Wikiが業者に荒らされたら報告・修正するスレ

あげ

いい意味で晒し上げ

mnk4.exeというのをのぞいた（今日現在、NIS2008では検出できない）。
自分自身を C:\WINDOWS\system32\explorerf.exe にコピーして、
これを、HKLM\Software\Microsoft\Windows\CurrentVersion\Run に
登録し、Windowsの起動時に常駐させる。

ざっと文字列をさらったら、こんなのが出てきた。
usr\all\login_w.bin　←POLのパスワード格納ファイルだったかな

passmem: 、binfile 、bindata1 、bindata2 、?passmem= 、
&binfile= 、&bindata= 、&firstbin=yes 、&firstbin=no ←この辺は2年前にも見た気がする

C:\temp.bin 、c:\ff12.txt 、c:\ff13.txt
66ff33mapfile 、c:\66ff33.txt
pol.exe ←やっぱりPOL
jpff11.dll ←謎
StartHook 、StopHook ←プロセスをフックしてデータ読むんかね
http://ff11ma.****.net/888.txt ←503だった

cery.exe、love1.exe、sanf11.exe、server.exe、sfdg.exe、test.exe、SEX MOVIES.exeなんかは
サイズが近いし、ばらまき方が同じだから亜種だと思う。

>>289
解析おつつ。

ああ、%SYSTEMDIR%\systemlf.dll も作ってた。これはリソースに収められているDLL。

こいつらの亜種らしい。
・マカフィー
　ttp://www.mcafee.com/japan/security/virPQ2006.asp?v=PWS-FFantasy
・トレンドマイクロ
　ttp://www.trendmicro.co.jp/vinfo/grayware/ve_graywareDetails.asp?GNAME=TSPY_FANTASY.C&VSect=Td
　ttp://www.trendmicro.co.jp/vinfo/grayware/ve_graywareDetails.asp?GNAME=TSPY_AGENT.RDU&VSect=Td

NISでも実行時には検出されるのかな。検体を提出しておいたシマンテックから
「自動処理で検出できないので人力解析に回しとくよ」というメールが今来た。

取りあえず、次の2つのファイルが存在したら危険。
C:\WINDOWS\system32\explorerf.exe
C:\WINDOWS\system32\systemlf.dll

良かった、無かった。
でもこれで安心って訳では無いっぽい？

verUP祭りやアルタナ発売が怖いな

よく分からんけどお疲れ！がんばったな！
シナだけじゃなくちょーしこいた厨がそこらに貼り捲くってるからさっさと対策されろ

C:\WINDOWS\system32\drivers\etc\hosts というファイルの最後に、
127.0.0.1 ff11ma.vicp.net
を1行追加しておくと少し安全になるかもしれない。

>>292
ほかのファイル名を使う亜種があるかもしれないし、全然違う手法で
情報を盗むトロイがあるかもしれない。というわけで、安心はできません。

>>93>>95
超亀レスしかも、スレ違い気味だが、
セキュリティソフトのポップアップは設定で出ないように出来るぞ。
うちはウィルスバスター使ってるけど、「
「定期的な検索を実行」なんかの全スケジューラでポップアップをOFFにしたら
FFが強制終了しなくなった。わかんなきゃメーカーに聞け。

仕方ないからとか言って窓化なんかすんな。危ない。

>296
ノートンはやり方わからんくてAvastにしたんだったｗ
いちいち金曜20時に落とされたらかなわん

>>296
ウイルスバスター2007は設定じゃ回避できない。
アップデート時に、たとえポップアップOFFに設定しても、
キーフォーカス奪うのでFFXI落ちる。
あきらめて違うソフトに移行した。

2006の頃は平気だったんだけどね……。

ネトゲするときはアンチウイルス終了させておけよｗ

そしてその間に情報流出

マカフィーのはどうよ？
フルスクリーンのときは黙り込むらしいよ？

ノートン使ってるけど落とされたことないけどなー
自動うｐデートだけOFFにして日に1回寝る前に手動でうｐデートするだけ

情報流出する時はアンチウイルスかんけねーｗ

>>296の言ってる事でおｋ。
ウイルスバスター2006からポップアップの有り無しを設定できるようになってる。
これはｍｙパソコン愛用品だったからチェックできたけど･･･、他はシラネ。

ま、バスターはもう一つの「メモリチェック」機能が使いやすくて、このまま愛用していく気ガス。

書いた後で298を見てありゃ。と思ったｗ
2007版では確認してないはｗ
ちょっと確認してくる・・・

用語辞典-仲間達の中の人って会社もってたんだ
wikiの新規作成のアドレスを区切って検索したら出てきた

なぜ上げない

>>306
だからRMT会社だって前から話題になってるだろｗ

まだ妄想くんがんばってるねw

Command=NewWrite - Google 検索
http://www.google.co.jp/search?q=Command%3DNewWrite&num=100

>>308
全然ちがうだろｗ
出資者から集めた金を返さないとかでトラブってる会社だったはず。
業務内容は忘れたわ。

株式会社エンタ-enta-　Web制作、FeliCa、エンタ
http://enta.jp/
ホームページ制作・作成、ビジネスブログ制作・Wiki(ウィキ)・SEO対策｜webO
http://webo.jp/
Wiki｜ビジネスWiki（ウィキ）
http://webo.jp/wiki.html
　こんなので20万円w

>>310
業務内容詐欺だろｗｗｗｗｗペーパーカンパニーｗｗｗｗ

>>311
たかがwikiの癖にたけーよワロタｗｗ

これはどういう手順でＩＤやパスを抜くの？
パス格納ファイルをいきなり転送したりするの？

Pol起動時にキーロガー作動
そのログをtxt化にしてそれを80ポートから送信
前回がこれで今回もこれの亜種らしい

パスを記憶させてれば安心ってわけじゃないが
収納されてる部分もなんらかで送ってるやもしれん

それを解析できるのかどうかもしらんけど

>>314
おまいが警戒心(つд・)クリックした先でワームを突っ込んでもらって
おまいが知らないうちにデータを業者のデータ収集サーバに送ってもらえるんだよ。
便利だろ？
踏んどけｗ

(つд・)＝なく
顔文字変換辞書乙

前問題になったときにPOLはパスの暗号化してなかったとか騒いでたけど
マジだったのかな。

(つД`)

うぇっ！　めっさ気付かずｗ
(つд・)ｗ

暗号が解除された状態のものがメモリに格納されちゃってたのだよね？

ここに書いてある内容を理解出来る人が余りいないage

>>322
そもそも暗号化すらされてなくてメモリに常駐してたんじゃないっけ？
>>319
たしかそうだったよね

そしてその後の305の姿を見たものは居ない・・・

中国人がFF系ブログに罠サイト張ってパス抜いてるスレからコピペ。
からっぽのWikiを復元して罠に使うとはテラオソロシス・・・

620 名前： 既にその名前は使われています 投稿日： 2007/10/17(水) 23:33:20.47 ID:zJQm1fwD
フェローのクエ調べにサイトいったら移転してて、こんなコメントが
ほんといい加減にし欲しいよ中国・・・

WIKIの改ざんが一度行われた後、コンテンツを移転しコンテンツが無くなったWIKIを
バックアップから復元し、更に悪質なリンクを貼るという行動を予測せずそのままの状態で
WIKIを閉鎖しなかったのは完全に私の不手際でした。
被害を受けた方には大変ご迷惑をお掛けしました。

警察や消費者センターへの被害届も多くなれば■も重い腰あげてくれるかもしれませんし（あげざるを得なくなる？）
率先して堂々と被害届の提出を！被害者なんですから＞＜

落とさせぬ

ほすage

age

暇だったので踏んでみた
>>258の一番上のリンク、飛んでフィックの欄のところにあるURLへ

firefox：ページの表示は完了。しかし何も表示されず。
レンダリングをIEに変更：AVGが脅威を検出

ウイルス名：virus found JS/downloader .Agent
タイプ：スクリプトウイルス

今ネ実にネタバレスレなるものが有るけど、フィックネタだったようなｗ
俺のハイパー疑心暗鬼センサーがスレ主を中華認定しそうｗ

>>330
実験おつつ。
Safariでも何も表示されないし、NAV10入れててもなんも反応なし。
IE+AVGの動作が１番適切だね。

だれかjaneのコマンドでaguseで調べるのをつくってもらえんかのう〜。
コマンドスレのぞいてみたけど、手が出せそうにないっす。

餅は餅屋、Janeはjane板で聞いてみたら？
■JANE
http://jane.s28.xrea.com/bbs/

ほっしゅ

age

多くのWikiサイトが対策を講じて書けないから
blogとBBSをターゲットに変えたかな