セキュリティ対策、質問・雑談スレ4

1 ：（○口○*）さん ： 2007/12/17(月) 20:05 ID:mv4GNvCz0

※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※

アカウントハックが横行する昨今、セキュリティに関して話し合いましょう。
・ウイルスソフトやスパイウェアチェックソフトなどの一般的な質問。
・アカウントハック対策に関しての討論など。
・セキュリティ関係の最新情報、ニュースなど。
・アカハックを踏んでしまった/アカハックと関係のないものを踏んでしまった時の相談
・アカハックに関してはRO板の総合対策スレでも回答しますが、極力こちらをご利用下さい。
・アカハックと関係無いものに関する相談が総合スレに書き込まれた場合、こちらに誘導を。
・危険性があるURLは必ず「.」を「■」に置き換えて貼り付けください。

アカウントハック総合対策スレ9
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/

■スレの性格上、誤って危険なURLがそのまま貼られてしまう可能性がある■
■URLを無闇に踏んで回らないこと。報告・相談はテンプレを利用すること■

現在のテンプレは暫定的なものです。スレの話し合いの結果はROセキュリティWikiへ。

・ROセキュリティWiki
　　http://rosafe.rowiki.jp/

※ ID/Pass/サーバ/キャラ名等の情報は公開しないでください
※ ネタや程度を超えた雑談・脱線はご遠慮ください

・スレ立て依頼は>>970がしてください。反応がなければ以降10ごとに。

【過去スレ】
セキュリティ対策、質問・雑談スレ3
http://enif.mmobbs.com/test/read.cgi/livero/1186660300/

2 ：（○口○*）さん sage ： 2007/12/17(月) 20:06 ID:mv4GNvCz0

【参考アドレス】
・ROアカウントハック報告スレのまとめサイト
　　http://sky.geocities.jp/vs_ro_hack/
・安全の為に (BSWikiより)
　　http://smith.xrea.jp/?Security
・リネージュ資料室 (応用可能な情報が多数)
　　http://lineage.nyx.bne.jp/
【このスレでよく出てくるアプリケーション】
・PeerGuardian2
　　http://sky.geocities.jp/vs_ro_hack/pg2.htm
・WindowsUpdate
　　http://www.update.microsoft.com/
【PCにウィルス対策ソフトを導入してない方へ】
・カスペルスキー：オンライン ウイルス＆スパイウェアスキャナ
　　http://www.kaspersky.co.jp/scanforvirus/
・Kaspersky Anti-Virus (体験版)
　　http://www.kaspersky.co.jp/trial/
　　http://www.just-kaspersky.jp/products/try/
・NOD32 アンチウイルス (体験版)
　　http://www.canon-sol.jp/product/nd/trial.html
・ESET Smart Security（体験版）NOD32＋FW機能
　　http://canon-sol.jp/product/ess/trial.html
・AVG7.5 free（無料）
　http://free.grisoft.com/doc/download-free-anti-virus/jp/frt/0
・Avast4 HomeEdition（無料）
　http://www.avast.com/jpn/download-avast-home.html
・KINGSOFT InternetSecurty Free（無料）
　http://download.kingsoft.jp/kisfree/

3 ：（○口○*）さん sage ： 2007/12/17(月) 20:07 ID:mv4GNvCz0

■PG2用 RO許可リスト■
RAGNAROK-JP:61.215.212.0-61.215.212.255
RAGNAROK-JP2:61.215.214.128-61.215.214.255
WEB-SYSTEM:61.215.220.64-61.215.220.255
RAGNAROK-JP2:211.13.228.0-211.13.228.255
GUNGHO-MODE:211.13.229.0-211.13.229.255
RAGNAROK-JP3:211.13.232.0-211.13.232.255
RAGNAROK-JP4:211.13.235.0-211.13.235.255
GUNGHO-PAT1:219.123.155.160-219.123.155.191
GUNGHO-PAT1:221.247.195.160-221.247.195.191
GUNGHO-PAT3:125.101.19.64-125.101.19.95
GUNGHO-PAT4:124.32.117.192-124.32.117.22

■セキュスレ2-969によるhosts更新支援スクリプト■

あこすれてんぷら避難所を間借りする事で公開しました。
ttp://acopri.s250.xrea.com/index.php?hostsRenewScript

一応説明を付けていますが、自己責任、という事でお願いします。
cfgとvbsの２ファイル構成で、動作に必要なwget等は付属してません。

※ 配布ページとファイルをよく読んで、【自己責任にて】 ご利用ください

4 ：（○口○*）さん sage ： 2007/12/17(月) 20:07 ID:mv4GNvCz0

【質問・相談の際の注意】
・誤クリックによる感染を防ぐ為に危険なアドレスは　.(ドット)を別の文字に
　置き換えて報告して下さい (■がよく使われています)
・質問前後にテンプレやまとめサイト等を見て知識を深めると更にGoodです
・回答者はエスパーでは有りません。情報は出来るだけ多く。提供した情報の量と質に
　応じて助言の量と質は向上します
・結局は本人にしかどうにも出来ない事を忘れてはいけません
・基本的な対処方法は、総合対策スレの>>5をお読みください。
　http://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/5

----------相談用テンプレ----------

【　 　 　 気付いた日時　 　 　 　 　 】 (感染？に気付いた日時)
【不審なアドレスのクリックの有無　】 (blog/bbs/Wiki等で踏んだ記憶の有無とそのアドレス)
【　　アドレス 　 】www■xxx■yyy/index.htm(ドメインのドット(.)を■等で置き換える事。h抜き等は駄目)
【　 　　 OS　 　 】WindowsXP Home SP2 (SP等まで正確に書く)
【使用ブラウザ 】IE6.0 sp2 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【　アンチウイルスソフト 】 (NortonInternetSecurity2007 等)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンで Trojan-PSW.Win32.〜 発見 等)
【テンプレの参考サイトを読んだか】 (Yes/No/今から読みます)
【hosts変更】(有/無　[有りの場合は最終更新は何時ごろか])
【PeerGuardian2導入】(有/無 [有りの場合は参照元サイトはどこか)
【説明】
(『怪しいアドレス』との判断した理由、症状を詳しく書く)

5 ：（○口○*）さん sage ： 2007/12/17(月) 20:07 ID:mv4GNvCz0

【安全対策の簡易まとめ】
以下は要点となります。詳しくは関連サイトを見てください。

　・アドレスをホイホイ踏まない。よく確認する。
　・出所の怪しいプログラムやスクリプトを実行しない。
　・定期的なMicrosoftUpdate及び、各種ソフト(各種Player、Reader等)のアップデートを行う
　・アンチウイルスソフトの導入とウイルス定義ファイルの積極的な更新を行う
　・パーソナルファイアウォールソフト等を導入する
　　　・hostsの利用した危険ドメインのブロック
　　　・PeerGuardian2を使った危険IPのブロック　など
　・IEコンポーネント未使用のブラウザに乗り換える(Firefox、Opera等)
　・IEを使う場合は下記を設定
　　・信頼できるSite以外ではスクリプトやActiveXを切る
　　　：インターネットオプションのセキュリティの部分で設定可能
　　・偽装jpg対策(IE7とIE6SP2限定。IE6SP1以前では出来ない)
　　　：インターネットオプション→セキュリティ→レベルのカスタマイズ
　　　　→「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする

6 ：（○口○*）さん sage ： 2007/12/17(月) 20:14 ID:mv4GNvCz0

■なにか踏んだ時に取るべき対処■
０．解決するまで、ログインやパスワード変更を行なわない。踏んだ後にパスワード入力などを行なってしまった場合
　　安全な環境（テンプレぽいものや、Ragnarok板側のテンプレ、Wikiを参照）からパスワード変更。

１．除去し、クリーンな環境に戻す
１−１．発見された場合。
それを削除して完了

１−２．発見されなかった場合
１−２−１．リスクを覚悟でそのまま使う（非推奨）
　　　 　　 リスクを減らす為に、NOD32、カスペなど複数のソフト（試用版が入手できる筈）でスキャンを繰り返し
　　　 　　 安全である可能性が高いことを確認すること。
　　　 　　 ただし複数のソフトを同時にインストールすると干渉してOSが不安定になる事があるので注意。
１−２−２．再インストール
メーカー製の場合、データのバックアップをとって、リカバリーをかける。
自作やショップブランドの場合、データのバックアップをとって、ＯＳを入れなおす。

１−３．安全な環境にする
１−３−１．WindowsUpdateをかける
１−３−２．ウィルス対策ソフト・ＦＷ・PG2を導入し、設定する。
　　　　　　　　　（可能なら、スパイウェア対策のソフトも導入し、定期的にスキャンする）
１−３−３．セキュリティソフトの定義ファイルを最新にする。（当然定期的に自動更新する設定に）

１−４．環境を戻す
　　　　　バックアップした「データ」を戻す。各種ソフトを再インストール。
　　　　　その後、ウィルススキャンを再度実行。
　　　　　ウィルスはバックアップしたデータ内に潜んでいる可能性があります。

１−５．ガンホーIDを削除す…ではなくて、ようやくROをプレイできる環境になりました、おめでとう。

7 ：（○口○*）さん sage ： 2007/12/17(月) 20:15 ID:mv4GNvCz0

【このリンクは危険？と思ったときに】
変なリンクを見つけた場合、次の方法でチェックしましょう。

1.まとめサイトやリネージュ資料室のhostsや危険ドメイン一覧で確認
　過去に見つかった罠サイトは、これらのサイトに載っています。
　まずはここに載っていないかを確認しましょう。

2.ソースチェッカーオンラインを使って調べる
　多少の知識が必要ですが、ソースチェッカーを使うことでリンク先を調べる事が出来ます。
　ソース内に怪しいコード・スクリプトが無いか調べましょう。
　※安全か危険かの判断は自分で行う必要があります。
　　また画像ファイルをチェックする場合、罠画像ファイルだと発動する恐れもあるので
　　注意してください。

3.スレで質問する
　1.2の方法でも判断出来ない場合、スレで聞いてみるのも手です。
　ただし、このスレは『勇気が無くて見れないサイト解説スレ』ではありません。
　その点だけは注意してください。

質問・報告する場合は「.」を「■」に置き換えるのを忘れないようにしてください。

8 ：（○口○*）さん sage ： 2007/12/17(月) 20:20 ID:mv4GNvCz0

テンプレは以上です。

>>2
BSWiki移転前のアドレスを載せていました。ごめんなさい。下記が正しいものです。

・安全の為に (BSWikiより)
　　http://smith.rowiki.jp/?Security

9 ：（○口○*）さん sage ： 2007/12/17(月) 23:16 ID:qcFHR01Z0

>3
hostsRenewScriptの一時配布先が、アコプリWikiのrowiki.jp移転に伴って替わってる。
xreaの方でアクセスしても自動的に飛ばされてるけど。

ttp://acopri.rowiki.jp/index.php?hostsRenewScript

10 ：（○口○*）さん sage ： 2007/12/18(火) 19:33 ID:sc4eHBaD0

カスペウェブスキャンのレコード数485950かな？でウィルスが40個くらい発見された
びっくりしてサブPCで垢のパスとキャラパスを変えた後にサブPCのほうでカスペウェブスキャンを開くとレコード数が486213・・・

感染したブツをみてみればシステムボリュームインフォ39個とavast!さんのファイル一個・・・
誤検出かとおもいきや新しくなってもどんどん検出されていくーさっきと同じのが両方のPCでｗｗｗｗｗｗ
誰か助けてサブPCにいたってはウィルス一個に感染オブジェクト71とかｗｗｗｗｗもうなにがなんだか

これ、誤検出だよね！？そうだよね！？サブPC検索中にROの画面は固まるわああああああ

見つかったウィルスはTrojan.Win32.Gorshok.aです

11 ：（○口○*）さん sage ： 2007/12/18(火) 19:51 ID:NXIVpdiu0

テンプレ使わんと、ネタと思われても文句言えんぞ。

12 ：前スレ998 age ： 2007/12/18(火) 19:58 ID:A5UuKoesO

前スレ999さん、ありがとうございました。
フルスキャンで何も見つからないようなので、許可してみます。

>10さん
とりあえず落ち着いて頑張れ…！
お節介かもしれませんが、一応アゲておきますね。

13 ：ぺこぺこ age ： 2007/12/18(火) 20:17 ID:CiXgEpcw0

Trojan.Win32.Gorshok.aは、G Data のウイルス研究所では、ウイルス辞書にちゃんとあります。
12月17日に確認されてます。

Trojan.Win32.Gorshok.aはウイルスですよ。

14 ：ぺこぺこ age ： 2007/12/18(火) 20:20 ID:CiXgEpcw0

Trojan.Win32.Gorshok.aは、私のところでは、以下のように検出されました。

When opening file "C:\System Volume Information\_restore{8DE3B3B8-EB90-42FF-8E83-F75BF634D0B2}\RP151\A0052575.dll" the virus "Trojan.Win32.Gorshok.a" from engine "KAV" has been detected. File cleaned: no. File deleted: no. Quarantine: yes.

ウイルス辞書では、次のようになっています。

・Trojan.Win32.Gorshok.a AVK 18.2082 17.Dez.2007
・ちなみに、ウイルス辞書の場所は以下ですので、ご自身でも検索して確認してください。
http://www.antiviruslab.com/jp/

15 ：ぺこぺこ age ： 2007/12/18(火) 20:22 ID:CiXgEpcw0

私の複数のパソコンでも、ほぼ同時に検出されてます。
1つのパソコンで１日２から３回Trojan.Win32.Gorshok.aが検出されてますので、このウイルスは、いますごい勢いで広まっているものと思われます。

16 ：（○口○*）さん sage ： 2007/12/18(火) 20:24 ID:sc4eHBaD0

C:\Program Files\Alwil Software\Avast4\DATA\clnr0.dll 感染: Trojan.Win32.Gorshok.a
C:\System Volume Information\_restore{6222528F-BAD9-4AB2-BE88-1641FC25AFF1}\RP〜〜〜.dll

誤検出の場合はカスペさんに発見されたファイルとレポートを提出でしょうか・・・？
でも\System Volume Information\ってどこにあるんだあああああ
それ以前に自分ひとりの判断じゃ誤検出かどうかも自信がない・・・いったいどうすればぁ・・・

17 ：ぺこぺこ age ： 2007/12/18(火) 20:26 ID:CiXgEpcw0

ちなみに、メーラを起動してないパソコンでもTrojan.Win32.Gorshok.aは検出されてます。
このパソコンでは、ちょっとだけIE7でネットサーフィンしただけなのにウイルスが検出されました。
もちろん、別に怪しいHPを見たわけじゃないんです。

いったい、どういう感染経路なんでしょうね？？

まさか、1時間に1回のウイルス定義自体に感染してるとか？ｗｗ

18 ：ぺこぺこ age ： 2007/12/18(火) 20:29 ID:CiXgEpcw0

\System Volume Information\は、ふつうは非表示です。

表示するには、エクスプローラで、次のようにしてください。
(1)［ツール］−［フォルダオプション］メニューをクリック
(2)［フォルダオプション］画面で、［表示］タブをクリック
(3)詳細設定のリスト内の一番下、［保護されたオペレーティングシステムを表示しない］をOFFにする

ただし、私が試したら、上の操作でフォルダだけは見れますが、中身はアクセスが拒否されました。

19 ：（○口○*）さん sage ： 2007/12/18(火) 20:30 ID:RDHh+HT20

>>10
誤検出の可能性もある。
セキュWikiの検体提出窓口のカスペのところに、現物のファイル送れ。

Trojan.Win32.Gorshok.a という名称のものは、カスペのページを見ると
12/17 16:04に対応したことになっているので比較的新しいもんだな。

20 ：ぺこぺこ age ： 2007/12/18(火) 20:30 ID:CiXgEpcw0

>>16

誤検出じゃないです。
>>14
を参照してください。

21 ：（○口○*）さん sage ： 2007/12/18(火) 20:33 ID:RDHh+HT20

>>17
その時点で、誤検出の可能性が高いと気付け。
賢（さか）しらげに、それはウィルスですとか断言すんな。

セキュリティソフトの検出は万能ではない。すりぬけもあれば、誤検出もある。

すりぬけないこと、新種への対応が早いこと、誤検出の修正が早い事で顧客の信用を
勝ち得ているシステムでも、ユーザーからの報告がなければ、修正はできないんだぞ。

22 ：（○口○*）さん sage ： 2007/12/18(火) 20:33 ID:sc4eHBaD0

>>19
わかりました。>>18さんのやり方でファイルをコピーとってzipにつめて送ってみます

23 ：（○口○*）さん sage ： 2007/12/18(火) 20:35 ID:sc4eHBaD0

表示したものもアクセスを拒否されてしまった・・・
とりあえず感染したavast!のファイルと検査結果を送ってみます

24 ：ぺこぺこ age ： 2007/12/18(火) 20:36 ID:CiXgEpcw0

ちなみに、私もすでに同様に送りました。
怪しい時は、>>18さんの方法がいいと思います。

25 ：（○口○*）さん sage ： 2007/12/18(火) 20:41 ID:Ms73a0WY0

そろそろ終わった？

26 ：ぺこぺこ age ： 2007/12/18(火) 20:42 ID:CiXgEpcw0

>>21

あなたのほうが、よっぽど賢（さか）しらげに言ってる。
しかも、あなた、言葉遣いが乱暴すぎでは？
どうしていきなり食って掛かるのでしょう？？

>>「賢（さか）しらげに、それはウィルスですとか断言すんな」

それをいいたいなら、ウイルス辞書を書いている研究所に言うべきでは？
さっきあげた研究所が「ウイルス」だと書いているのだから。

むしろ、「ウイルスでないかもしれないものは、ウイルスだ」と疑ってかかるべき。
ウイルスかどうかわからないものを、「ウイルスではないかも」というあなたのような甘い方向に疑うほうがよほど危険。

ウイルス対策は、厳重で疑い深くやらなきゃだめ。
素人か？

27 ：（○口○*）さん sage ： 2007/12/18(火) 20:49 ID:JSPprVBO0

専ブラにはNGIDという素晴らしい機能があるじゃないか
皆も有効活用しようぜ

こういうのもセキュリティの一環だと思う

28 ：（○口○*）さん sage ： 2007/12/18(火) 20:54 ID:RDHh+HT20

>>23
1.検体を１つ（可能なら検出されたもの全部）パスワード付のzipに固める。
　パスワードは、infected か virus が良いようだ。
2.カスペの検体受付窓口に、提出する。Kaspersky Lab <newvirus@kaspersky.com>
3.メールのタイトルは何でもいいが、「sample with the possibility of incorrect detection」
　とでもしとけ。

（文例の日本語のコメントは消すんだぞ）

−−− 文例ここから −−−
Hello.
I suspect attached file is infected with virus.
Please examine this.
Details are as follows.
Thanks in advance.

<Attached file info>
Decompression password : infected（←ここは設定したパスワード）
File name : virus.zip（←添付するファイル名）
In file : virus．exe（←圧縮ファイル内の実体のファイル名）

<Where did I get this?>
http://exmaple.com/virus．exe（←アドレスの代わりにフォルダとファイル名かな）

<Aditional Info>
（ここに追加情報を記入。「Avast使用」「誤検出の可能性あるので確認下さい」と記載）
（カスペのパターン番号が判れば、それも記載）
I am using Avast!
Since there is possibility of incorrect detection, please check.
DB File:2007/12/18 18:15:28 Record.486220

<OS>
Windows XP pro SP2

<Country>
Japan

<Detection possible other software>
Trojan.Win32.Gorshok.a
−−− 文例ここまで −−−

29 ：（○口○*）さん sage ： 2007/12/18(火) 20:55 ID:RDHh+HT20

>>26
その名称のウイルスの存在は否定してないよ。
検出状況が異常なのに、誤検出の可能性を排除して、感染してますとか断言するなと。

このスレも含めて、正確な情報を伝達して欲しい。可能性は可能性として扱ってくれ。
可能性を断定情報としてかかれると、他の人が困るからやめてくれ。

>>27
それもそうだな。でも、不正確な情報を自信たっぷりに発言する迷惑行為は、
ここでは許すべきじゃないと思うんだ。

30 ：（○口○*）さん sage ： 2007/12/18(火) 21:42 ID:NQXf47/S0

486280にレコード数変わってるな

31 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2007/12/18(火) 22:30 ID:/in5RRbj0

>>10
もう終わった事かも知れませんが
とりあえずテンプレを埋めていただければ
後から来る人も同じ事象で迷うことも少なくなりますので
よろしくお願いします。

その後どうなったか、
誤検出だったかそうでなかったかの報告があると助かります。

32 ：（○口○*）さん sage ： 2007/12/18(火) 23:59 ID:lbHWX/eI0

カスペルスキーから連絡がないですねぇ・・・
現在のデータベースのリリース日は 2007年12月18日 レコード数は 486393 です。

が、まだ検知されるようです

33 ：（○口○*）さん sage ： 2007/12/19(水) 00:10 ID:Fuusr6UR0

同様に検知されている人がいるのか聞きたいですわ

しかし、どんなウィルスなんだろ

34 ：（○口○*）さん sage ： 2007/12/19(水) 03:50 ID:VA6IaOgc0

昔から、デマウイルスは存在したな。それこそ、LHA等は有名であったが故に何度となく混入疑惑が流れた。
これが所謂デマウイルス。人づてに不明瞭な情報が感染していき、フレームが発生するのはまさにウイルスの一種とも言えよう。

個人的な過信、民間療法を大袈裟に広めるのは、それ自体が危険性を含んでいるのだ。

35 ：（○口○*）さん sage ： 2007/12/19(水) 05:10 ID:CBMoAUGK0

これ、Avast!を使ってる人は全員検出されるんじゃなかろうか。
まぁ、無視したけどね。


Ω＜実はこれは、Avast!シェアを奪うためのカスペの戦略だったんだよ！
Ω ΩΩ＜ry

36 ：（○口○*）さん sage ： 2007/12/19(水) 05:14 ID:Fuusr6UR0

とりあえず俺はアヴェスト一度消してみたけど
結局隠しファイルのエグゼ全部同じのに感染してるって言われたわ

うん、我慢できなくてROにinしてしもた

37 ：（○口○*）さん sage ： 2007/12/19(水) 09:28 ID:A43KE3vz0

PicoLogのWorld4スレに.rtfというファイルがあるけれど、これはなんだろう？
何も見れないわ、踏んでしまったわで…

38 ：（○口○*）さん sage ： 2007/12/19(水) 09:39 ID:jutueG6S0

※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※

37が見てらんないほど情けないからレスするけど、知らない拡張子はぐぐるくらいしろ
RTF＝リッチテキストフォーマット、Wordなどワープロソフトのデータフォーマットと出る
ワープロソフトで開けば会話ログ含めた晒し文書

39 ：（○口○*）さん sagd ： 2007/12/19(水) 11:47 ID:Ycek487EO

>>33

ちょっと調べてみた。
英文字のサイトだったから翻訳した一文をそのまま写しただけなので悪しからず。

torjan.win32.gorshok.aはtorjan.win32.agent.akkの変種である。
torjan.win32.gorshok.aは偽のアンチスパイウェア団体名プログラムです。


全文写そうかと思ったけど翻訳が変だからやめとこ…
んで｢torjan.win32.agent.akk｣ってなんぞ？と思って調べたらお使いのブラウザがハイジャックされたと警告が出るよくわからんスパイウェアなんだねぇ。
つまりgorshok.aはこれと同じ様な動作を行うんだと思う…多分。

ちなみにどうでもいいと思うけどagent.akkに感染した人によると感染原はアメリカらしい。

40 ：（○口○*）さん sage ： 2007/12/19(水) 11:49 ID:Ycek487EO

ごめんsageミス;

なんだよsagdって…しっかりしろ自分orz

41 ：（○口○*）さん sage ： 2007/12/19(水) 15:29 ID:OPYjuxWf0

向こうのスレ動いてねー

42 ：（○口○*）さん sage ： 2007/12/19(水) 15:54 ID:8ilWOfRj0

動かせよ

43 ：（○口○*）さん sage ： 2007/12/19(水) 15:59 ID:MC9topyo0

昨日までHITしていたファイルが検出されなくなりました
検体掲出してみたけどカスペからは反応はなし

でも誤検出でFAだったようだ

44 ：（○口○*）さん sage ： 2007/12/19(水) 22:56 ID:s9VXeTs90

とりあえずだけども、少し前から爆撃してる中華の新しい奴を
別のMMOのスレで見かけたから一応乗っけておきます。
順々にMMO系のスレに爆撃してるっぽいので一応警戒用に。
auction camp bot ^^
http://205■209■140■213:8080/auction■rar
中身はauction■exeのみはいっててカスペはスルーしたのでVirusTotalに投げてみた。
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - Potentially harmful program Ardamax.NI
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - Trojan.Dropper-3067
DrWeb - - BackDoor.Pigeon.origin
eSafe - - -
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - -
F-Secure - - W32/Delf.BDOS.dropper
Ikarus - - Trojan.Agent.Delf.CS
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32v2 - - probably unknown NewHeur_PE virus
Norman - - W32/Ardamax.CRT
Panda - - Suspicious file
Prevx1 - - -
Rising - - -
Sophos - - Mal/Delf-G
Sunbelt - - -
Symantec - - -
TheHacker - - Backdoor/Hupigon.acma
VBA32 - - Backdoor.Win32.Delf.cir
VirusBuster - - -
Webwasher-Gateway - - -

検出率は低いので一応注意を。

45 ：（○口○*）さん sage ： 2007/12/20(木) 00:21 ID:Ktg2t2WP0

auction■exeも自己解凍書庫。
222■exeがトロイ、他は国産BOT(保障はしない)。

46 ：（○口○*）さん sage ： 2007/12/20(木) 00:57 ID:3ONecbQM0

>>44-45
報告乙。わたしも未検出の所に一通り出してきました。

auction■exeはrarと検出率同じでしたが、ばらして出てきた222■exeの方が
検出率が落ちる謎。検体提出したからいずれ対応されるだろう。多分。

47 ：（○口○*）さん sage ： 2007/12/20(木) 02:15 ID:3ONecbQM0

「ウイルスバスター2008」の修正プログラム緊急公開
http://internet.watch.impress.co.jp/cda/news/2007/12/19/17940.html

サポート情報
http://www.trendmicro.co.jp/support/news.asp?id=1037

48 ：（○口○*）さん sage ： 2007/12/20(木) 08:05 ID:9KaYkP7VO

今朝、カスペ使っててワーム見つかった人いる？
カスペで誤検知くさいらしい。
携帯だから詳細は書けないけど、エクスプローラがワームとして見られてしまってるみたいだ。
削除すると起動できなくなるから様子見しておいたほうがよさそうです。
まぁ、削除しちゃって起動できなくなって、リカバリ中だから携帯なんだけどね…

49 ：（○口○*）さん sage ： 2007/12/20(木) 12:45 ID:Ktg2t2WP0

もうパターン修正されて引っかからないよ。

50 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2007/12/20(木) 16:49 ID:YI53+fjB0

>>44
件のものは徐々に爆撃されているようです。
ただIP表記だとhostsに加えても駄目なので
とりあえずwhoisで調べてみました。で、出てきた結果に

ReferralServer: rwhois://rwhois■managedsg-inc■com:4321
NameServer: RDNS1■MANAGEDSG-INC■COM

とありましたが…
この場合managedsg-inc■comの部分をリストに記述すればよいのでしょうか？
過去のIP表記のものを見直して調べたのですが判断がつかなかったので
解る偉い人ご教授願います。

51 ：（○口○*）さん sage ： 2007/12/20(木) 17:13 ID:3ONecbQM0

>>50
出てきたドメイン名→IP変換で確認の上登録すればいいんじゃないかな。
50に出てくる表記だと、正引きでIPにならないから「今回は」アウト。

IPの管理してるとこの名前が出ちゃってるだけじゃないかな。
現時点で、>44のIPは逆引きできるドメイン名の登録ないみたい。

52 ：（○口○*）さん sage ： 2007/12/20(木) 17:22 ID:3ONecbQM0

（危険じゃないけど、混乱をまねくと嫌なので変換）
ttp://www2■cyberoz■net/city/novice/domaintool.html#DNSreverse

ここで、DNS逆引きできるようです。実行結果を見ると ANSWER: 0 です。

>44の検体入手時も、最初は404で、暫くリトライさせてたら繋がってダウンロードされたので
時々、サーバー落としてるような気がしないでもない。

53 ：（○口○*）さん sage ： 2007/12/20(木) 17:24 ID:Ktg2t2WP0

だめでしょ。
hostsはあくまで名前解決のための物なのでIP直書きにはどうにも。
シカトするかファイアウォールでちまちま設定するか。
ツールを装ってるんだからわざわざrarを解凍して実行するような
BOTer予備軍は放っときゃいいんじゃね?

54 ：（○口○*）さん sage ： 2007/12/20(木) 18:21 ID:pUC7UGfa0

>53
しかし例えばその222■exeをiframeで仕込むようなhtmlを作り、それを新規の
罠ドメインでセットされてURL爆撃をされた場合、被害に会う人が出る。
更にそれが各種アンチウィルスソフトをスルーする新型なら、尚更危険。

先日にゅ缶でURL爆撃があり、使われたトロイは新種でカスペがスルーして数時間の
対応待ち状態になった事があった。
あの時踏んだ人が何人か居たけど、あれと同じ状況がまた起きる可能性がある。

配布元が怪しいツールだろうが、検体入手してメーカーに提出する分には損にはならない。

BOTer予備軍を守る気は更々無いが、スルーされるトロイをそのまま放置するのは危険すぎる。
怪しいツールに手を出して感染・ハク受けるってのは自業自得だと思うし同情する気には
なれんけど、検体提出等はそれとはまた別の問題だと思う。

55 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2007/12/20(木) 19:27 ID:PaebUuVh0

書き込んだらサーバーが重くて全部跳んでしまった…。
コピペ確保怠ってを油断して涙目。

>>47
バスター住人なのでドッキリ。

>>51
ありがとうございます。そこまで頭が回っていませんでした…。
確かに出てきた結果を検索掛けてIPが出てくれば存在するドメインって事になるのですね。

>>52
サイト情報ありがとうございます。
それにしてもあのIPの所は自家サーバーで直接罠をばら撒いているんでしょうか…。
51の人が言われるようにドメイン名が無いのが厄介です。

>>53
以前質問したときにIP直書きはスルーと指摘されたので、
今回の罠のドメインが判ればと思いwhois検索してみたのですが残念です。
ツール装いというのが当方ぱっと見で判らなかったりしますが、
そんな風に何も知らない人が踏んでしまうと思うと厄介だなと…。

>>54
検体確保提出してくれる人が居てくれて
手間を考えると本当に感謝しきりなのです。

56 ：（○口○*）さん sage ： 2007/12/20(木) 20:40 ID:8SC8+4Aw0

「Flash Player」に危険な脆弱性が多数、最新版にバージョンアップを
ttp://itpro.nikkeibp.co.jp/article/NEWS/20071220/289875/

既出かも知れないが念のため書いておく

複数のブラウザを使っている人は、各ブラウザで同じ作業を繰り返す必要あり

57 ：（○口○*）さん sage ： 2007/12/20(木) 21:06 ID:Ktg2t2WP0

FlashPlayer9.0.115は4日に入れたな…。

58 ：（○口○*）さん sage ： 2007/12/21(金) 01:06 ID:SR6/SSnt0

hostsによる防衛策が浸透してきたので、連中もIP直での記述を増やしてくるだろう。ドメイン取得も無料ではないので、限度があるだろうし。
FF11の方でも、PG2の導入推奨が進んできたので、今後は、これらをターゲットにした攻撃が出てくる可能性も考えられる。
以前より、アンチウイルスソフトを機能停止させるマルウェアは存在したが、オンラインゲームにターゲットを絞ったスピア攻撃なら、より容易であろう。
賢いルータなら、CIDRのような形式で特定IPレンジを塞ぐ。そうでないなら、Linux+iptablesのようなFWの導入も検討してよいかもしれない。

「普通のサイトももはや信用できない」―ラック新井氏が警告：ITpro
ttp://itpro.nikkeibp.co.jp/article/NEWS/20071219/289841/
「油断は禁物」、官公庁やオンライン辞書のサイトにも「わな」：ITpro
ttp://itpro.nikkeibp.co.jp/article/NEWS/20071218/289684/

このように、もはやInternet上に「聖域」は存在しない。

59 ：（○口○*）さん sage ： 2007/12/21(金) 02:23 ID:Oy6WtyYB0

こんな時間に失礼します。
非常に基本的なことで詰まってしまいました；
今日買って来たカスペ7.0をインストールして、早速ROを起動しようとすると
右下に、プロアクティブディフェンスの通知ウインドウが出たので許可。
しかし、その後今までのようにROの窓が出ません。
念の為カスペを開いて「レポート→監視イベント｣を見ても許可になっています。
ROをするのに何か方法があるのでしょうか？;
こちらでよいのかわからないのですが、教えて頂ければと思い伺いました。
よろしくお願いします。

60 ：（○口○*）さん sage ： 2007/12/21(金) 02:28 ID:xhsnxhUW0

信頼ゾーンに起動ファイル入れてみ

61 ：59 sage ： 2007/12/21(金) 03:20 ID:Oy6WtyYB0

早速のお返事有難うございます。
設定→脅威と除外→信頼ゾーンの設定→信頼するアプリケーション→
C:\Gravity\RagnarokOnline\ragexe■exeを追加しましたがやはりダメでした。
一度目は開いているファイルをスキャンしない、だけにチェックしていたので、
二度目はアプリの動作を監視しない、レジストリへの操作を監視しない
にもチェックを入れましたが、やはりダメでした。

ちなみに
先ほどの監視イベントでは
2007/12/21 2:11:42 C:\Gravity\RagnarokOnline\GameGuard\GameMon■des この処理は許可されました
この処理は許可されました、でした。

信頼ゾーンに入れるものが間違っているのか、それさえもわからなくて
非常に恐縮ですが、何かお答えを頂ければ幸いです。

62 ：（○口○*）さん sage ： 2007/12/21(金) 03:44 ID:xhsnxhUW0

あーそれも一緒に入れないとダメかな
信頼ゾーン見てみたらGameMon.desも入ってたわ

63 ：59 sage ： 2007/12/21(金) 04:08 ID:Oy6WtyYB0

有難うございました、立ち上がりました！
説明書読みながら、今度は除外マスクの方にGameMon.desとragexeを入れて
要求されたので再起動後立ち上げ(最初の窓はいつも出る)クリックしたところ
さっきとは違う真っ赤な通知ウインドウが出たので再度信頼ゾーン(上から3番目)
にいれたら、無事動きました！
凄い叫び声が出てえらいびっくりしましたが；；
本当に本当に60番さんのおかげです、本当に感謝しています。
こんな時間に何度もお答え頂いて、本当に有難うございました。

64 ：（○口○*）さん sage ： 2007/12/21(金) 13:51 ID:HTk8rmYI0

なんかIE6XPSP2用のWUがきた

65 ：（○口○*）さん sage ： 2007/12/21(金) 14:16 ID:XVz6nBgT0

>>64
XP SP3 RC(リリース候補)当てた後だとなんも来てないな。

66 ：（○口○*）さん sage ： 2007/12/21(金) 14:25 ID:nqFf1VZW0

>>64
XPSP2+IE6SP2のセキュリティパッチで一部で問題が出たので
それを回避するパッチ。

67 ：（○口○*）さん sage ： 2007/12/22(土) 02:31 ID:KjgQYo9X0

火曜のパッチ後、初めてログインしたがカスペが稼働していると異常に重いな
アイテム拾ったり露店を開くだけで一瞬停止するし

カスペ止めると以前と同じように動けるが

68 ：（○口○*）さん sage ： 2007/12/22(土) 03:53 ID:DF4NRFG/0

【　 　 　 気付いた日時　 　 　 　 　 】 12月22日
【不審なアドレスのクリックの有無　】 (blog/bbs/Wiki等で踏んだ記憶の有無とそのアドレス)
【　　アドレス 　 】ttp://wikiroom■com/nakky/index■php?Odinwiki　内のリンクにあった
ttp://www■interzq■com/bbs　を踏んだ時にウィルスバスターが反応
【　 　　 OS　 　 】WindowsXP Home
【使用ブラウザ 】IE6.0
【WindowsUpdateの有無】 自動更新があるごとにアップデートしていました
【　アンチウイルスソフト 】 ウィルスバスター2005（アップデートは欠かさずしていました）
【その他のSecurty対策 】 不明
【 ウイルススキャン結果】 まだ検索中ですが、現段階でJET.AGENT.OLT、TROJ_Generic、VBS_PSYME.XR検出
【テンプレの参考サイトを読んだか】 読みながらウィルススキャン中
【hosts変更】わかりません；
【PeerGuardian2導入】わかりません･･･
【説明】
上記のアドレスをクリックしたところ、Odin Gv板というページ名は出てきたのですが
真っ青な背景ページが表示されただけで、なかなかページが表示されずPCが重いのかと思っていたところ
ウィルスバスターが反応しました。アドレスを踏んでしまったPCはROをインストールしていないPCで
アドレスを踏む以前にはこのPCで、アトラクションセンターにログインした事もありますが、
アドレスを踏んだ後にログインをしたり、ROをインストールしたりといった事はしていません。
しかしこのアドレスを踏んだPCはROをインストールしてあるPCの回線から無線LANを使い、ネットをしています。
その場合、ROをインストールしてあるPC（アドレスを踏んでいないPC）にも危険が及ぶ事はあるのでしょうか。
ウィルスの種類がアカウントハック系なのかもこれから調べるのですが
無線LANといえど、ウィルスバスターでアドレスを踏んだPCは対策をしますが、
ROのインストールしてあるPCと関係があると思うと不安です。


よろしければご回答よろしくおねがいします。

69 ：（○口○*）さん sage ： 2007/12/22(土) 03:53 ID:DF4NRFG/0

【　 　 　 気付いた日時　 　 　 　 　 】 12月22日
【不審なアドレスのクリックの有無　】 (blog/bbs/Wiki等で踏んだ記憶の有無とそのアドレス)
【　　アドレス 　 】ttp://wikiroom■com/nakky/index■php?Odinwiki　内のリンクにあった
ttp://www■interzq■com/bbs　を踏んだ時にウィルスバスターが反応
【　 　　 OS　 　 】WindowsXP Home
【使用ブラウザ 】IE6.0
【WindowsUpdateの有無】 自動更新があるごとにアップデートしていました
【　アンチウイルスソフト 】 ウィルスバスター2005（アップデートは欠かさずしていました）
【その他のSecurty対策 】 不明
【 ウイルススキャン結果】 まだ検索中ですが、現段階でJET.AGENT.OLT、TROJ_Generic、VBS_PSYME.XR検出
【テンプレの参考サイトを読んだか】 読みながらウィルススキャン中
【hosts変更】わかりません；
【PeerGuardian2導入】わかりません･･･
【説明】
上記のアドレスをクリックしたところ、Odin Gv板というページ名は出てきたのですが
真っ青な背景ページが表示されただけで、なかなかページが表示されずPCが重いのかと思っていたところ
ウィルスバスターが反応しました。アドレスを踏んでしまったPCはROをインストールしていないPCで
アドレスを踏む以前にはこのPCで、アトラクションセンターにログインした事もありますが、
アドレスを踏んだ後にログインをしたり、ROをインストールしたりといった事はしていません。
しかしこのアドレスを踏んだPCはROをインストールしてあるPCの回線から無線LANを使い、ネットをしています。
その場合、ROをインストールしてあるPC（アドレスを踏んでいないPC）にも危険が及ぶ事はあるのでしょうか。
ウィルスの種類がアカウントハック系なのかもこれから調べるのですが
無線LANといえど、ウィルスバスターでアドレスを踏んだPCは対策をしますが、
ROのインストールしてあるPCと関係があると思うと不安です。


よろしければご回答よろしくおねがいします。

70 ：（○口○*）さん sage ： 2007/12/22(土) 03:54 ID:DF4NRFG/0

しまった･･･二重投稿になってしまいました、すみません；

71 ：（○口○*）さん sage ： 2007/12/22(土) 05:08 ID:0XFcJwYF0

手短に
>>68
該当URLはアカハックURLで間違いないです。
今回は「ＲＯに使っていないＰＣ」側で踏んだようなので
「ＲＯで使ってるＰＣ」に影響を及ぼす可能性は比較的低めです。
ですが絶対に　ない　とは言い切れないので、不安ならばアカハックＵＲＬ踏んだＰＣだけでなく、ＲＯプレイしてるＰＣもリカバリーをお勧めします。

72 ：（○口○*）さん sage ： 2007/12/22(土) 19:35 ID:xr9h5kf6O

カスペのプロアクティブディフェンスを有効にしてると、かなり重くなるんだけど何故？
これ有効のままじゃ狩りできないぜ
無効にしていいもんか教えてくり

73 ：（○口○*）さん sage ： 2007/12/22(土) 19:42 ID:1Kb3MDtc0

>>72
カスペWiki(非公式)…閲覧は自己責任で
ttp://kaspe.2chv.net/wiki/index.php
ここによると無効でも問題ないみたい

74 ：（○口○*）さん sage ： 2007/12/22(土) 19:44 ID:KjgQYo9X0

尋常じゃないレベルで重いので無効にした
それでもパッチ前よりは重いけど問題ないレベルになる

当然ウイルスに対する防御は弱くなるので自己責任でどうぞ


重い原因は糞nProのせいで引っかかりまくっているから

75 ：（○口○*）さん sgae ： 2007/12/22(土) 20:00 ID:xr9h5kf6O

早速ありがとう
かなり重いから無効にしちまうよ

76 ：（○口○*）さん sage ： 2007/12/23(日) 03:09 ID://O76/Fb0

はて、うちだとプロアクティブディフェンス有効でもなんともないのだが。
設定が違うのかな。

77 ：（○口○*）さん sage ： 2007/12/23(日) 04:12 ID:Gw7Ook8W0

>>69で質問したものです。
>>71さんありがとうございました。
アドレスを踏んでしまったＰＣのほうは検索をかけて、出てきたファイルを隔離＆処理しました。
そのあとにまたウィルス検索をしてみたところ、ウィルスは発見できなかったので
おそらく対処できたかなと思います。ありがとうございました。
お礼のレスが遅れてしまいすみませんでした；

78 ：（○口○*）さん sage ： 2007/12/23(日) 08:50 ID:b6/t2T1V0

リネージュ資料室さんの更新情報にあったもの
red■exeは検出率悪いので要注意。

ttp://www■motewiki■net/web/index■htm
ttp://www■motewiki■net/web/index1■htm
ttp://www■sakerver■com/web/red■exe
ttp://www■sakerver■com/web/for■exe

ttp://www■sakerver■com/wiki/index■htm
ttp://www■symphones■com/bbs/index1■htm
ttp://www■symphones■com/bbs/ragner■exe
ttp://www■symphones■com/bbs/send■exe
ttp://www■symphones■com/bbs/fenrir■exe

ttp://www■twurbbs■com/
ttp://www■gamanir■com/systemin■scr
->maikmr■exe
->m6■jpg

index■htm : HTML/IFrame
index1■htm : Trojan-Downloader.VBS.Psyme.ds
red■exe : Trojan.Win32.Inject.pe
for■exe : Trojan-PSW.Win32.OnLineGames.kak

index■htm : HTML/Infected.WebPage.Gen
index1■htm : Trojan.Downloader.Js.Agent.FT
ragner■exe : Trojan-Downloader.Win32.Agent.fpp
send■exe : Trojan-PSW.Win32.Delf.aih
fenrir■exe : Trojan-PSW.Win32.OnLineGames.fcj

systemin■scr : Trojan-PSW.Win32.OnLineGames.lti
maikmr■exe : Trojan-PSW.Win32.OnLineGames.lti

79 ：（○口○*）さん sage ： 2007/12/23(日) 20:25 ID:GpgJtfhS0

誘導して頂いた所からのコピーで失礼します
ウィルス対策のソフトをバージョンアップさせたら重くなってしまいました。

プレイ前にウィルス対策ソフトを終了すると軽くなったので
問題ないならこれからもプレイ中は切ってゲーム終了後に起動しようと思うのですが
終了させてる間はネット閲覧などはしないつもりですが危険でしょうか？

誘導元で危険なのでプロアクティブディフェンスを調整すればいいとのレスを頂きましたが
現在使用してるセキュリティソフトがウィルスバスターで前述の単語を検索した所
別のセキュリティソフトの機能という検索結果でしたので迷っております。

80 ：（○口○*）さん sage ： 2007/12/23(日) 20:32 ID:jRWhFmJ70

危険か危険じゃないかの二択なら危険
ただし、即ウィルスに感染するって意味ではない

ウィルスバスターは使っていないので、設定については使っている人に任せる

81 ：（○口○*）さん sage ： 2007/12/23(日) 20:40 ID:b6/t2T1V0

>>79
ソフト名（ウイルスバスターなら2007か2008かまできっちり）・現在の定義ファイル・PC環境 全部書け

■PCの種類（メーカ、ショップブランド、自作）：
■OS 　 　　　　　　：
■マザーボード..　 ：
■CPU..　　　　　　 ：
■メモリ 　　　　　 ：
■ビデオカード.　　 ：
■RO表示サイズ　 ：
■ネット接続方法. ：

■セキュリティソフト：
■定義ファイルのバージョン：

■症状　　　　　　　：
■特記事項　　　　 ：

82 ：（○口○*）さん sage ： 2007/12/23(日) 21:25 ID:GpgJtfhS0

>>80
起動してない状態と比較すれば当然リスキーだとというのは理解していますが
切らないと狩りだと支障出る程重いのが辛い所です
>>81
失礼しました、環境は以下の通りです
■PCの種類（メーカ、ショップブランド、自作）： メーカ
■OS 　 　　　　　　：Windows XP Home Edition SP2
■マザーボード..　 ： PC-VL3509D
■CPU..　　　　　　 ：Intel(R) Celeron(R) 2.70Ghz
■メモリ 　　　　　 ：992MB(512MB*2)
■ビデオカード.　　 ：SiS 651 Rev 00 32MB
■RO表示サイズ　 ：800*600*16
■ネット接続方法. ：無線LAN

■セキュリティソフト：ウィルスバスター
■定義ファイルのバージョン：2008

■症状　　　　　　　：アンチウィルスソフトをバージョンアップさせた所
　　　　　　　　　　　する前に比べて極端に重くなった
■特記事項　　　　 ：ウィルスバスター2007は重いと聞いて敬遠しており
　　　　　　　　　　　2006から2008へバージョンアップさせました

以上です、PCに疎いので記入に不備があればご指摘いただければ追記させて頂ます。

83 ：（○口○*）さん sage ： 2007/12/23(日) 21:48 ID:b6/t2T1V0

アドレス自体は既出。（既出アドレス出してもしょうがないので総合スレには転記不要かな？）
リネージュ資料室の更新状況で 2007/12/22 00:43:04 更新だったのでチェックしてみました。

ttp://www■dyparagon■co■kr/gon/m■htm
ttp://www■dyparagon■co■kr/gon/gmsex■exe

gmsex■exe : Trojan-PSW.Win32.OnLineGames.lrt
m■htm : Not Detected
m_edit■htm : HTML/ADODB.Exploit.Gen (decoded m.htm)

m■htmはVirusTotalでは未検出。編集してゴミを除去（空文字列をわざわざ挿入している箇所、
文字列の連結）すると幾つかのセキュリティソフトで検出可能。ダウンローダなので
こいつはすり抜けても、実害がないのでどうでもいい。

本体は、VirusTotalでは 16/32 で半数がすりぬけ。
カスペ○、NOD32○、マカフィー×、ノートン×、Avast×、AVG×

一通り検体提出済み。

>>82
バスターは使ってないからコメントできないけど、このスレ住人に利用者が数名いた筈なので
（前スレでは2007→2008で少し軽くなったって人がいた気がする）解決策がわかるといいですね。

あと「ウイルスバスター2008」までが名前で定義ファイルのバージョンや日付が「2008」では
ありませんよ。下記のページにあるような（ビルド16.0.1645）というのが、定義ファイルの
バージョン番号になります。ソフトベンダーによっては、検索エンジン・定義ファイルの
２種類ある場合もあります。

ウイルスバスター 2008（ビルド16.0.1645）の緊急公開につきまして
http://www.trendmicro.co.jp/support/news.asp?id=1037

84 ：（○口○*）さん sage ： 2007/12/23(日) 21:58 ID:GpgJtfhS0

>>83
なるほど、誤記入箇所理解しました。
アップデートの際に自動入手との事で
現在更新確認した所最新の状態の様ですので
ウイルスバスター 2008（ビルド16.0.1645）
であると思います。

ご親切なレスありがとうございました。

85 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2007/12/23(日) 23:22 ID:faWBxekF0

>>79
当方Pentium3-800MHzメモリ384MBと現在ではロースペックの部類で
ウイルスバスター2008の動作環境のスペックを満たしていなかったりします。
それでもVB2007から2008に乗り換えて軽くなった部類です。

各機能の設定では無線LANとURLフィルタ以外はONでフィッシング詐欺対策はデフォルトの中、
FWのセキュリティレベルは変更して高に設定しています。
こんな環境でも大魔法が乱発されなければ、通常MAPでそれなりに快適にプレイできます。

>>82 での使用環境を見るに十分スペックが足りていると思われるので
本来のVB2008の動作とROの通常MAPでの狩りにはなんら問題ないと思われます。
素人考えで推測するならば、アップデートのときに
何かしらデータが破損してしまった可能性があるのかもしれません。

体験ですがVB以外に別のスパイウェア対策ソフトが入ってると
時々モジュールが破損とか出ていた気がします。
今はVBだけでなんとかやりくりしていますがモジュールの破損等の表示は出なくなりました。

よろしければ一度OSを最新の状態にアップデートしてから
回線を抜いてVB2008をアンインストールしてWindowsのFWをONにしてから再起動。
インストールしなおした後で回線をつなげてVBのアップデートをしてみては如何でしょうか？

86 ：（○口○*）さん sage ： 2007/12/23(日) 23:29 ID:gxiUEWZb0

カスペオンラインスキャナって今落ちてますか？
ページすら表示されないのですが

87 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2007/12/23(日) 23:36 ID:faWBxekF0

>>86
こちらではホムペもオンラインスキャンもいつも通りに表示されました。

88 ：（○口○*）さん sage ： 2007/12/23(日) 23:46 ID:GpgJtfhS0

>>85
レスありがとうございます。
以前にアンチウィルスソフトのみのスパイウェア対策では十分ではないと聞いたので
Ad-Aware SE Personalというフリーの対策ソフトをインストールしています。

なるほど、データ破損などの可能性があるのですか
示して頂いた内容をこれから試してみようと思います
丁寧で詳しいご解説ありがとうございました。

89 ：（○口○*）さん sage ： 2007/12/23(日) 23:49 ID:gxiUEWZb0

>>87
Active Xをダイアログ許可設定にしていた為に動かなかったようです
有効にしたら動きました、即レスありがとうございます

90 ：（○口○*）さん sage ： 2007/12/24(月) 01:30 ID:DHSejnZj0

ウイルスバスターは2007からスパイバスターというスパイウェア対策ソフトが組み込まれてる
これによりAd-Awareとかspybotとかと衝突するようになってるから
spybotの免疫と同じような予防機能を使うと不具合が出やすい
但しAd-Awareでの検索のみなら衝突しないはず

ちなみに2008は検索エンジンも2007/11/28に8.550.1001バーションアップしてる
こちらはオートアップデートでは更新されないので手動でダウンロード

91 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2007/12/24(月) 08:22 ID:zDTZe/9a0

>>90
情報ありがとうございます。補足として追記事項を。

・トレンドマイクロ〜ウイルス検索エンジンVSAPI 8.550 のサポート情報
http://www.trendmicro.co.jp/support/news.asp?id=1018

リンク先の下の方に検索エンジンアップデートページ、
更に跳んだ先の一番下の方に2008の検索エンジンのファイルがあります。
ただ一部環境では正常にアップデートが実施できない問題があるとの事。

そしてその該当者で涙目。
色々調べていくうちに他にもちょっと気になることがあったので、
休みが明けたらサポートに電話してみる予定です。

とりあえずパッチを当てたらヘルプのバージョン情報はともかく
上記不具合組でもこんな風にアップデート/その他の"アップデート情報"でこんな風になっていれば多分OK。
ウイルス検索エンジン(32ビット)　8.500.1002
ウイルス検索ドライバ(32ビット)　8.550.1001

92 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2007/12/24(月) 08:55 ID:zDTZe/9a0

>Ad-Aware
SEの時は特に何も無かったのですがAd-Aware2007だとVB2008インストール時に
「Ad-Aware 2007は競合しています、アンインストールしますか」とか出て
先日クリーンインストールした折に削除してしまいました。

またAd-Aware2007をインストールするべきなのかと悩んでいますが…。
とりあえず既出として常駐の解除を見つけたので転記というかメモ。
・Ad-Aware2007のaawservice■exe常駐プロセス解除
コントロールパネルの管理ツール→サービス→
→Ad-ware2007Serviceの種類で自動→手動
(またAd-Aware2007を使用するとaawservice■exeが残るので
タスクマネージャーのプロセスでaawserviceを終了させる)

93 ：（○口○*）さん sage ： 2007/12/24(月) 11:22 ID:f7ur4Urp0

■ウイルススキャンサービスの「暗黒面」
http://www.itmedia.co.jp/enterprise/articles/0712/24/news007.html

> VirusScan、VirusTotalなどのサービスはデフォルトで、
> 怪しいファイルをウイルス対策ソフトメーカー各社に送る仕組みになっている。

そんなふうになってたのかぁ。検体送ったことないですが。

94 ：（○口○*）さん sage ： 2007/12/24(月) 12:38 ID:CoEenKAh0

virustotalの/jp/なら「このサンプルを配布しない」オプションの？に書いてる
virus.orgなら
＞Viruses uploaded here maybe be distributed to antivirus vendors.
＞If you do not want your files to be distributed, please do not send them at all.
と記述がある

と言っても直接送った方が確実で早いけどね
更新の早いカスペなら差が顕著

95 ：（○口○*）さん sage ： 2007/12/24(月) 22:41 ID:c+4W3LR10

【　 　 　 気付いた日時　 　 　 　 　 】 12/24 22時
【不審なアドレスのクリックの有無　】 RMCにあったアドレスを踏んでしまいました。
【　　アドレス 　 】 www■shagigi■net/navi/
【　 　　 OS　 　 】WindowsXP Home SP2
【使用ブラウザ 】IE7.0
【WindowsUpdateの有無】 一番最後は一週間程度前だと思います
【　アンチウイルスソフト 】 ウイルスバスター2006
【その他のSecurty対策 】
【 ウイルススキャン結果】 ウイルスバスターでは特に見つかりませんでした
【テンプレの参考サイトを読んだか】 今から読むところです。
【hosts変更】 無
【PeerGuardian2導入】無
【説明】
RMCにて特に前後の会話に関係のない意味のわからない内容+アドレスという形で貼り付けてあったため。

96 ：（○口○*）さん sage ： 2007/12/24(月) 22:45 ID:CWTYBAbn0

間違いなく垢ハックサイトだな

97 ：（○口○*）さん sage ： 2007/12/24(月) 23:01 ID:c+4W3LR10

>>96
やはりそうでしょうか
今カスペルスキーオンラインスキャンを試しているのですが
マイコンピューターを調べてみるとウイルスが一個見つかりました…

98 ：（○口○*）さん sage ： 2007/12/24(月) 23:03 ID:nI3muN060

まとめ臨時さんのとこに記載のあるサイトだな
悪いことは言わんのでOSｸﾘｰﾝｲﾝｽﾄして追加でPG2いれておけ

99 ：（○口○*）さん sage ： 2007/12/24(月) 23:14 ID:c+4W3LR10

>>98
ありがとうございます
おっしゃるような対策をとってみようと思います

100 ：（○口○*）さん sage ： 2007/12/25(火) 00:20 ID:hEs0DyED0

>>95-99
ちょっと確認してみました。
トレンドマイクロの最新パターンなら、本体を検知できる筈です。

入手前に切断していたので、見つからないのか、なんらかの原因で
検出不能状態に陥っていたのかはわかりません。
（カスペオンラインスキャンで見つかったのは、index1.htmがブラウザの
キャッシュに残っていたもの[Trojan-Downloader.VBS.Psyme.ds]かもしれません）

対処方法としては、OS入れなおしか、自己責任で使うかになりますが
OS入れなおしコースを選ばれているようですので、問題ないですね。

ttp://www■shagigi■net/navi/index■htm
ttp://www■shagigi■net/navi/index1■htm
ttp://www■shagigi■net/navi/l1■exe
ttp://www■shagigi■net/navi/f■exe

->index■htm
-->index1■htm
--->l1■exe
--->f■exe

index■htm : HTML/Infected.WebPage.Gen(VirusTotalでAntiVir以外はスルー)
index1■htm : Trojan-Downloader.VBS.Psyme.ds
l1■exe : Trojan-PSW.Win32.Magania.brd
f■exe : Trojan-PSW.Win32.OnLineGames.kak

トレンドマイクロオンラインスキャン検出名
index■htm : -
index1■htm : -
l1■exe : TROJ_SHEUR.BJ
f■exe : TSPY_ONLINEG.PAX

参考情報 VirusTotalの検出率
l1■exe 20/32->27/32エンジン(スキャン日：12/10->12/24)
f■exe 13/32->13/32エンジン(スキャン日：12/16->12/24)

101 ：（○口○*）さん sage ： 2007/12/25(火) 06:22 ID:hEs0DyED0

リネージュ資料室さんの更新履歴より。(更新はhtmlだけで、本体は既知のものぽい）

ttp://www■k5dionne■com/ousele/ttmm■htm
ttp://www■k5dionne■com/ousele/anitt■htm
ttp://www■k5dionne■com/ousele/anitt■c
ttp://www■k5dionne■com/ousele/sant1■exe

ttmm■htm JS/Agent!tr.dldr
anitt■c Exploit.Win32.IMG-ANI.ac
anitt■htm Trojan-Downloader.JS.Psyme.kf
sant1■exe Trojan-PSW.Win32.Delf.ads

102 ：（○口○*）さん sage ： 2007/12/25(火) 13:05 ID:LhjEwF8/0

総合スレ>>193
＞黄 シマンテック
＞緑 カスペルスキー
＞赤 ウイルスバスター

＞製品の箱の色から、このスレではそう呼ばれています。

初めて見た気がします･･･とりあえず記憶しておこう。

103 ：（○口○*）さん sage ： 2007/12/25(火) 13:19 ID:hEs0DyED0

>>102
総合スレ、セキュスレ、他も含めて始めて見た気がする。
覚えなくても問題無い。というか、積極的に忘れたほうがいい。

他人に通じない言葉は覚えるだけ無駄。

104 ：（○口○*）さん sage ： 2007/12/25(火) 13:29 ID:ytleHPq80

それ某所(というかとあるML)で使ってる人が居るが、ハクスレやセキュスレでは
初めてじゃないかね。

覚えなくても問題ない、ってのには同意。

105 ：総合スレ193 sage ： 2007/12/25(火) 14:46 ID:pWq1LneS0

向こうにも書いたけど、混乱させてすまなかったです。

赤箱黄箱ってのは自分でもよく使ってて、緑もその延長で勝手に脳内変換してて全く違和感なかった。
どこで見たのか自分でも疑問になったんで、ググってみたら結構引っかかった。
多分この中のどれかを過去に見てて、それがインプットされてたんだと思う。
この表現自体広めようとかそういう考えは毛頭ないので、スレでは今まで通りわかりやすい表記でいいと思う。

106 ：（○口○*）さん sage ： 2007/12/25(火) 15:58 ID:wzr/20Me0

NOD32は何色なんだろうなｗ

107 ：（○口○*）さん sage ： 2007/12/25(火) 16:05 ID:uykK66Zn0

箱色ねぇ・・・マカフィーとかソースネクストあたりも気になるところです。

108 ：（○口○*）さん sage ： 2007/12/25(火) 16:50 ID:tpoKtK5P0

NODも緑色だし特に覚える意味は無い言葉だな

カスペ、ノートン、バスター、NOD、マカフィーって言って何が悪いのやら

109 ：（○口○*）さん sage ： 2007/12/25(火) 17:25 ID:FaLNgJhZ0

こんにちは。
ウィルスバスターを使用しているんですが、
怪しいリンク踏んでも、右下のほうに窓がでて「トロイの木馬が・・・」
などとでればセーフなんですか？
また、これが検出ということなのでしょうか？

110 ：（○口○*）さん sage ： 2007/12/25(火) 17:33 ID:+YwZB6VS0

局地的なスラングを、さも当然の様に行使すると混乱を招くだけ。
パッケージ色なんて、イメージ戦略やコーポレートカラーの類いであって、永続的なものとも限らないし。
まして、ダウンロード購入なら尚更無意味になる。法人向けパッケージが色違いや、無漂白段ボールの例も有るし。

それに、Symantec自体が、主力製品を買収で増やしていったメーカー。
カスペの国内代理店を引き受けているジャストシステムだって、一太郎シリーズ=赤地に白のロゴイメージ。

セキュスレの話題からは外れるが、B's Recorder関連の権利をBHAがソースネクストに譲渡する話があった。
メーカー単位で考えるより、製品単位で考えないと落とし穴にはまる時代だな。

#どんなメーカーにも、当たり製品と外れ製品は存在する

111 ：（○口○*）さん sage ： 2007/12/25(火) 17:41 ID:CXx8gfml0

カスペの
ネットワーク設定＞ポートの設定＞一般的なHTTP80 のチェック外したら
垢ハックのセキュリティ的に不味い？

112 ：（○口○*）さん sage ： 2007/12/25(火) 17:54 ID:ytleHPq80

>109
バスターは使ってないが、その手のメッセージは該当のサイトからファイル
(htmlファイル・ページそのもの含む)をDLしようとした時に危険な何かを
検出した場合に出るもの。
だとすれば、バスターなり何なりが「検知した」ものはブロックされてる。

しかし「検知できなかった」ものは素通りしてるわけで。
極端な話、ファイルが2個仕込まれてて、片方ブロックしたが片方はスルー、とかだと
結局感染した、ってオチになりかねない。

大抵は平気と「思われる」が、ブロックされたから100%安全とは断言できない。


>111
それ外したらhttpの通信をスルーするんじゃないか？
セキュリティ的に不味いが、ネットワーク速度等でネックになってるならOFFればいい。

つまり、自己責任で、って事。

113 ：109 sage ： 2007/12/25(火) 18:06 ID:FaLNgJhZ0

>>112さん
わかりやすい説明ありがとうございました。

114 ：（○口○*）さん sage ： 2007/12/25(火) 22:45 ID:ESWwQ1lO0

【　 　 　 気付いた日時　 　 　 　 　 】 12月25日
【不審なアドレスのクリックの有無　】 Googleから
【　　アドレス 　 】ttp://zeesclub■com/forum/index■php?showtopic=609
【　 　　 OS　 　 】WindowsXP Home
【使用ブラウザ 】FireFox2.00.11
【WindowsUpdateの有無】 自動更新があるごとにアップデート
【　アンチウイルスソフト 】 AntiVir
【その他のSecurty対策 】 1ヶ月に1回ぐらいカスペなどのオンラインスキャン
【 ウイルススキャン結果】 今やっている所だけどPCが重いのか時間がかかりそう
【テンプレの参考サイトを読んだか】 読みました
【hosts変更】漏れがありそうな気がするが、まとめサイトのコピペをして変更はしてある
【PeerGuardian2導入】よくわからないので未
【説明】
適当にクリックしていた所、妙に重くいつまでも表示されないので怖くなって閉じました。
重くてガクガクになるので丁度ウィルスソフトも切っていたので心配に。
ソースチェッカーでは以下のように出ましたが、漢字っぽい文字がソースにあるので垢ハックサイトではないかと心配です。
※ 隠しスクリプトを発見しました。(19)
[このアドレスの安全度 72%]

115 ：（○口○*）さん sage ： 2007/12/25(火) 23:01 ID:hEs0DyED0

>>114
※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※
※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※
※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※

多分、サーバーがBUSYなだけ。リンク先は知らんが、サイズ0なiframeのタグはなかった。

116 ：（○口○*）さん sage ： 2007/12/25(火) 23:09 ID:ESWwQ1lO0

どうもすいませんでした。でも垢ハックサイトじゃなかったようなので安心しました。
これを機会にPGというのを導入しました。説明サイトを見たら簡単だったのでよかったです。

117 ：（○口○*）さん sage ： 2007/12/26(水) 04:46 ID:tBskC8kj0

物凄い勢いで削除されてた一品

ttp://goodragnarok■blog35■fc2■com/blog-entry-1■html
ttp://www■caremoon■net/wiki/
ttp://www■caremoon■net/blog/index1■htm
ttp://www■caremoon■net/blog/send■exe
ttp://www■caremoon■net/blog/f2■exe
ttp://www■caremoon■net/blog/reak■exe

f2■exeのファイル日付が12/24更新になっていたので、差し替えたので貼ってまわってる？
総合スレへのコメントの為確認した www■caremoon■net/blog/f2■exe と同じものの模様。

index■htm : HTML/Infected.WebPage.Gen
index1■htm : Trojan-Downloader.JS.Agent.anp
send■exe : Trojan-PSW.Win32.Delf.aih
f2■exe : Trojan-PSW.Win32.OnLineGames.lyx
reak■exe : Trojan-PSW.Win32.Magania.bph

アカウントハック総合対策スレ9
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/205
｜ちなみに、現時点のf2■exeですが、VirusTotalの結果は下記の通りです。
｜カスペ○、NOD32×、マカフィー○、シマンテック×、Avast○、AVG×

検体は各社に提出済みです。

118 ：（○口○*）さん sage ： 2007/12/26(水) 04:49 ID:tBskC8kj0

追記：
reak■exe : カスペ○、NOD32×、マカフィー×、シマンテック×、Avast×、AVG○
send■exe : カスペ○、NOD32○、マカフィー○、シマンテック○、Avast○、AVG○

一部を敢えて検知させて、安全だと思い込ませて新種を潜り込ませておく手法かもしれませんね。
やっぱり、対応策は、OS入れなおし推奨の形になりますか。

119 ：（○口○*）さん sage ： 2007/12/26(水) 06:44 ID:bMpI+lpR0

aguseの件、続報。

ttp://www.aguse.jp/hot.php
>(2007/12/17) http://www.aguse.net → http://www.aguse.jp として正式に運用を再開しました。
>お手数ですがブックマークの変更をお願いいたします。

>aguse 2007/12/18 11:54 aguseのご利用ありがとうございます。

>ドメイン失効に伴い、今後はサービスをaguse.jpドメインで提供していくことを決定し、プレスリリースを出しました。
>http://www.value-press.com/pressrelease.php?article_id=20323
>関連して、プラグインもaguse.jp対応に修正したものを再配布しております。

との事で、ブックマークや、検索プラグインの更新は怠らずに。

120 ：（○口○*）さん sage ： 2007/12/26(水) 09:30 ID:3gPgwy360

>>118
AntiVirも撃墜。

121 ：（○口○*）さん sage ： 2007/12/26(水) 09:58 ID:L2RoyYb90

6種類使ってみた感じ

検出率では
カスペ＞avast＞NOD＞バスター＞マカフィー＞＞ノートン

軽さとシステム不安定率の低さでは
avast＞カスペ＝NOD＝マカフィー＞＞バスター＞＞＞＞ノートン

新種垢ハックウイルスの対応速度では

カスペ＞＞NOD＞＞＞avast＞マカフィー＝バスター＞＞ノートン


ノートン（笑）
重いしマジノートン使う理由が見当たらんわ。
セキュリティ界の癌

122 ：（○口○*）さん sage ： 2007/12/26(水) 10:29 ID:pJJvtvNm0

その手のランク付けは信者が沸くから止めたほうがいい。
2chのセキュ板見たら良く判る。


それと少々古いがReal Mediaの脆弱性とRealPlayerの脆弱性について。
ttp://www.itmedia.co.jp/enterprise/articles/0712/14/news023.html
ttp://www.itmedia.co.jp/enterprise/articles/0712/25/news028.html

メディアファイルだからと不用意にクリックすると大変な目に合うのでご注意を。

123 ：（○口○*）さん sage ： 2007/12/26(水) 11:22 ID:3gPgwy360

メディアファイルへのリンクじゃなくてもHTMLとスクリプトで読ませますね。
あっちの前スレでも書いたけど、RealPlayer11Betaも普通にやられます。
11で切られたOSは10.5をアンインストールする等を考えたほうがいいかも。
# QuickTimePlayerやAdobeReaderやFlashPlayerも同様。

124 ：（○口○*）さん sage ： 2007/12/26(水) 11:30 ID:3gPgwy360

現行スレだった。
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/57

125 ：（○口○*）さん sage ： 2007/12/26(水) 11:50 ID:tBskC8kj0

>>121
Avastは、ファイル新規作成時のCPU占有が高く、nProの通信遅延による切断につながりやすい。
パターン更新時もCPU占有率が異様に高い感触がある。これは過去のセキュスレでも複数の
報告が上がっていた。

カスペとNOD32（EsetSmartSecurty)は、カスペ使用時は、時々スキャンやパターン更新で
PCの反応が鈍くなる。NOD32は殆どストレスなし。新種への対応が遅いのが難点＞NOD32。

結論を言うと、>>121の比較は、自分の体感や経験と異なる箇所が多々あり、信用できない。

>>122
>その手のランク付けは信者が沸くから止めたほうがいい。
同感。

126 ：（○口○*）さん sage ： 2007/12/26(水) 12:47 ID:3gPgwy360

俺の体感ではESETの検体への対応はスマンテッコ並みに遅い。
シカトしてるんじゃないかってくらい。ヒューリスティックに頼りすぎか。
前は良かったのに最近ちょっと…なのはMcAfeeとBitDefender、
落ち込んでいたのに最近復活してきたのはAVGとDr.WEBかな。
あと今はavastよりはAntiVirかなぁ。対応も早い(数時間程度)。
バスターは現状すり抜けが多すぎる。フィリピンの対応が
そこそこ早い(CPRなら半日程度)のでなんとか持ってる。

127 ：（○口○*）さん sage ： 2007/12/26(水) 12:52 ID:tBskC8kj0

検体提出の返答状況見てると、AntiVirとDr.Webは結構対応早いね。
あとはFortinetもここんとこ新種への対応が早い。

Esetはシマンテック程じゃないけど遅い方だったわ。

Avastは対応状況の返答来ないからわからん。

128 ：（○口○*）さん sage ： 2007/12/26(水) 14:36 ID:tBskC8kj0

先程、スレ立てて宣伝してった奴。アドレス自体は既知。ファイル差し替えを確認。

ttp://www■symphones■com/wikipedia/
ttp://www■symphones■com/wikipedia/index1■htm
ttp://www■symphones■com/wikipedia/red■exe
ttp://www■symphones■com/wikipedia/sl■exe
ttp://www■symphones■com/wikipedia/fir■exe

12/25
index■htm : HTML/IFrame
index1■htm : TrojanDownloader:JS/Agent.FT
red■exe : Trojan.Win32.Inject.ox
sl■exe : Trojan-PSW.Win32.Delf.aih
fir■exe : Trojan-PSW.Win32.OnLineGames.kak

12/26
index■htm : Trojan-Downloader.VBS.Agent.ic
index1■htm : TrojanDownloader:JS/Agent.FT
red■exe : Trojan.Win32.Inject.ox
sl■exe : Trojan-PSW.Win32.Delf.aih
fir■exe : Trojan-PSW.Win32.OnLineGames.lyx

Fir■exeが差し替えになっています。ファイルの日付は12/25 20:39:22
>>117のf2■exeと検出名は同じですが、ファイルは異なってました。

index1■htm : カスペがパターン更新で、反応するようになりました。
red■exe : カスペ○、NOD32×、マカフィー×、シマンテック×、Avast×、AVG×
sl■exe : カスペ○、NOD32○、マカフィー○、シマンテック○、Avast○、AVG○
fir■exe : カスペ○、NOD32×、マカフィー○、シマンテック×、Avast○、AVG○

129 ：（○口○*）さん sage ： 2007/12/26(水) 14:38 ID:tBskC8kj0

コピペするとこ間違えた。こっちが正解。

12/26
index■htm : HTML/IFrame（カスペは反応せず）
index1■htm : Trojan-Downloader.VBS.Agent.ic

130 ：（○口○*）さん sage ： 2007/12/26(水) 15:04 ID:3gPgwy360

>>128
そのタイムスタンプはGMT(UTC)ね。日本時間では今朝5:39。
www■wacacop■net/wiki/test■exe はその亜種、5:20。

131 ：（○口○*）さん sage ： 2007/12/26(水) 15:10 ID:5JPpIiac0

RO系の色々なサイトを見まくっていたら、重くなりMP3プレイヤーなどが無反応になり
終了もできないので一度再起動しようとして強制終了をかけた所、
起動した際にPG2が点滅し「あれ！？」と思い履歴のブロック欄を見たら
見事にハックサイトのブロック跡がありました。
＞www■pangzigame■com 　　8■15■231■125:80
最初はただのアジアホストのサイトかと思い、GoogleでURLをぐぐると
一番トップにでかでかとそれらしく出たのでアクセスしたら、
即サーバーが見つかりませんとでて、「あ」と思った次第です。

幸いセキュスレのおかげでhosts変更やPG2を導入していたため
Googleからクリックしてもサイト表示せずに済んだのかな。
>127.0.0.1 pangzigame■com　と載っていました。
フリーのウィルスソフトしかもっていないため、現在カスペオンラインスキャン中ですが
何か気持ち悪いし心配です。ROにログインもためらってしまいます。
hosts変更をしていたりPG2を常時動かしていたら（そのIPは常にブロック設定にしました）
このままでも大丈夫なんでしょうか？それともやっぱりリカバリーすべきでしょうか？

今まで4年以上ROをやってきて、月1はスキャンなどをしてきて
ただの1度もウィルスやトロイにかかったことがなかったので慢心してました。
今回は正直どこで踏んだのか全く想定できなくて…ショックなので
これを機にカスペ製品版の購入を決めました。
あとこのスレの人はInternet Security 7とAnti-Virus 7のどちらを使ってますか？
Internet Securityの方だと重くてROプレイに支障が出たりするかなと心配で
カスペスレではなくROをやってる人がいるこちらで質問しました。PCのスペックは低めでメモリも512MBしかないです。

132 ：88 sage ： 2007/12/26(水) 15:16 ID:FUbqBdQq0

>90-92
ゲームプレイの時間が取れず、事後報告遅くなって申し訳ありません。

示して頂いた手順を試してみましたが重さが改善されなかったので
一旦アンチスパイウェアのアンインストール等も試してみましたが
同様に改善されませんでした。
結局以前に使っていたウィルスバスター2006へダウングレードした所
体感として以前と同程度まで重さが落ち着きました。

ダウングレードでのデメリットも大きいかも知れませんが
2008をインストールした状態での問題解消方法を見つけるのが困難ですので
暫くは2006を使用しようと思います。
レス下さった方々本当にありがとうございました。

133 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2007/12/26(水) 15:34 ID:Zvn6qERd0

ベテランな兄者達には必要ないものかもしれませんが
総合対策スレ9の207の質問流れで、
踏んだ人がクリーンインストールする際に
リカバリーすると購入時の状態に戻ってイヤンな人の為に
OSのみの綺麗な体になる方法が書いてあるリンクをメモしてみました。

・メーカー品でアップグレード版Xpをリカバリーディスクを使ってクリーンインストール
ttp://tomcat.nyanta.jp/t_html/contents/Me-XP.shtml
・アップグレード版Xpでクリーンインストール
ttp://www1.odn.ne.jp/mediahunter/xpinstall.html
・アップグレード版Vistaでクリーンインストール
ttp://japanese.engadget.com/2007/02/01/windows-vista-upgrade/

>>117
ものすごい勢いで見逃していました…。
goodragnarok■blog35■fc2■comはすぐ追加してきます。

>>126
もうバスターと三年契約してしまったので涙目。
頑張りにすごく期待…したいです…。
あと >>92 の手順でAD-Aware2007のよく判らない常駐を解除したら
ロースペックなPCの起動時の変な不具合が無くなった模様。
心持かもしれませんがなんともな感じ。

>総合対策スレ9の204-205
痒い所に手が届くレスに感動。

134 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2007/12/26(水) 16:42 ID:Zvn6qERd0

>>88 >>132
他の常駐プログラムとの兼ね合いとかPC自体の相性とかあるのでしょうか…。
お役に立てず申し訳なく。

前回自己責任になってしまうので書かずにそのままになっていたのですが
アンインストール後に
2008のインストールフォルダにあるTISSuprt.exeを使った方法で
手動での完全アンインストールを実行してから再インストールすると
状態が改善される事があるそうです。
(2008以前だとPCCTool.exeでのアンインストール)
なんでも前のバージョンと整合が取れていないとか何とか…。
前のバージョンのフォルダも残っていたらそれらも実行しておくといいかもしれません。

公式でも完全アンインストールツールが
どっかにあった気がするのですがちょっと見つけられませんでした…。

これで駄目ならもう年明けまで日が無いですがサポートセンターに電話という手しか。

135 ：（○口○*）さん sage ： 2007/12/26(水) 17:48 ID:FGMpC9i10

>>131
＞www■pangzigame■com 　　8■15■231■125:80
BSWikiで見てみると
http://smith.rowiki.jp/domain/?domain=pangzigame■com (NG対策でドットを置換)
Domain失効してるっぽいんだよね。同じIP範囲を見てみると
http://smith.rowiki.jp/domain/?cidr=8.0.0.0-8
失効物ばかり。恐らくドロップキャッチしたドメインをプールさせておくサービスのサーバ
なんじゃないかと思う。つまりその遮断はPG2リストに起因する誤爆と思われる。
…とはいえ、ドメイン失効が確実に断定できる物ではない為無闇にリストから除外も
出来ないか。
アカウントハッカーの活動も長い為、失効ドメインも増えてきており、このような誤爆
を疑う事例も増えてきそう。PG2導入したらWikipediaに繋がらなくなった、レベルの
FAQになったらそれはそれでいやだなぁ。

安全だろうとは推測できるけど、確証は無いので自信が無ければ再セットアップ一択。
アンチウイルスソフトについてはPCスペックを提示した方がアドバイスもらえると思う。

>>133
普通にPCを使う層ならバスター等の大手3社でも大方は問題ないんだけど、この分野では
非力に過ぎるから勧めにくいよね。そもそも肥大化しすぎて不具合の塊だったりするし…。

136 ：（○口○*）さん sage ： 2007/12/26(水) 17:54 ID:ZxqckdDJ0

今のバスターは一ライセンスで三ユーザーまで使えてお得なんだっけ
まぁ、一昔前の更新パターンファイル不具合でOS起動不可の売上低迷から良く立ち直ったよ
ただ昨今のネトゲ用途にはちょっとね…
しかし、大手各社はwin2kをもう完全切り捨てだね

137 ：（○口○*）さん sage ： 2007/12/26(水) 19:01 ID:RFdfXte40

>>132
Ad-awareやSpybotとの競合問題は実は根が深くてVB2007の時では
アンインストールしても残るレジストリその他と競合してメモリ消費量が全然違ってた
その時の対策が2008にも使えるかも知れないので2chの2007スレから転載

ttp://sonobelab■com/knowhow/computer/vb2007■html#taisaku

138 ：131 sage ： 2007/12/26(水) 19:57 ID:5JPpIiac0

＞＞135
ご丁寧にありがとうございます。
オンラインスキャンのあと、試用版をDLし完全スキャンを行ったところ
どちらもウィルスや脅威は発見されませんでしたと出ました。
その後PGも1度も反応していません。
これは安全と見ていいのか迷いますね…。年末で忙しいしリカバリー大変なのに。

スペックは、P4のCPU2.5GHz　メモリ512MBでビデオカードが
GeForceの3，4年前の古いタイプです。
学生であまりお金に余裕がないため、なるべく安くつく方法を模索してるんですが
ノートと2台のPCがあるため2台ライセンスは少し厳しいので
片方を1ヶ月に1回リカバリー必須の試用版使い続けに使用かなと思いました。
KIS7の方で新規1dayでROを動かしてみて、そこまでストレスはなかったけど
ノビなので大魔法飛び交うGvGやスキル連打はできないのでまだわからないです。
FWソフトを併用していてセキュリティに気をつける自信があればKAVの方だけでいいのかなぁと悩みます。

139 ：（○口○*）さん sage ： 2007/12/26(水) 21:52 ID:iRi6rZlH0

125avastってnProと相性悪いのか・・・
別ゲームで申し訳ないけど、FEZしてる途中に数秒通信が固まるのもそこが悪いのかな。

140 ：（○口○*）さん sage ： 2007/12/26(水) 21:53 ID:iRi6rZlH0

間違えた、>>125へのレスです。
悪いというより、CPUを局所的に食うから？

141 ：（○口○*）さん sage ： 2007/12/26(水) 22:36 ID:tBskC8kj0

>>140　セキュスレじゃなくエラースレだった。２つ前か。一部引用してみますね。

いろんなエラーに悩まされている人の相談室 その22
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1188398830/

｜262 258 sage New! 07/09/23 12:12 ID:EnTLtvey0
｜>>261
｜いえ、Ro窓がSS撮ったみたいに前触れ無く固まって一切操作できなくなるんです。
｜別の作業でのフリーズは一切無いのが不思議なんですよね・・
｜Ro窓が固まるまでに立ち上げていた物は普通に使えて終了もできるんですが。
｜PC自体は去年組んだ物です。HDDも6月に換えたんで多分大丈夫だと思います。

｜266 125 sage New! 07/09/23 13:00 ID:AnjtFw/q0
｜以前相談させて頂いた者です。
｜結果から、Avastの常駐保護を切ると症状は今のところ出ていません。
｜以前のPCでもAvastを使用していましたが、このような症状は出ていなかったので
｜Avastは関係ないかと思っていたのですが…。
｜AvastとROの相性が余りよくないのかもしれないですね。
｜他のウィルスソフトの乗り換えを検討したいと思います。
｜回答をくれた方ありがとうございました。
｜
｜258>>
｜症状が非常に似ているようなので、一度Avastの常駐保護を一時停止して
｜試してみるのはいかがでしょうか？
｜常駐保護を切るのは危険なので、自己責任になりますが…。

｜268 (^ー^*)ノ〜さん sage New! 07/09/24 09:55 ID:EVsMT3u70
｜Avastはうちの環境でも不具合出たよ。
｜症状：超重力なラグが定期的に発生する。
｜はじめは回線かサーバー状況か疑ったんだが・・・
｜常駐保護を解除したとたん、不具合も収まったわさｗ
｜
｜フリーソフトで優秀だったと思ってが相性は出る事あるね。
｜Avast好きだったんだけどな。

142 ：（○口○*）さん sage ： 2007/12/26(水) 22:36 ID:tBskC8kj0

｜269 (^ー^*)ノ〜さん sage New! 07/09/24 10:11 ID:xSfDofBn0
｜>>258
｜うちも特定のＰＣでそれと全く同じ症状出るな
｜
｜状況は>>264と同じく　演奏＋追尾させていると時々固まって動かない。
｜数分待っていると早送りのようになって今の時間に追いつくような感じに見える
｜Avastが悪いのだろうか？不具合の出るPCは切ってみようかな・・・
｜
｜312 258 sage New! 07/09/28 13:47 ID:aTX97UXt0
｜ウイルスソフトをavastからAVGに換えて以降、３日ほど経ちますがどうやら症状が出な
｜くなったようです。
｜avastのせいだったみたいですね。レス下さった方々ありがとうございました。

｜462 (^ー^*)ノ〜さん sage New! 07/10/31 15:19 ID:C5qsuL+z0
｜>>460
｜avastの常駐保護一度切ってみて。
｜RO（nPro）とavastの相性が悪かろうという報告が
｜このスレだけでもかなりある。

｜463 (^ー^*)ノ〜さん sage New! 07/10/31 23:42 ID:Ntf6zonM0
｜タスクマネージャでプロセスを睨んでるとわかる。
｜
｜avastsetupだったかなんだかが起動すると
｜CPUパワーをほぼ100%持っていくんでROが激重になる。
｜
｜名前からしてavastの自動更新関係と思われる。

143 ：（○口○*）さん sage ： 2007/12/26(水) 23:03 ID:3gPgwy360

>>138
お金が無いならフリーのAV+フリーのFWでもいいんだけど
Kasperskyを超えるFWは実は少なかったりする。
リークテスト ttp://www.firewallleaktester.com/ の集計
ttp://www.matousec.com/projects/windows-personal-firewall-analysis/leak-tests-results.php
2つ目の表でGood(バスター)以上は欲しい。
ZAやアウポなどのFree版とPro版の差に注意。

もちろん変なのを絶対に踏まない自信があるのならXP付属のFWでもいいｗ

144 ：（○口○*）さん sage ： 2007/12/27(木) 01:31 ID:+aik5PVR0

>>139
どう考えてもnproが自重すべきなんだけどな・・・
avastの自動更新はリソースをバースト的に確保するから、
シングルスレッド（だったかは忘れたけど）のROとはすごく相性悪いとおもう。

前々から気になってたんで、ここ３ヶ月ぐらいAVGに切り替えて大分楽になってる。

145 ：（○口○*）さん sage ： 2007/12/27(木) 04:11 ID:L1IjKDZv0

>>144
ラヘルかどっかから、複数CPUに分散するようにはなったようだぞ＞RO

露店放置すると使用メモリがじわじわ増え続け、使用しているタスクが見えない
（つまり、nProでプロセス隠蔽しているROが食ってる）状況は相変わらずだけど。

146 ：（○口○*）さん sage ： 2007/12/27(木) 04:16 ID:59Wsk1j30

ROしてるときにavastで手動更新すると、explorerごと固まるんだ。
自動更新なら問題ないのに。

147 ：139 sage ： 2007/12/27(木) 04:26 ID:wtJrFzEa0

ウィルスデータベースとプログラムはマニュアルで更新するようにしてます。
とりあえず、常駐保護を切って暫くプレイしてみます。他のに乗り換えるかな・・・
引用までしてもらって、ありがとうございます。

148 ：（○口○*）さん sage ： 2007/12/27(木) 07:15 ID:AlNV6yAo0

>>126
今でこそ迅速なほうかもしれないが、IBM大和で行われている検証機能を統合する話が出ているので、今後は不透明かもしれない。
ttp://www.st.ryukoku.ac.jp/~kjm/security/memo/2007/12.html#20071221__trendmicro

>>136
大手のwin2k切り捨ても、あくまで個人向け製品に限られるけど。
法人向け製品(Corp. Edition)は、まだまだ無視できないユーザー数を抱えている関係で、当面はサポートされる模様。

おまけ:
KasperskyがExplorerを誤検出していた話。2007/12/19の配布パターン。
ttp://japan.cnet.com/news/media/story/0,2000056023,20363937,00.htm

149 ：（○口○*）さん sage ： 2007/12/27(木) 12:35 ID:VR47tl0R0

>>148
>>48-49

150 ：（○口○*）さん sage ： 2007/12/28(金) 03:35 ID:xbEIncodO

どこに書いていいか迷いましたがnProも関わるのでこちらに
ゲーマーズキーボード買おうと思っているんですけど使えますか？
あとマクロ扱いで不正してることになるんでしょうか…

151 ：（○口○*）さん sage ： 2007/12/28(金) 05:51 ID:VgCc1PTk0

【　 　 　 気付いた日時　 　 　 　 　 】 12/22
【不審なアドレスのクリックの有無　】 未実装Wikiのクエストのリンク
【　　アドレス 　 】
【　 　　 OS　 　 】Windows2000
【使用ブラウザ 】IE6
【WindowsUpdateの有無】 11月末
【　アンチウイルスソフト 】 無し
【その他のSecurty対策 】 無し
【 ウイルススキャン結果】 カスペルスキーオンラインスキャンで Backdoor.Win32.Agent.dhb など発見
【テンプレの参考サイトを読んだか】 Yes
【hosts変更】　無
【PeerGuardian2導入】　無
【説明】
リンク先が明らかに中華系のものだったのでわかりました

総合スレなどで一通り見てカスペルスキーのフリー版を入れて駆除してみました
クリーンインストールはしておらず、ウィルスの駆除のみ行いました
それからROをプレイすると稀に

検知しました: リスクウェア Hidden object
プロセスを実行します: C:\WINNT\system32\SMSS.EXE

のような警告が出てきてしまい、ROが落ちてPCが固まったり
マウスが反応しなかったりといった症状が出てしまいGoogleなどで調べて見ましたが
いまいちよく把握できずどう対処していいのか判断に困ったので相談してみます
よろしくお願いします

152 ：（○口○*）さん sage ： 2007/12/28(金) 08:31 ID:330zKs9g0

ウイルスバスターで検索した結果下のスパイウェアが見つかったのですが
コレは危険なものなのでしょうか?
インターネットのblogを閲覧中に突然

your die

という文字がFlashっぽい感じで流れて出たあと検索してみたのですが・･･

http://www.trendmicro.co.jp/vinfo/grayware/ve_graywareDetails.asp?GNAME=Adware_BestOffers

153 ：（○口○*）さん sage ： 2007/12/28(金) 08:34 ID:AJyKM1FE0

>>150
うーん、ここも微妙に違うっちゃー違う肝。
質問スレッド　その69
http://gemma.mmobbs.com/test/read.cgi?bbs=ragnarok&key=1197203982
とかどう？

>>151
>リンク先が明らかに中華系のものだったのでわかりました
いあ、だからそのアドレスが無いと判らないし、あなたには分かっても我々には
全く明らかじゃないのでアドレスも書いてくれと・・。
あればウイルスのタイプも推測できることだし。

SMSS.EXEに関しては、最初からあるものにはMicrosoftの電子署名があるから
区別がしやすいだろうけど、ウイルス除去って癌を外科手術で除去したような物だから
不安だったり自信が無ければやっぱり再インストールしかないと思う。

154 ：（○口○*）さん sage ： 2007/12/28(金) 08:36 ID:iXDMUJGw0

>>150
使えません。nProにブロックされます。153も言ってるようにここではスレ違い気味かと。

155 ：（○口○*）さん sage ： 2007/12/28(金) 08:47 ID:iXDMUJGw0

>>151
不審なアドレスが判らんって苦情言ってもいいよな。見に行って履歴も確認したけどなんもないし。
（アカハック業者の更新検知を避けるため、日付を更新せずに上書き修正している場合は履歴に残らないし）

対処法：OS入れなおしかPCリカバリしとけ。

理由：対処方法がいい加減、WindowsUpdateも怠っている、他になにが潜んでるかわからない。
　　　　不具合の原因がウイルスによるものと断定する根拠が無い。

156 ：（○口○*）さん sage ： 2007/12/28(金) 08:50 ID:iXDMUJGw0

>>152
リンク先の説明文の通りとしか言い様が無い。

同じようにいきなり表示を行なうタイプでも、表示だけするジョーク的なものから
裏でやばいものを入れてくるものまで千差万別。

亜種ではなく、そのものずばりのものが検出されたのなら、書いてあるとおりの対応しとけ。

157 ：（○口○*）さん sage ： 2007/12/28(金) 10:27 ID:5GVHCEZ90

58 名前：（○口○*）さん[sage] 投稿日：07/12/28(金) 10:04 ID:dvMqtOBu0
http://mipagina■aol■com■mx/DinoGreene32/index5■html
こことか見るとホントPSのないWIZってクズだと思うな・・・


これ何だ？
踏んだらJavaScriptがなんとかいうウィンドウが出たから、
「このページのJavaScript」の実行を停止する」をチェックした（当方Operaブラウザ）
そのせいか、踏んでも何も起こらず
カスペルスキーは無反応
上記のアドレスをaguse.jpで調べてみたら所在地は米カンザス州
踏んだらhttp://scanner■spyshredderscanner■com/4/?advid=1507
ってアドレスが開いたんだが、こっちの所在地はモスクワだった

>>157
日本語でおｋ

158 ：（○口○*）さん sage ： 2007/12/28(金) 10:54 ID:pB7Dewxs0

ハックにせよ違うにしろ
警戒心と危機感なさすぎじゃね？
踏んでからjava切ったりaguseで見たりとか遅すぎ

159 ：（○口○*）さん sage ： 2007/12/28(金) 11:17 ID:5GVHCEZ90

まぁ、そう言われるのもやむを得まいな…

160 ：（○口○*）さん sage ： 2007/12/28(金) 11:44 ID:/qYa7QvC0

>>157
ソースレベルで判断する限り、限りなくアダルト系。
垢ハックは入っていなくても、botnet spamの仲間入りする可能性は否定できない。
ついでに、Operaは先週に9.25がリリースされている。セキュリティ周りのアップデートが中心だが、忘れずに更新していれば幸い。

161 ：（○口○*）さん sage ： 2007/12/28(金) 12:05 ID:rVDEFj7i0

>>157
スクリプトから飛んだ先はWinFixerやSystemDoctorやWinAntiVirusみたいな
よくあるインチキセキュリティソフトだろ。

162 ：（○口○*）さん sage ： 2007/12/29(土) 11:25 ID:5KES4ZJV0

質問です。
PG2でブロックされたIPを調べようと、BSwikiからのIPで企業名を調べるページで見てみました

K○DIやN○Tのものは住所が千代田区なのでみて分かったんですが、
翻訳したら詳細は（アフリカがどうとかのページ）を参照…といった文面の時等、
企業名が分からない怪しいものはブロックという対応で大丈夫ですか？

ファイルチェックに関しては常駐カスペルスキーインターネット7.0.0.138と時々spybot、
他の対策としてはFireFoxとPG2、hostファイル変更です。
よろしくお願いします

163 ：（○口○*）さん sage ： 2007/12/29(土) 12:05 ID:5ypocSPR0

>企業名が分からない怪しいものはブロックという対応で大丈夫ですか？
なにを怪しいと見るかは自己責任の判断。

全てブロックし、必要なところだけ解除していくのを推奨。

164 ：（○口○*）さん sage ： 2007/12/30(日) 17:44 ID:nlPXE13R0

リネージュ資料室の更新情報から、差し替えがあったと思われるもの。
一応、カスペでは１つを覗いて撃墜しているが、検出率の悪い新種もあるので注意。
検体提出してきます。

ttp://777■za123■cn/cc/999■exe

ttp://www■gamesmusic-realcgi■net/
ttp://www■runbal-fc2web■com/
ttp://www■runbal-fc2web■com/web/index1■htm
ttp://www■runbal-fc2web■com/web/fudng■exe
ttp://www■runbal-fc2web■com/web/ridvi■exe

ttp://lg96■3322■org/jp/
ttp://www2■h3210■com/jp/
ttp://www■kele88■com/images/images■htm
ttp://www■kele88■com/images/images■exe


999■exe : Trojan-Spy.Win32.Pophot.za
index1■htm : Trojan-Downloader.VBS.Psyme.ds
fudng■exe : Trojan-PSW.Win32.OnLineGames.lyx
ridvi■exe : Trojan.Win32.Inject.pt
images■htm : VBS/Psyme.CY
images■exe : W32/PackJC.A

165 ：（○口○*）さん sage ： 2007/12/30(日) 17:47 ID:nlPXE13R0

最近、サイズ0なiframeの呼び出しで、iFramEなどの大文字小文字混在を用いて、
ダウンローダ検出ブロックを回避しようと試みている様子が見受けられる。

ようやく、iframeでの0サイズで別ページを呼びだす手法が引っ掛けるようになった
セキュリティソフトも増えてきたが、このパターンだとすり抜けるケースがあるようで。

166 ：（○口○*）さん sage ： 2007/12/30(日) 17:51 ID:eL/kWkD50

大文字小文字の区別をしていることに驚きだ

167 ：（○口○*）さん sage ： 2007/12/31(月) 03:05 ID:Yf4/dNQ50

ROの垢ハックに関してはどのセキュリティソフトが一番信頼性高いのかな
今バスターだけど何か最近OSが不安定。
試しに一度バスターをアンインストールしたら途端に安定するし
いいのがあったらそっちに乗り換えようかと思う

168 ：（○口○*）さん sage ： 2007/12/31(月) 03:31 ID:R01aNOfL0

一応、これについても貼っておくな。
ttp://www13.atwiki.jp/burakura_hdd/

169 ：（○口○*）さん sage ： 2007/12/31(月) 06:26 ID:gJXJ7w0q0

>>168
何のサイトか書かないと不安に思われるから書いてくれ

ちなみに>>168は今話題のHDDフォーマットするブラクラの対策まとめページ

170 ：（○口○*）さん sage ： 2007/12/31(月) 11:59 ID:NvTEqKX30

あほらしい質問かもしれませんが調べても不明だったので聞いてみます。

カスペに乗り換えて、スキャン高速化のために新規・変更ファイルのみスキャンの設定にしました。
この場合例えば、0：00分の次点で定義されてなかったウイルスAに感染したとします。
そして完全スキャンを実行、Aは発見されなかったとします。
1：00分でAに対する定義ファイルが更新されたとします。
その定義ファイルを更新後、再び完全スキャンを実行した場合Aは検出されるのでしょうか？

171 ：（○口○*）さん sage ： 2007/12/31(月) 12:53 ID:3eo+cdTW0

>>170
されない可能性が高い。手動でそのファイルorフォルダ指定で検出かければ出てくると思うけど。

172 ：（○口○*）さん sage ： 2007/12/31(月) 12:54 ID:3eo+cdTW0

あ、でも、実行しようとメモリにロードした時点で検出してブロック＆削除は働くはずなんで
完全にすりぬける訳ではないよ。

173 ：（○口○*）さん sage ： 2007/12/31(月) 13:09 ID:NvTEqKX30

回答ありがとうございます。
たまにはチェック外して完全スキャンもすることにします。

174 ：（○口○*）さん sage ： 2007/12/31(月) 14:55 ID:7Uv7RIuF0

IEでは拡張子をjpgにしたgif画像をjpgとしてではなくgifとして再生する
グロやホラー画像を付けたGIFアニメを開かせる精神的ブラクラがあったりする

175 ：（○口○*）さん ： 2007/12/31(月) 15:47 ID:CyhKFsDl0

すんません、数ヶ月ぶりにRO復帰しようと思うんで入る前に聞きたいんですけど、
ちょっと調べてみたところJavaScriptもオフ推奨って書いてるとこ見かけるんですが、
スクリプトだけでも感染するような新種がでてるんですかね？
私的にはアプレットとかActiveXは危ないと思うからROしてなくても常時オフってましたが
JavaScriptも危ない時代になっちゃってるんでしょうか？

176 ：（○口○*）さん sage ： 2007/12/31(月) 15:50 ID:5WChpHSZ0

昔から危ない時代だったが正しい

ただOFFにしちゃうと見れないサイトが出てくるから、サイト毎に
ON/OFF出来るツール等を入れるのがいいよ

177 ：（○口○*）さん sage ： 2007/12/31(月) 15:51 ID:HwNBmafM0

wikiでこのアドレス踏んでしまったんだけど
http://nmmdbi■blog22■fc2■com/

中身は11の内容で以前は中華系のサイトがあったらしいけど
垢ハックの可能性あるかわかる方法ってあります？

あと対策で一番いいのは今の所カスペ？

178 ：（○口○*）さん ： 2007/12/31(月) 16:00 ID:CyhKFsDl0

>>176
早レスどもです。
SleipnirでJavaScript以外は常時オフしてるから普段はJavaScriptしかオンになってないんですけど、
ぶっちゃけこれだけで感染させるのって原理的に可能なのかなあと思いまして。
一応カスペルスキーやその他のウィルスソフトでも何にもでなかったんだけどやっぱりクリーンインストールしてからやる方がいいのかなぁ・・・

179 ：（○口○*）さん sage ： 2007/12/31(月) 16:07 ID:7Uv7RIuF0

原理的にどうだろうと人が扱う以上はあり得ないとは言い切れない
現状で大丈夫とは誰も保証できないので
可能性を疑うならクリーンインストールお勧め

180 ：（○口○*）さん ： 2007/12/31(月) 16:26 ID:CyhKFsDl0

>>179
なるほど、そういうことですか。
レスどもでしたー

181 ：（○口○*）さん sage ： 2007/12/31(月) 16:38 ID:02R5Cfmh0

>>177
iframe無いし、記事も1つも無い。1ヶ月放置広告も出てる。
たぶん無害。
どのアンチウイルスがいいかは主観が混じるのであれだが
個人的にはKasperskyかAntiVir。

182 ：（○口○*）さん sage ： 2007/12/31(月) 16:44 ID:R01aNOfL0

>>169
すまん。次からは書くようにする。

183 ：（○口○*）さん sage ： 2007/12/31(月) 20:25 ID:3eo+cdTW0

>>177
※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※
※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※
※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※
※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※
※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※

184 ：（○口○*）さん sage ： 2007/12/31(月) 20:46 ID:19YEauKZ0

>>183
もうさテンプレに2chのそのスレのリンクはっておいたほうがいいのかねえ

185 ：（○口○*）さん sage ： 2008/01/01(火) 09:46 ID:JeS+ubCH0

アカハック検体捕獲クエストの結果を報告します。

リネージュ資料室さんの更新情報から検体確認。
12/30とかにも差し替え発生してたようで。業者さん頑張ってます。
（systemin.scr 12/30のVirusTotal結果ではカスペすりぬけ→今日のパターンで検査 撃墜）

ttp://www■dyparagon■co■kr/gon/h■htm
ttp://www■dyparagon■co■kr/gon/m■htm
ttp://www■dyparagon■co■kr/gon/real■htm
ttp://www■dyparagon■co■kr/gon/gmsex■exe

ttp://www■maplestorfy■com/lunimkabuges/
ttp://www■maplestorfy■com/holy_immortals/tals2/main■htm
ttp://www■maplestorfy■com/holy_immortals/tals2/Ms06014■htm
ttp://www■maplestorfy■com/holy_immortals/tals2/weie■exe

ttp://www■twurbbs■com/
ttp://www■twurbbs■com/systemin■scr

real.htm : JavaScript.CodeUnfolding.gen!High (suspicious)
gmsex■exe : Trojan-PSW.Win32.OnLineGames.mpw
weie■exe : Trojan-PSW.Win32.OnLineGames.mmp
systemin■scr : Win32:OnLineGames-BKJ
systemin■scr/maikmr■exe : Trojan-PSW.Win32.OnLineGames.mpk

real■htmはリアルプレイヤーを利用する奴かな。

そのままのhtmlでは引っ掛からない。t=〜をVB Scriptでキャラクターに変換するいつものパターン。
区切り文字を,ではなく|にしたり、そのままキャラに変換するのではなく、配列の数値-6したものを
変換するとか一手間余分にかけている感じ。ダウンロード用スクリプトの入ったhtmlも最近提出して
セキュリティソフト側のパターンに入り始めているから、こっちも検出避けを始めたのかなという
雰囲気。いたちごっこですねぇ。real■htm を検出できるのは、確認時点のVirusTotalで、
Webwasher-Gateway だけだったり。t=〜の文字列を解体（解読と言うほど高尚なもんじゃない）した
結果の文字列をかけると４社程で検出可能になります。

186 ：（○口○*）さん sage ： 2008/01/01(火) 09:56 ID:JeS+ubCH0

gmsex■exeが、リネージュ資料室さんのリストでは、exe単体になってたので
呼び出し元を確認するために「dyparagon」でぐぐって見ました。

※※※ 迂闊にドメイン名全部でぐぐると、ちょくせつそのサイトのTOPページを
※※※ 開こうとするので大変危険です。ご注意下さい。

# Malware Block List - http://www.malware.com.br
# Generated at: 20080101002027 UTC

とか言うものが出てきて、その中に、このサイトのドメイン名が含まれていました。

アカハック以外のものも含んでいると思いますが、防ぐべき対象のリストとして
結構有効に感じました。TOPページから、新規登録要請のフォームもあるようだし
これ、上手く活用できないかな。

ttp://www.malware.com.br/cgi/submit-agressive?action=list&type=agressive

187 ：（○口○*）さん sage ： 2008/01/01(火) 12:56 ID:sC4hBMya0

>>185
ま、スクリプトに関しては6引いたのをブロックできたとして
6足したら? 5引いたら? とか正直言ってきりがないので
バイナリのみ阻止できりゃいいやというスタンスで
バイナリしか検体送ってないです。

188 ：（○口○*）さん sage ： 2008/01/01(火) 12:58 ID:sC4hBMya0

アカハックとは関係ないけど、Happy New Year 2008みたいなのが
メールでバンバン届いてるので注意。
ttp://www.avertlabs.com/research/blog/index.php/2007/12/24/merry-christmas-nuwar-style/
ttp://www.avertlabs.com/research/blog/index.php/2007/12/25/and-a-happy-nuwar/
ttp://blog.trendmicro.com/happy-stormy-new-year/

189 ：（○口○*）さん sage ： 2008/01/02(水) 09:37 ID:z9fTc/Vr0

http://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/235

総合スレから移動

>235 (^ー^*)ノ〜さん sage New! 08/01/02 09:19 ID:dSlhvypO0
>>一般的なセキュリティ対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。
>前から思ってたが「総合対策スレ」なのに
>なんで対策まで隔離されるという変な事態になってるんだろ？
>
>>※ ネタや程度を超えた雑談・脱線はご遠慮ください
>あと、即誘導コピペを貼る潔癖症の人は
>度が過ぎなければテンプレ許容範囲だということも覚えておこうね。

一部、読み落としてやしませんかね。理由もちゃんと書かれてますよ。
誘導してんのは潔癖症という以上に、セキュスレの方がコメントし易いって事情もある。

｜重要な情報が埋れてしまわないようにする為、一般的なセキュリティ

相談・分析・対策・一般話題・雑談がごちゃまぜになり、使いにくくなった為に、相談の上
セキュスレ（雑談スレ）が分離された。その後、相談への対応も、セキュスレが適当って
ことになってきてる。

総合スレが、まとめの役割を果たしてるかどうかってことはちょっと疑問だけどね。

190 ：（○口○*）さん sage ： 2008/01/02(水) 11:23 ID:o2GLY2mF0

やっぱりあそこを雑談おkのこのスレ状態にして、
URL情報はもう一個にゅ缶に別スレ建ててもらってのスタイルのがいいかなぁ？
やっぱりにゅ缶の方が目に付くし、危機を感じた人は「ハック」とかで検索すると思うし。

191 ：（○口○*）さん sage ： 2008/01/02(水) 11:34 ID:z9fTc/Vr0

>>190
RO板、LiveRO板TOPの誘導はちゃんとセキュスレになってるよ。

192 ：（○口○*）さん sage ： 2008/01/02(水) 11:44 ID:o2GLY2mF0

あるけど、専ブラが多くて見れないor気付かない人って多いんじゃないかねぇ

193 ：（○口○*）さん sage ： 2008/01/02(水) 12:32 ID:z9fTc/Vr0

それはそれで総合スレのテンプレ読めで済ます所かと。

194 ：（○口○*）さん sage ： 2008/01/02(水) 12:51 ID:SQWk5P5j0

散々言われてるが向こうのスレタイが紛らわしいからな
アカウントハックURL収集所みたいにしたほうがいいんじゃまいか
こっちのスレもスレタイにアカウントハックの文字いれたいけど長すぎるかｗ

195 ：（○口○*）さん sage ： 2008/01/02(水) 13:22 ID:z9fTc/Vr0

総合スレ236
>いろんな角度から対策を検討するスレであって、対策方法を聞きにくるスレではない。
>というのが私の認識だけど、あってる？

対策を聞きに来るスレじゃないってのは同意。こっちのセキュスレが担当。
対策の検討も…セキュスレぽい気がする。

検討の結果を貼り付ける、アカハックと断定できている事例について、危険アドレスなどを
まとめる人が確認しやすいような仕方で書いておくスレになってるかな＞総合スレ

正しい使い方というか、有効な使い方かどうかは疑問の余地があるけど。
前スレ末尾に出てきたように、スレの使い分けは、まだ完全に固定化できてないので
こっちで話し合って、その結果をゆっくり反映させていく方向じゃないかな。

196 ：（○口○*）さん sage ： 2008/01/02(水) 18:19 ID:PLIKX+WC0

誘導されて参りました。
すみません、どなたかご教授ください

www■noely■blog88■fc2■com/blog-entry-249■html

上記のサイトを踏んだら変なエフェクトと英文字が出てきて消えたのですが、
ハック等の恐れはありますでしょうか？

197 ：（○口○*）さん sage ： 2008/01/02(水) 18:55 ID:KBF2MwwD0

質問があるので書き込ませていただきます。

【　 　 　 気付いた日時　 　 　 　 　 】 １/１
【不審なアドレスのクリックの有無　】 RO．Engineでサイト閲覧中にクリック
【　　アドレス 　 】http://solarer■blog34■fc2■com/
【　 　　 OS　 　 】WindowsXP Home SP2
【使用ブラウザ 】Sleipnir2.6.1
【WindowsUpdateの有無】 常時確認（自動通知が表示されたらすぐ更新）
【　アンチウイルスソフト 】 ウイルスバスター2007（今年8月末まで更新済み）
【その他のSecurty対策 】 オンラインスキャン
【 ウイルススキャン結果】 下記に詳しく書きます。
【テンプレの参考サイトを読んだか】 YES
【hosts変更】無
【PeerGuardian2導入】アドレスを踏む前は無。クリーンインストール後に導入。
導入するとき、リネージュ資料室とROアカウントハック報告スレのまとめ？サイト
を参考に設定を行いました。
【説明】
上記アドレスを踏んだ瞬間、ウイルスバスターの常時ウイルススキャンが
反応。「VBS_PSYME.BFYを隔離しました」というポップアップが現れました。
その後、隔離されたファイルを削除しました。
そのときはそれで終わるつもりだったのですが、ROサイトでのこともあり、上記
アドレスのソースチェックと、テンプレの危険ホストを照らし合わせてみると、
www■teamerblog■com/blog/　という危険サイトが仕込まれていることがわかり、
すぐに回線を抜きました。

前置きが長くなってしまいましたが、ここからが質問です。
クリーンインストールを行った後、ROのパスワード変更・ROへのログインを行った
のですが、PG２でブロック履歴が出てしまいました。
名前が「Korea」「Taiwan」となっており、送信元が無線LANのルーターのアドレスに
なっています。
これはまだトロイが取り除けてないということなのでしょうか？　スレ内を検索してみ
ましたが、いまいち分からないので質問させていただきました。

198 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2008/01/02(水) 19:30 ID:ryn7Nvy90

>>196
素人ながら上記アドレスをソースチェッカーとaguse.jpで調べてみました。
なにやら自動転送でFC2のブログサイトに跳んでいるみたいです。
ソースで手繰ってみても変なものは見当たらなかったですが
罠URLやら変なものは特に何も無いと思われます。
それ以上のものが仕込まれていたら当方判りません。

あとソースチェッカーの右下の方に出るキャッシュの文字に
"何か適当なブログ"とありましたのでふと聞き覚えがあったので思い当たり
Googleで検索をかけるとダブルメギン持ちの日記サイトが出てきました。
ttp://noely■blog88■fc2■com

どこのサイトで記述されたURLを踏んだのか判りませんが
単にアドレスの記入ミスでFC2のブログページに転送した時の挙動や
広告ブロックリストに登録されている部分があるようなので、
そこで引っかかったのかも？

心配ならカスペルスキーオンラインスキャンの実行と
PG2やhosts対策をテンプレを読んで試してみてはいかがでしょうか？

199 ：（○口○*）さん sage ： 2008/01/02(水) 19:35 ID:z9fTc/Vr0

総合スレ238
>>196
存在しないので、fc2のエラーページに飛ばされるだけ。
転送しますって表示のページに文字コードが指定されていないので文字化けしただけだろ。

200 ：（○口○*）さん sage ： 2008/01/02(水) 19:42 ID:z9fTc/Vr0

>>197
＞名前が「Korea」「Taiwan」となっており、送信元が無線LANのルーターのアドレスに
＞なっています。

サイトの閲覧（WikipediaやPC部材のメーカー等でも）をした際にブロックされる可能性はあります。
安全である保証はできませんので、ブロックされたIPの所有者を確認するなどの方法で
自分で判断することをお勧めします。

IPがどこのものかチェックするのに、わたしはこんなページを利用しています。
http://www.iphiroba.jp/ip.php

殆どのアカハックは中国宛になると思いますので、関係無いサイト等の表示や
各種アプリが、起動時に最新情報をチェックする時などをブロックした履歴かも
しれません。ブロックしたIPにもよりますが、スレのテンプレにあるアドレスが
失効したドメインだったりすると、ブロック履歴に残ることがあります。

201 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2008/01/02(水) 19:58 ID:ryn7Nvy90

>>ttp://noely■blog88■fc2■com
でもaguse.jpで表示されるスクショはなぜか真っ暗なんですよね…。
何かワンクッション在るのかなあ･･･とか。

>>197
HDDを完全フォーマットするクリーンインストールをした後で
罠サイトを踏んでいなければ問題は無いはずです。
ただ…当方PG2を入れていますがアトラクションセンターに跳んだ時に
PG2でガードされたことがなかったりします。

なので安心できる回答をすることが出来ませんが
PG2でブロックされるIPが >>3 に書かれているPG2用RO許可リストのIPであれば
許可してしまってよろしいのかも…？
いい加減なレスで申し訳なく。

もっとえらい判る解説できる人よろしくお願いします。

202 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2008/01/02(水) 20:10 ID:ryn7Nvy90

>>199-200
簡潔ですごい判りやすいレスが。本当にありがとうございます。

蛇足ですが、まとめ臨時でまとめてあるアドレスも
失効された物について確認や削除はしていなかったりします。

203 ：197 sage ： 2008/01/02(水) 20:22 ID:KBF2MwwD0

　レスありがとうございます。

>>200
　ブロックされたIPを、教えていただいたサイトで検索してみました。
　どうやらスパムなどでよく使われる有名なドメインらしく、中にはどこかの大学
の名前まで出てきました。
　油断はできないですが、ちょっと気分が楽になりました。

>>201
　クリーンインストール後は、ROに関係したブログサイト自体を見ることを自粛
していますし、見ていて「おや？」と思ったこともないので、多分大丈夫だと思い
ます。

>>ただ…当方PG2を入れていますがアトラクションセンターに跳んだ時に
>>PG2でガードされたことがなかったりします。
　ブロックされたときは、RO終了後〜ブロックに気づくまでの間だったような気が
します。アトラクションセンターでは特に問題はありませんでした。

>>PG2用RO許可リスト
　先ほどからウィキペディアなどでもはじかれてしまうので、様子を見ながら設定
してみようかと思います。
　
　こういったことは初めてだったので、ちょっと神経質になりすぎていたかもしれま
せん。安全かどうかは、もう少し様子を見てから判断したいと思います。
　答えてくださった方、ありがとうございました。

204 ：（○口○*）さん sage ： 2008/01/02(水) 21:48 ID:PLIKX+WC0

>>198 >>199

お返事ありがとうございます。
URLは
http://noely■blog88■fc2■com/blog-entry-249■html

でした。張り間違えてすみません。

安全なブログサイトという事で大丈夫そうですね。
どうもありがとうございました。お手数おかけしました。

205 ：（○口○*）さん sage ： 2008/01/03(木) 16:07 ID:OgA177iD0

ウイルスバスター２００８を使ってるんですが、ウイルスを検索して、検出数〜件
と出ているのに、検索終了後の処理済数では、〜より１件少ない処理数が表示されることがあります。
セキュリティホールではないようなんですが、これってどういうことなんでしょうか？
曖昧な質問で申し訳ないですが、ご存知の方がいたら回答をお願いします。

206 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2008/01/04(金) 03:20 ID:9beCuvhb0

「ウイルスバスター2008　処理済数」でGoogle検索をかけると
二件目にこのような記事が。

http://aol.okwave.jp/qa3527830.html

207 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2008/01/04(金) 03:35 ID:9beCuvhb0

>>205
アンカー付け忘れていました。上の記事がそんな感じです。

208 ：（○口○*）さん sage ： 2008/01/04(金) 03:38 ID:YAEYMR/Y0

【　 　 　 気付いた日時　 　 　 　 　 】 1月4日1時頃
【不審なアドレスのクリックの有無　】 クリック有り　
【　　アドレス 　 】http://www■irisdti-jp■com/blog/
【　 　　 OS　 　 】WindowsXP Home SP2
【使用ブラウザ 】OPERA　9.25
【WindowsUpdateの有無】 常に最新。自動更新しても更新物無し
【　アンチウイルスソフト 】 AntiVir　PersonalEdition　Classic
【その他のSecurty対策 】 Spybot S&D、PC TOOL FIREWALL PLUS、非常駐でAD-Aware
【 ウイルススキャン結果】 AntiVirにて、'HTML/Infected.WebPage.Gen' [virus]発見
【テンプレの参考サイトを読んだか】 今から読みます
【hosts変更】
【PeerGuardian2導入】無
【説明】踏んだ直後にAntiVirの警告を受け、Deny　Accessを選択。
すぐにスキャンし発見したのを削除。
別PCにてID等変更済み。
一昨日スキャンした際には何も発見されなかったのですが、これで駆除しきったと言えるでしょうか？


気づいたらこんな時間に・・・orz

209 ：208 sage ： 2008/01/04(金) 03:43 ID:YAEYMR/Y0

>【WindowsUpdateの有無】 常に最新。自動更新しても更新物無し
×　自動更新
○　手動更新


ついさっきSpybotのスキャンも完了。
virtumonde[13]、virtumonde[46]でチェック中にエラーが発生したほかはスパイウェア無し。

210 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2008/01/04(金) 04:16 ID:9beCuvhb0

確実に安心安全な状況にしたい場合は
テンプレの >>6 に在りますようにクリーンインストールしたほうが確実です。

既出の罠サイトですし駆除できた可能性もありますが
定評のあるカスペルスキー等でも
仕込まれていたウイルスが差し替えられたり、
新種になっていたりしてすり抜けられてしまう可能性等もありますし
こちらからはPCから駆除しきれたかどうか確認が出来ないので
確実なOSの入れなおしが推奨されています。

211 ：（○口○*）さん sage ： 2008/01/04(金) 06:35 ID:U+8cEfy70

>>208
>一昨日スキャンした際には何も発見されなかったのですが、これで駆除しきったと言えるでしょうか？
駆除できた可能性は高いが保証はできない。

212 ：（○口○*）さん sage ： 2008/01/04(金) 06:55 ID:U+8cEfy70

>>208
テンプレに沿った適切な相談に好感を持ったので、ちょいと調べて見ました。

ttp://www■irisdti-jp■com/blog/
ttp://www■caremoon■net/blog/index1■htm
ttp://www■caremoon■net/blog/send■exe
ttp://www■caremoon■net/blog/f2■exe
ttp://www■caremoon■net/blog/reak■exe

AntiVirでの検出名
index■htm : HTML/Infected.WebPage.Gen
index1■htm : HTML/Dldr.NSAnti.B
send■exe : TR/Copiet.B.1
f2■exe : TR/Spy.Agent.ash
reak■exe : TR/PSW.Magania.bph

呼び出し順序
->index■htm
-->index1■htm
--->send■exe
--->f2■exe
--->reak■exe

>>208の投稿を見ると、ブロックしたのは'HTML/Infected.WebPage.Gen'なので
一番最初のindex.htmでブロックしている。その次のダウンローダや本体までは
入手していないと見るのが妥当。（保証はできないけど、多分、安心して良い）

踏んだ時刻が1:00頃で、この検体を確認したのが6:40頃なので、差し替えが
あった可能性はあるが、VirusTotalにかけたところ、全く同一(MD5が等しい)の
ファイルを確認した履歴が残っており、確認日もそれなりに古い為、今回は、
差し替えられていないと思う。ファイルの日付も12/24だし。
（f2■exeがよく差し替えられるが、VirusTotalで1/3に確認されているものとMD5一致）

参考までに、VirusTotalにかけた結果。
index■htm：ttp://www.virustotal.com/analisis/1562cdd16d440377c715584c72cc0f04
index1■htm：ttp://www.virustotal.com/analisis/0a5ad61be2df5402628713274052bd0e
send■exe：ttp://www.virustotal.com/analisis/265f87493774a98b3a924ce7d200bcc4
f2■exe：ttp://www.virustotal.com/analisis/866ccf90e821f152ff6ebd862ef8dbc3
reak■exe：ttp://www.virustotal.com/analisis/9c7567b17ac97eacf721f7e31ad3acb8

213 ：（○口○*）さん sage ： 2008/01/04(金) 11:03 ID:U+8cEfy70

リネージュ資料室の更新情報より。最近更新されたもの。

systemin■scrはカスペすりぬけ。各社に検体提出済み。
他のセキュリティソフトも、ファイル差し替えで検知できなくなっている可能性あり。

ttp://777■za123■cn/cc/999■exe
ttp://mail■8u8y■com/ad/pic/temp■exe
ttp://u■uu500■com/a8da234k8asdf■exe

ttp://www■hosetaibn■com/cgi-bbs/
ttp://www■mebertw■com/cgi-bbs/
ttp://www■qyytw■com/jpt1/main■htm
ttp://www■qyytw■com/jpt1/real■htm
ttp://www■qyytw■com/jpt1/Ms06014■htm
ttp://www■qyytw■com/jpt1/test■cur
ttp://www■qyytw■com/jpt1/jpt1■exe

ttp://www■twurbbs■com/
ttp://www■gamanir■com/systemin■scr

214 ：（○口○*）さん sage ： 2008/01/04(金) 11:13 ID:QxLfcE9B0

8u8y(略)temp■exe って落ちてくる? こっちでは「This domain has been blocked」。
資料室でも(exeならapplication/octet-stream)のはずなのにtext/htmlになってる。
頻繁に更新チェックしてる俺らだけ蹴られたのか、単純に海外総蹴りなのか…。

215 ：（○口○*）さん sage ： 2008/01/04(金) 11:26 ID:U+8cEfy70

>>214
ダウンローダで落としたら来たよ。hosts辺りでブロックしてない？

8u8y(略)temp■exe
カスペ検出名：Backdoor.Win32.Agent.dev
AntiVir検出名：TR/Crypt.FKM.Gen
http://www.virustotal.com/analisis/dcaed977059f951d043d1f9f866beb0c
VirusTotalではPrevx1以外は全ソフトで撃墜してるので、さほど心配する事ないかも。

んでもって、カスペさんから返答。カスペでも、ようやく0サイズのifram呼び出しがブロック対象かな。
index.htmk - Trojan-Downloader.HTML.IFrame.dd,
systemin.scrk, maikmr■exek - Trojan-PSW.Win32.OnLineGames.myi,
index.htmk - Trojan-Downloader.HTML.IFrame.de

ttp://mail■8u8y■com/ad/pic/temp■exe
こっちは、悪性のコードなしだそうな。VirusTotalでも全ソフトでスルーしてる。

216 ：（○口○*）さん sage ： 2008/01/04(金) 11:54 ID:QxLfcE9B0

ブロックはしてない。
あちゃー、資料室や俺が蹴られてるのかｗ
(ISPはOCN)。他の人に任せます。

217 ：（○口○*）さん sage ： 2008/01/04(金) 13:01 ID:U+8cEfy70

総合スレ241
寝言は寝て言えやｗ　ROのアカハックじゃないからセキュスレ行けという意図なのか？

>>216
検体入手ブロックされてんのかって思える時もあるけど、リトライ繰り返させれば
大抵は落ちてくるんだが。

「This domain has been blocked」ってメッセージは見た事無いが、プロクシか
セキュリティソフトのWebフィルターで危険なドメインとしてブロックしてないだろうか。
多分、なんかのフィルタがかかってると思うぞ。

218 ：（○口○*）さん sage ： 2008/01/04(金) 14:14 ID:U+8cEfy70

総合スレ243
スレの方針・使い分けについての話はこっちが担当ですよと。

219 ：205 sage ： 2008/01/04(金) 14:16 ID:tnGBhVWC0

>>206 >>207
質問は友人宅のＰＣからしたのでＩＤ変わってますが…
なるほど、同じのが検出されているってことなんですね。
てっきり２００８で処理できないウイルスかと…
わかりやすい回答ありがとうございました！

220 ：（○口○*）さん sage ： 2008/01/04(金) 15:37 ID:QxLfcE9B0

>>217
mail■8u8y■com/ad/pic/temp■exe
これ落としてメモ帳で見るとただのテキストで
「This domain has been blocked」ってなってない?
なってないなら俺とかの一部ホストが蹴られてる
(IrvineでもWWWDでのHTTPヘッダ取得でも変わらん)。
検体収集PCなのでXPSP2付属のFWしか使ってないし
ISP側でのオプションも設定せずhostsもXPインスコ時のまま。

221 ：（○口○*）さん sage ： 2008/01/04(金) 15:53 ID:U+8cEfy70

>>220
あ、なってた。28バイトだし、そこまで見てなかったな。道理で危険なコード入ってない訳だ。

222 ：（○口○*）さん sage ： 2008/01/04(金) 16:00 ID:QxLfcE9B0

>>221
んじゃ国外蹴ってるのかもね〜。VirusTotalに投げたんかいｗ

223 ：（○口○*）さん sage ： 2008/01/04(金) 16:11 ID:U+8cEfy70

ドメインからIP検索かけて見た。出てきたIPの管理者はカナダのものらしい。

どうやら、ドメイン失効（メッセージからすると停止？）に伴って、ファイルが見えなくなって、
リネージュ資料室の更新チェックで変化があったと検知しただけぽい。

Comment: ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE
RegDate: 2001-01-04
Updated: 2006-11-20
# ARIN WHOIS database, last updated 2008-01-03 19:10

復活しなければ、mail■8u8y■comはhosts等から外しても良さそうだが、入れっぱなしでも
実害はないので放置していいと思う。

224 ：（○口○*）さん sage ： 2008/01/04(金) 16:12 ID:U+8cEfy70

>>222
うむ。なーんも考えずに検体提出の中にも混ぜといた(笑)
各社の担当者の皆さん、ごめんなさい。

225 ：（○口○*）さん sage ： 2008/01/04(金) 17:11 ID:jL6lBza30

858 名前：(^ー^*)ノ〜さん[sage] 投稿日：08/01/03(木) 23:08 ID:PA8IQZey0
http://www.mmobbs.com/uploader/files/3999.jpg

859 名前：(^ー^*)ノ〜さん[sage] 投稿日：08/01/03(木) 23:36 ID:xMgjcLNz0
暫くスレの反応見てからじゃないと押せない俺が居る

860 名前：(^ー^*)ノ〜さん[sage] 投稿日：08/01/03(木) 23:42 ID:u1BWyxuS0
jpegは最近ウィルスの可能性高いから怖いよな
中身はちょっと前にボススレやバグスレで釣りに張られてた、不良在庫の血鉄球を大量に持ってるだけのSSだ

861 名前：(^ー^*)ノ〜さん[sage] 投稿日：08/01/03(木) 23:42 ID:FUcxUz9v0
>>859
>>858はアカハックだから気をつけてね

jpgだから大丈夫だとおもったのにorz
何も言わずにURLだけ書いてるなんて怪しすぎると気づけよ、俺


本当にまったく無知なんだがこれって垢ハクですか？

226 ：208 sage ： 2008/01/04(金) 17:14 ID:YAEYMR/Y0

>>210 >>211 >>212
丁寧かつ迅速な回答ありがとうございます。
index■htmからさらにメインのとなるトロイがダウンロードされるのですね。

意味があるかは分かりませんが、一応踏んだ時間前後のSpybot-SD Residentのログを晒してみますと、
2008/01/03 18:40:32 許可 (based on user decision) value "{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}" (new data: "") 追加 in Browser Helper Object!
2008/01/04 15:41:29 許可 (based on user decision) value "PeerGuardian" (new data: "C:\Program Files\PeerGuardian2\pg2.exe") 追加 in System Startup user entry!
2008/01/04 15:41:33 許可 (based on user decision) value "SunJavaUpdateSched" (new data: ""C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"") 追加 in System Startup global entry!
3日の奴がちょっと気になりますが、少なくとも4日深夜以降にレジストリをいじられてはいない？

今後の対策としてPG2によるhostsの導入をしてみました。

227 ：（○口○*）さん sage ： 2008/01/04(金) 17:15 ID:Ymz0jrKt0

とりあえずLisa鯖と言うことだけ判った

228 ：（○口○*）さん sage ： 2008/01/04(金) 17:24 ID:U+8cEfy70

※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※
・危険性があるURLは必ず「.」を「■」に置き換えて貼り付けください。

229 ：（○口○*）さん sage ： 2008/01/04(金) 17:25 ID:QxLfcE9B0

>>225
違う。ただのjpg画像(HTTPヘッダでContent-Type: image/jpeg)。

230 ：（○口○*）さん sage ： 2008/01/04(金) 17:31 ID:U+8cEfy70

>>225
単純に答えてもしょうがないのでテンプレから引用しとく

｜　　・偽装jpg対策(IE7とIE6SP2限定。IE6SP1以前では出来ない)
｜　　　：インターネットオプション→セキュリティ→レベルのカスタマイズ
｜　　　　→「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする

この設定をしておけば、HTMLを偽装jpegで開こうとして、罠を発動させることはなくなる。
（脆弱性を付く場合は別として）

>>225のような嘘情報で惑わされるような奴は、テンプレ読むことからやっていこうな。

231 ：225 sage ： 2008/01/04(金) 17:42 ID:jL6lBza30

ここの住人の優しさに泣いた
丁寧に答えていただきありがとうございました
勉強してきます

232 ：（○口○*）さん sage ： 2008/01/04(金) 20:44 ID:av7/Fth20

PeerGuardian導入してみたんだけど
RO垢ハックまとめのリストとLineage資料室の2つ
ついでにググルで見つけた中韓香のIPリストの計4つを登録したら
ブロック数が9億近くになってるんだけどこれで正常なの？

233 ：（○口○*）さん sage ： 2008/01/04(金) 20:46 ID:Ymz0jrKt0

RO垢ハックまとめリストは登録してないけど、約1.6億あるな

234 ：（○口○*）さん sage ： 2008/01/04(金) 20:53 ID:av7/Fth20

�dクス。
中韓香リスト無効にすると1.6億弱だからこれでいいのかな。

235 ：（○口○*）さん sage ： 2008/01/05(土) 02:34 ID:TJBEulRc0

【　 　 　 気付いた日時　 　 　 　 　 】 1/4
【不審なアドレスのクリックの有無　】 有。思いっきり踏んだ・・
【　　アドレス 　 】www■articlelin■com/wiki/
【　 　　 OS　 　 】WindowsXP Home SP2
【使用ブラウザ 】IE6.0 SP2
【WindowsUpdateの有無】 有。手動で試しても最新
【　アンチウイルスソフト 】 McAfee VirusScan
【その他のSecurty対策 】 カスペルスキーオンラインスキャン
【 ウイルススキャン結果】 上二つどちらも検出無し。
【テンプレの参考サイトを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
初めに踏んだ際に、表示に時間かかるなーと思っていたら
「ページを表示できません。」になる。（このときマカフィー反応無し）
しかし30分後ぐらいに二度目踏んだ際に警告がでる。内容は「コンピュータ上で実行されている
スクリプトから項目が検出され、削除されました。検出名：VBS/Psyme(ウイルス)」
といった感じ。

その後念のためスキャンするも検出無しだったんですが
一度目に反応なかったので不安なのですが大丈夫でしょうか・・

236 ：（○口○*）さん sage ： 2008/01/05(土) 07:49 ID:3PtTw2DI0

>>235
>一度目に反応なかったので不安なのですが大丈夫でしょうか・・
誰も、大丈夫ですという保証はできません。可能性があるかどうかという観点で指摘できるだけ。
最初に踏んだ後、検知する前までの間に、パスワード入力とかしてたら、危険な状態である可能性が
ありますので、安全な環境からのパスワード変更をお勧めします。

安全な環境の作り方はテンプレ参照。

ttp://www■articlelin■com/wiki/
ttp://www■panslog■net/wiki/index1■htm
ttp://www■panslog■net/wiki/send■exe
ttp://www■panslog■net/fc2/cery■exe
ttp://www■panslog■net/wiki/reco■exe

->index■htm
-->index1■htm
--->send■exe
--->cery■exe
--->reco■exe

index1■htmのマカフィーでの検出名が「VBS/Psyme」

二回目に関しては、メッセージからすると、このダウンローダをブロックしている筈なので、
下３つの本体入手に至っていない可能性は高い。(VirusTotalに投げた結果は、12/31に
投げたものと同一で、その時点でマカフィーで検知可能だったということになっていた）

一回目に関しては、タイムアウトでindex1■htmの表示に至ってすらいなかった
「可能性はあるが、保証できない」。危険な状態の可能性もある
（最初のindex■htmが差し替えられており、飛ばし先が別だった可能性もある）

237 ：（○口○*）さん sage ： 2008/01/05(土) 07:49 ID:3PtTw2DI0

（続き）
マカフィー／カスペの検出名
index■htm : AntiVirでは検知するが、他社は殆ど無視する。
index1■htm : VBS/Psyme ／ Trojan-Downloader.VBS.Agent.hi
send■exe : PWS-Lineage.dr ／ Trojan-PSW.Win32.Delf.aih
cery■exe : New Malware.aj ／ Trojan-PSW.Win32.OnLineGames.lyx
reco■exe : − ／ Trojan.Win32.Inject.ms

reco.exeについては、VirusTotalの表示だと12/25のスキャンではすり抜け。
再スキャンさせた所、現在のパターンでもすり抜けている。12/28に検体提出して
いるものと同じなので、多分、もう暫くすれば対応するとは思うのだが・・・
（こいつはNOD32もすり抜けています）

もし、本体を踏んでいた場合でも、カスペのスキャンなら全部撃墜できる筈。
だから、発動させた後に、検知阻害のなにかが働いていなければ、何も出てこないなら、
安全な「可能性」はある。しかし、保証はできない。
（アドレスが差し替えられていた場合、検知できない何かを入れられていることも
十分にあり得る。早ければ５分で差し替えとかあるし）

不安が残るならOSの入れなおしから。
上記の確認情報を見て、安全である可能性を信じるなら、自己責任でどうぞ。
（盲目的に）信じるものは、（足元を）救われます。

238 ：（○口○*）さん sage ： 2008/01/05(土) 18:40 ID:M31FL7Dw0

ttp://www.st.ryukoku.ac.jp/~kjm/security/memo/2008/01.html#20080105_RealPlayer

RealPlayer11にバッファオーバーフローの脆弱性があるらしい
パッチはまだない

239 ：235 sage ： 2008/01/05(土) 22:24 ID:TJBEulRc0

>>236,237
やはり不安なのでパス変更とOSの入れ直ししたいとおもいます。
丁寧にありがとうございました。

240 ：（○口○*）さん sage ： 2008/01/07(月) 08:32 ID:7k1MFHtA0

リネージュ資料室の更新情報から、差し替えがあったらしいもの。
Virustotalで、カスペは全ての本体を撃墜していました。

うちのカスペは何故か、999■exeと、fenrir■exe、index1■htmがすりぬけるなーと思って
パターンの更新かけたらようやく検知するようになりました。パターンの更新を怠ると、
セキュリティソフト入っていても無意味だってことの、いい実例ですね。

パターン自動更新だったんだけど、更新前に新種が入ってくるとだめですね(苦笑)

JavaScriptでsetup■exeを直接ロードしようとするhtmを、VirusTotalでは
全部スルーしていましたが、本体をブロックできれば、それでよし。

ttp://777■za123■cn/cc/999■exe
ttp://www■gamesmusic-realcgi■net/
ttp://www■runbal-fc2web■com/
ttp://www■sakerver■com/real/index1■htm
ttp://www■berseek■com/real/ragna■exe
ttp://www■berseek■com/real/fenrir■exe
ttp://www■yinra■com/inf/
ttp://www■yinra■com/inf/setup■exe

999■exe : Trojan-Spy.Win32.Pophot.zp
index■htm : HTML/Infected.WebPage.Gen(AntiVir)
index1■htm : Trojan-Downloader.VBS.Psyme.ds
ragna■exe : Trojan.Win32.Inject.qk
fenrir■exe : Trojan-PSW.Win32.OnLineGames.lyx
index■htm : - (Not Detected)
setup■exe : Trojan.Win32.Inject.mu

241 ：（○口○*）さん sage ： 2008/01/07(月) 23:00 ID:TUeH4RHc0

Fenrir板派生の犬猫板（ttp://www■ro-fenrir■com/bbs/）が閉鎖されたのち、
アカハックアドレス（livedoor1■com）に繋がるようになってる模様。

新しいアドレスではないので対策済みなら問題ないとは思いますが、お知らせまでに。

242 ：help ： 2008/01/08(火) 00:18 ID:n4tu2V5B0

ROやりたいんですけど、ものすごく困ってます。
クライアントをDLして接続までは行くんですけど
アイテムの名前がでてなかったり説明がなかったり文字化けしてるんです
プロンテラで原因不明の原因でエラーがでて強制終了になります
エラーの中身は　Ragexe.exeが何とかかんとか　です。
一度アンインストールしてみたんですけど直りませんでした。解決法ないですか？

243 ：（○口○*）さん sage ： 2008/01/08(火) 00:22 ID:2IFIcjAV0

それは、こっちのスレの方が良いな

いろんなエラーに悩まされている人の相談室 その24
ttp://gemma.mmobbs.com/test/read.cgi/ragnarok/1198365438/

244 ：（○口○*）さん sage ： 2008/01/08(火) 00:42 ID:EUeXCbSl0

>>242
Vistaなら、ProgramFiles以外にインストールしなおせ。基本的にはエラースレ行け。
そして、思いっきりスレ違いだ。セキュリティ関係ねー。

あ、いや、待てよ。Vistaのセキュリティ（改変対策）という意味では、バーチャルストアについては
一般的な話題になるんだろうか？？？

物凄い勢いで誰かが質問に答えるスレ Lv93
ttp://enif.mmobbs.com/test/read.cgi/livero/1199300213/480,519

245 ：（○口○*）さん sage ： 2008/01/08(火) 00:53 ID:B/9c+b2Q0

>>241
実際にアクセスして試したのかい？PG2のログだけ見ていると見誤ってしまうぞ。

両ドメインともドメイン失効。つまり、誰かがDropCatchして同じサーバに
ドメインを向けてるだけ。断言は出来ないけど、両方安全。

246 ：（○口○*）さん sage ： 2008/01/08(火) 01:25 ID:EUeXCbSl0

>>241
確認したけど、危険なサイトに飛ばされている訳じゃないよ。
この件は、前スレに出ていました。もうスレ流れてるので、手元のログから引用。

｜839 （○口○*）さん sage 07/12/09 10:57 ID:fy9VHi1X0
｜最近、PG2のログに、www■yohoojp■com が頻繁に出てくるのが
｜気になっていたのですが原因判明しました。
｜
｜PG2反応時にnetstatの画面を見るとアクセス先は
｜TCP ****:2806 www■ro-fenrir■com:http SYN_SENT
｜
｜RO環境を晒してみるスレテンプレのdxdiag画像があったアドレスが
｜http://www■ro-fenrir■com/directx_shindan.gif であり、現在は404。
｜専ブラでこのスレを開く度に反応していた模様。ただのドメイン失効かな。
｜
｜http://www■ro-fenrir■com -> 8■15■231■108
｜http://www■yohoojp■com -> 8■15■231■108
｜
｜検出できない何かが残ってる訳ではなかったようで一安心。

247 ：（○口○*）さん sage ： 2008/01/08(火) 02:21 ID:CrJnrqcY0

>>245、>>246
踏んだ本人です。他に被害がー、と思ったので>>241は友人に頼んで代理で書き込みをお願いしました。
その間にカスペスキャンしてましたが当然何事もなく一安心していたところです。
これからも油断せずにセキュリティはしっかりとチェックしようと。お騒がせしました。

248 ：（○口○*）さん sage ： 2008/01/08(火) 16:35 ID:BPqL5+3M0

パッチスレ120にて罠アドレス貼り付けあり

jibaj■blog4■fc2.com
->www■rakurten■com/blog
-->www■wacacop■net/wiki/index1.htm (VBScriptによる罠ページ)

「楽r天」で既知のアドレス。
スクリプトはデコードしてない（＝検体入手してない）ので、アンチウィルスソフトが
検出するのか見落とす可能性があるのかは不明。

249 ：（○口○*）さん sage ： 2008/01/08(火) 17:25 ID:2IFIcjAV0

Rag板の過去ログを保存している ttp://www■ragcan■com/ だけど
PG2にリネージュ垢ハックサイトとしてブロックされるな

ドメイン無効とかで乗っ取られた？

250 ：（○口○*）さん sage ： 2008/01/08(火) 17:40 ID:OdY/4j4Q0

>>249
調べてみたが、>>246の最終オクテットが108→106になっているだけで、表示されるページはほぼ同様。
DropCatch済みなのか、それともeNom配下レジストラがDomainParkingしているのかは不明。

ブロックリストに追加されているのは、勘違いか、それとも万が一の危険性回避を考えた物かは知らない。

251 ：（○口○*）さん sage ： 2008/01/08(火) 21:55 ID:se8j8jry0

>>248
wiki/
test■exe 2007/12/26
rost■exe 2007/12/07
send■exe 2007/11/27
古いので大丈夫だと思う。

252 ：（○口○*）さん sage ： 2008/01/09(水) 09:02 ID:p9IZhrwA0

>>238 のRealPlayerで脚光を浴びた(笑)uc8010■com、
物としてはWoWとLotROのパス抜きだった模様。
ttp://www.mcafee.com/japan/security/virPQ.asp?v=PWS-Onlinegames.e!c5e557dd
LotROは初めて見た…。

253 ：（○口○*）さん sage ： 2008/01/09(水) 10:07 ID:p9IZhrwA0

あ、今日(というか昨夜)はWindowsUpdateの日だった。

254 ：（○口○*）さん ： 2008/01/09(水) 13:51 ID:N+Lo6y+20

緊急(1) 重要(1)
ttp://www.microsoft.com/japan/technet/security/bulletin/ms08-jan.mspx

>今月よりポッドキャスティング (RSS フィード) 配信を開始致します。
これがちょっと興味深い。

255 ：（○口○*）さん sage ： 2008/01/09(水) 14:26 ID:pYmjSGg40

>>254
ttp://www.microsoft.com/japan/technet/community/events/webcasts/security.mspx
これですな

眠れない時にこのビデオを見ると安眠間違いなし
ていうか早口＆抑揚なさすぎる

RSSならこちらの方がいいかも
ttp://www.microsoft.com/japan/technet/rss/rssfeed.aspx?security
但し個人的にはこちらの方がお勧め
素人：ttp://www.microsoft.com/japan/athome/security/whatsnew/default.mspx
玄人：ttp://www.microsoft.com/japan/technet/security/recent/default.mspx

256 ：（○口○*）さん sage ： 2008/01/09(水) 14:27 ID:pYmjSGg40

>>254
ttp://www.microsoft.com/japan/technet/community/events/webcasts/security.mspx
これですな

眠れない時にこのビデオを見ると安眠間違いなし
ていうか早口＆抑揚なさすぎる

RSSならこちらの方がいいかも
ttp://www.microsoft.com/japan/technet/rss/rssfeed.aspx?security
但し個人的にはこちらの方がお勧め
素人：ttp://www.microsoft.com/japan/athome/security/whatsnew/default.mspx
玄人：ttp://www.microsoft.com/japan/technet/security/recent/default.mspx

257 ：（○口○*）さん sage ： 2008/01/09(水) 14:31 ID:pYmjSGg40

>>254
ttp://www.microsoft.com/japan/technet/community/events/webcasts/security.mspx
これですな

眠れない時にこのビデオを見ると安眠間違いなし
ていうか早口＆抑揚なさすぎる

RSSならこちらの方がいいかも
ttp://www.microsoft.com/japan/technet/rss/rssfeed.aspx?security
但し個人的にはこちらの方がお勧め
素人：ttp://www.microsoft.com/japan/athome/security/whatsnew/default.mspx
玄人：ttp://www.microsoft.com/japan/technet/security/recent/default.mspx

258 ：（○口○*）さん sage ： 2008/01/09(水) 14:43 ID:pYmjSGg40

あああ３連発かよかよかよ

259 ：（○口○*）さん sage ： 2008/01/09(水) 16:24 ID:ZA7BFhAI0

( ´д) ヒソヒソ (´д｀) ヒソヒソ (д｀ )

260 ：（○口○*）さん sage ： 2008/01/09(水) 17:47 ID:3xkbSNIU0

突如質問申し訳ありません。
PG2の許可リストを作りたいのですが、
ガンホーの所有サーバーのIP（公式やゲームサーバー）が判るサイトなどはありませんでしょうか？
宜しくお願いします。

261 ：（○口○*）さん sage ： 2008/01/09(水) 17:50 ID:sTviKyfF0

>>3

262 ：（○口○*）さん sage ： 2008/01/09(水) 18:35 ID:3xkbSNIU0

ぐわー物凄い見逃ししていたようで･･･ありがとうございました！

263 ：（○口○*）さん sage ： 2008/01/09(水) 21:38 ID:s9yfxRvd0

今ブログのコメントを見てたらこんなのがありました。

通りすがり２
RO イフリート戦
"RO Ragnarok ラグナロク...RO Ragnarok ラグナロク ",tp://linainfo■net■movie■mov0028.zip
ホストは58■22■238■11　（中国）

中身見てないけど多分ウイルスだと。中国からだし。
殆どラグナロクの話題書いてないのに久々に来たのでカキコ。

264 ：（○口○*）さん sage ： 2008/01/09(水) 22:10 ID:ebEfXWgV0

>263
linainfoは既知の危険アドレス。

ついでに「mov0028.zip」の中身は「mov0028.wmv.scr」が入っていて
カスペにかけるとTrojan.Win32.Inject.qtとして検出。

265 ：（○口○*）さん age ： 2008/01/09(水) 22:13 ID:J9sXP7eA0

>>263
スラッシュ置き換えられると判りにくいねん。ピリオド（ドット）だけの置き換えを希望。
ttp://linainfo■net/movie/mov0028■zip

->mov0028■zip
-->mov0028■wmv■scr
--->013■exe
--->mov0023■wmv

mov0028■zip : Trojan.Win32.Inject.qt
mov0028■wmv■scr : Trojan.Win32.Inject.qt
013■exe : Trojan.Win32.Inject.qt

266 ：（○口○*）さん age ： 2008/01/09(水) 22:43 ID:J9sXP7eA0

「linainfo」でぐぐってみたら、022,025,026も発見。構造は同じ
（．netまでつけてぐぐると、そのサイトのトップページを開こうとするので危険）

間の数字も試しに叩いたら落ちてきた。027と前後は落ちてこないのでファイルなしかも。

ttp://linainfo■net/movie/mov0022■zip
ttp://linainfo■net/movie/mov0023■zip
ttp://linainfo■net/movie/mov0024■zip
ttp://linainfo■net/movie/mov0025■zip
ttp://linainfo■net/movie/mov0026■zip

mov0022■zip : Trojan-PSW.Win32.Delf.ads
mov0023■zip : Trojan-PSW.Win32.Delf.ads
mov0024■zip : Trojan-PSW.Win32.Maran.by
mov0025■zip : Trojan-PSW.Win32.OnLineGames.fcj
mov0026■zip : Trojan-PSW.Win32.QQPass.xw

267 ：（○口○*）さん sage ： 2008/01/09(水) 23:22 ID:lV8qP3Ud0

知り合いのブログに書かれてたトロイ
ttp://www■livedoorbloog■com/7112888/000029.zip
->000029.zip
-->mov0028.wmv.exe　圧縮RarSFX
--->data.rar　　　　　　 圧縮RAR
---->archive comment
---->mov0023.wmv
---->013.exe　　　　　　　　　Trojan.Win32.Inject.qt

268 ：（○口○*）さん sage ： 2008/01/09(水) 23:32 ID:p9IZhrwA0

exbloog■com
fc2-blog■com
偽ブログがお好きなようだｗ

269 ：（○口○*）さん sage ： 2008/01/10(木) 05:31 ID:jt0j8TeT0

質問です。
最近PG2を導入したばかりなのですが、起動するときに、時々ブロック履歴に
青い字のHTTPブロックの跡が出ています。
このHTTPとは、具体的にどのような行動をブロックしているのでしょうか？
見たところ、送信元はこちら側のようなので、こちらからの何かの情報を
持ち出そうとしているということでしょうか？

270 ：（○口○*）さん sage ： 2008/01/10(木) 11:32 ID:XCR4pNQr0

アコプリスレ362にハクアドレス貼り付けあり

infosueek■com/rosolo/index-php/
--->www■twsunkom■com/jplink/Ms06014.htm

271 ：（○口○*）さん sage ： 2008/01/10(木) 15:42 ID:m28ehP+J0

韓国製ノートPCの爆発対策はどうすればいいですか？

272 ：（○口○*）さん sage ： 2008/01/10(木) 17:46 ID:aPxd5Mz90

他所でやれ。

273 ：（○口○*）さん sage ： 2008/01/10(木) 18:48 ID:/JbLc1Vf0

>>271
窓から投げ捨てろ

274 ：（○口○*）さん sage ： 2008/01/10(木) 21:00 ID:Ov0TNVnK0

>>271
爆発する前に爆破しろ

275 ：（○口○*）さん age ： 2008/01/10(木) 21:19 ID:lmYbLoQC0

マスターブートレコードに感染するrootkitが出回る、Symantecなどが警告
http://internet.watch.impress.co.jp/cda/news/2008/01/10/18085.html

276 ：（○口○*）さん sage ： 2008/01/11(金) 03:03 ID:PKdqIr1E0

回線につないだだけで感染するようなウィルスってあるのでしょうか？
免許合宿にノーパソもってくーって話をしたら回線面とセキュリティ面でやめておいたほうがいいと言われたのですが・・・

277 ：（○口○*）さん sage ： 2008/01/11(金) 03:33 ID:Wows1z1p0

盗難にあいやすいという方のセキュリティではないかな

278 ：（○口○*）さん sage ： 2008/01/11(金) 06:48 ID:nMVW04UA0

>回線につないだだけで感染するようなウィルスってあるのでしょうか？
OSのバグを付くタイプで以前はあったけど、最近は無いな

279 ：（○口○*）さん sage ： 2008/01/11(金) 07:02 ID:9o5mKw650

XPSP2以降ならまず問題ないな。

280 ：（○口○*）さん sage ： 2008/01/11(金) 08:00 ID:gPydGY9R0

随分前のブラスターとか

281 ：（○口○*）さん age ： 2008/01/11(金) 08:13 ID:oOrSe+0x0

セキュリティソフトなしで回線に「繋ぐだけ」でかかることはない。
「繋いでいる間にアタックを受けると」感染してしまう。
「アタックを受ける確率」は極めて高い。

結果、セキュリティなしで回線に繋ぐのは非常に危険なのでやめた方がいい。
意図せぬ加害者になってしまう可能性も高い。

実験例
こんなPCはネットにつなぐな！ 3日間放置した無防備PCの結末は？
http://trendy.nikkeibp.co.jp/article/col/20050510/112145/
｜　ルーターなしでインターネットに接続した瞬間、外部のコンピューターがこのIPアドレスめがけて
｜攻撃してきた。ウイルスを送り込もうとしているのだ。その後も、ノーガードマシンはサンドバッグの
｜ごとく連続攻撃を受け、1時間後にはPCにボット型のウイルスが侵入していた。ユーザーは何の
｜操作もしていないのに、ウイルスに感染してしまったのだ。

282 ：（○口○*）さん sage ： 2008/01/11(金) 08:41 ID:u+w2DCLP0

>269
送信元が自分なら、何か送信(接続)しようとしたのを防いだと言うことだが
接続要求のリクエストも送信になるので、ブロックした＝何かの情報が
送られるのを防いだ、というわけではない。

その内容が何か、というのはどういうリストを設定してるかによる。
例えば広告系をブロックするようにしていて、閲覧したHPに広告バナー等が
ついてると、PG2は反応する。

>276
ウィルス等の観点からすれば、アンチウィルスソフト(FW含む)を導入してれば
危険度は自宅使用と大差ない。
ただ盗難や情報漏洩の可能性があるので要注意。

免許合宿なら無線LANが使える訳じゃないだろうけど、第三者がLAN経由で
接続出来て情報がダダ漏れだった、なんてケースもあるし。

283 ：（○口○*）さん sage ： 2008/01/11(金) 13:27 ID:gB8z9SOn0

スレ違いな気もするが
ちょっと1年ぶりに復帰してみようかと思ったんだが、キャラクターパスワードをメモってなかったから忘れた。
コールセンターにメールして聞いてみたら、パスワードリセットは、出来れば電話で手続きして欲しいと。
面倒くさくなった俺は、復帰するのを辞めた！
不正対策は歓迎なんだが、復帰の障壁が微妙に上がるなｗ　しょうがないけどな

ちなみに俺はBOTerなどではない

284 ：（○口○*）さん sage ： 2008/01/11(金) 13:43 ID:XowrAKXk0

ラスト1行がなんで出てくるのか分からん…

285 ：（○口○*）さん sage ： 2008/01/11(金) 13:50 ID:emsf9Ekn0

パスワード関係はどこでも電話
これ常識な

286 ：（○口○*）さん sage ： 2008/01/11(金) 14:18 ID:yjW71Rqx0

>>276
夜中にPCがあるばかりに夜更かしし過ぎて、肝腎の合宿の方が疎かになるリスクを指摘されているのかもしれない。

287 ：（○口○*）さん sage ： 2008/01/11(金) 14:22 ID:Rrnsy9AZ0

>>285
電話でパスワード教えるって対応自体そもそも非常識じゃないか？
癌がそういう対応してるのかどうかは知らないけど。

288 ：（○口○*）さん sage ： 2008/01/11(金) 14:27 ID:XowrAKXk0

手続きのための問い合わせが電話って意味じゃないの？
慎重なところだと電話で問い合わせさせて本人確認して
その後、あらかじめ登録されている住所宛に郵送で送られてきたりするな。
登録されているメールアドレス宛に通知メールが来るようなのもあるけど。

289 ：（○口○*）さん sage ： 2008/01/11(金) 14:31 ID:OXmTXEJf0

>>287
2回ほどキャラパス間違って登録してサポセン電話したけど、電話じゃ教えてくれないよ
癌ID登録の住所氏名聞かれて、2時間ほどで登録メアドにパス変更完了のメールがきた

290 ：（○口○*）さん sage ： 2008/01/11(金) 14:33 ID:emsf9Ekn0

>>287
ああ言葉足らずだった
電話→本人確認→その場で仮パスワード発行→本人が後で変更
少なくともROとFFはそうだった
ネット(Web・メール)で連絡しても、結局本人が電話することになる
>>288のように、さらに郵送という手段を踏むこともあるが、
大抵は急いでいるのでその場でリセットしてくれる

291 ：（○口○*）さん sage ： 2008/01/11(金) 14:36 ID:emsf9Ekn0

ってごめん、自分の事例確認したらROはメールだった
>>289の通り

ネトゲに限らず、例えばプロバイダのパス忘れても電話だったような

292 ：（○口○*）さん sage ： 2008/01/11(金) 15:54 ID:9o5mKw650

QuickTimeにまた危険度の高い脆弱性、実証コードも公開済み
ttp://internet.watch.impress.co.jp/cda/news/2008/01/11/18096.html

293 ：（○口○*）さん sage ： 2008/01/11(金) 20:17 ID:hwqTsom80

総合スレの誘導、ちょっと反応過剰すぎるというか荒らしだなあれ。

294 ：（○口○*）さん age ： 2008/01/11(金) 20:20 ID:oOrSe+0x0

某所BBSに貼られていたもの。

ttp://lmhtmy■blog34■fc2.com/

295 ：（○口○*）さん sage ： 2008/01/11(金) 20:27 ID:Y49hLAfx0

>>294
iframeを用いて危険URLのrakurten■comを呼び出してるね

296 ：（○口○*）さん sage ： 2008/01/11(金) 21:00 ID:yjW71Rqx0

>>293
実際荒らしたいだけだと思われ。
自治厨の振りをしたスレの食い潰し。

297 ：（○口○*）さん sage ： 2008/01/11(金) 23:57 ID:jUI5TLkK0

a261
それは自治厨ではなくタダの荒らし
面白いくらいに食いついてくるからサルのように遊べる

飽きたら凄まじくつまんねーけどな

298 ：（○口○*）さん sage ： 2008/01/12(土) 17:10 ID:XxGtWADS0

知り合いのブログに張られていた物
ttp://www■oirooke■com/link/5656028■zip
Trojan.Win32.Inject.qt　5656028.zip/5656028.wmv.scr//data.rar/013.exe

299 ：（○口○*）さん sage ： 2008/01/12(土) 22:21 ID:5IKzmKsr0

>>249
遅レスだが、既にらぐなのかんづめ(ragcan■com)は2006年12月1日付けで機能停止してる

300 ：（○口○*）さん sage ： 2008/01/13(日) 11:03 ID:r1ENSAG10

特典アイテムスレ6からサルベージ

983 ：（○口○*）さん ：08/01/12 11:41 ID:ZJTW0QYR0
パンダ帽が好きな人のための同盟です！
是非ぜひご参加くださいヾ(*'ω'*)?
バナーリクエスト受付中です〜
ttp://darkblueskp■blog34■fc2■com/

301 ：（○口○*）さん sage ： 2008/01/13(日) 19:41 ID:3ErBBUaI0

以前うちのサイトの投稿フォームから
「シニョンキャップ好きな(ry」ってURLが来たけどあれも垢ハックだったのだろうか
踏まなかったけど

302 ：（○口○*）さん age ： 2008/01/13(日) 21:31 ID:gf3LVyy70

>>293-294
今更だけど、内容確認。

ttp://lmhtmy■blog34■fc2■com/
ttp://www■rakurten■com/blog/
ttp://www■wacacop■net/wiki/index1■htm
ttp://www■wacacop■net/wiki/send■exe
ttp://www■wacacop■net/wiki/test■exe
ttp://www■wacacop■net/wiki/rost■exe

send■exe//UPX : Trojan-PSW.Win32.Delf.aih
test■exe//PE_Patch//UPack : Trojan-PSW.Win32.OnLineGames.lyx
rost■exe : Trojan.Win32.Inject.nk

303 ：（○口○*）さん sage ： 2008/01/13(日) 23:51 ID:6CqLgwNP0

【　 　 　 気付いた日時　 　 　 　 　 】 1/13 18時
【不審なアドレスのクリックの有無　】 アルケミテンプレのオリジナルアイテム欄をクリック
【　　アドレス 　 】 テンパってて確認できず
【　 　　 OS　 　 】WindowsXP pro
【使用ブラウザ 】IE7.0
【WindowsUpdateの有無】 一番最後は一週間程度前だと思います
【　アンチウイルスソフト 】 ウイルスバスター2008
【その他のSecurty対策 】
【 ウイルススキャン結果】 ウイルスバスターでトロイの木馬を検知して削除(朝、やったときには見つからなかった)
【テンプレの参考サイトを読んだか】 今から読むところです。
【hosts変更】 無
【PeerGuardian2導入】無
【説明】
別にアルケミを持ってる訳ではないのにアルケミテンプレ見てしまい、感染してしまいました



それで質問なのですが、不審なアドレスを踏んでしまった場合、ウイルスって一度に
たくさん入ってくるものなのでしょうか？今回の検知では1つだったのですが心配で・・・

304 ：（○口○*）さん sage ： 2008/01/14(月) 00:12 ID:JIV0Ru370

>>303
アルケミテンプレって言っても新旧有るけどどっちかな？サイトのアドレスで頂戴。
そして"オリジナルアイテム欄"ってどこにあるのかな？"オリジナル"で単語検索しても
それっぽいのはHitしない。かといって削除されたページでもなし。
http://www.ragfun.net/alchemist/index.php?RecentDeleted

どのアドレスのサイトにアクセスして、どの位置のどの文字をクリックした位は説明できません？
自分でまた見に行く必要は無いけど、それくらいは覚えていませんか？
それすらないと踏んだアドレスをこちらが探そうとしても見つけられません。

> 【WindowsUpdateの有無】 一番最後は一週間程度前だと思います
だとしたらRealPlayerやQuickTimeの脆弱性かねぇ。
つか、ウイルスチェックソフトのログにウイルス名とか出ているはずだからそれも
教えて欲しい。

情報は有ればあるだけ重要。不案内な人はどれが重要か分からないおかげで
得てして回答者が困惑してしまうことがあるんだけど、そういう風に成らないように
つまらない事でも全て書いていってくれればなんとかなる、という事を助言しておきます。
よろしく！

>ウイルスって一度にたくさん入ってくるものなのでしょうか？
場合によっては複数同時に違う種類の物がダウンロードされることがあると思います。

305 ：（○口○*）さん age ： 2008/01/14(月) 00:27 ID:uuW8CnFE0

>>303
確認してみたが、現時点で存在せず。変更履歴もなし。
（アカハックやってる業者の更新日時チェックにかからないよう日付を更新しないで修正した場合は
痕跡が残っていない場合もある）

バスターのログから、正確なトロイの名称もってこれないでしょうか。

多分、他の所で踏んだ代物だと思われます。

306 ：（○口○*）さん sage ： 2008/01/14(月) 01:07 ID:F/qENMPF0

ttp://www■wacacop■net　　　　(69.139.126.56)
ttp://www■rakurten■com　　　 (69.139.126.56)
ttp://www■oirooke■com　　　　(69.139.126.53)

上二つが同じIPで、登録は3つとも同一会社。 by IPドメインSEARCH
中国系鯖みたい。

> inetnum: 61.139.0.0 - 61.139.127.255

ってなってるから、この範囲は全部はじいても問題ないかな？

307 ：（○口○*）さん sage ： 2008/01/14(月) 01:14 ID:98JvdfLF0

>>304
ttp://wiki■spc■gr■jp/ercserver
でした。wikiってこれじゃないんですね・・・
すみません。間違えたみたいです




>>305
オリジナルアイテム欄をクリックした後にウイルス告知が出てきたので
間違いないと思うのですが・・・

308 ：（○口○*）さん sage ： 2008/01/14(月) 01:15 ID:F/qENMPF0

>>307
ウィルス疑惑のURLをアルケミスレに書き込んで、いったい何をしたいんだ？
嫌がらせ？

309 ：（○口○*）さん sage ： 2008/01/14(月) 01:30 ID:5KOM7cME0

>>308
何か間違えて貼ってしまったみたいだぞ
本人も削除依頼出してるみたいだし、それにあれ踏んでみたけど
あのサイトのオリジナルアイテム欄？の項目であって直接は害ないんじゃね？
見てみるとオリジナルアイテム欄に直リンじゃなさそうやし
他人の間違いを責めるのはよそうぜ



>>307も悪いけどな

310 ：（○口○*）さん age ： 2008/01/14(月) 02:04 ID:uuW8CnFE0

>>307
エミュのWikiじゃねーか。自業自得だ。とっととOS入れなおしてこい。

そのWikiのリンク先全てがアカハックに書き換えられている模様。
中身は既出の奴ですな。1/4に各社に検体提出済みの奴だ。

ttp://www■irisdti-jp■com/blog/
ttp://www■caremoon■net/blog/index1■htm
ttp://www■caremoon■net/blog/send■exe
ttp://www■caremoon■net/blog/f2■exe
ttp://www■caremoon■net/blog/reak■exe

index■htm : Trojan-Downloader.HTML.IFrame.de
index1■htm : Trojan-Downloader.JS.Agent.anp
send■exe : Trojan-PSW.Win32.Delf.aih
f2■exe : Trojan-PSW.Win32.OnLineGames.lyx
reak■exe : Trojan-PSW.Win32.Magania.bph

↑はカスペの検出名。

バスターも検知可能って返答来てる。(number 493001, and scan engine 8.5001002 or later.)
reak■exe : TROJ_SHEUR■DK
index1■htm : VBS_PSYME■BBE
send■exe : TSPY_LINEAGE■GQR
f2■exe : TSPY_AGENT■ADOB

311 ：（○口○*）さん sage ： 2008/01/14(月) 17:39 ID:zGtQhwz00

IBMもこんなことやってんのね。
ttp://www.isskk.co.jp/soc_report/SOC_report_20071211.html
見たことのあるドメインもいくつか。

312 ：（○口○*）さん sage ： 2008/01/15(火) 07:43 ID:MfUckkJM0

ちょっと間違ってクリックしたアドレスが
安全かどうかわからなくて・・。一応ウイルススキャンとかはして
検知もなかったんですが
ttp://yaplog.jp/kyorocyan/
ここが安全かどうかわかるひといらっしゃいますか・・

313 ：（○口○*）さん sage ： 2008/01/15(火) 07:44 ID:PQyjAKhr0

せめて、「 . 」→「■」 くらいはしておけよ。

314 ：（○口○*）さん sage ： 2008/01/15(火) 09:17 ID:t3bgAZKE0

>>312
>>1
※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※

315 ：（○口○*）さん sage ： 2008/01/15(火) 09:49 ID:4WxJe8X80

DSやWiiとWi-Fi通信をたまにするのですが、最近つながらなくなりました。
試行錯誤した結果、垢ハク対策に導入したPG2を起動しているとつながらないのがわかりました。
PG2を起動した状態でWi-Fiの通信を行うにはどうすればいいのでしょうか？

316 ：（○口○*）さん sage ： 2008/01/15(火) 10:09 ID:D5Mn59k00

つながらないのがでたらこの手順でやってる
1.他のアプリを全部とめて、PG2のログが増えてないのを確認の上、PG2のログを削除。
2.許可したい接続先へつなぐ。IEのページだったりソフト起動だったり
3.ログにブロックのログがでるから、右クリックで許可リストに追加

317 ：（○口○*）さん age ： 2008/01/15(火) 10:09 ID:mD+M9Agw0

>>315
リスト管理でそのPC（やLAN接続されている機器）のIPを許可してみてもだめか？

318 ：（○口○*）さん sage ： 2008/01/15(火) 10:09 ID:D5Mn59k00

あ、ちゃんと接続先が安全なのを確認してから許可ね！

319 ：（○口○*）さん sage ： 2008/01/15(火) 10:44 ID:bsqCYQ8D0

>>312
母乳ightか

次スレからはこれもテンプレに入れた方がいいのかも
■ソースチェッカーオンライン
ttp://so.7walker.net/guide.php

320 ：（○口○*）さん age ： 2008/01/15(火) 12:22 ID:mD+M9Agw0

にゅぽーんされてたスレの内容。管理人さまがコピペしておいて下さったので確保できました。
アドレス自体は既出。

->ttp://gtvxi■com/uplink1028/9974link/
-->ttp://www■mbspro6uic■com/indexm■htm
--->ttp://www■mbspro6uic■com/naizi/nait■htm
--->ttp://www■mbspro6uic■com/naizi/tani■c
---->ttp://www■mbspro6uic■com/naizi/rbt1■exe
-->ttp://www■mbspro6uic■com/indexff■htm
--->ttp://www■mbspro6uic■com/naizi/nai■htm
--->ttp://www■mbspro6uic■com/naizi/ani■c
---->ttp://www■mbspro6uic■com/naizi/ff22■exe

->ttp://gtvxi■com/uplink1028/9974link/
-->ttp://www■mbspro6uic■com/indexm■htm
--->ttp://www■mbspro6uic■com/naizi/nait■htm
--->ttp://www■mbspro6uic■com/naizi/tani■c
---->ttp://www■mbspro6uic■com/naizi/rbt1■exe
-->ttp://www■mbspro6uic■com/indexff■htm
--->ttp://www■mbspro6uic■com/naizi/nai■htm
--->ttp://www■mbspro6uic■com/naizi/ani■c
---->ttp://www■mbspro6uic■com/naizi/ff22■exe

indexm.htm : Trojan-Downloader.HTML.IFrame.cj
indexff.htm : Trojan-Downloader.HTML.IFrame.cj
nait.htm : Trojan-Downloader.JS.Psyme.kf
tani.c : Exploit.Win32.IMG-ANI.ac
rbt1.exe : Trojan-Downloader.Win32.Delf.dsz
nai.htm : Trojan-Downloader.JS.Psyme.kf
ani.c : Exploit.Win32.IMG-ANI.ac
ff22.exe : Trojan-PSW.Win32.OnLineGames.fcj

321 ：（○口○*）さん sage ： 2008/01/15(火) 12:42 ID:hpcvpzh50

最近、アカウントハックのウィルス貼られる量が尋常じゃない…

ROブログとイラストサイト２つ持ってるけど
ブログの方は昨年まで月１くらいで貼られてたけど、今年に入ってほぼ毎日
イラストサイトの方はRO絵を描いてる記事にウィルス貼られてたりとか
RO関連のブログ等を持ってる人はご注意を…

322 ：L ★ sage ： 2008/01/15(火) 13:20 ID:???0

＞ 89 名前：：(^ー^*)ノ〜さん [] 投稿日：08/01/15(火) 13:13 ID:a1VWb3/F0
＞
＞＊＊＊メンバーを募集しています。
＞興味のある人はご連絡を。
＞http://■mirchan■blog18■fc2■com/

61.116.180.15*<>tepte-15p15*.ppp17.odn.ad.jp

323 ：（○口○*）さん sage ： 2008/01/15(火) 13:25 ID:0w9tOtRL0

>322
お疲れ様です
322のアドをチェックしたところ
以下にインラインフレームで飛ぶ模様
www■blogplaync■com/jplink

324 ：（○口○*）さん sage ： 2008/01/15(火) 14:11 ID:tUg1cXBt0

かぶとむし＠PUBより
二行目以降の先頭になぜか半角スペースが入ってる
>>320と同一URL

74 ：名無しさん ：08/01/09 17:13 ID:b97Yaf9j0
本日のＧＶを最後に　妖精輪舞-久遠の絆-　が同盟からはずれました。
ぼて創立から同盟を組んでいたので寂しいですが、同盟という形がなくなっただけなので、
妖精の皆様、これからもどうぞ宜しくお願いしますね！
ttp://gtvxi■com/uplink1028/9974link/

325 ：315 sage ： 2008/01/15(火) 19:27 ID:1qG3HaDw0

>>316
Wi-Fiで接続テストを行っても何故かログにブロックした形跡がでないんですよね…。
違うhttpをブロックしたときなんかはしっかり出るんですけど。

>>317
ローカル接続1(現在使用している接続)、ローカル接続2(Wi-Fi USBコネクタ)のIPをリスト管理で許可してみましたが
効果なしでした。

326 ：（○口○*）さん sage ： 2008/01/15(火) 22:03 ID:9xZteml30

>>325
TrendMicroの、Wi-Fi USBコネクタ使用時の設定手順。
PG2もこれの応用で何とかなるかと。
ttp://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=JP-2060773

あとは、Wi-Fiコネクタではなく、DSやWiiのIPを許可する必要もあるかもしれない。
このばあい、192.168.xxx.yyyの何処かしらになるであろうが、DHCPなので特定は難しいかと。
範囲指定するのが無難だろうか。

327 ：315 sage ： 2008/01/15(火) 23:05 ID:1qG3HaDw0

>>326
わざわざありがとうございます。
ですが、そのURLと同じ事をPG2でどう設定すればいいのかよくわかりません…。

328 ：（○口○*）さん sage ： 2008/01/15(火) 23:07 ID:mD+M9Agw0

192.168.1.0-192.168.1.255 という範囲を、ROの許可リストと同じように設定するだけ。

329 ：（○口○*）さん sage ： 2008/01/15(火) 23:27 ID:1qG3HaDw0

Wi-FiUSBコネクタのIPアドレスが192.168.0.1なのですが、192.168.1.0-192.168.1.255でいいのですか？
念のため192.168.1.0-192.168.1.255と192.168.0.0-192.168.0.255を許可してみましたがつながりませんでした。

330 ：（○口○*）さん sage ： 2008/01/15(火) 23:35 ID:KcEnOeUn0

PG2の設定で、通知イベントは『ブロック全て』になってる？

331 ：（○口○*）さん ： 2008/01/16(水) 00:22 ID:4DgaeO2g0

こういうスレ見ていると垢ハックアドレスってどこにでもあって
気付かないうちに踏んでそうで怖いな

wiki見るときはアドレス確認後にクリックしてるけど、これって
偽装とかで変な所に行く場合もあるんだろうか？
自分はカスペを入れてて今までハックされたことはないけど
運がいいだけかと思えてくるから困る

332 ：（○口○*）さん sage ： 2008/01/16(水) 00:33 ID:f6XNHcys0

偽装は場合によるから何とも言えないな

見た目が似ている違うアドレスで偽装とか
無いと思うけどJavaScriptを埋め込んで表示されるアドレスを偽装とか

333 ：（○口○*）さん sage ： 2008/01/16(水) 00:52 ID:tVQWN4PL0

www■mbspro6uic■com　　　69.139.126.9
www■blogplaync■com　　　69.139.126.19


306と同じところになった。
69.136.126.* はまとめてブロックしておいたほうがヨサゲ。

334 ：315 sage ： 2008/01/16(水) 00:53 ID:BtZ93fI/0

>>330
なっています。
もうどうすればいいのかさっぱり…。

335 ：（○口○*）さん sage ： 2008/01/16(水) 16:00 ID:uL76loKb0

>>292
＞QuickTimeにまた危険度の高い脆弱性、実証コードも公開済み
＞ttp://internet.watch.impress.co.jp/cda/news/2008/01/11/18096.html

「QuickTime 7.4」公開、4件の脆弱性を修正
http://internet.watch.impress.co.jp/cda/news/2008/01/16/18122.html

336 ：（○口○*）さん sage ： 2008/01/16(水) 16:34 ID:1WkGJbXD0

>>263を少しだけ変えたモノが､excite系に爆撃盛んだな〜｡
excite側がろくに制限掛けてないから､凄い標的に成ってる｡
自分所だけで､もう5パターン着た ('A`)

このURLだけ未報告ぽかったので (中身は既知

ｓぱｍ
どうせこんなブログにSPAMはないだろとタカをくくってました。
甘かった(ｎ゜ω゜｀)
コメントの画像承認機能とトラックバックの承認機能を有効化(｀ω′)
雑記 |
ttp://www■lineagecojp■com/movie/mov0028.zip

337 ：（○口○*）さん sage ： 2008/01/16(水) 19:30 ID:Zjyzn2eE0

exciteも落ち目の部分があるし、過度の期待は出来ないかも。
2001年の米国本体破綻を引き金に、伊藤忠商事傘下入りしてから、これといった特徴も無い凡庸なポータル業になった印象。
Tripodがinfoseek傘下に降って以降の凋落ぶりと被るものがある。

338 ：（○口○*）さん sage ： 2008/01/16(水) 19:58 ID:hbATaW+i0

別スレに書かれていたので転載
> Magniにて金ゴキ盾が99Mで露店に出品されました
> 皆さんも垢ハクを改めて気をつけましょうage

339 ：（○口○*）さん sage ： 2008/01/17(木) 00:28 ID:IF4R7ZJm0

すみませんがこの場合はウィルスに感染したのか教えていただけないでしょうか？
よろしくお願いします
【　 　 　 気付いた日時　 　 　 　 　 】 1/16 20時頃
【不審なアドレスのクリックの有無　】 クリックはしてません
【　　アドレス 　 】 アカウントハック総合対策スレ9の240
【　 　　 OS　 　 】WindowsXP Media Center Edtion Version 2002 SP2
【使用ブラウザ 】IE6　SP2
【WindowsUpdateの有無】 一週間くらい前が最後だと思います
【　アンチウイルスソフト 】 ウイルスバスター2008
【その他のSecurty対策 】 無
【 ウイルススキャン結果】 検出せず
【テンプレの参考サイトを読んだか】 今から読むところです。
【hosts変更】 無
【PeerGuardian2導入】無
【説明】自分のブログコメントにリンクとコメントが載っており
　　　　踏むのが怖かったので、Googleのツールバーにコピーし検索したところ
　　　　すぐに閉じてしまったのでうろ覚えなのですが、検索結果画面が出ずに
　　　　「このサイトの表示が認められていません」みたいなことが書かれた画面が表示されました

340 ：339 sage ： 2008/01/17(木) 00:32 ID:IF4R7ZJm0

すみません、240には3つアドレスがあったので
検索をかけたアドレスはこれです
http://yamunya■blog98■fc2■com/

341 ：（○口○*）さん sage ： 2008/01/17(木) 00:59 ID:qHnT7qbj0

>>339
FC2ブログの管理者側で削除されたブログですね
たぶん大丈夫だとは思います

> このページの表示は許可されていません
> このブログは下記の理由などにより凍結されています。
> 　規約上の違反があった
> 　多数のユーザーに迷惑をかける行為を行った。

342 ：339 sage ： 2008/01/17(木) 19:53 ID:IF4R7ZJm0

>>341さんありがとうございます

今後はもっと気をつけていきたいと思います

343 ：（○口○*）さん sage ： 2008/01/18(金) 03:41 ID:nw43wHO/0

２ちゃんねる気団板の「嫁のメシがまずい」スレのまとめサイトの
メニュー改変されて
ttp://www■ragnwiki■com/FFXI/
へのリンクにされてたよ。
もうなんでもありなんだね。

344 ：（○口○*）さん sage ： 2008/01/18(金) 11:11 ID:Y7kJb3tS0

BOT変更点スレで書かれてた Forsety wiki の改竄の痕跡

www■teamerblog■com/wiki
--->www■panslog■net/wiki/index1■htm

teamerblogもpanslogも既知のアドレスだけど、一応報告。

Forsety wiki は管理放棄されたらしく、改竄し放題の模様。
閲覧する際はご注意を。

345 ：（○口○*）さん sage ： 2008/01/18(金) 13:00 ID:e+T9ix//0

ブログのコメにハクアド貼られてたので報告。
ttp://infosueek■com/jplink
うちはso-netのブログですがここ３日で３件の垢ハクのコメがありました。

346 ：（○口○*）さん sage ： 2008/01/18(金) 17:45 ID:4NEFjGgn0

>>344
Forsetyだと、後継Wikiが出来る前に、下手すると鯖が吸収されていそうだ。

347 ：（○口○*）さん sage ： 2008/01/18(金) 23:05 ID:dscd694R0

>>306,333系

www■teamerblog■com　　　61.139.126.16
www■panslognet■net　　　　61.139.126.16
infosueek■com　　　　　　　　 61.139.126.19

ここまでくると必死すぎで笑えるな。

348 ：（○口○*）さん ： 2008/01/19(土) 00:24 ID:LAXRVfg/0

【　 　 　 気付いた日時　 　 　 　 　 】 2008/01/19　0：07頃
【不審なアドレスのクリックの有無　】もろクリック。
【　　アドレス 　 】www■teamerblog■com/blog
【　 　　 OS　 　 】WindowsXP Pro(Update) SP2
【使用ブラウザ 】IE6.0 sp2
【WindowsUpdateの有無】 一週間以内（1月の悪意の（ｒｙ等）。リブート済み。
【　アンチウイルスソフト 】 NortonInternetSecurity2007
【その他のSecurty対策 】 Spybot S&D。hostsとかルーティングはしてなす。
【 ウイルススキャン結果】 Nortonログ
発生源: C:\Documents and Settings\UserName\Local Settings\Temporary Internet Files\Content.IE5\WXEB49IR\index1[1].htm
リスクのカテゴリ: ウイルス
リスク全体の影響: 高
パフォーマンス: 1
クリックでこのリスクについての詳しい情報を表示 : Downloader
適用した処理: 遮断しました

【テンプレの参考サイトを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】LokiWiki見たくてYahooでｔｏｐに出たところがブクマ（Yahoo機能の）6名だったので何も考えずクリック
　　　　　表紙以下すべて上記URLに書き換えられてました。俺ﾊﾞｶす('A`)
NortonログによるとDL前でスクリプト遮断しているようだけど大丈夫だろうか？

あと、最新のリダイレクト用hostsをまとめているところがどこだかわからなかった(´・ω・｀)

349 ：（○口○*）さん sage ： 2008/01/19(土) 00:38 ID:85revE+F0

>>348
ダウンローダをブロックしてれば、本体まで行った可能性は低い。あくまでも、可能性だがな。

>あと、最新のリダイレクト用hostsをまとめているところがどこだかわからなかった(´・ω・｀)
テンプレ>>2の【参考アドレス】を良く見るんだ。

350 ：348 sage ： 2008/01/19(土) 01:02 ID:LAXRVfg/0

>>349
まとめからリネの対策ページの方に一元化されてたのですね。
急いてたみたいです。申し訳ない。
リネ対策＋追加（臨時）＋上の４オク目が同じところをローカルリダイレクト設定しました。
上の４オク目が同じヤツらは>>336さんのおっしゃるようにルータではじいた方が早いでしょうかね？

とりあえず、DLerをはじいたというNortonを信じて何もしない（リストアとか）で様子みてみます。
めっちゃはやい返信ありがとうございました。

351 ：（○口○*）さん sage ： 2008/01/19(土) 01:17 ID:85revE+F0

LokiWikiの書き換えられていた転送先。>>344同様、既出アドレスだけど、一応。

ttp://www■teamerblog■com/blog/
ttp://www■panslog■net/wiki/index1■htm
ttp://www■panslog■net/wiki/send■exe
ttp://www■panslog■net/fc2/cery■exe
ttp://www■panslog■net/wiki/reco■exe

index■htm : HTML/Infected.WebPage.Gen(カスペ等はスルー）
index1■htm : Trojan-Downloader.VBS.Agent.hi
send■exe : Trojan-PSW.Win32.Delf.aih
cery■exe : Trojan-PSW.Win32.OnLineGames.lyx
reco■exe : Trojan.Win32.Inject.ms

352 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2008/01/19(土) 01:17 ID:xgZEhTIx0

>>350
まとめ臨時分はリネージュ資料室さんからも取得しているので
重複分が多々あったりします。
一応重複していても問題は多分…無いと思われますが、
もしテキストの量が半端ないなあという場合には
テキストツールなどで重複分を除去していただければ…と。

353 ：（○口○*）さん sage ： 2008/01/19(土) 01:34 ID:85revE+F0

>>350
ノートンはすり抜け多いから、念のために他のオンラインスキャン併用してチェックしとけ。
踏んでしまったというはっきりした状況があるのだから、複数のエンジンで検索かけれ。

index1.htmをブロックしてるようだから、大丈夫だとは思うが、保証はできないからな。
あくまでも自己責任だ。

>>348と>>351は同じアドレスなので、一応、どの階層でブロックしたか確認。
（確認時点で内容が同じ保証はないがVirusTotalの1/15検査内容と同じだった）

階層構造
->index■htm
-->index1■htm
--->send■exe
--->cery■exe
--->reco■exe

ノートン検出状況
index■htm : −
index1■htm : Downloader
　多分、ここでブロックして、下記の３ファイルまで行ってない。
　本体も、今回に限っては、ノートンが全部対応してますな。
send■exe : Infostealer.Gampass
cery■exe : Infostealer.Gampass
reco■exe : Trojan Horse

各社対応状況。NOD32だめぽ。マカフィーもびみょ〜ん。
index■htm : AntiVir○、Avast×、AVG×、カスペ×、マカフィー×、NOD32×、ノートン×
index1■htm : AntiVir○、Avast×、AVG×、カスペ○、マカフィー○、NOD32×、ノートン○
send■exe : AntiVir○、Avast○、AVG○、カスペ○、マカフィー○、NOD32○、ノートン○
cery■exe : AntiVir○、Avast○、AVG○、カスペ○、マカフィー○、NOD32×、ノートン○
reco■exe : AntiVir○、Avast○、AVG○、カスペ○、マカフィー×、NOD32×、ノートン○

354 ：（○口○*）さん sage ： 2008/01/19(土) 10:25 ID:85revE+F0

リネージュ資料室の更新チェックしてたら、久しぶりにアイコン偽装のファイルがあった。
開いたフォルダのアイコン。

ttp://www■jplineage■com/smss■exe
ttp://www■pinkdoo■com/smss■exe
ttp://www■pinkdoo■com/mumy■exe

smss■exe : Trojan-PSW.Win32.OnLineGames.onz
mumy■exe : Trojan-PSW.Win32.OnLineGames.onz

355 ：（○口○*）さん sage ： 2008/01/19(土) 12:48 ID:85revE+F0

キングソフトの検体提出窓口のアドレス変更
http://www.kingsoft.jp/support/is/kentai.htm（404 Not Found)
　　↓
http://www.kingsoft.jp/is/kentai.html

356 ：（○口○*）さん sage ： 2008/01/19(土) 17:11 ID:oTkJ9VaR0

>>355
wikiに反映しました。
前はUSBメモリだったと思ったけどクオカードになったのね。

357 ：（○口○*）さん sage ： 2008/01/19(土) 20:24 ID:85revE+F0

>>356
先月はUSBメモリだったが、別便でクオカードも２枚貰ったよ。

報告が新種だった分のUSBメモリは一通り貰ってあったが、年末だったし、
キングソフトからのお歳暮だと思って有難く頂戴しときました。ｗ

週に３回位報告入れて、月に２〜５つは新種だったりすると名前覚えられたのかもしれんｗｗｗ

358 ：（○口○*）さん sage ： 2008/01/19(土) 22:59 ID:TRyhX1o40

キングソフトとか言うとまともに聞こえるから困る

ちゃんと正式名称である「金山軟件有限公司」って言わないと。

359 ：（○口○*）さん sage ： 2008/01/19(土) 23:08 ID:85revE+F0

>>358
それを言うなら、KISと略すと(ry

360 ：（○口○*）さん sage ： 2008/01/19(土) 23:20 ID:8FbXJ0pX0

でもキングソフトって出た当初は本当酷い噂しかなかったよな、随分マシになったよ

361 ：（○口○*）さん sage ： 2008/01/20(日) 04:02 ID:1fXYowc00

>>358
金山軟件有限公司の前身は香港金山公司、1973年設立だから純粋な中共メーカーではないな。

362 ：（○口○*）さん sage ： 2008/01/20(日) 07:40 ID:f9Evi9CdO

最近Ｇチャの話題に上がったので知ったソフトなんですが
GDATAて対RO系性能や全体的な性能ってどうなんでしょう？
普段使わない、バスタの期間切れたＰＣで体験版入れてみたらカスペみたいなカクカクは起こらないようなので信用に足る性能が期待できるなら乗り換えようかと思ったんですが

363 ：（○口○*）さん sage ： 2008/01/20(日) 07:58 ID:GgJ4AVma0

対RO系なら何も言わずカスペかNOD入れとけ
他はゴミ。
俺のは3PCにそれぞれメインにカスペ・サブにNOD・どうでもいいノートにマカフィーって入れてるけど
新種ウイルス検体のテストスキャンで真っ先にスルーするのがマカフィーｗｗｗ
御三家はマジゴミだわ

カスペでカクカクするのはプロアクティブディフェンスのせい
蛇足だが回線速度激減はウェブアンチウイルスのHTTP（ポート80）スキャンのせい
これらを切れば安定する。
常時プロアクティブディフェンスONは高スペックPCじゃないと重くて使えたもんじゃない
最低でもCore2Duo以上のCPUでなければ論外
ガンホーお勧めPentium4あたりだとマップ移動時の読み込みが更に酷くなるだけで使えん
カスペは2/13にOSでいうサービスパックに当たるMP1が来るらしいが、この辺改善されて欲しいな

364 ：（○口○*）さん sage ： 2008/01/20(日) 08:23 ID:AoMCR10L0

>>326
カスペのエンジンも使用（３種類だっけ）してる筈なので検知率自体はいい筈だが
その分重くなるんじゃないかな。設定次第だと思うが。

365 ：（○口○*）さん sage ： 2008/01/20(日) 12:21 ID:4U/88luI0

NOD入れるくらいならAntiVirのほうがいいかなぁ。

366 ：（○口○*）さん sage ： 2008/01/20(日) 12:38 ID:SCLHldOF0

NODは低スペック向けかもね、軽いってイメージが強い

367 ：（○口○*）さん sage ： 2008/01/20(日) 16:23 ID:VIKlkQHP0

最近はNODよりは、AntiVirかAVGの方がいい気がする
しかしこのふたつは他に比べてあまりに認知度が低いのが・・・
スペックに自信があるなら、素直にカスペ選んでおきなさいと思うけどね

368 ：（○口○*）さん sage ： 2008/01/20(日) 17:17 ID:AoMCR10L0

どこぞのBBSより。

ttp://www■oirooke■com/link/5656028■zip

Trojan.Win32.Inject.qt
5656028■zip/5656028■wmv■scr//data■rar/013■exe

369 ：（○口○*）さん ： 2008/01/20(日) 18:56 ID:6fI8fvpU0

先ほどモンクテンプレにある狩場の「アコライト向け」というところをクリックしたらDL中の時間の目安みたいなバーが一瞬出てきてすぐ消えたんですが・・・これって垢ハックの前兆ですか？？
心配で頭混乱してるので文章へんかもわからないですが検討のほうお願いします；；

370 ：（○口○*）さん sage ： 2008/01/20(日) 19:01 ID:t67saEzf0

とりあえず落ち着け

仮に垢ハックサイトだとしても、ROにログインや公式サイトにログイン等を
しない限りは平気だ

371 ：（○口○*）さん ： 2008/01/20(日) 19:04 ID:6fI8fvpU0

早い返事ありがとです。。
わかりました、とりあえずログイン控えます；；

372 ：（○口○*）さん sage ： 2008/01/20(日) 19:05 ID:beHoNWI40

>>369
ホームページを見るというのは、そのHTMLをダウンロードするということなんだ
だから状況によってはどんなページでもDL中の窓は出る可能性がある

一応中も見てみたけど、問題なし
しかしここの管理人さん手を引かざるを得ないようですなあ…
そろそろ卒業・入社入学・異動シーズンだし仕方ないか

373 ：（○口○*）さん ： 2008/01/20(日) 19:10 ID:6fI8fvpU0

そーなんだ・・　よかった・・・
確認ありがとです、助かります(*^^)

374 ：（○口○*）さん sage ： 2008/01/20(日) 23:02 ID:tm3ZAJrU0

うちのブログのコメントにあったもの

超ひさびさに更新ｗ
そしてびっくり！この日記始めたときＬＶ98だったのか〜今じゃ・・・
ブログ -- http://ponns■blog28■fc2■com/
IPアドレス 116■212■124■64
ホスト名 idc-64-124-212-116■firstnetcom■com
IPアドレス割当国 香港 ( hk )

もうラグナロクの話題が殆ど無いからブログのタイトルからROを外すか・・・。

375 ：（○口○*）さん sage ： 2008/01/21(月) 02:45 ID:h3AI18jJ0

鯖板にマルチポストされていたアドレス。
アドレスも中身も既知のサイトだがディレクトリ名を%〜で記載するのは珍しい気がした。

ttp://www■mbspro6uic■com/%25%25%25%23@@@/%23%23%23%23&&&/

ttp://www■mbspro6uic■com/indexm■htm
ttp://www■mbspro6uic■com/naizi/nait■htm
ttp://www■mbspro6uic■com/naizi/tani■c
ttp://www■mbspro6uic■com/indexff■htm
ttp://www■mbspro6uic■com/naizi/nai■htm
ttp://www■mbspro6uic■com/naizi/ani■c
ttp://www■mbspro6uic■com/naizi/ff22■exe
ttp://www■mbspro6uic■com/naizi/rbt1■exe

index■htm : HTML/IFrame
indexm■htm : Trojan-Downloader.HTML.IFrame.dv
indexff■htm : Trojan-Downloader.HTML.IFrame.dv
nai■htm : Trojan-Downloader.JS.Psyme.kf
ani■c : Exploit.Win32.IMG-ANI.ac
nait■htm : Trojan-Downloader.JS.Psyme.kf
tani■c : Exploit.Win32.IMG-ANI.ac
rbt1■exe : Trojan-Downloader.Win32.Delf.dsz
ff22■exe : Trojan-PSW.Win32.OnLineGames.fcj

376 ：（○口○*）さん sage ： 2008/01/21(月) 02:55 ID:h3AI18jJ0

>>374
カスペで全機撃墜を確認。ダウンローダの最初の段は抜けるけど、次で止めるので実害なし。

ttp://ponns■blog28■fc2■com/
ttp://www■teamerblog■com/blog/
ttp://www■panslog■net/wiki/index1■h
ttp://www■panslog■net/wiki/send■exe
ttp://www■panslog■net/fc2/cery■exe
ttp://www■panslog■net/wiki/reco■exe

index■htm : Exploit.IFrame.Gen-1(ClamAV)
index■htm : HTML/IFrame(AntiVir)
index1■htm : Trojan-Downloader.VBS.Agent.hi
send■exe : Trojan-PSW.Win32.Delf.aih
cery■exe : Trojan-PSW.Win32.OnLineGames.lyx
reco■exe : Trojan.Win32.Inject.ms

377 ：（○口○*）さん sage ： 2008/01/21(月) 07:50 ID:Dw2lqxM60

最近トロイの更新頻度が下がってる気がする。

378 ：362 sage ： 2008/01/21(月) 08:37 ID:dpO4dwYw0

わかりました
メイン機はC2Dなので問題ないのでPen4のサブ機はRO中プロアクティブディフェンスを切って遊ぶことにします

そして蛇足のほうも非常に助かりました
おかげで測定で46/37Mbpsだったのが460/110Mbpsまでのびてかなり快適になりました(＾＾；

379 ：（○口○*）さん sage ： 2008/01/21(月) 16:28 ID:6stYnyei0

すみません、今しがたRO起動したらnProが｢Joke.win32.ghost(以下よく見てなかった｣というウイルスを検知したとか言ったので
ウイルス辞典等で検索してみたのですが該当しそうなウイルスが見つからないのです。
一応念のためと駆除にYesを押して今カスペルスキーを回しているのですがこれはやっちゃった系でしょうか。

380 ：（○口○*）さん sage ： 2008/01/21(月) 17:53 ID:5G0dXWuZ0

>>379
セキュリティソフトのメーカーによって、名前の付け方が違うから
完全あっているとはいえないれど、名前がJoke(ジョーク)だから
トレンドマイクロで言うJOKE_GHOSTに該当すると考えると次の答えになります

ttp://www.trendmicro.co.jp/vinfo/jokes/jokesDetails.asp?JNAME=JOKE_GHOST
> これはユーザーの混乱を目的としたジョークプログラムの一種です。
> トロイの木馬の一種と言えますが感染活動や悪質な破壊活動は
> ありませんので実行しても問題はありません。
> 一個の独立したプログラムなので駆除は出来ません。
> 発見したファイルを削除してください。

381 ：（○口○*）さん sage ： 2008/01/21(月) 21:54 ID:vDOYDPiB0

【　 　 　 気付いた日時　 　 　 　 　 】1/21 20時
【不審なアドレスのクリックの有無　】無
【　　アドレス 　 】ttp://www■ragnarokonlinejpportal■net/bbs2/test/read■cgi/ROMoe/1180448144/l50
またはttp://ro-blue■net/seitai/up/
【　 　　 OS　 　 】WindowsVISTA Home Premium
【使用ブラウザ 】IE7.0.6000.16575
【WindowsUpdateの有無】最終確認日時が今日の１９時で更新インストール日時は１/１０
【　アンチウイルスソフト 】 NortonInternetSecurity2008
【その他のSecurty対策 】 ノートンに頼りっぱなしなのでしてないと思う
【 ウイルススキャン結果】Trojan.Webkit!htmlをウイルススキャナが検出しました
リスクの状態　完全に削除しました
【テンプレの参考サイトを読んだか】これから読みます
【hosts変更】無
【PeerGuardian2導入】無
【説明】
生体萌えスレ住民。
専ろだ２の方を見てたまには裏も見に行こうとしたらウイルススキャンが始まる。
そのまま放置して裏のスレを見ていたらウイルス検出したので
どっちにあったのかわからない状態。
もう一度スキャンしてみて出なかったので駆除し切れたとは思うけど
念の為に他のオンラインスキャンもやってみようと思う。

382 ：（○口○*）さん sage ： 2008/01/21(月) 22:02 ID:6stYnyei0

>>380
ありがとうございます
詳しい知り合いにも相談したところ以下のウイルスじゃないかと言われました
ttp://www.haurijapan.com/virus/virus03.php?Vcode=JKW3000047&gStart=1&gSrchValue=joke
悪質な破壊活動はないものの実行したらちょっと面倒なことになりそうだったので削除してよかったようです
しかし、nProにウイルス検出機能があるとは知りませんでした
初めてのことでスレの内容とはずれた方で騒いでしまって申し訳ありませんでした

383 ：（○口○*）さん sage ： 2008/01/21(月) 22:26 ID:h3AI18jJ0

nProの検出に引っかかるのは、かなりレアな事例。運がよかったなｗｗｗ

384 ：（○口○*）さん sage ： 2008/01/21(月) 22:28 ID:h3AI18jJ0

あ、書くの忘れてた。

nProが検出するってことは、その前段階のセキュリティソフトをすり抜けてるってことになるので、
導入してなければ、なんか入れとけ。導入しているのならパターン更新しろ。

385 ：（○口○*）さん sage ： 2008/01/21(月) 22:53 ID:6stYnyei0

セキュリティはAVGとZA頼みで気になるときにカスペルスキーかけるくらいなので油断してました
ウイルススキャンは毎日やるべきなのでしょうか、数時間かかってしまうので週に一度くらいの頻度にしているのですが

386 ：（○口○*）さん sage ： 2008/01/22(火) 00:01 ID:py00cXKt0

まさか常駐させてないのか？
基本的にパターン更新してて常駐保護があれば手動検索は週に一度で問題ない
ちゃんと設定された常駐保護をすり抜けるなら手動検索も(基本的に)すり抜けるよ

387 ：（○口○*）さん sage ： 2008/01/22(火) 02:33 ID:x7LmzjZ00

自分のHPの投稿フォームから送られてきたURL
怪しさ満点だったのでaguseにかけたら案の定from China
残念ながら完全に削除しちまったのでここに貼ることはできないんだが

で、そのURLに添えられてたメッセージが、とても中華が書いたとは思えないほど巧妙なものだったので、
Googleにぶち込んでみた

結果、RO.Engineに登録されている某サイトの紹介文がヒットした
ごく普通のRO関連のサイトだった
どうやら中華が勝手にこの人のサイト紹介文を引用して、垢ハックURLを添えて爆撃しているようだ

なんか悲しくなったよ…

388 ：（○口○*）さん sage ： 2008/01/22(火) 12:32 ID:72gnT67M0

とある画像掲示板にて詳細として検索したところハングルぽいサイトに繋がりました。
ttp://www■qinggu■com/traver/jiage■htm
予期してなかったので後ほどソークチェッカーオンラインとaguse.netでチェックしましたが何も出ませんでした。
どなたかここにトロイの木馬等設置されてる可能性とか分かる方はいますか？
稚拙な質問ですがよろしくお願いします。

389 ：（○口○*）さん sage ： 2008/01/22(火) 13:11 ID:2I9q9lKX0

アカハックとは無関係。

390 ：（○口○*）さん sage ： 2008/01/22(火) 13:36 ID:72gnT67M0

>>389さん
どうもありがとうございます。
カスペでスキャンしましたが何も出なかったので安心しました。
ゲームCGの趣味でROに影響してしまう可能性があるのは悲しいです。

391 ：（○口○*）さん sage ： 2008/01/22(火) 21:45 ID:gywOsACf0

「Lunascape 4.6」正式版、最新Geckoエンジンでセキュリティも改善
ttp://internet.watch.impress.co.jp/cda/news/2008/01/22/18191.html

Geckoエンジンだとview-sourceが使えるので、LunaScape入れてたのでチェック。
そういや、最近は、ダウンローダで落としてエディタで開いて確認してるから使ってないな。

392 ：（○口○*）さん sage ： 2008/01/23(水) 16:04 ID:HkuRuEb10

総合スレ9-326
>>348-351でlokiWikiの書き換え先が出ている。直しといたんだけど、またやられたのかもな。
あそこは編集不可で固定されてて、メニューだけが書き換え対象になっている。
踏んだらアウトなのでOS入れなおしコース行ってこい。

393 ：（○口○*）さん sage ： 2008/01/23(水) 16:06 ID:H2dW5C3L0

行数制限にはじかれてしまう気がするので分割して投稿します

＞そういう質問はこちらでどうぞ

＞ロムサイトの情報が活発にやりとりされている日本でも有数のBBS
＞BOB'S BBS Z
＞ttp://imbbs2t4u■com/up743205/jbbs578601/

自分が間借りしてる掲示板に↑の怪しい書き込みがあったのでソースチェッカーオンラインで
調べてみたところ
※ インラインフレームタグを発見しました。 (2)
ttp://www■mbspro6uic■com/indexm■htm
と、出ました

394 ：（○口○*）さん sage ： 2008/01/23(水) 16:09 ID:H2dW5C3L0

上記URLもチェックするようにとあったので、チェックしてみたところ
※このアドレスは危険URLのひとつです。
★ブラクラチェックが終了しました。

※ インラインフレームタグを発見しました。 (1)
ttp://www■mbspro6uic■com/naizi/nait■htm
と、出ました

また↑のURLをチェックするようにとあったのでチェックしてみたところ
※このアドレスは危険URLのひとつです。
注意！ループタグを発見！ (1)
★ブラクラチェックが終了しました。

※ windowオープンを発見しました。(2)
\x47\x45\x54
と、出ました

395 ：（○口○*）さん sage ： 2008/01/23(水) 16:09 ID:HkuRuEb10

追記：
今、確認したら、やっぱりttp://www■teamerblog■com/blog/に書き換えられてます。
危険URLですので、踏んだ後一度もログインしてなかったら速効でOS入れなおしコースいってらー。

396 ：（○口○*）さん sage ： 2008/01/23(水) 16:11 ID:H2dW5C3L0

さらに上記URLをチェックするようにとあったのでまたチェックしてみたところ
※このアドレスは危険URLのひとつです。
★ブラクラチェックが終了しました。
と、出ました

知識不足でよくわかりませんが、危険なURLであるということはなんとなくわかりました
幸い踏みませんでしたが、皆様もご注意を…

397 ：（○口○*）さん sage ： 2008/01/23(水) 16:13 ID:HkuRuEb10

>>393-394
はい、既知の危険URLですね。確実にアカハックです。

踏んだ場合の対処

・ログインしていない→即OS入れなおし
・ログインしてしまった→安全な環境を用意して即パスワード変更→OS入れなおし

特定のセキュリティソフトで検知と除去ができるかどうかは、調査してくれる人の誤操作による発動の危険があり
確認してくれと頼むのは無理だと思っておきましょう。このスレは、『勇気が無くて見れないサイト解説スレ』では
ありませんのであしからず。

398 ：（○口○*）さん sage ： 2008/01/23(水) 16:19 ID:H2dW5C3L0

>>397
了解しました
鑑定のために書き込んだと思われたのであれば大変申し訳ありませんでした

399 ：（○口○*）さん sage ： 2008/01/23(水) 16:21 ID:HkuRuEb10

lokiwikiの話が出たのでloki板を見に行ったらこんなものが目につきました。

｜539 名前：まったり名無しさん 投稿日： 2008/01/14(月) 14:19:15 ID:VU0eRI4A0
｜意見交換
｜日記は更新する、非常に!!助言する!
｜p(＃^▽゜)q
｜itsuki01azn■blog18■fc2■com/

このアドレス自体は、fc2によって既に消されているようですが、文面にﾜﾗﾀ

400 ：（○口○*）さん sage ： 2008/01/23(水) 19:23 ID:WwfzHQSV0

>>399
文面はブログペットの書き込みがベースじゃないかな

401 ：（○口○*）さん sage ： 2008/01/23(水) 19:52 ID:Xkt6zdXJ0

以前に可能性検証レベルで話に挙がっていた手法が、現実に使われ始めたという話。

「ファーミング」攻撃の脅威が現実に――メール閲覧だけでルータ設定を変更 - ITmedia News
ttp://www.itmedia.co.jp/news/articles/0801/23/news091.html

>Webページや電子メールに組み込まれた悪質なHTMLやJavaScriptを参照しただけで、被害者のブロードバンドルータのDNS設定が
>変更され、以後すべてのDNSリクエストが攻撃者のDNSサーバを経由する状態になる。つまり、被害者のインターネット接続は実質的に、
>攻撃者にコントロールされることになる。

日本国内向けに、フレッツ光のCTUや、eAccessやACCAのルータ向けにカスタマイズされた代物が登場するのも、そう遠くは無いのかもしれない。
レンタルルータと言えど、デフォルトのパスワードのままでは運用しない。出来れば、ユーザー名も変更するのが望ましいが、固定されている場合も
少なくないのでこっちはある程度諦め。
出来る事なら、ルータの管理コンソールに接続できるIPを限定する設定を行い、それ以外のPCからはログオン出来ないような設定を施すのも
良いだろう。

402 ：（○口○*）さん sage ： 2008/01/24(木) 12:55 ID:4/bmUgjj0

今さっきアサテンプレ見に行ったら、TOP画面がフレームと広告以外真っ白というか真っ黒というか
告知文とかが何にもない状態だったのですが
これって垢ハックとかが仕込まれてるのでしょうか・・・？
一応ソースチェッカーで見たのですが、特に何か仕掛けられてる様子ではないようでした
（素人目には、ですが）
どなたか詳しくわかるかた、もしよろしければご助言お願いします。
とりあえずウィルスチェックしてこようかと思います。

403 ：（○口○*）さん sage ： 2008/01/24(木) 13:01 ID:PLpHPZQX0

※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※

404 ：（○口○*）さん sage ： 2008/01/24(木) 22:29 ID:lqFvKsTM0

見に行って変だったから助言を求めてるのに>>403はおかしいだろ

アサテンプレ見に行ったけどもう普通に見られるな

405 ：（○口○*）さん sage ： 2008/01/24(木) 22:42 ID:GAhXUDVP0

>>402の直後にアサwikiみたけど何も変じゃなかったからなぁ。
状況からして文字コード認識失敗だっただけじゃないのかと。

（広告iframe内との文字コードが別で）

406 ：cc ◆FrYglD0YaE sage ： 2008/01/25(金) 03:41 ID:o0XpL05d0

【　 　 　 気付いた日時　 　 　 　 　 】 2008年01月25日０時
【不審なアドレスのクリックの有無　】google検索結果TOPにあって踏んだ。
【　　アドレス 　 】http://yaplog■jp/petal_saya/monthly/200606/
【　 　　 OS　 　 】WindowsXP Home SP2
【使用ブラウザ 】firefox 2.0.0.11
【WindowsUpdateの有無】毎日確認
【　アンチウイルスソフト 】 AVG7.5
【その他のSecurty対策 】ルータ
【 ウイルススキャン結果】 AVG7.5で感染無し、カスペルスキーオンラインスキャンで現在進行中
【テンプレの参考サイトを読んだか】 Yes
【hosts変更】不明
【PeerGuardian2導入】無
【説明】
鯖で有名なチート、BOT使用公言ギルドのBANされたはずのキャラが居たため運営に報告。
その際に情報収集でキャラ名でぐぐったら出てきたギルドのURL。

開いた瞬間、複数のダイアログが表示されたためLANを引っこ抜いてAVGによるウイルスチェック。
別PCによりROのパスワードは変更済み。
感染無しとの報告だったのでカスペルスキーで確認しながら情報収集。
しかし、ソースチェッカーオンラインにて隠しスクリプトが発見。
アラートオープン、ループタグがそれぞれ仕込まれていました。
ウイルスチェッカの報告が額面どおり信用できず、知識のある人に助言頂こうと書き込みした次第です。
OSのクリーンインストールまで行くべきでしょうか？

407 ：（○口○*）さん sage ： 2008/01/25(金) 08:07 ID:VEYEb9EJ0

アカハックは仕込まれてないよ。

408 ：cc ◆FrYglD0YaE sage ： 2008/01/25(金) 09:18 ID:o0XpL05d0

>>407
感謝します。
今後はセキュリティレベルもっと引き上げようと思っています。
ありがとうございます。

409 ：402 sage ： 2008/01/25(金) 12:21 ID:X7LFsWT50

>>403
気分を害されたのでしたらすみませんでした。

>>404,405
ありがとうございます。
垢ハックでよく聞くのが「真っ白のページ」なので、まさかと思いました。
ウィルスチェックの結果は何も検出されませんでした。
遅くなりましたが、一応報告まで。

410 ：（○口○*）さん sage ： 2008/01/25(金) 19:28 ID:dogubbYa0

【　 　 　 気付いた日時　 　 　 　 　 】 1/25 15時頃
【不審なアドレスのクリックの有無　】 クリックしました
【　　アドレス 　 】www■teamerblog■com/wiki
【　 　　 OS　 　 】WindowsXP Home SP2
【使用ブラウザ 】IE6.0 sp2
【WindowsUpdateの有無】 常に最新にしてます
【　アンチウイルスソフト 】 ウィルスバスター2007
【その他のSecurty対策 】 カスペのオンラインスキャンを月一程度　AD-Aware
【 ウイルススキャン結果】 カスペのオンラインスキャンとウィルスバスターで見つからず
【テンプレの参考サイトを読んだか】 まだざっと目を通す程度でしか見てません
【hosts変更】 無
【PeerGuardian2導入】 無
【説明】
Forsety wiki内のリンクをうっかり踏んでしまい、ウィルスバスターが反応し
「VBS_PSYME.BFY」というウィルスが見つかったとのポップアップが出ました。
しかし、隔離できませんでしたと書いてあったのでスキャンしたのですが見つかりませんでした。
一応カスペルスキーのオンラインスキャンでも試してみたけどこちらも見つからず。

感染してしまったとは思うのですがスキャンしても見つからないってことは
ウィルスがどこかに潜伏してるということなのでしょうか？
また、削除することはできないのでしょうか？

411 ：（○口○*）さん sage ： 2008/01/25(金) 20:10 ID:VEYEb9EJ0

「たぶん」大丈夫。

412 ：（○口○*）さん sage ： 2008/01/25(金) 21:37 ID:fqTiZdjN0

>>411
ありがとうございます。

ということは、感染しそうになったけどバスターが防いでくれたってことでいいんですかね？
あくまで「多分」なのでしょうが・・・

413 ：（○口○*）さん sage ： 2008/01/25(金) 22:05 ID:ugal4eyc0

そのブロックの表示が出たのは、本体を落とそうとするダウンローダ。
ダウンローダをブロックできれば、本体までいかない。

隔離できませんでしたというのは、削除したのが隔離を試みるタイミングより前だったり、
発動中でアクセス権なかったとか（って、セキュリティソフトであるのかな？）いろいろ
可能性は考えられるが、「もう存在しないので、隔離に失敗した」という意味の場合が多い。

1/23時点での調査だが、ファイルが差し替えられていなければ下記の通り。

ttp://www■teamerblog■com/blog/
ttp://www■panslog■net/wiki/index1■htm
ttp://www■panslog■net/wiki/send■exe
ttp://www■panslog■net/fc2/cery■exe
ttp://www■panslog■net/wiki/reco■exe

<<カスペの検出名>>
index■htm : Trojan-Clicker.HTML.IFrame.il
index1■htm : Trojan-Downloader.VBS.Agent.hi
send■exe : Trojan-PSW.Win32.Delf.aih
cery■exe : Trojan-PSW.Win32.OnLineGames.lyx
reco■exe : Trojan.Win32.Inject.ms

<<呼び出し順序>>
->index■htm
-->index1■htm
--->send■exe
--->cery■exe
--->reco■exe

VirusBusterは…名称未確認だが、「VBS_PSYME.BFY」という名称からすると
ブロックしたのは「index1■htm」と思われる。

まだ潜伏していると思ってOS入れなおしコースに進むか、上記流れを理解した上で
自己責任でそのまま使い続けるかどうかは、>>410さんの判断となります。

「なぜ隔離できなかったのか」について、よく考えた上で結論を出してくださいね。

414 ：（○口○*）さん sage ： 2008/01/25(金) 22:11 ID:ugal4eyc0

あ、ごめん、フォルダ名が違うのな。blog→wiki。

でも、呼びだしてる内容は同じだった。以下同文ってことで参考にして欲しい。

ttp://www■teamerblog■com/wiki/
ttp://www■panslog■net/wiki/index1■htm

415 ：（○口○*）さん sage ： 2008/01/25(金) 23:56 ID:SF36ehsh0

あっちのスレでも書かれてたけど、FEZのwikiが凄いことになってるなぁ。
メニューバーのほぼ全てが垢ハクへのリンク→直す→即座に改変
ってのを半日ぐらい続けてるらしく、FEZプレイヤが手作業で一々直している模様……
根本的な対策取れないもんかねぇ。

416 ：（○口○*）さん sage ： 2008/01/26(土) 00:24 ID:OZjbnD0G0

管理人いたら、接続IPブロックとか禁止ワードとかいろいろできるんじゃないのかな？

417 ：（○口○*）さん sage ： 2008/01/26(土) 00:30 ID:3c6HT9Mm0

>>413-414
ありがとうございます。
おっしゃるとおりファイルは「index1■htm」でした。
いい機会だし安心したいのでOS入れなおしコースに進みたいと思います。

418 ：（○口○*）さん sage ： 2008/01/26(土) 00:39 ID:O2eZgtOl0

>>415-416
管理人が動いた模様。
今までいなかったから、有志が人力で……っていう感じだったみたい。

419 ：（○口○*）さん sage ： 2008/01/26(土) 00:54 ID:7jBW+0q70

これで、FEZ住人にも危機感が芽生え、OCN経由で中継(?)接続している不届き者や、fc2にも焚き付けになると
もう少し状況が改善されるかもしれないのだけどなぁ。

420 ：（○口○*）さん sage ： 2008/01/26(土) 00:57 ID:/BV0PeWt0

注意喚起しても垢ハク「だけ」だと思われるからな…
仕込まれるプログラム次第で被害はどうにでもなるのに

421 ：（○口○*）さん sage ： 2008/01/26(土) 08:05 ID:1Ar4Fsn20

なんだか昨日のメンテ後からRO起動するたびに
毎回カスペからRagexe.exeが更新されてるって警告が出るな・・・

422 ：（○口○*）さん sage ： 2008/01/26(土) 08:12 ID:OZjbnD0G0

>>421
同じフォルダの同じファイル名で同じファイルが日付だけ変わってるからだと思う。
うちも出てるよ。面倒だからルールから一旦削除して許可出しなおすかね。

423 ：（○口○*）さん sage ： 2008/01/27(日) 08:05 ID:ff6npms9O

>>421

自分もポップブロックで同じのが出てくるんですがこれは大丈夫なんでしょうか？

とりあえず拒否にして、ウイルススキャンしたんですが何もでてこなかったです。

424 ：（○口○*）さん sage ： 2008/01/27(日) 16:57 ID:RIwchi9y0

先日KIS7.0導入したものです。

NIS2006からの乗り換えを行ったのですが、
ROでの様々な動作が遅く(重く?)なってしまいました。
MAP移動時(同鯖)が一瞬だったのが、ワンテンポ遅れたり、
スキルエフェクト時に一瞬止まるといった感じです。

ファイアーウォールの設定を速度重視に変更したり、
信頼にROを設定して、プロアクティブディフェンスをOFFにしても改善されません。
もっと調べれば参考になる情報があるかもしれませんが、
上記症状で悩んでおります。
有識者の方がいらっしゃいましたら、アドバイスを頂きたいです。

■OS 　 　　　　　　：Windows XP PRO SP2
■CPU..　　　　　　 ：PEN4 2.8G
■メモリ 　　　　　 ：２GB
■ビデオカード.　　 ：RADEON X1600XT
■セキュリティソフト：KIS7.0

425 ：（○口○*）さん sage ： 2008/01/27(日) 17:21 ID:pz97qzam0

ノートンよりは軽いと思うんだけどなぁ。

試用期間なら、正式購入やめてNOD32かESS辺りを使ってみるとか。
安全と軽さのどっちを重視するかですね。

軽いけど、対応遅くて基本的にダウンローダはブロックしないので
アカハックに警戒するなら、NOD32は避けた方がいい方向なんだけど。

426 ：424 sage ： 2008/01/27(日) 17:25 ID:RIwchi9y0

>>425さん
ご返答ありがとうございます。

ノートンより良い噂を聞いたので乗り換えたんですが...
環境依存なのでしょうかね？？

狩などでは、グラグラ描画される感じで酔ってしまいそうです！
期待して買っただけに困ったものです。

427 ：（○口○*）さん sage ： 2008/01/27(日) 17:27 ID:AbTrEYqM0

ノートンからカスペ移住組み。

理由としては、ノートンの自動Updateが完全に切れないから。
まぁ、移住してもカスペも完全に切れなくてイラついてるわけだが。

自分がカスペの動作を重く感じるのは、０時になるタイミング。
Updateチェックらしく、一瞬ROが止まる。
あと、ROしてる間はメーラーは止めておくべき。
スパムチェックは阿呆のように重いから。
メッセも止めたほうがいいかも。
ずっとパケチェックが走ってるような感じで重い。

Loadingが100%で長く止まるのはPen4のセイだと思って諦めてる。

428 ：（○口○*）さん sage ： 2008/01/27(日) 17:31 ID:xbDWrV890

>>424
ファイアウォールは「互換性重視の設定」のままで問題ない

ウェブアンチウイルスの「HTTPトラフィックをスキャンする」をOFFする

ネットワークの設定の「ポートの設定」を「指定したポートのみ監視する」にする。
（上でOFFにしているから関係ない？）

429 ：（○口○*）さん sage ： 2008/01/28(月) 02:07 ID:x9y3Qny70

RO店価格調査隊のドメインがあと二週間ほど(2月9日)で切れるのがちょっと気がかり

余談だけど作成日が2003年2月ってそんな前からあったのかとちょっと驚いた

430 ：（○口○*）さん sage ： 2008/01/28(月) 03:46 ID:UjuZG4ud0

罠URLを踏んだ場合、実際画面上ではどんなアクションが起こるのですか？

431 ：（○口○*）さん sage ： 2008/01/28(月) 05:00 ID:ZN1zfGz90

>>424
ウェブアンチウイルスのHTTPスキャン（ポート80）のせいじゃないか？
ポート80がオンになっていると通常の通信によるパケットも全スキャンするので糞重くなる。
個人利用ならHTTPスキャンは特にオンにするメリットは無い。
何らかのウイルスはキャッシュに落ちた時点でファイルアンチウイルスが反応するしな

>>427
ノートンの自動updateは切れる。
ノートン自体の更新項目だけでなく、コントロールパネルのLiveUpdateも切れば
手動でやらない限り更新作業は一切行われなくなるぞ
まぁ、俺はもうカスペに移っちゃったから2008版はしらないんだけどさ。
2007版ならそれで切れる

432 ：（○口○*）さん sage ： 2008/01/28(月) 05:14 ID:uktL02DS0

>>430
・偽装のページが表示されて気づかない
・真っ白なページが表示される
・他のページに飛ばされる

など、様々ですので、これといって確実に見分ける方法はありません。

433 ：（○口○*）さん sage ： 2008/01/28(月) 07:05 ID:J2TP2HDx0

そろそろ期限が近いのと、ページが表示されなくなった為
RO店価格調査隊( ro-price.net )のドメイン有効期限が2008/02/09と
なっております。ご注意ください

> Domain name: ro-price.net
> (個人情報を含むため省略)
> Creation date: 09 Feb 2003 00:00:00
> Expiration date: 09 Feb 2008 00:00:00

434 ：（○口○*）さん sage ： 2008/01/28(月) 07:08 ID:pjAjrzhv0

最近ROの起動時たまに「smss.exe」がどうとかでカスペが叫びを上げるんだが、これ何なんだろう
操作を拒否するとROが起動しないから、nProかクライアントの関係だと思うだんが…

435 ：（○口○*）さん sage ： 2008/01/28(月) 08:25 ID:J2TP2HDx0

>>434
nProがWindowsのメモリ関連に干渉して起こる現象と思われます

smss.exeはセッションマネージャーサブシステムと呼ばれる
Windowsの動作に必要不可欠なプログラムです
OSが資源とアクセスする際のメモリの管理を行っているところに
nProが干渉して、カスペが叫んでいると思われますが
詳細はカスペユーザーの意見に任せます

436 ：（○口○*）さん sage ： 2008/01/28(月) 08:28 ID:hxS+9a/W0

smssは、Windowsのシステムファイル

nProが起動時に使用している？、nProにより処理を乗っ取られている？関係で
警告が出る時がある。

437 ：（○口○*）さん sage ： 2008/01/28(月) 08:33 ID:pjAjrzhv0

なるほど
ありがとう

438 ：（○口○*）さん sage ： 2008/01/29(火) 01:55 ID:/7BgKPB70

今まで静かだったPGさんが
CN(jprmthome)
といういかにもな名前のをブロックしまくってるのですが、
もしかして垢ハック踏んじゃった可能性高いですか？

439 ：（○口○*）さん sage ： 2008/01/29(火) 01:56 ID:kKmqSvvA0

そう思うならまずスキャンせい

440 ：（○口○*）さん sage ： 2008/01/29(火) 03:59 ID:Y6KTLHIS0

438と同じくjprmthomeをブロックしている｡
jprmthomeは､既知のハック所の模様で･･ ('A`)　現在スキャン中

441 ：（○口○*）さん sage ： 2008/01/29(火) 04:08 ID:Y1GwaoD80

ドメイン失効で飛ばされてるのか、それとも踏んじまってるのかの判断はできないからな。

442 ：（○口○*）さん sage ： 2008/01/29(火) 04:14 ID:cfp1N+rw0

なんかそれらしい所を踏んだ記憶はないかな？

443 ：440 sage ： 2008/01/29(火) 05:19 ID:Y6KTLHIS0

カスペのオンラインスキャン､AVGのスキャン終了｡
ちょっと違う様な気がするものの、テンプレに沿って―

【　 　 　 気付いた日時　 　 　 　 　 】 2008/1/29 3:34
【不審なアドレスのクリックの有無　】 無
【　　アドレス 　 】
【　 　　 OS　 　 】WindowsXP Home SP2
【使用ブラウザ 】FireFox
【WindowsUpdateの有無】 自動更新+手動チェック
【　アンチウイルスソフト 】 AVG
【その他のSecurty対策 】 ルータ、Hitman Pro(Spybot S&D、PREVX、CoolWWWsearch、SpywareDoctor、SpywareBlaster、ewido、AdWare SE)
【 ウイルススキャン結果】 感染無し
【テンプレの参考サイトを読んだか】 セキュ･ＢＳ Wiki以外 YES
【hosts変更】有　Lineage資料室さんのhosts前回更新
【PeerGuardian2導入】有　RO･Lineageの危険ＩＰ、中韓台、中韓香
【説明】　WU､FireFOX､AVG､PG2は最新、HitmanProは2日前に更新しています｡
　　　　　　最近見たサイトは､自分のブログ＋わむてるらぶ等と
　　　　　　未実装Ｗｉｋｉ[TOP･防具]、sageWiki[TOP･GvG・支援対人]のみ
　　　　　　ＰＧの履歴を見ると、未実装Ｗｉｋｉを開いた時程にブロックしているようです。

念の為別ＰＣでＰＡＳＳ変更をして、該当ＰＣは２日程家をあける間 放置します。

444 ：（○口○*）さん sage ： 2008/01/29(火) 06:36 ID:Y1GwaoD80

jprmthome■comはCNではなく、USになってるな。

Level 3 Communications 所有のIPになってるし、どっかから飛ばされた（失効した）IPを見て
リスト中のjprmthome■comと同じIPとして認識している可能性もありそう。

445 ：（○口○*）さん sage ： 2008/01/30(水) 16:53 ID:SE5WX27W0

>>433
薬屋関連のドメインだったのか

446 ：（○口○*）さん ： 2008/01/30(水) 23:44 ID:H4q3wHp10

垢ハックアドレスぽいのを踏んでしまったみたいです。
スレを読んで、カスペルキーのオンラインスキャンをしたところ３つのウィルスがでました。

不安だったので、
ハードディスクから復元するをして、（これでウィルスは完全に消えた？）
カスペルキーのお試し版をインストールし、完全スキャンをして何も出ませんでした。

再インストールすれば、また踏まなければ、安心していいものなんですかね？

あと今後の対策としてお勧めソフトがあればご教授願いたいです。
現在、カスペルスキーのお試し版とスパイボットが入ってます。

447 ：（○口○*）さん sage ： 2008/01/31(木) 00:24 ID:1o145qiQ0

駆除せず復元か、おっかねーな
再インストールをちゃんと理解してるかが怪しいが
不安ならカスペを購入しておいたらいいんじゃないか？

448 ：446 ： 2008/01/31(木) 01:04 ID:TF/OvcSp0

>>447
レスありがとございます。
この状態だとまずいですか？

パソコンの取り扱い説明書によると、
１.ハードディスクから復元する。
２．リカバリディスクから復元する。

のどちらかをやれば、買ったときの状態に戻ることが書かれたので１を試したのですが、

これだと、まだウィルス残ってる可能性高いですか？

カスペはお試し版終わった後購入を考えてたのですが、お試し版だと機能がちがうのでしょうか？
即購入したほうがよいのでしょうか？

今までは、ソースネクストのウィルスセキュリティゼロが入っていて、スキャンしたのですが、
検出できず、カスペオンラインスキャンでウィルスが検出されたので、
今回のことでカスペに乗り換えようと考えています。
アドバイスよろしくお願いします。

449 ：（○口○*）さん sage ： 2008/01/31(木) 01:05 ID:EXkpVO9W0

復元するくらいならクリーンインストールだろ・・・
垢ハックされる可能性が捨てきれないが、それでもいいならそのままでどうぞ

450 ：（○口○*）さん sage ： 2008/01/31(木) 01:20 ID:1o145qiQ0

お試しってのはずっと使えるわけじゃないぞ？
使用期限があるからそのうち機能しなくなる
期限まで使ってみて良さそうなら購入したらいいよ

451 ：（○口○*）さん sage ： 2008/01/31(木) 01:47 ID:/pG/H62O0

>>449
今回、>>446が書いている復元は、XP付属機能であるシステムの復元ではなく、メーカーが出荷時状態に戻せるように
HDDにディスクイメージを入れ込んである方、所謂DtoDリカバリかと。
リカバリディスクの方は、CD-RやDVD-Rを自前で用意して、ディスクイメージを外部媒体に書き出した場合。
HDDだけだとクラッシュなどでイメージごと壊れる事もあるので、用意しておくにこしたことはないが。

452 ：（○口○*）さん sage ： 2008/01/31(木) 01:48 ID:zCErsxXF0

>>448
ああ、なにかをインストールした時点（復元ポイント）までの戻しではなく、HDD内のイメージからの復元か。
それなら安全な環境に戻ってますよ。データとかも全て飛んでるけど。

HDDフォーマットからの新規インストールと等価です。この状態では、危険なファイルは存在しませんので
パスワード等を盗みだされる心配はありません。但し、セキュリティの穴を塞ぐためのWindowsUpdateと、
セキュリティソフトのインストールとパターン更新は必須ですが。

今後の対策として
・WindowsUpdate
　自動更新の設定にしておくこと
・セキュリティソフト
　カスペでもAntiVirでも好きなのをどうぞ。PCの能力にあまり余裕ないならNOD32辺りでも。
・スパイウェア対策
　Spybot、Ad-Aware SE(2007はあまりお薦めできない）、SpywareBlaster辺りを入れておけばいいかと。
　これらは全て併用可能ですので（同時にスキャンは知らせるとかはNGですが）入れちゃいましょう。
・防御策
　PG2でリネージュ資料室のリストを使用し、中国等をブロック。注意事項はPG2導入の解説サイト参照。

蛇足：
単に復元と呼ぶと、>.447さんやわたしのように、復元ポイントまでの復元と理解するのが普通じゃないかな。
HDD内のイメージからの復元のことは「リカバリ」と呼べば正確に伝わると思います。

>>449
448をよく見てくれ。復元ポイントではなく、HDDのイメージからの復元だから、クリーンインストールと等価だよ。

453 ：（○口○*）さん sage ： 2008/01/31(木) 06:57 ID:SikvRQCx0

【　 　 　 気付いた日時　 　 　 　 　 】 1/31 6時頃
【不審なアドレスのクリックの有無　】 無し
【　　アドレス 　 】
【　 　　 OS　 　 】Windows2000
【使用ブラウザ 】Sleipnir
【WindowsUpdateの有無】 一週間以内
【　アンチウイルスソフト 】 NortonInternetSecurity2006
【その他のSecurty対策 】
【 ウイルススキャン結果】 ノートンでは未検出　現在カスペルオンラインスキャン中
【テンプレの参考サイトを読んだか】 今読んでます
【hosts変更】
【PeerGuardian2導入】
【説明】
サイト閲覧はしないサブPCで、２ＰＣする為にＲＯがインストールされているのですが、プレイ中にフリーズし再起動後ログイン出来なくなりました。
クライアントを再インストしようと思い、スキンとＳＳを保存しようとＲＯフォルダを開いたところ、メインＰＣでは見かけた事のないexeファイルがありました。
なんだろうと思って詳細を見るだけのつもりが、ダブルクリックになってしまい、なにか英語で窓が出たあとそのexeファイルは消えてしまいました。
これはウィルスの類なのでしょうか？

454 ：（○口○*）さん sage ： 2008/01/31(木) 07:00 ID:afo1ezmW0

不審なexeをわざわざ実行し、結果として消えてしまうという
怪しげな挙動を示したのにわざわざ聞く必要あんの?

455 ：（○口○*）さん sage ： 2008/01/31(木) 07:19 ID:SikvRQCx0

言い訳にしかなりませんが、いつ作られたのかプロパティを見ようとしたらダブルクリックに・・・
オンラインスキャン半分終わりましたが今のところなにも検出されてません。
同じような経験がある方がいないかと思い書き込みました。

456 ：（○口○*）さん sage ： 2008/01/31(木) 08:17 ID:pZv5F4Gn0

npkjpnuninst.exeじゃないかな。
昔の残骸。
npkcryptだったかを実装したときに不具合がでて
これを解除するときに配られたファイルだった気がする。
実行したら「This programうんたらかんたら」出て自身が消える。
あってもなくても関係なし。
俺はなんとなく実行させて消した。

457 ：（○口○*）さん sage ： 2008/01/31(木) 08:24 ID:SikvRQCx0

オンラインスキャン終わりましたが何も発見されませんでした。
456さん、情報ありがとうございます。
きちんとファイル名と出てきた英語は覚えてませんが、恐らく同じかと思います。
お騒がせしました。

458 ：（○口○*）さん sage ： 2008/01/31(木) 08:25 ID:pZv5F4Gn0

補足
npkjpnuninst.exe
nProtect KeyCrypt Uninstaller
「This program〜〜〜」じゃなくて
「The Program has been removed successfully」だった。

459 ：（○口○*）さん sage ： 2008/01/31(木) 10:47 ID:Vwrkth7jO

怪しいファイルを選択するのに左クリックを使うのは、やめとけ。
右クリックで選択→メニューが出るのでそのままプロパティー
がまだ安全。

460 ：（○口○*）さん sage ： 2008/01/31(木) 12:24 ID:mkRfmNgu0

向こうの358、上のほうでセキュスレへと既に言っているんだから誘導張る必要は皆無。

461 ：（○口○*）さん sage ： 2008/01/31(木) 14:57 ID:Rx6YdGsN0

右クリックでも、コンテキストメニュー表示→うっかり連打で「実行」を選択、という罠がある。
Alt+Enterが最も安全。Alt+左ダブルクリックも等価。

462 ：446 ： 2008/01/31(木) 20:27 ID:TF/OvcSp0

449〜452の方返信ありがとうございます。

>>451
リカバリディスクの方は、あらかじめ準備してないとﾀﾞﾒそうだったので、HDDからの復元を選択しました。
今回の件で、リカバリディスクは事前に準備しておかないといざ使えないことが分かりました。

>>452
リカバリといえばよかったのですね。
分かりやすい解説ありがとうございます。

とりあえず、セキュリティソフトはカスペのお試し版、
スパイウェア対策は、Spybot、SpywareBlasterをインストールしました。
またPG2の導入もしました。

あとAd-Aware SEを探したのですが、Ad-Aware2007Freeしか見当たらなかったので、
まだ検討中です。

今回の件でいろいろ勉強になりました。
相談に乗ってくれた方ありがとうございました。

463 ：（○口○*）さん sage ： 2008/02/01(金) 00:14 ID:198Jltex0

>>461
そして、ALTがちゃんと押されてなくて実行してしまう、と。

464 ：（○口○*）さん ： 2008/02/01(金) 00:50 ID:Rs7EY1xNO

質問です。
jword2.exeというのが消えたり増えたりしています。これはなんなのでしょうか？パソコン自体去年買ったばかりで怖くてネットに繋げません。
携帯から繋げられるところがここしかなかったのでお知恵を拝借させていただきたく…
マカフィーでスキャンしたのですが感染していないという結果になります。しかしCPUが100から90パーセントで唸っているので気持ちわるくてしかたないのです(つд｀)

465 ：（○口○*）さん sage ： 2008/02/01(金) 01:04 ID:4lGejfkh0

何かインストールしたときに同時に入れたんだろうな

JWordプラグインには次の問題点がある。
* スパイウェアの疑い
* 強引なインストール
* インストールされると、システムに常駐し、コンピュータ全体の動作が不安定となる原因となる
* 過去のバージョンはアンインストールが困難
そのため、スパイウェアのほか、アドウェアやマルウェア、ブラウザハイジャッカーとして扱われることもある。

wikipediaより
ウイルスの類ではないけど近い物ではある、出来れば入れない方が良い
しかしjword2.exeだったかな？

466 ：（○口○*）さん sage ： 2008/02/01(金) 01:10 ID:2lzt73EX0

>>464
「JWORD」ってググってみたら、でてくるよ。
実際にはＩＥのアドレスバー上で日本語検索＆ジャンプを行うソフト
ソースの一部にマルウェア扱いの中国製ソフトと同一のがあって、危険視されてた。
まぁ、もちょっと自分で調べてみなされ。
自分的にはアンインストールした方が良いかもなーと言っておく。
ちなみに、よくそれ、市販のＰＣはデフォルトインストール状態で入ってくることがある。

467 ：（○口○*）さん sage ： 2008/02/01(金) 01:23 ID:Rs7EY1xNO

なるほど、つまりウィルス並みにしつこい何かということですか？
jword2.exeでググって出てこなかったので今からもう一度調べてみます。削除できないということにドキドキですが調べてからアンインストールしていいものか考えてから頑張ってみます。
ありがとうございました！(｀・ω・´)

468 ：（○口○*）さん ： 2008/02/01(金) 02:35 ID:0utBx+4p0

ちょっとやられちゃったんだけど被害にあった人でアイテムとか戻ってきた方いる？

469 ：（○口○*）さん sage ： 2008/02/01(金) 03:16 ID:SJ+JTiN/0

なんか雰囲気軽そうだがともあれご愁傷様です。
過去の報告によると、ペットの卵（消耗品もかな？）などを抜かしての装備系は、
警察の調査終了後に大体戻っては来るらしい。
ただ私が実際やった訳じゃないので本当かどうかは判りませんが、
何度か戻ってきたという報告はありました。
ただ皆さん半年とか掛かっているっぽいですが。

とりあえずPCフォーマットからOS再インストして、
安全な状態に戻してから癌胞のアカハックのフォームから送り、警察に連絡などを。

470 ：（○口○*）さん ： 2008/02/01(金) 03:36 ID:0utBx+4p0

まさかこんなにはやくレスくれるとは感謝感激です
総額がかなり行っちゃったんで軽くしないとやっていけなかっただけですｗ

癌のことだし・・と落胆してたのですがおかげさまで希望が持てそうです
ありがとうございます！

471 ：（○口○*）さん sage ： 2008/02/01(金) 04:12 ID:yuJvWJsU0

私も前に被害にあって癌と警察に通報して話したことはありますが、
調査が終わった後調査した結果等は教えたもらえましたが
アイテムはやはり戻っては来ませんでしたね

癌はそういった垢ハックの被害での補償は基本的にしないと思ったほうがいいです

何かよほど特殊な場合による被害であれば対応してくれるかもしれませんが

472 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2008/02/01(金) 05:17 ID:BjBJ9Ft90

>>468
もう知っているかもしれませんがご参考までに…。
アカウントハック体験記 http://air1.fc2web.com/as/id.html

この方以外にもアカウントハックから
アイテムが帰ってきたって看板を立てていた露店さんやら見かけたことも。
やれることはやっておいて経験になりますし損は無いかもです。

473 ：（○口○*）さん sage ： 2008/02/01(金) 05:56 ID:lSernppZ0

>>462
AD-Awareは確かに2007は使い辛く、SEの頃が良かったんだが
肝心のSEは先月12月に更新配信を終了した。
よって新しいスパイウェアはもう発見できなくなる。
だから素直に2007でいい。

2007は一度起動すると同時にaawservice.exeが勝手に常駐されてリソース食うんで
（常駐保護プログラム。無料版では使えない機能）
コントロールパネル→管理ツール→サービス　で
AD-Awareの部分のプロパティを開いて手動にすべし。（無効にすると起動しなくなるからダメ。同じ理由でmsconfigのAD-Aware項目も切ってはいけない）

474 ：（○口○*）さん sage ： 2008/02/01(金) 06:17 ID:4lGejfkh0

糞アスキーは日本語パッチ潰しただけでそのあと音沙汰ないとか糞過ぎるよな

475 ：（○口○*）さん sage ： 2008/02/01(金) 07:40 ID:ykF3yOSs0

私もカスペに乗り換えた途端重くなって困っていた一人ですが、こちらのスレのおかげで改善できました。
ウェブアンチウイルスのHTTPスキャン切ったら移動が軽くなって、プロアクティブディフェンス切るとスキル使用も大分ましになりました。
Core2Duoなのにプロアクティブディフェンスつけてると、移動しながら矢を持ち替えただけでガクガクに・・・

こちらでヒントくれた方々サンクス。

476 ：（○口○*）さん ： 2008/02/01(金) 23:25 ID:0JRiUCEW0

HTTPスキャンとプロアクティブを切った場合
どんな危険性があるかわかりますか？とりあえず切ってみましたが・・・

477 ：（○口○*）さん sage ： 2008/02/01(金) 23:26 ID:O+lr35/z0

> 肝心のSEは先月12月に更新配信を終了した。
> よって新しいスパイウェアはもう発見できなくなる。

SEの定義ファイルは、ここからダウンロードできる。
http://www.lavasoft.com/support/securitycenter/blog/
が、それもいつまで続くか分からないので、Spybot辺りに乗り換えるのが良いかもしれない。

SE1.05はまだオンラインアップデート出来るみたいだね。
日本語パッチもあった筈なので、持ってる人は大事に使い続けてください。

478 ：（○口○*）さん sage ： 2008/02/01(金) 23:31 ID:4lGejfkh0

危険性と言うほどのことはない、＋が0になるだけで−と考えれば
とかなり適当なことを言ってみる

479 ：（○口○*）さん sage ： 2008/02/02(土) 00:07 ID:CKxgIRus0

最近私のブログにこんなURLが張られるようになりました

ttp://op■8e8a？■？？？/GO48M/

ソースチェッカーやagusaでも検索したんですがサイトとしては存在していないみたいです
自分にこのようなアドレスを調べれる知識も環境もないのでこちらで質問させていただきました
分かる方がいらっしゃいましたらご教授願います

480 ：（○口○*）さん sage ： 2008/02/02(土) 00:11 ID:Zw8dUP3Z0

>>479
そりゃ、記載が間違ってなければ、アドレスとして成立しないしな。全角の？混じりなんて。

481 ：（○口○*）さん sage ： 2008/02/02(土) 00:12 ID:CKxgIRus0

文字化けしてしまってる・・・OTL

http://op.8e＆＃ｘ３８；＆＃ｘ６１；＆＃１０１；■＆＃１１０；＆＃１０１；＆＃１１６；＆＃ｘ２ｆ；/GO48M/

文字化けしてたところだけ全角にしてみました

482 ：（○口○*）さん sage ： 2008/02/02(土) 00:42 ID:VuRRTYkn0

>>481
とほほのWWW入門より
ttp://www.tohoho-web.com/html/char.htm
ttp://www.tohoho-web.com/lng/200002/00020303.htm

「&#」と「;」の間はアスキーコードで10進数表記すれば、HTML上では
文字として表示されるらしいです、「&#x」として16進で出来るかは不明
>>481の例だと、「 op■8e8aen■net//GO48M/ 」になるのかな
もうちょっと調べてみます

483 ：（○口○*）さん sage ： 2008/02/02(土) 01:14 ID:+ugIhxkX0

AsciiじゃなくてUnicodeだけどね。
数値文字参照でURL貼るなんて、悪意があるに決まってる。

484 ：（○口○*）さん sage ： 2008/02/02(土) 01:21 ID:RFrq/xYd0

今の時点だとアダルトサイトに転送されるね。
ソースチェッカーは
※このアドレスはワンクリック詐欺サイトのひとつです。
と言ってる。
危険なスクリプトは無さそうだけど怪しすぎ。

485 ：（○口○*）さん sage ： 2008/02/02(土) 01:30 ID:VuRRTYkn0

したらばの掲示板を利用している場合、上記の書き込み方法で
禁止ワードに指定されている文字列も書き込めるので注意が必要です

486 ：481 sage ： 2008/02/02(土) 01:30 ID:CKxgIRus0

>>482〜484
感謝です
あの訳の分からない文字列にそんなのが・・・
どーも携帯から投稿してるのでブログ設定のアク禁にするのが無理っぽい・・・

487 ：（○口○*）さん sage ： 2008/02/02(土) 02:44 ID:HdxPyWWw0

携帯・・・。
日本の携帯なら個人特定したようなものだよな。

488 ：（○口○*）さん sage ： 2008/02/02(土) 02:56 ID:VuRRTYkn0

>>481
少しURLを間違えてるかも
ttp://op■8e＆＃ｘ３８；＆＃ｘ６１；■＆＃１１０；＆＃１０１；＆＃１１６；/GO48M/
だったりしないかな？

これだと、8e8ae■net という、アダルト系サイトになると思う
ただ、iframeが用いられていたり、少々怪しいサイトではあります

489 ：481 sage ： 2008/02/02(土) 05:31 ID:CKxgIRus0

それに似たようなのがこのアドレス含み3種ほど張られていました
嫌がらせの意味を込めてであればその携帯のメアド（受信で自動記録される）がわかりますが・・・
こっちからそういう人間にメールを送りたくないのが本音ですね
機種はドコモってことだけ報告です

というか携帯からこういうアドレスを張るっていうバイトでもあるんですかね？（やたら張られるので）

490 ：（○口○*）さん sage ： 2008/02/02(土) 07:38 ID:eoYqm6RV0

アダルト系spamは、携帯からのみ投稿できるサイトにも投稿できるように、移動機から送信していることも珍しくない。
この手のは、人海戦術で行っている場合と、リスト作成PC等から事前準備を行ったものを、携帯メールに転送してたたき台にしている
場合などが考えられる。
バイトで賄っている可能性も否定できない。一時期出会い系サクラ募集が求人誌面を賑わせていたように。簡単な入力バイト等と
表現して人手を集めていた模様。

spamは原則、キャリアへの通報に限る。
文面をそのまま、情報提供アドレスに転送すればよい。リモートホスト情報も添えて。
ttp://www.nttdocomo.co.jp/info/spam_mail/if/index05.html (ドコモの案内ページ)
ttp://www.ne.jp/asahi/makoto88/angel/love017-tsuhou.htm (解説サイト。ページ内の参考リンクは古いが)

491 ：（○口○*）さん sage ： 2008/02/02(土) 08:53 ID:Zw8dUP3Z0

不正使用の携帯の可能性もあるけどな。

送信元IPが割れているなら、そこの管理者宛に苦情を出すこともできる。
IPの所有者をwhoisで検索して、
　技術連絡担当者
　技術管理者
　Technical-Contact
　Tech-C
　Tech-Email
というのを探します。この、Tech-Emailが連絡先になります。

492 ：（○口○*）さん sage ： 2008/02/02(土) 08:55 ID:Zw8dUP3Z0

私が、掲示板へのspam投稿をされた時の苦情送信テンプレを参考に紹介しておきましょう。
「私の管理するＢＢＳに対し〜」を「私の管理するBlogに対し〜」にすればいいかと。
対処依頼メールの送信先は、>>491の探し方で。

Subject:御社を利用したspam送信対処依頼

>担当者の方へ
>
>　こんにちは、私は****(自分の本名)****というものです。
>　このたび
> < >
>を名乗る人物が、御社の関係するサーバを、中継サーバ、送信サーバ、
>あるいはダイアルアップ接続等に悪用し、私の管理するＢＢＳに対し
>「一方的迷惑広告」（spam）書き込みが行われました。
>
>記録されたＩＰを見ると、「」であり、御社管理下のものです。
>
>　各種の情報から、この送信者は不当にかき集めた不特定多数の掲示板に
>対して送信しているものと考えられ、同様な多数のアダルトサイト宣伝
>投稿により私はとても迷惑しております。IP弾きや、NGワードなどにより
>制限を行なってはおりますが、このような業者を放置するべきでないという点は、
>ここでこれ以上言う必要がないと信じます。
>
>　私のメールアドレス等の個人情報をspam送信者に開示すること、
>spam問題解決の為「以外」に用いることはお避け下さい。
>
>　もし貴社が対策をするつもりがあるのなら「定型文でも」「遅れても」
>構いませんので、御返事頂けると有り難く思います。
>
>　ではお願いいたします。
>
>---掲示板のアクセスログ---
>
>---掲示板の書き込み内容---
>
>---掲示板のアドレス---
>

493 ：（○口○*）さん sage ： 2008/02/02(土) 09:43 ID:H2rjnMbWO

物質スレの>>670は安全？

494 ：（○口○*）さん sage ： 2008/02/02(土) 09:55 ID:2g8WJ6Zv0

もう元に戻ってるよ
ただ開いても真っ白だった時は安全だったのかどうか知らん

495 ：（○口○*）さん sage ： 2008/02/02(土) 10:15 ID:qPwFoSsW0

>>493
>>7
しかも何処のスレだかわからね…

496 ：（○口○*）さん sage ： 2008/02/02(土) 11:49 ID:JxeweO/I0

物質　×ぶっしつ　○物凄い勢いで誰かが質問に答えるスレ

497 ：（○口○*）さん sage ： 2008/02/02(土) 12:20 ID:02i3ZLIC0

そこは時々調子悪くなるからさっぱりわからん。

498 ：（○口○*）さん sage ： 2008/02/02(土) 12:52 ID:qPwFoSsW0

>>496
説明ありがとさ〜

499 ：（○口○*）さん sage ： 2008/02/04(月) 09:03 ID:V/SheAzs0

リネージュ資料室の日記より。
ttp://lineage.nyx.bne.jp/diary/20080130.html
>で、中国の人にそのページを見てもらって内容を大雑把に英訳してくれたようで、今日その結果を送ってくれました。いわく
>「当方、高性能なトロイの木馬を所有。この個人サイト（うちのこと）に侵入してトロイを仕掛けてくれる協力者を募集します。
>ゲームのアカウント情報を得て、現金収入にしませんか」。 ……。やはり…。だけどさー。どうしてうちのサイト名指しなのよ。はぁ…。

個々のユーザー狙いもそろそろ分が悪くなってきたのだろうか、対策サイトなどにスピア狙いにシフトしつつある傾向が見え隠れする。
PC環境のセキュリティ整備も重要だが、情報発信手段を持ち合わせているユーザーは、そちらの警戒も抜かり無く。

500 ：（○口○*）さん sage ： 2008/02/04(月) 09:34 ID:yYCb85Cz0

リネージュ資料室の更新チェック→検体提出 で結構な数の新型に対応して貰ったからなぁ。
あそこを潰せばセキュリティソフトの対応速度が落ちるという判断は間違ってないかも。
頑張れ、リネージュ資料室の中の人。

最近の報告も、誘導される先は同じものだし、業者サイトの更新頻度は鈍っている模様。

501 ：（○口○*）さん sage ： 2008/02/04(月) 09:39 ID:PwOrLHkU0

すげぇな・・・寄生虫もここまで進化すると本当に存在自体が害だな。

502 ：（○口○*）さん sage ： 2008/02/04(月) 16:22 ID:In49zrb40

某国のギョーザ工場で働いてる人の月収は日本円にすると1万5千円だそうだ
垢ハク→RMTがいかに莫大な収入になるのかよくわかるな('A`)

503 ：（○口○*）さん sage ： 2008/02/04(月) 17:05 ID:HkWBQZFp0

資料室さんの所は、言わば各種ネトゲの垢ハック対策の総本山的扱い。
単に中華から敵視されてるだけって気もするけど、負けないで欲しいな。

しかし個人サイトやWikiで、こうやって狙われた場合の対策って、何があるんだろうか？

・サイトのPASSを定期的に変更する
・htaccess使って中韓台からのアクセスを拒否する(他を踏み台にされると無力だけど)
他に何か有効な対策ってある？

Wikiで改竄防止なら(pukiwikiだと)spam.iniの導入などいくつかあるけど、サイトそのものを
対象とした攻撃については、レン鯖使用の管理人レベルではどうしようもないのかねぇ？

504 ：（○口○*）さん sage ： 2008/02/04(月) 17:15 ID:thCkGYEl0

>>499
発想としてはセキュリティソフト無効化の延長だな。

505 ：（○口○*）さん sage ： 2008/02/04(月) 21:49 ID:zNo4l5XyO

最近はニコニコ動画も危ないらしいんだけど
どう危ないんだ…？

506 ：（○口○*）さん sage ： 2008/02/04(月) 21:50 ID:sS7vU3Db0

「らしい」「友達に聞いた」
これらの方がよっぽど危険だよ

507 ：（○口○*）さん sage ： 2008/02/04(月) 22:52 ID:eZsykleE0

誰でも書き込むことが出来るなら危険度は大差ない

508 ：（○口○*）さん sage ： 2008/02/05(火) 00:55 ID:yodlLaea0

リネージュ資料室と言えば、あそこのドメインを提供しているjspeed、
DDNSの提供はとっくの昔に中止してるよね。
突然接続出来なくなるとか、ドメイン変更先が分からないなんてことも
今後ありうると思う。

みんなその辺の対策はしてる？

509 ：（○口○*）さん sage ： 2008/02/05(火) 01:05 ID:4d96vFXo0

>管理人日記 2008/02/01 (Fri) タダほど高いモノ

を読んでおこう

510 ：（○口○*）さん sage ： 2008/02/05(火) 02:03 ID:wfgr4qOG0

>>505
MMO関連の動画の頭にアカハクサイトのURLはってくやつがいる。
NGIDにいれておけばきれいに全部消えるから張ってるのは少数の模様。

511 ：（○口○*）さん sage ： 2008/02/05(火) 11:10 ID:fW734EPt0

バレンタインデー関連のウイルスに注意、トレンドマイクロが警告
http://internet.watch.impress.co.jp/cda/news/2008/02/04/18343.html

512 ：（○口○*）さん sage ： 2008/02/05(火) 13:29 ID:z9+QHcPp0

この前プロで露店巡り中にAFKてたらいつのまにか同一セルに中華が湧いてて
ハック露店を立ててた。なんとなく邪魔してやろうという気になって露店を重ねてみる。
しかし最初にその座標にいたのはこちらだが、先に露店立てたのは中華。はてどちらが優先だろうか。
早速別PCで確認しに行ってみた。すると優先されてたのは見事にこちらの露店。ハック露店は完全に隠れてた。

そんだけ。

513 ：（○口○*）さん sage ： 2008/02/05(火) 15:26 ID:TVWD8cSF0

もう一度画面外へ移動して再度見てみろ

514 ：（○口○*）さん sage ： 2008/02/05(火) 15:34 ID:GDb0v5hW0

先ほど垢ハックらしきものを踏んでしまったのでPCリカバリーしたのですが、HDDのフォーマットしてからと書いてあるのを見ないでしてしまい、リカバリーしてからしようと思い、フォーマットしようとしたのですが、Cがフォーマットできません＞＜
HDDフォーマットしないとやはり危ないのでしょうか？
別PCからパスやIDは変更済みです。
HDDフォーマットの仕方を色々調べてやってみたのですが、できません；；
分かる方いらっしゃったらご教授お願い致します＞＜

515 ：（○口○*）さん sage ： 2008/02/05(火) 15:40 ID:e1LA5hNH0

以前は先に開いた窓が優先されてたけど今はどうなんだろう

516 ：（○口○*）さん sage ： 2008/02/05(火) 15:53 ID:n9Zg3Vgt0

だから座標進入時間優先という話だろう

517 ：（○口○*）さん sage ： 2008/02/05(火) 16:50 ID:fW734EPt0

>>514
メーカー製PCのリカバリ（専用ディスクかHDD内のイメージから）であれば、問題無い。
OS再インストールであれば、OS以外の部分に残っていて後で発動させてしまう可能性が残る。

518 ：（○口○*）さん sage ： 2008/02/05(火) 16:52 ID:fW734EPt0

>>516
サーバーから来る順序が先入れ先出しになっているとは限らない。
別PCから自分が上に見えていたとしても、他のPCからは逆の場合もありうる。

まぁ1/2の確率かそれ以上かはわからないが、BOTの露店が見えない人もいる状態にしてやったと
いうことなんだろう。

519 ：514 sage ： 2008/02/05(火) 17:01 ID:GDb0v5hW0

>>517様
メーカー製のリカバリディスクからやりました。
問題ないとのこと、ほっとしました。
本当にありがとうございました。
これから踏まないように気をつけたいと思います。
素早い返信本当にありがとうございました。

520 ：（○口○*）さん sage ： 2008/02/05(火) 17:11 ID:nl4uOIrr0

>>518
ROの露店看板の表示は元々早い者順だぞ（縦移動の場合）
それを踏まえた上での同じ座標の場合の報告だろ

521 ：（○口○*）さん ： 2008/02/06(水) 09:50 ID:3pRT8/ZF0

アカハクスレから指摘されて来ました
焦っていてスレ間違えてしまったorz

ROクライアント起動時の画面が「取り消されたアクション」になって
表示されないんだが、これはウィルスと関係あるのだろうか。
ただ、重いだけで表示がされないだけなのか・・・
皆さん、起動時の画面は表示されてますか？

522 ：（○口○*）さん sage ： 2008/02/06(水) 09:54 ID:P9V+tKOI0

今、パッチ鯖が落ちてるみたいだよ

523 ：（○口○*）さん ： 2008/02/06(水) 09:55 ID:3pRT8/ZF0

そうでしたか！
ありがとうございます・・・！

524 ：（○口○*）さん sage ： 2008/02/06(水) 09:57 ID:enAeSJNh0

>521
蜂鯖が不調っぽくて、告知がDL出来てないだけと思われ。
鯖落ちスレでも同様の報告が上がってるから、「多分」ハクとは関係ない。

スレタイ：鯖落ち状況報告スレッド〜その82
ttp://gemma.mmobbs.com/test/read.cgi/ragnarok/1201257408/l50

525 ：（○口○*）さん sage ： 2008/02/06(水) 09:59 ID:P9V+tKOI0

直ったみたい

526 ：（○口○*）さん sage ： 2008/02/06(水) 10:41 ID:IZilJO5s0

======================[ 2008-02-06 ]======================
[ パッチサーバ接続障害に関して ]

2月6日(水) 8：30頃より、
一部のお客様においてパッチのダウンロードができない障害が
発生していることを確認いたしました。

そのため現在、
復旧の為の作業を行わせていただいております。
復旧作業が完了いたしましたら、
改めてご案内させていただきます。

ユーザーの皆様に
ご迷惑をお掛けいたしました事をお詫び申し上げます。

527 ：（○口○*）さん sage ： 2008/02/06(水) 18:47 ID:qh9MtezY0

すみません、質問させていただきたいのですが、
兄が買ったPCにPGを導入しようと思ったのですが、OSがVistaでした。
リネージュ資料室さんの方で紹介されているPG2は対応OSにVistaの文字が無いのですが、
Vista対応のPG2というものはあるのでしょうか？
宜しくお願いします。

528 ：（○口○*）さん sage ： 2008/02/06(水) 19:38 ID:enAeSJNh0

公式で配布されてるものはVistaでは動かない。
Vista対応版は今開発中で、RC1（RCというよりかは人柱版な気がするが）なら一応出てる。

自分はVista使ってないのでRC1版も入れてない。
なので実際の動作/安定性は不明。
過去スレでもRC版を使ってるって人は居なかった気がする。

公式からリリースの発表が出るまでは、Vistaでの動作は諦めた方がいいかも。

529 ：（○口○*）さん sage ： 2008/02/06(水) 19:41 ID:qh9MtezY0

なるほど、厳しそうですね。ありがとうございました。
もうPG2無いと全裸で戦場歩くような気分だ…

530 ：（○口○*）さん sage ： 2008/02/06(水) 19:48 ID:fAYCy1e00

PG2あっても中継局通した鯖からやられるとダメだし
まぁ、無いよりはマシって程度。

無くても下手なリンク踏まないよう常に心がけていればまず感染はしない
リンク見る時は周囲の反応を見るのと
必ずソースチェッカーやaguseで見るのを忘れずに。
あと疲れている時＆酒飲んだ時は無理にPC触らない事だｗ
そういう時はうっかりクリックしがちだからな

531 ：（○口○*）さん ： 2008/02/07(木) 02:28 ID:wByMf1PF0

さきほどPCをスキャンしたら「sys keylogger pro」というキーロガーが検出されました。
隔離はしたんですが・・・。
不安なのでこのキーロガーについて詳しく教えて下さい。
今までログインする時に使っていたパスワードなどは変えた方がいいのでしょうか？

532 ：（○口○*）さん sage ： 2008/02/07(木) 03:05 ID:A2dIG85b0

>>531
検知したセキュリティソフトによって、名称が異なるので、その辺の情報も書いてくれると嬉しいな。
>>4のテンプレを利用してみてくれ。

キーロガーは、キーボードからの入力をかっさらう（もしくは、それと類似の動作をする）ものの名称。
パスワードを盗みだすものなのか、IMEのように横取りして、他のタスクに戻すものなのかは
わからない。カスペのプロアクティブディフェンスで、Keyloggerのダイアログが出た場合のように
正当なソフトのふるまいがキーロガーと似ていた為に検知しただけで、安全なものである可能性もある。

検知されたファイルがどこのなんていうファイルで、誤認ではないのかどうかも判断のしようがない。
パスワード変更の必要性も、何を対象とした危険アプリで、なにを変えないといけないかは判断できない。

詳細がわからない場合、1CD Lunuxのブラウザなどの安全な環境からパスワードを変更し、
該当PCはリカバリかOS入れなおし（必要なデータのバックアップは忘れずに）することを推奨。


「sys keylogger pro」でぐぐってみると、子供がどんなことをしたのか記録しておいて確認するとか
そんな説明文のソフトが出てきました。ユーザ名やパスワードもばっちり記録するぽいです。

テンプレを埋めて貰っても、大したことはわからない可能性は高いですが、
・危険かどうかの判断はできない
・いつどこで入手したかがわからない
という状況ですので、「安全な環境」から「すべてのパスワード類」を変更するのが安心でしょう。
安全なファイルの誤検知であった場合でも、パスワードを変更して自分が困ることはないですし。

533 ：（○口○*）さん ： 2008/02/07(木) 04:22 ID:wByMf1PF0

>>532
ごめんなさい、あまりに驚いて焦っていたのでログも見ずに書き込んでしまいました；
そうですね。とりあえずパスワード類は全て変えようと思います。


【　 　 　 気付いた日時　 　 　 　 　 】 (２月６日)
【不審なアドレスのクリックの有無　】 (無)
【　　アドレス 　 】
【　 　　 OS　 　 】(Windows Vista Home Basic)
【使用ブラウザ 】( IE7.0 Grani)
【WindowsUpdateの有無】 (有 最終更新日：２月７日)
【　アンチウイルスソフト 】 (スパイスウィーパー　ウィルス対策付き)
【その他のSecurty対策 】 (スパイスウィーパー)
【 ウイルススキャン結果】 (スパイスウィーパースキャンで sys keylogger pro　検出)
【テンプレの参考サイトを読んだか】 (Yes)
【hosts変更】(無)
【PeerGuardian2導入】(無)
【説明】
PCをスパイスウィーパーでスキャンしたところ、とてもリスクランキングの高いキーロガーが検出されたので隔離をしました。
名前は「sys keylogger pro」で、カテゴリは「System Monitor」と書いてあります。
前回スキャンしたとき（二週間以上前）は検出されませんでした。

機械には疎い方なので、詳細が分からない場合は自分で色々いじるよりお店に行って診てもらった方がいいのでしょうか。

534 ：（○口○*）さん sage ： 2008/02/07(木) 05:37 ID:A2dIG85b0

最近検出された理由は複数考えられる
　・最近感染したので検知した
　・前から感染していたが、最近パターンの更新で検知できるようになった
　・パターン更新した際の誤検知が発生した
どれかは、判定できない。

スキャンし、除去した後に、再検知されないのでクリーンになったと信じてそのまま使う
（パスワードは変更する）という手段もありですが、他にナニが潜んでいるかわかりませんので
他社のウィルススキャンも併用する必要がありますし、それでも完全という保証はできません。

確実に安全な環境にする為には、「PCメーカーの付属してきたディスクorHDD内のイメージからのリカバリ」
「Windowsの再インストール」のどちらでもいいです。

>機械には疎い方なので、詳細が分からない場合は自分で色々いじるよりお店に行って診てもらった方がいいのでしょうか。
いや、これは、自分でやるべき内容です。

どうしても判らない場合は、メーカーに送ってリカバリしてくれと言えばやってくれますが、
無駄にお金を取られるだけですし、これはやって覚える性質のものでもあります。

リカバリの方法はマニュアルに書いてあると思いますので、それを見ながらその通りにやってみてください。
やってみて、再起不能になったと思った時にはメーカーに送り返しましょう。

ワードやエクセルで作った文書、メールの内容やブラウザのお気に入りなども消えてしまうので、
バックアップを取らなければならないことだけは忘れないように。ROのSSなども消えますし、
インストール用のクライアントも消えてしまいますので、再度ダウンロードするか、DVD等に保存して
おくとよいでしょう。

再インストールしたら、WindowsUpdateの実行とセキュリティソフトの再導入を忘れずに

535 ：（○口○*）さん sage ： 2008/02/07(木) 09:10 ID:lknxWuIb0

BOTnews Light (ボットニュース ライト)
ttp://yaplog.jp/kyorocyan
これ垢ハックか教えてくれ　えろいひと

536 ：（○口○*）さん sage ： 2008/02/07(木) 09:28 ID:7fu7f2x70

>>535
>>1

537 ：（○口○*）さん sage ： 2008/02/07(木) 09:34 ID:lknxWuIb0

ふぁびょったすまんこ

538 ：（○口○*）さん sage ： 2008/02/07(木) 10:56 ID:ylRl3V6t0

ファビョったって意味も解ってない気がする。
とりあえずURL鑑定は2chに該当スレがあるのでそっちに任せとる。

539 ：（○口○*）さん sage ： 2008/02/07(木) 12:47 ID:JHTidzWH0

2chの方で鑑定してもらって
もし有害なら2chで聞いた事を述べた上でここにリンクにならないように貼り、
ここは既出サイトなのか、どんなウイルスに感染するか聞く程度ならいいんじゃね

最初からここは有害ですか？だと無視されるか>>1嫁って言われて以後スルーだな

540 ：（○口○*）さん sage ： 2008/02/07(木) 13:29 ID:IG6agcuU0

日本語も礼儀もわからいやつは最初から無視で良いと思うよ

541 ：（○口○*）さん sage ： 2008/02/07(木) 13:29 ID:IG6agcuU0

な、が抜けてるし、俺も日本語わかってない／(＾o＾)＼

542 ：（○口○*）さん sage ： 2008/02/07(木) 14:46 ID:JCHLlxCB0

>>総合スレ397,398
OS再インストールが不可能な環境で使い続けるって、どれだけリスキーな事か本当に理解して/できているのだろうか。
リスクはアカハックだけではない。
物理/論理的にOSがダメージを受ける事もあるだろうし、つい最近も、HDDフォーマット狙いのマルウェアが流行したばかりだ。

543 ：（○口○*）さん sage ： 2008/02/07(木) 15:08 ID:x+uRb0YY0

当人が被害受けるだけならいいんだけどゾンビPC化なんてこともありうるからなあ…

544 ：（○口○*）さん sage ： 2008/02/07(木) 15:40 ID:6y+y8VAP0

teamerblog踏んじまった
AVSさんが警告出してたから防げたと信じたいが･･･
とりあえず今カスペル中

問題は今絶賛ログイン中なんだよな。
とりあえず資産を別垢に非難させておくか・・・

545 ：（○口○*）さん ： 2008/02/07(木) 15:46 ID:wByMf1PF0

>>534
分かりました、自分でなんとか頑張ってみます。
丁寧に教えて下さって本当にありがとうございました。

546 ：（○口○*）さん sage ： 2008/02/07(木) 15:53 ID:t//imlYK0

今までURLクリック→ブロックとか、
スキャン→検知→削除したのにハックされた事例ってあった？

547 ：（○口○*）さん sage ： 2008/02/07(木) 15:56 ID:ylRl3V6t0

気付いた人は相談しに来てフォーマットやリカバリしているのでサッパリ。
ただ検知抜ける新型報告は多数あるんで、
対応前のや検知できないの混じってりゃアウトなんじゃないかね。

548 ：（○口○*）さん sage ： 2008/02/07(木) 16:06 ID:c2MAhYQv0

AdobeReader8.1.2、およびQuickTime7.4.1+iTunes7.6が出ているので
踏みたくない人は更新しましょう。RealPlayerは絶賛放置中。

549 ：（○口○*）さん sage ： 2008/02/07(木) 16:16 ID:0r7ir13cO

>>548
それらソフトの更新とアカハックウィルスの関連性を
無知な自分に教えてもらえないだろうか。
ウィルスソフトやwindows updateの更新が必要なのは分かるんだが…。

550 ：（○口○*）さん sage ： 2008/02/07(木) 16:19 ID:x+uRb0YY0

垢ハクに無関係なら他のソフトの脆弱性を放置してもかまわないってものじゃなかろ。
この二つは利用者がかなり多いし。

ttp://itpro.nikkeibp.co.jp/article/NEWS/20080207/293238/
ttp://internet.watch.impress.co.jp/cda/news/2008/02/07/18384.html

551 ：（○口○*）さん sage ： 2008/02/07(木) 16:32 ID:GdCvdeec0

>549
>ウィルスソフトやwindows updateの更新が必要なのは分かるんだが…。
一言で言えば、WindowsUpdateを行うのと同じ理由。
WUする理由が判ってるなら、言うまでもない事だと思うけど。


脆弱性はどんなウィルスが使うのか判らない。
既知の垢ハクのトロイの中にその２種の脆弱性を利用するものが「今」存在しなくても
「今後」出てくる可能性は十分ある。

Aniカーソルの脆弱性(これはOS側だが)が広まった途端、垢ハクにも利用されただろ。
それと同じパターンが発生しないとは誰にも言えない。

ついでに言えば、未だにその手法で罠をばら撒き、さらに被害者が出てるぐらい。
別種の脆弱性を突くタイプで作成されたら、どれだけ被害者が出ることやら。

AdobeReaderやらの更新を行うのも行わないのも、その人の自由。
でも被害に合ってからでは遅いし、加害者に転じてしまってからでも遅い。

552 ：（○口○*）さん sage ： 2008/02/07(木) 16:41 ID:x+uRb0YY0

>>550のリンク先はそれぞれAdobeReaderとQuickTimeの今回のアップデート・脆弱性に関する記事だ。
注意書き書くのをすっかり忘れてた。すまん。

553 ：総合スレ397 sage ： 2008/02/07(木) 16:58 ID:/VVr66rz0

>>542
そうはいうがな…、閉鎖環境で100台200台並列で動かしてる所とか、
OS再インスコとかなると億単位の予算が必要な場所もあるんだよ…。

外からそんな場所にUSB突っ込むな？ごもっとも。
でも外部からのファイル移動も必要で出来無いと作業やってられない。
ブレーキの無いバイクでフルスロットルで山道走ってるような気分だぜ。
,､'`,､(ﾉ∀`)'`,､'`

554 ：（○口○*）さん sage ： 2008/02/07(木) 17:03 ID:JCHLlxCB0

RealPlayerをターゲットにしたと思われる、アカハックリンクは既出。
詳細は対策スレ↓を参照。
ttp://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/352-354

QuickTimeが問題視され易いのは、デフォルト設定でインストールした場合、多くのメディアファイルをQT Playerに関連付ける
行儀、作法の悪さ。
各種フォーマットに偽装したトロイを、数撃ちゃ当たる的にばら撒かれた場合、どうしても引っ掛かり易くなる訳で。

AdobeReaderは、PDF形式が事実上、Web上での公式文書類の掲載・頒布でのデファクトスタンダードとなっていること。
官公庁や企業等が多用している為、偽サイトやサイトクラックで標的にされた場合、インストールしているユーザーが多いことから
被害が拡大し易い。

555 ：（○口○*）さん sage ： 2008/02/07(木) 18:52 ID:t//imlYK0

>>2にあるサイト参考にPeerGuardian2入れてみたら
Lineageトロイって説明のファイルに載ってるIPへの送信がブロックされまくってる
これやばい？
スキャンでは未検知だったんだが

556 ：（○口○*）さん sage ： 2008/02/07(木) 18:53 ID:GdCvdeec0

>553
いや、どう考えても始末書ものの騒ぎなんだが、それ。

USBメモリからの感染だとしても

・情報漏洩を鑑みて、外部メディアは禁止
・外部メディアを使う場合でも私物は禁止
・社用の媒体を使用する場合は中身がブランクである事を確認してから使用し
　使用後はメディアをクリアして返却
・第三者(管理者)がその手のチェックを行う
・プログラム・データ等を持ち込む際は、ウィルスチェックは実施済み

最低限これぐらいは求められてしかるべきなわけで。

そういう事態が起きるという事は、逆に言えば情報漏洩に繋がる可能性が大。
コピったUSBメモリの内容がnyみたいな所に流れた日には、上長含めて
何人もクビが飛ぶし。

俺はそんなヘマはしねぇよ！と言いたくなるだろうが、別の人間がやらかす恐れもある。
そもそも、そういう事が起きないならUSBメモリ経由で閉鎖環境へのウィルス騒ぎも
起きないわけで。

環境含めていろいろ問題ありそうだから、気をつけたほうがいいと思う。

557 ：（○口○*）さん sage ： 2008/02/07(木) 18:57 ID:GdCvdeec0

>555
ブロックされてるIPを調べるしかない。
昔罠IPだったけど、今は所有者が別で安全な所なのかもしれないし。

で、PG2が反応するのはどのタイミング？
ブラウザも立ち上げてないのに反応しまくりとか、RO起動すると反応しまくりとかだと
感染してる可能性はある。

取り合えずヤバそうな雰囲気を醸し出してるので、カスペのオンラインスキャンとか
複数でチェックするがよろし。

558 ：（○口○*）さん sage ： 2008/02/07(木) 20:13 ID:EMWyUCyj0

>>555
Googleで画像検索した時なんかによく反応する
対象のドメインが失効してる可能性もある
用心に越したことはないけどね

559 ：総合スレ397 sage ： 2008/02/07(木) 20:49 ID:YG8Mdo4Y0

いい加減スレチなりそうなんでラスト

当然持ち込んだ人はこの後説教とか色々あると思う。
ないなら尻拭いした俺がやってられねぇ。
MMOのMも知らない人が韓MMO専用アカハックウイルス持ち込むとか皮肉な話。

経路は音編集所（MA）から来たUSBHDD。
常時外部からの素材を扱わなければいけないので持ち込み禁止もできず。
かといって実害ないからいいよね〜とかアフォ花咲かせる訳にもいかず。
必死で情報収集とレジストリにらめっこの３日間でした。
ノウハウ出来たんで経路元に売りつけてやる…。

セキュリティ専用のマシン（ノートン+カスペル）もあるけど、
今回はそいつが検知せず素通りさせたのがそもそもの問題。

個人的に常時隠しファイルを表示してたのが、
「強制的に隠しファイル不可視化」された為発見できた訳でして。
これが自分だけ不可視にする奴とか
ゲームのアカハックとか平和的なのでなく攻撃的な奴だと終了フラグだった。

複数エンジンつかっててもダメなときはダメって見本で板に書いた訳です。
家庭用PCはインスコ速攻しなおす事をお勧めする、そっちのがよっぽど楽で早い。
大丈夫、最初は誰でも初心者だ、一回やれば痛くない。

俺は家でROやっててカスペルだから青くなって再チェックしたぜｗｗｗ

560 ：（○口○*）さん sage ： 2008/02/07(木) 20:59 ID:/WD69H1ZO

既出だったらすまん

【　 　 　 気付いた日時　 　 　 　 　 】 ついさっき
【不審なアドレスのクリックの有無　】 http://hack■tv
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【 　 　ツールの使用の有無　 　 　 】
【　 ネットカフェの利用の有無　 　　】 No
【　 　　 OS　 　 】 WindowsXPSP2
【使用ブラウザ 】 スレイプニル最新版
【WindowsUpdateの有無】 先週末
【　アンチウイルスソフト 】 NortonInternetSecurity2008
【その他のSecurty対策 】なし
【 ウイルススキャン結果】 カスペルスキーオンラインスキャンでトロイの木馬 Trojan-Downloader.HTML.IFrame.de発見
【スレログやテンプレを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
【Webヘルプデスクへの報告】無
【説明】
未実装wikiの上部のリンクをうっかりクリック
アドレスがあからさまなのでチェックしたらひっかかりました
OS再セットアップ中につき携帯から失礼します

561 ：（○口○*）さん sage ： 2008/02/07(木) 21:12 ID:CuOKqVMD0

>>560
そのアドレスはPukiWikiのConvert_Cacheという負荷低減化改造を配布している
サイト。但し、ドメイン失効により、配布場所(http://puki.0hit.net/)には行けず。

要するに、そのアドレス自体は無害なものの、既にあなたはよそのどこかで
Trojan-Downloader.HTML.IFrame.deを踏んでいます。手遅れかもしれませんし、
未然に防げているのかもしれません(WindowsUpdateで何とかなっているかも
しれないし、Nortonがスルーしたかもしれないし、RealPlayerとかはUpdate
していたか報告じゃ分からないから、そこを突かれたかも知れない)。その辺は
判断がつかないのでヤバイと思うならPass変更とOS入れなおしをどうぞ。

報告テンプレにAdobeReaderとかRealとかQuickTime等の奴も入れるほうがいいかな、と
思った。

562 ：（○口○*）さん sage ： 2008/02/07(木) 21:15 ID:IG6agcuU0

RealPlayerが「バッドウェア」認定
http://www.itmedia.co.jp/news/articles/0802/04/news012.html

放置の上にこういう認定もされてるからしばらくはインストールしない方が良いね

563 ：（○口○*）さん sage ： 2008/02/07(木) 21:21 ID:/WD69H1ZO

すまんスレ自体まちがえた
どこで踏んだか不明なのは怖いな
手遅れでないことを祈りつつスキャン終わったらログインしてみるわ、ありがとう

564 ：（○口○*）さん sage ： 2008/02/07(木) 21:32 ID:A2dIG85b0

>>544
ログイン中に踏んだものは、パスワードもアカウントIDもよみとる方法がないから
その時点では大丈夫だが、ログアウト後、除去前にパスワードとかの入力しちゃだめだぞ。

※ ログイン画面の、ID横のkeepにチェック入っているとアカウントIDだけはレジストリから
　　読み取れる状態になっていることには注意。パスワードとセットでないと意味が無いので
　　ログイン時のみ読み取るとは思うけど保証はできない。

565 ：（○口○*）さん sage ： 2008/02/07(木) 22:12 ID:6y+y8VAP0

>>564
アドバイスthx
その後のスキャンでも特に反応はなかったから多分大丈夫だと思ったんだが、結局リカバリかけた。
丁度最近PCの動きも不安定だったからいい機会だし。

566 ：（○口○*）さん sage ： 2008/02/07(木) 22:45 ID:A2dIG85b0

>>565
リカバリ乙でした。定期的に再インストールしてると、インストール直後が軽いのを実感できるよな。ｗ

567 ：（○口○*）さん sage ： 2008/02/08(金) 00:29 ID:rNbdBS3Z0

暫定まとめにあるお顔様のサイトって何が原因でリスト入りされてるんだ？
mutu■s143■xrea■com
ROのエロ絵サイトだけじゃなかったのかな、気がつくと繋がらなくてしばらく悩んだよ…

568 ：（○口○*）さん sage ： 2008/02/08(金) 01:05 ID:hIzCTsqp0

中華にクラックされたことがあったから

569 ：（○口○*）さん sage ： 2008/02/08(金) 01:09 ID:rNbdBS3Z0

そうだったんだ…、ありがとう

570 ：（○口○*）さん sage ： 2008/02/08(金) 04:26 ID:U5Mwr4WHO

>>560と同じダウンローダーをアカハックスレの398が踏んでて
あっちはカスペでブロックされてるんだよね。
やっぱノートンだめかなぁ…。

571 ：（○口○*）さん sage ： 2008/02/08(金) 07:38 ID:d3NPicfc0

>>568
ぬ、それは何時頃の話なのでしょう？
数日前にサイトが見れないという書き込みを見た事があるのですがその時なのかな？

572 ：（○口○*）さん sage ： 2008/02/08(金) 08:00 ID:rNbdBS3Z0

>>571
某二板なら自分の書き込みです、こっち系と知らずあっちの方が情報あると思ったので

573 ：（○口○*）さん sage ： 2008/02/08(金) 08:06 ID:d3NPicfc0

ええ見事にそこです。
ここにも相談が来てましたが、
当時はアップローダーの方が何たらでそっちばっかりに目が行ってたけど、
host導入してたからみれなかったのですね。

574 ：（○口○*）さん sage ： 2008/02/08(金) 09:59 ID:VH2bRmhS0

>>553,559
リムーバブルデバイスを扱う機会が多いなら、AutoRun関係は原則切るべき。
またいつか、同様のトラブルが起こるとも限らない。

それと、作業環境自体の脆弱性も山盛りに見えるな。
>並列で動かしてる
>億単位の予算
予備機や代替機は無いの? ブートパーティションのGhostイメージくらい作ってないの?
作業環境のリスク管理見積もりが甘杉と言われても仕方がない状況だと思うよ。

そういう職場は、得てして労働環境でも個人に依存し過ぎている事が多い。
誰か欠員が生じたら、瞬く間にﾃﾞｽマーチの足音が聞こえてくるかもしれないね。
一度、そういった部分も含めたセーフティネットのあり方について検討する良い機会だと思うよ。

575 ：（○口○*）さん sage ： 2008/02/08(金) 13:08 ID:yCoEW1e60

>>574
同じ奴なのか知らないけど、どうしても問題化しなきゃ溜飲が下げられないわけ？
ロクに環境も知らない部外者が想像で余所の会社の体制に苦言を呈するとか
大きなお世話にも程があるだろ。

576 ：（○口○*）さん sage ： 2008/02/08(金) 13:23 ID:li85DMnsO

今目の前にPCない＆携帯から書き込み申し訳ありません。
Googleで｢生体萌えスレ wiki｣で検索TOPにでてくるページにアクセスしたのですが、見た目はこの板の生体萌えスレテンプレにあるまとめwikiと似ていますが、TOPからのメニューバー、コメント欄などがURL表記になっていました。
また、テンプレとのURLとも一致せず、あやしいサイトにアクセスしたのではないかと不安になっております。(マカフィは反応なしでしたが…)
具体的なイメージ、対象のURLが出せず、大変申し訳ありませんが、上記URLが安全であるか判断願いますでしょうか？

577 ：（○口○*）さん sage ： 2008/02/08(金) 14:04 ID:gw+5tWYr0

勇気がなくて踏めないURL鑑定スレinMMOBBS
をそろそろ立てた方がいいのかもしれんな

578 ：（○口○*）さん sage ： 2008/02/08(金) 15:54 ID:K1r1ssUR0

link.phpの仕様として、?に続くURLへジャンプするためのページを作成する
というだけのことのような気が。
link.php?http:://www.google.co.jp/でぐぐるへ行くための緩衝ページを作成するみたいな。

>>577
いい加減作るべきかと

579 ：（○口○*）さん sage ： 2008/02/08(金) 15:55 ID:K1r1ssUR0

ちなみに試したら本当にGoogleへジャンプするページが出来てﾜﾛﾀ

580 ：（○口○*）さん sage ： 2008/02/08(金) 17:26 ID:ZGICgOWY0

>>577
テンプレに「鑑定する勇者がいなくても泣かない」とか「本当に鑑定して欲しいなら2chへ」とか
書いといて、2chの鑑定スレへのリンクを更新するだｋ

581 ：（○口○*）さん sage ： 2008/02/08(金) 18:22 ID:dKH8gwGD0

板ごとにあるスレだし、鑑定してやってもいいって奴がいるならこっちに立てとくに越した事はないだろ
俺はしないけど

582 ：（○口○*）さん sage ： 2008/02/08(金) 20:12 ID:9NOjdq6N0

【　 　 　 気付いた日時　 　 　 　 　 】2月5日
【不審なアドレスのクリックの有無　】クリックしました
【　　アドレス 　 】www■teamerblog■com/blog/
【　 　　 OS　 　 】WindowsXP Home SP2
【使用ブラウザ 】Donut Q
【WindowsUpdateの有無】 自動更新
【　アンチウイルスソフト 】 NortonInternetSecurity2007
【その他のSecurty対策 】 Spybot S&D1.5.2　Ad-Aware2007
【 ウイルススキャン結果】 クリックした時にNortonがDownloaderを検出して遮断
その後セーフモードでNortonでスキャン→検出なし
カスペのオンラインスキャンで「マイコンピュータ」をスキャン→検出なし
カスペの「重要な領域」でのスキャンはまだしていません
【テンプレの参考サイトを読んだか】まだ一部のみです
【hosts変更】
【PeerGuardian2導入】無
【説明】
荒らされたwikiのTOPからteamerblogなるものを踏んでNortonが反応しました
今までROに触れたことがないのですが、検索した結果ここまで流れて来ました
検出場所は
Temporary Internet Files\Content.IE5\2TCPKJUL\index1[1].htm
検出名はDownloaderで、適用した処理は「遮断しました」です

583 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2008/02/08(金) 21:26 ID:dCCehRDb0

>>567-569 >>571-573
該当のCGサイトは去年の12月初頭に前スレ853-857にて
報告と確認があったものです。
恥ずかしながらこちらでは報告があったものを追加しているだけの状態で、
その後の確認というのはやっていません。

今回の報告を受けまして非常に丸投げな対応なのですが、
hostsリストの記述の最初のほうにソースチェッカーオンライン、
aguse.jp、BS-Tte,plateさんの危険文字検索での安全確認を記述を追加してみました。

あとセキュリティ対策、質問・雑談スレ3のログが見られないようなので
まとめ臨時からはリンクしていませんがこちらにあげておきます。
(ログのデータが多い為か当方のPCでは編集できなくてこのような形を取らせていただきました)

584 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2008/02/08(金) 21:28 ID:dCCehRDb0

そしてリンクを忘れたオチ。

・セキュリティ対策、質問・雑談スレ3(前ログ)
http://sky.geocities.jp/ro_hp_add/ssz3.htm

585 ：555 sage ： 2008/02/08(金) 22:49 ID:epkrWCqB0

>>557>>558
あれ以来LineageトロイのIPは送信されてないみたいだ。
念の為新規チケとってダミーIDとパスをRO起動して入力してみたけど、
特に韓国・中国・台湾への送信もなかった（PG）。
あと勇気を出して（ｒｙスレにドメインをチェックしてもらったら、

408 名前：権平 ◆T0e.kDbaK2 [sage] 投稿日：2008/02/07(木) 20:59:55 ID:???
>>404
Welcome to rarbrc.comというタイトルの外国のサーチ系サイトへ行きました。
当環境ではそこまでノートン無反応、マカフィーアドバイザーは安全判定

との返答があった。IP主が変わったのだろうか。
スキャンはカスペでもノートンでも未検出。
ん〜・・・どうやら大丈夫っぽいかな？

586 ：（○口○*）さん sage ： 2008/02/09(土) 04:47 ID:GEMBylpl0

すみません
無知な質問申し訳ありません
先日、AntiVirでスキャンをした所ラグナロクオンラインフォルダの
rdefk.dfdファイルがTR/Crypt.XDR.Genとしてウィルスとして検知しました
これは誤検知として扱って宜しいでしょうか？

587 ：（○口○*）さん sage ： 2008/02/09(土) 06:23 ID:tN1knijw0

>>586
AntiVirの検体提出窓口に送って返事を待て。

Avira(AntiVir) <virus@avira.com>

日本語で送りたければ、ここの技術的内容についてという宛て先でいいだろう。

http://www.promark-inc.com/support/email.html

588 ：（○口○*）さん sage ： 2008/02/10(日) 13:19 ID:LlgLjA3l0

ハクスレで事あるごとに誘導かけてるやつはなんなんだろうな

589 ：（○口○*）さん sage ： 2008/02/10(日) 13:47 ID:0N6IQ9ua0

杓子定規でしか物事を図れないだけか、それとも只のテンプレ厨か。
ドメイン有効期限の話なんて、一般的な話題とはいい辛い部分もあるし、むしろサイト運営側にとって必要な知識なんだが。

590 ：（○口○*）さん sage ： 2008/02/10(日) 13:58 ID:+1k+HTl70

あれは多分同じ奴が延々やってるんだろうし、アク禁依頼してもいいと思う。

591 ：（○口○*）さん sage ： 2008/02/10(日) 14:00 ID:niT3xo8J0

誘導がなくなっても困るからほっとけ。

592 ：（○口○*）さん sage ： 2008/02/10(日) 15:45 ID:KHtngEJx0

価格調査隊の跡地って、どうなんだろう。
久しぶりに見たら、別のページに飛んでビックリしたんだが。

593 ：（○口○*）さん sage ： 2008/02/10(日) 16:34 ID:niT3xo8J0

ドメイン名失効だから気にするな。危険なページではない（今のところ）

594 ：（○口○*）さん sage ： 2008/02/10(日) 16:41 ID:KHtngEJx0

ありがとう！

595 ：（○口○*）さん sage ： 2008/02/10(日) 18:42 ID:IE2D5RBG0

雰囲気からして、以前の「.」と「■」で俺ルール展開してフルボッコされた人に思えるが、それはお居ておいて。

価格調査隊の方は動きがはっきりするまで、暫定的にでもhosts登録した方がいいのかもしれんね。
現状レジストラ管理とはいえ、このままじゃ危険だし。

596 ：（○口○*）さん sage ： 2008/02/10(日) 19:22 ID:LlgLjA3l0

末期の状態を見てると継続はなさそうだし、決まるまで暫定に賛成ですね〜

597 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2008/02/10(日) 20:01 ID:31wk7rzB0

hostsに加える前に跡地を覗いてみようとGoogleでサイトを調べて
ro-price■netに移動してみたらPG2が反応した次第です。
どうやらbailishidai■comをHTTPブロックしている模様。
久しぶりの反応なのでドッキリ。

bailishidai■comはリネージュ資料室さんの06/07/03の時点で
危険サイト・危険ドメインにリスト入りしていました。

とりあえずスキャンしてからサイト更新ということで…。

598 ：（○口○*）さん sage ： 2008/02/10(日) 21:06 ID:niT3xo8J0

>>597
つまり危険URLが失効して飛ばされる先と、価格調査隊跡地が失効して、飛ばされる先が一緒なので
発生する事ですね。前にもあったな、こんなん。

599 ：（○口○*）さん sage ： 2008/02/11(月) 01:48 ID:K5bFKpNp0

要するに今のところはまだ安全なの？

600 ：（○口○*）さん sage ： 2008/02/11(月) 02:12 ID:bUww7kIk0

現時点ではね。

601 ：（○口○*）さん sage ： 2008/02/11(月) 02:35 ID:JoyC4ACg0

ろ。あたりが30日+5日後あたりに拾ってくれれば一応は解決をみるだろうか。

602 ：（○口○*）さん sage ： 2008/02/11(月) 03:21 ID:zVJ4VC0i0

30日なのか。取得しようとしたら取得できません。って言われたぜ

603 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2008/02/11(月) 12:57 ID:7eAJ8Jwm0

書いた文章を読み直すと総合対策の418の人のように
誤解を招いた表現になっているので反省しきり。

PG2が危険サイト名でHTTPブロックしても心理的にスキャンしておかないと
どうも心配してしまうもので…。

ちょっとログを見直したら最近だと
www■pangzigame■comをHTTPブロックしていた模様で久々ではなかった。

604 ：（○口○*）さん sage ： 2008/02/11(月) 17:51 ID:lvQYs9kX0

普通に調査隊見れるんだが俺は何か間違ってるのか

605 ：（○口○*）さん sage ： 2008/02/11(月) 18:21 ID:JoyC4ACg0

>>604
>　 Status: ok
>　 Updated Date: 11-feb-2008
>　 Creation Date: 09-feb-2003
>　 Expiration Date: 09-feb-2009
という事で、更新が行われた模様。
今後、どうなるかは不明だけど。確かここって、自宅鯖で運用していたような気が。

606 ：（○口○*）さん sage ： 2008/02/11(月) 19:56 ID:bUww7kIk0

>>604
うはｗｗｗおｋｗｗｗ右フレームだけの復帰確認

でもドメイン維持するなら、左フレームとかデータ受信用鯖とかも直してくれ。
取得データの受信してくれないから、ここ半年以上調査機の起動してないよ。

607 ：（○口○*）さん sage ： 2008/02/11(月) 20:40 ID:BexH0HU20

調査隊としての機能はもう続ける気は無いんじゃないか？

別用途で使用しているから更新しただけとか？

608 ：（○口○*）さん sage ： 2008/02/11(月) 21:14 ID:4DbtBCPd0

閉鎖しましたってちゃんと告知してくれた方がいいなぁ
中途半端が一番怖い

609 ：（○口○*）さん sage ： 2008/02/11(月) 21:39 ID:+tF4Xt2G0

左フレームが死んでるのは荒らされまくった結果だろうし、
その頃に散々叩かれたからもう再開する気もないんじゃね
一応RAGDとかに利用されてるからハック防止に維持するついでに継続しただけだろうな

610 ：（○口○*）さん sage ： 2008/02/11(月) 21:51 ID:miTShjPN0

調査隊としての復帰はもう無いだろう。ゲーム内インサイダーも今では旨味が殆どないし。
一応、他からリンクされている事が多いのと、他人の手にドメインが渡るのが嫌なのが継続の本音なんじゃね。

611 ：（○口○*）さん sage ： 2008/02/11(月) 22:02 ID:zvgFB+z70

管理する気が無いならリンク先にきちんと伝えてリンク解除をしたり、
周囲に閉鎖を伝えてから消すべきだな。有名サイトなら尚更だ
放置が一番良くない、最もやってはいけない事

放置でハックされてウイルスが仕込まれ、
事情を知らない奴がたまたまアクセスして感染したら
管理者も責任を問われるぞ

612 ：（○口○*）さん sage ： 2008/02/11(月) 22:10 ID:BexH0HU20

へー

613 ：（○口○*）さん sage ： 2008/02/11(月) 22:11 ID:R1muHTfS0

>>611
お前みたいのがいるからああなったんだ　wikiと混同してるようだが
あと一番良くないのは突然消える事だ　放置は一番ではない

614 ：（○口○*）さん sage ： 2008/02/11(月) 23:32 ID:K5bFKpNp0

自己責任でネット使えない>>611はネット使わない方がいいと思う

615 ：（○口○*）さん sage ： 2008/02/11(月) 23:54 ID:miTShjPN0

ただ、単なる静的webサイトと違って、PHP+SQLが動いていたりする以上は、メンテされなくなった場合のリスクは上まわる。
PHP4系列は既にアップデート終息、PHP5への移行が前提になっているし。
別口でデータ受信のインタフェースも保有しているなら、そこが狙われる危険性も考えられる。

616 ：（○口○*）さん ： 2008/02/12(火) 14:44 ID:syIDlNvL0

緊急 (7) 重要 (5)
ttp://www.microsoft.com/japan/technet/security/bulletin/ms08-feb.mspx
今回はある意味での目玉、IE7への準強制(?)アップデートが含まれている。
一応、インストールの可否はユーザー側が選択できるが、自動更新の場合、ダウンロードまでは行われるらしい。

とりあえず、セキュリティ関係に自信の無い場合は、すんなりIE7にアップデートした方が正解かもしれない。
W3Cとの整合性も、IE6よりは遥かにましになっている側面もあるし。

617 ：（○口○*）さん sage ： 2008/02/12(火) 15:00 ID:fKfOn+E/0

RO店価格調査隊の左メニューも表示されるようになったね
ドメインの状態については不明な為、もう少し調べてみます

618 ：（○口○*）さん sage ： 2008/02/12(火) 18:02 ID:9xQkwYXO0

>>617
まじだ･･･何ヶ月ぶりだ？やる気出たのかね･･･

619 ：（○口○*）さん sage ： 2008/02/12(火) 19:43 ID:iLeNlDdg0

今日、垢ハックされた装備をガンホーに復旧してもらったんだけど
流れとか書いたほうがいいかな？

620 ：（○口○*）さん sage ： 2008/02/12(火) 19:50 ID:tHVe3Omp0

>>619
是非に

621 ：（○口○*）さん sage ： 2008/02/12(火) 20:00 ID:40cUYRMv0

>>617-618
でも、Apache/2.0.54 + PHP/4.4.4 なんだよな……
元通りに再開するつもりはあるのだろうか。

622 ：（○口○*）さん sage ： 2008/02/12(火) 20:10 ID:WrQNuY1k0

>>619
是非お願いします。
当方この週末にハックされ、通報したばかりのところなので参考にさせていただきたく。
自分も復旧までこぎつけたら投下します。

623 ：（○口○*）さん sage ： 2008/02/12(火) 20:31 ID:40cUYRMv0

スラッシュドット・ジャパン | DivX Stage6が何者かによってクラックされる
ttp://slashdot.jp/security/article.pl?sid=08/02/11/0021205

>2008/02/10未明に、DivX社が運営する動画共有サイト、Stage6のサイトがクラックされ、トップページにアクセスすると
>グロ画像やポルノサイトなど複数のサイトへリダイレクトされるように書き換えられるという事件が発生した

Internet上のメジャーコンテンツの一角を占めるようになった投稿型動画サイト。
当然、クラックのターゲットにもなり易く、実際に行われた場合の被害も想像以上に拡大する危険性があるな。

624 ：619 sage ： 2008/02/12(火) 21:25 ID:iLeNlDdg0

アカウントハック体験談の人と似たようなものですが書かせていただきます。
私の場合、ギルドメンバーが過去にアカウントハックにあいガンホーにアイテム等復旧してもらった人がいたので
その人に色々聞きながら警察などに連絡していきました。

2007年10月24日：垢ﾊｯｸ被害にあったことに気づき、RO公式サイトのプレイマナー>アカウントハッキングの欄から見ながら被害報告をしました。
その日のうちに「お客様が使用されていない期間にアトラクションIDが利用された形跡があるかを調査させていただきます。」といった内容の返信がありました。

2007年11月02日：「ご報告いただいた情報を元に調査を行った結果、お客様のご報告内容と一致しない、アトラクションIDの使用形跡を確認致しました。」ということと
アイテム復旧に関しては、警察に「不正アクセス禁止法に違反する犯罪行為があった」と判断された場合のみ復旧をするという内容の返答をもらいました。

2007年11月04日：警察に行き事情を説明。その際、RO公式サイトのプレイマナー>アカウントハッキングの欄をコピーして持って行きました。
やはりこのケースは大体、海外からの犯罪なので犯人を特定し逮捕することは難しい、時間もかかるかもしれない。ということを伝えられました。それでも調査してほしいことを伝えると
この日は日曜で当直の人しかいなかったため担当の人に聞いてから捜査する。と言われ一週間後ぐらいに連絡を入れるということなので、この日は退散

625 ：619 sage ： 2008/02/12(火) 21:27 ID:iLeNlDdg0

2007年11月20日：2週間たっても警察から連絡がなかったのでこちらから連絡をすると、もう捜査に入っていて現在ガンホーに資料の提示を求めているということでした。
捜査終了のほうは遅くなると1月末になると言われたのでここからは待ちの一手で

2008年02月04日：遅くなると言われた一月の末になっても連絡がこなかったのでまたもこちらから警察へ連絡。
もう捜査は終了していて「不正アクセス禁止法に違反する犯罪行為の被害を受けていた」ということを確認できたそうです。
ただやはり海外からのアクセスだったそうで犯人の特定はできないということを伝えられました。
その日のうちにガンホーに警察に伝えられた内容を報告しました

2008年02月05日：ガンホーの方から「不正アクセスに関する警察機関の捜査が終了したとのご報告をいただいた件について、神奈川県中原警察署に照会いたしました結果、
ご投稿いただいておりますアトラクションIDが「不正アクセス禁止法に違反する犯罪行為の被害を受けていた」事実があることを
確認いたしました。」との返答があり、アイテムを復旧するかどうか聞かれました。当然復旧してほしいということを伝えました。

2008年02月12日：メンテ終了後ROにインすると倉庫の中とBSに、全ての装備を把握しているわけではなかったので全部戻ってきたかどうかはわかりませんが
記憶に残っている限りではほとんどのアイテム・お金が復旧していることを確認しました。ちなみに装備はカードと分離している状態で手元に戻ってきました。

こんな感じです。読みにくい文章＋長文失礼しましたぁ

626 ：（○口○*）さん sage ： 2008/02/12(火) 21:31 ID:sGFHY0Ym0

>>619　おつかれさまー
報告ありがとう

627 ：（○口○*）さん sage ： 2008/02/12(火) 21:37 ID:0b392VL50

>>619
乙、あれ程ク●会社と言われたガンホーもここまでやれるようになったんだねぇ


＞装備はカードと分離している
それはちょっとうらやましいｗ

628 ：（○口○*）さん sage ： 2008/02/12(火) 21:39 ID:bJZUI2A00

>>621
本当に古いバージョンなのか、ワザとニセの情報を出しているのかが問題だな

629 ：（○口○*）さん sage ： 2008/02/12(火) 21:45 ID:WrQNuY1k0

>>619
ありがとうございました。お疲れ様でした。
体験談の人も警察に通報してから３ヶ月半ほどかかったようですが、
期間的にはそのくらいと見てよさそうですね。

当方、2/9にハッキングに気付きすぐガンホーに被害報告を出し、本日ハイテク犯罪センターにも電話入れました。
ガンホーからの結果が出次第、最寄の署にまずは電話で説明するようにとのことで、
被害にあったIDとパス・連絡先・おおまかな状況と、心当たりを聞かれました。
（友人や家族・ネットカフェ経由で漏れたのではなくトロイによる流出の可能性が極めて高いことを確認）
センターの方は手馴れた感じで、理解があり、説明も親切で話しやすかったです。
最寄署の連絡先を教えていただいたので、ガンホーからの調査結果を待っているところです。
ハックされたことは悔しいし猛省しているところですが、これも良い経験と思って最後まで対応するつもりです。

630 ：（○口○*）さん sage ： 2008/02/12(火) 21:48 ID:WrQNuY1k0

余談ですが、センターはお昼時はずっと話中で繋がりませんでした。
（週明けということもあり混んでいたのだと思います）
繋がったのは14時半ごろで、賞味12分程度のやり取りでした。
今後、被害に会われた方のご参考になれば。

631 ：（○口○*）さん sage ： 2008/02/12(火) 22:05 ID:Si1YWr3/0

しかし、復旧までに4ヶ月かー

632 ：（○口○*）さん sage ： 2008/02/12(火) 22:09 ID:/PKRjL+L0

>>627
既に刺さってる中段を垢ハックで無くしたら、
数ヶ月待った特典（お詫びか？）として、分離されてるのはすごいな・・・

633 ：（○口○*）さん sage ： 2008/02/12(火) 22:18 ID:MfO6sHF00

つまり

１．捨て垢を作る
２．適当にLvを上げて、適当にアイテムを持たせる
３．糞カードの刺さったｓ中段を買う
４．垢ハックサイトを踏む
５．垢ハックされたことを確認する
６．垢のパス変更
７．HDDフォーマット＆OS再インストール
８．垢ハック救済を申請
９．果報は寝て待て

ってことだな。

634 ：（○口○*）さん sage ： 2008/02/12(火) 22:19 ID:o8bZSYNa0

そういう発想になるのってどうなの？子供じみたことやめた方が良いよ

635 ：（○口○*）さん sage ： 2008/02/12(火) 22:46 ID:I6PmaO240

冗談でもそういうことは書き込まないほうがいい。
仮にそういうことをする人間が出た場合、せっかくいい方向に向いてきたアカハック復旧の流れを不可逆的に逆行させる可能性がある。

636 ：（○口○*）さん sage ： 2008/02/12(火) 23:04 ID:mMRRAj1J0

俺がするなら、>>634-635みたいに他人を牽制しつつ実行するな。

637 ：（○口○*）さん sage ： 2008/02/12(火) 23:21 ID:q8rzHFuv0

やれるもんならやってみろ

638 ：（○口○*）さん sage ： 2008/02/13(水) 00:39 ID:qVRhW7fa0

むしろ、中継担当の自称留学生あたりが実行するんじゃね。

639 ：（○口○*）さん sage ： 2008/02/13(水) 00:56 ID:1+PP+5ze0

寝て待っていっても警察と直接話したり署に出向いたりなんだりすんだぜ。色々な記録も残る。
しかも協力を求める相手は現実に存在しているネット上ではトップクラスのヤバイ犯罪者集団だ。

640 ：（○口○*）さん sage ： 2008/02/13(水) 08:17 ID:vaL2eOlr0

WindowsUpdateいっぱい来てるぞー

641 ：（○口○*）さん sage ： 2008/02/13(水) 08:43 ID:/cw5xEF/0

IE7を当てるかどうかは自己責任の判断でだな。

俺はタブ型がどうも慣れない（IE7もタブにならないように設定できなくもないが）ので、
もう暫くIE6使うわ。

せっかく、DualDisplay環境にしてるのに、１ウィンドウ内のタブになったら閲覧性悪くなって困る。

642 ：（○口○*）さん sage ： 2008/02/13(水) 09:11 ID:Qv7VoV4N0

そもそもIEを使わない…

643 ：（○口○*）さん sage ： 2008/02/13(水) 10:27 ID:vaL2eOlr0

ついでにFx3Beta3も出てた＼(^o^)／

644 ：（○口○*）さん sage ： 2008/02/13(水) 12:44 ID:nRkU3doV0

すみません、もしお分かりになられる方がいらっしゃったら教えて下さい。
昨日忍者WIKIを見ようとしたらHPが開かず、リンクサイトから見に行ったら
ファイルをダウンロードしますか？、と出てきました。
焦ってファイル名を確認する前にブラウザを消して、カスペルスキーで
スキャンをかけたのですが何も検知されませんでした。
アドレス自体は変わっていなかったので、大丈夫だとは思いますが
今までそんなことは一度もなかったので、悩んでいます。
OSはWIN２０００　ブラウザはオペラ６を使用しています。
ちなみに今朝は問題無くWIKIは見れました。

645 ：（○口○*）さん sage ： 2008/02/13(水) 16:30 ID:lfb1Swp/0

とはいえ、web制作側から見れば、IE6ユーザーは早急にIE7に移行するか、あるいはGecko系かKHTML系、ないしOperaに
乗り換えて貰いたいくらいの部分もある。
それくらい、IE6は非互換部分が多く、例外処理の手間が嵩んでいる訳で。

646 ：（○口○*）さん sage ： 2008/02/13(水) 16:41 ID:1RNxe5L60

IE6はほんとバグだらけだからなぁ
Web作成してると、ほんと「IE氏ね」と思うときがある。

647 ：（○口○*）さん sage ： 2008/02/13(水) 16:58 ID:/z8sUR5S0

>644
忍者スレ覗いてみたけど全く話に上がってなかったから、良く判らないな。
単にサイトが不調だっただけの可能性が高い気がする。
スキャンで何も無かったのなら、数日様子見しつつ判断するしか無いかも。


それとJustSystemからカスペ7.0 MP1(メンテナンスパック1) の案内が来てた。
機能強化と脆弱性の修正だそうな。

>　■機能強化点
>　　IPv6 対応、次世代キーロガーの検出機能追加、セルフディフェンスの改良、
>　　信頼するリモート管理プログラムの除外オプションの追加など、いくつか
>　　機能強化点があります。

>　■脆弱性の修正
>　　次の3つの脆弱性の修正を行いました。
>　　・悪意のあるプログラムによるシステム時間の改ざんで、カスペルスキー
>　　　製品が無効になる可能性があります。
>　　・klif.sysドライバがNtCreateSectionパラメータを正確に起動させない
>　　　ため、システムエラーを引き起こす可能性があります。
>　　・klif.sysドライバ中に不正なコードが含まれていたため、悪意ある
>　　　コードをローカルで実行することによってシステムエラーを引き起こす
>　　　可能性があります。

>　■制限事項
>　　Windows Vista（64ビット版を含む）とWindows XP Professional x64
>　　Edition上では、プロアクティブディフェンス機能とセルフディフェンス
>　　機能の一部をお使いいただけません。

648 ：（○口○*）さん sage ： 2008/02/13(水) 17:24 ID:nRkU3doV0

>647さん
ご返答ありがとうございます。仰られるように、忍者スレでは
話題にも出ていてないので、どんなものかと思っていました。
WIKIから飛んだ先ではなく、WIKI自体だったので
自分自身どう判断したらいいかと悩んでおりました。
このまましばらく様子を見ていこうと思います。

649 ：（○口○*）さん sage ： 2008/02/13(水) 17:39 ID:WLUxqdfY0

>>648
ページが見れない理由は分からないけど、ブログとかでも
ドメインが見つからないというエラーが返ってくる事があるから
その可能性はあります。
また、リンクから飛んだというところから、そのリンクサイトがWikiであれば
書き換えられている可能性もあるので、そっちの確認もお願いします

650 ：（○口○*）さん sage ： 2008/02/13(水) 18:40 ID:nRkU3doV0

>649さん
リンクで飛んだところは、Ragnarok　Network様という総合情報サイトと
忍者スレの先頭にある外部テンプレの2箇所からやりました。
飛ぶ際には必ずリンク先を見るのですが、両方とも忍者WIKIのアドレス
でした。
見れないというのはまだ理解できるのですが、ファイルを保存しますか？
というメッセージが気になっています・・・
もちろん実行はしていません

651 ：（○口○*）さん sage ： 2008/02/13(水) 19:16 ID:wkALW+UN0

IE7はwin2kで使えないみたいでうちは6使うしかないんだよな

>>ファイルをダウンロードしますか？、と出てきました。
これが謎だよな。しかし俺ではよくわからん

652 ：（○口○*）さん sage ： 2008/02/13(水) 19:17 ID:h4g+u08B0

タイミングよくMicrosoftアップデートが来たってオチじゃないだろうかｗ

653 ：（○口○*）さん sage ： 2008/02/13(水) 19:30 ID:Qv7VoV4N0

ファイル保存のダイアログはでないよ

654 ：（○口○*）さん sage ： 2008/02/13(水) 21:10 ID:0NQmsL/K0

ユーザーの多くがIE7への移行フェーズに乗る形で、今後はCSS2がデファクトスタンダードになるだろう。
今までの様に、IE6で表示できないから駄目、とは言えず、レイアウト崩れなどは容認すべき段階になるか。
どうしてもIE6を使い続ける必要がある場合、表示周りの整合性を面倒見てくれるIE7.jsと言うのも存在する。

ところで、TrendMicroがまたやってくれました。
ttp://www.trendmicro.co.jp/support/news.asp?id=1058
>ウイルスパターンファイル4.995.00を弊社製品に適用後、特定条件においてウイルス検索に時間がかかる現象が発生することを確認
>いたしました。
>この現象はウイルスパターンファイル 4.995.00 適用後に、メールファイルやデータベースなどの大容量（大きいサイズ）のファイル検
>索を行う際に発生する可能性があります。

400M以上のファイルで引っ掛かるらしく、ROなら例えば、data.grfが余裕でアウト。

655 ：（○口○*）さん sage ： 2008/02/13(水) 21:38 ID:V7TSvoIN0

どこに書くべきかわからないのでここに報告を
検索ワード「モンク　WIKI」のグーグル検索6番目に出る
ercserver's Wiki - モンク/チャンピオン

このサイトは危なげです
同様の検索ワードで検索する人が多そうなのでご注意ください

656 ：（○口○*）さん sage ： 2008/02/13(水) 21:43 ID:hkXohfa80

Domain Information: [ドメイン情報]
a. [ドメイン名] SPC.GR.JP
e. [そしきめい] エスピーシー
f. [組織名] S.P.C.
g. [Organization] S.P.C.
k. [組織種別] 任意団体
l. [Organization Type] Group
m. [登録担当者] TT1400JP
n. [技術連絡担当者] TT1400JP
p. [ネームサーバ] ns.spc.gr.jp
p. [ネームサーバ] ns2.spc.gr.jp
[状態] Connected (2008/06/30)
[登録年月日] 1998/06/22
[接続年月日] 2007/08/09
[最終更新] 2007/08/09 20:39:54 (JST)

657 ：（○口○*）さん sage ： 2008/02/13(水) 21:47 ID:Qv7VoV4N0

どう危なげなんだ…

658 ：（○口○*）さん sage ： 2008/02/13(水) 21:50 ID:c3+F7qpF0

>>655
詳細は?

>>656
あまり意味無いな。
問題はwikiファームがどう利用されてるかだが、>>655の続報待ちか。

659 ：（○口○*）さん sage ： 2008/02/13(水) 21:51 ID:/z8sUR5S0

何が危険かと思えば、メニュー改竄。
www■irisdti-jp■com/blog/

エミュ鯖用のWikiっぽいから関係ないと切り捨てたいが、その検索ワードだと
普通に見に行く人も出そうだな……

シャクだが戻しておくか、と思ったら、直前の履歴も同じ内容だった罠。
ざっくりと消した方がいいのかねぇ？

660 ：（○口○*）さん sage ： 2008/02/13(水) 22:16 ID:/cw5xEF/0

そだねー。

（本音：むしろ、全ページ消す位の勢いで）

661 ：（○口○*）さん sage ： 2008/02/13(水) 22:48 ID:GaSb4rAg0

取り合えずメニューバーだけ消しておいた。

見る限り、去年からずっと放置されてた感じ。
EMU鯖というのは置くとしても、数ヶ月メンテ無しと言うことは
管理人不在で利用者も居ないと判断していいだろう。

ググって上位に出る以上、事故にあう人が増える方が問題だわ。


しかし報告するなら、抽象的な書き方はやめて欲しい。
チェック等、余計な手間が増えるだけで益が無い。

662 ：（○口○*）さん sage ： 2008/02/14(木) 00:09 ID:BWqgnQDG0

カスペ更新して7.0.1.321 bになったが
プロアクティブディフェンスで「キーロガーの検知」を外さないと
パスワード入力後キャラセレ画面が出ない。

全体的なもっさり感はだいぶ改善されたように感じる

663 ：（○口○*）さん sage ： 2008/02/14(木) 00:42 ID:K1kWDyhQ0

そりゃnPro自体がキーロガーだしな
カスペのMP1でキーロガー検知力が結構上がったからそれで弾いてるんだろう

プロアクティブディフェンスは所詮ふるまい検知だし、外してもいいぞ
onにしてるとROは確実に重くなる
Core2Quad2.66GHz　メモリ2Gでもプロアクティブディフェンスがオンだと余裕で重くなった

664 ：（○口○*）さん sage ： 2008/02/14(木) 01:09 ID:wnfg0bX10

>>661
作りっぱなし放置が害悪になる典型だな。
削除だけでなく、WikiFarm運営元への通報も検討すべきか。
共通で禁止文字列が設定できるロジックなら、被害拡大を阻止できる可能性も考えられるし。

665 ：（○口○*）さん sage ： 2008/02/14(木) 10:15 ID:s0C58yA60

>663
ふるまい検知は怪しいものを炙りだすもので、確実性が無いのは確か。
誤検出(という表現も変な気がするが)も当然ありえる。

でもウィルス作成されてからパターンファイルが出来上がるまでの、所謂空白期間は
これが無いと守れないわけで。

・確実性は無いし。カスペだったら更新も早い。だから切っても平気。
・意図的にカスペを回避するものもあるし、手持ちのカードは１枚でも多いほうがいい。

NOD32が有名になった価格コムの事件とかを考えると、無闇に切っていいなんて言えない。
次に同じような事が起きたときに、ON/OFFの差が感染したしないを分けるかもしれないし。

メリットとデメリットを理解してから外す分には構わないんだけどね。

666 ：（○口○*）さん sage ： 2008/02/14(木) 23:08 ID:1d9JoFVe0

＞あと一番良くないのは突然消える事だ　放置は一番ではない
消えてしまえば改竄されることも無くなるし時間が経てば
誰かが偽サイトを立ち上げても間違ってアクセスする人は少ないだろう
wikiであるかどうかは無関係

667 ：（○口○*）さん sage ： 2008/02/14(木) 23:16 ID:UQR8Xxxr0

突然消えたことの問題が今回のRO店の問題だろう。
後はいきなり消えたせいで色々なデータが消失したり、難民が出たりってのも昔はあったな。

668 ：（○口○*）さん sage ： 2008/02/15(金) 00:26 ID:7kW+TpUu0

カスペを7.0.1.321にバージョンアップしたせいなのか、他の原因なのかは不明だが
pixia（フリーのお絵かきソフト）がアクセス違反で起動しなくなった

669 ：（○口○*）さん sage ： 2008/02/15(金) 08:52 ID:S5DgqlI20

カスペバージョンアップ直後から、RO起動してから1時間ほど経過すると激しい
ラグに見舞われるようになりました。3回続いたのでプロアクティブディフェン
スをオフにしてみたところ、今のところラグ発生はせず。
カスペがこのラグに関連しているのかは謎ですが…。

670 ：（○口○*）さん sage ： 2008/02/15(金) 09:54 ID:sh+38ljD0

>>629です。
一昨日ガンホーから返答がありました。
「ご報告いただいた情報を元に調査を行った結果、お客様のご報告内容と一致しない、
アトラクションIDの使用形跡を確認致しました。」
ということで、ハイテク犯罪センターで言われたとおり、最寄署に昨日電話入れました。

生活課に繋いでもらったのですが、ここがなかなか酷く。
説明中に２回電話が代わられ、最後に出た方と話しました。
オンラインゲームのIDとパスワードを不正に第３者に使用された形跡を確認した旨。
PCは家族は使用しておらず、遊びにきていた相方が相方自身のIDでログインしており、
私は私で自分のIDでログインしていたが、二人とも被害に合った旨。
（相方は自宅の最寄署に相談中）
ネットカフェではログインしたことがなく、ハッキングを受けた直後にウイルススキャンでトロイが検出された旨。
説明するとゲーム名を聞かれましたが、オンラインゲームには全く無知な担当者のようでした。

671 ：（○口○*）さん sage ： 2008/02/15(金) 10:03 ID:sh+38ljD0

>>670続きです。
すでに管理会社に連絡し、怪しい形跡が確認されていることを伝えましたが、
「ちょっとまって」といわれ電話の向こうから話し声が。
「こういうのはプロバイダまではわかる。でもプロキシとか使っていて、その先がわからない。
海外からだとまず犯人がわからないから困る」
と話している人がおり、３回ほど「困る」連発してました…。

その後、「捜査しても犯人検挙に至らず、事件として成立しない場合が多いので…」
「管理会社に問い合わせても結局調べきれないので…」
「以前にも似た案件があったが、データについては管理会社と相談していただくしか…」
とかなり捜査を渋る返答。

頭にきたので、
「犯人検挙に至らずとも不正アクセス禁止法に触れる違法行為があった可能性が高く、
違法行為があったということまででも捜査していただきたい。
そこまで判明しないと私のほうも管理会社と話が進められない」
と強気に出てみると、
「では話を詳しくうかがいますので来ていただけますか。週末は別件捜査があるので火曜に…」
「IDやパスワードを伺うことがありますけど、個人情報なので大丈夫ですか」
とのことなので、仕事が終わったら向かうことにしました。

相方のほうはもう少し話を聞いてくれそうなようで、土曜に行くことになってるそうです。
同じPCを使い同じタイミングでやられているので、あちらが捜査するならこちらもしないわけにいかないでしょうし、
それを材料にがんばってきたいと思います。
もし、どなたか経験者さんで助言ありましたらお願いいたします。

672 ：（○口○*）さん sage ： 2008/02/15(金) 10:04 ID:sh+38ljD0

ちなみに、「火曜日どなた宛にお伺いすればよろしいでしょうか」と聞いたところ、
「２階に生活課があるからそこにきて。受け付けで聞けばわかる」と回答。
担当者の名前は教えてもらえませんでした。

673 ：（○口○*）さん sage ： 2008/02/15(金) 13:45 ID:prRpCHuK0

>>627
癌も変わったけど警察も変わったと思う。
数年前相方がハックにあったときにハイテク犯罪センターへかけたら
「たかがゲームの世界でしょ」って感じで鼻で笑われて
まともに相手にされず終わったらしいからね。
ちなみに癌からの返答は「警察からの要請があれば調べます。」だけ。
警察が上記の対応だから当然癌も何もせず泣き寝入りになってたよ。

674 ：（○口○*）さん sage ： 2008/02/15(金) 14:10 ID:3EkIEm43O

IE7に抵抗あったけどこの際入れてみるか…
6に戻すのも簡単みたいだし

675 ：（○口○*）さん sage ： 2008/02/15(金) 16:22 ID:DuLuLNxi0

こちらでいいのか悩みながら書き込み。
1月末ごろにマカフィーからカスペルスキーに乗り換えました。
はじめの数日間はいろいろ警告を出されつつ、なんとかROをプレイできていたのですが、
ここ最近RO起動してから最初の10分程でPC自体が再起動を繰り返すようになりました。
ただサイト閲覧をしている場合などは落ちたりはしません。
この事からnproがらみでカスペルスキーが何かをはじいてるんじゃないかとは予測は出来るのですが、
ROファイルの更新の有無に関わらず（クライアント等）、落ちたり落ちなかったりします。
また、ROが終了するだけでなくいきなりPCの電源が落ちるのはなんなんだろうと
不思議に思っています。
とりあえず、再起動が起こってしまったらRagexe.exe・Ragnarok.exe・GameMon.desを
「信頼するアプリケーション」から一旦削除し再度設定しなおしてみるとなんとか再起動しないと
言う感じです。
でもいきなり落ちたりするのは心臓にも悪いですし、PCにも良くないのでなんとか事前に
防げないかなと思いまして、先輩方のお力を貸していただきたく思います。
ちなみにOSはWinXP HomeEdition SP2、Pen4 3.00GHz、メモリ1Gです。

676 ：（○口○*）さん sage ： 2008/02/15(金) 16:42 ID:MhPXuhZC0

>>673
んでも >>671 とか見るとまだまだダメだねぇ。
法的にもいい加減なので警察署によって対応がバラバラ。

>>675
OSごと落ちるのは電源や熱や故障といったハード的な問題だと思うぞ。

677 ：（○口○*）さん sage ： 2008/02/15(金) 16:55 ID:lGyQkui+0

Kaspersky 7.0 メンテナンスパック１（MP1）の公開停止のお知らせ
ttp://www.just-kaspersky.jp/support/v7mp1/?m=jui15k01

678 ：（○口○*）さん sage ： 2008/02/15(金) 17:11 ID:99b/eWGN0

>>675
>>676のいうようにハード面も疑った方がいいね。
とりあえずMemtest86でメモリのチェックでも。

679 ：（○口○*）さん sage ： 2008/02/15(金) 18:39 ID:rC4NWHYL0

>対象製品を実行中、コンピュータとウェブブラウザ（Microsoft Internet Explorer、Mozilla、Firefox）の処理速度が遅くなる

MP1入れた後、時々ROの画面が歪んだ状態のまま数秒止まることがあったんだけどこれのせいかもしれないな。
タゲられてる時に起こると死が見えてかなり焦る。

680 ：（○口○*）さん sage ： 2008/02/15(金) 18:44 ID:CPVmVJpX0

PG2導入したんだけど、PC終了時や再起動時にフリーズというか
すっごい時間かかる時があるんだけど、どうすればいいだろう

681 ：（○口○*）さん sage ： 2008/02/15(金) 18:55 ID:uhBmoLR50

ガンホー，「ラグナロク」の2008年度アップデート予定とプロモーションプランを発表
ttp://www.4gamer.net/games/001/G000183/20080215036/

＞プロモーションの一環として，シマンテックとタイアップし，
＞本作のプレイチケットと新ゲーム内アイテムが付属したセキュリティソフト，
＞「ノートン インターネットセキュリティ 2008」を，2月20日（水）から期間限定で発売する。

何故ノートン

682 ：（○口○*）さん sage ： 2008/02/15(金) 18:56 ID:oCaeesR20

>>680
Win2kの時は完全に止まったことがあったよ
仕方ないから終了させてからPC落とすようにしてた

683 ：（○口○*）さん sage ： 2008/02/15(金) 20:34 ID:0JRr+37c0

>>680
起動時にリストをチェックしているせいじゃないかな。設定タブのアップデート内の更新確認辺りが引っ掛かってないかな。

684 ：（○口○*）さん sage ： 2008/02/15(金) 21:06 ID:wcqwruWk0

windows終了時(厳密にはログオフ時点)で引っ掛かるのは、user profileのアンロード失敗絡みかも。
UPHCleanをサービスとして導入する事で、解決出来るかもしれない。
ttp://akari.kabe.co.jp/MagSite/Content.modf?id=20060824114733
ttp://support.microsoft.com/kb/837115

685 ：（○口○*）さん sage ： 2008/02/15(金) 21:14 ID:7kW+TpUu0

>>680
PG2が終了する際に上手く終了出来ないようで、タイムアウトする１分間まで進まなくなることがある。
逆に１分何もしないで放置してると、正常に終了or再起動する。

XPなら終了or再起動する時の画面が完全にモノクロになるまで待ってから、
終了or再起動のボタンを押すとすぐに始まる。

もしくはPG2を手動で終了させてから、終了or再起動でもすぐに始まる


MSで公開しているフリーソフトで１分間タイムアウトを待たなくするのがあるらしいけど、
それでも対処可能かは不明

686 ：（○口○*）さん sage ： 2008/02/15(金) 21:58 ID:MhPXuhZC0

>>684
ああ、これは絶対に入れておいたほうがいいな。
2000もXPも。

687 ：675 sage ： 2008/02/15(金) 22:32 ID:DuLuLNxi0

>>676
>>678
出かけていたもので返事が遅くなってしまい申し訳ありません。
なるほど、PCの電源が落ちてしまうというのでなんかおかしいなとは思っていたのですが。
早速箱を開けて掃除から始めていろいろ試してみます。
アドバイスどうもありがとうございました！

688 ：680 sage ： 2008/02/15(金) 22:39 ID:CPVmVJpX0

沢山のレスありがたいぜ。とりあえず684を入れてみた

689 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2008/02/15(金) 23:35 ID:tL8g5eBb0

>>680-687
684氏の件は今度の新スレを立てるときの
テンプレートに組み込んだ方がよいかもしれませんね。

地味かもしれませんが正常終了できないと言うのは
やはり心配の種だと思いますから…。
と言う自分もこの恩恵にあずからせていただきました。
すぐ終了しない事に疑問を抱かなかったのは
VBやらMEの挙動に飼いならされてしまった所為なのだろうか…。


あと現スレにてアカウントハック被害を受けた方々、
対処体験談の報告を知らせていただいて本当にありがとうございます。
何かの折に被害を受けた方に少しでも指針になるかもしれないと思うと
本当に貴重な書き込みだと思います。


そして最近は新種の報告が無いところを見るに沈静したのか
単にRO関係で見当たらなくなったのか…なんとも。

690 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2008/02/15(金) 23:38 ID:tL8g5eBb0

アカウントハックの被害を受けた方々って言い回しも変でした。
アカハックから復旧した方々というべきだったかも…。

691 ：（○口○*）さん sage ： 2008/02/16(土) 01:12 ID:Rj0qmR4s0

hostsRenewScriptはhttp://sky.geocities.jp/ro_hp_add/の書式を解さないんだね。
http://sky.geocities.jp/ro_hp_add/ro_hp_add_hosts.txt を指定しないといけない。
どうやら行頭と行末のスペースやタグを無視してはくれないらしい。

692 ：（○口○*）さん sage ： 2008/02/16(土) 07:40 ID:k1B+FV3L0

>>681
SB-BB向けに、SymantecがASP型セキュリティサービスを提供している縁なのでは。
NTT東西向けがTrendMicroであるのと同様に。

693 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2008/02/16(土) 13:30 ID:WrcW/IAr0

>>691
以前に#trojan trap sitesの記述を入れないと
自動取得できないと言う話だったので入れてみたのですが
TOPページの書式では処理できない記述になってしまっているのかも。

当ページはhostsファイルへ直接コピーアンドペーストで
貼り付けしてもらえばって言う形を取っているので
お手数ですがテキストのほうを指定していただければと思います。

hostsRenewScriptの方は使用していませんが
リネージュ資料室さんとBSテンプレさんの方を拾いにいっていると思われます。
まとめ臨時の方は指定が無くても、
前記の二箇所に載っているドメイン名を
後追いで重複していることが殆どなので
当方をチェックされていなくてもhostsRenewScriptの信頼性は高いはずです。

694 ：（○口○*）さん sage ： 2008/02/16(土) 17:28 ID:OKK8xvIV0

VBS見たら判るけど、hostsRenewScriptは処理範囲を決め打ちしてる。
それとデフォルトではリネージュ資料室と本家まとめの２つしか見てない。
(現在のVer0.08公開時点では、まとめ臨時のサイトはまだ存在してなかった)

今のVerはgzに対応してるからBS Wikiのリストも処理できるけど、デフォルトの
cfgでは指定されてないので、読みに行かない。

BS Wikiの人が自作のリストについて
「自動作成してるリストで人の目を介して更新してるわけじゃないから
何かあった場合に困る。だから参考程度で使って欲しい」
みたいな発言をした事があったから、初期値では指定されてないんだと思う。

695 ：（○口○*）さん sage ： 2008/02/16(土) 17:49 ID:/wqAD9Lp0

カスペルスキーを導入しようと思いますが
みなさんはAnti-VirusとInternet Securityのどちらを使っていますか？

696 ：（○口○*）さん sage ： 2008/02/16(土) 17:54 ID:TdLR3ljP0

大半がNISじゃね
FWが欲しいならNIS。アンチウイルス機能だけならNAV

697 ：（○口○*）さん sage ： 2008/02/16(土) 17:55 ID:TdLR3ljP0

何書いてんだ俺ｗ

ノートンじゃねーよｗｗｗｗｗKISとKAVだｗｗｗｗｗｗ

698 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2008/02/16(土) 19:33 ID:536UGstw0

>総合対策436
教えていただいたのでwww■k5dionne■com/ousele/aniro■htmから
該当の部分を抜き出してURLエンコード/デコードフォーム
(http://home.kendomo.net/board/decode/decode.php)にかけてみました。

スクリプトの関数部分？がエンコードされているもので
そこから抜き出した物をデコードすると
\system32","cmd■exe /cとかあったので、sanro■exeを落としてきて、
勝手にコマンドライン開いて即時実行するのだなあと素人目線で判断。
総合対策435でもコメントがあったように
いわゆるいつもの手と言う奴のでしょうけど…
エンコードしているのは、
ぱっと見で判断付かないように策を講じているって事なのかな…とか。

>>694
憶測でコメントしてしまって申し訳ありませんでした。
BSテンプレさんのほうにはデフォルト指定されていなかったのですね。
うむむ、責任重大だ…。

699 ：（○口○*）さん sage ： 2008/02/16(土) 19:36 ID:C7V5OXPc0

そろそろ向こうの誘導厨は何らかの処置されて欲しいところ

700 ：（○口○*）さん sage ： 2008/02/16(土) 19:55 ID:pANR9ixG0

冗談抜きにアク金依頼してもいいと思う。
本当に度が過ぎた時は他の人が張ればいいんだし。

701 ：680 sage ： 2008/02/16(土) 20:57 ID:oiF2t+KX0

報告が遅れたけど>>684入れても終了時PG2で引っかかるぽい、ちなみにOSはwin2k

702 ：（○口○*）さん sage ： 2008/02/16(土) 21:01 ID:GX5W3zU/0

PG2起動してるとPCシャットダウン時に異常に時間かかることあるから、俺はシャットダウン前に必ずPG2を手動で終了するようにしてる

703 ：691 sage ： 2008/02/17(日) 00:12 ID:U2XHGoJa0

BS Wiki のリストって、/files/hosts.sample.gz を指定すれば良いのかな。
やってみたら400ほどドメインが増えててびっくり。

>>698
デフォルトで指定されていないからって、責任重大に感じる事も無いと思いますよ。
このスレ見るような人で、デフォで使う人はまずいないでしょうから。

書式のことは、これから導入する人への注意として書いたつもりです。

704 ：（○口○*）さん ： 2008/02/17(日) 17:14 ID:hOp28zZM0

一部でアカウントハッキングを悪用する動きがあります。
以下の要望をヘルプデスクから投稿し、悪用を未然に防ぎましょう。
多数の投稿があれば救済条件が変わるかもしれません。


アカウントハッキングの悪用

・適当なアカウントを取得してボスカードや不要なカードの刺さった高精錬装備品や
　スロット中段品等の高額品を持たせてアカウントハッキングのURLを踏む。
・倉庫の品がなくなっていたら被害届けを出す。
・4〜5ヶ月後に装備とカードが分離されて戻ってくる。

ということが現状の救済では意図的にできてしまいます。
悪用されないためにも、救済条件から中段装備やボスカード、
高精錬装備などを除外していただけますようお願いします。


アカウントハッキングの偽装

・適当なアカウントを取得してボスカードや不要なカードの刺さった高精錬装備品や
　スロット中段品等の高額品を持たせる。
・海外の知人にアカウントとパスワードを使わせ、
　アイテムを別のアカウント等に退避させる。
・被害届けを出す。
・4〜5ヶ月後に装備とカードが分離されて戻ってくる。
・退避させたアイテムを露店等を介して受け取り。
・事実上、公式にDUPEが成立。

ボスカードや高額品を簡単に増やすことができてしまうため、完全な救済はしないようにお願いします。

705 ：（○口○*）さん sage ： 2008/02/17(日) 17:16 ID:QN2t78YH0

>>704
そんな現実的ではないことにいちいち触るな。

706 ：（○口○*）さん sage ： 2008/02/17(日) 17:19 ID:R6igQz8n0

>>704
ageんなよ

707 ：（○口○*）さん sage ： 2008/02/17(日) 17:21 ID:6Y6vehPh0

痛いな…

708 ：（○口○*）さん sage ： 2008/02/17(日) 17:32 ID:bk2MTjIx0

向こうの誘導厨について、目安箱に投げてみた。
我慢しる、で終わる気もするが、何かしらの運営の見解が聞けたらいいなぁ、と。

>まとめ臨時の人
以前からそうだが、ちょっと気負いすぎじゃないかな。
もう少し肩の力を抜いたほうがいいと思う。


>704
痛すぎるが１つだけ。
共犯/教唆/幇助のどれに当たるかは別にして、それは犯罪行為だ。

709 ：（○口○*）さん sage ： 2008/02/17(日) 17:32 ID:/7g5qcjm0

そこまでせんでも、分離した状態で帰ってこないようにすりゃいいだけだと思った

710 ：（○口○*）さん sage ： 2008/02/17(日) 17:46 ID:NByc0fti0

まったくだ

711 ：（○口○*）さん sage ： 2008/02/17(日) 22:49 ID:UN5+zzfg0

というか、>>704自体が中華の差し金じゃね？
垢ハック踏めば、中華の懐は潤うわけで。

712 ：（○口○*）さん sage ： 2008/02/18(月) 01:33 ID:iP9dHRGS0

あと中国以外じゃ逮捕される可能性はあるからな。

713 ：セキュスレ1-936 sage ： 2008/02/18(月) 02:30 ID:HM4as4MY0

hostsRenewの人です。
また少々手を加えたので、Ver0.09として公開致します。

hostsRenew　Version 0.09
ttp://acopri.rowiki.jp/index.php?hostsRenewScript

・処理対象の範囲の判定を変更
　リストの先頭行の空白及びタグを無視して取り込み
　(タグの「<」が来たら行終了扱い)
・excepthostsPath(除外リスト)の追加
　除外リストを指定した場合、その文字列を含む行は
　処理対象外として省きます。
・hostsAppend(Appendモード)の追加
　既存のhostsに危険ドメインの指定（「# Trojan trap sites」から
　「# End of trojan trap sites」の記述）がある場合、それも取り込みます
・Append3wの追加
　強制的に「www.」付きのレコードを作成します
・初期設定の取得URLを変更
　　削除：まとめサイト
　　追加：臨時まとめサイト
　　変更：リネージュ資料室

これに伴い、cfgの設定項目が追加されています。

・excepthostsPathの追加
・hostsAppendの追加
・Append3wの追加

今回もcfgは基本的に設定不要にしており、初期値のままですとVer0.08と
同等の動作をします。

またタスク等で自動処理されてる方はErrMsgFlgの指定に注意してください。

714 ：セキュスレ1-936 sage ： 2008/02/18(月) 02:45 ID:HM4as4MY0

それと危険アドレスのリストに関して注意点を。

hostsRenewで利用している各アドレスのうち、Ver0.08公開時点から比べると
-リネージュ資料室さんのアドレスが変更になっている
（DLは出来るけど、実際には飛ばされている）
-まとめサイトさんの所では既に危険hostsの一覧は提供していない
このように変わっています。

また
-まとめ臨時さんのサイトで新たに一覧の公開がされている
というのもあります。

スクリプトで自動処理している場合、このようなサイト移転・変更には
特に注意してください。

それとgzファイルに対応したものの、初期値でBS Wikiさんのリストを
読み込んでいない理由は>694氏が書かれている通りです。
hostsRenewもそうですが、利用される場合は自己判断でお願いいたします。

715 ：（○口○*）さん sage ： 2008/02/18(月) 19:32 ID:ZyAtt4y00

ああ、ここしばらく垢ハク落ち着いてたのは
旧正月だったからか……激しく納得した

716 ：（○口○*）さん sage ： 2008/02/18(月) 19:41 ID:iRkQHn530

迷惑メールフィルタを覗いてみたら、
正月三が日だけスパムが異様に少なかったなぁ…

717 ：（○口○*）さん sage ： 2008/02/19(火) 00:19 ID:k6XhN08F0

＞総合スレ442
テンプレも埋めずに相談するんじゃねーよ。しかも鑑定依頼ぽい内容だし。

718 ：（○口○*）さん sage ： 2008/02/19(火) 01:40 ID:XjTppWcj0

704がバカすぎてわろた

719 ：（○口○*）さん sage ： 2008/02/19(火) 05:25 ID:sPURH49E0

ネタを本気にしちゃった>>704かわいいよ

720 ：（○口○*）さん sage ： 2008/02/19(火) 06:14 ID:alE6QJMr0

鯖にボスC増やすほどガンホーも馬鹿じゃないだろう。
またかよ鯖の裸サクロはボスC救済されなかったしな。

721 ：（○口○*）さん sage ： 2008/02/19(火) 06:32 ID:50rDsZel0

ボスCは産出の余地があるからそこまで問題でもないかと。
むしろ、今のようなバランスが考慮外の過去に使用されたs中段やらたれ人形が、リユース可能な状態になる方がネック。
これらが新たに入手出来ない事を前提に、課金アイテムなどのバランス取りが行われているのだから。

722 ：（○口○*）さん sage ： 2008/02/19(火) 06:40 ID:fJlxJWF+0

そういうスレじゃないってんだよ

723 ：（○口○*）さん sage ： 2008/02/19(火) 21:05 ID:ExFpVh1q0

誰も書いていないので一応。
「FirefoxとOperaはすぐにアップデートを」セキュリティ組織が警告：ITpro
ttp://itpro.nikkeibp.co.jp/article/NEWS/20080219/294094/

Firefoxは2.0.0.12、Operaは9.25へアップデートが行われていない場合、速やかに更新する事を強く推奨。

724 ：（○口○*）さん sage ： 2008/02/20(水) 01:20 ID:Pf3bYAqJ0

総合スレより

｜444 (^ー^*)ノ〜さん sage New! 08/02/20 01:12 ID:27wzzeHm0
｜価格調査隊は現在はアカハックサイトではないけれど
｜一度ドメインを失効してる以上、現在の管理者が以前と同じとは限らないため
｜ある日突然アカハックサイトに化ける可能性があります
｜なので今後二度とアクセスしないようにしましょう
｜
｜というようなことを主張してるblogがあるのだけれど、この意見は妥当なのでしょうか？

一時的にドメイン失効した段階では書かれていることが生じる「可能性」はありました。
二度とアクセスしないようにというのは、度を越した対応だとは思いますが、危険性という意味ではありです。

但し、数日後に管理者がドメインを再取得した為に（一応は）安全な状態に戻っております。
そのため、「現時点では」的外れです。

725 ：（○口○*）さん sage ： 2008/02/20(水) 01:22 ID:Pf3bYAqJ0

＞総合スレ446
誘導出てるのに、あっちで続けんなっつーに

726 ：（○口○*）さん sage ： 2008/02/20(水) 01:34 ID:Pf3bYAqJ0

よく読んだら、私のコメントもちょっとずれてるな。

そのBlogの人の主張は、以前の調査隊のサイトと、現在のサイトが外見が同じでも、アカの他人がなりすまして
同じに見えるものを設置している（管理者が違う）から、フィッシングサイトのように、知らないうちに危険なものに
なってしまうかもしれないと主張している訳だ。

「ドメイン失効前の管理人と、現在の管理人が異なる」という主張はとんでもない誤り。

ドメイン失効の後、30日間は買い戻し猶予期間となっていて、同じ人の再取得しかできない。
RO店露店調査隊のドメインは、この期間内に復帰していることから、「別人が保持している可能性はない」

そのため、総合スレ444に書かれていることを主張するようなBlogは、指差して笑ってやってもいい。

727 ：（○口○*）さん sage ： 2008/02/20(水) 01:48 ID:fwI7qlWA0

あちらの444です。
以前あちらで調査隊が話題になっていたのであちらに書いてしまいすみませんでした。
今後も今まで通りの感覚で使えば大丈夫ということですね。
コメントどうもありがとうございました。

728 ：（○口○*）さん sage ： 2008/02/20(水) 01:56 ID:r+FJ1xGJ0

ドメイン失効前後のルールは、向こうのスレで既出なので一応リンク。
ttp://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/412-413

念のために補足として、JPNICによる請戻猶予期間導入後のフロー解説。
ttp://jpnic.jp/ja/dom/gtld-policy/rgp.html

以前にpukiwiki■orgが失効に至ったまでの流れ。これも参考になる。

独自ドメインホルダーは、ドメインの有効期限をきっちり自己管理する事が必要。レジストラから事前通知がくるだろうと
任せきりにするのは良くない。mailの不達や、そもそもそういった面倒を見てくれない業者だって存在する。
各種ToDoツールなども、こういった長いスパンでの備忘録として有効でもある。

729 ：（○口○*）さん sage ： 2008/02/20(水) 01:58 ID:r+FJ1xGJ0

あと、そのBlogでの主張は、単にルールについて無知だっただけか、それともツール憎しの考えで悪質な出鱈目を
広めようとしているのか、一概に区別が出来るものではない。念の為に。

730 ：（○口○*）さん ： 2008/02/20(水) 07:25 ID:WIUFLgOB0

中途半端な質問失礼します。
自分のブログに〜mov0025.zip(アドレスは怖いから速攻削除して不明）
が張られたのでダウンロードして解凍してみたらウィンドウズメディアプレイヤーのマークがついて
スクリーンセイバー扱いなファイルがでました。
怖くなったからそのままクリックしないで削除したけど、これって感染しちゃっているのかな？
一応今ファイル検索しているけど、仕事に行かないといけないのにまだまだ時間かかりそうです
解凍した時点でアウトかどうか教えてください。＞後で色々いじりますけど

731 ：（○口○*）さん sage ： 2008/02/20(水) 08:12 ID:Pf3bYAqJ0

>>730
解凍だけならセーフだが速効で消しとけ

732 ：（○口○*）さん ： 2008/02/20(水) 10:45 ID:uTjpd/wa0

神奈川サイバーつながらねええええええええええ

733 ：（○口○*）さん sage ： 2008/02/20(水) 13:06 ID:8f5Uw7Ht0

>>704
＞悪用されないためにも、救済条件から中段装備やボスカード、
＞高精錬装備などを除外していただけますようお願いします。

cを装備に挿したまま返すよう要望すればいいだけなのに
これじゃ高級装備もってる人をひがんでるようにしか見えないぞ

734 ：730 ： 2008/02/20(水) 15:30 ID:WIUFLgOB0

>>731
保障？を確約してくれて有難う。
問題のファイルは投稿する前にゴミ箱にいれてそこも空っぽにして削除しました。
圧縮状態のときにファイルチェックして解凍してからもファイルチェックして安全って
出ていたので油断していました。以後気をつけます。
あと礼（ここのルール）を欠けた質問をした事を深くお詫び申し上げます。
有難うございました。

735 ：（○口○*）さん sage ： 2008/02/20(水) 17:30 ID:ovhokLJj0

>>733
Cが刺さったまま戻ってくるとしても、下に書いてある偽装のほうだと
ハックでとられた事になってる元のアイテムも回収できるから
結局高級品増やせるんだよな。

もちろん偽装も犯罪だ。

>>720に救済されなかった事例もあるし問題ないと思う。
意図的にやられたら嫌なんで似たような要望は送ったけどな。

736 ：（○口○*）さん sage ： 2008/02/20(水) 18:33 ID:DP7qf/B/0

未実装スレ見てて思ったんだが

・アンチウィルスソフト導入済み・パターンファイルは自動更新
・WUは自動更新
・PG2導入済み・自動更新
・hosts変更済み・hostsRenewで自動更新
・アプリのアップデートは気が付いたら/気が向いたら行う
・自発的な各種情報収集（ハクスレ/セキュスレ閲覧含む）は特に無し

こういう人は「アンチウィルスソフトに任せっきりで何もしない」人になるんだろうか？

737 ：（○口○*）さん sage ： 2008/02/20(水) 18:54 ID:hSybzzd80

なんでまたノートンｗ

ttp://www.ragnarokonline.jp/goods/symantec/index.html

738 ：（○口○*）さん sage ： 2008/02/20(水) 19:03 ID:8f5Uw7Ht0

色々な意味で一番宣伝＝金になるんじゃね

739 ：（○口○*）さん sage ： 2008/02/20(水) 19:44 ID:r+FJ1xGJ0

>>692で既出だけど、既存パイプからのコネクションだと思われ。
ttp://bbservice.yahoo.co.jp/service/bbsecurity/

その一方で、TrendMicroのASPサービスは切り捨て。
ttps://ybb.softbank.jp/vista/
ロビー活動の差なのカネ。

740 ：629=670,671 sage ： 2008/02/20(水) 19:47 ID:KQzRG+s70

昨日署に出向くはずでしたが、その前に向こうから電話がありました。

まずガンホーに確認を取るので、いくつか情報を教えて欲しいとのこと。
アトラクションID、最後に正常ログインした日時、異常に気付いた日時を聞かれました。
（>670の時はゲーム名を言っても「らぐなろく…？もう一度お願いします」状態でしたが、
今回は「ガンホー」「アトラクションID」という言葉を使っていました）

こちらからも相方が自宅の最寄署に相談済であることを伝え、
（相方は土曜に署に呼ばれており、向こうの署では状況把握済み）
同一案件としてあちらから連絡し連携したいとのことなので、担当者の名前を聞き出しました。
まずはガンホーに連絡を取り、方針が決まったらまたこちらに連絡をくれるとのことでした。

ここまでで感じたのは、最寄署に連絡する前にまず「ハイテク犯罪対策センター」に一報入れたほうがいいということです。
センターはかなり手馴れてましたので、私のケースのように最寄署に知識が無くても
「本庁のハイテク犯罪センターに相談したところ、こちらで詳しく相談するように言われまして…」
と切り出しておけば連携も取ってくれるようだし、話が通じやすくなると思います。
センターではかなり詳しく状況を聞かれるので、記録も取ってくれているでしょう。


>>732
神奈川県警にはサイバー課があるんですか？
サイバー犯罪専門の課がある管轄と、生活相談課が兼ねてる管轄ではやはり対応違ってきますかね…。

741 ：にゅぼーん にゅぼーん ： にゅぼーん

にゅぼーん

742 ：（○口○*）さん sage ： 2008/02/20(水) 21:25 ID:7AOEgo0U0

テンプレも守れないで個人blog晒すバカは削除依頼して2度と来るな

743 ：（○口○*）さん sage ： 2008/02/20(水) 23:26 ID:E/UoNiRq0

>>726
某レジストラに勤めてる人間からの補足だけど、有効期限満了後に
更新手続きが行われなかった場合、猶予期間はレジストリ管理になる。
このとき、WHOISの有効期限は1年更新されたかのように表示されるので注意が必要。
つまり有効期限満了後のWHOISのexpireを見るだけでは、更新されたかどうかの判断はできない。
さらにDNSサーバも有効期限満了前のサーバが指定されているようにWHOISだと表示されるが、
実際はレジストリのDNSサーバに変更されてたりする（まぁここら辺はレジストリによって違うのかも）

某blogのコメント欄でWHOISのexpire情報が変わっただけで「更新された」と判断してた人がいたので、
ここでも勘違いしてる人がいるんじゃないかなぁとお節介なアドバイスを。

744 ：（○口○*）さん sage ： 2008/02/22(金) 08:57 ID:vsMb8MXD0

【　 　 　 気付いた日時　 　 　 　 　 】 今朝
【不審なアドレスのクリックの有無　】 不明
【　　アドレス 　 】
【　 　　 OS　 　 】WindowsXP Home SP2
【使用ブラウザ 】Sleipnir(常時、ActiveX切)
【WindowsUpdateの有無】 有
【　アンチウイルスソフト 】 NOD32
【その他のSecurty対策 】 PeerGuardian2
【 ウイルススキャン結果】 下記に詳細
【テンプレの参考サイトを読んだか】 Yes
【hosts変更】 有
【PeerGuardian2導入】 有
【説明】PCに詳しくないので、質問させて下さい。

今朝、パソコンを起動したら、NOD32がPeerGuardianからウィルス検出とのメッセージ。
よく分からなかったので、とりあえずPeerGuardianを削除し、再インストールをすることに。
リネージュ資料室を参考に、「PeerGuardian2 for Windows β6b 日本語」をダウンロード
し始めたのですが、ダウンロード中にNOD32がPG2からウィルス検出と警告。

ファイル：C:\ProglamFiles\PeerGuardian2\is-DIREF.tmp 　←たしかこんな名前だったような？
ウィルス：Win32/PeerGuardian アプリケーションの亜種

これと同様の症状が出た方は、他にもいるのでしょうか？

745 ：（○口○*）さん sage ： 2008/02/22(金) 09:23 ID:m8kkeu+d0

2/21の更新でPG2をVirusとして検出するようになったっぽい。
phoenixlabsのフォーラムでも話題になってる。
ttp://forums.phoenixlabs.org/showthread.php?p=114097

理由は不明だが、「Win32/PeerGuardian」と検出してる時点で誤検出じゃなく
決め撃ちだと思う。
(Winnyを危険ソフトと検出するのと似たようなものか？)

公式からDLしてる分には問題ないだろうから、例外扱いにして無視するしか
PG2を使わないようにするかの２択だと思う。

746 ：（○口○*）さん sage ： 2008/02/22(金) 09:36 ID:vsMb8MXD0

>>745
素早い返答ありがとうございます。
とりあえず様子を見ることにします。

747 ：（○口○*）さん ： 2008/02/22(金) 11:45 ID:OvLO+fjL0

>>740

ttp://air1.fc2web.com/as/id.html
こちらの方がサイバー課にかけたそうなので

748 ：（○口○*）さん sage ： 2008/02/22(金) 13:33 ID:eaPmq5hl0

PG2の作成動機の一つとして、P2Pアプリでの個人特定防止や、特定ホストの接続拒否によるネットパトロール回避があるから。
多分、政治的圧力みたいな背景なんだろうか。

749 ：（○口○*）さん ： 2008/02/22(金) 14:08 ID:RUq6Cglm0

カスペルスキーのオンラインスキャンについて質問です。
どのスキャン選べばいいですか？
重要な領域、メモリ、マイコンピュータとありますが、
どれスキャンすればいいですか？

750 ：（○口○*）さん sage ： 2008/02/22(金) 14:11 ID:kewnap5V0

(ﾟДﾟ)……。

751 ：（○口○*）さん sage ： 2008/02/22(金) 15:20 ID:wIxnnrmF0

まぁ初心者さんなんだろう。セキュリティについて興味を持ってくれたのはいい事です。
とりあえず初めてならマイコンピューターでPCフルチェックして貰っていいんでないかね。
時間は掛かるけどね。

752 ：（○口○*）さん sage ： 2008/02/22(金) 15:21 ID:PDk+lJnv0

ドメインをwhoisにかけても
表示されてる意味がさっぱりわからん頭の悪い私がいる

753 ：（○口○*）さん sage ： 2008/02/22(金) 15:26 ID:xxLm7jAM0

>>752
分かりやすいのをもってきた

Domain Name] RAGNAROKONLINE.JP

[登録者名] ガンホー・オンライン・エンターテイメント株式会社
[Registrant] Gungho Online Entertainment,Inc.

[Name Server] ns1.gungho.jp
[Name Server] ns02.idc.jp
[Name Server] ns2.gungho.jp
[Name Server] ns03.idc.jp

[登録年月日] 2002/08/01
[有効期限] 2008/08/31
[状態] Active
[最終更新] 2007/09/01 01:05:05 (JST)

Contact Information: [公開連絡窓口]
[名前] ガンホー・オンライン・エンターテイメント株式会社
[Name] Gungho Online Entertainment,Inc.
[Email] yterai@gungho.jp
[Web Page]
[郵便番号] 100-0006
[住所] 東京都千代田区有楽町
[Postal Address] yurakuchou, Chiyoda-ku, Tokyo
[電話番号] 03-5511-1400
[FAX番号]

754 ：750 ： 2008/02/22(金) 17:10 ID:RUq6Cglm0

>>751
どうもありがとう。
ではアドバイスどおりマイコンピュータでスキャンかけてみます。

755 ：（○口○*）さん sage ： 2008/02/22(金) 19:44 ID:trWAw6rC0

>>747
ああ、なるほど。
そこの「サイバー課」でリンクしてあるところから見ると、
神奈川県警には「サイバー犯罪対策センター」があるようですね。
東京都だと警視庁本庁の「ハイテク犯罪対策総合センター」が窓口で、
そこから誘導されて最寄署の生活安全課に行くという感じです。

756 ：（○口○*）さん sage ： 2008/02/23(土) 01:46 ID:EQErZHq10

>744
今自分がまさにそうなりました。
ログはこんな感じ。

検査時間: 2008/02/23 1:23:22
検査ログ
NOD32 バージョン2896 (20080222) NT
コマンドライン: c:\program files\peerguardian2\pg2.exe C:\Program Files\PeerGuardian2\pg2.exe

日付(日.月.年):23.2.2008 時間:01:23:24
アンチステルス技術は有効にされます。
検査したディスク、フォルダ、ファイル:c:\program files\peerguardian2\pg2.exe
c:\program files\peerguardian2\pg2.exe - Win32/PeerGuardian アプリケーション の亜種
検査したファイル数:1
検出されたウイルス数:1
駆除されたファイル数:1
検査終了時刻:01:23:35検査に要した時間:11秒(00:00:11)

注意:
[2]ファイルは使用中です。駆除を完了するには、システムを再起動する必要があります。

わけわからんと思いつつ、再起動してPG2を削除。
さて…入れなおすかorz

757 ：（○口○*）さん sage ： 2008/02/23(土) 01:54 ID:47yqwTU90

NODがカスツールと化したか

758 ：（○口○*）さん sage ： 2008/02/23(土) 02:17 ID:EQErZHq10

とりあえずPG2入れなおした。

手順は、PG2インストールの際に、インストール先のフォルダを選ぶところまで進めたら、
NODのAMON/設定/除外から、追加...で、フォルダボタンを押し、PG2をインストール
する予定のフォルダを選択して決定ボタンを押す。
これでPG2のインストールを進めても隔離されないで済むので、インストールを進める。

PG2のインストールが完了したら、さらに、フォルダではなくPG2本体を除外設定するために、
AMON/設定/除外から、追加...で、次はファイルボタンを押し、PG2本体を指定して決定ボタンを押す。
本体への除外設定が済んだら、先に除外設定しておいたフォルダの設定を選択し、削除する。
これでPG2本体のみ除外設定が完了。

って感じで入れなおしてみた。なんか変なことしてそうだったら指摘ください。
どういう理由でPG2を隔離対象にしたんだろう…

759 ：（○口○*）さん sage ： 2008/02/23(土) 02:22 ID:+8POwZRQ0

時間 モジュール 対象 名前 ウイルス アクション ユーザ システム情報
2008/02/22 20:28:30 Kernel ファイル C:\Program Files\PeerGuardian2\pg2.exe Win32/PeerGuardian アプリケーション の亜種

もしやと思いログを見てみたらうちにも上記ログが3つ並んでた
pg2.exeはそのまま残ってたので設定から除外に、なんでしょねこれ

760 ：（○口○*）さん sage ： 2008/02/23(土) 03:00 ID:qZzHmgQu0

聞いて欲しい
レースしながらニコニコ見てたら急にIRCの自分のニックネームが
意味不明な文字列に勝手に変わったんだ

この現象は垢ハクと何か関係あるのか教えて欲しい

761 ：（○口○*）さん sage ： 2008/02/23(土) 03:11 ID:qZzHmgQu0

自分でもよくわからないんでスルーお願いします
申し訳ない

762 ：（○口○*）さん sage ： 2008/02/23(土) 04:27 ID:TnIJfCMt0

PeerGuardianの公式にも告知でてるな
乱暴に解釈すると、

ESETがPG2を入れられてるとウイルス感染少なくなって利益でねーからってウイルス扱いした
ESET使ってる人はAvastとかノートン先生に変えてくれ。あとESETのアホ

763 ：（○口○*）さん sage ： 2008/02/23(土) 05:16 ID:+8POwZRQ0

>>762
いや、違うでしょｗ
P2Pソフト（Winnyなど）を利用してるときに、PG2を使って警察機関などからのアクセスをブロックして見つかりにくくしてるから
っていうことじゃないのかな、悪く言うとPG2が犯罪の助長してるというか
「Winnyはウイルスです！」みたいな本当、悪い方だけの極端な扱われ方されたのかも

764 ：（○口○*）さん sage ： 2008/02/23(土) 05:34 ID:pCn1Fvui0

>>760-761
エンコードが化けただけでは？

765 ：（○口○*）さん sage ： 2008/02/23(土) 05:39 ID:+h7P0SmL0

【　 　 　 気付いた日時　 　 　 　 　 】2月23日 3時ごろ
【不審なアドレスのクリックの有無　】クリックしました 
【　　アドレス 　 】www■teamerblog■com/wiki/
【　 　　 OS　 　 】WindowsXP Home SP2 
【使用ブラウザ 】FireFox 
【WindowsUpdateの有無】 自動更新 
【　アンチウイルスソフト 】 ESET Smart Security 
【その他のSecurty対策 】 Spybotとルータ 
【 ウイルススキャン結果】 クリックした時にESETが反応して遮断 
その後でESETでスキャン→検出なし 

【テンプレの参考サイトを読んだか】9割がた読んだと思います
【hosts変更】 無
【PeerGuardian2導入】無 
【説明】 
ROと無関係のwikiでうっかり踏んでしまいESETが反応しました 
検査方法はHTTPフィルタとなっており
脅威名がVBS/TrojanDownloader.Agentの亜種である可能性 トロイの木馬
対応が接続切って隔離となっています（隔離したファイル名はURLになっているのですが…）
以来、そのPCではROには触れずサブPCで色々手段を探したりしています
最終的にはOS再インストールの運びになると思いますが
今のうちに聞いておきたいのは

1．おそらく感染する前にブロックした？（ESETのログファイルの見方が今ひとつ分かって無いorz）
2．これってROのアカハック関係のトロイ？
3．このウィルスの感染？の5分程度前にDNSキャッシュポイズニング攻撃が5回ほど検出
されているのですが、上記と何か関連性はあるのか

いや、リネのアカハックだけならリネやってないから（気分的に）助かるなぁとか
そんな事を思ったりしているのですが

お手すきの識者の方、よろしければ回答いただけると助かります

766 ：（○口○*）さん sage ： 2008/02/23(土) 05:45 ID:pCn1Fvui0

＞1．おそらく感染する前にブロックした？（ESETのログファイルの見方が今ひとつ分かって無いorz）
可能性が高い。

サイズ0のiframeでVB Scriptを呼び出し（これはスルー）
呼びだされたVB Scriptが本体を呼び出そうとするが、それをブロック（した筈）

＞2．これってROのアカハック関係のトロイ？
勿論。既知のアカハックアドレスですし。

＞3．このウィルスの感染？の5分程度前にDNSキャッシュポイズニング攻撃が5回ほど検出
＞されているのですが、上記と何か関連性はあるのか
多分無いけど保証はできない。

＞最終的にはOS再インストールの運びになると思いますが
うん、まぁ、何がどうブロックされたり、隔離されたのかわかってない場合はその方がいいね。

767 ：（○口○*）さん sage ： 2008/02/23(土) 05:55 ID:O71WQi9r0

今使ってるノートンの期限が切れ次第NODに乗り換えようと思ってたのに…どうするかなぁ。

768 ：（○口○*）さん sage ： 2008/02/23(土) 08:25 ID:QgMT1pk90

うちでもNOD32とPG2が喧嘩した。
期限切れたらカスペルに移行かなぁ・・・

769 ：（○口○*）さん sage ： 2008/02/23(土) 08:33 ID:xN+pdGQm0

>>758を参考に、PG2だけ除外設定すれば良いだけなのでは？

770 ：765 sage ： 2008/02/23(土) 09:17 ID:+h7P0SmL0

>>766
早急なご回答助かりました
勉強になりました
あとは時間が出来次第さっくりOS再インストール
しようと思います
ありがとうございました

771 ：（○口○*）さん sage ： 2008/02/23(土) 09:55 ID:lC76xzJA0

>>755
基本的には、各都道府県の警察本部(道府県警/東京都は警視庁)にサイバー犯罪相談窓口が置かれているような状況。
各所轄に専任で置けるほど、人員に余裕がないだろうし。
相談窓口を通して話をしておけば、所轄への申し送りや資料伝達の面でもスムーズに進められるだろうから、地域署にまず
話を持っていくよりも無難だろう。

↓都道府県警察本部のサイバー犯罪相談窓口等一覧。これもテンプレ入りさせた方がよいかも?
ttp://www.npa.go.jp/cyber/soudan.htm

772 ：（○口○*）さん ： 2008/02/23(土) 10:33 ID:lnldAjhn0

>>771
しかしそこまったくつながらない・・

773 ：（○口○*）さん sage ： 2008/02/23(土) 10:41 ID:+8POwZRQ0

>>772
警察関連弾いてたりしない？PG2なんかで

774 ：（○口○*）さん sage ： 2008/02/23(土) 12:52 ID:lroCrcaL0

>>771
ガンホーに被害報告した時、被害に会ったらどうするかというページのURLも送られてきますが
そこにそのURLも載っていました。
でもガンホーにいかずいきなり警察に行く人もいると思うので、載せたほうが良いかもですね。
連絡は早いほうがいいと思いますし。

>>772
私は月曜の昼休みに電話したのですが、全く繋がらず
10分おきにかけるなどし続けて、14時半くらいにつながりました。
どうしても繋がらなければ、センターの番号ではなく署の代表番号にかけてみては？
繋がらない旨を言えば、向こうからかけてもらえるようお願いできると思いますよ。

>>773　サイトではなく、電話が繋がらないのでは？

775 ：（○口○*）さん sage ： 2008/02/23(土) 13:44 ID:fymXDZXg0

社保庁も電話繋がりにくいよ

776 ：（○口○*）さん sage ： 2008/02/23(土) 14:35 ID:dLAB9mnw0

NOD32とPG2使ってるけど、そのエラー出ないな。
除外設定とかしてないし、PG2のフォルダやEXEそのものを指定しても
手動検索かけても検出せず。
環境とも思えないんだが、なんでかねぇ？

OS：Windows2000Server SP4
　　　(自宅鯖だが、稼働状況の関係でWUは先月分まで)
NOS32：バージョン2897(20080222)NT
PG2：2.0　Bata6b(2005/09/18) （※DukeDogの日本語第2版）

PG2で入れてるリストはデフォ分から
・PG2アップデート
・広告
・スパイウェア

追加設定が
・リネージュ資料室のアカハック分
・リネージュ資料室の中韓台リスト
・まとめサイトの垢ハック分

もしかして公式配布純正版だけ引っかかって、日本語版(パッチ当て版)は
引っかからないとか？
もしそうなら亜種を検知してない事になるから、それはそれで問題な気も
するんだが……

777 ：（○口○*）さん sage ： 2008/02/23(土) 15:19 ID:EQErZHq10

自分が入れて引っかかったのは、「PeerGuardian2 for Windows β6b 日本語」なのでそれは無いかと。
>744氏と同様に、リネージュ資料室のPG2導入の手順を踏んでる。

NODの定義ファイルの更新履歴を見ると、Win32/PeerGuardianが追加されているのは21日と22日に
配布されている2894と2895らしい。
http://canon-sol.jp/product/nd/virusupd/index.html

778 ：（○口○*）さん sage ： 2008/02/23(土) 16:08 ID:EQErZHq10

色々あさってたら、理由らしきものの手がかりになりそうなのを見つけた。

ドイツ語のフォーラムっぽいところだけど
http://www.computerbase.de/forum/showthread.php?s=2f1e0c7817f5e29a3b83d82271e46dd3&p=3849693#post3849693
そのなかに、下記のような書き込みがあって、
das ist kein fehlalarm. peerguardian blockiert ein paar update server von eset,
also hat eset peerguardian in die liste der "unwanted applications" aufgenommen.

機械翻訳にかけると、

>Nod32は、PeerGuardianを削除します−これは、少しも誤ってアラームでありません。
>peerguardianは、esetの2、3の最新版サーバーをブロックします、
>したがって、esetは「不必要なアプリケーション」が彼ら/彼女/それに拾ったリストpeerguardianを持ちます。

となる。

参考にしろといわれているURLが↓なんだけど、P2P監視にまつわるアレコレの知識が
無いのでよく分からなかった…
http://www.wilderssecurity.com/showthread.php?t=201030

779 ：（○口○*）さん sage ： 2008/02/23(土) 17:17 ID:ZSsLWOOp0

初期導入（追加でも入るけど）のブロックリストを見に行ってるんじゃないか？
そこにESETのIP範囲が入ってたら反応するとか。

NOD32が反応した人、導入してるブロックリストとNOD32の設定（不要/疑わしいプログラムのチェック）は
どうなってる？

780 ：（○口○*）さん sage ： 2008/02/23(土) 19:08 ID:EQErZHq10

導入しているブロックリストは、下記の3つ。
・Lineageトロイ byリネージュ資料室
・中国・韓国・台湾 byリネージュ資料室
・ROのアカウントハック対策まとめサイトのリスト

PG2本体がブロックする対象のほうが問題のようなので、追加リストは多分関係ないんじゃないかなぁ。
NOD32の設定は、

AMON設定
　「潜在的に不要なアプリケーション」　有効
　[潜在的に安全ではないアプリケーション]　無効
IMON設定
　「潜在的に不要なアプリケーション」の検査　有効
　　[潜在的に安全ではないアプリケーション]　無効

試しにこれを、潜在的に不要なアプリケーションの検査を無効にして、除外設定を解除してみた。→検出されなかった。
さらに試しに、潜在的に不要な〜を有効に戻してみた。→検出されなかった。（除外設定は削除したまま）
理由は分からないが、現在は何の除外設定もせず、NOD32の設定も元に戻して問題なく動いている。

なんでだ？定義ファイル2896か2897で検出対象から外されたのか？
それともPG2がesetの特定のサーバへのアクセスをブロックした段階で検出されるのか？
もう、どうなってるのか分からない。

781 ：（○口○*）さん ： 2008/02/24(日) 08:36 ID:Pe3DUNvd0

ＰＣ初心者なので、無知なところが多いのですが
ご容赦お願いします。
【　 　 　 気付いた日時　 　 　 　 　 】2月23日2時ごろ
【不審なアドレスのクリックの有無　】有
【　　アドレス 　 】慌てて閉じてしまったので確認していません
【　 　　 OS　 　 】WindowsXP Home Edition
【使用ブラウザ 】IE
【WindowsUpdateの有無】 自動更新
【　アンチウイルスソフト 】 ｷﾝｸﾞｽｿﾌﾄｾｷｭﾘﾃｨ
【その他のSecurty対策 】 WINDOS初期のままの状態です
【 ウイルススキャン結果】ウイルスが1個見つかりました
【テンプレの参考サイトを読んだか】現在読んでいます
【hosts変更】 無
【PeerGuardian2導入】無
【説明】
ＲＯのブログのコメントの名前をクリックしたところ、真っ白のHPが開いて
セキュリティソフトの警告ポップアップ（このＨＰはアクセス許可できません、みたいな感じだったと思います）が出ました。

慌ててセキュリティソフトを開いて確認したところ
ウィルス 2008-02-23 01:30:53　ファイルC:\Documents and Settings\個人名\Local Settings\Temporary Internet Files
　　　　\Content.IE5\FSN6GY78\ani[1].c中にウィルス発見　Win32.Troj.ExpAni.a.794 処理失敗（ファイルを操作できない）
とのログがあり、慌てて完全スキャンを実施。
実施後のログは「Win32.Troj.ExpAni.a.794 駆除成功」
今回のスキャンで1個のウィルス及び危険なコードを発見しました。
今回のスキャンで1個のウィルスを駆除しました。
と、出て、」その後隔離する場所に該当ファイルがあったので削除しました。

以上の操作が終わった後に、パス変更をしたのですが
出来ればＰＣ初期化は素人が弄るのは怖いので、避けたいと思っています；
これで当面の緊急対策は大丈夫でしょうか？
他にやったほうがいいことなどあったら、アドバイス頂ければ幸いです。
ＲＯは現在週1回、１DAYで入っている状態で未課金の日が多いのですが
課金していない状態でもアカハックは可能なのでしょうか？
またＲＯ以外のMMOのパスも、全部変えたほうがいいのでしょうか？
質問ばかりで申し訳ないのですが、助言宜しくお願いいたします。

782 ：（○口○*）さん sage ： 2008/02/24(日) 08:58 ID:OTcAccQA0

ウイルス名で検索しても大陸サイトばかりで詳細がわかりませんね。。
踏んだURLがわかればそこで判断付くかもですが

パス変更は出来れば踏んでないPCでパス変えておいた方が良かったけど
不安がらせるワケじゃないけど、1つのソフトでは完全に駆除できてないこともあるから
テンプレのカスペオンラインスキャンでも調べてみて引っかからなければ『多分』大丈夫
・カスペルスキー：オンライン ウイルス＆スパイウェアスキャナ
　　http://www.kaspersky.co.jp/scanforvirus/
より安全を求めるならOS再インストールは免れないかと

課金してない状態なら大丈夫だけど、感染していたら課金時に癌IDなどを抜かれる可能性が
ID・Passを入力した際に抜く手口が一般的ですので
他のネットゲーやWebパスも物によっては危ないですね

783 ：（○口○*）さん sage ： 2008/02/24(日) 09:39 ID:1AX8hJzt0

どこのBlogの何月何日の記事のコメントか書いてあると調査できるんだけどね。

過去に提出したアカハック本体を落とさせるアニメカーソル使用のダウンローダについて、キングソフトから
「ウイルス名：Win32.Troj.ExpAni.a」(ファイル名：ani.asp)
「ウイルス名：Win32.Troj.ExpAni.a」(ファイル名：ani.c)
「ウイルス名：Win32.Troj.ExpAni.a」(ファイル名：ffani.c)
「ウイルス名：Win32.Troj.ExpAni.a」(ファイル名：ttani.c)
という名称で検知されたと報告を受けています。末尾の794は、危険なファイルの名称など、
亜種を示すものですので、カスペの検出名「Exploit.Win32.IMG-ANI.ac」と同じものと思って
間違い無いと思います。

784 ：（○口○*）さん sage ： 2008/02/25(月) 00:03 ID:rqspy8D80

>>781
垢ハックする方が自腹で課金してくる時があると昔どっかで読んだ
癌IDとパス抜かれてるならそういう事もあるのかもしれん

785 ：781です sage ： 2008/02/25(月) 00:39 ID:Exej8AUT0

皆様ご助言ありがとうございます。

>>782さん
先ほど張ってくださった、オンラインスキャンをやってみました。
最初に出たウイルスは検出されなかったのですが、今度は違うものが検出されました；
「Trojan-Downloader.Win32.Agent.alr」というものが出てきたのですが･･･
ウイルス事態は危険地低（緑）と書いてありましたが、これもＲＯアカハック関連でしょうか？

とりあえずこれから、KISをアンインストして皆様の評価が高いようなので
カスペさんのほうで、お試しを使ってみようと思っています。

カスペさんを入れた後、またパス等変えておこうと思います。
今日GVGで1DAY課金しちゃったのでかなりビクビクしています；orz

>>783さん
個人のブログなので、ここに張るのはちょっと悩みます。
張られたコメントなのですが「ジャン＠おでん鯖」という名前で
同じ記事をあちこちのブログに張りまくってるようで、mns検索したら数件ヒットがありました。
このような情報からでも調べることは出来ますでしょうか･･･？

素人ながら、知人にIPを調べるサイトを教えてもらったのでやってみたのですが
IPアドレス　＝＞　「 121■206■67■225 」
ホスト名変換　＝＞　「 225■67■206■121■board■ly■fj■dynamic■163data■com■cn 」

inetnum: 121■204■0■0 - 121■207■255■255
netname: CHINANET-FJ
descr：CHINANET福建行政区ネットワーク
descr：中国Telecom
descr：7,East通り,Fuzhou ,Fujian ,PRC
国：CN → （中国
という結果になりました。(やっぱり中国でした･･･

>>784さん
自腹で課金ですかΣ
先日アトラクションセンターが、国外IPでは接続が不可能になったと聞いたので
保守率がアップしたから｢多分｣大丈夫だろう･･･と期待してたのですが、甘いでしょうか。
｢絶対大丈夫｣というのは無いと思いますが、多少の効果は･･･(希望)

それではまた、何か変化がありましたら書き込ませていただきます。
ありがとうございました。

786 ：（○口○*）さん sage ： 2008/02/25(月) 01:01 ID:gSWAgw8w0

>>785
それはパス抜きトロイなので早急なパス変更が必要です
自宅にない場合は信用できる友達のPCでパス変更した方がいいと思います
駆除していない状態で課金しているとなると尚危険なので安全性の高いPCで、
出来るだけ早くパス変更した方がいいと思いますよ

787 ：（○口○*）さん sage ： 2008/02/25(月) 01:09 ID:rqspy8D80

本スレで出てくる福建人ってそいつの事だったんだな

>>785
そいや最近、国外から弾くようになったんだっけ
自分が784の話を読んだのは確かに結構昔の話ではあるよ

788 ：（○口○*）さん sage ： 2008/02/25(月) 04:21 ID:X71rzPTe0

>>785
続報に感謝。検索条件としては必要十分です。
ファイルの差し替えがあったのか、外のアドレスを踏んでいたのか、>785で上がっているものは検知されませんでしたね。
ro4■exeは検出率が悪いので、差し替えられたばかりなのかもしれません。


ttp://www■gamemmobbs■com/ragnaroklink
ttp://www■gamemmobbs■com/ragnaroklink/Ms06014■htm
ttp://www■gamemmobbs■com/ragnaroklink/ani■c
ttp://www■gamemmobbs■com/ragnaroklink/ro4■exe

index■htm : Trojan-Downloader.HTML.IFrame.dv
Ms06014■htm : Trojan-Downloader.JS.Psyme.kf
ani■c : Exploit.Win32.IMG-ANI.ac
ro4■exe : Trojan.Win32.Inject.qt

789 ：（○口○*）さん sage ： 2008/02/25(月) 05:05 ID:X71rzPTe0

んー、同じ名前での投稿では、下記のものが見つかったけど、「Trojan-Downloader.Win32.Agent.alr」の該当はないなぁ。
本気で差し替えられた後かも知れん。

ttp://linainfo■net/movie/mov0028■zip
ttp://www■rmtro-jp■com/blog/
ttp://www■wacacop■net/wiki/index1■htm
ttp://www■wacacop■net/wiki/send■exe
ttp://www■wacacop■net/wiki/test■exe
ttp://www■wacacop■net/wiki/rost■exe
ttp://linainfo■net/movie/mov0028■zip
ttp://blog■livedoor■jp/ahirun1/
ttp://www■ranninp■com/001358/
ttp://www■ranninp■com/001358/Ms06014■htm
ttp://www■ranninp■com/001358/ani■c
ttp://www■ranninp■com/001358/t1■exe
ttp://www■anoelnet■org/FFXI/
ttp://www■miarakure■com/wiki/index1■htm
ttp://www■miarakure■com/wiki/lin■exe
ttp://www■miarakure■com/wiki/rse■exe
ttp://www■miarakure■com/wiki/ff■exe

index■htm : HTML/Dldr.Rangwik.C(AntiVir)
index■htm : Trojan-Downloader.HTML.IFrame.dv
Ms06014■htm : Trojan-Downloader.JS.Psyme.kf
ani■c : Exploit.Win32.IMG-ANI.ac
t1■exe : Trojan-Downloader.Win32.Delf.dsz
index■htm : Trojan-Clicker.HTML.IFrame.fy
index1■htm : Trojan-Downloader.VBS.Agent.ar
lin■exe : Trojan-PSW.Win32.Magania.bre
rse■exe : Trojan-PSW.Win32.Delf.aih
ff■exe : Trojan-PSW.Win32.OnLineGames.lyx

790 ：（○口○*）さん sage ： 2008/02/25(月) 05:12 ID:X71rzPTe0

>>785
Trojan-Downloader.Win32.Agent.alr について
http://www.viruslistjp.com/viruses/encyclopedia/?virusid=124722

791 ：（○口○*）さん sage ： 2008/02/25(月) 12:19 ID:7LZvJLK+0

>760
IRCネットワークは複数のサーバのリレー上連結が行われているわけですが、
そのネットワーク上で一部経路の切断があることがあります。
この状態から復帰した時に、分断されていたそれぞれのネット内に同じnickの
人がいた場合、IRCの絶対条件であるnickの一意性が確保できなくなります。
これをnick衝突とかnick collisionといいます。このとき一意性確保のために
・古いサーバの場合→双方をIRCから切断する
・新しいサーバの場合→それぞれのnickをランダム文字列に変更する
という処理がなされます。

ので正常動作の範囲です。アカハックとは何の関係もありません。

792 ：781です sage ： 2008/02/25(月) 21:35 ID:6UlF+VPr0

再びこんばんわ。
前回の書き込み中、カスペお試しのソフトでスキャンを掛けていたのですが
最終的には2つウイルスがでました。
1つは完全にＲＯのフォルダでした･･･orz
またあわてて、駆除をしてパスを変更をしました。

今回検出されたのが以下の2つです。

削除しました: トロイの木馬 Trojan-Downloader.HTML.IFrame.dv
ファイル: C:\Documents and Settings\個人名\Local Settings\Temporary Internet Files\Content.IE5\4A0IJ6FX\ragnaroklink[1].htm

削除しました: トロイの木馬 Trojan-Downloader.Win32.Agent.alr
ファイル: C:\WINDOWS\Downloaded Program Files\UERSS_0001_N86M0607NetInstaller.exe

削除後、効果はないかもしれませんが一応ＲＯクライアントを入れなおそうと思い
再度ＤＬを試みているのですがうまく落ちてきません。

他にも今まで使っていたブログのログイン画面に入れなかったりしているのですが
これはカスペさんが何か作用しているのでしょうか？
なにか方法がありましたらご教授ください；

793 ：（○口○*）さん sage ： 2008/02/25(月) 21:50 ID:gSWAgw8w0

tempとインストールされてしまった物に見えるけどクライアントは関係ないんじゃないかな？
というか蔵入れ直すならOS事の方が…、出来ればパス変更は別PCの方が良いとあれｈ…んがんぐぐっ

794 ：781です sage ： 2008/02/25(月) 22:03 ID:6UlF+VPr0

＞tempとインストールされてしまった物に見えるけどクライアントは関係ないんじゃないかな？

だと思ったのですが、なんか気分的な問題で･･･

＞出来ればパス変更は別PCの方が良いと
ｺﾚも２ＰＣなどの環境があれば、こちらのほうが断然良いのは判るのですが
ＰＣ1台しかないので；
ネカフェに行くのも怖い感じがするので迷ってます。

ＯＳを入れなおすのが安全面では、最善なのは知っているのですが
ＰＣに不慣れで怖いのも合って、色々バックアップとらなければならないのも多いので
簡単に出来るほうを選んでみたのです；

カスペを色々弄ってみているのですが、
ＲＯの公式すらつながりませんorz

これは素直にリカバリーにチャレンジするべきでしょうか･･･

795 ：（○口○*）さん sage ： 2008/02/25(月) 22:17 ID:Br1hU5w00

>>794
レッツチャレンジ！
リカバリーは決して怖くなーい　勇気を持てくださーい

796 ：（○口○*）さん sage ： 2008/02/25(月) 22:58 ID:X71rzPTe0

>>792
>Trojan-Downloader.HTML.IFrame.dv
これはIEのキャッシュ。0サイズのiframeでアカハックサイトを読み込ませようと試みるもの。

>Trojan-Downloader.Win32.Agent.alr
>ファイル: C:\WINDOWS\Downloaded Program Files\UERSS_0001_N86M0607NetInstaller.exe
これは発動させた形跡ですね。>>790のリンク先の解説参照。
このインストーラがそのフォルダに落とされた後、インストーラの形式で、他のトロイをダウンロードしようとする訳です。
こいつも、本体ではなく、ダウンローダ。

で、本体はどこかというと、「新種なので見つからない」「ダウンローダまでは入手したが、それを発動させていない」
などの可能性があり、判断できません。>>781で書かれているのが、こいつが落としてきた本体、または、次のダウンローダ
をブロックしたものと思われますが保証できません。

そんな訳で、OS再インストールコースを勧めることになります。がんばってらー。

797 ：（○口○*）さん sage ： 2008/02/25(月) 23:06 ID:X71rzPTe0

>>794
追記

｜ＯＳを入れなおすのが安全面では、最善なのは知っているのですが
｜ＰＣに不慣れで怖いのも合って、色々バックアップとらなければならないのも多いので
｜簡単に出来るほうを選んでみたのです；
使って覚えないと、永遠に不慣れのままですよ。HDDを飛ばした数だけPCマスターに近づきます（偏見）。

どうしても不安なら、HDDもう１台つけて、そっちに新規にインストールして、データが必要になったら、
古いのをつなぐとか…

キングソフトのブロックが、本体発動前だとは思いますが、保証はできないですからね。

｜ＲＯの公式すらつながりませんorz
クライアントのダウンロードは、がんばれとしか。分割して落とすと壊れやすいようですが、
レジューム付のダウンローダを使って落としてみるのがいいと思います。落としたファイルが壊れていないかは
ZIPファイルを読めるもの（7zやLHMeltなど）で、書庫のテストを行って壊れていなければOKです。

798 ：（○口○*）さん ： 2008/02/26(火) 00:13 ID:zoXsC70bO

垢ハックを踏んでからROを起動しない内にウィルス削除してもハックされる可能性はありますか？
踏んでから怖くてネットすら繋いでないので携帯からの書き込みです･･･

2PCはなくて、セキュリティソフトはフレッツウィルスクリア、OSはXPSP2です
他にも書いた方がいいものがあれば分かる範囲ですが書き込みます

今、フレッツウィルスクリアの方で感染したファイルを削除して
カスペのオンラインスキャンをしたら別のものが見つかったので削除して再起動させてから再びオンラインスキャンしてます
垢ハック踏んだのが初めてでパソコン初心者なので、初心者でも分かるように教えてほしいです
よろしくお願いします

799 ：781です sage ： 2008/02/26(火) 00:22 ID:EVHUk+go0

皆様色々ありがとうございます･･･
なんだかリカバリに対する勇気が沸いてきたような･･･っ

＞使って覚えないと、永遠に不慣れのままですよ。HDDを飛ばした数だけPCマスターに近づきます（偏見

確かにそうですね。
今までウイルス自体にあまり引っかかることがなかったので、こういうことでもおきなかったら
ずっと未経験のままだったでしょうし･･･
でも必要ないときにHDDが飛ぶのは勘弁して欲しいです。。。

とりあえず休日を使ってリカバリーに挑戦してみようかな、と。

リカバリをするに当たって、ＳＳやスキン･エンブレムデータ(自分の所の)なんかを
一度ＣＤに落としてリカバリ後に戻したいのですが、そういう場合
ウイルスが残ってたりする可能性はあるのでしょうか？

＞｜ＲＯの公式すらつながりませんorz
＞クライアントのダウンロードは、がんばれとしか

カスペさんが何かしちゃってるみたいでして
公式HPのＴＯＰ自体が開いてくれないのです；
これって閲覧するHPを登録する必要があったりするのでしょうか？

Kaspersky Internet Security 7.0
The requested URL http://www.ragnarokonline.jp/ is forbidden

というメッセージが出てしまうのですが
この理由をご存知の方いらっしゃいましたら、お教え頂けませんでしょうか。
色々お手数掛けて申し訳ありませんorz

800 ：781です sage ： 2008/02/26(火) 00:24 ID:EVHUk+go0

あああぁ･･･ごめんなさい！
ピリオドを変換するのを忘れて投稿してしまいました。
重ねてお詫び申し上げます；

801 ：（○口○*）さん sage ： 2008/02/26(火) 00:47 ID:LviOJRWY0

>>798
ROのログイン時やアトラクションセンターログイン時に盗むので、
ログインなどをしてなければ問題は無いです。
物によっては別ゲーやMixiやメッセンジャー、ブログやメールのなどのパスも盗むのもあるようですので、
とりあえずはそういったパス入力系のものをしてなければ被害は無いです。
対策としてはやはりOS再セットアップしてからのパス変更がいいと思います。

>>799
＞リカバリをするに当たって、ＳＳやスキン･エンブレムデータ(自分の所の)なんかを
＞一度ＣＤに落としてリカバリ後に戻したいのですが、そういう場合
＞ウイルスが残ってたりする可能性はあるのでしょうか？
今の所の垢ハックトロイはその辺りに感染するものは無いようですが、
今後そういう所に紛れ込むタイプが出る可能性とかはありますので、
こちらの口から「100%安心！」とは言えない、といった所ですね。

あとOSのリカバリは、OSのCD入れてフォーマット選んでフォーマットしてから、
あとは軽い入力して画面見てるだけで勝手に終わらせてくれますよ。
物によってはOSのディスクにフォーマットの項目ないので自分でコマンド打つ事になりますが、
予想以上に簡単な物ですので安心してください。時間がちょっとかかる程度です。
あとはネットに繋ぐ時に設定とかパスとかが必要ならそこら辺をメモしておくなりすれば大丈夫。

802 ：798 ： 2008/02/26(火) 01:00 ID:zoXsC70bO

>>801
お早い返答ありがとうございます！
私もご教授のあった通りOSのリカバリしてみます。
その際に必要なものはCDに移さないと消えますか？

携帯からで、しかも素早く対処したかったのでテンプレ通り書いていなくて申し訳ありませんでした。

803 ：（○口○*）さん sage ： 2008/02/26(火) 01:58 ID:bEJJhGLe0

＞Kaspersky Internet Security 7.0
＞The requested URL http://www.ragnarokonline.jp/ is forbidden
＞
＞というメッセージが出てしまうのですが

ああ、それね。カスペのペアレンタルコントロール切らないと、18禁サイトとか不適切なとこはブロックされます。
そのブロック時のメッセージですね。ちなみに2chもブロック対象です。(笑)

ペアレンタルコントロールを切るか、大人に切り替えましょう。

804 ：（○口○*）さん sage ： 2008/02/26(火) 02:02 ID:bEJJhGLe0

そうそう、OSインストール後は、WindowsUpdateをまとめて一気に当てるのが大変です。

そんな貴方にSP+メーカー。
http://www.ak-office.jp/

SP適用済みCDを作成してOSの入れ直しを支援してくれますが、画面の「高度な設定」をクリックし、
「HotFix専用インストールCDを作成する」にチェックを入れると、サービスパッチ、WindowsUpdateを
まとめて全部当ててくれるCDをつくってくれます。

805 ：（○口○*）さん sage ： 2008/02/26(火) 02:04 ID:LviOJRWY0

OS入れなおしの前にフォーマット（初期化）するので勿論消えてしまいます。
OSの入っているHDD以外にもHDDがあるならそちらに残したいものを移せば消えません。
もしくはCDやDVDに焼くとかですね。

私も昔踏んだときに死ぬほど焦ったのでお気持ちはわかります。
とりあえずはログインさえしなければ被害は無いはずですので、
焦っていると色々ミスをしやすいので、ゆっくりと落ち着いて対処してください。

あとはお二方とも復帰後はWindowsUpdateをお忘れの無きよう…PG2の導入もﾏｼﾞｵﾇﾇﾒ。
バックアップしたデータも、あらかじめウィルスチェックしてから戻すといいかもですね。

806 ：781です sage ： 2008/02/26(火) 02:05 ID:EVHUk+go0

>>801さん

ありがとうございます、早速明日あたりに挑戦して見ます。

＞物によっては別ゲーやMixiやメッセンジャー、ブログやメールのなどのパスも盗むのもある
これはＰＣに記憶してあるもの(クッキー？でしたっけ)も読み取られちゃうのでしょうか。

色々初体験で怖いこともありますが、
こういうのを聞ける機会が出来てよかったと思うことにします。
まずはバックアップとる所からがんばってみます。
ありがとうございました！

問題はカスペさんだー･･･

807 ：（○口○*）さん sage ： 2008/02/26(火) 02:36 ID:+9mVusFQ0

RO系のブログ巡りをしてたら
ブログを開いた所で
Trojan downloader:JS/Agent,FT
と言うのが検出されました。そのまま即時削除実行。
ROにINしてない状態でしたので、
ウィルスとスパイウェアスキャンを2回実行して何も検出されなかったのでもう大丈夫でしょうか？

808 ：798 ： 2008/02/26(火) 02:42 ID:zoXsC70bO

>>805
なるほど、やはり消えてしまいますか･･･
丁寧なアドバイスありがとうございます！

連続質問で申し訳ありません
カスペのオンラインスキャンでロックされているファイル以外は感染してなかったのですが
ロックされたファイルにウィルスが入り込んでいることはないのでしょうか？

809 ：（○口○*）さん sage ： 2008/02/26(火) 07:49 ID:9l/2i6lw0

>>807
たぶん大丈夫。
JSってことはスクリプトで、これを止めたのなら
exeが実行されることはまずない。

810 ：（○口○*）さん sage ： 2008/02/26(火) 11:29 ID:+9mVusFQ0

>>809さん
返答ありがとうです。

811 ：791です sage ： 2008/02/27(水) 00:30 ID:uLEhav8m0

事後報告になりますが、今日リカバリーをして見ました。
リカバリ後に、癌パスとアトラクションパスのほうも再度変更をして
ＲＯのほうもアカの様子を見てきたのですが、現状だと大丈夫のようです。
ご助言くださった方々、本当にありがとうございました！

ただＲＯを起動しようとしたら、カスペさんが悲鳴上げまして

「疑わしいオブジェクトです:
　リスクウェア Hidden object　C:\Gravity\RagnarokOnline\Ragexe■exe」
というものが出てしまって、隔離後にＲＯが起動しなくなったのですが

解除しようとすると「これは悪意のある〜」とかいう警告が出てしまって、どうしていいか困っています。
これは誤検出なのでしょうか･･･
それともクラＤＬ時に、また何かくっついてたのでしょうか；

812 ：（○口○*）さん sage ： 2008/02/27(水) 01:07 ID:dF7wkw7H0

不正ツール対策でクライアントを隠蔽しようとする行為が、
プログラム的には相当行儀が悪いので、それを警告してる。
誤検出ではないし、警告出たからって即アウトという話でもない。

813 ：（○口○*）さん sage ： 2008/02/27(水) 01:27 ID:cRDwfroO0

「リスクウェア Hidden object」というのは、>812さんの言っているように、「プロセス隠蔽」の挙動のこと。
検知を免れようとするウイルスなどがよくこの手法を使う。（rootkitという言葉に聞き覚えあるんじゃないかな）
だから、リスクのある挙動をするプログラムとして警告されているんです。

タスクマネージャの画面見てると、Ragexe.exeが一瞬起動して、すぐに隠れてしまうことがわかると思いますが
これがROの挙動です。

こんな怪しげな動作をしていても実行していいよという場合は、解除してプレイしましょう。
なんかやだなと思ったら、ROをアンインストールして、癌ID削除してPCをきれいにしましょう。

リスクウェアを動作させるかどうかは、あくまでも自己責任です。
なお、プロアクチブディフェンスをONにしていると、nPro自体がキーロガーとして検知され、RO起動画面で
警告されますが、プロセスが隠蔽されている為、許可リストに加えることができません。
面倒でも、毎回許可を出す必要があっても泣かない。

814 ：791です sage ： 2008/02/27(水) 02:45 ID:uLEhav8m0

>>812>>813さん

なるほど、リスクウェアというのは
必ずしもウイルスに感染している物とは限らないんですね。
人でいうならば挙動不審などの怪しい行為も入るのですか･･･

アカハックなどの感染でないのなら
安心して解除してプレイすることにします。

＞不正ツール対策でクライアントを隠蔽しようとする行為が、
＞プログラム的には相当行儀が悪い

＞Ragexe.exeが一瞬起動して、すぐに隠れてしまう

今までプログラムを意識して考えたこともなく、プレイしていましたが
今回のことで、ただゲームをするだけでなく知っておいたほうがいい事が沢山あるんだなと思いました。
ここでは大変お世話になって、(これからもなるかもしれませんが)
本当に助かりました。
ありがとうございました！

815 ：（○口○*）さん sage ： 2008/02/27(水) 03:27 ID:srajTQzo0

SpybotのアップデータDLしようとしたら不良なチェックサムだらけ
なんだこりゃ(´･ω･`)

816 ：798 ： 2008/02/27(水) 09:48 ID:xNp7K8wIO

えっと、OSのリカバリをするといいというアドバイスをいただいてしようと思ったのですが
付属しているどのCD-ROMを使ったらいいのか分かりません･･･。
分かる方がいたら教えていただけませんか？
パソコンはVAIOを使っています。

817 ：（○口○*）さん sage ： 2008/02/27(水) 10:00 ID:9qG5NrCv0

バイオの何を使っているのか、型番を書けばおせっかいな人が教えてくれるかもしれないが、
あまりにも基本的なことだし、まずは自分で付属のマニュアルを
読んでみるくらいの努力はしてから質問しよう。

パソコンを買ってきた時の状態に戻す（OSのリカバリの）方法は
マニュアルに必ず書いてあるはず。目次をたどれば、それっぽい項目があるだろう。
（「困ったときは」とか多分そんな項目があるはず）
そこに、どのCDを使うかとかもちゃんと書いてあるはず。
バイオなんかのマニュアルなら、パソコンの初心者さんでも分かるように書いてあるはずだし、
どうしてもマニュアルを読んでも分からなければサポートセンターに電話してみるという手もある。

どうしてもここで質問したいならば、最低限マニュアルに目を通して、
もっと具体的に何が分からないのかハッキリさせてから質問しよう。

818 ：（○口○*）さん sage ： 2008/02/27(水) 10:00 ID:U3F8p9KQ0

>>816
それは同じ機種を持っている人じゃないとわからないことなので、
聞くなら２ちゃんのVAIOスレ行って機種名言ってアドバイスもらったほうがいいかと思います。
というか、説明書とかついていませんか？
普通どのディスクがどの用途なのか、載っていると思いますが。

819 ：（○口○*）さん sage ： 2008/02/27(水) 10:01 ID:oi8bveQN0

っていうかいまどきリカバリーディスクなんてついてるの？
自分でCD-RなりDVD-Rなり買って焼けってなってね？

820 ：（○口○*）さん sage ： 2008/02/27(水) 10:14 ID:TuQeMpu00

ROエラースレから誘導されてきました。
ウィルスバスター2008の挙動に関しての質問なのですが…
現ログを見ても同様の例が見あたらず、過去ログもdat落ちしていたので質問させて下さい。


【OS】WindowsXP Home SP2 (SP等まで正確に書く)
【使用ブラウザ】IE7.0 / Sleipnir2.62
【WindowsUpdateの有無】 有り(現時点でソフトウェア関係で無いものは全て適用済み)
【アンチウイルスソフト】 ウィルスバスター2008
【その他のSecurty対策】 特になし
【 ウイルススキャン結果】 特になし
【テンプレの参考サイトを読んだか】 バスターがないのですが、必要であれば読みます
【hosts変更】無だと思います(バスターでの検出もない為)
【PeerGuardian2導入】無

【説明】ROを起動した際、ウィルスバスターが「Ragnarok.exeがdllを不正に変更しようとしたのを拒否しました」という旨のアラートを出すことが時々あります。
　原文を見ようと思って何度かRoを再起動してみたのですが、警告が出なかったのでログを漁ってみました。
　ログは一応あったのですが、1件1件の詳細が表示されるものの、表示が完璧でない(長いフォルダ構造などが略されてしまう)ので
　情報が足りないかもしれませんが…
　ログには次のような詳細が記載されていました。

[種類]API Event
[検出リソース/プロセスID]NtUserSetWindowsHookEx
[ファイル名]C:\Gravity\RagnarokOnlin...(恐らくRagnarok.exeの事だと思います)
[該当ポリシー]DLL(プログラムライブラリ)インジェクション
[実行した処理]拒否

これに関しては、ウィルスバスター2008の方の例外処理によって許可してしまっても良いのでしょうか？

821 ：798 ： 2008/02/27(水) 10:14 ID:xNp7K8wIO

すみません。
えっと、マニュアルを読んだのですが
Windowsからリカバリをする
本機を出荷状態に戻す
Windowsが起動しない状態でリカバリをする
パーティションサイズを変更する
ハードディスク上のリカバリ領域を削除する
という項目があってOSをリカバリするというのが見当たらなかったのです。
どれに当てはまるのかも判断できずにいたので聞きました。
使っているPCはVAIOのPCV-HX50Bです。

822 ：（○口○*）さん sage ： 2008/02/27(水) 10:18 ID:nIeK5FG+0

>>821
わからないなら本機を出荷状態に戻すを選べばOK。

823 ：（○口○*）さん sage ： 2008/02/27(水) 10:19 ID:9qG5NrCv0

ようするに全部何もかもリセット→出荷状態に戻せってコトです。
本機を出荷状態に戻すを実行してください。

824 ：798 ： 2008/02/27(水) 10:25 ID:xNp7K8wIO

>>822､823
なるほど。分かりました。
以前システムリカバリした時は専用のCD-ROMがあったのでOSリカバリのCD-ROMもあるのかと思っていました…。
教えてくださった方々ありがとうございました。

825 ：（○口○*）さん sage ： 2008/02/27(水) 11:20 ID:uoB4dHge0

すいません、ちょっと質問させてください
aguseでチェックしようと思いましwww■aguse■net/のほうに繋いでしました
本家のほうはnetではなくjpに変わったという事がわかりましたが
netのほうを開いたらポップアップブロックがされたり、勝手に違う画面になったんですが
スパイウェアとかマルウェアが仕込まれてるページになってしまったんでしょうか？

826 ：（○口○*）さん sage ： 2008/02/27(水) 11:26 ID:qGPkaCso0

不安になった即スキャン
これが俺のまさよし

827 ：（○口○*）さん sage ： 2008/02/27(水) 12:27 ID:dwa5e8Mb0

リネージュ資料室さんの中国･韓国･台湾リスト(@危険URLも)が更新されてるね

828 ：（○口○*）さん sage ： 2008/02/27(水) 17:37 ID:cRDwfroO0

事前コメント

＞物質スレで質問してる人
いいから黙ってＯＳ再インストール（もしくはPCのリカバリ）コース行ってこい。

どうしても、安全だと思い込みたいなら、カスペのオンラインスキャンでもやった後にしとけ。

829 ：（○口○*）さん sage ： 2008/02/27(水) 17:55 ID:2W3MYo610

>>828
今完全スキャンしているところです
こんなところまで助言しにきていただけるとは、痛み入ります

830 ：（○口○*）さん sage ： 2008/02/27(水) 23:49 ID:iiF3did90

C:\WINDOWS\system32\smss.exe
リスクウェア 「Hidden object」。の亜種として検知しました！

と上記のがｶｽﾍﾟﾙｽｷｰでｷｬﾗｾ画面で出たのですが
信頼ゾーンに追加で大丈夫なのでしょうか？

831 ：（○口○*）さん sage ： 2008/02/27(水) 23:58 ID:k8nZ+OwU0

それは、nProの副作用で出てるので個別に入れるときりがなくなる。

(ROをインストールしている場所)\RagnarokOnlineをサブフォルダ含むで信頼ゾーンに入れて、
指定タスクをプロアクティブディフェンスにするのが手っ取り早い。

もしくは、プロアクティブディフェンス自体を無効化する。


どっちの設定にしてもガードは弱くなるので注意

832 ：830 sage ： 2008/02/28(木) 00:10 ID:xFKmi7M10

なるほど　とりあえず一安心です。
設定はこれからにらめっこしてみることに
ありがとうー

833 ：（○口○*）さん sage ： 2008/02/28(木) 00:52 ID:tVWOOXPr0

【　 　 　 気付いた日時　 　 　 　 　 】 2008年2月28日0時30分くらい
【不審なアドレスのクリックの有無　】有り　アプリコットカフェに貼り付けてあったアドレス
【　　アドレス 　 】www■geocities■jp/mbgytro1/hrk/
【　 　　 OS　 　 】WindowsXP Home SP2
【使用ブラウザ 】Sleipnir2.6.2 JaneDoe View α ( build date: 060528 )
【WindowsUpdateの有無】 2週間くらい前
【　アンチウイルスソフト 】 NOD32(2905)
【その他のSecurty対策 】
【 ウイルススキャン結果】 NOD32検出なし　カスペルスキーオンラインスキャン　ただいまスキャン中
【テンプレの参考サイトを読んだか】 Yes
【hosts変更】有　
【PeerGuardian2導入】導入済み（リネージュ資料室のリスト＋まとめサイトのリスト）
【説明】
JaneでNG設定しようとして寝ぼけてクリックしましたorz
クリックした瞬間「あ」と思って閉じてしまったので挙動はよくわかりません。
ただのアダルトサイトだといいのですが不安になってカスペでスキャン中です。
アドバイスいただけると助かります。

ソースチェッカーオンラインの結果は下記の通りです。
-- 「2008/02/27 13:39」のキャッシュをチェックしています。 --
★ブラクラチェックが終了しました。

※ ジャンプタグを発見しました。(1)
http://cloudxxxangel■web■fc2■com/i/
※ 隠しスクリプトを発見しました。(7)
http://js6■infoseek■co■jp/bin/96/25014■js
http://js5■infoseek■co■jp/bin/12/20465■js
http://bc■geocities■yahoo.co■jp/js/gg■js
http://bc■geocities■yahoo■co■jp/js/geov2■js

834 ：（○口○*）さん sage ： 2008/02/28(木) 08:04 ID:xjdWdUeX0

エロ業者。アカハック関係無い。

835 ：（○口○*）さん sage ： 2008/02/28(木) 08:41 ID:tVWOOXPr0

ありがとうございます。カスペのスキャンでも検出なしでした。
1クリックで飛ばないようにJaneの設定変えてきます。

836 ：（○口○*）さん sage ： 2008/02/28(木) 16:06 ID:qclPEwIj0

お尋ねします。かすぺがData Executionというのに反応したのですが
これは感染しているのでしょうか。
ご存知のかたいらっしゃいましたらよろしくおねがいします。

837 ：（○口○*）さん ： 2008/02/28(木) 16:43 ID:6T8dpdbFO

南無

838 ：（○口○*）さん sage ： 2008/02/28(木) 16:51 ID:qclPEwIj0

ああ、感染ですか・・・。
露店をしていたらいきなり、かすぺが悲鳴をあげたので・・・
感染しているにもかかわらずログインしてしまいました・・・orz

839 ：（○口○*）さん sage ： 2008/02/28(木) 17:09 ID:Jjy4jZ4A0

Data Execution はメモリのデータエリアでプログラムが動作した時に反応するものだったような。
XP以降ならDEPという機能で保護が掛けれる。

それ単体は、古いプログラムや無作法なプログラムでも反応する事がある。
XPのSP2が出た当時に動かないプログラムが出たが、内何割かはこれが原因。
勿論ウィルスもその手法を使ったりするので、それだけでは無害かどうかは何とも言えない。

>838
反応したプロセス名やプログラム名とか、もう少し詳しい情報が無いと何とも言えない。
露店中に反応というが、他の常駐プログラムが反応した可能性もある。

840 ：（○口○*）さん sage ： 2008/02/28(木) 17:23 ID:3I3gj8N+0

ちと亀だが、>>815
アップデートのダウンロード先の鯖を別のにすれば、問題ないみたい。

841 ：（○口○*）さん sage ： 2008/02/28(木) 18:04 ID:0My1s2hA0

>>839
レスありがとうございます。
カスペでチェックして、何も出てきませんでした。
ハックURLを踏んだ記憶もないので、ROとは関係ないものなのでしょうか。
一応、別PCではパスワードを変更しましたが、リカバリーが一番なのでしょうか？

カスペが悲鳴をあげたときに、拒否して、ｶｽﾍﾟでチェックしたら何もなかったと
いうのは、どういうことなのでしょうか？
拒否＝駆除なのですか？
初歩的な質問かもしれませんがよろしくお願いします。

842 ：（○口○*）さん sage ： 2008/02/28(木) 21:09 ID:BQCsap990

だから、何にどういう反応をしたのか書かんと、
悲鳴を上げたとかふざけてるとしか思えんよ。

843 ：（○口○*）さん sage ： 2008/02/28(木) 21:29 ID:MPDmjetG0

mixiの日記コメントにアカハックらしきURL張られてしまいました。
（あからさまに怪しかったので私は踏んではいない）
状況は
・今日の16時すぎにアカハックコメント書き込まれる
・20時過ぎに気づいてコメント削除
・踏んだ可能性のある人にはその旨通知済み

で、運営側には通報する準備中。
これ以外になにかするべき事（公的機関に通報しないといけないの？とか）
あったら教えていただけませんか？

844 ：（○口○*）さん ： 2008/02/28(木) 22:03 ID:TVowHpCR0

【　 　 　 気付いた日時　 　 　 　 　 】 ２００８年２月２８日　２１：２０
【不審なアドレスのクリックの有無　】 なし
【　　アドレス 　 】なし
【　 　　 OS　 　 】WindowsXP Home SP2
【使用ブラウザ 】firefox　2.0.0.12
【WindowsUpdateの有無】 ２００８年２月２８日　２０時頃まとめて
【　アンチウイルスソフト 】 カスペルスキー７．０
【その他のSecurty対策 】 ルータ、ＰＧ２
【 ウイルススキャン結果】 検出なし
【テンプレの参考サイトを読んだか】 Yes
【hosts変更】なし
【PeerGuardian2導入】有り（リネ対策室、アカハック対策スレまとめ）

もしスレ違いでしたらすみません。
今現在ＰＣのクリーンインストールが終わって環境復旧中なのですが、
うっかりカスペのプロテクトを切ってしまって（一瞬でしたが）その時に
ＰＧ２がlineaga．comというドメインをブロックしました。
ＯＳ入れ替えたばかりでＨＤＤの中は綺麗なはずですし、カスペもＰＧ２も
最新に更新済み。スキャンでも問題ありませんでした。

本題なのですが、クリーンな状態のＰＣでもＰＧ２が危険ドメインをブロックする
というケースはありますか？
誤ブロックならいいのですが、不安になってしまって…。
初歩的な質問かもしれませんが、御教授ください。

845 ：844 ： 2008/02/28(木) 22:20 ID:TVowHpCR0

連投申し訳ありません。
lineaga．comをブロックしたタイミングですが、どうやらＶＧＡ
ドライバ更新の参考に開いたＢＢＳの過去ログを閲覧した時のようです。
一応ＵＲＬを記載しておきます。
ttp://winxp■pasokoma■jp/6_123123■html

846 ：（○口○*）さん sage ： 2008/02/28(木) 23:12 ID:AHf+6Xv90

>841
>839の言うように詳しい情報が無いと何とも言えない。
ログに残ってるだろうから、それを書いては？

>842
カスペはウィルス検出するとm9(^Д^)ﾌﾟｷﾞｬｰとも聞こえる
悲鳴音っぽいので警告するんだ

>845
そこ見てきたが確かにPG2が反応してる。
で、結論から言えば「恐らく」無害。

該当のIPが「8■15■231■109」で、ソースに記載されたアドレスを調べた結果
「www■googlecounter■com/gcount■js」がこのIPだった。

名前にgoogleが入ってるが多分本家googleとは無関係。
今はカウンターサービスもやってないみたい。

このIPは昔はzhangweijp系の罠ドメインがあったIPで今もPG2のリストに
載ってるから反応した。
つまりPG2の動作そのものは正常。

後ここはどうもドメインが失効してる感じなので、「多分」無害と「自分は」思う。
どちらにせよPG2がブロックしてて、更にカスペのチェックでも何も見つからなかったのなら
PCは「多分」汚染されてない。

不安ならもう一回クリーンインストールって手もあるけど。

847 ：844 ： 2008/02/28(木) 23:53 ID:TVowHpCR0

>846さん

レスありがとうございます。
罠ドメインの抜け殻に反応した、という解釈でいいのですかね。
さすがに再度のクリーンインストールは骨が折れるので、このまま
様子を見てみます。
…ちなみに、クリーンインストールした理由は今回と同じ、不審なブロックが
多数有ったのにカスペが反応していなかったから…だったりします。
カスペで検出できないトロイでも入り込んだかなと思って、なら再インストール
してしまえと。
最近ＣＲ連打やハエ連打で鯖キャンすることがよく有ったもので、
「鯖キャンが不自然に多いのはアカハックを疑った方がいい」という
書き込みを某所で見たのもあり、少々神経質になりすぎていたようです。
鯖キャンは回線の問題だったのかな…光にしてからほとんど落ちなかった
のだけど。
なにはともあれ、本当にありがとうございました。

848 ：（○口○*）さん ： 2008/03/03(月) 17:21 ID:B6iuYTQt0

自分のブログにも謎の書き込みがありました。
危険と感じてすぐにコメントを削除したためＵＲＬなどは覚えてませんが、ＤＬしてしまいました。
ファイルは100ｋ程度のzipで開いてみるとスクリーンセイバーとなっており、書き込みのホストを見てみると数字のみのホストでした。

すでにそのファイル自体は削除してゴミ箱からも消しましたがまだ危険なのでしょうか、また危険ならばやはりＯＳを再セットアップする他ないのでしょうか？質問ばかりすみません。

849 ：（○口○*）さん sage ： 2008/03/03(月) 17:37 ID:zoPZvtzu0

>848
質問用テンプレを埋めて欲しいところだが……
どちらにせよそれだけの情報では何とも。


基本的にZIPファイルをDLしただけなら無害。
解凍しただけでは基本的には罠が仕込まれてても実行されてない。

ただそのZIPに脆弱性を付くタイプの罠が仕込まれてた場合、解凍時に
罠を発動させることも可能。
もし脆弱性を持つ解凍ツール等を使ってた場合、解凍した時点で罠に
引っかかった可能性もある。

取り合えず罠を踏んだという想定の元で、テンプレ読んでカスペの
オンラインスキャン等でHDDを全部チェック。

万全を期すならOS再インストール。

850 ：（○口○*）さん ： 2008/03/03(月) 17:47 ID:B6iuYTQt0

>>849
本当にありがとうございました。テンプレ使うの忘れてました。
今からカスペルしてきます。
一応解凍はラプラスです。

851 ：（○口○*）さん sage ： 2008/03/03(月) 18:21 ID:ZYEhGERN0

なんで怪しいと思うファイルを展開するんだ…？

852 ：（○口○*）さん sage ： 2008/03/03(月) 19:32 ID:0k+wcBXY0

そこにエロがあるからさ・・・！

853 ：（○口○*）さん sage ： 2008/03/03(月) 21:32 ID:14VJqhUJ0

>>848
謎の書き込みの時点で削除だけで終わらせればいいのに、
DLしてしまうのが理解不能。セキュリティ意識が低いと言わざるを得ない

854 ：（○口○*）さん sage ： 2008/03/04(火) 01:31 ID:Zs7WSaV60

昨日というか一昨日2chでウィルスURL踏んだんだが
垢ハクじゃねーだろうな('A`)

踏んだ際Avast!先生が反応したからすぐ遮断して、
RO起動してたから、すぐ消してカスペルオンライン→Avast!→spybotの順で
削除させたんだが
その間のスパイウェアやウィルスは検出されなかったけど

因みに踏んだ場所は例の奈良人形のスレでのURL
友達がRoとなんら関係の無い文体とスレで油断して踏んで垢ハック被害受けたから
怖すぎる

855 ：（○口○*）さん sage ： 2008/03/04(火) 01:39 ID:wEVCvgxl0

そのURLがないとどうしようもないしなぁ
かといってこのURLは安全ですか？スレでもないし

まぁ不安ならOS入れ直しておけとしか

856 ：（○口○*）さん sage ： 2008/03/04(火) 01:53 ID:Zs7WSaV60

未だにdat行かずに残ってたのでURL晒してみる
とうぜん■で隠します
ttp://up■oda.2ch■library.com/s■c/lib013■28.jpg

857 ：（○口○*）さん sage ： 2008/03/04(火) 02:03 ID:4Zt1BAJb0

取りあえずテンプレ読んでこい。
話はそれからだ。

858 ：（○口○*）さん ： 2008/03/04(火) 02:38 ID:R9ZgfL5iO

カスペにノートンから乗り換えたのですが、
注意を促すアラートがRoに対して頻度が多く困っています
nProが反応しているんだねと友達はいいますが、余りの頻度に
ソロ狩りしていても、アラートを許可する作業中に死んでしまいます
何か対処ほうはありますか？

859 ：（○口○*）さん sage ： 2008/03/04(火) 03:11 ID:BHS+xIuP0

ROを除外リストに入れなきゃダメだろ
俺もノートンからカスペに乗り換えたクチだけど
何にもエラー出ないぞ

860 ：（○口○*）さん sage ： 2008/03/04(火) 05:32 ID:Uqj/oFMf0

>>854
はいはい、ＯＳ入れ直してから出直しておいで。

861 ：（○口○*）さん sage ： 2008/03/04(火) 10:37 ID:GZmV2LPv0

>>854
RO（に限らずMMO全体だが）の垢ハックアドは、
今じゃどこにでもあるぞ。
まったく関係ないスレでROやらリネやらの垢ハックなんて腐るほど見た。

862 ：（○口○*）さん sage ： 2008/03/04(火) 10:55 ID:WOE236fu0

今はサービス終了してるが、その昔カゴメの野菜生活ネットに罠書き込みがあったって
報告もあったし。
関係ないスレどころか関係ないBBSやSNSとか、中華は手当たり次第に爆撃してる。

それよりも>856
せめてテンプレ、それが無理なら>1ぐらいは読もう。
>とうぜん■で隠します
アドレスの一部を伏字にして「とうぜん」なんて言われても、その、なんだ、困る。

863 ：（○口○*）さん sage ： 2008/03/04(火) 10:55 ID:Uqj/oFMf0

総合スレではなく、こちらが担当と思われるので転記。

分解してみた結果<sCrIpT lAnGuAgE="jAvAsCrIpT">のような検知避けと思われる文字列が出てきたりするので
あまりいいものではないと思うが、アカハックかどうかはわかりません。

478 (^ー^*)ノ〜さん sage New! 08/03/04 10:26 ID:EBZMeWw20
あちこちの(中華罠ブログではない)FC2ブログのテンプレにiframeが仕込まれているらしい。
FC2内で踏んじゃったのか本人の管理画面から抜かれたのかは不明。
www■dda3■net
(略)
www■dda3■net/sys.exe
VirusTotalでまったく検知できなかった
(一部の何でも有害判定する誤検知大王は除く)。

864 ：（○口○*）さん sage ： 2008/03/04(火) 11:13 ID:Uqj/oFMf0

総合スレ
｜480 (^ー^*)ノ〜さん sage New! 08/03/04 10:58 ID:1VpCO9+W0
｜罠の報告までセキュスレに飛ばしてどうするんだ……

アカハックではないかもしれない事例はこっちだよ。
怪しげではあるけどトロイかどうかもわからないし。
RealPlayer呼び出そうとしてるのは見て取れた。

index.htmの中のt.jsがサイズ0のiframe呼び出しだったりする。
が、こいつ、index.htmとhead.htmを呼び出していて、再帰呼び出しで変。

865 ：（○口○*）さん sage ： 2008/03/04(火) 11:33 ID:HrSmSdRH0

HTTPヘッダ見たか? Content-Location:はDefault.htmだから再帰じゃない。
おまけにバイナリ見たら明確なアカハックだ。

866 ：（○口○*）さん sage ： 2008/03/04(火) 14:48 ID:zcwMhWkp0

おかしな誘導をしてるくらいですし

867 ：（○口○*）さん sage ： 2008/03/04(火) 15:52 ID:Uqj/oFMf0

>>863
今回は、Fortinetの方がカスペより返答早かった。F-Protからも新種として次で対応と返答。

sys.exe - W32/Lineaget.EU!tr
head.htm - JS/RealPlr.AL!exploit

868 ：（○口○*）さん sage ： 2008/03/04(火) 17:15 ID:Uqj/oFMf0

返事は来てないけど、カスペもsys■exeに対応を確認。「Trojan-Downloader.Win32.Agent.khm」

869 ：（○口○*）さん sage ： 2008/03/04(火) 17:49 ID:HrSmSdRH0

Kasperskyからは13:04に返事来てた。

vvsg.batの投下やCLSIDなどコードが似ているので同一犯だろうけど
world0fwarcraft■net/lese■exe
(WoWのパス抜き?)もスルー多数。というかまともに捕獲したのはAntiVirのみ…。

870 ：（○口○*）さん sage ： 2008/03/04(火) 19:23 ID:Uqj/oFMf0

>>869
報告と捕獲乙です。

lese■exe は現時点では下記が捕獲可能な模様。とりあえず、各社に提出してきました。

TR/Agent.ssd.65536(AntiVir)
suspicious Trojan/Worm(eSafe)
Suspicious:W32/Malware!Gemini(F-Secure)
Trojan-Downloader.Gen(vf) (Sunbelt)
Trojan.Agent.ssd.65536(Webwasher-Gateway)

871 ：（○口○*）さん sage ： 2008/03/05(水) 06:04 ID:z97R1LPv0

しかしまあ、１万前後のウイルスソフトの使用権を毎年購入し続けるという気には
どうしてもなれないのだが、世間一般的にはそれが当然なのですかい？

872 ：（○口○*）さん sage ： 2008/03/05(水) 06:57 ID:iDdtclTl0

商品名に2008とか付けるのはイラネ

873 ：（○口○*）さん sage ： 2008/03/05(水) 08:21 ID:X3kt1/z50

保険料と一緒だ。PC運用の必要経費（電気代と一緒）だと思え。

自己責任の意味がわかっていて、なおかつ、メリットとデメリットを理解した上で無料のセキュリティソフトを
使用するのはあり。（有料でも無料のもの以下のものもあるしな）

874 ：（○口○*）さん ： 2008/03/05(水) 08:30 ID:7oAzxUjB0

明日警察行くことになったんだけど何持って行ったらいいでしょう・・
癌の調査報告と体験談のほうは印刷して行こうと思ってるのですが

875 ：（○口○*）さん sage ： 2008/03/05(水) 08:53 ID:iDdtclTl0

とりあえずハンコ。調書に署名捺印するんだけど
ハンコ持っていかないと俺みたいに指紋とられるｗ

876 ：（○口○*）さん sage ： 2008/03/05(水) 10:45 ID:D0nYfWnU0

うちは無料のしか入れてないな、つか年間１万払うなら
もう１台ネット用PC買えそうな気もするが

877 ：（○口○*）さん sage ： 2008/03/05(水) 10:48 ID:D0nYfWnU0

>>つか年間１万払うなら
っと、そこまで高くはないな

878 ：（○口○*）さん sage ： 2008/03/05(水) 11:38 ID:iDdtclTl0

Wikiの検体提出先にMicrosoftを追加しました。
ttps://www.microsoft.com/security/portal/submit.aspx

たとえばProductでOneCareを選んだ場合に
ForefrontやDefenderに反映されるかどうかは不明
(チームがバラバラのはずだが、何回も送るのは面倒なのでやらない)。

879 ：（○口○*）さん sage ： 2008/03/05(水) 14:19 ID:X3kt1/z50

>>878
GJ　前に問い合わせたら、窓口ないってはっきり返答来たんだ。最近できたんだな。

せっかくなんで、昨日各社に送った検体でも送付してみようかな。

880 ：（○口○*）さん sage ： 2008/03/05(水) 15:07 ID:X3kt1/z50

Microsoft宛に（分類はotherで)送りまくってみた。機械的にこんな返答が入ってくるね。
思わず３ヶ月分送って見ちゃった。

セキュリティソフト専門メーカーじゃないからか、数ヶ月前の検体でも、未検出なので調査する(Not Yet Analyzed)のが多いね。

Per-file summary:
=================
sys.exe | Malware: PWS:Win32/Lineage.WI.dr
http://go.microsoft.com/fwlink/?linkid=95666&name=PWS%3aWin32%2fLineage.WI.dr
head.htm | Not Yet Analyzed
index.htm | Not Yet Analyzed
stat.php | Not Yet Analyzed
t.js | Not Yet Analyzed
20080304_212449382_0_20080304.zip | Malware Container

=================

881 ：（○口○*）さん sage ： 2008/03/05(水) 19:19 ID:YBmmCukH0

>>874
>670ですが、私の相方はなにも持たずに行きましたが大丈夫でしたよ。
他の方の書かれているように、はんこと身分証くらいはあったほうがいいかもですね。
私達は「被害者（ガンホー）の参考人」の立場ですから、緊張せず堂々と行ってきてください。

私のほうはその後、相方が相談中の署に
私のほうの署の担当者名を伝えてもらい、以降連絡待ちとなっています。
担当者名を伝えた際、他の案件も多くまだ進捗がないです、ごめんなさいと言っていたそうです。
サイバー犯罪以外も兼ねていると案件がかなり多いようで、
それが３ヶ月待ちとかの要因なのでしょうね。

882 ：（○口○*）さん sage ： 2008/03/05(水) 21:19 ID:iDdtclTl0

とりあえずMicrosoftに送るべく監視用WWWDからIrvineに放り込んでダウンロード中。
7月以前のはあまりリンク生きていないのでそれ以降ということにしたけど
それでも100匹以上あってげんなり。

883 ：（○口○*）さん sage ： 2008/03/05(水) 21:53 ID:iDdtclTl0

Microsoftの自動返信。
Total Files: 104
Malware: 49
Not Yet Analyzed: 49
(他の項目は省略)
打率半分くらいかｗ

884 ：（○口○*）さん sage ： 2008/03/05(水) 22:34 ID:75gtnlak0

無料のアンチウィルスソフトだってお
Moon Secure Antivirus
ttp://www.moonsecure.com/

ヒューリスティックあり
リアルタイムあり
トロイ検知あり
スパイウェア検知あり

使い勝手はｼﾗﾈ

885 ：（○口○*）さん sage ： 2008/03/05(水) 22:38 ID:iDdtclTl0

そういううさんくさい人柱っぽいのは2chセキュ板あたりでやってくれ。
普通はa-squaredあたりが限界じゃなかろうか。

886 ：（○口○*）さん sage ： 2008/03/05(水) 23:24 ID:buwtoecc0

>>884
SourceForgeに置いてあるようなもんだから問題はないだろうがね。
検出能力はClamベースなんだから期待すんな、と。

887 ：（○口○*）さん ： 2008/03/06(木) 00:01 ID:jUWgGuukO

カスペを使って人に質問何ですが、ROをどんな風に設定してますか？教えてくださると助かります

888 ：（○口○*）さん ： 2008/03/06(木) 00:54 ID:SohBebKK0

>>875
>>881
なるほど・・判子だけもって行くことにします
品物帰ってきたらまたレポしますです

889 ：（○口○*）さん sage ： 2008/03/06(木) 17:52 ID:EAnSSOVy0

昨夜Microsoft(MMPC)に100匹ほど送った結果が昼前に来てた。
解析は想像していたより速い(12時間ほど)。
パターンにすぐ反映されるのかは知らんけど。

890 ：（○口○*）さん sage ： 2008/03/06(木) 18:53 ID:3pOkzBmQ0

【　 　 　 気付いた日時　 　 　 　 　 】 3/6
【不審なアドレスのクリックの有無　】たぶん無し
【　　アドレス 　 】怪しいと思われるURLは踏んだ記憶がないですが・・・
【　 　　 OS　 　 】WindowsXP Professional
【使用ブラウザ 】IE6.0 sp2
【WindowsUpdateの有無】 自動更新です
【　アンチウイルスソフト 】 Anti-Virus Free Edition
【その他のSecurty対策 】 無し
【 ウイルススキャン結果】 Anti-Virus Free Editionで検知後削除してカスペルスキーオンラインスキャンでは検知無し
【テンプレの参考サイトを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
怪しいアドレスを踏んだ憶えはなく、ひっそりや弓師Wiki等の
日頃からよく見るRO関連サイトとMMOBBSのROの掲示板のみ閲覧です。
起動時のAnti-Virus Free Editionのスキャンで「Virus Found BakDoor.Ragnarok」を
ROのセットアップExeから検知しました。
即削除しましたが、やはり危険な物でしょうか？
気になってしかたありません。
パソコンの知識がほとんどないもので、対処法のご教授よろしくお願いします。

891 ：（○口○*）さん sage ： 2008/03/06(木) 19:33 ID:EAnSSOVy0

>Anti-Virus Free Edition
これ何?

892 ：890 sage ： 2008/03/06(木) 19:39 ID:3pOkzBmQ0

連投すいません。

今再スキャンしたところ、外付けHDの
J:\System Volume Information\_restore{01C5BF26-11F5-457D-A661-B59CF3D305A0}\RP201\A0035833.exe:\RO_SETUP_JP\DATA1.cab:\Ragexe.exe
J:\System Volume Information\_restore{01C5BF26-11F5-457D-A661-B59CF3D305A0}\RP201\A0035833.exe
に「Virus Found BakDoor.Ragnarok」が検知されました。

893 ：（○口○*）さん sage ： 2008/03/06(木) 19:42 ID:UoCq7NaS0

多分6日配布のパターンがおかしい
他にAVG使ってる人いないかな？

894 ：890 sage ： 2008/03/06(木) 19:43 ID:3pOkzBmQ0

更に連投すいません。
Anti-Virus Free Editionは>2の【PCにウィルス対策ソフトを導入してない方へ】の

・AVG7.5 free（無料）

のソフトを入れて、起動するとその名前だったのです。

895 ：（○口○*）さん sage ： 2008/03/06(木) 19:48 ID:EAnSSOVy0

おおっとIE8Beta1入れたらVirusTotalが動作しねぇ。
しばらくIE7エミュモードで使うか。

896 ：（○口○*）さん sage ： 2008/03/06(木) 20:11 ID:56txAKlo0

今ググったんだがAVG FREE FORUMと個人のブログでも同様の症状が挙がってたわ
AVG切った状態でROを再インストールして、AVGのアップデート後にもう一度スキャンしてみたらどうだろう？

897 ：（○口○*）さん sage ： 2008/03/06(木) 20:50 ID:Jm1OgGm00

現在の Ragexe.exe が幾つかのセキュリティソフトで検知されてるな。ヒューリスティックで検知してるのもあるし
また不届きな振る舞いをしているって検知されてるだけだろう。nProとの通信内容が、怪しげなので出てるだけかも。
感染していると言うより、振る舞い検知に引っかかってるだけだと思う。

今回のパッチでの挙動がなんか変（アプリエラーでMicrosoftにデータ送信したり、Ragnarok.exeが壊れたり）なので
余計なコード入れてきた可能性がないとは言わない。危険な振る舞いをするnProにデータを渡すので、振る舞い自体は
間接的に危険なコードと言われてもおかしくなかろう。

これは、各社に提出して、反応させて、顧客からのクレームを入れてもらう形に持ち込んだ方がいいのかな。
プレイの際は、警告を無視してセーフリストに加えていいと思う。

Ragexe.exe
http://www.virustotal.com/analisis/a342292dbe4690cfaebce14228bb1d54
eSafe 7.0.15.0 2008.02.28 Suspicious File
Ikarus T3.1.1.20 2008.03.06 Packed.Win32.CryptExe
Sophos 4.27.0 2008.03.06 Sus/ComPack-C
Sunbelt 3.0.930.0 2008.03.05 VIPRE.Suspicious

Ragurdrexe.exe
http://www.virustotal.com/analisis/88baf4306d4c348b32a9de8c3c2e1438
eSafe 7.0.15.0 2008.02.28 Suspicious File
F-Secure 6.70.13260.0 2008.03.06 Suspicious:W32/Malware!Gemini
Ikarus T3.1.1.20 2008.03.06 Packed.Win32.CryptExe
Sophos 4.27.0 2008.03.06 Sus/ComPack-C
Sunbelt 3.0.930.0 2008.03.05 VIPRE.Suspicious

898 ：890 sage ： 2008/03/06(木) 21:15 ID:v9I2Mru00

とりあえず、AVGのアップデートをして再スキャンしたところ
「脅威は見つかりませんでした」だったので、6日分の配布パターンがおかしいっていうことだったのかな？

検知されたウィルス名がVirus Found BakDoor.Ragnarokだっただけに、物凄く不安ですけど・・・
とにかく対応ありがとうございました。
でも、パッケージPCでリカバリーCDとかが付いてないので、
もうしばらく様子を見ようかと思います。

899 ：（○口○*）さん sage ： 2008/03/07(金) 13:12 ID:BcpztBl0O

カスペ使ってるんだけど、プロアクティブディフェンス切らないとかくかくして最悪なんだけど、除外にもいれたし、信頼アプリにも入れたんだけどなんでだろうか

900 ：（○口○*）さん sage ： 2008/03/07(金) 13:47 ID:Cdpk7va70

プロアクティブディフェンス自体が重いから仕方ないだろ。

901 ：（○口○*）さん sage ： 2008/03/07(金) 14:59 ID:lSXOzGBo0

>>898
パッケージPCというのが良くわからないが、メーカーPCの事かな。
それなら大抵、HDDリカバリ(DtoD)か、リカバリメディア作成アプリが存在しているだろうから、万が一の為にバックアップを作成しておいた
方がいいよ。
仮に、本当のマルウェアの感染が起きた時などに、即座にリカバリを行ってクリーンな環境を用意できないなど、惨事対応にタイムラグが
発生すること自体がセキュリティリスクになり得る。

普段から、必要な情報はこまめに外部バックアップを用意しておくことが肝腎。
例えば、パスワードを忘れた際のリマインダーが悪用されたケースもあるし。

902 ：890 sage ： 2008/03/07(金) 18:37 ID:D4N+rjwC0

>>901
パッケージPCっていうかパソコンショップがパーツを厳選（？）して、
お店の方で組み立ててあるパソコンです。
もう一度パソコンの箱とかをくまなく探すと未開封の袋から再セットアップ用CDが出てきました。

バックアップとかも今まで取ったことなかったので、この機に取っておこうかと思います。

903 ：（○口○*）さん ： 2008/03/07(金) 18:45 ID:BcpztBl0O

ラグナ中は切ってやるか。プロアクティブディフェンスを

904 ：（○口○*）さん sage ： 2008/03/07(金) 20:08 ID:/gJk9Di/0

カスペはパケット監視してるからonだと重くなるんだよな
設定の注意事項にもネトゲで遅くなる〜的な事かかれてるし
他の部分では良いのにそこだけが残念
しょうがないのでNAVに戻した

905 ：（○口○*）さん sage ： 2008/03/07(金) 21:43 ID:Q+6iEFEj0

>>904
もったいないなｗ

906 ：（○口○*）さん sage ： 2008/03/07(金) 21:43 ID:Q+6iEFEj0

途中送信してしまったＯＴＬ
プロアクティブだけ切ってカスペ使えばいいのに

907 ：（○口○*）さん sage ： 2008/03/07(金) 21:57 ID:OCpbqG/f0

http://uratakuz■h■fc2■com/

↑これって垢ハックない？

908 ：（○口○*）さん sage ： 2008/03/07(金) 21:58 ID:+C7LdDw10

>>907
>>1
※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※

909 ：（○口○*）さん sage ： 2008/03/08(土) 16:00 ID:YDkfay9J0

【ネット】中国人ハッカー「１００％安全なサイトはない」「中国政府から金を受け取った」　ＣＮＮの取材に
http://mamono.2ch.net/test/read.cgi/newsplus/1204948295/

【ネット】既に始まった米中サイバー戦争　中国の仮想敵に位置づけられてる日本、直接狙われる可能性も大きいと産経新聞
http://mamono.2ch.net/test/read.cgi/newsplus/1204764053/

910 ：（○口○*）さん ： 2008/03/10(月) 03:16 ID:/xhNkHJP0

【　 　 　 気付いた日時　 　 　 　 　 】 03/10
【不審なアドレスのクリックの有無　】クリックしてしまいました。
【　　アドレス 　 】http://xhdssacd■blog98■fc2■com/
【　 　　 OS　 　 】WindowsXP Home SP2
【使用ブラウザ 】IE6.0 sp2
【WindowsUpdateの有無】自動更新です。
【　アンチウイルスソフト 】 マカフィー
【その他のSecurty対策 】 不明。
【 ウイルススキャン結果】 発見されませんでした。
【テンプレの参考サイトを読んだか】 Yes(理解できていないところ有り)
【hosts変更】よく分からないのでないと思います。
【PeerGuardian2導入】無し(今回始めて知りました)
【説明】
RMCに上記のアドレスが書き込まれており、
それについて垢ハックアドレスなので踏まないようにというレスがついたので。
いつもはマカフィーが反応してくれるのですが今回はしてくれませんでした。
カスペについては試用版を試してみようと思いましたがマカフィーと両立できないと言うことで
いまオンラインのカスペなるものを試しているところです。
完全に感染してしまっているのでしょうか？

911 ：（○口○*）さん sage ： 2008/03/10(月) 07:37 ID:JIGlsHzH0

>>910
スクリプトは略で
www■shagigi■net/navi/admin■exe
ここ数日でばら撒かれた自己解凍cabトロイの1つ。
AntiVirとKasperskyは撃墜したけど
McAfeeはまだじゃないかな。

WindowsUpdateしているならスクリプトは動かないはず。

912 ：（○口○*）さん sage ： 2008/03/10(月) 08:37 ID:qc8/ZRQZ0

uorysと言うシステムファイルが出てきたのですがこれってウイルスですか？
google先生も中国語ばっかでよく解らなかったので教えてもらえると助かります

913 ：（○口○*）さん sage ： 2008/03/10(月) 09:01 ID:1VicRqbx0

>>912
ここはこう答えるしか。「知るかボケ」

情報少なすぎて判断できんわ。気になるなら、VirusTotalにでも投げとけ。

914 ：（○口○*）さん sage ： 2008/03/10(月) 09:23 ID:PoKVFdCs0

中国語のフォーラムにVirusTotalへのリンクがなかったかい
ttp://www.virustotal.com/analisis/bc1f08748b5ff502cb35165ad37c1c1e

915 ：910 sage ： 2008/03/10(月) 09:47 ID:A8IhciJY0

>>911
お答えありがとうございます。
動いてはないけどその元があり、マカフィーでは検知できないため
マカフィーの対応待ちということでしょうか。
（よく解らなくてそう解釈してみました）

マカフィーでどうにもならない場合のことを考えてスレを読んでいくと
ＯＳのクリーンインストールというものが推奨されているようですが
Ｃドライブのみの再セットアップという作業でその行為をこなしていると思うのですが
間違いないか教えていただけないでしょうか。

いまは別ＰＣからつないでおります。

916 ：（○口○*）さん sage ： 2008/03/10(月) 10:05 ID:fgU4JzTw0

>915
基本的にそれでOK。
ただウィルスの種類によっては他のドライブに潜む事もある。
(仮に潜んでても再インストールした時点で自動で動作はしないけど)

手順としては
１．必要データのバックアップ(メールやネット設定等含む)
２．HDDフォーマットの上再インストール
３．WindowsUpdateやアンチウィルスソフト(マカフィー)の導入
４．HDD全検査(マカフィーだけじゃなく、カスペのオンラインスキャンも使って念入りに)
５．安全と分かった段階で普通に使用

別PCがあるなら、先にROやアトラクションセンターののパスは変更しておいた方がいい。
またテンプレ等を見てPG2やhostsの変更もした方がいい。

917 ：（○口○*）さん sage ： 2008/03/10(月) 10:38 ID:xqmFJN4F0

ついさっき、アルデバランのカプラからすこし↓に歩いたところでROを落としてPC再起動したんだが
十数分後に再びログインしたら、アルデバランの→の端っこあたりにいた…
こういうエラーってあるの…？

俺が操作してここに来たわけでは断じてないし、そもそもこんな何もないところに来る意味がない
不気味だ…

918 ：（○口○*）さん sage ： 2008/03/10(月) 10:43 ID:vnwgqRfe0

ログイン時、同座標がIWで埋められていた場合、ランダムで飛ばされるというのはある

919 ：（○口○*）さん sage ： 2008/03/10(月) 11:31 ID:RLJ3QLfe0

町の復活ポイントにIWを出してて訳の分からない場所へ現れるのはよくある

920 ：（○口○*）さん sage ： 2008/03/10(月) 13:20 ID:4sjGnW1A0

もしくはアカハックの中の人がログインしてアイテムを移動させようとしていたのかもな！

921 ：（○口○*）さん sage ： 2008/03/10(月) 14:30 ID:OON+G7At0

2005年の年始頃からROを始めて、
今の今まで一度もキュリティソフトを入れてない。
それでも、ハックは今まででされていないけれど、
このスレを読んでいるうちに何だか怖くなってきた…。

今からPC初期化して、念の為にパス変更。
その後何らかのセキュリティソフト導入することにしますわ。
ガンがシマンテックとタイアップしている、NIS2008ってどうなんだろ？
カスペの方がいいのかな？

922 ：（○口○*）さん sage ： 2008/03/10(月) 14:53 ID:OhgxxsMiO

ルーターありで危険なサイト行かなければ被害はないだろうさ、カスペはガードは固いけど重いし設定だるいねー　　
ノートンはかなり軽いけどあってないようなものかな

923 ：910 sage ： 2008/03/10(月) 18:23 ID:A8IhciJY0

>916
外付記憶装置を購入しある程度外部にデータを移し
一部をそのままにしてやっとバックアップまでこぎつけました。
ＨＤＤフォーマットの上再インストールということですが、
説明書を見たところＨＤＤのフォーマットについての記述が抜けていてよく解りません。
ＨＤＤフォーマットを行っても
再セットアップ
（電源を切る→電源を入れる→Ｆ１１を押す作業で再セットアップを行う）
は問題なくできるのか教えていただけないでしょうか。
状態としてはパソコンはＮＥＣのＴＺという４年弱くらいのモデルで
リカバリーディスクは付属してない上に
ＤＶＤＲＡＭのところが壊れていて読み込みも書き込みもできません（数年前から）

ＨＤＤフォーマットというのはＣドライブをフォーマットすることだと理解してます
（理由はＤドライブにバックアップデータが格納されたので）

924 ：（○口○*）さん sage ： 2008/03/10(月) 18:31 ID:1VicRqbx0

>>923
>リカバリーディスクは付属してない上に
>ＤＶＤＲＡＭのところが壊れていて読み込みも書き込みもできません（数年前から）
安いドライブ買ってきて交換しろ

>ＨＤＤフォーマットというのはＣドライブをフォーマットすることだと理解してます
その考え方で問題はない。

Cドライブの論理フォーマットだけで起動領域にあるデータは消える。他パーティションのオートランなどで呼びだされる
箇所に取り憑かれている場合は、他パーティションをOSが認識し、オートランが走った時点で感染するが。

物理フォーマットすると、他パーティションも消え、HDDに残っているかも知れない購入時のイメージファイルが
消失する可能性があることに注意すること。

>ＨＤＤフォーマットを行っても
>再セットアップ
>（電源を切る→電源を入れる→Ｆ１１を押す作業で再セットアップを行う）
>は問題なくできるのか教えていただけないでしょうか。
これはできる。BIOSがプログラムをロードするから。
但し、HDDイメージがHDD上（Dドライブか、不可視にになっている部分か）に残っているか、
DVDメディアなどに作成されていることが前提条件。

>状態としてはパソコンはＮＥＣのＴＺという４年弱くらいのモデルで
型番全部書け。

925 ：910 sage ： 2008/03/10(月) 19:28 ID:A8IhciJY0

すいません。型番はＰＣ−ＶＧ３０ＶＶＺＧＭでした。

やり方としてはＮＥＣのサポートにあるフォーマットのやり方を見る限り
論理フォーマットのやり方が自分自身で理解できているようです。
（Ｃドライブを右クリックのフォーマット）
サポートにも載ってるくらいなので一般的なのだと思うのですが
これだと不十分でしょうか？

>ＨＤＤイメージがHDDイメージがHDD上（Dドライブか、不可視にになっている部分か）に残っているか、
>DVDメディアなどに作成されていることが前提条件。
これの確認方法を教えていただけないでしょうか。
ＨＤＤイメージというのがよくわからなくて。

バックアップは付属していたバックアップ−ＮＸというものを使用しました。

926 ：（○口○*）さん sage ： 2008/03/10(月) 21:09 ID:1VicRqbx0

>>925
同じ機種持ってる訳ではないから、汎用的なことしか回答できん。（´・ω・）っ　⌒　●
マニュアル読んでその通りにやってくれ。
http://121ware.com/e-manual/m/nx/vg/200504/html/vg30vvm.html

マニュアルではHDDから再セットアップしろとしか書いてない。（DVDなどの作成は任意）
特にいじった記憶がなければ残ってるよ。

こいつの８章読みながらがんばれ。
http://121ware.com/e-manual/m/nx/vg/200504/pdf/ps/v1/mst/vspcomn4.pdf

927 ：910 sage ： 2008/03/10(月) 23:56 ID:A8IhciJY0

ＨＤＤのフォーマットはやらずにマニュアル通りにやってみました。
その際にフォーマットも行われるような説明がありました。
その後カスペのオンラインスキャンをやり、マカフィーもやりウィルスは検出されませんでした。
二日くらいまってその後もう一度オンラインスキャンをやってみて
ウィルス検知されなかった場合にラグナロクにはつないでみようと思います。
色々アドバイスの内容を調べることで少しは知識も増えました。
ありがとうございました。

928 ：（○口○*）さん sage ： 2008/03/11(火) 10:22 ID:Zzu3u+Eu0

悪用されると決まったわけじゃないが……
ttp://headlines.yahoo.co.jp/hl?a=20080310-00000016-maiall-game

こういう事態もあるのでご注意を。

929 ：（○口○*）さん sage ： 2008/03/11(火) 14:53 ID:WcaRv4eT0

Panda(スペインのアンチウイルス)のブログより。
WoWのLv70カンストキャラが27,000ドル(300万円以上)。
MMORPGは金になるのでオークションでのフィッシングも出てきている。
ttp://pandalabs.pandasecurity.com/archive/Not-all-phishing-is-about-banking.aspx
規約違反のRMTをする奴が消えなければアカハックは消えない。

930 ：（○口○*）さん sage ： 2008/03/11(火) 19:04 ID:FeoFffN30

【　 　　 OS　 　 】WindowsXP Home SP2
【使用ブラウザ 】Opera 9.25
【WindowsUpdateの有無】 最新
【　アンチウイルスソフト 】 Avira Antivir PersonalEdition Classic
【その他のSecurty対策 】 Spybot S&D、Ad-aware2007などで時折スキャン
【 ウイルススキャン結果】 カスペ未検出
【テンプレの参考サイトを読んだか】 Yes
【hosts変更】無　
【PeerGuardian2導入】リネージュ資料室のものを利用


最近PG2がよく、Limelight Networks Asia Pacificというところへの送信をブロックしているのですが、
これは垢ハックを受けているのでしょうか？

931 ：（○口○*）さん sage ： 2008/03/11(火) 20:19 ID:QYLMUgq+0

winアップデートするとその接続たくさんみられるよ

932 ：（○口○*）さん sage ： 2008/03/11(火) 20:49 ID:eO6DSlKH0

資料室のだけだとそれはカットしないはず。恐らくP2Pリスト入れたんだろう。
マイクロソフトがよく使ってるトコなんで、アップデートの際にガンガン来る。

933 ：（○口○*）さん ： 2008/03/11(火) 20:49 ID:JTEj8xA10

緊急(4)
ttp://www.microsoft.com/japan/technet/security/bulletin/ms08-mar.mspx

とはいえ、MS Office関連のアップデートだけなので、あまり関係は無いかも。

>>930
Limelight Networksは、CDS(Contents Delivery Network)事業者のうち一つ。コンテンツプロバイダの類いか。
各種分散ミラーなどを引き受け、MSのサイトにもAkamai等と並んで名が挙げられている。
ttp://www.microsoft.com/japan/presspass/detail.aspx?newsid=3028
ttp://e-words.jp/w/CDS.html

934 ：（○口○*）さん sage ： 2008/03/11(火) 21:33 ID:FeoFffN30

>>931,932,933
なるほど。確かにP2Pのリストも入れていました。
どうやら安全、というか一般的につながるところだったのですね。
早い返答ありがとうございました。

935 ：（○口○*）さん sage ： 2008/03/12(水) 14:50 ID:dgD7CnW10

マイクロソフトが3月の月例パッチ4件を公開、いずれもOffice関連の修正
ttp://internet.watch.impress.co.jp/cda/news/2008/03/12/18771.html

936 ：（○口○*）さん sage ： 2008/03/12(水) 17:21 ID:Ad3+AZap0

トレンドマイクロのウイルス情報ページが改竄、ウイルスを埋め込まれる
ttp://internet.watch.impress.co.jp/cda/news/2008/03/12/18775.html
バスター何やってんの…

937 ：（○口○*）さん sage ： 2008/03/13(木) 01:16 ID:UTVkKEhy0

日本をターゲットとしたSQLインジェクションによるホームページ改ざん行為と、
同行為により改ざんされたページへのアクセスによるマルウェア感染について
ttp://www.lac.co.jp/news/press20080312.html

トレンドマイクロのサイト改ざんは「SQLインジェクション」によるものと思われます。
自社製品の欠陥ではないが、ユーザから信頼型落ちだぞこれ…。

938 ：（○口○*）さん sage ： 2008/03/13(木) 06:15 ID:kbLrAEkv0

>>937がアタウントハック対策スレにそっくり転記された件についてのコメント

｜499 (^ー^*)ノ〜さん sage New! 08/03/13 05:35 ID:acTXxhlD0
｜>496
｜>そういう一般的話題はセキュスレだから、あっちであってるよ。ここに持ち込まなくてok
｜アフォか必要以上の自治はうざいだけだ
｜雑談してるなら、ともかくウィルス対策ソフトの情報ページが改竄されていたという情報は重要な情報だろう
｜アカウントハック対策にVBとか使ってる人だっているんだしな。
｜ただしこの話題に関して雑談するならセキュレスレへ移動だが

だからあっちは「具体的事例」だってばよー。警察に行ったときのやりとりや必要なものとかを転載するならわかるが
「一般的な内容」についてまで持ち込んでどうするのさ。そして、499のコメントもこっちでつけるべき内容じゃないのか？

939 ：（○口○*）さん sage ： 2008/03/13(木) 07:19 ID:kbLrAEkv0

>>937
>2.改ざんされたページについて
>　今回観測されている改ざん行為は、SQLインジェクションにより企業や組織等のサーバの
>　Webページの一部にwww■2117966■netへのリンクを埋め込むことです。このリンクは、
>　通常ブラウザ等では確認できないSCRIPTタグのSRC要素として埋め込まれます。

ということで「2117966」でぐぐってみると、改竄されたページが結構出てきますね。
しかし、このスクリプト名もふざけてるよなー。ttp://www■2117966■net/fuckjp■js

注意：www■2117966■net でぐぐると、危険サイトを直接開いてしまうのでやっちゃだめ

940 ：（○口○*）さん sage ： 2008/03/13(木) 07:52 ID:kbLrAEkv0

（続き）
http://www.virustotal.com/analisis/36fe394f0b12f9506aaeacd8375b99ab
http://www.virustotal.com/analisis/6e1fe1e413f55b00796904c8b2fc494b

ttp://www■2117966■net/fuckjp■js
F-Secure,カスペ,Noton が対応

ttp://www■2117966■net/q■htm
AntiVir,AVG,F-Secure,カスペ,Webwasher-Gateway が対応

q■htm が落とす本体の所在解読はパス。q■htm の eval() を仮想PCで実行してやればいいんだろうけど
安全な実験環境構築してないから。

941 ：（○口○*）さん sage ： 2008/03/13(木) 08:40 ID:GEtOSoeh0

>>940
0.exeとxp.exeかな。

942 ：（○口○*）さん sage ： 2008/03/13(木) 10:04 ID:kbLrAEkv0

>>941
さんきゅー。検体確保。カスペは両方とも撃墜。

ttp://www■2117966■net/0■exe : Trojan-Downloader.Win32.Agent.hcl
ttp://www■2117966■net/xp■exe : Trojan-Downloader.Win32.Agent.kdr

943 ：（○口○*）さん sage ： 2008/03/13(木) 10:33 ID:GEtOSoeh0

AntiVir、Dr.WEBも撃墜。
つーかラックは(fuckjpというスクリプト名からか)
日本をターゲットと言っているが、世界中がやられている模様。
ttp://www.avertlabs.com/research/blog/index.php/2008/03/12/another-mass-attack-underway/
未確認情報でトレンドマイクロのもこれとか聞いた。

0とxpのどっちかは知らんけど、インジェクションコード入りで
踏んだ人が踏み台になって攻撃を開始するタイプかと
(ブログのアカウントハックもこの手法じゃないかと思ってる)。

McAfeeで見つけたのは1万ページ程度ということなので
ttp://www.itmedia.co.jp/news/articles/0711/09/news019.html
ttp://isc.sans.org/diary.html?storyid=3621
の4万ページとかよりは被害は小さいか。

944 ：（○口○*）さん sage ： 2008/03/13(木) 10:39 ID:kbLrAEkv0

>>943
確かに出てきたのは外国の方が多かったね。スクリプトの名前から標的は日本とか書いたんだろうけど。

余談だけど、>939のキーワードでぐぐった最後のところに、アダルトビデオを販売してるらしいページがあった。
心当たりの方はカスペのオンラインスキャン推奨(笑)

945 ：（○口○*）さん sage ： 2008/03/13(木) 13:38 ID:s+BzOmMz0

【　 　 　 気付いた日時　 　 　 　 　 】 2008/3/13
【不審なアドレスのクリックの有無　】 特になし
【　　アドレス 　 】
【　 　　 OS　 　 】WindowsXP Home SP2
【使用ブラウザ 】メインOpera9.24　ホットメールやオンラインスキャン時IE7
【WindowsUpdateの有無】 2008/3/13　1:00前後　PC終了時の自動更新インストール
【　アンチウイルスソフト 】 NortonInternetSecurity2006　毎火曜日にアップデートと完全スキャン実行
【その他のSecurty対策 】 気が向いたときにSpybot、ルータあり
【 ウイルススキャン結果】 カスペルスキーオンラインスキャンでTrojan-Dropper.Win32.Agent.fvr発見
【テンプレの参考サイトを読んだか】 Yes
【hosts変更】　有　最終更新日2008/1/13
【PeerGuardian2導入】無
【説明】

さっきカスペオンラインスキャンでウィルスをひとつ発見したようだけど、レポートでドクロマークついてるやつですよね？
引っかかったのはDELLNetworkAssistantのintoroexe
クリックで飛べるカスペの検索ではHIT0、ぐぐる検索しても中国語らしきページがひとつ出てくるのみでした
今からノートンでもスキャンしてきますが、このウィルスは実際存在しているんでしょうか

946 ：（○口○*）さん sage ： 2008/03/13(木) 13:43 ID:GEtOSoeh0

誤検知かと。

947 ：945 sage ： 2008/03/13(木) 15:39 ID:s+BzOmMz0

ノートンの完全スキャンではなにも引っかかりませんでした
元々DELLNetworkAssistant自体が怪しそうなアプリなんですが、とうとうTrojan認定されるようになったのかと一瞬思ってしまいましたｗ
今回はカスペの誤検出として、しばらく様子を見ようと思います

948 ：（○口○*）さん sage ： 2008/03/13(木) 16:34 ID:kbLrAEkv0

>>947
と、言うより、カスペに検体提出すれば済むことだろうに。誤検出ならそう返答帰ってくるし。
提出先は、セキュWiki参照で

949 ：（○口○*）さん sage ： 2008/03/13(木) 16:40 ID:GEtOSoeh0

そのまま送るとalready detect(もう検知するよ)とか返事がくるかもしれんので
false positive(誤検知)と一言書いてね。

950 ：945 sage ： 2008/03/13(木) 17:40 ID:s+BzOmMz0

カスペの検体提出はメールのみのようですが、
私はプロバイダアドレスを取得してなく、フリーメールしかないんですけど提出は受け付けてもらえるんでしょうか？
とりあえず>>28を参考にしてメール作成してきます

951 ：（○口○*）さん sage ： 2008/03/13(木) 17:41 ID:GEtOSoeh0

大丈夫じゃね?
日本語の広告が入って苦笑されるかもしれんが。

952 ：（○口○*）さん sage ： 2008/03/13(木) 17:59 ID:4Cz7WVYv0

>>945
カスペ、最新定義で検出せず。
一時的な誤検出の可能性が高いかと。

953 ：（○口○*）さん sage ： 2008/03/13(木) 18:00 ID:s+BzOmMz0

広告が入らないフリメも使っているので、そちらで送るようにしますね
<Where did I get this?>にはレポートの感染オブジェクト名に記載されてる場所、
<Detection possible other software>は検出されたウィルス名を書いておけばいいんでしょうか

検体提出初めてなので、質問ばっかりですみませんorz

954 ：（○口○*）さん sage ： 2008/03/13(木) 18:06 ID:4Cz7WVYv0

>>953
それで大丈夫かと。

955 ：（○口○*）さん sage ： 2008/03/13(木) 18:14 ID:GEtOSoeh0

>>953
ああ、Kasperskyはフォームとか無いのに何かと思ったらwikiのあれか。
俺めんどくさいからいつもメールはタイトルも本文も
TrojanとかFalsePositiveとかで送ってるよ。
あまり長い英文書いても先方も苦痛だと思う。ロシア語ならともかく。

956 ：945 sage ： 2008/03/13(木) 18:34 ID:s+BzOmMz0

メール送信完了しました
スレ住民のみなさん、質問に答えてくださりありがとうございました

>>952
さきほどピンポイントでスキャンしてみましたがやはり検出され、ウィルス検索も0HITと同じ結果でした

>>955
ウィルススキャンで検出自体が初めてなので、その発想はなかったですね
<Attached file info>の部分とそれだけでよかったんですかorz

それでは名無しに戻ります

957 ：（○口○*）さん sage ： 2008/03/13(木) 19:18 ID:4Cz7WVYv0

>>956
名無しに戻る前に、定義の更新をするんだ。

後、カスペからの返信がきたら、是非ここに書いて欲しい。

958 ：945 sage ： 2008/03/13(木) 19:48 ID:26+tUQw9O

携帯から失礼

>>957
承諾をクリックしたら、次画面で定義更新されませんか？
返信は最初から報告させてもらうつもりでしたので、ご安心を

959 ：（○口○*）さん sage ： 2008/03/13(木) 22:22 ID:7el9lUfL0

質問
ウィンドウズのアップデートができないウイルスってあるのかな？
ノートン360入れてて最近PCが物理的に壊れました

それと>>922をチラッと見て気になるのが
ハブを使って2PCしてたんですがハブもルーターも変わらないですか？

960 ：（○口○*）さん sage ： 2008/03/13(木) 22:25 ID:Qp6fJ7sz0

>ウィンドウズのアップデートができないウイルス
昔からいっぱいある

961 ：（○口○*）さん sage ： 2008/03/14(金) 01:16 ID:qRW8QiS40

>>959
ハブはハブだし、ルータはルータだが。
ハブ機能つきのルータがほとんどとはいえ。

962 ：（○口○*）さん sage ： 2008/03/14(金) 04:09 ID:86avEaFy0

2〜3レスで雑談しただけで、それも盛り上がってなく数時間経過しても誘導張るやつって本当何なの…

963 ：（○口○*）さん sage ： 2008/03/14(金) 04:20 ID:fQr4tDku0

なんというかスレタイが勘違いさせてる気がしてならない

アカウントハック具体的事例対策スレ　とかにならんものか
なまじ総合とか付いてるから書き込んじゃう人もいるわけで

964 ：（○口○*）さん sage ： 2008/03/14(金) 06:00 ID:NTYnTIph0

あそこ実態は総合スレじゃないんだから、総合スレの看板をはずして
テンプレも改定したほうが良いよな

ラックによると、トレドマイクロのサイトはアカハックウィルスをDLするように改ざんされていたんだけど
一般企業のサイトがアカハックサイトに改ざんされていたというアカハック関係の情報すらスレ違い扱いするんだから

それと向こうのテンプレ
＞※ ネタや程度を超えた雑談・脱線はご遠慮ください

これも改定した方がいいよな
実態は、程度を超えた雑談・脱線ではなくて、雑談や脱線は一切認めません。なんだから
しかも、今回は、一般企業のサイトがアカハックサイトに改ざんされていたとう情報すらアカハックスレに書きこむ事を認めません。なんだから

965 ：（○口○*）さん sage ： 2008/03/14(金) 06:10 ID:86avEaFy0

スレタイやテンプレを変えたところでちょっと話の違う書き込みは出てくると思う
それが出た瞬間に誘導張りたがる奴も出現するのが問題だと思う

966 ：（○口○*）さん sage ： 2008/03/14(金) 07:54 ID:K00qIQ4E0

>>964
こっちで投稿して、さらにあっちに転記したのが問題だっただけだろ。
二重に扱う必要ないし。

ところで、次スレのテンプレで修正するとこある？
現状のままだと、連投規制に引っかかるのだが。

967 ：（○口○*）さん sage ： 2008/03/14(金) 08:13 ID:cgzZxmTb0

誘導してる本人？は>938二重だから扱わないと言ってるんじゃなくて、アカハック関係の情報でも具体的事例じゃないから扱わないと言ってるみたいだけどね
そしてテンプレは削れる所を思いつかないし連投規制に引っかかっちゃうのはしょうがないんじゃないのかな？
大変だろうけど、時間を置いて書き込むしかないと思う

968 ：（○口○*）さん sage ： 2008/03/14(金) 10:59 ID:ZO1QwZ7/0

質問させて下さい

知り合いが垢ハックにあったんですが、
垢ハックと思われるアドレスを踏んだあと(この段階でまだ知り合いは気づいていない)
自分とメッセンジャーをしていて、ROに入ったら全て盗まれていたらしいんですが
メッセをしていた自分にも感染の可能性はあるのでしょうか？；
会話のみでファイルのやり取りは行っていません。

メッセをしていたパソコンが普段露店のみのRO以外使用しないノートだったのでウイルス対策ソフトをまだ入れていませんでした…
本日ウイルスバスターかカスペ？を購入して入れようと思っています；
今はやっている垢ハックのウイルスの感染力が良くわからなかったため質問させていただきました；
教えていただければ嬉しいです；

969 ：（○口○*）さん sage ： 2008/03/14(金) 11:17 ID:K00qIQ4E0

>>968
メッセしてただけじゃ(まず)感染しないよ。

メッセ経由で届けられるマルウェアとかもあるけど、アカハックで、そういう拡散のしかたするって報告はまだないし、
メッセ経由も、ファイルを送りつけようとするような挙どうするのですぐわかるよ。

カスペは、対応早いけど、結構PCスペック要求するのでそこんとこ注意してな。
バスターさんは、検出率の点でちょっと不安が残るかも。

970 ：（○口○*）さん sage ： 2008/03/14(金) 11:22 ID:ZO1QwZ7/0

>>968
素早い返答ありがとうございました！ちょっとだけ安心しました；

今後のこともこわいのでウイルス対策ソフトは入れます
スペックの心配もありがとうございました！自分のパソコンに合ったものを入れたいと思います

971 ：（○口○*）さん sage ： 2008/03/14(金) 11:26 ID:ZO1QwZ7/0

>>969　の間違いですorz　自分に言ってどうするんだ…ｱｳｱｳｱ

972 ：（○口○*）さん sage ： 2008/03/14(金) 11:36 ID:K00qIQ4E0

あわてんぼさんな>>970さんは、スレ立てGOだ。

スレタイ：セキュリティ対策、質問・雑談スレ5

テンプレ
■>>1-7

テンプレ修正箇所
■>2の安全のためにのアドレスが間違っているので、>8のアドレスに書き換えて
■>1の過去スレをこのスレに変更

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/

とりあえずこんだけかな。スレ立てわからんって場合は、>>980さんにパスしてね。

973 ：945 sage ： 2008/03/14(金) 12:17 ID:yBeDAkLu0

カスペからの返信きました
＞Hello. This file is already detected. Please update your bases.
＞-----------------
＞Regards, Vladimir Lebedev
＞Virus Analyst, Kaspersky Lab.

確かにオンラインスキャンで検出されるんですが、結果は0HITで対策とれず
ウィルスについて
ttp://www.viruslistjp.com/find?search_mode=virus&words=Trojan-Dropper.Win32.Agent.fvr&x=7&y=3
サイト全体
ttp://www.viruslistjp.com/find?search_mode=full&words=Trojan-Dropper.Win32.Agent.fvr&x=17&y=17

ノートンのほうでも再びアップデートとスキャンをかけましたが検出されませんでしたorzﾉｰﾄﾝﾌｧｲﾀｰｼｯｶﾘｼﾃﾖ
今度はノートンのほうに検体提出して、処理待ちになってます

以上、報告でした

974 ：（○口○*）さん sage ： 2008/03/14(金) 13:38 ID:XCnyNueQ0

ttp://itpro.nikkeibp.co.jp/article/NEWS/20080313/296134/
一万サイト改竄の件、垢ハックとは書いてあるんだけど
どこの国のどのゲームが標的か詳しく解説されてる記事ってどこかにある？

975 ：（○口○*）さん sage ： 2008/03/14(金) 14:48 ID:K00qIQ4E0

>>974
少なくとも私は目にしてないな。

976 ：（○口○*）さん sage ： 2008/03/14(金) 15:23 ID:2XOI0B/A0

>>974
何が降ってくるかは >>940-941 ということで。

xp.exeは「Der Herr der Ringe Online」
つまりLotROのパス抜きの模様(uc8010とコードが似ている。同一犯?)。

0.exeは「wiie://rr.vpbt3dktg.rdb/rr.phe」
という文字列があり、何かをPOSTするか拾いそうに見えますが
規則性がわかりません
wiie→http(ほぼ確定かと)
rdb→comかorg(netならwiie=httpにならい3文字目がiになるはずということから)
phe→asp(wiie=httpにならい3文字目がpだろうということから)

xp.exeが抜いたLotROのパスを0.exeがPOSTするのか
全く別の働きをするのかは不明。

977 ：（○口○*）さん sage ： 2008/03/14(金) 15:30 ID:3T+fmj1Q0

>>973
カスペ日本公式では、2008年3月13日付けに配信した
ウイルス向け定義データベースにおいて
Trojan-Dropper.Win32.Agent.fvr　を誤検知する事を確認、さらに
現在の最新の定義データベースでは修正済みとのこと。

カスペジャパンっていう日本語の公式があるんだし、慣れてないなら
素直にカスペジャパンのサポセンって手もあるぞ。

978 ：（○口○*）さん sage ： 2008/03/14(金) 15:37 ID:2XOI0B/A0

>>973
まんま >>949 >>955 じゃないか。
false positive (DELL なんたらんたら)と一言書いて送ればよかったのに。

979 ：（○口○*）さん sage ： 2008/03/14(金) 16:24 ID:hUTASMcD0

>>974
米国でWebサイト改ざん攻撃が多発、2万ページ以上が被害に
ttp://www.itmedia.co.jp/news/articles/0803/14/news018.html

からたどれるDancho Danchev's Blogに一応載ってるかな
More CNET Sites Under IFRAME Attack
ttp://ddanchev.blogspot.com/2008/03/more-cnet-sites-under-iframe-attack.html

980 ：（○口○*）さん sage ： 2008/03/14(金) 17:46 ID:YP1hbvgt0

4Gamer.net お金をかければよいわけではない？ その道のプロに聞く，オンラインゲームの不正アクセス対策
ttp://www.4gamer.net/games/000/G000000/20080314003/

前半は自社のシステムの売り込みだけど、中盤から「現在多く見られる不正アクセスの手口」や
「クレジットカードの不正課金で運営と信販会社がしばしばぶつかり始めている」といった話題など。

981 ：945 sage ： 2008/03/14(金) 18:21 ID:yBeDAkLu0

>>977
18:00時点でttp://www.kaspersky.co.jp/virusscannerにて検出
18:00時点でttp://www.virustotal.com/jp/でのintro。exeは0/32で検出されず
18:00時点で同じくカスペエンジンを使っているttp://www.nifty.com/security/vcheck/にて検出
そして誤検出のことが書いてあるページを発見できませんでした、よろしければ教えてくださいorz
サポセンは製品版ユーザーじゃないので遠慮していました、最後の手段として考慮してみます

>>978
false positiveの一文も添えたんですが、その真上にusingNortonInternetSecurity2006と添えたせいですかね・・・
カスペ非公式Wikiも見てみましたが、確かにもっと簡便なメールのほうがよかったようです

982 ：（○口○*）さん sage ： 2008/03/14(金) 18:25 ID:K00qIQ4E0

>>980
970の反応が無いので、スレ立て頼む。修正箇所は>>972参照。

983 ：629=670,671,740 sage ： 2008/03/14(金) 18:51 ID:6UAdEEfm0

スレも終わりそうですが進展ありましたので報告します。
本日、最寄署の担当者より連絡があり、確認したいことがあるとのこと。
折り返してみると最後の正常ログイン時間の再確認と、キャラクター名を確認されました。
その後、とられたと思われるアイテム名をいくつかあげていましたが、
ガンホーからもらったデータを見ているらしく、ゲーム中の表示名ではなく
データ上の名前らしきもの（蝶の羽なら、なんとかバタフライとか）を読み上げていたので
「それはデータ上の名前ではないか。ゲーム上では日本語表記されているが、だいたい合っているのではと思う」
と告げると、詳しく内容を確認したいので署まで出向いて欲しいとのこと。
18日の業務終了後に伺うことになりました。

984 ：980 sage ： 2008/03/14(金) 18:55 ID:YP1hbvgt0

>>982
次スレ立てましたー
セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/

985 ：（○口○*）さん sage ： 2008/03/14(金) 18:58 ID:K00qIQ4E0

>>984
乙ですー

>>983
報告GJです。続きもがんばって下さい。

986 ：（○口○*）さん sage ： 2008/03/14(金) 20:21 ID:2XOI0B/A0

>>981
いやほんと
　サブジェクト False Positive
　本文 False Positive(DELL なんたらかんたら)
だけでいいから。

俺ウイルス送るとき
　サブジェクト Trojan
　本文 Trojan
これだけだよ。まじで。

正直言ってテンプレのあれは長すぎて
日常的に(家庭でも)英語話す人じゃないと読まんよ。

987 ：（○口○*）さん sage ： 2008/03/14(金) 20:27 ID:3T+fmj1Q0

>>981
ちゃんと一時ファイルとか消してるか？
消してなかったら、誤検知が出続けるかもしれん。

＞誤検出のことが書いてあるページ
すまん、サポセンに問い合わせたら返信がきた。
後ユーザーじゃなくても、よっぽどじゃない限り
返信はくるかと。
なんせ情報なんぼの商売だから、ＤＥＬＬユーザーのトラブルの
一例としてきちんとした形で報告すれば、少なくても迷惑には
ならないと思う。

てかＤＥＬＬのページに、これはウイルスやマルウェアでは
ありませんとか、言い訳がましく書いてあるページなら
見たことがある。１回ＤＥＬＬのページを見てみたらどうだろう。

988 ：（○口○*）さん sage ： 2008/03/14(金) 22:47 ID:yBeDAkLu0

F-Secureでオンラインスキャン実行、検出されたので駆除をクリックしたところ、intro。exeが0kbのファイルに変身
ここでどうでもよくなり、元々NetworkAssistantも使っていなかったし予定もないのでコンパネから削除しました
再起動ののちカスペオンラインスキャンでフルスキャン
C:\System Volume Informationに同じものが発見されましたが、復元ポイントのフォルダですし>>987さんの情報もありますので削除は控えておきます
色々とお騒がせしましたが、助言ありがとうございました

>>986
もし次があるならそうしますね
アドバイスありがとうございました

>>987
履歴と一時ファイルは消してました
ネットワークアシスタントは以前調べましたので、挙動不審なアプリということは理解してます

989 ：L ★ sage ： 2008/03/15(土) 10:36 ID:???0

375 名前：ナリタレ[] 投稿日：08/03/14(金) 11:09 ID:xvHgBTuu0
RO イフリート戦
RO Ragnarok ラグナロク...RO Ragnarok ラグナロク
http://■www■livedoorbloog■com/lin885/885.zip

nwtfb-10p5-8*.ppp11.odn.ad.jp
210.237.200.8*

990 ：（○口○*）さん sage ： 2008/03/15(土) 12:56 ID:kam+vWBa0

>>989
lin886/886.zipもlin887/887.zipもあるね。

991 ：（○口○*）さん sage ： 2008/03/15(土) 20:57 ID:rPWTUzqX0

もしかしたらスレ違いかもしれませんが、お分かりの方がいらっしゃいましたら
教えていただけるでしょうか？
垢ハクウィルスなのかも分からないのですが…
以下一応テンプレで記述します。

【気付いた日時】2008年3月15日
【不審なアドレスのクリックの有無　】無
【アドレス】色々見ていたのでどれだか特定できず。
【OS】WindowsXP Home SP2
【使用ブラウザ 】IE6.0 sp2
【WindowsUpdateの有無】3月14日
【　アンチウイルスソフト 】McAfee
【その他のSecurty対策 】 最近とくになし
【 ウイルススキャン結果】 カスペオンラインスキャンにてBackdoor.Win32.IRCBot.gen
【テンプレの参考サイトを読んだか】 今から読みます
【hosts変更】無　
【PeerGuardian2導入】無
【説明】
自業自得なのですが、セキュリティをきちんとしてない事もあって本日WEBを
見ていて怪しそうなサイトを踏んでしまい何となくカスペのオンラインスキャンをしたところ
上記ウィルスBackdoor.Win32.IRCBot.genが発見されました。
ぐーぐる先生に尋ねても余り検索結果が出てこなく、また発見されたフォルダが
McAfeeのツールが置いてあるフォルダなので誤検索かな？とも思ったのですが
もしお分かりの方がいらっしゃるのでしたら教えていただきたく書き込ました。

もし垢ハックでないにしろ、今ですと余りセキュリティ対策をしていないので
今後強めたいと思います…。

992 ：（○口○*）さん sage ： 2008/03/15(土) 22:36 ID:Br486Hxs0

セキュWikiの検体提出先で、Normanが間違っていたので修正。（誤検出の提出先が書かれていた）
>>986 の文面も一例として記載してみた。


>>991
アカハックではないものの危険ファイルですね。
カスペ検出名「Backdoor.Win32.IRCBot.gen」でぐぐったところ、トレンドマイクロのページが出てきました。

英文ですが、ご参考までに。
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SDBOT.APA

WORM_SDBOT.APA
Backdoor.Win32.IRCBot.gen (Kaspersky),
W32/Sdbot.worm.gen (McAfee),
W32.Randex.gen (Symantec),
DR/Yabinder.20.E (Avira),
W32/Sdbot-PW (Sophos),

IRCで出された指示を受け取って稼働するBOT（RO内のものとは違います)の一種のようです。
誤検知かどうかは知りませんので、誤検知の可能性があると思ったら検体提出を。

993 ：（○口○*）さん sage ： 2008/03/16(日) 07:52 ID:kzvO5b1I0

埋めついでに。

昨日、リネージュ資料室さんのウィルス置場一覧を見て更新されてっとこから検体を拾ってみた。

ttp://sammitr■co■za/toyota■htm
ttp://www■caremoon■net/wiki/main■htm
ttp://www■soracger■com/wiki/admin■exe
ttp://www■gamemmobbs■com/batteROyale/ro1■exe
ttp://www■infosueek■com/rosolo/index-php/
ttp://www■infosueek■com/xin/Ms06014tt■htm
ttp://www■infosueek■com/xin/Ms07004tt■js
ttp://www■infosueek■com/xin/Ms06046tt■htm
ttp://www■infosueek■com/xin/anitt■c
ttp://www■infosueek■com/xin/Yahoott■htm
ttp://www■infosueek■com/xin/xia■exe
ttp://www■infosueek■com/xin/ro■exe
ttp://www■k5dionne■com/ousele/ttmm■htm
ttp://www■k5dionne■com/ma/Ms06014■htm
ttp://www■k5dionne■com/ma/ani■c
ttp://www■k5dionne■com/ma/Yahoo■htm
ttp://www■k5dionne■com/ma/xia■exe
ttp://www■kaukoo■com/
ttp://www■kaukoo■com/dvd/104■scr
ttp://www■panslog■net/wiki/index1■htm
ttp://www■articlelin■com/wiki/cer■exe
ttp://www■ragnwiki■com/read/index1■htm
ttp://www■ragnwiki■com/read/server■exe
ttp://www■teamerblog■com/wiki/cer■exe
ttp://www■temateman■com/lineage/bbs-cgi/
ttp://www■wacacop■net/wiki/index1■htm
ttp://www■wacacop■net/wiki/sever■exe

994 ：（○口○*）さん sage ： 2008/03/16(日) 07:53 ID:kzvO5b1I0

（続き）

=== Kaspersky ===
admin.exe : Trojan.Win32.Inject.aev
ani.c : Exploit.Win32.IMG-ANI.ac
anitt.c : Exploit.Win32.IMG-ANI.ac
cer.exe : Trojan.Win32.Inject.aew
index(2).htm : Trojan-Downloader.HTML.IFrame.dv
index.htm : Trojan-Downloader.HTML.IFrame.dv
Ms06014.htm : Trojan-Downloader.JS.Psyme.kf
Ms06014tt.htm : Trojan-Downloader.JS.Psyme.kf
Ms06046tt.htm : Exploit.HTML.Ascii.ai
Ms07004tt.js : Trojan-Downloader.JS.VML.a
Ms07004tt_js_1.htm : Trojan-Downloader.JS.VML.b
ro1.exe : Trojan.Win32.Inject.adw
sever.exe : Trojan.Win32.Inject.aey
ttmm.htm : Trojan-Downloader.HTML.IFrame.dv
xia(1).exe : Trojan-Downloader.Win32.Delf.dsz
xia.exe : Trojan-Downloader.Win32.Delf.dsz
Yahoo.htm : Exploit.HTML.IESlice.z
Yahoott.htm : Exploit.HTML.IESlice.z

=== Kaspersky(新種の返答があったもの) ===
index1(1).htm : Trojan-Downloader.JS.Agent.bmk
index1(2).htm : Trojan-Downloader.JS.Agent.bml
index1.htm , main.htm : Trojan-Downloader.JS.Agent.bmj
ro.exe : Trojan.Win32.Inject.afb
server.exe : Trojan.Win32.Inject.afd
toyota.htm : Exploit.VBS.Agent.j

=== Other ===
104.scr : clean
index(1).htm : clean

995 ：（○口○*）さん sage ： 2008/03/16(日) 09:37 ID:rtI/4ljr0

せめて中身見てから送ったほうが。
www■kaukoo■com/dvd/104.scr
とかドメイン業者のページになってるし。
有用ではない物を送りまくるのは妨害というかSPAMと変わらんというか。

# スクリプトは自分で読んでバイナリだけ送ってる。

996 ：（○口○*）さん sage ： 2008/03/16(日) 09:52 ID:kzvO5b1I0

>>995
ああ、それで104.scrとindex.htmの中身が同じだったのか。
変なコードないけど、自分が見落としてるだけかもしれないと思って送ったさ。
徹底的に調べるのは、こっちの仕事じゃないし。

バイナリだけって考え方も、本体がブロックされれば実害はないのでいいんだけど(NOD32がその傾向ある）、
ダウンローダになるスクリプトにも対応してもらえれば、新種の(すり抜ける)本体を入手する前に
ブロックできるようになるから、スクリプトも、極力送るようにしてる。水際阻止の可能性上がった方がいいからね。

997 ：（○口○*）さん sage ： 2008/03/16(日) 10:26 ID:rtI/4ljr0

いやモスクワに30人くらいしかいないからさ。
ゴミを大量に送るのは売りの対応速度を落とすことになりかねないなと。

スクリプトはバイナリに比べて容易に改変できる
(メモ帳で子供でも、なんならCGIで自動生成も)ので
その意味で送ってないだけ。自分はね。

998 ：（○口○*）さん sage ： 2008/03/16(日) 12:47 ID:kzvO5b1I0

ま、ね。対応すべき内容かどうかの判断は、セキュリティベンダに任せるべきだと思うんだ。

それはともかく、次スレはこちら

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/

999 ：（○口○*）さん sage ： 2008/03/16(日) 14:28 ID:rtI/4ljr0

だからスクリプトは送ってもいいよ。
104.scrみたいなのは排除してくれ。

1000 ：（○口○*）さん sage ： 2008/03/16(日) 14:39 ID:rtI/4ljr0

埋め

1001 ：１００１ ： Over 1000 Thread

このスレッドは１０００を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。