2008年01月23日

超不覚〜アカウントハックURL踏んじゃいましたラグナロクオンライン

たまにROの話題を書いたと思ったらこれだものぉ〜…orz…
普段セキュリティとかワームの話を、「ご注意あれ」としたり顔で語っているくせに、本当に悔しく、汗顔の至りですよ本当に…

現状を簡潔に報告すると、

・アカウントハックへ誘導する罠ブログを踏んでしまったが、ハッキング自体はまだされていない
・踏んじゃったPCではないPCからすぐに対応し、キャラクターログイン状態を保持しているため、所持品・持ち金ともに今のところ無事
・PC内は最新環境で2重にスキャンしたがシロ、レジストリ関連も無事っぽい
・おそらく悪意のあるファイルを読み込む前に遮断出来ているとは思うのだが、この手のものはシロとは言い切れないので、安全のためにHDDフォーマットとOS再インストールを行うのが最善なのだが、データのバックアップを行いながらも悩み中←今ココ


という状態です。

<ギルドメンバー及び、各種オンラインゲームをプレイなさる方へ>

アカウントハックサイトへ転送する「罠サイト」への誘導方法は様々ですが、「一般ブログのROの話題の記事」に対し、コメントやトラックバックという形で書きこまれるというのもその一つです。
ですから、この記事に付くコメント(具体的には「私のブログも見てください」「ここに情報がありますよ」とURLを書いたり、「コメント者のホームページのURL」として仕込む場合)やトラックバックにも、罠URLへの誘導目的のものが出てくる可能性が十二分にあります。
現状のseesaaブログの仕様・及び当ブログの設定においては、「コメント文を見ただけで感染する」可能性はほとんどありません。
ただし、コメント内のリンクURLやコメント者のリンクをクリックしたり、トラックバック先に移動してしまうとアウトです。
これまでも、SPAMコメントやトラックバックは見つけ次第削除しており、再度アクセスできないような処置は取っていますが、さすがに24時間監視できるわけではありませんのでどうしても追いつきません。
この記事をお読みの方は、コメントやトラックバックについて少しでも「怪しいかも」と感じた場合には絶対にクリックしないようにしてください。
記事内容にまったく関係のないもののほかに、
「とてもためになりました」「ここも見てください」
というような、「記事の内容に具体的に即していない、やたらと汎用なコメント」のものも増えています
ので要注意です。
普段このブログにコメントを投稿してくださる方のお名前のもの、また私の記事更新やコメント返しがコンスタントに行われている状況であれば、投稿日から3日以上経っているコメントについては大体安全と思っていただいてかまわないと思います。

ともあれ、皆様が私のようなアホな轍を踏まぬようお祈りすると同時に、危険回避のための情報として何か一点でも役に立てば幸いです。

また、掲載した状況や情報は記事投稿時点のものであり、今後時々刻々手口が変わることが容易に予想されますので、絶えず最新情報をチェックなさってください。

<ラグナロクオンラインやその他オンラインゲームをプレイしていない方へ>

これから話題にする悪意プログラム・スクリプトやURLは、「ラグナロクオンライン」「リネージュ」「ファイナルファンタジー11」などのオンラインゲームのユーザーIDとパスワードを盗み出し、ゲーム内にログインしてアイテムやゲーム内通貨などを奪い取る(そしてそれを売ったゲーム内通貨を販売してリアルマネーを入手する)のが目的のものです。
ですので、万一同様のURLやスクリプトを踏んでしまったり、セキュリティソフトが検出したり、あるいは知らずにPC内部に入れてしまったとしても、これらのゲームをインストールしていない、プレイしたことがないという方にはほとんど実害がないと考えていただいて結構です(現状では)。

しかし、これらのスクリプトの動作は、

・PCユーザーがタイプしたID・パスワード情報を外部に送信して盗み取る
・暗証番号などを入力する場面のスクリーンショットを撮影して情報を盗む


という極めて悪質なもので、凄まじいスピードで亜種が発生しています。今後、特定のネットゲーム以外の情報を盗むタイプのもの(各種サービスのログイン情報や、ネットショッピング、カードや口座番号をも盗み出すようなもの)が同様の形で現れないとも限りませんので、怪しいと感じたリンクは踏まないように用心されるに越したことはありません。
もしアクセスしてしまって不安な場合は、以下の内容で示す情報サイトで詳細を確認するか、基本的な対応策(最新定義状態のセキュリティソフトでスキャンするなど)で安全状況をチェックしてください。




※注意※

以下の文章内では、危険URL(罠サイトやハッキングURL)については、誤ってアクセスすることを防ぐため、「http://」の部分を省略すると共に「.(ドット)」を「★」に置き換えて表示しています。
色はオレンジ色にしています。

くどいようですが絶対にアクセスしないでください。
詳細を知るためにURLの一部をコピー&ペーストして検索などを行う場合も、アドレスバーに誤ってペーストすると、勝手にURLが保管されてアクセスしてしまう場合がありますのでご注意を…



[踏んだ時の状況]


●使用ブラウザはFirefoxの現行最新バージョン2.0.0.11
●最近リリースされたフリーの動画編集ソフト「nive」に興味を持ち、配布されているwikiサイト
http://www.wikihouse.com/nicoAE/)に行きソフト本体をダウンロード。使い方を見るために、左側のメニューから詳細ページへ移動しようとクリックした。

●しかしメニューが改竄されており(1時間後には正常なリンクに復旧済み)、動画編集とは全く関係のない
 spesmist★blog28★fc2★com
 というURLのブログにアクセスする。(現在は停止状態)

 内容は一見普通の、「ROユーザーのプレイ日記」にしか見えないものだったが、「wikihouse.com/nicoAE/」ドメイン内部へのリンクのはずなのに、ジャンル無縁の個人ブログに飛ばすものであること、また「最近fc2ブログに色々仕込まれている」という情報を聞いていたのですぐにアカウントハッキングの可能性にピンと来て、瞬時(画面が移動する前)にタブを閉じる。

この時、インストールしている「NortonInternetSecurity2008」は検出反応せず。

●取るものもとりあえず、別PCからネットにアクセスし、
 ・ガンホーIDのパスワード
 ・ラグナロクオンラインアトラクション用パスワード
 ・キャラクターパスワード
をすべて変更。(空きスロットはもとよりナシ)
 ・所持品・所持通貨には被害ないことを確認
 ・キャラクターをログインさせ、念のために貴重品と所持通貨のほとんどを別アカウントキャラクターに移動
 ・他のPCから同一アカウントに基本的には多重ログインはできないので、とりあえず1キャラクターをログインさせっぱなし
(←今ココ)

●最新定義状況になったことを確認し、NISでPCをフルスキャン。結果は検出事項なし。

●スキャンの傍ら、一応、ソースチェッカサイト(http://so.7walker.net/)で、  spesmist★blog28★fc2★com
 についてチェックしてみる。

 →www★teamerblog★com/blog/
へ飛ばすインラインフレームタグが発見される。
さらにそこから
 →www★panslog★net/wiki/index1★htm
のアカハックURLに飛ばすインラインフレームタグ。

この経路はわりとポピュラーなアカハック用ルートなので、「やっちゃった」確定である…orz…

ただ、「www★teamerblog★com/blog/」「www★panslog★net/wiki/index1★htm」の「白い画面」は表示前に閉じた(はず)。

●MMOBBS板の「アカウントハック総合対策スレ9」にも同じURLを踏んだ人からの相談アリ。親切な住人さんの調査によればやはりクロ(詳細は後述)と確定。

●本来、ネットワークからは切断した方がいいのだが、カスペルスキーオンラインスキャンをしてみる。結果はやはり何も出ず。
上記スレで相談してみたところ、
「水際(トロイ入手前)で切断できた可能性はあるが、"未検出"という結果からはさまざまな状況が想定されるために安全とは言い切れない。できればOS入れ直し推奨」
という回答を得た(対応してくださった方、ありがとうございました)。


[誘導が貼られる場所について]

今回の件もそうなのだけども、とにかく見境がなくなってきている。これに尽きます。
ちょっと前までは、貼られるのは「RO(または各オンラインゲーム)関連情報サイト」「掲示板」「各職業特化wiki」がほとんどでした。ターゲットが多く集まる場所であり、ネトゲをやらない人のPCに忍ばせても効率が悪いからでしょう。
しかし最近は、ネットゲームと全く関係のないサイトに貼られることが増えてきました。スポーツ関係、アニメ関係、芸能関係などまさに「何でもあり」です。
私自身も、RO関連サイトを見るときは常にステータスバーに注意を払っていたのですが、今回は全くジャンルが異なることから油断していました。
もはや、(今のところネトゲユーザー界隈での話ですが)「管理者以外が自由に書き込める掲示板・ブログコメントとトラックバック・wiki」については、「どこに何が仕込まれていてもおかしくない」状況だと思わなければならないようです。

[wikiについて]

私が引っかかったから言うのではないですけども、特に目立つのが「まとめサイト」として用いられる"wiki"形式のサイトでの被害です。
ご存じの方も多いと思いますが、wikiの最大の特徴は、「訪問者が自由に内容を追加編集できる」ということです。これはwiki最大の利点であり、特にリアルタイムに進行している事柄について情報をいち早く追加し、まとめる際には最適で、非常に有用です。
例えば、大規模な地震や災害が起こった際には、まとめwikiに各地の被害状況や交通情報、"現在その地域でどの物資が不足して、何が足りているか"などの具体的な情報が随時更新され、被災者・支援者両方に大きな利便性をもたらしました。
しかしこれは同時に最大の弱点でもあり、今回のように、悪意のあるリンクや虚偽の情報なども書き込まれてしまうということでもあります。
管理者や他の投稿者が不正な改ざんに気づけばすぐに書き直すことは可能ですが、その間に踏んでしまったのが私のケースということです。
どのページでも同じことが言えますが、特にwikiを利用する場合は、リンク部分にマウスを置き、クリックする前にステータスバーをよく見て、
・wiki内のリンク(メニューなど)であれば、今見ているURLと同じURLで始まっているか
を確認
してからクリックしましょう。
また、そのwiki以外のサイト(外部リンク)へのリンクの場合は判断が付きにくいこともあると思います。

有害と確認済みのURLについては、有志がまとめてくださったものがいくつかあります(後述)ので、それを参照するか、「ソースチェッカーオンライン」(これも後述)を利用して、アクセスすることなくリンク先を確認しましょう。危険度が検出されるようであればクリックしないのが最良です。

wikiと一口に言っても、セキュリティ対応において大きく二つに分けられます。
一つは、特にセキュリティを強化せずにデフォルトで運用するタイプのものです。
誰でもリアルタイムに編集・追加ができるので、アップトゥデートな情報を得ることができますが、どうしても悪意あるリンクへの誘導や、虚偽情報も錯綜しがちになります。これはリンク先を確認したり、内容を他の情報と照らし合わせて吟味することで自衛するしかありません。
もう一つは、情報の即時性を多少犠牲にしても、セキュリティを重視する設定のwikiです。
後者の多くは、情報投稿後、管理者が承認したもの、または不適切でないIPからの投稿だけを反映するようにしていますので、改竄や罠誘導は最小限に抑えられます。
また特筆すべきは、外部へのリンクの場合、
「外部のサイトへ移動しようとしています。本当によろしいですか?」
というような確認メッセージが出て、さらにその下にこれから移動しようとするページのURLが表示される仕様になっていることです。

要するに、移動の前にワンクッション置くわけです。
これで、「内部リンクと見せかけて外部リンク」であれば「おかしいな」と気づくことができますし、外部リンク先のURLについて検証するのにも便利です。
こうしたwikiはたくさんありますが、ROでは「BSwiki」あたりもそうです。

transfar.jpg
(BSwikiから外部リンクをクリックしたときの表示ページ)


このように対策されたwikiにあっては、外部リンクへの信頼性は比較的高いといえます。ですが完全ではありませんし、リンク先が安全であるかはまた別問題です。
いずれにしろ、wiki利用の際の目安と心構えとして押さえておくといいでしょう。
繰り返しますが、ネットやゲームと無関係のwikiであってももはや気を緩めては危険な状況にあります。ジャンルで油断しないように。特に人気のあるテーマのものほど危ないです。

[リンク先の確認〜既知の危険ドメイン〜]

例えば、「BSwiki」内の「危険ドメインリスト」などがそうです。最新の情報は即時には反映されないので、載っていないからと言って油断は禁物ですが、とても参考になりありがたいものです。
掲載ドメインは沢山ありますので、探すのはちょっと大変かもしれません。
CTRL+Fキーでページ内検索ダイアログボックスを開き
・調べたいURLのドメイン部分(またはその一部)を入力して検索します。

 ドメイン部分は、URLの最初の部分から「http://」を除いたものです。例えば、このブログであれば「zerodama.seesaa.net」がドメインとなります。

検索結果が見つかれば、リンク先は危険と考えて間違いないでしょう。
繰り返しますが、ダイレクトに誘導するものではなく、何度か一見無害なURLを経由して導くものが主流になっていますので、このチェックだけでは完全とはいえません。少しでも不安な場合はぜひ下の方法を併用してください。

[リンク先の確認〜ソースチェッカーの利用〜]

リンク先が安全かどうか判断できない、あるいは変なものを踏んでしまったかもしれないと不安な場合には、ソースチェッカーで確認しましょう。もちろんネットゲーム関係だけでなく、さまざまなケースでとても有用です。掲示板の中のリンク先、特にぶっちゃけアダルトサイト利用中に不安になった場合にも役に立つことでしょう。

まずは、リンク先のURLをクリップボードに取得します。

・不安なリンク部分の上で右クリック
・IEなら「ショートカットのコピー」
・Firefoxなら「リンクのURLをコピー」を選択


・「ソースチェッカーオンライン」にアクセス
・画面最上部のボックスを右クリックし、先ほどコピーしたURLを「貼り付け」する
・その右のボックスから、使用ブラウザまたは利用携帯キャリアを選択して「check」
・チェックの結果が出ます。
左上のエリア内に危険度や埋め込まれたスクリプトが表示されます。中には無害なもの(カウンターやweb拍手など)も混じっていますが、

※このアドレスは危険URLのひとつです。

※インラインフレームタグを発見しました。

※ループタグを発見しました。

という文言が出てくればまずヤバいと思っていいでしょう。
(インラインフレーム自体は通常の技術ですので、インラインフレームタグすべてが有害というわけではありません。ただ、検索したのと異なるドメインのURLに飛ばすタイプのものはかなり危険です。そしてこのタイプのタグが悪用されているのが現在のアカウントハックなのです。)
インラインフレームタグで飛ばされる先についても、クリックすれば表示されます(実際にアクセスするわけではありません)ので、飛ばされた先とその危険度を確認します。
この危険度の確認に、先ほどの「危険ドメイン一覧」を併用するのがおすすめです。
ソースチェッカが常に最新の正確な状況を把握できているとは限らないので、過信は禁物(相手は常に手を変え品を変え、ドメインを新しく取得しています)ですが、アカウントハッキングの場合、先に行けば行くほど既知のアカウントハックURLに収束する傾向があるので、表示される「危険度」は高くなると考えていいでしょう。

[最近の傾向と罠サイト]

アカウントハッキングの被害が出始めの頃は、

・誘導先の画面が「いかにもなんかやられた」と気づくに十分なもの
・リンク先の拡張子が「exe」「scr」と、「いかにも」なもの
・誘導先のURLのドメインが「.cn(中国の国固有ドメイン)」を含む(この手の悪質な手口を仕掛けてくるのは中国のRMT業者であることは広く知られていますね)
・誘導文の日本語が不自由だったり、URLのみ書かれている
・誘導先の種類もそれほど多くない
・仕掛けられるのはネットゲーム関連の掲示板や情報サイト・wikiなど


というように、ある意味「分かりやすい」ため、警戒するのがある程度容易でした。
しかし、日を追うごとに手段は巧妙化し、今では「.cn」の生のドメイン名で仕掛けてくることのほうが稀になり、貼り付ける先が見境なくなり、コメント文言もいかにもクリックを誘うものに変わってきています。

特にこの頃顕著なのが、偽装した個人ブログの中に隠しフレームタグを仕込むタイプです。
これはやはり、リンク先を確認したときに、既知の危険ドメインや中国ドメインなのと、国内でもメジャーなブログなのとは警戒心が大きく違ってくるわけで、そこを利用したものと言えるでしょう。
また、ぱっと見には「アカウントハックURLを踏まされた」ということすら(セキュリティソフトが反応しない限り)気付かせないという巧妙さも身につけているわけです。

特に最近急増しているのが、国内でも利用者の多い「fc2ブログ」を踏み台にして不正タグを仕込むというケースです。
フリーでレンタルできるブログサービスはたくさんあるのですが、その中で「iframe」タグをユーザー側が自由に使用できるサービスrは限定されています。それはつまり、今回のような悪用が可能であること、セキュリティ面で望ましくないからと運営側が判断したからです。
で、fc2はそれが可能な数少ないサービスなんですね。これは様々な遊びや仕掛け、またデザインの自由度を作り出しますが、同時に悪用もされやすい状況というわけです。
その上、ブログアカウント取得に関するIP審査がゆるく、海外からのIPでもブログを作れてしまうらしいとか、とにかく「セキュリティが甘い」ということで恰好の罠ブログとして選ばれているようです。
もっとも、他にもサーパラブログやJUGEMなどでも確認されているようなので、「fc2じゃないから」といって油断はできませんが。

ブログや掲示板を管理なさっている方は、当分、SPAMコメントやトラックバックのURLが「fc2.com」ドメインの場合には、自分も極力踏まないようにした上で、不要と判断した場合は速やかに削除なさることをお勧めいたします。

[リンク先の確認〜関連スレッドを参考にする]


・「Ragnarok Online板@MMOBBS」の「アカウントハック対策総合スレ」(現行はpart9

・「LiveRO板@MMOBBS」の「セキュリティ対策、質問・雑談スレ」(現行はPart4)
では、最新の有害URLや、踏んでしまった人からの情報・助言等の情報が手に入ります。
私もこの周辺のスレッドで情報を確認し、相談に乗っていただきました。情報を整理し、関連サイトリンク情報を得るのに大変役に立ちます。
イザという状況では慌ててしまっていることが多いとは思いますが(私もいくつか既出の質問をしてしまったし;)、相談する場合にはスレッドの最初の方のルールをよく読み、テンプレートに従って礼儀を忘れずに書き込みましょう。
相談的な内容は「セキュリティ対策〜」スレッドの方がよいようです。


テンプレートにもありますが、「怖くてクリックできないから見てきてくれ」と頼むためのスレッドではないので勘違いしないようにしましょう。
単に飛び先チェックであれば、
「"勇気がなくて見れない""関連スレ"」「ブラクラかもしれなくて踏めない人たち」で検索して、2chの最新のスレッドを探してお願いした方がいいです。書き込みについてはそれぞれの板やスレッドのローカルルールに従いましょう。

[踏んでしまった場合に取るべき対応]


さまざまなところで解説していますが、「BSWiki」の「安全のために」が最も分かりやすいと思いましたのでお勧めしておきます。
不安に思う現役プレイヤーの方は、プリントアウトしておくのもよいかもしれませんね。

詳細は上掲サイトに書かれてある通りなのであえて繰り返しません。下手に端折った説明で対応を誤る方が出てもいけないので、是非上のサイトをご覧ください。

とりあえずは、ゲームの種類にかかわらず、オンラインゲームをするという方は

・WindowsUpdateの更新チェックは忘れずに
・セキュリティソフトの定義更新も常に最新状態に

 「気づけば更新してない」「サポート期限切れてた」なんていうのは論外です

これだけは忘れずに。

そして、「ヤバいものを踏んじゃったか?」と心当たりがある場合は、絶対にそのPCでネットゲームにログインしないこと。
パス変更は別の安全なPCから行うこと。

また、各種パスを変更する場合、ラグナロク公式のナビゲートがヘボいせいでサクっと到達しづらいんですね。
というわけで、ラグナ公式ではなく、
ガンホー公式→アトラクションセンター

に進みましょう。

ガンホーIDとパスが必要なのですが、いつもはあまり入力する機会がないと思いますので、忘れずに手元に用意してからどうぞ。


オンラインゲームの長年育てたキャラクターも、アイテムもゲーム内通貨も、突き詰めればただのデータです。サービスが終われば何の価値もなくなって消えてしまうものです。そんなものにいちいち凹んだり憤ったりする姿は、おそらくゲームをプレイしていない方には滑稽にしか映らないと思います。
いやもう、本当に悔しいんですね。
日頃えらそーにワームがどうだトロイにご注意と言っておきながら、こんなアホらしいことで踏んづけてしまった自分の間抜けさが。
踏んでしまったのは先日購入した新しいPCで、ようやくさまざまなツールを揃え、環境もほぼ前のPCと同様に整え、映像素材のエンコードも終えてさあ動画を作るか!という状態だっただけに、OS入れ直しをする羽目になりそうなのはもう本当に悔しいのですよ…

今回のアホな体験をさらすことで、ギルドメンバーに現在のアカウントハック情報や対応策(それはつまり「やっておけばよかった」「なぜあの時に限って注意しなかったんだ」という私の後悔です)を知ってもらいたい、そして同じように踏んでしまってハッキング被害に遭う知り合いの姿を見たくないと思い書きました。

また、現在ネットゲームをしていない、興味がない方におかれましても、もしも同様のスクリプトがゲーム以外の情報を盗み出すああ愁を生み出した場合にも、ある程度の「手口」を知ることで回避のヒントになれば…という気持ちもあります。

まあそんなこんなで現在やさぐれております。
他に書きたかったエントリもあるのですが、ちょっと気持的に煮え切らない(踏んだなら踏んで検出されていれば再インストールに思いきれるんですがね…)ところがありまして保留します。えいちくしょうめ;


何かの参考になるかならないか分からないけれども、アカウントハックスレに載っていた私の踏んだURLのケースについてコピペして資料としておきます(ちなみに320はお察しどおり私です;)。

313 :(^ー^*)ノ〜さん :08/01/23 01:00 ID:tPy+8DyL0
【  アドレス   】http://spesmist■blog28.fc2.com/
【気付いた日時】ついさっき。ROとは関係ないWikiを見た時。
【     OS    】WindowsXP HomeSP2
【使用ブラウザ 】IEです
【WindowsUpdateの有無】アップデートは入ったら入れてます
【 アンチウイルスソフト 】WindowsLiveOnecare
【その他のSecurty対策 】ルーター
【 ウイルススキャン結果】踏んだ時に対策ソフトが警告を出してくれてその時削除しました。その後カスペルスキーでスキャンして見ましたが何も出ていません。
【スレログやテンプレを読んだか】テンプレは一応読みました
【hosts変更】無し
【PeerGuardian2導入】無し
【説明】ウイルス対策ソフトが反応したため。ROにログインしている状況でWikiを見て感染したのですが、すぐ削除した場合どうなるのでしょうか。

314 :(^ー^*)ノ〜さん :08/01/23 01:03 ID:tPy+8DyL0
313ですが。
カスペルスキーで再度検索したところ感染がありました。

315 :(^ー^*)ノ〜さん :08/01/23 01:11 ID:Ie4DqmKL0
ならログアウトしたら再度ログインは控えるように

316 :313 :08/01/23 01:27 ID:tPy+8DyL0
カスペルスキーのスキャンで出てきた名称は"Trojan-Downloader.VBS.Agent.hi"
と"Trojan-Clicker.HTML.IFrame.il"らしいです。
全然わからないです('A')

317 :(^ー^*)ノ〜さん :08/01/23 02:14 ID:kzeAXSyr0
>>316
分からなかったら調べる (`・ω・´)

Trojan-Downloader.VBS.Agent.hp(hiはなかったのでこれかな)
ttp://www.viruslistjp.com/viruses/encyclopedia/?virusid=247763
Trojan-Clicker.HTML.IFrame.g(同じくilなし)
http://www.viruslistjp.com/viruses/encyclopedia/?virusid=125408

というか、Onecareで対応した方がいいのかもね
カスペのオンラインスキャンで駆除できるわけではないし
Onecareでは何という名前で出ていたのか分からないから検索が出来なかった (´・ω・`)

318 :(^ー^*)ノ〜さん :08/01/23 04:52 ID:RVYxqRSF0
>>316
それは両方とも、ダウンローダ(IEのキャッシュかな)。

なんたらIframeは、縦か横のサイズを0にしたIframe呼び出しで別サイトのhtmlを閲覧者に隠して読み込ませるもの。
VBSってのは、アカハック本体を読み込ませるものだが、VBで本体の名前が難読化されているもの。

この段階でブロックできているなら、水際阻止ということだが、今回は「事後に確認」しているので
本体を入手してしまっている可能性がある。VBSの奴は、2〜3種類落としてくるものが一般的で
LiveOneCareが本体をブロックしていても「ブロックできていない本体がいる可能性が高い」。
(あとでチェックしたカスペをすり抜けるものが含まれていたなら、発動させていると思った方がいい)

「説明」を読む限りは、接続中ではあったが「ログイン作業は行なっていない」ということのようなので、
現時点では盗まれていない筈。だけど、上に書いたようにすり抜けている可能性が十分にあるので
「あなたが踏んだ時から、ファイルの変更がなく」「カスペオンラインスキャン時のパターンで検知可能な
ものしか置かれていなかった」という2つの前提条件をクリアできない限りは、OSの入れなおししかない。

■踏んでからログインなどを一切していない場合
・早急なOSの再インストールを推奨

■一度でもログイン等してしまった場合
・安全な環境(詳細はテンプレ参照)から、パスワードの変更を行なう
・その後で、OSの再インストールをゆっくりとどうぞ。

319 :(^ー^*)ノ〜さん :08/01/23 05:11 ID:RVYxqRSF0
>>313
ttp://spesmist■blog28■fc2■com/
ttp://www■teamerblog■com/blog/
ttp://www■panslog■net/wiki/index1■htm

ttp://www■panslog■net/wiki/send■exe
ttp://www■panslog■net/fc2/cery■exe
ttp://www■panslog■net/wiki/reco■exe

カスペ検出名
->fc2のindex■htm(カスペすり抜け)
-->アカハックサイトのindex■htm−−−Trojan-Clicker.HTML.IFrame.il
--->VBSで本体をダウンロードするindex1■htm−−−Trojan-Downloader.VBS.Agent.hi
---->send■exe(本体1)−−−Trojan-PSW.Win32.Delf.aih
---->cery■exe(本体2)−−−Trojan-PSW.Win32.OnLineGames.lyx
---->reco■exe(本体3)−−−Trojan.Win32.Inject.ms

send■exe(PWS:Win32/Lmir.BMT)
ttp://www.virustotal.com/analisis/d74b020f6bb8c953b4aa632429764ec3
cery■exe(Microsoftすり抜け)
ttp://www.virustotal.com/analisis/9b0cf477874077a5974b7689b0ff6640
reco■exe(Microsoftすり抜け)
ttp://www.virustotal.com/analisis/98ce162e72789db5705dad5827fd2f31

多分、WindowsLiveOnecare が反応し、ブロックできたのは「send■exe」のみ。
他の2つは、切断前にダウンロードしていた可能性があるし、send■exeをブロックする
段階までいったとなると、それを読み込ませようとするレジストリへの変更などが
index1■htmのVBScript実行時点で行われてしまっている。

やはり、早急なOS入れなおしが必要と思われる。もちろん、カスペオンラインスキャンで
「Trojan-PSW.Win32.OnLineGames.lyx」と「Trojan.Win32.Inject.ms」が出てこないので
1つめを入手しようとした時点で切断しており、残りを入手していないと信じて、自己責任で
使い続ける方法もあるが、お勧めはできない。

320 :(^ー^*)ノ〜さん :08/01/23 05:45 ID:0Ng+OrFr0
すみません、便乗で相談させてください。
>>313さんとほぼ同じ時間で同じ罠ブログを踏んでしまいました。
(ちなみに、ROとは無関係な動画製作関連wikiのメニューを書き換えたもので、現在は修正されているようです)
状況は次の通りです。

【  アドレス   】http://spesmist■blog28■fc2■com/
【気付いた日時】08/01/23 01時過ぎころ
【     OS    】WindowsXP Home SP2
【使用ブラウザ 】Firefox2.0.0.11
【WindowsUpdateの有無】自動更新/最新の状態です
【 アンチウイルスソフト 】Norton internet security 2008
【その他のSecurty対策 】ルータ
【 ウイルススキャン結果】最新定義状態のノートンで検出なし、カスペオンラインで検出なし
【スレログやテンプレを読んだか】読みました
【hosts変更】無
【PeerGuardian2導入】無
【説明】踏んだ時にノートンの反応はありませんでしたが、wiki内ページのはずが外部ブログ、
それもROプレーヤーの日記を装っていたためアカウントハック目的の偽装書き換えだと思い、
こちらのスレッドを拝見したところ>>313さんの書き込みを見つけました。

すぐに感染の恐れのないPCで各種パスを変更し、キャラクターをログイン状態にしています。
踏んでしまったPCでは
・Firefoxのキャッシュとクッキーをクリア
・Temporary Internet FilesフォルダとIEのクッキーをクリアし、
・\Temp\top.exe
・\windows\system32\exploreref.exe
・\windows\system32\systemlf.dll
がHDD内に存在しないことは確認しています。

念のためOSの入れ直しを考えていますが、検索しても把握できなかったので次の2点について教えていただければ幸いです。
上記の状況では、閲覧はしたが一応食い止めたという可能性が高いと考えられてよいでしょうか。
また、上記レスで指摘されているダウンローダは、Firefoxで閲覧した場合にはどのように動作するのでしょうか。
(動作しない、IE同様に動作する等)どうぞよろしくお願いいたします。

321 :(^ー^*)ノ〜さん :08/01/23 06:22 ID:RVYxqRSF0
>>320
・基本的に、FireFoxでもIEと同様に動作する。
・>>319のVirusTotalの結果を見てわかるように、本体自体はパターン更新していればノートンでもブロック可能。
・本体入手前(もしくはダウンロード完了前)に切断が間に合っている可能性はあるが保証できない。
 そのため、OSの入れなおしは推奨する。

>上記の状況では、閲覧はしたが一応食い止めたという可能性が高いと考えられてよいでしょうか。
・反応していないことをもって、食い止めたと判断はできない。
 (踏んだタイミングによってはファイルが差し替えられている可能性もある)
・>>319の調査時点と踏んだ時点でファイルが同じであると仮定した場合、同じ名称(ノートンの名称では
 かかれていないが)で、すべてブロック履歴があれば、ブロックできた可能性が高いと言えるが、
 「検知されなかった」場合は、可能性が複数考えられるので、「判断のしようがない」。

322 :(^ー^*)ノ〜さん :08/01/23 08:34 ID:2T1RtJHM0
自ブログのコメントより垢ハックと思われるアドレス。
blogrogame■blog18■fc2■com
エキサイトブログは今年に入ってからハクアド貼り付けが多くなってますね。

323 :313 :08/01/23 09:00 ID:fekc07+rO
おはようございます。
今は家から出てしまったので帰宅してからOSの入れ直ししようと思います。

後から出た物はOneCareでは検出できませんでした。

324 :(^ー^*)ノ〜さん :08/01/23 12:33 ID:GRAYm8+l0
>>322
それ、インラインフレームでwww■symphones■comにアクセスさせ、
vbscriptで何かのコードを実行させようとしているな。hostsに追加だわ。

325 :320 :08/01/23 12:54 ID:0Ng+OrFr0
>>321さん

320です。わかりやすい解説ありがとうございました。
いくつか既出のことも質問してしまい申し訳ありませんでした。
仰る通り、「未検出」「無反応」ですと様々な状況が考えられますので、
重要なデータを退避させた上でOSの再インストールをすることにします。
今後はRO以外のサイトを見る時も十分注意するようにします。感謝です。
posted by 大道寺零(管理人) at 21:42 | Comment(4) | TrackBack(0) | ラグナロクオンライン
この記事へのコメント
同じ、roユーザーとして、まったく人事ではありません。大道寺さん、大変でしたね。今のところ、キャラに対しての被害がなかったことは、よかったでした。でも・・・・osの入れ替えなど、さまざまな大変なことになり、本当にくやしいですね。
実は、先日、私が今所属してるギルトの掲示板に,ギルメンからの書き込みと、その末尾にリンクの張り込みがありました。

その人は、プログを公開していますし、書き込みは、いかにも、その人が書きそうなことでしたが、ひとつだけ、集会日が土曜日なのに、明日の集会をお休みしますと、なぜか木曜日の書き込みで変だったのです。ですが、そういう書き間違いはあることですし、気にしないで、いましたが・・・そのあとで、本人が、下の書き込みは自分でありませんと、書き込んでこられたので、大騒ぎになりました。

どうやら、前に本人が掲示板にかかれたことのある内容をそのままコピペして、そこに、偽のリンクをしこんだわけです。だから、書き込みの文章では、偽者とはわかりませんでした。幸いそのリンクを踏んだ人は、いなかったので、被害は誰もありませんでしたが、その後掲示板は、外部の人が書き込めないように、パスワード設定することと、なりました。

ゲームではありますが、自分が長い間かかって育てたキャラ、および、持ち物、すでに、もうひとりの私の分身となっています。そういう気持ちを踏みにじる行為は、本当にひどいなと思います。

こういう行為をする人たちを、厳罰に処する措置を考えて欲しいなと思いますね。
Posted by okapi at 2008年01月24日 10:04
>>okapiさん

お見舞いありがとうございます。ぐすぐす。
現在例のPCは、結局不安を持って使い続けるよりは…と思いまして、現在再インストール中です。
メーカー製のPCのリカバリをしたことはありますが、リカバリディスクのないショップPCの再インストールは初めてなのでちと緊張しています。でもこれも勉強と思い…
ツール類の再セットアップも面倒ですが、外付けHDDとサブPCがあるので大分楽です。何より分からない部分を調べながら作業できるのは大きい…

>ギルド掲示板になりすまし書き込み

うはぁ…
中国のRMT業者かはたまたイヤがらせかは判然としませんが、そこまでするんですね…
以前の分かりやすい書き込みに較べると、本当に巧妙ななりすましですね。うち…というか、サイトや掲示板を持っているギルドは注意しなければいけませんね。でもメンバーの方に被害がなくて何よりでした。
現在このブログもコメントとトラックバックは特に制限せず受け付けていますが、同種の悪質SPAMが増えるようだったら認証制にしないといけなくなるかもしれません。
セキュリティスレッドを見ていると、この手のマルウェアにはカスペルスキーが相性よさそうなので、セキュリティソフト(今入っているのは期間限定版です)を乗り換えようかとも考えてます。
ともあれokapiさんとそちらのギルドの方々も、今後また手を変え品を変えてくるでしょうから十分ご注意くださいませ。
Posted by 大道寺零 at 2008年01月24日 16:35
わたしがUOをやっていた頃も色々ありましたが、今は一層手が込んで酷くなっているんですねえ。
これからOS入れ直しなど大変ですね(TT
でもとりあえず最悪の事態にならなくて良かったです。
Posted by Felice at 2008年01月25日 07:26
>>Feliceさん

お見舞いありがとうございます。クリーンインストールは思いのほか順調にできました。PC買ったばかりで、付属品ディスク類がすぐ手の届くところにまとめてあったのが不幸中の幸いだったかもしれません。

リネやFFはわかりませんが、ROはユーザー数もかなり減ってきて正直斜陽(グラヴィティ本社もRO2に開発を集中してますし)、RMT相場も一時期はかなり下がりました。また、珍しく不正スクリプトやBOT対策が昨年秋ごろから功を奏しているようでBOTが動かしづらくなり、中華連中も「稼ぐなら今が最後」ということでなりふり構わなくなってるんじゃないかなと…
いまだユーザー数的には多く、また何よりもアカウントハックに対する管理側の対応がほかのゲームに比べてもてんでダメなのもターゲットにされる原因みたいです。
OS再インスト後何度かログインしなおしましたが、問題ないようで今のところはなんとか一安心です。

アクセスログをチェックしていて感じたんですが、サイト・ブログ管理人限定になりますけども、
「罠サイトからプレイヤーのブログ等にリンクを貼ってアクセス」

「アクセスされたブログ管理人が、アクセス解析ログをたどってクリック」
というような形の罠を仕掛けられたらかなりヤバいな…
ということです。うーむ。
Posted by 大道寺零 at 2008年01月25日 13:31
コメントを書く
お名前: [必須入力]

メールアドレス:[基本的に空欄を推奨します。詳細はこちらをご覧ください。]

ホームページアドレス:

(コメント投稿後、表示に反映されるまで時間がかかる場合がございますのでご了承の上、重複投稿にご注意ください。)
コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。

この記事へのトラックバック
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。