(○口○*)さん <><>07/12/17 20:05 ID:mv4GNvCz0<>
※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※
アカウントハックが横行する昨今、セキュリティに関して話し合いましょう。
・ウイルスソフトやスパイウェアチェックソフトなどの一般的な質問。
・アカウントハック対策に関しての討論など。
・セキュリティ関係の最新情報、ニュースなど。
・アカハックを踏んでしまった/アカハックと関係のないものを踏んでしまった時の相談
・アカハックに関してはRO板の総合対策スレでも回答しますが、極力こちらをご利用下さい。
・アカハックと関係無いものに関する相談が総合スレに書き込まれた場合、こちらに誘導を。
・危険性があるURLは必ず「.」を「■」に置き換えて貼り付けください。
アカウントハック総合対策スレ9
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/
■スレの性格上、誤って危険なURLがそのまま貼られてしまう可能性がある■
■URLを無闇に踏んで回らないこと。報告・相談はテンプレを利用すること■
現在のテンプレは暫定的なものです。スレの話し合いの結果はROセキュリティWikiへ。
・ROセキュリティWiki
http://rosafe.rowiki.jp/
※ ID/Pass/サーバ/キャラ名等の情報は公開しないでください
※ ネタや程度を超えた雑談・脱線はご遠慮ください
・スレ立て依頼は>>970がしてください。反応がなければ以降10ごとに。
【過去スレ】
セキュリティ対策、質問・雑談スレ3
http://enif.mmobbs.com/test/read.cgi/livero/1186660300/ <>セキュリティ対策、質問・雑談スレ4
(○口○*)さん<>sage<>07/12/17 20:06 ID:mv4GNvCz0<> 【参考アドレス】
・ROアカウントハック報告スレのまとめサイト
http://sky.geocities.jp/vs_ro_hack/
・安全の為に (BSWikiより)
http://smith.xrea.jp/?Security
・リネージュ資料室 (応用可能な情報が多数)
http://lineage.nyx.bne.jp/
【このスレでよく出てくるアプリケーション】
・PeerGuardian2
http://sky.geocities.jp/vs_ro_hack/pg2.htm
・WindowsUpdate
http://www.update.microsoft.com/
【PCにウィルス対策ソフトを導入してない方へ】
・カスペルスキー:オンライン ウイルス&スパイウェアスキャナ
http://www.kaspersky.co.jp/scanforvirus/
・Kaspersky Anti-Virus (体験版)
http://www.kaspersky.co.jp/trial/
http://www.just-kaspersky.jp/products/try/
・NOD32 アンチウイルス (体験版)
http://www.canon-sol.jp/product/nd/trial.html
・ESET Smart Security(体験版)NOD32+FW機能
http://canon-sol.jp/product/ess/trial.html
・AVG7.5 free(無料)
http://free.grisoft.com/doc/download-free-anti-virus/jp/frt/0
・Avast4 HomeEdition(無料)
http://www.avast.com/jpn/download-avast-home.html
・KINGSOFT InternetSecurty Free(無料)
http://download.kingsoft.jp/kisfree/ <>
(○口○*)さん<>sage<>07/12/17 20:07 ID:mv4GNvCz0<>
■PG2用 RO許可リスト■
RAGNAROK-JP:61.215.212.0-61.215.212.255
RAGNAROK-JP2:61.215.214.128-61.215.214.255
WEB-SYSTEM:61.215.220.64-61.215.220.255
RAGNAROK-JP2:211.13.228.0-211.13.228.255
GUNGHO-MODE:211.13.229.0-211.13.229.255
RAGNAROK-JP3:211.13.232.0-211.13.232.255
RAGNAROK-JP4:211.13.235.0-211.13.235.255
GUNGHO-PAT1:219.123.155.160-219.123.155.191
GUNGHO-PAT1:221.247.195.160-221.247.195.191
GUNGHO-PAT3:125.101.19.64-125.101.19.95
GUNGHO-PAT4:124.32.117.192-124.32.117.22
■セキュスレ2-969によるhosts更新支援スクリプト■
あこすれてんぷら避難所を間借りする事で公開しました。
ttp://acopri.s250.xrea.com/index.php?hostsRenewScript
一応説明を付けていますが、自己責任、という事でお願いします。
cfgとvbsの2ファイル構成で、動作に必要なwget等は付属してません。
※ 配布ページとファイルをよく読んで、【自己責任にて】 ご利用ください <>
(○口○*)さん<>sage<>07/12/17 20:07 ID:mv4GNvCz0<>
【質問・相談の際の注意】
・誤クリックによる感染を防ぐ為に危険なアドレスは .(ドット)を別の文字に
置き換えて報告して下さい (■がよく使われています)
・質問前後にテンプレやまとめサイト等を見て知識を深めると更にGoodです
・回答者はエスパーでは有りません。情報は出来るだけ多く。提供した情報の量と質に
応じて助言の量と質は向上します
・結局は本人にしかどうにも出来ない事を忘れてはいけません
・基本的な対処方法は、総合対策スレの>>5をお読みください。
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/5
----------相談用テンプレ----------
【 気付いた日時 】 (感染?に気付いた日時)
【不審なアドレスのクリックの有無 】 (blog/bbs/Wiki等で踏んだ記憶の有無とそのアドレス)
【 アドレス 】www■xxx■yyy/index.htm(ドメインのドット(.)を■等で置き換える事。h抜き等は駄目)
【 OS 】WindowsXP Home SP2 (SP等まで正確に書く)
【使用ブラウザ 】IE6.0 sp2 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【 アンチウイルスソフト 】 (NortonInternetSecurity2007 等)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンで Trojan-PSW.Win32.〜 発見 等)
【テンプレの参考サイトを読んだか】 (Yes/No/今から読みます)
【hosts変更】(有/無 [有りの場合は最終更新は何時ごろか])
【PeerGuardian2導入】(有/無 [有りの場合は参照元サイトはどこか)
【説明】
(『怪しいアドレス』との判断した理由、症状を詳しく書く) <>
(○口○*)さん<>sage<>07/12/17 20:07 ID:mv4GNvCz0<> 【安全対策の簡易まとめ】
以下は要点となります。詳しくは関連サイトを見てください。
・アドレスをホイホイ踏まない。よく確認する。
・出所の怪しいプログラムやスクリプトを実行しない。
・定期的なMicrosoftUpdate及び、各種ソフト(各種Player、Reader等)のアップデートを行う
・アンチウイルスソフトの導入とウイルス定義ファイルの積極的な更新を行う
・パーソナルファイアウォールソフト等を導入する
・hostsの利用した危険ドメインのブロック
・PeerGuardian2を使った危険IPのブロック など
・IEコンポーネント未使用のブラウザに乗り換える(Firefox、Opera等)
・IEを使う場合は下記を設定
・信頼できるSite以外ではスクリプトやActiveXを切る
:インターネットオプションのセキュリティの部分で設定可能
・偽装jpg対策(IE7とIE6SP2限定。IE6SP1以前では出来ない)
:インターネットオプション→セキュリティ→レベルのカスタマイズ
→「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする <>
(○口○*)さん<>sage<>07/12/17 20:14 ID:mv4GNvCz0<> ■なにか踏んだ時に取るべき対処■
0.解決するまで、ログインやパスワード変更を行なわない。踏んだ後にパスワード入力などを行なってしまった場合
安全な環境(テンプレぽいものや、Ragnarok板側のテンプレ、Wikiを参照)からパスワード変更。
1.除去し、クリーンな環境に戻す
1−1.発見された場合。
それを削除して完了
1−2.発見されなかった場合
1−2−1.リスクを覚悟でそのまま使う(非推奨)
リスクを減らす為に、NOD32、カスペなど複数のソフト(試用版が入手できる筈)でスキャンを繰り返し
安全である可能性が高いことを確認すること。
ただし複数のソフトを同時にインストールすると干渉してOSが不安定になる事があるので注意。
1−2−2.再インストール
メーカー製の場合、データのバックアップをとって、リカバリーをかける。
自作やショップブランドの場合、データのバックアップをとって、OSを入れなおす。
1−3.安全な環境にする
1−3−1.WindowsUpdateをかける
1−3−2.ウィルス対策ソフト・FW・PG2を導入し、設定する。
(可能なら、スパイウェア対策のソフトも導入し、定期的にスキャンする)
1−3−3.セキュリティソフトの定義ファイルを最新にする。(当然定期的に自動更新する設定に)
1−4.環境を戻す
バックアップした「データ」を戻す。各種ソフトを再インストール。
その後、ウィルススキャンを再度実行。
ウィルスはバックアップしたデータ内に潜んでいる可能性があります。
1−5.ガンホーIDを削除す…ではなくて、ようやくROをプレイできる環境になりました、おめでとう。 <>
(○口○*)さん<>sage<>07/12/17 20:15 ID:mv4GNvCz0<> 【このリンクは危険?と思ったときに】
変なリンクを見つけた場合、次の方法でチェックしましょう。
1.まとめサイトやリネージュ資料室のhostsや危険ドメイン一覧で確認
過去に見つかった罠サイトは、これらのサイトに載っています。
まずはここに載っていないかを確認しましょう。
2.ソースチェッカーオンラインを使って調べる
多少の知識が必要ですが、ソースチェッカーを使うことでリンク先を調べる事が出来ます。
ソース内に怪しいコード・スクリプトが無いか調べましょう。
※安全か危険かの判断は自分で行う必要があります。
また画像ファイルをチェックする場合、罠画像ファイルだと発動する恐れもあるので
注意してください。
3.スレで質問する
1.2の方法でも判断出来ない場合、スレで聞いてみるのも手です。
ただし、このスレは『勇気が無くて見れないサイト解説スレ』ではありません。
その点だけは注意してください。
質問・報告する場合は「.」を「■」に置き換えるのを忘れないようにしてください。 <>
(○口○*)さん<>sage<>07/12/17 20:20 ID:mv4GNvCz0<> テンプレは以上です。
>>2
BSWiki移転前のアドレスを載せていました。ごめんなさい。下記が正しいものです。
・安全の為に (BSWikiより)
http://smith.rowiki.jp/?Security <>
(○口○*)さん<>sage<>07/12/17 23:16 ID:qcFHR01Z0<> >3
hostsRenewScriptの一時配布先が、アコプリWikiのrowiki.jp移転に伴って替わってる。
xreaの方でアクセスしても自動的に飛ばされてるけど。
ttp://acopri.rowiki.jp/index.php?hostsRenewScript <>
(○口○*)さん<>sage<>07/12/18 19:33 ID:sc4eHBaD0<> カスペウェブスキャンのレコード数485950かな?でウィルスが40個くらい発見された
びっくりしてサブPCで垢のパスとキャラパスを変えた後にサブPCのほうでカスペウェブスキャンを開くとレコード数が486213・・・
感染したブツをみてみればシステムボリュームインフォ39個とavast!さんのファイル一個・・・
誤検出かとおもいきや新しくなってもどんどん検出されていくーさっきと同じのが両方のPCでwwwwww
誰か助けてサブPCにいたってはウィルス一個に感染オブジェクト71とかwwwwwもうなにがなんだか
これ、誤検出だよね!?そうだよね!?サブPC検索中にROの画面は固まるわああああああ
見つかったウィルスはTrojan.Win32.Gorshok.aです <>
(○口○*)さん<>sage<>07/12/18 19:51 ID:NXIVpdiu0<> テンプレ使わんと、ネタと思われても文句言えんぞ。 <>
前スレ998<>age<>07/12/18 19:58 ID:A5UuKoesO<> 前スレ999さん、ありがとうございました。
フルスキャンで何も見つからないようなので、許可してみます。
>10さん
とりあえず落ち着いて頑張れ…!
お節介かもしれませんが、一応アゲておきますね。 <>
ぺこぺこ<>age<>07/12/18 20:17 ID:CiXgEpcw0<> Trojan.Win32.Gorshok.aは、G Data のウイルス研究所では、ウイルス辞書にちゃんとあります。
12月17日に確認されてます。
Trojan.Win32.Gorshok.aはウイルスですよ。 <>
ぺこぺこ<>age<>07/12/18 20:20 ID:CiXgEpcw0<> Trojan.Win32.Gorshok.aは、私のところでは、以下のように検出されました。
When opening file "C:\System Volume Information\_restore{8DE3B3B8-EB90-42FF-8E83-F75BF634D0B2}\RP151\A0052575.dll" the virus "Trojan.Win32.Gorshok.a" from engine "KAV" has been detected. File cleaned: no. File deleted: no. Quarantine: yes.
ウイルス辞書では、次のようになっています。
・Trojan.Win32.Gorshok.a AVK 18.2082 17.Dez.2007
・ちなみに、ウイルス辞書の場所は以下ですので、ご自身でも検索して確認してください。
http://www.antiviruslab.com/jp/ <>
ぺこぺこ<>age<>07/12/18 20:22 ID:CiXgEpcw0<> 私の複数のパソコンでも、ほぼ同時に検出されてます。
1つのパソコンで1日2から3回Trojan.Win32.Gorshok.aが検出されてますので、このウイルスは、いますごい勢いで広まっているものと思われます。 <>
(○口○*)さん<>sage<>07/12/18 20:24 ID:sc4eHBaD0<> C:\Program Files\Alwil Software\Avast4\DATA\clnr0.dll 感染: Trojan.Win32.Gorshok.a
C:\System Volume Information\_restore{6222528F-BAD9-4AB2-BE88-1641FC25AFF1}\RP〜〜〜.dll
誤検出の場合はカスペさんに発見されたファイルとレポートを提出でしょうか・・・?
でも\System Volume Information\ってどこにあるんだあああああ
それ以前に自分ひとりの判断じゃ誤検出かどうかも自信がない・・・いったいどうすればぁ・・・ <>
ぺこぺこ<>age<>07/12/18 20:26 ID:CiXgEpcw0<> ちなみに、メーラを起動してないパソコンでもTrojan.Win32.Gorshok.aは検出されてます。
このパソコンでは、ちょっとだけIE7でネットサーフィンしただけなのにウイルスが検出されました。
もちろん、別に怪しいHPを見たわけじゃないんです。
いったい、どういう感染経路なんでしょうね??
まさか、1時間に1回のウイルス定義自体に感染してるとか?ww <>
ぺこぺこ<>age<>07/12/18 20:29 ID:CiXgEpcw0<> \System Volume Information\は、ふつうは非表示です。
表示するには、エクスプローラで、次のようにしてください。
(1)[ツール]−[フォルダオプション]メニューをクリック
(2)[フォルダオプション]画面で、[表示]タブをクリック
(3)詳細設定のリスト内の一番下、[保護されたオペレーティングシステムを表示しない]をOFFにする
ただし、私が試したら、上の操作でフォルダだけは見れますが、中身はアクセスが拒否されました。 <>
(○口○*)さん<>sage<>07/12/18 20:30 ID:RDHh+HT20<> >>10
誤検出の可能性もある。
セキュWikiの検体提出窓口のカスペのところに、現物のファイル送れ。
Trojan.Win32.Gorshok.a という名称のものは、カスペのページを見ると
12/17 16:04に対応したことになっているので比較的新しいもんだな。 <>
ぺこぺこ<>age<>07/12/18 20:30 ID:CiXgEpcw0<> >>16
誤検出じゃないです。
>>14
を参照してください。 <>
(○口○*)さん<>sage<>07/12/18 20:33 ID:RDHh+HT20<> >>17
その時点で、誤検出の可能性が高いと気付け。
賢(さか)しらげに、それはウィルスですとか断言すんな。
セキュリティソフトの検出は万能ではない。すりぬけもあれば、誤検出もある。
すりぬけないこと、新種への対応が早いこと、誤検出の修正が早い事で顧客の信用を
勝ち得ているシステムでも、ユーザーからの報告がなければ、修正はできないんだぞ。 <>
(○口○*)さん<>sage<>07/12/18 20:33 ID:sc4eHBaD0<> >>19
わかりました。>>18さんのやり方でファイルをコピーとってzipにつめて送ってみます <>
(○口○*)さん<>sage<>07/12/18 20:35 ID:sc4eHBaD0<> 表示したものもアクセスを拒否されてしまった・・・
とりあえず感染したavast!のファイルと検査結果を送ってみます <>
ぺこぺこ<>age<>07/12/18 20:36 ID:CiXgEpcw0<> ちなみに、私もすでに同様に送りました。
怪しい時は、>>18さんの方法がいいと思います。 <>
(○口○*)さん<>sage<>07/12/18 20:41 ID:Ms73a0WY0<> そろそろ終わった? <>
ぺこぺこ<>age<>07/12/18 20:42 ID:CiXgEpcw0<> >>21
あなたのほうが、よっぽど賢(さか)しらげに言ってる。
しかも、あなた、言葉遣いが乱暴すぎでは?
どうしていきなり食って掛かるのでしょう??
>>「賢(さか)しらげに、それはウィルスですとか断言すんな」
それをいいたいなら、ウイルス辞書を書いている研究所に言うべきでは?
さっきあげた研究所が「ウイルス」だと書いているのだから。
むしろ、「ウイルスでないかもしれないものは、ウイルスだ」と疑ってかかるべき。
ウイルスかどうかわからないものを、「ウイルスではないかも」というあなたのような甘い方向に疑うほうがよほど危険。
ウイルス対策は、厳重で疑い深くやらなきゃだめ。
素人か? <>
(○口○*)さん<>sage<>07/12/18 20:49 ID:JSPprVBO0<> 専ブラにはNGIDという素晴らしい機能があるじゃないか
皆も有効活用しようぜ
こういうのもセキュリティの一環だと思う <>
(○口○*)さん<>sage<>07/12/18 20:54 ID:RDHh+HT20<> >>23
1.検体を1つ(可能なら検出されたもの全部)パスワード付のzipに固める。
パスワードは、infected か virus が良いようだ。
2.カスペの検体受付窓口に、提出する。Kaspersky Lab <newvirus@kaspersky.com>
3.メールのタイトルは何でもいいが、「sample with the possibility of incorrect detection」
とでもしとけ。
(文例の日本語のコメントは消すんだぞ)
−−− 文例ここから −−−
Hello.
I suspect attached file is infected with virus.
Please examine this.
Details are as follows.
Thanks in advance.
<Attached file info>
Decompression password : infected(←ここは設定したパスワード)
File name : virus.zip(←添付するファイル名)
In file : virus.exe(←圧縮ファイル内の実体のファイル名)
<Where did I get this?>
http://exmaple.com/virus.exe(←アドレスの代わりにフォルダとファイル名かな)
<Aditional Info>
(ここに追加情報を記入。「Avast使用」「誤検出の可能性あるので確認下さい」と記載)
(カスペのパターン番号が判れば、それも記載)
I am using Avast!
Since there is possibility of incorrect detection, please check.
DB File:2007/12/18 18:15:28 Record.486220
<OS>
Windows XP pro SP2
<Country>
Japan
<Detection possible other software>
Trojan.Win32.Gorshok.a
−−− 文例ここまで −−− <>
(○口○*)さん<>sage<>07/12/18 20:55 ID:RDHh+HT20<> >>26
その名称のウイルスの存在は否定してないよ。
検出状況が異常なのに、誤検出の可能性を排除して、感染してますとか断言するなと。
このスレも含めて、正確な情報を伝達して欲しい。可能性は可能性として扱ってくれ。
可能性を断定情報としてかかれると、他の人が困るからやめてくれ。
>>27
それもそうだな。でも、不正確な情報を自信たっぷりに発言する迷惑行為は、
ここでは許すべきじゃないと思うんだ。 <>
(○口○*)さん<>sage<>07/12/18 21:42 ID:NQXf47/S0<> 486280にレコード数変わってるな <>
まとめ臨時 ◆kJfhJwdLoM<>sage<>07/12/18 22:30 ID:/in5RRbj0<> >>10
もう終わった事かも知れませんが
とりあえずテンプレを埋めていただければ
後から来る人も同じ事象で迷うことも少なくなりますので
よろしくお願いします。
その後どうなったか、
誤検出だったかそうでなかったかの報告があると助かります。 <>
(○口○*)さん<>sage<>07/12/18 23:59 ID:lbHWX/eI0<> カスペルスキーから連絡がないですねぇ・・・
現在のデータベースのリリース日は 2007年12月18日 レコード数は 486393 です。
が、まだ検知されるようです <>
(○口○*)さん<>sage<>07/12/19 00:10 ID:Fuusr6UR0<> 同様に検知されている人がいるのか聞きたいですわ
しかし、どんなウィルスなんだろ <>
(○口○*)さん<>sage<>07/12/19 03:50 ID:VA6IaOgc0<> 昔から、デマウイルスは存在したな。それこそ、LHA等は有名であったが故に何度となく混入疑惑が流れた。
これが所謂デマウイルス。人づてに不明瞭な情報が感染していき、フレームが発生するのはまさにウイルスの一種とも言えよう。
個人的な過信、民間療法を大袈裟に広めるのは、それ自体が危険性を含んでいるのだ。 <>
(○口○*)さん<>sage<>07/12/19 05:10 ID:CBMoAUGK0<> これ、Avast!を使ってる人は全員検出されるんじゃなかろうか。
まぁ、無視したけどね。
Ω<実はこれは、Avast!シェアを奪うためのカスペの戦略だったんだよ!
Ω ΩΩ<ry <>
(○口○*)さん<>sage<>07/12/19 05:14 ID:Fuusr6UR0<> とりあえず俺はアヴェスト一度消してみたけど
結局隠しファイルのエグゼ全部同じのに感染してるって言われたわ
うん、我慢できなくてROにinしてしもた <>
(○口○*)さん<>sage<>07/12/19 09:28 ID:A43KE3vz0<> PicoLogのWorld4スレに.rtfというファイルがあるけれど、これはなんだろう?
何も見れないわ、踏んでしまったわで… <>
(○口○*)さん<>sage<>07/12/19 09:39 ID:jutueG6S0<> ※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※
37が見てらんないほど情けないからレスするけど、知らない拡張子はぐぐるくらいしろ
RTF=リッチテキストフォーマット、Wordなどワープロソフトのデータフォーマットと出る
ワープロソフトで開けば会話ログ含めた晒し文書 <>
(○口○*)さん<>sagd<>07/12/19 11:47 ID:Ycek487EO<> >>33
ちょっと調べてみた。
英文字のサイトだったから翻訳した一文をそのまま写しただけなので悪しからず。
torjan.win32.gorshok.aはtorjan.win32.agent.akkの変種である。
torjan.win32.gorshok.aは偽のアンチスパイウェア団体名プログラムです。
全文写そうかと思ったけど翻訳が変だからやめとこ…
んで「torjan.win32.agent.akk」ってなんぞ?と思って調べたらお使いのブラウザがハイジャックされたと警告が出るよくわからんスパイウェアなんだねぇ。
つまりgorshok.aはこれと同じ様な動作を行うんだと思う…多分。
ちなみにどうでもいいと思うけどagent.akkに感染した人によると感染原はアメリカらしい。 <>
(○口○*)さん<>sage<>07/12/19 11:49 ID:Ycek487EO<> ごめんsageミス;
なんだよsagdって…しっかりしろ自分orz <>
(○口○*)さん<>sage<>07/12/19 15:29 ID:OPYjuxWf0<> 向こうのスレ動いてねー <>
(○口○*)さん<>sage<>07/12/19 15:54 ID:8ilWOfRj0<> 動かせよ <>
(○口○*)さん<>sage<>07/12/19 15:59 ID:MC9topyo0<> 昨日までHITしていたファイルが検出されなくなりました
検体掲出してみたけどカスペからは反応はなし
でも誤検出でFAだったようだ <>
(○口○*)さん<>sage<>07/12/19 22:56 ID:s9VXeTs90<> とりあえずだけども、少し前から爆撃してる中華の新しい奴を
別のMMOのスレで見かけたから一応乗っけておきます。
順々にMMO系のスレに爆撃してるっぽいので一応警戒用に。
auction camp bot ^^
http://205■209■140■213:8080/auction■rar
中身はauction■exeのみはいっててカスペはスルーしたのでVirusTotalに投げてみた。
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - Potentially harmful program Ardamax.NI
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - Trojan.Dropper-3067
DrWeb - - BackDoor.Pigeon.origin
eSafe - - -
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - -
F-Secure - - W32/Delf.BDOS.dropper
Ikarus - - Trojan.Agent.Delf.CS
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32v2 - - probably unknown NewHeur_PE virus
Norman - - W32/Ardamax.CRT
Panda - - Suspicious file
Prevx1 - - -
Rising - - -
Sophos - - Mal/Delf-G
Sunbelt - - -
Symantec - - -
TheHacker - - Backdoor/Hupigon.acma
VBA32 - - Backdoor.Win32.Delf.cir
VirusBuster - - -
Webwasher-Gateway - - -
検出率は低いので一応注意を。 <>
(○口○*)さん<>sage<>07/12/20 00:21 ID:Ktg2t2WP0<> auction■exeも自己解凍書庫。
222■exeがトロイ、他は国産BOT(保障はしない)。 <>
(○口○*)さん<>sage<>07/12/20 00:57 ID:3ONecbQM0<> >>44-45
報告乙。わたしも未検出の所に一通り出してきました。
auction■exeはrarと検出率同じでしたが、ばらして出てきた222■exeの方が
検出率が落ちる謎。検体提出したからいずれ対応されるだろう。多分。 <>
(○口○*)さん<>sage<>07/12/20 02:15 ID:3ONecbQM0<> 「ウイルスバスター2008」の修正プログラム緊急公開
http://internet.watch.impress.co.jp/cda/news/2007/12/19/17940.html
サポート情報
http://www.trendmicro.co.jp/support/news.asp?id=1037 <>
(○口○*)さん<>sage<>07/12/20 08:05 ID:9KaYkP7VO<> 今朝、カスペ使っててワーム見つかった人いる?
カスペで誤検知くさいらしい。
携帯だから詳細は書けないけど、エクスプローラがワームとして見られてしまってるみたいだ。
削除すると起動できなくなるから様子見しておいたほうがよさそうです。
まぁ、削除しちゃって起動できなくなって、リカバリ中だから携帯なんだけどね… <>
(○口○*)さん<>sage<>07/12/20 12:45 ID:Ktg2t2WP0<> もうパターン修正されて引っかからないよ。 <>
まとめ臨時 ◆kJfhJwdLoM<>sage<>07/12/20 16:49 ID:YI53+fjB0<> >>44
件のものは徐々に爆撃されているようです。
ただIP表記だとhostsに加えても駄目なので
とりあえずwhoisで調べてみました。で、出てきた結果に
ReferralServer: rwhois://rwhois■managedsg-inc■com:4321
NameServer: RDNS1■MANAGEDSG-INC■COM
とありましたが…
この場合managedsg-inc■comの部分をリストに記述すればよいのでしょうか?
過去のIP表記のものを見直して調べたのですが判断がつかなかったので
解る偉い人ご教授願います。 <>
(○口○*)さん<>sage<>07/12/20 17:13 ID:3ONecbQM0<> >>50
出てきたドメイン名→IP変換で確認の上登録すればいいんじゃないかな。
50に出てくる表記だと、正引きでIPにならないから「今回は」アウト。
IPの管理してるとこの名前が出ちゃってるだけじゃないかな。
現時点で、>44のIPは逆引きできるドメイン名の登録ないみたい。 <>
(○口○*)さん<>sage<>07/12/20 17:22 ID:3ONecbQM0<> (危険じゃないけど、混乱をまねくと嫌なので変換)
ttp://www2■cyberoz■net/city/novice/domaintool.html#DNSreverse
ここで、DNS逆引きできるようです。実行結果を見ると ANSWER: 0 です。
>44の検体入手時も、最初は404で、暫くリトライさせてたら繋がってダウンロードされたので
時々、サーバー落としてるような気がしないでもない。 <>
(○口○*)さん<>sage<>07/12/20 17:24 ID:Ktg2t2WP0<> だめでしょ。
hostsはあくまで名前解決のための物なのでIP直書きにはどうにも。
シカトするかファイアウォールでちまちま設定するか。
ツールを装ってるんだからわざわざrarを解凍して実行するような
BOTer予備軍は放っときゃいいんじゃね? <>
(○口○*)さん<>sage<>07/12/20 18:21 ID:pUC7UGfa0<> >53
しかし例えばその222■exeをiframeで仕込むようなhtmlを作り、それを新規の
罠ドメインでセットされてURL爆撃をされた場合、被害に会う人が出る。
更にそれが各種アンチウィルスソフトをスルーする新型なら、尚更危険。
先日にゅ缶でURL爆撃があり、使われたトロイは新種でカスペがスルーして数時間の
対応待ち状態になった事があった。
あの時踏んだ人が何人か居たけど、あれと同じ状況がまた起きる可能性がある。
配布元が怪しいツールだろうが、検体入手してメーカーに提出する分には損にはならない。
BOTer予備軍を守る気は更々無いが、スルーされるトロイをそのまま放置するのは危険すぎる。
怪しいツールに手を出して感染・ハク受けるってのは自業自得だと思うし同情する気には
なれんけど、検体提出等はそれとはまた別の問題だと思う。 <>
まとめ臨時 ◆kJfhJwdLoM<>sage<>07/12/20 19:27 ID:PaebUuVh0<> 書き込んだらサーバーが重くて全部跳んでしまった…。
コピペ確保怠ってを油断して涙目。
>>47
バスター住人なのでドッキリ。
>>51
ありがとうございます。そこまで頭が回っていませんでした…。
確かに出てきた結果を検索掛けてIPが出てくれば存在するドメインって事になるのですね。
>>52
サイト情報ありがとうございます。
それにしてもあのIPの所は自家サーバーで直接罠をばら撒いているんでしょうか…。
51の人が言われるようにドメイン名が無いのが厄介です。
>>53
以前質問したときにIP直書きはスルーと指摘されたので、
今回の罠のドメインが判ればと思いwhois検索してみたのですが残念です。
ツール装いというのが当方ぱっと見で判らなかったりしますが、
そんな風に何も知らない人が踏んでしまうと思うと厄介だなと…。
>>54
検体確保提出してくれる人が居てくれて
手間を考えると本当に感謝しきりなのです。 <>
(○口○*)さん<>sage<>07/12/20 20:40 ID:8SC8+4Aw0<> 「Flash Player」に危険な脆弱性が多数、最新版にバージョンアップを
ttp://itpro.nikkeibp.co.jp/article/NEWS/20071220/289875/
既出かも知れないが念のため書いておく
複数のブラウザを使っている人は、各ブラウザで同じ作業を繰り返す必要あり <>
(○口○*)さん<>sage<>07/12/20 21:06 ID:Ktg2t2WP0<> FlashPlayer9.0.115は4日に入れたな…。 <>
(○口○*)さん<>sage<>07/12/21 01:06 ID:SR6/SSnt0<> hostsによる防衛策が浸透してきたので、連中もIP直での記述を増やしてくるだろう。ドメイン取得も無料ではないので、限度があるだろうし。
FF11の方でも、PG2の導入推奨が進んできたので、今後は、これらをターゲットにした攻撃が出てくる可能性も考えられる。
以前より、アンチウイルスソフトを機能停止させるマルウェアは存在したが、オンラインゲームにターゲットを絞ったスピア攻撃なら、より容易であろう。
賢いルータなら、CIDRのような形式で特定IPレンジを塞ぐ。そうでないなら、Linux+iptablesのようなFWの導入も検討してよいかもしれない。
「普通のサイトももはや信用できない」―ラック新井氏が警告:ITpro
ttp://itpro.nikkeibp.co.jp/article/NEWS/20071219/289841/
「油断は禁物」、官公庁やオンライン辞書のサイトにも「わな」:ITpro
ttp://itpro.nikkeibp.co.jp/article/NEWS/20071218/289684/
このように、もはやInternet上に「聖域」は存在しない。 <>
(○口○*)さん<>sage<>07/12/21 02:23 ID:Oy6WtyYB0<> こんな時間に失礼します。
非常に基本的なことで詰まってしまいました;
今日買って来たカスペ7.0をインストールして、早速ROを起動しようとすると
右下に、プロアクティブディフェンスの通知ウインドウが出たので許可。
しかし、その後今までのようにROの窓が出ません。
念の為カスペを開いて「レポート→監視イベント」を見ても許可になっています。
ROをするのに何か方法があるのでしょうか?;
こちらでよいのかわからないのですが、教えて頂ければと思い伺いました。
よろしくお願いします。 <>
(○口○*)さん<>sage<>07/12/21 02:28 ID:xhsnxhUW0<> 信頼ゾーンに起動ファイル入れてみ <>
59<>sage<>07/12/21 03:20 ID:Oy6WtyYB0<> 早速のお返事有難うございます。
設定→脅威と除外→信頼ゾーンの設定→信頼するアプリケーション→
C:\Gravity\RagnarokOnline\ragexe■exeを追加しましたがやはりダメでした。
一度目は開いているファイルをスキャンしない、だけにチェックしていたので、
二度目はアプリの動作を監視しない、レジストリへの操作を監視しない
にもチェックを入れましたが、やはりダメでした。
ちなみに
先ほどの監視イベントでは
2007/12/21 2:11:42 C:\Gravity\RagnarokOnline\GameGuard\GameMon■des この処理は許可されました
この処理は許可されました、でした。
信頼ゾーンに入れるものが間違っているのか、それさえもわからなくて
非常に恐縮ですが、何かお答えを頂ければ幸いです。 <>
(○口○*)さん<>sage<>07/12/21 03:44 ID:xhsnxhUW0<> あーそれも一緒に入れないとダメかな
信頼ゾーン見てみたらGameMon.desも入ってたわ <>
59<>sage<>07/12/21 04:08 ID:Oy6WtyYB0<> 有難うございました、立ち上がりました!
説明書読みながら、今度は除外マスクの方にGameMon.desとragexeを入れて
要求されたので再起動後立ち上げ(最初の窓はいつも出る)クリックしたところ
さっきとは違う真っ赤な通知ウインドウが出たので再度信頼ゾーン(上から3番目)
にいれたら、無事動きました!
凄い叫び声が出てえらいびっくりしましたが;;
本当に本当に60番さんのおかげです、本当に感謝しています。
こんな時間に何度もお答え頂いて、本当に有難うございました。 <>
(○口○*)さん<>sage<>07/12/21 13:51 ID:HTk8rmYI0<> なんかIE6XPSP2用のWUがきた <>
(○口○*)さん<>sage<>07/12/21 14:16 ID:XVz6nBgT0<> >>64
XP SP3 RC(リリース候補)当てた後だとなんも来てないな。 <>
(○口○*)さん<>sage<>07/12/21 14:25 ID:nqFf1VZW0<> >>64
XPSP2+IE6SP2のセキュリティパッチで一部で問題が出たので
それを回避するパッチ。 <>
(○口○*)さん<>sage<>07/12/22 02:31 ID:KjgQYo9X0<> 火曜のパッチ後、初めてログインしたがカスペが稼働していると異常に重いな
アイテム拾ったり露店を開くだけで一瞬停止するし
カスペ止めると以前と同じように動けるが <>
(○口○*)さん<>sage<>07/12/22 03:53 ID:DF4NRFG/0<> 【 気付いた日時 】 12月22日
【不審なアドレスのクリックの有無 】 (blog/bbs/Wiki等で踏んだ記憶の有無とそのアドレス)
【 アドレス 】ttp://wikiroom■com/nakky/index■php?Odinwiki 内のリンクにあった
ttp://www■interzq■com/bbs を踏んだ時にウィルスバスターが反応
【 OS 】WindowsXP Home
【使用ブラウザ 】IE6.0
【WindowsUpdateの有無】 自動更新があるごとにアップデートしていました
【 アンチウイルスソフト 】 ウィルスバスター2005(アップデートは欠かさずしていました)
【その他のSecurty対策 】 不明
【 ウイルススキャン結果】 まだ検索中ですが、現段階でJET.AGENT.OLT、TROJ_Generic、VBS_PSYME.XR検出
【テンプレの参考サイトを読んだか】 読みながらウィルススキャン中
【hosts変更】わかりません;
【PeerGuardian2導入】わかりません・・・
【説明】
上記のアドレスをクリックしたところ、Odin Gv板というページ名は出てきたのですが
真っ青な背景ページが表示されただけで、なかなかページが表示されずPCが重いのかと思っていたところ
ウィルスバスターが反応しました。アドレスを踏んでしまったPCはROをインストールしていないPCで
アドレスを踏む以前にはこのPCで、アトラクションセンターにログインした事もありますが、
アドレスを踏んだ後にログインをしたり、ROをインストールしたりといった事はしていません。
しかしこのアドレスを踏んだPCはROをインストールしてあるPCの回線から無線LANを使い、ネットをしています。
その場合、ROをインストールしてあるPC(アドレスを踏んでいないPC)にも危険が及ぶ事はあるのでしょうか。
ウィルスの種類がアカウントハック系なのかもこれから調べるのですが
無線LANといえど、ウィルスバスターでアドレスを踏んだPCは対策をしますが、
ROのインストールしてあるPCと関係があると思うと不安です。
よろしければご回答よろしくおねがいします。 <>
(○口○*)さん<>sage<>07/12/22 03:53 ID:DF4NRFG/0<> 【 気付いた日時 】 12月22日
【不審なアドレスのクリックの有無 】 (blog/bbs/Wiki等で踏んだ記憶の有無とそのアドレス)
【 アドレス 】ttp://wikiroom■com/nakky/index■php?Odinwiki 内のリンクにあった
ttp://www■interzq■com/bbs を踏んだ時にウィルスバスターが反応
【 OS 】WindowsXP Home
【使用ブラウザ 】IE6.0
【WindowsUpdateの有無】 自動更新があるごとにアップデートしていました
【 アンチウイルスソフト 】 ウィルスバスター2005(アップデートは欠かさずしていました)
【その他のSecurty対策 】 不明
【 ウイルススキャン結果】 まだ検索中ですが、現段階でJET.AGENT.OLT、TROJ_Generic、VBS_PSYME.XR検出
【テンプレの参考サイトを読んだか】 読みながらウィルススキャン中
【hosts変更】わかりません;
【PeerGuardian2導入】わかりません・・・
【説明】
上記のアドレスをクリックしたところ、Odin Gv板というページ名は出てきたのですが
真っ青な背景ページが表示されただけで、なかなかページが表示されずPCが重いのかと思っていたところ
ウィルスバスターが反応しました。アドレスを踏んでしまったPCはROをインストールしていないPCで
アドレスを踏む以前にはこのPCで、アトラクションセンターにログインした事もありますが、
アドレスを踏んだ後にログインをしたり、ROをインストールしたりといった事はしていません。
しかしこのアドレスを踏んだPCはROをインストールしてあるPCの回線から無線LANを使い、ネットをしています。
その場合、ROをインストールしてあるPC(アドレスを踏んでいないPC)にも危険が及ぶ事はあるのでしょうか。
ウィルスの種類がアカウントハック系なのかもこれから調べるのですが
無線LANといえど、ウィルスバスターでアドレスを踏んだPCは対策をしますが、
ROのインストールしてあるPCと関係があると思うと不安です。
よろしければご回答よろしくおねがいします。 <>
(○口○*)さん<>sage<>07/12/22 03:54 ID:DF4NRFG/0<> しまった・・・二重投稿になってしまいました、すみません; <>
(○口○*)さん<>sage<>07/12/22 05:08 ID:0XFcJwYF0<> 手短に
>>68
該当URLはアカハックURLで間違いないです。
今回は「ROに使っていないPC」側で踏んだようなので
「ROで使ってるPC」に影響を及ぼす可能性は比較的低めです。
ですが絶対に ない とは言い切れないので、不安ならばアカハックURL踏んだPCだけでなく、ROプレイしてるPCもリカバリーをお勧めします。 <>
(○口○*)さん<>sage<>07/12/22 19:35 ID:xr9h5kf6O<> カスペのプロアクティブディフェンスを有効にしてると、かなり重くなるんだけど何故?
これ有効のままじゃ狩りできないぜ
無効にしていいもんか教えてくり <>
(○口○*)さん<>sage<>07/12/22 19:42 ID:1Kb3MDtc0<> >>72
カスペWiki(非公式)…閲覧は自己責任で
ttp://kaspe.2chv.net/wiki/index.php
ここによると無効でも問題ないみたい <>
(○口○*)さん<>sage<>07/12/22 19:44 ID:KjgQYo9X0<> 尋常じゃないレベルで重いので無効にした
それでもパッチ前よりは重いけど問題ないレベルになる
当然ウイルスに対する防御は弱くなるので自己責任でどうぞ
重い原因は糞nProのせいで引っかかりまくっているから <>
(○口○*)さん<>sgae<>07/12/22 20:00 ID:xr9h5kf6O<> 早速ありがとう
かなり重いから無効にしちまうよ <>
(○口○*)さん<>sage<>07/12/23 03:09 ID://O76/Fb0<> はて、うちだとプロアクティブディフェンス有効でもなんともないのだが。
設定が違うのかな。 <>
(○口○*)さん<>sage<>07/12/23 04:12 ID:Gw7Ook8W0<> >>69で質問したものです。
>>71さんありがとうございました。
アドレスを踏んでしまったPCのほうは検索をかけて、出てきたファイルを隔離&処理しました。
そのあとにまたウィルス検索をしてみたところ、ウィルスは発見できなかったので
おそらく対処できたかなと思います。ありがとうございました。
お礼のレスが遅れてしまいすみませんでした; <>
(○口○*)さん<>sage<>07/12/23 08:50 ID:b6/t2T1V0<> リネージュ資料室さんの更新情報にあったもの
red■exeは検出率悪いので要注意。
ttp://www■motewiki■net/web/index■htm
ttp://www■motewiki■net/web/index1■htm
ttp://www■sakerver■com/web/red■exe
ttp://www■sakerver■com/web/for■exe
ttp://www■sakerver■com/wiki/index■htm
ttp://www■symphones■com/bbs/index1■htm
ttp://www■symphones■com/bbs/ragner■exe
ttp://www■symphones■com/bbs/send■exe
ttp://www■symphones■com/bbs/fenrir■exe
ttp://www■twurbbs■com/
ttp://www■gamanir■com/systemin■scr
->maikmr■exe
->m6■jpg
index■htm : HTML/IFrame
index1■htm : Trojan-Downloader.VBS.Psyme.ds
red■exe : Trojan.Win32.Inject.pe
for■exe : Trojan-PSW.Win32.OnLineGames.kak
index■htm : HTML/Infected.WebPage.Gen
index1■htm : Trojan.Downloader.Js.Agent.FT
ragner■exe : Trojan-Downloader.Win32.Agent.fpp
send■exe : Trojan-PSW.Win32.Delf.aih
fenrir■exe : Trojan-PSW.Win32.OnLineGames.fcj
systemin■scr : Trojan-PSW.Win32.OnLineGames.lti
maikmr■exe : Trojan-PSW.Win32.OnLineGames.lti <>
(○口○*)さん<>sage<>07/12/23 20:25 ID:GpgJtfhS0<> 誘導して頂いた所からのコピーで失礼します
ウィルス対策のソフトをバージョンアップさせたら重くなってしまいました。
プレイ前にウィルス対策ソフトを終了すると軽くなったので
問題ないならこれからもプレイ中は切ってゲーム終了後に起動しようと思うのですが
終了させてる間はネット閲覧などはしないつもりですが危険でしょうか?
誘導元で危険なのでプロアクティブディフェンスを調整すればいいとのレスを頂きましたが
現在使用してるセキュリティソフトがウィルスバスターで前述の単語を検索した所
別のセキュリティソフトの機能という検索結果でしたので迷っております。 <>
(○口○*)さん<>sage<>07/12/23 20:32 ID:jRWhFmJ70<> 危険か危険じゃないかの二択なら危険
ただし、即ウィルスに感染するって意味ではない
ウィルスバスターは使っていないので、設定については使っている人に任せる <>
(○口○*)さん<>sage<>07/12/23 20:40 ID:b6/t2T1V0<> >>79
ソフト名(ウイルスバスターなら2007か2008かまできっちり)・現在の定義ファイル・PC環境 全部書け
■PCの種類(メーカ、ショップブランド、自作):
■OS :
■マザーボード.. :
■CPU.. :
■メモリ :
■ビデオカード. :
■RO表示サイズ :
■ネット接続方法. :
■セキュリティソフト:
■定義ファイルのバージョン:
■症状 :
■特記事項 : <>
(○口○*)さん<>sage<>07/12/23 21:25 ID:GpgJtfhS0<> >>80
起動してない状態と比較すれば当然リスキーだとというのは理解していますが
切らないと狩りだと支障出る程重いのが辛い所です
>>81
失礼しました、環境は以下の通りです
■PCの種類(メーカ、ショップブランド、自作): メーカ
■OS :Windows XP Home Edition SP2
■マザーボード.. : PC-VL3509D
■CPU.. :Intel(R) Celeron(R) 2.70Ghz
■メモリ :992MB(512MB*2)
■ビデオカード. :SiS 651 Rev 00 32MB
■RO表示サイズ :800*600*16
■ネット接続方法. :無線LAN
■セキュリティソフト:ウィルスバスター
■定義ファイルのバージョン:2008
■症状 :アンチウィルスソフトをバージョンアップさせた所
する前に比べて極端に重くなった
■特記事項 :ウィルスバスター2007は重いと聞いて敬遠しており
2006から2008へバージョンアップさせました
以上です、PCに疎いので記入に不備があればご指摘いただければ追記させて頂ます。 <>
(○口○*)さん<>sage<>07/12/23 21:48 ID:b6/t2T1V0<> アドレス自体は既出。(既出アドレス出してもしょうがないので総合スレには転記不要かな?)
リネージュ資料室の更新状況で 2007/12/22 00:43:04 更新だったのでチェックしてみました。
ttp://www■dyparagon■co■kr/gon/m■htm
ttp://www■dyparagon■co■kr/gon/gmsex■exe
gmsex■exe : Trojan-PSW.Win32.OnLineGames.lrt
m■htm : Not Detected
m_edit■htm : HTML/ADODB.Exploit.Gen (decoded m.htm)
m■htmはVirusTotalでは未検出。編集してゴミを除去(空文字列をわざわざ挿入している箇所、
文字列の連結)すると幾つかのセキュリティソフトで検出可能。ダウンローダなので
こいつはすり抜けても、実害がないのでどうでもいい。
本体は、VirusTotalでは 16/32 で半数がすりぬけ。
カスペ○、NOD32○、マカフィー×、ノートン×、Avast×、AVG×
一通り検体提出済み。
>>82
バスターは使ってないからコメントできないけど、このスレ住人に利用者が数名いた筈なので
(前スレでは2007→2008で少し軽くなったって人がいた気がする)解決策がわかるといいですね。
あと「ウイルスバスター2008」までが名前で定義ファイルのバージョンや日付が「2008」では
ありませんよ。下記のページにあるような(ビルド16.0.1645)というのが、定義ファイルの
バージョン番号になります。ソフトベンダーによっては、検索エンジン・定義ファイルの
2種類ある場合もあります。
ウイルスバスター 2008(ビルド16.0.1645)の緊急公開につきまして
http://www.trendmicro.co.jp/support/news.asp?id=1037 <>
(○口○*)さん<>sage<>07/12/23 21:58 ID:GpgJtfhS0<> >>83
なるほど、誤記入箇所理解しました。
アップデートの際に自動入手との事で
現在更新確認した所最新の状態の様ですので
ウイルスバスター 2008(ビルド16.0.1645)
であると思います。
ご親切なレスありがとうございました。 <>
まとめ臨時 ◆kJfhJwdLoM<>sage<>07/12/23 23:22 ID:faWBxekF0<> >>79
当方Pentium3-800MHzメモリ384MBと現在ではロースペックの部類で
ウイルスバスター2008の動作環境のスペックを満たしていなかったりします。
それでもVB2007から2008に乗り換えて軽くなった部類です。
各機能の設定では無線LANとURLフィルタ以外はONでフィッシング詐欺対策はデフォルトの中、
FWのセキュリティレベルは変更して高に設定しています。
こんな環境でも大魔法が乱発されなければ、通常MAPでそれなりに快適にプレイできます。
>>82 での使用環境を見るに十分スペックが足りていると思われるので
本来のVB2008の動作とROの通常MAPでの狩りにはなんら問題ないと思われます。
素人考えで推測するならば、アップデートのときに
何かしらデータが破損してしまった可能性があるのかもしれません。
体験ですがVB以外に別のスパイウェア対策ソフトが入ってると
時々モジュールが破損とか出ていた気がします。
今はVBだけでなんとかやりくりしていますがモジュールの破損等の表示は出なくなりました。
よろしければ一度OSを最新の状態にアップデートしてから
回線を抜いてVB2008をアンインストールしてWindowsのFWをONにしてから再起動。
インストールしなおした後で回線をつなげてVBのアップデートをしてみては如何でしょうか? <>
(○口○*)さん<>sage<>07/12/23 23:29 ID:gxiUEWZb0<> カスペオンラインスキャナって今落ちてますか?
ページすら表示されないのですが <>
まとめ臨時 ◆kJfhJwdLoM<>sage<>07/12/23 23:36 ID:faWBxekF0<> >>86
こちらではホムペもオンラインスキャンもいつも通りに表示されました。 <>
(○口○*)さん<>sage<>07/12/23 23:46 ID:GpgJtfhS0<> >>85
レスありがとうございます。
以前にアンチウィルスソフトのみのスパイウェア対策では十分ではないと聞いたので
Ad-Aware SE Personalというフリーの対策ソフトをインストールしています。
なるほど、データ破損などの可能性があるのですか
示して頂いた内容をこれから試してみようと思います
丁寧で詳しいご解説ありがとうございました。 <>
(○口○*)さん<>sage<>07/12/23 23:49 ID:gxiUEWZb0<> >>87
Active Xをダイアログ許可設定にしていた為に動かなかったようです
有効にしたら動きました、即レスありがとうございます <>
(○口○*)さん<>sage<>07/12/24 01:30 ID:DHSejnZj0<> ウイルスバスターは2007からスパイバスターというスパイウェア対策ソフトが組み込まれてる
これによりAd-Awareとかspybotとかと衝突するようになってるから
spybotの免疫と同じような予防機能を使うと不具合が出やすい
但しAd-Awareでの検索のみなら衝突しないはず
ちなみに2008は検索エンジンも2007/11/28に8.550.1001バーションアップしてる
こちらはオートアップデートでは更新されないので手動でダウンロード <>
まとめ臨時 ◆kJfhJwdLoM<>sage<>07/12/24 08:22 ID:zDTZe/9a0<> >>90
情報ありがとうございます。補足として追記事項を。
・トレンドマイクロ〜ウイルス検索エンジンVSAPI 8.550 のサポート情報
http://www.trendmicro.co.jp/support/news.asp?id=1018
リンク先の下の方に検索エンジンアップデートページ、
更に跳んだ先の一番下の方に2008の検索エンジンのファイルがあります。
ただ一部環境では正常にアップデートが実施できない問題があるとの事。
そしてその該当者で涙目。
色々調べていくうちに他にもちょっと気になることがあったので、
休みが明けたらサポートに電話してみる予定です。
とりあえずパッチを当てたらヘルプのバージョン情報はともかく
上記不具合組でもこんな風にアップデート/その他の"アップデート情報"でこんな風になっていれば多分OK。
ウイルス検索エンジン(32ビット) 8.500.1002
ウイルス検索ドライバ(32ビット) 8.550.1001 <>
まとめ臨時 ◆kJfhJwdLoM<>sage<>07/12/24 08:55 ID:zDTZe/9a0<> >Ad-Aware
SEの時は特に何も無かったのですがAd-Aware2007だとVB2008インストール時に
「Ad-Aware 2007は競合しています、アンインストールしますか」とか出て
先日クリーンインストールした折に削除してしまいました。
またAd-Aware2007をインストールするべきなのかと悩んでいますが…。
とりあえず既出として常駐の解除を見つけたので転記というかメモ。
・Ad-Aware2007のaawservice■exe常駐プロセス解除
コントロールパネルの管理ツール→サービス→
→Ad-ware2007Serviceの種類で自動→手動
(またAd-Aware2007を使用するとaawservice■exeが残るので
タスクマネージャーのプロセスでaawserviceを終了させる) <>
(○口○*)さん<>sage<>07/12/24 11:22 ID:f7ur4Urp0<> ■ウイルススキャンサービスの「暗黒面」
http://www.itmedia.co.jp/enterprise/articles/0712/24/news007.html
> VirusScan、VirusTotalなどのサービスはデフォルトで、
> 怪しいファイルをウイルス対策ソフトメーカー各社に送る仕組みになっている。
そんなふうになってたのかぁ。検体送ったことないですが。 <>
(○口○*)さん<>sage<>07/12/24 12:38 ID:CoEenKAh0<> virustotalの/jp/なら「このサンプルを配布しない」オプションの?に書いてる
virus.orgなら
>Viruses uploaded here maybe be distributed to antivirus vendors.
>If you do not want your files to be distributed, please do not send them at all.
と記述がある
と言っても直接送った方が確実で早いけどね
更新の早いカスペなら差が顕著 <>
(○口○*)さん<>sage<>07/12/24 22:41 ID:c+4W3LR10<> 【 気付いた日時 】 12/24 22時
【不審なアドレスのクリックの有無 】 RMCにあったアドレスを踏んでしまいました。
【 アドレス 】 www■shagigi■net/navi/
【 OS 】WindowsXP Home SP2
【使用ブラウザ 】IE7.0
【WindowsUpdateの有無】 一番最後は一週間程度前だと思います
【 アンチウイルスソフト 】 ウイルスバスター2006
【その他のSecurty対策 】
【 ウイルススキャン結果】 ウイルスバスターでは特に見つかりませんでした
【テンプレの参考サイトを読んだか】 今から読むところです。
【hosts変更】 無
【PeerGuardian2導入】無
【説明】
RMCにて特に前後の会話に関係のない意味のわからない内容+アドレスという形で貼り付けてあったため。 <>
(○口○*)さん<>sage<>07/12/24 22:45 ID:CWTYBAbn0<> 間違いなく垢ハックサイトだな <>
(○口○*)さん<>sage<>07/12/24 23:01 ID:c+4W3LR10<> >>96
やはりそうでしょうか
今カスペルスキーオンラインスキャンを試しているのですが
マイコンピューターを調べてみるとウイルスが一個見つかりました… <>
(○口○*)さん<>sage<>07/12/24 23:03 ID:nI3muN060<> まとめ臨時さんのとこに記載のあるサイトだな
悪いことは言わんのでOSクリーンインストして追加でPG2いれておけ <>
(○口○*)さん<>sage<>07/12/24 23:14 ID:c+4W3LR10<> >>98
ありがとうございます
おっしゃるような対策をとってみようと思います <>
(○口○*)さん<>sage<>07/12/25 00:20 ID:hEs0DyED0<> >>95-99
ちょっと確認してみました。
トレンドマイクロの最新パターンなら、本体を検知できる筈です。
入手前に切断していたので、見つからないのか、なんらかの原因で
検出不能状態に陥っていたのかはわかりません。
(カスペオンラインスキャンで見つかったのは、index1.htmがブラウザの
キャッシュに残っていたもの[Trojan-Downloader.VBS.Psyme.ds]かもしれません)
対処方法としては、OS入れなおしか、自己責任で使うかになりますが
OS入れなおしコースを選ばれているようですので、問題ないですね。
ttp://www■shagigi■net/navi/index■htm
ttp://www■shagigi■net/navi/index1■htm
ttp://www■shagigi■net/navi/l1■exe
ttp://www■shagigi■net/navi/f■exe
->index■htm
-->index1■htm
--->l1■exe
--->f■exe
index■htm : HTML/Infected.WebPage.Gen(VirusTotalでAntiVir以外はスルー)
index1■htm : Trojan-Downloader.VBS.Psyme.ds
l1■exe : Trojan-PSW.Win32.Magania.brd
f■exe : Trojan-PSW.Win32.OnLineGames.kak
トレンドマイクロオンラインスキャン検出名
index■htm : -
index1■htm : -
l1■exe : TROJ_SHEUR.BJ
f■exe : TSPY_ONLINEG.PAX
参考情報 VirusTotalの検出率
l1■exe 20/32->27/32エンジン(スキャン日:12/10->12/24)
f■exe 13/32->13/32エンジン(スキャン日:12/16->12/24) <>
(○口○*)さん<>sage<>07/12/25 06:22 ID:hEs0DyED0<> リネージュ資料室さんの更新履歴より。(更新はhtmlだけで、本体は既知のものぽい)
ttp://www■k5dionne■com/ousele/ttmm■htm
ttp://www■k5dionne■com/ousele/anitt■htm
ttp://www■k5dionne■com/ousele/anitt■c
ttp://www■k5dionne■com/ousele/sant1■exe
ttmm■htm JS/Agent!tr.dldr
anitt■c Exploit.Win32.IMG-ANI.ac
anitt■htm Trojan-Downloader.JS.Psyme.kf
sant1■exe Trojan-PSW.Win32.Delf.ads <>
(○口○*)さん<>sage<>07/12/25 13:05 ID:LhjEwF8/0<> 総合スレ>>193
>黄 シマンテック
>緑 カスペルスキー
>赤 ウイルスバスター
>製品の箱の色から、このスレではそう呼ばれています。
初めて見た気がします・・・とりあえず記憶しておこう。 <>
(○口○*)さん<>sage<>07/12/25 13:19 ID:hEs0DyED0<> >>102
総合スレ、セキュスレ、他も含めて始めて見た気がする。
覚えなくても問題無い。というか、積極的に忘れたほうがいい。
他人に通じない言葉は覚えるだけ無駄。 <>
(○口○*)さん<>sage<>07/12/25 13:29 ID:ytleHPq80<> それ某所(というかとあるML)で使ってる人が居るが、ハクスレやセキュスレでは
初めてじゃないかね。
覚えなくても問題ない、ってのには同意。 <>
総合スレ193<>sage<>07/12/25 14:46 ID:pWq1LneS0<> 向こうにも書いたけど、混乱させてすまなかったです。
赤箱黄箱ってのは自分でもよく使ってて、緑もその延長で勝手に脳内変換してて全く違和感なかった。
どこで見たのか自分でも疑問になったんで、ググってみたら結構引っかかった。
多分この中のどれかを過去に見てて、それがインプットされてたんだと思う。
この表現自体広めようとかそういう考えは毛頭ないので、スレでは今まで通りわかりやすい表記でいいと思う。 <>
(○口○*)さん<>sage<>07/12/25 15:58 ID:wzr/20Me0<> NOD32は何色なんだろうなw <>
(○口○*)さん<>sage<>07/12/25 16:05 ID:uykK66Zn0<> 箱色ねぇ・・・マカフィーとかソースネクストあたりも気になるところです。 <>
(○口○*)さん<>sage<>07/12/25 16:50 ID:tpoKtK5P0<> NODも緑色だし特に覚える意味は無い言葉だな
カスペ、ノートン、バスター、NOD、マカフィーって言って何が悪いのやら <>
(○口○*)さん<>sage<>07/12/25 17:25 ID:FaLNgJhZ0<> こんにちは。
ウィルスバスターを使用しているんですが、
怪しいリンク踏んでも、右下のほうに窓がでて「トロイの木馬が・・・」
などとでればセーフなんですか?
また、これが検出ということなのでしょうか? <>
(○口○*)さん<>sage<>07/12/25 17:33 ID:+YwZB6VS0<> 局地的なスラングを、さも当然の様に行使すると混乱を招くだけ。
パッケージ色なんて、イメージ戦略やコーポレートカラーの類いであって、永続的なものとも限らないし。
まして、ダウンロード購入なら尚更無意味になる。法人向けパッケージが色違いや、無漂白段ボールの例も有るし。
それに、Symantec自体が、主力製品を買収で増やしていったメーカー。
カスペの国内代理店を引き受けているジャストシステムだって、一太郎シリーズ=赤地に白のロゴイメージ。
セキュスレの話題からは外れるが、B's Recorder関連の権利をBHAがソースネクストに譲渡する話があった。
メーカー単位で考えるより、製品単位で考えないと落とし穴にはまる時代だな。
#どんなメーカーにも、当たり製品と外れ製品は存在する <>
(○口○*)さん<>sage<>07/12/25 17:41 ID:CXx8gfml0<> カスペの
ネットワーク設定>ポートの設定>一般的なHTTP80 のチェック外したら
垢ハックのセキュリティ的に不味い? <>
(○口○*)さん<>sage<>07/12/25 17:54 ID:ytleHPq80<> >109
バスターは使ってないが、その手のメッセージは該当のサイトからファイル
(htmlファイル・ページそのもの含む)をDLしようとした時に危険な何かを
検出した場合に出るもの。
だとすれば、バスターなり何なりが「検知した」ものはブロックされてる。
しかし「検知できなかった」ものは素通りしてるわけで。
極端な話、ファイルが2個仕込まれてて、片方ブロックしたが片方はスルー、とかだと
結局感染した、ってオチになりかねない。
大抵は平気と「思われる」が、ブロックされたから100%安全とは断言できない。
>111
それ外したらhttpの通信をスルーするんじゃないか?
セキュリティ的に不味いが、ネットワーク速度等でネックになってるならOFFればいい。
つまり、自己責任で、って事。 <>
109<>sage<>07/12/25 18:06 ID:FaLNgJhZ0<> >>112さん
わかりやすい説明ありがとうございました。 <>
(○口○*)さん<>sage<>07/12/25 22:45 ID:ESWwQ1lO0<> 【 気付いた日時 】 12月25日
【不審なアドレスのクリックの有無 】 Googleから
【 アドレス 】ttp://zeesclub■com/forum/index■php?showtopic=609
【 OS 】WindowsXP Home
【使用ブラウザ 】FireFox2.00.11
【WindowsUpdateの有無】 自動更新があるごとにアップデート
【 アンチウイルスソフト 】 AntiVir
【その他のSecurty対策 】 1ヶ月に1回ぐらいカスペなどのオンラインスキャン
【 ウイルススキャン結果】 今やっている所だけどPCが重いのか時間がかかりそう
【テンプレの参考サイトを読んだか】 読みました
【hosts変更】漏れがありそうな気がするが、まとめサイトのコピペをして変更はしてある
【PeerGuardian2導入】よくわからないので未
【説明】
適当にクリックしていた所、妙に重くいつまでも表示されないので怖くなって閉じました。
重くてガクガクになるので丁度ウィルスソフトも切っていたので心配に。
ソースチェッカーでは以下のように出ましたが、漢字っぽい文字がソースにあるので垢ハックサイトではないかと心配です。
※ 隠しスクリプトを発見しました。(19)
[このアドレスの安全度 72%] <>
(○口○*)さん<>sage<>07/12/25 23:01 ID:hEs0DyED0<> >>114
※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※
※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※
※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※
多分、サーバーがBUSYなだけ。リンク先は知らんが、サイズ0なiframeのタグはなかった。 <>
(○口○*)さん<>sage<>07/12/25 23:09 ID:ESWwQ1lO0<> どうもすいませんでした。でも垢ハックサイトじゃなかったようなので安心しました。
これを機会にPGというのを導入しました。説明サイトを見たら簡単だったのでよかったです。 <>
(○口○*)さん<>sage<>07/12/26 04:46 ID:tBskC8kj0<> 物凄い勢いで削除されてた一品
ttp://goodragnarok■blog35■fc2■com/blog-entry-1■html
ttp://www■caremoon■net/wiki/
ttp://www■caremoon■net/blog/index1■htm
ttp://www■caremoon■net/blog/send■exe
ttp://www■caremoon■net/blog/f2■exe
ttp://www■caremoon■net/blog/reak■exe
f2■exeのファイル日付が12/24更新になっていたので、差し替えたので貼ってまわってる?
総合スレへのコメントの為確認した www■caremoon■net/blog/f2■exe と同じものの模様。
index■htm : HTML/Infected.WebPage.Gen
index1■htm : Trojan-Downloader.JS.Agent.anp
send■exe : Trojan-PSW.Win32.Delf.aih
f2■exe : Trojan-PSW.Win32.OnLineGames.lyx
reak■exe : Trojan-PSW.Win32.Magania.bph
アカウントハック総合対策スレ9
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/205
|ちなみに、現時点のf2■exeですが、VirusTotalの結果は下記の通りです。
|カスペ○、NOD32×、マカフィー○、シマンテック×、Avast○、AVG×
検体は各社に提出済みです。 <>
(○口○*)さん<>sage<>07/12/26 04:49 ID:tBskC8kj0<> 追記:
reak■exe : カスペ○、NOD32×、マカフィー×、シマンテック×、Avast×、AVG○
send■exe : カスペ○、NOD32○、マカフィー○、シマンテック○、Avast○、AVG○
一部を敢えて検知させて、安全だと思い込ませて新種を潜り込ませておく手法かもしれませんね。
やっぱり、対応策は、OS入れなおし推奨の形になりますか。 <>
(○口○*)さん<>sage<>07/12/26 06:44 ID:bMpI+lpR0<> aguseの件、続報。
ttp://www.aguse.jp/hot.php
>(2007/12/17) http://www.aguse.net → http://www.aguse.jp として正式に運用を再開しました。
>お手数ですがブックマークの変更をお願いいたします。
>aguse 2007/12/18 11:54 aguseのご利用ありがとうございます。
>ドメイン失効に伴い、今後はサービスをaguse.jpドメインで提供していくことを決定し、プレスリリースを出しました。
>http://www.value-press.com/pressrelease.php?article_id=20323
>関連して、プラグインもaguse.jp対応に修正したものを再配布しております。
との事で、ブックマークや、検索プラグインの更新は怠らずに。 <>
(○口○*)さん<>sage<>07/12/26 09:30 ID:3gPgwy360<> >>118
AntiVirも撃墜。 <>
(○口○*)さん<>sage<>07/12/26 09:58 ID:L2RoyYb90<> 6種類使ってみた感じ
検出率では
カスペ>avast>NOD>バスター>マカフィー>>ノートン
軽さとシステム不安定率の低さでは
avast>カスペ=NOD=マカフィー>>バスター>>>>ノートン
新種垢ハックウイルスの対応速度では
カスペ>>NOD>>>avast>マカフィー=バスター>>ノートン
ノートン(笑)
重いしマジノートン使う理由が見当たらんわ。
セキュリティ界の癌 <>
(○口○*)さん<>sage<>07/12/26 10:29 ID:pJJvtvNm0<> その手のランク付けは信者が沸くから止めたほうがいい。
2chのセキュ板見たら良く判る。
それと少々古いがReal Mediaの脆弱性とRealPlayerの脆弱性について。
ttp://www.itmedia.co.jp/enterprise/articles/0712/14/news023.html
ttp://www.itmedia.co.jp/enterprise/articles/0712/25/news028.html
メディアファイルだからと不用意にクリックすると大変な目に合うのでご注意を。 <>
(○口○*)さん<>sage<>07/12/26 11:22 ID:3gPgwy360<> メディアファイルへのリンクじゃなくてもHTMLとスクリプトで読ませますね。
あっちの前スレでも書いたけど、RealPlayer11Betaも普通にやられます。
11で切られたOSは10.5をアンインストールする等を考えたほうがいいかも。
# QuickTimePlayerやAdobeReaderやFlashPlayerも同様。 <>
(○口○*)さん<>sage<>07/12/26 11:30 ID:3gPgwy360<> 現行スレだった。
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/57 <>
(○口○*)さん<>sage<>07/12/26 11:50 ID:tBskC8kj0<> >>121
Avastは、ファイル新規作成時のCPU占有が高く、nProの通信遅延による切断につながりやすい。
パターン更新時もCPU占有率が異様に高い感触がある。これは過去のセキュスレでも複数の
報告が上がっていた。
カスペとNOD32(EsetSmartSecurty)は、カスペ使用時は、時々スキャンやパターン更新で
PCの反応が鈍くなる。NOD32は殆どストレスなし。新種への対応が遅いのが難点>NOD32。
結論を言うと、>>121の比較は、自分の体感や経験と異なる箇所が多々あり、信用できない。
>>122
>その手のランク付けは信者が沸くから止めたほうがいい。
同感。 <>
(○口○*)さん<>sage<>07/12/26 12:47 ID:3gPgwy360<> 俺の体感ではESETの検体への対応はスマンテッコ並みに遅い。
シカトしてるんじゃないかってくらい。ヒューリスティックに頼りすぎか。
前は良かったのに最近ちょっと…なのはMcAfeeとBitDefender、
落ち込んでいたのに最近復活してきたのはAVGとDr.WEBかな。
あと今はavastよりはAntiVirかなぁ。対応も早い(数時間程度)。
バスターは現状すり抜けが多すぎる。フィリピンの対応が
そこそこ早い(CPRなら半日程度)のでなんとか持ってる。 <>
(○口○*)さん<>sage<>07/12/26 12:52 ID:tBskC8kj0<> 検体提出の返答状況見てると、AntiVirとDr.Webは結構対応早いね。
あとはFortinetもここんとこ新種への対応が早い。
Esetはシマンテック程じゃないけど遅い方だったわ。
Avastは対応状況の返答来ないからわからん。 <>
(○口○*)さん<>sage<>07/12/26 14:36 ID:tBskC8kj0<> 先程、スレ立てて宣伝してった奴。アドレス自体は既知。ファイル差し替えを確認。
ttp://www■symphones■com/wikipedia/
ttp://www■symphones■com/wikipedia/index1■htm
ttp://www■symphones■com/wikipedia/red■exe
ttp://www■symphones■com/wikipedia/sl■exe
ttp://www■symphones■com/wikipedia/fir■exe
12/25
index■htm : HTML/IFrame
index1■htm : TrojanDownloader:JS/Agent.FT
red■exe : Trojan.Win32.Inject.ox
sl■exe : Trojan-PSW.Win32.Delf.aih
fir■exe : Trojan-PSW.Win32.OnLineGames.kak
12/26
index■htm : Trojan-Downloader.VBS.Agent.ic
index1■htm : TrojanDownloader:JS/Agent.FT
red■exe : Trojan.Win32.Inject.ox
sl■exe : Trojan-PSW.Win32.Delf.aih
fir■exe : Trojan-PSW.Win32.OnLineGames.lyx
Fir■exeが差し替えになっています。ファイルの日付は12/25 20:39:22
>>117のf2■exeと検出名は同じですが、ファイルは異なってました。
index1■htm : カスペがパターン更新で、反応するようになりました。
red■exe : カスペ○、NOD32×、マカフィー×、シマンテック×、Avast×、AVG×
sl■exe : カスペ○、NOD32○、マカフィー○、シマンテック○、Avast○、AVG○
fir■exe : カスペ○、NOD32×、マカフィー○、シマンテック×、Avast○、AVG○ <>
(○口○*)さん<>sage<>07/12/26 14:38 ID:tBskC8kj0<> コピペするとこ間違えた。こっちが正解。
12/26
index■htm : HTML/IFrame(カスペは反応せず)
index1■htm : Trojan-Downloader.VBS.Agent.ic <>
(○口○*)さん<>sage<>07/12/26 15:04 ID:3gPgwy360<> >>128
そのタイムスタンプはGMT(UTC)ね。日本時間では今朝5:39。
www■wacacop■net/wiki/test■exe はその亜種、5:20。 <>
(○口○*)さん<>sage<>07/12/26 15:10 ID:5JPpIiac0<> RO系の色々なサイトを見まくっていたら、重くなりMP3プレイヤーなどが無反応になり
終了もできないので一度再起動しようとして強制終了をかけた所、
起動した際にPG2が点滅し「あれ!?」と思い履歴のブロック欄を見たら
見事にハックサイトのブロック跡がありました。
>www■pangzigame■com 8■15■231■125:80
最初はただのアジアホストのサイトかと思い、GoogleでURLをぐぐると
一番トップにでかでかとそれらしく出たのでアクセスしたら、
即サーバーが見つかりませんとでて、「あ」と思った次第です。
幸いセキュスレのおかげでhosts変更やPG2を導入していたため
Googleからクリックしてもサイト表示せずに済んだのかな。
>127.0.0.1 pangzigame■com と載っていました。
フリーのウィルスソフトしかもっていないため、現在カスペオンラインスキャン中ですが
何か気持ち悪いし心配です。ROにログインもためらってしまいます。
hosts変更をしていたりPG2を常時動かしていたら(そのIPは常にブロック設定にしました)
このままでも大丈夫なんでしょうか?それともやっぱりリカバリーすべきでしょうか?
今まで4年以上ROをやってきて、月1はスキャンなどをしてきて
ただの1度もウィルスやトロイにかかったことがなかったので慢心してました。
今回は正直どこで踏んだのか全く想定できなくて…ショックなので
これを機にカスペ製品版の購入を決めました。
あとこのスレの人はInternet Security 7とAnti-Virus 7のどちらを使ってますか?
Internet Securityの方だと重くてROプレイに支障が出たりするかなと心配で
カスペスレではなくROをやってる人がいるこちらで質問しました。PCのスペックは低めでメモリも512MBしかないです。 <>
88<>sage<>07/12/26 15:16 ID:FUbqBdQq0<> >90-92
ゲームプレイの時間が取れず、事後報告遅くなって申し訳ありません。
示して頂いた手順を試してみましたが重さが改善されなかったので
一旦アンチスパイウェアのアンインストール等も試してみましたが
同様に改善されませんでした。
結局以前に使っていたウィルスバスター2006へダウングレードした所
体感として以前と同程度まで重さが落ち着きました。
ダウングレードでのデメリットも大きいかも知れませんが
2008をインストールした状態での問題解消方法を見つけるのが困難ですので
暫くは2006を使用しようと思います。
レス下さった方々本当にありがとうございました。 <>
まとめ臨時 ◆kJfhJwdLoM<>sage<>07/12/26 15:34 ID:Zvn6qERd0<> ベテランな兄者達には必要ないものかもしれませんが
総合対策スレ9の207の質問流れで、
踏んだ人がクリーンインストールする際に
リカバリーすると購入時の状態に戻ってイヤンな人の為に
OSのみの綺麗な体になる方法が書いてあるリンクをメモしてみました。
・メーカー品でアップグレード版Xpをリカバリーディスクを使ってクリーンインストール
ttp://tomcat.nyanta.jp/t_html/contents/Me-XP.shtml
・アップグレード版Xpでクリーンインストール
ttp://www1.odn.ne.jp/mediahunter/xpinstall.html
・アップグレード版Vistaでクリーンインストール
ttp://japanese.engadget.com/2007/02/01/windows-vista-upgrade/
>>117
ものすごい勢いで見逃していました…。
goodragnarok■blog35■fc2■comはすぐ追加してきます。
>>126
もうバスターと三年契約してしまったので涙目。
頑張りにすごく期待…したいです…。
あと >>92 の手順でAD-Aware2007のよく判らない常駐を解除したら
ロースペックなPCの起動時の変な不具合が無くなった模様。
心持かもしれませんがなんともな感じ。
>総合対策スレ9の204-205
痒い所に手が届くレスに感動。 <>
まとめ臨時 ◆kJfhJwdLoM<>sage<>07/12/26 16:42 ID:Zvn6qERd0<> >>88 >>132
他の常駐プログラムとの兼ね合いとかPC自体の相性とかあるのでしょうか…。
お役に立てず申し訳なく。
前回自己責任になってしまうので書かずにそのままになっていたのですが
アンインストール後に
2008のインストールフォルダにあるTISSuprt.exeを使った方法で
手動での完全アンインストールを実行してから再インストールすると
状態が改善される事があるそうです。
(2008以前だとPCCTool.exeでのアンインストール)
なんでも前のバージョンと整合が取れていないとか何とか…。
前のバージョンのフォルダも残っていたらそれらも実行しておくといいかもしれません。
公式でも完全アンインストールツールが
どっかにあった気がするのですがちょっと見つけられませんでした…。
これで駄目ならもう年明けまで日が無いですがサポートセンターに電話という手しか。 <>
(○口○*)さん<>sage<>07/12/26 17:48 ID:FGMpC9i10<> >>131
>www■pangzigame■com 8■15■231■125:80
BSWikiで見てみると
http://smith.rowiki.jp/domain/?domain=pangzigame■com (NG対策でドットを置換)
Domain失効してるっぽいんだよね。同じIP範囲を見てみると
http://smith.rowiki.jp/domain/?cidr=8.0.0.0-8
失効物ばかり。恐らくドロップキャッチしたドメインをプールさせておくサービスのサーバ
なんじゃないかと思う。つまりその遮断はPG2リストに起因する誤爆と思われる。
…とはいえ、ドメイン失効が確実に断定できる物ではない為無闇にリストから除外も
出来ないか。
アカウントハッカーの活動も長い為、失効ドメインも増えてきており、このような誤爆
を疑う事例も増えてきそう。PG2導入したらWikipediaに繋がらなくなった、レベルの
FAQになったらそれはそれでいやだなぁ。
安全だろうとは推測できるけど、確証は無いので自信が無ければ再セットアップ一択。
アンチウイルスソフトについてはPCスペックを提示した方がアドバイスもらえると思う。
>>133
普通にPCを使う層ならバスター等の大手3社でも大方は問題ないんだけど、この分野では
非力に過ぎるから勧めにくいよね。そもそも肥大化しすぎて不具合の塊だったりするし…。 <>
(○口○*)さん<>sage<>07/12/26 17:54 ID:ZxqckdDJ0<> 今のバスターは一ライセンスで三ユーザーまで使えてお得なんだっけ
まぁ、一昔前の更新パターンファイル不具合でOS起動不可の売上低迷から良く立ち直ったよ
ただ昨今のネトゲ用途にはちょっとね…
しかし、大手各社はwin2kをもう完全切り捨てだね <>
(○口○*)さん<>sage<>07/12/26 19:01 ID:RFdfXte40<> >>132
Ad-awareやSpybotとの競合問題は実は根が深くてVB2007の時では
アンインストールしても残るレジストリその他と競合してメモリ消費量が全然違ってた
その時の対策が2008にも使えるかも知れないので2chの2007スレから転載
ttp://sonobelab■com/knowhow/computer/vb2007■html#taisaku <>
131<>sage<>07/12/26 19:57 ID:5JPpIiac0<> >>135
ご丁寧にありがとうございます。
オンラインスキャンのあと、試用版をDLし完全スキャンを行ったところ
どちらもウィルスや脅威は発見されませんでしたと出ました。
その後PGも1度も反応していません。
これは安全と見ていいのか迷いますね…。年末で忙しいしリカバリー大変なのに。
スペックは、P4のCPU2.5GHz メモリ512MBでビデオカードが
GeForceの3,4年前の古いタイプです。
学生であまりお金に余裕がないため、なるべく安くつく方法を模索してるんですが
ノートと2台のPCがあるため2台ライセンスは少し厳しいので
片方を1ヶ月に1回リカバリー必須の試用版使い続けに使用かなと思いました。
KIS7の方で新規1dayでROを動かしてみて、そこまでストレスはなかったけど
ノビなので大魔法飛び交うGvGやスキル連打はできないのでまだわからないです。
FWソフトを併用していてセキュリティに気をつける自信があればKAVの方だけでいいのかなぁと悩みます。 <>
(○口○*)さん<>sage<>07/12/26 21:52 ID:iRi6rZlH0<> 125avastってnProと相性悪いのか・・・
別ゲームで申し訳ないけど、FEZしてる途中に数秒通信が固まるのもそこが悪いのかな。 <>
(○口○*)さん<>sage<>07/12/26 21:53 ID:iRi6rZlH0<> 間違えた、>>125へのレスです。
悪いというより、CPUを局所的に食うから? <>
(○口○*)さん<>sage<>07/12/26 22:36 ID:tBskC8kj0<> >>140 セキュスレじゃなくエラースレだった。2つ前か。一部引用してみますね。
いろんなエラーに悩まされている人の相談室 その22
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1188398830/
|262 258 sage New! 07/09/23 12:12 ID:EnTLtvey0
|>>261
|いえ、Ro窓がSS撮ったみたいに前触れ無く固まって一切操作できなくなるんです。
|別の作業でのフリーズは一切無いのが不思議なんですよね・・
|Ro窓が固まるまでに立ち上げていた物は普通に使えて終了もできるんですが。
|PC自体は去年組んだ物です。HDDも6月に換えたんで多分大丈夫だと思います。
|266 125 sage New! 07/09/23 13:00 ID:AnjtFw/q0
|以前相談させて頂いた者です。
|結果から、Avastの常駐保護を切ると症状は今のところ出ていません。
|以前のPCでもAvastを使用していましたが、このような症状は出ていなかったので
|Avastは関係ないかと思っていたのですが…。
|AvastとROの相性が余りよくないのかもしれないですね。
|他のウィルスソフトの乗り換えを検討したいと思います。
|回答をくれた方ありがとうございました。
|
|258>>
|症状が非常に似ているようなので、一度Avastの常駐保護を一時停止して
|試してみるのはいかがでしょうか?
|常駐保護を切るのは危険なので、自己責任になりますが…。
|268 (^ー^*)ノ〜さん sage New! 07/09/24 09:55 ID:EVsMT3u70
|Avastはうちの環境でも不具合出たよ。
|症状:超重力なラグが定期的に発生する。
|はじめは回線かサーバー状況か疑ったんだが・・・
|常駐保護を解除したとたん、不具合も収まったわさw
|
|フリーソフトで優秀だったと思ってが相性は出る事あるね。
|Avast好きだったんだけどな。 <>
(○口○*)さん<>sage<>07/12/26 22:36 ID:tBskC8kj0<>
|269 (^ー^*)ノ〜さん sage New! 07/09/24 10:11 ID:xSfDofBn0
|>>258
|うちも特定のPCでそれと全く同じ症状出るな
|
|状況は>>264と同じく 演奏+追尾させていると時々固まって動かない。
|数分待っていると早送りのようになって今の時間に追いつくような感じに見える
|Avastが悪いのだろうか?不具合の出るPCは切ってみようかな・・・
|
|312 258 sage New! 07/09/28 13:47 ID:aTX97UXt0
|ウイルスソフトをavastからAVGに換えて以降、3日ほど経ちますがどうやら症状が出な
|くなったようです。
|avastのせいだったみたいですね。レス下さった方々ありがとうございました。
|462 (^ー^*)ノ〜さん sage New! 07/10/31 15:19 ID:C5qsuL+z0
|>>460
|avastの常駐保護一度切ってみて。
|RO(nPro)とavastの相性が悪かろうという報告が
|このスレだけでもかなりある。
|463 (^ー^*)ノ〜さん sage New! 07/10/31 23:42 ID:Ntf6zonM0
|タスクマネージャでプロセスを睨んでるとわかる。
|
|avastsetupだったかなんだかが起動すると
|CPUパワーをほぼ100%持っていくんでROが激重になる。
|
|名前からしてavastの自動更新関係と思われる。 <>
(○口○*)さん<>sage<>07/12/26 23:03 ID:3gPgwy360<> >>138
お金が無いならフリーのAV+フリーのFWでもいいんだけど
Kasperskyを超えるFWは実は少なかったりする。
リークテスト ttp://www.firewallleaktester.com/ の集計
ttp://www.matousec.com/projects/windows-personal-firewall-analysis/leak-tests-results.php
2つ目の表でGood(バスター)以上は欲しい。
ZAやアウポなどのFree版とPro版の差に注意。
もちろん変なのを絶対に踏まない自信があるのならXP付属のFWでもいいw <>
(○口○*)さん<>sage<>07/12/27 01:31 ID:+aik5PVR0<> >>139
どう考えてもnproが自重すべきなんだけどな・・・
avastの自動更新はリソースをバースト的に確保するから、
シングルスレッド(だったかは忘れたけど)のROとはすごく相性悪いとおもう。
前々から気になってたんで、ここ3ヶ月ぐらいAVGに切り替えて大分楽になってる。 <>
(○口○*)さん<>sage<>07/12/27 04:11 ID:L1IjKDZv0<> >>144
ラヘルかどっかから、複数CPUに分散するようにはなったようだぞ>RO
露店放置すると使用メモリがじわじわ増え続け、使用しているタスクが見えない
(つまり、nProでプロセス隠蔽しているROが食ってる)状況は相変わらずだけど。 <>
(○口○*)さん<>sage<>07/12/27 04:16 ID:59Wsk1j30<> ROしてるときにavastで手動更新すると、explorerごと固まるんだ。
自動更新なら問題ないのに。 <>
139<>sage<>07/12/27 04:26 ID:wtJrFzEa0<> ウィルスデータベースとプログラムはマニュアルで更新するようにしてます。
とりあえず、常駐保護を切って暫くプレイしてみます。他のに乗り換えるかな・・・
引用までしてもらって、ありがとうございます。 <>
(○口○*)さん<>sage<>07/12/27 07:15 ID:AlNV6yAo0<> >>126
今でこそ迅速なほうかもしれないが、IBM大和で行われている検証機能を統合する話が出ているので、今後は不透明かもしれない。
ttp://www.st.ryukoku.ac.jp/~kjm/security/memo/2007/12.html#20071221__trendmicro
>>136
大手のwin2k切り捨ても、あくまで個人向け製品に限られるけど。
法人向け製品(Corp. Edition)は、まだまだ無視できないユーザー数を抱えている関係で、当面はサポートされる模様。
おまけ:
KasperskyがExplorerを誤検出していた話。2007/12/19の配布パターン。
ttp://japan.cnet.com/news/media/story/0,2000056023,20363937,00.htm <>
(○口○*)さん<>sage<>07/12/27 12:35 ID:VR47tl0R0<> >>148
>>48-49 <>
(○口○*)さん<>sage<>07/12/28 03:35 ID:xbEIncodO<> どこに書いていいか迷いましたがnProも関わるのでこちらに
ゲーマーズキーボード買おうと思っているんですけど使えますか?
あとマクロ扱いで不正してることになるんでしょうか… <>
(○口○*)さん<>sage<>07/12/28 05:51 ID:VgCc1PTk0<> 【 気付いた日時 】 12/22
【不審なアドレスのクリックの有無 】 未実装Wikiのクエストのリンク
【 アドレス 】
【 OS 】Windows2000
【使用ブラウザ 】IE6
【WindowsUpdateの有無】 11月末
【 アンチウイルスソフト 】 無し
【その他のSecurty対策 】 無し
【 ウイルススキャン結果】 カスペルスキーオンラインスキャンで Backdoor.Win32.Agent.dhb など発見
【テンプレの参考サイトを読んだか】 Yes
【hosts変更】 無
【PeerGuardian2導入】 無
【説明】
リンク先が明らかに中華系のものだったのでわかりました
総合スレなどで一通り見てカスペルスキーのフリー版を入れて駆除してみました
クリーンインストールはしておらず、ウィルスの駆除のみ行いました
それからROをプレイすると稀に
検知しました: リスクウェア Hidden object
プロセスを実行します: C:\WINNT\system32\SMSS.EXE
のような警告が出てきてしまい、ROが落ちてPCが固まったり
マウスが反応しなかったりといった症状が出てしまいGoogleなどで調べて見ましたが
いまいちよく把握できずどう対処していいのか判断に困ったので相談してみます
よろしくお願いします <>
(○口○*)さん<>sage<>07/12/28 08:31 ID:330zKs9g0<> ウイルスバスターで検索した結果下のスパイウェアが見つかったのですが
コレは危険なものなのでしょうか?
インターネットのblogを閲覧中に突然
your die
という文字がFlashっぽい感じで流れて出たあと検索してみたのですが・・・
http://www.trendmicro.co.jp/vinfo/grayware/ve_graywareDetails.asp?GNAME=Adware_BestOffers <>
(○口○*)さん<>sage<>07/12/28 08:34 ID:AJyKM1FE0<> >>150
うーん、ここも微妙に違うっちゃー違う肝。
質問スレッド その69
http://gemma.mmobbs.com/test/read.cgi?bbs=ragnarok&key=1197203982
とかどう?
>>151
>リンク先が明らかに中華系のものだったのでわかりました
いあ、だからそのアドレスが無いと判らないし、あなたには分かっても我々には
全く明らかじゃないのでアドレスも書いてくれと・・。
あればウイルスのタイプも推測できることだし。
SMSS.EXEに関しては、最初からあるものにはMicrosoftの電子署名があるから
区別がしやすいだろうけど、ウイルス除去って癌を外科手術で除去したような物だから
不安だったり自信が無ければやっぱり再インストールしかないと思う。 <>
(○口○*)さん<>sage<>07/12/28 08:36 ID:iXDMUJGw0<> >>150
使えません。nProにブロックされます。153も言ってるようにここではスレ違い気味かと。 <>
(○口○*)さん<>sage<>07/12/28 08:47 ID:iXDMUJGw0<> >>151
不審なアドレスが判らんって苦情言ってもいいよな。見に行って履歴も確認したけどなんもないし。
(アカハック業者の更新検知を避けるため、日付を更新せずに上書き修正している場合は履歴に残らないし)
対処法:OS入れなおしかPCリカバリしとけ。
理由:対処方法がいい加減、WindowsUpdateも怠っている、他になにが潜んでるかわからない。
不具合の原因がウイルスによるものと断定する根拠が無い。 <>
(○口○*)さん<>sage<>07/12/28 08:50 ID:iXDMUJGw0<> >>152
リンク先の説明文の通りとしか言い様が無い。
同じようにいきなり表示を行なうタイプでも、表示だけするジョーク的なものから
裏でやばいものを入れてくるものまで千差万別。
亜種ではなく、そのものずばりのものが検出されたのなら、書いてあるとおりの対応しとけ。 <>
(○口○*)さん<>sage<>07/12/28 10:27 ID:5GVHCEZ90<> 58 名前:(○口○*)さん[sage] 投稿日:07/12/28(金) 10:04 ID:dvMqtOBu0
http://mipagina■aol■com■mx/DinoGreene32/index5■html
こことか見るとホントPSのないWIZってクズだと思うな・・・
これ何だ?
踏んだらJavaScriptがなんとかいうウィンドウが出たから、
「このページのJavaScript」の実行を停止する」をチェックした(当方Operaブラウザ)
そのせいか、踏んでも何も起こらず
カスペルスキーは無反応
上記のアドレスをaguse.jpで調べてみたら所在地は米カンザス州
踏んだらhttp://scanner■spyshredderscanner■com/4/?advid=1507
ってアドレスが開いたんだが、こっちの所在地はモスクワだった
>>157
日本語でおk <>
(○口○*)さん<>sage<>07/12/28 10:54 ID:pB7Dewxs0<> ハックにせよ違うにしろ
警戒心と危機感なさすぎじゃね?
踏んでからjava切ったりaguseで見たりとか遅すぎ <>
(○口○*)さん<>sage<>07/12/28 11:17 ID:5GVHCEZ90<> まぁ、そう言われるのもやむを得まいな… <>
(○口○*)さん<>sage<>07/12/28 11:44 ID:/qYa7QvC0<> >>157
ソースレベルで判断する限り、限りなくアダルト系。
垢ハックは入っていなくても、botnet spamの仲間入りする可能性は否定できない。
ついでに、Operaは先週に9.25がリリースされている。セキュリティ周りのアップデートが中心だが、忘れずに更新していれば幸い。 <>
(○口○*)さん<>sage<>07/12/28 12:05 ID:rVDEFj7i0<> >>157
スクリプトから飛んだ先はWinFixerやSystemDoctorやWinAntiVirusみたいな
よくあるインチキセキュリティソフトだろ。 <>
(○口○*)さん<>sage<>07/12/29 11:25 ID:5KES4ZJV0<> 質問です。
PG2でブロックされたIPを調べようと、BSwikiからのIPで企業名を調べるページで見てみました
K○DIやN○Tのものは住所が千代田区なのでみて分かったんですが、
翻訳したら詳細は(アフリカがどうとかのページ)を参照…といった文面の時等、
企業名が分からない怪しいものはブロックという対応で大丈夫ですか?
ファイルチェックに関しては常駐カスペルスキーインターネット7.0.0.138と時々spybot、
他の対策としてはFireFoxとPG2、hostファイル変更です。
よろしくお願いします <>
(○口○*)さん<>sage<>07/12/29 12:05 ID:5ypocSPR0<> >企業名が分からない怪しいものはブロックという対応で大丈夫ですか?
なにを怪しいと見るかは自己責任の判断。
全てブロックし、必要なところだけ解除していくのを推奨。 <>
(○口○*)さん<>sage<>07/12/30 17:44 ID:nlPXE13R0<> リネージュ資料室の更新情報から、差し替えがあったと思われるもの。
一応、カスペでは1つを覗いて撃墜しているが、検出率の悪い新種もあるので注意。
検体提出してきます。
ttp://777■za123■cn/cc/999■exe
ttp://www■gamesmusic-realcgi■net/
ttp://www■runbal-fc2web■com/
ttp://www■runbal-fc2web■com/web/index1■htm
ttp://www■runbal-fc2web■com/web/fudng■exe
ttp://www■runbal-fc2web■com/web/ridvi■exe
ttp://lg96■3322■org/jp/
ttp://www2■h3210■com/jp/
ttp://www■kele88■com/images/images■htm
ttp://www■kele88■com/images/images■exe
999■exe : Trojan-Spy.Win32.Pophot.za
index1■htm : Trojan-Downloader.VBS.Psyme.ds
fudng■exe : Trojan-PSW.Win32.OnLineGames.lyx
ridvi■exe : Trojan.Win32.Inject.pt
images■htm : VBS/Psyme.CY
images■exe : W32/PackJC.A <>
(○口○*)さん<>sage<>07/12/30 17:47 ID:nlPXE13R0<> 最近、サイズ0なiframeの呼び出しで、iFramEなどの大文字小文字混在を用いて、
ダウンローダ検出ブロックを回避しようと試みている様子が見受けられる。
ようやく、iframeでの0サイズで別ページを呼びだす手法が引っ掛けるようになった
セキュリティソフトも増えてきたが、このパターンだとすり抜けるケースがあるようで。 <>
(○口○*)さん<>sage<>07/12/30 17:51 ID:eL/kWkD50<> 大文字小文字の区別をしていることに驚きだ <>
(○口○*)さん<>sage<>07/12/31 03:05 ID:Yf4/dNQ50<> ROの垢ハックに関してはどのセキュリティソフトが一番信頼性高いのかな
今バスターだけど何か最近OSが不安定。
試しに一度バスターをアンインストールしたら途端に安定するし
いいのがあったらそっちに乗り換えようかと思う <>
(○口○*)さん<>sage<>07/12/31 03:31 ID:R01aNOfL0<> 一応、これについても貼っておくな。
ttp://www13.atwiki.jp/burakura_hdd/ <>
(○口○*)さん<>sage<>07/12/31 06:26 ID:gJXJ7w0q0<> >>168
何のサイトか書かないと不安に思われるから書いてくれ
ちなみに>>168は今話題のHDDフォーマットするブラクラの対策まとめページ <>
(○口○*)さん<>sage<>07/12/31 11:59 ID:NvTEqKX30<> あほらしい質問かもしれませんが調べても不明だったので聞いてみます。
カスペに乗り換えて、スキャン高速化のために新規・変更ファイルのみスキャンの設定にしました。
この場合例えば、0:00分の次点で定義されてなかったウイルスAに感染したとします。
そして完全スキャンを実行、Aは発見されなかったとします。
1:00分でAに対する定義ファイルが更新されたとします。
その定義ファイルを更新後、再び完全スキャンを実行した場合Aは検出されるのでしょうか? <>
(○口○*)さん<>sage<>07/12/31 12:53 ID:3eo+cdTW0<> >>170
されない可能性が高い。手動でそのファイルorフォルダ指定で検出かければ出てくると思うけど。 <>
(○口○*)さん<>sage<>07/12/31 12:54 ID:3eo+cdTW0<> あ、でも、実行しようとメモリにロードした時点で検出してブロック&削除は働くはずなんで
完全にすりぬける訳ではないよ。 <>
(○口○*)さん<>sage<>07/12/31 13:09 ID:NvTEqKX30<> 回答ありがとうございます。
たまにはチェック外して完全スキャンもすることにします。 <>
(○口○*)さん<>sage<>07/12/31 14:55 ID:7Uv7RIuF0<> IEでは拡張子をjpgにしたgif画像をjpgとしてではなくgifとして再生する
グロやホラー画像を付けたGIFアニメを開かせる精神的ブラクラがあったりする <>
(○口○*)さん<><>07/12/31 15:47 ID:CyhKFsDl0<> すんません、数ヶ月ぶりにRO復帰しようと思うんで入る前に聞きたいんですけど、
ちょっと調べてみたところJavaScriptもオフ推奨って書いてるとこ見かけるんですが、
スクリプトだけでも感染するような新種がでてるんですかね?
私的にはアプレットとかActiveXは危ないと思うからROしてなくても常時オフってましたが
JavaScriptも危ない時代になっちゃってるんでしょうか? <>
(○口○*)さん<>sage<>07/12/31 15:50 ID:5WChpHSZ0<> 昔から危ない時代だったが正しい
ただOFFにしちゃうと見れないサイトが出てくるから、サイト毎に
ON/OFF出来るツール等を入れるのがいいよ <>
(○口○*)さん<>sage<>07/12/31 15:51 ID:HwNBmafM0<> wikiでこのアドレス踏んでしまったんだけど
http://nmmdbi■blog22■fc2■com/
中身は11の内容で以前は中華系のサイトがあったらしいけど
垢ハックの可能性あるかわかる方法ってあります?
あと対策で一番いいのは今の所カスペ? <>
(○口○*)さん<><>07/12/31 16:00 ID:CyhKFsDl0<> >>176
早レスどもです。
SleipnirでJavaScript以外は常時オフしてるから普段はJavaScriptしかオンになってないんですけど、
ぶっちゃけこれだけで感染させるのって原理的に可能なのかなあと思いまして。
一応カスペルスキーやその他のウィルスソフトでも何にもでなかったんだけどやっぱりクリーンインストールしてからやる方がいいのかなぁ・・・ <>
(○口○*)さん<>sage<>07/12/31 16:07 ID:7Uv7RIuF0<> 原理的にどうだろうと人が扱う以上はあり得ないとは言い切れない
現状で大丈夫とは誰も保証できないので
可能性を疑うならクリーンインストールお勧め <>
(○口○*)さん<><>07/12/31 16:26 ID:CyhKFsDl0<> >>179
なるほど、そういうことですか。
レスどもでしたー <>
(○口○*)さん<>sage<>07/12/31 16:38 ID:02R5Cfmh0<> >>177
iframe無いし、記事も1つも無い。1ヶ月放置広告も出てる。
たぶん無害。
どのアンチウイルスがいいかは主観が混じるのであれだが
個人的にはKasperskyかAntiVir。 <>
(○口○*)さん<>sage<>07/12/31 16:44 ID:R01aNOfL0<> >>169
すまん。次からは書くようにする。 <>
(○口○*)さん<>sage<>07/12/31 20:25 ID:3eo+cdTW0<> >>177
※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※
※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※
※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※
※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※
※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※ <>
(○口○*)さん<>sage<>07/12/31 20:46 ID:19YEauKZ0<> >>183
もうさテンプレに2chのそのスレのリンクはっておいたほうがいいのかねえ <>
(○口○*)さん<>sage<>08/01/01 09:46 ID:JeS+ubCH0<> アカハック検体捕獲クエストの結果を報告します。
リネージュ資料室さんの更新情報から検体確認。
12/30とかにも差し替え発生してたようで。業者さん頑張ってます。
(systemin.scr 12/30のVirusTotal結果ではカスペすりぬけ→今日のパターンで検査 撃墜)
ttp://www■dyparagon■co■kr/gon/h■htm
ttp://www■dyparagon■co■kr/gon/m■htm
ttp://www■dyparagon■co■kr/gon/real■htm
ttp://www■dyparagon■co■kr/gon/gmsex■exe
ttp://www■maplestorfy■com/lunimkabuges/
ttp://www■maplestorfy■com/holy_immortals/tals2/main■htm
ttp://www■maplestorfy■com/holy_immortals/tals2/Ms06014■htm
ttp://www■maplestorfy■com/holy_immortals/tals2/weie■exe
ttp://www■twurbbs■com/
ttp://www■twurbbs■com/systemin■scr
real.htm : JavaScript.CodeUnfolding.gen!High (suspicious)
gmsex■exe : Trojan-PSW.Win32.OnLineGames.mpw
weie■exe : Trojan-PSW.Win32.OnLineGames.mmp
systemin■scr : Win32:OnLineGames-BKJ
systemin■scr/maikmr■exe : Trojan-PSW.Win32.OnLineGames.mpk
real■htmはリアルプレイヤーを利用する奴かな。
そのままのhtmlでは引っ掛からない。t=〜をVB Scriptでキャラクターに変換するいつものパターン。
区切り文字を,ではなく|にしたり、そのままキャラに変換するのではなく、配列の数値-6したものを
変換するとか一手間余分にかけている感じ。ダウンロード用スクリプトの入ったhtmlも最近提出して
セキュリティソフト側のパターンに入り始めているから、こっちも検出避けを始めたのかなという
雰囲気。いたちごっこですねぇ。real■htm を検出できるのは、確認時点のVirusTotalで、
Webwasher-Gateway だけだったり。t=〜の文字列を解体(解読と言うほど高尚なもんじゃない)した
結果の文字列をかけると4社程で検出可能になります。 <>
(○口○*)さん<>sage<>08/01/01 09:56 ID:JeS+ubCH0<> gmsex■exeが、リネージュ資料室さんのリストでは、exe単体になってたので
呼び出し元を確認するために「dyparagon」でぐぐって見ました。
※※※ 迂闊にドメイン名全部でぐぐると、ちょくせつそのサイトのTOPページを
※※※ 開こうとするので大変危険です。ご注意下さい。
# Malware Block List - http://www.malware.com.br
# Generated at: 20080101002027 UTC
とか言うものが出てきて、その中に、このサイトのドメイン名が含まれていました。
アカハック以外のものも含んでいると思いますが、防ぐべき対象のリストとして
結構有効に感じました。TOPページから、新規登録要請のフォームもあるようだし
これ、上手く活用できないかな。
ttp://www.malware.com.br/cgi/submit-agressive?action=list&type=agressive <>
(○口○*)さん<>sage<>08/01/01 12:56 ID:sC4hBMya0<> >>185
ま、スクリプトに関しては6引いたのをブロックできたとして
6足したら? 5引いたら? とか正直言ってきりがないので
バイナリのみ阻止できりゃいいやというスタンスで
バイナリしか検体送ってないです。 <>
(○口○*)さん<>sage<>08/01/01 12:58 ID:sC4hBMya0<> アカハックとは関係ないけど、Happy New Year 2008みたいなのが
メールでバンバン届いてるので注意。
ttp://www.avertlabs.com/research/blog/index.php/2007/12/24/merry-christmas-nuwar-style/
ttp://www.avertlabs.com/research/blog/index.php/2007/12/25/and-a-happy-nuwar/
ttp://blog.trendmicro.com/happy-stormy-new-year/ <>
(○口○*)さん<>sage<>08/01/02 09:37 ID:z9fTc/Vr0<> http://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/235
総合スレから移動
>235 (^ー^*)ノ〜さん sage New! 08/01/02 09:19 ID:dSlhvypO0
>>一般的なセキュリティ対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。
>前から思ってたが「総合対策スレ」なのに
>なんで対策まで隔離されるという変な事態になってるんだろ?
>
>>※ ネタや程度を超えた雑談・脱線はご遠慮ください
>あと、即誘導コピペを貼る潔癖症の人は
>度が過ぎなければテンプレ許容範囲だということも覚えておこうね。
一部、読み落としてやしませんかね。理由もちゃんと書かれてますよ。
誘導してんのは潔癖症という以上に、セキュスレの方がコメントし易いって事情もある。
|重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
相談・分析・対策・一般話題・雑談がごちゃまぜになり、使いにくくなった為に、相談の上
セキュスレ(雑談スレ)が分離された。その後、相談への対応も、セキュスレが適当って
ことになってきてる。
総合スレが、まとめの役割を果たしてるかどうかってことはちょっと疑問だけどね。 <>
(○口○*)さん<>sage<>08/01/02 11:23 ID:o2GLY2mF0<> やっぱりあそこを雑談おkのこのスレ状態にして、
URL情報はもう一個にゅ缶に別スレ建ててもらってのスタイルのがいいかなぁ?
やっぱりにゅ缶の方が目に付くし、危機を感じた人は「ハック」とかで検索すると思うし。 <>
(○口○*)さん<>sage<>08/01/02 11:34 ID:z9fTc/Vr0<> >>190
RO板、LiveRO板TOPの誘導はちゃんとセキュスレになってるよ。 <>
(○口○*)さん<>sage<>08/01/02 11:44 ID:o2GLY2mF0<> あるけど、専ブラが多くて見れないor気付かない人って多いんじゃないかねぇ <>
(○口○*)さん<>sage<>08/01/02 12:32 ID:z9fTc/Vr0<> それはそれで総合スレのテンプレ読めで済ます所かと。 <>
(○口○*)さん<>sage<>08/01/02 12:51 ID:SQWk5P5j0<> 散々言われてるが向こうのスレタイが紛らわしいからな
アカウントハックURL収集所みたいにしたほうがいいんじゃまいか
こっちのスレもスレタイにアカウントハックの文字いれたいけど長すぎるかw <>
(○口○*)さん<>sage<>08/01/02 13:22 ID:z9fTc/Vr0<> 総合スレ236
>いろんな角度から対策を検討するスレであって、対策方法を聞きにくるスレではない。
>というのが私の認識だけど、あってる?
対策を聞きに来るスレじゃないってのは同意。こっちのセキュスレが担当。
対策の検討も…セキュスレぽい気がする。
検討の結果を貼り付ける、アカハックと断定できている事例について、危険アドレスなどを
まとめる人が確認しやすいような仕方で書いておくスレになってるかな>総合スレ
正しい使い方というか、有効な使い方かどうかは疑問の余地があるけど。
前スレ末尾に出てきたように、スレの使い分けは、まだ完全に固定化できてないので
こっちで話し合って、その結果をゆっくり反映させていく方向じゃないかな。 <>
(○口○*)さん<>sage<>08/01/02 18:19 ID:PLIKX+WC0<> 誘導されて参りました。
すみません、どなたかご教授ください
www■noely■blog88■fc2■com/blog-entry-249■html
上記のサイトを踏んだら変なエフェクトと英文字が出てきて消えたのですが、
ハック等の恐れはありますでしょうか? <>
(○口○*)さん<>sage<>08/01/02 18:55 ID:KBF2MwwD0<> 質問があるので書き込ませていただきます。
【 気付いた日時 】 1/1
【不審なアドレスのクリックの有無 】 RO.Engineでサイト閲覧中にクリック
【 アドレス 】http://solarer■blog34■fc2■com/
【 OS 】WindowsXP Home SP2
【使用ブラウザ 】Sleipnir2.6.1
【WindowsUpdateの有無】 常時確認(自動通知が表示されたらすぐ更新)
【 アンチウイルスソフト 】 ウイルスバスター2007(今年8月末まで更新済み)
【その他のSecurty対策 】 オンラインスキャン
【 ウイルススキャン結果】 下記に詳しく書きます。
【テンプレの参考サイトを読んだか】 YES
【hosts変更】無
【PeerGuardian2導入】アドレスを踏む前は無。クリーンインストール後に導入。
導入するとき、リネージュ資料室とROアカウントハック報告スレのまとめ?サイト
を参考に設定を行いました。
【説明】
上記アドレスを踏んだ瞬間、ウイルスバスターの常時ウイルススキャンが
反応。「VBS_PSYME.BFYを隔離しました」というポップアップが現れました。
その後、隔離されたファイルを削除しました。
そのときはそれで終わるつもりだったのですが、ROサイトでのこともあり、上記
アドレスのソースチェックと、テンプレの危険ホストを照らし合わせてみると、
www■teamerblog■com/blog/ という危険サイトが仕込まれていることがわかり、
すぐに回線を抜きました。
前置きが長くなってしまいましたが、ここからが質問です。
クリーンインストールを行った後、ROのパスワード変更・ROへのログインを行った
のですが、PG2でブロック履歴が出てしまいました。
名前が「Korea」「Taiwan」となっており、送信元が無線LANのルーターのアドレスに
なっています。
これはまだトロイが取り除けてないということなのでしょうか? スレ内を検索してみ
ましたが、いまいち分からないので質問させていただきました。 <>
まとめ臨時 ◆kJfhJwdLoM<>sage<>08/01/02 19:30 ID:ryn7Nvy90<> >>196
素人ながら上記アドレスをソースチェッカーとaguse.jpで調べてみました。
なにやら自動転送でFC2のブログサイトに跳んでいるみたいです。
ソースで手繰ってみても変なものは見当たらなかったですが
罠URLやら変なものは特に何も無いと思われます。
それ以上のものが仕込まれていたら当方判りません。
あとソースチェッカーの右下の方に出るキャッシュの文字に
"何か適当なブログ"とありましたのでふと聞き覚えがあったので思い当たり
Googleで検索をかけるとダブルメギン持ちの日記サイトが出てきました。
ttp://noely■blog88■fc2■com
どこのサイトで記述されたURLを踏んだのか判りませんが
単にアドレスの記入ミスでFC2のブログページに転送した時の挙動や
広告ブロックリストに登録されている部分があるようなので、
そこで引っかかったのかも?
心配ならカスペルスキーオンラインスキャンの実行と
PG2やhosts対策をテンプレを読んで試してみてはいかがでしょうか? <>
(○口○*)さん<>sage<>08/01/02 19:35 ID:z9fTc/Vr0<> 総合スレ238
>>196
存在しないので、fc2のエラーページに飛ばされるだけ。
転送しますって表示のページに文字コードが指定されていないので文字化けしただけだろ。 <>
(○口○*)さん<>sage<>08/01/02 19:42 ID:z9fTc/Vr0<> >>197
>名前が「Korea」「Taiwan」となっており、送信元が無線LANのルーターのアドレスに
>なっています。
サイトの閲覧(WikipediaやPC部材のメーカー等でも)をした際にブロックされる可能性はあります。
安全である保証はできませんので、ブロックされたIPの所有者を確認するなどの方法で
自分で判断することをお勧めします。
IPがどこのものかチェックするのに、わたしはこんなページを利用しています。
http://www.iphiroba.jp/ip.php
殆どのアカハックは中国宛になると思いますので、関係無いサイト等の表示や
各種アプリが、起動時に最新情報をチェックする時などをブロックした履歴かも
しれません。ブロックしたIPにもよりますが、スレのテンプレにあるアドレスが
失効したドメインだったりすると、ブロック履歴に残ることがあります。 <>
まとめ臨時 ◆kJfhJwdLoM<>sage<>08/01/02 19:58 ID:ryn7Nvy90<> >>ttp://noely■blog88■fc2■com
でもaguse.jpで表示されるスクショはなぜか真っ暗なんですよね…。
何かワンクッション在るのかなあ・・・とか。
>>197
HDDを完全フォーマットするクリーンインストールをした後で
罠サイトを踏んでいなければ問題は無いはずです。
ただ…当方PG2を入れていますがアトラクションセンターに跳んだ時に
PG2でガードされたことがなかったりします。
なので安心できる回答をすることが出来ませんが
PG2でブロックされるIPが >>3 に書かれているPG2用RO許可リストのIPであれば
許可してしまってよろしいのかも…?
いい加減なレスで申し訳なく。
もっとえらい判る解説できる人よろしくお願いします。 <>
まとめ臨時 ◆kJfhJwdLoM<>sage<>08/01/02 20:10 ID:ryn7Nvy90<> >>199-200
簡潔ですごい判りやすいレスが。本当にありがとうございます。
蛇足ですが、まとめ臨時でまとめてあるアドレスも
失効された物について確認や削除はしていなかったりします。 <>
197<>sage<>08/01/02 20:22 ID:KBF2MwwD0<> レスありがとうございます。
>>200
ブロックされたIPを、教えていただいたサイトで検索してみました。
どうやらスパムなどでよく使われる有名なドメインらしく、中にはどこかの大学
の名前まで出てきました。
油断はできないですが、ちょっと気分が楽になりました。
>>201
クリーンインストール後は、ROに関係したブログサイト自体を見ることを自粛
していますし、見ていて「おや?」と思ったこともないので、多分大丈夫だと思い
ます。
>>ただ…当方PG2を入れていますがアトラクションセンターに跳んだ時に
>>PG2でガードされたことがなかったりします。
ブロックされたときは、RO終了後〜ブロックに気づくまでの間だったような気が
します。アトラクションセンターでは特に問題はありませんでした。
>>PG2用RO許可リスト
先ほどからウィキペディアなどでもはじかれてしまうので、様子を見ながら設定
してみようかと思います。
こういったことは初めてだったので、ちょっと神経質になりすぎていたかもしれま
せん。安全かどうかは、もう少し様子を見てから判断したいと思います。
答えてくださった方、ありがとうございました。 <>
(○口○*)さん<>sage<>08/01/02 21:48 ID:PLIKX+WC0<> >>198 >>199
お返事ありがとうございます。
URLは
http://noely■blog88■fc2■com/blog-entry-249■html
でした。張り間違えてすみません。
安全なブログサイトという事で大丈夫そうですね。
どうもありがとうございました。お手数おかけしました。 <>
(○口○*)さん<>sage<>08/01/03 16:07 ID:OgA177iD0<> ウイルスバスター2008を使ってるんですが、ウイルスを検索して、検出数〜件
と出ているのに、検索終了後の処理済数では、〜より1件少ない処理数が表示されることがあります。
セキュリティホールではないようなんですが、これってどういうことなんでしょうか?
曖昧な質問で申し訳ないですが、ご存知の方がいたら回答をお願いします。 <>
まとめ臨時 ◆kJfhJwdLoM<>sage<>08/01/04 03:20 ID:9beCuvhb0<> 「ウイルスバスター2008 処理済数」でGoogle検索をかけると
二件目にこのような記事が。
http://aol.okwave.jp/qa3527830.html <>
まとめ臨時 ◆kJfhJwdLoM<>sage<>08/01/04 03:35 ID:9beCuvhb0<> >>205
アンカー付け忘れていました。上の記事がそんな感じです。 <>
(○口○*)さん<>sage<>08/01/04 03:38 ID:YAEYMR/Y0<> 【 気付いた日時 】 1月4日1時頃
【不審なアドレスのクリックの有無 】 クリック有り
【 アドレス 】http://www■irisdti-jp■com/blog/
【 OS 】WindowsXP Home SP2
【使用ブラウザ 】OPERA 9.25
【WindowsUpdateの有無】 常に最新。自動更新しても更新物無し
【 アンチウイルスソフト 】 AntiVir PersonalEdition Classic
【その他のSecurty対策 】 Spybot S&D、PC TOOL FIREWALL PLUS、非常駐でAD-Aware
【 ウイルススキャン結果】 AntiVirにて、'HTML/Infected.WebPage.Gen' [virus]発見
【テンプレの参考サイトを読んだか】 今から読みます
【hosts変更】
【PeerGuardian2導入】無
【説明】踏んだ直後にAntiVirの警告を受け、Deny Accessを選択。
すぐにスキャンし発見したのを削除。
別PCにてID等変更済み。
一昨日スキャンした際には何も発見されなかったのですが、これで駆除しきったと言えるでしょうか?
気づいたらこんな時間に・・・orz <>
208<>sage<>08/01/04 03:43 ID:YAEYMR/Y0<> >【WindowsUpdateの有無】 常に最新。自動更新しても更新物無し
× 自動更新
○ 手動更新
ついさっきSpybotのスキャンも完了。
virtumonde[13]、virtumonde[46]でチェック中にエラーが発生したほかはスパイウェア無し。 <>
まとめ臨時 ◆kJfhJwdLoM<>sage<>08/01/04 04:16 ID:9beCuvhb0<> 確実に安心安全な状況にしたい場合は
テンプレの >>6 に在りますようにクリーンインストールしたほうが確実です。
既出の罠サイトですし駆除できた可能性もありますが
定評のあるカスペルスキー等でも
仕込まれていたウイルスが差し替えられたり、
新種になっていたりしてすり抜けられてしまう可能性等もありますし
こちらからはPCから駆除しきれたかどうか確認が出来ないので
確実なOSの入れなおしが推奨されています。 <>
(○口○*)さん<>sage<>08/01/04 06:35 ID:U+8cEfy70<> >>208
>一昨日スキャンした際には何も発見されなかったのですが、これで駆除しきったと言えるでしょうか?
駆除できた可能性は高いが保証はできない。 <>
(○口○*)さん<>sage<>08/01/04 06:55 ID:U+8cEfy70<> >>208
テンプレに沿った適切な相談に好感を持ったので、ちょいと調べて見ました。
ttp://www■irisdti-jp■com/blog/
ttp://www■caremoon■net/blog/index1■htm
ttp://www■caremoon■net/blog/send■exe
ttp://www■caremoon■net/blog/f2■exe
ttp://www■caremoon■net/blog/reak■exe
AntiVirでの検出名
index■htm : HTML/Infected.WebPage.Gen
index1■htm : HTML/Dldr.NSAnti.B
send■exe : TR/Copiet.B.1
f2■exe : TR/Spy.Agent.ash
reak■exe : TR/PSW.Magania.bph
呼び出し順序
->index■htm
-->index1■htm
--->send■exe
--->f2■exe
--->reak■exe
>>208の投稿を見ると、ブロックしたのは'HTML/Infected.WebPage.Gen'なので
一番最初のindex.htmでブロックしている。その次のダウンローダや本体までは
入手していないと見るのが妥当。(保証はできないけど、多分、安心して良い)
踏んだ時刻が1:00頃で、この検体を確認したのが6:40頃なので、差し替えが
あった可能性はあるが、VirusTotalにかけたところ、全く同一(MD5が等しい)の
ファイルを確認した履歴が残っており、確認日もそれなりに古い為、今回は、
差し替えられていないと思う。ファイルの日付も12/24だし。
(f2■exeがよく差し替えられるが、VirusTotalで1/3に確認されているものとMD5一致)
参考までに、VirusTotalにかけた結果。
index■htm:ttp://www.virustotal.com/analisis/1562cdd16d440377c715584c72cc0f04
index1■htm:ttp://www.virustotal.com/analisis/0a5ad61be2df5402628713274052bd0e
send■exe:ttp://www.virustotal.com/analisis/265f87493774a98b3a924ce7d200bcc4
f2■exe:ttp://www.virustotal.com/analisis/866ccf90e821f152ff6ebd862ef8dbc3
reak■exe:ttp://www.virustotal.com/analisis/9c7567b17ac97eacf721f7e31ad3acb8 <>
(○口○*)さん<>sage<>08/01/04 11:03 ID:U+8cEfy70<> リネージュ資料室の更新情報より。最近更新されたもの。
systemin■scrはカスペすりぬけ。各社に検体提出済み。
他のセキュリティソフトも、ファイル差し替えで検知できなくなっている可能性あり。
ttp://777■za123■cn/cc/999■exe
ttp://mail■8u8y■com/ad/pic/temp■exe
ttp://u■uu500■com/a8da234k8asdf■exe
ttp://www■hosetaibn■com/cgi-bbs/
ttp://www■mebertw■com/cgi-bbs/
ttp://www■qyytw■com/jpt1/main■htm
ttp://www■qyytw■com/jpt1/real■htm
ttp://www■qyytw■com/jpt1/Ms06014■htm
ttp://www■qyytw■com/jpt1/test■cur
ttp://www■qyytw■com/jpt1/jpt1■exe
ttp://www■twurbbs■com/
ttp://www■gamanir■com/systemin■scr <>
(○口○*)さん<>sage<>08/01/04 11:13 ID:QxLfcE9B0<> 8u8y(略)temp■exe って落ちてくる? こっちでは「This domain has been blocked」。
資料室でも(exeならapplication/octet-stream)のはずなのにtext/htmlになってる。
頻繁に更新チェックしてる俺らだけ蹴られたのか、単純に海外総蹴りなのか…。 <>
(○口○*)さん<>sage<>08/01/04 11:26 ID:U+8cEfy70<> >>214
ダウンローダで落としたら来たよ。hosts辺りでブロックしてない?
8u8y(略)temp■exe
カスペ検出名:Backdoor.Win32.Agent.dev
AntiVir検出名:TR/Crypt.FKM.Gen
http://www.virustotal.com/analisis/dcaed977059f951d043d1f9f866beb0c
VirusTotalではPrevx1以外は全ソフトで撃墜してるので、さほど心配する事ないかも。
んでもって、カスペさんから返答。カスペでも、ようやく0サイズのifram呼び出しがブロック対象かな。
index.htmk - Trojan-Downloader.HTML.IFrame.dd,
systemin.scrk, maikmr■exek - Trojan-PSW.Win32.OnLineGames.myi,
index.htmk - Trojan-Downloader.HTML.IFrame.de
ttp://mail■8u8y■com/ad/pic/temp■exe
こっちは、悪性のコードなしだそうな。VirusTotalでも全ソフトでスルーしてる。 <>
(○口○*)さん<>sage<>08/01/04 11:54 ID:QxLfcE9B0<> ブロックはしてない。
あちゃー、資料室や俺が蹴られてるのかw
(ISPはOCN)。他の人に任せます。 <>
(○口○*)さん<>sage<>08/01/04 13:01 ID:U+8cEfy70<> 総合スレ241
寝言は寝て言えやw ROのアカハックじゃないからセキュスレ行けという意図なのか?
>>216
検体入手ブロックされてんのかって思える時もあるけど、リトライ繰り返させれば
大抵は落ちてくるんだが。
「This domain has been blocked」ってメッセージは見た事無いが、プロクシか
セキュリティソフトのWebフィルターで危険なドメインとしてブロックしてないだろうか。
多分、なんかのフィルタがかかってると思うぞ。 <>
(○口○*)さん<>sage<>08/01/04 14:14 ID:U+8cEfy70<> 総合スレ243
スレの方針・使い分けについての話はこっちが担当ですよと。 <>
205<>sage<>08/01/04 14:16 ID:tnGBhVWC0<> >>206 >>207
質問は友人宅のPCからしたのでID変わってますが…
なるほど、同じのが検出されているってことなんですね。
てっきり2008で処理できないウイルスかと…
わかりやすい回答ありがとうございました! <>
(○口○*)さん<>sage<>08/01/04 15:37 ID:QxLfcE9B0<> >>217
mail■8u8y■com/ad/pic/temp■exe
これ落としてメモ帳で見るとただのテキストで
「This domain has been blocked」ってなってない?
なってないなら俺とかの一部ホストが蹴られてる
(IrvineでもWWWDでのHTTPヘッダ取得でも変わらん)。
検体収集PCなのでXPSP2付属のFWしか使ってないし
ISP側でのオプションも設定せずhostsもXPインスコ時のまま。 <>
(○口○*)さん<>sage<>08/01/04 15:53 ID:U+8cEfy70<> >>220
あ、なってた。28バイトだし、そこまで見てなかったな。道理で危険なコード入ってない訳だ。 <>
(○口○*)さん<>sage<>08/01/04 16:00 ID:QxLfcE9B0<> >>221
んじゃ国外蹴ってるのかもね〜。VirusTotalに投げたんかいw <>
(○口○*)さん<>sage<>08/01/04 16:11 ID:U+8cEfy70<> ドメインからIP検索かけて見た。出てきたIPの管理者はカナダのものらしい。
どうやら、ドメイン失効(メッセージからすると停止?)に伴って、ファイルが見えなくなって、
リネージュ資料室の更新チェックで変化があったと検知しただけぽい。
Comment: ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE
RegDate: 2001-01-04
Updated: 2006-11-20
# ARIN WHOIS database, last updated 2008-01-03 19:10
復活しなければ、mail■8u8y■comはhosts等から外しても良さそうだが、入れっぱなしでも
実害はないので放置していいと思う。 <>
(○口○*)さん<>sage<>08/01/04 16:12 ID:U+8cEfy70<> >>222
うむ。なーんも考えずに検体提出の中にも混ぜといた(笑)
各社の担当者の皆さん、ごめんなさい。 <>
(○口○*)さん<>sage<>08/01/04 17:11 ID:jL6lBza30<> 858 名前:(^ー^*)ノ〜さん[sage] 投稿日:08/01/03(木) 23:08 ID:PA8IQZey0
http://www.mmobbs.com/uploader/files/3999.jpg
859 名前:(^ー^*)ノ〜さん[sage] 投稿日:08/01/03(木) 23:36 ID:xMgjcLNz0
暫くスレの反応見てからじゃないと押せない俺が居る
860 名前:(^ー^*)ノ〜さん[sage] 投稿日:08/01/03(木) 23:42 ID:u1BWyxuS0
jpegは最近ウィルスの可能性高いから怖いよな
中身はちょっと前にボススレやバグスレで釣りに張られてた、不良在庫の血鉄球を大量に持ってるだけのSSだ
861 名前:(^ー^*)ノ〜さん[sage] 投稿日:08/01/03(木) 23:42 ID:FUcxUz9v0
>>859
>>858はアカハックだから気をつけてね
jpgだから大丈夫だとおもったのにorz
何も言わずにURLだけ書いてるなんて怪しすぎると気づけよ、俺
本当にまったく無知なんだがこれって垢ハクですか? <>
208<>sage<>08/01/04 17:14 ID:YAEYMR/Y0<> >>210 >>211 >>212
丁寧かつ迅速な回答ありがとうございます。
index■htmからさらにメインのとなるトロイがダウンロードされるのですね。
意味があるかは分かりませんが、一応踏んだ時間前後のSpybot-SD Residentのログを晒してみますと、
2008/01/03 18:40:32 許可 (based on user decision) value "{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}" (new data: "") 追加 in Browser Helper Object!
2008/01/04 15:41:29 許可 (based on user decision) value "PeerGuardian" (new data: "C:\Program Files\PeerGuardian2\pg2.exe") 追加 in System Startup user entry!
2008/01/04 15:41:33 許可 (based on user decision) value "SunJavaUpdateSched" (new data: ""C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"") 追加 in System Startup global entry!
3日の奴がちょっと気になりますが、少なくとも4日深夜以降にレジストリをいじられてはいない?
今後の対策としてPG2によるhostsの導入をしてみました。 <>
(○口○*)さん<>sage<>08/01/04 17:15 ID:Ymz0jrKt0<> とりあえずLisa鯖と言うことだけ判った <>
(○口○*)さん<>sage<>08/01/04 17:24 ID:U+8cEfy70<> ※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※
・危険性があるURLは必ず「.」を「■」に置き換えて貼り付けください。 <>
(○口○*)さん<>sage<>08/01/04 17:25 ID:QxLfcE9B0<> >>225
違う。ただのjpg画像(HTTPヘッダでContent-Type: image/jpeg)。 <>
(○口○*)さん<>sage<>08/01/04 17:31 ID:U+8cEfy70<> >>225
単純に答えてもしょうがないのでテンプレから引用しとく
| ・偽装jpg対策(IE7とIE6SP2限定。IE6SP1以前では出来ない)
| :インターネットオプション→セキュリティ→レベルのカスタマイズ
| →「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする
この設定をしておけば、HTMLを偽装jpegで開こうとして、罠を発動させることはなくなる。
(脆弱性を付く場合は別として)
>>225のような嘘情報で惑わされるような奴は、テンプレ読むことからやっていこうな。 <>
225<>sage<>08/01/04 17:42 ID:jL6lBza30<> ここの住人の優しさに泣いた
丁寧に答えていただきありがとうございました
勉強してきます <>
(○口○*)さん<>sage<>08/01/04 20:44 ID:av7/Fth20<> PeerGuardian導入してみたんだけど
RO垢ハックまとめのリストとLineage資料室の2つ
ついでにググルで見つけた中韓香のIPリストの計4つを登録したら
ブロック数が9億近くになってるんだけどこれで正常なの? <>
(○口○*)さん<>sage<>08/01/04 20:46 ID:Ymz0jrKt0<> RO垢ハックまとめリストは登録してないけど、約1.6億あるな <>
(○口○*)さん<>sage<>08/01/04 20:53 ID:av7/Fth20<> dクス。
中韓香リスト無効にすると1.6億弱だからこれでいいのかな。 <>
(○口○*)さん<>sage<>08/01/05 02:34 ID:TJBEulRc0<> 【 気付いた日時 】 1/4
【不審なアドレスのクリックの有無 】 有。思いっきり踏んだ・・
【 アドレス 】www■articlelin■com/wiki/
【 OS 】WindowsXP Home SP2
【使用ブラウザ 】IE6.0 SP2
【WindowsUpdateの有無】 有。手動で試しても最新
【 アンチウイルスソフト 】 McAfee VirusScan
【その他のSecurty対策 】 カスペルスキーオンラインスキャン
【 ウイルススキャン結果】 上二つどちらも検出無し。
【テンプレの参考サイトを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
初めに踏んだ際に、表示に時間かかるなーと思っていたら
「ページを表示できません。」になる。(このときマカフィー反応無し)
しかし30分後ぐらいに二度目踏んだ際に警告がでる。内容は「コンピュータ上で実行されている
スクリプトから項目が検出され、削除されました。検出名:VBS/Psyme(ウイルス)」
といった感じ。
その後念のためスキャンするも検出無しだったんですが
一度目に反応なかったので不安なのですが大丈夫でしょうか・・ <>
(○口○*)さん<>sage<>08/01/05 07:49 ID:3PtTw2DI0<> >>235
>一度目に反応なかったので不安なのですが大丈夫でしょうか・・
誰も、大丈夫ですという保証はできません。可能性があるかどうかという観点で指摘できるだけ。
最初に踏んだ後、検知する前までの間に、パスワード入力とかしてたら、危険な状態である可能性が
ありますので、安全な環境からのパスワード変更をお勧めします。
安全な環境の作り方はテンプレ参照。
ttp://www■articlelin■com/wiki/
ttp://www■panslog■net/wiki/index1■htm
ttp://www■panslog■net/wiki/send■exe
ttp://www■panslog■net/fc2/cery■exe
ttp://www■panslog■net/wiki/reco■exe
->index■htm
-->index1■htm
--->send■exe
--->cery■exe
--->reco■exe
index1■htmのマカフィーでの検出名が「VBS/Psyme」
二回目に関しては、メッセージからすると、このダウンローダをブロックしている筈なので、
下3つの本体入手に至っていない可能性は高い。(VirusTotalに投げた結果は、12/31に
投げたものと同一で、その時点でマカフィーで検知可能だったということになっていた)
一回目に関しては、タイムアウトでindex1■htmの表示に至ってすらいなかった
「可能性はあるが、保証できない」。危険な状態の可能性もある
(最初のindex■htmが差し替えられており、飛ばし先が別だった可能性もある) <>
(○口○*)さん<>sage<>08/01/05 07:49 ID:3PtTw2DI0<> (続き)
マカフィー/カスペの検出名
index■htm : AntiVirでは検知するが、他社は殆ど無視する。
index1■htm : VBS/Psyme / Trojan-Downloader.VBS.Agent.hi
send■exe : PWS-Lineage.dr / Trojan-PSW.Win32.Delf.aih
cery■exe : New Malware.aj / Trojan-PSW.Win32.OnLineGames.lyx
reco■exe : − / Trojan.Win32.Inject.ms
reco.exeについては、VirusTotalの表示だと12/25のスキャンではすり抜け。
再スキャンさせた所、現在のパターンでもすり抜けている。12/28に検体提出して
いるものと同じなので、多分、もう暫くすれば対応するとは思うのだが・・・
(こいつはNOD32もすり抜けています)
もし、本体を踏んでいた場合でも、カスペのスキャンなら全部撃墜できる筈。
だから、発動させた後に、検知阻害のなにかが働いていなければ、何も出てこないなら、
安全な「可能性」はある。しかし、保証はできない。
(アドレスが差し替えられていた場合、検知できない何かを入れられていることも
十分にあり得る。早ければ5分で差し替えとかあるし)
不安が残るならOSの入れなおしから。
上記の確認情報を見て、安全である可能性を信じるなら、自己責任でどうぞ。
(盲目的に)信じるものは、(足元を)救われます。 <>
(○口○*)さん<>sage<>08/01/05 18:40 ID:M31FL7Dw0<> ttp://www.st.ryukoku.ac.jp/~kjm/security/memo/2008/01.html#20080105_RealPlayer
RealPlayer11にバッファオーバーフローの脆弱性があるらしい
パッチはまだない <>
235<>sage<>08/01/05 22:24 ID:TJBEulRc0<> >>236,237
やはり不安なのでパス変更とOSの入れ直ししたいとおもいます。
丁寧にありがとうございました。 <>
(○口○*)さん<>sage<>08/01/07 08:32 ID:7k1MFHtA0<> リネージュ資料室の更新情報から、差し替えがあったらしいもの。
Virustotalで、カスペは全ての本体を撃墜していました。
うちのカスペは何故か、999■exeと、fenrir■exe、index1■htmがすりぬけるなーと思って
パターンの更新かけたらようやく検知するようになりました。パターンの更新を怠ると、
セキュリティソフト入っていても無意味だってことの、いい実例ですね。
パターン自動更新だったんだけど、更新前に新種が入ってくるとだめですね(苦笑)
JavaScriptでsetup■exeを直接ロードしようとするhtmを、VirusTotalでは
全部スルーしていましたが、本体をブロックできれば、それでよし。
ttp://777■za123■cn/cc/999■exe
ttp://www■gamesmusic-realcgi■net/
ttp://www■runbal-fc2web■com/
ttp://www■sakerver■com/real/index1■htm
ttp://www■berseek■com/real/ragna■exe
ttp://www■berseek■com/real/fenrir■exe
ttp://www■yinra■com/inf/
ttp://www■yinra■com/inf/setup■exe
999■exe : Trojan-Spy.Win32.Pophot.zp
index■htm : HTML/Infected.WebPage.Gen(AntiVir)
index1■htm : Trojan-Downloader.VBS.Psyme.ds
ragna■exe : Trojan.Win32.Inject.qk
fenrir■exe : Trojan-PSW.Win32.OnLineGames.lyx
index■htm : - (Not Detected)
setup■exe : Trojan.Win32.Inject.mu <>
(○口○*)さん<>sage<>08/01/07 23:00 ID:TUeH4RHc0<> Fenrir板派生の犬猫板(ttp://www■ro-fenrir■com/bbs/)が閉鎖されたのち、
アカハックアドレス(livedoor1■com)に繋がるようになってる模様。
新しいアドレスではないので対策済みなら問題ないとは思いますが、お知らせまでに。 <>
help<><>08/01/08 00:18 ID:n4tu2V5B0<> ROやりたいんですけど、ものすごく困ってます。
クライアントをDLして接続までは行くんですけど
アイテムの名前がでてなかったり説明がなかったり文字化けしてるんです
プロンテラで原因不明の原因でエラーがでて強制終了になります
エラーの中身は Ragexe.exeが何とかかんとか です。
一度アンインストールしてみたんですけど直りませんでした。解決法ないですか? <>
(○口○*)さん<>sage<>08/01/08 00:22 ID:2IFIcjAV0<> それは、こっちのスレの方が良いな
いろんなエラーに悩まされている人の相談室 その24
ttp://gemma.mmobbs.com/test/read.cgi/ragnarok/1198365438/ <>
(○口○*)さん<>sage<>08/01/08 00:42 ID:EUeXCbSl0<> >>242
Vistaなら、ProgramFiles以外にインストールしなおせ。基本的にはエラースレ行け。
そして、思いっきりスレ違いだ。セキュリティ関係ねー。
あ、いや、待てよ。Vistaのセキュリティ(改変対策)という意味では、バーチャルストアについては
一般的な話題になるんだろうか???
物凄い勢いで誰かが質問に答えるスレ Lv93
ttp://enif.mmobbs.com/test/read.cgi/livero/1199300213/480,519 <>
(○口○*)さん<>sage<>08/01/08 00:53 ID:B/9c+b2Q0<> >>241
実際にアクセスして試したのかい?PG2のログだけ見ていると見誤ってしまうぞ。
両ドメインともドメイン失効。つまり、誰かがDropCatchして同じサーバに
ドメインを向けてるだけ。断言は出来ないけど、両方安全。 <>
(○口○*)さん<>sage<>08/01/08 01:25 ID:EUeXCbSl0<> >>241
確認したけど、危険なサイトに飛ばされている訳じゃないよ。
この件は、前スレに出ていました。もうスレ流れてるので、手元のログから引用。
|839 (○口○*)さん sage 07/12/09 10:57 ID:fy9VHi1X0
|最近、PG2のログに、www■yohoojp■com が頻繁に出てくるのが
|気になっていたのですが原因判明しました。
|
|PG2反応時にnetstatの画面を見るとアクセス先は
|TCP ****:2806 www■ro-fenrir■com:http SYN_SENT
|
|RO環境を晒してみるスレテンプレのdxdiag画像があったアドレスが
|http://www■ro-fenrir■com/directx_shindan.gif であり、現在は404。
|専ブラでこのスレを開く度に反応していた模様。ただのドメイン失効かな。
|
|http://www■ro-fenrir■com -> 8■15■231■108
|http://www■yohoojp■com -> 8■15■231■108
|
|検出できない何かが残ってる訳ではなかったようで一安心。 <>
(○口○*)さん<>sage<>08/01/08 02:21 ID:CrJnrqcY0<> >>245、>>246
踏んだ本人です。他に被害がー、と思ったので>>241は友人に頼んで代理で書き込みをお願いしました。
その間にカスペスキャンしてましたが当然何事もなく一安心していたところです。
これからも油断せずにセキュリティはしっかりとチェックしようと。お騒がせしました。 <>
(○口○*)さん<>sage<>08/01/08 16:35 ID:BPqL5+3M0<> パッチスレ120にて罠アドレス貼り付けあり
jibaj■blog4■fc2.com
->www■rakurten■com/blog
-->www■wacacop■net/wiki/index1.htm (VBScriptによる罠ページ)
「楽r天」で既知のアドレス。
スクリプトはデコードしてない(=検体入手してない)ので、アンチウィルスソフトが
検出するのか見落とす可能性があるのかは不明。 <>
(○口○*)さん<>sage<>08/01/08 17:25 ID:2IFIcjAV0<> Rag板の過去ログを保存している ttp://www■ragcan■com/ だけど
PG2にリネージュ垢ハックサイトとしてブロックされるな
ドメイン無効とかで乗っ取られた? <>
(○口○*)さん<>sage<>08/01/08 17:40 ID:OdY/4j4Q0<> >>249
調べてみたが、>>246の最終オクテットが108→106になっているだけで、表示されるページはほぼ同様。
DropCatch済みなのか、それともeNom配下レジストラがDomainParkingしているのかは不明。
ブロックリストに追加されているのは、勘違いか、それとも万が一の危険性回避を考えた物かは知らない。 <>
(○口○*)さん<>sage<>08/01/08 21:55 ID:se8j8jry0<> >>248
wiki/
test■exe 2007/12/26
rost■exe 2007/12/07
send■exe 2007/11/27
古いので大丈夫だと思う。 <>
(○口○*)さん<>sage<>08/01/09 09:02 ID:p9IZhrwA0<> >>238 のRealPlayerで脚光を浴びた(笑)uc8010■com、
物としてはWoWとLotROのパス抜きだった模様。
ttp://www.mcafee.com/japan/security/virPQ.asp?v=PWS-Onlin