●● RMT業者の垢ハックが多発している件36 ●●より。
今月に入ってからぐらい?から8/11以前にFFXI Web Portalにアクセスされた方は自環境のチェックを。
なお、踏んだ時にはXREAに仕込まれていたものとは別ものが落ちてくるもようです。
system32\disk.dll
system32\msni.exe
があったらアウトらしい。
※以下のようなやりとりで一度は対応されましたが、8/15現在、再度やられているもようです。
60 名前:既にその名前は使われています[] 投稿日:2008/08/13(水) 23:24:28 ID:I********
>>2に追加。仕込まれてたスクリプトの情報がないけど、同じと思われる。 XREAじゃなくても危ない模様。
Final Fantasy XI Web Portal ( http://ffxiweb■com/ )
?月?日?時?分頃~8月11日?時?分頃
http://miara.sakura.ne.jp/ff/cgi-bin/talk/index.cgi?mode=resform&res=29373 より引用
> ■ [No.29373] 【注意】“FF11 リンク集”に罠スクリプト / 2008-08-10(日) 23:09:24 [返信|引用] 投稿者 / J
> ←のFF11リンク集でリンクされている、
> “Final Fantasy XI Web Portal”様のサイト(フッターに埋め込まれているので、おそらく全ページがアウトだと思われます)に、
> 危険なドメインに誘導すると思われるスクリプトが埋め込まれています。
> みなさまご注意を。
> ■ [No.29379] Re: / 2008-08-11(月) 02:27:40 [返信|引用] 投稿者 / じゅんたる
> こんばんは。いつもお世話になっています。
> Final Fantasy XI Web Portal管理人のじゅんたるです。
>
> 罠スクリプト確認しました。
> 対策できるまで当サイトを一時停止しました。
> 近日中には復旧できると思います。
> ご迷惑をおかけして申し訳ありませんでした。
107 名前:既にその名前は使われています[] 投稿日:2008/08/14(木) 01:59:13 ID:a*******
>>60
Final Fantasy XI Web Portalさんのところに仕込まれていたスクリプトのアドレスは、これでした。
www●1ive●net■images■banner.jpg
(●を.に、■を/に変換してください)
ソースチェッカーで見ると、スクリプトが吐かれて来ます。
109 名前:既にその名前は使われています[sage] 投稿日:2008/08/14(木) 02:10:41 ID:Y*******b
>>107
XREA改ざんとは別な奴だね。
今いじり中。
110 名前:既にその名前は使われています[sage] 投稿日:2008/08/14(木) 02:18:57 ID:Y*******b
>>107
検体拾えた。
polcoreの文字列が見えるからたぶんFFのアカハック。
system32\disk.dll
system32\msni.exe
これがあったら感染。
111 名前:既にその名前は使われています[sage] 投稿日:2008/08/14(木) 02:43:26 ID:Y*******b
NortonとバスターとBitDefender以外はだいたい検知可能。
ttp://www.virustotal.com/analisis/c0526dddbb0826ce02ea524874b9bb90
ソースネクストですらも(駆除できるかどうかは知らない)。
スカった主なベンダには送付済み。
