(○口○*)さん <><>07/04/25 16:19 ID:2a4usTN10<> アカウントハックが横行する昨今、セキュリティに関して話し合いましょう。
・ウイルスソフトやスパイウェアチェックソフトなどの質問。
・アカウントハック対策に関しての討論など。

アカウントハックの危険性があるURLは「.」を「■」に置き換えて貼り付けください。

最新の予防策・垢ハックを踏んでしまった時の相談などはMMOBBS/Ragnarok板のスレへ

アカウントハック総合対策スレ6
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1173963316/ <>セキュリティ対策、質問・雑談スレ2 (○口○*)さん<>sage<>07/04/25 16:24 ID:2a4usTN10<> 以下、前スレの使えそうな所ダイジェスト(テンプレにするかどうかは次スレ立てる時に相談)

【PCにウィルス対策ソフトを導入してない方へ】
・Kaspersky Anti-Virus (体験版)
 http://www.kaspersky.co.jp/trial/
・カスペルスキー:オンライン ウイルス&スパイウェアスキャナ
 http://www.kaspersky.co.jp/scanforvirus/
・NOD32 アンチウイルス (体験版)
 http://www.canon-sol.jp/product/nd/trial.html

■PG2用 RO許可リスト■
RAGNAROK-JP:61.215.212.0-61.215.212.255
RAGNAROK-JP2:61.215.214.128-61.215.214.255
WEB-SYSTEM:61.215.220.64-61.215.220.255
RAGNAROK-JP2:211.13.228.0-211.13.228.255
GUNGHO-MODE:211.13.229.0-211.13.229.255
RAGNAROK-JP3:211.13.232.0-211.13.232.255
RAGNAROK-JP4:211.13.235.0-211.13.235.255
GUNGHO-PAT1:219.123.155.160-219.123.155.191
GUNGHO-PAT1:221.247.195.160-221.247.195.191
GUNGHO-PAT3:125.101.19.64-125.101.19.95
GUNGHO-PAT4:124.32.117.192-124.32.117.22 <> (○口○*)さん<>sage<>07/04/25 16:24 ID:2a4usTN10<> とりあえず「PCのことなんてわかんね」って人用に面倒でもやるべきこと まとめ(XPの人用)

1 WindowsUpdateをする
  手順:スタート→全てのプログラム→WindowsUpdateとクリックし、【高速ボタンで全てインストール】

2 ウィルス対策ソフトを導入する
  めんどくても必ず何かしら入れること
  推奨は【NOD32】、【カスペルスキー】のふたつのうちどちらか
  無料のソフトもあるのでその辺は検索のこと

3 InternetExplorerの設定
  スタート→コントロールパネル→ネットワークとインターネット接続→インターネットオプションを開く
  上のメニューから「セキュリティ」を選び、「レベルのカスタマイズ」をクリック
  中ごろにある【ページの自動読み込み】を【無効】にする
  その下にある【ポップアップブロックの使用】を【有効】にする
  そこからもう少し下のほうにある【拡張子ではなく、内容によってファイルを開くこと】を【無効】にする

4 2ちゃんねるブラウザ等の掲示板ブラウザの画像プレビュー表示機能、オートリンク機能をオフにする
  これは各ソフトで設定が違うので各ソフトのヘルプ等を参照のこと <> (○口○*)さん<>sage<>07/04/25 16:27 ID:2a4usTN10<> ■前スレ969によるhosts更新支援スクリプト■

あこすれてんぷら避難所を間借りする事で公開しました。
ttp://acopri.s250.xrea.com/index.php?hostsRenewScript

一応説明を付けていますが、自己責任、という事でお願いします。
cfgとvbsの2ファイル構成で、動作に必要なwget等は付属してません。

※ 配布ページとファイルをよく読んで、【自己責任にて】 ご利用ください <> (○口○*)さん<>sage<>07/04/25 16:35 ID:2a4usTN10<>
■1PC環境におけるウィルス駆除前のパスワード変更方法について
 踏んでしまった or 踏んだかもしれない時、すぐに安全な他のPCを利用できない場合どうすればいいのか、
 テンプレにもBSWikiにも記述がありますので良く読んで頂くとして、事前の準備を考えている人向けにプチまとめ。
 これまでに確認されたアカウントハックのプログラムは、感染力のあるウィルスやワーム
 と言ったものではなくトロイ・スパイウェアの類なのですが、この先どこまで高機能化するか判りませんし
 やはり「ネットからの切断・感染PCの隔離」が最優先事項といえます。
 それ故に同じPCで早急にパスワードの変更をしたい場合には、それなりの事前の準備が必要になってきます。

・1CD Linux (詳細はテンプレやBSWiki安全の為にを参照)
 Windowsではない別のOSである「Linux」をCD(DVD)から起動してGungho公式にアクセスしパスを変更します。
 [長所]
  安全度はかなり高いといえます。HDDを使わないので緊急用としてはお手軽です。
  初めてLinuxを使う人は操作に多少戸惑うかもしれませんが、ブラウザ起動さえ出来れば
  パス変更程度ならなんとかなるでしょう。
 [短所]
  CD-Rを持っていてISOイメージで焼く事のできる人のみ利用可能です。(雑誌のオマケに付いている事も有りますが)
  自分のPCで上手く動くCDを作成するまでが大変かもしれません。
  ハードウェアの認識力は高くなってきてはいますが、まれに古いPCや相性の悪いPCだと動かない事もあります。
  (その場合は別の1CD Linuxを試してみると動く事もあります。Linuxは様々な派生バージョンがありますので)

・デュアルブート
 1台のPCにWindowsを2つ(もしくはWin+Linux)入れておいて非常時にはサブの方から起動しパスを変更します。
 メインで使うWindowsからサブのWindowsが見えないように分離したい所なのですが、その辺りの設定が出来る
 ブートマネージャを導入しパーティションを不可視にするといった作業はやや難しいかもしれません。
 [長所]
  サブが使い慣れているWindowsならやり易いでしょうし、オンラインウィルススキャンをかける事も出来ます。
  Winが2つの場合安全度はウィルスの能力により大きく変動しますが、2つを分離できれば高いといえます。
 [短所]
  OSのクリーンインストールをほいほいできる程度の知識は必要です。
  建前としてWindowsを2つ所持している必要があります(サブをLinuxにすれば問題ありませんが)
  メーカー製のOSリカバリーディスクしかない場合、ディアルブート環境にするのが難しい場合もあります。 <> (○口○*)さん<>sage<>07/04/25 16:35 ID:2a4usTN10<>
・仮想PC
 仮想PC(仮想マシン)とは、あるOS(ホストOSと呼ぶ)の上にPCのハードウェアをエミュレートする環境を構築して、
 その上で別のOS(ゲストOSと呼ぶ)を動かす仕組みの事です。
 具体的には"Microsoft Virtual PC"等を利用してWindows上に仮想マシン環境を構築しそこに別のOSを入れる事になります。
 [長所]
  ゲストOSとホストOSの垣根を越えて悪さをする事は、基本的には出来ない筈ですから安全度は高いといえます。
  使いこなせれば利便性はかなり高いです。ROにログインしたままパス変更をする事も可能だと思います。
 [短所]
  ググればインストールの方法などは出てきますが、まったくの初心者にはやや難しいかもしれません。
  ある程度のマシンパワー(特にメモリ)が無いと重いです。

・IPフィルタ・パケットフィルタ等による一時的な送信制限
 指定したIPに対する通信をブロックするツールの中には、
 全域(0.0.0.0-255.255.255.255)をブロックした上で一部IPのみを許可できる物もあると思います。
 つまり緊急時に指定したIP(Gungho公式やRO鯖のみ)に対してだけ送信を許可して、
 パスワードを変更し時間を稼ごうという訳です。
 FW系セキュリティソフトを導入済みなら、設定によって実現できるかもしれません。
 [長所]
  うまく設定できればROにログインしたままパス変更ができます。あくまで時間稼ぎの緊急措置ですが。
 [短所]
  プライベートIPの場合は非常に話がややこしくなります。
  そこそこの知識が必要でやはり敷居が高すぎるかもしれません。設定をミスれば全く無意味なのでやる人はいないかも…


※ウィルスに対する安全性・導入の難易度・使用中PCへの影響などを総合的に考えると、
 お勧めは「1CD Linux」もしくは「仮想PC」といったところでしょうか。

Wikipediaによる1CD Linuxの解説 ja.wikipedia.org/wiki/1CD_Linux

1CD Linuxは↓をみていただくと判る通り多くの種類が有ります。
ライブCDの部屋 2.csx.jp/livecdroom/

代表的な1CD Linuxである"KNOPPIX"の入手方法 (産業技術総合研究所版 KNOPPIX)
unit.aist.go.jp/itri/knoppix/index.html
ダウンロード→CD(ISO)版→最新ダウンロードサイトの3つから選んで
knoppix_v5.1.1CD_20070104-20070122+IPAFont_AC20070123.iso
ってのをダウンロードしてみて下さい。サイズは700M位あります。
ダウンロードできたらCD-Rに書き込む訳ですが、ライティングソフトのマニュアルを熟読して
必ず「ISOイメージ」として焼いて下さい。でないと起動できないただの巨大なファイルを焼いてしまう事になります。 <> (○口○*)さん<>sage<>07/04/25 16:36 ID:2a4usTN10<> メール可能な検体提出先(英文が基本)

Avira GmbH(AntiVir) <virus@avira.com>
Dr.WEB <vms@drweb.com >
ESET(NOD32) <samples@eset.com>
F-Secure <samples@f-secure.co.jp>
Grisoft(AVG Anti-Virus) <virus@grisoft.com>
Kaspersky Lab <newvirus@kaspersky.com>
SOFTWIN(BitDefender) <virus_submission@bitdefender.com>
CA(eTrust Vet) <support@vet.com.au>
CA(eTrust Antivirus) <virus@ca.com>
ALWIL Software(avast!) <virus@avast.com>
K7Computing <k7viruslab@k7computing.com>

英文例 (2chセキュ板のをベース)
Hello.
I suspect attached file is infected with virus.
Please examine this.
Details are as follows.
Thanks in advance.

<Attached file info>
Decompression password : virus
File name : virus.zip
In file : virus.exe

<Where did I get this?>
http://exmaple.com/virus.exe

<Aditional Info>

<OS>
Windows 2000 SP4

<Country>
Japan

<Detection possible other software>
NOD32 Win32.NULPO
NORTON Win32.GATTSU <> (○口○*)さん<>sage<>07/04/25 16:36 ID:2a4usTN10<> Webからの提出のみ?

Norman
 http://www.norman.com/Virus/Submit_virus_sample/
Sophos
 http://www.sophos.com/support/samples/
F-Prot
 http://www.f-prot.com/virusinfo/submission_form.html

Norton
専用の提出プログラム sarcret.exe (自家製メーラ)を拾って
それで送れ、ということなんだけど
最近はプロバイダの迷惑メール規制でほぼ使い物にならない。
sarcretが送信するメールと同様のメールを作成して送ることもできるけど
やたらとめんどくさい(サブジェクト、本文、ファイル名などが固定)。
ということで英文フォーム。
https://submit.symantec.com/websubmit/retail.cgi
zipで固めてアップ。Captcha(図から字を読んで入力する)あり。
図が紛らわしくて読めない時(1とlとかhとnとか)はリロードがんばれ。

McAfee
メールで送ることもできるけどzipパスワードが「infected」限定
(自動処理されるため他のパスワードは自動返信で蹴っ飛ばされる)。
またメールは対応が遅い。
ということで英文フォーム。
https://www.webimmune.net/
zipで固めてアップ。アカウントを取得しておくこと。
アップ後1分ほど待ってからMy Accountで結果が出る。

ウイルスバスター(PC-cillin)
日本のトレンドマイクロは提出にウイルスバスターのシリアルが必要なので無視。
ということで英文フォーム。
http://subwiz.trendmicro.com/
の Suspicious file 。Session IDが付くのでブックマークは上記で。
このフォームはIEでしか動作しない(えー)。
ウイルスバスターという選択肢は無いので「PC-cillin 2006」とか選んで
zipで固めてアップ。未知のものはそのまま受け入れられるが
既知のものはアップ後ASPがエラーになるのですぐわかる(えー)。 <> (○口○*)さん<>sage<>07/04/25 16:46 ID:dQEocZtn0<> 前スレの使えそうな内容ダイジェストは以上です。他に気付いたものがあったら適宜貼り付けて下さい。

間で連続投稿規制に引っ掛かりました。テンプレにするには長過ぎるってことですね。orz
通称本スレ(?)のテンプレから引用して締めっ。



■スレの性格上、誤って危険なURLがそのまま貼られてしまう可能性がある■
■URLを無闇に踏んで回らないこと。報告・相談はテンプレを利用すること■

※ ID/Pass/サーバ/キャラ名等の情報は公開しないでください
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

【参考アドレス】
・ROアカウントハック報告スレのまとめ?サイト
 http://sky.geocities.jp/vs_ro_hack/
・安全の為に (BSWikiより)
 http://smith.xrea.jp/?Security
・リネージュ資料室 (応用可能な情報が多数)
 http://lineage.nyx.bne.jp/

【このスレでよく出てくるアプリケーション】
・PeerGuardian2(設定などはリネージュ資料室内・セキュリティ対策参照)
 ttp://lineage.nyx.bne.jp/misc/security/?id=basic-ipfilter <> (○口○*)さん<>sage<>07/04/25 17:19 ID:ecNW/h2i0<> 今ROを起動したところカスペルスキーが反応して

プロセスを実行します
\RagnarokOnline\GameGuard\GameMon.des
リスクウェア「Invader」の亜種を検知しました

と出ました。
プロセスをすべて拒否し、念のため回線を抜いて携帯からパス変更しました。
Invaderをググってもよくわからないので、これは一体何なのかどなたか教えて
もらえないでしょうか(´・ω・`)

携帯から書き込もうとしたらエラーが出たので、当該PCより書き込んでいます。 <> (○口○*)さん<>sage<>07/04/25 17:33 ID:2a4usTN10<> nPro自体がルートキットみたいな属性なんで、悪質なソフトと誤認された可能性が高いです。
本当にウィルスなのか、nProがウィルスと誤認されただけなのかの判断ができません。

リスクウェアの説明を読んでみて下さい。nProがこれに該当するのは当然だと思いますが…。
http://www.viruslistjp.com/riskware/

nProのリスクを把握したうえでプレイするわけですから、ROをプレイするなら許可出しちゃっていいと思います。
気分が悪ければ、キャラデリ→癌ID削除→HDDフォーマット(nProの残骸抹殺)してクリーンな環境に戻りましょう。 <> (○口○*)さん<>sage<>07/04/25 17:33 ID:h9hfvCZh0<> そりゃあんた、カスペがnProを誤検知してるんだよ
\RagnarokOnline\GameGuard\以下のディレクトリはチェック対象外にしないと <> (○口○*)さん<>sage<>07/04/25 17:42 ID:dQEocZtn0<> rootkit紛いの手法でプロテクトしてるから、検出されるのはある意味正常。
ただROをする上でnProが必要なので、使用者側が例外として登録する必要がある。 <> (○口○*)さん<>sage<>07/04/25 17:49 ID:G/IuMIWo0<> >>12
その方法だとレジストリからインストールの場所を探し出して
そこに仕込まれたら検知不能になると思うが? <> 10<>sage<>07/04/25 18:06 ID:ecNW/h2i0<> 今までこんな表示が出たことがなかったので慌ててしまいました。
PG2も導入していますし、ウイルススキャンしても何も検出されなかったので
許可を出すことにします。
皆さんありがとうございました(´∀`) <> (○口○*)さん<><>07/04/25 18:18 ID:FnHRUGXz0<> 前スレ埋まったのでageます。(間違えて前スレあげてしまった_| ̄|○ <> (○口○*)さん<>sage<>07/04/25 21:19 ID:faFbw8GL0<> 専ブラだと>>7の<Where did I get this?>のurlに直接飛べるんだが
これって大丈夫なん? <> (○口○*)さん<>sage<>07/04/25 21:25 ID:2a4usTN10<> >>17
サンプルと書いてあるように実体がないので大丈夫。

誰かがそのドメイン取って、そのアドレスにウィルス置いた場合までは保証の限りではないけど。 <> (○口○*)さん<>sage<>07/04/25 21:26 ID:oSI/EDbc0<> 現実には存在しないURLだろ
exampleと書こうとして綴り間違ったっぽいけど <> (○口○*)さん<>sage<>07/04/25 21:27 ID:GXByZGxL0<> >>17
普通のブラウザでも思いっきり飛べるけど・・・
多分それは架空のアドレスだから、大丈夫かと。
example.comってのは実在するみたいだけど、
exmaple.comはないっぽい
中華がこれから取ってきたら知らんけど。 <> (○口○*)さん<>sage<>07/04/25 21:27 ID:EEH132dx0<> URL記述の一例で、現時点では存在していないから大丈夫

将来は不明だが <> (○口○*)さん<>sage<>07/04/25 21:27 ID:2a4usTN10<> サンプルじゃねーや。exmaple だ。

ま、この単語見れば、意味は通じるだろ。 <> (○口○*)さん<>sage<>07/04/25 21:28 ID:2a4usTN10<> みんな被りまくり。重婚は犯罪ですよ。(*ノノ) <> (○口○*)さん<>sage<>07/04/25 21:57 ID:DWh5J2mI0<> ちなみにexample絡みは、存在はするけど、実在はしないドメイン。
RFC 2606によって、example.{com|net|org}と、*.exampleは予約されている。

typo狙いの悪質サイトには注意する必要があるが。googkleの時のように。 <> (○口○*)さん<>sage<>07/04/25 22:03 ID:EEH132dx0<> 「QuickTime」に脆弱性--Macのハッキングコンテストで明らかに
ttp://itpro.nikkeibp.co.jp/article/MAG/20070425/269115/

最後の方に書いてあるけど、MacだけではなくWindowsも対象らしいので注意
ちなみに 0dayなので現時点では修正パッチ無し <> (○口○*)さん<>sage<>07/04/26 00:30 ID:EHcYy7BX0<> 今回の場合、コンテストの一環で見つかってるが、
穴だらけでもシェアの関係で助かってるだけのMacを、
「WindowsよりMacの方が安全」なんて皮肉混じりのCMをやってると、
さらに皮肉好きのクラッカーに狙われることも出てくるわな。

まあ、MacOS上でネイティブにはRO走らんから、
狭い意味では安全っちゃ安全だけど。 <> (○口○*)さん<>sage<>07/04/26 04:25 ID:ffcBswSN0<> ttp://hakkakudo.exblog.jp/5942001/

もう既出かな?
結構危ない気がしたので一応紹介 <> (○口○*)さん<>sage<>07/04/26 05:01 ID:BDUKlc+w0<> >>27
CHAOS-BOT情報局★Sさんでも紹介されていたので見てきましたよ。
でもうちはOSがXP Homeなので設定できませんでした。
次回の記事でXP Homeでの設定方法を紹介してくださるそうなので期待。

URLだけだと恐くて見る人いないかもなのでタイトル付きで
白角堂の徒然記 : RLOでの拡張子偽装に注意(ウィルス対策)
ttp://hakkakudo.exblog.jp/5942001/ <> (○口○*)さん<>sage<>07/04/26 07:23 ID:FkVMWNP70<> 当方XP Proユーザなので早速設定してみますた <> (○口○*)さん<>sage<>07/04/26 09:58 ID:tavNutjZ0<> slashbotに載ってた記事の事だね。
元は日経IT ProのWinny関連の記事。

slashbot ttp://slashdot.jp/security/07/04/22/0520221.shtml
日経IT Pro ttp://itpro.nikkeibp.co.jp/article/Interview/20070413/268234/?ST=security&P=1

Winnyではこの偽装が最近多いらしい。
ちなみにポリシー触らなくても、Explorer以外のFilerを使ってると見抜ける
(制御文字を「?」と表示する)場合もある。 <> (○口○*)さん<>sage<>07/04/26 09:59 ID:tavNutjZ0<> botじゃねぇ、dotだorz <> (○口○*)さん<>sage<>07/04/26 10:33 ID:UeZwmOHr0<> hosts自動書換スクリプト(>>4)でリネージュ資料室のリスト
ttp://lineage.nyx.bne.jp/misc/security/?id=url-site
を使いたい人向けに設定を考えてみました。

ちょっとテクニックが要りますが、hostsRenew.cfgを下記の通りに設定します。
strURL1="-O id=url-site http://lineage.nyx.bne.jp/misc/security/?"
strURL2="id=url-site"
※他はROの場合と同じ

リネージュの方のみ使う場合は、これだけでOKです。 <> (○口○*)さん<>sage<>07/04/26 10:34 ID:UeZwmOHr0<> さらにリネージュとROの両方を読み込んで合成したい場合は
リネージュ用とRO用でそれぞれ専用のフォルダを作成し、その中に
hostsRenew.vbsとhostsRenew.cfgをペアで作成します。一例として
DドライブのルートにLIおよびROというフォルダを作成することにします。

D:\LI\hostsRenew.vbs
D:\LI\hostsRenew.cfg
D:\RO\hostsRenew.vbs
D:\RO\hostsRenew.cfg

のように4つファイルを作成し、それぞれのcfgファイルを

●D:\LI\hostsRenew.cfg
MyHosts ="C:\Windows\system32\Drivers\etc\MyHosts.txt"
hostsPath="C:\Windows\system32\Drivers\etc\MyHosts2.txt"

●D:\RO\hostsRenew.cfg
MyHosts ="C:\Windows\system32\Drivers\etc\MyHosts2.txt"
hostsPath="C:\Windows\system32\Drivers\etc\hosts"

のように設定し、さらに以下のバッチファイルを作成します。
●D:\hostsRenew.bat
D:
cd \LI
hostsRenew.vbs
cd \RO
hostsRenew.vbs
※上記5行がファイルの中身です。

これで準備完了。あとはバッチファイルを実行すれば、合成したhostsファイルが出来上がります。
現時点でリネージュ側が639行、RO側が326行あり、合計で1000行程度の巨大なファイルになりますが・・・ <> (○口○*)さん<>sage<>07/04/26 11:34 ID:tavNutjZ0<> >32-33
乙です。

自分も両方のリストを連結しようとvbsを改造して使ってたけど、その方法なら
vbsの改造無しでいけますね。
最初の方で作成したMyHosts2.txtを次のMyHostsとして使用するって発想は
思いつかなかった……

まとめサイトとリネ資料室のを連結すると重複行が出てくるだろうし、それを
省けば多少は減るとは思うけど、本体改造無しでやる方法あるかなぁ? <> 32<>sage<>07/04/26 12:19 ID:UeZwmOHr0<> >>34
重複行を削除する方法は自分も考えているんですが、
本体スクリプトを改造するか、
あるいは全然別のスクリプトを作成して、
そちらで出来上がったhostsファイルを読み込んで
重複行を削除するか、と言ったところでしょうね。

アルゴリズム的にはリストをすべて配列に記憶して、
バブルソートした後、重複行を削除というのが
無難なところだと思いますが・・・。 <> (○口○*)さん<>sage<>07/04/26 12:36 ID:tavNutjZ0<> >35
Sortとuniqやそれに準じるツールを併用すればバッチファイル内で処理可能
なんですけどね。

でもコメント行の#だけの行も当然消えるので可読性が落ちるのと、# Trojan〜の
括りが消えるとかの問題があるのが難点。
実用には問題ないけど。 <> (○口○*)さん<>sage<>07/04/26 13:35 ID:Y4jOWfqn0<> 相互リンク

アカウントハック総合対策スレ7
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1177507128/ <> 32<>sage<>07/04/26 14:55 ID:UeZwmOHr0<> >>36
Cygwin使って、重複行を削除するスクリプトを書いてみました。
(もっとスマートに書けるのかもですが、UNIXのコマンドをあまり知らないもので・・・)

#!/bin/sh
grep -in "trojan trap sites" hosts | cut -f1 -d: > temp
nHead=`expr $(head -n1 temp) + 1`
nTail=`expr $(tail -n1 temp) + 1`
nListEnd=`expr $nTail - 3`
nListNum=`expr $nListEnd - $nHead`
head -n$nHead hosts > temp
head -n$nListEnd hosts | tail -n$nListNum | grep "^127.0.0.1" | sort | uniq >> temp
head -n$nTail hosts | tail -n3 >> temp
mv temp hosts

スクリプトと同じフォルダにhostsファイルがあるという前提です。
# Trojan trap sites 〜 # End of trojan trap sites
の間にある行のうち「127.0.0.1」で始まる行のみを取り出してソート&重複行削除を行ってます。
可読性を維持しつつ、重複行を取り除けますが、実際の運用でCygwinを使いたくはないので、
これをどうやってCygwin抜きで実現するかですが・・・

ちなみに重複を取り除くと、リネージュ(639行)+RO(326行)=965行 → 684行まで減ります。 <> (○口○*)さん<>sage<>07/04/26 15:23 ID:ckjSPqiB0<> とうとうカスペ買ってしまった…。
前スレの話題引っ張るようで、最初にごめんなさい。しておきますが、
KISって、ダウンロードしたインストールファイルが、kis6jp.exeだからなのね。 <> (○口○*)さん<>sage<>07/04/26 15:29 ID:BDUKlc+w0<> スレ立て乙です。
aguse.netとソースチェッカーオンラインも軽く説明付きでテンプレに入れても
いいかもと思いました。 <> (○口○*)さん<>sage<>07/04/26 19:56 ID:zezf1sun0<> というか、テンプレに詰め込みたくても、連投規制かかる件。

まとめサイトとかWikiとかにリンク張ったらいいのかもねー <> (○口○*)さん<>sage<>07/04/26 20:09 ID:RSUdx0C/0<> スクリプト、作者の人にDangerHostsを残すようにしてもらったら
全て解決しそうな予感 <> セキュスレ1-936<>sage<>07/04/27 01:38 ID:Kj/6rVwu0<> hostsRenew Version0.05

・ErrMsgFlgの追加
 必要ファイルが無い場合などにメッセージを出すオプションを追加しました。
 初期値でメッセージを出すようにしているので、自動更新で利用されてる方は注意してください。
・DangerHostsPathの追加
 一時ファイルとして作成していたDangerHostsを保存出来る用にしました。
 コメント行は入らない様にしています。
 初期値は未設定ですので作成されませんので、必要な方はフルパスで記述してください。 <> セキュスレ1-936<>sage<>07/04/27 01:51 ID:Kj/6rVwu0<> >32
リネージュ資料室さんのリストも使えるかも、と作ってはいましたが
その使い方は正直予想外でした。

重複分のカットについては、NT版UNIX-like toolsに含まれるSort.exeを
使えばバッチファイルでも簡単にできると思います。
ttp://www.piedey.co.jp/softs/ntuxtl014.html <> (○口○*)さん<>sage<>07/04/27 02:53 ID:xW81jg220<> >43
更新乙です

Unix-like tools の Sort -u で重複部分はカットできるけど
wwwで始まる部分はどうしても中に入りますね
流石にこればっかりはどうしようもないかな <> 32<>sage<>07/04/27 05:41 ID:UBSbj8we0<> hostsファイルの重複部削除スクリプトを作ってみましたが、需要あるかな。

ttp://www.mmobbs.com/uploader/files/2519.zip
MD5: 652BEBC99AE740C7150FE3E68363D2CB (HostsUnique001.zip)
MD5: F83BAC5788ECDFD7BF019E8F0C33F4AE (hostsUnique.js)

必ずしも、重複を削除しなければならないわけでもないですし、
>>44-45の方法でも実現できるので、あまり需要ないような気もしますが・・・

あと>>38の最後の行は間違ってました。重複削除後は現時点で660行です。 <> 32<>sage<>07/04/27 05:52 ID:UBSbj8we0<> >>44
更新お疲れ様です。
実のところ、32の方法は後から思いつきました。
最初のうちは34さんと同じくスクリプト本体を改造して実現していました。

改良案として、WGETコマンドを常に-Oオプション付きの固定ファイル名出力で実行し、
strURL2との比較はやめる。strURL1とstrURL2は分離する必要がなくなるので、
strURL2を廃止し、strURL1のみでページを指定するようにする。
という方法がありますが、如何でしょうか? <> (○口○*)さん<>age<>07/04/27 15:22 ID:fGJFhoDa0<> スパムでありながらウイルス──ネット犯罪の兆候をMessageLabsが警告
http://internet.watch.impress.co.jp/cda/news/2007/04/27/15580.html

今後は、貼られるだけではなく、spamにも仕込まれるかもしれませんね。注意しないと。 <> (○口○*)さん<>sage<>07/04/27 17:24 ID:97/eBzoB0<> >47
その方が判りやすいし楽だろうけど、今のままでも同じ動作するから
変えなくてもいいような。
初期値でまとめサイトが指定されてるから特に意識する必要も無いし。

>48
例えたら、lovetwのアドレスが書かれたメールが飛んでくる、みたいな
ものかね?
そういう罠メールは昔からあると思うんだが、この時期に警告するって事は
それとは違う? <> 47<>sage<>07/04/27 22:34 ID:UBSbj8we0<> >>49
うん。まとめサイトの方だけを使うなら、現状でいいんだけど、
リネージュ資料室のページを読み込むときに、
現状は>>32のような変則的な設定を行うしかないので、
普通に設定できるように>>47の案を出させて頂きました。

元々スクリプトがまとめサイト用に作られてるので、
リネージュ資料室の方は対象外と言われれば、もちろんそれまでなんですが、
ROリネージュ共用トロイとかありますし、両方プレイしてる人もいるでしょうし・・・ <> (○口○*)さん<>sage<>07/04/28 04:10 ID:b0G1obEZ0<> 質問があります。
もしアカハックURLを踏むんでしまった場合、100%感染するのでしょうか?
さきほど高Lv一次職集会で踏んでしまったのですが、
ウイルススキャンなどで調べても特に感染されたとか出ませんでした <> (○口○*)さん<>sage<>07/04/28 04:58 ID:2wOAVes90<> 集会で踏んだとはどういうことだろう <> (○口○*)さん<>sage<>07/04/28 05:12 ID:mkTS7fX90<> 100%感染する必殺なURLもあると思います。しない奴もあります。
そういう意味で、あなたが踏んだのがどちらかわからないので、
結論としては、いかなる場合も100%感染する、ということはありません。

WindowsUpdateの適用状況だったり、
OSだったり、使用してたブラウザだったり、
ブラウザの設定だったり、通信速度の品質だったり、
host設定していたり、PG2設定していたり、proxymotion設定していたり、
そもそも垢ハック側にも、すごいやつとへぼいやつがあったり。

そして。
ウイルススキャンで調べて問題なくても感染してる可能性はあります。
不安を避けたいなら、OS再インストールが正解。

>>37の本スレの最初にテンプレあるので読んでみるべし。
あそこの報告テンプレに従わないと、なにもできません。 <> 51<>sage<>07/04/28 05:53 ID:PXIbxlqQ0<> 高Lv一次職集会というテンプレみたいなサイトで踏んでしまいました。

ttp://www■23styles■com/bbs/
↑これが問題のURLです。クリックしても真っ白な画面のままだったので、
もしやと思って危険なURL一覧を検索したら載っていました。
先ほどカスペルでマイコンピュータをスキャンしたところ、ウイルスに感染していると出ました。
しかし、ノートンの最新版で見てもウイルスは引っかかりませんでした。
同じウイルス検索でも見つからないことがあるのでしょうか? <> 51<>sage<>07/04/28 06:56 ID:PXIbxlqQ0<> C:\Dcouments and Settings\Owner\Local Settings\Temporary Internet Files\Content.IE5\NZUYGUXQ\bbs[1]htm
↑これがウイルスみたいです <> (○口○*)さん<>sage<>07/04/28 07:05 ID:aOvrZxJC0<> >>26
強固さなんて、ディフォでは穴だらけのWindowsも
未知の脆弱製が多いかもしれないLinuxやMacも似たり寄ったりじゃない?

一応どれも脆弱製が見つかり次第すぐに塞いでるし、
結局はシェアが高い程狙われやすく危険って結論になる。
シェアの関係でと言うよりも、危険度ではそれが全てな気がする。 <> (○口○*)さん<>sage<>07/04/28 09:16 ID:byUQD6l20<> >>54-55
>同じウイルス検索でも見つからないことがあるのでしょうか?
ある。パターンが古く見付けられなかったり、新種だとすり抜けることもある。

>>55
それはIEのキャッシュだ。本体じゃない。
ページを見た時点で切断し、発動までさせていないのか、それとも、発動させて本体が隠れているだけかは不明。 <> (○口○*)さん<>sage<>07/04/28 09:30 ID:byUQD6l20<> 文字列を数値で実行するページの奴か。

引っ掛かってるのがhtmlで、踏んだアドレスの奴が文字列を数値に偽装していてスクリプトで指示を作り上げる
タイプでパターンマッチを回避させる奴。カスペはこれを検知。

ノートンは、それを実行してしまって、本体を入手した時点で反応する考えなんだろう。
本体を検知できるかどうかは、パターンの更新内容とかによるので不明。

>>55
一応、カスペのログをそのまま貼り付けてくれ。

本体がわからない(スクリプト実行させるのはパス)ので、本体が、カスペで検知できるものかの確認はできていない。
(勿論、本体がノートンで遮断できるパターンのものかの確認も)

カスペで反応したのが.htmだけなら、本体入手前に切断できた可能性もあるが、OS入れなおしをするか、
そのまま使うか、これは自己責任で判断して欲しい。 <> 51<>sage<>07/04/28 11:16 ID:zas8durmO<> ログといっても見つかったのは上に書いたものだけです。
これ以外引っ掛かったものはありませんでした。 <> (○口○*)さん<>sage<>07/04/28 11:28 ID:zas8durmO<> すみません。IEのキャッシュてなんでしょうか? <> (○口○*)さん<>sage<>07/04/28 11:41 ID:mkTS7fX90<> こういった知識のない人の場合、
対処方針としては、どう提示するのが一番いいんだろうかね。

・安全サイドで考えるなら、再インストールオススメ
 (しかし、SPとか当てることも知らない場合、
  WinUpdateがきっちり当たるまで、セキュリティLvが落ちる可能性も?)
 (そもそも一人で再インストールできるかも怪しい)

・自己責任という名の下に放置

・きっちり教え込む。

・リスクをたんまりアピールして、自分で努力するように誘導する <> (○口○*)さん<>sage<>07/04/28 11:51 ID:2wOAVes90<> 自分で調べてもらうこともしないと成長はないと思うな
「ここで聞けばなんでも教えてもらえる」なんて認識になっても困る <> (○口○*)さん<>sage<>07/04/28 12:46 ID:zas8durmO<> 今さっきカスペルの試作版で完全スキャンしたところ、
やはりトロイでした。削除したのでもう大丈夫だと思いますが、
そのトロイのオブジェクトが見つからないとでたのですが、
どういうことなのでしょうか? <> (○口○*)さん<>sage<>07/04/28 12:49 ID:byUQD6l20<> >>60
IEが使う一時ファイルのこと
http://www.higaitaisaku.com/icsakujyo.html

>>61
悩ましい問題だよな。

今回のケースの場合、
・踏んだのが垢ハックへ繋がるアドレスなのは確実
・実体がPCに入っているかは不明(実体を取込もうとするhtmlのキャッシュは残っている)
 垢ハックサイトを開いてしまったが、実体入手前に切断した可能性がある。

実体を踏んでいるかどうかを確認する為には、
・カスペorノートンを導入している人が、そのアドレスを踏んで実体を入手し、検知できるか確認しなければならない。

これは、確認してくれる人がいないと成立しないし、確認者のリスクが非常に高いので、やってくれる人が
出てくる可能性は低い。また、実体を確認しても、踏んだ時点との時間差がある為に、差し替えられている
可能性も考えられる。そのため、誰かが確認しても絶対の保証ができる訳ではない。安全な可能性があることを
示唆できるだけだ。 <> (○口○*)さん<>sage<>07/04/28 12:49 ID:byUQD6l20<>
■取るべき対処■
0.解決するまで、ログインやパスワード変更を行なわない。踏んだ後にパスワード入力などを行なってしまった場合
  安全な環境(テンプレぽいものや、Ragnarok板側のテンプレ、Wikiを参照)からパスワード変更。

1.除去し、クリーンな環境に戻す
1−1.発見された場合。
それを削除して完了

1−2.発見されなかった(今回はこれ)場合
1−2−1.リスクを覚悟でそのまま使う(非推奨)
リスクを減らす為に、NOD32、カスペなど複数のソフト(試用版が入手できる筈)でスキャンを繰り返し
安全である可能性が高いことを確認すること。

1−2−2.再インストール
メーカー製の場合、データのバックアップをとって、リカバリーをかける。
自作やショップブランドの場合、データのバックアップをとって、OSを入れなおす。

1−3.環境を戻す
バックアップした「データ」を戻す。各種ソフトを再インストール。

1−4.安全な環境にする
1−4−1.WindowsUpdateをかける
1−4−2.ウィルス対策ソフト・FW・PG2を導入し、設定する。
         (可能なら、スパイウェア対策のソフトも導入し、定期的にスキャンする)
1−4−3.セキュリティソフトの定義ファイルを最新にする。(当然定期的に自動更新する設定に)

1−5.ガンホーIDを削除す…ではなくて、ようやくROをプレイできる環境になりました、おめでとう。 <> (○口○*)さん<>sage<>07/04/28 12:52 ID:byUQD6l20<> >>63
・本体未入手の可能性
・本体がステルス化して、セキュリティチェックソフトの検査をかいくぐった可能性
・他のソフトが先に削除してしまった(IEのキャッシュが検知されたのにキャッシュクリアしたとか)可能性

いろいろ「可能性」は考えられるが、こうですと断定的に説明するのは不可能。 <> (○口○*)さん<>sage<>07/04/28 13:14 ID:wzVFRTvU0<> >>63
やっぱり再インストールしたほうがいいよ。
せっかく垢ハック踏んだことに気付けたのに、再インストールの手間を惜しんで装備
取られたらアホらしいだろ?
もちろん、既に駆除されていて再インストールは必要ない状態なのかも知れないが、
誰もそれを確認する手段がないわけだ。
複数のソフトで検知されないから大丈夫と判断するなら止めないが、再インストール
の手間>装備を再び集める手間、だと思うのでお勧めはしない。
薄情なようだが、やはり最後は自己責任だ。

>>64
いつの間にか刺し換わるのが厄介だよな。
そこは〜だからWinUpdateしていれば防げるはず、と安易に言えなくなる。 <> (○口○*)さん<>sage<>07/04/28 13:55 ID:8Ad/iuL+0<> IEのキャッシュや再インストールのやり方も分からない初心者はケチらずにPC関連の書籍を買えと言いたい。
順序立てて書いてあるから検索の手間が大きく省けるし、再インストール中や直後は質問も検索もできないので心強いはず。
はずれを引くこともあるだろうからできれば複数冊。

>>67
不等号の向きが逆では? <> (○口○*)さん<>sage<>07/04/28 14:10 ID:wzVFRTvU0<> >>68
再インストールの手間<装備を再び集める手間

thx、思いっきり逆だったorz <> (○口○*)さん<>sage<>07/04/28 14:24 ID:GhqhdMyU0<> 51以降のレス見てて思ったけど、
報告者がテンプレを無視した場合は、スルーした方がいいかもしれない。
まあ、報告者も初めての訪問でその辺もルールも分からないかもしれないから、

http://gemma.mmobbs.com/test/read.cgi/ragnarok/1177507128/3-4
に報告用のテンプレがあるから、これ使って報告してください。
テンプレを使わない報告には一切お答えしません。

とだけ返事するようにするとか。51氏の場合、
・テンプレを使わずに報告。
・53氏がテンプレを使うよう指示したにも関わらず、完全にスルーして報告を継続
・55で感染報告するも、肝心のウイルス名を書かない。(ファイル名だけ書いてどうするんだと)
・58氏がそれを指摘し、ログを貼り付けるよう指示するも、59でそれを完全に無視。

こんなやりとりではスレをムダに消費するだけだし、
・ルールを守らない報告者にはルールを教える。
・それでも守らない場合は無視する
という方針で行った方が良いと思いますが、いかがでしょうか? <> (○口○*)さん<>sage<>07/04/28 14:30 ID:Mx+gxDZK0<> どうでもいい。
答えたい奴が答えて、スレ違いなら誘導すればいい。
こんなやりとりこそスレの無駄。 <> (○口○*)さん<>sage<>07/04/28 14:37 ID:jMrTJNIl0<> いや、51関連は見ているだけで不愉快だから、>>70のようにするのが良いと思う
不愉快なら見るなと言われるかもしれないが、自衛の意味でもこのスレにはチェックする価値が大いにあると思っている
それがこんな目茶苦茶な報告で埋まるのは出来るなら避けたいところ <> (○口○*)さん<>sage<>07/04/28 14:42 ID:32WFjoBF0<> 一定のルールに規準させる、という意味でもテンプレ無視にはスルーに一票。
スレのルールも守れないんじゃ、パソコン守るなんてムリっすよ。 <> (○口○*)さん<>sage<>07/04/28 14:45 ID:Mx+gxDZK0<> 不愉快に思うのは自由だし、スルーするのもいいしテンプレ嫁で済ましても良い。
だが、答えてる人をも排除するようなルールは違うんじゃないかと思うんだ。
そこから新たなテンプレが生まれるかもしれない。
こんなやりとりこそ無意味だと感じてこないか? <> (○口○*)さん<>sage<>07/04/28 14:50 ID:zk6BrZ2b0<> >>74
冷静だなぁ。
ま、答えたい人がそうすればいい。
テンプレ守らなかったら無視されても仕方ないがな。
しかし無視しないで質問者を攻撃するのは、ちょっと落ち着けと言いたい。 <> (○口○*)さん<>sage<>07/04/28 15:29 ID:5GP9FjeJO<> アカハック野郎を取っ捕まえて
ぶん殴ってやりたいんですが、どうすればいいですか? <> (○口○*)さん<>sage<>07/04/28 15:39 ID:/08IWPmn0<> ICPOの偉い人になるくらいしか・・・ <> (○口○*)さん<>sage<>07/04/28 15:39 ID:nrKETNpG0<> nounaiで存分にやってください <> セキュスレ1-936<>sage<>07/04/28 16:10 ID:37R4axd+0<> hostsRenew Version0.06
ttp://acopri.s250.xrea.com/index.php?hostsRenewScript

・複数サイト対応
 処理するサイトを10ヶ所まで登録出来るようにしました。
 出力結果はマージした上、行頭に「www.」が付くリストは分けて書き込むように
 しています。

これに伴い、cfgの設定項目が変更されています。

・strURL(0)〜strURL(9)の追加
 危険ホスト一覧のURLを設定します。
 初期値でまとめサイトさんのリストとリネージュ資料室さんのリストを
 登録しています。
 不要の場合は""(ブランク)にしてください。
・strURL1・strURL2の廃止
 上の処理に伴い、strURL1・strURL2は廃止しました
・Dangerhostsの廃止
 vbs内で使うテンポラリファイルと位置づけ、設定から省きました。

Ver0.05のcfgを流用する場合、以上の点を注意してください。 <> (○口○*)さん<>sage<>07/04/28 16:16 ID:iFiNYuhO0<> >>74
いちいち答えることによって「あ、テンプレ無視でいいんだな」と
テンプレ無視の質問が延々と続く弊害も考えような。
教えるクンは教えてクンを招く。
ノイズまみれになって荒廃しようと、それでも俺は教えたいんだ!
というなら止めはしないが。 <> (○口○*)さん<>sage<>07/04/28 16:25 ID:JGSpAwnG0<> 詭弁のテンプレをそのまま持ってきたような文章だなw <> (○口○*)さん<>sage<>07/04/28 16:39 ID:byUQD6l20<> そういや、このスレに質問・相談用のテンプレなかったな。 <> (○口○*)さん<>sage<>07/04/28 17:29 ID:FZATX9EP0<> >>76
中華を無差別に殴ればそれなりの確率で当たるんじゃないの <> (○口○*)さん<>sage<>07/04/28 17:41 ID:iFiNYuhO0<> オーストリーのa2、いつの間にか日本語になっていたので検体提出先。
ttp://www.emsisoft.jp/jp/support/submit/
スキャンチェックはJottiで可能。 <> (○口○*)さん<>sage<>07/04/28 18:16 ID:3NOhWtOi0<> これからはGecko製のブラウザでもJAVA切ActiveX切をデフォにしとかんと危ないんかな。 <> (○口○*)さん<>sage<>07/04/28 18:24 ID:iFiNYuhO0<> Javaで何かあったっけ? QuickTimeの奴? <> (○口○*)さん<>sage<>07/04/28 18:27 ID:iZMb+5X80<> >>85
いや、Gecko「製」ブラウザに「ActiveX」だからなぁ
何の事やら! <> (○口○*)さん<>sage<>07/04/28 18:31 ID:byUQD6l20<> >>83
ずいぶん半島的な考え方だな。 <> (○口○*)さん<>sage<>07/04/28 18:31 ID:FZATX9EP0<> きっとActiveXを使えるようにするplug-inを使ってるんだろう <> (○口○*)さん<>sage<>07/04/28 18:31 ID:iFiNYuhO0<> ああ >>25 か。QuickTime、この前脆弱性が見つかった時に
AppleSoftwareUpdateでしかパッチ配らなくてがっかりした。
ttp://docs.info.apple.com/article.html?artnum=304989-ja
余計な物は入れたくない(iTunesも入れてない)のに。 <> (○口○*)さん<>sage<>07/04/28 18:33 ID:byUQD6l20<> >>90
仲間がいる。

俺もiTuneのインストーラ落としたら、解凍して、出てきたQuickTime単品で入れてる。 <> (○口○*)さん<>sage<>07/04/28 18:57 ID:icpU5ECE0<> Appleのソフト開発者関係は、Windowsが独占的な市場には批判的なのに、未だにMacOS ToolBox時代の
プログラミング作法の癖が抜けきれていないからな。 <> (○口○*)さん<>sage<>07/04/28 19:09 ID:iFiNYuhO0<> >>91
単体で拾えるんだけどね(前からあったけど、嫌がらせのようにリンクが小さかった)。
ttp://www.apple.com/jp/quicktime/download/win.html
セキュリティパッチは普通に拾えるようにしてくれ、というか
せめて[ヘルプ]→[更新]で拾えなきゃ意味ないだろ、と思った。 <> (○口○*)さん<>sage<>07/04/28 19:46 ID:iYsLQwGq0<> >79
更新乙

改造なしでまとめサイトとリネ資料室の両方から取れるようになったのは
楽でいいな <> (○口○*)さん<>sage<>07/04/28 20:00 ID:wzVFRTvU0<> >>79
乙、とりあえず動作は問題なさそうだ。 <> (○口○*)さん<>sage<>07/04/28 21:57 ID:mkTS7fX90<> >>83 今更ながら貼ってみよう。

----------報告用テンプレ----------
● 実際にアカウントハックを受けた時の報告用

【      気付いた日時          】 (被害に気付いた日時)
【不審なアドレスのクリックの有無 】 (blog/bbs/Wiki等で踏んだ記憶の有無とそのアドレス)
【他人にID/Passを教えた事の有無】 (Yes/No)
【他人が貴方のPCを使う可能性の有無】 (Yes/No)
【    ツールの使用の有無      】 (Yes/No、Yesの場合はそのToolの説明)
【  ネットカフェの利用の有無    】 (Yes/No)
【     OS    】 (SP等まで書く)
【使用ブラウザ 】 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【 アンチウイルスソフト 】 (NortonInternetSecurity2007 等)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【スレログやテンプレを読んだか】 (Yes/No/今から読みます)
【説明】
(被害状況を詳しく書く)

----------報告用テンプレ----------
● 怪しいアドレス?を踏んだ時用

【  アドレス   】 (ドット(.)を■等で置き換える事。h抜き等は駄目)
【気付いた日時】 (感染?に気付いた日時)
【     OS    】 (SP等まで書く)
【使用ブラウザ 】 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【 アンチウイルスソフト 】 (NortonInternetSecurity2007 等)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【スレログやテンプレを読んだか】 (Yes/No/今から読みます)
【説明】
(『怪しいアドレス』との判断した理由、症状を詳しく書く) <> (○口○*)さん<>sage<>07/04/28 22:27 ID:mkTS7fX90<> >>90,93
そういや適用させてなかったのでリンクみてみた。
AppleUpdateとかが導入されてなかったので、QTの再インストールするハメに。

そして予想通り、IEでmp3がDLできなくなる(QTが勝手に起動しやがる)ようになったので
下記blogの内容を反映するハメになりました。Apple微妙すぎる‥。

■ブラウザでmp3ファイルを開くとquicktimeが起動されてしまう問題の治し方
参考まで。リンク先はソースチェッカー等で確認しつつ、必要な人はどうぞ。
ttp://pikkolo333.jugem.jp/?eid=4 <> (○口○*)さん<>sage<>07/04/28 23:50 ID:+tPl4xWn0<> Ads by Googleクリック->ウイルス感染

ttp://itpro.nikkeibp.co.jp/article/NEWS/20070427/269844/ <> (○口○*)さん<>sage<>07/04/29 04:32 ID:l+g6F1PO0<> 突然すみません、質問をさせてください。
//a0sudou.hp■infoseek■co.jp/cgi-bin/src/up0812.jpg
生体萌えスレ用アップローダーに上げられたこちらの画像なのですが、
画像をメモ帳で開くとhttp〜とあるのですが、無害なものなのかお教えいただけませんでしょうか?
ソースチェッカでは普通に画像が表示されるのですが、
Win2kにデフォルトでついているファイルのプビューでは表示できませんと出ます。
URLが画像自体に入ってるというものははじめて見たもので、不安で仕方ありません。
何卒宜しくお願いします。 <> (○口○*)さん<>sage<>07/04/29 05:05 ID:1G/si/CA0<> ヒュッケバインのえちぃ画像のやつ?
うちのWin2kだとEXPLORERのプレビューでちゃんと表示されたよ。
編集はPhotoshop Elements 2.0 で埋め込まれてるアドレスはadobeのだね。
無害かどうかは判断できないけど・・・青少年には害があるかもしれない。 <> (○口○*)さん<>sage<>07/04/29 06:14 ID:pKOnngmZ0<> 見てもちゃんとした絵しかなかった。
裏で変なことしてるかまでは分からないけど。

で、このスレとかテンプレに入れない?
勇気がなくて踏めない人のための鑑定スレPart14
ttp://pc11.2ch.net/test/read.cgi/hack/1177503872/l50 <> (○口○*)さん<>sage<>07/04/29 06:27 ID:l+g6F1PO0<> ありがとうございますー、お手数おかけしました。すみませんでした。 <> (○口○*)さん<>sage<>07/04/29 09:42 ID:+IytjCs/0<> >>101
いいね。こっちにも、本スレ(?)にも入れたい所。次スレ立てる時期に最新のアドレス出して欲しい。 <> (○口○*)さん<>sage<>07/04/29 09:48 ID:B/aUBvpw0<> >>100
先輩、ぜんぜんエロくなかったっすよ! <> (○口○*)さん<>sage<>07/04/29 11:01 ID:FGk/kGsR0<> 突然すみません。
http://picopico■dip■jp/ragnarok/data/2/1177060495692■bmp
というアドレスを、ぴころだで踏んだんですが、
真っ白な画面が出てきて焦りました。知人によれば真っ白な画面出たら終わったとおもえっていわれて・・
これは垢ハックですか? <> (○口○*)さん<>sage<>07/04/29 11:33 ID:ypV96iD10<> >>105
ただの真っ白な画像。
画像ファイルとしても不審点はないし、
垢ハックの気配はない。 <> (○口○*)さん<>sage<>07/04/29 11:45 ID:c6Wh1BtE0<> >>101
そのスレって、当然ながら垢ハック特化なわけではなく
ブラクラ、1クリック詐欺、グロ画像、ウィルス系等の全般鑑定スレだよね。
考えすぎかもしれんけど、以下のリスクがあるかなぁ、と。

・そのスレは危険URLが満載
 (このスレとちがって■置換してないので、素人がクリックすると二次災害)

・そのスレ的には通過するURLが、このスレ的にはやばい可能性がある
  - 報告されているウィルスならさておき、未報告だと通過。
    →OKの回答で安心されるのが怖い
  - 観点が違うと、チェックから漏れたりしないか、が気になる。
   あちらは全般的な有害かどうか。こっちはRO垢ハックに注力したい。

・勇気がなくて踏めない人は「そもそも踏まなければいい」んだが、
 大抵、素人さんは踏んでから大あわて。
 →そのスレは有効に使われないのではないか。

結局、そのスレは中級者向けで、自らURLを踏む際の安全確認に使うと思うんですよ。
何度か報告されてる「知り合いのblogで‥/upろだにあったやつを‥」
といった過失的なリンク押下を防げないわけで。

逆に、その辺を意識してソースチェックする人は
そのスレのお世話にならなくても自ら判断できるんじゃないかなぁ、という気もする。

テンプレに入れること自体は反対じゃないけど、
いれとけば万事OKというほど、問題が解決するわけじゃないと思ったわけです。 <> 51<>sage<>07/04/29 13:49 ID:ul6JXr230<> みなさんのアドバイスを下にPCを再インスコしました。
また1から設定などをやり直します。
もしアドバイスを受けないでいたらどうなっていたことか・・・・。
有難う御座いました! <> (○口○*)さん<>sage<>07/04/29 14:02 ID:yUTvrqj90<> あるいはLiveRO版に鑑定専用スレを作るか・・・回答者がいるのかどうか疑問だけど。

しかし本当の初心者は、例えばown.jpみたいなファイルサイズ0の空のページ開いただけで大騒ぎするからな。
ページが空かどうかは、例えばHTTPレスポンスヘッダ見て、Content-Lengthを確認すれば分かるが、
その確認ですら、中上級者でないとできないのが現状だからなあ。[表示]-[ソース]だと偽装空の可能性があるし。
(ちなみにソースチェッカーならレスポンスに限りだけどHTTPヘッダも見れる)

危険かどうかを自分で判断できない人は、ネットに繋ぐなともなかなか言えないしな。
(多分世の中の9割以上の人が、危機感すら持たずにネットサーフィンしてるだろうから) <> (○口○*)さん<>sage<>07/04/29 14:47 ID:p4Gakx0d0<> メディアがネットの話題を取り上げないからな。
やってもny漏洩や2ch批判ばかり。
ウィルスによるIDPASS抜きなんてこれっぽっちも報道しない。
元締めが中華様だからだろうが。 <> (○口○*)さん<>sage<>07/04/29 15:33 ID:RsQ0/v5v0<> >>110
報道や番組ってのは全部スポンサーの意向ってのがあってね

適当な肩書き持った自称評論家(実際は馬鹿でも可)に
意向に沿った意見や解説をしてもらえればそれでいいらしい

むしろ極めて正しい専門知識を持っていて、かつ常識的な知識人だとしても
意向に反する奴は番組には必要ないという・・・ <> (○口○*)さん<>sage<>07/04/29 21:48 ID:v7q2tQql0<> メディアにとって視聴者は無能でないと困る、ということだな。 <> (○口○*)さん<>sage<>07/04/30 01:56 ID:rKb04GJ40<> 特にT豚Sあたりは2chのせいで捏造が通じなくなってるから
叩きたくて仕方ないんじゃないか? <> (○口○*)さん<>sage<>07/04/30 03:53 ID:AbY460dI0<> ν速+かとおもった( <> 105<>sage<>07/04/30 06:32 ID:HUM0/grK0<> >>106
ありがとうございました〜
お礼遅れてしまって申し訳ありません <> (○口○*)さん<>sage<>07/05/01 04:07 ID:8Hc8T75q0<> >hostsRenewの作者
ギルメンに導入を勧めた時に感じた事なんだけど
・OSの差を吸収して欲しい
・wgetをカレントフォルダから読み込むようにして欲しい

この2点が実現できればcfgの書き換え無しで動くので、誰でも導入出来るように
なると思うんだけど、難しいですか?

MyHostsの設定がなかった場合、localhostの行は自動作成してくれてるから
実質今のスクリプトはwgetのパスを設定するだけ。
でも、たったそれだけでもPC初心者には敷居が高い。
(そもそもパスの意味すら理解出来てない人もいるし、書き間違いも発生する)

hostsの意味を理解せずに書き換える危険性は十分承知してるけど、手動の
書き換えも似たような危険性を伴ってる。
目で確認できるだけ気付きやすいけど、無条件にコピペするなら自動更新で
作られるのと大差ないし。

以前も要望があったと思うけど、初心者が即使える形にした方がいいと思うんですが
どうでしょうか? <> (○口○*)さん<>sage<>07/05/01 04:21 ID:ZQYjhklC0<> 「初心者だから」っていうのは免罪符にはならない
初心者なら尚更知識を付けるべきだと思う、このネットゲー状況ならね
なんでもやってもらう・教えてもらうじゃいつまでも変わらないでしょ
個々の意識を高めることもしていかないと駄目だと思うんだ <> (○口○*)さん<>sage<>07/05/01 07:34 ID:9K0VXZuK0<> F-Secure使ってる人っているのかな
カスペエンジン搭載してるっぽいから興味あるんだけど
nProとの相性が少し心配(´・ω・`) <> (○口○*)さん<>sage<>07/05/01 12:16 ID:jlCT85P80<> >>116
パスって何?って言うぐらいの初心者ってことは、MD5の計算なんて絶対無理でしょう。
スクリプトが改ざんされてないことを確認できないなら、
hosts自動更新スクリプトは導入すべきではありません。

ま、スクリプト本体とMD5が同じサイトに置かれてるから、
改ざんされるときはセットで改ざんされるだろうけどね。
この場合、改ざんというよりは正しくダウンロードできたかどうかの確認になるかな。

>hostsの意味を理解せずに書き換える危険性は十分承知してるけど、
>手動の書き換えも似たような危険性を伴ってる。

意味が分からないなら、分かろうとすべきです。
パスって何?な人は手動の書き換えも無理でしょう。
いっそのことhostsには触らないが吉です。 <> (○口○*)さん<>sage<>07/05/01 13:48 ID:gwEcKK8u0<> 初心者がhostsの意味と仕組みを理解するのに数日かかるのか数ヶ月かかるのか。
それまでにハク被害に遭うか遭わないか。

モノがモノだけに、難しいところやね…… <> (○口○*)さん<>sage<>07/05/01 13:53 ID:ul82y/uJ0<> 電波ソングWikiのメニューバーが全部biglobe−ne.comになってて踏んじゃいました。
avastは特に警告も出さなかったんですが、念のためtaskmgrでプロセスチェックして
msconfigでスタートアップの確認したんだけど特に不審点が見当たらないんです。
ROはチケット切れて3ヶ月経つんですが、他になんかリアクション起こした方がいいですか? <> (○口○*)さん<>sage<>07/05/01 14:43 ID:vL3CG7IS0<> >他になんかリアクション起こした方がいいですか?
うん。テンプレ(>>96)で報告した方が、回答する側も答えやすいと思うよ。 <> (○口○*)さん<>sage<>07/05/01 15:10 ID:LBA35ZNZ0<> >>116
俺も導入を薦める立場なので同じことを思った。
わからない人には手順以前にhostsの概念、またはそれ以前から説明しなければ
ならないので非常に時間がかかる。
その後にPath変更までさせるのは結構な労力だ。
正直に告白すれば、最初はその人の環境に合わせてPath変更や必要ファイルを
同梱して、単に解凍すれば使える状態で渡してたんだ。(二次配布になるのは理解
しています、作者様申し訳ありません。)
だが、その渡した相手と後日話していたところ、なんとスクリプトを入れたことすら
忘れていたんだよ・・・
これで、やはり遠回りでも最低限の理解は必要だと痛感した。
記憶に残すためには苦労して自分で設定するのが理想。
なので、気持ちはよくわかるのだが、自分でやらせるのが本人のためと思って、
面倒でもその都度説明してあげてくれ。 <> (○口○*)さん<>sage<>07/05/01 16:12 ID:jAztWG5n0<> えーと。
整理の意味も含めて、以下の質問よいでしょうか。

・このスレで対応推奨している「PG2」と「自動hosts更新ツール」は
 同一のIPリスト(まとめサイトさん+リネージュ資料室)を対象にしているため、
 手段(動作方法)はさておき、最終的な結果は同じ。
 (ローカルPCから、リスト掲載IPへのNW疎通を遮断する)
 (どちらかといえば、PG2のほうがログが残るため付加価値が高い)

これ、あってる?

なにもわかっていない初心者さんに進めるなら、
PG2のインストールと自動更新設定でいいんじゃないのかね?
下手に、リスクがつきまとうhosts更新を仕込ませる必要性があまりわからない。 <> (○口○*)さん<>sage<>07/05/01 16:21 ID:5bmRnmDS0<> URLが同じでIPが変えられた場合でもhostsなら必ず防げるってちょっと前に出てなかったか? <> (○口○*)さん<>sage<>07/05/01 16:36 ID:jAztWG5n0<> 補足。
本スレ7-99に、hosts動作がまとめてあり、
その内容は理解しているつもり。

  - hostsはあくまでも、ホスト名→IP変換のマッピングなので、
   IP直の場合はhostsだけでは抜けてしまう。

あと、さっきの書き込みのときは、セキュスレ1-125〜135あたりの認識は薄かったです。
これはすまん。きっちり対応するにはhots更新も必要なのね。

  - PG2はあくまでもIP指定遮断であり、hosts→IP変換の際に、
   危険ホスト名が未知のIPに変更された場合とかは対応できない
  - このため、PG2とhostsの併用は必要(無駄ではない)

  - 転送URLを使われた場合、hostsでは防げないが、PG2で防げる。
  - DDNSの場合、PG2では防げないが、hostsで防げる。

  - セキュスレ1-751,752あたりにもhostsとPG2の整理あり


ただ、それであったとしても

わかってる人 :PG2とhosts更新を両方導入がオススメ
わかってない人:PG2だけにして、hosts更新はやめとく

ほうがいいと思ったりする。 <> (○口○*)さん<>sage<>07/05/01 16:37 ID:vL3CG7IS0<> >これ、あってる?

合ってません。hostsとPG2では守備範囲が違います。
ホスト名とIPアドレスの対応が常に変化しないのであれば、
PG2だけで防げるという解釈で合ってます。
でも実際にはそうとは限らないわけで。

参考)アカウントハック総合対策スレ7の95
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1177507128/95 <> (○口○*)さん<>sage<>07/05/01 16:42 ID:LBA35ZNZ0<> PG2だけだと片手落ちだから、そこまでいったら何とか説明してhosts更新も
させたほうがいいと思う。
理解させさえすれば更新そのものは自動なんだし。 <> (○口○*)さん<>sage<>07/05/01 17:24 ID:vL3CG7IS0<> トロイの侵入に気付けるように、hostsでブロックしたものを
ログに残せればいいんだけど、何か良い方法はないかな。

hostsファイルの危険ホスト名に対応するIPアドレスを127.0.0.2に変更して、
PG2の禁止リストに127.0.0.2を追加したら、一応PG2のログに残ることは確認したけど、
これだと、どのホスト名に接続しようとしたのか分からないんだよね。
かといってホスト名毎に別々のIPアドレスを割り振るとなると、
hosts更新する度にhostsファイルのバックアップを取って、
少なくとも最近の更新分だけでも全部保存しておかないと、
対応関係が分からなくなりそう。
いやまあ、保存しとけばいいんだけどね・・・もっとスマートにやる方法ないかな。 <> (○口○*)さん<>sage<>07/05/01 18:39 ID:78O38jWu0<> >>129
そこまでするなら、ローカルのDNSサーバーを動かすしか無いと思う

ダイヤルアップが主流の頃は、そういう簡易DNSサーバーを実現する
フリーソフトがあったけど、いまはどうかなー <> 129<>sage<>07/05/01 19:26 ID:vL3CG7IS0<> >>130
ご意見ありがとうございました。やっぱり簡単にはいかないですねえ。

結局、192.168.xxx.yyy (100<=xxx<=255,100<=yyy<=254 ← この範囲に特に意味は無いです)で
すべてのホスト名に対して、別々のIPを割り振ることにしました。
もちろん、その範囲はPG2でブロックします(ログを残すため)。
ただし、hostsのバックアップは取らず、リアルタイムで発見した場合のみ
接続先が分かるという妥協案です。
これでしばらく運用してみます。 <> (○口○*)さん<>sage<>07/05/01 21:34 ID:fblv1Qck0<> 初歩的なことかもしれませんが質問させてください。
環境に関してはテンプレを使わせていただきます。

【     OS    】 WindowsXP SP2 HomeEdition
【使用ブラウザ 】 Firefox2.0.0.3
【WindowsUpdateの有無】 4月中の自動更新は全部
【 アンチウイルスソフト 】 McAfee VirusScanとPersonal Firewall
【その他のSecurty対策 】 Spybot S&D カスペルスキーオンラインも随時
【hosts変更】 有(最終更新4/28) スクリプトはまだよく理解できないので手付かずです

当方のPCはMcAfee Personal Firewall利用中のためPG2を使えない状況にあります。
McAfee使用者のための方法として、確か以前は"危険ドメインのURLをping送信して
返ってきたIPを禁止IPとして登録する"という手順がリネ資料室さんで紹介されていたと思うのですが、見当たらなくなっています。
これは手動で更新するには手間がかかりすぎるので、素直にMcAfeeのFWからPG2に乗り換えろ、ということでしょうか。
(できれば乗り換えは最後の最後の手段にしたいです。)
McAfeeをお使いの方のご意見も伺ってみたいと思って書き込ませていただきました。 <> (○口○*)さん<>sage<>07/05/02 00:03 ID:Fx5++2qu0<> >>132
というか、守備範囲が違うから、それは「乗り換える」とは言わない。 <> (○口○*)さん<>sage<>07/05/02 00:20 ID:oL8reGTx0<> McAfeeは使ってないが、リネ資料室さんの導入手順では干渉するとあるね。
今のバージョンでもそのままかどうかは判らないけど。

>ただし、次のソフトウェアを利用している場合には、競合が発生して正常に
>動作しなくなるため、 PeerGuardian2を使うことができません。
>
>McAfee Personal Firewall
>Blackice Firewall

McAfeeのはPFWにどうやって登録するのかは知らないけど、一旦各種IPに対して
通信かけて、それに対して処理する形?
危険IPに対して順次Ping打ちたいなPG2のリストをコピーして、バッチファイルを
作れば入力の手間は省けるとは思うけど、まとめて登録する方法はMcAfee使いで
ないと判らないかな…… <> (○口○*)さん<>sage<>07/05/02 02:58 ID:gCKN+km70<> >>132
自分もMcAfeeは使ってないけど、McAfee PFWでの禁止IPの登録方法がどうなのかによるよね。
1件ずつ登録しなければならないのか?
それとも禁止リストが書かれたファイルを使って一括登録ができるのか?
PG2はファイルを使って一括登録ができる。
さらにWEB上からそのファイルを取ってくるよう設定もできる(自動更新機能)。
同じことがMcAfee PFWで出来るのかどうか?多分できない予感。

現状600件以上の危険ホストが登録されてるから、これを1件ずつ設定するのは現実的でない。
さらに更新の問題。危険リストが追加されたら、どうやって追加分を知るか?
その辺を考えると、PFWでIPフィルタ特化ソフトの代わりをするのは難しいかもしれない。

まあ、乗り換えとなると、今度はPFWで出来ること(特定のアプリのみ通信を許可するとか)が
IPフィルタでは出来ないから、その点は別のFWソフトを使うしかないだろうね。

ちなみにping打ってうんぬんというのは、送受信履歴を使って禁止リストに追加できる機能と思われる。
IPアドレスを専用のダイアログ使って、キーボードから打ち込むよりは、ping打って
送受信履歴を右クリックして禁止ってやる方が多少楽だということだろうね。(PG2でも似たようなことはできます) <> (○口○*)さん<>sage<>07/05/02 04:04 ID:dzF7BZRy0<> 以前セキュリティーホールが見つかって、その修正版である QuickTime 7.1.5 に
別のセキュリティーホールが2つ発見されてる。

現時点ではパッチは無し、攻撃ファイルも無し。


IE7.0.5730.11 と Firefox2.0.0.3 に認証関係で不具合があるらしい
けど、こっちは関係ないかな? <> (○口○*)さん<>sage<>07/05/02 13:50 ID:vKBq5Neq0<> >>136はQT 7.1.6のことでいいのかな。
>>25の脆弱性(CVE-2007-2175)に対するfix。
ttp://docs.info.apple.com/article.html?artnum=305446

一方こちらは、アウトソーシングが普遍的になったが故の問題。

マイクロソフトのWebページが改ざん、「パイまみれの写真」を掲載:ITpro
ttp://itpro.nikkeibp.co.jp/article/NEWS/20070501/269922/ <> (○口○*)さん<>sage<>07/05/02 14:08 ID:oL8reGTx0<> iTunesで最新版(7.1.1)と表示されてたので気にしてなかったが
QT単体で起動して確認してみたら7.1.5だった罠。

今のiTunesの配布パッケージはQT7.1.6になってるので、iTunesの
再インストール又はQTの再インストールが必要っぽい。

iTunes使ってる人はご注意を。 <> (○口○*)さん<>sage<>07/05/02 14:12 ID:dzF7BZRy0<> >>137
7.1.6でも直ってないセキュリティーホールの間違いだった <> 132<>sage<>07/05/02 15:23 ID:76Osj/100<> お返事ありがとうございます。
昨夜は返信内容を書いているうちに眠くなって訳が判らなくなりました。
書き逃げになってしまったことをお詫びいたします。


登録に関して
McAfeeのFWの詳細な設定のところを見ると、「信用IPと禁止IP」という項目があります。
単一のIPアドレス、またはIPアドレスの範囲を一件ずつ入力するようになっています。
何件もまとめて一度に追加登録というのはできないようです。
ヘルプを読んでみても、リストから自動更新などは論外のようです。

pingを打って、ということに関して
掲載されていた方法は、既にわかっている危険ドメインのIPを調べる方法だったと思います。
コマンドプロンプトという黒い画面で一件ずつ入力して、そこに表示されたものを一件ずつ登録、という流れだったかと。
(もしかすると間違って解釈していたかも…)

"乗り換える"に関して
間違って理解していたようです。
・マカフィーFW+PG2→競合して使えないのでどちらかを諦める
・他FWソフト+PG2→併用して更に防御強化
という解釈で合っているでしょうか。


知れば知るほど羨ましい機能のPG2ですが、当面は現行どおりhostsファイル変更の更新と、
知らないリンクは踏む前にチェッカーで見ることを続けることになりそうです。
FWソフトを変えられる状況になったら真っ先にPG2を導入しようと思います。

解りにくい文にご回答いただきありがとうございました。
そして長文になりまして失礼いたしました。 <> (○口○*)さん<>sage<>07/05/02 16:37 ID:4SAbBajm0<> PG2をインストールしようとしたら、
Access violation at address 00409422. Write of address 00401000.
とエラーを吐いてできないのですが、これは何が原因なのでしょうか。
ググってもこれといった解決法は見当たらなかったので。。。 <> (○口○*)さん<>sage<>07/05/02 16:42 ID:dzF7BZRy0<> 1. メモリが壊れている
2. ウイルス対策ソフト等との相性問題
3. 全く無関係なソフトに問題がある


たぶん2だと思うので、いま使ってるウイルス対策ソフトの名前を書くんだ <> 141<>sage<>07/05/02 16:47 ID:4SAbBajm0<> >>142
ご解答ありがとうございます。
ウィルスソフトはAVIRA AntiVirを入れています。
相性がよくないのでしょうか? <> (○口○*)さん<>sage<>07/05/02 16:55 ID:Wfdle5bX0<> nProが悪さしてることもあるから
RO蔵落としてからやってみると良い <> (○口○*)さん<>sage<>07/05/02 17:08 ID:dzF7BZRy0<> Windowsが XPなら、システムのプロパティ→詳細設定タブ→パフォーマンスの設定ボタン
→データ実行防止タブ

にある設定が、『次に選択する……』の方になっているなら、『重要な Windows の……』の
方に変えてみる <> (○口○*)さん<>sage<>07/05/02 19:19 ID:9hRSOoKQ0<> >>140
よく調べずPG2をマカフィー(パーソナルファイアーウォール8.2)
インストール済みPCにインストールし
そのまま数ヶ月過ぎましたが、特に支障無いです。 <> (○口○*)さん<><>07/05/02 19:46 ID:Srvxpi1X0<> 今PG2のログを見たところ、KoreaIPをHTTPブロックしたと履歴が残っていました。
HTTPブロックとは、PG2のリストに登録されたIPのWebサイトを閲覧しようとした際に
ブロックするものなのでしょうか?
ググって見たけどよくわからないのです。どなたか教えていただけないでしょうか。
それから、このままROを起動しても大丈夫でしょうか?(´・ω・`) <> (○口○*)さん<>sage<>07/05/02 19:47 ID:Srvxpi1X0<> すみません、上げてしまいました。 <> (○口○*)さん<>sage<>07/05/02 19:53 ID:ML0cWbXw0<> >>147
Yes <> (○口○*)さん<>sage<>07/05/02 19:53 ID:C4NyWPR30<> PG2の正体をまるで知らないのに、垢ハックに有効だよって他人の噂だけで
挙動不明なソフトウェアを入れてしまうその姿勢
君がそういう質問をする大きな理由だと思うんだな

PG2のマニュアルはちゃんと日本語訳されていて誰でも読む事ができる
とりあえずいい機会だから見て来ては? <> (○口○*)さん<>sage<>07/05/02 19:57 ID:gCKN+km70<> >>147
とりあえず、そのブロックされたIPアドレスもログに書かれてるはずだから、
それを晒してみよう。差し支えなければ、時間、名前、送信元、送信先、
プロトコル、操作の6項目全部晒してくれた方が分かりやすいです。 <> 147<>sage<>07/05/02 20:09 ID:Srvxpi1X0<> >>150
すみません。マニュアルを熟読します。

>>151
3回ブロックしていて時間以外は全て同じです。

17:00:40 Korea 192.168.1.2:1809 211.115.107.162:80 TCP ブロック
17:00:43
17:00:49

となっています。
PG2のマニュアルサイトにはブロックしたんだから何を不安がるのか、と
書いてありますが不安です^^; <> (○口○*)さん<>sage<>07/05/02 20:13 ID:cfARQnUY0<> >>27-28の件、
XP Homeだったのでいまさらですが対応してみました。
対応方法はレジストリ操作。

上記サイトに【本日、先ほどの時点】でUpされていたRLO.zipをDL。
regファイルの内容を確認したり、ぐぐったりして、最終的に、エントリの登録を行う。
再起動後、RLOこみのファイル名禁止が動作したことを確認済。

下記URLにも同等の記載があるので、
必要に応じてDLしたregファイルの内容確認等オススメ。
ttp://d.hatena.ne.jp/marujx/20070422

なお、個人的には
 ・登録前後でWindowsの動作が想定通りに変化したこと
 ・レジストリ操作が局所的で、上記変化以外には影響しなさそうなこと
から、対処は終わったと考えてはいるけれど、

{acf18f96-d855-425c-8a14-701bca41bd3d}

に対する根拠(技術資料ほか)は見つかっていないので、
このエントリが、適切なポリシー設定かの確証は持てていません。
あくまでの自己責任の上で、覚悟を決めたって感じ。 <> (○口○*)さん<>sage<>07/05/02 20:15 ID:ML0cWbXw0<> >>152
バナーとか、広告がそのサイトから引っ張られている場合でも、メッセンジャーの広告部分が
該当サイトのものを表示使用としてもブロックする。

表示する際に問題のないサイト(マザーボードメーカーのサイトが台湾にあるとか)も一括指定の範囲にあって
遮断することがあるので、自分の判断で解除しないと見れなくなる。

サイト閲覧に問題が無かったのであれば、そのままブロックしとけ。
それが「ブロックしたんだから何を不安がるのか」ということです。 <> (○口○*)さん<>sage<>07/05/02 20:16 ID:cfARQnUY0<> 追記。

RLO.zipの中にexeがはいっていたけれど、
自分のPCで、自動圧縮書庫(exe)を作れば
それで確認用exeの代わりになります。
(つくったexeのファイル名を変更し、動作確認すればいい)

RLO.zipの中にはいっているexeを実行するのが怖い人は、手作りオススメ。 <> (○口○*)さん<>sage<>07/05/02 20:16 ID:gCKN+km70<> >>152
そのIPはWikipediaですね。

Wikipediaのページに繋いで、PG2のウィンドウを見てみましょう。
そのIPでブロックと出るはずです。その行を右クリックして許可にすれば、
許可リストに追加され、次回からブロックされなくなります。

まあ、後はマニュアルを熟読して、使い方を覚えてください。 <> 147<>sage<>07/05/02 20:24 ID:Srvxpi1X0<> >>154
なるほど、そういうこともあるんですね。

>>156
やってみました。ありがとうございます。

導入さえすれば何とかなるかな、という甘い考え方を改めます。
ご指導くださった皆さん、本当にありがとうございました。 <> (○口○*)さん<>sage<>07/05/02 20:33 ID:Fx5++2qu0<> ^^; <> (○口○*)さん<>sage<>07/05/02 21:31 ID:tHmifzaO0<> 言われたままやるだけでいいこともあるけど、ある程度理解してないとまったく意味がない <> (○口○*)さん<>sage<>07/05/03 01:05 ID:NbwLPWn50<> まぁ彼はこれから理解しようという意思があるからいいと思う。がんばれー <> (○口○*)さん<>sage<>07/05/03 06:56 ID:jm6yVSD70<> IPAのWin98/Meはネットに繋ぐなの件。
2chとかじゃIPA何言うのって叩かれる傾向にあるのな。別にIPAに
盲従するわけじゃないが、アソコまで『きちんとしてるから98/Meネットに
繋いでも良いんじゃね?』の根拠が良くわからん。
うん、分かる奴がきちんとした知識の下にしっかりとした対処をしてるなら
未だ良いんだが(それでも、望ましくない)絶対そうでないような人が多い。
そしてそういう人が更に周りの無知な人に悪影響を与える。
なんなんだか。 <> (○口○*)さん<>sage<>07/05/03 10:22 ID:Viz7HBTh0<> NOD32の体験版が入らなくなってる?
IDPASSあってても更新できん <> (○口○*)さん<>sage<>07/05/03 10:47 ID:ZTktVrYr0<> >>162
NOD32体験版は期間限定。期間過ぎてたら、ちゃんと買え。

別のメールアドレスで体験版のパス取り直すとかすんなよ。それは不正の一種だからな。 <> (○口○*)さん<>sage<>07/05/03 11:32 ID:Viz7HBTh0<> >>163
1ヵ月まであと8日残ってるハズなんだが・・・ダメになっとるんだ <> (○口○*)さん<>sage<>07/05/03 12:12 ID:QT58jwNk0<> 期限は利用開始日からじゃなくてパス発効日の1ヶ月後。
体験用IDパス通知メールに期限書いてあるんだから確認しる。 <> (○口○*)さん<>sage<>07/05/03 12:14 ID:NbwLPWn50<> 大手のITメディアも改竄された模様で。
このスレでもよく見に行く場所ですので、もしアップデートしてなかった人はお気をつけて。

http://gigazine.net/index.php?/news/comments/20070503_itmedia/
「ITmedia」に何者かが不正侵入、ページを書き換えて不正コード設置

>「ITmedia Biz.ID」トップページ、「TechTargetジャパン」Webキャストページ、
>「ITmediaメールマガジン」ご案内ページの3つが2007年4月27日18時から5月1日13時までの期間中に
>不正コードの入ったページを表示した可能性があるとのこと。

>Windowsアップデートを最新状態にしていれば無害だったようですが、
>上記期間中にアクセスした記憶がある人は念のため、アンチウイルスソフトなどでスキャンしておきましょう。
>「EXPL_EXECOD.A」「JS/Exploit-BO.gen」「Exploit.HTML.IframeBof」というように検出されるらしい。

>で、肝心のこの不正コードとやらはどんなものなのかというと、
>「Microsoft Internet ExplorerにおけるVMLコード実行の脆弱性を悪用したウイルス」ということで
>2006年9月頃にゼロデイ攻撃が行われたもののようですが、
>マカフィーのデータを見ると「JS/Exploit-BO.gen」という名前になっており、
>2005年1月頃には既にこの手のスクリプトコードがあったようです。

>また、マカフィーが4月のデータをまとめて発表したものによると、
>今回の不正コードらしきものが
>「バッファーオーバーフロー攻撃を仕掛けるトロイの木馬」として1位にランクインされています。 <> (○口○*)さん<>sage<>07/05/03 13:06 ID:VjHua8eZ0<> >161
旧OSは穴が空きっぱなしだからなぁ。
ウィルス対策ソフトで感染は防げても、穴が空いてるから侵入は防げない。
さらにその穴を経由して第三者に攻撃をかける事もある。
WindowsUpdateが提供されない旧OSだと、古い脆弱性を突いたタイプですら
防げなかったりするから、IPAの勧告はもっともなんだけどねぇ。

>166
大手サイトが改竄喰らうのは良くある事だから驚きはしないけど、ITMediaも
やられたのか。
ほんと、各種サイト閲覧する場合はWindowUpdateは当てて最新の状態に
して、防御固めた上で見るようにしないと危険だねぇ。 <> (○口○*)さん<>sage<>07/05/03 18:51 ID:JL6OUDfj0<> WindowsUpdateが終了してても、サードパーティ製の同等パッチとかあるんだけどね。
そういったものをしっかり導入して、自覚的に98やMe使ってる人ならなんとかなるかも
しれないけど……

ま、現実にはそこまでしてない人達ばっかりだよね。 <> (○口○*)さん<>sage<>07/05/03 23:06 ID:3C2hlKuw0<> 98SEはネットに繋ぎさえしなければゲームやるには優秀なOSだがね
ぽつぽつ対応OSから切られてるけど



ME?何ですかそれ美味しいんですかね? <> (○口○*)さん<>sage<>07/05/04 04:19 ID:dhHmzDk60<> MEは可愛いよ!
今まだME使ってる人達はME萌えで使ってるんじゃないかと予想……

でもME嬢は箱入り娘なのでネットの外気に曝しちゃいけません。 <> (○口○*)さん<>sage<>07/05/05 01:49 ID:foo+W7J40<> MEか…
色々耐えられなくて一週間で2kに入れ替えた思い出があるな。

もう少し色々余裕があればいじっていたかったんだけどね。 <> (○口○*)さん<>sage<>07/05/05 14:33 ID:I0knEjcY0<> MEは最終的に狩場が秘境限定になっちゃうのがねぇ
効率はそれなりにいいんだけど <> 140<>sage<>07/05/05 20:49 ID:94GkXSG40<> >>146
> そのまま数ヶ月過ぎましたが、特に支障無いです。

(・д・)!! 
自分もPersonal Firewall 8.2なので
今から試しに導入してみます。 <> (○口○*)さん<>sage<>07/05/06 09:12 ID:AycjQSYQ0<> 9日にWindowsUpdateにて計7件のセキュリティアップデートをリリースする予定。
ttp://newsflash.nifty.com/news/td/td__itmedia-enterprise_20070505007.htm

9日にはWindowsUpdateをしようぜ! <> (○口○*)さん<>sage<>07/05/06 12:15 ID:NuNpAffl0<> 毎月第二水曜は基本的にwinupdateの日なんだけどな <> (○口○*)さん<>sage<>07/05/06 22:55 ID:y7mgVNO70<> WebMoneyプレミアのログイン画面で垢ハックの警告がでかでかと載ってた
ゲームIDだけじゃなくWebMoneyとかのIDとかも狙い始めたのかも知れん <> (○口○*)さん<>sage<>07/05/06 23:11 ID:lTx9CuLB0<> キーロガーが仕掛けられてたら、××狙いとか関係なく何でも取られるだろ <> (○口○*)さん<>sage<>07/05/06 23:44 ID:3DEa0feq0<> IDにメールアドレスも使用できる。
結果、何処かしらのBBSで使ったパスワードと同じものを使っていれば、クラックされる危険性もある訳で。

重要度に応じて、複数のパスワードを使い分けると言うのは、容易かつそれなりに信頼できるセキュリティポリシーな訳で。 <> (○口○*)さん<>sage<>07/05/07 00:39 ID:7ii2eJoX0<> そこまで深い話じゃなく
盗られるのはゲームデータだけじゃないってことで <> (○口○*)さん<>sage<>07/05/07 01:11 ID:ysOI731g0<> 今はたまたまネトゲのパスとかばっかり狙ってきてるが、やる側がその気になればもっと酷い事もできる。
例えばこれをキンタマウィルスや原田や山田に置き換えることも出来るかもしれないって事だ。 <> (○口○*)さん<>sage<>07/05/07 01:24 ID:z3BnN4lY0<> トロイやバックドア、銀行やショッピングサイトを装ったフィッシングで
クレカや個人情報を抜くなどは欧米露などで頻繁に見られるが
ファイルの削除や公開の類は仕掛ける側にとってビジネス的なメリットが無い。
P2Pで違法行為ばかりしている犯罪者への稚拙な懲罰ウイルスなんか
踏んだ奴がざまー見ろだけどな。 <> (○口○*)さん<>sage<>07/05/07 06:18 ID:d+unDQ/f0<> メリットがないどころか、逆に警戒心を抱かせる結果になってマズー <> (○口○*)さん<>sage<>07/05/07 06:24 ID:ysOI731g0<> >>181
いや、もしウィルス作者側に愉快犯が居た場合にそういったものを仕掛けられる可能性もあるというだけだ。
最近国内で有名になったものだとその辺がわかり易いかなと例に出してみた。
特に有無言わずアップローダーにデスクトップ画像を貼り付けられるものとかは誰でも嫌だろうし、
もし今後そういったハック以外のウィルスがもし仕掛けられてても大丈夫なような状態にしておく必要があるという事。 <> (○口○*)さん<>sage<>07/05/07 14:29 ID:M3O2ttOq0<> 昔はウィルスっつったら他人のPCを破壊するものばかりだから
ウィルス作ってばらまく奴はみんな愉快犯って感じだったけどな。
OS再インストールすら通用しないほど強烈なのをかましてきたりと
今の垢ハッカーとは違う意味で容赦がなかった。 <> (○口○*)さん<>sage<>07/05/07 17:52 ID:8OoMMAIP0<> M/Bを物理的に壊す奴とかあったからなぁ <> (○口○*)さん<>sage<>07/05/07 18:26 ID:WZMBGcia0<> 起きたらお母さんにPC隠されてたとかあったからなぁ <> (○口○*)さん<>sage<>07/05/07 18:37 ID:o2Hbk8Wv0<> >>185 対マザーボードウイルスか。それも怖いね。
>>186 マザーウイルスか。それも怖いね。 <> (○口○*)さん<>sage<>07/05/07 18:56 ID:Sd++K4kD0<> だれがうまいこといえt <> (○口○*)さん<>sage<>07/05/07 19:05 ID:8OoMMAIP0<> かーちゃんに隠されるのはPCじゃなくてFCだろ常識的に考えて… <> (○口○*)さん<>sage<>07/05/07 20:25 ID:I5k6efKQ0<> 初歩的な質問ですまぬ

このスレやアカウントハック総合対策スレで稀に話に出るソースチェッカーとは
「安全の為に(BSWikiより)」にもリンクがあるソースチェッカーオンラインの事で合ってるかな? <> (○口○*)さん<>sage<>07/05/07 20:37 ID:YMABB2bG0<> >>190
合ってるよ
ただ、万能ではないので安全なスクリプトかどうかは結局自分の目で確認しなきゃいけない <> (○口○*)さん<>sage<>07/05/07 20:55 ID:I5k6efKQ0<> ありがとう
この手の知識に疎いため自衛のためにも調べてたんだ

こんな質問に答えてくれて感謝 <> (○口○*)さん<>sage<>07/05/07 21:03 ID:8OoMMAIP0<> 俺は絶対にウィルス踏まないと慢心するより
自衛の為に知識を高めるのは良い事だ <> (○口○*)さん<>sage<>07/05/08 08:31 ID:F5CTsM440<> 一応移動。…酷い話だ。

216 (^ー^*)ノ〜さん sage New! 07/05/08 02:02 ID:4uSAocLq0
垢ハックじゃないけど
先週からWindows2000+カスペルスキーで
nProがカスペに反応してROを落すようになったMyPC orz

217 (^ー^*)ノ〜さん sage New! 07/05/08 02:22 ID:aN5k4URY0
カスペがnProを挙動の怪しいプログラムとして検出するという話は聞いたことがあるけど、
逆のパターンもあるのか・・・よっぽど相性が悪いんやね。その2人は

218 (^ー^*)ノ〜さん sage New! 07/05/08 02:25 ID:52ec3/q70
むしろnProがどうも・・・
現状全くBOTを止められないくせに重いは挙動おかしいわもうね

219 (^ー^*)ノ〜さん sage New! 07/05/08 03:42 ID:DMhvCIa30
中華のアカハックを止めてくれるカスペ!
そのカスペの邪魔をする癌胞のnPro!つまり癌胞は・・・
冗談はさておき、ちょっとその辺癌胞に送ってカスペに反応しないようにしてもらうしかないんじゃないか。 <> (○口○*)さん<>sage<>07/05/08 08:37 ID:mxxN79920<> ::::::::/           ヽ、   :: ::: ::: :::::::::::::::::::::::::::::::::
:::::/            lハ ::: : :: :::::::::: :::::::::::::::: ピンポ〜ン♪
::::l           l  /ノリ ::: : :: ::::::::::: ::::::::::::::::::::::::::
:::|          /) / ::: : :: ::::::::: ::::::::::::::::::::::: 宅配です
::l          /イ/| . :. :. .:: : :: :: :::::::: : ::::::::::::::::::
/          / ||/ / ̄ ̄ ̄ ̄ ̄7l::::::::::::::::::::
      i   /_,/i!/   KIS    / l::::::::::::::::
      l    人  /  Ver .    ./ /::::::::::::::::
     l   / /⌒ヽ  6.02 .    / /::::::::::::::::
     l  /il  |   )       / /::::::::::::::::
     ll l i! `ー、\___ /.n/::::::::::::::::
     lヽ l    |\. \   /⌒〉::::::::::::::::



           〃´⌒ヽ
     ., -――  メ/_´⌒ヽ
   /   / ̄  ´ヽ ヽ
  ./  ,  /// ト. !  、 丶ヽ
  l  / /(((リ从  リノ)) '
  |  i  l  ●  ヽノ ●V l    ねんがんの
  l ,=!  l ⊂⊃、_,、_, ⊂⊃l    Kaspersky Internet Security
  l ヾ! ', l    (__,ノ   l l     が届いた!!
  |  ヽヽヽ        //
  l    ヾ≧ , __ , イ〃
  li   (´`)l {ニ0ニ}、 |_"___
  li   /l, l└ タl」/| KINGSOFT|
  リヽ/ l l__ ./  |_________|
   ,/  L__[]っ /      / <> (○口○*)さん<>sage<>07/05/08 08:46 ID:Ya4nLSK30<> >>195
ワロスw

JUSTのカスペ公式でKaspersky Internet SecurityをKISと訳してるから
KINGSOFTのと混合しやすいんだよな。


しかし周りのPC状況を聞くと
バスターやノートンが優勢。やっぱ宣伝能力か、プリインストール率なんだろうかね。 <> (○口○*)さん<>sage<>07/05/08 10:00 ID:2HKLeLRW0<> >>196
>バスターやノートンが優勢。やっぱ宣伝能力か、プリインストール率なんだろうかね。

それもあるだろうけど、多くの人にとって、カスペの優秀さは多分分からないレベルなんだと思う。
そうなると、選ぶ基準は知名度や価格。どちらもバスターやノートンに軍配があがる。
実際自分もバスター使ってるけど、理由はなんとなく。カスペなんて最近まで名前も知らなかった。

ま、カスペは今ぐらいのシェアでいいんじゃない。
あまりデカくなると、フットワークが重くなるかもしれないし。 <> (○口○*)さん<>sage<>07/05/08 10:06 ID:F5CTsM440<> >>194
誤報だか、設定ミスだからしい…だが、nProならあり得ると思ってしまう辺りが… <> (○口○*)さん<>sage<>07/05/08 10:15 ID:o7aRoRj50<> カスペやNOD32は後発というか、玄人好みって印象が強いしな。
普通は商用ソフトなら御三家、無料ソフトならAvastあたりだろうし。
カスペ6.0でJustSystemが大々的に売り出したから家電ソフトコーナーでも見かけるが
5.0の頃は知名度も低かったし。

>197
自分は以前から知ってたが、ずっとバスターを使ってて大きな不満が無かったので
切り替えようとは思わなかった。
ただバスター2007になってから不具合多くなったのとハクトロイの検出力が弱いのが
重なって、更新のタイミングでカスペに乗り換え。

アンチウィルスソフトは年間契約だから、更新の時期まで乗り換えを検討する事も
あんまりないと思う。 <> (○口○*)さん<>sage<>07/05/08 10:18 ID:F5CTsM440<> ITmediaのWebページに不正コード混入
http://internet.watch.impress.co.jp/cda/news/2007/05/07/15604.html

危ない話だなぁ。どうやら、iframeで飛ばして何かを落とさせる仕組みだったらしい。
垢ハックトロイの配布(?)方法と酷似してやがる。 <> (○口○*)さん<>sage<>07/05/08 10:25 ID:dNPOT+cS0<> こういうのを見るたびに、もう踏む前提で対策施してないといけないのだが、
セキュリティ意識が低い人は被害に遭うまで意にも介さないんだよな。 <> (○口○*)さん<>sage<>07/05/08 10:42 ID:o7aRoRj50<> >200
>166の記事の事だね。

>201
まだそれならマシで、中には喉元過ぎれば……な人もいる。
と言うか知り合いで居た。

ウィルスにやられてその時は慌てるが、駆除した後は安心してしまって
対策をしない人も中には居るよ。 <> (○口○*)さん<>sage<>07/05/08 11:09 ID:KdnfS9fg0<> ドルアーガオンラインwikiのトップにも不振なアドレスに改ざんとかなんとか
はげしくこっちがらみな気がしてならない今日この頃
ホント、RO関係ないところでも気が抜けやしない <> (○口○*)さん<>sage<>07/05/08 13:46 ID:RxHeV4yD0<> どこに報告したらいいかわからなかったのでここに報告します。

さっき携帯から鯖板を見てたんですが、
Iris板からFreya板のリンクを踏んだら中国語みたいなのが
表示されたので、おそらく垢ハックアドレスに
書き換えられてると思います。 <> (○口○*)さん<>sage<>07/05/08 14:07 ID:OJto8UFU0<> >>204
Wikiのように外部から書き換えられるような所ではないし、
「掲示板はユーザーによって閉鎖されました」と出てしたらばのトップへ飛ぶ。
中国語みたいなのってのは単なるエンコードの問題じゃね。 <> (○口○*)さん<>sage<>07/05/08 14:14 ID:F5CTsM440<> >>204
掲示板はユーザーにより閉鎖されましたとでて、livedoorに自動で飛ばされた。
エンコード失敗か、204さんがhosts書き換えられてそっちに誘導されたかは判らんけど、現時点では問題なさげ。 <> (○口○*)さん<>sage<>07/05/08 14:15 ID:F5CTsM440<> あ、携帯か…それなら、ただのエンコード失敗だと思う。
読み落としでコメントしてすまん。 <> 204<>sage<>07/05/08 14:50 ID:RxHeV4yD0<> 問題なさそうですか。

Bijou板とかは垢ハックアドレスを貼り付けられる事が多くなっています
みたいに書かれてたのでちょっと心配になったんです。
今また試してみましたが他鯖の板には普通に飛べますが、
Freyaだけは飛べなかったです。
いちおうその中国語みたいなのを書き写してみます。

キヌシィネト、マ・澤シ・カ。シ、皇
?トコソ、オ、?、"、キ、ソ。」

こんな感じでした。
問題なさそうなら一安心です。

スレ汚し失礼しました <> (○口○*)さん<>sage<>07/05/08 15:09 ID:n9RN5Izw0<> >>208をシフトJISで保存して、EUCとして再読込してみる

掲示板はムV璽供爾皇
?頂燭気?あした。

恐らく「掲示板はユーザーにより閉鎖されました」なんだろうな。
携帯でEUCエンコードが読めなくて>>208みたいな表示になっただけで。 <> (○口○*)さん<>sage<>07/05/08 15:14 ID:y01O8DOk0<> EUC-jpって文字コードの文書をShift_JISと誤認して解釈した感じだね
(半角かなばかりが出ている感じがそう)。UTF-8が誤認されたらこっちは
こっちで又凄くなるんだなー(妙な漢字のみのオンパレード)。
古めの機種の携帯だったらShift_JIS程度しか対応してないからありうるし、
エンコード判定ミスでも大概はそうなるのでその辺の推測で問題ないでしょう。

まーPC向けのウイルスが携帯環境で問題になる事は殆ど無いのでその意味での
注意はほぼ不要ですけどね、と念の為。 <> (○口○*)さん<>sage<>07/05/08 16:13 ID:F5CTsM440<> >>196
>JUSTのカスペ公式でKaspersky Internet SecurityをKISと訳してるから
>KINGSOFTのと混合しやすいんだよな。
KISで間違いじゃないんだけどな。>>195のオチは最初気がつかないで、後から笑っちまったよ。

でだ、昨日届いたspamに、1行だけファイルのアドレスが書いてあった。
直後は、そのアドレスがDNSに載ってなかったが、数時間後に再試行したら検体を入手できた。

カスペやNOD32では既知の「Trojan-Downloader.Win32.Agent.bjo」「Win32/TrojanDownloader.Small.NSS」だった。

多分、既知のウィルスだとは思いますがってキングソフトに送ってみたら、新種でしたという報告がさっき来た。
対応してくれたんだからいいんだけど >>195 みたいだったらマジかわいそうだよな。

えーと、キングソフトさま、通算10個目のUSBメモリ有難く頂戴しますが…もうちょっと頑張れw <> (○口○*)さん<>sage<>07/05/08 21:28 ID:JXUbC3bV0<> hostsRenew Version 0.06 便利に使わせていただいております。
要望といいますか、ちょっと気がついたことなのですが、
作成された hosts ファイルを読み取り専用の属性にするところまで
自動になると、より良いものになりそうと思いました。
技術的に可能なようでしたらご検討をお願いいたします。 <> (○口○*)さん<>sage<>07/05/09 02:50 ID:y9Np/4q80<> 連休明け早々WindowsUpdateの日ですよ。
IE累積パッチは必ず当てておきましょう。

個人的にはIE7が大量の非公開パッチを含んでいて
やっとまともになるので助かる…。 <> (○口○*)さん<><>07/05/09 03:15 ID:Ic0mmRdS0<> 連休明けが関係あるのかどうか分からないけれど、
アカハック露店が複数並んでいたうちの鯖。
何もしないよりマシだよね…

■■■■■■■■■■■■■■■■■■

WindowsUpdate 推奨 age

■■■■■■■■■■■■■■■■■■ <> (○口○*)さん<><>07/05/09 04:43 ID:w5A3Oygk0<> 踏んだわけではないのでこちらで
所属しているギルドの会員制ページみたいな所()で
垢ハックURLを書いているのがありました
会員制とはいってもIDが簡単に登録できていました。(いまはID申請制らしいです)

-----
ROは休止していたのですが、最近復帰しました
ROブログをみてください

http://bqdr■blog98■fc2■com
---
一番下にfc2ブログ型垢ハックURLを書き込むという手口
普通に見られないページでもアドレスはよく確認しないといけない時代? <> (○口○*)さん<>sage<>07/05/09 04:57 ID:FPEP3zSX0<> >215
その時代はとっくに到来 <> (○口○*)さん<><>07/05/09 07:30 ID:Si60qQ4y0<> 今月分の詳細。
ttp://www.microsoft.com/japan/technet/security/bulletin/ms07-may.mspx
xp SP2で2件/win2kで3件。

QFE統合インストールメディア作製に、役に立つかもしれないツール。
ttp://www.forest.impress.co.jp/article/2006/12/15/windowsupdatesdown.html <> (○口○*)さん<>sage<>07/05/09 20:12 ID:3mbr9S5X0<> 安全のためにとROモノは火狐で見ようとragtimeをまず登録したんだけど
ragtimeのコンテンツをクリックすると火狐がエラーで落ちる・・・

ほかのサイトは問題なく見れるしほかのPCでは火狐でragtimeをさわってても問題ないんだ・・・
火狐をアンインスコしていろいろ消してみても何度でもセッション復元しますか?とか聞いてきたりお気に入りのこってたりで完全に消去しきれないし・・・
誰か助けて <> (○口○*)さん<>sage<>07/05/09 20:25 ID:SHuLCvHC0<> Firefox自体のことだからスレ違いなんだが

セッション復元を復元しないを選択すれば普通に起動する
ダメならスタートメニューから『Mozilla Firefox (セーフモード)』を選択して起動する

ついでに、Win XPならブックマークはここに保存されている
C:\Documents and Settings\(ログインユーザー名)\Application Data\Mozilla\Firefox\Profiles\(ランダム文字列)\bookmarks.html <> (○口○*)さん<>sage<>07/05/09 20:44 ID:3mbr9S5X0<> 復元しないでもragtimeが見れないくて・・・あそこが見れないのは痛いんだorz

とりあえず火狐セーフモード?やってみます <> (○口○*)さん<><>07/05/09 21:55 ID:7pRLhd+80<> 月一WindowsUpdateage <> (○口○*)さん<>sage<>07/05/09 22:36 ID:WZe2SDrb0<> >>218
どこのページを見たら落とされるのか、どんなエラーメッセージが出るのか、
どんな拡張を入れているのか、何かにエラーログが出てないか等問題解決の
手段になる情報が欲しい。それらの情報だけで解決する可能性も有るから。
現時点ではキャッシュをクリアしてみるとか、スキャンディスクを掛けてみるとか、
一般的な助言しか出来ないかな。

自分のFirefoxでは落ちる事は無い様なのでなんともいえない。CSSに関して
多少警告を吐くようだけど、致命的エラーではないようだし。

雑談すれということでレスってみる。 <> (○口○*)さん<>sage<>07/05/09 23:35 ID:3mbr9S5X0<> PCは届いたばかりの新PCで各種ドライバを入れた程度のまっさらなんだ
ファイアフォックスの設定は最初のまま
火狐初心者すぎてキャッシュの場所とかスキャンディスクとかぜんぜんわからないんだよね・・・

とりあえずragtimeについてはTOPと右上のRAGtime?は見れるけどそのほかのコンテンツをクリックすると確実にエラー落ちするんだ・・・
一度ファイアフォックスの何から何まで全部消して再インスコしたいよ・・・それでも直らなければOSかな・・・ <> (○口○*)さん<>sage<>07/05/10 00:03 ID:n19GUCBG0<> >一度ファイアフォックスの何から何まで全部消して再インスコしたいよ・・・それでも直らなければOSかな・・・
普通に削除できないか?

削除→残骸捜索&削除→再インストール <> (○口○*)さん<>sage<>07/05/10 00:14 ID:aEqwzSOR0<> >>218
はっきり言ってエラー対処出来ないなら、ちゃんとパッチをあてたIEを使っていた方が安全だぞ <> (○口○*)さん<>sage<>07/05/10 00:22 ID:xKHBFWq50<> エラー内容も書かないならこっちでは判断しようがないだろ… <> (○口○*)さん<>sage<>07/05/10 00:56 ID:n19GUCBG0<> つまり、218さんは「FireFox アンインストール」でぐぐれってこった。

プロファイルの削除についてもきちんと記載しているまとめサイトあるんだから。 <> セキュスレ1-936<>sage<>07/05/10 01:09 ID:ATtd/1Dx0<> hostsRenew Version 0.07
ttp://acopri.s250.xrea.com/index.php?hostsRenewScript

・作成したhostsにReadOnly属性の付加
 デフォルトでReadOnlyを設定するようにしています。
 但しReadOnlyの解除は簡単に出来るので、おまじない程度の効果と思った方がよいです。

・設定項目の簡略化
 各種Path設定を""(ブランク)にした場合、カレントフォルダを参照するようにしました。
 hostsPathとhostsBackUpPathは、NT系と9x系に応じて作成Pathを変更しています。
 また今回からこのブランクをデフォルト設定としています

・空白を含むPath設定に対応


これに伴い、cfgの設定項目が変更されています。

・hostsReadOnly の追加
作成hosts のReadOnly属性の設定をします。
「0:ReadOnly付加、1:ReadOnlyを付加しない」

Ver0.06からcfgを流用する場合、hostsReadOnlyの項目を追加するだけで使えると思います。 <> 212<>sage<>07/05/10 02:57 ID:cC9RtGv80<> >>228さま
更新おつかれさまです。さっそく導入させていただきました。
正常に動作して、読み取り専用までなっています!
ReadOnly属性に関してはそうですね。ほんの気持ち安全度が増すかな程度に思います^^;
設定項目の簡略化も、hostsRenewとwgetを同じフォルダに入れてしまえば
設定いらずで使えそうなくらいになって、PC初心者でも導入しやすくなったと思います。
ありがとうございました。 <> (○口○*)さん<>sage<>07/05/10 05:02 ID:ina7YCnF0<> 仮想PC上で1CD Linuxを起動してみましたが、なかなか便利ですね。
仮想PCはisoイメージをそのままマウントできるので、CD焼かなくてもいいですし、
起動後の状態で保存しておけば、毎回起動に時間かかりませんし、
普通のLinuxみたいにインストール作業も要りませんし、
Windowみたいにライセンス料要りませんし。

で、早速ネットショッピングでもやろうかなと思ったんですが、
良く考えると、これ安全対策として意味あるんでしょうか?

例えば、ホストOS上にキーロガーを仕掛けられた場合、
仮想PC内のキー入力も補足されてしまうような気がするんですが・・・

>>6を見る限りは、
「ゲストOSとホストOSの垣根を越えて悪さをする事は、基本的には出来ない筈」
と書かれていますが・・・

実際に自分でキーロガーを仕掛けて実験するという手もありますが、
あまり怪しげなソフトをインストールするのも怖いですし・・・うーむ。 <> (○口○*)さん<>sage<>07/05/10 08:27 ID:AInlAxrO0<> >>230
仮想PCの使い方を間違えてる。

仮想PC ウィルス踏んでも消せばいい
ホストOS ウィルス踏んだら後の処置が大変

なのだから、仮想PCは閲覧するサイトの安全性を確かめるのに使い
ホストOSに被害が及ばないようにするためのもの。

ホストOSに仕掛けられたキーロガーを無効化するためのものじゃないよ。 <> (○口○*)さん<>sage<>07/05/10 08:37 ID:JXRIjMqZ0<> 突然失礼致します。
今朝のPG2のログを見たところ、61.97.69.152というIPへブロックしていました。
ウィンドウズアップデートがエラーを出したので、その関連の情報を見回していたときに
どこかで踏んだと思うのですが、記憶を辿って回ってみても同じIPに掛からず困惑している状態です。
こちらのIPがどういった所のIPなのか、危険なIPなのかを調べる事は出来るのでしょうか?
朝のお忙しい時に申し訳ないのですが、お判りになられる方いらっしゃられましたら何卒宜しくお願いします。 <> 231<>sage<>07/05/10 08:40 ID:AInlAxrO0<> ちょっと違ったか。
安全性を確かめると言うか、ウィルス踏んでも平気なようにネット閲覧は仮想PCの方でやった方がいいってこと。

しかし>>6の仮想PCの長所の部分だけを見ると、>>230のように考えるのも分からないでもない。

>例えば、ホストOS上にキーロガーを仕掛けられた場合、
>仮想PC内のキー入力も補足されてしまうような気がするんですが・・・

これに関しては俺も知らないからなぁ。 <> (○口○*)さん<>sage<>07/05/10 09:11 ID:vJ1X7sP90<> >>232
http://www.google.co.jp/search?hl=ja&q=%22ruliweb.com%22 <> (○口○*)さん<>sage<>07/05/10 09:20 ID:79CIhdAZ0<> >228
更新乙。
必要ファイルを同一フォルダに放り込んだだけの状態(CFGはデフォルトのまま)で
正常に作成される事を確認。

>232
韓国のIPでruliweb■empas■comというプロバイダ(?)が持ってるIPっぽい。
繋ぐとrefreshで上記サイトのTOPに飛ばされる。
上のサイトのIPが61.97.69.151で末尾が1違いだから、そんなに怪しくないと思うが
韓国語は読めないのでよく判らん。
踏んだ覚えが無いなら、何処かのページに広告でも含まれてたんじゃないかな? <> (○口○*)さん<>sage<>07/05/10 09:32 ID:JXRIjMqZ0<> >>234
>>235
お二方ともありがとうございます!
昨日のWinUpdateしてから、なぜか古いアップデート(KB832894)が
何度インストールしても延々繰り返されるという現象が起きてきたものでネットで調べていたところ、
ログを見たら韓国IPが掛かっていたのでやばい何か踏んだか!?と焦ってしまいました。
大丈夫そうな感じなのですね。ありがとうございました!
KB832894の方は未だに未解決です。何者だこいつ。゚(゚´Д`゚)゚。 <> (○口○*)さん<>sage<>07/05/10 09:39 ID:79CIhdAZ0<> >230
垢ハクのトロイに限定すれば、発動(通信)するのは蔵起動時又は公式アクセス時と言われてる。
だから仮想PCからアトラクションセンターに繋いでパス変更しても、その時点ではトロイは情報を
送信しない(出来ない)から安全に変更できるって意味だと思ってたけど。

普通のキーロガーのように全ての入力を保持してるようなものだと、ゲストOSの入力も持っていかれる
可能性があると思うが、その場合でもゲストOS上でソフトウェアキーボードを使えば平気な気がする。
流石にゲストOS内部のメモリを見に行く事は出来ないだろうし。 <> (○口○*)さん<>sage<>07/05/10 09:41 ID:XUDgxp4L0<> win2kの当方でもKB832894がインストール → インストール完了のループしてます(っД`) <> (○口○*)さん<>sage<>07/05/10 09:48 ID:JXRIjMqZ0<> >>238
当方もwin2kです自分だけじゃなかったのね(つД`) <> (○口○*)さん<>sage<>07/05/10 10:14 ID:xKHBFWq50<> Win2kSP4だがそんな面白いことにはなってないぞ
自動更新はオフ、サイトで高速・カスタム選んでもその更新はない
何したらそうなるんだよ <> (○口○*)さん<>sage<>07/05/10 10:19 ID:79CIhdAZ0<> >KB832894関係
ttp://okwave.jp/qa779509.html が参考になるかも。 <> (○口○*)さん<>sage<>07/05/10 10:25 ID:8hW+wjCv0<> 2chのWindows板でも悲鳴がw 今月のIE累積(MS07-027 931768)は
3年前のIE累積(MS04-004 832894)を呼び覚ますのか…。
931768を入れたら832894は出てきても無視で。

# 当方XP+IE7で問題なし。 <> (○口○*)さん<>sage<>07/05/10 10:27 ID:blOQUZoU0<> というか、何で今更MS04-004(KB832894)なんてアップデート掛けているんだ。
もしも、その世代のインストール媒体から再インスコしているなら、色々と危険だから、SP4 Rup1
ttp://www.microsoft.com/downloads/details.aspx?DisplayLang=ja&FamilyID=b54730cf-8850-4531-b52b-bf28b324c662
こいつの適用済みディスクでも作り直した方がいいぞ。 <> (○口○*)さん<>sage<>07/05/10 10:31 ID:blOQUZoU0<> って、M$が依存関係デグレしてくれたのかYO。
早とちりスマソ <> (○口○*)さん<>sage<>07/05/10 10:33 ID:J/n2Ezl20<> Microsoft Update に繋ぐ
     ↓
この更新プログラムを非表示にする にチェックを入れる

以上 <> (○口○*)さん<>sage<>07/05/10 10:35 ID:JXRIjMqZ0<> 色々有るのですね〜。
とりあえず結構同じ事で困っている人が多いようなので、何か修正来るかな?と、
暫くおとなしく待ってみることにします。ありがとうございました〜。 <> 230<>sage<>07/05/10 10:44 ID:ina7YCnF0<> >>231
やはり、そうなんですね・・・
仮想PCは普段のブラウズ専用にするかなあ。

>>237
クリップボードを使う手もありそうですね。
ホストOSからゲストOS内のクリップボードを覗くのは難しい気がします。


キーロガーとは関係ないのですが、
ホストOS上のPG2は仮想PC内の通信を一切ブロックしませんでした。
仮想PC全体をホストOS上で動く1個のアプリと考えれば、
仮想PC内の通信も、ホストPC上のPG2でブロックしそうなものなんですけどね・・・
FWソフトも試しましたが、ウイルスバスターのFWは仮想PC内の通信もブロックします。
ZoneAlarmはブロックしません。ソフトによってまちまちなようです。 <> (○口○*)さん<>sage<>07/05/10 14:05 ID:79CIhdAZ0<> VMWareの場合、クリップボードはホストOSとゲストOSで共有出来る。
なので仮想PC次第では、その方法は危険かもしれない。

PG2がどうやって通信を監視してるのか判らないけど、ゲストOS側の通信を
遮断しないのであれば
・ホストOSでPG2で全IPブロック
・ゲストOSは非Windows環境

この状態ならホストOSにキーロガーが仕込まれていても、情報は漏れない気がする。
ただトロイが仮想ネットワークの機能を持ったら抜けられてしまうけど。 <> (○口○*)さん<>sage<>07/05/10 15:29 ID:zMP+Dmpm0<> >6を書いた者です。
出来るだけ簡潔に解りやすく説明しようとして、表現が曖昧になってしまった事を反省しています。
仮想PCの基本は>231さんがレスされているように「ゲストが汚染されてもホストは大丈夫」なのですが、
>5,6のレスの全体の趣旨はホストが汚染された場合の緊急措置ですから、やはり説明不足だったかもしれません。
既に指摘されていますがホストでウィルスを踏んでしまった場合、ゲストから送信する時に
キーロガー・パケットキャプチャ・クリップボードなどから抜かれる可能性は否定できません。
特にパケットキャプチャでは、よりハードウェアに近いレイヤーでRO鯖や癌公式行きのIPを監視するタイプの
高機能なウィルスに常駐されていたら、やられてしまう可能性も高いかもしれません。
以下、ちょっぴり言い訳がましくなってしまいますが…
セキュリティ関係でこういったアドバイスをする場合には「常に敵は最強だと考える」のが基本ではありますが、
実際に「ホスト汚染・ゲストからパス変更」でも有効なケースもあるだろうし、何もしないよりはマシな筈、
とりあえずの説明としては有効性を唱えておこうと考えていたのでああいう表現になってしまいました。
(無意識の内にそこまで凝った垢ハクウィルス作っても割りに合わないだろうといった先入観もあったかもしれません)

>5,6に関してはまとめサイトさんも採用して下さった事ですし、
需要があるのならば加筆・修正したいと思いますので、更なる突込みをお待ちしております。m(_ _)m <> 247<>sage<>07/05/10 17:09 ID:ina7YCnF0<> >>248
Microsoft Virtual PC 200xでクリップボード(以下CBと略記)が共有されるかどうか実験してみました。

[Microsoft Virtual PC 2004:ホストOS=ゲストOS=Windows2000]
ゲストOSでコピー → ゲストOSのCBのみが更新される。
ホストOSでコピー → ホストOS,ゲストOSのCBが共に更新される。(ホストOSのCBのみ更新の場合もあり)

[Microsoft Virtual PC 2007:ホストOS=WindowsXP ゲストOS=Windows2000]
ゲストOSでコピー → ホストOS,ゲストOSのCBが共に更新される。(ゲストOSのCBのみ更新の場合もあり)
ホストOSでコピー → ホストOS,ゲストOSのCBが共に更新される。(ホストOSのCBのみ更新の場合もあり)

何回も試すと、両OSのCBが共に更新される場合と、操作している側のCBのみが更新される場合があったので、
「CBは両OS間で常に共有されるとは限らないが、共有されると思っておいた方が良さそう」でした。
(※VPC2004 ゲストOSでコピーの場合も、ホストOSのCBが更新されるパターンがあるかもしれません)

[Microsoft Virtual PC 2007:ホストOS=WindowsXP ゲストOS=Linux]
ゲストOSでコピー → ゲストOSのCBのみが更新される。
ホストOSでコピー → ホストOSのCBのみが更新される。

Linuxの場合、WindowsのCBと同じような機構はあっても、WindowsのCBと同じものではないので、
共有されなかったのは、まあ予想通りでした。 <> (○口○*)さん<>sage<>07/05/10 18:01 ID:ina7YCnF0<> >>249
>特にパケットキャプチャでは、よりハードウェアに近いレイヤーでRO鯖や癌公式行きのIPを監視するタイプの
>高機能なウィルスに常駐されていたら、やられてしまう可能性も高いかもしれません。

アトラクションセンターへのログイン〜ログアウト間はすべてのパケットがSSLで暗号化されるので、
単純にパケットをキャプチャされる分には、恐らく大丈夫ではないかと思います。
パスを抜こうと思ったら、暗号化されるよりも前の段階、つまり
@ パスの入力時にキーロガーで抜く
A ブラウザのメモリを監視して暗号化前のパスを抜く
B ブラウザのメモリを監視して暗号化に使われる共通鍵を抜く
のいずれかになるかと思います。

@はソフトウェアキーボードの使用などで回避できるとした場合、
ABは仮想PC内のブラウザのメモリを覗くことができないとすれば、
一応安全ということになりそうですね。かなり怪しい仮説満載ではありますが・・・ <> (○口○*)さん<>sage<>07/05/10 20:28 ID:blOQUZoU0<> >>247
PG2はIPレイヤでのフィルタの為、ホストOSのTCP/IPプロトコルレイヤを経由せず、ネットワークアダプタと
直接コネクションを張る仮想PCはブロックできないのだろう。
IPXやNetBEUIには一切関与しないのと同様に。
それに対し、一部のセキュリティソフトは、ネットワークアダプタ直前でも検出動作を行っているのでは。
その分、カーネルモードでの動作を伴う→OSを不安定にする危険性もある、と言う事で。 <> (○口○*)さん<>sage<>07/05/10 21:39 ID:dXq1NwbF0<> ネットワークに詳しい人なら、仮想PCから外部に通信した際に、パケットが
傍受できるかどうか調べれるのでは?

少なくとも今の推測状態よりも確実な事が言えて、何が危険かがもう少し明確に
なると思うし、テンプレ改定もしやすくなると思う。

自分にはそっちの知識がないに等しいので無理ですがorz


それと遅ればせながら>228
更新乙でした。
設定すら面倒くさがるギルメンに勧めやすくなりました。 <> (○口○*)さん<>sage<>07/05/10 22:40 ID:bqsuwNYc0<> 仮想PCからPacket傍受についてですが、
 Windows VirtualPC 2007 ホストOX:XP Pro ゲストOS:2K 
でゲストからWeb閲覧したところ普通に傍受できました。
「TCP Monitor Plus」というIP監視モニターを使用してです。
ゲストOSのアダプタはM/Bのアダプタ設定での場合と、
共有ネットワーク(NAT)指定の場合です。
ネットワークアダプタを直接監視出来るタイプなら簡単にできますね。
InnoTek VirtualBox(NAT)でも同じでしたので、
VMwareでももしかしたら同じかもしれません。

そんなに詳しくないものからですが報告までに。 <> (○口○*)さん<>sage<>07/05/10 23:44 ID:ATtd/1Dx0<> 仮想PC(VMWare 5.5.1)でテストしてみました。
ホストOS:WinXP Pro SP2
ゲストOS:Ubuntu 7.04(ネットワークアダプタはブリッジ設定)

ホスト側PG2でALL Block(0.0.0.0〜255.255.255.255)という設定を作り
ゲスト側からブラウズが出来るかどうかのチェックをしたところ
普通に閲覧出来ました。
アトラクションセンターのログインも普通に可能。

PG2の表示を見る限り、ルータ−ゲストOSの通信が発生しており
ホストのIPと違うためか、許可という形で通信が発生。

>254氏が使われた TCP Monitor Plus を使って通信を見たところ
モニタではゲストOSと外部との通信が行われていました。

過去に本スレとかでPG2がトロイの通信をブロックしてたという報告と
この結果を併せて考えると、仮にホストが感染しててゲストOSでパスを
変更した時の通信を傍受されても、PG2を使えばトロイ自身の通信は
ブロックされると思われます。

ただ、トロイ自体が仮想PCと同様の仮想ネットワークアダプタを作って
独自の通信を行うとかの進化をすると、PG2では防げなくなる、とも
言いますが…… <> (○口○*)さん<>sage<>07/05/11 00:01 ID:zEFO0VAD0<> アカハックによりキャラパス変えられた場合
サポセンへの電話、もしくはメールフォームから教えてもらえるか等
分かる人います?

自分も聞くことになるんですけど、すぐに聞けない状況なもので <> (○口○*)さん<>sage<>07/05/11 00:14 ID:WjBLZIz/0<> >>256
問い合わせたことはないけど、公式のFAQの『キャラクターパスワードを忘れてしまいました。』を見ると、


不正利用を防止するため、お客様だけの操作で再発行することはできません。
「ガンホーゲームズコールセンター」で該当GungHo-ID登録者であることを確認をさせて
いただいたうえで再発行することが可能です。
WEBヘルプデスクからのお問い合わせでは再発行手続きは行えませんので、
お電話かご登録いただきましたメールアドレスからお問い合わせください。


なので、メールフォームは不可 <> (○口○*)さん<>sage<>07/05/11 01:58 ID:U2gpvQtw0<> >254
検証乙です。
>255
更新と検証乙です。


つまり「現状のウィルス」であれば

PG2で全IPブロック→仮想PC立ち上げてパス変更→その状態でウィルス駆除
(念のためにPC再起動?)→PCが安全な環境になったらPG2のブロックを解除して
再度パス変更

この流れでなんとかなりそうな感じかな。

ただ、今後のウィルスの進化次第ではこの方法も使えなくなる可能性がある。
その場合は、同時にPG2でRO関係だけを許可してパス変更するって手法も
使えなくなる。
だから感染したPCを使用してのパス変更は危険が伴う。

となると、1PCしかない環境だと、デュアルブートか1CD Linuxを使うのが正解、と
いう感じかね?
コストや手間を考えれば、1CD Linuxを事前に準備しておくのが一番なのかも。 <> (○口○*)さん<>sage<>07/05/11 03:08 ID:SV0d7zlh0<> ログイン合戦になってしまった場合を考えると、1CD Linuxの起動時間がそこそこかかるのが怖いのと、
相手のログインを弾かなければならないという問題があるので、1PCしかない場合の最善手は多分・・・

1.[ホストOS] PG2でALL BLOCK(0.0.0.0-255.255.255.255)。ただしRO関係のみ許可設定にする(※)
2.[ホストOS] 仮想PCを立ち上げる
3.[ゲストOS] アトラクションセンターにログインして、アトラクションパスワードを変更する。(ログアウトはしない)
4.[ホストOS] 変更したパスでROにログインし、アカウントハッカーのログインを弾く。(ログアウトはしない)
5.[ゲストOS] アトラクションパスワードを再度変更する
6.[ホストOS] ROの方をゲーム内までログインして、しばらく様子見。アカウントハッカーからのログインがないこと確認する。
※許可IPリストはまとめサイトを参照 http://sky.geocities.jp/vs_ro_hack/ro_allow.txt
※ALL BLOCKにしてしまうと、まとめサイトにすらつながらなくなるので、上記許可リストは必ず事前に落としておくこと。

ゲストOS上でROが起動するのかどうか分からないので、ROはホストOS上で起動するという前提で考えてみました。
個人的にはゲストOS=1CD Linuxがお手軽かなと思います。(ROは100%起動できませんけどね)

キーロガー対策ですが、ゲストOS上で、あらかじめガンホーHPにIDとパスを打ち込んだ状態のものを
保存しておきます。緊急時は、仮想PCを開いて、ログインボタンを押すだけです。
この方法ならキーロガーでは絶対に抜かれませんし、画面をキャプチャされても、
パスワード欄が***になってるので大丈夫です。
パケットをキャプチャされても、https(SSL)で暗号化されてるので、まず大丈夫です。
(緊急時になると焦って頭が真っ白になるので、事前に十分練習しておきましょう)

問題は手順4が必要だということです。手順4で打ち込んだパスがまた抜かれては意味がないので、
これをどうやって防ぐか。まず手順4でログアウトをしないこと。手順5でパスを再度変更したのち、
手順6で自分のログインが弾かれなければ、もう安全と見て良いでしょう。
(キャラセレ画面では敵がログインしてきたかどうか分からないので、必ずゲーム内までログインすること) <> 259<>sage<>07/05/11 03:17 ID:SV0d7zlh0<> あー、しまった・・・
アトラクションパスを変更する際に打ち込んだ文字が、
キーロガーで抜かれることを想定してなかった。

Linux上でクリップボードの内容までは抜かれないと想定して、
コピペで貼り付けるしかないかな・・・
それこそ画面上の適当な文字をコピペして・・・
(マウスロガー&画面キャプチャされたら終わるけど・・・) <> (○口○*)さん<>sage<>07/05/11 07:50 ID:Ne0NFSWo0<> 1PCの場合、携帯のPCSVという選択肢はどうなのだろう。
ガンホーゲームズ全体では、IEのみ動作環境に挙げているものの、アトラクションセンター単体であればGeckoや
Operaなどでもアクセス可能なので。
それに、人によってはLinux上のKDE環境より迅速なオペレーションが可能だろうし。

本来なら、モバイルサイトでのアカウント操作や、携帯端末認証導入が望むべき姿なんだろうけど。 <> (○口○*)さん<>sage<>07/05/11 08:02 ID:089vjNZk0<> >>253
>設定すら面倒くさがるギルメンに勧めやすくなりました。

気にしすぎかもしれないけれど。
面倒くさがるなら、勧めない方がいいと思う。

諸々のリスクやセキュリティ意識をわかっている人が自分で導入するツール。
そのあたりの意識が低い人は「やられたらしょうがない」と諦めて貰うか、
リスクを認識するまでの教育をセットにしないといけないかと。 <> (○口○*)さん<>sage<>07/05/11 09:56 ID:Wx4SCYwS0<> 運悪くログイン合戦の場面になった場合

A)感染PC以外のアトラクションセンターにログイン出来てパス変更が出来る環境から
 パス変更しつつ、感染PCではログイン合戦を行う。
 (別PC・PDA(W-ZERO3等)・ゲーム端末・携帯等、表示更新が出来る環境から行う)
 リアルタイムで対応が可能

B)感染PC上からログイン合戦を行いつつ、仮想PCからパス変更を行う。
 ・仮想PC内にパスワードを保存しておいてコピペで入力した場合、クリップボードの
  情報は共有されてる場合があるので危険。
 ・キーロガーから抜かれる可能性もあるので、仮想PCではソフトウェアキーボードを
  使って入力する
 この場合、PG2でRO関係以外の通信を全てブロックしておけば、パス変更の情報を
 リアルタイムで抜かれる可能性は低くなる(※絶対安全という訳ではない)
 ただしPG2を抜けるようなトロイが出現した場合、無効。
 リアルタイムで対応が可能

C)感染PC上からログイン合戦を行いつつ、パス変更も行う。
 当然変更したパスはリアルタイムで抜かれてるので、PG2でRO関係以外の通信を
 全てブロックする必要があるが、上と同じで絶対安全という訳ではない。
 PG2を抜けるようなトロイが出現した場合、無効。
 リアルタイムで対応が可能
 
D)ログイン合戦を行いつつ、信頼の出来る知り合いに電話でパス変更を依頼する
 その知り合いの環境が汚染されてるとか、ユダである場合に危険。
 さらにそのタイミングで知り合いが対応できるかどうかは運次第。

1PC環境しかない場合、ログイン合戦時は1CD Linuxは使えない。
起動に時間がかかり、パス変更したとしても、再度PC起動してROにログインしないと
進入中のハク犯を落す事が出来ない。
しかしログインするとそのパスが抜かれて……の繰り返しで、負けるだけ。 <> (○口○*)さん<>sage<>07/05/11 10:03 ID:Wx4SCYwS0<> 少々訂正

A案だが、別PCがある場合はそちらでログイン合戦とパス変更を同時に行う、の方が安全だ。

非Win環境だとログイン合戦は感染PCから行う事になるので、アトラクションセンターで
パス変更をするタイミングはROにログインしてる間になる。
それで自分が同垢ログインエラーで落されなければ、成功したと判断できる。 <> 247<>sage<>07/05/12 06:02 ID:zdgRv6RM0<> すみません。間違ってました。ZoneAlarmは仮想PC内もしっかりブロックします。
PG2が仮想PC内をブロックしない理由が、おぼろげながら分かってきたような・・・

自分の解釈が合ってるかどうか分からないのですが、例えば
ホストOS = 192.168.1.10
ゲストOS = 192.168.1.11
だとした場合、ホストOS上のPG2は送信または受信アドレスのどちらかに
192.168.1.10が絡んでないと、ブロックの対象にならないってことなんですかね。

(ゲストOS)→(ホストOS以外のどこか) みたいなパケットは、他所様のパケットだから無視と??

>>255氏による検証を踏まえて、自分でも簡単に実験して、上記の解釈になったんですが、
いまいち確信が持てません。もうちょっといろいろ実験して調べてみます。 <> (○口○*)さん<>sage<>07/05/12 06:30 ID:PH7ehYan0<> PG2は串を通した通信はブロックしないでその認識で合っているでしょう
ネットワークデバイスより拾った自IPと設定したIP間の通信のみ監視する仕様のようです <> (○口○*)さん<>sage<>07/05/12 09:16 ID:DWrKItO30<> 後は、ICSを構成した場合と、マルチホーミングの場合の挙動だな。
実験してみるかな…… <> (○口○*)さん<>sage<>07/05/12 13:44 ID:3IDo7ADD0<> >PG2は串を通した通信はブロックしない

ブラウザに串刺して危険ホストをブラウズした場合、PG2でブロック設定してても
踏んでしまう、という事? <> (○口○*)さん<>sage<>07/05/12 19:26 ID:KsfD/NR20<> >>268
virtualPC2007のゲストOSから人柱してみた所、ブロックされずに危険アドレスも通常通り表示されてしまいました。

ホストOSとゲストOS両方にPG2はインストール
ゲストOSには匿名プロキシブラウズが簡単に出来るブラウザTorParkを使用 <> (○口○*)さん<>sage<>07/05/12 20:24 ID:xxBJJXpw0<> >269
>268が聞いてるのは仮想PC関係なしだと思うが。

ホスト側でPG2使っても仮想PCで通信できるのは>255の結果で明らか。

というかPG2がゲストOSの通信をブロックしない事に関して「別PCなんだから当然」と
誤った感覚で居て、なんの疑問も持たなかったな……
だから仮想PCでLinux動かして、検体を拾い捲ってた俺ガイル。

>268
サイバーシンドロームあたりから使える串を拾ってきて、PG2で全IPブロック状態にして
普通のサイトが閲覧できるかどうか、で判るんじゃね?

自宅に戻れば確認できるが、今使ってる端末(W-ZERO3)にはPG2が入らんので、誰か
この方法で確認してくれると嬉しい。

もし本当に串刺しただけでPG2が素通りしてしまうようなら、ちょっと問題があると思う。 <> (○口○*)さん<>sage<>07/05/12 20:42 ID:zdgRv6RM0<> >>270
269氏ではないんですが、269氏のは仮想PC上で実験してみたというだけだと思います。
自分も同じ実験をしてみました。

1.ゲストOS上にPG2をインストールし、まとめサイトのRO許可リストをブロックリストとして設定
2.IEでwww.gungho.jpに接続し、ゲストOS上のPG2で確かにブロックされることを確認。
3.ゲストOS上にTorParkをインストールし、同じくwww.gungho.jpに接続してみると、今度は接続できることを確認。

実験はすべてゲストOS上で行ってます。ホストOS上で同じことをやれば良いのですが、
今日初めて名前を聞いたTorParkというブラウザを本環境にインストールしたくなかったので、ゲストOS上で実験しました。 <> (○口○*)さん<>sage<>07/05/12 20:52 ID:JTtqIinx0<> Torはちょっと特殊だと思うが。
あれは元々匿名性を重視した仮想ネットワークで多段VPNみたいなものだし。 <> (○口○*)さん<>sage<>07/05/12 21:33 ID:UH6mwccn0<> すみません、質問させてください。
jpg偽装したhtmlを、ウィンドウズ標準のプレビューでも表示させてもまずいのでしょうか? <> (○口○*)さん<>sage<>07/05/12 21:44 ID:4Rq+T08L0<> >>273
プレビューって縮小表示のアイコンってこと?

レンダリングする為に読み込む訳だから、まずいと思ってた方がいいぞ。
どういう機構でプレビュー表示するかの詳細は知らないけど、回避するに越したことはないね。 <> 266<>sage<>07/05/12 21:47 ID:kDkAtw4I0<> 今帰宅しました。言葉足らずだったので補足

PG2インストール済みPCより組織内のsquid鯖を通して
外部のブロック設定済みIPへ通信した結果素通りと言う事です
これは>>269氏の検証と同義ですね

ローカルへApache串を入れて通信した所ブロックする事を確認 <> (○口○*)さん<>sage<>07/05/12 21:51 ID:kDkAtw4I0<> Windows標準のFAXビューアを使用するならIEで閲覧するのと同等です <> 268<>sage<>07/05/12 22:50 ID:3IDo7ADD0<> >270の言う方法で試した所、ごく普通に串さしてPG2でブロックしたところ
これは通信が止まってました。

串の種類によって動作が違う? <> 271<>sage<>07/05/12 22:53 ID:zdgRv6RM0<> プロキシを使った経験がなかったもので、どうも勘違いしてました。
271のはブロックされなくて当たり前ですね。

(自分のPC)⇔(プロキシ)⇔(罠サイト)

なので、罠サイトにアクセスするのはプロキシであって、自分のPCはプロキシとしか通信せず、
そのプロキシがブロックリストに載ってない以上、ブロックなどされるはずがないという当たり前の話でした。

問題はALL-BLOCK状態(ただし一部のサイトのみ許可)という状態にして、どうなるかでした。
ここでまた、一部許可サイト=まとめサイトのRO許可リストとして実験しました。

まず、普通にガンホーHPを見に行くと、当然見れました。
次にプロキシを使って、ガンホーHPを見に行くと、プロキシまでの通信がブロックされ、
結果ガンホーHPは見れませんでした。
TorParkを使っても、当然同じ結果になりました(プロキシまでの通信がブロックされました)

結局プロキシを使おうが、そのプロキシまでの通信に自分のIPを使用したのでは
PG2の監視対象になってしまうという点では変わりありませんね。

仮想PCはホストOSのIPとは異なるIPアドレスを使って通信をするので、
ホストOS上のPG2には監視されないということですね。(ゲストOS上のPG2には監視されます) <> (○口○*)さん<>sage<>07/05/13 01:13 ID:kxRay5MI0<> >>274 >>276
用事があって返事が遅れてしまいましたすみません。
そうなのですか。偽装htmlかどうか保存でダウンロードしてから
メモ帳で確認すると良いのかなーと思ったのですが、
ファイル選択すると縮小表示のプレビューが出るので、これってまずいのかな?と思った次第です。
お答えありがとうございます。気をつけます。 <> (○口○*)さん<>sage<>07/05/13 09:32 ID:As32pB200<> 仮想PC内をブロックしないのは、PG2だけが抱える固有の問題のような気がしなくもないので、
ログイン合戦時の緊急設定(全IPブロック。ただしRO関係は許可)はPG2で行うのではなく、
FWソフトで行えば、問題なく機能してくれる可能性があります。

試しに、ZoneAlarmProを使って緊急設定(インターネットゾーンをブロック。ただしRO関係は許可)を作ってみましたが、
ホストOS上でROは正常に起動し、ガンホーサイト以外へのブラウズは全部ブロックされ、
また仮想PC内のガンホーサイト以外へのブラウズもすべてブロックされることを確認しました。
(無料版のZoneAlarmでは詳細設定ができないので、上記のような緊急設定は多分作れません。)

緊急設定を作っておきたい方は、お使いのFWソフトで試してみては如何でしょうか。 <> (○口○*)さん<>sage<>07/05/14 09:04 ID:XSTnuqjf0<> 雑談風味なのでこちらで。

一度hostsの変更とPG2の導入について、判りやすく整理した文面を作って、テンプレ化とか
まとめサイトの人の所に掲載とか、そういう事をした方がいいんじゃないだろうか。

hostsの更新(改竄含む)の危険性は言うまでもないが、PG2も設定次第では通常のサイトの
閲覧に支障が出る。
PG2も無闇に設定すると企業のHPやWikipediaが見れないといったトラブルが出る。
hostsは改竄されると無条件でハクサイトに繋がる恐れがある。

hostsの更新スクリプトは、実際の導入では変な設定が書き込まれる事はないが
配布ページではそれについてクドい程書かれてる。
PG2は気楽に導入できるみたいな感じで書かれてるし中韓台リストも導入を勧める
風潮が高いが、見れなくなるサイトが増える事についてはあまり触れられてない。

初めて導入する人にとっては、hostsのスクリプト導入よりPG2の方がトラブルが出る
可能性が高いと思う。

今こっちのスレではPG2の動作検証みたいなものが続いてるが、それのまとめも併せて
テンプレ化してはどうだろうか? <> (○口○*)さん<>sage<>07/05/14 11:41 ID:4l9q7/hi0<> 既に十分書かれ・語られていると思うがなぁ。
0〜100まで手取り足取りってのはどうかと…

でも尚足りないと思うなら>>281自身でやったらいいよ。他人にお伺い立てる必要も無い。 <> (○口○*)さん<>sage<>07/05/14 11:41 ID:5obZoH3K0<> PG2起動時に自NICへ割り当てられたIPを引っ張り、設定済みIP間の通信のみを遮断する
だからローカルに串置いてもスルーするし、別IPの串通せばスルーするのは自明 <> (○口○*)さん<>sage<>07/05/15 15:32 ID:4I9F1wTK0<> カスペルスキーをver.6.0.2.614へアップデートしてからというもの、ファイルをダウンロードするときに
異様にPCの動作が重くなるようになってしまったのでちょっと質問。
軽いサイトの閲覧やRO程度なら問題ありませんが、ちょっと重めのサイトだとかなり気にかかり、
大きめのファイルをDL中は他の作業もままならない程です。
設定は基本的にバージョンUP前と同じなので、バージョンを上げたことが原因のように思えます。
他にも同じ症状の人とかはいるのでしょうか? <> (○口○*)さん<>sage<>07/05/15 16:53 ID:YaNZXCgq0<> >>284
再度カスペをアンインストロール。
この時、履歴や設定など全部消す設定でアンインストロールする。全部ね。全部。全部だよ。ZE☆N☆BU☆
そうしてからインストロール。
  ァ   ∧_∧ ァ,、
 ,、'` ( ´∀`) ,、'` い・・インs
  '`  ( ⊃ ⊂)  '` <> (○口○*)さん<>sage<>07/05/15 23:43 ID:vJMPfGcI0<> 1. 「WinZip」や「QuickTime」のぜい弱性を突く攻撃サイト出現
ttp://itpro.nikkeibp.co.jp/article/NEWS/20070515/271057/

どちらも修正パッチは、かなり前から出ているのでバージョン確認を忘れないように


2. Firefox2.0.0.3に外部からDoS攻撃される脆弱性が見つかったらしい
ただ勝手にプログラムを実行されたりPCを乗っ取られることは無い……・? <> 284<>sage<>07/05/16 06:34 ID:E1rjjFs50<> >>285
ありがとうございます。
おかげで大分軽くなりました。 <> (○口○*)さん<>sage<>07/05/16 22:21 ID:4POoWobo0<> 今習慣になってるカスペスキャンしたんですが
Trojan-Downloader.Java.Agent.c ZIP:感染-1なるものが検出されました。

半日前にスキャンしたときは異常なく、その後お気に入りのページを数箇所回った
程度で、怪しいアドレスを踏んだ記憶もありません。
ググってもこのトロイの実体がつかめなかったので、何かお解りの方がいたらご教授お願いします。 <> 288<>sage<>07/05/16 22:26 ID:4POoWobo0<> あ、MMOBBSさんのほうで質問したほうが良いみたいですね。
失礼いたしました。 <> (○口○*)さん<>sage<>07/05/16 23:26 ID:hZ7xRbuP0<> >>289
そういう、いい加減な情報の場合はこっちだ。 <> (○口○*)さん<><>07/05/17 13:23 ID:2x1Tejiz0<> 相談(報告)用のテンプレがこっちにはなかったか。

【投稿の際の注意】
・アカハックアドレスはMMOBBSでは禁止単語になっています。
 加えて、誤クリックによる感染を防ぐ為にそのようなアドレスは
 .(ドット)を別の文字に置き換えて報告して下さい (■がよく使われています)
・質問前後にテンプレ等を見て知識を深めると更にGoodです
・回答者はエスパーでは有りません。情報は出来るだけ多く。提供した情報の量と質
 に応じて助言の量と質は向上します
・結局は本人にしかどうにも出来ない事を忘れてはいけません

----------報告用テンプレ----------
● 実際にアカウントハックを受けた時の報告用

【      気付いた日時          】 (被害に気付いた日時)
【不審なアドレスのクリックの有無 】 (blog/bbs/Wiki等で踏んだ記憶の有無とそのアドレス)
【他人にID/Passを教えた事の有無】 (Yes/No)
【他人が貴方のPCを使う可能性の有無】 (Yes/No)
【    ツールの使用の有無      】 (Yes/No、Yesの場合はそのToolの説明)
【  ネットカフェの利用の有無    】 (Yes/No)
【     OS    】 (SP等まで書く)
【使用ブラウザ 】 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【 アンチウイルスソフト 】 (NortonInternetSecurity2007 等)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【スレログやテンプレを読んだか】 (Yes/No/今から読みます)
【hosts変更】(有/無 [有りの場合は最終更新は何時ごろか])
【PeerGuardian2導入】(有/無 [有りの場合は参照元サイトはどこか)
【説明】
(被害状況を詳しく書く) <> (○口○*)さん<><>07/05/17 13:23 ID:2x1Tejiz0<> ● 怪しいアドレス?を踏んだ時用

【  アドレス   】 (ドット(.)を■等で置き換える事。h抜き等は駄目)
【気付いた日時】 (感染?に気付いた日時)
【     OS    】 (SP等まで書く)
【使用ブラウザ 】 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【 アンチウイルスソフト 】 (NortonInternetSecurity2007 等)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【スレログやテンプレを読んだか】 (Yes/No/今から読みます)
【hosts変更】(有/無 [有りの場合は最終更新は何時ごろか])
【PeerGuardian2導入】(有/無 [有りの場合は参照元サイトはどこか)
【説明】
(『怪しいアドレス』との判断した理由、症状を詳しく書く) <> (○口○*)さん<><>07/05/17 13:25 ID:2x1Tejiz0<> 丸々コピペしたので何かおかしなところがあれば修正お願いします。
かなり下がってたのでageます。 <> (○口○*)さん<>sage<>07/05/17 21:37 ID:4puLlVLn0<> 「▽:【キモスレ】RO Freya廃スレ117【移動】
ex22■2ch.net■test■read.cgi/net/1177569222/318

318 名前:名無しさん@ゴーゴーゴーゴー![sage] 投稿日:2007/05/16(水) 19:15:51 ID:xBtzLHXM
■www■borujoa■org/upload/source/upload11664■jpg


320 名前:名無しさん@ゴーゴーゴーゴー![sage] 投稿日:2007/05/16(水) 22:13:57 ID:jGQwbedn
>>318
垢ハック

321 名前:名無しさん@ゴーゴーゴーゴー![sage] 投稿日:2007/05/16(水) 22:28:45 ID:+5p3+ne6
まじかよ
いっちまったじゃねえかwwwww

322 名前:名無しさん@ゴーゴーゴーゴー![sage] 投稿日:2007/05/16(水) 22:51:30 ID:bpWKwraX
あーあ、お前の装備は俺がきっと買い取って大事に使ってやろう」


自分は触っていないのですが
これはいたずらでしょうか?ホントにアカハックでしょうか? <> (○口○*)さん<>sage<>07/05/17 22:06 ID:Z+NFyZCB0<> >9にもあるが、ここは鑑定スレじゃないぞ。
ソースチェッカーなり使って調べる癖を付けた方がいい。



まあついでに言うなら、ただのネタ画像だった。 <> (○口○*)さん<>sage<>07/05/17 23:00 ID:co9hlpZa0<> ついで?
ついでなのか!? <> (○口○*)さん<>sage<>07/05/17 23:48 ID:wweZkYFG0<> そういえば、ソースチェッカーで画像ファイルを指定すると、
画像のサムネイルが表示されるけど、あれって、
ソースチェッカー側で作り直してるんじゃなくて、
指定したサイトから直に取りに行ってるよね。

hostsでブロックしてる場合は表示されないし、
hostsのブロックなしで、PG2の禁止リストに載せてる場合は、PG2でブロックされるし。

以前ソースチェッカーで調べてたときに
PG2がブロックしたことがあってびっくりして調べたら、そういう理由だった。
(リアルタイムで気づけばいいけど、あとから履歴見て発見するとちょっと焦る)

でまあそれはいいんだけど、画像自体がなんらかの脆弱性(MS04-028とか)を狙った画像だった場合、
ソースチェッカーで調べるだけでも感染するはずだよね。直に見てるのと変わらないわけだし。
そんな致命的な脆弱性が頻繁に発見されることもないとは思うけど、ちょっと注意かなと思いました。 <> (○口○*)さん<>sage<>07/05/18 02:57 ID:mX2M4z/O0<> Heimdal鯖 prontera(150,106)

垢ハックと思われる露店発見。みんなも気をつけような。ハックされた人なむ。 <> (○口○*)さん<>sage<>07/05/18 09:03 ID:ho0DgZNP0<> 上のほうでも出てきてたけどカスペオンラインスキャンしたら
C:\Documents and Settings\ユーザー名\Application Data\Sun\Java\Deployment\cache\6.0\9\3c0ee589-25785079/FcPred.class
C:\Documents and Settings\ユーザー名\Application Data\Sun\Java\Deployment\cache\6.0\9\3c0ee589-25785079
C:\Documents and Settings\ユーザー名\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\FcPred.jar-10f0c63b-692782f3.zip/FcPred.class
C:\Documents and Settings\ユーザー名\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\FcPred.jar-10f0c63b-692782f3.zip
でTrojan-Downloader.Java.Agent.cが検出されたんだけどどうなんだろう(´・ω・`)

virustotalで調べたらカスペ(とそのエンジンを使ってるエフセキュア)だけで検出されたんだ
誤検出なのかな? <> (○口○*)さん<>sage<>07/05/18 11:09 ID:ztx0UM+Z0<> †RO685 クソゲー患者の現実逃避スレ†
ttp://game11.2ch.net/test/read.cgi/mmosaloon/1179246354/8

8 名前:ネトゲ廃人@名無し[sage] 投稿日:2007/05/16(水) 07:02:58 ID:???
       ノ
   / ̄ ̄`ヽ
  ./ | |ノ|ノノ|レ)
  @| |`∀´>
   `>フ、'イフ
   /::/:|_`'_|:|
   |:‖:|| ||:::|
   |::』::||_||:/
   `='| |/='
     〉Y|
    ヽ_)
ホルホルニダニダ!!
糞Wiz日記 -痛-
ttp://blogranking.fc2.com/in.php?id=154151

9 名前:ネトゲ廃人@名無し[sage] 投稿日:2007/05/16(水) 07:21:44 ID:???
↑垢ハック注意

うっかり踏んでしまったんですが、どうしたらいいでしょうか? <> (○口○*)さん<>sage<>07/05/18 11:13 ID:aNUs2wDj0<> まずはテンプレをお読みください <> (○口○*)さん<><>07/05/18 13:42 ID:phNPR/WR0<> ノートンによるBackdoor.Haxdoorというウイルスが検出、駆除されたのですが、パスワードを盗む類のウイルスらしいのです
これの垢ハックウイルスへの関連性はありますでしょうか?正直どのタイミングで感染したのか全く解らないんです
次にROをする時は念の為カスペでオンラインスキャンしてからはじめますが… <> (○口○*)さん<>sage<>07/05/18 14:18 ID:0dWnWEpp0<> >>302
ウイルス名が分かるのならググるといいと思うが。
http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2007-010909-1043-99&tabid=2

メーラの設定はお気をつけ。 <> (○口○*)さん<>sage<>07/05/18 19:53 ID:vC0O/3uy0<> >>300

>アカウントハックの危険性があるURLは「.」を「■」に置き換えて貼り付けください。 <> (○口○*)さん<>sage<>07/05/19 01:39 ID:3X3lqhKC0<> >>297
(;´Д`)え、あれでもやばいの? <> (○口○*)さん<>sage<>07/05/19 02:03 ID:dAF+cFWX0<> >>305
原理的にはそういうことになるな。IEの設定を見直しておけってこった。 <> (○口○*)さん <>sage<>07/05/19 02:32 ID:YgOd4EUV0<> >>302
おまえ776の質問板でも聞いてるだろ?
マルチ投稿するなよ。 <> (○口○*)さん<>sage<>07/05/19 02:38 ID:KvTHcQFj0<> 最近増えたね… <> (○口○*)さん<>sage<>07/05/19 05:20 ID:3uL4d6uu0<> >>305
ソースチェッカーは、指定されたファイルが画像の場合、ブラウザにimgタグを送ってきます。
例えば、グーグルロゴの場合
<img (中略) src="http://www.google.co.jp/intl/ja_jp/images/logo.gif" (中略)>
というソースがソースチェッカーサイトより送られてきます。
それをブラウザが解釈して、googleサイトからロゴを取りに行くわけですね。

ソースチェッカーは指定されたファイルが画像であるかどうかを拡張子では判断しておらず、
ファイルの中身を確認した上で画像ファイルかどうかを判断してます。

なので拡張子はJPEGだけど、中身はHTMLみたいな偽装ファイルを
ソースチェッカーで調べてしまったとしても問題ありません。
(とは言っても、調べてみるまで↑なのか↓なのか分からないわけですが・・・)
やばいのは>>297に書かれている通り、MS04-028脆弱性などを利用された場合です。
つまり「正真正銘の画像ファイルであるが、それが罠の場合」です。 <> (○口○*)さん<>sage<>07/05/19 06:11 ID:3X3lqhKC0<> >>309
なるほど。わかりやすい説明Thx! <> (○口○*)さん<>sage<>07/05/19 07:30 ID:guonvbV70<> 「ウイルスに感染しませんか?」広告に多数のクリック
ttp://www.itmedia.co.jp/enterprise/articles/0705/18/news013.html

この記事はGoogle Adwordsの悪用について語られてる記事だが
中華がRMT業者の振りをして偽装広告打っていろいろなゲーム&クレカなどの
情報を一気に盗み出すマルウエア作ればそいつをダウンロードさせる事もできると
いう訳だ。

今WikiやWeb改竄等を人海戦術でやってるがこんなところまで金をつぎ込み出したら
もっと被害は増えるだろうね。

Google Adwordsをサーバー運用費用捻出の広告として導入しているサーバーも少なくない。
Wiki設置などでは広告制御の必要性があるため表に出てきていないが多数のRO系
Wikiが稼動しているXREAや@Wiki、WikiROOMなどでも利用されてる広告システム
だけに悪用がしやすいってことを念頭に入れてGoogle Adwords発信の広告のクリック
が必要になる訳だ。

多くの人が利用しているGoogle運用のGMailやYouTubeももちろんGoogle Adwords広告
が運用費用捻出のメインであるのはいうまでもない


ユーザーは必要な情報か怪しいか否か自分で判断しろってことだ。 <> (○口○*)さん<>sage<>07/05/19 07:38 ID:9EtcC3mr0<> 広告は誤クリックする事があるから嫌だ。 <> (○口○*)さん<>sage<>07/05/19 09:54 ID:2h8zprSN0<> ウイルスによる2次被害、盗まれたパスワードがWebで公開される:ITpro
ttp://itpro.nikkeibp.co.jp/article/NEWS/20070516/271206/
何らかの手段でパスワードが盗まれたなら、そのパスワードは再度利用すべきではない。
無論、同一の物を用いているサービスがあるなら、即座に変更すべき。

Yahoo!ニュース - Record China - 勝手に株を売るコンピュータウイルスが登場!セキュリティに要注意
ttp://headlines.yahoo.co.jp/hl?a=20070519-00000009-rcdc-cn
ウィルス感染が一個人の問題では済まなくなる一例。
>証券会社の取引用プログラム
これはやはり、金融版のnPro等の類いなのかな。 <> (○口○*)さん<>sage<>07/05/20 13:46 ID:fL1ktItT0<> あまりの管理放置っぷりに、TeMP Wikiは、サイトを支えていた
編集人からも見放されつつあるな・・・ <> (○口○*)さん<>sage<>07/05/20 16:10 ID:fxb0YmdO0<> 本スレより移動

447 (^ー^*)ノ〜さん sage New! 07/05/20 15:58 ID:zmqmGI+70
http://www.abcoroti.com/~kimo/cgi-bin/all.html?1159355145
の中のkimo0903.jpg
画像が1KBとかめちゃめちゃ怪しいんだが垢ハックかな?
うっかり踏んじまって不安だわ。
誰か情報もとむ。

449 (^ー^*)ノ〜さん sage New! 07/05/20 16:01 ID:1LjoMk5q0
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません
−−−−−
ただの真っ白で小さなjpegだったが、脆弱性を突くものかどうかまでは知らん。jpegではあった。 <> (○口○*)さん<>sage<>07/05/20 20:06 ID:3WyKYqDU0<> 危険な画像かどうかの見分け方を考えてみた。

1.右クリック⇒「リンク先を保存」などで、画像ファイルを開かずに保存する
 ※プレビュー機能が働かないよう拡張子をtxtなどに変えて保存すること。
 ※既に開いてしまった場合は、素直に画像を右クリックして保存
2.「正真正銘画像ファイルであるが、なんらかの脆弱性を利用した悪意ある画像」である可能性を調べる。
 ファイルをVIRUSTOTAL(www.virustotal.com)で調べる。
 すべてのアンチウイルスソフトでウイルスが見つからなければ、「悪意ある画像」でない可能性が高い。
3.次に偽造拡張子のチェック。ソースチェッカーで調べたいファイルをチェックする。
 画像の場合は「※ 画像データを発見しました」と表示される。⇒ ファイルは多分安全
 中身がHTMLファイルだった場合は、HTMLソースが表示される。 ⇒ 危険なファイルである可能性が高い

※絶対安全かどうかを調べる方法ではありません。そんなこと誰にもできません。
 未知の脆弱性を利用されたらアウトです。 <> (○口○*)さん<>sage<>07/05/20 21:10 ID:gqC4tM2n0<> >316
検体を拾うならブラウザを使わずにファイルダウンローダー使う方が安全。

自分が使ってるのはコマンドラインで動くダウンローダーのwget。
hosts更新スクリプトで使われてるダウンローダーだが、コマンドラインから行えるので
プレビュー機能やらなんやらの誤動作の恐れが皆無なのがいい。
少々面倒かもしれんが、下手にGUIなアプリより誤操作の可能性が低いから安心出来る。

wget http://○○.com/△△.jpg -O 123.txt

こうすれば該当ファイルを123.txtという形で保存出来るので、あとはバイナリエディタで
ファイルヘッダ見るなり、各種アンチウィルスやVIRUSTOTALを使うなり。

でも一番堅いのは仮想PC+非Windows環境で拾いに行くことかな。
対象とするものがWindows環境であるなら、こっちの方が安全。 <> (○口○*)さん<>sage<>07/05/20 21:29 ID:Y5Gi9BdY0<> 携帯で見ればいいんじゃね? <> 316<>sage<>07/05/20 21:30 ID:3WyKYqDU0<> >>317
自分も、検体落とすときにはwgetのお世話になってるんですが、
・Windowsに標準で付いてるコマンドではない
・CUIなんて使ったことないよって人が多いかも
とか頭によぎったので、316に書くかどうか迷ってしまいました。
でもwget使える人なら、その方が安全なのは確かですね。 <> (○口○*)さん<>sage<>07/05/20 21:37 ID:V7FKEz6i0<> Windowsなら getが使えるけど wgetとは動作が違う? <> (○口○*)さん<>sage<>07/05/21 01:26 ID:uX0hvCqo0<> Win標準でgetなんてコマンドあったっけ?

元がUnix系コマンドで、Winバイナリに移植されてるもの以外にも何個かある。
オプションはどれも基本的に一緒のはず。
ttp://members.at.infoseek.co.jp/futora/wget153/option.html

しかしhostsの書き換えを自動化させる事については賛否両論あるわけだが
本スレ444の意見とかどうなんだろう?
本スレの方は、自動更新は論外、って人が多い気がするが。

あの意見について、一理あると見る人と論外と見る人と、どっちが多いんだろう?
個人的には、先に防御固めて理解はそれからでも遅くない、って感じなんだが。
学習してる間に被害にあったら元も子もないと思うんだが、こういう意見は
少数派かねぇ? <> (○口○*)さん<>sage<>07/05/21 01:31 ID:KnPwkS3U0<> 防御固める手段の信頼性が保持されるなら、その考え方でいいんじゃないかな。>防御先で理解は後

ウィルスの挙動や分類を理解していなくても、セキュリティソフトを入れるようなもの。
設定を変える(リストの内容を手動でいじる)時には、理解が必要になってくるけど。 <> (○口○*)さん<>sage<>07/05/21 02:00 ID:uX0hvCqo0<> >321を読み返したら、2〜3行目がwgetの説明、って事が抜けてたorz

>322
あれがexeで作られてたら使うのは躊躇うけど、vbsだから中身判るし。
本スレではなぜそこまで毛嫌いされてるのかが、良くわからんのよ。

先に知識をつける事を優先してるだけなんだろうか? <> (○口○*)さん<>sage<>07/05/21 02:08 ID:gfDJwP310<> >>321
>しかしhostsの書き換えを自動化させる事について・・・

半分賛成。半分反対ってとこかな。
私も、基本的には防御が先で理解は後で良いと思う。

ただし、この場合問題になるのは、スクリプトの信頼性だと思う。
例えばWindows Updateの場合、Microsoftという社会的に信用のある会社が配布しているため、
中身を確認もせず無条件でインストールしても多分大丈夫だろうとみな判断してるわけで。

hosts書き換えスクリプトの場合、作者の方には申し訳ないけど、そこまでの信頼性がない。
スクリプトを読むことが出来ない人は、このスレで悪評が立っていないことを確認するぐらいしか
信頼性を確認する手段がない。何があっても自己責任で入れるか、あるいは入れないか。

友達に薦めるなら、自分が動作を保障すれば良いけれど、
匿名掲示板で赤の他人に薦めるとなると、ちょっと・・・。 <> (○口○*)さん<>sage<>07/05/21 02:10 ID:gfDJwP310<> >>323
Windowsユーザーの中で、VBSを読める人の割合って、多分10%もいないかと、
いや、もしかしたら1%もいないかも。VBSって、かなりマイナーな言語だし。 <> (○口○*)さん<>sage<>07/05/21 02:54 ID:gfDJwP310<> 本スレ444の人は、1個致命的な問題を忘れてると思う。
得体の知れないスクリプトを動かしたら、何が起こるかわからない。
出来上がったhostsファイルを見て、スクリプトの安全性を確かめることはできない。
なぜならhosts更新を真面目にやりつつ、裏で悪事を働くことも可能性なのだから。
(自分はスクリプトを読めないという視点で考えて欲しい)

>>321
私も>>320見て、そんなコマンドあったのかー、と思ってコマンドプロンプト起動したら、

'get' は、内部コマンドまたは外部コマンド、
操作可能なプログラムまたはバッチ ファイルとして認識されていません。

・・・・・・・・・・・・・・ぉぃ
Windows2000 Pro, Windows XP Home, Windows XP Pro, Windows Vistaと
試してみましたが、いずれも、そんなコマンドないよと怒られました。
標準コマンドがPATH通ってないはずもないでしょうし・・・ <> (○口○*)さん<>sage<>07/05/21 03:02 ID:WgFPUg+80<> VBSって言語自体はVBの流れ汲んでるし、読める人は多いのでは?

ただ本スレは頑なに拒否してる気がするのは確か。
書き換えぐらい自分の手でやれ、って意見なだけかもしれんけど。

まさかスクリプトが読めないから、何してるか判らない怪しい代物だ、なんて
判断してるわけじゃないだろうし。

確かに使ったことによる影響は誰にも責任が取れないから、積極的に
勧めるのは難しいが、本スレの雰囲気は何か違う気もするな。

個人的にはスクリプトの導入は推進した方がいいと思ってる。
ただ無闇に使えというのではなく、手法の1つとして提供。
説明を読ませた上で使う使わないの判断は当人に、って形。 <> (○口○*)さん<>sage<>07/05/21 07:09 ID:c3LszVpL0<> perlをインストールしていたから getがあったのが判明ヽ(´ー`)ノ <> (○口○*)さん<>sage<>07/05/21 10:12 ID:pHNQKUOW0<> >>316
こっちはIrvineをウイルス用にきちきちに設定して検体保存してる。

>>Host更新jbsについて
導入してから知識を、というのは上手く行けば問題ないけど、
導入してそのまま放置って言う人も結構予想されるからなぁ。
まー自己責任という言葉をきちんと理解させられれば全然問題は
無いのだが。
      ______
    /          )))
   /   /// /―――-ミ
   / 彡彡 // /      ヽ))
   / 彡彡 iiiiiiiiiiiiiii  iiiiiiiiii|
   / 彡彡 < ・ > 、<・ >l
  /    |       ヽ   〉
  /  ( | |      __)  |    / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
  /   | ≡  /, ―――  |ゝ < 馬鹿共にパソコンを与えるな!
  /   |   |  L ___」 l ヾ  \_________
_ミ  l   ______ノ ゞ_
  |  l ヾ    ー   / |  l
  |  |   \ー    ‐/  |  |

こんな気持ちのサポスレ住人で御座います、ははは…はぁ。 <> (○口○*)さん<>sage<>07/05/21 10:19 ID:Iu9VUnWc0<> スクリプトの信頼性については、ソースを読める人が判断するしか手が無いんだよな。
読めない人からすれば、匿名掲示板の書き込みをどこまで信じるか、って話になるし。

しかし本スレでもあったが、PG2はアカハックをブロックするもの、と考えてて
Wikipediaが感染してるだの言う人がいるぐらいだし。

そういう人が潜在的に多いなら、hostsのスクリプトの導入を無闇に勧めるのも
考え物だと思う。
PG2もhostsのスクリプトも、共に真っ当な代物。
でも使う人の知識如何によっては、トラブルを誘発する。

結局は、ある程度の知識をもった上で・自己責任で、って事に落ち着く話かと。 <> (○口○*)さん<>sage<>07/05/21 10:30 ID:XEU2qNoZ0<> 多分、ソースを読んで安全性を確認することを前提にVBSにしてるんだと思う。 <> (○口○*)さん<>sage<>07/05/21 11:48 ID:ngYC5r4f0<> まーWikipediaが韓国に鯖あるとは知らない人も多かろう。
Hotmailなんかも一部転送用の鯖が韓国IPだったりするするし。 <> (○口○*)さん<>sage<>07/05/21 12:08 ID:fjLXf3W+0<> >>314
Wiki管理してるとわかるけどあの勢いをとめるというのは並大抵では難しい。
それが厳しくて管理者交代したWikiも存在している


編集できる能力がある人間もいるが全部のWikiを回りつくすには限界というものがある <> (○口○*)さん<>sage<>07/05/21 15:05 ID:f0Fcb/So0<> であればこそ、無制限な編集許可状態を止めるという選択くらい
したっていいと思うんだ。 <> (○口○*)さん<>sage<>07/05/21 15:21 ID:Tlws5Bez0<> hostsのスクリプトは信用云々ってよりも、万が一クラックされ改変されたときのことを考えての自己責任だと思ってた。
てなことで俺はVBS読めないから多少は安全性を判断できる手動更新でやってる。 <> 335<>sage<>07/05/21 16:04 ID:TWWPVbn60<> 少し勘違いがあったか。
とはいえやはりある程度の知識がある人にじゃないと勧めにくいものではあるな。 <> (○口○*)さん<>sage<>07/05/21 18:46 ID:c3LszVpL0<> そのうち、「新しいHostsファイルはこちらに移動しました」とかで、
垢ハック誘導Hostsファイルをばらまき始めるかも <> (○口○*)さん<>sage<>07/05/21 19:06 ID:8IQfW/Nu0<> 罠hostsを配布して引っ掛かる人はいないだろ。

まずスクリプトの場合は問題ない。
DL元がまとめサイトとリネージュ資料室だし、デフォルトで
127.0.0.1を付加してるから罠IPに設定されることもない。

手動の場合は引っ掛かる可能性はないとは言えないが、そもそも
出所の怪しいリストを使う方が悪いし、中見て127.0.0.1以外があれば
その時点で気づくはず。
さらに無条件で自分のhostsと置き換える人もいないだろう。

もしそういう人がいるなら、引っ掛かる方が悪いとしか
言えないんじゃないか?
無知というより間抜けすぎる。 <> (○口○*)さん<>sage<>07/05/21 19:36 ID:yIzAOuHi0<> むしろあり得そうなシナリオとしては、トロイが勝手にhostsを改変する事だと思う。
yahooなりgoogleなりmmobbsなりに対して罠IPを仕込むパターン。
フィッシング詐欺での常套手段でもあるから、割と現実的だろう。

この場合PG2を使ってたら既知のIPなら防げるが、例えばjpな割当のアドレスを
使われると気付かない可能性もある。
手動更新してても毎日常々hostsを眺めてるわけじゃないし。
最悪の場合カスペ等で駆除しても延々感染し続ける恐れがある。

もっとも、トロイにやられてる=何かを踏んでる、って事なんだが…… <> (○口○*)さん<>sage<>07/05/21 20:18 ID:tS74/g2s0<> hostsが話題になっているので、これなんてどうでしょうかと提案(´・ω・`)
VBSのチェック用にちょうど良いかなと。

【アダ被】.higaitaisaku.com
ttp://www.higaitaisaku.com/
 の
hostsファイルとは?
ttp://www.higaitaisaku.com/hosts.html
※このページ内の「HijackThis」のところです。

テンプレに追加とは言いませんが読んでおいても損はないかもと。 <> (○口○*)さん<>sage<>07/05/21 22:53 ID:uX0hvCqo0<> なんとなくhostsの内容チェックのスクリプトを書いてみた。
hostsRenewのコードを利用したものです。
(中身が全く違うから改竄にはならないと思う……)
ttp://www.mmobbs.com/uploader/files/2634.zip

中身は単純に

・hostsのパス名
・ReadOnly状態かどうか
・hostsファイルの行数
・空行の数
・コメント行(#で始まる行)の数
・127.0.0.1で始まる行の数
・その他(コメントでも127.0.0.1でも無い行)の数
・その他の行があった場合は、その内容

を表示するだけ。

まあ何の意味もないゴミスクリプトですが「その他」の行が0以外で
内容に身に覚えがない場合、ヤバいかも、という事で。 <> (○口○*)さん<>sage<>07/05/21 23:48 ID:tS74/g2s0<> 普通のセキュリティソフトで済むとは思いますけど、こんなソフトを見つけましたので一応。
>>340であげたソフトよりわかりやすいかも。自分であげておいてなんですがorz

Hosts File Manager(WindowsNT-2000-XP - インターネット&通信)
ttp://www.vector.co.jp/soft/winnt/net/se406523.html

チェック用スクリプトを書いた方には、悪い気がしますが(;´д`)
すみませんorz <> (○口○*)さん<>sage<>07/05/21 23:56 ID:uX0hvCqo0<> >342
5分程度で出来たゴミスクリプトなので気にしないでください。

チェックソフトは誰とも判らない怪しげなスクリプトより、普通に公開されてるものの方が
信頼できるしね。

しかしインスコしようと思ってReadmeみたら、更新履歴でちょっと焦った…… <> (○口○*)さん<>sage<>07/05/22 00:51 ID:bKHyB0ow0<> >>342
使ってみた。

・ReadMeのTOPの日時と文面の更新日時の日付が違う
・hostsが読み取り専用状態だと切り替えに失敗する
 (気休めではあるが、hostsの不審な書き換え禁止のために読み取り専用属性を付けるのが一般的)
・保存したテキストでの切り替えになるが、切り替えるリストのマージや自動取り込みの機能は付いていない

今の所、このスレで公開されたスクリプトの方が用途には合っていると思われる。
知識のある人が、意図的に切り替えるのには便利なんだけどね。 <> (○口○*)さん<>sage<>07/05/22 01:17 ID:dwd/ouUN0<> 342です。
このスレで公開されたスクリプトの方が用途として合っているのは私も思ってます。
・現状Hostsファイルの内容確認
・(意図していない)hostsファイルの変更動作監視
の2点が主な目的としてあげた次第ですので、どうかなと思いまして(´・ω・`)

ただ、指摘されたReadMeの更新履歴日時の違いには、私もビックリしました(;´д`)
では、ROMへ戻りますね(´・ω・`) <> (○口○*)さん<>sage<>07/05/23 01:50 ID:aAS00Ovp0<> ttp://itpro.nikkeibp.co.jp/article/NEWS/20070522/271360/
OpenOfficeのマクロ機能を利用したコンセプトウィルス……らしい
他の脆弱性と組み合わせたウィルスが出るのも時間の問題か? <> (○口○*)さん<>sage<>07/05/23 02:42 ID:Xxf4vWDc0<> 垢ハクサイトを天安門事件関連の真実を伝えるようなページに書き換えられたらな……。

あと、垢ハクアドレスを中国国内の掲示板に転載して、中国人の日本人に
対する悪意、みたいな感じで紹介するのもよさげだなー。嘘は言ってないしね。
向こうの人間が踏んだ場合に実害があるかは知らないが、ドメイン登録した
人間が裁かれれば嬉しいな〜。まあ、妄想なんだけどね……。 <> (○口○*)さん<>sage<>07/05/23 09:36 ID:0N6o0noe0<> 中国でも猛威を振るうようなら当局は動くんだけどね

ちょっと古いけど、中国で流行ってたらしいお祈りパンダウィルスの件
>お祈りパンダの作者、ついに逮捕--獄中からウイルス削除プログラムを公開
>ttp://japan.cnet.com/column/china/story/0,2000055907,20343130,00.htm

あちらの物価の事もあるが、莫大な金が手に入るとなればちょっとやそっとじゃ
止めないだろう。
まして国外に手を出して司法の手が及ばないとなれば、止めるはずもない。

月のバイト代の数倍の金が、毎日入ってくるってのも凄い話だが…… <> (○口○*)さん<>sage<>07/05/23 21:27 ID:YzANYj9D0<> 勤務先でトレンドマイクロのウィルスバスターコーポレートエディションを
使っているのですが、定期的に来るメルマガの記事に「オンラインネットワーク
ゲームとウィルス」がありました。

TSPY_Linegが例としてあげられていて、RMT問題が背景にあることも
説明されていました

これらのウィルス(へのリンク)はゲーム関係のサイトに貼られるので、
企業の対策としては、業務に無関係なウェブサイトを閲覧しないよう啓蒙が大事、
ついでに自社製品の宣伝(不適切なサイトへのアクセス遮断)で締めくくられていました <> (○口○*)さん<>sage<>07/05/23 23:27 ID:97tNtZht0<> 一般向けのニュース報道もあってか、フィルタリングソリューションへの注目が高まりつつあるからね。
i-Filterあたりが先行してはいるけど、個人向けではまだまだ、総合セキュリティソフトの付属機能止まり。
ぷららのネットバリアベーシックの様に、副作用もあるけど、ISPレベルでブロックを掛けるのが今後主流に
なってくるかもしれない。 <> (○口○*)さん<>sage<>07/05/24 01:13 ID:RiaCPu9I0<> すいません相談させてください。2レスにわたって失礼します。
当方1月ほど休止していたものです。
その間1週間おきにカスペルスキーオンラインスキャナをかけていたのですが、
トロイが発見されてしまいました。

【  アドレス   】 不明
【気付いた日時】 5月21日
【     OS    】 Windows XP Home Edition Version2002 SP2
【使用ブラウザ 】 Fire Fox
【WindowsUpdateの有無】 今月分まで更新 自動更新もON
【 アンチウイルスソフト 】TREND MICRO ウイルスバスターインターネットセキュリティ2006(4年パック)
【その他のSecurty対策 】PG2
【 ウイルススキャン結果】 カスペルスキーオンラインスキャナで「Trojan-spy.win32.Delf.jq 」発見
【スレログやテンプレを読んだか】 Yes
【hosts変更】有 最終更新は15日前後
【PeerGuardian2導入】有 (まとめサイトのリスト2種 リネージュの中国韓国台湾リスト リネージュ危険URLリスト)
【説明】

検出されたトロイですが、発見場所は
[c\app&drv\configss\cfdemo.scr]
[c\WINDOWS\cftlemo.scr]
の2通りです。

ttp://www■mcafee■com/japan/security/virPQ2006■asp?v=PWS-WinPatch
こちらを参照するとキーロガー(?)のようです。
前述のとおりどこで感染したかは、心当たりがありません・・・・。 <> 351<>sage<>07/05/24 01:13 ID:RiaCPu9I0<> 以下これまでに行った行動を羅列します

1.カスペルスキーオンラインスキャナでトロイ発見(バスターは発見できず)
2.WindowsファイアーウォールON、バスターをアンインストール
3.カスペルスキーインターネットセキュリティ試験版DL
4.LANケーブルを引っこ抜く システムの復元を無効にし、カスペにてトロイ除去
5.HDDリカバリ領域以外を消去
7.ハードディスクから、購入時の状態へシステムを復元
8.windowsファイアーウォールON LANケーブル接続
9.再びカスペルスキー試験版をDLしインストール
10.定義ファイル更新及びWindows Update
11.カスペルスキー試験版にて完全スキャン
12.トロイ見つからず(現在)

手元のPCはリカバリディスクが付属しておらず、
また自分でも作成していなかったため、クリーンインストールはできませんでした。

PG2導入、hostの書き換え、リカバリディスクの作成、各種パスワードの変更
正規のセキュリティソフトの導入

上記のほかにやっておくべきことはあるでしょうか?
また、おかしなことはやっていないでしょうか?
どうかご助言お願いします。 <> (○口○*)さん<>sage<>07/05/24 01:14 ID:7VyfmehF0<> 本スレの話題

はてなの資本ってNTT系(だった筈)だから早い

fc2の本拠はアメリカだからね。
他アダルトなんかもやってるのでなおさら・・・


昨日取れたてのこんなセキュリティ話なんぞ・・・

友人が出来るだけ無料で(ウイルスソフトも)どうにかセキュリティを保ちたいといってきた
ネトゲしてない奴で2ちゃんは良く見る。URLは何でもクリックする
正直、ウイルスの脅威を判っちゃいないんだ…

こんな感じなのが一般的なパソコン初心者の困った所とも言えるんだけど。

以下質問
確かカスペエンジンの無料アンチウイルスソフトがあった筈だけどなんだったけな…。
&上記のように無料でセキュリティを初心者でも保ちつつネットを楽しませる方法を
みんななら如何考える?


俺の場合は
無料のカスペエンジンのアンチウイルスソフトとPG2で一部サイトブロックぐらいしか思いつかないんだけど <> (○口○*)さん<>sage<>07/05/24 01:20 ID:mQdf9JcM0<> 感染した時の被害<<ウイルス対策費用な人なら何もしなくても良いんじゃないのー <> (○口○*)さん<>sage<>07/05/24 01:22 ID:7VyfmehF0<> >>352
多分うちのPCと同じタイプの奴かな?
(VAIOはリカバリーCDが存在していないものもありこの系統のマシンは
HDDで購入時の状態に復元することでクリーンインストール状態になる)

7.ハードディスクから、購入時の状態へシステムを復元
↑この時点でクリーンインストールと同じ役割を果たしてる。

で、システム完全スキャンで出てこないなら安心していい。


このようなタイプのソフトだと自分でリカバリーディスクを作れるはずなので
説明書とにらめっこしつつリカバリーディスクを作るべき。

トレンドマイクロは最近小回りに動けるような体制になってきたのでそのまま使い続けてもいいと思う。 <> (○口○*)さん<>sage<>07/05/24 01:24 ID:jeLODitp0<> >>351
>どこで感染したかは、心当たりがありません・・・・。
怪しげなメール叩かなかったかい?
ttp://www.mcafee.com/japan/security/virPQ2006.asp?v=PWS-WinPatch

>7.ハードディスクから、購入時の状態へシステムを復元
>クリーンインストールはできませんでした。
あと、HDDリカバリ領域からのリカバリーはHDDフォーマット後のOSクリーンインストールと等価なので安心しとけ。
今回はそこまでやらんでも、削除方法はあったのだが、基本的な対応としては間違っていない。

他になにかやるとしたら、安全な環境に戻っている現時点で(このトロイが何のキーを盗んでいたかわからないので)
パスワード関係を、一切合切、新しいものに再設定しておく位じゃないかな。 <> (○口○*)さん<>sage<>07/05/24 01:37 ID:jeLODitp0<> >>354
その考えはやめて欲しい。そういった個人が被害を受けなくても、踏み台に使われて
知らないうちに加害者になっていることもあるんだ。

>>353
無料のカスペエンジンの奴ってあったっけ?
試用版を30日入れさせても、その後、更新やめちゃうから無意味だよ。

・Avast!等の無料で使えるアンチウィルスソフトを導入
・無料で使えるFWソフト導入
・PG2の導入(排除するリストをどうするかは相手によって異なるのでなんとも言えん)
・SpyBot、AD-AwareSE、SpaywareBlasterの導入(これは全部無料)
 SpyBot等を1週間に1回起動するようスケジュールする(更新ファイルは自動ダウンロードの設定で)
・Spybotのhosts追記は確実にやっておくこと。手動更新なので、様子を見に行く度に更新必須。
・ブラウザをIE以外のエンジン使ってる奴にさせるか、このスレのテンプレにあった(よな?)
 拡張子によらず内容で開く機能を切る。
・サイトアドバイザーを導入する。(初心者には分かりやすい筈なんで必ず入れさせる)
・ブラウザのホームをセキュリティソフトの設定に関する解説ページにしておく。ブックマークにも入れる。
 例えば、この辺のページなんかどうかな。
 ttp://enchanting.cside.com/security/virus.html <> (○口○*)さん<>sage<>07/05/24 01:38 ID:jeLODitp0<> 一番重要なこと忘れてた。WindowsUpdateを自動で導入に設定しておくこと。 <> (○口○*)さん<>sage<>07/05/24 01:45 ID:mQdf9JcM0<> >>357
だから加害者となるのも含めた被害がだよ

そもそも、そういう奴らは相当痛い目を見ない限り変わらないので考えるだけ無駄 <> (○口○*)さん<>sage<>07/05/24 01:49 ID:CfG7/UTJ0<> >351
十分。
必要なデータのバックアップやリストアについて触れられてないが、もしそれらを
行っていたなら、それらもウィルスチェックしておくこと、ぐらい。
リカバリした時点でクリーンインストールした事と同じのはずだし、HDDをクリアしてるから
今現在カスペで見つからなければ、ほぼ居ないと思っていい。
(絶対、とは言い切れないのがセキュリティの世界だが)

>353
セキュリティをおんぶに抱っこじゃ、何時までたっても成長しないが、無料で固めるなら
Avast!+ZA、それにPG2とhostsの更新。
つまりこのスレや本スレで言われてる対策は一通りさせる。

「ネトゲをしないから垢ハクトロイに感染しても関係ないぜ」な意見は違う。

罠サイトに置かれてるのは、「今は」垢ハクのトロイなだけで、今後どうなるかは不明。
キーロガーやバックドア仕掛けられて踏み台にされると、他人まで迷惑する。
罠サイトは踏んだら危険な事には変わりはないんだし、事前にブロックするようにした方が無難。 <> (○口○*)さん<>sage<>07/05/24 01:56 ID:jeLODitp0<> >>359
だからといって、「見逃したら、自分も含めた他人が迷惑する」ので放って置くのは忍びない。
そんな中で「なにかできることはないか」という事なんだ。

少しでも出来ることがあればやっておこうという考えを、無駄と切り捨てる位なら、
黙っててくれた方が、スレ利用者や、不特定多数の益になると思う。

無駄なことをしないのは結構。でも、有効でできる範囲のことは無駄なことじゃないよ。 <> (○口○*)さん<>sage<>07/05/24 02:10 ID:86pWVcHU0<> >353
AOLのActive Virus Shieldですね。
つかってるけどまあまあいいですよ。

ダウンロードは ttp://www.activevirusshield.com/antivirus/freeav/index.adp? <> (○口○*)さん<>sage<>07/05/24 03:45 ID:4N6zRDsG0<> もっとも無料で済ませたいとか言ってる奴は例え無料のセキュリティソフトを入れたとしても
定期的な更新とかちゃんとやるとは思えんからどのみちザル状態になりそうでは有るんだよな。 <> (○口○*)さん<>sage<>07/05/24 04:42 ID:P5/7bauw0<> >>363
そういう奴はとりあえず脅しておけ。
人の言うことを聞かない奴は可能なら強行手段だ。 <> (○口○*)さん<>sage<>07/05/24 08:31 ID:79pQBnjY0<> 俺は関係無い、セキュリティなんざ知ったことかと言う奴に限って
いざという時に慌てふためくから困る。(もしくはガクブルしながら開き直る)

そして、相談もち掛けられて「あれほど言ったのに(゚Д゚)!」なんか言いながら
それでも、渋々見てやって再インストールしか無いと言うと、
日常のバックアップすら取ってなかったりな。

353さんは優しいな。その、ご友人さんには悪いけど
逆ギレに巻き込まれないようにね… <> (○口○*)さん<>sage<>07/05/24 14:42 ID:gOMmHfql0<> ■詐欺的セキュリティソフト「WinAnti VirusPro 2007」日本語版を発見
http://internet.watch.impress.co.jp/cda/news/2007/05/24/15819.html <> (○口○*)さん<>sage<>07/05/24 15:21 ID:LVY0363h0<> Active Virus Shield入れたらIRCのログファイルのオープンに失敗する時があった。
アンインストしたら症状はなくなったが、なんだったんだろう。 <> (○口○*)さん<>sage<>07/05/24 22:06 ID:aUGOuCe7O<> 怪しげなアドレスをgoogleで検索→HITしたサイトを
すぐ下のキャッシュで表示のとこで開いたんだけど、これって危険ですか?
開いた後は真っ白な画面で何も表示されなかったから
ウィンドウ閉じたんですが…。 <> (○口○*)さん<>sage<>07/05/24 22:14 ID:8PfBfVZw0<> そこが本当に危険なページだった場合、キャッシュでもアウト。

メモ
※Google検索結果に出るから安全とは限らない
※ページが真っ白だからと行って危険とは限らない <> (○口○*)さん<>sage<>07/05/24 22:16 ID:jeLODitp0<> マイクロソフト
・Windows Defender バージョン1593
http://www.microsoft.com/downloads/details.aspx?
FamilyID=435bfce7-da2b-4a6a-afa4-f7f14e605a0d&DisplayLang=ja

・Windows Defender x64 バージョン1593
http://www.microsoft.com/downloads/details.aspx?
FamilyID=61f0c114-6ffe-4fad-8ca5-74f236e9283b&DisplayLang=ja <> (○口○*)さん<>sage<>07/05/24 22:53 ID:aUGOuCe7O<> 368 サンクス。再インストします。 <> 351<>sage<>07/05/25 04:15 ID:rFiOSlNv0<> 皆様ご助言ありがとうございます。
そしてお礼が遅れてしまってすいません。
ほぼ大丈夫、とみて良さそうですね。

>>355
了解ですリカバリディスクを作るべく、マニュアルを熟読します。
このままバスターを使い続けるのは、抵抗がありますので、カスペに乗り換える
つもりです。出費は痛いですが、より高い安全の値段としては安い、と思っています。

>>356
昨夜のうちに全パスワード変更行って参りました。
怪しげなメールに関しては、やはり心当たりがありません。
ただそちらを参照する限り、最有力の感染源かと思われます。
メールを開くときは慎重にならねばなりません。

>>360
バックアップについて記述するのを忘れておりました。
いくらか退避したデータがありますので、そちらもスキャンを行います。 <> (○口○*)さん<>sage<>07/05/25 09:19 ID:sx5yUPdu0<> ROとは関係ないけどここまでやるとはね。
「WarRock」クラン戦予約ページがウイルス感染,アクセス者は注意を
4GAMERに載ってたんですがもう何でもやってきますね。 <> (○口○*)さん<>sage<>07/05/25 11:51 ID:xXEjmOKb0<> これが癌だと、事件を隠蔽して警告・謝罪の告知が出ない気がする。


ところで他のネトゲだと、中華他のアカハックの騒ぎって0に近いんだろうか?
FFやマビ、ECOとかなら、そこそこ人が集まるネトゲなら、そういう騒ぎが
ありそうなものだけど。

他ネトゲの対策解説サイトとかがあれば見てみたいんだが、ググってもリネと
RO関係ばっかりで見つからない…… <> (○口○*)さん<>sage<>07/05/25 11:53 ID:BDPeNGDQ0<> 遅くなりました353です
皆様ありがとうございます。

>>357>>360氏、ありがとうございます。
友人はJ-COMを利用しているのでJ-COMのセキュリティサービス
も利用出来るものは利用しようと思います

>>362氏、それです、本当に助かりました。

>>364氏、やさしいのではなく踏み台にされて友人のISPから苦情来たり
接続制限もらったとき、絶対こっちにSOS来るの判ってるので・・・(--;)




ちなみに私自身はカスペルスキーインターネットセキュリティ+PG2+hostsの更新しています。 <> (○口○*)さん<>sage<>07/05/25 12:19 ID:NQMrYLzG0<> >>373-374
ここもIIS5.0だな。
例の旅行代理店と同一犯かもしれない。

あと、FF11でもアカウント盗用自体は存在した模様。
このケースは、フィッシングサイトを利用したもの。
ttp://www.playonline.com/home/polnews/news3740.shtml
こっちはキーロガーあるいはスニファと推測。
ttp://www.playonline.com/ff11/polnews/news8674.shtml
PS2や箱○ユーザーは、原理的にウィルス被害が考えにくいし。
それに、運営のアナウンスや、プログラム修正による対処が真っ当に行われている。

Mabinogiの場合は、日本より韓国で深刻だった模様。
ttp://blog.livedoor.jp/borisgoto/archives/50355789.html
ttp://g-worx.jp/mabinogi/index.php?u=korea/accounthack2.htm
国内では、公式掲示板での啓蒙効果などが効いているのか? <> (○口○*)さん<>sage<>07/05/25 12:42 ID:xUpFTOsx0<> >>374
人が集まるかどうかじゃなくて、収益になるかどうかが基準

突出してるのはリネとROのようだけど・・・ <> (○口○*)さん<>sage<>07/05/25 13:53 ID:0B+PVBAr0<> >>374
国内最大手のMMOはFFで、実際パス抜きは1つ存在した。
この犯人はROやリネ以外にもマビノギ、シルクロードオンライン、
信長の野望オンラインと手広くやっていたものの
FFで反撃(サーバ書き換え)されて消えた。

またプログラム上BOTが困難で肉入りBOTばかりだったが
最近スクエニの処分がBOT・RMT共に激化しているので
撤退気味なんじゃないかと(FFで処分された肉入り部隊が
ROなどに流れている気がする)。

FFのパス抜きは他に1つあったが、こちらはプログラム的に未熟で
スクエニのPlayOnlineのバージョンアップで阻止されている。
WoW(World of Warcraft)のハックは欧米を中心に多数存在する。
またこちらでは未確認だけど、パンヤのハックも聞いたことがある。 <> (○口○*)さん<>sage<>07/05/25 15:22 ID:JE5bNEL90<> 質問です。
ブラウザをかちゅーしゃからJaneに変えようと思っているのですが、
画像ビューワーが搭載されているJaneViewというものがあるという事を知りました。
そこで質問なのですが、偽装jpgはそのビューワーで表示されても危険なのでしょうか?
宜しくお願いします。 <> (○口○*)さん<>sage<>07/05/25 15:42 ID:xXEjmOKb0<> 参考になった。
他MMOだと「トロイ張られたので注意!」って感じなのか。

でもFFがそういう状態って事は、運営が不正の取り締まりを徹底する事でRMT市場を潰せば
垢ハク騒ぎも減るって事だよな……


>379
前スレより

>227 :(○口○*)さん :07/03/22 01:51 ID:QnFdvSPT0
>>>226
>JaneView、あるいはその改造系と言う前提で。
>ttp://jane.cun.jp/test/read.cgi/win/1039936961/212,214
>>判断してないです。Content-typeは全く見ていなくて、
>>拡張子に対応するデコーダにかけてエラーが出たら
>>Decord Errorにするというだけの処理をしてます。
>とりあえず、素のIEよりはまし、程度。
>
>それと、早急にWindowsUpdateの状態と、アンチウィルスの部分を確認すべき。出来れば設定した本人に。
>危機管理面の不備がある状態でのネット接続はリスクが高すぎる。
>WindowsUpdateの適用状況は、MSのアップデートサイトで履歴が確認できる。

という事らしい。 <> (○口○*)さん<>sage<>07/05/25 15:43 ID:JE5bNEL90<> >>380
なるほど、ありがとうございますー <> (○口○*)さん<>sage<>07/05/25 18:25 ID:0B+PVBAr0<> >>380
参考までに、海外にまで視野を向けると「どのゲームか」のみではなく
「どこの運営」あるいは「どこの認証」を通るかを見ると
各国で狙いが異なることがわかる。
たとえば現在日本向けに出回っているトロイのMaranは
ROとリネージュ(2ではなく1)のアカウントをハックするけど、
台湾向けのMaranはGamaniaのアカウントをハックする。

台湾ではネトゲの運営はGamania一強とも言える状態で、
Gamaniaをハックすればエターナルカオス(ラグハイム)のみならず
リネージュ(1・2)・メイプルストーリー・マビノギ・シールオンライン・パンヤなどを
根こそぎ抜くことができる。つまりプログラム的にはGamaniaとの認証さえ
見張っていればいいので非常に狙いやすい(ローコストでハイリターン)。
Gamania共通の仮想通貨Gashを台湾のオークションに
自動的に売り飛ばすトロイまで存在する。 <> (○口○*)さん<>sage<>07/05/25 22:41 ID:xUpFTOsx0<> JaneViewはIE版かDOE版かでも違ったような。
最近は(re)p2派なのでわからんが…。 <> (○口○*)さん<>sage<>07/05/26 12:52 ID:ai74gZ840<> ttp://blog.trendmicro.co.jp/archives/45
こちらはネトゲを狙う中華の単純な動作。
ttp://www.avertlabs.com/research/blog/index.php/2007/05/25/another-identity-theft-story-2/
こちらは(おそらく南米の)銀行系を狙うもの。
すげぇ…。本当にパズルだ…。北米とフランスで踏みまくり。 <> (○口○*)さん<>sage<>07/05/26 16:37 ID:ovT2pUdF0<> 雑談。

横取り丸&InetSpyとかをローカルで動かしておくと、
ただの空白ページなのか、なにかDLしているのかとか
記録に残って、あとあと便利だったりするかな。 <> (○口○*)さん<>sage<>07/05/26 23:58 ID:ca7xMBj30<> >>385
試してみた。結構使えるかなと思った。が、しかし・・・

・ログが最大1000件しか残らない
・ログを自動で保存してくれない

画像などがふんだんに使われてるサイトだと、1ページで50件とか消費されるので
1000件埋まるのは意外とはやい。その都度ログを手動で保存しないといけない。
何日か前まで遡りたいと思ったら、ちょっと使えないソフトになっちゃうね。
でも踏んだ直後に限定するなら十分使える。
できれば、HTTPヘッダを除いたサイズも出してくれるとありがたいんだけど。 <> (○口○*)さん<>sage<>07/05/27 03:01 ID:Fs4/Jsmb0<> 横取り丸自体はプロキシでしかなく、
InetSpyはサンプルアプリでしかないので、
わかる人が参考にして改造してくれれば、きっと‥‥。

と、他力本願状態。
gif,jpg最大1000件+html最大N日くらいがいいのかな。 <> (○口○*)さん<>sage<>07/05/27 05:22 ID:o9r3RtDy0<> 本格的に使いたいなら、delegateあたりを放り込んで、自家proxyとして運用した方が良い希ガス。
WindowsバイナリもLinux/BSD系パッケージも存在するし。
退役寸前の低スペックPCでも実用になるくらいの処理でもある。 <> (○口○*)さん<>sage<>07/05/27 06:47 ID:DuHndWDZ0<> すこし相談なのですが、
自分はPG2を入れており、禁止リストにテンプレのラグナ用のと
リネージュ資料室のリネ用&中韓台を弾くやつを入れています。

知人がアカハックアドレスを踏んで感染してしまったので、
PG2の導入を勧めてみようと思うのですが、
禁止リストは中韓台も入れたほうがいいでしょうか?

よく防いでしまうのはWikipediaぐらいで、
それを見るときは解除しているのですが、
知人はあまりPCに詳しくないようで…
(アンチウィルスソフトも期限切れのまま放置していたみたいでした)

未知のに対応できるかもという点では3つともリストに入れるのがいいとは思うのですが、
使ってる方や他人に進めてる方は中韓台のも入れている&入れるように言ってますか? <> (○口○*)さん<>sage<>07/05/27 07:36 ID:8YpacnXB0<> >>389
まず、その知人にはWindows Updateをするよう言っておいた方がいい。
それが最優先事項。Windows Updateしていたのに感染したのなら、
どこのサイトを踏んで感染したか教えて欲しいところ。
アンチウイルスソフトももちろん更新すること。

でPG2だけど、中韓台ブロックに関しては、知人があまりネットに詳しくないのであれば、
無理に勧めない方が良いと思う。以下の条件を満たすなら、勧めても良いと思う。

・国を丸ごとブロックするため、ブロックされたサイトの大半は無害である可能性が高いことを
 良く理解しておく。そしてブロックされても動揺しない。
・ブロックされた場合、ブロック先を調べて安全かどうか判断できる。
 または趣味での閲覧なら、ブロック先の閲覧を諦めることができる。
・仕事やセキュリティ関連のアップデートなど、どうしても繋がなければならないときに
 ブロックされた場合、安全かどうかを判断してブロックを外すことができる。 <> (○口○*)さん<><>07/05/27 19:40 ID:CSzQM+R30<> こちらで質問していいのか分からないので場違いでしたらすみません。
先ほどネットサーフィン中に急にノートンが反応したので、ウィルスバスターのオンラインスキャンを試したところ
(恥ずかしながらソフトは購入時についていたノートンのみ、しかも2月に更新が切れたままでして)
VBSScript?の一種のようなものが発見されました。(結果表示では駆除されています)
正式名称はVBS_PSYME■YVというもので種類はTrojan?とかいうものみたいです。
これはアカウントハックと関係がありますでしょうか…

ちなみにウィルス反応があったときはROは立ち上げていませんでした。(それから一度も起動していません) <> (○口○*)さん<>sage<>07/05/27 19:40 ID:CSzQM+R30<> あげてしまいましたすいませんorz <> (○口○*)さん<>sage<>07/05/27 19:57 ID:E+/hlPlV0<> >>392
上げたのは無問題(緊急事態だし)

もう一度ウィルススキャン掛けて
(http://www.kaspersky.co.jp/scanforvirus/あたり)

>>3あたりを読みながらチェックが終わるのをまって、
画面が出たら、結果を保存(HTML形式で出来る)
それすら出来ないなら画面を携帯のカメラか何かで撮影。

と、とりあえずこれだけ。 <> (○口○*)さん<>sage<>07/05/27 21:40 ID:AtVYh7qq0<> >>391
名前からすると関係している可能性が高いが、本体を入手・稼動まではさせていない気がする。

悪意のあるプログラム(トロイ本体)をダウンロードさせようとするスクリプトを踏んでしまったのだろう。
本体を入手していなかれば一安心だが、本当に本体を入手する前に切断できたのかは自己責任で
判断しなければならない。

但し、ノートンが反応したということは、ブロックできている可能性が高い。(見つかったのも、IEのキャッシュとか?)

とにかく、スキャンして、そのログから正確に報告を。 <> 391<><>07/05/27 22:47 ID:Z/wLkq2/0<> >>393
あのあと慌てて対策を見に行って回線を切ったほうがいいとあったので
レスを見る前に切ってしまいましたorz意味ないですねすいません
先ほどカペルスキーセキュリティーソフトを買ってきてインストールして今完全スキャン中です。
スキャンが終わるまで繋がないほうがいいかと思ったのですが
レスが気になって繋いでしまいました。(切ったほうがいいですかね?)
とりあえず保存はちょっとしそこねてしまったので、今スキャンしていて何か引っかかったら残しておきます。

>>394
一応ぐぐってみたら関係がありそうな気がしたのでかなり震えていたのですがその話を聞いて結構安心してきました…
カペルのスキャンが終わったらまたご報告に来たいと思いますのでよろしくお願いします。

書き込んだすぐ後にROのパス関係やメルアドは、長年の付き合いのある友人に電話でお願いしておきました。
それではちょっと遅い夕食を取ってきますorz <> (○口○*)さん<>sage<>07/05/27 23:16 ID:WeDE6g/a0<> 稀に友人がかかっているという場合もありますので、その点もよく確認してからのがいいですね。
あと、カスペルスキーです。 <> (○口○*)さん<>sage<>07/05/28 02:44 ID:5EGqUI7k0<> ネットワークからの遮断は、全てにおいて優先する、とは限らない。

Semplice:ネットワークから隔離すべき?マルウェアに感染したパソコンと対策
ttp://blog.lucanian.net/archives/50863316.html
Semplice:古い定義ファイル・エンジンで、ウイルスはどれだけ検出できるのか - アンチウイルスソフト評価
ttp://blog.lucanian.net/archives/50855056.html

ウィルス対策ソフトが、ネットの介在無しには不完全である以上、適宜状況判断は必要。

Semplice:オンラインスキャンによるウイルス検索サービスと対策
ttp://blog.lucanian.net/archives/50867285.html

ただ、PCをモデム等に直結するのではなく、ルータやゲートウェイを介することによって、アウトブレーク的な事態に
あってもある程度制御下に置くことのできるメリットは大きい。 <> 389<>sage<>07/05/28 02:45 ID:N1B0Ke+c0<> >>390
遅くなりましたが一応報告です。
知人はWindows Updateをやっておらず(存在すら知らず)、
サービスパックもあてていませんでした。
どこでウィルスを踏んだかはよくわからないみたいです。

カスペルの試用版で駆除をし、
SP2とアップデートそしてもう一回オンラインスキャン
&何かしらのウィルスソフトの導入をするようには伝えておきました。
(時間と不安があるならクリーンインストールも)

ブロックも中韓台湾までブロックするとぱにくりそうなので、
今回はラグナとリネ用のだけで教えてみます。
アドバイスありがとうございました。 <> (○口○*)さん<>sage<>07/05/28 08:02 ID:Z8esTVpC0<> >>398
おつかれさま

職場でお友達と似たレベルの人たちと接する機会が多いのですが、
ウィルスバスター6(7)にして楽になりました

ウィンドウズアップデートをチェックする「セキュリティチェック」という
項目があって、ウィンドウズアップデートを定期的にソフトの方で
チェックしてくれて分かりやすいようです。

自分個人はカスペを使っていて、VBを使う気はないですが、
初心者に勧めるならVBかなあと思っています。

あと、SP2にした場合、機種によってはクリーンインストールが
めんどくさくなるので、そのあたりちょっと要注意かもしれません。 <> 391<>sage<>07/05/28 09:02 ID:+1wyEbHI0<> >>396
ソフトの名前間違えて覚えてましたね。恥ずかしいorz

>>367
ご丁寧にありがとうございます。
早速読ませてもらいましたがまさに私のことのようで勉強になりました…


書き込んだ後回線を切って一晩完全スキャンにかけてみたところ何も発見されませんでした。
これはもう大丈夫と見ていいのでしょうか?(ROを立ち上げても平気かどうか…)
他にこれはやっておいたほうがいいというのがあったりしたらアドバイスいただければ幸いです。


あとこちらは別の質問になるのですが
上で最近のはカスペルを抜けてくるようになったとあるのですがどうなのでしょうか?
二種類以上を使うのがいいのでしょうが、金銭的にすぐにもう一つの導入は難しくて…
それと、総合スレに一応報告は載せたほうがいいでしょうか?
質問ばかりで申し訳ありませんが、分かる方お答えよろしくお願いします。 <> (○口○*)さん<>sage<>07/05/28 09:44 ID:bUNnp6JX0<> >400
>上で最近のはカスペルを抜けてくるようになったとあるのですがどうなのでしょうか?
ちょっと前はNOD32、最近はカスペを抜けるトロイが出て来てる。
これはトロイ作者が意図的に見つからないように作ってるだけだが、そもそも万能の
アンチウィルスって代物は存在しないので、これは別に不思議でもなんでもない。

カスペもNOD32も検体を送れば、ほぼ即日(早いと数時間)で対応してくるし、対応の速さは
群を抜いてるから、現状お勧めのアンチウィルスソフトである事には変わりは無いと思う。

>二種類以上を使うのがいいのでしょうが、金銭的にすぐにもう一つの導入は難しくて…
複数のアンチウィルスソフトをインストールするのは勧めない。
干渉しやすいし、Windowsそのものの挙動が変になる事が多い。

単一のアンチウィルスソフトで不安なら、オンラインスキャナー系を併用するのも1つの手。
例えばPCにはNOD32で、気になった場合にカスペのオンラインスキャンを使う、みたいな感じで。

>それと、総合スレに一応報告は載せたほうがいいでしょうか?
別に要らないと思うが、もし報告するならテンプレに沿った形で報告を。
このスレと本スレは両方見てる人が大半だと思うけどね。 <> (○口○*)さん<>sage<>07/05/28 10:55 ID:bUNnp6JX0<> 書き忘れ

各種アンチウィルスソフトは基本的に「踏んだ後」の対策。
ここで検出漏れが起きると被害に遭うから、性能・評判の良いものを使いたいのは
当然だけど、そもそも「踏んでも平気」な状態にしておけば被害には遭わない。

hostsの更新やPG2の導入は、既知の危険サイトの閲覧・クリック・情報送信を阻止できる。
WindowsUpdateは脆弱性を突いた罠の発動を無効化する。
非IE系ブラウザの導入はトロイの自動DLを阻止する。
非Windows系OSによるネット閲覧環境の構築は、発動を無効化する。
仮想PCの利用は、罠を踏んだ場合でも簡単にリセット出来る。

アンチウィルスソフト以外にも各種対策があり、それらを使えばより効果的。
踏んでも罠サイトに飛ばない・飛ばされてもトロイがDLされない・DLされても感染(発動)しない、と
いった形で事前に防げる。

本スレやこのスレでWindowsUpdateやhostsの更新・PG2の導入を勧められるのはそのため。
アンチウィルスソフトの導入と同様、これらは必須と思ったほうがいい。 <> 391<>sage<>07/05/28 11:57 ID:+1wyEbHI0<> >>401-402
なるほど、勉強になります。
確かにカスペをインストールするときにノートンを削除していたので
いくつもソフトを入れても平気なのかなと思っていたのですっきりしました。
WindowsUpdateは自動更新にしてありますが先ほどチェックしたところ特に更新はないようでした。

それとPG2?というのもこの機会に入れてみようと思い、
まとめサイトを見ながらやってるのですが途中でよく分からないことに…
リスト追加をしたのですが、アップデート中の表示になりません。これはどういう状態なのでしょうか…? <> 391<>sage<>07/05/28 12:06 ID:+1wyEbHI0<> すみません、PG2のことは自己解決しました。
リストを一旦閉じないとアップデートされないんですねorz
聞いてばかりで申し訳ないです。

あと総合への報告はいいのではと聞いたので控えさせていただきます。
詳しくどこで踏んだかちょっと特定できないので意味ないと思いましたので…

それでは2日ぶりのROを楽しんできます。
答えてくださった方々、本当にありがとうございました。 <> 391<>sage<>07/05/28 16:48 ID:+1wyEbHI0<> 何度もすみません、またちょっとよく分からないことが起きているので質問させてください。
露店をしたまま裏でネットサーフィンをしていたのですがROが突然落ちてしまいました。
重すぎたのかな?と思い、使ってないソフトを閉じて再びROを立ち上げようとしたら
プロアクティブディフェンス警告?とかいうのが出てしまいました。
(疑わしい動作 Suspicious driver installation
 プロセスを実行します ...\RagnarokOnline\GameGuard\GameMon.des)
一度目はよく分からないので処理を許可して再びROを立ち上げようとしたのですがまた同じものが出てしまいました。
これはどういった状況なのでしょうか?
そいて処理を許可をしてもいいのでしょうか? <> (○口○*)さん<>sage<>07/05/28 17:15 ID:el+BciqF0<> nProtect GameGuardそのものが怪しげな行動をするので検知される。気にせず実行。

nProに限らずセキュリティソフト自体がネットワークやファイルの入出力を監視するなど
スパイウェア等と見た目の動きは変わらなかったりする。
複数のセキュリティソフトを入れるとトラブルが起きやすいのもお互いに探知し干渉してしまうため。
洗剤の「混ぜるな危険」みたいなもん。nProを通さないとROはプレイできない。 <> (○口○*)さん<>sage<>07/05/28 17:18 ID:bUNnp6JX0<> >405
それはnProなので許可してOK。

nProはプロセスを隠して動作するが、そういう動作はウィルスがよく使う手法でもある。
そのためカスペが警告を出してきただけ。
詳細は「rootkit」で調べたら判ると思う。

ちなみに、これのためにnProがウィルスと変わらないと言われる理由にもなってる。 <> 405<>sage<>07/05/28 17:22 ID:+1wyEbHI0<> >>406
すごく分かりやすい回答をありがとうございます。
今引っかかってるのはnProなんですね。
ということはこれは信頼ゾーンへの追加、という形にしてOKでしょうか? <> 405<>sage<>07/05/28 17:24 ID:+1wyEbHI0<> >>407
レスをつけている間にこちらもありがとうございます。
なるほど必然的に同じようなあやしい動きになってしまうんですね。
許可してOKとのことなので信頼ゾーンへ追加ということにしておきます。
(こうすれば次回からはスルーするようになるんですよね?) <> (○口○*)さん<>sage<>07/05/28 19:58 ID:T3WuChj10<> >>409
次回、nProが更新され、ファイルが変わると再度問い合わせが出る可能性はある。 <> (○口○*)さん<>sage<>07/05/29 00:37 ID:OYqXLWzt0<> >本スレの解析の人

超なむ。検体を間違って踏んじまうとすっげー悔しいんだよな。 <> (○口○*)さん<>sage<>07/05/29 00:39 ID:5uxUM/ue0<> 質問失礼いたします。
ttp://learn-to-fly■sakura.ne.jp/rocounter/rocounter■html

こちらのURLはROのカウンター用のキャラクターグラフィックを配布なされている
learn_to_fly様のダウンロード用のページでして、
最近は癖でソースチェッカーにかけてから飛ぶようにしているのですが、
左フレームをソースチェッカーにかけたところ、安全度0の危険URLの一つと表示されてしまいました。
既存の危険URLなどへのリンクは無いようで、チェッカーによると
※ 注意!一部タグが大量に使われています。との事なのですが、
あくまで一部タグが多いから処理を重くするぞと言うような警告という事であっているでしょうか?
申し訳無いのですがお答えを頂けたら幸いです。宜しくお願いします。 <> (○口○*)さん<>sage<>07/05/29 01:48 ID:OYqXLWzt0<> >>412
ソースチェッカーの判定基準がわからないが「・チェック結果を間違える誤診が無いわけではありません」と
サイトには明記されている。

swfはチェックできないし、多量に存在するので危険と判断しやすいかもしれない。
(個人的にはfc2のアクセス解析が引っ掛かったんだと思いたい)

>あくまで一部タグが多いから処理を重くするぞと言うような警告

処理の重さでの判断はしてないと思う。というかそんな判断はできないでしょ。人によって回線やPC能力は異なるから。
スクリプトでフラッシュ画像読ませるのばっかりで、文面が殆ど無いとか、誤診されやすい構造だとは思うよ。 <> (○口○*)さん<>sage<>07/05/29 01:58 ID:5uxUM/ue0<> なるほどー、何やら難しい事になってそうですね。
いかんせん危険URLという表示とfc2の組み合わせだったものでドキッとしてしまいまして・・・
ありがとうございました。 <> (○口○*)さん<>sage<>07/05/29 02:13 ID:X2b+WpDl0<> 少々質問。

本スレで話題になってたhuaを拾いに行こうとしてplayboss-jpにPingを撃ったら
PG2が中韓台リストに反応してブロック。
でもそのままwgetで拾いに行ったら検体が拾えたのですが……

表示されたIPは共に203■171■230■39ですが、wgetではPG2はスルー。
変だと思ってIriaも使ってみたけど、こちらもスルー。
でもPingはブロックされてます。

この現象、自分だけでしょうか? <> (○口○*)さん<>sage<>07/05/29 07:23 ID:+g6J8TRG0<> >>415
当方の環境ではPING,WGETともに正常にブロックされます。
HTTPを許可にしてるということはありませんか?

HTTP許可 ⇒ ポート80(http),443(https)は素通し、他はブロック <> (○口○*)さん<>sage<>07/05/29 09:21 ID:7D97gFyQ0<> 起きてから試したらブロックされました(汗
昨夜は気づかないうちにhttpブロックを触ってたんだろうか?

お騒がせしましたorz <> (○口○*)さん<>sage<>07/05/29 14:02 ID:2gRfcDV+0<> プロンテラ十字路にこんなチャットが立っているのですが

宣伝:http://www■rojapan■jp

垢ハックサイトでしょうか?
危険であれば勧告チャットを隣接して出したいと思います <> (○口○*)さん<>sage<>07/05/29 14:24 ID:+g6J8TRG0<> >>418
一見した限りはまともなサイトに見えます。
RO関連のリンク集みたいですね。ロゴはYahoo Japanのパクリか?
リンクの数が半端じゃないので、全部調べるのは大変そうです。 <> (○口○*)さん<>sage<>07/05/29 14:26 ID:2gRfcDV+0<> そうですかー
危険じゃなさそうなので放置しておきます
しかしこのご時世に紛らわしい・・・ <> (○口○*)さん<>sage<>07/05/29 15:03 ID:cAqzBNCw0<> >>418
ウチのサイトに先日そこの管理人からリンク報告が来てた。
jpドメイン(comとかより審査基準が高め)というのも踏まえ、多分問題は無いと思われ。 <> (○口○*)さん<>sage<>07/05/29 15:30 ID:nvwKD7O20<> >>418
JP WHOIS/JPRS ( ttp://whois.jprs.jp/ )でrojapan■jpを調べると
登録者の情報が出てくるよ

DNSの情報は
# DNS: www.rojapan.jp
202■93■91■187
202■93■87■154
202■93■87■249

WHOISでIPアドレスを調べるとヤフー株式会社管理になっていた <> (○口○*)さん<>sage<>07/05/29 16:08 ID:/Lx0srVE0<> >>422
そのIPアドレス、www.geocities.jpを引いたときのと一致するな
Yahoo!ジオシティーズ使ってるみたいだ <> (○口○*)さん<>sage<>07/05/29 17:09 ID:OYqXLWzt0<> 鯖板に貼られたリンク。確認した所、ソースの中にはっきりとファイル名がありました。
ソースチェッカーオンラインでは、安全度100%と出ますが信用しないように。
ファイル自体は、Maran.FFのようです。

http://www■blog-ekndesign■com/wiki/see■exe


1 Saraの中の名無しさん 07/05/29 16:49:11 ID:vDHKlg1c
もう限界デスヨ

ttp://www■blog-ekndesign■com/wiki/
↑に引っ越しました。
MSNとここのGv動画のログだけ移しました。
というわけで今後は上のリンク先で更新します。 <> (○口○*)さん<>sage<>07/05/29 17:17 ID:Tq0lZgHq0<> 素人考えだけどソースチェッカーでチェックした後文字検索でexeとか
ウイルス系の単語を検索かけたりするのはどうかな <> (○口○*)さん<>sage<>07/05/30 10:22 ID:HaE18Dd20<> 確実とは言えないけど判断材料にはなるね。

ソース内に
・exeやcurが書かれている
・Microsoft.XMLHTTPやAdodb.Streamという文字列がある
・意味不明の大量の文字列がある

自分の場合、これらがあれば9割方罠サイトと判断。
もっともこれらが無いからといって無害というわけじゃないけど、一応の
目安にはなると思ってる <> (○口○*)さん<>sage<>07/05/31 12:17 ID:jHUGDf+60<> www■mbspro6uic■com/mbsplink

ソースチェッカーでチェックしたらもぬけの殻だが今朝書き込まれていたので
近いうちに罠ファイル置かれると思う

ところで中華に徹底的にガンホーなめられてるな。
某掲示板で見たけどオフミのお知らせの文章で書き込まれてたよ <> (○口○*)さん<><>07/05/31 12:54 ID:X3tTSuFT0<> Firefox 2.0.0.4更新age <> (○口○*)さん<>sage<>07/05/31 19:53 ID:PnTULBs50<> >>428
ありがとうございます 早速アップデートしました

Firefox(にNoScript入れた物)慣れるとIE時代より遙かに
楽な今日この頃 <> (○口○*)さん<>sage<>07/05/31 21:30 ID:qFPStLJE0<> おなじみ福建人、カゴメの野菜生活ネット進出。
www■yasai-web■com/cgi-bin/page/my_page■cgi?MEMBER=14455

いやはや無差別ですね、一応運営に苦情メールを発射したがどうなることやら。 <> (○口○*)さん<>sage<>07/05/31 21:38 ID:9wq/rw1e0<> >>427
mbspr.htm → mbsp.htm mbsp.cur xiaogui.exe
2週間前から変わってないよ。 <> (○口○*)さん<>sage<>07/05/31 21:41 ID:emJUivsa0<> >430
aehatena-jpのアドレスが書かれてるのを確認。

というか、そんな所にまで進出する福建省人に感心するべきか、そんな所に
進出した福建省人を補足した>430に感心すべきか、マジで悩む…… <> (○口○*)さん<>sage<>07/05/31 21:51 ID:9wq/rw1e0<> 野菜たっぷりスープパスタになんか笑っちゃった。
アメリカのバイアグラやシアリス、日本の出会い系みたいなもんで
書ける所には何処でも書けみたいなもんなんだろうな。 <> (○口○*)さん<>sage<>07/05/31 22:05 ID:IBBtGI400<> 怖くてソースしか見てないんだが、アクセス数が43とかあったのが気になった。
そこを利用する人はROやらやってないと思うが、何人か踏んじゃったんじゃないかねぇ…… <> (○口○*)さん<><>07/05/31 22:15 ID:X3tTSuFT0<> そういった全く別の層に感染させて、除去されないようならBackDoorでクレカやオンラインバンク、SNSやIMなどの
個人情報トロイに入れ換える多方面作戦かもしれないな。
何にせよ、用心するに越したことはない。 <> (○口○*)さん<>sage<>07/06/01 03:17 ID:+JL67nuO0<> トレンドマイクロ、ページの安全性を色別に表示するプラグインを提供
ttp://internet.watch.impress.co.jp/cda/news/2007/05/31/15901.html

マカフィーのSiteAdvisorと同じ機能だな。しかもウィルスバスターユーザーのみ。なんだかなぁ。 <> (○口○*)さん<>sage<>07/06/01 05:33 ID:4Pog0IZN0<> 雑談系が入るのでこちらで

先日対策スレ7に書いたmixiのいろいろなROコミュに垢ハック書き込みされていたのはやはりmixiのアカウントが乗っ取られていたものと報告がありました。
それとは別の話題だけど、通常の掲示板にmixiのニックネームとmixiのIDが付けられた名前でスパムや垢ハックが書き込まれていたという話題もあったので投稿系トロイ?でも出現?

ソース:
RagnarokOnline@Iris コミュニティの
生体3での狩り トピックのNo.12とNo.14
(今日あたりトピック削除と予告あるので確認はお早めに) <> (○口○*)さん<>sage<>07/06/01 10:02 ID:JxUOiNuY0<> その元になったmixiの垢ハクはどういう手段で行われたんだろうか。
Maran等のRO系の罠から情報が漏れたのか、別種のトロイにやられていたのか。

>430とか、中華は一般ページにも進出してきてるし、今後は一般サイトのハックは
増えるだろうね。

独自ドメインと違って運営に通報ぐらいしか手がないから、こちら側は気をつけるみたいな
有効な対策ってのが無い。
中華は今はRMT目的が主だが、銀行系情報やらを抜くタイプも設置されると、今以上に
ヤバい事になるし。

ブラウザにあるポップアップブロック機能みたいなので処理できればいいだけどねぇ。 <> (○口○*)さん<>sage<>07/06/01 13:35 ID:R5jC/zuQ0<> >>436
McAfeeやDr.WEBの奴のほうがよさそうだなぁ。 <> (○口○*)さん<>sage<>07/06/01 15:47 ID:zth7cZuk0<> http://www■ragnarokonline■com/jp/r_main■htm

知り合いがこのURLを踏んだらローカルに怪しいファイルが生成されたと騒いでるんだけど
このURLは垢ハクURLか分かりませんか? <> (○口○*)さん<>sage<>07/06/01 15:59 ID:bWkUsfao0<> >>440
その/jp/…以下はよく知らないけど、
ragnarokoniline■comってGravityのサイトで、各国の公式へのリンクだよね。 <> (○口○*)さん<>sage<>07/06/01 16:02 ID:7tMaUd3H0<> >>440
ページがない上にエラーページにも不審点なし。

ragnarokonline.comは各国のRO公式ページへのリンクサイトで、
Gravity社が所有・運営している。

「怪しいファイル」ってのがなんだかわからないけど
そのURLが原因である可能性は薄いのでは。 <> (○口○*)さん<>sage<>07/06/01 16:04 ID:CB1WMNRQ0<> どう見ても404 <> (○口○*)さん<>sage<>07/06/01 16:51 ID:7uOjaRUo0<> 先ほどPG2の履歴を見ると、16時30分くらいに

名前KOREA で送信先61.78.35.29:6060

をブロックしていました。
WHO ISで検索してみましたが、見方がよくわかりません…。

その時間何を見ていたんだろうと思ってスレイプニールの履歴を表示しようと
したら、何故か履歴が全部消えてましたorz

これが一体なんのIPなのか分かる方いないでしょうか〜(´・ω・`) <> (○口○*)さん<>sage<>07/06/01 17:04 ID:R5jC/zuQ0<> 先方が何か踏んづけて踏み台になって無差別に攻撃してるだけじゃねーの?
ウイルススキャンした結果クリーンだったとしてだがな。 <> (○口○*)さん<><>07/06/01 17:32 ID:U1RubVJe0<> >>444

>inetnum: 61.78.0.0 - 61.85.255.255
>netname: KORNET
>descr: KOREA TELECOM
>descr: KOREA TELECOM Internet Operating Center
>country: KR
割り当て自体は一般のISP。個別ユーザーが個人かPC房かまでは判らないが。
対象のportについては、可能性の高いものとして、
ttp://kikuz0u.x0.com/td/?date=20060714#p01
ttp://d.hatena.ne.jp/hanazukin/20060818/1155863681
このあたりを狙ったポートスキャンかと思われ。

予防の基本だが、使わないportはルータで閉じておくのが安心。 <> (○口○*)さん<>sage<>07/06/01 17:42 ID:re/s+kZn0<> inetnum:61.78.0.0 - 61.85.255.255
netname:KORNET
descr:KOREA TELECOM

Port6060を使うウィルス:W32/Lovgate・W32.Spybot
Port6060を使うアプリ:Oracle

そのIPの持ち主のPCが感染してた、に一票。 <> (○口○*)さん<>sage<>07/06/01 17:52 ID:lB8UEImk0<> んpろ <> 444<>sage<>07/06/01 18:11 ID:7uOjaRUo0<> >>446
なるほど〜。わかりやすい解説ありがとうございます。
使ってないportは閉じて置く方がいいんですね。
使っているルーターとportのことを調べてやってみようと思います。
ここで閉じるportは送信先の6060ではなく送信元のport(1214)でいいのかな…。

>>447
これだけの情報からそんなことが分かるんですね〜。

アカウントハック関係の物ではない、ということでいいのでしょうか。

素早いレスをありがとうございました。 <> (○口○*)さん<>sage<>07/06/01 19:22 ID:AWRZXCfu0<> >>444,449
送信元が外部で、送信先が自分だとポートスキャンということになるけれど、
この場合逆だから、ポートスキャンではないと思われ。
通常はルーターでブロックされるはずだけれど・・・

ポートが開いているとは、自分のPCが外部の要求を受け付けているということ。
例えば、あなたのPCがWEBサーバーであれば、外部からあなたのPCのポート80番に
接続すれば、外部の人はあなたが公開しているHPを見れることになります。
そしてそのポート80を閉じると、あなたのHPは外部から見れなくなるわけです。

上記の例でポート80を開くためには、ポート80に来た要求を受け付けるための
プログラムがあなたのPC上で動いている必要があります。またルーターがポート80
への要求を受信したときに、あなたのPCへその要求が来るよう設定しなければなりません。
(ルーターにPCが2台以上繋がってたら、どのPCに要求を投げて良いかルーターは分かりませんからね)

逆に言うと、そうなっていなければ、外部から見て、あなたのPCのポート80は閉じられているということになります。
(ポート80で例を出したけど、何番でも同じことです) <> (○口○*)さん<>sage<>07/06/01 19:44 ID:JnLP6Se20<> >>440
重力運営時代の jROトップページの URLだった気がします。
長らくほったらかしのサイトには、そのリンクがまだ残っているかもしれません。 <> ◆qs5rUfO6Bo<><>07/06/01 20:30 ID:rm+Oi+qP0<> アドバイスお願いします。

今のクルセパラテンプレの前身だったフリーのWikiのフロントページを凍結して
そのまま数年放置していた者です。

アカウントハック総合対策スレ7
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1177507128/662
でメニューバーを凍結し忘れていたことに気づき、

1.メニューバーを削除
2.管理者にWiki削除依頼
3.新しいメニューバーを作り、それをPWで凍結
4.その他貼られているリンクのあるページの内容を削除して凍結を繰り返す

ここまで済ませ、一応アカハックアドレスの形跡は私の目に届く
範囲では無くなりました。

ここから何をすれば良いでしょうか? <> 452<>sage<>07/06/01 20:42 ID:rm+Oi+qP0<> クルセスレの方で、「中間ページ抜けてたと言うことかな?」という
質問を頂いていますが、使っていたフリーのWikiには中間ページは
抜けていたというより、そもそも設定が無かったようです。

そう言う場所に、前のURLで迷子になる人がいるかもしれないからと、
(アクセスが若干あったので)半端な対策をしてWikiを残してしまった
ことは許されない事だと深く反省しています。

とりあえず、2のメールに追記して、トロイがダウンロードされるURLへの
リンクを貼られた事を報告するメールを出してきます。 <> (○口○*)さん<>sage<>07/06/01 20:42 ID:L7UAaTyk0<> >>452
もうやれる事はやってる。
今はWikiが削除されるのを待つしか無いと思う(´・ω・) <> 452<>sage<>07/06/01 20:56 ID:rm+Oi+qP0<> >>454 有難うございます


後悔先に立たずです。

フリーWikiの管理者に、ID とパスワードを連絡しておけば、
基本認証のプロテクトが可能でしたので、迷子対策のために
残すのであれば、そのプロテクトをやっておくべきでした。 <> 444<>sage<>07/06/01 22:50 ID:7uOjaRUo0<> >>450
つまり私のPC上でポート1214を利用するようなプログラムが起動していた
ということになるんでしょうか?

PG2はルーターでブロックされていれば反応はしないですよね。

もし問題があるのなら調べて対応したいと思います。放置しても大丈夫でしょうか? <> (○口○*)さん<>sage<>07/06/01 23:02 ID:R5jC/zuQ0<> >>456
Kaspersky等でウイルススキャンしてクリーンなら放置するか
不安だからリカバリするかは自分で決めてくれ。 <> 450<>sage<>07/06/01 23:30 ID:AWRZXCfu0<> >>456
いあいあ、送信元のポート番号はあまり気にしなくて良いです。
適当に空いてるポート番号が割り当てられるだけなので。
例えばIEを複数起動したら、それぞれに別のポート番号が割り当てられます。
でないと、WEBサーバから返事を受け取ったときに、
どっちのIEがそれを受け取れば良いか分かりませんからね。
ポート番号を気にする場合は、通常送信先の方だけを見ておけばよいです。
(相手から通信を開始する場合は、自分のPCが送信先になることに注意)

外部からポートスキャンなどで接続を試みてきた場合は、ルータでブロックされるので
PG2は反応しません。逆にあなたのPCが外部に接続を試みる場合は当然ながらPG2は反応します。

KOREAでブロックされても、あまり気にしない方が良いです。
アカハックサイトのほとんどはChinaであるというのもありますが、
国を丸ごとブロックしてるので、どっちにしても大抵は無害です。
最悪有害であっても、ブロックされてるうちは大丈夫です。 <> 444<>sage<>07/06/01 23:40 ID:7uOjaRUo0<> >>457
わかりました。スキャンでは何も検出はされませんでしたが、すこし不安です。
リカバリーする方向で考えます。

どうもありがとうございました。 <> (○口○*)さん<>sage<>07/06/02 01:09 ID:5m7RxzuT0<> PG2の動作について不安に思ってるのに
なぜPG2の動作について調べようともしないのか全くの意味不明
日本語訳されていて誰でも読めるんだけどな

ちょっと他人に甘えすぎなんじゃない? <> (○口○*)さん<>sage<>07/06/02 02:33 ID:4cXIt3wA0<> そもそも>>448で答えが出てるわけだが <> (○口○*)さん<>sage<>07/06/02 06:15 ID:7gnJWOOp0<> >>461が出てくるまで>>448が何を意味してるのかさっぱり分からなかった <> (○口○*)さん<>Sage<>07/06/02 06:19 ID:53jyUpiL0<> A=D神速目指しエタアコ日記メインにもそっと
日記以外は亀更新

( ゚д゚)<騎士に偏愛 変態発言にお気をつけて
http://www■rinku-livedoor■com


いろんなブログで同じ内容のものを見かけたので・・・ <> 444<>sage<>07/06/02 06:54 ID:hsiFUFlx0<> >>458
すみません昨夜書き込んだ後もレスの存在に気づいていませんでした。
ブロックされているから大丈夫ということはわかっているつもりだったので
すが、直前にPCの動作が不安定になっていたことなどから何か踏んだのかと
パニックになってしまって。
再度の説明どうもありがとうございます。

そしてこれはnProだということなんですね。今やっと気がつきました。orz
長々とコテつけてスレ汚し失礼しました。
PG2のサイト読んで出直してきます。 <> (○口○*)さん<>sage<>07/06/02 06:56 ID:0HOExWdD0<> >>461-462
たしかに>>444のIPでググると、nProであるようなことが書かれてるねえ。
でも、うちの環境では、そのIPでブロックが出たことは一度もなし。
もちろん、ROはプレイしてますし、韓国、中国、香港、台湾はPG2でブロックしてます。
どういうことなんだろう??? <> 465<>sage<>07/06/02 07:56 ID:0HOExWdD0<> 特定の条件を満たしたときだけ、そこに繋ぎに行くとか普通にありうるか・・・
ブロック履歴も出てないし、気にしなくていいかな。 <> (○口○*)さん<>sage<>07/06/02 09:49 ID:ZDQhgQiV0<> >>65
の、やっとけ行為の中に再インストールがあるんだが、
これってPC付属のリカバリCDからホイホイとやるだけで良いんでしょか。
上のほうに「HDDからのリカバリ」や、「再インストール」といろんな単語が飛び交ってどの単語がどの行為をさすのかがいまいちあやふやで・・・

下手にメーカーPCは買うもんじゃねーなぁ・・・ <> (○口○*)さん<>sage<>07/06/02 10:01 ID:1YXYgLeZ0<> メーカーPCが悪いんじゃない
それを使い切れてないお前の問題だ <> (○口○*)さん<>sage<>07/06/02 10:06 ID:ZDQhgQiV0<> >>468
それもそうだ。

調べたら、リカバリによって多くの場合フォーマットされる、と書いてるんだがされたかどうか確認する方法がないわけで
フォーマットしないリカバリでも大丈夫なんでしょうか。 <> (○口○*)さん<>sage<>07/06/02 12:21 ID:hzxvtH3m0<> メーカーPCのリカバリは、大抵「 購 入 時 の状態」に戻す物ばかりなのだけど。 <> (○口○*)さん<>sage<>07/06/02 13:09 ID:ZSL8Ncaf0<> リカバリ:
  メーカー製PCの場合、HDDの内容を「購入時の状態」に戻す。このスレでリカバリと呼ばれるのはこれのこと。

  自分でリカバリディスクを作成した場合は、作成時点の状態に戻す。

  自作リカバリディスクからのリカバリの場合、ディスクに存在しないファイルを抹消しない場合がある。
  (但し、自分で作成しているのだから、HDDイメージのリカバリか、ファイルのリカバリかの区別は
   できている筈なので、説明を必要はないと思われる)

再インストール:複数の方法がある
 クリーンインストール:
    OS部分がまっさらな状態のインストール
    アップグレード版のOSでない場合は殆どがこれになる。データはそのまま残っている。
    OS部分のファイルのみが、全てまっさらになる。アプリケーションは再インストールが必要。
    OS以外の部分が残っており、そこに感染済み部分があると(アクセスするまでは安全だが)
    再度感染・発動などの危険がある
 上書きインストール:
    一部のファイルがそのまま残るインストール。
    アプリケーションの再インストールが発生しないが、OSの一部がそのまま使用されるため
    問題箇所が上書きされていないことがある。お手軽ではあるが、問題が発生する危険性は高い。
    データ部分も残っており、データ部分に感染箇所がある場合の危険度はクリーンインストールと同じ。
  HDDをフォーマットした上での再インストール(クリーンインストール):
    全てのデータが消え、OSも初期状態になる為、一番安全な状態。
    アプリケーション等は全て再インストールが必要。データも、バックアップしていなければ消滅する。
    必要なデータはバックアップから再度導入する必要がある。 <> (○口○*)さん<>sage<>07/06/02 13:50 ID:0HOExWdD0<> >>471
>HDDをフォーマットした上での再インストール(クリーンインストール)
に関しても、バックアップしたデータ部に感染があると、再度感染ということになるね。
実行ファイルは開いた瞬間に、データファイルは特定のアプリで開いた瞬間に感染。

結局絶対安全なのは、感染した時点のデータとはすべて決別し、
HDDをフォーマットしてOSアプリ再インストール。これしかないですね。
現実問題そこまでは無理だろうけど。 <> (○口○*)さん<>sage<>07/06/02 14:05 ID:+YaDhgD50<> >>472
バックアップしたデータに感染があるってそうなる前バックアップってしておくもんじゃねーの? <> (○口○*)さん<>sage<>07/06/02 14:36 ID:5m/fQmO70<> >473
その通り。

しかし、そもそも再インストールする目的を勘違いしてる気がする。

感染時にOSの再インストールを勧める理由って、どのフォルダにどんなウィルスが居るか
判らないからではない。
レジストリその他に書き込まれたウィルスの起動設定等を、安全にクリアする手段が無いから
クリーンな状態でOSを起動できる環境を作り出すために再インストールすると思うんだが。

いくらトロイがHDDに残っていても、発動(常駐)していない状態なら、ただのファイルに過ぎない。
それがレジストリ等に書き込まれて起動設定されてるから、そのPCは汚染したものになる。

万が一バックアップしたデータにウィルスが残ってても、リカバリ後にチェックすれば済む話。
チェックする前に不用意にそれらにアクセスして再感染するってのは、復旧の手順を間違えてる
だけだと思う。 <> (○口○*)さん<>sage<>07/06/02 14:38 ID:0HOExWdD0<> >>473
正確には、最後にバックアップを取った日時までデータを巻き戻すと表現した方がいいかな。
例えば最後にバックアップを取ったのが1週間前なら、最近1週間の間に
新規作成または更新されたファイルに関しては破棄、または十分な検証を行った上で復元。
ただし感染した日時が正確に分からない場合はやっかいなことになる。
例えば感染した日時が1週間以上前である可能性がある場合、バックアップデータも感染してる可能性がある。
その場合2週間前のデータで復元とかなるけど、当然バックアップ毎に上書きせずに別々に保存しておく必要が出てくる。
それ以前に、普段からバックアップの習慣などない人が結構いそうな予感ではありますが・・・ <> (○口○*)さん<><>07/06/02 14:40 ID:mYgu3UaU0<> >>452
あと、やれる事とすれば、Googleインデックスの削除依頼くらいか。これにはGoogleアカウントが必要だけど。
それと、最近では旧サイト跡地に誘導目的コンテンツを残す必要はごく僅かになっている。
そもそも本スレからリンクされているし、検索でも引っ掛かる訳で。

閲覧者を限定したサイトなら必要性があるかもしれないけど。この場合はnorobot指定のケースが多いし。 <> (○口○*)さん<>sage<>07/06/02 14:58 ID:0HOExWdD0<> >>474
あー、どうかな。

>感染時にOSの再インストールを勧める理由って、どのフォルダにどんなウィルスが居るか
>判らないからではない。

いや、分からないからだと思います。絶対に検出できるなら、OSを再インストールする必要はないと思います。

>レジストリその他に書き込まれたウィルスの起動設定等を、安全にクリアする手段が無いから

レジストリにウイルスの起動設定が書き込まれても、ウイルスの実体がなければ起動しようがありません。
それよりも、破壊活動を行うタイプのウイルスの場合、レジストリや重要なファイルを破壊したりして
OSが正常に起動しなくなる場合があるので、その場合はOSの再インストールを行う必要が出てきますね。

>いくらトロイがHDDに残っていても、発動(常駐)していない状態なら、ただのファイルに過ぎない。

もちろん、その通り。ただしデータファイルを開いた瞬間に特定のサイトからトロイをダウンロードして
実行するタイプのウイルスはいるかもしれない。ここでいうデータファイルとは、開くアプリが限定されるものが
特に狙われる。例えばExcel,Word文書など。あるいはファイルマネージャのプレビュー機能で開いてしまうものなど。

>万が一バックアップしたデータにウィルスが残ってても、リカバリ後にチェックすれば済む話。

マイナーなウイルス、0デイ攻撃など、ウイルスチェックをすり抜ける可能性もあります。 <> (○口○*)さん<>sage<>07/06/02 15:55 ID:bIHrvIJO0<> >>471
用語の定義というのは微妙に変化していく物ではありますが、
「OSドライブの初期化(フォーマット)を伴わない再インストール」は
クリーンインストールとは呼ばないのが一般的だと思います。 <> (○口○*)さん<>sage<>07/06/02 16:03 ID:5m/fQmO70<> >477
少し勘違いしてそうだが、自分の意見はこれ。
>いくらトロイがHDDに残っていても、発動(常駐)していない状態なら、ただのファイルに過ぎない。

実体が無ければ発動しないのは当たり前だが、何らかのアクションを起こさない限りは
ウィルスは発動しない。
アクションというのは、EXEを叩くやら、アプリを起動するやら、そういう事。

だからリカバリしてWUやらアンチウィルス・FWその他のセキュリティ環境を構築した上で
即チェックすれば、ほぼ安全と判断できる、と言ってるだけね。

>マイナーなウイルス、0デイ攻撃など、ウイルスチェックをすり抜ける可能性もあります。
リカバリ時=最新のパターンファイルによるチェックで擦り抜けられるなら、バックアップ時の
スキャンでも擦り抜けてる可能性が高いんだが。

アンチウィルスソフトが100%の検出が出来ない以上、バックアップファイルは何らかの形で
汚染してる可能性は十分ある。
そしてどのタイミングであれ、チェック結果が信用できないのであれば、バックアップデータを
全て捨てる以外、方法はない。 <> (○口○*)さん<>sage<>07/06/02 16:56 ID:ZSL8Ncaf0<> >>478
OSのファイルが、全てインストールCD(DVD)から置き換えられるため「クリーン」であり、
HDDのフォーマットを伴わないとクリーンとは言わないというのはどうかな?

HDDフォーマットを伴うのが一般的ではありますけど、基本的な定義は、こうなってます。
ttp://e-words.jp/w/E382AFE383AAE383BCE383B3E382A4E383B3E382B9E38388E383BCE383AB.html
>既存のソフトウェアのデータやプログラムの影響を受けないような形で新規にインストールすること。
ttp://www.higaitaisaku.com/cleaninst.html
>HDの内容を初期状態に戻してOSを入れ直すことです。<略>
>欲を言えば一度HDをフォーマットし直すことがより望ましいのですが、通常は単なるOSの再インストールで十分でしょう。

Windowsの初期化 としてのクリーン
HDDをフォーマットした結果としてWindowsが初期化される結果 としてのクリーン

HDDをフォーマットしないとクリーンインストールとは呼ばないという定義は正確じゃないかも。
最近出てきたOSであるVistaのUpgrade版をクリーンインストールするのはHDDフォーマット伴わないですし。

問題は、説明するときに「どこまでを要求しているのか」が明確であることなので、HDDのフォーマットまで
必要である(ブートローダーなども修正する必要がある)場合には、説明側が、その旨併記するだけで十分でしょう。 <> (○口○*)さん<><>07/06/02 17:57 ID:mYgu3UaU0<> システムパーティションを初期化しないインストールは、クリーンインストールと呼ばない方が誤解が少ない。
OS構成ファイルそのもの以外に、ユーザプロファイルフォルダ等も密接に絡んでくる。
例えば、新規ユーザー名と同一名のフォルダが既存だった場合、別の名前が振られてややこしくなったりもする。
他にも色々と面倒ごとは多いが。

Win9x系のサイレントインストールが主流だった時期と比べて、現在ではsysprepなどクローニング支援環境が整い、
リカバリディスク=システムパーティションをイメージと同一に置き換えるもの、が殆ど。
オプションで、データパーティションを温存したり、領域のサイズ指定なども可能だったりするが、システム領域の
既存内容は全て破壊されるのが基本。

>>480にあるようなUpGrade版の場合、あくまでアップグレードインストール。
過去には、旧バージョンの媒体チェックを条件として、アップグレード媒体によるフォーマットを伴うクリーンインストールも
存在した。 <> (○口○*)さん<>sage<>07/06/02 18:05 ID:ZSL8Ncaf0<> 世間の定義が正しいか間違っているかよりも、このスレでは、「どこまでをやるべきかが正確に伝わるか」だけを
気にすればいいと思うんだが違うか? <> (○口○*)さん<>sage<>07/06/02 18:08 ID:0env9abF0<> 質問ですがROのアップローダーのぴころだに上がってたjpg画像が中華っぽいものだったんですが
(最も内容は、内容は中華アカハックサイトの日本語がおかしいという趣向)
これって安全でしょうか?

ttp://picopico.dip.jp/ragnarok/upload.do?actionType=1&srvGrp=2
の1180765319381.jpg です。 <> (○口○*)さん<>sage<>07/06/02 18:21 ID:ZSL8Ncaf0<> ・・・相談はこっちだとは書いたけどさ、自分で判断する方法とかを聞くならいいんだけど
こっちのスレも、代わりに踏んで確認してくれってスレじゃないんだよ。

>>9
>※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

って書いてあるでしょ。ちなみに、普通のjpegでした。

「勇気が無くて見れないサイト解説スレ」を別途用意して「回答がつくとは限りません、誰も確認してくれなくても泣かない」
などの説明をテンプレに入れておき、そこへ誘導するか、ここである程度応対するかどっちがいいと思う?>ALL <> (○口○*)さん<>sage<>07/06/02 18:31 ID:mUhK0f6e0<> 「勇気がなくてみれない」=「まだ踏んでいない」なら、
そのサイトみるな、で終了。

もうすでに踏んでいるのであれば

 心配ならテンプレに則って、カスペってきなさい。
 スキャンで見つからなくても未知の物の場合があるので
 気になるなら再インストールすべし。

でいいんじゃない? <> (○口○*)さん<>sage<>07/06/02 18:40 ID:ZDQhgQiV0<> なんか俺悪い事したかも
リカバリと再インストールの違いは>>471さんの説明でよくわかりました。
結局、リカバリは見た目を出荷時の状態に戻すだけで駄目ってことなのかな <> (○口○*)さん<>sage<>07/06/02 18:43 ID:ZSL8Ncaf0<> >>486
>結局、リカバリは見た目を出荷時の状態に戻すだけで駄目ってことなのかな
なんで、そう着地するんだ!!

(PCメーカーの付けたディスクorHDD領域からの)リカバリは、HDD初期化を行なったOSのクリーンインストール
直後の状態に戻すことなんだってば。 <> (○口○*)さん<>sage<>07/06/02 18:48 ID:AZwUjZ/k0<> サポートセンターって大変だよな、ってたまに思うんだ <> (○口○*)さん<>sage<>07/06/02 18:52 ID:dvsTsjjM0<> 色々混乱しちゃう人は、マニュアルをまずちゃんと読もう。
人に聞く前に手元にある資料にちゃんと目を通そう。

マニュアルの中に、

・OSのアップデートとか、
・再インストールとか
・ハードディスクの初期化とか、
・アプリケーションの再インストールとか

についてまとまって書かれてる部分があるはず。
目次を見るとそういうことについて分かりやすいようにインデックスがついてるはず。
それのうち、ハードディスクとかも全部フォーマットして、再インストールする方法なども書かれてるはず。
書かれている手順に従ってハードディスクのフォーマットとOSの再インストールをしなさい。

どうしても誰かの手助けが欲しいと思ったら、自分が使ってる機種の型番とか、
ダウンロードできるマニュアルの場所とかを明示して助けてくださいって言おう。
じゃないと、キミの疑問はメーカーのサポートセンターに押し付けるしかないぞ。 <> (○口○*)さん<>sage<>07/06/03 06:42 ID:4H2u0uvZ0<> ■PCには以下3つの状態がある。
・ウィルス等に確実に侵されていない状態(真っ白)
・ウィルス等が発動中な状態(真っ黒)
・ウィルスのファイル実体は存在するかもしれないけど、発動しない状態(淡いグレー)
 この時点でカスペ等で検索して削除すれば、ほぼ真っ白に到達可能。

>>471の場合
・リカバリ:メーカーによるが、「真っ白」か「淡いグレー」に戻せる
 全消しの場合は「真っ白」、OS部分やCドライブのみだと「淡いグレー」
・微妙クリーンインストール(>>478):「淡いグレー」確定
・上書きインストール:「淡いグレー」は確実。
・クリーンインストール:「真っ白」確定

■真っ白と淡いグレーの違い
・真っ白は「ウィルス実体」も「起動トリガー(レジストリ情報等)」も一切排除される
・淡いグレーは、確実に「起動トリガー(レジストリ情報等)」は削除されるが、
 「ウィルス実体」はどこかに残る可能性がある。もちろん消える可能性もある。
 カスペ等で削除すれば「ウィルス実体」もほぼ削除できる。

■真っ白と淡いグレーの共通リスク
・本当に「真っ白」ならリスクは存在しないが、
 バックアップを残してそれを戻した時点で、「真っ白」も「淡いグレー」になる。
 というわけで、HDDフォーマットしても、「真っ白」をキープできない
・本当に「真っ白」ならリスクは存在しないが、
 そこから数日、Webに繋いでHPを参照するだけで、0day攻撃による仕込み等
 グレーや黒になる可能性もある。めったにないけど。可能性としてはある。
 (FWソフト、PG2、hosts、WinUpdate、ウィルス対策、利用者の迂闊操作排除で回避可能)

・結論としては「淡いグレー」も受け入れるしかない。
 このグレーはかなり淡い。でも#FFFFFFじゃない。
 でもきっと#FEFEFEくらいには淡い。でも真っ白じゃない。 <> (○口○*)さん<>sage<>07/06/03 06:42 ID:4H2u0uvZ0<>
■真っ白と淡いグレーの違い(再び)
・そんなわけで、いつまでも白い状態をキープしたければ、
 セキュリティ関連についての必要な対策を行うことと、
 迂闊な操作は行わないようにすること。
・淡いグレーは「可能性」はあるだけで、定期的にカスペ等で検索すれば
 「≒真っ白」に持って行くのは比較的簡単

■おまけ
・真っ白と淡いグレーの議論は>>474, >>477, >>480あたり。
 個人的には>>474でいいかなぁ、と。
>>477の主張は書いてあるのは正論。
 でも、検知できないのなら、バックアップ全捨てしか回避できないし、
 再インストール後にネットに繋ぐこともできない。
 (>>472,475もあるから0HOExWdD0はわかってると思うけど)

・そこは「リスクとして認識」した上で、必要な対策をきっちりうって、
 迂闊な行動を減らすしかないでしょう。

■おまけ2
・ウィルスに感染した場合「真っ黒」だけど、
 カスペ等で感染後に削除した場合「グレー」には持って行ける。

・「グレー」状態でもきっとたぶんまぁ平気。
 カスペ等も頑張ってるから、きっと、この「グレー」もそれなりに淡い。

・でも、どこかに未知のものが残っているかわからないため
 再インストールにより、色を「真っ白」「淡いグレー」に近づけたい。
 それがこのスレのいう「自己責任で、そのままか、再インストールお勧め」

■最後に
・書いている途中で「淡いグレー」が
  ・一旦「黒」を経由して、再インストール後にほぼ平気になった状態 と
  ・一旦「真っ白」にしたけど、Webに繋ぐ時点で、「いろいろな可能性」を考えると
   いつまでも純白ではいられない。汚れた世界に暮らすって日々これ戦いなのよね
が混じってしまったので、そこらは混乱させるかも。

どちらも「淡い」んだけれども、
上は、確実に「黒」を経由していて、それが淡くなったという事実。(過去+現在)
下は、「かなり白い」状態が徐々に「汚れていくかも」という可能性の話。(未来) <> (○口○*)さん<>sage<>07/06/03 09:05 ID:Nhi1fNbc0<> 世間一般では、ウイルスに感染しても、大抵は駆除して終わりで、
OSを再インストールする人は少数派だよね。
単に危機感がないだけなのかもしれないけど。 <> 630
◆tr.t4dJfuU<>sage<>07/06/03 12:55 ID:VodIMOum0<> ご投稿いただきましてありがとうございます。
WEBヘルプデスク担当 ○○です。

ご報告いただいた情報をもとに、お客様が使用されていない期間に
アトラクションIDが利用された形跡があるかを調査させていただきます。

詳細な調査結果など、データベースに含まれる情報については、直接の
ご案内は致しかねますので、ご報告内容と一致しないアトラクションIDの
利用形跡の有無のみをご案内させていただくようになります。予めご了承ください。

また、ゲームデータの復旧については「不正アクセス禁止法に違反する
犯罪行為があった」場合にのみ実施いたしておりますが、運営チームで
実施している調査では、犯罪行為があった事を確認することはできません。

「不正アクセス禁止法に違反する犯罪行為かどうか」を判断するには、
お客様のアカウント管理状態を含め、インターネットサービスプロバイダ
事業者の情報やアクセス経路、アクセス元の情報など様々な情報が
必要になります。

法律上照会権限を有する警察機関では、捜査によりこれらの情報を収集することが
できるため、運営チームの調査において、お客様が使用されていない期間に
アトラクションIDが利用された形跡が確認された場合には、調査完了後に、
お客様より警察機関などへ直接相談していただくことをおすすめしています。

その他、アカウントハッキングに対する取り組みについては、以下のページに
ご案内がございますので、あわせてご確認いただけますようお願い致します。

▼アカウントハッキングに対する取り組みについて
http://www.ragnarokonline.jp/support/policy/accounthacking.html
http://www.ragnarokonline.jp/playguide/play_manner/account_hacking.html

なお、「追加発言」が可能な状態となってはおりますが、調査に必要な情報は
いただいておりますので、特に現時点でご投稿をいただく情報はございません。

こちらは運営チームから対応完了のご案内をさせていただくためのものでございますが、
ご不明な点があればいつでもお問い合わせください。

調査完了の際には、再度ご案内をさせていただきますので、今しばらく
お待ちいただけますようお願い申し上げます。 <> 630
◆tr.t4dJfuU<>sage<>07/06/03 13:24 ID:VodIMOum0<> 一つ質問ですが自分の住んでる地域の警察署がサイバー犯罪についての専門のHPも無く
ハズレ引く可能性が高いんだがこういう時って別の地域のサイバーについてHPある警察に
相談したいんだがこれって可能なんですか? <> (○口○*)さん<>sage<>07/06/03 15:10 ID:1n0xh5bt0<> セキュリティとは関係無い話になってる気がするが。
所轄じゃなきゃだめなんじゃね? <> (○口○*)さん<>sage<>07/06/03 15:17 ID:BjOwXhHt0<> 基本的には発生した所轄だろうけど、ネット関係は発生した場所って自宅になるんだろうか? <> (○口○*)さん<>sage<>07/06/03 15:59 ID:NwuKAjoo0<> >>495
(通称)本スレからの移動だ。あっちも読んでこい。垢ハック食らった後の対処の問題。

サイバー窓口に相談するのが一番だと思う。サイバー窓口の○○さんのこのような指示があったので
こちらに来ましたとか言うと、ただ行くのに比べてちょっと対応が変わる「かもしれない」。

>>496
基本的に自宅だな。サーバーの所在地じゃない。

>>493
面白い回答だな。

>また、ゲームデータの復旧については「不正アクセス禁止法に違反する
>犯罪行為があった」場合にのみ実施いたしておりますが、

データの復旧は「不正アクセスがあった」ことを確認した場合。

>お客様が使用されていない期間にアトラクションIDが利用された形跡があるかを調査

と述べていて、調査の結果、不正アクセスがあった疑いが高い場合のみ対応とすればいいのに。

>運営チームで実施している調査では、犯罪行為があった事を確認することはできません。

他IPからの接続・アイテムの不正な移動 が確認できるのは管理会社のみ。
そして、その確認がとれても、不正アクセスがあったと定義しないと。 <> (○口○*)さん<>sage<>07/06/03 16:00 ID:NwuKAjoo0<> >>493(続き)

運営会社の定義
・「不正アクセス禁止法に違反する 犯罪行為があった」場合にデータは補償する
・「不正アクセス禁止法に違反する犯罪行為があった」があったことの断定は
 「管理会社の調査結果」に加えて、「アカウント管理状態を含め、インターネットサービス
 プロバイダ事業者の情報やアクセス経路、アクセス元の情報など」が必要であり
 警察機関に調査して貰わなければならない。
 (つまり、異なったIP等が、ユーザーによるものではない証拠がないといけないのかな)
・管理会社の調査完了後、「ユーザーが警察機関など」に相談する必要がある。(ここ矛盾)

警察側の定義
・ゲームサーバー(ゲーム内アイテム)に関する「不正アクセス」は、アクセスされた「管理会社」が申し立てるもの。
・ユーザーが申し立てる「不正アクセス」は「パスワード盗難」についてであり、犯人が捕まる可能性は低く
 申し立てられても殆ど調査しない。

結果としてどちらも責任押し付けあいをしている。主として管理会社が逃げている。

■考えられる対応■
・パスワード盗難については「届け出た」(もしくは申し出たが、管理会社が申請すべきだと受理されなかった)
 ことを伝えること。
・警察の窓口により「不正アクセス」により「データが不正に操作された」被害届けは「管理会社が出す」と
 指導されており、「調査完了後に、お客様より警察機関などへ直接相談」と書かれているが、管理会社から
 直接警察機関に届け出を出して欲しい。
・パスワードが盗まれたことではなく、盗まれたパスワードで「不正にアクセスされた」ことへの届け出は
 管理会社の責任となっている。(この辺は明確に)
・全て、管理会社側で「調査・警察機関への申し立て」は完了するものではあるが、ユーザー側の委任状が
 必要であれば提出する。必要であれば、書式を送れ。 <> (○口○*)さん<>sage<>07/06/03 16:05 ID:NwuKAjoo0<> >>496
自宅ってコメントつけたけど、「パスワードが盗まれた」は自宅
「サーバーに不正アクセスがあった」はサーバー所在地

だと思う。(確定できる情報探し中。出てこなかったらごめん)
----------
取り敢えず、捜索途中で見掛けた読み物をぺたり。

手口が巧妙化! 検挙率も下がってきている〜カスペルスキー氏に聞く「ネット犯罪」の今<1>
ネット犯罪の凶悪化がはじまった!  日本は大丈夫か!? 〜カスペルスキー氏に聞く「ネット犯罪」の今<2>
ttp://arena.nikkeibp.co.jp/col/20061127/119900/
ttp://arena.nikkeibp.co.jp/col/20061128/119905/ <> (○口○*)さん<><>07/06/03 16:09 ID:L90ji1gj0<> 所轄は派出所の取りまとめレベル程度だから、あまり専門的な事には正直、期待できない。
不正アクセス防止法案件の場合だと、道府県警察本部(東京都の場合は警視庁)の、ハイテク・サイバー犯罪窓口に
並行して相談を持ちかけた方が無難。

▼全国警察サイバー犯罪相談窓口等一覧
ttp://www.npa.go.jp/cyber/soudan.htm

同時に、被害報告をIPA/ISECの報告フォームから投稿した方が良いかも。
▼情報処理推進機構:セキュリティセンター:届出について
ttp://www.ipa.go.jp/security/todoke/ <> (○口○*)さん<>sage<>07/06/03 16:24 ID:NwuKAjoo0<> インターネットにおける刑法の場所的適用範囲
ttp://sonoda.e-jurist.net/text/schwa.PDF

日本ではなく、"スイス刑法"での定義

1.行為者が実行行為の時にいた領域内の機関(垢ハックトロイの場合、主に中国か)
2.行為者が国外にいて、しかし結果がスイス国内で発生するような事例では、
  この結果が発生したか、あるいは発生する場所の機関。
  (不正アクセスによる、パスワード盗難は、自PC所在地。
   不正による、ゲームサーバーへの接続は、ゲームサーバー所在地)
3.この結果が発生したか、あるいは発生する場所の機関が二次的に管轄権を有する。
  しかも、結果が何度もまったく異なった場所で同時に発生するのである。
  そのような事例に関しては、スイス刑法 346 条 2 項は裁判管轄を予防的に規定している。
  すなわち、最初の捜査を開始した機関が管轄を有するのである。
  (日本だと、サイバー窓口のどこかが担当することになるのかもしれない) <> (○口○*)さん<>sage<>07/06/03 16:54 ID:NwuKAjoo0<> 不正アクセス禁止法策定前の資料かな?

ttp://www.iaj.or.jp/IAJNEWS/vol6/6-1-sr1.html
>画像が蓄積されるのがサーバー内であることから、プロバイダーのサーバーが
>事件現場と判断されることもある。

サーバー所在地って発言したのは、この事例を覚えていたからだと思う。しかし、所轄がどこになるのか
はっきりとした資料ないもんだねぇ。流石、法整備の遅れている分野だけはある。 <> (○口○*)さん<>sage<>07/06/03 17:29 ID:ca2/oL/b0<> 癌の鯖なら戸枝事件の時に、どこの警察でって話があったような。
ただ垢ハクだと済んでる場所の警察になると思うけど。 <> (○口○*)さん<>sage<>07/06/04 07:25 ID:4zxyQ7yx0<> >430の野菜生活福建人ページ、サイトの新着情報から削除、記事自体は存在。 <> (○口○*)さん<><>07/06/04 11:04 ID:eir11Q0L0<> A=D神速目指しエタアコ日記メインにもそっと
日記以外は亀更新

( ゚д゚)<騎士に偏愛 変態発言にお気をつけて
http://www■rinku-livedoor■com

これは垢ハック系アドレスなのかな
見ずにして鑑定出来る人いませんか? <> (○口○*)さん<>sage<>07/06/04 11:09 ID:14G+uKSM0<> >505
見ずに鑑定した結果、アカハックアドレスと判断されました。

既知のアドレスはまとめサイトのhostsがそれに当たるので、そちらを見たほうが早い。
ちなみにこのスレや本スレで未出の場合は載って無いけど、リネージュ資料室の方に
載ってることもあるので、そちらも合わせてチェック。

ということで、そのアドレスは既知のもので、まとめサイトに掲載済みの危険アドレス。 <> (○口○*)さん<>sage<>07/06/04 11:39 ID:4kodFqpK0<> >>506
似たようなアドレスが様々あり困っていました。
もし万が一踏んでしまった場合、カスペルスキーやトレンドマイクロなどの
オンラインスキャンでも大丈夫でしょうか?
OSの再インストールが出来ない場合、リカバリーでも大丈夫でしょうか <> (○口○*)さん<>sage<>07/06/04 11:50 ID:14G+uKSM0<> オンラインスキャンは基本的に発見するだけで、駆除する場合は体験版や製品版を使う。
で、踏んだ場合にそのスキャンで大丈夫かどうかは何とも言えない。

カスペはオンラインスキャン含めて「大抵」見つけるけど、新種だと見逃す場合もある。
100%検出・駆除する万能なアンチウィルスソフトは存在しないし。

踏んだ場合の対策はテンプレにあるから、それを読んで行えばいいと思う。
基本は安全な環境からパス変更等を最優先。

それとOS再インストールとリカバリーはほぼ同じ意味を持つので、リカバリー出来るなら
クリーンな環境を作れる。
そのあたりの話は少し上で話に上がってたので一読を。 <> (○口○*)さん<>sage<>07/06/04 12:02 ID:4kodFqpK0<> >>508
迅速なレス感謝します、有難うございましたm(_ _)m <> 630
◆tr.t4dJfuU<>sage<>07/06/04 16:15 ID:rFT3W/6C0<> 今さっきサイバー課の方に電話してきました
警察の生活安全課の方に回しますので話してくれって事らしいです <> (○口○*)さん<>sage<>07/06/04 16:18 ID:mI6D+0z70<> なんか、もののみごとにたらいまわしされてるな・・・
役所仕事だのぉ・・・ <> 630
◆tr.t4dJfuU<>sage<>07/06/04 16:20 ID:rFT3W/6C0<> 垢ハック被害から復旧まで載ってる某サイトでも相談場所は生活安全課だったんで
まぁ今までよりは頼りになるかなと期待してます <> (○口○*)さん<>sage<>07/06/04 16:30 ID:mI6D+0z70<> なるほど
泣き寝入りはしてほしくないんで、ぜひとも最後までがんばってくれー <> 630
◆tr.t4dJfuU<>sage<>07/06/04 16:39 ID:rFT3W/6C0<> 生活安全課の方に取り次いでくれたらしいので今から行って来ます
やはり犯人タイーホの可能性はきわめて低いが捜査だけはしてもらえるようがんばってきます <> (○口○*)さん<>sage<>07/06/04 16:56 ID:VSLk9d0j0<> 630がここに書く目的は今後出る被害者がどういう行動とればいいかって事じゃないのか?
要点だけにしてだらだらレスつけんなよ <> 630
◆tr.t4dJfuU<>sage<>07/06/04 18:17 ID:rFT3W/6C0<> 取りあえず生活安全課行って来ました
以前の警察より話の解る方で癌と照会取ってやるが
「癌は照会文章渡すのに半年ぐらい掛かる」など言われました
聞かれるものは
名前 住所 電話番号 生年月日 メルアド
気づいた日時 正常に落ちた日 ウィルススキャンした日 RO始めた日
癌ID パスワード アトラクションID パスワード キャラパス
キャラの性別 癌IDの中にアトラクションID沢山ある場合はそれ全て
露店を出してたキャラ名(なぜそれが自分のだと解ったか)
RMに直した場合の額(伝える際にはRMTは不法行為だと伝えてから)
持ってたアイテムを正確に 解る範囲で
プロバイダー OS 回線 接続業者 PCのメーカー ウィルス対策ソフト名 ウィルス名
アトラクションID作る時にBOT対策で作られた認証文字みたい奴を
なんて打ち込んだか(知らない場合 作った当時はこのシステムが無かった場合は関係無し)

以上の事を聞かれました <> (○口○*)さん<>sage<>07/06/04 18:24 ID:mhWkZUu20<> >>630乙。
>アトラクションID作る時にBOT対策で作られた認証文字みたい奴をなんて打ち込んだか
これは覚えてる方がどうかしてると思うが、それ以前にこの認証文字とアトラクIDってデータベース上で
連動してるのか?
癌の対応を知っていて求めてくるってことは意味があるってことなのかどうなのか。 <> (○口○*)さん<>sage<>07/06/04 18:24 ID:57ZzUPpV0<> >>516
乙。

>「癌は照会文章渡すのに半年ぐらい掛かる」など言われました
だから、アイテム返還があった事例の報告が、数ヶ月から半年かかってるんだな。
(アイテム作成なんかすぐにできる訳だし)

返答ありのフォームから、「照会文書をがんほーが受け取るのに時間がかかる」と言われたが
自分のアカウントに関する照会が届いた時点で、進捗状況の報告を貰えないだろうかと要求
しておくと(ガンホーが嫌がって、うるさく言われないように)改善してくれないかなぁ。 <> 630
◆tr.t4dJfuU<>sage<>07/06/04 18:27 ID:rFT3W/6C0<> オフミが近い事言ったら「癌はそれを案じて早くするか」「オフミを言い訳にして逃げるか」
どっちか解らないが「去年、社員つかまったニュース知ってる?、あぁいう事件が起こるから
言っちゃ悪いけどあまり対処は良くないね」言ってました <> (○口○*)さん<>sage<>07/06/04 18:29 ID:57ZzUPpV0<> 警察にも対処の程度がばれてやがるwww <> (○口○*)さん<>sage<>07/06/04 22:03 ID:noac/cCZ0<> >>515
何の情報も出せないド低脳が
文句ばっかりだらだらレスつけんなよ <> (○口○*)さん<>sage<>07/06/04 22:35 ID:Q7eo/cWz0<> まぁ、630氏には経緯等、自分のHPとか立ち上げて集約してほしい感じ。
あとで見返す際にまとまってないほうが効率悪いし。

ここに報告すること自体は構わないけど、
あとでほかの人が参考にできるように整理してほしいかな。 <> (○口○*)さん<>sage<>07/06/04 22:41 ID:I9zqbQy30<> まとめサイトは作るべきだろうね、ここまでやってるなら

この話題で盛り上がるのも多いに結構だけどかけ込みや他の質問をしづらい空気にはしないで欲しいかな
今のところないけど少し心配 <> (○口○*)さん<>sage<>07/06/04 22:45 ID:mhWkZUu20<> 下手すると次の報告が半年後になるから作ったほうがいいだろうな。 <> (○口○*)さん<>sage<>07/06/04 23:47 ID:cvnMRtvx0<> ってかさ、警察の中の人,、もしくはお子さんがROをプレイした経験がある人が多いんじゃないかな

「ガンホーという会社か。どうやって調べようか」
「あー癌呆ね。それなら…」

森↓が言うところのユーザコミュニティで大評判だしね <> (○口○*)さん<>sage<>07/06/05 00:13 ID:So3AMJzp0<> アカハックと思われるjpgを踏んでしまいカスペルさんでスキャンしたところ
トロイ Trojan-Downloader.JS.Agent.hf というウィルスが出てきたのですが
これはアカハックに関連するウィルスでしょうか? <> (○口○*)さん<>sage<>07/06/05 00:19 ID:oP2wrxlg0<> アカハックウィルスですね
早めに削除おすすめ <> (○口○*)さん<>sage<>07/06/05 00:20 ID:So3AMJzp0<> >>527
有難うございます、削除完了しました
この他にアカハックウィルスがないという前提なら
もうROに繋げても大丈夫でしょうか?

他にウィルスが入っていればアウトですが・・・ <> (○口○*)さん<>sage<>07/06/05 00:22 ID:hjzhdxP80<> >>527
このスレに関してはそういう適当なレスは余計だ。俺が見本を見せてやるからよく見とけ!

>>526
ログ嫁 <> (○口○*)さん<>sage<>07/06/05 00:22 ID:oP2wrxlg0<> 一応パスワードとキャラパス変えてからやるのがお勧め <> (○口○*)さん<>sage<>07/06/05 00:25 ID:OWO+jPJu0<> >>528
そんなもん100%大丈夫と言い切れるわけねーだろ
不安だと思うなら再インスコでもしておけ <> (○口○*)さん<>sage<>07/06/05 00:36 ID:hjzhdxP80<> トロイを喰らってからも、その後にパスワードを入力するという行為をしなければ踏んでからも被害はない。
2PC持っているなどで他に安全なPCなどがあれば、そちらからパスを変えておくのが良い。
もしトロイが残っている状況でパスを変える行為をしたらそれは自殺行為になる。

大丈夫か?という質問に対しては申し訳ないが完全に安全かは答えきれない。
カスペで削除したのならば多分大丈夫じゃないか?というくらいにしかこのスレからは返せない。
完全に安全な状況にしたいのならばこのスレでもよく言われるHDDフォーマットからOS再インストがお勧め。 <> (○口○*)さん<>sage<>07/06/05 02:36 ID:bYR2osKN0<> 真面目に回答するなら、テンプレを埋めてくれないと回答のしようがない。
>96にあるので、埋めてくれた方が答えやすい。

今までどんな対策やってたのか、どういう状況で見つかったのか
今がどういう状態なのか、が判らないと答えれない。

取りあえず言えるのは、安全な環境からパスを変更する事。
もし今ログインしてるなら、ハク被害に遭う可能性が高い。 <> (○口○*)さん<>sage<>07/06/05 08:33 ID:tzY0Cg9R0<> >>528
ちなみに、そのTrojan-Downloaderってのは、トロイ本体をダウンロードしようとする奴。

パスワード盗みだす本体が「存在しないので発見できなかった」ので検出しなかったのか
「存在するけどすり抜けてしまった」かの区別をすることはできない。
(存在しないので〜というのは、入手前に回線を切断した/ブロックしたなどの事例を含む)

検出ソフトを信用するか、HDDフォーマットしてOS入れなおしコースに進むかは自己責任。 <> (○口○*)さん<>sage<>07/06/05 10:01 ID:u9aqKU3w0<> 【このリンクは危険?と思ったときに】
変なリンクを見つけた場合、次の方法でチェックしましょう。

1.まとめサイトやリネージュ資料室のhostsや危険ドメイン一覧で確認
 過去に見つかった罠サイトは、これらのサイトに載っています。
 まずはここに載っていないかを確認しましょう。

2.ソースチェッカーオンラインを使って調べる
 多少の知識が必要ですが、ソースチェッカーを使うことでリンク先を調べる事が出来ます。
 ソース内に怪しいコード・スクリプトが無いか調べましょう。
 ※安全か危険かの判断は自分で行う必要があります。
  また画像ファイルをチェックする場合、罠画像ファイルだと発動する恐れもあるので
  注意してください。

3.スレで質問する
 1.2の方法でも判断出来ない場合、スレで聞いてみるのも手です。
 ただし、このスレは『勇気が無くて見れないサイト解説スレ』ではありません。
 その点だけは注意してください。

質問・報告する場合は「.」を「■」に置き換えるのを忘れないようにしてください。
--------------------------------------
既知のドメインは自分で調べた方が早いと思うので、少々早いけどテンプレ追加案として書いてみた。


ところで先ほどBS Wikiさんの所にも危険hostsが掲載されてるのに気付いたんだけど
いつから掲載されてたんだろう?
情報更新がまとめサイトやリネ資料室のそれとは違うだろうから、マージした方が
いいんだろうけど、gz圧縮されてるので>4のスクリプトに組み込む方法が無い気がした。

何かいい方法ないかな? <> (○口○*)さん<>sage<>07/06/05 13:02 ID:0/gorUdn0<> >535
確かに自分で調べる方法は必要だろうな
大半はリストに載ってるアドレスだし。

BS Wikiさんのところのリストも使うなら、バッチファイルで
DL&解凍&スクリプト生成分とをCopyで結合
みたいな形にするしかないんじゃないかな。
重複分はカットできないけど、大きな問題にはならないと思う。 <> (○口○*)さん<>sage<>07/06/05 18:06 ID:bt3ybHTu0<> >>535
 アレはリネージュ資料室+MMOBBSのデータです。故にまとめサイトさんのと
リネージュ資料室さんのをマージすればそれと(恐らくほぼ)同一になると思われます。
こちらが発見したドメイン名等も追加してはいますがスレにも報告していますから
誤差が有ったとしても数件、よってあまり参考にする必要はありません。

 但し、アレは作成及びメンテナンスを自動処理で作成しているのが
問題です。登録は人手でですが、作成はScriptで行っているので人間の眼の
チェックが入っていません。故にファイルが壊れている可能性も有ります

# アソコで公開している産物の多くは自動処理で作成しているので
# 同じ危険性をはらんでます。

 人の目の入ったまとめさん等と自動処理のBSWiki。棲み分け使い分け。
既存の物を代替する物ではなく、選択枝の一つとして作成していると
考えて下さい。 <> (○口○*)さん<>sage<>07/06/05 20:43 ID:dkdtJyhM0<> 雑談。

秀丸エディタのアドイン、Hidemarnet Explorer
(秀丸上で動くテキストブラウザみたいなもの)について
サポート掲示板で動作について確認してみたところ。

 ローカルにダウンロードしたHTMLファイルを
 あくまでもテキストファイルとして秀丸で開き、
 秀丸側の表現として、適当にHTMLタグを解釈して(省略して)、
 テキストブラウザっぽい表示に見せている

といった動作をしているとのことでした。

 基本的に、HTML上のスクリプトなどを解析して実行することもないし、
 明示的にリクエストしたファイル以外のファイルをダウンロードすることもない。

だそうです。
比較的安全かもしれません。

テキストブラウザっぽく使いたいならば、ライブラリに登録されている
「秀丸ブックマーク」というマクロを使うと、さらに便利。 <> (○口○*)さん<>sage<>07/06/05 23:46 ID:/vhv1SrZ0<> それだとブラウザのスクリプト関係を全て禁止に設定するのと同じだと思うんだが <> (○口○*)さん<>sage<>07/06/06 03:22 ID:O+jj29N20<> 初歩的な質問で申し訳ありません。
PG2とカスペを少し前に導入してからだと思うんですが、
Wikiペディアやラグナゲートが見れなくなってしまいました。
これを解除する方法ってありますでしょうか?
そもそもこれらのソフトは関係ありますか? <> (○口○*)さん<>sage<>07/06/06 03:42 ID:nF5FlhpH0<> このスレよく見ればわかるんだけどwikipediaは韓国に置かれている
らーげはもちろん韓国のサイト
PG2のリストに「中国・韓国・台湾」の物を導入していれば弾かれます
見たい場合は一時的にPG2を無効にするか、ブロックしてる際に右クリックで許可してあげましょう <> (○口○*)さん<>sage<>07/06/06 03:45 ID:ZTdamENl0<> >540
ヒント(も何もない気がするけど)>PG2

何度も出てくるよね、この手の質問って。 <> (○口○*)さん<>sage<>07/06/06 07:48 ID:O+jj29N20<> スレを初めから見ていたのでそれかと思ってたんですがやはりそれでしたかー(;´Д`)
この二つのIPを常に許可しても大丈夫ですか?
心配なら見るときだけ許可にしたほうがいいでしょうか…
あと、ラグナゲートの動画が見れないのもやはりブロックされているからですよね。
しかし動画のページを開くとブロックしてるIPが多すぎてどれを許可したらいいのやら…orz <> (○口○*)さん<>sage<>07/06/06 10:21 ID:TcXUdLIJ0<> なんでもかんでも人に訊くかね… <> (○口○*)さん<>sage<>07/06/06 10:33 ID:cFvjdABk0<> だって自分で調べるの面倒じゃないw
ここで聞いた方が早いだろw <> (○口○*)さん<>sage<>07/06/06 10:36 ID:qX8vahzh0<> >>543
ネットを使い続ける限り、今後も韓中台でブロックされることは絶対出てくる。
ブロックされる度に質問するのは、現実的でない。というかやめて欲しい。
自分でそのIPの安全/危険が判断できないのであれば、
最初から「韓国、中国、台湾」(+香港)のリストは入れないことをお勧めする。
当然、その分防御力は下がるが、原因は自分自身にあると思って諦めてくれ。 <> (○口○*)さん<>sage<>07/06/06 10:39 ID:zAXAzJJm0<> >543
何度も出てる質問だし、自分で調べたら確実に解決できる。
中国や韓国や台湾のIPをまるごとブロックする設定になってるだろ?
だから、今のままの設定で「これはOK」ってだけのを許可するか、
中韓台も基本はOKにして危険URLだけブロックするか、
どっちにするか自分で決めろってことだ。 <> (○口○*)さん<>sage<>07/06/06 11:27 ID:k0ZJ/UyH0<> 理解せずに無闇に中韓台リストの導入は危険だよ。
PG2でブロックする場合は、何をどう設定したいかを考える必要がある。

(1)とりあえず罠サイトをブロックしたい
 →まとめサイトのpg2_iplist.txtを指定

(2)最近の傾向も踏まえて、もう少し用心深くしたい
 →(1)に加え、リネージュ資料室のlintrojan.txtも指定

(3)多少不便になっても怪しい中華系アクセスはまとめてブロックしたい
 →(1),(2)に加え、まとめサイトの pg2_iplist_ag.txt も指定

(4)中華系IPは危険だから全面的にブロックしたい
 →(1),(2),(3)に加え、さらに中韓台リストも指定

垢ハク対策でPG2を使う場合、こういう感じ。(他にもBS Wikiさん作のリストもあるが割愛)
(3)のリストを使う人はそう多くないだろうけど、ブロックする範囲を拡大していくという
意味では、上の順番になる。

ブロックする範囲が広ければ広いほど問題が出るので、ピンポイントでブロックする(1)や(2)は
問題が起き難い。
逆に(3)は関係ないサイトが巻き添えを喰らう事があるし、(4)は全面ブロックだからWikipedia等
閲覧に支障でまくり。

そのかわり(4)のリストを設定した場合は、中華系が新規IPを取得した場合でも未然にブロックできる
可能性が高い(他国のIP取ってきたらダメなので、絶対ではない)

通常使用に問題が出るようなら中韓台リストは使わず危険IPだけをブロックした方がいい。
上の(1),(2)のブロックだけでも十分効果があるし、導入前と殆ど同じ環境で使える。 <> (○口○*)さん<>sage<>07/06/06 16:04 ID:TEALcPNf0<> このスレを最初から見ているにもかかわらずPG2の事を何も知らず、
かつそのクレクレ精神・・・非常に感服いたしましたぞ <> (○口○*)さん<>sage<>07/06/06 16:41 ID:WifohUoR0<> Wikipediaは確かに紛らわしいのでテンプレ入れておいてもいいかもしれんね。
あとhotmailも一部の転送鯖が韓国だったりするのも紛らわしい。
hotmailのパスを盗まれてる!?とか思いかねない。別の中継鯖ブックマークして使えばいいんですが。

ラグナゲートは韓国なのはわかるだろうからここは突っ込まれるのは仕方ないな。
とりあえず導入するものの事はよく自分で調べるという努力が出来るようにならないと、
今後色々新しいものが出て来た場合などにいたちごっこに負ける事になってしまうから精進するんだ。 <> (○口○*)さん<>sage<>07/06/06 17:20 ID:O+jj29N20<> 理解力がないせいで不愉快な思いをさせてしまったようですみませんでした。
丁寧に答えてくださった方々ありがとうございました。
以後は質問はしないようにします。
スレ汚しすみませんでした。 <> (○口○*)さん<>sage<>07/06/06 17:58 ID:0L6Q50Gc0<> >以後は質問はしないようにします。
これもなんか違う気がする。
不適切じゃない質問を、適切な姿勢で書込むのであれば、これからもやっていいと思うよ。 <> (○口○*)さん<>sage<>07/06/06 18:10 ID:O+jj29N20<> >>552
そうさせていただきます。

質問したのは安全なIP全部教えてくれという意味ではなく、
まとめサイトのリストとリネ資料室にあるリストだけを入れているはずなのに
なぜ安全なサイトまではじいてしまうのか?と疑問に思いました。
(皆わざわざ一つずつ許可しているのか、その判断材料はどこに?など…)
きちんと質問しなかったせいでこんなことになってしまい反省しています。
>>548さんのおかげで、リネ資料室のリストを両方入れていたことが原因と分かりました。
中韓台の「危険なIP」リストだと勘違いしていたので、それを削除して無事に見られるようになりました。
騒いでしまって申し訳ありませんでした。失礼します。 <> (○口○*)さん<>sage<>07/06/06 18:15 ID:GgOj6V4R0<> >>549
きっとその頃は日本語が読めなかったんだよ <> (○口○*)さん<>sage<>07/06/06 18:35 ID:k9K0QdIn0<> 分かり易くハングルで書いてあげなきゃな <> (○口○*)さん<>sage<>07/06/06 18:40 ID:WifohUoR0<> いちいち煽って空気悪くするのも考え物だぞ。 <> (○口○*)さん<><>07/06/06 19:29 ID:e/MAWkM90<> 理解できない≒理解しようとしない、という姿勢だと取られると、どうしても風当たりは強くなりがちだ。
このあたりは、質問の書き方なども影響してくるし。
それと、PG2を使いこなすには、IPの概念を多少なりとも学ぶことが必要。
ネットを活用する上で、持っていて損はない知識なのだから。

おまけのようでおまけではない、アップデート情報。
ttp://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-2388
ttp://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-2389
これらに対してのQT7.1.6以前からのアップデート。
ttp://www.apple.com/support/downloads/securityupdatequicktime716forwindows.html (Win)
ttp://www.apple.com/support/downloads/securityupdatequicktime716formac.html (Mac)

Macユーザーもうかうかしてはいられないという記事。
ttp://www.atmarkit.co.jp/news/200706/05/mac.html <> (○口○*)さん<>sage<>07/06/06 22:47 ID:tuv4mcc60<> >550
今のテンプレは、新スレ立つときのゴタゴタがあって、十分に話し合われないままだった。
>1が慌てて便利そうな部分だけを抜き出してくれたものなんだよね。

このスレ内でも、追加のテンプレ案はちらほら上がってるし、PG2やhostsの部分も含めて
一度まとめた方がいいかもしれない。 <> (○口○*)さん<>sage<>07/06/07 00:11 ID:FFJqKjoC0<> 今のテンプレもどきは、連続投稿制限に引っ掛かるんだ。

どっかに、情報をまとめた上で、必須事項のみここにして、あとは、まとめサイトを参照っていう形にしたいね。
テンプレもどきは、現行の>>1-9と、>>96(または>291)の相談用のテンプレだね。これをどういじるべきか。 <> (○口○*)さん<>sage<>07/06/07 06:25 ID:0Rgh1APE0<> どうせなら、再度スレの使い分けについても整理してみた方がいいかもね。

現状が悪いといっているわけではなく、
現状の使い分けを、もう少し明文化したい感じ。

・タイトル
>>1

あたりをLiveROセキュスレと本スレ(垢ハックスレ)それぞれで
どう補い合っていくかは考えたほうがよさそ。


余談。
垢ハックスレ側に昨日、PG2&まとめサイトの話題あったじゃないですか。
762氏はスレ住人だと思うんだけれども、やっぱり書き込み先迷っているようで。
ああいった内容はどっち、という指針はあったほうがよいかと。
(個人的にはこっちかなぁと思ってたり。まとめサイトの人はここも見てるだろうし) <> (○口○*)さん<>sage<>07/06/07 06:36 ID:0Rgh1APE0<> もうちょっと書いてみる。

【アカウントハック総合対策スレ】
アカウントハックに関する情報の集積・分析を目的とするスレです。
被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談は>>2に有る雑談スレを利用して下さい。

【セキュリティ対策、質問・雑談スレ】
アカウントハックが横行する昨今、セキュリティに関して話し合いましょう。
・ウイルスソフトやスパイウェアチェックソフトなどの質問。
・アカウントハック対策に関しての討論など。
最新の予防策・垢ハックを踏んでしまった時の相談などはMMOBBS/Ragnarok板のスレへ

これらが的確で迷わなければOKだけれども、
もうすこし表現等をブラッシュアップしたほうがよさそう。
---

1.理念的なお話
テンプレ的に取り扱う話題に重複している領域がないか。
または漏れている領域がないか。
あるならそれらをうまく整理/誘導できるような>>1の記述を考える。

2.実データ分析とその整理
ほかには、各スレに投稿された話題を眺めたうえで、
使い分けの検討をしてみるとか。

これはあっちの話題じゃないか/あれはこっちだろうをスレ住人で議論して、
明文化しきれない、ニュアンス的な意識を共有することや、
その議論のなかで、いままで見えていなかった観点を抽出することができれば
まぁ、無駄にはならないんじゃないか、と。 <> (○口○*)さん<>sage<>07/06/07 11:19 ID:TYLqJcqE0<> 使い分けに関しては基本は現状維持というか>561の感じでいいと思う。
後、本スレであったPG2の話とかはこちらのテンプレを整理すれば解決しそうな気がする。

個人的には
・PG2とhosts関係はスレに掲載
・FAQ的内容もスレに掲載
・1PC時の対応(>5-6)は簡易にまとめてスレ掲載、詳しく書いたものはまとめサイトに掲載
・検体提出先(>7-8)はまとめサイトに掲載
・追加的内容として>65や>535(他に見落としがあったかも)

つまり標準で行う事が推奨されるものはスレに、追加対策・情報的なものはまとめサイトに
掲載すれば、見やすくなるんじゃないかな、と。

アンチウィルスソフト・FW・WU・hosts・PG2は現状基本対策に近いのでスレに。
それ以外は簡易のものをスレに貼り、詳しい内容はまとめた上でまとめサイトに掲載を依頼する。
って感じに。

PG2使用時のnPro・中韓台リスト使用時の弊害等は既にFAQだし、スレにあった方がいいんじゃないかな。 <> (○口○*)さん<>sage<>07/06/07 11:34 ID:Q5HHW8LnO<> 今日パソコンを起動しIEを起動させ、Yahooツールバーを更新しようとしたら「CnSWin」というファイルが引っかかりました

おそらくはYahooのファイルと思うのですが、これに危険はあるのでしょうか?
調べたところ 中国産のスパイウェアとでてきて心配で… <> (○口○*)さん<>sage<>07/06/07 12:03 ID:TYLqJcqE0<> >563
多分CnsMinのことだと思うのでそれで話を進めると、Yahooツールバー等には
JWordという検索サービスが入ってて、それに使われてるのが「CnsMin」。

今はどうかしらないが、JWord自体が怪しい動作をする事があったためにスパイウェアや
ブラウザハイジャッカーの嫌疑があり、SpyBot等で検出される。
詳しくはWikipedia(ttp://ja.wikipedia.org/wiki/CnsMin)参照。

危険かどうかは何とも言えないが、JWordはは結構胡散臭いソフト。
垢ハクとかに直結するような代物ではないが、何かと裏で情報送信してると言われてる。

SpyBot等で消すと中途半端に残ったりするので、もし消す場合は CnsMinの除去方法
(ttp://www.higaitaisaku.com/removecnsmin.html)を参考にすればいいと思う。 <> (○口○*)さん<>sage<>07/06/07 12:06 ID:AZcStmyp0<> つーかググれ阿保
これだけ世の中に情報が出てるのにどんだけ低脳なんだよ <> (○口○*)さん<>sage<>07/06/07 12:33 ID:QcLmIh6S0<> 調べたって書いてあるだろ阿呆
俺も昔これがいきなり出てきて焦った記憶あるわ
中国産=アカハックって言うのは流石に飛躍しすぎだろうがそれくらいの危機感は持っててもいいかもしれないな <> 630
◆tr.t4dJfuU<>sage<>07/06/07 19:56 ID:LdK2bYXt0<> テンプレ回答がきますた
WEBヘルプデスク担当 ○○です。

ご報告いただいた情報を元に調査を行った結果、お客様のご報告内容と一致しない、
アトラクションIDの使用形跡を確認致しました。

つきましては、お客様のアトラクションIDの使用状況について
いま一度、以下の点についてもご確認ください。
 ・家族や友人とのID共有や貸与
 ・ネットカフェやご友人宅でのゲームをプレイ
 ・不正ツールの使用
  ※不正ツールの中には、入力したアトラクションID/PASSなどを不正ツール作成者に
   送信するプログラム等で、お客様のアカウント情報等を盗み取るような
   悪意あるものも確認されております。

これらをご確認いただき、第三者による利用ではないかと思われる場合や、
第三者に対し責任追及・法的措置をお考えの場合には、
最寄の警察・ハイテク犯罪対策課への相談をご検討ください。

ラグナロクオンライン運営チームでは、警察より要請があった場合、
その時点で存在するログの提供なども含め、被害解明のための
協力を行っております。
。 <> 630
◆tr.t4dJfuU<>sage<>07/06/07 19:56 ID:LdK2bYXt0<>
また、ゲームデータの復旧については「不正アクセス禁止法に違反する
犯罪行為があった」場合にのみ実施いたしておりますが、運営チームで
実施している調査では、犯罪行為があった事を確認することはできません。

「不正アクセス禁止法に違反する犯罪行為かどうか」を判断するには、
お客様のアカウント管理状態を含め、インターネットサービスプロバイダ
事業者の情報やアクセス経路、アクセス元の情報など様々な情報が
必要になります。

法律上照会権限を有する警察機関では、捜査によりこれらの情報を収集することが
できるため、運営チームの調査において、お客様が使用されていない期間に
アトラクションIDが利用された形跡が確認された場合には、調査完了後に、
お客様より警察機関などへ直接相談していただくことをおすすめしています。

その他、アカウントハッキングに対する取り組みについては、
以下ページにてご案内いたしております。
http://www.ragnarokonline.jp/support/policy/accounthacking.html
http://www.ragnarokonline.jp/playguide/play_manner/account_hacking.html

以上、ご確認ならびにご検討いただけますようお願い致します。 <> (○口○*)さん<>sage<>07/06/07 23:43 ID:swBKQonY0<> PG2ってサービスとして起動する方法はないんかな?
Windowsのサービスはログオンするよりも前に起動されるのに対し、
PG2はログオン後に起動されるから、その間が無防備になっちゃうんよね。
まあ、仮にサービスとして起動できたとしても、Maranサービスと
PG2サービスはどっちが先に立ち上がるか分からんから意味ないか。

PG2はあくまでも感染前の防御手段であって、
感染後はもはや役に立たんぐらいに思っといた方がいいかな。 <> (○口○*)さん<>sage<>07/06/07 23:50 ID:oTrdexLV0<> >感染後はもはや役に立たん
それはPG2に限らず何でも同じだ <> (○口○*)さん<>sage<>07/06/08 00:27 ID:hll7w34w0<> >>570
まあ、絶対そうというわけでもない。マルウェア作者としても、
想定されるすべてのセキュリティ系ソフトを殺しにかかるなんてやってたら、
コードが肥大化して仕方がない。下手を打てば、感染をユーザーに気付かれてしまう。 <> (○口○*)さん<>sage<>07/06/08 00:39 ID:/QmrUsUm0<> 起動前にLANなり抜いておけばいいんじゃね <> 630
◆tr.t4dJfuU<>sage<>07/06/08 04:27 ID:uEdf7O7p0<> テンプレ回答ついでに気になる事があったので報告
6/4に"警察に照会を頼みましたので迅速な対応お願いします"のような事を癌に報告
6/5に癌から"警察より照会などの手続きがあれば弊社も提出します"っぽい返答
そして今日のテンプレ解答へと至るんだが
6/4の自分の追加発言は確認出来たが、6/5の癌からの返答が何時の間にか消えていた。
何か癌も危ない発言したのだろうか。 <> (○口○*)さん<>sage<>07/06/08 04:30 ID:/QmrUsUm0<> ところで630よ、上でも言われてるがまとめサイトは作る気あるのか? <> 630
◆tr.t4dJfuU<>sage<>07/06/08 04:31 ID:uEdf7O7p0<> HP作成系の知識はまったく無しなんで厳しい現状 <> (○口○*)さん<>sage<>07/06/08 04:34 ID:mgdUeVQR0<> まぁ今はそれ所でもあるまいしな。
とりあえず事の経緯は詳しく記録しておくと良い。 <> (○口○*)さん<>sage<>07/06/08 05:07 ID:dY+qu5Ox0<> >>575
blogでやったらどうよ?アレならHTMLのH位分かれば出来る。
レンタルblogサービスも結構有ることだし。
記憶が新しい内にまとめて皆に助言を受けられるようにする事は
その作業自体はちょっと大変だけど、得られるものは大きいと思う。

ただ、そこにアカハックアドレス書き込み喰らったら笑えないので
デザインよりは機能重視で選んだ方が良いと思う。
ホスト制限機能とかURL書かれても直リンクにならない機能とか
コメントは管理者の認証が無いと公開されない、とか、
いっそのことコメント機能はOFFにするとか(情報交換が難しく
なるのでこれは最後の手段かな)。そういった管理面での機能が
充実している物を選ぶと良いかと。

自分はレンタルの奴は借りた事無いのでその方面での助言は
出来ません、申し訳ない。幾つか借りて比べてみるか、詳しい方に引継ぎ。 <> (○口○*)さん<>sage<>07/06/08 05:48 ID:Oo7zZ+WR0<> ブログネタ。アカハックとは関係無いのでこちらに。Symantecより。
ttp://www.itmedia.co.jp/news/articles/0706/06/news016.html
(原文) ttp://www.symantec.com/enterprise/security_response/weblog/
RMTや育成代行のスパム。
洋ゲー(ぶっちゃけWoW)の話なのでこちらにはあまり関係ないかもしれんけど
バイアグラや株やチ○コがデカくなるとかの英文スパムが
国籍問わずに飛んでくるので、そのうち来るかもなぁ。 <> (○口○*)さん<>sage<>07/06/08 06:43 ID:Uqq9x6pY0<> コメントOFFでいいでしょう。
そっちで情報交換する必要も特にないだろうし。 <> (○口○*)さん<>sage<>07/06/08 10:15 ID:A261aAza0<> コメントとトラックバックオフ機能がついてて、あんまりカスタマイズできないエキサイトブログがいいんじゃないかね
送信PINGをオフにすると新着ブログにも載らないんで、知らない人はまずこなくなるし <> (○口○*)さん<>sage<>07/06/08 10:27 ID:s+yX9vYp0<> このスレのテンプレまとめたサイトに、事例の1つ的な扱いで発言をコピペしとくだけでいいのでは? <> (○口○*)さん<>sage<>07/06/08 10:54 ID:TdJgPUfr0<> まとめサイトの人に掲載頼むにせよ、Blogとかを持ってるほうが楽な気が。

生書き込みを転載すると前後のやり取りとかが必要になったりして冗長になるし
書き込みがある度に都度都度更新ってのも大変だろうし。
リアルタイムで進行してる事例として、リンクを貼ってもらう方がいいと思う。 <> (○口○*)さん<><>07/06/08 13:28 ID:76w5ShfS0<> >>569
M$オフィシャルの手順。
ttp://support.microsoft.com/kb/137890/ja
SETI@home向け手順。こっちを読み替えた方が理解しやすいかも。
ttp://rina.nadenade.com/nackey/talks/SETI_at_home/service/

そのままだとResKitが必要になるが、類似のフリーソフトもあるのでそのあたりはご自由に。 <> (○口○*)さん<>sage<>07/06/08 13:51 ID:4GJZ4+SW0<> ttp://www.nanshiki.co.jp/free/ <> (○口○*)さん<>sage<>07/06/08 14:16 ID:TdJgPUfr0<> 何も書かずにsexeの配布先を書いても不審がられるだけだと思う……

sexe(ServiceEXEの略と思われる)はプログラムをサービス登録するもので、リソースキットを
使うより簡単に設定できる。


ただPG2をサービス登録してOS起動時から動くようにしても、あまり意味が無い気がする。 <> (○口○*)さん<>sage<>07/06/08 15:48 ID:hll7w34w0<> 感染したけど、PG2が防いでくれて助かったみたいなカキコは過去にあったからな。
PG2のブロックに気付かずに再起動かけると、ログイン前の無防備な状態のときに、
前回送信できなかったパスを再送信とかやられる可能性はあるな。トロイからすれば
ユーザーがログインしてようがしてまいが、Windowsさえ起動してれば活動はできるからな。

ただし、>>569にもあるように、PG2をサービス化しても、Maranもサービスである以上、
どちらが先に起動されるかは分からない。が、単純に確率の問題として、PG2をより長く
常駐させれば防げる確率が上がるという発想自体は、まあそれで良いような気もする。 <> (○口○*)さん<>sage<>07/06/08 22:36 ID:+u4bfMIr0<> そこまでするならルータに設定したほうが確実な気がしてきた。
でもPG2のように自動更新が出来たり簡単にON・OFF出来たりするものは無いだろうなぁ…… <> (○口○*)さん<>sage<>07/06/09 00:33 ID:XON51GOQ0<> >>587
ルータだとアクセス不許可に設定できるアドレスが少なくないか?
自分はcn,tw,kr全拒否にしたいんだがルータの設定可能な数が少なくて困ってる <> (○口○*)さん<>sage<>07/06/09 02:14 ID:2l+79x+o0<> 630の人よ
HPじゃなくても無料のBlogあたりで、いいんでないかい? <> (○口○*)さん<><>07/06/09 09:47 ID:+oPcslYo0<> っ KURO-BOX/PRO <> (○口○*)さん<>sage<>07/06/09 19:42 ID:ZxxMIgsH0<> PeerGuardian2のことで教えてください

ここ数日UDPというプロトコルで、中国・韓国・香港・台湾の
ログが残ります。電源切り忘れて出かけた日、数時間ごとに
何回かログが出ていました。

こういうログが残るということはFWソフト(Kaspersky入れてます)で
何か対策をすべきなのでしょうか?

直接アカハックに関係ない事なのかもしれませんが、
気になってしょうがありません。
教えていただくか、どこかに誘導いただけると嬉しいです。 <> (○口○*)さん<>sage<>07/06/09 19:50 ID:uejhTgn50<> なんといううざさ <> (○口○*)さん<>sage<>07/06/09 19:53 ID:4k50+81R0<> >>591
このスレを最初から じ っ く り と読むこと。 <> (○口○*)さん<><>07/06/09 22:16 ID:aIttpfu70<> Ad-Aware2007のフリー版来てるね
有志による日本語化パッチ来るかどうか知らんが <> (○口○*)さん<>sage<>07/06/09 22:17 ID:aIttpfu70<> ageちまったスマソ <> (○口○*)さん<>sage<>07/06/10 00:57 ID:eGkMvYFJ0<> Ad-Awareは日本代理店決まってから日本語パッチは出せないんじゃなかったっけ? <> (○口○*)さん<>sage<>07/06/10 10:34 ID:842U9p420<> 日本語化して使えないとなるとライトユーザには微妙だよなぁ… <> (○口○*)さん<>sage<>07/06/10 12:48 ID:/ga6/gQP0<> START押すだけじゃん <> (○口○*)さん<>sage<>07/06/10 13:27 ID:6yi6YQ8R0<> >>598
警告メッセージとか出た場合それだけじゃ済まないでしょ。 <> (○口○*)さん<>sage<>07/06/10 13:39 ID:aK1otbzz0<> 日本に住んでて義務教育くらい受けてねーのか?まだ小学生? <> (○口○*)さん<>sage<>07/06/10 17:27 ID:MAQ6XcgB0<> そもそも他のベンダーのセキュリティの(初期)報告ページは英語だし、
使おうと思うなら微妙じゃなく読む努力くらいしなさい、としか。
「ライトユーザー」という言葉だけでは努力しない免罪符にはなり得ないですよ。

警告メッセージが出たところでそんな難しいこと書いてないんですけど。

>(元)Ad-Aware(アドウェア)SE日本語版パッチ配布
>ttp://bdc.s15.xrea.com/content/view/261/1/
上記サイトの話によると「アスキーソリューションズ」から発売のようです。

で確認したところ・・・日本語版、休止だそうですね。
>アスキーソリューションズ スパイウェア、アドウェア 対策 ソフト Ad-AwareSE
>ttp://www.asciisolutions.com/products/adaware/ <> (○口○*)さん<>sage<>07/06/10 18:04 ID:nY3G1I340<> 知ってる話題だろうけどハッキングアドの一部は
タイポスクワッティング(URLタイプミスを悪用してサイト誘導)を
考えて取ってる気がする。

ttp://www.itmedia.co.jp/enterprise/articles/0706/01/news021.html <> (○口○*)さん<>sage<>07/06/10 18:40 ID:A2DXNtnz0<> >>601
ここの住人とかはきっと問題ないんだけど、セキュリティの難しさは、
「ライトユーザー」にどう意識づけさせて、どう理解させるか。
全部わかれ!というのは簡単だろうけど、
そんなもん期待できるわけがない。

ライトユーザー側は免罪符にしようとすら意識していなくて、
雰囲気だけで「だってよくわからないし」「だって難しそうだし」と平気でいってくる。
それはもう見捨てるしかない、で終わらせていいのかどうかですよ。 <> (○口○*)さん<>sage<>07/06/10 18:42 ID:6yi6YQ8R0<> 英文のみという時点で英語力がないライトユーザーは怯んでしまう。
自分で調べてまで使おうという人はもはやライトユーザーとは呼ばない。
要するに日本語化できないとライトユーザーはまず使ってくれないから勧めるのは微妙となる。

とまあこう思ってる。
他の人はどう思ってるか知らないけどな。 <> (○口○*)さん<>sage<>07/06/10 18:44 ID:YdQIdNwp0<> ライトユーザーなら感染していること自体気が付かないだろうから放置でいいじゃない <> (○口○*)さん<>sage<>07/06/10 18:54 ID:kPsrKEPk0<> 見捨てるも見捨てないも、そもそも他人事だし

自分はもらっても、他人にあげる気ゼロな人を助けたとして
一体どんな積極的利益がもたらされるのか
自己満足やボランティア以外助ける動機なんて全然見当たらない <> (○口○*)さん<>sage<>07/06/10 19:11 ID:eGkMvYFJ0<> 「困っていて助けを求めてくる、その人は何とかしようという気がある」
こういう人なら手伝ってあげても良いと思うけどね
「何の気もなしにただただ助けて・教えて」
みたいなのはまず努力しろと言えばいいかと <> (○口○*)さん<>sage<>07/06/10 20:28 ID:p1Bub9OL0<> 意識している人間なら検索で使用法を書いてるサイトに行き着いて自己解決するし
そういう気がさらさらない人はたとえ日本語であったとしても読まないから話し合っても無駄だと思う。

>>607
後者は学習しないから同じ事を何十回と聞くんだよね。
同僚にそういうのがいてげんなり。 <> (○口○*)さん<>sage<>07/06/11 00:17 ID:NlZoEugm0<> オイオイ相手はライトユーザーだぜ?
やる気のあるなしとかじゃなくて、どれだけ負担を少なくするかってことが重要だろ。
いきなり小難しい英文のやつ突き付けられたら、ただでさえ厄介なPCってモノ相手に引き気味だってのに
余計になけなしのやる気を奪っちゃうだけだ。
PCに関してあまり努力しないからこそライトユーザーって呼ばれる訳だし。
そういう意味で無料とはいえAd-Awareは微妙ってことなんじゃないのかい?
まずは低いところから徐々に慣らしていかなきゃ。 <> (○口○*)さん<>sage<>07/06/11 00:32 ID:tIQVihL30<> それなら完全日本語化されていてサポートも受けれる製品版を買えばいいだけ

無料で済まそうとするなら、その対価を要求されるのは当然だ <> 609<>sage<>07/06/11 01:16 ID:NlZoEugm0<> >>610
おっと、言葉が足りなかったか。
「日本語化されてない」無料のAd-Awareが微妙ってことで
日本語化されてる製品版の方を買わせるってのは同意だ。 <> (○口○*)さん<>sage<>07/06/11 01:30 ID:GrhhykFe0<> メーカーPCがなまじ全部入りみたいなソフトの入れ方してるから
ソフトウェアを”買う”と言う意識すら希薄だからな、一般ユーザは。

買わせるためとは言え、売りっぱなし状態のメーカーの罪は大きいが
何時までもそれを理解しようとしないユーザもどうかと思うね。 <> 597<>sage<>07/06/11 02:19 ID:zCrPuCJ40<> 設定よく見てみた訳じゃないけどカスタムスキャンが出来なくなってるぽいな
2007とSE、Spybotとの競合性もまだわからんからしばらく様子見てみるかな <> (○口○*)さん<><>07/06/11 02:21 ID:xaaiQ4650<> ていうか、この手のスレって絶対に教えて君関連で揉めるんだから、
学習の為に残しておきたいとか言ってないで止めちゃったら?
学習意欲のある人はこんなスレ無くても自分で対策見つけるし、
無い人はどうせいつかPCダメにするんだから同じでしょ。 <> (○口○*)さん<>sage<>07/06/11 02:29 ID:/ujpgVle0<> にゅ缶のスレやここで大まかな事を知り、色々調べた結果半年前とは危機意識もセキュリティも劇的に変わった
俺のような奴も居るので、ここは大変ありがたいスレです。 <> (○口○*)さん<><>07/06/11 02:52 ID:xaaiQ4650<> このスレで成長する奴というのが、実際どれだけいる?
それってスレ存続の為の大義名分に過ぎないのでは?
具体的なビジョンが全く見えてこない。
学習意欲のある「模範的教えて君」を上手に振る舞うなんて
人間なら当然の発想だと思うけど・・・
何杯食わされ続けたら気が済むのよ? <> (○口○*)さん<>sage<>07/06/11 03:05 ID:lIUbMjqY0<> どうしたいの?スレを無くしたいの? <> (○口○*)さん<><>07/06/11 03:21 ID:1wDduZEO0<> PC関係で使われるような英文は、検索すれば出てくるテクニカルタームを除けば、中学英語レベルの語彙で
十分読解できる程度。
それに、翻訳サイト等の手を借りれば、言い回しの癖などにも対応できる。
グローバリゼーションの時代に、この程度で尻込みしているようなら、実生活でも何かと不便になるだけ。
それに、理系学科だったら、英語論文や技術資料に触れるのは必然になるし。 <> (○口○*)さん<>sage<>07/06/11 03:23 ID:eqGrs9BR0<> >>613
Ad-Aware2007のカスタム設定、PlusかPROじゃないと出来ないとメッセージが。
使いこなしたいならシェア登録して下さいと言うことみたい。 <> (○口○*)さん<>sage<>07/06/11 09:15 ID:/pWAyyPU0<> スレの流れが良く判らん。

初心者という言葉を免罪符にして質問に来た人に対して、答える気がある人が答えたらいいだけだろう。

不特定多数の人間が来る以上同じ質問が出る事も当然あるし、それがFAQならテンプレに纏めて
そっちを見ろ、と言えばいい。
テンプレ化が面倒なら誰かが纏めるのを待つのもいいし、過去ログ嫁、で終わらせてもいい。
それに質問自体がウザいなら、スルーすればいい。

質問者に知識が無いから答えたくない、成長しないから答えたくない、ってのは回答側の1つの意見。
それを肯定も否定もしないが、単に答えたくないならスルーして終わり、だろう。
別に答える義務も無いんだし、答えたい人が答えるのを待てばいいだけ。
全員がウザいと思ったのなら全員がスルーする事になるが、それはそれで1つの回答でもある。

質問が気に入らなければスルーすれば済む話でそれ以上でも以下でもない。
ついでにいえば、質問者に指摘するのと質問者を煽るのは全くの別。
煽った所で何の益も無い。 <> (○口○*)さん<>sage<>07/06/11 10:15 ID:Dv1mZLt/0<> 本スレからの移動。

本スレからの移動
>スパイウェアドクターとavast再インスコ後速攻でいれたのにしばらくすると攻撃受けてます
>の表示がでる。そしてトロイが次々と送られてきてavastじゃ通り抜けられてるんだ

スパイウェアドクターが疑惑ソフトであるのと声
ttp://questionbox.msn.co.jp/qa2654129.html
ttp://virus.okwave.jp/qa3029799.html
ttp://pc11.2ch.net/test/read.cgi/sec/1147405865/l50

googleパックの中に入っているソフトではありますが、導入しないほうがよいと思われます。
googleには報告済みですが、このソフトを導入した所、NOD32が疑惑ソフトであると検知しました。
誤検知の可能性もありますが、このスパイウェアドクターが、トロイとなって、攻撃を誘発しているか
存在しない攻撃を検知して購入させようとしていた疑いがあります。

2007/06/04 15:48:20 Kernel ファイル C:\Program Files\Spyware Doctor\SDTrayApp.exe ウイルスの可能性 : NewHeur_PE ウイルス
2007/06/04 15:48:19 Kernel ファイル C:\Program Files\Spyware Doctor\swdsvc.exe ウイルスの可能性 : NewHeur_PE ウイルス
2007/06/04 15:48:00 Kernel ファイル c:\program files\spyware doctor\sdtrayapp.exe ウイルスの可能性 : NewHeur_PE ウイルス

システムドクターのような真っ黒なものではなく、検体として保持していたものを幾つか正確に検知してはいましたので
自己責任で入れるべき「グレーの」ソフトであると考えたほうが良さそうです。

参考情報
怪しいアンチスパイウェアやウイルス対策ツール集
ttp://ratan.dyndns.info/avast4/systemdoctor2006.html
ttp://ratan.dyndns.info/avast4/2007nisemono.html <> (○口○*)さん<>sage<>07/06/11 11:08 ID:Vo/cC67b0<> PeerGuardianのブロック項目にCN(jprmthome)から自PCへのアクセスがあって
ブロックした履歴があるのですが、これは垢ハックウィルスに感染して中華からアクセスされてるんでしょうか? <> (○口○*)さん<>sage<>07/06/11 11:19 ID:/pWAyyPU0<> >622
その前にカスペのオンラインスキャン等は試した?

垢ハクのトロイがバックドアの機能を持っていても不思議じゃないし、感染を疑った方がいいかも。

1.今現在感染してて、侵入を試みてきた
2.以前感染してIPを取られてて、それを元に侵入を試みてきた
3.感染してないがjprmthomeからの無作為のアタックを偶然喰らった

考えられるのはこれぐらいだろうけど、他のIPなら兎も角jprmthomeからって時点でかなり怪しいような。 <> (○口○*)さん<>sage<>07/06/11 11:26 ID:Vo/cC67b0<> >>623
かなり昔に一度だけ体験版カスペで試した時は感染無かったですね
今現在はavast常駐させてますが、特に警告等は出ず
とりあえずカスペオンラインスキャン試してみます、レスサンクスです <> (○口○*)さん<>sage<>07/06/11 22:39 ID:M8hKAo6p0<> >624
まだスレ見てて、もしよければ、スキャン結果がどうだったか教えてくれないか?
jprmthomeが無作為のアタックしてくるのかが気になるので。

感染してたとかなら判るが、ちょっと気味が悪い。 <> (○口○*)さん<>sage<>07/06/11 23:34 ID:Vo/cC67b0<> >>625
カスペオンラインスキャンかけてきました
最初は重要な領域、次がavast切ってからCドライブ全部と2回かけてみましたが何も見つからず
見つからないってのが一番怖いですね、これならまだ見つかって駆除出来た方がすっきりするんですが
ちなみにブロック履歴は今月6日の「こっちのPC:2670」 「125.70.23.220:1748」 TCPでした
ルータやウィンドウズのFWでは2670ポートは解放等はしていません

とりあえずwikiにある対策は全てやってるのでしばらくはPeerGuardianの履歴等を見てみるとします <> (○口○*)さん<>sage<>07/06/12 04:00 ID:vpJjTiUO0<> 先ほど友人が感染してしまったのですが、
「阿修羅 モンク」でぐぐって出たページを見ていたところ、
比較的上位のページの何処かで感染してしまったようです。
詳細が既に再インスト開始してしまったので判らないのですが、念のためお気をつけ下さい。 <> (○口○*)さん<>sage<>07/06/12 04:56 ID:56EYFmrz0<> モンクテンプレか・・・? <> (○口○*)さん<>sage<>07/06/12 05:42 ID:vpJjTiUO0<> テンプレは見てなかったそうです。
何処かで真っ白に表示されたページがあったとの事。 <> (○口○*)さん<>sage<>07/06/12 11:14 ID:JSUeHmT90<> どこかのBlogの米欄に張られてたのかね?
ぱっと見た感じ見つからなかった。 <> (○口○*)さん<>sage<>07/06/12 11:44 ID:9G7lJfJo0<> >>626
>「こっちのPC:2670」 「125.70.23.220:1748」TCP
ってのは送信元=自分のPC、送信先=中国という意味?
>>622みると「CN(jprmthome)から自PCへのアクセスがあって」とあるけど、
「自PCからCN(jprmthome)へのアクセスがあって」の間違いってことはない?
どっちが送信元かで意味がだいぶ変わる。中国が送信元でブロックされてるなら
貴方のPCのポート2670が開放されてるということになる。
ルータでブロックされてるならPG2の履歴に残るわけないので。

送信元=中国だとすれば、一度ポートスキャンをかけてみてはどうだろうか。
ttp://www.atmarkit.co.jp/fsecurity/rensai/securitytips/006portscan.html
1ポートだけならこの辺でも
ttp://www.cman.jp/network/support/port.html <> (○口○*)さん<>sage<>07/06/12 18:11 ID:xLV1LXY+0<> HackerJapanの7月号にあったが、rootkitも仮想化技術と組み合わせて
検出不能に近いタイプも考えられてるらしい。

それとほぼ同じ内容の記事が去年出てたので紹介。
ttp://www.itmedia.co.jp/enterprise/articles/0610/20/news050.html
ttp://itpro.nikkeibp.co.jp/article/COLUMN/20060417/235465/

>247あたりから仮想PCとPG2の話が展開されてたが、今後この手の技術を
用いたトロイが登場するとかなり危険。

さらに>255が書いてるが
>ただ、トロイ自体が仮想PCと同様の仮想ネットワークアダプタを作って
>独自の通信を行うとかの進化をすると、PG2では防げなくなる、とも
>言いますが……

これも上の記事からすれば、かなり近い将来の姿になる可能性がある。

だから何が出来る、というわけでもないが、PG2も万能じゃないので過信は
禁物、という事で。 <> 626<>sage<>07/06/13 02:49 ID:xigBQYd80<> >>631
送信元がこちらで、送信先がCNでした
この場合自PCにCNから不正アクセスされたのでは無く、こちらからCNにアクセスしたという事になるのでしょうか?

>>632
そこまで来るとユーザ側での対策にも限界がありそう・・・ <> (○口○*)さん<>sage<>07/06/13 05:59 ID:2UW7LAJi0<> 中国・韓国・台湾を弾くPG2を使用して、Wikipediaを見るときは解除してたのですが、
さっきなんとなく解除しないでGoogleからWikipediaに飛んだところ
ブロックされることなく普通に見れてしまいました。

サーバーの場所(?)などが変ったり、
リストが何か変ったりしたのでしょうか? <> (○口○*)さん<>sage<>07/06/13 06:29 ID:uPHCCzm90<> 15分間か1時間は1度解除したらそのままだしね <> (○口○*)さん<>sage<>07/06/13 07:11 ID:2UW7LAJi0<> 最近は「○○分許可する」ではなく、
見たいときはPG2を「無効」にしていたのですが、
書き込みから結構時間がたち
WindowsUpDateらしきものをして再起動した今でもWikipediaを普通に見れます。

PG2の画面上の「保護」タブの最上段では
「無効」「○○IPをブロック中」「HTTPはブロックされています」「HTTPを許可」
と表記されているのですが、これで間違ってはいないですよね?

試しにkRO(ttp://ragnarok.co.kr/ )に繋ごうとしたところ、きちんとブロックしてくれました。
Wikipedia側で何かが変ったのかな…? <> (○口○*)さん<>sage<>07/06/13 08:07 ID:ikEwcQdB0<> wikipediaのIPが変わったんだろう。 <> (○口○*)さん<><>07/06/13 08:39 ID:LiFXqs040<> >>637が正解ぽい。
今までは、ja.wikipedia.org→rr.yaseo.wikimedia.org (kr)へのaliasだったようだが、現段階では、rr.pmtpa.wikimedia.org (us)
へのaliasになっている。
米国NEUCOMへの割り当て領域なので、中韓台フィルタに引っ掛かる訳はない。

それと、月例WUにつきage
ttp://www.microsoft.com/japan/technet/security/bulletin/ms07-jun.mspx <> (○口○*)さん<>sage<>07/06/13 09:13 ID:2UW7LAJi0<> >>637-638
ありがとー
このままなら、いちいち許可や解除しなくていいから便利ですね。 <> (○口○*)さん<>sage<>07/06/13 09:19 ID:HOou4iEK0<> >633
簡単な確認方法を。

コマンドプロンプトから
Ping 125■65■112■15
Ping 125■65■112■93
とjprmthomeに対してPingを打って、PG2のログを見る。

>626のログと同じ状態なら自PCからjprmthomeへ送信。
この場合、自PCがjprmthomeに対してアクセスしようとしてるので、ブラウザでリンクを踏んだか
まだ未検出のトロイがPC内に居て勝手に送信か、のどちらかと思われる。

逆ならjprmthome→自PCで、外部(jprmthome)からアクセスがあった事になる。
この場合、単純に情報を盗みにアタックしてきてるか、何らかのバックドアが既に仕掛けられてて
何らかの形で利用しようとしてるか、無作為のアタックをしてるか、のどれかと思われる。

後、念のためhostsの中身は確認の事。
そこに127.0.0.1以外の記述が勝手にあったらトロイ云々の話じゃないので。 <> (○口○*)さん<>sage<>07/06/13 12:13 ID:ONVRurch0<> >>633
>この場合自PCにCNから不正アクセスされたのでは無く、こちらからCNにアクセスしたという事になるのでしょうか?

その通り。貴方のPCが自発的にCNに繋ぎに行ったということです。考えられる要因としては
1.貴方がブラウザでWEBページを閲覧中に、CNへの接続を必要とするページを見に行った。
2.貴方のPCにインストールされているソフトウェアが、勝手にCNへの接続を試みた。

通常、ブラウザで閲覧した場合は、送信先ポートは80になるはずなので、ポート1748に
繋ぎに行ったとなると、2の可能性の方が高いかなあ。(1の可能性もないわけではないです) <> (○口○*)さん<>sage<>07/06/13 14:57 ID:RXjH/GVT0<> 唐突にメッセに登録してきた人がいるのですが
名前が漢字のみでほとんど読めず、どうも中華系かと思われます。
メールアドレスがhuixinzhuanyi■■■@hotmail.com(一部伏字)なのですが
心当たりのある方いらっしゃいますか? <> (○口○*)さん<>sage<>07/06/13 16:47 ID:mQd6qQIc0<> >>642
よくあることだからいちいち気にしてられない。
無視しとけ。 <> (○口○*)さん<><>07/06/13 17:59 ID:ll6dFGE+0<>
    ∧_∧  / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
  ∧( ´∀`)< 月一WindowsUpdateあげ
 ( ⊂    ⊃ \____________
 ( つ ノ ノ
 |(__)_)
 (__)_) <> (○口○*)さん<>sage<>07/06/13 18:07 ID:va9udpL20<> つい先ほどPG2をいれてみたんですが、最初から入ってるブロックりすとに

Gungho Online Entertainment.Inc 219.123.155.165
が登録されてたんですが、ROを起動しようとするとブロックされるみたいです。
これは私が既にウィルスはいってて、上記の癌とは違うIPへ通信しようとしてるのか
それとも、元から癌のIPはブロックリストにはいっているのか、どちらなのでしょうか。 <> (○口○*)さん<>sage<>07/06/13 18:12 ID:HOou4iEK0<> >645
P2Pリストを外せばOK <> (○口○*)さん<>sage<>07/06/13 18:16 ID:1YEvQ95x0<> これもよくある質問だな…
初回セットアップ時に反P2P組織にチェック入れたままインストールするとそうなる。
詳細が知りたければ「PeerGuardian 反P2P組織」でぐぐれ。 <> 645<>sage<>07/06/13 18:19 ID:va9udpL20<> >646さん
ありがとうございます。
書いたあとにいろいろ試していたのですが、どうも癌のIPはほぼすべてブロック対象に
なってるみたいですね。
ログインからなにからなにまで、すべて途中で止まってしまうのでこれは面倒な・・・
と思っていたところでした。

まとめサイトを見て、リストの追加などは行ったので、P2Pリストは外しておこうと思います。
一つずつ許可をだしてみたんですが、ゲームサーバが変わる度にとまるんですねorz <> (○口○*)さん<>sage<>07/06/13 18:28 ID:GbUSky100<> >>468
PG2導入時に、企業関係のトラッキングをブロックする設定にチェックつけたでしょ。多分そのせい。P2Pリストじゃない筈。
許可リストに、このスレのテンプレもどきにある奴入れとけばOKですよ。 <> 645<>sage<>07/06/13 18:47 ID:va9udpL20<> PG2インストール時は、チェックBOXはなんとなく眺めて問題ないかな?
と思った程度なんですが、特に弄ってはいなかったと思いますが、実はよく覚えていませんorz

P2Pリストをチェックしなおして、許可リストに>2のIPをいれて無事に解決しました。 <> (○口○*)さん<>sage<>07/06/13 20:05 ID:GbUSky100<> アンカー間違ってた気がするが、気のせいということで・・・・・・・・・・・・で、テンプレの話題はどこまで進んだんだっけ? <> (○口○*)さん<>sage<>07/06/13 21:57 ID:HOou4iEK0<> >651
>550-562あたりで止まってるような。

こういう時にWikiがあれば、スレ消費しなくてもあれこれ改良出来るんだが
テンプレを作るためにレンタルWikiを借りるのもなんだしなぁ。 <> (○口○*)さん<>sage<>07/06/13 22:15 ID:Wp+wEFbR0<> >>652
場所だけなら 何とかしましょうか。 <> (○口○*)さん<>sage<>07/06/13 22:17 ID:GbUSky100<> クエストWikiみたいに、編集は別ページでないとできないようにするとかでWiki用意できたら
活用しやすそうだなとかは思いますね。 <> (○口○*)さん<>sage<>07/06/13 22:43 ID:HOou4iEK0<> 一時的な作業スペースを借りれるなら有りがたいかも。

というか自分が考えてたのって、スレのテンプレとまとめサイトに掲載をお願いする分を
作るためだけの場だったんだけど。

ハク対策等はまとめサイトがあって、今ではある意味総本山的な扱いになってるから
別途Wikiで情報サイトを作るのはどうかと思うしね。 <> (○口○*)さん<>sage<>07/06/13 23:05 ID:GbUSky100<> 1箇所集中なのは確かにいいんだけどね、対策のまとめに、報告先一覧とかいらないかもしれないし
リンク張れば済むかなとか。

まとめサイトの人が掲載してくれたら、編集用Wikiから消すとかでもいいかな。
(まとめサイトの人が、載せてくれるとは限らないから) <> 653<>sage<>07/06/14 00:09 ID:x5E0Kaf20<> >>654
そこまでやる元気はありませんでした。

>>655
メモ帳にするなり、本格活用するなり住人にお任せの方向で。



ROセキュリティWiki
http://rosafe.rowiki.jp/

運用はいますが、管理人はいません。
放置するのも難なので、使われないようなら消しちゃいます。 <> (○口○*)さん<>sage<>07/06/14 01:14 ID:R0JdLJS60<> >>657
ぶ、弓手Wikiの中の人ですか、乙であります。
色々やっておられるようで頭が下がりますわー。 <> 626<>sage<>07/06/14 01:50 ID:fq9HlerV0<> >>640
ping打ってみた所、PGログが送信元こちら、送信先CNになりました
hostsはwikiの記述通り修正してありましたが、再度修正して読み取り専用にしておきました

>>641
80番で無いのでトロイが潜んでる可能性もありそうですね
セーフモードで悪意のあるソフトウェアの削除ツールをかけてみましたが何も見つからず
これがウィルスのステルス化って奴なんですかねえ <> (○口○*)さん<>sage<>07/06/14 02:03 ID:iyaluP6A0<> >>659
OSがXPなら念の為「ファイル名を指定して実行」で「msconfig」と打って
「サービス」と「スタートアップ」を確認してみたらどうでしょう?
知らないものが実行されている可能性もあるかも知れませんし。 <> (○口○*)さん<>sage<>07/06/14 13:37 ID:cgJ/3blg0<> >>657 ありがとう。

現行テンプレもどきのコピペと、ちょっと上で出てきた内容を記入してみた。
基本的対処法としてPG2とhostsをスレのテンプレにって意見が出ていたけれど、あれはまとめサイトでいいと思う。

予防法でしかなく、緊急に必要なのは、セキュリティソフトによる削除だから。
(連投規制でスレ立てに支障が出るということもある) <> (○口○*)さん<>sage<>07/06/14 13:44 ID:cgJ/3blg0<> >>828-829

>>1
>※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

このスレでもLiveROのセキュスレでも対応範囲外。
検索サイトによっても順番は変わるが、グーグルで検索した2番目だと出ないな。

取り敢えず、セキュスレへ行って「怪しいサイトに思えた場合の対処法」を読んで来い。

セキュリティ対策、質問・雑談スレ2
ttp://enif.mmobbs.com/test/read.cgi/livero/1177485590/535 <> (○口○*)さん<>sage<>07/06/14 13:45 ID:cgJ/3blg0<> ・・・本スレに投稿するものを誤爆しました。orz <> (○口○*)さん<>sage<>07/06/14 20:40 ID:giB4Z1DL0<> 詐欺的セキュリティソフトの販売サイトを複数確認、ウェブルートが警告
ttp://internet.watch.impress.co.jp/cda/news/2007/06/06/15952.html

詐欺的ソフトの日本語版広告ページに注意、ウェブルートが警告
ttp://internet.watch.impress.co.jp/cda/news/2007/06/14/16039.html

垢ハクとは直接関係ないけど、危険ドメインとして登録しておいた方がいいかも。 <> (○口○*)さん<>sage<>07/06/15 09:23 ID:lTE/Q8kf0<> ttp://itpro.nikkeibp.co.jp/article/NEWS/20070614/274798/?ST=ittrend

こんなものまで・・
対策されてるのかな? <> (○口○*)さん<>sage<>07/06/15 11:45 ID:bGxMZ5TS0<> ah■tena.com踏んでしまったorz
一回カスペオンラインスキャンで検出されて一般的なトロイの削除方法で削除して再スキャン。
それでもう検出されなくなったから安心してたんだが、今ふとオンラインスキャンしたらまた同じ場所にいた…。
それで今度はカスペのトライアルで全スキャンしたら出ない。
何なんだこれ。 <> (○口○*)さん<>sage<>07/06/15 11:52 ID:/BpHIS3g0<> Wikipedia、また韓国鯖に戻りましたかね。 <> (○口○*)さん<>sage<>07/06/15 12:02 ID:S+uaSWuC0<> >>666
>一般的なトロイの削除方法
その辺が間違ってたんじゃないのか?

ま、OS入れなおしコースいってらー <> (○口○*)さん<>sage<>07/06/15 18:44 ID:HCvuW1qi0<> >>667
戻ったね。ロードバランシングのメンテかねぇ <> (○口○*)さん<>sage<>07/06/16 05:02 ID:qnxsoRAN0<> >>660
実行して調べてみた所特に怪しいプロセスはありませんでした

スキャンしても見つからないのでPG等でしばらく様子見してOS入れ直しするか決める事にします
ありがとうございました <> (○口○*)さん<>sage<>07/06/16 05:03 ID:qnxsoRAN0<> すみません、上は>626です <> (○口○*)さん<>sage<>07/06/16 11:29 ID:xYxLTZi40<> 初心者むき出しの質問で申し訳ないですが
怪しいもの踏んじゃったんだけど、
ウイルススキャンとかしてもうまく駆除とかできなかったので
リカバリディスクでOS再インストールしたんだけどこれなら大丈夫かな? <> (○口○*)さん<>sage<>07/06/16 11:40 ID:j/V9DmVD0<> それっぽっちの情報で、他人が平気と言ってくれれば平気で終わるのか。

オワタ\(^o^)/ と言われたら諦めて終わるのか。


...



何について「大丈夫かな」なのか。

PCがまた使えるかどうか?
ま、使えるんじゃねーの。

ゲームアカウント?
「怪しいもの」がキーロガーだったとして、その状態に気づく前にログインしちゃってたかどうか。

などなどがわからねば、なんとも言いようが。 <> (○口○*)さん<>sage<>07/06/16 11:49 ID:xYxLTZi40<> >>673
申し訳ありません。キーロガーっていうのはウイルスの種類みたいなものなのでしょうか?
とりあえず、
踏んじゃってからは起動してたROを終了させ、PC内をチェックし、駄目そう(&不安だったので)OS再インストール
という流れです。
現在は別のPCからログインしてハックされてないことを確認し
癌IDのパス、アトラクションのパスを全部変更したところです。

怪しいものっていうのはぴころだでUPされてたJPG等を見ていたのですが
なぜか別のアドレスに飛ばされて…といった感じです。 <> (○口○*)さん<>sage<>07/06/16 12:01 ID:qLGXvrxQ0<> >>672
PCメーカー製のリカバリディスク使用なら安全な状態に戻っています。
(自分で作ったリカバリディスクなら知りません)

リカバリ前にパスワード等を読み取られてしまったかどうかについては、>>674の説明通り
「踏んでから、ログインもパス入力もしていない」のであれば、原理的に盗める筈がないです。

>キーロガー
ぐぐれ <> (○口○*)さん<>sage<>07/06/16 12:02 ID:qLGXvrxQ0<> あと、怪しげな物がぴころだの、どのワールドのファイルを閲覧していた時かなどわかりますか?
管理人さんに削除依頼をしないといけませんが、全部見てこいというのは探す手間掛かりすぎなので。 <> (○口○*)さん<>sage<>07/06/16 12:11 ID:qLGXvrxQ0<> これか…Jpeg偽装のhtml
他の人のコメントで警告ついてますね。

11 1181816491884.jpg 流行る鴨よ ses 06/14 19:21:31 15KB 削除 <> (○口○*)さん<>sage<>07/06/16 12:14 ID:qLGXvrxQ0<> ・・・中身見たら、垢ハックじゃなかった。誤報すまん。

踏んだ人の接続IPを抜いて晒すだけの模様。 <> (○口○*)さん<>sage<>07/06/16 12:20 ID:qLGXvrxQ0<> >>674
今回他サイトに飛ばされたのは、jpeg偽装のhtmlによるもの。
ただの接続IP晒しで実害はなさそうですが、>>3 に説明されている「InternetExplorerの設定」を行なえば
回避することができた筈です。

改めて、設定をお勧めします。 <> (○口○*)さん<>sage<>07/06/16 12:23 ID:xYxLTZi40<> >>675
大変親切にありがとうございました
IEの設定等見直して今後注意するよう気をつけたいと思います。 <> (○口○*)さん<>sage<>07/06/17 23:21 ID:z9MF2OuA0<> あるROのwikiからVBS/Psymeに感染してしまったと思うのですが、
これはネットゲームのIDとPW以外にもクレジットカード等、他のIDやPWも盗まれてしまうものなのでしょうか? <> (○口○*)さん<>sage<>07/06/17 23:24 ID:rwOPuBLC0<> それだけの情報で判る人など存在しない <> (○口○*)さん<>sage<>07/06/17 23:29 ID:z9MF2OuA0<> >>682
すいません。ここのサイトを踏んでしまいました
www.m-phag■.com/bbs <> (○口○*)さん<>sage<>07/06/17 23:35 ID:/1X7kpKs0<> >>681
Psyme自体は特定のファイルをダウンロードし実行させるものなんじゃなかったっけ。
だからPsymeによって何がダウンロードされたかがわからないとその質問には答えられない

>>683
URLどころかドメイン自体存在しないようですが… <> (○口○*)さん<>sage<>07/06/17 23:49 ID:z9MF2OuA0<> >>684
ありがとうございます。何をダウンロードされたかはわかりません・・。
踏んだときは真っ白のページだったんですが、その後ソースチェッカーオンラインにかけたらVBS/Psymeを発見しました
と出たのですが、サイト自体ないということでしょうか・・?
ちなみに■の部分はeなのですが <> (○口○*)さん<>sage<>07/06/17 23:55 ID:z9MF2OuA0<> 連投すいません。後bbsの後に「/」がついてました <> (○口○*)さん<>sage<>07/06/17 23:56 ID:rwOPuBLC0<> そういう隠し方かw <> (○口○*)さん<>sage<>07/06/18 00:01 ID:qNH33h+30<> 勘違いしてたようです。「.」を置き換えるのですね・・ <> (○口○*)さん<>sage<>07/06/18 07:34 ID:eOwIPisb0<> >>681
・感染した状態でIDやPWを入力したら、盗まれることはありうる
・入力していなければ、まぁきっと盗まれない。
・スレ住人が後追いで確認しにいっても、すでになにかと差し替えられた可能性もあり
 681の状態とは変わっていることがありうる
 (スレ住人が「問題なさそ」と判断しても、本当に問題ないかはわからない)

対策
・カスペでスキャン >>2
・発見されたら駆除
---ここまで必須---

・OS再インストール
・このスレをよく読み、セキュリティ対策について学ぶ
・ウィルス対策ソフトやらFWやらIE設定やらhostsやらPG2やら、
 できるなりの対策を講じる
---ここまでは推奨だけど、その必要性を自分で判断する--- <> (○口○*)さん<>sage<>07/06/18 22:36 ID:BrY8kYnH0<> >>683
Psymeはただのスクリプト。きちんとWindowsUpdateしていれば
IEのキャッシュに居るだけだろうから一時ファイル削除。
脆弱性があった場合は www■ezbbsy■com/bbs/ro.exe
がダウンロードされ実行される。こちらがトロイ本体。
一般的な検知はMaranで、ROとリネージュのアカハック。 <> (○口○*)さん<>sage<>07/06/19 00:48 ID:K1fe5BmV0<> >>689-690
ありがとうございます。updateはしてるので大丈夫そうですね。
念のため、自分のマカフィーでスキャンの他に>>2のカスペでもチェックしましたが
何もでないので、大丈夫だと信じることにしました <> (○口○*)さん<>sage<>07/06/19 21:31 ID:l0vYi9My0<> ■Webからの大規模ウイルス感染がイタリアで発生
http://internet.watch.impress.co.jp/cda/news/2007/06/19/16088.html

らめぇえええええー <> (○口○*)さん<>sage<>07/06/20 02:27 ID:F/E+9OIN0<> >>692
多数の脆弱性を使い分ける「MPACK」、各国で被害多発
ttp://www.itmedia.co.jp/news/articles/0706/19/news019.html

たぶん同じ内容だろう
サイト管理者は注意な <> (○口○*)さん<>sage<>07/06/20 03:05 ID:zLpzhesv0<> >日本でもこのような攻撃が起こる可能性は大きいとして、ユーザーに警戒を呼びかけている。
バリバリ起きてます <> (○口○*)さん<>sage<>07/06/21 07:37 ID:o4+O9VG40<> この件について、まだIEの脆弱性対策パッチは提供されていない?
それとも最新化していれば平気なんだろうか。

ユーザ側はどう警戒すればいいんだろなぁ。 <> (○口○*)さん<>sage<>07/06/21 09:00 ID:FAEjdZeg0<> MPACKは複数の脆弱性を使いまわすのと、開発キットの形で出てるため亜種が次々に
生まれるという特徴がある。

MaranとかはIEやWinの脆弱性を突くタイプだったが、それがQuickTimeやらの脆弱性まで
使うという点で、単一のアプリケーションのパッチを当てるだけでは防げなくなってる。

対応策としては、既存のアプリケーションを全て最新版にしておく事ぐらい。
IEだけ更新すれば平気・IEを使わなければ平気、という考えはちょっと危険。 <> (○口○*)さん<>sage<>07/06/21 09:03 ID:FAEjdZeg0<> あとお馴染のPsymeについての記事。
ttp://www.itmedia.co.jp/enterprise/articles/0406/17/news093.html

やっぱり再インストールを行うべき、って結論になってるね。 <> (○口○*)さん<>sage<>07/06/21 11:49 ID:d9vPQeby0<> 癌胞にカムバックキャンペーン前に復帰者の目に付きやすいように対応してくれんかと送ってみた。
以下投稿内容と返答。
---------------------------------------------------------------------------------------
カムバックキャンペーンについてなのですが、
先日のオフラインミーティングでもそちらの方が、
アカウントハック関連の事は告知で注意を呼びかけていくといった発言をなさっていました。
そして、今現在休止中の方などは今どれほどアカウントハックが起きているかや、
中国人の手口がもはや回避不能に近い事などは知らない方が多いと思います。
これにより、既にトロイにかかっているもののROに繋いでいなかった為に今まではたまたま被害が無かった方や、
キャンペーン中に復帰の為に情報サイトなどを見て感染した方などが出る可能性が高いと思われます。
どんなに魅力的なアップデートで復帰を考えたとしても、ハッキングされた場合には二度と復帰する事が無いと思います。
これらの事態を防ぐために、キャンペーン開始より前に
公式ページやクライアントのパッチ画面などで、
そういったトロイが散乱している事や、必ずウィルスチェックを行うようにといった告知を出す事は可能でしょうか?
出さなければ被害が続出する可能性もあります。
そういったことが起きた場合には、貴社にとってもマイナス要因になると思われますので、対応していただけませんでしょうか? <> (○口○*)さん<>sage<>07/06/21 11:51 ID:d9vPQeby0<> ご投稿ありがとうございます。
WEBヘルプデスク担当 ○橋でございます。

現状運営チームにても、
ユーザーの皆様に、アカウントハッキングに対して
ご注意いただきたい事やアカウントハッキング対策等
公式サイト上からアカウントハッキングに対する
啓蒙活動を行っております事をご報告申し上げます。

◇不審なURL、サイトやプログラムによるIDやパスワードの盗難にご注意ください!
http://www.ragnarokonline.jp/news/information/notice/item/7848

◇アカウントハッキング対策強化のお知らせ
http://www.ragnarokonline.jp/news/information/notice/item/7615

◇アカウントハッキングに対する取り組みについて
http://www.ragnarokonline.jp/support/accounthacking.html

◇アカウントハッキング
http://www.ragnarokonline.jp/playguide/play_manner/account_hacking.html

なお、この度、○○○○○@○○○様より、
いただいた貴重なご指摘に関しましては、
真摯に受け止め、今後の参考として検討させていただきたく存じます。

また、今後お客様にてご意見やご要望がございます場合には、
「意見・要望を投稿する」フォームより、
ご投稿いただければ幸いでございます。

ご投稿いただきましてありがとうございました。

---------------------------------------------------------------------------------------
いつも通りのテンプレ。 <> (○口○*)さん<>sage<>07/06/21 11:53 ID:d9vPQeby0<> 対して更に投稿
---------------------------------------------------------------------------------------

アカウントハッキングの件について前回質問しましたが、返ってくる答えが前にも送られてきたテンプレートであり、誠意が見れません。
現実の犯罪に繋がる事であり、その程度の貴社の対応が実に残念です。
貴社がそういったハッキング犯罪に対する危機意識が薄く、誠意ある態度を見せない事に憤りを覚えます。

とりあえず返ってきたテンプレートのページなのですが、
現在の公式ページでは該当のページは過去の情報の部分をクリックしなければ見えないものであり、久しぶりに見に来た復帰者ではまず気づきません。
こちらの質問は、カムバックキャンペーンに該当する復帰者に対しての配慮は出来ないのか?という事であり、
こちらのページを見てくれと私にテンプレートを返してもらっても困ります。ご理解ください。
BOTは法で裁けないかもしれませんが、ハッキングは完全に犯罪である事を今一度よくご意識なさってください。

警告をパッチの画面の最上段に出す、公式ページの上段にぱっと見で見える大きなページで出すなどと言う、
「復帰者のすぐ目に付きやすい状態」にしていただく事は出来ませんでしょうか?
参考にするではなく、既にキャンペーンの期間が迫っており、それに向けて今から情報を見ておこうという方も居ると思いますので、
早急に対応していただきたいのです。
即座に検討、対応していただけますでしょうか? <> (○口○*)さん<>sage<>07/06/21 11:57 ID:d9vPQeby0<> ご投稿ありがとうございます。
WEBヘルプデスク担当 ○川でございます。

この度は貴重なご意見をいただき誠にありがとうございます。
運営チーム一同真摯に受け止め、
今後の運営のご参考とさせていただきたく存じます。

運営チームと致しましても、ユーザーの皆様に、
快適にラグナロクオンラインをご利用いただける環境をご提供できるよう
尽力して参る所存でございますので
今後ともラグナロクオンラインをご愛顧賜りますようお願いいたします。

ご投稿ありがとうございました。

---------------------------------------------------------------------------------------
投稿から確認中→返答に二日かかったからもうちょっと何かあるかと思ったらやはりテンプレ。
所詮癌胞でした。とりあえず数日様子見。 <> (○口○*)さん<>sage<>07/06/21 12:39 ID:4qNjFgb30<> 復帰者垢ハクに遭う
 →装備なくなっちゃった><
  →あ、ガンホー様がこんな時のために課金装備を用意してくれてる!
   →今はこんな便利なものがあるんだなあ、経験値増えるアイテムまであるよ!嬉しいな!
    →ガンホーうまうま

こうですか?わかりませn <> (○口○*)さん<>sage<>07/06/21 12:57 ID:iI91hUb70<> >>700-701
これはひどい
テンプレの文句へテンプレで返してくるとは
癌としては垢ハックによる害は無いものと考えてるのかね
どんな癌畜でも今まで育てたり集めてきたのが無に帰したらさすがに辞めるだろうに <> (○口○*)さん<>sage<>07/06/21 16:22 ID:Pi+F5rcE0<> カムバック対象になるくらい課金してないなら既に癌畜の域は脱しているだろう。
それで装備奪われりゃ万一にもカムバックすることはないだろうな。 <> (○口○*)さん<>sage<>07/06/21 16:55 ID:d9vPQeby0<> とりあえずこれで結局なにもしなかったらサイバー警察にこのやり取りや今までのログも提出するつもり。
幸い家系に刑事が居る為に今までにも色々提出して集めて貰えている・・・んだけど役立ってるかは不明・・・ <> (○口○*)さん<>sage<>07/06/21 16:57 ID:3DWcpe4U0<> 刑事と書いてデカと読むきん! <> (○口○*)さん<>sage<>07/06/21 19:17 ID:binEC3jG0<> 読みません <> (○口○*)さん<>sage<>07/06/21 21:39 ID:LnkJkqEn0<> 垢箔注意のリンクをTOPに載せろという要望は一年以上前に出したけどいまだに改善されないな。
垢箔注意を啓蒙→被害減る→警察沙汰&癌の仕事減る という想像力さえ欠如してるんじゃないか。 <> (○口○*)さん<>sage<>07/06/21 21:50 ID:jZGxYqha0<> 株を買ってくれる人が万が一見たら下げ材料になっちゃう>< <> (○口○*)さん<>sage<>07/06/21 22:56 ID:7/8qfCxA0<> 垢箔注意を啓蒙
 →ユーザーが被害受ける
  →TOPに記載するほどの事態なのに改善を行わなかったのはガンホーの責任だ
   →警察沙汰&癌の仕事増える

たぶん頭の中はこうだな <> (○口○*)さん<>sage<>07/06/21 23:01 ID:c6ndd/7t0<> 垢箔注意を啓蒙→被害減る→中華から苦情が来る

こうだろ <> (○口○*)さん<>sage<>07/06/21 23:13 ID:38dKimMb0<>  →まあそんなことよりキムチパーティー
  →(゚д゚)ウマー <> (○口○*)さん<>sage<>07/06/21 23:14 ID:WeVeoREt0<> ところで、次スレのテンプレがまだ決まってない訳だが・・・・・・・・・・・・・・・・・ <> (○口○*)さん<>sage<>07/06/21 23:18 ID:WeVeoREt0<> 現時点でのまとめ
>>550-562
>>651-653

ROセキュリティWiki
http://rosafe.rowiki.jp/ <> (○口○*)さん<><>07/06/22 00:28 ID:XVX7uhad0<> 怪しいアドレス踏んでしまったと思いウイルスバスターで検索したらtjviwer.dllが感染してたんだけど駆除できなかったTT
どうしたらいいですか? <> (○口○*)さん<>sage<>07/06/22 00:31 ID:tiOtyfxR0<> タスクマネージャーでプロセスとして動いてるなら停止してから削除
なかったらセーフモードで起動して削除とかどうだろう? <> 715<><>07/06/22 00:56 ID:XVX7uhad0<> 削除不可で、隔離してたんですがそしたらIEでネット出来なくなるんです。
OS再インスコするしかないかな? <> (○口○*)さん<>sage<>07/06/22 01:00 ID:FkYSSC4/0<> 過去ログ見ると winsockの処理を横取りするタイプか

よく分からない時は再インストールが一番確実だぞ <> 715<>sage<>07/06/22 01:30 ID:XVX7uhad0<> >>716
>>718
ありがとう
OS再インスコしますTT <> (○口○*)さん<>sage<>07/06/22 07:58 ID:/J5FM2jY0<> 全然機能してない数字パスに自信満々なんだろ
これのおかげで垢ハックなんか都市伝説、みたいに思ってそう <> (○口○*)さん<>sage<>07/06/22 14:57 ID:BCpO8x+l0<> ゴーグルを拾ったけどS付きでもないしそのままNPCに売ろうとしたら10z
といわれました。

なんで?嘘でしょ…? <> (○口○*)さん<>sage<>07/06/22 15:08 ID:dP4YonLp0<> >>721
元からそういう設定です。ところで、書込むスレ間違ってるよ。 <> (○口○*)さん<>sage<>07/06/22 17:15 ID:L2jf+UUZ0<> >JPCERT/CC,マルウェア動向発表,オンラインゲームでの状況も
>ttp://www.4gamer.net/news/history/2007.06/20070622160259detail.html

リネ・リネ2で全体の70%を占めててROはたった2%しかないそうな。
でもMaranとかリネとROのPASSをハクるから、実際にはROが占める割合は
もっと多いんだろうな。 <> (○口○*)さん<>sage<>07/06/22 19:16 ID:FkYSSC4/0<> そういうのって大抵感染報告とかを元にすることが多いから
誰も報告しなければ低い予感 <> (○口○*)さん<>sage<>07/06/23 18:59 ID:5mNSfqFWO<> うちのプリたんはセキュリティが緩いようなんですが、どうしたら <> (○口○*)さん<>sage<>07/06/23 19:06 ID:akPKcmSD0<> 貴方の注射器をインストロール。 <> (○口○*)さん<><>07/06/24 22:38 ID:B2lWC4py0<> 昔Aypioから出た注射器と言うエロゲがありましてね… <> (○口○*)さん<>sage<>07/06/25 02:28 ID:2gETpzJk0<> 場違いかもしれないのですがここ以外は思いつかなかったので質問させてください。
昼間は問題なかったのですが、先ほどからIEやメッセやROに繋げなくなってしまいました。
カスペを入れているのですが試しにそれをアンインストールしたら問題なくなったのですが、
ネット回線が異様に遅かったりしてどうもおかしいです。(回線が遅いのはカスペは関係ないかもしれないですが)
一応説明書やヘルプ、公式サイトなどを見て色々試したのですが解決できませんでした。
なので同じようなことになったことがある方や解決法を知ってらっしゃる方がいましたら助言をお願いしたく思います。
ちなみにカスペは完全インストールをしただけで何もいじっていない状態でした。
あとIRCにはずっと繋ぐことが出来ていました。 <> (○口○*)さん<>sage<>07/06/25 02:49 ID:ki2D5MmP0<> 使用OSのバージョン(SPまで書く)
ブラウザ名(バージョン)
使用ソフト名(バージョン)
アンチウィルス・FW等名(バージョン)
ネットワーク環境(プロバイダ・LANの構造・ルータの種類や設定等)
最近変更したネットワーク環境の有無
最近インストールしたソフトウェア名(バージョン)
説明(問題が起きている状況をなるべく詳しく)

※昼間は問題なくて夜に問題が起きた→ネットワークの経路障害(プロバイダ等)の疑いは無いか
※カスペルスキーの有無で回線への接続が変わる→スペルスキーを入れたのはいつのなのか
 カスペルスキーを入れてから問題が起きたのか、前から入っていたが、今日はじめて問題が起きたのか。

せめてこのくらい書かないと、まともなアドバイスは返ってこないと考えよう。
それから、どっちかっていうとエラースレ行きの内容だと思う。
(カスぺユーザーが多そうっていう点で目の付け所は間違ってないとは思うけど) <> (○口○*)さん<>sage<>07/06/25 02:53 ID:2gETpzJk0<> アドアイスどうもありがとうござます。
やはり情報が少なすぎましたね。申し訳ありませんでした。
もう少し自分で調べてみてダメそうならエラースレという方に行ってみたいと思います。 <> (○口○*)さん<>sage<>07/06/25 08:27 ID:be6HY+1p0<> >>728
PG2のリネージュのリストを入れていませんか?
私もPG2のリスト更新でリネージュのリストが新しくなってからメッセンジャー以外ネットに
繋げなくなりましたが、リネージュのリストを削除したらつなげるようになりました。 <> (○口○*)さん<>sage<>07/06/25 09:42 ID:4jsOOZaJ0<> いろんなエラーに…スレとどちらにレスしようか迷いましたが、PG2利用者が多そうなこちらにレスします。

うちも昨晩からネットが激遅になっていろいろ試してみたところ、PG2を終了させたら改善されました。
こちらもPG2のリストを更新したあたりからおかしくなったと思います。
PC再起動直後からPG2のアイコンが点滅をはじめ、5xuan■comをブロックしているので
ちょっと調べてみたところ、BSWiki様の「安全の為に」の危険ドメインリスト HTML版で
5xuan■comの正引きIPが127.0.0.1となっていました。
もしかしたらこの辺が関係あるのかもしれません。 <> (○口○*)さん<>sage<>07/06/25 09:58 ID:2feQEQVu0<> うちもPG2が「5xuan■com」をブロックし続けてる
あわててスキャンかけたけど何もなし、どういうことなんだろうか <> (○口○*)さん<>sage<>07/06/25 11:09 ID:tiHZZB2kO<> うちも昨夜からネットがほぼ使えなくなり(カスペ更新等は可能で、メッセ等は使えずの状態)
「www■5xuan■com(うろ覚えですが)」
を2台あるPCのうちの片方でのみブロックしていました
RO以外ではネットに繋がないPCだったので、何かありそうだとは思っていましたが…
現在携帯しか使えない状態なので、また夜あたりにテンプレ埋めてきますね <> 732<>sage<>07/06/25 11:11 ID:4jsOOZaJ0<> >>732の自分の書き込みを読み返してみるとBSWiki様が悪いととられてしまいそうな文章ですが、
そうではなくて、5xuan■comの正引き結果がどういうわけか127.0.0.1になっているのが悪いという意味です。
詳しくないため(恐いのもあって)自分では正引きできないので、BSWiki様のこのページを参照したということです。
(変な文章で申し訳ないです;;)

>>733
上にも書いたように詳しくないので、素人のまったくの推測ですが
127.0.0.1というIPアドレスは自分のPC(localhost)として予約されているIPで、
なぜか5xuan■comの正引き結果が127.0.0.1となっているために、内部の自PCの通信をPG2が
誤ブロックしてしまっているとかそんな感じではないかと思うのですが・・・
詳しい方、間違っていたらフォローをお願いします;; <> (○口○*)さん<>sage<>07/06/25 11:35 ID:0SFFLoOQ0<> >>732
5xuan■comでググってみると分かるが、
該当ドメインはリネ資料室の方で危険ドメインとされている

ちなみに今そのドメイン(+www.つけて)でwhois見たけど
該当なしになってるね <> (○口○*)さん<>sage<>07/06/25 11:58 ID:PamKj0oV0<> >>732 >>734
PG2の履歴次第で判断が変わる思われます。
「送信元・送信先・プロトコル」がどうなっているかを確認か、ここに出してみては。

「127.0.0.0」
このスレで上がっている対策法のうち、Hostsファイルのリストに追記する対策をしていれば
正引きしようとしても強制的にそのIP(localhost)になってしまいますよ。
PG2だけじゃなくHostsファイルも確認しましょう。

とりあえず一度テンプレで報告を。 <> (○口○*)さん<>sage<>07/06/25 13:01 ID:OhdZoFWF0<> うまくまとまらなかったので試したことを時系列順に箇条書き

>>731-732あたりの書き込みを見て試しにPG2のリスト更新してみる
・メッセ、Web閲覧が不能になる(しかし732-733のように5xuan■comをブロックしてるログは発生しなかった)
・リネージュリストを外してPG2再起動 → 元通りネットが使えるように
・PG2のフォルダにあるリネージュリストを見てみる。5xuan■com:127.0.0.1の記述を発見。
・当該記述を削除 → リネージュリスト入れててもネットが使えるように
・しかし今リネージュ資料室の当該リストを見てみたら5xuan■com:127.0.0.1の記述は見当たらなかった <> (○口○*)さん<>sage<>07/06/25 13:02 ID:GjCFfXx20<> テンプレを使って報告もそうだが、
・PG2で5xuanをブロック設定してるリストはどこのものか
・そのブロックしてるIPの範囲はどこか
この場合、この2つの情報が無いとどうしようもない。

PG2はIPフィルタなのでhostsでの無害設定は関係ない。
それでもPG2が反応するという事は、PG2で127.0.0.1をブロックするように
設定が書き込まれてるはず。

ブロックした時のログと設定を確認すれば解決すると思う。 <> (○口○*)さん<>sage<>07/06/25 13:27 ID:0SFFLoOQ0<> 当方でも確認
ブロックリストのログは
hh:mm:dd   www■5xuan■com 127.0.0.1:1116           239■255■255■250:1900 UDP ブロック
hh:mm:dd+4 www■5xuan■com 127.0.0.1:1116           239■255■255■250:1900 UDP ブロック
hh:mm:dd+6 www■5xuan■com 127.0.0.1:1116           239■255■255■250:1900 UDP ブロック
hh:mm:dd+9 www■5xuan■com (PCに割り振られているIP):1115 127.0.0.1:1115          UDP ブロック
だね
1115と1116はLurkerというのが使うようなんだが
メーリングリストアーカイバに用はない? <> (○口○*)さん<>sage<>07/06/25 14:04 ID:fifPHJSD0<> つまり資料室さんが配布してたリストにミスがあって、それをDLした人が
障害が出たけど、今は直ってるから問題はない、って事かな。
PG2の更新タイミング次第の話だから引っ掛からない人もいた、と。 <> (○口○*)さん<>sage<>07/06/25 14:05 ID:dUt8eQIT0<> そういうことだと思う。うちでは障害出なかったし。 <> (○口○*)さん<>sage<>07/06/25 14:30 ID:4jsOOZaJ0<> 遅くなりましたが、テンプレ記入とPG2のログなどです

【  アドレス   】 www■5xuan■com
【気付いた日時】 6月25日午前2時20分過ぎ
【     OS    】 WindowsXP SP2
【使用ブラウザ 】 DonutP (ActiveX、ActiveX[DL]はOFF)
【WindowsUpdateの有無】 6月の月例パッチの6月13日
【 アンチウイルスソフト 】 NortonInternetSecurity2007
【その他のSecurty対策 】 Spybot S&D、ルーティング機能付きモデム
【 ウイルススキャン結果】 マイコンピュータで全体スキャン…マルウェアは見つからず
【スレログやテンプレを読んだか】 Yes
【hosts変更】 有 (当日か前日、hostsRenew 0.07でリネージュ資料室&まとめサイトのリスト使用)
         PG2のリストを更新してリネージュ資料室やまとめサイトのリストが更新されると
         hostsRenewでhostsも手動更新する感じで。更新がなくてもときどきhostsRenewを起動。
【PeerGuardian2導入】 有 (リネージュ資料室「Lineageトロイ」「中国・韓国・台湾」、まとめサイトの
              通常版と強力版ほか、P2P、スパイウェア、政府機関、教育機関)
【説明】
PG2の履歴ウィンドウのブロックタブより
---------------------------------------------------------------------------
時間   名前           送信元       送信先         プロトコル 操作
02:20:12 www■5xuan■com 127.0.0.1:1034   239.255.255.250:1900 UDP    ブロック
02:20:15 www■5xuan■com 127.0.0.1:1034   239.255.255.250:1900 UDP    ブロック
02:21:09 www■5xuan■com 127.0.0.1:1045   239.255.255.250:1900 UDP    ブロック
02:21:12 www■5xuan■com 127.0.0.1:1045   239.255.255.250:1900 UDP    ブロック
02:21:15 www■5xuan■com 127.0.0.1:1045   239.255.255.250:1900 UDP    ブロック
02:21:18 www■5xuan■com 192.168.1.5:1044 127.0.0.1:1044      UDP    ブロック
12:22:05 www■5xuan■com 127.0.0.1:1040   239.255.255.250:1900 UDP    ブロック
12:22:08 www■5xuan■com 127.0.0.1:1040   239.255.255.250:1900 UDP    ブロック
12:22:11 www■5xuan■com 127.0.0.1:1040   239.255.255.250:1900 UDP    ブロック
12:22:14 www■5xuan■com 192.168.1.5:1039 127.0.0.1:1039      UDP    ブロック
---------------------------------------------------------------------------
192.168.1.5 が自PCのLAN内のプライベートIPアドレスです。
2時台、12時台いずれもPC再起動直後のログです。 <> 732,734<>sage<>07/06/25 14:32 ID:4jsOOZaJ0<> 名前忘れました;;

(続き)
PG2インストールのフォルダのlistフォルダの中にある「3211677436.list」というファイルの中に
www■5xuan■com:127.0.0.1-127.0.0.1
という記述がありました。
このファイルの更新日時は 2007/06/25 1:41 AM となっていて、リストの更新をしたのも
この時間だったと思います。
PG2のリスト管理ウィンドウではLineageトロイ(リネージュ資料室)のリスト内に
www■5xuan■com 127.0.0.1 127.0.0.1
がありました。

午前1時40分頃PG2のリストを手動更新、その後気がつくとまともにネットができなくなっていた。
時間がかかるけどかろうじてWeb閲覧はできる状態で、NTT公式やフレッツスクエア、プロバイダの
障害・メンテ情報を見たりカスペルスキーオンラインスキャナの重要な領域でスキャンしてみたり
モデムを再起動してみたりするが改善されず。
2時20分のすこし前にPCの再起動をしてみると起動直後からPG2のアイコンが点滅し
www■5xuan■comをブロックしていることに気がつく。
hostsを見てwww■5xuan■comが危険ドメインであることを知り、「アカハックトロイにやられちゃった?」と
内心あせりながらカスペルスキーオンラインスキャナでマイコンピュータをスキャンしながら
平行していろいろ情報を調べているとBSWiki様の「安全の為に」の危険ドメインリスト HTML版に
5xuan■comの正引き結果が127.0.0.1となっていることを見かける。
以前に本スレ5以降かセキュリティ対策スレあたりで同じような事例があったことを思いだして
(抽出や検索の仕方が悪いのかその書き込みは見つけられませんでしたが…)
おそるおそるPG2を無効にしてみたり終了してみたりすると、メールの新着チェックができるように
なったので、ブラウザも再起動してみたらいつものように使えるようになった。

・・・と、こんな流れでした。 <> (○口○*)さん<>sage<>07/06/25 14:42 ID:GjCFfXx20<> >743-744


引っかかった理由はほぼ確実に>741の形と思われ。
PG2で127.0.0.1をブロックするようになってたから引っかかっただけで
トロイ等は関係ない。

12:40頃に資料室さんのリストを見に行った時には既に記述は無かったので
12:30前後ぐらいに(手動か自動かは分からないけど)資料室さんの方のリストが
更新されたんじゃないかな。 <> 732,734,743-744<>sage<>07/06/25 15:19 ID:4jsOOZaJ0<> たった今PG2の手動更新でLineageトロイのリストが更新されたので確認してみたところ、
www■5xuan■com 127.0.0.1 127.0.0.1
の記述が消えており、PS2を有効にしたままでも普段通りにネットができるようになりました。
みなさんありがとうございました。

>>745
昨日は1:00過ぎまでROにログインしていたのでその時間に手動更新はしていませんが、
もしかしたら自動更新されていたのかもしれませんね。
どうもありがとうございました。安心しました;; <> (○口○*)さん<>sage<>07/06/25 18:49 ID:v8Ai3gDp0<> まさしく>>734の症状でたったいま困ってた
解決方法がわからないままPG2をアンインストールして入れなおしたら直った
結果的には合ってたのか <> (○口○*)さん<><>07/06/25 19:36 ID:2u48Ir1w0<> >>743
細かい事かもしれないが、private addressは特定不能なようにマスクした方が好ましい。
何らかの形で接点がある場合、個人特定の材料になるなど、ソーシャルセキュリティの観点から。 <> (○口○*)さん<>sage<>07/06/25 19:40 ID:dUt8eQIT0<> >>748
お前さんは、もうちょっと理解を深めた方がいいと思う。 <> (○口○*)さん<>sage<>07/06/25 20:11 ID:iO1q96ww0<> リネージュ資料室の、2007/6/25の項に今回のことが載ってますね。
アドレスは>>9にあります。
ということは、リネージュトロイのリストを使用してて更新した人が
すべて同じ症状になっていたことに・・・? <> (○口○*)さん<>sage<>07/06/25 20:13 ID:WrQg5kz00<> 前にも同じようなことがあったな。 <> 734<>sage<>07/06/25 20:30 ID:uJfknU5J0<> 帰宅してスレを確認し、
PG2の「Lineageトロイ」のリストを削除→反映→再度「Lineageトロイ」のリストを登録
で普通にネットが使えるようになりました。
皆様ありがとうございました。
一応テンプレ埋めて報告しておきます。

【  アドレス   】 www■5xuan■com
【気付いた日時】 2007/06/24 21時半頃
【     OS    】 WindowsXP SP2
【使用ブラウザ 】 Mozilla Firefox
【WindowsUpdateの有無】 6月13日が最後です
【 アンチウイルスソフト 】 カスペルスキー インターネットセキュリティ 6.0.2.614
【その他のSecurty対策 】BitDefenderコマンドライン版、Ad-Aware SE Personal、SpyBot S&D
【 ウイルススキャン結果】 上記ソフトで全体スキャンしましたが、何も見つかりませんでした
【スレログやテンプレを読んだか】 Yes
【hosts変更】 有(まとめスレ内のリストのみ手動で更新)

6/24の20時〜21時にPG2をアップデートし、21時半頃にウィルススキャンが終了したのでROを起動。
しかしパッチ画面でパッチが当たらず止まってしまい、各種情報サイト等で調べようとしたところ、
インターネットにも繋げなくなっていました。
この時、カスペルスキーの更新等は普通に行えていました。
携帯でプロバイダ等の障害情報を調べたところ何も異常がないらしく、モデムやPCの電源を入れなおしてみたところ、
2台あるPCのうち、RO以外ではネットに繋いでいないPCの方でPG2が「www■5xuan■com」をブロックし始めました。
PG2のブロックリストを調べてみたところ、Lineageトロイのリストに「www■5xuan■com」を発見し、
再度ウィルススキャンをかけてみましたが、何も発見できませんでした。
仕方がないので少し時間をおいてみようと思い、ここで就寝。
翌日、ここを確認してみたところ、同じような症状の方がいらしたので>>734の書き込みをしました。

PG2の帰宅後起動一発目のログ
19:21:33  www■5xuan■com  127.0.0.1:1029  239.255.255.250:1900 UDP  ブロック
19:21:36 www■5xuan■com 127.0.0.1:1029  239.255.255.250:1900 UDP  ブロック
19:21:39 www■5xuan■com 127.0.0.1:1029  239.255.255.250:1900 UDP  ブロック
19:27:30 www■5xuan■com 127.0.0.1:1054  239.255.255.250:1900 UDP  ブロック
19:27:33 www■5xuan■com 127.0.0.1:1054  239.255.255.250:1900 UDP  ブロック
19:27:36 www■5xuan■com 127.0.0.1:1054  239.255.255.250:1900 UDP  ブロック
19:27:39 www■5xuan■com (自分のIP)1053 127.0.0.1:1053 UDP ブロック <> 734<>sage<>07/06/25 20:43 ID:uJfknU5J0<> 書き込みしてしまった…連投失礼します。

帰宅後に、今まで書き換えたHostを確認したところ、
「www■5xuan■com」は無かったのですが、(リネージュ資料室様の危険サイト一覧は反映してませんでした。以後利用させていただきます。)
>>752に書いた方法を行い、今は無事にこうして書き込みできています。
改めて、情報をくださった皆様、本当にありがとうございました。
これから再度ウィルススキャンを行い、何も無いようであれば1日ぶりにROを楽しんできます。

チラシの裏
知り合いの発光式参加できなかったよorz <> (○口○*)さん<><>07/06/25 21:02 ID:2u48Ir1w0<> >>749
何を以って、「理解を深めた方が」なのかな。
その辺漠然と書かれても、スレ住人はエスパーじゃないよ。 <> (○口○*)さん<>sage<>07/06/25 21:07 ID:+IE582eO0<> 釣りか <> (○口○*)さん<>sage<>07/06/25 21:11 ID:dUt8eQIT0<> >>754
プライベートIPをマスクする必要性が「なんの為に」「どの程度」あるかだよ。
748の指摘が不要だと言ってる訳。

どんな限定的状況で危険なのか、その状況は一般的に注意しなければならないものか。
プライベートIPがどのようなもので、有効範囲がどこ迄なのか、もう1回確認しておいで。 <> (○口○*)さん<>sage<>07/06/25 21:37 ID:DDuVKQ2w0<> どうせなら、756の言葉でもう少し語ってみて。
不要なら不要でいいんだけど、中途半端は気持ち悪い。 <> (○口○*)さん<>sage<>07/06/25 21:40 ID:+vdl8jKN0<> 必死にID変えながらファビョってるようにしか見えない <> 732<>sage<>07/06/25 22:36 ID:4jsOOZaJ0<> プライベートIPのマスクの御指摘ありがとうございました。
私の配慮が足りなかったのが原因です。申し訳ありませんでした。
次回以降に機会がありましたら念のため伏せるようにしたいと思います。

このこともそうですが、今自分の書き込みを読み返してみると文章がおかしかったり、
PG2をPS2と書き間違えていたり、自分の書き込みの番号をずっと間違えていたり
>>734ではなくて>>735でしたね。>>734さんごめんなさい;;)で、かなりテンパっていた様子が
うかがえます^^;
でも、リネージュ資料室様の6/25のお知らせを読んで完全に安心できました。
改めてみなさんありがとうございました。 <> (○口○*)さん<><>07/06/25 22:50 ID:2u48Ir1w0<> >>756
無論、Class C private ipは、Internet上においてuniqueではない。
だが、>>743のように、ブラウザ/セキュリティソフト/PG2の履歴ログなど、材料条件を複合することによって、限りなく
個人をuniqueに近い条件で割り出すことは不可能ではないよ。
まして、物理的に利用環境に接触できる機会があれば、色々と懸念も出てくる。

private ip addressesだからといって、dynamicとは限らないし、expire limitが長めの設定であれば、同一IPの割り当てが
長期間に亘る事もあり得る。

極端かもしれないが、不要な情報は公開しないのも、自衛の一つの手段。 <> (○口○*)さん<>sage<>07/06/25 22:59 ID:dUt8eQIT0<> >>757
プライベートIPは基本的に外部に出ないんから攻撃対象の絞り込みなどの危険は薄い。
プライベートアドレスから、IP変換でグローバルIPでアクセスする手法を理解しろってこと。

勿論、内部に何かが入られてしまった場合に攻撃対象にされやすい危険はないとは言わない。
ルーターの管理用IPとパスワードがほぼ一定なのを利用してルーターの設定を書き換える攻撃
なんかもあったが、あれは、内部に入られてしまった場合だし、PCのプライベートIPを知られない
ようにすることの必要性は低いんだ。どうせ、IP1〜255を全部アタックしても殆ど手間は変わらんのだから。 <> (○口○*)さん<>sage<>07/06/25 23:01 ID:dUt8eQIT0<> >>760
>極端かもしれないが、不要な情報は公開しないのも、自衛の一つの手段。
うん、極端だって言ってる。ずいぶんgdgdで長引いたけどね。 <> (○口○*)さん<>sage<>07/06/25 23:07 ID:PamKj0oV0<> 「192.168.*.*」の場合、ローカルLAN上でしか使用しない(されない)から言っているだけかと。
 ↑このルールはネットワーク初級本に乗ってる話だよね?
ルータ接続での自PC接続IPは大抵そういう風に振り分けられるからねぇ。

ルータからのグローバルIPなら当然隠さないと危険だけどね。 <> (○口○*)さん<>sage<>07/06/26 00:12 ID:SQVVxy2e0<> 初心者を欺いて不安させるようなことを書くなんて人間として最低 <> (○口○*)さん<><>07/06/26 01:46 ID:qSAReKqS0<> >>761
無論、「基本的には」WAN側には出ない。
だが、LAN側に侵入でき得る方法が増えているのもまた事実。
最近多いのが、無意識の無線LAN開放。
他にも、各占有ごとの分離が甘いマンション・ホテルLAN等も盗聴の危険性がある。

何より、盗聴器被害の大多数は知人によるもの、ということを考えれば……

>>764
初心者のうちは、不安・不審がるくらいでないと、最近のInternet上では食い物にされる一方だよ。
偽セキュリティソフトの類いも、随分増えてきたようだし。 <> (○口○*)さん<>sage<>07/06/26 02:19 ID:Zhq7ZCAX0<> >>765
正確な知識の方が重要。恐がらせる必要は無い。 <> (○口○*)さん<>sage<>07/06/26 13:27 ID:zWDxq0Gq0<> ローカルIP表記(192.168.*.*)だけで特定出来るのはおかしいっていう話だったと思われるんですが。
ネットワークセキュリティの事例として起こっていることを話すのは良いとは思いますが、
話の流れとしては飛躍させすぎているように見えます。
無意識の無線LAN解放の話としても、無数の事例ポイントの中からどうやって特定出来るのかと。

大事なのは>>766氏の言われる通り正確な知識・情報が重要。
傍から見ても変に恐怖心を煽っているとしか見えないのですが。 <> (○口○*)さん<>sage<>07/06/26 16:41 ID:dQzA8KFx0<> www■5xuan■com
の件ですが、怪しいタスク等と並行して調べてみたところ
タスクマネージャに "PRISMXL.SYS" という不明のサービスが起動しており
(e-machinesのPCに入っている、更新チェックのサービスらしい?)

このためにブラウザによる通信が極端に遅くなったりする方もおり
サービスの停止、削除しても問題無いということなので
サービスの停止、該当ファイルの削除、サービスの削除を行なったところ
起動時の www■5xuan■com への通信も無くなり
インターネットも通常に使用できるようになりました。

御参考にして頂けますと幸いです。 <> (○口○*)さん<><>07/06/26 19:20 ID:qSAReKqS0<> >>767
まぁ、すまんな。
もっとも、PC免許制を推進したいくらいの考えなので、これくらいで恐怖するくらいなら、ネットを使わない方がいいと
いうくらいの極論かもしれない。
このスレの参加者層にしたって、セキュリティ関係のRSS配信をまめに取得していたり、英文テクニカルドキュメントを
そのまま原文で読める割合は、全員に当てはまるという訳でもないだろう。

それに、正確な知識・情報は、自分から得ようとしなければ得られないもの。
受け身のままでは、何時までたっても「消費者」止まり。 <> (○口○*)さん<>sage<>07/06/26 19:47 ID:Ow/+78480<> そうだねプロテインだね <> (○口○*)さん<>sage<>07/06/26 20:14 ID:9mle5WXY0<> >>769
論点ずらしてまで言い訳するなよ。 <> (○口○*)さん<>sage<>07/06/26 20:33 ID:2N3WE52z0<> 何の役にもたたない議論は要らない。大人しくここで終了してくれ。 <> (○口○*)さん<><>07/06/26 20:51 ID:qSAReKqS0<> あと一つ、肝心なものを忘れていたが、IP spoofingによる攻撃の可能性。
他は、合宿所系のセキュリティ問題に繋がるので、ここで続けても無意味だろうな。
>>772のような突っ込みもあることだし、この辺で引っ込むわ。 <> (○口○*)さん<>sage<>07/06/26 22:39 ID:x15DRUPQ0<> (笑) <> (○口○*)さん<>sage<>07/06/26 23:16 ID:9gR8GWUd0<> 綺麗にオチた所で話題変更

>LZH ファイルに注意!〜シマンテックが一部の「Lhaca」における脆弱性を発見
>ttp://headlines.yahoo.co.jp/hl?a=20070626-00000024-inet-inet

自分では複数のアーカイバ(UNLHA32.dllやLMZIP32.DLL、Lhaplus)を使ってるが
この手の脆弱性に無縁かどうかが判らないのがチト怖い…… <> (○口○*)さん<>sage<>07/06/27 00:14 ID:IoIhWlmT0<> >>775
その記事を読む限りでは、アプリケーションの実装の問題だと思う。他のアプリでは出ないかと。
Lhacaは、DLLではなく自前で解凍処理してたハズだから。

その記事読んだ後に、見に行ったら、Lhameltが更新されてたのでついでに更新♪ <> (○口○*)さん<>sage<>07/06/27 09:02 ID:HZpMo5G00<> >775
まだ正式版ではないようだけど、修正版がリリースされたね。

>脆弱性を修正した+Lhacaがリリース
>ttp://www.itmedia.co.jp/enterprise/articles/0706/27/news006.html

>776
アプリ側というかDLLの実装次第では同じ様な脆弱性があってもおかしくないのかも。

少し気になってPCに突っ込んでるunlha32のタイムスタンプ確認したら、5年ほど前のものだったorz

安定稼動してるソフトは更新しないってのはある種の鉄則だが、セキュリティと絡めて考えると
なかなか難しい…… <> (○口○*)さん<>sage<>07/06/27 09:31 ID:IoIhWlmT0<> >>777
>少し気になってPCに突っ込んでるunlha32のタイムスタンプ確認したら、5年ほど前のものだったorz

caldxでの定期更新マジお勧め。
ttp://www.kmonos.net/lib/caldix.ja.html

つーか、解凍に不具合出てから更新することもあったりなかったり。

>アプリ側というかDLLの実装次第では同じ様な脆弱性があってもおかしくないのかも。
今回の+LhacaはDLL使ってないので関係なさげ。strcpy()でサイズチェックしてないと溢れる危険があるのは
よく知られている問題だから実装側の問題でしょう。

DLLに問題あるかどうかは、更新履歴読むと安心できると思うよ。

LZH 書庫のヘッダ処理における脆弱性について
ttp://www2.nsknet.or.jp/~micco/notes/headerBOF.htm
UNLHA32.DLLの更新履歴
ttp://www2.nsknet.or.jp/~micco/mysoft/ounlha32.htm <> (○口○*)さん<>sage<>07/06/28 08:47 ID:mAjKjHl40<> >>777
unXXX系のDLLはそろってディレクトリトラバーサルの脆弱性あるから注意ね <> (○口○*)さん<>sage<>07/06/29 16:10 ID:dFtXdj4c0<> 主な統合アーカイバDLLは既に対処終わってるでしょ。 <> (○口○*)さん<>sage<>07/06/29 16:51 ID:QIUu/MFJ0<> Packed.Win32.PolyCrypt.b
ってのに感染してるってカスペwebスキャンさんが叫んだんだけどこれってなんだろう・・・ <> (○口○*)さん<>sage<>07/06/29 17:20 ID:zj1MySoA0<> >>781
っttp://www.viruslistjp.com/viruses/encyclopedia/?virusid=156717
>動作分類 古典的ウイルス:ファイル&ブート(Virus)
>現在、このワームに関する詳細な情報が登録されていません。
>同様の動作を行う亜種に関する情報はこのページの上部にありますので、そちらがあなたの求める情報に近いかもしれません。

自分で調べる習慣つけないとスキルは低いままだよ <> (○口○*)さん<>sage<>07/06/29 18:16 ID:n1qPvnIe0<> >>781
そのウィルス名でぐぐる。出てこなかったら、末尾の亜種識別番号を抜いてからぐぐる。 <> (○口○*)さん<><>07/06/29 22:30 ID:0SBt89P80<> ITproに、アカハック関連の記事。
ttp://itpro.nikkeibp.co.jp/article/COLUMN/20070618/275096/

>犯罪者はオンライン・ゲームのユーザーから,ゲームのアカウント情報と合わせて
>電子マネーのアカウント情報を盗み取ろうとするのである。
WMも癌コインも、データとして紐付けされている仮想通貨であり、IDやシリアルも標的になり得ると。 <> (○口○*)さん<>sage<>07/06/30 04:23 ID:ySjw2qoM0<> お、ためしに俺もカスペ走らせてみたら>>781のと同じの見つかったわ <> (○口○*)さん<>sage<>07/06/30 13:50 ID:xhgB8F4Y0<> うちも感染してた。
しかもウィルスバスターに感染してやがった。

\Trend Micro\Setup\Module\PCCTool.exe 感染: Packed.Win32.PolyCrypt.b スキップ
\Trend Micro\Tools\PCCTool.exe 感染: Packed.Win32.PolyCrypt.b スキップ
\Trend Micro\Virus Buster 2006\PCCTool.exe 感染: Packed.Win32.PolyCrypt.b スキップ

この3つだけ。
…常駐してる物体なのにどうやって感染したんだろう

環境はSpybot+SpywareBlaster+Proxomitron+ウィルスバスター2006
hostsに危険リストぶちこみしかやってないしなぁ…

ゆーつべもnyもメッセ関係やってないんだが… <> (○口○*)さん<>sage<>07/06/30 13:53 ID:q2Jj5fGj0<> 誤検出じゃね? <> 786<>sage<>07/06/30 14:03 ID:xhgB8F4Y0<> symantec/Trendmicro オンライン 異常なし
Kaspersky オンライン  上記

>787
不審に思った点
1)Spybotの検索が異様に早くなった ※チェック数32/32ってありえねぇ
2)シャットダウンが異様に遅くなった

セーフモードで起動してウィルスバスターでチェックを試みる
→「他のネットワーク云々が干渉して起動できません」(文章うろ覚え)
→「火スペでひっかかる」

誤検出でも無い気がする <> 786<>sage<>07/06/30 14:07 ID:xhgB8F4Y0<> 一番重要なの一個抜けてた

C:\My Downloads\vb26s1400_1341.exe Commodore: 感染 - 2 スキップ
感染原因はこれくさいんだが 本体から落としてきたやつの気がするんだが… <> (○口○*)さん<>sage<>07/06/30 14:09 ID:SkrWHYb20<> スカイネットの仕業だな <> (○口○*)さん<>sage<>07/06/30 14:13 ID:06ROiNyY0<> http://ca.com/jp/securityadvisor/pest/pest.aspx?id=453112193

最近パターンに入ったトロイの一種みたいですね。具体的な挙動は英文しかないのかなぁ。


勇気がなくて踏めない人のための鑑定スレPart14
http://pc11.2ch.net/test/read.cgi/hack/1177503872/
> 197 :お願いします:2007/05/10(木) 00:04:23 ID:iYc850tI
> ttp://site-play■com/download/site-play1288■exe
>
> よろしくお願いします。。
>
> 198 : ◆ZrU7xJs76o :2007/05/10(木) 05:48:14 ID:???
> >>197
> ウイルス Packed.Win32.PolyCrypt.b
> PC有害
>
> 199 : ◆ZrU7xJs76o :2007/05/10(木) 06:16:54 ID:???
> ちょっと追記。
> 私の環境では、70KBのファイルと192KBのファイルが落ちてきます。
> 192KBの方はウイルス検出しますが、70KBの方は検出できません。 <> (○口○*)さん<>sage<>07/06/30 14:20 ID:06ROiNyY0<> >>789
ウィルスバスター2006の5/10版のパターン?
カスペやその他のオンラインスキャナを複数かけてみては?
(DL後、パターンアップデート作業時に"既に感染していたので"そのファイルにも取り付いた可能性が高い?) <> (○口○*)さん<>sage<>07/06/30 14:20 ID:q2Jj5fGj0<> >>789
VirusTotalで該当ファイル検査してみるといいかも
NODやBitDefenderあたりで検出されるようならマルウエアの可能性高そうだね <> (○口○*)さん<>sage<>07/06/30 14:21 ID:ukEEAIuX0<> 参考になるか分からんが、
今公式からvb26s1411_1017.exeを落としてきてPCCTool.exeだけを
カスペのファイルスキャナにかけてみたが何も出ず。

PCCTool.exe(ファイルバージョン:14.11.0.1017)
size=1015877byte
CRC16=90C5
CRC32=AF1ACCCF
MD5=18c73ae73e4c9420fdd50184f6b49041 <> (○口○*)さん<><>07/06/30 15:05 ID:T9pBU/SF0<> non-Packedな、TR/PolyCrypt.Genに関する解説。
ttp://www.avira.com/jp/threats/section/fulldetails/id_vir/3192/tr_polycrypt.gen.html
此処から読み取れる限りでは、ヒューリスティック検出に引っ掛かった類いなんじゃないかな。
誰かカスペユーザーが、検体として提出すれば、詳細が出てくるかも。 <> (○口○*)さん<>sage<>07/06/30 15:58 ID:b1wDYK+h0<> 先生!俺もウィルスバスター(体験版)にPacked.Win32.PolyCrypt.bが感染してて手動で消して再検索でSystem Volume Informationに転移してて
もっかい検索したらregeditやサービスパックのexeがTrojan.Win32.Pakes.x3に感染してるって言われたんだが・・・

30日のカスペさんで検索したらマルチウェアは見つからないっていわれた・・・もう何がなんだか <> (○口○*)さん<>sage<>07/06/30 15:59 ID:fbIJcEXQ0<> >>788
とりあえず
>1)Spybotの検索が異様に早くなった ※チェック数32/32ってありえねぇ
Spybotの設定変更すればいいかと思う
ワームの類ノーチェックになってる気がする
(全部チェックすると6万5千ぐらいか)
あとはタスクマネージャーでプロセスをチェック <> 786<>sage<>07/06/30 16:10 ID:xhgB8F4Y0<> おまいら すまん…

789の感染物をとりあえずゴミ箱ポイのゴミ箱お掃除
ウィルスバスターをとりあえずアップデート
なぜか簡単になってたSpybotでチェックを徹底的にする。
AbetterInternetを削除(チェック総数7万ちょいに
再起動をかける
セーフモードで起動
IEで火スペ
( ゚д゚)……<ヒッカカリマセン

うっかり捨てちまわないでもうちょい色々見れば良かったなぁ
すまんす

カスペルスキー オンラインスキャナ バージョン: 5.0.78.0
データベースの最終アップデート: 29/06/2007
データベースのレコード: 333491 ではひっかかった。

ついさっきの今のカスペではひっかからなかった。
カスペルスキー オンラインスキャナ バージョン: 5.0.78.0
データベースの最終アップデート: 30/06/2007
データベースのレコード: 355819 では発見できず。

火曜サスペンス劇場 ( ゚д゚)<あら 死んでる! <> (○口○*)さん<>sage<>07/06/30 17:06 ID:VtYNkr2v0<> 初のフルカーネルマルウェア? スパム送信もカーネルモードで実行
ttp://www.itmedia.co.jp/enterprise/articles/0706/30/news015.html

カーネルモードで送信されるって事は、下手したらhostsやPG2とかでも
ブロック出来ない可能性がある? <> (○口○*)さん<>sage<>07/06/30 17:19 ID:SkrWHYb20<> 下手しなくてもブロックできない

外部のルーターとかで止めるしかないな <> (○口○*)さん<>sage<>07/06/30 17:38 ID:XAHpQF820<> 記事読むと、IPじゃなくてドメインでつなぎにいくようだが、
名前解決でhostsは無視されるんかな。 <> (○口○*)さん<>sage<>07/07/01 20:54 ID:B7sZus9g0<> ここで少し前にOS再インスコを勧められて再インスコしたんだが、またウィルスが…
カスペかけるとインターネット一時ファイルからindex_mp.htmlで検出されて、ttp://81.95.145.240/index■phpにアクセスするように(?)なってた。
何回かカスペで駆除してるんだが、突然また検出し出す。
これは攻撃受けてるって事でいいの?
ログとか読んでみたんだがいまいち分からなくて、言葉足らずでごめん。 <> (○口○*)さん<>sage<>07/07/01 21:20 ID:Zj0KjoSd0<> >>802
自分で再入手しに行ってるだけに1票。

OS入れなおしてから、セキュリティは何を導入したんだい? <> (○口○*)さん<>sage<>07/07/01 21:22 ID:VE6WKwgn0<> OS上書きインストロール <> (○口○*)さん<>sage<>07/07/01 21:24 ID:GujYQ4jz0<> inetnum: 81.95.144.0 - 81.95.147.255
netname: RBNET
descr: RBusiness Network
admin-c: RNR4-RIPE
tech-c: RNR4-RIPE
mnt-by: RBN-MNT
status: ASSIGNED PA
country: PA
remarks: INFRA-AW
source: RIPE # Filtered

PAって事はパナマか。

そのindex.phpにアクセスすると何かの会員ページが出るっぽい。
良く分からないが、カスペはどういう反応してる? <> (○口○*)さん<>sage<>07/07/01 21:31 ID:B7sZus9g0<> >>803
カスペのトライアル入れてるくらいで、あとはスレ読みながら他のもの導入しようとちょっとネットしてたら感染してました_| ̄|○
巡回先に仕込んであるのを自分で拾ってるのかな…。

>>805
検出した後、修復不可みたいで削除してました。
ウィルス名はTrojan-Downloader.JS.Agent.kd <> (○口○*)さん<>sage<>07/07/01 21:34 ID:1v1l9Nu40<> ちゃんとパターンファイルをアップデートしてから巡回しているか?
インストールしただけなら、ただの飾りになる可能性が高いぞ <> (○口○*)さん<>sage<>07/07/01 21:35 ID:Zj0KjoSd0<> >>802
現時点ではパスワード入力フォームが存在するだけ。
ただ、どっかのサイトがクラックされて、そこに飛ばされるように改変されたという報告も有る。

勇気が無くて見られない画像解説スレ Part855
ttp://etc6.2ch.net/test/read.cgi/entrance/1182534676/485-487

ぼるじょあ(・3・)質問箱 セキュ板出張所22
ttp://pc11.2ch.net/test/read.cgi/sec/1174019278/896-898

>>806
馬鹿者。OS入れなおしてから、ネット巡回する前に、先にセキュリティソフト入れてパターン更新するんだ。
巡回先で拾ってるんだと思うぞ。もしくは、バックアップor消していないデータかアプリに付いてるのかも。 <> (○口○*)さん<>sage<>07/07/01 21:40 ID:B7sZus9g0<> >>807
一応、パターンファイルは更新してから巡回しました。

>>808
すいません、本当にそこは迂闊でした_| ̄|○
巡回先なら自己防衛でどうにかなると思うんですが、バックアップについている可能性もある以上、データは諦めた方がいいのかな。
バックアップファイルはカスペかけても何も見つからなかったんですが。 <> (○口○*)さん<>sage<>07/07/01 21:42 ID:1v1l9Nu40<> Windows Updateとか、そういったのも全部やってから巡回してる? <> (○口○*)さん<>sage<>07/07/01 21:43 ID:GujYQ4jz0<> >806
ttp://www.viruslist.com/en/viruses/encyclopedia?virusid=162423

良くあるダウンローダーだが、割と最近見つかったタイプっぽい。

仮に巡回先で拾ったのなら、そんなファイルが仕込まれてるサイトなんて
そうそう無いだろうし、そう数も無いだろうし。
履歴から見付けることも可能だと思う。
他にもDropperが生み出してる可能性もある。
取りあえずHDDをフルスキャンして他にDropperが居ないか調べた方がいい。 <> (○口○*)さん<>sage<>07/07/01 21:53 ID:B7sZus9g0<> >>810
カスペのパターンファイルと、Windows Updateはやってからです。
する前に見たのは唯一ここくらいで…。

>>811
そう思って巡回したROサイトは回ってまたカスペかけるんですが見つからなくて、
関係ないようなサイトちょっと回ってからまたかけると一時ファイルから見つかる、って事の繰り返しですorz
見つかるたびにフルスキャンするんですが、一時ファイル以外からは見つかった事がないです。
今回はまだかけてないので、フルスキャンしてきます。 <> (○口○*)さん<>sage<>07/07/01 22:52 ID:GujYQ4jz0<> 修正したばかりの+Lhacaにまた脆弱性、新たな修正版をリリース
ttp://www.itmedia.co.jp/enterprise/articles/0707/01/news002.html

+Lhacaを使ってる人はご注意を。 <> (○口○*)さん<>sage<>07/07/01 23:19 ID:vaiJa3qM0<> >>812
カスペスキャンする前に
・マイコンピュータのプロパティで「自動復元」を無効化→適用→無効化チェック外し(XP)
・IEプロパティでインターネット一時ファイル欄の「ファイルの削除」を実行
をやってみてからスキャンしてみてはどうかと。

・「ProcessExplorer」で立ち上がっている物の監視(XP)
・「TCP Monitor Plus」で通信状況の監視
上記アプリである程度は監視可能かなと思う。 <> 纏
◆sp4Sh9QXGI<>sage<>07/07/01 23:55 ID:Okq5uOaz0<> お久しぶりです。

ttp://www.japanonlinegame.org/
(↑:怪しいと思ったらとりあえずソースチェッカーに通すなりしてください)
日本オンラインゲーム協会が6月28日に設立されたそうです。
活動内容は
・オンラインゲームの振興のための啓発および認知向上活動
・オンラインゲームに関する調査と研究、セミナー、シンポジウムの実施
・オンラインゲームに関する国内外の企業、関係省庁、地方自治体、
 諸団体との情報交換および連携協力活動
…など。
3つ目の項目が気になるところではあります。
具体的な内容は書いてありませんでしたが。
が、NCやGamepot、Nexon等有名タイトルを提供している会社は大体参加しているにも関わらず
ガンホー(とスクエニ)が参加していないのがなんとも。 <> (○口○*)さん<>sage<>07/07/02 00:41 ID:4D3Ufkwp0<> 名前はいかにも日本のオンラインゲームを代表するような感じに付けているが、
中身は中小企業の互助会みたいなもんらしい。 <> (○口○*)さん<>sage<>07/07/02 06:00 ID:ruXrTRfKO<> ROとFFを出し抜くチャンスだろ。
上手く生け花。 <> (○口○*)さん<>sage<>07/07/02 09:33 ID:RA5i4yKB0<> ねくそがはいってる時点で信用は出来ないな・・・
まぁねくそは相当な数のオンゲ運営してるけどな・・・ <> (○口○*)さん<>sage<>07/07/02 13:04 ID:lYSp2KE60<> よくあるパターンでは、これといった実績も出さずに、いつの間にか解散してるような烏合の衆…。 <> (○口○*)さん<>sage<>07/07/02 13:11 ID:7ubQZzDL0<> ttp://www.japanonlinegame.org/admission/index.html
プッ

こりゃあ…無駄金は払いたくないだろうよなぁ <> (○口○*)さん<>sage<>07/07/02 16:28 ID:QB8IjeAU0<> 別にその手の組織があったところで、垢ハックの被害が減るわけでもないし。
RMT関係・BOT関係で何か進展があるにせよ、セキュリティ面では進展は無いだろうね。 <> (○口○*)さん<><>07/07/02 23:12 ID:flSjWHeD0<> 親会社のデータセンターからHDDが行方不明になった所が会長やってるしな…… <> (○口○*)さん<>sage<>07/07/03 22:37 ID:oPA48A+C0<> ちょっとアンケートっていうか調べたいんだけど
アカウントハックを踏んでウィルスにかかった人の中でその後の対処法の割合について聞きたい

1.アンチウィルス対策ソフトでアカハック関連ウィルスを削除しただけ
2.アンチウィルス対策ソフトでアカハック関連ウィルスを削除してOS入れなおしまたはリカバリまでした
3.アンチウィルス対策ソフトを仕様せずOS入れなおしまたはリカバリ
4.その他

1の人はその後被害が出たかどうかも聞きたい <> (○口○*)さん<>sage<>07/07/04 00:27 ID:/Jtc8/1F0<> >>823
卒業おめでとう <> (○口○*)さん<>sage<>07/07/04 01:10 ID:dqA6Ty3P0<> >>824
答えになってないだろww

>>823
大体再インストール勧められてそれに従ってる気がするな
実際のところどうなんだろう、ちょっと気になるね <> sage<><>07/07/04 01:30 ID:jCyPH/tmO<> 質問です。
カスペルキー今日導入したのですがro.exeに反応して許可したのですが、その後また反応してしまいます。
これは何か設定しなければいけないのでしょうか? <> (○口○*)さん<>sage<>07/07/04 01:58 ID:ytwfjfKi0<> >>826
Ragnarok.exeか、Ragexe.exe、Ragurdrexe.exe あとnProのファイルなら通信許可。

一時的通信許可なら、次にまた許可するか聞いてくる。
今後はずっと許可にしても、exeパッチが当れば別物と判断して再度許可求めてくる。これは正常な動作。 <> sage<><>07/07/04 02:01 ID:jCyPH/tmO<> 素早い解答ありがとうございました。 <> (○口○*)さん<>sage<>07/07/04 02:04 ID:nuXn5ln10<> ro.exe:Win32/PSW.Maran トロイの亜種
らしいぞ <> (○口○*)さん<>sage<>07/07/04 02:08 ID:ytwfjfKi0<> そうだな、本当にro.exeの場合は、垢ハックの可能性高い。「通信許可」は出しちゃだめ。「削除許可」ならOK。

一応、エラーメッセージを正確に貼り付けてみ。 <> (○口○*)さん<>sage<>07/07/04 02:39 ID:nuXn5ln10<> 826さん南無
sageの位置をとうとう覚えなかったけれど
君を寝たら忘れてるよ
おやすみ <> 826<>sage<>07/07/04 02:46 ID:jCyPH/tmO<> Rage.exeでした
ただ許可する前に隔離されてセーフモードになってしまいます <> (○口○*)さん<>sage<>07/07/04 03:20 ID:vKvhVXTb0<> 「Rage.exe」
ならやばそうだな。
Ragnarok.exeか、Ragexe.exeのどっちでもないんだな? <> 826<>sage<>07/07/04 03:31 ID:jCyPH/tmO<> 慌てて書き込みしてごめんなさい
もっと良く見て書き込めば良かったです
「Ragexe.exe」でした
今の所警告で止まるような事はありません <> (○口○*)さん<>sage<>07/07/04 03:42 ID:ytwfjfKi0<> ならOK。安心してお休み。

次からは正確に報告するように気をつけような。 <> 826<>sage<>07/07/04 03:46 ID:jCyPH/tmO<> 遅くまで丁寧にありがとうございました
以後きおつけます
でわ、おやすみなさい。 <> (○口○*)さん<>sage<>07/07/04 14:47 ID:wanpi4Th0<> >>823
実際垢ハクされて身包み剥がれた間抜けが通りますよっと

俺の場合は2、普段AvaだけだったのをAva・カスペ・Spybot・Norton・ウィルスバスターと
無駄に5種かけて検閲削除したあとクリーンフォーマットしてOS再インスコ
作業してる時間中に別のROにはまったく携わってないPCからガンホーIDのパスの変更
もちアトラクションIDとキャラパスも一緒に変更(このPCも作業前に上記5種によるフルスキャン)
んで今ガンホーから警察さんに操作してもらってくださいねっつわれて警察に届けて現在進行形で捜査中
引退でもいいんだがこれはこれで面白そうだと思ったんだが…実際動きなさすぎで('Д`) <> (○口○*)さん<>sage<>07/07/04 14:56 ID:ytwfjfKi0<> >>837
踏んだ(であろう日時)と垢ハックがおCOM割れた日時の間隔、
パス変更は時間的にどこに位置するのか(垢ハック前か後か)

辺りまで報告して貰えると有難いな。 <> (○口○*)さん<>sage<>07/07/04 17:03 ID:/Jtc8/1F0<> とりあえず>>823を統計しても全く意味がない
的外れなデータをいくら集めてもただのゴミ <> (○口○*)さん<>sage<>07/07/04 23:00 ID:U40PXlMO0<> そうだねプロテインだね <> (○口○*)さん<>sage<>07/07/04 23:51 ID:ytwfjfKi0<> オボンヌ


ところで、次スレのテンプレの件が放置されている訳だが。
あと、本スレのFAQの、垢ハックになってしまってから警察に行く時の手順というか、持ち物とか
こっちの630あたりからの情報からわかるだけ抜き出せないかな。 <> (○口○*)さん<>sage<>07/07/06 22:46 ID:rIQzaY1S0<> +Lhacaじゃなくても独自実装の解凍ソフト(eo、解凍レンジ)あたりだとstrcpyのバグはありそうだなぁ
あっても対象がコアすぎて誰も気づかないだろうし <> (○口○*)さん<>sage<>07/07/07 16:24 ID:UvRqBAaC0<> ttp://itpro.nikkeibp.co.jp/article/NEWS/20070706/276930/
攻撃ツールの大安売りだって <> (○口○*)さん<>sage<>07/07/07 16:48 ID:SMx9k+qe0<> >>843
>>692-696 <> (○口○*)さん<>sage<>07/07/07 16:50 ID:UvRqBAaC0<> 被害じゃなくて安売りってニュースなの <> (○口○*)さん<><>07/07/07 23:26 ID:RPgJbEf10<> これだけ投げ売り状態だと、リア厨工あたりが面白半分に手を出せるレベルだな。
ゲーム内詐欺に留まらないレベルに発展するかもしれない。 <> (○口○*)さん<>sage<>07/07/08 04:02 ID:4pCOIR+10<> ウイルス被害の総数は減るも攻撃は巧妙化、トレンドマイクロ調査
ttp://internet.watch.impress.co.jp/cda/news/2007/07/06/16268.html

>上半期のウイルス傾向としては、1)Web改竄による攻撃ツールの埋め込みが海外で急増

垢ハック撒き散らすのにも使われてますね。 <> (○口○*)さん<>sage<>07/07/09 01:10 ID:cvTvFI6O0<> ラヘル氷D1Fオーク多すぎ <> まと
◆sp4Sh9QXGI<>sage<>07/07/10 10:30 ID:fY7C4tfY0<> http://headlines.yahoo.co.jp/hl?a=20070710-00000024-san-int

「福建省」というのが気になったので。
とはいえ、中国人の考えることは(政府を含め)よくわかりません。
技術は高レベルになりつつあるけれども、人民は………何と言うか。
これ以上何か言うと消されそうなのでこれにて。 <> (○口○*)さん<><>07/07/11 04:48 ID:HTy8Iwbf0<> 月例WUの日age
ttp://www.microsoft.com/japan/technet/security/bulletin/ms07-jul.mspx
今月は、いよいよVistaのみが対象になるモジュール(MS07-038)も含まれる。 <> (○口○*)さん<>sage<>07/07/11 14:35 ID:or8xyshD0<> 魔法のiらんどがトロイを埋め込まれるクラッキング被害との事。 <> (○口○*)さん<>age<>07/07/12 05:23 ID:x2KzPVlm0<> 下がってるのでage
おまいらWindowsUpdateしとけよー <> (○口○*)さん<><>07/07/12 07:12 ID:/jYXjVIo0<> >>54
>もしやと思って危険なURL一覧を検索したら載っていました。
とありますが、
危険なURL一覧というのはどこに載っていますか? <> (○口○*)さん<>sage<>07/07/12 07:23 ID:4fADuzl10<> >>853
ROアカウントハック報告スレのまとめ?サイト
URLは>>9にのってるから <> 853<>sage<>07/07/12 07:57 ID:/jYXjVIo0<> >>854
レスさんくす!
テンプレに載っていたのですね・・・
(記載されているURLは踏んだかどうか不明ですが・・・)
よく読んでみます。
この前、露店放置してたらノートン(2006)の警告マークが出た
状態でフリーズしていたので、ウィルススキャンしてみます。 <> (○口○*)さん<>sage<>07/07/12 22:04 ID:lVZOVWdL0<> ふと思ったけれど、Wikipediaにアカハックについての記事があってもいい気がする。
(記事名は「アカウントハッキング(オンラインゲーム)」とか?)
BOTやRMTの記事はあるし。
ウチからだとIP規制に巻き込まれてて編集させてもらえないから、誰か気が向いた人がいれば。 <> (○口○*)さん<>sage<>07/07/13 00:18 ID:R+79xtTg0<> >856
ttp://ja.wikipedia.org/wiki/%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88

「アカウント」の所にアカウントハックの説明もある。
ついでにアカウントハックツールへの対策として、昔のrundll132.exeとrodll.dllの
削除手順もある。 <> (○口○*)さん<>sage<>07/07/14 08:05 ID:Lx9ZP7bv0<> >>857
ありがとう。"アカウントハッキング"で検索したからそのページは気付かなかったよ。
読んだけれど、一般的な事物としてのアカウントの説明の途中から唐突にネトゲ特有の
アカハックの事が書かれてて無理矢理付け足した感があるのと、RMTとの関連や取り締る
ための精度が追いついてないとかの問題点への言及が無いのとか、色々と説明が足りて
無いんじゃないかなと思った。
アカウント」のページの副項目として書いておくより、説明をつぶさにして、独立した
記事として書き直したらどうかなぁ。独立した記事とするだけの規模の時事ではあると思うし。

>ついでにアカウントハックツールへの対策として、昔のrundll132.exeとrodll.dllの削除手順もある。
それは何んか付記事項ではあっても百科事典の記事の本文としては内容の内に入らないと思われる。

何にしてもウチはYBBだもんで当面巻き添えで規制され続けて書きに行けない予感_no
以上、長文でスマソ。 <> (○口○*)さん<><>07/07/16 10:04 ID:w/IxNAiK0<> Firefox 2.0のURIハンドラに重大な欠陥,IEとの組み合わせが危険,Secuniaが警告
ttp://itpro.nikkeibp.co.jp/article/NEWS/20070712/277298/
> このセキュリティ・ホールは,Firefoxが「firefoxurl://」で始まるURIを受け取った際,「-chrome」パラメータの処理に
>問題があるためJavaScriptコマンドを実行するというもの。例えば,ユーザーが米MicrosoftのInternet Explorerで
>Webページを閲覧中に悪意のある「firefoxurl://……」というリンクをクリックすると,Firefoxが起動されて任意の
>コマンドを実行してしまう。

IEメインで、Firefoxを補助的に使用している場合は特に注意。
ttp://japan.cnet.com/news/sec/story/0,2000056024,20352586,00.htm
ttp://firefoxhacks.at.webry.info/200707/article_2.html <> (○口○*)さん<>sage<>07/07/16 11:01 ID:I7doWxp30<> FireFoxメインで見てる分には問題ないって事かな?気をつけよう。 <> (○口○*)さん<>sage<>07/07/16 12:03 ID:glk4ljA80<> IEとFireFoxとOperaを入れてて、最近はIEとOperaしか使ってないから
FireFoxはアンインスコしちゃった方がいいのかな。 <> (○口○*)さん<>sage<>07/07/16 13:36 ID:i/B3fmL30<> そうすりゃ良いさ <> (○口○*)さん<>sage<>07/07/16 15:59 ID:MdeV9rwS0<> 使わないアプリはアップデートもしなくなるから、消してしまうのが安全

必要ならまたインストールすれば良いだけだし <> (○口○*)さん<>sage<>07/07/18 15:20 ID:fNlODO3F0<> FireFox更新 <> (○口○*)さん<><>07/07/18 15:23 ID:OxpQv7xl0<> >>864
Thx&age <> (○口○*)さん<>sage<>07/07/18 18:36 ID:R/nQ5zwp0<> >775-777で報告のあった、脆弱性に対してβ版で対応してた+Lhacaが正式対応した模様
ttp://www.forest.impress.co.jp/article/2007/07/18/lhaca123_final.html <> 生存確認
◆sp4Sh9QXGI<>sage<>07/07/18 18:45 ID:dDKybord0<> > 今日送られたメッセージ
> 15:08 中国URL垢ハック http://www■blog-livedoor■net/game/

単なる情報提供か(既出ですが)、自供なのか。
ちょっとおかしな日本語を見る限りでは後者でしょう('_`) <> (○口○*)さん<><>07/07/18 20:53 ID:gntW0RZ90<> ×FireFox
○Firefox
ttp://www.mozilla-japan.org/support/firefox/faq#spell-abbreviate <> (○口○*)さん<>sage<>07/07/19 10:40 ID:mtgBc2Y30<> すっげーどうでもいい
あらゆる正式名称を一生指摘し続けろよって感じ <> (○口○*)さん<>sage<>07/07/19 15:22 ID:fhWnR4mj0<> ROと関係ない話で申し訳ないんだけど。
種々のWikiに張られてるwww■celebe■net/なんだが
これって危険サイトなんだろうか……?
確認したところでひぐらしWiki、MHFWikiには貼られているんだが
引っかかった人も多いんじゃないかな、と思ってな

ソースチェッカもaguseも危険度それほど高くなさそうなんだけれど
ノートン先生でチェック入れても何にも出ては来なかったが、一応報告。

ROと関係なくてすまん <> (○口○*)さん<>sage<>07/07/19 16:31 ID:N2IgCaTC0<> >>870
aguseで確認しましたが、危険サイトというより勧誘サイトですね。
サイトのタイトルが「高収入アルバイト 求人情報サイト 女性専用の全国高収入求人」ですし
aguseでサイト管理者みましたよね?
ウィルス踏む踏まない以前で関係なさ過ぎ。 <>
◆sp4Sh9QXGI<>sage<>07/07/19 16:39 ID:tiiPxsrS0<> >>870
単なる日本のアダルトサイトのようですね。
これまでの福建人の手口を考えると、日本にサーバーが置いてある場合は
アカウントハックとは無関係の、単なるスパムである場合がほとんどでしょう。
(ただこれはこれまでに実例が無いだけですので、今後どうなるかは予想できません)

---
因みにこのスパム、XREAのサーバーを利用しているようですが
成年向けコンテンツは(性的描写が含まれていないが未成年の閲覧が好ましくない場合も)
規約により禁止されています。 <> (○口○*)さん<>sage<>07/07/19 18:43 ID:dQMqPRlN0<> 魔法のiらんどのトップページにTSPY_LINEAGE.ACZが埋め込まれていたとのことです。
ttp://www.itmedia.co.jp/news/articles/0707/18/news070.html

なんでこうも改ざんが発覚してからも小手先で誤魔化して運営続けるのか…。
kakaku.comの時と対応が一緒ですな。 <> (○口○*)さん<>sage<>07/07/19 22:11 ID:cZsz3pbb0<> >>873
どうして改ざんされているのか判る人が居ないか
修正する費用を出したくないんだろ <> (○口○*)さん<><>07/07/20 01:51 ID:kGB/f9SS0<> 根底にあるのは、日本人の事なかれ主義。
ネット社会では、それだけだと取り返しの付かないことに陥りやすい訳だけど。
ny関連でも良くあるな。 <> (○口○*)さん<>sage<>07/07/21 12:50 ID:UWO2UnC40<> >>870 のが騎士と弓手WIKIのリンクを書き換えまくってたのを確認。
他も気をつけたほうがよさそう。 <> (○口○*)さん<><>07/07/21 16:20 ID:DGoXcR7M0<> 通報祭りマジオヌヌメ。
規約違反のアダルトカテゴリなので取りつぶしを狙えるかも。
ttps://www.value-domain.com/webabuse.php <> (○口○*)さん<>sage<>07/07/21 16:27 ID:XGpQZ4l00<> アコプリWiki避難所もやられてたっぽい。
ハク系とは無関係にせよ、踏んでしまった人は念のためにチェックした方がいいな。 <> (○口○*)さん<>sage<>07/07/21 16:46 ID:XGpQZ4l00<> あとこれって鯖そのものはxreaを使ってるが、ドメイン名はさくらインターネットから
借りてるって事なのかね?
whoisで見るとさくらインターネットと出るんだが。 <> (○口○*)さん<>sage<>07/07/21 17:07 ID:ceBgkvG00<> >>879
そういうことだね。
celebe.netのIPを引いてから逆引きするとs199.xrea.comと出る。 <> (○口○*)さん<>sage<>07/07/21 20:26 ID:PVlJ3KAH0<> ここ知らなかったよ…。

あこぷりwikiが再びやられてたので編集。
そして私自身踏んでしまったのでウイルススパムチェック中。

このまたやられてた分のURLも>>870のものでした。 <> (○口○*)さん<>sage<>07/07/21 20:36 ID:UWO2UnC40<> ジャストシステムからカスペルスキーが落とせるみたいなのだけどこれは>>2にあるとこから落としたほうがいいのだろうか? <> (○口○*)さん<>sage<>07/07/21 20:37 ID:Up10HUY20<> >>882
ジャストの方でもだいじょうぶだよ <> (○口○*)さん<>sage<>07/07/21 20:40 ID:UWO2UnC40<> OKありがとう。
特に差はないのだね。 <> (○口○*)さん<>sage<>07/07/21 22:25 ID:OgfVHZYV0<> さくらインターネットはアダルトスパムやってても完全放置なんで、通報しても徒労に終わるかもしれん
公式サイトは問い合わせが見つけにくくて苦労した・・・ <> (○口○*)さん<>sage<>07/07/23 00:44 ID:OzMFQ/nn0<> Wikiに張られてたんだけど
www■korunowish■com/8784541/
これは垢ハックアドレスでいいのかな?
ドメインが危険度メイン一覧にのってたのだけど。。。 <> (○口○*)さん<>sage<>07/07/23 01:10 ID:K2V7xz2Q0<> Trojan-Downloader.VBS.Small.em
Exploit.Win32.IMG-ANI.ac
Trojan-PSW.Win32.Maran.gen

垢ハクでよろしいのではないかと <> (○口○*)さん<>sage<>07/07/23 01:15 ID:OzMFQ/nn0<> >>887
Thanks 鯖のGvのWikiなんだけどこのアドレス結構放置されてたっぽい
TOPページのめだたないところだったからかな <> (○口○*)さん<>sage<>07/07/23 10:57 ID:8rKbr80K0<> カスペAvastスパイボットAD-awere無反応。
キャッシュクッキーの削除

色々やったけどまだnProが何か検知する。参ったな。これ位しか思いつかない。 <> (○口○*)さん<>sage<>07/07/23 11:33 ID:KeiaEC2W0<> >>889
迷わずOS入れなおせ <> (○口○*)さん<>sage<>07/07/23 11:36 ID:wXDaIDCU0<> 「nProが何か検知する」というのはどういう状態を言ってるんだ?
RO蔵が落ちるという事?

ありがちだがPopFile使っててRO蔵が落されてるだけだったりして。 <> (○口○*)さん<>sage<>07/07/23 11:58 ID:4Ok3VR8q0<> perlとかも使うと落ちるんよね。全く関係ないスクリプト使うにも落ちて困る。
BOT対策なんだろうけどBOT単独で動くのに正規クラに対策施されても意味ないのになあ。 <> (○口○*)さん<>sage<>07/07/23 13:08 ID:8rKbr80K0<> ROが変な落ち方したりで異変を感じたからnPro起動する別ゲーム起動したら
下記のようなウィルス(バックドア)を見つけましたと出た。
Adwere/Toolbar. HKCR\CLSID\{ とか。 <> (○口○*)さん<>sage<>07/07/23 13:31 ID:4Ok3VR8q0<> そんな半端なとこで切られてもわからんよ。 <> (○口○*)さん<>sage<>07/07/23 14:29 ID:8rKbr80K0<> http://www.uploda.org/uporg919024.png

詳細開けなかった <> (○口○*)さん<>sage<>07/07/23 14:59 ID:tHz8oB3z0<> nameは… <> (○口○*)さん<>sage<>07/07/23 16:46 ID:8rKbr80K0<> それ以上表示できないわ…再インスコとか意外に何かないかな○| ̄|_ <> (○口○*)さん<><>07/07/23 16:49 ID:HKYbWHq50<> 多分これかと。
ttp://www.mcafee.com/japan/security/virM2006.asp?v=MySearch
ttp://hjdb.higaitaisaku.com/database.cgi?cmd=dp&num=166
セキュリティベンダーの扱いとしては、以前のJWordのような感じか。 <> (○口○*)さん<>sage<>07/07/23 16:51 ID:wXDaIDCU0<> >897
境界線をドラッグしる。

「Toolbar MySearch」でググれば何個か引っかかるアドウェア系のものだと思うけど
IEとかに何かしらのツールバーをインストールしてないかい?

nProでの検出名が他のアンチウィルスソフトで何と出るか判らないが、カスペとかで
無反応なのは、一応無害扱いされてるんだと思う。 <> (○口○*)さん<>sage<>07/07/23 16:55 ID:4Ok3VR8q0<> http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=ADW_FUNWEB.A&VSect=T
部分的にぐぐって出たけど、これかこれの亜種かな。
バスターでならひっかかるかもね。 <> (○口○*)さん<>sage<>07/07/23 17:00 ID:KeiaEC2W0<> IEのインターネットオプションの詳細から、(ブラウズカテゴリ中の)サードパーティ製のブラウザ拡張を有効にする
というチェックを「外す」

MS以外のアドオン(フラッシュプレイヤー等も含む)が使えなくなる。その状態で反応を見て変わるかどうか。

PC管理者の承諾があるから殆どは無害と判断してるんだろうけど、怪しげなツールバー入れるなよと。 <> (○口○*)さん<>sage<>07/07/23 17:26 ID:8rKbr80K0<> Adware/Toolbar.MySearch.A
http://www.uploda.org/uporg919185.gif
「様々なフリーウェアプログラムの一部としてインストールされます。」ってのが怪しい。
昨日大量のフリーソフトをDLしたから確実にそのせいだ…
そういえばRO以外にもペイントソフトとかなんかも挙動おかしくなってたかも

ブラウザにツールバーは無いしプログラムの追加と削除にもMy***は見当たらず。
ちょっと>>901さんのやつ試してきます。本当ありがとうございます… <> (○口○*)さん<>sage<>07/07/23 17:51 ID:8rKbr80K0<> >>901
まだ検出します。バスターもマカフィーも試用版使ってしまった… <> (○口○*)さん<>sage<>07/07/23 18:55 ID:dkgGwxOE0<> 大量のフリーソフト(笑)とか・・・そんな初心者が作ったような玩具以下のゴミ拾うなよ <> (○口○*)さん<><>07/07/23 19:28 ID:HKYbWHq50<> アドウェアが同梱されていた、フリーソフトを丸ごとアンインストールするのが正解かと。
どうにもならないようなら、システムの復元で以前のポイントまでロールバック。

というか、普段使っているセキュリティソフトでは、インストール時点で検知できなかったのか。 <> (○口○*)さん<>sage<>07/07/23 20:29 ID:8rKbr80K0<> バスター試用版使えたのでスキャンしてみたら6行消えました。@2行は消えず。
IDパス抜き取られたりとかしないようなのでゆっくり元を探します。

ありがとう…反省反省。 <> (○口○*)さん<><>07/07/23 20:46 ID:YFbPv9JC0<> 先ほど、RO2Wikiに張られていたURLをクリックしたところ何も表示されず、
不安に思い「ROアカウントハック対策スレのまとめサイト」でドメイン検索をしてみたところ
対象のURLが危険なドメインに載っていました・・・。
アドレスは「www■interqz■com/bbs/」でした。

どなたか、対象のHPにあるウイルスの削除方法を教えていただけないでしょうか・・・。 <> (○口○*)さん<>sage<>07/07/23 20:52 ID:qofJqBbj0<> >907
ウイルス対策ソフトぐらい入れようぜ <> (○口○*)さん<><>07/07/23 20:57 ID:YFbPv9JC0<> >908
すみません、avastを入れていたのですがPCの動きが不調な為に監視を切っていました・・・。
もし、垢ハックウイルス等に対応したフリーのウイルス対策ソフト等ありましたら教えていただけないでしょうか。 <> (○口○*)さん<>sage<>07/07/23 20:58 ID:qofJqBbj0<> >909
「カスペルスキーオンラインスキャン」掛けてみな
単語で検索すりゃ出るから。

あとはspybot S&D(フリーのスパイウエア削除)ぐらいじゃねーかなあ <> (○口○*)さん<><>07/07/23 21:03 ID:YFbPv9JC0<> >910
ありがとうございます、早速試してみます。

それと、対象URLをソースチェッカーにかけてみた所、
※このアドレスは危険URLのひとつです。
ブラクラチェックが終了しました。

※ フレームタグを発見しました。(3)
wz.htm
wu.htm
上記アドレスのチェックもお勧めします。(そのままチェックできます。)
とのことです・・・。 <> (○口○*)さん<>sage<>07/07/23 21:04 ID:KeiaEC2W0<> >>907
OS入れなおしが最善の解決策 <> (○口○*)さん<><>07/07/23 21:08 ID:YFbPv9JC0<> >912
すみません、大量のデータが入ってる為(移動できる環境ではない為)
OSの入れなおしは出来ません・・・ <> (○口○*)さん<>sage<>07/07/23 21:14 ID:qofJqBbj0<> >911
URLこれじゃないの?
カスペルスキー:オンライン ウイルス&スパイウェアスキャナ
ttp://www.kaspersky.co.jp/scanforvirus


どんなウイルス対策ソフトがあるかは把握しといて損ないぞ。
上が駄目ならマカフィーのオンラインチェックかけとけ。
御三家の中では比較的まともな性能だから。 <> (○口○*)さん<>sage<>07/07/23 21:20 ID:wtYryOal0<> >>913
Cドライブにそんなに入ってるの? <> (○口○*)さん<><>07/07/23 21:22 ID:YFbPv9JC0<> >914
ありがとうございます。
現在カスペルスキーオンラインスキャナを使用し、スキャンを行っています。
現在15%で、既に見つかったウイルス4、感染したオブジェクト5となっているので他のウイルスにも感染しているのかも知れません^^;
これが終わりましたら、マカフィーのオンラインチェックをかけてみたいと思います。

それと、疑問に思ったのですがカスペルスキーオンラインスキャナでは対象のウイルスの駆除は行えるのでしょうか? <> (○口○*)さん<>sage<>07/07/23 21:23 ID:KeiaEC2W0<> >>913
OSの入れなおしは、必ずしも、フォーマットする必要はないんだが。

データに取り付いてるなら、再発の危険はあるが、セキュリティソフトで除去済みなら
OSの入れなおし→アプリ入れなおし だけだぞ <> (○口○*)さん<>sage<>07/07/23 21:23 ID:6SKH6OA30<> >916
行えないが、カスペは体験版を落として試用できる。 <> (○口○*)さん<>sage<>07/07/23 21:25 ID:KeiaEC2W0<> >>916
スキャンだけだから、トライアル版入れるなり購入するなりしておけ。 <> (○口○*)さん<>sage<>07/07/23 21:26 ID:qofJqBbj0<> オンラインスキャンはファイルの場所を検知するだけなので
削除は手動になる。

ファイルアドレスは提示されるから頑張って削除しろよ(´・ω・`) <> (○口○*)さん<><>07/07/23 21:31 ID:YFbPv9JC0<> >917
一応、OSのフォーマットについては検索してみたいと思いますが・・・
Cドライブは20GBほど使用しているのでアプリ入れなおしは少々厳しいかと・・・

>918,919,920
ありがとうございます、スキャンの終了次第トライアル版をDLして見ます。
ファイルのアドレスが表示されるという事は、手動での削除も可能ですよね。 <> (○口○*)さん<>sage<>07/07/23 21:37 ID:CPli55ap0<> 使用中のファイルなど、セーフモードでなければ手動削除できない場合もあるから注意ね <> (○口○*)さん<>sage<>07/07/24 07:29 ID:Dob8gsHn0<> あんまりわかってなさそうなのでちょっぴり脅かしてみる。

ウィルスに感染したPCは、OS再インストールしないと
完全にクリアな状態になったと保証されない。
対策ツールもできる限り頑張ってくれるけど、完全なわけではない。

そのへんを「入れ直しできないから」を理由にうやむやにするのは
自分自身で判断したリスク、ということは理解しておいてね。
ほかの誰の責任でもない、選んだ自分自身のリスク。

あと、不安定だからavast切ってるとか、wikiのURLを適当にクリックするとか、
日常の迂闊な動作がいまの事態を招いた、ということも理解しておいたほうがいい。 <> (○口○*)さん<>sage<>07/07/24 09:49 ID:utzQOY7Y0<> 数日前私のBLOGにサイトの宣伝を装ったアカハクURLが張られていました。
気が付いて速攻その書き込みを削除したのですが、その間およそ5時間。
注意喚起の表示をトップに書いて、アカハク張ったIPをアクセス禁止に
したけど、それ以外に何か打てる手はあるでしょうか。 <> (○口○*)さん<>sage<>07/07/24 14:04 ID:/Wl96zzb0<> ギルドメンバーに垢ハック対策を喚起したいんだけど、初歩としてJavaScript/Javaアプレット/ActiveXのOffというのは
どんなもんでしょう。
有効そうですか? <> (○口○*)さん<>sage<>07/07/24 14:11 ID:qFwkdqzk0<> >>925
何もしないよりはるかにマシ。
あと、何故OFFにしたほうがいいのかきちんと説明しておくことも必要。 <> (○口○*)さん<>sage<>07/07/24 14:18 ID:/Wl96zzb0<> >>926
ありがとうごいます。
対応方法も含めて説明はしたいと思います。 <> (○口○*)さん<><>07/07/24 14:21 ID:lxZv2hYR0<> OSの入れ直しが困難な状態と言うことは、それだけデータのバックアップ体制が整っていない訳なんだよね。
スパイウェア的性質のマルウェア以外にも、ファイルを改竄したり破壊したりする物だって存在する。むしろ、古典的な
コンピュータウィルスといったらこっちの方が多い。
それ以外にも、アプリケーションやハードウェアのトラブルで、データを取り戻せなくなる可能性だってあり得る。

駄目になったらサルベージすれば良いという場当たり的思考は無しね。個人でできる範囲内ならともかく、業者に
依頼するようなレベルになると、新品HDDが10本単位で買える価格。 <> (○口○*)さん<>sage<>07/07/24 14:52 ID:xW0bfXq20<> >>924
blogサービスの設定範囲しだいだけど
・テンプレートHTMLの編集でコメント記入欄のメール及びurlフォーム自体を削除する
・禁句設定で「tp://」を指定する
これでとりあえずハイパーリンクを貼られることはほぼなくなると思う。

http://を抜いた形(enif.mmobbs.com/みたいな)で書かれるかもしれないけど
それは通常リンク形式にならないので誤クリックは防げる。
わざわざコピペして移動したがるやつはどうしようもない。 <> (○口○*)さん<>sage<>07/07/24 17:40 ID:utzQOY7Y0<> >>929
感謝。
自力で設置してるタイプなんで融通は利きます。
今会社なんで帰ってからやってみようと思います。 <> (○口○*)さん<><>07/07/24 19:05 ID:lxZv2hYR0<> 自力設置ということだと、MTとかSB、あるいはWordPressあたりかな。
そのあたりなら、Akismetか、各エンジン向けの同系列プラグイン導入でかなり改善すると思われ。
これだと、BlackList/WhiteListの設定も可能だし。 <> (○口○*)さん<>sage<>07/07/25 12:18 ID:ILAQwR7D0<> 本スレから話題移動なんだが、テンプレWikiの整備はどうしたものだろうか?
最低限スレテンプレを綺麗にした方がいいと思うんだが。

んで、叩き台にと思って本スレのテンプレをそっくり移してみたんだが
リネ資料室さんのURLを入れると何故か更新がブロックされてしまうorz <> (○口○*)さん<>sage<>07/07/25 13:21 ID:Q3UqIWsj0<> >>932
あれは、テンプレ相談用のもので、セキュスレテンプレ用という認識ではなかったり。

セキュスレのテンプレが固まったら、まとめサイト分は(整理は間借り中のWikiでいいだろうけど)
本スレのまとめサイトさんにお願いして掲載して貰うんだという理解なんだが。違うのかな。

とにかく、そろそろ次スレに使うテンプレ固めようや。

叩き台
ttp://rosafe.rowiki.jp/ <> (○口○*)さん<>sage<>07/07/25 16:19 ID:ILAQwR7D0<> にゅ缶とLiveRoの行数規制・連続投稿規制ってどれぐらいだっけ?

テンプレは短くしないとスレ立て依頼の時に苦労するので、出来れば削りたいんだが
なかなか上手くいかない。

本スレにも書いたけど、一人二人が勝手に決めて良い物ではないので、多数の人の
チェックをお願いしたいところ。
正直、何をまとめサイトの人に掲載依頼して、何をテンプレに残すのか、判断がつかん…… <> (○口○*)さん<><>07/07/25 17:01 ID:6x9sDZwe0<> >>934
SETTING.txtの関係ありそうな所だけ。
>BBS_TITLE=LiveRO板@MMOBBS
>LIMIT_MESSAGE=4096
>LIMIT_LINE=20
>RES_RENZOKU=12
>RES_KAKISUGI=4
主要パラメータはRO板/LiveRO板共通。
4096bytes/20行、直前12投稿のうち、4件が共通するIPの場合警告の模様。 <> (○口○*)さん<>sage<>07/07/26 01:25 ID:x3c1JAVN0<> テンプレまとめの所割り込み失礼

自分のサイトに書き込みに来ていた、あからさまに怪しいアドレスなんですが
google9620■com
google3023■com
google199■com

これはなんちゃってGoogleと判断していいのですかね?

書き込みのリモホが 85.255.117.148〜150とウクライナからで30秒間隔で投稿。

ソースチェッカーで見ると最初の2個は500エラー、最後のが中華っぽいけど
罠があるかどうかは確認できず。

何れにせよ怪しい&無関係な書き込みなので速攻消したのですが。 <> (○口○*)さん<>sage<>07/07/26 01:32 ID:Afwvw1ys0<> Google is the best search engine <a href="http■google9620■com/">Google</a>

こんな感じで誘導してるのかw <> (○口○*)さん<>sage<>07/07/26 01:50 ID:J1PfFE+u0<> >>936
でもそれらのドメイン、調べてみると全部未取得なのね。
http://whois.domaintools.com/google9620.com
http://whois.domaintools.com/google3023.com
http://whois.domaintools.com/google199.com

spamerはアホばっかなんだが、こいつも何を考えてPOSTしてきてるんだろうねぇ。 <> (○口○*)さん<>sage<>07/07/26 01:56 ID:J1PfFE+u0<> あ、199は取得済みか。でもって中国。
でもWhoisDBの反応が無い、とか返ってくる。一応注意は必要かも。


…URL張りまくるならしっかり準備してからやるもんだろうにな。抜けてやがる。 <> (○口○*)さん<>sage<>07/07/26 08:16 ID:wppvB5Su0<> tj9viewer.dllがノートンで反応しましたがそれからネットに繋がず・・・
今は別PCで書き込みしてるんですが、どうすればいいのですか?
↑のを検索してもよく分からず・・・ <> (○口○*)さん<>sage<>07/07/26 08:24 ID:K5J+EX0z0<> >>940
セキュリティソフトで削除(反応したなら除去済みなのでやることはない)。
不安なら、OSの再インストール。

そしてPG2を導入し「適切に設定すれば」、万が一残っていた場合でも、盗まれた情報の送信をブロックできる。 <> (○口○*)さん<>sage<>07/07/27 11:22 ID:2fV2yT2t0<> BOT変更点スレに貼られてたが、こっちのスレの方が適切だと思った。
ゲーム内アイテムとか不正取得とか…どっかで聞いたような話だね。

無届けサーバー開設で留学生送検 中国からゲームに中継
http://www.asahi.com/kansai/news/OSK200707260187.html <> (○口○*)さん<>sage<>07/07/27 19:04 ID:8wEDW/gC0<> この「ゲームに侵入して」って部分は垢ハクじゃなくて、不正中継による海外からの接続を指してるのかも。
接続が不正だから「ゲーム上の人気のあるアイテムを不正に取得」って繋がるようにも見えるし。
だとしたら垢ハクとは関係ないのかもしれない。

と、書いててふと気づいたんだが

・福岡在住
・中華と関連
・垢ハクと関連があるかもしれない

もしかして、こいつって「OFSfb*.ppp11.odn.ad.jp」だったりしないか? <> (○口○*)さん<>sage<>07/07/27 23:26 ID:2XW2J/kv0<> 雑談、雑談。

(窓の杜)
ttp://www.forest.impress.co.jp/article/2007/07/27/asquaredhijackfree.html

こんなのは使いこなすと便利だろうか。 <> (○口○*)さん<>sage<>07/07/29 12:45 ID:QKOrtrLf0<> 変なの踏んじゃって不安になりました・・・
http://nekomimi■ws/~ro/img/1021■jpg

これってマズいでしょうか・・? <> (○口○*)さん<>sage<>07/07/29 14:26 ID:SCOM41Sf0<> javascriptの偽装jpgな時点で普通じゃない。
ぱっと見、ただのブラクラに見えたけど、不安ならウィルスチェックいってら。 <> (○口○*)さん<>sage<>07/07/29 18:58 ID:jRmZavHS0<> >>945
http://m■pimpmyspace■org/07/4/16/154804c■cur を読み込ませて
http://m■pimpmyspace■org/07/4/16/ss/154804c■gif を表示させるのかな。

カーソルのファイル落とす辺り、垢ハックかどうかにかかわらず危険だね。
セキュリティソフトが動いてない倍はOSの再インストールコースいってらー。

スクリプトのコメントには、http://www■gezginler■net ってのが頻出。 <> (○口○*)さん<>sage<>07/07/29 19:03 ID:jRmZavHS0<> あ、書くの忘れてた。

>>9
>※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません <> (○口○*)さん<>sage<>07/07/29 19:59 ID:yBA9Y5zQ0<> アカウントハック総合対策スレから誘導されて来ました。
こちらで質問させてください。

__
ROのアカウントハックってRO起動中に変なページ飛ぶとやられるの?
RO起動してなきゃOKとかある?

この間、ハックされたんだけど、一つのアカウントを
複数のPCで日によって使い分けてやってるんだ。
で、PC@ではかれこれ3週間くらい起動・ログインしてなくて
PCAではときどき繋いでた。こういった場合、PCAになんらかの
ウィルスが感染してると考えたほうがよい? <> (○口○*)さん<>sage<>07/07/29 20:16 ID:p26+BVoY0<> >>949
誘導されて来られた方にいうのも何ですが、
ハックされた時点で向こうのスレで対処する案件だと思われ。
 (誘導した方はちょっと浅はかだったかと思われ。)

最初の2文についてだけ言うなら、
RO起動中でなくても変なページ行けばやられます、とだけ。

とりあえず、向こうのスレでテンプレ報告して相談してください。
相談する前にPC2台ともウィルスチェックはした方がよいですが。 <> (○口○*)さん<>sage<>07/07/29 20:30 ID:p26+BVoY0<> >RO起動してなきゃOKとかある?
してなければOK、とも断言は出来ません。
ROログイン動作+ガンホーのマイアカウントページにログインをしないほうが、
ハックされない率は上がるでしょうけど。 <> (○口○*)さん<>sage<>07/07/29 20:48 ID:jRmZavHS0<> >>949
どちらも怪しい。セキュリティソフト入れて、どっちもスキャンかけろ。どっちのPCから盗まれたかは不明だ。

PC1:過去にログインした時に盗まれたのが、期間をおいて利用された可能性
PC2:現在進行形で盗まれ続けている可能性。

あなたがやること
1.安全な環境(テンプレ参照)からパスワード変更
2.ガンホーに報告&割に合わなくてもういいなら警察に相談
3.2と平行して、両方OS入れなおして、セキュリティソフト入れる
  (Webフォームの投稿でもパス盗まれる危険があることに留意)
3.ROを改めてダウンロードして入れなおしてプレイ

推奨する対応
1.両方のPCのOS入れなおす
2.両方のPCにセキュリティソフト(ウィルス・スパイウェア対策・FW・PG2など)をきっちりいれる
3.癌IDの削除

垢ハックにあったのをきっかけにやめるとしても、他の情報が盗まれる可能性や、自分のPCが
他社への加害者になっている危険性が否めない。よって、OS入れなおしとセキュリティソフト導入は必須。 <> (○口○*)さん<>sage<>07/07/30 09:03 ID:MC7VSpNs0<> >942-943
続報があった
ttp://www.4gamer.net/news.php?url=/news/history/2007.07/20070727202409detail.html

海外からの中継って電気通信事業法の違反になるらしい。
中華の中継に加えて垢ハック、さらに福岡となれば、あのodnの奴かもしれんなぁ。 <> (○口○*)さん<>sage<>07/07/30 14:14 ID:hrjHQg8I0<> 中継だけじゃ違法にはならんよ。
金取ったから私事ではなく「事業」とみなされた。
事業なのに届け出てないから違法とされた。 <> (○口○*)さん<>sage<>07/07/30 15:58 ID:Doxe8NfA0<> んでも奴らの場合は間違いなく裏で金は貰ってるだろうなぁ <> (○口○*)さん<>sage<>07/07/30 21:37 ID:Nc/JAbnn0<> これ仮にちゃんと届出して手続きもしてあれば
中継してネトゲに繋げさせる事自体は問題ないのか? <> (○口○*)さん<>sage<>07/07/30 22:12 ID:DhNqf8qp0<> 電気通信事業法違反は不正アクセスより罪が重いそうな。

>956
許可をもらうとか届け出すれば活動自体はもちろんできる。
しかしあたりまえだけど義務をかせられる。
不正アクセスで目をつけられるような事業内容なら
どのみちお縄になるだろうね。

留学生となるとそもそもビザの問題もあるし。 <> (○口○*)さん<>sage<>07/08/01 11:51 ID:EwKTWzO60<> >942-943 >953

それが、昨日私のBLOGに書き込まれたアカハクアドレス張りの
ホスト名が例の「OFSfb*.ppp11.odn.ad.jp」でした。
どうもこのニュースの話題とは関係なさそうかも?です。

>931
返事が遅れてすいません、>924 = >930です。
設置してるのは「nicky」ってやつです。
プラグイン導入をしてIP・ドメインでの書き込み拒否ができるようになってます。 <> (○口○*)さん<>age<>07/08/01 16:28 ID:WLNFHIo90<> Firefoxの更新が来てるぞー。
上げさせていただく。 <> (○口○*)さん<>sage<>07/08/01 17:58 ID:IZyvSqpu0<> Firefox2.0.0.5には細工されたURIで任意のプログラムを
実行可能なバグがあるから今すぐ更新するんだ

↓詳細
ttp://www.mozilla-japan.org/security/announce/2007/mfsa2007-27.html <> (○口○*)さん<>sage<>07/08/01 20:44 ID:EvvoOGzm0<> うは、Format C:されちゃう <> (○口○*)さん<>age<>07/08/04 21:09 ID:UxvCvfs70<> 「一太郎」を狙うゼロデイウイルスが再び出現
今現在修正プログラムやアップデートモジュールなどは未公表との事だそうです。

↓詳細
ttp://pc.nikkeibp.co.jp/article/NEWS/20070803/279066/?ST=pc_news&set=top <> (○口○*)さん<>sage<>07/08/05 23:05 ID:ZFakiQbI0<> VBScriptを利用したウィルスが多いみたいですが、
これはIE系のブラウザでもJavaScript、Java、ActiveX等をOFFにしておけば発動しないのでしょうか。
当方Sleipnirを上記の設定で使用しています。 <> (○口○*)さん<>sage<>07/08/06 09:27 ID:cdTTFvlT0<> しばらく垢ハクスレ見てなかったから、どっちに書いたらいいのかわからないんだけど
RODS総合板に垢ハクアドレスが貼られてました。
貼られてたのはまとめサイトにも載ってるコレ→www■livedoor1■com
今はまだ過疎ってるけど、RODSの情報が出てきたら見る人増えるかもしれないので注意。 <> (○口○*)さん<>sage<>07/08/06 11:11 ID:zDL/PrVb0<> >>963
>>925-926 <> (○口○*)さん<>sage<>07/08/06 20:32 ID:o5QU1+lq0<> かすぺ無料版らしい。
ttp://oshiete.new-akiba.com/archives/2006/08/kaspersky.html

とりあえず詳細記事を待ってみようと思う。 <> (○口○*)さん<>sage<>07/08/06 20:48 ID:yZs9mKJh0<> AOL Active Virus Shield終了

http://www.activevirusshield.com/antivirus/freeav/index.adp?

We're Sorry!
(ごめんお( ^ω^))

AOLRActive Virus Shield is no longer available.
(AVSはもう使えないお( ^ω^))

Looking for protection from viruses, spyware and hackers?
(代わりがいるかい?( ^ω^))

We are now offering McAfeeR Virus Scan Plus-Special edition from AOL
.(だったら、マカフィーのAOL無料スペシャルバージョンを使うといいお( ^ω^))

Please visit AOLR Internet Security Central to find the most comprehensive FREE set of safety tools available to help keep you, your family, and your PC safer from online threats.
(お(^ω^)お(^ω^)お(^ω^)) <> (○口○*)さん<>sage<>07/08/06 20:53 ID:yZs9mKJh0<> KIS無料化
http://pc.watch.impress.co.jp/docs/2007/0719/king.htm

                        //,. -/r‐- 、| !
                     /,/ ./ |  _」 ト、
                   /.\`/  |二...-┘ ヽ
    ┌┐    ┌──┐   . .i   ,.>、;/ー- 、    l.       ┌─┐
┌─┘└─┐│┌┐│     ! ∠.._;'____\   |.      │  │
└─┐┌─┘│└┘│┌─,!イ{_{\    /リ| l .\ .ヽ.──┐│  │
┌─┘└─┐│┌┐││/'´レl●    ● 从| |、\ ヽ、 ││  │
└─┐┌─┘└┘││└\  .|l⊃ 、_,、_, ⊂⊃ヽノ .|`''-;ゝ ┘└─┘
    ││        ││ /⌒ヽ__|ヘ   ゝ._)   j /⌒i !‐''.    ┌─┐
    └┘        └┘ \ /:::::| l>,、 __, イァ./  / |....    └─┘
                 /::::/| | ヾ:::|三/::{ヘ、__∧..|
                    ヽ< | |  ヾ∨:::/ヾ:::彡'....| <> (○口○*)さん<>sage<>07/08/06 21:19 ID:IAaUmZpD0<> いや、だからそのKISは・・・・w <> (○口○*)さん<>sage<>07/08/06 21:29 ID:mtr6FQQE0<> 最後のking.htmですぐわかった <> (○口○*)さん<>sage<>07/08/06 23:11 ID:B4nl7kgy0<> 総合対策スレ8の30の↓ものについて質問なのですが、
ttp://gemma.mmobbs.com/test/read.cgi/ragnarok/1185352481/30

その起点のサイトはどうもクラックされているかもということなのですが、
こういうサイトがクラックされた場合の改竄は、
1.今までのようにインラインフレームで呼び出すようなコードを追加されてしまう。
2.直接サーバーにexeを置かれてしまう。
のどちらのような状態にされてしまっているのでしょうか?
申し訳ありませんが、教えていただけると助かります。
宜しくお願いします。 <> (○口○*)さん<><>07/08/07 02:07 ID:qhpigEsv0<> >>971
問題のサイトのgoogleキャッシュからソースを見た感じでは、1.に近い手法ではあるものの、iframeは使われていない。
今回の場合、scriptタグでjsを呼び出し、更に外部のjsを呼ぶようになっていた模様。
exeを直接設置するのは、脆弱性による攻略以外にも、.htaccessなどで実行ファイルの挙動に制限が掛けられていない必要が
あるので、大抵は自前サイトに誘導する容易な方法を用いているのかと。 <> (○口○*)さん<>sage<>07/08/07 02:11 ID:BgosrHWI0<> >>972
なるほど、ありがとうございます。

あとカスペのHPが移転してるみたいですね。
転送で195.200.84.37に飛ぶようになってるみたいです。 <> (○口○*)さん<>sage<>07/08/07 14:50 ID:zz1x6S060<> >>968
騙しやがった\(^o^)/ <> (○口○*)さん<>sage<>07/08/07 15:46 ID:1MIEkeJa0<> そうだ、次のテンプレどうするよ <> (○口○*)さん<>sage<>07/08/07 15:53 ID:MZVUZXHB0<> お聞きしたいんですが
アカハックウィルスを踏んだけどOS入れなおさずカスペルだけで削除して
その後被害にあった人っていますか? <> (○口○*)さん<>sage<>07/08/07 16:06 ID:1MIEkeJa0<> >>976
踏んでから削除するまでの間に取った行動によって、情報が盗まれているかどうかが変わる。
盗まれた後に削除しても、そのまま放置したら後で、垢ハックされるかもな。 <> (○口○*)さん<>sage<>07/08/07 22:27 ID:fgFIzSbU0<> >>976
いままでは平気だとしても、これからも平気とは限らない <> (○口○*)さん<>sage<>07/08/08 00:05 ID:s7bJp8Iw0<> つい先日垢ハックに遭って装備を全て取られてしまった者なのですが、
ガンホーに報告したところ、>>567と同じテンプレが返ってきまして、
警察へ行こうか悩んでいるのですが、問題がひとつあります。
装備を取られたことに気がついてからウイルス検索し、トロイを発見後、即OSを初期化してしまい
証拠となるウイルスを消してしまったのですが、これでは不正アクセスをされたことを証明することは難しいでしょうか?
現在所持している証拠となり得る者は、自分の装備が売られている露店SSのみです。 <> (○口○*)さん<>sage<>07/08/08 00:30 ID:unszlcVv0<> できる限りをやり尽くすもよし、手間ひま投資と見返りを天秤にかけるもよし…… <> (○口○*)さん<>sage<>07/08/08 00:35 ID:NdZQfQLf0<> >>979
ウイルスで証明する必要はない。証拠の一つが失われただけだ。
癌呆がアクセス履歴を持っていて、しかも第三者がアクセスしたと確認したと言っているのだから。
それがもう不正アクセスの重大証拠になってる。

とっとと告訴状(not被害届)を出してこい。 <> (○口○*)さん<>sage<>07/08/08 00:49 ID:s7bJp8Iw0<> >>981
それを聞いて安心しました。
とりあえず明日にでもサイバーの方へ相談してみます。
他の方々の経験談によると、各警察署によって対応がかなり違ってくることが心配ですが。
警察からはこれは管理会社であるガンホーの仕事だ、ガンホーからはそれは警察に相談すべきだというように、
たらいまわしにされた挙句、諦めた方もいるそうですし。 <> (○口○*)さん<>sage<>07/08/08 00:55 ID:clAhj6zs0<> 警察が受け取るかどうか、とかは全然関係ないんだけど
>自分の装備が売られている露店SS
って証拠になのかしら?

自分で作った属性武器とかならまだしも、
普通のC刺し武器防具とか、自分のも他人のもわからんじゃろー?
普通に疑問に思ってみました。 <> (○口○*)さん<>sage<>07/08/08 02:39 ID:flv6qBH70<> 証拠になる、ならないは弁護士とかが決めることでとりあえず記録をとっておくのはいいんじゃないか? <> (○口○*)さん<>sage<>07/08/08 04:38 ID:E/fgcvxJ0<> /ちょっとした愚痴

早朝に、複数の知り合いから img1756.zip というファイルがメッセンジャー経由で送られてきたのに、
寝てたので自動キャンセルされてて、検体入手しそこねた。

NOD32やカスペで検知できるかわかんねー orz

ちょっとした愚痴/

img1756.zipが送られてきて、解凍したimg1756.scrを実行するとJavaScriptが実行されるらしい。
RO関係のメッセ相手から来てるので、ある程度は広がるかもな。


ファイル名でググルと、下記のものへのリンクが貼ってあった。

W32.Mubla.B
http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2007-072302-0958-99

Win32/ShadoBot.worm.24772
http://ahnlab.co.jp/virusinfo/view.asp?seq=2606

踏み台にされた知人のところでは、ノートンがこっちを検知してたそうな。
W32.Spybot.Worm
http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2003-053013-5943-99 <> (○口○*)さん<>sage<>07/08/08 05:49 ID:Lkm0QzFl0<> 2つ持ってるけど、1つ(140kBほど)はあらかた検知。
1つ(40kBほど)はKasperskyなどごく一部で検知。検体は発射済み。 <> (○口○*)さん<>sage<>07/08/08 07:17 ID:uEVp0tuA0<> ものすごいわかりづらい区切り方だな <> (○口○*)さん<>sage<>07/08/08 07:27 ID:Lkm0QzFl0<> VirusTotalではAntiVir、Kaspersky、BitDefender、Nortonで検知。
Avast!、AVG、Dr.WEB、McAfeeなどはシカト。 <> (○口○*)さん<>sage<>07/08/08 21:24 ID:xRf3ajfL0<> 最近カスペルの試供版入れてみたものなのですが、

プロセスを実行します。 C:\Program Files\Gravity\RagnarokOnline\Ragexe.exe: リスクウェア 「Hidden object」。の亜種として検知しました!

というメッセージがプレイ中に出てきまして、現在Ragexe.exeが隔離されている状況です。
これはnProなどを誤検知してしまったのでしょうか?
それとも垢ハックのなにかでしょうか・・
分かる方いましたらお願いします <> (○口○*)さん<>sage<>07/08/08 21:37 ID:xRf3ajfL0<> すみません 自己解決しました <> (○口○*)さん<>sage<>07/08/09 12:44 ID:Bcs3lUrlO<> ラグナスレにも書いたけど

http://nekomimi■ws/~ro/img/1021■jpg
昨日踏んで、キングソフトによるローカルディスクをスキャン
したところ、異常なしと出ました
2ちゃん専ブラ(jane)での、サムネへのアクセスで
ブラウザで開いてはいないです

どのような種類のものかも解らない上
対策なども、どのように行えばいいのかもわかりません <> (○口○*)さん<>sage<>07/08/09 12:51 ID:f7KCvWEk0<> そこまで何も知らない初心者に一から教えるような面倒事を引き受ける奴は居ない
>>1-9とセキュリティ対策スレの1-6を読んでも分からないようならクリーンインストールでもしとけタコ <> (○口○*)さん<>sage<>07/08/09 13:14 ID:tVGyKtYl0<> >>991
>>945-947に同じの出てるね

>>2のカスペルスキーオンラインスキャナもしてみて、引っかからなかったら”多分”大丈夫。
心配なら再インスコしかない。 <> (○口○*)さん<>sage<>07/08/09 14:33 ID:q0qATYHZ0<> >>985に書いてあるウィルスの話題が2chメッセスレでも出てた。

Windows Live Messenger Part 2
ttp://pc11.2ch.net/test/read.cgi/win/1186508394/ <> (○口○*)さん<>sage<>07/08/09 17:04 ID:Bcs3lUrlO<> >>993
ありがとうございます

>>992
なんだとコノヤロウ
もっと罵ってくれ <> (○口○*)さん<>sage<>07/08/09 17:18 ID:3LZ+SVGK0<> 次スレのテンプレ、また、適当にやるしかないのか… <> (○口○*)さん<>sage<>07/08/09 18:38 ID:Wr2e1pvJ0<> ttp://rosafe.rowiki.jp/ <> (○口○*)さん<>sage<>07/08/09 20:40 ID:3LZ+SVGK0<> 立てれなかった。テンプレの暫定案まとめたので、だれかこれでスレ立て頼む。

http://rosafe.rowiki.jp/index.php?%A5%BB%A5%AD%A5%E5%A5%B9%A5%EC%A3%B2%A5%C6%A5%F3%A5%D7%A5%EC <> (○口○*)さん<>sage<>07/08/09 20:55 ID:3x0WeA4e0<> >>998氏の案で立ててきました。

セキュリティ対策、質問・雑談スレ3
http://enif.mmobbs.com/test/read.cgi/livero/1186660300/ <> (○口○*)さん<>sage<>07/08/09 21:03 ID:WXJM8gNr0<> >>999
おつかれさまー
そろそろこんな対策をしなくても気兼ねなくプレーできることを願いつつ
次スレに移る <> 1001<><>Over 1000 Thread<> このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。 <>