1- 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001

アカウントハック総合対策スレ8

1 ：L ★ ： 2007/07/25(水) 17:34 ID:???0: アカウントハックに関する情報の集積・分析を目的とするスレです。
被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談は>>2に有る雑談スレを利用して下さい。

・関連＆参考情報アドレス (>>2)
・報告用＆質問用テンプレ (>>3, >>4)
・アカウントハック対応の要点とFAQ (>>5)
・安全対策の簡易まとめ (>>6)

■スレの性格上、誤って危険なURLがそのまま貼られてしまう可能性がある■
■URLを無闇に踏んで回らないこと。報告・相談はテンプレを利用すること■

※ ID/Pass/サーバ/キャラ名等の情報は公開しないでください
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません
※ ネタや程度を超えた雑談・脱線はご遠慮ください

・スレ立て依頼は>>970がしてください。反応がなければ以降10ごとに。
2 ：L ★ ： 2007/07/25(水) 17:34 ID:???0: 【一般的話題用】
セキュリティ対策、質問・雑談スレ2
　http://enif.mmobbs.com/test/read.cgi/livero/1177485590/

【過去スレ】
アカウントハック総合対策スレ7
　http://gemma.mmobbs.com/test/read.cgi/ragnarok/1177507128/
アカウントハック総合対策スレ6
　http://gemma.mmobbs.com/ragnarok/kako/117/1173963316.html.gz
アカウントハック総合スレ 5
　http://gemma.mmobbs.com/ragnarok/kako/117/1170419695.html.gz
アカウントハック被害報告スレ4
　http://gemma.mmobbs.com/ragnarok/kako/116/1164984508.html.gz
アカウントハック被害報告スレ3
　http://gemma.mmobbs.com/ragnarok/kako/116/1160787177.html.gz
アカウントハック被害報告スレ2
　http://gemma.mmobbs.com/ragnarok/kako/114/1147966576.html.gz
アカハック被害報告スレ
　http://gemma.mmobbs.com/ragnarok/kako/107/1075385114.html.gz

【参考アドレス】
・ROアカウントハック報告スレのまとめ？サイト
　http://sky.geocities.jp/vs_ro_hack/
・安全の為に (BSWikiより)
　http://smith.xrea.jp/?Security
・リネージュ資料室 (応用可能な情報が多数)
　http://lineage.nyx.bne.jp/

【このスレでよく出てくるアプリケーション】
・PeerGuardian2
　http://sky.geocities.jp/vs_ro_hack/pg2.htm

【PCにウィルス対策ソフトを導入してない方へ】
・Kaspersky Internet Security 試用版
　http://www.just-kaspersky.jp/products/try/
・カスペルスキー：オンラインウイルス＆スパイウェアスキャナ
　http://www.kaspersky.co.jp/scanforvirus/
・NOD32アンチウイルス体験版
　http://www.canon-sol.jp/product/nd/trial.html
3 ：L ★ ： 2007/07/25(水) 17:35 ID:???0: 【投稿の際の注意】
・アカハックアドレスはMMOBBSでは禁止単語になっています。
　加えて、誤クリックによる感染を防ぐ為にそのようなアドレスは
　.(ドット)を別の文字に置き換えて報告して下さい (■がよく使われています)
・質問前後にテンプレ等を見て知識を深めると更にGoodです
・回答者はエスパーでは有りません。情報は出来るだけ多く。提供した情報の量と質
　に応じて助言の量と質は向上します
・結局は本人にしかどうにも出来ない事を忘れてはいけません

----------報告用テンプレ----------
● 実際にアカウントハックを受けた時の報告用

【　　　気付いた日時　　　　　】 (被害に気付いた日時)
【不審なアドレスのクリックの有無　】 (blog/bbs/Wiki等で踏んだ記憶の有無とそのアドレス)
【他人にID/Passを教えた事の有無】 (Yes/No)
【他人が貴方のPCを使う可能性の有無】 (Yes/No)
【　　ツールの使用の有無　　　】 (Yes/No、Yesの場合はそのToolの説明)
【　ネットカフェの利用の有無　　　】 (Yes/No)
【　　　 OS　　】 (SP等まで書く)
【使用ブラウザ】 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【　アンチウイルスソフト】 (NortonInternetSecurity2007 等)
【その他のSecurty対策】 (Spybot S&D、ルータ、等)
【ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見等)
【スレログやテンプレを読んだか】 (Yes/No/今から読みます)
【hosts変更】(有/無　[有りの場合は最終更新は何時ごろか])
【PeerGuardian2導入】(有/無 [有りの場合は参照元サイトはどこか)
【説明】
(被害状況を詳しく書く)
4 ：L ★ ： 2007/07/25(水) 17:35 ID:???0: ● 怪しいアドレス？を踏んだ時用

【　　アドレス　】 (ドット(.)を■等で置き換える事。h抜き等は駄目)
【気付いた日時】 (感染？に気付いた日時)
【　　　 OS　　】 (SP等まで書く)
【使用ブラウザ】 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【　アンチウイルスソフト】 (NortonInternetSecurity2007 等)
【その他のSecurty対策】 (Spybot S&D、ルータ、等)
【ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見等)
【スレログやテンプレを読んだか】 (Yes/No/今から読みます)
【hosts変更】(有/無　[有りの場合は最終更新は何時ごろか])
【PeerGuardian2導入】(有/無 [有りの場合は参照元サイトはどこか)
【説明】
(『怪しいアドレス』との判断した理由、症状を詳しく書く)
5 ：L ★ ： 2007/07/25(水) 17:35 ID:???0: 【アカウントハック対応の要点とFAQ】
以下は要点となります。詳細な物は BSWikiの『安全の為に』が参考になると思われます。

● 『アカウントハックアドレスを踏んだ』もしくは『ウィルスが見つかった』場合
　1) 速やかに感染PCのネットワークケーブルを外す
　2) 『安全な環境』から諸々のパスワードを変更
　3) ウィルス駆除もしくは OSのクリーンインストールやPCの再セットアップを行う

注)
　・安全確認されるまでNetworkに接続・ROクライアント起動・公式にログインは厳禁
　・各種メッセンジャーソフトやメールクライアントの起動も避ける
　・変更するべき物は以下のとおり
　　『GungHo-IDパスワード』『アトラクションIDパスワード』『キャラパスワード』『メールアドレス』
　・アンチウイルスソフトの過信は禁物。自信がなければ再セットアップを第1選択枝とする事
　・対応は慎重かつ迅速に行う事。早期に対応できればアカウントハックを防げる確率が上がる

● 関連FAQ
・『安全な環境』ってどんな物？
　　ウイルスの感染が無いと思われる環境です。別PCや据置型ゲーム機、1CD Linux等が挙げられます。
　　インターネットカフェ等不特定多数が使用する環境は危険性の高い環境です。
　　また知人友人のPCもインターネットカフェ並の危険があるものと考えるべきです。
　　信頼できる友人にパスワード変更を依頼するのは最後の手段であり、安全な環境を
　　構築次第、再度パスワードを変更しましょう。
・オンラインウイルススキャンをしたいんだけど、やっぱりネットにつないじゃ駄目？
　　駄目です。
・アンチウイルスソフトでウイルスが見つからないのでもう大丈夫だよね？
　　100％の保証は出来ません。ウィルスが見つからなかった場合、チェックに使った
　　アンチウィルスソフトでは発見出来なかっただけです。本当にウィルスが居ないのか、
　　それとも検知を免れているだけなのかは判りません。
　　自信が無い場合はHDDをフォーマットの上、PCの再セットアップを考えるべきです
・1CD Linuxってなに？
　　CDを入れてPCを起動するだけでLinux環境が起動しちゃうというものです。
　　ある意味クリーンインストールに近い状態なので汚染はゼロといえますし、
　　そもそもWindowsではないのでアカウントハックウイルスも働きません。
　　大概はWindows類似のデスクトップ環境やWebブラウザも組み込まれているので
　　パスワード変更作業くらいなら問題なく出来ます。
　　"KNOPPIX" や "Ubuntu"が人気が有ります。
6 ：L ★ ： 2007/07/25(水) 17:36 ID:???0: 【安全対策の簡易まとめ】
以下は要点となります。higaitaisaku.comさんの『被害対策』→『転ばぬ先の杖』
(http://www.higaitaisaku.com/korobanu.html)が参考になるでしょう。
『ROアカウントハック報告スレのまとめ？サイト』や
BSWikiの『安全の為に』も参考になると思われます。

●基本
　・定期的なMicrosoftUpdate及び、各種ソフト(各種Player、Reader等)のアップデート
　・アンチウイルスソフトの導入とウイルス定義ファイルの積極的な更新
　・パーソナルファイアウォールソフトの導入
　・アドレスをホイホイ踏まない。よく確認する
　・出所の怪しいプログラムやスクリプトを実行しない

●応用
　・IEの使用を止め、他のブラウザに乗り換える(Firefox、Opera)
　・IEコンポーネント使用のブラウザを使う(セキュリティ設定が容易な物が多い)
　・信頼できるSite以外ではスクリプトやActiveXを切る
　　：インターネットオプションのセキュリティの部分で設定可能
　・偽装jpg対策(IE7とIE6SP2限定。IE6SP1以前では出来ない)
　　：インターネットオプション→セキュリティ→レベルのカスタマイズ
　　　→「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする
7 ：Wikiかんり ◆Ymlphaz5wQ sage ： 2007/07/25(水) 18:46 ID:cFU7+pTX0: 業務連絡です。
FrontPageを編集しようとしてくれたけど、白画面になって登録できなかった
方は対策しましたのでお手数ですが再度お試しください。

原因
PukiWiki公式の spam.ini.phpには DynamicDNS系のドメインも登録
されており、標準ではそのカテゴリは無効に設定されています。

こちらでは試験的にそれらもブロック対象として有効に設定
しているため、どこかの時点で加えられた '*.bne.jp', も
拒否されるようになりました。

よって、そのサブドメインであるリネージュ資料室さんの
URLを含む文書は編集不能になっていました。

対策
リネージュ資料室さんのURLをホワイトリストに登録。
8 ：(^ー^*)ノ～さん sage ： 2007/07/25(水) 18:56 ID:ivXIeZ350: >7
リネ資料室さんのurlを含んだ状態で更新出来る事を確認しました。
設定変更、助かりました。

というか、更新失敗するたびに[blocked]なメールが飛んでたわけね……
9 ：(^ー^*)ノ～さん sage ： 2007/07/26(木) 00:18 ID:Y5BwX3kI0: 前スレ996の件、とりあえずWikipedia.jaの管理者伝言板に依頼完了。
後は、管理者側のアクション待ち。

それにしても、新潟県中越沖地震のページにまで仕込むなど、連中もいよいよ、ページビューの多いだろう所を狙って
オンラインゲームユーザー以外も無差別に標的にし始めたのだろうか。
前スレで出ていたモーニングスターは投信アナリスト業務だし。最近は株やFX取引も自動ツールを使ったデイトレが
流行っているから、仮にそのあたりのアカウントが抜かれたら、ゲーム内資産とは比較にならない損害が生じるな。
10 ：(^ー^*)ノ～さん sage ： 2007/07/26(木) 00:51 ID:L9nay3zd0: >>9
乙
連中が改竄した部分で、まだ罠リンクが残ってたところは正しいリンク先に戻しておいた。
てか、把握してないだけでまだあるんだろうな…

罠の仕掛け先に関しては手当たり次第か何も考えてない気がする。
訃報のテンプレートとかTAKAみちのくとか、流石にわけわからん。
11 ：(^ー^*)ノ～さん sage ： 2007/07/26(木) 05:37 ID:CNcDMHgF0: 大分前にも言われたと思うけれど
奴らの手段の選ばない傾向がこれ以上進行すると
もうRO板のスレじゃないような状況になっていくよな・・・

最近セキュ板に迷い込んだような気になるから困る
12 ：(^ー^*)ノ～さん sage ： 2007/07/27(金) 21:30 ID:XWDdjj5tO: 装備もzenyももたなきゃ安心
13 ：(^ー^*)ノ～さん sage ： 2007/07/28(土) 22:06 ID:MEomKujM0: 福建人の新ドメイン、すでに攻撃に使われている。
/lineage/に罠がある、難読化されているが恐らくはMaranの呼び出しだろう。

Domain Name ..................... nlftweb■com
Registrant Name ................. zhiqiang lin
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 610000
Registrant Country Code ......... CN
Expiration Date ................. 2008-07-21 05:24:59
14 ：(^ー^*)ノ～さん sage ： 2007/07/29(日) 19:47 ID:6W/074Ld0: ROのアカウントハックってRO起動中に変なページ飛ぶとやられるの？
RO起動してなきゃOKとかある？

この間、ハックされたんだけど、一つのアカウントを
複数のPCで日によって使い分けてやってるんだ。
で、PC①ではかれこれ３週間くらい起動・ログインしてなくて
PC②ではときどき繋いでた。こういった場合、PC②になんらかの
ウィルスが感染してると考えたほうがよい？
15 ：(^ー^*)ノ～さん sage ： 2007/07/29(日) 19:50 ID:e3L/uJac0: >>14
その話題ならこっちの方が良いぞ

セキュリティ対策、質問・雑談スレ2
ttp://enif.mmobbs.com/test/read.cgi/livero/1177485590/
16 ：(^ー^*)ノ～さん sage ： 2007/07/29(日) 20:33 ID:EtnSGQ/+0: >14
取りあえずテンプレを埋めて欲しい。

で、簡単に言うとどっちのPCも怪しい。
PASS抜かれて即ハクられるのか、期間をおいて盗みに来るのかは
ハク犯次第だろうし、PC1の方で盗まれた情報が今になって被害に
至ったという可能性だって十分ある。
17 ：(^ー^*)ノ～さん sage ： 2007/08/03(金) 16:08 ID:4yLV1jK20: 知り合いのBlogに書き込まれていたハクアドレス２つ
リンク先は共に既知のアドレスで、まとめサイトにも掲載済み。

ttp://csfir■blog87■fc2■com/
→ ttp://www■getamped-garm■com/a2gua/index■htm

ttp://nikang■blog79■fc2■com/
→ ttp://www■gameurdr■com/a2gua/index■htm

他にもあるかもしれないけど、危険アドレスが出たので調査終了。

というかリンク先の罠スクリプト、解読する気が起きないというか
今までに無いタイプっぽい。
パっと見、md5の変換やらかけてるようだが……
18 ：Wikiかんり ◆Ymlphaz5wQ sage ： 2007/08/03(金) 21:18 ID:69FBoJwQ0: >>17
Firebugに見せてあげるとお手軽簡単です。

ややこしいことしてますが、最終的には
http://www.gameurdr■com/a2gua/t1.exe
このあたりが実体のようですね。

Microsoft.XMLHTTP という文字列も見つかるので、
感染させる手段は従来通りっぽい雰囲気です。

関連サイト: cs.cskick■cn
19 ：(^ー^*)ノ～さん sage ： 2007/08/03(金) 21:19 ID:69FBoJwQ0: >>18
あわわ。
名前欄は見なかったことにしてください。
20 ：(^ー^*)ノ～さん sage ： 2007/08/03(金) 22:00 ID:B+xCmvCO0: >>18-19
いつも乙です。
話は変わって、rowiki.jpの全職業wikiリダイレクトとか、如何なものでしょうか。
quest.rowiki.jpの件を提案したときも、URIが変わることによる危険性を懸念したが故でしたので。
dnsクエリの総数自体は増えるでしょうが、それも主に最初の一回がメインでしょうし、vvindowsのようなtypo-squattingが
このところ増加傾向なので、連中がその流れに乗る前に手を打つという意味でも。
21 ：(^ー^*)ノ～さん sage ： 2007/08/04(土) 21:19 ID:33eTx7P10: >>7
ttp://pukiwiki.sourceforge.jp/dev/?%B3%AB%C8%AF%C6%FC%B5%AD%2F2007-07-29#i537f174
22 ：(^ー^*)ノ～さん sage ： 2007/08/04(土) 22:31 ID:FOgtqhVX0: なんか言えよ。言えよぅ
23 ：Wikiかんり ◆YmlphaDS/s sage ： 2007/08/05(日) 03:15 ID:5VG6blrv0: キャップ変わってますが本物です。

>>20さん
それについては rowiki.jpを取得した当時から検討してはいるのです。
けれどもいくつかの事情もあって実行には至っていません。
今後も他の管理者さんと相談の上で、進めていこうと思っています。

理由の一つを説明しておきますと、
受け側での対応が不要なリダイレクト(mod_rewriteなど)で実装した場合、
必ず www.rowiki.jpを経由するので、そのサーバが落ちている場合(毎週
数時間程度メンテのために落としてます)、飛び先が生きていたとしても
そのURLではアクセスができません。耐障害性に問題ありすぎです。

ほとんどの場合受け側での対応が必須なDNSでの転送であれば、セカンダリDNS
で対応することができるので、リダイレクトでの問題は回避できます。

なお、現状のrowiki.jpのセカンダリネームサーバがネットワーク的に近い
という問題は近日中に解消される予定です。

>>21さん
弓手方面では先月中に試してます。しかし1.4.7に適用するには修正箇所が
多岐にわたるので、今はそこまでやる余裕がないので保留しています。

それに、これはチェックツールのお話ですから。
連絡会内で spam.ini.php採用しているところは、相当品になるチェック
ツールをPukiWiki開発チームより提供を受けていますので困ってないのです。
24 ：Wikiかんり ◆YmlphaDS/s sage ： 2007/08/05(日) 03:30 ID:5VG6blrv0: >>23 自己フォロー
キャップじゃなくてトリップでした。

それはともかく
PukiWiki1.4.7のリリースからはかなり時間開いていますので、
spam関係のファイルをただ追加するだけでは動きません。

spam対策の機能を使いたいと思った 1.4.7までの PukiWiki採用
サイトさんはスナップショット版をインストールして環境設定した後、
既存Wikiからデータをインポートするのが確実で簡単だと思います。
# 今のところこれが公式のアップデート方法です。

1.4.7用のパッチ類はそのままじゃ当たらないのが多いと思いますので
その辺は何とかしていただかないといけませんが。
25 ：(^ー^*)ノ～さん sage ： 2007/08/05(日) 03:35 ID:GI5a+Dmp0: キャップ？(・ω・)
26 ：(^ー^*)ノ～さん sage ： 2007/08/05(日) 03:36 ID:GI5a+Dmp0: リロード忘れ…、トリ変わっちゃったら結構問題かもなのでお気をつけくだされ～
27 ：(^ー^*)ノ～さん sage ： 2007/08/05(日) 09:29 ID:RLLJNuE40: キャップかわってますが本物です

本物なんだろうけどさ…
なんの証明にもならないと思うんだけど？
前のトリで書き込んで同じIDでトリ変えます
ならまだしも何をしたいのかわかんない
なんでトリかえたのさ？
28 ：(^ー^*)ノ～さん sage ： 2007/08/05(日) 10:16 ID:CPOsqTIQ0: 突っかかる意味も無いと思うが？
29 ：(^ー^*)ノ～さん sage ： 2007/08/05(日) 10:19 ID:QFrdbKD/0: 証明方法としては、当人にしか更新できない場所に
既に記載されているってやつなんじゃないの？

ttp://hunter.rowiki.jp/ の右下とかさ。
30 ：(^ー^*)ノ～さん sage ： 2007/08/05(日) 22:30 ID:S/fN5IPV0: 何がそこで一番重要か見極めるのは簡単な事じゃないけど、そう難しいことじゃないと思うな。

さて、中国・Maranの名が出ていたのでちょっとちがうとこのだけどリンク。
http://game11.2ch.net/test/read.cgi/game/1186022128/376

検体が提出されてないのか殆どのソフトがスルー。しかも投稿によると
カスペやNOD32にターゲットを絞っているのでは、と。
さらに、その起点のサイトはどうもクラックされているかもという雰囲気。
福建省族ではないようですが、何の情報を盗むんでしょうね。怖くていかんわー。
31 ：(^ー^*)ノ～さん sage ： 2007/08/06(月) 05:52 ID:GgypTYzF0: tj9viewer.dll
MS5
0B4FFBD1E54E68C50D3F2AFCAEE6DEFD
SHA-1
893F4050F8D33B68BB89CA03E7953F594E90CB06
このファイルが
シマンテック・セキュリティチェック
トレンドフレックスセキュリティ：オンラインスキャン
マカフィー - ウイルス対策と侵入防止ソリューション
日本F-Secure株式会社 - 無償ウィルス検査
で検出されなかった
ウィルスのsvchost.exeも検出されなかった
しかもハッシュチェックする前に消してしまったorz
32 ：31 sage ： 2007/08/06(月) 06:33 ID:GgypTYzF0: カスペルスキーオンラインスキャンが抜けてました
33 ：(^ー^*)ノ～さん sage ： 2007/08/06(月) 08:34 ID:VGHWQzMZ0: >>30
取り敢えず、見に行ってNOD32すり抜けを確認。そんな訳でセキュスレのリスト一式に報告してきた。対応待ち。

>>31
入手経路とかの予測もできない？
誰かが見付けて報告し、パターンが更新されますように。(-人-)ﾅﾑﾅﾑ
34 ：(^ー^*)ノ～さん sage ： 2007/08/06(月) 15:43 ID:VGHWQzMZ0: >>30
新種なので次のパターン更新で対応するそうな。＞カスペ

>dmoz.exe_ - Trojan-PSW.Win32.Nilage.aza,
>flash.js_ - Trojan-Downloader.VBS.Psyme.hp,
>winzip.exe_ - Trojan-PSW.Win32.Maran.ey
35 ：(^ー^*)ノ～さん sage ： 2007/08/06(月) 17:44 ID:L9z+LwPN0: >>30
gesaab■com
ソニーのbit-drive。…ん? bit-drive? たぶん qsmoviex■com の奴だ。
bit-driveは先月こいつの件で散々メールやり取りしても埒が明かず
すっかりやる気なくしたので放置します。It's a SONY.
36 ：(^ー^*)ノ～さん sage ： 2007/08/07(火) 14:17 ID:Kr/QShCh0: 【　　アドレス　】 http://egg■maidx■net/src/egg4343.jpg
【気付いた日時】　踏んだのはつい30分ほど前
【　　　 OS　　】 XPpro
【使用ブラウザ】 IE7
【WindowsUpdateの有無】 1週間ぐらい前
【　アンチウイルスソフト】マイシールド
【その他のSecurty対策】 Ad-Awareが入ってた気がします
【ウイルススキャン結果】オンライン・オフラインともに特に引っかからず
【スレログやテンプレを読んだか】一応読みました
【hosts変更無
【PeerGuardian2導入】無
【説明】特に今のところ怪しい症状はないです、ROメンテ中ですし

RO2の画像ということで踏んだら転送されてしまいました
画像は見れたのですがこれはひょっとしてやらかしちゃったんでしょうか
とりあえず踏んだPCはLAN引っこ抜いて放置してあります
ソースチェッカーでも安全度70%とか微妙な数字が出て判断に困るのでお聞きしたいです

すいません知識ないボンクラで(´・ω・｀)
37 ：(^ー^*)ノ～さん sage ： 2007/08/07(火) 14:28 ID:0rfKfjI10: >>36
egg4343.jpgをＤＬ、カスペに掛けた

画像が精神衛生上よくないだけでファイルそのものは問題なしｗ
38 ：(^ー^*)ノ～さん sage ： 2007/08/07(火) 14:28 ID:8V9T+yvr0: >>36
別に問題ないと思われる。
転送って何のこと？
39 ：(^ー^*)ノ～さん sage ： 2007/08/07(火) 14:34 ID:Kr/QShCh0: >>37
>>38
了解しました、ありがとうございます

jpgクリックしたのに広告つきのページに飛んだから転送だと思ったんですｐｑ
40 ：(^ー^*)ノ～さん sage ： 2007/08/07(火) 15:48 ID:hJdp8peQ0: >>39
>>6

●応用
　・偽装jpg対策(IE7とIE6SP2限定。IE6SP1以前では出来ない)
　　：インターネットオプション→セキュリティ→レベルのカスタマイズ
　　　→「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする

テンプレのこれ、お勧め。
41 ：(^ー^*)ノ～さん sage ： 2007/08/07(火) 16:31 ID:0Wskr6+t0: >>35
qsmoviexの時も bit-driveって話になっていた気もしますが、

%dig www.gesaab■com
| ;; ANSWER SECTION:
| www.gesaab■com. 50 IN A 61.195.146■190

%whois 61.195.146■190
| inetnum: 61.195.146.176 - 61.195.146.191
| netname: ANNNETWEB
| admin-c: JT991JP

%whois -h whois.nic.ad.jp JT991JP
| Contact Information: [担当者情報]
| a. [JPNICハンドル] JT991JP
| f. [組織名] 株式会社アンネット
| g. [Organization] AnnNet Co.,LTD.

結果はてきとーに省略しています。

以上の結果から、このあたりのサービスを使っているんじゃないかなと。
http://21-domain.com/?m=20
なのでクレーム付ける先もこちらが適当なんじゃないかと思います。
応答はありませんでしたが qsmoviexの時にはクレームメール送ってます。

# 以前調べたとき、bit-drive回線どうこうという記述を読んだ
# 気もしますので上流は bit-driveなのかもしれません。

(ツッコミ入れる場合の参考)
| ■21companyグループサービス規約（総合規約）
| * 第２３条（自己責任の原則）
| 3. 会員は21companyのサービスを利用するに当り以下の行為をしないものとします。
| （1）公序良俗に反する行為
| （2）犯罪的行為に結びつく行為
| （5）その他、法律に反する行為
| （8）サービスの運営を妨げ、或は21companyの信頼を毀損するような行為（スパム行為・過大なデータ転送・自動処理・遠隔による負荷）
| （9）法律、条例または命令等に抵触すると判断される行為
42 ：(^ー^*)ノ～さん sage ： 2007/08/07(火) 17:08 ID:hJdp8peQ0: >>30
Nortonからの検体調査結果報告からすると、RO関係してるかも。
NOD32も報告はないけど検知するようになってるし検体提出した価値はあったかもしれん。
RO以外のところにも貼りまくってる業者のものかもね。報告GJでした。

filename: winzip.exe
machine: Machine
result: This file is detected as Infostealer.Okarag. http://www.symantec.com/avcenter/venc/data/infostealer.okarag.html

filename: dmoz.exe
machine: Machine
result: This file is detected as Infostealer.Gampass. http://www.symantec.com/avcenter/venc/data/infostealer.gampass.html
43 ：(^ー^*)ノ～さん sage ： 2007/08/08(水) 23:19 ID:hYLaAHYl0: 最近jpgも危ないと言う話を聞いたのですが、踏んだだけで危ないのですか？
転送されなければ大丈夫、と言うイメージを持っています。
44 ：(^ー^*)ノ～さん sage ： 2007/08/09(木) 00:02 ID:QLlT5NSZ0: 何処ぞのURLを張られてその最後がjpgの場合、
それはhtmlの拡張子をjpgに変えただけのものの場合がある。アプロダが使用される場合が多い。
これがちょい前によく流行った偽装jpgって言う奴で、勿論gifでもbmpでもなんでもできる。
んで、そのhtmlがアカハックへの転送ものの場合にまずい事になる。
勿論落としたりして保存したwクリックしても同じ事。こうなると踏んだら終わりとも言える。

最近と言うかかなり前から死ぬほどやられている手口。
対処方法とかその辺は過去ログやまとめサイトなどで調べてくれ。
45 ：(^ー^*)ノ～さん sage ： 2007/08/09(木) 01:21 ID:YpW5hXeA0: >>43
転送されたように見えない（気付いていないだけ）場合もある。
ケースバイケースなので、危ない場合もあると覚えていて欲しい。そして、その手の話題はセキュスレへ行こうな。
46 ：(^ー^*)ノ～さん sage ： 2007/08/09(木) 02:17 ID:mcvOuF6H0: FFXIの板で見つけたドメイン。
imbbs2t4u■com
IPはmbspro6uic■comと同一。

爆撃例その1
www■imbbs2t4u■com/imbbs/
↓
www■imbbs2t4u■com/imbbs/mbb.htm
↓
www■imbbs2t4u■com/imbbs/imbbs.htm
↓
www■mbspro6uic■com/imbbs/naizi.exe
ありふれたUpack圧縮のMaranでした。

爆撃例その2
www■mbspro6uic■com/linkgss/
↓
www■imbbs2t4u■com/linkgss/imbbs.htm
↓
www■imbbs2t4u■com/linkgss/imbbs.htm
↓
www■mbspro6uic■com/linkgss/naitt1.exe
ダウンローダ? NSPack圧縮。

別なホスト名を使うことで「mbspro6uic■com」へのブロックを
回避しようとしているんだろうか(IPで止めちまえば関係ないけど)。
47 ：(^ー^*)ノ～さん sage ： 2007/08/09(木) 08:09 ID:YpW5hXeA0: >>46
P2Gで中国ブロックしてると、そのサイトへのアクセスできなかったな。
やっぱりhostsとPG2は併用がいいね。

Kaspersky
naitt1.exe : Trojan-Downloader.Win32.Delf.bpm
naizi.exe : Trojan-PSW.Win32.Maran.ff

NOD32
naitt1.exe : Win32/PSW.Lineage.ACN Trojan の亜種（自動提出）
naizi.exe : Win32/PSW.Maran.FF
48 ：(^ー^*)ノ～さん ： 2007/08/09(木) 10:41 ID:sEHmWioN0: jpg偽装怖いな・・・
これからRO2はじまるから増えそうだよ・・・

ところで画像偽装は2chとかなら専ブラの画像ポップアップ機能使えばいくらか防げる？
ポップアップでも無駄？
49 ：(^ー^*)ノ～さん sage ： 2007/08/09(木) 12:07 ID:qimcnSHBO: 【アド】http://nekomimi■ws/~ro/img/1021■jpg

【場所】２ちゃんねる半角二次元ＲＯスレ
【踏んだ日】昨日の19時頃
【アンチウイルス】キングソフト
【スキャン結果】ローカルディスク異常なし

【備考】
専ブラ(jane)でのサムネ表示のアクセス

この手のに疎いので頼みますorz
50 ：(^ー^*)ノ～さん sage ： 2007/08/09(木) 12:20 ID:xbBmsmi60: >>1 ※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません
51 ：(^ー^*)ノ～さん sage ： 2007/08/09(木) 13:09 ID:PGMeyWoJ0: 見てんじゃんｗ
52 ：(^ー^*)ノ～さん sage ： 2007/08/09(木) 13:14 ID:YyHxXGo20: 解説しろとスレ住人に丸投げしてるのが嫌われてるわけだろ
53 ：(^ー^*)ノ～さん sage ： 2007/08/09(木) 13:32 ID:yiBUfQ7+0: >43
×最近jpgも危ない
○以前からどんなファイル形式でも危ない
Flashも脆弱性が見つかってたし、Lhacaのように脆弱性が見つかったりするし。

対策としては、各種ニュースサイトとかでセキュリティ情報には目を光らせておいて
各種ソフトのパッチ・新Verが出たら(内容確認して)当てる事、かな。
>48
IEとかの脆弱性を突くタイプだとヤバい事もある。
表示自体はサムネイルでも、動作的には
ファイルをDL→展開して内部的に表示→(感染)→サムネイル作成→表示
という動きをするので危険。

既知の脆弱性ならパッチで防げるが、ゼロディで喰らうとヤバい。
54 ：(^ー^*)ノ～さん sage ： 2007/08/09(木) 13:37 ID:P4cfWFVm0: IEのContent-Type軽視仕様が、災いしているのは否めないが。
ttp://d.hatena.ne.jp/hasegawayosuke/20070801/p1
ttp://d.hatena.ne.jp/boscono/20070805
>Internet Explorer の悪名高い Content-Type: 無視という仕様を利用すると、
>Atom や RDF/RSS を利用してXSSを発生できることがあります。
55 ：(^ー^*)ノ～さん sage ： 2007/08/09(木) 14:53 ID:sEHmWioN0: >>49
とりあえず鑑定してもらってきたよ
というかアドレスになんとなく見覚えがあったので俺も不安に鑑定してもらったんだが・・・
↓鑑定結果

Hacked By Eshki-Eric-Ne Mutlu T・k・ Diyene !!!
と出ます。なんか不気味。当方環境では無害でしたが見る価値無し。
ただのいたずらページでしょう。(画像無し・趣味の悪い英数を組み合わせた文字が出てくるだけ)
アラートオープン使ってるだけだと思いますが踏むのはやめたほうがいいと思います。
56 ：(^ー^*)ノ～さん sage ： 2007/08/09(木) 15:45 ID:YpW5hXeA0: >>55
ついでのカーソルファイルも読み込ませられるな。

カスペもNOD32もスルーするので、多分、ただのいたずらではあるが、開かない方がいい。
ファイルが差し替えられたら（WindowsUpdateかけてないと引っ掛かる)悪意のあるものに
進入される可能性がある。

>>40をやってあれば、表示に失敗してくれる。
57 ：(^ー^*)ノ～さん sage ： 2007/08/09(木) 18:35 ID:jJg3T0sr0: >>40
テンプレに名前だけは出てるけど
Firefoxでこれはやっておけっていう設定はある？
58 ：(^ー^*)ノ～さん ： 2007/08/09(木) 18:59 ID:QLlT5NSZ0: メッセンジャー経由で感染するウィルス

gigazineにも記事来た。
ttp://gigazine.net/index.php?/news/comments/20070808_messenger_worm

ttp://pc11.2ch.net/test/read.cgi/sec/1185780001/
2chセキュ板。

結構感染被害も凄いらしく、まだ感知しないアカハック臭い亜種もあるらしいので警告age
59 ：(^ー^*)ノ～さん sage ： 2007/08/09(木) 19:55 ID:mcvOuF6H0: >>56
gifとcurを見たけど無害だね。
動くとすりゃJavaScriptのブラクラなんじゃないかな。

>>58
LiveROに書いたけどKasperskyやNortonは見つける。
60 ：(^ー^*)ノ～さん sage ： 2007/08/10(金) 12:13 ID:QEH0KwW60: >>58
これ送られてきたんでWinRARで中身見てみたら
scrだったから開かないでそのままファイル削除したんだけどさ
感染してないよね？今になって不安になってきた
61 ：(^ー^*)ノ～さん sage ： 2007/08/10(金) 14:28 ID:7/F5KhYJ0: 実行していないと断言できるなら感染していない。
62 ：(^ー^*)ノ～さん sage ： 2007/08/11(土) 02:21 ID:6oHSiP1S0: ヘルプデスク返信を待っていたら報告が遅れました。
【　　　気付いた日時　　　　　】8/8 21時ごろ
【不審なアドレスのクリックの有無　】アサシンwiki MMOBBS RMC ROM776 ROクエスト案内書
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【　　ツールの使用の有無　　　】 No
【　ネットカフェの利用の有無　　　】 Yes(ですが今年5月以来入っていません)
【　　　 OS　　】 winXP home edition SP2
【使用ブラウザ】 sleipnir 2.5.15
【WindowsUpdateの有無】 8/2 16；04
【　アンチウイルスソフト】 Avast!　v4,7 home
【その他のSecurty対策】 spybot-S&D　Ad-aware2007　ルータ有
【ウイルススキャン結果】上記avast!とｳｨﾙｽﾊﾞｽﾀｰ試供品とカスペルスキー試供版でも検出されず
【スレログやテンプレを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
盗られたのは所持金20M少々と一部装備（相場が約100k以下の物、露店でかなり売れにくいと思われる物は盗られていません）
また倉庫も100k以下の物は盗られていませんでした。（エルオリ等は各約300個所持していますが無事でした）
キャラパスは変更なし。
また3つの鯖で遊んでいるのですが、全ての鯖において上記の様な盗られ方でした。
全てのキャラクターがプロンテラ街中(119.88)に移動しており、その周辺が溜り場と思われるGの方に聞いて
みましたが特に変な人は居なかったそうです。

初めての投稿なので不備がありましたら、また追記させていただきます。
63 ：(^ー^*)ノ～さん sage ： 2007/08/11(土) 02:49 ID:4hPcAx9Z0: >>62
自分のＰＣでは垢ハック踏んでない可能性が高い（検出されない）のに盗まれたというのは不思議だね。
ネカフェで盗まれたパスが今使われた可能性もあるけど、ネカフェ利用時と現在の間でパス変更を
行なったことはあるの？
64 ：(^ー^*)ノ～さん sage ： 2007/08/11(土) 03:11 ID:6oHSiP1S0: >>63
あります。キャラパスの変更は行っていませんが、ログインパスワードの変更のみ行いました。

ネットカフェは個室を利用し、そのお店ではPCの電源を入れるたびに初期設定に戻る仕様になっています。
また離席はほとんどしておらず、不審者が入ったことはないと思われます。
65 ：(^ー^*)ノ～さん sage ： 2007/08/11(土) 03:12 ID:jEvXvzz10: 個室だろうとリセットされようと何か仕掛けられてたらって可能性があるのが今のネカフェ
66 ：(^ー^*)ノ～さん sage ： 2007/08/11(土) 03:13 ID:JbX5ISWe0: >>65
それって経営側が仕込まないと無理じゃない？
67 ：(^ー^*)ノ～さん sage ： 2007/08/11(土) 03:17 ID:LPFz2R6K0: >>64
重要な部分だから確認のため聞くけど、ネカフェ利用後に自宅でパス変更したの？
68 ：(^ー^*)ノ～さん sage ： 2007/08/11(土) 03:19 ID:4hPcAx9Z0: あとは、過去になんらかのスパイウェア・トロイ・リスクウェアを検出し、除去した履歴があるかどうか。
69 ：(^ー^*)ノ～さん sage ： 2007/08/11(土) 04:19 ID:KKlHbfkp0: 返信が遅れて申し訳ありません。

>64を書き込んだ後にもう1度avast!とカスペルスキー試供版でスキャンしてみたところ。
トロイOnlinegames.afjが見つかりました。恐らくこれが原因かと思われます。
もう1度スキャンとPassの変更などを行い、今回の失敗を活かして今後とも気をつけます。

このような深夜にたくさんの方々にご心配とご迷惑をおかけした事を深くお詫び申し上げます。
相談を親身に聞いていただきありがとうございました。
明日の事があるのでお先に失礼いたします。本当にありがとうございます。
70 ：(^ー^*)ノ～さん sage ： 2007/08/11(土) 04:22 ID:s/nAcxAN0: >>69
パスはちゃんと安全な状況になってから変えるんだぞ。
かかった状態でやると垢ごと持って行かれかねいないから。

後は警察への届とかあるだろうけど悔しさを糧に頑張れ！
71 ：(^ー^*)ノ～さん sage ： 2007/08/11(土) 16:40 ID:ua2OR7S70: 【　　　気付いた日時　　　　　】 8/10　午前11時半頃
【不審なアドレスのクリックの有無　】 www■interzq■com/bbs/
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【　　ツールの使用の有無　　　】 No
【　ネットカフェの利用の有無　　　】 No
【　　　 OS　　】 Windows XP home edition SP2
【使用ブラウザ】 Internet Explorer 6.0
【WindowsUpdateの有無】 8/10の8時頃
【　アンチウイルスソフト】無し
【その他のSecurty対策】無し
【ウイルススキャン結果】 Trojan-PSW.Win32.Maran.ff
【スレログやテンプレを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
新しくパソコンを購入し、対策などをする前にURLを踏んでしまいました。
午前10時頃に一度ログアウトをし、11時半頃にログインしようとした所
キャラセレクト画面で、頭装備がありませんでした。
しかもログインすると、プロンテラのカプラ職員で移動で出る上辺りにいて
見知らぬノービスが真横に・・・。
その後、別アカウントの自キャラが突然現れました。
（ココで慌ててもう片方のPCでログイン阻止）

被害としては、２アカウント共に倉庫内の装備系の大半。
（銘ありや、微妙な物のみは残り）
アカウント片方の装備とZeny、２アカウント目の装備一部とZeny
（途中だったのか、４番目と５番目のキャラのみの被害）
被害額は聞かないで下さい。

ガンホー側に通報済み。
警察の方にも行きましたが、都合により平日に再度来てほしいとの事。
対策も無しで不用意であったと、自分でも思っております。
72 ：(^ー^*)ノ～さん sage ： 2007/08/11(土) 18:17 ID:4hPcAx9Z0: >>71
安全な環境からパス変更してがんばれ。

パス盗まれてから、比較的短時間で垢ハックに動かれた事例かな。
73 ：(^ー^*)ノ～さん ： 2007/08/11(土) 18:33 ID:jEvXvzz10: 夏休みからかゆっくりとネット巡回してる人も増えてそうだね
そこでうっかり…っていうパターンが多いのかも
お盆で帰省し、いつもとは違うPCを使ったりすることもあるだろうから十分注意を

上げておきますね
74 ：(^ー^*)ノ～さん sage ： 2007/08/11(土) 23:42 ID:JfqGv1Ui0: とは言っても、ノンセキュアな環境からネットに接続する事自体がリスキーなんだよね、ROに限らず。
このあたり、ユーザー全体層の意識改革が必要な部分ではあるけど。
75 ：(^ー^*)ノ～さん sage ： 2007/08/12(日) 02:25 ID:0yms2hgL0: 殴りプリテンプレに投下されたコメント。
＞RO改善運動速報など、表紙でニュースを更新中。tp://www■fcty-net■com/jplink

ドメインの方はもう既出だけど。
他の場所にも張られてるかもしれないし、うっかり見に行く人がいそうな書き方なので一応晒し。
76 ：(^ー^*)ノ～さん sage ： 2007/08/12(日) 02:41 ID:iBl4MtDk0: >75
www■blogplaync■com/kin■htm
→www■blogplaync■com/king■cur
→www■blogplaync■com/king■htm
→→www■blogplaync■com/chengzhi■exe

例によっていつものパターン。
77 ：(^ー^*)ノ～さん sage ： 2007/08/12(日) 09:47 ID:R6mwgObb0: ヒマワリ貴重な書物 by 来杉弓香
↑この内容で、検索したらRMCやリネのBlog等にも張られていたんですが
書き込まれているURLは何種類かあるようです。これも垢ハックでしょうか？？
最新定義のウイルスバスターでは検出できずでした。
78 ：(^ー^*)ノ～さん sage ： 2007/08/12(日) 09:50 ID:lX8KDDsV0: >>1 ※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません
79 ：71 sage ： 2007/08/12(日) 10:23 ID:sU5S+UqD0: >>72
ありがとうございます。
パス自体は、２PC側でキャラを落とした後に変更いたしました。

履歴からどこで踏んだかも判明し、12時間～24時間以内だと思います。
ちなみに、怪しいノービスはその後売り商人側にアイテムを移動しており
その日の内に露店に並ぶ事に・・・。

>>74
はい、それは重々承知していましたが
新しくパソコン購入などで、一部浮かれていたのが原因かと思います。
>>71の最後の行の通りで・・・。
80 ：(^ー^*)ノ～さん sage ： 2007/08/12(日) 10:32 ID:IGzsrY/S0: >>79
ガンホーへの報告は、極力、時刻（自分と、垢ハック相手の接続していた）をはっきりと書くんだぞ。
ガンホーからの返答報告も、あとで報告してもらえると助かる。
81 ：(^ー^*)ノ～さん sage ： 2007/08/12(日) 12:43 ID:wbfXE6LO0: ７月末に福建人が取得した罠ドメインを発見。

hibikj■org
lineageディレクトリに罠あり。

ソース辿るとtestと言う名の凄くやばい物が置かれてる、１２日１２時にVIRUSTOTALすると
AVGとeSafeだけが検出、残り全部スルー。

ドメイン名から日本狙いか(”ヒビキ”をもじったものだろう)
過去にスズキをもじったスズクルと言う罠ドメインがあったことからすると間違いなさげ。

登録情報
Domain Name:HIBIKJ.ORG
Created On:29-Jul-2007 13:25:04 UTC
Expiration Date:29-Jul-2008 13:25:04 UTC
Sponsoring Registrar:Xin Net Technology Corporation (R118-LROR)
Status:TRANSFER PROHIBITED
Registrant ID:JLXZXM7NDUVSI
Registrant Name:chen jinian
Registrant Organization:guo yongkai
Registrant Street1:longyan
Registrant City:longyan
Registrant State/Province:Fujian
Registrant Postal Code:364000
Registrant Country:CN
82 ：(^ー^*)ノ～さん sage ： 2007/08/12(日) 12:49 ID:wbfXE6LO0: ↑しまった罠ドメインの登録情報■にするの忘れていた。
削除依頼済み。
83 ：(^ー^*)ノ～さん sage ： 2007/08/12(日) 14:33 ID:U5UUUn9p0: 77のURL踏んじまったんだけど、まずい？
84 ：(^ー^*)ノ～さん sage ： 2007/08/12(日) 14:56 ID:IGzsrY/S0: >>83
正確なアドレスはわからないが、わたしが見たのは既知のアドレスだった気がする。
スキャンと除去。可能ならＯＳ入れなおしいってこい。
85 ：(^ー^*)ノ～さん sage ： 2007/08/12(日) 15:20 ID:U5UUUn9p0: >>84
とりあえずスキャンしてもひっかからなかったんで大丈夫かな。
別のＰＣからパス変更しとくわ。ありがとう。
86 ：(^ー^*)ノ～さん sage ： 2007/08/12(日) 15:23 ID:IGzsrY/S0: >>83（>>85)
NOD32で１つすり抜けてる。バスターで検知失敗しただけかもしれんので、カスペのスキャンもかけとけ。
PG2入れてれば、入手前に接続ブロックしてるので、引っ掛からないけどな。

http://www■aaa-livedoor■net/cett/
http://www■aaa-livedoor■net/cett/wz■htm -> 現時点では空
http://www■aaa-livedoor■net/cett/wu■htm -> iframeでkiss.htmとdns.htmを開く
http://www■aaa-livedoor■net/cett/kiss■htm -> yan.exe
http://www■aaa-livedoor■net/cett/dns■htm -> yan.exe

http://www■ro-bot■net/cett/yan■exe

http://www■imbbs2t4u■com/linkgss/
http://www■imbbs2t4u■com/linkgss/imbbs■htm -> naitt1.exe
http://www■imbbs2t4u■com/linkgss/imbbs■cur -> ダウンローダ

http://www■mbspro6uic■com/linkgss/naitt1■exe

Kaspersky
yan.exe : Trojan-PSW.Win32.OnLineGames.aco
imbbs.cur : Exploit.Win32.IMG-ANI.ac
naitt1.exe : Trojan-Downloader.Win32.Delf.bpm

NOD32
yan.exe : すりぬけ
imbbs.cur : Win32/TrojanDownloader.Ani.Gen トロイの亜種
naitt1.exe : Win32/PSW.Lineage.ACN トロイの亜種

カスペでは引っ掛かったけど、NOD32で１つすりぬけしたので検体提出行ってきます。
87 ：(^ー^*)ノ～さん sage ： 2007/08/12(日) 15:36 ID:U5UUUn9p0: >>86
ノートン先生なんだけど、これじゃ危ない？
ちなみに踏んだの↓なんだけど。
http://www■youxiriben■net/navi/
88 ：(^ー^*)ノ～さん sage ： 2007/08/12(日) 15:38 ID:d/4QoJ+x0: だからそういうスレではないと何度も…
89 ：(^ー^*)ノ～さん sage ： 2007/08/12(日) 15:43 ID:IGzsrY/S0: >>87
(´・ω・)っ[ ソースチェッカーオンライン ]

んで、そこは確実にアカハック置いてるとこだから危ない。
90 ：(^ー^*)ノ～さん sage ： 2007/08/12(日) 15:53 ID:IGzsrY/S0: ノートンが対応しているかどうかは知らね。

http://www■youxiriben■net/navi/svch■exe

Kaspersky
Trojan-PSW.Win32.Maran.gen

NOD32
Win32/PSW.Maran トロイの亜種
91 ：(^ー^*)ノ～さん ： 2007/08/12(日) 16:33 ID:UKPqxgpl0: 俺も踏んだ・・・
とりあえず携帯からｶﾞﾝﾎｰIDとｱｶｳﾝﾄのﾊﾟｽ変更はした
今スキャンしてみてるんだけど、>>90のやつとかひっかかって駆除したとしても
OS再インスコできる状況にできるまでRO入らないほうが賢明なのかな
92 ：(^ー^*)ノ～さん sage ： 2007/08/12(日) 16:36 ID:iBl4MtDk0: 駆除して完全にクリーンになったという自信があるならログインしてもいい。
その確証が無く不安が拭えないのなら、再インストールした方がいいし
それまではログインしない方がいい。

全ては自己責任で対処するしかない。
93 ：(^ー^*)ノ～さん sage ： 2007/08/12(日) 20:35 ID:z+yP85Xa0: 2月8日、被害に気付きガンホに報告。
20日に警察へ。ウイルスは仕込まれていたか等の質問に黙々と答えていくだけ。
時間は20分もなかったと思います。警察の対応も良く、難しい質問はされませんでした。
捜査終了の際にお電話をくださるそうです。

そして待つこと3ヵ月半、6月2日、捜査結果を報告されました。外国の不正アクセスということで逮捕はできないとのこと。
電話終了後、ガンホに「相談した警察と担当者名」と「警察へ通報した日」を報告しました。以下ヘルプデスクの返答。

「連絡いただきました●●警察には
既に、運営チームより調査資料を提出しておりますので
●●警察署に担当者様に進捗等の確認を
行わせていただいた後に改めてご報告いたします。
今しばらくお待ちいただきますようお願いいたします。」

ここまで私は割と迅速にアイテム復旧作業に入ってくれるものと思っていたのですが、あれから既に2ヵ月経った現在も復旧待ち。
担当の警察に確認するだけならこんなに時間掛からないと思うんですが…。
それとも捜査がまだ終了していないとか？でも電話での聞き間違いってことはないだろうし…。
ガンホに質問しても「捜査の進捗状況を確認させていただき、改めてご報告をさせていただきます。」ばっかりです。
自分の報告不足でトラブルが起きてるとかだったらどうしようかと頭を悩ませています。
このまま待ってても大丈夫でしょうか（´・ω・｀）
94 ：(^ー^*)ノ～さん sage ： 2007/08/12(日) 22:49 ID:Zun4vaZu0: 残念だが垢ハクでアイテム復旧は無いよ
95 ：(^ー^*)ノ～さん sage ： 2007/08/12(日) 22:50 ID:s3QGlRZo0: アイテム復旧報告前あったよね？
96 ：(^ー^*)ノ～さん sage ： 2007/08/12(日) 22:55 ID:uOdkswJ20: 二ヶ月も待ってるんだし、進行状況を聞いたほうがいいよ
ガンホー側の資料はシュレッダーにかかってるだろうけど
警察の資料はまだ生きてるとおもう
ガンホーとしてITEM復旧をせずにRMTしてほしいのが本心
しつこく連絡すると仕方なく復旧してくれるときがある
諦めるな！
97 ：(^ー^*)ノ～さん sage ： 2007/08/13(月) 15:36 ID:RkbstXf50: サポートとかはしつこくこっちからいかないと反応ないときの方が多いからな
相手はSB系なわけだし
98 ：93 sage ： 2007/08/13(月) 17:56 ID:OmKmGRPy0: ありがとうございます。希望持ってみます！
もしかしたら私の説明不足かもしれないので、外国の不正アクセスとのことで犯人逮捕はできないということをはっきり相談してみました。
そして以下ヘルプデスクの返答です。

「ご投稿いただきました内容に関してですが
お客様がご登録いただいております、住所の一部が
正確にご登録されていない事を確認いたしました。

つきましては、ご登録いただいております内容を
確認いただき、正確な情報ご入力いただいたうえ
今一度、ご投稿いただければと思います。」

！！
現在住所確認→変更し、ガンホの確認待ちです。
これが原因で2ヵ月おとなしく待っていたとかだったらどうしよう。
ヘルプデスクの返答が来たらまた報告します。
99 ：(^ー^*)ノ～さん sage ： 2007/08/13(月) 17:57 ID:RkbstXf50: ヘルプディスクだけでなく電話なんかもしてしつこく聞いた方が良いと思うけど
100 ：93 sage ： 2007/08/13(月) 18:57 ID:OmKmGRPy0: 返答来ました。
アイテム復旧に応じてくださるようです。
ということで、どうやらこちらの住所ミスが原因で警察への確認ができなかったのではないかと思われます…。
準備から復旧までは1～2週間程度の時間を要するとのこと。
アドバイスありがとうございました！
101 ：(^ー^*)ノ～さん sage ： 2007/08/13(月) 19:00 ID:NVsCu3Rt0: >>87 から24時間、貼られてからはもっと経つが、某所からは削除されて
いない。管理人不在か…。
102 ：(^ー^*)ノ～さん sage ： 2007/08/13(月) 19:48 ID:NM+YjbIW0: >>100
おー、復旧してもらえそうなのか
おめでとう。しかし時間掛かりすぎだなぁ
中華も逮捕出来れば垢ハク減る気がするんだけどな
103 ：(^ー^*)ノ～さん sage ： 2007/08/13(月) 20:12 ID:DYqoyyOW0: http://www.ragnarokonline.jp/playguide/play_manner/account_hacking.html

＞捜査完了後の弊社の対応について
＞運営チームでは、警察機関の調査によりアカウントハッキングの事実が確認され、捜査が完了した場合には、
＞アカウントハッキングの被害により失われたアイテムやキャラクターなどを可能な範囲で復旧させていただいております。
＞
＞※ アカウントハッキングであると確認され、まだ捜査中の場合はアイテム等の復旧は受け付けておりません。
＞※ ガンホーゲームズサービス利用約款に違反している場合には復旧が出来ませんので、予めご了承ください。

久しぶりに見たが、警察への連絡の際に何を伝えたらいいかもまとめられてるな。
104 ：(^ー^*)ノ～さん sage ： 2007/08/14(火) 01:00 ID:Oi8BfUYt0: >>101
盆休みで、ネット環境の整っていない所に帰省していたりするかもしれないから、この時期や正月休みは要注意だな。
105 ：(^ー^*)ノ～さん sage ： 2007/08/15(水) 09:45 ID:u6mQGGub0: headを整理。
106 ：Catia_f ★ sage ： 2007/08/15(水) 09:47 ID:???0: すみません。大誤爆しました．．．．。
107 ：(^ー^*)ノ～さん sage ： 2007/08/15(水) 10:38 ID:M1MCUvef0: |ω・）ﾐﾃｼﾏｯﾀ
108 ：(^ー^*)ノ～さん age ： 2007/08/15(水) 10:42 ID:TyoC6dQC0: WUもきたし1回ageまする
109 ：(^ー^*)ノ～さん sage ： 2007/08/15(水) 14:15 ID:iFn8iJM7O: 頼むからいい加減フリーコールにしろと言いたくなるくらい
電話デスクはトロいよね。
担当者が名乗る様にはなったけど平気で３００円くらい電話代すっ飛ぶよ……
110 ：(^ー^*)ノ～さん sage ： 2007/08/15(水) 14:31 ID:uxTFEhqz0: >>103
垢ハク出てきてページ作れって言われるようになってから2年以上。
それだけ時間あれば幼稚園児でも作れるんだよな…。
111 ：(^ー^*)ノ～さん sage ： 2007/08/15(水) 20:21 ID:dyuSs+xd0: 幼稚園児じゃ15年ぐらい待たんと。
112 ：71=79 ◆ukhxosT7i2 sage ： 2007/08/16(木) 14:10 ID:eZ+ZvGha0: http://www.mmobbs.com/uploader/files/3084.jpg
http://www.mmobbs.com/uploader/files/3083.jpg
最初の報告と、現在一番最新の返答です。
この最後の返答で、投稿ステータスが完了になってしまい
これ以上この場所から追加で送れなくなってしまいました。

この後は連絡を待つしかないでしょうか？
（警察にも行き調書は済んでいます（所要時間：約６時間）
113 ： ◆ukhxosT7i2 sage ： 2007/08/16(木) 14:41 ID:eZ+ZvGha0: ・警察の対応
やはり仮想世界の問題であり、基本的に冷たい（諦めたらどうか？など）
ヘルプデスクの返答などを持参し見せた所、「随分となめた運営だ」と言われました。
（最初から警察に行けとの部分により（法律上・・・（以下略）

ウィルス元の位置情報なども持ち込みでしたので
犯人の特定や逮捕は難しい（ほぼ不可能に近い）との事。
（一応捜査はしてみるが、途中で打ち切る可能性が強い事）
その内>>93の”外国の不正アクセスということで逮捕はできないとのこと。”
と来るのが想像つきますね。

調書（ゲームを始めた理由など～ウィルスにかかりアイテムを盗られるまでの内容）
114 ：(^ー^*)ノ～さん sage ： 2007/08/16(木) 16:08 ID:3cl0Y/eP0: ちょっと亀ﾚｽだけど。。。

77 ：(^ー^*)ノ～さん：07/08/12 09:47 ID:R6mwgObb0
ヒマワリ貴重な書物 by 来杉弓香
↑この内容で、検索したらRMCやリネのBlog等にも張られていたんですが
書き込まれているURLは何種類かあるようです。これも垢ハックでしょうか？？
最新定義のウイルスバスターでは検出できずでした。

上記のＲＭＣの板に無差別で貼られてるＵＲＬは垢ﾊｯｸです。
皆さん注意しましょう。
115 ：(^ー^*)ノ～さん sage ： 2007/08/16(木) 16:51 ID:ynprlej10: 警察の対応が冷たいというか面倒くさいのでしょう
捕まえられないのはわかってますしね
アイテムを取り戻すまでの手順だと割り切って届けを出すのがいいかと思います。
116 ：(^ー^*)ノ～さん sage ： 2007/08/17(金) 12:00 ID:fIvMuhV30: kaspersky のページが表示されない。
なにかのエラーページ？っぽいのは表示されるのですけど・・。
私だけですかね？他の方はどうでしょうか。
117 ：(^ー^*)ノ～さん sage ： 2007/08/17(金) 12:08 ID:0GZeBBL90: tp://www.kaspersky.com/
tp://www.just-kaspersky.jp/
なら普通に見れる
それ以外は知らない
118 ：(^ー^*)ノ～さん sage ： 2007/08/17(金) 14:07 ID:qjo8BUAg0: 何か喰らってウィルス対策ベンダへのHOSTS書き換えられたんじゃ？

195■200■84■20
で行けないか？
119 ：116 sage ： 2007/08/17(金) 15:45 ID:fIvMuhV30: >>117
>>118
レス有難うございます。
私が見ていたkasperskyのページはアドレスの最後が[co.jp]の所でした。
本日の深夜から午前中？？くらいまでは、そのページにアクセスすると
Permission denied～～～という感じのエラーページが表示されました。
今見てみると復旧してるみたいですね。
お騒がせしました。
120 ：(^ー^*)ノ～さん sage ： 2007/08/17(金) 19:28 ID:k1RKRf460: 簡易ブラクラURLチェックは閉鎖したのですか？
121 ：(^ー^*)ノ～さん sage ： 2007/08/17(金) 20:05 ID:J13pzKy60: whois■jp で kaspersky■co■jp をチェックしてみると……ふーん。という感想
122 ：(^ー^*)ノ～さん sage ： 2007/08/17(金) 20:24 ID:8/Dv4C0p0: 【　　　気付いた日時　　　　　】 8/17　午後2時頃
【不審なアドレスのクリックの有無　】気づきませんでした
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【　　ツールの使用の有無　　　】 No
【　ネットカフェの利用の有無　　　】 No
【　　　 OS　　】 Windows XP Home Edition SP2
【使用ブラウザ】 Sleipnir 2.5.12 JavaScript・Java・ActiveX Off / Internet Explorer 6.0
【WindowsUpdateの有無】 8/14 適用済
【　アンチウイルスソフト】ウィルスバスター2007
【その他のSecurty対策】 Sygate Personal Firewall / Ad-Aware SE Personal
【ウイルススキャン結果】カスペルスキーオンラインスキャナにて検出 ( Trojan.Win32.Agent.axa )
【スレログやテンプレを読んだか】 Yes
【hosts変更】Yes 更新は7/1頃
【PeerGuardian2導入】No
【説明】
さきほど、カスペルスキーオンラインスキャナをかけてみたところ
Trojan.Win32.Agent.axa
というウィルスに感染したファイルが見つかりました。
（ウィルスバスターの検索では反応なし）
これはRO関連のウィルスなのでしょうか？

昨日スキャンした時は何も見つからず
挙動不審なページを開いた記憶もありません。
アカウントハック被害は（まだ？）ないのですが、
お盆で帰省してから、ROのWikiやBlogを見る事が多かったPCなので
とても不安です。

これからカスペルスキーの試供版で駆除しようと思うのですが
OSの再インストールやHDDのフォーマットは必須でしょうか？
また、退避させるデータへの感染の危険性はあるのでしょうか？
せめてROのウィルスなのかがわかると良いのですが…。
123 ：(^ー^*)ノ～さん sage ： 2007/08/17(金) 20:38 ID:3PA69bcr0: >>122
P2Pしてる？Winnnyとかそういうの
124 ：(^ー^*)ノ～さん sage ： 2007/08/17(金) 21:03 ID:8/Dv4C0p0: Winnyとか（ファイル交換？）はやった経験が全くないです。
感染してたファイルは、vga_driver_vtuner3■exe　
という、確かグラフィックボード関連のものでして、
かなり昔にメーカーの公式ページからDLしたものでした。

また、感染ファイルのあったフォルダを、
カスペルスキーで個別に再スキャンしてみたのですが、
今度は何も検出されませんでした…。
なんだか逆に不安になってしまいました。

ウィルスとか初めてでかなり混乱してしまっています。
別のファイル等に感染してしまうことってあるのでしょうか？
125 ：(^ー^*)ノ～さん sage ： 2007/08/17(金) 21:51 ID:Fh+Qlc9w0: 丁度今同じ物をROのクライアント（rag_setup.exe？）に感知したと言う話がLiveROの方で出てるので、
そちらも見るといいかも。誤検出の可能性もあるし、ちょっと様子見かな。
癌なら本当にトロイ混入とかあってもおかしくないが・・・まぁちょっと待ってみるといいかも。
126 ：sage ： 2007/08/17(金) 21:59 ID:bnHrglX60: わたしも>>122と同じウィルスが確認されたとカスペルスキーオンラインスキャナで見つけました。
【　　　気付いた日時　　　　　】 8/17　午後4時頃
【不審なアドレスのクリックの有無　】気づきませんでした
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【　　ツールの使用の有無　　　】 No
【　ネットカフェの利用の有無　　　】 No
【　　　 OS　　】 Windows XP Home Edition SP2
【使用ブラウザ】Opera9.02
【WindowsUpdateの有無】 8/14 適用済
【　アンチウイルスソフト】 McAfee
【その他のSecurty対策】McAfee　PersonalFireWall　plus/SpyBot
【ウイルススキャン結果】カスペルスキーオンラインスキャナにて検出 ( Trojan.Win32.Agent.axa )
【スレログやテンプレを読んだか】 Yes
【hosts変更】Yes 7月頃
【PeerGuardian2導入】No
【説明】感染場所はデスクトップに置いたままにしていたrag_setup■exeでした。
感染ファイルを削除して、再度オンラインスキャンしたところ、
レストアファイルに残っていたので一度復元を無効にし、再々チェックしたところ見つからなくなりました。
一応、もう一台のパソコン（カスペルスキーオンラインスキャナで確認したところ、ウィルスなし）で
パスの変更は行っておきました。
127 ：126 sage ： 2007/08/17(金) 22:00 ID:bnHrglX60: 書き込みなれておらず、名前欄にsage記入してしまいました。
焦っていて上げてしまい、申し訳ありません。
128 ：122 sage ： 2007/08/17(金) 23:00 ID:8/Dv4C0p0: レスありがとうございます。

再度カスペルスキーで完全スキャンしてみたのですが
やはり何も見つかりませんでした。
ウィルスが検出されたファイルの削除等はしていませんでした。

私も念のため、別のPC（感染なし確認済み）からパスを変更、
しばらく様子を見ようと思います。
129 ：(^ー^*)ノ～さん sage ： 2007/08/17(金) 23:01 ID:ONnUe5+NO: 私も>122 126さんと一緒の現象起きました。違うのはWikiなどは見てない事でしょうか。ＲＯ知人のblogは見ましたがコメント欄のリンクなどは踏んでいません
130 ：(^ー^*)ノ～さん sage ： 2007/08/18(土) 03:57 ID:TEA2Hu++0: 垢ハックのパターンで癌IDのパスを変えられるってことはありますか？
何故か何度やってもアトラクションセンターにログインできなくて
別PCでもログインできなくてしかたなくパスを再設定したんですが
本人確認のメールなしにパスを変えられることってあるんでしょうか
131 ：(^ー^*)ノ～さん sage ： 2007/08/18(土) 04:34 ID:D1VoN5Ez0: 感染していたら、癌PASSが変更されてもおかしくないし
癌PASSが盗まれているなら、メアドも盗まれていておかしくない。
なので感染しているなら、癌PASS再度変えられるかもしれない。

・Caps Lock等押してた　・表示と設定の違うキーボードを気付かずに使っていた
　だけかもしれないので、心配な場合は>>5を参照してみて下さい。

癌PASSの変更は、ユーザーログインしてしまえば簡単に出来ます。
メール確認云々は、個人情報だけだったような　（アドレス　モロ記載されてるけど・・）
132 ：(^ー^*)ノ～さん sage ： 2007/08/18(土) 05:09 ID:BFNjnATb0: メルアドもばれるだろから根こそぎ持っていかれるね。
癌に電話連絡すれば再変更してもらえるからちょとしてみれ。
133 ：(^ー^*)ノ～さん sage ： 2007/08/18(土) 05:51 ID:TEA2Hu++0: >>131-132
レスありがとうございます
とりあえず感染してる可能性のない昔使ってたPCを引っ張り出してpass類を全部変更しました
癌IDにログインさえされなければpass変更手段は送られてきたメールの本人確認キーが必要なので
今のところ大丈夫だと思います
マカフィーでスキャンしてその後オンラインスキャンでトレンドマイクロとカスペルをやりましたが
3つともともひっかからなかったので
今日はもう寝て明日一応OS入れなおします
134 ：(^ー^*)ノ～さん sage ： 2007/08/18(土) 10:41 ID:x+WE/yis0: 某情報局にRMTを装った垢ハクアドレス貼り付けが多発してる、との記事があったので
文面からググってみた。

www■pagetions■com/wiki/
wz■htmとwu■htmを呼び出し。
さらにkiss■htmとdns■htmを呼び出して svch■exe 。
環境的に検体をDLしてのチェックが出来ないので、カスペ等で検出するかどうかは不明。

貼り付けられてた文面は見事に中華。
pagetionsは初出のようで、まとめサイトにもリネ資料室にも載ってなかったのでご注意を。

RMTerが引っかかっても自業自得としか思わないが、この手口ってマッチポンプというか
Zenyを売りつけた後に装備ごと回収する気満々だな……
135 ：(^ー^*)ノ～さん sage ： 2007/08/18(土) 11:18 ID:Hg1Ky9Qw0: >>134
この話がRMTerにも広まれば怖くて買えなくなるから(多分)
中華は自分の首絞めてるだけな気がするんだが
136 ：(^ー^*)ノ～さん sage ： 2007/08/18(土) 13:09 ID:a8BJQ/ME0: >>134
いつものUpack圧縮Maran。
137 ：(^ー^*)ノ～さん sage ： 2007/08/18(土) 17:14 ID:ZrRulAq00: 【　　アドレス　】 http://www■haiximaxida■net/navi
【気付いた日時】 8/18
【　　　 OS　　】 XP
【使用ブラウザ】 IE6
【WindowsUpdateの有無】最後は２日前　自動更新あり
【　アンチウイルスソフト】ウィルスセキュリティＺＥＲＯ
【その他のSecurty対策】ルータ
【ウイルススキャン結果】検出なし
【スレログやテンプレを読んだか】Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
ＲＭＣの各スレッドにマルチ張り、開いたら真っ白。すぐ閉じたためその先は不明
アドレスチェッカーで危険サイトと判定。
ＲＯのＩＤはパス別ＰＣですでに変更しているが、ウィルス検出や警告はなし。
チェッカーによると自動リンク先に中国語のサイトが出ているからハックの可能性も高いと思う。
これから僕は何をするべきがアドバイスください。
138 ：(^ー^*)ノ～さん sage ： 2007/08/18(土) 17:21 ID:ZrRulAq00: 書き忘れましたが踏んだＰＣはすでにネットから切断してあります
139 ：(^ー^*)ノ～さん sage ： 2007/08/18(土) 17:48 ID:NoK/xwf70: 何したらいいかは調べればわかると思うんだけども
140 ：(^ー^*)ノ～さん sage ： 2007/08/18(土) 18:10 ID:Hg1Ky9Qw0: 何したら良いのかすら分からないんだから垢ハクなんて踏むんだよ
141 ：(^ー^*)ノ～さん sage ： 2007/08/18(土) 18:19 ID:rOjR14hV0: ウィルスセキュリティZEROってavastより信頼性なさそうだな
142 ：(^ー^*)ノ～さん sage ： 2007/08/18(土) 19:04 ID:FO+CxjM00: >>137
するべきことは>>5を参照。
143 ：(^ー^*)ノ～さん sage ： 2007/08/18(土) 20:33 ID:wafRedkt0: >>141
ttp://ja.wikipedia.org/wiki/%E3%82%A6%E3%82%A4%E3%83%AB%E3%82%B9%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3
ソースネクスト製品はOEM元を見極められるようでないと、使いこなすのは難しい。
144 ：(^ー^*)ノ～さん sage ： 2007/08/19(日) 00:55 ID:bxhruKH10: eir.sns.sns.fc.com
eirプレイヤーSNSですというチャットを立てて垢ハクウィルスURL出してる中華を発見
ゲーム内でも表立ってやるようになって、もうやりたい放題もここに極めれり
145 ：(^ー^*)ノ～さん sage ： 2007/08/19(日) 00:56 ID:bxhruKH10: eir.sns.sns.fc2.comだった
146 ：(^ー^*)ノ～さん age ： 2007/08/19(日) 01:14 ID:bxhruKH10: 画像もうｐ
ttp://www.vipper.net/vip311443.jpg
147 ：(^ー^*)ノ～さん sage ： 2007/08/19(日) 01:29 ID:vEXbmWho0: ・情報まとめて書いたらどうか
・「.」は置き換えろとあれほど（ｒｙ
・何故VIPのあぷろだなのか
・SSも一部加工するべきではないのか
・チェッカーで覗いたけど作り込まれてる感じで本当に垢ハックなのか
148 ：(^ー^*)ノ～さん sage ： 2007/08/19(日) 01:52 ID:naqEkL7x0: 中華突撃してみたが
今BOTをしてもBANされる可能性がかなり高いから
めんどうだけど垢ハックに切り替えているらしい
みんな注意されたし
149 ：(^ー^*)ノ～さん sage ： 2007/08/19(日) 01:54 ID:Qdc+1Cef0: >ID:bxhruKH10
一体何を基準にアカハックアドレスと判断したんだ？
150 ：(^ー^*)ノ～さん sage ： 2007/08/19(日) 02:15 ID:Fp4NXWH00: 宣伝か私怨だろ
151 ：(^ー^*)ノ～さん ： 2007/08/19(日) 22:22 ID:vEXbmWho0: で、真偽は結局謎のままなんけ？
152 ：(^ー^*)ノ～さん sage ： 2007/08/20(月) 01:04 ID:Se6b5d0/0: >151
SSにあるJoin.phpも、その入力フォームも、ごく普通。
その先の会員ページは見れないので不明。

自分が見た範囲では全くの無害に見えたし>149の問いにも
反応がないあたり、宣伝か私怨晒しかのどちらかと思われ。
153 ：(^ー^*)ノ～さん sage ： 2007/08/20(月) 02:15 ID:ZTPWfcWP0: てすてす
154 ：(^ー^*)ノ～さん sage ： 2007/08/20(月) 02:16 ID:ZTPWfcWP0: ttp://up■uppple■com/src/up5288■jpg

Roの職業Wikiに張ってあったURLを誤クリで踏んでしまいました。
拡張子がjpgだったことから画像かと思いきや、ｳｨﾙｽﾊﾞｽﾀｰ2007が開き、
スパイウェアの警告が物凄い数表示されてしまいました。
今カスペルスキーの１ヶ月無料版でスキャン中ですが、
このサイトは垢ハックの物でしょうか？
155 ：(^ー^*)ノ～さん sage ： 2007/08/20(月) 02:34 ID:Se6b5d0/0: >154
チェック不能なぐらい、大量のマルウェアが仕込まれてるが、その中に
din-or■com/bbsがあったので、垢ハクも混ざってると思っていい。

そしてこれだけの数が仕込まれてると、駆除しても完全に安全とは
到底言い切れない。
OS再インストールした方が無難。
156 ：(^ー^*)ノ～さん sage ： 2007/08/20(月) 02:36 ID:Se6b5d0/0: あと、ROの職業Wikiとあるが、どこの事だ？
他の人が間違って踏まないためにも、どのWikiだったかの
報告は欲しいかも。
157 ：(^ー^*)ノ～さん sage ： 2007/08/20(月) 03:55 ID:j8syGBvv0: 中途半端・不正確な報告は迷惑だよな
158 ：(^ー^*)ノ～さん sage ： 2007/08/20(月) 09:09 ID:Kg35BLuR0: 何で情報交換してるかってあんまり考えてないのかもね
自分は大丈夫ですか？ってことさえ聞ければいいってこと？
そのURLが晒されてる間に他にも何人も同じような被害がでるかもしれないのにね
159 ：(^ー^*)ノ～さん sage ： 2007/08/20(月) 13:16 ID:9aeIBPGd0: 触れてはいけない話かも知れないが、R.M.Cってなぜ同じアカハックURLを
何度も貼られて、そのURLを禁止ワードにしないんだろうね？管理人も
同じ種類のものを何十個とか削除し続けるのは苦痛だろうに。しかも
削除追いついてないし。
160 ：(^ー^*)ノ～さん sage ： 2007/08/20(月) 13:26 ID:RKcRofag0: あの管理人は馬鹿だからあんまり期待しないほうがいいぞ
161 ：(^ー^*)ノ～さん sage ： 2007/08/20(月) 13:48 ID:gFagAv0K0: だってなぁRMCサイト内にRMTサイトの広告貼ってる馬鹿だからなぁ
そんな奴に対応求めるのは無理だろうよ
削除されてるだけマシかと
162 ：(^ー^*)ノ～さん sage ： 2007/08/20(月) 15:38 ID:rqhmXO2W0: あの広告はGoogle側から勝手に貼られるんじゃなかったか
163 ：(^ー^*)ノ～さん sage ： 2007/08/20(月) 15:58 ID:L3kpBr940: >>159
・あの場所でまともに仕事をしているのは管理補佐役の削除屋
・管理人は余程のことがない限り動かない
・でもGv日記はわりと更新されてるね

>RMC縮小メモ
>・削除屋の権限強化→副管理人へ
>・全部で5，6人に増やす
とかあるから、絶賛モチベ低下中だとは思われるが。
164 ：(^ー^*)ノ～さん sage ： 2007/08/20(月) 16:09 ID:DedseKSa0: URLの自動リンクをなくせばいいんだろうけどね
まぁいい加減ここで言い合っても仕方ないので要望あれば向こうの掲示板でどうぞ
165 ：(^ー^*)ノ～さん sage ： 2007/08/20(月) 18:04 ID:vLo6yBWl0: サーバメンテ中のNinja以外をWikiの検索(uppple.comを対象語として使用)したんだけど
Hitせず。詳細は154街。

# ここは無料サポートじゃなくって情報交換所であるんだけどねぇ。

RMCは、別にモチベなんて上下するもんだしそれ自体はかまわないし、所詮趣味だから
きつい事を言う気は無い。でも、それで迷惑をこうむる人が居るならば最低限それに
ついて位は対処して欲しい物だよなぁ。それが管理人としての数少ない義務だとは
思うんだけど。まー、運営側強化でようやくそっち方面の動きが見られるってのは良い事だろう。
他山の石としたいところかな。
166 ：(^ー^*)ノ～さん sage ： 2007/08/20(月) 18:12 ID:yPV5SY8W0: RMCの運営についてはRMCの板で話すのがよいね。
サイトの整理縮小とかも考えてるみたいだし、ちょうどよい機会だから
おそらくその手の要望とかも目を通して検討してくれると思うよ。
167 ：(^ー^*)ノ～さん sage ： 2007/08/20(月) 20:31 ID:GkuMwELk0: >>161
あれはGoogleAdsが悪いんであってな。
仕組みは自分で調べてくれ。
168 ：(^ー^*)ノ～さん sage ： 2007/08/20(月) 20:34 ID:j8syGBvv0: GoogleAdsを利用しないという選択肢だってあるわけだがね。収益優先で利用し続けているわけだね。
169 ：(^ー^*)ノ～さん sage ： 2007/08/20(月) 20:39 ID:GkuMwELk0: >>168
お前ｗｗｗｗｗｗｗｗｗｗｗ

無料で鯖が維持出切るとでもお思いか。
それともサイト管理者は身切りで運営すべきとでも言うおつもりか。
そもそもアフェリで稼げるなんて夢物語と知れ。
170 ：(^ー^*)ノ～さん sage ： 2007/08/20(月) 20:42 ID:DedseKSa0: 頼む、そろそろ他所でやってくれ
171 ：(^ー^*)ノ～さん sage ： 2007/08/20(月) 22:02 ID:G0FhPhu70: RMT広告で鯖運営なんか嫌だなぁ

ｱｶﾊｸ中華のお零れを受けてるわけだろ
172 ：(^ー^*)ノ～さん sage ： 2007/08/21(火) 02:06 ID:x0XW36mv0: サイト管理者が自腹で運営すべきとは思わない。
広告を入れても良い。

だがな・・・ RMT広告は論外だろ？

収入は若干落ちるだろうが、固定の広告を入れるなど、回避方法はいくらでもある。
R.O.M 776や、かつてのOWNなどな。

それをやらないR.M.C管理人は糞。

さて、すがる臭い巣に戻るか。
173 ：(^ー^*)ノ～さん sage ： 2007/08/21(火) 02:08 ID:NjQkhW1T0: GoogleAdsenseってURL指定で特定の広告拒否できなかったっけ
174 ：(^ー^*)ノ～さん sage ： 2007/08/21(火) 02:13 ID:x0XW36mv0: >>173

出来る。

だが、RMT業者はドメイン・URLを変えて何度も新規登録してくるので、いたちごっこ。

GoogleにRMT業者の広告を排除するように何度もメールを送ったが、一度も返信は来なかった。
175 ：(^ー^*)ノ～さん sage ： 2007/08/21(火) 02:20 ID:NjQkhW1T0: >>174
そっか、この方法もいたちごっこなのか。
gamedb.infoとかURLフィルタで頑張ってるみたいだから
RMCでもやらないかなと思って言ってみたんだけど。

そういえばGoogleはこの前卒論・レポート代行業者の広告を規制したけど。
RMTも規制して欲しいもんだ。
176 ：(^ー^*)ノ～さん sage ： 2007/08/21(火) 03:08 ID:dsozoP4N0: セキュ雑談スレですらスレ違い気味の話題なのに
なぜここで延々続ける。
177 ：(^ー^*)ノ～さん sage ： 2007/08/21(火) 03:09 ID:TIgs2NPL0: livedoorのブログなんかは強制で宣伝入るようになったけど
何社か選べるようになっててそのうちどこだったかは
RMTをはじいてるみたいでRMT広告が入らないって話だよ

いたちごっこかもしれないけどGoogleAdsenseを選んでおいて対策なにもしないんじゃ
今までのガンホーと同じじゃん
178 ：(^ー^*)ノ～さん sage ： 2007/08/21(火) 09:08 ID:gxnPvWWT0: 誘導するのも正直かなり心苦しいが、こっちで展開されるよりはマシなので、
これ以上続けたい場合は、大人しく誘導されといてください。

【一般的話題用】
セキュリティ対策、質問・雑談スレ3
http://enif.mmobbs.com/test/read.cgi/livero/1186660300/
179 ：(^ー^*)ノ～さん sage ： 2007/08/21(火) 09:10 ID:4agT7Ci/0: RMC運営に対する意見なんだから、むしろRMCの板に誘導するべきなんじゃ？
180 ：(^ー^*)ノ～さん sage ： 2007/08/21(火) 13:12 ID:vP85JbYg0: 毎度おなじみ福建人の新ドメイン、既に攻撃に使われ始めている。
今度はグーグルもどきだ。
www■blog-googlea■net/Blog/　(掲示板等に書き込まれていた)
www■lingelink■net/Blog/test■exe　(上からIFRAMEで呼び出し)

testはVIRUSTOTALで殆どがスルーすると言う危険なもの。
21日13時現在でNOD32、カスペ、マカフィー等多数すり抜け。

eSafe 7.0.15.0 2007.08.20 Suspicious Trojan/Worm

登録日を含めて2つとも共通の情報。
Registrant:
xiao guo
Fujian longyan
364000
？？？¨？？？？？÷？？？？？？？？？？´？

Administrative Contact:
chen jinian
xiao guo
Fujian longyan
longyan Fujian 364000
CN

Registration Date: 2007-08-11
181 ：(^ー^*)ノ～さん sage ： 2007/08/21(火) 13:16 ID:jD8wyi//0: >>180
無駄なあがきを乙ｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ
m9／＾д＾＼
182 ：(^ー^*)ノ～さん sage ： 2007/08/21(火) 13:17 ID:Hgdw0jWa0: >>180
調査乙です。
183 ：(^ー^*)ノ～さん sage ： 2007/08/21(火) 13:20 ID:vP85JbYg0: もう1つ発見、福建人はどうも11日に登録ラッシュをかけたようだよ。
www■plusdeit■com/Blog/
lingelinkのtestを呼び出す。

登録情報は180と同じ。
184 ：(^ー^*)ノ～さん sage ： 2007/08/21(火) 13:30 ID:Ipcp0ZH40: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談は>>2に有る雑談スレを利用して下さい。
185 ：(^ー^*)ノ～さん sage ： 2007/08/21(火) 14:19 ID:0AFyfbF/0: >>180
報告乙です。NOD32、カスペ共にすり抜けてるので、検体提出いってきます。/(-_-)
186 ：(^ー^*)ノ～さん sage ： 2007/08/21(火) 19:11 ID:vP85JbYg0: 福建人の罠ドメインさらに見つかる。

Wikiでリンク改竄。
www■wikifdjary■net/lineage/
www■flipcjip■net/lineage/

IFRAMEで読み出されるもの。
www■hibikj■org/lineage/test■exe

VIRUSTOTALでは半分以下の検出。
マカフィー、NOD32、シマンテックがスルー。

登録情報、全部同一人物名、日付で登録されている。
Registrant:
guo yongkai
longyan
364000
？？？¨？？？？？？？？？？？？？÷？？

Administrative Contact:
chen jinian
guo yongkai
longyan
longyan Fujian 364000
CN

Registration Date: 2007-07-29
187 ：(^ー^*)ノ～さん sage ： 2007/08/21(火) 19:47 ID:1GbgIbNa0: >186
後者はFF狙いで爆撃してる模様

>FF11/FFXI全く新しいです武器.防具一覧
>ttp://www■flipcjip■net/FFXI/
188 ：(^ー^*)ノ～さん sage ： 2007/08/21(火) 20:20 ID:0AFyfbF/0: >>180
Kaspersky
test.exe_ - Trojan.Win32.Inject.ci

やっぱ対応早いな。>>186も検体入手したら提出してきまー。
189 ：(^ー^*)ノ～さん sage ： 2007/08/21(火) 20:22 ID:0AFyfbF/0: 追記

>>186はカスペの検出によると、180と同じ「Trojan.Win32.Inject.ci」でした。
190 ：(^ー^*)ノ～さん sage ： 2007/08/21(火) 22:01 ID:H6Y5XiEA0: リンクチェックサイト経由で巡回していたら
なにやらアカハックな書き込み。
ｿｰｽﾁｪｯｶｰの出番。

--------
似顔絵屋

似顔絵屋　告知
次回　似顔絵屋 Flame of Doom　営業案内
・８月23日(木)　21時　Iris鯖
・８月31日(金)　21時　Lydia鯖

詳細はギルドホームページをご確認下さい。

2007年08月21日(火) 12時23分
---------
たどる。
ttp://fcty-net■com/jplink
インラインフレームでttp://www■blogplaync■com/kin■htm

更にたどる。
ttp://www■blogplaync■com/king■cur
ttp://www■blogplaync■com/chengzhi■exe

└ IP:125.65.112.88(Chinanet Sichuan Province Network)

検体チェックは出来ないですが、いつものお約束の手。
191 ： ◆SAKA/5/tOU sage ： 2007/08/21(火) 22:38 ID:P8n7Cd6V0: ぐぐるで引っ掛けた
www■haiximaxida■net/ff11/
を辿ったら
www■bagayalu■net/ff11/test■exe
にウイルスが置かれている事を発見。リネージュ研究室にも未出のようです

# >>137は
# www■youxiriben■net/navi/svch■exe
# にウイルス

bagayalu■netは
Created: 2007-08-11
のいつもの福建省の物です。

youxiriben■net, bagayalu■net, haiximaxida■netは同一鯖上の同一アカウントと推測されます。
192 ：(^ー^*)ノ～さん sage ： 2007/08/21(火) 22:39 ID:P8n7Cd6V0: ぶっ、名前欄はスルー推奨で…
193 ：(^ー^*)ノ～さん sage ： 2007/08/21(火) 23:23 ID:0AFyfbF/0: >>190-191
カスペとNOD32、全てブロック。
但し、NOD32は、ヒューリスティックONでないと引っ掛からないかも。（２種類は可能性として検知）

Kaspersky
chengzhi.exe:Trojan-Downloader.Win32.Agent.bpp
king.cur:Exploit.Win32.IMG-ANI.ac
test.exe:Trojan-Spy.Win32.Agent.nq

NOD32
chengzhi.exe:Win32/Delf.NDF ワームの亜種（自動提出発動）
king.cur:Win32/TrojanDownloader.Ani.Gen トロイの亜種
test.exe:Win32/Genetik トロイの亜種
194 ：(^ー^*)ノ～さん sage ： 2007/08/22(水) 10:30 ID:xUCqGYDk0: 質問です。adultcybernet.comというのはアカハックでしょうか？
踏んでしまったのですが怖くてＲＯにログインできません。
ぐぐっても分からないのでどなたか教えていただけると幸いです。
195 ：(^ー^*)ノ～さん sage ： 2007/08/22(水) 10:32 ID:cWEGE/n40: >>194
テンプレ読もうぜ
196 ：にゅぼーん にゅぼーん：にゅぼーん: にゅぼーん
197 ：(^ー^*)ノ～さん sage ： 2007/08/22(水) 11:12 ID:3g2n9gcL0: 頭弱すぎる奴が爆撃してるな
ここが何のスレだか分かってるのか
198 ：(^ー^*)ノ～さん sage ： 2007/08/22(水) 11:18 ID:fL4bLuRI0: つーか、攻撃なんじゃないか？かなり釣れてしまう危険を感じる…
199 ：(^ー^*)ノ～さん sage ： 2007/08/22(水) 11:19 ID:fnlt8BYh0: ほぼ全スレに爆撃してるな。ハックかどうかはわからないが。
200 ：(^ー^*)ノ～さん sage ： 2007/08/22(水) 11:30 ID:LHltot110: ゲンダマの自分の登録をクリックさせようとするやつだね
201 ：(^ー^*)ノ～さん sage ： 2007/08/22(水) 11:35 ID:Ke9sVomV0: しかも登録してもパスは解けないと聞いたことがある(ダマシ系)
すれ違いだけど。
202 ：(^ー^*)ノ～さん sage ： 2007/08/22(水) 13:30 ID:ma55+xeC0: とりあえずやばげなスクリプトらしき物はhtmlにも画像にも埋まってなかったので
見ただけ程度なら大丈夫っぽいかな
203 ：(^ー^*)ノ～さん sage ： 2007/08/22(水) 13:43 ID:YkG9sVOn0: >>196
ミスクリしてもーた('A`)
見ただけで後はどこも触ってないし
チェッカー見る感じだと特に変な物はいってないしまあいいか
204 ：(^ー^*)ノ～さん sage ： 2007/08/22(水) 14:18 ID:slrz/Fk+0: 念を入れてHDDのチェックをするに越したことはないけどね。

そこで配布されてるファイルのチェックまでは流石にしてないが、仮にそれに
罠が仕込まれてて引っかかったとしても、それはもう自業自得だろうし。
205 ：(^ー^*)ノ～さん sage ： 2007/08/22(水) 14:20 ID:3g42ucwj0: チェッカーがなんか攻撃うけてるとかでIP規制されてたな
206 ：(^ー^*)ノ～さん sage ： 2007/08/23(木) 01:05 ID:BsGGvqB+0: >205
前から負荷かかってる時にそうなってた。
その負荷が攻撃かどうかは判らんけど、今になって始まった事じゃないよ。

で、>196のコピペ爆撃がまた始まった模様。
このスレとかにも飛んでくるかも。
207 ：(^ー^*)ノ～さん ： 2007/08/23(木) 01:05 ID:bCz7VmzCO: また懲りずに何か貼ってるようだけど。頭悪そうだけどどうしよう
208 ：にゅぼーん にゅぼーん：にゅぼーん: にゅぼーん
209 ：(^ー^*)ノ～さん sage ： 2007/08/23(木) 01:12 ID:kkpgHNWT0: 一応見かけたら赤ハック～～って警告かいてるよ
だれも踏まないと思うけど
一応警告文がないスレみたら書いてほしいかな～
210 ：(^ー^*)ノ～さん sage ： 2007/08/23(木) 01:35 ID:BsGGvqB+0: >209
今回はLiveROの方にも爆撃してるっぽい。
211 ：(^ー^*)ノ～さん sage ： 2007/08/23(木) 06:52 ID:b0/m0ehR0: >>209
垢ハックだと無駄に不安煽るから
ダマシ系でいいんでね？
ソース見る限り垢ハックじゃないよー
212 ：(^ー^*)ノ～さん sage ： 2007/08/23(木) 07:23 ID:URRYiPwC0: 不安を煽るくらいで丁度いいよ
用心しすぎるくらいでないと
213 ：(^ー^*)ノ～さん sage ： 2007/08/23(木) 09:51 ID:ulTK08h40: 亀レスだけど、そのにゅぼーんサイト一応全部たどって見たら
呼び出されてるのは

・アクセス解析
・カウンター処理

だけっぽいね、他のリンクはFC2自体の広告と
別サイトへのリンクのみ。
別サイトリンクはクリックしない限り移動しないし、移動先は
BOTやツール配布みたいなサイト。

そのサイトも一応調べたけど↑と同じく解析とカウンターだけで
特に問題は無いと思う。
広告のソースに混ざってなんかあったらあれだから
いろんな人が書いてるように踏んだ人はウィルスチェックするに越した事はないね。

ついでに移動先のリンク内は各種ZIPだけどパスかかってて中身はわからんけど
げんだま登録の詐欺だから辞めときな～
214 ：(^ー^*)ノ～さん sage ： 2007/08/24(金) 05:23 ID:FxcbSiuk0: >>213
カスペルスキーでチェックしたけどなんも無し
多分ｾﾌｾﾌ
215 ：(^ー^*)ノ～さん sage ： 2007/08/24(金) 15:32 ID:Iets4BMl0: 毎度おなじみ福建人の新ドメイン

www■rakurten■com/blog/
www■tafcone■net/blog/svch■exe

20日登録の割にモノは古臭く、VIRUSTOTAL上の殆どのもので検出。
Result: 26/32 (81.25%)

お約束だがこれらも同時登録。
郵便番号が竜岩市ではなく明溪市なのが目新しい。
竜岩(longyan)の郵便番号は364000

Registrant:
tu xiaolong
Fujianlongyan
365200
¸£½¨ÁúÑÒÎ÷ÚéÕòÊ¯ÇÅÍ·´å

Administrative Contact:
chen jinian
tu xiaolong
Fujianlongyan
longyan Fujian 365200　(郵便番号が明溪市）
CN

Registration Date: 2007-08-20
216 ：(^ー^*)ノ～さん sage ： 2007/08/24(金) 15:47 ID:Iets4BMl0: 罠エキサイトブログ発見。

rmtro■exblog■jp/

言うまでも無く記事は全部他所からパクリ。

記事などのリンク部分がこれ
www■wacacop■net/blog/
215で記載したtafconeにあるsvchを呼び出す。

登録情報ももちろん同じ(20日登録他)。

エキサイトに苦情を発射済み。
217 ：(^ー^*)ノ～さん sage ： 2007/08/24(金) 17:20 ID:/+T6TOvu0: >>215
報告乙。いつも助かってます。

NOD32
Win32/PSW.Maran トロイの亜種
Kaspersky
Trojan-PSW.Win32.Maran.gen

という訳で一安心。
218 ：(^ー^*)ノ～さん sage ： 2007/08/24(金) 22:13 ID:a8JNjG5U0: www■flipcjip■net/cgi/
ここ踏んじゃったんだけどまずいよね
Infected: Trojan-Downloader.VBS.Psyme.icが検出されるし…
219 ：(^ー^*)ノ～さん sage ： 2007/08/24(金) 22:19 ID:NMbyG7VL0: テンプレどうぞ
220 ：(^ー^*)ノ～さん sage ： 2007/08/24(金) 22:21 ID:/+T6TOvu0: >>218
そこまでわかってるなら >>5 。

こっちも参考にな。

セキュリティ対策、質問・雑談スレ3
ttp://enif.mmobbs.com/test/read.cgi/livero/1186660300/5
221 ：(^ー^*)ノ～さん sage ： 2007/08/25(土) 02:48 ID:5ggGxOlf0: kiss[1].html削除後カスペルでスキャン
一応駆除できたっぽいです
222 ：(^ー^*)ノ～さん sage ： 2007/08/25(土) 19:38 ID:dGGy+3fm0: 狩り中に垢ハック来ましたよ。
必死にログインしていたらキャラセレのパスワードだけ全てかえられた。
あちらが抵抗に屈したようでなんとか全てアイテムは無事でした。
時間は朝の５時頃でした。やはり普通の人は繋いでないような時間を狙うようですね。
手際のあまりの速さに驚きました。多分５分も隙があれば全アイテム盗まれたのではないぐらいの速さでした
パスは全て安全のパソコンから変えました。
223 ：(^ー^*)ノ～さん sage ： 2007/08/25(土) 20:11 ID:iohdSM740: >>222
お疲れ。どこで踏んだのか、なぜ発動させたのかをしっかり把握して繰り返さないようにな。
224 ：(^ー^*)ノ～さん sage ： 2007/08/25(土) 21:44 ID:bxzy4elp0: 毎度福建人の新ドメイン。
ebay013と言う名で8月10日頃あちこち攻撃していたようだ。
www■dentellexg■com/wenuser/

ページの中身は普段とは異なる形式、新メンバーか。
こちらではファイルを調べられず。

登録情報
Domain Name:dentellexg■com
Registrant:
ni hong liang
Fujian longyan
364000
？？？¨？？？？？？？？？？？？？？？？？？？？

Administrative Contact:
chen jinian
ni hong liang
Fujian longyan
longyan Fujian 364000
CN

Registration Date: 2007-08-02
225 ：(^ー^*)ノ～さん sage ： 2007/08/26(日) 01:50 ID:x2Cp+hjR0: >>154さんと同じアドレスを踏んでしまいました・・・
場所はティアメットキモスレ。
踏んでからROの起動とかしてないんですが、
早急に対処しないとヤバイんでしょうか？
226 ：(^ー^*)ノ～さん age ： 2007/08/26(日) 01:51 ID:x2Cp+hjR0: すみません。状況によっては緊急を要するので、
あげさせていただきます（汗）
227 ：(^ー^*)ノ～さん sage ： 2007/08/26(日) 01:57 ID:O0DwP/bL0: >>1
228 ：(^ー^*)ノ～さん sage ： 2007/08/26(日) 01:57 ID:JKD1zdDV0: 154をみたなら155も見ただろ。つまりそういうことだ
あなたがどんな環境かもわからないのに外からわかるわけないですね
テンプレを見てからきましょう
229 ：(^ー^*)ノ～さん age ： 2007/08/26(日) 02:01 ID:x2Cp+hjR0: 【　　アドレス　】 http://up■uppple■com/src/up5288.jpg
【気付いた日時】　踏んだのはつい20分ほど前
【　　　 OS　　】 XPhome
【使用ブラウザ】ほっとぞぬ/IE6
【WindowsUpdateの有無】 1週間ぐらい前
【　アンチウイルスソフト】ウィルスバスター2007
【その他のSecurty対策】なし
【ウイルススキャン結果】ウィルスバスター2007とカスペルスキーオンラインスキャンで検索中
【スレログやテンプレを読んだか】テンプレは読みました。ログは読めてません。
【hosts変更無
【PeerGuardian2導入】無
【説明】
ほっとぞぬで画像を別窓で開こうとしてしまい、
変なウィンドウが次々に開く許可を求めてきたので、
プログラムを強制終了して、再起動しました。
230 ：(^ー^*)ノ～さん age ： 2007/08/26(日) 02:18 ID:x2Cp+hjR0: ええっと、感染源のスレッド読むと上記のアドレスで
続々とハックされている模様（汗）

そこで、質問です。

罠と思われるURLを踏んでから感染したPCでの公式サイトへのログインは
行っていません。
また、RO自体は１DAYチケットで遊んでいるため、運よくチケットが切れている状態ですが、
この状態でパスワード等は盗まれますか？

また、感染したPCは現在オンラインスキャンの真っ最中なんですが、
別PCから公式にログインしてパスワードを変更するのは辞めた方がいいでしょうか？
231 ：(^ー^*)ノ～さん sage ： 2007/08/26(日) 02:28 ID:McgPI4680: >>230
諦めて引退しろ。
ちゃんとテンプレ読んだって自分で書いてあるのにこれも読めないのかお前は？

● 『アカウントハックアドレスを踏んだ』もしくは『ウィルスが見つかった』場合
　1) 速やかに感染PCのネットワークケーブルを外す
　
注)
　・安全確認されるまでNetworkに接続・ROクライアント起動・公式にログインは厳禁
232 ：(^ー^*)ノ～さん sage ： 2007/08/26(日) 02:30 ID:mbr0VOYy0: そうカッカするなって
質問する前にこのスレだけでも隅々まで読んでくれ
特に前例があるんだからその部分だけでもどれだけかわかるだろう
233 ：(^ー^*)ノ～さん sage ： 2007/08/26(日) 02:32 ID:B/U1zxDR0: ウィルススキャン結果で何も出なかったら多分大丈夫。
心配ならOS再インスコ。

なんか分からんけどプログラムを強制終了して、OS再起動は一番やっちゃだめな行為。
234 ：(^ー^*)ノ～さん age ： 2007/08/26(日) 02:49 ID:x2Cp+hjR0: ええと、ウィルスチェックの結果では該当するものは見つかりませんでした。

＞1) 速やかに感染PCのネットワークケーブルを外す

すでにオンラインスキャン中だったもので・・・
検索後、シャットアウトしました。

＞ウィルススキャン結果で何も出なかったら多分大丈夫。
＞心配ならOS再インスコ。

心配なので、明日以降にでもOS入れ直したいと思います。

＞なんか分からんけどプログラムを強制終了して、OS再起動は一番やっちゃだめな行為。
そうだったんですか・・・再起動するとウィルスが活動開始するのでしょうか（汗）

追記

感染PCをシャットアウト後、別のクリーンなPCから公式にログインし、
ガンホーIDとアトラクションIDのPASSを変更しました。
とりあえず、大丈夫だったようです。お騒がせしました。
235 ：(^ー^*)ノ～さん sage ： 2007/08/26(日) 03:56 ID:T+v5UDIv0: >>224さん
Firebugで確認したダウンロード先は以下の通りです。
http://www.dentellexg■com/wenuser/ro.exe

カスペルスキー先生に Trojan-PSW.Win32.maran.ff と警告されました。

感染手法は多分このあたり。

Microsoft XMLHTTP ActiveX コントロールの脆弱性
http://jvn.jp/cert/JVNVU%23585137/index.html

WindowsUpdateが正しく実行されていれば問題ないと思われます。
236 ：(^ー^*)ノ～さん sage ： 2007/08/26(日) 08:00 ID:DUKIvKLK0: >>229
一週間前くらいに同じのを踏んでAVGで検査したらいくつかファイルを隔離
またブラウザを起動したら前回の状態が残ったままで再度感染して別のモンを隔離

……という事をやからした自分はOSの再ｲﾝｽｺもせずROをやってます
もし垢ﾊｸ喰らったら引退するのもいい機会かと思いそのまま
237 ：(^ー^*)ノ～さん sage ： 2007/08/26(日) 08:34 ID:T+6kGXh70: >>236
駐車して鍵もかけずに車から離れ、「どうせ廃車にするからいいか」と放置するようなもんですよ。
あんたはいいかもしれないが、その盗難車が何に使われるか判らないと言うのに。

処で、アンチウイルスのオンラインスキャンはスキャン終わるまでオンラインじゃなきゃいけないのか?
オンラインでモジュールをダウンロードしたらあとは、事実上オフラインでスキャンできると思うのだが。
# そうでないとしたら、提供会社も暢気なもんだ。
238 ：(^ー^*)ノ～さん sage ： 2007/08/26(日) 10:27 ID:ukyHaGYu0: 垢ハックっていろんなパターンがあるだろうけど、対象URL踏んだ時になんらかの
アクションって起こるのか？
239 ：(^ー^*)ノ～さん sage ： 2007/08/26(日) 10:35 ID:xQd83r+I0: >>238

テンプレ
＞重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
＞対策・相談・雑談は>>2に有る雑談スレを利用して下さい。

セキュリティ対策、質問・雑談スレ3
http://enif.mmobbs.com/test/read.cgi/livero/1186660300/
240 ：(^ー^*)ノ～さん sage ： 2007/08/26(日) 14:40 ID:5u5W26Hd0: >>226
緊急を用するのであげますじゃねぇよｗｗｗ
お前の都合なんざしるかよ、ハゲｗ
（汗)とかマジキモいし、おまえみたいなアホは垢ハクされてもしかたねぇｗｗ
241 ：(^ー^*)ノ～さん sage ： 2007/08/26(日) 14:56 ID:IPbzQMe30: Let's　放置
242 ：(^ー^*)ノ～さん age ： 2007/08/27(月) 01:23 ID:GbTzU4oD0: なんつうか中華沸きすぎだろｗｗｗこのスレｗｗｗ
243 ：(^ー^*)ノ～さん sage ： 2007/08/27(月) 03:13 ID:pYFDcUvx0: なぜ最新のウイルス対策ソフトはいれてるのに
IEを使い続けるのか
244 ：(^ー^*)ノ～さん sage ： 2007/08/27(月) 06:57 ID:qQIaGBdV0: なぜIE以外は安全であると盲信できるのか。特にFx使い。
245 ：(^ー^*)ノ～さん sage ： 2007/08/27(月) 07:34 ID:JsJT3Gme0: そう宣伝されているからだろ。
246 ：(^ー^*)ノ～さん sage ： 2007/08/27(月) 11:33 ID:YeSzmXlr0: IEが最も使われているからそこを狙ってくるだけで、他のブラウザでも脆弱性はある。
「MACはウィルスの心配が無いんですよ」と言うあのCMと同じ事。ユーザー少ないから狙われてないだけ。
他のブラウザを使うのは対応としてはいいことだが、信頼しすぎてもいけない。
最大のセキュリティホールは自分自身の気の緩みなので、気を付けよう。
247 ：(^ー^*)ノ～さん sage ： 2007/08/27(月) 12:32 ID:RoQjsL/i0: 僕のホールも緩みっぱなしです
248 ：(^ー^*)ノ～さん ： 2007/08/27(月) 18:42 ID:wKdgwYdP0: 分かりきったことばかり
249 ：(^ー^*)ノ～さん sage ： 2007/08/27(月) 18:46 ID:YeSzmXlr0: 判ってない人や新規に見に来る人も居るからだろう。
上がっているから何かあったのかと思えば・・・
250 ：(^ー^*)ノ～さん sage ： 2007/08/27(月) 21:45 ID:Oa7UTdUC0: 最近はカスペを盲信してる人も多いみたいだしなぁ
251 ：(^ー^*)ノ～さん sage ： 2007/08/27(月) 22:16 ID:b6f14QmS0: >>247
よしケツ出せ、塞いでやる
252 ：(^ー^*)ノ～さん sage ： 2007/08/27(月) 22:40 ID:YeSzmXlr0: カスペは対応早いしセキュリティソフトとしては信頼がおける。どっかの管理会社とは違いますね！
ただ中華側もカスペをスルーするように作って来ているから気を付けないといかん。
253 ：(^ー^*)ノ～さん sage ： 2007/08/28(火) 08:34 ID:nMKsSISj0: こんな所にもNOD32厨が湧くのか。
254 ：(^ー^*)ノ～さん sage ： 2007/08/28(火) 08:38 ID:+b9NtN2u0: 　　　　[*<●>]ゞ
　　　　/[＿]
　　　　　|　|
255 ：(^ー^*)ノ～さん sage ： 2007/08/28(火) 22:26 ID:Gno44Pps0: ちょっと質問なんですが、www■yy14-kakiko■com/bbs/ のアドを
直接クリックはしなかったのですが、

・yahooでアドレスを検索してキャッシュをクリック→何も表示されず
・googleツールバーでアドレスを検索→真っ白な画面で何も表示されず

上記の行動でも感染するのでしょうか?
申し訳ありませんがご教授願えれば幸いです。
256 ：(^ー^*)ノ～さん sage ： 2007/08/28(火) 22:34 ID:lY/sBLtT0: なむ
257 ：(^ー^*)ノ～さん sage ： 2007/08/28(火) 22:39 ID:g60POqHc0: 直に開くのもキャッシュ開くのもソースで呼び出してる物は同じだろうし
その呼び出してる物が存在してるなら感染してる危険性はある
258 ：(^ー^*)ノ～さん sage ： 2007/08/28(火) 22:59 ID:Gno44Pps0: ありがとうございました
カスペルスキー辺りでチェックしてみます
259 ：(^ー^*)ノ～さん sage ： 2007/08/28(火) 23:44 ID:/R3Lg6th0: >>255
google側なら、stopbadwareの方針によって、サイトそのものの表示がブロックされた可能性も考えられる。
(検索結果一覧で、「このサイトはコンピュータに損害を与える可能性があります。」が備考として含まれるケース)
無論、調査のタイムラグもあり得るので、全てにおいて過信は禁物だが。
260 ：(^ー^*)ノ～さん sage ： 2007/08/29(水) 00:27 ID:EMnI4vsF0: >>237
感染したらスキャンするだけ時間の無駄無駄無駄ぁ！
そんな時間があるならとっととOSを再ｲﾝｽｺでもしとけｗｗｗｗド低脳ｗｗｗｗ

こうですか？

となると愚痴スレと一緒で、レス不要の報告スレになるな
261 ：(^ー^*)ノ～さん sage ： 2007/08/29(水) 05:56 ID:apvhdfbJ0: ＞垢ﾊｸ喰らったら引退するのもいい機会
アンチウィルスソフトによるアクションはあったが対策は不十分で、
もしかしたらウィルスを飼っているかもしれない状態だと認識しているのに放置

ウィルスによっては被害者が加害者にもなりうるものもあるので
上のような投げやりな態度は全く好ましくない。
262 ：255 sage ： 2007/08/29(水) 13:25 ID:I6HAzQMg0: あれから、カスペルスキーとトレンドマイクロオンラインスキャンで
チェックしてみましたがウィルスは検知されませんでした。

ID:g60POqHc0様、ID:/R3Lg6th0様ご教授ありがとうございました。
263 ：(^ー^*)ノ～さん sage ： 2007/08/29(水) 15:06 ID:NON9PfJO0: 毎度おなじみ福建人の新ドメイン、ページはまだ作っていないようだ。
最近の罠定形ディレクトリ、ブログやウィキは存在していない。
リネインフォのほうは期限切れしたものを再取得した？

Domain Name:lineageinfo■com
Domain Name:temateman■com

Registrant:
zhiqiang lin
fujian longyan
364000
？？？？？？？？

Administrative Contact:
zhiqiang lin
zhiqiang lin
fujian longyan
longyan Fujian 364000
CN

Registration Date: 2007-08-24
264 ：(^ー^*)ノ～さん sage ： 2007/08/29(水) 19:36 ID:NON9PfJO0: 263に追記と訂正、既に攻撃に使われているようでぐぐるとヒット。

掲示板などに書き込まれている罠。
www■Temateman■com/lineage/bbs-cgi

ステルスIFRAMEで飛ぶ罠置き場、カーソル脆弱性悪用。
www■lineageinfo■com/injplink/inlink■htm

injplinkと言う名のカーソルファイル。

VIRUSTOTALでの検出率は良好。
265 ：(^ー^*)ノ～さん sage ： 2007/08/30(木) 20:04 ID:ytCnBMal0: RO個人ブログに書き込まれていた罠。

ttp://www■mbspro6uic■com/mbsplink
たどる。
ttp://www■mbspro6uic■com/mbsplink/mbspr■htm
ttp://www■mbspro6uic■com/mbsplink/mbsp■cur
更にたどる。
ttp://www■mbspro6uic■com/mbsplink/xiaogui■exe
IPはいつものお約束でございました。
検体は確保していませんが、お約束過ぎてもう。
266 ：(^ー^*)ノ～さん sage ： 2007/08/31(金) 07:28 ID:MCAKlRHn0: 警察に行ってから装備が戻ってくるのって、だいたいどのくらいの時間がかかるのかな？
経験者いたら情報求む
267 ：(^ー^*)ノ～さん sage ： 2007/08/31(金) 10:55 ID:PwtZ3vY2O: 携帯からアカウントハックアドレスを踏んでしまった場合はどうなるのでしょうか。
PCとの互換が無いならば大丈夫なのでしょうか…

どなたかご回答宜しくお願い致します。
268 ：(^ー^*)ノ～さん sage ： 2007/08/31(金) 11:37 ID:ZfYXxFK/0: 【　　アドレス　】 http://firewing■exblog■jp/6343574/
【気付いた日時】 30分ほど前
【　　　 OS　　】 Microsoft Windows XP Home Edition Version2002 Service Pack 2
【使用ブラウザ】 IE6
【WindowsUpdateの有無】昨夜
【　アンチウイルスソフト】ウィルスバスター2007
【その他のSecurty対策】無
【ウイルススキャン結果】現在検索中
【スレログやテンプレを読んだか】今から詠みます
【hosts変更】無
【PeerGuardian2導入】無
【説明】
別ゲームのスレに張られていたものなのですが
張られた後、RoのアカハックURLだと指摘があり気になっているところです。
269 ：(^ー^*)ノ～さん sage ： 2007/08/31(金) 17:06 ID:rS+AP83J0: >>266-267
セキュリティ対策、質問・雑談スレ2
http://enif.mmobbs.com/test/read.cgi/livero/1177485590/

こっちのスレで待ってるぜ
270 ：(^ー^*)ノ～さん sage ： 2007/08/31(金) 17:08 ID:rS+AP83J0: スマン、間違えたこっちだ…
セキュリティ対策、質問・雑談スレ3
http://enif.mmobbs.com//test/read.cgi?bbs=livero&key=1186660300
271 ：(^ー^*)ノ～さん sage ： 2007/08/31(金) 17:29 ID:PwtZ3vY2O: >>270
ありがとうございます、早速書き込んできます。
272 ：(^ー^*)ノ～さん sage ： 2007/09/01(土) 01:53 ID:IRup8Unx0: 【　　アドレス　】確認し忘れました…
【気付いた日時】 8/30
【　　　 OS　　】 Microsoft Windows XP Home Edition Service Pack 2
【使用ブラウザ】 IE6 sp2
【WindowsUpdateの有無】自動更新：8/29
【　アンチウイルスソフト】 NortonInternetSecurity2006
【その他のSecurty対策】 Spybot S&D
【ウイルススキャン結果】 Norton（検出されず）カスペルスキー：オンライン（検出されず）
【スレログやテンプレを読んだか】今から詠みます
【hosts変更】有　8/31更新
【PeerGuardian2導入】無
【説明】
TyrWiki内SiteMenuのLinkが別のページへのLinkに書き換えられていました。
後日修正されていたので、気になっています。
273 ：(^ー^*)ノ～さん sage ： 2007/09/01(土) 02:50 ID:RdlcpWe/0: 差分にもバックアップにも形跡は無いけども・・・
274 ：(^ー^*)ノ～さん sage ： 2007/09/01(土) 04:28 ID:0h9uAlHH0: >>272
あなたのIEの履歴を見れば踏んだアドレスはわかるので可能だったら調べてください。
PCの設定を弄っていない限り、踏んだアドレスは確実に履歴に残っていますから。

若しもそれが危険なアドレスだった場合、或いは誤解であった場合もそれで確認
が出来るので是非報告を。
275 ：(^ー^*)ノ～さん sage ： 2007/09/01(土) 08:47 ID:2U31VXHk0: >>272
サイトメニューのリンクを踏んでいなければ（自動で飛ばされてもいなければ）
感染の可能性はないんだけど、その辺はどうなの？
276 ：(^ー^*)ノ～さん sage ： 2007/09/01(土) 11:42 ID:IRup8Unx0: >>274
履歴を頻繁に消去しているので、残っていません。
今ではその習慣が裏目に出たと思っています。

>>275
リンクを踏んで、飛ばされてしまいました。
すぐに、おかしいと思ってIEを終了させています。
8/30に『安全の為に (BSWiki)』を見て思い出して、ウイルス検索等を実行し、
以前の書き込み　272　の結果です。
277 ：(^ー^*)ノ～さん sage ： 2007/09/01(土) 11:51 ID:2U31VXHk0: >>276
踏んだけれど、発動させたかどうかわからないという状態ですね。
自己責任でそのまま使うか、再インストールで確実に安全と言える環境に戻すかです。
下記を参考に対処されて下さい。

セキュリティ対策、質問・雑談スレ3
http://enif.mmobbs.com/test/read.cgi/livero/1186660300/5

■なにか踏んだ時に取るべき対処■
>１－２．発見されなかった場合
>１－２－１．リスクを覚悟でそのまま使う（非推奨）
>　　　　　リスクを減らす為に、NOD32、カスペなど複数のソフト（試用版が入手できる筈）でスキャンを繰り返し
>　　　　　安全である可能性が高いことを確認すること。
>　　　　　ただし複数のソフトを同時にインストールすると干渉してOSが不安定になる事があるので注意。
>１－２－２．再インストール
>　　　　　　メーカー製の場合、データのバックアップをとって、リカバリーをかける。
>　　　　　　自作やショップブランドの場合、データのバックアップをとって、ＯＳを入れなおす。
278 ：(^ー^*)ノ～さん ： 2007/09/01(土) 19:07 ID:slvlFJ6L0: カスペでなんか検出

C:\WINNT\system32\kb1sskp.dll 感染: Trojan-PSW.Win32.OnLineGames.aie

いやん対策まだん・・・
279 ：(^ー^*)ノ～さん sage ： 2007/09/01(土) 19:16 ID:2U31VXHk0: >>278
キーロガーっぽい名前だね。対処頑張れ。
280 ：278 sage ： 2007/09/02(日) 01:36 ID:yQSObIJl0: kb1sskp.dll 内にapplication/x-www-form-urlencodedの記述を発見
キーロガー（どこにPOSTしてるか不明、実行ファイルがわからんちん・・・）

とりあえずレジストリ検索
『kb1sskp.dll』を検索
・HKEY_CLASSES_ROOT\CLSID\{ED0ACB58-556F-21DA-DDFE-6D20F3F61FBB}\InProcServer32
　　文字列：C:\WINNT\system32\kb1sskp.dll
・HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ED0ACB58-556F-21DA-DDFE-6D20F3F61FBB}\InProcServer32
　　C:\WINNT\system32\kb1sskp.dll

『ED0ACB58-556F-21DA-DDFE-6D20F3F61FBB』を検索
・HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached
　　バイナリ：{ED0ACB58-556F-21DA-DDFE-6D20F3F61FBB} {00000000-0000-0000-C000-000000000046}
・HKEY_USERS\S-1-5-21-1202660629-1935655697-1060284298-500\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached
　　バイナリ：{ED0ACB58-556F-21DA-DDFE-6D20F3F61FBB} {00000000-0000-0000-C000-000000000046}

上記の4つのレジストリはペアなので片方消したらもう片方も消える
281 ：278 sage ： 2007/09/02(日) 01:37 ID:yQSObIJl0: kb1sskp.dll　バスターでも検出
TROJ_NSPM.SZ - 概　要
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FNSPM%2ESZ&VSect=P
TROJ_AGENT.AAUB
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FAGENT%2EAAUB&VSect=P
レジストリ改変なしとのこと・・・ハテ？
ついでにkb1sskp.dllを勝手に削除された・・・（これにより調査続行不能・・・）

以前↓踏んだ時に検出出来なかった残りカスだろうか？
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
C:\WINNT\system32\winSpy32.dll
C:\WINNT\svchost.exe　　　　　　　(サービス名 ADIDown で登録）
C:\WINNT\system32\WinSpy.exe
C:\WINNT\system32\tj9viewer.dll

そん時の対応
TROJ_XPACK.LB - 詳　細
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FXPACK%2ELB&VSect=T
TSPY_MARAN.D - 対応方法
http://www.trendmicro.co.jp/vinfo/grayware/ve_graywareDetails.asp?GNAME=TSPY%5FMARAN%2ED&VSect=Sn

ウィルスファイルを削除すると
ネット接続が出来なくなるので修復
LSP（Layered Service Provider）の修復方法 | 製品Q&A : トレンドマイクロ
http://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=jp-210538
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　以上
282 ：278 sage ： 2007/09/02(日) 13:13 ID:RgJXZpcg0: 以下が二組のウィルス
・C:\WINNT\system32\WinSpy.exe
　C:\WINNT\system32\winSpy32.dll
　C:\WINNT\system32\kb1sskp.dll
　
　『kb1sskp.dll』は『kb1ss1p.dll』など1字違いのファイル名が組み込まれる
　%WinDir%\system32\kb1ss○p.dll　（○部分が変化）

・C:\WINNT\svchost.exe　　　　　　　(サービス名 ADIDown で登録）
　C:\WINNT\system32\tj9viewer.dll

　『tj9viewer.dll』は『tj2viewer.dll』など1字違いのファイル名が組み込まれる
　%WinDir%\system32\tj○viewer.dll　（○部分が変化）
283 ：(^ー^*)ノ～さん sage ： 2007/09/02(日) 20:26 ID:C82MMdvf0: やってしまったorz
【　　アドレス　】 http://www■youxiriben■net/navi/
【気付いた日時】 9/2　19時ごろ
【　　　 OS　　】 WinXP sp2
【使用ブラウザ】 FireFox Ver1.5.0.12
【WindowsUpdateの有無】 9/1
【　アンチウイルスソフト】ウィルスバスター2006
【その他のSecurty対策】なし
【ウイルススキャン結果】 (カスペルスキー、シマンテックのオンラインスキャン+バスターのスキャン中)
【スレログやテンプレを読んだか】 (このスレは読みました)
【hosts変更】(無)
【PeerGuardian2導入】(無)
【説明】
RMCでなんとなくアドレスを踏んだら何もない画面が出て、検索してみたら危険アドレスでした

アドレスを踏んでからROへのログイン、キャラ変更等はしていません。
284 ：(^ー^*)ノ～さん sage ： 2007/09/02(日) 20:32 ID:51RGIha20: >>283
ＲＭＣに最近張られてるやつは全部垢ハックのＵＲＬです。
今すぐＯＳを再インストールしてください。

その後自宅環境じゃないＰＣからガンホパスとアトラクションパスも変えましょう。
正直時間が命だから急がないと手遅れになるよ。
285 ：(^ー^*)ノ～さん sage ： 2007/09/02(日) 21:01 ID:fxhcSjrh0: ウイルスバスターが去年のっていうのはさほど問題ないと思うんだ、定義更新があれば
ただFirefox使ってるならVer2以降にしておこうよ
286 ：(^ー^*)ノ～さん sage ： 2007/09/02(日) 21:27 ID:pkrRHPTZ0: >>283
セキュリティソフトが反応しなかった
　・入手前に遮断した
　・すり抜けてしまった
のケースが考えられる。

現在、複数のスキャナでスキャン中なので、どの結果を踏まえて、本体入手前だったのか、すり抜けたのかの
判断自己責任で行ない、そのまま使うか，ＯＳ入れなおして確実に安全な環境にするかを選択すること。

頑張れよ。
287 ：(^ー^*)ノ～さん sage ： 2007/09/02(日) 23:15 ID:XU6dof1b0: 今日になってmixiのRO関係コミュに貼られまくってるfc2ブログ系
一つだけ内容を抜粋します。

[ゲフェン塔を降りられない。] トピック

2007年09月02日
21:17 報告させていただきます。
(mixiネーム検閲)

報告させていただきます。

・♂騎士デフォヘアーに愛連打
・http://suberokk188■blog118■fc2■com/
・ヘアースタイル

お手数ですがよろしくお願いします。

-----ここまで
携帯のフルブラウザから飛ぶとなにやら怪しい中国語らしきものがあり、
その中のクリックすると「対応していないJavaScriptがあります」
とでました。
ソースチェッカーにかけると「このアドレスは危険URLの一つです」
ウイルス/トロイの木馬不正スクリプトチェッカーソフトを使ってたどっていくとSuper IE 0dayというものが検出されました。
288 ：(^ー^*)ノ～さん sage ： 2007/09/02(日) 23:43 ID:C82MMdvf0: 283です。
スキャンしたところ感染なしと出ました
ただ引っかかっていないだけという可能性も捨てきれないので
やはりOS再インストールが安全そうです。
>>285
FireFoxの更新を放置したまますっかり忘れていました。
Ver2にしました。
289 ：(^ー^*)ノ～さん sage ： 2007/09/02(日) 23:44 ID:51RGIha20: >>288
お前さんはレスくれたみんなにお礼も言えないのか？
290 ：(^ー^*)ノ～さん sage ： 2007/09/02(日) 23:53 ID:H3YrsqlR0: テンプレに当てはめて報告するやつはそれは安全だよっつー望み薄の答えを期待してるだけで
別に対策とかを聞きたいわけじゃないからな。
テンプレ通りの答えはもう何度も見てきてるだろ。
291 ：(^ー^*)ノ～さん sage ： 2007/09/02(日) 23:55 ID:C82MMdvf0: >>289
すみません

>>284
>>285
>>286
別PCからのパス変更、FireFoxの更新等無事に行えました。
すり抜けている可能性も指摘していただきとても助かりました
ありがとうございます。
292 ：(^ー^*)ノ～さん sage ： 2007/09/03(月) 01:00 ID:1LwCLNZ+0: 272です。
276の書き込みのあと、危険を覚悟で複数のオンラインスキャンを実行　現時点では何も発見されていません。
試用版を利用して再確認、状況によってはリカバリーをかけようと思います。

>>274
>>275
>>277
いろいろと、ありがとうございました。
293 ：(^ー^*)ノ～さん sage ： 2007/09/03(月) 02:50 ID:hSLykTn20: すいません、俺も>>288さんとおんなじような状況になってしまったので

Cドライブ初期化→パスワード変更→DドライブにいたらやばいのでDドライブもフォーマット→パスワード変更

で今に至るのですが、垢ハックウィルスがどういうものなのかよくわからないのですが、Cドライブを初期化したときにDドライブからウィルスがCドライブにウィルスが逃げてきていているなんてことはあるのでしょうか？　
そうすると今もウィルスが今も潜んでいることになるような気がするんですが、垢ハックのウィルスってどういった感じなんでしょうか？よかったら教えてください
294 ：(^ー^*)ノ～さん sage ： 2007/09/03(月) 04:01 ID:q2dR3T1W0: >>293
垢ハックウィルスに限定した話で言えば、システムの処理の一部を乗っ取り、情報を盗み取るのが目的であって、意図的に
システムパーティション(普通はC:ドライブ)以外にシステムフォルダを割り振ったりしない限りは、他の領域への感染は起こりにくい。
但し、広義のマルウェア全般に対象を広げた場合は、手当たり次第にローカルファイルに感染・破壊活動を行うものもあるので注意。
295 ：(^ー^*)ノ～さん sage ： 2007/09/03(月) 04:53 ID:ctrImdJH0: >>293
垢ハックは、ウィルスというより、主にスパイウェア・トロイと呼ばれる分類のものなので、
他の実行形式ファイルに取り付いて、二次感染を引き起こす作りのものはないと思っていい。
（感染能力を持った、ウィルスとしての性質も持つ垢ハックが出はじめる可能性がないとは言い切れないが）

トロイの性質について概要
ttp://ja.wikipedia.org/wiki/%E3%83%88%E3%83%AD%E3%82%A4%E3%81%AE%E6%9C%A8%E9%A6%AC_(%E3%82%B3%E3%83%B3%E3%83%94%E3%83%A5%E3%83%BC%E3%82%BF%E3%83%BC)

勿論、個別に性質や、発動手法が異なるので、一般的な話にしか過ぎない。
セキュリティソフトが検出した名称を、グーグル等で検索し、具体的な性質を読むのが正確な理解に繋がると思う。

あと、この手の「一般的な相談」については、セキュスレが担当するので、次回からはそちらを利用して欲しい。
　>>1
　>一般的なセキュリティ対策・相談・雑談は>>2に有る雑談スレを利用して下さい。

セキュリティ対策、質問・雑談スレ3
http://enif.mmobbs.com/test/read.cgi/livero/1186660300/
296 ：(^ー^*)ノ～さん sage ： 2007/09/04(火) 10:46 ID:x0G6nf5g0: 毎度おなじみ福建人の新ドメイン。
www■makgcat■com
www■shagigi■net
www■pinkdoo■com

パターン1：国内掲示板で見つけた。
www■makgcat■com/img■htm
www■makgcat■com/mmdd■exe

パターン2：中華掲示板で見つけた。
www■makgcat■com/wmv■htm
www■pinkdoo■com/smss■exe

pinkdooのsmssはカスペが検出しない、同じエンジンのF-Secureは検出。
オンラインスキャンの場合、両者使ったほうがいい。
この逆もありえるわけで。

登録情報、こいつも福建竜岩、と。
Domain Name ..................... pinkdoo■com
Registrant Name ................. meili wang
Registrant Organization ......... longdahaomengong shi
Registrant Address .............. longyanshizhongshanglu 33hao
Registrant City ................. longyan
Registrant Province/State ....... Fujian
Registrant Postal Code .......... 364000
Registrant Country Code ......... CN

国内のは場違いトピのレスに。
中華掲示板のはなんだろ？台湾の大学の掲示板？
所構わず爆撃して踏ませれば誰かはゲームやって引っかかるから無差別でいいやって感じか。
下手な鉄砲～って奴だ。
297 ：(^ー^*)ノ～さん sage ： 2007/09/04(火) 10:50 ID:FR0MUF4q0: 厨国人がドメイン取得するの禁止出来ないのかねぇ
取りすぎだろ
298 ：(^ー^*)ノ～さん sage ： 2007/09/04(火) 12:02 ID:IAe6S/5c0: >>296
確かに、カスペすり抜けてるな。検体提出してくるよ。

NOD32
mmdd.exe : Win32/Pacex.Gen
smss.exe : Win32/Pacex.Gen

Kaspersky
mmdd.exe : Trojan-PSW.Win32.Nilage.bnu
smss.exe : Not Detected
299 ：(^ー^*)ノ～さん sage ： 2007/09/04(火) 12:43 ID:IAe6S/5c0: >>298
カスペ早いな…。パターン更新準備中だったのかも。次の更新で対応だってさ。

smss.exe_ - Trojan-PSW.Win32.Nilage.bnx
300 ：(^ー^*)ノ～さん sage ： 2007/09/04(火) 14:35 ID:SwfkBMLk0: >>296
mmdd.exe は前に見たな。vviccd520■com で。
301 ：(^ー^*)ノ～さん sage ： 2007/09/04(火) 14:47 ID:n4dT0IWo0: >>296
乙です

いっつも思うんだけどどうやって見つけてくるの？
302 ：(^ー^*)ノ～さん sage ： 2007/09/04(火) 15:12 ID:5FnoNv7n0: >>301
一例ではあるが、こんなサービスもあったりするので。
同じIPを使っている他のサイトの一覧を出してくれる『myIPneighbors』 | 100SHIKI.COM
ttp://www.100shiki.com/archives/2007/06/ipmyipneighbors.html
連中は、自前サーバで同一IPを使い回していることが多いので、芋蔓式に出てくる事も珍しくはないかと。
303 ：(^ー^*)ノ～さん sage ： 2007/09/04(火) 15:49 ID:c+KPOi3T0: ノートン先生からカスペル先生に変えてみたんだが、
メンテ終わって起動してみたら（リスクウェア　HiddenObjectに感染しています）
って出て強制切断喰らったんだけど。
これって復元しても大丈夫？
304 ：(^ー^*)ノ～さん sage ： 2007/09/04(火) 16:10 ID:SwfkBMLk0: nProtectがrootkitまがいの事をやってるからだろ。
305 ：(^ー^*)ノ～さん sage ： 2007/09/04(火) 17:19 ID:n4dT0IWo0: >>302
なるほど中華犯罪サーバー（マンション）って訳か
ウィルス作ってる当人もバレバレなんだろうし捕まえる方法って無いのだろうか？
って思って通報サイトを探してきた
動いてくれるのだろうかは謎

警察庁インターネット安全・安心相談
ttp://www.cybersafety.go.jp/
全国警察サイバー犯罪相談窓口等一覧
ttp://www.npa.go.jp/cyber/soudan.htm

IHJ：キーワード別トラブル対策【オンラインゲーム】
ttp://www.iajapan.org/hotline/consult/others/game.html

関係薄いが
インターネット・ホットラインセンター［HOME］
ttp://www.internethotline.jp/
306 ：(^ー^*)ノ～さん sage ： 2007/09/04(火) 18:10 ID:FR0MUF4q0: 海外のネット犯罪は取り締まれないって聞いた気がするんだが
だから厨華がやり放題なんだと
307 ：(^ー^*)ノ～さん sage ： 2007/09/04(火) 18:21 ID:8aFaYHCC0: ドイツの政府コンピューターに中国のハッカーがクラッキングしている事を発表されて、
中国大使館の返答が「何ら根拠のない無責任な憶測」と言い切る国だからな。
308 ：(^ー^*)ノ～さん sage ： 2007/09/04(火) 19:11 ID:RWFIk1oV0: rootkitまがいというかプロセス隠蔽とかrootkitそのものの動作だけどな。
309 ：(^ー^*)ノ～さん sage ： 2007/09/04(火) 20:35 ID:SwfkBMLk0: >>306
別に中国に限らんよ。
最近多いワームecardがアメリカから日に2桁近く届く。

>>307
ペンタゴンも中国軍に食われたけど
ttp://www.technobahn.com/cgi-bin/news/read2?f=200709041916
ま、冷戦当時から米ロはもっとやってるだろうさ。
ばれないように。ばれたら取引に。
310 ：(^ー^*)ノ～さん sage ： 2007/09/04(火) 20:50 ID:7HXTdunP0: そろそろ雑談になりかけているので、
続けたいならLiveROでやりましょー。
311 ：(^ー^*)ノ～さん sage ： 2007/09/04(火) 21:00 ID:SwfkBMLk0: だな。
トロイの情報をお待ちしております。
312 ：(^ー^*)ノ～さん ： 2007/09/05(水) 06:46 ID:vNe0B2fe0: 【　　　 OS　　】windows XP homeedition
【使用ブラウザ】 IE
【WindowsUpdateの有無】自動更新で一ヶ月ほど前
【　アンチウイルスソフト】 NortonInternetSecurity2006
【その他のSecurty対策】 Spybot
【ウイルススキャン結果】カスペルスキーオンラインスキャンでExploit.HTML.Mht発見
【スレログやテンプレを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
最近アカウントハッキングの話題が絶えないので今Spybotとカスペルスキーオンラインスキャンを試してみたのですが
両者でExploit.HTML.Mhtというウイルスがnortonとwindows fire wallから検出されました。
セキュリティソフトという事もあって駆除を選んでいいのか判断しかねています。
よろしかったらアドバイスお願いします。
313 ：(^ー^*)ノ～さん sage ： 2007/09/05(水) 07:24 ID:GtaNwAsF0: >>312
ググれば速攻で分かる事をわざわざ書くのもアレだが
攻撃性のあるウィルスを自動ダウンロードさせるスクリプト、要するにウィルスの一部だ。
削除しろ。

もちろんOSのパッチも当てろよ。自動更新なんか待っとらずに。
314 ：(^ー^*)ノ～さん sage ： 2007/09/05(水) 07:45 ID:lR9DnEMe0: 昨日に続いて毎度おなじみの福建人の新ドメイン。
台湾の掲示板で発見、台湾内の特にアダルト？掲示板を無差別攻撃中。
今のところ対日攻撃に使われた形跡は無いが、そのうち使われるだろう。

www■pcutw■com/smss■htm
www■pinkdoo■com/smss■exe　（呼び出すもの）

登録情報、福建竜岩、と。
Domain Name ..................... pcutw.com
Registrant Name ................. ou lingfeng
Registrant Organization ......... ou linfeng
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... Fujian
Registrant Postal Code .......... 364000
Registrant Country Code ......... CN
315 ：(^ー^*)ノ～さん sage ： 2007/09/05(水) 12:59 ID:HNpE1Ihi0: 台湾向けのようで、バスターが珍しく検知した。
Packerがよくわからんけど、Upackの改造版かなぁ。
316 ：(^ー^*)ノ～さん sage ： 2007/09/05(水) 18:42 ID:lR9DnEMe0: さらに福建人の罠ドメインと置き場を発見。

www■twbbss■org/naked/Photos■pif
www■twbbss■org/naked/Star■rar
www■twbbss■org/lineage/51-70■pif
tw■happyssky■com/setup_SLL■com

これまた珍しい完全数字ドメインの罠。
置き場のmedcludはどうも連中の得意技、サイトクラックっぽい。
1037729794/feeds/mp3
www■medclub■com■tw/english/image/0O■Exe

Domain Name: medclub■com■tw
Registrant:
〓得科技有限公司
MEDCLUB SCIENTIFIC CO., Ltd.
3F-4,No.120,Pa-De,Rd.,Lin-Kou Shien,Taipei Taiwan

Record expires on 2010-06-07 (YYYY-MM-DD)
Record created on 1999-04-13 (YYYY-MM-DD)
317 ：(^ー^*)ノ～さん sage ： 2007/09/05(水) 19:58 ID:JMwB6Xt90: 一太郎、Lhaz、ラグナロクなど8月は標的型攻撃が頻発～トレンドマイクロ
ttp://internet.watch.impress.co.jp/cda/news/2007/09/05/16804.html

また、「ラグナロクオンライン」のアカウント情報を盗み取ろうとするTSPY_MARANが1位に入った点や、
オンラインゲーム「リネージュ」のアカウント情報を盗み取ろうとするTSPY_LINEAGEが、
7月に複数の正規Webサイトの改竄で拡散した結果4位に入ったことを挙げ、
「情報や金銭の不正な取得を目的として、
特定のソフトウェアやサービスの利用者を標的とした攻撃が頻発している」として注意を呼びかけている。

ついに一位かmaran
318 ：(^ー^*)ノ～さん sage ： 2007/09/05(水) 20:03 ID:pLUW4mRI0: トレンドマイクロのMaranの詳細みてきたら、

国別コンピュータ感染数
Taiwan 269
United States 61
Japan 5
Hong Kong 2

ってなってて、日本に比べて台湾の感染台数の多さにあせったわ。
319 ：(^ー^*)ノ～さん sage ： 2007/09/05(水) 20:14 ID:yak/IZ5X0: >>316
今回は、なんか、珍しい検出の仕方。
カスペとNOD32が、それぞれ見逃す物を、もう片方では検出するという。検体提出行ってきます。

Kaspersky
Photos.pif : Trojan-PSW.Win32.OnLineGames.bnn
51-70.pif : Trojan-PSW.Win32.OnLineGames.bnn
setup_SLL.com : すりぬけ
0O.Exe : すりぬけ
Star.rar : 内部ファイル名が中国語らしくチェックに失敗
　　　　　ファイルへのアクセスに失敗する。
　　　　　ファイル名をアクセス可能なものに変更すると、rar内部の
　　　　　Setup.bat（実体は実行ファイル）が Trojan-PSW.Win32.OnLineGames.bnn

NOD32
Photos.pif : すりぬけ
51-70.pif : すりぬけ
setup_SLL.com : Win32/PSW.Maran.JG トロイ
0O.Exe : Win32/Genetik トロイの亜種
Star.rar : すりぬけ（内部展開後もすりぬけ）
320 ：(^ー^*)ノ～さん sage ： 2007/09/05(水) 21:58 ID:djisKzv80: >>318
台湾嫌われすぎワロタｗ
ＵＳが多いのはなんでだろ？なんかあったっけか
321 ：(^ー^*)ノ～さん sage ： 2007/09/05(水) 22:02 ID:3RMPUSTG0: 単純にPC保有台数が多いからだろ
322 ：(^ー^*)ノ～さん sage ： 2007/09/05(水) 22:16 ID:sBxUy69T0: 台湾は狙われているというよりは
「ウィルスに感染しました。でもそんなの関係ねぇ！」
っていう国民性だったりして。
323 ：(^ー^*)ノ～さん sage ： 2007/09/05(水) 22:28 ID:yak/IZ5X0: >>319
やっぱカスペは対応早いな。もう報告が来た。次のアップデートで対応。

0O.exe_ - Trojan-PSW.Win32.OnLineGames.boq,
setup_SLL.com_ - Trojan-PSW.Win32.Maran.nb
324 ：(^ー^*)ノ～さん sage ： 2007/09/05(水) 23:27 ID:pSU0s28b0: 数字ドメインもう一つ発見。
乗っ取りサイトは攻撃拠点になりつつあるな。

3541426973/wav/prviacy　（罠。これ自体マカフィーなどは検出する）

以下この数字ドメインから呼び出されるもの一覧。
www■medclub.com■tw/english/image/O0■Exe　（置き場）

www■medclub■com■tw/order/3■htm
www■medclub■com■tw/order/1■ani　（中身：新手のカーソルトラップ）

www■medclub■com■tw/order/1■css
www■medclub■com■tw/order/xxx■exe （中身：cssの中に含まれている置き場予定地？）

www■medclub■com■tw/order/1■txt　（txt詐称のexeファイル）

罠の詰め合わせってところ。
aniファイルなんぞは23時時点でVIRUSTOTALでわずか4つしか検出しない。
NOD32はすりぬけてる。
325 ：(^ー^*)ノ～さん sage ： 2007/09/06(木) 09:03 ID:SXua8XVA0: www■biglobe-ne■com/bbs を踏んでしまったのですが

avastとトレンドマイクロとカスペルで調べても異常がありませんでした。
垢ハックのURLを踏んでも感染しないって事あるんでしょうか？

あと、ROに接続しているときに踏んでしまったのでそれ以来ずっとログアウトしないでROに接続しっぱなしなんですが
誰か別の人が同じアカウントにログインしたらわかりますかね？
たとえば「他の人がログインしたので接続を中断します」など表示されるとか

それならば今のところ誰かログインしてきた形跡は無いのですが・・・
326 ：(^ー^*)ノ～さん sage ： 2007/09/06(木) 09:08 ID:2T2SJgqf0: どの程度対策を施してたか（hosts書き換えやPG2）でブロックしてる可能性もある
要はテンプレ
向こうの動向もあるし、置き換えや削除で空とか

盗むのはログイン時の情報、ログインしたままならそこから何か取られる事はないかと思う
同IDで他からログインした場合はログインしてる側に警告ウインドウが出て落とされる

あとはLiveROの方がいいのかな
327 ：(^ー^*)ノ～さん sage ： 2007/09/06(木) 10:05 ID:Bn6YMzdc0: 毎度おなじみ福建人により改竄されたと思われる罠サイト。
罠も置き場もサイトクラックで改竄、ワールドワイドに進行中。

sammitr■co■za/toyota■htm (罠)

呼び出されるもの
www■medclub■com■tw/order/3■htm
328 ：(^ー^*)ノ～さん sage ： 2007/09/06(木) 11:47 ID:NrA2K3XX0: 踏んでしまったようなので、ご教授願います・・・。

【　　アドレス　】http://www■mbspro6uic■com/mbsplink
【気付いた日時】今日の10時頃
【　　　 OS　　】Microsoft Windows XP Professional SP2
【使用ブラウザ】Opera/9.01
【WindowsUpdateの有無】ほとんど行っていません
【　アンチウイルスソフト】avast! ver.4.7
【その他のSecurty対策】ルータ程度
【ウイルススキャン結果】avastで行ったところ、発見できませんでした
【スレログやテンプレを読んだか】このスレは読みました
【hosts変更】なし
【PeerGuardian2導入】なし
【説明】
アドレスを開いてみたら、真っ黒な画面が表示されたのでマズいと思い検索してみたら、
前スレに似たようなアドレスがたくさんあったので、怪しいアドレスと判断しました。

ハックアドレス踏んだことに気づいた直後から、ネットワークケーブルは外しています。
あと、別PCからアカウントのパスワードは変更しました。

アドバイスありましたらよろしくお願いします。
329 ：(^ー^*)ノ～さん sage ： 2007/09/06(木) 11:56 ID:0VZOVk310: >328
スレやテンプレ読んだなら、次にする事は判るだろ。
カスペのオンラインスキャンとかを使ってHDDスキャンして、感染して無いかを
チェックして、感染してたら駆除する。
それで安全になったと自信がもてたらそのPCを使う。
持てないならOS再インストールコース。

それと
>【使用ブラウザ】Opera/9.01
>【WindowsUpdateの有無】ほとんど行っていません
>【hosts変更】なし
>【PeerGuardian2導入】なし
下２つはともかく、WUやって無いのは論外。
テンプレ読んで対策講じておかないと、そのうちまた罠を踏む事になる。
Operaも現行Verは9.2系だし、こちらも更新しておく必要がある。
330 ：(^ー^*)ノ～さん sage ： 2007/09/06(木) 11:57 ID:2T2SJgqf0: まず間違いないだろうからフォーマット後OS再インストールが安全で確実かな
それが嫌ならまずkaspersky辺りでオンラインスキャンをしてみては？

あとwinupdateはこれから毎月心がけましょう、自動更新されてる可能性もありますが
331 ：(^ー^*)ノ～さん sage ： 2007/09/06(木) 12:03 ID:NJJUIYjp0: ウィンドウズアップデートをしないでネットをするという事は、
強盗だらけの所に裸で首から万札ぶら下げて歩いてるくらい危険なことなんで、
アップデートの通知のONとか毎月決まった日にチェックとかするといいよ。
332 ：328 sage ： 2007/09/06(木) 12:04 ID:NrA2K3XX0: >>329
>>330
お早い返答ありがとうございます。
やはり踏んでるとのことですので、自信もてるまで駆除してみます。

あと、今後は自動更新ONにするように心がけます・・・。
333 ：(^ー^*)ノ～さん sage ： 2007/09/06(木) 12:05 ID:NJJUIYjp0: あ、自動更新はなんか遅かったり上手く行われてなかったりする事などもあるのでお勧めしない。
通知ONとかのがオススヌ。
334 ：(^ー^*)ノ～さん sage ： 2007/09/06(木) 12:06 ID:2T2SJgqf0: >>332
緊急以外のときは毎月第二水曜がupdate日だから覚えておくと良いかもね
自動更新でもすぐ更新はいる訳じゃないから
335 ：328 sage ： 2007/09/06(木) 12:19 ID:NrA2K3XX0: 自動更新より自分で更新した方がいいんですね。
カスペルスキー等での検査が終わったら更新してみます。
336 ：(^ー^*)ノ～さん sage ： 2007/09/06(木) 12:22 ID:2T2SJgqf0: そいえばテンプレにWindowsupdateのサイトないね、基本的なところだけど一応
http://www.update.microsoft.com/
337 ：(^ー^*)ノ～さん sage ： 2007/09/06(木) 12:24 ID:CsN6YwLI0: >>335
カスペルでスキャンしてる間にOS入れ直せば確実で早く復帰できるのにな。
何が悲しくて確実じゃない方を取るんだか。
駆除って選択もあるとは思うが、
ここでどうしたらいいか指示を仰いでるようじゃ到底無理だしな。

ちょっとでも危険があって何年もかけて稼いだ装備やZeny取られるよりは
確実な方がいいと思うけど。
338 ：(^ー^*)ノ～さん sage ： 2007/09/06(木) 12:30 ID:NJJUIYjp0: カスペをスルーするように作ってある検体もあるらしいので、
F-Secureとかでもオンラインチェックやるといいかも。
339 ：(^ー^*)ノ～さん sage ： 2007/09/06(木) 12:34 ID:7a6Gb7BD0: 完全数字ドメインって要するにIPの10進表記なんだよね。
例えば、127.0.0.1の場合http://2130706433/でもアクセスできる。
上記の場合
3541426973 -> 211.21.227.29
1037729794 -> 61.218.128.2
となる。

そんな表記方法もあったことおじちゃんすっかり忘れてたよー。
Scriptを書き換えなきゃ…。
340 ：(^ー^*)ノ～さん sage ： 2007/09/06(木) 12:50 ID:D2SS+eZ40: 既に「ドメイン」では無くなっているけどね。
なんでも、ロングIPアドレスと、主に(というほど周知されてはいないが)呼ばれている模様。
昨年の段階で、フィッシング等への悪用が指摘されていた。
ttp://www.itmedia.co.jp/enterprise/articles/0603/16/news003_2.html
それと、IE6.0では脆弱性を突かれる利用法もあるとか。
ttp://www.riso-net.co.jp/longip.html
341 ：(^ー^*)ノ～さん sage ： 2007/09/06(木) 12:50 ID:BW0Va5yf0: 誰なのかわかった気がした
342 ：(^ー^*)ノ～さん sage ： 2007/09/06(木) 12:51 ID:FEReKq9H0: >>338
Fセキュはマルチエンジンで、メインエンジンはOEMのカスペなので
カスペとの併用はちょっと意味なさげ。
個人的には併用には非常駐のBitDefenderがおすすめ。
343 ：(^ー^*)ノ～さん sage ： 2007/09/06(木) 14:53 ID:+/A+Hf+q0: 別のHDDにOS入れてネットワーク構築しておいて
オンラインスキャン専用にしといたらいいのにな
感染したHDDは外付けなりにして
スキャン専用OSでスキャンしたら感染が広がらずに良いし
ロックされてるファイルも簡単に削除できて楽なのに
344 ：(^ー^*)ノ～さん sage ： 2007/09/07(金) 07:52 ID:2rY3JSJA0: >>324 の1.txtはexeではなくchmなので、提出する場合はchmで。
hh -decompileで逆コンパイルするとfucksnow.exeが出てくる。
345 ：(^ー^*)ノ～さん sage ： 2007/09/07(金) 09:53 ID:Nu4TJJCz0: 更に中華の罠ドメインを発見。

罠。
www■suibianla■com/photo03jpg■scr
dapo3478■com/chat■com

ダポ3478の方は、カスペ系全滅、NOD検出。
ダポ3478は7日9時50分時点でVIRUSTOTAL検出率21.88
346 ：(^ー^*)ノ～さん sage ： 2007/09/07(金) 10:13 ID:Nu4TJJCz0: 345に追記。
上のURLドメイン、suibianlaはどうもクラックされたもののようだ。
ルートディレクトリは同学録(学校系)？サイト見たいだし。

なんか中華の罠置き場にクラックサイトが増えてきたような気がする。
ドメイン名資源が底をついてきたと言うことか。
347 ：(^ー^*)ノ～さん sage ： 2007/09/07(金) 10:27 ID:B+at998k0: >>345-346
検体入手に失敗。管理者が気付いて消されたのかも。余裕があったら、カスペ等への提出も頼む。
348 ：(^ー^*)ノ～さん sage ： 2007/09/07(金) 10:35 ID:0jlI9DQz0: >>345
7-zipで開くとこんなのがあった。
photo03jpg■scr→winlogoh■exe　
chat■com→6■sfx■exe
シマンテックに検体送付しました。
349 ：(^ー^*)ノ～さん sage ： 2007/09/07(金) 10:49 ID:B+at998k0: >>345-346
反応がやたら鈍いだけで、ひたすらリトライしたら検体取得できました。提出行ってきます。

>>348
乙。あそこは提出面倒だから助かった。他には出してきますね。
350 ：(^ー^*)ノ～さん sage ： 2007/09/07(金) 10:53 ID:B+at998k0: NOD32
chat.com : >>RAR >>6.sfx.exe >>RAR >>6.exe - Win32/Pacex ウイルス
photo03jpg.scr : >>RAR >>winlogoh.exe - Win32/PSW.Maran トロイの亜種

Kaspersky
chat.com : Not Detected
photo03jpg.scr : Trojan-PSW.Win32.Maran.ns
351 ：(^ー^*)ノ～さん sage ： 2007/09/07(金) 11:22 ID:B+at998k0: ほい、カスペは次の更新で対応っと。

chat.com_ - Trojan-Dropper.Win32.Agent.btt
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
352 ：(^ー^*)ノ～さん sage ： 2007/09/07(金) 11:30 ID:0jlI9DQz0: はえーよｗ
353 ：(^ー^*)ノ～さん sage ： 2007/09/07(金) 11:57 ID:lgbKclR60: そりゃまぁ世界最速対応がウリの会社だからな
どっかの集金会社を比較対象として連想するだけで失礼ってもんだ
354 ：(^ー^*)ノ～さん sage ： 2007/09/07(金) 12:17 ID:2rY3JSJA0: >>316 >>324 の続きで
www■medclub■com■tw/english/pipet/image/l.exe
という仕込みもあった。
355 ：(^ー^*)ノ～さん sage ： 2007/09/07(金) 12:30 ID:0jlI9DQz0: >>354
シマンテックに検体送付しました。

>>353
ヽ(`Д´)ﾉ
356 ：(^ー^*)ノ～さん sage ： 2007/09/07(金) 12:32 ID:0jlI9DQz0: >>354
virustotalに投げてみた

AntiVir 7.6.0.5 2007.09.06 HEUR/Malware
Avast 4.7.1029.0 2007.09.06 Win32:OnLineGames-GS
CAT-QuickHeal 9.00 2007.09.06 (Suspicious) - DNAScan
DrWeb 4.33 2007.09.06 BackDoor.Pigeon.199
eSafe 7.0.15.0 2007.09.04 Suspicious Trojan/Worm
Ikarus T3.1.1.12 2007.09.07 Trojan.Popwin.R
Microsoft 1.2803 2007.09.06 Trojan:Win32/SystemHijack.gen
NOD32v2 2511 2007.09.07 a variant of Win32/PSW.Lineage.ACN
Panda 9.0.0.4 2007.09.06 Suspicious file
Rising 19.39.40.00 2007.09.07 Trojan.PSW.Lineage.mug
VBA32 3.12.2.4 2007.09.06 suspected of Embedded.MalwareScope.Trojan-PSW.Game.14
Webwasher-Gateway 6.0.1 2007.09.07 Heuristic.Malware
357 ：345-346 sage ： 2007/09/07(金) 13:55 ID:Nu4TJJCz0: ID違うのはOS入れ直していたので。

suibianlaはよくよく調べるとクラックではなくパクリドメインらしい。
ソースには”saved from url”という行とリンクがある。
/ディレクトリ上に複数のscr罠を置いて、台湾掲示板各所で宣伝していた。
他に確認できたものはalbumpup1■scrなんてものも。
お騒がせ失礼しました。

で、またも発見、今度はメイドイン台湾。
www■madeintw■com■tw/beida24jpg■scr

これまたソースチェックすると出るのは学校。
これもソース中の”saved from url”を含む行とリンクがある。

学校サイトをパクるかなんかで利用するのが新手口？
検索されても出てくるのは学校、学生と思わせ安心させようという魂胆かも。

メイドイン台湾の情報、やっぱりというか何というか福建人だった。
同じパターンでもあるsuibianlaも福建人（もしくは仲間）かもね。
Domain Name ..................... madeintw.com
Registrant Name ................. qiu cheng
Registrant Organization ......... qiu cheng
Registrant Address .............. haichang
Registrant City ................. xiamen
Registrant Province/State ....... fujian
Registrant Postal Code .......... 361000
Registrant Country Code ......... CN
358 ：(^ー^*)ノ～さん sage ： 2007/09/07(金) 15:33 ID:2rY3JSJA0: 前はエロだか出会いサイトだかを丸ごとコピってたな。
359 ：(^ー^*)ノ～さん ： 2007/09/07(金) 15:54 ID:/Gzx/WV/0: 【　　アドレス　】 http://nilgiri2■blog57■fc2■com/

「tyr gvg links」：http://r■hatena■ne■jp/cnumlab/
tyrのgvg関連のblogのはてなRSS（オンラインRSSリーダー）なのですが
登録されている「冬ノ道ノセイ」というblogが
「らいくちゃんが行く」というblogになり
しかも内容が新規プレイヤーであるかのようなものに書き換わっていました

>出陣じゃぁ
>2007/09/06(木) らいくちゃんの日記トラックバック：0 コメント：0
>ラグナロクオンラインをしてみることにしました。
>裸一貫のスタートということで
>のんびりプレイしてみたいと思いましゅ。
>当面は魔法使いを目指すことにしました。
>お金を貯めてS1アークワンドという武器を45ｋで
>買いました。次はﾌﾟﾊﾟCの刺さった防具を買いたいな＾＾
>どの敵なら倒せるか、いろいろ試してみます。
>がんばるじょぉ！！

アカウントハックコメントのコピペのようでもあり不安になったのですがこれは安全なのでしょうか
ソースには<meta http-equiv="content-script-type" content="text/javascript">が含まれているものの
スクリプトそのものらしきものは見当たりませんでした（見落としているだけかもしれません）

元の利用者が退会し新たに同URLでblogを始めた人がたまたまROを新規スタートしただけであればいいのですが
360 ：(^ー^*)ノ～さん sage ： 2007/09/07(金) 15:56 ID:B+at998k0: 重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談は>>2に有る雑談スレを利用して下さい。

※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません
361 ：(^ー^*)ノ～さん sage ： 2007/09/07(金) 15:58 ID:/Gzx/WV/0: もう見てしまった後なのでこちらかと思ってんですが
あちらのが良いのですね、分かりました
362 ：(^ー^*)ノ～さん sage ： 2007/09/07(金) 17:53 ID:B+at998k0: >>354
カスペのオンラインスキャンでひっかからなかったので、賢弟提出してみた。
既知のものとして返答が合ったので、パターン更新前にオンラインスキャンしただけなんだろう。多分。
（NOD32は両方検知）

beida24jpg.scr_ - Trojan-PSW.Win32.Maran.ns,
l.exe_ - Trojan-PSW.Win32.Delf.aan
363 ：(^ー^*)ノ～さん sage ： 2007/09/07(金) 19:20 ID:0jlI9DQz0: >>357
両方とも7-zipで開くと>>348と同一のwinlogoh■exeがでてきました。
MD5:
BB63C0E4BE09A3E3A7AE33DA8AAC1398
SHA1:
B3A6ED173C852477E8FB8BFE0B2007003AA2452E
一応、シマンテックに検体送付しました。
364 ：(^ー^*)ノ～さん sage ： 2007/09/07(金) 20:56 ID:2rY3JSJA0: スマンテック対応遅いよ…。
365 ：(^ー^*)ノ～さん sage ： 2007/09/08(土) 19:51 ID:+oSaup3w0: 345で書いたsuibianlaのもう一つの罠、albumpup1。
www■suibianla■com/albumpup1■scr
VIRUSTOTALで調べてみた。
8日19時45分時点での結果。
F-Secure　検出
カスペ　スルー
NOD32　検出
シマンテック　スルー
366 ：(^ー^*)ノ～さん sage ： 2007/09/08(土) 20:25 ID:Pi5nIe2w0: >>365
オンラインスキャンで、カスペに引っ掛からない事を確認した上で検体提出。

Trojan-PSW.Win32.Maran.kl

次のアップデートで対応予定だと即返事が来た。誰かが先に検体提出済みだったのかも。
367 ：(^ー^*)ノ～さん sage ： 2007/09/08(土) 20:32 ID:+oSaup3w0: 先日の改竄サイトに新しくファイルを置いたらしい。
トヨタに続いてトヨトかい。
福建人どもは車とか好きらしいね、特に日本車が。

sammitr■co■za/toyoto■htm

呼び出されるもの。
www■medclub■com■tw/chinese/newly/image/top■exe

VIRUSTOTALで調べてみた。
8日20時25分時点での結果。
F-Secure　検出
カスペ　スルー
NOD32　検出
シマンテック　スルー

ついでにマカフィーもスルー。
368 ：(^ー^*)ノ～さん sage ： 2007/09/08(土) 21:25 ID:G0Sh6wKu0: >>354シマンテックからの返事
\l■exe Our automation was unable to identify any malicious content in this submission.
The file will be stored for further human analysis

Our automation was unable to identify any malicious content in this submission.
The file will be stored for further human analysis

おｒｚ。

>>365,>>367
シマンテックに検体送付しました。

>>365のalbumpup1■scrを7-zipで開くと>>348と同名ですがハッシュが違うwinlogoh■exeがでてきました。
MD5:
95A988567DA054AC45EAEFFB0017A9BD
SHA1:
D20D83E91DDB95CF342CD12FE70F7F8D30C0C0B3
369 ：(^ー^*)ノ～さん sage ： 2007/09/08(土) 22:03 ID:Pi5nIe2w0: >>367
ほい、カスペが新種として対応しますと。

top.exe_ - Trojan-PSW.Win32.OnLineGames.cek
370 ：(^ー^*)ノ～さん sage ： 2007/09/10(月) 08:16 ID:m65Kvuof0: 気になるものを見つけた。

台湾の学校サイトクラック
cmca■mis■ccu■edu■tw　(クラック)
tw■hpxw■com　(ドキュメントは移動したとクリック誘引する飛ばしサイト)
www■macrcmedia■com/realplay/yahoo■js （罠1）
www■macrcmedia■com/realplay/css■js　（罠2）
難読化されている。

そのjsファイルのままだと検出率最低。
VIRUSTOTALの殆どのソフトで検出しない、10日8時現在で1割程度。
どっちもF-Secure、カスペ、NOD32、シマンテックスルー

マクロメディアもどき、四川成都登録。
クラックの手法(ページそのものを改竄せずIFRAMEだけ仕込む)、飛ばしの方法。
福建人が時折四川成都を登録情報に書くこと、
以前登録情報内の福建のFJをBJと書いていた（鉛筆で書いても線を足すだけ）

ココ暫くあちらの学校サイトをパクった罠ドメインなどが多発していること。
これを考えればメンバーか極めて近い関係を思われる。

Domain Name.......... macrcmedia■com
Creation Date........ 2006-07-19 13:15:22
Expiry Date.......... 2008-07-19 13:15:22
Organisation Name.... music 99snow
Organisation Address. chengdushiyulin27hao
Organisation Address.
Organisation Address. chengdu　(四川省成都市)
Organisation Address. 611171
Organisation Address. BJ　(以前の罠ドメインで福建FJをBJにしたものあり)
Organisation Address. CN
371 ：(^ー^*)ノ～さん sage ： 2007/09/10(月) 08:58 ID:m65Kvuof0: 370の追加情報。
www■macrcmedia■com/realplay/css■js　からこれが呼び出されるらしい。
【罠本体】
www■macrcmedia■com/realplay/real■exe

実行ファイルだとそこそこの検出率。
10日8時50分時点でのVIRUSTOTAL　(real■exe)
F-Secure　検出
カスペ　検出
NOD32　すりぬけ
シマンテック　すりぬけ
検出率62.5％
372 ：(^ー^*)ノ～さん sage ： 2007/09/10(月) 09:05 ID:L3kzNNtC0: >>370
www■macrcmedia■com/realplay/real.exe
Kaspersky Trojan-Downloader.Win32.Agent.cpz
スクリプトは文字コード足したり引いたりすれば際限がないから
検知しなくてもいいと思う。
373 ：(^ー^*)ノ～さん sage ： 2007/09/10(月) 09:14 ID:L3kzNNtC0: かぶったｗ
374 ：(^ー^*)ノ～さん sage ： 2007/09/10(月) 09:49 ID:4wXHN8p10: >>370-371
各社に検体提出してきました。/(^^)
375 ：(^ー^*)ノ～さん sage ： 2007/09/10(月) 15:51 ID:bQb0y+VB0: 【　　アドレス　】www■chaosx0■com/roblog/
【気付いた日時】昨日
【　　　 OS　　】 XP
【使用ブラウザ】 IE7
【WindowsUpdateの有無】自動にしているけどいつか覚えてないです
【　アンチウイルスソフト】 avast
【その他のSecurty対策】
【ウイルススキャン結果】なにもでず
【スレログやテンプレを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
とんだ先がなにもない白紙ページだったので…。
こういうのに疎いのでよくわからないんでどうしたらいいのか。
376 ：(^ー^*)ノ～さん sage ： 2007/09/10(月) 16:04 ID:sGhFvUvw0: とりあえずカスペでオンラインスキャンしてこい
377 ：(^ー^*)ノ～さん sage ： 2007/09/10(月) 18:59 ID:6QY7TTtC0: >375
それ、なんちゃって餃子板。
まとめサイトにも載ってる中華の垢ハックサイト。

ソースチェッカーで見ると www■raginfoy■com/roblog/ro■exe をDLさせてるっぽい。

>376の言うようにカスペのオンラインスキャンかけて、どうなるかをチェック。
後のことはまとめサイト等を見て処置。

それと踏んだのが昨日との事だが、そのPCでROにログインしたりアトラクションセンターに
ログインしたりしてないよな？
もししてたら手遅れの可能性が出てくるので、『そのPC以外で』PASS変更等々を最優先。
378 ：375 ： 2007/09/10(月) 19:12 ID:bQb0y+VB0: カスペでオンラインスキャンでは検知はされませんでした。
別PCでパス等変更したので大丈夫だと思います。
スキャンで検知されなかったからといって安全ではないですよね…。
379 ：(^ー^*)ノ～さん sage ： 2007/09/10(月) 19:13 ID:bQb0y+VB0: sage忘れた･･･
380 ：(^ー^*)ノ～さん sage ： 2007/09/10(月) 19:37 ID:4wXHN8p10: >>378
>スキャンで検知されなかったからといって安全ではないですよね…。
Yes

そこに置かれている本体を敢えて入手し、それが検出できることを確認できているセキュリティソフトで
チェックすることで、すり抜けたのではなく入手前に切断できたと確認する方法もあるが、誤爆で発動させる
危険性が高い為にお勧めできない。

やはり、自己責任でセキュリティソフトを信じるか、ＯＳ入れなおしからやって確実に安全にするかを判断すること。
このスレでの推奨は、ＯＳ入れなおし。それ以外の方法で、確実に安全と断言できないから。

>sage忘れた･･･
踏んだ時の相談だから問題無い。気にするな。
381 ：(^ー^*)ノ～さん sage ： 2007/09/11(火) 00:13 ID:HCS++8jv0: 自分の所に張られていたので、簡易報告のみですが｡
やり方間違ってたら､すみません　m(_ _)m
rustyaden■blog118■fc2■com/

フレームタグ
www■woshijianren■com/jpjp/jpro■htm
www■woshijianren■com/jpjp/Ms06014■htm
スクリプト
analyzer■fc2■com/analyzer■js?uid=1007475
382 ：(^ー^*)ノ～さん sage ： 2007/09/11(火) 01:28 ID:DZmy5Gmv0: >>381
そのスクリプトはたぶんFC2ブログのアクセス解析。
ちょっと補足すると
www■woshijianren■com/jpjp/jpro.htm
↓
その1 www■woshijianren■com/jpjp/test.cur (アニメーションカーソルの脆弱性)
その2 www■woshijianren■com/jpjp/Ms06014.htm (ASCII7bitコードを8bit化)
いずれも
www■woshijianren■com/jpjp/jpro.exe
をダウンロードし実行(VBで作られた簡易なダウンローダ)。
このダウンローダは
www■woshijianren■com/jpjp/jprobang.exe
をダウンロードし実行(これがトロイ本体)。
このトロイ、PEヘッダが妙に多数あるので
ちょっといじってから提出します。
383 ：(^ー^*)ノ～さん sage ： 2007/09/11(火) 01:41 ID:DZmy5Gmv0: 数え間違えてなければPEヘッダ(exeとかdllとか)6個もあった…。
PackerはUPXとASPackかなぁ。いろいろ詰め合わせの予感。
384 ：(^ー^*)ノ～さん sage ： 2007/09/11(火) 02:06 ID:51Dtbwuw0: >>357
シマンテックから返事

ファイルを分析しました。送られたそれぞれのファイルについてわかったことを
以下に報告します。
\beida24jpg■scr
コンピュータ:
結果: このファイルの検出結果 Trojan.Dropper. ttp://www.symantec.com/avcenter/venc/data/trojan.dropper.html
\albumpup1■scr
コンピュータ:
結果: このファイルの検出結果 Trojan.Dropper. ttp://www.symantec.com/avcenter/venc/data/trojan.dropper.html
\winlogoh■exe
コンピュータ:
結果: このファイルの検出結果 Infostealer.Gampass. ttp://www.symantec.com/avcenter/venc/data/infostealer.gampass.html

>>345
>>348のwinlogoh■exeもInfostealer.Gampass.として検出。
winlogoh■exeが入ってるphoto03jpg■scr、
chat■comとその中身の6■sfx■exeはまだ未対応…
385 ：(^ー^*)ノ～さん sage ： 2007/09/11(火) 08:14 ID:fHd/4uJM0: >381
福建人の罠ブログだな。
ドメイン所有者はもちろん毎度おなじみの福建人ども。
6月登録で対日、台湾攻撃に多用されたのが8月のようなので
それまでは発覚＞対策を恐れ寝かせたと思われる。

Domain Name ..................... woshijianren■com
Registrant Name ................. qiaoqiao qiaoqiao
Registrant Organization ......... chenqiaoqiao
Registrant Address .............. Fujianlongyan,Fujianlongyan
Registrant City ................. longyan
Registrant Province/State ....... Fujian
Registrant Postal Code .......... 364000
Registrant Country Code ......... CN
Expiration Date ................. 2008-06-11 10:14:09
386 ：(^ー^*)ノ～さん sage ： 2007/09/11(火) 08:23 ID:fHd/4uJM0: www■woshijianren■com/jpjp/jprobang■exe

8時20分のVIRUSTOTAL結果
F-Secure　検出
カスペ　検出
NOD32　検出
シマンテック　スルー
検出率53.13％
387 ：(^ー^*)ノ～さん sage ： 2007/09/11(火) 10:03 ID:NSqqZEq30: NOD32でhtmが検出されないのは一応正常。（本体じゃない）
カスペは予防的に引っ掛かるようにしてるんだな。対応してくれるかもしれないので、一応提出かけてくるわ。

NOD32
jpro.htm : Not Detected
test.cur : Win32/TrojanDownloader.Ani.Gen トロイの亜種
Ms06014.htm : Not Detected
jpro.exe : Win32/TrojanDownloader.VB.NME トロイ
jprobang.exe : Win32/PSW.Agent.NFX トロイ

Kaspersky
jpro.htm : Trojan-Downloader.JS.Agent.hf
test.cur : Exploit.Win32.IMG-ANI.ac
Ms06014.htm : Trojan-Downloader.VBS.Agent.ar
jpro.exe : Trojan-Downloader.Win32.Small.fjw
jprobang.exe : VirTool.Win32.Adrenaline.a
388 ：(^ー^*)ノ～さん sage ： 2007/09/11(火) 17:22 ID:IKH2dY5n0: 駄目な人なりにですが、
UPされている危険サイト・ドメインリストを参考にして
まとめサイトの070822以降のhostリストの追加分を作ってみました。

自己責任で置き換えで■をドットに戻してから
まとめサイトのhostリストに追加すれば多分使用できるかなと…。

以下は最終更新の070822版以降にリストに記述されていないと思われる
皆様方に報告していただいた罠の一覧です。
正常起動するかわかりませんので記述の分類やなど
間違っている箇所があれば、皆様方に修正していただきたく思います。
389 ：388 sage ： 2007/09/11(火) 17:23 ID:IKH2dY5n0: #070822以降
127.0.0.1 www■blogplaync■com
127.0.0.1 www■rakurten■com
127.0.0.1 www■tafcone■net
127.0.0.1 www■wacacop■net
127.0.0.1 www■dentellexg■com
127.0.0.1 www■makgcat■com
127.0.0.1 www■shagigi■net
127.0.0.1 www■pinkdoo■com
127.0.0.1 www■pcutw■com
127.0.0.1 www■twbbss■org
127.0.0.1 www■medclub■com■tw
127.0.0.1 www■madeintw■com■tw
127.0.0.1 www■macrcmedia■com
127.0.0.1 www■woshijianren■com
127.0.0.1 www■lineageinfo■com
127.0.0.1 www■temateman■com

127.0.0.1 blogplaync■com
127.0.0.1 rakurten■com
127.0.0.1 tafcone■net
127.0.0.1 wacacop■net
127.0.0.1 dentellexg■com
127.0.0.1 makgcat■com
127.0.0.1 shagigi■net
127.0.0.1 pinkdoo■com
127.0.0.1 pcutw■com
127.0.0.1 twbbss■org
127.0.0.1 medclub■com■tw
127.0.0.1 madeintw■com■tw
127.0.0.1 macrcmedia■com
127.0.0.1 woshijianren■com
127.0.0.1 lineageinfo■com
127.0.0.1 temateman■com
390 ：388 sage ： 2007/09/11(火) 17:23 ID:IKH2dY5n0: 127.0.0.1 tw■happyssky■com
127.0.0.1 happyssky■com

#数字ﾄﾞﾒｲﾝ
127.0.0.1 1037729794
127.0.0.1 3541426973

#ｸﾗｯｸ暫定
127.0.0.1 dapo3478■com
127.0.0.1 www■suibianla■com
127.0.0.1 sammitr■co■za
127.0.0.1 cmca■mis■ccu■edu■tw
127.0.0.1 tw■hpxw■com
127.0.0.1 rustyaden■blog118■fc2■com
391 ：388 sage ： 2007/09/11(火) 17:31 ID:IKH2dY5n0: コレを纏めている際に思ったのですが
今までまとめサイトに上がっているリスト分、
つまりこの追加分以前の罠を踏んでしまう事例が結構あるよう見受けられました。

なので、今現在まとめサイトに上がっているリストだけでもいいので
アカハック被害を自衛する為にも周りに進めて貰えたらと。

ファンサイトでの叫びやらゲーム中に露店を見るのは切ないんです。
392 ：388 sage ： 2007/09/11(火) 17:33 ID:IKH2dY5n0: >ゲーム中に露店を
つまり「↓アカハック露店」とかそういうのがまあ…。
雑談っぽくなってすみませんでした。では名無しに戻ります。
393 ：(^ー^*)ノ～さん sage ： 2007/09/11(火) 17:51 ID:G+hSJjlz0: >>388
乙。
BS-Templateさんとこに最新の情報に追従しているhostsファイルが有るけど、
まとめサイトさんのを使っている人には差分の追加という事で有用だと思うよ。
394 ：(^ー^*)ノ～さん sage ： 2007/09/11(火) 18:14 ID:MvOqJVTY0: 素朴な質問なんだが
hostsファイルに数字ドメイン記述しても効果あるの？
数字ドメインてIPアドレス直打ちと同じことなんだよね？
395 ：(^ー^*)ノ～さん sage ： 2007/09/11(火) 18:40 ID:VuKip78x0: 数字ドメイン　と言うから勘違いになるんだよね。IP10進表記って。
396 ：(^ー^*)ノ～さん sage ： 2007/09/11(火) 20:01 ID:3lqpx/QQ0: しかし10進表記(ロングIPアドレス)も複数あるのが問題。
192.168.0.1
192.11010049
3232235521
これ全部意味合いは一緒。

Windowsがどこまで解釈してるのか覚えてないが、他にも表記方法あったはずだし
全部に対応させるのは結構難しい（面倒）かも。
397 ：(^ー^*)ノ～さん sage ： 2007/09/11(火) 22:06 ID:51Dtbwuw0: >>382
jprobang■exe
ノートン対応 Trojan.Dropper
398 ：(^ー^*)ノ～さん ： 2007/09/11(火) 22:07 ID:5VT4IwAL0: RMCの掲示板に　http://www.bagay●●u.net/na●●/　とここまでのURLしか
貼られていませんでしたがこれだけでも踏むと感染するのでしょうか？
399 ：(^ー^*)ノ～さん sage ： 2007/09/11(火) 22:11 ID:LMGn3LYJ0: >>398
対策していなければ感染します。
400 ：(^ー^*)ノ～さん sage ： 2007/09/11(火) 22:12 ID:NSqqZEq30: >>398
>テンプレ
>重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
>対策・相談・雑談は>>2に有る雑談スレを利用して下さい。

すると断言はできないが、しないとも断言できない。可能性はある。
あと、それが危険URLなのか、なにかの宣伝spamなのかはわからない。
この回答でよく判らないからセキュスレへ移動して、改めて質問を。
401 ：(^ー^*)ノ～さん sage ： 2007/09/11(火) 22:18 ID:dpNr2/HK0: >>398
テンプレ埋めて報告してちょ
踏んだんならこのスレでおｋ
402 ：(^ー^*)ノ～さん ： 2007/09/11(火) 22:19 ID:5VT4IwAL0: >400さんRESありがとうございます

どうやら板違いのようですが、失礼ついでに398のURLを踏んでみます
人柱になってみますので、少々お待ちください
403 ：(^ー^*)ノ～さん sage ： 2007/09/11(火) 22:20 ID:NSqqZEq30: >>402
取り敢えず踏んでみるというのは、決してやってはいけない対応。まだだったら踏みとどまれ。
404 ：(^ー^*)ノ～さん sage ： 2007/09/11(火) 22:22 ID:dpNr2/HK0: >>402
まだ踏んでなかったのね
がんばれｗ
405 ：(^ー^*)ノ～さん ： 2007/09/11(火) 22:23 ID:5VT4IwAL0: ただ今踏みました。画面は真っ白でした。
上記のURLのまつり部分は　/ でURLが終わってますが
自動で飛ばされることもないようです。
net/ 部分まで後ろ部分を削除して行ってみましたが、中国の文体のHPにいくだけでした
406 ：(^ー^*)ノ～さん ： 2007/09/11(火) 22:28 ID:5VT4IwAL0: ちなみに感染した場合の瞬間は目視で画面にどのような変化があるのでしょうか？
407 ：(^ー^*)ノ～さん sage ： 2007/09/11(火) 22:29 ID:5Wxx2puY0: （´・ω・）ｶﾜｲｿｽ
408 ：(^ー^*)ノ～さん sage ： 2007/09/11(火) 22:37 ID:qq/SobCn0: とりあえずウィルス的には貴方に気づかれたらダメなんじゃない？
バレずにあらゆるパスワードを抜き取ってこそ中国は潤う。
409 ：(^ー^*)ノ～さん ： 2007/09/11(火) 22:38 ID:5VT4IwAL0: >408さん
なるほど正論ですね、踏んだついでに何か他に検証して欲しいとかございませんか？
410 ：(^ー^*)ノ～さん sage ： 2007/09/11(火) 22:43 ID:NSqqZEq30: >>406
おおばかもの～～～～～～～～

変化はありません。えーと、踏んでしまった時の対応に変化しましたのでこのままこちらのスレで。

１．セキュリティソフトは反応しなかったのですね？
反応した場合
→　一応遮断できたと考えていい。但し、複数入ってきたうちの１つだけを止めた可能性もあるので
　　確実に安全と断言はできない。

反応しなかった場合
→　入手前に通信を切断した（相手側サーバーが反応鈍いことがあります）場合もあります
→　セキュリティソフトをすりぬけてしまった可能性があります

安全かどうか断言できない状態にあることだけは確定です。

２．どう対処するか

　　まずは、ＲＯにログイン・パスワード変更などを一切しないこと。入力していないものは盗まれようがありません。
　　入力してしまった場合は、安全な環境からのパスワード変更を早急に行なうこと。

推奨方法：ＯＳの入れなおし
非推奨の方法：セキュリティソフトのスキャンをかけて、検出しなければ安心すること
絶対やってはならないこと：なにもしないでそのままROをプレイすること
411 ：(^ー^*)ノ～さん sage ： 2007/09/11(火) 22:46 ID:NSqqZEq30: >>409
いいから早く安全な環境に戻してきなさいっ！！

検証して貰う必要はなにもないです。
412 ：(^ー^*)ノ～さん ： 2007/09/11(火) 22:53 ID:5VT4IwAL0: セキュリティソフトはAVAST！ですが一切反応しませんでした。
踏む前にROは起動してありました。
ログイン時にパスを抜かれると言うことは、KEYロガーなハッキングだと思ってよろしいのでしょうか？
感染後、ウィルスソフトがメモリー内部をさかのぼってPASSを見つけるなどは考えられますか？
413 ：(^ー^*)ノ～さん sage ： 2007/09/11(火) 22:59 ID:NSqqZEq30: >>412
>ログイン時にパスを抜かれると言うことは、KEYロガーなハッキングだと思ってよろしいのでしょうか？
キーロガーかどうかは、あなたが判断する必要は一切ありません。
重要なのは「危険URLと思われるアドレスを安易に踏んだこと」と「早急に安全な環境に戻す必要」だけです。

>感染後、ウィルスソフトがメモリー内部をさかのぼってPASSを見つけるなどは考えられますか？
基本的にありません。（絶対とは言い切れませんが、まずないでしょう）

ROを終了させて、ＯＳの入れなおしをしてらっしゃい。
414 ：(^ー^*)ノ～さん ： 2007/09/11(火) 23:09 ID:5VT4IwAL0: >>413さん
お優しいですね　ありがとうございますｍ（＿）ｍ
415 ：(^ー^*)ノ～さん sage ： 2007/09/11(火) 23:41 ID:VaLaEIqZ0: つか、こういうのは人柱とは言わずに、足手まといと言うんだが。
416 ：(^ー^*)ノ～さん sage ： 2007/09/12(水) 00:42 ID:3IiiRF290: 何より大事なのはこの経験を生かして、次回から気をつける事、
踏んでも大丈夫なように推奨されているPG2なども入れること。
そしてそういうのに無防備そうな知り合いなんかにも教えてあげて対応させる事かな。
417 ：(^ー^*)ノ～さん ： 2007/09/12(水) 08:21 ID:x2xFoTty0: WindowsUpdate日あげ
418 ：(^ー^*)ノ～さん sage ： 2007/09/12(水) 08:44 ID:TCAITQyR0: >>394-396
ロングIPも含め、ドメイン引きを介さないアクセスに対してhostsだけで対処するのは事実上無理。
ルータやPG2による、IPレベルのフィルタリングを併用し、そちらで危険IPとして登録するのが妥当かと。
(これなら、通常表記のみで、他の表記のものも含めて水際で防げる)
419 ：(^ー^*)ノ～さん sage ： 2007/09/12(水) 10:22 ID:QZkpRl2L0: 中華の罠ドメイン発見。
登録情報は広東だが、正引きIPは福建、と。
福建人どものメンバーだな。

www■wretcha■com/indo/unk　(罠、現在このページは無いようだが、ぐぐると７月に日本の掲示板が攻撃されているのがわかる)
www■wretcha■com/images/main.exe　（罠本体、これは生きてる）

登録情報
Domain name: wretcha■com
Registrant Contact:
linfang
fang lin jojoxbox@163.com
075788661956 fax: 075788661956
guangdong　(広東)
fushang guangdong 528500　(高明市)
cn

正引きIPアドレス 218.5.78.140の管理者情報運営組織 MAINT-CHINANET
ネットワークセグメント 218.5.0.0 - 218.5.255.255
ネットワーク名 CHINANET-FJ　(FJ＝Fujianつまり福建)
420 ：(^ー^*)ノ～さん sage ： 2007/09/12(水) 13:07 ID:QZkpRl2L0: また台湾サイトが改竄。
福建人どもの攻撃の中心は台湾にシフトか？

改竄サイトの登録情報から見ても改竄で間違いない。
改竄サイトは２００１年登録。

www■techlife■com■tw/taiwan/　(改竄されIFRAMEを仕込まれるが、今は修正され元に戻る)
update■misofthelp■com/update■exe　(罠本体)

Sophosサイトで調べるとバックドア仕込むタイプらしい。
F-Secure　スルー
カスペ　スルー
NOD32　検出

罠ドメイン登録情報、四川成都
正引きIPも四川(SC)
福建人のメンバーが登録情報やIPに四川使ったりを考えて一味で間違いないだろうね。

Domain name: misofthelp■com
Registrant Contact:
jack jack
f sdfasaf f sdfasaf test@163.com
13768756889 fax: 02886263960
dsfa dfsaf dsfdsaf sdfa
dfsafas BJ 610031
cn
421 ：(^ー^*)ノ～さん sage ： 2007/09/12(水) 14:06 ID:l3eOZE/80: 【　　アドレス　】 rustyaden■blog118■fc2■com/
【気付いた日時】 am3:00くらい
【　　　 OS　　】 XP Pro
【使用ブラウザ】FireFox2.0.0.6
【WindowsUpdateの有無】 3日前
【　アンチウイルスソフト】 avast!
【その他のSecurty対策】 Spybot S&D
【ウイルススキャン結果】 avastでスキャン結果検知されず
【スレログやテンプレを読んだか】読んだら>>381のｱﾄﾞで心臓ﾊﾞｸﾊﾞｸ
【hosts変更】無
【PeerGuardian2導入】無
【説明】
mixiのコメに張られていたのをクリック、あ～やばいと思った時には遅し
飛んだ先のサイトで、このBlogはmixiに張っていないとの記事を見つけ
不安になったので調べたら見事に当たりなようで・・orz

どうすりゃいいでしょ。一通り読んでみたのですが、こういうのに関しては
疎いもので・・皆様、よろしければ助けて頂けますか；
422 ：(^ー^*)ノ～さん sage ： 2007/09/12(水) 14:11 ID:x2xFoTty0: >>421
>>381からの流れを読んでいて、尚かつログも読んでいるのならすべきことはわかるはず
>>386にてここでのお勧めアンチウイルスソフトでは検出可能に
その後397でノートンも対応してるのでとりあえずカスペのオンラインスキャンしてみたらどうか
そこで駆除なり、発見できなかったりした場合には自己責任で使うかどうかだね
423 ：(^ー^*)ノ～さん sage ： 2007/09/12(水) 14:35 ID:8V5MKnmr0: >>397の追加情報
シマンテックから対応のメル北。確認。

>>382
\jprobang.exe
コンピュータ:
結果: このファイルの検出結果 Trojan.Dropper. ttp://www.symantec.com/avcenter/venc/data/trojan.dropper.html
\jpro.exe
コンピュータ:
結果: このファイルの検出結果 Downloader. ttp://www.symantec.com/avcenter/venc/data/downloader.html
\jpro.htm
コンピュータ:
結果: このファイルの検出結果 Downloader. ttp://www.symantec.com/avcenter/venc/data/downloader.html
デベロッパーノート
424 ：(^ー^*)ノ～さん sage ： 2007/09/12(水) 14:52 ID:8V5MKnmr0: >>370-371
引き続きシマンテック来てた。css■jsはDLできなかったので未提出。
\yahoo■js
コンピュータ:
結果: このファイルの検出結果 Downloader. ttp://www.symantec.com/avcenter/venc/data/downloader.html
\real■exe
コンピュータ:
結果: このファイルの検出結果 Downloader. http://www.symantec.com/avcenter/venc/data/downloader.html
425 ：(^ー^*)ノ～さん sage ： 2007/09/12(水) 14:59 ID:tvbLayOZ0: >>419-420
NOD32
main.exe : Win32/PSW.Lineage.ACN trojan
update.exe : Win32/Ginwui trojan

Kaspersky
main.exe : Trojan-Spy.Win32.Delf.uc
update.exe : Trojan-Downloader.Win32.Delf.ccd

カスペスルーとあったが、現時点では検出する模様。
426 ：(^ー^*)ノ～さん sage ： 2007/09/12(水) 15:00 ID:8V5MKnmr0: >>419-420
シマンテックに検体送付しました。
427 ：アコプリスレ住人 sage ： 2007/09/12(水) 17:53 ID:Jhw/Du0J0: 報告を挙げておいたほうがよさそうなので。

本家アコプリWiki(applepie■leminx■com)が消滅しました。
ttp://jbbs.livedoor.jp/bbs/read.cgi/game/4291/1081119337/157-160n

Wiki自体は避難所があるので問題ないのですが、ドメイン失効らしく
applepie■leminx■com （leminx■com）そのものが中華に取られる恐れがあります。

管理人は長らく音信不通というか返答無しで、アコプリ外部板のアプリコットカフェ
(同管理人運営)もしたらばより凍結予告が出てるぐらいであるため、現状では復活の
可能性はかなり低いと思われます。

そのため一時的でもhostsでブロックするようにした方が安全かもしれません。
428 ：(^ー^*)ノ～さん sage ： 2007/09/12(水) 21:16 ID:l3eOZE/80: >>421です。迅速な返答ありがとうございます

一度カスペのオンラインスキャンしてみたところ、5種類のウィルスらしきものが
見つかりました。その時点でまだカスペのトライアル本体を導入していなかったので
したのですが・・レポートファイルのインポートの仕方がわからず困っています

オンラインスキャンで出したレポートは本体でのインポートって出来ないんですかねぇorz
ググれカスって言われたらそれまでですが、よろしければご教授頂けますか
怖くてRO出来ないですorz
429 ：(^ー^*)ノ～さん sage ： 2007/09/12(水) 21:35 ID:l3eOZE/80: >>421ですが追記です。先程カスペにて、リスクウェアHidden objectなるものが
検知されました。対象はROフォルダのRagexe.exeでした。免疫という形で対処しました

これが垢ハックの、パス等の送信ですかね・・
430 ：(^ー^*)ノ～さん sage ： 2007/09/12(水) 22:02 ID:QZkpRl2L0: その手のサイト回りをしていると中華の罠を見つけた。
club■blogo■tw/helper■exe

登録情報、書いた所在は広東だか正引きIPは四川。
罠ドメイン名の命名パターンからして福建人どもので間違いない。
これはblog■twと言う実在ドメインとの錯誤を狙っている。

Domain Name: blogo■tw
Registrant:
QIANG QIANG
QIANG QIANG 070312tw@163.com
+86.059285354125
+86.059285354125
125
ZhuHai, GuangDong
CN
21時45分のVIRUSTOTAL、Delf検出
Delfはダークエルフ由来なんだってね、最近知ったわ。
つまりネトゲ狙い。

F-Secure　スルー
カスペ　検出
NOD32　検出
シマンテック　スルー
431 ：(^ー^*)ノ～さん sage ： 2007/09/12(水) 22:17 ID:l3eOZE/80: 何回も連書き本当すいません、これで最後です

検知結果
Trojan-Downloader.Win32.Small.ddx
Trojan.VBS.Qhost.c

というウィルスに感染したファイルを見つけました。この二つは駆除しましたが
アカウントハックに関係のあるものだったのでしょうか・・
432 ：(^ー^*)ノ～さん sage ： 2007/09/12(水) 22:18 ID:x2xFoTty0: >>429
Ragexe.exeは起動するとnProによってプロセスでは見えない状態になるからそれかな
433 ：(^ー^*)ノ～さん sage ： 2007/09/12(水) 22:29 ID:8V5MKnmr0: >>430
シマンテックに検体送付しました。

virustotal
Result: 8/32 (25%)
AVG 7.5.0.485 2007.09.12 Downloader.Generic6.DST
Ikarus T3.1.1.12 2007.09.12 Trojan-Downloader.Win32.Delf.TU
Kaspersky 4.0.2.24 2007.09.12 Trojan-Downloader.Win32.Delf.cce
McAfee 5117 2007.09.11 New Malware.aj
NOD32v2 2524 2007.09.12 a variant of Win32/TrojanDownloader.Delf.NYV
Panda 9.0.0.4 2007.09.11 Suspicious file
Sophos 4.21.0 2007.09.12 Mal/Packer
Webwasher-Gateway 6.0.1 2007.09.12 Riskware.HideProcess.B.2

Additional information
File size: 40448 bytes
MD5: 8ff94fdeebfb4a9db3fb5ff05962d843
SHA1: 87270699990318d7e5602ec430c3350c0bb6809f
packers: BINARYRES, UPACK
434 ：(^ー^*)ノ～さん sage ： 2007/09/12(水) 22:36 ID:8V5MKnmr0: >>430
club■blogo■twのソースみてたらclub■blogo■tw/ad■cがあって、
DLしたらノートン反応しました。
Trojan.Exploit.131
435 ：(^ー^*)ノ～さん sage ： 2007/09/12(水) 22:36 ID:tvbLayOZ0: >>428
htmlで保存できた筈だよ。

>>429
nProにより、タスクの存在を隠蔽しているため、（悪意のあるソフトで見られる挙動のため）リスクウェアと
判断されただけです。垢ハックではないと思われます。
436 ：(^ー^*)ノ～さん sage ： 2007/09/12(水) 22:39 ID:tvbLayOZ0: >>431
関係のあるものであった可能性はありますね。全部駆除したと安心するか、ＯＳ入れなおして確実に安全にするかは
自己責任でどうぞ。

ＯＳ入れなおしの際は、サービスパック適用済みのＣＤ（ＤＶＤ）を作成してからやると手間が大幅に省けて便利ですよ。
「SP+メーカー」というソフトを使うと、簡単にSP適用済みのCDが作成できます。ご参考までに。
437 ：(^ー^*)ノ～さん sage ： 2007/09/12(水) 23:05 ID:3v1/X03u0: 垢ハクされたらROのIDが消されるってことはあるんですか？
438 ：(^ー^*)ノ～さん sage ： 2007/09/12(水) 23:12 ID:l3eOZE/80: ご返答ありがとう御座います

>>432
>>435さんの回答重ねてみた感じ、nPro自体がひっかかるソフトっぽいですね
これらに関しては心配ないようでよかったです

>>436
一通りのウィルスらしきものは駆除、SpyBotもかけてみました
バックアップ取れる媒介がなくクリーンインストするには現状ちょっと厳しいので
外付けHDD等買って、必要なものだけ移してOS入れなおしという手順を取ろうと思いますｗ

SP+メーカー了承しました。本当細かいところまでフォローありがとうございます
とりあえずしばらく自己責任で使ってみようと思います。重要な装備は全て友人PCから友人に預けたので
垢ハック食らったら、これを機会に引退しようと思います。もうすっぱりとorz

本当にありがとうございました。もう踏まないよう気をつけますっ
439 ：(^ー^*)ノ～さん sage ： 2007/09/13(木) 02:44 ID:/gNzUk6J0: >>419-420
シマンテックからメル

>>419
\main■exe
コンピュータ:
結果: このファイルの検出結果 Infostealer. ttp://www.symantec.com/avcenter/venc/data/infostealer.html

>>420
\update■exe Our automation was unable to identify any malicious content in this submission.
The file will be stored for further human analysis

うｐだてしたら対応してた。
\update■exe は Downloader ｳｨﾙｽに感染しています｡
440 ：：(^ー^*)ノ～さん sage ： 2007/09/13(木) 07:54 ID:NP2G5gEZ0: ttp://www.rmcbbs.com/
今まで普通にRMC見れてたんですが、今日見たら車のHPになってました。
垢ハックとかじゃないですかね？
441 ：(^ー^*)ノ～さん sage ： 2007/09/13(木) 07:57 ID:sDFQV3do0: キャッシュは昨日の時点ではRMCに行ってたようだけど
今見たら切れちゃってるぽいね、ドメイン

あと念のためにURLの「.」は「■」に置き換えるよう次から注意しておいてください
442 ：440 sage ： 2007/09/13(木) 08:18 ID:NP2G5gEZ0: .を■ですね。
了解です。
では、問題ないんですよね？
安心しました
443 ：(^ー^*)ノ～さん sage ： 2007/09/13(木) 15:07 ID:oa5E9KdS0: 福建人どもによる改竄？サイト
www■yuanfen■com■tw

そうだとしてとても胡散臭いサイト。
ページには画像へのリンク1つしかない、それもサイトのスクショみたいな奴だ。
今年5月台湾台南登録、会社でメールがgmail。

Googleでは損害を与えるサイト指定。

ソース末尾にIFRAMEが仕込まれてる。
987999は中国。

mm■987999■com/abc■htm

中身に含まれるもの。
mm■987999■com/014■htm
mm■987999■com/ok■htm
mm■987999■com/main■css
mm■987999■com/logo■jpg　(CSSから呼び出し、カーソル脆弱性)

罠本体
mm■987999■com/soft■exe

なんか古臭いもののようだ。
14時30分のVIRUSTOTAL
F-Secure　スルー
カスペ　検出
NOD32　検出
シマンテック　スルー

おまけ
キング　検出

福建人どもの仕業だろうな。
各省にいるメンバーとQQメッセで打ち合わせ今日の攻撃目標はココだとこれを改竄した。
もしくは台湾にいる協力者、送り込んだメンバーにこのドメイン取らせたか。
2年契約で、登録から4ヶ月経過していまだにサイトが出来無いと言うのはおかしい。
444 ：(^ー^*)ノ～さん sage ： 2007/09/13(木) 16:43 ID:UHcGFWrM0: >>440
ドメインの有効期限が切れた為に、レジストラ側が自前の広告ページに誘導している状態。いわゆるドメインパーキング。
車のサイトの様に見えるのは、レジストラがドメインの買い手募集のために出しているだけ。

whoisでqueryしたところ、今日になってupdateされた形跡があるから、確認が取れ次第、元のIPに戻されるとは思うが。
>rmcbbs.com
> Updated Date: 13-sep-2007
> Creation Date: 12-sep-2004
> Expiration Date: 12-sep-2008
445 ：(^ー^*)ノ～さん sage ： 2007/09/13(木) 19:50 ID:ILi0MdsJ0: 【　　アドレス　】 (www■rock-pine■com/orji/)
【気付いた日時】 (9/13 mixi内コミュで、ＡＶＧが反応した為)
【　　　 OS　　】 (XP)
【使用ブラウザ】 (IE)
【WindowsUpdateの有無】 (自動更新だったと思います)
【　アンチウイルスソフト】 (ＡＶＧ)
【その他のSecurty対策】 (Spybot)
【ウイルススキャン結果】 (ＡＶＧさんが英語で全くわかりませんでした)
【スレログやテンプレを読んだか】 (読み途中です)
【hosts変更】(無)
【PeerGuardian2導入】(無)
【説明】
(mixi内で踏みました。警告が出たのでウイルスかも！とわかり慌ててＡＶＧ・Spybot・ウイルスバスターにて削除済みです。386をこれから見てみます)
446 ：(^ー^*)ノ～さん sage ： 2007/09/13(木) 20:10 ID:oa5E9KdS0: ＞445
ウィルスだ。
しかし大抵のソフトで駆除可能だ。
【流れ】
www■rock-pine■com/orji/

ソースは2行、上にステルスIFRAMEでこれ、下はアメブロのブログ。
被害者に見えるのは当然アメブロ。
www■woshijianren■com/jpjp/jpro■htm

呼び出されるもの、カーソル脆弱性。
www■woshijianren■com/jpjp/test■cur

罠の形態から福建人だろう。

登録情報　上海と書いて正引きIPは四川成都。

rock-pine■com
chen ji nian
SHANGHAI ROCK
sh
sh Shanghai 201700
CN

運営組織 MAINT-CHINANET
ネットワークセグメント 61.139.0.0 - 61.139.127.255
ネットワーク名 CHINANET-SC
447 ：(^ー^*)ノ～さん sage ： 2007/09/13(木) 20:13 ID:OQGVqbbS0: >>445
AVGは日本語対応版もフリーで出たから、そっちに変えてみたらどうだろう
448 ： ◆sp4Sh9QXGI sage ： 2007/09/13(木) 20:21 ID:d++8tKGY0: ご無沙汰しています、まとです。
諸事情で多忙につき、更新はおろかスレチェックも
あまり出来ない状況となっております。
まことに申し訳ございませんorz

mixiの垢乗っ取りが現在も発生してるようです( ﾟдﾟ)ﾉ
449 ：445です sage ： 2007/09/13(木) 20:34 ID:ILi0MdsJ0: ＡＶＧ日本語版を入れてチェック→ＯＫ
Spybot→ＯＫ

バスターもＯＫだったのですが、ＲＯのクライアントを立ち上げてみて
（パスは入力してませんし、別パソにてパス変更済みです）、
もう一度バスターしてみたら、何かを何処かへ送ったクッキーが引っかかりました。

これはもうＯＳしか残ってなさそうです。

現在はKasperskyを入手しようと試行錯誤中です。
450 ：(^ー^*)ノ～さん sage ： 2007/09/13(木) 20:52 ID:/gNzUk6J0: >>430
シマンテックから対応メル
\helper■exe
コンピュータ:
結果: このファイルの検出結果 Downloader. ttp://www.symantec.com/avcenter/venc/data/downloader.html

>>443
ノートン反応
logo■jpg　Trojan.Exploit.131
残件、シマンテックに検体送付しました。
451 ：(^ー^*)ノ～さん sage ： 2007/09/14(金) 00:39 ID:KPHxbxCC0: >>443
ノートン対応
\soft■exe は Downloader ｳｨﾙｽに感染しています｡
452 ：(^ー^*)ノ～さん sage ： 2007/09/14(金) 06:45 ID:dSUv4kb90: >>449
店で普通に売ってるのに何を試行錯誤するんだか。
453 ：(^ー^*)ノ～さん sage ： 2007/09/14(金) 14:05 ID:mlMpSHB50: 【アドレス】mbspro6uic■com/mbsplink
【気付いた日時】一昨日
【OS】XPSP2
【使用ブラウザ】IE6.0【WindowsUpdateの有無】アドレスを踏む前に有
【アンチウイルスソフト】ノートン2007
【その他のSecurty対策】Ad-AwareSE
【ウイルススキャン結果】ノートン・カスペルスキーでスキャン、検出なしでした。
【スレログやテンプレを読んだか】読み途中です。
【hosts変更】無
【PeerGuardian2導入】無
【説明】
ブログ内で踏みました。真っ黒い画面がでたのでやばいと思いすぐ閉じて、
スキャンしたもののスルー。
>>265に書いてある通りの所なのですが『たどる→exe』と書いてあったので、
ファイルダウンロードメッセージもでなかったので、
大丈夫だったのかなとは思うのですが…。
この手に疎く、OS入れ替えが難しい状況なので、
ROパスを安全な環境から変えたのみでログインしていません。
このアドレスを踏むと感染するまでに
DLメッセージがでたりするのでしょうか…。
454 ：(^ー^*)ノ～さん sage ： 2007/09/14(金) 14:08 ID:Y/Rv2Ljy0: >>453
DLメッセージが出なくてももちろん感染します。
周りでOSを入れ替えずにウィルス駆除だけして装備やZenyを取られた方が何人もいるので、
何も言わずにOS入れ替えなさい。
OS入れ替えるのが無理ならこれを機会に引退ですね。
今まで稼いだものが全部パーになるわけですから。
455 ：(^ー^*)ノ～さん sage ： 2007/09/14(金) 14:11 ID:4Y1JV9QB0: >>453
ダウンロードメッセージは出ません。裏でこっそり入れられて、起動されます。

既知のアドレスですし、スキャンに引っ掛からなかった言うことは入手前の可能性が高いとは思いますが
保証はできません。

よって、このスレとしては「ＯＳのクリーンインストール」を推奨します。
そのまま使うのであれば、自己責任で。

>この手に疎く、OS入れ替えが難しい状況なので、
みんな、自分で入れなおして覚えていくんですよ。まずは、消えちゃ困るデータのバックアップからがんばれ。
456 ：453 sage ： 2007/09/14(金) 14:31 ID:mlMpSHB50: >>454さん 455さん
ありがとうございます。
駆除だけでも危険なのですね…。
なんとしてでも入れ替えがいいのですね。
バックアップからがんばってみます！
本当にありがとうございました！
457 ：(^ー^*)ノ～さん sage ： 2007/09/14(金) 17:40 ID:Dhnt8xVS0: またも大量の罠を発見。
今回はサブドメが多い。

中でも686ipは北京の会社っぽい組織名だが登録情報のメアドで出鱈目だとわかる。
baidu@baiduって何よ？ってことだ。
Baidu(百度)は中華のサーチエンジン会社。

rrr■rfhwfhw■com/1■exe
www■686ip■cn/shen/ma■exe
777■za123■cn/cc2/vip■exe
777■za123■cn/cc/999■exe
iii■832823■cn/ysydown■exe
iii■832823■cn/ysydown■cab

上から順に14日17時から17時30分にかけてのVIRUSTOTAL
○×の並びは
F-Secure、カスペ、NOD32、シマンテックの並び、そして検出率。
1　：　○○○○　81.25％
ma　：　○×○○　65.63％
vip　：　○×○×　56.25％
999　：　○×○×　56.25％
ysydown_ex　：　○○○○　65.63％
ysydown_ca　：　○○○○　87.5％
458 ：(^ー^*)ノ～さん sage ： 2007/09/14(金) 18:19 ID:Dhnt8xVS0: もう一つ発見。
yxflower■w217■bizcn■com/hao■bat

14日18時10分のVIRUSTOTAL
左からF-Secure、カスペ、NOD32、シマンテックの順、そして検出率。
○×××　40.63％

F-SecureはNormanのエンジンで検出した模様。

今日見つけた罠を見る限りではF-Secureの罠検出率のよさが目立つな。
マルチエンジンと言うのもあるか。
福建人はとにかくカスペ回避に注力してるのがわかる、と。

F-Secureとカスペのオンラインスキャン、非常駐型のを幾つか使えばほぼカバーできるかもね。
459 ：(^ー^*)ノ～さん sage ： 2007/09/14(金) 20:38 ID:KPHxbxCC0: >>457-458
ノートン無反応分、シマンテックに検体送付しました。

>>457
www■686ip■cn/shen/ma■exe以外にも
www■686ip■cn/shen/1■exe～9■exe（Infostealer.Gampass、Infostealer。4■exeノートン無反応提出）
www■686ip■cn/shen/ma■cab（中身muma.exe　Downloader）
www■686ip■cn/shen/xxx10■exe（Infostealer.Gampass）、xxx11■exe（Infostealer）、xxx15■exe（Infostealer.QQRob.A）
www■686ip■cn/shen/shen/%E5%A4%87%E4%BB%BDma■cab（中身muma.exeノートン無反応提出）
www■686ip■cn/shen/shen/%E6%82%B2%E6%84%A4ma■exe（ノートン無反応提出）

777■za123■cnは他に
777■za123■cn/cc2/xpby.htm（ノートン無反応提出）
777■za123■cn/cc2/xpkk.htm（ノートン反応Downloader）
777■za123■cn/cc2/xppps.htm（ノートン無反応提出）
777■za123■cn/cc2/xp017.htm（ノートン無反応提出）
エスケープわかんね、デコードお願い。m(_ _)m
460 ：(^ー^*)ノ～さん sage ： 2007/09/14(金) 22:16 ID:4Y1JV9QB0: ＞エスケープわかんね、デコードお願い。m(_ _)m
悲?ma.exe
??ma.cab

のように文字化けしますな。（中国語FONT入れてると出るけど）

shen/shen/ と重なってるところを削ったら、検体入手できました。と言う訳で、まとめて報告してきます。
まとめるのが大変だな、これは。
461 ：(^ー^*)ノ～さん sage ： 2007/09/14(金) 22:35 ID:KPHxbxCC0: あっ、>>459コピペミス
www■686ip■cn/shen/%E5%A4%87%E4%BB%BDma■cab（中身muma.exeノートン無反応提出）
www■686ip■cn/shen/%E6%82%B2%E6%84%A4ma■exe（ノートン無反応提出）
>>460
御指摘ありがとうございます。
462 ：(^ー^*)ノ～さん sage ： 2007/09/14(金) 22:39 ID:4Y1JV9QB0: >>457-459
検出名の整理。空欄は、すりぬけ。

ESET Smart Security beta(NOD32)
1(1).exe : Win32/PSW.Delf.NIY trojan
1.exe : Win32/PSW.Agent.NEC trojan
2.exe : Win32/PSW.OnLineGames.NEP trojan
3.exe : Win32/PSW.OnLineGames.NEN trojan
4.exe :
5.exe : Win32/Genetik trojan
6.exe : Win32/PSW.OnLineGames.NEP trojan
7.exe : Win32/Genetik trojan
8.exe : unknown NewHeur_PE virus
9.exe : Win32/PSW.OnLineGames.NEP trojan
ma.exe : Win32/TrojanDownloader.Delf.NSA trojan
ma.cab : Win32/TrojanDownloader.Delf.NSA trojan
xxx10.exe : Win32/Genetik trojan
rename_ma.cab : unknown NewHeur_PE virus
reneme_ma.exe : unknown NewHeur_PE virus
xpby.htm :
xpkk.htm :
xppps.htm :
xp017.htm :
vip.exe : Win32/Genetik trojan
999.exe : Win32/Genetik trojan
ysydown.exe : Win32/PSW.Delf.NHI trojan
ysydown.cab : Win32/PSW.Delf.NHI trojan
hao.bat :
463 ：(^ー^*)ノ～さん sage ： 2007/09/14(金) 22:39 ID:4Y1JV9QB0: Kaspersky
1(1).exe : Trojan-PSW.Win32.Delf.abt
1.exe : Trojan-PSW.Win32.OnLineGames.cny
2.exe : Trojan-PSW.Win32.OnLineGames.cpv
3.exe : Trojan-PSW.Win32.OnLineGames.cpy
4.exe : Trojan-PSW.Win32.Lmir.bmi
5.exe : Trojan-PSW.Win32.OnLineGames.cvy
6.exe :
7.exe : Trojan-Spy.Win32.Delf.bab
8.exe : Trojan-PSW.Win32.WOW.wn
9.exe : Trojan-PSW.Win32.OnLineGames.cqb
ma.exe : Trojan-Downloader.Win32.VB.bjl
ma.cab : Trojan-Downloader.Win32.VB.bjl
xxx10.exe : Trojan-PSW.Win32.OnLineGames.cvb
rename_ma.cab :
reneme_ma.exe :
xpby.htm : Exploit.JS.Agent.aq
xpkk.htm :
xppps.htm :
xp017.htm :
vip.exe : Virus.Win32.AutoRun.jl
999.exe : Virus.Win32.AutoRun.jl
ysydown.exe : Trojan-PSW.Win32.Nilage.bpm
ysydown.cab : Worm.Win32.QQPass.a
hao.bat : Trojan-PSW.Win32.OnLineGames.cvx
464 ：(^ー^*)ノ～さん sage ： 2007/09/14(金) 22:41 ID:4Y1JV9QB0: 重複ファイル名と、文字化けでアクセス不良があったので、そこだけリネームしてます。

File rename.
rrr■rfhwfhw■com/1.exe -> 1(1).exe
%E5%A4%87%E4%BB%BDma.cab -> rename_ma.cab
%E6%82%B2%E6%84%A4ma.exe -> reneme_ma.exe
465 ：(^ー^*)ノ～さん sage ： 2007/09/15(土) 01:35 ID:jSxG8nTb0: 【　　アドレス　】 rustyaden■blog118■fc2■com/
【気付いた日時】 9/14 22:00過ぎ（踏んで10分後くらい）
【　　　 OS　　】 XP SP2
【使用ブラウザ】IE
【WindowsUpdateの有無】 1日くらい前の自動更新
【　アンチウイルスソフト】期限切れのNorton
【その他のSecurty対策】無し
【ウイルススキャン結果】カスペで検知されず
【スレログやテンプレを読んだか】一通り読んで感染していた場合の対処法は理解
【hosts変更】無
【PeerGuardian2導入】無
【説明】
このスレでも何度か出ている危険URLを誤って踏んでしまったのですが、表示されたのは
blog■fc2■com/forbidden■html
というページで、このブログは凍結されています。と書かれていました。
自分のIEの履歴を見てもこのURLしか残っていませんでした。
またURLチェッカーにかけてみると危険なURLと出ますが、数日前の日付が表示されています。

ご相談したいのは、URLチェッカーではキャッシュで判断しており、最新の情報ではないのか？
と言うことと、blog■fc2■com/forbidden■htmlは本当に凍結されたブログからの転送先で、
何らかのフェイクであったりはしないのか？もしくは転送前に感染したりということはないのか？です。
少しずれた質問かもしれませんが、よろしくお願いします。
466 ：(^ー^*)ノ～さん sage ： 2007/09/15(土) 01:46 ID:Ma+79WqA0: んー、fc2側に情報がいって凍結されたのかな

カスペオンラインスキャンでもして感染してたら反応が出ると思う
チェックって事でそちらを一度お勧めしてみる、ウイルス合ったのは間違いないし

あと期限切れのアンチウイルスソフトなんてないような物と考えて良いから
新しい物買うかフリーで探してみることもお勧めするよ
467 ：(^ー^*)ノ～さん sage ： 2007/09/15(土) 01:54 ID:Ma+79WqA0: ごめん、反応なしだったんだね…まじごめんorz
468 ：(^ー^*)ノ～さん sage ： 2007/09/15(土) 01:56 ID:jSxG8nTb0: >>466
レスどうもありがとうございます。
カスペでのスキャンでは反応が出なかったので、とりあえず安心でしょうか。
アンチウイルスソフトは買おう買おうと思って延び延びになっていたので、この機会に購入することにします。
469 ：(^ー^*)ノ～さん sage ： 2007/09/15(土) 06:46 ID:wRhKH+DY0: >>459-460
エスケープ処理というか、多言語環境であると便利そうなMS謹製ツール。
Microsoft AppLocale Utility
ttp://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=8C4E8E0D-45D1-4D9B-B7C0-8430C1AC89AB
そのままだとInstallShieldで一部誤動作があるようなので、その対処法。
ttp://realhima.at.infoseek.co.jp/applocale/trouble.html
470 ：(^ー^*)ノ～さん sage ： 2007/09/15(土) 10:42 ID:Y4snQLzI0: mm■987999■com/soft.exe
686ipみたいに大量のトロイを落とすダウンローダ。
web■freewebhtm■com/soft/1.exe ～ 9.exe、a.exe ～ g.exe と
一挙に16匹をダウンロードし実行(それぞれの有無までは見てません)。
471 ：(^ー^*)ノ～さん sage ： 2007/09/15(土) 12:31 ID:Ys24qG8Y0: >>470
b～d.exeは404エラーで入手できず。現状の検出名確認したら提出してきます。
472 ：(^ー^*)ノ～さん sage ： 2007/09/15(土) 12:41 ID:Ys24qG8Y0: >>470
NOD32は１つだけすり抜け　カスペは３つすり抜け

ESET Smart Securty BETA(NOD32)
soft.exe : Win32/Genetik trojan
1.exe :
2.exe : Win32/PSW.OnLineGames.YA trojan
3.exe : Win32/PSW.Agent.NEC trojan
4.exe : unknown NewHeur_PE virus
5.exe : Win32/AutoRun.Q worm
6.exe : Win32/PSW.OnLineGames.NEN trojan
7.exe : Win32/Genetik trojan
8.exe : Win32/Genetik trojan
9.exe : Win32/PSW.OnLineGames.NEN trojan
a.exe : Win32/Delf.NGD trojan
e.exe : Win32/PSW.Legendmir.NEP trojan
f.exe : Win32/Viking virus
g.exe : Win32/Agent.NEM trojan

Kaspersky
soft.exe :
1.exe :
2.exe : Trojan-Downloader.Win32.Zlob.cdg
3.exe : Trojan-PSW.Win32.OnLineGames.cny
4.exe : Trojan-PSW.Win32.WOW.vu
5.exe : Backdoor.Win32.WinterLove.bi
6.exe : Trojan-PSW.Win32.OnLineGames.cog
7.exe :
8.exe : Trojan-PSW.Win32.OnLineGames.cew
9.exe : Trojan-Spy.Win32.Delf.uv
a.exe : Backdoor.Win32.Kolmat.b
e.exe : Trojan-PSW.Win32.OnLineGames.cvv
f.exe : Trojan-Dropper.Win32.Agent.bou
g.exe : Trojan-Dropper.Win32.Agent.aqq
473 ：(^ー^*)ノ～さん sage ： 2007/09/15(土) 16:19 ID:y5OhaucK0: 偽装jpg対策(IE7とIE6SP2限定。IE6SP1以前では出来ない)
ってあるけど火狐とかは対策方法無し？
474 ：(^ー^*)ノ～さん sage ： 2007/09/15(土) 17:01 ID:wRhKH+DY0: >>473
偽装jpegに関しては、そもそもIEのMIME処理に問題があるので、GeckoやKHTML系では気にする必要も無いレベル。
無論、それ以外の脆弱性に対してアンテナを向ける必要はあるが。

■[Security] IEのMIME Sniffing
ttp://d.hatena.ne.jp/boscono/20070805/p1
>jpegやpngでもHTMLっぽいコードが入っているとHTMLと認識され，そこに悪意あるコードがあればXSSが起こってしまう．
>その例が以下の記事でも指摘されている．
475 ：(^ー^*)ノ～さん sage ： 2007/09/15(土) 17:09 ID:f8lY2P7M0: ちなみにWindowsのアニメーションカーソルの脆弱性は
ローカルのシェルレベルの話なので、FxだろうとOperaだろうと
Explorerで(キャッシュフォルダ等を)触っただけでやられたりする。
476 ：(^ー^*)ノ～さん sage ： 2007/09/15(土) 17:33 ID:g9vC9ZJl0: >>470
ノートン反応
\3■exe Infostealer.Gampass
\5■exe Infostealer.QQRob.A
\6■exe Infostealer.Gampass
\7■exe Infostealer.Gampass
\8■exe Infostealer.Gampas
\9■exe Infostealer.Gampass
\a■exe Backdoor.Trojan
\f■exe W32.Looked.P
\g■exe Downloader
こちらの環境でもb～d■exeは404。
以下、シマンテックに検体送付しました。
1■exe 2■exe 4■exe e■exe
477 ：(^ー^*)ノ～さん sage ： 2007/09/15(土) 17:40 ID:wRhKH+DY0: http://enif.mmobbs.com/test/read.cgi/livero/1189500335/ の現488から。向こうのレスは削除対象だが。

www■xiaoriben■net/shabi/
- www■xinluoqu■com/shabi/svch■exe

xiaoriben■net
chen jinian
xiao lin
Fujian longyan
longyan Fujian 364000
CN

運営組織 MAINT-CHINANET
ネットワークセグメント 61.139.0.0 - 61.139.127.255
ネットワーク名 CHINANET-SC

xinluoqu■com
(同上)

googleではcn方面の掲示板しか掛からない様なので、国内初出?
478 ：(^ー^*)ノ～さん sage ： 2007/09/15(土) 17:55 ID:g9vC9ZJl0: >>477
ノートン反応しました。
\svch■exe Infostealer
479 ：(^ー^*)ノ～さん sage ： 2007/09/15(土) 18:35 ID:g9vC9ZJl0: svch■exeをvirustotalに投げたら
AhnLab-V3　ClamAV　FileAdvisor　F-Prot以外は対応してた。。。。
480 ：(^ー^*)ノ～さん sage ： 2007/09/16(日) 01:34 ID:OldZiqe60: 　踏んじまった……アドレスは>>445と同じもの、経路も同じくmixi。

>おじゃまします。
>どうも、鷹祭レポにて死体晒され率上昇中のしょっぽです。
>鷹祭りおつかれさまでした。
>今回はぎょblogにも死体載ってなかったのに、こんな所に2枚も……。
>次回こそはつつがなく！
>ttp://www■rock-pine■com/orji/

　と、こんな文で来ました。
　とりあえず今晩はＲＯをアンインスコして、明日から有料ソフトなどを用いた対策をするつもりなんですが……
　ＲＯのアンインストールって重力フォルダを削除するだけでいいんでしょうか？
481 ：(^ー^*)ノ～さん sage ： 2007/09/16(日) 01:37 ID:LvY9OoD90: >>480
アンインスコしても意味ない。
有料ウィルスバスタソフト等は踏む前に入れてなきゃ完全に安全だとはいえない。
何も言わずにOSのリカバリー及び再インストールをしなさい。

このままだと今日の早朝5時くらいに装備とZeny盗られてるかもね。
482 ：(^ー^*)ノ～さん sage ： 2007/09/16(日) 01:41 ID:OldZiqe60: 今日も明日も明後日も仕事がハードなのに、おのれシナーめ……
ＲＯは課金切れてるんですがね。ＯＳ再インスコの用意します……眠いよママン
483 ：(^ー^*)ノ～さん sage ： 2007/09/16(日) 01:42 ID:YOgo7wNo0: ROのフォルダやファイルに感染する訳じゃないので、ROをアンインスコしても何も変わりませんお。
このスレで言われている再インスコはHDDをフォーマットしてからのOS再インスコの事です。

それと、踏んだあとROやアトラクションセンター（物によってはMixiやメッセンジャーも）にログインすると
パスブッコ抜かれるので注意。ログインしなければとりあえず被害は無いです。
もしログインしちまったなら、他のPCから急いで変更するか信頼できる友人とかに全財産預けるとかしかないね。

一応、ROをアンインスコするには、
『コントロールパネル』の『アプリケーションの追加と削除」からやるです。

あと、余裕があったらテンプレ使って詳しく書いてくれると住人も対応しやすいです。
484 ：(^ー^*)ノ～さん sage ： 2007/09/16(日) 01:57 ID:OldZiqe60: 申し訳ない、少々動転していたようです。

【　　アドレス　】 (www■rock-pine■com/orji/)
【気付いた日時】９月１６日００３０時頃。ついうっかり踏んでしまい、妙だなと思って此方をチェックしたら全く同じＵＲＬが……
【　　　 OS　　】ＸＰ
【使用ブラウザ】ＩＥ
【WindowsUpdateの有無】自動更新
【　アンチウイルスソフト】ソースネクストのアンチソフト。但し、課金切れ
【その他のSecurty対策】 SpyBot
【ウイルススキャン結果】ヒットしたのは全部削除
【スレログやテンプレを読んだか】斜め読みですが……あと、まとめサイトやＢＳＷｉｋｉなど
【hosts変更】無し
【PeerGuardian2導入】無し

全く持ってセキュリティ向上を怠った自分が恨めしく思えます。
尚、ＯＳ再インストールしようとしたら……このＰＣ，プリインストールでＣＤやフロッピーが付いてきてなかったのです……
ＲＯやアトラクションセンターにはログインしていません。mixiはやられたかも……ネカフェか何かで変更してきます。寝てから。
ウィルスセキュリティは今継続課金してきたところです。ＯＳ再インストールできれば一番なんですが。
485 ：(^ー^*)ノ～さん sage ： 2007/09/16(日) 02:26 ID:YOgo7wNo0: 本来は再インストするのが最善なのですが、
どうしても出来ないのであればカスペやF-Secureなんかで
オンラインスキャンしてみるのもいいかもですが、
奴らもカスペなどに検知されないように常に改良を加えて来ているので、
全て検知できるかは解らない状況です。

とりあえずネカフェなどでログイン出来るのであれば、Mixiだけでも変えておくといいかもしれませんね。
んで、直しきれるまで一切ログインなどはしないように・・・
ネカフェも会員必要なしとか身分証明見せない所だと恐いですけども、
あとで自宅のPC直してからまた変えてもいいですしね。
486 ：(^ー^*)ノ～さん sage ： 2007/09/16(日) 02:28 ID:eRWOwPyq0: Mixiは携帯でいけなかったっけ？
487 ：(^ー^*)ノ～さん sage ： 2007/09/16(日) 02:29 ID:YOgo7wNo0: あ、あとOS再インストはHDDの容量なんかにもよりますが、慣れれば一時間くらいあれば終わるので、
必要なもののバックアップを寝てる間にDVDなんかに焼いておいて、
再インストが最も安全です。逆に言えば完全に安全な状態にするにはそれしかない状況です。
あまり力になれず申し訳ない。
488 ：(^ー^*)ノ～さん sage ： 2007/09/16(日) 03:07 ID:TB7YPbM80: >>484
ちょっと待て。

> ウィルスセキュリティは今継続課金してきたところです。

まさかそのPCでクレカとか使ってないよな？
489 ：(^ー^*)ノ～さん sage ： 2007/09/16(日) 09:18 ID:OldZiqe60: 今起きました。
一応、課金は父のＰＣから行いました。

寝ている間にＰＣのスキャンが終了、２個のウィルスに感染していると出ました。

Exploit■Win32■MS05-002■Gen
not-a-virus:AdWare■Win32■007Guard■a

只今除去を試みんとしているところです。
490 ：(^ー^*)ノ～さん sage ： 2007/09/16(日) 10:03 ID:4UZ3upDf0: つーか
>ソースネクストのアンチソフト
これはやめとけ。
491 ：(^ー^*)ノ～さん sage ： 2007/09/16(日) 12:53 ID:rrISUtmh0: 今のところのノートン
>>459
www■686ip■cn/shen/4■exe　nfostealer.Gampass
www■686ip■cn/shen/shen/%E5%A4%87%E4%BB%BDma■cab（中身muma.exe）　Downloader
www■686ip■cn/shen/shen/%E6%82%B2%E6%84%A4ma■exe　Downloader

>>470
\e■exe　Infostealer.Gampass
492 ：(^ー^*)ノ～さん sage ： 2007/09/16(日) 14:34 ID:YOgo7wNo0: 父親のPCも感染してないか調べてもいいかもしれんね。
意外と家族が知らん間に踏んでる事ってある。
大丈夫そうならそこからMixiのパスとか変えればいいし。
493 ：(^ー^*)ノ～さん sage ： 2007/09/16(日) 14:46 ID:OldZiqe60: ミクシは既に変えました、携帯から。
艦船ファイルの削除、再度のウィルスチェックではウィルスの検出はありませんでしたが……
念のためにノートンのオンラインスキャンをかけてる最中です。……１８００時からの仕事に間に合えばいいんだけどなぁ

父のＰＣもスキャンするよう言っておきます。
確かに本当ならノートン先生等に乗り換えたほうがいいのでしょうが……今月の予算はリカバリー用のディスクをメーカーに要求するところで尽きそうです
494 ：(^ー^*)ノ～さん sage ： 2007/09/16(日) 15:00 ID:qZRZYXyU0: >>493
メーカーから購入してでも、リカバリはやっといた方がいいね。がんばれ。
セキュリティソフト、windowsUpdateは、更新しないと意味が無いからしっかりとな。

バックアップすべきデータは、自分が作成したデータが最優先。メールの送受信内容もかな。

あとは、各種アプリの設定・セーブレータ等。ROのショートカットなどもレジストリから抜き出して
出力しておけばあとで戻すのが楽になります。

その次に、アプリケーションやドライバーの再インストール後に使用するファイル。
これが感染してる可能性もあるので、再入手やオリジナルからのインストールが望ましいのは言うまでもない。
495 ：(^ー^*)ノ～さん ： 2007/09/16(日) 21:23 ID:QRJ75uYm0: こんばんは。
相談させてください。

【　　アドレス　】http://www■kolakola■com■tw/tour/blog■htm
【気付いた日時】 19時半
【　　　 OS　　】 xp
【使用ブラウザ】マイクロソフトインターネットエクスプローラ
【WindowsUpdateの有無】自動
【　アンチウイルスソフト】 avast!
【その他のSecurty対策】なし
【ウイルススキャン結果】なし
【スレログやテンプレを読んだか】読み途中
【hosts変更】無し
【PeerGuardian2導入】怪しんだときから導入しました
【説明】
mixi内でコメントされていたURLを踏んだのですが、
中国語で404？のサイトを表示できません
状態で、今まで中国語の404？を見たことが無かったので
怖くなり相談させていただきました。
mixiの相手をマイミクやコミュニティを見てみると結構
交友関係があったようなので安心して踏んだのですが・・・

どうぞよろしくお願いします。
496 ：(^ー^*)ノ～さん sage ： 2007/09/16(日) 21:25 ID:UkPGLHYk0: >>493
リカバリ媒体が付属していない場合、起動時に特定のキーを押すとBIOSからリカバリ用システムが呼ばれる場合(いわゆるDtoD)とか、
あるいは、リカバリCD/DVDを作成するユーティリティがプリインストールされていることが多いのだが。
そのあたり、もう一度マニュアルに目を通した方が良いかも。
497 ：(^ー^*)ノ～さん sage ： 2007/09/16(日) 21:31 ID:LvY9OoD90: >>495
間違えなく感染してます。
大至急バックアップを取り、リカバリやOSの入れ替えをしましょう。
498 ：(^ー^*)ノ～さん sage ： 2007/09/16(日) 21:34 ID:iv8czOtU0: ここの存在は知ってるけど何も対策してないって人多いね～
499 ：(^ー^*)ノ～さん sage ： 2007/09/16(日) 21:37 ID:LvY9OoD90: >>498
正直どうかと思うよな。
ここで聞くような人の知識じゃ感染してからじゃほとんど手遅れなのに。
500 ：(^ー^*)ノ～さん sage ： 2007/09/16(日) 21:47 ID:qZRZYXyU0: >>497
あんまいい加減なことを書くもんじゃないよ。

>>495
中国語であろうと、404の場合は、データが存在しない訳ですので、感染していない「可能性」はあります。

しかし、iframeなどで、複数のリンクを呼びだして、本体入手以外の普通に見えるページを表示させる
形態の場合、本体ファイルを入手してしまっている可能性もあります。

つまり、そのサイトを解析した訳ではなく（あなたが、アクセスしたのと時間帯が違うとファイルが差し替えられている
可能性もありますので、解析でシロと出ても）安全を断定できる訳ではありません

さて、１つ確認させて頂きたいことがあります。
　>【PeerGuardian2導入】怪しんだときから導入しました
これは、該当アドレスを、「踏む前に」導入したという事でしょうか。また、設定リストに
リネージュ資料室の「中国・韓国・台湾」のリストをブロックとして入れてあるでしょうか？

PG2で、上記のリストを設定した後に踏んだ場合は、通信がブロックされる為に404表示になります。
この場合は、404が出るのは正常な動作ですし、通信自体が発生していないので、感染の可能性はありません。
（もちろん、PG2でhttpブロック設定時。リストにあってもhttpはスルーの設定だと表示されてしまいます）
501 ：(^ー^*)ノ～さん sage ： 2007/09/16(日) 21:54 ID:qZRZYXyU0: ソースチェッカーオンラインで見ても、普通の404エラーですね。

TOPページを見ると、普通のサイトっぽいので、クラックされたけど管理者に見つかって消されたとか
そういうことかもしれません。（断定も保証もできませんが）

安心していいとは思いますが、不安なようでしたら、ＯＳの再インストールを行なってください。
502 ：(^ー^*)ノ～さん sage ： 2007/09/16(日) 21:57 ID:iv8czOtU0: まぁ定番ですがカスペオンラインスキャンをまずしてみてはと
503 ：(^ー^*)ノ～さん sage ： 2007/09/17(月) 00:17 ID:y8MPRVQF0: とりあえずmixiやってるやつは日記を全体公開にするのやめろ。
狙われてることを自覚してもっと危機感を持て。
504 ：(^ー^*)ノ～さん sage ： 2007/09/17(月) 00:49 ID:CCtrCCRR0: mixiでRoの話とかどんだけ・・・
505 ：(^ー^*)ノ～さん sage ： 2007/09/17(月) 01:32 ID:epe6Gi/E0: >>504
なんで？
506 ：(^ー^*)ノ～さん sage ： 2007/09/17(月) 01:42 ID:9yB0ZdlT0: ROをしててmixiもやってるなら全体公開にしない方が良いっていうのは
一理あると思うけど、そっちでも被害がでてるなら防衛の一つとしてね

mixiでROのこと書いてる人は少なくないと思うし変でもないよ

どちらも言い方がちょっとアレだから穏便にね
507 ：495 ： 2007/09/17(月) 01:49 ID:DATfYcCY0: みなさんありがとうございます。
>>497
ありがとうございます。
言われてから直ぐにバックアップ体制に入りました。
>>500 >>501
ありがとうございます。
PG2は踏んでから導入しました。
中華の404がでてヤバイと思ったためです。

また、「中国・韓国・台湾」のリストは設定リストに指定してはいません。
PG2を導入するために読んだサイトで上記のリストを指定すると
RO関係のものもブロックされると書かれていたので指定しませんでした。

安心したい所ですが、下記にも書きましたがコメント主がmixiを退会している
ようなのでどうにも怖いところです。
バックアップを取りPCを初期化しようと思っております。

>>502
ありがとうございます。
早速やってみます、avast!もやってますが今のところ感染ファイルが
みつかってはいません。

>>503
今度のことで身にしみました。
ご指摘感謝です。

アカハクと思わしきURLを張った人物がmixiを退会したようです。
これは黒なのでしょうね。

もうひとつお聞かせください。
URLを踏んだときmixiとメッセンジャーに繋がっていたのですが
双方ともに新アドでつなぎなおしたほうがよいのでしょうか？
因みにアドとパスを直接打ち込むのではなく記憶されていた状態です。

皆様、心から感謝です。
508 ：(^ー^*)ノ～さん ： 2007/09/17(月) 08:59 ID:KOCcx/tt0: なんで今日はぼけーっとしていたのだろう、と反省しきり。

【　　アドレス　】何気なくクリックしたリンクで、慌てて消して
しまったので記憶に無いのですが、Ragnarok Online板＠MMOBBS内のリンク
から行けるところでした。
【気付いた日時】20007年9月17日7:30頃
【　　　 OS　　】WindowsXP SP2
【使用ブラウザ】IE7
【WindowsUpdateの有無】2007年9月10日から12日の間に自動アップデートが
あった記憶があります。
【　アンチウイルスソフト】NortonInternetSecurity2007
【その他のSecurty対策】わかりません。
【ウイルススキャン結果】現在ノートンで実行中、今の所何も発見されず。
【スレログやテンプレを読んだか】Yes、全ては読めていないので今も
読んでいるところです。
【hosts変更】わかりませんが何もしてないです。
【PeerGuardian2導入】無
【説明】
リンク先が中央に女性の顔写真が大きくある、英語？のサイトだったため。

とりあえず今、LANケーブルを抜いて、ノートンでスキャン実行中です。
別PCからRO関係のパスを変更、これも別PCから書いています。
PeerGuardian2というのも知らなくて、ここの>>2にあるサイトから
とんで、今書いているPCのほうには入れました。ウィルススキャンの
結果の如何に関わらず、HDDフォーマットしてOSの再インストールを
しようと思っています。アドレスを記録できてなくてすみません。
509 ：(^ー^*)ノ～さん sage ： 2007/09/17(月) 09:43 ID:vH8hK/Vk0: 踏んだのは書き込み等からではなくMMOBBSが張ってるリンクから？スレ内に張られたリンク？
テンプレに張られるサイトは結構なくなってるものもある。
そういうのはデフォのページに飛ばされたりとかする。そういうのじゃないの？
まあチェックするのはいい事だけどさ。
510 ：508 sage ： 2007/09/17(月) 10:58 ID:KOCcx/tt0: スキャン完了何も見つかりませんでした。今はバックアップ中。

>>509
アコプリスレ、雷鳥スレ、リンカースレか印象に残った一言スレかのどこかを
ぼーっと眺めていて、次何見ようかなと、リンクのどれかをクリックしたように
記憶しています。（曖昧ですいません）
ファイルが存在しないという表示だったのかもしれませんね･･･。
全て英語らしき言語だったので表記で読んではいません。
記憶にあるのは上段に3行くらいで青か紫の濃い色の文字で英語表記で
その下中央に白人女性の胸から上の写真が大きく表示されたことです。
今日の履歴を見ていて、覚えがないURLが1つあったのですが、
履歴に残るようなものではないのでしょうか？
vista.x0.com→Vista Uploader
vista.x0.to→vi8984997506.jpg
履歴に残っている下の画像ファイルをクリックすると画像ではなくて
vista.x0.comになります。
で、ちょっと印象に残ったフレーズ59言目の843番目の書き込みに
該当のURLを見つけました。でもこれを見たときではなかった気も
するんです。いかんせん記憶が曖昧で申し訳ないです。このURLを
クリックしてしまった判断は以後の発言の流れから他の人が見て大丈夫な
ものだったんだと思ってしまったことです。もしかしたら危険サイトとは
無関係な書き込みなのかもしれませんが、履歴から辿れるものは
それくらいでした。
511 ：(^ー^*)ノ～さん sage ： 2007/09/17(月) 11:13 ID:zew9lsKi0: >>510
ああ、それはただの画像で関係無い。（柑橘類の皮を被せた猫の写真だった。今はもう消えてる）

どこのアドレスだったかわからないと、安全だと確認もできないね。
まずは、安全な環境への復旧（元々踏んだのが安全なアドレスでも、ＯＳ入れなおした環境が安全なのは変わらない）

あとのことは気にせず復旧しといで。あと、フルバックアップして戻すと危険なファイルまで戻す可能性もあるので
バックアップは、必要な（かつ、感染していない）ファイルのみにすることだけは忘れずに。
512 ：(^ー^*)ノ～さん sage ： 2007/09/17(月) 12:47 ID:eDu81ygy0: >>495
俺もmixiで踏んだことがある。mixiの垢自体取られてしまうようで、覚えの
ないコメント履歴があるし、変なメッセージを送ったと晒されたりどうもお
かしいので、とりあえずmixi退会してOSから入れ直した。今は別のmixi垢を
とったが、知人の垢でもっともらしいことを書かれると油断するわ。本当に
気をつけないと。
513 ：508 sage ： 2007/09/17(月) 14:58 ID:KOCcx/tt0: ありがとうございますー。
とりあえずOS入れなおしました。
バックアップしたファイルは自分で作成したjpgの画像や
エクセルやワードのファイル、mp3とかwavとかの音源くらい
なのですが。そういうものは大丈夫と思っていいのでしょうか。
514 ：(^ー^*)ノ～さん sage ： 2007/09/17(月) 16:06 ID:zew9lsKi0: >>513
基本的に、その認識でＯＫです。
エクセルやワードのファイルにマクロとして取り付くタイプもありますが、今回は問題無いでしょう。

セキュリティソフトの導入と設定、及び定期的なパターンの更新忘れずにね。
515 ：(^ー^*)ノ～さん sage ： 2007/09/17(月) 18:31 ID:AOG+WSni0: 【　　　気付いた日時　　　　　】昨日午後
【不審なアドレスのクリックの有無　】
自HPのメールフォームから送られてきたものを迂闊にも開きました
http://www■mbspro6uic■com/mbsplink/
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【　　ツールの使用の有無　　　】 No
【　ネットカフェの利用の有無　　　】 No
【　　　 OS　　】 Windows XP HomeEdition SP1
【使用ブラウザ】 Firefox/2.0.0.6
【WindowsUpdateの有無】自動
【　アンチウイルスソフト】カスペルスキーインターネットセキュリティ 7.0 Version7.0.0.138 d
【ウイルススキャン結果】カスペルスキーで完全スキャンを２回実行したものの、特に感染はなし
【スレログやテンプレを読んだか】今から読みます
【hosts変更】無
【PeerGuardian2導入】無
【説明】
ページを開いた瞬間、カスペルスキーがアラートを発してくれたので（Trojan-Downloader.JS.Agent.hfをDLさせられていた模様）DL拒否しました
怖いのでそれ以来ROを起動したりガンホーゲームズHPに行ったりはしていません
516 ：(^ー^*)ノ～さん sage ： 2007/09/17(月) 18:33 ID:zew9lsKi0: >>515
ダウンローダをブロックしたなら、まず大丈夫だろうね。

未知のものも同時に入れようとしてて、入っちゃった可能性は否定しませんが、自己責任でそのまま
プレイしてもいいと思います。心配が残るようなら、ＯＳ入れなおしを。
517 ：(^ー^*)ノ～さん sage ： 2007/09/17(月) 20:42 ID:HsySaboj0: >>515
スクリプトを検知したんでしょ。
そこのスクリプトはActiveXコントロールを使うのでFxでは動作しない。
もっともXPがSP1ってのは非常に危ない。今からでもSP2に。
518 ：(^ー^*)ノ～さん sage ： 2007/09/17(月) 20:54 ID:EFh0VPOf0: 【　　　気付いた日時　　　　　】 9/17日午後
【不審なアドレスのクリックの有無　】自分のブログの乗ってました
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【　　ツールの使用の有無　　　】 No
【　ネットカフェの利用の有無　　　】 No
【　　　 OS　　】 WIN2KPro
【使用ブラウザ】 IE
【WindowsUpdateの有無】常に最新版です
【　アンチウイルスソフト】何もなし
【その他のSecurty対策】何もなし
【ウイルススキャン結果】トレンドマイクロのオンラインスキャンで感染１と出る模様
【スレログやテンプレを読んだか】 Yes
【hosts変更】どうやって調べるんでしょう？
【PeerGuardian2導入】無
【説明】自分のブログにROのことを書いたら貼り付けられていたURLです
別PCで一応チェックしたところ中国のサイトで４０４？と出ている模様
それをそのままオンラインスキャンに書けたところ感染１とでました
http://www■kolakola■com.tw/tour/blog.htm

ブログに乗ってた全文です↓

狩り..ーがお届けするまったり....日記です(n'ω'n)
作りたてですが、まったりしてって下さいな。
http://www■kolakola■com.tw/tour/blog.htm

ハック？
519 ：(^ー^*)ノ～さん sage ： 2007/09/17(月) 21:03 ID:HsySaboj0: 404 NOT FOUND。アドレス間違っただけなのか
サーバ管理者に見つかって駆除されたのかは知らん。
520 ：495 sage ： 2007/09/17(月) 22:35 ID:DATfYcCY0: >>518
どうやら私が踏んだURLと同じようですね。
怖かったのでスレ住人の皆さんにお話を伺い、
ウイルスチェックの後、PCをリカバリしました。
これで大丈夫なのかまだ怯えているところです。
521 ：(^ー^*)ノ～さん sage ： 2007/09/17(月) 22:43 ID:zew9lsKi0: >>520
>これで大丈夫なのかまだ怯えているところです。
まて。リカバリした後に怯える必要は皆無。その場合、確実に安全な環境に戻っていますよ。

>>519 の説明通り普通の404なので、そのアドレスを踏んだ時には何も入ってこない。
522 ：495 sage ： 2007/09/17(月) 22:53 ID:DATfYcCY0: >>521
なるほど、ほっとしました。
PG2導入しました。
気をつけねばなりませんね。
523 ：(^ー^*)ノ～さん ： 2007/09/18(火) 00:59 ID:DNEWLEIL0: 踏んでも何も無いURLとかは踏んだこと無いんですけど
ｱｶｳﾝﾄﾊｯｸって普通のHPに見せかけつつ実はアカハックとか言うこともあるんですか？
例えば何の変哲も無いブログだけど実はアカハックとか・・・
もうそんなのもあるならRO用のPCとネット用完全に分けちゃおうかとも・・・
524 ：(^ー^*)ノ～さん sage ： 2007/09/18(火) 01:05 ID:nq+WxqLm0: >>523
俺はもう既にそうしてるよ。
525 ：(^ー^*)ノ～さん sage ： 2007/09/18(火) 08:40 ID:Iv5v40rp0: >普通のHPに見せかけつつ実はアカハックとか言うこともあるんですか？
あります。一般のＨＰがクラックされて仕込まれているケースなども。

あと、そのような一般的な質問は、次からはLiveROにある、雑談スレ(通称セキュスレ)でお願いします。

＞テンプレ
>重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
>対策・相談・雑談は>>2に有る雑談スレを利用して下さい。
526 ：(^ー^*)ノ～さん sage ： 2007/09/18(火) 12:36 ID:g+yczvos0: >>518
それ、.tw（台湾）な時点で見に行っちゃダメ。
527 ：(^ー^*)ノ～さん sage ： 2007/09/18(火) 15:17 ID:+hzZXjfW0: twは本省人と外省人の区別が、ドメインからでは区別できないからな……
基本はブロックで、ハードウェアメーカーのような必要なサイトだけをWhiteList入りさせた方が無難。
528 ：(^ー^*)ノ～さん sage ： 2007/09/18(火) 15:28 ID:zbA4v2Pi0: 「.com.tw」の時点でおかしくね？
529 ：(^ー^*)ノ～さん sage ： 2007/09/18(火) 15:43 ID:qy9crOtj0: いえ別に
530 ：(^ー^*)ノ～さん sage ： 2007/09/18(火) 16:01 ID:+hzZXjfW0: commercialを表す属性型SLDなだけだし
531 ：(^ー^*)ノ～さん sage ： 2007/09/18(火) 23:45 ID:IahQ6Qcl0: PC起動したらnProtect keycrypt uninstallerって
ダイアログが表示されました・・・
名前のダイアログが立ち上がり文章を読むと
英字でアンインストールに成功しましたと書かれています。

PCにはnprotectの入ってるようなソフトはROぐらいしかないのですが、
これも垢ハックの前兆なのでしょうか・・・？
532 ：(^ー^*)ノ～さん sage ： 2007/09/19(水) 00:02 ID:k5crUCni0: 今日RO起動したらそうでたよ
533 ：(^ー^*)ノ～さん sage ： 2007/09/19(水) 00:07 ID:YLK5wYcu0: 情報ありがとうです！
ギルメンや知人に聞いたらやっぱり出たっていってました。
みんな出るなら癌がなにかしたのかな。すこしホっとしました。
534 ：(^ー^*)ノ～さん sage ： 2007/09/19(水) 00:12 ID:E0WX9C/d0: 大抵役に立たないが、たまには公式サイトも見ようぜ

一部アプリケーションソフトが正常に動作しない現象について
ttp://www.ragnarokonline.jp/news/play/bug/item/10010
535 ：(^ー^*)ノ～さん sage ： 2007/09/19(水) 00:14 ID:ivKM4UpL0: >>531-533
9/11に配布され、不具合出しまくりで配布を停止されたnProtect（サービス化して常駐）の
削除が行われたというメッセージです。微妙に残骸が残ってるらしいですが、
不具合の原因を除去しただけですのでご安心を。

http://www.ragnarokonline.jp/news/play/bug/item/10010
536 ：(^ー^*)ノ～さん sage ： 2007/09/19(水) 00:28 ID:YLK5wYcu0: なんとまあ・・・534さん535さんありがとうです。
ちゃんとチェックしないとダメですね^^;
でもこれで安心できました。本当にありがとうございました。
537 ：(^ー^*)ノ～さん sage ： 2007/09/19(水) 12:53 ID:KUmHJsZW0: 【　　　気付いた日時　　　　　】 9/17　午前中
【不審なアドレスのクリックの有無　】２ちゃん　晒しスレ
http://www■aehatena-jp■com/games
【他人にID/Passを教えた事の有無】 NO
【他人が貴方のPCを使う可能性の有無】 NO
【　　ツールの使用の有無　　　】 NO
【　ネットカフェの利用の有無　　　】 NO
【　　　 OS　　】 XP SP2
【使用ブラウザ】 DonutRAPT_74_full
【WindowsUpdateの有無】一番最近の自動Update
【　アンチウイルスソフト】 NOD32
【その他のSecurty対策】
【ウイルススキャン結果】カスペルスキーオンラインNOD共に反応無し
【スレログやテンプレを読んだか】 YES
【hosts変更】なし
【PeerGuardian2導入】なし
【説明】URLをソースチェックしたところ
※このアドレスは危険URLのひとつです。と出ました。
RO接続をしない別PCからアトラクションIDのPASSのみ変更。
538 ：(^ー^*)ノ～さん sage ： 2007/09/19(水) 13:32 ID:ivKM4UpL0: >>537
既知のアドレスだな。hosts変更かPG2入れてれば確実に防げていた筈。今からでもやっとけ。

NOD32とカスペが反応しなかったところを見ると入手前に切断したと思われるが、新種に差し替えられていて
すり抜けた可能性もある。

安全な環境からのパス変更は終わってるようなので、OS入れなおして確実に安全な環境に戻すか
入手前だったと（セキュリティソフトを信じて）自己責任でそのまま使うか、好きな方を選べ。
（PG2で通信を遮断しておけば、仮に発動しても、盗んだIDとパスを送信できない可能性が高い）
539 ：(^ー^*)ノ～さん sage ： 2007/09/19(水) 14:09 ID:3ejOg6lI0: そうか、PG2は送信さえもブロックしてくれるんだな・・・
540 ：(^ー^*)ノ～さん sage ： 2007/09/19(水) 14:43 ID:ivKM4UpL0: >>537さんが導入していたセキュリティソフトでは「パターン更新を怠っていないなら」きちんと検知
できるようです。反応しなかったのであれば、入手前に遮断できていた可能性が高そうですね。

http://www■aehatena-jp■com/games/svch■exe

ESET Smart Securty Beta(NOD32)
Win32/PSW.Maran trojan

Kaspersky
Trojan-PSW.Win32.Maran.gen
541 ：(^ー^*)ノ～さん sage ： 2007/09/19(水) 16:36 ID:jisDTiLz0: リンカースレから失礼します。
ステアップ板が荒らされてナゾのURLがいくつか貼ってあるんですが
これはステアップ板を除いても全く問題はないのでしょうか？
URLは http://nike-net.com/linker_wiki/gms/list.php　です
542 ：(^ー^*)ノ～さん sage ： 2007/09/19(水) 16:48 ID:Sbkj47CW0: テンプレぐらい読んでから書けよ
543 ：(^ー^*)ノ～さん sage ： 2007/09/19(水) 16:50 ID:Bd+hj4Ei0: >>541
今のところは、垢ハック系統ではなく、所謂botnet由来の薬物系spamだけかと。
ステアップ板の閲覧だけなら問題は無いが、張られているリンク先に飛ぶのは、ゾンビの仲間入りする可能性もあるので自重すべき。

ここから余談。
リンカーWikiの管理人氏は、管理ができている時期と、そうでない時期に妙に波がある様に思われる。本職絡みなのかも知れないが。
こういう場合には、やっぱり副管理人か削除人のような存在が必要とされるかもしれない。
544 ：537 sage ： 2007/09/19(水) 18:37 ID:KUmHJsZW0: >>538、540
不安なので早速OS再インストしPG2導入、Hostsの変更などをしました。

RO起動時に
GunHo Online ... 221.247.195.176
BANDAI NETWORKS Co...211.13.228.22
がブロックされるのですが、GunHoはともかくBANDAIのほうも許可して
良いものなのでしょうか？
545 ：(^ー^*)ノ～さん sage ： 2007/09/19(水) 18:51 ID:BJLWPA110: 企業系のリストは導入すると支障が大きいので解除お勧め、自己責任で
あとはwikipediaくらいかな、問題ありそうなのは

ここら辺も書いてあったと思うけど
546 ：537 sage ： 2007/09/19(水) 18:58 ID:KUmHJsZW0: >>545
ありがとうございます。
IPアドレスを検索して本当にバンダイなのか調べてみました。
とりあえずOKなようですね。
これを機会にセキュリティに気をつけたいと思います。
547 ：(^ー^*)ノ～さん sage ： 2007/09/19(水) 19:11 ID:E0WX9C/d0: 個々に許可するんじゃなくて、リストをまるごと外すって意味だよ
548 ：(^ー^*)ノ～さん sage ： 2007/09/19(水) 19:35 ID:aEJUKfqE0: > BANDAI NETWORKS Co...211.13.228.22

このIPアドレス、WG1のログイン鯖なんだけど
本当にバンダイかどうか確認したんだろうか。
549 ：(^ー^*)ノ～さん sage ： 2007/09/19(水) 19:42 ID:Hw6W9rTt0: Network Information: [ネットワーク情報]

a. [IPネットワークアドレス]　 211.13.228.0/24
b. [ネットワーク名]　　　　　RAGNAROK-JP2
f. [組織名] 　　　　　　　　　ガンホー・オンライン・エンターテイメント株式会社
m. [管理者連絡窓口] 　　 YT6546JP
n. [技術連絡担当者] 　　 YT6546JP
p. [ネームサーバ] 　　　　　　ns01.idc.jp
p. [ネームサーバ] 　　　　　　ns02.idc.jp
p. [ネームサーバ] 　　　　　　ns03.idc.jp
[割当年月日]　　　　　　　 2006/05/29
[返却年月日]
[最終更新] 　　　　　　　　2006/08/23 15:44:03(JST)

上位情報
----------
ソフトバンクIDC株式会社 (SoftBank IDC Corp.)
　　　　　　[割り振り] 　　　　 211.13.228.0/22

どうみてもROの鯖です
550 ：(^ー^*)ノ～さん sage ： 2007/09/19(水) 20:14 ID:wfWIa0Eh0: 垢ハック被害報告スレって今はないのかな。
551 ：(^ー^*)ノ～さん sage ： 2007/09/19(水) 20:26 ID:BJLWPA110: ここかLiveROの方で良いと思うけど

以前ハックされて警察や癌に通報してた人がいたはず
かなり長く逐一報告してたから「HP作ってやれよ」みたいに言われてたけど
552 ：(^ー^*)ノ～さん sage ： 2007/09/19(水) 21:02 ID:wfWIa0Eh0: 実は今ギルメンがハックされて話し合いしてる最中で。

しかもRO内のアイテムが取られた、じゃなくて
ガンホーに確認したらガンホーIDそのものを削除されてると出た。

ガンホーIDが削除された際に内部データも全部削除されたとの事で
一切の復旧を行わないって言われたらしい。

もちろん本人は削除なんてしてないし…。
テンプレ使おうにも情報不足だからもう少しまとまってからで。
553 ：(^ー^*)ノ～さん sage ： 2007/09/19(水) 21:09 ID:3u4QTO140: 長引きそうなので、よければ雑談スレのほうでお願いします。
http://enif.mmobbs.com/test/read.cgi/livero/1186660300/
554 ：(^ー^*)ノ～さん sage ： 2007/09/19(水) 21:13 ID:pksGdOKR0: >>552
とりあえず、警察と癌胞に通報を繰り返してみよう。
さすがに何らかのエラーで消えた場合に備えてバックアップは取ってるだろうから、
復旧できないって言うのも信用ならない。とくに癌胞だし。
555 ：(^ー^*)ノ～さん sage ： 2007/09/19(水) 21:29 ID:wfWIa0Eh0: ttp://enif.mmobbs.com/test/read.cgi/livero/1186660300/167

セキュ板の方に書き込んできましたが今のところとりあえずこんな感じです。
556 ：(^ー^*)ノ～さん sage ： 2007/09/19(水) 21:44 ID:lu42SEi90: >>ID:wfWIa0Eh0
それは垢ハックウイルスが原因なのが確定？
そうならそのギルメンにスキャンかけてもらって結果見せてほしい

でも、憶測だけどどーも違うことが原因に思えてならない
誰かにID教えてたとか、ね
557 ：(^ー^*)ノ～さん sage ： 2007/09/19(水) 21:47 ID:lu42SEi90: よんでなかった・・・スキャンかけてたのか
引っかからないってことは新型かもしれないから日を置いてまたもらってほしい
558 ：(^ー^*)ノ～さん sage ： 2007/09/19(水) 21:51 ID:rJcmOkYL0: RMCで変なアドレス踏んだとかじゃ？
でもそれならスキャンで引っかかるか
559 ：(^ー^*)ノ～さん sage ： 2007/09/19(水) 21:52 ID:BJLWPA110: 誘導されてLiveROに移ってるからレスも向こうで付けないか？
560 ：(^ー^*)ノ～さん sage ： 2007/09/19(水) 23:41 ID:0vvFox840: 【　　アドレス　】 http://2sen■dip■jp:81/cgi-bin/upgun/up1/source/up8458■gif
【気付いた日時】 9/19 午前11時頃
【　　　 OS　　】 WindowsXP HomeEdition SP2
【使用ブラウザ】 jane Doe Style Ver2.73
【WindowsUpdateの有無】先週
【　アンチウイルスソフト】 avast! HomeEdition 4.7
【その他のSecurty対策】 Spybot
【ウイルススキャン結果】 avast! 検索するも検出は無し
【スレログやテンプレを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】有リネージュ研究室よりDL
【説明】
サムネイルを表示するとブラウザが自動的に強制終了されました
その後「ウイルスなのか？」というような内容のレスがついたので
別のブラウザで開くと何か異常があったのかもしれません

元はROとは関係無いアップローダーですが
最近は無造作にハックURLが貼り付けられているようなので不安です
別のマシンでRO関連のパスワードの変更はしましたが
ROの起動やOSの再インストールはしていないです
561 ：(^ー^*)ノ～さん sage ： 2007/09/19(水) 23:49 ID:ivKM4UpL0: >>560
容量でかいが、普通のアニメGIF。水着のねーちゃんが動きます。そんだけ。
落ちたのは、メモリ不足とか、リソース不足とかじゃないかな。
562 ：(^ー^*)ノ～さん sage ： 2007/09/19(水) 23:50 ID:ljfrJoYp0: >>560
水着の女性、少なくとも今はPC無害
563 ：(^ー^*)ノ～さん sage ： 2007/09/19(水) 23:58 ID:BJLWPA110: もぉ…、どこの板にいるのよぉ（´∀｀*）

ま、何事もなくて何より
564 ：(^ー^*)ノ～さん sage ： 2007/09/20(木) 00:30 ID:RBBKRoHE0: >>561-563
そうでしたか・・・・・・有難うございます。お騒がせしましたorz
これだけでは何なので今回の反省点をまとめて

2ch形式のBBSでURLをクリックする時は、その後のレスの反応を参考にしてみる
拡張子が画像関係だからといって決して油断しない

アップローダーのサムネイル表示を無闇にしないようにする
565 ：(^ー^*)ノ～さん sage ： 2007/09/20(木) 01:07 ID:UDE1uSwf0: >>560
ttp://janestyle.s11.xrea.com/
>Version 2.74 公開
>・不正なGIF画像でアプリケーションが落ちる不具合を修正
これに引っかかって落ちたかと思われ。
9/19付けの最新版は2.75。
566 ：(^ー^*)ノ～さん sage ： 2007/09/20(木) 11:17 ID:sUi3BC0k0: 最近は中華の罠ドメイン取得とかないのか？
癌がBOTをBANしなくなってBOTのが楽になったからかね
567 ：(^ー^*)ノ～さん sage ： 2007/09/20(木) 11:20 ID:GUUnFamA0: ちょい上のほうに沢山あるお。
568 ：(^ー^*)ノ～さん sage ： 2007/09/20(木) 11:41 ID:sUi3BC0k0: いや、少し前は1週間に1回は新ドメイン取得報告が
あった気がするんだけど、最近ないなぁと
俺の気のせいならスマン
569 ：(^ー^*)ノ～さん sage ： 2007/09/20(木) 11:48 ID:GUUnFamA0: ああ、なるほど。
でも上の報告見ても報告してくれた日よりかなり前に取得したような感じのものもあるし、
多分裏では作りつづけているんじゃなかろうか？
570 ：(^ー^*)ノ～さん sage ： 2007/09/20(木) 11:51 ID:zsXmaoK10: >>566-569
テンプレにあるように、雑談はセキュスレに移動してやってもらえないだろうか。

セキュリティ対策、質問・雑談スレ3
http://enif.mmobbs.com/test/read.cgi/livero/1186660300/
571 ：Wikiかんり ◆YmlphaDS/s sage ： 2007/09/21(金) 10:43 ID:X1u9ldjC0: http://www.mechiment■net/amcap.com
9/10に某掲示板(RO外。廃墟)に書き込まれたURL。
amcap.comはUPX圧縮ファイル。(MD5: 626c64c88908fe71beaff744f42d663c)
- 20070608180744145.jpg(コスプレ女性の画像)と、server.exeが含まれる。
- VirusTotalで確認すれど検出率低め。Result: 9/32 (28.13%)
　日本で良く利用されているものでは、検出できるのが Avastくらい。

http://www.mechiment■net/
サイトのトップにも仕掛けあり。
フルスクリーンでYoutube動画を再生させようとする。
裏でVBscriptを呼び出し、Microsoft.XMLHTTPの脆弱性を利用して
http://www.natatinon■com/yahoo.exe
を起動させようと試みる実装がされている。

yahoo.com はUPX圧縮ファイル。(MD5: deb95a4853f4c9b5c7bc3191c7e10e83)
検出率は amcap.comに近い。Result: 10/32 (31.25%)
国内で使われているものでの検出状況も同様。
上記二件については、Symantec, KingSoft, Kaspersky に検体提出を試みた。

ドメイン登録情報は、mechiment, natatinon とも以下の通りである。
Registrant:
Zhang xiaolong
Administrative Contact:
Li hoy
Zhang xiaolong
shang hai guangzhong road 328
Shanghai Shanghai 200000
CN
572 ：571 sage ： 2007/09/21(金) 10:48 ID:X1u9ldjC0: またやっちゃった... orz
573 ：(^ー^*)ノ～さん sage ： 2007/09/21(金) 11:10 ID:rb11Wpw70: いつも乙であります。
574 ：(^ー^*)ノ～さん sage ： 2007/09/21(金) 11:21 ID:rb11Wpw70: >>571
という訳で、検体提出行ってきます。

ESET Smart Security beta(NOD32)
amcap.com : Not Detected
index.htm : Not Detected
yahoo.exe : Not Detected

Kaspersky
amcap.com : Not Detected
index.htm : Not Detected
yahoo.exe : Not Detected
575 ：571 sage ： 2007/09/21(金) 11:49 ID:X1u9ldjC0: カスペルスキー先生からお返事。
Trojan-PSW.Win32.OnLineGames.dgf
576 ：(^ー^*)ノ～さん sage ： 2007/09/21(金) 12:34 ID:rb11Wpw70: >>575
カスペは、TOPページ（一緒に送っといた）も対応してくれた模様。
amcap.com_, yahoo.exe_ - Trojan-PSW.Win32.OnLineGames.dgf
index.htm_ - Trojan-Downloader.JS.Agent.ra
577 ：(^ー^*)ノ～さん sage ： 2007/09/21(金) 21:25 ID:VVlNMsRv0: 【　　アドレス　】　http://www■rmtro-jp■com/blog/
【気付いた日時】先ほど。
【　　　 OS　　】 Windows　XP　
【使用ブラウザ】 Internet　Explorer6.0
【WindowsUpdateの有無】わかりません。
【　アンチウイルスソフト】無し
【その他のSecurty対策】ルータ（ﾊﾞｯﾌｧﾛｰ社製品2004年の物）
【ウイルススキャン結果】していません。
【スレログやテンプレを読んだか】 (今、読んでます)
【hosts変更】無いと思います。
【PeerGuardian2導入】これも無いと思われます。
【説明】
　　　本日ログインしていたところ、いきなり他のＰＣでログインしましたの文字が。
再度ログインしたところ同じ文字。
これは、アカウントハッキングだと思い、知り合いに連絡を取り
ｇｕｎｈｏ-ＩＤ、アトラクションＩＤ両方とも変更していただきました。
それからはログインなどせずこちらを拝見しております。
私の軽率な行動でこうなってしまった事、申し訳なく思います。
私の被害もそうですが、一応報告だけでもと思い、書き込み失礼いたします。
578 ：(^ー^*)ノ～さん sage ： 2007/09/21(金) 21:26 ID:5ktiojOp0: なんかえらく他人事だな…、さっさとウイルススキャンしなさいな
579 ：(^ー^*)ノ～さん sage ： 2007/09/21(金) 22:01 ID:LJNtU58O0: 【　　アドレス　】　http://www■rmtro-jp■com/blog/ 【気付いた日時】先ほど。【　　　 OS　　】 Windows　XP　【使用ブラウザ】 Internet　Explorer6.0 【WindowsUpdateの有無】わかりません。【　アンチウイルスソフト】無し【その他のSecurty対策】ルータ（ﾊﾞｯﾌｧﾛｰ社製品2004年の物）【ウイルススキャン結果】していません。【スレログやテンプレを読んだか】 (今、読んでます) 【hosts変更】無いと思います。【PeerGuardian2導入】これも無いと思われます。【説明】　　　本日ログインしていたところ、いきなり他のＰＣでログインしましたとの文字が。これは、アカウントハッキングだと思い、知り合いに連絡を取りｇｕｎｈｏ-ＩＤ、アトラクションＩＤ両方とも変更していただきました。それからはログインなどされず。こちらを拝見しております。私の軽率な行動でこうなってしまった事、申し訳なく思います。私の被害もそうですが、一応報告だけでもと思い、書き込み失礼いたします。
580 ：(^ー^*)ノ～さん sage ： 2007/09/21(金) 22:15 ID:rb11Wpw70: >>577
安全な環境からのパスワード変更が終わっているようですので、

必要なデータをバックアップした後に、ＯＳを入れなおして、安全な環境に戻しましょう。

次いで、セキュリティソフトを導入し（必須）、PG2を設定し（任意）、ROを再インストールして
プレイできる環境に戻して下さい。
581 ：(^ー^*)ノ～さん sage ： 2007/09/21(金) 22:56 ID:MZMvENgb0: ＰＣと携帯からの2重か。読み難いな・・・
皆の言うとおり、とりあえずは安全だから、今後は気をつけてな。
582 ：(^ー^*)ノ～さん sage ： 2007/09/21(金) 23:42 ID:tNifQrDv0: >>577
とりあえず、OSを再インストールしたら、WindowsUpdateは確実に行ったほうがいい。出来れば自動通知ONで。
場合によっては、mixi経由の様に他人を巻き込む可能性もあるから、それを防ぐ意味でも。
583 ：(^ー^*)ノ～さん sage ： 2007/09/22(土) 16:58 ID:2poluA+H0: すみません477のアドレス踏んでしまったんですが
svch■exeというファイルは自分のＰＣから見つかりませんでした。

仮に垢ハックにかかってしまった場合上記のexeが自分のPCに入り込んで
IDパスを撒き散らすということでよいのでしょうか。
584 ：(^ー^*)ノ～さん sage ： 2007/09/22(土) 16:59 ID:2F415chA0: >>571
yahoo.exe 削除された模様。
585 ：(^ー^*)ノ～さん sage ： 2007/09/22(土) 17:40 ID:WLX87XH10: >>583
そういったことは次回からこちらへ
セキュリティ対策、質問・雑談スレ3
http://enif.mmobbs.com/test/read.cgi/livero/1186660300/

そのexeがそのままPCに潜り込んで活動すると言うよりも
exeからウイルスが広がって既存ファイルに感染するのがわかるかな
インストーラーみたいな感じだと思う
586 ：583 sage ： 2007/09/22(土) 17:51 ID:2poluA+H0: >>585
色々と調べてみました。自分はKaspersky Internet Security 試用版で検索をかけましたが
感染はしていなかったみたいです。
どうやらsvch■exeは「MS06-014」のWindowsUpdateが出来ていれば影響は受けない、という
ことらしかったので事なきを得た様です。
でもまだ不安が残るので誘導されたほうできいてみたいと思います。
どうもありがとうございました。
587 ：(^ー^*)ノ～さん sage ： 2007/09/23(日) 23:30 ID:ukITBlFA0: 【　　　気付いた日時　　　　　】 9/23 18:30
【不審なアドレスのクリックの有無　】有　（クリックしたんだろうけど踏んだ心当たりがなし）
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【　　ツールの使用の有無　　　】 No
【　ネットカフェの利用の有無　　　】 No
【　　　 OS　　】 WindowsXP HomeEdition SP2
【使用ブラウザ】 IE
【WindowsUpdateの有無】最新
【　アンチウイルスソフト】 NOD32
【その他のSecurty対策】ルーター、たまにAD-AWARE、カスペオンラインスキャンで検査
【ウイルススキャン結果】カスペルオンラインスキャンで発見。NOD先生はスルー（18:30頃）
　　　　　　　　　　　　　　オブジェクト　：　C:\WINDOWS\system32\Packet.dll
　　　　　　　　　　　　　　　　ウイルス　：　HackTool.Win32.Agent.br
【スレログやテンプレを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】　無
【説明】
Gv前に検索かけてみたら発見。
別PCでパス変えて感染PC隔離したので今のところ実被害なし。
心当たりがないのが痛い・・・
ウイルスの詳細がカスペのHPにはなかったけど、ウイルス名でぐぐったら
中国語でオンラインゲームのアカウントを云々とあるので垢ハックほぼ確定。
NOD先生が反応してくれなくて手動削除もできなかったので
カスペ試用版を落としてとりあえず削除。
不安なので今からOS入れなおし。
588 ：(^ー^*)ノ～さん sage ： 2007/09/23(日) 23:46 ID:9HdLa4Rx0: >>587
WinXPproSP2で同一ファイル名をスキャンしたところ、カスペで検出しませんでしたので、
誤検出の線は薄いですね。(23:40頃)

アドレスがわからないのが残念ですが、ＯＳ入れなおして、安全な環境に戻すのを頑張って下さい。

OSインストール時には、SP+メーカーを使ってSP適用済みCD（DVD)を作成しておくと労力が軽減できます。
別のスレで紹介されていたものですが、インストールの順番を守ると、PCがより安定するかもしれませんね。
ttp://www.daw-pc.info/windows/inst.htm

ついでに、PG2の導入もお勧めしておきます。
589 ：571 sage ： 2007/09/24(月) 17:35 ID:cSusVz7R0: >>575
ノートン先生からもお手紙着いた。(24日 10時ごろ)

filename: yahoo.exe
result: This file is detected as Infostealer.Gampass. http://www.symantec.com/avcenter/venc/data/infostealer.gampass.html

filename: amcap.com
result: This file is detected as Trojan.Dropper. http://www.symantec.com/avcenter/venc/data/trojan.dropper.html

あえて自動更新に任せてるパターンファイルは書き込み時点で
　2007/09/20 rev. 9
当然ながら、検体に提出したファイルは未だ検知せず。

--
特に攻撃者の標的となっているゲームをプレイしているユーザーにとっては
感染に気付くまでの時間は一刻を争うといえましょう。

ことアカハック系への対処を考えるならば、「何でもいいからウィルス
対策ソフト入れておけ」というのでは足らず、どこかのソフトの売り
文句じゃないですが「セキュリティソフトこそ性能で選ぶべきだ」と
言うべきなのかもしれません。

キャッシュに残ってたアカハックサイトへのアクセス痕跡を、更新の
遅い対策ソフトが見つける頃には、身ぐるみはがされたキャラが
カプラ前に突っ立ってるなんて事態になっていそうで。

正直申しあげて、N先生にはがっかりさせられっぱなしですので、
オンラインゲームプレイヤーにはお勧めできないと個人的な感想。
590 ：(^ー^*)ノ～さん ： 2007/09/25(火) 09:06 ID:J+dbEw9r0: 自分のブログにあったトラバＵＲＬを調査していたのですが・・・

【　　アドレス　】 http://tresuretresuretresure■web■fc2■com/
【気付いた日時】トラバに気づいたのは今月18日、踏んだのは今朝
【　　　 OS　　】 WindowsXP HomeEdition SP2
【使用ブラウザ】Mozilla/5.0 (Windows; U; Windows NT 5.1; ja; rv:1.8.1.7) Gecko/20070914 Firefox/2.0.0.7
【WindowsUpdateの有無】最近した気がする、少なくとも2週間以内くらい
【　アンチウイルスソフト】 NortonInternetSecurity2007？　BBセキュリティのライト版
【その他のSecurty対策】ルータは経由してるけど、よくわかんない
【ウイルススキャン結果】ノートン先生は何も検出しなかった
【スレログやテンプレを読んだか】だいたい読んだ
【hosts変更】無
【PeerGuardian2導入】無
【説明】
fc2は最近ヤバイと聞いていたのだが、aguse.netでは一見普通の不法就労をすすめるページぽかったので、
どうやってヤバイと判定するのかなぁと思いつつ、キャッシュで見てみた。
トラバされたときに説明が文字化けしていたのを思い出して、まずいかなと思った。

いつもなら無視して終わりなのに・・・

お手数ですがよろしくお願いします。
591 ：(^ー^*)ノ～さん sage ： 2007/09/25(火) 09:41 ID:4Pra7CfF0: >590
>1
>※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

よろしく、と言われても困るわけで。
ソースチェッカーで軽く見た感じではハクとは関係なさそうだけど、詳しく見てないのでなんとも。
不安ならカスペのオンラインスキャン等々でチェック。

>どうやってヤバイと判定するのかなぁと思いつつ
セキュスレ向きの話なので、簡単に。

自分がやってるのはソースチェッカーでソースを見てスクリプトや中に書かれたURLをチェック。
exeやcurのリンクが書かれていたり、スクリプトで「Microsoft.XMLHTTP」のオブジェクトを
生成するように書かれていると、結構怪しい。
あとはまとめサイト等のあるアドレスが書かれて無いか、など。

>46のように罠ページをiframeで仕込むパターンが多いので、過去ログを見てみると傾向が
つかめると思う。
592 ：(^ー^*)ノ～さん sage 多分無害： 2007/09/25(火) 09:47 ID:4P/EYe3V0: >>590
自分で言ってるから分かっていると思うけど、怪しいと思うなら踏まないでさくっと削除しましょう。
どうしても踏むならばきちんと対策してから。多分魔かなんかがさしたんだろうけど。

で、
>【スレログやテンプレを読んだか】だいたい読んだ
のだから
> ※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません
は読んでるはずなんだけどなぁ。
2chのそれ系のスレにいったほうがレスが早いと思うよ？

あと s/不法就労/不労就労/
593 ：590 ： 2007/09/25(火) 10:47 ID:J+dbEw9r0: >>591
>>592
レスありがとうございます。
２ｃｈ等、匿名掲示板の使用に慣れていないので、
最新の　勇気がなくて踏めない人のための鑑定ｽﾚ　にたどり着くのに
時間がかかってしまい、ご迷惑をおかけしました。

中国など海外からのものは削除して終わりなのですが、国内のものは初だったので
今回こういうことになってしまいました。
fc2が危険ということは知っていたのですが、一般サイトでは詳細な調べ方？が
載っているサイトは見つからず、結局こういった掲示板に頼ることになった
次第です。
ファンサイト運営者のひとりとして、知っておくべき知識だと思うので、
しばらく勉強したいと思っています。
594 ：(^ー^*)ノ～さん sage ： 2007/09/25(火) 19:16 ID:6GVjq1YR0: >>593
生兵法は怪我の元だから君子危うきに近寄らずがBest。
でも興味があるってなら590の言うようにLiveROの方のスレで聞くと色々
助言が貰えると思うよ。

LiveROのスレはこちら
セキュリティ対策、質問・雑談スレ3
http://enif.mmobbs.com/test/read.cgi/livero/1186660300/
595 ：(^ー^*)ノ～さん sage ： 2007/09/25(火) 19:25 ID:R4pO87rL0: >>593,594
その考え方も間違いではないが、仮にもファンサイトを運営している立場なら、無学のままでは今後厳しい局面に立たされる危険性が高い。
連中はサイトのクラックすら躊躇せずに行う輩だし、サーバサイドのセキュリティ・自衛方法の知識を蓄えていく事は無駄にはならないよ。
596 ：(^ー^*)ノ～さん sage ： 2007/09/25(火) 20:28 ID:YsOD0sWQ0: 今日のBOT対策の結果、中華がまたハクに精を出してくる気がした。
今更すぎるが、ご用心を。
597 ：(^ー^*)ノ～さん sage ： 2007/09/25(火) 21:33 ID:Jw3AqeAX0: 癌がまともなBOT対策？
またまたご冗談を（AA略
598 ：(^ー^*)ノ～さん sage ： 2007/09/25(火) 21:37 ID:pigvn6SJ0: 【　　　気付いた日時　　　　　】 5月のはじめくらいに
【不審なアドレスのクリックの有無　】踏んだ記憶はありません
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【　　ツールの使用の有無　　　】 No
【　ネットカフェの利用の有無　　　】 No
【　　　 OS　　】 WindowsXP
【使用ブラウザ】IE
【WindowsUpdateの有無】常に最新の状態を保っていたはずです
【　アンチウイルスソフト】ウイルスバスター
【その他のSecurty対策】なし
【ウイルススキャン結果】故障してしまいできませんでした
【スレログやテンプレを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
引越し→ネット開通までの間にアイテム・キャラともに根こそぎやられました。
気づいたのは別のPCで5月にログインしたときで、感染していると思われるPCは垢ハック判明後から現在まで使っていませんでした。
最近また、ウイルスを駆除してROを再開しようと思ったのですが、数ヶ月放置していたからか故障していましたorz
ウイルスの種類や感染していたファイル、感染経路等が特定できないので不安なのですが、OS再インストールをすればとりあえずは安全に使えるのでしょうか？
599 ：(^ー^*)ノ～さん sage ： 2007/09/25(火) 21:40 ID:1986qgDr0: ＞OS再インストールをすればとりあえずは安全に使えるのでしょうか？
その通りでございます。
600 ：587 sage ： 2007/09/25(火) 22:32 ID:aK2ryDg90: いろいろ調べてみました

結果、最新版のWinPcapの中に混入している可能性大でした。
これが今だにNOD先生が反応しないので、カスペさんが過剰反応しているだけかも

とりあえず、垢ハックとは話ズレそうなのでこの辺で
601 ：(^ー^*)ノ～さん sage ： 2007/09/26(水) 09:56 ID:y+5zcJ5j0: >>598-599
故障の度合にもよる。
ソフト的な物だけなら、再インストール(リカバリ)で復旧できるが、HDDなどハード的にやられている部分がある場合は、該当パーツの
交換が必要となるぞ。
しばらく使っていなかったPCを、いざ使おうとしてみたら起動しないというのは決して珍しくはない話。
602 ：598 sage ： 2007/09/26(水) 16:04 ID:5tVjM6re0: レスありがとうございます。

>>599
なんでも消せない領域に入られたら再インストールだけじゃダメということも聞いたので・・・。
過去のレスではそういった種類のウイルスがないようなのでとりあえず大丈夫そうですね。

>>601
故障のほうが問題だったかもしれません。
ファンはまわっているのに画面が映らなかったりキーボードが反応しないといった状況で・・・。
お金かかりそうですがちゃんと修理に出してみます。
603 ：(^ー^*)ノ～さん sage ： 2007/09/27(木) 17:15 ID:Y6Xx0uY30: >>602
引っ越しを挟んでいるから、業者?の梱包が手抜きだったのだろう。それだと輸送振動などで故障する場合も少なくない。
いかに宣伝文句を謳っていようとも、新品ですら輸送は初期不良の原因となる訳で。
PCの類いは、ハンドキャリーに勝るものはない。
604 ：(^ー^*)ノ～さん sage ： 2007/09/27(木) 21:17 ID:FIr09HAe0: langouster■com/iekavass/test/vir■exe
新種。
超ヤバイ、20時55分のVIRUSTOTALで検出したのは1つだけ、
しかもヒューリスティックで。
検出率3.13％
F-Secure、カスペ、NOD32、シマンテックスルー

ドメイン登録情報を調べたらIPが四川の成都。
登録者名が"Zhang Wei"、”zhangwei”jp？
福建人の仲間でまず間違いない。

対日攻撃に今の段階で使われると大変だ。
605 ：(^ー^*)ノ～さん sage ： 2007/09/27(木) 21:20 ID:PeowHTQt0: >>604
サイズ小さすぎね? 3.5kBだとせいぜいダウンローダだろうけど
それっぽい文字列も見当たらない。
このコード量じゃパス抜きは無理な予感
(ファイル削除とかはできると思うが)。
606 ：604 sage ： 2007/09/27(木) 21:21 ID:FIr09HAe0: ここ数日PROXY使ってないのに規制喰らってた。

他の罠置き場も。
web■858656■com/104/xl/smss1■exe
www■freepower■com■cn/5tan1ie/picture/sysinfo■exe
www■beautyconcept■cn/asp/server■exe
www■hot169■cn/muma/muma■exe
user■free2■77169■net/xiaob/qq/QQTT■exe
607 ：(^ー^*)ノ～さん sage ： 2007/09/27(木) 21:29 ID:FIr09HAe0: ＞サイズ小さすぎね? 3.5kBだとせいぜいダウンローダだろうけど
それっぽい文字列も見当たらない。

ディレクトリを良く見るとiekavとtestの文字。
これは現時点では試作体なのかも知れない。

だが台湾あたりのサイトで出てくるくらいだから
何かしらの攻撃に使われたのかも知れぬ。

これに肉付けでもするのかも、油断は大敵。
608 ：(^ー^*)ノ～さん sage ： 2007/09/27(木) 22:17 ID:7mafRiOA0: 未記入の箇所は、すりぬけ。
リトライがやたらかかったけど、全部入手に成功したので検体提出してきます。

Eset Smart Securty(NOD32)
vir.exe :
smss1.exe : Win32/Drowor virus
sysinfo.exe :
server.exe :
muma.exe : Win32/TrojanDownloader.Delf.NJH trojan
QQTT.exe :

Kaspersky
vir.exe :
smss1.exe : Trojan-Downloader.Win32.Agent.dex
sysinfo.exe : Backdoor.Win32.PcClient.aeh
server.exe : Backdoor.Win32.Hupigon.jmq
muma.exe :
QQTT.exe : Trojan-PSW.Win32.QQPass.bar
609 ：(^ー^*)ノ～さん sage ： 2007/09/27(木) 22:21 ID:MGFBJ/jf0: >>606
ノートン反応
web■858656■com/104/xl/smss1■exe　W32.Jacksuf.A
www■beautyconcept■cn/asp/server■exe　 Backdoor.Graybird
user■free2■77169■net/xiaob/qq/QQTT■exe　W32.SillyDC

>>604 >>606
残件、シマンテックに検体送付しました。
610 ：(^ー^*)ノ～さん sage ： 2007/09/27(木) 22:47 ID:7mafRiOA0: カスペ返答
virは危険コードなし。muma.exeは次のパターンで。

muma.exe - Trojan-Downloader.Win32.Delf.cgh

These files are already detected. Please update your antivirus bases.
vir.exe
611 ：(^ー^*)ノ～さん sage ： 2007/09/27(木) 22:53 ID:7mafRiOA0: 追加。
AntiVir が全部検出（vir.exeは安全らしい）済みだったのがちょっと凄いと思った。（一部ヒューリスティック）

Trend Micro
vir.exe : CLEAN
smss1.exe : TROJ_DLOADER.PZK
sysinfo.exe :
server.exe : BKDR_HUPIGON.GAU
muma.exe :
QQTT.exe :

Avira's virus lab(AntiVir)
vir.exe : CLEAN
smss1.exe : TR/Dldr.Small.GOC.1.
sysinfo.exe : DR/PcClient.Gen.
server.exe : TR/LdPinch.KO.
muma.exe : TR/Crypt.XPACK.Gen.
QQTT.exe : TR/Flooder.IM.VB.GF.
612 ：(^ー^*)ノ～さん sage ： 2007/09/27(木) 22:59 ID:MGFBJ/jf0: はえーなぁ。w
くやしいのでアンチドートでチェック>>608のKasperskyと同じ結果。
当たり前だｗ。。。削除はできないけどね。(´･ω･`)ｼｮﾎﾞｰﾝ

>>604 >>606
ついでにキングソフトにも送ってみた。。。
613 ：(^ー^*)ノ～さん sage ： 2007/09/27(木) 23:11 ID:FIr09HAe0: vir.exeはやはり試作もしくは検証用なのか。

一応VIRUSTOTAL
Prevx1 V2 2007.09.27 Heuristic: Suspicious Self Modifying File

あっちのウィルス対策掲示板で、上に書いた他のものと一緒に書き込まれるあたり
”火の無いところに”の例えなんだろうけど。

そうでもなきゃクリーンであるはずのものを書き込むとは思えない。
ともあれ”今のところ”は杞憂で何より。
614 ：(^ー^*)ノ～さん sage ： 2007/09/27(木) 23:17 ID:MGFBJ/jf0: >>613
こちらもvirustotalに投げてるけど、こんなのが出た。
Prevx1 V2 2007.09.27 Heuristic: Suspicious Self Modifying File
ttp://www.virustotal.com/resultado.html?ef208ec39098e5738b7d26fd9067f201　（ログはすぐに流れてしまう）
File vir.exe received on 09.27.2007 16:05:41 (CET)
scanning finished
Result: 1/32 (3.13%)
File size: 3584 bytes
MD5: 99144b0d046e861a18e1c46db582db72
SHA1: 61265229ed87c2c60a37f781de6661c1a4b8e0d2
615 ：(^ー^*)ノ～さん sage ： 2007/09/27(木) 23:19 ID:MGFBJ/jf0: あう、よくみたら同じだった。。。orz....
616 ：(^ー^*)ノ～さん sage ： 2007/09/28(金) 13:17 ID:42vpR98p0: >>609
\muma■exe
コンピュータ:
結果: このファイルの検出結果 Downloader. ttp://www.symantec.com/avcenter/venc/data/downloader.html
\sysinfo■exe
コンピュータ:
結果: このファイルの検出結果 Trojan.Dropper. ttp://www.symantec.com/avcenter/venc/data/trojan.dropper.html
\vir■exe
コンピュータ:
結果: \vir■exe contains no malicious code although it might be a nuisance. It is safe to delete this file.

>>612
アンチドート
\muma■exe = ｳｲﾙｽ感染 : Trojan-Downloader.Win32.Delf.cgh
617 ：(^ー^*)ノ～さん sage ： 2007/09/29(土) 13:59 ID:7Rx+pS5+0: >>613
サイトのトップページから見ると、大学生(Jiangsu UniversityとWhoisに)
と思われる個人blog。blogの記事から見てセキュリティ関係に詳しい人です。

で今回報告された vir.exeですが、blogの主が関わっているとみられる
IE護衛(IEKavass)というトロイ防御用ソフトウェアの紹介エントリで、
動作確認用に置かれたもののようです。

http://www.langouster■com/Html/22.html
-> http://www.langouster■com/IEKavass/test/ms06014.htm

# リンク先に危険はないと思われますが、わかってない人が踏んづけて
# 騒ぐのを防止するために自動リンクしないようにしてあります。
618 ：(^ー^*)ノ～さん sage ： 2007/09/29(土) 15:36 ID:83vHE3zg0: >>617
でもやっぱり悪用可能なコードを
ダウンロード可能状態で置いておくのは良くないと思った。
悪意ある側もダウンロードして亜種作れるわけだし、
セキュリティに詳しかろうが関心は出来無い。

それはそうと福建人の罠ドメイン発見。
【恐らくIFRAMEタグで仕込む誘引リンク】
fs18■net/down8/we■htm
【本体】
fs18■net/down8/ii■exe

F-Secure、カスペルスキー、NOD32(何れもDelf)、シマンテック検出(Infostealer。
キング検出(delf)

他にも
fs18■net/down5/rx■exe
なんてのがある。
これはカスペ(OnLineGames)とNOD32、シマンテック(Gampass)が検出。
キング検出。

登録情報、福建アモイ。
IPは福建に隣接した浙江省。
Domain Name:fs18■net
Registrant:
Zhang san. 121212@1212ssss.com +86.101234567
Zhang san.
Fujian provinceXiamen City
Xiamen,Tianjin,CHINA 200060
Record created on 2007/9/13
619 ：(^ー^*)ノ～さん sage ： 2007/09/29(土) 15:46 ID:DvP5MWJZ0: 【　　アドレス　】http://www■rentalbbs-livedoor■com/roblog/
【気付いた日時】12時
【　　　 OS　　】XPpro SP2
【使用ブラウザ】FireFox2.0.0.7
【WindowsUpdateの有無】してない
【　アンチウイルスソフト】AGV
【その他のSecurty対策】なし
【ウイルススキャン結果】スキャン中
【スレログやテンプレを読んだか】斜め読み
【hosts変更】無
【PeerGuardian2導入】無
【説明】
有名アドレスですよねこれ
別スレ読んでてリンクがありクリックした後に気づいた・・・
開いたらRar!!という表記のみでした　ソースは確認してないです
明日ＧＶなのにめんどいなぁ　入れなおししなきゃなぁ
620 ：619 sage ： 2007/09/29(土) 15:57 ID:DvP5MWJZ0: AVGでのスキャンは無反応でした
ついでにカスペル先生でも試して見ます
621 ：(^ー^*)ノ～さん ： 2007/09/29(土) 16:44 ID:7tNsAqb00: ちょと下がり気味かな、上げておきますね～
622 ：(^ー^*)ノ～さん sage ： 2007/09/30(日) 05:21 ID:XNugyOgC0: >>619
ソースに>>377のwww■raginfoy■com/roblog/ro■exe（ノートン名Infostealer）をダウンロードさせる記述あり。

>>618
他にも
fs18■net/down8/ah■c　Trojan.Exploit.131
fs18■net/down5/hx■exe　Infostealer.Gampass
fs18■net/down5/qq■exeはノートン未対応。。。orz........ シマンテックに検体送付しました。
623 ：(^ー^*)ノ～さん sage ： 2007/09/30(日) 05:26 ID:XNugyOgC0: virustotal　qq■exe 　Result: 24/32 (75%)
AhnLab-V3 2007.9.29.0 2007.09.28 Win-Trojan/QQPass.Gen
AntiVir 7.6.0.18 2007.09.28 TR/PSW.QQGame.AB
Authentium 4.93.8 2007.09.29 -
Avast 4.7.1043.0 2007.09.29 Win32:Delf-FZG
AVG 7.5.0.488 2007.09.29 Worm/Generic.DPI
BitDefender 7.2 2007.09.29 Win32.Worm.Autorun.FF
CAT-QuickHeal 9.00 2007.09.29 Worm.AutoRun.pi
ClamAV 0.91.2 2007.09.29 -
DrWeb 4.33 2007.09.29 Trojan.PWS.Qqpass.1421
eSafe 7.0.15.0 2007.09.29 suspicious Trojan/Worm
eTrust-Vet 31.2.5169 2007.09.27 Win32/QQPass!generic
Ewido 4.0 2007.09.29 -
FileAdvisor 1 2007.09.29 -
Fortinet 3.11.0.0 2007.09.29 Dropper.H!tr.pws
F-Prot 4.3.2.48 2007.09.29 -
F-Secure 6.70.13030.0 2007.09.29 Virus.Win32.AutoRun.pi
Ikarus T3.1.1.12 2007.09.29 Virus.Win32.AutoRun.bs
Kaspersky 7.0.0.125 2007.09.29 Virus.Win32.AutoRun.pi
McAfee 5130 2007.09.28 PWS-QQGame
Microsoft 1.2803 2007.09.29 -
NOD32v2 2559 2007.09.29 probably a variant of Win32/AutoRun.Q
Norman 5.80.02 2007.09.28 W32/Malware.AVQF
Panda 9.0.0.4 2007.09.29 Suspicious file
Prevx1 V2 2007.09.29 Heuristic: Suspicious File With Persistence
Rising 19.42.50.00 2007.09.29 Trojan.PSW.Win32.QQPass.yru
Sophos 4.21.0 2007.09.29 Mal/Dropper-H
Sunbelt 2.2.907.0 2007.09.28 -
Symantec 10 2007.09.29 -
TheHacker 6.2.6.073 2007.09.28 Trojan/Dropper.pi
VBA32 3.12.2.4 2007.09.29 MalwareScope.Trojan-PSW.Game.7
VirusBuster 4.3.26:9 2007.09.29 Trojan.PWS.QQGame.Gen
Webwasher-Gateway 6.0.1 2007.09.28 Trojan.PSW.QQGame.AB
File size: 32364 bytes 　MD5: f53cd649cb56f7e3e1882e3d4480c580 　SHA1: 166423a8565c97392f3f5e5accb5585e7fc8309b 　packers: UPX
624 ：(^ー^*)ノ～さん sage ： 2007/09/30(日) 05:31 ID:S2nqW5vm0: >>622
NOD32
ro.exe - Win32/PSW.Maran.FF trojan
qq.exe - probably a variant of Win32/AutoRun.Q worm
hx.exe - probably a variant of Win32/Genetik trojan
ah.c - a variant of Win32/TrojanDownloader.Ani.Gen trojan

Kaspersky
ro.exe - Trojan-PSW.Win32.Maran.ff
qq.exe - Virus.Win32.AutoRun.pi
hx.exe - Trojan-PSW.Win32.OnLineGames.dkj
ah.c - Exploit.Win32.IMG-ANI.gen
625 ：(^ー^*)ノ～さん sage ： 2007/09/30(日) 11:05 ID:W5yHo/MP0: どこで拾ったのか忘れたけど、いくつものexeを拾って実行するタイプで
20個も実行するのがあった。
down■dj7788■cn/arp/1.exe から 19.exe と 18dd■net/new/system22.exe
ちょっと多すぎなのでそれぞれの有無などは確認していません。

dj7788ってネーミング、以前(zhangweijpやlovetwと並んでポピュラーだった)
dj5566と同じ奴かねぇ。
626 ：(^ー^*)ノ～さん sage ： 2007/09/30(日) 11:41 ID:S2nqW5vm0: >>625
カスペで２検体すり抜け。NOD32も半分位はヒューリスティックで引っ掛かった模様。
Wikiにある提出先にまとめて報告してきます。

Eset Smart Securty(NOD32)
（他検出名省略）
1.exe - Win32/PSW.Agent.NEC trojan
19.exe - unknown NewHeur_PE virus

Kaspersky
1.exe -
2.exe - Trojan-PSW.Win32.OnLineGames.dqt
3.exe - Trojan-PSW.Win32.OnLineGames.dte
4.exe - Trojan-PSW.Win32.OnLineGames.dvn
5.exe - Trojan-PSW.Win32.OnLineGames.dvo
6.exe - Trojan-PSW.Win32.WOW.xp
7.exe - Trojan-PSW.Win32.OnLineGames.djv
8.exe - Trojan-PSW.Win32.WOW.wz
9.exe - Trojan-PSW.Win32.OnLineGames.dpd
10.exe - Trojan-PSW.Win32.OnLineGames.dte
11.exe - Trojan-PSW.Win32.OnLineGames.dgw
12.exe - Trojan-PSW.Win32.OnLineGames.dgx
13.exe - Trojan-Dropper.Win32.Agent.bxi
14.exe - Trojan-PSW.Win32.OnLineGames.dun
15.exe - Trojan-PSW.Win32.OnLineGames.dtw
16.exe - Trojan-PSW.Win32.OnLineGames.dte
17.exe - Trojan-PSW.Win32.OnLineGames.drc
18.exe - Trojan-PSW.Win32.OnLineGames.dfs
19.exe -
system22.exe - Worm.Win32.Viking.mc
627 ：(^ー^*)ノ～さん sage ： 2007/09/30(日) 12:10 ID:gay9cb2f0: またも台湾の国立系学校サイトが改竄された。
dj7788を含む罠が張られている。

國立宜蘭大學附設高級進修學校【改竄】
ps01■niu■edu■tw/

いつもの手口(末尾にステルス)でIFRAMEが仕込まれた。
何故か2行書き込んでいる。
xx■9365■org/ip/1■htm

罠置き場
mms■nmmmn■com/flash■cab
www■puma166■com/1■exe
down■dj7788■cn/eeee■exe
-------

これとは別にもう一つ
www■52xmm■cn/mm/jxj■css
628 ：(^ー^*)ノ～さん sage ： 2007/09/30(日) 12:49 ID:cb7KiiQB0: (´･ω･`)比較的スパムこないはてなダイアリにも垢ハコアドきたので報告
//blogplaync■com■jplink
すでに報告されてるアドならｽﾐﾏｾﾝ
629 ：(^ー^*)ノ～さん sage ： 2007/09/30(日) 12:52 ID:XNugyOgC0: >>625
19.exeは落とせませんでした。他はノートン反応しました。んで0からDLしちゃったら…　down■dj7788■cn/arp/0.exe　ノートン未対応、シマンテックに検体送付しました。
virustotal　Result: 15/32 (46.88%) ttp://www.virustotal.com/resultado.html?7d19ef9a6ef06184f8b55b530eab91b0
AhnLab-V3 2007.9.29.0 2007.09.28 -
AntiVir 7.6.0.18 2007.09.28 HEUR/Malware
Authentium 4.93.8 2007.09.29 -
Avast 4.7.1043.0 2007.09.29 Win32:Agent-LNC
AVG 7.5.0.488 2007.09.30 -
BitDefender 7.2 2007.09.30 DeepScan:Generic.PWS.Games.2.9776E621
CAT-QuickHeal 9.00 2007.09.29 (Suspicious) - DNAScan
ClamAV 0.91.2 2007.09.30 PUA.Packed.UPack
DrWeb 4.33 2007.09.29 -
eSafe 7.0.15.0 2007.09.29 suspicious Trojan/Worm
eTrust-Vet 31.2.5169 2007.09.27 -
Ewido 4.0 2007.09.29 -
FileAdvisor 1 2007.09.30 -
Fortinet 3.11.0.0 2007.09.30 -
F-Prot 4.3.2.48 2007.09.29 -
F-Secure 6.70.13030.0 2007.09.29 -
Ikarus T3.1.1.12 2007.09.30 Trojan-Dropper.Win32.Agent.ane
Kaspersky 7.0.0.125 2007.09.30 Trojan-PSW.Win32.OnLineGames.dvm
McAfee 5130 2007.09.28 New Malware.n
Microsoft 1.2803 2007.09.30 -
NOD32v2 2560 2007.09.30 -
Norman 5.80.02 2007.09.28 W32/Suspicious_U.gen
Panda 9.0.0.4 2007.09.29 -
Prevx1 V2 2007.09.30 -
Rising 19.42.60.00 2007.09.30 -
Sophos 4.22.0 2007.09.30 Mal/Basine-C
Sunbelt 2.2.907.0 2007.09.28 VIPRE.Suspicious
Symantec 10 2007.09.30 -
TheHacker 6.2.6.073 2007.09.28 W32/Behav-Heuristic-060
VBA32 3.12.2.4 2007.09.29 -
VirusBuster 4.3.26:9 2007.09.29 Packed/Upack
Webwasher-Gateway 6.0.1 2007.09.28 Heuristic.Malware
File size: 20693 bytes 　MD5: b7f4011d2eccc94e5c05b4476eaa3fb4 　SHA1: 8d24a9779e029bdd8e94194fdfb0bf772033af49 　packers: Upack
630 ：(^ー^*)ノ～さん sage ： 2007/09/30(日) 13:13 ID:S2nqW5vm0: >>629
うは、0.exeは盲点だった。カスペは検出したけど、NOD32未検出だったのでやっぱり提出行ってきます。
19.exeは、Symantec未検出ですが、検体提出済み。

>>627
NOD32で２つすり抜け。他者もまとめて提出いってきます。

Eset Smart Securty(NOD32)
0.exe :
1.exe : Win32/Genetik trojan
1.htm :
eeee.exe :
flash.cab : Win32/PSW.Delf.NIY trojan
jxj.css : Win32/AutoRun.Q worm

Kaspersky
0.exe : Trojan-PSW.Win32.OnLineGames.dvm
1.exe : Trojan-Downloader.Win32.Baser.w
1.htm :
eeee.exe : Trojan-Downloader.Win32.Baser.w
flash.cab : Trojan-PSW.Win32.Delf.ada
jxj.css : Trojan-PSW.Win32.QQPass.afp
631 ：(^ー^*)ノ～さん sage ： 2007/09/30(日) 13:19 ID:S2nqW5vm0: ごめん、NOD32で、これも検出してた。0.exeのみすり抜けだ。
eeee.exe : Win32/Genetik trojan
632 ：(^ー^*)ノ～さん sage ： 2007/10/01(月) 11:03 ID:E6CEE2uj0: 福建人どものドメイン取得パターンに変化が出てきた。
なんたらjp■comなんかでは既に対策され始めたと気がついて、同じ意味を持つribenを使い始めたようだ。

【誘引：すでに攻撃がされている】
www■xiaoriben■net/ff11/
【罠】
www■xinluoqu■com/ff11/sxsssc■exe

1日10時50分のVIRUSTOTALでは殆ど検出、シマンテックを含め3つだけスルー。
キングも検出。

ぐぐるとribenとは日本を意味するらしい。
例：日本漫遊 (RIBEN MANYOU)

確か罠ドメインにはyouxiriben■netと言う名前のものもあった。
罠置き場のxinluoquは福建省竜岩市の新羅区(xinluoqu)を意味する名前。

今後なんたらriben■netとかの罠ドメインを使ってくる可能性もあるので注意。
*riben■netは間違いなさそうだし。
以前の*jp■comと併せた禁止語句など対策した方が良さそうだね。
重複している部分は一括りにしてしまえば掲示板等のNGリストの管理もしやすい。

【登録情報】
言わずもがな福建竜岩、そして恐らく新羅区。

Domain Name:xiaoriben■net
Registrant:
xiao lin
Fujian longyan
364000
霜冫偏仟袋廉廓302催

Administrative Contact:
chen jinian
xiao lin
Fujian longyan
longyan Fujian 364000
CN
633 ：(^ー^*)ノ～さん sage ： 2007/10/01(月) 17:16 ID:kD8hGb+20: ディレクトリを鵜呑みにすると、FF11用の罠か? 珍しいな。
634 ：(^ー^*)ノ～さん sage ： 2007/10/01(月) 17:21 ID:kD8hGb+20: >>625 の0～19の奴、更新激しいな。大半が入れ替わってる。
更新チェックを欺くためかLast-Modifiedはかなりデタラメ。
サイズ含めてチェック推奨。
635 ：(^ー^*)ノ～さん sage ： 2007/10/01(月) 21:54 ID:SatRbp+40: >>634
幾つか入れ代わってたけど、カスペは全部検出。NOD32で１つすりぬけ。
636 ：(^ー^*)ノ～さん sage ： 2007/10/01(月) 22:01 ID:R2KWzccz0: xinluoqu■comで新種？

www■xiaoriben■net/shagua/ に以下二つのリンク。
www■xiaoriben■net/shagua/wz■htm　（200だけど真っ白）
www■xiaoriben■net/shagua/wu■htm にはさらに以下二つのリンク。
www■xiaoriben■net/shagua/kiss■htm
www■xiaoriben■net/shagua/dns■htm　（アンエスケープわからないorz....）
上記二つのアドレスともに以下の記述有り。
www■xinluoqu■com/shagua/test■exe
ノートン無反応、シマンテックに検体送付しました。

現時点のvirustotal
ttp://www.virustotal.com/resultado.html?3312ae798319d3760161980405cf668a
10.01.2007 14:33:05 (CET)
Result: 2/32 (6.25%)
eSafe 7.0.15.0 2007.09.30 Suspicious Trojan/Worm
Sophos 4.22.0 2007.10.01 Mal/EncPk-AS
File size: 34816 bytes
MD5: 5888fd7aaf7f4be732e64e944605f7f6
SHA1: 3322986f1a6532ea71c572ce62cde29d7d7165d0
637 ：(^ー^*)ノ～さん sage ： 2007/10/01(月) 22:06 ID:R2KWzccz0: って一部解読。
www■xiaoriben■net/shagua/dns■htm には「www■CuteQq■cn <BR> ZJWm 6 Beta 3」ってのがあった。
「暗黒工作組」ってぇ((；ﾟДﾟ)ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ
638 ：(^ー^*)ノ～さん sage ： 2007/10/01(月) 23:04 ID:SatRbp+40: Kaspersky
wu.htm : Not Detected
kiss.htm : Trojan-Downloader.VBS.Psyme.ic
dns.htm : Trojan-Downloader.JS.Psyme.lr
test.exe : Not Detected

Eset Smart Securty(NOD32)
wu.htm : Not Detected
kiss.htm : VBS/TrojanDownloader.Psyme.NAX trojan
dns.htm : Not Detected
test.exe : Not Detected
639 ：(^ー^*)ノ～さん sage ： 2007/10/01(月) 23:07 ID:SatRbp+40: 報告来てたので訂正

Kaspersky
wu.htm : No malicious code was found in this file.（危険コードなし）
kiss.htm : Trojan-Downloader.VBS.Psyme.ic
dns.htm : Trojan-Downloader.JS.Psyme.lr
test.exe : Trojan.Win32.Inject.fy（←次のパターン更新で対応）
640 ：(^ー^*)ノ～さん sage ： 2007/10/01(月) 23:39 ID:R2KWzccz0: Fortinetにもリンクも添えてtest.exe送ったらこんなのが北ー。

Dear customer,

Thank you for submitting the samples to us. We have analysed them and developed detection patterns for them. Starting with our next regular update, the following detections will be available:

test.exe - W32/Agent.BTA!tr
Ir32_a.exe - W32/Agent.BTA!tr
dns.htm - W32/Agent.BTB!tr.dldr
kiss.htm - VBS/Psyme.DN!tr.dldr

Best regards,
AV lab - Sorin

To submit a suspicious file to Fortinet:

Ir32_a.exeってのは送ってないけどスクリプトに仕込んであったんだろか。。。
641 ：(^ー^*)ノ～さん sage ： 2007/10/02(火) 00:13 ID:cMPDo5yk0: >>640
うちにきたのと全く同じ文面だｗ
642 ：(^ー^*)ノ～さん sage ： 2007/10/02(火) 15:44 ID:X4ONlLNU0: たくさんの罠発見。

罠置き場
webye163■cn/wwwroot/vip■exe
u■uu500■com/a8da234k8asdf■exe

以下誘引リンクと罠置き場
www■qq5188■com/wz/rmht/200705/869■html
www■souxse■cn/Baidu■cab

www■souxse■cn/la■htm
www■souxse■cn/xuik■exe

www■samples112xrea■com/roblog/
www■raginfoy■com/roblog/ro■exe
643 ：(^ー^*)ノ～さん sage ： 2007/10/02(火) 16:03 ID:cMPDo5yk0: >>642
カスペで１つすり抜け出てるね～。まとめて検体提出行って来るわ。

Kaspersky
869.html :
a8da234k8asdf.exe :
Baidu.cab : Trojan-PSW.Win32.Delf.baj
index.htm : Trojan-Downloader.JS.Agent.hg
la.htm :
ro.exe : Trojan-PSW.Win32.Maran.ff
vip.exe : Worm.Win32.Wogue.q
xuik.exe : Trojan-PSW.Win32.Delf.ada

Eset Smart Securty Beta(NOD32)
869.html :
a8da234k8asdf.exe : probably a variant of Win32/Agent.NEO trojan
Baidu.cab : CAB >> Baidu.exe - a variant of Win32/PSW.Delf.NIY trojan
index.htm : JS/Exploit.ADODB.Stream.NBE trojan
la.htm :
ro.exe : Win32/PSW.Maran.FF trojan
vip.exe : a variant of Win32/Delf.NDL worm
xuik.exe : Win32/PSW.Delf.NIY trojan
644 ：(^ー^*)ノ～さん sage肝心のブツは反応しないからvipは新規のものかも… ： 2007/10/02(火) 17:52 ID:l8Ncd5220: >>642直リンに直してテキストにして保存すると脳豚大激怒。。。。
誤反応しました。。。

ちくそー、最初ダウンロードマネージャにウイルスが付いたかと思った。
履歴が布団だ。

869■html
a8da234k8asdf■exe
la■htm
vip■exe
以上ノートン無反応分、シマンテックに検体送付しました。
645 ：(^ー^*)ノ～さん sage ： 2007/10/02(火) 18:13 ID:cMPDo5yk0: >>644
「まとめて検体提出」って発言した時は、シマンテックも含めて、テンプレ(>>2)のまとめ？サイトにある
提出窓口全部に投稿してますよ。重複しても問題無いですけど。

先に、シマンテック提出済みって書いてあったら、そこだけ飛ばすけどｗ
646 ：(^ー^*)ノ～さん sage ： 2007/10/02(火) 18:16 ID:l8Ncd5220: >>645
あ、すみません。
提出して頂けるとノートンユーザーとしても助かります。
647 ：(^ー^*)ノ～さん sage ： 2007/10/02(火) 20:21 ID:lzWWEFhq0: 下記ハックサイトへのURLを書き込んだ者のホストアドレス
www■tafcone■net/blog/svch■exe
見かけのホストはrmtro-jpとかそんなの。

198.80.78.222.board.ly.fj.dynamic.163data.com.cn
648 ：(^ー^*)ノ～さん sage ： 2007/10/02(火) 22:02 ID:X4ONlLNU0: >647
ホストは言うまでも無い、福建人どもの拠点の福建竜岩だぜ。
ホストに含まれる文字の意味
ly=竜岩市(longyan)
fj=福建省(fujian)
649 ：(^ー^*)ノ～さん sage ： 2007/10/02(火) 22:50 ID:cMPDo5yk0: >>647
AhnLab-V3
F-Prot
A-Squared
ArcaVir
CPsecure
Rising Antivirus

こんだけすり抜け。「Jotti's malware scan」と「::::: VirusTotal :::::」で確認。

わかるとこだけ検体提出した。AhnLabとCPsecureは提出先がわからんので
問い合わせフォームらしきところに投稿してきた。適当な部署に転送してくれるだろうことを願って。
650 ：(^ー^*)ノ～さん sage ： 2007/10/03(水) 18:11 ID:KpLFJMRc0: 【　　アドレス　】
　　http://www■xinluoqu■com/shabi/
　　http://www■youxiriben■net/navi/　　の、どちらか
【気付いた日時】今朝
【　　　 OS　　】 Windows 2000 5.00.2195 SP4
【使用ブラウザ】 IE Ver:6.0.2800.1106
【WindowsUpdateの有無】9月の終わりくらいの実行が最終
【　アンチウイルスソフト】 NortonInternetSecurity2006
【その他のSecurty対策】 Spybot
【ウイルススキャン結果】ノートンで検出無し
【スレログやテンプレを読んだか】今から読もうと思います
【hosts変更】無
【PeerGuardian2導入】無
【説明】

寝ぼけて油断していたらRMCで垢ハックっぽいアドレスを踏んでしまった…
ノートン先生でチェックしたらウィルスは見つからない、と出たけど本当に大丈夫か不安。

今、課金切れ中でアイテムが無事か確認できない、というかこのタイミングで課金してもいいものか…
これからspybotでもチェックをかけてみようかと思います
651 ：(^ー^*)ノ～さん sage ： 2007/10/03(水) 18:28 ID:UcRKMvhh0: >650
どっちも一緒で罠アドレス。
wz.htmとwu.htmが置いてあった。

WUやってるから防げてる可能性も高いが、カスペのオンラインスキャンも試した方がいい。

>今、課金切れ中でアイテムが無事か確認できない、というかこのタイミングで課金してもいいものか…
当然、トロイが潜んでないと自信が得られるまでは厳禁。
652 ：650 sage ： 2007/10/03(水) 22:29 ID:KpLFJMRc0: >651
回答ありがとうございます。
カスペでも今回の罠（と思われるもの）は見つからなかったようです。
（かわりにノートンの隔離フォルダが引っかかって半泣きになりましたが…）

課金の方は少し待って、1dayとか使われていないか様子を見ようと思います。
653 ：(^ー^*)ノ～さん sage ： 2007/10/04(木) 03:28 ID:c1H10G5r0: 【　　　気付いた日時　　　　　】ついさっき
【不審なアドレスのクリックの有無　】 www■rock-pine■com■orji
【　　　 OS　　】 XPHOME SP2
【使用ブラウザ】 IE6　SP2
【WindowsUpdateの有無】先週末　踏んだあとに最新
【　アンチウイルスソフト】ウィルスバスター2007　自動更新　最新の状態
【その他のSecurty対策】ルータ
【ウイルススキャン結果】リアルタイム検索でRO.cur隔離失敗→手動削除済み
【スレログやテンプレを読んだか】今読んだ
【hosts変更】(有/無　[有りの場合は最終更新は何時ごろか])
【PeerGuardian2導入】なし
【説明】mixiの日記コメントに上記アドレスが貼られており、すさまじく怪しい文面だった物の
踏んだ。
TemporaryInternetFilesから当該ファイルを削除後、ウィルススキャン。
その後ウィルスバスターの画面を開いたら隔離済みファイルになっていたので、その画面
からも削除。
WindowsUpdateを行い最新の状態に。
別PCで癌パス・アカウントパスの変更。
までやった

やっぱOS再インスコしたほうが良いのかのぅ
654 ：(^ー^*)ノ～さん sage ： 2007/10/04(木) 06:02 ID:yEG0me1h0: >>653
他人に判断を委ねるくらいなら、諦めてOSから入れ直したほうがいい。
My mixiの日記やや参加コミュニティに、自分のIDで罠投稿を撒き散らしたいと言うなら別だが。
655 ：(^ー^*)ノ～さん sage ： 2007/10/04(木) 07:04 ID:J+o9y5uc0: >>653
リアルタイム削除に失敗という辺りが引っ掛かるな。

先週末の段階のWindowsUpdateということで、アニメーションカーソルの脆弱性を防げている可能性はあるけれど、
そのＨＰで仕込まれたのがそれ１つとは限らず、すり抜けている何かが存在する可能性もある。

安全であるという保証が欲しければＯＳ入れなおし。
自分の判断で、他に仕込まれていなかった・駆除は完了していると思えば、そのまま使用する。

このスレでは、安全である保証ができないので、ＯＳ入れなおしが推奨される。

どうしても、そのまま使いたい場合は、複数のエンジンでオンラインスキャンを行なって、安全だと信じる根拠が
あるかどうか確認する事。（使用したものすべてをすり抜けるものが仕込まれていたらアウトだが）
656 ：(^ー^*)ノ～さん sage ： 2007/10/04(木) 07:43 ID:J+o9y5uc0: >>653
http://www■rock-pine■com/orji/index■htm

iframeで↓の２つを呼びだす。amebloは普通のblogっぽいです。
開いてみると、一見普通のblogを開いたように見えるので、踏んでも気づかない人はいそうです。
http://www■woshijianren■com/jpjp/jpro■htm
http://ameblo■jp/eisu7/

jro.htmは↓の２つを呼びだす。
http://www■woshijianren■com/jpjp/Ms06014■htm
http://www■woshijianren■com/jpjp/ro■cur

WindowsUpdateかけてれば防げている可能性はある。
但し、保証はできないので、やっぱり、OSの入れなおしを推奨する。
657 ：(^ー^*)ノ～さん sage ： 2007/10/04(木) 09:09 ID:jagE18sO0: >>656
そのいずれも
www■woshijianren■com/jpjp/jpro.exe
をダウンロードし実行。これはVBで組んだ簡易なダウンローダ。
このダウンローダは
www■woshijianren■com/jpjp/jprobang.exe
をダウンロードし実行。これは…なんか実行ファイルが5～6個固まったすごい奴。
PackerもUPXやASPackなど混在。
バイナリエディタでバラバラにしてスキャンしたけどカスペは全機撃墜。
この形式は数ヶ月前に見たな…。
658 ：388 sage ： 2007/10/04(木) 11:06 ID:aXmRNAZq0: 名無しに戻るといいながら
>>388以降に皆様方に報告して頂いた危険URLと思われる箇所を抜き出して
まとめサイトの.hostを利用している方用に書き出してみました。

今更感があり、自分でファイル編集する事になりますが
よろしければお使いください。
659 ：388 sage ： 2007/10/04(木) 11:11 ID:aXmRNAZq0: #■は.に置き換えで。

#本家アコプリWiki暫定ブロック
127.0.0.1 applepie■leminx■com

#07/09/13/8_439
127.0.0.1 www■wretcha■com
127.0.0.1 www■techlife■com
127.0.0.1 wretcha■com
127.0.0.1 techlife■com
127.0.0.1 update■misofthelp■com
127.0.0.1 club■blogo■tw

127.0.0.1 www■yuanfen■com■tw
127.0.0.1 yuanfen■com■tw
127.0.0.1 mm■987999■com

127.0.0.1 www■rock-pine■com
127.0.0.1 rock-pine■com

127.0.0.1 rrr■rfhwfhw■com
127.0.0.1 www■686ip■cn
127.0.0.1 777■za123■cn
127.0.0.1 iii■832823■cn
127.0.0.1 686ip■cn

127.0.0.1 www■xiaoriben■net
127.0.0.1 www■xinluoqu■com
127.0.0.1 www■kolakola■com■tw
127.0.0.1 xiaoriben■net
127.0.0.1 xinluoqu■com
127.0.0.1 kolakola■com■tw

127.0.0.1 www■mechiment■net
127.0.0.1 mechiment■net
127.0.0.1 www■rmtro-jp■com
127.0.0.1 rmtro-jp■com

127.0.0.1 tresuretresuretresure■web■fc2■com
127.0.0.1 japanid101■web■fc2■com
660 ：388 sage ： 2007/10/04(木) 11:12 ID:aXmRNAZq0: 127.0.0.1 langouster■com
127.0.0.1 web■858656■com
127.0.0.1 www■freepower■com■cn
127.0.0.1 www■beautyconcept■cn
127.0.0.1 www■hot169■cn
127.0.0.1 freepower■com■cn
127.0.0.1 beautyconcept■cn
127.0.0.1 hot169■cn
127.0.0.1 user■free2■77169■net
127.0.0.1 fs18■net

127.0.0.1 down■dj7788■cn
127.0.0.1 18dd■net

#スレ8_627 國立宜蘭大學附設高級進修學校【改竄】
127.0.0.1 ps01■niu■edu■tw

127.0.0.1 xx■9365■org
127.0.0.1 mms■nmmmn■com
127.0.0.1 www■puma166■com
127.0.0.1 puma166■com
127.0.0.1 down■dj7788■cn
127.0.0.1 www■52xmm■cn
127.0.0.1 52xmm■cn

127.0.0.1 www■CuteQq■cn
127.0.0.1 CuteQq■cn
127.0.0.1 webye163■cn
127.0.0.1 u■uu500■com
127.0.0.1 www■5188■om
127.0.0.1 www■souxse■cn
127.0.0.1 5188■om
127.0.0.1 souxse■cn
127.0.0.1 www■souxse■cn
127.0.0.1 souxse■cn
#スレ8_656偽装対応
127.0.0.1 ameblo■jp
661 ：388 sage ： 2007/10/04(木) 11:31 ID:ndwa0ciA0: ああ･･　.hostじゃないhost　誤字申し訳ない。
662 ：(^ー^*)ノ～さん sage ： 2007/10/04(木) 13:13 ID:A16bJq5G0: >>653に限ったわけじゃないけど、
変なところを踏んで心配する気持ちはわかるけど、
いくら状況を詳細に言って完璧と思える対策をしたとしても
亜種や同名異種のものもあるかもしれないから
それで安全大丈夫、なんて言える人はいないかと。
663 ：(^ー^*)ノ～さん sage ： 2007/10/04(木) 13:23 ID:lxIN87Zt0: 今は向こうも新型の開発しまくっているし、
↑のほうにあるような何個ものトロイを落とすようなダウンローダーや、
意図的にカスペとかNODとかをスルーするようなものを毎日のように作っているから、
今は踏んだ=OS再インストしか無いと思う。
664 ：(^ー^*)ノ～さん sage ： 2007/10/04(木) 13:59 ID:J+o9y5uc0: あー、上の方の1～d.exeのヤツ、一部入れ代わってるの確認したので、提出準備中。
提出先が多くて大変だぜ。（１つは朝の時点でカスペすり抜けてた）

>>657
らじゃ、そっちも検体入手してみるわ。

>>659-661
hostsのリスト追加乙です
665 ：(^ー^*)ノ～さん sage ： 2007/10/04(木) 15:47 ID:J+o9y5uc0: >>657
VirusTotalかけてみたら、思ったより検出率悪いのな。スルーした所で提出先わかるとこは提出。
1～d.exeの方も、すり抜けたところ全部に提出済み。
0～18.exeの方は中身変わってるかまだチェックしてない。

ClamAVだけは、zipのパスワード virus 固定のため弾かれたので、すりぬけてたけど提出はパス。（ごめんなさい）
他社の提出用が infected なのでそっちで固めちゃったんだよ。気力ないので、これで休憩。
666 ：(^ー^*)ノ～さん sage ： 2007/10/04(木) 15:54 ID:J+o9y5uc0: セキュスレの方で、相談をどっちに出していいのか迷う人が多いことから、
セキュスレにまとめちまわないかという意見が出ていました。

スレの用途として考えられるのが以下でしょうか。次スレになるまでに時間はありますが、
使い分けを改めて整理してみてはどうでしょうか。

・新規ドメインの登録情報、hostsの更新リスト　－総合対策スレ
・新規検体の報告と提出(対応)報告　　　　　　　－総合対策スレ
・セキュリティ関係のニュース、雑談　　　　　　　－セキュスレ
・踏んだ場合の相談　　　　　　　　　　　　　　　　　－現状、総合対策スレ（コメント内容は下記とほぼ同一）
・垢ハックじゃない危険アドレスを踏んだ相談　　－セキュスレ
・踏んだところが危険かもしれないと思ったので相談　－セキュスレ（但し、鑑定スレじゃないと返答して終了）
・踏んでないけど危険な気がするので相談　　　　　　　－セキュスレ（但し、鑑定スレじゃないと返答して終了）

セキュリティ対策、質問・雑談スレ3
http://enif.mmobbs.com/test/read.cgi/livero/1186660300/223-
667 ：(^ー^*)ノ～さん sage ： 2007/10/04(木) 16:18 ID:jagE18sO0: >>665
パスワードはinfectedはMcAfee(WebImmuneはパス無し可)やNOD32、
virusはCA(e-Trust)やDr.WEBやavast!だった気がする。
668 ：(^ー^*)ノ～さん sage ： 2007/10/04(木) 16:29 ID:jagE18sO0: QTの穴がやっと塞がったのでパッチ推奨。
ttp://internet.watch.impress.co.jp/cda/news/2007/10/04/17078.html

CISRTが食われたというニュース。
ttp://internet.watch.impress.co.jp/cda/news/2007/10/04/17079.html
最近多い、ダウンローダ経由で大量に実行するタイプ。
mms■nmmmn■com/sms.exe ダウンローダ
vvv■3x7x■cn/100.exe ～ 119.exe を実行(一部404)
拾えたファイルはカスペで全機撃墜を確認。
669 ：(^ー^*)ノ～さん sage ： 2007/10/04(木) 18:02 ID:J+o9y5uc0: >>667-669
＞CA(e-Trust)やDr.WEBやavast!
その辺は、パスワードinfectedで固めたヤツをメールで送って普通に受理されてる。

取り敢えず、セキュスレ移動な話題だな。

セキュリティ対策、質問・雑談スレ3
http://enif.mmobbs.com/test/read.cgi/livero/1186660300/
670 ：(^ー^*)ノ～さん sage ： 2007/10/04(木) 21:14 ID:J+o9y5uc0: >>668
VirusTotalでは結構検出率悪かったので、垢ハックじゃない（？）けど、まとめて検体提出してきました。

それだけじゃスレ違いなので、こいつも。

昨日は404だった下記のファイルが、今日はひょっこり落ちてきたので、チェック。
未検出だったところに提出してきました。
http://down■dj7788■cn/arp/19■exe
http://web■freewebhtm■com/soft/4■exe
http://web■freewebhtm■com/soft/e■exe

19.exe カスペ・NOD32・ノートン全て検出
4.exe カスペ、ノートンすりぬけ、NOD32検出
e.exe カスペ・NOD32・ノートン全て検出

他社は省略
671 ：(^ー^*)ノ～さん sage ： 2007/10/04(木) 21:52 ID:J+o9y5uc0: >>670
4.exe_ - Trojan-PSW.Win32.WOW.yw

既に検出可能って返事が来た。チェックしてから送るまでの間に対応完了してたとは流石だ。
672 ：(^ー^*)ノ～さん sage ： 2007/10/05(金) 12:07 ID:yqhNAfDF0: 本日、垢ハックサイト踏んでしまいました。
テンプレどおりに再インストや諸々のパスワード変更をしました。

１つ質問があります。課金の際、クレカで課金してるんですが、
垢ハックでクレカの被害の報告とかありますか？
673 ：(^ー^*)ノ～さん sage ： 2007/10/05(金) 13:56 ID:O8AIaoah0: 有り得る。ベストを尽くせ。
674 ：(^ー^*)ノ～さん sage ： 2007/10/05(金) 14:11 ID:Ie9/6Wu60: >>672
今まで具体例としての報告はないがあり得る。完全に除去して発動のしようがない場合は問題無い。
それでも心配ならPG2などの対策もやってみよう。
675 ：672 sage ： 2007/10/05(金) 17:43 ID:f9TWtD550: >>673
>>674
了解しました。できる限りの努力します。
676 ：(^ー^*)ノ～さん ： 2007/10/07(日) 05:25 ID:6iYr9yUx0: 【　　アドレス　】　23styles■.com/bbs/
【気付いた日時】　　今
【　　　 OS　　】 Win2000
【使用ブラウザ】　IE
【WindowsUpdateの有無】自動更新
【　アンチウイルスソフト】カスペル
【その他のSecurty対策】無し
【ウイルススキャン結果】スキャン中
【スレログやテンプレを読んだか】今から読みます
【hosts変更】　不明
【PeerGuardian2導入】　無し
【説明】
Wikiを読んでいてリンク先をよく確認せずにクリックしたところ、
なかなかリンク先に飛ばないので（ページが開かなかった）
アドレスを検索したら垢ハックアドレスの一覧に乗っていました。
今スキャンかけていますが2時間以上かかりそうでとても不安です。
677 ：(^ー^*)ノ～さん sage ： 2007/10/07(日) 09:47 ID:z59YS7Y00: >>676
報告からちょっと経っているしコレ読めるかどうか判らないけど…。
もう踏んでしまった場合は
>>5-6 にあるように対応してください。
今後そうならないように
>>2 にあるhost対策やPG2をしておくと良いかと。

PCを貸してもらえそうな頼れるリアル知人が居ない場合は
ネットカフェからの接続してアイテム類を身内に預けてから、
クリーンインストールや駆除したPCから落ち着いてパス変更という手があります。

と、ここまで書いて自分は対策していても
明日は我が身かもしれないと思って、
今後の為に今LinuxのISOをダウンロード中。
678 ：(^ー^*)ノ～さん sage ： 2007/10/07(日) 13:51 ID:j6ZXxJVE0: >>676
どこのwikiをみていたのか情報ぷりーず。
679 ：676 ： 2007/10/07(日) 14:42 ID:6iYr9yUx0: 先ほどようやくカスペルでのスキャンが終りましたが、ウィルスは見つかりませんでした。
シマンテックのオンラインスキャンも同時にやっていましたが、やはり見つかりませんでした。
少しほっとしましたが、何も見つからなかったことが逆に不安になってきたので
家のものが戻ったらOSの入れなおしを手伝ってもらおうと思っています。
（やり方は読みましたが管理者権限が無いので）

安全な環境からのパス変更などはまだ行っていません。
もう一度完全スキャンしてからhosts変更とPG2を導入する予定です。

気が動転していたのでどこのWIKIだったか全く覚えていません。
役に立たなくてごめんなさい。

本当に不安で怖かったのでレスいただけてとてもほっとしました。
明らかに自分の不注意・対策不足だったので、これからは慎重になろうと思います。
まだ全部終ったわけではないのでまたお世話になると思いますがよろしくお願いします。
ありがとうございました。
680 ：(^ー^*)ノ～さん sage ： 2007/10/07(日) 14:45 ID:5YRUkzB50: >>676
検出名
NOD32：VBS/TrojanDownloader.Agent.AW trojan
Kaspersky：Trojan-Downloader.HTML.Agent.df

仮に発動させたとして、なにを落とそうとしてるのかまでは知らない。
681 ：(^ー^*)ノ～さん sage ： 2007/10/07(日) 15:33 ID:9Xv++S+x0: どこのWikiなんだよ
682 ：(^ー^*)ノ～さん sage ： 2007/10/07(日) 17:32 ID:7HTEKpf40: >>676 >>679
ウイルスが見つからなかったとの事ですが、
>>680の方が検体確認で存在を確認している模様？
google経由でバスターのデータベースでは以下の動作を示すそうです。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=VBS%5FSMALL%2EFWC
完全スキャン等するまではまだ予断は許さない気がします。

でも手動対応を見たら大した事が書いてなかった…。
詳細にあるTEMPフォルダ内になんか落とすらしいので
TEMPフォルダ内のファイル(←通常は消しても問題ない)を全て削除してやるのも手。
未知の何かがあってレジストリまでヤられていたらどうにもなりませんが…
クリーンインストなら安心。

ここからチラシの裏----
PC環境によるのかもしれないですが
一つずつのフルスキャンをしたほうが早かったかも？とか。
あとOSを入れなおす時にパーティション分割ができる様なら
OS用ドライブとデータ用ドライブに分けてしまったほうがいいのかもと
683 ：(^ー^*)ノ～さん sage ： 2007/10/07(日) 20:03 ID:EfPfXrLQ0: >>679
何処のサイトを見ていたか自体は忘れてしまっていても、履歴そのものを消去していなければ、時間軸で追うことは可能。
IEの右クリックプロパティ-全般[設定]-設定[ファイルの表示]
Temporary Internet Filesフォルダが表示されるので、最終アクセス日時で並び替え。
そうすると、大体の見当は付けられるのではないかな。
現時点でOS入れ直し始めていたらもう無理だけど。

今のところ、感染ファイルそのものが検出されていないという部分だけど、もしかしたら、制限ユーザーだったことが幸いしている可能性もあり得る。
このあたり、windowsの管理者権限の強力さと、それと同時に、シングルユーザー時代から引き続いている因習の危険さが現れているように思える。
ユーザー側もベンダー側も含めて。

ついでに、>>4のテンプレ改変案。
現行の[アドレス]の欄を、
【不審アドレス】(何処に飛ばされたり、改竄されていたか。ドット(.)を■等で置き換える事。h抜き等は駄目)
【閲覧元アドレス】(何処のサイトを見ていたか。～掲示板や、～のWikiなどの表現でも可)
と拡張してみる提案のテスト。
684 ：(^ー^*)ノ～さん sage ： 2007/10/07(日) 22:18 ID:6yXS9lAv0: どこかの中の人ですが、先日よりめあたらしいIPでアカウントハックウイルスアドレス
書込をやってきているのを見つけたので報告。

IP：219.118.189.135 (株式会社アンネット, 上位はbit-drive)
UA：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; KuGooSoft)
Accept-Lang : zh-cn
書き込まれたウイルスURL：
　http://www■ezbbsy■com/batteROyale
　http://www■23styles■com/batteROyale

　アドレス自体は既出過ぎるので略。しかし、ここ最近あちこちで張られまくっている
アドレスらしい。
IPはアンネット。21-domains…。結構前にドメイン問題で裁判沙汰になってたよなぁ、
ココ。この件とは全くの別件だけど、故に結構不信感。

　bit-driveにはアクセスログ込みで通報済。アンネットのほうにもしておくか。
UA名に変わった文字列(KuGooSoft)があるけど、詳細不明。中国圏に多いみたい。
面倒ならUAでdenyしても良いかも。まぁ、Accept-Langでぼろを出してはいるんですが。
685 ：(^ー^*)ノ～さん sage ： 2007/10/07(日) 23:31 ID:5YRUkzB50: >>684
batteROyale/index.htm
↓
ro.exeの呼び出し（起動時実行に登録？）

なんか生成してる部分は未確認。

-------------
bbs/index.htm
-------------
NOD32:VBS/TrojanDownloader.Agent.AW
Kaspersky:Trojan-Downloader.VBS.Psyme.gj

---------------------
batteROyale/index.htm
---------------------
NOD32:JS/TrojanDownloader.Small.DW
Kaspersky:Trojan-Downloader.JS.Agent.dj

------------------
batteROyale/ro.exe
------------------
NOD32:Win32/PSW.Maran.FF
Kaspersky:Trojan-PSW.Win32.Maran.ff
686 ：(^ー^*)ノ～さん sage ： 2007/10/08(月) 03:01 ID:1x6WdZQB0: アプリコットカフェ(アコプリ外部板)より
www■nlftweb■com/lineage
www■rmtfane■com/lineage/t1.exe
ファイル名に何か懐かしいものを感じたり。

それとアコプリWiki(旧本家・leminx■com)のドメインが更新されてた。
>Creation date: 05 Sep 2005 09:48:30
>Expiration date: 05 Sep 2008 09:48:30

サイト自体は全く復帰してないし、アコプリスレやアプリコの方でも
管理人氏の動向等は一切不明のままのため、どう判断していいか
悩む所だけど、ドメインを中華に悪用される恐れだけは減ったかも。
687 ：(^ー^*)ノ～さん sage ： 2007/10/08(月) 17:34 ID:l2RQNyHi0: fcty-net■com/

飛び先
www■blogplaync■com/king.htm
先のアドレスは404だった。

先ほどBlogに貼り付けられてたものなので近いうち使い出すかも？
688 ：(^ー^*)ノ～さん sage ： 2007/10/08(月) 20:09 ID:+tYXkspf0: >>684 >>686 >>687
684氏の言われるように各アドレス自体は古いものなので
既に対応されたhostを導入していれば一応は安心かも。
なのでコレを読んでいてhost対策していない人は直ぐに導入して欲しい所。

でも古いものでも対策していないと(略
やはり数うちゃ当たるとはいえ‥それでも貼られるのは
対策していない人が多い…のか…。
689 ：(^ー^*)ノ～さん sage ： 2007/10/08(月) 20:46 ID:wRaab6w50: >>687
もうファイルあったよ。さて、殆ど対応済みとは思うけど、チェックかけて、検体提出いってくるわ。

>>686
www■nlftweb■com/lineage/index.htm
www■rmtfane■com/lineage/t1.exe

>>687
fcty-net■com/index.htm
www■blogplaync■com/king.htm
www■blogplaync■com/king.cur
www■blogplaync■com/chengzhi.exe

ESET Smart Securty Beta(NOD32)
lineage/index.htm ：JS/TrojanDownloader.Small.DW trojan
lineage/t1.exe　　：variant of Win32/PSW.Lineage.ACN trojan

fcty-net■com/index.htm：-
king.htm　　：JS/Exploit.ADODB.Stream.NBE trojan
king.cur　　：variant of Win32/TrojanDownloader.Ani.Gen trojan
chengzhi.exe：variant of Win32/Delf.NDF worm

Kaspersky
lineage/index.htm ：Trojan-Downloader.JS.Agent.dj
lineage/t1.exe　　：Trojan-PSW.Win32.Nilage.bll

fcty-net■com/index.htm：Trojan-Downloader.JS.Agent.hf
king.htm　　：Trojan-Downloader.JS.Agent.hg
king.cur　　：Exploit.Win32.IMG-ANI.ac
chengzhi.exe：Trojan-Downloader.Win32.Agent.bpp
690 ：(^ー^*)ノ～さん ： 2007/10/09(火) 15:57 ID:MEuDNpjg0: 【　　アドレス　】　motewiki■net/
【気付いた日時】　　１３時
【　　　 OS　　】 XP
【使用ブラウザ】　IE
【WindowsUpdateの有無】自動更新
【　アンチウイルスソフト】ノートン
【その他のSecurty対策】無し
【ウイルススキャン結果】該当なし
【スレログやテンプレを読んだか】読んだ
【hosts変更】　不明
【PeerGuardian2導入】　無し
【説明】臨時のWIKIの狩場MAPというリンクから踏んでしまった
ノートンの履歴を見ると本日の１３時頃に遮断履歴が残っていたので
おそらくノートンでは大丈夫だと思われる

このやつは７月後半に最初に発見されたみたいだな
ならもうたいていの有名対策ソフトなら大丈夫なのかな
691 ：(^ー^*)ノ～さん sage ： 2007/10/10(水) 07:53 ID:ln3vlWBd0: www■teamerblog■com■fc2■index.htm
書き込めない…
692 ：(^ー^*)ノ～さん sage ： 2007/10/10(水) 08:03 ID:ln3vlWBd0: www■teamerblog■com■fc2■index.htm
tinyurl■com■2jovj2 より転送される

HTML/ADODB.Exploit.Gen（AVIRAで反応）
カスペではTrojan-Downloader.VBS.Psyme.ic
９月頃から貼られる？
693 ：(^ー^*)ノ～さん sage ： 2007/10/10(水) 13:08 ID:qEvIVnQ30: >>691-692
http://www■teamerblog■com/fc2/index■htm
http://www■articlelin■com/fc2/cery■exe
http://www■seakinfo■com/fc2/cery■exe

index.htm -> wz.htm , wu.htm
wz.htm -> 404 not found
wu.htm -> music.htm , love.htm

love.htm -> cery.exe
c:\\program files\\windows media player\\wmplayer.exe の名前で保存を試みる？
HPのタイトルは「Windows Media Player Oday Test!」

music.htm -> cery.exe
VBスクリプトでなんかやろうとしてる。

cery.exeは、両方とも同じファイル。

NOD32
cery.exe - probably a variant of Win32/Genetik trojan
music.htm - VBS/TrojanDownloader.Psyme.NAX trojan

Kaspersky
cery.exe - Trojan-Spy.Win32.Agent.nq
music.htm - Trojan-Downloader.VBS.Psyme.ic
694 ：(^ー^*)ノ～さん sage ： 2007/10/10(水) 16:13 ID:BJFyIq510: 【　　アドレス　】http://www■samples112xrea■com/roblog/
【気付いた日時】URLを分だのは、本日昼頃
【　　　 OS　　】XP SP2
【使用ブラウザ】IE6か7（おそらく6）
【WindowsUpdateの有無】上記のURLを踏んだ後に、念のため
【　アンチウイルスソフト】Mcafee VirusScan
【その他のSecurty対策】火壁
【ウイルススキャン結果】現在、symantecのオンラインスキャンと、trendmicroのオンラインスキャンで調査中
【スレログやテンプレを読んだか】YES
【hosts変更】不明
【PeerGuardian2導入】無し
【説明】これは・・・感染したと見た方が良いいんだろうか
どうか、ウィルススキャンで何も出てきませんように
695 ：(^ー^*)ノ～さん sage ： 2007/10/10(水) 16:21 ID:aRAN3QhS0: 最近はスキャンを抜けるものや多数ぶち込まれるものが多いので、
OS入れなおしが無難です。正直どうしようもないと言う状況で･･･
696 ：(^ー^*)ノ～さん sage ： 2007/10/10(水) 16:22 ID:DLsLrcZD0: IEくらいVer確認すぐ出来るだろう
踏んだ後にしても遅い
kasperskyのオンラインスキャン使えと…
見つからなかったらスルーしててアウトという可能性もあるんだぜ

ツッコミ以上です
697 ：(^ー^*)ノ～さん sage ： 2007/10/10(水) 16:26 ID:BJFyIq510: 諸事情により、OS再インストールは無理ぽ
検知できたウィルス一つ一つ駆除して行く程度しか
対応ができない状況なのが困る
698 ：(^ー^*)ノ～さん sage ： 2007/10/10(水) 16:28 ID:DLsLrcZD0: おまいさんの事情はしらんがな(´・ω・｀)
699 ：(^ー^*)ノ～さん sage ： 2007/10/10(水) 16:32 ID:aRAN3QhS0: そりゃ困ったね･･･
とりあえずその二つは垢ハックウィルスを感知しないものも多いので、
カスペルスキー　F-Secure　なんかのスキャンもしてみるのがいいかも。
んで、今現在その二つでも抜けてしまうものがある可能性が結構高いので、
詳しい解析の人のアドバイスが来るまで、
ROやアトラクションセンタ、他のネトゲやMixi、メッセンジャーなどの
パスを入力するようなものにログインせず、暫く様子見を･･･
700 ：(^ー^*)ノ～さん sage ： 2007/10/10(水) 16:39 ID:BJFyIq510: >>699
おｋ
とりあえず、１１月末ぐらいまでなら
その手の物ログインする必要もないので
とりあえず、詳しい解析の人のアドバイス来るまで様子見してみる
701 ：(^ー^*)ノ～さん sage ： 2007/10/10(水) 16:48 ID:qEvIVnQ30: >>694
入手前に切断したのか、入手したが（以前に発動させたのか今回かで）セキュリティソフトを停止させられ
ステルス化しているので発見できなかったのか、その辺は不明。

Maran.ffは結構多くのベンダーが対応してるからすり抜けるとは思えないけど。
（幾つか検出しないとこあるので、提出したんだが、まだ対応してないとこもあるようで）

諸事情は知らんが、ＯＳの入れなおし位できるようにしとけ。
止めちゃならない仕事のＰＣで踏んだなら、なむいが、使い方考えろと。

マカフィーが正常に入って、設定されて、稼動してれば今回のは検知できる筈。
踏んだ時刻から調査時刻までの間に差し替えられていた可能性もあるので保証はできない。
安心のために、やっぱりＯＳ入れなおしを。それしないなら自己責任で。
－－－－－
http://www■samples112xrea■com/roblog/index■htm
http://www■raginfoy■com/roblog/ro■exe

NOD32
index.htm - JS/Exploit.ADODB.Stream.NBE trojan
ro.exe - Win32/PSW.Maran.FF trojan

VirusTotalより抜粋

index.htm
Kaspersky 7.0.0.125 2007.10.10 Trojan-Downloader.JS.Agent.hg
McAfee 5137 2007.10.09 Exploit-MS06-014
Symantec 10 2007.10.10 -

ro.exe
Kaspersky 7.0.0.125 2007.10.10 Trojan-PSW.Win32.Maran.ff
McAfee 5137 2007.10.09 Generic PWS.b
Symantec 10 2007.10.10 Infostealer
702 ：(^ー^*)ノ～さん sage ： 2007/10/10(水) 17:23 ID:BJFyIq510: >>701
これまでに、罠URLを踏んだ経験は無し
怪しい物は、大概チェックして踏まないようにしてたから

SymantecとtrendmicroとKasperskyとでウイルススキャン中
>>701で報告されてるのと結果が同じであれば
感染しているファイル、疑わしいファイルの削除で
問題ないかな？

それ以外の物が仕込まれていたらあれだけど、その場合は自己責任でだけど
やっぱりOSの再インストールが無理なのが痛いな
703 ：(^ー^*)ノ～さん sage ： 2007/10/11(木) 00:05 ID:U3ZY54zI0: >>697
諸事情ってなんだ?
ウィルス以外でも、OS自体がクラッシュする事態に陥ったりすればどの道、再インストール以外の回避策が無い場合だってある。
無論、そういった悲惨な状態にまで陥るマルウェアだって無いわけではない。
正規のライセンスを持ってないなら諦めれ。
704 ：(^ー^*)ノ～さん sage ： 2007/10/11(木) 07:21 ID:Md/oGWWl0: 早すぎますが>>659-661以降のリストです。
なんか間違えていそうなのでツッコミあればよろしくおねがいします。

127.0.0.1 vvv■3x7x■cn
127.0.0.1 tinyurl■com■2jovj2
127.0.0.1 www■teamerblog■com
127.0.0.1 www■articlelin■com
127.0.0.1 www■seakinfo■com
127.0.0.1 teamerblog■com
127.0.0.1 articlelin■com
127.0.0.1 seakinfo■com

ふと次のテンプレの【hosts変更】をhost対策と変えたたらどうでしょうか？
大した事ではないのだろうけど
不明と書く人を見るに、判りにくいのかな？って思った次第。

>>691-692氏 /まで■にするとかえって判りにくく
>>693氏の報告のフォローが助かりました。
当方が愚鈍で申し訳ない。
705 ：(^ー^*)ノ～さん sage ： 2007/10/11(木) 07:29 ID:Md/oGWWl0: >>697
IEのヘルプでバージョン情報をみるって…
この手の大抵のソフトはヘルプにバージョン情報やらaboutやらで
ソフトVerが判るようになってる筈です。
にしても、三種同時にスキャンとは返って時間が掛かりそうです。
最近のPCのスペックなら大丈夫なんでしょうか。

親やら友人のPCやらでやらかしてしまったなら
素直に謝って入れなおすのが妥当かと。
学校やら仕事やら公的なブツのPCなら
パスを入れるようなソフトを実行しないorアンインストール。
当面、安全な環境でパスワードだけでも変えておく事をお勧めします。
判っていても踏んでしまうといういい勉強になったという事で。

そして明日はわが身と思う。
MYリカバリーディスク作成を調べておこう…。
706 ：(^ー^*)ノ～さん sage ： 2007/10/11(木) 16:28 ID:gNa7eYGW0: ttp://buffalo.jp/support_s/ruf2-fs/
ROは対象じゃないけど一応ね
踏むの怖い人は「株式会社バッファロー」で検索を
707 ：691 sage ： 2007/10/11(木) 18:01 ID:2+h8f4R90: すんませんです
書き込めない理由が.であることに今日気がついたよorz
708 ：694 sage ： 2007/10/12(金) 04:23 ID:emdMVlz/0: McafeeでHDDをスキャン　ウィルスは見つかりませんでした
symantecでオンラインスキャン
C:\Program Files\gikoNavi\Log\2ch\ogame2\1122825137.dat は　VBS.Freelink.B に感染しています。
C:\Program Files\gikoNavi\Log\2ch\design\1002521319.dat は　Bloodhound.Exploit.6 に感染しています。
C:\Program Files\gikoNavi\Log\2ch\alone\Folder.idx は　Unix.Penguin に感染しています。
C:\Program Files\gikoNavi\Log\2ch\alone\subject.txt は　Unix.Penguin に感染しています。

Kasperskyでオンラインスキャン
Kasperskyのメンテ中でできませんでした

>>694のURL、確かに踏んだ筈なのに
それらしきウィルスが検知されません
とりあえずKasperskyのオンラインスキャンのメンテが
終わるのを待って、再度Kasperskyでスキャンかけてみます
709 ：694 sage ： 2007/10/12(金) 09:31 ID:emdMVlz/0: TrendFlexでのウィルススキャン結果
ウイルス検索の結果:ウイルスは見つかりませんでした。
スパイウェア検索の結果:スパイウェアは見つかりませんでした。
セキュリティ診断の結果:セキュリティホール: 0件

間違いなく踏んだ筈なのに、オンラインスキャンでは何も検知されないのが
逆に不気味だ
Kasperskyのメンテが終わったらKasperskyでスキャンかけてみますが

これは、感染していると見た方が良いのか、大丈夫と
見た方が良いのか、どっちでしょうか？
710 ：(^ー^*)ノ～さん sage ： 2007/10/12(金) 09:53 ID:7p22XobW0: >>704
このスレでも何度も言われてることだけど、
スキャンで引っかからなかったから大丈夫、という保障は誰にもできない
不安を抱えたまま使うか再インストールかのどっちかしかない
大丈夫といわれて実はウイルス潜んでたってことになっても人のせいにしないこと
あと、その結果じゃなんともいえない

垢ハク系で言えばカスペとNOD32が検出率高いからNODも使え。オンラインないけど
あと、ちょっと前にスレの住み分けのこと言われてたから考慮すること
711 ：(^ー^*)ノ～さん sage ： 2007/10/12(金) 09:54 ID:7p22XobW0: 安価を盛大に間違えたけど俺は謝らない
712 ：(^ー^*)ノ～さん sage ： 2007/10/12(金) 10:10 ID:yjcpVAX60: >>709
>これは、感染していると見た方が良いのか、大丈夫と見た方が良いのか、どっちでしょうか？

その件はコメント済み。

>>701
>入手前に切断したのか、入手したが（以前に発動させたのか今回かで）セキュリティソフトを停止させられ
>ステルス化しているので発見できなかったのか、その辺は不明。

>踏んだ時刻から調査時刻までの間に差し替えられていた可能性もあるので保証はできない。
>安心のために、やっぱりＯＳ入れなおしを。それしないなら自己責任で。

マカフィーでもシマンテックでも検出可能なMaran.ffなので入手前に切断した可能性もあるが
推奨される解決策は、ＯＳ入れなおし。

書込まれている内容から推し量れる範囲ではそのＰＣのシステム管理者に相談すべきだと思う。
今後のためにも、ＯＳの入れなおしができるようになっておけ。自分でできないなら、ＰＣに詳しい
奴に、飯でもおごって、やってもらえ。（それを見ていて、次か自分でできるように覚えろ）
713 ：(^ー^*)ノ～さん sage ： 2007/10/12(金) 10:40 ID:yjcpVAX60: 【　　アドレス　】
www■blog-ekndesign■com/wiki/
www■lian-game■com/wiki/
www■extd-web■com/wiki/

【気付いた日時】2007/10/12

＜踏んでないので一部省略＞

【説明】
掲示板の３スレッドにそれぞれ、下記の書式で投稿されていた。
勿論、コメント部分とは全く無関係の掲示板であり、貼られる理由がない。
投稿者のIDが同一であることから、業者による投稿の可能性がある。

>185 No Name 07/10/12 10:09 ID:yNMZeQa2
>■ 攻城戦関連サイトwww■lian-game■com/wiki/
>公式

>834 No Name 07/10/12 10:08 ID:yNMZeQa2
>同盟表、随時最新情報求むwww■blog-ekndesign■com/wiki/

>343 真夏ノ雪 07/10/12 10:08 ID:yNMZeQa2
>攻城戦史www■extd-web■com/wiki/

【ＩＰアドレスへの変換結果】
www■blog-ekndesign■com/wiki/ -> 125.65.112.95
www■lian-game■com/wiki/ -> 125.65.112.95
www■extd-web■com/wiki/ -> 125.65.112.95

role: CHINANET SICHUAN
address: No.72,Wen Miao Qian Str Chengdu SiChuan PR China
country: CN
714 ：(^ー^*)ノ～さん sage ： 2007/10/12(金) 10:45 ID:zZfqsZC+0: >709
>これは、感染していると見た方が良いのか、大丈夫と
>見た方が良いのか、どっちでしょうか？

情報不足という事もあるが、元々正確なことはトロイの開発者じゃないと言えない。
ベンダーも見落としを含め、完全に正しい挙動を把握してない場合もある。
（極論すれば検出と駆除が出来ればOKだし）

スレ住民は何一つ確実な事が言えないので、「大丈夫」という言葉は使えない。
だから一番確実な処置方法としてHDDフォーマット・OS再インストールが推奨されてる。

基本的にスレの趣旨としては「踏まない」「踏んでも平気な状態にする」事を重視してる。
>713のような情報収集もその一環。

>713
そのIPは23styles■comのものだから、思いっきり罠アドレス。
715 ：694 sage ： 2007/10/12(金) 10:49 ID:emdMVlz/0: >>712
まあ、Kasperskyのオンラインウィルススキャンのメンテナンス
終わるのを待って、ウィルススキャンかけてみます
Kasperskyでも何も出てこなかったら、そっちの方が余計不気味な気もする

mixiの捨て垢に敢えてログインして、その捨て垢がハックされるか
どうかを調べて、感染してたかどうかを確認する
なんて、手を一瞬思いついてしまった
kasperskyで何も検知されなかったら、試してみようかと思ってる
自分がいて...........orz
何とか、試してみたい気持ちを抑えてはいるが
716 ：(^ー^*)ノ～さん sage ： 2007/10/12(金) 10:56 ID:zZfqsZC+0: >715
捨て垢でもそれを悪用されて罠をばら蒔かれたらどうする。
そして誰かがそれに引っかかったらどうする。

捨て垢がハクられる分にはテストだから、で済むかもしれんが、被害者を
自分の手で生み出す事になるんだぞ。
迷惑行為どころか犯罪行為に加担してる事になるから、そういうのはやめれ。
717 ：(^ー^*)ノ～さん sage ： 2007/10/12(金) 10:56 ID:yjcpVAX60: >>713
http://www■blog-ekndesign■com/wiki/index■htm
http://www■blog-ekndesign■com/wiki/see■exe

www■lian-game■com,www■extd-web■comは、同一IPの別名なので、省略。

---------
index.htm
---------
Kaspersky 7.0.0.125 2007.10.12 Trojan-Downloader.VBS.Agent.aw
McAfee 5139 2007.10.11 Exploit-MS06-014
NOD32v2 2586 2007.10.11 -
Symantec 10 2007.10.12 -

-------
see.exe
-------
Kaspersky 7.0.0.125 2007.10.12 Trojan-PSW.Win32.Maran.gen
McAfee 5139 2007.10.11 Generic PWS.b
NOD32v2 2586 2007.10.11 a variant of Win32/PSW.Maran
Symantec 10 2007.10.12 Infostealer
718 ：(^ー^*)ノ～さん sage ： 2007/10/12(金) 11:00 ID:yjcpVAX60: >>715

>>415
>415 (^ー^*)ノ～さん sage 07/09/11 23:41 ID:VaLaEIqZ0
>つか、こういうのは人柱とは言わずに、足手まといと言うんだが。

おまいさんは、ＯＳを自分で入れなおせるようにするのが最優先。他の事には手を出さんでよろし。

>Kasperskyでも何も出てこなかったら、そっちの方が余計不気味な気もする
踏んだけど、本体入手前に切断するのが間に合ったケースではそうなってもおかしくない。
あくまでも、安全な可能性があるというだけなので、過信はするな。

自己責任の意味がわからないならＯＳ入れなおしてこい。以上。
719 ：(^ー^*)ノ～さん sage ： 2007/10/12(金) 11:05 ID:gg/mEBpN0: >>715
生兵法は怪我の元どころか、第三者、それに、この場合ならmixi運営にも被害を与えかねない。
万全なJail環境を構築できて、仮想mixiに対してセッションテストを行えるならともかく、本番環境相手にやるのはご法度。

むしろ、そんなにSNSに依存しているなら、専用PCでも構築するか、退会して自分達専用のプライベートスペースでも作った方が
いいんじゃないか?
720 ：(^ー^*)ノ～さん sage ： 2007/10/12(金) 11:20 ID:fjA7eIWy0: ＯＫ
悩める694に100%とは言わないが、割と安全な対応を教えてしんぜよう。

1.そのPCは使ってもいいが、最低1週間、出来れば1ヶ月ネットから隔離する。
　隔離が無理ならネットは使わないようにする。
2.経過期間終了後、カスペその他で再度チェックする

それで見つからなければ割と安全と思っていい。

1ヶ月もあれば、新種のトロイでもパターンファイルに登録されてるだろう。
その間に何も踏まなければ、新たな感染は殆ど無いといえる。
（外部メディアからの侵入はないとは言えないので注意）

mixiが重要なら、携帯からやればいい。
721 ：694 sage ： 2007/10/12(金) 12:13 ID:emdMVlz/0: >>720
とりあえずKasperskyのメンテが終わったら
Kasperskyでチェック
それで何も検知されなければ>>720の方法で行く事にします

100%ではなくても、安全だと判断するに到る根拠があれば、多分
大丈夫だと思う
722 ：(^ー^*)ノ～さん sage ： 2007/10/12(金) 13:57 ID:yjcpVAX60: >>721
寝かせる余裕があるならOS入れなおせよ。割れ物使ってるなら、この機会に買ってこい。
723 ：(^ー^*)ノ～さん sage ： 2007/10/12(金) 14:34 ID:yjcpVAX60: spamメールの文面（危険アドレスの置き換え以外そのまま）
リンクに表示される文面がリネージュ公式のアドレス＋末尾jpegにすることで
踏ませるものだと思われる……が、yahoo.cnのメッセージがついてるお間抜けメール。

iframeで、既知の危険アドレスを読み込ませる。
main1.htmは、Ms06014.htm,test.curを読み込むいつものパターン。

rbt1/ie.htmlは調査時点で404エラー。

tmsn/ie.htmlは、tmsn/tmsn.exeを呼びだす。レジストリに登録するらしき挙動も見える。
tro/ie.htmlは、tro/tro.exeを呼びだす。（以下同文）

>リネージュの世界へようこそ!
>この度は、「リネージュ」にご登録いただきまして、誠にありがとうございます。
><http://www■lineagecojp■com/rbt1/main■htm>http://lineage.plaync.jp/support/RtnCardImage3.Jpeg
>
>------------------------------------------------------------
><http://mail.yahoo.cn/> @yahoo.cn 新域名、无限量，快来?注！

多分、同じ送信者と思われる、アダルトサイト系を装ったメールも昨日来てました
アダルトサイトのアドレス貼るのもどうかと思われたので、そこも一応伏せ。

><http://www■lineagecojp■com/tmsn/main■htm>[無料]dmm
> BlowJob　Porn　無修正　オマンコ　潮吹き
>　モロ　フェラ　女子高生　援助交際　アニメ
>　 SEX　PornMovie　FC2Ranking
>無修正DVD
>☆素人娘の「おしっこ」のみを扱う究極のおしっこ専門サイト！☆
><http://www■lineagecojp■com/tro/main■htm>
><http://www■lineagecojp■com/tmsn/main■htm><dmmのアドレス>
>
>------------------------------------------------------------
><http://mail.yahoo.com.cn/?=89034>雅虎?箱，?生?伴！
724 ：(^ー^*)ノ～さん sage ： 2007/10/12(金) 14:36 ID:yjcpVAX60: まとめると、こうなった。ファイル名がhtmlの文面中に出てくるのを追っただけなので、
VBやJavaScriptでなにやってるのかまでは知りません。

http://www■lineagecojp■com/rbt1/main■htm
http://www■zhangweijp■com/rbt1/main1■htm
http://www■zhangweijp■com/rbt1/ie■html -> 404 not found
http://www■lineagecojp■com/rbt1/Ms06014■htm
http://www■lineagecojp■com/rbt1/test■cur
http://www■lineagecojp■com/rbt1/rbt1■exe -> 404 not found

http://www■lineagecojp■com/tmsn/main■htm
http://www■zhangweijp■com/tmsn/main1■htm
http://www■zhangweijp■com/tmsn/ie■html
http://www■lineagecojp■com/tmsn/Ms06014■htm
http://www■lineagecojp■com/tmsn/test■cur
http://www■lineagecojp■com/tmsn/tmsn■exe

http://www■lineagecojp■com/tro/main■htm
http://www■zhangweijp■com/tro/main1■htm
http://www■zhangweijp■com/tro/ie■html
http://www■lineagecojp■com/tro/Ms06014■htm
http://www■lineagecojp■com/tro/test■cur
http://www■lineagecojp■com/tro/tro■exe

main.htm : Not Detected（これは順当）
main1.htm : Trojan-Downloader.JS.Agent.hf
ie.html : Exploit-MS06-014
Ms06014.htm : Trojan-Downloader.VBS.Small.em
test.cur : Exploit.Win32.IMG-ANI.ac
tmsn.exe : Trojan-PSW.Win32.Agent.ka
tro.exe : Trojan-PSW.Win32.Agent.ka
725 ：(^ー^*)ノ～さん sage ： 2007/10/12(金) 17:40 ID:cy91GlC40: カスペルスキーのオンラインメンテが長いですね。

>>713 >>723
現時点までに既存のhostファイルに上がっているアドレスなので
host対策すれば一応大丈夫だとおもうのですが
>>723氏の書き込みのJpegなURLのは
場所が場所なら引っかかりやすいかもしれません。

このJpeg自体もリネ公式上に404で存在しませんし
(JpegなURLをググると業者な書き込みの残骸？が数件引っかかったので
見境無く貼り付けている模様)
表面だけでも公式のURLというのが悪質ですが
古典的だけど見かけ上の偽装はそれだけ有効ということか。

対策としてはステータスバーのチェックをONにして、
"いつでもURLを確認できるように"しておいたほうが良さそうです。
でもステータスバーOFFは少数派かも。
726 ：(^ー^*)ノ～さん sage ： 2007/10/12(金) 17:55 ID:yjcpVAX60: >>725
>カスペルスキーのオンラインメンテが長いですね。

それまで、日本以外のとこ使っとけ。
ttp://www.kaspersky.com/virusscanner
727 ：(^ー^*)ノ～さん sage ： 2007/10/12(金) 18:43 ID:emdMVlz/0: >>726
何故か外国版使おうとすると
オンラインスキャン起動途中でFAILEDと出て使えない
日本版のメンテナンス早く終わらないかな
728 ：(^ー^*)ノ～さん sage ： 2007/10/12(金) 18:47 ID:ElUGlYfD0: すまんが同じ事を何度も何度も言わんで良い
729 ：(^ー^*)ノ～さん sage ： 2007/10/12(金) 18:50 ID:emdMVlz/0: >>728
スマン
730 ：(^ー^*)ノ～さん sage ： 2007/10/13(土) 01:17 ID:so8FBPUD0: ROSVのBBSに投稿されていたアドレス

http://202■224■203■91/bbs/picte■asp
http://www■omakase-net■com/bbs/picte■asp
http://www■mbspro6uic■com/mbsplink/
http://www■ragnarokgvg■com/roblog/
http://www■chaosx0■com/roblog/
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
www■omakase-net■com -> 202.224.203.91 (JP:InfoSphere配下の個人名義)
　　　　　　　　　　　普通のHPのようなので、クラックされてファイルを置かれたのかも
　　　　　　　　　　　まだ警告は入れてません。
www■mbspro6uic■com -> 61.139.126.28 (CN）
www■ragnarokgvg■com -> 125.65.112.8 (CN）
www■chaosx0■com -> 125.65.112.58 (CN）
www■raginfoy■com -> 125.65.112.77 (CN)
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
picte.asp -> iframeで下記のアドレスを呼び出す
http://www■zhangweijp■com/rbt1/main■htm
http://www■zhangweijp■com/tro/main■htm
http://www■zhangweijp■com/tmsn/main■htm

mbsplink/index.htm -> mbspr.htm -> mbsp.htm,mbsp.cur
mbsp.htm -> xiaogui.exe
http://www■mbspro6uic■com/mbsplink/mbspr■htm
http://www■mbspro6uic■com/mbsplink/mbsp■htm
http://www■mbspro6uic■com/mbsplink/mbsp■cur
http://www■mbspro6uic■com/mbsplink/xiaogui■exe

roblog/index.htm -> ro.exe
http://www■raginfoy■com/roblog/ro■exe
731 ：(^ー^*)ノ～さん sage ： 2007/10/13(土) 01:17 ID:so8FBPUD0: >>730の続き
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
以下、カスペでの検出結果。
ダウンローダや、iframeで呼びだすページはすり抜けが多い（仕様かも）が
そこから落とされる本体は、ほぼ対応済みになっている模様。

picte.asp : Not Detected
main.htm : Trojan-Clicker.HTML.IFrame.co

mbsplink/index.htm : Not Detected
mbspr.htm : Trojan-Downloader.JS.Agent.hf
mbsp.htm : Trojan-Downloader.Win32.Agent.bzy
mbsp.cur : Exploit.Win32.IMG-ANI.ac
xiaogui.exe : Trojan-PSW.Win32.Maran.ff

roblog/index.htm : Trojan-Downloader.JS.Agent.hg
ro.exe : Trojan-PSW.Win32.Maran.ff
732 ：694 sage ： 2007/10/13(土) 08:37 ID:/sFmBGc00: Kasperskyオンラインウィルススキャン使用結果
スキャンしたファイル:72216
見つかったウイルス:0
感染したオブジェクト:0
疑わしいオブジェクト:0
スキャンプロセスの所要時間:09:01:47

symantec trendmicro Mcafee Kaspersky
どれ使っても検知されないって、かなり最新種なのか？！
733 ：(^ー^*)ノ～さん sage ： 2007/10/13(土) 09:04 ID:so8FBPUD0: >>732
安全ですって誰かに保証して貰いたいだけなんだろうが、その言葉は出てこないから諦めろ。

あんたの踏んだアドレスは、(調査時点では)検知可能なものが置かれていたが、あんたが
踏んだ時点でも同じものであった保証はできない。

踏んだが、入手前に切断した「可能性がある」ことだけは言えるし、複数のセキュリティソフトで
検知されない事から、安全である「可能性はある」が、誰も保証はできない。

安心したければＯＳ入れなおしが必要。

OEM用のOSをFDDとセットで買ってきて、FDDを今付いているものと交換し（OEMのOSは
同時に購入したハードと一緒に使わないといけないので）、買ってきたＯＳを入れればいい。
http://www.coneco.net/PriceList.asp?COM_ID=1020621013

必要なデータのバックアップは忘れずにな。インストール方法がわからないなら、その手の
質問受け付けている場所へどうぞ。もう戻ってくるんじゃねーぞ。
734 ：694 sage ： 2007/10/13(土) 12:08 ID:/sFmBGc00: >>733
安全を保証してもらいたいわけじゃない

大体の可能性として
調査時点と俺が踏んだ時点、昼間の数時間で
罠URLの先に置かれていた物が同じ物で無かった可能性が
大いにあり得る（かなり高い　６１％以上）なのか
あり得る（五分五分程度　４０％～６０％の間）なのか
あるかも知れない（確率としては低い　３９％以下）なのか
今まで、調査を行ってきた人の経験に照らし合わせると
どの程度の確率で、踏んだ時点と調査時点で置かれていた物が
変わっているのかというのが知りたい
踏んだ時点と調査した時点で置かれていた物が変わる確率
（踏んだ時点と調査した時点で、置かれていた物が変わる事は
　今までに調査した中にどのぐらいの割合であったのか）
中身が、検知不可な物から検知可な物に変わる確率
（検知不可な物が最新種とすれば、検知可な物に変えるのは
　最新種から旧種へ変える様な物で、最新種に不具合がある
　等でなければ、あまり考えられない
　実際、検知不可な物から検知可な物に変わった事が
　今までの調査の中でどのぐらいの割合であったのか）
上記の二つから見立てて、踏んだ時点と調査時点（誤差数時間）で
最新種から旧種へ中身を変える可能性が、何％ぐらいの確率であるのか
（今までの調査で、そういう事例が実際に何割ぐらいあったか）
735 ：694 sage ： 2007/10/13(土) 12:09 ID:/sFmBGc00: 入手前に切断した「可能性がある」については
入手前に切断と言うのがどういう物か解らないので
できれば、入手前に切断されるプロセスを教えて欲しい
例えば、切断のプロセスにも、読み込む前に強制終了した場合
ウィルス対策ソフトがウィルスを検知して自動的に弾いた場合
等色々あると思うので、今までの調査経験から考えられる範囲で
URLを踏んでから切断までのプロセスを教えて欲しい

上記の確率と、切断までのプロセスさえある程度解れば
安全か危険か、多少は自分で見立てられる

OSの入れ替えは、絶対不可能なので
その見立てに応じて、自分で考え得る
OS入れ替えや再インストールを除いて
出来うる範囲で必要な対処を実行してみる
その為の判断材料として、上記の確率とプロセスが
参考までに欲しい

OS入れ替え、再インストールを除く対処法で
実行できる最大限可能な対処は>>720だが
736 ：(^ー^*)ノ～さん sage ： 2007/10/13(土) 12:15 ID:Y2ZQTcBd0: いったい何をゴネてるんだ
737 ：(^ー^*)ノ～さん sage ： 2007/10/13(土) 12:16 ID:h8eFVjkP0: まだいたんか、おまいさんは
わがままで情報が流れるのは勘弁願いたいんで移動してくれ
http://enif.mmobbs.com/test/read.cgi/livero/1186660300/
738 ：(^ー^*)ノ～さん sage ： 2007/10/13(土) 12:17 ID:vI/juzq70: >>694
はいはい、大丈夫大丈夫、>720をやっておけば仮令感染していようとも実害はないからね。
はい、これで安心できたでしょ。帰った帰った。
739 ：(^ー^*)ノ～さん sage ： 2007/10/13(土) 13:14 ID:so8FBPUD0: 確率：入れ替えるタイミングには10分単位で変わってる事もある。１ヶ月以上変わらない場合もある。
プロセス：ブラウザからサーバーに要求出しても、データが来るまでのラグがある。
　　　　　　データが届く前に、閉じるなり別のページを表示した場合は、届かない。
　　　　　　垢ハックの置かれているアドレスは、重い事もあるが、ファイルサイズ自体が小さいので
　　　　　　一瞬で届く場合もある。相手サーバーと回線の具合によって大きく変化するので、
　　　　　　なんとも言えない。真っ白に見えても（今回もそうだが）iframeで隠されているケースが多く
　　　　　　開いていないかどうかは保証できない。

自己判断ができるなら、そのままつかっても良いが、今回の相談者の場合、知識と認識に問題があり
危険が高いため、ＯＳ入れなおし以外の手段は推奨できない。

>安全か危険か、多少は自分で見立てられる
正直に言うと、あんたにゃ無理。

諦めて、ＯＳ買ってきてＰＣ初期化すべし。以上。
740 ：(^ー^*)ノ～さん sage ： 2007/10/13(土) 13:32 ID:fv3Kswuq0: >>694
なんか自分はできるやつなんだってのをアピールしたい意図が見え隠れするけど、
生兵法は怪我の元でしかないし、言われたことを理解しているようにも思えない

再セットアップが無理って言う理由はなんだ？会社のPCだからか？他人のPCだからか？
だったら正直にウイルスいるかもしれないってこと話して入れなおせ

あと、何で文句っぽくレスが付くのか考えろ
741 ：694 sage ： 2007/10/13(土) 14:56 ID:/sFmBGc00: >>740
知り合いのだ
ウィルス入ったと話したところ
「絶対にOSの入れ替えや再インストールはするな
　感染したファイルだけを削除して解決しろ
　それ以外の方法での解決は認めない」
と言われたため

つまり、そう条件付けられてしまった以上
できうる最善策が>>720

>>739
おｋ、OS再インストールや初期化は選択肢として存在しない
>>720以上の事はしなくても大丈夫そうだと解ったのでそれで充分
742 ：(^ー^*)ノ～さん sage ： 2007/10/13(土) 15:58 ID:QMPY3Ok40: 結局、割れOSか、会社の備品か何かでインストールしたPCを友人から借りて、その上で怪しいURLを踏んだと言うことでFAか。
普通に考えれば、トロイ以外にも、ホワイターの様なロジック爆弾にやられる可能性もある。nProの競合でハードディスクの管理領域が
クラッシュすることだってある。
つまり、PCを使う以上は、いつでもOS再インストールが必要になる可能性はある訳で。
そんな不確実なPCを>>694に使用させた友人も大概だがな。
743 ：(^ー^*)ノ～さん sage ： 2007/10/13(土) 17:54 ID:Pe+Wiwsa0: 割れとか使ってる奴はネット繋ぐな
ケーブルで首つって氏ね
744 ：(^ー^*)ノ～さん sage ： 2007/10/13(土) 18:34 ID:wMz/cMSh0: ずいぶん酷い荒らしが沸いてたんだな…
745 ：(^ー^*)ノ～さん sage ： 2007/10/13(土) 19:52 ID:JmK/e/I60: >>730
BSWikiの既出チェックCGIにかけたらIPの最初のを除き全部Hitしますね。
http://smith.rowiki.jp/riskycheck.php

>www■omakase-net■com
確か危険と目されるようになったのは結構前。鯖管は全然"管理"してないんだろうねぇ。
全く困ったもんだい。
746 ：(^ー^*)ノ～さん sage ： 2007/10/14(日) 12:55 ID:7HLQtFtB0: うちの鯖のキモギルドのマスターみたいだ…
747 ：(^ー^*)ノ～さん sage ： 2007/10/14(日) 16:23 ID:cPNjU/A40: >>694関連は、ここまでgdgdな展開だと、どうでもいいような事を長々とスレに持ち込んで、本来のスレの役割を機能不全に
陥らせようとしたのではと邪推してしまうな。

>>745
Tech Email(技術連絡先): minami@sml.co.jp
ここにｺﾞﾙｧするのが手っ取り早いのかな。
748 ：にゅぼーん にゅぼーん：にゅぼーん: にゅぼーん
749 ：(^ー^*)ノ～さん ： 2007/10/15(月) 10:18 ID:tW1QDopp0: 徳島県警生活環境課と徳島北署は25日、会員制のオンラインゲームに他人のIDとパスワードを使って不正にアクセスしたとして、埼玉県北本市の土木作業員の少年（18）を不正アクセス禁止法違反容疑で逮捕した。　調べでは、少年は4月30日午後2時ごろ、自宅のパソコンからインターネットに接続し、チャットを通じて入手した北島町の女性（21）のIDとパスワードを無断で使用しゲームにアクセスした疑い。

こういうのって警察どうやって調べてんの？
750 ：(^ー^*)ノ～さん sage ： 2007/10/15(月) 10:20 ID:2ZEXUTOG0: >749
こちらへどうぞ。

セキュリティ対策、質問・雑談スレ3
http://enif.mmobbs.com/test/read.cgi/livero/1186660300/l50
751 ：(^ー^*)ノ～さん sage ： 2007/10/15(月) 11:04 ID:1VtqAuRV0: 自宅からのアクセスなんてすぐ分かるだろ

被害者が警察に被害届け
　↓
警察がISP／ゲーム運営会社に情報公開請求
　↓
ﾀｲｰﾎ

ネカフェやPCショップ等の展示マシンからアクセスされたら、
そこから地道な聞き込み捜査が行われる。
海外からのアクセスはよく分からん。
752 ：(^ー^*)ノ～さん ： 2007/10/15(月) 11:11 ID:tW1QDopp0: 被害届け　ださなきゃ警察なにもしれくれないし
被害にあってから数ヶ月たってから警察に言ったんじゃ遅い？
753 ：(^ー^*)ノ～さん sage ： 2007/10/15(月) 11:57 ID:MC6Sc9AK0: >>730さん
| www■omakase-net■com

使用しなくなったまま放置されているBBSに脆弱性があるようで、半年以上前
から何度も攻撃を受けています。(こちらにも既報)
BBS自体を消せばいいのに、管理人は脆弱性に気が付いていないようで、
パスワード制にしたまま捨て置かれています(脆弱性への対処にはなってない)。

サイト上にあるメールアドレスに警告メールを送ったことがありますが
反応ありませんでした。
754 ：(^ー^*)ノ～さん sage ： 2007/10/15(月) 12:03 ID:+pECkpGI0: >>752
泥棒に遭ってから１ヶ月ほどして言っても、
被害届は受け付けてくれるだろうけど捜査はやりにくいだろうね

こういうのは分かった時点ですぐ言わないと
755 ：(^ー^*)ノ～さん ： 2007/10/15(月) 12:06 ID:tW1QDopp0: >754
最後に課金してからだと３～４ヶ月たってるんで・・・
756 ：(^ー^*)ノ～さん sage ： 2007/10/15(月) 12:44 ID:vnoeBfXX0: >>751-752 >>754-755
>>750で誘導されてるんだから、ここで続けるのはやめようよ。

>重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
>対策・相談・雑談は>>2に有る雑談スレを利用して下さい。
757 ：(^ー^*)ノ～さん sage ： 2007/10/15(月) 20:32 ID:MC6Sc9AK0: ここ最近の職Wikiへのアカハック攻撃試行事例 (全てblockされ一般利用者の目には触れていません)

Date: Sun, 14 Oct 2007 23:15:25 +0900 (JST)
REMOTE_ADDR: 210.197.230■190
-> (OFSfb-12p4-190.ppp11.odn.ad■jp - 中国人御用達ODN (ソフトバンク系))

http://tinyurl■com/2bmcg2 (短縮URL)
-> http://www.teamerblog■com/wiki/index.htm (既出 61.139.126■16)
--> http://www.teamerblog■com/wiki/music.htm (Microsoft.XML脆弱性)
---> http://www.norelet■com/wiki/svch.exe (61.139.126■16)

--> http://www.teamerblog■com/wiki/love.htm
JavaScriptがIE用のため実体は解読できず。
攻撃手法は中国製のメディアプレイヤーソフトである BaoFeng Storm Playerの
バッファオーバーフロー脆弱性を突くものと思われる。(入れてなければ存在せず)
http://www.symantec.com/ja/jp/enterprise/security_response/vulnerability.jsp?bid=25601

//--------

Date: Sun, 14 Oct 2007 23:16:22 +0900 (JST)
REMOTE_ADDR: 210.197.230■190

http://www.articlelin■com/wiki/ (既出 61.139.126■16)

//--------

Date: Sun, 14 Oct 2007 22:36:16 +0900 (JST)
REMOTE_ADDR: 210.197.230■190

http://www.panslog■net/wiki/ (61.139.126■16)

//--------

teamerblog, articlelin, seakinfo, norelet, panslog(他)の 61.139.126■16一派は
既出のURLを相互に入れ替えてもアクセスできそうな雰囲気。実体は同じかもしれません。
758 ：(^ー^*)ノ～さん sage ： 2007/10/15(月) 22:12 ID:TF78rnJB0: >>704での報告のtinyurlの表記が謝ってました。申し訳ない。
>>757氏に感謝。
改めて表記しなおしつつ更新分のリストをさらしてみるテスト。
既存のURLの10進表記ロングIPアドレスも表記の都合や
PG2が入っていたら無意味かもしれませんが試しに記述してみました。

誤りがあったら突っ込み訂正等よろしくお願いします。

127.0.0.1 202■224■203■91
127.0.0.1 61■139■126■28
127.0.0.1 125■65■112■8
127.0.0.1 125■65■112■58
127.0.0.1 125■65■112■77

127.0.0.1 tinyurl■com
127.0.0.1 www■norelet■com
127.0.0.1 norelet■com
127.0.0.1 www■panslog■net
127.0.0.1 panslog■net
127.0.0.1 61■139■126■16

>>726
突っ込みありがとうございます。
雑談な切り出しをしてしまいました。
759 ：(^ー^*)ノ～さん sage ： 2007/10/16(火) 08:19 ID:xV3sTsTj0: こっち向けぽいので引用。
“難読化”されたJavaScriptをIE7で解読する：ITpro
ttp://itpro.nikkeibp.co.jp/article/COLUMN/20071012/284394/
記事内リンク先の内容も含めて、スクランブルJavaScriptへの対抗手段にでもなれば。
760 ：(^ー^*)ノ～さん sage ： 2007/10/16(火) 09:13 ID:OfdfYc5j0: >>759
報告乙。でも、私には、どう見てもセキュスレ向きの話題に思えました。(^^)ﾉｼ
761 ：(^ー^*)ノ～さん sage ： 2007/10/16(火) 14:07 ID:OfdfYc5j0: 取り敢えず、既知のアドレスですが、ご報告。

mixiに貼られてたもの
http://www■rock-pine■com/orji/index■htm

呼びだされるもの
http://www■woshijianren■com/jpjp/jpro■htm
http://www■woshijianren■com/jpjp/Ms06014■htm
http://www■woshijianren■com/jpjp/ro■cur

＝＝＝Kasperskyでの検出結果＝＝＝
Trojan-Clicker.HTML.IFrame.bz
Trojan-Downloader.JS.Agent.hf
Trojan-Downloader.VBS.Agent.ar
Exploit.Win32.IMG-ANI.ac

＝＝＝NOD32での検出結果＝＝＝
Win32/TrojanDownloader.Ani.Genの亜種
762 ：(^ー^*)ノ～さん sage ： 2007/10/16(火) 14:49 ID:iDFjQQZL0: 罠置き場発見。
www■xmdir■com/chat■com

F-Secureオンラインスキャン
Trojan-PSW:W32/Magania.AMX(?)

その直後にVIRUSTOTAL　16日14時35分　検出率5割。
このことからF-Secureオンラインは自前？エンジン固定かもしれない。
(製品はNorman、カスペ、自前？の3つのエンジン)

F-Secure 6.70.13030.0 2007.10.16 Trojan-PSW.Win32.Nilage.brh (カスペ)
Kaspersky 7.0.0.125 2007.10.16 Trojan-PSW.Win32.Nilage.brh
NOD32v2 2592 2007.10.15 a variant of Win32/PSW.Lineage.ACN
Norman 5.80.02 2007.10.15 W32/Malware
Symantec 10 2007.10.16 -
763 ：(^ー^*)ノ～さん sage ： 2007/10/18(木) 15:25 ID:EZ1x02CS0: >>686
１０日前の話題にレス付けｽﾏｿ。
アプリコットカフェは１０日に管理人さんが交代されて運営が再開
されております。

あとleminx■comドメインは失効したと言う書き込みがありましたが
それ以降どうなったかは新管理人さんの方からは今の所何も
話が出ておりません。
764 ：(^ー^*)ノ～さん sage ： 2007/10/18(木) 15:50 ID:gqPfEHAz0: >763
アプリコのてんぷらBBSより

>168 名前：管理人2★ Mail：sage 投稿日：2007/10/12(金) 11:02:58 [ 8GIZaLP6 ]
>前管理人様に、applepie.s55.xrea.comを
>「アコライト・プリースト Wiki」に転送するように設定してもらいました。
>leminx■comについては支払いをして継続するそうです。

whois見る限り、まだレジストラ管理のようだし、最終的にどうなったかは不明。
765 ：(^ー^*)ノ～さん sage ： 2007/10/18(木) 21:33 ID:W1zni/sS0: leminx■comの登録業者であるeNomのwhoisによるとまだ「This name has EXPIRED～」
ってあるから、復活してない/できてないんだろうな…
というか期限切れから1ヶ月も経っていて復活できるのか疑問。

ttp://www.enom.com/domains/whois.asp?DomainName=leminx.com
766 ：(^ー^*)ノ～さん sage ： 2007/10/20(土) 17:24 ID:vcCLQxl50: www.extd-web■com/wiki/
これってハク？
767 ：(^ー^*)ノ～さん sage ： 2007/10/20(土) 17:29 ID:Ob4SY3jW0: >>767
Trojan-Downloader.VBS.Agent.awゲットだぜ
768 ：(^ー^*)ノ～さん sage ： 2007/10/20(土) 17:48 ID:vcCLQxl50: ごめん上に出てた
769 ：(^ー^*)ノ～さん sage ： 2007/10/20(土) 18:34 ID:bxhjoOmP0: ※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません
770 ：(^ー^*)ノ～さん sage ： 2007/10/20(土) 18:35 ID:jmHomHNe0: 【　　アドレス　】 ttp://www■netgamelivedoor■com/online/
【気付いた日時】本日五時頃
【　　　 OS　　】 WindowsXP HE SP2
【使用ブラウザ】 IE7
【WindowsUpdateの有無】有、少なくとも一ヶ月以内には
【　アンチウイルスソフト】 McAfee
【その他のSecurty対策】特に無し
【ウイルススキャン結果】現在スキャン中、踏んだ時にMcAfeeが反応した為恐らくその時に削除されてる
【スレログやテンプレを読んだか】 Yes
【hosts変更】変更の形跡はあるものの、踏む以前の事なので多分無関係
【PeerGuardian2導入】無
【説明】
脈絡もないブログコメだった為、すぐ垢ハクと判断したのですが…誤って踏んでしまいました。
特に症状はありません。
現在課金切れの身なのですが、やはりこの状況じゃ課金しない方が懸命ですね。
771 ：(^ー^*)ノ～さん sage ： 2007/10/20(土) 19:07 ID:bxhjoOmP0: >>770
ダウンローダである踏んだページそのものをマカフィーでブロックしている可能性が高いですね。
保証はできませんが、本体も未設置かサイト落ちのようですので、阻止できた可能性は十分あります。

http://www■netgamelivedoor■com/online/index■htm
JS/Downloader-BDQ(McAfee)
Trojan-Downloader.VBS.Agent.eg(Kaspersky)

http://www■conecojp■net/online/jpt1■exe
現時点で404エラー
772 ：(^ー^*)ノ～さん sage ： 2007/10/20(土) 19:25 ID:jmHomHNe0: 確かに、踏んだページ以降にはアクセスしていない様です、ウイルスも検出されませんでした。
可能性が高い、とのお話なので一、二週間ログインせず様子見すればいいかな、と思っているのですが甘いでしょうか？
OSの再インストールをした方がいいでしょうか。
773 ：(^ー^*)ノ～さん sage ： 2007/10/20(土) 19:29 ID:cwUqaWzA0: その辺は自己判断。
他人が言えるのは再インストールしちまえ、くらいのもの。
774 ：(^ー^*)ノ～さん sage ： 2007/10/20(土) 21:10 ID:bxhjoOmP0: ＞OSの再インストールをした方がいいでしょうか。
自己責任で判断できないのであれば、再インストールを行なってください。
775 ：(^ー^*)ノ～さん sage ： 2007/10/21(日) 02:44 ID:Ai09znpj0: >772
様子見出来るのならそれでも構わない。

ただしウィルスが検出されないのは、単に見つからないだけであって
感染してない、という保証にはならない。
トロイが潜んでる可能性は０ではない。

誰も「それで安全です」なんて断言は出来ない。
万が一別のトロイが居てハク被害にあったとしても責任が取れない。

なので、一番確実安全な方法、と言われたら「再インストールしろ」となる。
776 ：(^ー^*)ノ～さん sage ： 2007/10/21(日) 09:43 ID:iRKxOEgQ0: 【　　アドレス　】http://analysis■fc2■com/social/kw/%E3%83%A2%E3%83%B3%E3%82%B9%E3%82%BF%E3%83%BC%E3%83%AC%E3%83%BC%E3%82%B9
【気付いた日時】　本日5時ごろ
【　　　 OS　　】 WindowsXP Pro SP2
【使用ブラウザ】 (　Sleipnir 2.51
【WindowsUpdateの有無】先日
【　アンチウイルスソフト】 Norton Antivirus2007
【その他のSecurty対策】 Spybot ルータ　Ad-Aware
【ウイルススキャン結果】現在スキャン中
【スレログやテンプレを読んだか】Yes
【hosts変更】無　
【PeerGuardian2導入】無
【説明】
開いてみたら画面が真っ白だったので怪しいかなー
と思い報告しています。
777 ：(^ー^*)ノ～さん sage ： 2007/10/21(日) 10:23 ID:U+vZ0qn30: ※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

FC2のアクセス解析じゃないのそこ
778 ：(^ー^*)ノ～さん sage ： 2007/10/22(月) 01:04 ID:oEYZWaFd0: 某所で発見した新しいアカウントハックドメイン情報。
http://game13.2ch.net/test/read.cgi/game/1192592259/640-648

http://oblivion■playersvillage■com/ (クラックされた一般サイト)
　http://oblivion■playersvillage■com/img/foot.png (クラックされて置かれたファイル。難読化されている。以下をリクエスト)
　　http://www■puksins■com/flash.js (難読化されている。以下をリクエスト)
　　　http://www■puksins■com/Google.exe
　　　http://www■puksins■com/Alexa.exe
　　　http://www■puksins■com/Yahoo.exe

AviraAntiVirではTR/Crypt.NSPM.Genというアカハクウイルスでよく見た名前の奴。

上記の一般サイトさん、前もクラックされていたんだよね。なんだかもーうっへり。
779 ：(^ー^*)ノ～さん sage ： 2007/10/22(月) 07:47 ID:Cp7Io7qm0: >>778
報告乙。NOD32すりぬけたんで、検体提出いってきます。他もまとめて出してきまー。
780 ：(^ー^*)ノ～さん sage ： 2007/10/22(月) 09:22 ID:Cp7Io7qm0: >>778-779
カスペさんから返答

既知の検体
（提出前のオンラインスキャンでは検出できなかったがパターン更新直前だった模様、現在は検出する）
Alexa.exe_ - Trojan-PSW.Win32.Nilage.bss,
Google.exe_ - Trojan-PSW.Win32.Maran.ru,
Yahoo.exe_ - Trojan-PSW.Win32.Magania.asb

次のパターン更新で対応
flash.js_ - Trojan-Downloader.JS.Agent.zf,
foot.png - Trojan-Clicker.HTML.Agent.o
781 ：(^ー^*)ノ～さん sage ： 2007/10/22(月) 10:17 ID:Cp7Io7qm0: 【　　アドレス　】
http://www■8568985■com/mmgjkin/
http://www■8568985■com/garegky/

http://www■8568985■com/garegky/egk.htm
http://www■8568985■com/garegky/egk.cur

【気付いた日時】2007/10/22
　　　　　　　　アドレスをぐぐってみると、10/11,10/17辺りに各所にspam投稿された形跡あり。
【　　　 OS　　】WinXP pro SP2
【使用ブラウザ】ブラウザではアクセスせず
【WindowsUpdateの有無】月例定期更新なので10/10かな
【　アンチウイルスソフト】ESET Smart Securtyβ
【その他のSecurty対策】Spybot S&D,AD-Aware SE,Spaywareblaster
【ウイルススキャン結果】 egk.cur - Win32/TrojanDownloader.Ani.Genの亜種
【スレログやテンプレを読んだか】Yes
【hosts変更】有
　　　　　　但し、Spybotのリストでアカハック用はリストに入れていません。
　　　　　　検体入手の際に面倒なので
【PeerGuardian2導入】有。CNブロック。検体入手時のみhttpを許可して入手。
【説明】
放置されていたRO系BBSにあからさまに貼られていた。一般のBBSやゲームのblogにも。
既出のような気もするが、このスレ内に、同じ数字の羅列がなかったので一応報告。
いつものアニメカーソルの奴なので、WindowsUpdateかけて、まともなセキュリティ
対策ソフト入れてあれば防げると思われる。
782 ：(^ー^*)ノ～さん sage ： 2007/10/22(月) 11:33 ID:QSTVH+mm0: >>781
www■8568985■com/garegky/jpmm.exe
えらく古めかしい、無圧縮の日本向けリネージュトロイ。
783 ：(^ー^*)ノ～さん sage ： 2007/10/23(火) 12:33 ID:QJG37iTK0: ついさっき某職スレ外部板に張られていたもの。
httpを含む文字列を禁止してるようだから被害はない、はず。

>216 名前：ヒール回復774さん Mail：投稿日：2007/10/23(火) 12:21:15 [ Mi9dIaHk ]
>リネージュサマーBIG宝くじ
>applineage■blog123■fc2■com/

→www■nlftweb■com/lineage/
　→www■rmtfane■com/lineage/jpmm■exe

ここまで確認。
>782の結果と同じなのかな？
784 ：(^ー^*)ノ～さん sage ： 2007/10/24(水) 09:29 ID:iAdbwIwq0: FFの板で同じの見た。構造も >>782 と同じでPacker未使用だけど
こちらはリネージュ2用みたい。ま、検知できるかと。
785 ：(^ー^*)ノ～さん sage ： 2007/10/24(水) 16:28 ID:jp2rjb8b0: 【　　アドレス　】　http://www■extd-web■com/wiki/
【気付いた日時】　本日16時前頃
【　　　 OS　　】　WindowsXP SP2
【使用ブラウザ】　Seipnir2.5.17　IE
【WindowsUpdateの有無】　1週間ほど前
【　アンチウイルスソフト】　NortonInternetSecurity2006 3ヶ月試用版　(1月ほど前に更新切れ)
【その他のSecurty対策】　特に無し
【ウイルススキャン結果】　現在スキャン中
【スレログやテンプレを読んだか】Yes
【hosts変更】　無
【PeerGuardian2導入】　無
【説明】
とりあえずガンホーのパスとアカウントのPassを変えてきました
ダメもとで期限切れのノートン先生でスキャンしてますがやっぱり見つかってない様子です

>>766,767で出ていますがどうすればいいでしょうか
786 ：(^ー^*)ノ～さん sage ： 2007/10/24(水) 16:53 ID:Nn2zTPbC0: >785
色々突っ込みたい点があるが、
>とりあえずガンホーのパスとアカウントのPassを変えてきました

これは安全な別PCで変えたんだよな？
もしそのPCで変えたなら自爆した事になって、最悪現在進行形で
ハクられてアイテム強奪されてる最中、って事にもなる。

テンプレ・過去スレ読んだのなら何をすればいいかは判ると思うが
まず安全なPCで再度PASS変更。
次いでカスペのオンラインスキャンも使って再チェック。

それと日進月歩で日々進化してるウィルスに対して、期限切れのアンチ
ウィルスソフトは張子の虎に等しい。
さっさと更新するなり、別のものに乗り換えるなりすべし。
787 ：(^ー^*)ノ～さん sage ： 2007/10/24(水) 17:05 ID:jp2rjb8b0: >>787
>これは安全な別PCで変えたんだよな？
はい、2PC側でアドレスを踏んでしまったので本PCで変えました

とりあえずこれから抜いていたLAN繋いでオンラインスキャンやりたいと思います

セキュリティソフトは今手元にフレッツウィルスクリアがあるのでそちらを使いたいと
788 ：(^ー^*)ノ～さん sage ： 2007/10/24(水) 20:59 ID:s0xvMLaJ0: >>787
>フレッツウィルスクリア
これって、トレンドマイクロのOEM、つまり中身はほぼバスター君なんだよね。
なんというか微妙。
ttp://www.ntt-east.co.jp/release/0702/070226d_1.html
789 ：(^ー^*)ノ～さん sage ： 2007/10/24(水) 22:29 ID:rjJ1+s0c0: >>785
>どうすればいいでしょうか

・よくわからない
・ブロックできなかった可能性がある

→ＯＳ入れなおしコース

・ブロックに成功した（今回はあてはまらない）
・置かれているものが検出可能なソフトで出てこないため、入手前に切断が間に合った
　可能性が高いと判断でき、自己責任の意味がわかっている
・別のセキュリティソフトで見付けて除去できた

→自己責任でそのまま使う
790 ：785 sage ： 2007/10/24(水) 22:37 ID:jp2rjb8b0: オンラインスキャンしてみたのですがウィルスの類は検出されませんでした
ついでにウィルスクリア(バスター君)でスキャンもしてみたのですが検出されませんでした

やはりテンプレ通り信用せずにリカバリした方がいいんですかね・・・？
791 ：(^ー^*)ノ～さん sage ： 2007/10/24(水) 22:44 ID:rjJ1+s0c0: >>785
確認してみたが、下記のファイル（Maran亜種）を入手させようとする模様。

http://www■blog-ekndesign■com/wiki/see.exe

Win32/PSW.Maranの亜種

Kaspersky 7.0.0.125 2007.10.24 Trojan-PSW.Win32.Maran.gen
McAfee 5147 2007.10.23 Generic PWS.b
NOD32v2 2613 2007.10.24 a variant of Win32/PSW.Maran
Symantec 10 2007.10.24 Infostealer
VirusBuster 4.3.26:9 2007.10.23 Trojan.PWS.Maran.HC

VirusTotalですり抜けた会社は「FileAdvisor」「F-Prot」の２社のみ。
踏んだアドレスのindex.htmはそれなりに検出率悪いけどね。

ノートンで検出可能な奴ではあるが、パターン１ヶ月更新してないのなら
すり抜ける可能性は否定できない。

踏んだアドレスのindex.htmに"556-65A3-11D0-983A-00C04FC29E36"という文字列があるので
レジストリにその文字列が存在しないかどうか確認することで、発動させてないかどうかを
確認できるかもしれない。

確認時点と踏んだ時点（１週間も差があるし）で同じものが置かれている保証もないし、
やっぱりＯＳ再インストールコースがお勧めですね。
792 ：785 sage ： 2007/10/24(水) 23:23 ID:jp2rjb8b0: >>791
1週間前なのはWindowsUpdateなのですが('ω｀;
確認時点は踏んでから1分弱ぐらいしてでした

それとまだにわかなのでレジストリの見方がわからないんです(´･ω･`)
793 ：785 sage ： 2007/10/25(木) 00:54 ID:C3Uv2hBt0: 連投すみません

レジストリ見てみたら"556-65A3-11D0-983A-00C04FC29E36"という所はありましたorz
ということはやはり起動してるということなんですよねorz

リカバリしてみます(´･ω･`)
794 ：(^ー^*)ノ～さん sage ： 2007/10/25(木) 06:48 ID:MD3ws/Vd0: >>793
あー、うちもあったので、もしかすると、それは正常な奴かもしれん。ま、いいや。（ひどっ）
正常なレジストリと同じ番号に、書き込もうとするのかもな。

（前に１回maran.ff発動させ、PG2にブロックされた時の残骸が残ってたのかもしれないけど）
795 ：(^ー^*)ノ～さん sage ： 2007/10/25(木) 07:50 ID:jX/iPGGc0: >>793-794
該当GUID配下のポインタ先、msadco.dllになっていたので、Microsoft Data Access Components (MDAC)のCLSIDと思われ。
このCLSID自体が存在するのは正常で、MS06-014の脆弱性を狙う為に、そのGUIDが指定されていただけではないかと。
796 ：(^ー^*)ノ～さん sage ： 2007/10/26(金) 11:40 ID:ez699QA/0: 最近、一部の掲示板にせっせと書きこまれているもの。

http://www.playonlanei■com/game
-> http://www.playonlanei■com/game/f1.exe

http://www.rmtfcne■com/f11
-> http://www.playonlanei■com/f11/f2.exe

IPアドレスは共に 61.139.126■47 でした。
手元の環境では Symantecがスルー、Kaspersky(AVS)が捕捉。

JavaScrpitから VBScriptを呼び出し Adodb.Stream使って
ダウンロードさせようとする昔流行ったやつです。
797 ：(^ー^*)ノ～さん sage ： 2007/10/26(金) 12:23 ID:De2uhy520: 某職外部板で発見

221 名前：ヒール回復774さん Mail：投稿日：2007/10/26(金) 11:24:24 [ RanTuTko ]
或鯖をうろつく「ネタＤＥ」の
lineageinfo■blog123■fc2■com

-> www■fc2weday■com/lineage
---> www■rmtfane■com/lineage/jpmm■exe

多分>782-784と同じもの。
798 ：(^ー^*)ノ～さん sage ： 2007/10/26(金) 13:34 ID:OIJaFPoe0: >>796
APNIC Whois Databaseで調べるとChina Telecomなので中国のようですね

inetnum: 61.139.0.0 - 61.139.127.255
netname: CHINANET-SC
descr: CHINANET Sichuan province network
descr: Data Communication Division
descr: China Telecom
country: CN
admin-c: CH93-AP
tech-c: XS16-AP
mnt-by: MAINT-CHINANET
mnt-lower: MAINT-CHINANET-SC
status: ALLOCATED NON-PORTABLE
changed: hostmaster@ns.chinanet.cn.net 20000601
changed: hm-changed@apnic.net 20040927
changed: hm-changed@apnic.net 20041126
source: APNIC
799 ：(^ー^*)ノ～さん sage ： 2007/10/26(金) 14:28 ID:TgZUPltP0: 報告ならび検体射出おつかれさまです。
いつものまとめサイト用のhost追加分です。
突っ込みあればまたよろしくお願いします。

127.0.0.1 www■xmdir■com
127.0.0.1 xmdir■com
127.0.0.1 oblivion■playersvillage■com
127.0.0.1 www■puksins■com
127.0.0.1 puksins■com
127.0.0.1 www■8568985■com
127.0.0.1 8568985■com
127.0.0.1 applineage■blog123■fc2■com
127.0.0.1 www■playonlanei■com
127.0.0.1 www■rmtfcne■com
127.0.0.1 playonlanei■com
127.0.0.1 rmtfcne■com
127.0.0.1 lineageinfo■blog123■fc2■com
127.0.0.1 61■139■126■47

>>797氏のrmtfaneは既出ですが、
>>796氏のrmtfcneの後に見ると一文字違いで色々やってるなーとか…
でもrmtって時点でOUTなんですけどね。
800 ：(^ー^*)ノ～さん sage ： 2007/10/26(金) 17:03 ID:aEaW9Zpc0: ＞799

hosts追加分のapplineageのFC2ブログ凍結確認、ゴルァ入ったと思われ。
801 ：(^ー^*)ノ～さん sage ： 2007/10/26(金) 21:00 ID:YNs95Imm0: >>796
シマンテック以外の有名所は全部捕獲してましたね。
シマンテックと、index.htmを検出できなかったとこに検体送付しました。
802 ：(^ー^*)ノ～さん sage ： 2007/10/27(土) 20:42 ID:FK6srLnL0: 検出できなくて正直スマンテック
803 ：(^ー^*)ノ～さん ： 2007/10/28(日) 23:39 ID:2YciBbpg0: こういうの初めてです。アカハックなのかどうか正直わかりませんがかきこませていただきます。
【　　アドレス　】　【気付いた日時】　本日23時
【　　　 OS　　】　WindowsXP SP2
【使用ブラウザ】　FIREFOX
【WindowsUpdateの有無】　不明、自動更新
【　アンチウイルスソフト】　ＡＶＡＳＴ
【その他のSecurty対策】　spybot　adware　ルーター有
【ウイルススキャン結果】　現在スキャン中
【スレログやテンプレを読んだか】Yes
【hosts変更】　不明
【PeerGuardian2導入】　不明
【説明】
外部リンクになっており、いくとなかなか表示されなくてすぐけした。
するとメッセなどがでるモニターの右下のところに英語の文章がでてきて、
キャンセルをクリックすると再びさきほどのHPを表示しようとした模様。
HPがでるまえに消したものの訳がわからずにここに書き込みさしていただきました。
804 ：(^ー^*)ノ～さん ： 2007/10/28(日) 23:44 ID:2YciBbpg0: こういうの初めてです。アカハックなのかどうか正直わかりませんがかきこませていただきます。
【　　アドレス　】　http://quest■rowiki■jp/
【気付いた日時】　本日23時
【　　　 OS　　】　WindowsXP SP2
【使用ブラウザ】　FIREFOX
【WindowsUpdateの有無】　不明、自動更新
【　アンチウイルスソフト】　ＡＶＡＳＴ
【その他のSecurty対策】　spybot　adware　ルーター有
【ウイルススキャン結果】　現在スキャン中
【スレログやテンプレを読んだか】Yes
【hosts変更】　不明
【PeerGuardian2導入】　不明
【説明】
外部リンクになっており、いくとなかなか表示されなくてすぐけした。
するとメッセなどがでるモニターの右下のところに英語の文章がでてきて、
キャンセルをクリックすると再びさきほどのHPを表示しようとした模様。
HPがでるまえに消したものの訳がわからずにここに書き込みさしていただきました。

どうでしょうか？大丈夫なのでしょうか。
805 ：(^ー^*)ノ～さん sage ： 2007/10/28(日) 23:56 ID:dLTqjRk/0: >負荷分散のためメインサイトのトップページへのアクセスに限り、タイミングによってミラーサイトの紹介を出しています。

トップのことを言っているのか書き込まれたリンクを踏んだのか？？？なんだが
806 ：(^ー^*)ノ～さん sage ： 2007/10/29(月) 04:27 ID:abropUFW0: 英語の文章をここにかいてほしい
右下はタスクバーであって駐在ソフトの表示だから
ALT+CTRL+Delでタスクマネージャを動かして
何のアプリが起動しているのかを確認
807 ：(^ー^*)ノ～さん ： 2007/10/29(月) 09:26 ID:ICXygSSC0: ＞806
返事ありがとうございます。

英語の文章はキャンセル押したときに消えてしまい何がかいてあったかはわかりません。
1・2行の文ではなく4・5行ありました。
タスクマネージャーもきがまわらずみてません。現状ではこれといって動いてるアプリはありません。
Avastのスキャンではウィルスは発見されませんでした。
808 ：(^ー^*)ノ～さん sage ： 2007/10/29(月) 10:46 ID:74dWAzTI0: >>800氏
先のアドレスは凍結されたそうで、ご報告ありがとうございます。
少しでも危険が減ってよかったです。
hostファイルに残しておいても現状問題ないかと思われますので
記述はそのままでも大丈夫かな…と。

>>804
ROクエスト案内所のURLエンコードされていないアドレスを入力すると
"ミラーサイトのご案内"のページが時々表示されるようです。
本来のトップページ(メインとミラーに)その旨が書いてあります。
一応、クエスト案内所は管理者のほうで改竄されないようにしているとの事。

Avastが反応したのであれば
その時間帯に何に反応したかのログが残っている筈なので確認を。
spybotや他の常駐が反応したのであればそちらも併せて。
809 ：(^ー^*)ノ～さん sage ： 2007/10/29(月) 11:04 ID:x8TvKtTQ0: クエスト案内所のトップ（quest.rowiki.jp/）にアクセスしたときに出る
ミラー紹介部分は「wikiによるページではない」ので、wiki改竄問題は
少なくともありえない。
810 ：(^ー^*)ノ～さん sage ： 2007/10/29(月) 16:30 ID:KQiMtwSM0: http://quest■rowiki■jp/　を踏むだけならなんともない
右下で何か動いたというのなら別のアプリケーションが原因
というより、わざわざ右下で親切に教えてくれる垢ハックウイルスなどはない
感染させたことをバレないようにしないといけないから

たしか23時ぐらいならクエストwikiはビジーで表示されにくかっただけのはず
811 ：(^ー^*)ノ～さん sage ： 2007/10/29(月) 16:45 ID:XH+vM2Ci0: デマウィルスの流れだな
812 ：(^ー^*)ノ～さん sage ： 2007/10/29(月) 17:06 ID:by+aiWZw0: レン鯖のメンテのタイミングだったとかかね？
ttp://www.inetd.co.jp/
813 ：(^ー^*)ノ～さん sage ： 2007/10/29(月) 17:12 ID:x8TvKtTQ0: あーもしかして、iframe内のamazon広告のことか？

iframe内だけ、セキュリティソフトの広告ブロック機能で表示がブロックされたとか
或いは、amazon側が重くてiframe内だけタイムアウトして表示されなかったとか。
814 ：804 ： 2007/10/29(月) 23:46 ID:ICXygSSC0: みなさまご返答ありがとうございます。
Avast、Adaware、Spybot＆Searchではとりあえずあやしいものは発見されませんでした。
一応リカバリーせずにおいて、もし何かあったらここに内容をしっかりかいてROは引退しようとおもいます。
答えていただいたみなさまありがとうございます。
815 ：(^ー^*)ノ～さん sage ： 2007/10/29(月) 23:48 ID:nHDZsPad0: しとけばいいのに…、OS入れ替えなんてそこまで手のかかるような物かな
816 ：(^ー^*)ノ～さん sage ： 2007/10/30(火) 00:00 ID:7f+uc0MQ0: セキュリティソフトいれたりWUしないといけないからな
メーカー製のPCだとWU適用のリカバリCD作れない事もあるだろうし
817 ：(^ー^*)ノ～さん sage ： 2007/10/30(火) 03:07 ID:M4y909Vz0: HDDイメージ作成ソフトとか、便利なものもあるから何らかの手段を講じた方が、万が一の時に楽にはなるけど。
ウィルス感染以外にも、停電とか経年劣化によるクラッシュだってあるし、場合によってはユーザーデータ類まで巻き込まれるのだから。
起動不能に陥ってから、中のデータを今さらのように心配する人が何気に多い。
818 ：796 sage ： 2007/10/30(火) 22:48 ID:L9j6MZpQ0: 検体採集先で捕獲漏れ見つけたので追加報告します。

http://www.webmastei■com/weeb/
-> http://www.playonlanei■com/weeb/f3.exe

IPアドレスも手口も同一。
Symantecがスルー、Kaspersky(AVS)が捕捉なのも一緒。
f?.exeシリーズのドメインの先は同一とみられ、相互に置き換え可能です。
819 ：(^ー^*)ノ～さん sage ： 2007/10/30(火) 23:14 ID:IOb7Iskj0: >>818
就寝前の検体提出いってきまー(^^)ﾉｼ

NOD32
index.htm - JS/TrojanDownloader.Small.DW
f3.exe - Win32/PSW.OnLineGames.FCJ

Kaspersky
index.htm - Trojan-Downloader.JS.Agent.dj
f3.exe - Trojan-PSW.Win32.OnLineGames.fcj

McAfee
index.htm - (Not Detected)
f3.exe - PWS-FFantasy

Symantec
index.htm - (Not Detected)
f3.exe - (Not Detected)

VirusBuster
index.htm - JS.Psyme.DH
f3.exe - Packed/Upack

Avast
index.htm - (Not Detected)
f3.exe - Win32:Agent-IOV
820 ：(^ー^*)ノ～さん sage ： 2007/10/31(水) 09:00 ID:GogxnCkB0: >VirusBuster
これ日本で使ってる人いるの?
821 ：(^ー^*)ノ～さん sage ： 2007/10/31(水) 09:33 ID:ntLmyqA10: >>820
お前は何を言ってるんだ
822 ：(^ー^*)ノ～さん sage ： 2007/10/31(水) 09:46 ID:8mRHA5Ws0: VirusBusterとはこれのこと。
ttp://www.virusbuster.hu/
823 ：(^ー^*)ノ～さん sage ： 2007/10/31(水) 13:11 ID:M9xGrbn60: 海外プレイヤーでそれ使ってる人が被害にあう可能性もあるわけだし
検体提出して悪いってことはなくね？
824 ：(^ー^*)ノ～さん sage ： 2007/10/31(水) 21:51 ID:GogxnCkB0: 悪くはないけど、AntiVirやBirDefenderやDr.WEBのほうがまだ利用者多いと思うよ。
ウイルスバスターは海外ではPC-cillin。
ぶっちゃけハンガリーのVirusBusterと勘違いしたんでしょ?
バスターの検知の有無は
ttp://scanner.virus.org/
でどうぞ。ただここSymantecやKasperskyが無いので
VirusTotalやJotti併用したほうがいいかもね。
825 ：(^ー^*)ノ～さん sage ： 2007/11/01(木) 07:50 ID:eSIcsqL40: www■mbspro6uic■com/yutangff/ffzuotu.jpg
Content-Typeがimage/jpegなのでFirefox3では表示されない。
実際はiframe入りのHTMLで、Content-TypeをシカトするIE7では表示。
www■mbspro6uic■com/yutangff/ffyu.htm
US-ASCII(7bit)に128を加えて8bit化したもの。Firefox3では(略)IE7では(略)。
www■mbspro6uic■com/yutangff/naiff1.exe
FFのトロイ。

昔はほとんど無かったのに、今はFF多いなぁ。
826 ：(^ー^*)ノ～さん sage ： 2007/11/01(木) 17:46 ID:eSIcsqL40: www■blogplaync■com/chengzhi.exe
以下の3匹をダウンロードして実行するダウンローダ。
www■twsunkom■com/1t1.exe
www■twsunkom■com/2ff11.exe
www■twsunkom■com/3ro.exe
名前のとおり上からリネージュ、FFXI、ROのトロイかと。
twsunkomとはちょっと懐かしいドメインだｗ

あと 218■75■145■123:3000/tianyh/6b/nj/qq.exe
も実行? QQ(中国のメッセンジャ)用トロイなのか
単なるQQクライアントなのかは不明。
827 ：(^ー^*)ノ～さん sage ： 2007/11/01(木) 17:53 ID:Z3gji2PP0: 検出率最低で正直スマンテック
828 ：(^ー^*)ノ～さん sage ： 2007/11/02(金) 18:04 ID:ZBD6V00L0: 福建人の罠ドメインを発見、既に攻撃に使われている。
www■homepagenir■com/linef1

最近のお約束でIPは四川、登録住所は福建竜岩。
Registrant Contact:
guo yong dan
yong dan guo guoyongdan@126.com
0597-28825252 fax: 138069999933
Fujian longyan
longyan Fujian 364000
cn
829 ：(^ー^*)ノ～さん sage ： 2007/11/03(土) 08:49 ID:izrdVh8V0: 垢ハック露店から闇ポタを利用して
蛾に羽を5Ｍで売りつけた人
http://necr2.exblog.jp/6750183/#6750183_1
830 ：(^ー^*)ノ～さん sage ： 2007/11/03(土) 10:18 ID:UKcCfp6K0: >>829
>被害や攻撃等のアカウントハックの具体的事例に関して扱います。
Urdrのノーマナープレイ情報はスレ違いです。

>対策・相談・雑談は>>2に有る雑談スレを利用して下さい。
セキュスレ（雑談スレ）をご利用下さい。
831 ：(^ー^*)ノ～さん sage ： 2007/11/03(土) 12:30 ID:3h+C6Gc/0: >>828
www■playonlanei■com/linef1/f4.exe

あと >>826 と同じ方式のもの。
www■gtvxi■com/xia.exe
から
www■gtvxi■com/fnai.exe
www■gtvxi■com/tnai.exe
www■gtvxi■com/rnai.exe
順にFF11、リネージュ、ROのトロイ。
832 ：(^ー^*)ノ～さん sage ： 2007/11/03(土) 13:29 ID:UKcCfp6K0: >>831
Eset SmartSecurtyβ(NOD32)
index.htm - JS/TrojanDownloader.Small.DW トロイの木馬
f4.exe - Win32/PSW.OnLineGames.FCJ トロイの木馬

rnai.exe - Win32/PSW.Maran.FF トロイの木馬
fnai.exe - Win32/PSW.OnLineGames.FCJ トロイの木馬
xia.exe - Win32/TrojanDownloader.Delf.NJHの亜種トロイの木馬
tnai.exe - Win32/PSW.OnLineGames.NFFの亜種トロイの木馬

一応、全機撃墜を確認。
833 ：(^ー^*)ノ～さん sage ： 2007/11/03(土) 15:01 ID:s5/2Iweo0: >829 飛ばされたアカハック露店本人か？　蝶と蛾の区別もつかないのか？
834 ：(^ー^*)ノ～さん sage ： 2007/11/03(土) 15:23 ID:3h+C6Gc/0: 狙ってるのか土日は増えるね…。
835 ：(^ー^*)ノ～さん sage ： 2007/11/03(土) 18:25 ID:8qEZcXIu0: とりあえず削除要請じゃないか？829って、あとアンカー付けると視界にはいっちまうぜ？
836 ：(^ー^*)ノ～さん sage ： 2007/11/03(土) 22:06 ID:5hKX/SkE0: 安く売る装備を通報しようと思うんだが、
サポセンの迷惑・不正行為ってところでいいの？
837 ：(^ー^*)ノ～さん sage ： 2007/11/03(土) 22:07 ID:UKcCfp6K0: 報告は書式にしないと、まとめる人が探しにくいかな？
■で検索して済ませるから大丈夫？

http://gtvxi■com/vistamixi/

落とすものは>>831と同じく
http://www■gtvxi■com/xia.exe
<以下略>
838 ：(^ー^*)ノ～さん sage ： 2007/11/03(土) 22:22 ID:UKcCfp6K0: 追記：

www■gtvxi■com/xia.exe
は、>>826に既出の、
218■75■145■123:3000/tianyh/6b/nj/qq.exe
も入手しようとするようだが、サイトに接続できず、本体入手できてません。
839 ：(^ー^*)ノ～さん sage ： 2007/11/04(日) 09:27 ID:kpD8zXmW0: Wiki改竄パトロール中に福建人の罠ドメインを発見。

www■netbenrit■com/8598647
呼び出すもの
www■playonlanei■com/8598647/f5■exe

ちなみに一文字少ないnetbenri.comは存在する、XREAサービス使った日本語のサイトだ。
明らかに錯誤を狙ってるね、そして対日攻撃が主目的ドメインだともいえる。

Registrant Contact:
guo yong dan
yong dan guo guoyongdan@126.com
0597-28825252 fax: 138069999933
Fujian longyan
longyan Fujian 364000
cn

Created: 2007-10-14
840 ：(^ー^*)ノ～さん sage ： 2007/11/04(日) 10:59 ID:K8m143QL0: f1.exeから続いてるFF用だね(f3だけ入手してない)。
841 ：(^ー^*)ノ～さん sage ： 2007/11/04(日) 11:35 ID:eMdq+CYr0: ff5.exe

Avast 4.7.1074.0 2007.11.03 Win32:Agent-IOV
AVG 7.5.0.503 2007.11.03 PSW.Generic5.RYR
Kaspersky 7.0.0.125 2007.11.04 Trojan-PSW.Win32.OnLineGames.fcj
McAfee 5155 2007.11.02 PWS-FFantasy
NOD32v2 2636 2007.11.03 Win32/PSW.OnLineGames.FCJ
Symantec 10 2007.11.04 -

検体提出済みのff4.exeと同じもののようなので、検体提出はパス。
ほっといても対応されるでしょう。多分。
842 ：(^ー^*)ノ～さん sage ： 2007/11/04(日) 21:07 ID:YCeQ4uWV0: >>798以降の報告分のhostです。以下追加分。

127.0.0.1 www■webmastei■com
127.0.0.1 webmastei■com
127.0.0.1 www■homepagenir■com
127.0.0.1 homepagenir■com
127.0.0.1 www■netbenrit■com
127.0.0.1 netbenrit■com

抜きが無いかチェックしてありますがチェックが手作業ゆえあったら平謝り。
なのでBS-Wikiさんの物と比較したほうがよいかもしれません。
後はぶっちゃけ踏まない用心を怠らない事かも。

07/11/04現在、まとめサイトにUPされている07/08/22分以降に発生した物は
次の所に書き込みしてあります。
>>798 >>758 >704 >>659-661 >>389-390
843 ：(^ー^*)ノ～さん sage ： 2007/11/04(日) 21:08 ID:YCeQ4uWV0: >>837
先頃からまとめサイトの中の人では無い纏めている人ですが
今まで通りに罠とか発見とか書いてあればチェック、URLがあればhostファイル内を単語で検索しています。
http:// 部分を抜きにしたアドレスで.のみを■に変換して記述していただければ
検体提出な方々共々正確なアドレスが把握できるので助かります。

ふと、>>838の報告でありました218■75■145■123:3000。
hostに加える際 :3000の部分まで記述すればいいのか判らなくて
IPアドレスのその箇所の名称や記述についてを調べてみましたが内容を把握できませんでした。
よろしければ先輩諸氏にご教授願いたく…。
844 ：(^ー^*)ノ～さん sage ： 2007/11/04(日) 21:59 ID:eMdq+CYr0: >>843
ポート番号はさっくり切ってOK
845 ：(^ー^*)ノ～さん sage ： 2007/11/05(月) 05:57 ID:YJ9v682K0: ttp://cgupload.dyndns.org:8080/~upuser/up/img/1193714265196.jpg
このurlがjpg偽造垢ハクurlといわれたのですが本当にそうなのでしょうか？
見たところROうｐ板のような気もするのですが・・・
846 ：(^ー^*)ノ～さん sage ： 2007/11/05(月) 05:58 ID:Bw5HgT++0: まずそういう鑑定スレではないし､そこ自体がここのガイドライン違反にあたるリンクであるし､
更にそこの板は直リンも不可。
847 ：(^ー^*)ノ～さん sage ： 2007/11/05(月) 06:57 ID:REPpmtPc0: これが垢ハックurlだった場合、このアドレスを張ったお前が感染を助長しているわけなんだが
848 ：(^ー^*)ノ～さん sage ： 2007/11/05(月) 17:59 ID:FAxxKqkp0: >>844
なるほど、ポート番号だったんですね。ありがとうございます。
さっそく一軒だけですが。

127.0.0.1 218■75■145■123

以下過去追加分 >>842 >>798 >>758 >>704 >>659-661 >>389-390
849 ：(^ー^*)ノ～さん sage ： 2007/11/06(火) 14:06 ID:J9oIcyiA0: ちょっと教えていただきたいのですが、
普段ウィルスバスターを入れていて、今日手動検索をしてみたら、
ファイル（TemporaryInternetFileというフォルダにあった）の一つが、
Packersとかいうウィルスに感染していたようで、隔離されました。
（安全ですとは書いてありました）

調べてはみたのですが、このウィルスがなんだかよくわからなくて・・・。
これはアカハックウィルスかどうかわかるものでしょうか？もしくはどうやったら
調べられるのでしょうか？
また、いつかかったのかわからないので、一応パスワードとかを変えようかと思うのですが、
隔離してあって安全ですと出ているので、このPCでパスを変えても大丈夫なものでしょうか？
850 ：(^ー^*)ノ～さん sage ： 2007/11/06(火) 14:21 ID:/syaR/QE0: >>849

>>1
>重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
>対策・相談・雑談は>>2に有る雑談スレを利用して下さい。

セキュリティ対策、質問・雑談スレ3
http://enif.mmobbs.com/test/read.cgi/livero/1186660300/

ウィルス名でググるなどの方法をお勧めする。あとはセキュスレで改めて聞いてくれ。
851 ：(^ー^*)ノ～さん sage ： 2007/11/06(火) 14:40 ID:J9oIcyiA0: >>850
誘導ありがとうございます。そちらで聞いてみます。
852 ：(^ー^*)ノ～さん sage ： 2007/11/07(水) 15:32 ID:HnBdClJr0: JBBSもどき。
http://www.jbbslivedoor■com/ (61.139.126■16)

http://www.jbbslivedoor■com/mmghaoyk/ (Microsoft.XMLHTTP)
-> http://www.jbbslivedoor■com/mmghaoyk/haoyk.htm
　super IE 0Day難読化 (US-ASCIIのあれ)
-> http://www.jbbslivedoor■com/mmghaoyk/haoyk.cur
　アニメーションカーソル脆弱性

古典的な手法で、symantecでも検知できました。

おまけ。
先月末にばらまかれてたけれど、今日現在ドメインの登録がないもの。
http://www.irisdtijp■com/playonline/
853 ：(^ー^*)ノ～さん sage ： 2007/11/07(水) 18:40 ID:D+Y1MI4b0: できればドットは全部を置換して欲しい。

.comとか.netとか勝手に補完してくれる余計なお世話機能が世の中には
ありまして・・・
854 ：(^ー^*)ノ～さん sage ： 2007/11/07(水) 18:50 ID:gdi6/cNV0: 余計なお世話機能切ればいいんじゃね?
855 ：(^ー^*)ノ～さん sage ： 2007/11/07(水) 20:47 ID:Yv49dW//0: 著中までアドレスなってると確かにちょっとビックリするけどなｗ
wwwのあとの.を■にすればおkかな？
856 ：(^ー^*)ノ～さん sage ： 2007/11/07(水) 20:48 ID:Yv49dW//0: 途中でした。まぁ一つ一つの危険性をキッチリ潰していこう。
857 ：(^ー^*)ノ～さん sage ： 2007/11/08(木) 10:24 ID:nMAKKzHL0: >>853
そんな機能あるわけがない
全部■になっていないのが気に入らないからって、妄想持ち出してんじゃねーよ
858 ：(^ー^*)ノ～さん sage ： 2007/11/08(木) 11:43 ID:Afkuxqb+0: >>857
火狐にはそういった補完をするようなプラグインがあるという話しが以前出ている。
そもそも、そういう機能の有無以前の問題として
可能な限りリスクを軽減する行為として行っているわけで
自分は無関係だ安全だ、などと言うような身勝手な理由は通用しない。
だから、一部ではなく*全て*を置きかえるべきだと言われている。
859 ：(^ー^*)ノ～さん sage ： 2007/11/08(木) 11:53 ID:x9fKNE3x0: 何か数スレ前にも同じやりとり見たな。

見た目もややこしいし、ブラウザやらで勝手に補完されても困る。
置換無しの生は論外だが、一部の置換も全部の置換も、そう手間も変わらない。

報告のURLで事故が発生したら元も子もない。
だから危険を避けるためにも報告する人は全部「.」は「■」に置き換えるように心がける。

しかし報告する人が善意で報告・変換してるんだから、一部しか置換されてなくても
文句は言わない。
全置換を心がけてもらうように「お願い」するのはいいが「文句」「強制」はよろしくない。

前のときもこんな感じで話は終わってるので、ループネタでスレ流すのはやめよう。
860 ：(^ー^*)ノ～さん sage ： 2007/11/08(木) 11:56 ID:RAHr6xQ80: できれば置換して欲しいと言ってるだけなのに、気に入らないだの妄想だの
噛み付いてる方がどうかしてる。
861 ：(^ー^*)ノ～さん sage ： 2007/11/08(木) 12:22 ID:FDBBZY7B0: >>857-861
>>856,>>859が結論かと。
862 ：(^ー^*)ノ～さん sage ： 2007/11/08(木) 15:12 ID:W9m3bsUc0: 昔はテンプレに火狐の補完機能があるから全部■に置き換えようって書いてなかったっけ。
気のせいだったかな。
863 ：(^ー^*)ノ～さん sage ： 2007/11/08(木) 16:02 ID:qASu7sj60: FirefoxのURI補完(キーボードショートカット)
ttp://www.mozilla-japan.org/support/firefox/2.0/references/keyboard

about:configで、www prefix/TLD suffixの自動補完を停止する方法
http://nhh.mo-blog.jp/ttt/2006/10/firefox__bf2b.html
>「browser.fixup.alternate.enabled」をfalse
864 ：(^ー^*)ノ～さん sage ： 2007/11/08(木) 20:20 ID:iEFexKRA0: 頻繁に追加です。

127.0.0.1 www■jbbslivedoor■com
127.0.0.1 jbbslivedoor■com
127.0.0.1 61■139■126■16

過去報告分は
>>842 >>798 >>758 >>704 >>659-661 >>389-390
以上を、まとめサイトの07/08/22分hostファイルの後ろに
追加、■を変換して使用してください。
ROアカウントハック対策スレ http://sky.geocities.jp/vs_ro_hack

ちょっと落ち着いているようにも見えますが
単に過去報告罠でも十分という事で手を打ってこないのか不気味ではあります。

>>856 >>859 >>863
フォローおつかれさまです。
ギコナビみたいな機能がFireFoxにもあるのですね。
便利ではあるのですが罠だと思うと確かにドッキリしてしまう所。

早い話ですが次スレに行ったら、
ここで報告した分が埋もれてしまいそうな予感。
まとめサイトの人のように、その場つなぎでもどっか借りてUPするほうが
スレが流れなくなるのでよいのかも？
次スレの最初のほうに纏めて記述するという手もありますけども…。
865 ：(^ー^*)ノ～さん sage ： 2007/11/08(木) 20:51 ID:x9fKNE3x0: >864
ついでに言えば、テンプレ整備もそろそろいないといけないわけで。
(セキュスレ側もそうだが、毎回ズルズルと未整理のまま次スレに進んでる)

追加分をどうするかも含めて、セキュスレの方で話し合った方がいいと思う。
こっちで話すると必要情報が埋もれるだろうしね。
866 ：(^ー^*)ノ～さん sage ： 2007/11/08(木) 21:47 ID:FDBBZY7B0: >>864
セキュスレの現行仮テンプレにあるセキュリティWikiにページ作ったらどうかな。
867 ：(^ー^*)ノ～さん sage ： 2007/11/09(金) 04:40 ID:+1ieR6fu0: ROに既にログインしてて、裏作業中に垢ハックアドレス踏んだんだけど、
そのままRO落としてOS再インストールっていう流れならもうログインしておｋかな？
868 ：(^ー^*)ノ～さん sage ： 2007/11/09(金) 05:14 ID:DFqnEHYT0: たぶんおｋ
869 ：1/3 sage ： 2007/11/09(金) 14:52 ID:YbzDLBd30: エラースレの785です。IDとかが変わっているのは、あの書き込みの直後に寝たからです。
今までの情報とこちらに引っ越してきた経緯は
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1188398830/　の826以降を見てください。
アカハックに合うのは自分の不注意、というのは重々承知しておりますので、
その段階の罵倒は心の中に留めていただけたらと思います。

まず、あちらのスレでは直接必要ではないと思い、出してなかった情報がいくつかあります。
当方、アカハックの被害2回目です。2つのアカウントのうち、最初と今回で
それぞれ1アカずつ装備や金を持っていかれた形になります。
最初のハック被害は9月。この際はここのスレでは書き込んでおりませんが、
「危険だ」と警告されたサイトを閲覧してしまい、そこから感染しました。
ROとは直接は関係の薄いサイトですが、おたく趣味を持っている人なら見る可能性があるところでした。
現在は、そのサイトに対して「警告」表示は出ていないようです。

当方、PCが合計3台あり、ウイルスソフトでのチェックの結果、
そのうちの1台のWIN2Kのマシンに感染していることが判り、avastにて駆除しました。
その後は、avastと、ひとつだけでは発見できない可能性もあるということで
NOD32のふたつを入れ、新規アカなどの、被害にあってもあまり痛くないアカウントで
ログインを試して様子を見るなどしていました。
こういったハッキングの連中は、キャラをまず倉庫に移動するため、
溜まり場などでログアウトしたのに倉庫前にキャラがいる、などという現象で
確認できると理解しています。
本命アカでのログイン等を繰り返してもハックされる様子が無かったので、
駆除できたものと理解して、ここ2-3週間は2kマシンも同時に活用していました。
870 ：2/3 sage ： 2007/11/09(金) 14:53 ID:YbzDLBd30: しかし6日のパッチ以降、2Kのマシンだけログインできなくなってしまいました。
何度試してもダメだったことと、エラースレの住人が貰っているテンプレ回答には
「セキュリティを切ってみろ」とあるので、とりあえずそれを試してみましたが
やはりログインはできませんでした。
この2Kのマシンでは最初のハック以降、ブラウザによるサイトの閲覧はしていなかったのですが、
このセキュリティを切っている間、2箇所だけ閲覧しました。
上記のエラースレの826で書いてあるように、ガンホー公式とUnlockerの検索グーグルと、
そのサイトのみです。
ガンホー公式は、ここは不注意が過ぎましたが、エラーメッセージを送信しろというようなことが
メッセージ自体に書いてあったため、また、そのメッセージが当方には意味不明の
ただの長い英文の羅列にしか見えなかったため、手打ちで再現することは難しく、
サポートセンターからそれを届けるために、ガンホーIDとパスも打ち込みました。
従って、それらも漏れた形になります。

しかし気味が悪いのが、今回セキュリティを切って以降に、一度もキャラパスを打ち込んだことが
ないのに、キャラにまで進入された点です。
（キャラパス入力画面以前にエラーが出てしまっていた）
残りの2台のマシンの感染を疑いましたが、とりあえず、avastでのチェックからは何もでませんでした。
2Kのマシンからは、avastでウイルスが4つ発見されました。
考えられるのは、最初の感染のときに完全に駆除できていなかったが、、ウイルス対策ソフトを
常駐させることによって、その情報が外に漏れるのを防いでいたのかな？と。
871 ：3/3 sage ： 2007/11/09(金) 14:56 ID:YbzDLBd30: 余談ですが、ギルメンと談笑していたその場に、現れるわけのない自分のキャラが出現したときは
さすがにびっくりしましたね。
ここ1週間くらい、私は2PCで同じキャラで間違ってログインしようとしてもキャラが落ちない現象が
おきています。ギルメンは、実際に試してみても、落ちると言っています。
ハックキャラが出現したときに、そのキャラでのログインを試みたのですが、
上記のようにキャラ落としができていなかったか、もしくは
ガンホーIDパスを知られてアカパスを変えられていたか、あるいは単に私の入力ミスだったのかもしれません。
ちょっと冷静さを欠いていた状態だったので、どれの可能性もあるかと思います。

長文失礼いたしました。何かの参考や注意喚起になれば幸いです。
872 ：(^ー^*)ノ～さん sage ： 2007/11/09(金) 15:20 ID:afGLxNHI0: できればどこを踏んで感染したかを書いてほしいな
もちろんドットを■にして
それとできるだけ簡潔に

>>考えられるのは、最初の感染のときに完全に駆除できていなかったが、、ウイルス対策ソフトを
>>常駐させることによって、その情報が外に漏れるのを防いでいたのかな？と。
対策ソフトで情報が出るのを防ぐってことはそのウイルスを感知できてなきゃできない、と思う
avastの警告文無視してたなんて事はないと思うから、おそらく常にだだ漏れ状態
（ウイルスは感染してからセキュリティ入れてもウイルスが見つからなくなるってこともある）

3回目を食らいたくない、と思うなら2kのマシンをフォーマット→再インストールがお勧め
あと、2kで繋がらない理由はここでもわからないと思う
873 ：(^ー^*)ノ～さん sage ： 2007/11/09(金) 15:21 ID:TEwvVln20: ご愁傷様です･･･
前の時に既に抜かれていていいアイテムが増えると判断して泳がされていたか､まだ残ってたかですかね。
今は向こうも続々と新しいものを開発してくる為､全てのセキュリティソフトを入れても発見できるかも怪しく、
正直防ぎきるのは無理みたいな状況ですので､アドレスの確認やPG2などのあらかじめ対策､
及び踏んだら有無いわずフォーマットからOS再インスト以外安心できない状況です。
874 ：(^ー^*)ノ～さん sage ： 2007/11/09(金) 15:40 ID:7kDc7Hei0: >869
エラースレの832です。

・以前被害に合ってる
・今回セキュリティOFFにした時、キャラパスを入力してないのにハク被害にあった
・ウィルス4つ見つかった(これは今回？)
・今回Webサイト等は危険な所は見ていない

恐らくとしか言えないけど、キャラパス含めてPASSは昔に抜かれていて、今まで
泳がされていたんだと思う。
それが今回のタイミングでハク犯が行動に出たので被害に合った。

2kでRO蔵起動不可になってたのは、多分トロイとavastとnProが干渉した結果だろうし
今回のnPro更新によるトラブルが無かったとしても、被害にあってた可能性は
高いんじゃないかな……

いずれにしても、癌に対して報告入れて、癌IDのPASSやらは安全なPCから変更。
2度ある事は3度ある、じゃないが、爆弾抱えたままなのは何かと不味い。
Win2kのPCはOS再インストール、という風にした方がいいと思う。
後hostsの変更やPG2の導入等も併せて、クリーンな環境を作った方がいいと思います。
875 ：896 sage ： 2007/11/09(金) 16:16 ID:YbzDLBd30: 再インストールは必至だなと痛感いたしました。
それをしなかったのが、一番の原因ですね。

www■oekakibbs■com/
最初のハックは、恐らくこのサイトから感染したものと思われます。
今はなんともないと思いますが、グーグルでこのサイトを検索したときに、
検索結果画面に、危険なサイトであるという警告が出ていました。
ROやMMOからは大分遠い気もしますが、被害に遭ったタイミングや
PCのおかしな挙動を考えると、この時にしか心当たりがありません。
876 ：(^ー^*)ノ～さん sage ： 2007/11/09(金) 17:48 ID:9RgyHnTn0: >>870
＞2Kのマシンからは、avastでウイルスが4つ発見されました。
そのウイルス名がログに残ってるだろうから出せと。

>>871
>ここ1週間くらい、私は2PCで同じキャラで間違ってログインしようとしてもキャラが落ちない現象が
2PCなら再現実験できるだろう。片方のＰＣで接続中に、もう１台から同じ垢に繋ごうと
試みることで確認できる。

>ガンホーIDパスを知られてアカパスを変えられていたか、あるいは単に私の入力ミスだったのかもしれません。
この辺はきちんと確認し、「安全な環境」からパスワード変更しておきましょう。
877 ：(^ー^*)ノ～さん sage ： 2007/11/09(金) 18:43 ID:GwOzwIUt0: >>875
www■oekakibbs■com
ではなく
www■game-oekakibbs■com
じゃないかい？ブラウザの履歴を見て要確認の事。
前者は真っ当なサイトだから鯖クラックされて無い限りありえない気が。

色々言いたい事も有るがそれは仰る通り胸に秘め、とりあえずは
テンプレフォーマットで報告してくれい。
878 ：(^ー^*)ノ～さん ： 2007/11/09(金) 21:28 ID:/zpf+JDX0: 1
879 ：(^ー^*)ノ～さん sage ： 2007/11/09(金) 21:46 ID:KhZNDn2I0: 質問してもいいでしょうか？
ぴころだ等に上がってる画像とかにウィルス感染の可能性等はあるのでしょうか？
880 ：(^ー^*)ノ～さん sage ： 2007/11/09(金) 21:48 ID:GwOzwIUt0: >>499
そういうレベルの話は以下のスレで。

セキュリティ対策、質問・雑談スレ3
http://enif.mmobbs.com/test/read.cgi?bbs=livero&key=1186660300
881 ：(^ー^*)ノ～さん sage ： 2007/11/09(金) 21:50 ID:GwOzwIUt0: レス番ミス 879ね。ついでに簡潔に答えるとYes。状況も色々あるので詳細はそっちのスレで。
882 ：(^ー^*)ノ～さん ： 2007/11/10(土) 00:32 ID:3N711PE+0: 869です。以前の書き込み時以降、なぜかこの板への書き込みが
できなくなってしまいました。
「書き込みました」の表示は出るのにそれが反映されません。
友人に代理で書き込みをお願いしたのが今回です。

【　　　気付いた日時　　　　　】2007年9月12日
【不審なアドレスのクリックの有無　】www■oekakibbs■com
【他人にID/Passを教えた事の有無】 (No)
【他人が貴方のPCを使う可能性の有無】 (No)
【　　ツールの使用の有無　　　】 (No)
【　ネットカフェの利用の有無　　　】 (No)
【　　　 OS　　】WIN2K　SP3
【使用ブラウザ】IE7
【WindowsUpdateの有無】無
【　アンチウイルスソフト】無
【その他のSecurty対策】ルータ
【ウイルススキャン結果】avast!!Home4.7でスキャン
Agent-JRH[Trj]、Onlinegames-AR...、Hupigon\DCB[Trj]、Agent-JR...
の4つを検出
883 ：(^ー^*)ノ～さん ： 2007/11/10(土) 00:35 ID:3N711PE+0: 【スレログやテンプレを読んだか】 (Yes)
【hosts変更】(無)
【PeerGuardian2導入】無
884 ：(^ー^*)ノ～さん ： 2007/11/10(土) 00:40 ID:3N711PE+0: 【説明】
最初のアカハックにあった時の状態です。
セキュリティ対策が甘いなんてもんじゃない状態だったのはとりあえず置いといて。
上記サイトにつきましては、私もまっとうなサイトだと思うのですが、
当時グーグルで検索をかけたときに、このような表示がされておりました。
885 ：(^ー^*)ノ～さん ： 2007/11/10(土) 00:50 ID:3N711PE+0: （ぴころだ・ベル鯖の「アカハック対策スレ869」のファイルがこれです）
ギルメンにも確認してもらったところ、グーグル検索で同じ表示が出たそうです。
が、暫くの後、この警告は表示されなくなり、今もされておりません。
上記のサイトを訪れた後、PCの時計がリセットされたりと不審な挙動が見られたことと、
訪問後、1つのアカウントでだけログインしたのですが、そのアカのみ被害に
あっている点から、当時は何か怪しい投稿があったんのではないかと思っています。
886 ：(^ー^*)ノ～さん sage ： 2007/11/10(土) 01:10 ID:OX7KwyqA0: >>884
テンプレに沿って報告して貰ったので色々調べる事が出来ました。
>www■oekakibbs■com
日時がわかったのでその際との掲示板をあさったところ
http://www.oekakibbs.com/normalbbs/request/treebbs.cgi?act=treesel&tree=7877
これ、先日の報告(>>778)と同じパターンやんと気づいたので色々調べたところ
やっぱり危険なサイトだったようで。DomainToolによると

http://whois.domaintools.com/bainmba■com
owner-lname: jaingqen
owner-street: fujian
owner-city: longyan

あーあ。多分クラックされていたんでしょうな。
しっかし>>778のサイトと同じくクラックされていた事に関するアナウンスとか全然
なされてないのな。ダメダメジャン。あまつさえ、管理人でないとはいえ『安全です』って
いう発言。終ってるわ。

あと、
> 【　　　 OS　　】WIN2K　SP3

ありえへん。最新はSP4でしょう？WindowsUpdateやってないっしょ？
今からでも遅くは無い、やっときなさい。そして自動更新設定にでもしときなさい、
自信が無いのなら。
887 ：(^ー^*)ノ～さん sage ： 2007/11/10(土) 01:16 ID:OX7KwyqA0: ごめ、そのサイトの掲示板のその問題に関する該当スレを全部挙げてなかった。
http://www.oekakibbs.com/normalbbs/request/treebbs.cgi?act=treesel&tree=7855
http://www.oekakibbs.com/normalbbs/discussion/normalbbs.cgi?mode=allarticle&tree=9912&page=1
888 ：(^ー^*)ノ～さん sage ： 2007/11/10(土) 03:17 ID:q59zotBy0: 実際に被害者出たし安全じゃないって突っ込みいれる方がいいんだろうかね？
結構見た事あるリンクだし、密かに喰らっている人とか多いかもしれんな。
889 ：(^ー^*)ノ～さん sage ： 2007/11/10(土) 10:36 ID:AO3ABq2i0: よくみる掲示板アドレスだと思ってた…
同じように泳がされてる潜在的被害者がもしかしてまだまだいたりするのか
これ以上もう被害者出て欲しくない……
890 ：(^ー^*)ノ～さん sage ： 2007/11/10(土) 11:13 ID:q59zotBy0: お絵描き掲示板でぐぐるとTOPに出て来る位だしなぁ･･･
かなり昔に俺もここでレンタルした事あるし･･･かなりの隠れ感染者はいそうな気がする。
891 ：(^ー^*)ノ～さん sage ： 2007/11/10(土) 12:43 ID:ebA+uPUx0: Webサイト4万ページに不正スクリプト　トルコのMSNBCも感染
ttp://www.itmedia.co.jp/news/articles/0711/09/news019.html
150ドメインのWebサイト4万ページ以上に不正スクリプトが埋め込まれていたことが発覚した。

ttp://blog.trendmicro.com/hidden-iframes-launch-malware-en-masse/
ttp://isc.sans.org/diary.html?storyid=3621

現時点で yl18■net にアクセスできないため検体が拾えないが、
上記SANSのVirusTotalの結果を見るといつもの中華アカウントハッカーと思われ。
892 ：(^ー^*)ノ～さん sage ： 2007/11/10(土) 13:17 ID:ebA+uPUx0: www■oekakibbs■com
Apache/1.3.26 (Unix) PHP/4.2.1

Apache1.3は現在1.3.39、PHP4は現在4.4.7。
Apache2.2やPHP5とは言わんけど、メンテできないなら
Windows+IISでWindowsUpdateしてたほうがマシだと思う。
893 ：(^ー^*)ノ～さん ： 2007/11/10(土) 13:24 ID:nd3S0A/J0: >>891

e総務.comが改ざんされていた。

http://www.e-somu.com/info/info071109.html
894 ：(^ー^*)ノ～さん sage ： 2007/11/10(土) 14:21 ID:W6X/dqLr0: >>869,882
一連の流れから判断すると、アップデートの不備以外にも問題点があるな。
>avastと、NOD32のふたつを入れ
常駐型のセキュリティソフトのちゃんぽん使用は、双方に機能不全を起こす可能性が高く、決して奨められない使用法。
併用するそれぞれの、機能や実装を理解した上でのみ、ようやく使いこなせるやり方。

それと、最初の感染時点で、hostsの定期的改竄や、DNS関係のポイゾニングが仕込まれて、Windows自体やセキュリティソフトの
更新が阻害されていた可能性もある。

度重なる被害はお気の毒だが、結局は、安易に民間療法で治療を試みる事は奨められず、OS丸ごと再インストール、その上で
最新のセキュリティ状況に更新、自信がないならPG2などのIDS/PFWも併用すべきと言う、当たり前の結論に到達する。
895 ：(^ー^*)ノ～さん sage ： 2007/11/10(土) 14:25 ID:ebA+uPUx0: >>891 と同一犯ならavastとNOD32が仲良くスルーしてるしねぇ。
ttp://isc.sans.org/diary.html?storyid=3621
896 ：(^ー^*)ノ～さん sage ： 2007/11/10(土) 20:34 ID:mlRzk+Zi0: いつもはコメント行は消すのですが特殊なんで…。

#7_886 クラック暫定　詳細は>>886
127.0.0.1 www■oekakibbs■com
#7_886 クラック
127.0.0.1 whois■domaintools■com

お絵かき掲示板がらみということで早速該当URLを観に行ってしまった…。
トップページで仕込みをされるとどうにもならないような。
当方稚拙ながら絵を描く人なのでクラック指定するにはアレですが予防は大事。
まあ…もうここ利用して無いんですが。
あの大手Pooツールなお絵かきBBSサイトを利用する人が
上記hostを導入する際には127の前に#つけてコメント行にしてください。

>>866
Wiki形式なので暫定と手軽さでUPし易さはあるのですが
利用する人が注意を払わなければならないという点がありますので…
やはりまとめサイトの人に習って
後日どっか無料ホムペで何とかしてみようと思います。
897 ：(^ー^*)ノ～さん sage ： 2007/11/10(土) 22:07 ID:OX7KwyqA0: >>896
>whois■domaintools■com
それ、Whoisとかのサービスを行っている無害なサイト。
886のアドレスで■をドットに変えてアクセスすれば分かるから。
http://whois.domaintools.com/
のアドレスの後に調べたいドメイン名をつけてアクセスすれば
そのドメインのWhois内容が出るので利用しやすいのさ。

Wiki形式を取るとしても編集に認証を発行するような形式が
良いでしょうね。信用できるメンテナを何人か募って運営すれば
継続の安定性も保証されるでしょうし。
898 ：(^ー^*)ノ～さん sage ： 2007/11/10(土) 22:54 ID:OxG8AOzT0: >>897
だから、元は問題ないサイトだけど、クラックされたので一時的に危険があるため、
外す代物（後で戻す必要あり）って意味でコメント残してあるんだろ。
899 ：(^ー^*)ノ～さん sage ： 2007/11/10(土) 23:23 ID:hbbPUjX10: http://whois.domaintools.com/
がいつクラックされたってんだよ
900 ：(^ー^*)ノ～さん sage ： 2007/11/11(日) 00:04 ID:uOtxDDls0: >>886 DomainToolによると

この文章が理解できない日本語不自由な人だったのかもしれん
901 ：(^ー^*)ノ～さん sage ： 2007/11/11(日) 01:22 ID:2zccfMyu0: >>897-900
>>886の記述が■だったのでそういうサイトとばかり。
ただ単に纏めているだけなのでこういうことになると言う例でした。
日本語が不自由な人なのは確かなので
これからも突っ込みよろしくお願いします。
902 ：(^ー^*)ノ～さん sage ： 2007/11/11(日) 01:31 ID:2zccfMyu0: あと>>896の部分を導入した方がいらしたら
お手数ですが手動でその記述を削除してくださるようお願いします。
903 ：(^ー^*)ノ～さん sage ： 2007/11/12(月) 02:18 ID:AwfiB7Br0: www■articlelin■com/wiki/
www■panslog■net/wiki/svch.exe
いずれも同じIP。
リネージュ資料室の感染源ドメインに同じものがあった。
904 ：(^ー^*)ノ～さん sage ： 2007/11/12(月) 11:20 ID:CSd+JsCv0: http://www.geoctiers■com/ourtesf (61.139.126.47)
http://www.lvei20■com/ourtesf (61.139.126.47)
-> http://www.lvei20■com/ourtesf/ff11.exe

index.htmは大昔流行った ADODB.Stream を利用して感染させようとするもの。
ff11.exeは symantec、Kasperskyともに検知。

(参考)
Internet Explorer で ADODB.Stream オブジェクトを無効にする方法
http://support.microsoft.com/kb/870669/ja
- WindowsUpdateで自動適用されているはずのものなので適用は必要なし。

whois
Domain Name: GEOCTIERS■COM
Creation Date: 12-oct-2007

Domain Name: LVEI20■COM
Creation Date: 12-oct-2007

所有者は両者共通
Registrant Contact:
guo tie qiang
tie qiang guo 787878@126.com
13178393088 fax: 13178393088
Fujian longyan
longyan Fujian 364000
cn
905 ：(^ー^*)ノ～さん ： 2007/11/14(水) 15:28 ID:hnaAIkgM0: http://www.itmedia.co.jp/enterprise/articles/0711/14/news049.html
さすが中国、やることがとんでもないぜ
906 ：(^ー^*)ノ～さん sage ： 2007/11/14(水) 16:24 ID:7OrFWp7P0: これは、初期化しても消えないウィルス？
907 ：(^ー^*)ノ～さん sage ： 2007/11/14(水) 16:36 ID:H7XPVmBY0: >>905
なんだこれすげえ……
908 ：(^ー^*)ノ～さん sage ： 2007/11/14(水) 17:00 ID:LXFCZQVW0: >>905-908
さぁ、一般的な話題は、セキュスレに移動しような。

セキュリティ対策、質問・雑談スレ3
http://enif.mmobbs.com/test/read.cgi/livero/1186660300/

そろそろ次スレのテンプレに調整必要ないか検討した方がいいんじゃないのか？
909 ：904 sage ： 2007/11/15(木) 09:43 ID:FPFQGc3I0: >>904 に報告漏れ分追加です。
http://www.netbenrir■com/ourtesf (61.139.126.47)
-> http://www.lvei20■com/ourtesf/ff11.exe

特徴は既出分と一致。実体がたぶん同一。

>>839 に報告されているのと似ているけれど別のドメイン。
(IPアドレスは同一)
910 ：(^ー^*)ノ～さん sage ： 2007/11/15(木) 10:00 ID:0qfEIWnH0: いつもありがとうございます。
ただ前にも出た話題なので、wwwの後の　.　の方も■にしてもらえませんでしょうか？
911 ：にゅぼーん にゅぼーん：にゅぼーん: にゅぼーん
912 ：(^ー^*)ノ～さん sage ： 2007/11/15(木) 10:57 ID:uHYmDzoe0: スレルールに従えないなら書き込むなよ
913 ：(^ー^*)ノ～さん sage ： 2007/11/15(木) 11:01 ID:8cyw5fkj0: >>911-912
セキュリティ対策、質問・雑談スレ3
http://enif.mmobbs.com/test/read.cgi/livero/1186660300/
914 ：(^ー^*)ノ～さん sage ： 2007/11/15(木) 11:21 ID:9cU3pYbD0: >>ID:FPFQGc3I0

危険を撒き散らしに来ないで＞＜
915 ：(^ー^*)ノ～さん ： 2007/11/15(木) 12:07 ID:A0ErnyYJ0: 自スレのルールは自スレで解決してくれ
916 ：(^ー^*)ノ～さん sage ： 2007/11/15(木) 12:24 ID:69QYnnUG0: >>915
>>1
917 ：(^ー^*)ノ～さん sage ： 2007/11/15(木) 13:09 ID:6mU5LAo10: ぽりしーじょうｗｗｗｗｗｗｗ
918 ：(^ー^*)ノ～さん sage ： 2007/11/15(木) 13:24 ID:8cyw5fkj0: >>914-918
>>913
919 ：(^ー^*)ノ～さん sage ： 2007/11/15(木) 16:46 ID:1jTuIkM40: まとめていたら904氏の発言分である911がにゅぼーんされていたという…。
URLを運良く回収できてよかったです。

#>>891。セキュスレ3_504-506 既に削除済みの物
#http://enif.mmobbs.com/test/read.cgi/livero/1186660300/504-506
127.0.0.1 www■yl18■net
127.0.0.1 yl18■net

127.0.0.1 www■geoctiers■com
127.0.0.1 www■lvei20■com
127.0.0.1 geoctiers■com
127.0.0.1 lvei20■com
127.0.0.1 www■netbenrir■com
127.0.0.1 netbenrir■com

127.0.0.1 sumireryu■blog32■fc2■com

#過去分 >>863 >>842 >>798 >>758 >>704 >>659-661 >>389-390
#訂正 >>896-902
920 ：(^ー^*)ノ～さん sage ： 2007/11/15(木) 17:23 ID:SpAMIfKI0: 管理人裁定で削除された以上、件のポリシーとやらはこの板にはそぐわないという事。
自己流を通すのも勝手だが、これ以上それを続けるなら、この場所に来る資格は無い訳だ。
921 ：(^ー^*)ノ～さん sage ： 2007/11/15(木) 17:28 ID:9tpR5HgL0: >>920
>>1
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談は>>2に有る雑談スレを利用して下さい。
922 ：(^ー^*)ノ～さん sage ： 2007/11/15(木) 17:52 ID:R3MHTg2u0: >>919　一番下sumireryuのFC2ブログ死亡確認。
”無対策PC＋IEだと見るだけで感染”と記して違反申告ゴルァ入れたのがよかったのかも。
他からも相当数のゴルァはあったと思うけどね。
923 ：(^ー^*)ノ～さん sage ： 2007/11/16(金) 00:03 ID:xlYgMcM00: 一応、情報として
最近、エラー状態のまま放置されている「RO店価格調査隊」のドメイン
( ro-price.net )の有効期限が2008/02/09となっています
当面は問題ないと思いますが、今後どうなるかわからないので
ご注意ください
924 ：(^ー^*)ノ～さん sage ： 2007/11/16(金) 08:54 ID:StplYX2R0: 削除依頼スレで暴れてる馬鹿者が居るので、該当部分をサルベージ。
暴れてる理由が本当に「検体拾えないんじゃ(ﾟДﾟ)ｺﾞﾙｧ！」なだけなら、これで不満解消されるだろ。

--------------------
>911 名前：(^ー^*)ノ～さん Mail：sage 投稿日：07/11/15 (木) 10:50 ID:FPFQGc3I0
>
>>>797 関連の偽装blog
>sumireryu■blog32■fc2■com/
>-> www■fc2weday■com/lineage/
>
>fc2には報告済み。
>
>(以下略)
--------------------
925 ：(^ー^*)ノ～さん sage ： 2007/11/16(金) 16:16 ID:JZV6Cv150: では削除依頼が出ている分残りも補完。

>796 名前：(^ー^*)ノ～さん[sage] 投稿日：07/10/26 11:40 ID:ez699QA/0
>最近、一部の掲示板にせっせと書きこまれているもの。
>
>http://www■playonlanei■com/game
>-> http://www■playonlanei■com/game/f1.exe
>
>http://www■rmtfcne■com/f11
>-> http://www■playonlanei■com/f11/f2.exe
>
>IPアドレスは共に 61■139■126■47 でした。
>手元の環境では Symantecがスルー、Kaspersky(AVS)が捕捉。
>
>JavaScrpitから VBScriptを呼び出し Adodb.Stream使って
>ダウンロードさせようとする昔流行ったやつです。
>
>818 名前：796[sage] 投稿日：07/10/30 22:48 ID:L9j6MZpQ0
>検体採集先で捕獲漏れ見つけたので追加報告します。
>
>http://www■webmastei■com/weeb/
>-> http://www■playonlanei■com/weeb/f3.exe
>
>IPアドレスも手口も同一。
>Symantecがスルー、Kaspersky(AVS)が捕捉なのも一緒。
>f?.exeシリーズのドメインの先は同一とみられ、相互に置き換え可能です。
926 ：(^ー^*)ノ～さん sage ： 2007/11/16(金) 16:18 ID:JZV6Cv150: その2。

>852 名前：(^ー^*)ノ～さん[sage] 投稿日：07/11/07 15:32 ID:HnBdClJr0
>JBBSもどき。
>http://www■jbbslivedoor■com/ (61■139■126■16)
>
>http://www■jbbslivedoor■com/mmghaoyk/ (Microsoft.XMLHTTP)
>-> http://www■jbbslivedoor■com/mmghaoyk/haoyk.htm
>　super IE 0Day難読化 (US-ASCIIのあれ)
>-> http://www■jbbslivedoor■com/mmghaoyk/haoyk.cur
>　アニメーションカーソル脆弱性
>
>古典的な手法で、symantecでも検知できました。
>
>おまけ。
>先月末にばらまかれてたけれど、今日現在ドメインの登録がないもの。
>http://www■irisdtijp■com/playonline/
927 ：(^ー^*)ノ～さん sage ： 2007/11/16(金) 16:18 ID:JZV6Cv150: その3。

>904 名前：(^ー^*)ノ～さん[sage] 投稿日：07/11/12 11:20 ID:CSd+JsCv0
>http://www■geoctiers■com/ourtesf (61.139.126.47)
>http://www■lvei20■com/ourtesf (61.139.126.47)
>-> http://www■lvei20■com/ourtesf/ff11.exe
>
>index.htmは大昔流行った ADODB.Stream を利用して感染させようとするもの。
>ff11.exeは symantec、Kasperskyともに検知。
>
>(参考)
>Internet Explorer で ADODB.Stream オブジェクトを無効にする方法
>http://support.microsoft.com/kb/870669/ja
>- WindowsUpdateで自動適用されているはずのものなので適用は必要なし。
>
>whois
>Domain Name: GEOCTIERS■COM
>Creation Date: 12-oct-2007
>
>Domain Name: LVEI20■COM
>Creation Date: 12-oct-2007
>
>所有者は両者共通
>Registrant Contact:
>guo tie qiang
>tie qiang guo 787878@126.com
>13178393088 fax: 13178393088
>Fujian longyan
>longyan Fujian 364000
>cn
>
>909 名前：904[sage] 投稿日：07/11/15 09:43 ID:FPFQGc3I0
>>>904 に報告漏れ分追加です。
>http://www■netbenrir■com/ourtesf (61.139.126.47)
>-> http://www■lvei20■com/ourtesf/ff11.exe
>
>特徴は既出分と一致。実体がたぶん同一。
>
>>>839 に報告されているのと似ているけれど別のドメイン。
>(IPアドレスは同一)
928 ：(^ー^*)ノ～さん sage ： 2007/11/16(金) 17:13 ID:5qqeUOlu0: >>925-927 乙です。これで削除依頼通せますね。
929 ：(^ー^*)ノ～さん sage ： 2007/11/16(金) 18:18 ID:NAWX1PWU0: >>925-927　ご報告ありがとうございます。
上記の物に関して確認した所、報告まとめサイトの人の分と
このスレで報告している分を併せる事で撃墜できる模様。
打ち漏らしが無かったようなので本当によかったです。
930 ：にゅぼーん にゅぼーん：にゅぼーん: にゅぼーん
931 ：(^ー^*)ノ～さん sage ： 2007/11/19(月) 15:33 ID:vI2UAK2s0: ↓ここから930フルボッコタイム↓
932 ：(^ー^*)ノ～さん sage ： 2007/11/19(月) 15:41 ID:CBCu4PS40: すみません、焦ってテンプレも読んでませんでした・・・

【　　アドレス　】http://applepie■leminx■com/
【気付いた日時】 2007/11/19
【　　　 OS　　】 WindowsXP
【使用ブラウザ】 IE
【WindowsUpdateの有無】半年くらい前です
【　アンチウイルスソフト】カスペルスキー
【その他のSecurty対策】なし
【ウイルススキャン結果】とくに警告ありませんでした
【スレログやテンプレを読んだか】テンプレのみ読みました
【hosts変更】無
【PeerGuardian2導入】無

よろしくお願いします。
933 ：(^ー^*)ノ～さん sage ： 2007/11/19(月) 15:45 ID:JSWIaYX10: >930,932
とりあえず930のほうを削除依頼出してきなさい
934 ：(^ー^*)ノ～さん sage ： 2007/11/19(月) 15:55 ID:CBCu4PS40: 削除依頼出してきました。
お騒がせして申し訳ありません。
935 ：(^ー^*)ノ～さん sage ： 2007/11/19(月) 15:56 ID:zV0OIcj70: >>930,>>932
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません
936 ：(^ー^*)ノ～さん sage ： 2007/11/19(月) 16:00 ID:CBCu4PS40: すでにサイトは見てしまいましたがこちらではだめでしょうか？
一見普通のサイトですがウィルスが含まれていないのかと心配になりまして書き込みしました。
937 ：(^ー^*)ノ～さん sage ： 2007/11/19(月) 16:50 ID:XmgiIK3z0: 甘やかすのも大概にしろとか言われそうだけど、スレ方針論議が止まっているので。

>>930
> 【WindowsUpdateの有無】半年くらい前です
昔過ぎる。最低、毎週でもやっていたら問題は無かった。つかPCに自信が無いのなら尚の事
毎日でもしろ。

>【スレログやテンプレを読んだか】テンプレのみ読みました
ぱにくってるのはわかるが、自分で情報を探す努力くらいしなさい。
とりあえずこのスレの過去ログくらい読みなさい。900くらいなら回答来るの待っている
間でも読めるだろ。

以上。
938 ：(^ー^*)ノ～さん sage ： 2007/11/19(月) 16:58 ID:GnTT5vja0: >ID:CBCu4PS40
どこから突っ込んでいいか判らんのだが、アコプリスレの>1は見たのか？

そこは放置運営の上ドメイン失効で消滅した旧テンプレサイト。
レジストラ管理のためそういう格好で残ってるだけで、現状ハクとは関係ない。

そして今のアコプリWikiは別の管理人が運営してる。
アコプリスレの>1を見るか、アコプリWikiでググれば出てくる。

どこのリンクから飛んだのか知らんが、そのリンクページの管理人に移転してる事を
連絡しておいた方がいいだろうね。
939 ：(^ー^*)ノ～さん sage ： 2007/11/19(月) 17:54 ID:CBCu4PS40: 過去スレや危険なドメイン等調べてみたらこのURLはありませんでした。
一応一安心してるところです。

>>937
Updateの度に重くなるのでずっと放置してしまっていました。
以後気をつけます。
スレは一通り読みましたがとても難しい言葉ばかりでした･･･
>>938
上記のURLを踏んでしまってからアコプリスレでWikiの新URLを調べました。
そしてURLが違うことに気づき、テンプレ無視で書き込みしてしまった所存であります。
垢ハクと関係ないと言っていただき安心しました。
リンク管理人に連絡しておきます。

皆様お騒がせして申し訳ありませんでした。
そしてありがとうございました。
940 ：(^ー^*)ノ～さん sage ： 2007/11/19(月) 18:12 ID:GnTT5vja0: >939
>過去スレや危険なドメイン等調べてみたらこのURLはありませんでした。
いや、載ってる。
もう終わった事だが、このスレ内を「leminx」で検索する事を勧める。

あと踏んでから慌てて駆け込んでくるよりも、事前の対策が必要。
最近は少ないが、踏んでしまったという人は新しい罠アドレスを踏んだんじゃなく
既知のアドレスを踏んでるケースが多い。

難しいと言って逃げず、まとめサイト等見て対策するがよろし。
判らない事があればセキュ雑談スレで質問したら答え返ってくるだろうし。
941 ：(^ー^*)ノ～さん sage ： 2007/11/19(月) 18:30 ID:+oTwxX9J0: 本来は向こうにするべきなのかも知れないけど、全員が専ブラ導入している訳でもないから、こっちに。
前提環境なら、いくらでもクロスリプライ入れるけどね。

>>937
>毎日でもしろ
WUを毎日するなんて、はっきりいって無駄。M$のUpdateサイトや経路に無駄なトラフィック負荷を掛けるだけ。
通常ユーザーなら、自動更新or自動通知にセットさえしていれば、問題はない。
むしろ、そっちに気を取られて、他のexploit情報を見逃す方が痛いよ。
更新頻度や情報の広汎製から、セキュmemoあたりのRSSをティッカーで拾うのが望ましいかと。無論、やや主観も混じっているが。
そうすれば、AdobeやApple等提供の、狙われ易いプラグインのアップデートも見逃さずに済む可能性が高いし。
rdfで拾ってくるから、通常のweb巡回や手動アップデート確認よりも、トラフィック負荷や、ローカル環境への負担も少ない。

それと、>>938に関る部分だが、デッドリンクがいつまでも放置されるようなサイトは、基本的に触らないほうがいい。
サイト管理人に変更点を促して、反映されているうちはまだ良いが。管理人が着手しない/出来ない状態のサイトは、
様々な危険性を孕んでいる。例え、静的サイトであっても。
ドメインスクワッティングで、リンク先が危険な場所になっている可能性もあるし、ブルートフォースや、情報盗用マルウェアによって、
いつの間にかサイトそのものが悪意ある者の手に落ちている可能性も考えられる。
942 ：(^ー^*)ノ～さん sage ： 2007/11/19(月) 21:45 ID:PoMyPe3A0: 毎度おなじみ福建人、今度はヤフーブログに進出
blogs■yahoo■co■jp/suzengyan1986/12106■html

記事が1つしかない典型的な罠ブログ。

もちろんライブドアでも同名IDを取得、Wiki改竄を確認。
suzengyan1986
943 ：(^ー^*)ノ～さん ： 2007/11/20(火) 16:08 ID:tKI+LQ0G0: 公知あげ

アカウントハッキングについて
http://www.ragnarokonline.jp/playguide/hacking/
944 ：(^ー^*)ノ～さん sage ： 2007/11/20(火) 17:58 ID:XMrgscT00: >>942
> Yahoo!ブログカスタマーサービス○○です。
>
> ご連絡くださいましてありがとうございます。
>
> このたびご指摘くださいました投稿につきましては、利用規約
> およびガイドラインに照らし合わせ、チェックさせていただきます。
>
> ◇Yahoo! JAPAN利用規約
> ttp://docs.yahoo.co.jp/docs/info/terms/
>
> ◇Yahoo!ブログガイドライン
> ttp://blogs.yahoo.co.jp/FRONT/guideline.html
>
> ◇Yahoo! JAPANコミュニティーサービスガイドライン
> ttp://docs.yahoo.co.jp/docs/info/guidelines/community.html
>
> なお、個別の対処理由や結果についてのお知らせは行っておりません。
> 何卒、ご理解くださいますようお願いいたします。
>
> よろしくお願いします。
945 ：(^ー^*)ノ～さん sage ： 2007/11/20(火) 20:43 ID:9u3ZZW7U0: >>944
罠ブログの削除確認。
しかしまた別IDで来るだろうな、ライブドアのと同名IDを用意してると思われ。
946 ：(^ー^*)ノ～さん sage ： 2007/11/20(火) 23:58 ID:XMrgscT00: >>945
ﾉｼ

>>942見たときわかんなかったけど
ライブドアに別のwikiのアドレスつけてsuzengyan1986を通報しますた！
>>944のとは違うリンクだった。
www■runbal-fc2web■com/test/
www■runbal-fc2web■com/test/wu■htm
www■runbal-fc2web■com/test/news■htm
ここでwww■jpxpie6-7net■com/test/フォルダ以下の
f5■exe（Infostealer.Gampass）とlt1■exeが落とせた。
ie5■exeとsvchro■exeはないみたい。
www■runbal-fc2web■com/test/love■htm がぁゃιぃけどよくわかんない。。。orz...
947 ：946 sage ： 2007/11/21(水) 00:00 ID:02/MdLhM0: >>946訂正
×>>944のとは違うリンクだった。
○>>942のとは違うリンクだった。
948 ：946 sage ： 2007/11/21(水) 00:10 ID:02/MdLhM0: ってwww■runbal-fc2web■com/test/が変わってる。
www■jpxpie6-7net■com/test/index1■htmに飛んでる。。。
>>946はSCOにログありますです。。。
SCOで調べようとしたらアクセス規制中…
949 ：(^ー^*)ノ～さん sage ： 2007/11/21(水) 00:18 ID:kk+h/bZV0: >>948
久しぶりに、検体入手行って見るかな…。

www■jpxpie6-7net■com/test/index1■htm
www■jpxpie6-7net■com/test/index2■htm
www■jpxpie6-7net■com/test/ani■c
www■jpxpie6-7net■com/test/lt1■exe
www■jpxpie6-7net■com/test/f5■exe

www■runbal-fc2web■com/test/index■htm
www■jpxpie6-7net■com/test/main■htm
www■jpxpie6-7net■com/test/Ms06014■htm
www■jpxpie6-7net■com/test/Ms06046■htm
www■jpxpie6-7net■com/test/Yahoo■htm
www■jpxpie6-7net■com/test/Ms07004■js
950 ：(^ー^*)ノ～さん sage ： 2007/11/21(水) 00:38 ID:kk+h/bZV0: f5.exe
Trojan-PSW.Win32.OnLineGames.fcj
検出率良好　Result: 30/32 (93.75%)
Ewido/FileAdvisorがすり抜け。カスペ、NOD32、ノートン、マカフィー等はすべて撃墜。

lt1.exe
ほぼすり抜け。作成ミスなのか、新種ですり抜けるだけか不明。

ani.c
アニメカーソルでf5.exeをダウンロードしようとする。ファイル名ミス？

html
難読化されていて、本体発見困難。ソースチェッカーオンラインでは見えるけど
ダウンロードソフトでぶっこ抜こうとするも失敗。ファイル消されてるか重いだけか不明。
951 ：946 sage ： 2007/11/21(水) 00:59 ID:02/MdLhM0: >>949-950
お疲れ様です。

>>946の件ライブドアから自動返信ありました。
対応は始業後でしょうね。
952 ：(^ー^*)ノ～さん sage ： 2007/11/21(水) 09:43 ID:kk+h/bZV0: >>949-950
カスペ対応状況

ani.c - Exploit.Win32.IMG-ANI.ac,
f5.exe - Trojan-PSW.Win32.OnLineGames.fcj,
index2.htm - Trojan-Downloader.VBS.Psyme.ds,
lt1.exe - Trojan.Win32.Inject.ku

昨晩、VirusTotalにかけた時は、lt1.exeは検出不能だったが、誰かが先に提出していたようで
今朝検体送ったら、対応済みって返事が来た。

index.htmd, index1.htmd - Exploit.HTML.Iframe.FileDownload.w

こっちは、次のアップデートで追加するそうです。

# シマンテック他、一通り検体提出済みです。
953 ：(^ー^*)ノ～さん sage ： 2007/11/21(水) 19:25 ID:fcnvjNtT0: 福建人の罠Wiki、今月19日開設、タイトル部分からどっかのパクリであることは明白だ。
wiki■livedoor■jp/suzengyan1986/
954 ：(^ー^*)ノ～さん sage ： 2007/11/21(水) 19:41 ID:fcnvjNtT0: 953の罠Wikiに不可解な点があった。
カレンダーページと言うものがある、パクっただけなんで日付がおかしい。
最後に更新したIDはsuzengyan1986ではなく、
”2005年12月”のカレンダー項目をテストと書き直しただけ。
そのIDをぐぐるとごく普通、どういうことだ？
955 ：946 sage ： 2007/11/21(水) 20:14 ID:02/MdLhM0: >>952
お疲れ様でしたぁ。

>>953
>>946で通報したのはまさしくそこです。

>>954
何者でしょうかねぇ。。。

livedoorからの返事はまだない…
956 ：(^ー^*)ノ～さん sage ： 2007/11/21(水) 20:59 ID:fcnvjNtT0: >>955
このためだけに不正アクセスなんて最悪のケースだって考えられる。
相手はそういう連中だし、前例があるわけだ。
ブログは生きてるみたいだからID持ち主にコメントなりで一度連絡をつけた方がいいかも
957 ：946 sage ： 2007/11/21(水) 21:50 ID:02/MdLhM0: うあー、FF系のlivedoorwikiもsuzengyan1986の標的になってる。。。
しかもクラッカー同士で編集合戦
kohh00　
板違いだにゃー
958 ：(^ー^*)ノ～さん sage ： 2007/11/22(木) 21:10 ID:BDPZKPtw0: 報告数が多くて混乱するなあ
ここいらで誰か最近のまとめてくれんかね
959 ：(^ー^*)ノ～さん sage ： 2007/11/22(木) 23:01 ID:dua+RkSv0: 言いだしっぺの法則
960 ：にゅぼーん にゅぼーん：にゅぼーん: にゅぼーん
961 ：(^ー^*)ノ～さん ： 2007/11/24(土) 17:24 ID:0kFCFNsy0: 【　　アドレス　】　http://www■qipilang■org/shabi/
【気付いた日時】　11時24日17時頃
【　　　 OS　　】　WindowsXP SP2
【使用ブラウザ】　IE7
【WindowsUpdateの有無】　自動更新
【　アンチウイルスソフト】　NortonInternetSecurity2006
【その他のSecurty対策】　特に無し
【ウイルススキャン結果】　現在スキャン中
【スレログやテンプレを読んだか】Yes
【hosts変更】　無
【PeerGuardian2導入】　無
【説明】
自鯖のWikiに張られている物をクリックしてしまい、開いたページが真っ白
だったので垢ハックかと思い報告させていただきます。
とりあえず別ＰＣでガンホー、アカウントpassは変更してきました。
962 ：(^ー^*)ノ～さん sage ： 2007/11/24(土) 17:38 ID:YD480phB0: >961
www■qipilang■org/shabi/
-->www■xinluoqu■com/FFXI/main.htm
---->www■xinluoqu■com/FFXI/Ms06014.htm
---->www■xinluoqu■com/FFXI/Ms06046.htm
---->www■xinluoqu■com/FFXI/Yahoo.htm
---->www■xinluoqu■com/FFXI/Ms07004.js
以下略
963 ：(^ー^*)ノ～さん sage ： 2007/11/24(土) 17:40 ID:DvYOoeus0: ノートン先生が2006ってライセンス更新してたのか?
964 ：(^ー^*)ノ～さん ： 2007/11/24(土) 17:53 ID:0kFCFNsy0: >963
ライセンス更新はしてなく、試用期限が切れてるものでした。
965 ：(^ー^*)ノ～さん sage ： 2007/11/24(土) 17:55 ID:4Lx0kJeB0: (´-｀).｡oO（　　　　　　　　　）
966 ：(^ー^*)ノ～さん sage ： 2007/11/24(土) 19:30 ID:zTnJtppB0: >>964
その状態ですと、更新されない為最新のウィルスには対応できないので
入れてないのと大差ない状態とおもわれます
おとなしくノートンをアンインストールして、>>2にあるPeerGuardian2と
窓の杜あたりから、フリーのウィルス対策ソフトをダウンロードして
入れるのをお勧めします
967 ：(^ー^*)ノ～さん ： 2007/11/25(日) 02:41 ID:v+k/El6I0: 【　　アドレス　】　http://duanla■com/oig3e
【気付いた日時】　11時25日1時頃
【　　　 OS　　】　Windows2000 SP4
【使用ブラウザ】　IE7
【WindowsUpdateの有無】　自動更新
【　アンチウイルスソフト】　BitDefender
【その他のSecurty対策】　Ad-Aware
【ウイルススキャン結果】　現在スキャン中
【スレログやテンプレを読んだか】Yes
【hosts変更】　無
【PeerGuardian2導入】　無
【説明】
iriswikiトップページのコンテンツのURLが上記のアドレス書き換わってた模様。
これは垢ハックでしょうか？
別ＰＣでガンホーとアカウントpassは変更済。
968 ：(^ー^*)ノ～さん sage ： 2007/11/25(日) 05:29 ID:ncZCcAo50: >>967
ソースチェッカーでちょろっと見たら踏んだ瞬間どっかに跳ぶ仕組みらしいです。
そして場所が中国って時点で今までの手口から見ても黒かと。
969 ：(^ー^*)ノ～さん sage ： 2007/11/25(日) 07:28 ID:ITDHDQRQ0: >>962
ダウンロードできないと思えば、既に差し替えられていた模様。
カスペはほぼ撃墜ですが、検出率悪い奴も。

www■qipilang■org/shabi/index.htm
-->www■qipilang■org/shabi/wz.htm
-->www■qipilang■org/shabi/wu.htm
--->www■qipilang■org/shabi/dns.htm
--->www■qipilang■org/shabi/kiss.htm
---->www■xinluoqu■com/FFXI/ser.exe
---->www■xinluoqu■com/shagua/test.exe
---->www■xinluoqu■com/ied/as.exe
---->www■xinluoqu■com/shabi/svch.exe

as.exe:Trojan-PWS.Win32.Gamec.aa
ser.exe:Trojan-PSW.Win32.OnLineGames.fcj
svch.exe:Trojan.Win32.Pakes.bqf(カスペすりぬけ)
test.exe:Trojan.Win32.Inject.ke
970 ：(^ー^*)ノ～さん sage ： 2007/11/25(日) 07:28 ID:ITDHDQRQ0: >>967
すりぬけられる検体も混ざってます。入手前にブロックできたと自己責任で
判断できない場合はＯＳのクリーンインストールをお勧めします。

duanla■com/oig3e/
-->www■youxiriben■net/ff11/index.htm
--->www■youxiriben■net/ff11/wz.htm
--->www■youxiriben■net/ff11/wu.htm
---->www■youxiriben■net/ff11/dns.htm
---->www■youxiriben■net/ff11/kiss.htm
----->www■shagigi■net/ff11/test.exe
----->www■shagigi■net/lin/yan.exe
----->www■shagigi■net/navi/svch.exe

test.exe:Trojan-PSW.Win32.OnLineGames.fcj
yan.exe:Trojan.Win32.Inject.ke
svch.exe:Virus.Trojan.Win32.Pakes.bqf(カスペすりぬけ)
971 ：(^ー^*)ノ～さん sage ： 2007/11/25(日) 07:29 ID:ITDHDQRQ0: 次スレ依頼なんですが、結局、テンプレ変更箇所はどうしましょう？
972 ：(^ー^*)ノ～さん sage ： 2007/11/25(日) 09:44 ID:ITDHDQRQ0: テンプレにこれ追加でいいかな？

・URLを貼り付ける場合はドメイン名の「.」を全て「■」に置換して下さい。

セキュスレの提案にあったhttp://外しは、必須じゃなくていいと思うので、削除。
相談テンプレの編集箇所がなにかあったような気がするようなしないような。

P.S.：>969-970のカスペすりぬけは、VirusTotalのパターンが11/21と古かったようで
　　　すべて撃沈の返答がきています。
973 ：(^ー^*)ノ～さん sage ： 2007/11/25(日) 10:05 ID:Jr92oUv20: duanlaはdwarfurlと併せてWikiwikiに連絡しておいた。
後者の攻撃事例はまだないが予防策として
短縮URLをどんどん乗り換えてきてるみたいだしな。
974 ：(^ー^*)ノ～さん sage ： 2007/11/25(日) 11:03 ID:ITDHDQRQ0: スレ立て依頼してきました。

スレ作成依頼スレッド('07/10/13)
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1192250471/202-207

変更箇所は下記の通り。問題があったら立つ前に修正をお願いします。

【アドレス関係】
公式のアドレス追加
セキュリティWikiのアドレス追加
WindowsUpdateのアドレス追加
無料のセキュリティソフトのアドレスうちか
過去スレアドレス更新
改行多すぎエラーの為、過去スレの書式変更

【文面】
雑談スレを利用　→　雑談スレ(通称セキュスレ)を利用
相談テンプレの説明を追記
簡易まとめにFireFoxのURI補完機能停止を追記

>>973
duanla■com/oig3e/ は既に404でした。
>970はソースチェッカーオンラインのキャッシュから辿ったものです。

・・・しまった、テンプレに、ソースチェッカーオンラインのURL載せるの忘れた。
追記した方がいいでしょうか？＞ＡＬＬ
975 ：(^ー^*)ノ～さん sage ： 2007/11/25(日) 11:18 ID:ITDHDQRQ0: もう立った…早かった。

アカウントハック総合対策スレ9
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/
976 ：(^ー^*)ノ～さん ： 2007/11/25(日) 14:04 ID:5xTETta10: 質問よろしいでしょうか。

>>961と同じアドレスを踏んでしまったので、カスペにかけてみたところ

マルウェア Exploit.Java.Gimsh.a
トロイの木馬 Trojan-Downloader.VBS.Agent.fu
トロイの木馬 Trojan-Downloader.VBS.Psyme.ds

が検出されました。
マルウェアと後者のトロイは削除できたのですが、前者のトロイが何故か見つかりませんとの表示･･･
見つからない＝PCの中には存在しない　という解釈でいいのでしょうか？
ちなみに、この後2回ほどカスペをかけなおしましたが、何も検出されませんでした。
最初にかけたのが昨日の午後6時、二回目が昨日午後8時、三回目が今朝10時です。

なにぶん、この手には疎いもので･･･すいませんorz
977 ：(^ー^*)ノ～さん sage ： 2007/11/25(日) 14:50 ID:ITDHDQRQ0: >>976
>969に書いた様に「Trojan-Downloader.VBS.Agent.fu」に該当するのは「dns.htm」

展開されたテンポラリを検知したものの、ブロックし、テンポラリが削除されたということ
かもしれない。dns.htm（Downloader.VBS.Agent.fu)からダウンロードされるser.exe
(PSW.Win32.OnLineGames.fcj)という本体を検知してないようだから、ダウンロード前に
回線切断したのかもね。

あくまでも「かもしれない」であって、「存在しない保証はできない」。

少なくとも、その検体はカスペが全部検出可能な奴なので、ステルス化されていないなら
残っていない可能性はあるが、自信をもって自己責任で対処できないのであれば、
ＯＳ再インストールコースをお勧めするしかない。
978 ：(^ー^*)ノ～さん sage ： 2007/11/25(日) 15:54 ID:94NFLF1O0: wikiの改変がここ最近急に増えてるのかな
資料室の方でも警鐘鳴らしてるね
979 ：(^ー^*)ノ～さん ： 2007/11/25(日) 17:23 ID:5xTETta10: >>977
ありがとうございます。
どうしても不安がぬぐえないので、これからOS再インストールしてみます～
980 ：(^ー^*)ノ～さん sage ： 2007/11/26(月) 11:46 ID:p1swq/BK0: ヤフー内部で無差別ウィルス爆撃ID
f550128851

www■japanjp■net/ttoo■exe

カスペ、F-Secure(カスペエンジン、後述にあるが恐らくNormanエンジンでも可）、NOD32、マイクロソフト、Norman検出
マカフィー、シマンテックスルー

IDをぐぐって見ると
高价收？日本天堂1信封，？求合作，精通黑客技？的来 -(326字？)【f550128851】 2007-10-23 15:41

エキサイト翻訳をかけてみると大体こんな感じ（天堂1＝リネージュ1）
高値は日本のリネージュ1封筒を買い付けて、協力を求めて、ハッカーの技術の来ることに精通します

外部で要員募集か？
981 ：(^ー^*)ノ～さん sage ： 2007/11/26(月) 13:27 ID:rZSfZ1250: >>980
取り敢えずVirusTotalで未検出のところすべてに検体提出しておきました。
982 ：(^ー^*)ノ～さん sage ： 2007/11/26(月) 13:27 ID:vxVfZu2L0: >>981
乙であります
983 ：(^ー^*)ノ～さん sage ： 2007/11/26(月) 14:06 ID:vYBbL4M60: 垢ハックらしきアドレスを踏んだのではないのですが、中華とやりとりをしてしまったのでちょっと質問させてもらいます。

【　　アドレス　】
【気付いた日時】事が起こったのはついさっき
【　　　 OS　　】窓XP SP2
【使用ブラウザ】 Firefox 2.0.0.9
【WindowsUpdateの有無】多分今月上旬
【　アンチウイルスソフト】 avast!!Home4.7
【その他のSecurty対策】無し
【ウイルススキャン結果】ただいま検索中
【スレログやテンプレを読んだか】 Yes
【hosts変更】無し
【PeerGuardian2導入】無し
【説明】　先ほどフェイ→できのこ集めをしていたらBOTぽい名前のＧ無し商人がいたので支援で肉入りか確認してみたら反応があったので
ちょっとかまってしまった。（今思うと、発言からして完全に中華
途中で取引要請と友達登録を出されて、
取引要請：500k渡されそうになってｷｬﾝｾﾙ（ok押して青画面にはしてない
友達登録：もう20人いていっぱいなので、OKを押して断った

どこぞやで友達登録や取引要請でID,Passが抜かれるというのを聞いたことがあるような気がしたので怖くなって質問してみました。
以上の行動は垢ハックの危険がありますか？また、その場合の対処法とかございましたらご教授お願いしたいです・・・。
ウィルスとかじゃないのでOS入れなおしは意味ないだろうし・・。
984 ：(^ー^*)ノ～さん sage ： 2007/11/26(月) 14:10 ID:rZSfZ1250: >>983
取り引きや友達登録でパスを抜かれることはありませんが、取り引き記録などで
倉庫垢に繋がりBOTと一緒に連BANされる可能性はあります。

運営会社が仕事をしてくれるのならという、儚い希望に基づく、極々稀な可能性ですが
取り引きを蹴って正解でしょう。

あと、埋めになるのでここで答えてしまいましたが、テンプレにありますように
（アカハック関係だからこっちでもいいような気もしないではないですが）
一般的な相談の場合、セキュスレの方が担当になります。
985 ：(^ー^*)ノ～さん sage ： 2007/11/26(月) 14:11 ID:rZSfZ1250: １単語抜けてたので補足

>取り引きや友達登録でパスを抜かれることはありませんが、取り引き記録などで
　　　　　　　　　　　　　　　　　　　　　　　↓　　　　↓　　　　↓
取り引きや友達登録でパスを抜かれることは原理的にありえませんが、取り引き記録などで
986 ：946 sage ： 2007/11/26(月) 19:26 ID:YYtunIDB0: >>980
> Yahoo!動画カスタマーサービス○○です。
> このたびはご指摘いただきありがとうございます。
>
> お客様よりご連絡いただいているプレイリストにつきましては、
> 担当部署にて対応させていただきます。
>
> 状況によりましてはお時間のかかる場合もございますが、
> できる限り早めに対応できるよう努めさせていただきます。
> 何卒ご了承くださいますようお願いいたします。
>
> ご連絡ありがとうございました。
> これからもYahoo! JAPANをよろしくお願いします。

>>981
乙乙
987 ：946 sage ： 2007/11/26(月) 20:04 ID:YYtunIDB0: っと、Yahoo!動画は対応してたけど…
Yahoo!みんなのトピックス充てにも抹消依頼出した。
他あるかな？
＃ ID同じなんだから受付一元化してよ。。。
988 ：983 sage ： 2007/11/26(月) 21:43 ID:vYBbL4M60: >>984
遅くなってすいません。お早いレスありがとうございます
あと
＞一般的な相談の場合、セキュスレの方が担当になります。
よく読まずにすいませんでした。以後気をつけます・・・。
989 ：980 sage ： 2007/11/27(火) 20:52 ID:pZ24gCIo0: どうやらこいつ、中国ヤフーでも同じIDを取得してるね。

そしてこんなことを書いて国内の黒客（ハッカー）を募っているようだ。
エキサイト翻訳まんま、改行適当。

ハッカーの技術がずいぶん優れて（書くことができて木馬を殺すことを免れます.
ウェブサイトの権限を持って馬の）に掛かって、木馬に掛かりますを通じて(通って)ネットゲームのプレーヤーのアカウントのパスワード（国外のネットゲーム）を受け取って、
国内のをして機会をつかまれますとても大きいことに注意して、国外の理想をやります。これらのゲームのアカウントのパスワードがとても良くて売って、もし手に入れて私に売ることができることがあるならば、
ほほほ、私は買い付けます。直接ゲームに進んでブラシの遊ぶ貨幣を複製してそれではあなたをおめでとうございますもしことができるならば、あなた直接成百万。私もゲームの暗い貨幣（国外のネットゲーム）を買い付けます。
興味の++QQ516432711があって、何がどんな資料を理解しますかます要しないでちょっと話しにくることができることがあります。ハッカーの財産ネット旅行 ttp://club■cn■yahoo■com/doldo
ハッカーはどのようにネットゲームの中で金を儲けますか？
組長:林暁峰
990 ：(^ー^*)ノ～さん sage ： 2007/11/28(水) 11:46 ID:Lb0k/Ijt0: とれたて。
tiny*url■com/yqc567
->www■caremoon■net/wiki/index.htm
-->www■caremoon■net/wiki/main.htm

短縮URLサービスの所は、わざとゴミを入れてある。
ROとは全く別種のネットゲーム内の、ユーザーロール型ゲームのWikiにまで手を伸ばすとは、連中も見境が無いもので。
リネージュ資料室でも11/26に最新報告が載っているので、暫くはこのURIに注意が必要かと。

そのネトゲも支那ゴールドファーマーが一部で跋扈しているけどね( ﾟдﾟ)､
991 ：946 sage ： 2007/11/28(水) 12:55 ID:fid8SIHw0: > Yahoo!ニュースカスタマーサービス○○です。
> 返答が遅くなりまして申し訳ございませんでした。
>
> Yahoo!みんなのトピックスをご利用いただきありがとうございます。
>
> 誠に恐れ入りますが、Yahoo!みんなのトピックスの機能紹介や不具合の
> 修正等は、下記のブログにてご案内しております。
>
> お手数ですが、サポートにつきましては下記の公式ブログにて行わせて
> いただきますので何卒ご了承ください。
>
> ◇みんなのトピックス公式ブログ
> ttp://blogs.yahoo.co.jp/gogo_mintopi
>
> なお、みんなのトピックスに不適切な投稿を見つけられた場合は、
> 誠にお手数ですが、各投稿に表示されている［違反報告］ボタンを
> クリックして、ご報告くださいますようお願いいたします。
>
> これからもYahoo! JAPANをよろしくお願いします。

スパムコメントだらけのブログにコメントしても見ることはないだろなぁ…
［違反報告］はYahoo!IDとらなあかんし。。。
992 ：(^ー^*)ノ～さん sage ： 2007/11/28(水) 12:58 ID:O/s+eC0F0: ライブドアにまた中華のIDが確認された。
liu20071130

罠Wikiも確認。
993 ：(^ー^*)ノ～さん sage ： 2007/11/28(水) 13:33 ID:fby2IERW0: >>990
main.htmは、数字をキャラクタに変換して、htmlを生成して実行する奴だったので
Excelで数字をキャラに変換してみた結果、ファイル名２つ確認。

main.htm:TrojanDownloader:JS/Agent.FT(大半はスルーだが本体をブロックできれば実害なし）
-->http://www■caremoon■net/wiki/st.exe
-->http://www■caremoon■net/wiki/f2.exe

st.exe:Trojan.Win32.Inject.ix
f2.exe:Trojan-PSW.Win32.OnLineGames.fcj

st.exeはマカフィー、ノートンがスルー。カスペ、NOD32は撃墜。
f2.exeはほとんどのセキュリティソフトが撃墜。検体提出行ってきますかね…。
994 ：(^ー^*)ノ～さん sage ： 2007/11/28(水) 20:00 ID:O/s+eC0F0: 中華の書き込みでこれを見つけた、やばいっしょ。

> 敢えて戦士でMaridにソロチャレンジ...ファイナルファンタジー FF11 ソロ
> 219■106■240■181/lib/smarty/internals/core■rmdir1■php

ホスト名 s05.tekunoro.co.jp

サイトクラック。
連絡は入れたがどうなるやら。
995 ：(^ー^*)ノ～さん sage ： 2007/11/28(水) 20:38 ID:CnIdQeMr0: もう本気でRO起動するPCとネットブラウズするPCとで分けたほうが良いのかも知れんね
996 ：(^ー^*)ノ～さん sage ： 2007/11/28(水) 20:39 ID:j+bGEpy80: また○○ノロ・・・
997 ：(^ー^*)ノ～さん sage ： 2007/11/28(水) 20:54 ID:fby2IERW0: >>994
http://219■106■240■181/lib/smarty/internals/core.rmdir1.php
http://www■lineagecojp■com/rbt1/main.htm
http://www■lineagecojp■com/tro/main.htm
http://www■lineagecojp■com/ie/main.htm
http://www■lineagecojp■com/ff11/wm/main.htm
http://www■lineagecojp■com/tmsn/main.htm

http://www■lineagecojp■com/rbt1/tt1.exe
http://www■lineagecojp■com/tro/tro.exe
http://www■lineagecojp■com/ie/ie.exe
http://www■lineagecojp■com/ff11/wm/tff11.exe
http://www■lineagecojp■com/tmsn/tmsn.exe

main.htmは同一フォルダにある下記のファイルをＤＬ＆実行させようとする。

Ms06014.htm
Ms07004.js
Ms06046.htm
ani.c
ani.asp?id=1314
Xunlei.htm
StormII.htm
Yahoo.htm

難読化されているものは、解読していないが、ファイル名が直接出ているものが
３ファイルあり、同じ物が記載されていることから、複数の手法で１つのトロイを
落とさせようとしている模様。試みられている手法のうち、１つでも穴があれば
入手してしまう可能性がある。

本体自体は、VirusTotalを見る限りでは、きちんとパターン更新をしている
セキュリティソフトであれば、ほとんど撃墜している。

本体
tt1.exe : Trojan-PSW.Win32.Delf.ads
tro.exe : Trojan-PSW.Win32.Maran.by
ie.exe : not-a-virus:AdWare.Win32.BHO.cd
tff11.exe : Trojan-PSW.Win32.OnLineGames.fcj
tmsn.exe : Trojan-PSW.Win32.Agent.ka
998 ：(^ー^*)ノ～さん sage ： 2007/11/28(水) 21:00 ID:CnIdQeMr0: そろそろ誘導貼っておくぜ

アカウントハック総合対策スレ9
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/
999 ：(^ー^*)ノ～さん sage ： 2007/11/28(水) 21:09 ID:fby2IERW0: >>997（続き）
これは本体ではないので検出しないセキュリティソフトも多数。
カスペはすべて検知可能。

ダウンローダ
main.htm : Trojan-Downloader.HTML.Cursor.e
Ms06014.htm : Trojan-Downloader.JS.Psyme.kf
Ms07004.js : Trojan-Downloader.JS.VML.a
Ms06046.htm : Exploit.HTML.Ascii.ai
ani.c : Exploit.Win32.IMG-ANI.ac
ani.asp?id=1314 : Exploit.Win32.IMG-ANI.ac
Xunlei.htm : Trojan-Downloader.JS.Small.ft
StormII.htm : Exploit.JS.Agent.aw
Yahoo.htm : Exploit.HTML.IESlice.z
1000 ：(^ー^*)ノ～さん sage ： 2007/11/28(水) 21:09 ID:fby2IERW0: アカウントハック総合対策スレ9
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/

セキュリティ対策、質問・雑談スレ3
http://enif.mmobbs.com/test/read.cgi/livero/1186660300/
1001 ：１００１ ： Over 1000 Thread: このスレッドは１０００を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。

DAT2HTML 0.35f FIX(_skin_simple02) Converted.