お前ら感染してない?らくらくP2Pが実は罠サイト

このエントリーをはてなブックマークに追加
1[名無し]さん(bin+cue).rar
以下のhttp:抜きURLおよびホストには、うかつにアクセスしないように。

以前から、この板でも紹介されていた「らくらくP2P」ことero8.comが、ウイルスをダウンロードさせる罠スクリプトを
サイト上に設置していることが、判明した。
http://www.google.com/search?num=100&hl=ja&q=site%3A2ch.net+ero8.com&btnG=Google%20%E6%A4%9C%E7%B4%A2&lr=
http://www.google.com/search?num=100&hl=ja&q=site%3Aero8.com&btnG=Google%20%E6%A4%9C%E7%B4%A2&lr=

ero8.comをGoogleで検索すると、
> このサイトはコンピュータに損害を与える可能性があります。
と表示される。

実際にこのサイトでは、
//ero8.com/images/sidebar.gif
をスクリプトとして読み込ませ、そこから今度は
//www.emsums.com/flash.js
を読み込ませ、
//www.emsums.com/winrar.exe
//www.emsums.com/winzip.exe
//www.emsums.com/winarj.exe
をダウンロードさせ、それぞれ、
svchost.exe
conime.exe
ctfmon.exe
に上書きさせるようにしていた。

このスクリプトは恐らく、IEの脆弱性が残るバージョンでのみ有効だと思われる。
2[名無し]さん(bin+cue).rar:2007/10/09(火) 17:49:00 ID:qqjie61D0
216.55.159.25 216-55-159-25.dedicated.abac.net 1strank.net
216.55.159.25 216-55-159-25.dedicated.abac.net www.1strank.net
216.55.159.25 216-55-159-25.dedicated.abac.net www.peerto.com
216.55.159.25 216-55-159-25.dedicated.abac.net www.ero8.com

上記全てのホストが同一IPアドレスで稼動しており、
いずれも//host/images/sidebar.gifが存在しており、
その内容はウイルスダウンロードスクリプト。


> 216.55.128.0 - 216.55.191.255
> Abacus America Inc.
> 10350 Barnes Canyon Rd.
> San Diego, CA
> US
>
> AplusNet DNS Administrator
> [email protected]
> 1-858-410-6900
3[名無し]さん(bin+cue).rar:2007/10/09(火) 17:50:39 ID:qqjie61D0
www.emsums.comの
61.195.146.190 61-195-146-190.cust.bit-drive.ne.jp www.emsums.com
> Domain Information: [ドメイン情報]
> a. [ドメイン名] BIT-DRIVE.NE.JP
> b. [ねっとわーくさーびすめい] びっとどらいぶ
> c. [ネットワークサービス名] ビットドライブ
> d. [Network Service Name] Bit-Drive
> k. [組織種別] ネットワークサービス
> l. [Organization Type] Network Service
> m. [登録担当者] TT2737JP
> n. [技術連絡担当者] MK5616JP
> n. [技術連絡担当者] MM7055JP
> p. [ネームサーバ] ns1.bit-drive.ne.jp
> p. [ネームサーバ] tky01ns01fe0.sonytelecom.ad.jp
> [状態] Connected (2008/03/31)
> [登録年月日] 2000/03/01
> [接続年月日] 2000/03/03
> [最終更新] 2007/04/01 01:28:01 (JST)

のIPアドレスを検索したところ、どうやら、クラック常習犯のよう。
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1185352481/41-
http://uptime.netcraft.com/up/graph?site=lineagett.com
ネットゲームのアカウントを不正に奪取する目的で稼動しているサーバー
lineagett.comのIPアドレスの変移を見る限り、
www.ero8.comの罠スクリプトを設置したのと、
www.emsums.comの罠スクリプトを設置したのは同一犯。

http://search.yahoo.co.jp/search?n=100&p=%2261.195.146.%22
4[名無し]さん(bin+cue).rar:2007/10/09(火) 17:50:57 ID:FqBODBxy0
5[名無し]さん(bin+cue).rar:2007/10/09(火) 17:51:25 ID:hwa14hef0
らくらくP2P -- P2Pのポータルサイトこのサイトはコンピュータに損害を与える可能性があります。
6[名無し]さん(bin+cue).rar:2007/10/09(火) 18:00:13 ID:hwa14hef0
>>3
> のIPアドレスを検索したところ、どうやら、クラック常習犯のよう。

という事は、そのIP自体「乗っ取りIP」になるのかな?
7[名無し]さん(bin+cue).rar:2007/10/09(火) 18:06:32 ID:YRos7IRE0
試しに踏んでみたら移転したぞゴラァて言われたんだぜ
8[名無し]さん(bin+cue).rar:2007/10/09(火) 20:35:57 ID:pkTzKLHo0
noscript いれときゃ問題なし
9[名無し]さん(bin+cue).rar:2007/10/14(日) 11:15:30 ID:AIt0pckH0
お、これこれ。昨日Share質問スレのテンプレのサイト行ったらAvastが反応したんだよね。
10[名無し]さん(bin+cue).rar:2007/10/16(火) 18:15:54 ID:Fr3CgCIs0
ho
11[名無し]さん(bin+cue).rar:2007/10/16(火) 19:14:35 ID:Fr3CgCIs0
ho
12PORORO ◆xuwnyzg6tc :2007/10/17(水) 01:54:34 ID:pax1eXAK0
そんなサイト知らんかったwww
どんな田舎サイトだよwww
13[名無し]さん(bin+cue).rar:2007/10/17(水) 01:56:25 ID:6H2sYbAB0
通報した方がいいんじゃないか?
14[名無し]さん(bin+cue).rar:2007/10/21(日) 02:22:41 ID:HkruyqmY0

15[名無し]さん(bin+cue).rar
ho