※このエントリーの正確性については保証しません。あくまでもそのような可能性が示唆される現象が報告されたというメモです。
●● RMT業者の垢ハックが多発している件27 ●●より。
pol.exeがいきなり怪しい鯖にIDとパスを送信しているような挙動をしているらしい。だとするとソフトキーボードとかパスワードを保存しないとかいう対策ってまったく無意味になりますよね……
837 名前:既にその名前は使われています[] 投稿日:2008/07/10(木) 17:47:16 ID:p*****+0
スレ24の139-140
【PeerGuardian2導入】現象確認後入れた。204。13。69。12へのHTTPリクエストあり
【説明】
6月中旬辺りからWindowsの終了時のダイアログ表示にやたらと時間がかかるようになる。
この頃から色々調査はしていたが原因つかめず。
POLへのログインできなくなった後、その辺重点的に調べて、
POL起動中にコマンドプロンプトでnetstat -bすると↑のIPへアクセスしてるのはpol.exe。
あやしさ爆発。
カスペルスキー体験版をDLしてインスコした後、POL起動時にsvchost.exeが~典型的な~と警告が出る。
その後特にウィルス検査で削除されたなどのログは見てないが、上記IPへのアクセスは無くなった。
でもまだシャットダウンに時間がかかる現象は直らないので、クリーンインストール準備中。
今朝GMコールして110件待ちで5時間後やっと連絡が来て垢止めてもらった。
インフォメには昨日から電話し続けてるがオフライン部門に2回繋がったのみ。
引き続き電話して来ます。
今更だが次はないから
POLパス非保存・定期的に変更、PG2、SecuniaPSIとスレヲチを徹底するは。
853 名前:既にその名前は使われています[] 投稿日:2008/07/10(木) 18:07:40 ID:p*****+0
んで、>>837の
>POL起動中にコマンドプロンプトでnetstat -bすると↑のIPへアクセスしてるのはpol.exe。
報告みると、やっぱりPOLプロセスを乗っ取りにくる奴じゃないかと思うんだけど。
POLプロセスを乗っ取ると思われる以上、ファイアヲールも全てのアクセス許可してるようなルールだとスルーしちまうし、>>455の対策を俺はお勧めしたいなー。
今のところ効果あるかは不明だけど、感染してもデータ送信前に引っ掛けられる可能性がある。
それに使わないところは閉じてて損はないわけだしね。
で、455の対策というのがこれ。
455 名前:既にその名前は使われています[] 投稿日:2008/07/10(木) 04:00:07 ID:p*****+0
698 名前:既にその名前は使われています[sage] 投稿日:2008/07/07(月) 21:18:01 ID:********
PCは三台あるがFFインストールPCでブラウジングもしている
(個人的に興味が沸いた為FFAH等も踏みまくってます。)
OSはvistaHP ブラウザはメインfirefox3 サブIE7
ルータはWR8500N 3台に固定ローカルIP割り当てている ポートマッピングもしている
セキュリティソフトはカスペルスキーインターネットセキュリティ
ファイアーウォールの設定 アプリケーションルールでpol.exeの設定をしている
許可しているリモートIPの範囲は
61.195.48.0~61.195.55.255
61.195.56.0~61.195.59.255
61.195.60.0~61.195.63.255
202.67.48.0~202.67.63.255
219.117.144.0~219.117.159.255
空けているポート TCP1024-65535 UDP50000-65535
被害にはあっていません
上記で指定しているIPアドレスはすべてSQUARE ENIXのものであることは確認済み。
ただしポートについては、公式の
Questions & Answersを見た感じでは、TCPはさらに「25,80,110,443」もあけないとダメらしい。
PR