Top / 記事 / 20080305 / ブログコメントに怪しい書き込み

/ブログコメントに怪しい書き込み

このページには執筆者の推論も含まれています。
内容が内容だけにこのページは管理人以外は編集できなくしています(凍結)

ブログコメントに怪しい書き込み(2009) †

ブログだけじゃないですが･･･

最近ではブログはもちろん、
2chやうちの掲示板にもiframe入りのサイトでウィルスへ感染させようとする書き込みが多いです。

メイプルユーザーをまっすぐに「狙った」と確信できるこれらの書き込みは
現在のパス抜き騒動の原因と考えるのは自然な流れでしょう。

ちなみに、やっぱり犯人は中国圏サイトへ誘導してました。
これによって中国IPの攻撃者がやっていると予想していますが、
まず不思議だったのは、このサイトは中国圏のIPは全弾きなのに
何故中国圏ウイルスURLを張りにこれるのか。

ウィルスを張りにきているIPは日本の接続元なんだけど
このIP(接続元)がVPNかなんかで簡単に入られるようになっているぽい。
211.8.210.189が踏み台と思われるIPなんだけどこのIPの所有者への報告先がどこかわからないんだよねー
分かる人がいたらお願いします。

(2009/10/14追記)
連絡をした所、IPの管理している所より連絡がありました。
対処をして下さるとの事です。
211.8.210.189の他にも日本IPでウィルスを張る所はあると思うのですが、
これで１つのルートがなくなるといいですね。

最近では中国のサイトからの書き込みに敏感に反応するサイトオーナーも多いですが
攻撃者は普通に日本人(のIPを持って)サイトへ侵入し日本語文章を使ってURLを張ってるわけです。おそろしや。

とりあえず防衛するには･･･ †

＜LV1＞
PCに詳しくないならIEではなくFire Foxを使おう
嫌ならせめてセキュリティは高。もしくはActiveXは使わない。
世の中にはIEで溢れている為、攻撃者はIEを的にしたウィルスサイトを作ります。
IEの脆弱性などに詳しくない方であれば
Fire Foxにする事でそういった危険が減少します。

＜LV2＞
Fire FoxのアドオンのNo Script等を用いてJava Scriptのアクセス遮断する
ウィルス入りサイトの９９％はJava ScriptやIEのActiveX等を使用してウィルスを実行させます。
言ってしまえばJava Scriptさえ遮断すれば99%安全です。
ただし正規なものまで遮断するので、いろいろと面倒ですが。

＜LV3＞
ウィルス対策ソフトは絶対いれよう
「俺は大丈夫」という自信はどこからくるのかｗ

＜LV4＞
可能ならファイアウォールソフトも。
特定のアプリ以外からの送信を制御すれば異常に気づきやすいです。


ちなみに僕の環境はFire Fox＋No Script。
ウィルスソフトはAvast4でファイアウォールソフトはSygateです。
でも絶対ではないと思っています。

＜LV5＞
hostsファイルでIPフィルタを実施

hostsファイルでサイトに飛ばないようにする。 †

(IPでの追加はブロックできない人もいるようなので2009/10/15に内容編集)
誘導先のページがワンパターンなのでhostsファイルではじいちゃおう
以下は2chのMaplestoryスレでテンプレ化されてる危険サイトURL。
転載します。

■危険サイトにつきNGWord追加、hostsにて遮断推奨
4gameranking.com
gamepaslog.com
aimeblog.com
geoncities.com
blog20fc2.com
infosueek.w53.okwit.com

リネージュ資料室のhostsファイルの編集方法を見ながら、上記のドメインを追加すればOK

ついでに危険ドメイン一覧の一覧も併せて追加するとかなり安全になります。

最後に余談。 †

実際にかかってみたので、その手記を。

うちの掲示板に張られた奴↓

36 名前：名無しさん＠DropWiki：2009/10/03(土) 12:33:53 ID:ZN7/BvWQ
経験値計算式の修正、詳しくは各種計算式/経験値の計算を参照
http://geoncities■com/wiki/FrontPage/

書き込み者のIPアドレス
指定ドメイン　＝＞　「 211008210189.cidr.odn.ne.jp 」
取得ホスト名　＝＞　211008210189.cidr.odn.ne.jp
取得IPアドレス＝＞　 211.8.210.189 (IPv4)

ttp://[注意！ウィルスURLの可能性]■com/wiki/FrontPage/ †

ここに接続するとwikiwiki.jpのMaple Storyまとめwikiの情報/各種計算式のページへ飛んだ･･･
と思われたが、ソースを見ると

<frameset rows="444,0" cols="*">
<frame src="http://maplematome.wikiwiki.jp/?%BE%F0%CA%F3%2F%B3%C6%BC%EF%B7%D7%BB%BB%BC%B0#l6c34181 " framborder="no" scrolling="auto" noresize       marginwidth="0"margingheight="0">
<frame src="http://www■4gameranking.com/xin/" frameborder="no" scrolling="no"      noresize       marginwidth="0"margingheight="0">
</frameset>

こんな感じ。
見ただけでは2chのメイプルストーリーまとめwikiに接続してるように見えるが
実は２個のページを読み出していて

http://maplematome.wikiwiki.jp/

へつなぎつつ

http://www■4gameranking.com/xin/

へもつなぎにいきます。
これはwikiwiki.jpがセキュリティ的に甘いとかではなく、簡単にできちゃう事です。

ttp://www■[注意！ウィルスURLの可能性].com/xin/ †

いろんなサイトに張られてるURLもだいたいがここへ集約されていってます。
で、気になる中身ですが

Ms06014.htm
Ms07004.js
ani.c
ani.asp?id=1314
Yahoo.htm

というファイルを同時に読み込ませています。

ani.c †

ウィルス情報詳細
Ani.C
（2007/3/30）
Ani.Cは、Windowsのアニメーションカーソル・ハンドラであるANIファイルの脆弱性を利用するトロイの木馬であり、システムに他のマルウェアをダウンロードし、インストールします。

とある。つまりー。こいつを使ってまたウイルスをダウンロードするわけだ。
ってわけでこani.cを実行されちゃうとどんなウィルスをダウンロードするか。
中を覗いてみたら

http://www■4gameranking.com/xin/xia■exe

がでてきた。多分、本命はこいつ！！！
さて、どんなファイルがDLされるのだろうか！！！

実行すると BKDR_HUPIGON.BKBとして検出。 C:ドライブ内に以下のファイルをダウンロード ＋レジスタ値変更とかするみたい。

IO.EXE
cn.exe
win.exe
ms.exe
dos.exe 

動作はバックドア(攻撃者がそのPCへ入れるように対象者のPCに内部からセキュリティホールを作る)を作ったりするらしい

Yahoo.htm †

こちらのソースはActiveXの脆弱性をついたもの。
セキュリティホールを利用して任意のコードを実行って奴だと思うけど
ソースみたけど何を実行してるのかわからんちん

以下前回のアカウントハックウィルス騒ぎの奴↓

ブログコメントに怪しい書き込み †

発覚は自分の妹のブログへのカキコミでした。
ブログのコメントにこのようなカキコミがありました。

3ヶ月記念動画ｗ
メイプルストーリーぽぷら鯖に生息するカポ（てんこ＆風神）
の3ヶ月記念動画ｗ...メイプ ルストーリー カポリン メイメ
www.exbloog.com/7***888/000029[禁止ワード]
カスミちゃんV3 03/03/2008 Mon URL [ Edit ]

URLは修正済み
気になったので他にも検索すると

No title
メイプル 海賊４次
ニコニコから...メイプル海賊４次
www.exbloog.com/7***888/000029[禁止ワード]
2008.03.03 Mon l ドワ美ちゃん. URL l 編集

こんなのも。

こ�[禁止ワード]。解凍すると動画アイコンに偽装し�[禁止ワード]ファイルだったり、scrだったりします。
明らかに怪しいのでひとまず、virustotalにかけてみましたところわずかに1つかかるのみ。→検索結果
つまりこのウィルスは現在対応しているウィルスソフトが少なく、検知されないのです。
さら�[禁止ワード]部分ではなく、「www.exbloog.com/7***888/」は、
アクセスするだけで怪しげな挙動を見せたのでさらに注意が必要です。

このような攻撃で、「メイプルユーザー」を狙ったものは初めてかもしれません。

で、かかったらどうなるのよ †

自分もわからないので仮想PCで踏んでみた。
解凍して出来たあやしげな.scrを踏むと一気に中国IPにアクセスしはじめました。
SS
ってわけでトロイで間違いなさそうです。

一般的にはキーロガーって言われているものかと。

この件とは別のウィルスだと思われますが、メイポを狙ったトロイは１月頃からあったようです。
Win32/PSW.OnLineGames.NLE

ついでに「exbloog」をWhois検索したらwww.bizcn.com (中国のレジストラ？サーバー？)がヒット。
同様に「peacchmax」「livedoor」も検索したら同様の結果だった。
一応結果
指定ドメイン　＝＞　「 peacchmax.com 」
　　取得ホスト名　＝＞　peacchmax.com
　　取得IPアドレス＝＞　 61.139.126.53 (IPv4)

　 Domain Name: PEACCHMAX.COM
　 Registrar: BIZCN.COM, INC.
　 Whois Server: whois.bizcn.com
　 Referral URL: ttp://www.bizcn.com
　 Name Server: NS1.MYHOSTADMIN.NET
　 Name Server: NS2.MYHOSTADMIN.NET
　 Status: clientdeleteprohibited
　 Status: clienttransferprohibited
　 Updated Date: 11-dec-2007
　 Creation Date: 11-dec-2007
　 Expiration Date: 11-dec-2008

メイポ関係のブログコメントのアカウントハックウィルスで使われてるドメインの
ほとんどはwww.bizcn.comで取得されてる模様

オンラインゲームトロイ †

この問題�[禁止ワード]を含むURLで検索すると
ラグナロクというオンラインゲームのブログに多く載せられていました。
中にはアダルト関係のページや2chも多くヒット。
まとめると、認識としてラグナロクのキーロガーとして広がっているようです。
「なんだ、メイポ関係ねーじゃん」と思うかもしれないですが、
オンラインゲームの情報収集トロイという意味で大きな違いはない点や、
明らかにスパムとして投稿されているURLを含むコメントが
メイプルに関連した、それもそこまで日本語でおｋな文章ではないもので投稿されているという事は
このファイルをメイプルユーザーに踏ませる事が投稿者にとって有益である事の証明です。
今までメイプルを的に絞ったトロイ攻撃は記憶にないですが、今回の件によって
「日本のメイプルユーザーのPASSはWeb上で狙われている」といった認識を持つ必要があると思います。

予防 †

URLをよく確認しましょう
大手サイトのURLと間違えやすいようなURLを使ってきます。
例えば今回の例ではエキサイトブログのサイト(www.exblog)と間違えやすいように
「www.exbloog」というドメインをウイルス置き場にしている事がわかります。
blogをbloogとしてウイルス置き場にしている場合がほとんどです。
よく確認してください。

誤って踏んでしまった場合の対処は私にはわかりません。
お使いになられているウィルス対策ソフト会社に報告し、
対応してもらう事が一番だと思います。
(ちなみにavast!は2008/3/5現在無反応)

感染を予防するには感染源であるブログへのコメントを規制する事です。
ブログの管理人様は、ブログのカキコミに怪しいURL[禁止ワード]�[禁止ワード]等)を載せたものがないか常に注意し、
必要であれば�[禁止ワード]�[禁止ワード]といった単語を規制するのがよいと思います。

私自身、これを知ったのがついさきほどで、
確かで豊富な知識を提示できるわけではありませんが、
PC有害なファイルである事は確かです。
一人でも被害に逢われる事のないよう、記事にします。

参考サイト †

早速記事になってますね。さすがです。
パス抜きされないために

私より前にメイポでこの件について注意を呼びかけていた方。
どん☆がばちょ

ラグナロクのウィルスとして猛威を振るっていた事もあってか、
ラグナロク関連のまとめサイト等には情報が多くよせられていました。
この手のウイルスは総称として「アカウントハックウイルス」と呼ばれているようで
リネージュや他のオンラインゲームでも似た手口であったことから
今回のメイプルストーリーに対する「アカウントハックウイルス」対策について
有益な情報が多いと思いますのでいくつかリンクします。

BSWiki「安全のために」
リネージュ資料室
ROアカウントハック対策スレのまとめサイト

情報募集中 †