8/12:進化するトロイ

●● RMT業者の垢ハックが多発している件35 ●●より：
先週XREAに仕掛けられたトロイが進化して、いくつかのウィルスソフトで検知できなくなっている模様……
あとこいつhostsを削除して対策を無効化する模様。なんだかなぁ。

797 名前：既にその名前は使われています[sage] 投稿日：2008/08/12(火) 12:47:47 ID:N******+2
先週XREAに仕掛けられたトロイが更新。
ttp://www.virustotal.com/analisis/ccc234390e5b7a6c342d589bf2a33038
× Norton McAfee バスター AntiVir avast AVG BitDefender ソースネクスト(笑) 他多数
これはひどい…。各社に提出済み。

805 名前：既にその名前は使われています[sage] 投稿日：2008/08/12(火) 13:32:25 ID:N******+2
あとこのトロイ、シェル拡張として動作し、
hostsに危険サイトを片っ端から突っ込んでる人を乙らせるために
hostsを削除する模様。

Norman砂箱より。
[ Changes to registry ]
* Accesses Registry key "HKLM\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks".
[ Changes to filesystem ]
* Deletes file C:\WINDOWS\SYSTEM32\drivers\etc\Hosts.

　

8/11:代理GMコールの注意点

猫が参加しているコンテンツ攻略LSのメンバーがアカウントハックにあってしまいました。数日前から行動が不審でハックされたんじゃないかという噂は聞いていたのですが、本人からLSの掲示板に「どなたかGMコールしてください」と書き込みがありましたので、本日8:00頃GMコール。コール時50件待ち→3時間後にGM登場。

・ハックされたキャラクター名と現在（コール時点でログインしていた）の所在地・ジョブ
・数日前から不審な行動（戦績換金・装備品のシャウト売却など。引退予定等は聞いていない）
・昨日のLS活動を無断欠席
・本人からLSサイトに凍結依頼の書き込み
・LSサイト管理者（＝猫の中の人）がIPアドレス照合により本人の書き込みと判断

この情報＋「本人以外のコールで凍結できないのは承知しているが、今日はサポートチャットが休みで本人からの連絡手段がないのでなんとかなりませんか」と頼んだところ、「本人確認が非常に難しい状況ですが、緊急事態のようですので」ということで凍結はしてもらえました。昨日はほぼ1日海蛇の岩窟にいたようなので、行動ログが明らかに不審だった等の状況証拠と併せ技かもしれません。

別アカウントもハックされたという話でしたので、追加でGMコールする場合にはどのような情報が必要かきいてみたところ、

そのプレイオンラインアカウントにあるキャラクター名、ワールド名、最後に自身でログインしていた日時、異常に気がついた日時などを聞き取っておいていただけますと幸いです。

とのことでした。

ハッキングの被害にあってGMコール代行を頼む人、受ける人は参考にしてください。

8/11:素人考えで駆除できたと思い込む怖さ

止めようとしても止められない，忍び寄る“連鎖型攻撃”の恐怖（ITpro）
本文より：

いったん感染してしまうと，従来のような単純なウイルス検出・駆除では止められない。攻撃が連鎖型（シーケンシャル）になっているからだ。不正プログラムが勝手に不正サイトに接続し，別の不正プログラムをダウンロードする。こうした動きを繰り返し，パソコン上では複数の不正プログラムが連動して動作するようになる。

　恐ろしいのは，このうちの一部が隠れプロセスになっていて，ユーザーが「不審」と考える実行ファイルを削除しても動作が止まらないことだ。表面上は削除できても，隠れプロセスが動作している限り，同じ状態が復元され，機密情報を抜き取られたり，キー入力情報を盗まれたりといった状態が続く。隠れプロセスも複数のプログラムが協調動作し，プロの手を持ってしても簡単には削除できない事態に陥る。隠れプロセスの中にはウイルス対策ソフトの動作を回避する仕組みを持つものもあり，従来型のウイルス対策では歯が立たない。

レジストリ検索して「あった」「消した」って素人がやったって、駆除できてない可能性の方が高いんです。「クリーンインストールしないとダメですか？；；」ってネ実で鼻水たらしてる暇があったらさっさとやりましょう。
　

8/9:XREA上のFF関連サイトが続々改竄

●● RMT業者の垢ハックが多発している件35 ●●より
XREA無料サーバーを利用しているFF関連サイトに続々と改竄が見つかっています。
JavaScript有効かつPG2等でIPフィルタリングを正しく行っていない場合、マルウェアをダウンロードするスクリプトが実行されます。ご注意ください。

389 名前：既にその名前は使われています[] 投稿日：2008/08/09(土) 12:04:00 ID:******
XREA　1039045744:88　の確認されたサイト

吟遊詩人テンプレ：メニュー　ヘッダー　対策済み
FF11・マップガイド（ネット便利）フッターテーブル内　
黒魔協会：xml宣言の前
忍者スレテンプレ：メニュー　との間

403 名前：既にその名前は使われています[sage] 投稿日：2008/08/09(土) 13:26:02 ID:********
うーん…。
>>389 を一通り見てきたけど、これはジョブ戦術板をぱっと見て
テンプレサイトがXREAならはい書き換え～みたいに
XREA上のサイトなら自由に書き換えられる気がするな、この犯人。
広告改竄の時も「こいつ…デキる(ｷﾘｯ」とか思ったけど、まずいよこれ。

# なんかアクセスがいっぱいあると思ったら詩人テンプレからいっぱい来てた(;^ω^)

現在DLされるものの検出状況：カスペ、ノートンは○　バスターは×。

408 名前：既にその名前は使われています[sage] 投稿日：2008/08/09(土) 13:51:34 ID:*******
XREAのあれ、昨夜トロイが更新。
新型はNorton検知・バスター脱落(旧型は逆)。
ttp://www.virustotal.com/analisis/71ffc7eb2711f142889fcf9348212e17
まだ反映されていないけど、AntiVirは「TR/Drop.OnLineGa.35」あるいは
「TR/PSW.OnlineGa.eaa」で撃破予定と返答あり。

※8/11追記
●● RMT業者の垢ハックが多発している件35 ●●より。
このスクリプトで落とされるのは「KernaeghDrv.dll」だそうです。

602 名前：既にその名前は使われています[sage] 投稿日：2008/08/11(月) 03:00:14 ID:*******
>>599
今回XREAに仕掛けられていたのを踏んで投下されるのは
「wzcsvbxm.dll」じゃなくて信長の野望Onlineで話題になっていた(らしい)
「KernaeghDrv.dll」ね。
英Sophosの検出名「Troj/Lineag-DV」の
ttp://www.sophos.com/security/analyses/viruses-and-spyware/trojlineagdv.html
の「More Information」参照。

※8/11PM追記
2008年8月XREAサイト改ざん（FF11WARNING）
上記4サイトについては管理者により対応がされた模様。

8/9:FF11マップガイドがやられました

FF11マップガイド（http://netbenri.s137.xrea.com/MAP/MAP.htm）に、先日の吟遊詩人テンプレサイトと同じスクリプトが仕掛けられました。

Firefox3.0.1＋NoScript1.7.8ではアクセスを防いでいましたが、JavaScriptを遮断していない環境ではマルウェアを仕込まれている可能性があります。心当たりの方は確認を。