罠サイトヤバス
287 :既にその名前は使われています:2005/10/22(土) 16:14:06 ID:9hmbNZIz
>>283
それでもノートン先生ならスルーしてくれる!
それでもノートン先生ならスルーしてくれる!
288 :既にその名前は使われています:2005/10/22(土) 16:16:44 ID:rq4+rpWY
つーか周りにJ-Wordツールバー使ってるやつ多すぎ。
日本語キーワードでどうのこうのと言ってIEに取り付くやつな。
中国大手のサーチエンジンだった3721.com
(現在はYahoo!が買収)謹製のスパイだぞありゃ。
アンインスコがすげー面倒。
日本語キーワードでどうのこうのと言ってIEに取り付くやつな。
中国大手のサーチエンジンだった3721.com
(現在はYahoo!が買収)謹製のスパイだぞありゃ。
アンインスコがすげー面倒。
289 :既にその名前は使われています:2005/10/22(土) 16:26:52 ID:8eruY3G3
罠サイト踏んだマシンがDDoSの踏み台にされてる可能性は?
290 :既にその名前は使われています:2005/10/22(土) 16:33:18 ID:rq4+rpWY
大有り
291 :既にその名前は使われています:2005/10/22(土) 16:34:01 ID:THsg2wy9
>289
あるあるw
あるあるw
292 :既にその名前は使われています:2005/10/22(土) 16:35:43 ID:4AIxdpiv
age推奨?
293 :既にその名前は使われています:2005/10/22(土) 16:39:18 ID:4wfWi8kT
推奨で
294 :既にその名前は使われています:2005/10/22(土) 16:39:32 ID:PgEszdCn
>>292
力強く推奨!承認!
力強く推奨!承認!
295 :既にその名前は使われています:2005/10/22(土) 16:41:50 ID:DKuLuLHx
296 :既にその名前は使われています:2005/10/22(土) 16:41:55 ID:4AIxdpiv
マカフィー入れてるんだけど、
↑の方に出てたソフトをインストする時って、
マカフィはアンインストせんとあかんかな?
PCの事良くわからん・・・教えてエロイ人。
↑の方に出てたソフトをインストする時って、
マカフィはアンインストせんとあかんかな?
PCの事良くわからん・・・教えてエロイ人。
297 :既にその名前は使われています:2005/10/22(土) 16:46:11 ID:9e5+L3hT
RMTサイトとかもヤバイのありそうだな
てかむしろそっちが本拠地かも。
こんな怪しいサイトに行くやつがそんなにいるわけないし
てかむしろそっちが本拠地かも。
こんな怪しいサイトに行くやつがそんなにいるわけないし
298 :既にその名前は使われています:2005/10/22(土) 16:47:36 ID:hcWfWjZr
>>296
相性による。
アンチウィルスソフトには駐在と非駐在があるが
駐在同士のソフトだとソフト同士の競合により起動しないこともあるからやめておくのが吉。
スパイウェア削除ソフトはウィルスソフトと同時に入れても問題はなし。
ちなみに駐在ソフトはマカフィ、ノートン、avast!,antivir,bitdefender(課金版)等。
相性による。
アンチウィルスソフトには駐在と非駐在があるが
駐在同士のソフトだとソフト同士の競合により起動しないこともあるからやめておくのが吉。
スパイウェア削除ソフトはウィルスソフトと同時に入れても問題はなし。
ちなみに駐在ソフトはマカフィ、ノートン、avast!,antivir,bitdefender(課金版)等。
299 :既にその名前は使われています:2005/10/22(土) 16:49:39 ID:4AIxdpiv
>>298
わかりやすい説明ありがd(・ω・)
わかりやすい説明ありがd(・ω・)
300 :既にその名前は使われています:2005/10/22(土) 16:51:34 ID:f5o4yghV
Jwardアンインスコメンドクサス
301 :既にその名前は使われています:2005/10/22(土) 16:54:35 ID:mmD/tmCj
バスターとavast、現在同時に常駐させてる。
302 :既にその名前は使われています:2005/10/22(土) 17:00:26 ID:loujivx+
msnとyahooでは表示されなくなってるみたいね
303 :既にその名前は使われています:2005/10/22(土) 17:11:40 ID:PAqjHmgm
ヒロフミとオマンコ大好きlsリスト (蹴鯖)
hirofumi Mich satoyuki Jing Loeb Ary Bosco Hira
Hattrick Biank Itomichi Katusina Leticia Cseila
cervantes tohru Tada Yale Tiger Ujimaru
Enduro Youcantdoit Ricdias Utopia
詳細はここで
【おつかれw】No.22Cerberus総合81蹴目【おまえもなw】
http://yy33.kakiko.com/test/read.cgi/ff11/1128971869/
hirofumi Mich satoyuki Jing Loeb Ary Bosco Hira
Hattrick Biank Itomichi Katusina Leticia Cseila
cervantes tohru Tada Yale Tiger Ujimaru
Enduro Youcantdoit Ricdias Utopia
詳細はここで
【おつかれw】No.22Cerberus総合81蹴目【おまえもなw】
http://yy33.kakiko.com/test/read.cgi/ff11/1128971869/
304 :既にその名前は使われています:2005/10/22(土) 17:12:40 ID:4q1y+DsW
この件スレ立ってたのか。
昨日踏んでマカフィーが反応したんで驚いたよ。
昨日踏んでマカフィーが反応したんで驚いたよ。
305 :既にその名前は使われています:2005/10/22(土) 17:14:17 ID:S6EIUtgJ
おいおい
POL自身がスパイウェアだろうがw
POL自身がスパイウェアだろうがw
306 :既にその名前は使われています:2005/10/22(土) 17:40:06 ID:4AIxdpiv
下がりすぎ
307 :既にその名前は使われています:2005/10/22(土) 17:42:38 ID:ssLKAyl/
>>1のサイト、ドメインサーチしたらハルビンって出たよ。満州かよ。
308 :既にその名前は使われています:2005/10/22(土) 17:48:04 ID:S4CLSl4m
まとめ
・中華RMT業者と思わしき者が罠サイト作って
POLアカウント情報を抜くウイルス(トロイ)を仕掛けていた
・罠サイト突如消える
・ばななの人のところで特集(詳しくはこちら)
http://park11.wakwak.com/~beatnic/
・中華RMT業者と思わしき者が罠サイト作って
POLアカウント情報を抜くウイルス(トロイ)を仕掛けていた
・罠サイト突如消える
・ばななの人のところで特集(詳しくはこちら)
http://park11.wakwak.com/~beatnic/
309 :既にその名前は使われています:2005/10/22(土) 18:02:13 ID:lLeKpzkv
310 :既にその名前は使われています:2005/10/22(土) 18:03:59 ID:yszhdmVo
もしもし1よ1さんよーせかいのうちでーおまえほどー
311 :既にその名前は使われています:2005/10/22(土) 18:05:28 ID:S4CLSl4m
>>309
あー、すまんこ
あー、すまんこ
312 :既にその名前は使われています:2005/10/22(土) 18:07:53 ID:+VgK/QIW
うほw
スポンサーから消えただけでもザマーみそづけwって感じw
スポンサーから消えただけでもザマーみそづけwって感じw
313 :既にその名前は使われています:2005/10/22(土) 18:10:34 ID:lLeKpzkv
Windows XP Pro Goldでも試してみた。
%SYSTEMROOT%\system32に3つのファイルを作ってる。
i.com、exploreff.exe、systemlff.dll。i.comとexploreff.exeは同じもの(ニセsvchost.exe)。
もうひとつのDLLはなんだか分からないけど、例のアヤシイ文字列がたくさん含まれる。
FFをインストールしていない環境ではいまのところおかしな通信はしていないもよん。
POLとかFFがインストールされてると挙動が変わるんだろうなぁたぶん。
%SYSTEMROOT%\system32に3つのファイルを作ってる。
i.com、exploreff.exe、systemlff.dll。i.comとexploreff.exeは同じもの(ニセsvchost.exe)。
もうひとつのDLLはなんだか分からないけど、例のアヤシイ文字列がたくさん含まれる。
FFをインストールしていない環境ではいまのところおかしな通信はしていないもよん。
POLとかFFがインストールされてると挙動が変わるんだろうなぁたぶん。
314 :既にその名前は使われています:2005/10/22(土) 18:21:18 ID:S4CLSl4m
これはさすがにスクエニに通報しなくて良いのか・・・?
もちろん警察にも
もちろん警察にも
315 :既にその名前は使われています:2005/10/22(土) 18:24:08 ID:1i5a07Wa
316 :既にその名前は使われています:2005/10/22(土) 18:26:00 ID:rq4+rpWY
ttp://www.japan213.com/ は単なる入り口に過ぎない。
ttp://www.1102213.com/ff11help/money.htm
にフレームが飛んでいて、こいつが悪の元凶。
JavaScriptでsvchost.exeをいきなり食わせるという暴挙に出る。
またmk:プロトコルを使って食わせる。これについては
IEのバージョンを判定し攻撃できないと悟った場合は悔し紛れに
ttp://www.1102213.com/ff11help/money1.htm
経由でMicrosoftIISのHTTP404エラーを真似た画面を出す(ブラクラ狙い?))。
money1はコメントが英語であることや、headに
他には書いていないdoctypeを行儀よく書いてあることから
海外のいたずらHTML(かExploit)系サイトからコピペ改変したものと思われる。
money1が生成する偽のエラー画面には以下のテキストがある。
IcyFox76416026 IcyFoxLovelace IcyfoxYHG
IcyFoxについては後述する。
ttp://www.1102213.com/ff11help/money.htm
にフレームが飛んでいて、こいつが悪の元凶。
JavaScriptでsvchost.exeをいきなり食わせるという暴挙に出る。
またmk:プロトコルを使って食わせる。これについては
IEのバージョンを判定し攻撃できないと悟った場合は悔し紛れに
ttp://www.1102213.com/ff11help/money1.htm
経由でMicrosoftIISのHTTP404エラーを真似た画面を出す(ブラクラ狙い?))。
money1はコメントが英語であることや、headに
他には書いていないdoctypeを行儀よく書いてあることから
海外のいたずらHTML(かExploit)系サイトからコピペ改変したものと思われる。
money1が生成する偽のエラー画面には以下のテキストがある。
IcyFox76416026 IcyFoxLovelace IcyfoxYHG
IcyFoxについては後述する。
317 :既にその名前は使われています:2005/10/22(土) 18:26:52 ID:miLfo0j7
>>314
■に通報しても握りつぶすだけだから無駄。通報するなら警察だけに汁。
突然警察に捜索入られて、これまでのログ解析されて
これまで握りつぶしてきた分も一気に情報をあらわにされた、な〜んて事になったら楽しいなっと。
■に通報しても握りつぶすだけだから無駄。通報するなら警察だけに汁。
突然警察に捜索入られて、これまでのログ解析されて
これまで握りつぶしてきた分も一気に情報をあらわにされた、な〜んて事になったら楽しいなっと。
さて、スパイ本体が設置してある www.1102213.comトップには
「島田RagnarokOnline研究室」があり、上記サイトと同様ファイル名は中国語のピンインっぽく
www.japan213.com と同一人物(グループ)の可能性が高いが、これがなんと全くの無害である。
ROプレーヤまたは関係者(ROのRMT業者?)のFFXIに対する攻撃という可能性を提示しておく。
また、このホストはページ下記に表記のある http://www.ragnarok-jp.com/ と同一IPである。
なおROをやっていないので「島田RagnarokOnline研究室」がどの程度知られているかは知らない。
もし有名な所らROコミュニティで叩いてくれると嬉しい。
「島田RagnarokOnline研究室」があり、上記サイトと同様ファイル名は中国語のピンインっぽく
www.japan213.com と同一人物(グループ)の可能性が高いが、これがなんと全くの無害である。
ROプレーヤまたは関係者(ROのRMT業者?)のFFXIに対する攻撃という可能性を提示しておく。
また、このホストはページ下記に表記のある http://www.ragnarok-jp.com/ と同一IPである。
なおROをやっていないので「島田RagnarokOnline研究室」がどの程度知られているかは知らない。
もし有名な所らROコミュニティで叩いてくれると嬉しい。
IcyFoxについて補足する。
wohisでは www.icyfox.com や www.icyfoxlovelace.com などの
ドメインが存在し、上記ドメインを含め全て中国のDNS 51.net に
登録されていることからスパイコンポーネントはこいつが主犯と思われる。
また本来 IcyFox は特にFFをターゲットとしたというよりは
中国国内でポピュラーなスパイウェアのようで、
ググると中国語の掲示板やblogでの駆除方法が散見される。
中国国内でしか広まっていないスパイウェアということで米国ベンダーではあまり知られておらず
http://www.sophos.co.jp/virusinfo/analyses/svl.cgi?virus=Troj/Icyfox-A&lang=17
程度しか引っかからないので、Norton、McAfee、バスターなどはあまり頼りにならない。
むしろ(日本では安かろう悪かろうと言われている)中国製の
ウィルスドクターやウィルスキラーが対策済みであるwww
wohisでは www.icyfox.com や www.icyfoxlovelace.com などの
ドメインが存在し、上記ドメインを含め全て中国のDNS 51.net に
登録されていることからスパイコンポーネントはこいつが主犯と思われる。
また本来 IcyFox は特にFFをターゲットとしたというよりは
中国国内でポピュラーなスパイウェアのようで、
ググると中国語の掲示板やblogでの駆除方法が散見される。
中国国内でしか広まっていないスパイウェアということで米国ベンダーではあまり知られておらず
http://www.sophos.co.jp/virusinfo/analyses/svl.cgi?virus=Troj/Icyfox-A&lang=17
程度しか引っかからないので、Norton、McAfee、バスターなどはあまり頼りにならない。
むしろ(日本では安かろう悪かろうと言われている)中国製の
ウィルスドクターやウィルスキラーが対策済みであるwww
320 :既にその名前は使われています:2005/10/22(土) 18:31:28 ID:HueJwe9q
でもFFが初めてのMMOで慣れないパソコンを触っている人も多数居るのも事実
このスレの住人のように検証してくれる人がいるとマジ助かります
このスレの住人のように検証してくれる人がいるとマジ助かります
321 :既にその名前は使われています:2005/10/22(土) 18:33:05 ID:lLeKpzkv
>>315
あ、すまそ。SP未適用の初期バージョンのこと<Gold
あ、すまそ。SP未適用の初期バージョンのこと<Gold
322 :既にその名前は使われています:2005/10/22(土) 18:38:47 ID:rq4+rpWY
名無しに戻ります。
島田RagnarokOnline研究室まじで(現時点では)無害なので目的がわかりません。
ROのRMT業者による、日本人をROに必死に勧誘するサイトとしか見えない。
だとすると今回のスパイ攻撃は(ユーザ、業者関係なく)FFそのものをまとめて攻撃し
FFを解約してROに来て(RMTして)くれという意図なんだろうか。
DDoSもこいつらか?
RO業者オソロシス
島田RagnarokOnline研究室まじで(現時点では)無害なので目的がわかりません。
ROのRMT業者による、日本人をROに必死に勧誘するサイトとしか見えない。
だとすると今回のスパイ攻撃は(ユーザ、業者関係なく)FFそのものをまとめて攻撃し
FFを解約してROに来て(RMTして)くれという意図なんだろうか。
DDoSもこいつらか?
RO業者オソロシス
323 :既にその名前は使われています:2005/10/22(土) 18:41:44 ID:3ldcfQ/F
例のぷれみあさいと(gameinside.info)では、
この話題は触れられてないみたいだね。
TOPに出ててもおかしくなさそうな情報なんだがな。
この話題は触れられてないみたいだね。
TOPに出ててもおかしくなさそうな情報なんだがな。
324 :既にその名前は使われています:2005/10/22(土) 18:42:00 ID:miLfo0j7
325 :既にその名前は使われています:2005/10/22(土) 18:43:49 ID:HueJwe9q
>だとすると今回のスパイ攻撃は(ユーザ、業者関係なく)FFそのものをまとめて攻撃し
>FFを解約してROに来て(RMTして)くれという意図なんだろうか。
うはw深読みしすぎwww
でも事実ならそろそろsageと無意味なスレ上げ攻撃がはじまるかもなー
>FFを解約してROに来て(RMTして)くれという意図なんだろうか。
うはw深読みしすぎwww
でも事実ならそろそろsageと無意味なスレ上げ攻撃がはじまるかもなー
326 :既にその名前は使われています:2005/10/22(土) 18:47:23 ID:rq4+rpWY
単純に日本を攻撃する意図なら島田研究室にもスパイ付けると思うんだわ。
韓国のゲームだと言っても日本語ページ(エンコード指定間違ってるけど)、
内容も日本人向けだし(注:ROは言語別サーバ)。
韓国のゲームだと言っても日本語ページ(エンコード指定間違ってるけど)、
内容も日本人向けだし(注:ROは言語別サーバ)。
327 :既にその名前は使われています:2005/10/22(土) 18:55:59 ID:IGd0E6jP
ウイルスハンタープロジェクト
http://www.trendmicro.com/jp/security/virushunter.htm
ブツもらた香具師、上の所に送ったらウィルスバスターも対応してくれるかも試練。勇者求む
http://www.trendmicro.com/jp/security/virushunter.htm
ブツもらた香具師、上の所に送ったらウィルスバスターも対応してくれるかも試練。勇者求む
328 :既にその名前は使われています:2005/10/22(土) 18:57:16 ID:me9IUg4u
このサイト、ウィルス対策ソフト作ってる会社に通告して
調べてもらうのもありでしょ。もう通告した人おるんかな?
まぁ、どちらにせよバスターやノートンは、もう信用出来ないけどね…
調べてもらうのもありでしょ。もう通告した人おるんかな?
まぁ、どちらにせよバスターやノートンは、もう信用出来ないけどね…
329 :既にその名前は使われています:2005/10/22(土) 18:57:31 ID:f0ou7Hlv
なんにしても明らかに危険なのに
■は一切発表がないのね。
■は一切発表がないのね。
330 :既にその名前は使われています:2005/10/22(土) 19:04:33 ID:LKJ58k4w
つまりアクセス問題の原因はお前らのPCだっつう事だなW
331 :既にその名前は使われています:2005/10/22(土) 19:06:54 ID:1oyYnNhn
この一連の流れをヤホー掲示板にコピペして
ヤホーの管理責任は追及することはでんきないのかねえ?
スパイウエアを感染させるようなhpがスポンサーなんて
舐めてるとしか思えない
ヤホーの管理責任は追及することはでんきないのかねえ?
スパイウエアを感染させるようなhpがスポンサーなんて
舐めてるとしか思えない
332 :既にその名前は使われています:2005/10/22(土) 19:17:04 ID:bSDAVw56
login_w.bin
が漏れのとこにもあるよ。ヤバス?
が漏れのとこにもあるよ。ヤバス?
333 :既にその名前は使われています:2005/10/22(土) 19:18:52 ID:4AIxdpiv
とりあえずageてこうぜ!
334 :既にその名前は使われています:2005/10/22(土) 19:24:01 ID:zk9WuJls
WindowsXPのノンパッチで突撃してみた(FFはインスコしてない香具師)
感染までの詳しい動作はめんどくさいから書かんけど
タスクマネージャ開いて、プロセスに
exploreff.exeまたはi.comがいなければ、大丈夫と桃割れ。
信じる信じないはあなた次第(・∀・)
感染までの詳しい動作はめんどくさいから書かんけど
タスクマネージャ開いて、プロセスに
exploreff.exeまたはi.comがいなければ、大丈夫と桃割れ。
信じる信じないはあなた次第(・∀・)
335 :既にその名前は使われています:2005/10/22(土) 19:26:36 ID:BbhUsyZ8
倉庫でイベント行ってボソっと「東亜病夫」ってsayしたら鬼のようにピンインtellが来たwwwwwwww
336 :既にその名前は使われています:
>>335
和訳キボンヌ。東アジアの病原菌って意味か?
和訳キボンヌ。東アジアの病原菌って意味か?