●● RMT業者の垢ハックが多発している件40 ●●

カスペでsystem32\kcrnaeghDrv.dllが見つかったんだがこれはやばいのか？

http://www.trendmicro.co.jp/vinfo/grayware/ve_graywareDetails.asp?GNAME=TSPY_ONLINE.DU&VSect=Td

ここにある対策を確認したところ、指定している値でレジスト値は無かったが、

{AEB6717E-7E19-11d0-97EE-00C04FD91972}というレジスト値は設定されていた

ウイルスバスターではウイルス反応はなかった。

age

ゲーム攻略専門検索エンジン・ゲームナビ
に仕掛けられている罠スクリプトは
いつになったら消されるのかｗ笑うしかないな。

これはひどい。のべ１００万アクセス近く感染してる可能性あり。
管理人やばくね？

>>202
カウンター見ると一日数千人は見てるわけだ
とんでもないことになるかもな

ｌ．ｉｖｄｏｏｒ．ｃｏｍ
なんてのが貼られてたよ・・・

そーす見たら1039045726:65535が二箇所も仕込まれてるな
FP最新で防げる奴だとは思うけど、>>203大丈夫か？

>>202
８月初め以前から改竄されていて
９月始めにここでの報告を受けて
運営に通報されてるんだけど対策されてないとは・・・どうすべ。
http://sb.xrea.com/showthread.php?p=84816

ttp://www.4gamer.net/games/071/G007193/20080929021/
これはどうなのかねー
韓国製か・・・

>>205
いちおうスクリプト系切ってから見た
ネット用PCだからさほど心配なしｗ
ルータでも中国系IPは遮断設定している

>>206
ｶｽ野郎が

>>200
やばいと思う。

>>202
ハニーポットとして監視するには便利かもとか思った。

>>205
1個目 1039045726:65535/jp.js ←今回
2個目 1039045744:88/jp.js ←8月のXREA改竄祭り

IPもポートも違う。
完全放置みたいだから今後も増えていくんじゃないかな。

>>200
前から気になってたんだが
karnaeghDrv.dllとkcrnaeghDrv.dlってaとcが違う報告があるんだが
単純にaとc間違えて書いてるだけなんだよね？
別物？

>>212
eもある、bもあるんじゃね？

別物って事か？

亜種なんていっぱいあるよ。
>>92 のトロイも今日で3世代目。

>>212
７月の報告が多発してた当時から
文字違いもあれば、文字が多いのもある

>>206
うーむー、後こちらでとりあえず出来る事は…
田代砲打って打って、鯖落とすぐらいか？
警告してもなにもしないからなー

そういやあ、総務省のネット対策科にも通報した？

犯罪者に犯罪で対抗する流石です＾＾；

>>217
google関係でスレ住人のほとんどは反対派かもしれんが
OpenDnsと「xrea.com」「coreserver.jp」
の排除設定を広める

↑コノヒト定期的にワクネ
排除リストのお勧めにFC2.comいれないのか？ｗｗｗ

排除するのもひとつの手段だと思うが
それは個人で判断して決めることだとおもうんだが。
排除したいって言う人がいるならその方法を教えることはありだけど
こっちからそうしろってのは余計なお世話じゃねーの？

>>200は　Vistaを使い手じゃないか？kcrnaeghDrv.dllはorz.exeのやつだから　
visitaなら実行されないとおもう。
hostファイルが消されてたらアウトかも。

>>204　ｌ．ｉｖｄｏｏｒ．ｃｏｍｇは　webポータルがやられたやつだけど
どこにはられてた？

hage

>>212
kcrnaeghDrv.dllで間違いなし

>>220
残念ながらXP
hostファイル消されてたは…
kcrnaeghDrv.dll削除して、変なものがスタートアップに入ってないか
確認したけど、このままではやばいかな

>>222　
残念ながらクリンスコすすめる。
TSPY_ONLINE.DUは8/22にパターン認識されてるから
今バスタで検出できないってことは動作の違うトロイだろう。
自分のレジストリみてみたが
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\ShellExecuteHooksの値は>>200と同じだった。
つまり別のどっかが変更されてる可能性があるってことだ。

気になるんで差し支えなければ教えてほしい。FPのバージョンは最新だった？

多分「最新だった」としか返ってこないから
バージョンを聞いたほうがいいとおもう・・・

2008年9月-セキュリティソフトテスト
http://japan.cnet.com/blog/sec_newbie/2008/09/30/entry_27016552/

自分で220よむと　visitaとか　hostファイルとか　なんだよもお；；
それはおいといて　
WinUpdateを欠かさずに
FlashPlayerを最新にして
web閲覧は　fx+設定したnoscriptなら　そのトロイには感染しなかったと思うと
ものすごい脱力感にとらわれる　18の秋。

>>225
ん〜G-データはネトゲ向けで2種のインターネットセキュリティソフト使ってるんだっけ？
メインカスペ、セカンド、家族用はノートン買っちまったし来年の結果見てからそれに乗り換えるか。

おやすみ前のあげ。

>>223
やっぱりクリーンインスコしたほうがいいよね…。

ところでFPって何？

>>229
Flash Player

>>230
Flash Playerのことか。

9.0.124.0で最新だった。

ほ

もう犯罪が国家認定な国なんて地上からイレイザーしちゃいなヨ

保守しましょう

213からあげ

空age

243age

ヴァナ年収なんていらんだろ。意味がない。

ちょっとフレから聞いた話なんだけれど…

先週そのフレが
「固定でコンテンツ進めてるＡさんが、連絡無しに急に来なくなっちゃった」
と話してる、そのＡさんは自分も何度か一緒に行動した事のある人で
白門などで見かければ、手を振る程度でもあった人

フレが話を続けているうちに分かった事
・毎週やってるコンテンツに急に来なくなった
・フレ登録をしていて、メッセージを送っても返事がない
・フレンド詳細を見てみると別鯖に移動している
・連絡手段はFFXI内だけ

どうもアカハック受けたような感じだけれどどうなのか、もしくは普通に鯖移動？
フレは困ったなぁ…と言ってるだけでそれ以上のことはしてない様子
自分はそのＡさんの事はどうでも良いが
もしも自分がフレの立場ならもう少し行動すると思うんだがな

これは十中八九アカハックなのかな？

>>239
FF11内部でしか連絡手段がないなら確認手段が厳しいな
訳ありで逃げてないのなら返事はすると思うが
倉庫新規としてその鯖へキャラ作って「こんにちは＾＾」とでも日本語テルしてみるしかない気がする
もちろん元鯖の自分とはばれないように

>>239
判断材料がそれだけだとこっちとしても白黒つけにくい
あとこのスレでハックだと判断してもらったとしてどうするんだっていう。
それでも心配してるならその人と同じLSの人に聞くなり何なりすればよろし

ハックを盾にして鯖移転だったらやり手だな・・・
色々と持ち逃げな状態なら限りなく黒いんじゃね

なんとも言えないねぇ。
単に(ふと思いついたとか、ずっと前から移転したかったとかで)移転したのかもしれんし。
別の連絡手段(電話番号とは言わんが、POL以外のフリーのメアドとか)を
誰か知ってりゃいいんだけど、誰も知らんっつーのはなんつーか、
そのくらいの仲なのか…みたいな。

>>239
スクエニにプレッシャーかけるためにSTT報告でもしてみてはいかがでしょう？

>>239 と同じ感じだったフレが出張中にアカハック受けてた・・・

数日後フレからは引退すると書かれたメッセが来たよ。

222からあげ

>>217
一応、McAfee SiteAdvisorでも飛び先を検査キューに投げ込んでみた。
赤コメが増えれば検索エンジンなどでフィルタ対象になる可能性もあるので、レビュー出来る人はこちらで。
ttp://www.siteadvisor.com/sites/game2.s7.xrea.com
ttp://www.siteadvisor.com/sites/61.238.148.94/summary/

227からあげ

hage

250からあげ

242からあげ

>>247
サイトアドバイザーは一度青判定はいると
なかなか赤にはならないよ

赤になるには、マカフィー社がそう設定しないと駄目
ユーザ達にゃどーにもできん

age

おやすみ前のあげ。

30分で160まで落ちるとは上げ

202からｼｭｼｭ

216からｼｭｼｭ

保守

もうこのスレいらないんじゃないか？
今俺がageなかったらこのスレ落ちてたぞ

業者がやり方変えたら、また必要になるｽﾚだからそれまでほそぼそと！

サイトアドバイザーに対しては思うところがあるので
ちょっと試してくる

無くなって喜ぶのは業者のみなので上げ。

ＲＭＴ

ハックの予防のためずっとスレみてたけど一時期よりかなりおちついたのかな？

また一気にサイトからウィルスばら撒くのか、新しい手口で来るのか
はたまたFFは諦めたのか。
今後の動きに注意だね

発覚件数は減ってるだろうけど
罠が仕込まれるのは休み知らず

まったく油断できないよ

>>264
ＮＡ次狙ってるとか

仕事中サボリage

新しい手口が来たら可能な限り短時間で周知させる必要があるからねえ
そうじゃないと数千数万単位で一気に感染＆アカハック・・・
今現在も管理放棄でばらまいているところもあるわけだし

保守

酷い言い方だけれど被害者減ると加害者に与する
買い手への処罰が緩いままになりそうなので複雑な気分。

246age

sageてた…

　

日本はたかがゲームで済まされる
インフラは世界トップクラスなのに
サイバー犯罪には疎いな

で、どうやって改ざんしてるのかは
分かってないんだっけ？

保守上げ

まだまだ被害はあるようだなぁ
さっきも初期組みの奴がハクられたという話を聞いた
まぁ定期的にパスは変えようぜ

引っ越ししてやっと明日からネット繋がるわ
まずはセキュリティ関連のアップデートからだわage

【CSL】CSL緊急注意喚起レポート
〜新手のSQLインジェクションを行使するボットの確認〜
http://www.lac.co.jp/info/rrics_report/csl20081002.html

プロマシア難易度、レベルシンクスキル問題
などなど、これらのスレを立てると必死にばかいはつｗがスレ叩きを始めます＾＾

自分で触れられたくない話題を叩いてたら、問題があると分かってるって事ですよねー＾＾
自白してるようなもんですよねー＾＾

*バ開発の見分けかた
一見、それらしいことを言っているようにみえるが、意味不明なことを言っているのがバ開発＾＾

FFをウィンドウでやってると、カスペの新バージョンになってから「キーロガーに似ています」って警告が
よく出てうざいんだがどこでこれ出さなくできるのかな。ちょっと新バージョンわかりにくいわ・・
誰か教えてエラい人

おやすみ前のあげ

就寝前の211からあげ

カスペのファイル名がセイコーエプソンになってたけど何で？

あんまり詳しい設定とかの質問はカスペスレに行ったほうがちゃんとした回答が貰えると思う

緊急浮上いたしまｓ

つか今キーロガータイプは出てないんだろ？
なんでｽｸｴﾆの用意したソフトキーボード入力みんなやらないの？
今垢ハックくらってる奴ってただのアホだと思うんだが

上へまいりま〜す

ソフトウェアキーボードでも抜かれるから
感染したら無意味

>>286
wzsc〜以降、サービスプログラムを置き換えてプロセス監視、POLクライアントそのものにID/PASSを業者鯖へ送信させるものや、
シェルl拡張組み込んでプロセス監視、NotePadやメディアプレイヤなどをでFWなりをバイパスして送信する手法が一般化しているんだよ。
これらはまたはPOLのプロセス自体にスレッドを注入するか、メモリを舐めてWindowsに基本実装されているプログラムを使うかってのが多いとは思うけど、
その場合ソフトウェアキーボはあまり役に立たなかったりするよ。勿論ソフトウェアキーボを使うことにこしたことはないけども。
ソフトウェアキーボを使って無いから垢パクられるってわけでもない。

ソフト入力で回避出来る上で引っかかる奴が全て未使用なら
あんたの言うとおりそいつらみんな馬鹿でしょうねぇ
実際はそう思ってるあなたが（ｒ

>>286
ソフトウェアキーボードはキーロガータイプにしか効果が無い。
言ってることが矛盾してるぞ。

中国は建国記念日絡みで連休だったのかage

新たなインジェクション攻撃age

>>283
圧縮プログラム使っているのがエプソン製

ager

192まで下がっている

age

保守

ASUSTeK製ネットトップ「Eee Box」にウイルス混入
ttp://pc.watch.impress.co.jp/docs/2008/1003/asustek.htm
読者からの情報を受け当編集部で検証したところ、事実であることを確認した。

感染しているウイルスは「W32.SillyFDC」タイプで、自己拡散するいわゆるワームにカテゴライズされる。
シマンテックのウイルス情報「セキュリティレスポンス」によると、ウイルス自身をFDDなどの
リムーバブルメディアにコピーすることで拡散するほか、有害なアプリケーションをダウンロードする可能性もあるという。

あげまーーーーｓｓｓ