(○口○*)さん <><>08/03/14 18:48 ID:YP1hbvgt0<> ※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※

アカウントハックが横行する昨今、セキュリティに関して話し合いましょう。
・ウイルスソフトやスパイウェアチェックソフトなどの一般的な質問。
・アカウントハック対策に関しての討論など。
・セキュリティ関係の最新情報、ニュースなど。
・アカハックを踏んでしまった/アカハックと関係のないものを踏んでしまった時の相談
・アカハックに関してはRO板の総合対策スレでも回答しますが、極力こちらをご利用下さい。
・アカハックと関係無いものに関する相談が総合スレに書き込まれた場合、こちらに誘導を。
・危険性があるURLは必ず「.」を「■」に置き換えて貼り付けください。

アカウントハック総合対策スレ9
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/

■スレの性格上、誤って危険なURLがそのまま貼られてしまう可能性がある■
■URLを無闇に踏んで回らないこと。報告・相談はテンプレを利用すること■

現在のテンプレは暫定的なものです。スレの話し合いの結果はROセキュリティWikiへ。

・ROセキュリティWiki
  http://rosafe.rowiki.jp/

※ ID/Pass/サーバ/キャラ名等の情報は公開しないでください
※ ネタや程度を超えた雑談・脱線はご遠慮ください

・スレ立て依頼は>>970がしてください。反応がなければ以降10ごとに。

【過去スレ】
セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/ <>セキュリティ対策、質問・雑談スレ5 (○口○*)さん<>sage<>08/03/14 18:49 ID:YP1hbvgt0<> 【参考アドレス】
・ROアカウントハック報告スレのまとめサイト
  http://sky.geocities.jp/vs_ro_hack/
・hostsファイル追加分まとめサイト(臨時)
  http://sky.geocities.jp/ro_hp_add/
・安全の為に (BSWikiより)
  http://smith.rowiki.jp/?Security
・リネージュ資料室 (応用可能な情報が多数)
  http://lineage.nyx.bne.jp/
【このスレでよく出てくるアプリケーション】
・PeerGuardian2
  http://sky.geocities.jp/vs_ro_hack/pg2.htm
・WindowsUpdate
  http://www.update.microsoft.com/
【PCにウィルス対策ソフトを導入してない方へ】
・カスペルスキー:オンライン ウイルス&スパイウェアスキャナ
  http://www.kaspersky.co.jp/scanforvirus/
・Kaspersky Anti-Virus (体験版)
  http://www.kaspersky.co.jp/trial/
  http://www.just-kaspersky.jp/products/try/
・NOD32 アンチウイルス (体験版)
  http://www.canon-sol.jp/product/nd/trial.html
・ESET Smart Security(体験版)NOD32+FW機能
  http://canon-sol.jp/product/ess/trial.html
・AVG7.5 free(無料)
 http://free.grisoft.com/doc/download-free-anti-virus/jp/frt/0
・Avast4 HomeEdition(無料)
 http://www.avast.com/jpn/download-avast-home.html
・KINGSOFT InternetSecurty Free(無料)
 http://download.kingsoft.jp/kisfree/ <> (○口○*)さん<>sage<>08/03/14 18:49 ID:YP1hbvgt0<> ■PG2用 RO許可リスト■
RAGNAROK-JP:61.215.212.0-61.215.212.255
RAGNAROK-JP2:61.215.214.128-61.215.214.255
WEB-SYSTEM:61.215.220.64-61.215.220.255
RAGNAROK-JP2:211.13.228.0-211.13.228.255
GUNGHO-MODE:211.13.229.0-211.13.229.255
RAGNAROK-JP3:211.13.232.0-211.13.232.255
RAGNAROK-JP4:211.13.235.0-211.13.235.255
GUNGHO-PAT1:219.123.155.160-219.123.155.191
GUNGHO-PAT1:221.247.195.160-221.247.195.191
GUNGHO-PAT3:125.101.19.64-125.101.19.95
GUNGHO-PAT4:124.32.117.192-124.32.117.22

■セキュスレ2-969によるhosts更新支援スクリプト■

あこすれてんぷら避難所を間借りする事で公開しました。
ttp://acopri.s250.xrea.com/index.php?hostsRenewScript

一応説明を付けていますが、自己責任、という事でお願いします。
cfgとvbsの2ファイル構成で、動作に必要なwget等は付属してません。

※ 配布ページとファイルをよく読んで、【自己責任にて】 ご利用ください <> (○口○*)さん<>sage<>08/03/14 18:51 ID:YP1hbvgt0<> 【質問・相談の際の注意】
・誤クリックによる感染を防ぐ為、危険なアドレスは必ず .(ドット)を別の文字に
 置き換えて報告して下さい (■がよく使われています)
・質問前後にテンプレやまとめサイト等を見て知識を深めると更にGoodです
・回答者はエスパーでは有りません。情報は出来るだけ多く。提供した情報の量と質に
 応じて助言の量と質は向上します
・結局は本人にしかどうにも出来ない事を忘れてはいけません
・基本的な対処方法は、総合対策スレの>>5をお読みください。
 http://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/5

----------相談用テンプレ----------

【      気付いた日時          】 (感染?に気付いた日時)
【不審なアドレスのクリックの有無 】 (blog/bbs/Wiki等で踏んだ記憶の有無とそのアドレス)
【  アドレス   】www■xxx■yyy/index.htm(ドメインのドット(.)を■等で置き換える事。h抜き等は駄目)
【     OS    】WindowsXP Home SP2 (SP等まで正確に書く)
【使用ブラウザ 】IE6.0 sp2 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【 アンチウイルスソフト 】 (NortonInternetSecurity2007 等)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンで Trojan-PSW.Win32.〜 発見 等)
【テンプレの参考サイトを読んだか】 (Yes/No/今から読みます)
【hosts変更】(有/無 [有りの場合は最終更新は何時ごろか])
【PeerGuardian2導入】(有/無 [有りの場合は参照元サイトはどこか)
【説明】
(『怪しいアドレス』との判断した理由、症状を詳しく書く) <> (○口○*)さん<>sage<>08/03/14 18:51 ID:YP1hbvgt0<> 【安全対策の簡易まとめ】
以下は要点となります。詳しくは関連サイトを見てください。

 ・アドレスをホイホイ踏まない。よく確認する。
 ・出所の怪しいプログラムやスクリプトを実行しない。
 ・定期的なMicrosoftUpdate及び、各種ソフト(各種Player、Reader等)のアップデートを行う
 ・アンチウイルスソフトの導入とウイルス定義ファイルの積極的な更新を行う
 ・パーソナルファイアウォールソフト等を導入する
   ・hostsの利用した危険ドメインのブロック
   ・PeerGuardian2を使った危険IPのブロック など
 ・IEコンポーネント未使用のブラウザに乗り換える(Firefox、Opera等)
 ・IEを使う場合は下記を設定
  ・信頼できるSite以外ではスクリプトやActiveXを切る
   :インターネットオプションのセキュリティの部分で設定可能
  ・偽装jpg対策(IE7とIE6SP2限定。IE6SP1以前では出来ない)
   :インターネットオプション→セキュリティ→レベルのカスタマイズ
    →「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする <> (○口○*)さん<>sage<>08/03/14 18:53 ID:YP1hbvgt0<> ■なにか踏んだ時に取るべき対処■
0.解決するまで、ログインやパスワード変更を行なわない。踏んだ後にパスワード入力などを行なってしまった場合
  安全な環境(テンプレぽいものや、Ragnarok板側のテンプレ、Wikiを参照)からパスワード変更。

1.除去し、クリーンな環境に戻す
1−1.発見された場合。
それを削除して完了

1−2.発見されなかった場合
1−2−1.リスクを覚悟でそのまま使う(非推奨)
       リスクを減らす為に、NOD32、カスペなど複数のソフト(試用版が入手できる筈)でスキャンを繰り返し
       安全である可能性が高いことを確認すること。
       ただし複数のソフトを同時にインストールすると干渉してOSが不安定になる事があるので注意。
1−2−2.再インストール
メーカー製の場合、データのバックアップをとって、リカバリーをかける。
自作やショップブランドの場合、データのバックアップをとって、OSを入れなおす。

1−3.安全な環境にする
1−3−1.WindowsUpdateをかける
1−3−2.ウィルス対策ソフト・FW・PG2を導入し、設定する。
         (可能なら、スパイウェア対策のソフトも導入し、定期的にスキャンする)
1−3−3.セキュリティソフトの定義ファイルを最新にする。(当然定期的に自動更新する設定に)

1−4.環境を戻す
     バックアップした「データ」を戻す。各種ソフトを再インストール。
     その後、ウィルススキャンを再度実行。
     ウィルスはバックアップしたデータ内に潜んでいる可能性があります。

1−5.ガンホーIDを削除す…ではなくて、ようやくROをプレイできる環境になりました、おめでとう。 <> (○口○*)さん<>sage<>08/03/14 18:54 ID:YP1hbvgt0<> 【このリンクは危険?と思ったときに】
変なリンクを見つけた場合、次の方法でチェックしましょう。

1.まとめサイトやリネージュ資料室のhostsや危険ドメイン一覧で確認
 過去に見つかった罠サイトは、これらのサイトに載っています。
 まずはここに載っていないかを確認しましょう。

2.ソースチェッカーオンラインを使って調べる
 多少の知識が必要ですが、ソースチェッカーを使うことでリンク先を調べる事が出来ます。
 ソース内に怪しいコード・スクリプトが無いか調べましょう。
 ※安全か危険かの判断は自分で行う必要があります。
  また画像ファイルをチェックする場合、罠画像ファイルだと発動する恐れもあるので
  注意してください。

3.スレで質問する
 1.2の方法でも判断出来ない場合、スレで聞いてみるのも手です。
 ただし、このスレは『勇気が無くて見れないサイト解説スレ』ではありません。
 その点だけは注意してください。

質問・報告する場合は「.」を「■」に置き換えるのを忘れないようにしてください。 <> (○口○*)さん<><>08/03/15 18:54 ID:nbGUYR5e0<> mixiの足跡踏んで日記リンク見たらよくわからんサイトだったんだけど垢ハックの可能性あるのかな
ttp://kenko-y■blogspot■com/2008/03/i-can-not-understand■html
よくわからないんだけど誰か教えてください
URLチェックしてみたけど安全性87%とか残りの13%は危険ってことですかって感じでパニくってるんですが・・・ <> (○口○*)さん<>sage<>08/03/15 19:17 ID:kam+vWBa0<> アカウントハックとは関係なさげ。 <> (○口○*)さん<><>08/03/16 18:51 ID:eChWfIdA0<> 警察行って状況を話したんだけど
何かあったら連絡しますって言われた後は待ち続けたほうがいいの?
目安とかない? <> (○口○*)さん<><>08/03/16 18:59 ID:eChWfIdA0<> 警察に出向いて調査してもらったけど
復旧まで漕ぎ着けられなかったって方いる? <> (○口○*)さん<>sage<>08/03/16 19:11 ID:rtI/4ljr0<> 週一くらいで連絡したら?
何かあったら連絡します→何もなければ連絡しません <> (○口○*)さん<>sage<>08/03/17 02:45 ID:TyORplqk0<> このスレから質問スレに神聖が出張してきているんだが、
お持ち帰り願えないでしょうか? <> (○口○*)さん<>sage<>08/03/17 02:50 ID:b5WuP64p0<> そうやって逆に出張してくるのも神聖に見えると理解するべき <> (○口○*)さん<>sage<>08/03/17 02:53 ID:EHmW8B2d0<> 神聖スレでも手に負えないとかどんだけ <> (○口○*)さん<>sage<>08/03/17 03:08 ID:hTT9PMQP0<> >>10
仕事の都合上時々警察署の人とやりとりしてた頃の経験で言うと、忙しいとかで連絡忘れたりとか、
明日書類持って行きます→事件はいっちゃってまた後日〜→忘却、がたまにある。署によるけど。

受け付けてくれたのが交番ならすぐに話を始められるし、
警察署だったら電話受付の人がいるから、そのまま「内線○○番の○○さん」で呼び出し、
本人不在でも「○月○日、○課の○○さんに対応していただいた件で、
状況教えていただきたいんですが」とかいえば、
時間があるなら詳細を聞いてさがしてくれたり、担当者から折り返し連絡がもらえた。 <> (○口○*)さん<>sage<>08/03/17 03:41 ID:gCtHnp8A0<> 物質スレのこれだな。
無関係のスレに迷惑かけんなよ。

812 :(○口○*)さん :08/03/16 17:53 ID:iZFBhaH30
セキュスレ住人って気違い多いよな


813 :(○口○*)さん :08/03/16 17:57 ID:MB28daxc0
>>812
それは質問なのか?

820 :(○口○*)さん :08/03/16 18:45 ID:UVAwLPnx0
セキュスレ住人は誘導したがり多いからな <> (○口○*)さん<>sage<>08/03/17 17:12 ID:W05W7Vww0<> カスペ7.0MP1再公開
ttp://www.just-kaspersky.jp/support/v7mp1/ <> (○口○*)さん<>sage<>08/03/17 17:30 ID:Z1WDm9/+0<> 今回はすぐに入れずに様子見する <> (○口○*)さん<>sage<>08/03/17 19:22 ID:inC807Nh0<> おなじく <> (○口○*)さん<>sage<>08/03/17 21:01 ID:/fRRggOV0<> 前回のMP1でトラブルが一切出てないからそのまま使い続けてる俺はどうしたもんだか。
入れ直しした方がいいかねぇ? <> (○口○*)さん<>sage<>08/03/17 23:38 ID:qTiXeqCu0<> 【      気付いた日時          】08/03/16 23:00
【不審なアドレスのクリックの有無 】 mixiからコピペしようとして踏む
【  アドレス   】http://mx■ynjsj■com/ragnarokonline/p-t-00404-v03687/v0368700000000437727■wmv■zip
        及びhttp://mx■ynjsj■com
【     OS    】XP home SP2
【使用ブラウザ 】 firefox 2.0.0.12
【WindowsUpdateの有無】 先月位だったはず
【 アンチウイルスソフト 】ウイルスバスターcorp for windows server2003
【その他のSecurty対策 】 Spybot S&D
【 ウイルススキャン結果】 手動でrundll132.exeとrodll.dllを検索するも見つからず。
             その後spybotを使用。
【テンプレの参考サイトを読んだか】 パっと一通り読みました。詳しく読み直します。
【hosts変更】無
【PeerGuardian2導入】無

zip直リンクのほうは危険度が低いと思いますが、URLをチェッカーにかけようと思って
誤ってhttp://mx■ynjsj■comを踏んでしまいました。
ページ内に何があるか私には解析できないのでどなたかアドバイスをお願いします。
できる限りOS入れなおさない方向でと考えています。 <> (○口○*)さん<>sage<>08/03/18 00:04 ID:CUu+kq550<> >>22
http://mx■ynjsj■com/ は、現時点ではデータがない模様。(踏んだ時点は知らない)

VirusTotalにかけた結果は下記の通り。
zipを解凍して、wmvに見えるexeを実行した時点で発動させることになる模様。

v0368700000000437727■wmv■zip
HIDDENEXT/Worm.Gen(AntiVir)
Trojan.Inject.796(DrWeb)
Suspicious File(eSafe)
W32/Inject.AE!tr(Fortinet)

v0368700000000437727■wmv■exe
Trojan.Inject.796(DrWeb)
Suspicious File(eSafe)
W32/Inject.AE!tr(Fortinet)

発動させてるかどうかの保証はできないので、自己責任でそのまま使うか、OS入れ直しか判断するように。
検知可能な、Dr.Webのオンラインスキャン…は、ファイル単体なので、同じエンジンを使っているウィルスチェイサーの
とこでも利用しとけば比較的安心かも?

http://www.drweb-online.com/en/virustest.html
http://www.viruschaser.jp/support_online.html <> (○口○*)さん<>sage<>08/03/18 00:14 ID:+oeu1lDT0<> >>23
ありがとうございます。

zipは解凍していないので発動はしていないかと思われます。
ウイルスチェイサーを利用してみます。 <> (○口○*)さん<>sage<>08/03/18 04:17 ID:Jigb/BGw0<> 【      気付いた日時          】08/03/16 01:00
【不審なアドレスのクリックの有無 】 クリックして踏む
【  アドレス   】www■skywebsv■com/Blog/
【     OS    】XP Pro SP2
【使用ブラウザ 】 firefox 2.0.0.12
【WindowsUpdateの有無】 2週間前ほど
【 アンチウイルスソフト 】avast!
【その他のSecurty対策 】 ADaware
【 ウイルススキャン結果】 Avast検出なし。カスペオンラインでも実行したが検出なし。
DrWebのオンラインスキャンでもスキャン。検出なし。罠iframe先にあるexe(www■skywebsv■com/Blog/k1■exe)をDLしてきてスキャンしたら検出する。
【テンプレの参考サイトを読んだか】 できる限りの処置はないかと読みました。
【hosts変更】無
【PeerGuardian2導入】無

トロイがレジストリ改竄しそうな場所を確認したが素人目で問題なさげ。
踏んですぐURLで検索すると「リネージュ資料室」が見つかったので熟読。
PeerGuardian2導入して動向を観察する。
リネージュ資料室のブロックリストを追加してみると、
起動時とそれ以降不定期で「Korea 211.234.242.174 : 80 TCP」を頻繁にブロックしてた。
www■egloos■comっていう韓国のブログサービスぽいんだけど・・・
このサイトを踏んだために起きている挙動かは不明、、、

PeerGuardian2を利用して211.234.242.174を頻繁にブロックしてるのは俺だけなんだろうか・・・ <> (○口○*)さん<>sage<>08/03/18 10:33 ID:CUu+kq550<> >>25
2週間ほど前だと、中身が変わってる可能性高いので、参考にならないかも。現在exeは3/14のものになってますし。
不安が残るならOS再インストールコース。これ必須。そんな訳で検体提出行ってきます。

PG2に関しては設定しているリストや、常駐アプリ次第だったりもするのでパス。

ttp://www■skywebsv■com/Blog/
ttp://www■skywebsv■com/Blog/index1■htm
ttp://www■bluewoon■com/Blog/k1■exe

index.htm
  HTML/Infected.WebPage.Gen(AntiVir)
  HTML.Iframe-12(ClamAV)
  HTML.Infected.WebPage(Ikarus)
  Script.Infected.WebPage.Gen(Webwasher-Gateway)

index1.htm
  JS/Dldr.Noopt.1969(AntiVir)
  VBS/Psyme.FF(Authentium)
  JS/Downloader.Agent(AVG)
  JS/Dldr.Noopt.1969(CAT-QuickHeal)
  Downloader.AniLoad.nae(Ewido)
  VBS/Psyme.FF(F-Prot)
  VBS/Agent.EB!tr.dldr(Fortinet)
  Mal/Psyme-A(Sophos)
  Script.Dldr.Noopt.1969(Webwasher-Gateway) <> (○口○*)さん<>sage<>08/03/18 10:33 ID:CUu+kq550<> k1.exe
  Win-Trojan/Inject.42496.J(AhnLab-V3)
  TR/Inject.aex(AntiVir)
  Generic10.BAU(AVG)
  Trojan.Inject.796(DrWeb)
  Suspicious File(eSafe)
  Trojan.Win32.Inject.aex(F-Secure)
  W32/Inject.AE!tr(Fortinet)
  Virus.Trojan.Win32.Inject.aex(Ikarus)
  Trojan.Win32.Inject.aex(Kaspersky)
  PWS:Win32/Magania.F(Microsoft)
  Win32/PSW.Gamania.NAC(NOD32v2)
  W32/Inject.AWL(Norman)
  Mal/Generic-A(Sophos)
  Trojan.Inject.aex(Webwasher-Gateway) <> (○口○*)さん<>sage<>08/03/18 11:08 ID:RMPkaVXF0<> >>10 警察で話ししただけじゃないよね?ちゃんと届けだした?
ガンホーの方にも報告ねーアカウントハックの体験とか読んでチェックすべし

>>11 警察までいっても 登録情報が虚偽であったり
パスワードなどを他人に教えてたり(アカウント共有)した場合最悪
パスをもらした人が罪にとわれる場合もあるよ
あと共有してた友達が逮捕とかねー

あとは警察に届けた!けどだめだった!という報告自体が嘘で
借りパク詐欺ってのは最近ありそう 合言葉は「だってガンホーだし」 <> (○口○*)さん<>sage<>08/03/18 12:38 ID:Jigb/BGw0<> >>26
わざわざありがとう。2週間前なのはWindowsUpdateで、
踏んだのは2日前ですので同じexeだと思います。
そしてアドバイス?どおり常駐切っていったら211.234.242.174ブロックは
なくなりました。(グーグルデスクトップが原因だったぽい。)

クリックしてからexeダウンロードまで鯖が重いのか時間がかかるみたいなので
たぶん踏んだけど踏んでないような感じと判断することにしました。
(インラインフレームだからFireFoxだと無害かもですし。)

質問なんですが、もしexeに感染(起動)した場合、
ウイルスソフトは検出ってできるんでしょうか?
アカハックのウイルスexe(今回はk1.exe)自体はスキャンできても、
感染後の修復の為に検索した際、「感染してますよ」レベルでいいから
感知されるのかどうか・・・

って質問しすぎですな。
時間できたときバーチャルPCで自分で踏んで確かめてきますw <> (○口○*)さん<>sage<>08/03/18 14:00 ID:ttRLA9BE0<> >>27 見ればわかるだろ?
そこに出ていない物(ノートンとか)は(投稿時点では)検知しない。
まともなアンチウイスルベンダなら送られてきたk1.exeに対してのみ
パターンを作成するのではなく、k1.exeを実際に踏んで
レジストリやファイルがどう変わったかを調べた上でパターンを作成する。 <> (○口○*)さん<>sage<>08/03/18 14:56 ID:CUu+kq550<> あ、そうか。踏んだ時点が3/16なら同じexeの「可能性」がありますね。

踏んだ場合の検知
・そのファイルを書き込もうとした時点
・そのファイルを起動するためにメモリに読み込んだ時点
・発動して、レジストリなどになんらかの書き込みが発生した時点

セキュリティソフトを常駐させてれば上記のタイミング等で検知できる可能性がある。

レジストリなどに書き込まれている場合、exeが存在するだけの場合などは、その領域を
セキュリティソフトでスキャンした時点で発見される。

OS起動時にセキュリティソフトより前に起動し、セキュリティソフトの起動を阻害する形のものの場合
検知できないケースもあり得る。 <> (○口○*)さん<>sage<>08/03/18 18:45 ID:CUu+kq550<> セキュWikiの検体提出先修正

3/14〜3/18に送信したものが全て宛先なしで戻ってきた
Prevx(Prevx1) <virus@prevxresearch.com>

PrevxのHPからサンプルの送付先はどこかと質問した所、戻ってきた返答
VirusTotalに投げればOKとのこと。

|Hi,
|Please upload it at www.virustotal.com.
|Regards,
|Prevx Support <> (○口○*)さん<>sage<>08/03/19 00:51 ID:aoPWyb1W0<> niftyもtypo狙いの偽ドメインだけでなく、本体に被害が出始めた。

[セキュリティ]ニフティ、韓流コンテンツなどで改ざん被害、ウイルス感染の危険を警告(BCN) - Yahoo!ニュース
ttp://headlines.yahoo.co.jp/hl?a=20080318-00000022-bcn-sci

> ニフティ(和田一也社長)は、同社が運営するWebサイト「@nifty」のコンテンツの一部が不正に改ざんされ、閲覧しただけで
>ウイルス感染の危険があったと発表した。当該のコンテンツは「@nifty韓流」と「太王四神記公式ホームページ」の2つ。 <> (○口○*)さん<>sage<>08/03/19 07:06 ID:rpfTY6jI0<> >>32
やる気無いなぁw

F-Protの送信フォームも前から死んでるねぇ
ttp://www.f-prot.com/virusinfo/submission_form.html <> (○口○*)さん<>sage<>08/03/19 07:31 ID:JmBR6Dmt0<> 既出の質問かもしれません。だとしたら申し訳ありません。

→友人が昨日25時にアカハックURLクリック。
→友人,今朝6時半。アカハック踏んだ自宅PCでROにログイン。そのまま出社。
→私,7時。急いでその友人からログインIDとパスとキャラパス教えてもらい,計2キャラのキャラパス変更,空きスロ3に新規キャラ作成ならびキャラパス設定。
→私,7時。幸いな事に装備,倉庫は無事でした。←今ココ

そこですみません。二点ご質問が…。
この今の状態なら,IDとパスを使ってアクセスできても,キャラ選択画面から先に進む事は不可能でしょうか?

友人にこの後のすべき事を伝えたいのですが,今後は
ログインIDとパスワードの変更と,
>>6にあります1−2−2.以後に書かれてある作業を行えばよいのでしょうか。

これで合ってるのか不安で皆さんにお聞きしましたorz。 <> (○口○*)さん<>sage<>08/03/19 07:44 ID:JmBR6Dmt0<> すみませんでした。
総合スレのほうを一から見ていて自己解決しました。
先走ってしまってすみませんでした…。 <> (○口○*)さん<>sage<>08/03/19 08:18 ID:rpfTY6jI0<> Safari3.1正式版来てた。
ttp://www.apple.com/jp/news/2008/mar/18safari.html
ttp://www.apple.com/jp/safari/download/

Bonjourはよくわからんけど(UPnPみたいなもん?)外しておきましょう。

Firefox3より先に出るとは思わなかった。 <> (○口○*)さん<>sage<>08/03/19 08:56 ID:rpfTY6jI0<> VistaSP1正式版
ttp://support.microsoft.com/kb/936330/
x86 ttp://www.microsoft.com/downloads/details.aspx?FamilyID=b0c7136d-5ebb-413b-89c9-cb3d06d12674&DisplayLang=ja
x64 ttp://www.microsoft.com/downloads/details.aspx?FamilyID=874a414b-32b2-41cc-bd8b-d71eda5ec07c&DisplayLang=ja <> (○口○*)さん<>sage<>08/03/19 09:59 ID:BlT9+Fm30<> >>34
ああ、そっちは、問い合わせたら、今回はメールで送ってくれって返事来た。
その次はフォーム復活してたのでフォームで送ったが、また死んでるので、今はメールでも送ってる。

F-PROT Antivirus Technical Support <support@f-prot.com>

そういや、こっちも書き換えといた方がいいかもなー。 <> (○口○*)さん<>sage<>08/03/19 12:01 ID:rpfTY6jI0<> かなり前から、というかフォームが動いてるのを見たことがない。
post先のメールボックスがすんげー小さくて、満杯になったら
無効化される素敵フォームなんじゃないかと思ってる。 <> (○口○*)さん<>sage<>08/03/19 12:42 ID:aoPWyb1W0<> やる気の無いベンダーは、見捨てた方が会社にもユーザーの為にもいいんじゃないの。
選択されることが無くなれば、自然に淘汰される。 <> (○口○*)さん<>sage<>08/03/19 12:57 ID:rpfTY6jI0<> まー日本でF-Prot使う人はあまり(VBA32やVirusBuster並に)いないと思うので
その辺は趣味で。 <> (○口○*)さん<>sage<>08/03/19 19:12 ID:ClDTQZk90<> >>10
遅くなりましたが、前スレに体験をかいてきてますので、よろしければ。
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/629,670,671,740,755,774,983

昨日最寄署に出向いてまいりました。
ガンホーから取り寄せた資料、中身は文字も小さく見えませんでしたが
私が最終正常ログインした時間〜異常に気付いた時間までの
私のキャラの行動データをExcelに落としたもののようで、担当警官が読んでくれました。

まず、他者によって3回のログインがされていたこと。
1回目はINのみでOUTログがない(これはマクロ等の都合かもしれませんが理由不明)
2回目は5分前後、3回目は10分前後のIN-OUTとなっていました。

2回目のIN時はキャラの持っていたアイテム、所持金、カーと中身を全て別キャラに取引窓で渡し。
サブキャラにも全てそれを行ったあと、3回目のINをして
倉庫のアイテムを一部のゴミカード等以外全て取り出し、取引窓で取引していました。
露店に出してもすぐ高値で売れなさそうなものは全てNPCに売っていました。
作業スピードからいってマクロだろう、常習犯ではないかという話しになりました。

次にハックされた方法ですが、1月の連休時に連れが遊びにきてデスクトップ機を使っており、
その際踏んだと思われる日時でのトロイがハッキング発覚後のウイルスチェックで発見されたこと。
そのPCで使っていなかった別アカは無事だったことなど、詳しい状況を説明。

また、ゲームの経験が無い担当者ということで、ログインの手順や取引システムなどを説明し、
NPCとはなにか、どう使うのか、RMTとは何かを説明。
目的はとったZenyと、アイテムもおそらくZenyに変えてRMTで現金を得るのではないかと話しました。
非常に興味を持って納得してくれた様子で、またこの不正アクセスを行ったIP・ホストと
受け渡したキャラのIP・ホスト情報から捜査を進めてくれるとのことでした。

ちなみに、以前にもFF等で似た案件があったそうですが、
アイテムが帰ってくると「ありがとう、はいさようなら」なユーザーが多いそうです。
国際犯罪であり、組織的な可能性もあって裏に大きな犯罪組織があることもあるため、
その後も捜査協力して欲しいのだが…と愚痴っぽく話しておられましたので、
IT関係者でもあり日本円の海外流出問題は認識している。
なにかあれば、私のアイテムが戻ったあとも協力しますと伝えました。 <> (○口○*)さん<>sage<>08/03/19 19:18 ID:ClDTQZk90<> お話をしたのはだいたい一時間くらいでした。
真面目な捜査官でユーモアもあり、話しやすくて助かりました。
ガンホーとのやり取りの時系列と、警察とのやり取りの時系列を詳しく知りたがっていたので、
印刷環境のある人はガンホーとのやり取りを印刷してお渡ししたほうがいいと思います。
(無理なら、署のPCで印刷させていただくと良いです)
あとは、こちらも出来る限り情報提供の協力をするという姿勢が大事だと思います。
一緒にハックされた相方のことも調書に必要ということなので、
週末に会った時私から担当者に連絡を入れて電話をかわり、話してもらう予定です。 <> (○口○*)さん<>sage<>08/03/19 20:04 ID:wW2w8BMM0<> 乙です。これはありがたい報告。 <> (○口○*)さん<>sage<>08/03/19 21:03 ID:BlT9+Fm30<> 一般的話題なので総合スレから移動

|518 (^ー^*)ノ〜さん sage 08/03/19 18:22 ID:em6QsCyE0
|垢ハック・又は罠を踏んでから、OSの再インストールをせずにカスペル等で
|駆除した後被害にあった報告って今までにありました?

|519 (^ー^*)ノ〜さん sage New! 08/03/19 20:17 ID:pkeYl+BT0
>>518
|ありました。再インストがんば

駆除した際に、複数のトロイ等が入れられており、すり抜けたものが残ることがあり得る。
その場合、すり抜けたものによって、(一部)駆除したのに(残ったものによって)アカハックを食らうという
事例が発生する。

実際にそうなったという具体的な報告があったかどうかは記憶にないが、確認することもないだろう。

駆除できても、何かが残っている可能性があり、完全に安全な環境に戻ったという保証はできないので
踏んでしまったらOS再インストールコースというのが、セキュスレ・総合対策スレ共通の対処の指針だと思う。

検体確認し、検出名を報告してくれているのを見てすり抜けて残っているものが存在する可能性の程度を
自分で判断できる人が自己責任でどうこうするのは自由ですけどね。

>>43-44
報告乙です。

こういった後にしっかり残しておきたい報告こそ、ログの残るRO板の総合スレに投下して欲しいと思うがどうだろう。 <> (○口○*)さん<>sage<>08/03/19 21:19 ID:E8ieV4IQ0<> 個人的には同意だな。
相談でも雑談でもないし、一般的なセキュリティというより明らかにアカハックに関係した
いわゆる重要な情報と言ってもいいくらいの報告だし。 <> (○口○*)さん<><>08/03/19 22:48 ID:Egb5nOns0<> >>43-44
おつです
先日警察署に出向いたので参考にさせていただきます

しっかしうちの警察署は無関心すぎて何度も同じこと言わなくちゃいけなくてつらい(´;ω;`) <> (○口○*)さん<><>08/03/19 23:37 ID:mIEj4R/t0<> RMCの取引板で踏んでしまったのですが、これはアカハックアドレスなのでしょうか
ttp://momohac■blog34■fc2■com/blog-entry-1■html
すぐにRO落としてウィルスチェックしているのですが不安で… <> (○口○*)さん<>sage<>08/03/19 23:41 ID:xFzMmqdf0<> ※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※

でも垢ハック含まれてる <> (○口○*)さん<><>08/03/19 23:51 ID:mIEj4R/t0<> >>50
申し訳ないです
ウィルスチェック終わったら駆除してOS再インストールやってみます。ありがとうございました <> (○口○*)さん<>sage<>08/03/19 23:55 ID:BlT9+Fm30<> >>50
このツンデレめwww

ttp://momohac■blog34■fc2■com/blog-entry-1■html
ttp://www■shagigi■net/navi/
ttp://www■shagigi■net/navi/index1■htm
ttp://www■shagigi■net/navi/admin■exe

こんな順序で呼び出し

->blog-entry-1.html
-->index.htm
--->index1.htm
---->admin.exe

admin.exeは2種類のトロイが入った自己解凍型。2008/03/07製、検体提出済の奴だな。

index.htm : HTML/Infected.WebPage.Gen(AntiVir)
index1.htm : Trojan-Downloader.VBS.Agent.jq
admin.exe/f.exe : Trojan-PSW.Win32.OnLineGames.tge
admin.exe/l1.exe : Trojan.Win32.Inject.aci <> (○口○*)さん<><>08/03/19 23:57 ID:wOG7S1rv0<> こんなところに報告するよりURL偽装のハッキングは立派な
ネット犯罪なんだから通報が先だってばwwwwwwwwwwwww <> (○口○*)さん<>sage<>08/03/20 00:01 ID:wytvkezw0<> >>51
OS再インストールやるなら、駆除する意味が・・・まぁ、いいか。

「バックアップ→OSインストール→WindowqsUpdate→セキュリティソフトの導入と定義更新→各種アプリ導入等」 <> (○口○*)さん<><>08/03/21 10:58 ID:NL0iOyoW0<> はじめまして、失礼します。
ここ数日、自分のmixiに、ROっぽいけど意味不明な文言とともにzipファイルへのアドレスが
入ったコメントが書き込まれています。まとめサイトの危険サイトアドレスに該当しそうな
アドレスはなく、ソースチェッカーオンラインでもわからず対応に困っています。

危険なファイルであればmixiの事務局へ通報しようかと思っているのですが、こういう場合は
どうやってファイルの安全性を調べればよいのでしょうか?
すみませんがよろしくお願いいたします。 <> (○口○*)さん<>sage<>08/03/21 11:33 ID:eYMob/gs0<> >55
自分が調べる場合は
・ソースチェッカーでそのアドレスがZIP直かどうかのチェック
・安全な環境(出来れば非Windows環境)で該当ファイルをDL
・それをVirusTotalに投げて結果を見る
ってやってる。

Win環境でやる場合はブラウザからDLではなく、wget等で誤操作が起き難いように
注意してDL。

既知のウィルスで、アンチウィルスソフトのリアルタイム検索が走ってるなら
その時点で反応する場合もある。
でも反応がないからといって無害とは限らないので注意。
罷り間違ってもファイルを開くなどの操作はしないように。

調査するつもりが発動させてしまったなんて事故は割と良く起きるので、細心の
注意を払ってやる事。


注意してたのについうっかり実行してしまった、なんてお馬鹿な真似をやらかして
顔面蒼白というか涙目になるのは、自分だけでいい orz <> (○口○*)さん<>sage<>08/03/21 11:54 ID:3p61E8Wm0<> >>55
ROではハックがあること、危険なアドレスの可能性もあることを付記して
mixiに通報してしまえば良いんじゃないだろうか?
あとは、その書き込み相手は、アクセス禁止設定する(詳細はmixiにあるのでそちら参照願います) <> 55<>sage<>08/03/21 12:04 ID:NL0iOyoW0<> 素人でどうこうできるものではなさそうですね・・・
大人しく>>57さんのアドバイスどおりにしたいと思います。ありがとうございました。 <> (○口○*)さん<>sage<>08/03/21 12:20 ID:ls33Z00D0<> ついでに、そのアドレスをここに(アドレスのピリオドを■に置き換えて)投稿して欲しい。
誤クリックしそうなら、やめといてもいいけど。 <> 55<>sage<>08/03/21 14:11 ID:NL0iOyoW0<> >>59さん
はい・・・

http://ly■qhboy■com/ragnarokonline/VID-da-g-dt-w-r-12-vg-130x100-vt-flash/mms22687ba■wmv■zip

でした。 <> (○口○*)さん<>sage<>08/03/21 14:53 ID:ls33Z00D0<> >>60
thx

カスペさんすりぬけてるので、検体提出行ってきます。

mms22687ba.wmv.zip :
HIDDENEXT/Worm.Gen(AntiVir)
Trojan.Inject.796(DrWeb)
Suspicious File(eSafe)
PWS:Win32/Magania.gen(Microsoft)
Virus.HIDDENEXT/Worm.Gen(Webwasher-Gateway)

mms22687ba.wmv.exe :
Trojan.Inject.796(DrWeb)
Suspicious File(eSafe)
PWS:Win32/Magania.gen(Microsoft) <> (○口○*)さん<>sage<>08/03/21 15:30 ID:XSsjgazG0<> 43,008バイトでDr.WEBとMicrosoftが捕獲というと
ttp://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/528
ttp://www.virustotal.com/analisis/ac9b75b1bfca82b29a5801da2ff0aa36
と同じ系統だね。 <> (○口○*)さん<>sage<>08/03/21 16:59 ID:ls33Z00D0<> 検出名称同じだしね。

カスペ:次の更新で対応
mms22687ba.wmv.exe_ - Trojan.Win32.Inject.aix <> (○口○*)さん<>sage<>08/03/22 00:52 ID:e8pF72D10<> 明日警察行くことになったらから帰ってきたらレポしますね(´;ω;`) <> (○口○*)さん<>sage<>08/03/22 02:13 ID:2MZCYhKy0<> あのー・・・happy.nuってドメインって危険なんですかね?
貧スレの下のほうにあるリンクに接続したら真っ白なままなんですが

なんかやばいサイトにぶち当たったかな?
一応カスペ先生でPCチェックしても今のところは異常ないんだが。

http://ragwalk■happy■nu/blog/ <> (○口○*)さん<>sage<>08/03/22 02:29 ID:UmL3MAwQ0<> >>65
※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※

そこは、Wiki管理人さんのとこですよ。

iframe飛ばしも、変なスクリプトもないですし。真っ白なのは他に原因があるんじゃないですかね。
DNS参照してIPに変換して、whoisで調べ、某国でないことも書いとくと安心かな?

「ragwalk.happy.nu」のIPアドレスへの変換結果→「221.186.251.72」
「221.186.251.72」のドメイン名への変換結果→「s67.xrea.com」
−−−−−
アクセサリからコマンドプロンプト開いて、nslookup ragwalk.happy.nu と入力するとIP出てきますから、試してみてね。 <> (○口○*)さん<>sage<>08/03/22 02:33 ID:UmL3MAwQ0<> リネージュ資料室の更新情報から拾ったもの。

ttp://www■dyparagon■co■kr/gon/gmsex■exe
ttp://www■symphones■com/wikipedia/
ttp://www■symphones■com/wikipedia/index1■htm
ttp://www■symphones■com/wikipedia/rmtjp■exe
ttp://www■qsuj■com/win■exe

gmsex.exe : Backdoor.Win32.Delf.hds(Kaspersky)
index.htm : HTML/IFrame(Authentium/F-Prot/F-Secure),HTML.Iframe-12(ClamAV)
index1.htm : Trojan-Downloader.VBS.Agent.kv(Kaspersky),JS/Dldr.Noopt.1969(AntiVir)
rmtjp.exe : Trojan.Win32.Inject.agj(Kaspersky),Trojan.Inject.796(DrWeb)
win.exe : TR/PSW.Stealer.73728.2(AntiVir),Suspicious:W32/Malware!Gemini(F-Secure)

win.exe は、カスペすりぬけ。「Trojan-Spy.Win32.Agent.but」として、次回更新で対応。 <> (○口○*)さん<>sage<>08/03/22 02:47 ID:2MZCYhKy0<> >>66
すばやい返事ありがとうございます

管理人さんところでしたか

66の記事を見た後接続したら、かなり表示が遅かったですが
中身見れました。

どうもお騒がせ致しました <> (○口○*)さん<>sage<>08/03/22 02:55 ID:UmL3MAwQ0<> トレンドマイクロのWeb改竄、ウイルス感染の恐れは6ページのみ
http://internet.watch.impress.co.jp/cda/news/2008/03/21/18898.html <> (○口○*)さん<>sage<>08/03/22 04:49 ID:IFhPZTqz0<> 668 名前:どう見ても餃子です[] 投稿日:2008/03/21(金) 22:36:03 HOST:hades.sense.jp
関係ないけど、垢ハックされたくなかったら
ギルドを転々としてるやつが居るギルドには入んないほうが良いよ。

同じギルドだとアトラクションIDがバレバレになってるから注意。
出入りの激しいギルドに居る場合はパスワードはこまめに変えたほうがいい



こんな書き込みあったんだけどアトラクションIDってゲーム内でばれるものなんでしょうか??? <> (○口○*)さん<>sage<>08/03/22 05:47 ID:3nzrbRyw0<> 知られてないが、ある条件を満たすとゲーム内でアトラクションIDが漏れることがある。
条件の1つが同一ギルドであること。

当然、本人がばらすとかそういうのではない。 <> (○口○*)さん<>sage<>08/03/22 08:06 ID:UmL3MAwQ0<> >>70
>こんな書き込みあったんだけどアトラクションIDってゲーム内でばれるものなんでしょうか???

ばれません。

アトラクションIDと1:1対応している(キャラ作成時に自動で割り振られる)アカウントIDならゲーム内で流れており
きゃらくえなどの情報収集をしているツールで抜き取ることができるが、その数字とアトラクションIDを結びつけるためには
ログインサーバーのDBをクラッキングして盗み出さなければならない。

パスワードに関連する情報はゲーム内では一切流れていないため盗み出すことができません。

他にも、アカハック品を並べている露店や、BOTの露店を見るだけで情報が盗み出されるというでまかせを
ゲーム内で言っている人がいますが、あれも嘘っぱちです。盗むことのできる情報は流れてきません。

ゲーム内でIDとパスを盗み出すことができるのであれば、アカハックトロイなんか必要としないんですよ。

>>71
嘘情報を流すのは感心しないな。このスレでは、事実無根の情報は排除すべきものです。 <> (○口○*)さん<>sage<>08/03/22 09:19 ID:3nzrbRyw0<> >>72
嘘を言ってるのはお前だ。 <> (○口○*)さん<>sage<>08/03/22 09:26 ID:YrdFiajn0<> 「ある条件」とか春っぽいこと言ってないで詳しく書いたら?

公になれば対策に動いてくれるだろうし
思わせぶりに一部だけが知ってるような書かれ方の方がよっぽど不安や危険があるんじゃない? <> (○口○*)さん<>sage<>08/03/22 12:52 ID:KKCxjTmg0<> 今現在罠が撤去されていない&晒しになるので具体的なURIは避けるが
ブログをハックしてのiframeタグ注入、scriptタグも併用している模様。
注意されたし。 <> (○口○*)さん<>sage<>08/03/22 16:02 ID:IFhPZTqz0<> >>72 ありがとう キャラIDならともかくアトラクションIDとかってゲーム内関係ないよなって
思ったんだが自分知識がなくてちょっと困ってた

>>75 そのブログ運営に通報して 「ハッキングされたかもしれない」といっておけば
一次ブログ凍結、調査本人確認で対処してくれると思う
運営によっては放置なところも多いけどそのまま放置しておくよりは全然いい

ハッキングさたのを装って 他のブログからいろいろ丸パクで偽罠ブログ作るやつもいるからな
ソレは本当にハッキングされたブログなのか?
アドレス出さないんじゃ注意しようもないと思うんだけど
ハッキングされたんだとしたらそのブログの通常読者は普通に訪問しちゃうわけだろ?
せめてiframeの飛ばし先でも晒して検体に出てるものかどうかデモチェックしてみたらどうだ? <> (○口○*)さん<>sage<>08/03/22 16:24 ID:KKCxjTmg0<> 業者ブログではない。
先方へのコメントは既にしたし、今見たらパスワード認証になっている。
一時的に閉鎖してチェックしているのか恒久的な閉鎖なのかは知らん。
飛ばし先は既出のhellh■net、スクリプト解読してVTに投げ検体も各社に提出済み。
iframeだけじゃなくてscriptも使われている、というブログ管理者への注意喚起。
他のコミュニティにも注意喚起してある。これでご満足いただけましたかね? <> (○口○*)さん<>sage<>08/03/22 17:04 ID:TmdSs/By0<> 最初から検体提出済みのものが仕込まれた一般ブログがあるって書けばいいのに <> (○口○*)さん<>sage<>08/03/22 19:44 ID:kzb1gLs00<> >>73
>>71のような書き方をすれば妄想乙で済まされるのが人の世の常なのでkwsk <> (○口○*)さん<>sage<>08/03/22 19:49 ID:IFhPZTqz0<> >>77 詳細ありがとう
最初からそうかいてくれたら突っ込みレスしないでいいのにw

>>73 できればkwskだけど
公開しなくてもいいから公式に通報よろw <> (○口○*)さん<>sage<>08/03/22 20:31 ID:3nzrbRyw0<> 詳しく書いたらリアルBAN、癌に通報すればROでBANされそうだからな。
だからβ2のギルド実装時からずっと放置されてるんだろう。

IPAの脆弱性通報フォームとかに報告したら国が動いてくれるんかな? <> (○口○*)さん<>sage<>08/03/22 20:53 ID:TmdSs/By0<> 知ってて黙ったまま被害が増えるのも消極的幇助だと思うけどね
前にPTくずすやつもRO内で広まってから対策されたんだし、
IDだけバレてもパスがわからなきゃハックはできないんだし、
パスごと抜けるんなら尚の事、ステアドからでもいいからガンホーに送りつけて欲しい <> (○口○*)さん<>sage<>08/03/22 20:58 ID:8A3jFT2l0<> >>81
そういうことは普通にガンホーに通報すべき。〜BANとか禿げしく考え過ぎ。
それでROをBANされたらある意味いいネタだし、止めるいい機会だとも思える。
リアルBANがどういう意味で使っているか知らないけど、法律や判例くらいは目を
通してみるといいかもね、気になるなら。
ま、通報してガンホーが動くかは別問題だが(現実にそういう問題が有ったとして、
開発はあの技術力の重力だからねぇ…)。

そしてこの程度じゃIPAは動かないし、脆弱性があったとしてもIPAは何もしてくれない。
あそこは起こっている事象を観察している所だから。アラート位は出してくれるが。

世の中には表と裏はあるけど、妄想に浸るほどの深い裏はないもんだよ。 <> (○口○*)さん<>sage<>08/03/22 22:03 ID:IFhPZTqz0<> もしかしてキャラIDとアトラクションIDとガンホーIDとかの区別ついてないひとだったり <> (○口○*)さん<>sage<>08/03/22 23:01 ID:UmL3MAwQ0<> >>84
その可能性が高いけれど、ゲーム内で扱われているアカウントIDの話とも食い違う辺りが不思議。
ID:3nzrbRyw0 さんの発言内容は、既知のパケット内容と矛盾している。

ガンホーID:アトラクションセンターへの接続などに利用。このID配下に各種アトラクションIDが関連付けられる。
        ゲーム内では一切流れない。
アトラクションID:なんたらROという、ログインで入力するためのID。ゲーム内では一切流れない。

アカウントID:キャラクター作成時期に従って連番で割り振られる。若い方の数字はMOBやホム、NPCのIDで利用される。
         ゲーム内で流れているものは基本的にこのID。きゃらくえなどで表示(ゲーム内で抜かれる)のはこのID。
         アトラクションIDと1:1対応するが、逆引きができないので、このIDからアトラクションIDを知ることは不可能。
キャラクターID:キャラクター固有のID。カートの管理とか、銘入り武器POTなどの名前参照に利用されている。
          このIDで処理すればいいのに、何故かゲーム内で普通に流れるのはアカウントID。
          このIDは取り引き要請の際に届く。露店や所持品で銘入りのものを見た時にも、該当銘のIDが流れてくる。
          このIDはどのアカウントIDの何スロット目に何回目に作成したキャラであるという情報まで含んでいると
          聞いている。変換式も前に聞いたが忘れた。某価格調査サイトで銘検索が可能なのは、露店で銘入り武器を
          見た時に届くこのIDからアカウントIDを逆引きし、DBから拾っている為。(そのためゲーム内では名無しなのに
          某価格調査サイトで、消えている筈のキャラの銘が表示されたりするのはそのせい)

もしかして、ID:3nzrbRyw0 さんは、ギルド情報のメンバー一覧を表示させたときに届くキャラクターIDのことを
アトラクションIDと誤認してるだけなんじゃないだろうか。ログインに必要な情報とは結びつきませんよ。 <> (○口○*)さん<>age<>08/03/23 00:23 ID:bSmpyOjV0<> 不正対策が更新とか表示してクライアント落ちたのはいいけど
パス無しでログインできるようになって・・・なんかヤバくね <> (○口○*)さん<>sage<>08/03/23 00:25 ID:3L+x1vvV0<> >>86
仕様です。問題ありません。

あと、あの不正対策というのは、思いっきり嘘メッセージなので(ry <> (○口○*)さん<>sage<>08/03/23 00:37 ID:bSmpyOjV0<> だ、だまされたぜ
さんくす <> (○口○*)さん<>sage<>08/03/23 02:37 ID:6Eolj0xs0<> >>85
思いっきり間違ってる場所ばっかなんでつっこませてもらう。

> ゲーム内では一切流れない。

これが違うってのがそもそもの話。

> キャラクター作成時期に従って連番で割り振られる

キャラとは一切関係ない。
アカウント作成順に連番が割り振られる。

> このIDはどのアカウントIDの何スロット目に何回目に作成したキャラであるという情報まで含んでいる

こちらはキャラクター作成順に連番。

> 某価格調査サイト

上の前提が間違ってるから当然これも間違い。 <> (○口○*)さん<>sage<>08/03/23 03:43 ID:yk76YM7m0<> >>89
揚足取りの所悪いんだが、別に>>85の言ってる事の大筋は間違ってないぞ
あと、間違いっていうなら正しい解答も載せないと煽りにしかならないとおもうぜ

> ゲーム内では一切流れない。
これが違うってのがそもそもの話。

こういう部分、どう違うのかkwsk <> (○口○*)さん<>sage<>08/03/23 03:49 ID:6Eolj0xs0<> 正しい答え書いてあるだろ? <> (○口○*)さん<>sage<>08/03/23 04:17 ID:wY6x4vAg0<> 答えを知ってるんだったら>>83が言ってる通り
ガンホーに通報するべき
過去に悪用したことがないのなら、堂々と修正を迫るべきだ
それが出来ずにここで件の事象を知らない我々を煙に巻いても何にもならないぞ <> (○口○*)さん<>sage<>08/03/23 04:32 ID:tlsLS2Os0<> 実害が出るとしても言うべき
過去の例からも広まって実害が出ないと癌は対応しない
それでも言わず通報せずってんなら釣り <> (○口○*)さん<>sage<>08/03/23 06:44 ID:3L+x1vvV0<> >>89
>> キャラクター作成時期に従って連番で割り振られる
>アカウント作成順に連番が割り振られる。

あ、ごめん。そこんとこだけ誤記入。アカウント作成時期が正しい。

だが、趣旨は「アトラクションIDはゲーム内では一切流れない」。既知のID類も>>71の主張とは異なる。ということ <> (○口○*)さん<><>08/03/23 08:21 ID:qaXj137C0<> >>75-77
それFF11のブログじゃね?
アクセス1000以上/dayの大手ブログばかり狙われてるから
あっちじゃそれなりに騒ぎになっているようだね。 <> (○口○*)さん<>sage<>08/03/23 10:21 ID:qdEGfoPr0<> 1日だけのネタ逃げ書き込みと思ったら今日もいるのか、春休みで暇なんですかね? <> (○口○*)さん<>sage<>08/03/23 11:43 ID:xBwZirke0<> >>95
リネ2のパス抜きが入っていたりする <> (○口○*)さん<>sage<>08/03/23 13:11 ID:uB98t7uQ0<> スレぶった切りだが、日記で貧スレWikiの人かなりイラついてた。
まぁ有料契約をしてるサーバーが不安定状態の上自分が管理し
てる場所を危険アドレス?とか言われたらな。気持ちはわからなくはない

実はWikiが多く設置されているXREAは最近不安定なこと多い
ここで話題にならなかったのはWikiが設置されているサーバーの鯖が
表立って問題がおきてなかったことが大きいと思う
まぁ、雷鳥Wikiの500サーバーエラーも関係してる可能性はある
ただ同じサーバーのROデータテンプレは正常稼動していたから
如何なのかは言いづらいが、XREAからの公式発表が無いからなぁ

>>65のアドが真っ白なのは確実に
s67サーバーが現在進行形で挙動おかしいからと思われる。
俺も実際日記読んでると白紙ページに当たるよ <> (○口○*)さん<>sage<>08/03/23 15:18 ID:bAjvYCCS0<> なんかどっかで見た気もするが、どうやっても検索できないので質問。

カスペ7(6もだった気がする)使ってると毎日0時に一瞬重くなって、RO窓も
フリーズしたみたいになる。
でも1日1回時間指定ならまだ予測できるしいいやと思っていたんだけど、
MP1からはこの現象が0時じゃなくて不定期に起こるように変わったみたい。
(それこそ場合によっては1時間に1回以上とか)
ゲーム中に不意にフリーズもどきになるのがかなり悩ましいんだけど、
これってセルフディフェンス関連だっけ?

とりあえず2PCで両方とも起こるから俺だけじゃないとは思うんだけど、
原因でも軽減策でも何でもいいので、何か知っている人いない? <> (○口○*)さん<>sage<>08/03/23 15:52 ID:4P3UfO9w0<> Updateが無いかどうか0時に確認しに行くだけ。
あれ、非常に鬱陶しいな。 <> (○口○*)さん<>sage<>08/03/23 16:22 ID:gNr0BMcR0<> しかも、更新を手動にしててもなるし… <> (○口○*)さん<>sage<>08/03/23 16:51 ID:bAjvYCCS0<> ありがとう。言われてみればUpdateだった気がする。すっきりした。

毎日0時は仕方がないとしても、日中に起こるのはもしかしたら手動にすれば
軽減されるかもしれないので、試してみるよ。サンクス。 <> (○口○*)さん<>sage<>08/03/24 02:29 ID:Y9Es2Z/E0<> リネージュ資料室の更新情報より。全て各社に検体提出済。

ttp://www■caremoon■net/wiki/main■htm
ttp://www■panslog■net/wiki/index1■htm
ttp://www■ragnwiki■com/read/index1■htm
ttp://www■ragnwiki■com/read/server■exe
ttp://www■shagigi■net/navi/index1■htm
ttp://www■shagigi■net/navi/admin■exe
ttp://www■soracger■com/wiki/admin■exe
ttp://www■teamerblog■com/wiki/cer■exe
ttp://www■wacacop■net/wiki/index1■htm
ttp://www■wacacop■net/wiki/sever■exe
ttp://www■xinluoqu■com/ied/index1■htm
ttp://www■xinluoqu■com/ied/ser■exe

*** Kaspersky ***
admin(1).exe : Trojan.Win32.Inject.ajz
admin.exe : Trojan.Win32.Inject.ajw
cer.exe : Trojan-PSW.Win32.OnLineGames.vxq,Trojan.Win32.Inject.aka
cer\f1.exe : Trojan-PSW.Win32.OnLineGames.vxq
cer\seakinfo.exe : Trojan.Win32.Inject.aka
index1(1).htm : Trojan-Downloader.VBS.Psyme.nm
index1(3).htm : Trojan-Downloader.VBS.Psyme.nm
index1(4).htm : Trojan-Downloader.VBS.Psyme.nm
index1(5).htm : Trojan-Downloader.JS.Agent.bnd
index1.htm : Trojan-Downloader.VBS.Psyme.nm
main.htm : Trojan-Downloader.VBS.Psyme.nm
ser.exe : Trojan.Win32.Inject.aja
sever.exe : Trojan.Win32.Inject.ajy

*** Kasperskyすりぬけ ***
server.exe : Trojan.Inject.796(Dr.Web),Suspicious File(eSafe),PWS:Win32/Magania.gen(Microsoft) <> (○口○*)さん<>sage<>08/03/24 02:35 ID:Y9Es2Z/E0<> 提出作業してる間に、カスペのパターンが更新されてたようだ。今、再スキャンしたら検知した。
という訳でカスペは全部撃墜になりましたと。

server.exe : Trojan.Win32.Inject.akm <> (○口○*)さん<>sage<>08/03/24 07:24 ID:/HyacwI80<> 昨日製造
world0fwarcraft■net/lese.exe
766598■com/lese.exe (上と同じ)
www■qsuj■com/win.exe

今日製造
www■infosueek■com/xin/ff11.exe
www■play0nlink■com/ma/ff11.exe
www■jbbslivedoor■com/ff11.exe

というかこの手のはあっちでもいいんじゃないか? <> (○口○*)さん<>sage<>08/03/24 11:36 ID:Y9Es2Z/E0<> >>105
んー、具体的事例というには弱いかなと。ROのアカハック用じゃない場合もあっちでいいのかは疑問だし。
でも、情報集積(呼び出し手順だの)には必要な情報だから、総合スレでもいいという気持ちもある。

RO板で削除依頼の出ていた投稿について、総合スレに転記しといた(削除依頼スレにもその旨投稿)ものが
運営側でセキュスレに書かれたこともあるので、こっちの方がいいのかなとか。

RO内でアカハックに遭ったとか、RO用BBSに貼られてたものとかは、総合スレに書こうと思ってるけど
ぶっちゃけ、使い分けについて、もうちょっと話し合った方がいいんじゃないかと思う。 <> (○口○*)さん<>sage<>08/03/24 11:42 ID:Y9Es2Z/E0<> >>105
カスペは全機撃墜

Trojan-PSW.Win32.OnLineGames.fcj : ff11(1).exe//PE_Patch//UPack
Trojan-PSW.Win32.OnLineGames.fcj : ff11(2).exe//PE_Patch//UPack
Trojan-PSW.Win32.OnLineGames.fcj : ff11.exe//PE_Patch//UPack
Trojan-PSW.Win32.OnLineGames.wcw : lese(1).exe//UPX
Trojan-PSW.Win32.OnLineGames.wcw : lese.exe//UPX
Trojan-Spy.Win32.Agent.bvd : win.exe <> (○口○*)さん<>sage<>08/03/24 12:58 ID:vvxmB4Mz0<> ROを起動したら「HPlzm12」というルートプロセス(うろ覚え)を発見したとかでカスペが叫んだ
操作を終了させたらROも終了した

このプロセス名は過去何度かタスクマネージャで見た覚えがあるが、
HPのプリンタ使ってるからその関係だと思ってた
もしかしてnProと関係ある?
それとも垢ハックウィルス…?
誤検出ならいいんだが… <> (○口○*)さん<>sage<>08/03/24 15:09 ID:Y9Es2Z/E0<> nProとは関係ないな。カスペのログから検出銘を確認してぐぐれ。 <> (○口○*)さん<>sage<>08/03/24 15:25 ID:vvxmB4Mz0<> なるほど
ログを見るって手があったか

2008/03/24 12:50:31 プロセスを実行します C:\WINDOWS\system32\HPZipm12.exe: リスクウェア 「Hidden object」。の亜種として検知しました!

ググってみたらやっぱりHPのプリンタに関係あるっつーことが判明した
ROが終了したのは謎だが脅威はなさそうだ
お騒がせしました <> (○口○*)さん<>sage<>08/03/24 17:39 ID:kuFhp1KL0<> >106
危険アドレス関係は全部向こうでいいと思うけど。

そもそもスレ住人では出来る範囲ってのは、次のどれか

A)ソースチェッカー等で白・黒・グレーの判断
 A-1)既知の罠アドレスかどうかの判断
 A-2)ソースをチェックして怪しい部分が無いかの判断
B)検体が拾えた場合(この時点でほぼ黒だが)
 B-1)VirusTotal等に掛けて結果で判断
 B-2)検体をメーカーに提出して、結果で判断

そしてBの段階まで進んで何かのトロイだと判明したとしても、それがRO関係かどうかは
アンチウィルスメーカーじゃないと判断つかない。

となると、ROに関係しそう・関係なさそうだから、という判断で区切るよりは、危険アドレスは
全部向こうに張った方が楽だと思う。

個人的には、向こうは危険アドレス収集(とチェック結果)スレ、こっちは今まで通りの
セキュリティ全般という形がいいんじゃないかと思ってる。 <> (○口○*)さん<>sage<>08/03/24 18:11 ID:/HyacwI80<> 同意。
黒なURIはあっちでいいんじゃないかと。
仮にスキャンしてWoW用とかLineage用とかGamania用とか出ても
複数のパス抜きを併用するのがいくらでもある現状では振り分けていられない。 <> (○口○*)さん<>sage<>08/03/24 23:31 ID:Y9Es2Z/E0<> 「Kaspersky Internet Security 7.0」を無料で最大90日間体験できる
「Kaspe de ROULETTE(カスペ で ルーレット)」キャンペーンを本日より開始
〜サイト上のルーレットで30日+αの試用版をもれなく提供〜
http://www.justsystems.com/jp/news/2008f/news/j03241.html <> (○口○*)さん<>sage<>08/03/25 06:55 ID:cw7cbgmc0<> ttp://shadow-city■blogzine.jp/net/2008/03/post_4a04■html
ニュースサイトに貼られていたリンクですが、異常に重い真っ白な画面が出てくるだけでした。
まさかとは思いますが、危険性のあるサイトでしょうか? <> (○口○*)さん<>sage<>08/03/25 07:40 ID:JR+J3jJW0<> >>114
※※※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ※※※

真っ白だったというだけで持ち込むのはやめれ <> (○口○*)さん<>sage<>08/03/25 10:09 ID:kGEbjaPP0<> さて今日はゲーム鯖の接続カット予定日だが、アカハック防止効果が出てくれるといいが… <> (○口○*)さん<>sage<>08/03/25 10:14 ID:JR+J3jJW0<> BOTの「直接」接続がブロックされるだけで、中継サーバー経由の場合は防止されないし、アカハック防止はないと思うぞ。
BOTの直接稼働ができなくなる分、中継サーバー経由や、アカハックに力を入れてくる可能性はあるけど。 <> (○口○*)さん<>sage<>08/03/25 11:24 ID:kGEbjaPP0<> 国内に中継鯖建てたら建てた奴がかなりリスク無い? <> (○口○*)さん<>sage<>08/03/25 12:23 ID:n3S5/B8a0<> 奴らにとって収入>リスクだからな、結構留学生が捕まってるだろ <> (○口○*)さん<>sage<>08/03/25 13:03 ID:0+b7G0a50<> その場合でも、癌が警察に被害届けを出すかどうか、が焦点になるわけで。 <> (○口○*)さん<>sage<>08/03/25 14:42 ID:gUTI9l8w0<> 話題ぶった切りごめんなさい。
http://www■exbloog■com/7112888/
上記のURLを踏んでしまいました。
垢ハックに対する知識が少ない為、判断しがたいのですが、垢ハックURLでしょうか;; <> (○口○*)さん<>sage<>08/03/25 14:44 ID:JR+J3jJW0<> >>121
まずはソースチェッカーで確認するんだ <> (○口○*)さん<>sage<>08/03/25 14:45 ID:JR+J3jJW0<> あ、ちなみに、それアカハックな <> (○口○*)さん<>sage<>08/03/25 15:03 ID:JR+J3jJW0<> >>121
アカハックのアドレスだったので、総合スレにコメントしときました。(^^)ノシ

アカウントハック総合対策スレ9
ttp://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/537 <> (○口○*)さん<>sage<>08/03/25 15:52 ID:gUTI9l8w0<> ぎゃー、垢ハックでしたかorz

>>122-123>>124
ありがとうございます。お手数おかけしました;;

PCの初歩的な質問になってしまうのですが、スレ内で「PCリカバリ」などを
見かけるのですが、PCを初期化させるって事でいいんでしょうか? <> (○口○*)さん<>sage<>08/03/25 17:43 ID:QUeDnFP60<> >>125
YES

メーカー製PCだと「リカバリCD」とかいう感じの、これで再インストールしたら
出荷時の状態に初期化できますよというのがついてることが多い <> (○口○*)さん<>sage<>08/03/25 19:07 ID:Aq92ZzvG0<> FFが派手にやられてるようだね。
人気ブログそのものを改竄してiframe埋め込む手法で。 <> (○口○*)さん<>sage<>08/03/25 19:42 ID:Vdcuyq8A0<> 最近はscript使ってるっぽい。
これだとほとんどのブログで使える。 <> (○口○*)さん<>sage<>08/03/25 20:01 ID:gUTI9l8w0<> >>126
返答ありがとうございました。

当方少し前にPCを修理に出し初期化したばかりで、特に大切なデータも
なかったので、バックアップは取らずに初期化しました。
>>6の手順を見ると、1−4の行程をすっ飛ばした形で、ROに接続できる状態に
なったと判断して大丈夫でしょうか? <> (○口○*)さん<>sage<>08/03/26 05:28 ID:DGUvGzad0<> >>129
乙。
今後重要なのは、1-3関連。要は再発防止策になるな。
今のうちに手間を掛けておくことで、以後再インストールが必要になったりする手間を減らせる可能性が出てくるのだから。 <> (○口○*)さん<>sage<>08/03/26 09:25 ID:Wgd+zMzM0<> 皆様乙であります。>>43,44です。
昨日、相方の住所等個人情報と、相方側の相談署と担当者さんの名前を
私の担当者に連絡入れました。
ほぼ調書は出来ているそうで、目を通してサインしてもらう必要があるので
また後日連絡しますとのことでした。
調書にサインなんてあるんですねぇ。はじめて拝見するので、少し楽しみです。 <> (○口○*)さん<>sage<>08/03/26 12:14 ID:c1/5kyG10<> すいません、相談があります
青箱46個目スレで 884番目のレスに反応して踏んでしまいました(?) 
その後915番目のレスにて アカハックサイトと書かれて居るのを見ました。
このサイトは本当にアカハックサイトなのでしょうか?

【      気付いた日時          】 08/03/26 10:42
【不審なアドレスのクリックの有無 】 クリックしました
【  アドレス   】kkuro■exblog■jp
【     OS    】WindowsXP Home SP2
【使用ブラウザ 】IE6.0 sp2
【WindowsUpdateの有無】 3月13日 自動更新
【 アンチウイルスソフト 】 VB2008 アップデート最新
【その他のSecurty対策 】無
【 ウイルススキャン結果】 VB2008で検索→何も無し
             カスペオンライン→ウイルスは何も検出されませんでしたが
             結構な数のファイルが 使用中でロックされています とでます
【テンプレの参考サイトを読んだか】 (Yes)
【hosts変更】無
【PeerGuardian2導入】無
【説明】
1・同スレのレスにて アカハックサイトとの事
2・ソースチェッカーにて インラインフレーム1 隠しスクリプト10
  安全度が48%だったので 怪しいと思いました

カスペでの検索結果の ロックされているのは無視でも大丈夫ですか? <> (○口○*)さん<>sage<>08/03/26 12:41 ID:9EOI6ixV0<> >>132
0サイズのインラインフレームタグはあるけど

<iframe name="cmtviewfrm" id="cmtviewfrm" src="" width="0" height="0" border="0" frameborder="0" scrolling="no" marginheight="0" marginwidth="0" style="display:block"></iframe>

具体的な飛ばし先はないっていうかこれCM表示かなんかの枠かね?
表示されないようになってるけど
exblogはiframe使えないと思ってたけどCSSのほうになら使えるのかな?

使用中でロックというのはウィルスをロックではなくて
起動していて干渉できなかったということなんじゃないかと
色々終了させて再度かけてみたら? <> (○口○*)さん<>sage<>08/03/26 13:26 ID:OHIAVHbi0<> iframeのsrcが無いので仕掛けるの失敗したとか駆除したとか?

Firefox2.0.0.13リリース <> (○口○*)さん<>sage<>08/03/26 13:37 ID:90OFAAH00<> exciteが勝手に埋め込むもの
用途はいまいち不明だけどCoMmenTVIEWFoRMじゃないかね <> 132です<>sage<>08/03/26 19:03 ID:c1/5kyG10<> 他のExciteブログのHPをチェッカーで調べたところ
>>133 が書いているタグ(?)と同じ物が書いてありました
>>135 が言っているようにExciteが勝手に埋め込んでる物みたいです

後、ロック〜〜もソフトとかを終了させて検索したら 数が減りました
VB2008とカスペオンライン の検索結果も 感染無しでした

これは、安全だと思っても大丈夫ですか? <> (○口○*)さん<>sage<>08/03/26 19:26 ID:9s8it81m0<> >136
安全・大丈夫と思うのは自由。
本当に安全かどうか・大丈夫かどうかは誰も保障できない。

今回のケースだと、状況から見る限り「多分」平気と「俺」は考える。
でも本当に安全かどうかは何とも言えない。

何故かというと、

A)青箱スレに書かれた時点で罠があり、>132がそれを踏んだ
B)その後、ハク犯が罠の記述を消した
C)>133が見た時点では罠の痕跡が無かった
D)踏んだ罠が新種でカスペでも検出出来ない代物だった

可能性だけでいうならこういう事も有り得る。

この場合「多分平気」と誰かが言ったとしても、実は平気ではなかった、という事になる。

周りは助言は出来ても最終の判断は下せない。
厳しいようだけど、安全かどうか・大丈夫かどうか、の判断を下せるのは当人だけ。 <> (○口○*)さん<>sage<>08/03/26 21:18 ID:RXEAPV+Y0<> 検体提出先修正。セキュWikiの検体提出先は修正済

Quick Heal
<support@quickheal.com> → <viruslab@quickheal.com> <> (○口○*)さん<>sage<>08/03/26 21:55 ID:OHIAVHbi0<> あれ、アドレス変わった?
今朝supportに送っちゃった。 <> (○口○*)さん<>sage<>08/03/26 22:09 ID:wAhgc5zB0<> メールがエラーで戻ってきていないなら、恐らく自動的に転送されている <> (○口○*)さん<>sage<>08/03/26 22:28 ID:RXEAPV+Y0<> >>139
問題ないよ。そっちでも受け付けてる。但し、viruslubの方がbetterだって返答も来てる筈だ。 <> (○口○*)さん<>sage<>08/03/26 22:36 ID:RXEAPV+Y0<> ちょっと気になったので、過去のメール履歴見てみた。
(気付いたのは今日なんだ…いつも読まずに読了にしてた)

QuickHeal担当者さんごめんなさい。ずいぶん前から宛先変えてくれって言ってたんだね。
表現が替わってるところを見ると、テンプレじゃなく書いてくれてたみたい。正直すまんかった。

2007/12/28
We request you to send further virus samples at viruslab@quickheal.com.

2007/12/31
Well, we request you to send the further samples at viruslab@quickheal.com

2008/01/04
Well, we request you to modify your e-mail address list and add viruslab@quickheal.com
ID in place of support@quickheal.com

2008/02/04
We request you to forward these samples directly to viruslab@quickheal.com

2008/03/11
We will be highly obliged if you will keep forwarding such samples to viruslab@quickheal.com

2008/03/21
We request you to send all such samples directly at viruslab@quickheal.com ID.

2008/03/24
We will be highly obliged, if you will start forwarding such mails to viruslab@quickheal.com
This Id is dedicated for receiving samples of malwares. For better assistance,
I request you to forward such samples ONLY to viruslab@quickheal.com.

2008/03/25,26
You are requested to forward the samples at viruslab@quickheal.com for better assistance. <> (○口○*)さん<>sage<>08/03/27 06:54 ID:IkGkCxxT0<> IBM SOCでは2008年3月24日19頃から、SQLインジェクションを使った攻撃の再開を確認しました。
ttp://www.isskk.co.jp/SOC_report.html

例の「fuckjp■js」による改ざん攻撃が再開されているようです。 <> (○口○*)さん<>sage<>08/03/27 07:12 ID:+EMo9XL70<> このスレ的には、カスペルスキーが一番オススメっぽいな・・・。
バスター消そうかな。2008になってなんか使いづらいし・・・。 <> (○口○*)さん<>sage<>08/03/27 08:52 ID:UM1zpAaM0<> >>142
読まずに削除してた\(^o^)/
だってQuickHealからの返信メール、
中身としてはほとんど意味ないんだもん。

>>143
LACにも出てたね。
2117966■net、ググるとfuckjp0.jsなんだけど
0付きのは見つからなかったなぁ(0無しの既出のはあった)。 <> (○口○*)さん<>sage<>08/03/27 08:57 ID:2LVOxKXk0<> 総合スレ547

【  アドレス   】http://www5■uploader■jp/user/tane/images/tane_uljp00326■jpg

どう見てもただのブラクラです。ここは鑑定スレじゃねーんだ、2chで鑑定スレ捜してそっちで聞け。

F-Secure 6.70.13260.0 2008.03.26 Trojan.HTML.Agent.b
Kaspersky 7.0.0.125 2008.03.27 Trojan.HTML.Agent.b
Sophos 4.27.0 2008.03.27 Mal/Iframe-F
Webwasher-Gateway 6.6.2 2008.03.26 Webwasher: Win32/ImgTagVulnerability <> (○口○*)さん<>sage<>08/03/27 09:16 ID:UM1zpAaM0<> そのアップローダ自体2chセキュ板のだしなぁ <> (○口○*)さん<>sage<>08/03/27 13:44 ID:OIzir/Su0<> 質問です。
最近はスクリプトで罠が仕掛けられているというのをこのスレで見るのですが、
そのスクリプトはソースチェッカでも危険として出るのでしょうか?
それと、危険なスクリプトの見分け方(どういった文字列が含まれていると危険なのか)
等を教えてはいただけませんでしょうか?
すみませんが、宜しくお願いします。 <> (○口○*)さん<>sage<>08/03/27 14:14 ID:2SBCNblQ0<> 英文読解の能力も、セキュリティリスクと言えるかもしれないな。 <> (○口○*)さん<>sage<>08/03/27 16:13 ID:2LVOxKXk0<> >>148
主に使われるのが、サイズ0(縦横両方、もしくは片方)のiframeによってアカハックのダウンローダを
読み込ませる方式。この方式で、既知のアドレスを呼び出していたら、最後まで辿らないでもアカハックと
断定しちゃっていいと思う。

JavaScriptでダウンローダを読み込ませるものもあるので、iframeが無ければ安全という訳ではない。

他にも、アニメカーソルを呼び出し、WindowsUpdate当たっていなければ、セキュリティの穴を利用して
本体をダウンロードさせようとするものもある。

>そのスクリプトはソースチェッカでも危険として出るのでしょうか?
ぶっちゃけると出ないこともある。iframeでの呼び出し自体は普通のWebページでもあるし、
カウンターの類を表示させずに実行させる為に挿入されるケースも無いとは言い切れない。

危険なスクリプトかどうかの断定は、結局の所、辿ってみないとわからないところもある。 <> (○口○*)さん<>sage<>08/03/27 16:39 ID:7xc14npp0<> 「注意!○○タグを発見!」と黄色で書かれてても無害な物もあるし
「このアドレスの安全度 100%」と出ていてもソース見ると紛れもない垢ハックだったり

「チェック結果」の情報を参考にしつつソースを自分で精査しないと
確実なところはわからないと思うね <> (○口○*)さん<>sage<>08/03/27 18:39 ID:OIzir/Su0<> なるほど、厳しいんですね…頑張って調べてみます。
ありがとうございました。 <> (○口○*)さん<><>08/03/27 22:23 ID:Y1O/NrJp0<> 捜査にはガンホーの協力が不可欠で、また海外からの不正アクセスには積極的な捜査が難しいこともあり
結局のところほぼ全ての被害者が泣き寝入りになっているようである。
ガンホー側が動かない限り被害者はほぼ引退に追い込まれるのだが、
ガンホーには何の動きも見られなかったようだ。
消費者センター側もたびたび警告を行っている模様だが、受付も「またガンホーですか」という対応を見る限り蛙の面に水。

これアサテンプレからなんだけど
ここ見ると結構帰ってきてる人いるみたいだよね?
実際捜査以来して帰ってこなかった人いる?やられちゃって不安なんだけど・・ <> (○口○*)さん<>sage<>08/03/27 23:27 ID:S/5iZJvu0<> >>153
それは情報が古いのではないかと。
アカハックが流行しだした頃は、泣き寝入りが多かったそうですよ。
ハイテク犯罪センターがアカハックの知識をつけてくれたりしたおかげで、
警察から要請があれば調査せざるを得ないことや件数の多さなどから
「不正アクセスが立証できれば補償する」
という方向に変わったのでしょう。

現在はアカハック専用の被害届けフォームまで置いているくらいですし、
消費者センターに相談などしなくてもスムーズに処理されるようなルートが出来ています。 <> (○口○*)さん<>sage<>08/03/27 23:36 ID:WtSN23jC0<> 単純に修正しようとすると癌を目の敵にしてる人が妨害するせいだと思うけどね。 <> (○口○*)さん<>sage<>08/03/28 00:45 ID:kXUQfrL90<> 修正ってなにをさ。 <> (○口○*)さん<>sage<>08/03/28 00:48 ID:6kO/h2iU0<> アサテンプレの文章でしょ <> (○口○*)さん<>sage<>08/03/28 02:27 ID:k2FgS9Qg0<> 最後の行の消費者センター云々はアカハックと関係無いんじゃないかねぇ
消費者センターからの警告って主にBOT蔓延に対して声が大きかった頃でしょ
アカハックに付いても消費者センター通したって報告あったっけ? <> (○口○*)さん<>sage<>08/03/28 02:31 ID:k2FgS9Qg0<> なんか初期の初期にあったような気がしてきた……158はスルーで <> (○口○*)さん<>sage<>08/03/28 03:02 ID:RI3zaktr0<> FAQ/用語集/か行→ 癌砲
ttp://assassin.rowiki.jp/index.php?FAQ%2F%CD%D1%B8%EC%BD%B8%2F%A4%AB%B9%D4#k779c63b
--
2006年末のオフラインミーティングでは「アイテム課金の後不正者対策を行う」と発言、その拝金ぶりにユーザーは激怒。
その直後課金アイテムが公式発表された。
その課金アイテムの「濃縮オリデオコン」「濃縮エルニウム」実装に合わせて、
二次職実装以来存在していたBSの武器研究による精錬成功率上昇を消滅させ事実を隠蔽。

これから先の不正者取締りが注目・・・される事はもうないかもしれない。
--
1年以上前で止まっているわけで
つうか癌の悪口書きたいだけじゃないかと
こんなところ見ない、って人も多いんだろうが、ケツぐらいは拭いて欲しいよなあ <> (○口○*)さん<>sage<>08/03/28 14:27 ID:aqDuz3UQ0<> >>160
アサシンwikiにとってあまり重要ではない項目なんだろう
俺には癌の項目に特に書き足すことはない
wikiなんだからそのままで自分が困るなら自分で編集すればいい

よく悪意の編集をされてるから閲覧には注意すべきではある <> (○口○*)さん<>sage<>08/03/28 14:43 ID:Q0ROprGv0<> mixiでautomouseの宣伝をやってたやつがいたので晒し上げ
http://mixi.jp/show_friend.pl?id=17426855
http://mixi.jp/show_friend.pl?id=17429717
http://mixi.jp/show_friend.pl?id=17447324
http://mixi.jp/show_friend.pl?id=17447177
http://mixi.jp/show_friend.pl?id=17430344

↑のやつらの元アカっぽいやつはこれ
http://mixi.jp/show_friend.pl?id=14890435

mixiが安全じゃないことはもう分かってると思うが、見かけたら気をつけてくれ <> (○口○*)さん<>sage<>08/03/28 15:04 ID:+0u9vQjD0<> スレ違いだ馬鹿、さっさと削除依頼出してこい <> (○口○*)さん<>sage<>08/03/28 21:45 ID:qExxYqgF0<> お試しカスペ入れてRO起動したら、なんか検知された。
これって、一体何なのでしょう?
放置しててもいいのか、消去したほうがいいのか
さっぱり不明です・・・。

検知しました: リスクウェア Invader <> (○口○*)さん<>sage<>08/03/28 22:05 ID:YQjFa9eL0<> >>164
RO(nPro)は不振な振る舞いをするリスクウェアです。

セキュスレ2より
|10 名前:(○口○*)さん:07/04/25 17:19 ID:ecNW/h2i0
|今ROを起動したところカスペルスキーが反応して

|プロセスを実行します
|\RagnarokOnline\GameGuard\GameMon.des
|リスクウェア「Invader」の亜種を検知しました

|と出ました。
|プロセスをすべて拒否し、念のため回線を抜いて携帯からパス変更しました。
|Invaderをググってもよくわからないので、これは一体何なのかどなたか教えて
|もらえないでしょうか(´・ω・`)

|携帯から書き込もうとしたらエラーが出たので、当該PCより書き込んでいます。

|11 名前:(○口○*)さん:07/04/25 17:33 ID:2a4usTN10
|nPro自体がルートキットみたいな属性なんで、悪質なソフトと誤認された可能性が高いです。
|本当にウィルスなのか、nProがウィルスと誤認されただけなのかの判断ができません。

|リスクウェアの説明を読んでみて下さい。nProがこれに該当するのは当然だと思いますが…。
|http://www.viruslistjp.com/riskware/

|nProのリスクを把握したうえでプレイするわけですから、ROをプレイするなら許可出しちゃっていいと思います。
|気分が悪ければ、キャラデリ→癌ID削除→HDDフォーマット(nProの残骸抹殺)してクリーンな環境に戻りましょう。 <> (○口○*)さん<>sage<>08/03/28 22:15 ID:qExxYqgF0<> >>165
御教授、感謝します<(__)>
なるほど・・・nProですか。
とりあえず、許可してみます。 <> (○口○*)さん<>sage<>08/03/29 07:28 ID:XEw5hhyV0<> >>162
中華の宣伝するなよ・・・ <> (○口○*)さん<>age<>08/03/29 14:44 ID:B72OdICH0<> ハクスレにあったけど、念のためにこちらにも転載
重要なのでageとく

---------------------------------------------------
577 名前:(^ー^*)ノ〜さん MAIL:sage 投稿日:08/03/29 13:30 ID:wUl6oFc40
>2にある
>・リネージュ資料室 (応用可能な情報が多数)
> http://lineage.nyx.bne.jp/
が、3/29付で移転しております。
ttp://lineage.paix.jp/
に、自動で転送されますが、PeerGuardian2用リストは登録し直しが必要になるそうです。


578 名前:(^ー^*)ノ〜さん MAIL:sage 投稿日:08/03/29 14:42 ID:70aOROei0
>577
当然ながら、hostsリストもアドが変更になってる。

特にhostsRenew使ってて、更に自動更新かけてる人は必ず設定の変更を。
BSWikiさんのリストを組み込んでたり、hostsAppend=0にしてたらまだ平気だけど
デフォ設定のままだと、ごっそりと情報が欠落することになる。
--------------------------------------------------- <> セキュスレ1-936<>sage<>08/03/29 17:08 ID:GlTW51hG0<> hostsRenewScriptの人です。

リネージュ資料室さんのアド変更に伴い、Ver0.09aに更新しました。
ttp://acopri.rowiki.jp/index.php?hostsRenewScript

変更点はstrURL(0)の設定値(URL)のみです。


>168で指摘されてるように、デフォルト設定のままですと纏め臨時サイトさんの
リストしか読み込みません。

以前のリネ資料室のアドレス変更時は旧アドでもDL出来たのですが
今回は旧アドだとDL出来ないため、必ずcfgの変更をお願いします。 <> (○口○*)さん<>sage<>08/03/29 18:49 ID:emyHRGrS0<> お試しカスペ入れてRO起動したらキーロガー検知って出たんだけど
これも164と同じなんでしょうか? <> (○口○*)さん<>sage<>08/03/29 19:11 ID:LsulVmCh0<> プロアクティブディフェンスを有効にしていると、何種類か引っかかるよ
ROの起動時だけではなくログイン中にも検出される <> (○口○*)さん<>sage<>08/03/29 20:46 ID:ZtzS+nz90<> >>170
Ragexe.exeが検出されることもあれば、隠蔽されてて対象名がでないこともあるけど、nProの場合が多い。
他タスクを検知してる可能性もあるから断定はしないけど、うちでも出てるよ。 <> (○口○*)さん<>sage<>08/03/30 01:01 ID:kYAbi+tE0<> というかその質問も多すぎるからテンプレ入りかもしらんね <> (○口○*)さん<>sage<>08/03/30 11:58 ID:ka6ogmEx0<> 【      気付いた日時          】2008/03/30
【不審なアドレスのクリックの有無 】「きもろだ」でクリック
【  アドレス   】http://f40■aaa■livedoor■jp/~kimoita/up/img/1027■html
【     OS    】WindowsXP Home SP2
【使用ブラウザ 】IE6.0.2 sp2
【WindowsUpdateの有無】 2週間前
【 アンチウイルスソフト 】ウィルスバスター
【その他のSecurty対策 】 無
【 ウイルススキャン結果】 カスペルスキーオンラインスキャンで検出無し
【テンプレの参考サイトを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】HACKの文字があり不安になった為書き込みに至る

クリックしてしまったのですが、大丈夫でしょうか?
よろしくお願いします <> (○口○*)さん<>sage<>08/03/30 12:00 ID:Qkyg3OWG0<> >>174
3.スレで質問する
 1.2の方法でも判断出来ない場合、スレで聞いてみるのも手です。
 ただし、このスレは『勇気が無くて見れないサイト解説スレ』ではありません。
 その点だけは注意してください。 <> (○口○*)さん<>sage<>08/03/30 12:49 ID:opa3rLNZ0<> 確かに、下記の文字列は入ってるけど…危険そうなコード見あたらないしなぁ。
send_aaa.js 辺りは見てもわからんし、とりあえずパス1。

script language="Web Hack,Hack Team,Pc Hack,Msn Hack,Xss,security,proxy,exploits,Hacker,crack,firewall,scan,Serial,Shell,Fake,Defaced,emchack,nettoxic,programlar" <> (○口○*)さん<>sage<>08/03/30 12:50 ID:SnxDpmw10<> >>169
資料室は以前に、クラック依頼が出されていたような話も出ていたし、DDNSのサービス運営会社も挙動が怪しい。
ドメインが失効した場合に、スクワットされる可能性も捨て切れないので、移転前のURLは最終的にブロック対象に含めるのが
良いのかもしれない。念の為に。

ネットサービスで何が怖いって、音信不通なんだよね。 <> (○口○*)さん<>sage<>08/03/30 15:57 ID:LPfPxGG00<> >>177

流石に特定アにjpは敷居高いと思うぞ。 <> (○口○*)さん<>sage<>08/03/30 17:11 ID:Cfmrq6490<> >>178
特亜だからこそ何してくるか分からないわけだが…。 <> (○口○*)さん<>sage<>08/03/30 22:14 ID:oFHNceIg0<> 万が一DDNSのサービスを攻撃されると非常にやばい。
そこまでしなかったとしても、国内にいる仲介者が取得したら同じ事。

動向次第なのは確かだけど、最終的に旧アドレスは危険扱いにした方が無難、とかになるかもね。 <> (○口○*)さん<>sage<>08/03/31 07:18 ID:HGdbYXNl0<> jpでいいならドメインとらなくても
geocitiesとかiswebとかaaacafeとかに置けばいいんじゃね? <> (○口○*)さん<>sage<>08/03/31 09:27 ID:ACfyy39g0<> >181
上の流れは資料室さんの旧アド(bne.jp)の話じゃね?


ところでふと思ったんだが、職Wikiの一部はrowiki.jpでやってる。
でも実体はxreaとかのレン鯖とかにある。

これと同じように中華が自前でCNなドメインを取り、中継者がjpドメインを取って
jpドメインでアクセスできるように設定されると、厄介なことにならんかね? <> (○口○*)さん<>sage<>08/03/31 10:39 ID:m49Kggpc0<> >>182
理論の上では可能だが、多分割りに合わないからやっていないのだと思われ。
.cn(や.com)は取得費用が安いが、.jpは明らかに高いし。
それと、.jpで取得してきたら、不正アクセスで中継者の立件も視野に入るし。

むしろ危惧すべきは、xrea.comのtypo狙いドメイン。
こちらのほうが、取得が容易な分、想定被害の面では危ないと思われ。
具体的な例は挙げないが、実在するドメインと、現段階で取得可能な物がある。

その意味では、現在行われているrowiki.jpへのCNAME集約も、一定の効果があるかと。
.jpドメインなら、typoしても大したことはない。 <> (○口○*)さん<>sage<>08/03/31 16:55 ID:ACfyy39g0<> >183
コストとリスクの問題かぁ。
でも逆に言えば、割に合う判断してきたらjp系ドメインで活動する可能性もあるわけで。

typo含めてアドレスは要注意・鵜呑みにしてはいけないってのは変わらないけど
jpドメインだと警戒心薄れる場合もあるから気をつけないとね。 <> (○口○*)さん<>sage<>08/04/01 04:26 ID:/SGVEA94O<> 昨日の朝日の夕刊の社会面に、中国からのSQLインジェクションによるサイト改竄被害について書かれてるんだが
これって、もはやネット上の全てのサイトの安全性が保証できないってことか <> (○口○*)さん<>sage<>08/04/01 08:14 ID:ua+7x1mt0<> 中華RMT業者がiframeやscriptでネトゲトロイを突っ込むのは
前からある話だよ。3年前には価格コムが改竄され、
先月はトレンドマイクロが改竄された。
いずれもSQLインジェクションで、きちんとアプリを作らなかったメーカがボンクラ。 <> (○口○*)さん<>sage<>08/04/01 08:22 ID:Q6ZaH/HI0<> FC2の最近のtemplate改竄も、SQLインジェクトされた疑いが出てきているな。

229 名前:Trackback(774)[sage] 投稿日:2008/03/26(水) 05:12:16 ID:g0QkeMYd
http://blog.fc2.com/forum/viewtopic.php?p=82913#82913
一連の改竄騒ぎは新管理画面がヤバイというプログラマの意見

>テンプレートは旧管理画面はファイルに新管理画面はDBに登録されている、という記述がどこかにあったこと、
>// DB に登録したほうがメインとなるサーバの負荷は下がるが、SQLインジェクションをくらいやすくなる
>セッション管理がうまくいっていない(アドホックな対応が行われている)という印象を受けること <> (○口○*)さん<>sage<>08/04/01 11:16 ID:0/BjvKsL0<> 無償アンチウイルス“avast! Home”にスパイウェア・ルートキット対策が追加
最新版v4.8が公開、Windows Vista SP1およびWindows XP SP3での動作を確認済み
http://www.forest.impress.co.jp/article/2008/03/31/avast48.html <> まとめ臨時 ◆kJfhJwdLoM<>sage<>08/04/02 00:55 ID:Bv4OR86L0<> お久しぶりです。まとめ臨時の中の人です。
http://sky.geocities.jp/ro_hp_add

過去にあった救済報告と被害例、疑問など最近の過去スレから有用かな?
と判断したものを拾い上げて事例ごとにUPしました。 <> (○口○*)さん<><>08/04/02 18:43 ID:zmoouw0aO<> 中の人乙です

ついでにageとく <> (○口○*)さん<>sage<>08/04/02 21:34 ID:GAyBqK/R0<> Webサイトの検索機能を悪用、「IFRAME SEOポイズニング」攻撃が流行
ttp://pc.nikkeibp.co.jp/article/NEWS/20080331/297570/

Webサイトの改ざんをしないで、危険サイトに誘導する方法が流行っているらしい <> (○口○*)さん<>sage<>08/04/03 08:53 ID:MmgvTKFhO<> 最近FFから復帰したんだがROでもFC2は踏まないでいたほうがいいのか
桑原桑原 <> (○口○*)さん<>sage<>08/04/03 12:23 ID:Z7LxLsGf0<> つうかFFI(大航海もかな)に活動拠点を移した感じがする
ROは半年前に通った道 <> (○口○*)さん<>sage<>08/04/03 18:10 ID:nkGyUxWN0<> Apple、11件のセキュリティ問題を修正した「QuickTime」v7.4.5を公開
ttp://www.forest.impress.co.jp/article/2008/04/03/quicktime745.html <> (○口○*)さん<>sage<>08/04/04 08:47 ID:AU1n0hjA0<> ここ数日PG2が58■227■193■190をブロックしているのですが垢ハックウイルスに感染しているのでしょうか?
とても心配です(´・ω・`) <> (○口○*)さん<>sage<>08/04/04 09:28 ID:lkQR3HfX0<> >195
そのIPは韓国のものっぽいけど、心配する前にウィルスのチェックやら
WindowsUpdateの確認やら、いろいろと済ませたのかい? <> (○口○*)さん<>sage<>08/04/04 10:34 ID:Mz0AlZLx0<> http://spywaredetector.net/spyware_encyclopedia/Spyware.Blue%20Mountain.htm
スパイウェアだな <> (○口○*)さん<>sage<>08/04/04 11:51 ID:arMDG0GJ0<> やることやってから尋ねろって事だな <> 195<>sage<>08/04/04 19:03 ID:AU1n0hjA0<> 返信送れてすいませんm(_ _)m
WUはIE7へうp以外はすべて完了してます(XP SP2)
カスペの検査も問題なかったです

どうもttp://sankei■jp■msn■com/(産経新聞のHP)にアクセスすると該当IPへのアクセスがでてブロックされるようなので特に問題ないのかなと考えてます
お手数おかけしました <> (○口○*)さん<>sage<>08/04/04 22:54 ID:arMDG0GJ0<> 向こうの誘導キチガイ何とかしてくれ <> (○口○*)さん<>sage<>08/04/04 22:58 ID:1zjRtrdV0<> 向こうの591は俺だが590はネタ振りにしか見えなかった
俺はトスされたボールを打ち返したにすぎない <> (○口○*)さん<>sage<>08/04/04 23:02 ID:nonxIktZ0<> そういう奴は嫌いじゃない <> (○口○*)さん<>sage<>08/04/04 23:21 ID:arMDG0GJ0<> それってネタとして使ってるって事じゃないのか、わかってるなら触るなよ <> (○口○*)さん<>sage<>08/04/04 23:23 ID:1zjRtrdV0<> あれ以外にどう返せと言うのだね
目の前で竜ちゃんが「押すなよ! 絶対押すなよ!」って言ってる気分だったぞ

しかも590どう見ても必要なレスじゃねーし <> (○口○*)さん<>sage<>08/04/04 23:25 ID:arMDG0GJ0<> おまえさんにゃ何言っても無駄のようだ <> (○口○*)さん<>sage<>08/04/04 23:26 ID:1zjRtrdV0<> ちなみに俺が誘導貼ったのは今回が初めてだ
それだけ絶妙なネタ振りだった <> (○口○*)さん<>sage<>08/04/04 23:33 ID:AuMPRr3g0<> だから、そういうネタは、あっちではやるなよ。 <> (○口○*)さん<>sage<>08/04/04 23:35 ID:1zjRtrdV0<> そもそも590がなければ591も必要なく、その590が必要なレスではないという
ネタ抜きにしても他の対応手段はないと思うんだが <> (○口○*)さん<>sage<>08/04/04 23:39 ID:nonxIktZ0<> 放置またはマジレス <> (○口○*)さん<>sage<>08/04/05 00:11 ID:UQgjfhVe0<> そろそろ、向こうが今でも必要なのかどうか、見直す時期なんじゃないかな。
1スレ自体は4年前に建てられたものだし、当時と今では、ハックの内容も、周囲の取り巻く状況も大きく変化している。
それと、RO板というか、MMOBBSにログ保存の仕事を押しつけ杉ではと思う側面もある。
RO板にある事によって、他のオンラインゲームのプレイヤーに注目されにくい部分もあるし。

また、危険アドレスを掲載する事によって、注意喚起にはなるが、一方で該当アドレスが警戒対象になった事が業者の連中に
判ってしまうので、ばら撒くアドレスを新しいものに移行することを加速させてしまう可能性もある。まるで耐性菌の問題のようだが。

そろそろ、掲示板システムに頼らない、外部での情報収集、蓄積のシステムへの移行が必要な時期なのかもしれない。
リネ資料室も、無料DDNSに限界を感じ、独自.jpドメインへの出費も止むなしとなった訳だし。 <> (○口○*)さん<>sage<>08/04/05 01:14 ID:7AjPsspt0<> >>210に激しく期待。 <> (○口○*)さん<>sage<>08/04/05 18:01 ID:Co0fWt8R0<> 本スレの補填された人、zも補填されたのか〜。
自分も被害にあって補填された人なんだけど、zの補填はできませんって
キッパリ最初の文章で断り入れられてたよ。
どうせ2-3Mくらいしかなかったけどさ。 <> (○口○*)さん<>sage<>08/04/05 18:45 ID:uZiho9Re0<> >>43-44です。
一昨日、警察署に出向いてきました。
担当官の作った供述調書に目を通し、おかしいところを直してサインと拇印を押してきました。
調書の内容は、「私は○月○日、このような事件にあいました」という
私目線の口調で書かれたもので、A4の紙に大きめの字で4ページくらいでした。

相方の担当官とも連絡を取ったそうですが、あちらも頭を抱えていたとか。
以前、IPから住所を割り出してあるアパートにたどり着き、
大家さんに頼んで鍵をあけたところ、人は誰もおらずサーバが部屋のど真ん中で動いていただけだったとか。
(プロキシサーバだったみたいです。海外からのアクセス用)
海外からとわかった時点でガンホーから捜査打ち切りと言われないか心配…といってました。

なんにせよ、これでやっと相手を調べにかかることができるそうです。
時間がかかっていますが、手口が常習犯くさすぎるので
担当官も慎重になられているようです。 <> (○口○*)さん<>sage<>08/04/06 14:14 ID:2bDG1N920<> 2117966と似たような(あれよりは小規模な)script注入。
ttp://blog.trendmicro.com/massive-iframe-attacks-continue/
あっちで扱うべきか微妙な(国内での注入が確認されていない)ので
とりあえずこっちに。
www■nmidahena■com
→www■nmidahena■com/test.exe <> (○口○*)さん<>sage<>08/04/06 18:46 ID:1RCQWtZN0<> >>214

削除依頼してこいw
ドットは■に変換!これお約束だぞ

214の内容のこぴぺ(修正済み)

2117966と似たような(あれよりは小規模な)script注入。
ttp://blog■trendmicro■com/massive-iframe-attacks-continue/
あっちで扱うべきか微妙な(国内での注入が確認されていない)ので
とりあえずこっちに。
www■nmidahena■com
→www■nmidahena■com/test.exe <> (○口○*)さん<>sage<>08/04/06 18:51 ID:1RCQWtZN0<> あ・・・俺が吊ってくるわ <> (○口○*)さん<>sage<>08/04/06 19:06 ID:2bDG1N920<> どんまい <> (○口○*)さん<>sage<>08/04/06 19:43 ID:AU+sSuGn0<> TrendMicroも改竄されたことがあるから、あながち間違った対応、とは言い切れないご時勢だけどね。
困ったものだ。 <> (○口○*)さん<>sage<>08/04/06 22:58 ID:KyxjiIez0<> 最近ブラウザを、昔から使ってたIEコンポーネント系タブブラウザ
(※数年前に開発終了してる)からsleipnirに切り替えたんだが
アドレスバーに単語入れるとGoogle の I'm Feeling Lucky で
検索してページ出してくれるのな……

動作が気に入らないからカスタマイズして設定変えたけど
最近のブラウザはこういう動きが多いんだろうか?
これって非常に危険な仕様に思えるんだが…… <> (○口○*)さん<>sage<>08/04/06 23:10 ID:Bi9wt8JQ0<> Donaにはじまり、その後は長いことMoon使ってたが、Sleipnirは
何度も挑戦して馴染めず、結局わりと最近Firefoxに移行してほぼ
落ち着いたかな…… <> (○口○*)さん<>sage<>08/04/06 23:42 ID:bedv7u110<> アドレスバーに単語を入れると検索するって仕様は、いまでは大抵そうだな <> (○口○*)さん<>sage<>08/04/07 05:24 ID:6cbclfTD0<> >>221
単語入れると検索、だけじゃなく
検索した結果のページのどれかを勝手に表示する(I'm Feeling Lucky)
のが危険、って話じゃないの? <> (○口○*)さん<>sage<>08/04/07 11:46 ID:AIF3SVu20<> >>222
>>219の内容はそういうことだよな。
火狐もI'm Feeling Lucky使ってるから気をつけたほうがいいかもしれん。
だが検索結果1位のページ表示だから検索対象が変なサイトじゃない限りは“おそらく”大丈夫だろう。 <> (○口○*)さん<>sage<>08/04/07 13:42 ID:litc0lZe0<> 警察に調査依頼して3週間音沙汰無しなんだけどなんていって催促したらいいかな・・ <> (○口○*)さん<>sage<>08/04/07 13:44 ID:rmMgnaFV0<> 何に対してもだけどこちらから積極的に動かないと進展無いぞ?
遠慮する必要なんて無いし <> (○口○*)さん<>sage<>08/04/07 13:52 ID:q2XcKYCZ0<> 「あの〜アカウントハックの件で○○さんを…」
「異動になりました」 <> (○口○*)さん<>sage<>08/04/07 15:34 ID:dSDzUl2e0<> >223
意図しないページが表示されるという点で気持ち悪い仕様だけど、元々これはGoogleの機能だし
結局の所、Googleを信用するしかないのかもねぇ。

対策としては Sleipnir に標準でついてる検索バーから検索する。
(検索バーは結果が出るので即飛ぶことは無い)

又アドレスバーに単語入れて検索する癖がある場合は 
ツール→オプション→ツールバー→アドレスバー
から検索リクエストをカスタム設定にして設定変更して、I'm Feeling Lucky を
使わないようにする。

それか上の設定から「検索を無効にする」でもいい。


ちなみに自分はアドレスバーの検索が癖になってるので、カスタム設定で以下のような形にして
普通の検索結果が100件出るようにしてる。
http://www.google.co.jp/search?num=100&hl=ja&q=@enc: <> (○口○*)さん<>sage<>08/04/07 17:26 ID:Zet1eURK0<> プニル使いだがアドレスバーも検索バーも表示しない設定にしてるよ。
アドレスはコピーしてCTRL+SHIFT+Vで新規に開けるし、
検索はお気に入りからグーグル開いて入力してる。 <> (○口○*)さん<>sage<>08/04/07 17:57 ID:xDMP1tNV0<> 鯖板にあったもの。アカハックではなく、多分spamなのでこっちに。

|674 Saraの中の名無しさん New! 08/04/07 17:04:46 ID:EgX5XSqq
|今後こちらの掲示板を使用します。
|引き続きトリップなどの練習は練習用で!
|ttp://www■info-kirara■net/cgi-bin/bnbbs/bnrbbs■cgi <> (○口○*)さん<>sage<>08/04/07 20:55 ID:W8D0cCWW0<> >>224
最寄署にしか相談していませんか?
最寄署に再度連絡し、反応が鈍いようだったら警視庁のハイテク犯罪センターにも連絡してはどうでしょう。
捜査が全く進まない旨を伝えて、事情を話せば本庁からせっついてくれたりもします。 <> (○口○*)さん<>sage<>08/04/07 23:33 ID:litc0lZe0<> >>225
そうはいっても自分の不注意で仕事増やしちゃってなんか申し訳なくてさ・・

>>256
そしたらあとは頼む

>>240
!!!
ありがとうございます(´;ω;`)
最寄にだけなんですよ。進展0のようだったら相談してみます <> (○口○*)さん<>sage<>08/04/08 00:26 ID:/K2eAViD0<> とりあえず落ち着け
レス番が飛びすぎだ <> (○口○*)さん<>sage<>08/04/08 01:48 ID:Rp1f9Qg50<> >>256>>240に期待 <> (○口○*)さん<>ksk sage<>08/04/08 02:41 ID:xMmuBuPf0<> 早め早めに動かないと、後回しにされて最終的に忘れられるってこともあるしな <> (○口○*)さん<>sage<>08/04/08 07:43 ID:J3t/v77J0<> 自動車サイト「carview.co.jp」、改竄によりウイルスを仕込まれる
http://internet.watch.impress.co.jp/cda/news/2008/04/07/19123.html

対象は、下記のようだが、既にサイトが存在しない模様。
ソースチェッカーオンラインのキャッシュから拾い出せたのはindex.htmまで。
それから呼びだされる先のファイルは入手に失敗。

ttp://www■414151■com/fjp■js
ttp://www■414151■com/index■htm
ttp://www■414151■com/Real■htm
ttp://www■414151■com/Bfyy■htm
ttp://www■414151■com/Lz■htm
ttp://www■414151■com/XunLei■htm <> (○口○*)さん<><>08/04/08 18:07 ID:HdAEzERK0<> 緊急(5) 重要(3)
ttp://www.microsoft.com/japan/technet/security/bulletin/ms08-apr.mspx <> (○口○*)さん<>sage<>08/04/09 17:29 ID:CU4mCxWO0<> 【      気付いた日時          】4/9
【不審なアドレスのクリックの有無 】 RO全職業各型テンプレ Wiki* のモンクの欄に
Last-modified: 2008-02-03 (日) 12:45:55  これを見た人は、七日以内に死にます。とあったので
【  アドレス   】ttp://wikiwikiあjp/roalljob/?%A5%E2%A5%F3%A5%AFあ
【     OS    】WindowsXP Home
【使用ブラウザ 】IE6.0
【WindowsUpdateの有無】 一か月ほど前
【 アンチウイルスソフト 】 NortonInternetSecurity2007
【その他のSecurty対策 】 なし
【 ウイルススキャン結果】 特になし
【テンプレの参考サイトを読んだか】 BSWIKIはざっと読みました
【hosts変更】無
【PeerGuardian2導入】無
【説明】
あからさまに怪しかったので、「BS安全のために」でアドレスやプロパティ情報を検索にかけてみるも該当なし。
大丈夫かな、と思ったけれど、数日後(昨日)ROを起動しようとすると
エラー:このページでエラーが発生しました
ライン:2
文字:17964
エラー:documは宣言されていません
コード:0
ttp://wwwあragnarokonlineあjp/launch/
このスクリプトを実行し続けますか? はい・いいえ
と出たので不安になりました。これはモンクは関係なく、ROで通常の?トラブルが出ただけなんでしょうか?
一昨日起動したときはなにも出ませんでした。アカハックなんでしょうか?
普通に起動していいのかどうなのかご教示ください。物凄い質問スレではJavascriptがなんとかって
言われましたけど。 <> (○口○*)さん<>sage<>08/04/09 17:32 ID:QA6ilHPl0<> そこまでちゃんとしておいてなんで置換が「あ」なのか…
URLに関してはわからないけどパッチ告知のエラーは癌のミス <> (○口○*)さん<><>08/04/09 18:52 ID:oL5FDXbHO<> >>237
俺もそれと同じエラー出たけど、クッキーと一時ファイル消去したら出なくなったぜ <> (○口○*)さん<>sage<>08/04/09 18:53 ID:QMYIlgPh0<> 別にクッキーは消さないで良い <> (○口○*)さん<>sage<>08/04/09 18:57 ID:pp3rLKic0<> スクリプトエラーは18:48付で修正されたな <> (○口○*)さん<><>08/04/09 18:58 ID:oL5FDXbHO<> ttp://www.ragnarokonline.jp/launch/は公式だぜ <> (○口○*)さん<>sage<>08/04/09 19:19 ID:KbHB3Vqx0<> >公式だぜ

セキュリティソフトを売ってる会社のページが改ざんされる時代ですから。 <> (○口○*)さん<>sage<>08/04/09 19:21 ID:QA6ilHPl0<> パッチ告知がハックされてウイルス仕込まれたら大惨事だよな <> (○口○*)さん<>sage<>08/04/09 19:26 ID:CU4mCxWO0<> アカハックとかじゃなかったんですね!よかった〜安心できました。
お答えありがとうございました。>>238置換はなんでもいいのかと思って、「あ」に
してしまいました。次からは■にします。すみません。 <> (○口○*)さん<><>08/04/09 23:34 ID:oL5FDXbHO<> 次がないことを祈る! <> (○口○*)さん<>sage<>08/04/10 18:08 ID:dSRAppSs0<> カスペオンラインスキャンのフォントがなんかへんなんだが・・・ <> (○口○*)さん<>sage<>08/04/11 23:04 ID:Iqt+IXbn0<> ちょっと相談。下記のURL行ったらPG2が弾いてて
ttp://www■amury■com/reading■html
リネトロイのリスト内の物らしいんだけど
ttp://www.aguse.jp/で見るとただの跡地ぽいんだよね。
これって危ないURL? <> (○口○*)さん<>sage<>08/04/11 23:58 ID:Il078EVY0<> >>1 <> (○口○*)さん<><>08/04/12 04:01 ID:Knaqw/kcO<> っソースチェッカーオンライン <> (○口○*)さん<>sage<>08/04/12 14:45 ID:DqnwAWaA0<> ソースチェッカーオンラインで
安全度とカーソル合わせた時の説明はわかるけど
ソースが安全かどうかはどうやって見ればいいかな? <> (○口○*)さん<>sage<>08/04/12 15:20 ID:lIkQtn+t0<> >>251
それを自分で判断するんだ。危険なサイトの特徴があるかどうかを。

サイズ0のiframe読み込みがあって、カウンターとかじゃなく、なおかつ、既知の危険アドレスであるとか、
なにかのexeを読み込ませようとするものであるとか、既知のアカハック先と同じようなスクリプトあるとか、
Wikiのサイドメニューのリンク先が全部同じで、TOPページと別サイトであるとか、
アニメカーソルを読み込ませるようになっていて、そいつの中身が(以下省略

ある程度は読み取ったけど、ここがわからないとかなら、ここで質問しても歓迎される。
なにがわからないのかもわかりませんというなら、htmlの読み方から覚えてこいと放置される。 <> (○口○*)さん<>sage<>08/04/12 15:27 ID:8fHJzLQl0<> zipファイル落とさないでアクセスしただけなら大丈夫だよな・・・ <> (○口○*)さん<>sage<>08/04/12 16:02 ID:grzDFqCA0<> ここはアドレスじゃなくてもいいのでしょうか

【ファイル名】c:\windows\system32\optserve■exe
【 気づいた日時】昨日の23時頃
【 ウイルススキャン結果】avast4,8(無料版)でマルウェアと診断

googleで検索したところ、なにやらよろしくない物のようで
判断を仰ぎたく貼らせていただきます <> (○口○*)さん<>sage<>08/04/12 16:08 ID:u/3vt/pV0<> >>254
アンインストール方法
ttps://www■optmedia■jp/techinfo/detail/?did=0000005 <> (○口○*)さん<>sage<>08/04/12 16:09 ID:DqnwAWaA0<> >>252
なるほど。暇な時にでも勉強してみる・・ <> (○口○*)さん<>sage<>08/04/12 16:34 ID:grzDFqCA0<> >>255
ありがとうございます
調べたところ、キーボードレッスン6というものが入っていたらしく
それで広告等が表示されていたようです

キーボードレッスンをアンインストールし、おそらく元に戻ったと思われます
ありがとうございました <> (○口○*)さん<>sage<>08/04/13 00:18 ID:RUjVVhMn0<> アカハックではないので、こちらで。spamメールにくっついてきたもの。
いずれも、リンクさせようとするのが、グーグル経由。
例)ttp://www■google■com/pagead/iclk?sa=l&ai=OsSboo&num=(数値)&adurl=該当アドレス

ttp://www■omshoponline■com/gallery■php
ttp://www■omshoponline■com/gallery■html
ttp://www■omshoponline■com/gg■html
ttp://www■omshoponline■com/mgp■exe

ttp://www■miles-stein■de/gallery■php
ttp://www■miles-stein■de/gallery■html
ttp://www■miles-stein■de/gg■html
ttp://www■miles-stein■de/mgp■exe

ttp://e-kasa■w8w■pl/video■exe
ttp://www■bambinidimanina■org/video■exe
ttp://gaan■co■kr/video■exe
ttp://www■sural-autoparts■com/video■exe
ttp://mitoltd■com■tr/video■exe
ttp://missonline■es/video■exe
ttp://westphoto■org/video■exe
ttp://normrestorasyon■com/video■exe
ttp://fernbedienung■ch/video■exe
ttp://robert■nogacki■9■w■interia■pl/video■exe
ttp://ricekorea■co■kr/video■exe
ttp://www■ccav■org■ar/video■exe
ttp://westphoto■org/video■exe <> (○口○*)さん<>sage<>08/04/13 00:19 ID:RUjVVhMn0<> (続き)
video.exeは直接呼びだされ、gallery.phpは、
gallery.html->gg.html & mgp.exe の順に本体を呼びださせる。

アドレスは数日で使えなくなる様子。実体は全部同じもの。
gallery.html : NotDetected
gg.html : Trojan-Downloader.JS.Iframe.ey
mgp.exe : Trojan-Downloader.Win32.Exchanger.u
video.exe : Trojan-Downloader.Win32.Exchanger.r

gallery.htmlは、アカハックと同じようにiframeで他のページを呼び出すが、
サイズ0ではなく、style="width:1px; height:1px;" という書式になっていることで
セキュリティソフトの検出避けを試みている模様。回避手法の一例として紹介。

でも、呼びだされた先や本体は殆どのベンダーが対応済みなので、gallery.htmlが
すり抜けても実害はなさそう。 <> (○口○*)さん <>sage<>08/04/13 02:38 ID:4Kyt02nW0<> ttp://www■skywebsv■com/Blog/
を踏んでしまい知人が感染いたしました。

OSを入れなおしたのですが、データのバックアップは
感染時に接続していた外付けHDDにいたしました。

バックアップデータをCドライブに戻しても問題ないでしょうか?
また外付けHDDも初期化するべきでしょうか? <> (○口○*)さん<>sage<>08/04/13 02:43 ID:RUjVVhMn0<> >バックアップデータをCドライブに戻しても問題ないでしょうか?
感染していないデータであれば、戻しても問題無い。
前提条件である、感染していないデータかどうかの判断ができない場合は、誰も安全性を保証できない。

まず大丈夫だとは思うが、現在しられているマルウェアの中には、リムーバブルディスクを含む、
稼動時に接続されているすべてのドライブのオートランに取り付いて、繋いだだけで自身を実行させようと
試みるものもいる。

よって、これも、安全性を保証できない。

踏んでしまった時点と現時点での中身が異なる可能性もあるが、誰か奇特な人が、検体を入手し、
検出名をはっきりさせた後なら、その検出名のマルウェアの挙動について検索し、理解し、
安全かどうかを判断する参考にすることができる。

結局のところ、全ては"自己責任"という4文字に集約される。 <> (○口○*)さん<>sage<>08/04/13 02:58 ID:RUjVVhMn0<> アカウントハック総合対策スレ9
ttp://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/592

報告のアドレスについては、総合スレで言及されている。
呼びだされるファイルについては、該当のvirusTotal結果を見るとこうなっている。
4/6「Trojan.Win32.Inject.amb」

4/8に検体提出した際にも「Trojan-PSW.Win32.OnLineGames.wmz/Trojan.Win32.Inject.amb」であった。
(k1.exeには2つのファイルが含まれており、検出名は2つ存在する)
現時点で捕獲してスキャンした結果の検出名も同じである。

仮に、踏んだのが4/6〜4/13 2:50頃の間であれば、上記の2つについての解説サイトを確認し、
感染するような挙動をとったかどうかを判断すればいいことになる。
そのものずばりがない場合は、亜種区別の部分を削って、類似するものの挙動を確認すべし。 <> まとめ臨時 ◆kJfhJwdLoM<>sage<>08/04/13 05:57 ID:Lv4p4/JW0<> >>258-259
アカハックではない と言う文章を読みすごし、
サイト名をaguse.jpやGoogle先生で名前検索していました。
video■exeの置き場所のトップページは
えろそうなページやらレンタルサーバーっぽい画面が出てきたりしちゃったりして、
当然と言えばなんですけど世界のドメインって色々あるんですね…。

>アドレスは数日で使えなくなる様子。実体は全部同じもの。
との事でしたが、その点がどうなるのか判らなかったので、
臨時用?にそれ用のリストを貼って見ました。 <> まとめ臨時 ◆kJfhJwdLoM<>sage<>08/04/13 05:58 ID:Lv4p4/JW0<> 以下>>258-259 で報告の臨時用

127.0.0.1 www■omshoponline■com
127.0.0.1 www■sural-autoparts■com
127.0.0.1 www■normrestorasyon■com
127.0.0.1 www■miles-stein■de
127.0.0.1 www■missonline■es
127.0.0.1 www■e-kasa■w8w■pl
127.0.0.1 www■robert■nogacki■9■w■interia■pl
127.0.0.1 www■bambinidimanina■org
127.0.0.1 www■westphoto■org
127.0.0.1 www■westphoto■org
127.0.0.1 www■ccav■org■ar
127.0.0.1 www■fernbedienung■ch
127.0.0.1 www■ricekorea■co■kr
127.0.0.1 www■gaan■co■kr
127.0.0.1 www■mitoltd■com■tr
127.0.0.1 omshoponline■com
127.0.0.1 sural-autoparts■com
127.0.0.1 normrestorasyon■com
127.0.0.1 miles-stein■de
127.0.0.1 missonline■es
127.0.0.1 e-kasa■w8w■pl
127.0.0.1 robert■nogacki■9■w■interia■pl
127.0.0.1 bambinidimanina■org
127.0.0.1 westphoto■org
127.0.0.1 westphoto■org
127.0.0.1 ccav■org■ar
127.0.0.1 fernbedienung■ch
127.0.0.1 ricekorea■co■kr
127.0.0.1 gaan■co■kr
127.0.0.1 mitoltd■com■tr

追加として必要との要望がありましたらホムペのほうにも追加しますが、
いかが致しましょうか? <> (○口○*)さん<>sage<>08/04/13 06:07 ID:BJ/ulIhw0<> >>263
多分、↓で紹介されているドメイン・テイスティングを利用した手法だろう。
無料試用期間として設けられている5日間、Add Grace Period(AGP)を濫用し、費用を負担せずに次々とドメインを使い捨てる。
ttp://journal.mycom.co.jp/news/2008/01/31/011/ <> (○口○*)さん<>sage<>08/04/13 09:40 ID:RUjVVhMn0<> >>264
追加はしなくていいと思う。ただの手法紹介だし。入れた時には失効してるドメインを入れる価値ないし。
それでもブロックしたい人なら、ここ↓のブロックリストを自己責任で入れればよし。
http://www.malware.com.br/ <> (○口○*)さん<>sage<>08/04/13 13:16 ID:RUjVVhMn0<> >>260
書くの忘れてたが、相談なら、

■ >>4のテンプレ位埋めてこい
■ 知人本人つれてこい、代理は却下だ
>>6の通りにやっとけ

という訳で、出直してこいや〜〜〜〜〜〜〜 <> (○口○*)さん<>sage<>08/04/13 19:50 ID:g6QRWntx0<> 垢ハックされたので、Cドライブをクリーンインストールしまして
DドライブにはROが入っていて、ROを起動するとタスクマネージャの
プロセスタブに今まで無かったRagexe.exeがあるのですが・・・
これってまだウイルスが取れていない可能性高いでしょうか?

ちなみにカスペをインストールして使用しています。
カスペ使っててウイルスにかかってないけど、Ragexe.exeのプロセスが見えてる人など
いましたら教えてください。 <> (○口○*)さん<>sage<>08/04/13 19:59 ID:NxPGN54w0<> リネージュ資料室より
ttp://lineage.paix.jp/guide/security/virus-site.html
2008年4月上旬、自動車総合サイトの「カービュー (carview.co.jp)」が
不正アクセスにより改竄され、ウィルスが埋め込まれました。
埋め込まれたのは fjp.js という名前のJavaScriptで、
オンラインゲームのアカウント情報を盗むウィルスのインストールを試みます。
カービューのお知らせではウィルス対策ソフトでのチェックを勧めていますが、
4月7日時点ではシマンテック、トレンドマイクロ、マカフィー、NOD32、avast!、 AVGの
いずれでも検出できませんでした。
心当たりの方は、カスペルスキーのオンラインスキャンの利用をお勧めします。 <> (○口○*)さん<>sage<>08/04/13 20:49 ID:RUjVVhMn0<> >>269
fjp.js でぐぐってみると、埋め込まれたサイトのアドレスは、ttp://www■414151■com/fjp.js で
DNSで名前解決できなくなっている。>>265の指摘する手法で使い捨てられたドメインかもしれない。

ソースチェッカーで履歴が残っていたので、辿ってみると、fjp.js->index.htmと呼びだされ、
index.htmからは、Ajax.htm/Ms06014.htm/Real.htm/Bfyy.htm/Lz.htm/XunLei.htm が呼びだされる。

リネージュ資料室の置き場更新情報を見ると、www■k5dionne■comや、www■infosueek■comなどと
呼びだすファイル構成が同じようだ。

Backdoor.Win32.Hupigon.dsx/Trojan-PSW.Win32.LdPinch.beo/Trojan.Win32.Inject.ama/Trojan-PSW.Win32.OnLineGames.wmz
などのファイルを呼びだす模様。これは検体提出済みで、カスペは既に対応している。
他社は…まぁ、それなりに対応してくれることでしょう。多分。 <> (○口○*)さん<>sage<>08/04/13 21:46 ID:NxPGN54w0<> ajax、bfyy、lz、qvod、pps、real、xunlei、yahooなどは
2117966と同じCuteQQで生成されるファイル群ですな。 <> まとめ臨時 ◆kJfhJwdLoM<>sage<>08/04/14 22:18 ID:+Ldcpn240<> >>265-266
265さん、情報ありがとうございます。
でも今後その手法でやられると非常に厄介ですね…。
それに266さんの言われるように存在しないものを追加しても仕方ないですし、
と言いつつアカハック分とか危険なURLについては追加していたりします。

件の手法の無料5日間ドメインの利用って
BOTの使い捨て無料アカウントを連想してしまいました。 <> (○口○*)さん<><>08/04/15 03:29 ID:qjzIGEsnO<> >>268

正常 <> 268<>sage<>08/04/15 16:56 ID:sLf2lfBLO<> 回答ありがとうございます。
おかげで安心しました。 <> (○口○*)さん<>sage<>08/04/16 01:11 ID:qa53opBv0<> 誘導されて、こちらのスレッドに、お金の関係で警察署まで行くのは
お金がきついので、最寄の交番でも大丈夫ですかね・・?
今、ガンホーに報告して、今日、警察に行くところなのですが・・・ <> (○口○*)さん<>sage<>08/04/16 01:31 ID:EmZmtLo20<> 交番じゃ流石に手に余ると思う。
面倒でも警察署まで出向かないと。
このスレをCtrl+Fで「警察」とでも検索すればいろいろ役に立つ情報があるかも。 <> (○口○*)さん<>sage<>08/04/16 15:53 ID:YOb9tyEW0<> 誘導するにも質問に答えて、次からはこっちでしてくれよな的に誘導すりゃいいのに
なんでテンプレ貼り付けるだけを延々繰り返すゴミがいるんだろうな <> (○口○*)さん<>sage<>08/04/16 16:01 ID:Tp1mVwuT0<> 取り敢えず、こっちでコメントつけてあげようぜ。こっちでgdgd言ってるのもいい加減みっともない。

アカウントハック総合対策スレ9
ttp://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/596
|596 (^ー^*)ノ〜さん sage 08/04/16 13:13 ID:Q6/4PDFF0
|NOD32アンチウイルス体験版て期限切れたらまた入れなおして使ってもok?

だめ、絶対。NOD32以外のメーカーでも、体験版は、購入するだけの価値があるか判断する為のものです。
いいと思ったらちゃんと購入しましょう。購入する気がないなら、フリーのセキュリティソフトを使いましょう。 <> (○口○*)さん<>sage<>08/04/16 16:08 ID:YOb9tyEW0<> そもそも期日切れて再インストールしても、前の情報見て使えないんじゃなかったかね <> (○口○*)さん<>sage<>08/04/16 16:33 ID:pvDLZeBz0<> 日付のチェックが無くて何度でも入れれる物も中にはあるけど
普通は再インストール出来ない。
もしする場合はOS再インストール。

レジストリ戻すだのなんだので裏技的な事をすれば可能な場合もあるが
そこまでするなら買えと言いたいわな。
高いものじゃないし、必要品なんだし。

そしてNOD32がどうなってるか知らない。
規約的にも問題あるし、どうしてもタダでやりたいなら、別でフリーのを
使う方がいい。 <> (○口○*)さん<>sage<>08/04/16 16:43 ID:Tp1mVwuT0<> NOD32は体験版の使用登録したメールアドレスに一定期間有効なIDとパスが送られてくる。
捨てメールアドレスを用意すれば何回でもできるが、倫理的にやっちゃいけないだろう。 <> (○口○*)さん<>sage<>08/04/16 18:34 ID:zCxM4OIb0<> >>275
つーかまず警察に電話はいれたのか?
いきなり行っても意味ないぞ。
ガンホーに報告したならメール返事きたよね。
そのなかから、各県のハイテク犯罪担当課へのリンクが探せるよね。
まず電話して事情説明し、アポとってから行くものだよ。

それと、このスレはじめから目通してくださいな。 <> 275<>sage<>08/04/17 00:18 ID:6jSVlbxb0<> やばい・・・驚天動地の極みに達したからか、手順がとち狂いまくり・・
ガンホー:こちらで調べます。
俺:警察に相談、IDやらパスやら、全部教えて、いろいろ質問に答える
帰ってきて今、レスを読んで、早まったかと後悔してる <> (○口○*)さん<>sage<>08/04/17 04:03 ID:SydqF+ts0<> >総合スレ9-598
|598 (^ー^*)ノ〜さん sage New! 08/04/17 01:31 ID:hlIIq9ty0
|3分で糞レス返すなんてどんだけ暇なんだwwwwwwwwww
|休日なら休め! ニートなら仕事探せ!

貴様には1つ上の投稿で十分だ
|597 (^ー^*)ノ〜さん sage 08/04/16 13:16 ID:jYvVWh+Q0
|重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
|対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

|セキュリティ対策、質問・雑談スレ5
|http://enif.mmobbs.com/test/read.cgi/livero/1205488101/ <> (○口○*)さん<>sage<>08/04/17 04:08 ID:zalIr0NY0<> 無理にこっちでレスする必要もないんだぜ、ほっとけ <> (○口○*)さん<>sage<>08/04/17 05:51 ID:kLMXpPLA0<> >>284
レス内容に対してきちんと返答できず煽り、特に人格叩きに走ってる時点で
自らの愚かさを認めて敗北宣言しているような物なので放置すりゃいいよ

>>283
警察といっても担当分野という物があるからな
上のレスにもあるように、ハイテク犯罪関係の部署に電話してから行かないと意味無いぞ
ちゃんと担当者の名前を聞いてメモってから行くようにな
様子を見ると肝心な時に慌ててしまうタイプに見えるので、最初から言いたい事をメモしておくのもあり <> (○口○*)さん<>sage<>08/04/17 12:05 ID:Iiib8bGQ0<> Firefox2.0.0.14リリース
Criticalな脆弱性の修正1件 <> (○口○*)さん<>sage<>08/04/17 12:13 ID:Iiib8bGQ0<> ついでにSafari3.1.1リリース <> (○口○*)さん<><>08/04/17 18:42 ID:KxmW42MJO<> カスペルスキーにしたんですが、起動時ごとにカスペルスキーのプロセスavp.exe数が変わるんですが(2〜3個です)、仕様でしょうか? <> (○口○*)さん<>sage<>08/04/17 18:46 ID:SydqF+ts0<> 複数起動してるのは知ってるが、個数までは気にしたことなかったな。

スタートアップスキャンしてる間は1つ増えるとかじゃねーの? <> (○口○*)さん<>sage<>08/04/17 18:50 ID:KxmW42MJO<> いや、それが3個の時は電源落とすまで3個で、2個のときは電源落とすまで2個のままです。 <> (○口○*)さん<>sage<>08/04/17 22:26 ID:PiMANuEZ0<> >>284-286
そのレスは煽ってオマイらのようなヤツが埋めてくれるのを
期待して書き込んでるんだから、あっちで書いとくれ

>>286
どこら辺が人格叩きなのか文盲な俺でも判る様に解説してくれ

レス内容に対しての返答 →暇な書き込みするなら休むか探せ

597に対してはきちんと返答しているぞ
内容に関してはスレにそぐわないのは重々判っているが <> (○口○*)さん<>sage<>08/04/17 22:37 ID:SydqF+ts0<> >>292
総合スレのテンプレを読んで理解してくれ。お前さんの書き込みはスレ違いの荒らし行為にしかなっていない。
>284-286に対するコメントも筋違い。総合スレを荒らさないようにこちらに持ち込んでるんだよ。

ここまで言っても理解できないなら、まずは半年ROMっててくれ。 <> (○口○*)さん<>sage<>08/04/17 22:39 ID:zalIr0NY0<> 真性様には何言っても無駄だーな <> (○口○*)さん<>sage<>08/04/17 23:13 ID:mglWSIeS0<> >>289
ここに仕様かどうかが分かる人が居るわけ無い
サポートに聞け <> (○口○*)さん<>sage<>08/04/17 23:44 ID:KxmW42MJO<> サポートに聞いたら仕様らしいです。そのときの状態で変化するそうです。失礼しました。 <> (○口○*)さん<>sage<>08/04/18 02:22 ID:rTRGmZZ10<> >>293
 >>286は煽った当事者のレスだな

>>293-294
>まずは半年ROMっててくれ
>真性様には何言っても無駄だーな

          ____   
       / \  /\ キリッ
.     / (ー)  (ー)\      
    /   ⌒(__人__)⌒ \ 決まった……俺カッコイイ
    |      |r┬-|    |     
     \     `ー'´   /    
    ノ            \
  /´               ヽ              
 |    l              \
 ヽ    -一''''''"~~``'ー--、   -一'''''''ー-、.    
  ヽ ____(⌒)(⌒)⌒) )  (⌒_(⌒)⌒)⌒)) <> (○口○*)さん<>sage<>08/04/18 15:09 ID:/dWDkG8M0<> 自分自身で努力しましたが、不安が拭いきれない為書き込ませて頂きます。

【気付いた日時】今朝
【不審なアドレスのクリックの有無】「フェンリル板」とググって2番目に出ていたので、クリックしてしまった。
【アドレス】jbbs■livedoor■jp/computer/39711/
【OS】WindowsXP Home SP2
【使用ブラウザ】IE6.0 sp2
【アンチウイルスソフト】avast4.8
【その他のSecurty対策 】Spybot S&D
【ウイルススキャン結果】カスペル・avast・spybot全てに異常なし
【テンプレの参考サイトを読んだか】Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
開いた時に何かあったわけでもないのですが、謎の掲示板にしか思えず。
ソースチェッカーでチェックも行い、ざっと自身で確認したところ、
問題は見つからなかったのですが、「Ragnarok Fenrir板」とつけられているので
RO関係であるという点で非常に不安に。
宜しくお願いします。 <> (○口○*)さん<>sage<>08/04/18 15:49 ID:U1MIeqMn0<> >>298
フェンリル板はこっちだぞ
http://fenrir.rash.jp/fenrir/

ただ、そっちも普通のLivedoorのBBSで、怪しげなスクリプトも
【現時点では】見当たらないように思える。
【現時点で、見落としてなければ】無害ぽい。

管理人を自称する人の投稿も2/16〜18辺りで、なにかやろうとして
立ち上げたものの、放置されるようになった場所ではないかと思われる。

放置推奨。グーグルツールバーを入れてるなら、F5→投票の連続で、
正規のフェンリル板を検索上位になるようにするといいんじゃないかな。 <> (○口○*)さん<>sage<>08/04/18 17:22 ID:/dWDkG8M0<> >>299
お手数お掛けしてしまって、申し訳ないです。
フェンリル板の正式な場所は知っていたんですが、いつも検索で行く癖がありまして。
グーグルツールバーは入れてないんですが、投票機能があるのですね。
インストールして誤爆で踏まないように、対応したいとおもいます。
本当に有難うございました。 <> 283<>sage<>08/04/18 18:21 ID:VQUbqa2a0<> ログインしてみたところ、キャラクターの
z及び、アイテムが無くなっていました

そして、当方のIDから持ち去ったと見られる
アイテムを露店に出している商人がいました
そのキャラクター名・露店の中身をSSにとってあります。 <> 283<>sage<>08/04/18 18:25 ID:VQUbqa2a0<> 上が質問内容で、それに対して、ガンホーから

ご報告いただいた情報を元に調査を行った結果、お客様のご報告内容と一致しない、
アトラクションIDの使用形跡を確認致しました。

つきましては、お客様のアトラクションIDの使用状況について
いま一度、以下の点についてもご確認ください。
 ・家族や友人とのID共有や貸与
 ・ネットカフェやご友人宅でのゲームをプレイ
 ・不正ツールの使用
〜〜云々と色々続いて、最期にそれでも第3者による理由と思われる場合は
警察にご相談くださいと返事が返ってきました。
これは、垢ハックと認定されなかったということですよね?
どなたか、この状況になったことはありますか? <> 283<>sage<>08/04/18 18:26 ID:VQUbqa2a0<> ウイルスを削除しようとして、起動に必要なファイルも消してしまったらしく
返事をすぐにすることができません・・・ どうか、そこはご容赦ください。
連投失礼 <> (○口○*)さん<>sage<>08/04/18 18:33 ID:U1MIeqMn0<> >>302
|・ アカウントハッキングについて(ガンホー公式)
|  http://www.ragnarokonline.jp/playguide/hacking/

ガンホーに動いて貰う為には、必ず、警察に相談しなければなりません。 <> 283<>sage<>08/04/18 18:37 ID:VQUbqa2a0<> うーん・・・ 一応、警察には相談したのですが、ガンホー曰く
まだ、何も捜査協力依頼が来ていないらしいので、ここは警察の担当者
にもう一度、話してみるしかないですかね?

ガンホーが垢ハックと認定、でも手が出せません じゃあ、警察が
という流れだと思っていたのに・・・ <> 283<>sage<>08/04/18 18:39 ID:VQUbqa2a0<> ご報告いただいた情報を元に調査を行った結果、お客様のご報告内容と一致しない、
アトラクションIDの使用形跡を確認致しました。

この一文から、結局どうだったのか、読み取れない・・
これについても、お願いします。 <> (○口○*)さん<>sage<>08/04/18 18:41 ID:C6nykswW0<> 書いてあるとおりじゃないの? <> (○口○*)さん<>sage<>08/04/18 18:42 ID:eu74ICHa0<> 何をどうお願いしますなんだ… <> (○口○*)さん<>sage<>08/04/18 18:42 ID:nnox/brF0<> 読んだとおりの内容なのに理解できんのか <> 283<>sage<>08/04/18 18:47 ID:VQUbqa2a0<> 報告内容と一致しない 垢ハックではないと認定されたのなら
警察にお願いしても無理かなあと・・・

それで、同じような状況の人がいないかと・・・ <> (○口○*)さん<>sage<>08/04/18 18:53 ID:Q1I/bGgQ0<> 日本語でおk
>お客様のご報告内容と一致しない、アトラクションIDの使用形跡を確認致しました。
お前がこのときとこのときとこのときに繋いだって言ったののほかに、誰かが接続してたって言ってんだよ
だから警察行って犯罪だと認められてから出直してねって話 <> 283<>sage<>08/04/18 18:55 ID:VQUbqa2a0<> >>311氏 ありがとう!! やっと、理解できた!
そして、次にくるときは日本語で書き込んできます。 <> (○口○*)さん<>sage<>08/04/18 19:02 ID:tAdJKcKK0<> 動転してるからちゃんと理解出来てないんじゃないのか?
報告内容と一致しない仕様形跡を確認したってことは、
283以外の誰かが283のID使ってROに入ったってことだよ。

ガンホーから言われてるこれについて、283の思い当たることはないの?
 ・家族や友人とのID共有や貸与
 ・ネットカフェやご友人宅でのゲームをプレイ
 ・不正ツールの使用

これのどれでもないなら警察で相談しろってことです。

ここまでかいてリロードしたら311さんが分かりやすく説明してくれたぜ。
消すのめんどいから送信(゚∀゚)

あと、アカハックで気が回ってないだろうけど、まずはオチツケ。
落ち着いてセキュスレ1から読んで、過去スレも読んで、日本語でおkしろ。
動転すると二次被害だのなんだのあるからな。 <> (○口○*)さん<>sage<>08/04/18 21:26 ID:/FIxJq7e0<> http://internet.watch.impress.co.jp/cda/news/2008/04/18/19291.html
>具体的には、カード決済で使う本人認証システム「3Dセキュア」を導入しているガンホーなどのゲームサイトで、
>抽出したクレジットカード番号と、サウンドハウスのサイトのパスワードをマッチングさせて本人認証を通過。
>その後、金券や商品を購入してRMT(Real Money Trade)などのサイトで転売するなど、足が付かないかたちで換金していたとしている。 <> (○口○*)さん<>sage<>08/04/19 12:36 ID:AkQgmSCQ0<> 【      気付いた日時          】 2008/04/14
【不審なアドレスのクリックの有無 】 RO関連の掲示板、RO関連ブログ数件のどこかでJ-WORDのようなPOPup出た記憶アリ
【  アドレス   】どれか不明
【     OS    】WindowsXP Home SP1
【使用ブラウザ 】IE6.0 sp1
【WindowsUpdateの有無】 2年ぐらい前?
【 アンチウイルスソフト 】 なし
【その他のSecurty対策 】 ルータ有
【 ウイルススキャン結果】 Ad-aware2008で未検出
【テンプレの参考サイトを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
・svchostが普段3個が4個起動されている
・TCP5000とUDP6876のポートをLISTENしてるぽい(fportより。実行ファイルは空欄)
・ネットにつなげておくと「win英数字ランダム5文字.exe」(26624バイト)と
 「英数字ランダム8文字ぐらい.exe」(こっちは消してしまった)
 がダウンロードされて実行される
 http://www■virustotal■com/jp/analisis/51395846e51168339cc5337f92caf83d
・rootkitbuster2.2.1014を起動したがなにもみつからない
・さらにしばらくあとに起動してみたらファイルサイズが2,277,376バイトに増えて
 (ダウン直後は2,200,032バイト)Integrity testでerror
・ウィルスバスターのオンラインスキャンは起動後、データ接続開始あたりの2%で止められる
・kasperskyはそもそも見られない orz
・avastのフリー版入れようとセットアップ起動するも、セットアップすら途中で止められる
・レジストリは他のrootkit系のさわりそうなところをざっと眺めたが見当たらず
・a-squaredのオンラインスキャンではrootkit.win32.agent.itとrootkit.win32.agent.jc発見検疫
  しかしまだ症状かわらず

それなりのレベルなネットワーク系SEだと思ってるが、検出できんから対処方法がみつからん。。。
rootkitやbackdoorの系統の、本体見えない系だとは思うのだが、なにか情報もらえないかな
最近のSQLインジェクション使ったブログ系統の感染症状なのか判断がつかない。
まぁ最悪はゴーストでイメージあるから戻すだけなんだが、なんとかつぶしたい
RO関連のHPしかみてないから、こっちで質問してみました
#気をつけててもアップデートしないとひっかかるんだなぁというのが実感。 <> (○口○*)さん<>sage<>08/04/19 12:47 ID:H32ozt8t0<> ↓ほどほどにしてくれよ <> (○口○*)さん<>sage<>08/04/19 13:17 ID:WV5GzwjF0<> いやー、ド素人な自分には何言ってるかサッパリッスよ〜
力になれなくてすいやせんね、ヘヘ <> (○口○*)さん<>sage<>08/04/19 13:28 ID:vikRQvVS0<> それなりのSEとか言ってサービス一覧とかスタートアップ見てないのか?
「開始」されてるのだけ数えりゃせいぜい20〜30だろうし全部当たってみりゃいい <> (○口○*)さん<>sage<>08/04/19 13:43 ID:me5qBwY/0<> >#気をつけててもアップデートしないとひっかかるんだなぁというのが実感。
自称SEの方ですか?
回りに被害を広める前にさっさと再インストールしろ <> (○口○*)さん<>sage<>08/04/19 13:47 ID:hTltHr8d0<> 拾ってきたサイトも判らない
exeファイル名も判らない
そしてWindowsXP Home SP1

うちらにどうしろと
はいはいアップデートしましょうねー、とでも言って欲しいのか <> (○口○*)さん<>sage<>08/04/19 14:09 ID:UEMR3v+60<> >>320見てたら犬のおまわりさんが脳内で再生されたわwww <> (○口○*)さん<>sage<>08/04/19 14:10 ID:CtuhdM0q0<> それなりのレベルなネットワーク系SE(笑) <> (○口○*)さん<>sage<>08/04/19 14:21 ID:AkQgmSCQ0<> スタートアップはレジストリからみてたが、サービス一覧から中に書かれてる全起動ファイル確認は見落としてたわ
さんくす>318
まぁあやしげなのはとめたが変わらんようだ

ファイル名わかってれば対処ぐらい自分でするよ
欲しい情報は、ブログ感染系の奴の振る舞いの情報だったんだが。
感染後だから、アップデートは無意味だ
すでにネットから切り離していぢって遊んでるとこ

ちなみに、感染時は未発見、今は対策されたらしい
前述のファイルはTROJ_DLOADER.AHHとして検出されたわ
#隔離したファイルを別PCで検出しただけだから、本体はtrendmicroつながらんのだけどな。 <> (○口○*)さん<>sage<>08/04/19 14:32 ID:WV5GzwjF0<> あぁ、釣りじゃないの
入れ食いだったから大喜びで宣言すると思ったのに

>>感染後だから、アップデートは無意味だ(キリッ
じゃねーよ、最初からしておけよ SP1ていつの話だよ <> (○口○*)さん<>sage<>08/04/19 14:45 ID:aVT8DoAC0<> そもそも今のSEは何でもSEで、言ったもの勝ちな職種になってるから、
(業界関係者)と同じくらいの意味しかないぞ。 <> (○口○*)さん<>sage<>08/04/19 14:51 ID:xphBn+iy0<> 使えないはメールとかの文章がルー大柴
ひどい奴はしゃべり方までルー大柴

一回オールデリートしてインストールをワンモアしちゃってよ <> 326<>sage<>08/04/19 14:52 ID:xphBn+iy0<> 使えないSEは だ・・・
俺も使えないSE <> (○口○*)さん<>sage<>08/04/19 16:25 ID:eQqDh01e0<> もはや、どこからどう突っ込むべきか・・・・・・・・・・

WindowsUpdateとセキュリティソフト完備(カスペかAntiVirのような対応の早いもの推奨)のPCも
HDDを外付で繋いでスキャンしてみれば、ルートキットも除去できるとは思うが、そこまでのものは
フォーマットでもしない限り回復不能だろう。多分、OSの基幹部分にまで食