忍者ブログ
RSS配信用のメモです。 本家はこちら →http://nyankonyanko.x0.com
[PR]
×

[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。

2024/05/18 (Sat)
8/5:北京五輪チケット販売の偽サイト
フィッシング詐欺が大詰め:北京五輪チケット販売の偽サイトが出現、既に被害者続出か(ITmedia)
いくら中国とはいえこの時期に開会式のチケットが出てくるってのはないわ……。
だまされないように気をつけましょう。
PR
2008/08/05 (Tue) 危険なサイト・ドメイン
8/2:MixiのFF系コミュに罠SPAM発生中。
●● RMT業者の垢ハックが多発している件34 ●●より。
常套手段ですが、書き込んでいるアカウントはハックされたもののようです。

485 名前:既にその名前は使われています[] 投稿日:2008/08/01(金) 21:25:35 ID:******
mixiのFF11系コミュに大量のSPAM発生中。
業者に垢ハックされたmixi垢で書き込まれてる

「FF11 忍者ヘイスト動画 短剣+短剣  &  短剣+クラーケンクラブ」
ってタイトルで。SPAMしすぎで分かりやすいくらい怪しすぎる 阿呆だろ業者
アドレスもあやしーっていうかZIPだし 
あぶないんで httpをhxxp .を・に変換しておいた
hXXp://www・youturebe・com/bbs/f11/watch/yM8_qN4CCyU・zip

本物のようつべは→ ttp://jp.youtube.com/

490 名前:既にその名前は使われています[] 投稿日:2008/08/01(金) 21:37:14 ID:*******
【RO】廃WIZでヤファを狩ってみた。
hXXp://www・youturebe・com/bbs/ragnarok_link/video/41404172717933・zip
ってSPAMも同じ垢でやってるっぽい。
Mixi,FF,RO,リネの複合アカハックで待ちがいないねー
2008/08/02 (Sat) 危険なサイト・ドメイン
7/30:罠リンクに注意
●● RMT業者の垢ハックが多発している件34 ●●より。
hxxp://wwws■okireng■com/Blog/ が掲示板やブログのコメントに書かれていたらリンク先は罠です。飛ばないように注意。
(真っ白なページが表示されますがそのページには悪意あるページにリダイレクトしたりマルウェアをダウンロードするスクリプトが仕込まれています)

41 名前:既にその名前は使われています[] 投稿日:2008/07/29(火) 20:44:10 ID:*******
>>25のokirengを使った攻撃はここ数日活発になっているな。
XREAコミュニティでもyh33dddが27日に攻撃をしていた。
検索をかけると爆撃箇所は2ちゃんとしたらばに集中している模様。
っていうか、XREAは記事やアカウントを抹消しないのか、ライブドア並の大甘だな。
”えー兵器、銃、映画”で始まるテンプレ文を使っているからブログや掲示板持ちはこれをNGにするといいかもな。
その他今回のokireng攻撃で使われているテンプレ文として、
”またまた新武器です+9クワドロプルハードヒットバリアスジュル(+9QHhVJ)”は昨年からパクリテンプレ文になっているようだ。
他にもエロSPAMをパクった物(末尾のリンク書き換え)もあるみたい。

気をつけてくれよな!
2008/07/30 (Wed) 危険なサイト・ドメイン
7/27:Wikiが狙われている。
●● RMT業者の垢ハックが多発している件33 ●●より。
Wiki改竄による罠サイトへの誘導が再発しています。怪しいリンク先は踏まないように。

管理人が不在になって放置されているようなWikiは利用されやすいです。検索でかかったページを利用する時は特にきをつけてください。

458 :既にその名前は使われています:2008/07/26(土) 17:59:40 ID:*******
17時0分頃、ライブドアWikiで福建中華の爆撃が確認された。
また新ID&269gに新たなる罠ブログ作成だ。

記事は同名のFC2ブログからパクって、本分最初の行の末尾にgawezuki。

その罠ブログ記事のタイムスタンプが16:33、攻撃が確認されているのは17時0分ごろ
つまりパクリブログ完成してからすぐに攻撃に使っているようだね。
crownofda■269g■net/は 13件 見つかりました。

凄いスピード攻撃、恐らく今現在ライブドア改竄担当は一人だけなんだろうが、
改竄要員が増加したらこれは厄介なことになるぞ。

とりあえず両者に連絡済。

気をつけてくれよな!


@wikiでも改竄確認。踏んでしまった人の報告です。リンク先は上記と同じ。

487 :既にその名前は使われています:2008/07/26(土) 22:17:12 ID:******
戦場の絆ページ見てたら、ガンダムだけに木馬がPCに進入してきますた(つдT)
急いでPS2からFFインしてパスワード変えて、PCはバスターで処理した(つもり)けど、PCから新パスワードでインしたら危ないかしら?

488 :既にその名前は使われています:2008/07/26(土) 22:20:44 ID:******
>>487
とりあえずその侵入してきた木馬のタイプがわからんことにはどうにも

さらに言えば木馬の侵入ルート(脆弱性その他)をしっかり閉じないとまたやられ申す

489 :既にその名前は使われています:2008/07/26(土) 22:27:27 ID:******
>>487
ひとまず攻撃を受けたサイトのアドレスを(ドット(.)は■に置き換えてリンク防止した上で)報告plz
あとバスターさんのレポート残ってたら感染ファイルとウィルスの定義名を

490 :既にその名前は使われています:2008/07/26(土) 22:28:59 ID:******
>>487
@Wikiの奴だな、ちゃんと戦場の絆@Wikiと書かないと何処なんだかさっぱりだ。
ライブドア同様に中華が罠Wikiを作ったことがあるからな、改竄したくてたまらんのだろう。
@WikiはWikiwikiに比べると対応が遅いからな。

改竄されてたリンクは458で書いたライブドアWiki爆撃と同じのだな。

福建中華はそれこそ無差別爆撃なんだから仕込み場所は何処でも良いのさ。
ともあれ気をつけてくれよな!

494 :既にその名前は使われています:2008/07/26(土) 23:04:08 ID:*****
今後気をつけます(T_T)
ウィルス名はSWF_DLOADER.YVNとかいう奴でした。
ご指摘の通り、戦場の絆@wikiです。支給されたばかりのシャズゴの性能みようとしてやられました。
アドレスは http://www12■atwiki■jp/senjounokizuna/ から、シャズゴ選んで飛ばされました。
アドベとXpは最新版に更新しましたー

495 :既にその名前は使われています:2008/07/26(土) 23:22:27 ID:*******
>>494
>ウィルス名はSWF_DLOADER.YVNとかいう奴でした。
感染してたファイル名わからんかね
定義名はウィルス対策ソフトによって違うからファイル名+定義名セットで報告頂けると助かり申す

検出されたものはダウンローダーかな、トロイ本体ををPCにダウンロードする役割をする
(それ自体に対するトレンドマイクロの対応方法案内ページ
ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=SWF_DLOADER.YVN&VSect=Sn)
覗いた瞬間に駆除されたならダウンローダーの段階で検出→防疫に成功してるとは思うけど、
すでにトロイ本体がPCに侵入している可能性もあるので不安であれば
バスターでドライブのフルスキャン(ウィルス定義が最新版に更新されていることを確認してから)、
>>12>>13あたりを参考にして現在流行ってるタイプの危険ファイルの検索
(>>12の方法で検索するとき「kernaeghdrv.dll」もチェックしておくといいかもしれない、どちらもバスターで検出可能なはずだけど一応)

あとはスレのテンプレに目を通してセキュ関係見直してみてね


おまけ:
492 :既にその名前は使われています:2008/07/26(土) 22:40:03 ID:********
wikiの改竄って、リンク先が罠ページになってるんじゃなくて
wiki開くだけで脆弱性突かれて感染するケースもあるの?


497 :既にその名前は使われています:2008/07/27(日) 00:26:39 ID:********
>>492
wikiってさ wikiwikiっていうのを基にしててクローンがたくさんあるのよ。
wikiっていうシステムにはいろいろ種類があって 傷バンをバンドエイドっていったり ステプラをホチキスっていうみたいな感じの総称なわけ。
だから一口にwikiは~とはいえない。
けど管理放棄されたりのっとられたり 悪意を持って設置された場合以外
たいていのwikiは管理がちゃんとしてたらそんなにやばいことにはならない。

@wikiには JSを有効にするプラグインもあるけど それは管理権限がないと使えない。
ワープロモードでhtmlが打てるけど今はiframeは使えないはず。
戦場の絆@wikiは見たところ 管理者不在になってしまっているようだからそれが一番の問題だと思うよ
2008/07/27 (Sun) 危険なサイト・ドメイン
7/27ネ実のバナーもやばい?専ブラのすすめ
●● RMT業者の垢ハックが多発している件33 ●●より。
2chの広告でノートン先生が反応したという話。

再現しない環境も多かったりで真相は不明ですが(誤検出の可能性もあり)、一部の広告あるいは広告サーバーがやられるというケースは過去にXREAでもありましたので、危険なことには違いないです。この機会に専ブラ導入を検討してみてはいかがでしょうか。

420 :既にその名前は使われています:2008/07/26(土) 14:01:56 ID:7*****G
さっき2ちゃんはいったとたんにノートンが
HTTP adobe SWF remote code exec
って反応して遮断しましたうんぬんとでたんだが…
まさか2ちゃんのバナーに…?
それともノートンの誤動作だったのか
ちなみに攻撃側として
kenspi.nefficient.com
と表示されている。国内のようだが

425 :既にその名前は使われています:2008/07/26(土) 14:26:48 ID:******
>>420
nefficient.comは韓国のドメインっぽいね

426 :既にその名前は使われています:2008/07/26(土) 14:48:07 ID:******
既に抜かれてるけど順番待ちという可能性もあるからな
この機会にパスを変えるのマジお勧め

427 :既にその名前は使われています:2008/07/26(土) 15:02:38 ID:******
>>420
nefficient.comはCDNetworks という韓国の動画配信 ストリーミングなんかをやってる会社が使ってるらしい。
日本法人もあり デジタルコンテンツの配信をしてるみたい。
プレスリリースあたり見て心あたりはないか確認してみたらどかな。

428 :既にその名前は使われています:2008/07/26(土) 15:30:13 ID:7*****G
>>425 >>427
ごめんアドレス間違い正しくは
kespi.nefficient.com
確かに韓国の会社の日本営業所のようだ
augasだとTOKYOと表示される
履歴チェックしても同時刻分だと2ちゃんのバナーらしきgifしかないのだが…

434 :既にその名前は使われています:2008/07/26(土) 15:57:08 ID:******
>>430>>431について俺も思い当たる節が。
実は俺もカスペでの遮断なんだが、ニコニコ動画のトップでいきなり遮断の選択をpopで来た事があった。
でも、それらしき怪しいサイトは無し。あるとすればバナー・・・と思ってみたけどそこには昨日と同じバナーが。
うーん。単なる単発アタック(実はPG2は入れてない。でもメモリ監視はしてるから、書き換え時逐一pop→選択してる)
かなーと思ってスルーしてたんだけど・・・

ひょっとしたら、バナー発信するサーバーの一部がハックされてて、攻撃の踏み台にされてるかと今思った。
まあ、確認するすべは無いんだけどね・・・

444 :既にその名前は使われています:2008/07/26(土) 16:57:22 ID:7*****G
すみません218.40.59.203:80(kespi.nefficient.com)のPG2履歴該当時間にありました(つД`)
でもやっぱり2ちゃんin時(正確にはネ実)での反応みたいです
自分みたいな素人がいろいろ振り回してしまってすみません
だけどやっぱりバナーしか考えられないと思うんです

445 :既にその名前は使われています:2008/07/26(土) 17:00:59 ID:******
専ブラつかってないのか?

446 :既にその名前は使われています:2008/07/26(土) 17:05:18 ID:7*****G
今入りなおしても218.40.59.203:80がでますから
やはりバナーのどれかがkespi.nefficient.comからだとおもわれ
ちなみにノートンが遮断した時刻が13:20:10です
>>445つかってません

449 名前:既にその名前は使われています[sage] 投稿日:2008/07/26(土) 17:34:34 ID:******
>>420 IE7でネ実みてみた。
「あの女優もプレイ」って水着のおねーちゃんのバナーがそこのフラッシュですね。
んで プライバシーアンドポリシーが見つからないって クッキーをブロックしてるな。

450 名前:既にその名前は使われています[] 投稿日:2008/07/26(土) 17:39:59 ID:******
どれか・・・ってモロバナーに出てるよ。
ROHAN ってゲームでな。
この報告が正しければ・・・俺達はアカハックをわざわざ踏みに此処に来てたってことだな・・・
はは・・・ちょっとこれ。しゃれにならないぜ・・・

456 :既にその名前は使われています:2008/07/26(土) 17:49:19 ID:******
っと。>>449の環境じゃ出てない?
いま別のパソで改めてここ踏んでみたけど・・・
出ないね。カスペでレジストリ書き換えられたとかの警告

と言うわけで考えられる事が二つ。

1 幾つかバナーがあって、そのうちの一つにアカハクが入ってる。

2 単に俺の環境でスルーしてるw

2であって欲しくないんだけど・・・これもうちょっと情報集める必要あるなこれ。

459 :既にその名前は使われています:2008/07/26(土) 18:14:14 ID:*****
>>456
俺も30分ほどひたすらリロードしたけど警告無し
同じくカスペ

460 :既にその名前は使われています:2008/07/26(土) 18:20:14 ID:******
ノートンさんの過剰反応かなー。

水着のおねーちゃんのバナー
http://kespi●nefficient●com/kespi/sealonline/image/468-60.swf
Virus Totalでのスキャン結果
http://www.virustotal.com/analisis/5fbf73fec1df8ef35f1b06704a5cec67

シールオンライン新規加入キャンペーン開催中のバナー
http://kespi●nefficient●com/kespi/sealonline/image/banner05.swf
Virus Totalでのスキャン結果
http://www.virustotal.com/analisis/3e1b4452c5b736298b573f27a854dbfe


2008/07/27 (Sun) 危険なサイト・ドメイン
   前のページ HOME 次のページ   
忍者ブログ [PR]


Designed by A.com
カレンダー
04 2024/05 06
S M T W T F S
1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31
リンク
ネ実アカハクスレテンプレ
FFXI(仮)
ヴァナ・ディール在住・猫・6才
新しい記事を書く
カテゴリー
ブラウザ ( 19 )
プラグイン ( 26 )
危険なサイト・ドメイン ( 30 )
POL・FFXI ( 14 )
Microsoft ( 14 )
マルウェア ( 9 )
その他の危険 ( 34 )
統計データ・ニュース ( 33 )
セキュリティソフト ( 10 )
対策情報 ( 6 )
未選択 ( 5 )
このブログについて ( 1 )
最新記事
2/21: Acrobat Reader最新版に脆弱性
(02/21)
1/14:Windows月例Update
(01/14)
1/6: NoScript1.8.8.5
(01/06)
1/4:ExciteBlog他大規模改ざん
(01/04)
12/17:人間、諦めが肝心なこともあるらしい。
(12/17)
RSS
RSS 0.91
RSS 1.0
RSS 2.0
ブログ内検索
アーカイブ
2009 年 02 月 ( 1 )
2009 年 01 月 ( 3 )
2008 年 12 月 ( 2 )
2008 年 11 月 ( 7 )
2008 年 10 月 ( 17 )
カウンター
ふぉくすけくん
Firefox meter
GoogleChrome
Chrome Counter
アクセス解析