このページには執筆者の推論も含まれています。
内容が内容だけにこのページは管理人以外は編集できなくしています(凍結)

ブログコメントに怪しい書き込み

発覚は自分の妹のブログへのカキコミでした。
ブログのコメントにこのようなカキコミがありました。

3ヶ月記念動画w
メイプルストーリーぽぷら鯖に生息するカポ(てんこ&風神)
の3ヶ月記念動画w...メイプ ルストーリー カポリン メイメ
www.exbloog.com/7***888/000029.zip
カスミちゃんV3 03/03/2008 Mon URL [ Edit ]


URLは修正済み
気になったので他にも検索すると

No title
メイプル 海賊4次
ニコニコから...メイプル海賊4次
www.exbloog.com/7***888/000029.zip
2008.03.03 Mon l ドワ美ちゃん. URL l 編集

こんなのも。

このzip。解凍すると動画アイコンに偽装したexeファイルだったり、scrだったりします。
明らかに怪しいのでひとまず、virustotalにかけてみましたところわずかに1つかかるのみ。→検索結果[外部リンク]
つまりこのウィルスは現在対応しているウィルスソフトが少なく、検知されないのです。
さらにzip部分ではなく、「www.exbloog.com/7***888/」は、
アクセスするだけで怪しげな挙動を見せたのでさらに注意が必要です。

このような攻撃で、「メイプルユーザー」を狙ったものは初めてかもしれません。

で、かかったらどうなるのよ

自分もわからないので仮想PCで踏んでみた。
解凍して出来たあやしげな.scrを踏むと一気に中国IPにアクセスしはじめました。
SS[外部リンク]
ってわけでトロイで間違いなさそうです。

一般的にはキーロガーって言われているものかと。

この件とは別のウィルスだと思われますが、メイポを狙ったトロイは1月頃からあったようです。
Win32/PSW.OnLineGames.NLE[外部リンク]

ついでに「exbloog」をWhois検索したらwww.bizcn.com (中国のレジストラ?サーバー?)がヒット。
同様に「peacchmax」「livedoor」も検索したら同様の結果だった。
一応結果
指定ドメイン => 「 peacchmax.com 」
  取得ホスト名 => peacchmax.com
  取得IPアドレス=>  61.139.126.53 (IPv4)

  Domain Name: PEACCHMAX.COM
  Registrar: BIZCN.COM, INC.
  Whois Server: whois.bizcn.com
  Referral URL: ttp://www.bizcn.com
  Name Server: NS1.MYHOSTADMIN.NET
  Name Server: NS2.MYHOSTADMIN.NET
  Status: clientdeleteprohibited
  Status: clienttransferprohibited
  Updated Date: 11-dec-2007
  Creation Date: 11-dec-2007
  Expiration Date: 11-dec-2008

メイポ関係のブログコメントのアカウントハックウィルスで使われてるドメインの
ほとんどはwww.bizcn.comで取得されてる模様

オンラインゲームトロイ

この問題のzipを含むURLで検索すると
ラグナロクというオンラインゲームのブログに多く載せられていました。
中にはアダルト関係のページや2chも多くヒット。
まとめると、認識としてラグナロクのキーロガーとして広がっているようです。
「なんだ、メイポ関係ねーじゃん」と思うかもしれないですが、
オンラインゲームの情報収集トロイという意味で大きな違いはない点や、
明らかにスパムとして投稿されているURLを含むコメントが
メイプルに関連した、それもそこまで日本語でおkな文章ではないもので投稿されているという事は
このファイルをメイプルユーザーに踏ませる事が投稿者にとって有益である事の証明です。
今までメイプルを的に絞ったトロイ攻撃は記憶にないですが、今回の件によって
「日本のメイプルユーザーのPASSはWeb上で狙われている」といった認識を持つ必要があると思います。

予防

URLをよく確認しましょう
大手サイトのURLと間違えやすいようなURLを使ってきます。
例えば今回の例ではエキサイトブログのサイト(www.exblog)と間違えやすいように
「www.exbloog」というドメインをウイルス置き場にしている事がわかります。
blogをbloogとしてウイルス置き場にしている場合がほとんどです。
よく確認してください。

誤って踏んでしまった場合の対処は私にはわかりません。
お使いになられているウィルス対策ソフト会社に報告し、
対応してもらう事が一番だと思います。
(ちなみにavast!は2008/3/5現在無反応)

感染を予防するには感染源であるブログへのコメントを規制する事です。
ブログの管理人様は、ブログのカキコミに怪しいURL(exeやzip等)を載せたものがないか常に注意し、
必要であれば、exeやzipといった単語を規制するのがよいと思います。

私自身、これを知ったのがついさきほどで、
確かで豊富な知識を提示できるわけではありませんが、
PC有害なファイルである事は確かです。
一人でも被害に逢われる事のないよう、記事にします。

参考サイト

早速記事になってますね。さすがです。
パス抜きされないために[外部リンク]

私より前にメイポでこの件について注意を呼びかけていた方。
どん☆がばちょ[外部リンク]

ラグナロクのウィルスとして猛威を振るっていた事もあってか、
ラグナロク関連のまとめサイト等には情報が多くよせられていました。
この手のウイルスは総称として「アカウントハックウイルス」と呼ばれているようで
リネージュや他のオンラインゲームでも似た手口であったことから
今回のメイプルストーリーに対する「アカウントハックウイルス」対策について
有益な情報が多いと思いますのでいくつかリンクします。

BSWiki「安全のために」[外部リンク]
リネージュ資料室[外部リンク]
ROアカウントハック対策スレのまとめサイト[外部リンク]

情報募集中

情報提供以外のコメントは削除される恐れがあります。掲示板[外部リンク]をご利用下さい。
質問スレ13[外部リンク] / 雑談スレ12[外部リンク] / ドロップ討論スレ[外部リンク] / 要望・批判スレ2[外部リンク]
--------------------------------------
コメントページを参照

  • blogにて紹介させていただきますので、少々コピペさせていただきます。すみません。 -- [walkon] 2009-10-09 (金) 22:32:28
  • ブログにて紹介させていただきます。コピペします。おねがいします      このような被害が広がらないことを願います。 -- 2009-10-10 (土) 15:46:07
  • クリックしちゃったんですが、とりあえずセキュリティがブロックしてページには飛びませんでした。クリックしてもそのページに飛ばなければ大丈夫なんですか? -- [ヒロ] 2009-10-10 (土) 23:01:16
    • 明らかに遮断されている警告文で止まっていれば大丈夫です。ですが、今後アンチウィルスベンダーでは検出できないものも増えますので、慎重な動きを心がけるべきかと存じます。 -- [せら] 2009-10-10 (土) 23:21:20
      • 返答ありがとうございます。完全に警告文で止まっていたので大丈夫そうです。これからは注意するようにします;; -- [ヒロ] 2009-10-10 (土) 23:37:11
    • セキュリティソフトによって遮断・駆除されたとも思われますが、事後には念のため一度PCをウィルス総スキャンされることをお勧めします。 -- [matrix] 2009-10-11 (日) 08:27:20
      • どもです。スキャンしておきました。 -- [ヒロ] 2009-10-11 (日) 10:06:59
  • Lunascape5ってブラウザが最近目にしますが、こちらのブラウザはFirefoxより安全上問題ないでしょうか? -- [gi] 2009-10-14 (水) 07:06:53
    • るな助はIEコンポーネントです。中身はIEと一緒 -- [rey] 2009-10-19 (月) 00:41:16
      • 同様に プニルもIE -- 2009-10-28 (水) 01:33:11
  • hostsファイルの編集について、内容を変更しました。 -- 管理人 2009-10-15 (木) 23:34:05
  • ボットウィルスに感染したPCは、攻撃者にWebサーバ(踏み台)として悪用される場合があります。そのため、日本IP経由の接続も簡単に可能となります。悪用されないように各自がPCを防御することも大事です。 -- [matrix] 2009-10-16 (金) 14:39:22
    • 自分のパソコンがWebサーバー(踏み台)として悪用されていないかどうかをチェックする簡単な方法として、ブラウザのURL入力欄に『http://127.0.0.1/[外部リンク]』(『』は不要)と入力してアクセスみること。「このページは表示できません」「正常に接続できませんでした」などとブラウザに表示されたら、あなたのパソコンはWebサーバ(踏み台)として悪用されていません。 -- [matrix] 2009-10-16 (金) 14:43:00
      • もしアクセスできたり、「403 Forbidden」など他のエラー表示が出る場合は、すみやかにウイルスを駆除しましょう。また、この簡易チェックで引っかからなかったとしても、定期的にウイルススキャンチェックをしなければならないことは言うまでもありません。 -- [matrix] 2009-10-16 (金) 14:46:02
      • ApacheやIISなどで自ら情報を発信、もしくはXAMPなどでプログラムの開発環境を作っている場合はこの限りではない。127.0.0.1は”自分自身”をあらわすIPアドレスで、このコメント者は自分自身に接続してみて情報がオープンであれば危険を疑うべきといっているが、普通にPort80を使うプログラムは存在するため、「外部から見れるか」のほうが重要。 よってちゃんと調べるなら、確認くんなどのサイトで自分のグローバルIPを調べて、http://グローバルIP へ完全に外部(携帯とか)から接続を試すのが一番確実です。ただこれでも=ウィルスにかかっているとはいいがたいと思いますが。 -- 2010-06-23 (水) 23:52:45
  • この罠にまんまとかかり、キャラ全部消されました。みなさんもお気をつけて.... -- [グレー] 2009-11-02 (月) 22:22:04
  • 自分の nexon id 憶えてないのに nexonポイントだけ取られました。 -- 2009-11-08 (日) 09:02:48
    • パスワードも覚えていません、(登録時のみ使用) LV3(ariva、spybot)までの対策はしてたのに -- 2009-11-08 (日) 09:09:07
      • いま立ち上げてみたら物が一個売れていてnexonポイントが元に戻っていました、バグみたいです。すみません -- 2009-11-08 (日) 14:08:13
  • インフルとウイルスをくらべんなよ・・・。 -- 2009-12-13 (日) 12:24:27
  • 昨日、久しぶりに、当サイトに来て、クリムゾンのマップや武器作成の辺りのところを見ていたら、突然、ウイルスバスター発動で「個人情報ブロックされました」と、出ました><びっくりして、即閉じちゃいました。 こちらのサイトしか開いてなかったので、何か仕掛けられてるのかもデス><; PCに詳しくないのでこれ以上の事は、わかりません><。ブロックされてたサイトはgoogle○○だったと。。。><。今日再度、見てみましたがウイルスバスターは発動しなかった。。。一応お知らせまでです><;もし、此方のサイトは関係なかったらスミマセンです。 -- [元 楓の住人] 2010-01-27 (水) 16:25:35
    • 昨日のログをすべて洗いましたがウィルスといった感染は確認されていません。となると原因は広告です。当サイトは運営を続けるために広告を出していますが、この広告がgoogleさんのシステムを使っています。googleさんは僕のホームページに合う広告を自動的にローテーションしながら挿入してくれているのですが、広告をクリックされた数によってお金の流れがあるためクッキーといった個人情報を一時的に取得しているのかもしれません。おそらくウィルス対策ソフトはこれに反応したのかと思われます。 -- 管理人 2010-01-27 (水) 22:54:35
  • それは今いろいろなブログにウイルスを打ち込む『ウイルスカイザー』の仕業だと僕は考えます「ショウーkunn」のブログでウイルスが出た事件がありましたよね?それも僕はウイルスカイザーの仕業だと思っていますウイルスカイザーは有名なサイトを狙っていますそして立て続けにメイプルのプレイヤーを襲うということは ウイルスカイザー=メイプルをやっている?=パス抜きされる可能性が高い ということだと思います十分警戒して冷静な対処をとりましょう!お気をつけて! -- [GOMぱっちん] 2010-03-06 (土) 15:28:49
  • ブログにて紹介させていただきます。一部引用させていただきます。 -- 2010-05-02 (日) 23:50:03
  • ここ見とけばよかった・・・・・もちろんやられました・・・・orz 参考にさせていただきます -- [s] 2010-08-03 (火) 22:11:15
  • 参考にさせていただきます。また、被害者をへらす為にも僕のブログにコピペさせてもらいました。ありがとうございます。 -- [すごい] 2010-10-10 (日) 20:31:13
  • http://127.0.0.1/[外部リンク]』をGoogle Chromeのシークレットウインドウで見たところ真っ白な画面になりました。ですが普通に見たところリンクが無効と出ましたのでチェックする際はシークレットウインドウなどからではなく普通のウインドウからアクセスしたほうがいいです -- 2012-02-29 (水) 21:13:28
お名前: