![[記事/20080305/ブログコメントに怪しい書き込み の変更点]](image/pukiwiki.png "[記事/20080305/ブログコメントに怪しい書き込み の変更点]")
//summary ///メイポユーザーを狙うトロイウィルス蔓延についての注意記事 このページには執筆者の推論も含まれています。&br; 内容が内容だけにこのページは管理人以外は編集できなくしています(凍結)&br; &br; *&color(Red){ブログコメントに怪しい書き込み(2009) };[#c4b5ce8e] ブログだけじゃないですが・・・&br; &br; &size(19){&color(Red){''最近ではブログはもちろん、&br;2chやうちの掲示板にもiframe入りのサイトでウィルスへ感染させようとする書き込みが多いです。''};};&br; &br; &color(Red){メイプルユーザーをまっすぐに''「狙った」''と確信できる};これらの書き込みは&br; &color(Red){''現在のパス抜き騒動の原因''};と考えるのは自然な流れでしょう。&br; ちなみに、やっぱり犯人は中国圏サイトへ誘導してました。&br; これによって中国IPの攻撃者がやっていると予想していますが、&br; まず不思議だったのは、このサイトは中国圏のIPは全弾きなのに&br; 何故中国圏ウイルスURLを張りにこれるのか。&br; ウィルスを張りにきているIPは日本の接続元なんだけど&br; このIP(接続元)がVPNかなんかで簡単に入られるようになっているぽい。&br; 211.8.210.189が踏み台と思われるIPなんだけど%%このIPの所有者への報告先がどこかわからないんだよねー%%&br; %%分かる人がいたらお願いします。%%&br; &br; (2009/10/14追記)&br; 連絡をした所、IPの管理している所より連絡がありました。&br; 対処をして下さるとの事です。&br; 211.8.210.189の他にも日本IPでウィルスを張る所はあると思うのですが、&br; これで1つのルートがなくなるといいですね。&br; &br; 最近では中国のサイトからの書き込みに敏感に反応するサイトオーナーも多いですが&br; 攻撃者は普通に日本人(のIPを持って)サイトへ侵入し日本語文章を使ってURLを張ってるわけです。おそろしや。&br; &br; *とりあえず防衛するには・・・ [#u1f46bea] &br; &color(#ff99ff){''<LV1>''};&br; PCに詳しくないなら&color(Red){%%%''IEではなくFire Foxを使おう''%%%};&br; 嫌ならせめて&color(Red){%%%''セキュリティは高''%%%};。もしくは&color(Red){%%%''ActiveXは使わない''%%%};。&br; 世の中にはIEで溢れている為、攻撃者はIEを的にしたウィルスサイトを作ります。&br; IEの脆弱性などに詳しくない方であれば&br; Fire Foxにする事でそういった危険が減少します。&br; &br;&color(#ff65ff){''<LV2>''};&br; Fire FoxのアドオンのNo Script等を用いてJava Scriptのアクセス遮断する&br; ウィルス入りサイトの99%はJava ScriptやIEのActiveX等を使用してウィルスを実行させます。&br; 言ってしまえばJava Scriptさえ遮断すれば99%安全です。&br; ただし正規なものまで遮断するので、いろいろと面倒ですが。&br; &br; &color(#ff00ff){''<LV3>''};&br; ウィルス対策ソフトは絶対いれよう&br; 「俺は大丈夫」という自信はどこからくるのかw&br; &br; &color(#cc00cc){''<LV4>''};&br; 可能ならファイアウォールソフトも。&br; 特定のアプリ以外からの送信を制御すれば異常に気づきやすいです。&br; &br; &br; ちなみに僕の環境はFire Fox+No Script。&br; ウィルスソフトはAvast4でファイアウォールソフトはSygateです。&br; でも絶対ではないと思っています。&br; &br; &color(#990099){''<LV5>''};&br; hostsファイルでIPフィルタを実施 *hostsファイルでサイトに飛ばないようにする。 [#d7c706cc] (IPでの追加はブロックできない人もいるようなので2009/10/15に内容編集)&br; 誘導先のページがワンパターンなのでhostsファイルではじいちゃおう&br; 以下は2chのMaplestoryスレでテンプレ化されてる危険サイトURL。&br; 転載します。&br; ■危険サイトにつきNGWord追加、hostsにて遮断推奨 4gameranking.com gamepaslog.com aimeblog.com geoncities.com blog20fc2.com infosueek.w53.okwit.com [[リネージュ資料室>http://lineage.paix.jp/guide/security/basic-ipfilter.html#HOSTS]]のhostsファイルの編集方法を見ながら、上記のドメインを追加すればOK&br; &br; ついでに[[危険ドメイン一覧>http://lineage.paix.jp/guide/security/hosts.txt]]の一覧も併せて追加するとかなり安全になります。 *最後に余談。 [#c4478443] 実際にかかってみたので、その手記を。&br; うちの掲示板に張られた奴↓&br; ---------- 36 名前:名無しさん@DropWiki:2009/10/03(土) 12:33:53 ID:ZN7/BvWQ 経験値計算式の修正、詳しくは各種計算式/経験値の計算を参照 http://geoncities■com/wiki/FrontPage/ ---------- 書き込み者のIPアドレス&br; 指定ドメイン => 「 211008210189.cidr.odn.ne.jp 」&br; 取得ホスト名 => 211008210189.cidr.odn.ne.jp&br; 取得IPアドレス=> 211.8.210.189 (IPv4)&br; &br; *ttp://geoncities■com/wiki/FrontPage/ [#we478bd1] *ttp://[注意!ウィルスURLの可能性]■com/wiki/FrontPage/ [#we478bd1] ここに接続するとwikiwiki.jpのMaple Storyまとめwikiの情報/各種計算式のページへ飛んだ・・・&br; と思われたが、ソースを見ると&br; &br; <frameset rows="444,0" cols="*"> <frame src="http://maplematome.wikiwiki.jp/?%BE%F0%CA%F3%2F%B3%C6%BC%EF%B7%D7%BB%BB%BC%B0#l6c34181 " framborder="no" scrolling="auto" noresize marginwidth="0"margingheight="0"> <frame src="http://www■4gameranking.com/xin/" frameborder="no" scrolling="no" noresize marginwidth="0"margingheight="0"> </frameset> &br; こんな感じ。&br; 見ただけでは2chのメイプルストーリーまとめwikiに接続してるように見えるが&br; 実は2個のページを読み出していて&br; http://maplematome.wikiwiki.jp/ へつなぎつつ&br; http://www■4gameranking.com/xin/ へもつなぎにいきます。&br; これはwikiwiki.jpがセキュリティ的に甘いとかではなく、簡単にできちゃう事です。&br; *ttp://www■4gameranking.com/xin/ [#xce3daee] *ttp://www■[注意!ウィルスURLの可能性].com/xin/ [#xce3daee] いろんなサイトに張られてるURLもだいたいがここへ集約されていってます。&br; で、気になる中身ですが&br; Ms06014.htm Ms07004.js ani.c ani.asp?id=1314 Yahoo.htm というファイルを同時に読み込ませています。&br; *ani.c [#fc89570f] ウィルス情報詳細 Ani.C (2007/3/30) Ani.Cは、Windowsのアニメーションカーソル・ハンドラであるANIファイルの脆弱性を利用するトロイの木馬であり、システムに他のマルウェアをダウンロードし、インストールします。 &br; とある。つまりー。こいつを使ってまたウイルスをダウンロードするわけだ。&br; ってわけでこani.cを実行されちゃうとどんなウィルスをダウンロードするか。&br; 中を覗いてみたら&br; http://www■4gameranking.com/xin/xia■exe &br; がでてきた。多分、本命はこいつ!!!&br; さて、どんなファイルがDLされるのだろうか!!!&br; &br; 実行すると BKDR_HUPIGON.BKBとして検出。 C:ドライブ内に以下のファイルをダウンロード +レジスタ値変更とかするみたい。 IO.EXE cn.exe win.exe ms.exe dos.exe 動作はバックドア(攻撃者がそのPCへ入れるように対象者のPCに内部からセキュリティホールを作る)を作ったりするらしい *Yahoo.htm [#nbfce395] こちらのソースはActiveXの脆弱性をついたもの。&br; セキュリティホールを利用して任意のコードを実行って奴だと思うけど&br; ソースみたけど何を実行してるのかわからんちん&br; &br; ---- &br; 以下前回のアカウントハックウィルス騒ぎの奴↓&br; *ブログコメントに怪しい書き込み [#gbb2f19f] 発覚は自分の妹のブログへのカキコミでした。&br; ブログのコメントにこのようなカキコミがありました。&br; &br; &color(red){3ヶ月記念動画w &br;メイプルストーリーぽぷら鯖に生息するカポ(てんこ&風神)&br;の3ヶ月記念動画w...メイプ ルストーリー カポリン メイメ&br;www.exbloog.com/7***888/000029.zip&br;カスミちゃんV3 03/03/2008 Mon URL [ Edit ] &br;}; &color(red){3ヶ月記念動画w &br;メイプルストーリーぽぷら鯖に生息するカポ(てんこ&風神)&br;の3ヶ月記念動画w...メイプ ルストーリー カポリン メイメ&br;www.exbloog.com/7***888/000029[禁止ワード]&br;カスミちゃんV3 03/03/2008 Mon URL [ Edit ] &br;}; &br; URLは修正済み&br; 気になったので他にも検索すると&br; &br; &color(red){No title&br;メイプル 海賊4次&br;ニコニコから...メイプル海賊4次&br;www.exbloog.com/7***888/000029.zip&br;2008.03.03 Mon l ドワ美ちゃん. URL l 編集};&br; &color(red){No title&br;メイプル 海賊4次&br;ニコニコから...メイプル海賊4次&br;www.exbloog.com/7***888/000029[禁止ワード]&br;2008.03.03 Mon l ドワ美ちゃん. URL l 編集};&br; &br; こんなのも。&br; &br; このzip。解凍すると動画アイコンに偽装したexeファイルだったり、scrだったりします。&br; こ[禁止ワード]。解凍すると動画アイコンに偽装し[禁止ワード]ファイルだったり、scrだったりします。&br; 明らかに怪しいのでひとまず、virustotalにかけてみましたところわずかに1つかかるのみ。→[[検索結果>http://www.virustotal.com/jp/analisis/31e4a25725f206ee505901d249d20664]]&br; つまりこのウィルスは現在対応しているウィルスソフトが少なく、検知されないのです。&br; &color(red){さらにzip部分ではなく、「www.exbloog.com/7***888/」は、&br;アクセスするだけで怪しげな挙動を見せたのでさらに注意が必要です。};&br; &color(red){さら[禁止ワード]部分ではなく、「www.exbloog.com/7***888/」は、&br;アクセスするだけで怪しげな挙動を見せたのでさらに注意が必要です。};&br; &br; このような攻撃で、「メイプルユーザー」を狙ったものは初めてかもしれません。 *で、かかったらどうなるのよ [#xbebbbe3] 自分もわからないので仮想PCで踏んでみた。&br; 解凍して出来たあやしげな.scrを踏むと一気に中国IPにアクセスしはじめました。&br; [[SS>http://sonarsrv.com/uploader/src/up0088.gif]]&br; ってわけでトロイで間違いなさそうです。&br; &br; 一般的にはキーロガーって言われているものかと。&br; &br; この件とは別のウィルスだと思われますが、メイポを狙ったトロイは1月頃からあったようです。&br; [[Win32/PSW.OnLineGames.NLE>http://www.canon-sol.jp/product/nd/virusinfo/vr_win32_psw_onlinegames_nle.html]] &br; &br; ついでに「exbloog」をWhois検索したらwww.bizcn.com (中国のレジストラ?サーバー?)がヒット。&br; 同様に「peacchmax」「livedoor」も検索したら同様の結果だった。&br; 一応結果&br; 指定ドメイン => 「 peacchmax.com 」&br; 取得ホスト名 => peacchmax.com&br; 取得IPアドレス=> 61.139.126.53 (IPv4)&br; -------------------&br; Domain Name: PEACCHMAX.COM&br; Registrar: BIZCN.COM, INC.&br; Whois Server: whois.bizcn.com&br; Referral URL: ttp://www.bizcn.com&br; Name Server: NS1.MYHOSTADMIN.NET&br; Name Server: NS2.MYHOSTADMIN.NET&br; Status: clientdeleteprohibited&br; Status: clienttransferprohibited&br; Updated Date: 11-dec-2007&br; Creation Date: 11-dec-2007&br; Expiration Date: 11-dec-2008&br; &br; メイポ関係のブログコメントのアカウントハックウィルスで使われてるドメインの&br; ほとんどはwww.bizcn.comで取得されてる模様&br; *オンラインゲームトロイ [#he48314f] この問題のzipを含むURLで検索すると&br; この問題[禁止ワード]を含むURLで検索すると&br; ラグナロクというオンラインゲームのブログに多く載せられていました。&br; 中にはアダルト関係のページや2chも多くヒット。&br; まとめると、認識としてラグナロクのキーロガーとして広がっているようです。&br; 「なんだ、メイポ関係ねーじゃん」と思うかもしれないですが、&br; オンラインゲームの情報収集トロイという意味で大きな違いはない点や、&br; 明らかにスパムとして投稿されているURLを含むコメントが&br; メイプルに関連した、それもそこまで日本語でおkな文章ではないもので投稿されているという事は&br; このファイルをメイプルユーザーに踏ませる事が投稿者にとって有益である事の証明です。&br; 今までメイプルを的に絞ったトロイ攻撃は記憶にないですが、今回の件によって&br; 「日本のメイプルユーザーのPASSはWeb上で狙われている」といった認識を持つ必要があると思います。&br; *予防 [#yf2fd8bb] &color(red){URLをよく確認しましょう};&br; 大手サイトのURLと間違えやすいようなURLを使ってきます。&br; 例えば今回の例ではエキサイトブログのサイト(www.exblog)と間違えやすいように&br; 「www.exbloog」というドメインをウイルス置き場にしている事がわかります。&br; blogをbloogとしてウイルス置き場にしている場合がほとんどです。&br; よく確認してください。&br; &br; 誤って踏んでしまった場合の対処は私にはわかりません。&br; お使いになられているウィルス対策ソフト会社に報告し、&br; 対応してもらう事が一番だと思います。&br; (ちなみにavast!は2008/3/5現在無反応)&br; &br; 感染を予防するには感染源であるブログへのコメントを規制する事です。&br; ブログの管理人様は、ブログのカキコミに怪しいURL(exeやzip等)を載せたものがないか常に注意し、&br; 必要であれば、exeやzipといった単語を規制するのがよいと思います。&br; ブログの管理人様は、ブログのカキコミに怪しいURL[禁止ワード][禁止ワード]等)を載せたものがないか常に注意し、&br; 必要であれば[禁止ワード][禁止ワード]といった単語を規制するのがよいと思います。&br; &br; 私自身、これを知ったのがついさきほどで、&br; 確かで豊富な知識を提示できるわけではありませんが、&br; PC有害なファイルである事は確かです。&br; 一人でも被害に逢われる事のないよう、記事にします。 *参考サイト [#ffd562a3] 早速記事になってますね。さすがです。&br; [[パス抜きされないために>http://keepmypass.blog96.fc2.com/]]&br; &br; 私より前にメイポでこの件について注意を呼びかけていた方。&br; [[どん☆がばちょ>http://fairyptskninmaple.blog55.fc2.com/]]&br; &br; ラグナロクのウィルスとして猛威を振るっていた事もあってか、&br; ラグナロク関連のまとめサイト等には情報が多くよせられていました。&br; この手のウイルスは総称として「アカウントハックウイルス」と呼ばれているようで&br; リネージュや他のオンラインゲームでも似た手口であったことから&br; 今回のメイプルストーリーに対する「アカウントハックウイルス」対策について&br; 有益な情報が多いと思いますのでいくつかリンクします。&br; &br; [[BSWiki「安全のために」>http://smith.rowiki.jp/?Security]]&br; [[リネージュ資料室>http://lineage.nyx.bne.jp/misc/security/id_modus.html]]&br; [[ROアカウントハック対策スレのまとめサイト>http://sky.geocities.jp/vs_ro_hack/]]&br; *情報募集中 [#pbd6e9cc] #pcomment(reply)
