(○口○*)さん <><>08/11/23 08:30 ID:+2Sc4qx90<> ■ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ■

アカウントハックに関する情報の集積・分析を目的とするスレです。
被害や攻撃等のアカウントハックの具体的事例及びセキュリティ全般の
話題を取り扱います。

報告用&質問用にはテンプレ (>>4)を利用してください。

・ 対策の参考情報アドレス (>>2)
・ このスレでよく出てくるアプリケーションやサイトとオンラインスキャン (>>3)
・ 報告用&質問用テンプレ (>>4)
・ 安全対策の簡易まとめ、アカウントハック対応の要点とFAQ (>>5,>>6)
・ その他関連(>>7)


■スレの性格上、誤って危険なURLがそのまま貼られてしまう可能性がある■
■URLを無闇に踏んで回らないこと。報告・相談はテンプレを利用すること■

※ ID/Pass/サーバ/キャラ名等の情報は公開しないでください
※ ネタや程度を超えた雑談・脱線はご遠慮ください

・スレ立ては>>970がしてください。反応がなければ以降10ごとに。


【過去スレ】
・アカウントハック対策・セキュリティ 総合スレ Lv.2
http://enif.mmobbs.com/test/read.cgi/livero/1220220582/
・アカウントハック対策・セキュリティ 総合スレ
http://enif.mmobbs.com/test/read.cgi/livero/1213363112/

以前のログはROセキュリティWiki(http://rosafe.rowiki.jp/)へ <>アカウントハック対策・セキュリティ 総合スレ Lv.3 (○口○*)さん<>sage<>08/11/23 08:31 ID:+2Sc4qx90<> 【対策の参考情報アドレス】
・ROセキュリティWiki
  http://rosafe.rowiki.jp/
・ROアカウントハック報告スレのまとめサイト
  http://sky.geocities.jp/vs_ro_hack/
・ROアカウントハック対策スレのまとめサイトのhostsファイル追加分まとめサイト(臨時)
  http://sky.geocities.jp/ro_hp_add/
・安全の為に (BSWikiより アカウントハッキング対策についての情報まとめ)
  http://smith.rowiki.jp/?Security
・リネージュ資料室 (応用可能な情報が多数)
  http://lineage.paix.jp/
・Alchemist service アカウントハック体験談
  http://air1.fc2web.com/as/id.html
・アカウントハッキングについて > 被害にあってしまったら(RO公式)
  http://www.ragnarokonline.jp/playguide/hacking/hacking_04.html
・セキュリティホール memo
  http://www.st.ryukoku.ac.jp/~kjm/security/memo/
・Adobe Flash Playerの脆弱性および XREA広告サーバハッキング問題 まとめ
  http://www.geocities.jp/pehchunpm/mondai_XREA.htm
・アンチウィルスメーカー各社検体提出先
  http://rosafe.rowiki.jp/index.php?%B8%A1%C2%CE%C4%F3%BD%D0%C0%E8
・VirusTotal (素人の検体の確保は大変危険です。手順を理解し安全に出来る人だけがしてください)
 http://www.virustotal.com/jp/ <> (○口○*)さん<>sage<>08/11/23 08:31 ID:+2Sc4qx90<> 【このスレでよく出てくるアプリケーション】
・PeerGuardian2 (PG2と略される。下記は対策スレのまとめサイトの簡単な手引き)
  http://sky.geocities.jp/vs_ro_hack/pg2.htm
  ・【PeerGuardian2 暫定ダウンロード先】
   現在本家から落とせないので、キャッシュを利用してください。下から7番目。
   http://web.archive.org/web/20080209171747/http://www.dukedog.flnet.org/trans.html
   文字化けして読めないと思いますが、こう書いてあります。
   必要な物をダウンロードしましょう。
     >PeerGuardian 2 for Windows β6b 日本語第2版 2000・XP・2003用 / 98・ME用 / ソースコード
     >PeerGuardian Lite (β050422) 日本語版 / ソースコード
  ・本家の英語版 ttp://phoenixlabs.org/pg2/
  ファイル情報 
     pg2-050918-nt-jp.exe 1.34 MB (1,412,454 バイト)
     CBC9280A
     C55F4B13B568927B58965B93987CBE17
【URLが危険か判断できない際に使われるサイト】
・ソースチェッカーオンライン (ソースや隠れたインラインフレームの転送先を確認できる)
 http://so.7walker.net/guide.php
・aguse.jp (ゲートウェイからスクリーンショットした画面を見ることが出来る)
 http://www.aguse.jp/
【PCにウィルス対策ソフトを導入してない方へ ネットから出来るオンラインスキャン】
・Kaspersky Internet Security 試用版
  http://www.just-kaspersky.jp/products/try/
・カスペルスキー:オンライン ウイルス&スパイウェアスキャナ
  http://www.kaspersky.co.jp/scanforvirus/
・NOD32アンチウイルス体験版
  http://www.canon-sol.jp/product/nd/trial.html <> (○口○*)さん<>sage<>08/11/23 08:31 ID:+2Sc4qx90<> 【投稿の際の注意】
・アカハックアドレスはMMOBBSでは禁止単語になっています。
 加えて、誤クリックによる感染を防ぐ為にそのようなアドレスは
 .(ドット)を別の文字に置き換えて報告して下さい (■がよく使われています)
・質問前後にテンプレ等を見て知識を深めると更にGoodです
・回答者はエスパーでは有りません。情報は出来るだけ多く。
 提供した情報の量と質に応じて助言の量と質は向上します
・結局は本人にしかどうにも出来ない事を忘れてはいけません

 ----------報告用テンプレ----------
● 実際にアカウントハックを受けた/怪しいアドレスを踏んだ時の報告用

【      気付いた日時          】 (被害に気付いた日時)
【不審なアドレスのクリックの有無 】 (blog/bbs/Wiki等で踏んだ記憶の有無とそのアドレス)
【他人にID/Passを教えた事の有無】 (Yes/No)
【他人が貴方のPCを使う可能性の有無】 (Yes/No)
【    ツールの使用の有無      】 (Yes/No、Yesの場合はそのToolの説明)
【  ネットカフェの利用の有無    】 (Yes/No)
【     OS    】 (Windowsのバージョン、ServicePack等まで書く)
【使用ブラウザ 】 (InternetExplorerなど、バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【 アンチウイルスソフト 】 (NortonInternetSecurity2007 等)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【スレログやテンプレを読んだか】 (Yes/No/今から読みます)
【hostsファイルの変更】(有/無 [有りの場合は最終更新は何時ごろか])
【PeerGuardian2の導入】(有/無 [有りの場合は参照元サイトはどこか)
【説明】 (被害状況をできるかぎり詳しく書く) <> (○口○*)さん<>sage<>08/11/23 08:31 ID:+2Sc4qx90<> 【安全対策の簡易まとめ】
以下は要点となります。詳しくは関連サイトを見てください。

 ・アドレスをホイホイ踏まない。よく確認する。(IP直書きの数字のアドレスなど)
 ・特に掲示板等に貼られた拡張子まで書いてあるURL(.src exe 等)は絶対にクリックしない。
 ・出所の怪しいプログラムやスクリプトを実行しない。
 ・定期的なMicrosoftUpdate及び、各種ソフト(各種Player、Reader等)のアップデートを行う。
 ・アンチウイルスソフトの導入とウイルス定義ファイルの積極的な更新を行う。
 ・パーソナルファイアウォールソフトの導入する。
   ・hostsの利用した危険ドメインのブロック
   ・PeerGuardian2を使った危険IPのブロック など
  (※hostsは定期的な更新が必要です。更新をサボりがちな人はhostsファイル更新スクリプト
    (http://acopri.rowiki.jp/index.php?hostsRenewScript)の導入も視野にいれましょう)
 ・通常のネット閲覧はIEの使用を止め、他のブラウザに乗り換える(Firefox、Opera等)
 ・IEを使う場合は下記を設定
  ・信頼できるSite以外ではスクリプトやActiveXを切る
   :インターネットオプションのセキュリティの部分で設定可能
  ・偽装jpg対策(IE7とIE6SP2限定。IE6SP1以前では出来ない)
   :インターネットオプション→セキュリティ→レベルのカスタマイズ
   →「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする <> (○口○*)さん<>sage<>08/11/23 08:36 ID:+2Sc4qx90<> 【アカウントハック対応の要点とFAQ】
以下は要点となります。詳細な物は関連サイトをご覧下さい。

● 『アカウントハックアドレスを踏んだ』もしくは『ウィルスが見つかった』場合
 1) 速やかに感染PCのネットワークケーブルを外す
 2) 『安全な環境』から諸々のパスワードをすべて変更
 3)必要最低限のデータをバックアップ
 4)ウィルス駆除 もしくは OSのクリーンインストールやPCの再セットアップを行う
 5)セキュリティソフトの導入
 6)OSのアップデート(前もってSP+メーカーを利用すると安全にアップデートを行う事が出来ます)
 7)安全な環境になったらバックアップしたデータの書き戻し 

注)
 ・安全が確認されるまで感染したPCからはNetworkに接続・ROクライアント起動・公式にログインは厳禁
 ・当然パスワード入力を伴う行動や各種メッセンジャーソフトやメールクライアントの起動も避ける
 ・変更するべき物は以下のとおり
  『ガンホーID(旧GungHo-ID)パスワード』『キャラパスワード』『メールアドレス』
  『ガンホーID変更』(ID自体の変更)は一度に限り行える。
 ・アンチウイルスソフトの過信は禁物。
  自信がなければクリーンインストール、PCの再セットアップを第1選択肢とする事。
 ・対応は慎重かつ迅速に行う事。早期に対応できればアカウントハックを防げる確率が上がる。
 ・大事なデータはバックアップは取っておくこと。(常日頃からしておくと楽)


● 関連FAQ
・『安全な環境』ってどんな物?
  ウイルスの感染が無いと思われる環境です。別PCや携帯電話・据置型ゲーム機・1CD Linux等が挙げられます。
・『安全ではない環境』ってどんな物?
  インターネットカフェ等、不特定多数が使用する環境。
  また知人友人のPCもインターネットカフェ並の危険があるものと考えるべきです。
・知り合いに頼んでパスワード変更してもらうのはダメ?
  いくら信頼できる友人でもパスワードを教えるのは良く有りませんし、その友人がウィルスに感染してないとも限りません。
  知り合いに頼むのは最後の手段であり、安全な環境が構築出来次第、再度パスワードを変更しましょう。
・オンラインウイルススキャンをしたいんだけど、やっぱりネットにつないじゃ駄目?
  駄目です。
・アンチウイルスソフトでウイルスが見つからないのでもう大丈夫だよね?
  100%の保証は出来ません。ウィルスが見つからなかった場合、チェックに使ったアンチウィルスソフトでは発見出来なかっただけです。
  安全かどうか自信が無い場合はHDDをフォーマットの上、PCの再セットアップを考えるべきです。 <> (○口○*)さん<>sage<>08/11/23 08:40 ID:+2Sc4qx90<> 【クリーンインストール・リカバリ・PCの再セットアップの時に便利なツール】
・SP+メーカー (最新の Service Pack を適用させたインストールCDを作成するツール)
  http://www.ak-office.jp/
   ・SP+メーカーのFAQ書庫(有志がまとめたWiki形式のページで上記ツールのFAQ)
     http://wikiwiki.jp/faqwinsppm/

【短縮アドレスについて】
Q.TinyURLの短縮アドレスが怖くて開けない。クリックする前にどんなページか分からない?
 ttp://www.oshiete-kun.net/archives/2008/07/tinyurl.html
A.設定変更で直接飛ばないようにするか、チェック用のブックマークレットを使うのがオススメ
>実は、TinyURLは、ユーザー側で設定を変えておくと、短縮済みURL→実URLの間に、2ちゃんねるの「ime.nu」のような
>中継ページを挟ませることができる。その分毎回クリックの手間が増えるわけだが、怪しげなサイト・掲示板などに行く機会が
>多い人は設定を変えておくと良いだろう。また、「ブックマークレット」という仕組みを使うと、TinyURLのリンクをブラウザ操作で
>実URLに書き換えることも可能だ。Firefoxユーザーなら、同じような書き換えを自動で行うグリースモンキースクリプトも利用できるぞ。

【AntiVir等の誤検出の提出先】
analysis.avira.com/samples/
のFile typeをFalse Positiveにして下に説明を書いて提出。(@は全角)
ALWIL Software(avast!) <virus@avast.com>
Avira GmbH(AntiVir) <virus@avira.com>
 注:他はROセキュリティWikiのアンチウィルスメーカー各社検体提出先にまとめてあります。
   http://rosafe.rowiki.jp/index.php?%B8%A1%C2%CE%C4%F3%BD%D0%C0%E8

【ウイルスの予備知識】
・検証ラボ:ウイルスを観察してみる
 http://itpro.nikkeibp.co.jp/article/COLUMN/20080402/297763/ <> (○口○*)さん<>sage<>08/11/23 08:42 ID:+2Sc4qx90<> テンプレ\(^o^)/オワタ <> まとめ臨時 ◆kJfhJwdLoM<>sage<>08/11/23 09:08 ID:ns6xrqPQ0<> >>7
注)TinyURLの補足
短縮URLのアクセスに対しクッションページを設定できるので、有効化しておくことを強く推奨。
tinyurl■com/preview.php
enable previewsを選択することで、設定内容がcookieに保存される。
使用しているブラウザごとに実行する必要があるが、有効期限は取得時刻+10年
  補足:まとめ臨時サイトのhostsリストではtinyurl■com自体をリストに加えていますので、
     利用する場合は一旦上記ドメインを編集してリストから削除して実行する必要があります。
     (ただし、tinyurl自体規制しているので意味が無いかもしれない。) <> (○口○*)さん<>sage<>08/11/26 13:55 ID:uZKVNKI30<> CDブートで利用できる無償のマルウェア検査・駆除ソフト
ttp://internet.watch.impress.co.jp/cda/news/2008/11/26/21647.html
Dr.WEB。 <> (○口○*)さん<>sage<>08/11/26 14:09 ID:BC3wU+GY0<> >>10
お、なんかよさげだね。他人のPCを修復しに行くときに便利そうなんで入手しとこう。 <> (○口○*)さん<>sage<>08/11/26 19:20 ID:nC6XKY9l0<> >10のは
LiveCDにウィルススキャンが入っているもの。
つまり普通のLinuxLiveCDとして使うことも、USBメモリ等にインストールして使うことも出来る。
画像にあるようにブラウザもあるわけでネットもOK。
ネット専用機はOSをこれにするのもありだぜ。
USBメモリブート(USB2.0推奨)なら安価で超静音省電力PCの完成。
データ保存したければHDDの代わりに別のUSBメモリやメモリカードを用意すれば良いだけ。 <> (○口○*)さん<>sage<>08/11/26 23:30 ID:q2Twm3ef0<> >>12
実際に使用してみたけど、入ってるブラウザがFirefoxのロシア語版
日本語の入力も出来ないから、ネット専用機として使うのは少し厳しいと思う。 <> (○口○*)さん<>sage<>08/11/27 07:45 ID:w4ZxM1k30<> せめて英語版にしてくれと。
まートロイがrootkit化されてるとオンラインスキャンとかほぼ無駄なんで
そういう時の駆除にはいいかもね。 <> (○口○*)さん<>sage<>08/11/27 12:31 ID:HVlJegde0<> ライブCD系でネット専用機としての利用に向いてるとなると、パピーあたりか。
2GのUSBメモリがあればほぼ完結する。
昔はavastがpetパッケージにあったらしいがなんかあったのか消えてるな。
各種パッケージインストーラー入れて自力でインストールすればOK?
ないよりマシなclamav(バージョン古い)はあるけどね。 <> (○口○*)さん<>sage<>08/11/27 12:56 ID:9X95vfC+0<> LinuxのFirefoxはGtk2経由になるからもっさりだし、LiveCDだとadd-Onsも使えないから使い勝手はいまいち。
もっとも、常用するのはw3mという事ならそれほど不便を感じずに済むのだけど。 <> (○口○*)さん<>sage<>08/11/27 13:23 ID:HVlJegde0<> >LinuxのFirefoxはGtk2経由になるからもっさりだし、LiveCDだとadd-Onsも使えないから使い勝手はいまいち。
そんなこといちいち言っていたら使えませんがな。
ブラウザアドオンはUSBメモリにOSを突っ込めば解決するしね。

相応しいスペックがあればオンボードRageXLで使ってもあんまりもっさりは感じない。
半透明バリバリとか動画やFLASH多用サイトにでも行かないかぎりは。 <> (○口○*)さん<>sage<>08/11/27 13:47 ID:7M2kUxwR0<> ぶっちゃけ、感染後、急いでパスを変更するための安全な環境としてはどうなんだい? <> (○口○*)さん<>sage<>08/11/27 19:56 ID:rvVkZK3b0<> うってつけ。rootkitに感染しててもHDDから起動しなかったら関係ないし。
OSまで違うんだから言うこと無い。 <> (○口○*)さん<>sage<>08/11/27 20:34 ID:9X95vfC+0<> 比較的スタンダードな環境なら、割とすんなり起動できるから悪くないとは思う。
例えば、ルータを設置していて普通にDHCPでアドレスを取得しているようなケースなど。
ただ、フレッツ接続ツールを利用してPPPoEを喋らせていたり、無線LAN経由の接続などで常用するのは少々苦労するかも。
ノート用VGAなど、方言の強いカスタマイズが施されている場合も一手間ありそう。 <> (○口○*)さん<>sage<>08/11/29 16:12 ID:pfHkB4ut0<> 福建中華一味、またWiki改竄をしているようだ。
そして改竄履歴を探っていくと、FC2ブログ乗っ取りも確認した。

*乗っ取られたブログ
shikisair■blog25■fc2■com

いつものステルスIFRAMEで短縮URL(bluewoon行)が仕込まれている。
FC2は本当にダメだな、IFRAME禁止にしないと何度でも再発しそうだ。

二カ月ちょっと放置するだけでもこの有り様、管理放棄するくらいなら中身完全削除してまるっと閉鎖。

気をつけてくれよな! <> (○口○*)さん<>sage<>08/11/29 16:38 ID:xrYlijXZ0<> JR北海道のHPが改ざん 利用を停止(11/29 09:14)
ttp://www.hokkaido-np.co.jp/news/society/131964.html

>JR北海道は二十八日、同社のホームページ(HP)が不正アクセスにより
>改ざんされ、利用を停止したと発表した。会員登録するとHPから切符の
>購入ができるようになっており、サーバーにはクレジットカード番号など
>約八万人分の個人情報が保存されているが、外部に流出したかどうかは調査中という。
>
>利用を停止しているのは「JR北海道ホームページ」と「JR北海道携帯サイト」。
>改ざんは利用者の指摘で二十七日に気づき、調査したところ、サイト上の
>「運行情報」などをクリックすると、中国や台湾のサイトに自動的につながる
>プログラムが組み込まれていたという。復旧のめどは立っていない。

ハクと直接関係あるかどうか判らんけど、こういうのを見ると
PG2で中韓台香あたりをブロックしてないと怖すぎる。 <> (○口○*)さん<>sage<>08/11/30 18:03 ID:oY0H66Xh0<> パス抜かれてもその垢課金切れてたらどーなんのかな? <> (○口○*)さん<>sage<>08/11/30 18:07 ID:8HoqsiPO0<> 今なら1dayでごっそりだな、あれは確認いらずでチャージされる <> (○口○*)さん<>sage<>08/11/30 18:34 ID:En7JWBsh0<> >>23
勝手にチャージされて取られていたって例もある

本当かどうかは本人以外には判らないが <> (○口○*)さん<>sage<>08/12/01 16:10 ID:gnqdap+E0<> JR北海道、不正アクセスによるページ改ざんでWebを一時停止
ttp://internet.watch.impress.co.jp/cda/news/2008/12/01/21700.html <> (○口○*)さん<>sage<>08/12/01 16:10 ID:gnqdap+E0<> 既出だった… <> (○口○*)さん<>sage<>08/12/01 18:42 ID:n/MUcQfF0<> >>23
カムバックキャンペーンまじオヌヌヌ <> (○口○*)さん<>sage<>08/12/02 10:49 ID:zsjhrStP0<> テストで再確認、「ウイルス対策ソフトへの過信は禁物」
http://itpro.nikkeibp.co.jp/article/OPINION/20081127/320047/ <> (○口○*)さん<>sage<>08/12/02 10:53 ID:o0nufZWu0<> PCの調子が悪い時期にウィルス拾っちゃって垢ハックされて、
復旧しますよって段階まで来たんだが、この当たりの情報って需要ある?
過去スレで似たような流れだから大して目新しい事もないだろうけど。

警察側で対応してくれた方が以前ROやってた若い方だったのでいろいろ雑談して面白い話が聞けたと思う。

基本はハックされない事が大事だけど、もし垢ハックされちゃったらテンプレに書いてあるアドレスを読んで動けば問題ない。 <> (○口○*)さん<>sage<>08/12/02 16:17 ID:7HkN9QMw0<> オンラインゲーマーを狙う5つの脅威
ttp://www.f-secure.co.jp/news/200812011/ <> (○口○*)さん<>sage<>08/12/02 17:35 ID:7ZSeHw6J0<> 停電
猫パンチ
おかん襲来
尿意
便意 <> (○口○*)さん<>sage<>08/12/02 19:42 ID:OhvqHf6Z0<> 新しい不正ツール対策システム導入のお知らせ

ttp://www.ragnarokonline.jp/news/play/measures/item/11870

nProじゃなくなるのですね。 <> (○口○*)さん<>sage<>08/12/02 20:12 ID:1PWzmy+10<> Hack Shieldにでも乗り換えるのか?

参考になるか分からんがアンラボの過去記事
http://game.watch.impress.co.jp/docs/20080515/ahnlabo.htm <> (○口○*)さん<>sage<>08/12/02 20:43 ID:6lqvBZIz0<> FEZも昨日からnProじゃなくなったらしいな。

知り合いがカスペだとFEZが起動しねーって嘆いてた。
プロアクティブディフェンスを切ると立ち上がるらしいんだが。 <> (○口○*)さん<>sage<>08/12/02 21:15 ID:NK50aPJm0<> FEZではセキュリティツールの変更で、windows x64環境では動作しなくなった模様。
ROもどうなることやら。 <> (○口○*)さん<>sage<>08/12/02 21:20 ID:1PWzmy+10<> どうなるってもともと動作保証外… <> (○口○*)さん<>sage<>08/12/03 02:27 ID:YIycyDz50<> 質問です

先月アカウントハックにあったのでガンホーに報告したところ、疑わしい接続がみつかったということでした。
次に警察に相談しようと思うのですが、電話だけで最後まで解決するものなのでしょうか?
というのは、仕事の関係上都合がとれず、直接警察まで行くのが少々難しいのです…
過去にアカウントハックにあって無事復旧までした方の体験談をみると電話だけで済んでいたようだったので…
ただ、絶対に直接行くのがムリというわけではなく、あらかじめどのようなものかわかっておけばこちらも準備ができ、
都合もつけやすいと思ったので。

もしわかる方がいらっしゃったらお願いします <> (○口○*)さん<>sage<>08/12/03 04:29 ID:5tcQi5E+0<> 急ぎで大変申し訳ないのですが、
mixiの足跡を辿っていたら垢ハックらしきblogへとアクセスしてしまいました。
aguseでチェックはしたところ「ウイルス(ワーム、スパイウエア)は検出されませんでした。」と出たのですがとても心配です。
今急いでウィルスチェックをし、母のNPCからガンホーIDを変更しているところです。
自分でもやれるだけの事(あとはPCのリカバリーくらい)はしますが、他に何かやっとくべきって事がありましたらご教授ください。

http://rmtonline■blog89■fc2■com/

がそのサイトなのですが、お手数ですが垢ハックアドかどうか判定をお願いできませんか?
fc2blogなので濃厚だと思うんですが、aguseの調査結果は白で、
テンプレのURL先のドメイン一覧ではまだ未掲載だったので新たな垢ハックアドかもしれないので。

よろしくお願いします。 <> (○口○*)さん<>sage<>08/12/03 06:54 ID:+sfWjLJm0<> >>39
>>1
■ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ■

テンプレ読めよ。 <> (○口○*)さん<>sage<>08/12/03 09:29 ID:5tcQi5E+0<> >>40
テンプレ読めというのもわかるけどもう少しテンプレと本文読めよ。
怪しいアドを踏んだ時の報告にも当てはまるだろう? <> (○口○*)さん<>sage<>08/12/03 09:57 ID:7qoRn/Ay0<> >>41
報告テンプレ使ってないってことはテンプレ読んでないよ。

>>39
ソースに怪しいところはなかったです。
が、世の中に絶対という言葉はどこにもありません。 <> (○口○*)さん<>sage<>08/12/03 10:26 ID:5tcQi5E+0<> >>42
>報告テンプレ使ってないってことはテンプレ読んでないよ。
踏んだすぐ後に顔真っ赤にしながら頼ってここに来たからテンプレ使わなかったのは正直すみませんでした。

調べてくれてどうもありがとう。少しは気が楽になった。
やっとバックアップ取り終わったからメンテの間にでもリカバリーを済ませてきます。 <> sage<><>08/12/03 14:19 ID:cdRpzmGx0<> 【      気付いた日時          】 2008.12.3
【不審なアドレスのクリックの有無 】 ttp://conoca■no-ip■org/index■html
【他人にID/Passを教えた事の有無】 ないです
【他人が貴方のPCを使う可能性の有無】 ないです
【    ツールの使用の有無      】 ないです
【  ネットカフェの利用の有無    】 ないです
【     OS    】 XP PS2
【使用ブラウザ 】 IE6
【WindowsUpdateの有無】 自動更新になっています
【 アンチウイルスソフト 】 ウィルスバスター2009
【その他のSecurty対策 】 ないです
【 ウイルススキャン結果】 今現在検索中です
【スレログやテンプレを読んだか】 今から読みます
【hosts変更】ないです
【PeerGuardian2導入】ないです
【説明】 ROブログ巡りしていたら、英語のサイトっぽいとこが表示されて、しばらくしたら猫などの画像がいっぱい並んで出てきて怖くなって消してしまいました。
垢ハックは白いページが出るみたいに聞いていたのでちがうのかなぁと思いつつ、別PCでパスワードなど変えてからROにログインしてみたらキャラが消えていたので、これって垢ハックなのでしょうか・・・
aguse.jpで調べてみたらウィルスはでてこなかったのですが、リカバリーしたほうがいいですか?
よければご教授お願い致します。 <> (○口○*)さん<><>08/12/03 14:23 ID:CKGyxG3u0<> >>44
skuldがまた再開して違う鯖に接続したとかは? <> (○口○*)さん<>sage<>08/12/03 14:24 ID:i2n7WvhI0<> >ROにログインしてみたらキャラが消えていたので

スクルドができた分でワールドがずれてたとエスパーしてみる。 <> (○口○*)さん<>sage<>08/12/03 14:29 ID:ztc/LoAk0<> まだHS入れてないのかな、試しにRO起動したらものっそい軽かったんだが。
nProの時はくそ重かったがどっちのセキュリティも信用ならんな… <> (○口○*)さん<>sage<>08/12/03 14:32 ID:i2n7WvhI0<> >どっちのセキュリティも信用ならんな…
そんな正直な…。取り敢えず、評価は動きはじめてからにしましょうや。 <> (○口○*)さん<><>08/12/03 14:33 ID:WdRcuIzU0<> skuld一番下にしてほしいぞ・・・ <> (○口○*)さん<>sage<>08/12/03 15:28 ID:BHG9XiVp0<> ログイン
→あれ? キャラがいない・・・
→サーバを間違えていたことに気づき、前画面に戻ろうとする
→クライアントを終了しますか?
→[OK]('A`) <> 44<>sage<>08/12/03 15:28 ID:cdRpzmGx0<> ごめんなさい、書く所間違えて上げてしまいました><

昨日メンテ後に一回ログインしているので、いつもは保存されているので、ワールドがずれていたということはないとおもうのですが・・・
キャラ消えてて怖くて確認のログインはしていないので、メンテ終了後にまた確認の方はしてみようと思います。

カスペルスキーオンラインウィルススキャンをしてみたのですが、特にウィルスは検出されませんでした。
このURLはサイトがなくなって借りてたとこの広告か何かが出ただけなのでしょうか・・・ <> (○口○*)さん<>sage<>08/12/03 15:37 ID:7k426IvX0<> 正直カスペで検出されないならまず平気。
ROレベルのアカハックウィルスなど脅威に値しない。
メンテ後ログインして無事だったと報告待ってますよ。
鯖間違えないようにね。 <> (○口○*)さん<>sage<>08/12/03 15:42 ID:7qoRn/Ay0<> なんて言ってるとゼロデイ爆撃でやられるんですよ。
今はそこまでの敏捷性が中華にないからおおよそ救われているけれど、
Flashのアップデートをおろそかにしてやられた例を忘れたわけではないでしょうね? <> (○口○*)さん<>sage<>08/12/03 17:13 ID:C/lY9q9O0<> これさえ一つやって置けば安全安心ですよ、なんてのは滅多にないな
ネットに繋がずに外部記憶装置も一切使わないくらいやらないと難しい。 <> (○口○*)さん<>sage<>08/12/03 17:15 ID:7qoRn/Ay0<> というわけで、Secunia PSIの導入を勧めます。
プラグインの類まで調べてくれるので。
http://internet.watch.impress.co.jp/cda/news/2008/11/26/21649.html <> (○口○*)さん<>sage<>08/12/03 18:03 ID:J9iYqWJY0<> nProの後釜って結局何になったんだろうか <> (○口○*)さん<>sage<>08/12/03 18:12 ID:9E/1s7310<> なんだろうね?
追加ファイル無いしRagexeに取り込まれた? <> (○口○*)さん<>sage<>08/12/03 18:19 ID:J9iYqWJY0<> 確認してみたら Ragexeのサイズが 1MB近く増えてるからそうかも <> (○口○*)さん<>sage<>08/12/03 19:19 ID:i2n7WvhI0<> サイズ増加は単にexe全部がパック(圧縮)かかってたのが、一部分だけになったかららしいが。

AhnLab HackShield だって他のスレに出てたけど、本当かどうかは知らない。 <> (○口○*)さん<>sage<>08/12/03 19:35 ID:9E/1s7310<> 他に思い当たりそうな製品がないからだよ。
RO2で採用実績がある。 <> まとめ臨時 ◆kJfhJwdLoM<>sage<>08/12/03 20:27 ID:1pjNVzUa0<> 今起動してみるとROのゲームウインドウが開く時に
WINDOWSシステムフォルダ\system32にHtsysm42C2と言うファイルを生成するので
WindowsDefenderを導入しているとそのつど確認を求められます。

今までのnProが作る一時ファイルとかと同じなのかもしれないですね。 <> (○口○*)さん<>sage<>08/12/03 21:39 ID:cYitIWnU0<> >60
「RO2」と「実績」…!
これほど説得力のない組み合わせも珍しい…かも。
いやまぁ、採用実績には間違いないんだけど。

で、nPro無くなって朗報。
FWにComodo使っている人もいるかと思うけれど、今までnProと相性の悪かった
Defence+も、止めずにRO出来るようになりました。
自分の所の32bitVistaHomePremiumで動作確認。 <> (○口○*)さん<>sage<>08/12/03 22:56 ID:PsjgI96t0<> RO2で実績ってアナタ・・・
プレイヤーにはできない高速詠唱で攻撃しつつ画面内を高速で移動するRO2のBOTを思い出したよ・・・ <> (○口○*)さん<>sage<>08/12/04 00:10 ID:c7wABn7l0<> 新セキュリティの動作ロジック概略。
ROクライアント起動時、non-PnPデバイスとしてGHGuardを生成、レジストリに登録&ロード。
HKLM\SYSTEM\CurrentControlSet\Services\GHGuard、実体は%SystemRoot%\system32\Htsysm42C2。
このあたりの挙動は、イベントビューアでもある程度確認することができる。
終了時にアンロード&レジストリ削除。

1ヶ月ほど先行してnProから自前?セキュリティに乗り換えたGamePotのLaTaleを見てみると、やはり類似のロジック。
違う部分は、デバイス名がGPPな事と実体がGPP.dllな事。
これら2つのファイルをバイナリも読めるエディタで見比べてみると……
あるぇー??

おまけ:
ttp://www.virustotal.com/jp/analisis/e1b2a44b315c2a0825aae627b0d03687
ttp://www.virustotal.com/jp/analisis/8e3e23c47f7281cf5287c8a25e5d2663 <> (○口○*)さん<>sage<>08/12/04 02:05 ID:OLD4SzGM0<> どこが作ったんだろーな?
あんまり書くとスレチになるのでやめとくけれど、GPP.dllをググると参考に
なりそうな話がでてくる。がめぽプロテクトなんて呼ばれてるな。 <> (○口○*)さん<>sage<>08/12/04 03:06 ID:PHgeqz2e0<> nProじゃなくなったから当然かもしれんが、
nPro暗号が無くなってるなあ。
UP暗号解析されたらBOT復活してきそうだな。 <> (○口○*)さん<>sage<>08/12/04 09:11 ID:j80VccZA0<> nProでなくなったからこそ、そのプロテクションの出番なんでは?
FEZのと同じという可能性もあるし、あえて今年築き上げた課金アイテム構造を捨てるような真似はしないだろし <> (○口○*)さん<>sage<>08/12/04 09:34 ID:aR+uGcku0<> >>38
一応自分の場合は警察に出向いて事情説明、書類作成後内容確認して署名印鑑(拇印)、後は添付資料の提出なんかで何度か行く必要があった。
後ろ二つは夜に対応してもらった。資料渡す程度なら窓口に提出して渡してもらうのも一応可能だった。

雑談程度に聞いた感じだと、警察側でもまだ経験が多くないし、PCに詳しくないおっさん警官なんかも多いため対応できる人間が少ないらしい。
自分の場合だと、署の中でこういったことに対応できるのが対応してくれた方しか居ないようなことを言っていた。

署や人によって違う部分は多いと思うので、電話で済む場合も有れば済まない場合もあると思う。
必要なものも合わせて変わってくると思う。

人の少ない警察署だと対応できる人間が限られているので、相手側の都合と合わず時間が掛かってしまうだろうが
相談すれば調整してくれるんじゃないかと思う。
とりあえず電話して、時間の事情も話して効率よく勧める為に何が必要か聞いたほうが早いと思う。 <> (○口○*)さん<>sage<>08/12/04 11:20 ID:AHIgrKrF0<> 日本オンラインゲーム協会で繋がってたりするのかなー
ガンホー本体は入ってないけどケイブとかエクストリームって癌関係してたよね?
今後他のゲームもセキュリティソフト変えてくるんだろうか <> (○口○*)さん<>sage<>08/12/04 11:55 ID:3LIa15Q20<> なんかnProに比べてWindowsには優しいかもしれんがショボそうだな。 <> (○口○*)さん<>sage<>08/12/04 13:22 ID:Xs0Gj27D0<> nProってそんな大したもんでもないんでは
俺の記憶違いかもしれんが <> (○口○*)さん<>sage<>08/12/04 13:27 ID:YYy8SQh/0<> nProがしょぼいからそんな差はなかろうて <> (○口○*)さん<>sage<>08/12/04 13:29 ID:NH9h3vxj0<> 骨抜きにされたから大したこと無いだけで、
まあそれを「ザル」というのなら合っているが。

Webブラウザ版はNICOSで採用されてるな。
任意だが。 <> (○口○*)さん<>sage<>08/12/04 18:39 ID:KIlaUGOg0<> nProは大げさで重い割にいまいち見掛け倒しなイメージだからな
軽いものがnProと同等かそれに近い働きをするってんならそれでいい <> (○口○*)さん<>sage<>08/12/04 21:55 ID:rC9cW/IK0<> アイテム復旧って巻き戻しじゃなくて追加らしいけど、
これって警察に無くなった以上のアイテム届け出だしてもわからなくない?
巻き戻して警察に届けられたアイテムと確認しながら追加するのかなぁ

もし追加だけならアリスc8枚くらい倉庫にありました、言うわw <> (○口○*)さん<>sage<>08/12/04 21:58 ID:PUZRUPKn0<> >>75
アイテム移動ログだかなんだかを癌→警察へ提出される。
それを元に復旧するんだろう。 <> (○口○*)さん<>sage<>08/12/04 22:01 ID:OLD4SzGM0<> チートじゃないからばれるだろう。 <> (○口○*)さん<>sage<>08/12/04 23:34 ID:XzwQbaCU0<> >>75
RO依存症に見えるぞ <> (○口○*)さん<>sage<>08/12/04 23:36 ID:GDS/90Yy0<> 小学生の妄想に付き合う必要ないだろ <> (○口○*)さん<>sage<>08/12/04 23:49 ID:R5QX+xc00<> >>75
虚偽申告は業務妨害。ログからバレるんだし、正直にやれ。
虚偽申告したら、戻るものもログから辿れなかったと言われて戻して貰えないかもな。 <> (○口○*)さん<>sage<>08/12/05 09:20 ID:/Vmo8DM60<> >>75
一応警察で書類も作られるんだし、何かしら法に引っかかる可能性もあるかもな。 <> (○口○*)さん<>sage<>08/12/05 09:43 ID:n6CXLxP60<> 今だとゲームでのプロテクトとweb認証の多重のプロテクトかかっているようだし
ガンホウの課金アイテム販売という更に加えた理由でそうそうBOTに蝕まれることはないじゃ? <> (○口○*)さん<>sage<>08/12/05 13:07 ID:27L2IryW0<> FEZ12/1とRO12/3の脱nProパッチでVistaで起動しない不具合について、
2社それぞれに質問して帰ってきた回答

Gamepod回答:
お客様よりお問い合わせいただきました件につきまして、ゲームガードを変更し
て以降、一部のセキュリティソフトをインストールした環境下において、正常に
ゲームの起動を行うことができない状態となっていることを確認しております。

ご報告いただいております現象が、上記現象に該当する可能性があり、現在状況
確認とともに対応について協議を行っております。

進展がありました際には公式サイトにてご報告いたしますので、お困りのところ
大変申し訳ありませんが、今しばらくお時間を要します旨、何卒ご理解とご了承
をお願い申し上げます。


ガンホー回答:
運営チームでは、ショップブランドパソコンをご利用の場合
大変申し訳ございませんが、
サポートの対象外とさせていただいております。

その為、誠に恐れ入りますが、下記URLにてご案内させていただいている、
稼動スペックを満たした環境からご利用をお願い致します。

◇ラグナロクオンライン 稼動スペック
http://www.ragnarokonline.jp/beginner/download.html <> (○口○*)さん<>sage<>08/12/05 13:13 ID:3N0lsd5A0<> いつものガンホーじゃないか <> (○口○*)さん<>sage<>08/12/05 13:19 ID:3hlR9wH+0<> 正直ガメポのほうが読みづらい <> (○口○*)さん<>sage<>08/12/05 13:46 ID:3Xbf3GU30<> 読みづらいとかの次元の話じゃねーだろ常考 <> (○口○*)さん<>sage<>08/12/05 14:15 ID:mql9UXPjO<> >>85
ゆとりは黙ってて… <> (○口○*)さん<>sage<>08/12/05 14:27 ID:3hlR9wH+0<> >>87
30こえてROとか… <> (○口○*)さん<>sage<>08/12/05 15:14 ID:HO7Lqz6V0<> いつの時代の話してんだよw
今時30超えても普通にネトゲしてるってw
俺の知ってる限りで70代ROプレイヤーいたぞ、実際にあって話ししたし間違いない <> (○口○*)さん<>sage<>08/12/05 15:17 ID:3N0lsd5A0<> >>88もきっと30超えてもROやってるぜ <> (○口○*)さん<>sage<>08/12/05 15:23 ID:xggOQFle0<> 確か一番多いの20代後半から30台にかけてじゃなかったか?
大学生くらいのときにβが始まってそのままずるずる続けてる層が一番多くて
新規流入が減ってるから、プレイヤーの平均年齢が年々上がっていってるという。 <> (○口○*)さん<>sage<>08/12/05 16:57 ID:IH2dubGc0<> 相応に精神年齢高くなってくれりゃいいんだがな・・・
どうにもプレイヤー年齢層上がってるという割にはアホみたいな揉め事を多々見かける。 <> (○口○*)さん<>sage<>08/12/05 17:04 ID:rmvVHVTV0<> スレタイ読めずにそんなこと言ってれば年齢云々関係ないよな <> (○口○*)さん<>sage<>08/12/05 19:39 ID:GrSANz4k0<> やっぱり、今の親がSo-netになっているがめぽの方が、ユーザーへの対応を心得てる感じだね。 <> (○口○*)さん<>sage<>08/12/05 19:51 ID:dlrwPiBt0<> >>83
TSUKUMOのラグナ推奨PCもサポート対象外になりそうだな
アレもショップブランドだよね? <> (○口○*)さん<>sage<>08/12/06 00:16 ID:hpkfpFIg0<> >>95
公式から転載だけど

> なお、運営チームにて動作検証を行い、動作確認を行った「ショップブランド」パソコン(「ラグナロクオンライン
> 推奨パソコン」を含む)については、サポートの対象とさせていただきます。

ということで、ショップブランドであってもRO推奨モデルに関してはサポートの対象になってるよ <> (○口○*)さん<>sage<>08/12/06 00:19 ID:NpnWNK420<> なんか色々変更したらアウトなんだろうな <> (○口○*)さん<>sage<>08/12/06 00:59 ID:gvrnCEpO0<> >>96
癌のサポートは続いても、99側が先行き怪しいけどね。 <> (○口○*)さん<>sage<>08/12/06 11:06 ID:F/e7Rb5L0<> ショップブランドって自分で組み立ててないだけの自作PCだし、自分で
面倒見れない人が買うもんじゃ無いでしょ。

癌も、もうちょい言い方ある気がするけどね。
どうせテンプレのコピペなんだから、元の文章をちゃんと書いても
大した手間じゃなかろうに。

vistaで動かす時の注意事項書いたページのリンクくらい書けばいいのに。 <> (○口○*)さん<>sage<>08/12/06 11:13 ID:NpnWNK420<> サポートにもう少しお金かければいいのにな。
中の人を責めるのは少しカワイソウだ。
悪いのはいつも上の人間で、とばっちりを受けるのは末端。 <> (○口○*)さん<>sage<>08/12/06 20:39 ID:85XK2bq50<> 420 名前:(^ー^*)ノ〜さん[sage] 投稿日:08/12/06 02:48 ID:dpjSn57t0
>>345関連。
何気なくHTTPのレスポンスヘッダを見ていたら、Nuleus CMSのバージョンがv3.22とか、随分古いのを使っているなと思った。
ttp://japan.nucleuscms.org/archive/6/2006-09
>なお、Nucleus3.22以前には既知の脆弱性があり、攻撃方法も知られています。
>3.22以前をお使いの方はこの機会に3.23へのアップデートをお願いいたします。
現行最終バージョンはv3.31 SP2。

----
これ、ベンダー個別提供のパッチとかが提供されていて、それを適用しているとかならいいのだけど。
果たしてどうなんだろう。どうにも気になる。 <> (○口○*)さん<>sage<>08/12/06 23:42 ID:P7aN9Cxw0<> セキュリティ気にしているなら、そもそもヘッダを馬鹿正直に出さない。
どうなのよそれ。 <> (○口○*)さん<>sage<>08/12/07 05:20 ID:kc/zBWiQ0<> phpの生エラーをリモート側に吐くような設定で、そのまま実運用しているような状況だしな…… <> (○口○*)さん<>sage<>08/12/07 07:38 ID:KAtDrU1lO<> 今ネカフェいってやりながら、時間無かったんで別窓でカスペかけながら
必死狩りして、2時間経過後カスペ結果見たら
見事にtorjan.win32だかが検出されてたんで
ダッシュで帰宅してIDとパス変更したよ。


幸い、資産は一切失ってなかったんでまだログインされてなかったけど
2度とネカフェ利用しないと誓ったわ(´・ω・`) <> (○口○*)さん<>sage<>08/12/07 15:05 ID:XDld64Z4O<> 店員には話したのか?
店に対応してもらわないと他の人が被害にあうぞ

店によっては料金割引いてくれることもあるしw <> (○口○*)さん<>sage<>08/12/07 18:41 ID:VNItCr430<> torjan.win32ってよく誤検出で見かける名前な気がする <> (○口○*)さん<>sage<>08/12/08 10:02 ID:bKBolKp80<> >>106
ついさっき、それで誤検知をかましてくれったっぽい。
検知しました: トロイの木馬 Trojan-Dropper.Win32.Agent.aazo
ファイル: C:\System Volume Information\_restore{A23C4FDE-C619-474B-B9AE-635CFEA201AE}\RP72\A0011997.exe

12/8 AM6:00ごろ上記が検知された。
まったく心当たりが無かったんで、とりあえずVirusTotalにアップロードしようとしたが
何故か0キロバイトだと言われて検査できなかった。
不安になったため、該当ファイルを削除。
AM9:45ごろに定義ファイルが更新されたため、該当ファイルを復元して再スキャン
結果検知せず。

現在もう一度VirusTotalに上げてみたところ、今度はちゃんと検査されて
結果どこも検知せず。
ttp://www.virustotal.com/jp/analisis/b3d7cfcb6c4249dc373ab487018aeee6

しかし何故一回目はアップロードできなかったんだろう。 <> (○口○*)さん<>sage<>08/12/08 12:16 ID:CR7PnYsD0<> 12月のマイクロソフト月例パッチ、“緊急”6件と“重要”2件
http://internet.watch.impress.co.jp/cda/news/2008/12/05/21763.html <> (○口○*)さん<>sage<>08/12/08 21:04 ID:OLUa8j0u0<> 今日ログインしたらアカウントハックにあっていました

とりあえずこれから色々調べてガンホーに報告 警察へ届け等するのですが
公式HPのプレイマナー アカウントハックの所に書かれてるように
警察が不正アクセスを見つけてくれた場合
無くなったアイテム等は戻ってくるのでしょうか

事実アカウントハックにあわれて保障してもらえた方いらっしゃいますか? <> (○口○*)さん<>sage<>08/12/08 21:33 ID:9+Ct0HeZ0<> ご愁傷様っつーか、ログ嫁っつーか… <> (○口○*)さん<>sage<>08/12/08 21:50 ID:CR7PnYsD0<> >>109

>>2
・アカウントハッキングについて > 被害にあってしまったら(RO公式)
  http://www.ragnarokonline.jp/playguide/hacking/hacking_04.html <> (○口○*)さん<>sage<>08/12/09 02:11 ID:4d5xHX+l0<> 1年ほど前に垢ハックの被害を受け、カスペルを導入したところ(それまで無対策)
案の定トロイが検知されました。
カスペルで駆除したあと、今までずっとPCごと放置してきました。
最近になって復帰しようと思い、念の為ウイルスチェック→正常だったので、
OSを再インストールしてからROとカスペルを入れ、
いざ起動しようとすると以下のような反応が出ました。

Ragnarok MFC 韓国語(恐らくファイル名)[弱い制限付きグループ]
はドライバのダウンロードの隠ぺいを試みています
C:\WINDOWS\SYSTEM32\HTSYSM42C2カスペルスキーインターネットセキュリティ
はドライバインストール後にアプリケーションの動作を監視できなくなります
疑わしいオブジェクト:C\GRAVITY\RAGNAROKONLINE_RAGEXE.EXE

正常の状態でもカスペルは警告した覚えがあるので、誤検知かなぁと思い、
正常なPCでROとカスペルを入れ起動してみると、

危険なアプリケーションを実行します

のようなメッセージしか出ず、気持ち悪くてログインできないんですが、
これは大丈夫なのでしょうか?
駆除→再インストールで危ないんだったらもう諦めるしかないですか? <> (○口○*)さん<>sage<>08/12/09 02:13 ID:PuWrHSds0<> >>35見た感じだと、引っかかったりするようだね。
ウイルスチェックして問題ないなら、大丈夫でないの?保証はしませんが。 <> (○口○*)さん<>sage<>08/12/09 03:07 ID:RxGFVylk0<> >>112
>>64
この挙動が気持ち悪くて受け入れ難いと思うのなら、アトラクションIDを削除してすっぱり引退した方が気分が楽だと思う。 <> 112<>sage<>08/12/09 10:29 ID:wX9sMIgA0<> ええっと何故引っかかるのかというと、
感染したPCと、正常なPCでカスペルさんの反応が違うからなんです <> (○口○*)さん<>sage<>08/12/09 10:48 ID:+3AABMDP0<> OS入れ直すしかないんじゃないですか?
そんな込み入ったことまで分かる人は、いません。
カスペのサポート頼ってください。 <> (○口○*)さん<>sage<>08/12/09 12:46 ID:7p3gWdg60<> 流れを読まずに言うと、感染PCではセキュリティソフトの動作が阻害されることはよくある。
>>10みたく、DVD起動でチェックかける奴だと阻害されない。

他になにが動作してるのかわからないのだから、このスレ的にはOS入れ直せというのが結論。 <> 112<>sage<>08/12/09 15:00 ID:wX9sMIgA0<> OSは入れ直しました

そうですね、やはりここまで複雑な事態だとわかるがずないですね
自己責任でやってみることにします <> (○口○*)さん<>sage<>08/12/09 15:38 ID:7p3gWdg60<> ぶっちゃけ設定が違うだけだと思うけどな。プロアクティブディフェンスの設定あたり見直しとけ。 <> (○口○*)さん<>sage<>08/12/10 07:40 ID:IQmg2MCu0<> 今日は月刊WindowsUpdateの日 <> (○口○*)さん<><>08/12/10 09:42 ID:6YSwR6FT0<> 緊急(6) 重要(2)
ttp://www.microsoft.com/japan/technet/security/bulletin/ms08-dec.mspx <> (○口○*)さん<>sage<>08/12/10 12:16 ID:6YSwR6FT0<> 「ワードパッド」に脆弱性、修正パッチは未提供
ttp://internet.watch.impress.co.jp/cda/news/2008/12/10/21807.html
>影響を受けるOSは、Windows XP SP2/2000およびWindows Server 2003。マイクロソフトでは現在この問題について
>調査中で、修正パッチは現時点では提供されていないため、セキュリティアドバイザリでは回避策として該当機能を
>無効化するための手順を紹介している。また、Windows XPの場合にはSP3適用済みであればこの脆弱性の影響を
>受けないため、SP3の適用を推奨している。 <> (○口○*)さん<>sage<>08/12/10 14:13 ID:IQmg2MCu0<> 穴だらけのまま放置されていてハニーポットとして便利な
「ゲーム攻略専門検索エンジン・ゲームナビ」(XREA)への
スクリプト注入。

1920041566:65535/fc2■js

fccja■comです。 <> (○口○*)さん<>sage<>08/12/10 14:22 ID:ziLlIYa00<> ああ、それちょうど、今朝検体提出した奴だ。AntiVirがヒューリスティックで検知したので他社にも送ってみた。
カスペは朝の時点でスルーだったけど、やっぱ対応早いね。4時間位で返事来たよ。

検体提出:7:18:46
カスペ、次のパターンで対応との返事:11:25:36

fc2.js_ - Trojan-Downloader.JS.Iframe.aaz

AntiVir 7.9.0.43 2008.12.09 HEUR/HTML.Malware
Authentium 5.1.0.4 2008.12.09 HTML/Iframe.E!Camelot
F-Secure 8.0.14332.0 2008.12.09 HTML/Exploit!IFrame.G
SecureWeb-Gateway 6.7.6 2008.12.09 Heuristic.HTML.Malware <> (○口○*)さん<>sage<>08/12/10 14:53 ID:IQmg2MCu0<> あれ…セキュ板でかぶったっすかね? <> (○口○*)さん<>sage<>08/12/10 14:57 ID:IQmg2MCu0<> スクリプトか…。
トロイはいつも(XREA広告やFC2ブログ)の奴です。
114■113■130■94:65535/t.gif.gif
画像ではなくexe。 <> (○口○*)さん<>sage<>08/12/10 14:58 ID:ziLlIYa00<> ???

今朝、検知したから送っただけで、セキュ板で見掛けて送った訳じゃないけど。 <> (○口○*)さん<>sage<>08/12/10 15:03 ID:IQmg2MCu0<> こちらの勘違い。忘れてくだされ。 <> (○口○*)さん<>sage<>08/12/10 17:06 ID:KHv1eiAQ0<> ttp://mepriests■148■xrea■com/
旧MEプリテンプレが閉鎖して今は真っ白状態なんだけど
不安

ういるすとかありませんよね? <> (○口○*)さん<>sage<>08/12/10 17:09 ID:5eInVgHP0<> >■ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ■ <> (○口○*)さん<>sage<>08/12/10 17:32 ID:JYN3dnkV0<> >>129
・真っ白だから危険とは限りません
・見た目が普通でも裏で悪さしているかもしれません
→見かけだけでは危険性は分からない

あとそのURL、確認ができないと思ったら■の位置が違うな <> (○口○*)さん<>sage<>08/12/10 17:49 ID:sWYICoFg0<> 閉鎖とか今さら何を言ってるんだ状態だしなぁ。

あのサイトが"放棄"されたのもだいぶ昔だし、アプリコットカフェのMEプリスレ>>1でも
アコプリWikiのMEPriestページを載せてるし。 <> (○口○*)さん<>sage<>08/12/10 17:57 ID:6YSwR6FT0<> index.html以外は全部404が返ってきたから、要はそういうこと。
ただ、全凍結されていたとはいえ、引き継ぎなど全て閲覧側に丸投げだったのは管理人としてどうかとは思うけど。
当人が既にROへの興味は失っていたようなのも含めて。 <> (○口○*)さん<>sage<>08/12/10 18:05 ID:KHv1eiAQ0<> 自分RO復帰したてなのでお気に入りにいれてた昔のサイトが
閉鎖していてこまっているのです <> (○口○*)さん<>sage<>08/12/10 18:19 ID:qXZ8jheN0<> スレタイを読もうか。 <> (○口○*)さん<>sage<>08/12/10 18:36 ID:ziLlIYa00<> >>134
そうですか。こちらへどうぞ。

愚痴・溜息・戯言スレッドLv182
http://enif.mmobbs.com/test/read.cgi/livero/1226713110/

物凄い勢いで誰かが質問に答えるスレ Lv147
http://enif.mmobbs.com/test/read.cgi/livero/1228887203/

【日記】| ゚ω゚|っ□チラシの裏74枚目【雑談】
http://enif.mmobbs.com/test/read.cgi/livero/1228318858/ <> (○口○*)さん<>sage<>08/12/10 21:33 ID:IQmg2MCu0<> gamepaslog■com/redstone/
→www■4gameranking■com/xin/
4gamerankingはinfosueekと読み替えておkk <> (○口○*)さん<>sage<>08/12/11 16:22 ID:eNLLMTN/0<> 「ファンタテニス」公式サイト改ざん、閲覧者はウイルス感染も
ttp://internet.watch.impress.co.jp/cda/news/2008/12/11/21826.html

びわこ競艇と多摩川競艇のBBSが改ざん、閲覧者はウイルス感染も
ttp://internet.watch.impress.co.jp/cda/news/2008/12/10/21809.html <> (○口○*)さん<>sage<>08/12/11 20:23 ID:eNLLMTN/0<> Internet Explorer の脆弱性によりリモートでコードが実行される
ttp://www.microsoft.com/japan/technet/security/advisory/961051.mspx
これらの攻撃は Windows XP Service Pack 2、Windows XP Service Pack 3、
Windows Server 2003 Service Pack 1、Windows Server 2003 Service Pack 2、
Windows Vista、Windows Vista Service Pack 1 および Windows Server 2008 の
サポートされているエディション上の Windows Internet Explorer 7 に対する攻撃であることを確認しています。

[未パッチ注意]


Microsoft ワードパッドのテキスト コンバーターの脆弱性により、リモートでコードが実行される
ttp://www.microsoft.com/japan/technet/security/advisory/960906.mspx
マイクロソフトは Windows 2000 Service Pack 4、Windows XP Service Pack 2、
Windows Server 2003 Service Pack 1 および Windows Server 2003 Service Pack 2 の
Word 97 ファイル用の ワードパッド テキスト コンバーターの脆弱性の新たな報告について調査中です。
Windows XP Service Pack 3、Windows Vista および Windows Server 2008 には
脆弱なコードが含まれていないため、この脆弱性の影響を受けません。

[XPはSP3推奨] <> (○口○*)さん<>sage<>08/12/12 00:03 ID:WcmQ2NqX0<> RAGUに書いてあったけど、別の脆弱性についても対策完了らしい。
被害者いないといいけど…… <> (○口○*)さん<>sage<>08/12/12 00:28 ID:JlcZwFOI0<> 韓国公式見ようとしたらブラウザがブロックしたw

原因

ttp://safebrowsing.clients.google.com/safebrowsing/diagnostic?&hl=ja&site=http://www.ragnarok.co.kr/ <> (○口○*)さん<>sage<>08/12/12 22:10 ID:ZNSyJSZm0<> >139 のitmediaの記事

>中国のサイトで感染の疑い:IE 7にゼロデイの脆弱性、月例パッチでは未解決
>ttp://www.itmedia.co.jp/enterprise/articles/0812/11/news025.html

>脆弱性は、完全にパッチを当てたWindows XP SP3/Windows 2003上のIE 7で確認された。

>既に悪用コードも出回り、実際に攻撃が発生しているという。
>この脆弱性を突いたマルウェアは主に中国でWebサイトを介して感染を広げている模様だ。

>Secuniaの深刻度評価は5段階で最も高い「Extremely critical」。
>同社は信頼できないサイトを閲覧したり、不審なリンクをクリックしないなどの自衛策を呼び掛けている。


ご注意を。 <> (○口○*)さん<>sage<>08/12/12 22:20 ID:QxwuYw4F0<> >>142に補足して IE 5.01 / 6 / 8 Betaも影響を受ける『可能性がある』ので注意

ttp://www.microsoft.com/japan/technet/security/advisory/961051.mspx <> (○口○*)さん<>sage<>08/12/13 22:37 ID:IsPigAB50<> ttp://www■stair-steps■com/ってHP跡地(失効ドメイン?)に罠が仕掛けられている模様。
上記HPのバナー画像を直リンで張ってたサイトへアクセスすると、それ経由で
www■macrcmedia■com(既知の罠ドメイン)へアクセスさせられる仕組みになってるようだ。

一応、PG2やHostsファイルで対策してる人ならアクセスは弾かれる。
直リンバナーに危険があるとか…初めて知った(゚Д゚)
とりあえず報告まで。 <> (○口○*)さん<>sage<>08/12/13 22:43 ID:dHIE+p5G0<> macrcmediaも期限切れでIP同じになってるだけでしょ。
いつものドメイン業者の広告だし。 <> (○口○*)さん<>sage<>08/12/13 23:10 ID:IsPigAB50<> 理解した; 故意に罠が仕込まれた訳じゃないのね。騒いでスマンカッタ_no <> (○口○*)さん<>sage<>08/12/14 06:20 ID:iM2Q5Fmv0<> RMCに表示される広告でActiveXのインストを求めてくるタイプのものがあるんですが
これって垢ハックだったりしますかね。

怖いんでインストしないでそのままにしてるんですが、自分のギルドで使用している
@Wikiに表示される広告でもActiveXのインストを求めてきていて、
よくわからない状態になっています。 <> (○口○*)さん<>sage<>08/12/14 11:57 ID:+w/+1ffP0<> インストール済みFlashPlayerのバージョンが低くて
自動アップデートされようとしてるとかは?

FlashPlayerを最新にしてからもう一回見てみて <> (○口○*)さん<>sage<>08/12/15 13:12 ID:WNuOKao40<> 今現在、福建中華はREDSTONE爆撃に夢中の御様子。 <> (○口○*)さん<>sage<>08/12/16 20:57 ID:wHRHIClH0<> 今NHKで、神奈川県の福祉情報サイトが改竄されてウィルスを含むアドレスに書き換えられたってニュースやってるけど、
もしかして垢ハック…? <> (○口○*)さん<>sage<>08/12/16 23:14 ID:LAAj8evb0<> http://sankei.jp.msn.com/region/kanto/kanagawa/081216/kng0812161827006-n1.htm

> 神奈川県は16日、「かながわ福祉サービス振興会」がホームページで公開している県内の福祉サービス情報に
>何者かが不正アクセスし、このうち認可保育所898件分の情報が改竄(かいざん)されていたと発表した。

情報の改竄としか載ってないねぇ。

http://headlines.yahoo.co.jp/hl?a=20081216-00000026-kana-l14

> 改ざんが確認されたのは、県内の保育施設や子育て支援団体などの情報を掲載している子育て支援情報サービスのHP。
>すべての認可保育所(八百九十八件)の施設案内などの情報が関係のないHPのアドレスに書き換えられていた。

こっちを見るとアカハックぽい気配があるけど、どこにリンクが変更されてたかはわかんないね。 <> (○口○*)さん<>sage<>08/12/16 23:23 ID:LAAj8evb0<> http://mainichi.jp/area/fukui/news/20081120ddlk18040640000c.html
http://mainichi.jp/area/fukui/news/20081121ddlk18040663000c.html

福井でも先月に似たような事例が…介護保険のHP改竄で、「JS AGENT.IMK」と「TROJ AGENT.ATPF」の2種類
公的機関の介護関係のHPを狙ってきてる可能性もある? <> (○口○*)さん<>sage<>08/12/16 23:26 ID:dpQ7d4y40<> システムが同じものを使用しているとかじゃないか? <> (○口○*)さん<>sage<>08/12/16 23:29 ID:wHRHIClH0<> 保育施設のHPを改竄って聞いたときは主婦層狙いかとも思ったが <> (○口○*)さん<>sage<>08/12/17 09:57 ID:iPnGba1L0<> デジカメプリント注文機にウイルス 立川のビックカメラ
http://www.asahi.com/national/update/1217/TKY200812170009.html

>独立行政法人「情報処理推進機構」によると、このウイルスはウイルス対策ソフトを停止させ、
>パソコンを起動できなくさせたり、オンラインゲームのIDやパスワードを盗み出したりする被害が
>確認されている。

中華か?パネェな。 <> (○口○*)さん<>sage<>08/12/17 19:54 ID:VsPXm13L0<> http://alternative0■blog41■fc2■com/?mode=m&no=744
TcpAckFrequency検証Wikiのほうに飛ぶように設定されているようなのですが
飛ぶとファイルのダウンロード−セキュリティの警告-が出ます。
これはウイルスなのでしょうか?
http://c■fc2■com/m.php?_mfc2u=http%3A%2F%2Fronodeley■wiki■fc2■comが飛び先です。 <> (○口○*)さん<>age<>08/12/17 20:59 ID:wtXU3K2D0<> Firefox 3.0.5リリースage
更新はお早めに。 <> (○口○*)さん<>sage<>08/12/18 00:37 ID:QLj6qlhN0<> 火狐だけじゃなくIEもだね

>「Firefox 3.0.5」「Firefox 2.0.0.19」公開、脆弱性8件を修正
>Firefox 2は最後のアップデート
>ttp://internet.watch.impress.co.jp/cda/news/2008/12/17/21899.html

>マイクロソフト、IEの脆弱性修正パッチを18日に緊急公開
>http://internet.watch.impress.co.jp/cda/news/2008/12/17/21893.html <> (○口○*)さん<>sage<>08/12/18 02:12 ID:lq5gRAEa0<> >>156
■ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ■

「携帯用のページからPCで表示しようとする」時に、クッション頁を表示するphpが動作しないで
ダウンロードされてしまっているだけ。

ttp://alternative0■blog41■fc2■com/blog-entry-744■html からだと問題無い。 <> (○口○*)さん<><>08/12/18 07:32 ID:kOFRPFs90<> >>139,142,158についてのセキュリティパッチ、MS08-078(緊急)公開age。WUで適用可能。
ttp://www.microsoft.com/japan/technet/security/bulletin/MS08-078.mspx <> (○口○*)さん<>sage<>08/12/20 21:49 ID:tiwkSKsv0<> 少し相談があるのでよかったら助言をお願いします。
本日垢ハックされている現場を知人が発見したとのメールを受ける。
PCを触れる環境にいなかったので、知人にIDPASSを教えてログイン
してもらったあとに、パスの変更。
上記のことをしてもらった後に、現在警察に通報しようか考えているのですが
この場合、ログインした知人の処置はどうなるのでしょうか?
もしも不正アクセスでbanされるならば通報は伏せようかと思っています。 <> (○口○*)さん<>sage<>08/12/20 21:54 ID:/TkDrfWY0<> 自分からID, PASSを教えてログインするように依頼しているので
不正アクセスにはならない <> (○口○*)さん<>sage<>08/12/20 21:54 ID:yp69tsQ/0<> 本人が教えて指示した場合は不問でない? <> (○口○*)さん<>sage<>08/12/20 21:59 ID:hSMfArkv0<> >>161
まぁ、「管理者からアクセスを許諾されている人」に更に許諾された人の扱いなので、厳密には範囲に入るが
不正アクセス扱いされることはないでしょう。安心して通報してください。

報告するとき、癌と警察の両方に、不正アクセスされていることがわかったので、これこれこういう対応を
とりました。こちらが指示して代わりに操作して貰ったのは○月○日○時○分頃です。と説明しとけばOK。

http://law.e-gov.go.jp/htmldata/H11/H11HO128.html
>(不正アクセス行為を助長する行為の禁止)
>第四条  何人も、アクセス制御機能に係る他人の識別符号を、その識別符号がどの特定電子計算機の
>特定利用に係るものであるかを明らかにして、又はこれを知っている者の求めに応じて、当該アクセス
>制御機能に係るアクセス管理者及び当該識別符号に係る利用権者以外の者に提供してはならない。
>ただし、当該アクセス管理者がする場合又は当該アクセス管理者若しくは当該利用権者の承諾を得て
>する場合は、この限りでない。

当該アクセス管理者:ガンホー
当該利用権者:>>161さん
当該利用権者の承諾を得た人:>>161さんの知人 <> (○口○*)さん<>sage<>08/12/20 22:06 ID:wgEbly3D0<> 不正アクセス禁止法はともかく、規約違反で2人ともBANされても文句は言えないけどな <> (○口○*)さん<>sage<>08/12/20 22:09 ID:yp69tsQ/0<> さすがにそれはないだろう。 <> (○口○*)さん<>sage<>08/12/21 01:52 ID:OBtcD02u0<> 状況を説明すれば緊急避難の処置とされるのでは?
2PCあるならまだしも、PC1台しかないと
被害極限についての方法が無いわけだし。

まぁ、ガンホーのサポセンが24時間電話対応だったらねぇ・・・ <> (○口○*)さん<>sage<>08/12/21 05:27 ID:37k3CNyy0<> 本当はハック&ログインなんてされてないのに、されてると言ってIDパスを聞きだしそいつがハック
なんてことを考えてしまった <> (○口○*)さん<>sage<>08/12/21 05:46 ID:PSWyDpg00<> RODSのWIKIがあらかたアカハク系に書き換えられてた。
現在は直ってるけど注意されたし。 <> (○口○*)さん<>sage<>08/12/21 09:32 ID:Ys7cIVPH0<> すみません。ブログサーフィンしていたらRMT・BOT系の
怪しいブログにアクセスしてしまいました。
aguseでチェックしてみたところ大丈夫だと出ましたが
当方あまりPCに詳しくないのでとても心配です。
ROはすぐに落ちてノートンでウィルスチェックしているのですが
詳しい方、お調べいただけないでしょうか・・・?

ttp://rmtonline.blog89.fc2.com/blog-entry-77.html

こちらです。教えてチャンみたいで申し訳ございません>< <> (○口○*)さん<>sage<>08/12/21 09:33 ID:8j9v4gQq0<> 立派な教えてチャンだよお前は
テンプレ読みもしないで書き込む馬鹿って何なの? <> (○口○*)さん<>sage とでも答えておけばいいのか?w<>08/12/21 09:59 ID:M2XeHS9j0<> >>170
残念 手遅れ、ご愁傷様。 <> (○口○*)さん<>sage<>08/12/21 10:35 ID:dyuo0eew0<> でっけえ釣り針だなぁ <> (○口○*)さん<>sage<>08/12/21 10:39 ID:Ys7cIVPH0<> 釣りじゃないんです・・・本当に・・・
ウィルススキャンは白でした。アカハックのまとめサイト等も
回ってみましたが、スキャンで白でも過信はできないみたいですね・・・
優しい方、教えていただけないでしょうか・・・? <> (○口○*)さん<>sage<>08/12/21 10:57 ID:Zw792z/a0<> テンプレも読まず、ルールをまもらん奴に教える気、ありません。 <> (○口○*)さん<>sage<>08/12/21 11:15 ID:huxihEvI0<> 早くPCを窓から投げ捨てる作業に戻るんだ <> (○口○*)さん<>sage<>08/12/21 11:26 ID:it7/Zpu90<> ■ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ■ <> (○口○*)さん<>sage<>08/12/21 11:52 ID:G0HP/NJG0<> 「今あんたのキャラがアカハックされてる!」
「え!?マジで? パスとID教えるから阻止して!」
「了解〜」
(パスとID GET! zenyとアイテム抜いてから
 パス変更して手遅れだったって言えばいいよねw)

などというアカハク詐欺とか起きそうで怖いね <> (○口○*)さん<>sage<>08/12/21 11:56 ID:FxLrj93b0<> ソーシャルエンジニアリングだな
割とよくある <> (○口○*)さん<>sage<>08/12/21 14:47 ID:rT5qNvUq0<> ソーシャルハックじゃないっけ? <> (○口○*)さん<>sage<>08/12/21 15:03 ID:C4pkVQqV0<> >>180
ソーシャルハッキングはソーシャルエンジニアリングの一部。
>>178のケースはどちらでもおk。
http://ja.wikipedia.org/wiki/%E3%82%BD%E3%83%BC%E3%82%B7%E3%83%A3%E3%83%AB%E3%83%BB%E3%82%A8%E3%83%B3%E3%82%B8%E3%83%8B%E3%82%A2%E3%83%AA%E3%83%B3%E3%82%B0 <> (○口○*)さん<>sage<>08/12/21 15:51 ID:it7/Zpu90<> Ragnarok Online DS (RODS) | ラグナロクオンラインDS 攻略Wiki
http://wiki■livedoor■jp/ro_ds/d/

書き換えられているリンク先(危険アドレス)
http://kessaku■blog3■petitmall■jp/

リンク先全部書き換えられててワラタw <> (○口○*)さん<>sage<>08/12/21 16:09 ID:TJXndyIe0<> 物質スレで報告しとけと誘導してもらったので、報告です。

【      気付いた日時          】 12/21
【不審なアドレスのクリックの有無 】 ラグナロクオンラインDS攻略Wiki
http://wiki■livedoor.jp/ro_ds/d/ TopPageのアドレスですが、念のため■に変更。
各リンクが変更されていた模様で、知らずに踏んでしまいました。
【他人にID/Passを教えた事の有無】 (No)
【他人が貴方のPCを使う可能性の有無】 (No)
【    ツールの使用の有無      】 (No)
【  ネットカフェの利用の有無    】 (Yes)
【     OS    】 (WindowsXP Pro SP3)
【使用ブラウザ 】 (Lunascape4.7.3)
【WindowsUpdateの有無】 (12月分の悪意のあるツールの削除まで終えています)
【 アンチウイルスソフト 】 (avast!4.8)
【その他のSecurty対策 】 (ルータ)
【 ウイルススキャン結果】
(カスペルスキーオンラインスキャンを行いましたが何も検出されませんでした。)
【スレログやテンプレを読んだか】 (Yes)
【hostsファイルの変更】(無)
【PeerGuardian2の導入】(無)
【説明】
RODSの調べ物をしようとWikiのリンクを見ようとしたら
blog?か何かに飛ばされ、avast!さんにトロイが検出されました。と言われました。
そのときは、推奨の対策の「ファイル移動する」(?)旨の対応をしました。
突然だったので、動揺していたので単語を覚えていません。
その後、カスペルスキーのオンラインスキャンを行いましたが、
疑わしいファイル等の検出がなかったため、物質スレで質問をし
誘導していただいたので、テンプレにそって報告させてもらいました。 <> (○口○*)さん<>sage<>08/12/21 16:11 ID:w+4uP4tt0<> >>182
ほんとだ。>>169で改ざん報告&直ってるとあって、"また"なのか。

livedoor wikiに、その手の改ざんへの"対策"はあるのかな?対策されないと、直してもキリが無いぜ。 <> (○口○*)さん<>sage<>08/12/21 16:21 ID:it7/Zpu90<> >>182の続き

iframeで呼びだされるおなじみのアドレス
http://www■bluewoon■com/Blog/

更に呼びだされるアドレス
http://www■skywebsv■com/Blog/Muma■htm
http://www■skywebsv■com/Blog/Ms06-014■htm
http://www■skywebsv■com/Blog/Ms08-011■htm
http://www■skywebsv■com/Blog/Storm-II■htm
http://www■skywebsv■com/Blog/Ms-office■htm
http://www■skywebsv■com/Blog/Ms08-053■htm
http://www■skywebsv■com/Blog/Realplayer11■htm
http://www■skywebsv■com/Blog/Ms07-004■htm

本体
http://www■skywebsv■com/Blog/k1■exe

本体検出結果(30/38) シマンテックすりぬけ
http://www.virustotal.com/analisis/67c8a86898b312fba2abd43d8b151052



AntiVirの検出結果(呼び出しまでの経路はカスペを含み、結構未検出多い)

kessaku■blog3■petitmall■jp : HTML/Infected.WebPage.Gen
www■bluewoon■com/Blog : HTML/Iframe.A!Camelot 他(AntiVirでは検出せず)

Muma.htm : JS/Agent.bct
Ms06-014.htm : HTML/Malicious.ActiveX.Gen
Ms08-011.htm : JS/Bofra.A.1
Storm-II.htm : HTML/Shellcode.Gen
Ms-office.htm : HEUR/HTML.Malware(20081220 V7.9.0.45)
--- Not Detected ---(20081219 V7.01.01.14)
Ms08-053.htm : --- Not Detected ---
Realplayer11.htm : HTML/Shellcode.Gen
Ms07-004.htm : HTML/Shellcode.Gen

ちょっとパターン更新が遅れてるとすり抜ける事態の実例がw <> (○口○*)さん<>sage<>08/12/21 16:25 ID:it7/Zpu90<> >>183
>185のように呼びだされ、最終的には本体が落とされる訳ですが、本体をAvastでブロックしている可能性が高いです。

メッセージ出た時の操作で間違って許可している可能性もありますが、複数のエンジンで検索して出ないということは
「本体は」動作していない可能性が高いと考えていいかもしれません。(保証はできません)

本体呼び出し経路がIEのキャッシュなどに残っているとは思います。それが気持ち悪ければ、IEのキャッシュ削除や
OS入れ直しをしても良いでしょう。 <> (○口○*)さん<>sage<>08/12/21 16:26 ID:8j9v4gQq0<> そのwikiなら俺も見ちまったぞおい
>>183とは違って特にどこにも飛ばされはしなかったが…

とりあえずカスペのオンラインスキャンしてるが検出されるかどうか <> (○口○*)さん<>sage<>08/12/21 16:29 ID:it7/Zpu90<> …あれ?

AntiVirのパターン更新しても最新と出て、20081219 V7.01.01.14 のままだな。
VirusTotalの方は、20081220 V7.9.0.45 になってるのに。実害はないけど、なんか悔しい。 <> (○口○*)さん<>sage<>08/12/21 16:50 ID:Ys7cIVPH0<> 先ほどは混乱してしまっていて、テンプレも無視して書いてしまいました。
大変失礼致しました。
改めて、書き込みさせていただきます。

【      気付いた日時          】 12/21
【不審なアドレスのクリックの有無 】 http://rmtonline■blog89■fc2■com/blog-entry-77■html
【他人にID/Passを教えた事の有無】 (No)
【他人が貴方のPCを使う可能性の有無】 (No)
【    ツールの使用の有無      】 (No)
【  ネットカフェの利用の有無    】 (Yes)
【     OS    】 (WindowsXP Home SP3)
【使用ブラウザ 】 (Sleipnir 2.8.4)
【WindowsUpdateの有無】 (2週間程前に自動更新があった気がします)
【 アンチウイルスソフト 】 (Norton AntiVirus)
【その他のSecurty対策 】 (No)
【 ウイルススキャン結果】
(ノートンにてスキャンを行いましたが何も検出されませんでした。)
【スレログやテンプレを読んだか】 (Yes)
【hostsファイルの変更】(無)
【PeerGuardian2の導入】(無)
【説明】mixiに不審な足跡があったので辿り、その人の日記を見てみた
ところこのようなRMT・BOTの推奨ブログのような場所にいきなり
飛ばされてしまいました。
fc2は脆弱でアカハックが埋め込まれている事が多いと聞き、内容も
内容なので非常に心配になっております。
一応aguseでは何も検出されなかったようなのですし、ウィルススキャンでも
何も出てこなかったのですがまだ不安です。
ちなみに元のmixiのその不審な人のアカウントはもう削除されているようです。 <> (○口○*)さん<>sage<>08/12/21 18:34 ID:WQS3sH330<> わかってねーな。アカハックかどうかもわからないアドレスの鑑定はしません。
>■ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ■ <> (○口○*)さん<>sage<>08/12/21 18:51 ID:W4RwQX/50<> >189
とりあえず不安なのはよくわかった。
なのでその不安を解消するために>>6 を熟読して対処してくるといい。
クリーンインストールのやり方はPCのマニュアルを見れ。 <> (○口○*)さん<>sage<>08/12/21 19:17 ID:HT8L9R5i0<> ■ 勇気が無くて見れないサイト解説スレ ■ を立てればいいんじゃね?
なんかすぐ落ちそうな気もするが

最近1-7のテンプレ全く読まん不届き者が多いし…
ネット初心者とかいうアホな言い訳は通用しない <> (○口○*)さん<>sage<>08/12/21 19:42 ID:it7/Zpu90<> >>189
アドレスからしてモロにRMT業者のページと思われる(中は見てない)

なにかが入ってしまったかは、他の人にはわからない。保証もできない。
このスレで勧められるのは、危ない可能性があるなら、必要なデータのバックアップをとってからOS入れ直しってことだけ。

"複数の"検索エンジンで調べても検出されない場合、安全な可能性もあるが、感染しているマルウェアが
セキュリティソフトの検出を阻害している可能性も残る。検出結果を信用するかどうかはあなたの自己責任で。

Dr.Web LiveCD のように、CDブートした上で、パターンを更新してスキャンするものを活用すると、
セキュリティソフトが阻害されないので検出可能になるかもしれない。(もちろん、パターンが対応していなくて
擦り抜ける可能性もある)

Dr.Web LiveCD
http://drweb.jp/support/LiveCD.html

不安に思うならOSを入れ直せ。それ以上の調査や解析は、誰か気が向いた人がやらない限りは行われません。

>■ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ■ <> まとめ臨時 ◆kJfhJwdLoM<>sage<>08/12/21 23:05 ID:FNiZj8h+0<> ふと気になったので"勇気が無くて見れない〜"で検索。
引っかかる上位の物は画像系が殆どかも。
そこから辿っていくと、こんな感じのスレッドがありました。
テンプレのスレ名と微妙に違ったので
次からは下のに置き換えた方が判りやすい?のかも。

下記リンク先では専ブラの人は
プレビューとかなってしまうかもしれないので注意です。
リンク先は■置き換えがされていないのでブラウザで観る人も
クリック誤爆にお気をつけあれ。(下も一応■で置き換えました)

・勇気がなくて踏めない人のための鑑定スレPart18(ネットワーク@2ch掲示板)
ttp://pc11■2ch■net/test/read■cgi/hack/1208760889/
・勇気がなくて踏めないURL鑑定スレin初質 Part28(初心者の質問@2ch掲示板)
http://gimpo■2ch■net/test/read■cgi/qa/1227049939/ <> (○口○*)さん<>sage<>08/12/21 23:37 ID:Ys7cIVPH0<> >>193 >>194
ご親切にありがとうございました。
こちらは私のお伺いしたい事を書くべき場所では無い事が分かりましたので
しかるべき場所にお問い合わせしたいと思います。
スレ汚し大変失礼致しました。 <> (○口○*)さん<>sage<>08/12/22 11:12 ID:Ax3u99pi0<> nPro復活の模様 やっぱ不具合があったのかな <> (○口○*)さん<>sage<>08/12/22 12:45 ID:vscjnqoH0<> 比較データ取るんじゃないかな <> (○口○*)さん<>sage<>08/12/22 21:41 ID:xK1aHf9N0<> 【緊急レポート】日本国内でも始まっていたIEのゼロデイ攻撃
http://internet.watch.impress.co.jp/cda/special/2008/12/22/21937.html

> 攻撃サイトは複数用意されており、サイトやスクリプトの内容、構成などが頻繁に入れ替わっているが、
>攻撃サイトの多くは中国や韓国に置かれており、FlashPlayerやRealPlayerなどの脆弱性突く攻撃を仕掛けてくる。
>最終的にはゲームのアカウントを盗み取るなどの悪事を働く、トロイの木馬をインストールするのが目的らしい。

アカハックの事例ですな <> (○口○*)さん<>sage<>08/12/23 02:23 ID:H/ZDEVeE0<> SQLインジェクション攻撃が再び爆発増、ラックが緊急注意喚起
http://internet.watch.impress.co.jp/cda/news/2008/12/22/21950.html

<独断と偏見による要点(?)抜粋>
・Webサイトの改ざんが、12月15日から爆発的増加
・改ざん検知数は12月20日までに過去最高を記録した
・悪用されている脆弱性は、マイクロソフトの「MS06-014」と「MS08-078」のほか、「Adobe Flash Player」の脆弱性
・感染すると、オンラインゲームのアカウント情報の詐取や他のサイトへのSQLインジェクション攻撃などを行う
・感染を試みる不正プログラムは〜アクセスする時刻によってアップデートされ、別の不正プログラムに変化することが
 確認されているため、必ずしも検知できない場合があり注意が必要
・ダウンロードされるすべての不正プログラムを検出する方法は現時点では不明
・改ざんによって誘導されるサイトをリストアップしており、Webサイトの管理者に対しては、それらのサイトへの
 誘導スクリプトやiframeタグが埋め込まれていないか確認する方法を紹介するとともに、改ざんされていた場合の
 対応手順を説明している <> (○口○*)さん<>sage<>08/12/23 02:25 ID:H/ZDEVeE0<> 【緊急注意喚起】改ざんされたWebサイト閲覧による組織内へのボット潜入被害について
http://www.lac.co.jp/news/press20081222.html

改ざんにより誘導されるサイト
s■cawjb■com
s1■cawjb■com
jpdog■3322■org
jpsb■meibu■com

改ざんが確認されたサイトでの対策
@サイト利用者に不正プログラムを感染させる恐れがあるため、動的ページの表示を止めて
 被害拡大防止をはかります。
A外部からのASPファイルへのアクセスを止め、新たな攻撃を受けないようにします。
Bログやディスクを解析し、原因究明をはかると共に、関連した他の被害が出ていないか
 どうかの確認を行います。(WebサーバへのバックドアやDBサーバへのルートキットなどの調査を含む)
C再開プロセスは、以下のとおりです。

(1) データベースに埋め込まれた誘導スクリプトなどをすべてクリーニングします。
(2) 欠陥のあるWebプログラムを修正し、確認する。もしくはWAF(Web Application Firewall)などを
   導入するか、データベース側で対応するなどの欠陥が発露しない方策を採ります。
(3) バックドアやルートキットなどが埋め込まれている可能性がある場合は対策を取ります。
(4) 被害状況により、利用者・取引先・関係機関・メディアなどとのコミュニケーションをはかります。 <> にゅぼーん<>にゅぼーん<>にゅぼーん<>にゅぼーん<>にゅぼーん (○口○*)さん<>sage<>08/12/23 02:55 ID:H/ZDEVeE0<> >>201は一部伏せるのミスってたので、削除依頼してきます。ごめんなさい。

改ざんにより誘導されるサイト
s■cawjb■com   → 60■196■70■130(KR/韓国)
s1■cawjb■com  → 60■196■70■130(KR/韓国)
jpdog■3322■org → 該当IPなし(ドメイン抹消?)
jpsb■meibu■com → 203■141■159■150(JP/インターリンク…おいおい)


誘導サイトの一部をググってチェック…か〜なりのサイトに仕込まれてるようですね。

ttp://s1■cawjb■com/jp■js
ttp://s■cawjb■com/jp■js
ttp://jpdog■3322■org/Help■asp
ttp://jpsb■meibu■com/Help■asp

jp.js : HEUR/HTML.Malware(AntiVir)
Help.asp : 片方はドメイン抹消/片方はタイムアウト 既にブロックはされてる模様

jp.js(3/38)
http://www.virustotal.com/analisis/e4f0f68cfa95e6def2b137dc652f416d
jp.htm(0/38)
http://www.virustotal.com/analisis/b320cd1f0a752b777c0ad53de46351da
index.htm(9/38)
http://www.virustotal.com/analisis/84c4704b550ba2e010ff50b3a9e45db4
stat.php(1/38)
http://www.virustotal.com/analisis/4986836d7eefa6334998b29d5c8d459d

index.htmは文字化け状態に見えるので、解読困難…本体入手試みようと思ったけどパス。 <> (○口○*)さん<>sage<>08/12/23 08:43 ID:VxYKvEWZ0<> 乙乙

挙がったアドレスを広告カットにも入れとこう。 <> (○口○*)さん<>sage<>08/12/23 12:34 ID:gF02ilbN0<> >>202
4つ目に挙げられているmeibuは、どうやらDDNSサービスのようだ。
だとすると、留学生()が中継鯖の流用でもした可能性が考えられるね。 <> (○口○*)さん<>sage<>08/12/23 13:58 ID:H/ZDEVeE0<> 検体入手できなかったのがなんとなく悔しくて調査続行。

Help.asp でぐぐってみたところ、http://flyshu■8866■org/jp/Help■asp というのが
見つかった。jpdogとかmeibuほどじゃないけど、やはり改竄されて挿入されたっぽい感じ。

210■205■126■6 で、韓国のIP。

PG2で中国弾きだけでも事足りてたけど、やはり韓国もブロックしないと危ないかもですね。


http://flyshu■8866■org/jp/Help■asp
http://flyshu■8866■org/jp/Help■htm
http://js■tongji■cn■yahoo■com/852403/ystat■js

このystat.jsが本体を落とす筈。スクリプト解読めんどくさ…。
この3種類、VirusTotalでは全部スルーされてます。

サイズ0のiframe呼び出しを経由して、スクリプトも見るからにアカハックの気配。 <> (○口○*)さん<>sage<>08/12/23 14:39 ID:VjsEMQm/0<> ystatはアクセス解析だからいじっても意味ないよ。 <> (○口○*)さん<>sage<>08/12/23 15:50 ID:H/ZDEVeE0<> >>206
カスペの返答…やっぱ速いな。でも、Fortinetは危険なコード発見せずという返答。

Help.asp - Trojan.JS.Agent.ii,
Help.htm_ - Trojan.JS.Agent.ij,
ystat.js_ - Trojan.JS.Agent.ik <> (○口○*)さん<>sage<>08/12/23 15:51 ID:H/ZDEVeE0<> アンカー間違えた。orz

>207は、>205へのコメント。 <> (○口○*)さん<>sage<>08/12/23 18:47 ID:H/ZDEVeE0<> >>205,>>207
AntiVirも全てクリーンとの返答。>>206が言うようにアクセス解析なら害は無いのかも。
複数のページに挿入されてて、iframeを使った呼び出し手法で(略)なので、怪しいと思ったのだけど。

flyshu■8866■org は一応危険アドレスではないって扱いかな。

カスペの検知は、手法が問題ってことなんでしょう。取り敢えず、誤認で晒してごめんなさい? <> (○口○*)さん<>sage<>08/12/23 19:17 ID:gF02ilbN0<> 本当は、iframe自体をあまり使うべきではないのだけどねえ。
HTML 4.01 Strict及びXHTML 1.0 Strictでは未定義、XHTML 1.1では廃止されている要素/属性なのだし。
仮にも大手であるyahooからして常用しているのがなんとも。 <> (○口○*)さん<>sage<>08/12/23 19:22 ID:ZCki4jLH0<> HTMLを真面目に守っている大手サイトなどあるのか? <> (○口○*)さん<>sage<>08/12/23 20:11 ID:2KRMOZCf0<> >>210
iframe外しても、今はscriptで外部呼び出しまくりなんだよね。これが <> (○口○*)さん<>sage<>08/12/23 21:32 ID:boGOahDc0<> >>210
中華一味の場合、罠ドメインにしこむのはFRAMEタグ2つの場合もあるな。
他人のブログを最初のFRAMEタグで表示して、もう1つのFRAMEタグで罠を仕込む、と。

1つ塞げばあの手この手。
気をつけてくれよな! <> (○口○*)さん<>sage<>08/12/24 17:54 ID:rqu8vxPz0<> frame要素も、本来ならばFrameset DTDのみで使用が許されている。
もっとも、世の中にはTransitional DTD (loose DTD)で使いまくっているサイトも多々あるが。

結局は、見た目ばかりを要求するクライアントと、作法に疎いWebデザイナー。
そして、身勝手な実装を繰り返したIEがねえ……
IE7ではようやくW3C準拠を目指し始めたものの、今度は後方互換性がぼろぼろ。
Firefox3が正式版でクリアしたAcid2でさえも、IE8ベータでようやくクリアできた有り様だし。 <> (○口○*)さん<>sage<>08/12/24 18:13 ID:F75wOnVC0<> 今朝、ふと思い立ってリネージュ資料室の更新情報から検体入手してみた。

最近は、CSSの拡張子で実際はexeなファイルとかまで出てきてるんだね。 <> (○口○*)さん<>sage<>08/12/24 18:15 ID:F75wOnVC0<> いかん、本題を書き忘れた。

ROセキュリティWikiの検体提出先を数ヶ所修正しようと思ったのですが、訂正後にボタンを押しても
真っ白な画面になるだけで、更新が反映されないようです。

サーバーが重かっただけか、なんかの不具合が出ているのかわからなかったので一応報告しておきます。

追加:
BitDefender <support@bitdefender.com>

削除:(エラーで届かない)
Bit9(FileAdvisor) <fileadvisor@bit9.com>
CA(eTrust Antivirus) <virus@ca.com> <> (○口○*)さん<>sage<>08/12/25 04:02 ID:EaB9P3Q50<> 2chのメッセスレで騒ぎがあった。
http://www■myspacy■biz/viewimage■php?=自分のアカウント@hotmail.co.jp
トロイの木馬らしい。 <> (○口○*)さん<>sage<>08/12/25 06:58 ID:B8VT5Nig0<> Bitは
virus_submissionあっとbitdefender.com
じゃなかった? <> (○口○*)さん<>sage<>08/12/25 09:25 ID:WtQhtCb+0<> >>215
URLの場合、拡張子(に見えるモノ)なんて飾りだしね。
Content-Typeが重要なのであって。 <> (○口○*)さん<>sage<>08/12/25 12:17 ID:FuF73QcT0<> >>218
サポートページにそう書いてあったけど?
>216は下記の情報から転記。

http://beta.bitdefender.com/site/KnowledgeBase/consumer/

選択
Fight against malware
Improving Detection

文書
What to do when BitDefender does not detect malware

圧縮ファイルのパスワードは"infected"で、そのアドレスに送れって書いてある。
>218のアドレスが生きてるかどうかは知らない。 <> (○口○*)さん<>sage<>08/12/25 14:10 ID:83nt40JS0<> >>216
投稿文or差分にspam.ini.phpに設定されてるNGワードが含まれているんだろうね <> (○口○*)さん<>sage<>08/12/25 17:30 ID:B8VT5Nig0<> >>220
そんなキレんでも。
ttp://forum.bitdefender.com/index.php?showtopic=3066 <> (○口○*)さん<>sage<>08/12/25 18:10 ID:FuF73QcT0<> >>222
情報に疑惑が出たのでソースを提示しただけでなんでキレてることになるんだろう?
>218の情報も確認。

次に検体あったら両方に送ってみて、届くかどうか確認してみるよ。 <> (○口○*)さん<>sage<>08/12/25 20:31 ID:5qfzQvty0<> 反論=キレる

ムスカ 「上出来じゃないか」 <> (○口○*)さん<><>08/12/25 22:12 ID:5KDe2wkb0<> RAGUでも記事になってた。

とりあえずageとこう。 <> (○口○*)さん<>sage<>08/12/25 22:45 ID:5KDe2wkb0<> foto
ttp://xxx.myspacy■biz/xxxxxxxxx.php?=xxxxxx@hotmail.com

こんな具合のURLがメッセンジャーで誰かから送られてきていませんか?
これはウィルスに感染するサイトのURLです!!

・ウィルス名
IRCBot.AKX トロイの木馬、いわゆるパソコンをのっとれる抜け穴を作り出してしまうウィルスです。

・感染経路
Windows Live Messenger、Skype、Yahoo Messenger、ICQ 他の大手メッセンジャーツール

・特徴
ノートンを素通りする。恐らくウィルスバスターも素通り。
最近のウィルスはどれもノートン・トレンドマイクロに引っかからない構造になっている場合が多いので使うだけ損です。

・感染の有無
Internet Explorerで上記URLを開いてしまった際に、ウィルス対策ソフトが反応して停止しなかった場合は感染しています。
必ずメッセンジャー系のアプリは全て停止させてから、以下の対策を行ってください。

1、http://canon-its.jp/product/eset/trial_ess.html
NOD32アンチウィルス体験版をダウンロード(要メールアドレス)
2、LANケーブルを引っこ抜く、または無線LANをオフにしてパソコンをインターネット・家庭内のLANに接続されていない状態にする。
3、既存のウィルス対策ソフトをアンインストール
4、NOD32アンチウィルスをインストール
5、再起動後、メッセンジャー系のソフトが自動的に立ち上がっていたら全て停止する
6、パソコンをインターネットに接続されている状態にし、NOD32アンチウィルスのウィルス定義ファイルを最新の状態にする
7、NOD32アンチウィルスでコンピュータの全ドライブを標準スキャン
8、「Win32/IRCBot.AKX トロイの木馬」が検出され、隔離されたら駆除完了 <> (○口○*)さん<>sage<>08/12/25 22:46 ID:5KDe2wkb0<> まず、ネットの接続を切る!
近くにLANがある場合は引っこ抜いて下さいw
これは、ネットからの様々な流通を防ぐ以外にメッセで他人に同じような手法で拡大するのを防ぐためです。

次に、タスクマネージャーを起動。
起動方法は「Ctrl+Alt+Delete」です。
起動したらプロセスをクリックし、「イメージ名」の部分をクリック。
fxstaller.exeもしくはimgs.exeがあった場合はその部分を右クリックして、「プロセスの終了」を押して下さい。(アルファベット順になっているので分かりやすいはずです。)

そして、適当なフォルダを開いて、検索をクリック。

左の「何を検索しますか?」の下の選択肢の「ファイルとフォルダすべて(L)」をクリック。

「ファイル名のすべてまたは一部」に「fxstaller.exe」もしくは「img.exe」を入力して、検索をクリック。
検索結果で出てきたファイルはすべて削除して下さい。

そして、レジストリを起動します。
起動方法は色々とありますが、「ウインドウズボタン(ウインドウズの絵が書いてあるボタン)+R」です。

「regedit」と入力しOKをクリック
「HKEY_LOCAL_MACHINE」
「SOFTWARE」
「Microsoft」
「Windows」
「CurrentVersion」
「Run」
の順番でクリック。
「Windows Udp Control Center」があったら削除して下さい。

最後に、一旦電源を切って下さい。(再起動でも可) <> (○口○*)さん<>sage<>08/12/25 22:47 ID:FuF73QcT0<> メッセンジャーで届く奴か。以前、寝てる間に届いて検体入手しそこなったことがあったっけなー。
今回のはアドレスが来るようだけど。

検体欲しいな〜。 <> (○口○*)さん<>sage<>08/12/25 22:56 ID:FuF73QcT0<> >>225-227
元記事のスレでアドレス出てたので検体入手してみた。

検体
ttp://www■myspacy■biz/viewimage■php?=自分のアカウント@hotmail.co.jp

http://www.virustotal.com/reanalisis.html?46a50edf24ed6e128dbe6db2d8b8a351

AntiVir:Worm/Rbot.100352.2
AVG:Dropper.Generic.AEWD
Kaspersky:Trojan.Win32.Agent.azob
McAfee+Artemis:Generic!Artemis
Microsoft:VirTool:Win32/CeeInject.gen!J
NOD32:Win32/IRCBot.AKX

すりぬけるソキュリティソフト:Avast・McAfee・Symantec・TrendMicro <> (○口○*)さん<>sage<>08/12/25 23:09 ID:FuF73QcT0<> 検出結果のアドレス間違いました。

結果: 14/39 (35.90%)
http://www.virustotal.com/jp/analisis/7ec5fbcb09eb16190b80738b7110ede9 <> (○口○*)さん<>sage<>08/12/25 23:30 ID:FuF73QcT0<> Normanに現物を送った結果返ってきたレポート。(Normanは未対応なので、NO_MALWARE になってます)
1つづつしか送れないけど、仮想環境で検査してくれてるのかな。
いじられるレジストリや生成されるファイルについて返ってくるので結構便利。

他ベンダーにも、これから検体提出してきます。

[ DetectionInfo ]
* Sandbox name: NO_MALWARE
* Signature name: NO_VIRUS
* Compressed: NO
* TLS hooks: NO
* Executable type: Application
* Executable file structure: OK
* Filetype: PE_I386

[ General information ]
* File length: 100352 bytes.
* MD5 hash: 8c49834070fdd91d570ec867f3c0698c.

[ Changes to filesystem ]
* Deletes directory C:\WINDOWS\TEMP\IXP0.TMP.
* Creates directory C:\WINDOWS\TEMP\IXP0.TMP.
* Creates file C:\WINDOWS\TEMP\IXP0.TMP\TMP4351$.TMP.
* Deletes file C:\WINDOWS\TEMP\IXP0.TMP\TMP4351$.TMP.
* Creates file C:\WINDOWS\TEMP\IXP0.TMP\imgs.exe.
* Deletes file C:\WINDOWS\TEMP\IXP0.TMP\imgs.exe.

[ Changes to registry ]
* Accesses Registry key "HKLM\System\CurrentControlSet\Control\Session Manager".
* Creates key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce".
* Sets value "wextract_cleanup0"="rundll32.exe C:\WINDOWS\SYSTEM32\advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\TEMP\IXP0.TMP\"" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce".
* Accesses Registry key "HKCU\Console".
* Accesses Registry key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce".
* Deletes value "wextract_cleanup0" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce".

[ Process/window information ]
* Creates process "imgs.exe".

[ Signature Scanning ]
* C:\WINDOWS\TEMP\IXP0.TMP\imgs.exe (52786 bytes) : no signature detection. <> (○口○*)さん<>sage<>08/12/26 10:47 ID:9goL+giN0<> >>229
http://myspacy■biz/viewimage■php?=自分のアカウント@hotmail.com
http://hi5■eu■com/id■php?=自分のアカウント@hotmail.com

落ちてくるブツは同じものでした。 <> (○口○*)さん<>sage<>08/12/26 10:49 ID:9goL+giN0<> >>229の奴。今朝の時点での対応状況。Avastが対応。珍しくSymantecも対応完了。

a-squared 4.0.0.73 2008.12.26 Riskware.Win32.CeeInject!IK
AntiVir 7.9.0.45 2008.12.25 Worm/Rbot.100352.2
Avast 4.8.1281.0 2008.12.25 Win32:Trojan-gen {Other}
AVG 8.0.0.199 2008.12.25 Dropper.Generic.AEWD
BitDefender 7.2 2008.12.26 MemScan:Backdoor.RBot.YBJ
ClamAV 0.94.1 2008.12.26 Trojan.Rbot-56
GData 19 2008.12.26 MemScan:Backdoor.RBot.YBJ
Ikarus T3.1.1.45.0 2008.12.26 VirTool.Win32.CeeInject
Kaspersky 7.0.0.125 2008.12.26 Trojan.Win32.Agent.azob
McAfee+Artemis 5474 2008.12.24 Generic!Artemis
Microsoft 1.4205 2008.12.26 VirTool:Win32/CeeInject.gen!J
NOD32 3717 2008.12.25 Win32/IRCBot.AKX
Prevx1 V2 2008.12.26 Malicious Software
SecureWeb-Gateway 6.7.6 2008.12.25 Worm.Rbot.100352.2
Sophos 4.37.0 2008.12.25 Troj/IRCBot-ZD
Sunbelt 3.2.1809.2 2008.12.22 Trojan.Win32.Packed.gen (v)
Symantec 10 2008.12.26 Trojan.Dropper <> (○口○*)さん<>sage<>08/12/26 12:06 ID:1q01x0B60<> >>232
引数(hotmailのアカウント)無くても同じ物が落ちてくるね。 <> (○口○*)さん<>sage<>08/12/26 12:11 ID:1q01x0B60<> >>205-207
ystat.js(Yahoo!のアクセス解析)、誤検知で撤回されたよ。 <> (○口○*)さん<>sage<>08/12/26 12:35 ID:EEnOqu8N0<> 【RO】本日クリスマスの出来事
ttp://www.nicovideo.jp/watch/sm5660890

この動画は張っておくべきかな、と
ROプレイ中にメッセ踏んだ動画 <> (○口○*)さん<>sage<>08/12/27 00:13 ID:XLMkdgTm0<> ↑の動画自体はなんともないです、と追記だけ
うp主がウィルス踏んだ瞬間を動画に収めてるので、参考になります <> (○口○*)さん<>sage<>08/12/27 00:57 ID:aCFAMcH/0<> >>225-227の件

どうやら、一度発動させたら、OS再インストール確定型の模様。

ダウンローダ段階でブロックできれば問題無いが、一旦発動させてしまった場合に落とされたり
生成されたりするファイルの殆どが検出すりぬけ。現時点で、全てを除去できるベンダーがない。

発動させてしまうと、なんらかのセキュリティソフトで除去しても、なにかが残ってしまい、再度発動することの繰り返し。
いずれはどこかが全部除去できるようになるのだろうけど、現時点ではOS再インストール以外は危険。 <> (○口○*)さん<>sage<>08/12/27 01:01 ID:aCFAMcH/0<> ※ウィルス※ Windows Live Messenger で感染!?
http://pc11.2ch.net/test/read.cgi/sec/1185780001/820-821 より引用

|820 名無しさん@お腹いっぱい。 sage 2008/12/26(金) 20:55:14
|NOD32でも完全駆除は無理そうよ

|486 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2008/12/26(金) 20:23:46
|p://tane■sakuratan■com/upload/upload.cgi?mode=dl&file=157
      ↑ 検体提出用のファイルです。危険アドレスではないですが不必要に入手することもないので、■に置き換え
>>463 IMG455.jpg-www.photo.com を解凍し→ >>465 imgs.exe に感染するとできるファイル群
|多数のdllファイル等が生成されましたが、MD5が共通するものだけ抜き出しました。

|放っておくと、BHOが組み込まれ、偽セキュリティ対策ソフト(WinAntiVirus2009)ダウンロードページへ誘導されます。

|488 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2008/12/26(金) 20:32:10
>>486 の続きです。
|NOD32 定義3717では0/6
|メッセンジャーウイルス感染後にNOD32を入れた人は、exeの駆除はできていても
|dll群の駆除ができていないので注意が必要です。

|821 名無しさん@お腹いっぱい。 sage 2008/12/26(金) 20:58:48
>>817
|bmusxpul.dll をレジストリ エディタで検索してキーを削除すればいい。
|面倒だから、Sysinternals の Autoruns で >>731 のレジストリ削除すれ。
|後、dir /ah %windir%\system32\*.ini* でゴミが残ってる場合があるからそれも削除すれ。

|ぶっちゃけ、imgs.exe, fxstaller.exe とか大して問題じゃない。こいつが spc.exe をDLして実行するから
|面倒な事になってる。

|ttp://www.virustotal.com/analisis/437b764fa9bbb0bd5544dc18d5aa9695
|これね <> (○口○*)さん<>sage<>08/12/27 01:02 ID:aCFAMcH/0<> >>239の引用元に置いてあった検体の検出結果を一応挙げとくとこんな感じで必ずどれかはすり抜ける。

(11/39) http://www.virustotal.com/jp/analisis/0968d2c9ffd51806706128d5786b34eb
(12/39) http://www.virustotal.com/jp/analisis/f39e180bbc33af81381d9551539e892e
(9/39) http://www.virustotal.com/jp/analisis/ff133698239993014d3df8ad0e6f2bf8
(7/39) http://www.virustotal.com/jp/analisis/d094fc6b2ffaf7a030f895382f9a8d4e
(4/39) http://www.virustotal.com/jp/analisis/382ee4d0e199b0e5741106ba83e8bf57
(7/39) http://www.virustotal.com/jp/analisis/e9c7322a9f83043475ca5088a035218f <> (○口○*)さん<>sage<>08/12/27 10:02 ID:aCFAMcH/0<> カスペはDLLの幾つかが危険無し扱いで放置

Fortinet(送った検体に全対応/未知のものを他にも落としている可能性ありなので保証はできない)
imgs.exe - W32/Agent.AZOB!tr
spc.exe - W32/Agent.AZOB!tr
IMG455.jpg-www.photo.com - W32/Agent.AZOB!tr
awtTjgHy.dll - W32/Dropper.CA!tr
cbXQgfcb.dll - W32/Dropper.CA!tr
ewulmrrn.dll - W32/Agent.AZOB!tr
xxywWpoo.dll - W32/Agent.AZOB!tr
ssqOHYSJ.dll - W32/Agent.AZOB!tr
InstallAVg_770522156649.exe - W32/FraudLoad.VET!tr

Microsoft(1つだけ、危険無しの扱い)
Submitted Files
=============================================
20081226.zip [Container]
+---IMG455.jpg-www.photo.com [VirTool:Win32/CeeInject.gen!J]
+---(SfxCab) [VirTool:Win32/CeeInject.gen!J]
+---imgs.exe [VirTool:Win32/CeeInject.gen!J]
+---ssqOHYSJ.dll [Changes to detection currently undergoing testing]
+---spc.exe [Trojan:Win32/AgentBypass.gen!I]
+---awtTjgHy.dll [Trojan:Win32/Vundo.gen!C]
+---cbXQgfcb.dll [Trojan:Win32/Vundo.gen!C]
+---ewulmrrn.dll [Trojan:Win32/Vundo.gen!Y]
+---InstallAVg_770522156649.exe [Trojan:Win32/FakeXPA]
+---xxywWpoo.dll [Trojan:Win32/Vundo.D] <> (○口○*)さん<><>08/12/29 17:31 ID:0k19Rqo/0<> http://www■bluewoon■com/Blog/がニュー速に貼られまくって
被害者続出
悲鳴あげてる <> (○口○*)さん<>sage<>08/12/29 17:42 ID:zUGSq2qM0<> ざま・・・じゃなくて、大変だね。

>>241はファイル差し替えが行われている上に、途中でランダム生成のファイルまでかまされるので
(少なくとも現時点では)発動させちゃった場合に、セキュリティソフト単体での完全除去は困難。

どこに新種の残骸が残るかわからないという意味で、真面目にOS再インストールコース確定の代物だった。 <> (○口○*)さん<>sage<>08/12/29 18:50 ID:0k19Rqo/0<> やっとbluewoonスキャンオワタ
>>185-186さんの言うように
本体呼び出し経路はキャッシュに出てきたけど
本体ウィルスDL前にIE閉じれたようだ

ニュー速の勢い1位スレで複数回張られたから被害者数百人ぐらい
いると思うがマジひどいな <> (○口○*)さん<>sage<>08/12/30 02:05 ID:emEu7cIZ0<> 格闘技や同性愛サロンにも貼られてるし他にも被害でているかと <> (○口○*)さん<>sage<>08/12/31 10:36 ID:wOC9L6xQ0<> うわぁ・・・・俺そういうとこ全然見ないからいいけど
他の人はマジ大変だな。なぜ開いちまうんだ? <> (○口○*)さん<>sage<>08/12/31 12:10 ID:6BlA8rMU0<> そこにアドレスがあるからさ!! <> (○口○*)さん<>sage<>09/01/01 23:09 ID:RlwW7USs0<> 【      気付いた日時          】 H21 1月1日22時ごろ
【不審なアドレスのクリックの有無 】http://panndamakura■blog50■fc2.com/blog-entry-11■htmlを閲覧しました。
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【    ツールの使用の有無      】 No
【  ネットカフェの利用の有無    】 No
【     OS    】 Window VISTA Home Premium
【使用ブラウザ 】 InternetExplorer 7.0
【WindowsUpdateの有無】 2008/12/15ごろ
【 アンチウイルスソフト 】 NortonInternetSecurity2008
【その他のSecurty対策 】 ルータ
:インターネットオプション→セキュリティ→レベルのカスタマイズ
→「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする。はしてありますが、他の対策は特にしていませんでした。

【 ウイルススキャン結果】 カスペルスキーオンラインスキャンで反応なし
【スレログやテンプレを読んだか】 Yes
【hostsファイルの変更】無
【PeerGuardian2の導入】無
【説明】 (被害状況をできるかぎり詳しく書く)
バルムンオンラインのことをふと思い出し、検索した先のブログを開いたらメールが起動したり、何か裏で動いてるような挙動がありました。
メールソフトをチェックしましたが、メールを自動で送られた様子はなし(or履歴等を隠蔽された?)
一応ソースチェッカーで調べてみて、隠しスクリプトを発見〜といくつかの反応はでたんですが、それらが問題のあるものなのかどうかがよくわかりませんでした。
カスペルスキーオンラインスキャンで調べましたが、反応はありませんでした。 <> (○口○*)さん<>sage<>09/01/02 22:39 ID:Tnz72FZv0<> よろしくお願いします

【      気付いた日時          】 2009/01/02_20:09
【不審なアドレスのクリックの有無 】 ウィキペディア閲覧中にリンク先クリック
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 Yes
【    ツールの使用の有無      】 No
【  ネットカフェの利用の有無    】 Yes
【     OS    】 Windows2000プロフェッショナル
【使用ブラウザ 】 InternetExplorer ver6.0.2800.1106
【WindowsUpdateの有無】 一番最後は一ヶ月前ぐらいだと思います
【 アンチウイルスソフト 】 よくわかりません
【その他のSecurty対策 】 わからないです
【 ウイルススキャン結果】 トレンドフレックスのオンラインスキャンで検出なし
【スレログやテンプレを読んだか】 今から読みます
【hostsファイルの変更】わからないです
【PeerGuardian2の導入】わからないです
【説明】
 ウィキペディア閲覧中にリンク先クリックでブラウザが沢山起動しました
 リンク先は頭がttp://ja.wikipedia.org/だったから平気だと思ってましたorz
 沢山IEが起動してIEが落ちてしまって気味が悪いので書き込みさせていただきました
 よろしくお願い致します <> (○口○*)さん<>sage<>09/01/02 22:40 ID:yPgu7+pL0<> 情報0で何がよろしくなんだろうか <> (○口○*)さん<>sage<>09/01/02 22:52 ID:thENi4Rb0<> どこのリンク先だかわからなきゃどうにもならんよな。
取り敢えずOS入れなおししてこいってことで。

多分、ブラクラ踏んだか、BBS spam 送信業者が設置したスクリプト呼び出しでも踏まされたんだろう。 <> (○口○*)さん<>sage<>09/01/02 23:04 ID:3XoCqXJs0<> この時期だし今年もよろしくお願い致しますってことじゃないだろうか <> (○口○*)さん<>sage<>09/01/03 00:42 ID:RdPSpge30<> オマエ、アタマイイナ <> (○口○*)さん<>age<>09/01/04 03:37 ID:et11jRzQ0<> 警鐘age

【      気付いた日時          】 2009/1/4 1:21:56
【不審なアドレスのクリックの有無 】 ttp://www■exblog■jp/
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【    ツールの使用の有無      】 No
【  ネットカフェの利用の有無    】 No
【     OS    】 WindowsXPPro SP2
【使用ブラウザ 】 IE6
【WindowsUpdateの有無】 2009/1/3
【 アンチウイルスソフト 】 カスペルスキーインターネットセキュリティ2009
【その他のSecurty対策 】 PeerGuardian2
【 ウイルススキャン結果】 検出なし(※PG2で転送をブロック)
【スレログやテンプレを読んだか】 Yes
【hostsファイルの変更】無
【PeerGuardian2の導入】有 リネージュ資料室のを一通り
【説明】 (被害状況をできるかぎり詳しく書く)

久々にブログを更新するか〜、とエキサイトブログのログイン画面に行くと
PG2にブロック反応が。弾かれたIPは60■196■70■130、韓国。
なお、アクティブスクリプトがオフの場合は無反応。

jugemのアイコンに前例があったので、確認のためエキサイトブログ関係の
スレを漁ってみたところ(pc11.2ch.net/test/read.cgi/blog/1224342136/)
Avast、Spybotが反応している旨の報告が複数。
そちらの解析によればexeファイルが仕込まれているようです。
弾かれたIPの所在地が韓国、かつBSWikiの危険URLリストにも記載を確認。
十中八九これはアカハック関連と踏んで報告に上がりました。

さて、すべて防げたとも限らないのでバックアップを取ってまいりますλ...
踏んだ後パスの類を打ってなくてよかったけど、新年早々滅入るなあ <> (○口○*)さん<>sage<>09/01/04 07:09 ID:xelflGBC0<> >>254
http://s1■cawjb■com/jp■js

こいつが仕込まれてるようですね。>>202ででた奴のようで。
>>200-202参照。 <> (○口○*)さん<>sage<>09/01/04 07:22 ID:xelflGBC0<> 検体入手を試みましたが、http://s1■cawjb■com/jp■js が現時点では404エラーのようです。

>>254
PG2で韓国をブロックしていたなら、jp.jsの読み込み自体をブロックしていることになりますので
ダウンローダの読み込み前にブロックしていることになりますから、セキュリティソフトが検知しなくても
正常だと思います。

アクティブスクリプトオフの場合は、このjp.jsの実行を試みないので、韓国への接続も発生しませんから
これまた正常な動作。

404が一時的なのかどうかは判りませんが、読み込まれた人はセキュリティソフトが反応する可能性が
高いですね。(新種なら反応しないかも)

>254の紹介している関係スレでのAvast発動報告が 01/04 01:52:23
404エラーになるのは、01/04 7:20頃(ソースチェッカーオンラインの「2009/01/04 6:18」のキャッシュも404)
この404エラーの時刻近辺以外で踏んで、PG2で韓国を弾いていない場合に限っては危険性ありってことで。

現在404ってことは、検知されない新種に入れ替え作業中なのかな。 <> (○口○*)さん<>sage<>09/01/04 08:10 ID:S3AJZZif0<> cawjb■comでぐぐってみると、絶望的なHit数だなあ。
こりゃ、仕事始めから頭が重いわな。

一応、LACのプレスリリースでも触れられているけど、
ttp://www.lac.co.jp/news/press20081222.html
>改ざんされたWebサイトを閲覧すると送り込まれる不正プログラム
> 1. 悪用されている脆弱性
> MS06-014、MS08-078、Adobe Flash Playerが確認できています。
> 2. 不正プログラムの動作
> まず、上記の脆弱性が存在すると、ダウンローダが動作して別の不正プログラム【1】への感染を試みます。
>【1】に感染すると、ネットワークゲームのアカウント情報の詐取、インターネット上の他のサイトへSQLインジェクションによる攻撃などを実施します。

2008/12/18に緊急リリースされたMS08-078が既に含まれているように、WUを怠っているユーザーは踏み台にされる可能性が高い。
それと、ただ便利だからというだけの理由で、作りっぱなしのデータベースをそのまま使い続けている側にも警鐘は発せられるべき。 <> (○口○*)さん<>sage<>09/01/04 12:08 ID:OJPHsDhE0<> 住みにくい世の中になりましたな。。 <> (○口○*)さん<>sage<>09/01/04 14:42 ID:lESDG4430<> ブログみるだけでハックかかるとかブログももう見んほうがいいね <> (○口○*)さん<>sage<>09/01/04 16:51 ID:eRNGUza60<> 何も見ないのが良いぞ
ここも危険だからもう見ちゃダメだぞ <> (○口○*)さん<>sage<>09/01/04 16:53 ID:RG3gZ0NB0<> スタンドアローンでおk <> (○口○*)さん<>sage<>09/01/04 16:57 ID:xelflGBC0<> Windowsが安定するのは電源が入ってない時だけだって笑い話を思い出したよ。 <> (○口○*)さん<>sage<>09/01/04 20:49 ID:63u0IZ+B0<> XPもSP2以降はそんなことないでしょ。

Windowsの脆弱性だって、これだけ広く使われてるから標的になってるだけで、
Linux系も同じマンパワーで攻撃されたらどうにもならない悪寒。

何だかんだ言ってもWindowsUpdateは優秀だよ。最低限のパッチは自動で当ててくれる。 <> (○口○*)さん<>sage<>09/01/04 21:01 ID:eRNGUza60<> たまに地雷も自動的にセットしていくけどなw <> (○口○*)さん<>sage<>09/01/04 21:20 ID:OJPHsDhE0<> /.でネタ拾われたね

エキサイトブログのトップページが改ざんされ、悪意のあるスクリプトが埋め込まれる
http://slashdot.jp/security/09/01/04/0743201.shtml <> (○口○*)さん<>sage<>09/01/05 03:57 ID:gc22sr9r0<> JavaScript、Javaアプレット、ActiveX、などなど全部無効にして
HTMLの解釈と画像の表示だけを行う設定のブラウザを用意すれば
多少は安全。
もちろん、だからといってWindowsUpdateやウイルス対策ソフト等の
導入を軽んじてよいというわけではないけど。 <> (○口○*)さん<>sage<>09/01/05 09:54 ID:Df1nEUQS0<> いちおうエキサイトのトップの問題のスクリプトは削除された模様
でもまだ公式の発表はなし <> (○口○*)さん<>sage<>09/01/05 13:08 ID:4J1Rnl1h0<> WindowsUpdateって追加選択とかいうのも色々あるけど
いっぱいあってどれを選べばいいのか分からない
適当に選んでトラブルになったら怖いし
優先度の高いってでてるやつだけにしてるけど大丈夫なのかな <> (○口○*)さん<>sage<>09/01/05 13:37 ID:+kk2t7rf0<> そういう人は自動更新に任せるのがおすすめ。 <> (○口○*)さん<>sage<>09/01/05 14:43 ID:2tAYnk3a0<> 自動更新はオンにしてあるけどサービスパック3にすると色々と不具合が起きるかもと聞いたんで2のままにしてあるんだよね
まぁ追加選択〜のとこは放置しておく。ありがとう <> (○口○*)さん<>sage<>09/01/05 14:52 ID:+kk2t7rf0<> いずれSP3の適用は必須になるから、折を見て当てたらいいと思うよ。 <> 某Wikiかんり<>sage<>09/01/05 15:23 ID:YPgMZNOl0<> >>216さん
裏から反映しときました。

--
spam.ini.phpは同鯖内にある複数のWikiで共有してある都合で、
RO系の Wikiに書かれるとしたら 大抵spamだろうっていう一部の
TLDを含んじゃったりとかかなり厳しめの設定なんですよね…。

とりあえず引っかかってた www.example.cn のようなURLは
www.example.cn.PLEASE_REMOVE のようにして規制回避してあります。 <> (○口○*)さん<>sage<>09/01/05 19:15 ID:BRPCNKmG0<> >>270
普通の人はSP3にしても大丈夫
特殊な環境や会社で使用しているPCだと困ることがある

最悪SP3はアンインストール出来るのでSP2に戻すことが出来る <> (○口○*)さん<>sage<>09/01/05 20:56 ID:9fH6tNHm0<> 今回はトップページだけかな? <> (○口○*)さん<>sage<>09/01/05 21:06 ID:26csLnFvO<> 質問です。
明日から来るネカフェ3倍を利用したく、ネカフェに行こうと思うのですが、携帯電話のフルブラウザでパスワードを変えることは安全でしょうか? <> (○口○*)さん<>sage<>09/01/05 21:13 ID:mPMcWVi70<> PC変えるからPG2を新しいほうに入れたいんだけど
フォルダーごとコピーして移せばいいのかな? <> (○口○*)さん<>sage<>09/01/05 21:30 ID:XktTGTiU0<> エラースレ703
>このスレに相談に来るような人に、セキュリティソフトを入れないでも大丈夫とか
>そういう誤解を産みかねない状態になるのはどうかと思うが
>だからといってスレを流し続けるのもダメだと思うんだ
エラースレ705
>「原因特定には有効だが、危険だから試すなら充分注意して速やかに」と
>「取り敢えず安全だから、試してみればいい」とでは随分印象が違うと思うのだが。

まったくもって同感

エラースレ706
>あと、そもそも感染したのってM$のパッチがまだ出てない脆弱性突いてくるタイプじゃなければ
>自分でつい実行したとかじゃないの?

少なくとも、WindowsUpdate適用済みのディスクを作成してインストールした。まっさらにしたので
OS入れなおし前の何かが残っていた訳でも(感染したUSBメモリ入れっぱなしとか)ないし、
感染済みのなにかを不用意に実行してしまった訳でもない。その状況で侵入された事例だよ。

そういう事例を知ってるからこそ、エラースレ705の発言に賛成する。
ルーターあれば「取り敢えずは大丈夫」なんて表現で誤解を広めないようにだけして欲しい。 <> (○口○*)さん<>sage<>09/01/05 21:31 ID:XktTGTiU0<> >>276
スタートメニューには入らなくなるが、設定のコピーという意味ではそれでいいと思う。
PG2インストール→PG2を一旦終了→今までのPCから上書きコピー→再起動 でもいいんじゃないかな。 <> (○口○*)さん<>sage<>09/01/05 22:04 ID:mPMcWVi70<> >>278
そっかー、ありがとう! <> (○口○*)さん<>sage<>09/01/05 23:23 ID:XktTGTiU0<> >>267
告知出たね。1月4日の20時30分まで改竄された状態だったとか。
サポートフォームに投稿した控えが1月4日07:37頃にメールで来てる。
一応、年始でもその日のうちに対応してたようだ。

http://staff.exblog.jp/7792459/

>なお、今回の件によるご利用の皆様へのウイルス感染等の影響はございませんので、
>ご安心ください。

まぁ、呼びだされてたjp.jsが404だったから実害はなかったと思うけど、ちょっと説明が
言葉足らずという気がしますね。でも、対応されたようで一安心。 <> (○口○*)さん<>sage<>09/01/06 15:21 ID:ykImHsiS0<> 2009年の脅威はローリスク・ローリターンの金銭狙いへ
ttp://internet.watch.impress.co.jp/cda/news/2009/01/06/22012.html
攻撃側の心理としては、逮捕を避けるために
「ローリスク・ローリターンの金銭狙い」の傾向が見られると予測。
「以前は『取れるところから取る』攻撃が大半だったが、
今後は、足が付かないように『薄く広く小銭を集める』攻撃が増えるだろう」(岡本氏)。
具体的には、多くのユーザーから詐取したオンラインゲームのアカウント情報を
アンダーグラウンド市場に販売することで大きな利益を得ることなどが想定されるという。 <> (○口○*)さん<>sage<>09/01/06 15:34 ID:ab70K9s60<> >足が付かないように『薄く広く

って薄く広くの方が足捕まれる可能性があるようにも思うんだが、
要するにリアル社会のスリみたいなものだろうか。 <> (○口○*)さん<>sage<>09/01/06 15:45 ID:ykImHsiS0<> 振り込め詐欺のエロサイトなんかがそうだけど、
小額だとまず訴えないってことじゃないかな。

どこかの銀行から数億円ぶんどりました、だと
地の果てまで追われそうだけど
ゲーム(笑)だと被害者が訴えないどころか
そもそも警察もあまりやる気が…。 <> (○口○*)さん<>sage<>09/01/06 15:48 ID:ab70K9s60<> うーんただ不正アクセス自体は訴える以前に犯罪なので…
とっととアカウント売って売買益だけかすめるってやり方になるのかな <> (○口○*)さん<>sage<>09/01/06 16:26 ID:ykImHsiS0<> 犯罪にしても立件されなきゃどうしようもないでしょ。 <> (○口○*)さん<>sage<>09/01/06 17:16 ID:/oQaM50G0<> FF11なども、アカウントの復旧手続き、要はロールバックのポリシーが確立したこともあって、仮に
アカウント盗用の被害に遭っても救済を受ければ済むと言う、一種のモラルハザードが起きる懸念もあるね。
社会的に必要なのは、犯罪行為が増加していることが統計的に示せることなのだけど。 <> (○口○*)さん<>sage<>09/01/07 16:22 ID:jAvU6y7v0<> >>286
復旧がどの程度時間がかかるのかによるんでね?
復旧依頼だして、2-3日或いは数週間、一ヶ月とか掛かるなら、
それだけ垢ハク警戒するだろ。

ネトゲなんて、やりたいときにやれなきゃ意味がないわけで。 <> (○口○*)さん<>sage<>09/01/07 20:22 ID:asvwrOWk0<> >>275
パッチ変更点のほうにも書いた者です
私はドコモのP903ixですが
フルブラウザが付いてるのでアトラクションセンターをブックマーク登録して
カフェにいてログアウトした直後に携帯からパス変えてます
帰ってから ログインしてキャラパスも元に戻してます <> (○口○*)さん<>sage<>09/01/07 21:38 ID:jHMZxTnf0<> >>275
携帯は今のところ安全だと思うよ。

携帯でネットカフェ用にパスワードを変更するのは悪くない。
変更後は、必ずフルブラウザを一回終了させましょう。 <> (○口○*)さん<><>09/01/08 21:52 ID:TdAK27Tg0<> ウィルスばら撒く方も正月休が終わったみたいで新しいURLが爆撃され始めてますな。
ttp://99■1■8■113:8080/sonli/Online■scr
現状確認したのはアプリコットカフェとLydia板だけですがほんの少し前に爆撃開始っぽいので
いちおう注意喚起用にあげときます。 <> (○口○*)さん<>sage<>09/01/09 01:24 ID:6Sj5GqTK0<> sea.s201.xrea.com/src/yamada8236.jpg

(´・ω・)カワイソス <> (○口○*)さん<>sage<>09/01/09 06:59 ID:aB4NtMSi0<> ちょw <> (○口○*)さん<>sage<>09/01/09 07:03 ID:MXt/fK+40<> 俺はそんなJPEGをホイホイ踏むほど楽天的じゃない <> (○口○*)さん<>sage<>09/01/09 08:44 ID:pipR8tBZ0<> 誰かの蔵起動画面みたいだけど何がカワイソスなんだ <> (○口○*)さん<>sage<>09/01/09 09:18 ID:mmmIgF0e0<> 意味わからん <> (○口○*)さん<>sage<>09/01/09 09:33 ID:rnVCufVx0<> 山田ヲチスレ民乙 <> (○口○*)さん<>sage<>09/01/09 09:55 ID:QmCcONAI0<> >>290
01.08.2009 04:21:26(17/38)
ttp://www.virustotal.com/analisis/dc663344a1a9801a293cbe04d062c628
カスペ、マカフィー、NOD32スルー、シマンテック不明

01.09.2009 01:50:08(21/38)
ttp://www.virustotal.com/analisis/c9ec8d2b1a52c86a9d9347b307345e56
カスペ、シマンテック検知に変化
マカフィー、NOD32は相変わらずスルー

カスペ検出名「Backdoor.Win32.PcClient.aada」 <> (○口○*)さん<>sage<>09/01/09 22:41 ID:zb7U2Wrs0<> 1/14公開予定のWU、1件だけだが緊急(Vistaは警告)との事

マイクロソフト、1月の月例パッチはWindows関連の1件
ttp://internet.watch.impress.co.jp/cda/news/2009/01/09/22052.html

マイクロソフト セキュリティ情報の事前通知 2009年1月
ttp://www.microsoft.com/japan/technet/security/bulletin/ms09-jan.mspx <> (○口○*)さん<>sage<>09/01/12 02:36 ID:iJOIfNwu0<> 改行が多いため一度に書き込めなかったので2度に分けて書き込んでます
ネットカフェでROのキャンペーン中だったのでプリの追い込みを不死ダンジョンでしようと
ネットカフェに行って来たのですがRO起動しながら
念のためと思って家でもやってるF-secureというオンラインスキャンをしました
ところがスキャンの数が5000個にいくまでにウィルスが・・・
急いでROをログアウトして携帯のフルブラウザでパスワードだけは変えました

見つかったウィルスは
Stealth process(UNKNOWN PROCESS ID2012)
Stealth process(UNKNOWN PROCESS ID1692)
の2つでした
とりあえず最後までスキャンしてみようと思いこのまま約1時間が経過
店の店員に伝えたところ、すぐに新しい席をご用意しますといいました
(席を替えればいいという問題じゃないと思うけど・・・)
私はてっきり例え前の人がウィルスのURLを踏んだりして感染しても
ネットカフェのパソコンは再起動したら初期化されて問題ないんだと思ってたんですが
店員がいうには どうやらそうではないと言ってました
新しい席を用意しますといったので この見つかったウィルスは?一応削除しときます?と聞くと
とりあえず このままにしてくださいと言われて店員はカウンターへ行き
自分が新しい席でPC出来るように設定したところウィルスが見つかった席の電源が落ちてウィルスはそのままでした・・・
次に誰かが使うんじゃないのかと思いながら とりあえず3つ隣の席に移動して、また念のため同じようにスキャン開始
わずか4000個もいかない内に今度は6つも見つかりました
見つかったウィルスは
Virus.VBS.Small
Trojan.WinREG.AutoRun
TrackingCookie.2o7
Virus.VBS.Small.a (C:\AUTORUN.BAT)
Virus.VBS.Small.a (C:\AUTORUN.INF)
Virus.VBS.Small.a (C:\AUTORUN.VBS)
Virus.VBS.Small.a (C:\WINDOWS\SYSTEM32\AUTORUN.BAT)
Virus.VBS.Small.a (C:\WINDOWS\SYSTEM32\AUTORUN.INF)
です(途中で退店したので6つ以上あるかは不明です) <> (○口○*)さん<>sage<>09/01/12 02:38 ID:iJOIfNwu0<> ナイトパック(8時間1000円)を利用して入店
席を利用したことには変わりないとはいえほぼウィルススキャンしかしてないのに
店員は上の人とも話したのですがと言って100円の割引券を使って800円支払いました
店側のセキュリティーが原因なのに納得がいかない・・・

店は兵庫県加古川市にある
JUNKBOXメガコート加古川店
親元はJUNKBOX+MEDIABOMBらしいのでJUNKBOX+MEDIABOMBでぐぐればHPも出てくるはず

同じ店や支店でROしてる人がいるかもしれないと思ったので
マルチになるのですがあえてネットカフェのほうのスレッドにも
同様の書き込みをさせていただきました


あと上記の見つかったウィルスはアカウントハックに関係するものでしょうか?
分かる方いましたらアドバイスいただけたら助かります <> (○口○*)さん<>sage<>09/01/12 02:42 ID:AX7l3n4v0<> 公認ネカフェだとしたら、惨い所もあるもんだ。 <> (○口○*)さん<>sage<>09/01/12 03:10 ID:JiusobuV0<> 最初のはnProを検出した可能性もあるからよくわからんな。
それより2台目がひどすぎるw <> (○口○*)さん<>sage<>09/01/12 03:51 ID:LoXjCYQa0<> 家族とPC共用するのすら嫌なのに、ましてや顔も知らない他人とだなんて <> (○口○*)さん<>sage<>09/01/12 09:36 ID:GB7UoI6C0<> PCに詳しい人が or 専門の業者にセットアップ頼まずに
適当に環境作ってんじゃない?
ネカフェなんてそんなもんだと思われ。

金取って提供するサービスでは無いと思うから、漏れは行かないな。
共用のPCは疑ってかかった方が安全だね。 <> (○口○*)さん<>sage<>09/01/12 10:25 ID:hd29njWi0<> こういうの(カフェPCの汚染)って、店だけでなくセキュリティ関係の機関に
連絡入れていった方がいいかもしれんね。 <> (○口○*)さん<>sage<>09/01/12 10:37 ID:GB7UoI6C0<> >>305
言うならチェーンの本部じゃない?
通報してどうにかなる「セキュリティ関係の機関」なんて無いでしょう。 <> (○口○*)さん<>sage<>09/01/12 10:39 ID:Zz8dWzDW0<> 本部に苦情入れておけ。

あと、ネカフェスレどこだっけ…そっちにも書いといたほうがいいかも。 <> (○口○*)さん<>sage<>09/01/12 10:46 ID:hd29njWi0<> >>306
「関係ない」で済ませていると、実態がいつまでたっても知れ渡らない。

たとえばIPAの重点施策の一つにこんなのがある。
ならば、情報提供として現状を伝えるのも無駄ではないと思うんだ。

>ITの安全性向上に向けた情報セキュリティ対策の強化
>誰もが安心してITを利用できる経済社会を目指した未然防御策等の
>提供等に取り組んで参ります。

消費問題なら消センや国センに情報提供するのと一緒。
事例が多ければトップダウンで動き出すよ。
民間企業ごときにあんまり期待しちゃいけない。 <> (○口○*)さん<>sage<>09/01/12 12:08 ID:A+xgO6TE0<> ついでに癌にも一報入れるといいぞ。
ネカフェの信頼が落ちると利益に関わるからさすがに動くと思われ。 <> L ★<>sage<>09/01/12 13:29 ID:???0<> http://gemma.mmobbs.com/test/read.cgi/ragnarok/1231034717/554

554 名前:餓×鬼[] 投稿日:09/01/12(月) 13:14 ID:XnMjunn30
生体とかトールでもいきなり沸いてきて様々な妨害してきます。
この時は他のPTにもわざとなのか、うちのPTと間違えたのかLP出してたようで
巻き込まれた方本当すみません。
http://99 . 1 . 8 . 113 :8080/RO /Online.scr


ここ数日の書き込みホスト
21100821014*.cidr.odn.ne.jp
21023111502*.cidr.odn.ne.jp
21100814608*.cidr.odn.ne.jp <> (○口○*)さん<>sage<>09/01/12 14:40 ID:GB7UoI6C0<> おつです〜NGに入れときます。 <> (○口○*)さん<>sage<>09/01/12 14:56 ID:IT/9hpv40<> つか管理板にも同じ書き込みが…

この餓鬼はscrですら何の疑いもなくクリックすると思ってるんだろうか
それとも中国版冬厨というやつか <> (○口○*)さん<>sage<>09/01/12 15:14 ID:FMhxl+TW0<> >>312
やつらは仕事ですから。
内職で1つ爆撃するごとにいくらって言う仕事なんだろうね。

こちらも赤石同様、罠を入れ換えたので爆撃をしてきたと考えてよさそうだ。
ディレクトリが3つ。
BBS には livedoor
blog には Freya
RO には Online

いずれもファイルタイム:1/11/2008 3:11:00 PM

VirSCAN/VirusToalで調べると
Avira、カスぺ系(本家、F-Sec.)スルー
ちなみにClamAV、ノートン、バスター、K7やキングソフトは検出するようだ。

やつらのことだ、このスクリプトの亜種をこれ以外の手法で仕込むことも十分考えられるので注意されたし。
気をつけてくれよな! <> (○口○*)さん<>sage<>09/01/12 17:15 ID:Zz8dWzDW0<> >>313
パッケージ状態だと反応しないが、解凍した1188.exeはAvira AntiVirで検出。 <> (○口○*)さん<>sage<>09/01/12 17:36 ID:Zz8dWzDW0<> VirusTotalとまってるのでVirScanでこんな感じ。

中身の1188.exe(16/38)
http://virscan.org/report/e18f2c23d74b6859df520cf2e94a501f.html

Freya.scr(15/38)
http://virscan.org/report/51a87de93a8e30e178a95f2d61e80928.html <> (○口○*)さん<>sage<>09/01/14 03:47 ID:w7sSo3jw0<> アカハックあってしまった・・・
一昨日相方と二人でネットカフェに行って
昨日のメンテナンス後にハッキングされたようだ。
二人ともパス変えなかったのが迂闊としか言いようがないが、
まさか公認ネットカフェでこうも露骨にハッキングされるとは。

被害の方は二人とも2垢中の↑のアカウントだけ。
僕の方はサブ垢だったのでマシだったが、相方はメイン垢をやられてしまった
キャラパスが全部変わってて頭装備が変わっていたのでアカハックと判断したのだが
とりあえずガンホーコールセンターの営業時間外なので
今日はサポセンで被害報告だけ出して寝ることにします。
やっぱり警察に連絡しないと救済はされないのかなぁ?
あとIDパス変えても相手がアトラクションセンターログインしっぱなしじゃ
普通に入られてしまうのでそれが怖くてしょうがない。何なのこのログイン方式・・・ <> (○口○*)さん<>sage<>09/01/14 04:01 ID:FNcOG1on0<> >>316
日付が変わるとINしっぱなしでも
クライアント立ち上げようとすると一時的にログアウト状態にされ
再度IDとPASSの確認を行うようになってるっぽい。
とはいっても安心するのは早いか。 <> (○口○*)さん<>sage<>09/01/14 05:18 ID:ItR98XkZ0<> 次の被害者が生まれるのを抑えるためにも、どのネットカフェだったか書いたほうがいいかも <> (○口○*)さん<>sage<>09/01/14 05:41 ID:PrPs7w/u0<> 昨日行って今日か…早いね
1.5倍期間中にデータ収集して一気にってのはありそうだから
今後増えそうだ

あとなんか癌ID消されたって人がいるみたいだね
RAGUWEBで記事になってる <> (○口○*)さん<>sage<>09/01/14 09:29 ID:XOqqar320<> >>316
ここで報告したいならテンプレに従いましょう
愚痴をこぼすスレではありません <> 316<>sage<>09/01/14 10:38 ID:vR348rLQO<> 自治厨過敏すぎる・・・
テンパってて1しか見てなかったんだ、悪かったね。
テンプレって言ってもネカフェでハックされたのは間違いないよ。
新潟のゆう遊空間だけど、一週間通って他にもROやってる人結構いたから被害出てそうだなぁ。
とりあえずまとめサイト見てから出なおしてきます <> (○口○*)さん<>sage<>09/01/14 10:45 ID:8rzM9xC50<> >1しか見てなかったんだ

その>>1
>アカウントハックに関する情報の集積・分析を目的とするスレです。
>報告用&質問用にはテンプレ (>>4)を利用してください。

って書いてあるの読めてないじゃん。 <> (○口○*)さん<>sage<>09/01/14 10:49 ID:Z4O4LXBz0<> 俺には>>321は携帯の騙りにしか見えない <> (○口○*)さん<><>09/01/14 11:25 ID:NwMvSHw90<> 緊急(1)
ttp://www.microsoft.com/japan/technet/security/bulletin/ms09-jan.mspx
>インターネットに接続したコンピューターでは、最善策として最低限の数のポートしか開かないようにすることを推奨します。 <> (○口○*)さん<>sage<>09/01/14 11:50 ID:fnMT1c610<> RAGUweb.netで昨日の記事見て来い

(´・ω・) カワイソス <> (○口○*)さん<>age<>09/01/14 12:17 ID:6QULx1qI0<> マイクロソフト、1月の月例パッチ1件を公開
http://internet.watch.impress.co.jp/cda/news/2009/01/14/22079.html

> 公開された修正パッチ「MS09-001」は、ファイル共有などに用いられるSMBプロトコルに関する
>3件の脆弱性を修正する。3件のうち2件は、特別に細工されたSMBパケットを受信した場合に
>任意のコードを実行させられる可能性があるものだ。ネットワークに接続しているだけでウイルスなどに
>感染する可能性がある、危険度の高い脆弱性となっている。

今月のWindowsUpdateもかけておきましょうね〜 <> (○口○*)さん<>sage<>09/01/14 15:43 ID:atZ28buN0<> >>325
この記事ってさ、セルフィタウンに登録しなければ
ひとまずは大丈夫(流出経路を一つ潰せる)ってことだよな? <> (○口○*)さん<>sage<>09/01/14 16:53 ID:j0GxkmWL0<> >>321
m9(^Д^) <> (○口○*)さん<>sage<>09/01/14 17:09 ID:w7sSo3jw0<> 【      気付いた日時          】 1/13
【不審なアドレスのクリックの有無 】 なし
【他人にID/Passを教えた事の有無】 なし
【他人が貴方のPCを使う可能性の有無】 なし
【    ツールの使用の有無      】 なし
【  ネットカフェの利用の有無   】 あり
【     OS    】 Vista
【使用ブラウザ 】 IE7
【WindowsUpdateの有無】 来たらすぐ実行するので覚えてない
【 アンチウイルスソフト 】 ウィルスセキュリティZERO
【その他のSecurty対策 】 特に無し
【 ウイルススキャン結果】 異常なし
【スレログやテンプレを読んだか】 このスレだけ読んだ
【hostsファイルの変更】無
【PeerGuardian2の導入】無
【説明】 >>316 <> (○口○*)さん<>sage<>09/01/14 17:16 ID:uOqARjdd0<> >>329
時系列順に状況を説明しようという気は無いのね。
それじゃ報告しても意味がない。ただ「私被害に遭っちゃった、てへ。」と変わらんよ。

いつ被害に気づいてそれはどうしてだったかだとか、何か書くことないの? <> (○口○*)さん<>sage<>09/01/14 17:21 ID:gLWWj2bh0<> あなたももうちょっと言葉優しくしてやってくれ。
大体こういう時ってテンパってるから、落ち着くまで待つかもうちょっと優しく書いてやってくれ。 <> (○口○*)さん<>sage<>09/01/14 18:18 ID:w7sSo3jw0<> >>330
あんた警察と同じ事言うね・・・
1/12 ネットカフェでログイン
1/13 ログインしようとしてたらキャラパス変えられてて頭装備が消えてる
1/14 ガンホーに連絡してキャラパス変更。装備取られてる
同日 電話で警察に連絡。直接出向かなくていいらしい
装備はほぼ全部取られたな・・・
何故か紫箱2個とアウドムラ2個と運剣だけ残ってた
相方はバリアントだけ残ってた <> (○口○*)さん<>sage<>09/01/14 18:34 ID:QNRDZAy60<> ネットカフェ商法終了だな。垢ハクのリスクとネカフェ代払う代わりに経験値1.5倍とかwwwwwwwwwww
まぁ新ログインになってから何度も言われてたが…。 <> (○口○*)さん<>sage<>09/01/14 18:46 ID:XUowuxFI0<> >>331
理由にならんだろそんなもん
初心者だろうがテンパってようが出す物出さなければこちら側はどうしようもない <> (○口○*)さん<>sage<>09/01/14 18:53 ID:Lt4z2JB30<> あんた警察と同じ事言うね・・・
あんた警察と同じ事言うね・・・
あんた警察と同じ事言うね・・・

ID:w7sSo3jw0ダメだこいつ・・・ <> (○口○*)さん<>sage<>09/01/14 19:04 ID:PKW/+E1E0<> のっけから愚痴で始まる奴はこんなもんだ <> (○口○*)さん<>sage<>09/01/14 19:26 ID:MvqF714P0<> 警察の中の人もこんなの相手じゃ可哀想だ
ヲタが意味不明なこと言ってるで片付けられてしまいそうだ <> (○口○*)さん<>sage<>09/01/14 19:39 ID:w7sSo3jw0<> しつれいしました。
過去ログも読みましたが僕が考えていたこのスレの趣旨とは実際の所ずれていたようです
きっと書き直しても無駄なので大人しくサポセンのテンプレ回答見てきます <> (○口○*)さん<>sage<>09/01/14 19:48 ID:NwMvSHw90<> 癌公式にも対応フローが逐一記述されているのに、それに従わないのなら回り道になって解決が遅くなるだけだ。
マニュアルやテンプレが何の為に用意されているか、少しは考えてみた方がいいよ。 <> (○口○*)さん<>sage<>09/01/14 20:25 ID:d8+mM94o0<> >>338 僕が考えていたこのスレの趣旨とは実際の所ずれていたようです

ぅゎぁ…どこまで上塗りするの、この子は… <> (○口○*)さん<>sage<>09/01/14 20:37 ID:gLWWj2bh0<> >>334
ほのかに煽っている感じなのをやめようという事を言いたかったんだが、
その後のレスを見る限り擁護する必要はなかったらしい。
>>330すまんかった。 <> (○口○*)さん<>sage<>09/01/14 21:17 ID:j0GxkmWL0<> >>341
どんまい… <> (○口○*)さん<>sage<>09/01/14 21:48 ID:6QULx1qI0<> 相談やアドバイスが欲しければ、なにがどうしてどうなったのか、相手に理解できるように説明することから
はじめないとどうにもならんよ。

事例の報告だったとしても、やはり他の人に伝わるように書かないと、せっかくの情報の価値が目減りする。 <> (○口○*)さん<>sage<>09/01/14 22:04 ID:bgIcn7ef0<> 考えてたスレの趣旨って、住民総出で慰めてもらえるとかそんなの?
何がしたかったのかさっぱりわかんないや <> まとめ臨時 ◆kJfhJwdLoM<>sage<>09/01/14 22:36 ID:zu05M4ea0<> ふと、>>318 さんでもあげられているように
ネットカフェを利用した場合には
どこの店舗か記述したか記述してもらったほうがいいのかな…とか。

ネカフェで感染した場合は >>4 のテンプレだと
微妙に埋める内容が的外れなってしまうのが悩ましいです。

ネカフェ用の報告テンプレがあったほうが…?
でも店舗の環境は弄れないので
スレで語られるPC環境の対策とはずれてくるかもです。

とりあえず次のスレに
ネカフェでプレイする際のテンプレがあったほうがいいのかもと言う事で。


●1dayなら家で課金してから行く。
●ログイン前にkasperskyなどonlineチェッカーでちゃんとチェックしてから。
●キャラごとに数字パスワードを変えておく。
●ログインするのは必要最低限のキャラのみ。
●お財布キャラに重要な装備持たせ、お財布キャラではログインはしない。
●帰宅後すぐにログインIDを変更する。(携帯電話のフルブラウザから変更でも可)
●使用するPCでウイルスが見つかった場合は即座に店に報告。その店舗ではログインしないことが望ましい。
 どうしてもと言う時は席を替えてもらって、替えてもらった席でもオンラインスキャンをする。
●めんどくさくてもウイルスが見つかった店舗の本部とガンホーにその旨を報告する。

こんな所でしょうか? <> (○口○*)さん<>sage<>09/01/14 23:52 ID:6QULx1qI0<> ROセキュリティWikiの検体提出先を修正しました。

アドレスが変わったところ
 Avira(AntiVir)

追加
 Antiy Labs <submit@virusview.net>
 Comodo <support@comodo.com>
 Cybersoft(VFind) <virus@cybersoft.com>
 Microsoft(OneCare) <onecare@submit.microsoft.com>
 MicroWorld Technologies(eScan) <mathew@mwti.net>
 SuperAntiSpyware <samples@superantispyware.com>

Webフォーム消滅
 Cat Computer Services(QuickHeal)
 Ewido(AVG Anti-Spyware)

Webとメールの両方で受付のベンダーを整理
RisingのWebフォームの直リンクが消されていたのでリンクしない形で再掲
 ベンダー側が消したらしきコメントだったので、次に消されたらフォームは抹消かな? <> (○口○*)さん<>sage<>09/01/14 23:54 ID:6QULx1qI0<> あ、あとLavasoftも追加しました。 <> (○口○*)さん<>sage<>09/01/15 00:31 ID:LW2lkYCk0<> RAGUでネタになってたけど、そろそろガンホーには携帯向けのソリューションが欲しいところ。
安全・安心なログオン環境の提供って地味にBOT対策並みに大事だと思うんだ。 <> (○口○*)さん<>sage<>09/01/15 00:40 ID:u2KJTX3s0<> ガンホーゲームズ始めた後、さっさと携帯対応すればよかったものを。
良くも(?)悪くも他社の真似をしようとしないからなあ、この会社。 <> (○口○*)さん<>sage<>09/01/15 02:20 ID:MIS9GC5s0<> カスペのオンラインスキャンが新しくなってた <> (○口○*)さん<>sage<>09/01/15 10:16 ID:xCiWWGMl0<> RAGU見てきた 携帯でパス変えられるようなの欲しいなぁ…
ネカフェ生きたいけどどうしても色々引っかかっていけないんだよね
入店してからウィルススキャンで1時間とかVBきって起動してくださいとか
そんな店ばっかりで… <> (○口○*)さん<>sage<>09/01/15 10:44 ID:PNeTAYJc0<> >>351
もし公認カフェでそんな状況なら、ガンホーに苦情がしがし出した方がいいよ。
収益の柱の一つだから、報告が集まればないがしろにされる事は無い。 <> (○口○*)さん<>sage<>09/01/15 12:48 ID:mPexEpIr0<> VirusTotalにnProtectが追加。
VTのnProはBitDefenderエンジン込みらしいので
利用の際はBitの検出名とかぶってないか注意されたし。
blog.hispasec.com/virustotal/41 <> (○口○*)さん<>sage<>09/01/15 13:03 ID:CrarRDf10<> >>353
それってnProはウィルスですってことでFA?
だとしたら癌にウィルス仕込んでるんですかと抗議しなきゃな <> (○口○*)さん<>sage<>09/01/15 13:04 ID:LSf2To4H0<> これは恥ずかしい <> (○口○*)さん<>sage<>09/01/15 13:26 ID:3V6yQw2r0<> 最初、nPro=GameGuardって思い込みがあったもんで>>354と同じ勘違いをしたが、
VirusTotalで利用するウイルス検索エンジンにnProtectが追加されたって事か。 <> (○口○*)さん<>sage<>09/01/15 13:27 ID:3VWqS9ah0<> うちのカスペ先生はいつもキーロガーの疑いかけてくれるな <> (○口○*)さん<>sage<>09/01/15 16:41 ID:ecOjRe350<> nProtect Personalの事だよね。
Netizenの技術を応用したセキュリティソフトらしいけど。 <> (○口○*)さん<>sage<>09/01/15 16:43 ID:8OmSjk0I0<> ネチズン…? <> (○口○*)さん<>sage<>09/01/15 16:46 ID:ecOjRe350<> というか、公式にもSoftwin社のエンジンを利用と書いてあったわ。
ttp://nprotect.jp/personal/
だから>>353の言うように、BitDefenderと類似なのは自明。これはVTに限らずだけど。 <> (○口○*)さん<>age<>09/01/16 08:12 ID:cp3e7RsJ0<> >>310と同じ書き込みが2日続けてあった
アクセス解析見たら発信元は中国w

exeやscrをNGワードに設定し、コメント欄には書かれなくなったが、
今度は参照URLに書き込んで来たw

今度は参照URLの欄を削除して中華の反応見る事にする <> 前スレ467 ◆L.JmygXt4M<><>09/01/16 22:09 ID:M7wN5jbr0<> 前スレ467◆e91dOdCUrUです。
リアルが立て込んでて、報告が遅くなりましたが、1/6のメンテナンスでアイテムが戻ってきました。
昨年12/16の週に警察から電話があり、捜査完了となりました。
結果的には犯人逮捕には至らず。
ISPの加入者情報(日本人名)までつきとめたようですが、
偽造身分証明書(パスポートらしい)で回線引き込みをしていたらしく、
最終的に引き込みを申請した本人には至らなかったようです。

そのままサポートデスクに再度、捜査完了の旨を投稿し、
「2週間ほどの時間が欲しい」との連絡で、1/6にアイテム、Zenyが復旧しました。
年末年始の2週間を入れないと計算は合うので、復旧目処に大きな誤差はないと思います。

回線の引き込みなんかが手軽になってることもあるのか、
偽造身分証明書がどこまで巧妙に作られていて、
キャリヤ側のチェックを抜けるのかは分からないですが、
色んなところで危機が満載ですね。
キャリヤも回線費用とりっぱぐれてる気もしてきますね。
なんにせよ、まずは自衛ありきで、それも継続的に行わないといけないと再認識をさせらた貴重な経験でした。

臨時まとめの人はじめ、このスレの方々の報告はとても参考になりましたので、お礼も兼ねて結末のご報告をさせて頂きます。 <> ◆L.JmygXt4M<>sage<>09/01/16 22:09 ID:M7wN5jbr0<> ageてしまった|i|orz <> (○口○*)さん<>sage<>09/01/16 22:32 ID:yNuCepnZ0<> おめでとう・・・といって良いのかわからないがともかく復旧おめでとう、そしてお疲れ様 <> (○口○*)さん<>sage<>09/01/16 23:13 ID:0m53HuED0<> やっぱそういう奴がやるんだねえ。
まともな奴がやったら逮捕で黒星ついちゃうし。 <> まとめ臨時 ◆kJfhJwdLoM<>sage<>09/01/17 08:22 ID:KsiUggIq0<> >>362
復旧までの詳細な手順と経過のご報告ありがとうございます。
そしてアイテム復旧おめでとうございます。
前スレの書き込まれた経過分までは、
当方のサイトの救済事例としてUPさせていただきました。

自分もスレの無名な有志の方々の報告やらで
助けられていたりまとめられるので感謝しきりです。 <> (○口○*)さん<>sage<>09/01/17 12:26 ID:0kC56hEi0<> >>362
報告乙です。
折角なので、こっちにも情報を提供するのはどうだろうか。無法者をつまみ出すためにも。
ttp://www.immi-moj.go.jp/zyouhou/
なにしろ警察よりも恐れられている入管だから。 <> (○口○*)さん<>sage<>09/01/17 12:46 ID:v7M+6oSt0<> 日本の役人で使えるのは
水産省 海上保安庁 入管だけだもんな <> (○口○*)さん<>sage<>09/01/17 13:42 ID:8Pc2fCPv0<> ただ、まぁ、警察が特定に失敗したということから見込みは薄いが、できることをやっとくのは大切だな。 <> (○口○*)さん<>sage<>09/01/17 13:43 ID:R5MVORE10<> 管理の放棄されていると思われるwikiや掲示板にアカハックが貼られている場合どうする? <> (○口○*)さん<>sage<>09/01/17 13:52 ID:xymwVZ4y0<> >>370
今まであったのは、避難所や他に退避をさせて
データーを飛ばして其処を使わないようにって告知していた程度だろうか? <> (○口○*)さん<>sage<>09/01/17 16:18 ID:R5MVORE10<> >>290の中身が新しい物に変えられてないか

371>>
職WikiとかサーバーごとのGvWikiならそうなんだけど
GのHP代わりに使用されていたり、ROに関係ないwikiの場合は管理会社とかに通報すべきなのかと思って <> (○口○*)さん<>sage<>09/01/17 16:35 ID:ISeFAy460<> ROに関係なくて管理者も利用者層とも連絡不能とかだったら、現地に警告の編集を入れつつ
その上に通報&ココに(晒すのは気が引けるならまとめ臨時さんにだけに)報告するしかなさげじゃない? <> (○口○*)さん<>sage<>09/01/17 19:04 ID:Q6TCIgwv0<> すみませんちょっとお聞きしたいのですが、
本日なかじまゆか様のサイトのRagnarok Onlineのページを見にいった所、
BSテンプレート様の危険ドメインリストにもある下記のIPをPG2がブロックしたのです。

69■64■147■17  jbbslivedoor■com

どうにも閉鎖なされたBreeze from Prontera様(ttp://www■poporing■info/)の
バナー(ttp://www■poporing■info/bfp.png)を表示しようとして、
それをPG2が上記のIPでブロックしているようなのですが、
こちらは危険なものなのでしょうか? <> (○口○*)さん<>sage<>09/01/17 19:36 ID:8Pc2fCPv0<> ドメイン失効で、IPの管理会社が同じになっちゃっただけでは? <> (○口○*)さん<>sage<>09/01/17 20:02 ID:BN3muM2F0<> >>375だな。
eNomっていう登録業者で取得したドメインは失効するとeNomが用意した
広告が表示されるようになってて、>>374は広告用サーバのIPと思われる。

今現在ドメインは登録業者にキープされていて危険である可能性は低い…ものの、
後々ドメインが完全に開放されて悪意のある物に取得される…
ってシナリオを考えると、危険の前触れとは言ってもいいかも <> (○口○*)さん<>sage<>09/01/17 20:09 ID:IPoeuofw0<> 広告用サーバがPGのリストに入ってるっておかしくないか?
そのサーバにいろいろ仕込まれてるならともかく。 <> (○口○*)さん<>sage<>09/01/17 20:14 ID:BN3muM2F0<> >>377
危険ドメインのIPアドレスを定期的に確認しているようなので、
失効した後に確認しに行ったためにそれが記録されたんだろうね <> (○口○*)さん<>sage<>09/01/17 20:15 ID:IPoeuofw0<> なるほど、自動チェックね。納得した。 <> (○口○*)さん<>sage<>09/01/17 20:20 ID:Q6TCIgwv0<> なるほど、皆様ありがとうございました! <> (○口○*)さん<>sage<>09/01/17 20:24 ID:FuJRXQ140<> >>374
あとは念のため、当該サイトオーナーにリンク切れの件を伝えて、修正を入れてもらうのが望ましいかと。
万が一のリスク回避目的と、存在しないディレクトリを呼び出していることによる404レスポンスの分、
サイトの表示速度低下が起こるのも解消できるメリットがあるので。 <> (○口○*)さん<>sage<>09/01/18 00:04 ID:ZJ2hyQS60<> ttp://hi5-photos■com/viewimages.php?=メールアドレス
なんてのが出たらしい。 <> (○口○*)さん<>sage<>09/01/18 01:14 ID:JTWUQAU30<> >>382
>>229-241の新型かな? <> (○口○*)さん<>sage<>09/01/18 01:19 ID:JTWUQAU30<> >382
404エラーで検体入手できず。 <> (○口○*)さん<>sage<>09/01/19 01:46 ID:5GQh0PNs0<> ケミテンプレが改竄されたんで報告

URL:http://bit■ly/n9gR
転送で→http://www■bluewoon■com/Blog/ <> (○口○*)さん<>sage<>09/01/19 02:00 ID:UdetJSbz0<> >>385ケミテンプレが改竄された

じゃなくて、短縮アドレスがやられたっていう話でしょうか? <> (○口○*)さん<>sage<>09/01/19 02:02 ID:UdetJSbz0<> あぁ、確認……その短縮アドレスを書き込まれたのですね。 <> ◆YimRag/CBY<>sage<>09/01/19 02:13 ID:KyNj7bb50<> BSWikiにも書き込み未遂。
BSWikiの中の人がBBQの関連で書き込めないので適当に転載していいとのことなので転載。


特徴
・ODN 浪花町(大阪府) Bフレッツ・フレッツ光
・HTTP_ACCEPT_LANGUAGE:zh-cn
・originalデータも有るのでブラウザによる手動の可能性大だが2秒間隔で
 別ページの試行であることからブラウザのマクロの可能性も?


http://bit■ly/n9gR
 http://www■bluewoon■com/Blog/
  http://www■bluewoon■com/Blog/Muma■htm
  http://www■bluewoon■com/Blog/Ms06-014■htm


貧スレWiki/Common Data/DQロダ等には試行書き込みのブロック記録等がないので不明ですが
各Wiki/BBSなどを管理してる人は気をつけてください。 (・x・ゝ <> (○口○*)さん<>sage<>09/01/19 03:16 ID:9q1FHuhE0<> >>388
Ms06-014■htm の方は解読完了。

本体はこいつ
http://www■skywebsv■com/Blog/k1■exe <> (○口○*)さん<>sage<>09/01/19 03:41 ID:4BFUuE0L0<> >>385,388の件、ちょっと対抗に使えそうなデータが取れることが分かった。
ttp://bit■ly/info/n9gR
短縮アドレスに(仮想)ディレクトリを追加しただけなのだが、これでアクセス解析データが取得できる。
不安な場合は、以下のAPIリファレンスも一読のこと。
ttp://bit■ly/docs

これで判るのは、RO系で改竄が行われていたのはケミ・モンク・殴りアコプリWiki。
おおよその延べクリック数も把握できる。
あとは、やっぱり赤石系が多い。TW Wikiもやられているけど。 <> (○口○*)さん<>sage<>09/01/19 11:18 ID:9q1FHuhE0<> >>388-389
カスペ検出名(k1.exe以外は今朝方対応)
index.htm_ - Trojan.HTML.IFrame.ad,
Ms06-014.htm_ - Trojan-Downloader.JS.Agent.dhv,
Muma.htm_ - Trojan.JS.Agent.kb,
k1.exe_ - Trojan.Win32.Inject.ncz

=== AntiVir ===
index.htm : NotDetected
Muma.htm : HTML/Shellcode.Gen HTML script virus
muma_1.html : EXP/XMLSPAN.B exploit
Ms06-014.htm : HTML/Malicious.ActiveX.Gen HTML script virus
Ms06-014_1.htm : HTML/Malicious.ActiveX.Gen HTML script virus
k1.exe : TR/Inject.ncz Trojan <> (○口○*)さん<>sage<>09/01/19 11:25 ID:9q1FHuhE0<> >>390
おもしろいね。fc2のBlogも1つやられてるのをそこから確認できたんで、fc2に報告した。 <> (○口○*)さん<>sage<>09/01/19 18:30 ID:9q1FHuhE0<> F-PORTの検体提出先メールアドレス変更。ROセキュリティWikiの検体提出先も修正済み。

F-PROT Viruslab <viruslab@f-prot.com> <> (○口○*)さん<>sage<>09/01/20 05:55 ID:IXYidNB/0<> 某所に貼られていたもの
ttp://99■2■77■44:8080/blog/Start■scr

検出結果
http://www.virustotal.com/jp/analisis/24d2cce83381d9c707dfbecda54b3332 <> (○口○*)さん<>sage<>09/01/20 08:37 ID:JdapQQbm0<> >>394
中身はいつものように、エロ動画とマルウェア。

AntiVirは、Start■scrには反応しないが、中身の1199■exeには反応。

1199■exe検出結果
http://www.virustotal.com/analisis/16bb3f64075ced19d4477ef899bab415 <> (○口○*)さん<>sage<>09/01/20 16:25 ID:M7TGiU3+0<> ウィルスへのリンクが掲示板からはきちんと削除されてるんだけど
Googleとかのキャッシュの方には残ってたりするんだけど
このキャッシュの削除依頼の窓口ってどこにあるんだろう? <> (○口○*)さん<>sage<>09/01/20 21:02 ID:2OjGqajZ0<> http://www.google.co.jp/intl/ja/contact/

ここから先は、英語で俺には分からん。 <> (○口○*)さん<>sage<>09/01/20 21:49 ID:YOQqz1360<> 削除リクエストでググれ <> (○口○*)さん<>sage<>09/01/21 22:53 ID:8oQl/s2K0<> 「ウイルスバスター2009」にアップグレードした環境で不具合
http://internet.watch.impress.co.jp/cda/news/2009/01/19/22136.html <> (○口○*)さん<>sage<>09/01/23 09:50 ID:w8QT2GfM0<> 「QuickTime 7.6」公開、7件の脆弱性を修正
http://internet.watch.impress.co.jp/cda/news/2009/01/22/22176.html <> (○口○*)さん<>sage<>09/01/23 16:50 ID:vT3KSTLn0<> 両方のRO板見てみたけど適切なスレが分からなかったのでここで聞いてみます
こっちで聞くといいよ、みたいなスレがあれが誘導お願いします。

当方、カスペルスキーのInternetSecurity2009を使用しています
困っているのが、毎回ROを起動するたびに疑わしい動作が検知されています
ROフォルダ内のGAMEGUARD\DUMP_WMIMMC.SYSというファイルのようですが、
起動時のみフォルダに表示され、許可すると見えなくなるようです
動作の種類は、suspicious driver instllationで毎回許可を求められます
選ぶ事が出来るのは許可のみで、すべてのオブジェクトへ適用のチェックボックスもあります

全てのオブジェクトではなく、該当するDUMP_WMIMMC.SYSのみへの許可を
ルールとして設定したいのですが、方法が分かりません。
全てのオブjクトへ適用、は選ばない方が無難・・・ですよね?
マニュアルを読んだり色々試してみたのですがさっぱり手がかりがつかめなかったので
詳しそうな方がいそうなこちらで聞いてみようと思い立ちました

若干スレの趣旨と異なるかもしれませんが、よろしくお願いします。 <> (○口○*)さん<>sage<>09/01/23 23:06 ID:G4WMkTX/O<> それは仕様とカスペに電話したら言われた <> (○口○*)さん<>sage<>09/01/23 23:08 ID:n1hm8qCg0<> 業を煮やして全てのオブジェクトに適用してみたけど、
それでもRO起動時に1/2くらいの確率で疑わしい動作が検出される俺が <> (○口○*)さん<>sage<>09/01/23 23:28 ID:G4WMkTX/O<> 俺は最初の一回目スルーして二回目以降全て引っかかるが、ジャストに電話で聞いてみたらそうなるって即答されたから、俺以外にも聞いたやつがいるってことだな <> (○口○*)さん<>sage<>09/01/24 00:44 ID:BRe+KDdW0<> カスペやめて、AntiVirにしちゃってるから正確じゃないと思うが、検出名とファイルマスクの複合で
除外設定したような気がする。

その後、ROのフォルダは全部除外にしたような気も… <> (○口○*)さん<>sage<>09/01/24 01:07 ID:ixQARvpN0<> nProで一部の情報が隠されているから幾ら許可を出しても、
許可済みの情報と一致しないのでまた出てくる

プロアクティブディフェンスのドライバーインストール(だっけ?)の監視を止めるか
プロアクティブディフェンス全部を停止させるしかないと思う

当然、ウイルスに対しての耐性は低下するから、自己責任でどうぞー

#私は面倒だけど毎回アラートの許可を押している <> (○口○*)さん<>sage<>09/01/24 01:26 ID:dNwn6FsI0<> >>402
それならしようがないな(゜∀`) <> (○口○*)さん<>sage<>09/01/24 15:49 ID:dAZCYdDZO<> 昨日アイテム等全てなくなりました…


FC2踏んだのが原因みたいですね…


一応ガンホには救済処置頼みましたが、私の方が兄弟で垢を共有しており、家も回線も違うため警察の方には言えないので泣き寝入りになるかもです…

個人情報は兄の物で警察の調査により不正がバレれば無傷の兄まで迷惑が…最近錐を買えてようやく装備を選ぶ楽しみが出来るようになっていただけに残念です


はぁ=3 <> (○口○*)さん<>sage<>09/01/24 15:51 ID:RIndf2ic0<> …釣り? <> (○口○*)さん<>sage<>09/01/24 15:58 ID:dAZCYdDZO<> いえ…

対応策を考え調べていたらここ見つけたので書いてみた…

とりあえず最初から読んでみます <> (○口○*)さん<>sage<>09/01/24 16:08 ID:dAZCYdDZO<> あ〜
》1
》4

かみてなかった失礼しました <> (○口○*)さん<>sage<>09/01/24 16:28 ID:w0MdOVlB0<> バ━━━━━━(゚∀゚)━━━━━━カ !! <> (○口○*)さん<>sage<>09/01/24 16:33 ID:BRe+KDdW0<> 自宅と兄宅のIPを報告して、それ以外からが不正アクセスだって言えばいいじゃねーか。
垢共有についてはざまぁwwwとしか言い様がないが、ここは愚痴スレではないので、
きちんとした報告をするか、愚痴スレに移動するかを選んで欲しい。

きちんとした報告には、経験者や過去の事例から、なんらかのアドバイスがあるかもしれない。 <> (○口○*)さん<>sage<>09/01/24 19:44 ID:npzAVTGW0<> まあ癌にだけ報告したって何も進展しないんだけどな。
警察に相談して、向こうから共有の話追求されなきゃ言わなくていいんじゃね?
俺の時はIDと被害の詳細話しただけだった。
被害に遭った日時がそれなりにハッキリしてるなら調査されないかもよ。

ここ2〜3ヶ月でアホみたいにハック被害報告あるみたいだから、
救済されるとしても相当時間かかりそう。
癌も警察から依頼あっても乗り気じゃないし、
警察も癌がそんなノリだから諦めることを勧められたよ。

前例が数件あったから話は早かったが、
その前例が数ヶ月経っても未だ未解決らしく、もう諦めた。

>>408
とりあえず踏んだFC2の詳細をだな。 <> (○口○*)さん<>sage<>09/01/24 20:17 ID:pbtTEe3X0<> FC2騒動はずいぶん前だし、その後のXREAや
そこらの罠踏んだんだと思うけどね。 <> (○口○*)さん<>sage<>09/01/24 21:58 ID:k2byTjcz0<> 昨日、>>401で書き込んだものです。
見る限りは、仕様としてそのまま使うしかないのかな・・・
カスペルスキー自体は使い始めて2年目です。
フォルダごと除外設定は2009から出来なくなったんでしたっけ・・・?
12月中旬にnProがなくなった1週間?くらいはROの起動がとても早く、
その快適さを知ってしまって以来、たまに時間を作って色々模索していたのですが
解決する妙案はないようで残念です;皆さん回答ありがとうございましたー <> (○口○*)さん<>sage<>09/01/24 22:15 ID:dAZCYdDZO<> >411ほんとですね

>412>413
ご返答ありがとございます。

いまPCの方は使えないので携帯で失礼

まだこのスレを熟読する暇がなかったので返答下さった方へのお礼に来たのですが一応


FC2の件はPCではないので張り付けが出来ないので、被害者が増えない為にも少し書いておきます


いつでも必死にラグナロクというブログを閲覧中トップにあるFC2、ブログと隣接して置いてあるアイコンだと思われます
青枠FC2を踏んだ際ウイルスバスタが危険を知らせてきましたので多分これかと…


ま、あまり知識もない熟読もしてないじゃ皆さんに失礼なので、また改めて出直してきます

お邪魔しました <> (○口○*)さん<>sage<>09/01/24 23:18 ID:BRe+KDdW0<> >FC2、ブログと隣接して置いてあるアイコン
それ、FC2のトップへのリンク <> (○口○*)さん<>sage<>09/01/25 09:26 ID:IsduoyNMO<> つーかそれ、アカハクが事実なら未だに情報筒抜け、て事じゃね

兄貴とちゃんと相談して、信頼出来るPCからパス変更して、PCに詳しい知人呼んでリカバリしてもらえ。
でないとROどころか、今後打ち込むパスを根こそぎ持っていかれる可能性があるぞ <> (○口○*)さん<>sage<>09/01/25 11:06 ID:YYedbj6Q0<> 癌IDログインになったせいで、ハック=個人情報漏洩だからなぁ・・・。
架空情報だと規約違反だし、どうしろってんだ。

忘れた頃に個人情報使われてリアル被害が一番怖い。 <> (○口○*)さん<>sage<>09/01/25 11:12 ID:agjJ/T7R0<> 半架空にしてる。たとえ漏れて業者が入手しても打撃はない程度。
個人を狙い撃ちで本気調査とかストーキングされたら無意味だろうけど、
そもそもそんな場合は何しても無意味っぽいから考えない。

確実に虚偽の申告というレベルでもないし、わりとなんとかなってる。 <> (○口○*)さん<>sage<>09/01/26 09:45 ID:AdcBoFcS0<> 兄弟の垢共有は規約には触れるが、お互いがそのことを認知しているなら
法には触れないよ。
もうこれ以上ない被害を受けているのに、そこで泣き寝入りする意味がわからん。

警察に届けなさい。 <> (○口○*)さん<>sage<>09/01/26 11:26 ID:MFPqIlDz0<> 法には触れないけど癌の補填対象から外れるな
癌に訴えられる可能性も無くはない <> (○口○*)さん<>sage<>09/01/26 11:33 ID:AdcBoFcS0<> 訴えるメリットがないから、それはない。
だいたい、現状で補償受けられる可能性もほとんどないし。 <> (○口○*)さん<>sage<>09/01/26 16:47 ID:6bs14+Va0<> >>424
「現状で補償受けられる可能性もほとんどない」のに
調査に時間と多少なりとも手間をかけた上、規約違反による
BAN(キャラデリ)のリスクを受けるってことでしょ?
泣き寝入りというよりも賭けに出るかどうかだと思う。

外野としては、前例としてチャレンジしてもらいたいところだけど。 <> (○口○*)さん<>sage<>09/01/26 17:11 ID:1INnr9d00<> 訴えられるって、規約違反でか?
規約を守らなかった場合に発生する法律なんてあったか?

そもそも長ったらしい規約を熟読するように書かれてた所で、
大半の奴がほとんど読んでないだろ。
癌に限らず色々な場合においても。

規約を守らなかったせいで発生した損害に関しては、
当社は一切責任を取りませんで終わるだろ。
そのせいで癌に賠償請求させるほどの損害が発生でもしない限り。


ところで兄の個人情報で登録した垢を共有で使ってるってことだろ?
兄が無傷ってのはどういう意味なんだ? <> まとめ臨時 ◆kJfhJwdLoM<>sage<>09/01/26 19:31 ID:GQM77N5/0<> >>426
実はアカウント=ガンホーIDと解釈しようと思ったのですが
IEからのログイン方式になってからはキャラクターアカウントが違っても
アンホーIDさえ判ればボタン一つでアカウント選択できますし…。

兄弟の使うキャラクターごとに設定されているパスワードが違ったから
408さんはやられて兄は大丈夫だった…と…。
でも倉庫は共通だから倉庫が無傷だとしたらちょっと不思議な事です。
書かれた状況からだと憶測ばかりになってしまうので
この話題は本人降臨待ちかもですね。

規約を盾にするなら補償は受けられないですが、
運営がそこまで野暮なことをしないと思いたい…なぁ…
粋な計らいばかりを望むのも違うんですけどね。


長文ついでに体感報告を。
バスターを2009にしてみました。
時々タスクで「有効になっていません」とか出ますが、
メニュー画面では「推奨機能はすべて有効」になっていたり、
なんだか微妙な感じもあります。
WindowsDefenderか最新のAd-Aware(Xpのサービス設定で手動設定)の
どっちかが競合しているのかも?

とりあえずROが動く最低起動環境ですが
何もしていない状況のフル検索をバックグラウンドで動かすと
08と比べてかなり早くなったかなと。

でも迷惑メールツールONだとメールソフトで最初にメール受信する際、
必ず台湾に繋げに行ってるような動作をPG2のブロックで確認。
"バスター 台湾"で調べるとなんとなく納得してしまった…。 <> (○口○*)さん<>sage<>09/01/26 19:34 ID:YJlAOXBu0<> 野暮ってアンタ・・・ <> (○口○*)さん<>sage<>09/01/26 20:35 ID:IO3eAnkc0<> 規約に違反しているからといって、不正アクセスの被害を届け出ないのはどうかと思われ。
泣き寝入りするのは、大陸の連中にとって最も都合の良い話だ。 <> (○口○*)さん<>sage<>09/01/26 20:37 ID:KSvedgXe0<> 癌垢だけを兄の個人情報で共有ってことじゃないの?
アトラクは違ってて、ログインできてもキャラパスは違うから、兄は無事だったって解釈したんだけど <> まとめ臨時 ◆kJfhJwdLoM<>sage<>09/01/26 21:42 ID:uGLP46P+0<> >>427で書いたAd-Aware Free Anniversary Edition。
システムの管理-サービスからAd-Aware関係を手動にしても
AAWTrayという実行ファイルが常駐している模様。

MSCONFIGのスタートアップのチェックを外してみたら
今のところタスク表示不良とかC++のエラーとか吐き出さなくなり
トラブルもなくバスターがすんなり起動するようになりました。
やはり互いに競合している印象。


>>428
いや、規約に同意している時点で共有は駄目なんですが。

浪花節につい期待してしまう…甘いのは判ってますが、
アカハックをした輩を思うとなんとなしに言いたくなった事を吐き出してしまったんです。
通例が出来てしまうと規約の意味もありませんし、
そもそも共有さえなければって話なんですけど。 <> 408<>sage<>09/01/26 21:50 ID:m81pmf8qO<> こんばんわ


他の事例を読んで見ようと来てみたらスレが伸びてたので


説明が少し足りなかったですねすいません


IDを共有して鯖が私と兄は違うんです。


でガンホの規約に、たとえ兄弟でもIDの共有は停止処分となっているので、まともにいくとまず停止が先になると思われ


ただ話し合いの結果私の家に遊びに来たときROをしていたと報告してもらいました。


しかし…ウイルスでキャラパスを抜けてくるとは思わなかった…
カーソルをリモートかなんかで記憶させるんですかね〜?

ま〜そこは自分で調べてみますが…
ウイルス検知したけどクッキー意外なにも出なかったけど、検知されない奴でしょうね。まだ何か入ってますね〜ちょっと深夜に繋いでみたらラグが物凄く狩にならなかった… <> (○口○*)さん<>sage<>09/01/26 22:11 ID:6XwAAMuZ0<> この妙な改行は携帯だからか、そりゃテンプレ使えないよね・・・ <> (○口○*)さん<>sage<>09/01/26 22:35 ID:YFicJ2ml0<> そもそも使う気もねえだろに… <> (○口○*)さん<>sage<>09/01/27 00:12 ID:iXmhUsDa0<> 垢共有に虚偽申請とか、釣りにしか見えん

つーか癌社員はこの板もチェックしてるってのが定説だし
マジだとしても、そのままBANになる予感



で、話題転換して impress より
>「最悪の事態はこれから」? 不気味に急拡大する「Downadup」ワーム
>ttp://enterprise.watch.impress.co.jp/cda/infostand/2009/01/26/14763.html

> Downadupの最新の亜種は、ネットワーク、あるいはUSBメモリーなど
>リムーバブルメディアという2つの感染経路を持っている。ネットワークで
>脆弱性を利用して拡散するだけでなく、辞書攻撃でパスワードを破って
>共有ファイルに自身の複製を作る。またリムーバブルメディアでは
>自動再生機能「Autorun」を利用。感染したメディアを経由してPCに入り込んでしまう。

ウィルスがプルートフォース仕掛けるとは…… <> (○口○*)さん<>sage<>09/01/27 00:17 ID:lJylhVjd0<> 辞書攻撃するウイルスは昔から無かったっけ? <> (○口○*)さん<>sage<>09/01/27 01:23 ID:1AWy+DJM0<> 辞書攻撃は、プルートフォース(総当たり)じゃなくて、辞書にある単語の組み合わせのみでやる奴だぞ。 <> (○口○*)さん<>sage<>09/01/27 02:23 ID:/CxAlYUL0<> 癌に訴えられる可能性ってのは
アカ共有>故意に情報を漏洩
虚偽報告して補填受けようとしてるなら詐欺罪
などかな

まぁ、普通は訴えないと思うけどね
客商売だし <> (○口○*)さん<>sage<>09/01/27 09:29 ID:OHu04BrB0<> >虚偽報告して補填受けようとしてるなら詐欺罪

それは、運営会社自らゲーム内アイテムの金銭価値を認めてしまう事に
なるから無いよ。 <> (○口○*)さん<>sage<>09/01/27 14:14 ID:Jk/q8eQ60<> ゲームクリアのいいきっかけだろう <> (○口○*)さん<>sage<>09/01/27 16:34 ID:NlpFBggb0<> 垢共有で補償無し。

同居親族間の共有も駄目とか野暮な事は流石に言いたくないが、
別居の兄弟間でアカウント共有はな・・・・・

規約違反はリスクも当然あるのだからあきらめれ。 <> (○口○*)さん<>sage<>09/01/27 19:27 ID:pa9HR96B0<> 垢共有の規約違反で訴えられるなら、
BOTerやらとっくに賠償請求されてるだろw
BOTer様でさえ課金対象として大事にしてきた癌様だぜ?

共有が直接の原因でハックされたのならともかく、
関係がないなら普通は黙認した方が収入の継続が見込めるわけだし。

だがそれでも期待できないのは、1客の収入捨ててでもめんどくさい事したくないからじゃね?

>>408
ただ警察に嘘言うのはヤバいから、聞かれたら正直に言ったほうがいいぞ。
それとID共有で鯖が違うってことは、兄のPCが感染してる可能性もあるぞ?
今は癌IDで持っていかれるから、たまたま弟の鯖が先に侵入されただけだろう。
複数のスキャンを兄弟両方でしても検出されないなら、
ウィルスの類では無い可能性もある。
その場合、兄宅のIPが調査対象になる可能性が大きい。
とにかくまずは原因を特定しないことには進まんよ?
ほっといたら兄の鯖も被害に遭うだけ。
キャラパスなんてたかが10000通りしかないんだし。 <> (○口○*)さん<>sage<>09/01/27 20:17 ID:WySUJDjI0<> キャラパスって何回か連続でミスると、サポセンに電話するまでロックされなかったっけ?
緩和された? <> (○口○*)さん<>sage<>09/01/27 20:19 ID:o5mHGJ6W0<> >>443
もともと1分くらい時間あけないとログインできないorサバキャンされる程度だったと思ったが
記憶違いならすまん <> (○口○*)さん<>sage<>09/01/27 21:10 ID:NGqd2YgA0<> >>442
最大8桁入って10,000通り?
やべ、算数できなくなったかもしれん <> (○口○*)さん<>sage<>09/01/27 21:12 ID:MmmH1Sul0<> 4桁10000通り、
5桁100000通り、
6桁1000000通り、
7桁10000000通り、
8桁100000000通り
の計111110000通りじゃないのか

まぁパターンがそれだけあったところで、
それ以前の穴が多すぎるけどなあのキャラパス <> (○口○*)さん<>sage<>09/01/28 10:03 ID:B6eTB7SE0<> スパイウェア対策ソフト「Spybot-S&D 1.6.2」公開
http://internet.watch.impress.co.jp/cda/news/2009/01/27/22220.html <> (○口○*)さん<>sage<>09/01/28 19:56 ID:MFGdYqgS0<> スパイウェア対策ソフトの監視ソフトとか要るようになってくるんじゃねw <> (○口○*)さん<>sage<>09/01/29 21:20 ID:XpPM0Hfj0<> >>408ってWG2の人かね?
垢ハクくさい露店があって出てる装備がシフ系のだったんだが
ssとって名前ひかえてあるから通報することはできるよ <> (○口○*)さん<>sage<>09/01/29 23:31 ID:cnKbd2y30<> PeerGuardianをダウンロードできるとこって今ある?
>>3からじゃだめだった <> (○口○*)さん<>sage<>09/01/30 01:15 ID:k14c4YF/0<> >>450
問題ないよ。
「β6b 日本語第2版 2000・XP・2003用」右クリで保存してくれ。 <> (○口○*)さん<>sage<>09/01/30 03:28 ID:h/MCOtWL0<> ハック露店通報して何か効果あるのか? <> (○口○*)さん<>sage<>09/01/30 03:51 ID:k14c4YF/0<> >>452
確かに一つ一つは意味を成さないかもしれないな
これ以上は書かないので深読みしてみ <> (○口○*)さん<>sage<>09/01/30 18:41 ID:eybEyscz0<> >>451
ありがと、できた
書き込んだときはwebarchiveの鯖の調子が悪かったみたい <> (○口○*)さん<>sage<>09/02/01 00:12 ID:yKSymWhE0<> Googleが何か変なことになってるな。
どんなサイトを検索しても「警告-このサイトはコンピュータに損害を与える可能性があります。」
って表示される。
なんじゃこりゃあ… <> (○口○*)さん<>sage<>09/02/01 00:30 ID:kO+iNzdf0<> もう直ってるよ <> (○口○*)さん<>sage<>09/02/01 00:40 ID:kO+iNzdf0<> そこらのspam投稿から。検体は各社に提出済み。yaplogへも報告済み。

gamepaslog■com/watch/sm3683942/
+---> www■4gameranking■com/xin/
+---> 4gameranking■com/xin/Ms06014■htm
+---> 4gameranking■com/xin/Ms07004■js
+---> 4gameranking■com/xin/Ms06046■htm
+---> 4gameranking■com/xin/ani■c
+---> 4gameranking■com/xin/ani■asp?id=1314
+---> 4gameranking■com/xin/Yahoo■htm
+---> 4gameranking■com/xin/xia■exe

www■4gameranking■com/news/staff/2009/
+---> www■4gameranking■com/xin/
+---> 以下同文

yaplog■jp/redsla_sanay
+---> aiongamemeca■com/mavideo/
+---> aiongamemeca■com/mavideo/Ms06014■htm
+---> aiongamemeca■com/mavideo/Ms07004■js
+---> aiongamemeca■com/mavideo/Ms06046■htm
+---> aiongamemeca■com/mavideo/ani■c
+---> aiongamemeca■com/mavideo/Xunlei■htm
+---> aiongamemeca■com/mavideo/Yahoo■htm
+---> aiongamemeca■com/mavideo/xia■exe <> (○口○*)さん<>sage<>09/02/01 00:44 ID:kO+iNzdf0<> 半角スペース使ってたので階層がわからなくなってるけど、いつもの呼び出し順序なので脳内補完よろしくorz <> (○口○*)さん<>sage<>09/02/01 01:11 ID:3shAbUHz0<> >>458
 &nbsp;
行頭に半角スペースは「&nbsp;」に置き換えるといいぽ。 <> (○口○*)さん<>sage<>09/02/01 01:13 ID:3shAbUHz0<> >>459はこの手の掲示板ではってことで。 <> (○口○*)さん<>sage<>09/02/01 01:46 ID:y+QZU4cO0<> ttp://www■wokutonoken-online■com/blog/play■scr
いつものscrタイプ。

ただ、投稿場所が某カクゲスレだったりURLが北斗オンラインのTIPOだったりねらいどころが変わってる?
あとは、黒クレカ系ばかりだったMMOもアカハクに乗り出してきてるところも増えてきてるから、今まで以上に慎重にならないとまずいと思う。 <> (○口○*)さん<>sage<>09/02/01 02:09 ID:SB+Xvm/70<> >>455,456
Googleに不具合 全検索結果に「コンピュータに損害を与える可能性」とメッセージ - ITmedia News
ttp://www.itmedia.co.jp/news/articles/0902/01/news001.html

現状ではとりあえず問題はないみたい <> (○口○*)さん<>sage<>09/02/01 02:56 ID:uX2DYBQJ0<> KIS2009(8.0.0.454)使ってる人いる?
最近の定義ファイル辺りから
exblogのブログ開くとTrojan-Downloader.JS.Iframe.agdが検出されまくるんだが
誤検知か爆撃されてるのかどちらだろう
何個かexblog系列の見たけど全部ヒットする <> (○口○*)さん<>sage<>09/02/01 03:28 ID:AfTJNZpH0<> KIS2009(8.0.0.454)使っているので、試しにexblog系のブログを適当に
探して見たけど何ともないよ? <> (○口○*)さん<>sage<>09/02/01 03:34 ID:AfTJNZpH0<> と思ったら IEで見ると反応するな <> (○口○*)さん<>sage<>09/02/01 03:44 ID:AfTJNZpH0<> 切り分けた結果、JavaScriptの ap_adcode()に反応してるな <> (○口○*)さん<>sage<>09/02/01 03:59 ID:jom9QPZ00<> exblogとfc2は過去に大規模爆撃された経緯があるからな・・・
とりあえず報告してみるといいと思う、誤検知かどうかは専門かが判断するだろう
といういかにもやる気のない俺w <> (○口○*)さん<>sage<>09/02/01 04:15 ID:sIok4T/v0<> 私も>>463さんと同じで、2PC共々exblogにのみトロイが検出されております。
知り合いのバスタやノートンではまったく検出されないとのこと。 <> (○口○*)さん<>sage<>09/02/01 07:51 ID:z2DOGWip0<> 弱ったなぁ
自分のブログがexblogだが普通に見てしまっていた
ていうかMcAfeeは反応しなかったな・・・
いつになったらまたブログ見れる状態になることやら <> (○口○*)さん<>sage<>09/02/01 09:49 ID:kO+iNzdf0<> 誤検出だと思うなら、誤検出の報告を。
正しい検出だと思うなら、他のblogへ乗り換えを。 <> (○口○*)さん<>sage<>09/02/01 12:35 ID:kO+iNzdf0<> >>461
そういや、こっちには書いてなかったな…。中身の1199■exeとscrでは検出状況がちょっと違う。
最近、ファイルが差し替えられてる。↓は検体提出時の検出結果。

ttp://www.virustotal.com/analisis/c1021f50717e0c2fd7cb3154ec540948 play■scr(23/39)
ttp://www.virustotal.com/analisis/210b3aaaf72c73fdd03bde62bdcbc71b 1199■exe(19/38)

ttp://www.virustotal.com/analisis/00d86dae7217edd9cf34de9b223df160 play■scr(23/39)
ttp://www.virustotal.com/analisis/6ceaa0ae27e4b55512d3696daf9bab1d 1199■exe(21/38) <> (○口○*)さん<>sage<>09/02/01 16:01 ID:AcWJwRna0<> 誤検出にみえるな。

http://www.aguse.jp/?m=w&url=http%3A%2F%2Fexblog.jp%2F
Trojan-Downloader.JS.Iframe.agd

Iframe代わりのJSを検出したようにしか見えない。 <> (○口○*)さん<>sage<>09/02/01 16:02 ID:AcWJwRna0<> 問題のぶつ

function ap_adcode()
{
var url = document.location.href;
url = url.replace(/http\:\/\//gi,"");
var host = url.substring(0,url.indexOf("."));
if (url.indexOf("/") >= 0)
{
var path = url.substring(url.indexOf("/")+1,url.length);
if ( path.indexOf(".asp") >= 0 )
path = path.substring(0,path.indexOf(".asp")+4);
else if( path.lastIndexOf("/") >= 0 )
path = path.substring(0,path.lastIndexOf("/"));
else
path = path;
}
else
var path = "";
var adurl = ""
if ( host == 'www' || host == 'blog' || host == 'adm' )
{
adurl = "/exblog/" + host + "/" + path;
}
else
{
adurl = "/exblog/users/" + host + "/" + path;
}
adurl = escape( adurl );
adurl = adurl.replace(/\//gi,"%2F");
var out = "";
out += ("<img src=\"http://logping.exblog.jp/3rd/ping_exblog.dcg?SN=xbg&SP=" + adurl + "&SLC=jp&rnd=" + Math.random( ) + "\" width=\"1\" height=\"1\" border=\"0\" >");
out += ("<br clear=\"all\" >" );
out += ("<iframe width=1 height=1 marginwidth=0 marginheight=0 hspace=0 vspace=0 frameborder=0 scrolling=\"no\" src=\"http://www.excite.co.jp/exblog/1pt/?" + Math.random() + "\" style=\"display :none;\"></iframe>");
document.writeln( out );
} <> (○口○*)さん<>sage<>09/02/01 16:19 ID:kO+iNzdf0<> 誤検知というより、そのベンダーのセキュリティポリシーだと思う。
カウンタやアクセス解析で使われているとはいえ、サイズ1,1のiframe呼び出しは検知して欲しいところ。

アクセス解析は、隠す必要ないんだから、普通にアイコン表示させたっていいだろと個人的には思う。 <> (○口○*)さん<>sage<>09/02/01 17:02 ID:kO+iNzdf0<> >>457に追加
gamepaslog■com/wiki/FrontPage/
 +---> www■4gameranking■com/xin/
  +---> 以下同文 <> (○口○*)さん<>sage<>09/02/01 17:33 ID:AfTJNZpH0<> >>474
多分アイコン等が表示されると、サイトのデザインの邪魔になるって理由だろうな <> (○口○*)さん<>sage<>09/02/01 21:37 ID:aQcXDODc0<> 本質的には、安易にiframeを使用する事自体を、Webサービスプロバイダに考え直してもらいたいよ。 <> (○口○*)さん<>sage<>09/02/02 09:37 ID:jfrmSFbu0<> >>477
それを言うとscriptもってことになって、殆どのwebサービスが死ぬ。 <> (○口○*)さん<>sage<>09/02/02 18:28 ID:snSxCnIB0<> >>478
セキュリティ的には死んでいただいたほうが好ましい件w <> (○口○*)さん<>sage<>09/02/02 18:50 ID:/yL7YS950<> excite誤検出だったと返事キタ
2/1の19時に対応済みだって <> (○口○*)さん<>sage<>09/02/02 19:09 ID:zmqnmwbW0<> Wiki修正
Sohosの検体提出先に関する注意事項追記
mks_vir(ポーランド)の検体提出先を追加 <> (○口○*)さん<>sage<>09/02/03 04:47 ID:Vr5IlwZO0<> >>478
script絡みも、Firefox+NoScriptが地味に普及してきているから、そのうちテレビ放送におけるCMカットと
同様に、広告メディアとしての効果に疑問が出てくるのではと思われ。
実際、ブロック機能の普及でポップアップ型はなりを潜めたし。

iframeの場合は、セキュリティ面もあるけど、ユーザビリティでマイナスになり易い側面もある。
インラインフレームを多用したレイアウトのページだと、ホイールでスクロールしているうちに別のフレームに引っ掛かって、
全体のスクロールが妨げられたりと面倒な事も多いし。 <> (○口○*)さん<>sage<>09/02/03 05:32 ID:dHCorYZT0<> ttp://www■wokutonoken-online■com/blog/play■scr
ttp://online■w84■okwit■com/file/Start■pif

拡張子違うけど全く同じバイナリ。中には1199.exeが入ってる。

ttp://www.virustotal.com/analisis/708b11c9e323eb2fe9fcb2d3722c10ba play■scr(23/39)
ttp://www.virustotal.com/analisis/f468ee080dc4d33b9375d2c17a7abb64 1199■exe(22/39) <> (○口○*)さん<>sage<>09/02/03 22:51 ID:dHCorYZT0<> リネージュ資料室のウィルス更新状況より。検体は提出済み。
tp://web■vcx2■cn/bbs/fx■htm   : JS/Dldr.IFrame.IB.1 Java script virus
tp://vip■dob3■cn/wm/fl/ffl■html : JS/Dldr.Agent.TC Java script virus
tp://vip■dob3■cn/wm/fl/ifl■html : EXP/Flash.1149 exploit
tp://vip■dob3■cn/wm/fl/f115■swf : SWF/Dldr.Agent.F.1 SWF virus
tp://vip■dob3■cn/wm/fl/f64■swf  : 404 not found
tp://vip■dob3■cn/wm/fl/f47■swf  : SWF/Dldr.Agent.F.1 SWF virus
tp://vip■dob3■cn/wm/fl/f45■swf  : SWF/Dldr.Agent.F.1 SWF virus
tp://vip■dob3■cn/wm/fl/f28■swf  : SWF/Dldr.Agent.F.1 SWF virus
tp://vip■dob3■cn/wm/fl/f16■swf  : SWF/Dldr.Agent.F.1 SWF virus
tp://vip■dob3■cn/wm/fl/i115■swf : EXP/Flash.Gen exploit
tp://vip■dob3■cn/wm/fl/i64■swf  : EXP/Flash.Gen exploit
tp://vip■dob3■cn/wm/fl/i47■swf  : EXP/Flash.Gen exploit
tp://vip■dob3■cn/wm/fl/i45■swf  : EXP/Flash.Gen exploit
tp://vip■dob3■cn/wm/fl/i28■swf  : EXP/Flash.Gen exploit
tp://vip■dob3■cn/wm/fl/i16■swf  : EXP/Flash.Gen exploit

tp://vip■dob3■cn/root/11■htm   : HTML/Rce.Gen HTML script virus
tp://www■qxzzj■cn/root/11■htm  : HTML/Rce.Gen HTML script virus
tp://www■wq9q■cn/root/11■htm   : HTML/Rce.Gen HTML script virus

tp://web■vcx2■cn/root/vip■htm  : HTML/IFrame.800 HTML script virus
tp://web■vcx2■cn/root/11■htm   : HTML/Rce.Gen HTML script virus
tp://web■vcx2■cn/root/bfyy■htm  : HTML/Shellcode.Gen HTML script virus
tp://web■vcx2■cn/root/live■htm  : HTML/Shellcode.Gen HTML script virus
tp://web■vcx2■cn/root/no■htm   : Trojan.JS.Downloader.BHJ(BitDefender / GData)
tp://web■vcx2■cn/root/Real11■htm : HTML/Shellcode.Gen HTML script virus
tp://web■vcx2■cn/root/rp10■htm  : HTML/Rce.Gen HTML script virus
tp://web■vcx2■cn/root/sina■htm  : JS/Dldr.Agent.afr Java script virus
tp://web■vcx2■cn/root/uc■js   : NotDetected
tp://wm■eo2q■cn/root/top■css   : TR/Crypt.XDR.Gen Trojan

最終的に呼びだされるのは、拡張子偽装されたtop.css(VirusTotal 39/39)なので、
セキュリティソフトの定義が最新ならばブロック可能…ファイルが差し替えられるまでなら。
ttp://www.virustotal.com/analisis/21d800c039499918ecbcf5dbd60a418b

フラッシュから呼びだされるファイルはわからない。 <> (○口○*)さん<>sage<>09/02/03 22:54 ID:dHCorYZT0<> あ、検出名称はAntiVirのものです。 <> (○口○*)さん<>sage<>09/02/04 17:18 ID:xI+eP0/X0<> “最高”1件を含む6件のセキュリティ問題を修正した「Firefox」v3.0.6が公開
http://www.forest.impress.co.jp/article/2009/02/04/firefox306.html <> (○口○*)さん<>age<>09/02/05 02:45 ID:xviL8f7L0<> バレンタインデーの迷惑メールが急増中、全メールの1%以上に
http://itpro.nikkeibp.co.jp/article/NEWS/20090203/324116/

Ω ドーン

バレンタインスパムの警告記事が各所で出ていたので、酔狂にも検体入手できないか
探してみました。紹介記事のニュースは安全のためみんなアドレスをマスクしてるので、
なかなか見つかりませんでしたが、1箇所だけ、文字が潰れているもののマスクして
ない所を発見したので、検体拾えました。検出率はボロボロなんで提出してきます。

アカハックとは関係無いですが、一応…

ttp://expowale■com/love■exe

ttp://www.virustotal.com/analisis/a7bbc670bf325cbefd01228eb2c7c943 (8/39) <> (○口○*)さん<>sage<>09/02/05 13:51 ID:B7WP7RPs0<> おいおい何でもありだなもう

駐車違反で誘い込み:実物チラシで不正サイトに誘導する新手法
http://www.itmedia.co.jp/news/articles/0902/05/news025.html <> (○口○*)さん<>sage<>09/02/05 15:26 ID:Ma7L7mE50<> それはアメ公の奴ね <> (○口○*)さん<>sage<>09/02/06 03:30 ID:kzLCvMnL0<> ttp://99■178■233■195:8080/blog/Online■scr

ttp://www.virustotal.com/analisis/470bc7aa3f048134191f9cd576edc093 : Online■scr(20/39)
ttp://www.virustotal.com/analisis/d7ba2277b64b31430521344a9502eb24 : hbsj5j5j5■exe(19/39)


いつものようにiframe呼び出し。(yaplogには通報済み)
ttp://gamepaslog■com/rs_antholo/
ttp://gamepaslog■com/rs/lancer/
ttp://blog20fc2■com/alone/6fENOPk/
ttp://yaplog■jp/ouzhong
ttp://yaplog■jp/asuka0215/

いずれも、下記のどちらかを呼び出し、最終的にはxia■exeを呼びだす。
呼びだされるファイル自体は古いもの。
www■4gameranking■com/xin/
jerikoblog88fc2■com/xinma <> (○口○*)さん<>sage<>09/02/06 05:14 ID:RUpEm3KD0<> おはようございます
一昨日垢ハックされてしまい、放心状態です

NOD32ではウィルスはひっかからないし、どこでひっかかったのが全く自覚症状がありません
サイト閲覧で↑のようなサイトを踏んだ場合どういった症状がでるのでしょうか???
あえていうのであれば前日にIEがフリーズしたことがありましたが

あと垢ハックの1週間くらい前にネカフェを利用してます
それ以前も結構利用していました

ROは継続したいのですが、やはりクリーンインストールするしかないでしょうか??? <> (○口○*)さん<>sage<>09/02/06 06:54 ID:LUa+4QoK0<> 普通それとわかるような症状は出ません。
駆除したと自分で断言できないのであればクリーンインストール。
もちろんそのまま継続してまたハックされるのもあなたの自由。 <> (○口○*)さん<>sage<>09/02/06 07:26 ID:knEPFhxb0<> 踏んだ事に気付かないから被害者が後を絶たない。
ハックされて初めて気付く人が圧倒的に多いと思う。

ウィルス検知は複数で試すこと。
Aでは非検知だがBでは検知するというのはよくある話。
オンラインチェックやトライアル版を利用する。

いろいろやっても非検知ならまずネカフェを疑うべきだが、
ネカフェで引っかかった確証がないと結局は自分のPCを安心して使えないだろうから、
やはりクリーンインストールをお勧めしたい。 <> (○口○*)さん<>sage<>09/02/06 09:27 ID:zLEzwyOq0<> 昔は無能なウイルスが多くて、動作が重くなるなどばれやすい要素があったんだけれどな。 <> (○口○*)さん<>sage<>09/02/06 12:54 ID:u551AeQI0<> Microsoft .NET Framework 3.5 Service Pack 1 および
.NET Framework 3.5 ファミリ更新プログラム (KB951847)

が来てるね <> (○口○*)さん<>sage<>09/02/06 13:11 ID:FvfgDRxL0<> 元がNOD26()じゃなあ。
ここ最近になって、ようやくやる気を出したような状態だから。 <> (○口○*)さん<>sage<>09/02/06 15:05 ID:LUa+4QoK0<> 今は30だよw <> (○口○*)さん<>sage<>09/02/06 15:45 ID:zLEzwyOq0<> 年齢が? <> (○口○*)さん<>sage<>09/02/06 20:10 ID:TxfgZ5FL0<> >>491
ネカフェがアウトな気がする

普段からサイドボタンのあるマウスでプレイしていると
外でROをやる気になれないなぁ <> (○口○*)さん<>sage<>09/02/07 21:49 ID:rHuT3WVp0<> 一度、垢ハックされると、次はもう、復旧させませんよみたいなことを
言われますけど、二回垢ハックされた人の経験談とかってありますかね? <> (○口○*)さん<>sage<>09/02/07 21:52 ID:UcWBgm5q0<> そもそも、そんなに何度もハックされるようなのは、
ROのアカウントじゃなくて、個人情報とかカード情報の方を先に心配した方が良いと思うぞ…。 <> (○口○*)さん<>sage<>09/02/08 02:43 ID:czVAwVqb0<> 補填は一回までってどっかに明記してあったはず
そもそもアカハックされるのは個人の管理責任で
アカを補填するのはガンホーのサービスな <> (○口○*)さん<>sage<>09/02/08 08:46 ID:+AK4JdDb0<> そもそも自社のサービスを標的としたハック行為が横行しているんだから、
対策すべきなのはまず癌であるべきなんだけどな。
ログイン方法変更とかnPro変えたり戻したり、
セキュリティ強化どころか退化してるだろ明らかにw

警察に届けても、ユーザーが被害者という立場で扱われないから
何をやっても後手後手。結局は癌のさじ加減次第。
表向きは「ハッキング対策癌張ってます!」とうたっているが、
実際は限りなく消極的なのはもうみんなよくわかっていることだろ?
癌をどうにかしない限りこの体質はずっと変わらないぜ。

まぁそういう行動起こすよりも、こんな会社に金払いたくないと辞める方が、
精神衛生的にもずっと楽なんだよな・・・。 <> (○口○*)さん<>sage<>09/02/08 09:08 ID:fVaWueIz0<> ユーザの責任を癌に転嫁するな馬鹿 <> (○口○*)さん<>sage<>09/02/08 12:14 ID:PwnnxJV/0<> すげえなwww >>503は ネットバンクハッキングされても
サービスなんだから銀行がちゃんとするべきってごねるんだろうなwww <> 500<>sage<>09/02/08 13:44 ID:rspg2ACP0<> 書き込めなくて、返事が遅れました。
書き込みしてくれたかたがた、ありがとうございました。 <> (○口○*)さん<>sage<>09/02/08 13:48 ID:55MuMr8e0<> もしかして>>503はあれか、自分のPCがウイルスに感染したときとかも
ウイルスに感染するようなPCを売ってる会社がおかしいとか言っちゃうタイプか? <> (○口○*)さん<>sage<>09/02/08 17:40 ID:0BnxeOEB0<> 単に>>503は癌はもっとログイン自体のセキュリティを上げろって言ってるだけなんじゃね?
ワンタイムパスワードを使うとかさ。 <> (○口○*)さん<>sage<>09/02/08 18:35 ID:fr6ht+R30<> >>508
「悪いのは100%癌だ」って主張だから、違うと思うが…。

そりゃ、癌でも出来ることはまだあるだろって意見はその通りだが、
特殊なケースを除いて、ユーザ側のミスがほとんどの原因なんだから、
そんなところまで面倒見て当然ってのは、クレーマーと変わらんと思う。 <> (○口○*)さん<>sage<>09/02/08 20:51 ID:hZHid9YJ0<> ユーザー側のミスというか不手際というか。
セキュリティ対策をしていないPCが多いって聞くし、
後の問題はネカフェだな。 <> (○口○*)さん<>sage<>09/02/08 21:27 ID:SPeWEZno0<> 初心者にはウィルス対策とかのセキュリティ=特別な人がする事って認識も結構多いみたいだしな
「自分はそんな特別な事をしている訳でもないし、わざわざ狙ったりしないだろう」的な <> (○口○*)さん<>sage<>09/02/08 22:01 ID:0BnxeOEB0<> ネットの恐さを教えずに利便性だけを広めてる世の中なんだから当然。
PCに深く関わろうという気がない人間にとってはセキュリティに関して触れる機会はほとんど無い。
知ってる人がとにかく広めるしかない。 <> (○口○*)さん<>sage<>09/02/08 22:39 ID:+AK4JdDb0<> いつ誰が「悪いのは100%癌だ」なんて書いたんだよw

内部の人じゃないと仮定してして聞くけど、
それじゃROのセキュリティは他のMMOに比べても十分なレベルなのか?

少なくても癌の推奨する対策ぐらいはやってても、
被害に遭ってる人は居るわけでだな・・・。 <> (○口○*)さん<><>09/02/08 23:04 ID:vMpG9toK0<> ttp://world2001.blog39■fc2■com/

ってもしかして垢ハクアドレスでしょうか。
Chaos GvG Historyのボスレア・神器所持者一覧に
逆引きはこちらへ[ 神器・ボスカード持ちキャラ簡易まとめ ]
という形でアドレスが張ってありました。
踏むとFC2ブログで「お探しのページはありません」みたいなページでした。

ウイルスソフトはウイルスバスターですが1週間ほど前に期限が切れて動いてませんでした・・。
OSはVistaです。
アップデートは終了時に自動アップデートされるものしかしていません。

自分はPC詳しくないのでわかるのは以上です。
先ほどのアドレスはやはり垢ハクでしょうか?
もしそうだとしても「お探しのページはありません」とあったように削除されていて大丈夫なのでしょうか?

すいませんご教授願います。
自分でももう少し調べてみます。 <> (○口○*)さん<>sage<>09/02/08 23:14 ID:6IjZqdNo0<> >>514
>>1の1行目も読めない程度じゃ、
こっちは「ROアカウントは諦めろ」「OS再インストールしろ」としか言えない。
決して意地悪で言ってるんじゃなくて、本気でそうとしか言えない。

# どうせ自分に都合のいいことに「しか」耳を傾けてくれないんだろうけどさ…。 <> (○口○*)さん<>sage<>09/02/08 23:27 ID:PTy+0t8k0<> ■ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ■

現時点で判ることは、そのアドレスのBlogが存在しない(消されたかブロックかtypoか不明)ことだけ。
危険アドレスであった可能性はありますね。かなり古い改変(2008/05)のようですから管理放棄されてるのかも?
1つ前に復元しようとしてもなぜかブロックされるので諦め。過去の編集履歴も、変なblogに飛ばすものが多いようで。

踏んだ時点で、そのBlogが残っていたかどうかまでは知りません。

心配なら、OSの入れなおしからやり直してくださいとしか。 <> (○口○*)さん<>sage<>09/02/08 23:30 ID:PTy+0t8k0<> あー、過去の検体提出記録漁ったら出てきたわ。

2008/05/08時点では危険アドレスへ飛ばすiframeが仕込まれていたようです。
いつの時点でfc2がそのサイトに対処したかまでは知りません。 <> (○口○*)さん<>sage<>09/02/09 00:47 ID:MMbSji4q0<> >>511
>初心者には
>ウィルス対策とかのセキュリティ=特別な人がする事
>って認識も結構多いみたいだしな

こんな話を思い出した…
「即解!そりゃ間違いない」
ttp://aniki.kululu.net/sc/t_neta/ps2/ps_869.htm <> (○口○*)さん<>sage<>09/02/09 02:31 ID:M3/Y4b4S0<> >2月のマイクロソフト月例パッチ、“緊急”2件と“重要”2件
>ttp://enterprise.watch.impress.co.jp/cda/security/2009/02/06/14877.html

>深刻度が“緊急”の脆弱性は、Internet ExplorerとExchange Serverに関するもの。
>“重要”の脆弱性はSQL ServerとOffice Visioに関するもの。いずれの脆弱性も
>リモートでコードを実行される恐れがあるものだという。

>セキュリティ情報の事前通知 2009年2月
>ttp://www.microsoft.com/japan/technet/security/bulletin/ms09-feb.mspx <> (○口○*)さん<>sage<>09/02/09 16:33 ID:D55lA4r40<> iframeって広告カットすると何か問題のあるサイトってある?
設定してみたところ、特に何も無いようなんだけど…
巡回先によるんだろうけど。 <> (○口○*)さん<>sage<>09/02/09 16:59 ID:gY7kxEpk0<> ニコ動のブログへの貼り付けがiframeだったと思う <> (○口○*)さん<>sage<>09/02/09 17:02 ID:b0wU8MRy0<> おーホントにiframeだった <> (○口○*)さん<>sage<>09/02/09 18:54 ID:QuQX9LOb0<> このスレはハッキング被害に遭っても、
ガンホー様に貢ぎ続ける聖者以外書き込んじゃダメですよ?

辞めたきゃ勝手に辞めれ。
ハッキング被害者が数人辞めるぐらい我がガンホー様には何の影響もない。 <> (○口○*)さん<>sage<>09/02/10 03:14 ID:NqL/H2sU0<> セキュリティー大手のカスペルスキー、SQLインジェクション攻撃で内部情報が流出
http://www.technobahn.com/cgi-bin/news/read2?f=200902092034

BitDefender(ポルトガル)も、同じグル-プにやられたらしいね。
閲覧側には関係無いけど、1つのニュースとしてペタリ。 <> (○口○*)さん<>sage<>09/02/10 03:35 ID:JdKNaDkeO<> 貢ぎ過ぎて精神崩壊した結果がコレだよ>>523 <> (○口○*)さん<>sage<>09/02/10 10:57 ID:OW7Q63Sg0<> 皆あえて無視してたのに触るでない <> (○口○*)さん<>sage<>09/02/11 02:43 ID:DZ2UWDKN0<> 一応、メモ程度に。
リネージュ資料室の更新情報から。全部同じファイルが落ちてくるので、同一IPの別名かな?

ttp://alnnama■3322■org/b057850/b05■htm
ttp://baidu-du6■cn/b057850/b05■htm
ttp://baidu-dudouai2■cn/b057850/b05■htm
ttp://baidu-dudouai7■cn/b057850/b05■htm
ttp://baiduduyou■cn/b057850/b05■htm
ttp://baiduduyou1■cn/b057850/b05■htm
ttp://baiduybaidbrqlm■cn/b057850/b05■ht
ttp://baiduybaiduio■cn/b057850/b05■htm
ttp://baiduyuxire■cn/b057850/b05■htm
ttp://gougouoo■3322■org/b057850/b05■htm

最終的に落ちてくるファイル(少し古め。検体は各社に提出済み)

ttp://qq■18i16■net/exe1/b05■css
ttp://qq■18i16■net/Baidu■cab


ファイル更新(これも検体は提出済み)
ttp://www■wokutonoken-online■com/blog/play■scr

ttp://www.virustotal.com/analisis/cd869d94139f243dc75604a7d2a841f8 play■scr(23/39)
ttp://www.virustotal.com/analisis/3629d30b58d2d9ca838a02d582d4a0b6 1199■exe(19/39)

カスペ、マカフィー、Microsoft等がスルー
Symantecは外側のscrには対応、中身の1199■exeはスルー <> (○口○*)さん<>sage<>09/02/11 12:50 ID:DZ2UWDKN0<> リネージュ資料室の更新情報から(追加)

swfから呼び出される本体は、圧縮かかってるので読み取れなかった。

a1■cssはカスペ、マカフィーはスルー。(マカフィーは拡張で引っ掛かる)
さて、休日なのになのやってんだかって気もしますが、検体提出してきますかね。

tp://down■erhaha2■cn/new/a1■css
tp://web■vcx2■cn/bbs/fx■htm
tp://web■vcx2■cn/bbs/../wm/fl/Ilink■htm
tp://web■vcx2■cn/bbs/../wm/fl/flink■html
tp://web■vcx2■cn/bbs/../wm/fl/./i115■swf
tp://web■vcx2■cn/bbs/../wm/fl/./i64■swf
tp://web■vcx2■cn/bbs/../wm/fl/./i47■swf
tp://web■vcx2■cn/bbs/../wm/fl/./i45■swf
tp://web■vcx2■cn/bbs/../wm/fl/./i28■swf
tp://web■vcx2■cn/bbs/../wm/fl/./i16■swf
tp://web■vcx2■cn/bbs/../wm/fl/./f115■swf
tp://web■vcx2■cn/bbs/../wm/fl/./f64■swf : 404NotFound
tp://web■vcx2■cn/bbs/../wm/fl/./f47■swf
tp://web■vcx2■cn/bbs/../wm/fl/./f45■swf
tp://web■vcx2■cn/bbs/../wm/fl/./f28■swf
tp://web■vcx2■cn/bbs/../wm/fl/./f16■swf

ttp://www.virustotal.com/analisis/2b7c383a8e7e6bc858dcfaddb892cbee a1■css(25/39) <> (○口○*)さん<>sage<>09/02/11 17:40 ID:hSrgOBcz0<> 資料室の更新状況のを今後も全部貼るつもりか?
URI自体新しい物ならともかくバイナリの差し替えレベルは
各自ひっそりやってくれんかね。 <> (○口○*)さん<>sage<>09/02/11 17:50 ID:4KAJ8gY4O<> カスペは最近だらしねえなあ <> (○口○*)さん<>sage<>09/02/11 17:59 ID:hSrgOBcz0<> そういうのは2chセキュ板でどうぞ。 <> (○口○*)さん<>sage<>09/02/11 18:37 ID:DZ2UWDKN0<> >>529
暇で気が向いた時だけ。 <> (○口○*)さん<>sage<>09/02/11 19:01 ID:hSrgOBcz0<> >>532
まぁおいらも検出スレ住人だ。
ついでにそのa1.css系、カスペで検知されると更新される。ほぼ毎日。
中国国内でのカスペのシェアが上がってきた副作用みたいなもんだろう。
んでa1.css〜a370.cssまで存在し、a1.css〜a350.cssはPackerはFSG、
a351〜a370.cssはUPX。後者は更新頻度低め。 <> (○口○*)さん<>sage<>09/02/11 22:41 ID:DZ2UWDKN0<> >>533
なるほどなるほど…と落としてみた。
 AntiVir:360-370の10検体スルー(スルーする奴を1つVirusTotalに投げてみたが、検出率良くないね)
 BitDefender:全捕捉

さて、提出、ていしゅ…13MBもあってメールで弾かれる。

7zのソリッド圧縮にしたら105KBになった。中身が殆ど一緒のファイルだけあってソリッド圧縮の効果が高いわ。
受け付けて貰えるか不明だがこれで送付。

さて、問題はファイル数制限のあるMcAfeeとSymantecなんだが、どうしようかなぁ。 <> (○口○*)さん<>sage<>09/02/12 01:17 ID:PZ7auHzD0<> ふと思い出してドメインチェックしてみたんだが……

>[Domain Name] EXSOCCER.JP
>[登録者名] ガンホー・オンライン・エンターテイメント株式会社
>[Registrant] Gungho Online Entertainment,Inc.
>[登録年月日] 2006/03/27
>[有効期限] 2009/03/31
>[状態] Active
>[最終更新] 2008/04/01 01:05:04 (JST)

>[Domain Name] RO2.JP
>[登録者名] ガンホー・オンライン・エンターテイメント株式会社
>[Registrant] Gungho Online Entertainment,Inc.
>[登録年月日] 2007/02/20
>[有効期限] 2009/02/28
>[状態] Active
>[最終更新] 2008/03/01 01:05:05 (JST)

サッカーより前にRO2のドメインが切れるっぽい。
それも今月末。

癌がやる気あるかどうかは更新状況で判るわけだが、もし失効した場合
注意する必要があるかも。 <> (○口○*)さん<>sage<>09/02/12 03:10 ID:BtJ7VSjd0<> >>534
McAfeeはWebImmuneにアップして祈るとか。 <> (○口○*)さん<>sage<>09/02/12 09:26 ID:p8Arxgz90<> >>536
いや、あっちもファイルサイズとファイル数の制限は同じ

マカフィー、提出したら2-370全スルーだった。シマンテック…ファイル41個、返事は来ないけどメールで送った。 <> (○口○*)さん<>age<>09/02/12 16:19 ID:p8Arxgz90<> マイクロソフトが2月の月例パッチ公開、IE7の修正など計4件
http://internet.watch.impress.co.jp/cda/news/2009/02/11/22406.html

昨日はWindowsUpdateの日。もう当てたかな?
わたしは、すっかり忘れてて、今からあてるw <> (○口○*)さん<>sage<>09/02/12 16:35 ID:R2XmBb/e0<> ダウンロードまで自動でやらせているので忘れることはないな <> (○口○*)さん<>sage<>09/02/14 04:47 ID:seS9/RB50<> ウイルスの集大成「PE_VIRUX.A」が感染拡大、国内で7900台
http://internet.watch.impress.co.jp/cda/news/2009/02/13/22437.html <> (○口○*)さん<>sage<>09/02/14 18:42 ID:seS9/RB50<> ttp://www■wokutonoken-online■com/JP/mpg■scr
 中身の1199■exeが更新、マカフィーがスルー。Symantecはscrはブロック、中身の1199■exeはスルー。
 既知のアドレス。出てすぐの段階でカスペ避けになっていないのは久しぶりな気がする。

ttp://bloog-aranking■com/RmtKey/
ttp://bloog-aranking■com/redstonelove/
 表向きはどこぞのBlogをiframeで呼び出して偽装。
 裏ではiframeでwww■4gameranking■com/xin/を呼び出してxia■exeを落とさせる。いつもの奴。
 bloog-aranking■comは、中韓ブロック指定のPG2が反応してた。 <> (○口○*)さん<><>09/02/15 04:40 ID:CgsfnGKC0<> あこすてんぷらが真っ白だけど・・これは垢ハクでしょうか・・
ページを開いてもソースを開いても真っ白でした

ttp://applepie■s55■xrea■com/ <> (○口○*)さん<>sage<>09/02/15 04:48 ID:bRzH9Y3z0<> >>1 <> (○口○*)さん<>sage<>09/02/15 07:46 ID:nRTqbpnM0<> 移転前のアドレス見てるってオチとかじゃないよな <> (○口○*)さん<>sage<>09/02/15 13:07 ID:e+1wkMBt0<> オチもなにも、わざとかと言いたいくらい既出ループな話題だな。

どっかの有名――だけど更新が滞ってる――サイトのリンクに
残ってるってあたりかね?

移転になってだいぶ経ってて、放置サイトが検索一位に残ってる
ってわけでもないし… <> (○口○*)さん<>sage<>09/02/15 19:36 ID:874igH0+0<> 昔のブックマークをそのまま使ってアクセスしたんでね。何にせよ、アンテナが低すぎるよ。
サイト名そのままでGoogle先生に聞いても、今は新しい方のテンプレWiki(新たに作られたので、厳密には移転では無い)が
普通に検索上位に出てくるのだし。
それに、アコプリスレのテンプレ部分や、他職Wikiからのリンクも全て新サイトに向けて張り直されている。

管理サイドがrowiki統一ドメインを取得するなど頑張っているけど、自分から情報収集する気のないユーザーには
やっぱり無力なんだなあ。 <> (○口○*)さん<>sage<>09/02/15 21:09 ID:nz3s6RWg0<> >自分から情報収集する気のないユーザーにはやっぱり無力
ナニヲイマサラ <> (○口○*)さん<>sage<>09/02/15 21:13 ID:DRk1bIQQ0<> Wikiの検体提出先を一部修正しました。 <> (○口○*)さん <>sage<>09/02/16 15:29 ID:A0aeQXGu0<> 11日頃からカスペルスキー オンライン スキャナのアップデートできない気がするんだが
みんなアップデートできる? <> (○口○*)さん<>sage<>09/02/16 23:55 ID:qgTr96XA0<> >>549
オンラインスキャナの話じゃないけど……
今日の昼過ぎくらいまでうちのPCに入れたカスペ2009がそんな感じだった
PC再起動して手動うpだてしたら回復した……謎だ <> (○口○*)さん<>sage<>09/02/17 01:55 ID:U1TAhW+6O<> カスペ最大の弱点はサーバーが弱い <> (○口○*)さん<>sage<>09/02/17 01:56 ID:RpwdhF3c0<> >>550
遅くなりましたが549です。どうやら、11日のwinUPDATEが原因みたいです。
システム復元すれば使えるようになります。システム復元できない人は、
「コントロールパネル」→「プログラムの追加と削除」からアンインストールできます。
その際、「更新プログラムの表示(D)」にチェックを入れておいてください。
でたぶん2月11日の日付がついてる「Windows XP の ActiveX Killbits に対する更新プログラム ロールアップ(KB960715)」
を削除すると使えるようになります。
不具合の原因としてはこのUPDATE内にある「software distribution service 3.0」の影響だと思います。
software distribution service 3.0で検索してみればわかりますが、いろいろ不具合が出てるので参考になればと思い書き込みました。
追記:環境はWindows XP SP3です。 <> (○口○*)さん<>sage<>09/02/17 12:31 ID:FY1QHqU70<> こないだPC変わったんでクライアントダウンロードしたんだけど
昨日マカフィーでスキャンしたらグラビティーのファイルから
トロイの木馬が検出された。まさかクライアントに仕込まれてるってことはないよね。 <> (○口○*)さん<>sage<>09/02/17 13:08 ID:GmcERzyK0<> 愛用してる某シミュレーターもsoftware distribution service 3.0のせいで
コンパイルエラーが起きるし、ひでえアップデートだなぁ <> (○口○*)さん<>sage<>09/02/17 13:34 ID:QCZuQCdJ0<> nProのファイルなら検出してもおかしくない。AntiVirも1ファイル検知するよ。
リスクウェアだと思って使うか、癌ID削除のどっちか。 <> (○口○*)さん<>sage<>09/02/17 13:35 ID:QCZuQCdJ0<> >>553
そうそう、一応ファイル名と検出名の報告を頼む。 <> (○口○*)さん<>sage<>09/02/17 17:53 ID:EfzaIFZQ0<> software distribution service 3.0と言うのはWindows Update絡みで復元ポイントに表記される名称であって、
どうやら個別のサービスを表すものではなさそうだ。
それと、今回トラブルが多く見られるのは、ActiveX KillbitによってVB6系のFlexGridコントロールが動作禁止対象に
されたことによる様子。
ttp://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=48226&forum=7
ttp://www.kotaete-net.net/Default.aspx?pgid=14&qid=24114412810 <> (○口○*)さん<>sage<>09/02/17 18:49 ID:3ApyvmpS0<> >>553です
ファイル名は rdefk.dfdってファイルでした。 <> (○口○*)さん<>sage<>09/02/17 18:54 ID:3ApyvmpS0<> 連投すいません。
検出名はGeneric!Artemisです。
一応検出後パス変更しました <> (○口○*)さん<>sage<>09/02/17 20:07 ID:QCZuQCdJ0<> >>558-559
ああ、それはnProのファイルだ。勇気を出して除外設定するか、癌ID削除かだな。
検出すること自体は正常だよ。マルウェアに使われるのと同じような手法を使ってるプログラムだからね。

ttp://www.virustotal.com/analisis/5b40b5df393c37206dbaa91d69e4abad rdefk.dfd(8/39)
ttp://www.virustotal.com/analisis/5cd52bd5b1d4e04f7ee8ce8782796a89 rdefp.dfd(4/39) <> (○口○*)さん<>sage<>09/02/18 01:16 ID:enlutZsy0<> クリップボードやショートカットの“ジャック”に注意
http://it.nikkei.co.jp/security/news/index.aspx?n=MMITzt000009022009

また広告のflash乗っ取りか。 <> (○口○*)さん<>sage<>09/02/18 01:43 ID:uhm2JeTQ0<> 普段使う環境でJavaScriptとActiveX無効にするのが正解な気がしてきた。
無論通常行うウイルス対策やアップデートは前提とした上でだが。 <> (○口○*)さん<>sage<>09/02/18 02:13 ID:Iu+yd2aR0<> 仮想PCに汚れ役を任せるのもいいんじゃないかえ? <> (○口○*)さん<>sage<>09/02/18 02:39 ID:j+Hplj1M0<> FireFox+NoScriptの組み合わせでいける

スクリプト以外のセキュリティホール対策まで無理矢理組み込むほど
精力的にアップデートしてる感じも

ただ重い <> (○口○*)さん<>sage<>09/02/18 15:12 ID:bbXze3ak0<> ホストodnがうちのページに粘着してきてるんだけど
したらばで規制ってどうすればいいの
あとこのodnって通報してodnに規制してもらうことできないのかな
さすがにウィルス貼るのはご法度でしょう? <> (○口○*)さん<>sage<>09/02/18 15:25 ID:oBomMl100<> 日本語でおk <> (○口○*)さん<>sage<>09/02/18 15:27 ID:g2yHjVLm0<> >>565
つーか、スレ違いむしろ板違い <> (○口○*)さん<>sage<>09/02/18 15:45 ID:enlutZsy0<> 管理メニューの規制ホストとNGワードにぶちこんでおけ。
今のところ、うちのとこは爆撃されてないが、面倒くさいので最初っから「■scr」を禁止ワードにしてるな。
投稿規制の「リンク (http://) を含む投稿を許可する」のチェックを外しておくのも効果的。

あと、既出のアドレスじゃなかったら、「.を■に置き換えて」アドレス報告もよろしく。 <> (○口○*)さん<>sage<>09/02/18 15:45 ID:enlutZsy0<> ここも「■scr」は禁止ワードだったらしい(苦笑) <> (○口○*)さん<>sage<>09/02/18 20:45 ID:0C+Z+6ua0<> >>568
したらばは先日■scrを共通NGワードにしてたぞ。
したらば共通NGワード追加のお知らせ
http://blog.livedoor.jp/bbsnews/archives/50750265.html

■pifはまだみたいだからそっちを入れておいたほうがいい。 <> (○口○*)さん<>sage<>09/02/20 11:23 ID:6XAeaPpF0<> 携帯アプリも隙を突かれると危ないという事例が出てしまった

正規の証明書で増殖:正規アプリになった携帯ウイルス出現
http://www.itmedia.co.jp/news/articles/0902/20/news028.html <> (○口○*)さん<>sage<>09/02/20 11:46 ID:0hLoZR020<> 携帯アプリに関しては、利用者の無知と無警戒のせいで
ウイルスに感染しても報告があがりにくいってのも
ありそうだな。 <> (○口○*)さん<>sage<>09/02/20 13:09 ID:3T98kOl70<> これに関しては、日本のガラパゴスな携帯市場が逆に防壁になっているかもね。
特に、勝手アプリの余地が無いに等しいauキャリアはある意味安心だ。 <> (○口○*)さん<>sage<>09/02/20 17:05 ID:hRpyljRG0<> Adobe Reader/Acrobatに新たな脆弱性、Adobeがアドバイザリを公開
ttp://internet.watch.impress.co.jp/cda/news/2009/02/20/22518.html

既に中華ツールキットに組み込まれゼロデイ攻撃発生中だけど
パッチ提供は来月11日。ゆっくりしていってね!

2月の月例パッチ「MS09-002」の脆弱性を狙う攻撃が早くも登場
ttp://internet.watch.impress.co.jp/cda/news/2009/02/18/22480.html

こちらはパッチ済み。 <> (○口○*)さん<>sage<>09/02/20 17:44 ID:8SNuTy4/0<> 乱文失礼します。
http://romi■chu■jp/

カードのこと調べてて検索に引っかかったコスプレイヤーさんのブログにて
新しいカード実装したって内容の記事で最後に

>http://romi■chu■jp/
>↑のサイトですでにカード情報と絵柄(一部)が公開されています。
>気になる人はチェックwww

って書いてあってブログ自体普通のブログな感じでブログ主の張ったurlだったんで
何も考えずクリックしてしまい、ひらいたら異常に重くてRO関係ないサイトでした。
垢ハクとかの危険ってあるんでしょうか? <> (○口○*)さん<>sage<>09/02/20 17:45 ID:hRpyljRG0<> >>1
■ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ■ <> (○口○*)さん<>sage<>09/02/20 18:09 ID:8214ZymG0<> 勇気がなくて踏めない人のための鑑定スレPart19
http://pc11.2ch.net/test/read.cgi/hack/1230787611/ <> (○口○*)さん<>sage<>09/02/20 18:09 ID:rrpFgmei0<> >>575
URL自体について調査
元々は「らぐみみ」っていうROの情報サイトだったけど昨年6月頃閉鎖。
"chu.jp"はレンタルサーバ、ロリポップで提供されているサブドメイン。

おそらく、らぐみみの閉鎖・レンタルサーバ契約解除後に第三者が同名で契約したんだろう。
ドメインのドロップキャッチと同じような感じ。
そのブログは、記事が最近のでなければブログ主に悪意はないと思われる。

で、肝心の垢ハク疑惑だがこれはパス。 <> 575<>sage<>09/02/20 18:23 ID:0eLxCpwSO<> 携帯から失礼します。

>>576-577
指摘&誘導ありがとうございます。
ですが、勇気とか関係なしにもう踏んじゃってるので誘導先ではお世話になれないと思いますorz

>>578
ありがとうございます。
ロリポのドメインだったんですか(''
一応今ウイルススキャンしてる最中なんですが、記事が2007年10月12日のものだったので>>578さんの言う通りかもしれません。
少し安心出来ました。
ありがとうございました。 <> (○口○*)さん<>sage<>09/02/20 18:31 ID:8214ZymG0<> 自分で確認する方法としては、テンプレにあるソースチェッカーオンラインなどで不審な呼び出しがないか確認する。
・iframeの呼び出しが主に用いられる。
・Javaスクリプト等で危険サイトの呼び出しが行われるケースもある。
・呼び出されているサイトが中国かどうか確認する。whoisとかIPひろばなどのサイトを利用するとよい。

大雑把にはこの程度で判別できると思う。今回の>575に関しては不審な箇所は見当たらなかったけどね。 <> (○口○*)さん<>sage<>09/02/20 18:32 ID:gFeyK5yL0<> >勇気とか関係なしにもう踏んじゃってるので誘導先ではお世話になれないと思いますorz

その理由が通るなら>>1いらなくなるだろ <> 575<>sage<>09/02/20 18:53 ID:0eLxCpwSO<> >>580
何度もありがとうございます。
垢ハクの対策とか無知な点が多いのでスキャン終わったらテンプレ先のサイトさんとかで調べてみようと思います。
不審な箇所は見当たらないと言っていただけて心強いです。
ありがとうございました。


>>581
不快に思われたのならすみませんでした。
私が変に解釈してしまったのかもしれないんですが、
まだURL踏んでない状態での質問ではなく、>>757は踏んでしまった状態での質問で
自分が怖くて踏めないURLを他人に踏ませるなんて失礼な事してるつもりはなかったので
お世話になれないと思うと書かせてもらいました。
すみませんでした。 <> (○口○*)さん<>sage<>09/02/20 19:52 ID:8214ZymG0<> >まだURL踏んでない状態での質問ではなく、>>757は踏んでしまった状態での質問で
>自分が怖くて踏めないURLを他人に踏ませるなんて失礼な事してるつもりはなかったので

アカハックを踏んだであろう理由がいい加減だと、よく判らないけど鑑定してもらおうってのと
同じことになっちゃうんですよ。「不審だった理由が、不審だと思ってしかるべき」場合には
優しく相談に乗ってもらえると思います。

今回は、重かった、関係無いサイトだったというだけなので、調べるのはちょっとなーと思った人が
多かったのでしょう。 <> 575<>sage<>09/02/20 20:32 ID:0eLxCpwSO<> >>583
なるほど。
丁寧に説明ありがとうございます。
次からはもう少し考えてから書き込みしようと思います。
ご迷惑おかけしてすみません。
ありがとうございました。 <> (○口○*)さん<><>09/02/21 01:06 ID:QaCp/IPO0<> 今日垢ハックにあって、一応ガンホーには報告したんですが、警察にも報告したほうがいいですか?
警察に報告する場合、どこに連絡すればいいんでしょうか?
それと、もし装備・Zenyが戻ってくる場合はどのくらいかかるんでしょうか? <> (○口○*)さん<>sage<>09/02/21 01:14 ID:n1z3rMhD0<> >>585
>>2 <> (○口○*)さん<>sage<>09/02/21 01:48 ID:mfbS7Gey0<> >>585
>2の公式へのリンクを読め。警察への報告必須。

警察経由でISPの情報確認終わってから数ヶ月〜半年らしい。 <> (○口○*)さん<>sage<>09/02/21 07:32 ID:hOmss5KXO<> いい加減にゅ缶のアカハクスレ建て直そうぜ
誰だよ統合しようなんて言った奴。スレチ湧き過ぎな上に誘導先すらねえ <> (○口○*)さん<>sage<>09/02/21 08:44 ID:mXAlKQjM0<> ご自分でどうぞ <> (○口○*)さん<>sage<>09/02/21 09:28 ID:mfbS7Gey0<> >>588の方がスレ違いかと。 <> まとめ臨時 ◆kJfhJwdLoM<>sage<>09/02/22 01:22 ID:36HQkK9G0<> hostsリストのリンクページにある■変換したリストを削除しました。

理由としては自動取得スクリプトではテキストのURLを参照しに行く設定ですし
一番下まで追加した分を見に行くならテキストのほうでも同じだなあと。

とりあえず追加するリストを下までスクロールさせるのはめんどくさいと思いますんで
記述方法を変えようかと思ってます。 <> まとめ臨時 ◆kJfhJwdLoM<>sage<>09/02/22 01:44 ID:36HQkK9G0<> 追加分はリストの上のほうに積んでいくように書き換えました。
溜まったら適当な時期に整理する方向で。 <> (○口○*)さん<>sage<>09/02/22 15:55 ID:PaNM2gPxO<> お疲れ様です <> (○口○*)さん<>sage<>09/02/23 12:31 ID:J74Rxv560<> 削除対象スレッドより。もろに中国のサイトです。

>1 おコメ qcazuomm@yahoo.co.jp 09/02/23 12:13 ID:+2JaL1LQ0
>お世話になっております。 marvellousgame です。
>この度全鯖のアデナをご用意しました。
>以下、相場と在庫状況です。
>全鯖1 M で 280 円激安販売 <2009年02月20日--2009年03月01日>
>購入希望の方はメールにてご連絡ください。
>詳しい事はメールにて相談って事でよろしくです。
>取引希望連絡の際は以下のフォーマットをご使用頂けると便利です。
>ttp://www■gameicity■com/

呼び出されるページは
ttp://www■playenline■com/l2■htm
ttp://www■playenline■com/r

l2■htmは、チートツール販売に見せ掛けた偽装かな?
/r の方は、アカハック落とす奴ですね。 <> (○口○*)さん<>sage<>09/02/23 12:58 ID:J74Rxv560<> 最終的に落ちてくる http://www■gameicity■com/r/1■css は2/20 19:19作成
Avast以外は軒並み検知ってとこかな。

ttp://www.virustotal.com/analisis/17ab849f659b8c1bce789f4cad7000c8 (9/39) 2/21 21:00頃
 ↓
ttp://www.virustotal.com/analisis/2adb9c2223c5c6c9edd0d21c2181cb24 (17/39) 2/23 13:00頃 <> (○口○*)さん<>sage<>09/02/23 13:06 ID:zVnv6V9Z0<> Bitたんも… <> (○口○*)さん<>sage<>09/02/23 13:43 ID:J74Rxv560<> ああ、そういや、BitDefenderが対応したらnProにも反映される可能性があるんだっけねぇ。
検体は提出してあるから、近いうちに対応されるんじゃないかな > 他のベンダー <> (○口○*)さん<>sage<>09/02/23 14:45 ID:5tzpmOh50<> ITproにこんな連載があったのか。

検証ラボ(一番上にウイルスの記事)
http://itpro.nikkeibp.co.jp/article/COLUMN/20080402/297763/ <> (○口○*)さん<>sage<>09/02/23 18:11 ID:UfYidQBK0<> ここって個人サイトに貼られた怪しいURLも投下して良いんだろうか?
ここの人みたいにリンク辿ったりできないので>>576みたいなレスが返される予感がするけども・・・
ちなみに該当アドレスは一切ふんでません

書き込みホスト:ntoska355087.oska.nt.ftth4.ppp.infoweb.ne.jp
書き込み内容(h抜きと■変換処理済み):
一晩の逢瀬で謝礼10万円と夢のようなアルバイトに参加してくれる男性を募集
ttp://ok■bnv039qgh■cn/

>>598
ありますな、あくまで代表的な挙動だから
表記そのまま鵜呑みにする初心者だとあてにならないけども・・・ <> (○口○*)さん<>sage<>09/02/23 18:46 ID:5tzpmOh50<> いや>>1ですよ。
それに、ROと無関係のものを貼られても。 <> (○口○*)さん<>sage<>09/02/23 19:05 ID:J74Rxv560<> >>599
貼られた場所はMMOBBSに限らず、2chや他ゲームのWiki、SNS、blogなど場所は問わない。
但し、扱う内容は、アカハック関係+セキュリティ関係に限る。

確認したけど、そこアダルト系のアフィサイトっぽいから対象範囲外かと。
ただのBBSだかblogへのspamじゃないかな。 <> (○口○*)さん<>sage<>09/02/23 19:09 ID:J74Rxv560<> >>594
カスペ対応状況。全検出ok

既知の分
1■css - Trojan.Win32.Inject.pbk,
ff■swf, ie.swf - Trojan-Downloader.SWF.Small.dj,
fx■htm_ - Trojan-Downloader.JS.SWFlash.j,
Ms06014■htm_ - Trojan-Downloader.JS.Psyme.anc,
no■htm_ - Trojan-Downloader.JS.Agent.dlv,
off■htm_ - Trojan-Downloader.JS.Small.mr,
r■htm_ - Trojan-Downloader.JS.Iframe.agl,
real■htm_ - Exploit.JS.Agent.aay,
ss■htm_ - Exploit.JS.XMLPars.v

無害
l2■htm_

新規対応分
www■gameicity■com■htm_ - Trojan-Downloader.JS.Agent.dqw <> (○口○*)さん<>sage<>09/02/23 19:11 ID:UfYidQBK0<> >>601
ありがとう、cnドメインだったからつい・・・
たいていアダルトとかRMT関係のスパムが多いんだけど
今度はもうちょっと勉強してからにしてみる、扱う内容については把握した! <> (○口○*)さん<><>09/02/25 06:44 ID:7JsMfo9K0<> KB967715の公開age
ttp://www.microsoft.com/japan/technet/security/advisory/967940.mspx
>マイクロソフトは、お客様のシステムを保護された状態に保つために機能を修正した更新プログラムが利用可能になったことをお知らせします。
>この更新プログラムは NoDriveTypeAutoRun のレジストリ キーが想定通りに機能しないという問題を修正します。 <> (○口○*)さん<><>09/02/25 13:51 ID:cgneYGwQ0<> この前surtでゴスリンC売る300Mって怪しい日本語で
スパムして赤エモ出してたやついたが

まさかあれって中華ハッカーってやつなのか <> (○口○*)さん<>sage<>09/02/25 14:09 ID:pIqQL1Oh0<> >>604
定例じゃないのがきたなーと思ってチェックしたら4つも当たったわ。 <> (○口○*)さん<>age<>09/02/25 15:49 ID:pIqQL1Oh0<> Flash Playerに危険度の高い脆弱性、対策済みの新バージョン公開
http://internet.watch.impress.co.jp/cda/news/2009/02/25/22574.html
>アドビシステムズは24日、Flash Playerに発見された脆弱性を修正した新バージョン「Flash Player 10.0.22.87」を公開した。

>脆弱性はFlash Playerのバージョン10.0.12.36以前(Linux版では10.0.15.3以前)に存在する。
>ユーザーが悪意のあるSWFファイルを閲覧した場合、システムが外部から制御される恐れのある、
>危険度の高い脆弱性とされている。 <> (○口○*)さん<>sage<>09/02/26 01:29 ID:ONffilf40<> 今回のWindowsの更新をインストールして再起動したら、
なんか起動時にUSBポートが認識されなくなったみたいなんだがこれ俺だけ?
USBマウスもUSBキーボードも反応しなかった
いっぺん抜いて刺しなおしたら認識したけど

これからも再起動の度にマウスとキーボードを抜き差ししないといけないのだろうか <> (○口○*)さん<>sage<>09/02/26 07:49 ID:1weHGr4sO<> 俺は何ともないけど <> (○口○*)さん<>sage<>09/02/26 08:04 ID:I2+f940N0<> 最近増加傾向にある短縮URIを使ったリダイレクトに、この手合いでは対抗できないかな。

Google App Engine Oilを使って、リダイレクト先URLを複数まとめてJSON(P)で返すAPIを作った
ttp://python.g.hatena.ne.jp/edvakf/20090218/1234945800

他には、Greasemonkeyスクリプトでデコードする方法などもあるけど。 <> (○口○*)さん<>sage<>09/02/26 09:17 ID:ONffilf40<> うん
もう一度再起動してみたら最初から普通に認識してた

何だったんだあの現象 <> (○口○*)さん<>sage<>09/02/26 19:43 ID:SuQ0UZHZ0<> USBキーボードとかマウスが起動時に認識しなくなるのは、たまーにある

どっちに原因があるのかは知らないが電源投入時にうまく認識出来ないようだ <> (○口○*)さん<>sage<>09/02/27 03:15 ID:x5T8sD250<> >物質スレ867
誘導されているので、回答はこちらで。

|867 (○口○*)さん sage 09/02/27 02:53 ID:hZbCFj+G0
|RO 砦情報で検索した結果の候補の中の
|Forsety wiki-砦情報というサイトの中のMENUの砦情報のリンクを
|見たところ、怪しかったのですぐに見るのをやめてaguse.というサイトで
|調べたんですが、特に異常は見られなかったのですが、aguse.の中で表示された
|そのサイトの内容が明らかに怪しかったので、どう判断すればいいのか分かりません。

|どなかた詳しい方教えてください。

はい、既知のアカハックサイトにリンクが書き換えられていますね。
踏んでしまったのなら、OS再インストールコースです。

ttp://www■bluewoon■com/Blog/ <> (○口○*)さん<>sage<>09/02/27 03:16 ID:hZbCFj+G0<> 【      気付いた日時          】 2/27 AM2
【不審なアドレスのクリックの有無 】 Forsety wiki-砦情報 ttp://www■bluewoon■com/Blog
【他人にID/Passを教えた事の有無】 NO
【他人が貴方のPCを使う可能性の有無】 NO
【    ツールの使用の有無      】 NO
【  ネットカフェの利用の有無    】 YES
【     OS    】 Windows XP
【使用ブラウザ 】 InternetExploere
【WindowsUpdateの有無】 明確には憶えていませんが、2週間以内
【 アンチウイルスソフト 】 現在は一切使用していません。
【その他のSecurty対策 】 ルーターは使っています。
【 ウイルススキャン結果】 トレンド フレックス セキュリティ オンラインスキャンでは検出されませんでした。
現在カスペルスキーで念の為調べている段階ですが、感染オブジェクト2って出てるので感染してるかもしれません。
【スレログやテンプレを読んだか】 全部はまだ読み終えてませんが、一部読みました。
【hostsファイルの変更】不明 たぶん無
【PeerGuardian2の導入】不明
【説明】
RO 砦情報で検索した結果の候補の中の
Forsety wiki-砦情報というサイトの中のMENUの砦情報のリンクを
見たところ、怪しかったのですぐに見るのをやめてaguse.というサイトで
調べたんですが、特に異常は見られなかったのですが、aguse.の中で表示された
そのサイトの内容が明らかに怪しかったので、どう判断すればいいのか分かりません。

別の質問スレで質問をしたところ、こちらに誘導されたのでこちらで質問させていただきました。
自分でもどう判断していいのか分からないのでよろしくお願いします。 <> (○口○*)さん<>sage<>09/02/27 03:18 ID:hZbCFj+G0<> >>613
丁度書き込みをしていました。
やはり垢ハクサイトでしたか。

とりあえず別のPCからガンホーIDのパスワードの変更だけ行ったところなんですが
他に何かやったほうがよいことはありますか? <> (○口○*)さん<>sage<>09/02/27 03:34 ID:x5T8sD250<> リンク先のhtmlは一見文字化けに見えるようになってるので実際に落とされる本体がなにかは不明。
ttp://www.virustotal.com/analisis/a65ca1b051dc6995011c10f0e3313c4b Blog.htm(12/39)

セキュリティソフトが、このサイト(www■bluewoon■com/Blog/)に接続しようとした時にブロックして
いなければ、このhtmlから呼び出されるなにかのマルウェアが取り込まれています。
発動しているのか、スタートアップに登録されただけで次の再起動まで活動しないのかは不明です。

該当リンクを踏んだ後に、ログインしてしまった
→早急に安全な環境からパスワードを変更して、最低限のデータのバックアップをとって、その後OSの再インストール

該当リンクを踏んだ後、ログインしていない
→最低限のバックアップをとってからOS再インストール <> (○口○*)さん<>sage<>09/02/27 03:38 ID:x5T8sD250<> >>615
それでしたら、最低限のデータのバックアップをとってから、OSの入れなおしコース。

1.データのバックアップ。メールやISPの接続設定なども忘れずに控えておく。忘れ易いのはIMEのユーザー辞書。

2.別PCが用意できるなら、SP+メーカー等のツールを利用してSP適用済み(WindowsUpdate適用済み)の
  OSイメージを作ってDVDに焼いて、それを利用してOS再インストールを開始。

3.再インストールを行なう。
  OS→WindowsUpdate→セキュリティソフト→アプリとデータ復旧 <> (○口○*)さん<>sage<>09/02/27 03:41 ID:hZbCFj+G0<> 丁度ROを起動したままの状態で、そのURLを踏んでしまった状態でした。

とりあえず、別のPCからガンホーIDのパスワードだけ変更しておきました。
今は別のPCからログインして装備などを念の為友人に預ける作業をしています。

↑の皆さんのやり方を参考にしてOS再インストールしたいと思います。 <> (○口○*)さん<>sage<>09/02/27 06:01 ID:hZbCFj+G0<> PC購入時についていた、ユーザーマニュアルを見ながら
ハードディスクをご購入時の状態に戻して再セットアップする という
項目の作業をしました。
これでOS再インストールできたかどうか不安なんですが大丈夫でしょうか。 <> (○口○*)さん<>sage<>09/02/27 10:17 ID:x5T8sD250<> >>619
おk。あとはWindowsUpdateの適用とセキュリティソフトの導入。
PG2を入れて中国・韓国あたりをブロックしておくと不用意に踏んでも該当サイトに繋がらないので更に安心。 <> (○口○*)さん<>sage<>09/02/27 10:26 ID:6k04KFkg0<> MS、Autorunを正しく無効化するための更新プログラムを公開
ttp://internet.watch.impress.co.jp/cda/news/2009/02/26/22598.html

手動でKB953252を当てている場合は必要なし(自動更新用の再リリース)。
これを当てたら無効化するのではなく、レジストリキーを設定しても想定通りに
機能しない問題を解消するためのパッチ。 <> (○口○*)さん<>sage<>09/02/27 11:21 ID:hZbCFj+G0<> >>620

ありがとうございます。
OS再インストールしたら、3ヶ月限定?のウイルスバスター2008がまた復活したので
それを使おうと思います。 <> (○口○*)さん<>sage<>09/02/27 12:15 ID:PU8oXD6S0<> 有料のノートン先生とかカスペル入れてみたら?
最新のウイルス以外なら大抵ブロックしてくれるから便利だよ。
ウイルスバスターでもいいけどノートンとかカスペルの方が信頼できるんだよネ <> (○口○*)さん<>sage<>09/02/27 12:23 ID:x5T8sD250<> >>622
バスター2008は鯖缶地獄にはまるので、2009に無償アップデートするか、他のセキュリティソフトを推奨。

>>623
いや、ノートンはかなりましになったけど、お薦めできるレベルにはまだまだだと思うぞ。 <> (○口○*)さん<>sage<>09/02/27 12:55 ID:ICkFeU900<> >>624
じゃあ何がおすすめなんだい?
君の考えを聞きたい。 <> (○口○*)さん<>sage<>09/02/27 13:19 ID:v5IR4rtH0<> >>624
昨年からずっとノートン先生だが、何の問題もないよ?
バスターが、PCバスターと化したんで乗り換えたんだけど。 <> (○口○*)さん<>sage<>09/02/27 13:39 ID:x5T8sD250<> >>625
目的とPCスペックによる。

検出率ならAntiVirかカスペだし、軽さで言えばESS(NOD32)だし。フリーで日本語が前提ならAVGかAvastだし。
シングルコアCPUならAvastは除外しないといけないし、重いのが嫌ならカスペは除外の方向だし…。

>>626
いや、問題があるとは言ってない。これは勧められるというポイントがないだけで。

確かに今年に入ってからは体制が変わったのか、新種への対応がかなり速くなってはいる。
(今までのマイナスポイントが±0になった程度)
でも、やっぱりカスペやAntiVirの対応速度には敵わないので、お薦めポイントになる程じゃない。 <> (○口○*)さん<>sage<>09/02/27 13:47 ID:+xvFVMVE0<> つか今の有料のウイルス対策ソフトってろくなもんないでしょ
無料のが検出力高くて安心
そんな私はBitDefenderユーザーです <> (○口○*)さん<>sage<>09/02/27 14:21 ID:6k04KFkg0<> >お薦めできるレベルにはまだまだ

>勧められるというポイントがない

おーい、話が違うぞ。 <> (○口○*)さん<>sage<>09/02/27 14:59 ID:x5T8sD250<> >>629
違ってないぞ。

総合的な評価が±0で、突出したお薦めポイントが1つもないなら、お薦めできるレベルではないだろ。
悪くないってのは、お薦めできるものとは言わないと思うんだがな。

マイナス点が無ければお薦めだと思うのならそら、あんたの勝手だが。 <> (○口○*)さん<>sage<>09/02/27 15:22 ID:Rq1YKW/O0<> >>630
「自分はお勧めしない」は構わないんだけど、悪くないモノだと認めながらも
他人の紹介にケチつけてる風だから噛みつかれてるんだと思うぞ。

そもそも>>623はお勧めじゃなくて無難どころの紹介に見える。 <> (○口○*)さん<>sage<>09/02/27 15:34 ID:6k04KFkg0<> 持論を絶対的なものとして主張するのは勝手だが…、
ま、こっちは責任取りたくないのでおすすめとか提示しないから
「何も知らないくせにプギャー」とか言ってくれればいいのサ。

ちなみに自分が使っているのはISP提供のセキュリティパックで、
中身はカスペ。ISP料金に合算されるし管理楽だわ。 <> (○口○*)さん<>sage<>09/02/27 15:35 ID:CGTxc7g90<> いいなぁ
どこのプロバイダ? <> (○口○*)さん<>sage<>09/02/27 15:50 ID:x5T8sD250<> >>631
私はAntiVir使ってるし、お薦めできるものだとは思ってるけど、万人にお薦めできる訳じゃないしな。

>>633
いろんなとこでやってないか?

JCN系列のうちのISPはF-Secureだな。ROと干渉して重力エラー出たので使ってないけど。
暫く前はMcAfeeのだったな。@NIFTYの常時安心セキュリティがSymantecとカスペの複合だっけ。
フレッツ光の奴はどこの使ってたんだっけか。探せば結構あると思うぞ。 <> (○口○*)さん<>sage<>09/02/27 16:18 ID:6k04KFkg0<> >>632
@nifty。
光会員なら月\420で、それ以外と他プロバイダなら\525(nifのID取得は無料)。
http://www.nifty.com/sec24/

ライセンスは3台だけれど、実際は「同時接続が3台」なので、個人で複数PC
持ちにはいいかもしれない。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail.php?qid=1214043077

変わったところとして、セキュリティーセンター経由のアクセスが可能。
この場合、センターまでVPNを張るのでパケット横取りされなくなるメリットあり。
セキュアの代償として普通のサイトでも繋がらない事があるので、普段は切っておく。

内容を考えるとかなり安いんじゃないかなあ?長々すまん。 <> (○口○*)さん<>sage<>09/02/27 16:19 ID:6k04KFkg0<> アンカー間違えたorz >>633宛 <> (○口○*)さん<>sage<>09/02/27 16:23 ID:CGTxc7g90<> つい2年前にasahi-netに入会した時に果たしてそんなサービスあったっけ…
今ならあるのかなぁ <> (○口○*)さん<>sage<>09/02/27 16:25 ID:x5T8sD250<> >>637
あるよ
https://asahi-net.jp/service/security/mcafee.html <> (○口○*)さん<>sage<>09/02/27 16:43 ID:eMPaeu8X0<> 常時安全セキュリティ24の、この機能は個人的に高評価を付けたい。
ttp://www.nifty.com/sec24/aftercare/
>ウイルス検出情報をメールや電話でお知らせ
>@niftyセキュリティセンターにてウイルスによる振る舞いを検知した場合、ウイルスに感染している可能性が
>あるお客様に、警告・対処方法をメールでお知らせします。しばらくしても検知され続ける場合は、@nifty
>カスタマーサービスデスクから電話でお知らせすることがあります。

botnetに組み込まれて踏み台にされているような状態に対して、ISP側からアラートを発する事が出来るのは大きい。
こういったソリューションは、他のISPも見習って欲しいものだ。 <> (○口○*)さん<>sage<>09/02/28 03:17 ID:AVIK707M0<> ただ、
その手の機能が充実すればするほど

油断して無防備になるというのも事実でなぁ <> (○口○*)さん<>sage<>09/02/28 03:20 ID:ODqFnWTG0<> 他人への感染より、活動の方に重きがあるからなぁ。
しかも深刻な方向で。 <> (○口○*)さん<>sage<>09/02/28 04:11 ID:26yaBLwT0<> スレの流と違うけど教えて下さい。

例えばコンピューターウィルスに関する世界的な公的団体を一つ創る。
その団体だけに検体を送れば、
後は各ワクチンソフト会社がその団体から検体を受け取って対応する。

こういう仕組みは出来ないんでしょうか?

新種ウィルスが出る度に、沢山あるワクチンソフトベンダーへ
検体を送るのは、ユーザーとしては非常に大変だと思うのですが。 <> (○口○*)さん<>sage<>09/02/28 04:20 ID:ODqFnWTG0<> 団体を作るって事は、そこにぶら下がるメーカーが協賛しないとだめですね。
検体を複数箇所に送りつける、という面倒さが無くなる以上のメリットは、
わざわざ団体を作ることのデメリットに勝るでしょうか? <> (○口○*)さん<>sage<>09/02/28 05:16 ID:rwuzHv440<> >>642
どこも似たり寄ったりの性能+対応速度なら
いろんな会社が競合する意味がそもそもなくないかい?
合併して結局は公的団体と同一化、もしくは開発会社という名の1社になるはずだ
そうするとそれぞれあった特色も消え失せ、競合が居なくなるゆえに怠惰になり
「発展は競争によってもたらされる」原則が消え失せることになるな
軽さなら、対応の早さなら、このジャンルのウイルスについてのノウハウなら、値段なら
提供者の利便性のために持ち味を均一化してしまうデメリットはどう考えるかね? <> (○口○*)さん<>sage<>09/02/28 15:56 ID:4QNKvhMk0<> >>642
VirusTotalに投げると、基本的にそのファイルは各ベンダーに提出される。
直接、ベンダーの窓口に投げたほうが対応が早いけど。 <> (○口○*)さん<>sage<>09/02/28 21:13 ID:la3iIpfH0<> 先日はこのスレの方のおかげで落ち着いて対処出来ました。
ありがとうございます。

心配性なので質問なんですが、「OS再インストール」と「ハードディスクをご購入時の状態に戻して再セットアップする」
は似てるけどちょっと違うって友人に言われたのですが、↑の方々はOS再インストールをするべきって書いてるんですが
後者のほうでも大丈夫なのでしょうか?

それと別PCからガンホーIDのパスワードを変更したんですが、回線が同じだと意味がないかもしれないって
言われたんですが、大丈夫でしょうか。

質問ばかりですいません。まだ日があまり経ってないので色々と不安です。
よろしくお願いします。 <> (○口○*)さん<>sage<>09/02/28 21:48 ID:4QNKvhMk0<> >>646
>後者のほうでも大丈夫なのでしょうか?
大丈夫。

・(フォーマットを伴わない)OS再インストールでは、データは残っている
・リカバリと呼ばれる、ハードディスクを購入時の〜だと、フォーマットした時と同じくデータも全て消える

OS再インストールだと、再インストールで自動実行されないところにマルウェアが残っていて(発動させなければ無害)
うっかり実行してしまうと感染という可能性が残る。後者のリカバリを行なった場合、まっさらなので、改めて踏まない
限りは無害な状態。

前者のOS再インストールでも、OS起動時にはクリーンな状態なので、マルウェアは発動しておらず、
セキュリティソフトの動作をマルウェアが阻害することがない。そのため、OS再インストールで消えていない
領域のファイルにマルウェアが感染していても、セキュリティソフトでの除去が行なえることになる。

>それと別PCからガンホーIDのパスワードを変更したんですが、回線が同じだと意味がないかもしれないって
>言われたんですが、大丈夫でしょうか。

別PCが安全な環境(感染していないPC)の場合、回線が同じでも問題無い。

同じネットワーク上のPCは、ファイル共有などを経由して感染が広がっている可能性があるので危ないとでも
言っていたのかもしれないが、感染していない別PCからのパスワード変更に不安を抱く必要はありません。 <> (○口○*)さん<>sage<>09/02/28 22:13 ID:la3iIpfH0<> >>647さん

回答ありがとうございます。
不安ばっかりだったので凄く安心しました。

先日アドバイスしてくださった方もありがとうございます。
それでは失礼します。 <> 642<>sage<>09/03/01 03:31 ID:kxZnpJhF0<> >>643-645
お答えいただきありがとうございます。<(_ _)> <> (○口○*)さん<>sage<>09/03/01 16:01 ID:WvovWrX30<> >>461が776絵板に貼られてた
まだ生きてるんだな <> (○口○*)さん<>sage<>09/03/02 15:26 ID:uj7ah19L0<> fc2ブログを使っている者です。
4日程遠出していて先ほど帰宅したときに不審なURLが書き込まれているのを発見したので報告します。
25日と1日に垢ハックURLがブログのコメントに書き込まれてました。
現在削除済みです。
ブログ持ちの方は下記の物を禁止ワード等に設定してください
念のため一部伏せています
尚書き込みは全てodnでした。

25日の書き込み
------------------------------------------------------------------
ホスト:**************.ppp11.odn.ad.jp
商人の装備品
商人の「商人の装備品」を更新。
「頭装備」について新頭装備も含めて比較しました。
 商人のデータに分類されていますが防具はBS?アルケミには
共通の内容ですのでBS?アルケミがメインの方も是非ご覧ください。
www■bluewoon■com/Blog/
----------------------------------------------------------------------
1日の書き込み
----------------------------------------------------------------------
ホスト:******************.ppp11.odn.ad.jp
販売 +4錐
相談、交渉可能ですキャラの情報の詳細、また質問のある方はURLをお願い
取引希望場所プロンテラ中央噴水北周辺
◆ttp://www.◆luewoon.com/f◆ash◆5849
------------------------------------------------------------------------ <> (○口○*)さん<>sage<>09/03/02 15:30 ID:qkLTMyd30<> >>651
>>4
二つめのURLの伏せ方おかしくない? <> (○口○*)さん<>sage<>09/03/02 15:40 ID:m4oiSFTe0<> bluewoon自体、散々既出 <> (○口○*)さん<>sage<>09/03/03 00:35 ID:NSbAJu3u0<> どうせいつものホストだろ <> (○口○*)さん<>sage<>09/03/03 09:01 ID:CYs83X2+0<> 笑えるくらいODNしかないんだよな <> (○口○*)さん<>sage<>09/03/03 23:03 ID:cBmtHj5q0<> mixiのハック垢で投稿

【RO】Nのガンスリでアビス3FのPT狩り〜(ゆっくり声で実況風...
ttp://www★amazeons★com/20090301/PraXd5PFspm1Zdy2★zip


中にexeファイルが入っているが解凍はできなかった <> (○口○*)さん<>sage<>09/03/03 23:09 ID:j+ORWPf+0<> >>656
ttp://www.virustotal.com/analisis/2374d15694967039d3fa681df5144779
(1/39)

Fortinet:W32/Magania.A!tr <> 656<>sage<>09/03/03 23:09 ID:cBmtHj5q0<> VT
ttp://www.virustotal.com/jp/analisis/2374d15694967039d3fa681df5144779
Fortinet 3.117.0.0 2009.03.03 W32/Magania.A!tr
ほか未検出

ファイルが壊れているのかどうかは分からない。 <> (○口○*)さん<>sage<>09/03/03 23:34 ID:j+ORWPf+0<> ファイル壊れてるね。
IZArcというソフトで覗くとファイルサイズ46,592(格納サイズ44,103)なのに、落ちてくるファイルが32KBしかない。
壊れてて動かしようがないから、検体提出しなくてもいいかも。 <> (○口○*)さん<>sage<>09/03/03 23:40 ID:j+ORWPf+0<> 無理矢理取り出した結果。後ろが切れてるのかな。
ZIP段階より検出数上がってるので、それっぽい特徴はあるんだろうね。動くかは知らんけど。
気がついたらファイル修復するだろうし、危険物で、>>656の報告アドレスが危険URLってことは
確定と思っていいかもしれない。中国のサイトみたいだし。

ttp://www.virustotal.com/analisis/1881010033d457b2c4a4060ef99c1361
PraXd5PFspm1Zdy2.exe(7/39) <> (○口○*)さん<>sage<>09/03/04 00:30 ID:3vxuIqUs0<> mixiの報告が気になったのでちょろっと確認してみました。
最近上がってた報告分。

ttp://www■pitmedas■com/tflash/9c82c7fb76a7160b1c1bd6b909b970391a2edcab■zip
ttp://www■youturebe■com/watch/azB001JBOIQ6■zip
ttp://www■cyokinde■com/~roten/4b3e8d9c0o7a1p5n6i0g7m■zip

9c82c7fb76a7160b1c1bd6b909b970391a2edcab■zip : Trojan.Win32.Inject.paz(Kaspersky)
azB001JBOIQ6■zip : Trojan.Win32.Inject.paz(Kaspersky)
4b3e8d9c0o7a1p5n6i0g7m■zip : Trojan.Win32.Inject.nnh(Kaspersky) <> (○口○*)さん<>sage<>09/03/04 10:41 ID:cqnjumR+0<> 超強いマジ I=D>V型 教授  挑戦
モロクの物質型と戯れてみた。結果は当然www
動画→  yaplogjp■com/blog/

Heim関係の鯖スレにここ数日頻繁に貼られるアドレス
ほぼ毎日貼ってきてるからまだ生きてると思われます <> (○口○*)さん<>sage<>09/03/04 12:52 ID:3vxuIqUs0<> >>662
まだいきてるよ

中国のサイト。html落として開くと文字化け状態に見えるように難読化されてるので呼び出し先不明。

検体として暫く前に各社に投げたけど、iframeの呼び出し元みたいなもんなので、
対応しないベンダーが多い模様。

ttp://www.virustotal.com/analisis/a65ca1b051dc6995011c10f0e3313c4b 02/26時点(12/39)
ttp://www.virustotal.com/analisis/99b6674cb9a2c46af172b8faf0fedb25 03/04時点(15/39) <> (○口○*)さん<>sage<>09/03/04 17:18 ID:3vxuIqUs0<> >>656の破損ファイル。AntiVirの返答だと、壊れてるから無害とのこと。
解凍すらできないんじゃ実行できないよね。妥当な解答だ。

>Teh last file was damaged. It was not executable in Windows and for that reason the file will be no risk for the user.
>Because of its damage, we could not detect any malicious behaviour. <> (○口○*)さん<>sage<>09/03/04 17:32 ID:zy7TFW3B0<> 無害というか、信用ならないfqdnを積極的に弾く仕組みが欲しいよなあ。
こういう場合、自分でLinux鯖たててルーター(せっかくなのでキャッシュ兼用)を作った方が
早いのかなあ? <> (○口○*)さん<>sage<>09/03/04 18:04 ID:Sd+3gw260<> >>665
っ OpenDNS
Kasperskyと提携もしたらしい。
ttp://www.nikkeibp.co.jp/it/article/NEWS/20090210/324543/ <> (○口○*)さん<>sage<>09/03/04 23:44 ID:APritJgC0<> >>663
そこは最終的には
www■yaplogjp■com/Blog/calc.exe
ちなみに先月19日製造。 <> (○口○*)さん<>sage<>09/03/05 00:00 ID:qhmJ0DyX0<> >>667
せんきゅー。日本でそれなりに有名なとこは殆ど対応済みぽいねぇ。スルーなとこに提出しときます。

2/22時点(11/39) ttp://www.virustotal.com/analisis/b3f97cec7dfc661a0d306713da8ecc15
 3/4時点(26/39) ttp://www.virustotal.com/analisis/046082faeb20e9dbfefb1bc7bd9ed247 <> (○口○*)さん<>sage<>09/03/05 09:06 ID:qhmJ0DyX0<> 無料セキュリティソフト「AVG Anti-Virus 8.5」日本語版公開
http://internet.watch.impress.co.jp/cda/news/2009/03/04/22661.html

AVG日本公式サイト
http://www.avgjapan.com/ <> (○口○*)さん<>sage<>09/03/05 10:43 ID:qhmJ0DyX0<> インターネット脅威マンスリーレポート - 2009年2月度
http://jp.trendmicro.com/jp/threat/security_news/monthlyreport/article/20090304021511.html

感染時の基本的な対応はOS再インストールだからいいんだけど、セキュリティソフトでの除去が困難な
PE_VIRUXという型は新しいね。

感染報告数ランキングの2-9位が、全部アカハックに関係してるのが印象に残った。
ハニーポットで収集した配布数の多さの所を見ると、アカハック関係が一位になってるし。

>不正プログラムの種類(ユニーク数)と配布機会の多さ(URL数)により、攻撃者側の注力度がわかります。
>1位のオンラインゲーム関連の不正プログラム「TSPY_ONLINEG」は、ユニーク数が先月の126件から291件に
>増加しており、攻撃者は不正プログラムの作成に注力していたといえるでしょう。

最近は、あまりアカハックアドレスの貼付を見ないような気がしてたけど、そうでもないんだねぇ。 <> (○口○*)さん<>sage<>09/03/05 10:47 ID:yHYkKbWb0<> Firefox3.0.0.7でてたよー <> (○口○*)さん<>sage<>09/03/05 22:57 ID:iZCY9KVB0<> このスレ見ておけば有名ソフトの重要うpでーとわかって助かるわ <> (○口○*)さん<>sage<>09/03/05 23:17 ID:alvoR9FZ0<> Secunia PSIいれとくといいよ
うっかり忘れの保険として <> (○口○*)さん<>sage<>09/03/06 16:00 ID:nya/Acs/0<> >>656を書き込んでいったmixiのアカウントがなくなっていた
放置垢だったのかもしれんね <> (○口○*)さん<>sage<>09/03/06 22:56 ID:SGSFkTWD0<> ttp://www■gamesker■net/uporg2066247■zip

中身はfu■scr 殆どのベンダーが撃墜。

まとめ臨時さんのhostsブロックリストにないアドレスのようだったので一応報告。
中国をブロックする設定のPG2には引っ掛かってました。

VirusTotal(32/39)
ttp://www.virustotal.com/analisis/eed3ab9ef2c3415395aa4a420f34aec4 <> まとめ臨時 ◆kJfhJwdLoM<>sage<>09/03/07 01:26 ID:B89WJbwR0<> >>675
非常に助かります。ご報告ありがとうございます。
リストに無い物についてはスレか拍手ボタンから書き込んでいただけたら
気づき次第対応いたしますのでよろしくお願いいたします。 <> (○口○*)さん<>sage<>09/03/07 23:41 ID:faQxy2D+0<> ttp://online■w84■okwit■com/play■exe

既知の危険サイトの奴。

今までは、play■scrだったのが、拡張子変えて置かれはじめた模様。
中身は、play■scrの時と同じで1199■exeと偽装ファイル。 <> (○口○*)さん<>sage<>09/03/09 02:50 ID:/f+mvTUe0<> うっかりぴころだのwmfファイルを開いてしまった。
AVG Freeでウイルススキャンしてるが、これで大丈夫なのか不安… <> (○口○*)さん<>sage<>09/03/09 02:58 ID:NO80smUg0<> ■ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ■

勇気がなくて踏めない人のための鑑定スレPart19
http://pc11.2ch.net/test/read.cgi/hack/1230787611/ <> (○口○*)さん<>sage<>09/03/09 03:26 ID:I4pQB19v0<> >>678
AVGはルートキット対応してないんでオンラインスキャンも併用したら?
http://www.f-secure.co.jp/v-descs/disinfestation.html <> (○口○*)さん<>sage<>09/03/09 08:59 ID:b0xbb73d0<> >>679
誰に言ってんの??? <> (○口○*)さん<>sage<>09/03/09 09:36 ID:NO80smUg0<> >>681
>678 <> (○口○*)さん<>sage<>09/03/09 09:43 ID:b0xbb73d0<> >>682
それなら>>680みたいなアドバイスをした方が良いと思うのだが <> (○口○*)さん<>sage<>09/03/09 10:27 ID:gvsuFs950<> >>678みたいなのは、相談でもなんでもないからチラ裏に書けばいいんだよ <> (○口○*)さん<>sage<>09/03/09 12:46 ID:HCPTjJU20<> たった一つの書き込みでこんなに無駄が <> (○口○*)さん<>sage<>09/03/09 13:14 ID:NO80smUg0<> アンカーつけとけば良かったな。すまんかった。 <> (○口○*)さん<>sage<>09/03/09 21:56 ID:/f+mvTUe0<> 無駄な書き込みさせてゴメン
BBSに書き込みを普段しないから、焦ってハック関係のこのスレに書き込んじゃった
ごめんな <> (○口○*)さん<>sage<>09/03/10 01:30 ID:diLw/bIa0<> 「Winamp」v5.55以前に未修正の深刻な脆弱性
http://www.forest.impress.co.jp/article/2009/03/09/winampoverflow.html

対策版は出ていない。
CAF形式のファイルに注意、とのこと。 <> (○口○*)さん<>sage<>09/03/10 18:42 ID:VCdyFQC+0<> 「ファイナルファンタジーXI」などをサービス中のスクウェア・エニックスは,プレイオンライン
会員向けに「ワンタイムパスワード」の導入を発表した。

ワンタイムパスワードとは,希望した会員にランダムで生成したパスワードを発行する
サービスで,そのパスワードは1回しか使用できないというもの。次回ログイン時には,
また別のパスワードを発行してログインすることになる。

ワンタイムパスワードの利点は,キーロガータイプのアカウント情報を盗む行為に対して
絶大な威力を発揮するところだ。FFXIでも,以前よりアカウントハッキングの被害が
多数報告されており,こうしたサービスの要望を見かけることが多かった。そして,ついに
スクウェア・エニックスが“動いた”というわけだ。

アカウントハッキングの被害では,持っている装備やお金を奪われるだけでなく,キャラクターを
RMTの取引に使われたり,お金稼ぎの道具にされたりしてしまう。また,場合によっては
キャラクターを削除されるなど,アカウントハッキングの被害に気付いてから,復帰できるまで
時間を要することが多い。

そんな被害に遭わないためにも,プレイヤーは自分のアカウント情報の漏洩には気を
つけることを忘れてはならないのだが,やはり頻繁にパスワードを変更するという作業は
なかなかできないものだ。そこで役立つのがこのワンタイムパスワードなのだ。

そのワンタイムパスワードの発行手順だが,スクウェア・エニックスでは,プレイオンライン
ビューアー上で「スクウェア・エニックスセキュリティトークン」を販売する。このトークンに
表示されるワンタイムパスワードでログインすれば,毎回異なるパスワードが設定されるので,
セキュリティレベルが一気に上がることになる。ちなみに,トークンはキーホルダータイプになりそうだ。

現在のところ,販売開始時期や価格については発表されていないが,近いうちに判明するだろう。
また,セキュリティトークンを購入した人には,スペシャル特典のプレゼントもあるとのことなので,
セキュリティ向上の一環として,導入を検討してみてはどうだろう。

以下略

4Gamer.net
http://www.4gamer.net/games/005/G000546/20090310024/
http://www.4gamer.net/games/005/G000546/20090310024/TN/001.jpg <> (○口○*)さん<>sage<>09/03/10 20:54 ID:9zofwSmm0<> まるまるコピペとかするな <> (○口○*)さん<>sage<>09/03/10 21:00 ID:7ooaoHCQ0<> リンクだけで十分だな。

でもいいなぁ。管理がまともなとこは。 <> (○口○*)さん<>sage<>09/03/11 03:34 ID:HmwILkvv0<> 素人考えだが、こういうのって解析されてオワタになったりしないのかな <> (○口○*)さん<>sage<>09/03/11 03:51 ID:QB9f8oMd0<> >>692
最大手の某製品でいうと、数年前に暗号化方式をより強力なものに変更してたかな
古いバージョンのロジックは既に解析されているといううわさ
新しいやつは当分は平気

ただ、ロジック解析したところで鍵が分からないと、ランダムパスワード部分が作り出せない
その上、普通は個人識別番号(パスワードみたいなもの)を加えた2要素認証になってるから、
よほどのことがない限りパスワードを解析するのは不可能に近いはず

ただ、ワンタイムパスワード製品はピンキリなので注意
写真見た感じだと、信頼性の高い最大手の製品とは違うみたい
もし安物だとすると、けっこういい加減なものもあるので、どうなるか分からない
とはいっても、さすがに常識的なレベルでは解析できないように作られてるだろうけど…… <> (○口○*)さん<>sage<>09/03/11 04:35 ID:26B8ndJh0<> 以下略とかいてあるのに
まるまるとはどういった日本語? <> (○口○*)さん<>sage<>09/03/11 05:56 ID:6Kf2t3o00<> >>692
補足っぽくなるけど、製品そのもののコピーは出来ても、個々のトークン個別の秘密鍵は取り出すのが困難かと。
まともな製品なら耐タンパー性が確保されていて、解析目的で分解などを試みると秘密鍵情報が揮発するような
構造にしてある。

>>693
向こう(何処?)のスレだと、VASCOのDIGIPASS GO 6ではないかという話だった。
みずほ銀行のオンラインダイレクトで使われているトークンが同種。
JNBで使っているRSA SID700との機能差異はどうなんだろう。 <> (○口○*)さん<>sage<>09/03/11 14:04 ID:Vl9XsSQj0<> ウイルスバスター成績悪い…
ttp://www.virusbtn.com/news/2008/09_02 <> (○口○*)さん<><>09/03/11 15:58 ID:6Kf2t3o00<> MSが3月の月例パッチ公開、Windows関連で“緊急”を含む計3件
ttp://enterprise.watch.impress.co.jp/cda/security/2009/03/11/15121.html
>3件の最大深刻度は、4段階で最も高い“緊急”が1件、上から2番目の“重要”が2件。
>最大深刻度が“緊急”の「MS09-006」は、Windowsカーネルに関する3件の脆弱性を修正する。
>対象となるOSは、Windows Vista/XP/2000およびWindows Server 2008/2003。

2009 年 3 月のセキュリティ情報
ttp://www.microsoft.com/japan/technet/security/bulletin/ms09-mar.mspx <> (○口○*)さん<>sage<>09/03/11 18:00 ID:gcRsGh5z0<> >>697に関係あるのかわかんないけど
今日はバスター2008先生が大量のデータ持ってきて再起動しろっていったのと関係あるのかな? <> (○口○*)さん<>sage<>09/03/11 18:01 ID:+yLsBIl30<> Adobe、公表済みの深刻な脆弱性を修正した「Adobe Reader」v9.1を公開
すでに本脆弱性を悪用した攻撃が確認されているため、必ず最新版へ更新しよう
http://www.forest.impress.co.jp/article/2009/03/11/adobereader91.html

・・・だ、そうな。アップデートしとくか。 <> (○口○*)さん<>sage<>09/03/11 18:23 ID:eOn+vrCJO<> アカウントハック等のセキュリティ対策について思案中なんですが、
一ライセンスで複数台使えるソフトで皆さんがお勧めできるものには何が挙げられるでしょうか?
大体のソフトの使用スペックは満たしているのですが、
こうも沢山あると何を使えば良いのかわからなくなってしまいまして… <> (○口○*)さん<>sage<>09/03/11 18:53 ID:4wbotAHe0<> >>635 <> (○口○*)さん<>sage<>09/03/11 20:03 ID:+yLsBIl30<> >>700
AVG,Avast辺り。英文で構わなければAntiVirが軽くて検出率が高い。(いずれもFWは別途用意)

1ライセンスで複数台使える「市販」のセキュリティソフトは、ウイルスバスターになると思う。
他社はあんまりやってない。個人的にはバスターさんよりも、無料のAntiVirus系の方がいいような気がします。

Kingsoftの奴はフリーでFWもついてて、軽くて日本語ですが、検出能力としてはちょっと疑問。

うちのPCの場合こんな構成です。
 私のPC:AntiVirFree + PC Tools Firewall Plus
 父のPC:ISPが用意しているセキュリティ。F-Secure。
 姉のPC:Avast!4.8 + WindowsVistaのFW <> (○口○*)さん<>sage<>09/03/11 20:07 ID:4wbotAHe0<> NAV2009ゲームエディションは3台までいけるはず <> (○口○*)さん<>sage<>09/03/11 20:08 ID:+yLsBIl30<> ノートンも1ライセンスで3台みたいだったわ。バスターだけって言ってたのは訂正。 <> (○口○*)さん<>sage<>09/03/11 21:59 ID:J8ja9cwQ0<> 3/10のWindows Defender更新でhostsが書き換えられる!? - スラッシュドット・ジャパン
http://slashdot.jp/article.pl?sid=09/03/11/0924257

127.0.0.1 localhost
hostsファイルのこの行が勝手に削除されて「localhost」ドメインが使えなくなる
トラブルが発生、という話。

ROにほとんど関係ないけど、このスレではhostsファイルをいじってる人が
多そうだからいちおうスクラップ。 <> (○口○*)さん<><>09/03/12 01:54 ID:zTZLS+bS0<> 【      気付いた日時          】1:00
【不審なアドレスのクリックの有無 】廃スレにて http■//yaplog■jpcom/blog/
【他人にID/Passを教えた事の有無】 NO
【他人が貴方のPCを使う可能性の有無】 Yes
【    ツールの使用の有無      】 NO
【  ネットカフェの利用の有無    】 Yes
【     OS    】 Windows Vista home premium
【使用ブラウザ 】 sleipnir janestyle
【WindowsUpdateの有無】 1:03
【 アンチウイルスソフト 】Mcafee securitycenter, virusScan
【その他のSecurty対策 】 なし
【 ウイルススキャン結果】まだやってない。 踏んだ瞬間マカフィーが反応して削除はした
【スレログやテンプレを読んだか】 No
【hostsファイルの変更】無
【PeerGuardian2の導入】無

【説明】 弟が廃スレを見たいというので見せてあげた。見終わってPC消す時に
「トロイの木馬に引っかかった。ごめんね」とか抜かしやがる

606 名前:名無しさん@ゴーゴーゴーゴー![] 投稿日:2009/03/09(月) 20:50:25 ID:/BwF0sFT0
新しくRo掲示板を作成しました。
Roの話題や攻略など…。書き込んでね><
http■//yaplogjp■com/blog/

その消す時にWindowsUpdateが更新していた。
弟によるとハックアド踏んだ時にマカフィーが反応して削除はしたらしい。
とりあえず別のPCから癌のパスワードは変更した。 <> (○口○*)さん<>sage<>09/03/12 02:10 ID:c2nHFcrb0<> それで、何か? <> 706<>sage<>09/03/12 02:16 ID:Cf0nVIQBO<> 垢ハックアドレスに掛かったのは明らかなのは自分でも承知している。

マカフィーが反応して消してくれたが、
それでもやはり感染PCのバックアップ→フォーマットはすべきなのでしょうか? <> (○口○*)さん<>sage<>09/03/12 02:35 ID:25j68quR0<> >>708
必要なファイルがないならパスワード類を打ち込まず即フォーマットもあり
バックアップファイル多すぎると迷いそうなもんだけどね <> (○口○*)さん<>sage<>09/03/12 05:05 ID:9IsAVaC10<> >>706
そのアドレスなら、McAfeeで対応済みなので、ブロックできている可能性が高い。

VirusTotalの結果(18/39)
ttp://www.virustotal.com/analisis/56158de5705512fee19040ca0e454d9a

でも、あなたの弟さんが、なにをやってどうなっているのかまで、全て把握することはできないので、
確実なのはOS入れなおしです。アカハック食らってもいいやと思っているのであれば、自己責任で
そのまま使い続けても構いません。すり抜ける他のものを踏んでしまっているのに気付いていない
だけかもしれませんからね。 <> (○口○*)さん<>sage<>09/03/12 07:01 ID:Cf0nVIQBO<> 対応していると聞いて安心しました。ありがとうございます。

弟はROと情報サイトとテンプレを見る時以外はPCは使わなく、
今回だけ初めて廃スレ(2ch)を見て、
あからさまなアカウントハッキングに引っ掛かったので、

それにマカフィーが対応してくれたなら大丈夫だと思います。

ただ、絶対大丈夫とはいいきれませんし、感染PCはノートPCなのでバックアップが手間といってもデスクトップよりはましなはず

念の為、PCをフォーマットしたいと思います。ありがとうございました <> (○口○*)さん<>sage<>09/03/12 11:56 ID:9IsAVaC10<> ttp://www■shaimokale■com/livedoor■scr
ttp://www■shaimokale■com/online/action■exe
ttp://www■shaimokale■com/chaos■pif
ttp://www■shaimokale■com/blog/online■scr
ttp://online■w84■okwit■com/AVI■pif
ttp://online■w84■okwit■com/play■exe
ttp://online■w84■okwit■com/play■scr
ttp://online■w84■okwit■com/file/Start■pif
ttp://online■w84■okwit■com/ragnarokonline/play■scr
ttp://www■livedoor-bbs■com/fortune/redstone■zip
ttp://www■wokutonoken-online■com/wmv■pif
ttp://www■wokutonoken-online■com/bbs/mpg■pif
ttp://www■wokutonoken-online■com/JP/mpg■scr
ttp://www■excite-blog■com/keywordRed/08080335665linmovesmm■zip
ttp://www■excite-blog■com/gourmet/red000■zip
ttp://aiongamemeca■com/play/Animation/playtion■pif

最近貼られている(殆ど毎日中身が更新されている)もの+古いけど見落としてた奴。
既知の危険サイトドメインで、貼られるものの殆どはscrです。
数は少ないですが、scrやexeと同じバイナリのpifファイルが貼られることもあります。

pifファイルは拡張子出てこなかったりして面倒くさいんですよね。
リネームもエクスプローラー上からできなくてDOS窓使ったり、
pifの拡張子を非表示にしないようにレジストリエディタで設定することで
リネームがし易くはなりますが… <> (○口○*)さん<>sage<>09/03/12 13:48 ID:9IsAVaC10<> さて、久しぶりにやっちゃいました。
検体整理している(一時的にセキュリティ切ってる)間にぽちっとな。
PG2動作中でしたけどね。入れててよかったPG2。

参考までに、削除した方法(かなり無駄なことしてますが)
1.AntiVirが反応して、C:\WINDOWS\system32\ubdlqw.fdfを検知したので
  リネーム→隔離。該当ファイルの作成を何度か試みていた模様。
  当然ながらメモリ上に残ってるので、222■78■78■36:608(CN)への接続を
  1分辺りに2〜3回程度試みていた様子。
2.C:\WINDOWSをubdlqwで検索。
  C:\WINDOWS\system32\ubdlqw.key を発見。中身は、キーロガーのログ。
  エディタや専ブラなどに書き込んだ内容(バックスペースなどの操作も含む)が
  テキストの状態で記録されていました。ブラウザの検索キーワードまで残ってた(苦笑)
  取り敢えず削除。中身を確認して、PG2でブロックされてた上に、パス関係も
  入力してないことが確認できたので取り敢えず安心。
3.レジストリエディタとipconfigの起動が阻害されないことを確認。
  ipconfigでスタートアップに変なものが登録されていないことをチェック
4.spybotを起動してスタートアップをチェック。当然ipconfigと同じ内容なので
  なにも出てこない。
5.ついでなので、spybotでシステムをチェック。
  Win32.Mudrop.ktを検知。
   暫く前に検体提出した返答で送ってもらったTED-Win32.Murdrop.kt.sdiが
   有効活用された模様…検体提出しといてよかったw
6.検出されたWin32.Mudrop.ktを消す前に、詳細を見ると下記の内容が見つかって
  いたので、レジストリエディタで存在を確認。
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\eofjgg
   HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\eofjgg
   HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\eofjgg
   HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\services\eofjgg
   HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\services\eofjgg
   c:\WINDOWS\system32\0045c9b.imi
7.Spybotで削除を実行した後、レジストリを参照。
  該当レジストリの残骸を手動で削除。(なにかキーを消しただけなのかまるっと残ってた)
  eofjgg、ubdlqwのキーワードでレジストリを検索し、
8.念のため、テンポラリのRAMディスク(Z:)をスキャン。
  検体提出用に固めたzipのテンポラリだけが発見された。実害ないがいらないので削除。
9.念のため、システム領域→C:全体のスキャンを実行
  c:\ARK163.tmpを検知したので、検体を確保した上で削除。
  このファイルは、1で作成を試みていたubdlqw.fdfと同じバイナリ。 <> (○口○*)さん<>sage<>09/03/12 13:48 ID:9IsAVaC10<> 10.1〜2、9で本体削除、3〜7で(本体除去失敗してても)起動時に読み込まれない
  状態になった。
11.念のためLANケーブル抜いてからPC再起動
  (PG2起動前に除去失敗したものが通信するのを遮断する為)
12.PG2の起動を確認してからLANケーブル接続。
13.PG2を確認し222■78■78■36:608へのアクセスがないこと、検知されていたファイルと
  レジストリが再生成されていないことを確認して処理完了。

もちろん、残骸が残っていて、不利益を被る可能性は十分にありますので、自己責任。
良い子は真似をせず、ちゃんとOSのリカバリを行ないましょう。

反省点:風邪で朦朧としてる時に提出用の検体整理をしない。
    ubdlqwでレジストリを検索すれば、spybot使わなくても片付いた。
    (スタートアップのチェックには重宝したけど)
    ふつ〜に自力で削除する人は、hijackthisなんかを有効活用するらしいので
    ちゃんと使い方を覚えるようにしよう…
    発動させちゃった時は、ブラウザのウィンドウが1つ出て、ActiveXの起動を
    要求してるって情報バーが出てるのを確認して閉じた。
    その後、すぐにセキュリティソフトをONにして終了。
    今回は実害なかったが、その時点でスキャンしとけと。 <> (○口○*)さん<>sage<>09/03/12 13:50 ID:9IsAVaC10<> だめだ、まだ寝ぼけてるようだ…正しくは、こう。スレ汚しごめんなさい。(o_ _)o ぱたり

>良い子は真似をせず、ちゃんとOSのリカバリを行ないましょう。
   ↓
良い子は真似をせず、ちゃんとOSの再インストールか、リカバリを行ないましょう。 <> にゅぼーん<>にゅぼーん<>にゅぼーん<>にゅぼーん<>にゅぼーん (○口○*)さん<>sage<>09/03/13 08:05 ID:PE9e+5gX0<> 716はh消し忘れて危ないので削除依頼出しました
【      気付いた日時          】 数日前
【不審なアドレスのクリックの有無 】 ttp://javimoya■com/blog/youtube_en■php
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【    ツールの使用の有無      】 No
【  ネットカフェの利用の有無    】 No
【     OS    】 win2k sp4
【使用ブラウザ 】 InternetExplorer6
【WindowsUpdateの有無】 有り
【 アンチウイルスソフト 】 avast
【その他のSecurty対策 】 Spybot S&D
【 ウイルススキャン結果】
カスペルスキーオンラインスキャン→問題なし
(Cドライブのみ、フルスキャンは外付けHDDの膨大なデータのため断念)

avast→ir32_32.dll (高圧縮ファイル爆弾) 誤検知?ビデオコーデックらしい

Spybot S&D→LinkSynergy  Statcounter DoubleClick RightMedia
恐らくクッキー。RightMediaだけトロイの可能性があるらしいが不明
場所が他3種と同じだったのでこれも多分クッキーか
全て削除、再スキャンで検知されず

【スレログやテンプレを読んだか】 少し読んだ
【hostsファイルの変更】有  事後
【PeerGuardian2の導入】有
【説明】
外国の動画保存サイトへ飛んだら、avastがウィルス発見して遮断。
spybotのレジストリ変更の確認は出ず。

調べたら
>このページから呼び出されるサイトに不正サイトが含まれます。
>ファイルはPDFの脆弱性を利用したファイルで有害です。
ウィルス名はBloodhound.Exploit.196との事
実際に踏むとカスペで以下のように検知にされるよう
ttp://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1321760863

AdobeReaderは最新にupdate済み。履歴や一時ファイルも念のため削除。
とりあえずスキャンでこれ以上何もでてこないのだけど
一応問題は無いと認識していいだろうか? <> (○口○*)さん<>sage<>09/03/13 08:53 ID:vsxjv9lu0<> いいだろうか?って聞かれても、なあ? <> (○口○*)さん<>sage<>09/03/13 08:56 ID:piV66IMa0<> >>713
ipconfigじゃなくてmsconfigの間違いだよね? <> (○口○*)さん<>sage<>09/03/13 09:13 ID:gnQTaJI90<> 結局、どんなエスパーだろうが他人の環境を完全に把握することはできず、
「問題ない」と断言できる奴なんぞいない。

自分で判断して決断するしかないから、
ここで聞いても答えは「不安ならクリーンインストールしろ」しかない。
これが唯一他人がアドバイスできる確定的な対処法だからだ。

どうしてもクリーンしたくないなら、自分自身でまず安全だと断言できる知識とスキルを見につけるしか無い。 <> (○口○*)さん<>sage<>09/03/13 12:14 ID:4SQ10Tds0<> >>717
鑑定スレにでも持ち込め。ここはセキュリティ一般の話題も扱うけど、基本はアカハック専門。そういった相談は他でどうぞ。

なにかを検知しても、どのクリック、どの呼び出しがひっかけたものかわからないと一部ブロックなのか
全部検知したのかわからん。この間のxleaみたく、広告になんか埋めこまれてたとかそんなんじゃねーの?
他のとこで踏んだんだと思うけどなぁ。

なにかをセキュリティソフトが検知してブロックした場合、ブロックに成功した以外にすりぬけが発生している
可能性は十分にある。OS再インストールかリカバリを推奨。自己責任で使い続けるなら知らんがな。 <> (○口○*)さん<>sage<>09/03/13 12:55 ID:QS8J6Mp50<> まあ厳しい意見に見えるが、誰も「他人のケツまでは拭けない」から、悪く思わないように。 <> (○口○*)さん<>sage<>09/03/13 18:01 ID:PE9e+5gX0<> 自己責任か再インスコか。レスthx

>>721
今回のBloodhound.Exploit.196はトロイらしいが
アカハックと関係ないと言い切れるのはなぜ? <> (○口○*)さん<>sage<>09/03/13 19:16 ID:cLIdjcXJ0<> このスレにしても他にしてもそうだけど、HDDイメージを作成している人って少ないのかな。
クリーンインストールやリカバリの手間を躊躇している場合には、うってつけの方法だと思われるのだが。
今年の頭に騒ぎとなっていたSeagate製HDDとかを所持していれば、DiskWizardユーティリティが使用可能。
これ自体はAcronis TrueImage LEのOEM版なので、一通りの環境構築が済んだ状態をイメージ化しておけば良い。

ちなみに、SeagateのHDDを常用しなくても、DiskWizardを使用する時だけeSATAやUSBで接続する方法でも
問題は無い……はず。

>>721
xlea■comって存在するんだね。
UKのレジストラがパーキングしていた状態だから、現状では実害が無さそうだけど。 <> (○口○*)さん<>sage<>09/03/14 00:02 ID:3lnuuiXO0<> >>724
しょっちゅうソフト入れたり消したりしてるから、HDDイメージ用意するよりは、再インストール時の
WindowsUpdate適用済みのOS入れたメディア作る方が手軽だな。ゴミが消えるのが大きい。

そして、投稿後に気付いたtypoに突っ込まれるとは。orz

>>723
トロイじゃなくて、Acrobatの脆弱性を(ry アカハックに直接利用されるものじゃない。(間接的利用は無いとは言えないが)
ざっと見たところ、見つからなかったしな。わたしが見落としただけかもしれんが。

だから、どーせ、他のとこでなんか踏んだんだろ、さっさとOS入れなおしてこいとぞんざいなコメントを付けたんだ。
コメントがぞんざいだったことは謝る。

ttp://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2008-080702-2357-99&tabid=1
>Bloodhound.Exploit.196 は、「Adobe Acrobat および Adobe Reader の任意のコード実行およびセキュリティに
>関する複数の脆弱性」(BID 27641http://www.symantec.com/ja/jp/business/security_response/vulnerability.jsp?bid=27641)
>を悪用するファイルに対する、ヒューリスティック手法による検出名です。 <> (○口○*)さん<>sage<>09/03/14 00:18 ID:3lnuuiXO0<> >>723
もうちょっとコメントしとくとこんな感じ。

流れちゃってるようなので、googleのキャッシュから引用。フィッシングサイトという判断ならわたしも納得。
今現在置かれているものがなにかの鑑定まではパス。iframeで呼び出されたり、自動実行されるスクリプトも
カウンター関係に見えるものだったからね。リンクを踏んだ先までは知らんけど。

>607 名前:ひよこ名無しさん [2008/11/04(火) 22:03:54 ID:Osh3AZIO0]
>鑑定お願いします。
>http://javimoyacom/blog/youtube_en■php
>
>http://speedmetallica■com/mt/youtube/
>
>613 名前:権平 ◆T0e.kDbaK2 mailto:sage [2008/11/05(水) 17:57:50 ID:SpDR2uO70]
>>>607
>1、踏んでみると動画系の外国サイトへ行きますが直後にカスペがフィッシングを遮断
>PC有害、回避推奨
>2、当環境では真っ白なページが表示されるだけでした。保留、補足あればお願いします。

数日前にはなにか仕込まれていて、現時点では除去されているという
可能性もありますので、危険ではないとは言い切れませんが、
直接アカハックに関与する可能性は低いと思われます。

参考:(ここは危険サイトでも結構すり抜けるので、あんまり信用しないように)
ttp://www.gred.jp/?url=http%3A%2F%2Fjavimoya.com%2Fblog%2Fyoutube_en.php&default=1&auto=1

717がBloodhound.Exploit.196があると言ってるってリンク張ってるとこも
そんな話題じゃないとこだし、自己責任でどうとでもしとけって感じなのよ。
なんか別件のログからコピペした検出名じゃないかという気がひしひしと。 <> (○口○*)さん<>sage<>09/03/14 13:57 ID:qmTcMyrx0<> 直接アカハックとは関係と思うが、絶対に関係ないとも言い切れないので

>トロイの木馬が機能拡張、「Kido」の新しい亜種に注意--カスペルスキー
>ttp://japan.cnet.com/news/sec/story/0,2000056024,20389878,00.htm

>新たに検知されたのは「Net-Worm.Win32.Kido.ip」「Net-Worm.Win32.Kido.iq」。
>いずれもKidoの新しい亜種であり、感染したPC上でアンチウイルス製品の動作を妨害する
>機能を持っている。
>
> また、これらの亜種の場合、自身を更新するために毎日アクセスするサイトの数が、
>既存のものに比べて圧倒的に多い。更新リクエストの送信先となるユニークドメイン名は、
>以前のバージョンでは250だったのに対し、これらは5万にもなっているという。

Kidoについてはこちら
>2月のウイルスランキング、ネットワークワーム「Kido」が急上昇--カスペルスキー調べ
>http://japan.cnet.com/news/sec/story/0,2000056024,20389274,00.htm <> (○口○*)さん<>sage<>09/03/14 14:14 ID:oX6aNPLs0<> 組織化進んでるなあ <> (○口○*)さん<>sage<>09/03/15 09:22 ID:wtmdAOqHO<> 某ネカフェチェーン店のPCは大半がウィルス混入済み。
USB端子挿したら感染するから気をつけて。 <> (○口○*)さん<>sage<>09/03/15 12:36 ID:8boSuh940<> >某ネカフェチェーン店 <> (○口○*)さん<>sage<>09/03/15 16:06 ID:Z5vT4FQq0<> このスレ的には、ネカフェのPCなんて全部感染済みとして扱うべきじゃね。
ログイン済んだら携帯のフルブラウザでPASS変更とか。

ノートPC持ち込み可能なネカフェとかリスト無いかな。 <> (○口○*)さん<>sage<>09/03/15 20:19 ID:WwjpAqOL0<> >731
基本、感染してるかも、と疑って使うべきではあるが
>某ネカフェチェーン店
こういう中途半端な情報は意味がない。

>729
それが本当なら、そのチェーン店の本部に連絡しる <> (○口○*)さん<>sage<>09/03/15 21:53 ID:yjnE+GJX0<> >>729
その言い分はちゃんとしている店にとって迷惑以外の何者でもないぞ。 <> (○口○*)さん<>sage<>09/03/16 13:14 ID:YVIGYwqiO<> 携帯から失礼します。
WindowsVistaでPG2をダウンロードしようと思うのですが、ダウンロードするファイルは2000、XP、2003用の物で大丈夫なのでしょうか?
Vistaが表記されてなく、どれをダウンロードすれば良いのか分かりません。
どなたか分かる方教えてください。 <> (○口○*)さん<>sage<>09/03/16 15:32 ID:wGQe9pXI0<> PG2のVista用は英語版のRC版しかありません。
また、起動後即動作しないので、別途ローダーが必要だったりします。
それでも興味がおありでしたら、下記スレ行ってテンプレ読んで、スレをpg2loader.exeで検索。

lt;丶`∀´gt; PeerGuardian2 ★ 4 (`ハ´ )
ttp://pc11.2ch.net/test/read.cgi/sec/1228949365/ <> 734<>sage<>09/03/16 16:15 ID:YVIGYwqiO<> まだ英語版しかなくなにやら大変そうですね…。
分かりました。ありがとうございました。 <> (○口○*)さん<>sage<>09/03/18 01:44 ID:MnI4u6mm0<> mixiに貼られていたとかいうブツ。すり抜け結構多いんで検体提出してきまー。

tp://www■koha0kohaweb■com/bbs/link/1237021570l50■zip

1237021570l50■zip
 --->1237021570l50■EXE
  --->1■exe
  --->XXXXi■exe

1237021570l50■zip : TR/Dropper.Gen(AntiVir)
1237021570l50■EXE : TR/Dropper.Gen(AntiVir)
1■exe : TR/Spy.Gen(AntiVir)
XXXXi■exe : PWS:Win32/Magania.gen(Microsoft)

ttp://www.virustotal.com/analisis/3b5c622ac00c39c3439cf870b297838a 1237021570l50■zip(23/39)
ttp://www.virustotal.com/analisis/b82707da5f730065875dc8e0cfb130ed 1237021570l50■EXE(23/39)
ttp://www.virustotal.com/analisis/3ddb58401a9838ab9723d9a6c5ad87ee 1■exe(23/39)
ttp://www.virustotal.com/analisis/852efd5fe194fc0c90a5771d6e65d92d XXXXi■exe(11/39) <> (○口○*)さん<>sage<>09/03/18 03:58 ID:0RNMdLaU0<> あっ、>>737のアドレスはやっぱりヤバイものだったか。
提出お疲れ様です。


ハイプリとWIZでピラ4F+MVP RO

などという謳い文句で書き込みされてるけど、zipファイルなんで
超怪しいから、クリックせず即削除しといて正解だった。 <> (○口○*)さん<>sage<>09/03/18 05:43 ID:g+R/2ZEP0<> ニコニコ動画にあがってるもののタイトルパクるのは常套手段
あまり流行らなかったけどニコのコメントにもハックアドレス書き込んだことはあったな <> (○口○*)さん<>sage<>09/03/18 17:12 ID:MnI4u6mm0<> AntiVirがひっそりとV8→V9になってるな。

自動Upateでの配布はなしで、アンインストールして入れなおしになるけど。 <> (○口○*)さん<>sage<>09/03/18 19:58 ID:FnjewCv50<> >>737
この1.exeおもしろいね。以下のパス抜きをする。
 nicovideo.jp
 jp.youtube.com
 yahoo.co.jp
 live.com
 fc2.com
 livedoor.com
 yaplog.jp
使い道としては動画のコメントやブログ乗っ取りで罠を仕掛けるのもあるけど、
ゲームと同じパスを使ってるアホは直接やられる。 <> (○口○*)さん<>sage<>09/03/18 20:07 ID:FnjewCv50<> >>737
1.exe(ドロッパ)がドロップするトロイ
(ファイル名は実際のものではありません)。
ttp://www.virustotal.com/analisis/7ba3f8403f968624b6999ad67c6cd53b <> (○口○*)さん<>sage<>09/03/19 10:12 ID:hCIBbTID0<> 手作業みたいだけれど大丈夫かー?

IPA、サイトの危険性を判定してメールで回答するサービスを開始
http://internet.watch.impress.co.jp/cda/news/2009/03/18/22831.html
>判定結果は、調査依頼を受けてから原則2営業日以内をめどにメールにより回答する。 <> (○口○*)さん<>sage<>09/03/19 12:29 ID:9gZzeMEV0<> >>743
情報提供の敷居を下げてダイナミックレンジを大きくするのと
サイト診断のノウハウの蓄積やチューニングをする目的じゃないのかなぁ。
診断自体はシステムがすでに構築されてるようだし。 <> (○口○*)さん<>sage<>09/03/19 18:10 ID:35h45iXd0<> Microsoft、高速化したWebブラウザ「IE8」の正式版を公開
http://pc.watch.impress.co.jp/docs/2009/0319/ms2.htm

>米国東部標準時間の19日12時(日本では20日午前)より提供開始すると発表した。 <> (○口○*)さん<>sage<>09/03/20 05:49 ID:ZsyGwqyT0<> IE8入れてみた。

WindowsUpdateと、RO起動のActiveXは入れなおしになった。ROは普通に起動可能。
GoogleツールバーとAI Robo Form はそのまま使えた。FlashPlayerもIE7からそのまま引き継ぎ。 <> (○口○*)さん<>sage<>09/03/20 08:17 ID:K+NHB2mS0<> あまり興味なかったので調べてないんだけど、セキュリティ的には
強化されてるの?
特定サイトだけJava系許可とか。 <> (○口○*)さん<>sage<>09/03/20 16:11 ID:ZsyGwqyT0<> ttp://www.itmedia.co.jp/enterprise/articles/0903/19/news063.html
>IE 8ではセキュリティも強化されており、例えば、既知のマルウェア配布サイトからファイルをダウンロードしようとすると、
>警告が表示される。

取り敢えず描画が早くなった。
外見にはまだ慣れない。
やっぱりタブブラウズは切ったw
検体入手は他のダウンローダ使ってるので、警告はまだ見てない。
「Webスライス」と「アクセラレータ」とやらはまだ使ってないや。 <> (○口○*)さん<>sage<>09/03/20 16:37 ID:S9Y1byaC0<> Fxでタブブラウズ慣れたら、IE7のタブも気にならなくなったというか
もう複数タブ前提の状態だから、タブないと辛い。 <> (○口○*)さん<>sage<>09/03/20 17:17 ID:ZsyGwqyT0<> IEは複数ウィンドウ前提、タブブラウズしたい時はLunascapeって感じに使い分けてるな。
デュアルディスプレイで場所を広く使えると、並べて使いたいことが多いしね。 <> (○口○*)さん<>sage<>09/03/20 23:51 ID:ZsyGwqyT0<> mixiに貼られてたそうです。結構すり抜け多いですね。

tp://www■cyokinde■com/wiki/oosigemasami/d2fec088047e4d499080f5aede1e9fff■zip

VirusTotal
d2fec088047e4d499080f5aede1e9fff.zip(8/39)
 ttp://www.virustotal.com/analisis/8065211b394a0f0c7c0d4347598e5bf2
d2fec088047e4d499080f5aede1e9fff.exe(7/39)
 ttp://www.virustotal.com/analisis/137e67c7742a862af4ba9b42e76c17d5 <> (○口○*)さん<>sage<>09/03/21 00:29 ID:d8NdU7ui0<> 亜種できるの早いからねえ <> (○口○*)さん<>sage<>09/03/22 00:09 ID:KGz7YW950<> mixiの垢を持っていないのでこういう情報は助かります。
検体おいしくいただきました。 <> (○口○*)さん<>sage<>09/03/22 01:07 ID:eCWKRoE20<> そいえば日記にROって文字書いてないのにハック投稿来たと思ったら、
一緒に書いたURLの中にその2文字があって吹いたことがあった。 <> (○口○*)さん<>sage<>09/03/22 01:09 ID:eCWKRoE20<> あ、途中で送信してもた。

投稿したヤツのIDはすぐNG設定するんだけれど、次に投稿が来たときにNG追加しようとすると
前に追加したIDが無効になってる言われるので、運営がちゃんとBANしている模様。
これは何度も経験している。 <> (○口○*)さん<>sage<>09/03/23 01:15 ID:j7l7oc8I0<> Mixiの利用に関するあれやこれやに、運営に通報するってカテゴリーが
無いので、ひたすら待ち一択になるんだよなー。 <> (○口○*)さん<>sage<>09/03/23 02:29 ID:BQK5zbZW0<> >>756
http://mixi.jp/inquiry.pl

通報すると案外すぐ対処される。
mixiアカをハックされた人はBANまでおまけについて踏んだり蹴ったりだけど。 <> (○口○*)さん<>sage<>09/03/23 13:15 ID:Nwks4+TB0<> 放置垢っぽいのもあったし、しょうがないんじゃない? <> (○口○*)さん<>sage<>09/03/23 17:12 ID:xsLwif1k0<> ねえねえぴころだに上がってたへんなファイルひらいしてしまったけど大丈夫なんこれ(´・ω・`)?
コメント欄でも論争上がってたけど結論でてなくて怖い(´・ω・`) <> (○口○*)さん<>sage<>09/03/23 18:04 ID:Nwks4+TB0<> おちついてテンプレを読んできなさい。 <> (○口○*)さん<>sage<>09/03/23 21:41 ID:bpV3Wc2Q0<> >>759
毎日物質スレ荒らしてるようなあんたは神聖スレにでも行ってくれ。

ほらよ。(0/39)
tp://www.virustotal.com/analisis/c1a27188dc3f1e05501671866c387df9 <> (○口○*)さん<>sage<>09/03/23 21:54 ID:bpV3Wc2Q0<> |309 名無し 2009/03/23(月) 01:12:55 ID:tU/rLsZx
|お願いします。
|ノートンが警告してきましたが、これは被害のある攻撃だったりするモノなのですか?
|ttp://www■luks5■cn/unique/iepdf■php?f=old
|ちなみに直前はゲーム機の情報サイトにいて、
|そこのリンクにある外部サイトに飛んだときに警告がありました。
|上記の「luks5〜」を意図的に踏んだ覚えはないのですが・・・

某所の鑑定スレから。ゲーム系の情報サイトから飛ばされたというので、
無関係ではないだろうという意味で転載。

VirusTotalの検知結果 (5/39)
ttp://www.virustotal.com/analisis/866939e5cf86a256b3c035009926b3bd

その後、カスペに提出した結果、新種であるという返答。
アドレスから類推できるように、毎回異なったバイナリが落ちてくる

Exploit.Win32.Pidief.all〜.als(8ファイル提出して全部個別に名前振られてきた)
New malicious software was found in these files. <> にゅぼーん<>にゅぼーん<>にゅぼーん<>にゅぼーん<>にゅぼーん (○口○*)さん<>sage<>09/03/24 20:08 ID:CBsRh6Le0<> 複数台PCも欠かせません。w <> (○口○*)さん<>sage<>09/03/24 23:46 ID:XskXVVbF0<> >>763
ただの広告用IFRAMEだと思う。
ドメインはいつもの楽天の広告のだった。
とはいえ、絶対安全とは言えないけどね。 <> まとめ臨時<>sage<>09/03/25 01:04 ID:9vDcsT4b0<> >>765
ありがとうございます。
でも少し気になったので改めて思い違いはいかんと履歴をたどっていきました。
そうしたら >>763のサイトじゃなかった。
先方には非常に申し訳ないことをしました。ご迷惑をおかけいたします。
削除依頼してきたほうよいと思うので書き込んできます。


引っかかったのはこっちでした。ttp://www■aictogion■com/psp/faq/
トップページでもPG2が中国弾きしていたのでもっと早く気がつくべきだったかも。

検出名は HTML_IFRAME.BIC
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=HTML_IFRAME.BIC
トレンドマイクロのデーターに記述されていた物を
ソースチェッカーでwww■debonairblog■com/mt/t/img01■gifを確認。

サイトをすでに閉じた後にバスターの反応が旧型のPCゆえ遅い反応を示したようです。
改めてウイルススキャンしてきます。 <> (○口○*)さん<>sage<>09/03/25 01:40 ID:Jo78vAl+0<> >>766
HTMLの前後の記述されていて怪しい事この上無いけど、ファイル自体は404になってる。
リダイレクトされた先にも、怪しい記述は見つからなかったよ。 <> (○口○*)さん<>sage<>09/03/27 00:14 ID:ZefUI7u80<> 最近見掛けた奴(新規アドレス?)
tp://atewikijp■com/blog/

中身は既知のアドレス↓と同じ。
tp://yaplogjp■com/blog/

EXP/Ascii.CA(AntiVir)

難読化されてるので、わからないが、ダウンローダなのか、ダウンローダの呼び出しと思われる。
本体じゃないからなのか、カスペはスルー。

VirusTotal(21/40)
ttp://www.virustotal.com/analisis/6c4de935d55d9f9da12ea9ca8d59fe6a <> (○口○*)さん<>sage<>09/03/27 00:22 ID:ZefUI7u80<> 追記:>>768は、こんな見慣れた文面で貼られていました。

|351 名も無き求道者 2009/03/26(木) 20:51:23 ID:0xtMR5Y4
|ここからは攻城戦・ポイント戦についての攻略をしているページのURLを貼っていきます。
|参考になるので見てみてね^^
|tp://atewikijp■com/blog/ <> まとめ臨時 ◆kJfhJwdLoM<>sage<>09/03/27 02:17 ID:KtlZ187o0<> >>767
html自体はバスターが反応して駆除されたとはいえ、
やっぱりポップアップが出ると気持ち悪いですね。

トレンドマイクロのほうでも
ファイルが404ということは書いてあったのですが
ソースが何だかなあという感じで気持ち悪いので、SP3パッチディスクを作るついで
テンプレの>>7であるSP+メーカーを試してきました。

感想としては、
PC初心者ではどのように設定したら良いかと手順がに解りにくい所。
やっぱりPCにある程度なれた人向けで、
クリーンインストールを楽に出来るツールという感じです。

後日、hostsのまとめのホムペのほうにでも
今回のSP+メーカー使ってクリーンインストールした手順を
自己流なりですが、画像も交えてUPする予定です。 <> (○口○*)さん<>sage<>09/03/27 12:06 ID:GVOIDWf40<> atewikijp■com
25日登録のatwikiのそっくりさん。
IPやトロイはyaplogjp■comと同じ。 <> (○口○*)さん<>sage<>09/03/27 12:11 ID:n4pS2eg20<> >>771
>>768 <> (○口○*)さん<>sage<>09/03/27 12:31 ID:GVOIDWf40<> すまんにゅぼーんでログ詰まってた <> (○口○*)さん<>sage<>09/03/27 13:47 ID:n4pS2eg20<> Fxに脆弱性、対策版リリースまで3〜5日かかる見通し。

Firefoxに深刻な脆弱性、修正パッチ公開へ
http://www.itmedia.co.jp/news/articles/0903/27/news028.html <> (○口○*)さん<>sage<>09/03/27 14:37 ID:GVOIDWf40<> ↑Fx3.1(3.5)Beta3でも落ちた。 <> (○口○*)さん<>sage<>09/03/28 11:29 ID:MhjI6F2u0<> 予想に反してFirefox 3.0.8が既にリリースされています。
更新しましょう。 <> (○口○*)さん<>sage<>09/03/28 12:28 ID:WgLXvPgJ0<> まぁサンプルコードも公開されていたからねぇ。
IEの非定例緊急パッチみたいなもんだ。 <> (○口○*)さん<>sage<>09/03/30 20:18 ID:WqD1g5dU0<> にゅぼーんスレより。新しいアドレスかな。どうせIPは一緒だろうけど。

TEPte-15p2-22*.ppp17.odn.ad.jp

1 名前:幻桜 [] 投稿日:09/03/30(月) 16:51 ID:7kHhDkMF0
先日アップデートがきましたね。新システム「恩寵」今回ばかりは運営GJといってもいいでしょう。
ちなみに本動画では風の恩寵を使用しています。恩寵うまし!
http:□□www■cavle-online■com■JP□mpg△scr <> (○口○*)さん<>sage<>09/03/30 22:39 ID:WWvOBuhj0<> >>778関連、2chにも爆撃があったようで専用スレができていた。

★090330 複数板 「yaplogjp■com|gamepaslog■com」宣伝マルチポスト報告
ttp://qb5.2ch.net/test/read.cgi/sec2chd/1238385009/ <> (○口○*)さん<>sage<>09/03/30 22:55 ID:WqD1g5dU0<> ここ数日で無差別にBBS爆撃してるのはこの辺。特にyaplogjp■com/blog/が目立つね。

tp://www■cavle-online■com/play■exe
tp://www■cavle-online■com/JP/mpg■scr
tp://www■cavle-online■com/blog/play■scr

tp://www■wokutonoken-online■com/JP/mpg■scr
tp://www■wokutonoken-online■com/blog/play■scr

tp://www■shaimokale■com/livedoor■scr
tp://www■shaimokale■com/blog/online■scr

tp://yaplogjp■com/blog/
tp://atewikijp■com/blog/

tp://aimeblog■com/watch/sm3683942/
tp://aimeblog■com/eabox/blog_281/
tp://gamepaslog■com/linelink/
tp://www■4gameranking■com/news/staff/2009/ <> (○口○*)さん<>sage<>09/03/31 01:01 ID:HCX/2zSN0<> いつものアドレスだけど、呼び出すのに使ってるファイル名が変化してた。

tp://www■gomenifty■com/web/
  tp://www■skywebsv■com/play/Ms06014■htm
  tp://www■skywebsv■com/play/Joewm■htm
  tp://www■skywebsv■com/play/Ms08011■htm
  tp://www■skywebsv■com/play/Ms08053■htm
  tp://www■skywebsv■com/play/MsAccess■htm
  tp://www■skywebsv■com/play/Real■htm
    tp://www■skywebsv■com/play/server■exe

server■exeは検出率が悪いね。
提出時に(9/39)だったのがさっきは(17/40)になってるので改善はされてるけど
マカフィー、シマンテック、NOD32が今のところスルー(マカフィーはArtemisでは検知)
ttp://www.virustotal.com/analisis/e631e2755635a47b75613b0dd380d8d2


>>780の他にこんなのもあった。

tp://www■cavle-online■com/wmv■zip
同じドメインのscr当たりより2日古いファイルで中身もちょっとだけ違った。

>>780の一番下の一群と同じで、全部 www■4gameranking■com/xin/ を呼び出す奴。
tp://aimeblog■com/redstone/link/
tp://aimeblog■com/wiki/FrontPage/ <> (○口○*)さん<>sage<>09/04/01 13:46 ID:h8m4Acxq0<> ページを開こうとしたら「pukiwiki.phpをダウンロードしますか?」とか
見たいのが出た。 <> (○口○*)さん<>sage<>09/04/01 16:00 ID:KqAoE6yY0<> そうですか。 <> (○口○*)さん<>sage<>09/04/02 10:27 ID:tkFetGcV0<> 質問よろしいでしょうか。

カスペルスキーインターネットセキュリティ7.0を使用しているのですが
「一部のコンポーネントを有効にできません」と言われ
どこがおかしいのか探してみると、アンチスパムの部分で「失敗(初期化エラー)」と出ています。
再起動しても治りませんし、「有効」をクリックしても「アンチスパムは開始できませんでした」と言われます。
また、レポートも開いてみましたが、特になにもなく、レポートのボックスの一番上に
「非スパムメールをあと50通登録してください」と書いてありました。
どうしたら正常な状態に戻るのでしょうか。
昨日までは普通に動いていました。

どなたかお分かりになる方がいらっしゃいましたら、ご回答よろしくお願いします。 <> (○口○*)さん<>sage<>09/04/02 10:55 ID:KLcLcGfO0<> >>784
ttp://www.just-kaspersky.jp/support/contact.html <> (○口○*)さん<>sage<>09/04/02 11:08 ID:YB15GV300<> コントロールパネル→管理ツール→イベントビューア
でアプリケーションなりシステムなりを開いて
ソースがKaspelskyなのを開いて
そこの文面からキーになりそうな言葉で↓を検索
ttp://support.justsystems.com/faq/1032/app/servlet/qasearchtop?MAIN=001001015001006
ttp://support.justsystems.com/faq/1032/app/servlet/qasearch
784でキーになる言葉を検索してみたが、それっぽいのはなかったので
カスペのレポートとイベントビューアのログで何とか <> (○口○*)さん<>sage<>09/04/02 11:08 ID:tkFetGcV0<> 自分では冷静なつもりでしたが、そうじゃなかったみたいです・・・。
サポートセンターの存在が頭から抜けてました。
今からメール送ってきます。
スレ消費失礼しました。 <> (○口○*)さん<>sage<>09/04/02 11:12 ID:tkFetGcV0<> >>786さん
ありがとうございます。試してみます! <> (○口○*)さん<>sage<>09/04/02 11:43 ID:tkFetGcV0<> >>784です。たびたび申し訳ありません。
>>786さんの方法を試してみましたが
イベントビューアのアプリケーション、システム共にソースにKaspelskyという言葉がありませんでした。
表示→検索で探してみたのですが、他にそれらしいものも見当たらず・・・。
カスペのFAQのページも、自分でもキーになりそうな言葉をいくつか検索してみたんですが、
解決策になりそうなものはヒットしませんでした。
とりあえず>>785さんにも言われたように、サポートセンターにメールもしておきました。
お二人ともアドバイスありがとうございます。 <> (○口○*)さん<>sage<>09/04/02 11:52 ID:2REflW8S0<> spam学習を初期化しちゃっただけなんじゃないかなぁ。使ってないから的外れかもしれないけど。

あと、カスペ7→8(2009)になってる筈だし、そっちの方が少し軽いって言われてるから
更新した方がいいと思うな。 <> (○口○*)さん<>sage<>09/04/02 13:07 ID:KLcLcGfO0<> ttp://jsboard.com/doc/jkmob/ja/index.html

■カスペルスキー製品のアンチスパム機能が無効になってしまう現象について 本現象について、多数お問い合わせをいただいております。現在、原因、復旧・回避手順について調査中です。
ご迷惑をおかけいたしておりますことを、深くお詫び申し上げます。
調査結果につきましては、随時本ページにてご案内してまいります。

【対象製品】
Kaspersky Internet Security 2009
Kaspersky Internet Security 7.0 <> (○口○*)さん<>sage<>09/04/02 13:36 ID:tkFetGcV0<> >>784です。
>>790さん
確認したら、だいぶ前に無償ダウンロードが始まっていたんですね。
さっそく更新したいと思います。
>>791さん
情報ありがとうございます。
以後、カスペHPをチェックして対処したいと思います。

みなさん、アドバイス、情報をありがとうございました。 <> (○口○*)さん<>sage<>09/04/02 21:27 ID:2REflW8S0<> ちょっと斬新?

新しいブツが出まわってないか、「cavle-online」で検索かけて、
アカハックホイホイ状態のBBSを探してみました。数ヶ所でアダルト系の
画像投稿と一緒に書き込まれているのを確認。貼られていた画像もアダルト系のもの。
3箇所程で同じ画像とセットで書き込まれて、ました。

新規にスレ立てて貼り付けたり、MMO系のところを爆撃する以外にも
BBSスパム投稿と同じ手法で、送信スクリプトを誰かに踏ませているかもと思った次第。
(クロスサイトリクエストフォージェリでしたっけ?)

1〜2日でバイナリが差し替えられては居ますが、アドレス自体は同じものの
使いまわしばっかりのようです。

>極悪わいせつ医者の健康チン断 美少女だけをいただきます。  
>動画の場所→http://www■cavle-online■com/blog/play■scr <> (○口○*)さん<>sage<>09/04/02 22:30 ID:Ha50rUgE0<> mixi抜きとか可搬性を考えたら、手当たり次第やるのが都合いいんだろうな。
普通のエロSPAMに紛れ込んでさ。 <> まとめ臨時 ◆kJfhJwdLoM<>sage<>09/04/02 23:17 ID:HIi62zP20<> SP+メーカーの体験記をUPりました。
暫定でグデグデな文章ですが流れを掴んでもらえるだけでも幸いです。 <> (○口○*)さん<>sage<>09/04/03 11:14 ID:wLg+NTL+0<> ところで
セキュリティ対策のアンケートをガンホーが実施してるね
ttp://www.ragnarokonline.jp/news/information/notice/item/12267
>ご利用の皆様のセキュリティに関するご意見やパソコンの利用状況などをお聞かせください。

後半の設問でワンタイムパスワードについても触れられている
回答の動向によっては導入になるのかも
FFではトークンの販売が来週から始まるのが、ゲームで利用される唯一の事例かな
ttp://www.playonline.com/cis/jp/
ちなみに1個980円 <> (○口○*)さん<>sage<>09/04/03 11:48 ID:3ehAzDIN0<> >>796
>ゲームで利用される唯一の事例かな
米国のWoW、韓国のメイプルストーリーで導入済み。
ttp://www.4gamer.net/games/005/G000546/20090310024/ <> (○口○*)さん<>sage<>09/04/03 11:54 ID:wLg+NTL+0<> ああ…海外でもあったのか
WoWの導入は大きいな <> (○口○*)さん<>sage<>09/04/03 17:25 ID:rGY/HhcS0<> 韓国メイポの場合は、ハードウェアOTPを用いた他の事例と違って、携帯電話を利用したソフトウェアOTP。
専用トークンを必要としないことと、携帯キャリアが一種の身元証明になる部分が微妙に違ってくるかな。 <> (○口○*)さん<>sage<>09/04/03 23:55 ID:YCHPc4O60<> PG2の事なのですが、アップデート確認しようとすると、
スパイウェアの更新が遅い上に接続失敗しやすく、
その時に台湾のIPを弾いているようなのですが、
これはどういう状況なのでしょうか

一応、PG2のインスコされているフォルダをAntiVirでスキャンしてみましたが、
何も検出されませんでした <> (○口○*)さん<>sage<>09/04/04 00:37 ID:/EfDu5wV0<> >アップデート確認
何の? <> (○口○*)さん<>sage<>09/04/04 06:35 ID:ux2LEbmt0<> PG2のブロックリスト?

んなもん、重い時はさくっとキャンセルして他の時間にチェックしろよ。
台湾を弾いてるなら台湾をブロックリストに入れてるだけだろ。許可するかどうかは自分で判断。 <> 800<>sage<>09/04/04 09:13 ID:NmOY5/kR0<> すみません、ブロックリストの事です
「更新と同時に弾いている」というのが気になったもので
元々、更新に必要な点をブロックするとは考えにくいですし
ちなみに、今回が初めてではなく、数回に一回はこんな事が起こっています

セキュリティやPG2に関して疎いので、変な事言っているのかもしれませんが、
「更新と同時に弾いている」という点が、異常なのか正常なのかを知りたいのです <> (○口○*)さん<>sage<>09/04/04 10:51 ID:eU1k5f/G0<> だから台湾をブロックしているのに台湾からリストを落とそうとしてるんだろ <> まとめ臨時 ◆kJfhJwdLoM<>sage<>09/04/04 11:07 ID:LyGXb8ai0<> >>800
800の人がどういうシステム環境か判らないので
PG2の更新の時だけに台湾IPがブロックされているのか
時々ブロック表示されているのかでも状況が変わってきます。

別件ですが
ウイルスバスター2009のオプションで
迷惑/詐欺メールの判定がONになっていた場合、
メール受信の後やアップデートの時とかに台湾IPに繋ぎに行くことがあります。
その影響なのかバスターのシステムがエラーを吐いて
バスターのシステムの一部が強制終了したりとか。

台湾IPに何か接続しに行ってるプログラムがあるかの確認の手として
スタートアップで登録したものを一つ一つ終了させる毎に
PG2でアップデートをチェックすれば宜しいのでは?


スパイウェアの更新が遅い〜と言うのが
微妙にごっちゃになってて
PG2のリストのアップデートとその時の接続失敗表示だけを指したこと事なのか
アップデート確認した時に、別のプログラムのスパイウェアの更新が遅いという意味なのか
深読みしてしまう次第。 <> まとめ臨時 ◆kJfhJwdLoM<>sage<>09/04/04 11:16 ID:LyGXb8ai0<> >>804
PG2のデフォルトリストをそのまま入れていて、
更にリネージュ資料室さんのブロックリストを入れていれば
台湾をブロックしているのに
台湾からリストを落とそうとしているって現象が起こるのかなと気がついた次第。

資料室さんのリストだけだったらそういう事が起きないですから。 <> 800<>sage<>09/04/04 11:47 ID:NmOY5/kR0<> 稚拙な上に説明下手で申し訳ないです
PG2の[アップデート確認]でPG2本体・ブロックリストの更新をする際の話です

入れているブロックリストは、
 ・スパイウェア (デフォルトで入っているもの)
 ・RO (>>2のROアカウントハック報告スレのまとめサイト様のもの)
 ・MMORPGトロイ  (以下4つは>>2のリネージュ資料室様のもの)
 ・中国
 ・韓国
 ・台湾
この6つです

更新する際、スパイウェアリストだけ更新が上手くできずにタイムアウトする場合があります
これだけなら回線が混んでいるだけだと思いますが、
稀に、台湾IPを弾いてからタイムアウトになる事があるのです
(毎回ではなく、稀に、です)

スパイウェアリストが台湾に接続する必要があるという事であれば、
そのIPだけ許可すれば良いのですが、
その辺の判断が私にはわかりかねるので、質問させて戴いた次第です <> (○口○*)さん<>sage<>09/04/04 16:01 ID:0hFo1XFQ0<> 俺もデフォルトのリストが全て更新できず、
後々バスターがブロックしてることが判った。 <> (○口○*)さん<>sage<>09/04/04 16:23 ID:fPS6DVAe0<> そこまでして頑張るモノなのか、インターネットって。 <> まとめ臨時 ◆kJfhJwdLoM<>sage<>09/04/04 18:28 ID:PD3hJknq0<> >>807
PG2のデフォルトリストを使っていないので判らないのですが
そのリストの中に台湾IPがあるという事なのかなと。

ブロックしているIPとPG2デフォルトリストの指定されているIPを確認して
その部分を削除するとか方法が色々ありますが、そこまでするべきなのかと…。
デフォルトリストを使うのであれば気にしないようにするしかないです。

資料室さんではPG2のデフォルトリストのチェックは
全て外す事をを推奨されているので、外してしまうのも手です。

>>808
特に何も無くても、
ネット接続直後だとリストの更新に最初の一回目は失敗したりとか。 <> 800<>sage<>09/04/04 20:40 ID:NmOY5/kR0<> 確かに資料室様のところには、
デフォルトのチェックを全て外すように書かれていますね
私としては特に外す理由もないので、
スパイウェアだけチェックを入れて使用していました
スパイウェアリストに台湾IPが入っている、でFAかもしれません

他のブロックリストの更新をブロックするのはおかしい、という先入観があった為、
とんちんかんな事を言ってしまったようで申し訳ありません

対処をどうするかは置いておくとして、
原因が拙いものではないようで安心しました
スレの皆様、ご回答戴き、有難う御座いました <> (○口○*)さん<>sage<>09/04/04 23:30 ID:cPXYz5xR0<> Genoという通販サイトで問題が起きているようです。
私も JavaScript の確認が出てきて変だな?って思ってたのですが・・・

何が起きているのか?情報を確認しているところですが、
アクセスした人への警報として書き込んでおきます。

参考スレ(2chのニュー速)
ttp://tsushima.2ch.net/test/read.cgi/news/1238844402/ <> (○口○*)さん<>sage<>09/04/05 00:17 ID:tW8LN4p40<> >>800,811さん
くわしくないのでまちがっているかもしれませんが、
デフォルトのリストがおかれているSourceForge.net(オープンソースの
ソフトウェア開発のなんたらかんたら)は、いろんな国の大学などで
ミラーリングされていて、アクセスするときに振り分けられるんじゃないかな。
それでリストの更新をするときにたまたま台湾の大学などにリストを取りにいって
それがPG2でブロックされるんじゃないかなと思いました。
(デフォルトリストの教育機関を入れていると、更新時にたくさんブロックされて
わかりやすいですよ^^) <> 813<>sage<>09/04/05 00:25 ID:tW8LN4p40<> ちょっと訂正;
>更新時にたくさんブロックされて
これはデフォルトリストをたくさん入れているからでした><
「教育機関」を入れているとブロック時に学校名が表示されるので
わかりやすいということでした; <> (○口○*)さん<>sage<>09/04/05 20:18 ID:t5a2+yMW0<> どこに質問したらいいか解らなかったから
ここで質問させてください

ピコロダにforsety鯖で1kbのJpg?がうpされてて
それ踏んだら掲示板に勝手に書き込みしたことになってたんです

そのファイルについてるコメントみたら
自動でIP晒して書き込みするやつって書いてあるんだけど
>>8 垢ハックではないな。まぁ(うp主が)○○だったのが幸いした。中華なら全員死亡してるが。」
というコメントもあって
中華なら全員死亡ってこれは一体どんなものなんでしょうか?
アカハックとは関係なければソレで良いんだけどコメントに不安が・・・ <> (○口○*)さん<>sage<>09/04/05 20:42 ID:PI24rfH50<> 既にウイルスとか飼っていそうな設定だな <> (○口○*)さん<>sage<>09/04/05 20:53 ID:O5mvjMlX0<> 日本人なら怪しいと見て踏まないようなURLも
軽率に踏んでしまう=ウイルスに引っかかりやすいということじゃないかなと
そうでなくても、中華(というか中国IP)なら祭りになってはいるだろうね

垢ハックとは関係がないにしても
軽率に踏んでしまう姿勢はあまり感心しない <> (○口○*)さん<>sage<>09/04/06 01:47 ID:GOpJr2+20<> リネージュ資料室の監視リストにこんなアドレスが追加されてた。
tp://www■nicovideojps■com/blog/

tp://yaplogjp■com/blog/
tp://atewikijp■com/blog/ の類似品かな? <> (○口○*)さん<>sage<>09/04/06 02:35 ID:GOpJr2+20<> mixiに貼られていたもの。各社に検体提出済み。
tp://www■koha0kohaweb■com/20090405data/intlja/61heliq■rar

ttp://www.virustotal.com/analisis/613f8cefb83c6cf4f586983d1c919a1a 61heliq.rar(11/39)
ttp://www.virustotal.com/analisis/9cb6ad8c60e240a80ca68000f901c6b0 61heliq.exe(10/40) <> (○口○*)さん<>sage<>09/04/06 08:25 ID:ce229akl0<> http://www■cavle-online■com/wmv■zip
これ落としちゃったんですけど何でしょうかこれ <> (○口○*)さん<>sage<>09/04/06 09:43 ID:KFtWaLPn0<> >>1 <> (○口○*)さん<>sage<>09/04/06 09:56 ID:ce229akl0<> 【      気付いた日時          】4月5日
【不審なアドレスのクリックの有無 】 クリックして落として起動した
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【    ツールの使用の有無      】 No
【  ネットカフェの利用の有無    】 No
【     OS    】XP、SP3
【使用ブラウザ 】 火狐ver3.0.8
【WindowsUpdateの有無】 分からない
【 アンチウイルスソフト 】 マイシールド
【その他のSecurty対策 】
【 ウイルススキャン結果】 マイシールドでスキャン、何も出ない
【スレログやテンプレを読んだか】 Yes
【hostsファイルの変更】無
【PeerGuardian2の導入】無
【説明】まだ垢ハックの被害出てません、そもそもpcにオンゲ入れてないです
ただ他の掲示板でこのURL踏んでしまったんで何かなと思って調べたら行き着きました
zipで中身はスクリーンセーバーでした、起動しちゃったんですが一応HDD内に作成されたmpgは消しました
以上です <> (○口○*)さん<>sage<>09/04/06 10:18 ID:GOpJr2+20<> >>820-822
中身のscrには偽装用のmpgとアカウントハック用のトロイが入っており、実行したら感染します。

マイシールドというセキュリティソフトは、V3アイコンがどうのって説明があったので、多分、
アンラボのV3だと思いますが、こいつは、この手のマルウェアの殆どがスルーしてしまうものです。
(検体は提出してあるのですが対応が遅いので、多分すり抜けていることでしょう)

解凍しただけならセーフなんですが、今回は、「起動してしまった」「マイシールドが反応していない」ことから
まず間違いなく感染しています。対処法ですが……必要なデータのバックアップを取った後で、
OSの再インストールかPCのリカバリ(購入時の状態に戻す)をしなければなりません。

対応しているセキュリティソフトを導入して削除する方法もありますが、活動中の場合、削除可能な
セキュリティソフトの導入をブロックする挙動で削除できなかったり、実行後に生成されるファイルが
未対応であって完全削除に失敗し、残骸によってOSの挙動に不具合が出る可能性がありますので
お薦めできません。

オンラインゲームが入っていなくても、削除(クリーンインストール)した方がいいでしょう。
この手のトロイは、複数のアカウントのパスワードを抜き取るものが多いのでメッセンジャーや
SNS(mixiとか)などのアカウントを抜き取られ、自分のアカウント名で危険ファイルの頒布が
行われてしまうといった事態も見受けられます。

OSを入れなおして、安全な環境を構築するのが第一。そして、第二に、マルウェアを起動してから
入力してしまった可能性のあるパスワードを片っ端から変更する。(抜かれた可能性のある
パスワードと同じパスを利用しているものは、全て変更した方がいいと思われます) <> (○口○*)さん<>sage<>09/04/06 10:40 ID:ce229akl0<> ありがとうございます
システムの復元等は意味あるんですかね
後、これ一回感染して駆除しなければパス等変えても意味無いんですか
個人的な事になるんですが兄弟で共有してるのでOSの再インストール等はちょっと独断では出来ないんです
その辺は兄の方が詳しかったりするんで
作成されたファイル特定して削除するとかは出来ないんですか、やっぱ <> (○口○*)さん<>sage<>09/04/06 10:40 ID:GOpJr2+20<> >>820-822
試しに検体を入手してみました。
ファイルの日付が今朝になっていまして、4/5時点で踏まれたものとは別のものでしたので
あくまでも、参考までに…ということで。

ttp://www.virustotal.com/analisis/b6803058a0cbc43cf4b3557611ac4e88 wmv■zip (18/40)
ttp://www.virustotal.com/analisis/6a52056f418555999cc107c421cf303b wmv■scr (18/40)
ttp://www.virustotal.com/analisis/e3dfc156d838c197cc5fb1648f4c2b12 1199■exe (22/40)

こんな感じに、V3(マイシールド)をすり抜けてしまいますので、OS再インストールコースですね。
OS再インストールの際には、SP+メーカーなどを利用して、WindowsUpdate適用済みのディスクを
作成してから再インストールするのが便利です。(メーカー製PCの場合は、PCリカバリ後、SP+メーカーで
作成したFixディスクを利用してWindowsUpdateを一気に当ててしまうのが時間的に楽だと思います)

わたしもOS入れ直すところで、SP+メーカーで3月までのWindowsUpdate適用済みディスク作成中
だったんですが、捕獲したのが新種(ファイルが差し替えられた直後)のようなので、検体提出を先にしてきます。 <> (○口○*)さん<>sage<>09/04/06 12:51 ID:Gw2JC1zO0<> >>824
どこにウィルスの残骸が残っているか分からない
一番安全なのは再インストール
ウィルス入ってるのにパス変更しても情報抜かれてるからばれてて意味ない

あと共有PCなのに変なの不用意に実行しないこと
それ直さないと今後もウィルス踏むよ <> (○口○*)さん<>sage<>09/04/06 18:49 ID:+VofmR0a0<> 正直もうリカバリor再インストールしかない といった感じです。
再インストールといっても今の状態からOSを再インストールするだけではなく、
HDDをフォーマットしてからの再インストールでなければ意味がありません。
必ずお兄さんに伝えて対応を検討してください。
知らないでパスワード入力系の物を起動なんてしたら大変な事になりますので… <> (○口○*)さん<>sage<>09/04/07 08:57 ID:2LbH0Yfo0<> 少なくてもこのスレに聞きに来るレベルの人にアドバイスできるのは、
OSクリーンインストールしかないよな・・・。 <> (○口○*)さん<>sage<>09/04/07 09:41 ID:V4E/n5SE0<> >>824
>その辺は兄の方が詳しかったりするんで
自力で解析して除去できるような人なら、そもそも、マイシールドなんて使わないとか言っちゃだめかな。

>作成されたファイル特定して削除するとかは出来ないんですか、やっぱ
簡単に言えば、できませんね。

昔の単純な形態のウイルスならワクチンがあったり、検疫といって、感染箇所をファイルから削除することで
復旧させることもできなくはないのですが、検疫しても残骸が残って完全に奇麗にはできずにPCが不安定に
なったりしますし、最近のものは、ランダムな要素を付け加えることが多く、検疫では無く、ファイルそのものを
削除しなければならない状態です。感染ファイルを削除すれば、当然、その感染前のファイルを必要としていた
ものは正常に動かなくなりますし、きちんと対応できていないもの(例えば、ウイルス本体は検知して削除できても
本体が取り付いたファイルをすり抜けてしまったり)が多いです。

セキュリティソフトメーカーも新種が多数出てくるのに対応してはいますが、特定のウイルスに対するワクチンの
開発といった方面には力を入れるだけの余力はないでしょう。感染ファイルを削除して、データをバックアップして
貰ってから、PCリカバリ(OS再インストール)をしていくのが現実的な解決策というものです。 <> (○口○*)さん<>sage<>09/04/08 23:26 ID:dqnvXlmc0<> 個人Blogのコメントにあったそうです。

ROブログ用 WS ASPD190 PD4F
www■amazeons■com/play/GVG/tttttt■zip

ttp://www.virustotal.com/analisis/da797e4f73e8c6aec0dde66e11b4b304 tttttt.zip(22/40)
ttp://www.virustotal.com/analisis/aecd2530093cbc6976e9afad149b7270 tttttt.exe(23/40) <> (○口○*)さん<>sage<>09/04/09 00:12 ID:0m0mKE7B0<> これもやっぱり中華業者だねぇ。

「www■amazeons■com」のIPアドレスへの変換結果→「61■139■126■108」

inetnum: 61■139■0■0 - 61■139■127■255
netname: CHINANET-SC
descr: CHINANET Sichuan province network
descr: Data Communication Division
descr: China Telecom
country: CN <> (○口○*)さん<>sage<>09/04/09 09:45 ID:xX3zVwgX0<> 【      気付いた日時          】 4/09 09時
【不審なアドレスのクリックの有無 】 なし
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【    ツールの使用の有無      】 No
【  ネットカフェの利用の有無    】 No
【     OS    】 WinXP SP3
【使用ブラウザ 】 Sleipnir
【WindowsUpdateの有無】 有
【 アンチウイルスソフト 】 AntiVir
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 F-Secure オンラインスキャナにて
Stealth_process (UNKNOWN PROCESS ID 8576)
Stealth_process (UNKNOWN PROCESS ID 3192)
の2つのファイルを検出。
【スレログやテンプレを読んだか】 Yes
【hostsファイルの変更】無し
【PeerGuardian2の導入】有り(リネージュ資料室)
【説明】
>>299さんの1台目と同じ症状だと思うのですが、RO起動中にF-Secure
オンラインスキャナにてスキャンをしてみたところ上記の2ファイルを検出
しました。
ROを落とした状態で再びスキャンを掛けてみた時には検出されなかった
のですが、これはnProの誤検出なのでしょうか?
他にはAntiVirでのスキャン、カスペルスキーのオンラインスキャナを使用
してみましたが特に検出されませんでした。 <> (○口○*)さん<>sage<>09/04/09 12:28 ID:0m0mKE7B0<> >>832
nPro自体がステルスプロセスですので、nProを検知したものと思われます。 <> (○口○*)さん<>sage<>09/04/10 08:16 ID:Qhp7iHIY0<> ROセキュリティWikiの検体提出先編集

Proland Software(Protector Plus)
・メールが届かないので確認したら、タイトル固定の模様
・Webフォームもできていたので追記 <> 832<>sage<>09/04/10 12:32 ID:moOoDmsF0<> >>833
その可能性が高そうですね。
ご回答ありがとうございました。 <> (○口○*)さん<>sage<>09/04/10 22:51 ID:BUBOsihz0<> ネカフェでプレイ後は帰宅後すぐにアカパス変えるのは当然だけど
同じ癌IDにアカ2つある場合って癌IDログインした時点でパス抜かれて
片方のアカでネカフェプレイ中にもう一方のアカに入られてアイテムぱくられる危険あんじゃん
アカごとにパス設定できてた頃は抜かれても最悪そのアカだけだったけど
今はネカフェプレイはサブアカだけにしとこうと思っても本アカやられる危険あんじゃん
いまさら癌ID分離できないし
何これ癌馬鹿なの <> (○口○*)さん<>sage<>09/04/10 23:22 ID:ASNoU8aC0<> >>836

【日記】(`ェ´)ノ◇チラシの裏79枚目【雑談】
http://enif.mmobbs.com/test/read.cgi/livero/1238204034/l50

愚痴・溜息・戯言スレッドLv186
http://enif.mmobbs.com/test/read.cgi/livero/1237539058/l50 <> (○口○*)さん<>sage<>09/04/11 04:03 ID:35TN/ovz0<> >>836
すごい今更感 <> (○口○*)さん<>sage<>09/04/11 09:13 ID:UNP05WNw0<> キャラIDもキャラごとに変えるこったね。 <> (○口○*)さん<>sage<>09/04/11 10:28 ID:jz5essx60<> 【      気付いた日時          】 昨夜2時ごろ
【不審なアドレスのクリックの有無 】 ttp://73d43.atu.ca/w5ven37/
【他人にID/Passを教えた事の有無】 なし
【他人が貴方のPCを使う可能性の有無】 なし
【    ツールの使用の有無      】 なし
【  ネットカフェの利用の有無    】 なし
【     OS    】 WinXP Home SP3
【使用ブラウザ 】 IE7
【WindowsUpdateの有無】 自動アップデートの時
【 アンチウイルスソフト 】 NortonInternetSecurity
【その他のSecurty対策 】 ルーター
【 ウイルススキャン結果】 なし
【スレログやテンプレを読んだか】 今から読みます
【hostsファイルの変更】よくわかりません
【PeerGuardian2の導入】なし
【説明】 Blogのコメントにあったリンクを間違えて踏んでしまいました。
変なアダルトサイトに飛ばされたので、怖くなってノートンでスキャンしましたが何も出なかったのですが
アドバイスを頂けないでしょうか <> (○口○*)さん<>sage<>09/04/11 10:32 ID:TdiGzdjv0<> >アドバイスを頂けないでしょうか

コメントスパム という言葉をぐぐれ。 <> (○口○*)さん<>sage<>09/04/11 10:54 ID:jz5essx60<> >>841
ぐぐってきました。見た感じでは垢ハックには関係なさそうで安心しました。 <> (○口○*)さん<>sage<>09/04/11 11:30 ID:QaAfQnJx0<> >アドバイスを頂けないでしょうか

ドット変換しろよ一応 <> (○口○*)さん<>sage<>09/04/11 18:40 ID:MTyLfJUo0<> >>840
まずはそのBlog(恐らくレンタルBlogだろうけど)の機能をちゃんと理解することだ。
コメントspamが飛んでくるようなら、アカハックが貼られる可能性だって十分にあり得るのだから。
禁止ワードや拒否ホストなどの扱い方、コメント承認制への切り替えなど、対策法は様々なものが存在する(はず)。
今は安心、と思っていると、思わぬ時に足をすくわれたりする。 <> (○口○*)さん<>sage<>09/04/11 21:13 ID:yLhEWCdb0<> このサイトってどうよ?ソースチェッカーの自動版的な感じなんだけど。
ttp://www.gred.jp/ <> (○口○*)さん<>sage<>09/04/11 21:37 ID:+CZ8GdmD0<> フィッシング判定の大手の奴だな <> (○口○*)さん<>sage<>09/04/12 08:15 ID:Ew5ogA+L0<> >>845
個人的評価:すりぬけ多すぎて使い物にならない

マカフィーのサイトアドバイザーの方がまだまし。(入れてるとPC不調になるので切ったけどw) <> (○口○*)さん<>sage<>09/04/12 13:52 ID:Ew5ogA+L0<> 最近見掛ける奴のパターンを勝手に分類してみた。

パターン1■iframeで、4gamerankingを呼び出す系
 ファイル自体はあまり更新されないが、呼び出し元がちょくちょく変わる。
 数ヶ月に一度くらい、本体のexeが差し替えられるが、ファイル更新の頻度は
 さほどではない。ほとんどが「4gameranking」を呼び出す。
 たま〜に、「skywebsv」「mbspro6uic」「play0nlink」などを呼び出すものもある。

p://gamepaslog■com/*
p://aimeblog■com/*
p://www■4gameranking■com/news/staff/2009/
p://www■blog20fc2■com/*
p://blog20fc2■com/*
+--- p://www■4gameranking■com/xin/

(下はあんまり見掛けない)
p://www■gomenifty■com/web/
+---p://www■skywebsv■com/play/〜
p://gamerfxlblog■com/2008/11/post_46c6/
+--- p://www■play0nlink■com/ma
p://www■plazaraskuten■com/up743205/jbbs578601/
+--- p://www■mbspro6uic■com/1/

パターン2■文字化け状態のhtml系
 見ても、呼び出す本体がよくわからん。
   p://yaplogjp■com/blog/
   p://atewikijp■com/blog/

パターン3■scr、pif系(もしくはscrを内蔵したzip)
 どこかで利用されていた動画の紹介文のコピペと一緒に貼られる形。
 mpgか画像を圧縮した自己解凍ファイルと一緒にトロイ本体が入っている形。
 同一ファイルの別名が多数存在。zipの場合、他のアドレスにあるscrが入っている。
 1〜3日間隔で、内部のトロイ本体が差し替えられる。ゴミデータ部分は使いまわし。
 頻繁に入れ代わる割に、ゴミデータが大きく、検体提出が一番面倒くさい。
 ファイルが更新された直後は、半数程度のセキュリティベンダーがスルーする。
 殆どが「wokutonoken-online」「shaimokale」「online■w84■okwit」辺りのアドレス。

 事例は省略…もうあのアドレス見るの飽きた。 <> (○口○*)さん<>sage<>09/04/12 13:53 ID:Ew5ogA+L0<> パターン4■mixiやblogのコメントに貼られる中身が同名exeのzip,rar系
 「RO」「FF」「TW」「RS」などのキーワードにマッチするものに無差別投稿される模様。
 投稿は、scr系と同じく、動画の紹介文のような名称で書込まれる。アドレス自体は
 半年くらい前に出た使いまわしか、新規のアドレス。ファイルは投稿日近辺の作成。
 SNSのアカウントが盗まれて、そのアカウントで投稿される事例が多い。
 検体捕獲時点では、半分位のベンダーがスルー。「koha0kohaweb」が多い気がする。
   p://www■koha0kohaweb■com/wiki/rochatroom/
   p://www■koha0kohaweb■com/roeng/9293w593509fnsfdssd9rfnsdnw9r3949323234n9rfn29r9345923nrew■zip
   p://www■koha0kohaweb■com/blog/read-cgi/G00018320081010041■zip
   p://www■koha0kohaweb■com/bbs/ragnarok_link/avi/395569fs9934438gfdwq4858■exe
   p://www■koha0kohaweb■com/data/mec/uporgf1780054■zip
   p://www■koha0kohaweb■com/play/GVG/lid576460752303920704■rar
   p://www■koha0kohaweb■com/bbs/link/1237021570l50■zip
   p://www■koha0kohaweb■com/20090405data/intlja/61heliq■rar
   p://www■youturebe■com/redstone888jp/uitem/o245■oops■jp/49323234n9rfn29293w593509fns9r9345923nrew■zip
   p://www■youturebe■com/watch/WnfKyqT2BRGJ2OTo0fv80lyUw0VZvgH2KB4rk0■rar
   p://www■youturebe■com/wiki/video/6LxEiQe5u67unZvlpt4483441■zip
   p://www■youturebe■com/gungho08/guide/makeitem■zip
   p://www■youturebe■com/data/mec/mecxin000006■zip
   p://www■youturebe■com/bbs/link/20081027_youtomb■zip
   p://www■youturebe■com/bbs/ragnarok_link/video/41404172717933■zip
   p://www■youturebe■com/roeng/ragnarok-search/UIb3Jdte2jU■zip
   p://www■cyokinde■com/wiki/oosigemasami/d2fec088047e4d499080f5aede1e9■zip
   p://www■cyokinde■com/ffxishowvide/16498897649■rar
   p://www■cyokinde■com/gungho08/ro/10155326p■rar
   p://www■cyokinde■com/wiki/oosigemasami/d2fec088047e4d499080f5aede1e9fff■zip
   p://www■excitysjp■com/Web/89238632■zip
   p://www■excitysjp■com/Web/879620546■zip
   p://www■amazeons■com/play/GVG/tttttt■zip <> (○口○*)さん<>sage<>09/04/12 13:54 ID:Ew5ogA+L0<> パターン1。
 殆どのセキュリティベンダーが対応済みでダウンローダ時点でブロックされる。

 「mbspro6uic」を呼び出す奴は、ちょっと新しい。swfとかまでは入手して検体提出
 したけれど、解読まではできず、本体のexeまで探せなかった

パターン2。
 ある程度のセキュリティベンダーはブロックされる。
 ソースチェッカーで見ても文字化け状態なので、なんだこれとか思ってアクセスしない。

パターン3。
 セキュリティベンダーの対応が間に合わず侵入されてしまうケースも。
 ファイル自体はしょっちゅう見掛けるので、クリックしない、落とさない、実行しない。

パターン4。
 パターン3と対応は一緒。解凍しない、実行しない。
 知ってる名前の人のコメントだからといって安心すると痛い目に遭います。
−−−−−
総括:PG2で中国を弾くのが非常に効果的です。 <> (○口○*)さん<>sage<>09/04/13 22:43 ID:qSZZvYsy0<> >>848のパターン3の奴で、今日報告のあったもの。やっぱり中身は日替わり更新で4/12作成版。
p://www■wokutonoken-online■com/file■scr

といっても、中身は下のアドレスと同一でしたが。
p://www■cavle-online■com/play■exe
p://online■w84■okwit■com/play■exe
p://www■wokutonoken-online■com/wmv■pif
p://www■wokutonoken-online■com/JP/mpg■scr
p://www■wokutonoken-online■com/blog/play■scr

ttp://www.virustotal.com/analisis/c9513de5a56e248fbdb23a4fdca2dc18 mpg■scr(26/40)
ttp://www.virustotal.com/analisis/7be4f024f942ae294090ce739c5e224c 1199■exe(26/40) <> (○口○*)さん<>sage<>09/04/14 18:15 ID:u6PJvBef0<> mixiに貼られていたもの。
軒並み検知はするようですが…Symantecスルー。
p://www■youturebe■com/yjplone/tyoku0119/dxfyfturtyu■rar

ttp://www.virustotal.com/analisis/260fef3cc870bb3556ded86beba9283f dxfyfturtyu.rar(32/40)
ttp://www.virustotal.com/analisis/20e20cf31e9d12c4c151c1ed5da33872 dxfyfturtyu.exe(33/40)

検体は提出済み <> (○口○*)さん<>sage<>09/04/14 22:08 ID:OMijMa3G0<> そのドメインまだ生きてたのか、w <> (○口○*)さん<><>09/04/15 03:46 ID:A4/IuiG60<> 月例age
緊急(5) 重要(2) 警告(1)
ttp://www.microsoft.com/japan/technet/security/bulletin/ms09-apr.mspx <> (○口○*)さん<>sage<>09/04/15 11:27 ID:qcv9f2Rh0<> これから02魔王は放置になるだろうね
今まで02魔王にだけ効果があったリングバグがなくなったし
03魔王は狩りが多いって理由でVIPは敬遠だから
魔王装備はインビジだけが売る時代が来るかもしれない <> (○口○*)さん<>sage<>09/04/15 11:27 ID:qcv9f2Rh0<> 誤爆 <> (○口○*)さん<>sage<>09/04/16 10:53 ID:kHFpPftw0<> 「DivX Web Player」にバッファオーバーフローの脆弱性、最新版で修正済み
DivX動画をWebブラウザー上で再生すると任意のコードを実行されるおそれ
http://www.forest.impress.co.jp/article/2009/04/15/divxwebplayervul.html

> デンマークのセキュリティベンダーSecuniaは15日、DivX動画をWebブラウザー上で再生可能にする
>プラグイン「DivX Web Player」v1.4.2.7に、バッファオーバーフローの脆弱性があることを公表した。
>Secuniaによると本脆弱性は同ソフトのv1.4.2.7以前のバージョンにも影響する可能性が高く、最新版となる
>v1.4.3.4では修正済みとのこと。
>
> 本脆弱性の具体的内容は、特殊な細工を施されたDivX動画をWebブラウザー上でストリーミング再生した際に
>バッファオーバーフローが引き起こされ、任意のコードを実行される可能性があるというもの。
>重要度は最高の次に高い“Highly critical”となっている。 <> (○口○*)さん<>sage<>09/04/16 12:29 ID:4QYwRRMvO<> 最近はmixiと2chと職テンプレしか見てなかったのに昨日垢ハックされた私が来ましたよ <> (○口○*)さん<>sage<>09/04/16 12:31 ID:HPxKjBNO0<> 2chもmixiもしょっちゅう垢ハクURL貼られてますがな。 <> 858<>sage<>09/04/16 12:40 ID:NnjarZRn0<> >>859
URL踏んでない <> (○口○*)さん<>sage<>09/04/16 12:44 ID:k7cZYXUx0<> ソーシャルハックとか <> (○口○*)さん<>sage<>09/04/16 18:30 ID:tzwhNMXA0<> 古典的な割られ方の可能性あるよな
あとノーガード戦法だったか、ガードが役に立っていなかったか <> 858<>sage<>09/04/16 22:47 ID:NnjarZRn0<> 【      気付いた日時          】2009/04/15
【不審なアドレスのクリックの有無 】無し
【他人にID/Passを教えた事の有無】無し
【他人が貴方のPCを使う可能性の有無】無し
【    ツールの使用の有無      】無し
【  ネットカフェの利用の有無    】Yes
【     OS    】XPSP3
【使用ブラウザ 】IE7.0.5730
【WindowsUpdateの有無】4/13
【 アンチウイルスソフト 】avast!4.8HomeEdition
【その他のSecurty対策 】SpybotS&D
【 ウイルススキャン結果】avastで発見せず
【スレログやテンプレを読んだか】軽く読んだがもう一度読み直す
【hostsファイルの変更】無
【PeerGuardian2の導入】無
【説明】キャラパスが変更されていてINできない
枠埋まってたので1キャラ消してINしたら倉庫の中身がごっそりなくなっていた

悪意のあるソフトウェア削除ツールってのためしたところ「PWS:Win32/Corripio.gen!E」が検出されたが削除できず
調べたところこれが垢ハックにかかわってるみたいですがどうしたら削除できますでしょうか <> (○口○*)さん<>sage<>09/04/16 23:38 ID:0BIAshxh0<> セーフモードでもう一度削除を試してみたら。
漏れならOS入れ直すけど。 <> (○口○*)さん<>sage<>09/04/17 03:15 ID:ZEYQWV410<> 【      気付いた日時          】 2009/4/16
【不審なアドレスのクリックの有無 】 http://picopico2■dip■jp/uploader/data/1/1236857685106■wmf
【他人にID/Passを教えた事の有無】 NO
【他人が貴方のPCを使う可能性の有無】 NO
【    ツールの使用の有無      】 NO
【  ネットカフェの利用の有無    】 NO
【     OS    】 windowsXP SP3
【使用ブラウザ 】 InternetExplorer7
【WindowsUpdateの有無】 分からない
【 アンチウイルスソフト 】 NortonInternetSecurity
【その他のSecurty対策 】 Spybot
【 ウイルススキャン結果】 何も出ず
【スレログやテンプレを読んだか】 (Yes)
【hostsファイルの変更】無し
【PeerGuardian2の導入】無し
【説明】 間違ってクリックしてしまったところ、一瞬ファイルを実行、保存、
閉じるのボタンがあるウィンドウが出て、勝手にスグ閉じました。
そしてよく分からない画像がビューワで表示されました。

やっぱりこれはアカハックツールが仕込まれているのでしょうか。 <> (○口○*)さん<>sage<>09/04/17 04:50 ID:SdDUC45l0<> >>865
何も仕込んでありません。
ただの「よく分からない画像」です。 <> (○口○*)さん<>sage<>09/04/17 06:57 ID:GFKhGLH10<> >>863
踏んだ心当たりがないのに、アカハックされ、検出されたということですと、他になにが潜り込んでいるか
わからない状況であると言えます。そのため、特定のセキュリティソフトのスキャンによって除去可能か
どうかの判断もできません。

また、最近のマルウェアは、本体を除去しても、Windowsの設定を書き換えてしまっていたり、
正常に復旧できないケースも多いです。ランダム要素付きで取り付くものなど、マルウェア部分だけ
取り除くことが困難で、元ファイルごと削除することになり、Windowsの動作に必要なファイルが
なくなってしまい、結果として動作不良になってしまうこともあります。

ですから、除去するためには、メーカー製であればPCリカバリ(リカバリディスクやHDD内のイメージを
利用して、PC購入時の状態に戻す)を行ない、自作やショップブランドの場合は、OSの再インストールを
行なうことになります。

このスレで推奨する、マルウェア(ウイルスやトロイなどの総称)の除去方法は、PCリカバリかOS再インストールです。
最低限のデータのバックアップを取ってから、OSを入れなおし、マルウェアのいない奇麗な環境に戻し、
それから自分が使用しているパスワード類を(ゲーム以外のメッセンジャーやSNSなどのものも含む)全て
別のものに変更してください。

キャラパスも変更されているということですので、キャラパスの修正に関しても、運営会社に
相談してみてください。

テンプレにあるように、アカウントハッキングにあった場合、運営会社、警察の2箇所へ連絡する必要が
ありますので、そのこともお忘れなく。

・アカウントハッキングについて > 被害にあってしまったら(RO公式)
  http://www.ragnarokonline.jp/playguide/hacking/hacking_04.html

メモしておくといいだろうと思われること
 ・最後に正常にログアウトした日時
 ・最初にアカハックに気付いた日時と気付いた理由
 ・検出したファイル名と検出名、検出したソフト名 <> (○口○*)さん<>sage<>09/04/17 07:12 ID:GFKhGLH10<> ちなみに、MicroSoftの説明(末尾Eは亜種の区別名なので大半はこの説明の通り)

ttp://www.microsoft.com/security/portal/Entry.aspx?name=Win32%2fCorripio
・除去するには、セキュリティソフトを導入してフルスキャンかけろ。(意訳) <> (○口○*)さん<>sage<>09/04/17 11:11 ID:GGHf4azj0<> 最近アイテム復旧してもらえた人っているのかな? <> 865<>sage<>09/04/17 23:43 ID:ZEYQWV410<> >>866
ありがとうございます。
本当にただの画像だけだったのですね・・・。
サイトがサイトだったので、余計危険に思えてしまって・・・。
これからは不用意にURL踏まないように気をつけます。 <> (○口○*)さん<>sage<>09/04/20 01:54 ID:Y4pn165gO<> >>869
今まさにそのやりとりしてる
ヘルプデスクの対応悪すぎてスゲーイライラするけどね
警察に資料としてフロッピーが送られてるんだけど、中身どんなものか知ってる人いる?
説明不足すぎて警察も何すればいいのか解らない状態らしいんだ <> (○口○*)さん<>sage<>09/04/20 03:18 ID:OGoFSPxK0<> >>871
たぶん今まで報告あがった奴見るとハックされたアカウントでの
該当するであろう日時でのシステムログがまるまる来てるとおもう。
以前はプリントアウトでそれが送られてきていたけど探すのが紙媒体だときついって
苦情送ったから変わったのかも。
そこから自分の接続したおぼえのないIPアドレスをさがして捜査してくださいっていうのだとおもう。 <> (○口○*)さん<>sage<>09/04/20 03:52 ID:JYI8pMAFO<> アカハクとかじゃないと思うんだけどラグナ公式の上にあるメニューバーの
遊び方→ギルドってところ見ようとしたらページが真っ白に(;゚д゚)

パンヤみたいにシステム改竄されてたりしないよねガンホーさん(´;ω;`) <> (○口○*)さん<>sage<>09/04/20 07:16 ID:Y4pn165gO<> >>872
やっぱIP関係だよね
何となく予想は出来てたけど
事が事なだけにどうしても後回しにされがちなんだよなぁ
警察も資料届いてから4日くらい封も開けてなかったよ
やっぱ警察に指示して動いて貰わないとダメなのかな <> (○口○*)さん<>sage<>09/04/20 16:31 ID:OGoFSPxK0<> >>874
サイバー犯罪対策課があるところならある程度早い段階から動いてるだろうから
多分生活安全課が兼務してるところだとおもうが、いま春の交通安全運動期間中だからそっちとの兼ね合いがあったり
家出人や自殺者があったりすると一気に忙しくなるからそこは向こうの忙しさとの兼ね合いかと。
まあ、進展が無いようだったら週1くらいで様子を聞くようにすればある程度はすすむんでないかい。 <> (○口○*)さん<>sage<>09/04/20 18:49 ID:iuy+bU+R0<> 警察に届けて、調査してもらうことになって連絡待ちのままもう5ヶ月経ちましたよ。
どうも急かしたり催促しにくいんだよなぁ・・・。

警察だって法的に被害者がガンホーである以上、
1プレイヤーの補填のために捜査しなくちゃならない義務は無いんでしょ?
時が経てば冷めてくるのもガンホーの思惑通りっぽいけどさ。

ま、1回確認ぐらいは取っておくか。
相手方の空気読んで、乗り気じゃ無さそうなら諦めて捜査打ち切って貰うよ。 <> (○口○*)さん<>sage<>09/04/20 20:28 ID:vzxIjjFV0<> 警察は被害者のためではなく、犯罪者を捕まえるために動くものでしょ。
補填のためとか義務とか関係ない。

捜査の打ち切りも、告発状を取り下げるならともかく、被害届
レベルでは関係ないはず。
警察は告発に必要な証拠を集めていて、集まったら検察行き。
「もういいです」なんて言いに行く必要は無し。 <> 874<>sage<>09/04/20 23:49 ID:MtI7kDFF0<> >>875
一応2週に1回くらいで連絡してるよ
ホントは警察とガンホーの間でやり取りしてもらうのが一番早いんだけど
どうも両方とも面倒事扱いしちゃってるからなかなか進まないんだよな

>>876
警察も同じような事言ってたな
普通ならガンホーが被害届けを出すはずなんだけどね、って
ガンホーのデータベースに不正アクセスされてる訳だし
ごもっともな意見なんだけどね <> (○口○*)さん<>sage<>09/04/21 13:18 ID:fXL++LCS0<> mixiに貼られてたらしきもの。検出率悪いので提出してくるかな…。

p://www■youturebe■com/watch/sm6713261■zip

ttp://www.virustotal.com/analisis/4b9be44f4132e4a0076a682f2994703b sm6713261■zip(14/39)
ttp://www.virustotal.com/analisis/dd4e9c13d2b9619c1e9f3ff62c0af492 sm6713261■exe(14/40) <> (○口○*)さん<>sage<>09/04/21 22:02 ID:fXL++LCS0<> KasperskyとF-Secure製品でシステムファイルを誤検知
http://internet.watch.impress.co.jp/cda/news/2009/04/21/23230.html <> (○口○*)さん<>sage<>09/04/22 00:04 ID:gT1AWrF70<> 危険なリンクを事前警告するソフト「AVG LinkScanner」無料公開
http://internet.watch.impress.co.jp/cda/news/2009/04/21/23225.html
実際にこれインストールしてみたけど、対応しているのはIEだけかな?SRWare Ironで試した見たけど効果無し
これをインストールした状態でこのスレに出てるアドレス数個にアクセスしてみたら
きちんと遮断されていたからそこそこ使えるかも、後は日本語化と対応ブラウザの増加かな <> (○口○*)さん<>sage<>09/04/22 00:17 ID:ZIIBBsVa0<> >>879
うへ…これはうっかり踏みそうなアドレスだなぁ
改めて気を引き締めないと… <> (○口○*)さん<>sage<>09/04/22 00:31 ID:bCsFMCJp0<> >>882
zipとかrarだったら気をつければいいだろうに。 <> (○口○*)さん<>sage<>09/04/22 01:50 ID:O6FXtDDF0<> >>880
既に誤検知食らっているんだが、どうせそうだろうと思ったよ。
こういうのはソフトウェアの信用を落とすので、すり抜けと同じくらい由々しき問題だと
個人的には感じている。 <> (○口○*)さん<>sage<>09/04/22 05:44 ID:4HwpMGQi0<> >>880
このスレ読む人で使ってる人がいるかどうかわからんけど、
@niftyの常時安全セキュリティ24もカスペルスキー利用なので
同様の誤検出しました。

いま該当パッチの再update完了したところ…。
OS再インストールまでしてなくてよかった。 <> (○口○*)さん<>sage<>09/04/22 06:33 ID:bCsFMCJp0<> >>881
そういや、Dr.Webにも似たようなのあったな。
http://drweb.jp/support/link_checker.html <> (○口○*)さん<>sage<>09/04/22 07:45 ID:J801d31U0<> このスレの連中ってセキュリティソフトは何使ってるんだろう
殆どカスペなのか? <> (○口○*)さん<>sage<>09/04/22 13:56 ID:bCsFMCJp0<> >>887
1年ほどカスペ使った後、OS入れなおすついでに、AntiVirに変えたよ。
 ・AntiVir+PG2+PCtoolsのFW(+Spaybot,Spaywareblaster)
 ・常駐しない右クリックからのスキャンにBitDefenderとa-squared(どっちもフリー版)を入れてる
 ・VirusTotalUploaderも入れて右クリックからVirusTotalに投げれるようにしてる。

ノートン→NOD32→ESS→カスペ→(F-Secureとかも試用したがすぐ消した)→AntiVirと変遷してきたかな。
メインのPC(RO+ネット+趣味の検体捕獲)はこれで使いつづけるかな。
                 ↑良い子は検体捕獲は別PCか砂箱使おうね。

他のPCでは、KingsoftとかAvastとかAVGとかMcAfee(ISP提供版)も使用中だったり、過去に試用してたりって感じ。

検体提出のお礼だとかで中国のセキュリティベンダーAntiy Labsから2年分のライセンスを貰ったんだけど
使う気ないんだよね…これどうしよう。検出率がアレなんで、知り合いに使わせる気にもなれないし。 <> (○口○*)さん<><>09/04/22 17:06 ID:w3LksEv40<> 重要度“最高”1件を含む脆弱性9件を修正した「Firefox」v3.0.9が公開
ttp://www.forest.impress.co.jp/article/2009/04/22/firefox309.html

>本バージョンでは9件のセキュリティ問題が修正されており、うち1件は重要度が4段階中の“最高”に位置付けられている。
>内容は特定状況下でメモリが破壊される脆弱性で、条件が整えば任意コードの実行を引き起こすおそれがある。 <> (○口○*)さん<>sage<>09/04/22 20:19 ID:AwBUZ29V0<> 鯖板でハック踏んじゃった;
すぐにパスを変えてOSインストールしなおした
あとはROだけだがあと30分ぐらいだ <> (○口○*)さん<>sage<>09/04/22 20:46 ID:AwBUZ29V0<> 終わった・・・
ひさびさにROできそうだったから(四日ぶりだが)
ETにワクワクしながら板や掲示板を巡回
仕事行く前の8時ごろにハック踏む

すぐにパスなどを変更

HDDフォーマットで放置で16時帰宅

OSインストールしながらTV見てた

OS,ROインスコ終わり

ROでキャラ全部消えた

さようなら・・・ <> (○口○*)さん<>sage<>09/04/22 20:52 ID:9KIneLIO0<> えーと
それはもしかしたらスクルドトラップかもしれないから
冷静に自分のワールドグループを確認するんだ

あと消えたというのがハックによるなら
パス変更はどこからしたの?
ウィルスはいったPCからしてもダメなんだよ? <> (○口○*)さん<>sage<>09/04/22 21:01 ID:N83Q8vhR0<> >>891
スクルド鯖が出来てワールドグループがズレてるんだって
早く確認する作業に戻るんだ <> (○口○*)さん<>sage<>09/04/23 00:12 ID:6rR7Hh/X0<> スクルドトラップは慣れないとマジ心臓に悪いよなwwwwww <> (○口○*)さん<><>09/04/23 00:36 ID:htO29TP/0<> そもそも課金済みの垢では、スクルド鯖に繋がる前に弾かれるんだが。 <> (○口○*)さん<>sage<>09/04/23 00:37 ID:uPbICmhZ0<> お前は「スクルドトラップ」を誤解している <> (○口○*)さん<>sage<>09/04/23 09:03 ID:z2esmRc30<> だからあれほど「スクルドトラップ注意」って名前のキャラを作っておけと <> (○口○*)さん<>sage<>09/04/23 09:24 ID:9goCgMvIO<> >>895
さっさとワールド234のどれかの鯖に移住するんだ <> 891<>sage<>09/04/23 10:16 ID:r/+/Q9cL0<> ワールドが1個ずれてただけだった・・・
騒いですみませんでした;
>>892そうなんだね
昔ってハックかかったらパス変更してからHDDフォーマットでも
よくなかったっけ?
ROにつながなければ大丈夫な時代は終わったのかぁ
とりあえずもう1回パスとか変えますー
それでは良きROライフを〜 <> (○口○*)さん<>sage<>09/04/23 11:11 ID:j+f4aTnW0<> >>891
何事もなくて良かったなw
スクルドトラップには要注意だw <> (○口○*)さん<>sage<>09/04/23 11:12 ID:5CKZo20I0<> 前から「携帯」や「安全な別PC」で変更ですのでお気をつけて。
アカハック踏んだPCでHDDフォーマット前に変更したら
ゲームパスどころかメルアドや登録した個人情報も全て筒抜けになり自爆です。 <> (○口○*)さん<>sage<>09/04/23 11:14 ID:5CKZo20I0<> あ、あとその環境がない場合はパス入力系の行動は一切せずに
必要なものバックアップしてフォーマットやリカバリしてまっさらの状態にしてから変更でも大丈夫です。
今の所は踏んだ後パス入力系の行為をしなければ抜かれませんので。 <> (○口○*)さん<>sage<>09/04/23 20:15 ID:r/+/Q9cL0<> 今日は遅番から帰宅〜
>>900,901,902ありがとう! <> (○口○*)さん<>sage<>09/04/24 18:48 ID:5X/374cv0<> つい先ほどモンクWikiのメニューが全部>>185にされてた
今はもう直ってますがとりあえず報告だけ <> (○口○*)さん<>sage<>09/04/24 20:32 ID:ChsR6t3Z0<> 物質スレで質問出てたんだけど、バスターでRagexe.exeの許可出すときにマウスが動かなくなって
許可出せないのはどう対処するんだっけ? <> (○口○*)さん<>sage<>09/04/25 00:16 ID:ZV/0G7h60<> >>930
スレ違いっぽいが,おまえのPCにはマウス以外にも,入力機器があると思うんだが? <> (○口○*)さん<>sage<>09/04/26 08:47 ID:aYUTy/Vm0<> tp://www■adobeus■com/go/getflashplayer/flashplayer■exe

USドメインだけど、検出名からするとWoWのアカハック。
ROに関係あるかどうかは知らないけれど、一応報告。

ttp://www.virustotal.com/analisis/b8d827a0533bf85bf966e10170b8eaa1 flashplayer■exe(15/40) <> (○口○*)さん<>sage<>09/04/26 12:43 ID:aYUTy/Vm0<> >>907の件、情報提供元からコピペ

>616 名無しさん@お腹いっぱい。 sage 2009/04/26(日) 12:07:03
>情報としてはこのへんかな
>Fake Flashplayer installer get wild
>http://www3.atword.jp/gnome/2009/04/26/fake-flashplayer-installer-get-wild/
>
>adobeusって紛らわしいなあ

abuseだとUSって出たけど、cnの間違いみたい。リネージュ資料室のPG2リストの範囲外ぽいから
このフェイクドメインの範囲も手動で追加しといた方がいいかもなー。 <> (○口○*)さん<>sage<>09/04/28 14:38 ID:3qQsgCN20<> firefox 3.10リリース
ttp://www.mozilla-japan.org/security/known-vulnerabilities/firefox30.html#firefox3.0.10 <> (○口○*)さん<>sage<>09/04/28 22:12 ID:vx9+5VPMO<> nPro更新された? <> (○口○*)さん<>sage<>09/04/28 22:19 ID:f1p8dayp0<> されてない <> 871<>sage<>09/04/29 13:19 ID:7Lq9nzslO<> 一度報告したので一応経過報告
無事アイテム復活してもらうことが出来ました
丸々四ヶ月かかりました。一応移動させられたアイテム特定にあと三週間くらいと、
復旧作業に二週間くらいかかるらしいので実際五ヶ月かな

被害受けてしまった人に少しでも希望を!諦めずに頑張ってください <> (○口○*)さん<>sage<>09/04/29 13:34 ID:tP3Lqd+i0<> とりあえず復旧までの手順と、せっついた経緯を教えてくれると嬉しい
捜査を加速させるために何をすればいいのか?っていう知恵はけっこう重要かも <> 871<>sage<>09/04/29 14:48 ID:7Lq9nzslO<> 今ちょっと仕事中なんで帰ったら流れを書き込みますよ

確かに、こうしてたらもっと早く終わっていたかもっていうのはあったので <> (○口○*)さん<>sage<>09/04/29 17:30 ID:YEmLBVPG0<> Adobe Readerに未解決の脆弱性、アップデートは準備中
ttp://www.itmedia.co.jp/enterprise/articles/0904/29/news003.html

>US-CERTによると、この脆弱性はJavaScript機能関連のエラーに起因する。
>悪用された場合、リモートの攻撃者に任意のコードを実行される恐れがある。

>影響を受けるのはAdobe ReaderとAcrobatの現行バージョンである9.1と8.1.4、
>7.1.1までの全バージョン。
>Adobeは各バージョンとOS向けに、脆弱性解決のためのアップデートを開発中。
>リリース日程が決まり次第、公開する予定だとしている。

>Adobeはアップデートが公開されるまでの回避措置として、Adobe Readerと
>AcrobatでJavaScriptを無効にする方法を紹介している。 <> (○口○*)さん<>sage<>09/04/29 18:36 ID:4hqpD8QH0<> >>912
お〜おめでとう!
自分のとこにも今日連絡が来たので、
一斉に処理しだしたのかな?
なんか同じ管轄の匂いがする・・・w <> (○口○*)さん<>sage<>09/04/30 12:30 ID:k1xwQsgWO<> 携帯から失礼します。
友達が垢ハックされたんですが二回目でもガンホーは対応してくれますか?

本人曰く昨日はケミwikiのスキル詳細をみただけらしいですが… <> (○口○*)さん<>sage<>09/04/30 12:55 ID:U2q9bbue0<> ここに聞くより癌に連絡したら? <> (○口○*)さん<>sage<>09/04/30 13:14 ID:sM3vXUoX0<> 復旧は一回のみみたいな事書いてあった気がするけど、
さすがに詳しい事はユーザー側にはわからないので
ガンホーに問い合わせてみるしか無いかと。 <> (○口○*)さん<>sage<>09/04/30 13:26 ID:hskkleFA0<> >>919
その記述に見覚えあるんだけど、今公式調べたら見つからなかった。 <> (○口○*)さん<>sage<>09/04/30 14:32 ID:k1ZUcx3h0<> 公式じゃなくて、警察の捜査終わって癌から届く復旧確認のメールに
書いてあるんじゃなかったっけ?
「今回は補填してやるけど、次はないぞ?」的な。 <> まとめ臨時 ◆kJfhJwdLoM<>sage<>09/04/30 16:52 ID:jau3wBV/0<> >871,912,916
救済報告が連続して…。
もしかしたらサイバー課で調査した結果が纏めて各所にって印象。
救済おめでとうございます。そしておつかれさまです。


>>917
とりあえず内輪で推測しあうよりは、
被害を受けた本人が
ガンホーのサポートセンターに問い合わせたほうが早いと思います。
電話だと早そうですけど、もうやられてしまった後なら
クリーンインストールしながらメールの返事を待ったほうがいいかもです。

やらないよりは、やっるだけやって待ったほうがよいかも。


>>919-921
テンプレにもあるアルケミストサービスの方のところに
アイテムを復旧する際の確認メールの部分に記載があるようです。
以前こちらにあった救済された報告でもそんな事があった気がします。 <> (○口○*)さん<>sage<>09/04/30 21:04 ID:SAg2veufO<> >>917
確かにアイテム復旧は一回、って記述はあった。
ただ完全に別件で期間も開いてるならやるだけの価値はあると思う
組織ぐるみでやられるのを警戒してるんじゃないかと
もしくは、足りないアイテムがあってもそれは復旧しないよ。って意味だと思う <> (○口○*)さん<>sage<>09/05/01 13:37 ID:ixW0ebti0<> 【      気付いた日時          】 2009 5/1
【不審なアドレスのクリックの有無 】 ケンセイWiki http://taekwon■s239■xrea■com/index■php?%A5%CD%A1%BC%A5%E0%A5%EC%A5%B9%A5%A2%A5%A4%A5%E9%A5%F3%A5%C9
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【    ツールの使用の有無      】 No
【  ネットカフェの利用の有無    】 No
【     OS    】windowsXP SP3
【使用ブラウザ 】FireFox 3.10
【WindowsUpdateの有無】 先週の土曜日
【 アンチウイルスソフト 】 avast
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 F-Secure nifty オンラインスキャンで発見されず
【スレログやテンプレを読んだか】 Yes
【hostsファイルの変更】無し
【PeerGuardian2の導入】無し
【説明】 ケンセイについてグーグルで調べていて、「アヌビス アプチャ」でググると上にあるケンセイWikiのページがでてきたので、踏むと
タブのタイトルが文字化けしていてページは真っ白でした。(何回か踏んだけど全部同じ)
ケンセイWikiから探すと同じアドレスのページがあり、踏むと普通に表示されるようなんですが、これはウイルスとは関係ないのでしょうか? <> (○口○*)さん<>sage<>09/05/01 15:06 ID:865vO4rZ0<> どうせエンコード違ってただけだろ <> (○口○*)さん<>sage<>09/05/01 15:57 ID:ixW0ebti0<> ありがとうございます。
でも心配性なんで、もうリカバリしちゃいました。 <> (○口○*)さん<>sage<>09/05/01 23:58 ID:ftK7dhW00<> >>926
ならばよし <> (○口○*)さん<>sage<>09/05/02 14:05 ID:4FRnEFXD0<> カスペのオンラインスキャンがPCが対応してないらしく出来ないのですが、
垢ハックに対して検出しやすい他のオススメのオンラインスキャンって何でしょうか? <> (○口○*)さん<>sage<>09/05/02 14:28 ID:SxQYos4M0<> カスペはSunのJavaがきちんと動く必要があったような…
(そのかわりそこらのActiveXのと違ってIE以外でも動く)。 <> (○口○*)さん<>sage<>09/05/02 14:47 ID:VYTCBr1J0<> >>928
カスペ系のオンラインスキャンを一旦アンインストールして入れなおせ。

a-squared Free でも入れて(毎回定義更新は手動だが)スキャンすればよくね? <> (○口○*)さん<>sage<>09/05/02 15:25 ID:4FRnEFXD0<> すいません入れなおしたら出来ました。
以前は何回入れなおしても出来なかったんですが・・・ <> (○口○*)さん<>sage<>09/05/02 16:44 ID:VYTCBr1J0<> セキュリティWIkiの編集で、画面が真っ白になって更新できない状況になってるのでこっちにメモ。

検体提出先追加

メール
NictaTech Software <newvirus@nictasoft.com>

Webフォーム
-[[Malwarebytes>http://uploads.malwarebytes.org/]]
--ファイルサイズ25MBまで
--パスワード指定の記載がないので、パスなしZIPが無難かも <> (○口○*)さん<>sage<>09/05/02 19:39 ID:RPxuBFhP0<> >>画面が真っ白に

なんらかのNGワードが含まれていると、そうなる。 <> (○口○*)さん<>sage<>09/05/02 20:13 ID:VYTCBr1J0<> アカハックではないですが、2chセキュリティ板より転記。

pdfの脆弱性を利用して感染し、バックドアを仕掛けるもの。
感染している状態で、自分のHPにftp接続すると、こいつらを呼び出すコードを
仕込んでくれるらしい。ある程度頻繁に入れ替えられる模様。

ルクセンブルクだったのがcnドメインでも出まわりだしたとか。
PG2の個人的拒否リストへの追加を推奨。

>zlkon■lv(GENOなどに仕込まれたあれ)ウイルスの新ドメイン「gumblar■cn」、ブロック推奨。
>zlkon時代と同様に更新が激しいと思われるので検出結果は一時的なものと考えてください。
>gumblar■cn/rss/?id=2 (←pdf)
>gumblar■cn/rss/?id=3 (←swf)
>gumblar■cn/rss/?id=10 (←exe)
>いずれもアクセス制御あり(pdfやswfやexeが降ってこない場合は蹴られてます)。

ttp://www.virustotal.com/analisis/6f4cfdaafafed7ee82d31a3ab44c5c4d gumblar.exe(3/40)
ttp://www.virustotal.com/analisis/2f81cb4ffdf69998e9606e217b043647 gumblar.pdf(2/40)
ttp://www.virustotal.com/analisis/400c9248635147d3e6605c118a68877c gumblar.swf(4/40)
ttp://www.virustotal.com/analisis/8ca8201a2abc0a859531f92a66b2c462 gumblar_fws.swf(4/40)
ttp://www.virustotal.com/analisis/ca6671d65e6372d91c192fa53ebd2da1 gumblar_upx.exe(5/39) <> (○口○*)さん<>sage<>09/05/04 15:27 ID:LiXF602G0<> ttp://www■freelotto■com/register■asp?skin=Cert&noepu=1&partner=1060373&affiliateid=
いつの間にかポップアップで開いてたんだけどこれアウト? <> (○口○*)さん<>sage<>09/05/04 16:09 ID:mPIuqM/h0<> >>1
>■ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ■

つーかアフィリエイトって書いてあるだろ <> (○口○*)さん<>sage<>09/05/06 02:14 ID:oMMik6Qn0<> mixiに報告のあったもの。

p://www■atwikisjp■com/user/3522938■zip <> (○口○*)さん<>sage<>09/05/06 13:14 ID:kGYof8j80<> >>937
既出(>>768)かと思ったら、ちょっと違うのか。。。atwiki人気だな <> (○口○*)さん<>sage<>09/05/06 13:19 ID:oMMik6Qn0<> >>937-938
ttp://www.virustotal.com/analisis/70347e7be5feb5692739a7269126c089 3522938.zip(17/41)
ttp://www.virustotal.com/analisis/9f41c85ab1c5cc3ae392cf51e2c4a894 3522938.exe(12/40)

検体提出時の状況。

言われてみれば、sが入っててドメイン違うのか。 <> (○口○*)さん<>sage<>09/05/06 13:56 ID:wKwOq+1+0<> 最近は何かとatwikiの使用が多いから、atwikiのリンクバー改竄した場合なんかにも
パッと見のリンク先を同じWiki内に見えて踏ますのが狙いかね。 <> (○口○*)さん<>age<>09/05/08 19:17 ID:fz6Rhi8m0<> mixiに貼られていたもの。夕飯食べたら検体提出に行ってきます。

p://www■nicovedeo■com/watch/
 p://www■nicovedeo■com/watch/Ms06014■htm
 p://www■nicovedeo■com/watch/Ms07004■htm
 p://www■nicovedeo■com/watch/MsAccess■htm
 p://www■nicovedeo■com/watch/Ms08011■htm
 p://www■nicovedeo■com/watch/Ms08053■htm
 p://www■nicovedeo■com/watch/Real■htm
  p://www■nicovedeo■com/watch/ma■exe <> (○口○*)さん<>sage<>09/05/08 20:29 ID:Dyo3W0K40<> これは良く見ないと普通に引っかかる奴いそうだな <> (○口○*)さん<>sage<>09/05/08 21:38 ID:DP0G3TrKO<> …マジで一瞬気付かなかった <> (○口○*)さん<>sage<>09/05/08 22:48 ID:miYW8ZJ40<> ひとまずspam.ini.phpへ追加と… <> (○口○*)さん<>sage<>09/05/08 22:53 ID:FFCJFdJm0<> spam.ini.phpが8058行になった
失効ドメインチェックしたほうがいいんだろうけど面倒すぎる <> (○口○*)さん<>sage<>09/05/09 11:14 ID:gbkpBZhG0<> アカハックされてそろそろ半年たつけど何の進展もないな。
今は月に1度ぐらい電話してるけど返答はいつも同じ・・・・
途中、こっちに報告なしで担当の人変わってるし。
担当の名前言って初めて移動しているって事実に驚愕したな。
後半年以上かかりそうだ・・・・ <> (○口○*)さん<>sage<>09/05/09 12:59 ID:M1C3c3Fb0<> ここらへんに乗ってる ドメイン(?)をHostsファイルに
127.0.0.1 nicovedeo■com

って書き込めば、ある程度は自衛できるかな? <> (○口○*)さん<>sage<>09/05/09 13:32 ID:e8EUC7U/0<> >>947
なるね。そのための、hosts書換用のまとめが公開されてたり、PG2が推奨されてる訳ですから。 <> (○口○*)さん<>sage<>09/05/09 13:34 ID:e8EUC7U/0<> >>941
今頃思い出した。Ms08011,Ms08053 以外のファイルは、なんらかのセキュリティソフトが反応してます。 <> (○口○*)さん<>sage<>09/05/12 16:05 ID:oZLHyC9e0<>
【      気付いた日時          】 2009年5月12日
【不審なアドレスのクリックの有無 】 Picoろだ
http://picopico2■dip■jp/uploader/data/1/1242048515588■3gp
【他人にID/Passを教えた事の有無】 なし
【他人が貴方のPCを使う可能性の有無】 なし
【    ツールの使用の有無      】 なし
【  ネットカフェの利用の有無    】 なし
【     OS    】 WindowsXP
【使用ブラウザ 】 Firefox2.0
【WindowsUpdateの有無】 ずっとしてないです。
【 アンチウイルスソフト 】 K7 ウィルスセキュリティ
【その他のSecurty対策 】 していないです。
【 ウイルススキャン結果】 エラーが出て検証できませんでした・・・。
【スレログやテンプレを読んだか】 はい
【hostsファイルの変更】なし
【PeerGuardian2の導入】なし
【説明】 Picoロダの画像を見た際に、「JPG」だと思い込み「3GP」というファイルを開いてしまいました。
開くと、エロ画像のようなものが出てきてハッっと思いすぐにウィンドウを閉じました。
コメント欄に垢ハックと書かれていたので怖くなって質問させていただきました。 <> (○口○*)さん<>sage<>09/05/12 16:26 ID:sVLb8Xfb0<> >>950
ここは鑑定スレじゃないけど…ただのエロ動画。青少年有害。

>コメント欄に垢ハックと書かれていたので怖くなって質問させていただきました。
これは嘘っぱち。

わけのわからないアドレスがあったらなにも考えずにアカハックと書いてまわるような善意の迷惑行為者だな。
真実かどうかには関係無く警告すればいいって考えなんだろうけど、狼が来たぞ〜じゃないんだから、
関係無い時にまで騒ぐなと。

ただ、ぴころだに乗せとく範疇のものじゃなさそうだね。 <> (○口○*)さん<>sage<>09/05/12 16:26 ID:sVLb8Xfb0<> 一応、これも張っとくか。

VirusTotalでは検出無し。
ttp://www.virustotal.com/analisis/2f9c66792c34b9ae7b171718e0f9ce25 1242048515588.3gp(0/40) <> (○口○*)さん<>sage<>09/05/12 16:45 ID:IxEjsJDx0<> 3gpを再生出来る環境なのに3gpを知らないとかありえないな。 <> (○口○*)さん<>sage<>09/05/12 17:43 ID:uNo1qny90<> この調子だと、QuickTimeも現行の7.5ではなく、脆弱性を抱えたバージョンのまま使っていそうだけど。
つか、突っ込みどころが大杉。

と言う訳で、>>950はせめて、
>【使用ブラウザ 】 Firefox2.0
>【WindowsUpdateの有無】 ずっとしてないです。
>【その他のSecurty対策 】 していないです。
だけでもどうにか改善する努力をしてくれ。現状のままではあまりに無防備すぎる。

本当ならば
>【 アンチウイルスソフト 】 K7 ウィルスセキュリティ
これもどうかとは思うが、まずは前述の方が優先。 <> (○口○*)さん<>sage<>09/05/12 19:09 ID:mPQVM6wv0<> 一度被害に遭うなり、ヒヤっとする経験あってこそ、
セキュリティ意識を持つようになるんだよ。
この機会にいろいろ勉強して対策取ればいいよ。 <> (○口○*)さん<>sage<>09/05/13 01:17 ID:7p3K98va0<> USBワーム対策とスキャン軽量化「ESET Smart Security V4.0」
ttp://internet.watch.impress.co.jp/cda/news/2009/05/12/23400.html

レスキューCDはちょっと興味あるな。Dr.WebのLiveCDのように、CD起動でもパターン更新できるかどうか。
作成時のパターンでしかスキャンできないなら、効用は限定的になって、ないよりまし程度かも。


↓はアカハック関係のニュース。

mixiでコミュニティや日記にスパム投稿、ウイルス感染の恐れも
ttp://internet.watch.impress.co.jp/cda/news/2009/05/12/23405.html

告知遅すぎ。1年以上前からやられてるというのに。
トロイでmixiのアカウントとパスを抜かれて、不正アクセスで投稿しているパターンが多いことに
触れられていないところも、この告知の評価を下げているとおもう。これを踏んでからmixiの垢を
盗まれるんじゃないってのに。 <> (○口○*)さん<>sage<>09/05/13 02:14 ID:dU7f+xCp0<> 記事内容からすると、この間のニコに似せた奴に掛かった人が多かったのかもしれないね。
で、問い合わせが多くて告知出したとかかも。 <> (○口○*)さん<>age<>09/05/13 08:37 ID:7p3K98va0<> Adobe Acrobat Reader 更新。 <> (○口○*)さん<>sage<>09/05/13 08:44 ID:7p3K98va0<> 一応、これも張っといたほうがいいか。
通称zlkon・GENOウイルスと呼ばれている奴への対策になるか…な?

Adobe ReaderおよびAcrobat用セキュリティアップデート公開
http://www.adobe.com/jp/support/security/bulletins/apsb09-04.html

>Adobe Reader 9、Acrobat 9およびこれらの旧バージョンに、クリティカルな脆弱性が
>存在することが確認されました。これらの脆弱性が原因でアプリケーションがクラッシュ
>したり、場合によっては、攻撃者が対象システムを制御できるようになる恐れがあります。
>この脆弱性については、既にその悪用事例が報告されています(CVE- 2009-0658)。
>
>Adobe Reader 9およびAcrobat 9をご利用のお客様には、Adobe Reader 9.1およびAcrobat 9.1への
>アップグレードを推奨します。Acrobat 8をご利用のお客様にはAcrobat 8.1.4へのアップグレードを、
>Acrobat 7をご利用のお客様にはAcrobat 7.1.1へのアップグレードをそれぞれ推奨します。
>なお、Adobe Reader 9.1へのアップグレードを望まないAdobe Readerユーザの方に対しては、
>Adobe Reader 8.1.4アップデートおよびAdobe Reader 7.1.1アップデートを用意しています。 <> (○口○*)さん<>sage<>09/05/13 09:47 ID:7p3K98va0<> …やられた。

最新だと思っていれたら、AcrobatReader 9.1.1→9.1.0 に戻された(笑)
9.1入れちゃった人は、更新チェックして、9.1.1にしとくよーに。Webのインストーラ古いぞ〜。 <> (○口○*)さん<>sage<>09/05/13 10:15 ID:5diuAgY3O<> 誘導されましたので、こちらで改めて相談させてください。

自宅PCがもしかしたらマルウェア?って言うのに侵入されたかも知れません。

このマルウェアを自分なりに少し調べた所、危ないプログラム?などを勝手にDLするとか書かれてましたが
マルウェアってROの垢ハクウィルスみたいに入力した情報を飛ばすキーロガー?みたいな事ってやりますか?

後、そのDLって侵入されてたらすぐさま実行される物ですか?それと、その際の怪しいDLの挙動って目に見えて解りますか?
今のところ、怪しいDLの挙動や残り容量の増減は確認出来ないのですが、もし目に見えない裏ででだと心配なので。

後、今のとは別件ですが、カスペルキーのオンラインスキャンをやろうとした所
うちはOSがXPのブラウザはスレイプニルでやってるんですが、まずスキャンの制約に同意
次にチェックをするためにファイルのアップデートを行い、その後にようやくスキャン開始になると思いますが
このアップデートの際に、ファイルの取得に失敗?とかってありえるのでしょうか?

最後の更新が失敗とか出て、もう一度ファイルを取得してくださいとか警告が出てしまいます。
なので仕方なくもう一度アップデート行っても、なぜか更新に失敗とかでアップデートする事が出来ません。

ちなみに、このカスペルキーのアップデートファイルはPCのどのフォルダに保存されてるんでしょうか?
タグブラウザのスレイプニルでやったのが悪かったか?と思うので、そのアップデートファイルを一度消して、IEで再取得したいと考えているのですが。

それとも、これはマルウェア?とかが本当に侵入していて、オンラインスキャンをさせない様に阻害してるんでしょうか。


お手数ですが、詳しく解る方は助言お願いします。
特に怪しいサイトを見たり、ファイルをDLしたとかは無いはずですが。

一応、スペックなどは夕方帰宅後なら書けます。今の話だけでも、なんとなくコレじゃないか?など心当たりがあれば教えてください。 <> (○口○*)さん<>sage<>09/05/13 10:43 ID:qUu20tb50<> >>961
初心者である→ http://pc11.2ch.net/pcqa/
初心者ではない→ http://pc11.2ch.net/sec/ <> (○口○*)さん<>sage<>09/05/13 12:03 ID:x3+iixiT0<> >>960
自分はいまだに8だったので今回9を入れようとFTPを見たら
バージョン9.1.1は約2MBの.mspファイルしかなかった。
9.1.1は現状パッチだけの提供でフルパッケージはまだないのかな?

>>961
ここは情報提供スレであって質問スレではないというのが定説らしいよ <> (○口○*)さん<>sage<>09/05/13 12:10 ID:qUu20tb50<> >>963
そういうこと。フルパッケージ落とすと9.1.0が降ってくるので
ヘルプから更新するか直接パッチ拾うかになる。 <> (○口○*)さん<>sage<>09/05/13 12:30 ID:X6XcNZNH0<> >>961

・マルウェアにキーロガー機能はあるか
→あるものもある、ないものもある
・マルウェアは侵入後即常駐?
→するものもあるし、しないのもある
・常駐の様子は目に見える?
→プロセス監視ソフトを使えば分かることが多い、初戦はプログラムなので
 但しBIOSに潜むようなタイプもあるので、そういうのだと分からない
・カスペルスキーのオンラインスキャンでファイル取得に失敗
→何についてもそうだが、エラーメッセージは一言一句正確に転記すること
 そのエラーの内容で対処方法も変わる
 [ERROR: の後ろを ]まで全部書き写しよろしく
・ダウンロードしたファイルはどこに保存?
→エクスプローラーで「kso*.jar」で「c:ドライブのファイルすべて」を検索
 「ブラウザのキャッシュディレクトリではない」ようなので、何で開こうが変わらないと思われる <> (○口○*)さん<>sage<>09/05/13 12:33 ID:dU7f+xCp0<> カスペのオンラインスキャンはスレイプニルだとなんかうまく動かないのでIEでやるようにしてるな。 <> (○口○*)さん<>sage<>09/05/13 12:44 ID:5diuAgY3O<> >>965
質問スレでは無いとの事なのに、詳しく返信ありがとうございます。本当に助かります。
エラーメッセージは、今出先で確認出来ないので、自宅に帰り次第改めて全て書かせて頂きますね。

>>962
こちらも帰宅後に向こうにも書いてみようと思います。
誘導ありがとうございました。 <> (○口○*)さん<>sage<>09/05/13 16:23 ID:ZEmeC2af0<> 正月明けにハッキング被害に遭った者ですが、
ようやくアイテム補填の流れまで辿りつけましたので一応報告。

警察へ届けてから4ヶ月半ちょっとで捜査終了の連絡。
以後ガンホーとの確認のやり取りに10日程(たぶんGW中だったため)。
復旧まではここから3週間〜かかるとのこと。
データ量が多いからおそらく1ヶ月ぐらいはかかると思うので、
全体でちょうど6ヶ月ぐらいでしょうか。

サイバー課のない署だったので、生活安全課でした。
捜査中に催促や確認の電話などは一切してません。

ここでの情報をいろいろ参考にさせていただいたおかげです。
皆様に感謝! <> (○口○*)さん<>sage<>09/05/13 20:25 ID:7p3K98va0<> おつかれー。アイテム復帰(予定)おめでとう。 <> (○口○*)さん<>sage<>09/05/13 20:51 ID:0craP10U0<> 遅くなりましたが、>>961です。
カスペルキーのエラーメッセージは以下の様なものでした。
----

アップデートに失敗しました。プログラムの開始に失敗しました。
オンラインスキャナのウインドウを一旦閉じ、再度開いてプログラムをインストールしてください。

オンラインスキャナの定義データベースをアップデートするにはネット接続が必要です。
最新の定義データベースにする事で新しいウィルスや脅威が見つける事が可能になります。
ネット接続をお確かめの上、再度オンラインスキャナを実行してください。
[ERROR:ファイルの操作に失敗しました]

----
こんな感じになります。
ちなみに再度インストしようとしても、上記と同じ警告が出て再インストも出来ません…。

お手数ですが、改善に向けてのアドバイスお願いします。 <> (○口○*)さん<>sage<>09/05/13 21:03 ID:7p3K98va0<> >>970
オンラインスキャンのインストールの話かな。
プログラムの追加と削除から、残骸を削除してからやりなおしてみてください。 <> (○口○*)さん<>sage<>09/05/13 21:04 ID:7p3K98va0<> さて、970過ぎた訳だが、テンプレの変更点ある? <> (○口○*)さん<>sage<>09/05/13 21:09 ID:7p3K98va0<> PG2をVistaで使う場合は、PG2英語版のβしかない上に、PG2をWindows起動時に自動実行しても
動作開始しないので、別途ローダーを落としてきて、ローダー経由で起動しなきゃいけない。

その辺を上手く解説してるサイトないかな。あれば、テンプレの>3辺りで紹介したいんだけど。 <> (○口○*)さん<>sage<>09/05/13 21:13 ID:0craP10U0<> >>971
申し訳ないです。残骸って何て名前なんでしょうか?
Kaspel?カスペル?どちらもそれらしいファイルは追加と削除には見当たらないのですが…。 <> (○口○*)さん<>sage<>09/05/13 21:25 ID:dU7f+xCp0<> アプリケーションの追加と削除にKaspersky Online Scannerが無ければ入ってないかな?
私も昔にSleipnirでやろうとしてうまく動かないので、
そのまま何もせずIEで繋いだら出来ましたので、ちょっとIEで試してみてください。 <> (○口○*)さん<>sage<>09/05/13 21:36 ID:0craP10U0<> >>975
「アプリケーションの追加と削除」とはコンパネの「プログラムの追加と削除」の事ですよね?
それだと、その中には英名でも和名でもカスペルキーっぽいのは見当たらないですね…。
「k」や「カ」で始まる物自体1個も見当たりませんでした。 <> (○口○*)さん<>sage<>09/05/13 21:41 ID:7QPtHKJn0<> >>957
単にmixiでお知らせがでたからじゃないかね?
今まで無かったし

>>956
期間限定で何ヶ月かだが、無料で使えるのは良いね。
気軽に動作チェックできる。 <> (○口○*)さん<>sage<>09/05/13 21:44 ID:7p3K98va0<> 970は質問者さんだし、前後を踏んだのでスレ立て試してきます。 <> (○口○*)さん<>sage<>09/05/13 22:01 ID:7p3K98va0<> アカウントハック対策・セキュリティ 総合スレ Lv.4
ttp://enif.mmobbs.com/test/read.cgi/livero/1242218790/

テンプレ変更箇所
・過去スレのアドレスにここを追記
・オンラインスキャナ辺りのアドレス修正
・NOD32の体験版へのリンク削除
 リンク切れ(2.7はなくなって3.0になっていた)していたのと、現状のアカハックトロイ新種への対応状況では、
 NOD32は決してお勧めできるものとは言いかねるので、削除しました。
・参考リンクの順序入れ替え
 RO公式のアドレスを先頭に。VirusTotalが落ちている時用にVirSCAN.orgも追加。
・PG2導入の手引きへのリンクと補足説明を書き足し
・aguseの説明に1行書き足し
・カスペオンラインスキャナのアドレスをグローバルサイトのものも併記

幾つか勝手にいじってしまいましたが、問題箇所があればご指摘ください。(この件は次スレの方がいいかな?) <> (○口○*)さん<>sage<>09/05/13 22:07 ID:X6XcNZNH0<> 文章でググってみた
ttp://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1023154940
回答は「向こうの問題なので何ともかんとも」
あと「カスペのActiveXを削除」ということで、%WINDIR%Downloaded program filesも見てみたんだが
そんなActiveXコントロールはなさそうだし…

カスペの入っていないWin2000PCで、Firefox3.0.10からやってみた
プログラム・データベース共にアップデート成功、今重要な領域を検索させているけどスキャンは出来る模様

同様にSleipnir2.8.4 ビルド2804400で実行中
セキュリティを甘くして(右下盾のマークを右クリックして全てにチェック)
master.xml.klzしかダウンロードできてないが、特にエラーは出てない…?

ただこれはFirefoxで先にやっていたからかもしれない、
既に言ったように、保存される場所はブラウザに依存しないから、2度落とすこともない

なので、他ブラウザで実行してから、ぷにるでやると成功するかも
または、ぷにるのセキュリティを見直すか

個人的には、30日無料なのでこの際カスペを入れてしまうとか
何にしてもセキュリティ対策ソフトは必須

>>979
スレ立て乙です、テンプレメンテにも感謝 <> (○口○*)さん<>sage<>09/05/13 22:09 ID:qUu20tb50<> >>974
特定のアンチウイルスの質問とかされても困るんで移動しような。
http://pc11.2ch.net/sec/ <> (○口○*)さん<>sage<>09/05/13 22:12 ID:7p3K98va0<> >>974
>975さんの説明にあるものが入ってないのであれば、オンラインスキャナのインストールが成功していない
ことになりますね。

仮に、インストールが完了して(プログラムの追加と削除に入っている)、なおかつ、>970のエラーが出る場合
 ・マルウェアが起動を阻害している(定義サーバーへの接続ブロック、プロセスの起動ブロック…など)
 ・定義DBサーバーが落ちているか、自分の側でブロックしている
 ・カスペルスキーが入っているのに、カスペルスキーオンラインスキャナを入れようとしている(バージョン不整合)
…とか考えられるんですが、そんなことよりも

>>961
>自宅PCがもしかしたらマルウェア?って言うのに侵入されたかも知れません。
>このマルウェアを自分なりに少し調べた所、危ないプログラム?などを勝手にDLするとか書かれてましたが
>マルウェアってROの垢ハクウィルスみたいに入力した情報を飛ばすキーロガー?みたいな事ってやりますか?

「検出された名称、検出したソフト、検出したファイルの名前」をしっかり書いてください。
マルウェアの感染が確実であれば、オンラインスキャンをやろうとしても無駄ですから。

ダウンローダーは、「複数の」マルウェアを落としてきますので、アカハックのようなキーロガー系のトロイを含む
なにを落としてくるかわかりません。

ぶっちゃけると、あなたのケースの場合、PCリカバリ(もしくはOS再インストール)以外の対策はお勧めできません。

オンラインスキャナを頑張って入れて、それで除去しても無駄です。マルウェア感染中にOSの設定を書き換えられて
いたり、重要なファイルを壊されていたりするので、完全復旧は、熟練した人でも非常に困難です。
このスレの>>6を参考にしてPCを安全な状況に戻してください。 <> (○口○*)さん<>sage<>09/05/13 22:59 ID:0craP10U0<> >>982
詳しくありがとうございます。
アレからも自分なりに色々試してみたところ、無事に正常な状態に戻ったと思われます。

大変申し訳ないのですが、正直に言いますと自分は物凄いの>>134でした。
他人のように偽ってしまい本当にすみませんでした。

最近バスタがPC起動すると急にアクセスランプが激しく光ってPCの残り容量が減り始め
大体1GBほど減るとランプの点灯がぱったりと止まって、その減ったはずの1GBが元に戻るという現象が起きてました。
更にこの状態を改善するのにバスタを一度アンインストして再インストした所
今度はPCを起動するとどう言う訳かタスクバーが無反応になる、タスクマネジャが出ないなどが起きてました。

それで、最後に物凄いの>>134の様にアンインストが出来ない状況に陥ってしまい
本当にどうしようもなくて、自宅PCのみならず携帯でも相談してしまいました。偽って相談して本当にすみませんでした。


そして改めて色々試した結果レジストリクリーンと言うツールでバスタのレジストリを削除して再起動した所
無事にバスタの再インストが可能になり、つい先程インスト&アップデート&スキャンが無事に完了する事が出来
今の所は上記に書いた異常も起きず、動作は安定している感じです。

ちなみにマルウェアが侵入したかも云々は物凄いの>>144-145さんに言われたからです。
それで自分なりに情報を調べたらキーロガーみたいなのもあると知り、不安になってこちらでも相談していました。

とりあえず、今は何も怪しい挙動等も見られないのでこのまま様子を見て
特に何も起きないならウィルスやマルウェアのせいではなく、バスタの不良?になると思います。
ただ、もしまた怪しくなったら大人しく退避出来るデータを移して、OSのクリーンインストールをしたいと思います。

おかげで本当に助かりました。どうもありがとうございました。 <> (○口○*)さん<>sage<>09/05/14 09:23 ID:p1+CJaz9O<> 先日友人から、要らなくなったPCを譲り受けました。
そのPCには元々カスペルスキーが入っていたのですが
譲り受けてからアバストに入れかえて検索したところ
デーモンツールというのが引っ掛かりました。
それは削除したのですが、友人にこの事を報告したところ
「それはDLしたファイルを読むために使ってたソフトだよ」と。
ROのセキュリティ関連のHPでは、そのフォルダがあるだけでも
やばいと言われているのに、これは一体どういう事なのでしょうか? <> (○口○*)さん<>sage<>09/05/14 09:36 ID:UwTFA+KD0<> デーモンツールは仮想CDのソフト。特定のバージョンにはスパイウェアが含まれている。

ttp://daemontools.gusoku.net/daemon_faq/
>Q:デーモンツールにウィルスが入っていると言う噂を聞くのですが
>A:デーモンツールver4以降に入っているアドウェア(スパイウェア)のことだと思います。
>  DAEMON Tools Search Barをインストールしなければ大丈夫です。インストール時のコンポーネント選択画面で
>  「DAEMON Tools Search Bar」のチェックをOFFにしてインストールしてください。また、ver3系列まではスパイウェアの
>  心配は無いので、当サイトではver3.47のインストール方法を解説しています。 <> (○口○*)さん<>sage<>09/05/14 10:38 ID:p1+CJaz9O<> ありがとうございます。
検知に引っ掛かったのは正に「それ」でした。
削除はしたものの、何か残ってたら怖いので
(ROは削除後インストールしたのですが…)
OSを再インストールしようと思います。

しかし、普通に使うためのソフトに、ウイルスが含まれているとは… <> (○口○*)さん<>sage<>09/05/14 10:55 ID:rZbQvrSx0<> ク、クマー… <> (○口○*)さん<>sage<>09/05/14 11:02 ID:oN63Dpv70<> ファーストオーナー以外がOSを再インストールせずに、譲渡された状態のままPCを使うのは色々と問題がありあり。
セキュリティリスクになり得るソフトウェアがそのまま残っていたりするとか、システムの設定が一般的な状態でなく
使用に際して支障が生じる可能性もある。
また、ソフトウェア関係以外にも個人情報に類する物が残留していて、何らかのトラブルによって流出したりすれば
それはそれで問題になったりする訳で。
他にも、インストールされているソフトウェアがライセンス違反の状態で使い続けられることも危惧されるし。 <> (○口○*)さん<>sage<>09/05/14 11:37 ID:UwTFA+KD0<> 定義ファイル使わない国産ウイルス対策ソフト、鵜飼裕司氏ら開発
http://internet.watch.impress.co.jp/cda/news/2009/05/14/23427.html

うへぇ、ヒューリスティックのみのセキュリティソフトとはまた怖いものを開発したなぁ。
「パターンの定義」と併用して補完するから使い物になるものだと思うのだけど。

ヒューリスティックに「定義された振る舞い」以外のものはすり抜けてしまう訳で…怖い怖い。 <> (○口○*)さん<>sage<>09/05/14 11:45 ID:LXaS0FkS0<> UNYUNが作ったんなら面白そうだ <> (○口○*)さん<>sage<>09/05/14 11:47 ID:UwTFA+KD0<> >>989
既存のセキュリティソフトと併用するものらしい。記事についてのコメントを撤回。 <> (○口○*)さん<>sage<>09/05/14 11:47 ID:oMeL6rDc0<> >>989
ちゃんと読め。
「その反面、パターンファイルに依存しないため、WordやExcelのマクロウイルスなどの古いウイルスは
検知できないこともある。そのため同社は、他社製品との併用を推奨している。」 <> (○口○*)さん<>sage<>09/05/14 14:18 ID:dRO2e1BI0<> yaraiないか!

使ってみたいモノだが、企業向けのみか…。
社長だまくらかして買ってもらうかな。 <> (○口○*)さん<>sage<>09/05/14 15:18 ID:UwTFA+KD0<> 今、流行中(?)の通称zlkon・GENOウイルス(現在は、zlkonではなくgumblarですが)に対応するには
有効だろうね。もろにこの型に対応するためのものっぽいし。HP更新するPCが感染すると、自分の所が
二次感染の加害者になっちゃうので、企業では入れといたほうが安心かもしれない。

>933
有効そうな事例(小林製薬などのzlkonウイルス感染例)
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1884

加害者になっちまうと、企業の責任がうんたら〜っつって購入して貰うのは悪いことじゃないだろう。
自社でHPの更新やってないなら他に購入理由考えてくれ。 <> (○口○*)さん<>sage<>09/05/14 17:33 ID:WOb7sfCX0<> >誤検知を防ぐために、企業で多く使われる商用ソフトのほか、
>「窓の杜」や「Vector」などからダウンロード可能なすべての
>フリーソフト・シェアソフトについても「ホワイトリスト」として登録済み。

これはどうなんだろう危険な気もするが
企業ならサーバー側でもチェックされているから良いのかな <> (○口○*)さん<>sage<>09/05/14 18:19 ID:5dvAI+lm0<> Vectorって過去何度もウイルス混入騒ぎおこしてね? <> (○口○*)さん<>sage<>09/05/14 19:23 ID:gCo4wV9J0<> >>990
その名前久々に聞いたw
Officeが馬鹿なハッキングデモやらなかったら、今頃なにしてたんだろうな。 <> (○口○*)さん<>sage<>09/05/15 07:03 ID:psmG02sG0<> 埋めついでに

本物そっくりの「Flash Player」偽サイト出現、目的はウイルス配布
ttp://itpro.nikkeibp.co.jp/article/NEWS/20090514/330029/

IE8だと警告してくれるな。IE7でもなるかな?
このドメインのトップページを開こうとするとAdobeの正しいサイトに飛ばしてくれる。

検体入手元
p://addobeflashplayer■com/flashplayer/thankyou/?installer=Flash_player_10_for_windows
p://addobeflashplayer■com/get/flashplayer/current/install_flash_player■exe

うちの環境では、(↓の上の方)が落ちてきた。
他の人が落としたら、同じアドレスで別のもの(↓の下)が落ちてきたそうな。

ttp://www.virustotal.com/analisis/5d6e8f1c4e61ec70f9aeb8dac954ea87
ttp://www.virustotal.com/analisis/56af703e9e0ecedd0e64ff99a841fc94 <> (○口○*)さん<>sage<>09/05/15 07:05 ID:psmG02sG0<> zlkon(gumblar)といい、これといい、環境によって落ちてくるものが違ったり、
感染できそうにない環境だと落ちてこなかったりするのは厄介だねぇ。 <> (○口○*)さん<>sage<>09/05/15 07:05 ID:psmG02sG0<> では、次スレへ

アカウントハック対策・セキュリティ 総合スレ Lv.4
ttp://enif.mmobbs.com/test/read.cgi/livero/1242218790/ <> 1001<><>Over 1000 Thread<> このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。 <>