上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

こんばんは、これからログインしようと思ってますが、下の記事がぐちゃぐちゃになってきたのでまとめようと思います(ノ∀`)
今度からこちらの記事を随時更新するつもりです。つかしてます。今したもん。(6/22・1:57)


ちょっと修正。URLはコピペできないように画像にしてみました。絶対ジャンプしたらあかんで!


あれから情報が貯まってきたので1回ageます。


 


【URLをクリックしたら】


真っ白な画面のまま、いつまで待っても何も表示されません。
ソースを見ると、<center><font color=red></font></center>しか書かれていませんが、そう表示させるようにしてあるっぽい。携帯で見るとボロが出るんですけどね。
で、ff11.exeという、いかにもFFに影響を及ぼしそうな名前の実行ファイルを勝手に実行されるようです。
6/21追記:このff11.exeには Trojan-Spy.Win32.Agent.nq というウイルスが仕込まれているそうです。
もちろんウイルスというのは毎日いろんなモノが出回るので他にもあるかも知れません。
マカフィーのサイトに詳しい解説がありました。フレのPさん情報ありがとう!WindowsUpdateが最新で、ウイルス対策などをされてるとそもそも発動せず助かる可能性が高いようですが、ヘタしたらPOLのID・パスワードがハッキングされて乗っ取られるかも知れません。


現在もこのサイトはまだまだ健在です。冗談でもクリックしないで下さい!


10/12追記
★さん被害に遭われた日記を公開なさっていたのでここからリンクさせて戴きます。リアルで((((;゜Д゜)))こんな顔してしまいます。
★さんがこれから楽しいヴァナライフを送れることを別鯖より祈ってます。


10/18追記

20071018_1.jpgのようにTrojan-Downloader.VBS.Psyme.ixを含むVBscriptで書かれたサイトもあります。やっと解読でけた。
ラグナロクのサイトですが、勝手にリンクをもらっていくことにした。こんな感じのスクリプト(記事の後半)が書かれてました。
プログラム言語の域まで来られると素人には難しいな・・・


10/18 16:15追記
どうもFFXIのアカウントハックだけが目的ではないような気がします。
クレジットカード関連のWikiも、ここに載ってたURLのドメインで荒らされてるようなので、FFXIをプレイしないPCでも決して罠URLに飛ばないでください。
おばちゃんとの約束だぞ!!


 


【コメント内容】


(うちに来たコメント)
日記発見なりぃ~ヽ(+.+)ノ゜+.゜☆
そして勝手にリンクはりまぁw



(TOKOさんとこに来たコメント)
ううぅぅぅ!
さ、さ、先がぁーーー
気になります(′д`)
更新頑張って下さい!




(にぼろぐ のにぼしさんとこに貼られてたそうです)
こ、こぇぇぇぇえぇぇぇぇぇー(.´Д.)
気をつけなきゃ…。
重要な記事ありがとうございます( 。>Д<)


(うちに来たコメント)
通常日記とらぐな日記をそれぞれ更新しました!
ぜひぜひ、みなさん遊びにきてくださいな(*’∇`*)


(現実逃避の日々inヴァナディール のさゆきさんとこに来たそうです)
いつも日記楽しみにみております
このたび私のブログに勝手にリンクはらせていただきました~
よろしければ相互リンクお願いします.


というコメントを確認しています。(他にもあったらぜひ教えてください)


最近は、ブログのコメントをそのままコピペ?書き写して?別のブログに投稿しているようです。
なので、日本語がかなり達者です!気をつけて!! 


7/20追記:ブログのみならず掲示板の宣伝風コメントもありました。
そのままコピペらしく、もう日本語が怪しいやらどうたらでは見分けがつかなくなっています。


9/28追記:もうFFXI関係のコメントでさえなくなりつつあります。
でも、コメント欄の名前は、相変わらず他人を装ってます。
 


10/12追記:最近はブログのみならず最近はあちこちのWIKI形式のサイトのメニューを書き換えるやつもいるとか((((;゜Д゜)))
お前やりすぎだろ((((;゜Д゜)))
でもブログのコメントがなくなるわけではないので両方注意してください。
情報をくださったりめさんありがとうございます!


 


 


 


【投稿者名】


投稿者名は、実際にFFをプレイしているブロガーさんのHNを勝手に使っています。そういうあたしも名前を使われてたそうです(´`)
たぶんあちこちでコメントを書いてる先の名前を使っているんでしょうね。
全く投稿者名は関係がありませんのでご注意。
ちなみに、自分の名前でググったら


にぼしさんとこのにぼろぐ
さしゅさんとこのタルタルサッシュ
めろさんとこのめろらいふ。
せれすさんとこのせれにっき


こちらの4箇所のブログには自分の名前で罠URLが貼られてたようです(´`)既にみなさん削除されてますが。
なんかこういう時、申し訳ないっつーのもおかしいし、なんとも複雑な気持ちになりますね。


気のせいかも知れないけど、だんだん同じ鯖のブロガーさんの名前で投稿されてる気がしてなりません。


 


【URL】


コメントのURL記入欄などに
caution_4.jpg
caution5.jpg
20070713_9.jpg
20070914_18.jpg
200709287.jpg
20071012_13.jpg
20071013_1.jpg


あと、レニさんがURLを大量に公開してくださってます。ステキ!


とにかく絶対このURLにジャンプしないで下さい!!


他にもURLがあるようですが、まだ調べ終わっていません。
有名ドメインの真似をした別物URLを使っていますが、まずWhoisやドメイン名で検索してみるなど、直接飛ばないで調べてみることをお勧めします。


7/13追記:とこさんとこに来たURLは、IPが違ってました。罠を仕掛けるヤツが増えてきてるのかも知れません。


10/13追記:画像ファイルのURLも出てきました。 


 


【IPアドレス】


64.56.76.137(主に聖鯖のブログにはこのIPで書かれてたようです)
59.58.219.41(マイケルのゴブ紀行の(管)さんのとこに届いたIP)
201.219.58.59(TOKOさんとこに投げ込まれてたそうです)
222.122.12.32(7/20にうちに投げ込まれました)
220.73.141.216(9/14に/tossされました)
59.60.179.69(9/28に飛んできました)
161.194.58.59.board.ly.fj.dynamic.163data.com.cn(10/1に、さゆきさんのとこに/tossされたそうです)
220.162.107.9(10/12に飛んできました)
218.86.91.226(10/13にきました)
66.232.143.159(10/14にキタヨ)



以上を確認しています。
もちろん他のIPからも飛んでくる可能性は充分にあります。
Shinobiなど、アクセス解析を使ってる方は、生ログから使用言語を確認してみてください。まず日本語ではありません。


 


【正体に迫る!?】


caution_4.jpg=125.65.112.95
caution5.jpgも同じIPでした。コチラで調べました。(英語


20070713_9.jpg=220.166.64.194
↑新作です。そんなんいらんのに。


20070914_18.jpg=61.139.126.16   
↑9/14追記。


200709287.jpg=125.65.112.8
↑9/28追記。但しソースチェッカーオンラインではリンクを辿るうちに解読不能な文字列が。ますますアヤシイ・・・
ヘタしたら、もっと【危険】なモノかも知れないので、くれぐれもジャンプしないでくださいね。


20071012_13.jpg=61.139.126.33
↑10/12追記。
20071012_12.jpgが実行されるようです。


 


20071014_4.jpg=61.139.126.108
↑10/14追記。今度は20071014_3.jpgが実行されるようです。


125.65.112.95は、中国四川省成都にあるサイトらしい。
過去にリネージュやラグナロクオンラインのアカウントハックの経歴があるそうです。
携帯で見ると、


caution_3.jpg
20070914_19.jpg
20071012_12.jpg
20071014_3.jpg



ff11.exeととかcery.exeとかのファイル名(http://で始まるURL)を確認したので、もしかしたらこれが悪さをするファイル名なのかも知れません上記トロイの正体がわかりました。
でも%とか多くて解読しきれない・・・ヘタレでスミマセン
ソースは全文変換できましたが、あたしには見てもわかりません。
決してジャンプしないで下さいヨ!?


新作の方は、四川省雅安市みたいです。また四川省か。
ちょっとYahoo!翻訳さんに聞いた話なので、ちょっと違ったりするかも知れん。
こっちは、「サイトが移動しました」的なメッセージが出て、それをクリックするとserver.exeが実行されるっぽい。
URLのソース20070713_10.jpg
その先のサイトのソース20070713_11.jpg
その先IFRAMEタグを経て、server.exeが実行されるようです。テラナガス


9/28追記


あ、位置情報は、aguse.net というサイトで


200709286.jpg
こんな風に表示されます。その他いろいろわかるので、このサイトはオススメ。




【予防策】


まずはWindowsUpdateで最新の状態にしてください!
とにかくコメント欄のURLだとしても知らないURL・怪しいドメインには触らない。
更に導入していない方は、なるべくウイルス対策ソフトの導入をお勧めします。無料のやつもあります。
少し無料のソフトをここで紹介。


avast!
あたしが使用しています。今回で警告は出なかったけどね(ノ∀`)
WindowsUpdateしてたからだと思いますが。でも普段は普通に警告も出ます。


AVG Anti-Virus Free Edition
英語です。詳しく見てませんがコチラとかで日本語化できるかもです。
かなり昔からあるウイルス対策ソフト。あたしが2000年末ぐらいからPC買い替えまで使ってましt


Symantec セキュリティチェック
トレンドマイクロ オンラインスキャン
マカフィー・無料ウイルス診断 フリースキャン
セキュリティソフトを作ってる会社のサービスであるオンラインスキャンです。ウイルス対策ソフトを買う前に先にチェックだけ・・・とか多くの会社のサービスでチェックしたい方などにお勧めします。あたしは全部でチェックしました。大丈夫でした。
ただ、これでウイルスなどが見つかっても駆除まではできません。別途対処が必要です。


10/13追記
突流☆小僧のJetさんのブログにて、avast!では出てこなかったけどカスペルスキーの無料版で駆除できたそうです。
これからあたしもインスコ&スキャンしてみようと思います・・・ 


10/18追記
IPフィルタというのも有効そうです。早速やってみました。
リネージュ資料室さんの、基本の対策:IPフィルタに詳しいやり方が載っています。 
これをしておくと、指定したサイトに飛びたくても飛べなくなるらしい。ステキ!


 


 


あと、トロイの木馬専用のシェアウェアもあります。


UnHackMe(日本語版)
シェアウェア(2,619円)ですが、30日間試用可能。


ToRoI Buster
フリーウェア。でも古いみたい。 未知のウイルスにも対応と書いてあるけど・・・


あと、うちではコメント欄のURL記入項目を消してみました。
テンプレ変更と共に禁止ワード設定でいけるじゃんと気づいたのでURLは記入できるようになってますがURL欄にかかれたものはあたしにしか見えません。とりあえずこれで様子見。
FC2ブログの方なら、テンプレのHTMLをいじる方法です。


効果があるかわかりませんが、少なくとも本文中にURLが書かれたとしても既出のURLならクリックされることも減ると思ったので。
もちろん素早く消すようにしますよ。そんなん来たら。 


7/20追記:テンプレートによっては、コメントのURL欄を消してもタイトル欄に<a href="罠URL">を記述できるのか、タイトルをクリックしたら罠サイトに飛ぶ仕掛けもできるようです。
うちではタイトルからリンクする記述を削ってみました。
これから、コメント欄の罠URLを貼れそうな記述一切を削るつもりですが子供に夕飯食べさせてから・・・(ノ∀`)
一応、トラックバックもサムネイル表示できるように変更しています。予防になるかも知れんしリンク先のサイトに飛ぶ前にどんなサイトかチェックできるはずなので。


結論:


タイトルもむやみにクリックしないでください!!


9/28追記:


http://www.aguse.net/
こんなサイトもあります。
IP・サーバーの位置・サイト登録日・管理者情報などなど。
調べたいサイトのURLを入力すると、細かい情報を得られます。 
更に、このサイトの【危険】情報をチェックできるツールも公開なさっています。http://www.aguse.net/download.php
アヤシそうなサイトのリンクの上にカーソルを合わせ、右クリック>チェックしたら新しいウィンドウが出て調べてもらえます。
いちいちサイトに飛んで、アヤシイURLを入力する手間がかかってたのが相当楽になります。


もっと言うと
http://www.computerworld.jp/news/sec/33924.html
ここから、マカフィーの提供するプラグインも公開されています。
FireFox用と、IE用があるのでブラウザに合わせてどうぞ。 


 


【他に報告のあったサイト】(記事に直接ジャンプできます)


マイケルサイト番外変
FF11 TOKOの独り言w(6/19・11:40新情報アリ!)
チョロのヴァナ・ディール漂流記
レニフィルのFF11日記
きるひ がんばってます♪
とろ~り☆苺
FFXI るいるい日記えとせとら
☆月の花☆
にぼろぐ
Another -FINAL FANTASY XI プレイ日記-(.htaccessが使用できるサーバーを使ってらっしゃる方に丁寧な説明があります)


 


あと、関連記事を書かれたブロガー様からのトラックバックなどよろしければこの記事に戴けるとありがたいです。読む方がより多くの情報を得られると思うので。
TBしてくださった記事にも、こちらからも、できるだけTB反撃させていただきますね。
あとで設定を確認してみますが、このサイトのURLを貼ってなくても受け付けるようにしておきます・・・(ノ∀`)そういう設定があった気がするんだ・・・


追記:言及リンクの制限を「制限しない」にしました。これのことよね・・・?(ノ∀`)
もちろん関係ないTBは削除させて戴きますよ!!


 


 


こんな感じかなぁ。何か抜けてないかなぁ。
もうおばちゃん怒ったのでまとめてみました。まとまったか?


まだ「アレ書いてないじゃん」というツッコミがあればぜひください(ノ∀`)
 


 あと、この記事に限り転載・引用その他OKです。URLの画像も直リンじゃなければ使ってもらっていいです。
連絡も別になくてもいいですよ。少しでも役に立てたら(ノ∀`)


 


スポンサーサイト
Secret

TrackBackURL
→http://maccoblog.blog71.fc2.com/tb.php/280-cb8d9d45
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。