8/9:XREA上のFF関連サイトが続々改竄

●● RMT業者の垢ハックが多発している件35 ●●より
XREA無料サーバーを利用しているFF関連サイトに続々と改竄が見つかっています。
JavaScript有効かつPG2等でIPフィルタリングを正しく行っていない場合、マルウェアをダウンロードするスクリプトが実行されます。ご注意ください。

389 名前：既にその名前は使われています[] 投稿日：2008/08/09(土) 12:04:00 ID:******
XREA　1039045744:88　の確認されたサイト

吟遊詩人テンプレ：メニュー　ヘッダー　対策済み
FF11・マップガイド（ネット便利）フッターテーブル内　
黒魔協会：xml宣言の前
忍者スレテンプレ：メニュー　との間

403 名前：既にその名前は使われています[sage] 投稿日：2008/08/09(土) 13:26:02 ID:********
うーん…。
>>389 を一通り見てきたけど、これはジョブ戦術板をぱっと見て
テンプレサイトがXREAならはい書き換え～みたいに
XREA上のサイトなら自由に書き換えられる気がするな、この犯人。
広告改竄の時も「こいつ…デキる(ｷﾘｯ」とか思ったけど、まずいよこれ。

# なんかアクセスがいっぱいあると思ったら詩人テンプレからいっぱい来てた(;^ω^)

現在DLされるものの検出状況：カスペ、ノートンは○　バスターは×。

408 名前：既にその名前は使われています[sage] 投稿日：2008/08/09(土) 13:51:34 ID:*******
XREAのあれ、昨夜トロイが更新。
新型はNorton検知・バスター脱落(旧型は逆)。
ttp://www.virustotal.com/analisis/71ffc7eb2711f142889fcf9348212e17
まだ反映されていないけど、AntiVirは「TR/Drop.OnLineGa.35」あるいは
「TR/PSW.OnlineGa.eaa」で撃破予定と返答あり。

※8/11追記
●● RMT業者の垢ハックが多発している件35 ●●より。
このスクリプトで落とされるのは「KernaeghDrv.dll」だそうです。

602 名前：既にその名前は使われています[sage] 投稿日：2008/08/11(月) 03:00:14 ID:*******
>>599
今回XREAに仕掛けられていたのを踏んで投下されるのは
「wzcsvbxm.dll」じゃなくて信長の野望Onlineで話題になっていた(らしい)
「KernaeghDrv.dll」ね。
英Sophosの検出名「Troj/Lineag-DV」の
ttp://www.sophos.com/security/analyses/viruses-and-spyware/trojlineagdv.html
の「More Information」参照。

※8/11PM追記
2008年8月XREAサイト改ざん（FF11WARNING）
上記4サイトについては管理者により対応がされた模様。