- 追加された行はこの色です。
- 削除された行はこの色です。
このページには執筆者の推論も含まれています。&br;
内容が内容だけにこのページは管理人以外は編集できなくしています(凍結)&br;
&br;
*ブログコメントに怪しい書き込み [#gbb2f19f]
発覚は自分の妹のブログへのカキコミでした。&br;
ブログのコメントにこのようなカキコミがありました。&br;
&br;
&color(red){3ヶ月記念動画w &br;メイプルストーリーぽぷら鯖に生息するカポ(てんこ&風神)&br;の3ヶ月記念動画w...メイプ ルストーリー カポリン メイメ&br;www.exbloog.com/7***888/000029.zip&br;カスミちゃんV3 03/03/2008 Mon URL [ Edit ] &br;};
&br;
URLは修正済み&br;
気になったので他にも検索すると&br;
&br;
&color(red){No title&br;メイプル 海賊4次&br;ニコニコから...メイプル海賊4次&br;www.exbloog.com/7***888/000029.zip&br;2008.03.03 Mon l ドワ美ちゃん. URL l 編集};&br;
&br;
こんなのも。&br;
&br;
このzip。解凍すると動画アイコンに偽装したexeファイルだったり、scrだったりします。&br;
明らかに怪しいのでひとまず、virustotalにかけてみましたところわずかに1つかかるのみ。→[[検索結果>http://www.virustotal.com/jp/analisis/31e4a25725f206ee505901d249d20664]]&br;
つまりこのウィルスは現在対応しているウィルスソフトが少なく、検知されないのです。&br;
&color(red){さらにzip部分ではなく、「www.exbloog.com/7***888/」は、&br;アクセスするだけで怪しげな挙動を見せたのでさらに注意が必要です。};&br;
&br;
このような攻撃で、「メイプルユーザー」を狙ったものは初めてかもしれません。
*で、かかったらどうなるのよ [#xbebbbe3]
自分もわからないので仮想PCで踏んでみた。&br;
解凍して出来たあやしげな.scrを踏むと一気に中国IPにアクセスしはじめました。&br;
[[SS>http://sonarsrv.com/uploader/src/up0088.gif]]&br;
ってわけでトロイで間違いなさそうです。&br;
&br;
一般的にはキーロガーって言われているものかと。&br;
&br;
この件とは別のウィルスだと思われますが、メイポを狙ったトロイは1月頃からあったようです。&br;
[[Win32/PSW.OnLineGames.NLE>http://www.canon-sol.jp/product/nd/virusinfo/vr_win32_psw_onlinegames_nle.html]]
&br;
&br;
ついでに「exbloog」をWhois検索したらwww.bizcn.com (中国のレジストラ?サーバー?)がヒット。&br;
同様に「peacchmax」「livedoor」も検索したら同様の結果だった。&br;
一応結果&br;
指定ドメイン => 「 peacchmax.com 」&br;
取得ホスト名 => peacchmax.com&br;
取得IPアドレス=> 61.139.126.53 (IPv4)&br;
-------------------&br;
Domain Name: PEACCHMAX.COM&br;
Registrar: BIZCN.COM, INC.&br;
Whois Server: whois.bizcn.com&br;
Referral URL: ttp://www.bizcn.com&br;
Name Server: NS1.MYHOSTADMIN.NET&br;
Name Server: NS2.MYHOSTADMIN.NET&br;
Status: clientdeleteprohibited&br;
Status: clienttransferprohibited&br;
Updated Date: 11-dec-2007&br;
Creation Date: 11-dec-2007&br;
Expiration Date: 11-dec-2008&br;
&br;
メイポ関係のブログコメントのアカウントハックウィルスで使われてるドメインの&br;
ほとんどはwww.bizcn.comで取得されてる模様&br;
*オンラインゲームトロイ [#he48314f]
この問題のzipを含むURLで検索すると&br;
ラグナロクというオンラインゲームのブログに多く載せられていました。&br;
中にはアダルト関係のページや2chも多くヒット。&br;
まとめると、認識としてラグナロクのキーロガーとして広がっているようです。&br;
「なんだ、メイポ関係ねーじゃん」と思うかもしれないですが、&br;
オンラインゲームの情報収集トロイという意味で大きな違いはない点や、&br;
明らかにスパムとして投稿されているURLを含むコメントが&br;
メイプルに関連した、それもそこまで日本語でおkな文章ではないもので投稿されているという事は&br;
このファイルをメイプルユーザーに踏ませる事が投稿者にとって有益である事の証明です。&br;
今までメイプルを的に絞ったトロイ攻撃は記憶にないですが、今回の件によって&br;
「日本のメイプルユーザーのPASSはWeb上で狙われている」といった認識を持つ必要があると思います。&br;
*予防 [#yf2fd8bb]
&color(red){URLをよく確認しましょう};&br;
大手サイトのURLと間違えやすいようなURLを使ってきます。&br;
例えば今回の例ではエキサイトブログのサイト(www.exblog)と間違えやすいように&br;
「www.exbloog」というドメインをウイルス置き場にしている事がわかります。&br;
blogをbloogとしてウイルス置き場にしている場合がほとんどです。&br;
よく確認してください。&br;
&br;
誤って踏んでしまった場合の対処は私にはわかりません。&br;
お使いになられているウィルス対策ソフト会社に報告し、&br;
対応してもらう事が一番だと思います。&br;
(ちなみにavast!は2008/3/5現在無反応)&br;
&br;
感染を予防するには感染源であるブログへのコメントを規制する事です。&br;
ブログの管理人様は、ブログのカキコミに怪しいURL(exeやzip等)を載せたものがないか常に注意し、&br;
必要であれば、exeやzipといった単語を規制するのがよいと思います。&br;
&br;
私自身、これを知ったのがついさきほどで、&br;
確かで豊富な知識を提示できるわけではありませんが、&br;
PC有害なファイルである事は確かです。&br;
一人でも被害に逢われる事のないよう、記事にします。
*参考サイト [#ffd562a3]
早速記事になってますね。さすがです。&br;
[[パス抜きされないために>http://keepmypass.blog96.fc2.com/]]&br;
&br;
私より前にメイポでこの件について注意を呼びかけていた方。&br;
[[どん☆がばちょ>http://fairyptskninmaple.blog55.fc2.com/]]&br;
&br;
ラグナロクのウィルスとして猛威を振るっていた事もあってか、&br;
ラグナロク関連のまとめサイト等には情報が多くよせられていました。&br;
この手のウイルスは総称として「アカウントハックウイルス」と呼ばれているようで&br;
リネージュや他のオンラインゲームでも似た手口であったことから&br;
今回のメイプルストーリーに対する「アカウントハックウイルス」対策について&br;
有益な情報が多いと思いますのでいくつかリンクします。&br;
&br;
[[BSWiki「安全のために」>http://smith.rowiki.jp/?Security]]&br;
[[リネージュ資料室>http://lineage.nyx.bne.jp/misc/security/id_modus.html]]&br;
[[ROアカウントハック対策スレのまとめサイト>http://sky.geocities.jp/vs_ro_hack/]]&br;
*情報募集中 [#pbd6e9cc]
#pcomment(reply)
![[記事/20080305/ブログコメントに怪しい書き込み のバックアップ差分(No.1)]](image/pukiwiki.png "[記事/20080305/ブログコメントに怪しい書き込み のバックアップ差分(No.1)]")
