：(^ー^*)ノ〜さん sage ： 2007/07/03(火) 03:03 ID:vCeKnlDM0

削除依頼しておけよ〜

891 ：まと ◆sp4Sh9QXGI sage ： 2007/07/03(火) 10:34 ID:tyQJXomz0

http://sky.geocities.jp/vs_ro_hack/faq.htm
FAQを作ってみました。
「この質問を追加したら？」
「ここはこうしたほうがいいんじゃない？」(特にQ4)
等ありましたらどうぞ。

892 ：(^ー^*)ノ〜さん sage ： 2007/07/03(火) 12:38 ID:s+6O4N6A0

>>885
NOD32
07/01 13:07 - Win32/PSW.Maran トロイ
07/01 21:45 - Win32/PSW.Maran トロイ
07/02 19:36 - Win32/PSW.Maran トロイ

検知できるようになってました。あと、flash.jpも、JS/TrojanDownloader.Psyme.IW トロイ と検知。

893 ：(^ー^*)ノ〜さん sage ： 2007/07/03(火) 17:06 ID:b7b+jMtY0

>>891
そういう議論はセキュリティスレのほうがよいんじゃなかろか。
あっちでまとまった結果がそこに反映されていればよいし。

http://enif.mmobbs.com/test/read.cgi/livero/1177485590/

894 ：(^ー^*)ノ〜さん sage ： 2007/07/04(水) 08:39 ID:4Q9aSiwG0

qsmoviex更新激しいなぁ…。

895 ：(^ー^*)ノ〜さん sage ： 2007/07/04(水) 09:15 ID:uRmky6If0

qsmoviex9時13分現在で中身なし。

896 ：(^ー^*)ノ〜さん sage ： 2007/07/04(水) 09:23 ID:4Q9aSiwG0

早朝見たflash.jsにはAlexaInstaller.exeがあり、
その後このexeがmarsbar.exeになってさらにその後jsが消えた。
一日中メンテしとるのかこいつは…。

897 ：(^ー^*)ノ〜さん sage ： 2007/07/05(木) 23:23 ID:OR33vkHr0

http://www■qsmoviex■com/ DNSから消えた模様。ドメイン登録取り消されたかな？

898 ：(^ー^*)ノ〜さん sage ： 2007/07/06(金) 10:50 ID:Ee3mKtV00

先程、カスペルスキーでのスキャンを試したところ、
Trojan.Win32.LipGame.cdというものが検知されました。
検出元はC:\Program Files\Ternd Micro\VB2004_1120\Tools\TOOL\3034\3034EASYSIRC.com/fix_sirc.com

スキャンが完了次第削除などをするつもりですが、
これはアカウントハックに関するものなのでしょうか。
自分でも調べてはみましたがROに関連性する情報は見つけられませんでした。
もし、アカウントハックに関連するものであれば情報をお願いしたく存じます。

899 ：(^ー^*)ノ〜さん sage ： 2007/07/06(金) 11:10 ID:UqfNI8SD0

カスペのサイトでその名前で検索してみたが、.cdではないなあ
.cがttp://www.viruslistjp.com/viruses/encyclopedia/?virusid=110065
.dがttp://www.viruslistjp.com/viruses/encyclopedia/?virusid=110176
どちらにしてもtrojamだしね

というかなんで
>C:\Program Files\Ternd Micro\VB2004_1120\
なんだろう
その辺確認した方が良くない?

900 ：(^ー^*)ノ〜さん sage ： 2007/07/06(金) 11:18 ID:cJWNigVa0

>>898
そのファイル名は、トレンドマイクロのウィルス削除ツールのようですね。
誤検出の可能性もあるので、トレンドマイクロに問い合わせてみてはいかがでしょうか。

901 ：(^ー^*)ノ〜さん sage ： 2007/07/06(金) 11:22 ID:Ee3mKtV00

898です。
C:\Program Files\Ternd Micro\じゃなくて、
C:\Program Files\Trend Micro\でした。

動揺していたとはいえ正確な情報でなくてすみませんでした。

902 ：(^ー^*)ノ〜さん sage ： 2007/07/06(金) 11:31 ID:UqfNI8SD0

>>901
いや、というか>>900さんの言うとおり、ウイルスバスター関連だから誤検出もあるかなと
隔離したファイルをまた別のウイルス対策ソフトで踏むこともあるし

ちなみにそのフォルダはたぶんウイルスバスター2004のセットアップファイル群
なので今2007とか他社製品入っているなら、容量の関係もあるから
消してしまってもいいのではと思った
(消す前に、念のために今インストールされているウイルスバスターの位置も確認してください)

903 ：(^ー^*)ノ〜さん sage ： 2007/07/06(金) 12:05 ID:Ee3mKtV00

>>900
>>902
情報ありがとうございます。

早速トレンドマイクロに問い合わせようとしましたが、
なにぶんウイルスバスターを導入していたのが2004版だけでしたので、
問い合わせに必要なシリアル番号などを紛失している体たらくです。

そこで、今は他社製品を使用している兼ね合いからも
削除の方向で検討したい思います。

904 ：(^ー^*)ノ〜さん sage ： 2007/07/06(金) 12:23 ID:56P7unOY0

実にぬるぽだな

905 ：(^ー^*)ノ〜さん sage ： 2007/07/06(金) 13:29 ID:drokWK+e0

実にｶﾞｯだな

906 ：(^ー^*)ノ〜さん sage ： 2007/07/06(金) 15:32 ID:8BNGRPKM0

>>897
IPは生きているので別ドメイン立てたかもなぁ。

907 ：(^ー^*)ノ〜さん ： 2007/07/06(金) 21:59 ID:JVtwePH+0

最近アカハックURL貼り付けが復活してきてるので注意！
BOTが壊滅気味だからまたそっちに切り替えてきたか？
皆もう忘れがちのようなのでageておこう。

908 ：(^ー^*)ノ〜さん sage ： 2007/07/06(金) 22:11 ID:i7pVAleN0

壊滅気味なの？

909 ：(^ー^*)ノ〜さん sage ： 2007/07/06(金) 22:22 ID:cJWNigVa0

一見減ったように見えるのは事実。但し、BAN作業を行なった確証はなく、単に接続を控えているだけで
すぐに戻るだろうというのが大方の予測。

910 ：(^ー^*)ノ〜さん sage ： 2007/07/06(金) 22:32 ID:56P7unOY0

癌ごときに一体何が出来るというのか

911 ：(^ー^*)ノ〜さん sage ： 2007/07/07(土) 07:45 ID:TLIcX9Xr0

どうせアピール程度だよ
実効が出るとは全く思えない

912 ：(^ー^*)ノ〜さん sage ： 2007/07/07(土) 08:43 ID:gkf+zrw/0

壊滅したように見せかけて実は潜伏しているだけ
BOTメイン産のアイテムの相場上昇を見計らって復活するんじゃね？

913 ：(^ー^*)ノ〜さん sage ： 2007/07/07(土) 21:16 ID:bWptL3rs0

続々とBOTが接続してきましたよ。分かり切ってる事なんだけどぬるぽ

914 ：(^ー^*)ノ〜さん sage ： 2007/07/08(日) 00:16 ID:uQXEfniN0

がっがっがっがおー

915 ：(^ー^*)ノ〜さん sage ： 2007/07/08(日) 14:18 ID:HEm2a/hC0

>908-914
雑談スレへどうぞ。
セキュリティ対策、質問・雑談スレ2
http://enif.mmobbs.com/test/read.cgi/livero/1177485590/

916 ：(^ー^*)ノ〜さん sage ： 2007/07/08(日) 20:04 ID:DZDQmUHr0

セキュ質問・雑談スレの方にBOTの話を持ってこられても、やっぱりスレ違いかな、と。

917 ：(^ー^*)ノ〜さん sage ： 2007/07/08(日) 20:20 ID:chGwbGjt0

あやしい投稿の報告はこちらでいいんでしょうか？

918 ：(^ー^*)ノ〜さん sage ： 2007/07/08(日) 20:59 ID:chGwbGjt0

実際には踏んでいませんが、うちのＨＰの画像ＢＢＳに貼られていた怪しい投稿

【　　アドレス 　 】>198のものでした。

忍術型 Tilna__79
私の忍者もINT先行の忍術型ですが、タゲを取ってくれる前衛がいると結構いけます。
今わりと回りも新キャラ育成に走っているので、それなりにPTが組めますよ。
忍術ソロは正直マゾいというか、あまり面白くない気が???。
しかし、手持ち金がほとんどないのに、金のかかるアルケミと忍者をやるのはつらいorz

自キャラに忍者がいないのに、「私の忍者『も』」とあったので、怪しいとおもい踏みませんでした。

【気付いた日時】 7/8　20:00　投稿は09：00頃のようですが、仕事で気づきませんでした。
【　 　　 OS　 　 】 ＷｉｎＸＰ ＳＰ２
【使用ブラウザ 】 Ｓｌｅｉｐｎｉｒ
【WindowsUpdateの有無】 自動更新です
【　アンチウイルスソフト 】 (NortonInternetSecurity2006)
【その他のSecurty対策 】 (Spybot S&D、ルータ)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【スレログやテンプレを読んだか】 (今から読みます)
【hosts変更】(無)
【PeerGuardian2導入】無
【説明】 当面の間画像投稿を停止しました。
　　　　　ＢＢＳ自体を当分停止するか、廃止したほうがいいでしょうか・・・。

919 ：(^ー^*)ノ〜さん sage ： 2007/07/08(日) 21:07 ID:Q1b9LJVp0

そのBBSが仲間内だけで見るようなものであれば、投稿時にパスワードが
必要なタイプにすれば回避は出来る

そうじゃないなら、日本以外からの投稿を禁止にするだけでも、かなり効果はある

920 ：(^ー^*)ノ〜さん sage ： 2007/07/08(日) 21:20 ID:chGwbGjt0

>919
ありがとうございます。
投稿パスワードは設定できそうなので、設定して各所に連絡する事にさせていただきます。

ちなみにttp://www■airbbs■net/　を利用しているのですが、ここはＩＰ制限しかできない&
うっかりＩＰ表示設定にしてなかったという理由で、当面は実行できそうにありません。
どこかにハック業者ＩＰの一覧があればいいですけど、そんな便利な物あれば誰も苦労しませんよね・・・

普段ＲＯの話題の出ないＢＢＳだからと油断しておりましたil||li _|￣|○ il||li
誰も被害者が出ないといいんですが・・・・・ちくしょー

921 ：(^ー^*)ノ〜さん sage ： 2007/07/08(日) 21:41 ID:TObIZbop0

>>920
リネージュ資料室のIPフィルタ用設定をもってきてみては？
中国・韓国・台湾からの接続をすべて遮断すればだいぶ幸せになれるかも。

922 ： (^ー^*)ノ〜さん ： 2007/07/09(月) 14:03 ID:UQ1+JuJI0

先ほどカスペルスキーでスキャンをしたところ
Trojan.Java.ClassLoader.kとTrojan.Java.ClassLoader.i いうのが検知されました。
検出先は
C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\15CA49F6.tmp
C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\3A8A3E37.tmp
からTrojan.Java.ClassLoader.k が検出され

C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\61DE5F08.tmp
から Trojan.Java.ClassLoader.iが検出されました。

スキャンが完了次第削除などをするつもりですが、
これはアカウントハックに関するものなのでしょうか。
自分でも調べてはみましたがROに関連性する情報は見つけられませんでした。
もし、アカウントハックに関連するものであれば情報をお願いしたく存じます。

923 ：(^ー^*)ノ〜さん ： 2007/07/09(月) 14:05 ID:YhqDytJ40

気になるならウイルス削除してから垢のパス変えればいいじゃん･･･
ただ、それだけでしょ･･･

924 ：(^ー^*)ノ〜さん sage ： 2007/07/09(月) 14:15 ID:YNqRwnJj0

Quarantine = 検疫する; 隔離する

つまり、お使いのノートンが以前に隔離処理したウイルスを
カスペが検出しただけの可能性が強い。
ノートンのことはよく知らないけど隔離されたファイルを削除するとよろし。

925 ：(^ー^*)ノ〜さん ： 2007/07/09(月) 14:48 ID:UQ1+JuJI0

922です。
>>924　情報ありがとうございました。

926 ：(^ー^*)ノ〜さん sage ： 2007/07/09(月) 18:41 ID:qrMBc9N80

複数のアンチウィルスソリューションの同居は、トラブルの元。
処理が競合すれば、OSのカーネル部分でデッドロックの可能性もある。
信頼のおける物以外はアンインストールしてから、必要なものを入れるべき。

927 ：(^ー^*)ノ〜さん sage ： 2007/07/09(月) 23:27 ID:TPYd4s9L0

【　　アドレス 　 】 http://bukuro■xxxxxxxx■jp/ro■html
【気付いた日時】 踏んでから数分後
【　 　　 OS　 　 】 WinXP SP2
【使用ブラウザ 】 IE6.0
【WindowsUpdateの有無】 結構前だったと思います
【　アンチウイルスソフト 】 avast!
【その他のSecurty対策 】 Spybot S&D
【 ウイルススキャン結果】 Exploit.HTML.Mhtが3つ、Email-Worm.Win32.Luder.eが1つ検出されました
　　　　　　　　　　　　　　　　 どちらも垢ハックウィルスとは関係無さそうですが一応
【スレログやテンプレを読んだか】 Yes
【hosts変更】 無
【PeerGuardian2導入】 無
【説明】
鯖板にて踏んでしまいました
飛んだ先は普通のROエンブレム配布サイトで、特に変わったところはなかったのですが
（サイトを開いたときにブラウザの方も特に不審な動きなどは見られませんでした）
数分後に「垢ハックだから踏むな」という注意のレスが付いたので怪しいアドレスと判断しました
とりあえずROへのログインやMMOBBSを見る以外のネット接続は控えています
本当に垢ハックサイトなのか、それとも無害サイトなのかは未だにわかりません・・・

928 ：(^ー^*)ノ〜さん sage ： 2007/07/11(水) 03:12 ID:NBwTa2BA0

http://pc11.2ch.net/test/read.cgi/hack/1177503872/902-906
垢ハックだから踏むなと言った奴は根拠を提示したのか?

929 ：(^ー^*)ノ〜さん sage ： 2007/07/12(木) 00:00 ID:H3KR+ndo0

最近ギルメンがアカハックくらったみたいなんだけど
マウスクリックで入力するキャラパスも見破られちゃうもんなの…？

930 ：(^ー^*)ノ〜さん sage ： 2007/07/12(木) 00:05 ID:l5p9LsUz0

今頃何を言ってるんだ

そんなの実装されて一週間もしないうちにハックされてるよ

931 ：(^ー^*)ノ〜さん sage ： 2007/07/12(木) 00:24 ID:2JBy9aHd0

入力のSS取られてる説
パケットが読まれてる説

などあるけど、突破されてるものと思っておいた方が良いと思うよ

932 ：(^ー^*)ノ〜さん sage ： 2007/07/13(金) 02:47 ID:PcrHYjwJ0

そういう質問はこっちでな。
ttp://enif.mmobbs.com/test/read.cgi/livero/1177485590/

キャラパス実装前から実装されてもSSやパケ読みで突破されるよなって散々言われてたし。

933 ：(^ー^*)ノ〜さん sage ： 2007/07/13(金) 22:12 ID:Jfpd846a0

いつもサーフィンするときは注意していたのですが今日スキャンした所、
Tracking Cookie
というのが検出されました。
詳細を見たところCookie：●●●（←ユーザー名）@valueclick.ne.jp
というのが、出てきたのですが。
調べたところ、問題ないとかいてあるサイトと、問題があるとかいてあるサイトが
あったのですが、実際の所どうなのでしょうか？

934 ：(^ー^*)ノ〜さん sage ： 2007/07/13(金) 22:16 ID:ZJalIsDf0

cookieかよ…まずググってみれ

935 ：(^ー^*)ノ〜さん sage ： 2007/07/13(金) 22:19 ID:/lFoJsNb0

>>933
>>932の方で、何度か出てたはず

936 ：(^ー^*)ノ〜さん sage ： 2007/07/13(金) 22:31 ID:Jfpd846a0

自分なりに調べたのでは、Tracking Cookieはスパイウェアであると書いてある
サイトと、スパイウェアでは無く、対した影響は無いと書いてあるサイトが
あったものでどうなのかなと・・
cookieの意味はおぼろげにわかっているのですが、それだと影響が無さそうだなと
自分では思っています。ただ心配なので詳しい方のご意見を伺いたいなと思いまして・・

937 ：(^ー^*)ノ〜さん sage ： 2007/07/13(金) 23:06 ID:Ftp+nw4r0

とりあえずこっちではない

938 ：(^ー^*)ノ〜さん sage ： 2007/07/13(金) 23:12 ID:wmc+34yB0

おぼろげに分かってんならcookieについて調べて理解すればいいのに
どう考えてもおかしいだろ、聞いてる事がｗ

939 ：(^ー^*)ノ〜さん sage ： 2007/07/13(金) 23:38 ID:Jfpd846a0

どうも自分が調べた範囲では問題が無いようです。
スレ違いもあったようですね・・
申し訳ありませんでした

940 ：(^ー^*)ノ〜さん ： 2007/07/15(日) 16:14 ID:Rg+sUo1T0

【　　アドレス 　 】http://www■mbspro6uic■com/mbsplink
【気付いた日時】 7月15日14時
【　 　　 OS　 　 】XP　ＳＰ2
【使用ブラウザ 】ＩＥ6.0　SP2
【WindowsUpdateの有無】 一番最近のＵＰの一個前としか。基本的に自動更新です。
【　アンチウイルスソフト 】 ノートン4.0
【その他のSecurty対策 】 Windowsでの設定くらいです
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【スレログやテンプレを読んだか】 読みつつ書いています
【hosts変更】無
【PeerGuardian2導入】無し
【説明】
症状はまだ不明です。
調べたところ相当あやしいｕｒｌだったようで…
一応ＩＥ等でできるところまでは対策はしてるのですが…

941 ：(^ー^*)ノ〜さん sage ： 2007/07/15(日) 16:32 ID:MyWJDuOf0

>>940
リストと照らし合わせてないけど、既出の垢ハックアドレスにあったと思う。
セキュリティソフトで削除するか、ＯＳ入れなおすかの対処になる。

入れているノートンが反応したのではなく、カスペオンラインスキャンで検知したということだろうか。

除去するまでは、ログイン・パス変更しない。
間違ってログイン等していた場合、早急に（除去・もしくは手持ちの安全な環境で）パスワード変更を。

踏んだと思われる時期以降、ログインしていた場合の安全な環境の作り方はわかるかな？
わからないようなら質問を。1CDLinuxからブラウザ立ち上げて変更するのが簡単だよ。

対処頑張れよ。

942 ：940 ： 2007/07/15(日) 16:50 ID:Rg+sUo1T0

現在カスペのオンラインスキャン中ですね。
以前から引っかかってた4つのファイル以上出てくるとアウトといった感じです。

踏んだのはすぐにわかったのでｉｎ等の操作はまったく触れていません。

除去もいいんですが、いっそ初期化してしまおうかとも…
問題は古いPCなのでXPのSP2のＵＰデートからってことだけで。

対処頑張ります

943 ：(^ー^*)ノ〜さん sage ： 2007/07/15(日) 16:57 ID:bd3Pq6590

なんか数年前に使ってたPcでROを起動しようとしたらnProにInternet Optimizerっていうｳｨﾙｽに感染してるとか出たんだけど…
これってやっぱりセーフモードでこのファイル削除するだけじゃダメなのかな…

944 ：(^ー^*)ノ〜さん sage ： 2007/07/15(日) 17:07 ID:CN4q949n0

それだけじゃ意味不明なのでテンプレ埋めてください

945 ：(^ー^*)ノ〜さん sage ： 2007/07/15(日) 18:17 ID:bd3Pq6590

悪い…いきなりnProになんか出てきたから気が動転してた…
【気付いた日時】 本日昼頃
【　 　　 OS　 　 】 ME
【使用ブラウザ 】 IE6.0
【WindowsUpdateの有無】 多分去年の夏
【　アンチウイルスソフト 】 AVG Anti-Virus Free Edition
【その他のSecurty対策 】 特に無し
【 ウイルススキャン結果】 現在進行形でｽｷｬﾝ中
【スレログやテンプレを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
大分前に使ってたPcで2PcやろうとROの最新ﾊﾟｯﾁあてて起動しようとしたらnProのｳｨﾝﾄﾞｳが開いてInternetOptimizerっていう名前のｳｨﾙｽが検知されたって出たんです。
とりあえずそのｳｨﾙｽ名でぐぐったら広告を表示する目的でのｳｨﾙｽらしいけど怖くなったんでｾｰﾌﾓｰﾄﾞに入って削除。
それ以降ROを起動(ｲﾝはしてない)した時にnProの反応は無くなったんですが…
本当はもっと前に気づくべきだったんだろうけど…最後に起動したのが最早1年前なんで…

946 ：(^ー^*)ノ〜さん sage ： 2007/07/15(日) 19:04 ID:MyWJDuOf0

>>942
ＳＰ適用済みＣＤを作ってからインストールすると楽ですよ。

http://www.ak-office.jp/
ここにあるSP+メーカーというのを使ってみて下さい。では、再インストールいってらー。(^^)/~~~

>>945
http://www.symantec.com/region/jp/sarcj/data/a/adware.netoptimizer.b.html

ここにあるレジストリも参照して、取り付いてなければOK、残ってたら削除でいいんじゃないかな。

947 ：(^ー^*)ノ〜さん sage ： 2007/07/15(日) 23:24 ID:ljHTisfZ0

ttp://www■mbspro6uic■com/mbsplink
日付: 2007-07-15 17:13:17
IPアドレス: 211.3.201.194

Network Information: [ネットワーク情報]
a. [IPネットワークアドレス] 211.3.0.0/16
b. [ネットワーク名] ODN

通報しますた

948 ：940 sage ： 2007/07/16(月) 15:57 ID:GyINkPdo0

>>946
おお…ありがとうございました

データ整理もかねてリカバリー致しまして、
現在諸々の設定やらDLしてます。

少しは動作軽くなるといいな。
３年近く初期化してないもので（苦笑）

949 ：(^ー^*)ノ〜さん sage ： 2007/07/17(火) 19:17 ID:uDrDlurT0

何気なくRO2でググって引っ掛けたWikiのメニューバーのリンクが23stylesに改竄されてた。
（偶然だが改竄日が今日で、本日のアクセス数は１桁だったので、多分被害者は居ないと思う）

RO2ってROと違って有名どころというのはまだ無いだろうし、これからいくつも生まれる可能性が
あるだろうし、Wikiやらを建てる管理人の設定次第では今後被害者が増えるかもしれない。
それに中華とかが自ら建てる可能性も否定できない。

今更の事だけど、知らないWikiや新しいWikiを見るときは普段以上にご注意を。

950 ：(^ー^*)ノ〜さん sage ： 2007/07/20(金) 05:47 ID:gBEPPosX0

ﾊ-｡ﾟ+ヽ(´∀`*)ﾉ ﾟ+｡-ｨ

951 ：(^ー^*)ノ〜さん age ： 2007/07/20(金) 21:51 ID:IY6uXugzO

あげ

952 ：(^ー^*)ノ〜さん age ： 2007/07/20(金) 21:51 ID:IY6uXugzO

あげ

953 ：(^ー^*)ノ〜さん sage ： 2007/07/21(土) 16:13 ID:OOV7tiUH0

このスレ見るような連中にはアカウントハックされるようなリアルINT1不注意池沼はいないとはおもうが
念のため警告
中華BOTerが本気だしてきてますｗ

954 ：(^ー^*)ノ〜さん sage ： 2007/07/21(土) 16:55 ID:igEEs+zz0

煽りにしかなっていない1行目は不要。

955 ：(^ー^*)ノ〜さん sage ： 2007/07/21(土) 17:04 ID:rm4MQzT90

本気出してきてますってことは
今まで以上に悪質・巧妙・執拗になってきてるってことか？

956 ：(^ー^*)ノ〜さん sage ： 2007/07/21(土) 17:23 ID:8H+Hg1HB0

具体的なことは何も言わずにんなこと言われても煽りにしか見えんよなあ。

957 ：(^ー^*)ノ〜さん sage ： 2007/07/21(土) 17:28 ID:igEEs+zz0

確かに取締りで稼ぎにくくなった中華がそっちにまた力を入れてきているって可能性はあるけどね。

958 ：(^ー^*)ノ〜さん sage ： 2007/07/21(土) 18:31 ID:q/3ZR/Vz0

アカハックでは無くエロサイトらしいけど騎士スレのWikiがちょっと荒らされただけ。

959 ：(^ー^*)ノ〜さん sage ： 2007/07/21(土) 21:46 ID:Y9//bcyt0

変なのに触っちゃダメ

960 ：(^ー^*)ノ〜さん ： 2007/07/22(日) 00:27 ID:EL14773z0

ちょっと切羽詰まっててあれなんだが、テンプレでかくべきなのかは、とりあえずあとで責められようか。

質問なんだが、これは何処のホストなんだ？
http://www◆aehatena-jp◆com/news/100658432/
とかいう、ソースチェッカーでみても怪しいURLはっつけていった奴のホストが
board.ly.fj.dynamic.163data.com.cn
だったんだが。

961 ：(^ー^*)ノ〜さん sage ： 2007/07/22(日) 00:35 ID:q9XqydQ80

>>960
セキュスレへどうぞ。

>>1
>重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
>対策・相談・雑談は>>2に有る雑談スレを利用して下さい。

セキュリティ対策、質問・雑談スレ2
http://enif.mmobbs.com/test/read.cgi/livero/1177485590/

962 ：にゅぼーん にゅぼーん ： にゅぼーん

にゅぼーん

963 ：(^ー^*)ノ〜さん sage ： 2007/07/22(日) 10:43 ID:2WRxeHcY0

>>962
・サイトとしては安全
・エミュ鯖
・キチガイ

964 ：(^ー^*)ノ〜さん sage ： 2007/07/22(日) 10:44 ID:y7DM3BZw0

>>962
IP : 124.44.167.179
z179.124-44-167.ppp.wakwak.ne.jp

通報しました。

965 ：(^ー^*)ノ〜さん sage ： 2007/07/22(日) 10:48 ID:dzFc0b1D0

>>962
ぷげら、962のリアル人生オワタｗ

966 ：(^ー^*)ノ〜さん sage ： 2007/07/22(日) 10:51 ID:j3ZM7qJ+0

あぼーん対象に触りすぎなんじゃない？

967 ：(^ー^*)ノ〜さん sage ： 2007/07/22(日) 14:51 ID:VDGqrRv50

spam行為はISP全般に嫌われている事だし。

968 ：(^ー^*)ノ〜さん sage ： 2007/07/22(日) 14:59 ID:lxkbmnmh0

でも嫌われてるのに長々触ってるのもいいこととはいえんよね。

969 ：(^ー^*)ノ〜さん ： 2007/07/23(月) 12:15 ID:p71RNcfJ0

MSN経由で感染するキーロガータイプ？の新種が出回ってる模様
マシンが乗っ取られるとpic.pifを実行するアドレス偽装サイトに飛ぶように
無言のアドレスを本人がサインインしていないときに相手に送りつける模様
MSNのパスとIDを打ち込み無しでも盗む様子。
知り合いがかかった。注意すべし。トレンドマイクロにファイル送付予定

970 ：(^ー^*)ノ〜さん sage ： 2007/07/23(月) 12:28 ID:kCweh4Tu0

怖いなぁ、それに対する具体的な対策とかはどうすれば良いんだろう…

971 ：(^ー^*)ノ〜さん sage ： 2007/07/23(月) 12:43 ID:zqTZbU9T0

MSNってなんだっけ・・・。

972 ：(^ー^*)ノ〜さん sage ： 2007/07/23(月) 12:55 ID:UH+rS5fn0

The Microsoft Network

973 ：(^ー^*)ノ〜さん ： 2007/07/23(月) 12:57 ID:p71RNcfJ0

メッセンジャー＝MSN
ROユーザーで使ってる奴も多いんじゃない？
誤クリックしてHP飛んでももDLしますか？と聞いてくるから
大丈夫だとはおもうけど亜種臭いのでまだ解らない。
知り合いが感染に気づいてないと本人になりすまして
自動でハックアドレス貼ってくるから「何かチャットで発言した？」
と思わず貼られたアドレスをクリックしてしまうので注意が必要。
（たぶんそれが一番の狙い）

974 ：(^ー^*)ノ〜さん sage ： 2007/07/23(月) 13:04 ID:UH+rS5fn0

MSN = ttp://jp.msn.com/

だろ。

975 ：(^ー^*)ノ〜さん sage ： 2007/07/23(月) 13:32 ID:zqTZbU9T0

ああ、メッセのことか。
あんまり使ってないけどそれは怖いな。

976 ：(^ー^*)ノ〜さん sage ： 2007/07/23(月) 15:16 ID:p71RNcfJ0

まあでもMSNの仲間内までこんな方法で感染すると考えてる奴いないからなあ・・
マジでこの感染方法考えた奴は怖いw;人の真理を見事に突いてる。
乗っ取ったPCからまるで本人が配信しているようにウィルスをばらまく。
mixiやIRCでも同じ方法を考える奴が表れるかもしれん。
http://www.pwblog.com/user/igtmtakan_if/if001/32932.html
どうもこの亜種と睨んでるがさっぱりわからん・・・；

977 ：にゅぼーん にゅぼーん ： にゅぼーん

にゅぼーん

978 ：(^ー^*)ノ〜さん sage ： 2007/07/23(月) 19:38 ID:PoV7Iinn0

MSN=メッセンジャーではなく、本来はMSによるネットワークサービスの総称。
過去にはISP事業も行っていた。
だから、IMの意味として使うと混乱を生じる。
もっとも、新たなサービス提供と合わせて、Windows Live系列に統合することによって、名称の混乱を払拭しようともしているようだが。

979 ：(^ー^*)ノ〜さん sage ： 2007/07/23(月) 20:31 ID:UfD8mKHP0

デフォでデスクトップにあるMSNアイコンがまた鬱陶しかったんだよな

980 ：(^ー^*)ノ〜さん sage ： 2007/07/24(火) 07:36 ID:AJrqvpEY0

>>976
IRCやICQで昔からあったよ。
日本では最近になって踏んだ奴が多いようで目立つけど。
ちなみにWarezovやStrationと呼ばれている奴ね。
これは最初はメールだったけどSkypeも使うようになって、
Messengerまで使うのは比較的最近かなぁ。
ま、アカハックとは関係無いです。

981 ：(^ー^*)ノ〜さん sage ： 2007/07/24(火) 08:38 ID:7HZSr4hQ0

リネージュ資料室によると
株式関連のモーニングスターHPのTOPにアカハックの罠が仕込まれたらしい。
いよいよ無差別化してきたな。

同時の４つの罠ドメイン

www■i520i■com　Expiration Date ................. 2008-06-07 17:30:06
www■sunwayto■com　Expiration Date ................. 2008-06-10 02:58:50
www■clublineage■com　Expiration Date ................. 2008-07-04 10:47:17
www■sakerver■com　Expiration Date: 2008-06-23


上３つはおなじみ福建人か、またドメイン取り捲りモードに入ったようだよ。

Registrant Name ................. zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 610000
Registrant Country Code ......... CN

一番下のだけ情報が違うが福建竜岩は同じ、郵便番号も正しい。
Registrant:
guo yongkai
Fujian longyan
364000

982 ：(^ー^*)ノ〜さん sage ： 2007/07/24(火) 11:24 ID:u16Zfj1s0

MSNのISP事業か・・・スーパーぼったくりだったよなぁ
定額制がなかった時代でも、従量制にしてはえらく高かったような

983 ：まと ◆sp4Sh9QXGI sage ： 2007/07/24(火) 16:09 ID:F6ykbukN0

まとめサイト更新しましたー。
またドメイン取得祭りですかと。
pingを送信していましたら
www■motewiki■net　　　220.166.64.194
www■lavedoor■com　　　220.162.244.52
でした。これまでに見たことのないIPです。
何処かの業者の新IPか、また別の業者なのかは定かではありません。

まだ新スレ依頼が出ていないようですが、
テンプレは今までと同様で良いようであればいってきます。

984 ：(^ー^*)ノ〜さん sage ： 2007/07/24(火) 18:38 ID:gKoWkfDO0

>>946
おかげさまで無事除去完了したし、しばらく様子見てもﾊｯｸされた様子も無く順調に動いてくれてます。
遅くなったけど本当にありがとうございました。

985 ：(^ー^*)ノ〜さん sage ： 2007/07/24(火) 20:01 ID:aV77WY4/0

そういや、テンプレ話し合うの忘れてたね。次スレに間に合わなくても困るので、そのままで依頼お願いします。

修正箇所はゆっくり検討しましょうや。こことセキュスレの使い分けとかの辺りも、詰めといた方がいいだろうし。

986 ：(^ー^*)ノ〜さん sage ： 2007/07/24(火) 21:15 ID:sMPBg+3g0

ttp://rosafe.rowiki.jp/ の扱いは、結局どーなったんだっけ？

987 ：(^ー^*)ノ〜さん sage ： 2007/07/24(火) 23:30 ID:aV77WY4/0

>>986
セキュスレのテンプレについて話し合われた事をまとめてみよう状態で止まっている。
箇条書きまえでゃできているが、取捨選択と文面のまとめを誰もやろうとしないので保留のまま。

988 ：(^ー^*)ノ〜さん sage ： 2007/07/25(水) 11:05 ID:0VlfI5tA0

セキュスレのまとめサイトなのに管理人がいないwikiって一番危険だろｗ

989 ：(^ー^*)ノ〜さん sage ： 2007/07/25(水) 11:21 ID:ivXIeZ350

弓手Wikiの人が設置してくれてる分だから、管理人不在でもそこいらのWikiよりは
設定はしっかりしてると思う。

テンプレWikiは設置後に多少手を加えたんだが、他に修正入れてたのが一人か二人のようで
他に編集者が来ないか待ってて今に至る、って状態。

個人の意思で勝手に決めれるものでも無いし、もっと人が居ないと手が出しにくい。
他に手を加えてた人も同じ状態なんじゃないかねぇ……

990 ：(^ー^*)ノ〜さん sage ： 2007/07/25(水) 12:23 ID:86e/5CNx0

>>989
( TT)／＼(TT )ﾅｶﾏｯ!!

991 ：(^ー^*)ノ〜さん ： 2007/07/25(水) 16:52 ID:2b5UD1Ec0

スレ終わりそうだけど書き込んでいいのかな…；

【　　アドレス 　 】 http://www■blog-ekndesign■com/wiki/
【気付いた日時】 今日の16:00頃
【　 　　 OS　 　 】 WinXP Pro SP2
【使用ブラウザ 】 Sleipnir 2.5.12 IEエンジンで、IEは6.0です
【WindowsUpdateの有無】 多分今月頭
【　アンチウイルスソフト 】 NOD32
【その他のSecurty対策 】 Ad-Awareの無料版
【 ウイルススキャン結果】 現在スキャン中
【スレログやテンプレを読んだか】 テンプレと>>588前後を読みました
【hosts変更】無
【PeerGuardian2導入】無
【説明】
wikipediaのROアニメの項目の一番下、公式サイトへのリンクをクリックした直後、
『公式アドレスの最後が/wiki/っておかしくない…？』と思ってサイトが表示される前に中止ボタンを押し、
ソースチェッカーオンラインにかけたところ危険URLだと表示されたのでLANコードを引っこ抜きました。
(なのでwikipediaの編集方法がわかる方、該当アドレスを正しいものに直していただければ幸いです)

幸いROを起動しておらず、2PC環境もあるのですぐ各種パス変更して比較的落ち着いていられますが
やはり油断は大敵…怖いですね；

992 ：アカハックスレ依頼2/7 sage ： 2007/07/25(水) 17:08 ID:1g/DSBnN0

【一般的話題用】
セキュリティ対策、質問・雑談スレ2
　http://enif.mmobbs.com/test/read.cgi/livero/1177485590/

【過去スレ】
アカウントハック総合対策スレ6
　http://gemma.mmobbs.com/ragnarok/kako/117/1173963316.html.gz
アカウントハック総合スレ 5
　http://gemma.mmobbs.com/ragnarok/kako/117/1170419695.html.gz
アカウントハック被害報告スレ4
　http://gemma.mmobbs.com/ragnarok/kako/116/1164984508.html.gz
アカウントハック被害報告スレ3
　http://gemma.mmobbs.com/ragnarok/kako/116/1160787177.html.gz
アカウントハック被害報告スレ2
　http://gemma.mmobbs.com/ragnarok/kako/114/1147966576.html.gz
アカハック被害報告スレ
　http://gemma.mmobbs.com/ragnarok/kako/107/1075385114.html.gz

【参考アドレス】
・ROアカウントハック報告スレのまとめ？サイト
　http://sky.geocities.jp/vs_ro_hack/
・安全の為に (BSWikiより)
　http://smith.xrea.jp/?Security
・リネージュ資料室 (応用可能な情報が多数)
　http://lineage.nyx.bne.jp/

【このスレでよく出てくるアプリケーション】
・PeerGuardian2
　http://sky.geocities.jp/vs_ro_hack/pg2.htm

【PCにウィルス対策ソフトを導入してない方へ】
・Kaspersky Internet Security 試用版
　http://www.just-kaspersky.jp/products/try/
・カスペルスキー：オンライン ウイルス＆スパイウェアスキャナ
　http://www.kaspersky.co.jp/scanforvirus/
・NOD32アンチウイルス体験版
　http://www.canon-sol.jp/product/nd/trial.html

993 ：(^ー^*)ノ〜さん sage ： 2007/07/25(水) 17:09 ID:ivXIeZ350

別PCからのPASS変更も済んでるようだし、念のために各種スキャンでPCをチェック、だね。
Wikipeidiaは確かに罠アドレスだったけどリロードしたら直ってたので、誰かが修正してくれた模様。

それとテンプレの件、セキュスレと>986のWikiで編集作業やってます。
手の開いてる人の協力をお願いしたい所。
スレが埋まりそうなので、次スレのテンプレは現スレと同じもので依頼した方がよさげだけど……

994 ：(^ー^*)ノ〜さん sage ： 2007/07/25(水) 17:13 ID:/lphdc/e0

>>991
見に行ったら変更が取り消されて元に戻ってたよ。
過去にも3回ぐらい書き換えられては取り消されてるっぽい。

垢ハックアドレスに書き換えた編集者のIPは例によって福建人だな。
よくもまあこんなところにまで…と胸糞悪いやら呆れるやら。

995 ：(^ー^*)ノ〜さん sage ： 2007/07/25(水) 17:22 ID:1g/DSBnN0

番号踏んではないが依頼いってきた、そしてこっちに1回誤爆しちまったorz
ついでに誘導
【一時】新スレ遅延時避難スレ('07/05/17)【誘導】
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1179347203/

996 ：(^ー^*)ノ〜さん sage ： 2007/07/25(水) 17:33 ID:8FZGUwLA0

>>991の件、同一IPユーザーによる改竄と、恐らく同一と思われる別IPの記録を辿って、残っている場合はrevertしてみた。
以下、改竄の行われた形跡のある項目。

利用者名: 222.78.82.107
* リネージュ
* RAGNAROK THE ANIMATION
* ガンホー・オンライン・エンターテイメント

利用者名: 222.78.80.148
* 新潟県中越沖地震
* Template:訃報
* RAGNAROK THE ANIMATION
* ラグナロクオンライン
* TAKAみちのく

単発的な改竄に終わらない可能性も高いし、管理サイドに投稿ブロック依頼、できれば163data.com.cnを対象とした
広域ブロックも検討してもらう方向で動こうかと思う。

997 ：(^ー^*)ノ〜さん sage ： 2007/07/25(水) 17:38 ID:ivXIeZ350

次スレ

アカウントハック総合対策スレ8
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1185352481/l50
http://gemma.mmobbs.com/test/read.cgi?bbs=ragnarok&key=1185352481&ls=50

998 ：(^ー^*)ノ〜さん sage ： 2007/07/25(水) 18:00 ID:6BzbJZEz0

Wikipediaもか・・・あそこはそれなりに厳戒だから対応してくれそうだな。
アクセスログのはっきりとした証拠もあるし。

999 ：(^ー^*)ノ〜さん sage ： 2007/07/25(水) 18:07 ID:N0yQL3A40

ﾊﾊﾊ　　　　　　　　　　　　　　　　　　　　　　　　　　　　　ｲｷﾃﾞｷﾈｰﾖ
　　　∧＿∧　　／￣￣￣￣￣￣￣　　　ﾊﾗｲﾃ- 　　　　　　ｹﾞﾗｹﾞﾗ
　 　（　´∀｀） ＜　糞株下がってる　　　　 　∧＿∧　　 　　　　〃´⌒ヽ　　　　　　　ﾓｳ ｶﾝﾍﾞﾝ
.　　（ つ ⊂ ）　　＼＿＿＿＿＿＿＿　　　（´∀｀ ,,）､　　 　　　（　＿　；）　　　　　　　 ｼﾃｸﾀﾞｻｲ
　 　.）　 ）　） 　　○ 　 ∧＿∧ 　　　　　,, へ,, へ⊂）, 　　　 ＿（∨　∨　）＿ 　　　　∧＿∧　○,
　　（_＿）＿）　 ⊂ ´⌒つ´∀｀)つ　　　 （＿（＿_）_丿　　　　　　し￣￣し　　　　　⊂（´∀｀⊂ ⌒ヽつ
　　　　　　　　　　ﾀｯﾃ ﾗﾚﾈｰﾖ

1000 ：(^ー^*)ノ〜さん sage ： 2007/07/25(水) 18:14 ID:cFU7+pTX0

アカウントハック総合対策スレ8
(p)http://gemma.mmobbs.com/test/read.cgi/ragnarok/1185352481/l50
(p)http://gemma.mmobbs.com/test/read.cgi?bbs=ragnarok&key=1185352481&ls=50

1001 ：１００１ ： Over 1000 Thread

このスレッドは１０００を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。